Zulässigkeit der Speicherung von Daten aus öffentlichen Registern durch eine Kreditauskunftei unter der DSGVO
I. Ausgangslage
Die SCHUFA, die bedeutendste Auskunftei Deutschlands, sammelt über Unternehmen und Privatpersonen bonitätsrelevante Daten und übermittelt sie gegen Entgelt u.a. Finanzinstituten für die Beurteilung der Kreditwürdigkeit kreditinteressierter Personen. Zu den gesammelten Daten zählen auch in amtlichen Registern veröffentlichte Informationen über die Insolvenz, insbesondere die Restschuldbefreiung. Diese stellt (vereinfacht gesagt) ein Instrument des deutschen Insolvenzrechts dar, das verschuldete natürliche Personen nach einer Wohlverhaltensphase auf Antrag von ihren Verbindlichkeiten befreit. Die betreffenden Daten löscht die SCHUFA gemäss von der zuständigen Aufsichtsbehörde genehmigten Verhaltensregeln des Verbands der Wirtschaftsauskunfteien drei Jahre nach der Eintragung. In den öffentlichen Registern werden die Daten hingegen bereits nach der gesetzlichen Frist von sechs Monaten gelöscht.
Zwei betroffene Personen stellten Löschbegehren hinsichtlich dieser Daten, denen die SCHUFA keine Folge leistete, da auf sie die sechsmonatige Frist keine Anwendung finde. Auf Beschwerde der betroffenen Personen hin hielt die zuständige Aufsichtsbehörde dafür, dass die SCHUFA die Einträge über die Restschuldbefreiung über die Frist hinaus speichern dürfe. Befasst mit Klagen der betroffenen Personen legte das Verwaltungsgericht Wiesbaden dem EuGH insgesamt fünf Fragen zur Vorabentscheidung vor, die sich vereinfachend in einen formell- und einen materiell-rechtlichen Komplex unterteilen lassen. Letzterer, der im Wesentlichen die folgenden Fragen umfasst, wird vorliegend näher betrachtet :
- Ist die Speicherung personenbezogener Daten aus öffentlichen Registern bei Auskunfteien (vor und nach Ablauf der gesetzlichen Löschfrist) rechtmässig ?
- Steht diese Speicherung im Einklang mit den Grundsätzen der Zweckbindung und der Datenminimierung ?
- Welche Rolle spielen die von der Aufsichtsbehörde genehmigten Verhaltensregeln ?
II. Rechtmässigkeit
Eine Datenverarbeitung ist nur rechtmässig, wenn die Voraussetzungen einer der in Art. 6 Abs. 1 DSGVO abschliessend aufgezählten Rechtsgrundlagen vorliegen. Mit Blick auf die Vorlagefrage prüft der Generalanwalt (GA) Art. 6 Abs. 1 lit. f DSGVO, wofür (1) ein berechtigtes Interesse des Verantwortlichen oder eines Dritten vorliegen und (2) die Datenverarbeitung zu dessen Wahrung erforderlich sein muss ; (3) sodann dürfen die Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen.
Berechtigtes Interesse
Der GA anerkennt das berechtigte Interesse von SCHUFA, ihren Kunden Dienstleistungen wie die Ermittlung der Kreditwürdigkeit und die Erteilung von Bonitätsauskünften zu erbringen, sowie jenes der Kunden von SCHUFA, ihre Dienstleistungen in Anspruch zu nehmen, um die Kreditwürdigkeit potenzieller Geschäftspartner zu beurteilen. Zudem entspreche das mit der fraglichen Dienstleistung verfolgte Ziel im Wesentlichen demjenigen, das der Unionsgesetzgeber mit Erlass der Pflicht der Mitgliedstaaten verfolgte, ein Register zu errichten, um Informationen über Insolvenzerfahren bekannt zu machen. Das Ziel dieser öffentlichen Register bestehe darin, « eine bessere Information der betroffenen Gläubiger und Gerichte zu gewährleisten und die Eröffnung von Parallelverfahren zu verhindern ». Die von SCHUFA angebotene Dienstleistung scheine « keinen anderen Zweck » zu haben.
