Aus den Erwägungsgründen:
Dienste der Informationsgesellschaft und insbesondere Vermittlungsdienste sind mittlerweile ein wichtiger Bestandteil der Volkswirtschaft der Union und des Alltags ihrer Bürgerinnen und Bürger. Zwanzig Jahre nach der Annahme des bestehenden, auf derlei Dienste anwendbaren Rechtsrahmens, der in der Richtlinie 2000/31/EG des Europäischen Parlaments und des Ratesfestgelegt ist, bieten neue und innovative Geschäftsmodelle und Dienste wie soziale Netzwerke und Online-Plattformen, die Verbrauchern den Abschluss von Fernabsatzverträgen mit Unternehmern ermöglichen, Geschäftskunden und Verbrauchern nun die Möglichkeit, auf neuartige Weise Informationen weiterzugeben und darauf zuzugreifen und Geschäftsvorgänge durchzuführen. Eine Mehrheit der Bürgerinnen und Bürger der Union nutzt diese Dienste inzwischen täglich. Der digitale Wandel und die verstärkte Nutzung dieser Dienste haben jedoch auch neue Risiken und Herausforderungen mit sich gebracht, und zwar für den einzelnen Nutzer des jeweiligen Dienstes, die Unternehmen und für die Gesellschaft als Ganzes.
Die Mitgliedstaaten führen zunehmend nationale Rechtsvorschriften zu den von dieser Verordnung abgedeckten Angelegenheiten ein, oder ziehen dies in Erwägung, und schaffen damit insbesondere Sorgfaltspflichten für Anbieter von Vermittlungsdiensten im Hinblick auf die Art und Weise, wie jene gegen rechtswidrige Inhalte, Online-Desinformation oder andere gesellschaftliche Risiken vorgehen sollten. Unter Berücksichtigung des von Natur aus grenzüberschreitenden Charakters des Internets, das im Allgemeinen für die Bereitstellung dieser Dienste verwendet wird, beeinträchtigen diese unterschiedlichen nationalen Rechtsvorschriften den Binnenmarkt, der gemäß Artikel 26 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) ein Raum ohne Binnengrenzen ist, in dem der freie Verkehr von Waren und Dienstleistungen sowie die Niederlassungsfreiheit gewährleistet sind. Die Bedingungen für die Erbringung von Vermittlungsdiensten im gesamten Binnenmarkt sollten harmonisiert werden, um Unternehmen Zugang zu neuen Märkten und Chancen zur Nutzung der Vorteile des Binnenmarkts zu verschaffen und gleichzeitig den Verbrauchern und anderen Nutzern eine größere Auswahl zu bieten. Für die Zwecke dieser Verordnung werden gewerbliche Nutzer, Verbraucher und andere Nutzer als „Nutzer“ angesehen.
Damit das Online-Umfeld sicher, berechenbar und vertrauenswürdig ist und sowohl Bürgerinnen und Bürger der Union als auch andere Personen die ihnen in der Charta der Grundrechte der Europäischen Union (im Folgenden „Charta“) garantierten Grundrechte ausüben können, insbesondere das Recht auf Meinungs- und Informationsfreiheit, auf unternehmerische Freiheit, das Recht auf Nichtdiskriminierung und die Erreichung eines hohen Verbraucherschutzniveaus, ist unbedingt ein verantwortungsvolles und sorgfältiges Verhalten der Anbieter von Vermittlungsdiensten erforderlich.
Um das Funktionieren des Binnenmarkts sicherzustellen und zu verbessern, sollten daher auf Unionsebene verbindliche gezielte, einheitliche, wirksame und verhältnismäßige Vorschriften festgelegt werden. Mit dieser Verordnung werden die Voraussetzungen dafür geschaffen, dass im Binnenmarkt innovative digitale Dienste entstehen und expandieren können. Die Angleichung der nationalen Regulierungsmaßnahmen bezüglich der Anforderungen an Anbieter von Vermittlungsdiensten auf Unionsebene ist erforderlich, um eine Fragmentierung des Binnenmarkts zu verhindern und zu beenden, für Rechtssicherheit zu sorgen und somit die Unsicherheit für Entwickler zu verringern und die Interoperabilität zu fördern. Durch die technologieneutrale Gestaltung der Anforderungen sollte die Innovation nicht gehemmt, sondern vielmehr gefördert werden.
