Ein Spendenportal hat meine Adresse von irgendwo her (wahscheinlich gekauft) und hat mich mehrfach angeschrieben. Auf meine Aufforderung, meine Adresse aus dem Verteiler zu entfernen folgt die Mitteilung, meine Adresse sei deaktiviert und nach Rückfrage, die Adresse könne nicht gelöscht werden, weil das Portal verpflichtet sei, die Adresse aufzubewahren.
Stimmt das?
Du könntest dem Laden mal einen Link zukommen lassen, ggf. mit einem Zitat daraus:
https://dsgvo-gesetz.de/art-17-dsgvo/
Es kann durchaus Aufbewahrungsfristen geben. Zu prüfen wäre z. B, ob die bisherige Korrespondenz bzw. ein Teil davon als s. g. Handelsbrief gewertet werden kann. Dann muss die Korrespondenz sechs (faktisch bis zu sieben) Jahre verwahrt werden. Es kann auch sein, dass elektronische Korrespondenz grundsätzlich so lange verwahrt wird. Wenn ein entsprechendes zertifiziertes Archivsystem verwendet wird, ist das AFAIK auch zulässig.
Hast Du denn die Formulierung hier 1:1 widergegeben? Es kommt auf die Details an. Ggf. nochmal hinschreiben und darlegen lassen, welcher Grund konkret das Löschen verbindet und fragen wann dann gelöscht wird.
Ich tippe darauf, das das Ganze nur ungeschickt formuliert wurde.
Wenn man diese durchaus mutige Auffassung vertritt, reicht es aber auch, den Brief bzw. eine Kopie davon aufzubewahren bzw. zu archivieren. Keinesfalls braucht man dafür den Kundendatensatz.
Sofern es eine rechtliche Grundlage für die Aufbewahrung/Verarbeitung gibt , die gegen eine Löschung spricht ist das durchaus legitim. Sie müssen ihm dann aber die Rechtsgrundlage mitteilen und das kann nur eine aus $6 DSGVO sein, da es sich bei seiner Anschrift um personenbezogene Daten handelt.
Die kann bei einer Spendenorganisation ja nur darin bestehen, dass eine Spende und deren Verwendung nachgewiesen werden muss. Er hat aber doch wohl nicht gespendet, wenn ich das richtig interpretiere.
Da ich nicht weiß was die da machen kann ich das nicht beantworten. Fakt ist aber das sie ihm die Rechtsgrundlage für die Speicherung und auch die Dauer mitteilen müssen. @roterstein Wenn sie das nicht tun, suche die Adresse der Firma und wende dich an den jeweiligen Ladesdatenschutzbeauftragten (ist im Netz leicht zu ermitteln). Dieser ist verpflichtet deiner Beschwerde nach zu gehen und zumindest die Rechtmäßigkeit der Verarbeitung (Speicherung) zu prüfen. bzw. bei der Firma zu erfragen. Am besten sendest du in dem Fall die bisherige Kommunikation mit.
Ein Handelsbrief ist ein Kundendatensatz. Datensatz meint im Zusammenhang mit der DSGVO mitnichten die technische Definition dieses Begriffs. Die Form der Verwahrung ist - was die Informationspflicht angeht - ebenso vollkommen irrelevant. Auch wenn es ein hochabgesichertes physisches oder elektronisches Archiv ist und der Zugriff auf diese Daten zu „Verwertungszwecken“ nach menschengedenken unmöglich ist, darf das nicht in der Erklärung zum Betroffenen unterschlagen werden.
Auch Angebote sind Handelsbriefe, wenn sie einen gewissen Individualsierungsgrad erreichen. Das kann auch schon durch eine begrenzte Kundengruppe mit darauf zugeschnittenen Inhalt gegeben sein.
Zudem kenne ich nicht die konkrete Kommunikation zwischen dem OP und dem Unternehmen … und Du wohl auch nicht. Keiner hierzuforum (vermutlich nichtmal der OP) kennt den Individualsierungsgrad der Mailings. Da finde ich deine Quasi-Verneinung als „mutig“.
