„EU-DSGVO – es geht schon (fast) los!“

Obwohl die EU-Datenschutzgrundverordnung (DSGVO) erst ab dem 25. Mai 2018 Anwendung findet (vgl. Art. 99 Abs. 2 EU-DSGVO), liegt bereits jetzt ein erstes Urteil hierzu vor. Das VG Karlsruhe hob mit Urteil vom 06.07.2017 (Az: 10 K 7698/16) eine datenschutzrechtliche Verfügung des Landesbeauftragten für den Datenschutz Baden-Württemberg auf.

Sachverhalt

Das klagende Unternehmen betreibt eine Auskunftei, die bonitätsrelevante Angaben zu der Zahlungsfähigkeit und Kreditwürdigkeit von Personen, mithin personenbezogene Daten, speichert und an Dritte übermittelt (vgl. § 28a Abs. 1 Bundesdatenschutzgesetz (BDSG)). Die betriebliche Datenschutzorganisation des Unternehmens entsprach dabei den Anforderungen des aktuellen BDSG. Insbesondere die angewandte Datenspeicher- und Datenlöschkonzeption entsprach den Anforderungen des § 35 Abs. 2 S. 2 Nr. 4 BDSG. Dennoch wies die Landesdatenschutzbehörde das Unternehmen mit Blick auf die Regelungen der EU-DSGVO darauf hin, dass deren Konzeption umzustellen sei. Die Klägerin teilte der Behörde hieraufhin mit, dass das Unternehmen ihre Konzeption bis zum 25. Mai 2018 anpassen werde und dass in der Arbeitsgruppe Auskunftei des Düsseldorfer Kreises aktuell an einem „Code of Conduct“ gearbeitet werde, der auch die Speicher- und Löschfristen regele. Trotzdem erließ die Behörde eine auf § 38 Abs. 5 S. 1 BDSG gestützte datenschutzrechtliche Verfügung, wonach die personenbezogenen Daten spätestens nach Ablauf von drei Jahren, beginnend mit dem Kalenderjahr, das der Fälligkeit der Forderung folge, zu löschen seien, es sei denn, dass der Betroffene zu diesem Zeitpunkt zahlungsunwillig bzw. zahlungsunfähig sei. Zwar lägen aktuell keine Datenschutzverstöße vor, solche seien aber ab der Anwendbarkeit der EU-DSGVO zu befürchten, so dass bereits jetzt ein Einschreiten geboten sei. Hinsichtlich der 3-Jahres-Frist orientiere sich die Behörde an dem § 882e ZPO, da § 35 Abs. 5 BDSG außer Kraft trete und weder die EU-DSGVO noch das gleichzeitig in Kraft tretende neue Bundesdatenschutzgesetz (BDSG n.F.) Angaben zu konkreten Löschungsfristen machten.

Entscheidungsgründe

Das VG Karlsruhe hob die Verfügung auf. Es fehle bereits an einer Ermächtigungsgrundlage. Zur weiteren Begründung führte das Gericht aus, dass zwar Datenschutzbehörden unter bestimmten Voraussetzungen auch schon vor dem Eintritt eines Datenschutzverstoßes tätig werden können, wenn ein solcher aus den gegebenen Umständen bereits konkret zu erkennen sei. Dies könne aber nicht gelten, soweit sich der erwartete Datenschutzverstoß aufgrund eines noch nicht geltenden Gesetzes ergebe. Zudem wies das Gericht darauf hin, dass noch völlig ungewiss sei, wie die Prüf- und Löschpraxis der Klägerin bezüglich der Daten zukünftig unter Geltung der EU-DSGVO aussehen würden und ob diese rechtswidrig sein werden, zumal auch der genaue rechtliche Rahmen hierfür noch unklar sei. Weder der EU-DSGVO noch dem BDSG n. F. ließen sich konkrete Löschfristen entnehmen, so dass ein gewisser Spielraum bestehe, der im Einzelfall durch eine Interessenabwägung unter Beachtung des Erforderlichkeitsmaßstabes des Art. 5 Abs. 1 lit. e EU-DSGVO auszufüllen sei. Daher verböte sich eine starre Frist, wie von der Behörde gefordert.

Schließlich beinhalte weder die EU-DSGVO noch das aktuelle BDSG eine Ermächtigungsgrundlage für die Aufsichtsbehörden, bereits vor der Geltung der EU-DSGVO tätig zu werden.

Anmerkung

Das Urteil lässt deutlich die zu erwartende Entschlossenheit der Aufsichtsbehörden hinsichtlich der Durchsetzung der EU-DSGVO erkennen. Dies wiegt angesichts der massiven Anhebung der Bußgelder unter der EU-DSGVO umso schwerer. Auch deshalb ist es unerlässlich, in jeder Hinsicht auf die kommende Grundverordnung vorbereitet zu sein. Dies betrifft den gesamten Betrieb(sablauf) und kann auch kleinste Unternehmen umfassen. Gleichzeitig zeigt das Urteil, dass etliche Einzelfragen zur Auslegung der EU-DSGVO noch nicht abschließend geklärt sind. Hier bleiben die angekündigten Hinweise und Handlungsempfehlungen der verschiedenen Aufsichtsbehörden sowie der Artikel-29-Datenschutzgruppe bzw. des zukünftigen Europäischen Datenschutzausschusses (vgl. Art. 68 ff. EU-DSGVO) abzuwarten.

Eine ausführliche Einführung zur EU-DSGVO haben wir hier für Sie hinterlegt.