Europäische Rat hat mit Dokument vom 19.04.2018 kurz vor Inkrafttreten die Sprachfassungen der EU-DSGVO geändert. Zwar sollen die Änderungen primär dem sprachlichen Schliff der Übersetzungen dienen, allerdings können sich durch die Änderungen im Detail auch rechtliche Abweichungen ergeben.
Das VG Karlsruhe hat entschieden, dass Anweisungen nach der nach der EU-Datenschutz-Grundverordnung (EU-DSGVO) erst ab In-Kraft-Treten am 25.05.2018 zulässig sind.
Aus den Entscheidungsgründen:
"1. Für die datenschutzrechtliche Verfügung des Beklagten liegt keine Ermächtigungsgrundlage vor.
a) Die tatbestandlichen Voraussetzungen des als Ermächtigungsgrundlage herangezogenen § 38 Abs. 5 S. 1 BDSG liegen nicht vor. Hiernach kann die Aufsichtsbehörde zur Gewährleistung der Einhaltung des Bundesdatenschutzgesetzes und anderer Vorschriften über den Datenschutz Maßnahmen zur Beseitigung festgestellter Verstöße bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten oder technischer oder organisatorischer Mängel anordnen. Die Ausübung der Befugnisse nach § 38 Abs. 5 S. 1 BDSG kommt in Betracht, wenn bei kontrollierten Stellen keine Bereitschaft zur Behebung der von der Aufsichtsbehörde gerügten Mängel oder Rechtsverletzungen festzustellen ist (Petri in Simitis, BDSG, 8. Aufl. 2014, § 38 Rn. 72). Eine aufsichtsbehördliche Maßnahme ist nicht erst dann zulässig, wenn die betreffende Datenverarbeitung ins Werk gesetzt ist. Insbesondere bei besonders sensiblen und sogar strafrechtlich geschützten Daten kann die Aufsichtsbehörde Anordnungen bereits treffen, wenn die unzulässige Datenverarbeitung durch ein Vertragswerk schon deutlich vorgezeichnet ist und dieses Vertragswerk in Kraft getreten ist (vgl. OVG Schleswig-Holstein, Beschluss vom 12.01.2011 - 4 MB 56/10 -, juris).
Diese Voraussetzungen sind vorliegend nicht erfüllt. Festgestellte Datenschutzverstöße durch die Klägerin, welche seitens der Aufsichtsbehörde gerügt worden wären, liegen der angefochtenen Verfügung unstreitig nicht zugrunde. Gleiches gilt für technische oder organisatorische Mängel. Ausweislich der Verfügungsbegründung sollen keine gegenwärtigen Datenschutzverstöße der Klägerin unterbunden, sondern vielmehr Missstände verhindert werden, die nach dem 24.05.2018 zu erwarten seien. Soweit der Landesbeauftragte für den Datenschutz Baden-Württemberg insoweit die aus der Rechtsprechung des Oberverwaltungsgerichts Schleswig-Holstein abgeleiteten Grundsätze für anwendbar hält, wonach bei Vorliegen besonderer Umstände auch künftig zu erwartende Datenschutzverstöße bereits ein Tätigwerden der Aufsichtsbehörde zuließen, vermag die erkennenden Kammer dem nicht zu folgen. Denn anders als in der der herangezogenen Entscheidung zugrundliegenden Konstellation ist das künftige Verhalten der Klägerin nicht durch ein bereits in Kraft getretenes Vertragswerk oder eine vergleichbare tragfähige Grundlage deutlich vorgezeichnet. Es ist vielmehr noch völlig ungewiss, wie die Prüf- und Löschpraxis der Klägerin bezüglich forderungsbezogener Daten künftig unter Geltung der EU-Datenschutzgrundverordnung aussehen wird und ob diese rechtswidrig sein wird, zumal auch der genaue rechtliche Rahmen hierfür noch unklar ist.
