Skip to content

LfDI Baden-Württemberg: Bußgeld von 20.000 EURO gegen knuddels.de wegen Verstoß gegen DSGVO - Speicherung der Passwörter im Klartext widerspricht Art. 32 Abs. 1 lit a DSGVO

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg hat gegen den Betreiber des Internetportals knuddels.de ein Bußgeld in Höhe von 20.000 EURO wegen eines Verstoßes gegen die DSGVO verhängt. Die Speicherung von Passwörtern im Klartext verstößt gegen Art. 32 Abs. 1 lit a DSGVO

Die Pressemitteilung des LfDI:

Baden-Württemberg: Bußgeld über 20.000 EURO gegen knuddels.de wegen Verstoß gegen DSGVO - Speicherung der Passwörter im Klartext widerspricht Art. 32 Abs. 1 lit a DSGVO

LfDI Baden-Württemberg verhängt sein erstes Bußgeld in Deutschland nach der DS-GVO
Kooperation mit Aufsicht macht es glimpflich

Wegen eines Verstoßes gegen die nach Art. 32 DS-GVO vorgeschriebene Datensicherheit hat die Bußgeldstelle des LfDI Baden-Württemberg mit Bescheid vom 21.11.2018 gegen einen baden-württembergischen Social-Media-Anbieter eine Geldbuße von 20.000,- Euro verhängt und – in konstruktiver Zusammenarbeit mit dem Unternehmen – für umfangreiche Verbesserungen bei der Sicherheit der Nutzerdaten gesorgt.

Das Unternehmen hatte sich am 08. September 2018 mit einer Datenpannenmeldung an den LfDI gewandt, nachdem es bemerkt hatte, dass durch einen Hackerangriff im Juli 2018 personenbezogene Daten von circa 330.000 Nutzern, darunter Passwörter und E-Mail-Adressen, entwendet und Anfang September 2018 veröffentlicht worden waren. Ihre Nutzer informierte das Unternehmen nach den Vorgaben der EU-Datenschutzgrundverordnung (DS-GVO) unverzüglich und umfassend über den Hackerangriff. Gegenüber dem LfDI legte das Unternehmen in vorbildlicher Weise sowohl Datenverarbeitungs- und Unternehmensstrukturen als auch eigene Versäumnisse offen. Hierdurch wurde dem LfDI bekannt, dass das Unternehmen die Passwörter ihrer Nutzer im Klartext, mithin unverschlüsselt und unverfremdet (ungehasht), gespeichert hatte. Diese Klartextpasswörter nutzte das Unternehmen beim Einsatz eines sog. „Passwortfilters“ zur Verhinderung der Übermittlung von Nutzerpasswörtern an unberechtigte Dritte mit dem Ziel, die Nutzer besser zu schützen.

Das Unternehmen setzte innerhalb weniger Wochen weitreichende Maßnahmen zur Verbesserung ihrer IT-Sicherheitsarchitektur um und brachte damit die Sicherung ihrer Nutzerdaten auf den aktuellen Stand der Technik. Zudem wird das Unternehmen innerhalb der nächsten Wochen in Abstimmung mit dem LfDI zusätzliche Maßnahmen zur weiteren Verbesserung der Datensicherheit durchführen.

Durch die Speicherung der Passwörter im Klartext verstieß das Unternehmen wissentlich gegen seine Pflicht zur Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten gem. Art. 32 Abs. 1 lit a DS-GVO.

Innerhalb des Bußgeldrahmens gemäß Art. 83 Abs. 4 DS-GVO sprach die sehr gute Kooperation mit dem LfDI in besonderem Maße zu Gunsten des Unternehmens. Die Transparenz des Unternehmens war ebenso beispielhaft wie die Bereitschaft, die Vorgaben und Empfehlungen des Landesbeauftragten für den Datenschutz und die Informationsfreiheit, Dr. Stefan Brink, umzusetzen. Auf diese Weise konnte in sehr kurzer Zeit die Sicherheit der Nutzerdaten des Social-Media-Dienstes deutlich verbessert werden. In Abstimmung mit dem LfDI wird die Sicherung der Nutzerdaten in den kommenden Wochen noch weiter ausgebaut. Bei der Bemessung der Geldbuße wurde neben weiteren Umständen die finanzielle Gesamtbelastung für das Unternehmen berücksichtigt. Bußgelder sollen nach der DS-GVO nicht nur wirksam und abschreckend, sondern auch verhältnismäßig sein. Unter Einbeziehung der aufgewendeten und avisierten Maßnahmen für IT-Sicherheit hat das Unternehmen einschließlich der Geldbuße infolge des Verstoßes einen Gesamtbetrag im sechsstelligen Euro-Bereich zu tragen.

„Wer aus Schaden lernt und transparent an der Verbesserung des Datenschutzes mitwirkt, kann auch als Unternehmen aus einem Hackerangriff gestärkt hervorgehen“, betonte Dr. Brink abschließend. „Als Bußgeldbehörde kommt es dem LfDI nicht darauf an, in einen Wettbewerb um möglichst hohe Bußgelder einzutreten. Am Ende zählt die Verbesserung von Datenschutz und Datensicherheit für die betroffenen Nutzer.“

Internet World Business-Beitrag von Rechtsanwalt Marcus Beckmann - DSGVO: Lage bleibt heikel - Uneinheitliche Entscheidungen zur Abmahnfähigkeit von DSGVO-Verstößen

In Ausgabe 22/2018, S. 17 der Zeitschrift Internet World Business erschien ein Beitrag von Rechtsanwalt Marcus Beckmann mit dem Titel "DSGVO: Lage bleibt heikel - Uneinheitliche Entscheidungen zur Abmahnfähigkeit von DSGVO-Verstößen".

Siehe auch zum Thema
LG Bochum: Verstoß gegen DSGVO ist kein Wettbewerbsverstoß der von Mitbewerbern abgemahnt werden kann

LG Würzburg: Unzureichende Datenschutzerklärung nach DSGVO ist abmahnfähiger Wettbewerbsverstoß

OLG Hamburg: Verstoß gegen Vorgaben der DSGVO kann abmahnfähiger Wettbewerbsverstoß sein


OLG München: DSGVO steht Auskunftsanspruch über Abnehmer von Waren regelmäßig nicht entgegen - Berechtigte Interessen nach Art. 6 Abs. 1 Satz 1 lit f DGSVO

OLG München
Teilurteil vom 24.10.2018
3 U 1551/17


Das OLG München hat entschieden, dass die Vorgaben der DSGVO einem Auskunftsanspruch über Abnehmer von Waren regelmäßig nicht entgegen steht. Insofern greift Art. 6 Abs. 1 Satz 1 lit f DGSVO.

