DSGVO: Entscheidung der DSB zur partiellen Löschungsverpflichtung personenbezogener Daten im Rahmen eines Kundenbindungsprogrammes

18. Februar 2020 – need2know

Viele Unternehmen gewähren im Rahmen von Kundenbindungsprogrammen Vorteile und Vergünstigungen, die an den Bedarf und die Interessen ihrer Kunden angepasst sind. Um solche personalisierte Angebote unterbreiten zu können, ist regelmäßig die Verarbeitung von Daten (z.B. Auswertung des Einkaufsverhaltens) erforderlich. Rechtsgrundlage für die Verarbeitung dieser Daten ist im Regelfall die Einwilligung des Teilnehmers nach Artikel 6 Abs 1 lit a DSGVO, in bestimmten Konstellationen kann auch das berechtigte Interesse des Verantwortlichen nach Artikel 6 Abs 1 lit f DSGVO ins Treffen geführt werden.

Bei einem Widerruf der Einwilligung nach Artikel 7 DSGVO bzw. bei einem (berechtigten) Widerspruch nach Artikel 21 DSGVO durch den Teilnehmer des Programmes ist und war es auch bis dato unstrittig, dass die Verarbeitung der Daten ab diesem Zeitpunkt nicht mehr erfolgen darf und die Daten zu löschen sind. Wie aber wäre vorzugehen, wenn ein Teilnehmer die Löschung nur bestimmter Datenarten verlangen würde (partielles Löschbegehren), aber an der Teilnahme am Programm, um die daraus resultierenden Vorteile weiterhin zu erhalten, festhalten wollen würde? Muss der Verantwortliche einem solchen Löschungsbegehren auch Genüge tun?

Mit dieser Frage beschäftigte sich die DSB in einem aktuellen Beschwerdeverfahren und hat eine für Unternehmer prinzipiell erfreuliche Entscheidung getroffen.

Der Beschwerdegegner bot nämlich dem Betroffenen nur die vollständige Löschung an, und argumentierte dies damit, dass eine partielle Löschung einzelner Datenfelder aus technischen Gründen nicht möglich sei. Der Betroffene hatte aber gerade nicht den Wunsch, dass seine Daten vollständig gelöscht werden, um seine Teilnahme am Kundenbindungsprogramm weiterhin aufrecht zu erhalten.

Grundsätzlich vertrat die DSB zwar weiterhin ihre bisherige Rechtsmeinung, dass Betroffenenrechte auch partiell, somit nur im Hinblick auf gewisse personenbezogenen Daten, ausgeübt werden können. Voraussetzung für eine partielle Löschung ist aber naturgemäß, dass der Verantwortliche überhaupt dazu technisch in der Lage ist, einzelne Datensätze zu löschen, und ihn gegebenenfalls die Pflicht trifft, technische Maßnahmen für ein solches Löschbegehren vorzusehen. Klärungsbedürftig war daher, ob den Verantwortlichen eine solche Pflicht trifft.

Aus dem Grundsatz der Verarbeitung nach Treu und Glauben folgt unter anderem die Verpflichtung des Verantwortlichen, geeignete technische und organisatorische Maßnahmen umzusetzen, um die in der DSGVO normierten Pflichten zu erfüllen. Diese Maßnahmen sind unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken der Verarbeitung für die Rechte und Freiheiten natürlicher Personen zu treffen. Dadurch wird gewährleistet, dass sich ein Verantwortlicher seiner Pflichten nicht durch ungeeignete technische Maßnahmen entziehen kann.

Bei der Teilnahme an einem Kundenbindungsprogramm und der damit verbundenen Möglichkeit Vergünstigungen in Anspruch zu nehmen, kommt die DSB im Rahmen einer solchen Abwägung zu dem Ergebnis, dass den Verantwortlichen keine Verpflichtung trifft, Maßnahmen zu implementieren, welche eine partielle Löschung der Daten ermöglichen. Die Behörde begründete ihre Auffassung damit, dass eine vollständige Löschung und somit der Wegfall der Mitgliedschaft im Kundenclub keine Erschwernis oder Verhinderung des wirtschaftlichen Fortkommens und auch sonst keinen nennenswerten wirtschaftlichen Nachteil für den Betroffenen darstellt. Weiters wurde ins Treffen geführt, dass sich eine partielle Löschung dahingehend auswirken würde, dass das Unternehmen das Bonusprogramm nicht mehr betreiben könne, was diesem allerdings im Rahmen der Erwerbsfreiheit und der Privatautonomie vorbehalten ist. Die DSGVO diene nämlich nicht nur dem Schutz personenbezogener Daten, sondern soll ebenso einen angemessenen Ausgleich mit den weiteren in der europäischen Union anerkannten Rechten und Freiheiten schaffen.

Im Ergebnis bedeutet dies, dass eine Verpflichtung zur partiellen Löschung von Daten im Rahmen eines Kundenprogrammes nur dann besteht, wenn dies technisch möglich ist. Eine Verpflichtung zur Umsetzung solcher Maßnahmen besteht hingegen nicht, weswegen bei Fehlen der technischen Möglichkeit zur partiellen Löschung eine solche bei Antragstellung durch einen Betroffenen auch nicht verwirklicht werden muss.

Hier finden Sie die Entscheidung der Datenschutzbehörde.

Autor:
Emanuel Hackl

Praxisgruppe:
IP/IT/Datenschutz

Wenn Sie zukünftige Ausgaben von need2know erhalten möchten, folgen Sie uns auf LinkedIn oder senden Sie eine E-Mail an subscribe@bpv-huegel.com.