24.04.2017 | Datenschutz

DSGVO – Muss ich meine Kundendaten löschen?

Wenn im Mai 2018 die neue Datenschutzgrundverordnung (DSGVO) anwendbar wird, stellen sich neue Fragen für Unternehmen: Muss ich meine Kundendaten nach einer gewissen Zeit löschen? Wann und wie muss ich auf Löschanfragen reagieren? Muss ich die Kunden über meine Lösch- bzw. Aufbewahrungsfristen informieren?

Die DSGVO stellt das Thema Löschung mehr in den Vordergrund als es im Bundesdatenschutzgesetz (BDSG) bislang der Fall war. In den Medien oftmals erwähnt wurde die Tatsache, dass es nun ein „Recht auf Vergessenwerden“ (Art. 17 DSGVO) gibt. Weniger Beachtung fand die Tatsache, dass schon das BDSG ein umfassendes Löschungsrecht (Art. 35 BDSG) beinhaltet. Neu ist vielmehr, dass der Plattformbetreiber bei öffentlich gemachten Daten, auch andere Stellen auffordern muss, Links oder Kopien von Daten zu löschen.

In den Erwägungsgründen der DSGVO ist weiterhin festgehalten, dass der Verantwortliche Fristen für die Löschung der Daten vorsehen soll, damit personenbezogene Daten nicht länger als nötig gespeichert werden. Auch dies klingt bekannt, wenn man an die Grundsätze der Datensparsamkeit und Datenvermeidung bzw. den Erforderlichkeitsgrundsatz denkt. Doch auch, wenn die Zielrichtung ähnlich ist, so wurden Löschfristen bisher noch nicht explizit so bezeichnet.

Die für die Praxis wohl interessanteste Vorschrift findet sich in Art. 13 DSGVO. Demnach soll den Betroffenen/Kunden die Information zur Verfügung gestellt werden, für welche Dauer personenbezogene Daten gespeichert werden oder zumindest nach welchen Kriterien die Speicherdauer festgelegt wird. Muss ich also wirklich meine Kunden über die eigenen Löschfristen informieren? Die erwähnte Vorschrift steht unter der etwas kryptischen Einschränkung, dass die Information zur Verfügung gestellt werden, um eine faire und transparente Verarbeitung zu gewährleisten. Wann diese Voraussetzungen vorliegen und ob es sich dabei überhaupt um eine vom Gesetzgeber gewünschte Einschränkung handelt, ist noch weitgehend ungeklärt. Liest man nur den Wortlaut der Norm könnte der Text auch so zu verstehen sein, dass die Informationen immer zu erteilen sind und die „faire“ Verarbeitung nur eine Begründung ist, warum die Informationen erteilt werden müssen. Erwägungsgrund 60 wiederum legt nahe, dass eine Einzelfallprüfung stattfinden muss. Hier ist also eine Klärung durch Gerichte und Datenschutzbehörden wünschenswert.

Um sich nicht der Rechtsunsicherheit auszusetzen, geben Unternehmen besser ihre Löschfristen in einer Datenschutzerklärung (oder anderen geeigneten Weise) an. Das bedeutet auch, dass grundlegende Fragen im Unternehmen geklärt werden müssen – wie geht man mit inaktiven Kunden um, die lange nicht auf einer Plattform waren oder was ist die allgemeine Vorhaltungszeit von Daten? Nicht zuletzt bestehen in vielen Unternehmen IT-seitig noch gar keine Prozesse, um die gebotene Löschung umzusetzen. Es ist also dringend angeraten das Thema Löschung bis Mai 2018 auf die Agenda zu nehmen. Effektive Mittel sind die Erstellung und Umsetzung eines unternehmensweiten Löschkonzepts sowie die Anpassung der Datenschutzerklärung.

 


Hinterlassen Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.


Weitere Artikel

Anwälte der Kanzlei empfohlen durch: