Skip to content

EuGH: Wird datenschutzrechtliche Aufsichtsbehörde mittelbar für Betroffenen tätig muss dieser gerichtlichen Rechtsbehelf gegen Entscheidung haben

EuGH
Urteil vom 16.11.2023
C-333/22
Ligue des droits humains (Prüfung der Datenverarbeitung durch die Aufsichtsbehörde)


Der EuGH hat entschieden, dass dem Betroffenen ein gerichtlicher Rechtsbehelf gegen eine Entscheidung der datenschutzrechtlichen Aufsichtsbehörde zustehen muss, wenn die Datenschutzbehörde mittelbar die Rechte des Betroffenen wahrgenommen hat.

Die Pressemitteilung des EuGH:
Verarbeitung personenbezogener Daten: Beschlüsse, die eine Aufsichtsbehörde im Rahmen der mittelbaren Ausübung von Rechten der betroffenen Person erlässt, sind rechtsverbindlich

Die Gründe und Beweise, auf die sie sich stützen, müssen gerichtlich überprüft werden können.

Ein Bürger beantragte zu beruflichen Zwecken bei der belgischen nationalen Sicherheitsbehörde die Erteilung einer Sicherheitsbescheinigung. Das Dokument wurde ihm mit der Begründung verweigert, dass er an Demonstrationen teilgenommen habe. Unter Berufung auf sein Recht auf Auskunft über seine Daten wandte sich der Bürger an das Organ für die Kontrolle polizeilicher Informationen, das ihm mitteilte, dass ihm nur ein mittelbarer Auskunftsanspruch zustehe und es selbst die Rechtmäßigkeit der Verarbeitung seiner Daten prüfen werde. Im Einklang mit dem belgischen Recht beschränkte sich das Organ nach Abschluss der Prüfung jedoch darauf, dem Bürger zu antworten, dass die erforderlichen Prüfungen durch die Aufsichtsbehörde erfolgt seien. Der Bürger erhob daraufhin Klage vor dem Gericht des ersten Rechtszugs, das sich für sachlich unzuständig erklärte.

Die vom Betroffenen und der Ligue des droits humains angerufene Cour d’appel de Bruxelles (Appellationshof Brüssel, Belgien) möchte vom Gerichtshof wissen, ob das Unionsrecht die Mitgliedstaaten dazu verpflichtet, der von der Verarbeitung ihrer Daten betroffenen Person die Möglichkeit zu geben, den Beschluss der Aufsichtsbehörde anzufechten, wenn diese Behörde die Rechte dieser Person in Bezug auf die Datenverarbeitung ausübt.

Der Gerichtshof ist der Auffassung, dass die zuständige Aufsichtsbehörde dadurch, dass sie die betroffene Person über das Ergebnis der Prüfungen unterrichtet, einen rechtsverbindlichen Beschluss erlässt. Gegen diesen Beschluss muss ein Rechtsbehelf eingelegt werden können, damit der Betroffene die Beurteilung der Rechtmäßigkeit der Datenverarbeitung durch die Aufsichtsbehörde und die Entscheidung zugunsten bzw. gegen die Ausübung von Abhilfebefugnissen anfechten kann.

Der Gerichtshof weist darauf hin, dass die Aufsichtsbehörde nach dem Unionsrecht verpflichtet ist, die betroffene Person „zumindest“ darüber zu unterrichten, „dass alle erforderlichen Prüfungen oder eine Überprüfung durch die Aufsichtsbehörde erfolgt sind“, und diese „über ihr Recht auf einen gerichtlichen Rechtsbehelf“ zu informieren. Wenn die im öffentlichen Interesse liegenden Zwecke dem nicht entgegenstehen, haben die Mitgliedstaaten jedoch vorzusehen, dass die Unterrichtung der betroffenen Person über diese Mindestangaben hinausgehen kann, damit die betroffene Person ihre Rechte verteidigen und entscheiden kann, ob sie das zuständige Gericht anruft.

Außerdem müssen die Mitgliedstaaten in den Fällen, in denen die der betroffenen Person übermittelten Informationen auf das strikte Minimum beschränkt wurden, dafür Sorge tragen, dass das zuständige Gericht bei der Prüfung der Stichhaltigkeit der Rechtfertigungsgründe für eine solche Beschränkung der Informationen die im öffentlichen Interesse liegenden Zwecke (Sicherheit des Staates, Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten) und die Notwendigkeit, den Bürgern die Wahrung ihrer Verfahrensrechte zu gewährleisten, gegeneinander abwägen kann. Im Rahmen dieser gerichtlichen Kontrolle müssen die nationalen Vorschriften es dem Gericht ermöglichen, von den Gründen und Beweisen, auf die die Aufsichtsbehörde den Beschluss gestützt hat, aber auch von den daraus gezogenen Schlüssen Kenntnis zu nehmen.


Tenor der Entscheidung:

1. Art. 17 in Verbindung mit Art. 46 Abs. 1 Buchst. g, Art. 47 Abs. 1 und 2 und Art. 53 Abs. 1 der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates sowie in Verbindung mit Art. 8 Abs. 3 und Art. 47 der Charta der Grundrechte der Europäischen Union ist dahin auszulegen, dass dass eine Person, wenn ihre Rechte in Anwendung von Art. 17 dieser Richtlinie über die zuständige Aufsichtsbehörde ausgeübt worden sind und diese Behörde sie über das Ergebnis der durchgeführten Prüfungen unterrichtet, über einen wirksamen gerichtlichen Rechtsbehelf gegen den Beschluss dieser Behörde, das Überprüfungsverfahren abzuschließen, verfügen muss.

2. Die Prüfung der zweiten Frage hat nichts ergeben, was geeignet wäre, die Gültigkeit von Art. 17 Abs. 3 der Richtlinie (EU) 2016/680 zu berühren.

Den Volltext der Entscheidung finden Sie hier:

LG Flensburg: Anrufung der Datenschutzbehörde hemmt Verjährung nicht da es sich nicht um eine Streitbeilegungsstelle i.S.v. § 204 Abs. 1 Nr. 4 BGB handelt

LG Flensburg
Urteil vom 19.11.2021
3 O 227/19


Das LG Flensburg hat entschieden, dass Anrufung der Datenschutzbehörde die Verjährung etwaiger Ansprüche gegen die verarbeitende Stelle nicht hemmt, da es sich dabei nicht um eine Streitbeilegungsstelle i.S.v. § 204 Abs. 1 Nr. 4 BGB handelt.

Aus den Entscheidungsgründen:

bb) Ein etwaiger, hieraus folgender Schadensersatzanspruch des Klägers wäre nämlich verjährt und deshalb nicht durchsetzbar (§ 214 Abs. 1 BGB).

(1) Ein etwaiger Schadensersatzanspruch des Klägers unterläge der regelmäßigen dreijährigen Verjährungsfrist (§ 195 BGB).

(2) Diese Verjährungsfrist hätte mit dem Schluss des Jahres 2015 begonnen und mit Ablauf des Jahres 2018 geendet. Die regelmäßige Verjährungsfrist beginnt mit dem Schluss des Jahres, in dem der Anspruch entstanden ist und der Gläubiger von den den Anspruch begründenden Umständen und der Person des Schuldners Kenntnis erlangt oder ohne grobe Fahrlässigkeit erlangen müsste (§ 199 Abs. 1 BGB). Dies wäre hier der Schluss des Jahres 2015 gewesen:

Der Anspruch wäre im Jahr 2015 entstanden, weil die als gerügten Zugriffe auf die Patientendaten des Klägers im Mai 2015 stattfanden. Der Kläger hätte durch das Gespräch mit dem betrieblichen Datenschutzbeauftragten der Beklagten, dem Zeugen O. F., und der nachfolgenden Übersendung der Stellungnahmen der vier Mitarbeiter der Beklagten, jeweils im Jahr 2015, auch Kenntnis von den den Anspruch begründenden Umständen und der Person des Schuldners erlangt.

Anlässlich der Vernehmung des Zeugen F. hat der Kläger persönlich in der mündlichen Verhandlung bestätigt, dass das Gespräch mit dem betrieblichen Datenschutzbeauftragten, in welchem die fraglichen Zugriffe identifiziert worden seien, bereits im Jahr 2015 stattgefunden habe. Der Kläger hat ebenfalls bestätigt, die in dem E-Mails vom 14.12.2015 und 15.12.2015 erwähnte Post mit den Stellungnahmen der Beschäftigten erhalten zu haben. Hiermit hatte der Kläger bereits 2015 die hinreichende Kenntnis von den anspruchsbegründenden Umständen. Der Kläger wusste von den erfolgten Zugriffen auf seine Patientendaten, hat die Berechtigung für die vier streitgegenständlichen Zugriffe als zweifelhaft erkannt und er kannte die Stellungnahmen der vier Beschäftigten und damit deren Begründungen für die Zugriffe. Dies genügt, um die Verjährungsfrist beginnen zu lassen.

