Urteil zur EU Datenschutz-Grundverordnung – Landesdatenschutzbehörde scheitert vor Gericht

Eigentlich ist die EU Datenschutz-Grundverordnung (DSGVO) erst ab 25. Mai 2018 anwendbar (Art. 99 Abs. 2 DSGVO). Die DSGVO ist zwar bereits am 24.5.2016 in Kraft getreten. Sie gilt jedoch erst ab dem 25.5.2018. Erst ab diesem Datum sind die Vorgaben der DSGVO verbindlich anzuwenden und durch die Aufsichtsbehörden durchsetzbar.

Sachverhalt

Der Landesbeauftragte für Datenschutz in Baden-Württemberg (LfDI) sah dies Ende 2016 offenbar anders. Mit Urteil vom 6.7.2017 (Az. 10 K 7698/16, pdf) hob das Verwaltungsgericht Karlsruhe (VG) nun einen Bescheid des LfDI vom 25.11.2016 auf, mit dem eine Auskunftei verpflichtet werden sollte, Forderungen im Sinne von § 28a BDSG und die mit diesen in Zusammenhang stehenden Informationen über Personen, die die Auskunftei in ihren Datenbeständen, aus denen Bonitätsauskünfte erteilt würden, nach dem 24.5.2018 speichere, spätestens nach Ablauf von drei Jahren, beginnend mit dem Zeitpunkt der Fälligkeit der Forderung, zu löschen, es sei denn, dass der Betroffene zu diesem Zeitpunkt zahlungsunfähig oder zahlungsunwillig sei.

Der LfDI stützte den Verwaltungsakt unter anderem darauf, dass zwar keine gegenwärtigen Datenschutzverstöße der Auskunftei unterbunden werden, jedoch Missstände verhindert werden sollten, die nach dem 24.5.2018 zu erwarten seien. Hintergrund ist, dass der noch geltende § 35 Abs. 2 S. 2 Nr. 4 BDSG, der bestimmte Fristen zur Prüfung für die Löschung von Daten vorsieht, keine Entsprechung in der DSGVO und auch nicht im neuen BDSG findet.

Die Auskunftei hatte zuvor im Schriftverkehr nicht verbindlich zugesichert, ihre Datenspeicherungspraxis ab dem 24.5.2018 entsprechend zu ändern. Zwar hatte die Auskunftei angekündigt, ihre Datenlöschkonzeption zum 25.5.2018 der DSGVO anpassen zu wollen. Bei der Ankündigung handelte es sich nach Ansicht des LfDI aber lediglich um eine Absichtserklärung, nicht hingegen um eine konkrete, vollstreckbare Zusicherung.

Daher, so der LfDI, seien künftige Datenschutzverstöße nicht auszuschließen. Zudem sei ungewiss, ob die Auskunftei den Zeitraum bis zur Geltung der DSGVO nutzen werde, um die Verarbeitung personenbezogener Daten an die neuen Vorgaben anzupassen.

Urteil des VG

Völlig zurecht gab das VG der Anfechtungsklage der Auskunftei gegen den Verwaltungsakt der Aufsichtsbehörde statt. Für die datenschutzrechtliche Verfügung liegt nämlich bereits keine Ermächtigungsgrundlage vor.

Zum einen liegen festgestellte Datenschutzverstöße durch die Auskunftei, welche seitens der Aufsichtsbehörde gerügt worden wären, der Verfügung nicht zugrunde. Dies wäre jedoch nach § 38 Abs. 5 S. 1 BDSG erforderlich; in jedem Fall müsste das künftige Verhalten durch ein bereits in Kraft getretenes Vertragswerk oder eine vergleichbare tragfähige Grundlage deutlich vorgezeichnet sein.

Unverständlicherweise wollte der LfDI seine Verfügung zudem auf § 38 Abs. 5 S. 1 BDSG i.V.m. Erwägungsgrund 39 DSGVO stützen, nach dem der Verantwortliche Fristen für die Löschung oder regelmäßige Überprüfung personenbezogener Daten vorsehen soll, um sicherzustellen, dass die Daten nicht länger als nötig gespeichert werden. Aus Erwägungsgrund 39 DSGVO ergibt sich aber nicht, dass die Verantwortliche bereits vor Geltung DSGVO verpflichtet wäre, der Verfügung entsprechende Überprüfungs- und Löschfristen zu schaffen und sie hierzu bereits vor Anwendbarkeit DSGVO durch die Aufsichtsbehörde verpflichtet werden könnte.