Erforderlichkeit
Die Erforderlichkeit begrenze Ausnahmen und Einschränkungen des Schutzes personenbezogener Daten auf das absolut Notwendige. Es genüge nicht, dass die Verarbeitung lediglich von Nutzen sei ; vielmehr dürfe es keine den Schutz personenbezogener Daten weniger beeinträchtigende alternative Lösungen geben. Diesbezüglich hält der Generalanwalt sodann Folgendes fest :
« Im vorliegenden Fall müsste nachgewiesen werden, dass die Sammlung personenbezogener Daten über die Insolvenz aus öffentlichen Registern und ihre private Speicherung die einzige Möglichkeit für SCHUFA darstellen, ihren Kunden diese genauen Informationen zu gewerblichen Zwecken anzubieten. Es lässt sich nicht ausschließen, dass SCHUFA die Möglichkeit hat, die kommerzielle Dienstleistung anzubieten und Informationen über die Kreditwürdigkeit der Personen mittels anderer verfügbarer Daten zu erteilen. Es ist Sache des vorlegenden Gerichts, zu prüfen, ob diese Möglichkeit es SCHUFA noch ermöglichen würde, ihren Kunden diese kommerzielle Dienstleistung in sachdienlicher Weise anzubieten. »
Der GA stellt sodann die Erforderlichkeit (während der gesetzlichen Frist) insoweit in Frage, als die SCHUFA die betreffenden Daten jeweils erst bei einer konkreten Anfrage eines Kunden beschaffen könnte, statt sie im Voraus zu erheben und bei sich zu speichern. Gemäss SCHUFA ist dieses Vorgehen für eine zeitnahe Erteilung der Auskunft unmöglich, was der GA (ebenfalls) dem vorlegenden Gericht zu prüfen überlässt.
Interessenabwägung
Bei der Interessenabwägung seien mit Blick auf Leitlinien der Art.-29-Datenschutzgruppe (i) die Bewertung des berechtigten Interesses des Verantwortlichen, (ii) die Folgen für die betroffenen Personen, (iii) das vorläufige Gleichgewicht und (iv) allfällige zusätzliche Schutzmassnahmen zu berücksichtigen.
In Bezug auf (i) die Interessen der SCHUFA und ihrer Kunden hält der GA fest, dass diese rein wirtschaftlicher Natur, aber – wie bereits festgehalten – legitim seien.
Hinsichtlich (ii) der Folgen für die betroffenen Personen berücksichtigt der GA verschiedene Aspekte :
- Der massgebliche Faktor scheine die Löschfrist zu sein : « Je länger die Daten in Datenbanken privater Wirtschaftsauskunfteien gespeichert werden, desto größer sind die Folgen für die betroffene Person. » Der deutsche Gesetzgeber sei davon ausgegangen, dass die Daten über ein Insolvenzverfahren im öffentlichen Register sechs Monate veröffentlicht sein müssen, um das (obgenannte) Ziel des Registers zu erreichen. Die Speicherung der personenbezogenen Daten über diesen Zeitraum hinaus scheine daher a priori erhebliche negative Folgen für die betroffene Person zu haben.
- Weiter seien die Zugangsmodalitäten der Datenbank und die bestehenden Möglichkeiten für die Verbreitung der personenbezogenen Daten zu berücksichtigen. Der Eingriff sei stärker in Abhängigkeit der Einfachheit des Zugangs und der Zahl der Nutzer. Bereits während der ersten sechs Monate führe die Speicherung der Auskunfteien zu einer zusätzlichen negativen Auswirkung auf das Privatleben der betroffenen Personen.
