Schlussanträge des Generalanwalts Priit Pikamäe vom 16. März 2023, Verbundene Rechtssachen C‑26/​22 und C‑64/​22

I. Ausgangslage

Die SCHUFA, die bedeu­tend­ste Auskunftei Deutschlands, sammelt über Unternehmen und Privatpersonen bonitäts­re­le­vante Daten und über­mit­telt sie gegen Entgelt u.a. Finanzinstituten für die Beurteilung der Kreditwürdigkeit kredi­tin­te­res­sier­ter Personen. Zu den gesam­mel­ten Daten zählen auch in amtli­chen Registern veröf­fent­lichte Informationen über die Insolvenz, insbe­son­dere die Restschuldbefreiung. Diese stellt (verein­facht gesagt) ein Instrument des deut­schen Insolvenzrechts dar, das verschul­dete natür­liche Personen nach einer Wohlverhaltensphase auf Antrag von ihren Verbindlichkeiten befreit. Die betref­fen­den Daten löscht die SCHUFA gemäss von der zustän­di­gen Aufsichtsbehörde geneh­mig­ten Verhaltensregeln des Verbands der Wirtschaftsauskunfteien drei Jahre nach der Eintragung. In den öffent­li­chen Registern werden die Daten hinge­gen bereits nach der gesetz­li­chen Frist von sechs Monaten gelöscht.

Zwei betrof­fene Personen stell­ten Löschbegehren hinsicht­lich dieser Daten, denen die SCHUFA keine Folge leis­tete, da auf sie die sechs­mo­na­tige Frist keine Anwendung finde. Auf Beschwerde der betrof­fe­nen Personen hin hielt die zustän­dige Aufsichtsbehörde dafür, dass die SCHUFA die Einträge über die Restschuldbefreiung über die Frist hinaus spei­chern dürfe. Befasst mit Klagen der betrof­fe­nen Personen legte das Verwaltungsgericht Wiesbaden dem EuGH insge­samt fünf Fragen zur Vorabentscheidung vor, die sich verein­fa­chend in einen formell- und einen mate­riell-recht­li­chen Komplex unter­tei­len lassen. Letzterer, der im Wesentlichen die folgen­den Fragen umfasst, wird vorlie­gend näher betrachtet :

• Ist die Speicherung perso­nen­be­zo­ge­ner Daten aus öffent­li­chen Registern bei Auskunfteien (vor und nach Ablauf der gesetz­li­chen Löschfrist) rechtmässig ?
• Steht diese Speicherung im Einklang mit den Grundsätzen der Zweckbindung und der Datenminimierung ?
• Welche Rolle spie­len die von der Aufsichtsbehörde geneh­mig­ten Verhaltensregeln ?

II. Rechtmässigkeit

Eine Datenverarbeitung ist nur rechtmäs­sig, wenn die Voraussetzungen einer der in Art. 6 Abs. 1 DSGVO abschlies­send aufgezähl­ten Rechtsgrundlagen vorlie­gen. Mit Blick auf die Vorlagefrage prüft der Generalanwalt (GA) Art. 6 Abs. 1 lit. f DSGVO, wofür (1) ein berech­tigtes Interesse des Verantwortlichen oder eines Dritten vorlie­gen und (2) die Datenverarbeitung zu dessen Wahrung erfor­der­lich sein muss ; (3) sodann dürfen die Grundrechte und Grundfreiheiten der betrof­fe­nen Person nicht überwiegen.

Berechtigtes Interesse

Der GA aner­kennt das berech­tigte Interesse von SCHUFA, ihren Kunden Dienstleistungen wie die Ermittlung der Kreditwürdigkeit und die Erteilung von Bonitätsauskünften zu erbrin­gen, sowie jenes der Kunden von SCHUFA, ihre Dienstleistungen in Anspruch zu nehmen, um die Kreditwürdigkeit poten­ziel­ler Geschäftspartner zu beur­tei­len. Zudem ents­preche das mit der fragli­chen Dienstleistung verfolgte Ziel im Wesentlichen demje­ni­gen, das der Unionsgesetzgeber mit Erlass der Pflicht der Mitgliedstaaten verfolgte, ein Register zu errich­ten, um Informationen über Insolvenzerfahren bekannt zu machen. Das Ziel dieser öffent­li­chen Register bestehe darin, « eine bessere Information der betrof­fe­nen Gläubiger und Gerichte zu gewähr­leis­ten und die Eröffnung von Parallelverfahren zu verhin­dern ». Die von SCHUFA ange­bo­tene Dienstleistung scheine « keinen ande­ren Zweck » zu haben.

