Skip to content

VG Karlsruhe: Anweisungen nach der EU-Datenschutz-Grundverordnung (EU-DSGVO) durch datenschutzrechtliche Aufsichtsbehörde erst ab In-Kraft-Treten am 25.05.2018

VG Karlsruhe
Urteil vom 6.7.2017
10 K 7698/16


Das VG Karlsruhe hat entschieden, dass Anweisungen nach der nach der EU-Datenschutz-Grundverordnung (EU-DSGVO) erst ab In-Kraft-Treten am 25.05.2018 zulässig sind.

Aus den Entscheidungsgründen:

"1. Für die datenschutzrechtliche Verfügung des Beklagten liegt keine Ermächtigungsgrundlage vor.

a) Die tatbestandlichen Voraussetzungen des als Ermächtigungsgrundlage herangezogenen § 38 Abs. 5 S. 1 BDSG liegen nicht vor. Hiernach kann die Aufsichtsbehörde zur Gewährleistung der Einhaltung des Bundesdatenschutzgesetzes und anderer Vorschriften über den Datenschutz Maßnahmen zur Beseitigung festgestellter Verstöße bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten oder technischer oder organisatorischer Mängel anordnen. Die Ausübung der Befugnisse nach § 38 Abs. 5 S. 1 BDSG kommt in Betracht, wenn bei kontrollierten Stellen keine Bereitschaft zur Behebung der von der Aufsichtsbehörde gerügten Mängel oder Rechtsverletzungen festzustellen ist (Petri in Simitis, BDSG, 8. Aufl. 2014, § 38 Rn. 72). Eine aufsichtsbehördliche Maßnahme ist nicht erst dann zulässig, wenn die betreffende Datenverarbeitung ins Werk gesetzt ist. Insbesondere bei besonders sensiblen und sogar strafrechtlich geschützten Daten kann die Aufsichtsbehörde Anordnungen bereits treffen, wenn die unzulässige Datenverarbeitung durch ein Vertragswerk schon deutlich vorgezeichnet ist und dieses Vertragswerk in Kraft getreten ist (vgl. OVG Schleswig-Holstein, Beschluss vom 12.01.2011 - 4 MB 56/10 -, juris).

Diese Voraussetzungen sind vorliegend nicht erfüllt. Festgestellte Datenschutzverstöße durch die Klägerin, welche seitens der Aufsichtsbehörde gerügt worden wären, liegen der angefochtenen Verfügung unstreitig nicht zugrunde. Gleiches gilt für technische oder organisatorische Mängel. Ausweislich der Verfügungsbegründung sollen keine gegenwärtigen Datenschutzverstöße der Klägerin unterbunden, sondern vielmehr Missstände verhindert werden, die nach dem 24.05.2018 zu erwarten seien. Soweit der Landesbeauftragte für den Datenschutz Baden-Württemberg insoweit die aus der Rechtsprechung des Oberverwaltungsgerichts Schleswig-Holstein abgeleiteten Grundsätze für anwendbar hält, wonach bei Vorliegen besonderer Umstände auch künftig zu erwartende Datenschutzverstöße bereits ein Tätigwerden der Aufsichtsbehörde zuließen, vermag die erkennenden Kammer dem nicht zu folgen. Denn anders als in der der herangezogenen Entscheidung zugrundliegenden Konstellation ist das künftige Verhalten der Klägerin nicht durch ein bereits in Kraft getretenes Vertragswerk oder eine vergleichbare tragfähige Grundlage deutlich vorgezeichnet. Es ist vielmehr noch völlig ungewiss, wie die Prüf- und Löschpraxis der Klägerin bezüglich forderungsbezogener Daten künftig unter Geltung der EU-Datenschutzgrundverordnung aussehen wird und ob diese rechtswidrig sein wird, zumal auch der genaue rechtliche Rahmen hierfür noch unklar ist.

