Das Bundesverwaltungsgericht hat entschieden, das Art. 79 Abs. 1 DSGVO einen öffentlich-rechtlichen Unterlassungsanspruch gegen die kommunale Videoüberwachung einer Grünfläche zur Gefahrenabwehr und Gefahrenvorsorge nicht ausschließt.
Leitsatz des Gerichts:
Art. 79 Abs. 1 DSGVO schließt die Geltendmachung eines öffentlich-rechtlichen Unterlassungsanspruchs gegen die Datenverarbeitung im Bereich der kommunalen Gefahrenabwehr und Gefahrenvorsorge - hier durch Videoüberwachung einer als öffentliche Einrichtung gewidmeten Grünfläche - nicht aus.
Das LG Frankfurt hat entschieden, dass der Betroffene bei rechtswidriger Verarbeitung seiner personenbezogenen Daten einen datenschutzrechtlichen Unterlassungsanspruch hat und diesen auch im Wege einer einstweiligen Verfügung durchsetzen kann. Art. 79 DSGVO entfaltet insoweit keine Sperrwirkung.
Aus den Entscheidungsgründen:
Die Kammer geht insoweit davon aus, dass der Betroffene auch datenschutzrechtliche Ansprüche im Wege des Unterlassungsanspruchs geltend machen kann und solche Ansprüche nicht durch Art. 79 DSGVO gesperrt sind (vgl. auch LG Frankfurt a.M., Urt. v. 13.09.2018 – 2-03 O 283/18, ZD 2018, 587; LG Darmstadt, Urt. v. 26.05.2020 – 13 O 244/19; Ehmann/Selmayr-Kamann/Braun, Art. 21 Rn. 5; Kühling/Buchner/Bergt, 3. Aufl. 2020, DS-GVO Art. 79 Rn. 1, 15a; Spindler/Schuster/Spindler/Dalby, 4. Aufl. 2019, DS-GVO Art. 79 Rn. 17; Paal/Pauly/Martini, 2. Aufl. 2018 Rn. 12, DS-GVO Art. 79 Rn. 12; MAH-ArbR-Dendorfer-Ditges, 4. Aufl. 2017, § 35 Rn. 259). Der Antragsgegner kann sich für die Verwendung der Daten auch nicht auf einen der Gründe in Art. 6 Abs. 1 DSGVO berufen. Der Aushang der Daten des Mietvertrags ist nicht vom Vertragszweck nach Art. 6 Abs. 1 lit. b) DSGVO gedeckt. Dass der Antragsgegner sich auf ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f) DSGVO berufen könnte, ist weder vorgetragen noch sonst ersichtlich.
Soweit der Antragsgegner in seiner Stellungnahme im Rahmen der schriftlichen Anhörung anführt, dass Abmahnung und Antragsschrift nicht deckungsgleich seien, was nach Auffassung der Kammer zutrifft, führt dies im hiesigen Fall nicht zur Zurückweisung des Antrags, sondern nur zu einer – von der Kammer erfüllten – Anhörungsobliegenheit des Gerichts.
VG Regensburg
Gerichtsbescheid vom 06.08.2020 RN 9 K 19.1061
Das VG Regensburg hat entschieden, dass die DSGVO die Betroffenenrechte bei der Verarbeitung personenbezogener Daten abschließend regelt und Betroffene keine Ansprüche aufgrund anderer Anspruchsgrundlagen außerhalb der DSGVO geltend machen können.
Leitsätze des Gerichts:
1. Art. 79 DSGVO schließt weitere gerichtliche Rechtsbehelfe gegen Verantwortliche und Auftragsverarbeiter aus, sodass eine allgemeine Leistungsklage in der Form der Unterlassungsklage nach §§ 1004 Abs. 1, 823 Abs. 2 BGB im Anwendungsbereich der Datenschutz-Grundverordnung nicht statthaft ist.
2. Es ist zwischen einer (bloß) verordnungswidrigen Datenverarbeitung und einer möglichen Rechtsverletzung einer Person hinsichtlich der ausschließlich sie betreffenden personenbezogenen Daten zu unterscheiden.
3. Im Falle einer bloßen rechtswidrigen Datenverarbeitung ohne Rechtsverletzung steht der betroffenen Person das Beschwerderecht nach Art. 77 Abs. 1 DSGVO und in der Folge das Recht auf gerichtlichen Rechtsbehelf gegen die Aufsichtsbehörde nach Art. 78 Abs. 1 DSGVO zu. Art. 79 Abs. 1 DSGVO vermittelt einen individualrechtlichen Unterlassungsanspruch bezüglich der Verletzung von Betroffenenrechten (Art. 13 bis 20 DSGVO).
