Ein Beispiel aus der Praxis: Eine Kundin oder ein Kunde hat vor fünf Jahren in einem Online-Shop eingekauft, aber seitdem keine weiteren Bestellungen aufgegeben. Gibt es keine laufenden Garantieansprüche oder offenen Rechnungen, stellt sich die berechtigte Frage, warum die Daten immer noch im System sind. Spoiler: „Weil es immer so gemacht wurde“, ist leider nicht dir korrekte Antwort.
Welche Vorgaben macht die DSGVO zur Löschung?
Die Datenschutz-Grundverordnung (DSGVO) legt klar fest, dass personenbezogene Daten nur so lange gespeichert werden dürfen, wie sie für den ursprünglichen Zweck erforderlich sind. Nach Art. 5 DSGVO müssen personenbezogene Daten gelöscht werden, sobald der Zweck der Verarbeitung entfällt. Dieser Grundsatz der Zweckbindung und Datenminimierung ist zentral, um Datenschutzverstöße und potenzielle Bußgelder zu vermeiden.
Viele Online-Händler:innen begehen jedoch den Fehler, alte Kundenkonten jahrelang im System zu belassen. Verwaiste Konten sind damit ein Risiko. Unternehmen verstoßen nicht nur gegen die DSGVO, sondern stellen auch ein Sicherheitsproblem dar.
Sobald ein Kundenkonto keine aktive Funktion mehr erfüllt, müssen die damit verbundenen Daten entfernt werden. Aber wann genau ist dieser Zeitpunkt?
Wie lange darf ich inaktive Konten behalten?
Die DSGVO gibt keine konkreten Fristen vor, wie lange personenbezogene Daten aufbewahrt werden dürfen. Daher ist es notwendig, eigene Löschfristen zu definieren, die sich an den jeweiligen rechtlichen Anforderungen orientieren.
- Berücksichtigung von Gewährleistungs- und Aufbewahrungsfristen
Ein sinnvoller Ansatz ist es, Kundenkonten nach Ablauf gesetzlicher Gewährleistungsfristen zu löschen. In der Praxis könnte dies bedeuten, dass ein Kundenkonto spätestens nach zwei Jahren Inaktivität gelöscht wird, da dann alle Gewährleistungsansprüche erloschen sind. Auch wenn dazu keine explizite Rechtsprechung existiert, gilt diese Vorgehensweise als vertretbar. - Steuerliche Aufbewahrungsfristen
Eine wichtige Ausnahme bilden steuerliche Aufbewahrungsfristen. Für Rechnungen und andere steuerlich relevante Unterlagen gilt in Deutschland mit dem Bürokratieentlastungsgesetz seit diesem Jahr eine Aufbewahrungsfrist von acht (vormals zehn) Jahren. Diese Fristen müssen natürlich unbedingt eingehalten werden, selbst wenn das Kundenkonto zuvor gelöscht wird. In solchen Fällen sollten also die steuerrelevante Daten unabhängig vom Kundenkonto aufbewahrt werden.
Verantwortliche sind also gut beraten, wenn sie eine klare Löschfrist für sich festlegen und entsprechend in regelmäßigen Abständen ihre Kundendatenbank von veralteten Konten befreien oder dies automatisiert durchführen lassen.
Kommentar schreiben
Antworten
Ihre Antwort schreiben