Erforderlichkeit

Die Erforderlichkeit begrenze Ausnahmen und Einschränkungen des Schutzes perso­nen­be­zo­ge­ner Daten auf das abso­lut Notwendige. Es genüge nicht, dass die Verarbeitung ledi­glich von Nutzen sei ; viel­mehr dürfe es keine den Schutz perso­nen­be­zo­ge­ner Daten weni­ger beein­träch­ti­gende alter­na­tive Lösungen geben. Diesbezüglich hält der Generalanwalt  sodann Folgendes fest :

« Im vorlie­gen­den Fall müsste nach­ge­wie­sen werden, dass die Sammlung perso­nen­be­zo­ge­ner Daten über die Insolvenz aus öffent­li­chen Registern und ihre private Speicherung die einzige Möglichkeit für SCHUFA dars­tel­len, ihren Kunden diese genauen Informationen zu gewer­bli­chen Zwecken anzu­bie­ten. Es lässt sich nicht ausschließen, dass SCHUFA die Möglichkeit hat, die kommer­zielle Dienstleistung anzu­bie­ten und Informationen über die Kreditwürdigkeit der Personen mittels ande­rer verfüg­ba­rer Daten zu ertei­len. Es ist Sache des vorle­gen­den Gerichts, zu prüfen, ob diese Möglichkeit es SCHUFA noch ermö­gli­chen würde, ihren Kunden diese kommer­zielle Dienstleistung in sach­dien­li­cher Weise anzubieten. »

Der GA stellt sodann die Erforderlichkeit (während der gesetz­li­chen Frist) inso­weit in Frage, als die SCHUFA die betref­fen­den Daten jeweils erst bei einer konkre­ten Anfrage eines Kunden beschaf­fen könnte, statt sie im Voraus zu erhe­ben und bei sich zu spei­chern. Gemäss SCHUFA ist dieses Vorgehen für eine zeit­nahe Erteilung der Auskunft unmö­glich, was der GA (eben­falls) dem vorle­gen­den Gericht zu prüfen überlässt.

Interessenabwägung

Bei der Interessenabwägung seien mit Blick auf Leitlinien der Art.-29-Datenschutzgruppe (i) die Bewertung des berech­tig­ten Interesses des Verantwortlichen, (ii) die Folgen für die betrof­fe­nen Personen, (iii) das vorläu­fige Gleichgewicht und (iv) allfäl­lige zusätz­liche Schutzmassnahmen zu berücksichtigen.

In Bezug auf (i) die Interessen der SCHUFA und ihrer Kunden hält der GA fest, dass diese rein wirt­schaft­li­cher Natur, aber – wie bereits fest­ge­hal­ten – legi­tim seien.

Hinsichtlich (ii) der Folgen für die betrof­fe­nen Personen berück­sich­tigt der GA verschie­dene Aspekte :

• Der mass­ge­bliche Faktor scheine die Löschfrist zu sein : « Je länger die Daten in Datenbanken priva­ter Wirtschaftsauskunfteien gespei­chert werden, desto größer sind die Folgen für die betrof­fene Person. » Der deutsche Gesetzgeber sei davon ausge­gan­gen, dass die Daten über ein Insolvenzverfahren im öffent­li­chen Register sechs Monate veröf­fent­licht sein müssen, um das (obge­nannte) Ziel des Registers zu errei­chen. Die Speicherung der perso­nen­be­zo­ge­nen Daten über diesen Zeitraum hinaus scheine daher a priori erhe­bliche nega­tive Folgen für die betrof­fene Person zu haben.
• Weiter seien die Zugangsmodalitäten der Datenbank und die beste­hen­den Möglichkeiten für die Verbreitung der perso­nen­be­zo­ge­nen Daten zu berück­sich­ti­gen. Der Eingriff sei stär­ker in Abhängigkeit der Einfachheit des Zugangs und der Zahl der Nutzer. Bereits während der ersten sechs Monate führe die Speicherung der Auskunfteien zu einer zusätz­li­chen nega­ti­ven Auswirkung auf das Privatleben der betrof­fe­nen Personen.
• Die Folgen nehmen für die betrof­fene Person auch je nach Sensibilität der perso­nen­be­zo­ge­nen Daten zu (unabhän­gig davon, ob es sich um Daten i.S.v. 9 Abs. 1 DSGVO handelt). Der EuGH habe inso­fern fest­ge­hal­ten, dass perso­nen­be­zo­gene Daten über die Beitreibung von Forderungen « sensible » Daten für das Privatleben seien. Die Zugänglichmachung solcher Daten für eine grund­sätz­lich unbe­grenzte Zahl von Nutzern sei ein erhe­bli­cher Eingriff in die Grundrechte.
• Schliesslich können rechtmäs­sige Datenverarbeitungen im Laufe der Zeit nicht mehr mit der DSGVO verein­bar sein, gerade wenn die betref­fen­den Daten für den Zweck nicht mehr erhe­blich sind (Zeitfaktor). Die SCHUFA müsse begrün­den können, weshalb sich die Speicherung für eine Dauer länger als die gesetz­liche Frist rechtfertige.

