Skip to content

VG Düsseldorf: Kein Anspruch gegen Datenschutzbehörde auf Abhilfemaßnahmen nach Art 58 Abs. 2 DSGVO wenn Verantwortlicher für Datenschutzverstoß nicht ermittelt werden kann

VG Düsseldorf
Urteil vom 11.11.2024
29 K 4853/22


Das VG Düsseldorf hat entschieden, dass einen Betroffener keinen Anspruch gegen die datenschutzrechtliche Aufsichtsbehörde auf Abhilfemaßnahmen nach Art 58 Abs. 2 DSGVO hat, wenn der Verantwortliche für den Datenschutzverstoß nicht ermittelt werden kann.

Aus den Entscheidungsgründen:
Rechtsgrundlage der streitgegenständlichen Beschwerdeentscheidung ist Art. 57 Abs. 1 Buchst. f DSGVO i. V. m. Art. 77 Abs. 1 DSGVO, sofern das Landgericht U. und die Staatsanwaltschaft U. Verwaltungsaufgaben wahrnehmen (§ 5 Abs. 4 DSG NRW). Soweit durch das Landgericht U. an die Staatsanwaltschaft U. personenbezogene Daten zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit verarbeitet werden, ist der Anwendungsbereich der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörde zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates vom 27. April 2016 (JI-RL) eröffnet. Über die Regelungen in §§ 60 Abs. 2, 61 DSG NRW richtet sich die Beschwerdeentscheidung ebenfalls nach Art. 57 Abs. 1 Buchst. f DSGVO i.V.m. Art. 77 Abs. 1 DSGVO.

Aus diesen Rechtsnormen ergibt sich nicht lediglich ein petitionsähnliches Recht in dem Sinne, dass die gerichtliche Kontrolle darauf beschränkt wäre, ob sich die Aufsichtsbehörde mit der Beschwerde befasst, den Beschwerdegegenstand in angemessenem Umfang untersucht und den Beschwerdeführer über das Ergebnis der Prüfung unterrichtet hat.

So noch: OVG Rheinland-Pfalz, Urteil vom 26. Oktober 2020 – 10 A 10613/20 –, juris Rn. 37 ff.; VGH Baden-Württemberg, Urteil vom 22. Januar 2020 – 1 S 3001/19 –, juris Rn. 51,

Stattdessen unterliegt die Entscheidung der Aufsichtsbehörde einer vollständigen inhaltlichen Überprüfung durch das Gericht. Insbesondere ist jede Aufsichtsbehörde nach Art. 57 Abs. 1 Buchst. f DSGVO verpflichtet, sich in ihrem Hoheitsgebiet mit Beschwerden zu befassen, die jede Person gem. Art. 77 Abs. 1 DSGVO einlegen kann, wenn sie der Ansicht ist, dass eine Verarbeitung sie betreffender personenbezogener Daten gegen diese Verordnung verstößt, und den Gegenstand der Beschwerde in angemessenem Umfang zu untersuchen. Die Aufsichtsbehörde muss eine solche Beschwerde mit aller gebotenen Sorgfalt bearbeiten. Hinsichtlich der Bearbeitung von Beschwerden verleiht Art. 58 Abs. 1 DSGVO jeder Aufsichtsbehörde weitreichende Untersuchungsbefugnisse. Stellt eine solche Behörde am Ende ihrer Untersuchung einen Verstoß gegen die Bestimmungen dieser Verordnung fest, ist sie verpflichtet, in geeigneter Weise zu reagieren, um der festgestellten Unzulänglichkeit abzuhelfen. Zu diesem Zweck werden in Art. 58 Abs. 2 DSGVO die verschiedenen der Aufsichtsbehörde zur Verfügung stehenden Abhilfebefugnisse aufgezählt. Hinsichtlich dieser in Art. 58 Abs. 2 DSGVO genannten Abhilfebefugnisse verfügt die Behörde indes über ein Ermessen in Bezug auf die geeigneten und erforderlichen Mittel, welches das Gericht nur dahingehend überprüft, ob die Aufsichtsbehörde die Grenzen ihres Ermessens eingehalten hat.