Aus den Entscheidungsgründen:

Soweit die Beklagte die Auffassung vertritt, der Auskunftserteitung stünden Bestimmungen der Datenschutz-Grundverordnung entgegen, ist auf Art. 6 Abs. 1 Satz 1 Buchstabe f DS-GVO zu verweisen. Hiernach ist die Verarbeitung personenbezogener Daten dann rechtmäßig, wenn sie zur Wahrung der Interessen des Verantwortlichen oder eines Dritten erforderlich ist und die datenschutzbezogenen Interessen, Grundrechte und Grundfreiheiten des Betroffenen nicht überwiegen. Ein Abwägungsgesichtspunkt ist der Hinweis des europäischen Gesetzgebers in den Erwägungsgründen, dass die vernünftigen Erwartungen der betroffenen Person, die auf der Beziehung zu den Verantwortlichen beruhen, zu berücksichtigen sind (vgl. Erwägungsgrund 47 Satz 1 Halbsatz 2). In Satz 2 wird als Beispiel für eine solche Beziehung genannt, dass der Betroffene ein Kunde des Verantwortlichen ist oder in seinen Diensten steht (BeckOK Datenschutzrecht, 25. Edition, Stand 01.05.2018, Bearbeiter Albers/Veit, DS-GVO, Art. 6, Rn. 48).

Vor dem teleologischen Hintergrund von Art. 6 Abs. 1 Satz 1 Buchst. DS-GVO, einen Ausgleich zwischen den Interessen des Betroffenen und jenen des Verantwortlichen (oder eines Dritten) zu schaffen, können dabei nicht nur rechtliche Interessen von Bedeutung sein, sondern müssen auch wirtschaftliche oder ideelle Interessen des Verarbeiters berücksichtigt werden. Eine möglichst weite Interpretation des berechtigten Interesses ist zudem (unions-)grundrechtlich geboten, wobei das Recht auf Berufsfreiheit hervorzuheben ist (BeckOK, a.a.O., Rn. 49). Geht man davon aus, dass die von seiten der Klägerin erteilte Information der Beklagten zur Ermittlung eines möglichen Schadensersatzanspruchs aus der Verletzung des Vertragshändlervertrags dient und die Klagepartei gemäß § 242 BGB zur Erteilung einer solchen Information gehalten ist, kann der Gesichtspunkt des Schutzes der wirtschaftlichen Daten der jeweiligen Kunden der Klägerin nicht höhergestellt werden. Insoweit ist besonders zu berücksichtigen, dass die Daten keinen höchst persönlichen Bereich oder ein besonderes Knowhow der Branche betreffen, sondern einen nach außen hin - durch Einsatz der Kräne bzw, Aufbauten - nicht verborgen bleibenden Kaufvorgang. Auch stehen Interessen der Kunden an wirtschaftlicher Geheimhaltung nicht inmitten: Daten wie Ratenzahlung, Kreditfinanzierung u.ä. sind nicht Gegenstand der geschuldeten Auskunft.


Den Volltext der Entscheidung finden Sie hier:


Datenschutzkonferenz: Orientierungshilfe der Aufsichtsbehörden zur Verarbeitung von personenbezogenen Daten für Zwecke der Direktwerbung unter Geltung der Datenschutz-Grundverordnung - DSGVO

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat eine Orientierungshilfe der Aufsichtsbehörden zur Verarbeitung von personenbezogenen Daten für Zwecke der Direktwerbung unter Geltung der Datenschutz-Grundverordnung (DSGVO) veröffentlicht.


OLG Hamburg: Verstoß gegen Vorgaben der DSGVO kann abmahnfähiger Wettbewerbsverstoß sein

OLG Hamburg
Urteil vom 25.10.2018
3 U 66/17


Das OLG Hamburg hat entschieden, dass ein Verstoß gegen die DSGVO ein abmahnfähiger Wettbewerbsverstoß sein kann. Dabei ist im Einzelfall zu schauen, ob die konkrete verletzte Norm eine Marktverhaltensregel ist, was das Gericht im hier entschiedenen Fall ( Bestellbogen für Therapieallergene ohne Patienteneinwilligung ) verneint hat.

Siehe auch zum Thema
LG Bochum: Verstoß gegen DSGVO ist kein Wettbewerbsverstoß der von Mitbewerbern abgemahnt werden kann

LG Würzburg: Unzureichende Datenschutzerklärung nach DSGVO ist abmahnfähiger Wettbewerbsverstoß

Aus den Entscheidungsgründen:

Die Klägerin ist aber auch unter der Geltung der DSGVO klagebefugt. Der Senat ist entgegen der von der Beklagten vertretenen Auffassung nicht der Ansicht, dass die DSGVO ein abgeschlossenes Sanktionssystem enthält, das die Verfolgung datenschutzrechtlicher Verletzungshandlungen auf lauterkeitsrechtlicher Grundlage durch Mitbewerber ausschlösse.

Diese insbesondere auch von Köhler (ZD 2018, 337 ders. in: Köhler/Bornkamm/Feddersen, UWG, 36. Auflage 2018, § 3a Rn. 1.40 a, 1.74 b; ebenso: Barth, WRP 2018, 790 (791); Holländer in: BeckOK Datenschutzrecht, 25. Edition 1. August 2018, Art. 84 Rn. 3.2) vertretene Auffassung ist auf Kritik gestoßen. Sie basiert vor allem darauf, dass die Art. 77-79 DSGVO der „betroffenen Person“, also derjenigen Person, deren Daten verarbeitet werden (vgl. Art. 4 Nr. 1 DSGVO), Rechtsbehelfe zur Seite stellt und die betroffene Person nach Art. 80 Abs. 1 der Verordnung berechtigt ist, Organisationen zu beauftragen, die in ihrem Namen die genannten Rechte wahrnimmt. Die Öffnungsklausel des Art. 80 Abs. 2 der Verordnung sehe nur vor, dass die Mitgliedsstaaten diesen Organisationen auch das Recht einräumen können, ohne einen Auftrag der betroffenen Person eine Rechtsverletzung zu verfolgen. Dem entnimmt die Beklagte mit Köhler, dass Wettbewerbern die Befugnis, eigene Rechte geltend machen können, nicht zukommt.

Dagegen wird zu Recht eingewendet, dass Art. 80 Abs. 2 DSGVO die Frage der Verbandsklage regeln will, aber keinen abschließenden Charakter wegen der Rechtsdurchsetzung durch andere hat (Wolff, ZD 2018, 248, 252; ebenso Schreiber, GRUR-Prax 2018, 371 Laoutoumai/Hoppe, K & R 2018, 533, 534 ff.). Dafür spricht auch, dass zwar in den Art. 77-79 DSGVO Rechtsbehelfe betroffener Personen (Art. 77, 78 Abs. 2, 79 DSGVO) oder jeder anderen Person (Art. 78 Abs. 1 DSGVO) geregelt sind, insoweit aber stets unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen (Art. 77 Abs. 1 DSGVO) bzw. eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen (Art. 78 Abs. 1 und 2, 79 Abs. 1 DSGVO) Rechtsbehelfs. Und Art. 82 DSGVO spricht wiederum „jeder Person“, die wegen des Verstoßes gegen die Verordnung einen Schaden erlitten hat, Schadensersatzansprüche zu. Auch das lässt klar erkennen, dass die DSGVO die Verfolgung von datenschutzrechtlichen Verletzungshandlungen durch andere als die „betroffenen Personen“, deren Daten verarbeitet werden (vgl. Art. 4 Nr. 2 DSGVO), nicht ausschließt.