Aus den Entscheidungsgründen:
"Zunächst ist festzustellen, dass der sachliche Anwendungsbereich der Datenschutz-Grundverordnung eröffnet ist. Insbesondere sind die in Art. 2 Abs. 2 DSGVO genannten Ausnahmen für die Verarbeitung personenbezogener Daten vom Anwendungsbereich der Datenschutz-Grundverordnung nicht einschlägig. Entgegen der Auffassung des Klägers findet Art. 2 Abs. 2 Buchst. d DSGVO im vorliegenden Fall keine Anwendung. Die Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit fällt in den Anwendungsbereich des zweiten Rechtsakts im Datenschutzreformpaket, der sogenannten „Polizei-RL“ (Art. 1 Abs. 1 RL 2016/680/EU des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates, ABl. 2016 L 119, 89). Beide Rechtsakte (Datenschutz-Grundverordnung und „Polizei-RL“) sind eng aufeinander abgestimmt und ergänzen sich daher. Die Ausnahme des Art. 2 Abs. 2 Buchst. d DSGVO umfasst sowohl die Datenverarbeitung zu präventiven als auch zu repressiven Zwecken. Eine Straftat im Sinne der Ausnahme in Art. 2 Abs. 2 Buchst. d DSGVO und hinsichtlich der Anwendung der „Polizei-RL“ ist als ein eigenständiger Begriff des Unionsrechts zu verstehen, der nicht einseitig durch die Mitgliedstaaten festgelegt werden kann. Die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von reinen Ordnungswidrigkeiten fällt nicht darunter. Erfasst werden sollen die polizeilichen Tätigkeiten in Fällen, in denen nicht von vornherein bekannt ist, ob es sich um Straftaten handelt oder nicht, sowie die Ausübung hoheitlicher Gewalt durch Ergreifung von Zwangsmitteln, wie polizeiliche Tätigkeiten bei Demonstrationen, großen Sportveranstaltungen und Ausschreitungen. Sie umfassen auch die Aufrechterhaltung der öffentlichen Ordnung als Aufgabe, die der Polizei oder anderen Strafverfolgungsbehörden - nicht jedoch reinen Ordnungsbehörden - übertragen wurde, soweit dies zum Zweck des Schutzes vor und der Abwehr von Bedrohungen der öffentlichen Sicherheit und Bedrohungen für durch Rechtsvorschriften geschützte grundlegende Interessen der Gesellschaft, die zu einer Straftat führen können, erforderlich ist (vgl. Erwägungsgrund 12 der RL 2016/680/EU und Erwägungsgrund 19 der Datenschutz-Grundverordnung; Ehmann/Selmayr, Datenschutz-Grundverordnung, 2018, 2. Aufl., Art. 2 Rn. 12; Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, 2018, Art. 2 DSGVO Rn. 44 ff.). Personenbezogene Daten, die von Behörden nach der Datenschutz-Grundverordnung verarbeitet werden, sollten jedoch, wenn sie zu den vorstehenden Zwecken verwendet werden, der Richtlinie (EU) 2016/680 unterliegen (Erwägungsgrund 19 a.a.O.). Im vorliegenden Fall handelt die Beklagte vorrangig als Ordnungsbehörde bzw. Sicherheitsbehörde nach Art. 6 LStVG mit der Aufgabe, die öffentliche Sicherheit und Ordnung durch Abwehr von Gefahren und durch Unterbindung und Beseitigung von Störungen aufrechtzuerhalten, und damit auf der Grundlage der Datenschutz-Grundverordnung. Hinzu kommt die Ausübung des Hausrechts für die öffentliche Einrichtung K.-garten durch die Beklagte als Wahrnehmung einer Aufgabe im öffentlichen Interesse bzw. zur Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 Buchst. c und e DSGVO).
Das Rechtsschutzsystem bezüglich der Verarbeitung personenbezogener Daten hat deshalb ebenfalls seinen Ausgangspunkt in der Datenschutz-Grundverordnung.
Art. 79 DSGVO schließt weitere gerichtliche Rechtsbehelfe gegen Verantwortliche und Auftragsverarbeiter aus, so dass Unterlassungsklagen nach §§ 1004 Abs. 1, 823 Abs. 2 BGB im Bereich des Datenschutzes grundsätzlich nicht mehr möglich sind. Nach dem Wortlaut des Art. 79 Abs. 1 DSGVO bleiben nur andere verwaltungsrechtliche oder außergerichtliche Rechtsbehelfe „unbeschadet“, nicht aber gerichtliche Rechtsbehelfe (vgl. Bernhard/Kreße/Sydow, Europäische Datenschutzgrundverordnung, 2. Aufl. 2018, Art. 79 Rn. 30; BeckOK, Datenschutzrecht, Wolff/Brink, 29. Edition, Art. 79 Rn. 11). Die Rechte betroffener Personen sind in Kapitel III der Datenschutz-Grundverordnung niedergelegt (Art. 12 bis 22 DSGVO). Es handelt sich zum einen um Auskunfts-, Berichtigungs- und Löschungsrechte sowie um das Recht auf Einschränkung der Verarbeitung personenbezogener Daten. Erfasst ist auch das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden. Den in Art. 13 ff., 19 DSGVO genannten Pflichten korrespondieren individuelle subjektive Rechte der betroffenen Personen, die gemäß Art. 79 DSGVO unter dessen weiteren Voraussetzungen gerichtlich durchgesetzt werden können. Entsprechendes gilt für die in Art. 12 DSGVO formulierten Pflichten des für die Verarbeitung personenbezogener Daten Verantwortlichen.