Die derzeit geltende Regelung des § 35 Abs. 2 S. 2 Nr. 4 BDSG, wonach personenbezogene Daten zu löschen sind, wenn sie geschäftsmäßig zum Zweck der Übermittlung verarbeitet werden und eine Prüfung jeweils am Ende des vierten, soweit es sich um Daten über erledigte Sachverhalte handelt und der Betroffene der Löschung nicht widerspricht am Ende des dritten Kalenderjahres beginnend mit dem Kalenderjahr, das der erstmaligen Speicherung folgt, ergibt, dass eine längerwährende Speicherung nicht erforderlich ist, wird mit Neufassung des Bundesdatenschutzgesetz durch das Datenschutz-Anpassungs- und Umsetzungsgesetz EU vom 30.06.2017 (BGBl. I, S. 2097 ff.) nicht fortbestehen. Die Datenschutzgrundverordnung enthält über den Erforderlichkeitsgrundsatz (vgl. Art. 5 Abs. 1 Buchst. e EU-DSGVO) hinaus keine konkreten Vorgaben zu den Prüf- und Löschfristen. Ihr ist lediglich – unter anderem in Erwägungsgrund 39 – zu entnehmen, dass der Verantwortliche die Dauer seiner Datenverarbeitung unabhängig von einem entsprechenden Verlangen des Betroffenen nach Art. 17 EU-DSGVO („Recht auf Vergessenwerden“) regelmäßig zu überprüfen hat. Hierbei kann auf typisierte Regelprüffristen für wiederkehrende Vorgänge zurückgegriffen werden, da es gerade Unternehmen, die in großem Umfang Daten verarbeiten – wie etwa Auskunfteien – nicht zuzumuten ist, jeden Einzelfall gesondert zu bewerten (vgl. Plath in: Plath, BDSG/DSGVO, 2. Aufl. 2016, Art. 5 EU-DSGVO Rn. 18). Eine Überprüfung kann in bestimmten Intervallen erfolgen, so wie es beispielsweise bislang nach § 35 Abs. 2 S. 2 Nr. 4 BDSG möglich und zulässig war (vgl. Kamlah in: Plath, a.a.O., Art. 17 EU-DSGVO Rn. 6).

Einen Vorschlag bezüglich der Prüf- und Löschfristen unter Geltung der EU-Datenschutzgrundverordnung enthält der vom Verband der Wirtschaftsauskunfteien, dem auch die Klägerin angehört, ausgearbeitete Entwurf von Verhaltensregeln („Code of Conduct“). Nach Art. 40 Abs. 2 EU-DSGVO können Verbände oder andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, Verhaltensregeln ausarbeiten oder ändern oder erweitern, mit denen die Anwendung der Verordnung präzisiert wird. Auf Antrag nimmt die zuständige Aufsichtsbehörde in einem zweistufigen Verfahren dazu Stellung, ob die vorgelegten Verhaltensregeln mit der Verordnung vereinbar sind und genehmigt diese, soweit sie „ausreichende geeignete Garantien“ bieten (vgl. Art. 40 Abs. 5 S. 2 EU-DSGVO). Ein entsprechender Antrag bei der hier zuständigen Aufsichtsbehörde des Landes Nordrhein-Westfalen ist – wie die Prozessbevollmächtigten der Klägerin in der mündlichen Verhandlung vom 06.07.2017 angegeben haben – formal noch nicht gestellt worden. Aktuell finde noch die Abstimmung und Konsensbildung mit den im Düsseldorfer Kreis vertretenen Aufsichtsbehörden des Bundes und der Länder für den nicht-öffentlichen Bereich statt. Ausweislich des Protokolls der letzten Sitzung des Düsseldorfer Kreises vom 07.03.2017 (abrufbar unter: https://www.ldi.nrw.de/mainmenu_Service/submenu_Entschliessungsarchiv/Inhalt/Protokolle/Inhalt/Protokolle_des_Duesseldorfer_Kreises/Inhalt/7_-Maerz-2017/DK-2017_1-Protokoll.pdf) hat der „Code of Conduct Prüf- und Löschfristen in der Fassung des Entwurfs vom 28.02.2017“ bei einer Probeabstimmung zwar eine mehrheitliche Zustimmung, jedoch nicht die nach der Geschäftsordnung des Düsseldorfer Kreises erforderliche einstimmige Zustimmung erhalten. Mehrheitlich befürworte der Düsseldorfer Kreis, dass Nordrhein-Westfalen als genehmigende Aufsichtsbehörde dem Verband der Wirtschaftsauskunfteien empfehlen solle, den Bundesverband Verbraucherzentralen bei der „weiteren Ausarbeitung des Code of Conduct“ zu beteiligen (vgl. Protokoll der Sitzung vom 07.03.2017, S. 7). Vor dem Hintergrund des nach wie vor laufenden Verfahrens steht weder fest, ob es überhaupt zu einer späteren Genehmigung von Verhaltensregeln zu den Prüf- und Löschfristen kommen wird, noch wie diese letztlich ausgestaltet sein werden. Angesichts dessen kann die weitere Frage der Wirkung und Verbindlichkeit von genehmigten Verhaltensregeln dahingestellt bleiben. Nach dem Voranstehenden fehlt es bereits an einer Grundlage, welche die getroffene Einschätzung tragen könnte, wonach die Klägerin mit ihrer – derzeit im Übrigen noch ungewissen – künftigen Prüf- und Löschpraxis gegen die – ggf. noch zu konkretisierenden – Vorgaben der EU-Datenschutzgrundverordnung verstoßen würde.

