Auskunft & Löschung – Wie gehen Sie damit um?

920x3405b28ae0106187

Die Datenschutzgrundverordnung ist seit gut drei Wochen in Kraft und schon jetzt haben Kunden von ihren Betroffenenrechten Gebrauch gemacht.

Der Kunde (=betroffene Person) unterliegt einer Vielzahl von automatisierten Verarbeitungsprozessen im Online-Shop. Die DSGVO hat die Auskunft- und Löschansprüche von betroffenen Personen gestärkt, die gegenüber dem Online-Händler (Verantwortlichen) geltend gemacht werden können.

In unserer Beitragsreihe haben wir Sie bereits über die weitreichenden Betroffenenrechte informiert. Doch wie soll man einer möglichen Flut an Auskunfts- und Löschungsanfragen der Kunden am besten begegnen? Auf was ist bei der Beantwortung der Anfragen zu achten? Damit beschäftigt sich der folgende Tipp der Woche.

Mit welchen Anfragen hat der Online-Händler zu rechnen?

Die Betroffenenrechte umfassen u.a. das Recht auf Auskunft und Löschung von personenbezogenen Daten.

! Wichtig ist, dass die Rechte unabhängig voneinander geltend gemacht werden können.

Auskunftsrecht

Zunächst kann der Betroffene Auskunft über seine verarbeiteten personenbezogenen Daten beim verantwortlichen Online-Händler beantragen. Die Auskunft ermöglicht der betroffenen Person eine Überprüfung, ob bzw. welche personenbezogenen Daten (rechtmäßig) verarbeitet werden.

Bei einem Auskunftsersuchen Ihrer Kunden empfehlen wir folgende Vorgehensweise:

1. Inhaltliche Prüfung- Was will der Kunde?

In einem ersten Schritt ist zu prüfen, ob es sich bei der eingegangenen Mitteilung überhaupt um ein datenschutzrechtliches Auskunftsersuchen nach Art. 15 Abs. 1 DSGVO handelt. Handelt es sich um eine allgemeine Beschwerde oder ist der Anfrage doch ein datenschutzrechtliches Auskunftsbegehren zu entnehmen? Der betroffenen Person steht es zudem frei, in welcher Form Sie einen Auskunftsantrag stellt. Daher ist es für Ihr Unternehmen besonders wichtig, dass Ihre Mitarbeiter oder Serviceabteilung für mögliche telefonische bzw. schriftliche Auskunftsanfragen ausreichend sensibilisiert und geschult ist.

2. Werden überhaupt Daten des Antragstellers gespeichert?

Das Recht auf Auskunft betrifft nur die Verarbeitung von personenbezogenen Daten (z.B. Name, Anschrift, E-Mailadresse). Darüber hinaus gehende Auskünfte sind nicht zu erteilen.

rechtstipp_blog_banner_dsgvo_schutz5ad45eb232b6e

Eine Auskunft ist nur vom denjenigen zu erteilen, der für die Verarbeitung der Daten verantwortlich ist. Richtet ein Kunde seine Anfrage nicht an Sie, sondern an einen Ihrer Auftragsverarbeiter (z.B. Dienstleister für den Newsletter), ist dieser gehalten Ihnen das Auskunftsersuchen des Kunden zur weiteren Bearbeitung weiterzuleiten.

! Werden keine Daten des Antragstellers verarbeitet, ist dies dem Anfragenden dennoch mitzuteilen (sogenannte Negativauskunft).

3. Wer ist der Antragsteller?

Ein Kunde hat von seinem Recht auf Auskunft Gebrauch gemacht. Und nun? Um alle geforderten Informationen zusammenzustellen, bedarf es ausreichender Informationen über die betroffene Person. Dies ist insbesondere schwierig, wenn unzureichende Informationen (z.B. Anfragen mittels Fantasie-E-Mailadressen) vorliegen und der Antragsteller in Ihrem EDV-System nicht identifiziert werden kann.

Wichtig ist, dass Sie stets die Identität des Anfragenden nachweisen können, denn die Datenauskunft darf nicht an unbefugte Dritte erfolgen. Sie als Online-Händler haben dabei alle vertretbaren Mittel zur Identitätsprüfung in Erwägung zu ziehen. Wenn Sie Zweifel an der Identität eines Antragstellers haben, ist dieser auf die fehlende Identifizierbarkeit hinzuweisen. Die betroffene Person hat sodann weitere Informationen nachzureichen, wie etwa die postalische Adresse bzw. Rechnungsadresse bei einem elektronischen Auskunftsantrag.