Jenseits der oben genannten Normen gewährt die Datenschutz-Grundverordnung keine Rechte, zu deren Durchsetzung ein wirksamer Rechtsbehelf nach Art. 79 DSGVO zur Verfügung gestellt werden muss. In Betracht käme insbesondere ein Anspruch auf Unterlassung einer verordnungswidrigen Verarbeitung personenbezogener Daten, da gemäß Art. 8 Abs. 1 EU-GRCh, Art. 16 Abs. 1 AEUV jede natürliche Person Recht auf Schutz der sie betreffenden personenbezogenen Daten hat, wobei Inhalt des Schutzes auch das Erfordernis der Rechtmäßigkeit der Verarbeitung ist. Es müsste in einem solchen Fall daher die Möglichkeit bestehen, eine solche Verarbeitung für die Zukunft zu unterbinden, andernfalls der Grundrechtsschutz und der europarechtliche Effektivitätsgrundsatz nach Art. 4 Abs. 3 EUV beeinträchtigt wären. Allerdings ist das Recht auf Unterlassung rechtswidriger Datenverarbeitung nicht als solches in der Datenschutz-Grundverordnung verankert. Diese konkretisiert zwar das primärrechtlich verbürgte Recht auf Schutz persönlicher Daten, aber eben nur, soweit sie die Ausprägungen dieses Rechts normiert. Dies spricht gegen die Annahme eines auf der Datenschutz-Grundverordnung basierenden Unterlassungsanspruchs bezüglich einer verordnungswidrigen Verarbeitung personenbezogener Daten. Das Löschungsrecht nach Art. 17 Abs. 1 Buchst. d DSGVO hilft nur eingeschränkt weiter, weil sich Art. 6 DSGVO, auf den verwiesen wird, nur mit dem Erfordernis eines zulässigen Grundes für die Datenverarbeitung befasst.
Gegen die Annahme eines generellen Anspruchs auf Unterlassung der verordnungswidrigen Verarbeitung personenbezogener Daten auf Grundlage der Datenschutz-Grundverordnung sprechen ferner deren Entstehungsgeschichte und die Systematik. Art. 76 Abs. 5 des Kommissionsvorschlag zur Datenschutz-Grundverordnung lautete: „Die Mitgliedstaaten stellen sicher, dass mit den nach innerstaatlichem Recht verfügbaren Klagemöglichkeiten rasch Maßnahmen einschließlich einstweilige Maßnahmen erwirkt werden können, um mutmaßliche Rechtsverletzungen abzustellen und zu verhindern, dass dem Betroffenen weiterer Schaden entsteht.“ Diese präventiv formulierte Bestimmung wurde in der allgemeinen Ausrichtung des Rates der Europäischen Union vom 15. Juni 2015 ersatzlos gestrichen. Nicht in bedeutungserheblicher Hinsicht geändert hat sich hingegen die Formulierung, die jetzt in Art. 77 Abs. 1 DSGVO enthalten ist, die das Beschwerderecht daran knüpft, dass die Verarbeitung der personenbezogenen Daten gegen die Datenschutz-Grundverordnung verstößt. Auch der Unterschied in den Formulierungen der Art. 77 Abs. 1 und Art. 79 Abs. 1 DSGVO zeigt, dass die bloße verordnungswidrige Datenverarbeitung gerade noch keine Rechtsverletzung darstellt, sondern zwischen rechtswidriger Datenverarbeitung und Rechtsverletzung unterschieden werden muss. Im Falle einer bloßen rechtswidrigen Datenverarbeitung ohne Rechtsverletzung steht der betroffenen Person das Beschwerderecht nach Art. 77 Abs. 1 DSGVO zu und in der Folge das Recht auf gerichtlichen Rechtsbehelf gegen die Aufsichtsbehörde nach Art. 78 Abs. 1 DSGVO, womit die primärrechtlichen Bedenken ausgeräumt sind. Es ist zu beachten, dass diese Verordnungswidrigkeit der Datenverarbeitung neben der Rechtsverletzung in Art. 79 Abs. 1 DSGVO als eigenständiges Merkmal gesehen wird: Die Rechtsverletzung soll nach Ansicht der betroffenen Person erst infolge der verordnungswidrigen Verarbeitung eingetreten, also mit ihr gerade nicht identisch sein. Die Rechte der betroffenen Person sind verletzt, wenn die Person oder Einrichtung, gegenüber denen sie bestehen, den ihnen korrespondierenden Pflichten nicht nachkommt. Um dies festzustellen, sind die konkretisierenden Vorschriften des Art. 12 Abs. 2, 3 und 5 bis 7 DSGVO zusätzlich zu beachten. So liegt beispielsweise in den in Art. 12 Abs. 3 DSGVO genannten Fällen eine Rechtsverletzung vor Ablauf der in dieser Vorschrift bezeichneten Fristen nicht vor. Auch in den Fällen des Art. 12 Abs. 5 Satz 1 Buchst. b und Abs. 6 DSGVO liegt keine Rechtsverletzung vor.
