Webshops müssen Datenfriedhöfe räumen – Neue Urteile verschärfen die Lage

Die Weihnachtsgeschäfte laufen auf Hochtouren, doch für Online-Händler zeichnet sich ein komplizierteres Jahr 2026 ab. Zwei wegweisende Gerichtsurteile beenden die Ära der passiven Datenspeicherung und verlangen eine proaktive Datenhygiene.

Während der Bundesgerichtshof (BGH) die Speicherfristen für Bonitätsdaten bestätigte, zog der Europäische Gerichtshof (EuGH) die Haftungsschraube für Plattformbetreiber an. Für Webshop-Betreiber bedeutet das: Alte, inaktive Kundenkonten werden zum finanziellen Risiko. Wer jetzt nicht aufräumt, riskiert hohe Bußgelder.

BGH-Urteil: Drei Jahre Speicherfrist nur für Bonitätsdaten

In einem Grundsatzurteil vom 18. Dezember 2025 bestätigte der Bundesgerichtshof (BGH), dass Auskunfteien wie die SCHUFA Daten über beglichene Schulden bis zu drei Jahre speichern dürfen. Das Gericht kippte damit eine Entscheidung des Kölner Oberlandesgerichts, das eine Löschfrist von nur sechs Monaten gefordert hatte.

Der Erste Zivilsenat sah in der branchenüblichen Praxis einen zulässigen Interessenausgleich nach der Datenschutz-Grundverordnung (DSGVO). Die Bonitätsprüfung diene einem berechtigten wirtschaftlichen Interesse, das längere Fristen als bei öffentlichen Registern rechtfertige.

Passend zum Thema Datenschutz: Viele Unternehmen sind bei Prüfungen angreifbar, weil das Verzeichnis der Verarbeitungstätigkeiten lückenhaft ist. Ein kostenloses Excel-Muster und die Schritt-für-Schritt-Anleitung zeigen, welche Verarbeitungstätigkeiten dokumentiert werden müssen, wie Sie Verantwortlichkeiten nach Art. 30 DSGVO zuordnen und Löschfristen sauber nachweisen. Die Vorlagen sind editierbar und sofort einsatzbereit – ideal, um Datenschutzpfade nachvollziehbar zu machen. Verarbeitungsverzeichnis jetzt kostenlos herunterladen

Doch Vorsicht vor Fehlschlüssen: Rechtsanwälte warnen davor, das Urteil als Freibrief für wahllose Datensammelei zu missverstehen. Die Entscheidung gilt ausschließlich für die Bonitätsprüfung. Sie legitimiert nicht, inaktive Kundenkonten für Marketingzwecke oder aus Bequemlichkeit endlos zu speichern. Für Webshops gilt weiterhin der Grundsatz der Speicherbegrenzung: Daten müssen gelöscht werden, sobald ihr Zweck – etwa die Vertragserfüllung – erledigt ist.

Anders als Auskunfteien, die systemische Finanzrisiken managen, hat ein Standard-Webshop kaum rechtliche Grundlage, die Daten eines Kunden zu behalten, der seit Jahren weder eingeloggt noch etwas gekauft hat. Ausnahmen gelten nur für gesetzliche Aufbewahrungsfristen, etwa zehn Jahre für steuerrelevante Rechnungen.

EuGH-Entscheidung: Das Ende der „passiven Host“-Verteidigung

Noch weitreichender ist ein Urteil des Europäischen Gerichtshofs (EuGH) vom 2. Dezember 2025 im Fall Russmedia. Das Gericht entschied, dass Betreiber von Online-Plattformen – auch solchen mit nutzergenerierten Inhalten wie Anzeigen oder Bewertungen – als „gemeinsam Verantwortliche“ neben ihren Nutzern gelten können.

Damit fällt der bisherige Schutzschild des „Host-Provider-Privilegs“ weg. Der EuGH stellte klar: Übt ein Plattformbetreiber Einfluss auf Darstellung, Bewerbung oder Indexierung von Daten aus – etwa durch Algorithmen oder Kategorisierung –, verarbeitet er diese Daten aktiv.

Folgen für den E-Commerce: Diese Entscheidung trifft besonders Webshops mit Community-Funktionen, Kundenprofilen oder Marketplace-Integrationen. Shop-Betreiber können sich nicht mehr als bloße technische Gastgeber nutzergenerierter Daten aus der Affäre ziehen. Sie tragen die volle Verantwortung für die Rechtmäßigkeit der Datenverarbeitung. Dazu gehört auch die Pflicht, „inaktive“ Nutzerprofile proaktiv zu löschen, anstatt auf eine vielleicht nie kommende Nutzeranfrage zu warten.

