Nachspeicherfristen bei KontosperrungWir erhalten vermehrt Beschwerden von Personen darüber, dass ein Online-Shop, ein Online-Marktplatz oder andere Online-Plattformen ihre Daten trotz Sperrung ihres Kontos weiter speichern wollen. Die Betroffenen machen dabei regelmäßig von ihrem Löschungsrecht nach Art. 17 Abs. 1 Datenschutz-Grundverordnung (DSGVO) Gebrauch, woraufhin die Online-Plattformen die Löschung der Kontodaten aufgrund der Kontosperrung für einen gewissen Zeitraum verweigern.
Die Kontosperrungen beruhen regelmäßig auf drei Gründen:
- Verstoß gegen die Allgemeinen Geschäftsbedingungen bzw. Nutzungsbedingungen der Online-Plattform
- Verdacht einer Kontoübernahme durch unbefugte Dritte („Account Takeover – ATO“)
- Verdacht eines strafbaren Verhaltens, z. B. eines Betrugs (§ 263 StGB)
Wir haben die häufigsten Fragen und Antworten zur Nachspeicherung von Daten der Nutzenden nach Sperrung ihres Kontos durch Online-Plattformen zusammengetragen. Wir erläutern, in welchen Fällen der Datenschutz betroffen ist, was Sie selbst tun können und wie wir Sie unterstützen können.
Häufige Fragen und Antworten
Ob die Kontosperrung an sich rechtmäßig erfolgt ist, richtet sich nicht nach den Vorgaben des Datenschutzrechts, sondern ist eine zivilrechtliche Frage.
Die Online-Plattformen müssen dabei grundsätzlich auch die Vorgaben des Digital Services Act (DSA) einhalten. Als Datenschutzaufsichtsbehörde sind wir weder für Fragen des Zivilrechts noch für die Durchsetzung des DSA zuständig, sodass wir entsprechende Beschwerden zur Zulässigkeit der Kontosperrung an sich nicht bearbeiten können.
Eine transparente Nachspeicherung der tatsächlich erforderlichen Nutzerdaten durch Online-Plattformen zu Aufbewahrungszwecken bei erfolgten Kontosperrungen wegen Betrugsversuchen, unbefugten Kontenübernahmen oder Verstößen gegen AGB oder Nutzungsbedingungen ist grundsätzlich nach Art. 6 Abs. 1 Buchstabe f DSGVO gerechtfertigt.
Es liegt zunächst ein berechtigtes Interesse der Plattformbetreiber und der anderen Plattformnutzenden vor. Vorliegend besteht das berechtigte Interesse der verantwortlichen Plattformbetreiber darin, ihre Plattform vor Betrugsversuchen, Missbrauch durch unbefugte Kontenübernahmen und Verstößen gegen die AGB oder die Nutzungsbedingungen zu schützen, die ansonsten z. B. schadensersatz- oder sogar strafrechtliche Folgen für die Betreiber:innen haben können. Ohne die Nachspeicherung könnten sich gesperrte Nutzende unmittelbar nach dem Ausschluss von der Plattform erneut mit einem neuen Konto auf der Plattform registrieren und damit eine wiederkehrende Gefahrenquelle für die Plattform darstellen. Auch auf Seiten der anderen Nutzenden der Plattform besteht regelmäßig das berechtigte Interesse, vor erneuten Betrugsversuchen und sonstigen Schäden geschützt zu werden, indem die gesperrten Nutzer:innen wirksam von der Plattform ausgeschlossen werden.
Die Verarbeitung der Daten der gesperrten Nutzenden ist grundsätzlich – abhängig von dem, was wie lange nachgespeichert wird – auch erforderlich.
Das Recht der gesperrten Nutzenden auf Schutz ihrer personenbezogenen Daten nach Art. 8 Charta der Grundrechte der Europäischen Union (GRCh) und auf Schutz ihres Privatlebens nach Art. 7 GRCh überwiegt in der Regel auch nicht das Recht der Plattformbetreiber nach Art. 16 GRCh auf unternehmerische Freiheit und das der anderen Plattformnutzenden auf Schutz ihres Eigentums nach Art. 17 GRCh.
