Das Recht auf Vergessenwerden ist ein zentraler Bestandteil der DSGVO. Betroffene können somit bei Verantwortlichen Stellen eine Löschung ihrer personenbezogenen Daten beantragen. Doch Verantwortliche (Unternehmen) sind nicht nur dazu verpflichtet diese Anträge umzusetzen, sondern auch aktiv ein Löschkonzept für personenbezogene Daten intern aufzusetzen, um Löschfristen und Aufbewahrungsfristen einzuhalten. Wie verhält es sich jedoch im Besonderen bei ungenutzten Kundenkonten? Und muss ein Verantwortlicher Kunden eine Löschfunktion im Konto anbieten?

MÜSSEN UNGENUTZTE KUNDENKONTEN EINES ONLINESHOPS GELÖSCHT WERDEN?

Das Recht auf Löschung (Recht auf Vergessenwerden) gem. Art. 17 DSGVO eröffnet nicht nur einer betroffenen Person eine gewisse Kontrolle über die eigenen personenbezogenen Daten, sondern verpflichtet auch Unternehmen und Verantwortliche diese nach Zweckverfall zu löschen, sofern diesem Zweck keine gesetzlichen Aufbewahrungsfristen mehr entgegenstehen. Doch wie ist dieses datenschutzrechtliche Grundrecht auf ungenutzte Kundenkonten anzuwenden? Gilt bereits ein Zweckverfall, wenn ein Konto wenige Jahre nach einer Bestellung nicht aktiv genutzt wird? Ein potentielles Kundenkonto kann eine Vielzahl an personenbezogenen Daten enthalten:

• Name, Vorname
• Adresse
• Kontaktdaten (E-Mail, Telefonnummer, Handynummer)
• Zahlungsmittel
• Konfektionsgrößen
• Manchmal auch Gesundheitsdaten

Natürlich gilt auch bei der Einrichtung eines Kundenkontos immer der Grundsatz der Datenminimierung  gem. Art. 5 Abs. 1 lit. c DSGVO. D.h. es dürfen nur Daten verarbeitet werden, welche für den Zweck einer Bestellung wirklich notwendig sind. Für die Abwicklung eines Vertrages sind bestimmte personenbezogene Daten notwendig. Zur Auslieferung der Ware zum Beispiel ist eine Adresse notwendig.

Um zu eruieren, ob ungenutzte Kundenkonten nach einer gewissen Zeit gelöscht werden müssen, gilt es zuerst den eigentlichen Zweck eines Kundenkontos zu definieren: „Das Bereitstellen vertraglich notwendiger personenbezogener Daten, um zukünftige potentielle Bestellabwicklungen mittels einer zentralen Datenbank schnell und unkompliziert durchzuführen“ Dies gilt somit auch als Service gegenüber jedem Kunden. Das Anlegen eines Kundenkontos erfolgt außerdem nur nach Einwilligung gem. Art. 7 DSGVO durch die betroffene Person selbst. Somit wäre auch eine aktive Löschung erst nach Widerruf notwendig, was in diesem Fall ähnlich wie ein Antrag auf Löschung zu sehen ist. Doch konzentrieren wir uns weiter auf den potentiellen Zweckverfall eines Kundenkontos. Bei längerer Inaktivität eines Kundenkontos, ist nicht von einem Zweckverfall auszugehen. Der Kunde signalisiert mit dem Eröffnen eines Kundenkontos dem Verantwortlichen seine Bereitschaft, dass es in Zukunft zu Vertragsabschlüssen kommen kann. Die „Nichtnutzung“ bedeutet im Umkehrschluss nicht, dass der Kunden kein Interesse mehr an den Waren oder der Dienstleistung hat. Der Verantwortliche muss also nicht inaktive Kundenkonten löschen. Sollte der Kunden jedoch ein zweites Konto eröffnet haben über das alle neuen Bestellungen ablaufen, ist das alte Konto zu löschen.

MÜSSEN KUNDEN IHR KONTO SELBST LÖSCHEN KÖNNEN?

Das Recht auf Vergessenwerden wurde bereits thematisiert und beschrieben. Auch dass Verantwortliche bestimmte personenbezogene Daten trotz Löschersuchen des Betroffenen im Zuge von Aufbewahrungspflichten weiterhin speichern müssen, wurde weiter oben bereits beschrieben. Doch muss es eine direkt Funktion im Kundenkonto geben, die eine direkte Löschung umsetzt? Ein Antrag gem. Art. 17 DSGVO muss zwar innerhalb einer Frist von vier Wochen durch den Verantwortlichen veranlasst werden, jedoch schreibt die DSGVO nicht die Art und Weise vor, wie dies beantragt werden muss. D.h. eine verantwortliche Stelle ist nicht verpflichtet eine Schaltfläche im Konto anzubieten über die ein Löschung beantragt oder vorgenommen werden kann. Zwar ist der Verantwortliche verpflichtet gem. Art. 12 Abs. 2 DSGVO verpflichtet „(…) der betroffenen Person die Ausübung ihrer Rechte gemäß den Artikeln 15 bis 22 [zu erleichtern](…)“ Auch hier ist jedoch nicht definiert, wie dies geschehen muss. Unter Erleichterung ist bereits eine schnelle und unkomplizierte Umsetzung des Löschantrags zu verstehen.