Wie lange darf man Vertrags- und Kundendaten speichern?

easyRechtssicher-DSGVO-Kundendaten

Das BDSG erlaubt in § 28 BDSG die Speicherung von Kundendaten für eigene Zwecke. Doch wie lange darf man Daten über ein Vertragsverhältnis mit einem Kunden speichern? Wann muss man sie löschen oder sperren und was geschieht, wenn man sie dennoch verarbeitet?

von Dr. jur. Ronald Kandelhard, Rechtsanwalt, Fachanwalt für Handels- und Gesellschaftsrecht

1. Einleitung: Datenschutzerklärung

Wie mit Kundendaten umzugehen ist, ist für jeden relevant, der Daten zu seinen Verträgen verarbeitet. Erfolgt die Erhebung dieser Daten auf einer Website, muss der Umgang mit diesen Daten auch in der Datenschutzerklärung angegeben werden. Zunächst geht es aber erst mal um die Reichweite der gesetzlichen Erlaubnis, die Daten von Kunden und aus Verträgen zu speichern.

2. Speicherung

Nach § 28 Abs. 1 Nr. 1 BDSG ist die Speicherung von Daten zu eigenen Zwecken zulässig:

„wenn es für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist“.

Dabei ist der Grundsatz der Datensparsamkeit gem. § 3a BDSG zu beachten. Nur die Daten dürfen erhoben und gespeichert werden, die für diesen Zweck wirklich erforderlich sind.

Im Grundsatz ist die Speicherung der Vertragsdaten damit erst mal erlaubt (wer hat was, wo, für wieviel gekauft).

3. Löschung

Solange mit den jeweiligen Kunden ein Vertragsverhältnis besteht, welches noch nicht endgültig abgewickelt ist, dürfen die Daten in jedem Fall gespeichert bleiben. Sobald die Daten aber nicht mehr zur Begründung, Ausgestaltung und Änderung des Vertragesverhältnisses erforderlich sind, weil das Vertragsverhältnis beendet ist und nachvertragliche Ansprüche nicht mehr in Betracht kommen, müssen die Daten zunächst gemäß § 35 Abs. 2 Nr. 3 BDSG gelöscht werden, weil der Zweck der Speicherung sich erledigt hat.

Da die gesetzliche Gewährleistungsfrist grundsätzlich 2 Jahre beträgt, sollte man meinen, dass so lange die Speicherung zulässig ist. Doch geht die Lehre davon aus, dass eine Speicherung wegen möglicher Gewährleistung nur erlaubt ist, wenn eine Auseinandersetzung mit hinreichender Wahrscheinlichkeit zu erwarten ist (Gola/Schomerus/Körffer/Gola/Klug, BDSG, 12. Aufl. 2015, § 35 Rn. 13a; Spindler/Schuster/Nink,  BDSG, 3. Aufl. 2015, § 35 Rn. 38). Dabei werden aber Verjährungsfristen bis zu 30 Jahren erörtert, während es meist nur um 1 (B2B-Frist bei Regelung in AGB) bis 2 Jahre (Frist für B2C und B2B ohne AGB) geht. Zumindest, wenn eine erhöhte Wahrscheinlichkeit für Gewährleistungen plausibel erscheint, kann man versuchen, eine Speicherdauer für diese Zeit zu begründen.

Anders ist dies natürlich bei Dauerverträgen, etwa Zugang zu einem geschlossenen Mitgliederbereich, hier werden die Kundendaten im Zweifel während der gesamten Dauer des Vertrags benötigt und beginnt erst ab Beendigung des Vertrages die Verpflichtung zur Sperrung oder Löschung der Daten.

4. Sperrung

Dem entgegen stehen könnte aber § 35 Abs. 3 Nr. 1 BDSG, Danach müssen Daten nicht gelöscht, sondern nur gesperrt werden, wenn

„im Fall des Absatzes 2 Satz 2 Nr. 3 einer Löschung gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegenstehen“.

Das sind insbesondere die handels- und steuerrechtlichen Aufbewahrungsfristen.

Dann müssen die Daten aber immer noch gesperrt werden. Eine Sperrung ist dabei nur gegeben, wenn eine Lesbarkeit der Daten im Unternehmen nicht mehr ohne weiteres gegeben ist.  So wird etwa die Langzeitarchivierung auf Magnetbändern, bei der die Daten in nicht lesbarer Form gespeichert werden, als ausreichend angesehen, weil dann eine Nutzung der Daten erst wieder möglich würde, wenn die Daten in ein lesbares System eingespielt werden (Spindler/Schuster/Nink, BDSG, § 35 Rn. 39).

5. Rechtsfolgen bei Verstoß gegen die Löschungspflicht

Wird gegen die Löschungspflicht nach § 35 BDSG verstoßen, liegt darin ein Verstoß gegen das BDSG, der jedoch zunächst folgenlos bleibt, weil sich allein an das weitere speichern der Daten keine Straftat oder Ordnungswidrigkeit anknüpft.

Anders wird dies, wenn eine weitere Verarbeitung dieser Daten erfolgt. Jede unzulässige Verarbeitung personenbezogener Daten außerhalb ihres ursprünglichen Zwecks, ist eine Ordnungswidrigkeit gem. § 43 Abs. 2 Nr. 1 BDSG, die mit einem Bußgeld bis zu 300.000 Euro geahndet werden kann.

Die von der unzulässigen Speicherung betroffene Person kann zudem  gegenüber der speichernden Stelle ihre Rechte aus dem BDSG, insbesondere auf Korrektur, geltend machen.

Weiter kann sie auf Unterlassung und/oder Beseitigung des Eingriffs in ihr Recht auf informationelle Selbstbestimmung nach §§ 1004, 12 BGB klagen, sofern die Beeinträchtigung fortdauert. Soweit der betroffenen Person ein Schaden entstanden ist und die verantwortliche Stelle schuldhaft gehandelt hat, kann zusätzlich ein Anspruch auf Schadensersatz gem. § 823 Abs. 2 BGB i.V.m. § 35 BDSG in Betracht kommen.

6. Erläuterung Datenverarbeitung

Eine Verarbeitung von Daten ist nach § 3 Abs. 4 BDSG:

„das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten.

Im Einzelnen ist, ungeachtet der dabei angewendeten Verfahren:

  1. Speichern das Erfassen, Aufnehmen oder Aufbewahren personenbezogener Daten auf einem Datenträger zum Zweck ihrer weiteren Verarbeitung oder Nutzung,
  2. Verändern das inhaltliche Umgestalten gespeicherter personenbezogener Daten,
  3. Übermitteln das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten in der Weise, dass

• a) die Daten an den Dritten weitergegeben werden oder
• b) der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft,
4. Sperren das Kennzeichnen gespeicherter personenbezogener Daten, um ihre weitere Verarbeitung oder Nutzung einzuschränken,5.Löschen das Unkenntlichmachen gespeicherter personenbezogener Daten.“

7. Ergebnis

Im Ergebnis müssen Daten über einen Vertragsschluss 1 bis 2 Monate nach erfolgreicher Erfüllung des Vertrages gesperrt werden, sofern nicht konkret eine Auseinandersetzung droht. Dies kann durch eine Speicherung in nicht unmittelbar lesbarer Form geschehen.  Gelöscht werden müssen dagegen alle Daten, die nicht von handels- und steuerrechtlichen Aufbewahrungsvorschriften gedeckt sind, etwa die Mail-Adresse des Kunden.

In der Datenschutzerklärung dürfen diese Grundsätze entsprechend dem Gebrauch in dem Unternehmen abgebildet werden. Eine allgemeine Angabe reicht jedoch aus. Sie könnte etwa so lauten:

„Wir erheben Bestandsdaten, also personenbezogene Daten des Nutzers nur, soweit sie für die Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses zwischen uns und dem Nutzer erforderlich sind.“

Dr. Ronald Kandelhard, Rechtsanwalt und Mediator, Fachanwalt für Handels- und Gesellschaftsrecht. Ronald war lange Zeit an der Universität, in der Rechtsberatung von Staaten und als Rechtsanwalt tätig. Jetzt entwickelt er mit seinem Startup Paragraf7 automatisierte Lösungen für rechtliche Probleme von Unternehmen.

7 Kommentare

  1. Pingback: DSGVO: Website als Unternehmen richtig betreiben - easyRechtssicher

  2. Es gibt leider keine Abhandlung zu Speicherdauer von Videos, die im Fitness Studio gemacht werden.

    mfg
    Prawitt

    • Dr. Ronald Kandelhard

      Das kann ich mir vorstellen, wenn es um Überwachungsvideos geht sehr kurz, wenn überhaupt, wenn es um die Dokumentation vom Trainingsfortschritt geht,
      sicher länger, das kommt dann auf den Zweck und die Einwilligung des Kunden an.

  3. Führen Sie schü¨tzende Tiefenprüfungen von bislang unveröffentlichten Webseiten durch und wenn ja, zu welchem Preis
    danke im Voraus
    Mit freundlichen Grüssen Klaus Graffunder

  4. Hallo,
    ist es zulässig bei einer im Einzelhandel gekauften Ware bei deren Umtausch die persönlichen Daten verlangen zu dürfen? Der Händler hat auf die Herausgabe meines Namens und der Adresse bestanden. Ich habe dies abgelehnt und auf den Datenschutz vewiesen. Auf die Frage was mit meinen Daten geschieht konnte mir keine Antwort gegeben werden. Wie ist hier due Rechtlage?

    • Dr. Ronald Kandelhard

      Also die für die Rechnung erforderlichen Daten könnte er erheben dürfen, er muss ja die Auszahlung zuordnen. Von daher die unmittelbaren Rechnungsdaten wohl ja, wohl auch, wenn es ein Bargeschäft war. Aber ganz genau kenne ich die steuerlichen Vorschriften da auch nicht.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.