Können Kunden von Händlern die Löschung ihrer Daten verlangen?
Mit dem Umfang der weltweit generierten und transferierten Daten steigt bei vielen Menschen auch die Sensibilität für ihre personenbezogenen Daten. In der Beratungspraxis der IT-Recht Kanzlei stoßen wir zuletzt häufiger auf den Wunsch von Kunden, dass ihre personenbezogenen Daten nach Abwicklung einer Bestellung gelöscht werden. Grundsätzlich müssen Händler die Wünsche Ihrer Kunden befolgen, doch es gibt Ausnahmen, in denen sie das Gesetz zur Aufbewahrung zwingt. Die IT-Recht Kanzlei gibt einen Einblick.
Inhaltsverzeichnis
I. Löschungsanspruch vs. Aufbewahrungspflicht
Die Flut an personenbezogenen Daten im Netz löst bei kritischen Nutzern verständlicherweise einen Reflex aus. Wer möglichst datensparsam surfen möchte, fragt sich, welche personenbezogenen Daten er gänzlich zurückhalten, und welche er wenigstens möglichst schnell wieder aus dem Netz entfernen lassen kann.
Tatsächlich gibt es aufgrund des datenschutzrechtlichen Grundsatzes der Datensparsamkeit gesetzliche Regelungen, die datenverarbeitende Stellen dazu verpflichten, unter bestimmten Voraussetzungen die bei ihnen gespeicherten personenbezogenen Daten wieder zu löschen. Betroffene haben dann sogar einen Löschungsanspruch. Online-Händler sind davon etwa dann betroffen, wenn Kunden nach Abwicklung einer Bestellung verlangen, dass ihre beim Händler gespeicherten personenbezogenen Daten sofort und vollständig gelöscht werden. Der datenschutzrechtliche Löschungsanspruch des Kunden kollidiert dann möglicherweise mit gesetzlichen Aufbewahrungspflichten von Informationen.
Aber wann müssen und wann dürfen Händler überhaupt welche Datensätze löschen?
II. Löschungspflichten aus dem Telemediengesetz
Nach § 13 Abs. 4 S. 1 Nr. 2 des Telemediengesetzes (TMG) muss ein Diensteanbieter durch technische und organisatorische Vorkehrungen sicherstellen, dass die anfallenden personenbezogenen Daten über den Ablauf des Zugriffs oder der sonstigen Nutzung unmittelbar nach deren Beendigung gelöscht oder in den Fällen des § 13 Abs. 4 S. 2 TMG gesperrt werden. Nach diesem § 13 Abs. 4 S. 2 TMG tritt an die Stelle der Löschung eine Sperrung der Daten, soweit einer Löschung gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegenstehen. Bei gesetzlichen Speicherfristen dürfen die Daten also nicht gelöscht werden, sondern nur gesperrt.
Dieser sog. Systemdatenschutz soll dazu führen, dass personenbezogene Daten möglichst vermieden oder nur im geringstmöglichen Umfang genutzt werden. Allerdings betrifft die Löschungs- bzw. Sperrungspflicht aus § 13 Abs. 4 Nr. 2 TMG bloß die telemedienrechtlichen personenbezogenen Nutzungsdaten, die die Nutzung des Telemediums, also etwa der Webseite betreffen. Darunter fällt z.B. die IP-Adresse des Nutzers. Die Vorschrift erfasst jedoch nicht andere personenbezogene Daten, die mit der Nutzung des Telemediums als solchem unmittelbar nichts zu tun haben, wie etwa die Wohnanschrift, das Geburtsdatum und die Bankverbindungsdaten des Kunden, die im Rahmen einer konkreten Bestellung zu deren Abwicklung gesondert erhoben werden.
III. Der datenschutzrechtliche Löschungsanspruch
§ 35 Abs. 2 des Bundesdatenschutzgesetzes (BDSG) enthält neben einer gesetzlichen Befugnis zur Löschung von personenbezogenen Daten seitens datenverarbeitender Stellen, die es deshalb braucht, weil die Löschung von Daten im weitesten Sinne auch eine Verarbeitung von Daten ist, die aber wiederum nach § 4 Abs. 1 BDSG nur aufgrund einer gesetzlichen Befugnis oder einer Einwilligung des Betroffenen erfolgen darf, und dem damit korrespondierenden Anspruch auf Löschung seitens des Betroffenen unter bestimmten Voraussetzungen auch eine Pflicht zur Löschung von Daten.
