BECKMANN UND NORDA - Rechtsanwälte Bielefeld

BVerwG
Urteil vom 23.04.2026
2 C 11.25

Das BVerwG hat entschieden, dass die Pflicht zum elektronischen Rechtsverkehr mit Verwaltungsgerichten nach § 55d VwGO auch für Beliehene gilt, sofern diese als Behörden im funktionellen Sinn handeln. Eine Disziplinarklage, die von einem solchen Unternehmen in Papierform eingereicht wird, ist daher unzulässig.

Die Pressemitteilung des Gerichts:
Pflicht zum elektronischen Rechtsverkehr mit Gerichten auch für Beliehene

§ 55d VwGO, wonach u. a. "Behörden" den Gerichten der Verwaltungsgerichtsbarkeit Schriftsätze als elektronische Dokumente zu übermitteln haben, gilt auch für Beliehene als Behörden im funktionellen Sinn (hier: die Deutsche Bank AG im gerichtlichen Disziplinarverfahren). Das hat das Bundesverwaltungsgericht in Leipzig heute entschieden.

In einem Disziplinarverfahren gegen eine Beamtin, die in einer Filiale der Postbank als einem Postnachfolgeunternehmen beschäftigt war, wurde die Disziplinarklageschrift per Briefpost an das Verwaltungsgericht übermittelt. Klägerin ist die Bundesrepublik Deutschland, vertreten durch den Vorstand der Deutschen Bank AG, dieser vertreten durch den Zentralen Beauftragten für Disziplinarangelegenheiten und Regressverfahren.

Das Verwaltungsgericht hat die Beklagte antragsgemäß aus dem Beamtenverhältnis entfernt, das Berufungsgericht hat die Berufung der Beklagten zurückgewiesen. Beide Vorinstanzen haben angenommen, dass die Pflicht zur elektronischen Übermittlung gemäß § 55d VwGO für die Deutsche Bank AG nicht gelte; der Begriff der "Behörde" in dieser Bestimmung erfasse lediglich Behörden im organisatorischen, nicht aber im funktionellen Sinn und damit auch nicht beliehene Unternehmen des Privatrechts.

Das Bundesverwaltungsgericht hat auf die Revision der Beklagten die vorinstanzlichen Urteile aufgehoben und die Disziplinarklage als unzulässig abgewiesen. Die Disziplinarklage ist nicht wirksam erhoben, weil die Formvorschrift des § 55d VwGO nicht beachtet worden ist, die u. a. "Behörden" zur Teilnahme am elektronischen Rechtsverkehr mit den Gerichten der Verwaltungsgerichtsbarkeit verpflichtet. Zwar ist die Deutsche Bank AG als juristische Person des Privatrechts, die Dienstherrnbefugnisse gegenüber den bei ihr beschäftigten Beamten im Auftrag des Bundes als Beliehene ausübt, keine Behörde im organisatorischen Sinn. § 55d VwGO erfasst aber auch Behörden im funktionellen Sinn. Dies folgt insbesondere aus Sinn und Zweck der Bestimmung in Verbindung mit der Gesetzeshistorie. Der Gesetzgeber knüpfte bei Einführung der Bestimmung im Jahr 2013 an das kurz zuvor beschlossene Gesetz zur Förderung der elektronischen Verwaltung (E-Government-Gesetz - EGovG) an, für das er den weiten, funktionellen Behördenbegriff des Verwaltungsverfahrensgesetzes zugrunde gelegt hatte. Hieraus wird deutlich, dass die Regelungen des elektronischen Rechtsverkehrs für die Gerichte an diejenigen für die Verwaltung anschließen sollten. Außerdem ist die Verpflichtung zur Teilnahme am elektronischen Rechtsverkehr die prozessuale Kehrseite der materiellen Inanspruchnahme von Hoheitsbefugnissen: Wer als Beliehener sich der Formen und des Verfahrens der Verwaltung bedient und vor den Verwaltungsgerichten klagt und verklagt wird, soll auch den für Behörden geltenden Regeln für den Verkehr mit den Verwaltungsgerichten unterliegen.

Das Urteil steht einer erneuten Erhebung der Disziplinarklage - unter Beachtung des § 55d VwGO - nicht entgegen.

Fußnote:
§ 55d VwGO Nutzungspflicht für Rechtsanwälte, Behörden und vertretungsberechtigte Bevollmächtigte (aktuelle Fassung)

Vorbereitende Schriftsätze und deren Anlagen sowie schriftlich einzureichende Anträge und Erklärungen, die durch einen Rechtsanwalt, durch eine Behörde oder durch eine juristische Person des öffentlichen Rechts einschließlich der von ihr zur Erfüllung ihrer öffentlichen Aufgaben gebildeten Zusammenschlüsse eingereicht werden, sind als elektronisches Dokument zu übermitteln. ...

BVerwG 2 C 11.25 - Urteil vom 23. April 2026

Vorinstanzen:
VG Berlin, VG 85 K 1/23 OB - Urteil vom 20. Juni 2024 -
OVG Berlin-Brandenburg, OVG 82 D 2/24 - Urteil vom 27. März 2025 -

BGH
Beschluss vom 05.02.2026
I ZB 98/25

Der BGH hat entschieden, dass kein Auskunftsanspruch aus Art. 15 DSGVO gegen einen Richter sondern gegen die Behördenleitung als Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO besteht.

Aus den Entscheidungsgründen:
Der gegen Vorsitzenden Richter Prof. Dr. K. geltend gemachte, auf Art. 15 Abs. 1 DSGVO gestützte Auskunftsanspruch besteht nicht. Soweit die Verarbeitung personenbezogener Daten in Rede steht, richtet sich ein etwaiger Anspruch aus Art. 15 Abs. 1 DSGVO gegen die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidende Behördenleitung
als Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO.

Den Volltext der Entscheidung finden Sie hier:

SG Dresden
Urteil voom 22.10.2025
S 15 SF 304/24 DS

Das SG Dresden hat entschieden, dass das Ausblenden von personenbezogenen Daten mit der Möglichkeit der Wiedereinblendung kein Löschen gemäß Art. 17 DSGVO ist.

Aus den Entscheidungsgründen:
d. Entgegen der Ansicht des Beklagten stellt ein Ausblenden der Daten mit der technischen Möglichkeit des Wiedereinblendens jedoch kein Löschen i.S. von Art. 17 DSGVO dar.

Die DSGVO selbst enthält keine Definition des Begriffs "Löschen". Er wird in Art. 4 Nr. 2 DSGVO neben der "Vernichtung" als eine Form der Verarbeitung genannt. Die Vernichtung ist die körperliche Zerstörung des Datenträgers und eine endgültige Löschung der personenbezogenen Daten. Löschen ist - ohne zwingende körperliche Zerstörung - der Entzug des Personenbezuges in den Daten mit dem Ziel der (faktischen) Unmöglichkeit, die zuvor in den zu löschenden Daten verkörperte Information wahrzunehmen, so dass die personenbezogenen Daten nicht mehr Gegenstand der (produktiven) Datenverarbeitung sind und dies irreversibel sicherzustellen ist. Nach dem Löschen soll es niemandem mehr ohne unverhältnismäßigen Aufwand möglich sein, betreffende Information wahrzunehmen (Herbst in Kühling/Buchner, DSGVO - BDSG, 4. Auflage 2024, Art. 17 RdNr. 37; Kamlah in: Plath, DSGVO/BDSG/TTDSG, 4. Auflage 2023, Art. 17 EUV 2016/679; BeckOK Datenschutzrecht, Wolff/Brink/v. Ungern-Sternberg 52. Edition Stand: 1. November 2024 Art. 17 RdNrn 54-57). Löschen bedeutet das physische Beseitigen der Daten so, dass sie dauerhaft nicht weiterverarbeitet werden können (LG Braunschweig vom 4. April 2025 - 9 O 2615/23 – juris RdNr. 189). Das Löschen kann dabei verschiedene Formen haben wie z.B. die vollständige Zerstörung des Datenträgers oder die Löschung von Verknüpfungen oder Codierungen, die zur Wahrnehmung der Information erforderlich sind, wie etwa das Löschen eines Eintrags in einer Pseudonymliste oder andere Formen des dauerhaften Nichtzugriffs wie z.B. das Schwärzen. Nicht ausreichende Löschungshandlungen sind dagegen Beschränkungen der Verarbeitung i.S. von Art. 18 DSGVO, weil ein dauerhafter Zugriffsausschluss darin nicht enthalten ist.