Die Interessen der gesperrten Nutzenden müssen regelmäßig hinter dem wirksamen Schutz der Plattform und seinen Teilnehmenden vor Schäden sowie vor dem Hintergrund der zivilrechtlichen Ansprüche und ggf. sogar strafrechtlichen Verfolgung zurücktreten. Zum einen haben sie durch ihr Verhalten selbst Anlass zur Sperrung ihres Kontos und damit zur Nachspeicherung gegeben. Zum anderen sind sie hinsichtlich der Sperr- und Nachspeicherungsentscheidung gegenüber den Online-Plattformen rechtlich auch nicht schutzlos gestellt.
Bei der Nachspeicherung hängt die Erforderlichkeit davon ab, was genau von der Online-Plattform über die Nutzenden nachgespeichert wird; regelmäßig dürfte jedoch ein reduzierter Datensatz erforderlich sein. Darunter fallen:
- Identifikationsnummer des Nutzenden (User-ID)
- Kontostatus
- Registrierungsdatum
- Name und Vorname
- Anschrift
- E-Mail-Adresse
- Telefonnummer
- die für die Kontosperrung relevante Historie
Ohne diese Daten können die Online-Plattformen nicht wirksam dafür sorgen, dass die gesperrten Nutzenden auch wirklich gesperrt bleiben und sich nicht einfach erneut mit einer anderen E-Mail-Adresse bei der Plattform registrieren. Die für die Kontosperrung relevante Historie benötigt der Plattformbetreiber, um seiner Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO nachzukommen, ggf. weitere Untersuchungen anzustellen und etwaige rechtliche Ansprüche selbst durchsetzen bzw. sich gegen diese verteidigen oder die anderen Nutzenden der Plattform bei deren Ansprüchen bzw. Anspruchsverteidigung unterstützen zu können.
Die Plattformbetreiber müssen diese Nachspeicherung der Daten der gesperrten Nutzenden grundsätzlich im Sinne von Art. 18 DSGVO beschränken, um eine Verwendung für andere Zwecke zu unterbinden, und entsprechende technische und organisatorische Schutzmaßnahmen nach Art. 25 und 32 DSGVO ergreifen, um die Daten gesondert zu schützen (z. B. Archivierung, Pseudonymisierung, eingeschränkte Zugangsrechte für nur wenige Beschäftigte). Dabei können die Ausführungen zum datenminimierenden Nachweis der Auskunftserteilung aus unserem Jahresbericht aus 2024 für Plattformbetreiber ggf. hilfreich sein.
Wir halten bei den hier relevanten Fällen der Kontosperrung grundsätzlich eine Nachspeicherfrist von drei Jahren für zulässig. Dies entspricht der gesetzlichen Verjährungsfrist von Ansprüchen aus dem Zivilrecht nach §§ 195, 199 Abs. 1 Bürgerliches Gesetzbuch (BGB). Der Zeitraum erscheint notwendig, um den Plattformbetreiber und die anderen Nutzenden der Plattform umfangreich vor etwaigen finanziellen Einbußen durch nicht durchsetzbare Schadensersatzansprüche zu bewahren, weil die Daten der gesperrten Nutzenden ansonsten voreilig gelöscht würden. Häufig stellt sich nämlich erst nach einiger Zeit heraus, dass andere Nutzende oder der Plattformbetreiber Opfer eines Betrugs geworden sind.
Sie können gegenüber dem Plattformbetreiber Ihren Anspruch auf Auskunft nach Art. 15 Abs. 1 DSGVO geltend machen.
Nach Art. 15 Abs. 1 DSGVO hat die von einer Datenverarbeitung betroffene Person das Recht, von Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten sowie weitere Informationen, die in Art. 15 Abs. 1 Buchstabe a bis h, Abs. 2 DSGVO beschrieben sind. Dieser Auskunftsanspruch ist gemäß Art. 12 Abs. 3 Satz 1 DSGVO grundsätzlich unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zu erfüllen.
