Was, wenn beim Transport etwas schiefgeht?
Wer haftet bei Transportverlust und Schäden? Was, wenn das Paket nicht ankommt? Diese und weitere für Händler wichtige Fragen beantworten wir im Beitrag.
Der richtige Umgang mit persönlichen Daten stellt für viele Unternehmen eine große Herausforderung dar. Dazu gehört auch das Thema der rechtskonformen Löschung von Daten. Gerade kleinen und mittelgroßen Unternehmern bereitet die Umsetzung Kopfschmerzen. Wie ist das Zusammenspiel von Lösch- und Aufbewahrungspflichten, Fristen und unternehmerischen Interessen? Kann ein Löschkonzept Abhilfe schaffen?
Wann müssen Daten gelöscht werden?
Grundsatz der Speicherbegrenzung
Der Grundsatz der Speicherbegrenzung in Art. 5 Abs. 1 lit. e DSGVO sieht vor, dass die Daten in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Etwas anderes gilt nur unter der Anwendung geeigneter technischer und organisatorischer Maßnahmen bei Vorliegen eines öffentlichen Archivinteresses, wissenschaftlicher oder historischer Forschungszwecke oder auch für statistische Auswertungen. Unternehmen müssen personenbezogene Daten also so speichern, dass sie eine Person nur so lange identifizieren können, wie es für den Verarbeitungszweck notwendig ist.
Das Recht auf Löschung
Nach Art. 17 Abs. 1 DSGVO hat jeder betroffene das Recht von dem datenverarbeitendem Verantwortlichen zu verlangen, dass seine personenbezogenen Daten gelöscht werden, wenn bestimmte Voraussetzungen vorliegen. Dazu gehören unter anderem der Fortfall des Zwecks der Datenverarbeitung, der Widerruf der Einwilligung zur Verarbeitung oder wenn Widerspruch gegen die Verarbeitung eingelegt wird. Liegen keine vorrangigen berechtigten Interessen oder Rechtsgrundlagen zur Datenverarbeitung vor, ist die Löschung der Daten unverzüglich, d.h. ohne schuldhaftes Zögern vorzunehmen. Auch ohne direkte Aufforderung der betroffenen Person hat der Verantwortliche personenbezogene Daten, insbesondere in den oben genannten Fällen, zu löschen.
Ausnahmen von den Löschpflichten
Verjährungsfristen
Eine der Ausnahmen zur Löschpflicht stellt Art 17 Abs. 3 lit. e DSGVO dar. Danach müssen personenbezogene Daten nicht gelöscht werden, wenn sie zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich sind. Dabei kommen vor allem zivilrechtliche Ansprüche aus Verträgen mit Kunden in Betracht. Spätestens wenn diese verjähren – die regelmäßige Verjährungsfrist beträgt 3 Jahre - sind aber auch diese Daten zu löschen.
Achtung: Verjährungsfristen sind nicht pauschal auf die zu löschenden Datensätze anzuwenden. Personenbezogene Daten können weiterhin vorgehalten werden, sofern dies im konkreten Fall erforderlich ist (z.B. für die mögliche Inanspruchnahme einer etwaigen Garantie durch den Kunden und dessen erforderlicher Zuordnung in Ihrem System, oder um bei möglichen Rechtsansprüchen des Kunden auskunftsfähig zu sein.). Als Rechtsgrundlage für die weitere Speicherung der Daten dient hierbei ein durch Sie festgestelltes bestehendes berechtigtes Interesse an der Datenverarbeitung.
Aufbewahrungspflichten
Nach Art. 17 Abs. 3 lit. b DSGVO ist eine unverzügliche Löschung von Daten auch nicht möglich, wenn die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist. Für Unternehmen sind vor allem handelsrechtliche und steuerrechtliche Aufbewahrungspflichten relevant. Gemeint sind damit alle Daten, die Sie für eine ordnungsgemäße Buchführung benötigen. Es sind aber nur die Datensätze in den Handelsbriefen und Geschäftsbriefen bzw. deren Kopien aufzubewahren, die für eine ordnungsgemäße Buchführung erforderlich sind. Mit Handelsbriefen und Geschäftsbriefen ist insbesondere jegliche Korrespondenz (schriftlich sowie elektronisch), rund um geschlossene Verträge mit Kunden und Lieferanten, Preislisten, Reklamationen sowie Versand- und Frachtunterlagen gemeint. Die Aufbewahrungsfrist für Handels- und Geschäftsbriefe beträgt 6 Jahre.
Beispiel: Löschung von Kundendaten nach Bestellung
Zwar müssen Sie bestimmt Daten für Ihre Buchhaltung aufbewahren, doch zwingt sie der Grundsatz der Datensparsamkeit dazu nur genau die Daten zu speichern, die dafür zwingend notwendig sind. Reichen anonymisierte Unterlage für Ihre Buchführung aus, so hat dies stets Vorrang.
Bis zu Verjährungsfrist etwaiger Ansprüche bzw. nachvertraglicher Pflichten sowie nach Ablauf der gesetzlichen Aufbewahrungspflichten müssen die Daten separiert und „gesperrt“ werden, sodass nur ein begrenzter Personenkreis auf sie Zugang hat. Alle anderen Daten, auch die bei Dienstleistern, müssen unverzüglich gelöscht werden.