Vgl. EuGH, Urteil vom 7. Dezember 2023 – C-26/22 –, juris Rn. 47 ff. sowie bereits: BFH, Urteil vom 12. Dezember 2023 – IX R 33/21 –, juris Rn. 14 ff.; BSG, Urteil vom 20. Januar 2021 – B 1 KR 15/20 R –, juris Rn. 111; Hamburgisches OVG, Urteil vom 7. Oktober 2019 – 5 Bf 291/17 –, juris Rn. 69 ff.

Unter Berücksichtigung der vorstehenden Ausführungen handelt es sich bei dem Recht auf Beschwerde nach Art. 57 Abs. 1 Buchst. f DSGVO i. V. m. Art. 77 Abs. 1 DSGVO um ein subjektiv-öffentliches Recht, aus dem sich ein gerichtlich überprüfbarer, zweistufiger Anspruch ergibt. Zunächst ist zu prüfen, ob die Aufsichtsbehörde in angemessenem Umfang überprüft hat, ob ein Verstoß gegen die Datenschutzgrundverordnung vorliegt. Für den Fall, dass ein Verstoß festgestellt wird, besteht ein Anspruch des Klägers auf ermessensfehlerfreie Entscheidung über ein aufsichtsbehördliches Einschreiten der Beklagten.

Vgl. BFH, Urteil vom 12. Dezember 2023 – IX R 33/21 –, juris Rn. 32; VG Hamburg, Urteil vom 1. Juni 2021 – 17 K 2977/19 –, juris Rn. 53.

Soweit der Kläger mit seinem Hauptantrag einen Anspruch auf Verhängung eines Verbots der Datenverarbeitung in Form der Übermittlung seiner personenbezogenen Daten aus den ihn betreffenden Verfahrensakten an Medienvertreter und in Form der Vervielfältigung der Verfahrensakten gegenüber dem „Rechtsträger des Landgerichts U. sowie der Staatsanwaltschaft beim Landgericht U.“ begehrt, kann dahinstehen, ob die Beklagte einen Verstoß gegen datenschutzrechtliche Vorschriften in angemessenem Umfang überprüft hat. Denn ein Anspruch des Klägers gemäß Art. 58 Abs. 2 Buchst. f DSGVO oder gemäß § 60 Abs. 3 DSG NRW entsprechend Art. 58 Abs. 2 Buchst. f DSGVO auf ein aufsichtsrechtliches Tätigwerden der Beklagten gegenüber dem Rechtsträger des Landgerichts U. und der Staatsanwaltschaft U. – nach Auffassung des Klägers das Ministerium für Justiz des Landes Nordrhein-Westfalen – ist bereits deshalb nicht gegeben, weil dieser nicht Verantwortlicher im Sinne der datenschutzrechtlichen Vorschriften ist. Vielmehr sind das Landgericht U. und die Staatsanwaltschaft U. datenschutzrechtlich jeweils selbst verantwortliche Stellen.

Da der Beklagte als Aufsichtsbehörde allein die Einhaltung und Überwachung der datenschutzrechtlichen Bestimmungen obliegt (vgl. §§ 26, 60 DSG NRW), richtet sich die Verantwortlichkeit für einen Datenschutzverstoß nicht nach zivil- oder strafrechtlichen Vorschriften, sondern allein nach Datenschutzrecht.

Die Rechte und Pflichten aus der DSGVO knüpfen an den Verantwortlichen im datenschutzrechtlichen Sinne an.

Vgl. Schild, in: BeckOK Datenschutzrecht, Wolff/Brink/v.Ungern-Sternberg, 49. Edition, Stand 1. August 2024, Art. 4 Rn. 88.

Der Verantwortliche ist nach Art. 5 Abs. 2 DSGVO für die Einhaltung der in Art. 5 Abs. 1 DSGVO genannten Grundsätze für die Verarbeitung personenbezogener Daten verantwortlich und müssen deren Einhaltung nachweisen können. Nur ihnen gegenüber kann die Beklagte als Aufsichtsbehörde demzufolge Maßnahmen ergreifen. Nur der für die Datenverarbeitung Verantwortliche hat die Möglichkeit, auf die Datenverarbeitung einzuwirken und etwaige Verstöße abzustellen.