Entgegen der Auffassung des Klägers begann die Verjährung nicht erst dann zu laufen, als die internen Ermittlungen der Beklagten zu den Berechtigungen der Zugriffe abgeschlossen waren oder als das ULD Feststellungen hierzu getroffen hat. Die erforderliche Kenntnis von den Anspruchsvoraussetzungen und der Person des Ersatzpflichtigen liegt im Allgemeinen vor, wenn dem Geschädigten die Erhebung einer Schadensersatzklage, sei es auch nur in Form der Feststellungsklage, Erfolg versprechend, wenn auch nicht risikolos, möglich ist. Weder ist notwendig, dass der Geschädigte alle Einzelumstände kennt, die für die Beurteilung möglicherweise Bedeutung haben, noch muss er bereits hinreichend sichere Beweismittel in der Hand haben, um einen Rechtsstreit im Wesentlichen risikolos führen zu können. Auch kommt es grundsätzlich nicht auf eine zutreffende rechtliche Würdigung an. Vielmehr genügt aus Gründen der Rechtssicherheit und Billigkeit im Grundsatz die Kenntnis der den Ersatzanspruch begründenden tatsächlichen Umstände (statt vieler BGH, Urteil vom 27.05.2008 – XI ZR 132/07, juris Rn. 32 mwN). Hier hatte der Kläger bereits im Jahr 2015 Kenntnis aller tatsächlichen Umstände, auf deren Grundlage zumindest – wenn auch nicht risikolos – eine Feststellungsklage hätte erhoben werden können. Die Kenntnis von den gerügten Zugriffen auf seine Patientendaten, von bestehenden Zweifeln an der Berechtigung hierzu und von den Stellungnahmen der Beschäftigten, aufgrund derer er die Berechtigung der Beschäftigten hätte beurteilen können, genügte hierfür. Dies wird durch den vorliegenden Rechtsstreit bestätigt: Der Kläger gründet seine Klage letztlich auf die Umstände und Zweifel, die seinem Informationsstand im Jahr 2015 entsprechen. Der Umstand, dass das ULD mit Schreiben vom 10.08.2018 festgestellt hat, dass die Zugriffe einen Verstoß gegen Vorschriften der DSGVO darstellten, ändert hieran nichts; insoweit handelt es sich um die rechtliche Bewertung der bereits bekannten Umstände durch einen Dritten, auf die es für die Bestimmung des Verjährungsbeginns nicht ankommt.

(3) Die Verjährung wäre auch nicht gehemmt worden (§ 209 BGB).

(11) Die Verjährung wäre zunächst nicht durch Verhandlungen der Parteien gehemmt worden (§ 203 BGB).

Nach der Rechtsprechung des Bundesgerichtshofes ist der Begriff der „Verhandlungen“ im Sinne des § 203 Satz 1 BGB weit auszulegen. Der Gläubiger muss dafür lediglich klarstellen, dass er einen Anspruch geltend machen und worauf er ihn stützen will. Anschließend genügt jeder ernsthafte Meinungsaustausch über den Anspruch oder seine tatsächlichen Grundlagen, sofern der Schuldner dies nicht sofort und erkennbar ablehnt. Verhandlungen schweben schon dann, wenn eine der Parteien Erklärungen abgibt, die der jeweils anderen Partei die Annahme gestatten, der Erklärende lasse sich auf Erörterungen über die Berechtigung des Anspruches oder dessen Umfang ein. Nicht erforderlich ist, dass dabei Vergleichsbereitschaft oder Bereitschaft zum Entgegenkommen signalisiert wird oder dass Erfolgsaussicht besteht (statt vieler BGH, Urteil vom 14.07.2009 – XI ZR 18/08, juris Rn. 16 mwN).

An diesem Maßstab gemessen haben Verhandlungen im Sinne des § 203 BGB zwischen den Parteien in unverjährter Zeit nicht stattgefunden. Anders als der Kläger bewertet die Kammer die Kommunikation zwischen ihm und der Beklagten in der Zeit von 2015 bis 2018 nicht als Verhandlungen iSd. § 203 BGB. Die Parteien mögen dabei über Umstände gesprochen haben, die dem streitgegenständlichen Anspruch zugrunde liegen, etwa die gerügten Zugriffe auf die Patientendaten des Klägers, deren Berechtigungen etc. Erkennbar ist das Ziel des Klägers, Aufklärung zu erlangen und Vorsorge gegen zukünftige vermeintliche Datenschutzverstöße zu treffen. Auch forderte der Kläger die Beklagte immer wieder zu Stellungnahmen zu den gerügten und vermeintlichen weiteren Datenschutzverstößen auf. Weder aus dem Vortrag der Parteien noch aus der gesamten zur Akte gereichten Korrespondenz bis einschließlich 2018 ergibt sich aber, weder ausdrücklich noch konkludent, dass der Kläger gegenüber der Beklagten einen Schadensersatzanspruch geltend machen will. Dies aber ist Mindestvoraussetzung für ein „Verhandeln“ iSd. § 203 BGB, auch wenn dann anschließend jeder Meinungsaustausch hierüber, d.h. auch über die tatsächlichen Grundlagen, genügt. Soweit ersichtlich, begehrt der Kläger erstmals mit anwaltlichem Schreiben vom 15.01.2019 (Anlage K6, Blatt 18 der Akte) Schadensersatz in Form der Erstattung seiner Rechtsanwaltskosten und behält sich „etwaige Schadensersatzansprüche gemäß Art. 82 DSGVO“ vor. Dies geschah allerdings bereits in verjährter Zeit und vermochte eine Hemmung nicht mehr herbeizuführen.

(22) Die Anrufung des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein durch den Kläger mit Schreiben vom 16.03.2018 führte ebenfalls nicht zu einer Hemmung der Verjährung. Der Landesbeauftragte ist nicht als staatliche oder staatlich anerkannte Streitbeilegungsstelle iSd. § 204 Abs. 1 Nr. 4 Buchst. a BGB oder als andere Streitbeilegungsstelle iSd. § 204 Abs. 1 Nr. 4 Buchst. b BGB tätig geworden. Trotz der fehlenden zeitlichen Anwendbarkeit der DSGVO (dazu oben) ist das ULD, dokumentiert etwa im Schreiben des ULD vom 16.07.2018 (Sonderband), aufgrund der Beschwerde des Klägers nach Art. 77 DSGVO im Rahmen eines aufsichtsbehördlichen Verfahrens gemäß § 74 LVwG tätig geworden, in dessen Ergebnis gemäß Art. 58 Abs. 2 DSGVO Abhilfebefugnisse wie etwa eine Verwarnung, Beschränkungen oder Geldbußen hätten ausgesprochen bzw. verhängt werden können, wovon das ULD letztlich aber absah. Dieses Verwaltungsverfahren ist auf die Überprüfung etwaiger Datenschutzverstöße, deren Sanktionierung und zukünftige Verhinderung gerichtet, nicht aber auf die Beilegung eines Streits zwischen Parteien über einen erhobenen, individuellen Anspruch. Im Übrigen muss für einen wirksam hemmenden Streitbeilegungsantrag - wie bei allen in § 204 Abs. 1 BGB genannten Rechtsverfolgungshandlungen und Verfahren - ein bestimmter Anspruch bezeichnet werden. Nur im Umfang des geltend gemachten Anspruchs erfolgt eine Hemmung. Antragsgegner, Streitbeilegungsstelle und einem ggf. später befassten Gericht muss es möglich sein, Art, Umfang und Tatsachenbasis einer Forderung zu identifizieren (zum Ganzen BeckOGK-BGB/Meller-Hannich, Stand 01.09.2021, § 204 BGB Rn. 176 mwN). Einen solchen individualisierten (Schadensersatz-) Anspruch hat der Kläger bei Anrufung des ULD weder geltend gemacht noch ist ein solcher Gegenstand des Verwaltungsverfahrens vor dem ULD. Auch dies zeigt, dass dieses Verwaltungsverfahren nicht auf Beilegung eines Streits zwischen Parteien über einen erhobenen Anspruch ausgerichtet und deshalb kein Streitbeilegungsverfahren ist, das ULD ist keine Streitbeilegungsstelle.

(33) Die Klage ist am 03.07.2019 und damit in verjährter Zeit bei Gericht eingegangen, so dass die Erhebung der Klage die Verjährung ebenfalls nicht mehr zu hemmen vermochte (§ 204 Abs. 1 Nr. 1 BGB).