Als (iii) vorläu­figes Gleichgewicht (und mangels Hinweise auf (iv) zusätz­liche Schutzmassnahmen auch als Ergebnis) resul­tiert für den GA, dass die erhe­bli­chen nega­ti­ven Folgen, welche die Speicherung der Daten für die betrof­fene Person nach Ablauf der sechs Monaten haben wird, gegenü­ber dem geschäft­li­chen Interesse der Auskunftei und ihrer Kunden an der Speicherung der Daten nach diesem Zeitraum über­wie­gen. Hinsichtlich des Zeitraums von sechs Monaten, während der eine paral­lele Speicherung von Register und Auskunftei bestehe, überlässt der GA dem vorle­gen­den Gericht die Prüfung von Art. 6  Abs. 1 lit. f DSGVO.

Anmerkungen

Die Erforderlichkeit lässt der GA zwar offen, betrach­tet sie aber kritisch. Dabei lässt er ausser Acht, dass auch das Gesetz (zumin­dest inne­rhalb der sechs­mo­na­ti­gen Frist) von der Erheblichkeit der Restschuldbefreiung für die Gläubiger ausgeht und der Richtigkeitsgrundsatz (Art. 5 Abs. 1 lit. d DSGVO) ein (möglichst) voll­stän­diges Bild über die Kreditwürdigkeit verlangt. Ob eine Beschaffung erst bei einer konkre­ten Anfrage eines Kunden genügt, ist eine tech­nische Umsetzungsfrage. In gewis­sen Bereichen, etwa im E‑Commerce, ist jeden­falls für eine « sach­dien­liche » Dienstleistung eine Beurteilung in Echtzeit notwendig.

Im Rahmen der Interessenabwägung klam­mert der GA bei der (i) Bewertung des berech­tig­ten Interesses aus, dass auch nach der Art.-29-Datenschutzgruppe öffent­liche Interessen einem berech­tig­ten Interesse stär­keres Gewicht zu verlei­hen vermö­gen. Im vorlie­gen­den Kontext sind insbe­son­dere die gewich­ti­gen Interessen des Schutzes der Verbraucher vor Überschuldung, der Stabilität des Finanzsystems und der Verbesserung des Zugangs zu Krediten zu berück­sich­ti­gen, die der GA in den Schlussanträgen zur ande­ren die SCHUFA betref­fen­den Rechtssache denn auch aner­kannt hat (vgl. für eine kritische Zusammenfassung).

Auch die Ausführungen zu den (ii) Folgen für die betrof­fene Person bieten Anlass zu Kritik :