Schließlich heißt es in Art. 84 Abs. 1 DSGVO, dass die Mitgliedstaaten die Vorschriften über andere Sanktionen für Verstöße gegen diese Verordnung – insbesondere für Verstöße, die keiner Geldbuße gemäß Artikel 83 unterliegen – festlegen und alle zu deren Anwendung erforderlichen Maßnahmen treffen. Diese Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein. Auch das spricht dafür, dass die Verordnung nur einen Mindeststandard an Sanktionen vorsieht (ebenso Wolff, ZD 2018, 248, 251 m.w.N.).

Der Umstand, dass die Vorschrift mit „Sanktionen“ überschrieben ist, spricht entgegen Köhler (ZD 2018, 337, 338) nicht schon gegen diese Feststellung (vgl. Bergt in Kühling/Buchner, DSGVO BDSG, 2. Auflage 2018, Art. 84 Rn. 2). Gerade im Kontext der Vorschrift des Art. 77 DSGVO, die für jede betroffene Person auch anderweitige – also nicht in der DSGVO selbst geregelte – gerichtliche Rechtsbehelfe offen lässt, sowie der Vorschrift des Art. 82 Abs. 1 DSGVO, die nicht nur der betroffenen Person, sondern jeder Person ein Recht auf Schadensersatz einräumt, wird deutlich, dass die DSGVO wegen anderweitiger, in der Verordnung selbst nicht geregelter Rechtsbehelfe und Sanktionen offen gestaltet ist.


Den Volltext der Entscheidung finden Sie hier:



Bundesnetzagentur sperrt per Fax-Spam beworbene Rufnummer der Datenschutzauskunft-Zentrale - DSGVO-Abzocke

Die Bundesnetzagentur hat die per Fax-Spam beworbene Rufnummer der Datenschutzauskunft-Zentrale im Zusammenhang mit der DSGVO-Vertrags-Abzocke gesperrt.

Die Pressemitteilung der Bundesnetzagentur:

Ak­tu­el­ler Hin­weis Rufnummern­missbrauch Bundesnetzagentur bekämpft Fax-Spam der „Datenschutzauskunft-Zentrale“ - beworbene Rufnummer 00800 / 77 000 777 deaktiviert

Anfang Oktober wurden bundesweit massenhaft Spam-Faxe von der sogenannten DAZ Datenschutzauskunft-Zentrale überwiegend an Gewerbetreibende versandt. Darin wurden die Empfänger aufgefordert, ein offiziell erscheinendes Faxformblatt unterschrieben zurückzusenden. Es wurde der Eindruck erweckt, es bestünde eine gesetzliche Pflicht zur Antwort, um vermeintliche Anforderungen der neuen Datenschutzgrundverordnung (DSGVO) zu erfüllen. Die zugesandten Faxformulare enthielten jedoch einen im Kleingedruckten versteckten Vertrag über 1.494 Euro netto, der gutgläubig Antwortenden untergeschoben werden sollte. Für eine Antwort auf diese irreführenden Schreiben wurde die internationale Servicerufnummer 00800 / 77 000 777 angegeben. Bei der Bundesnetzagentur gingen hierzu über 550 Beschwerden ein.

Umfangreiche Ermittlungen ergaben, dass an die 00800er-Rufnummer gerichtete Faxsendungen über eine deutsche Rufnummer an den eigentlichen Versender der Werbe-Faxe weitergeleitet wurden. Auf Betreiben der Bundenetzagentur wurden die deutsche Rufnummer und die 00800er-Rufnummer deaktiviert und sind nicht mehr erreichbar. Seither kann der für die Fax-Werbung Verantwortliche keine Zusendungen mehr von getäuschten Empfängern erhalten.

Die Bundesnetzagentur warnt davor, auf unverlangt zugesandte Faxschreiben ungeprüft zu antworten. Die Zusendung von Faxwerbung ohne vorherige Einwilligung stellt eine unzumutbare Belästigung von Verbrauchern und Gewerbetreibenden dar und ist rechtswidrig.

LG Bochum: Verstoß gegen DSGVO ist kein Wettbewerbsverstoß der von Mitbewerbern abgemahnt werden kann

LG Bochum
Urteil vom 07.08.2018
I-12 O 85/18


Das LG Bochum hat entschieden, dass ein Verstoß gegen die Vorgaben der DSGVO kein Wettbewerbsverstoß ist, der von Mitbewerbern abgemahnt werden kann.

Das LG Würzburg vertritt die gegenteilige Ansicht (siehe dazu LG Würzburg: Unzureichende Datenschutzerklärung nach DSGVO ist abmahnfähiger Wettbewerbsverstoß ).

Da bei Rechtsverstößen im Internet der Grundsatz des fliegenden Gerichtsstands gilt, werden Abmahner das LG Bochum meiden und ggf. in Würzburg gerichtliche Schritte einleiten.

Aus den Entscheidungsgründen:

"Keinen Erfolg hatte der Antrag hingegen, soweit ein Verstoß gegen Artikel 13 der Datenschutzgrundverordnung geltend gemacht wird. Denn dem Verfügungskläger steht ein solcher nicht zu, weil die Datenschutzgrundverordnung in den Artikeln 77 bis 84 eine die Ansprüche von Mitbewerbern ausschließende, abschließende Regelung enthält. Die Kammer verkennt dabei nicht, dass diese Frage in der Literatur umstritten ist und die Meinungsbildung noch im Fluss ist. Die Kammer in ihrer derzeitigen Besetzung schließt sich der besonders von Köhler (ZD 2018, 337 sowie in Köhler/Bornkamm/Feddersen, UWG, 36. Aufl. 2018, § 3 a Rn. 1.40 a und 1.74 b, im Ergebnis auch Barth WRP 2018, 790; anderer Ansicht Wolff, ZD 2018, 248) vertretenen Auffassung an. Dafür spricht insbesondere, dass die Datenschutzgrundverordnung eine detaillierte Regelung des anspruchsberechtigten Personenkreises enthält. Danach steht nicht jedem Verband ein Recht zur Wahrnehmung der Rechte einer betroffenen Person zu, sondern nur bestimmten Einrichtungen, Organisationen und Vereinigungen ohne Gewinnerzielungsabsicht unter weiteren Voraussetzungen. Hieraus ist zu schließen, dass der Unionsgesetzgeber eine Erstreckung auf Mitbewerber des Verletzers nicht zulassen wollte (Köhler, ZD 2018, 337, 338). Wegen der weiteren Einzelheiten der Argumentation kann auf die zitierten Literaturstellen Bezug genommen werden.


Den Volltext der Entscheidung finden Sie hier:


LG Würzburg: Unzureichende Datenschutzerklärung nach DSGVO ist abmahnfähiger Wettbewerbsverstoß

LG Würzburg
Beschluss vom 13.09.2018
11 O 1741/18


Das LG Würzburg hat entschieden, dass eine unzureichende Datenschutzerklärung, die nicht den Vorgaben der DSGVO genügt, einen abmahnfähigen Wettbewerbsverstoß darstellt.

Die Entscheidung ist keineswegs überraschend, als die Rechtsprechung in den vergangenen Jahren vermehrt dazu übergegangen ist, bei Datenschutzverstößen zugleich einen Wettbewerbstverstoß zu bejahen.

Aus den Entscheidungsgründen:

Die Zuständigkeit des Gerichts ergibt sich hier aus § 14 Abs. 2 UWG (Begehungsort, fliegender Gerichtsstand bezüglich des Internets) und nicht aus § 32 ZPO wie von Antragstellerseite angegeben.

Dem Antragsteller steht ein Verfügungsanspruch auf Unterlassung zu, das der Antragsteller glaubhaft gemacht hat, dass die Antragsgegnerin bezüglich ihrer Homepage gegen die Datenschutzgrundverordnung (DSGVO), die spätestens seit 25.05.2018 umzusetzen ist verstößt. Die im Impressum der Antragsgegnerin enthaltene 7-zeilige Datenschutzerklärung genügt der neuen DSGVO nicht. Es fehlen Angaben zum/zur Verantwortlichen, zur Erhebung und Speicherung personenbezogener Daten sowie Art und Zweck deren Verwendung, eine Erklärung zur Weitergabe von Daten, über Cookies, Analysetools, aber vor allem die Belehrung über die Betroffenenrechte, insbesondere Widerspruchsrecht, Datensicherheit und ein Hinweis zur Möglichkeit, sich bei einer Aufsichtsbehörde zu beschweren. Mit dem OLG Hamburg (3 U 26/12) und dem OLG Köln (6 U 121/15) geht das erkennende Gericht davon aus, dass es sich bei den Vorschriften, gegen die hier verstoßen wurde um Verstöße gegen das Wettbewerbsrecht gemäß § 4 Nr. 11 UWG bzw. jetzt § 3 a UWG darstellt und somit vom Antragsteller abgemahnt werden konnte. Dass die Antragsgegnerin Daten erhebt wird schon aus der gleichzeitigen Verwendung eines Kontaktformulars auf der Homepage indiziert. Da die Antragsgegnerin jedenfalls über ein Kontaktformular Daten erheben kann, ist zwingend auch eine Verschlüsselung der Homepage erforderlich, die hier fehlt.

Gem. § 8 Abs. 3 UWG ist der Antragsteller aktiv legitimiert die beanstandeten Gesetzesverstöße geltend zu machen. Es besteht das erforderliche Wettbewerbsverhältnis aufgrund der Möglichkeit als Rechtsanwalt bundesweit tätig zu werden.

Die erforderliche Wiederholungsgefahr wird durch das rechtsverletzende Verhalten indiziert. Somit ist der Verfügungsanspruch gegeben.

Ein Verfügungsgrund ist bei wettbewerbsrechtlichen Unterlassungsansprüchen gem. § 12 Abs. 2 UWG indiziert. Es besteht damit eine widerlegliche tatsächliche Vermutung der Dringlichkeit. Nach Aufforderung des Gerichts hat der Antragsteller zudem glaubhaft gemacht, dass er innerhalb der von der Rechtsprechung angenommenen Monatsfrist erst von den Verstößen Kenntnis erlangt hat und dass somit keine Selbstwiderlegung der Dringlichkeit durch zu langes Zuwarten vorliegt.

Dem Antrag konnte lediglich nicht dahingehend entsprochen werden, der Antragsgegnerin eine vom Gericht festzusetzende Vertragsstrafe anzudrohen. Der Antragsgegnerin sind vielmehr für den Fall der Zuwiderhandlung gegen das erlassene Verbot die in § 890 Abs. 1 ZPO vorgesehenen Ordnungsmittel anzudrohen.


Den Volltext der Entscheidung finden Sie hier:



BMI: Anpassung Datenschutzrecht DSGVO - Entwurf Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU – 2. DSAnpUGEU

Das BMI hat denEntwurf eines Zweiten Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU – 2. DSAnpUGEU)
zur weiteren Anpassung der datenschutzrechtlichen Vorschriften an die DSGVO vorgelegt.



Rechtsanwalt Marcus Beckmann im Online-Artikel der Internet World Business - DSGVO: Die Angst vor der Abmahnflut - Statements weshalb diese ausgeblieben ist

Im Rahmen des Online-Beitrags Datenschutzgrundverordnung - DSGVO: Die Angst vor der Abmahnflut der Internet World Business von Frank Kemper erschienen einige Statements von Rechtsanwalt Marcus Beckmann zur Frage, weshalb die befürchtete Abmahnwelle wegen Verstößen gegen die Datenschutzgrundverordnung ( DSGVO ) bislang ausgeblieben ist.

OLG Köln: DSGVO schließt Anwendung des KUG jedenfalls im journalistischen Bereich nicht aus - KUG erlaubt Abwägung der betroffenen Grundrechte

OLG Köln
Beschluss vom 18.06.2018
15 W 27/18


Das OLG Köln hat zutreffend entschieden, dass die Normen der DSGVO die Anwendung des KUG jedenfalls im journalistischen Bereich nicht ausschließt. Insbesondere erlaubt das KUG eine umfassende Abwägung der betroffenen Grundrechte.

Die Entscheidungsgründe:

Die gemäß §§ 127, 569 ZPO zulässige sofortige Beschwerde des Antragstellers ist nicht begründet. Die beabsichtigte Rechtsverfolgung hat keine Aussicht auf Erfolg (§ 114 ZPO).

Maßgeblich für die Entscheidung ist bereits, dass der Antragsteller – worauf auch das Landgericht hingewiesen hat – den streitgegenständlichen Fernsehbeitrag nicht in seiner Gesamtheit zu den Akten gereicht hat. Die von ihm eingereichten, höchst lückenhaften Fragmente aus der Sendung belegen zum einen nur Teile der von ihm gerügten konkreten Verletzungsformen. Darüber hinaus ist der Senat mangels Glaubhaftmachung nicht in der Lage, die angeblichen Verletzungshandlungen im Gesamtkontext verlässlich zu prüfen, insbesondere die Frage zu bewerten, ob es sich um Bildnisse aus dem Bereich der Zeitgeschichte handelt, zumal – wie das Landgericht zutreffend ausgeführt hat – die Vorgänge um die Räumung, Sperrung und Bewachung des Gebäudes „I“ von erheblichem öffentlichem Interesse sind.

Der Senat geht allerdings nach eigener Überprüfung aufgrund der – lückenhaften - Aktenlage derzeit davon aus, dass das Landgericht die Vorschriften des KUG zutreffend angewandt hat und dass dem Antragsteller gegen den Antragsgegner kein Unterlassungsanspruch gemäß §§ 1004 Abs. 1 S. 2, 823 Abs. 2 BGB i.V.m. § 22 KUG zusteht, da Bildnisse der Zeitgeschichte im Sinne von § 23 Abs.1 Nr. 1 KUG in Rede stehen. Das Landgericht hat hierzu unter zutreffender Anwendung der maßgeblichen höchstrichterlichen Grundsätze richtig ausgeführt. Hierauf wird zwecks Vermeidung unnötiger Wiederholung mit folgender Ergänzung verwiesen: Soweit mit dem Antrag des Antragstellers formuliert ist, es zu unterlassen, das Bildnis des Antragstellers „weiterhin kenntlich zur Schau zu stellen“, so umfasst dies – als Minus - auch eine etwaige Verpixelung, auf die gegebenenfalls in Hinblick auf § 938 Abs. 1 ZPO erkannt werden könnte. Ob allerdings eine solche Verpixelung bei Würdigung der Gesamtumstände zur Wahrung der Interessen des Antragstellers im Sinne des § 23 Abs. 2 KUG erforderlich ist, ist von Antragstellerseite ebenfalls nicht glaubhaft gemacht. Denn hierfür wäre - da auch in diesem Zusammenhang auf den Gesamtkontext abzuheben ist - eine Darstellung des gesamten Beitrages nötig gewesen.