Wenn man sicher gehen will, sollte man zusammen mit der Aufforderung zum Löschen der Daten auch auffordern mitzuteilen, welche Daten vorliegen und wann welches Datum gelöscht wird.
Ein Brief ist erst einmal ein - papierhaftes - Dokument, was im Zweifel vorher als Datei erzeugt wurde und als solche weiterhin existiert. Um der Aufbewahrungspflicht - die ich hier weiterhin nicht sehe - genüge zu tun, ist es ausreichend, eine körperliche Kopie davon in einem Aktenordner oder dieses Schreiben in elektronischer Form als PDF- oder Word-Dokument abzulegen.
Seit wenigstens 25 Jahren dürfte es aber kaum noch ein Unternehmen geben, daß seine Kunden- (bzw. allgemeiner:) Adreßdatensätze auf Karteikarten speichert. Dafür gibt es Datenbanken oder im einfacheren Fall Excel-Listen, die dann für Serienbriefe oder zu anderen Zwecken verwendet werden.
Auch wenn man den Brief als Dokument meint aufheben zu müssen, ist es hinsichtlich der Aufbewahrungspflicht völlig unkritisch, den fraglichen Kundendatensatz aus der Tabelle bzw. Datenbank zu löschen. Daß man hier eine Aufbewahrungspflicht erfindet und vorschiebt, deutet darauf hin, daß man Fragesteller in absehbarer Zeit - uuups - versehentlich wieder ein Schreiben zusenden will - oder daß der Briefeschreiber von dem, was er da schreibt, keine Ahnung hat.
Noch ein kurzer Nachtrag: ich bin mir völlig darüber im Klaren, daß die gängigen und auch die meisten selbstgestrickten Kundendatenverwaltungsysteme im Falle einer Löschung keine echte Löschung vornehmen, sondern stattdessen ein Feld „Daten gelöscht“ mit „ja“ belegen und sich damit auch „gelöschte“ Datensätze problemlos wieder reaktivieren lassen. Das ist nach DSGVO bzw. BDSG aber nicht statthaft. Löschung heißt aber Löschung nicht „wir setzen da mal ein Flag und wenn der Kunde wieder Kunde wird, reaktivieren wir einfach den alten Datensatz, damit wir nicht so viel Arbeit haben“.
Nochmal: „Datensatz“ im Sinne der DSGVO hat nichts mit „Datensatz“ im Sinne einer Datenbank zu tun. AFAIR wird in den Gesetzestext dieses Wort auch gar nicht verwendet. Das DSGVO ist sowohl bzgl. des Strukturierungsgrades als auch des Ablageform neutral. Das spielt nur indirekt eine Rolle, wenn es um die konkreten Maßnahmen geht, wie der Zugriff durch Unbefugte verhindert wird.
Auch ist „Brief“ im Rechtsverkehr anders definiert als in der Umgangssprache. Das HGB kennt für sämtliche Kommunikation ausschließlich „Handelsbriefe“ und „Geschäftsbriefe“ als Oberbegriff. Es sind alles „Briefe“! Statt hier irgendwelche Vermutungen zum besten zu geben, nehme bitte erstmal die weiterführenden Links in den Postings zur Kenntnis.
Eben drum sage ich ja, daß der Brief aufbewahrt werden kann, ohne daß der Adreßdatensatz des Kunden aufbewahrt werden muß. Den kann man einfach löschen und schon ist dem Wunsch des Kunden genüge getan. Den Brief kann man dennoch körperlich oder elektronisch speichern, wenn man denn unbedingt der Ansicht ist, daß das nötig ist.
Die Behauptung, daß es angeblich nur möglich ist, die Adresse zu deaktivieren, ist entweder vorgeschoben oder ein Ergebnis von Unwissenheit oder Unvermögen. Auch wenn - wie ich bereits erläuterte - eine Löschung in den entsprechenden Systemen oftmals keine echte Löschung ist. Das ist aber nichts, was man dem Kunden mitteilt.
Mit dem HGB habe ich seit 1991 beruflich zu tun und mit der DSGVO und deren Umsetzung im hausinternen Projekt seit Oktober 2017. Von Vermutungen bin ich insofern relativ weit entfernt.