VG Karlsruhe, Urteil vom 06.07.2017, Az. 10 K 7698/16
§ 28a Abs. 1 BDSG
Das VG Karlsruhe hat entschieden, dass der 2018 in Kraft tretenden EU-Datenschutzgrundverordnung (DSGVO) keine Ermächtigung für ein Tätigwerden der Aufsichtsbehörde bereits vor Geltung der DSGVO zu entnehmen ist, auch wenn dies frühzeitig sicherstellen soll, dass die künftig anwendbaren Vorschriften unter Berücksichtigung der Rechtsauffassung der Aufsichtsbehörde durch die Verantwortlichen eingehalten werden. Dies lasse sich weder der DSGVO im Wege einer Vorwirkung, noch den aktuell geltenden Bestimmungen des Bundesdatenschutzgesetzes entnehmen. Zum Volltext der Entscheidung:
Haben Sie eine Verfügung Ihres Landesdatenschutzbeauftragten erhalten?
Benötigen Sie datenschutzrechtliche Hilfe? Rufen Sie uns gleich an: 04321 / 390 550 oder 040 / 35716-904. Schicken Sie uns Ihre Unterlagen gern per E-Mail (info@damm-legal.de) oder per Fax (Kontakt). Die Prüfung der Unterlagen und unsere Ersteinschätzung ist für Sie kostenlos. Sprechen Sie mit unserem Fachanwalt für IT-Recht, der mit dem Datenschutzrecht bestens vertraut ist und Ihnen gerne weiterhilft.
Verwaltungsgericht Karlsruhe
Urteil
In der Verwaltungsrechtssache
…
gegen
Land Baden-Württemberg, vertreten durch den Landesbeauftragten für den Datenschutz, …
wegen datenschutzrechtlicher Verfügung
hat das Verwaltungsgericht Karlsruhe – 10. Kammer – … vom 06.07.2017 für Recht erkannt:
Die Verfügung des Landesbeauftragten für den Datenschutz Baden-Württemberg vom 25.11.2016 wird aufgehoben.
Das beklagte Land trägt die Kosten des Verfahrens.
Tatbestand
Die Beteiligten streiten über die Rechtmäßigkeit einer datenschutzrechtlichen Verfügung des Beklagten.
Die Klägerin ist eine Auskunftei, deren Unternehmensgegenstand es ist, bonitätsrelevante Angaben, die die Zahlungsfähigkeit und damit die Kreditwürdigkeit einer Person infrage stellen – sogenannte Bonitätsnegativmerkmale –, zu sammeln und in dafür vorgesehenen Datenbeständen zum Zweck der Beauftragung durch Dritte zu speichern, um letztere vor finanziell riskanten Entscheidungen und Geschäften mit kreditunwürdigen Personen zu warnen. Als solche speichert und beauskunftet sie unter anderem nach § 28a Abs. 1 Bundesdatenschutzgesetz (BDSG) übermittelte personenbezogene Daten über Forderungen. Fristen für eine Überprüfung der weiteren Speichererforderlichkeit bzw. eine Löschung der Daten sieht § 35 Abs. 2 S. 2 Nr. 4 BDSG vor. Demnach sind personenbezogene Daten zu löschen, wenn sie geschäftsmäßig zum Zweck der Übermittlung verarbeitet werden und eine Prüfung jeweils am Ende des vierten, soweit es sich um Daten über erledigte Sachverhalte handelt und der Betroffene nicht widerspricht am Ende des dritten Kalenderjahres beginnend mit dem Kalenderjahr, das der erstmaligen Speicherung folgt, ergibt, dass eine längerwährende Speicherung nicht erforderlich ist.
Die derzeitige Rechtslage wird sich mit Anwendbarkeit der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (EU-Datenschutzgrundverordnung – EU-DSGVO) ab 25.05.2018 ändern. Auch das Bundesdatenschutzgesetz wird mit dem Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 vom 30.06.2017 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU) neu gefasst. Konkrete Prüf- und Löschfristen für bei Auskunfteien gespeicherte, forderungsbezogene Daten bestimmen weder die EU-Datenschutzgrundverordnung noch das neu gefasste Bundesdatenschutzgesetz.
Mit Verfügung des Landesbeauftragten für den Datenschutz Baden-Württemberg vom 19.10.2016 betreffend die Anpassung der Datenschutzlöschkonzeption an die EU-Datenschutzgrundverordnung wurde der Klägerin mitgeteilt, dass für die Speicherung von Forderungen im Sinne von § 28a Abs. 1 BDSG mit Anwendbarkeit der EU-Datenschutzgrundverordnung gelte, dass Forderungen und mit diesen im Zusammenhang stehende Informationen über den Betroffenen, die der Klägerin vor dem 25.05.2018 bekannt würden, spätestens mit Ablauf von drei Jahren, beginnend mit dem Kalenderjahr, das der Einmeldung folge, zu löschen seien, es sei denn, dass der Betroffene zu diesem Zeitpunkt zahlungsunwillig bzw. zahlungsunfähig sei. Forderungen und mit diesen im Zusammenhang stehende Informationen über den Betroffenen, die der Klägerin nach dem 24.05.2018 bekannt würden, seien spätestens nach Ablauf von drei Jahren, beginnend mit dem Kalenderjahr, das der Fälligkeit der Forderung folge, zu löschen, es sei denn, dass der Betroffene zu diesem Zeitpunkt zahlungsunwillig bzw. zahlungsunfähig sei. Die Klägerin wurde aufgefordert, mitzuteilen, ob sie bereit sei, ihre Datenlöschkonzeption diesen Vorgaben anzupassen bzw. ihre Datenbestände entsprechend zu bereinigen. Andernfalls sei der Erlass einer datenschutzrechtlichen Anordnung beabsichtigt, zu der die Klägerin sich äußern könne.
