DSGVO-konforme Kundendaten im Verleih: Löschfristen und Compliance
Löschfristen, Auskunftsersuchen, Dokumentationspflicht: was Verleihbetriebe bei Kundendaten beachten müssen. Ohne Juristendeutsch, mit konkreter Umsetzung.
Verleihbetriebe speichern Namen, Kontaktdaten, Zahlungsinfos und Miethistorie. Die DSGVO verlangt, dass diese Daten nicht ewig gespeichert werden. Dieser Leitfaden zeigt, welche Fristen gelten, was bei Auskunftsersuchen passiert und wie die Umsetzung in der Praxis aussieht.
Worum es wirklich geht
Die DSGVO ist kein Bürokratiemonster. Der Kern ist simpel:
- Speichere nur, was du brauchst
- Lösche, was du nicht mehr brauchst
- Sag dem Kunden, was du über ihn gespeichert hast, wenn er fragt
Welche Daten fallen im Verleih an?
| Datenart | Beispiele | Warum gespeichert |
|---|---|---|
| Stammdaten | Name, E-Mail, Telefon | Kontakt, Buchungsbestätigung |
| Vertragsdaten | Mietvertrag, AGB-Zustimmung | Rechtliche Absicherung |
| Zahlungsdaten | Rechnungen, Zahlungsart | Buchhaltung, Steuer |
| Miethistorie | Welches Rad, wann, wie lange | Service, Reklamationen |
| Schadensdokumentation | Fotos, Protokolle | Haftungsfragen |
Löschfristen
DSGVO-Grundsatz (EU-weit)
Art. 5 Abs. 1 lit. e DSGVO: Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für den Zweck erforderlich ist.
Das heißt: Sobald der Zweck erfüllt ist, muss gelöscht werden - es sei denn, eine andere Rechtsgrundlage verlangt längere Speicherung.
Steuerrechtliche Aufbewahrungsfristen
Hier wird es national unterschiedlich. In den meisten EU-Ländern gelten Aufbewahrungsfristen zwischen 5-10 Jahren für:
- Rechnungen
- Buchungsbelege
- Verträge mit Zahlungsbezug
Die genauen Fristen variieren je nach Land. Klären Sie diese mit Ihrem Steuerberater. Das ist keine DSGVO-Frage, sondern nationales Steuerrecht.
Daten ohne gesetzliche Aufbewahrungspflicht
Für alles, was steuerrechtlich nicht relevant ist, gilt: So kurz wie möglich.
| Datenart | Empfohlene Frist | Begründung |
|---|---|---|
| Kontaktdaten (ohne offene Rechnung) | 1 Jahr nach letzter Miete | Rückfragen, Gewährleistung |
| Miethistorie | 3 Jahre | Verjährung von Ansprüchen (in den meisten EU-Ländern) |
| Schadensdokumentation | 3 Jahre | Verjährung |
| Marketing-Einwilligung | Bis Widerruf | Kein Ablaufdatum, aber jederzeit widerrufbar |
Wichtig: Diese Fristen sind Empfehlungen, keine Gesetze. Sie müssen begründbar sein, "wir könnten die Daten ja nochmal brauchen" reicht nicht.
Auskunftsersuchen: Der unterschätzte Fall
Art. 15 DSGVO gibt jedem Kunden das Recht zu erfahren, welche Daten über ihn gespeichert sind. Das passiert häufiger als Löschanfragen und ist oft der größere Aufwand.
Was der Kunde fragen darf
- Welche Daten sind gespeichert?
- Woher stammen sie?
- Wofür werden sie verwendet?
- An wen wurden sie weitergegeben?
- Wie lange werden sie gespeichert?
Frist: 1 Monat
Nach Eingang der Anfrage haben Sie einen Monat Zeit für eine vollständige Antwort. Verlängerung auf 3 Monate nur bei komplexen Fällen - mit Begründung.
Praktische Umsetzung
Ein Verleihsystem sollte auf Knopfdruck exportieren können:
- Alle Stammdaten des Kunden
- Alle Buchungen mit Datum und Artikel
- Alle Rechnungen
- Alle Kommunikation (falls gespeichert)
Wenn Sie dafür manuell drei Systeme durchsuchen müssen, haben Sie ein Problem.
Löschung vs. Anonymisierung
Löschen heißt nicht immer: Datensatz komplett entfernen.
Problem: Sie brauchen die Buchung für Statistiken (Auslastung, Umsatz), aber nicht mehr den Kundennamen.
Lösung: Anonymisierung. Der Datensatz bleibt, aber ohne Personenbezug:
| Vorher | Nachher |
|---|---|
| Max Mustermann, max@example.com, E-Bike Premium, 15.-17. Juni 2026, 87 € | [gelöscht], [gelöscht], E-Bike Premium, 15.-17. Juni 2026, 87 € |
Die Buchung zählt weiter für Ihre Auswertungen, ist aber nicht mehr personenbezogen. Damit greift die DSGVO nicht mehr.
Automatisierte Löschung
Manuelle Löschung skaliert nicht. Bei 500 Buchungen im Jahr will niemand quartalsweise Listen durchgehen.
Wie automatisierte Löschung funktioniert
- Regel definieren: Kontaktdaten ohne Buchung seit 12 Monaten → löschen
- Cronjob läuft nachts: Prüft alle Datensätze gegen die Regeln
- Löschung oder Anonymisierung: Je nach Datenkategorie
- Protokoll: Wann wurde was gelöscht (ohne die gelöschten Daten selbst)
Was ins Protokoll gehört
- Datum der Löschung
- Datenkategorie (z.B. "Kontaktdaten")
- Anzahl gelöschter Datensätze
- Regelgrundlage (z.B. "12 Monate ohne Buchung")
Das Protokoll selbst enthält logischerweise keine personenbezogenen Daten. Es dokumentiert nur, dass der Prozess läuft.
Sonderfall: Kunde will Löschung, aber Rechnung ist offen
Kunde schreibt: "Löschen Sie alle meine Daten."
Sie haben aber noch eine offene Rechnung oder einen laufenden Mietvertrag.
Antwort: Nein - zumindest nicht vollständig.
Art. 17 DSGVO erlaubt Ausnahmen, wenn die Daten für die Vertragserfüllung oder rechtliche Verpflichtungen (Steuerrecht) nötig sind. Sie können löschen, was nicht mehr gebraucht wird (z.B. Geburtsdatum, wenn nicht vertragsrelevant), aber Rechnungsdaten bleiben so lange, wie Ihr nationales Steuerrecht es verlangt.
Wichtig: Das dem Kunden erklären, nicht einfach ignorieren.
Was bei einem Datenleck passiert
Wenn personenbezogene Daten abfließen (Hack, verlorener Laptop, E-Mail an falschen Empfänger), gelten:
- 72-Stunden-Frist: Meldung an die Datenschutzbehörde, wenn Risiko für Betroffene besteht
- Information der Betroffenen: Bei hohem Risiko müssen die Kunden informiert werden
Weniger gespeicherte Daten = weniger Schaden bei einem Leck. Das ist das eigentliche Argument für kurze Löschfristen.
Checkliste für Verleihbetriebe
| Punkt | Erledigt? |
|---|---|
| Datenkategorien dokumentiert (was speichern wir?) | ☐ |
| Löschfristen je Kategorie definiert | ☐ |
| Steuerrechtliche Fristen mit Steuerberater geklärt | ☐ |
| Automatisierte Löschung eingerichtet | ☐ |
| Export für Auskunftsersuchen möglich | ☐ |
| Löschprotokoll aktiv | ☐ |
| Prozess für Löschanfragen definiert | ☐ |
| Mitarbeiter wissen, an wen sie Anfragen weiterleiten | ☐ |
Zusammenfassung
| Thema | Kernpunkt |
|---|---|
| Steuerrechtliche Daten | Aufbewahrungspflicht je nach Land (5-10 Jahre) |
| Kontaktdaten ohne Geschäftsbeziehung | Löschen nach 1 Jahr |
| Miethistorie | 3 Jahre (Verjährung) |
| Auskunftsersuchen | 1 Monat Antwortfrist, Export auf Knopfdruck |
| Anonymisierung | Alternative zur Löschung, wenn Statistikdaten gebraucht werden |
| Automatisierung | Einziger skalierbarer Weg |
DSGVO-Compliance im Verleih ist kein Hexenwerk. Saubere Datenstruktur, klare Fristen, automatisierte Prozesse - dann ist das Thema erledigt.
Passende Lösung für Ihren Betrieb finden
Beantworten Sie 3 kurze Fragen und erhalten Sie eine individuelle Empfehlung.
Kostenlos testen