Nutzer von Schnupperangebot DSGVO-konform identifizieren?

SolarCatcher

Well-Known Member
Ein Kunde von mir will kostenlose Probeabos für die ansonsten zahlungspflichtigen Artikel auf seiner News-Webseite anbieten. Ich überlege, wie man es datenschutzrechtlich hinbekommt, die persönlichen Daten der (Probe-)Abonnenten nach Ablauf zu löschen und gleichzeitig prüfen zu können, dass jemand nicht immer wieder ein Abo abschließt.

Normalerweise würde man das anhand der zur Anmeldung verwendeten E-Mail-Adresse machen. Aber die müsste ich als personenbezogene Information wieder löschen. Daher überlege ich, ob ich einfach z.B. einen sha256-Hash davon dauerhaft speichern könnte. Somit könnte man Neu-Anmeldungen mit diesem Hash vergleichen.

Macht das Sinn? Fällt Euch etwas Besseres ein?
 
Ich würde dem Kunden raten einen Fachanwalt für Datenschutzrecht zu fragen, ob in dem Fall ein berechtigtes Interesse vorliegt einige zur Identifizierung notwendige Daten (Zum Beispiel E-Mail und Kontoverbindung) längere Zeit zu speichern, um Missbrauch zu verhindern. So eine Rechtsauskunft ist nicht allzu teuer und man ist halbwegs auf der sicheren Seite.
 
Du musst die E-Mail Adresse nicht direkt löschen. So lange das Abo, oder auch Testabo, läuft, kannst Du diese speichern. Wenn das Abo abläuft, dann musst Du die personenbezogenen Daten löschen, außer es gibt andere Gesatze, HGB, AO (Steuerrecht) die besagen, dass Du die Daten x Jahre aufbewahren musst. Dann gilt nur die benötigten Daten zu weiterhin zu speichern (und zu sperren) die nicht benötigt sind zu löschen.

Für das Abo/Testabo und Speicherung der Daten für den Zeitraum des Abos, zieht Artikel 6 Abs. 1 lit. b der DSGVO. Vertragliche oder vorvertragliche Maßnahmen. Wenn das Abo abläuft, dann können die anderen Gesetze, wie oben schon geschrieben, gelten.
Gehen wir mal davon aus es gibt keine weiteren Gesetze, dann kannst Du Artikel 6 Abs. 1 lit. f ziehen, Dein berechtigtes Interesse. Warum berechtigt? Die Argumentation hast Du schon genannt: Prüfung das jemand nicht immer wieder ein Probeabo abschliesst und damit Dein business untergräbt und Du keine kostenpflichten Abos mehr verkaufst.

Zwei Dinge gibt es da zu berücksichtigen:
Transparenz. Du musst dem Kunden genau dies mitteilen, dies geschieht über Deine Datenschutzerklärung. Hinweis das Du seine Daten, nach (und das ist der zweite Punkt) der Bewertung des Risikos für den Betroffenen (Interessensabwägung) die Daten für 1 Jahr speicherst.

Klar könnte der nun fordern das Du die Daten löschst, dass bleibt aber Dir vorbehalten dies dann zu tun oder nicht, denn Du hast ja das Risiko bewertet und als nicht wesentlich für den Betroffenen eingeschätzt.

Dies hier stellt keine einzelfallbezogene rechtliche Beratung im Sinne des RDG dar.
 
Ich persoenlich wuerde auch valide Zahlungsdaten wie Bankkonto oder Kreditkarte zur Verifizierung abfragen. Wird das Abo verlaengert, wird von diesen Zahlungsdaten das Abo abgebucht. Wird das Abo nicht verlaengert, werden diese Daten geloescht und jeweils (Zahlungsdaten, Name, Geburtsdatum) als Hash gespeichert.

Der Grund: Eine neue Email-Adresse ist schnell angelegt und somit kann man sich quasi unendlich Probeabos sichern. Bei Bankdaten ist das etwas anderes, da kaum jemand viele Bankkonten hat und hier auch der Name der Person stimmen muss.
 
Alles was "abgefragt" wird, in diesem Fall personenbezogene Daten, muss eine Grundlage habe warum dies getan wird. Wenn bei einem Probeabo, welches sich automatisch in ein Abo wandelt, benötigt, ok, muss aber in der DS-Erklärung angegeben werden. Wenn es nur ein Probeabo ist ohne automatische Verlängerung, dann gilt die Datensparsamkeit: Speicherung der Zahlungsdaten darf nicht erfolgen.
 
Vielen Dank für Eure Ideen/Ratschläge.

@Yamagi Ja, Anwalt ist immer eine Möglichkeit. Aber da ich selbst ein großer Freund von Datensparsamkeit bin, versuche ich auch in meiner Arbeit so wenig persönliche Daten wie nötig zu speichern bzw. vorrätig zu halten. Daher würde ich gerne Kundendaten löschen, sobald sie nicht mehr zwingend (z.B. gesetzlich vorgeschrieben) benötigt werden.

@midnight Die Konto-/KK-Daten würden im vorliegenden Fall gar nicht beim News-Anbieter landen. Da es hier ausschließlich um Online-Abonnenten geht, würde das Handling dieser Daten von entsprechenden Zahlungsdienstleistern übernommen. Auch so ein Fall, wo ich froh bin, dass diese Daten gar nicht erst sicher gespeichert werden müssen.
 
Dann gibts ja sicherlich den Hinweis auf die Dritten, welche die personenbezogenen Daten erhalten, und einen AVV zwischen Abo-Anbieter und Zahlungsdienstleister.
 
Zurück
Oben