Datenfriedhöfe: Warum inaktive Konten jetzt überprüft werden müssen

Angesichts der verschärften Rechtslage raten Datenschutzbeauftragte E-Commerce-Unternehmen zu einer umfassenden Datenbankprüfung zum Jahreswechsel. „Datenfriedhöfe“ – mit alten, inaktiven Kundendatensätzen gefüllte Datenbanken – bergen ein doppeltes Risiko: Sie sind ein gefundenes Fressen für Cyberkriminelle und ein rotes Tuch für Aufsichtsbehörden.

Während das BGH-Urteil im Kontext der Bonitätsprüfung drei Jahre erlaubt, setzt sich für inaktive Webshop-Konten ein „12+12“-Modell als Best Practice durch:
* 12 Monate Inaktivität: Das Konto wird gekennzeichnet; der Kunde erhält eine Re-Engagement-E-Mail.
* 24 Monate Inaktivität: Bei weiterer Untätigkeit wird das Konto pseudonymisiert oder gelöscht. Nur gesetzlich vorgeschriebene Transaktionsdaten (Rechnungen) werden in einem separaten Archiv behalten.

Daten länger als nötig zu speichern, ohne ein dokumentiertes „berechtigtes Interesse“, macht Unternehmen angreifbar. Das Russmedia-Urteil erhöht die Beweislast für die Verantwortlichen nochmals.

Verbraucherwarnung: Phishing-Welle nutzt Weihnachtsgeschäft

Parallel zu den neuen Compliance-Pflichten bleibt die Bedrohungslage für Verbraucher angespannt. Kurz vor Weihnachten warnte die Verbraucherzentrale vor einer Häufung von Phishing-Angriffen. Die bestätigten Bedrohungen vom 23. Dezember zielen gezielt auf photoTAN-Verfahren im Banking und Zugangsdaten für Streamingdienste wie Disney+ oder Netflix ab.

Die Angreifer nutzen das hohe Transaktionsaufkommen in der Feiertagszeit. Für Webshop-Betreiber unterstreicht dies das Sicherheitsrisiko inaktiver Konten: Werden Zugangsdaten durch einen Streaming-Leak kompromittiert, könnten Kriminelle mit „Credential Stuffing“ auch das schlafende Webshop-Konto knacken – besonders, wenn dort unnötigerweise Zahlungsdaten gespeichert wurden.

Ausblick 2026: Proaktive Compliance wird Pflicht

Die Urteile von BGH und EuGH werden im ersten Quartal 2026 viele Datenschutzerklärungen und AGB überarbeiten lassen. Eine „Abwarte-Haltung“ ist nicht mehr drin.
* Erwartet wird: Eine Welle aktualisierter AGB in Januar, da sich Plattformen der gemeinsamen Verantwortlichkeit nach dem Russmedia-Urteil anpassen.
* Zu beachten ist: Weitere Leitlinien der Datenschutzkonferenz (DSK), wie die Drei-Jahres-Regel des BGH mit dem „Recht auf Vergessenwerden“ in anderen Branchen interagiert.
* Jetzt handeln: Webshops sollten sofort „steuerrelevante Daten“ (10 Jahre Aufbewahrung) von „Kontoprofil-Daten“ (kürzere Frist) trennen, um Compliance zu automatisieren, ohne Prüfspuren zu verlieren.

Die Botschaft zum 26. Dezember ist eindeutig: Das beste Neujahrsgeschenk für einen Händler ist eine saubere, konforme und auf ein Minimum reduzierte Kundendatenbank.

PS: Angesichts der aktuellen Phishing-Welle reicht Datenhygiene allein nicht aus — Webshop-Betreiber müssen auch ihre technischen und organisatorischen Schutzmaßnahmen stärken. Das Anti-Phishing-Paket bietet eine 4-Schritte-Anleitung zur Abwehr von CEO-Fraud, Credential Stuffing und massenhaften Phishing-Angriffen, inklusive Checklisten und konkreten Sofortmaßnahmen für Mitarbeiter und Systeme. Praktisch: Maßnahmen sind branchenspezifisch anwendbar und schnell umsetzbar. Jetzt Anti-Phishing-Paket kostenlos sichern