Kundendaten sind ein sensibles Thema. Einerseits sind sie extrem wertvoll für Unternehmen, deshalb gibt man sie nicht gerne wieder her. Andererseits dürfen sie gemäß Art. 5 Abs. 1 Satz b DSGVO nur so lange gespeichert werden, wie sie benötigt werden. Es besteht also ein Löschzwang, sobald der Verarbeitungszweck entfällt. Das Heikle an diesem Löschzwang ist, dass es nicht die eine gesetzlich vorgeschriebene Frist zur Löschung gibt, sondern dass es verschiedene Gesetze gibt, aus denen unterschiedliche Löschfristen bzw. Aufbewahrungspflichten resultieren – diese wirken sich individuell aus. Hinzu kommt die Frist, in der das Unternehmen die Daten tatsächlich benötigt.
Da es zusätzlich das Recht auf Löschung gibt – betroffene Personen können die Löschung ihrer Daten vom Unternehmen fordern – vergessen oder ignorieren viele Unternehmen, dass sie auch eigenständig aktiv werden müssen, wie nachfolgendes Beispiel bestätigt.
Hinweis: Denken Sie daran, dass Sie nicht einfach alles löschen dürfen, nur weil die betroffene Person es fordert. Die gesetzlichen Aufbewahrungsfristen stehen über dem Recht auf Löschung. Wenn diese dem Wunsch der betroffenen Person entgegenstehen, muss gegebenenfalls ein anderes Mittel anstelle der Löschung gewählt werden. Hierzu beraten wir Sie gern.
Finnische Aufsichtsbehörde verhängt Bußgeld wegen fehlender Löschfristen
Die finnische Datenschutzaufsichtsbehörde (SA) hat im März dieses Jahres gegen ein eCommerce-Unternehmen ein Bußgeld in Höhe von 856.000 Euro verhängt, weil das Unternehmen keine Löschfrist für Kundendaten festgelegt hatte.
Zum Sachverhalt
Ein Kunde eines Onlinehändlers hatte sich beschwert, weil ein Einkauf in diesem Onlineshop erst nach der Erstellung eines Kundenkontos möglich war. Zudem wurde während des Registrierungsprozesses nicht deutlich, wie lange die Kundendaten vom Unternehmen gespeichert werden.
Das Ergebnis
Die Prüfung der Aufsichtsbehörde ergab, dass das Unternehmen die Kundendaten so lange speichert, bis der entsprechende Kunde oder die Kundin das Konto schließt und eine Löschung der Daten beantragt. Wird der Kunde oder die Kundin nicht aktiv, werden die Daten also auf unbestimmte Zeit gespeichert.
Das Urteil
Die finnische Datenschutzbehörde stellte fest, dass es aus Sicht des Datenschutzes unzulässig ist, die Erstellung eines Kundenkontos als Voraussetzung für eine Bestellung zu verlangen. Es muss möglich sein, eine Bestellung ohne Registrierung zu tätigen. Außerdem dürfen Kundendaten gemäß DSGVO nicht auf unbestimmte Zeit gespeichert werden – es muss eine angemessene Speicherdauer bzw. Löschfrist geben, worüber die betroffene Person auch zu informieren ist. Die Behörde verhängte aufgrund dieser Datenschutzverstöße ein Bußgeld gegen das Unternehmen in Höhe von 856.000 Euro.
Jedes Unternehmen braucht ein Löschkonzept
Haben Sie bereits ein Löschkonzept erstellt? Da verschiedene Daten für unterschiedliche Zeiträume benötigt werden, müssen für alle Daten Löschfristen definiert werden. Dabei sind neben der eigenen geschäftlichen Tätigkeit auch gesetzliche Aufbewahrungsfristen zu berücksichtigen, denn diese müssen zwingend eingehalten werden. Zudem muss beschrieben werden:
- wer für die Löschung verantwortlich ist,
- welche Löschfristen einschlägig sind,
- mit welchen Mitteln die Löschung durchgeführt,
- ob und wie diese zu dokumentieren ist.
Sie sehen, das Thema ist komplex. Wir von HUBIT Datenschutz unterstützen Sie gern – nutzen Sie unser Know-how und unsere Erfahrung! Nehmen Sie schnellstmöglich Kontakt zu uns auf, damit wir das Löschkonzept erstellen und ein mögliches Bußgeld abwenden können.