- Die Folgen nehmen für die betroffene Person auch je nach Sensibilität der personenbezogenen Daten zu (unabhängig davon, ob es sich um Daten i.S.v. 9 Abs. 1 DSGVO handelt). Der EuGH habe insofern festgehalten, dass personenbezogene Daten über die Beitreibung von Forderungen « sensible » Daten für das Privatleben seien. Die Zugänglichmachung solcher Daten für eine grundsätzlich unbegrenzte Zahl von Nutzern sei ein erheblicher Eingriff in die Grundrechte.
- Schliesslich können rechtmässige Datenverarbeitungen im Laufe der Zeit nicht mehr mit der DSGVO vereinbar sein, gerade wenn die betreffenden Daten für den Zweck nicht mehr erheblich sind (Zeitfaktor). Die SCHUFA müsse begründen können, weshalb sich die Speicherung für eine Dauer länger als die gesetzliche Frist rechtfertige.
Als (iii) vorläufiges Gleichgewicht (und mangels Hinweise auf (iv) zusätzliche Schutzmassnahmen auch als Ergebnis) resultiert für den GA, dass die erheblichen negativen Folgen, welche die Speicherung der Daten für die betroffene Person nach Ablauf der sechs Monaten haben wird, gegenüber dem geschäftlichen Interesse der Auskunftei und ihrer Kunden an der Speicherung der Daten nach diesem Zeitraum überwiegen. Hinsichtlich des Zeitraums von sechs Monaten, während der eine parallele Speicherung von Register und Auskunftei bestehe, überlässt der GA dem vorlegenden Gericht die Prüfung von Art. 6 Abs. 1 lit. f DSGVO.
Anmerkungen
Die Erforderlichkeit lässt der GA zwar offen, betrachtet sie aber kritisch. Dabei lässt er ausser Acht, dass auch das Gesetz (zumindest innerhalb der sechsmonatigen Frist) von der Erheblichkeit der Restschuldbefreiung für die Gläubiger ausgeht und der Richtigkeitsgrundsatz (Art. 5 Abs. 1 lit. d DSGVO) ein (möglichst) vollständiges Bild über die Kreditwürdigkeit verlangt. Ob eine Beschaffung erst bei einer konkreten Anfrage eines Kunden genügt, ist eine technische Umsetzungsfrage. In gewissen Bereichen, etwa im E‑Commerce, ist jedenfalls für eine « sachdienliche » Dienstleistung eine Beurteilung in Echtzeit notwendig.
Im Rahmen der Interessenabwägung klammert der GA bei der (i) Bewertung des berechtigten Interesses aus, dass auch nach der Art.-29-Datenschutzgruppe öffentliche Interessen einem berechtigten Interesse stärkeres Gewicht zu verleihen vermögen. Im vorliegenden Kontext sind insbesondere die gewichtigen Interessen des Schutzes der Verbraucher vor Überschuldung, der Stabilität des Finanzsystems und der Verbesserung des Zugangs zu Krediten zu berücksichtigen, die der GA in den Schlussanträgen zur anderen die SCHUFA betreffenden Rechtssache denn auch anerkannt hat (vgl. für eine kritische Zusammenfassung).
Auch die Ausführungen zu den (ii) Folgen für die betroffene Person bieten Anlass zu Kritik :
- Zunächst erstaunt, dass der GA sich als « massgeblichen Faktor » auf die nationalrechtliche Löschfrist bezieht, nachdem er in den anderen angesprochenen Schlussanträgen noch festhielt, dass Mitgliedstaaten die Interessenabwägung in 6 Abs. 1 lit. f DSGVO nicht präzisieren dürfen.
- Zu kurz greift auch die Erwägung betreffend die Zugangsmodalitäten und die Möglichkeiten der Verbreitung. Bei seriösen Auskunfteien ist der Zugang (technisch und vertraglich) wesentlich besser abgesichert als bei öffentlichen Registern, lassen sich doch gerade Entscheidungen im Restschuldbefreiungsverfahren ohne einen Interessennachweis online abrufbar. Die Zahl der Nutzer, also der Kunden der Auskunfteien, ist potenziell gewiss gross, doch wird die Speicherung durch die Auskunfteien kaum zu weiteren Nutzern und wohl ebenso wenig netto zu einer stärkeren Verbreitung führen : Wären die Daten bei den Auskunfteien nicht verfügbar, würden sie die Kunden wohl online abrufen. Insofern tritt während der gesetzlichen Speicherfrist keine (relevante) negative Auswirkung für die betroffene Person durch die Speicherung der Auskunftei hinzu.