Ein Teil der bei uns eingereichten Beschwerden bezieht sich darauf, dass die Betroffenen sich nicht hinreichend über die Gründe und Dauer der Nachspeicherung ihrer Daten informiert fühlten. Hier müssen die verantwortlichen Plattformbetreiber ihren Pflichten aus Art. 13 und 14 DSGVO sowie Art. 12 Abs. 4 DSGVO vollumfänglich nachkommen. Dies bedeutet, dass möglichst bereits beim Anlegen eines Nutzungskontos darüber informiert werden muss, welche personenbezogene Daten nach Löschung des Kontos zum Zwecke der Betrugs- oder Missbrauchsprävention noch bis zu drei Jahre aufbewahrt werden können. Bei Ablehnung eines Löschantrags sollten Verantwortliche den betroffenen Personen im Rahmen des Art. 12 Abs. 4 DSGVO im Rahmen der Begründung klar darlegen, weshalb eine Nachspeicherung erfolgt, wie lange und welche Daten gespeichert bleiben.
Die fortgesetzte Speicherung kann auch dazu führen, dass bestimmte Daten in einer Weise bei den Online-Plattformen hinterlegt sind, die beispielsweise das Registrieren eines neuen Nutzungskontos mit der zuvor genutzten und nun noch gespeicherten E-Mail-Adresse (oder anderen Datenpunkten) verhindert. In diesem Fall muss über diese Datenverarbeitung ebenfalls informiert werden; auch hier sind im Rahmen von Art. 13 und 14 DSGVO selbstverständlich Zweck, Speicherdauer etc. anzugeben.
Nach Art. 17 Abs. 1 Buchstabe a DSGVO hat die betroffene Person das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern die personenbezogenen Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind.
Eine transparente Nachspeicherung der tatsächlich erforderlichen Nutzerdaten zu Aufbewahrungszwecken bei erfolgten Sperrungen wegen Betrugsversuchen, unbefugten Kontenübernahmen oder Verstößen gegen die Nutzungsbedingungen dürfte – wie oben dargestellt – grundsätzlich nach Art. 6 Abs. 1 Buchstabe f DSGVO gerechtfertigt sein, sodass die Nutzerdaten entweder gemäß Art. 17 Abs. 1 Buchstabe a DSGVO weiterhin erforderlich sind bzw. der Ausschlussgrund des Art. 17 Abs. 3 Buchstabe e DSGVO wegen der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen im Hinblick auf die ehemalige Geschäftsbeziehung mit den Nutzenden greift.
Eine Löschverpflichtung besteht für die verantwortliche Stelle gemäß Art. 17 Abs. 3 Buchstabe b DSGVO auch dann nicht, wenn die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist. Auch wenn gesperrte Nutzende die Plattform nicht länger nutzen können, unterliegen die Plattformbetreiber ggf. handelsrechtlichen und steuerrechtlichen Verpflichtungen. Gemäß § 257 Handelsgesetzbuch (HGB) sind Plattformbetreiber u. a. verpflichtet, Handelsbriefe aufzubewahren, und nach § 147 Abgabenordnung (AO) müssen sie die dort aufgeführten Unterlagen aufbewahren, da diese für die Besteuerung von Bedeutung sind. Vor diesem Hintergrund kann der Plattformbetreiber Ihren Löschantrag auch ablehnen, wenn eine gesetzliche Aufbewahrungspflicht besteht.
In solchen Fällen der rechtmäßig verweigerten Löschung erfolgt eine Einschränkung der Verarbeitung gemäß Art. 18 DSGVO. Verantwortliche Stellen entsprechen dieser Verpflichtung in der Regel, indem sie die Daten archivieren und die Zugriffsrechte beschränken.
Sie sind hinsichtlich der Sperr- und Nachspeicherungsentscheidung gegenüber den Online-Plattformen rechtlich nicht schutzlos gestellt.