• Zunächst erstaunt, dass der GA sich als « mass­ge­bli­chen Faktor » auf die natio­nal­recht­liche Löschfrist bezieht, nach­dem er in den ande­ren anges­pro­che­nen Schlussanträgen noch festhielt, dass Mitgliedstaaten die Interessenabwägung in 6 Abs. 1 lit. f DSGVO nicht präzi­sie­ren dürfen.
• Zu kurz greift auch die Erwägung betref­fend die Zugangsmodalitäten und die Möglichkeiten der Verbreitung. Bei seriö­sen Auskunfteien ist der Zugang (tech­nisch und vertra­glich) wesent­lich besser abge­si­chert als bei öffent­li­chen Registern, lassen sich doch gerade Entscheidungen im Restschuldbefreiungsverfahren ohne einen Interessennachweis online abruf­bar. Die Zahl der Nutzer, also der Kunden der Auskunfteien, ist poten­ziell gewiss gross, doch wird die Speicherung durch die Auskunfteien kaum zu weite­ren Nutzern und wohl ebenso wenig netto zu einer stär­ke­ren Verbreitung führen : Wären die Daten bei den Auskunfteien nicht verfüg­bar, würden sie die Kunden wohl online abru­fen. Insofern tritt während der gesetz­li­chen Speicherfrist keine (rele­vante) nega­tive Auswirkung für die betrof­fene Person durch die Speicherung der Auskunftei hinzu.
• Aufgrund tech­ni­scher und vertra­gli­cher Massnahmen trifft es denn auch nicht zu, dass die SCHUFA die Daten über die Restschuldbefreiung einer « grund­sätz­lich unbegrenzte[n] Zahl von Nutzern » zugän­glich macht. Eine Auskunftei muss zuguns­ten der Datensicherheit ( 5 Abs. 1 lit. f DSGVO) und zur Rechtfertigung ihrer Übermittlung (vgl. Art. 6 Abs. 1 lit. f DSGVO) gewähr­leis­ten, dass der Kunde (etwa aufgrund eines Kreditgeschäfts) über ein Interesse an der Kreditwürdigkeitsbeurteilung hat. Nur in diesen Fällen erhal­ten Kunden die gewiss nicht unsen­si­blen, aber für eine Kreditwürdigkeitsprüfung notwen­di­gen Daten.

Angesichts dieser Kritikpunkte vermö­gen die Schlussanträge m.E. zwar die Rechtmässigkeit der Speicherung über die gesetz­liche Frist hinaus in Frage zu stel­len, nicht hinge­gen die Speicherung während dieser Frist.

III. Zweckbindung

Die Zweckbindung verlange, dass perso­nen­be­zo­gene Daten für einen fest­ge­leg­ten Zweck erho­ben werden und nicht in einer mit diesen Zwecken nicht zu verein­ba­ren­den Weise weiter­ve­rar­bei­tet werden (Art. 5 Abs. 1 lit. b DSGVO). « Im vorlie­gen­den Fall wurden die Daten über die Insolvenz und die Restschuldbefreiung von Behörden in Erfüllung ihrer gesetz­li­chen Verpflichtungen verarbeitet. »

Ob eine Weiterverarbeitung von Daten aus einem öffent­li­chen Register durch einen priva­ten Verantwortlichen wie die SCHUFA der Zweckbindung ents­preche, beur­teile sich nach Art. 6 Abs. 4 DSGVO, der, wie der GA zumin­dest unge­nau wieder­gibt, Kriterien zur Prüfung der Vereinbarkeit « des verfolg­ten Zwecks mit dem ursprün­gli­chen Zweck » bereithalte.

• Die Verbindung zwischen den Zwecken scheine schwach (vgl. 6 Abs. 4 lit. a DSGVO). Während der ursprün­gliche Zweck gesetz­lich vorge­se­hen und der Verantwortliche eine im Rahmen ihrer gesetz­li­chen Aufgaben tätige Behörde sei, gehe die SCHUFA als private Einrichtung einer gewer­bli­chen Tätigkeit nach, die in der Bereitstellung wirt­schaft­li­cher Informationen über Personen bestehe.
• Zum Zusammenhang, in dem die Daten erho­ben wurden (vgl. 6 Abs. 4 lit. b DSGVO), sei fest­zus­tel­len, dass keine Verbindung zwischen dem Verantwortlichen und der betrof­fe­nen Person bestehe, da sie aufgrund der Erhebung im Register weder Kenntnis von der Weiterverwendung noch vom Verantwortlichen oder vom Weiterverarbeitungszweck habe. Die gesetz­liche Frist erlaube bei vernünf­ti­ger Betrachtung den Schluss, dass die Daten nach deren Ablauf gelö­scht werden.
• Bei den Folgen der Weiterverarbeitung (vgl. 6 Abs. 4 lit. d DSGVO) sei zu berück­sich­ti­gen, dass die Informationen über Insolvenzverfahren bei einer zukünf­ti­gen Beurteilung der Kreditwürdigkeit als nega­ti­ven Faktor heran­ge­zo­gen würden, was erhe­bliche Auswirkungen auf die Rechte dieser Person haben könne, etwa hinsicht­lich der Ausübung ihrer Freiheiten und dem Zugang zu Waren und Dienstleistungen.