Vorliegend hat der Beklagte die Privatadresse der Klägerin in ihrer Verwaltungsakte ausgeblendet. Dies stellt jedoch kein Löschen i.S. von Art. 17 Art. 1 DSGVO dar. Das Ausblenden mit dem vom Beklagten genutzten Programm führt nicht zu einem endgültigen Zugriffsausschluss. Vielmehr ist es nach Angaben des Beklagten nach den derzeitigen technischen Begebenheiten nur nicht mehr möglich, die Daten zu sehen. Allerdings besteht nach der Mitteilung des Beklagten technisch auch nach Ausblendung der Daten die Möglichkeit, dass zwei Führungskräfte oder deren Stellvertreter die ausgeblendeten Daten wieder sichtbar machen können. Damit ist gerade eine beim Löschen erforderliche Irreversibilität gerade nicht gegeben. Die Möglichkeit des Wiedereinblendens widerspricht dem Löschungsprinzip der DSGVO und führt dazu, dass vorliegend mit einem Ausblenden lediglich eine Beschränkung der Verarbeitung i.S. von Art. 18 DSGVO gegeben ist und keine darüberhinausgehende unwiederbringliche Löschung nach Art. 17 DSGVO.

Dass der Beklagte – wie er vorträgt - derzeit aufgrund seines von ihm genutzten Programmes keine technische Möglichkeit einer Löschung, sondern nur des Ausblendens hat, erklärt zwar sein Vorgehen, führt jedoch nicht dazu, dass ein Löschen i.S. von Art. 17 DSGVO als erfolgt anzusehen ist. Die technischen Programme haben die geltenden Gesetze und Betroffenenrechte umzusetzen (vgl. auch Art. 25 DSGVO) und nicht anders herum. Insofern ist es Aufgabe des Beklagten bzw. der Bundesagentur für Arbeit, sein Programm zur Nutzung seiner elektronischen Akte so umschreiben zu lassen, dass ein irreversibles Löschen technisch tatsächlich auch erfolgen kann. Die DSGVO als auch die geltenden Gesetze der Bundesrepublik Deutschland lassen Ausnahmen von der irreversiblen Löschungspflicht nicht zu.

Der Löschungsanspruch der Klägerin ist auch nicht über Art. 17 Abs. 3 DSGVO oder § 35 BDSG eingeschränkt, weil die Daten hier unrechtmäßig verarbeitet worden sind (vgl. § 35 Abs. 1 Satz 3 BDSG).

Den Volltext der Entscheidung finden Sie hier:

OVG Schleswig-Holstein
Beschluss vom 05.08.2025
6 B 20/25

Das OVG Schleswig-Holstein hat entschieden, dass die Beantwortung einer presserechtlichen Anfrage durch eine Behörde durch einen Verwaltungsakt und nicht durch Realhandeln erfolgt.

Die Pressemitteilung des Gerichts:
Behörden entscheiden über Presseanfragen durch Verwaltungsakt

In einem presserechtlichen Eilverfahren hat der 6. Senat des Schleswig-Holsteinischen Oberverwaltungsgerichts heute entschieden, dass ein Antrag der Axel Springer Deutschland GmbH gegen das Land Schleswig-Holstein auf Auskunft zu einem strafrechtlichen Ermittlungsverfahren bereits unzulässig ist.

Der Antrag muss nach landesrechtlichen Regelungen gegen die auskunftsverpflichtete Staatsanwaltschaft Flensburg selbst gerichtet werden, da nur diese als Landesbehörde bei der gerichtlichen Durchsetzung des Auskunftsanspruchs als richtige Antragsgegnerin in Frage kommt. Dies liegt darin begründet, dass die hier erfolgte Ablehnung des Auskunftsanspruchs ein Verwaltungsakt ist – eine im Verwaltungsrecht vorgesehene besondere Handlungsform der Behörden. Gegen dessen Ablehnung ist in einem Hauptsacheverfahren prinzipiell zunächst ein behördliches Widerspruchsverfahren und bei dessen Erfolglosigkeit Verpflichtungsklage gegen die Behörde zu erheben. Entsprechendes gilt, wenn der Auskunftsanspruch vorab im Eilverfahren geltend gemacht wird.

Der Senat ordnet diese Fragen rechtlich anders ein als die bisher verbreitete Meinung in der Rechtsprechung und Fachliteratur. Danach sei der presserechtliche Auskunftsanspruch auf ein schlichtes Realhandeln der Behörde gerichtet. Im Falle der Ablehnung einer Presseanfrage durch eine Behörde könne daher ohne ein vorhergehendes Widerspruchsverfahren eine Leistungsklage erhoben werden. Die Klage und ggf. auch ein Eilantrag wären in diesem Fall, auch wenn eine Landesbehörde handelt, nicht gegen diese sondern gegen das Land zu richten.

In seinem über 30 Seiten langen Beschluss setzt sich der Senat ausführlich mit der bisherigen Rechtsprechung zur Rechtsnatur des presserechtlichen Auskunftsanspruchs sowie mit den Besonderheiten der Pressefreiheit und deren Schranken (Artikel 5 Abs. 1 Satz 2 und Abs. 2 Grundgesetz) auseinander. Dabei konnte er allerdings nicht feststellen, dass seine Entscheidung, wie die Antragstellerin meint, eine „seit 70 Jahren bestehende Verfassungstradition“ umkehren würde.

In dem Beschluss wird vielmehr hervorgehoben, dass Regelungen des Verwaltungsverfahrens und des Prozessrechts auch für die Presse gelten und zu den im Grundgesetz zugelassenen Schranken der Pressefreiheit gehören. Vorschriften müssen gegebenenfalls „pressefreundlich“ ausgelegt werden, falls der Zweck des Auskunftsanspruchs sonst vereitelt oder maßgeblich gefährdet würde. Effektiver Rechtsschutz wird nicht verhindert, weil der presserechtliche Anspruch ­ wie bisher auch ­ im Wege eines einstweiligen Anordnungsverfahrens durchgesetzt werden kann. Sobald ein gesteigertes öffentliches Interesse und ein starker Gegenwartsbezug der Berichterstattung vorliegen, kann im Eilverfahren eine Entscheidung auch unter Vorwegnahme der Hauptsache getroffen werden. Dabei spielt es keine Rolle, ob schon Widerspruch eingelegt ist und welche Rechtsnatur die Klage im Hauptsacheverfahren hat.