Die Klägerin teilte hierauf mit Schreiben vom 20.11.2016 unter anderem mit, dass sie ihre Datenschutzlöschkonzeption zum 25.05.2018 der EU-Datenschutzgrundverordnung anpassen werde. Derzeit werde in Absprache mit der Arbeitsgruppe Auskunfteien des Düsseldorfer Kreises, einem informellen Gremium der Datenschutzaufsichtsbehörden des Bundes und der Länder, und dem Verband der Wirtschaftsauskunfteien, dem sie angehöre, an der Abstimmung eines sogenannten „Code of Conduct“ gearbeitet, welcher auch zu den Speicher- und Löschfristen einen Vorschlag enthalten solle.
Am 25.11.2016 erließ der Landesbeauftragte für den Datenschutz Baden-Württemberg gegenüber der Klägerin die streitgegenständliche datenschutzrechtliche Verfügung, wonach Forderungen im Sinne von § 28a BDSG und die mit diesen in Zusammenhang stehenden Informationen über Personen, die die Klägerin in ihren Datenbeständen, aus denen Bonitätsauskünfte erteilt würden, nach dem 24.05.2018 speichere, spätestens nach Ablauf von drei Jahren, beginnend mit dem Zeitpunkt der Fälligkeit der Forderung, zu löschen seien, es sei denn, dass der Betroffene zu diesem Zeitpunkt zahlungsunfähig oder zahlungsunwillig sei. Zur Begründung wurde im Wesentlichen wie folgt ausgeführt: Nach § 38 Abs. 5 S. 1 BDSG könne die Aufsichtsbehörde die erforderlichen Maßnahmen zur Gewährleistung der Einhaltung datenschutzrechtlicher Vorschriften bei der Erhebung, Verbreitung und Nutzung personenbezogener Daten ergreifen. Zwar würden keine gegenwärtigen Datenschutzverstöße der Klägerin unterbunden, jedoch sollten Missstände verhindert werden, die nach dem 24.05.2018 zu erwarten seien. Die Annahme eines Verstoßes gegen materielles Datenschutzrecht sei einer Entscheidung des Oberverwaltungsgerichts Schleswig-Holstein zufolge nicht erst dann gerechtfertigt, wenn die betreffende Datenverarbeitung bereits ins Werk gesetzt oder nicht bzw. nicht mehr zulässig sei. Vielmehr sei ein Tätigwerden der Aufsichtsbehörde auch dann möglich, wenn besondere Umstände vorlägen, die zukünftige Datenschutzverstöße erwarten ließen. Da die Klägerin in ihrem Schreiben vom 20.11.2016 nicht verbindlich zugesichert habe, ihre Datenspeicherungspraxis ab dem 24.05.2018 entsprechend des Tenors der Verfügung tatsächlich zu ändern, seien künftige Datenschutzverstöße nicht auszuschließen. Es sei ungewiss, ob die Klägerin den Zeitraum bis zur Geltung der Verordnung nutzen werde, um die Verarbeitung personenbezogener Daten an die neuen Vorgaben anzupassen. Die nach dem 24.05.2018 voraussichtlich geltende, dem § 28a Abs. 1 BDSG vergleichbare Regelung lasse es grundsätzlich zu, dass Auskunfteien entsprechende Bonitätsnegativmerkmale auch nach diesem Zeitpunkt für eine angemessene Dauer speichern dürften. Allerdings könne nach dem Wegfall des § 35 Abs. 2 S. 2 Nr. 4 BDSG dem Gesetz nicht mehr entnommen werden, wie lange diese bemessen sei. Die vorgeschlagene Dreijahresfrist orientiere sich an der gesetzlichen Regelung des § 882e ZPO. Denn offenbar gehe der deutsche Gesetzgeber davon aus, dass selbst im Falle völliger Zahlungsunfähigkeit eine Warnung Dritter nach Ablauf dieses Zeitraums nicht mehr geboten erscheine. Mit dem Gesetz zur Änderung des Bundesdatenschutzgesetzes im Jahre 2009 sei die gesetzliche Prüffrist in § 35 BDSG für erledigte Sachverhalte von vier auf drei Jahre verkürzt worden mit der Begründung, dass drei Jahre ausreichend seien, um das künftige Verhalten eines Betroffenen, der in der Vergangenheit kreditunwürdig gewesen sei, einschätzen zu können. Für eine regelmäßig längere Speicherfrist bestehe keine Notwendigkeit, zumal es keine gesicherten Erkenntnisse gebe, dass Schuldner, die eine Rechnung nicht rechtzeitig bezahlt hätten, erst nach Ablauf eines längeren Bewährungszeitraumes als drei Jahre wieder uneingeschränkt kreditwürdig seien. Da künftig auch die Regelung zum Fristbeginn nach § 35 Abs. 2 S. 2 Nr. 4 BDSG entfalle, komme für den Beginn der Berechnung der Dreijahresfrist nicht mehr das auf die erstmalige Speicherung folgende Kalenderjahr, sondern nur noch der Zeitpunkt der Fälligkeit der Forderung in Betracht. Die Zeitpunkte „Erfüllung der Einmeldevoraussetzungen nach § 28a Abs. 1 S. 1 Nr. 4 BDSG“ bzw. „Kenntnisnahme der Auskunftei von dem Bonitätsnegativmerkmal“ schieden dafür aus, da diese davon abhängig seien, wann die bei der Auskunftei einmeldende Stelle die Speichervoraussetzungen herbeiführe bzw. die Datenübermittlung vornehme. Mache sie dies verzögert, könne sich die Speicherungsdauer willkürlich verlängern. Eine Verlängerung der Speicherung sei für eine angemessene Dauer nach Ablauf der Dreijahresfrist möglich, wenn der Betroffene zu diesem Zeitpunkt generell zahlungsunwillig bzw. zahlungsunfähig sei. Die Auskunftei müsse jeweils im Einzelfall ihre weitere Speicherungsberechtigung prüfen. Im Rahmen des nach § 38 Abs. 5 BDSG auszuübenden Ermessens sei in die Abwägung eingeflossen, dass ab dem Geltungszeitpunkt der EU-Datenschutzgrundverordnung bei der Bestimmung der generellen Speicherdauer zwischen den schutzwürdigen Interessen der Klägerin und deren Kunden einerseits und – anders als bislang – auch denen der von der Speicherung betroffenen Personen andererseits abzuwägen sei. Es liege im Interesse der Auskunfteien, wenn die Aufsichtsbehörden rechtzeitig verbindliche Vorgaben machten, die bei der Umsetzung der Verordnung zu beachten seien. Unter Berücksichtigung des Umstandes, dass es einer Wirtschaftsauskunftei nicht zumutbar sei, Einmeldungen im Sinne von § 28a Abs. 1 BDSG zum Zeitpunkt der Speicherung stets auf ihre Richtigkeit hin zu prüfen, akzeptiere die Aufsichtsbehörde eine generelle Speicherfrist für derartige Angaben von zunächst drei Jahren. Die Betroffenen seien trotz der Dreijahresfrist und der Übergangsregelung keineswegs schutzlos gestellt. Sie könnten jederzeit das ihnen nach Art. 17 Abs. 1 EU-DSGVO zustehende Recht auf Vergessenwerden geltend machen. Auch treffe die Auskunftei die Verpflichtung, falls sie beabsichtige, die Speicherung zu verlängern, genau zu prüfen, ob die Voraussetzungen dafür vorlägen. Im Zweifelsfall müsse der Datensatz gelöscht werden. Obschon die Klägerin angekündigt habe, ihre Datenlöschkonzeption zum 25.05.2018 der EU-Datenschutzgrundverordnung anpassen zu wollen, bestehe die Notwendigkeit für den Erlass der Anordnung. Bei der Ankündigung handele es sich lediglich um eine Absichtserklärung, nicht hingegen um eine konkrete, vollstreckbare Zusicherung. Wie die Anpassung aussehen solle, sei ebenfalls unklar. Soweit sie sich an einer Verhaltensregel im Sinne von § 38a Abs. 1 BDSG des Verbandes der Auskunfteien orientieren wolle, sei völlig ungewiss, ob und mit welchem Inhalt eine solche zustande komme.
Die Klägerin hat gegen die ihr am 26.11.2016 zugestellte Verfügung am 22.12.2016 Klage erhoben. Zur Begründung macht sie im Wesentlichen Folgendes geltend: Die streitgegenständliche, in die Zukunft gerichtete Verfügung stelle einen vorsorglichen Verwaltungsakt dar, für den keine Ermächtigungsgrundlage bestehe. Die herangezogene Vorschrift des § 38 Abs. 5 S. 1 BDSG enthalte eine Anordnungs- und Untersagungsbefugnis hinsichtlich festgestellter materieller Datenschutzverstöße oder festgestellter technischer oder organisatorischer Mängel. Dies liege unstreitig nicht vor. Eine Anordnung wegen eines hypothetisch denkbaren Verstoßes gegen zukünftig geltendes Datenschutzrecht könne auf der genannten Ermächtigungsgrundlage nicht getroffen werden. Die in der Verfügung erwähnte Entscheidung des Oberverwaltungsgerichts Schleswig-Holstein, der ein zwar künftiger, jedoch konkret bevorstehender Verstoß gegen geltendes Recht bezüglich besonders sensibler, strafrechtlich geschützter Daten zugrunde gelegen habe, könne vorliegend nicht herangezogen werden. Weder liege ein Verstoß gegen geltendes Recht vor, noch liege der künftigen Speicherungs- und Löschpraxis der Klägerin ein finales Regelwerk zugrunde. Dieses solle vielmehr in Übereinstimmung mit der Arbeitsgruppe Auskunfteien des Düsseldorfer Kreises gerade erst einvernehmlich erstellt werden. Der Verband der Wirtschaftsauskunfteien beabsichtige einen Genehmigungsantrag für Verhaltensregeln zu Mindestspeicherfristen säumiger Schuldner nach Art. 40 EU-DSGVO zu stellen. Zuständig für diese Genehmigung sei allein die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, da der Verband seinen Sitz in Neuss habe. Dass seitens des Verbandes der Wirtschaftsauskunfteien der Dialog mit allen Datenschutzbeauftragten der Länder gesucht worden sei, sei nicht verpflichtend, sondern vielmehr lediglich dem Bemühen geschuldet, einen größtmöglichen Konsens zu erreichen. Insgesamt gebe es keine Anhaltspunkte dafür, dass die Klägerin ihr Datenlöschkonzept nicht an das künftig geltende europäische Datenschutzrecht anpassen werde. Eine rechtliche Grundlage dafür, eine verbindliche Zusicherung zu verlangen, dass die Datenlöschkonzeption 2018 entsprechend des Tenors der angegriffenen Verfügung angepasst werde, bestehe nicht. Auch für die vorgegebene Prüf- und Löschfristkonzeption fehle es an einer rechtlichen Grundlage.
Die Klägerin beantragt, die Verfügung des Beklagten vom 25.11.2016 aufzuheben.
Der Beklagte beantragt, die Klage abzuweisen.
Zur Begründung führt er im Wesentlichen aus, dass für eine Speicherung säumiger Schuldner durch Auskunfteien zukünftig nach Art. 6 Abs. 1 Buchst. f EU-DSGVO eine Interessenabwägung vorzunehmen sei, wobei ein berechtigtes Speicherinteresse nur vorliege, wenn die Schuldner generell zahlungsunfähig oder zahlungsunwillig seien. Nach Erwägungsgrund 39 S. 10 der EU-DSGVO habe jede datenverarbeitende Stelle die Pflicht, Fristen für die Löschung und die regelmäßige Überprüfung der von ihr gespeicherten Daten vorzusehen, um sicherzustellen, dass diese nicht länger als nötig gespeichert würden (Datenlöschkonzeption). Rechtsgrundlage für die behördliche Anordnung sei § 38 Abs. 5 S. 1 BDSG i.V.m. Erwägungsgrund 39 der EU-DSGVO, welche seit 24.05.2016 in Kraft sei. Die für eine Datenverarbeitung verantwortlichen Stellen seien bereits jetzt verpflichtet, dafür Sorge zu tragen, dass ihre Datenverarbeitungssysteme spätestens zum 25.05.2018 der EU-Datenschutzgrundverordnung entsprächen. Um dies sicherzustellen, könnten die Datenschutzaufsichtsbehörden bereits jetzt – soweit wie vorliegend erforderlich – Verfügungen erlassen. Nach dem 24.05.2018 könne die Verfügung auf Art. 58 Abs. 2 Buchst. d EU-DSGVO gestützt werden. Schließlich lasse sich auch nicht absehen, dass eine Selbstverpflichtung der Wirtschaftsauskunfteien eine Datenlöschkonzeption enthalte, die eine Prüfung der Speicherungen drei Jahre nach Fälligkeit der nicht oder verspätet beglichenen Forderungen sicherstelle. Für den Erlass der streitgegenständlichen Verfügung entfalle jedenfalls nicht das Sachbescheidungsinteresse, da eine Selbstverpflichtung weder vollstreckbar sei, noch die Gerichte binde.