Bezüglich der Nachspeicherung können Sie gegen die Verarbeitung gemäß Art. 6 Abs. 1 Buchstabe f DSGVO einen Widerspruch nach Art. 21 Abs. 1 DSGVO einlegen und für ihren konkreten Einzelfall begründen, warum die Nachspeicherung doch nicht gerechtfertigt ist.
Gegen die Entscheidung der Online-Plattformen, Ihnen den Zugang zur Plattform durch Sperrung ihrer Konten zu versagen, können Sie über den Digital Services Act (DSA) rechtlich vorgehen, es sei denn es handelt sich beim Anbieter der Plattform um Kleinst- oder Kleinunternehmen gemäß Art. 19 Abs. 1 DSA.
Nach Art. 20 Abs. 1 DSA können Sie bei der Online-Plattform innerhalb eines Zeitraums von mindestens sechs Monaten nach der Entscheidung der Plattform selbst eine Beschwerde einlegen, sofern die Erbringung der Plattformdienste gegenüber Ihnen vollständig oder teilweise ausgesetzt oder beendet wurde (Buchstabe b) oder Ihr Konto ausgesetzt bzw. geschlossen wurde (Buchstabe c).
Sofern dieser Beschwerde nicht vonseiten der Online-Plattform abgeholfen wird, können Sie nach Art. 21 DSA ein außergerichtliches Streitbeilegungsverfahren initiieren. Für dieses Vorgehen stehen kostenlose, von den Koordinatoren für digitale Dienste (Digital Services Coordinator – DSC) zertifizierte außergerichtliche Streitbeilegungsstellen zur Verfügung, z. B. User Rights und Platform Control in Deutschland.
Sofern die Online-Plattform nicht transparent über die Sperrung informiert hat oder keine ausreichenden internen Beschwerdemöglichkeiten nach Art. 20 DSA vorsieht bzw. auf Beschwerden nicht reagiert, können Sie sich auch bei dem deutschen DSC nach Art. 53 DSA über dessen Beschwerdeformular beschweren.
Wir erhalten vermehrt Beschwerden von Personen darüber, dass ein Online-Shop, ein Online-Marktplatz oder andere Online-Plattformen ihre Daten trotz Sperrung ihres Kontos weiter speichern wollen. Die Betroffenen machen dabei regelmäßig von ihrem Löschungsrecht nach Art. 17 Abs. 1 Datenschutz-Grundverordnung (DSGVO) Gebrauch, woraufhin die Online-Plattformen die Löschung der Kontodaten aufgrund der Kontosperrung für einen gewissen Zeitraum verweigern.
Die Kontosperrungen beruhen regelmäßig auf drei Gründen:
- Verstoß gegen die Allgemeinen Geschäftsbedingungen bzw. Nutzungsbedingungen der Online-Plattform
- Verdacht einer Kontoübernahme durch unbefugte Dritte („Account Takeover – ATO“)
- Verdacht eines strafbaren Verhaltens, z. B. eines Betrugs (§ 263 StGB)
Wir haben die häufigsten Fragen und Antworten zur Nachspeicherung von Daten der Nutzenden nach Sperrung ihres Kontos durch Online-Plattformen zusammengetragen. Wir erläutern, in welchen Fällen der Datenschutz betroffen ist, was Sie selbst tun können und wie wir Sie unterstützen können.
Häufige Fragen und Antworten
Ob die Kontosperrung an sich rechtmäßig erfolgt ist, richtet sich nicht nach den Vorgaben des Datenschutzrechts, sondern ist eine zivilrechtliche Frage.
Die Online-Plattformen müssen dabei grundsätzlich auch die Vorgaben des Digital Services Act (DSA) einhalten. Als Datenschutzaufsichtsbehörde sind wir weder für Fragen des Zivilrechts noch für die Durchsetzung des DSA zuständig, sodass wir entsprechende Beschwerden zur Zulässigkeit der Kontosperrung an sich nicht bearbeiten können.
