Löschpflichten für ungenutzte Kundenkonten im Online-Shop nach der DSGVO?
Die DSGVO räumt Betroffenen ein elementares Recht auf Vergessenwerden ein, mit dem auf Antrag beim Verantwortlichen die Löschung aller dort verarbeiteten Daten beantragt werden kann. Zur effektiven Rechtsdurchsetzung sind Verantwortliche aber auch initiativ und von sich aus verpflichtet, Datenlöschungen zu bewirken, wenn der Löschung keine gesetzlich anerkannten Hinderungsgründe entgegenstehen. Online-Händlern stellt sich vor diesem Hintergrund die Frage, wie die Löschungsanforderungen in Bezug auf ungenutzte Kundenkonten umzusetzen sind. Nachfolgend gibt die IT-Recht Kanzlei Antwort.
Inhaltsverzeichnis
I. Eigenständige Löschpflicht für ungenutzte Kundenkonten?
Nach Art. 17 DSGVO müssen Verantwortliche die Löschung personenbezogener Daten nicht erst auf Antrag eines Betroffenen vornehmen, sondern unter anderem bereits dann eigeninitiativ unverzüglich zur Löschung schreiten, wenn Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind.
Vor diesem Hintergrund stellt sich die Frage, wie mit Kundenkonten zu verfahren ist, die für einen längeren Zeitraum ungenutzt geblieben sind. Immerhin sind in diesen eine Vielzahl personenbezogener Daten hinterlegt, zu deren eigenständiger Löschung Händler sich bei einer längeren Inaktivität zur Löschung veranlasst sehen könnten.
Maßgeblich für die Beurteilung ist der mit der Einrichtung eines Kundenkontos verfolgte Zweck. Dieser besteht darin, zukünftige potenzielle Bestellabwicklungen durch eine zentrale Hinterlegung von vertraglich erforderlichen Informationen des Kunden zu vereinfachen und zu beschleunigen.
Dieser Zweck entfällt aber nicht bereits bei einer längerfristigen Inaktivität, da davon auszugehen ist, dass der Kunde mit der Einrichtung eines Kundenkontos auf zukünftige Vertragsschlüsse mit dem Händler hinwirken wollte. Die bloße Nichtbenutzung eines Kundenkontos über längere Zeit lässt aber keinen vernünftigen Rückschluss darauf zu, ob der Kunde das eingerichtete Konto nicht dennoch irgendwann für eine Bestellung wird nutzen wollen. Der bloße Zeitablauf lässt also den verfolgten Zweck nicht entfallen, weil ein fehlender zukünftiger Kontrahierungswille auch inaktiven Kunden nicht pauschal unterstellt werden kann.
Eine eigenständige Löschung inaktiver Kundenkonten ist daher vom Händler grundsätzlich nie zu bewirken. Auch Zeiträume fehlender Aktivität von einem Jahr oder mehr rechtfertigen nach Ansicht der IT-Recht Kanzlei kein Entfallen des mit der ursprünglichen Einrichtung verfolgten Zwecks.
Etwas anderes dürfte allenfalls dann gelten, wenn der Händler nachvollziehen kann, dass sich derselbe Kunde unter einer anderen Mailadresse ein zweites Kundenkonto eingerichtet hat, auf dem er fortan aktiv ist. Hieraus lässt sich ein hinreichender Wille des Kunden ableiten, das originäre Konto nicht für künftige Bestellungen nutzen zu wollen. Im Zeitpunkt der ersten Bestellung desselben Kunden über ein neues Konto liegt demnach eine Löschpflicht des Händlers für das alte Konto gemäß Art. 17 Abs. 1 lit. a DSGVO nahe.
II. Löschpflicht auf Antrag
Ist nach den obigen Ausführungen eine Löschpflicht des Händlers auf Eigeninitiative für ungenutzte Kundenkonten regelmäßig nicht einschlägig, ist einer Löschung aber regelmäßig auf Antrag unverzüglich zu entsprechen.
Dies folgt daraus, dass für Kundenkonten keine gesetzlichen Speicherfristen existieren und ein Kunde mit seinem Antrag ausdrücklich zum Ausdruck bringt, das Konto für Vertragsschlusszwecke mit dem Händler nicht weiter nutzen zu wollen.
Eine unverzügliche Löschung von Kundenkonten auf Antrag muss nur dann nicht vorgenommen werden, wenn aus geschlossenen Verträgen noch offene Forderungen gegen den Kunden bestehen und die im Konto gespeicherten Daten zur Durchsetzung dieser Forderungen notwendig sind (Art. 17 Abs. 3 lit. e DSGVO). Hier kann eine Löschung hinausgezögert werden, bis die offenen Forderungen beglichen sind.
Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.
Link kopieren
Als PDF exportieren
Per E-Mail verschicken
Zum Facebook-Account der Kanzlei
Zum Instagram-Account der Kanzlei
2 Kommentare
Was tut man dann?
endlich mal eine Aussage, die meine Frage zur Löschungspflicht von Kundenkonten kompetent, kurz und verwertbar beantwortet. Ihr Einverständnis vorausgesetzt werde ich einen Teil Ihrer Ausführungen (mit Quellangabe!) an das Untenehmen weiterleiten.
Mit freundlichen Grüßen
H.-J. Schuster