Soweit der Antragsteller sich mit der Beschwerdebegründung auf die Datenschutzgrundverordnung (DS-GVO) beruft, geht dies fehl

Artikel 85 DS-GVO erlaubt wie die Vorgängerregelung in Art 9 der Richtlinie RL 95/46/EG nationale Gesetze mit Abweichungen von der DS-GVO zugunsten der Verarbeitung zu journalistischen Zwecken. Er enthält damit eine Öffnungsklausel, die nicht nur neue Gesetze erlaubt, sondern auch bestehende Regelungen – soweit sie sich einfügen – erfassen kann. Dies zeigt sich auch daran, dass für den Bereich des Art. 85 DS-GVO nur die Frage der nachträglichen Notifizierungspflicht strittig ist (Gierschmann u.a/Schulz/Heilmann, DSGVO, Art. 85 Rn. 66).

Insgesamt verkennt der Antragsteller, dass die Tätigkeit des Antragsgegners durch den gerade mit Blick auf Art. 85 DS-GVO durch das 16. RundfunkänderungsG vom 8.5.2018 (GV. NRW. S. 214) neu gefassten § 48 WDR-Gesetz (vgl. auch § 46 LMG und § 12 LPresseG) geregelt worden ist, wonach sich die Verarbeitung personenbezogener Daten zu journalistischen Zwecken durch den Antragsgegner nach Maßgabe der §§ 9c und 57 des Rundfunkstaatsvertrages in der jeweils geltenden Fassung bestimmt. Diese normieren – ebenfalls mit Blick auf Art 85 DS-GVO gerade neu gefasst – in §§ 9c, 57 RStV dann das früher in § 41 BDSG a.F. enthaltene sog. „Medienprivileg“. Nach den Regelungen gelten außer den Kapiteln I, VIII, X und XI der DS-GVO nur Artikel 5 Abs. 1 Buchst. f in Verbindung mit Abs. 2, Artikel 24 und Artikel 32 DS-GVO und damit nicht die Regelungen, auf die der Antragsteller sich hier beruft.

Aus Sicht des Senates bestehen hiergegen keine europarechtlichen Bedenken. Art 85 Abs. 2 DS-GVO macht im Kern keine materiell-rechtlichen Vorgaben (Auernhammer/von Lewinski, DS-GVO, 5. Aufl. 2017, Art. 85 Rn. 13; Gierschmann u.a/Schulz/Heilmann, DSGVO, Art. 85 Rn. 3, 34, 67, 72 ff.), sondern stellt nur auf die Erforderlichkeit zur Herbeiführung der praktischen Konkordanz zwischen Datenschutz einerseits und Äußerungs- und Kommunikationsfreiheit andererseits ab. Da Datenschutzregelungen als Vorfeldschutz letztlich immer die journalistische Arbeit beeinträchtigen, sind daher hier keine strengen Maßstäbe anzulegen (Auernhammer/von Lewinski, DS-GVO, 5. Aufl. 2017, Art. 85 Rn. 13; Gierschmann u.a/Schulz/Heilmann, DSGVO, Art. 85 Rn. 61). Dies ist auch vor dem Hintergrund zu sehen, dass Art 85 DS-GVO gerade den Normzweck hat, einen sonst zu befürchtenden Verstoß der DS-GVO gegen die Meinungs- und Medienfreiheit zu vermeiden (vgl. etwa Gierschmann u.a/Schulz/Heilmann, DSGVO, Art. 85 Rn. 1). Der Erwägungsgrund 4 S. 3 der DS-GVO will solche Komplikationen gerade ausschließen.

Mit Blick darauf sind dann Ausführungen des Landgerichts im Nichtabhilfebeschluss zum „Fortgelten“ des KUG im journalistischen Bereich und das Berufen auf den zitierten Aufsatz Lauber-Rönsberg/Hartlaub, NJW 2017, 1057 ff. überzeugend. Für das Äußerungsrecht (§ 823 Abs. 1 BGB i.V.m. APR) ist auch bereits thematisiert worden, dass dieses die Abwägungs- und Ausgleichsfunktion zur Herbeiführung praktischer Konkordanz der widerstreitenden Grundrechtspositionen im hiesigen Bereich übernehmen kann (Gierschmann u.a/Schulz/Heilmann, DSGVO, Art. 85 Rn. 8); für das KUG kann im Bereich der Bildberichterstattung nichts anderes gelten. Die umfangreichen Abwägungsmöglichkeiten im Rahmen des KUG erlauben dann auch – was künftig geboten sein dürfte – eine Berücksichtigung auch der unionsrechtlichen Grundrechtspositionen. Dass sich daraus hier etwas anderes ergeben sollte, ist weder vorgetragen noch ersichtlich. Insbesondere ist dem Senat keine Abweichung zu den – ohnehin in der Abwägung bewusst offen gehaltenen (Überblick bei Ehmann/Selmayr/Schiedermair, DS-GVO 2017, Art 85 Rn. 8 – 15 m.w.N.) – Rspr. des EuGH bzw. des EGMR ersichtlich; auch Erwägungsgrund 153 der DS-GVO wünscht in diesem Bereich nur eine - national im Zuge des § 823 Abs. 1 BGB als Rahmenrecht bzw. bei §§ 22, 23 KUG ohnehin erfolgende - umfassende Abwägung der widerstreitenden Grundrechtspositionen.

Aus den zur Glaubhaftmachung eingangs gemachten Ausführungen kommt es darauf aber letztlich auch nicht entscheidend an, so dass auch nicht mit Blick auf diese Rechtsfragen ausnahmsweise Prozesskostenhilfe zu gewähren wäre.

Eine Kostenentscheidung ist nicht veranlasst, § 127 Abs. 4 ZPO.

Den Volltext der Entscheidung finden Sie hier:



Interview in der Internet World Business mit Rechtsanwalt Marcus Beckmann zur Datenschutzgrundverordnung - DSGVO

In Ausgabe 10/2018, S.9 der Zeitschrift Internet World Business erschien ein Interview mit Rechtsanwalt Marcus Beckmann zur DSGVO.

Fazit zur DSGVO: Die Datenschutzgrundverordnung ist vielleicht gut gemeint, aber leider nicht gut gemacht.