Die Anordnung des Beklagten sei so zu verstehen, dass sie sich auf alle Angaben im Sinne von § 28a Abs. 1 BDSG beziehe, unabhängig davon, ob diese Regelung künftig noch gelten werde. Umfasst davon seien alle nicht rechtzeitig beglichenen Forderungen, gleichgültig, ob nur ein Inkassoverfahren eingeleitet worden sei oder ob der Betroffene die Zahlungsverpflichtung ausdrücklich anerkannt habe. Die Anordnung solle sich hingegen nicht auf Insolvenzfälle ziehen.
Dem Gericht lagen die Akten des Beklagten vor.
Wegen der weiteren Einzelheiten des Sachverhalts und des Vorbringens der Beteiligten wird auf den Inhalt dieser Akten sowie auf den Inhalt der zwischen den Beteiligten gewechselten Schriftsätze Bezug genommen.
Entscheidungsgründe
Die Klage ist zulässig.
Sie ist als Anfechtungsklage gemäß § 42 Abs. 1 Alt. 1 VwGO statthaft, denn die auf § 38 Abs. 5 S. 1 BDSG gestützte Verfügung ist in der Form eines Verwaltungsaktes ergangen. Eines Vorverfahrens bedurfte es vorliegend nicht, da der Landesbeauftragte für Datenschutz den Verwaltungsakt erlassen hat (§ 68 Abs. 1 S. 2 VwGO i.V.m. § 15 Abs. 1 S. 1 AGVwGO). Die Klage ist auch im Übrigen zulässig, insbesondere wurde sie fristgerecht erhoben.
Die Klage ist auch begründet. Die angefochtene Verfügung des Landesbeauftragten für den Datenschutz Baden-Württemberg vom 25.11.2016 ist rechtswidrig und verletzt die Klägerin in ihren Rechten (§ 113 Abs. 1 S. 1 VwGO). Für die erlassene Verfügung fehlt es bereits an einer Ermächtigungsgrundlage (dazu unter 1.). Ferner genügt die getroffene Regelung nicht den Anforderungen an die Bestimmtheit eines Verwaltungsaktes (dazu unter 2.) und hätte darüber hinaus auch nicht zulässigerweise in der Form eines solchen getroffen werden können (dazu unter 3.).
1.
Für die datenschutzrechtliche Verfügung des Beklagten liegt keine Ermächtigungsgrundlage vor.
a)
Die tatbestandlichen Voraussetzungen des als Ermächtigungsgrundlage herangezogenen § 38 Abs. 5 S. 1 BDSG liegen nicht vor. Hiernach kann die Aufsichtsbehörde zur Gewährleistung der Einhaltung des Bundesdatenschutzgesetzes und anderer Vorschriften über den Datenschutz Maßnahmen zur Beseitigung festgestellter Verstöße bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten oder technischer oder organisatorischer Mängel anordnen. Die Ausübung der Befugnisse nach § 38 Abs. 5 S. 1 BDSG kommt in Betracht, wenn bei kontrollierten Stellen keine Bereitschaft zur Behebung der von der Aufsichtsbehörde gerügten Mängel oder Rechtsverletzungen festzustellen ist (Petri in Simitis, BDSG, 8. Aufl. 2014, § 38 Rn. 72). Eine aufsichtsbehördliche Maßnahme ist nicht erst dann zulässig, wenn die betreffende Datenverarbeitung ins Werk gesetzt ist. Insbesondere bei besonders sensiblen und sogar strafrechtlich geschützten Daten kann die Aufsichtsbehörde Anordnungen bereits treffen, wenn die unzulässige Datenverarbeitung durch ein Vertragswerk schon deutlich vorgezeichnet ist und dieses Vertragswerk in Kraft getreten ist (vgl. OVG Schleswig-Holstein, Beschluss vom 12.01.2011 – 4 MB 56/10 -, juris).
Diese Voraussetzungen sind vorliegend nicht erfüllt. Festgestellte Datenschutzverstöße durch die Klägerin, welche seitens der Aufsichtsbehörde gerügt worden wären, liegen der angefochtenen Verfügung unstreitig nicht zugrunde. Gleiches gilt für technische oder organisatorische Mängel. Ausweislich der Verfügungsbegründung sollen keine gegenwärtigen Datenschutzverstöße der Klägerin unterbunden, sondern vielmehr Missstände verhindert werden, die nach dem 24.05.2018 zu erwarten seien. Soweit der Landesbeauftragte für den Datenschutz Baden-Württemberg insoweit die aus der Rechtsprechung des Oberverwaltungsgerichts Schleswig-Holstein abgeleiteten Grundsätze für anwendbar hält, wonach bei Vorliegen besonderer Umstände auch künftig zu erwartende Datenschutzverstöße bereits ein Tätigwerden der Aufsichtsbehörde zuließen, vermag die erkennenden Kammer dem nicht zu folgen. Denn anders als in der der herangezogenen Entscheidung zugrundliegenden Konstellation ist das künftige Verhalten der Klägerin nicht durch ein bereits in Kraft getretenes Vertragswerk oder eine vergleichbare tragfähige Grundlage deutlich vorgezeichnet. Es ist vielmehr noch völlig ungewiss, wie die Prüf- und Löschpraxis der Klägerin bezüglich forderungsbezogener Daten künftig unter Geltung der EU-Datenschutzgrundverordnung aussehen wird und ob diese rechtswidrig sein wird, zumal auch der genaue rechtliche Rahmen hierfür noch unklar ist.
