Das BDSG erlaubt in § 28 BDSG die Speicherung von Kundendaten für eigene Zwecke. Doch wie lange darf man Daten über ein Vertragsverhältnis mit einem Kunden speichern? Wann muss man sie löschen oder sperren und was geschieht, wenn man sie dennoch verarbeitet?
von Dr. jur. Ronald Kandelhard, Rechtsanwalt, Fachanwalt für Handels- und Gesellschaftsrecht
1. Einleitung: Datenschutzerklärung
Wie mit Kundendaten umzugehen ist, ist für jeden relevant, der Daten zu seinen Verträgen verarbeitet. Erfolgt die Erhebung dieser Daten auf einer Website, muss der Umgang mit diesen Daten auch in der Datenschutzerklärung angegeben werden. Zunächst geht es aber erst mal um die Reichweite der gesetzlichen Erlaubnis, die Daten von Kunden und aus Verträgen zu speichern.
2. Speicherung von Kundendaten
Nach § 28 Abs. 1 Nr. 1 BDSG ist die Speicherung von Daten zu eigenen Zwecken zulässig:
„wenn es für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist“.
Dabei ist der Grundsatz der Datensparsamkeit gem. § 3a BDSG zu beachten. Nur die Daten dürfen erhoben und gespeichert werden, die für diesen Zweck wirklich erforderlich sind.
Im Grundsatz ist die Speicherung der Vertragsdaten damit erst mal erlaubt (wer hat was, wo, für wieviel gekauft).
3. Löschung von Kundendaten
Solange mit den jeweiligen Kunden ein Vertragsverhältnis besteht, welches noch nicht endgültig abgewickelt ist, dürfen die Daten in jedem Fall gespeichert bleiben. Sobald die Daten aber nicht mehr zur Begründung, Ausgestaltung und Änderung des Vertragesverhältnisses erforderlich sind, weil das Vertragsverhältnis beendet ist und nachvertragliche Ansprüche nicht mehr in Betracht kommen, müssen die Daten zunächst gemäß § 35 Abs. 2 Nr. 3 BDSG gelöscht werden, weil der Zweck der Speicherung sich erledigt hat.
Da die gesetzliche Gewährleistungsfrist grundsätzlich 2 Jahre beträgt, sollte man meinen, dass so lange die Speicherung zulässig ist. Doch geht die Lehre davon aus, dass eine Speicherung wegen möglicher Gewährleistung nur erlaubt ist, wenn eine Auseinandersetzung mit hinreichender Wahrscheinlichkeit zu erwarten ist (Gola/Schomerus/Körffer/Gola/Klug, BDSG, 12. Aufl. 2015, § 35 Rn. 13a; Spindler/Schuster/Nink, BDSG, 3. Aufl. 2015, § 35 Rn. 38). Dabei werden aber Verjährungsfristen bis zu 30 Jahren erörtert, während es meist nur um 1 (B2B-Frist bei Regelung in AGB) bis 2 Jahre (Frist für B2C und B2B ohne AGB) geht. Zumindest, wenn eine erhöhte Wahrscheinlichkeit für Gewährleistungen plausibel erscheint, kann man versuchen, eine Speicherdauer für diese Zeit zu begründen.
Anders ist dies natürlich bei Dauerverträgen, etwa Zugang zu einem geschlossenen Mitgliederbereich, hier werden die Kundendaten im Zweifel während der gesamten Dauer des Vertrags benötigt und beginnt erst ab Beendigung des Vertrages die Verpflichtung zur Sperrung oder Löschung der Daten.
4. Sperrung von Kundendaten
Dem entgegen stehen könnte aber § 35 Abs. 3 Nr. 1 BDSG, Danach müssen Daten nicht gelöscht, sondern nur gesperrt werden, wenn
„im Fall des Absatzes 2 Satz 2 Nr. 3 einer Löschung gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegenstehen“.
Das sind insbesondere die handels- und steuerrechtlichen Aufbewahrungsfristen.
Dann müssen die Daten aber immer noch gesperrt werden. Eine Sperrung ist dabei nur gegeben, wenn eine Lesbarkeit der Daten im Unternehmen nicht mehr ohne weiteres gegeben ist. So wird etwa die Langzeitarchivierung auf Magnetbändern, bei der die Daten in nicht lesbarer Form gespeichert werden, als ausreichend angesehen, weil dann eine Nutzung der Daten erst wieder möglich würde, wenn die Daten in ein lesbares System eingespielt werden (Spindler/Schuster/Nink, BDSG, § 35 Rn. 39).