Wie müssen die Daten gelöscht werden?
Die DSGVO enthält keine konkreten Vorgaben, wie die Löschung durchzuführen ist. In der alten Fassung des Bundesdatenschutzgesetzes war das Löschen als Unkenntlichmachen gespeicherter personenbezogener Daten definiert. Dies kann zweifelsfrei durch die physische Zerstörung des Datenträgers vorgenommen werden. In der Praxis wird dies mit digitalisierten Daten jedoch eher die Ausnahme sein.
Das Mehrfache überspielen von elektronischen Daten kann hinreichend sein. Für eine vollständige Löschung müssen auch Sicherheitskopien und Back-Ups gelöscht werden.
Das Anonymisieren von Daten ist nur ausreichend, wenn es so durchgeführt wurde, dass nur mit einem unverhältnismäßigen Aufwand ein Personenbezug herstellbar wäre. Das Pseudonymisieren ist dagegen nicht ausreichend.
Diese Vorgänge können natürlich manuell ausgeführt werden. Ab einer bestimmten Unternehmensgröße wird dies aber nicht mehr möglich sein und ein automatisiertes Verfahren wird unumgänglich. Zudem liegen die Daten meist auf verschiedenen Systemen (Kundensystemen, Mitarbeitersystemen, E-Mail-Programme, Zwischenspeicher) und sogar bei externen Dienstleistern. Eine händische Bearbeitung wäre nicht nur zeitraubend, sondern auch fehleranfällig.
Beispiel: Newsletter Abmeldung
Im Vorfeld dürfen aufgrund des Grundsatzes der Datensparsamkeit bereits nur die Daten erhoben werden, die für den Newsletter Versand zwingend notwendig sind (E-Mail-Adresse). Wird der Newsletter abbestellt, ist eine unternehmensweite Löschung der Daten notwendig. Also in allen einschlägigen Abteilungen und Systemen.
Achten Sie bei Auskunftsersuchen Ihrer Kundinnen und Kunden darauf, ob neben der Auskunft zur Verarbeitung personenbezogener Daten auch ein Löschverlangen vorliegt. Eine unzureichende Bearbeitung von Betroffenenrechten stellt einen Datenschutzverstoß dar, welcher mit einem Bußgeld belegt werden kann.
Löschkonzepte
Sie sehen das beim Thema Datenlöschung viele verschiedene Aspekte zusammenspielen. Ein Löschkonzept hilft Ihnen dabei die gespeicherten Daten zu kategorisieren und Fristen nicht zu verpassen. Das Verarbeitungsverzeichnis mit Angaben zur Datenlöschung kann ein Ausgangspunkt bei der Kategorisierung innerhalb des Löschkonzepts sein. Es sollten zudem Zugriffsrechte und Löschvorgaben mit Erinnerungen festgelegt werden. Noch kein Verarbeitungsverzeichnis angelegt? Hier geht’s zum DSGVO-Manager von Trusted Shops.
Gesetzlich vorgeschrieben ist ein solches Konzept nicht. Es hilft Ihnen jedoch einen festgelegten Prozess nachweislich zu dokumentieren und bei Bedarf den zuständigen Mitarbeitern vorzulegen. Zudem drohen Ihnen Bußgelder bei Verstößen gegen die Löschpflicht. Auch Schadensersatzansprüche bzw. Schmerzensgeldansprüche bei unzureichender Löschung Ihrer Kunden sind denkbar und ein nicht zu unterschätzender Risikofaktor, siehe hierzu auch unsere Podcastfolge: Schadensersatz für betroffene Personen nach DSGVO-Verstoß?
Ein systematischer Umgang mit dem Thema kann sie daher davor schützen. Sie wollen wissen, woran Sie bei der Erstellung eines Löschkonzepts denken müssen?
Unser Tipp
Erhalten Sie von einem Betroffenem eine Aufforderung zur Löschung seiner Daten oder sind die gesetzlich dazu verpflichtet, müssen Sie zunächst prüfen, welche Daten gelöscht und welche aufbewahrt und gesichert werden müssen. Ein Löschkonzept ist wichtig, um keine Fristen verstreichen zu lassen und Bußgelder sowie Schadensersatzansprüche betroffener Personen zu verhindern.
Über den Autor
Konstantin Schröter ist Master of Laws (LL.M.) und als Legal Consultant bei der Trusted Shops GmbH tätig. Bachelorstudium des Wirtschaftsrechts an der Technischen Universität Dresden sowie Masterstudium an der Technischen Hochschule Köln. Im Rahmen seiner Tätigkeit betreute er den Audit-Prozess DACH und war für die Vorabprüfung kritischer Geschäftsmodelle bezüglich der Einhaltung der Trusted Shops Qualitätskriterien zuständig. Konstantin Schröter betreut die Trusted Shops Abmahnschutzpakete und setzt sich intensiv mit rechtlichen Fragestellungen des E-Commerce auseinander.
05.11.20