Diese vorstehend beschriebene Rechtslage erfährt auch keine Modifikation durch das Bayerische Datenschutzgesetz. Nach Art. 1 BayDSG gilt das Bayerische Datenschutzgesetz zunächst für Datenverarbeitungen durch alle bayerischen Behörden, also auch durch Justiz- und Polizeibehörden, soweit nicht im jeweiligen Fachrecht (etwa dem Melderecht oder dem Polizeiaufgabengesetz) Spezialvorschriften existieren (Art. 1 Abs. 5 BayDSG). Wegen dieses sehr umfassenden Anwendungsbereichs gilt folglich auch Art. 2 BayDSG für alle bayerischen Behörden. Damit hat der bayerische Gesetzgeber entschieden, dass die Datenschutz-Grundverordnung auch in den Bereichen gelten soll, die eigentlich - mangels Kompetenz der EU - von der Datenschutz-Grundverordnung nicht erfasst werden (dürfen) und wo (eigentlich) Raum für ein eigenständiges nationales Datenschutzrecht wäre. Allerdings hatte der bayerische Gesetzgeber erkannt, dass es nicht möglich ist, alle Umsetzungsaufgaben, welche die Richtlinie 2016/680/EU formuliert, durch einen pauschalen Verweis auf die Datenschutz-Grundverordnung sachgerecht zu lösen. Deshalb wurde Art. 28 Abs. 2 und 3 BayDSG geschaffen, die für die in Art. 28 Abs. 1 BayDSG genannten „Richtlinien-Behörden“ vereinzelt Spezialvorschriften schaffen. Durch eine abschließende Aufzählung ordnet Art. 28 Abs. 2 BayDSG an, dass nur bestimmte Vorschriften der Datenschutz-Grundverordnung auf Datenverarbeitungen, die der Richtlinie 2016/680/EU unterfallen, Anwendung finden. Andere Vorschriften der Datenschutz-Grundverordnung finden zwar grundsätzlich Anwendung, sie werden aber durch die Art. 29 ff. BayDSG modifiziert. Darüber hinaus sollen nicht sämtliche Vorschriften des Bayerischen Datenschutzgesetzes für Datenverarbeitung nach der Richtlinie 2016/680/EU Anwendung finden. Deshalb legt Art. 28 Abs. 3 BayDSG fest, dass bestimmte Vorschriften des Bayerischen Datenschutzgesetzes keine Anwendung für solche Datenverarbeitungen finden, die der Richtlinie unterfallen. Neben der spezifischen Zweckbestimmung (Verarbeitung personenbezogener Daten durch die zuständigen Behörden zu Zwecken der Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit) ist zusätzlich (stets) eine grundsätzliche Aufgaben- und Befugniszuweisung der verarbeitenden Behörde für die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafverfolgung sowie der polizeilichen Gefahrenabwehr erforderlich. Art. 28 Abs. 1 Satz 1 BayDSG enthält eine nicht abschließende Aufzählung („soweit nichts anderes bestimmt ist“) derjenigen Behörden, denen eine solche Aufgaben- und Befugniszuweisung im Sinne der Richtlinie zukommen kann. Diese zuständigen Behörden unterliegen den Regelungen des achten Kapitels nur insoweit, als die konkrete Datenverarbeitung den in Art. 28 Abs. 1 Satz 1 BayDSG genannten Zwecken dient. Danach wird der Bereich der Gefahrenabwehr in Ansehung der praxisrelevanten Konstellationen dem Anwendungsbereich der Richtlinie 2016/680/EU und somit des achten Kapitels des Bayerischen Datenschutzgesetzes zuzurechnen sein. Selbst wenn bei polizeilichem Handeln zur Gefahrenabwehr nicht bereits von vornherein klar die Verhütung von Straftaten als Zweck oder Ergebnis feststeht, besteht nahezu immer zumindest die Möglichkeit, dass die Gefahrenlage zu einer Straftat führen kann bzw. dass dies nicht ausgeschlossen ist. In Abgrenzung hierzu sind allerdings nach dem Selbstverständnis der Richtlinie 2016/680/EU Datenverarbeitungen zur Gefahrenabwehr durch nichtpolizeiliche Sicherheitsbehörden (z.B. Landratsämter als Sicherheitsbehörden nach Art. 6 LStVG) grundsätzlich nach den Bestimmungen der Datenschutz-Grundverordnung zu beurteilen. Für sie ist das achte Kapitel des Bayerischen Datenschutzgesetzes nur dann anwendbar, soweit diese nichtpolizeilichen Sicherheitsbehörden „Straftaten oder Ordnungswidrigkeiten verfolgen oder ahnden“. Die Bestimmungen des achten Kapitels finden daher Anwendung, sobald Daten im Rahmen eines konkreten, dokumentiert eingeleiteten Ordnungswidrigkeitenverfahrens verarbeitet werden (vgl. Wilde/Ehmann/Niese/Knoblauch, Datenschutz im Bayern, 29. AL Juni 2018, Art. 28 BayDSG Rn. 20).