Den Volltext der Entscheidung finden Sie hier:


EuGH: Nationale Datenschutzbehörden dürfen bei DSGVO-Verstößen im Zusammenhang mit grenzüberschreitender Datenverarbeitung auch tätig werden wenn sie nicht federführend sind

EuGH
Urteil vom 15.06.2021
C‑645/19
Facebook Ireland Ltd, Facebook Inc., Facebook Belgium BVBA
gegen
Gegevensbeschermingsautoriteit


Der EuGH hat entschieden, dass die nationalen Datenschutzbehörden bei DSGVO-Verstößen im Zusammenhang mit grenzüberschreitender Datenverarbeitung auch dann tätig werden dürfen, wenn sie nicht federführend zuständig sind.

Tenor der Entscheidung:

1. Art. 55 Abs. 1 und die Art. 56 bis 58 sowie 60 bis 66 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) sind in Verbindung mit den Art. 7, 8 und 47 der Charta der Grundrechte der Europäischen Union dahin auszulegen, dass eine Aufsichtsbehörde eines Mitgliedstaats, die nach den zur Durchführung von Art. 58 Abs. 5 der Verordnung erlassenen nationalen Rechtsvorschriften befugt ist, vermeintliche Verstöße gegen die Verordnung einem Gericht dieses Mitgliedstaats zur Kenntnis zu bringen und gegebenenfalls die Einleitung eines gerichtlichen Verfahrens zu betreiben, von dieser Befugnis, wenn eine grenzüberschreitende Datenverarbeitung in Rede steht, Gebrauch machen darf, obgleich sie für diese Datenverarbeitung nicht die „zuständige federführende Aufsichtsbehörde“ im Sinne von Art. 56 Abs. 1 der Verordnung ist, sofern es sich um einen der Fälle handelt, in denen die Verordnung 2016/679 der Aufsichtsbehörde eine Zuständigkeit einräumt, einen Beschluss zu erlassen, mit dem festgestellt wird, dass die fragliche Verarbeitung gegen die Vorschriften der Verordnung verstößt, und die in der Verordnung vorgesehen Verfahren der Zusammenarbeit und der Kohärenz eingehalten werden.

2. Art. 58 Abs. 5 der Verordnung 2016/679 ist dahin auszulegen, dass die Ausübung der einer Aufsichtsbehörde eines Mitgliedstaats, die nicht die federführende Aufsichtsbehörde ist, nach dieser Vorschrift zustehenden Befugnis zur Klageerhebung bei einer grenzüberschreitenden Verarbeitung personenbezogener Daten nicht voraussetzt, dass der für die grenzüberschreitende Verarbeitung personenbezogener Daten Verantwortliche oder der Auftragsverarbeiter, gegen den die Klage erhoben wird, im Hoheitsgebiet des Mitgliedstaats der fraglichen Aufsichtsbehörde eine Hauptniederlassung oder eine andere Niederlassung hat.

3. Art. 58 Abs. 5 der Verordnung 2016/679 ist dahin auszulegen, dass die einer Aufsichtsbehörde eines Mitgliedstaats, die nicht die federführende Aufsichtsbehörde ist, nach dieser Vorschrift zustehende Befugnis, vermeintliche Verstöße gegen die Verordnung einem Gericht dieses Mitgliedstaats zur Kenntnis zu bringen und gegebenenfalls die Einleitung eines gerichtlichen Verfahrens zu betreiben, sowohl gegenüber der Hauptniederlassung des Verantwortlichen, die sich in dem Mitgliedstaat der Aufsichtsbehörde befindet, als auch gegenüber einer anderen Niederlassung des Verantwortlichen ausgeübt werden kann, sofern Gegenstand der Klage eine Datenverarbeitung ist, die im Rahmen der Tätigkeiten der Niederlassung erfolgt, und die genannte Behörde nach den Ausführungen zu Vorlagefrage 1 dafür zuständig ist, die Befugnis auszuüben.

4. Art. 58 Abs. 5 der Verordnung 2016/679 ist dahin auszulegen, dass, wenn eine Aufsichtsbehörde eines Mitgliedstaats, die nicht die „federführende Aufsichtsbehörde“ im Sinne von Art. 56 Abs. 1 der Verordnung ist, vor dem 25. Mai 2018, also bevor die Verordnung galt, wegen einer grenzüberschreitenden Verarbeitung personenbezogener Daten eine Klage erhoben hat, diese Klage unionsrechtlich auf der Grundlage der Vorschriften der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr aufrechterhalten werden kann, die für Verstöße gegen die in ihr enthaltenen Vorschriften, die bis zu dem Zeitpunkt begangen worden sind, zu dem die Richtlinie aufgehoben wurde, weiter gilt. Darüber hinaus kann eine solche Klage von der Aufsichtsbehörde auf der Grundlage von Art. 58 Abs. 5 der Verordnung 2016/679 wegen nach diesem Zeitpunkt begangener Verstöße erhoben werden, sofern es sich um einen der Fälle handelt, in denen die Verordnung einer Aufsichtsbehörde eines Mitgliedstaats, die nicht die „federführende Aufsichtsbehörde“ ist, ausnahmsweise die Befugnis verleiht, einen Beschluss zu erlassen, mit dem festgestellt wird, dass die betreffende Datenverarbeitung gegen die in der Verordnung enthaltenen Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten verstößt, und die in der Verordnung vorgesehenen Verfahren der Zusammenarbeit und der Kohärenz eingehalten werden, was zu prüfen Sache des vorlegenden Gerichts ist.

5. Art. 58 Abs. 5 der Verordnung 2016/679 ist dahin auszulegen, dass die Vorschrift unmittelbare Wirkung hat, so dass eine nationale Aufsichtsbehörde sich auf sie berufen kann, um gegen Private eine Klage zu erheben oder ein entsprechendes Verfahren fortzuführen, auch wenn die Vorschrift in der Rechtsordnung des betreffenden Mitgliedstaats nicht speziell umgesetzt worden ist.

Den Volltext der Entscheidung finden Sie hier:

Die Pressemitteilung des EuGH:

Datenschutz-Grundverordnung (DSGVO): Der Gerichtshof erläutert die Voraussetzungen für die Ausübung der Befugnisse der nationalen Aufsichtsbehörden bei der grenzüberschreitenden Datenverarbeitung

Unter bestimmten Voraussetzungen kann eine nationale Aufsichtsbehörde ihre Befugnis, vermeintliche Verstöße gegen die DSGVO vor einem Gericht eines Mitgliedstaats geltend zu machen, ausüben, auch wenn sie in Bezug auf diese Verarbeitung nicht die federführende Behörde ist

"EuGH: Nationale Datenschutzbehörden dürfen bei DSGVO-Verstößen im Zusammenhang mit grenzüberschreitender Datenverarbeitung auch tätig werden wenn sie nicht federführend sind" vollständig lesen

EuGH-Generalanwalt: Nationale Datenschutzbehörde kann bei DSGVO-Verstoß im Zusammenhang mit grenzüberschreitender Datenverarbeitung tätig werden auch wenn sie nicht federführend zuständig ist

EuGH-Generalanwalt
Schlussanträge vom 13.01.2021
C-645/19
Facebook Ireland Limited, Facebook Inc., Facebook Belgium BVBA / Gegevensbeschermingsautoriteit


Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass die nationalen Datenschutzbehörden bei DSGVO-Verstößen im Zusammenhang mit grenzüberschreitender Datenverarbeitung tätig werden können auch wenn sie nicht federführend zuständig sind.

Die Pressemitteilung des EuGH:

Generalanwalt Bobek: Die Datenschutzbehörde des Staates, in dem sich die Hauptniederlassung eines Verantwortlichen oder Auftragsverarbeiters in der EU befindet, hat eine allgemeine Zuständigkeit, um gerichtliche Verfahren wegen Verstößen gegen die Datenschutz-Grundverordnung in Bezug auf grenzüberschreitende Datenverarbeitung einzuleiten

Die anderen betroffenen nationalen Datenschutzbehörden seien gleichwohl befugt, in Situationen, in denen es ihnen die Datenschutz-Grundverordnung spezifisch gestatte, derartige Verfahren inihren jeweiligen Mitgliedstaaten einzuleiten

Im September 2015 leitete die belgische Datenschutzbehörde vor den belgischen Gerichten ein Verfahren gegen mehrere Unternehmen der Facebook-Gruppe (im Folgenden: Facebook) ein, nämlich gegen Facebook Inc., Facebook Ireland Ltd, das die Hauptniederlassung der Gruppe in der EU ist, und Facebook Belgium BVBA (im Folgenden: Facebook Belgium). In diesem Verfahren beantragte die Datenschutzbehörde, Facebook zu verpflichten, bei in Belgien ansässigen Internetnutzern, wenn sie hierein nicht eingewilligt haben, das Platzieren von bestimmten Cookies auf dem Gerät, das diese Personen verwenden, wenn sie auf eine Website der Domain Facebook.com oder auf eine Website eines Dritten gelangen, zu unterlassen sowie die
übermäßige Erhebung von Daten durch Social Plugins und Pixels auf Websites Dritter zu unterlassen. Ferner beantragte die genannte Behörde, alle personenbezogenen Daten, die mittels Cookies und Social Plugins über jeden in Belgien ansässigen Internetnutzer erlangt worden sind, zu vernichten.

