Das Verwaltungsgericht Karlsruhe hat mit einem vor einigen Tagen veröffentlichten Urteil entschieden, dass die Datenschutzbehörden ihre Verfügungen und Sanktionen heute noch nicht auf die Regelungen der EU-Datenschutz-Grundverordnung (DSGVO) stützen dürfen.
Was ist passiert?
Die Kanzlei SKW Schwarz hat vor dem Verwaltungsgericht Karlsruhe das erste, deutsche Urteil zur neuen EU-Datenschutz-Grundverordnung (DSGVO) erstritten (Urteil vom 06.07.2017, Az. 10 K 7698/16). Die Datenschutzbehörde in Baden-Württemberg hatte gegen eine Mandantin die Verfügung erlassen, bestimmte personenbezogene Daten spätestens ab dem 25.05.2018 (Wirksamwerden der DSGVO) zu löschen, da die Verordnung dies so vorsehe. In der Begründung der Verfügung wurde zwar zugestanden, dass die DSGVO noch nicht anwendbar sei und auch heute nach geltendem Recht des BDSG noch kein Rechtsverstoß vorliegen würde. Allerdings müssten nach Ansicht der Behörde „Missstände verhindert werden, die nach dem 24.05.2018 zu erwarten seien“.
Die hiergeben gerichtete Klage war nun erfolgreich. Das Gericht bestätigte, dass Datenschutzbehörden keine Verfügungen oder Sanktionen festsetzen dürfen, die sich bereits heute auf die Vorschriften der DSGVO stützen.
Warum ist das wichtig für Sie?
Der Sachverhalt macht zweierlei deutlich:
- Die Datenschutzbehörden bringen sich in Stellung und wollen die neuen Vorgaben zur DSGVO mit voller Härte durchsetzen, auch wenn diese heute noch gar keine Anwendung finden.
- Ein besonderer Augenmerk lag im vorliegenden Fall auf dem Löschkonzept. Die Behörde betonte mehrfach, dass Unternehmen eine umfassende Dokumentation zum Thema Datenlöschung vorliegen und umgesetzt haben müssen. Fehlt es an einem solchen Löschkonzept, so ist mit behördlichen Konsequenzen zu rechnen.
Was ist zu tun?
Leiten Sie das Urteil ggf. an Ihren Datenschutzbeauftragten weiter und fragen Sie dort an, ob ein aktuelles Löschkonzept vorliegt und falls ja, ob sich dieses bereits in der Überarbeitung zur DSGVO befindet. Unsere aktuellen Umsetzungsprojekte machen deutlich, dass nur wenige Unternehmen bislang datenschutzrechtlich optimal aufgestellt sind. Es verbleiben nur noch 9 Monate für die Umsetzung. Allein die Statusaufnahme dauert regelmäßig zwei bis drei Monate, bis alle Fachabteilungen die notwendigen Informationen geliefert haben. Die Zeit ist daher knapp. Falls Sie noch unvorbereitet sind, nehmen wir gern bei Ihnen einen ersten Status-Quo-Check vor.