SBS Firmengruppe Logos

| Compliance, Datenschutzrecht

Ist Ihr Code of Conduct gesetzeskonform?


Löschung von personenbezogenen Daten muss im Einzelfall geprüft werden

Das VG Wiesbaden hat in seinem Beschluss vom 11.01.2021 festgestellt, dass ein Löschungsbegehren im Sinne der Datenschutzgrundverordnung (DSGVO) im Einzelfall geprüft werden muss und nicht unter Berufung auf einen Code of Conduct ausgeschlossen werden kann.

Was ist ein Code of Conduct?

Ein Code of Conduct (dt.: Verhaltenskodex) ist eine Sammlung von unternehmerischen Richtlinien, Regelungen und/oder Gesetzen, der an die Ziele des jeweiligen Unternehmens angepasst wird.  Er soll einerseits den Mitarbeitern als leitende Verhaltensanweisung für rechtlich und ethisch korrektes Verhalten dienen und andererseits Haftungsrisiken für das Unternehmen minimieren.

Der Code of Conduct ist auch als Kommunikationsinstrument des Managements zu verstehen, welches hilft abstrakte Gesetzesanforderungen in das betriebliche Umfeld zu übersetzen und verständlich zu machen.


Zum Sachverhalt

In dem Beschluss ging es um einen Streit über eine Löschungsanordnung, welche die Klägerin bei der beklagten Landesdatenschutzbehörde beantragt hatte. Diese Anordnung sollte eine Wirtschaftsauskunftei verpflichten, einen Datensatz über die Klägerin zu löschen. Die Wirtschaftsauskunftei hatte einen Datensatz zum Abruf für Dritte bereitgehalten, nach dem die Klägerin eine Rechnung nicht beglichen hatte. Diesen Eintrag wollte die Klägerin löschen lassen.

Die Datenschutzbehörde hat den Antrag der Klägerin abgelehnt. Zur Begründung verwies die Behörde auf die Verhaltensregeln für Prüf- und Löschfristen von personenbezogenen Daten durch die Deutschen Wirtschaftsauskunfteien (Code of Conduct). Demnach wird die Notwendigkeit einer fortwährenden Speicherung der personenbezogenen Daten jeweils drei Jahre nach Ereigniseintritt überprüft. Diese Frist von drei Jahren war im vorliegenden Fall noch nicht abgelaufen, weshalb eine Einzelfallprüfung nicht erforderlich sei. Der Eintrag könne erst nach Ablauf dieser Frist überprüft und ggf. gelöscht werden.

Entscheidung VG Wiesbaden: Keine Berufung auf den Code of Conduct

Die Klägerin klagte nun gegen die zuständige Landesdatenschutzbehörde gegen die Ablehnung des Löschungsantrags. Auch wenn die Beteiligten den Rechtsstreit in der Hauptsache übereinstimmend für erledigt erklärt haben, äußerte sich das Gericht zu der Anwendung des Code of Conduct.

Das Gericht führt aus, dass sich die Datenschutzbehörde bei der Ablehnung des Antrags nicht auf die Prüf- und Löschfristen aus dem Code of Conduct berufen kann.

In dem Regelwerk finden sich zwar Prüf- und Löschfristen, diese geben allerdings nur Auskunft darüber, wann die Überprüfung und Löschung der Daten spätestens erfolgen muss. Stellt ein Betroffener einen Antrag auf Löschung, müssen dennoch die Voraussetzungen des Art. 6 Absatz 1 DSGVO im Einzelfall überprüft werden. Eine pauschale Verweisung auf den Ablauf der Prüf- und Löschfristen ist nicht rechtmäßig.     

Der Bescheid hätte aufgehoben werden müssen

Die Kammer führt aus, dass sie den Bescheid der Behörde für rechtwidrig erklärt und aufgehoben hätte. Die Ansicht, dass sich die Löschfrist aus dem Code of Conduct ergibt und eine individuelle Prüfung nicht erforderlich ist, teilt das Gericht nicht.

Dies hätte, so das VG Wiesbaden, einen Verstoß gegen Art. 17 Absatz 1 a DSGVO zur Folge („Recht auf Vergessenwerden“).  Nach der DSGVO hat die betroffene Person das Recht von dem Verantwortlichen zu verlangen, dass die personenbezogenen Daten gelöscht werden, sofern die Voraussetzungen des Art. 6 Absatz 1 DSGVO nicht mehr vorliegen. Ob die Voraussetzungen noch vorliegen, muss stets im Einzelfall geprüft werden.

Eine solche Prüfung hat hier nicht stattgefunden, weshalb die Ablehnung des Antrags rechtswidrig war. Die Einzelfallprüfung nach der DSGVO kann gerade nicht durch Verhaltensregelungen, wie einem unternehmensinternen Code of Conduct der Wirtschaftsauskunfteien, ausgeschlossen werden.


Bedeutung von Verhaltenskodizes und Compliance im Unternehmen

Nicht nur Wirtschaftsauskunfteien, sondern auch viele andere Unternehmen besitzen einen eigenen Code of Conduct. Diese Verhaltenskodizes sind im Unternehmensalltag unverzichtbar geworden und stellen die Grundlage eines Compliance Management Systems dar. Unter Compliance Management versteht man einen strukturierten Aufbau von internen Regeln und Richtlinien die von den Mitarbeitern des Unternehmens eingehalten werden sollen.

Durch eine funktionierende Compliance Organisation können straf- und zivilrechtliche Risiken für das Unternehmen minimiert werden.

Wie ein Compliance Management System aussehen muss, ist gesetzlich nicht geregelt. Folglich haben die Unternehmen einen Ermessenspielraum bei der Ausgestaltung. Ein funktionierendes und gut organisiertes Compliance Management System kann viele Vorteile für Unternehmen mit sich bringen. Es werden nicht nur Verstöße und Risiken aufgedeckt, minimiert oder verhindert, sondern es kann auch einen Wettbewerbsvorteil bieten, da viele öffentliche Auftraggeber ihre Aufträge nur dann vergeben, wenn ein ordentliches Compliance Management nachgewiesen werden kann.


SBS Legal - Rechtsanwälte für Compliance und Datenschutzrecht

Suchen Sie rechtlichen Rat zum Thema Compliance? Unsere Compliance-Beratung deckt sämtliche Rechtsgebiete ab, wie insbesondere Handels- und Gesellschaftsrecht, Arbeitsrecht, Steuerrecht und Datenschutzrecht.

Ob als Reaktion auf einen Rechtsverstoß oder präventiv zur Absicherung des Unternehmens: Die fachkundigen Anwälte von SBS Legal begleiten Sie kompetent beim Etablieren eines lückenlosen Compliance Systems und beraten Sie zur Vorgehensweise bei einem Compliance-Verstoß.

Haben Sie weitere Fragen zum Thema Compliance oder benötigen Sie anwaltliche Unterstützung in diesem Bereich?

Wir freuen uns jederzeit über Ihre Kontaktaufnahme

Für weitere Rückfragen stehen wir Ihnen jederzeit gerne auch telefonisch zur Verfügung.

Der Erstkontakt zu SBS LEGAL ist kostenlos.

SBS Direktkontakt

telefonisch unter (+49) 040 / 7344086-0 oder
per E-Mail unter mail@sbs-legal.de oder
per unten angebotenem SBS Direktkontakt.

Ich habe die Datenschutz-Richtlinien gelesen und stimmen diesen hiermit zu.

Zurück zur Blog-Übersicht