Ist der Betroffene letztendlich nicht eindeutig identifizierbar, kann keine Auskunft über die Verarbeitung von personenbezogenen Daten erteilt werden. Die betroffene Person ist auch hierüber, sofern eine Kontaktmöglichkeit besteht, zu informieren.

4. Welche Informationen sind zu erteilen?

Die betroffene Person ist insbesondere über folgende Punkte zu informieren:

  • über die Verarbeitungszwecke der Daten;
  • über die Kategorien personenbezogener Daten, die verarbeitet werden;
  • über die Speicherdauer, oder, falls dies nicht möglich ist, über die Kriterien für die Festlegung dieser Dauer;
  • über das Bestehen eines Rechts auf Berichtigung, Löschung und Einschränkung sowie über das Widerspruchsrechts gegen die Verarbeitung von personenbezogenen Daten

Eine vollständige Auflistung der verpflichtenden Informationen finden Sie hier.

Sie müssen dem Kunden zudem eine Kopie über die bei ihm gespeicherten personenbezogenen Daten zur Verfügung zu stellen.

5. In welcher Form hat die Auskunft zu erfolgen?

Ein gesetzliches Muster für die Auskunftserteilung ist in der DSGVO nicht vorgesehen. Informationen und Auskünfte können an die betroffene Person in jeder Form erteilt werden: schriftlich, elektronisch oder auf Wunsch auch mündlich (Art. 12 Abs. 1 S. 2 u. 3 DSGVO). Stellt Ihr Kunde seinen Auskunftsantrag elektronisch (z.B. per E-Mail), müssen Sie die Auskunft auch in einem solchen Format (z.B. als PDF-Dokument) zur Verfügung stellen, sofern die betroffene Person nichts anderes angibt. Die gesamte Korrespondenz mit dem Kunden sollte in präziser, transparenter, verständlicher und leicht zugänglicher Form und in einer klaren und einfachen Sprache erfolgen.

6. Welche Fristen gelten?

Auskunftserteilungen (auch Negativauskünfte) müssen unverzüglich erfolgen, spätestens aber innerhalb eines Monats (Art. 12 Abs. 3 DSGVO). In begründeten Ausnahmefällen kann diese Frist überschritten werden, worüber der Betroffene zu informieren ist (z.B. bei einer hohen Auslastung an Anträgen).

7. Wie oft darf der Kunde Auskunft verlangen?

Wie oft der Kunde sein Auskunftsrecht in Anspruch nehmen darf, ist der DSGVO nicht zu entnehmen. Das Gesetz nennt lediglich ein mögliches Auskunftsersuchen in angemessenen Abständen. Sofern der Kunde in einem jährlichen Turnus Auskunft verlangt, wird man grundsätzlich von einem angemessenen Zeitabstand zwischen den Anfragen ausgehen können. Bei einer großen Menge gespeicherter Daten über die betroffene Person kann der Verantwortliche verlangen, dass der Antragsteller genau bestimmt, auf welche Informationen oder Verarbeitungsvorgänge er sich konkret bezieht (EG 63 S. 7 DSGVO). Offenkundig unbegründete oder exzessive Anträge können zur Ablehnung oder zu einer Kostenerstattungspflicht führen, wofür Sie als verantwortlicher Online-Händler die Beweislast tragen (Art. 12 Abs. 5 S. 2 DS-GVO).

Auch der Anspruch auf eine Datenkopie über alle verarbeiteten personenbezogenen Daten ist kostenlos. Auch hier gilt: Bei häufigen Anfragen weiterer Datenkopien können Sie als Online-Händler ein angemessenes Entgelt verlangen.

8. Auskunftsrecht und Datenverarbeitung?

Um einem Auskunftsersuchen gerecht zu werden, ist ein strukturierter Prozessablauf das A und O. Auskunftsanfragen beinhalten personenbezogene Daten und werden in Ihren Systemen zur weiteren Bearbeitung gespeichert. Auch diese Daten unterliegen den Grundsätzen der DSGVO. So sind die beinhalteten personenbezogenen Daten der Auskunftsanfrage insbesondere nur für den Zweck der Auskunftserteilung zu verarbeiten. Die Daten Ihrer Kunden sollten zudem auch nicht von vornherein für ein mögliches Auskunftsersuchen in Ihrem Kundensystem vorgehalten werden.

