Das BDSG erlaubt in § 28 BDSG die Speicherung von Kundendaten für eigene Zwecke. Doch wie lange darf man Daten über ein Vertragsverhältnis mit einem Kunden speichern? Wann muss man sie löschen oder sperren und was geschieht, wenn man sie dennoch verarbeitet? von Dr. jur. Ronald Kandelhard, Rechtsanwalt, Fachanwalt für Handels- und Gesellschaftsrecht, letztes Update am 14.10.2021
1. Einleitung: Datenschutzerklärung
Wie mit Kundendaten umzugehen ist, ist für jeden relevant, der Daten zu seinen Verträgen verarbeitet. Erfolgt die Erhebung dieser Daten auf einer Website, muss der Umgang mit diesen Daten auch in der Datenschutzerklärung angegeben werden. Zunächst geht es aber erst mal um die Reichweite der gesetzlichen Erlaubnis, die Daten von Kunden und aus Verträgen zu speichern.
2. Speicherung von Kundendaten
Nach Art. 5 Abs. 1 lit. e DSGVO ist die Speicherung von Daten nur so lange zulässig,
„wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist;“.
Dabei ist der Grundsatz der Datensparsamkeit gem. Art. 5 Abs. 1 lit. c DSGVO zu beachten. Nur die Daten dürfen erhoben und gespeichert werden, die für diesen Zweck wirklich erforderlich sind. Im Grundsatz ist die Speicherung der Vertragsdaten damit erst mal erlaubt (wer hat was, wo, für wieviel gekauft).
3. Löschung von Kundendaten
Solange mit den jeweiligen Kunden ein Vertragsverhältnis besteht, welches noch nicht endgültig abgewickelt ist, dürfen die Daten in jedem Fall gespeichert bleiben. Sobald die Daten aber nicht mehr zur Begründung, Ausgestaltung und Änderung des Vertragsverhältnisses erforderlich sind, weil das Vertragsverhältnis beendet ist und nachvertragliche Ansprüche nicht mehr in Betracht kommen, müssen die Daten zunächst gemäß Art. 17 Abs. 1 lit. a DSGVO gelöscht werden, weil der Zweck der Speicherung sich erledigt hat. Da die gesetzliche Gewährleistungsfrist grundsätzlich 2 Jahre beträgt, sollte man meinen, dass so lange die Speicherung zulässig ist. Doch gehen Teile de Lehre davon aus, dass eine Speicherung wegen möglicher Gewährleistung nur erlaubt ist, wenn eine Auseinandersetzung mit hinreichender Wahrscheinlichkeit zu erwarten ist (Simitis/Hornung/Spiecker gen. Döhmann/Dix, Art. 17 DSGVO Rn. 38). Dabei werden aber Verjährungsfristen bis zu 30 Jahren erörtert, während es meist nur um 1 (B2B-Frist bei Regelung in AGB) bis 2 Jahre (Frist für B2C und B2B ohne AGB) geht. Zumindest, wenn eine erhöhte Wahrscheinlichkeit für Gewährleistungen plausibel erscheint, kann man versuchen, eine Speicherdauer für diese Zeit zu begründen. Anders ist dies natürlich bei Dauerverträgen, etwa Zugang zu einem geschlossenen Mitgliederbereich, hier werden die Kundendaten im Zweifel während der gesamten Dauer des Vertrags benötigt und beginnt erst ab Beendigung des Vertrages die Verpflichtung zur Sperrung oder Löschung der Daten. … nach denen im Wege einer Interessenabwägung ermittelt werden müsse, ob die weitere Verarbeitung gerechtfertigt sei, was davon abhänge, wie wahrscheinlich es ist, dass Ansprüche geltend gemacht werden, welche Bedeutung diese Ansprüche möglicherweise haben könnten und inwieweit die Interessen der betroffenen Person durch die weitere Speicherung der Daten beeinträchtigt werden.
4. Sperrung von Kundendaten
Dem entgegen stehen könnte aber § 35 Abs. 3 BDSG in Verbindung mit Art. 18 DSGVO. Danach müssen Daten nicht gelöscht, sondern nur gesperrt werden, wenn
„einer Löschung satzungsgemäße oder vertragliche Aufbewahrungsfristen entgegenstehen.“.