„Verantwortlicher“ ist nach der gesetzlichen Definition in Art. 4 Nr. 7 DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche bzw. können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden.

Nichts Anderes gilt im Anwendungsbereich der JI-RL und des 3. Teils des DSG NRW, sodass offenbleiben kann, auf welcher Grundlage die (rechtswidrige) Datenverarbeitung durch Weitergabe an Medienvertreter erfolgte. Nach der bezogen auf Behörden gleichlautenden Vorschrift ist „Verantwortlicher“ gemäß Art. 3 Nr. 8 JI-RL, § 36 Nr. 9 DSG NRW die zuständige Behörde, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. „Zuständige Behörde“ wiederum ist nach Art. 3 Nr. 7 JI-RL, § 36 Nr. 8 Buchst. a DSG NRW jede staatliche Stelle, die personenbezogene Daten zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit oder Ordnung verarbeitet.

In Bezug auf Behörden oder öffentliche Stellen wird sowohl nach der DSGVO als auch nach der JI-RL hinsichtlich des „Verantwortlichen“ auf die Behörde oder staatliche Stelle als solche abgestellt.

Vgl. Schild, in: BeckOK Datenschutzrecht, Wolff/Brink/v.Ungern-Sternberg, 49. Edition, Stand 1. August 2024, Art. 4 Rn. 88.

Das Landgericht U. und die Staatsanwaltschaft U. sind Behörde bzw. staatliche Stelle in diesem Sinne. Als untere Justizbehörden nehmen das Landgericht U. und die Staatsanwaltschaft U. Verwaltungsaufgaben wahr (§ 3 Abs. 2 Gesetz über die Justiz im Land Nordrhein-Westfalen (Justizgesetz Nordrhein-Westfalen – JustG NRW)). Soweit die Gerichte und die Strafverfolgungsbehörden als Organe der Rechtspflege tätig werden, zählen sie zu den öffentlichen Stellen.

Vgl. Eßer, in: Schwartmann/Pabst, Landesdatenschutzgesetz Nordrhein-Westfalen, § 36 Rn. 127.

Die für die Datenverarbeitung beim Landgericht U. und bei der Staatsanwaltschaft U. verantwortliche Stelle ist hiernach das Landgericht U. bzw. die Staatsanwaltschaft U. selbst, entweder, soweit sie Verwaltungsaufgaben wahrnehmen, oder weil sie mit der Bearbeitung der betreffenden Rechtssache befasst sind.

Das schließt die Qualifizierung des „Rechtsträgers des Landgerichts U. bzw. der Staatsanwaltschaft beim Landgericht U.“ – sei es das Ministerium der Justiz des Landes Nordrhein-Westfalen, sei es eine andere übergeordnete staatliche Stelle – als „Verantwortlicher“ für die Datenverarbeitung beim Landgericht U. und bei der Staatsanwaltschaft U. und infolgedessen diesem gegenüber die Verhängung eines Verbots der Datenverarbeitung aus. Weder die DSGVO noch die JI-RL stellen bei der Bestimmung des Verantwortlichen auf eine übergeordnete Behörde ab. Vielmehr entscheiden sowohl das Landgericht U. als auch die Staatsanwaltschaft U. als Behörde bzw. staatliche Stelle eigenständig über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten in ihrem Geschäftsbereich. Sind sie allein für die Datenverarbeitung in ihrem Bereich verantwortlich, scheidet auch eine vom Kläger aufgeworfene gemeinsame datenschutzrechtliche Verantwortlichkeit mit dem Ministerium der Justiz aus.

Der Hilfsantrag ist ebenfalls unbegründet. Da ein Adressat aufsichtsrechtlicher Maßnahmen nicht genannt wird, legt das Gericht den Hilfsantrag des Klägers dahingehend aus, dass er die Verpflichtung der Beklagten begehrt, gegenüber dem Verantwortlichen geeignete Maßnahmen zu ergreifen, um die Weitergabe personenbezogener Daten des Klägers im Geschäftsbereich des Rechtsträgers des LG U. und/oder der Staatsanwaltschaft beim LG U. geführten Verfahrensakten an Dritte zu unterbinden.