Das fragliche Verfahren ist derzeit beim Hof van beroep te Brussel (Berufungsgericht Brüssel, Belgien) anhängig, betrifft aber nur noch Facebook Belgium, nachdem das genannte Gericht zuvor befunden hat, für Klagen gegen Facebook Inc. und Facebook Ireland Ltd nicht zuständig zu sein. In diesem Zusammenhang trägt Facebook Belgium vor, dass die belgische Datenschutzbehörde ab dem Zeitpunkt, zu dem die Datenschutz-Grundverordnung (DSGVO) 1 anwendbar geworden sei, die Zuständigkeit dafür verloren habe, das fragliche Gerichtsverfahren gegen Facebook weiter zu betreiben. Nach der DSGVO sei lediglich die Datenschutzbehörde desjenigen Staates, in dem sich die Hauptniederlassung von Facebook in der EU befinde (die sogenannte „federführende“ Datenschutzbehörde in der EU für Facebook), nämlich die Irish Data Protection Commission, befugt, wegen Verstößen gegen die DSGVO im Zusammenhang mit grenzüberschreitender Datenverarbeitung ein gerichtliches Verfahren gegen Facebook zu betreiben.

Unter diesen Umständen möchte der Hof van beroep te Brussel vom Gerichtshof wissen, ob die DSGVO tatsächlich andere Datenschutzbehörden als die federführende daran hindert, in ihrem jeweiligen Mitgliedstaat gerichtliche Verfahren wegen Verstößen gegen die Vorschriften der DSGVO in Bezug auf grenzüberschreitende Datenverarbeitung zu betreiben.

In seinen Schlussanträgen vom heutigen Tag vertritt Generalanwalt Michal Bobek erstens die Auffassung, dass sich aus dem Wortlaut der DSGVO ergebe, dass die federführende Datenschutzbehörde für grenzüberschreitende Datenverarbeitung eine allgemeine Zuständigkeit habe, wozu auch die Einleitung gerichtlicher Verfahren wegen Verstößen gegen die DSGVO gehöre; folglich seien die diesbezüglichen Handlungsbefugnisse der übrigen betroffenen Datenschutzbehörden weniger umfassend.

In Bezug darauf, dass die DSGVO jeder Datenschutzbehörde die Befugnis verleiht, gerichtliche Verfahren gegen mögliche Verstöße einzuleiten, die ihr Hoheitsgebiet betreffen, führt der Generalanwalt aus, dass diese Befugnis ausdrücklich beschränkt sei, soweit es um grenzüberschreitende Datenverarbeitung gehe, gerade um der federführenden Datenschutzbehörde zu ermöglichen, insoweit ihre Aufgaben wahrzunehmen.

Zweitens erinnert der Generalanwalt daran, dass der Grund, weswegen mit der DSGVO der sogenannte „One-Stop-Shop“-Mechanismus eingeführt worden sei, wodurch der federführenden Datenschutzbehörde eine bedeutende Rolle zugewiesen worden sei und zur Beteiligung anderer Datenschutzbehörden Kooperationsmechanismen geschaffen worden seien, gerade darin bestanden habe, bestimmten Unzulänglichkeiten abzuhelfen, die sich aus den früheren Rechtsvorschriften ergeben hätten.

Wirtschaftsteilnehmer hätten nämlich die verschiedenennationalen Regelwerke einhalten müssen, mit denen diese Rechtsvorschriften umgesetzt wordenseien, und zugleich mit allen nationalen Datenschutzbehörden in Verbindung treten müssen. Dies habe sich für die Wirtschaftsteilnehmer als kostspielig, belastend und zeitaufwändig erwiesen, und für sie und ihre Kunden hätten sich daraus unvermeidlicherweise Unsicherheiten und Konflikte ergeben.

Drittens betont der Generalanwalt, dass die federführende Datenschutzbehörde bei grenzüberschreitenden Sachverhalten nicht als alleinige Stelle zur Durchsetzung der DSGVO angesehen werden könne und im Einklang mit den einschlägigen Vorschriften und Fristen, die sich aus der DSGVO ergäben, eng mit den anderen betroffenen Datenschutzbehörden zusammenarbeiten müsse, deren Beiträge auf diesem Gebiet äußerst wichtig seien.

Viertens hebt der Generalanwalt hervor, dass nationale Datenschutzbehörden, selbst wenn sie nicht als federführende Behörde fungierten, gleichwohl unter bestimmten Umständen vor den Gerichten ihres jeweiligen Mitgliedstaats Verfahren wegen grenzüberschreitender Verarbeitung einleiten könnten. Dies sei insbesondere möglich, wenn die nationalen Datenschutzbehörden i) außerhalb des sachlichen Anwendungsbereichs der DSGVO tätig würden, ii) sie Untersuchungen
zu grenzüberschreitender Datenverarbeitung anstellten, die durch Behörden, im öffentlichen Interesse, in Ausübung öffentlicher Gewalt oder durch Verantwortliche erfolge, die keine Niederlassung in der Union hätten, iii) bei Dringlichkeit Maßnahmen ergriffen oder iv) tätig würden, nachdem die federführende Datenschutzbehörde beschlossen habe, sich nicht selbst mit dem Fall zu befassen.

Demnach ist der Generalanwalt der Auffassung, dass die Datenschutzbehörde eines Mitgliedstaats nach den Bestimmungen der DSGVO befugt ist, vor einem Gericht ihres Staates ein Verfahren wegen eines angeblichen Verstoßes gegen die DSGVO im Zusammenhang mit einer grenzüberschreitenden Datenverarbeitung einzuleiten, auch wenn sie nicht die federführende Datenschutzbehörde ist, der für die Einleitung solcher Verfahren eine allgemeine Befugnis verliehen worden ist, sofern die erstgenannte Datenschutzbehörde in Situationen tätig wird, in denen ihr die DSGVO spezifisch hierzu Befugnisse verleiht, und die in der DSGVO vorgesehenen entsprechenden Verfahren beachtet.

Den Volltext der Schlussanträge finden Sie hier:




Internet World Business-Beitrag von Rechtsanwalt Marcus Beckmann: Wenn der Datenschützer klingelt - Tipps und Hinweise zum Umgang mit Aufsichtsverfahren durch Landesdatenschutzbehörden

In Ausgabe 11/20, S. 48-49 der Zeitschrift Internet World Business erschien ein Beitrag von Rechtsanwalt Marcus Beckmann mit dem Titel "Wenn der Datenschützer klingelt". Der Beitrag gibt Tipps und Hinweise zum Umgang mit datenschutzrechtlichen Aufsichtsverfahren durch die Landesdatenschutzbehörden.


VG Mainz: Datenschutzrechtliche Beschwerde muss alle Informationen enthalten so dass datenschutzrechtliche Aufsichtsbehörde die Sache prüfen kann

VG Mainz
Urteil vom 22.07.2020
1 K 473/19.MZ


Das VG Mainz hat entschieden, dass eine datenschutzrechtliche Beschwerde alle Informationen enthalten muss, so dass die datenschutzrechtliche Aufsichtsbehörde die Sache prüfen kann.

Aus den Entscheidungsgründen:

II. Die Klage hat ungeachtet dessen auch in der Sache keinen Erfolg. Der Bescheid des Beklagten vom 26. April 2019 ist rechtmäßig und verletzt den Kläger nicht in seinen Rechten. Die Beendigung des vom Kläger erhobenen Beschwerdeverfahrens durch den Beklagten ist nicht zu beanstanden, weil der Kläger keine prüffähige Beschwerde beim LFDI erhoben hat. Dabei hat der Beklagte das Beschwerdeverfahren nicht etwa deshalb eingestellt – wie der Kläger wohl meint –, weil der Kläger nur die aus seiner Sicht bestehenden Missstände und seine Rechtsauffassung mitteilt, sondern weil die Beschwerde des Klägers mangels konkreter Informationen zu einem Datenschutzrechtsverstoß vom LFDI nicht geprüft werden konnte.

