Die EU-Datenschutz-Grundverordnung kommt
Die EU-Datenschutz-Grundverordnung kommt
Damit Sie auch in dieser Phase des „Endspurts“ über diese hochrelevante Veränderung im Bereich des EU-Datenschutzes gut informiert sind, möchten wir Sie auf eine Entscheidung des Verwaltungsgerichts (VG) Karlsruhe zu diesem Thema aufmerksam machen (Urteil vom 6. Juli 2017 – Az. 10 K 7698/16) und stellen die maßgeblichen Eckpunkte des Urteils und die für Sie daraus resultierenden Konsequenzen nachfolgend zusammengefasst für Sie dar.
Anordnung von Löschungsfristen für Forderungsdaten
Das VG Karlsruhe hatte über die Rechtmäßigkeit einer behördlichen datenschutzrechtlichen Verfügung zulasten einer Wirtschaftsauskunftei zu entscheiden. Gegenstand dieser Verfügung war, dass die Auskunftei alle Informationen über Schuldner offener Forderungen, die sie im Rahmen von § 28a BDSG von Gläubigern zur Warnung Dritter vor kreditunwürdigen Schuldnern erhalten hatte, nach dem 24. Mai 2018 (also beginnend mit dem Zeitraum ab Anwendbarkeit der DSGVO) grundsätzlich spätestens nach drei Jahren ab Fälligkeit der Forderung zu löschen habe. Die Behörde stellte klar, dass sie mit der Verfügung keine gegenwärtigen Rechtsverstöße der Auskunftei ahnden wolle. Vielmehr ging es der Behörde um angebliche Rechtsverstöße der Auskunftei ab Anwendbarkeit der DSGVO ab dem 25. Mai 2018.
Die Behörde vertrat dabei die Ansicht, zum Erlass einer solchen Verfügung gem. § 38 Abs. 5 S. 1 BDSG ermächtigt zu sein: Nach dieser Vorschrift kann die Aufsichtsbehörde die erforderlichen Maßnahmen zu Gewährleistung der Einhaltung datenschutzrechtlicher Vorschriften bei der Erhebung, Verbreitung und Nutzung personenbezogener Daten ergreifen. Auch zukünftige Datenschutzverstöße würden bereits jetzt ein Tätigwerden der Behörde erlauben.
Keine Ermächtigungsgrundlage für aufsichtsbehördliche Verfügung
Die Auskunftei war dagegen der Ansicht, dass die Verfügung einen vorsorglichen Verwaltungsakt darstelle, für den derzeit keine Ermächtigungsgrundlage bestünde. Dieser Auffassung schloss sich auch das Gericht an: Die Auskunftei habe ihre Löschpraxis für Informationen über Schuldner offener Forderungen ab Geltung der DSGVO noch nicht festgelegt. Die derzeit geltende Regelung des § 35 Abs. 2 S. 2 Nr. 4 BDSG, aus der sich Speicherhöchstfristen für Auskunfteien von drei Jahren ergeben können, entfällt aber nach Geltung der DSGVO. Die Datenschutzgrundverordnung enthält somit über den Erforderlichkeitsgrundsatz hinaus keine konkreten Vorgaben zu den Prüf- und Löschfristen. Laut Gericht sei der DSGVO daher lediglich zu entnehmen, dass der Verantwortliche die Löschreife der von ihm verarbeiteten Daten unabhängig von einem entsprechenden Verlangen des Betroffenen nach dem sog. „Recht auf Vergessenwerden“ regelmäßig zu überprüfen habe. Ein Anhaltspunkt dafür, dass die Auskunftei nach Anwendbarkeit der DSGVO sicher gegen den von der DSGVO festgelegten Spielraum für Prüf- und Löschfristen verstoßen werde, fehle somit derzeit. Im Ergebnis sei daher die Behörde zum Erlass ihrer Verfügung nicht berechtigt gewesen.
Praxistipp: Behördliche Verfügungen sorgfältig prüfen
Die vorliegende Entscheidung des VG Karlsruhe zeigt, dass sich die Aufsichtsbehörden bereits jetzt – also vor Anwendbarkeit der DSGVO – bei ihren Prüfungen mit dieser neuen datenschutzrechtlichen Regelung auseinandersetzen. Sollten Behörden gegenüber Ihrem Unternehmen vor dem 25. Mai 2018 Maßnahmen einleiten, die im Zusammenhang mit der DSGVO stehen, sollten Sie diese Maßnahmen sorgfältig prüfen: Es kann sein, dass die Behörde – wie im vorliegenden Fall - über keine Ermächtigungsgrundlage verfügt, solche Maßnahmen bereits jetzt durchzusetzen.