Die derzeit geltende Regelung des § 35 Abs. 2 S. 2 Nr. 4 BDSG, wonach personenbezogene Daten zu löschen sind, wenn sie geschäftsmäßig zum Zweck der Übermittlung verarbeitet werden und eine Prüfung jeweils am Ende des vierten, soweit es sich um Daten über erledigte Sachverhalte handelt und der Betroffene der Löschung nicht widerspricht am Ende des dritten Kalenderjahres beginnend mit dem Kalenderjahr, das der erstmaligen Speicherung folgt, ergibt, dass eine längerwährende Speicherung nicht erforderlich ist, wird mit Neufassung des Bundesdatenschutzgesetz durch das Datenschutz-Anpassungs- und Umsetzungsgesetz EU vom 30.06.2017 (BGBl. I, S. 2097 ff.) nicht fortbestehen. Die Datenschutzgrundverordnung enthält über den Erforderlichkeitsgrundsatz (vgl. Art. 5 Abs. 1 Buchst. e EU-DSGVO) hinaus keine konkreten Vorgaben zu den Prüf- und Löschfristen. Ihr ist lediglich – unter anderem in Erwägungsgrund 39 – zu entnehmen, dass der Verantwortliche die Dauer seiner Datenverarbeitung unabhängig von einem entsprechenden Verlangen des Betroffenen nach Art. 17 EU-DSGVO („Recht auf Vergessenwerden“) regelmäßig zu überprüfen hat. Hierbei kann auf typisierte Regelprüffristen für wiederkehrende Vorgänge zurückgegriffen werden, da es gerade Unternehmen, die in großem Umfang Daten verarbeiten – wie etwa Auskunfteien – nicht zuzumuten ist, jeden Einzelfall gesondert zu bewerten (vgl. Plath in: Plath, BDSG/DSGVO, 2. Aufl. 2016, Art. 5 EU-DSGVO Rn. 18). Eine Überprüfung kann in bestimmten Intervallen erfolgen, so wie es beispielsweise bislang nach § 35 Abs. 2 S. 2 Nr. 4 BDSG möglich und zulässig war (vgl. Kamlah in: Plath, a.a.O., Art. 17 EU-DSGVO Rn. 6).
Einen Vorschlag bezüglich der Prüf- und Löschfristen unter Geltung der EU-Datenschutzgrundverordnung enthält der vom Verband der Wirtschaftsauskunfteien, dem auch die Klägerin angehört, ausgearbeitete Entwurf von Verhaltensregeln („Code of Conduct“). Nach Art. 40 Abs. 2 EU-DSGVO können Verbände oder andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, Verhaltensregeln ausarbeiten oder ändern oder erweitern, mit denen die Anwendung der Verordnung präzisiert wird. Auf Antrag nimmt die zuständige Aufsichtsbehörde in einem zweistufigen Verfahren dazu Stellung, ob die vorgelegten Verhaltensregeln mit der Verordnung vereinbar sind und genehmigt diese, soweit sie „ausreichende geeignete Garantien“ bieten (vgl. Art. 40 Abs. 5 S. 2 EU-DSGVO). Ein entsprechender Antrag bei der hier zuständigen Aufsichtsbehörde des Landes Nordrhein-Westfalen ist – wie die Prozessbevollmächtigten der Klägerin in der mündlichen Verhandlung vom 06.07.2017 angegeben haben – formal noch nicht gestellt worden. Aktuell finde noch die Abstimmung und Konsensbildung mit den im Düsseldorfer Kreis vertretenen Aufsichtsbehörden des Bundes und der Länder für den nicht-öffentlichen Bereich statt. Ausweislich des Protokolls der letzten Sitzung des Düsseldorfer Kreises vom 07.03.2017 (abrufbar unter: https://www.ldi.nrw.de/mainmenu_Service/submenu_Entschliessungsarchiv/Inhalt/Protokolle/Inhalt/Protokolle_des_Duesseldorfer_Kreises/Inhalt/7_-Maerz-2017/DK-2017_1-Protokoll.pdf) hat der „Code of Conduct Prüf- und Löschfristen in der Fassung des Entwurfs vom 28.02.2017“ bei einer Probeabstimmung zwar eine mehrheitliche Zustimmung, jedoch nicht die nach der Geschäftsordnung des Düsseldorfer Kreises erforderliche einstimmige Zustimmung erhalten. Mehrheitlich befürworte der Düsseldorfer Kreis, dass Nordrhein-Westfalen als genehmigende Aufsichtsbehörde dem Verband der Wirtschaftsauskunfteien empfehlen solle, den Bundesverband Verbraucherzentralen bei der „weiteren Ausarbeitung des Code of Conduct“ zu beteiligen (vgl. Protokoll der Sitzung vom 07.03.2017, S. 7). Vor dem Hintergrund des nach wie vor laufenden Verfahrens steht weder fest, ob es überhaupt zu einer späteren Genehmigung von Verhaltensregeln zu den Prüf- und Löschfristen kommen wird, noch wie diese letztlich ausgestaltet sein werden. Angesichts dessen kann die weitere Frage der Wirkung und Verbindlichkeit von genehmigten Verhaltensregeln dahingestellt bleiben. Nach dem Voranstehenden fehlt es bereits an einer Grundlage, welche die getroffene Einschätzung tragen könnte, wonach die Klägerin mit ihrer – derzeit im Übrigen noch ungewissen – künftigen Prüf- und Löschpraxis gegen die – ggf. noch zu konkretisierenden – Vorgaben der EU-Datenschutzgrundverordnung verstoßen würde.
