linkedIn Logo   LINKEDIN
facebook LogoFACEBOOK
XING LogoXING

Prüf- und Löschpraxis: Erstes Urteil zur DSGVO

Noch bevor sie am 25. Mai 2018 gültig ist, liegt bereits das erste Urteil zur Datenschutz-Grundverordnung (DSGVO) vor. Das Verwaltungsgericht (VG) Karlsruhe hat mit Urteil vom 06. Juli 2017 (Az.: 10 K 7698/16, PDF) in einem konkreten Fall entschieden, dass sich eine Aufsichtsbehörde vor diesem Stichtag nicht auf Rechtsnormen der DSGVO berufen darf.

Der Landesbeauftragte für Datenschutz in Baden-Württemberg (LfDI) sah dies Ende 2016 anders. Der LfDI verpflichtete per Verwaltungsakt eine Auskunftei zur Löschung von Daten über bonitätsrelevante Angaben zu Personen.

Dabei stützte sich die Aufsichtsbehörde darauf, dass zwar keine gegenwärtigen Datenschutzverstöße der Auskunftei geahndet, sondern vielmehr Verstöße verhindert werden sollen, die zukünftig mit Inkrafttreten der DSGVO Mitte Mai 2018 jetzt schon absehbar gewesen seien.

Der LfDI argumentierte dabei mit der Rechtsprechung des Oberverwaltungsgerichts Schleswig-Holstein. Danach kann eine Aufsichtsbehörde Maßnahmen, insbesondere bei besonders sensiblen oder sogar strafrechtlich geschützten Daten, schon dann anordnen, wenn die unzulässige Datenverarbeitung durch ein Vertragswerk schon deutlich vorgezeichnet und dieses Vertragswerk bereits in Kraft getreten ist.

Urteil des Verwaltungsgerichts

Die Karlsruher Richter gaben der Klage der Auskunftei gegen den Verwaltungsakt der Aufsichtsbehörde in dem nun vorliegenden Urteil statt und hoben die Verfügung auf. Die von der Rechtsprechung des Oberverwaltungsgerichts Schleswig-Holstein abgeleiteten Grundsätze seien auf die hier vorliegende Konstellation nicht anwendbar.

Denn es sei noch völlig ungewiss, wie die Prüf -und Löschpraxis unter Geltung der DSGVO in dem konkreten Fall aussehen wird. Es stehe dementsprechend noch überhaupt gar nicht fest, ob die Praxis der Auskunftei bei der Löschung der Daten in Zukunft rechtswidrig sein werde, zumal auch der genaue rechtliche Rahmen hierfür noch unklar sei.

Interessant ist für die Praxis, was das VG Karlsruhe zu den Prüf -und Löschfristen unter Geltung der DSGVO sagt:

  • Die derzeit geltende Regelung zu den Prüf -und Löschfristen bei Daten, die geschäftsmäßig zum Zwecke der Übermittlung verarbeitet werden (§ 35 Abs. 2 S. 2 Nr. 4 BDSG) wird mit Neufassung des BDSG nicht fortbestehen.
  • Die DSGVO enthält über den Erforderlichkeitsgrundsatz (vgl. Art. 5 Abs. 1 lit. e) DSGVO) hinaus keine konkreten Vorgaben zu den Prüf- und Löschfristen.
  • Lediglich dem Erwägungsgrund 39 DSGVO ist zu entnehmen, dass der Verantwortliche die Dauer seiner Datenverarbeitung unabhängig von einem entsprechenden Verlangen des Betroffenen nach Art. 17 DSGVO regelmäßig zu überprüfen hat.
  • Das VG Karlsruhe ist der Auffassung, dass eine Überprüfung in bestimmten Intervallen erfolgen kann, so wie es beispielsweise bislang nach § 35 Abs. Absatz 2 S. 2 Nr. 4 BDSG möglich und zulässig war.
  • Zudem weist das VG darauf hin, dass die vom LfDI für angemessen erachtete Dreijahresfrist keineswegs die einzig mögliche Speicher- und Löschkonzeption darstellt, die mit der DSGVO in Einklang steht bzw. sich aus selbiger zwingend ergibt.
  • Vielmehr muss sich die künftige Prüf- und Löschpraxis (hier der Auskunfteien) am Erforderlichkeitsmaßstab des Art. 5 Abs. 1 lit. e) DSGVO messen lassen, der aber gerade in Hinblick auf Fristlänge und Anknüpfungsmoment einen Spielraum eröffnet. Das VG geht aber davon aus, dass innerhalb des vorhandenen Spielraums eine gewisse Bandbreite an mit der DSGVO in Einklang stehenden Prüf- und Löschfristen zulässig ist.

Das Urteil zeigt, dass sich Aufsichtsbehörden grundsätzlich erst mit deren Inkrafttreten auf die DSGVO berufen dürfen. Es zeigt aber auch: In Fällen, in denen absehbar ist, dass eine bestimmte Praxis gegen die DSGVO verstoßen wird, und dies der Verordnung auch eindeutig zu entnehmen ist, können die Behörden schon jetzt darauf mit entsprechenden Verfügungen reagieren. (fl)

Quellen:

De lege lata vom 30.08.2017: Urteil zur EU Datenschutz-Grundverordnung – Landesdatenschutzbehörde scheitert vor Gericht
Rechts-News der Kanzlei Dr. Bahr vom 01.09.2017: VG Karlsruhe: Erstes Urteil zur EU-DSGVO: Datenschutzbehörde hat keine Ermächtigungsgrundlage vor Inkrafttreten der EU-Datenschutzgrundverordnung

Datenschutzkonferenz veröffentlicht neue KurzpapiereEGMR-Urteil: Gericht nennt Kriterien für Überwachung am Arbeitsplatz