1. Eine Beschwerde kann gemäß Art. 77 Abs. 1 DSGVO bei der Aufsichtsbehörde – hier: LFDI – eingelegt werden, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt. Der Beschwerdeführer hat nicht nur – wie es bei einer Petition der Fall wäre – ein Recht auf Beantwortung und Bescheidung seiner Beschwerde, sondern einen darüberhinausgehenden Anspruch auf fehlerfreie Ermessensausübung und im Falle einer Ermessensreduzierung auf Null einen Anspruch auf ein konkretes Einschreiten der Aufsichtsbehörde (vgl. VG Mainz, Urteil vom 16. Januar 2020 – 1 K 129/19.MZ –, juris, Rn. 35; VG Ansbach, Urteil vom 8. August 2019 – AN 14 K 19.272 –, BeckRS 2019, 30069, Rn. 25; Albrecht/Jotzo, Das neue Datenschutzrecht der EU, 1. Aufl. 2017, Teil 8, Rn. 6 f., beck-online; Mundil, in Wolff/Brink, BeckOK Datenschutzrecht, 30. Ed. Stand: 1. Februar 2017, Art. 78 DSGVO, Rn. 7). Eine Beschwerde kann formlos eingereicht werden, da Art. 77 Abs. 1 DSGVO keine ausdrücklichen Formerfordernisse regelt. Inhaltlich dürfen an die Beschwerde zwar keine zu strengen Anforderungen gestellt werden, damit das Beschwerderecht grundsätzlich einfach und unbürokratisch ausgeübt werden kann (vgl. Bergt, in: Kühling/Buchner, DS-GVO/BDSG, 2. Aufl. 2018, Art. 77, Rn. 10; Körffer, in: Paal/Pauly, DS-GVO/BDSG, 2. Aufl. 2018, Art. 77, Rn. 3). Gleichwohl muss die Beschwerde zumindest alle Informationen enthalten, die erforderlich sind, dass die Aufsichtsbehörde den Sachverhalt erfassen und gegebenenfalls weiter aufklären und etwaige Datenschutzrechtsverstöße prüfen kann. Die Beschwerde muss daher Angaben über die betroffene Person und den Verantwortlichen aufweisen und zumindest ansatzweise zum Ausdruck bringen, welcher Verstoß gegen datenschutzrechtliche Vorschriften gerügt wird (vgl. Mundil, in: Wolff/Brink, BeckOK Datenschutzrecht, 31. Edition, Stand: 1. Februar 2020, Art. 77, Rn. 7). Schließlich kann der Beschwerdeführer keine Ermittlungen ins Blaue hinein durch den LFDI beantragen. Dabei kann von der betroffenen Person zwar keine rechtliche Analyse erwartet werden, allerdings muss die Behauptung eines Rechtsverstoßes substantiiert durch Tatsachen dargelegt werden. Sofern die Beschwerde noch nicht hinreichend substantiiert ist, ist es Aufgabe der Aufsichtsbehörde den Beschwerdeführer hierauf hinzuweisen und auf eine Konkretisierung der Beschwerde hinzuwirken (vgl. Nemitz, in: Ehmann/Selmayr, DSGVO, 2. Aufl. 2018, Art. 77, Rn. 8).

2. Unter Anwendung des dargestellten Rechtsmaßstabs fehlt es hier an einer hinreichend substantiierten, überprüfbaren Beschwerde des Klägers. Der Kläger hat mit seiner Beschwerde vom 5. Februar 2019 zwar mitgeteilt, dass er Unterstützung bei seinem Auskunftsbegehren nach Art. 15 DSGVO benötige. Er habe verschiedene Behörden um Auskunft gebeten und verweise insofern auf seine beigefügten Anfrageschreiben an die jeweiligen Behörden sowie die Rückantworten des Sozialgerichts Mainz, des Landessozialgerichts Rheinland-Pfalz, der Staatskanzlei und der Generalstaatsanwaltschaft Koblenz. Aus seinem Beschwerdeschreiben und auch der weiteren Korrespondenz mit dem LFDI sowie aus seinem Vortrag im Klageverfahren ergibt sich jedoch nicht, ob und warum er überhaupt von einer Datenverarbeitung durch die angefragten Stellen ausgeht (a)), ob ihm alle angefragten Behörden geantwortet haben bzw. welche Behörden sich nicht zurückgemeldet haben (b)) und warum die Rückantworten, die er erhalten und seiner Beschwerde beigefügt hat, nicht ausreichen (c)).

a) Sofern der Kläger nicht erklärt, dass (und warum) er von einer Datenverarbeitung durch die verantwortliche Behörde ausgeht und sich dies auch nicht aus den Umständen ergibt, kann der LFDI teilweise bereits seine Zuständigkeit nicht prüfen.

Art. 55 Abs. 3 DSGVO regelt, dass die Aufsichtsbehörden – hier: der LFDI – nicht zuständig sind für die Aufsicht über die von den Gerichten im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Verarbeitungen von personenbezogenen Daten (vgl. insofern auch Erwägungsgrund 20 der DSGVO). Das bedeutet, dass der LFDI keine Aufsichtsbefugnisse über Gerichte hat, sofern diese Tätigkeiten ausüben, die mit der gerichtlichen Entscheidungsfindung in Zusammenhang stehen (vgl. Selmayr, in: Ehmann/Selmayr, 2. Aufl. 2018, DS-GVO Art. 55 Rn. 12). Damit soll der verfassungsrechtlich gebotenen Unabhängigkeit der Justiz Rechnung getragen werden (vgl. Schaar, „Datenschutz und Rechtspflege“, DRiZ 2018, 166, beck-online). Die Gerichtsverwaltung ist von der Zuständigkeit der Aufsichtsbehörden hingegen nicht ausgenommen. Damit unterliegen die Verarbeitung personenbezogener Daten der Mitarbeiter der Justizverwaltung, die Datenverarbeitung bei der Mittelbeschaffung für die Gerichte sowie bei Justizverwaltungsakten und Rechtspflegetätigkeiten der Kontrolle des LFDI (vgl. Selmayr, in: Ehmann/Selmayr, DS-GVO, 2. Aufl. 2018, Art. 55, Rn. 14). In Bezug auf die Gerichte (Sozialgericht Mainz, Landessozialgericht Rheinland-Pfalz), an die der Kläger ein Auskunftsersuchen adressiert hat, konnte der LFDI mangels substantiierten Vortrags durch den Kläger nicht prüfen, ob sich die betroffene Datenverarbeitung – über die der Kläger eine Auskunft begehrt – auf die justizielle Tätigkeit der Gerichte oder die Gerichtsverwaltung bezieht. In seinem Schreiben vom 7. März 2019 führt der Kläger zwar aus, dass die jeweiligen Gerichtsverwaltungen Stellung zu seinen Anfragen genommen hätten. Es kommt für eine Überprüfung durch den LFDI jedoch nicht darauf an, wer das Auskunftsersuchen beantwortet, sondern wer die personenbezogenen Daten verarbeitet hat.

Ebenso war es dem LFDI nicht möglich, seine Zuständigkeit hinsichtlich der Beschwerde des Klägers in Bezug auf sein Auskunftsbegehren gegenüber dem Petitionsausschuss des Rheinland-Pfälzischen Landtags zu prüfen und positiv festzustellen. Gemäß § 2 Abs. 3 LDSG unterliegen der Landtag, seine Gremien, seine Mitglieder, die Fraktionen sowie deren Verwaltungen und deren Beschäftigte nicht den Bestimmungen dieses Gesetzes, soweit sie in Wahrnehmung parlamentarischer Aufgaben personenbezogene Daten verarbeiten. Der Landtag erlässt insoweit unter Berücksichtigung seiner verfassungsrechtlichen Stellung, der DSGVO und der Grundsätze des Landesdatenschutzgesetzes eine Datenschutzordnung. Soweit das Auskunftsersuchen des Klägers also eine Verarbeitung personenbezogener Daten betrifft, die im Rahmen parlamentarischer Aufgaben erfolgt ist, ist der LFDI als Aufsichtsbehörde nicht zuständig. Ob und inwieweit vorliegend eine Datenverarbeitung des Klägers im Bereich parlamentarischer Aufgaben von seinem Auskunftsersuchen betroffen ist, konnte der LFDI jedoch gar nicht erst prüfen, weil ihm insofern nicht hinreichende Informationen übermittelt wurden.