Weil der Antrag bereits unzulässig ist, musste sich der Senat nicht zu der inhaltlichen Frage äußern, ob die Staatsanwaltschaft Flensburg die Auskunft zurecht wegen überwiegender schutzwürdiger Interessen und entgegenstehender Vorschriften über die Geheimhaltung ablehnen durfte. Das Verwaltungsgericht hatte diese Abwägung in seinem Beschluss vom 5. August 2025 (Az. 6 B 20/25) nicht beanstandet.

BVerwG
Urteil vom 30. 04.2025
10 C 2.24

Das Bundesverwaltungsgericht hat entschieden, dass ein betroffener Mitbewerber (hier: Tankstellenbetreiber) nach § 56 Abs. 5 GWB Anspruch auf Einsicht in die nichtöffentliche Fassung eines Beschlusses des Bundeskartellamtes zu Entgelten für electronic cash-Zahlungen hat.

Die Pressemitteilung des Gerichts:
Einsicht in Unterlagen des Bundeskartellamts zu Entgelten für electronic cash-Zahlungen

Das Bundeskartellamt ist verpflichtet, der Klägerin Einsicht in die nichtöffentliche Fassung eines kartellrechtlichen Beschlusses zu gewähren. Das hat das Bundesverwaltungsgericht in Leipzig heute entschieden.

Die Klägerin betreibt bundesweit Tankstellen, an denen ihre Kunden mit der Girocard bargeldlos bezahlen können. Für die Autorisierung dieser Zahlungen erheben die kartenausgebenden Banken ein Entgelt. Dessen Höhe wurde bis 2014 durch eine Preisvereinbarung mehrerer Beigeladener festgelegt. Wegen dieser Absprache leitete das Bundeskartellamt ein Kartellverfahren gegen diese Beigeladenen ein. Das Verfahren endete mit ihren Verpflichtungserklärungen, die Entgelte für electronic cash-Zahlungen künftig individuell auszuhandeln. Die Verpflichtungserklärungen erklärte das Bundeskartellamt mit dem verfahrensgegenständlichen Beschluss vom 8. April 2014 für verbindlich.

Die Klägerin beantragte ohne Erfolg beim Bundeskartellamt, ihr vollständige Einsicht in den Beschluss des Bundeskartellamts sowie verschiedene Dokumente aus den ihm zugrundeliegenden und weiteren Kartellverwaltungsverfahren zu gewähren, und erhob beim Verwaltungsgericht Klage. Außerdem macht die Klägerin in einem zivilgerichtlichen Verfahren Schadensersatzansprüche gegen mehrere Beigeladene geltend, weil sie aufgrund kartellrechtswidriger Preisabsprachen überhöhte Entgelte für die Zahlungen mit der Girocard habe entrichten müssen. Das Landgericht wies diese Klage ab. Die Berufung ist beim Kammergericht anhängig. Das Verwaltungsgericht hat der Klage auf Informationszugang nach Maßgabe des Informationsfreiheitsgesetzes (IFG) überwiegend stattgegeben. Unter Abänderung dieses Urteils hat das Oberverwaltungsgericht die Beklagte verpflichtet, der Klägerin gemäß dem zwischenzeitlich geänderten Gesetz gegen Wettbewerbsbeschränkungen (GWB) unter teilweiser Auslassung von Angaben und unter Schwärzung von personenbezogenen Daten Einsicht in die sonst ungeschwärzte nichtöffentliche Fassung des Beschlusses des Bundeskartellamts zu gewähren; im Übrigen hat es die Klage abgewiesen.

Das Bundesverwaltungsgericht hat die Revisionen der Klägerin und der Beigeladenen zu 3. gegen das Berufungsurteil zurückgewiesen. Als Rechtsmittelgericht war dem Senat die Prüfung des von dem Beigeladenen zu 3. bestrittenen verwaltungsgerichtlichen Rechtswegs verwehrt. Ein Anspruch der Klägerin auf Informationszugang folgt aus § 56 Abs. 5 GWB als vorrangiger Regelung zum IFG. Diese während des Berufungsverfahrens in Kraft getretene bereichsspezifische Regelung zum Informationszugang, die die Einsicht bei Vorliegen eines berechtigten Interesses in das Ermessen des Bundeskartellamts stellt, verstößt weder gegen Vorschriften der Europäischen Union noch gegen nationales Verfassungsrecht. Der Anspruch nach § 56 Abs. 5 GWB besteht neben Offenlegungsansprüchen, die im Rahmen gerichtlicher Verfahren zur Durchsetzung von Kartellschadensersatzansprüchen vorgesehen sind. Für die Beurteilung des Anspruchs ist die Sach- und Rechtslage zum Zeitpunkt der Entscheidung der letzten Tatsacheninstanz maßgeblich. Die Klägerin hat ein berechtigtes Interesse für die Einsicht in den Beschluss des Bundeskartellamts dargelegt. Sie möchte den Bescheid für das von ihr betriebene zivilrechtliche Schadensersatzverfahren nutzen. Die Feststellungen des Oberverwaltungsgerichts, ein Grund für die Versagung der Einsicht in den Beschluss bestehe nur hinsichtlich der Angaben zu Sicherheitsvorkehrungen während der electronic cash-Transaktion, sind nicht zu beanstanden. Auch die Annahme des Oberverwaltungsgerichts, nur die Gewährung der Einsicht im Übrigen erweise sich als eine ermessensfehlerfreie Entscheidung, begegnet keinen bundesrechtlichen Bedenken. Schließlich hat das Oberverwaltungsgericht den geltend gemachten Anspruch auf Einsicht in verschiedene weitere Dokumente aus Kartellverwaltungsverfahren ohne Verstoß gegen revisibles Recht verneint. Soll die Akteneinsicht der Erhebung eines Schadensersatzanspruchs wegen eines kartellrechtlichen Verstoßes dienen, begrenzt § 56 Abs. 5 Satz 3 GWB die Einsicht auf bestimmte Entscheidungen des Bundeskartellamts, hier den Beschluss vom 8. April 2014.

BVerwG 10 C 2.24 - Urteil vom 30. April 2025

Vorinstanzen:

VG Köln, VG 13 K 10050/17 - Urteil vom 09. Juli 2020 -

OVG Münster, OVG 15 A 2286/20 - Urteil vom 08. Januar 2024 -

BGH
Urteil vom 11.02.2025
VI ZR 365/22
DSGVO Art. 82 Abs. 1

Der BGH hat entschieden, dass ein Schadensersatzanspruch aus Art. 82 DSGVO wegen Kontrollverlustes besteht. wenn eine Behörde die Personalakten nicht selbst verwaltet.

Leitsatz des BGH:
Zum Anspruch auf Schadensersatz nach Art. 82 Abs. 1 DSGVO bei der Verwaltung von Personalakten durch hierzu nicht befugte Dritte.

