Immer wieder erreichen die Datenschutzaufsicht Anfragen von Personen, die per Brief oder E-Mail Werbung von Unternehmen erhalten, mit denen sie schon längere Zeit nicht mehr in einer geschäftlichen Beziehung gestanden haben. Im Rahmen der Anhörung verweisen verantwortliche Stellen dann oft auf ein bestehendes Kundenkonto und vertreten die Auffassung, eine Zusendung von Werbung sei in solchen Fallkonstellationen zeitlich unbeschränkt zulässig. Viele Beschwerden erreichten uns insoweit im Zusammenhang mit der Übernahme eines Online-Modehändlers durch ein Berliner Unternehmen. Dabei wurden in zahlreichen Fällen Daten von ehemaligen Kund*innen des Online-Modehändlers aus inaktiven Kund*innenkonten verarbeitet, um diese mit einer sog. Willkommens-E-Mail auf die Angebote des neuen Unternehmens aufmerksam zu machen. Gleichzeitig wurde für sie ein neues Kund*innenkonto angelegt.
Art. 17 Abs. 1 lit. a 2. Alt. DSGVO verpflichtet jede für die Verarbeitung personenbezogener Daten verantwortliche Stelle, die Daten unverzüglich zu löschen, sofern diese für die Zwecke, für die sie verarbeitet worden sind, nicht mehr notwendig sind. Ein Antrag oder eine Aufforderung der betroffenen Person ist hierfür nicht erforderlich.
Diese antragsunabhängige Verpflichtung zur Löschung bedingt, dass die verantwortliche Stelle ihre Löschungsverpflichtungen selbstständig und fortlaufend zu überprüfen hat. Dabei enthält die DSGVO jedoch keine konkreten Festlegungen in zeitlicher Hinsicht. Es obliegt damit dem jeweiligen Unternehmen, je nach Art und Umfang der vorgenommenen Datenverarbeitung ein spezifisches Löschkonzept sowie funktionierende Löschroutinen zu entwickeln und durch geeignete technisch-organisatorische Maßnahmen auch umzusetzen (und die betroffenen Personen im Rahmen der Datenschutzerklärung nach Art. 13 bzw.14 DSGVO über die konkreten Löschfristen zu informieren). Bei einem Kund*innenkonto ist zur Bestimmung des Zeitraums, nach dem die Löschung erfolgen muss, die regelmäßige Nutzung durch die betroffene Person entscheidend.
Die Verarbeitung von personenbezogenen Daten muss dem Zweck angemessen und zu seiner Erreichung erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (Grundsatz der Datenminimierung). Personenbezogene Daten dürfen nicht länger gespeichert werden, als dies für die Zwecke ihrer Verarbeitung notwendig ist (Grundsatz der Speicherbegrenzung). Dies erfordert insbesondere, dass die Speicherfrist für personenbezogene Daten auf das unbedingt erforderliche Mindestmaß beschränkt bleibt. Um sicherzustellen, dass die personenbezogenen Daten nicht länger als nötig gespeichert werden, sind verantwortliche Stellen verpflichtet, eigenständig Fristen für die Löschung und die regelmäßige Überprüfung der Daten vorzusehen. Wird also der Zweck durch den Prozess der Datenverarbeitung erreicht oder fällt dieser auf andere Weise fort, so sind die Daten grundsätzlich vollständig zu löschen. Wenn nur ein Teil der Daten für den benannten Zweck nicht mehr erforderlich ist, kann auch eine teilweise Löschung geboten sein.
Entscheidend ist, ob aufgrund der Art der Geschäftsbeziehung von der verantwortlichen Stelle nachvollziehbar dargelegt werden kann, dass die weitere Nutzung der Daten erforderlich ist. Eine konkrete zeitliche Befristung hat der Gesetzgeber dafür nicht vorgesehen.
Eine Orientierung für Speicher- und Löschfristen enthält die von der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) am 7./8. November 2018 beschlossene „Orientierungshilfe der Aufsichtsbehörden zur Verarbeitung von personenbezogenen Daten für Zwecke der Direktwerbung unter Geltung der Datenschutz-Grundverordnung (DSGVO)“. Dabei sind je nach Art und Branche der verantwortlichen Stellen zeitliche Begrenzungen von sechs Monaten bis zu zwei Jahren vertretbar. Innerhalb des durch die verantwortliche Stelle jeweils festgelegten Zeitraums nach dem letzten aktiven Geschäftskontakt zu einer betroffenen Person können deren Daten im Grundsatz für die Kund*innen-Rückgewinnung genutzt werden. Nach Ablauf dieser Frist ist regelmäßig von einer fehlenden Erforderlichkeit der Datenspeicherung auszugehen.
Wenn also eine verantwortliche Stelle Daten verarbeitet, diese jedoch für den ursprünglichen Zweck nicht mehr erforderlich sind und auch keine gesetzlichen oder vertraglichen Aufbewahrungsfristen bestehen, dürfen diese nicht mehr verwendet und müssen gelöscht werden. Nicht genutzte Kund*innenkonten und die darin gespeicherten personenbezogenen Daten müssen daher spätestens nach zwei Jahren Inaktivität gelöscht werden.
Im Falle des Online-Modehändlers hätten die inaktiven Kund*innenkonten längst gelöscht sein müssen. Die Datenübernahme durch das neue Unternehmen und das Anlegen neuer Kund*innenkonten mithilfe dieser alten Daten war daher unzulässig.
Verantwortliche Stellen sind verpflichtet, personenbezogene Daten regelmäßig und ohne gesonderte Aufforderung zu löschen, sobald diese für die Zwecke, für die sie erhoben bzw. verarbeitet worden sind, nicht mehr notwendig sind. Bei nicht genutzten Kund*innenkonten ist dies spätestens nach zwei Jahren der Fall.
Quelle: BInBDI
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks