Urteil des VG Karlsruhe vom 06.07.2017 – 10 K 7698/16
Datenschutzbehörden dürfen sich nicht bereits heute auf die Vorschriften der DSGVO stützen, wenn sie Verfügungen oder Sanktionen erlassen, sondern erst ab ihrer am 25.05.2018 beginnenden Anwendbarkeit.
Die Löschung von Datenbeständen, aus denen Bonitätsauskünfte erteilt werden, orientiert sich künftig am Erforderlichkeitsmaßstab des Art. 5 Abs. 1 lit. e) DSGVO und nicht an § 35 Abs. 2 S. 2 Nr. 4 BDSG, nach dem spätestens nach Ablauf von drei Jahren personenbezogene Daten zu löschen sind.
Sachverhalt
Der Landesbeauftragte für den Datenschutz Baden-Württemberg LfD teilte der Auskunftei mit, dass mit Anwendbarkeit der EU-Datenschutzgrundverordnung Forderungen i.S.d. § 28a BDSG (…) über Betroffene spätestens nach Ablauf von drei Jahren zu löschen seien, es sei denn, dass der Betroffene zahlungsunfähig oder zahlungsunwillig sei. Nachdem eine Auskunftei nicht verbindlich zugesichert hatte, ihre Datenspeicherungspraxis ab dem Inkrafttreten der DSGVO entsprechend der Vorgaben des LfD anzupassen, beabsichtigte dieser, die Auskunftei mit datenschutzrechtlicher Verfügung vom 25.11.2016 dazu zu verpflichten. Hiergegen setzte sich die Auskunftei mit einer Anfechtungsklage gegen den Verwaltungsakt der Datenschutzbehörde gerichtlich zur Wehr.
Keine Geltung der DSGVO vor Inkrafttreten
Das VG Karlsruhe hob den Bescheid des LfD auf und gab der Anfechtungsklage der Auskunftei statt. Für den Verwaltungsakt läge keine Ermächtigungsgrundlage vor. Nicht einschlägig sei § 38 Abs. 5 S. 1 BDSG i.V.m. ErwGr 39 DSGVO, wonach bestimmte Fristen für eine Löschung oder regelmäßige Überprüfung des Verantwortlichen gelten. Die Auskunftei sei nicht verpflichtet, bereits vor Geltung der Verfügung entsprechende Löschfristen zu schaffen und könne hierzu nicht bereits vor Anwendbarkeit der Verordnung durch die Auskunftsbehörde verpflichtet werden.
Ebenfalls nicht anwendbar sei der vom LfD vorgebrachte Art. 58 Abs. 2 lit. d) DSGVO. Danach dürfen Aufsichtsbehörden Verantwortliche zukünftig anweisen, Verarbeitungsvorgänge auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit der DSGVO zu bringen. Auch aus dieser Vorschriften gehe nicht hervor, dass sie bereits vor Geltung der DSGVO Anwendung findet. Ferner sehe die DSGVO keine konkreten Löschpflichten der Verantwortlichen vor, sodass die bisherigen Löschungsfristen aus § 35 BDSG, worauf sich der LfD berief, nicht mehr gelten. Künftig müssen sich Verantwortliche an Art. 5 Abs. 1 lit. e) DSGVO orientieren, wonach personenbezogene Daten nur so lange gespeichert werden dürfen, wie sie für eigene Zwecke erforderlich sind. Im Hinblick auf die Fristlänge sei hierbei ein gewisser Spielraum gegeben.
Fazit
Auch wenn jetzt noch keine Verpflichtung besteht, die Voraussetzungen der DSGVO zu erfüllen, findet die DSGVO am 25.05.2018 ohne weitere Übergangsfrist unmittelbar Anwendung. Ab diesem Zeitpunkt werden in der gesamten EU erhöhte datenschutzrechtliche Anforderungen gelten, die zahlreiche Änderungen von Prozessen in Unternehmen mit sich bringen. Insbesondere Dokumentationen, Verträge oder Einwilligungstexte, die nach der jetzigen Rechtslage im Sinne des Bundesdatenschutzgesetzes (BDSG) gestaltet wurden, werden den neuen Anforderungen nicht mehr gerecht. Daher ist es sinnvoll, bereits vor Anwendbarkeit der DSGVO sämtliche Prozesse in Ihrem Unternehmen zu überprüfen und bei Bedarf entsprechend anzupassen. Dies ist auch deshalb so wichtig, weil die DSGVO weitaus höhere Sanktionen gegen Datenschutzverstöße vorsieht als das bisherige BDSG.
Sprechen Sie uns an. Wir begleiten und unterstützen Sie bei der Umsetzung verschiedener Maßnahmen, gerne auch vor Ort in Ihrem Unternehmen.