Erstes Urteil zur DSGVO
@istock.com/Michal Chodyra Posted on von Hot Topic | Sicherheit

Erstes Urteil zur DSGVO

Seit geraumer Zeit gibt es das erste deutsche Urteil zur neuen EU-Datenschutz-Grundverordnung. Der Sachverhalt macht klar, dass die Datenschutzbehörden die neue Verordnung mit voller Härte durchsetzen wollen. Dies erhöht den Druck auf Unternehmen, sich datenschutzrechtlich richtig aufzustellen.

Gerichtsverfahren zur DSGVO

Vor dem Verwaltungsgericht Karlsruhe wurde das erste, deutsche Urteil zur neuen EU-Datenschutz-Grundverordnung (DSGVO) erstritten (Urteil vom 06.07.2017, Az. 10 K 7698/16). Die Datenschutzbehörde in Baden-Württemberg hatte gegen eine Mandantin die Verfügung erlassen, bestimmte personenbezogene Daten spätestens ab dem 25.05.2018 (Wirksamwerden der DSGVO) zu löschen, da die Verordnung dies so vorsehe. In der Begründung der Verfügung wurde zwar zugestanden, dass die DSGVO noch nicht anwendbar sei und auch heute nach geltendem Recht des BDSG noch kein Rechtsverstoß vorliegen würde. Allerdings müssten nach Ansicht der Behörde „Missstände verhindert werden, die nach dem 24.05.2018 zu erwarten seien“.

Das Gericht bestätigt, dass Datenschutzbehörden keine Verfügungen oder Sanktionen festsetzen dürfen, die sich bereits heute auf die Vorschriften der DSGVO stützen. Zum Hintergrund.

Was bedeutet der Sachverhalt für Unternehmen?

Der Sachverhalt macht zweierlei deutlich:

1. Die Datenschutzbehörden bringen sich in Stellung und wollen die neuen Vorgaben zur DSGVO mit voller Härte durchsetzen, auch wenn diese heute noch gar keine Anwendung finden.
2. Ein besonderer Augenmerk lag im vorliegenden Fall auf dem Löschkonzept. Die Behörde betonte mehrfach, dass Unternehmen eine umfassende Dokumentation zum Thema Datenlöschung vorliegen und umgesetzt haben müssen. Fehlt es an einem solchen Löschkonzept, so ist mit behördlichen Konsequenzen zu rechnen.

Vorbereitungen und Maßnahmen

Leiten Sie das Urteil ggf. an Ihren Datenschutzbeauftragten weiter und fragen Sie dort an, ob ein aktuelles Löschkonzept vorliegt und falls ja, ob sich dieses bereits in der Überarbeitung zur DSGVO befindet. Unsere aktuellen Umsetzungsprojekte machen deutlich, dass fast kein Unternehmen bislang datenschutzrechtlich optimal aufgestellt ist. Es verbleiben nur noch 9 Monate für die Umsetzung. Allein die Statusaufnahme dauert regelmäßig zwei bis drei Monate, bis alle Fachabteilungen die notwendigen Informationen geliefert haben. Die Zeit ist daher knapp. Falls Sie noch unvorbereitet sind, nehmen wir gern bei Ihnen einen ersten Status-Quo-Check vor.

Die Datenschutzkonferenz (DSK) hat weitere Kurzpapiere zur DSGVO veröffentlicht, die Unternehmen sehr schön aufzeigen, was bei der Umsetzung alles zu beachten ist. Auch die Bayerische Datenschutzbehörde hat eigene Informationen im PDF-Format zur Verfügung gestellt. Leiten sie auch diesen Link gern an Ihren Datenschutzbeauftragten weiter.

Der Autor

Dr. Hans Markus Wulf ist Fachanwalt für IT-Recht und Partner bei SKW Schwarz in Hamburg. Als Mitglied des Fachbereiches IT & Digital Business vermittelt er Fachwissen über Technologieprojekte, digitale Medienprodukte und soziale Netzwerke und unterstützt die Mandanten beim wirksamen Einsatz dieser Themen in der Praxis. Dr. Wulf ist zugleich Geschäftsführer der SCHLUTIUS Data Privacy & Compliance GmbH, die spezialisierte Beratung zum Datenschutz bietet und für ihre Kunden externe Datenschutzbeauftragte stellt.

zurück zur Startseite

Kommentar

Wenn Sie die E-Mail-Adresse eingeben, die Sie bei Twitter oder Gravatar verwenden, erscheint Ihr Bild neben dem Kommentar.

mit * gekennzeichnete Felder sind Pflichtfelder. Sie erhalten zur Freischaltung ihres Kommentars eine E-Mail. Ihre E-Mail-Adresse wird nicht veröffentlicht.