In diesem Zusammenhang ist zu berücksichtigen, dass der LFDI in seinen Schreiben vom 15. Februar 2019 und vom 1. April 2019 auf seine eingeschränkte Zuständigkeit hingewiesen und mitgeteilt hat, dass aus den Schreiben des Klägers ein Datenschutzverstoß nicht substantiiert erkennbar sei und deshalb um Konkretisierung der Beschwerde gebeten werde. Der Kläger wurde auf seine nicht prüffähige Beschwerde hingewiesen und hat zwei Mal die Möglichkeit erhalten, seine Beschwerde zu konkretisieren.

b) Aus der Beschwerde wird weiterhin nicht erkennbar, ob der Kläger von allen Behörden, an die er ein Auskunftsersuchen adressiert hat, eine Rückantwort erhalten hat. Er hat jedenfalls nur von manchen der angeschriebenen Behörden eine Antwort seiner Beschwerde beigelegt (Sozialgericht Mainz, Staatskanzlei Rheinland-Pfalz, Landessozialgericht Rheinland-Pfalz, Generalstaatsanwaltschaft Koblenz). In dem Schreiben des Sozialgerichts Mainz wird der Kläger nur darüber informiert, dass die Beschwerde zur Bearbeitung an die Gerichtsverwaltung weitergeleitet wurde, sodass nicht erkennbar ist, ob und in welcher Weise eine inhaltliche Beantwortung des Auskunftsersuchens später noch erfolgt ist und den rechtlichen Anforderung entspricht. In dem Schreiben des Landessozialgerichts Rheinland-Pfalz vom 18. Januar 2019 wird nur Bezug genommen auf eine mit Schreiben vom 8. Januar 2019 wohl vom Landessozialgericht erteilte Antwort. Dieses Antwortschreiben hat der Kläger nicht seiner Beschwerde beigelegt, sodass ein etwaiger Verstoß gegen das Auskunftsrecht nach Art. 15 DSGVO nicht überprüfbar ist. Ob es Rückantworten des Petitionsausschusses des Landtags, des Justizministeriums und der Staatsanwaltschaft Mainz gab, wird aus der Beschwerde nicht erkennbar. Etwaige fehlende Antworten werden vom Kläger auch nicht ausdrücklich gerügt.

c) Zur Begründung seiner Beschwerde führt der Kläger zwar an, dass aus den ihm zugegangenen Antworten (mit Ausnahme der Angaben der Generalstaatsanwaltschaft Koblenz) nicht erkennbar sei, welche Dokumente er löschen lassen könne. Allerdings ist vom Auskunftsrecht nach Art. 15 Abs. 1 lit. e) DSGVO allein umfasst, dass die betroffene Person über das Bestehen ihres Rechts auf Löschung der sie betreffenden personenbezogenen Daten gemäß Art. 17 DSGVO informiert werden muss – wie es die Staatskanzlei Rheinland-Pfalz in ihrem Auskunftsschreiben (dem einzigen Schreiben, das der Kläger neben der Antwort der Generalstaatsanwaltschaft Koblenz vorgelegt hat) im Übrigen auch in rechtlich hinreichender Weise getan hat. Ein Anspruch auf Mitteilung, welche konkreten Dokumente mit personenbezogenen Daten vorhanden sind und gegebenenfalls gemäß Art. 17 DSGVO gelöscht werden müssen, lässt sich aus Art. 15 Abs. 1 DSGVO nicht ableiten. Aus seinem Auskunftsbegehren („ich nehme hiermit mein Auskunftsrecht nach Art. 15 DSGVO wahr und bitte um Rückantwort innerhalb der im Gesetz vorgesehenen Fristsetzung.“) ergibt sich auch weder, dass der Kläger etwa gemäß Art. 15 Abs. 3 DSGVO Kopien der personenbezogenen Daten, die Gegenstand der Verarbeitung bei dem jeweiligen Verantwortlichen sind, bekommen wollte, noch, dass er die Löschung seiner personenbezogenen Daten verlangt. Jedenfalls wäre es dem Kläger im Rahmen seiner Mitwirkungspflichten zuzumuten gewesen, im Falle einer aus seiner Sicht unzureichenden Beantwortung gegenüber der Behörde sein Auskunftsersuchen zu präzisieren und beispielsweise ausdrücklich eine Kopie zu verlangen. Im Übrigen ist auch nicht ersichtlich, dass eine betroffene Person für die Ausübung ihres Löschungsrechts nach Art. 17 DSGVO die Kenntnis bestimmter Dokumente benötigt; vielmehr dürfte es ausreichen die Löschung bestimmter personenbezogener Daten, die bei dem Verantwortlichen vorhanden sind, zu verlangen.

Darüber hinaus verlangt der Kläger aufgrund seiner Beschwerde offenbar, dass der LFDI Schulungen bei den verschiedenen Behörden durchführt. Hierauf hat der Kläger jedoch keinen durchsetzbaren Anspruch. Ebenso wenig kann er im Beschwerde- oder Klageverfahren eine einheitliche Rechtsanwendung durchsetzen, wobei insofern auch unklar ist, worin er anhand der verschiedenen, ihm zugegangenen Rückantworten der Behörden eine uneinheitliche Rechtsanwendung sieht.

Hinsichtlich der vom Kläger gerügten vermeintlich unvollständig und fehlerhaft geführte Verwaltungsakte ist nicht ersichtlich, in welcher Weise die Akte manipuliert sein soll und sich dieser Vorwurf auf das streitgegenständliche Verfahren auswirken könnte. In der Anpassung des Datums auf dem Bescheid vom 26. April 2019 (S. 77 der Verwaltungsakte) ist keine rechtswidrige Manipulation zu erkennen. Es ist offensichtlich, dass es sich bei dem Schreiben auf S. 77 der Verwaltungsakte um den finalen Entwurf des Bescheids handelte. Dies wird dadurch deutlich, dass der Landesdatenschutzbeauftragte Herr L. nur mit seinem Kürzel unterzeichnet hat und auf der Rückseite (S. 76 der Verwaltungsakte) eine interne Verfügung vermerkt ist. Dabei wurde in dem Schreiben das Datum der finalen Erstellung des Schreibens (Freitag, der 26. April 2019) über dem ursprünglich vermerkten Datum (24. April 2019) handschriftlich korrigiert. Diese Vorgehensweise wurde von dem Beklagtenvertreter in der mündlichen Verhandlung am 18. Juni 2020 auch bestätigt (vgl. Protokoll über die öffentliche Sitzung der 1. Kammer am 18. Juni 2020). Aus einer Datumskorrektur kann nicht ohne weitere Anhaltspunkte auf eine Aktenmanipulation geschlossen werden, zumal es auf das genaue Datum, an dem der Bescheid verfasst wurde, hier nicht ankommt. Die Verwaltungsakte ist allein dahingehend unvollständig, als sie eine Kopie des originalen, an den Kläger abgesendeten Bescheids über die finale Entwurfsfassung hinaus nicht zusätzlich in Kopie enthält. Wenngleich es wünschenswert wäre, dass der Beklagte auch den Originalbescheid in Kopie in die Verwaltungsakte aufnimmt, lässt sich aus der bisherigen Verwaltungspraxis des Beklagten für den Kläger keine Rechtsverletzung ableiten, zumal das Schreiben auf S. 77 – bis auf das handschriftlich korrigierte Datum – inhaltlich identisch ist mit dem Bescheid, den der Kläger nachweislich (Bl. 1 (Rückseite) der Gerichtsakte) erhalten hat. Entgegen der Auffassung des Klägers muss die Verwaltungsakte auch nicht die innere Entscheidungsbildung der Behördenmitarbeiter im Einzelnen abbilden.

Dem Kläger wurde auch Akteneinsicht im Sinne von § 100 VwGO gewährt. Er ist zwei Mal im Verwaltungsgericht erschienen, um Einsicht in die Akte zu nehmen; ihm wurden weitere Möglichkeiten zur Akteneinsicht angeboten, die er nicht wahrgenommen hat. Darüber hinaus wurde dem Kläger zwar verwehrt Fotografien oder Kopien von der Verwaltungsakte selbst zu erstellen, ihm wurde aber angeboten, dass auf seine Kosten Kopien durch die Geschäftsstelle angefertigt werden. Von dieser Möglichkeit hat er keinen Gebrauch gemacht.

Im Übrigen geht der Verweis des Klägers auf eine Entscheidung des Verwaltungsgerichts Mainz vom 5. April 2017 (– 3 K 569/16.MZ –) fehl, da es darin nicht um eine Akteneinsicht in Gerichts- und Verwaltungsakten nach § 100 VwGO ging, sondern um die Gebührenfreiheit bei der Einsichtnahme in amtliche Informationen vor Ort nach § 13 Abs. 1 Satz 2 Landesinformationsfreiheitsgesetz – LIFG –.


