Hallo,

Der zweite Fall ist ganz einfach zu beantworten. Dieses Ansinnen kannst Du striktweg ablehnen, da alle im Geschäftsbetrieb zu recht erhobenen Daten sowieso 10 Jahre lang aufbewahrt werden müssen. Danach dürfen sie weiterhin aufbewahrt werden, wenn es keine abweichenden gesetzlichen Regelungen gibt _und_ dies für den Geschäftsbetrieb angemessen und notwenig erscheint.

Sorry, aber das ist purer Unsinn. Ja, es gibt Aufbewahrungspflichten. Aber die erstrecken sich lange nicht auf alle Daten und auch eher nicht auf die Speicherungsform in einer normalen Datenbank.

Der erste Fall ist tatsächlich nicht ganz einfach zu beantworten. Die totale Löschung von Anschriftendaten darf aber nicht verlangt werden, die von _persönlichen_ Daten schon. Es _muss_ der PRIVATPERSON kostnlos Auskunft darüber erteilt werden, welche Daten über sie gespeichert werden. Bei juristischen Personen _kann_ man (kostenpflichtig) Auskunft erteilen.

Auch die Anschrift ist selbstverständlich ein personenbezogenes Datum. Die pure Adresse zwar oft nicht, aber in Verbindung mit dem Namen (= Anschrift) ist es natürlich personenbezogen - daran besteht kein Zweifel. Du kannst jetzt natürlich eine Adresse speichern und als blockiert markieren - wenn das ein großes Wohnhaus ist, hast du das Problem, dass auch alle anderen potentiellen Kunden ausgeschlossen werden. Also ist hier die Verbindung zum Namen unerlässlich. Ist es hingegen ein einzelnes Haus, in dem nur eine Person wohnt, ist die bloße Adresse schon personenbeziehbar und fällt somit auch unter das BDSG.

Da man die Anschrift jederzeit über einen Adresshandel wieder in den Pool bekommen könnte, darf diese nicht nur gespeichert werden, sondern _muss_ für die Wahrung der Ansprüche des bereits Kontaktierten sogar gepeichert bleiben, damit man erkennen kann, dass an diese Anschrift KEINE Werbung mehr gehen darf. Es dürfen aber keinerlei persönliche Daten dazu gespeichert werden.

Nochmal: Die Anschrift ist personenbezogen!

Wie Jens schon vorgeschlagen hat, ist eine Verschlüsselung der Mailadresse eine sehr gute Alternative. Bei Anschriften ist das aber aufgrund möglicher verschiedener Schreibweisen (bzw. irrelevanter Schreibfehler) viel schwieriger, so dass hier vielleicht wirklich eine Speicherung zulässig ist.

§ 35 BDSG ist für Löschung/Sperrung sehr interessant. Wie man da sieht kann man wohl auch eine Sperrung, anstatt einer Löschung vornehmen. Zu beachten ist allerdings, dass im Onlinebereich auch das TMG (als spezialgesetzliche Regelung) gilt - daraus kann sich auch etwas anderes ergeben.

Ich würde es vermutlich so machen, dass ich (bei einem Newsletter) alle personenbezogenen Daten lösche und zuvor noch die Mail so verschlüssle, dass ich sie nicht wieder entschlüsseln kann. Dazu kann man dann auch speichern, wann die Austragung erfolgt ist etc. Wenn sich dann einer einträgt, kann er ja eine Meldung bekommen, die dieses Vorgehen erklärt.

Das was da im worst case als personenbeziehbare Daten übrig bleibt, sollte eigentlich gerechtfertigt sein, da es ja sowohl den Betroffenen, als auch die verantwortliche Stelle schützt und gleichzeitig keine/kaum Gefahr birgt.

Sofern man ein Mail-Archivierungssystem braucht (Aufbewahrungspflicht) hat man die Daten dann sowieso zur Sicherheit nochmal ("gesperrt") im Original vorleigen - wenn auch nicht so leicht auswertbar, wie in einer Datenbank.

Gruß
Alex

PS an den Threadersteller: Ich würde einfach mal bei den Datenschutzbehörden fragen. Wenn man nicht gerade Facebook oder so heißt, sind die auch ganz nett. Und den Anwalt nochmal gezielt auf diese Sachen hier ansprechen, bevor man auf eigene Faust handelt! (Wenn es falsch ist haftet er ja sowieso - da bietet es sich also an, die Informationen schwarz auf weiß von ihm zu fordern)