Eine Ermächtigung für ein Tätigwerden der Aufsichtsbehörde bereits vor Geltung der EU-Datenschutzgrundverordnung – gewissermaßen um frühzeitig sicherzustellen, dass die künftig anwendbaren Vorschriften unter Berücksichtigung der Rechtsauffassung der Aufsichtsbehörde durch die Verantwortlichen eingehalten werden – lässt sich jedoch weder der Verordnung im Wege einer Vorwirkung, noch den aktuell geltenden Bestimmungen des Bundesdatenschutzgesetzes entnehmen.

Diese Feststellung des VG ist für Unternehmen bis zum Stichtag am 25.5.2018 durchaus relevant. Denn hierdurch stellt das VG richtigerweise klar, dass eine Aufsichtsbehörde keine Vorschriften durchsetzen darf, die noch gar nicht anwendbar sind.

Der LfDI hatte zur Begründung zudem auf Art. 58 Abs. 2 lit. d) DSGVO verwiesen. Danach verfügt jede Aufsichtsbehörde über Abhilfebefugnisse, die es ihr gestatten, den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit der Verordnung zu bringen. Wie die gesamte DSGVO, so ist aber natürlich auch Art. 58 DSGVO erst anwendbar und durchsetzbar, wenn die DSGVO Anwendung findet. Also erst ab dem 25.5.2018.

In dem Urteil äußert sich das VG zudem auch implizit zu einigen Vorschriften der DSGVO in Bezug auf die Löschung von personenbezogenen Daten.

Die derzeit geltende Regelung des § 35 Abs. 2 S. 2 Nr. 4 BDSG wird mit Neufassung des Bundesdatenschutzgesetz nicht fortbestehen. Die DSGVO enthält über den Erforderlichkeitsgrundsatz (vgl. Art. 5 Abs. 1 lit. e) DSGVO) hinaus keine konkreten Vorgaben zu den Prüf- und Löschfristen. Lediglich aus Erwägungsgrund 39 DSGVO ist zu entnehmen, dass der Verantwortliche die Dauer seiner Datenverarbeitung unabhängig von einem entsprechenden Verlangen des Betroffenen nach Art. 17 DSGVO regelmäßig zu überprüfen hat. Das VG ist der Auffassung, dass eine Überprüfung in bestimmten Intervallen erfolgen kann, so wie es beispielsweise bislang nach § 35 Abs. Absatz 2 S. 2 Nr. 4 BDSG möglich und zulässig war. Zudem weist das VG darauf hin, dass die vom LfDI für angemessen erachtete Frist, wonach Forderungen und die mit diesen in Zusammenhang stehenden Informationen über Personen, die die Klägerin in ihren Datenbeständen, aus denen Bonitätsauskünfte erteilt würden, spätestens nach Ablauf von drei Jahren, beginnend mit dem Zeitpunkt der Fälligkeit der Forderung, zu löschen seien, es sei denn, dass der Betroffene zu diesem Zeitpunkt zahlungsunfähig oder zahlungsunwillig sei, keineswegs die einzig mögliche Speicher- und Löschkonzeption darstellt, die mit der DSGVO in Einklang steht bzw. sich aus selbiger zwingend ergibt.

Vielmehr muss sich die künftige Prüf- und Löschpraxis (hier der Auskunfteien) am Erforderlichkeitsmaßstab des Art. 5 Abs. 1 lit. e) DSGVO messen lassen, der aber gerade in Hinblick auf Fristlänge und Anknüpfungsmoment einen Spielraum eröffnet. Das VG geht aber davon aus, dass innerhalb des vorhandenen Spielraums eine gewisse Bandbreite an mit der DSGVO in Einklang stehenden Prüf- und Löschfristen zulässig ist.

Auskunftsverlangen nach Safe Harbor: Muss über den Ort der Datenverarbeitung informiert werden?

