Wie lange darf man Vertrags- und Kundendaten speichern?

Das BDSG erlaubt in § 28 BDSG die Speicherung von Kundendaten für eigene Zwecke. Doch wie lange darf man Daten über ein Vertragsverhältnis mit einem Kunden speichern? Wann muss man sie löschen oder sperren und was geschieht, wenn man sie dennoch verarbeitet? von Dr. jur. Ronald Kandelhard, Rechtsanwalt, letztes Update am 14.10.2021

1. Einleitung: Datenschutzerklärung

Wie mit Kundendaten umzugehen ist, ist für jeden relevant, der Daten zu seinen Verträgen verarbeitet. Erfolgt die Erhebung dieser Daten auf einer Website, muss der Umgang mit diesen Daten auch in der Datenschutzerklärung angegeben werden. Zunächst geht es aber erst mal um die Reichweite der gesetzlichen Erlaubnis, die Daten von Kunden und aus Verträgen zu speichern.

2. Speicherung von Kundendaten

Nach Art. 5 Abs. 1 lit. e DSGVO ist die Speicherung von Daten nur so lange zulässig,

„wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist;“.

Dabei ist der Grundsatz der Datensparsamkeit gem. Art. 5 Abs. 1 lit. c DSGVO zu beachten. Nur die Daten dürfen erhoben und gespeichert werden, die für diesen Zweck wirklich erforderlich sind. Im Grundsatz ist die Speicherung der Vertragsdaten damit erst mal erlaubt (wer hat was, wo, für wieviel gekauft).

3. Löschung von Kundendaten

Solange mit den jeweiligen Kunden ein Vertragsverhältnis besteht, welches noch nicht endgültig abgewickelt ist, dürfen die Daten in jedem Fall gespeichert bleiben. Sobald die Daten aber nicht mehr zur Begründung, Ausgestaltung und Änderung des Vertragsverhältnisses erforderlich sind, weil das Vertragsverhältnis beendet ist und nachvertragliche Ansprüche nicht mehr in Betracht kommen, müssen die Daten zunächst gemäß Art. 17 Abs. 1 lit. a DSGVO gelöscht werden, weil der Zweck der Speicherung sich erledigt hat. Da die gesetzliche Gewährleistungsfrist grundsätzlich 2 Jahre beträgt, sollte man meinen, dass so lange die Speicherung zulässig ist. Doch gehen Teile de Lehre davon aus, dass eine Speicherung wegen möglicher Gewährleistung nur erlaubt ist, wenn eine Auseinandersetzung mit hinreichender Wahrscheinlichkeit zu erwarten ist (Simitis/Hornung/Spiecker gen. Döhmann/Dix, Art. 17 DSGVO Rn. 38). Dabei werden aber Verjährungsfristen bis zu 30 Jahren erörtert, während es meist nur um 1 (B2B-Frist bei Regelung in AGB) bis 2 Jahre (Frist für B2C und B2B ohne AGB) geht. Zumindest, wenn eine erhöhte Wahrscheinlichkeit für Gewährleistungen plausibel erscheint, kann man versuchen, eine Speicherdauer für diese Zeit zu begründen. Anders ist dies natürlich bei Dauerverträgen, etwa Zugang zu einem geschlossenen Mitgliederbereich, hier werden die Kundendaten im Zweifel während der gesamten Dauer des Vertrags benötigt und beginnt erst ab Beendigung des Vertrages die Verpflichtung zur Sperrung oder Löschung der Daten. … nach denen im Wege einer Interessenabwägung ermittelt werden müsse, ob die weitere Verarbeitung gerechtfertigt sei, was davon abhänge, wie wahrscheinlich es ist, dass Ansprüche geltend gemacht werden, welche Bedeutung diese Ansprüche möglicherweise haben könnten und inwieweit die Interessen der betroffenen Person durch die weitere Speicherung der Daten beeinträchtigt werden.

4. Sperrung von Kundendaten

Dem entgegen stehen könnte aber § 35 Abs. 3 BDSG in Verbindung mit Art. 18 DSGVO. Danach müssen Daten nicht gelöscht, sondern nur gesperrt werden, wenn

„einer Löschung satzungsgemäße oder vertragliche Aufbewahrungsfristen entgegenstehen.“.

Das sind insbesondere die handels- und steuerrechtlichen Aufbewahrungsfristen. Dann müssen die Daten aber immer noch gesperrt werden. Eine Sperrung ist dabei nur gegeben, wenn eine Lesbarkeit der Daten im Unternehmen nicht mehr ohne weiteres gegeben ist.  So wird etwa die Langzeitarchivierung auf Magnetbändern, bei der die Daten in nicht lesbarer Form gespeichert werden, als ausreichend angesehen, weil dann eine Nutzung der Daten erst wieder möglich würde, wenn die Daten in ein lesbares System eingespielt werden (Spindler/Schuster/Nink, BDSG, § 35 Rn. 39).

