ZUSATZ INFORMATIONEN
Kreditauskunfteien erhalten Informationen von ihren Kunden, um diese zum Zweck einer Bonitätseinschätzung von Kreditnehmern zu speichern. Eine Löschung der Einträge erfolgt nach dem brancheninternen Code of Conduct erst drei Jahre nach ihrer Erledigung. Diese Drei-Jahres-Frist begegnet laut einem Urteil des OLG Brandenburg vom 3. Juli 2023 (Az. 1 U 8/22) keinen grundsätzlichen Bedenken und kann daher als DSGVO-konform angesehen werden.
Sachverhalt:
Die Parteien streiten über die Zulässigkeit der Speicherung von Einträgen zur Person des Klägers in der durch die Beklagte betriebenen Datenbank. Die Beklagte betreibt eine Kreditauskunftei und erhält Informationen von ihren Kunden, um diese mit dem Zweck einer Bonitätseinschätzung von Kreditnehmern zu speichern. Eine Löschung der Einträge erfolgt nach dem sog. Code of Conduct grundsätzlich drei Jahre nach ihrer Erledigung.
Der Kläger begehrt die Löschung eines in dieser Datenbank geführten Negativeintrags sowie die Unterlassung der entsprechenden Datenverarbeitung durch die Beklagte. Die geltend gemachte Löschung der streitgegenständlichen Forderung lehnten die Beklagte und der ebenfalls mit der Angelegenheit befasste Hessische Datenschutzbeauftragte als für die Beklagte zuständige Aufsichtsbehörde jedoch ab.
Das LG wies die Klage auf Löschung des Datenbankeintrags und auf Unterlassung der Verarbeitung ab. Das OLG hat auch die Berufung als nicht begründet zurückgewiesen. Die Revision wurde nicht zugelassen.
Begründung:
Das LG hat zu Recht Ansprüche des Klägers auf Löschung der streitgegenständlichen Einträge aus Art. 17 Abs. 1 DSGVO verneint. Als Anspruchsgrundlage für die geltend gemachte Löschung des Eintrags kommt ausschließlich Art. 17 Abs. 1 DSGVO in Betracht, da für das unionsweit abschließend geregelte und vereinheitlichte Datenschutzrecht ein Anwendungsvorrang gilt.
Danach setzt ein Anspruch auf Löschung entweder eine von Anfang an unrechtmäßige oder eine erst später durch Zeitablauf unrechtmäßig gewordene Verarbeitung von Daten voraus, Art. 17 Abs. 1 d) DSGVO. Die Übermittlung der Daten an die Beklagte war zunächst jedenfalls nach Art. 6 Abs. 1 f) DSGVO rechtmäßig. Das berechtigte Interesse der Beklagten an der Verarbeitung der streitgegenständlichen Daten ergibt sich aus dem Interesse der Kreditwirtschaft an der Zurverfügungstellung von bonitätsrelevanten Daten, um andere Unternehmen vor wirtschaftlichen Schäden und potentielle Kreditnehmer vor Überschuldung zu schützen.
Aus den durch das LG zutreffend ausgeführten Gründen ist darüber hinaus auch die fortdauernde Speicherung der Daten rechtmäßig. Die DSGVO enthält für die Dauer einer Speicherung von personenbezogenen Daten keine konkreten Regelungen, sondern knüpft die Rechtmäßigkeit der weiteren Verarbeitung allein an das Kriterium der Notwendigkeit und damit an eine Abwägung im Einzelfall. Art. 40 Abs. 2 DSGVO bietet Branchenverbänden die Möglichkeit, Anwendungsfelder mit den zuständigen Datenschutzaufsichtsbehörden durch verbindliche Verhaltensregeln zu konkretisieren. Das ist für die Beklagte durch den vom Verband der Wirtschaftsauskunfteien e.V. herausgegebenen Code of Conduct, den "Verhaltensregeln für die Prüf- und Löschfristen von personenbezogenen Daten durch die deutschen Wirtschaftsauskunfteien vom 25. Mai 2018" im Sinne einer Selbstverpflichtung der Mitglieder geschehen.
In diesen Verhaltensregeln sind für die einzelnen personenbezogenen Daten der Schuldner bestimmte Prüf- und Löschfristen aufgeführt, wobei der hier streitgegenständliche Eintrag unter die Regelung in Ziff. II. Nr. 1 b) CoC fällt, die eine Löschung drei Jahre nach dem Ausgleich der Forderung vorsieht. Diese Regelung bietet keine eigene materielle Rechtsgrundlage für die Dauer der Datenspeicherung, wird aber in der Rechtsprechung als ein jedenfalls im Regelfall beachtlicher und sachgerechter Interessenausgleich zwischen den Beteiligten herangezogen und anerkannt, wenn - wie hier - keine konkreten Anhaltspunkte für eine abweichende Bewertung im Einzelfall vorgetragen oder sonst ersichtlich sind.
Entgegen der Auffassung des Klägers begegnet die Drei-Jahres-Frist des Code of Conduct keinen grundsätzlichen Bedenken. Diese ergeben sich erstens nicht aus Erwägungsgrund Nr. 39 der DSGVO. Zweitens erscheint die im Code of Conduct vorgesehene Regelfrist von drei Jahren auch mit Blick auf die bereits in § 35 Abs. 2 Satz 2 Nr. 4 BDSG a.F. zum Ausdruck gebrachten Wertungen als angemessen. Danach war im Falle eines erledigten Sachverhalts zum Ende des dritten Kalenderjahres lediglich eine Prüfung der Erforderlichkeit geschäftsmäßig verarbeiteter personenbezogener Daten vorgesehen.