Nach der Safe Harbor-Entscheidung des EuGH (hierzu mein Blogbeitrag), dürften sich Auskunftsersuchen von Betroffenen häufen, die ihr Recht aus § 34 BDSG geltend machen. Zumindest bei mir lag einen Tag nach dem Urteil bereits die erste Anfrage hierzu auf dem Tisch. Häufig wird in diesem Zusammenhang (und vor dem Hintergrund der Entscheidung des EuGH durchaus verständlicherweise) auch danach gefragt, wo (örtlich) die personenbezogenen Daten des Betroffenen verarbeitet werden. So sieht etwa auch der Musterbrief der Verbraucherzentrale NRW (PDF) eine solche Frage vor. Doch muss eine verantwortliche Stelle hierüber tatsächlich Auskunft geben?

Europäische Vorgaben

Nach Art. 8 Abs. 2 S. 2 der Charta der Europäischen Union hat jede Person das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten. Die Grundrechte der EU binden zwar nicht direkt private Unternehmen. Dennoch soll diese Vorgabe als Ausgangspunkt der Betrachtung dienen.

Nach Art. 12 der europäischen Datenschutz-Richtlinie (DS-RL) garantieren die Mitgliedstaaten jeder betroffenen Person das Recht, vom für die Verarbeitung Verantwortlichen folgendes zu erhalten:

  • zumindest Informationen über die Zweckbestimmungen dieser Verarbeitungen, die Kategorien der Daten, die Gegenstand der Verarbeitung sind, und die Empfänger oder Kategorien der Empfänger, an die die Daten übermittelt werden;
  • eine Mitteilung in verständlicher Form über die Daten, die Gegenstand der Verarbeitung sind, sowie die verfügbaren Informationen über die Herkunft der Daten;

Der Ort der Datenverarbeitung wird hier nicht genannt. Jedoch stellen diese Vorgaben auch nur Mindestanforderungen an die nationalen Datenschutzgesetze dar („zumindest“). Die Mitgliedstaaten können also in ihren nationalen Rechtsordnungen weitere Informationen vorsehen.

§ 34 BDSG

Nach § 34 Abs. 1 BDSG hat die verantwortliche Stelle dem Betroffenen auf Verlangen Auskunft zu erteilen über

  • die zu seiner Person gespeicherten Daten, auch soweit sie sich auf die Herkunft dieser Daten beziehen,
  • den Empfänger oder die Kategorien von Empfängern, an die Daten weitergegeben werden, und
  • den Zweck der Speicherung.

Auch in den deutschen Vorgaben des Auskunftsanspruchs wird der Ort der Datenverarbeitung also nicht als verpflichtende Information genannt. Ausreichend ist zudem die Auskunft über die “Kategorien” von Empfängern der Daten. Die Datenempfänger (z.B. dritte Unternehmen) müssen also nicht notwendigerweise genau benannt werden.

Kommentarliteratur

Die datenschutzrechtliche Kommentarliteratur ist zu dieser Frage gespalten. Schmidt-Wudy (Beck’scher Online-Kommentar Datenschutzrecht, § 34 BDSG, Rn. 47) verweist nur darauf, dass eine Auffassung existiert, die auch den Standort der Datenverarbeitung vom Auskunftsanspruch umfasst ansieht. Dix (Simitis, § 34 BDSG, Rn. 23) vertritt die Ansicht, dass Ort der Datenverarbeitung gerade im Fall des Cloud Computing besonders bedeutsam ist und aus diesem Grund vom Auskunftsanspruch umfasst sein muss. Dix verweist zur Begründung seiner Ansicht zudem darauf, dass der Ort der Datenverarbeitung entscheidend für die Frage des anwendbaren Datenschutzrechts sei und der Betroffene daher hierzu Informationen erhalten muss.

Dass es für die Frage des anwendbaren Datenschutzrechts jedoch gerade nicht auf den Ort der technischen Datenverarbeitung ankommt (wo also die Server/Computer stehen), hat bereits im Jahre 2002 die Art. 29 Datenschutzgruppe festgestellt (Stellungnahme WP 56, S. 9,  pdf). Auch der EuGH hat in der kürzlich ergangenen (und leider bisher kaum öffentlich wahrgenommenen) Entscheidung „Weltimmo“ der Tatsache, in welchem Land die Server eines Unternehmens stehen, um eine Website zu betreiben über die personenbezogene Daten verarbeitet werden, ausdrücklich keine Bedeutung für die zu beurteilende Frage des anwendbaren Datenschutzrechts beigemessen (vgl. EuGH, Rechtssache C-230/14, Rz. 18; mein Blogbeitrag hierzu). Aus diesem Grund halte ich es daher nicht für erforderlich bzw. gesetzlich geboten, den Ort der Datenverarbeitung in den Auskunftsanspruch aufzunehmen.

