Datenlöschung: Die 7 wichtigsten Regeln für jeden Online-Shop
Kunden haben nach der DSGVO grundsätzlich ein Recht auf Löschung ihrer Daten. Nicht jedem Löschantrag muss aber stattgegeben werden. Wir zeigen, wie Online-Unternehmer Datenlöschungen rechtskonform meistern, und stellen Mandanten hilfreiche Muster bereit.
Der datenschutzrechtliche Löschungsanspruch nach der DSGVO
Die Flut an personenbezogenen Daten im Netz löst bei kritischen Nutzern verständlicherweise einen Reflex aus. Wer möglichst datensparsam surfen möchte, fragt sich, welche personenbezogenen Daten er gänzlich zurückhalten, und welche er wenigstens möglichst schnell wieder aus dem Netz entfernen lassen kann.
Die DSGVO gesteht Betroffenen deshalb gemäß Art. 17 einen Löschungsanspruch zu, in dessen Ausübung sie die unwiederbringliche Entfernung der zu ihnen gespeicherten Datensätzen verlangen können.
Der Löschungsanspruch wird aber nicht unbedingt gewährt. Vielmehr kann die Löschung aus verschiedenen Gründen berechtigt abgelehnt werden, etwa wenn gesetzliche Aufbewahrungspflichten zur Weiterspeicherung bestimmter Datensätze anhalten.
Online-Unternehmer können davon etwa dann betroffen sein, wenn Kunden nach Abwicklung einer Bestellung verlangen, dass ihre gespeicherten personenbezogenen Daten sofort und vollständig gelöscht werden. Der datenschutzrechtliche Löschungsanspruch des Kunden kollidiert dann möglicherweise mit gesetzlichen Aufbewahrungspflichten von Informationen.
1. Pflicht zur Löschung aus Art. 17 Abs. 1 DSGVO
Nach Art. 17 DSGVO muss der Verantwortliche dem Anspruch auf Löschung dann Rechnung tragen, wenn
- der Zweck der Datenverarbeitung erreicht wurde und die personenbezogenen Daten insofern nicht mehr erforderlich sind
- der Betroffene seine Einwilligung widerrufen hat und keine anderweitige (gesetzliche) Rechtsgrundlage für die Verarbeitung im Sinne von Art. 6 Abs. 1 lit. b-f DSGVO eingreift
- der Betroffene gegen die Verarbeitung Widerspruch im Sinne des Art. 21 DSGVO eingelegt hat
- die personenbezogenen Daten unrechtmäßig, also nicht von Art. 6 DSGVO gedeckt, erhoben, verarbeitet oder genutzt wurden
- der Betroffene seine Einwilligung als Minderjähriger gemäß Art. 8 DSGVO abgegeben hat und die Löschung verlangt (Achtung: dieses Recht steht dem Betroffenen auch zu, wenn er inzwischen nicht mehr Minderjährig ist, Erwägungsgrund 65)
Zwingend zu beachten ist, dass jenseits des Rechts des Betroffenen, die Löschung zu verlangen, eine eigenständige, originäre Pflicht des Verantwortlichen besteht, die Löschung unverzüglich zu bewirken.
Liegt insofern einer der genannten Löschungstatbestände vor, ist der Verantwortliche gemäß Art. 17 Abs. 1 DSGVO auch von sich aus und ohne vorherigen Betroffenenantrag verpflichtet, die entsprechenden Daten unverzüglich, d.h. ohne schuldhaftes Zögern, zu löschen.
Hat der Verantwortliche die zu löschenden Daten an Dritte weitergegeben oder gar öffentlich gemacht, hat er bei Vorliegen eines Löschungsgrundes nach Art. 19 DSGVO alle Dritten über die Löschung zu informieren, damit diese ihrerseits Löschungsvorgänge einleiten können. Diese Pflicht greift nur insoweit, wie die Unterrichtung möglich und dem Verantwortlichen nicht unzumutbar ist.
Verlangt der Betroffene eine Auskunft über die Personen der Dritten, so ist diese unverzüglich zu erteilen (Art. 17 Abs. 2 i.V.m. Art. 19 DSGVO).
2. Recht auf Ablehnung des Löschungsantrags nach Art. 17 Abs. 3 DSGVO
Eine Löschung kann trotz Vorliegen eines oben angeführten Löschungsgrundes rechtmäßig abgelehnt werden, wenn der Verantwortliche ein berechtigtes Interesse an der Weiternutzung der Daten hat (Art. 17 Abs. 3 DSGVO).
Dies kann insbesondere dann der Fall sein, wenn die fortdauernde Verarbeitung oder Speicherung zur Erfüllung einer gesetzlichen Aufbewahrungspflicht erforderlich ist und insofern eine gesetzliche Verpflichtung (Art. 17 Abs. 3 lit. b DSGVO) besteht, die Daten nicht zu löschen.
Für Online-Unternehmer dürften vor allem die gesetzlichen Aufbewahrungsfristen nach
- § 257 des Handelsgesetzbuchs (HGB)
- § 147 der Abgabenordnung (AO) und
- § 14b Abs. 1 des Umsatzsteuergesetzes (UStG)
von Relevanz sein.