Auch mit dem so verstandenen Antrag dringt der Kläger nicht durch.

Die Weitergabe personenbezogener Daten des Klägers aus diesen betreffenden Verfahrensakten vor Verlesung in der Hauptverhandlung an Medienvertreter dürfte zwar objektiv eine rechtswidrige Datenverarbeitung im Sinne von Art. 4 Nr. 2 DSGVO in Form der Offenlegung durch Übermittlung oder Verbreitung darstellen. Weder hat der Kläger in die Übermittlung oder Verbreitung seiner Daten eingewilligt (Art. 6 Abs. 1 Satz 1 Buchst. a DSGVO), noch ist die Übermittlung oder Verbreitung der Anklageschrift und Teilen der Verfahrensakte an die Presse zur Wahrnehmung der Aufgaben der Justiz erforderlich (Art. 6 Abs. 1 Satz 1 Buchst. c und e DSGVO). Dasselbe gilt, soweit in Umsetzung der JI-RL der Anwendungsbereich des DSG NRW eröffnet sein sollte, und es sich um die Verarbeitung personenbezogener Daten durch das Landgericht U. und die Staatsanwaltschaft U. im Rahmen ihrer Aufgabenwahrnehmung zur Verhütung, Ermittlung, Aufdeckung, Verfolgung und Ahndung von Straftaten oder Ordnungswidrigkeiten und der Strafvollstreckung handelt (§ 35 Abs. 1 Satz 1 Nr. 3 DSG NRW). Gemäß § 37 Nr. 2 DSG NRW müssen personenbezogene Daten für festgelegte, eindeutige und rechtmäßige Zwecke erhoben und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise verarbeitet werden. Eine schriftliche Einwilligung (§ 38 DSG NRW) des Klägers in die Verbreitung seiner personenbezogenen Daten an die Presse liegt nicht vor.

Gleichwohl hat der Kläger auf den Erlass aufsichtsrechtlicher Maßnahmen keinen Anspruch, weil der Verantwortliche für die Verletzung des Schutzes seiner personenbezogenen Daten nicht bekannt ist. Es steht nicht fest, ob die rechtswidrige Verbreitung der Anklageschrift und von Teilen der Verfahrensakte im Geschäftsbereich des Landgerichts U. oder im Geschäftsbereich der Staatsanwaltschaft U. oder durch eine andere verantwortliche Stelle oder Person erfolgt ist. Der Präsident des Landgerichts U. gab auf das an ihn gerichtete Auskunftsersuchen der Beklagten nach Art. 58 Abs. 1 Buchst. e DSGVO hin an, dass die Prozessakte oder Teile hiervon Vertretern der Presse weder im Rahmen der Öffentlichkeitsarbeit noch durch die zuständige Kammer zugänglich gemacht worden seien. Die Leitende Oberstaatsanwältin im U. verwies in ihrer Auskunft auf den Bescheid der Generalstaatsanwältin in D. vom 14. Juli 2021, wonach es keine zureichenden tatsächlichen Anhaltspunkte für eine strafbare Informationsweitergabe durch die Staatsanwaltschaft U. gebe.

Eine Wahlfeststellung, wie sie der Kläger ins Spiel bringt, kommt von vorneherein nicht in Betracht. Das Rechtsinstitut der Wahlfeststellung setzt in verfahrensrechtlicher Hinsicht u.a. die Gewissheit der Verwirklichung eines von mehreren Strafgesetzen durch den Beschuldigten voraus.

Vgl. Jens Bülte/​Gerhard Dannecker/​Eric Hilgendorf/​Florian Jeßberger/​Bernd Schünemann/​Jan C. Schuhr/​Tonio Walter/​Thomas Weigend/​Gerhard Werle, in: Leipziger Kommentar zum StGB, 13. Auflage, Anhang zu § 1 Wahlfeststellung, IV Nr. 1.