Für den GA liegen demnach die « drei Kriterien, die erfüllt sein müssen, damit die Verwendung perso­nen­be­zo­ge­ner Daten dem ursprün­gli­chen Zweck ents­pricht », nicht vor. Ausserdem habe der natio­nale Gesetzgeber durch die Festlegung der Speicherfrist eine Abwägung zwischen dem Interesse der Gläubiger und den Interessen und Rechten der insol­ven­ten Personen vorge­nom­men. Eine Speicherung darü­ber hinaus stelle für die betrof­fene Person de facto eine Strafmassnahme dar, die das Gesetz eindeu­tig nicht vorsehe. Im Übrigen erscheine es unve­rhält­nismäs­sig, die Restschuldbefreiung in künf­ti­gen Bewertungen zu verwen­den, statt aktua­li­sierte Faktoren heran­zu­zie­hen. Der Wert einer mehrere Jahre alten Information über die wirt­schaft­liche Situation einer Person sei fraglich ; Umstände, die eine gewisse Zeit zurü­cklä­gen, werden kaum zuverläs­sige Informationen über die aktuelle wirt­schaft­liche Situation liefern.

Anmerkungen

Bemerkenswert ist bei diesen Erwägungen zunächst, dass (nun plötz­lich) die « Erfüllung [der] gesetz­li­chen Verpflichtung » der ursprün­gliche Zweck dars­tel­len soll, nach­dem der GA zuvor selbst fest­ges­tellt hat, dass der Zweck des Registers (und auch der Verarbeitung der SCHUFA) die Information der Gläubiger und die Verhinderung von Parallelverfahren sei.

Gesucht erscheint sodann, die Verbindung zweier Zwecke davon abhän­gig zu machen, ob sie gesetz­lich vorge­se­hen oder priva­tau­to­nom gewählt sind und ob sie von einer Behörde oder einem priva­ten Verantwortlichen verfolgt werden. Diese Aspekte können kaum mass­ge­blich sein. Denn folgt man dieser Logik, dürfte z.B. auch die Verwendung von Informationen aus einem Grundbuch oder Handelsregister durch einen priva­ten Verantwortlichen unzuläs­sig sein. Entscheidend muss viel­mehr die inhalt­liche Übereinstimmung sein, die der GA zuvor selbst bestä­tigt hat (die « von SCHUFA ange­bo­tene Dienstleistung scheint mir keinen ande­ren Zweck zu haben »).

Nicht nach­voll­zieh­bar ist zudem, weshalb den betrof­fe­nen Personen die Kenntnis des Verantwortlichen, der Weiterverwendung und deren Zwecks fehlen soll. Einen Verantwortlichen trifft sowohl bei der indi­rek­ten Beschaffung (Art. 14 Abs. 1 und 2 DSGVO) als auch bei der Weiterverarbeitung eine Informationspflicht (vgl. Art. 14 Abs. 4 DSGVO). Freilich dürfte die gesetz­liche Speicherfrist die vernünf­tige Erwartung der betrof­fe­nen Person wecken, dass die Daten nach deren Ablauf gelö­scht werden. Jedoch lässt der GA hier ausser Acht, dass diese Erwartungen auch von den Informationen des Verantwortlichen an die betrof­fe­nen Personen (eben etwa über eine längere Speicherdauer) abhängen.

Die vom GA erwähn­ten Folgen vermö­gen sich tatsä­chlich zu erge­ben. Jedoch sind sie nicht der Weiterverarbeitung eigen, sondern können ebenso durch die (unmit­tel­bare) Verwendung der im Register veröf­fent­li­chen Daten ents­te­hen. Während der gesetz­li­chen Speicherfrist ist also zu berück­sich­ti­gen, dass eigent­lich keine weite­ren nega­ti­ven Folgen hinzu­kom­men und die ohne­hin drohen­den nega­ti­ven Folgen mit dem gesetz­li­chen Zweck der Veröffentlichung im Einklang stehen.

