Das BDSG erlaubt in § 28 BDSG die Speicherung von Kundendaten für eigene Zwecke. Doch wie lange darf man Daten über ein Vertragsverhältnis mit einem Kunden speichern? Wann muss man sie löschen oder sperren und was geschieht, wenn man sie dennoch verarbeitet?
von Dr. jur. Ronald Kandelhard, Rechtsanwalt, Fachanwalt für Handels- und Gesellschaftsrecht
1. Einleitung: Datenschutzerklärung
Wie mit Kundendaten umzugehen ist, ist für jeden relevant, der Daten zu seinen Verträgen verarbeitet. Erfolgt die Erhebung dieser Daten auf einer Website, muss der Umgang mit diesen Daten auch in der Datenschutzerklärung angegeben werden. Zunächst geht es aber erst mal um die Reichweite der gesetzlichen Erlaubnis, die Daten von Kunden und aus Verträgen zu speichern.
2. Speicherung von Kundendaten
Nach § 28 Abs. 1 Nr. 1 BDSG ist die Speicherung von Daten zu eigenen Zwecken zulässig:
„wenn es für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist“.
Dabei ist der Grundsatz der Datensparsamkeit gem. § 3a BDSG zu beachten. Nur die Daten dürfen erhoben und gespeichert werden, die für diesen Zweck wirklich erforderlich sind.
Im Grundsatz ist die Speicherung der Vertragsdaten damit erst mal erlaubt (wer hat was, wo, für wieviel gekauft).
3. Löschung von Kundendaten
Solange mit den jeweiligen Kunden ein Vertragsverhältnis besteht, welches noch nicht endgültig abgewickelt ist, dürfen die Daten in jedem Fall gespeichert bleiben. Sobald die Daten aber nicht mehr zur Begründung, Ausgestaltung und Änderung des Vertragesverhältnisses erforderlich sind, weil das Vertragsverhältnis beendet ist und nachvertragliche Ansprüche nicht mehr in Betracht kommen, müssen die Daten zunächst gemäß § 35 Abs. 2 Nr. 3 BDSG gelöscht werden, weil der Zweck der Speicherung sich erledigt hat.
Da die gesetzliche Gewährleistungsfrist grundsätzlich 2 Jahre beträgt, sollte man meinen, dass so lange die Speicherung zulässig ist. Doch geht die Lehre davon aus, dass eine Speicherung wegen möglicher Gewährleistung nur erlaubt ist, wenn eine Auseinandersetzung mit hinreichender Wahrscheinlichkeit zu erwarten ist (Gola/Schomerus/Körffer/Gola/Klug, BDSG, 12. Aufl. 2015, § 35 Rn. 13a; Spindler/Schuster/Nink, BDSG, 3. Aufl. 2015, § 35 Rn. 38). Dabei werden aber Verjährungsfristen bis zu 30 Jahren erörtert, während es meist nur um 1 (B2B-Frist bei Regelung in AGB) bis 2 Jahre (Frist für B2C und B2B ohne AGB) geht. Zumindest, wenn eine erhöhte Wahrscheinlichkeit für Gewährleistungen plausibel erscheint, kann man versuchen, eine Speicherdauer für diese Zeit zu begründen.
Anders ist dies natürlich bei Dauerverträgen, etwa Zugang zu einem geschlossenen Mitgliederbereich, hier werden die Kundendaten im Zweifel während der gesamten Dauer des Vertrags benötigt und beginnt erst ab Beendigung des Vertrages die Verpflichtung zur Sperrung oder Löschung der Daten.
4. Sperrung von Kundendaten
Dem entgegen stehen könnte aber § 35 Abs. 3 Nr. 1 BDSG, Danach müssen Daten nicht gelöscht, sondern nur gesperrt werden, wenn
„im Fall des Absatzes 2 Satz 2 Nr. 3 einer Löschung gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegenstehen“.
Das sind insbesondere die handels- und steuerrechtlichen Aufbewahrungsfristen.
Dann müssen die Daten aber immer noch gesperrt werden. Eine Sperrung ist dabei nur gegeben, wenn eine Lesbarkeit der Daten im Unternehmen nicht mehr ohne weiteres gegeben ist. So wird etwa die Langzeitarchivierung auf Magnetbändern, bei der die Daten in nicht lesbarer Form gespeichert werden, als ausreichend angesehen, weil dann eine Nutzung der Daten erst wieder möglich würde, wenn die Daten in ein lesbares System eingespielt werden (Spindler/Schuster/Nink, BDSG, § 35 Rn. 39).
5. Rechtsfolgen bei Verstoß gegen die Löschungspflicht
Wird gegen die Löschungspflicht nach § 35 BDSG verstoßen, liegt darin ein Verstoß gegen das BDSG, der jedoch zunächst folgenlos bleibt, weil sich allein an das weitere speichern der Daten keine Straftat oder Ordnungswidrigkeit anknüpft. Das bisher höchste Bußgeld in Deutschland nach der DSGVO ist gegen die Deutsche Wohnen verhängt worden: 14,5 Myop. Euro! Grund war ein nicht ausreichendes Löschkonzept für nicht mehr benötigte Daten. Klar, das wird bei Dir mutmaßlich kleiner ausfallen, aber selbst 0,1 % davon wären immer noch 14.500 Euro (sic!).
Anders wird dies, wenn eine weitere Verarbeitung dieser Daten erfolgt. Jede unzulässige Verarbeitung personenbezogener Daten außerhalb ihres ursprünglichen Zwecks, ist eine Ordnungswidrigkeit gem. § 43 Abs. 2 Nr. 1 BDSG, die mit einem Bußgeld bis zu 300.000 Euro geahndet werden kann.
Die von der unzulässigen Speicherung betroffene Person kann zudem gegenüber der speichernden Stelle ihre Rechte aus dem BDSG, insbesondere auf Korrektur, geltend machen.
Weiter kann sie auf Unterlassung und/oder Beseitigung des Eingriffs in ihr Recht auf informationelle Selbstbestimmung nach §§ 1004, 12 BGB klagen, sofern die Beeinträchtigung fortdauert. Soweit der betroffenen Person ein Schaden entstanden ist und die verantwortliche Stelle schuldhaft gehandelt hat, kann zusätzlich ein Anspruch auf Schadensersatz gem. § 823 Abs. 2 BGB i.V.m. § 35 BDSG in Betracht kommen.
6. Erläuterung Datenverarbeitung
Eine Verarbeitung von Daten ist nach § 3 Abs. 4 BDSG:
„das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten.
Im Einzelnen ist, ungeachtet der dabei angewendeten Verfahren:
- Speichern das Erfassen, Aufnehmen oder Aufbewahren personenbezogener Daten auf einem Datenträger zum Zweck ihrer weiteren Verarbeitung oder Nutzung,
- Verändern das inhaltliche Umgestalten gespeicherter personenbezogener Daten,
- Übermitteln das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten in der Weise, dass
• a) die Daten an den Dritten weitergegeben werden oder
• b) der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft,
4. Sperren das Kennzeichnen gespeicherter personenbezogener Daten, um ihre weitere Verarbeitung oder Nutzung einzuschränken,5.Löschen das Unkenntlichmachen gespeicherter personenbezogener Daten.“
7. Ergebnis
Im Ergebnis müssen Daten über einen Vertragsschluss 1 bis 2 Monate nach erfolgreicher Erfüllung des Vertrages gesperrt werden, sofern nicht konkret eine Auseinandersetzung droht. Dies kann durch eine Speicherung in nicht unmittelbar lesbarer Form geschehen. Gelöscht werden müssen dagegen alle Daten, die nicht von handels- und steuerrechtlichen Aufbewahrungsvorschriften gedeckt sind, etwa die Mail-Adresse des Kunden.
In der Datenschutzerklärung dürfen diese Grundsätze entsprechend dem Gebrauch in dem Unternehmen abgebildet werden. Eine allgemeine Angabe reicht jedoch aus. Sie könnte etwa so lauten:
„Wir erheben Bestandsdaten, also personenbezogene Daten des Nutzers nur, soweit sie für die Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses zwischen uns und dem Nutzer erforderlich sind.“
Ich habe auch ein günstigen Komplett-Schutz, inklusive Datenschutz-Generator. Dort muss Du Dir um all diese Dinge keine Sorgen machen.
Dr. Ronald Kandelhard, Rechtsanwalt und Mediator, Fachanwalt für Handels- und Gesellschaftsrecht. Ronald war lange Zeit an der Universität, in der Rechtsberatung von Staaten und als Rechtsanwalt tätig. Jetzt entwickelt er mit seinem Startup Paragraf7 automatisierte Lösungen für rechtliche Probleme von Unternehmen.
Pingback: DSGVO: Website als Unternehmen richtig betreiben - easyRechtssicher