Den Volltext der Entscheidung finden Sie hier:

VG Mainz: Keine einstweilige Anordnung mit Ziel der Wiederaufnahme und Fortsetzung eines Beschwerdeverfahrens nach Art. 77 DSGVO zur Durchsetzung zivilrechtlicher Ansprüche

VG Mainz
Beschluss vom 29.08.2019
1 L 605/19.MZ


Das VG Mainz hat in diesem Fall den Erlass einer einstweiligen Anordnung mit dem Ziel der Wiederaufnahme und Fortsetzung eines Beschwerdeverfahrens nach Art. 77 DSGVO zur Vorbereitung der Durchsetzung zivilrechtlicher Ansprüche abgelehnt.

Aus den Entscheidungsgründen:

I. Es bestehen bereits Zweifel an der Zulässigkeit des Antrags.

Der Verwaltungsrechtsweg ist gemäß § 20 Abs. 1 Satz 1 Bundesdatenschutzgesetz – BDSG – eröffnet. Das Verwaltungsgericht Mainz ist zuständig. Die örtliche Zuständigkeit ergibt sich hier entweder aus § 52 Nr. 5, Nr. 3 Sätze 3 und 5 Verwaltungsgerichtsordnung – VwGO – oder aus der spezielleren Regelung des § 20 Abs. 3 BDSG (so z.B. Neun/Lubitzsch, BB 2017, 2563 (2564); Pötters/Werkmeister, DS-GVO, 2. Aufl. (2018), Art. 78 Rn. 19). Nach § 52 Nr. 5, Nr. 3 Sätze 3 und 5 VwGO ist das Verwaltungsgericht zuständig, in dessen Bezirk der Antragsgegner seinen Sitz hat. Entsprechend der Regelung in § 52 Nr. 3 Satz 3 VwGO, der auch bei Verpflichtungsklagen Anwendung findet (vgl. W.-R. Schenke, VwGO, 24. Aufl. (2018), § 52 Rn. 12, VG Würzburg, Urteil vom 18. März 2010 – W 1 K 09.1244 –, juris, Rn. 14 f.; ebenso VG Düsseldorf, Urteil vom 19. Mai 2011 – 6 K 4205/10 –, juris, Rn. 19), fehlt es der Antragstellerin an einem Sitz oder Wohnsitz im Zuständigkeitsbereich des Antragsgegners, denn sie gibt an in Spanien zu wohnen. Auch nach § 20 Abs. 3 BDSG ist hier das Verwaltungsgericht Mainz als das Gericht, in dessen Bezirk der Landesbeauftragte für den Datenschutz und die Informationsfreiheit – LfDI – als Aufsichtsbehörde seinen Sitz hat, örtlich zuständig.

Der Antrag der Antragstellerin, der auf eine Fortsetzung des Verfahrens gerichtet ist, ist statthaft gemäß § 123 Abs. 1 VwGO. Da hier die Fortsetzung des Verfahrens Antragsziel ist, könnte die besondere Form der Untätigkeitsklage nach Art. 78 Abs. 2 DSGVO statthaft sein. Danach kann ein gerichtlicher Rechtsbehelf eingelegt werden, wenn sich die Aufsichtsbehörde nicht mit einer Beschwerde befasst oder die betroffene Person nicht innerhalb von drei Monaten über den Stand oder das Ergebnis der nach Art. 77 DSGVO erhobenen Beschwerde in Kenntnis gesetzt hat. Allerdings hat der LfDI als Aufsichtsbehörde hier das Verfahren bereits durch einen rechtsverbindlichen Beschluss, der auch mit einer Rechtsbehelfsbelehrung versehen war, abgeschlossen. Spezieller und damit vorrangig ist vorliegend der gerichtliche Rechtsbehelf gegen die Abschlussverfügung des LfDI nach Art. 78 Abs. 1 DSGVO. Der Antrag ist hier allerdings nicht nur auf die Aufhebung eines Verwaltungsakts bzw. die Anfechtung eines rechtsverbindlichen Beschlusses der Aufsichtsbehörde gerichtet, sondern zumindest auch auf ein Tätigwerden des Antragsgegners. Art. 78 Abs. 1 DSGVO ist aber nicht nur auf Anfechtungsklagen gegen die rechtsverbindlichen Beschlüsse (in der Regel Verwaltungsakte) der Aufsichtsbehörde beschränkt, sondern umfasst darüber hinaus auch Verpflichtungs- und Leistungsklagen zur Gewährung eines effektiven Rechtsschutzes für die betroffene Person (Art. 19 Abs. 4 Grundgesetz – GG –), was sich auch aus dem unionsrechtlichen Grundsatz des effet utile (Art. 4 Abs. 3 des Vertrags über die Europäische Union – EUV –) folgern lässt (vgl. auch Mundil, in: BeckOK DatenschutzR, 28. Ed. (2017), DS-GVO, Art. 78 Rn. 7).

Es ist vorliegend bereits fraglich, ob die Antragstellerin ein Rechtsschutzbedürfnis auf Erlass der begehrten einstweiligen Anordnung hat. Dies kann aber im Ergebnis offenbleiben, da ihr Antrag jedenfalls unbegründet ist (dazu II.). Das Rechtsschutzbedürfnis kann fehlen, wenn der Erlass der einstweiligen Anordnung für den Antragsteller offensichtlich keinerlei rechtliche oder tatsächliche Vorteile bringen kann (vgl. nur W.-R. Schenke, in Kopp/Schenke, VwGO, 22. Aufl. (2016), Vorb. § 40 Rn. 38). Dies könnte hier der Fall sein, da die Antragstellerin mit dem von ihr gestellten Antrag (nur) eine Fortsetzung des Beschwerdeverfahrens erzielen könnte, dessen Ausgang aber offen wäre. Die von der Antragstellerin eigentlich begehrte Auskunft würde sie bei einem Erfolg des Antrags auf Erlass der beantragten einstweiligen Anordnung nicht – jedenfalls nicht unmittelbar und nicht mit Gewissheit – erhalten. Der Antragsgegner selbst kann die begehrte Auskunft nicht erteilen, da er über sie nicht verfügt. Der Umfang der – gerichtlich gegebenenfalls durchsetzbaren – Pflichten der Auskunftsbehörde ist umstritten: So wird die Auffassung vertreten, dass von der Aufsichtsbehörde gemäß Art. 77 Abs. 1 DSGVO und Art. 57 Abs. 1 lit. f) DSGVO nur eine Bearbeitung der Beschwerde bzw. eine zeitnahe Unterrichtung über den Stand und das Ergebnis der Untersuchungen verlangt werden kann, andererseits gibt es aber auch die Rechtsmeinung, dass die Aufsichtsbehörde zu konkreten Maßnahmen verpflichtet werden kann (vgl. zum Meinungsstand Neun/Lubitzsch, BB 2017, 2563 (2564)). Es spricht nach der im Eilverfahren gebotenen summarischen Prüfung der Sach- und Rechtslage nach Auffassung der Kammer einiges dafür, dass der Aufsichtsbehörde ein (weiter) Ermessensspielraum zusteht, ob und welche Maßnahmen sie ergreift, um einen etwaigen Verstoß gegen die DSGVO festzustellen oder einen Auskunftsanspruch des Beschwerdeführers durchzusetzen (so auch SG Frankfurt (Oder), Gerichtsbescheid vom 8. Mai 2019 – S 49 SF 8/19 – openjur; Nemitz, in: Ehmann/Selmayr, DSGVO, 2. Aufl. (2018), Art. 77, Rn. 17; Pötters/Werkmeister, in: Gola, DS-GVO, Art. 77 Rn. 7). Danach kann eine betroffene Person nur Ermessensfehler rügen. Hier begehrt die Antragstellerin aber nicht den Erlass einer ermessensfehlerfreien Entscheidung und etwa einen Anspruch auf behördliches Einschreiten des Antragsgegners gegen die B. GmbH, sondern sie hat nur eine Fortsetzung des Verfahrens beantragt, die ihr keinen unmittelbaren Vorteil bringen kann.

II. Nach § 123 Abs. 1 Verwaltungsgerichtsordnung – VwGO – kann das Verwaltungsgericht einstweilige Anordnungen in Bezug auf den Streitgegenstand oder zur Regelung eines vorläufigen Zustandes hinsichtlich eines streitigen Rechtsverhältnisses treffen, wenn entweder die Gefahr besteht, dass durch eine Veränderung des bestehenden Zustands die Verwirklichung eines Rechts des Antragstellers vereitelt oder wesentlich erschwert werden könnte (§ 123 Abs. 1 Satz 1 VwGO), oder wenn die Regelung notwendig ist, um vom Antragsteller wesentliche Nachteile abzuwenden (§ 123 Abs. 1 Satz 2 VwGO). Der durch die begehrte einstweilige Anordnung vorläufig zu sichernde Anspruch (Anordnungsanspruch) und die Notwendigkeit einer vorläufigen Regelung (Anordnungsgrund) müssen jeweils glaubhaft gemacht worden sein (§ 123 Abs. 3 VwGO i.V.m. § 920 Abs. 2 Zivilprozessordnung – ZPO –). Eine Vorwegnahme der Hauptsache ist dabei grundsätzlich unzulässig. Sie kommt mit Blick auf das Gebot des effektiven Rechtsschutzes nach Art. 19 Abs. 4 Grundgesetz – GG – nur dann in Betracht, wenn ansonsten kein effektiver Rechtsschutz gewährt werden kann.