Recht auf Löschung

1. Was bedeutet Datenlöschung?

Neben dem Recht auf Auskunft besteht für personenbezogene Daten das Recht auf Löschung. Das bedeutet, dass der verantwortliche Online-Händler betreffende personenbezogene Daten des Kunden unverzüglich löschen muss, sofern einer der in Art. 17 Abs. 1 genannten Gründe zutrifft. Dies ist u.a. dann der Fall, wenn die personenbezogenen Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind oder wenn die betroffene Person ihre Einwilligung widerruft und es an einer anderweitigen Rechtsgrundlage für die Verarbeitung fehlt. Die Löschung der Daten ist unverzüglich, d.h. ohne schuldhaftes Zögern vorzunehmen. ! Auch ohne direkte Aufforderung der betroffenen Person hat der Verantwortliche personenbezogene Daten insbesondere in den oben genannten Fällen zu löschen.

2. Löschung und Aufbewahrungsfristen

Nach Art. 17 Abs. 3 b) DSGVO ist das Recht des Betroffenen auf Löschung seiner personenbezogenen Daten ausgeschlossen, wenn die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist. Zu den Rechtspflichten in diesem Sinne gehören vor allem handelsrechtliche und steuerrechtliche Aufbewahrungspflichten. Gemeint sind damit alle Daten, die Sie für eine ordnungsgemäße Buchführung benötigen (§ 257 Handelsgesetzbuch und § 147 Abgabenordnung).

Das Gesetz bezieht sich dabei auf alle Handelsbriefe (E-Mailkommunikation mit dem Kunden, Rechnungen, Bestellungen, Bestellbestätigungen, etc.) Die für die Buchhaltung benötigten Daten sind für den gesetzlich festgelegten Zeitraum von 6 bzw. 10 Jahren von Ihnen zu speichern. Allerdings gilt auch weiterhin, dass diese Daten in einem solchen Fall nicht über die Zwecke der Speicherung hinaus verarbeitet werden dürfen. Zudem besteht nach Art. 24 Abs. 1 DSGVO die Pflicht, die Verarbeitung nach diesen Anforderungen durch den Einsatz geeigneter technischer und organisatorischer Maßnahmen sicherzustellen. Das bedeutet beispielsweise, dass solche Daten in einer getrennten Datenbank für solche Zwecke aufbewahrt werden sollten. Zusätzliche bzw. auch identische Datensätze (z.B. im Kundenkonto) fallen nicht unter die Aufbewahrungsfrist. Es sind nur die Datensätze (Daten in den Handelsbriefen) aufzubewahren, die für eine Buchführung erforderlich sind.

Erst nach Ablauf der gesetzlichen Aufbewahrungsfristen sind auch diese personenbezogenen Daten zu löschen.

3. Löschkonzept für den Online-Shop

Was bedeutet Löschung? Auch darüber schweigt die DSGVO. Eine Datenlöschung liegt vor, wenn die Daten nicht mehr ohne unverhältnismäßigen Aufwand reproduziert werden können, sprich die Daten sollen unkenntlich- bzw. unbrauchbar gemacht werden. Für einen Löschvorgang reicht es demnach nicht aus, personenbezogene Daten auf einem verschlüsselten Server zu speichern.

Die Einhaltung der Löschpflichten ist sehr komplex und kann grundsätzlich nur durch ein detailliertes Löschkonzept im Unternehmen gewährleistet werden.

Sie als Online-Händler sind demnach gehalten die Datenspeicherung in Ihrem EDV-System mit einem möglichen Löschkonzept abzustimmen. Wichtig ist, dass Sie in Ihrem System erkennen für welchen Zweck die Daten verarbeitet werden, wann die Daten aufgrund des Zweckfortfalls gelöscht werden müssen und welche Daten den Aufbewahrungsfristen unterliegen.

4. Welche Frist gilt bei einem Löschantrag?

Wie oben beschrieben sind die Daten bei Vorliegen eines Löschgrundes unverzüglich zu löschen. Stellt die betroffene Person einen Löschungsantrag ist neben der Datenlöschung zu beachten, dass die betroffene Person spätestens innerhalb eines Monats nach Eingang des Löschungsantrags über die ergriffenen Maßnahmen bzw. über die Gründe der Ablehnung zu informieren ist.

Wie bei einem Auskunftsersuchen sind die Informationen zur Datenlöschung dem Kunden transparent und in einer verständlichen Form zur Verfügung zu stellen.

Fazit

Die weitreichenden Auskunfts- und Löschungspflichten stellen den Online-Händler vor neue bürokratische Herausforderungen. Nach Aussage der Datenschutzbehörden sind von Unternehmen „organisatorische Vorkehrungen für zügige und korrekte Auskunftserteilungen zu treffen“ (Siehe Kurzpapier Nr. 6 der DSK). Schließlich betrifft der ordnungsgemäße Umgang mit den Betroffenenrechten auch einen Teil der Rechenschaftspflicht, welcher verantwortliche Online-Händler unterliegen.