Insbesondere kann auch nicht davon ausgegangen werden, dass nur eine Handhabung entsprechend der in der angegriffenen Verfügung vorgesehenen Prüf- und Löschpraxis mit der EU-Datenschutzgrundverordnung vereinbar wäre. Denn die vom Landesbeauftragen für den Datenschutz Baden-Württemberg für angemessen erachtete Frist, wonach Forderungen im Sinne von § 28a BDSG und die mit diesen in Zusammenhang stehenden Informationen über Personen, die die Klägerin in ihren Datenbeständen, aus denen Bonitätsauskünfte erteilt würden, nach dem 24.05.2018 speichere, spätestens nach Ablauf von drei Jahren, beginnend mit dem Zeitpunkt der Fälligkeit der Forderung, zu löschen seien, es sei denn, dass der Betroffene zu diesem Zeitpunkt zahlungsunfähig oder zahlungsunwillig sei, stellt keineswegs die einzig mögliche Speicher- und Löschkonzeption dar, die mit der EU-Datenschutzgrundverordnung in Einklang steht bzw. sich aus selbiger zwingend ergibt. Die künftige Prüf- und Löschpraxis der Auskunfteien muss sich – wie bereits dargestellt wurde – am Erforderlichkeitsmaßstab des Art. 5 Abs. 1 Buchst. e EU-DSGVO messen lassen, der in Hinblick auf Fristlänge und Anknüpfungsmoment einen Spielraum eröffnet. Die erkennende Kammer muss vorliegend nicht darüber entscheiden, wo die Grenzen dieses Spielraums erreicht sind. Sie geht aber – worauf es hier alleine ankommt – jedenfalls davon aus, dass innerhalb des vorhandenen Spielraums eine gewisse Bandbreite an mit der EU-Datenschutzgrundverordnung in Einklang stehenden Prüf- und Löschfristen zulässig ist.

b) Entgegen den Ausführungen der Beklagten ergibt sich eine Ermächtigungsgrundlage für die angegriffene Verfügung auch nicht aus § 38 Abs. 5 S. 1 BDSG i.V.m. Erwägungsgrund 39 der EU-DSGVO. Aus diesem Erwägungsgrund geht unter anderem hervor, dass der Verantwortliche Fristen für die Löschung oder regelmäßige Überprüfung personenbezogener Daten vorsehen sollte, um sicherzustellen, dass die Daten nicht länger als nötig gespeichert werden.

Zunächst kann dahingestellt bleiben, ob aus einem Erwägungsgrund einer zwar in Kraft getretenen, jedoch noch nicht anwendbaren Verordnung in Verbindung mit einer Regelung, die bei Geltung der Verordnung weggefallen sein wird, eine Rechtsgrundlage hergeleitet werden kann. Denn jedenfalls ergibt sich auch aus dem ergänzend herangezogenen Erwägungsgrund nicht, dass die Klägerin bereits vor Geltung der Verordnung verpflichtet wäre, der Verfügung entsprechende Überprüfungs- und Löschfristen zu schaffen und sie hierzu bereits vor Anwendbarkeit der Verordnung durch die Aufsichtsbehörde verpflichtet werden könnte. Eine frühzeitige Anpassung ihrer Datenschutzlöschkonzeption an die EU-Datenschutzgrundverordnung liegt unzweifelhaft im Interesse der Klägerin, da bei Verstößen gegen das europäische Datenschutzrecht erhebliche Sanktionen drohen (vgl. nur Art. 83 Abs. 5 Buchst. a EU-DSGVO zu Verstößen gegen die Grundsätze der Verarbeitung gemäß Art. 5 EU-DSGVO). Eine Ermächtigung für ein Tätigwerden der Aufsichtsbehörde bereits vor Geltung der EU-Datenschutzgrundverordnung – gewissermaßen um frühzeitig sicherzustellen, dass die künftig anwendbaren Vorschriften unter Berücksichtigung der Rechtsauffassung der Aufsichtsbehörde durch die Verantwortlichen eingehalten werden – lässt sich jedoch weder der Verordnung im Wege einer Vorwirkung, noch den aktuell geltenden Bestimmungen des Bundesdatenschutzgesetzes entnehmen.

c) Soweit der Beklagte auf Art. 58 Abs. 2 Buchst. d EU-DSGVO verweist, wonach jede Aufsichtsbehörde über Abhilfebefugnisse verfügt, die es ihr gestatten, den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit der Verordnung zu bringen, kann die am 25.11.2016 erlassene Verfügung bereits deshalb nicht auf diese Ermächtigungsgrundlage gestützt werden, da diese erst ab 25.05.2018 Gültigkeit beanspruchen wird (vgl. Art. 99 Abs. 2 EU-DSGVO)."


Den Volltext der Enstcheidung finden Sie hier: