一般数据保护规范(“GDP.“)将成为2018年5月25日的适用。尽管GDPR于2016年5月24日生效,但其规定只有2018年5月25日只有约束力和可执行的。在GDPR的适用性之前,德国行政法院Karlsruhe(”AC Karlsruhe.“)已经不得不决定它(2017年7月6日的判决,Docket No。 10 k 7698/16)。

事实

2016年11月25日,巴登 - 符腾堡州的数据保护机构(“ DPA.“)在信用局施加了一份关于侵犯GDPR的行政秩序。

信贷机构符合第35(2)句号第2章第3章第35(2)章申请索赔及相关信息等索赔及相关信息。 4目前有效的德国联邦数据保护法案(“FDPA“)。该规定包含精确的截止日期,以考试擦除数据。

DPA.提到未来违反GDPR的违规,即2018年5月24日之后的DPA预计将发生,因为法律框架将改变。根据GDPR的第39位,控制人员有义务建立擦除或定期审查的时间限制。根据DPA发出的订单,信贷机构必须在2018年5月24日之后删除存储的数据,之后的三年之后最迟于索赔的截止日期开始,除了破产或不愿意数据需要付费。在DPA的看法中,信贷机构宣言将在2018年5月25日将其数据擦除系统执行到其数据擦除系统的规定,并不充分。

表示依赖于FDPA第38(5)条第1章第38(5)条的DPA,争论可以从未来违反数据保护法律的日期发出措施。

Ac Karlsruhe的决定

2017年7月6日,AC Karlsruhe认为,DPA的行政秩序没有法律依据。 GDPR和目前的FDPA都不授权当局根据GDPR在GDPR适用之前根据未来违反GDPR的命令。 FDPA不能为法律依据提供加强GDPR的规定,因为它们尚未申请。关于GDPR,AC Karlsruhe认为其规定,包括关于当局权力的规定,没有“预效”。

评论

判决并没有令人大大的意外,因为GDPR第99条明确在2016年生效之间明确区分,2018年的GDPR适用。因此,当局可能无法执行GDPR的规定。但是,当局已经识别可能导致合规问题的领域。判决表明,组织为GDPR准备做好准备的重要性。剩下少于九个月,直到2018年5月25日。