Doch das ist einfacher gesagt als getan. Die Bearbeitung von Auskunftsanträgen und Löschanfragen ist so in Ihre unternehmerischen Prozessabläufen zu integrieren, dass eine fristgerechte Bearbeitung von Anfragen gewährleistet ist. Zusätzlich sollten Sie Ihr EDV-System auf Löschmöglichkeiten überprüfen und, ggf. zusätzliche Löschregeln für die gespeicherten Daten aufstellen.

In unserem DSGVO-Manager (Link) stellen wir Ihnen für ein Auskunftsersuchen sowie Löschanfragen Ihrer Kunden Mustertexte zur Verfügung, die Sie im Umgang mit den Betroffenenrechten unterstützen.

Über den Autor


20170713_Portraets_Konstatin_ANE

Konstantin Schröter ist Master of Laws (LL.M.) und als Legal Consultant bei der Trusted Shops GmbH tätig. Bachelorstudium des Wirtschaftsrechts an der Technischen Universität Dresden sowie Masterstudium an der Technischen Hochschule Köln. Im Rahmen seiner Tätigkeit betreute er den Audit-Prozess DACH und war für die Vorabprüfung kritischer Geschäftsmodelle bezüglich der Einhaltung der Trusted Shops Qualitätskriterien zuständig. Konstantin Schröter betreut die Trusted Shops Abmahnschutzpakete und setzt sich intensiv mit rechtlichen Fragestellungen des E-Commerce auseinander.

Kommentar schreiben

Bitte geben Sie die Zahlenfolge in das nachfolgende Textfeld ein

Die mit einem * markierten Felder sind Pflichtfelder.
Kommentare

Hallo Herr Schröter,
eine gute Zusammenfassung der Problematiken zur Datenauskunft und zum Löschwusch.
Bei mir bleibt aber die Frage offen, wie ich die Vorgänge richtig dokumentiere.
Den Verlauf einer Datenauskunft kann ich im WWS eintragen um erklären zu können, was ich wie gemacht habe.
Aber wie Dokumentiere ich die Löschung. Habe ich die Daten anonymisiert oder gelöscht, kann ich nichts mehr zu dem Vorgang erklären, weder zeitlichen Verlauf, noch was ich gemacht habe (z.B. wann ich den Betroffenen darüberinformiert habe, dass ich seine Daten lösche). Die Kommuikation zum Löschwunsch ist aus meiner Sicht kein Geschäftsbrief mit Aufbewahrungspflicht.

Von L. Becke | 25.06.2018 15:55

Hallo Herr Becke, vielen Dank für Ihren Kommentar. Naturgemäß verbleiben bei Ihnen, wie Sie selbst sagen, alleine schon aufgrund der Kommunikation zum Löschungsantrag bestimmte Daten des Betroffenen. Sie können die Zeit der Löschung dokumentieren und dieser Zeitangabe die E-Mail-Adresse des Antragstellers hinzufügen (zur Orientierung, sinngemäß sollten Sie möglichst wenige Daten der Person behalten). Die wenigen Daten, die Sie aber für die Kommunikation und Information rund um die Löschung brauchen, sollten gem. Art. 17 Abs. 3 DSGVO nicht gelöscht werden, da sie in dem Falle den Dokumentations- und Nachweispflichten dienen. Viele Grüße Konstantin Schröter

Von Konstantin Schröter | 22.08.2018 12:10

Das ist ja alles gut und schön, aber wie der Artikel selbst sagt, steht die steuerrechtliche Aufbewahrungspflicht dagegen. Ein Shopsystem erzeugt z. B. eine Rechnung, und auf der sind nun einmal Name, Adresse, Emaildresse vorhanden. In einem ordentlichen elektronischen Datenspeicherungssystem (so etwas verlangt die GoBD) sind diese Daten jederzeit wieder auslesbar. Ich kann zwar die im Shop hinterlegten Daten (z. B. Kundendateien) auf Kundenwunsch löschen, aber das hat vor diesem Hintergrund keine praktische Bedeutung. Man gewinnt immer mehr den Eindruck, dass sowohl der Gesetzgeber als auch die Gerichte den Kontakt zur Realität des Onlinegeschäftes und der Internetaktivitäten allgemein verloren haben.

Von Dr. Reinhard-Holger Casselmann | 02.07.2018 15:17

Hallo Herr Dr. Casselmann, wenn der Gesetzgeber explizit diese Ausnahmefälle in der Regelung vorgesehen hat, dann zeugt das eher davon, dass er die Realität im Blick hatte, als er die Norm geschaffen hat, als umgekehrt. Die Daten, die für steuerrechtliche und buchhaltungsbezogene Tätigkeiten nötig sind, sollten auch nur in diesen Fällen und ausschließlich zu den vorgeschriebenen gesetzlichen Zwecken verarbeitet werden. Es empfiehlt sich die Daten, welche aufgrund handelsrechtlicher Vorgaben aufbewahrt werden müssen, in einem gesonderten geschützten Bereich zu speichern (z.B. separater geschützter Server, der nur dem zuständigen Personal einen Zugriff gewährt). Viele Grüße Konstantin Schröter

Von Konstantin Schröter | 22.08.2018 12:18

Hallo,
soweit sind die Aufstellungen/ Erklärungen verständlich.... und deckt sich ziemlich mit den allgemeinen Informationen.

vorab: wir sind gewerblich mit einem Onlineshop tätig...

ABER... Beispiel:
Ich erhalte eine Anfrage (per E- Mail- eines mir u. unserer Firma völlig unbekannten) "mit dem Wunsch auf Auskunft ob und falls -ja- welche Daten gespeichert sind- und Aufforderung zum Löschen der Daten ".
In dieser gerade erhaltenen E- Mail werden mir natürlich die üblichen Absenderangaben, wie zumindest Name und E- Mail Adresse des Auskunftssuchenden übermittelt.

Eigentlich hätte ich bis zum Eingang der E- Mail mitteilen können,
dass wir keine Daten gespeichert hätten.

Mit Eingang der E- Mail ergeben sich im Regelfall doch automatisch gespeicherte Daten ??

Theoretisch ist ein Verneinen- und nicht umfangreiches Antworten und Löschen auf dem Kommunikationsweg E- Mail annähernd ausgeschlossen ?
... oder sehe ich es zu eng...?

Viele Grüße Jens

Von Jens | 02.07.2018 16:28

Hallo Jens, vielen Dank für Ihren Kommentar. Naturgemäß verbleiben bei Ihnen allein schon aufgrund der Kommunikation zur Anfrage bestimmte Daten des Betroffenen. Dem Auskunftsersuchenden sollte daher transparent mitgeteilt werden, dass aufgrund des Antrags Daten zur Bearbeitung der Angelebenheit verarbeitet werden (z.B.Name, E-Mailanschrift) Die wenigen Daten, die Sie für die Kommunikation und Information rund um die Beantwortung der Anfrage brauchen, sollten gem. Art. 17 Abs. 3 DSGVO nicht gelöscht werden. Es empfiehlt sich die gesamte Kommunikation aufgrund der Nachweis- und Dokumentationspflichten aufzubewahren (in der Regel bis zu 3 Jahren). Viele Grüße Konstantin Schröter

Von Konstantin Schröter | 22.08.2018 12:30

Vielen Dank für die ausführliche und leicht verständliche Erklärung zur Auskunftserteilung bzw. Löschanfrage nach DSGVO. Sehr lehrreich!

Von Chefchen | 06.07.2018 19:42

Wie löscht man denn Daten, die noch benötigt werden, um den Löschwilligen zu informieren? Hier beisst sich die Katze in den Schwanz - denn sobald ich per E-Mail informiere, dass die Daten gelöscht wurden, habe ich mindestens die E-Mail Adresse schon wieder automatisiert erfasst.
Bei einer Aktion unsererseits kam zusätzlich auf die Bestätigungsmail, dass die Daten gelöscht wurden, eine Abwesenheits-E-Mail des Löschwilligen, in deren Signatur Adresse und sämtliche Telefonnummern nebst Handy standen (die ich dann ja eigentlich sofort wieder löschen müsste). Eine Löschung ist also technisch im Grunde nie möglich.

Von Dieter | 09.07.2018 15:34

Hallo Dieter, vielen Dank für Ihren Kommentar. Bezüglich der Problematik wird auf die obigen Antworten verwiesen. Viele Grüße Konstantin Schröter

Von Konstantin Schröter | 22.08.2018 12:32

Beitrag teilen

Blogsuche

Passende Artikel

  • Abmahnschutz PREMIUM
    Der  Trusted Shops Abmahnschutz PREMIUM bietet Ihnen immer aktuelle und abmahnsichere Rechtstexte für bis zu fünf Internetpräsenzen – egal ob eigener Shop, eBay oder Amazon. Zusätzliche...

    49,90 €

    pro Monat

Passende Artikel

  • Datenschutz 360
    Die Datenschutzgrundverordnung bringt jede Menge Veränderungen für Ihr Unternehmen mit sich. Der DSGVO-Schutz bietet bewährte Werkzeuge zur einfachen und schnellen Umsetzung der DSGVO zum...

    958,80 €