Skip to content

Uneinbringlich - aber nachfraglich

Interessant. Ein Kunde, bei der wir gewissen offene Posten nie eintreiben konnten, und der seit 2011 kein Kunde mehr ist, möchte jetzt eine Auskunft nach EU-DSGVO.

Ich weiß nicht, ob ich es als Automatismus verbuchen soll, oder meiner Phantasie nach Maledicta freien Lauf lassen soll. :grrr:

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Avarion

Kenne ich aus unserer Firma. Kunde der vor 8 Jahren eine Lastschrift hat platzen lassen und anschließend nicht auf Mahnungen reagiert hat uns am Tag des Inkrafttretens der DSGVO eine Löschaufforderung geschickt.

Vermutlich in der Hoffnung anschließend wieder bei uns einkaufen zu können.

Christian

Ich hätte da eine Muster-Antwort ;-)

Über Sie gespeicherte Daten:
- offene Rechnungen in Höhe von XXX Euro

CC: Gerichtsvollzieher

Avarion

Hilft nicht. Verjährung tritt nach 3 Jahren ein. Man hat nach DSGVO anschließend keine zwingenden Gründe mehr nicht zu löschen.

Bernd Giegerich

"Ich merk' mir die Nasen, mit denen ich keine Geschäfte mehr mache" reicht nicht?

Avarion

Leider nicht. Wir haben es geregelt indem alle Daten des Users gehashed in eine "Mit dem handeln wir nicht mehr" Tabelle eingetragen worden sind. Alle neuen Kundendaten werden dagegen geprüft.

Da wir keine Begründung mit hinterlegen können die Leute von der Liste auch nicht mehr runter kommen. Ist zwar ein Nachteil, auch für uns, aber dafür stellen wir sicher das nicht aus Versehen personenbezogene Daten gespeichert werden.

Andre

Wenn ein Personenbezug herstellbar ist, unterliegt die Hashtabelle jedoch auch der DSGVO. Damit ist also auch nichts gewonnen.

Avarion

Ist in diesem Fall nicht. Wenn Daten wie z.B. eine IBAN reinkommt wird sie gehashed und gegen die Blacklist geprüft. Findet sich darin ein passender Hash wird die Transaktion abgelehnt.

Zu keinem Zeitpunkt kann von dem Hash auf die Person geschlossen werden. Die Daten stehen völlig ohne Kontext in der DB.

Laut Datenschutzbeauftragten, der erst vor kurzem einen Zusatzkurs DSGVO abgeschlossen hat, ist das erlaubt.

Andre

Die DSGVO ist anzuwenden, wenn ein Personenbezug grundsätzlich - auch nur unter Zuhilfenahme von Dritten - hergestellt werden kann.

Und genau das ist auch in diesem Fall möglich. Zum einen wenn sich der Kunde selbst meldet und zum anderen wäre es auch möglich mithilfe einer Adressliste von Dritten einen Abgleich sowie die Zuordnung vorzunehmen.

Avarion

Natürlich, die Methode wurde ja entwickelt um der DSGVO zu entsprechen.

Wie gesagt. Die Methode ist sowohl vom Datenschutzbeauftragten abgesegnet worden sowie als Möglichkeit in der DSGVO Schulung genannt worden.

Wir können mit den Daten auch mit externer Hilfe die Originaldaten nicht wiederherstellen, sondern nur feststellen ob, wenn wir die Originaldaten bekommen, diese auf der Liste sind. Die Daten selber haben keinerlei Bezug untereinander.

Andre

Dass sie entwickelt wurde um der DSGVO zu entsprechen heißt nun mal nicht, dass sie auch tatsächlich der DSGVO entspricht.

Und die Daten (Hashs) sind tatsächlich gerade nicht ohne Kontext gespeichert sondern mit der (impliziten) Information, dass es sich um eine Blacklist handelt.

Zeddi

Stimmt, aber nicht mehr Personenbezogen! Das ist der wichtige Punkt! Von den Daten lässt sich nicht mehr auf eine "echte" Person direkt Rückschließen. Ich kann z.B. nicht den Hash nehmen und von dem Hash auf Paul Meier schließen!