5. Rechtsfolgen bei Verstoß gegen die Löschungspflicht

Wird gegen die Löschungspflicht nach Art. 17 DSGVO verstoßen, liegt darin ein Verstoß gegen die DSGVO, der grundsätzlich bußgeldbewährt ist. Die Höhe des Bußgeldes beträgt bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher der Beträge höher ist (Art. 83 Abs. 5 lit. b DSGVO). Dass solche Bußgeldhöhen tatsächlich erreicht werden können, hat sich bereits herausgestellt. Das bisher höchste Bußgeld in Deutschland nach der DSGVO ist gegen die Deutsche Wohnen verhängt worden: 14,5 Mio. Euro! Grund war ein nicht ausreichendes Löschkonzept für nicht mehr benötigte Daten. Klar, das wird bei Dir mutmaßlich kleiner ausfallen, aber selbst 0,1 % davon wären immer noch 14.500 Euro (sic!). Update: Inzwischen ist das Verfahren gegen die Deutsche Wohnen zwar vom LG Berlin eingestellt worden (LG Berlin, Beschluss vom 18. Februar 2021 – (526 OWi LG) 212 Js-OWi 1/20 (1/20). Zur Höhe des Bußgeldes hat das LG Berlin jedoch nichts entschieden, d.h. Bußgelder in dieser Höhe bleiben möglich. Das Verfahren wurde allein deshalb eingestellt, weil der Bußgeldbescheid fehlerhaft war (er wurde an die Deutsche Wohnen als juristische Person gerichtet, während nach Auffassung des LG Berlin nur natürliche Personen Adressaten eines Bußgeldbescheides sein können). Die von der unzulässigen Speicherung betroffene Person kann zudem  gegenüber der speichernden Stelle ihre Rechte aus dem BDSG, insbesondere auf Korrektur, geltend machen. Weiter kann sie auf Unterlassung und/oder Beseitigung des Eingriffs in ihr Recht auf informationelle Selbstbestimmung nach §§ 1004, 12 BGB klagen, sofern die Beeinträchtigung fortdauert. Soweit der betroffenen Person ein Schaden entstanden ist und die verantwortliche Stelle schuldhaft gehandelt hat, kann zusätzlich ein Anspruch auf Schadensersatz gem. Art. 82 Abs. 1 DSGV, bzw. § 823 Abs. 2 BGB i.V.m. Art. 17 DSGVO in Betracht kommen.

6. Erläuterung Datenverarbeitung

Eine Verarbeitung von Daten bezeichnet nach Art. 4 Nr. 2 DSGVO:

„ Jede mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung“

Im Einzelnen ist, ungeachtet der dabei angewendeten Verfahren:

1. Speichern das Erfassen, Aufnehmen oder Aufbewahren personenbezogener Daten auf einem Datenträger zum Zweck ihrer weiteren Verarbeitung oder Nutzung,
2. Verändern das inhaltliche Umgestalten gespeicherter personenbezogener Daten,
3. Übermitteln das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten in der Weise, dass

• a) die Daten an den Dritten weitergegeben werden oder
• b) der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft,4. Sperren das Kennzeichnen gespeicherter personenbezogener Daten, um ihre weitere Verarbeitung oder Nutzung einzuschränken,5.Löschen das Unkenntlichmachen gespeicherter personenbezogener Daten.“

7. Ergebnis

Im Ergebnis müssen Daten über einen Vertragsschluss 1 bis 2 Monate nach erfolgreicher Erfüllung des Vertrages gesperrt werden, sofern nicht konkret eine Auseinandersetzung droht. Dies kann durch eine Speicherung in nicht unmittelbar lesbarer Form geschehen.  Gelöscht werden müssen dagegen alle Daten, die nicht von handels- und steuerrechtlichen Aufbewahrungsvorschriften gedeckt sind, etwa die Mail-Adresse des Kunden. In der Datenschutzerklärung dürfen diese Grundsätze entsprechend dem Gebrauch in dem Unternehmen abgebildet werden. Eine allgemeine Angabe reicht jedoch aus. Sie könnte etwa so lauten: „Wir erheben Bestandsdaten, also personenbezogene Daten des Nutzers nur, soweit sie für die Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses zwischen uns und dem Nutzer erforderlich sind.“ Ich habe auch ein günstigen Komplett-Schutz, inklusive Datenschutz-Generator. Dort muss Du Dir um all diese Dinge keine Sorgen machen. Ich habe auch ein günstigen Komplett-Schutz, inklusive Datenschutz-Generator. Dort muss Du Dir um all diese Dinge keine Sorgen machen.

Dr. Ronald Kandelhard, Rechtsanwalt und Mediator. Ronald war lange Zeit an der Universität, in der Rechtsberatung von Staaten und als Rechtsanwalt tätig. Jetzt entwickelt er mit seinem Startup Paragraf7 automatisierte Lösungen für rechtliche Probleme von Unternehmen.