Mit dem Umfang der weltweit generierten und transferierten Daten steigt bei vielen Menschen auch die Sensibilität für ihre personenbezogenen Daten. In der Beratungspraxis der IT-Recht Kanzlei stoßen wir zuletzt häufiger auf den Wunsch von Kunden, dass ihre personenbezogenen Daten nach Abwicklung einer Bestellung gelöscht werden. Grundsätzlich müssen Händler die Wünsche Ihrer Kunden befolgen, doch es gibt Ausnahmen, in denen sie das Gesetz zur Aufbewahrung zwingt. Die IT-Recht Kanzlei gibt im heutigen Gastbeitrag einen Einblick.

LÖSCHUNGSANSPRUCH VS. AUFBEWAHRUNGSPFLICHT

ie Flut an personenbezogenen Daten im Netz löst bei kritischen Nutzern verständlicherweise einen Reflex aus. Wer möglichst datensparsam surfen möchte, fragt sich, welche personenbezogenen Daten er gänzlich zurückhalten, und welche er wenigstens möglichst schnell wieder aus dem Netz entfernen lassen kann.
Tatsächlich gibt es aufgrund des datenschutzrechtlichen Grundsatzes der Datensparsamkeit gesetzliche Regelungen, die datenverarbeitende Stellen dazu verpflichten, unter bestimmten Voraussetzungen die bei ihnen gespeicherten personenbezogenen Daten wieder zu löschen. Betroffene haben dann sogar einen Löschungsanspruch. Online-Händler sind davon etwa dann betroffen, wenn Kunden nach Abwicklung einer Bestellung verlangen, dass ihre beim Händler gespeicherten personenbezogenen Daten sofort und vollständig gelöscht werden. Der datenschutzrechtliche Löschungsanspruch des Kunden kollidiert dann möglicherweise mit gesetzlichen Aufbewahrungspflichten von Informationen.
Aber wann müssen und wann dürfen Händler überhaupt welche Datensätze löschen?

LÖSCHUNGSPFLICHTEN AUS DEM TMG

Nach § 13 Abs. 4 S. 1 Nr. 2 des Telemediengesetzes (TMG) muss ein Diensteanbieter durch technische und organisatorische Vorkehrungen sicherstellen, dass die anfallenden personenbezogenen Daten über den Ablauf des Zugriffs oder der sonstigen Nutzung unmittelbar nach deren Beendigung gelöscht oder in den Fällen des § 13 Abs. 4 S. 2 TMG gesperrt werden. Nach diesem § 13 Abs. 4 S. 2 TMG tritt an die Stelle der Löschung eine Sperrung der Daten, soweit einer Löschung gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegenstehen. Bei gesetzlichen Speicherfristen dürfen die Daten also nicht gelöscht werden, sondern nur gesperrt.
Dieser sog. Systemdatenschutz soll dazu führen, dass personenbezogene Daten möglichst vermieden oder nur im geringstmöglichen Umfang genutzt werden. Allerdings betrifft die Löschungs- bzw. Sperrungspflicht aus § 13 Abs. 4 Nr. 2 TMG bloß die telemedienrechtlichen personenbezogenen Nutzungsdaten, die die Nutzung des Telemediums, also etwa der Webseite betreffen. Darunter fällt z.B. die IP-Adresse des Nutzers. Die Vorschrift erfasst jedoch nicht andere personenbezogene Daten, die mit der Nutzung des Telemediums als solchem unmittelbar nichts zu tun haben, wie etwa die Wohnanschrift, das Geburtsdatum und die Bankverbindungsdaten des Kunden, die im Rahmen einer konkreten Bestellung zu deren Abwicklung gesondert erhoben werden.