- Aufgrund technischer und vertraglicher Massnahmen trifft es denn auch nicht zu, dass die SCHUFA die Daten über die Restschuldbefreiung einer « grundsätzlich unbegrenzte[n] Zahl von Nutzern » zugänglich macht. Eine Auskunftei muss zugunsten der Datensicherheit ( 5 Abs. 1 lit. f DSGVO) und zur Rechtfertigung ihrer Übermittlung (vgl. Art. 6 Abs. 1 lit. f DSGVO) gewährleisten, dass der Kunde (etwa aufgrund eines Kreditgeschäfts) über ein Interesse an der Kreditwürdigkeitsbeurteilung hat. Nur in diesen Fällen erhalten Kunden die gewiss nicht unsensiblen, aber für eine Kreditwürdigkeitsprüfung notwendigen Daten.
Angesichts dieser Kritikpunkte vermögen die Schlussanträge m.E. zwar die Rechtmässigkeit der Speicherung über die gesetzliche Frist hinaus in Frage zu stellen, nicht hingegen die Speicherung während dieser Frist.
III. Zweckbindung
Die Zweckbindung verlange, dass personenbezogene Daten für einen festgelegten Zweck erhoben werden und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden (Art. 5 Abs. 1 lit. b DSGVO). « Im vorliegenden Fall wurden die Daten über die Insolvenz und die Restschuldbefreiung von Behörden in Erfüllung ihrer gesetzlichen Verpflichtungen verarbeitet. »
Ob eine Weiterverarbeitung von Daten aus einem öffentlichen Register durch einen privaten Verantwortlichen wie die SCHUFA der Zweckbindung entspreche, beurteile sich nach Art. 6 Abs. 4 DSGVO, der, wie der GA zumindest ungenau wiedergibt, Kriterien zur Prüfung der Vereinbarkeit « des verfolgten Zwecks mit dem ursprünglichen Zweck » bereithalte.
- Die Verbindung zwischen den Zwecken scheine schwach (vgl. 6 Abs. 4 lit. a DSGVO). Während der ursprüngliche Zweck gesetzlich vorgesehen und der Verantwortliche eine im Rahmen ihrer gesetzlichen Aufgaben tätige Behörde sei, gehe die SCHUFA als private Einrichtung einer gewerblichen Tätigkeit nach, die in der Bereitstellung wirtschaftlicher Informationen über Personen bestehe.
- Zum Zusammenhang, in dem die Daten erhoben wurden (vgl. 6 Abs. 4 lit. b DSGVO), sei festzustellen, dass keine Verbindung zwischen dem Verantwortlichen und der betroffenen Person bestehe, da sie aufgrund der Erhebung im Register weder Kenntnis von der Weiterverwendung noch vom Verantwortlichen oder vom Weiterverarbeitungszweck habe. Die gesetzliche Frist erlaube bei vernünftiger Betrachtung den Schluss, dass die Daten nach deren Ablauf gelöscht werden.
- Bei den Folgen der Weiterverarbeitung (vgl. 6 Abs. 4 lit. d DSGVO) sei zu berücksichtigen, dass die Informationen über Insolvenzverfahren bei einer zukünftigen Beurteilung der Kreditwürdigkeit als negativen Faktor herangezogen würden, was erhebliche Auswirkungen auf die Rechte dieser Person haben könne, etwa hinsichtlich der Ausübung ihrer Freiheiten und dem Zugang zu Waren und Dienstleistungen.