Vor diesem Hintergrund über­zeu­gen die Erwägungen zu den Kriterien von Art. 6 Abs. 4 (lit. a, b und d) DSGVO nicht. Auch müssen – entge­gen den Ausführungen des GA – die Kriterien nicht im Einzelnen erfüllt sein, sondern ist deren Vorliegen oder Fehlen viel­mehr bloss neben ande­ren Faktoren bei der Beurteilung der Vereinbarkeit zu berück­sich­ti­gen. Zu diesen weite­ren Faktoren können m.E. aller­dings nicht die noch hinte­rher gescho­be­nen Ausführungen des GA zählen, dass die längere Speicherung eine Strafe dars­telle und unve­rhält­nismäs­sig sei. Diese Aspekte sind bei der Zweckbindung deplat­ziert, gehö­ren sie doch eigent­lich zur vom GA bereits vorge­nom­me­nen Prüfung von Art. 6 Abs. 1 lit. f DSGVO bzw. der noch bevors­te­hen­den der Datenminimierung.

IV. Datenminimierung

Hinsichtlich der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) wirft der GA die Frage auf, « welchen Sinn es hat, perso­nen­be­zo­gene Daten zur Verfügung zu stel­len, die bereits in den von den Mitgliedstaaten errich­te­ten Registern öffent­lich zugän­glich sind. Eine solche Tätigkeit scheint mir viel­mehr zu einer Verbreitung sensi­bler Informationen führen zu können, die nicht zwin­gend erfor­der­lich ist, um den geschäft­li­chen Interessen der Wirtschaftsteilnehmer zu ents­pre­chen. » Der Grundsatz sei daher verletzt.

Diese Erwägung verkennt m.E., dass sich die Datenminimierung nach dem Zweck der Verarbeitung rich­tet, der bei der Auskunftei in der Bereitstellung von (zuverläs­si­gen) Informationen, konkret Kreditwürdigkeitsbeurteilungen, liegt. Dafür ist, wie bereits zur Erforderlichkeit bemerkt, nicht zuletzt mit Blick auf den Richtigkeitsgrundsatz notwen­dig, dass ein möglichst voll­stän­diges Bild der Kreditwürdigkeit gezeich­net wird, also auch Daten aus öffent­li­chen Registern berück­sich­tigt werden.

V. Verhaltensregeln

Zu Recht nega­tiv beant­wor­tet der GA die Frage, ob es mit dem Unionsrecht verein­bar ist, in Verhaltensregeln nach Art. 40 DSGVO Prüf- und Löschpflichten vorzu­se­hen, die über die (gesetz­li­chen) Speicherfristen öffent­li­cher Register hinaus­ge­hen, ohne eine Interessenabwägung i.S.v. Art. 6 Abs. 1 lit. f DSGVO vorzu­neh­men. Zur Begründung bringt er im Wesentlichen drei Argumente vor :

• Verhaltensregeln seien frei­willige Verpflichtungen, vorlie­gend von den Mitgliedern des Verbands. Mit der Genehmigung der Verhaltensregeln erkläre sich die Aufsichtsbehörde an diese gebun­den. Eine Bindungswirkung gegenü­ber Dritten entfalte die Genehmigung indes nicht.
• Verhaltensregeln sollen defi­ni­tions­gemäss Bestimmungen einer Rechtsnorm präzi­sie­ren, um deren Anwendung zu erleich­tern (vgl. 40 Abs. 1 und 2 DSGVO). Angesichts dieser Funktion können sie für sich genom­men nicht die Rechtsgrundlage einer Datenverarbeitung darstellen.
• Eine Rechtsgrundlage könne sich nur aus 6 DSGVO oder gestützt auf eine Öffnungsklausel aus natio­na­lem Recht erge­ben. Verhaltensregeln vermö­gen nicht die mögli­chen Rechtsgrundlagen zu erweitern.

Art. 40 Abs. 2 lit. b DSGVO erlaubt zwar auch die berech­tig­ten Interessen des Verantwortlichen in bestimm­ten Zusammenhängen zu präzi­sie­ren. Verhaltensregeln, die zu einem ande­ren Ergebnis führen würden als demje­ni­gen, das nach Art. 6 Abs. 1 lit. f DSGVO erzielt worden wäre, können indes bei der Abwägung nach dieser Bestimmung nicht berück­sich­tigt werden.