Eine transparente Nachspeicherung der tatsächlich erforderlichen Nutzerdaten durch Online-Plattformen zu Aufbewahrungszwecken bei erfolgten Kontosperrungen wegen Betrugsversuchen, unbefugten Kontenübernahmen oder Verstößen gegen AGB oder Nutzungsbedingungen ist grundsätzlich nach Art. 6 Abs. 1 Buchstabe f DSGVO gerechtfertigt.
Es liegt zunächst ein berechtigtes Interesse der Plattformbetreiber und der anderen Plattformnutzenden vor. Vorliegend besteht das berechtigte Interesse der verantwortlichen Plattformbetreiber darin, ihre Plattform vor Betrugsversuchen, Missbrauch durch unbefugte Kontenübernahmen und Verstößen gegen die AGB oder die Nutzungsbedingungen zu schützen, die ansonsten z. B. schadensersatz- oder sogar strafrechtliche Folgen für die Betreiber:innen haben können. Ohne die Nachspeicherung könnten sich gesperrte Nutzende unmittelbar nach dem Ausschluss von der Plattform erneut mit einem neuen Konto auf der Plattform registrieren und damit eine wiederkehrende Gefahrenquelle für die Plattform darstellen. Auch auf Seiten der anderen Nutzenden der Plattform besteht regelmäßig das berechtigte Interesse, vor erneuten Betrugsversuchen und sonstigen Schäden geschützt zu werden, indem die gesperrten Nutzer:innen wirksam von der Plattform ausgeschlossen werden.
Die Verarbeitung der Daten der gesperrten Nutzenden ist grundsätzlich – abhängig von dem, was wie lange nachgespeichert wird – auch erforderlich.
Das Recht der gesperrten Nutzenden auf Schutz ihrer personenbezogenen Daten nach Art. 8 Charta der Grundrechte der Europäischen Union (GRCh) und auf Schutz ihres Privatlebens nach Art. 7 GRCh überwiegt in der Regel auch nicht das Recht der Plattformbetreiber nach Art. 16 GRCh auf unternehmerische Freiheit und das der anderen Plattformnutzenden auf Schutz ihres Eigentums nach Art. 17 GRCh.
Die Interessen der gesperrten Nutzenden müssen regelmäßig hinter dem wirksamen Schutz der Plattform und seinen Teilnehmenden vor Schäden sowie vor dem Hintergrund der zivilrechtlichen Ansprüche und ggf. sogar strafrechtlichen Verfolgung zurücktreten. Zum einen haben sie durch ihr Verhalten selbst Anlass zur Sperrung ihres Kontos und damit zur Nachspeicherung gegeben. Zum anderen sind sie hinsichtlich der Sperr- und Nachspeicherungsentscheidung gegenüber den Online-Plattformen rechtlich auch nicht schutzlos gestellt.
Bei der Nachspeicherung hängt die Erforderlichkeit davon ab, was genau von der Online-Plattform über die Nutzenden nachgespeichert wird; regelmäßig dürfte jedoch ein reduzierter Datensatz erforderlich sein. Darunter fallen:
- Identifikationsnummer des Nutzenden (User-ID)
- Kontostatus
- Registrierungsdatum
- Name und Vorname
- Anschrift
- E-Mail-Adresse
- Telefonnummer
- die für die Kontosperrung relevante Historie
Ohne diese Daten können die Online-Plattformen nicht wirksam dafür sorgen, dass die gesperrten Nutzenden auch wirklich gesperrt bleiben und sich nicht einfach erneut mit einer anderen E-Mail-Adresse bei der Plattform registrieren. Die für die Kontosperrung relevante Historie benötigt der Plattformbetreiber, um seiner Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO nachzukommen, ggf. weitere Untersuchungen anzustellen und etwaige rechtliche Ansprüche selbst durchsetzen bzw. sich gegen diese verteidigen oder die anderen Nutzenden der Plattform bei deren Ansprüchen bzw. Anspruchsverteidigung unterstützen zu können.
