24.04.2017

DSGVO – Muss ich meine Kundendaten löschen?

Wenn im Mai 2018 die neue Datenschutzgrundverordnung (DSGVO) anwendbar wird, stellen sich neue Fragen für Unternehmen: Muss ich meine Kundendaten nach einer gewissen Zeit löschen? Wann und wie muss ich auf Löschanfragen reagieren? Muss ich die Kunden über meine Lösch- bzw. Aufbewahrungsfristen informieren?

Unverbindliches Erstgespräch vereinbaren

Inhalt

Die DSGVO stellt das Thema Löschung mehr in den Vordergrund als es im Bundesdatenschutzgesetz (BDSG) bislang der Fall war. In den Medien oftmals erwähnt wurde die Tatsache, dass es nun ein „Recht auf Vergessenwerden“ (Art. 17 DSGVO) gibt. Weniger Beachtung fand die Tatsache, dass schon das BDSG ein umfassendes Löschungsrecht (Art. 35 BDSG) beinhaltet. Neu ist vielmehr, dass der Plattformbetreiber bei öffentlich gemachten Daten, auch andere Stellen auffordern muss, Links oder Kopien von Daten zu löschen.

In den Erwägungsgründen der DSGVO ist weiterhin festgehalten, dass der Verantwortliche Fristen für die Löschung der Daten vorsehen soll, damit personenbezogene Daten nicht länger als nötig gespeichert werden. Auch dies klingt bekannt, wenn man an die Grundsätze der Datensparsamkeit und Datenvermeidung bzw. den Erforderlichkeitsgrundsatz denkt. Doch auch, wenn die Zielrichtung ähnlich ist, so wurden Löschfristen bisher noch nicht explizit so bezeichnet.

Newsletter

Alle wichtigen Neuigkeiten zu Themen wie Datenschutz, Künstliche Intelligenz, IT-Recht und vielen mehr – einmal monatlich in Ihr Postfach.

Bitte addieren Sie 9 und 9.

Mit Klick auf den Button stimmen Sie dem Versand unseres Newsletters und der aggregierten Nutzungsanalyse (Öffnungsrate und Linkklicks) zu. Sie können Ihre Einwilligung jederzeit widerrufen, z.B. über den Abmeldelink im Newsletter. Mehr Informationen: Datenschutzerklärung.

Die für die Praxis wohl interessanteste Vorschrift findet sich in Art. 13 DSGVO. Demnach soll den Betroffenen/Kunden die Information zur Verfügung gestellt werden, für welche Dauer personenbezogene Daten gespeichert werden oder zumindest nach welchen Kriterien die Speicherdauer festgelegt wird. Muss ich also wirklich meine Kunden über die eigenen Löschfristen informieren? Die erwähnte Vorschrift steht unter der etwas kryptischen Einschränkung, dass die Information zur Verfügung gestellt werden, um eine faire und transparente Verarbeitung zu gewährleisten. Wann diese Voraussetzungen vorliegen und ob es sich dabei überhaupt um eine vom Gesetzgeber gewünschte Einschränkung handelt, ist noch weitgehend ungeklärt. Liest man nur den Wortlaut der Norm könnte der Text auch so zu verstehen sein, dass die Informationen immer zu erteilen sind und die „faire“ Verarbeitung nur eine Begründung ist, warum die Informationen erteilt werden müssen. Erwägungsgrund 60 wiederum legt nahe, dass eine Einzelfallprüfung stattfinden muss. Hier ist also eine Klärung durch Gerichte und Datenschutzbehörden wünschenswert.

Um sich nicht der Rechtsunsicherheit auszusetzen, geben Unternehmen besser ihre Löschfristen in einer Datenschutzerklärung (oder anderen geeigneten Weise) an. Das bedeutet auch, dass grundlegende Fragen im Unternehmen geklärt werden müssen – wie geht man mit inaktiven Kunden um, die lange nicht auf einer Plattform waren oder was ist die allgemeine Vorhaltungszeit von Daten? Nicht zuletzt bestehen in vielen Unternehmen IT-seitig noch gar keine Prozesse, um die gebotene Löschung umzusetzen. Es ist also dringend angeraten das Thema Löschung bis Mai 2018 auf die Agenda zu nehmen. Effektive Mittel sind die Erstellung und Umsetzung eines unternehmensweiten Löschkonzepts sowie die Anpassung der Datenschutzerklärung.

Vereinbaren Sie jetzt ein
unverbindliches Erstgespräch!

Lassen Sie uns über Ihre Herausforderungen sprechen und vereinbaren Sie ein unverbindliches Erstgespräch mit unseren spezialisierten Anwält:innen.

Termin vereinbaren

Inhalt

Weitere Experten zum Thema

Weitere Neuigkeiten