Nach § 257 HGB ist jeder Kaufmann dazu verpflichtet, u.a. empfangene Handelsbriefe (§ 257 Abs. 1 Nr. 2 HGB), Wiedergaben von abgesandten Handelsbriefen (§ 257 Abs. 1 Nr. 3 HGB) und Buchungsbelege (§ 257 Abs. 1 Nr. 4 HGB) aufzubewahren. Die Aufbewahrungsfrist beträgt nach § 257 Abs. 4 HGB für Buchungsbelege 8 Jahre und für Handelsbriefe 6 Jahre.
In § 147 Abs. 1 Nr. 2-4, Abs. 3 AO finden sich nahezu wortgleiche Aufbewahrungspflichten für die steuerlichen Belange. Handels- bzw. Geschäftsbriefe, Lieferscheine, Kostenvoranschläge und Verträge dürfen bereits von Gesetzes wegen innerhalb von 6 Jahren und Buchungsbelege innerhalb von 8 Jahren nicht gelöscht werden, was umgekehrt bedeutet, dass Kunden in Bezug auf Daten in diesen Dokumenten innerhalb der gesetzlichen Aufbewahrungsfrist keinen Löschungsanspruch haben.
Schließlich schreibt § 14b UStG eine Aufbewahrung von Rechnungen für 8 Jahre vor, was einer Löschung von Daten in Rechnungsdokumenten während dieses Zeitraums entgegensteht.
Die Löschung anderer oder auch identischer Datensätze, die nicht Inhalt der konkreten Handels- und Geschäftspapiere sind (etwa die im Webshop-System hinterlegten Kundendatensätze und Bestellhistorien), können die Kunden aber unabhängig von der Aufbewahrungsfrist verlangen.
Das gesetzliche Löschungshindernis in Form der Aufbewahrungsfristen bezieht sich insofern allein auf die personenbezogenen Daten in den konkreten Dokumenten.
Muster-Formulierung für die Beantwortung von Kundenanfragen
Wie geht man nun mit Kunden um, welche die Löschung ihrer Daten wünschen?
Wir stellen unseren Schutzpaket-Mandanten folgende drei hilfreiche Muster zum professionellen Umgang mit solchen Kunden zur Verfügung:
- Muster 1: Mitteilung über Stattgabe des Löschungsanspruchs auf Antrag
- Muster 2: Ablehnung des Löschungsantrags mangels Löschungsgrundes
- Muster 3: Ablehnung des Löschungsantrags wegen entgegenstehender gesetzlicher Aufbewahrungspflicht
Die Muster sind hier hinterlegt.
Fazit
Grundsätzlich können Kunden nach der DSGVO die Löschung ihrer gespeicherten personenbezogenen Daten verlangen.
Allerdings besteht kein unbeschränkter Löschungsanspruch.
Von Gesetzes wegen sind E-Commerce-Unternehmer dazu verpflichtet, bestimmte Datensätze 6 bzw. 8 Jahre lang aufzubewahren. Konsequenterweise schränkt das Datenschutzrecht den Löschungsanspruch der Betroffenen dementsprechend ein.
Online-Unternehmen sind somit bei der Erfüllung von Löschungswünschen Ihrer Kunden teilweise die Hände gebunden. Personenbezogene Daten der Kunden wie Geburtsdaten oder Kundendaten im elektronischen Webshop-System sind mangels gesetzlicher Pflicht zur Aufbewahrung jedoch zu löschen.
Fragen zum Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.
Link kopieren
Als PDF exportieren
Per E-Mail verschicken
Zum Facebook-Account der Kanzlei
Zum Instagram-Account der Kanzlei
5 Kommentare
wie seht es denn mit Leuten aus, die sich im Shop registrieren, aber keine Bestellung aufgeben?
Eine rechtliche Notwendigkeit den Account bestehen zu lassen besteht ja nicht, aber die Höflichkeit bzw. der Servicegedanke gebietet es ja wohl, dies eine gewisse Zeit zu tun. Wo ist denn da die Grenze zu ziehen?
Viele Grüße,
Daniela
vielleicht können Sie mir bei der Lösung folgenden hypothetischen Falles helfen: ein Kunde verlang Auskunft über die von ihm gespeicherten Daten, diese erteile ich ihm. Danach verlangt er Löschung. Würde ich die nun durchführen, könnte er danach behaupten, ich hätte das Auskunftsrecht nicht vollständig erfüllt, weil ich irgendwelche Daten hätte haben müssen, diese ihm aber nicht mitgeteilt habe. Ich kann nicht mehr beweisen, dass ich die Daten nicht hatte, denn ich habe alle persönlichen Daten des Kunden ja gelöscht.
Begründet also ein wahrgenommener Auskunftsanspruch ein rechtliches Interesse meinerseits am Beibehalt der Daten für eine bestimmte Zeit? Wenn ja für welche? Oder wäre dies schlicht ein Fall mißbräuchlicher Rechtsausübung? Ich freue mich auf Ihre Gedanken zu dieser Konstellation
Vielen Dank vorab