Zum Rechtsschutz sieht Art. 20 BayDSG ausschließlich die Anrufung der Aufsichtsbehörden durch Betroffene vor. Hierin ist eine Konkretisierung des unmittelbar in der Datenschutz-Grundverordnung gewährleisteten Beschwerderechts gemäß Art. 77 DSGVO zu sehen. Die Vorschrift enthält damit eine mitgliedstaatliche Verfahrensregelung auf Grundlage von Art. 58 Abs. 4 DSGVO. Aufsichtsbehörden im Sinn des Art. 20 BayDSG sind u.a. der Bayerische Landesbeauftragte für den Datenschutz (Art. 15 BayDSG) und das Bayerische Landesamt für Datenschutzaufsicht (Art. 18 BayDSG). Art. 77 Abs. 1 DSGVO i.V.m. Art. 20 Abs. 1 Satz 1 BayDSG bestimmt das Recht der betroffenen Person, sich an die Datenschutzaufsichtsbehörden mit dem Vorbringen zu wenden, bei der Verarbeitung ihrer personenbezogenen Daten in ihren Rechten verletzt worden zu sein. Diese Anrufung der Aufsichtsbehörde stellt einen formlosen Rechtsbehelf dar, der dem allgemeinen Petitionsrecht (Art. 115 BV, Art. 17 GG) verwandt ist. Es gibt dem Betroffenen - unabhängig von sonstigen Rechtsbehelfen - das eigenständige Recht, sich an eine Aufsichtsbehörde mit dem Vorbringen zu wenden, bei der Verarbeitung seiner personenbezogenen Daten in seinen Rechten verletzt worden zu sein. Das durch die Grundrechte-Charta der EU verbürgte Beschwerderecht (Art. 8 Abs. 1 i.V.m. Abs. 3 GRCh) wird durch Art. 77 Abs. 1 DSGVO i.V.m. Art. 20 Abs. 1 Satz 1 BayDSG konkretisiert, wobei Art. 20 Abs. 1 Satz 1 BayDSG - anders als das Beschwerderecht in Art. 77 Abs. 1 DSGVO - nicht bloß die Geltendmachung eines Verstoßes gegen die Datenschutz-Grundverordnung voraussetzt, sondern ein Vorbringen, das eine eigene Rechtsverletzung des Beschwerdeführers zum Gegenstand hat (Datenschutz in Bayern, 29. AL Juni 2018, Art. 20 BayDSG Rn. 4 und 5). Dadurch ergibt sich ein Rechtsanspruch der betroffenen Person, dass die Aufsichtsbehörde die Eingabe entgegennimmt, sachlich in tatsächlicher und rechtlicher Hinsicht prüft und den Eingabeführer schriftlich darüber unterrichtet, wie die Eingabe erledigt wurde. Hierzu bestimmt Art. 57 Abs. 1 Buchst. f DSGVO, dass der „Gegenstand der Beschwerde in angemessenem Umfang zu untersuchen“ ist. Hat sich eine Aufsichtsbehörde nicht mit einer Beschwerde befasst oder hat sie die betroffene Person nicht innerhalb von drei Monaten über den Stand oder das Ergebnis der erhobenen Beschwerde in Kenntnis gesetzt, kann die betroffene Person nach Art. 78 Abs. 2 und 3 DSGVO allgemeine Leistungsklage vor den Verwaltungsgerichten auf Unterrichtung über den Stand oder das Ergebnis der Beschwerde erheben. Die Frist von drei Monaten ergibt sich aus Art. 78 Abs. 2 DSGVO. Die einzelnen Befugnisse der Aufsichtsbehörden ergeben sich aus Art. 58 DSGVO, so auch Abhilfebefugnisse, die es ihr u.a. gestatten, auch eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen (Abs. 2 Buchst. f) oder die Berichtigung oder Löschung von personenbezogenen Daten oder die Beschränkung der Verarbeitung gemäß den Art. 16, 17 und 18 DGSVO und die Unterrichtung der Empfänger, an die diese personenbezogenen Daten gemäß Art. 17 Abs. 2 DSGVO und Art. 19 DSGVO offen gelegt wurden, anzuordnen. Dieses Anrufungs- bzw. Beschwerderecht nach Art. 20 BayDSG setzt keinen vorherigen Antrag bei der verantwortlichen Behörde voraus. Will ein Betroffener jedoch direkt gegen zunächst einen Verantwortlichen vorgehen bzw. gegenüber diesem die Betroffenenrechte der Datenschutz-Grundverordnung geltend machen (Art. 16 ff. DSGVO), so setzen diese Rechte auf Berichtigung, Löschung und Mitteilung im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung wie auch das vorgängige Auskunftsrecht nach Art. 15 DSGVO ein „Verlangen“ der betroffenen Person gegenüber dem Verantwortlichen voraus. Im Falle der Ablehnung stehen der betroffenen Person sämtliche durch die Datenschutz-Grundverordnung vorgesehenen Rechtsbehelfe zu (Art. 77, 78 DSGVO). Daneben hat die betroffene Person das Recht auf einen wirksamen gerichtlichen Rechtsbehelf unmittelbar gegen den Verantwortlichen (Art. 79 DSGVO). Ist Verantwortlicher eine Behörde und lehnt diese einen Einschränkungsantrag ab, ist die Ablehnung ein Verwaltungsakt, der mit den einschlägigen verwaltungsrechtlichen Rechtsbehelfen Widerspruch und regelmäßig Verpflichtungsklage gemäß §§ 42, 68 ff. VwGO angegriffen werden kann (Ehmann/Selmayr, Datenschutz-Grundverordnung, 2018, 2. Aufl., Art. 18 Rn. 30). Damit bleibt es auch im Anwendungsbereich des Bayerischen Datenschutzgesetzes bei der ausschließlichen Klagemöglichkeit eines Betroffenen gegen den Verantwortlichen nach § 79 DSGVO.