Die derzeit geltende Regelung des § 35 Abs. 2 S. 2 Nr. 4 BDSG, wonach personenbezogene Daten zu löschen sind, wenn sie geschäftsmäßig zum Zweck der Übermittlung verarbeitet werden und eine Prüfung jeweils am Ende des vierten, soweit es sich um Daten über erledigte Sachverhalte handelt und der Betroffene der Löschung nicht widerspricht am Ende des dritten Kalenderjahres beginnend mit dem Kalenderjahr, das der erstmaligen Speicherung folgt, ergibt, dass eine längerwährende Speicherung nicht erforderlich ist, wird mit Neufassung des Bundesdatenschutzgesetz durch das Datenschutz-Anpassungs- und Umsetzungsgesetz EU vom 30.06.2017 (BGBl. I, S. 2097 ff.) nicht fortbestehen. Die Datenschutzgrundverordnung enthält über den Erforderlichkeitsgrundsatz (vgl. Art. 5 Abs. 1 Buchst. e EU-DSGVO) hinaus keine konkreten Vorgaben zu den Prüf- und Löschfristen. Ihr ist lediglich – unter anderem in Erwägungsgrund 39 – zu entnehmen, dass der Verantwortliche die Dauer seiner Datenverarbeitung unabhängig von einem entsprechenden Verlangen des Betroffenen nach Art. 17 EU-DSGVO („Recht auf Vergessenwerden“) regelmäßig zu überprüfen hat. Hierbei kann auf typisierte Regelprüffristen für wiederkehrende Vorgänge zurückgegriffen werden, da es gerade Unternehmen, die in großem Umfang Daten verarbeiten – wie etwa Auskunfteien – nicht zuzumuten ist, jeden Einzelfall gesondert zu bewerten (vgl. Plath in: Plath, BDSG/DSGVO, 2. Aufl. 2016, Art. 5 EU-DSGVO Rn. 18). Eine Überprüfung kann in bestimmten Intervallen erfolgen, so wie es beispielsweise bislang nach § 35 Abs. 2 S. 2 Nr. 4 BDSG möglich und zulässig war (vgl. Kamlah in: Plath, a.a.O., Art. 17 EU-DSGVO Rn. 6).
Einen Vorschlag bezüglich der Prüf- und Löschfristen unter Geltung der EU-Datenschutzgrundverordnung enthält der vom Verband der Wirtschaftsauskunfteien, dem auch die Klägerin angehört, ausgearbeitete Entwurf von Verhaltensregeln („Code of Conduct“). Nach Art. 40 Abs. 2 EU-DSGVO können Verbände oder andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, Verhaltensregeln ausarbeiten oder ändern oder erweitern, mit denen die Anwendung der Verordnung präzisiert wird. Auf Antrag nimmt die zuständige Aufsichtsbehörde in einem zweistufigen Verfahren dazu Stellung, ob die vorgelegten Verhaltensregeln mit der Verordnung vereinbar sind und genehmigt diese, soweit sie „ausreichende geeignete Garantien“ bieten (vgl. Art. 40 Abs. 5 S. 2 EU-DSGVO). Ein entsprechender Antrag bei der hier zuständigen Aufsichtsbehörde des Landes Nordrhein-Westfalen ist – wie die Prozessbevollmächtigten der Klägerin in der mündlichen Verhandlung vom 06.07.2017 angegeben haben – formal noch nicht gestellt worden. Aktuell finde noch die Abstimmung und Konsensbildung mit den im Düsseldorfer Kreis vertretenen Aufsichtsbehörden des Bundes und der Länder für den nicht-öffentlichen Bereich statt. Ausweislich des Protokolls der letzten Sitzung des Düsseldorfer Kreises vom 07.03.2017 (abrufbar unter: https://www.ldi.nrw.de/mainmenu_Service/submenu_Entschliessungsarchiv/Inhalt/Protokolle/Inhalt/Protokolle_des_Duesseldorfer_Kreises/Inhalt/7_-Maerz-2017/DK-2017_1-Protokoll.pdf) hat der „Code of Conduct Prüf- und Löschfristen in der Fassung des Entwurfs vom 28.02.2017“ bei einer Probeabstimmung zwar eine mehrheitliche Zustimmung, jedoch nicht die nach der Geschäftsordnung des Düsseldorfer Kreises erforderliche einstimmige Zustimmung erhalten. Mehrheitlich befürworte der Düsseldorfer Kreis, dass Nordrhein-Westfalen als genehmigende Aufsichtsbehörde dem Verband der Wirtschaftsauskunfteien empfehlen solle, den Bundesverband Verbraucherzentralen bei der „weiteren Ausarbeitung des Code of Conduct“ zu beteiligen (vgl. Protokoll der Sitzung vom 07.03.2017, S. 7). Vor dem Hintergrund des nach wie vor laufenden Verfahrens steht weder fest, ob es überhaupt zu einer späteren Genehmigung von Verhaltensregeln zu den Prüf- und Löschfristen kommen wird, noch wie diese letztlich ausgestaltet sein werden. Angesichts dessen kann die weitere Frage der Wirkung und Verbindlichkeit von genehmigten Verhaltensregeln dahingestellt bleiben. Nach dem Voranstehenden fehlt es bereits an einer Grundlage, welche die getroffene Einschätzung tragen könnte, wonach die Klägerin mit ihrer – derzeit im Übrigen noch ungewissen – künftigen Prüf- und Löschpraxis gegen die – ggf. noch zu konkretisierenden – Vorgaben der EU-Datenschutzgrundverordnung verstoßen würde.