BGH, Urteil vom 11. Februar 2025 - VI ZR 365/22 - OLG Celle LG Hannover

Aus den Entscheidungsgründen:
2. Der geltend gemachte Feststellunganspruch ist auch begründet, Art. 82 Abs. 1 DSGVO. Nach der Rechtsprechung des Gerichtshofes der Europäischen Union (im Folgenden: Gerichtshof) erfordert ein Schadensersatzanspruch im Sinne des Art. 82 Abs. 1 DSGVO einen Verstoß gegen die Datenschutz-Grundverordnung, das Vorliegen eines materiellen oder immateriellen Schadens sowie einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind (EuGH, Urteile vom 4. Oktober 2024 - C-507/23, K&R 2024, 730 Rn. 24 - Patērētāju tiesību aizsardzības centrs; vom 11. April 2024 - C-741/21, NJW 2024, 1561 Rn. 34 - juris; vom 25. Januar 2024 - C-687/21, NJW 2024, 2009 Rn. 58 - MediaMarktSaturn). Diese Voraussetzungen sind vorliegend erfüllt.

a) Ein Verstoß gegen die Datenschutz-Grundverordnung liegt nach den getroffenen Feststellungen vor. Das Berufungsgericht hat die von der Beklagten bis zum Erlass der Organisationsverfügung vom 22. August 2019 geübte Praxis, die Verwaltung der Personalakten von Bundesbeamten wie der Klägerin durch Bedienstete des Landes Niedersachsen vornehmen zu lassen, als von § 111a BBG aF i.V.m. § 26 BDSG i.V.m. Art. 88 DSGVO nicht gedeckte Verarbeitung personenbezogener Daten durch Dritte und damit als Verstoß gegen die Datenschutz-Grundverordnung (der Sache nach: gegen Art. 5 Abs. 1 Buchst. a, Art. 28 DSGVO) gewertet. Die Beklagte sei selbst von der offensichtlichen Rechtswidrigkeit dieser Praxis ausgegangen und habe weder näher zu den Einzelheiten der geübten Personalaktenverwaltung vorgetragen noch eine vorherige Zustimmung der obersten Dienstbehörde behauptet. Hiergegen wendet die Beklagte auch mit der Revisionserwiderung nichts ein; Rechtsfehler sind insoweit auf der Grundlage der vom Berufungsgericht getroffenen und nicht mit Gegenrügen angegriffenen Feststellungen im Übrigen nicht ersichtlich.

b) Zu Unrecht hat das Berufungsgericht einen durch diesen Verstoß gegen die Datenschutz-Grundverordnung verursachten Schaden der Klägerin verneint. Der Schaden liegt hier bereits in dem durch die Überlassung ihrer Personalakte an Bedienstete des Landes verursachten vorübergehenden Verlust der Kontrolle der Klägerin über ihre in ihrer Personalakte enthaltenen personenbezogenen Daten.

aa) Schon der bloße Kontrollverlust kann, wie der Senat in Umsetzung der jüngeren Rechtsprechung des Gerichtshofs (Urteile vom 4. Oktober 2024 - C-200/23, juris Rn. 145, 156 i.V.m. 137- Agentsia po vpisvaniyata; vom 20. Juni 2024 - C-590/22, DB 2024, 1676 Rn. 33 - PS GbR; vom 11. April 2024 - C-741/21, NJW 2024, 1561 Rn. 42 - juris; vgl. zuvor bereits EuGH, Urteile vom 25. Januar 2024 - C-687/21, NJW 2024, 2009 Rn. 66 - MediaMarktSaturn; vom 14. Dezember 2023 - C-456/22, NZA 2024, 56 Rn. 17-23 - Gemeinde Ummendorf sowie - C-340/21, NJW 2024, 1091 Rn. 82 - Natsionalna agentsia za prihodite) entschieden hat, einen ersatzfähigen immateriellen Schaden im Sinne des Art. 82 Abs. 1 DSGVO darstellen (Senat, Urteil vom 18. November 2024 - VI ZR 10/24, WM 2024, 2301 Rn. 30 mwN). Anders als das Berufungsgericht meint, muss der Verpflichtung zum Ausgleich keine über diesen Kontrollverlust hinausgehende "benennbare und insoweit tatsächliche Persönlichkeitsrechtsverletzung gegenüberstehen"; auch muss der Beeinträchtigung des Betroffenen kein besonderes "Gewicht" zukommen, das "über eine individuell empfundene Unannehmlichkeit hinausgeht oder das Selbstbild oder Ansehen ernsthaft beeinträchtigt" (vgl. Senat, aaO Rn. 29 mwN).

bb) Nach diesen Grundsätzen liegt der Schaden hier ohne Weiteres darin, dass die Beklagte auch nach dem 25. Mai 2018 die personenbezogenen, in deren Personalakte enthaltenen Daten der Klägerin hierzu nicht berechtigten Dritten, nämlich Bediensteten des Landes Niedersachsen, zur Bearbeitung überlassen und diese Praxis erst mit Organisationsverfügung vom 22. August 2019 beendet hat. Der vom Berufungsgericht in diesem Zusammenhang angeführte Umstand, dass auch die mit Personalangelegenheiten betrauten Bediensteten des Landes Niedersachsen zur Verschwiegenheit verpflichtet waren, steht der Annahme eines Schadens insoweit dem Grunde nach nicht entgegen, sondern wird erst bei Bemessung der Höhe des zu leistenden Schadensersatzes (§ 287 ZPO) zu berücksichtigen sein (s. zu den Bemessungskriterien weiterführend Senat, aaO Rn. 92 ff., insb. 99).

Den Volltext der Entscheidung finden Sie hier:

OVG Münster
Beschluss vom 20.02.2025
16 B 288/23

Das OVG Münster hat entschieden, dass Behörden nicht verpflichtet sind, Daten mit Ende-zu-Ende-Verschlüsselung zu versenden.

Aus den Entscheidungsgründen:
II. Der Antragsteller stellt die Annahme des Verwaltungsgerichts, er habe keinen Anordnungsanspruch glaubhaft gemacht, mit seinem Beschwerdevorbringen nicht durchgreifend in Frage.

1. Das Verwaltungsgericht hat zutreffend angenommen, dass Art. 18 Abs. 1 Buchstabe d DSGVO keine Anspruchsgrundlage für das Begehren des Antragstellers darstellt. Nach dieser Vorschrift hat die betroffene Person das Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn die betroffene Person Widerspruch gegen die Verarbeitung gemäß Art. 21 Abs. 1 DSGVO eingelegt hat, solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen. Wurde die Verarbeitung gemäß Absatz 1 eingeschränkt, so dürfen diese personenbezogenen Daten – von ihrer Speicherung abgesehen – nur mit Einwilligung der betroffenen Person oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats verarbeitet werden (Art. 18 Abs. 2 DSGVO). Das Verwaltungsgericht hat dazu ausgeführt, dem Antragsteller gehe es nicht nur um die Einschränkung der Datenverarbeitung für die Dauer des bereits abgeschlossenen Überprüfungsverfahrens, sondern um eine Verpflichtung der Antragsgegnerin, zukünftig eine Ende-zu-Ende-Verschlüsselung bei der Verarbeitung der personenbezogenen Daten des Antragstellers zu verwenden.

Dem setzt der Antragsteller ohne Erfolg den Hinweis entgegen, der Betroffene könne ausdrücklich auf Basis einer Einwilligung die Einschränkung der Verarbeitung teilweise aufheben und damit sei nach Art. 18 Abs. 2 DSGVO jede Verarbeitung auch solcher Daten zulässig, deren Verarbeitung nach Art. 18 Abs. 1 DSGVO eingeschränkt worden sei. Dieses Vorbringen versteht der Senat dahingehend, dass der Antragsteller meint, aufgrund seines Widerspruchs gegen die Verarbeitung seiner personenbezogenen Daten durch die Antragsgegnerin sei die Datenverarbeitung mit der in Art. 18 Abs. 2 DSGVO beschriebenen Rechtsfolge eingeschränkt und er könne diese Einschränkung dadurch wieder teilweise aufheben, dass er in eine Übermittlung unter den in seinem Antrag genannten Voraussetzungen (Ende-zu-Ende-Verschlüsselung bzw. eine dem Stand der Technik und dem Risiko entsprechende Verschlüsselung) einwillige.