Unter Beachtung dieser Grundsätze ist die begehrte einstweilige Anordnung nach summarischer Prüfung der Sach- und Rechtslage nicht zu erlassen. Die Antragstellerin hat einen Anordnungsgrund (1.) nicht glaubhaft gemacht. Es kann damit offenbleiben, ob ein Anordnungsanspruch besteht (2.).

1. Es liegt bereits kein Anordnungsgrund vor, da die Antragstellerin schon nicht hinreichend glaubhaft gemacht hat, dass ihr ein Abwarten einer Entscheidung in der Hauptsache nicht zumutbar ist.

Die Antragstellerin hat vorgetragen, sie führe einen Rechtsstreit mit ihrem früheren Anwalt, der sie gegen die B. GmbH vertreten habe. Der Anwalt sei später als Zeuge von der B. GmbH angeboten worden, was dafür spreche, dass er einen Geheimnisverrat begangen habe. Um dies feststellen zu können, benötige sie nunmehr die Auskunft von der B. GmbH. Ansonsten würden „erste“ Ansprüche zum 31. Dezember 2019 verjähren.

Dieser Vortrag der Antragstellerin genügt nicht den Anforderungen an die Glaubhaftmachung eines Anordnungsgrundes im einstweiligen Rechtsschutzverfahren. Die von der Antragstellerin überreichte Anlage SWM 15, die einen Auszug aus einem Schriftsatz der B. GmbH aus einem anderen, nicht näher bezeichneten Gerichtsverfahren enthält, gibt allein die Behauptung der B. GmbH wieder, dass diese vom früheren Anwalt der Antragstellerin bestimmte Informationen erhalten habe, die eine „Briefkastenfirma“ der Antragstellerin in Spanien belegten. Es bleibt gleichwohl unklar und ist von der Antragstellerin nicht ansatzweise substantiiert worden, welche konkreten Ansprüche die Antragstellerin gegen ihren früheren Prozessbevollmächtigten geltend macht oder geltend machen möchte, welche Pflichtverletzungen sie ihm vorwirft, ob und welcher Schaden ersetzt werden soll und aufgrund welcher Vorschriften diese etwaigen zivilrechtlichen Ansprüche ihrer Auffassung nach bis Ende des Jahres 2019 verjähren.

Insofern ist darüber hinaus zu berücksichtigen, dass der Verjährungseintritt gemäß § 204 Abs. 1 Nr. 1 Bürgerliches Gesetzbuch – BGB – durch Klageerhebung gehemmt werden kann. Dies hat gemäß § 209 BGB zur Folge, dass der Zeitraum, während dessen die Verjährung gehemmt wird, nicht in die Verjährung einberechnet wird. Für die Klageerhebung reicht es aus, dass sie den gemäß § 253 Abs. 2 der Zivilprozessordnung – ZPO – notwendigen Inhalt aufweist, also insbesondere die Parteien und das Gericht bezeichnet sowie den Klagegegenstand, den Klagegrund und einen bestimmten Klageantrag enthält. Weiterhin muss die Klage schlüssig sein. Mit einem schlüssigen Tatsachenvortrag wird der Darlegungslast grundsätzlich bereits genügt. Nicht erforderlich ist es hingegen, dass bereits mit der Klageerhebung Beweismittel vorgelegt werden. Diese werden schließlich in der Regel nur dann erforderlich, wenn die Gegenpartei den Vortrag des Klägers bestreitet und der Kläger auch die Beweislast trägt (vgl. etwa Saenger, ZPO, 8. Aufl. (2019), § 253 Rn. 12, beck-online). Die von der Antragstellerin angeführte, vorgeblich drohende Verjährung etwaiger zivilrechtlicher Ansprüche ließe sich somit durch eine Klageerhebung hemmen, ohne dass im Zeitpunkt der Klageerhebung die von der Antragstellerin gegenüber der B. GmbH beanspruchten Auskünfte zur Substantiierung ihrer zivilrechtlichen Klage bereits vorliegen.

Aus der von der Antragstellerin vorgebrachten Anlage SWM 15 ergibt sich ferner, dass – nach dem genannten Aktenzeichen zu schließen – im Jahr 2016 gegen den vormaligen Prozessbevollmächtigten der Antragstellerin bereits ein Gerichtsverfahren beim Landgericht D. anhängig gemacht wurde. Ob und wie dieses Verfahren bereits abgeschlossen ist, ob eine etwaige Verjährung etwaiger Ansprüche nun überhaupt noch eintreten kann oder derzeit noch weitere Gerichtsprozesse anhängig sind, hätte die Antragstellerin ebenfalls näher darlegen müssen, um den Anordnungsgrund ihres Antrags auf Erlass einer einstweiligen Anordnung glaubhaft zu machen.

Es sind damit keinerlei Gründe ersichtlich, aufgrund derer es der Antragstellerin nicht zugemutet werden könnte, den Ausgang des Hauptsachverfahrens abzuwarten.

2. Wegen des Fehlens eines Anordnungsgrundes kann im vorliegenden Verfahren dahinstehen, ob die Antragstellerin einen Anordnungsanspruch geltend gemacht hat. Es kann daher insbesondere offenbleiben und dem Hauptsacheverfahren vorbehalten werden, welche Pflichten die nach Art. 77 Abs. 1 DSGVO angerufene und mit einer Beschwerde befasste Aufsichtsbehörde hat, ob ein (weiter) Ermessensspielraum besteht oder ob sie zum Erlass bestimmter Maßnahmen verpflichtet ist bzw. verpflichtet werden kann. Nicht zu entscheiden ist somit auch, wie weitgehend das Auskunftsrecht betroffener Personen nach Art. 15 DSGVO ist, insbesondere ob und wie das Auskunftsrecht beschränkt werden kann und inwieweit sich die B. GmbH auf etwaige solcher Ausnahmen vom Auskunftsrecht der Antragstellerin berufen kann (vgl. zu Reichweite und Ausnahmen etwa Franck, in: Gola, DS-GVO, 2. Aufl. (2018), Art. 15, Rn. 5 ff., 33 ff.).


Den Volltext der Entscheidung finden Sie hier:




Datenschutz für Unternehmen - Vertretung in datenschutzrechtlichen Aufsichtsverfahren - Wir beraten Unternehmen bundesweit

Das Thema Datenschutz ist immer häufiger Gegenstand von rechtlichen Auseinandersetzungen. Dabei sind zahlreiche Rechtsfragen umstritten und die gesetzlichen Vorgaben wie beispielsweise durch die EU-Datenschutz-Grundverordnung in Bewegung. Die handwerklichen Missgeschicke des Gesetzgebers erschweren dabei zusätzlich für Unternehmen die datenschutzkonforme Umsetzung der rechtlichen Vorgaben.

Auch die Datenschutzbehörden der Länder gehen im Rahmen von datenschutzrechtlichen Aufsichtsverfahren zunehmend gegen Unternehmen vor. Die Themenfelder sind vielfältig. Neben dem Umgang mit personenbezogenen Daten, der Auftragsdatenverarbeitung, der Sicherheit von Websites, Analysetools und Social-Media-Plugins, sind oft auch interne Bereiche von Unternehmen betroffen. So sind etwa der Umgang mit Mitarbeiterdaten, die Videoüberwachung des Betriebsgeländes oder andere Überwachungsmaßnahmen der Mitarbeiter immer Auslöser von datenschutzrechtlichen Aufsichtsverfahren. Dabei drohen Untersagungsverfügungen und Ordnungsgelder.

Erfolgt eine Anhörung durch die zuständige Datenschutzbehörde, so gilt es für Unternehmen Ruhe zu bewahren. Nicht alle Forderungen der Datenschützer sind berechtigt. Dies gilt um so mehr, als je nach Bundesland unterschiedliche Tendenzen auszumachen sind. Jedenfalls empfiehlt es sich bereits im Anhörungsverfahren rechtliche fundiert vorzutragen, um rechtliche Schwierigkeiten zu verhindern oder Argumentationswege zu verbauen. Oft lässt sich eine einvernehmliche Regelung mit der Datenschutzbehörde erzielen.