Nach § 35 Abs. 2 S. 1 BDSG können personenbezogene Daten grundsätzlich jederzeit gelöscht werden, was bedeutet, dass datenverarbeitende Stellen bei ihnen gespeicherte Daten im Grundsatz jederzeit löschen dürfen. Zudem liest man in diesen Satz hinein, dass die Betroffenen, um deren personenbezogene Daten es geht, jederzeit einen Anspruch darauf haben, dass ihre Daten gelöscht werden. Unter den in § 35 Abs. 2 S. 2 BDSG genannten zusätzlichen Voraussetzungen müssen gespeicherte personenbezogene Daten gelöscht werden, dann besteht also sogar eine Löschungspflicht.
In § 35 Abs. 3 BDSG sind jedoch Ausnahmen von der Löschungsbefugnis, dem Löschungsanspruch bzw. teilweise auch der Löschungspflicht vorgesehen.
So tritt nach § 35 Abs. 3 S. 2 Nr. 1 BDSG an die Stelle der Löschung eine Sperrung, soweit einer Löschung gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungspflichten entgegenstehen. Gemäß § 35 Abs. 3 S. 2 Nr. 2 BDSG tritt an die Stelle der Löschung auch dann eine Sperrung, wenn Grund zu der Annahme besteht, dass durch eine Löschung schutzwürdige Interessen des Betroffenen beeinträchtigt würden.
Für Online-Händler dürften vor allem die von ihnen zu beachtenden gesetzlichen Aufbewahrungsfristen nach § 257 des Handelsgesetzbuchs (HGB) und § 147 der Abgabenordnung (AO) von Relevanz sein. Nach § 257 HGB ist jeder Kaufmann dazu verpflichtet, u.a. empfangene Handelsbriefe (§ 257 Abs. 1 Nr. 2 HGB), Wiedergaben von abgesandten Handelsbriefen (§ 257 Abs. 1 Nr. 3 HGB) und Buchungsbelege (§ 257 Abs. 1 Nr. 4 HGB) aufzubewahren. Die Aufbewahrungsfrist beträgt nach § 257 Abs. 4 HGB für Buchungsbelege zehn Jahre und für Handelsbriefe sechs Jahre.
In § 147 Abs. 1 Nr. 2-4, Abs. 3 AO finden sich nahezu wortgleiche Aufbewahrungspflichten für die steuerlichen Belange. Handels- bzw. Geschäftsbriefe wie Eingangs- und Ausgangsrechnungen, Lieferscheine, Kostenvoranschläge und Verträge dürfen von Gesetzes wegen somit nicht gelöscht werden, was umgekehrt bedeutet, dass Kunden in Bezug auf diese Daten innerhalb der gesetzlichen Aufbewahrungsfrist keinen Löschungsanspruch haben. Die Löschung anderer Daten, wie etwa der im Webshop-System hinterlegten Kundendatensätze, können die Kunden verlangen, unabhängig davon, ob sie bei der Bestellung oder zu einem früheren Zeitpunkt ein Kundenkonto eingerichtet haben.
IV. Muster-Formulierung für die Beantwortung von Kundenanfragen
Wie geht man nun mit Kunden um, welche die Löschung ihrer Daten wünschen? Die IT-Recht Kanzlei stellt ihren Mandanten ein hilfreiches Muster zum professionellen Umgang mit solchen Kunden zur Verfügung.
V. Fazit
Grundsätzlich können Kunden nach dem Datenschutzrecht die Löschung ihrer beim Händler gespeicherten personenbezogenen Daten verlangen. Allerdings besteht kein unbeschränkter Löschungsanspruch. Von Gesetzes wegen sind Händler dazu verpflichtet, bestimmte Daten sechs bzw. zehn Jahre lang aufzubewahren. Konsequenterweise schränkt das Datenschutzrecht den Löschungsanspruch der Betroffenen dementsprechend ein. Händlern sind somit bei der Erfüllung von Löschungswünschen Ihrer Kunden teilweise die Hände gebunden. Personenbezogene Daten der Kunden wie Geburtsdaten oder Kundendaten im elektronischen Webshop-System sind mangels gesetzlicher Pflicht zur Aufbewahrung jedoch zu löschen.
Bei Problemen, Rückfragen sowie weiteren Fragen zu diesem Thema hilft Ihnen das Team der IT-Recht Kanzlei selbstverständlich gerne auch persönlich und im Einzelfall weiter.
Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.
© momius - Fotolia.com
Link kopieren
Als PDF exportieren
Per E-Mail verschicken
Zum Facebook-Account der Kanzlei
Zum Instagram-Account der Kanzlei
2 Kommentare
Ich habe etwas bestellt, bekomme vom Händler eine Mail mit Betreff "Bestellbestätigung" und darüber hinaus nichts weiter. Auf Nachfrage kam heraus, dass die Ware nicht verfügbar ist. Geld wurde zurücküberwiesen (beleglos).
Greifen in diesem Falle die Aufbewahrungsfristen nach HGB überhaupt?
mfg
AS
Vielleicht kommt da ja demnächst einmal ein Artikel dazu.
Grüße