Unabhängig vom Stand des in Art. 18 Abs. 1 Buchstabe d DSGVO i. V. m. Art. 21 Abs. 1 DSGVO vorgesehenen Überprüfungsverfahrens bleibt dieses Vorbringen ohne Erfolg. Die Einschränkungen für die Datenverarbeitung unter den in Art. 18 Abs. 1 Buchstabe d DSGVO genannten Voraussetzungen gelten nach dem Wortlaut der Vorschrift in zeitlicher Hinsicht nur, „solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen“. Dem Antragsteller geht es im vorliegenden Verfahren jedoch nicht um den Zeitraum während des Überprüfungsverfahrens nach Art. 21 DSGVO, sondern um eine von diesem Zeitraum unabhängige Regelung für die Übermittlung seiner personenbezogenen Daten. Dem steht nicht entgegen, dass er seinen Antrag im Verfahren auf Gewährung einstweiligen Rechtsschutzes zeitlich „bis zu einer Entscheidung in der Hauptsache“ begrenzt hat. Diese zeitliche Begrenzung ist lediglich dem Charakter des Verfahrens auf Gewährung einstweiligen Rechtsschutzes geschuldet.

Da der Antragsteller die geltend gemachten Ansprüche nicht aus Art. 18 Abs. 1 Buchstabe d DSGVO herleiten kann und es nicht auf das in dieser Vorschrift in Bezug genommene Überprüfungsverfahren gemäß Art. 21 Abs. 1 DSGVO ankommt, musste das Verwaltungsgericht dem Antrag auch nicht deswegen stattgeben, weil nach Ansicht des Antragstellers nicht ersichtlich sei, welche in Art. 21 Abs. 1 Satz 2 DSGVO angeführten zwingenden Gründe hier gegen eine Ende-zu-Ende-Verschlüsselung sprächen.

2. Der Antragsteller stellt weiter die Annahme des Verwaltungsgerichts, er könne einen Anspruch auf Datenübermittlung im Wege einer Ende-zu-Ende-Verschlüsselung oder einer sonstigen Verschlüsselung, die über die von der Antragsgegnerin verwendete hinausgehe, nicht aus Art. 32 DSGVO herleiten, nicht durchgreifend in Frage.

Das Verwaltungsgericht hat diese Ansicht mit einer Gesamtbetrachtung unter Berücksichtigung der in Art. 32 Abs. 1 DSGVO genannten Kriterien begründet. Es hat ausgeführt, nach dieser Vorschrift sei die Antragsgegnerin bei der Verarbeitung personenbezogener Daten verpflichtet, unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und der Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Erforderlich seien eine Risikoeinschätzung und darauf basierend die Feststellung des Schutzbedarfs der Daten. Die in Art. 32 Abs. 1 Buchstabe a DSGVO genannte Maßnahme der Verschlüsselung personenbezogener Daten müsse den in Art. 5 Abs. 1 Buchstabe f DSGVO genannten Zielsetzungen der Integrität und Vertraulichkeit genügen sowie dem Stand der Technik entsprechen; darüber hinausgehende spezifische Anforderungen für das einzusetzende Verschlüsselungsverfahren ließen sich Art. 32 DSGVO aber nicht entnehmen. Der Antragsteller habe nicht hinreichend glaubhaft gemacht, dass die Datenverarbeitung der Antragsgegnerin für ihn ein besonderes Risiko darstelle. Seinen Ausführungen lasse sich nicht entnehmen, dass ein erhöhtes Risiko mit Blick auf die Datenverarbeitung der Antragsgegnerin bestehe, diese etwa einem gesteigerten Risiko ausgesetzt sei, Opfer von Hackerangriffen zu werden. Ebenso wenig sei die Antragsgegnerin in der Vergangenheit durch Sicherheitslücken aufgefallen. Vielmehr erfolge die Datenübertragung bei der Antragsgegnerin stets unter TLS-Verschlüsselung und werde im Kommunikationsprozess mit anderen staatlichen Stellen zusätzlich gesichert (SINA-Box, Client-Zertifikate). Zudem hat das Verwaltungsgericht auf das von der Antragsgegnerin vorgelegte (und bei positivem Abschluss der jährlichen Überwachungsaudits bis zum 17. Juni 2025 gültige) IT-Sicherheitszertifikat des Bundesamtes für Sicherheit in der Informationstechnik vom 18. Juni 2022 Bezug genommen und ausgeführt, es seien keine Anhaltspunkte dafür ersichtlich, dass die Antragsgegnerin ihr IT-Sicherheitskonzept nicht oder nicht hinreichend umsetze.

Die gegen diese Ausführungen gerichteten Einwände des Antragstellers betreffen einzelne Aspekte der Gesamtbetrachtung. Sie führen auch bei gemeinsamer Würdigung nicht zum Erfolg der Beschwerde. Dies liegt insbesondere daran, dass der Antragsteller mit seinem Beschwerdevorbringen die für die Gesamtbetrachtung nach Art. 32 Abs. 1 DSGVO wesentliche Einschätzung des Verwaltungsgerichts nicht durchgreifend in Zweifel zieht, wonach er das von der Datenverarbeitung der Antragsgegnerin für ihn ausgehende besondere Risiko nicht glaubhaft gemacht habe, und sich die von ihm begehrte Art der Datenübermittlung jedenfalls ohne ein solches erhöhtes Risiko nicht aus Art. 32 Abs. 1 DSGVO ableiten lasse. Dabei besteht Einigkeit darüber, dass es sich bei den in Rede stehenden Daten des Antragstellers nicht um personenbezogene Daten i. S. v. Art. 9 und 10 DSGVO handelt.

a) Das Verwaltungsgericht hat zu der behaupteten Gefährdung für Leib, Leben und Freiheit des Antragstellers ausgeführt, dessen Hinweis auf den ihn betreffenden Beschluss des Bundesverwaltungsgerichts vom 10. Juni 2021 ‑ 3 B 19.20 ‑ genüge nicht, um einen derart erhöhten Schutzbedarf glaubhaft zu machen, der eine Ende-zu-Ende-Verschlüsselung gebiete, weil es sich bei der vom Antragsteller in Bezug genommenen Passage lediglich um eine Wiedergabe der Ausführungen des Berufungsgerichts handele. Die dort wiedergegebene Einschätzung des Berufungsgerichts beruhe auf konkreten und durch Belege gestützten Angaben des Antragstellers im dortigen Verfahren sowie ergänzend auf einer im Zusammenhang mit § 41 Abs. 2 StVG stehenden Gefährdungsbewertung der Polizeidirektion. Vorliegend habe der Antragsteller keine konkreten Angaben oder Belege eingereicht, die ein besonderes Risiko für ihn durch die Datenverarbeitung der Antragsgegnerin belegen könnten. Der Umstand, dass der Antragsteller in einem Verfahren zur Eintragung einer Übermittlungssperre erfolgreich dargelegt habe, dass durch die Übermittlung von in das Fahrzeugregister eingetragenen Daten schutzwürdige Interessen beeinträchtigt würden, reiche nicht aus, um dies auch für eine Datenverarbeitung durch die Antragsgegnerin anzunehmen. Gleiches gelte für den Hinweis des Antragstellers auf die zu seiner Person eingetragene Auskunftssperre nach § 51 BMG.

Der dagegen gerichtete Vorwurf des Antragstellers, das Verwaltungsgericht sei rechtswidrig davon ausgegangen, er müsse den erhöhten Schutzbedarf zweifelsfrei nachweisen, trifft nicht zu. Das Verwaltungsgericht hat ausdrücklich ausgeführt, der Antragsteller müsse seine Gefährdung glaubhaft machen (Seite 8, 11 des Beschlusses), und näher erläutert, aus welchen Gründen dies nicht erfolgt sei.