Insbesondere kann auch nicht davon ausgegangen werden, dass nur eine Handhabung entsprechend der in der angegriffenen Verfügung vorgesehenen Prüf- und Löschpraxis mit der EU-Datenschutzgrundverordnung vereinbar wäre. Denn die vom Landesbeauftragen für den Datenschutz Baden-Württemberg für angemessen erachtete Frist, wonach Forderungen im Sinne von § 28a BDSG und die mit diesen in Zusammenhang stehenden Informationen über Personen, die die Klägerin in ihren Datenbeständen, aus denen Bonitätsauskünfte erteilt würden, nach dem 24.05.2018 speichere, spätestens nach Ablauf von drei Jahren, beginnend mit dem Zeitpunkt der Fälligkeit der Forderung, zu löschen seien, es sei denn, dass der Betroffene zu diesem Zeitpunkt zahlungsunfähig oder zahlungsunwillig sei, stellt keineswegs die einzig mögliche Speicher- und Löschkonzeption dar, die mit der EU-Datenschutzgrundverordnung in Einklang steht bzw. sich aus selbiger zwingend ergibt. Die künftige Prüf- und Löschpraxis der Auskunfteien muss sich – wie bereits dargestellt wurde – am Erforderlichkeitsmaßstab des Art. 5 Abs. 1 Buchst. e EU-DSGVO messen lassen, der in Hinblick auf Fristlänge und Anknüpfungsmoment einen Spielraum eröffnet. Die erkennende Kammer muss vorliegend nicht darüber entscheiden, wo die Grenzen dieses Spielraums erreicht sind. Sie geht aber – worauf es hier alleine ankommt – jedenfalls davon aus, dass innerhalb des vorhandenen Spielraums eine gewisse Bandbreite an mit der EU-Datenschutzgrundverordnung in Einklang stehenden Prüf- und Löschfristen zulässig ist.
b)
Entgegen den Ausführungen der Beklagten ergibt sich eine Ermächtigungsgrundlage für die angegriffene Verfügung auch nicht aus § 38 Abs. 5 S. 1 BDSG i.V.m. Erwägungsgrund 39 der EU-DSGVO. Aus diesem Erwägungsgrund geht unter anderem hervor, dass der Verantwortliche Fristen für die Löschung oder regelmäßige Überprüfung personenbezogener Daten vorsehen sollte, um sicherzustellen, dass die Daten nicht länger als nötig gespeichert werden.
Zunächst kann dahingestellt bleiben, ob aus einem Erwägungsgrund einer zwar in Kraft getretenen, jedoch noch nicht anwendbaren Verordnung in Verbindung mit einer Regelung, die bei Geltung der Verordnung weggefallen sein wird, eine Rechtsgrundlage hergeleitet werden kann. Denn jedenfalls ergibt sich auch aus dem ergänzend herangezogenen Erwägungsgrund nicht, dass die Klägerin bereits vor Geltung der Verordnung verpflichtet wäre, der Verfügung entsprechende Überprüfungs- und Löschfristen zu schaffen und sie hierzu bereits vor Anwendbarkeit der Verordnung durch die Aufsichtsbehörde verpflichtet werden könnte. Eine frühzeitige Anpassung ihrer Datenschutzlöschkonzeption an die EU-Datenschutzgrundverordnung liegt unzweifelhaft im Interesse der Klägerin, da bei Verstößen gegen das europäische Datenschutzrecht erhebliche Sanktionen drohen (vgl. nur Art. 83 Abs. 5 Buchst. a EU-DSGVO zu Verstößen gegen die Grundsätze der Verarbeitung gemäß Art. 5 EU-DSGVO). Eine Ermächtigung für ein Tätigwerden der Aufsichtsbehörde bereits vor Geltung der EU-Datenschutzgrundverordnung – ngewissermaßen um frühzeitig sicherzustellen, dass die künftig anwendbaren Vorschriften unter Berücksichtigung der Rechtsauffassung der Aufsichtsbehörde durch die Verantwortlichen eingehalten werden – lässt sich jedoch weder der Verordnung im Wege einer Vorwirkung, noch den aktuell geltenden Bestimmungen des Bundesdatenschutzgesetzes entnehmen.
c)
Soweit der Beklagte auf Art. 58 Abs. 2 Buchst. d EU-DSGVO verweist, wonach jede Aufsichtsbehörde über Abhilfebefugnisse verfügt, die es ihr gestatten, den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit der Verordnung zu bringen, kann die am 25.11.2016 erlassene Verfügung bereits deshalb nicht auf diese Ermächtigungsgrundlage gestützt werden, da diese erst ab 25.05.2018 Gültigkeit beanspruchen wird (vgl. Art. 99 Abs. 2 EU-DSGVO).
2.
Die mit der angegriffenen Verfügung getroffene Regelung genügt ferner auch nicht den Anforderungen an die Bestimmtheit eines Verwaltungsaktes gemäß § 37 Abs. 1 LVwVfG (dazu unter a). Sie überträgt unzulässigerweise die Subsumtionsleistung bezüglich der getroffenen datenschutzrechtlichen Vorgaben zu den Überprüfungs- und Löschfristen von der Aufsichtsbehörde auf die Klägerin als Adressatin des Verwaltungsaktes (dazu unter b).
a)
Die streitgegenständliche Regelung ist als individuell-abstrakt zu qualifizieren. Einerseits richtet sie sich an die Klägerin, ist mithin individuell. Andererseits ist sie abstrakt, weil sie der Klägerin in einer Vielzahl von denkbaren Konstellationen eine Prüf- und Löschverpflichtung auferlegt. Eine individuell-abstrakte Regelung stellt nach einhelliger Auffassung einen Verwaltungsakt dar, da sie – anders als eine abstrakt-generelle Regelung – das Einzelfallkriterium erfüllt (vgl. Kopp/Ramsauer, VwVfG, 16. Aufl. 2015, § 35 Rn. 121). Nach § 37 Abs. 1 LVwVfG muss ein Verwaltungsakt inhaltlich hinreichend bestimmt sein. Nicht nur hinsichtlich des Adressaten, sondern auch in Bezug auf die in der Sache selbst getroffene Regelung muss der Verwaltungsakt hinreichend klar, verständlich und in sich widerspruchsfrei sein. Bezieht sich eine Regelung – wie vorliegend – auf eine Vielzahl von Fallkonstellationen, muss der Adressat des Verwaltungsakts diesem entnehmen können, unter welchen Voraussetzungen er zu dem in der Verfügung näher beschriebenen Verhalten verpflichtet ist (vgl. VGH Baden-Württemberg, Urteil vom 26.02.2007 – 10 S 643/05 -, juris, Rn. 24; VGH Baden-Württemberg, Urteil vom 08.09.2015 – 6 S 1426/14 -, juris, Rn. 19).