Neben dem Wortlaut der deutschen und europäischen Vorschriften spricht meines Erachtens auch der hinter dem Auskunftsanspruch liegende Zweck gegen eine Pflicht, den Ort der Datenverarbeitung im Rahmen des Auskunftsanspruchs nennen zu müssen. Der BGH hat bereits 1983 entschieden, dass der Auskunftsanspruch das notwendige Korrelat zu den Ansprüchen auf Berichtigung, Sperrung und Löschung darstellt (Urteil vom 15.12.1983 – III ZR 187/82). So sieht dies auch der EuGH. Seiner Auffassung nach dient der Auskunftsanspruch vor allem dem Zweck, es der betroffenen Person zu ermöglich, von über ihre Person gespeicherten Daten Kenntnis zu erlangen und zu prüfen, ob sie richtig sind und der gesetzlichen Vorgaben gemäß verarbeitet werden, so dass diese Person gegebenenfalls die ihr zustehenden Rechte auf Berichtigung und Löschung ausüben kann (vgl. EuGH, Rechtssachen C‑141/12 und C‑372/12, Rz. 57). Um jedoch den Berichtigungs- oder Löschungsanspruch ausüben zu können, muss eine Person nicht wissen, wo die Daten physisch liegen (im Übrigen weiß dies in der heutigen Zeit oft nicht einmal die verantwortliche Stelle selbst, da Daten oft dupliziert auf verschiedenen Servern in mehreren Ländern abgespeichert werden). Völlig ausreichend ist, dass sie Kenntnis davon hat, welche Daten vorhanden sind und wozu sie genutzt werden. Ob die Daten nun in Deutschland, England oder Amerika gespeichert sind ändert nichts daran, dass bei einer datenschutzrechtswidrigen Verarbeitung diese Daten zu löschen oder zu berichtigen sind.

Informationspflichten nach TMG

Wenn im Rahmen des Auskunftsanspruchs zwar nicht über den Ort der Datenverarbeitung zu informieren ist, so besteht für eine verantwortliche Stelle im Anwendungsbereich des TMG jedoch nach § 13 Abs. 1 TMG die Pflicht,

den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG Nr. L 281 S. 31) in allgemein verständlicher Form zu unterrichten.

Hier muss der Diensteanbieter (etwa im Internet oder in einer App) zumindest allgemein darüber informieren, dass personenbezogene Daten in sog. Drittstaaten verarbeitet werden. Nicht aufklären muss die verantwortliche Stelle über den konkreten Ort in einem Drittstaat. Ebenso wenig muss darüber informiert werden, ob personenbezogene Daten in anderen Ländern innerhalb des EWR verarbeitet werden. Zumindest im Anwendungsbereich es TMG besteht also eine Art eingeschränkter Informationspflicht über den Ort der Datenverarbeitung.

Neues Urteil: Wie dürfen Auskunfteien über gesperrte Daten informieren?

Der Hessische Verwaltungsgerichtshof hat mit Beschluss vom 02.01.2014 (Az.: 10 B 1397/13) entschieden, dass ein Kreditschutzunternehmen Dritten gegenüber keine Auskunft über die Sperrung von Daten geben darf. Die Auskunft darf auch nicht so ausgestaltet sein, dass sie von dem Anfragenden als versteckte Mitteilung einer Datensperrung verstanden werden kann.