Die Plattformbetreiber müssen diese Nachspeicherung der Daten der gesperrten Nutzenden grundsätzlich im Sinne von Art. 18 DSGVO beschränken, um eine Verwendung für andere Zwecke zu unterbinden, und entsprechende technische und organisatorische Schutzmaßnahmen nach Art. 25 und 32 DSGVO ergreifen, um die Daten gesondert zu schützen (z. B. Archivierung, Pseudonymisierung, eingeschränkte Zugangsrechte für nur wenige Beschäftigte). Dabei können die Ausführungen zum datenminimierenden Nachweis der Auskunftserteilung aus unserem Jahresbericht aus 2024 für Plattformbetreiber ggf. hilfreich sein.
Wir halten bei den hier relevanten Fällen der Kontosperrung grundsätzlich eine Nachspeicherfrist von drei Jahren für zulässig. Dies entspricht der gesetzlichen Verjährungsfrist von Ansprüchen aus dem Zivilrecht nach §§ 195, 199 Abs. 1 Bürgerliches Gesetzbuch (BGB). Der Zeitraum erscheint notwendig, um den Plattformbetreiber und die anderen Nutzenden der Plattform umfangreich vor etwaigen finanziellen Einbußen durch nicht durchsetzbare Schadensersatzansprüche zu bewahren, weil die Daten der gesperrten Nutzenden ansonsten voreilig gelöscht würden. Häufig stellt sich nämlich erst nach einiger Zeit heraus, dass andere Nutzende oder der Plattformbetreiber Opfer eines Betrugs geworden sind.
Sie können gegenüber dem Plattformbetreiber Ihren Anspruch auf Auskunft nach Art. 15 Abs. 1 DSGVO geltend machen.
Nach Art. 15 Abs. 1 DSGVO hat die von einer Datenverarbeitung betroffene Person das Recht, von Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten sowie weitere Informationen, die in Art. 15 Abs. 1 Buchstabe a bis h, Abs. 2 DSGVO beschrieben sind. Dieser Auskunftsanspruch ist gemäß Art. 12 Abs. 3 Satz 1 DSGVO grundsätzlich unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zu erfüllen.
Ein Teil der bei uns eingereichten Beschwerden bezieht sich darauf, dass die Betroffenen sich nicht hinreichend über die Gründe und Dauer der Nachspeicherung ihrer Daten informiert fühlten. Hier müssen die verantwortlichen Plattformbetreiber ihren Pflichten aus Art. 13 und 14 DSGVO sowie Art. 12 Abs. 4 DSGVO vollumfänglich nachkommen. Dies bedeutet, dass möglichst bereits beim Anlegen eines Nutzungskontos darüber informiert werden muss, welche personenbezogene Daten nach Löschung des Kontos zum Zwecke der Betrugs- oder Missbrauchsprävention noch bis zu drei Jahre aufbewahrt werden können. Bei Ablehnung eines Löschantrags sollten Verantwortliche den betroffenen Personen im Rahmen des Art. 12 Abs. 4 DSGVO im Rahmen der Begründung klar darlegen, weshalb eine Nachspeicherung erfolgt, wie lange und welche Daten gespeichert bleiben.
Die fortgesetzte Speicherung kann auch dazu führen, dass bestimmte Daten in einer Weise bei den Online-Plattformen hinterlegt sind, die beispielsweise das Registrieren eines neuen Nutzungskontos mit der zuvor genutzten und nun noch gespeicherten E-Mail-Adresse (oder anderen Datenpunkten) verhindert. In diesem Fall muss über diese Datenverarbeitung ebenfalls informiert werden; auch hier sind im Rahmen von Art. 13 und 14 DSGVO selbstverständlich Zweck, Speicherdauer etc. anzugeben.
Nach Art. 17 Abs. 1 Buchstabe a DSGVO hat die betroffene Person das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern die personenbezogenen Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind.
