Rechtsanwalt & Fachanwalt für gewerblichen Rechtsschutz
T (+49) 040 / 7344 086-0
Rechtsanwalt & Spezialist für Handels- und Gesellschaftsrecht
T (+49) 040 / 7344 086-0
Rechtsanwältin, Fachanwältin für Informationstechnologierecht & Zertifizierte Datenschutzbeauftragte (TÜV)
T (+49) 040 / 7344 086-0
| Compliance, Datenschutzrecht
Blog Artikel
Das VG Wiesbaden hat in seinem Beschluss vom 11.01.2021 festgestellt, dass ein Löschungsbegehren im Sinne der Datenschutzgrundverordnung (DSGVO) im Einzelfall geprüft werden muss und nicht unter Berufung auf einen Code of Conduct ausgeschlossen werden kann.
Ein Code of Conduct (dt.: Verhaltenskodex) ist eine Sammlung von unternehmerischen Richtlinien, Regelungen und/oder Gesetzen, der an die Ziele des jeweiligen Unternehmens angepasst wird. Er soll einerseits den Mitarbeitern als leitende Verhaltensanweisung für rechtlich und ethisch korrektes Verhalten dienen und andererseits Haftungsrisiken für das Unternehmen minimieren.
Der Code of Conduct ist auch als Kommunikationsinstrument des Managements zu verstehen, welches hilft abstrakte Gesetzesanforderungen in das betriebliche Umfeld zu übersetzen und verständlich zu machen.
In dem Beschluss ging es um einen Streit über eine Löschungsanordnung, welche die Klägerin bei der beklagten Landesdatenschutzbehörde beantragt hatte. Diese Anordnung sollte eine Wirtschaftsauskunftei verpflichten, einen Datensatz über die Klägerin zu löschen. Die Wirtschaftsauskunftei hatte einen Datensatz zum Abruf für Dritte bereitgehalten, nach dem die Klägerin eine Rechnung nicht beglichen hatte. Diesen Eintrag wollte die Klägerin löschen lassen.
Die Datenschutzbehörde hat den Antrag der Klägerin abgelehnt. Zur Begründung verwies die Behörde auf die Verhaltensregeln für Prüf- und Löschfristen von personenbezogenen Daten durch die Deutschen Wirtschaftsauskunfteien (Code of Conduct). Demnach wird die Notwendigkeit einer fortwährenden Speicherung der personenbezogenen Daten jeweils drei Jahre nach Ereigniseintritt überprüft. Diese Frist von drei Jahren war im vorliegenden Fall noch nicht abgelaufen, weshalb eine Einzelfallprüfung nicht erforderlich sei. Der Eintrag könne erst nach Ablauf dieser Frist überprüft und ggf. gelöscht werden.
Die Klägerin klagte nun gegen die zuständige Landesdatenschutzbehörde gegen die Ablehnung des Löschungsantrags. Auch wenn die Beteiligten den Rechtsstreit in der Hauptsache übereinstimmend für erledigt erklärt haben, äußerte sich das Gericht zu der Anwendung des Code of Conduct.
Das Gericht führt aus, dass sich die Datenschutzbehörde bei der Ablehnung des Antrags nicht auf die Prüf- und Löschfristen aus dem Code of Conduct berufen kann.
In dem Regelwerk finden sich zwar Prüf- und Löschfristen, diese geben allerdings nur Auskunft darüber, wann die Überprüfung und Löschung der Daten spätestens erfolgen muss. Stellt ein Betroffener einen Antrag auf Löschung, müssen dennoch die Voraussetzungen des Art. 6 Absatz 1 DSGVO im Einzelfall überprüft werden. Eine pauschale Verweisung auf den Ablauf der Prüf- und Löschfristen ist nicht rechtmäßig.
Die Kammer führt aus, dass sie den Bescheid der Behörde für rechtwidrig erklärt und aufgehoben hätte. Die Ansicht, dass sich die Löschfrist aus dem Code of Conduct ergibt und eine individuelle Prüfung nicht erforderlich ist, teilt das Gericht nicht.
Dies hätte, so das VG Wiesbaden, einen Verstoß gegen Art. 17 Absatz 1 a DSGVO zur Folge („Recht auf Vergessenwerden“). Nach der DSGVO hat die betroffene Person das Recht von dem Verantwortlichen zu verlangen, dass die personenbezogenen Daten gelöscht werden, sofern die Voraussetzungen des Art. 6 Absatz 1 DSGVO nicht mehr vorliegen. Ob die Voraussetzungen noch vorliegen, muss stets im Einzelfall geprüft werden.
Eine solche Prüfung hat hier nicht stattgefunden, weshalb die Ablehnung des Antrags rechtswidrig war. Die Einzelfallprüfung nach der DSGVO kann gerade nicht durch Verhaltensregelungen, wie einem unternehmensinternen Code of Conduct der Wirtschaftsauskunfteien, ausgeschlossen werden.
Nicht nur Wirtschaftsauskunfteien, sondern auch viele andere Unternehmen besitzen einen eigenen Code of Conduct. Diese Verhaltenskodizes sind im Unternehmensalltag unverzichtbar geworden und stellen die Grundlage eines Compliance Management Systems dar. Unter Compliance Management versteht man einen strukturierten Aufbau von internen Regeln und Richtlinien die von den Mitarbeitern des Unternehmens eingehalten werden sollen.
Durch eine funktionierende Compliance Organisation können straf- und zivilrechtliche Risiken für das Unternehmen minimiert werden.
Wie ein Compliance Management System aussehen muss, ist gesetzlich nicht geregelt. Folglich haben die Unternehmen einen Ermessenspielraum bei der Ausgestaltung. Ein funktionierendes und gut organisiertes Compliance Management System kann viele Vorteile für Unternehmen mit sich bringen. Es werden nicht nur Verstöße und Risiken aufgedeckt, minimiert oder verhindert, sondern es kann auch einen Wettbewerbsvorteil bieten, da viele öffentliche Auftraggeber ihre Aufträge nur dann vergeben, wenn ein ordentliches Compliance Management nachgewiesen werden kann.
Suchen Sie rechtlichen Rat zum Thema Compliance? Unsere Compliance-Beratung deckt sämtliche Rechtsgebiete ab, wie insbesondere Handels- und Gesellschaftsrecht, Arbeitsrecht, Steuerrecht und Datenschutzrecht.
Ob als Reaktion auf einen Rechtsverstoß oder präventiv zur Absicherung des Unternehmens: Die fachkundigen Anwälte von SBS Legal begleiten Sie kompetent beim Etablieren eines lückenlosen Compliance Systems und beraten Sie zur Vorgehensweise bei einem Compliance-Verstoß.
Wir freuen uns jederzeit über Ihre Kontaktaufnahme
Für weitere Rückfragen stehen wir Ihnen jederzeit gerne auch telefonisch zur Verfügung.