Die Einwände des Antragstellers, seine Gefährdung sei in anderen Gerichtsverfahren festgestellt worden und ein individuell-konkreterer Vortrag könne nicht verlangt werden, greifen nicht durch. Sie genügen schon nicht den Darlegungsanforderungen des § 146 Abs. 4 Satz 3 VwGO. Danach muss der Beschwerdeführer u. a. die Gründe darlegen, aus denen die Entscheidung abzuändern oder aufzuheben ist, und sich mit der angefochtenen Entscheidung auseinandersetzen. Die – hier erfolgte – bloße Wiederholung des erstinstanzlichen Vorbringens reicht dazu grundsätzlich nicht aus; Entsprechendes gilt für die Bezugnahme auf die bereits erstinstanzlich vorgelegte eidesstattliche Versicherung des Antragstellers vom 29. August 2022, in der der Antragsteller geltend macht – allerdings ohne dafür Nachweise vorzulegen –, aufgrund seines beruflichen Umgangs mit […] bestehe für ihn die Gefahr, Opfer einer Entführung oder eines Raubes zu werden […]. Der Antragsteller geht nicht auf die zutreffende Argumentation des Verwaltungsgerichts ein, dass das Bundesverwaltungsgericht in der vom Antragsteller in Bezug genommenen Passage nicht Tatsachen betreffend diesen selbst festgestellt, sondern lediglich Ausführungen der Vorinstanz wiedergegeben hat, und aus welchen Gründen ein Verweis auf Gefährdungseinschätzungen anderer Gerichte oder Behörden in anderen rechtlichen Zusammenhängen (Fahrzeug-, Melderegister) keine belastbaren Rückschlüsse auf die vorliegende Fallkonstellation zulässt. Unabhängig vom Vorstehenden hat der Antragsteller auch im Beschwerdeverfahren keine konkreten Belege für die von ihm geltend gemachte besondere Gefährdung vorgelegt.

b) Aus den vorgenannten Gründen kann der Antragsteller auch nicht mit Erfolg rügen, die Datenverarbeitung der Antragsgegnerin sei im Lichte von Art. 5 DSGVO formell rechtswidrig, weil diese keine Einzelfallprüfung bezogen auf seine besonders schutzbedürftigen personenbezogenen Daten vorgenommen habe. Daher kommt auch die vom Antragsteller thematisierte Sperrung seiner Daten für eine nicht hinreichend verschlüsselte Übermittlung als „Sanktionswirkung für ein Unterlassen nach Art. 5 DSGVO“ nicht in Betracht.

c) Die Ausführungen des Verwaltungsgerichts, wonach für die Antragsgegnerin kein gesteigertes Risiko erkennbar sei, Opfer von Hackerangriffen zu werden, und diese in der Vergangenheit auch nicht durch Sicherheitslücken aufgefallen sei, betreffen der Sache nach den Aspekt „Eintrittswahrscheinlichkeit“ in Art. 32 Abs. 1 DSGVO. Sie werden vom Antragsteller mit seinem Beschwerdevorbringen inhaltlich nicht in Frage gestellt. Das Verwaltungsgericht hat mit diesen Ausführungen nicht vom Antragsteller einen Nachweis für das Gegenteil verlangt.

d) Die Rüge des Antragstellers, die Antragsgegnerin habe keine ausreichende Transportverschlüsselung glaubhaft gemacht, greift nicht durch. Das Verwaltungsgericht hat zur Transportverschlüsselung ausgeführt, die von der Antragsgegnerin verwendete Transportverschlüsselung sei datenschutzrechtlich ausreichend. Zur Begründung hat es sich u. a. auf das von der Antragsgegnerin vorgelegte IT-Sicherheitszertifikat des Bundesamtes für Sicherheit in der Informationstechnik vom 18. Juni 2022 gestützt. Außerdem hat es die Angaben der Antragsgegnerin angeführt, wonach jede Datenübermittlung verschlüsselt erfolge, etwa durch TLS-Verschlüsselungen, und im Kommunikationsprozess mit anderen staatlichen Stellen zusätzliche Sicherungen beständen (SINA-Box, Client-Zertifikate). Konkrete Anhaltspunkte dafür, dass diese Angaben der Antragsgegnerin nicht zutreffen könnten oder die im IT-Sicherheitszertifikat angeführten Maßnahmen nicht umgesetzt würden, zeigt der Antragsteller nicht auf.


Soweit er die von der Antragsgegnerin verwendete Verschlüsselungstechnik für zu unsicher hält und meint, TLS 1.2 entspreche nicht mehr dem aktuellen Stand der Technik, vielmehr gebe es bereits seit 2018 TLS 1.3, jedenfalls aber sei jede TLS-Verschlüsselung zu unsicher, führt dies nicht zum Erfolg seiner Beschwerde. Denn die Verschlüsselung über TLS stellt, wie vom Verwaltungsgericht ausgeführt, nicht die einzige Sicherheitsmaßnahme der Antragsgegnerin dar. Im Beschwerdeverfahren hat die Antragsgegnerin zudem ergänzt, die Transportverschlüsselung sei so konzipiert, dass sie vom Browser-Client der Anfragenden bis zur Firewall der Antragsgegnerin reiche; es gebe also keine „Zwischenstationen“, auf denen die Inhalte unverschlüsselt abgelegt wären; die Netzkomponenten auf dem Routing-Weg im Internet könnten keinen Einblick in die Kommunikationsinhalte gewinnen. Konkrete Anhaltspunkte dafür, dass diese Angaben wahrheitswidrig sein könnten, sind weder substantiiert vorgetragen noch sonst ersichtlich. Abgesehen davon kann der Antragsteller im Rahmen der nach Art. 32 Abs. 1 DSGVO erforderlichen Gesamtbetrachtung ohne besondere, in seiner Person liegende Umstände, die hier nicht glaubhaft gemacht sind, nicht von der Antragsgegnerin verlangen, dass die ihn betreffenden personenbezogenen Daten nur unter höheren Sicherheitsanforderungen elektronisch übermittelt werden dürfen, als dies bei personenbezogenen Daten anderer Personen, die bei der Antragsgegnerin gespeichert sind, der Fall ist. Dies gilt auch für etwaige Übermittlungen durch Telefax, E-Mail oder Telefon, die vom Baustein „CON.9 Informationsaustausch“ des IT-Grundschutzes der Antragsgegnerin erfasst werden, der nach seiner Nr. 1.1. unterschiedliche Kommunikationswege wie z. B. persönliche Gespräche, Telefonate, Briefe u. a. in den Blick nimmt.


e) Weiter ohne Erfolg macht der Antragsteller mit seiner Beschwerdebegründung vom 3. April 2023 geltend, den vom Verwaltungsgericht angenommenen Prüfungsmaßstab „sozialadäquat“ kenne die Datenschutz-Grundverordnung nicht. Im Schriftsatz vom 27. Mai 2023 versteht der Antragsteller diesen Begriff dahingehend, dass damit eine Transportverschlüsselung gemeint sei, die dem üblichen Stand der Technik entspreche. In diese Richtung geht auch die Formulierung des Verwaltungsgerichts, das in Anlehnung an die entsprechende Wortwahl des insoweit zitierten Verwaltungsgerichts Mainz,

Urteil vom 17. Dezember 2020 - 1 K 778/19.MZ -, juris, Rn. 40: „Vielmehr ist die Kommunikation mittels (obligatorisch) transportverschlüsselter E-Mails auch im geschäftlichen Verkehr durchaus als sozialadäquat und wohl derzeit noch als (Mindest‑)Stand der Technik einzustufen“,

die von der Antragsgegnerin verwendete Transportverschlüsselung mit diesem Begriff bezeichnet hat. Der Sache nach stellen die Ausführungen des Verwaltungsgerichts in diesem Zusammenhang eine zusammenfassende Bewertung unter Berücksichtigung der in Art. 32 Abs. 1 DSGVO genannten Kriterien dar und ist als solche rechtlich nicht zu beanstanden.

f) Die Ausführungen des Antragstellers dazu, dass Art. 2 Abs. 2 Buchstabe d DSGVO den geltend gemachten Anspruch nicht ausschließe, führen nicht zum Erfolg der Beschwerde, weil auch das Verwaltungsgericht von dieser Rechtsauffassung ausgegangen ist.