5. Rechtsfolgen bei Verstoß gegen die Löschungspflicht
Wird gegen die Löschungspflicht nach § 35 BDSG verstoßen, liegt darin ein Verstoß gegen das BDSG, der jedoch zunächst folgenlos bleibt, weil sich allein an das weitere speichern der Daten keine Straftat oder Ordnungswidrigkeit anknüpft. Das bisher höchste Bußgeld in Deutschland nach der DSGVO ist gegen die Deutsche Wohnen verhängt worden: 14,5 Myop. Euro! Grund war ein nicht ausreichendes Löschkonzept für nicht mehr benötigte Daten. Klar, das wird bei Dir mutmaßlich kleiner ausfallen, aber selbst 0,1 % davon wären immer noch 14.500 Euro (sic!).
Anders wird dies, wenn eine weitere Verarbeitung dieser Daten erfolgt. Jede unzulässige Verarbeitung personenbezogener Daten außerhalb ihres ursprünglichen Zwecks, ist eine Ordnungswidrigkeit gem. § 43 Abs. 2 Nr. 1 BDSG, die mit einem Bußgeld bis zu 300.000 Euro geahndet werden kann.
Die von der unzulässigen Speicherung betroffene Person kann zudem gegenüber der speichernden Stelle ihre Rechte aus dem BDSG, insbesondere auf Korrektur, geltend machen.
Weiter kann sie auf Unterlassung und/oder Beseitigung des Eingriffs in ihr Recht auf informationelle Selbstbestimmung nach §§ 1004, 12 BGB klagen, sofern die Beeinträchtigung fortdauert. Soweit der betroffenen Person ein Schaden entstanden ist und die verantwortliche Stelle schuldhaft gehandelt hat, kann zusätzlich ein Anspruch auf Schadensersatz gem. § 823 Abs. 2 BGB i.V.m. § 35 BDSG in Betracht kommen.
6. Erläuterung Datenverarbeitung
Eine Verarbeitung von Daten ist nach § 3 Abs. 4 BDSG:
„das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten.
Im Einzelnen ist, ungeachtet der dabei angewendeten Verfahren:
- Speichern das Erfassen, Aufnehmen oder Aufbewahren personenbezogener Daten auf einem Datenträger zum Zweck ihrer weiteren Verarbeitung oder Nutzung,
- Verändern das inhaltliche Umgestalten gespeicherter personenbezogener Daten,
- Übermitteln das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten in der Weise, dass
• a) die Daten an den Dritten weitergegeben werden oder
• b) der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft,
4. Sperren das Kennzeichnen gespeicherter personenbezogener Daten, um ihre weitere Verarbeitung oder Nutzung einzuschränken,5.Löschen das Unkenntlichmachen gespeicherter personenbezogener Daten.“
7. Ergebnis
Im Ergebnis müssen Daten über einen Vertragsschluss 1 bis 2 Monate nach erfolgreicher Erfüllung des Vertrages gesperrt werden, sofern nicht konkret eine Auseinandersetzung droht. Dies kann durch eine Speicherung in nicht unmittelbar lesbarer Form geschehen. Gelöscht werden müssen dagegen alle Daten, die nicht von handels- und steuerrechtlichen Aufbewahrungsvorschriften gedeckt sind, etwa die Mail-Adresse des Kunden.
In der Datenschutzerklärung dürfen diese Grundsätze entsprechend dem Gebrauch in dem Unternehmen abgebildet werden. Eine allgemeine Angabe reicht jedoch aus. Sie könnte etwa so lauten:
„Wir erheben Bestandsdaten, also personenbezogene Daten des Nutzers nur, soweit sie für die Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses zwischen uns und dem Nutzer erforderlich sind.“
Ich habe auch ein günstigen Komplett-Schutz, inklusive Datenschutz-Generator. Dort muss Du Dir um all diese Dinge keine Sorgen machen.
Dr. Ronald Kandelhard, Rechtsanwalt und Mediator, Fachanwalt für Handels- und Gesellschaftsrecht. Ronald war lange Zeit an der Universität, in der Rechtsberatung von Staaten und als Rechtsanwalt tätig. Jetzt entwickelt er mit seinem Startup Paragraf7 automatisierte Lösungen für rechtliche Probleme von Unternehmen.
Pingback: DSGVO: Website als Unternehmen richtig betreiben - easyRechtssicher
Es gibt leider keine Abhandlung zu Speicherdauer von Videos, die im Fitness Studio gemacht werden.
mfg
Prawitt
Das kann ich mir vorstellen, wenn es um Überwachungsvideos geht sehr kurz, wenn überhaupt, wenn es um die Dokumentation vom Trainingsfortschritt geht,
sicher länger, das kommt dann auf den Zweck und die Einwilligung des Kunden an.
Führen Sie schü¨tzende Tiefenprüfungen von bislang unveröffentlichten Webseiten durch und wenn ja, zu welchem Preis
danke im Voraus
Mit freundlichen Grüssen Klaus Graffunder
Ich melde mich dazu.
Hallo,
ist es zulässig bei einer im Einzelhandel gekauften Ware bei deren Umtausch die persönlichen Daten verlangen zu dürfen? Der Händler hat auf die Herausgabe meines Namens und der Adresse bestanden. Ich habe dies abgelehnt und auf den Datenschutz vewiesen. Auf die Frage was mit meinen Daten geschieht konnte mir keine Antwort gegeben werden. Wie ist hier due Rechtlage?
Also die für die Rechnung erforderlichen Daten könnte er erheben dürfen, er muss ja die Auszahlung zuordnen. Von daher die unmittelbaren Rechnungsdaten wohl ja, wohl auch, wenn es ein Bargeschäft war. Aber ganz genau kenne ich die steuerlichen Vorschriften da auch nicht.
Hallo
Mein Unternehmen speichert persönliche Daten wie Name, Anschrift und Kontodaten über mehrere Jahre obwohl er keinen Vertrag mehr hat. Dies ist für jeden Mitarbeiter ersichtlich. Ist das erlaubt?
Hallo Kevin, das ist aus der Ferne schwer zu beurteilen. Klingt nicht ohne weiteres ok, aber manche Daten müssen bis zu 6 oder gar 10 jähre aufbewahrt werden.
Gibt es einen Zwang zur Kontolöschung in einem Sozialen Netzwerk, wenn das Konto über mehrere Jahre nicht mehr benutzt wurde. Ich bekam heute per Mail eine Aufforderung wegen der DSGVO mich erneut in einem Sozialen Netzwerk einzuloggen, weil sonst mein Konto verfalle. Wenn ja, wo finde ich die einschlägige Vorschrift?
Einen Zwang in einem laufenden Vertragsverhältnis gibt es nicht. Aber das Netzwerk kann natürlich eine gewisse Aktivität zur Voraussetzung machen.
Hallo,
darf ein Telekommunikationskonzern Daten eines 2012 abgeschlossenen Inkasso-Falles aus einem früheren Vertragsverhältnis bis heute aktiv abrufbar gespeichert haben?
eher nicht.
Hallo!
Gute Informationen!
Wie sieht es denn bei folgendem Szenario aus:
Person A hatte Schulden bei Bank B und hat erfolgreich ein Insolvenzverfahren durchlaufen und die Restschuldbefreiung erhalten.
Mit Erhalt der Restschuldbefreiung sollte das Geschäftsverhältnis zwischen Person A und Bank B somit beendet sein.
Wie lange darf Bank B nun noch Daten zu Person A speichern?
Danke für eine Antwort!
Das weiß ich leider auch nicht genau. Das kommt auch auf die Daten an, die gespeichert sind/bleiben….
Vielen Dank für die Rückmeldung!
Wie lange darf eine Versicherung Daten aufbewahren bei einer Anbahnung eines Geschäfts? Versicherung macht ein Angebot über ein Versicherungsvergleichsportal. Bei Zusendung des Angebotes ist dies abweichend von dem, was auf der Plattform stand. Privatperson lehnt das Angebot ab und begleicht auch die 1.Rechnung nicht. 3 Jahre später möchte die Privatperson wieder mit einem anderen Fahrzeug zu dieser Versicherung. Dieses Mal lehnt die Versicherung das Vertragsverhältnis ab und beruft sich auf diesen Vorgang vor 3 Jahren. Hier sind doch keine Aufbewahrungspflichten, oder? Es handelte sich doch um ein Anbahnungsgeschäft und noch keinen Vertrag. Somit müssten doch alle Daten gelöscht sein, oder?
Da hast Du recht, die sollten längst gelöscht sein.
Wie ist es in dem Fall, dass ein Abonnement abgeschlossen wurde, dann gekündigt.
Dürfte man der Person eine E-Mail schreiben a la „Hey schade, dass du gekündigt hast, wir haben noch weitere Produkte…“
Müsste man die E-Mail Adresse schon gelöscht haben?
Hallo Emma, das geht noch, wenn man denn die Einwilligung hat z.B. aus einem Double Opt In…