Insbesondere kann auch nicht davon ausgegangen werden, dass nur eine Handhabung entsprechend der in der angegriffenen Verfügung vorgesehenen Prüf- und Löschpraxis mit der EU-Datenschutzgrundverordnung vereinbar wäre. Denn die vom Landesbeauftragen für den Datenschutz Baden-Württemberg für angemessen erachtete Frist, wonach Forderungen im Sinne von § 28a BDSG und die mit diesen in Zusammenhang stehenden Informationen über Personen, die die Klägerin in ihren Datenbeständen, aus denen Bonitätsauskünfte erteilt würden, nach dem 24.05.2018 speichere, spätestens nach Ablauf von drei Jahren, beginnend mit dem Zeitpunkt der Fälligkeit der Forderung, zu löschen seien, es sei denn, dass der Betroffene zu diesem Zeitpunkt zahlungsunfähig oder zahlungsunwillig sei, stellt keineswegs die einzig mögliche Speicher- und Löschkonzeption dar, die mit der EU-Datenschutzgrundverordnung in Einklang steht bzw. sich aus selbiger zwingend ergibt. Die künftige Prüf- und Löschpraxis der Auskunfteien muss sich – wie bereits dargestellt wurde – am Erforderlichkeitsmaßstab des Art. 5 Abs. 1 Buchst. e EU-DSGVO messen lassen, der in Hinblick auf Fristlänge und Anknüpfungsmoment einen Spielraum eröffnet. Die erkennende Kammer muss vorliegend nicht darüber entscheiden, wo die Grenzen dieses Spielraums erreicht sind. Sie geht aber – worauf es hier alleine ankommt – jedenfalls davon aus, dass innerhalb des vorhandenen Spielraums eine gewisse Bandbreite an mit der EU-Datenschutzgrundverordnung in Einklang stehenden Prüf- und Löschfristen zulässig ist.
b) Entgegen den Ausführungen der Beklagten ergibt sich eine Ermächtigungsgrundlage für die angegriffene Verfügung auch nicht aus § 38 Abs. 5 S. 1 BDSG i.V.m. Erwägungsgrund 39 der EU-DSGVO. Aus diesem Erwägungsgrund geht unter anderem hervor, dass der Verantwortliche Fristen für die Löschung oder regelmäßige Überprüfung personenbezogener Daten vorsehen sollte, um sicherzustellen, dass die Daten nicht länger als nötig gespeichert werden.
Zunächst kann dahingestellt bleiben, ob aus einem Erwägungsgrund einer zwar in Kraft getretenen, jedoch noch nicht anwendbaren Verordnung in Verbindung mit einer Regelung, die bei Geltung der Verordnung weggefallen sein wird, eine Rechtsgrundlage hergeleitet werden kann. Denn jedenfalls ergibt sich auch aus dem ergänzend herangezogenen Erwägungsgrund nicht, dass die Klägerin bereits vor Geltung der Verordnung verpflichtet wäre, der Verfügung entsprechende Überprüfungs- und Löschfristen zu schaffen und sie hierzu bereits vor Anwendbarkeit der Verordnung durch die Aufsichtsbehörde verpflichtet werden könnte. Eine frühzeitige Anpassung ihrer Datenschutzlöschkonzeption an die EU-Datenschutzgrundverordnung liegt unzweifelhaft im Interesse der Klägerin, da bei Verstößen gegen das europäische Datenschutzrecht erhebliche Sanktionen drohen (vgl. nur Art. 83 Abs. 5 Buchst. a EU-DSGVO zu Verstößen gegen die Grundsätze der Verarbeitung gemäß Art. 5 EU-DSGVO). Eine Ermächtigung für ein Tätigwerden der Aufsichtsbehörde bereits vor Geltung der EU-Datenschutzgrundverordnung – gewissermaßen um frühzeitig sicherzustellen, dass die künftig anwendbaren Vorschriften unter Berücksichtigung der Rechtsauffassung der Aufsichtsbehörde durch die Verantwortlichen eingehalten werden – lässt sich jedoch weder der Verordnung im Wege einer Vorwirkung, noch den aktuell geltenden Bestimmungen des Bundesdatenschutzgesetzes entnehmen.