VI. Schlussbemerkungen

Der EuGH ist an die Schlussanträge des GA nicht gebun­den, dürfte ihnen aber (wie zumeist) folgen. Wohl im Wissen darum hat die SCHUFA zwischen­zeit­lich beschlos­sen, ab sofort die Speicherdauer von drei Jahren auf sechs Monate zu kürzen. Die zu erwar­tende Bestätigung des EuGH wird sich zwar auf das schwei­ze­rische Recht nicht unbe­se­hen über­tra­gen lassen, etwa weil es nicht vom Verbotsprinzip mit Erlaubnisvorbehalt beherr­scht ist und die Restschuldbefreiung (noch ?) nicht kennt. Dennoch stel­len sich insbe­son­dere unter der Verhältnismässigkeit in zeit­li­cher Hinsicht analoge Fragen.

Die Speicherung von Betreibungsregisterdaten durch Auskunfteien zum Beispiel, so liesse sich im Sinne des GA argu­men­tie­ren, müsste auf fünf Jahre begrenzt werden, weil das Einsichtsrecht Dritter in das Betreibungsregister nach dieser Dauer ab Beendigung des Verfahrens erli­scht (Art. 8a Abs. 4 SchKG). Allerdings prüfte der EDÖB diese Frage in seinem (nicht veröf­fent­lich­ten) Schlussbericht zur Datensammlung Teledata bereits und räumte ein, dass Betreibungs- und Konkursverfahren von der Einleitung bis zum Abschluss länger als fünf Jahre dauern können, die Praxis der Betreibungs- und Konkursämter hinsicht­lich des Abschlusszeitpunkts unter­schied­lich sei und Auskunfteien diesen Zeitpunkt nicht fests­tel­len könn­ten. Er befand daher die Speicherung und Anzeige von Betreibungsregisterdaten während zehn Jahren für zulässig.

Mit dem nDSG wird auch das über­wie­gende Interesse für Datenbearbeitungen zwecks Kreditwürdigkeitsprüfung eine zeit­liche Beschränkung erhal­ten : Art. 31 Abs. 2 lit. c Ziff. 3 nDSG sieht vor, dass die Daten nicht älter als zehn Jahre sein dürfen. Allerdings stellt dies nicht eine gene­relle Vorgabe an Datenbearbeitungen zu diesem Zweck dar, sondern viel­mehr eine Voraussetzung, damit ein Verantwortlicher gestützt auf diese Norm eine persön­li­ch­keits­ver­let­zende Datenbearbeitung recht­fer­ti­gen kann. Dies erhellt bereits aus der syste­ma­ti­schen Platzierung der Vorgabe in einem Rechtfertigungsgrund, geht aber auch aus den Materialien (vgl. u.a. AB NR 2020 1600, Votum Keller-Sutter) hervor. Auskunfteien sind also kraft dieser Bestimmung nicht verp­flich­tet, mehr als zehn Jahre alte Daten zu löschen.

Als IG Wirtschaftsauskunfteien haben sich im Übrigen auch die schwei­ze­ri­schen Auskunfteien Verhaltensregeln gege­ben. Die enthal­te­nen (maxi­ma­len) Speicherfristen sind zwar teil­weise lange (z.B. 20 Jahre für Verlustscheine), ents­pre­chen aber soweit ersicht­lich der Praxis des EDÖB in der Sache Teledata. Falls sie sich im Einzelnen dennoch als unzuläs­sig lange erwei­sen soll­ten, würden die Verhaltensregeln auch unter schwei­ze­ri­schem Recht den Auskunfteien keine längere Speicherung erlau­ben. Aus ähnli­chen Überlegungen wie sie der GA zur DSGVO ausführt, vermö­gen Verhaltenskodizes nach Art. 11 nDSG das Gesetz nur zu präzi­sie­ren, nicht aber zuun­guns­ten betrof­fe­ner Personen abzuän­dern. Noch nicht rest­los klar ist aller­dings, welche Bedeutung einer posi­ti­ven Stellungnahme des EDÖB zu einem Verhaltenskodex zukommt (vgl. Art. 11 Abs. 2 nDSG). Gemäss Botschaft darf davon ausge­gan­gen werden, dass ein Verhalten gemäss posi­tiv beur­teil­tem Verhaltenskodex keine Verwaltungsmassnahmen nach sich zieht. Dies wird aber jeden­falls nichts daran ändern, dass ein Gericht (wie in der vorlie­gend bespro­che­nen Rechtssache) die enthal­te­nen Regeln für nicht daten­schutz­kon­form erach­ten und daran anges­chlos­sen etwa Löschbegehren gutheis­sen kann.