24.04.2017
DSGVO – Muss ich meine Kundendaten löschen?
Wenn im Mai 2018 die neue Datenschutzgrundverordnung (DSGVO) anwendbar wird, stellen sich neue Fragen für Unternehmen: Muss ich meine Kundendaten nach einer gewissen Zeit löschen? Wann und wie muss ich auf Löschanfragen reagieren? Muss ich die Kunden über meine Lösch- bzw. Aufbewahrungsfristen informieren?
Inhalt
In den Erwägungsgründen der DSGVO ist weiterhin festgehalten, dass der Verantwortliche Fristen für die Löschung der Daten vorsehen soll, damit personenbezogene Daten nicht länger als nötig gespeichert werden. Auch dies klingt bekannt, wenn man an die Grundsätze der Datensparsamkeit und Datenvermeidung bzw. den Erforderlichkeitsgrundsatz denkt. Doch auch, wenn die Zielrichtung ähnlich ist, so wurden Löschfristen bisher noch nicht explizit so bezeichnet.
Newsletter
Alle wichtigen Neuigkeiten zu Themen wie Datenschutz, Künstliche Intelligenz, IT-Recht und vielen mehr – einmal monatlich in Ihr Postfach.
Die für die Praxis wohl interessanteste Vorschrift findet sich in Art. 13 DSGVO. Demnach soll den Betroffenen/Kunden die Information zur Verfügung gestellt werden, für welche Dauer personenbezogene Daten gespeichert werden oder zumindest nach welchen Kriterien die Speicherdauer festgelegt wird. Muss ich also wirklich meine Kunden über die eigenen Löschfristen informieren? Die erwähnte Vorschrift steht unter der etwas kryptischen Einschränkung, dass die Information zur Verfügung gestellt werden, um eine faire und transparente Verarbeitung zu gewährleisten. Wann diese Voraussetzungen vorliegen und ob es sich dabei überhaupt um eine vom Gesetzgeber gewünschte Einschränkung handelt, ist noch weitgehend ungeklärt. Liest man nur den Wortlaut der Norm könnte der Text auch so zu verstehen sein, dass die Informationen immer zu erteilen sind und die „faire“ Verarbeitung nur eine Begründung ist, warum die Informationen erteilt werden müssen. Erwägungsgrund 60 wiederum legt nahe, dass eine Einzelfallprüfung stattfinden muss. Hier ist also eine Klärung durch Gerichte und Datenschutzbehörden wünschenswert.
Um sich nicht der Rechtsunsicherheit auszusetzen, geben Unternehmen besser ihre Löschfristen in einer Datenschutzerklärung (oder anderen geeigneten Weise) an. Das bedeutet auch, dass grundlegende Fragen im Unternehmen geklärt werden müssen – wie geht man mit inaktiven Kunden um, die lange nicht auf einer Plattform waren oder was ist die allgemeine Vorhaltungszeit von Daten? Nicht zuletzt bestehen in vielen Unternehmen IT-seitig noch gar keine Prozesse, um die gebotene Löschung umzusetzen. Es ist also dringend angeraten das Thema Löschung bis Mai 2018 auf die Agenda zu nehmen. Effektive Mittel sind die Erstellung und Umsetzung eines unternehmensweiten Löschkonzepts sowie die Anpassung der Datenschutzerklärung.
Vereinbaren Sie jetzt ein
unverbindliches Erstgespräch!
Lassen Sie uns über Ihre Herausforderungen sprechen und vereinbaren Sie ein unverbindliches Erstgespräch mit unseren spezialisierten Anwält:innen.
Weitere Neuigkeiten
28.11.2024
BGH zu Scraping: Was Unternehmen jetzt wissen müssen
18.11.2024
BGH-Urteil zur Haftung von Online-Marktplätzen: Betreiber haften wie Sharehoster
04.11.2024