Andre

Doch, denn es ist eben nicht erforderlich, dass sich unmittelbar aus den Daten auf eine Person schließen lässt. Sondern es genügt vollkommen, dass dies unter Zuhilfenahme anderer Quellen, auch wenn auf diese kein Zugriff besteht, möglich ist.

Avarion

Ja, nur selbst mit Hilfe anderer Quellen kann man nicht auf eine Person schließen. Sondern nur darauf das die eingelieferten Daten einem bekannten Hash entsprechen oder nicht.

Aber wie gesagt, ich bin kein Datenschutzexperte. Das System wurde so von unserem Datenschutzexperten und der externen Firma welche auf DSGVO-Verträglichkeit prüft abgenommen. Das System steht natürlich auch so in unseren Unterlagen und eine Abwägung wurde durchgeführt.

Ich vermute das sie als persönliche Daten eingestuft wurden, aber mit einem so niedrigen Schutzbedürfniss das da kein Hahn nach kräht. Da kommt dann tatsächlich der Punkt berechtigtes Interesse.

Engywuck

natürlich kannst Du mit anderen Quellen auf eine Person schließen: wenn Du eine Liste mit Namen und IBAN-Nummern hast kannst Du diese Daten problemlos abgleichen.
Die Frag ist hier eher, ob eine IBAN schon ein "personenbezogenes Datum" ist.

Zeddi

Alle Steuerrelevanten Unterlagen müssen doch 10 Jahre unonymisiert aufbewahrt werden, und "bricht" hier soweit ich weiß doch auch die DSVGO - Rechnungen und ihr "Zahlstatus" gehören da doch sicher mit zu ...?

Avarion

Das ist leicht gesagt und schwer getan. Bei uns wurde lange darüber diskutiert was nun aufbewahrungspflichtig ist und was nicht. Ich kenne das genau Ergebnis nicht. Aber wir mussten weit mehr löschen als meinem Boss lieb war.

Andre

So würde ich das auch sehen. Zweifelspunkt könnte noch sein, ob damit eine Änderung des Verarbeitungszweckes verbunden wäre. Allerdings gibt es ja auch noch das berechtigte Interesse.

Avarion

Problem beim "Berechtigten Interesse" ist, dass du als Verarbeiter belegen musst das dein Interesse einen höheren Stellenwert hat als das Interesse des Users am Datenschutz.

Das muss genau eruiert und dokumentiert werden. Sollte bei einer Beschwerde der Landesdatenschutzbeauftragte nicht deiner Meinung sein, dann bekommst du möglicherweise Stress.

Nur wie wiegt man die beiden Interessen gegeneinander ab?

Andre

Grundsätzlich bietet das berechtigte Interesse schon einen relativ großen Spielraum. Und wenn man auf Nummer sicher gehen möchte, kann man sich als Unternehmen auch vorbeugend beim Landesdatenschutzbeauftragten erkundigen.

Zeddi

Ich bin mir rel. sicher das das lt. steuerrecht eh 10 Jahre aufbewahrt werden muss.

Da ist die DSGVO "raus".

Eine Tabelle mit allen "Sündern" ist sicher etwas anderes, aber Rechnungen und ihr "Zahlstatus" auf den entsprechenden Buchhaltungskonten müssen - soweit ich weis - 10 Jahre aufbewahrt werden.

Avarion

Ja, in den Buchhaltungskonten. Mit denen ist das System welches für die Registrierung und den Einkauf zuständig ist aber schon aus Sicherheitsgründen nicht verbunden.

Und dann wird die Sache kompliziert.

Rechts- und Links-Laie

Das "seit 2011 kein Kunde mehr ist" könnte der Grund sein.
Privatinsolvenz in 2012 plus 6 Jahre Wohlverhaltensphase.

Vielleicht hat er "vergessen", eure Forderungen damals anzugeben, und macht sich Sorgen, ob seine Restschuldbefreiung so klappt, wie er es sich vorstellt?

Kommentar schreiben


Wichtiger Hinweis: Wer hier aus SEO- oder anderen Werbe-Gründen auf eine kommerzielle Seite verlinkt,
geht einen Vertrag über kostenpflichtige Werbung ein. Konditionen und weitere Hinweise.
Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
BBCode-Formatierung erlaubt
Formular-Optionen