naja, mach die dsgvo nicht schlimmer als die ist: Du bist als Kaufmann laut HGB verpflichtet, alle relevanten Dokumente für auftragsrelevante Vorgänge zu speichern und das ganze für 10 Jahre.

Wenn du einen Auftrag über Shareit vermittelt bekommst, bist immer noch du zur Erbringung der vereinbarten Leistung verpflichtet, egal ob digital, als service oder physisch und damit ist es zweifelsfrei sehr wichtig, das du alle für diesen Auftrag wichtigen Dokumente auch speicherst. Und wenn du nur die E-Mails hast, dann sind das zweifelsfrei diese.

HGB ist in der Hierarchie oberhalb von DSGVO, daher ist in diesem Fall die DSGVO egal, nach der fragt dich keine Sau bei einer Betriebsprüfung, wenn du aber nicht nachvollziehen kannst, welche Leistungen für welchen Geschäftspartner gegen welches Entgeld erbracht hast, wirst du nicht besonders lustige Diskussionen mit dem Betriebsprüfer haben.

Und wenn ein Kunde, der dir einen Auftrag erteilt hat, irgendwann innerhalb der dann folgenden Jahre darauf pocht, das du seine Daten löschen sollst, dann darfst du das zwar für alles nicht auftragsrelevante Vorgänge machen, aber keineswegs für die auftragsrelevanten Dokumente. Und solche Gesetze sind im HGB medienneutral definiert, da spricht keiner davon, das du irgendwas ausdrucken und abheften musst. Digitale Dokumente sollten digital verfügbar sein.

Es kann also durchaus sein, das ein Betriebsprüfer Einblick in deine Freischaltcode Datenbank haben möchte, um die damit verbundenen Zahlungseingänge stichprobenartig abzugleichen, wenn er Zweifel an der korrekten Abwicklung hat. Ob Shareit dir die dann irgendwann noch in deren Datenbank zur Verfügung stellt oder nicht, weil die vielleicht auch irgendwann mal Ihr System anpassen, von paypal oder microsoft gekauft werden oder sonstige Gründe dafür zuständig sind, das du keinen Zugriff mehr auf diese Daten hast, ist ganz klar dein Fehler.

Wenn du Daten sammelst, der Betroffene aber keinen Auftrag erteilt hat, zu dem natürlicherweise auch eine Leistungeerbringung und eine Zahlung gehört, dann hat das mit dem HGB nix zu tun. Dann bist du im Bereich der DSGVO. Mit Auftrag und Leistung und Zahlung sieht das komplett anders aus.

Daher nicht alles mit der DSGVO begründen, das kann auch gewaltig nach hinten losgehen.