Die genannten Betroffenenrechte der Datenschutz-Grundverordnung (mit Art. 20 BayDSG) ersetzen seit dem 25. Mai 2018 - wie bereits oben ausgeführt - etwaige Betroffenenrechte nach nationalem Recht (a.a.O., Art. 18 Rn. 38; OVG Lüneburg, U.v. 20.6.2019 - 11 LC 121/17 - juris Rn. 43; VG Stade, B.v. 9.10.2018 - 1 B 1918/18 - juris Rn. 30). Diesen Betroffenenrechten ist gemein, dass sich ein Betroffener damit nur gegen die ihn betreffenden personenbezogenen Daten wenden kann (Becker in Plath, DSGVO/BDSG, 3. Aufl. 2018, Art. 79 Rn. 2). Art. 79 DSGVO vermittelt nur einen individualrechtlichen Unterlassungsanspruch. Zudem können über den in Art. 79 Abs. 1 DSGVO vorgesehenen Weg auch die Auskunfts-, Berichtigungs- und Löschungsrechte (Art. 15 bis 17 DSGVO) gegenüber dem Verantwortlichen und dem Auftragsverarbeiter verfolgt werden. Materiellrechtlich richten sich der Anspruch und seine Durchsetzung nach den allgemeinen Bestimmungen, wobei unterschiedliche Rechtswege gegenüber öffentlichen und nicht-öffentlichen Stellen zum Tragen kommen. Gegenüber einer fehlerhaften Datenverarbeitung durch öffentliche Stellen im Rahmen ihres hoheitlichen Handelns wird der Betroffene im Regelfall vor den Verwaltungsgerichten Rechtsschutz suchen müssen (§ 44 Abs. 2 BDSG). Da die entsprechenden prozessualen Rechtsinstrumente im deutschen Recht vorhanden waren, hätte es nicht unbedingt bestimmter Umsetzungsmaßnahmen durch den deutschen Gesetzgeber bedurft. Dennoch hat der Gesetzgeber in § 44 BDSG Regelungen zur Zuständigkeit aufgenommen, allerdings ergibt sich daraus keine Änderung zur bestehenden Rechtslage im Bundesgebiet (Becker in Plath, a.a.O.). Daneben kommt ergänzend bei der Verarbeitung personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 Buchst. e oder f DSGVO erfolgt, ein Widerspruchsrecht nach Art. 21 Abs. 1 DSGVO in Betracht. Systematisch ist dieses Widerspruchsrecht in Abschnitt 4 des Kapitels III („Rechte der betroffenen Personen“) geregelt. Dies zeigt, dass es selbstständig neben den übrigen Betroffenenrechten (Art. 13 bis 20 DSGVO) steht, wobei sich diese Rechte nicht ausschließen, sondern ergänzen. Die Systematik des Art. 21 DSGVO zeigt, dass das Widerspruchsrecht gleichzeitig verfahrensrechtlichen als auch materiell-rechtlichen Charakter hat. Neben dem Verfahrensrecht auf Erhebung eines Widerspruchs gewährt Art. 21 Abs. 1 Satz 2 DSGVO einen materiellen Unterlassungsanspruch, d.h. einen Anspruch, dass der Verantwortliche die Daten in Zukunft nicht mehr verarbeitet. Die Vorschrift ermöglicht der betroffenen Person damit, die Datenverarbeitung mit Ex-nunc-Wirkung zu unterbinden. Dieser Unterlassungsanspruch wird gemäß Art. 17 Abs. 1 Buchst. c Alt. 1 DSGVO ergänzt durch einen Folgenbeseitigungsanspruch in Form eines Rechts auf Löschung sowie gemäß Art. 18 Abs. 1 Buchst. d DSGVO durch einen vorläufigen Sicherungsanspruch in Form des Rechts auf Einschränkung, solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber den besonderen Gründen der betroffenen Person überwiegen, sowie gemäß Art. 19 DSGVO durch eine mit der Löschung verbundene Folgemitteilungs- und -unterrichtungspflicht. Diese Rechte werden teilweise unmittelbar