Noch bevor die Europäische Datenschutzgrundverordnung (DSGVO) am 28. Mai 2018 in Kraft tritt liegt bereits das erste Urteil zu seiner Anwendung vor. Das Verwaltungsgericht Karlsruhe hat mit Urteil vom 06.07.2017 – 10 K 7698/16 entschieden, dass die Datenschutzbehörden sich nicht auf Rechtsnormen der DSGVO berufen können, bevor diese nicht im Frühjahr nächsten Jahres in Kraft getreten ist.
Die Klägerin ist eine Auskunftei, deren Unternehmensgegenstand es ist, bonitätsrelevante Angaben, die die Zahlungsfähigkeit einer Person infrage stellen, zu sammeln und in dafür vorgesehenen Datenbeständen zum Zweck der Beauftragung durch Dritte bereitzustellen. Als solche speichert sie unter anderem nach § 28a Abs. 1 Bundesdatenschutzgesetz (BDSG) übermittelte personenbezogene Daten über Forderungen. Fristen für eine Überprüfung der weiteren Speichererforderlichkeit bzw. eine Löschung der Daten sieht § 35 Abs. 2 S. 2 Nr. 4 BDSG vor. Diese Vorgaben werden von der Klägerin eingehalten. Durch den Landesbeauftragten für den Datenschutz Baden-Württemberg wurde der Klägerin mitgeteilt, dass sie nach Inkrafttreten der DSGVO am 25. Mai 2018 die Fristen so anzupassen habe, dass spätestens mit Ablauf von drei Jahren die Informationen zu löschen seien, es sei denn, dass der Betroffene zu diesem Zeitpunkt zahlungsunwillig bzw. zahlungsunfähig sei. Die betroffene Auskunftei erwiderte, dass sie ihre Datenschutzlöschkonzeption der EU-DSGVO anpassen werde. Derzeit werde an einem sogenannten „Code of Conduct“ gearbeitet, welcher auch zu den Speicher- und Löschfristen einen Vorschlag enthalten solle.
Dies genügte der Aufsichtsbehörde jedoch nicht, denn sie erließ eine entsprechende verwaltungsrechtliche Anordnung, wonach spätestens nach Ablauf von drei Jahren, beginnend mit dem Zeitpunkt der Fälligkeit der Forderung, die Bonitätsmerkmale zu löschen sind. Als Ermächtigungsgrundlage führte sie unter anderem Normen aus der DSGVO an.
BDSG, DSGVO oder garnichts?
Die Klägerin erhob daraufhin Klage gegen die Verfügung. Sie argumentiert, dass die streitgegenständliche, in die Zukunft gerichtete Verfügung einen vorsorglichen Verwaltungsakt darstelle, für den keine Ermächtigungsgrundlage bestehe. Die Verstöße aus den herangezogenen Vorschriften des BDSG und der EU-DSGVO lägen unstreitig nicht vor. Eine Anordnung wegen eines hypothetisch denkbaren Verstoßes gegen zukünftig geltendes Datenschutzrecht könne auf der genannten Ermächtigungsgrundlage nicht getroffen werden. Es gäbe keine Anhaltspunkte dafür, dass die Klägerin ihr Datenlöschkonzept nicht an das künftig geltende europäische Datenschutzrecht anpassen werde. Eine rechtliche Grundlage dafür, eine verbindliche Zusicherung zu verlangen, dass die Datenlöschkonzeption 2018 entsprechend der Verfügung angepasst werde, bestehe nicht.
Der Landesdatenschutzbeauftragte führt als Rechtsgrundlage für die behördliche Anordnung § 38 Abs. 5 S. 1 BDSG iVm. Erwägungsgrund 39 der DSGVO an. Die für eine Datenverarbeitung verantwortlichen Stellen seien bereits jetzt verpflichtet, dafür Sorge zu tragen, dass ihre Datenverarbeitungssysteme spätestens zum 25.05.2018 der EU-DSGVO entsprächen. Um dies sicherzustellen, könnten die Datenschutzaufsichtsbehörden bereits jetzt Verfügungen erlassen.
Das Verwaltungsgericht Karlsruhe schloss sich der Klägermeinung an und hebt die Anordnung somit auf. Für die erlassene Verfügung fehle es bereits an einer Ermächtigungsgrundlage. Ferner genüge die getroffene Regelung nicht den Anforderungen an die Bestimmtheit eines Verwaltungsaktes und hätte darüber hinaus auch nicht zulässigerweise in der Form eines solchen getroffen werden können. Auf die jetzigen Regelungen im BDSG könne die Anordnung nicht gestützt werden, denn die Klägerin halte sich unbestritten an geltendes Recht. Andererseits kämen auch die Bestimmungen der DSGVO nicht in Betracht, da sich die Behörde, mangels Inkrafttretens, (noch) nicht berufen auf diese könne.
VG: Falsche, deswegen fehlende Rechtsgrundlage
Die Voraussetzungen des als Ermächtigungsgrundlage herangezogenen § 38 Abs. 5 S. 1 BDSG lägen laut Gericht nicht vor. Danach können die Aufsichtsbehörden zur Gewährleistung der Einhaltung des Bundesdatenschutzgesetzes und anderer Vorschriften Maßnahmen zur Beseitigung festgestellter Verstöße bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten oder technischer oder organisatorischer Mängel anordnen. Die Ausübung dieser Befugnisse kommt in Betracht, wenn kontrollierte Stellen keine Bereitschaft zur Behebung der von der Aufsichtsbehörde gerügten Mängel oder Rechtsverletzungen zeigen. Bei besonders sensiblen Daten kann die Aufsichtsbehörde bereits Anordnungen treffen, wenn die unzulässige Datenverarbeitung durch ein Vertragswerk schon deutlich vorgezeichnet ist.
Diese Voraussetzungen seien vorliegend nicht erfüllt. Festgestellte Datenschutzverstöße durch die Klägerin, lägen der Verfügung unstreitig nicht zugrunde. Selbst gemäß Wortlaut der Begründung sollen keine gegenwärtigen Datenschutzverstöße unterbunden, sondern vielmehr Missstände verhindert werden, die in Zukunft zu erwarten seien. Das künftige Verhalten der Klägerin sei hier jedoch noch nicht durch ein bereits in Kraft getretenes Vertragswerk vorgezeichnet. Es ist vielmehr noch völlig ungewiss, wie die Prüf- und Löschpraxis der Klägerin bezüglich der Daten künftig unter Geltung der DSGVO aussehen wird.
Das Urteil zeigt ganz deutlich wie unsicher die Rechtslage vor Inkrafttreten der DSGVO im Frühjahr kommenden Jahres noch ist. Einerseits wird ersichtlich, dass die Behörden die Durchsetzung der Regelungen noch überdenken müssen und andererseits wird die Bedeutung einer sauberen Umsetzung der DSGVO im Unternehmen deutlich.
Haben Sie Fragen zum Thema Europäische Datenschutzgrundverordnung? Kontaktieren Sie gerne: RA Nicole Schmidt, LL.M.
Leistung: EU-Datenschutzgrundverordnung implementieren