Für den GA liegen demnach die « drei Kriterien, die erfüllt sein müssen, damit die Verwendung personenbezogener Daten dem ursprünglichen Zweck entspricht », nicht vor. Ausserdem habe der nationale Gesetzgeber durch die Festlegung der Speicherfrist eine Abwägung zwischen dem Interesse der Gläubiger und den Interessen und Rechten der insolventen Personen vorgenommen. Eine Speicherung darüber hinaus stelle für die betroffene Person de facto eine Strafmassnahme dar, die das Gesetz eindeutig nicht vorsehe. Im Übrigen erscheine es unverhältnismässig, die Restschuldbefreiung in künftigen Bewertungen zu verwenden, statt aktualisierte Faktoren heranzuziehen. Der Wert einer mehrere Jahre alten Information über die wirtschaftliche Situation einer Person sei fraglich ; Umstände, die eine gewisse Zeit zurücklägen, werden kaum zuverlässige Informationen über die aktuelle wirtschaftliche Situation liefern.
Anmerkungen
Bemerkenswert ist bei diesen Erwägungen zunächst, dass (nun plötzlich) die « Erfüllung [der] gesetzlichen Verpflichtung » der ursprüngliche Zweck darstellen soll, nachdem der GA zuvor selbst festgestellt hat, dass der Zweck des Registers (und auch der Verarbeitung der SCHUFA) die Information der Gläubiger und die Verhinderung von Parallelverfahren sei.
Gesucht erscheint sodann, die Verbindung zweier Zwecke davon abhängig zu machen, ob sie gesetzlich vorgesehen oder privatautonom gewählt sind und ob sie von einer Behörde oder einem privaten Verantwortlichen verfolgt werden. Diese Aspekte können kaum massgeblich sein. Denn folgt man dieser Logik, dürfte z.B. auch die Verwendung von Informationen aus einem Grundbuch oder Handelsregister durch einen privaten Verantwortlichen unzulässig sein. Entscheidend muss vielmehr die inhaltliche Übereinstimmung sein, die der GA zuvor selbst bestätigt hat (die « von SCHUFA angebotene Dienstleistung scheint mir keinen anderen Zweck zu haben »).
Nicht nachvollziehbar ist zudem, weshalb den betroffenen Personen die Kenntnis des Verantwortlichen, der Weiterverwendung und deren Zwecks fehlen soll. Einen Verantwortlichen trifft sowohl bei der indirekten Beschaffung (Art. 14 Abs. 1 und 2 DSGVO) als auch bei der Weiterverarbeitung eine Informationspflicht (vgl. Art. 14 Abs. 4 DSGVO). Freilich dürfte die gesetzliche Speicherfrist die vernünftige Erwartung der betroffenen Person wecken, dass die Daten nach deren Ablauf gelöscht werden. Jedoch lässt der GA hier ausser Acht, dass diese Erwartungen auch von den Informationen des Verantwortlichen an die betroffenen Personen (eben etwa über eine längere Speicherdauer) abhängen.
Die vom GA erwähnten Folgen vermögen sich tatsächlich zu ergeben. Jedoch sind sie nicht der Weiterverarbeitung eigen, sondern können ebenso durch die (unmittelbare) Verwendung der im Register veröffentlichen Daten entstehen. Während der gesetzlichen Speicherfrist ist also zu berücksichtigen, dass eigentlich keine weiteren negativen Folgen hinzukommen und die ohnehin drohenden negativen Folgen mit dem gesetzlichen Zweck der Veröffentlichung im Einklang stehen.
Vor diesem Hintergrund überzeugen die Erwägungen zu den Kriterien von Art. 6 Abs. 4 (lit. a, b und d) DSGVO nicht. Auch müssen – entgegen den Ausführungen des GA – die Kriterien nicht im Einzelnen erfüllt sein, sondern ist deren Vorliegen oder Fehlen vielmehr bloss neben anderen Faktoren bei der Beurteilung der Vereinbarkeit zu berücksichtigen. Zu diesen weiteren Faktoren können m.E. allerdings nicht die noch hinterher geschobenen Ausführungen des GA zählen, dass die längere Speicherung eine Strafe darstelle und unverhältnismässig sei. Diese Aspekte sind bei der Zweckbindung deplatziert, gehören sie doch eigentlich zur vom GA bereits vorgenommenen Prüfung von Art. 6 Abs. 1 lit. f DSGVO bzw. der noch bevorstehenden der Datenminimierung.
