Verfügung nach DS-GVO noch nicht möglich

Eine Verfügung oder Sanktion, die bereits jetzt auf eine Ermächtigungsgrundlage der erst im Mai 2018 wirksam werdenden EU-Datenschutzgrundverordnung (DS-GVO) gestützt wird, ist rechtswidrig und verletzt den Adressaten in seinen Rechten. Das hat das Verwaltungsgericht Karlsruhe entschieden (VG Karlsruhe Urteil vom 06.07.2017, Az.: 10 K 7698/16).

Prüf- und Löschfristen bei personenbezogenen Daten

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg hatte eine Auskunftei zur Anpassung ihres Löschkonzepts aufgefordert. Konkret sollte sie die nach dem 24.05.2018 gespeicherten personenbezogenen Daten über Forderungen (die Definition findet sich in § 28a Abs. 1 BDSG) spätestens nach Ablauf von 3 Jahren löschen.

Die Auskunftei sagte zu, ihr Löschkonzept mit Wirksamwerden der DS-GVO am 25.05.2018 anzupassen. Die Aufsichtsbehörde erließ daraufhin eine Verfügung zur Durchsetzung ihrer Aufforderung.

Aktuelle Rechtslage

§ 35 Abs. 2 S. 2 Nr. 4 BDSG sieht momentan eine Löschung von personenbezogenen Daten über Forderungen wie folgt vor:

  • am Ende des vierten Kalenderjahres
  • am Ende des dritten Kalenderjahres, wenn es sich um erledigte Sachverhalte handelt und der Betroffene nicht wiederspricht

Eine konkrete Neuregelung gibt es nicht. Die Verordnung verlangt in Art. 5 Abs. 1 e) DS-GVO lediglich die Löschung von personenbezogenen Daten nach dem Prinzip der Erforderlichkeit. Auch das neue BDSG enthält keine dem § 35 Abs. 2 S. 2 Nr. 4 BDSG entsprechende Regelung.

Ansicht der Aufsichtsbehörde

Nach Ansicht der Aufsichtsbehörde konnte die Verfügung gemäß § 38 Abs. 5 S. 1 BDSG erlassen werden, da bei der Auskunftei keine Bereitschaft zur Behebung der gerügten Mängel festzustellen war.

Außerdem kann die Aufsichtsbehörde bei sensiblen und strafrechtlich geschützten Daten grundsätzlich bereits Anordnungen treffen, wenn die unzulässige Datenverarbeitung durch ein Vertragswerk schon deutlich vorgezeichnet ist und dieses Vertragswerk in Kraft getreten ist. Das ist nach Ansicht der Behörde hier der Fall, weil auf Seiten der Auskunftei ein Verstoß gegen die Verordnung zu befürchten ist.

Nach Wirksamwerden der DS-GVO kann die Verfügung ferner auf Art. 58 Abs. 2 d) DS-GVO gestützt werden.

Entscheidung des Verwaltungsgerichts

Das Verwaltungsgericht Karlsruhe hat nun zu Gunsten der Auskunftei entschieden. Nach Ansicht des Gerichts kann die Verfügung der Behörde weder auf das BDSG noch auf die DS-GVO gestützt werden.

Die Voraussetzungen des § 38 Abs. 5 S. 1 BDSG liegen gerade nicht vor. Eine künftige widerrechtliche Handhabe der Löschpflichten ist seitens der Auskunftei gerade nicht zu erwarten, da die rechtlichen Anforderungen noch gar nicht klar definiert sind.

Auch der Verweis auf Art. 58 Abs. 2 d) DS-GVO trägt nach Ansicht des Verwaltungsgerichts nicht, da die DS-GVO erst am 25.05.2018 wirksam wird. Verfügungen können erst ab dann auf die Verordnung gestützt werden.

Verfügung darüber hinaus fehlerhaft

Die Verfügung ist nach Ansicht des Gerichts auch inhaltlich rechtsfehlerhaft.

Zum einen ist sie zu unbestimmt. Sie enthält nur eine abstrakte Vorgabe zu Prüf- und Löschpflichten und keine konkrete Handlungsanweisung. Genau dies ist bei einer behördlichen Verfügung aber notwendig.

Ferner ist der Verfügungswortlaut im Prinzip identisch mit der zugrundeliegenden Rechtsnorm. Eine solche kann aber nicht im Wege einer behördlichen Verfügung erlassen werden.