Verwaiste Kundenkonten: Wann sind sie zu löschen?

Veröffentlicht: 15.01.2025
imgAktualisierung: 15.01.2025
Geschrieben von: Yvonne Bachmann
Lesezeit: ca. 3 Min.
15.01.2025
img 15.01.2025
ca. 3 Min.
Verschiedene vernetzte Avatare
bluebay2014 / Depositphotos.com
Viele übersehen, dass Kundendaten zu löschen sind, wenn der Zweck der Speicherung entfällt. Wie lange darf man Daten behalten?


Ein Beispiel aus der Praxis: Eine Kundin oder ein Kunde hat vor fünf Jahren in einem Online-Shop eingekauft, aber seitdem keine weiteren Bestellungen aufgegeben. Gibt es keine laufenden Garantieansprüche oder offenen Rechnungen, stellt sich die berechtigte Frage, warum die Daten immer noch im System sind. Spoiler: „Weil es immer so gemacht wurde“, ist leider nicht dir korrekte Antwort.

Welche Vorgaben macht die DSGVO zur Löschung?

Die Datenschutz-Grundverordnung (DSGVO) legt klar fest, dass personenbezogene Daten nur so lange gespeichert werden dürfen, wie sie für den ursprünglichen Zweck erforderlich sind. Nach Art. 5 DSGVO müssen personenbezogene Daten gelöscht werden, sobald der Zweck der Verarbeitung entfällt. Dieser Grundsatz der Zweckbindung und Datenminimierung ist zentral, um Datenschutzverstöße und potenzielle Bußgelder zu vermeiden.

Viele Online-Händler:innen begehen jedoch den Fehler, alte Kundenkonten jahrelang im System zu belassen. Verwaiste Konten sind damit ein Risiko. Unternehmen verstoßen nicht nur gegen die DSGVO, sondern stellen auch ein Sicherheitsproblem dar.

Sobald ein Kundenkonto keine aktive Funktion mehr erfüllt, müssen die damit verbundenen Daten entfernt werden. Aber wann genau ist dieser Zeitpunkt?

Wie lange darf ich inaktive Konten behalten?

Die DSGVO gibt keine konkreten Fristen vor, wie lange personenbezogene Daten aufbewahrt werden dürfen. Daher ist es notwendig, eigene Löschfristen zu definieren, die sich an den jeweiligen rechtlichen Anforderungen orientieren.

  • Berücksichtigung von Gewährleistungs- und Aufbewahrungsfristen
    Ein sinnvoller Ansatz ist es, Kundenkonten nach Ablauf gesetzlicher Gewährleistungsfristen zu löschen. In der Praxis könnte dies bedeuten, dass ein Kundenkonto spätestens nach zwei Jahren Inaktivität gelöscht wird, da dann alle Gewährleistungsansprüche erloschen sind. Auch wenn dazu keine explizite Rechtsprechung existiert, gilt diese Vorgehensweise als vertretbar.
  • Steuerliche Aufbewahrungsfristen
    Eine wichtige Ausnahme bilden steuerliche Aufbewahrungsfristen. Für Rechnungen und andere steuerlich relevante Unterlagen gilt in Deutschland mit dem Bürokratieentlastungsgesetz seit diesem Jahr eine Aufbewahrungsfrist von acht (vormals zehn) Jahren. Diese Fristen müssen natürlich unbedingt eingehalten werden, selbst wenn das Kundenkonto zuvor gelöscht wird. In solchen Fällen sollten also die steuerrelevante Daten unabhängig vom Kundenkonto aufbewahrt werden.

Verantwortliche sind also gut beraten, wenn sie eine klare Löschfrist für sich festlegen und entsprechend in regelmäßigen Abständen ihre Kundendatenbank von veralteten Konten befreien oder dies automatisiert durchführen lassen.

Natürlich kann es dann vorkommen, dass sich ein Kunde nach fünf Jahren Inaktivität plötzlich wieder meldet und nach einer Bestellung fragt. Allerdings hat man hier den von den meisten Menschen hochgehaltenen Datenschutz als Argument.

Exkurs: Recht auf Löschung nach Art. 17 DSGVO

Zusätzlich besteht das Recht, jederzeit die Löschung personenbezogener Daten zu verlangen. Gemäß Art. 17 DSGVO besteht die Verpflichtung, personenbezogene Daten unverzüglich zu löschen, wenn dies verlangt wird – es sei denn, es bestehen berechtigte Gründe, die einer sofortigen Löschung entgegenstehen.

Solche Gründe könnten beispielsweise gesetzliche Aufbewahrungsfristen oder laufende Garantieansprüche sein. Daher sind transparente und strukturierte Prozesse notwendig, um Löschanfragen effizient zu bearbeiten.

Was droht, wenn ich nichts tue?

Wird die Pflicht zur Löschung ignoriert, drohen Bußgelder. Oft werden diese Datenbestände nicht mehr aktiv verwaltet oder geschützt, was sie zu einem Einfallstor für Hackerangriffe macht. Veraltete Daten sind anfällig für Missbrauch, beispielsweise durch Identitätsdiebstahl oder andere Formen von Cyberkriminalität. Ein Datenschutzvorfall bringt Unternehmen dann in die unangenehme Situation, erklären zu müssen, warum veraltete Datensätze noch im System vorhanden waren.

Artikelbild: http://www.depositphotos.com

Veröffentlicht: 15.01.2025
img Letzte Aktualisierung: 15.01.2025
Lesezeit: ca. 3 Min.
Artikel weiterempfehlen
Yvonne Bachmann

Yvonne Bachmann

Expertin für IT-Recht

KOMMENTARE
1 Kommentare
Kommentar schreiben

Dirk
16.01.2025

Antworten

Ich verstehe diese ganze Problematik, ehrlich gesagt, nicht. Was ist mit "Kundenkonto" gemeint? Der Kunden-Datensatz im Shopsystem, den der Kunde in der Regel entweder selbst mit Emailadresse und Passwort angelegt hat oder der durch eine Bestellung automatisch angelegt wurde? Alles, was mit einem Verkauf zu tun hat - also gewöhnlich Name, Adresse, bestellte Ware, Preise, Zahlung, Lieferdaten - unterliegen der gesetzlichen Aufbewahrungsfrist von 8-10 Jahren. Denn ich muss dem Finanzamt ja nachweisen können, was ich an wen wann verkauft habe, wie und an wen das Geld geflossen ist. Und mehr Daten existieren doch in der Regel nicht...? Strittig wäre vielleicht allerhöchstens die Speicherung der Emailadresse und des benutzten Passwortes. Aber sonst?