IV. Datenminimierung
Hinsichtlich der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) wirft der GA die Frage auf, « welchen Sinn es hat, personenbezogene Daten zur Verfügung zu stellen, die bereits in den von den Mitgliedstaaten errichteten Registern öffentlich zugänglich sind. Eine solche Tätigkeit scheint mir vielmehr zu einer Verbreitung sensibler Informationen führen zu können, die nicht zwingend erforderlich ist, um den geschäftlichen Interessen der Wirtschaftsteilnehmer zu entsprechen. » Der Grundsatz sei daher verletzt.
Diese Erwägung verkennt m.E., dass sich die Datenminimierung nach dem Zweck der Verarbeitung richtet, der bei der Auskunftei in der Bereitstellung von (zuverlässigen) Informationen, konkret Kreditwürdigkeitsbeurteilungen, liegt. Dafür ist, wie bereits zur Erforderlichkeit bemerkt, nicht zuletzt mit Blick auf den Richtigkeitsgrundsatz notwendig, dass ein möglichst vollständiges Bild der Kreditwürdigkeit gezeichnet wird, also auch Daten aus öffentlichen Registern berücksichtigt werden.
V. Verhaltensregeln
Zu Recht negativ beantwortet der GA die Frage, ob es mit dem Unionsrecht vereinbar ist, in Verhaltensregeln nach Art. 40 DSGVO Prüf- und Löschpflichten vorzusehen, die über die (gesetzlichen) Speicherfristen öffentlicher Register hinausgehen, ohne eine Interessenabwägung i.S.v. Art. 6 Abs. 1 lit. f DSGVO vorzunehmen. Zur Begründung bringt er im Wesentlichen drei Argumente vor :
- Verhaltensregeln seien freiwillige Verpflichtungen, vorliegend von den Mitgliedern des Verbands. Mit der Genehmigung der Verhaltensregeln erkläre sich die Aufsichtsbehörde an diese gebunden. Eine Bindungswirkung gegenüber Dritten entfalte die Genehmigung indes nicht.
- Verhaltensregeln sollen definitionsgemäss Bestimmungen einer Rechtsnorm präzisieren, um deren Anwendung zu erleichtern (vgl. 40 Abs. 1 und 2 DSGVO). Angesichts dieser Funktion können sie für sich genommen nicht die Rechtsgrundlage einer Datenverarbeitung darstellen.
- Eine Rechtsgrundlage könne sich nur aus 6 DSGVO oder gestützt auf eine Öffnungsklausel aus nationalem Recht ergeben. Verhaltensregeln vermögen nicht die möglichen Rechtsgrundlagen zu erweitern.
Art. 40 Abs. 2 lit. b DSGVO erlaubt zwar auch die berechtigten Interessen des Verantwortlichen in bestimmten Zusammenhängen zu präzisieren. Verhaltensregeln, die zu einem anderen Ergebnis führen würden als demjenigen, das nach Art. 6 Abs. 1 lit. f DSGVO erzielt worden wäre, können indes bei der Abwägung nach dieser Bestimmung nicht berücksichtigt werden.
VI. Schlussbemerkungen
Der EuGH ist an die Schlussanträge des GA nicht gebunden, dürfte ihnen aber (wie zumeist) folgen. Wohl im Wissen darum hat die SCHUFA zwischenzeitlich beschlossen, ab sofort die Speicherdauer von drei Jahren auf sechs Monate zu kürzen. Die zu erwartende Bestätigung des EuGH wird sich zwar auf das schweizerische Recht nicht unbesehen übertragen lassen, etwa weil es nicht vom Verbotsprinzip mit Erlaubnisvorbehalt beherrscht ist und die Restschuldbefreiung (noch ?) nicht kennt. Dennoch stellen sich insbesondere unter der Verhältnismässigkeit in zeitlicher Hinsicht analoge Fragen.