LG Bonn: Alte WHOIS-Praxis mit Erhebung und Speicherung von Admin-C und Tech-C einer Domain verstößt gegen DSGVO

LG Bonn
Beschluss vom 29.05.2018
10 O 171/18


Das LG Bonn hat im Rahmen eines von der ICANN eingeleiteten einstweiligen Verfügungsverfahrens entschieden, dass die alte WHOIS-Praxis mit Erhebung und Speicherung von Admin-C und Tech-C einer Domain gegen die Vorgaben der DSGVO verstößt und mithin unzulässig ist. Die Erhebung und Speicherung des Domaininhabers ist - so das Gericht - ausreichend.

Aus den Entscheidungsgründen:

Zwar kann sich die Antragstellerin formal auf den Inhalt des mit der Antragsgegnerin geschlossenen Vertrags, insbesondere Ziff. 3.4.1 i.V.m den Ziffern 3.3.1.7 und 3.3.1.8 RAA berufen, wonach neben den Daten des Registrierten selbst auch die weiteren Daten zum sog. Tech-C und Admin-C zu erheben (und zu speichern) sind, was auch bisheriger Praxis der Antragsgegnerin entsprach. Der Vertrag beinhaltet indes ebenso die - allgemeingültige - Regelung, dass die Antragsgegnerin sich ihrerseits als Registrar an geltende Gesetze und Vorschriften zu halten hat. Vor diesem Hintergrund kann die Antragstellerin von der Antragsgegnerin Vertragstreue nur insoweit beanspruchen, als die vertraglichen Vereinbarungen im Einklang mitgeltendem Recht stehen, § 242 BGB.

Gemessen an der Regelung des Art 5 Abs. 1 lit. b) und c) DSGVO, wonach personenbezogene Daten - unstreitig handelt es sich jedenfalls teilweise um solche - nur „für festgelegte, eindeutige und legitime Zwecke erhoben" werden dürfen (lit. b) und „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein" müssen (lit c), ist ein hinreichendes Bedürfnis Im vorgenannten Sinne nach Auffassung der Kammer - auch unter Berücksichtigung von Art. 6 Abs. 1 DSGVO durch die Antragstellerin nicht glaubhaft gemacht worden.

Dass die Speicherung auch weiterer personenbezogener Daten als der des Domaininhabers, welche unstreitig nach wie vor erhoben und gespeichert werden, für die Zwecke der Antragstellerin unabdingbar notwendig sind, hat die Antragstellerin nicht glaubhaft gemacht. Zwar liegt es auf der Hand, dass ein Mehr an Daten die Identifizierung von hinter einer Domain stehenden Personen und eine Kontaktaufnahme zu diesen verlässlicher erscheinen lässt, als wenn nur ein Datensatz der für die Domain allgemein verantwortlichen Person bekannt ist. Jedoch handelt es sich bei dem Inhaber des registrierten bzw. zu registrierenden Domainnamen um den für die Inhalte der betreffenden Webseite verantwortliche Person, die nicht notwendigerweise personenverschieden von den Kategorien Tech-C und Admin-C sein muss, mit anderen Worten all Jene Funktionen auf sich vereinigen kann.

Soweit es im Rahmen der von der Antragstellerin sicherzustellenden allgemeinen Belange in erster Linie um strafrechtlich relevante oder sonst wie zu ahndende Verstöße oder Sicherheitsprobleme geht, über die die Antragstellerin wacht, ist diesem Bedürfnis nach Auffassung der Kammer auch allein durch die Erhebung und Speicherung der Daten des registrierungswilligen Domaininhabers Genüge getan (wobei sich der Kammer insoweit nicht erschließt, warum zu diesem weniger Daten erhoben werden als zu den Zusatzkategorien Tech-C und Admin-C). Warum hierzu neben dem Hauptverantwortlichen noch weitere Datensätze vonnöten sein sollen, vermag die Kammer gerade vor dem Hintergrund des . Grundsatzes der Datensparsamkeit nicht zu erkennen. Die Antragstellerin spricht jedenfalls in Bezug auf den sog. Tech-C auch selbst maßgeblich von der Lösung (rein) technischer Probleme, die indes mit den im Vordergrund stehenden Sicherheitsaspekten naturgemäß nur in mittelbarer Beziehung stehen können. Zu berücksichtigen ist vor allem, dass nach dem insoweit übereinstimmenden Vorbringen beider Parteien in allen drei Kategorien, also denen des Domaininhabers selbst, des sog. Tech-C wie auch des Admin-C bisher jeweils dieselben Personendaten Verwendung finden konnten, also bei entsprechenden Angaben eines Registrierungswilligen lediglich ein Datensatz statt dreier erhoben und gespeichert wurde und dies auch in der Vergangenheit nicht etwa dazu geführt hat, dass eine Registrierung der Domain in Ermangelung von Daten, die über den Domaininhaber selbst hinausgehen, zu unterbleiben hatte. Wenn dies aber möglich war und weiterhin möglich sein sollte, ist dies Beleg dafür, dass etwaige über den Domaininhaber hinausgehende - von ihm verschiedene - Daten auch bisher nicht zur Zweckerreichung der Antragstellerin notwendig waren. Wären sie notwendig im eigentlichen Sinne gewesen, hätte man auch zuvor nicht auf sie verzichten können; man hätte vielmehr eine Registrierung von der Angabe inhaltlich verschiedener
Datensätze abhängig gemacht und eine solche andernfalls nicht bewilligt. Soweit also die Wahl, vom Domaininhaber verschiedene Kontaktdaten für den Tech-C und Admin-C anzugeben, auch schon in der Vergangenheit faktisch beim Registrierungswilligen selbst lag (und eben nicht unabdingbare Voraussetzung einer Registrierung durch die • Antragsgegnerin war), führt dies dazu, dass der Registrierungswillige auch in Zukunft bei Einwilligung in die Erhebung und Speicherung entsprechender personenbezogener Daten diese wird freiwillig mitteilen können (Art. 6 Abs. 1 lit.a) DSGVO sowie Ziff. 7.2.2 des RAA) - gezwungen aber war er hierzu auch bereits zuvor nicht. Dabei kommt es nicht einmal darauf an, ob die Angaben der Antragsgegnerin hinsichtlich der Anzahl derjenigen Domaininhaber, welche keine verschiedenen Kontaktdaten angegeben haben, zutreffen.

Soweit die Antragstellerin ihren Verfügungsanspruch auf eine Parallele des sog. „WHOIS"-Systems zu internationalen Abkommen über Markenregister stützt, so vermag die Kammer dem nicht zu folgen. Denn die für die Markenregister auf Grundlage internationaler Abkommen bestehenden Rechtsgrundlagen fehlen in Bezug auf den von der Antragstellerin geltend gemachten „WHOIS" Service. Hieran ändert auch die grundlegende Vergleichbarkeit des jeweiligen allgemeinen Schutzbedürfnisses nichts.









Europäischer Rat ändert Sprachfassungen der EU-DSGVO mit Dokument vom 19.04.2018 und damit kurz vor Inkraftreten am 25.05.2018

Europäische Rat hat mit Dokument vom 19.04.2018 kurz vor Inkrafttreten die Sprachfassungen der EU-DSGVO geändert. Zwar sollen die Änderungen primär dem sprachlichen Schliff der Übersetzungen dienen, allerdings können sich durch die Änderungen im Detail auch rechtliche Abweichungen ergeben.


VG Karlsruhe: Anweisungen nach der EU-Datenschutz-Grundverordnung (EU-DSGVO) durch datenschutzrechtliche Aufsichtsbehörde erst ab In-Kraft-Treten am 25.05.2018

VG Karlsruhe
Urteil vom 6.7.2017
10 K 7698/16


Das VG Karlsruhe hat entschieden, dass Anweisungen nach der nach der EU-Datenschutz-Grundverordnung (EU-DSGVO) erst ab In-Kraft-Treten am 25.05.2018 zulässig sind.

Aus den Entscheidungsgründen:

"1. Für die datenschutzrechtliche Verfügung des Beklagten liegt keine Ermächtigungsgrundlage vor.

a) Die tatbestandlichen Voraussetzungen des als Ermächtigungsgrundlage herangezogenen § 38 Abs. 5 S. 1 BDSG liegen nicht vor. Hiernach kann die Aufsichtsbehörde zur Gewährleistung der Einhaltung des Bundesdatenschutzgesetzes und anderer Vorschriften über den Datenschutz Maßnahmen zur Beseitigung festgestellter Verstöße bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten oder technischer oder organisatorischer Mängel anordnen. Die Ausübung der Befugnisse nach § 38 Abs. 5 S. 1 BDSG kommt in Betracht, wenn bei kontrollierten Stellen keine Bereitschaft zur Behebung der von der Aufsichtsbehörde gerügten Mängel oder Rechtsverletzungen festzustellen ist (Petri in Simitis, BDSG, 8. Aufl. 2014, § 38 Rn. 72). Eine aufsichtsbehördliche Maßnahme ist nicht erst dann zulässig, wenn die betreffende Datenverarbeitung ins Werk gesetzt ist. Insbesondere bei besonders sensiblen und sogar strafrechtlich geschützten Daten kann die Aufsichtsbehörde Anordnungen bereits treffen, wenn die unzulässige Datenverarbeitung durch ein Vertragswerk schon deutlich vorgezeichnet ist und dieses Vertragswerk in Kraft getreten ist (vgl. OVG Schleswig-Holstein, Beschluss vom 12.01.2011 - 4 MB 56/10 -, juris).

Diese Voraussetzungen sind vorliegend nicht erfüllt. Festgestellte Datenschutzverstöße durch die Klägerin, welche seitens der Aufsichtsbehörde gerügt worden wären, liegen der angefochtenen Verfügung unstreitig nicht zugrunde. Gleiches gilt für technische oder organisatorische Mängel. Ausweislich der Verfügungsbegründung sollen keine gegenwärtigen Datenschutzverstöße der Klägerin unterbunden, sondern vielmehr Missstände verhindert werden, die nach dem 24.05.2018 zu erwarten seien. Soweit der Landesbeauftragte für den Datenschutz Baden-Württemberg insoweit die aus der Rechtsprechung des Oberverwaltungsgerichts Schleswig-Holstein abgeleiteten Grundsätze für anwendbar hält, wonach bei Vorliegen besonderer Umstände auch künftig zu erwartende Datenschutzverstöße bereits ein Tätigwerden der Aufsichtsbehörde zuließen, vermag die erkennenden Kammer dem nicht zu folgen. Denn anders als in der der herangezogenen Entscheidung zugrundliegenden Konstellation ist das künftige Verhalten der Klägerin nicht durch ein bereits in Kraft getretenes Vertragswerk oder eine vergleichbare tragfähige Grundlage deutlich vorgezeichnet. Es ist vielmehr noch völlig ungewiss, wie die Prüf- und Löschpraxis der Klägerin bezüglich forderungsbezogener Daten künftig unter Geltung der EU-Datenschutzgrundverordnung aussehen wird und ob diese rechtswidrig sein wird, zumal auch der genaue rechtliche Rahmen hierfür noch unklar ist.

Die derzeit geltende Regelung des § 35 Abs. 2 S. 2 Nr. 4 BDSG, wonach personenbezogene Daten zu löschen sind, wenn sie geschäftsmäßig zum Zweck der Übermittlung verarbeitet werden und eine Prüfung jeweils am Ende des vierten, soweit es sich um Daten über erledigte Sachverhalte handelt und der Betroffene der Löschung nicht widerspricht am Ende des dritten Kalenderjahres beginnend mit dem Kalenderjahr, das der erstmaligen Speicherung folgt, ergibt, dass eine längerwährende Speicherung nicht erforderlich ist, wird mit Neufassung des Bundesdatenschutzgesetz durch das Datenschutz-Anpassungs- und Umsetzungsgesetz EU vom 30.06.2017 (BGBl. I, S. 2097 ff.) nicht fortbestehen. Die Datenschutzgrundverordnung enthält über den Erforderlichkeitsgrundsatz (vgl. Art. 5 Abs. 1 Buchst. e EU-DSGVO) hinaus keine konkreten Vorgaben zu den Prüf- und Löschfristen. Ihr ist lediglich – unter anderem in Erwägungsgrund 39 – zu entnehmen, dass der Verantwortliche die Dauer seiner Datenverarbeitung unabhängig von einem entsprechenden Verlangen des Betroffenen nach Art. 17 EU-DSGVO („Recht auf Vergessenwerden“) regelmäßig zu überprüfen hat. Hierbei kann auf typisierte Regelprüffristen für wiederkehrende Vorgänge zurückgegriffen werden, da es gerade Unternehmen, die in großem Umfang Daten verarbeiten – wie etwa Auskunfteien – nicht zuzumuten ist, jeden Einzelfall gesondert zu bewerten (vgl. Plath in: Plath, BDSG/DSGVO, 2. Aufl. 2016, Art. 5 EU-DSGVO Rn. 18). Eine Überprüfung kann in bestimmten Intervallen erfolgen, so wie es beispielsweise bislang nach § 35 Abs. 2 S. 2 Nr. 4 BDSG möglich und zulässig war (vgl. Kamlah in: Plath, a.a.O., Art. 17 EU-DSGVO Rn. 6).