Das sind insbesondere die handels- und steuerrechtlichen Aufbewahrungsfristen. Dann müssen die Daten aber immer noch gesperrt werden. Eine Sperrung ist dabei nur gegeben, wenn eine Lesbarkeit der Daten im Unternehmen nicht mehr ohne weiteres gegeben ist. So wird etwa die Langzeitarchivierung auf Magnetbändern, bei der die Daten in nicht lesbarer Form gespeichert werden, als ausreichend angesehen, weil dann eine Nutzung der Daten erst wieder möglich würde, wenn die Daten in ein lesbares System eingespielt werden (Spindler/Schuster/Nink, BDSG, § 35 Rn. 39).
5. Rechtsfolgen bei Verstoß gegen die Löschungspflicht
Wird gegen die Löschungspflicht nach Art. 17 DSGVO verstoßen, liegt darin ein Verstoß gegen die DSGVO, der grundsätzlich bußgeldbewährt ist. Die Höhe des Bußgeldes beträgt bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher der Beträge höher ist (Art. 83 Abs. 5 lit. b DSGVO). Dass solche Bußgeldhöhen tatsächlich erreicht werden können, hat sich bereits herausgestellt. Das bisher höchste Bußgeld in Deutschland nach der DSGVO ist gegen die Deutsche Wohnen verhängt worden: 14,5 Mio. Euro! Grund war ein nicht ausreichendes Löschkonzept für nicht mehr benötigte Daten. Klar, das wird bei Dir mutmaßlich kleiner ausfallen, aber selbst 0,1 % davon wären immer noch 14.500 Euro (sic!). Update: Inzwischen ist das Verfahren gegen die Deutsche Wohnen zwar vom LG Berlin eingestellt worden (LG Berlin, Beschluss vom 18. Februar 2021 – (526 OWi LG) 212 Js-OWi 1/20 (1/20). Zur Höhe des Bußgeldes hat das LG Berlin jedoch nichts entschieden, d.h. Bußgelder in dieser Höhe bleiben möglich. Das Verfahren wurde allein deshalb eingestellt, weil der Bußgeldbescheid fehlerhaft war (er wurde an die Deutsche Wohnen als juristische Person gerichtet, während nach Auffassung des LG Berlin nur natürliche Personen Adressaten eines Bußgeldbescheides sein können). Die von der unzulässigen Speicherung betroffene Person kann zudem gegenüber der speichernden Stelle ihre Rechte aus dem BDSG, insbesondere auf Korrektur, geltend machen. Weiter kann sie auf Unterlassung und/oder Beseitigung des Eingriffs in ihr Recht auf informationelle Selbstbestimmung nach §§ 1004, 12 BGB klagen, sofern die Beeinträchtigung fortdauert. Soweit der betroffenen Person ein Schaden entstanden ist und die verantwortliche Stelle schuldhaft gehandelt hat, kann zusätzlich ein Anspruch auf Schadensersatz gem. Art. 82 Abs. 1 DSGV, bzw. § 823 Abs. 2 BGB i.V.m. Art. 17 DSGVO in Betracht kommen.