durch Unionsrecht eingeschränkt (z.B. Art. 13 Abs. 4, Art. 14 Abs. 5, Art. 21 Abs. 1 DSGVO). Außerdem können die Rechte und Pflichten gemäß den Art. 12 bis 22, Art. 34 und gegebenenfalls Art. 5 DSGVO durch Rechtsvorschriften der Union oder der Mitgliedstaaten unter den in Art. 23 DSGVO geregelten Voraussetzungen beschränkt werden. Eine generelle Einschränkung der Betroffenenrechte für Gerichtsverfahren wurde jedoch weder in das Unionsrecht noch in das Gerichtsverfassungsgesetz, in die Prozessordnungen und auch nicht in das Bundesdatenschutzgesetz und das Zehnte Buch Sozialgesetzbuch (SGB X) aufgenommen, da die zahlreichen bereits aus der Datenschutz-Grundverordnung resultierenden Ausnahmen dies nicht erforderlich machten. Im Übrigen kommen für Gerichte die jeweils einschlägigen Verfahrensordnungen als Beschränkung der Betroffenenrechte im Sinne von Art. 23 DSGVO und dem Bundesdatenschutzgesetz vorhergehendes spezielles Bundesrecht (§ 1 Abs. 2 Satz 1 BDSG) in Betracht (Bieresborn, Die Auswirkungen der DSGVO auf das gerichtliche Verfahren, DRiZ 2019, 18 ff). Die Datenschutz-Grundverordnung begründet einige neue Klagerechte, die nach nationaler Ausgestaltung vor den Gerichten der Verwaltungsgerichtsbarkeit (§ 20 BDSG), den Sozialgerichten (§§ 81a, 81b SGB X) bzw. den Finanzgerichten (§ 32i AO) anhängig zu machen sind. § 78 Abs. 1 DSGVO begründet unbeschadet anderer Rechtsbehelfe das Recht jeder natürlichen oder juristischen Person auf einen wirksamen gerichtlichen Rechtsbehelf gegen rechtsverbindliche Beschlüsse der datenschutzrechtlichen Aufsichtsbehörde. Davon werden alle der Bestandskraft fähigen Entscheidungen und damit auch Verwaltungsakte erfasst, die auf Grundlage von Art. 58 DSGVO ergehen. Klageberechtigt ist jede natürliche oder juristische Person, sofern diese in eigenen geschützten Rechten betroffen ist. Es ist nicht zwingend erforderlich, dass die Entscheidung auch ihr gegenüber rechtsverbindlich ist, es genügt, dass ihr Interessenkreis faktisch unmittelbar berührt ist. Art. 78 Abs. 2 DSGVO gewährt betroffenen Personen und unbeschadet sonstiger Rechtsbehelfe eine Untätigkeitsklage gegen die datenschutzrechtlichen Aufsichtsbehörden. Voraussetzung für diesen Rechtsbehelf ist, dass zuvor eine Beschwerde gemäß Art. 77 DSGVO erhoben wurde. Art. 79 Abs. 1 DSGVO gewährt betroffenen Personen einen zusätzlichen gerichtlichen Rechtsbehelf gegen einen nach ihrer Ansicht gegen die Datenschutz-Grundverordnung verstoßenden Umgang mit ihren personenbezogenen Daten. Prüfungsmaßstab ist die Datenschutz-Grundverordnung. Die verletzten Normen dürfen nicht nur objektiv-rechtlichen Charakter haben - wie zum Beispiel die Verpflichtung zur Bestellung eines Datenschutzbeauftragten (Art. 37 DSGVO) oder Durchführung einer Datenschutz-Folgenabschätzung (Art. 35 DSGVO) -, sondern müssen konkrete Auswirkungen auf subjektive Rechte des Klägers haben. Klagegegner sind Verantwortliche und Auftragsverarbeiter. Parallel geführte Verfahren auf Unterlassungs- oder Schadensersatzansprüche gegen den Verantwortlichen stehen der Zulässigkeit nicht entgegen, ebenso wenig die parallele Beschwerde bei der Aufsichtsbehörde (Art. 77 und 78 DSGVO).