Den Volltext der Entscheidung finden Sie hier:

EuGH
Urteil vom 30.04.2024
C-470/21
La Quadrature du Net u. a.
(Personenbezogene Daten und Bekämpfung von Verletzungen der Rechte des geistigen Eigentums)

Der EuGH hat entschieden, dass der Zugriff von Behörden auf mit IP-Adressen verknüpfte Identitätsdaten zur Verfolgung von Urheberrechtsverletzungen im Internet als ultima ratio zulässig ist.

Tenor der Entscheidung:
Art. 15 Abs. 1 der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) in der durch die Richtlinie 2009/136/EG des Europäischen Parlaments und des Rates vom 25. November 2009 geänderten Fassung ist im Licht der Art. 7, 8 und 11 sowie von Art. 52 Abs. 1 der Charta der Grundrechte der Europäischen Union

dahin auszulegen, dass

er einer nationalen Regelung nicht entgegensteht, die der mit dem Schutz von Urheberrechten und verwandten Schutzrechten vor Verletzungen dieser Rechte im Internet betrauten Behörde den Zugang zu den von den Betreibern öffentlich zugänglicher elektronischer Kommunikationsdienste auf Vorrat gespeicherten Identitätsdaten, die IP-Adressen zuzuordnen sind, die zuvor von Einrichtungen der Rechteinhaber gesammelt wurden, gestattet, damit die Behörde die Inhaber dieser für Aktivitäten, die solche Rechtsverletzungen darstellen können, genutzten Adressen identifizieren und gegebenenfalls Maßnahmen gegen sie ergreifen kann, unter der Voraussetzung, dass nach dieser Regelung

– diese Daten zu Bedingungen und unter technischen Modalitäten gespeichert werden, die gewährleisten, dass es ausgeschlossen ist, dass aus der Vorratsspeicherung genaue Schlüsse auf das Privatleben der Inhaber der IP-Adressen, z. B. durch Erstellung ihres detaillierten Profils, gezogen werden können, was insbesondere dadurch erreicht werden kann, dass den Betreibern elektronischer Kommunikationsdienste eine Pflicht zur Vorratsspeicherung der verschiedenen Kategorien personenbezogener Daten wie Identitätsdaten, IP-Adressen sowie Verkehrs- und Standortdaten auferlegt wird, die eine wirksame strikte Trennung dieser verschiedenen Datenkategorien gewährleistet, mit der im Stadium der Speicherung jede kombinierte Nutzung dieser verschiedenen Datenkategorien verhindert wird, und die Dauer der Speicherung das absolut notwendige Maß nicht überschreitet;

– der Zugang dieser Behörde zu solchen wirksam strikt getrennt auf Vorrat gespeicherten Daten ausschließlich dazu dient, die Person zu identifizieren, die im Verdacht steht, eine Straftat begangen zu haben, und dieser Zugang mit den erforderlichen Garantien versehen ist, um auszuschließen, dass er, abgesehen von atypischen Situationen, genaue Schlüsse auf das Privatleben der Inhaber der IP-Adressen ermöglichen kann, z. B. durch die Erstellung ihres detaillierten Profils, was insbesondere impliziert, dass es den Bediensteten dieser Behörde, denen ein solcher Zugang gestattet worden ist, untersagt ist, Informationen über den Inhalt der von den Inhabern der IP-Adressen konsultierten Dateien, außer zum alleinigen Zweck der Befassung der Staatsanwaltschaft, in welcher Form auch immer offenzulegen, die von diesen Personen besuchten Internetseiten nachzuverfolgen und allgemeiner die IP-Adressen zu anderen Zwecken als dem der Identifizierung ihrer Inhaber im Hinblick auf den Erlass etwaiger gegen sie gerichteter Maßnahmen zu nutzen;

– die Möglichkeit für die bei der betreffenden Behörde mit der Prüfung des Sachverhalts betrauten Personen, solche Daten mit Dateien zu verknüpfen, die Elemente enthalten, denen sich der Titel geschützter Werke entnehmen lässt, deren Bereitstellung im Internet die Sammlung der IP-Adressen durch Einrichtungen der Rechteinhaber gerechtfertigt hat, in Fällen der erneuten Entfaltung einer Aktivität, mit der dieselbe Person Urheberrechte oder verwandte Schutzrechte verletzt, von einer Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle abhängig gemacht wird, wobei die Kontrolle nicht vollständig automatisiert sein darf und vor einer solchen Verknüpfung erfolgen muss, da diese es in derartigen Fällen ermöglichen kann, genaue Schlüsse auf das Privatleben der Person zu ziehen, deren IP-Adresse für Aktivitäten genutzt wurde, die möglicherweise Urheberrechte oder verwandte Schutzrechte verletzen;

– das von der Behörde verwendete Datenverarbeitungssystem in regelmäßigen Abständen einer zur Überprüfung der Integrität des Systems, einschließlich wirksamer Garantien zum Schutz vor den Gefahren eines missbräuchlichen oder unberechtigten Zugangs zu den Daten und ihrer missbräuchlichen oder unberechtigten Nutzung, sowie seiner Wirksamkeit und Zuverlässigkeit bei der Aufdeckung etwaiger Verstöße dienenden Kontrolle durch eine unabhängige Stelle unterliegt, bei der es sich im Verhältnis zu dieser Behörde um einen Dritten handelt.

Den Volltext der Entscheidung finden Sie hier:

BayVGH
Beschluss vom 15.02.2023
4 CE 23.2267

Der BayVGH hat entschieden, dass die Erhebung und Speicherung von Drohnenaufnahmen zu Durchführung der Beitrags- und Gebührenerhebung im Rahmen der Abwasserbeseitigung rechtswidrig ist.

Die Pressemitteilung des Gerichts:
BayVGH: Drohnenbefliegung eines Wohngrundstücks zur Beitragserhebung ist rechtswidrig

Mit Beschluss vom 15. Februar 2024 hat der Bayerische Verwaltungsgerichtshof (BayVGH) die Beschwerde der Stadt Neumarkt-Sankt Veit im Landkreis Mühldorf am Inn zurückgewiesen und die geplante Drohnenbefliegung eines Wohngrundstücks zur Ermittlung der Geschossfläche als rechtswidrig eingestuft.

Die Stadt Neumarkt-Sankt Veit plante ursprünglich für Oktober 2023 eine Drohnenbefliegung verschiedener Wohngrundstücke, um die Geschossfläche der dort vorhandenen Gebäude zu bestimmen. Die dadurch erlangten Daten sollten zur Berechnung des sog. Herstellungsbeitrags dienen, der für den Anschluss von Grundstücken an die gemeindliche Abwasserentsorgung erhoben wird. Nachdem der Antragsteller, dem ein Wohngrundstück im Stadtgebiet gehört, über die geplante Drohnenbefliegung informiert worden war, wandte er sich an das Verwaltungsgericht München, das seinem Eilantrag stattgab. Gegen diesen Beschluss legte die Stadt Beschwerde zum BayVGH ein.