An der Gewissheit, wer den Datenschutzverstoß begangen hat, fehlt es aber gerade.

Das schließt die Ergreifung von Abhilfemaßnahmen nach Art. 58 Abs. 2 DSGVO durch die Beklagte aus. Lässt sich ein Verantwortlicher für den Datenschutzverstoß nicht feststellen, kann die Beklagte als Aufsichtsbehörde weder auf Abhilfe hinwirken noch kann sie gemäß den in der Datenschutzgrundverordnung vorgesehenen Möglichkeiten eine Maßnahme oder Sanktion erlassen.

Die Beklagte konnte den Verantwortlichen auch nicht ermitteln. Das Absehen von weiteren Aufklärungsmaßnahmen ist nicht zu beanstanden.

Um bewerten zu können, ob eine Datenverarbeitung rechtswidrig ist und ob aufsichtsrechtliche Maßnahmen zu ergreifen sind, muss die Aufsichtsbehörde den Sachverhalt ermitteln und alle zur Ermittlung und Überprüfung des Verstoßes erforderlichen Umstände aufklären. Dazu gehört auch die Klärung, wer den möglichen Datenschutzverstoß begangen hat. Denn wenn der Verantwortliche für die Rechtsverletzung nicht feststeht, kommen Abhilfebefugnisse der Aufsichtsbehörde nach Art. 58 Abs. 2 DSGVO mit dem Ziel, den Verstoß abzustellen, von vornherein nicht in Betracht.

Welcher Untersuchungsumfang im Rahmen des Amtsermittlungsgrundsatzes bei der Bearbeitung einer Beschwerde als "in angemessenen Umfang" anzusehen ist, regelt Art. 57 DSGVO nicht. Aus Erwägungsgrund 141 Satz 2 der DSGVO folgt, dass die Untersuchung vorbehaltlich gerichtlicher Überprüfung so weit gehen soll, wie dies im Einzelfall angemessen ist. Maßstab für den Umfang der Ermittlungen sind danach insbesondere die individuelle Bedeutung der Sache und die Schwere des in Rede stehenden Verstoßes. Insoweit steht der Aufsichtsbehörde ein Ermessen zu.

Bundesfinanzhof (BFH), Urteil vom 12. Dezember 2023 – IX R 33/21 –, juris Rn. 30; BeckOK Datenschutzrecht, Wolff/Brink/v. Ungern-Sternberg, 49. Edition, Stand 01.05.2024, DSGVO Art. 57 Rz 17; Boehm in Kühling/Buchner, DSGVO BDSG, 4. Aufl. 2024, Art. 57 DSGVO Rz 11 f; Körffer in Paal/Pauly, DS-GVO BDSG, 3. Aufl. 2021, Art. 77 DSGVO Rz 5.

Die gerichtliche Prüfung richtet sich demnach nach § 114 Abs. 1 VwGO.

Bei Ermessensentscheidungen hat das Gericht nur zu prüfen, ob die Verwaltung den ihr eingeräumten Ermessensspielraum ausgeschöpft hat, ob sie die nach dem Zweck der Ermessensermächtigung für die Entscheidung relevanten Gesichtspunkte bei ihrer Entscheidung berücksichtigt hat und ob sie die gesetzlichen Grenzen der Ermessensbetätigung überschritten hat. Das Gericht darf die getroffene Entscheidung nur anhand derjenigen Erwägungen überprüfen, die die Behörde tatsächlich angestellt hat, wozu auch in Einklang mit § 114 Satz 2 VwGO nachgeschobene Erwägungen zählen.

Vgl. BVerwG, Urteil vom 11. Mai 2016 - 10 C 8/15 -, juris Rn. 13 m.w.N.

Nach diesem Maßstab sind Ermessensfehler bei der Entscheidung der Beklagten, von weiteren Aufklärungsmaßnahmen abzusehen, nicht erkennbar.


Den Volltext der Entscheidung finden Sie hier:

Trackbacks

Keine Trackbacks

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Noch keine Kommentare

Die Kommentarfunktion wurde vom Besitzer dieses Blogs in diesem Eintrag deaktiviert.

Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Formular-Optionen