Sachverhalt
Die Situation ist eine alltägliche. Im Zuge des Abschlusses eines gewerblichen Leasingvertrages für ein Auto möchte sich der Leasinggeber der Kreditwürdigkeit des Leasingnehmers versichern. Dazu fragt er bei Kreditschutzunternehmen an, ob Daten zu den Betroffenen vorlägen. Sind Einträge vorhanden, geht dies meist zu Lasten des Leasingnehmers. Im hier entschiedenen Fall wurde das Kreditschutzunternehmen, nach Beschwerden von Betroffenen, die neue Leasingverträge abschließen wollten, von der hessischen Datenschutzaufsichtsbehörde dazu verpflichtet bei teilweiser oder vollständiger Sperrung von Daten Betroffener, Dritten keine Auskünfte zu den Betroffenen zu erteilen, die einen Hinweis auf die Speicherung von Daten enthielten. Formulierungen, wie etwa „über gespeicherte Datenarten wird derzeit/generell keine Auskunft erteilt“, „… ist nicht möglich …“, „… ist nicht gestattet …“ seien unzulässig, da sie für anfragende Unternehmen dennoch den Schluss zuließen, dass Daten vorhanden seien und damit negative Folgen haben könnten.

Entscheidung
Wie auch schon das VG Darmstadt (Az.: 5 L 304/13.DA), so sieht der VGH den Bescheid der Datenschutzbehörde als rechtmäßig an. Die von dem Kreditschutzunternehmen bisher verwendete Formulierung, wonach “eine Auskunftserteilung zurzeit nicht möglich ist”, sei nämlich nicht mit den Vorgaben des § 35 Abs. 4a BDSG vereinbar. Danach darf die Tatsache der Sperrung von personenbezogenen Daten nicht übermittelt werden.

Nun kann man sich freilich auf den Standpunkt stellen, dass das Unternehmen ja die Tatsche der Sperrung gerade nicht mitteilt. Doch der VGH geht davon aus, dass der Gesetzgeber mit der Bestimmung in § 35 Abs. 4a BDSG offensichtlich sicherstellen wollte, „dass in der Außenwirkung für den Betroffenen, auf den sich die personenbezogenen Daten beziehen, die Sperrung dieselbe Wirkung entfaltet wie eine Löschung“. Die Auskunftserteilung im Fall der Sperrung muss also einer solchen wie im Fall der Löschung von Daten gleichen. Nur dann könne die mit der Sperrung, als gegenüber der Löschung geringerem Mittel, vom Gesetzgeber beabsichtigte gleiche Wirkung erreicht werden.

Für diese Auffassung scheint in der Tat der gesetzgeberische Wille zu sprechen. § 35 Abs. 4a BDSG beruht auf einem Entwurf zur Änderung des BDSG aus dem Jahre 2008 (BT-Drs. 16/10529). Dort heißt es (S. 19):

Die Vorschrift darf auch nicht dadurch umgangen werden, dass eine Formulierung gewählt wird, aus der auf die Tatsache der Sperre bzw. das Vorliegen einer Unregelmäßigkeit geschlossen werden kann.

Nun ist es freilich eine Auslegungsfrage, wer als Empfänger einer Auskunft etwas aus dem Wortlaut einer solchen schließen kann. Es wird jedoch davon ausgegangen, dass allein durch die Kenntnis, dass bestimmte Daten gesperrt wurden, negative Rückschlüsse auf den Betroffenen gezogen werden könnten. Formulierungen wie „zurzeit“ oder „derzeit“ sieht der VGH daher nicht als neutral genug an, um einem solchen Rückschluss vorbeugen zu können. Wie eine solche „Nichtmitteilung“ vorzunehmen ist, lässt das Gesetz jedoch offen. Der VGH erkennt an,

dass es im Einzelfall schwierig sein kann, diese dargelegten Voraussetzungen zu erfüllen. Dies kann jedoch nicht dazu führen, dass ein Betroffener, dessen personenbezogene Daten nicht gelöscht, sondern lediglich gesperrt sind, auskunftsbegehrenden Stellen gegenüber schlechter gestellt wird.

Was tun?
Die Datenschutzbehörde ordnete folgende Vorgehensweise an:

  • Bei teilweise gesperrten Daten: Dritten zu diesen Daten keine Auskunft oder ausschließlich die Auskunft, dass zu den betroffenen Datenarten keine Daten gespeichert seien, zu geben
  • Bei vollständiger Sperrung von Daten: Dritten zu dem Betroffenen keine Auskunft oder die Auskunft, dass keine Daten zu dem Betroffenen gespeichert seien, zu geben

Sowohl VG als auch VGH sahen diese Vorgaben als recht- und insbesondere auch verhältnismäßig an. Zur Not bleibe laut dem VGH eben nur eine Alternative: die Antwort zu verweigern.