Die Speicherung von Betreibungsregisterdaten durch Auskunfteien zum Beispiel, so liesse sich im Sinne des GA argumentieren, müsste auf fünf Jahre begrenzt werden, weil das Einsichtsrecht Dritter in das Betreibungsregister nach dieser Dauer ab Beendigung des Verfahrens erlischt (Art. 8a Abs. 4 SchKG). Allerdings prüfte der EDÖB diese Frage in seinem (nicht veröffentlichten) Schlussbericht zur Datensammlung Teledata bereits und räumte ein, dass Betreibungs- und Konkursverfahren von der Einleitung bis zum Abschluss länger als fünf Jahre dauern können, die Praxis der Betreibungs- und Konkursämter hinsichtlich des Abschlusszeitpunkts unterschiedlich sei und Auskunfteien diesen Zeitpunkt nicht feststellen könnten. Er befand daher die Speicherung und Anzeige von Betreibungsregisterdaten während zehn Jahren für zulässig.
Mit dem nDSG wird auch das überwiegende Interesse für Datenbearbeitungen zwecks Kreditwürdigkeitsprüfung eine zeitliche Beschränkung erhalten : Art. 31 Abs. 2 lit. c Ziff. 3 nDSG sieht vor, dass die Daten nicht älter als zehn Jahre sein dürfen. Allerdings stellt dies nicht eine generelle Vorgabe an Datenbearbeitungen zu diesem Zweck dar, sondern vielmehr eine Voraussetzung, damit ein Verantwortlicher gestützt auf diese Norm eine persönlichkeitsverletzende Datenbearbeitung rechtfertigen kann. Dies erhellt bereits aus der systematischen Platzierung der Vorgabe in einem Rechtfertigungsgrund, geht aber auch aus den Materialien (vgl. u.a. AB NR 2020 1600, Votum Keller-Sutter) hervor. Auskunfteien sind also kraft dieser Bestimmung nicht verpflichtet, mehr als zehn Jahre alte Daten zu löschen.
Als IG Wirtschaftsauskunfteien haben sich im Übrigen auch die schweizerischen Auskunfteien Verhaltensregeln gegeben. Die enthaltenen (maximalen) Speicherfristen sind zwar teilweise lange (z.B. 20 Jahre für Verlustscheine), entsprechen aber soweit ersichtlich der Praxis des EDÖB in der Sache Teledata. Falls sie sich im Einzelnen dennoch als unzulässig lange erweisen sollten, würden die Verhaltensregeln auch unter schweizerischem Recht den Auskunfteien keine längere Speicherung erlauben. Aus ähnlichen Überlegungen wie sie der GA zur DSGVO ausführt, vermögen Verhaltenskodizes nach Art. 11 nDSG das Gesetz nur zu präzisieren, nicht aber zuungunsten betroffener Personen abzuändern. Noch nicht restlos klar ist allerdings, welche Bedeutung einer positiven Stellungnahme des EDÖB zu einem Verhaltenskodex zukommt (vgl. Art. 11 Abs. 2 nDSG). Gemäss Botschaft darf davon ausgegangen werden, dass ein Verhalten gemäss positiv beurteiltem Verhaltenskodex keine Verwaltungsmassnahmen nach sich zieht. Dies wird aber jedenfalls nichts daran ändern, dass ein Gericht (wie in der vorliegend besprochenen Rechtssache) die enthaltenen Regeln für nicht datenschutzkonform erachten und daran angeschlossen etwa Löschbegehren gutheissen kann.
Proposition de citation : Simon Henseler, Zulässigkeit der Speicherung von Daten aus öffentlichen Registern durch eine Kreditauskunftei unter der DSGVO, 4 mai 2023 in www.swissprivacy.law/224
Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.