Diese Voraussetzung ist vorliegend nicht erfüllt. Ausweislich des Tenors der Verfügung bezieht sich die Überprüfungs- und Löschverpflichtung auf Forderungen im Sinne von § 28a BDSG und mit diesen im Zusammenhang stehende Informationen. Welche Informationen hiermit gemeint sind, wird nicht näher konkretisiert. Auch die Bezugnahme auf Forderungen im Sinne von § 28a BDSG ist unter Berücksichtigung des Umstandes, dass die Verfügung sich auf die Speicher- und Löschfristen unter Anwendbarkeit der EU-Datenschutzgrundverordnung bezieht und die Vorschrift des § 28a BDSG künftig wegfallen wird, nicht hinreichend klar verständlich. So kann die Klägerin als Adressatin der Verfügung dieser nicht mit der erforderlichen Deutlichkeit entnehmen, ob sie die ihr auferlegten Pflichten nur bei Fortgeltung einer § 28a BDSG vergleichbaren oder gar wortlautgleichen Vorschrift erfüllen muss oder vielmehr unabhängig hiervon. Schließlich unterfallen dem in der Verfügung gewählten Begriff der „Forderungen im Sinne von § 28a BDSG“ auch Forderungen, die nach § 178 InsO festgestellt und nicht vom Schuldner im Prüfungstermin bestritten worden sind (vgl. § 28a Abs. 1 S. 1 Nr. 2 BDSG). Dass die Anordnung sich jedoch nicht auf Insolvenzfälle beziehen solle, geht erst aus den Ausführungen des Beklagten im Klageverfahren hervor und steht in Widerspruch zu der umfassenden Bezugnahme auf § 28a BDSG in der Verfügung. Schließlich ist auch nicht hinreichend bestimmt, wann die Klägerin davon ausgehen muss, dass ein Betroffener im Sinne der Verfügung zahlungsunwillig oder zahlungsunfähig sein soll. Auch hier sind über klare Fälle hinaus Grenzfälle denkbar, für deren Einordnung die Verfügung keine hinreichend bestimmten Vorgaben enthält.
Eine Heilung der aufgezeigten Bestimmtheitsmängel im Verwaltungsprozess (vgl. zu dieser Möglichkeit: Kopp/Ramsauer, a.a.O., § 37 VwVfG Rn. 17b) ist vorliegend nicht erfolgt. Zwar hat der Beklagte im Rahmen der Klageerwiderung klarstellend ausgeführt, dass sich die Verfügung auf alle Angaben im Sinne von § 28a Abs. 1 BDSG beziehe, unabhängig davon, ob diese Regelung künftig noch gelten werde. Umfasst seien alle nicht rechtzeitig beglichenen Forderungen, gleichgültig, ob nur ein Inkassoverfahren eingeleitet worden sei oder ob der Betroffene die Zahlungsverpflichtung ausdrücklich anerkannt habe. Außerdem solle sich die Anordnung nicht auf Insolvenzfälle ziehen. Diese Konkretisierungen betreffen zum einen nur einzelne – mithin nicht alle – Punkte der Verfügung, bei denen es an einer hinreichenden Bestimmtheit fehlt. Zum anderen lässt sich ihnen nicht entnehmen, dass es sich um verbindliche Klarstellungen handeln soll und die Ausführungen zur Klageerwiderung nicht als unverbindliche Prozesserklärung einzuordnen sind (vgl. hierzu Stelkens in: Stelkens/Bonk/Sachs, VwVfG, 8. Aufl. 2014, § 37 Rn. 43).
b)
Durch die vorliegende, individuell-abstrakte Regelung wird der Klägerin als Adressatin der Verfügung die Subsumtionsleistung bezüglich der ihr gegenüber darin angeordneten Prüf- und Löschverpflichtungen auferlegt. Die Aufsichtsbehörde hat sich hiermit in unzulässiger Weise davon entbunden, im konkreten Einzelfall – wie in § 38 Abs. 5 S. 1 BDSG vorgesehen – einen Verstoß gegen Datenschutzrecht festzustellen, zur Beseitigung des Verstoßes aufzufordern und schließlich das ihr eröffnete Ermessen bezüglich einer Anordnung oder Untersagung auszuüben. Damit wird sie ihrer Aufgabe des Gesetzesvollzugs nicht gerecht (vgl. zu einer abfallrechtlichen Verfügung: VGH Baden-Württemberg, Beschluss vom 05.10.1999 – 10 S 1059/99 -, juris; zu einer atomrechtlichen Auflage: VGH Baden-Württemberg, Urteil vom 26.02.2007, a.a.O., Rn. 36 ff.; zu einer glücksspielrechtlichen Untersagungsverfügung: VGH Baden-Württemberg, Urteil vom 08.09.2015, a.a.O., Rn. 19).
3.
Ferner handelt es sich – auch wenn formal keine generell-abstrakte Regelung vorliegt – in funktionaler Hinsicht bei der streitgegenständlichen Verfügung, ausgehend von ihrem wesentlichen inhaltlichen Regelungsziel, um eine Rechtsnorm, welche unzulässigerweise in der Form des Verwaltungsaktes erlassen wurde und auch aus diesem Grund – da eine Umdeutung nicht möglich ist – aufzuheben ist (vgl. hierzu BVerwG, Urteil vom 01.10.1963 – IV C 9.63 -, juris, Rn. 59 f.). Bei der Bestimmung, ob eine Regelung materiell bzw. funktional als Rechtsnorm einzuordnen ist, kann unter anderem auf den räumlichen Geltungsbereich sowie auf die Geltungsdauer abgestellt werden, wobei eine längerfristig gedachte, zum Beispiel mehrjährige Regelung eher als Rechtsnorm einzuordnen ist (vgl. Maurer, Allgemeines Verwaltungsrecht, 18. Aufl. 2011, § 9 Rn 19).
