Löschung von Kundenkonten

Haufe Online Redaktion

Nach der DSGVO sollte das Löschen von Nutzerkonten bei sozialen Netzwerken, Online-Shops oder anderen Diensten mitsamt den hier gespeicherten Daten problemlos möglich sein. In der Praxis gestaltet sich dies meist alles andere als einfach. Und vor allem: Wie kann der Nutzer sicherstellen, dass die zu ihm gespeicherten Daten auch tatsächlich gelöscht sind?

Wer Online-Shops, Foren, Mail-Dienste oder soziale Netzwerke nutzt, verwendet in der Regel Kundenkonten. Doch was ist, wenn registrierte Nutzer ihren Account löschen wollen? Die DSGVO enthält das Recht auf Datenlöschung, das auch Online-Händler vor allem in Bezug auf Personendaten aus Kundenkonten zwingend beachten müssen. Tatsächlich aber machen Kunden bei der Auflösung ihrer Online-Konten meistens ganz andere Erfahrungen und stoßen auf teils erhebliche Schwierigkeiten.

Risiko durch Fortbestand ungenutzter Kundenkonten

Dabei stellt der Fortbestand ungenutzter Konten ein hohes Risiko dar: Da viele Nutzer im Internet die gleichen Log-in-Daten für verschiedene Portale verwenden, macht ein Datenleck bei nur einem Anbieter gleich mehrfach angreifbar. Die Daten werden im schlimmsten Fall im Darknet verkauft oder von Kriminellen missbraucht.

DSGVO: Recht auf Löschung von Kundenkonten

Nach Art. 17 DSGVO müssen Anbieter auf Verlangen des Nutzers dessen personenbezogene Daten unter bestimmten Voraussetzungen löschen. Ein Löschungsanspruch besteht gemäß Art. 17 DSGVO dann, wenn

die Daten für die Zwecke, für die sie erhoben oder verarbeitet wurden, nicht mehr notwendig sind,
der User seine Einwilligung in die Datenspeicherung widerruft (was er jederzeit kann) und eine anderweitige Rechtsgrundlage für die Weiterverarbeitung der Daten fehlt,
der User gegen die Verarbeitung seiner Daten Widerspruch (Art. 21 Abs. 1 DSGV O) einlegt und keine vorrangigen berechtigten Gründe für die Verarbeitung vorliegen,
sich eine rechtliche Verpflichtung zur Löschung aus dem Recht der EU oder den nationalen Bestimmungen des betreffenden Mitgliedstaates ergibt sowie
unter bestimmten Voraussetzungen bei der Speicherung von Daten Minderjähriger.

Was, wenn Daten bereits öffentlich gemacht oder weitergegeben wurden?

In diesem Fall treffen den Verantwortlichen besondere Pflichten. Hat er personenbezogene Daten öffentlich gemacht, so ist er gemäß Art. 17 Abs. 2 DSGVO verpflichtet, unter Einsatz der verfügbaren Technologie und unter Berücksichtigung der entstehenden Kosten angemessene Maßnahmen zu treffen, die weiteren, für die Datenverarbeitung Verantwortlichen darüber zu informieren, dass ein User die Löschung aller Links zu seinen personenbezogenen Daten, von Kopien sowie die Löschung von Replikationen personenbezogener Daten verlangt hat.

Ausnahmen von der Pflicht zur Datenlöschung

Die einfachste Lösung ist es, wenn der Verantwortliche dem User die Möglichkeit einräumt, die Löschung durch Betätigung einer entsprechenden Schaltfläche oder eines Links selbst zu vollziehen. Auf diese einfache Möglichkeit hat der Kunde allerdings keinen Anspruch. Die Ausgestaltung des Löschvorgangs liegt im Ermessen des Anbieters. Aus Art. 12 Abs. 2 DSGVO folgt lediglich die Pflicht, die Ausübung des Löschungsrechts zu erleichtern. Diese Pflicht kann aber auch durch die umgehende und abschließende Bearbeitung von Kundenanträgen erfüllt werden. Wichtig: Die Löschung der Daten hat auf eine Weise zu erfolgen, dass eine Wiederherstellung nicht ohne weiteres möglich ist.

Kundenkonto löschen: So gelingt es

Zur Geltendmachung des Löschungsanspruches empfiehlt sich folgende Vorgehensweise:

Finden Sie keine direkten Lösch-Funktionen, sollten Sie zunächst auf den Hilfe-Seiten der Websites nachschauen, wo entsprechende Hinweise zu finden sein sollten.
Bei deutschen Anbietern können Sie mit Hinweis auf die DSGVO eine Löschung Ihrer Daten verlangen. Diese Aufforderung können Sie dem Anbieter auch per E-Mail zukommen lassen.
Mit Ihrer Aufforderung sollten Sie unbedingt eine Bestätigung der Löschung durch den Anbieter verlangen sowie
die Mitteilung, welche Daten gegebenenfalls aufgrund welcher Gesetzesgrundlage vom Anbieter weiter gespeichert werden.
Reagiert der Anbieter nicht, können Sie sich an die Datenschutzbehörde Ihres Bundeslandes wenden, die Ihnen weiterhelfen kann.
Bereits vor dem Anlegen eines Accounts sollten Sie die AGBs der Anbieter daraufhin überprüfen, wie es mit den Möglichkeiten zum Löschen der eigenen Daten aussieht.

Kundenkonto: Nur teilweise Löschung

Eine tatsächliche Löschung der Daten findet in der Regel nur teilweise statt. Anbieter machen häufig von ihrem Recht Gebrauch, einen Teil der Daten aus dem Kundenkonto auch nach dessen Löschung fortzuspeichern,

wenn sie zu anderen Zwecken verarbeitet werden dürfen (z.B. für den Newsletter-Versand bei nicht widerrufener Einwilligung),
wenn die Verarbeitung der Erfüllung rechtlicher Pflichten dient (z.B. Rechnungserstellung und -aufbewahrung),
wenn die Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich sind.

Weitere News zum Thema:

Datenschutzrechtliche Auskunftspflicht

Schon wieder Datenbank mit gehackten E-Mail Adressen gefunden

Meistgelesene beiträge

Neueste beiträge

32. Tätigkeitsbericht des Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI)

23.04.2024
Krisenpräventionsumfrage 2023 zeigt die Herausforderungen des Krisenmanagements

17.04.2024
EU-Kommission und EU-Parlament einigen sich auf neues Gesetzpaket zur Bekämpfung der Geldwäsche

16.04.2024
Compliance als Grundstein der Unternehmenskultur

10.04.2024
DIHK-Umfrage sieht Datenschutzgrundverordnung als Bürokratietreiber

03.04.2024
Faxe sind ein Datenschutzrisiko

02.04.2024
Europaweite Datenschutzaktion zum Auskunftsrecht der Datenschutzgrundverordnung

27.03.2024
Datenschutzbehörden führen automatisierte Prüfungen von Cookie-Bannern durch

26.03.2024
EU-Lieferketten-Richtlinie verabschiedet!

18.03.2024
Das Europäische Parlament hat den AI-Act beschlossen

14.03.2024