Vorliegend wird bei der Videoüberwachung von einer Datenverarbeitung nach Art. 6 Abs. 1 Buchst. e DSGVO auszugehen sein, so dass für den Kläger neben den Betroffenenrechten nach Art. 16 ff. DSGVO auch die Widerspruchsmöglichkeit nach Art. 21 Abs. 1 DSGVO in Betracht gekommen wäre. Die Unterlassungs- und Folgenbeseitigungspflichten erfassen - wie bereits oben ausgeführt - ausschließlich die die betroffene Person betreffenden Daten. Erfasst eine (automatisierte) Verarbeitung daneben auch Daten Dritter, muss diese nicht insgesamt unterbleiben (Ehmann/Selmayr, Datenschutz-Grundverordnung, 2018, 2. Aufl., Art. 18 Rn. 40, 41). Im Falle der Ablehnung eines Widerspruchs stehen dem Betroffenen zusätzlich sämtliche durch die Verordnung vorgesehenen Rechtsbehelfe zu. Gemeint ist damit der Primärrechtsschutz aufgrund des bereits oben genannten Rechts auf Beschwerde bei der zuständigen Aufsichtsbehörde (Art. 77 DSGVO) und eines Rechtsbehelfs gegen einen (nicht Abhilfe leistenden) Beschluss der Aufsichtsbehörde, auch in der Form der Untätigkeitsklage (Art. 78 DSGVO). Daneben hat der Betroffene das Recht auf einen wirksamen gerichtlichen Rechtsbehelf unmittelbar gegen den Verantwortlichen (Art. 79 DSGVO). Ist Verantwortlicher eine Behörde und lehnt diese ein Verlangen oder einen Widerspruch des Betroffenen ab, ist die Ablehnung - wie bereits oben festgestellt - ein Verwaltungsakt, der mit den einschlägigen verwaltungsrechtlichen Rechtsbehelfen angegriffen werden kann (a.a.O. Rn. 69). Das Recht nach Art. 79 Abs. 1 DSGVO auf einen wirksamen Rechtsbehelf gegen Rechtsverletzungen durch eine verordnungswidrige Datenverarbeitung besteht nach dem Wortlaut der Vorschrift „unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs“. Selbst wenn entgegen naheliegender rechtssystematischer Erwägungen der gerichtliche Rechtsbehelf nach Art. 79 Abs. 1 DSGVO nicht zu den oben genannten Rechtsbehelfen in einem Stufenverhältnis, sondern neben diesen Rechtsbehelfen steht, so ist der gerichtliche Rechtsbehelf aber mit der gleichen Einschränkung behaftet wie die anderen oben genannten Rechte des Betroffenen, dass nämlich Verfahrensgegenstand ausschließlich die die betroffene Person betreffenden persönlichen Daten sein können. Auch diese rechtliche Einschränkung spricht gegen den vom Kläger mit der vorliegenden Klage verfolgten allgemeinen Unterlassungsanspruch. Ergänzend wird nach allgemeinen Grundsätzen des Prozessrechts unter dem Gesichtspunkt des Rechtsschutzbedürfnisses ein vorheriger Antrag bzw. Widerspruch im vorstehenden Sinne bei dem Verantwortlichen zu verlangen sein (a.a.O. Art. 79 Rn. 2, 5; Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, 2018, Art. 79 Rn. 18).
Danach ist für eine allgemeine Unterlassungsklage in der vorliegenden Form - wie bereits eingangs festgestellt - von einer fehlenden Statthaftigkeit in Anbetracht der spezifischen Betroffenenrechte nach der Datenschutz-Grundverordnung seit deren Inkrafttreten am 25. Mai 2018 auszugehen. Es ist zwischen den Verfahrensbeteiligten unstreitig, dass der Kläger im Vorfeld der Klageerhebung mit keinem „Verlangen“ nach Art. 13 ff. DSGVO oder einem Widerspruch nach Art. 21 Abs. 1 DSGVO direkt an die Beklagte oder nach Art. 77 DSGVO i.V.m. Art. 20 BayDSG an eine Aufsichtsbehörde herangetreten ist. Selbst wenn man eine unmittelbare gerichtliche Geltendmachung von Betroffenenrechten unter Umgehung vorstehend genannter Verfahrensrechte bzw. ohne jegliche Befassung der verantwortlichen Behörde für zulässig erachten würde, kann diese gerichtliche Geltendmachung nach Art und Umfang materiell-rechtlich nicht weiter gehen als vorstehend genannte Verfahrensrechte, sodass für das Klagebegehren in der vorliegenden Form auch kein Rechtsschutzbedürfnis besteht.
24
Im Übrigen stützt der Kläger seine behauptete Rechtsverletzung im Ergebnis nur darauf, dass er als Nutzungsberechtigter der öffentlichen Einrichtung K.-garten von der Videoüberwachungsanlage betroffen ist, zum einen dadurch, dass seine Person bei Betreten des überwachten Platzes möglicherweise tatsächlich bildlich erfasst wird, zum anderen, dass die Videoüberwachungsanlage auch ohne Überwachungstätigkeit nur vorhanden ist und diese Überwachungsanlage entgegen den Vorschriften der Datenschutz-Grundverordnung eingerichtet und betrieben wird. Ein solcher Vortrag kann nicht genügen, eine eigene selbstständige Rechtsverletzung zu belegen. Die „Ansicht“ einer Rechtsverletzung im Sinne des Art. 79 Abs. 1 DSGVO im vorstehenden Sinne würde im Ergebnis bedeuten, dass diese mit dem Vortrag einer nicht verordnungskonformen Datenverarbeitung durch die Videoüberwachung zusammenfällt. Die Datenschutz-Grundverordnung trifft aber gerade - wie oben bereits ausgeführt - eine Unterscheidung zwischen der bloßen Rechtswidrigkeit der Datenverarbeitung, worauf sich ein Widerspruchsrecht nach Art. 21 DSGVO und ein Beschwerderecht nach Art. 77 DSGVO stützen lässt, und der zusätzlichen, nach Ansicht der betroffenen Person gegebenen Rechtsverletzung. Vor diesem Hintergrund kann vorliegend auch nicht von der Geltendmachung einer Rechtsverletzung durch den Kläger ausgegangen werden, sodass eine Beschreitung des Klagewegs nach Art. 79 DSGVO vorliegend ebenfalls ausscheiden würde."