Eine transparente Nachspeicherung der tatsächlich erforderlichen Nutzerdaten zu Aufbewahrungszwecken bei erfolgten Sperrungen wegen Betrugsversuchen, unbefugten Kontenübernahmen oder Verstößen gegen die Nutzungsbedingungen dürfte – wie oben dargestellt – grundsätzlich nach Art. 6 Abs. 1 Buchstabe f DSGVO gerechtfertigt sein, sodass die Nutzerdaten entweder gemäß Art. 17 Abs. 1 Buchstabe a DSGVO weiterhin erforderlich sind bzw. der Ausschlussgrund des Art. 17 Abs. 3 Buchstabe e DSGVO wegen der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen im Hinblick auf die ehemalige Geschäftsbeziehung mit den Nutzenden greift.
Eine Löschverpflichtung besteht für die verantwortliche Stelle gemäß Art. 17 Abs. 3 Buchstabe b DSGVO auch dann nicht, wenn die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist. Auch wenn gesperrte Nutzende die Plattform nicht länger nutzen können, unterliegen die Plattformbetreiber ggf. handelsrechtlichen und steuerrechtlichen Verpflichtungen. Gemäß § 257 Handelsgesetzbuch (HGB) sind Plattformbetreiber u. a. verpflichtet, Handelsbriefe aufzubewahren, und nach § 147 Abgabenordnung (AO) müssen sie die dort aufgeführten Unterlagen aufbewahren, da diese für die Besteuerung von Bedeutung sind. Vor diesem Hintergrund kann der Plattformbetreiber Ihren Löschantrag auch ablehnen, wenn eine gesetzliche Aufbewahrungspflicht besteht.
In solchen Fällen der rechtmäßig verweigerten Löschung erfolgt eine Einschränkung der Verarbeitung gemäß Art. 18 DSGVO. Verantwortliche Stellen entsprechen dieser Verpflichtung in der Regel, indem sie die Daten archivieren und die Zugriffsrechte beschränken.
Sie sind hinsichtlich der Sperr- und Nachspeicherungsentscheidung gegenüber den Online-Plattformen rechtlich nicht schutzlos gestellt.
Bezüglich der Nachspeicherung können Sie gegen die Verarbeitung gemäß Art. 6 Abs. 1 Buchstabe f DSGVO einen Widerspruch nach Art. 21 Abs. 1 DSGVO einlegen und für ihren konkreten Einzelfall begründen, warum die Nachspeicherung doch nicht gerechtfertigt ist.
Gegen die Entscheidung der Online-Plattformen, Ihnen den Zugang zur Plattform durch Sperrung ihrer Konten zu versagen, können Sie über den Digital Services Act (DSA) rechtlich vorgehen, es sei denn es handelt sich beim Anbieter der Plattform um Kleinst- oder Kleinunternehmen gemäß Art. 19 Abs. 1 DSA.
Nach Art. 20 Abs. 1 DSA können Sie bei der Online-Plattform innerhalb eines Zeitraums von mindestens sechs Monaten nach der Entscheidung der Plattform selbst eine Beschwerde einlegen, sofern die Erbringung der Plattformdienste gegenüber Ihnen vollständig oder teilweise ausgesetzt oder beendet wurde (Buchstabe b) oder Ihr Konto ausgesetzt bzw. geschlossen wurde (Buchstabe c).
Sofern dieser Beschwerde nicht vonseiten der Online-Plattform abgeholfen wird, können Sie nach Art. 21 DSA ein außergerichtliches Streitbeilegungsverfahren initiieren. Für dieses Vorgehen stehen kostenlose, von den Koordinatoren für digitale Dienste (Digital Services Coordinator – DSC) zertifizierte außergerichtliche Streitbeilegungsstellen zur Verfügung, z. B. User Rights und Platform Control in Deutschland.
Sofern die Online-Plattform nicht transparent über die Sperrung informiert hat oder keine ausreichenden internen Beschwerdemöglichkeiten nach Art. 20 DSA vorsieht bzw. auf Beschwerden nicht reagiert, können Sie sich auch bei dem deutschen DSC nach Art. 53 DSA über dessen Beschwerdeformular beschweren.