"Recht auf Vergessenwerden": Wie lange sollen Kundendaten aufbewahrt werden?

Im Zeitalter von Big Data scheint das Ziel, natürlichen Personen eine wirksame Kontrolle darüber zu geben, welche Informationen über sie da draußen existieren, ehrgeizig. Nichtsdestotrotz enthält die Allgemeine Datenschutzverordnung ("DSGVO") die Grundsätze der Datenminimierung und der Zweckbindung, was bedeutet, dass die für die Verarbeitung Verantwortlichen personenbezogene Daten nicht länger aufbewahren dürfen als für den Zweck, für den sie ursprünglich erhoben wurden, erforderlich ist.

Darüber hinaus räumt die DSGVO dem Einzelnen das Recht ein, die Löschung der ihn betreffenden personenbezogenen Daten zu verlangen (Art. 17 DSGVO), und zwar unter bestimmten Bedingungen, die wir Ihnen in diesem Artikel kurz erläutern möchten. Dieser Anspruch wird auch als "Recht auf Vergessenwerden" bezeichnet und verpflichtet die für die Datenverarbeitung Verantwortlichen, personenbezogene Daten auf Verlangen unverzüglich zu löschen.

Für welche Kunden gilt die Datenschutz-Grundverordnung?

Der materielle Geltungsbereich der Datenschutz-Grundverordnung, einschließlich möglicher Verpflichtungen zur Löschung personenbezogener Daten, ist nicht auf den B2C-Bereich beschränkt. Auch B2B-Umgebungen, in denen betroffene Personen im Namen ihrer Unternehmen handeln, können betroffen sein. Wenn beispielsweise ein Angestellter Ihrer Geschäftskunden eine E-Mail an Ihr Support-Team sendet, werden die in dieser E-Mail enthaltenen Informationen ebenfalls als personenbezogene Daten betrachtet, und die Datenschutz-Grundverordnung gilt für sie.

Aus territorialer Sicht gilt die Datenschutz-Grundverordnung für jede Datenverarbeitung im Rahmen der Tätigkeiten einer Niederlassung des jeweiligen für die Verarbeitung Verantwortlichen in der EU, unabhängig davon, ob die Verarbeitung in der EU stattfindet oder nicht. Wenn zum Beispiel eine EU-Niederlassung eines Unternehmens mit Sitz in den USA Daten an ein von der US-Zentrale betriebenes CRM-System übermittelt, gilt die DSGVO für die Verarbeitung im Zusammenhang mit diesem CRM-System.

Darüber hinaus kann die DSGVO auch für Unternehmen ohne Niederlassung in der EU gelten, nämlich dann, wenn sie personenbezogene Daten von in der EU ansässigen natürlichen Personen verarbeiten und die Verarbeitung unter anderem mit dem Angebot von Waren oder Dienstleistungen an betroffene Personen in der EU zusammenhängt, unabhängig davon, ob die Dienstleistung kostenpflichtig oder kostenlos ist.

Die Anwendung der Datenschutz-Grundverordnung setzt daher voraus, dass der Dienst in irgendeiner Weise auf den europäischen Markt ausgerichtet ist. Ob dies der Fall ist, bedarf einer eingehenden rechtlichen Prüfung. Nach den Leitlinien des Europäischen Datenschutzausschusses, eines EU-Beratungsgremiums, das sich aus allen Datenschutzaufsichtsbehörden zusammensetzt, fällt die DSGVO unter anderem dann in den Anwendungsbereich, wenn ein Unternehmen

• Marketingkampagnen durchführt, die auf den EU-Markt abzielen,
• EU-Domänen oberster Stufe (.de, .eu) verwendet,
• eine Sprache oder eine Währung eines EU-Staates verwendet (zumindest wenn sie von der Sprache des Landes abweicht, in dem das Unternehmen seinen Sitz hat) oder
• die Lieferung von Waren in EU-Mitgliedstaaten anbietet.

Unter welchen Bedingungen haben die Kunden Anspruch auf Löschung ihrer Daten?

Art. 17(1) DSGVO enthält eine Liste von Gründen, die zur Verpflichtung zur Löschung personenbezogener Daten führen. Es scheint offensichtlich, dass einer dieser Gründe darin besteht, dass die personenbezogenen Daten zuvor unrechtmäßig verarbeitet wurden. Aber das "Recht auf Vergessenwerden" ist nicht nur darauf beschränkt. Im Folgenden erläutern wir nur die wichtigsten Konstellationen, die sich aus unserer praktischen Erfahrung ergeben haben.

Gründe für die Löschung sind u.a., dass sich die Anfragen auf personenbezogene Daten eines Kindes beziehen oder dass die Daten im Hinblick auf die Zwecke, für die sie erhoben wurden, nicht mehr erforderlich sind. Gemäß Art. 6(4) DSGVO ist die Verwendung von Daten für andere Zwecke als die, für die sie ursprünglich erhoben wurden, nur unter strengen Bedingungen rechtmäßig. Wenn diese Bedingungen nicht erfüllt sind, müssen die Daten auf Verlangen gelöscht werden.

Die Verpflichtung zur Löschung der Daten entsteht auch, wenn die betroffene Person ihre Einwilligung widerruft, was jederzeit möglich und nicht an Bedingungen geknüpft ist, und wenn es keinen anderen Rechtsgrund für die Verarbeitung gibt, wie etwa ein berechtigtes Interesse oder eine vertragliche Notwendigkeit. Wurde die Verarbeitung ursprünglich auf der Grundlage von berechtigten Interessen oder zu Zwecken der Direktwerbung vorgenommen und macht die betroffene Person von ihrem Widerspruchsrecht gemäß Art. 21(1) und (2) DSGVO geltend macht, ist die Löschung auch unter den Bedingungen für einen gültigen Widerspruch erforderlich.

Gibt es Ausnahmen, die es uns erlauben, personenbezogene Daten aufzubewahren?

Ja. Zwei Ausnahmen aus dem Katalog von Art. 17(3) GDPR sind für Privatunternehmen besonders relevant. Erstens können die für die Datenverarbeitung Verantwortlichen durch EU-Recht oder nationale Gesetze der EU-Mitgliedstaaten verpflichtet sein, bestimmte Informationen zu Dokumentationszwecken aufzubewahren. Dies gilt insbesondere für geschäfts- und steuerbezogene Informationen, je nachdem, welcher Rechtsordnung der für die Datenverarbeitung Verantwortliche unterliegt. Im Falle ähnlicher Gesetze in Nicht-EU-Staaten kann die Verarbeitung unter dem Aspekt der berechtigten Interessen gerechtfertigt sein.

Zweitens können Daten zum Zweck der Begründung, Ausübung oder Verteidigung von Rechtsansprüchen gespeichert werden. Dies kann insbesondere für personalbezogene Informationen oder die Kommunikation mit Kunden im Falle von Rechtsstreitigkeiten relevant sein. Diese Ausnahme ist auf Fälle beschränkt, in denen objektiv nachweisbare Ereignisse auf die Möglichkeit eines Rechtsstreits hindeuten.

Wie sollten wir die Löschung praktisch durchführen?

Unternehmen sollten interne Prozesse zur umfassenden und physischen Löschung implementieren. Logische Löschungen wie die Einschränkung des Zugriffs auf die Daten für Mitarbeiter oder Referenzen sind aus rechtlicher Sicht nicht ausreichend. Es sollte sichergestellt werden, dass keine Kopien in irgendwelchen Datenbanken und, wenn möglich, Backups hinterlassen werden.

Macht eine betroffene Person von ihrem "Recht auf Vergessenwerden" Gebrauch, so müssen die für die Verarbeitung Verantwortlichen diesen Antrag unverzüglich, auf jeden Fall aber innerhalb eines Monats, bearbeiten. Die Löschung sollte der betroffenen Person vor der Löschung angekündigt werden, da eine nachträgliche Bestätigung beweisen würde, dass zumindest die Kontaktdaten noch aufbewahrt werden, im Gegensatz zu dem, was gerade bestätigt wurde.

Unternehmen sollten ihre Verpflichtung überprüfen, empfangende Dritte über die fraglichen Daten zu informieren, wenn der für die Datenverarbeitung Verantwortliche die personenbezogenen Daten öffentlich gemacht hat, beispielsweise wenn der für die Datenverarbeitung Verantwortliche öffentliche Kundenprofile als Teil einer Plattformlösung bereitgestellt hat.

Aufbewahrungsrichtlinien

Die Verpflichtung, Daten unter bestimmten Umständen zu löschen, ist nicht nur auf Situationen beschränkt, in denen ein Datensubjekt seine entsprechenden Rechte ausübt. In Anbetracht des Grundsatzes der DSGVO, dass Daten nicht länger aufbewahrt werden dürfen, als es für den Zweck der ursprünglichen Datenerhebung gemäß Art. 5(1)(e) GDPR nicht länger aufbewahrt werden dürfen, müssen die Unternehmen auch proaktiv überwachen, ob die Aufbewahrung personenbezogener Daten laufend erforderlich ist. Die für die Datenverarbeitung Verantwortlichen sind auch verpflichtet, unrichtige Daten gemäß Art. 5(1)(d) GDPR.

Die Verpflichtung zur Löschung von Informationen kann beispielsweise für Daten über die Kommunikation mit Kunden (z. B. E-Mails, aufgezeichnete Telefonate) gelten. Im Gegenteil, wenn der Kunde beispielsweise ein Konto auf einer Online-Plattform unterhält und dieses regelmäßig nutzt, kann eine Speicherung gerechtfertigt sein, bis der Kunde sein Konto aktiv kündigt.

Um die Löschprozesse zu standardisieren und die Einhaltung der DSGVO zu gewährleisten, haben viele Unternehmen Richtlinien zur Datenaufbewahrung verabschiedet, die unter anderem die internen Prozesse zur Datenaufbewahrung und Löschroutinen widerspiegeln. Solche Richtlinien ermöglichen auch eine eingehende Analyse der nationalen Verpflichtungen zur Datenaufbewahrung, die sich beispielsweise aus dem Steuerrecht oder dem allgemeinen Wirtschaftsrecht ergeben.