DER DATENSCHUTZRECHTLICHE LÖSCHUNGSANSPRUCH

§ 35 Abs. 2 des Bundesdatenschutzgesetzes (BDSG) enthält neben einer gesetzlichen Befugnis zur Löschung von personenbezogenen Daten seitens datenverarbeitender Stellen, die es deshalb braucht, weil die Löschung von Daten im weitesten Sinne auch eine Verarbeitung von Daten ist, die aber wiederum nach § 4 Abs. 1 BDSG nur aufgrund einer gesetzlichen Befugnis oder einer Einwilligung des Betroffenen erfolgen darf, und dem damit korrespondierenden Anspruch auf Löschung seitens des Betroffenen unter bestimmten Voraussetzungen auch eine Pflicht zur Löschung von Daten.
Nach § 35 Abs. 2 S. 1 BDSG können personenbezogene Daten grundsätzlich jederzeit gelöscht werden, was bedeutet, dass datenverarbeitende Stellen bei ihnen gespeicherte Daten im Grundsatz jederzeit löschen dürfen. Zudem liest man in diesen Satz hinein, dass die Betroffenen, um deren personenbezogene Daten es geht, jederzeit einen Anspruch darauf haben, dass ihre Daten gelöscht werden. Unter den in § 35 Abs. 2 S. 2 BDSG genannten zusätzlichen Voraussetzungen müssen gespeicherte personenbezogene Daten gelöscht werden, dann besteht also sogar eine Löschungspflicht.
In § 35 Abs. 3 BDSG sind jedoch Ausnahmen von der Löschungsbefugnis, dem Löschungsanspruch bzw. teilweise auch der Löschungspflicht vorgesehen.
So tritt nach § 35 Abs. 3 S. 2 Nr. 1 BDSG an die Stelle der Löschung eine Sperrung, soweit einer Löschung gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungspflichten entgegenstehen. Gemäß § 35 Abs. 3 S. 2 Nr. 2 BDSG tritt an die Stelle der Löschung auch dann eine Sperrung, wenn Grund zu der Annahme besteht, dass durch eine Löschung schutzwürdige Interessen des Betroffenen beeinträchtigt würden.
Für Online-Händler dürften vor allem die von ihnen zu beachtenden gesetzlichen Aufbewahrungsfristen nach § 257 des Handelsgesetzbuchs (HGB) und § 147 der Abgabenordnung (AO) von Relevanz sein. Nach § 257 HGB ist jeder Kaufmann dazu verpflichtet, u.a. empfangene Handelsbriefe (§ 257 Abs. 1 Nr. 2 HGB), Wiedergaben von abgesandten Handelsbriefen (§ 257 Abs. 1 Nr. 3 HGB) und Buchungsbelege (§ 257 Abs. 1 Nr. 4 HGB) aufzubewahren. Die Aufbewahrungsfrist beträgt nach § 257 Abs. 4 HGB für Buchungsbelege zehn Jahre und für Handelsbriefe sechs Jahre.
In § 147 Abs. 1 Nr. 2-4, Abs. 3 AO finden sich nahezu wortgleiche Aufbewahrungspflichten für die steuerlichen Belange. Handels- bzw. Geschäftsbriefe wie Eingangs- und Ausgangsrechnungen, Lieferscheine, Kostenvoranschläge und Verträge dürfen von Gesetzes wegen somit nicht gelöscht werden, was umgekehrt bedeutet, dass Kunden in Bezug auf diese Daten innerhalb der gesetzlichen Aufbewahrungsfrist keinen Löschungsanspruch haben. Die Löschung anderer Daten, wie etwa der im Webshop-System hinterlegten Kundendatensätze, können die Kunden verlangen, unabhängig davon, ob sie bei der Bestellung oder zu einem früheren Zeitpunkt ein Kundenkonto eingerichtet haben.

FAZIT

Grundsätzlich können Kunden nach dem Datenschutzrecht die Löschung ihrer beim Händler gespeicherten personenbezogenen Daten verlangen. Allerdings besteht kein unbeschränkter Löschungsanspruch. Von Gesetzes wegen sind Händler dazu verpflichtet, bestimmte Daten sechs bzw. zehn Jahre lang aufzubewahren. Konsequenterweise schränkt das Datenschutzrecht den Löschungsanspruch der Betroffenen dementsprechend ein. Händlern sind somit bei der Erfüllung von Löschungswünschen Ihrer Kunden teilweise die Hände gebunden. Personenbezogene Daten der Kunden wie Geburtsdaten oder Kundendaten im elektronischen Webshop-System sind mangels gesetzlicher Pflicht zur Aufbewahrung jedoch zu löschen.