Gemessen hieran ist die von der Aufsichtsbehörde getroffene Regelung sowohl aufgrund ihrer unbestimmten Geltungsdauer als auch aufgrund ihres beabsichtigten Geltungsbereiches einer Rechtsnorm vergleichbar. Mit der Verfügung vom 25.11.2016 wird bezweckt, die von der Aufsichtsbehörde für angemessen erachteten abstrakten Überprüfungs- und Löschfristen ab Anwendbarkeit der EU-Datenschutzgrundverordnung für Auskunfteien mit Sitz in Baden-Württemberg rechtsverbindlich zu machen. Zwar ist die Verfügung nur an die Klägerin gerichtet. Jedoch hat der Beklagte in der mündlichen Verhandlung ausgeführt, dass die andere in Baden-Württemberg mit Niederlassungen vertretene Auskunftei „xxx“ sich bereits freiwillig an die entsprechenden Überprüfungs- und Löschfristen halte. Die Verfügung hat ihrem Wesen nach demzufolge die Funktion, eine für alle der Aufsicht des Landesbeauftragten für den Datenschutz Baden-Württemberg unterliegenden Auskunfteien geltende Rechtslage von unbestimmter Geltungsdauer herbeizuführen. Eine solche Regelung kann nur auf Grundlage einer gesetzlichen Ermächtigung zum Erlass einer Rechtsnorm sowie in der Form einer solchen ergehen. In der vorliegend gewählten Form des Verwaltungsaktes, welcher auf Grundlage der zum Erlass eines Verwaltungsaktes ermächtigenden Vorschrift des § 38 Abs. 5 S. 1 BDSG (vgl. Petri in Simitis, a.a.O., § 38 BDSG Rn. 71) erging, kann die streitgegenständliche Regelung hingegen nicht zulässigerweise getroffen werden. Die angefochtene Verfügung ist damit auch aus diesem Grund rechtsfehlerhaft.
Auf die weiteren, zwischen den Beteiligten thematisierten Streitpunkte, insbesondere zur Länge der Überprüfungs- und Löschfristen sowie zu deren Anknüpfungspunkt, kommt es nach dem Ausgeführten nicht entscheidungserheblich an.
Die Kostenentscheidung beruht auf § 154 Abs. 1 VwGO.
Die Berufung ist nicht zuzulassen, weil keine der Voraussetzungen des § 124 Abs. 2 Nr. 3 oder 4 VwGO gegeben ist (§ 124a Abs. 1 S. 1 VwGO).
Rechtsmittelbelehrung
Gegen dieses Urteil steht den Beteiligten die Berufung zu, wenn sie von dem Verwaltungsgerichtshof Baden-Württemberg zugelassen wird. Der Antrag auf Zulassung der Berufung ist beim Verwaltungsgericht Karlsruhe, Nördliche Hildapromenade 1, 76133 Karlsruhe, innerhalb eines Monats nach Zustellung des vollständigen Urteils zu stellen.
Der Antrag muss das angefochtene Urteil bezeichnen. Innerhalb von zwei Monaten nach Zustellung des vollständigen Urteils sind die Gründe darzulegen, aus denen die Berufung zuzulassen ist. Die Begründung ist, soweit sie nicht bereits mit dem Antrag vorgelegt worden ist, beim Verwaltungsgerichtshof Baden-Württemberg, Schubertstraße 11, 68165 Mannheim, oder Postfach 103264, 68032 Mannheim, einzureichen. Die Berufung ist nur zuzulassen, wenn
1. ernstliche Zweifel an der Richtigkeit des Urteils bestehen,
2. die Rechtssache besondere tatsächliche oder rechtliche Schwierigkeiten aufweist,
3. die Rechtssache grundsätzliche Bedeutung hat,
4. das Urteil von einer Entscheidung des Verwaltungsgerichtshofs, des Bundesverwaltungsgerichts, des Gemeinsamen Senats der obersten Gerichtshöfe des Bundes oder des Bundesverfassungsgerichts abweicht und auf dieser Abweichung beruht oder
5. wenn ein der Beurteilung des Berufungsgerichts unterliegender Verfahrensmangel geltend gemacht wird und vorliegt, auf dem die Entscheidung beruhen kann.
Vor dem Verwaltungsgerichtshof muss sich jeder Beteiligte, außer in Prozesskostenhilfeverfahren, durch Prozessbevollmächtigte vertreten lassen. Dies gilt auch für Prozesshandlungen, durch die ein Verfahren vor dem Verwaltungsgerichtshof eingeleitet wird. Als Bevollmächtige sind Rechtsanwälte oder Rechtslehrer an einer staatlichen oder staatlich anerkannten Hochschule eines Mitgliedstaates der Europäischen Union, eines anderen Vertragsstaates des Abkommens über den Europäischen Wirtschaftsraum oder der Schweiz, die die Befähigung zum Richteramt besitzen, oder die in § 67 Absatz 2 Satz 2 Nr. 3 bis 7 VwGO i.V.m. § 67 Abs. 4 Satz 7 VwGO bezeichneten Personen und Organisationen zugelassen. Behörden und juristische Personen des öffentlichen Rechts einschließlich der von ihnen zur Erfüllung ihrer öffentlichen Aufgaben gebildeten Zusammenschlüsse können sich durch eigene Beschäftigte mit Befähigung zum Richteramt oder durch Beschäftigte mit Befähigung zum Richteramt anderer Behörden oder juristischer Personen des öffentlichen Rechts einschließlich der von ihnen zur Erfüllung ihrer öffentlichen Aufgaben gebildeten Zusammenschlüsse vertreten lassen.
Beschluss:
Der Streitwert wird gemäß § 52 Abs. 2 GKG auf 5.000 EUR festgesetzt.
Hinsichtlich der Beschwerdemöglichkeit gegen die Streitwertfestsetzung wird auf § 68 Abs. 1 Satz 1, 3 und 5 GKG verwiesen.