c) Soweit der Beklagte auf Art. 58 Abs. 2 Buchst. d EU-DSGVO verweist, wonach jede Aufsichtsbehörde über Abhilfebefugnisse verfügt, die es ihr gestatten, den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit der Verordnung zu bringen, kann die am 25.11.2016 erlassene Verfügung bereits deshalb nicht auf diese Ermächtigungsgrundlage gestützt werden, da diese erst ab 25.05.2018 Gültigkeit beanspruchen wird (vgl. Art. 99 Abs. 2 EU-DSGVO)."
Der BGH hat entschieden, dass die Deckelung des Abmahnkosten auf 100 EURO nach § 97a Abs. 2 UrhG nicht auf Fälle anzuwenden ist, bei denen die Abmahnung vor Inkrafttreten der Vorschrift ausgesprochen wurde. § 97a Abs. 2 UrhG trat am 01.08.2008 in Kraft. Der BGH hat sich dabei nicht näher mit der Frage befasst, wann eine Deckelung der Abmahnkosten tatsächlich in Betracht kommt. Es bleibt zu hoffen, dass der BGH Gelegenheit erhält, sich insbesondere mit der Frage zu befassen, ob § 97a Abs. UrhG auch auf Filesharing-Fälle anzuwenden ist, und die Fehlentwicklung in der Rechtsprechung (z.B. LG Köln, Urteil vom 21.04.2010 - 28 O 596/09) korrigiert.
Aus den Entscheidungsgründen: Zwischen den Parteien stehe außer Streit, dass die Abmahnung wegen einer Urheberechtsverletzung berechtigt gewesen sei und der Klägerin gegen den Beklagten daher ein Anspruch auf Ersatz von Abmahnkosten zustehe. Dieser Anspruch sei jedoch gemäß § 97a Abs. 2 UrhG der Höhe nach auf 100 € beschränkt.
[...]
Entgegen der Ansicht des Berufungsgerichts ist die Frage, ob und inwieweit die Klägerin vom Beklagten die Erstattung von Abmahnkosten verlangen kann, nicht nach § 97a UrhG zu beurteilen. Für den Anspruch auf Erstattung von Abmahnkosten kommt es allein auf die Rechtslage zum Zeitpunkt der Abmahnung an (st. Rspr.; vgl. nur BGH, Urteil vom 19. Mai 2010 - I ZR 140/08, GRUR 2010, 1120 Rn. 17 = WRP 2010, 1495 - Vollmachtsnachweis; Urteil vom 18. November 2010 - I ZR 155/09, GRUR 2011, 617 Rn. 29 = WRP 2011, 881 - Sedo). Zu diesem Zeitpunkt war § 97a UrhG noch nicht in Kraft getreten.
§ 97a UrhG Abmahnung
(1) Der Verletzte soll den Verletzer vor Einleitung eines gerichtlichen Verfahrens auf Unterlassung abmahnen und ihm Gelegenheit geben, den Streit durch Abgabe einer mit einer angemessenen Vertragsstrafe bewehrten Unterlassungsverpflichtung beizulegen. Soweit die Abmahnung berechtigt ist, kann der Ersatz der erforderlichen Aufwendungen verlangt werden.
(2) Der Ersatz der erforderlichen Aufwendungen für die Inanspruchnahme anwaltlicher Dienstleistungen für die erstmalige Abmahnung beschränkt sich in einfach gelagerten Fällen mit einer nur unerheblichen Rechtsverletzung außerhalb des geschäftlichen Verkehrs auf 100 Euro.