6. Erläuterung Datenverarbeitung
Eine Verarbeitung von Daten bezeichnet nach Art. 4 Nr. 2 DSGVO:
„ Jede mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung“
Im Einzelnen ist, ungeachtet der dabei angewendeten Verfahren:
- Speichern das Erfassen, Aufnehmen oder Aufbewahren personenbezogener Daten auf einem Datenträger zum Zweck ihrer weiteren Verarbeitung oder Nutzung,
- Verändern das inhaltliche Umgestalten gespeicherter personenbezogener Daten,
- Übermitteln das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten in der Weise, dass
- a) die Daten an den Dritten weitergegeben werden oder
- b) der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft,4. Sperren das Kennzeichnen gespeicherter personenbezogener Daten, um ihre weitere Verarbeitung oder Nutzung einzuschränken,5.Löschen das Unkenntlichmachen gespeicherter personenbezogener Daten.“
7. Ergebnis
Im Ergebnis müssen Daten über einen Vertragsschluss 1 bis 2 Monate nach erfolgreicher Erfüllung des Vertrages gesperrt werden, sofern nicht konkret eine Auseinandersetzung droht. Dies kann durch eine Speicherung in nicht unmittelbar lesbarer Form geschehen. Gelöscht werden müssen dagegen alle Daten, die nicht von handels- und steuerrechtlichen Aufbewahrungsvorschriften gedeckt sind, etwa die Mail-Adresse des Kunden. In der Datenschutzerklärung dürfen diese Grundsätze entsprechend dem Gebrauch in dem Unternehmen abgebildet werden. Eine allgemeine Angabe reicht jedoch aus. Sie könnte etwa so lauten: „Wir erheben Bestandsdaten, also personenbezogene Daten des Nutzers nur, soweit sie für die Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses zwischen uns und dem Nutzer erforderlich sind.“ Ich habe auch ein günstigen Komplett-Schutz, inklusive Datenschutz-Generator. Dort muss Du Dir um all diese Dinge keine Sorgen machen. Ich habe auch ein günstigen Komplett-Schutz, inklusive Datenschutz-Generator. Dort muss Du Dir um all diese Dinge keine Sorgen machen.
Dr. Ronald Kandelhard, Rechtsanwalt und Mediator, Fachanwalt für Handels- und Gesellschaftsrecht. Ronald war lange Zeit an der Universität, in der Rechtsberatung von Staaten und als Rechtsanwalt tätig. Jetzt entwickelt er mit seinem Startup Paragraf7 automatisierte Lösungen für rechtliche Probleme von Unternehmen.
Pingback: DSGVO: Website als Unternehmen richtig betreiben - easyRechtssicher
Es gibt leider keine Abhandlung zu Speicherdauer von Videos, die im Fitness Studio gemacht werden.
mfg
Prawitt
Das kann ich mir vorstellen, wenn es um Überwachungsvideos geht sehr kurz, wenn überhaupt, wenn es um die Dokumentation vom Trainingsfortschritt geht,
sicher länger, das kommt dann auf den Zweck und die Einwilligung des Kunden an.
Führen Sie schü¨tzende Tiefenprüfungen von bislang unveröffentlichten Webseiten durch und wenn ja, zu welchem Preis
danke im Voraus
Mit freundlichen Grüssen Klaus Graffunder
Ich melde mich dazu.
Hallo,
ist es zulässig bei einer im Einzelhandel gekauften Ware bei deren Umtausch die persönlichen Daten verlangen zu dürfen? Der Händler hat auf die Herausgabe meines Namens und der Adresse bestanden. Ich habe dies abgelehnt und auf den Datenschutz vewiesen. Auf die Frage was mit meinen Daten geschieht konnte mir keine Antwort gegeben werden. Wie ist hier due Rechtlage?
Also die für die Rechnung erforderlichen Daten könnte er erheben dürfen, er muss ja die Auszahlung zuordnen. Von daher die unmittelbaren Rechnungsdaten wohl ja, wohl auch, wenn es ein Bargeschäft war. Aber ganz genau kenne ich die steuerlichen Vorschriften da auch nicht.
Hallo
Mein Unternehmen speichert persönliche Daten wie Name, Anschrift und Kontodaten über mehrere Jahre obwohl er keinen Vertrag mehr hat. Dies ist für jeden Mitarbeiter ersichtlich. Ist das erlaubt?
Hallo Kevin, das ist aus der Ferne schwer zu beurteilen. Klingt nicht ohne weiteres ok, aber manche Daten müssen bis zu 6 oder gar 10 jähre aufbewahrt werden.
Gibt es einen Zwang zur Kontolöschung in einem Sozialen Netzwerk, wenn das Konto über mehrere Jahre nicht mehr benutzt wurde. Ich bekam heute per Mail eine Aufforderung wegen der DSGVO mich erneut in einem Sozialen Netzwerk einzuloggen, weil sonst mein Konto verfalle. Wenn ja, wo finde ich die einschlägige Vorschrift?
Einen Zwang in einem laufenden Vertragsverhältnis gibt es nicht. Aber das Netzwerk kann natürlich eine gewisse Aktivität zur Voraussetzung machen.
Hallo,
darf ein Telekommunikationskonzern Daten eines 2012 abgeschlossenen Inkasso-Falles aus einem früheren Vertragsverhältnis bis heute aktiv abrufbar gespeichert haben?
eher nicht.
Hallo!
Gute Informationen!
Wie sieht es denn bei folgendem Szenario aus:
Person A hatte Schulden bei Bank B und hat erfolgreich ein Insolvenzverfahren durchlaufen und die Restschuldbefreiung erhalten.
Mit Erhalt der Restschuldbefreiung sollte das Geschäftsverhältnis zwischen Person A und Bank B somit beendet sein.
Wie lange darf Bank B nun noch Daten zu Person A speichern?
Danke für eine Antwort!
Das weiß ich leider auch nicht genau. Das kommt auch auf die Daten an, die gespeichert sind/bleiben….
Vielen Dank für die Rückmeldung!
Wie lange darf eine Versicherung Daten aufbewahren bei einer Anbahnung eines Geschäfts? Versicherung macht ein Angebot über ein Versicherungsvergleichsportal. Bei Zusendung des Angebotes ist dies abweichend von dem, was auf der Plattform stand. Privatperson lehnt das Angebot ab und begleicht auch die 1.Rechnung nicht. 3 Jahre später möchte die Privatperson wieder mit einem anderen Fahrzeug zu dieser Versicherung. Dieses Mal lehnt die Versicherung das Vertragsverhältnis ab und beruft sich auf diesen Vorgang vor 3 Jahren. Hier sind doch keine Aufbewahrungspflichten, oder? Es handelte sich doch um ein Anbahnungsgeschäft und noch keinen Vertrag. Somit müssten doch alle Daten gelöscht sein, oder?
Da hast Du recht, die sollten längst gelöscht sein.
Wie ist es in dem Fall, dass ein Abonnement abgeschlossen wurde, dann gekündigt.
Dürfte man der Person eine E-Mail schreiben a la „Hey schade, dass du gekündigt hast, wir haben noch weitere Produkte…“
Müsste man die E-Mail Adresse schon gelöscht haben?
Hallo Emma, das geht noch, wenn man denn die Einwilligung hat z.B. aus einem Double Opt In…
Hallo, darf ich Kontodaten (Name, IBAN etc.) von Kunden die bereits ein Kundenkonto haben und darüber bestellt haben, speichern um diesen die Zahlung zu erleichtern?
Ja 🙂 das muss dann nur in Deinen AGB z.B. entsprechend vermerkt sein in einer Datenschutzklausel – wie sie etwa alle AGB und Verträge von easyContracts.de enthalten.
Guten Tag Herr Dr. Kandelhard,
ich hatte im Februar 2020 den online-Vermittler
remind.me gebeten, ein Angebot für mich bei einem anderen Stromanbieter als Vattenfall einzuholen.
Dieses Angebot wurde von remind.me in einen direkten Vertrag mit einem neuen Anbieter gewandelt und in meinem Namen dort ein Vertrag abgeschlossen.
Dieses war von mir erstmal nicht beabsichtigt.
Mein Stromanbieter Vattenfall machte mir gleichzeitig ein identisches Angebot, somit blieb ich dort Vertragspartner, widersprach dem Vertrag des neuen Anbieters. Gleichzeitig leitete ich einen Widerruf an remind.me mit der Maßgabe, nicht mehr für mich tätig zu werden und mich künftig auch nicht mehr zu kontaktieren.
Einige e-mails kamen dann doch noch in 2020.
MitSchreiben vom 4.10.2021, teilte mir Vattenfall mit, dass ich meinen Vertrag dort gekündigt hätte und nun zu Eon wechsle.
Dieser Wechsel wurde ohne mein Wissen durch remin.me veranlasst.
Man bediente sich dort meiner alten Daten trotz Kündigung meiner geschäftlichen Beziehungen und Widerruf derselben nach dorthin.
Besteht eine Möglichkeit diesen unlauteren Geschäften dieses Unternehmens einen Riegel vorzuschieben?
Herzlichen Dank für Ihre Bemühungen.
Pingback: Bewerbung und Datenschutz – So gehst Du als Unternehmer richtig mit Bewerberdaten um - easyRechtssicher
Hallo, ich habe letztes Jahr eine Online-Apotheke aufgefordert mein Konto und meine Daten zu löschen. Es gab ein Bestätigungsmail gegeben. Heute erhalte ich ein Werbemail. Aus Neugierde habe ich ein Produkt in das Warenkorb gelegt und schau mal einer an – wurde automatisch an die Kasse weitergeleitet.
Das ist unerhört, das ist eine Missachtung der Gesetze und des Willen des Verbrauchers. Wie gehe ich vor und welche Konsequenzen kann ich nun anwenden?
Guten Tag,
ich habe meiner Versicherung gekündigt da sie mir keine Unterlagen vorweisen konnten aus denen ich angeblich einer
Vertragsverlängerung um 36 Monate zugestimmt haben soll.
Demnach habe ich gemäß dem mir zustehenden Recht auf Erteilung der AUSKUNFT über die gespeicherten Daten von mir angefordert, die sodann unterschriebene Dokumente enthalten sollten. Darauf haben sie mit nichtstun reagiert. Könnten Sie nunmehr kostenpflichtig gegen meine Versicherung vorgehen, sobald meine Frist abgelaufen ist ?
Wir sind kein Anwaltsbüro. Viel Erfolg mit Deinem Anliegen.
Hallo, es sind möglicherweise Daten von mir bei dem Angriff auf ein Rechenzentrum im Februar geklaut worden. Nach Rücksprache mit dem IT-Dienstleister, der mich jetzt angeschrieben hat, ist mir gesagt worden, dass es sich um Daten einer in meinem Fall Berufsunfähigkeitsversicherung handelt, die aber bereits 2003 gekündigt wurde. War es rechtens so lange Daten aufzubewahren oder hätten die zumindest gesperrt werden müssen? Wären sie dann vor einem Angriff geschützter gewesen? Danke für Ihre Antwort
Das ist ziemlich sicher unzulässig gewesen, ja. Genau dafür sieht die DSGVO privacy by design vor. Weniger Daten, weniger Risiko.
Guten Tag,
wenn die Satzung eines bundesweit organisierten Vereins unterschiedliche Zuständigkeiten hinsichtlich der Aufnahme von Mitgliedern bei Neu- und Wiedereintritten vorsieht, muss meiner Meinung nach die Möglichkeit bestehen, die Daten von Mitgliedern auch länger als 10 Jahre aufzubewahren.
Nur dann ist es möglich zu entscheiden, wer für die Beschlussfassung zuständig ist. Dies ist in meinen Augen das berechtigte Interesse, was eine Speicherung von Daten über die zweckgebundene Nutzung erlaubt.
Sehe ich das richtig?
Man könnte weiter fragen, ob die Differenzierung ihrerseits erforderlich ist, aber das ist auf jeden Fall ein Argument für eine lange Speicherung.
Hallo Herr Kandelhard,
zunächst vielen Dank für die Eröffnung dieses Blogs.
Ich habe in England meine Privatinsolvenz durchlaufen („…was dischared from his Bankruptcy on 20 November 2013).
Wie lange dürfen meine Daten bei meinen ehemaligen und entsprechend informierten Banken in Deutschland gespeichert werden, um dort ggf. eine erneute, „frische“ Geschäftsbeziehung zu beantragen?
Viele Grüße
Das müsste man mit den Fristen nach dem Insolvenzrecht überprüfen.
Hallo Herr Kandelhard,
Tickets für eine Veranstaltung gekauft beim Ticketbank – ist ein Ticketservice vom Veranstalter in Deutschland und Europa. Diese wurde seit 2020 mehrfach verschoben. Bis heute keine Rückerstattung trotz mehrfacher Zusage erhalten, Original Tickets im Januar 2023 zurück gesandt. Alle Bestellungen auf meinem Account bzw. Kundenkonto wurden von der Firma gelöscht.Fazit: keine Eintrittskarten, kein Geld, kein Bestelldaten auf meinem Kundenkonto.Darf Anbieter ohne Erlaubnis meine Bestellungsdaten löschen? Danke für Ihre Mühe.
Nun ja, das ändert jedenfalls nichts an der Verpflichtung zur Rückerstattung, obwohl da wahrscheinlich bald auch Verjährung eintreten könnte.