Einen Vorschlag bezüglich der Prüf- und Löschfristen unter Geltung der EU-Datenschutzgrundverordnung enthält der vom Verband der Wirtschaftsauskunfteien, dem auch die Klägerin angehört, ausgearbeitete Entwurf von Verhaltensregeln („Code of Conduct“). Nach Art. 40 Abs. 2 EU-DSGVO können Verbände oder andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, Verhaltensregeln ausarbeiten oder ändern oder erweitern, mit denen die Anwendung der Verordnung präzisiert wird. Auf Antrag nimmt die zuständige Aufsichtsbehörde in einem zweistufigen Verfahren dazu Stellung, ob die vorgelegten Verhaltensregeln mit der Verordnung vereinbar sind und genehmigt diese, soweit sie „ausreichende geeignete Garantien“ bieten (vgl. Art. 40 Abs. 5 S. 2 EU-DSGVO). Ein entsprechender Antrag bei der hier zuständigen Aufsichtsbehörde des Landes Nordrhein-Westfalen ist – wie die Prozessbevollmächtigten der Klägerin in der mündlichen Verhandlung vom 06.07.2017 angegeben haben – formal noch nicht gestellt worden. Aktuell finde noch die Abstimmung und Konsensbildung mit den im Düsseldorfer Kreis vertretenen Aufsichtsbehörden des Bundes und der Länder für den nicht-öffentlichen Bereich statt. Ausweislich des Protokolls der letzten Sitzung des Düsseldorfer Kreises vom 07.03.2017 (abrufbar unter: https://www.ldi.nrw.de/mainmenu_Service/submenu_Entschliessungsarchiv/Inhalt/Protokolle/Inhalt/Protokolle_des_Duesseldorfer_Kreises/Inhalt/7_-Maerz-2017/DK-2017_1-Protokoll.pdf) hat der „Code of Conduct Prüf- und Löschfristen in der Fassung des Entwurfs vom 28.02.2017“ bei einer Probeabstimmung zwar eine mehrheitliche Zustimmung, jedoch nicht die nach der Geschäftsordnung des Düsseldorfer Kreises erforderliche einstimmige Zustimmung erhalten. Mehrheitlich befürworte der Düsseldorfer Kreis, dass Nordrhein-Westfalen als genehmigende Aufsichtsbehörde dem Verband der Wirtschaftsauskunfteien empfehlen solle, den Bundesverband Verbraucherzentralen bei der „weiteren Ausarbeitung des Code of Conduct“ zu beteiligen (vgl. Protokoll der Sitzung vom 07.03.2017, S. 7). Vor dem Hintergrund des nach wie vor laufenden Verfahrens steht weder fest, ob es überhaupt zu einer späteren Genehmigung von Verhaltensregeln zu den Prüf- und Löschfristen kommen wird, noch wie diese letztlich ausgestaltet sein werden. Angesichts dessen kann die weitere Frage der Wirkung und Verbindlichkeit von genehmigten Verhaltensregeln dahingestellt bleiben. Nach dem Voranstehenden fehlt es bereits an einer Grundlage, welche die getroffene Einschätzung tragen könnte, wonach die Klägerin mit ihrer – derzeit im Übrigen noch ungewissen – künftigen Prüf- und Löschpraxis gegen die – ggf. noch zu konkretisierenden – Vorgaben der EU-Datenschutzgrundverordnung verstoßen würde.

Insbesondere kann auch nicht davon ausgegangen werden, dass nur eine Handhabung entsprechend der in der angegriffenen Verfügung vorgesehenen Prüf- und Löschpraxis mit der EU-Datenschutzgrundverordnung vereinbar wäre. Denn die vom Landesbeauftragen für den Datenschutz Baden-Württemberg für angemessen erachtete Frist, wonach Forderungen im Sinne von § 28a BDSG und die mit diesen in Zusammenhang stehenden Informationen über Personen, die die Klägerin in ihren Datenbeständen, aus denen Bonitätsauskünfte erteilt würden, nach dem 24.05.2018 speichere, spätestens nach Ablauf von drei Jahren, beginnend mit dem Zeitpunkt der Fälligkeit der Forderung, zu löschen seien, es sei denn, dass der Betroffene zu diesem Zeitpunkt zahlungsunfähig oder zahlungsunwillig sei, stellt keineswegs die einzig mögliche Speicher- und Löschkonzeption dar, die mit der EU-Datenschutzgrundverordnung in Einklang steht bzw. sich aus selbiger zwingend ergibt. Die künftige Prüf- und Löschpraxis der Auskunfteien muss sich – wie bereits dargestellt wurde – am Erforderlichkeitsmaßstab des Art. 5 Abs. 1 Buchst. e EU-DSGVO messen lassen, der in Hinblick auf Fristlänge und Anknüpfungsmoment einen Spielraum eröffnet. Die erkennende Kammer muss vorliegend nicht darüber entscheiden, wo die Grenzen dieses Spielraums erreicht sind. Sie geht aber – worauf es hier alleine ankommt – jedenfalls davon aus, dass innerhalb des vorhandenen Spielraums eine gewisse Bandbreite an mit der EU-Datenschutzgrundverordnung in Einklang stehenden Prüf- und Löschfristen zulässig ist.

b) Entgegen den Ausführungen der Beklagten ergibt sich eine Ermächtigungsgrundlage für die angegriffene Verfügung auch nicht aus § 38 Abs. 5 S. 1 BDSG i.V.m. Erwägungsgrund 39 der EU-DSGVO. Aus diesem Erwägungsgrund geht unter anderem hervor, dass der Verantwortliche Fristen für die Löschung oder regelmäßige Überprüfung personenbezogener Daten vorsehen sollte, um sicherzustellen, dass die Daten nicht länger als nötig gespeichert werden.

Zunächst kann dahingestellt bleiben, ob aus einem Erwägungsgrund einer zwar in Kraft getretenen, jedoch noch nicht anwendbaren Verordnung in Verbindung mit einer Regelung, die bei Geltung der Verordnung weggefallen sein wird, eine Rechtsgrundlage hergeleitet werden kann. Denn jedenfalls ergibt sich auch aus dem ergänzend herangezogenen Erwägungsgrund nicht, dass die Klägerin bereits vor Geltung der Verordnung verpflichtet wäre, der Verfügung entsprechende Überprüfungs- und Löschfristen zu schaffen und sie hierzu bereits vor Anwendbarkeit der Verordnung durch die Aufsichtsbehörde verpflichtet werden könnte. Eine frühzeitige Anpassung ihrer Datenschutzlöschkonzeption an die EU-Datenschutzgrundverordnung liegt unzweifelhaft im Interesse der Klägerin, da bei Verstößen gegen das europäische Datenschutzrecht erhebliche Sanktionen drohen (vgl. nur Art. 83 Abs. 5 Buchst. a EU-DSGVO zu Verstößen gegen die Grundsätze der Verarbeitung gemäß Art. 5 EU-DSGVO). Eine Ermächtigung für ein Tätigwerden der Aufsichtsbehörde bereits vor Geltung der EU-Datenschutzgrundverordnung – gewissermaßen um frühzeitig sicherzustellen, dass die künftig anwendbaren Vorschriften unter Berücksichtigung der Rechtsauffassung der Aufsichtsbehörde durch die Verantwortlichen eingehalten werden – lässt sich jedoch weder der Verordnung im Wege einer Vorwirkung, noch den aktuell geltenden Bestimmungen des Bundesdatenschutzgesetzes entnehmen.

c) Soweit der Beklagte auf Art. 58 Abs. 2 Buchst. d EU-DSGVO verweist, wonach jede Aufsichtsbehörde über Abhilfebefugnisse verfügt, die es ihr gestatten, den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit der Verordnung zu bringen, kann die am 25.11.2016 erlassene Verfügung bereits deshalb nicht auf diese Ermächtigungsgrundlage gestützt werden, da diese erst ab 25.05.2018 Gültigkeit beanspruchen wird (vgl. Art. 99 Abs. 2 EU-DSGVO)."


Den Volltext der Enstcheidung finden Sie hier: