Können Kunden von Händlern die Löschung ihrer Daten verlangen?

Können Kunden von Händlern die Löschung ihrer Daten verlangen?
02.06.2017 | Lesezeit: 5 min

Mit dem Umfang der weltweit generierten und transferierten Daten steigt bei vielen Menschen auch die Sensibilität für ihre personenbezogenen Daten. In der Beratungspraxis der IT-Recht Kanzlei stoßen wir zuletzt häufiger auf den Wunsch von Kunden, dass ihre personenbezogenen Daten nach Abwicklung einer Bestellung gelöscht werden. Grundsätzlich müssen Händler die Wünsche Ihrer Kunden befolgen, doch es gibt Ausnahmen, in denen sie das Gesetz zur Aufbewahrung zwingt. Die IT-Recht Kanzlei gibt einen Einblick.

I. Löschungsanspruch vs. Aufbewahrungspflicht

Die Flut an personenbezogenen Daten im Netz löst bei kritischen Nutzern verständlicherweise einen Reflex aus. Wer möglichst datensparsam surfen möchte, fragt sich, welche personenbezogenen Daten er gänzlich zurückhalten, und welche er wenigstens möglichst schnell wieder aus dem Netz entfernen lassen kann.

Tatsächlich gibt es aufgrund des datenschutzrechtlichen Grundsatzes der Datensparsamkeit gesetzliche Regelungen, die datenverarbeitende Stellen dazu verpflichten, unter bestimmten Voraussetzungen die bei ihnen gespeicherten personenbezogenen Daten wieder zu löschen. Betroffene haben dann sogar einen Löschungsanspruch. Online-Händler sind davon etwa dann betroffen, wenn Kunden nach Abwicklung einer Bestellung verlangen, dass ihre beim Händler gespeicherten personenbezogenen Daten sofort und vollständig gelöscht werden. Der datenschutzrechtliche Löschungsanspruch des Kunden kollidiert dann möglicherweise mit gesetzlichen Aufbewahrungspflichten von Informationen.

Aber wann müssen und wann dürfen Händler überhaupt welche Datensätze löschen?

Banner Premium Paket

II. Löschungspflichten aus dem Telemediengesetz

Nach § 13 Abs. 4 S. 1 Nr. 2 des Telemediengesetzes (TMG) muss ein Diensteanbieter durch technische und organisatorische Vorkehrungen sicherstellen, dass die anfallenden personenbezogenen Daten über den Ablauf des Zugriffs oder der sonstigen Nutzung unmittelbar nach deren Beendigung gelöscht oder in den Fällen des § 13 Abs. 4 S. 2 TMG gesperrt werden. Nach diesem § 13 Abs. 4 S. 2 TMG tritt an die Stelle der Löschung eine Sperrung der Daten, soweit einer Löschung gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegenstehen. Bei gesetzlichen Speicherfristen dürfen die Daten also nicht gelöscht werden, sondern nur gesperrt.

Dieser sog. Systemdatenschutz soll dazu führen, dass personenbezogene Daten möglichst vermieden oder nur im geringstmöglichen Umfang genutzt werden. Allerdings betrifft die Löschungs- bzw. Sperrungspflicht aus § 13 Abs. 4 Nr. 2 TMG bloß die telemedienrechtlichen personenbezogenen Nutzungsdaten, die die Nutzung des Telemediums, also etwa der Webseite betreffen. Darunter fällt z.B. die IP-Adresse des Nutzers. Die Vorschrift erfasst jedoch nicht andere personenbezogene Daten, die mit der Nutzung des Telemediums als solchem unmittelbar nichts zu tun haben, wie etwa die Wohnanschrift, das Geburtsdatum und die Bankverbindungsdaten des Kunden, die im Rahmen einer konkreten Bestellung zu deren Abwicklung gesondert erhoben werden.

III. Der datenschutzrechtliche Löschungsanspruch

§ 35 Abs. 2 des Bundesdatenschutzgesetzes (BDSG) enthält neben einer gesetzlichen Befugnis zur Löschung von personenbezogenen Daten seitens datenverarbeitender Stellen, die es deshalb braucht, weil die Löschung von Daten im weitesten Sinne auch eine Verarbeitung von Daten ist, die aber wiederum nach § 4 Abs. 1 BDSG nur aufgrund einer gesetzlichen Befugnis oder einer Einwilligung des Betroffenen erfolgen darf, und dem damit korrespondierenden Anspruch auf Löschung seitens des Betroffenen unter bestimmten Voraussetzungen auch eine Pflicht zur Löschung von Daten.

Nach § 35 Abs. 2 S. 1 BDSG können personenbezogene Daten grundsätzlich jederzeit gelöscht werden, was bedeutet, dass datenverarbeitende Stellen bei ihnen gespeicherte Daten im Grundsatz jederzeit löschen dürfen. Zudem liest man in diesen Satz hinein, dass die Betroffenen, um deren personenbezogene Daten es geht, jederzeit einen Anspruch darauf haben, dass ihre Daten gelöscht werden. Unter den in § 35 Abs. 2 S. 2 BDSG genannten zusätzlichen Voraussetzungen müssen gespeicherte personenbezogene Daten gelöscht werden, dann besteht also sogar eine Löschungspflicht.

In § 35 Abs. 3 BDSG sind jedoch Ausnahmen von der Löschungsbefugnis, dem Löschungsanspruch bzw. teilweise auch der Löschungspflicht vorgesehen.

So tritt nach § 35 Abs. 3 S. 2 Nr. 1 BDSG an die Stelle der Löschung eine Sperrung, soweit einer Löschung gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungspflichten entgegenstehen. Gemäß § 35 Abs. 3 S. 2 Nr. 2 BDSG tritt an die Stelle der Löschung auch dann eine Sperrung, wenn Grund zu der Annahme besteht, dass durch eine Löschung schutzwürdige Interessen des Betroffenen beeinträchtigt würden.

Für Online-Händler dürften vor allem die von ihnen zu beachtenden gesetzlichen Aufbewahrungsfristen nach § 257 des Handelsgesetzbuchs (HGB) und § 147 der Abgabenordnung (AO) von Relevanz sein. Nach § 257 HGB ist jeder Kaufmann dazu verpflichtet, u.a. empfangene Handelsbriefe (§ 257 Abs. 1 Nr. 2 HGB), Wiedergaben von abgesandten Handelsbriefen (§ 257 Abs. 1 Nr. 3 HGB) und Buchungsbelege (§ 257 Abs. 1 Nr. 4 HGB) aufzubewahren. Die Aufbewahrungsfrist beträgt nach § 257 Abs. 4 HGB für Buchungsbelege zehn Jahre und für Handelsbriefe sechs Jahre.

In § 147 Abs. 1 Nr. 2-4, Abs. 3 AO finden sich nahezu wortgleiche Aufbewahrungspflichten für die steuerlichen Belange. Handels- bzw. Geschäftsbriefe wie Eingangs- und Ausgangsrechnungen, Lieferscheine, Kostenvoranschläge und Verträge dürfen von Gesetzes wegen somit nicht gelöscht werden, was umgekehrt bedeutet, dass Kunden in Bezug auf diese Daten innerhalb der gesetzlichen Aufbewahrungsfrist keinen Löschungsanspruch haben. Die Löschung anderer Daten, wie etwa der im Webshop-System hinterlegten Kundendatensätze, können die Kunden verlangen, unabhängig davon, ob sie bei der Bestellung oder zu einem früheren Zeitpunkt ein Kundenkonto eingerichtet haben.

IV. Muster-Formulierung für die Beantwortung von Kundenanfragen

Wie geht man nun mit Kunden um, welche die Löschung ihrer Daten wünschen? Die IT-Recht Kanzlei stellt ihren Mandanten ein hilfreiches Muster zum professionellen Umgang mit solchen Kunden zur Verfügung.

V. Fazit

Grundsätzlich können Kunden nach dem Datenschutzrecht die Löschung ihrer beim Händler gespeicherten personenbezogenen Daten verlangen. Allerdings besteht kein unbeschränkter Löschungsanspruch. Von Gesetzes wegen sind Händler dazu verpflichtet, bestimmte Daten sechs bzw. zehn Jahre lang aufzubewahren. Konsequenterweise schränkt das Datenschutzrecht den Löschungsanspruch der Betroffenen dementsprechend ein. Händlern sind somit bei der Erfüllung von Löschungswünschen Ihrer Kunden teilweise die Hände gebunden. Personenbezogene Daten der Kunden wie Geburtsdaten oder Kundendaten im elektronischen Webshop-System sind mangels gesetzlicher Pflicht zur Aufbewahrung jedoch zu löschen.

Bei Problemen, Rückfragen sowie weiteren Fragen zu diesem Thema hilft Ihnen das Team der IT-Recht Kanzlei selbstverständlich gerne auch persönlich und im Einzelfall weiter.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .

Bildquelle:
© momius - Fotolia.com

Link kopieren

Als PDF exportieren

Drucken
|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

2 Kommentare

A
Armin 06.12.2022, 14:19 Uhr
privat
Hallo, wie sieht es aus bei einem nicht erfolgreich abgeschlossenem Kauf übers Internet:
Ich habe etwas bestellt, bekomme vom Händler eine Mail mit Betreff "Bestellbestätigung" und darüber hinaus nichts weiter. Auf Nachfrage kam heraus, dass die Ware nicht verfügbar ist. Geld wurde zurücküberwiesen (beleglos).
Greifen in diesem Falle die Aufbewahrungsfristen nach HGB überhaupt?
mfg
AS
M
Max 02.06.2017, 15:45 Uhr
Nutzertracking
Zum Thema Datenspeicherung wäre es auch interessant zu erfahren inwiefern die Speicherung bzw. Analyse von Nutzerverhalten auf Websites möglich ist. Was ist da noch erlaubt, wo ist die Grauzone und was ist verboten.

Vielleicht kommt da ja demnächst einmal ein Artikel dazu.

Grüße

Weitere News

Müssen unbestätigte Newsletter-Adressen gelöscht werden?
(19.11.2024, 15:12 Uhr)
Müssen unbestätigte Newsletter-Adressen gelöscht werden?
Einbindung externer Videos per QR-Code datenschutzrechtlich zulässig?
(14.11.2024, 14:07 Uhr)
Einbindung externer Videos per QR-Code datenschutzrechtlich zulässig?
DSGVO: Müssen Kunden ihr Konto im Shop selbst löschen können?
(24.10.2024, 08:34 Uhr)
DSGVO: Müssen Kunden ihr Konto im Shop selbst löschen können?
Ist die Aufzeichnung von Kundentelefonaten nach DSGVO erlaubt?
(02.10.2024, 15:33 Uhr)
Ist die Aufzeichnung von Kundentelefonaten nach DSGVO erlaubt?
LG Frankenthal: Wohnraumfotos im Online-Exposé müssen freigegeben sein
(01.08.2024, 14:29 Uhr)
LG Frankenthal: Wohnraumfotos im Online-Exposé müssen freigegeben sein
Das Recht auf Datenlöschung nach der DSGVO mit Mustermitteilungen
(19.06.2024, 11:21 Uhr)
Das Recht auf Datenlöschung nach der DSGVO mit Mustermitteilungen
© 2004-2024 · IT-Recht Kanzlei