Der BayVGH wies die Beschwerde der Stadt zurück. Dem Antragsteller stehe ein Unterlassungsanspruch zu, der eine Drohnenbefliegung seines Grundstücks verbiete. Für die geplante Maßnahme fehle es bereits an einer Rechtsgrundlage. Hierfür könne insbesondere nicht die Generalklausel des bayerischen Datenschutzgesetzes herangezogen werden. Diese lässt eine Verarbeitung personenbezogener Daten durch eine öffentliche Stelle zu, wenn sie zur Erfüllung einer ihr obliegenden Aufgabe erforderlich ist. Die Vorschrift erlaube eine Erhebung personenbezogener Daten jedoch nur dann, wenn es sich um einen geringfügigen Eingriff in die Rechte der betroffenen Person handele. Der Einsatz der Drohne stelle aber einen erheblichen Eingriff in das vom Grundgesetz geschützte allgemeine Persönlichkeitsrecht des Antragstellers dar. Auch wenn das Wohngebäude von außen aufgenommen werde, sei die schützenswerte Privatsphäre betroffen. Denn mit der Drohne könnten Aufnahmen von zur Wohnung zählenden Terrassen, Balkonen oder Gartenflächen hergestellt werden. Zudem könnten die sich dort aufhaltenden Personen fotografiert werden. Weiter sei nicht auszuschließen, dass durch Glasflächen auch Innenräume erfasst würden.

Der Beschluss des BayVGH ist unanfechtbar.

(BayVGH, Beschluss vom 15. Februar 2024, Az.: 4 CE 23.2267)

VG Berlin
Urteil vom 06.02.2024
1 K 187/21

Das VG Berlin hat entschieden, dass einem Auskunftsanspruch aus Art. 15 DSGVO ein unverhältnismäßiger Aufwand zur Auskunftserteilung nur ein eng begrenzten Ausnahmefällen entgegengehalten werden kann.

Aus den Entscheidungsgründen:
Soweit der Kläger – mit seinem Antrag zu 1.) – die Verpflichtung der Beklagten begehrt, die ihm unter dem 18. November 2020 erteilte Auskunft zu vervollständigen und ihm Auskunft über seine bis zum Datum seines Auskunftsantrages in den Verwaltungsvorgängen der Beklagten verarbeiteten personenbezogenen Daten zu erteilen, indem die Beklage ihm eine Kopie dieser Daten zur Verfügung stellt, ist die nach § 42 Abs. 1 Alt. 2 VwGO statthafte (vgl. BVerwG, Urteil vom 30. November 2022 - 6 C 10.21, juris Rn. 14) und auch sonst zulässige Verpflichtungsklage begründet (§ 113 Abs. 5 Satz 1 VwGO).

Grundlage für den insoweit geltend gemachten Anspruch ist Art. 15 Abs. 1 i.V.m. Abs. 3 Satz 1 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung - DSGVO).

Sinn und Zweck des Auskunftsanspruchs aus Art. 15 Abs. 1 DSGVO ist es, wie sich u.a. aus Erwägungsgrund 63 zur DSGVO ergibt, den Betroffenen in die Lage zu versetzen, von einer Verarbeitung ihn betreffender personenbezogener Daten Kenntnis zu erhalten, um im Folgenden nicht nur die Richtigkeit dieser Daten, sondern auch die Zulässigkeit ihrer Verarbeitung überprüfen und im Folgenden ggf. die ihm nach den Art. 16f. DSGVO zustehenden Rechte – beispielweise auf Löschung oder Einschränkung der Verarbeitung der Daten – ausüben zu können (EuGH, Urteil vom 4. Mai 2023 - C-487, juris Rn. 33f.). Gerade für eine Rechtmäßigkeitskontrolle ist aber, worauf der Kläger zu Recht hingewiesen hat, eine bloß abstrakte Übersicht über die verarbeiteten Daten nicht ausreichend, weshalb der Anspruch des Klägers nicht durch die ihm unter dem 18. November 2020 erteilte Auskunft der Beklagten erloschen ist, die sich lediglich auf die in den IT-Systemen der Beklagten gespeicherten (Stamm-)Daten des Klägers erstreckte. Vielmehr bedarf es, um die Rechtmäßigkeit der Datenverarbeitung im jeweiligen Einzelfall überprüfen zu können, notwendigerweise der konkreten Mitteilung, in welchem Kontext die Daten verarbeitet wurden (EuGH, Urteil vom 4. Mai 2023, a.a.O. Rn. 41f.; vgl. auch EuGH, Urteil vom 22. Juni 2023 - C-579/21, juris Rn. 64f., 66). Dies lässt sich regelmäßig durch Zurverfügungstellung einer Kopie i.S.d. Art. 15 Abs. 3 Satz 1 DSGVO erreichen, d.h. einer vollständigen, originalgetreuen Reproduktion der verarbeiteten Daten (EuGH, Urteil vom 4. Mai 2023, a.a.O. Rn. 32, 39 und Urteil vom 22. Juni 2023, a.a.O.; vgl. auch EuGH, Urteil vom 26. Oktober 2023 - C-307/22, juris Rn. 79).

Der Klagebegründung zufolge (vgl. Schriftsatz vom 22. Dezember 2023, S. 3, 4) soll der geltend gemachte Auskunftsanspruch aus Art. 15 Abs. 1 DSGVO auf diese Weise erfüllt werden. Durch die (dementsprechend tenorierte) Verpflichtung der Beklagten zur Zurverfügungstellung einer Kopie i.S.d. Art. 15 Abs. 3 Satz 1 DSGVO wird zugleich der durch den Kläger weiter geltend gemachten Anspruch auf Auskunft über die sogenannten „Metadaten“ i.S.d. Art. 15 Abs. 1 HS. 2 lit. a) bis h) DSGVO erfüllt (vgl. Urteil der Kammer vom 10. Januar 2024 - VG 1 K 73/22, UA S. 5f.).

Dem damit dem Grunde nach bestehenden Anspruch des Klägers aus Art. 15 Abs. 1 i.V.m. Abs. 3 Satz 1 DSGVO kann die Beklagte nicht mit Erfolg den Einwand der Unverhältnismäßigkeit oder des Rechtsmissbrauchs entgegenhalten.

Das Gericht verkennt nicht, dass mit der Zurverfügungstellung von Kopien aller in den Verwaltungsvorgängen der Beklagten enthaltenen Dokumente, in denen personenbezogene Daten des Klägers verarbeitet werden, nicht nur wegen der in jedem Einzelfall erforderlichen Prüfung entgegenstehender Rechte i.S.d. Art. 15 Abs. 4 DSGVO ein erheblicher Aufwand einhergeht. Aufgrund der Bedeutung des – grundsätzlich unbedingt gewährleisteten – Auskunftsanspruchs aus Art. 15 Abs. 1 DSGVO kommt eine Weigerung des Verantwortlichen, einem Auskunftsbegehren wegen des zu seiner Erfüllung zu treibenden unverhältnismäßigen Aufwandes Folge zu leisten, jedoch nur in eng begrenzten Ausnahmefällen in Betracht, beispielsweise bei einem offenkundig groben Missverhältnis zwischen den zur Erfüllung des Auskunftsanspruches erforderlichen Anstrengungen und dem Informationsinteresse des Betroffenen (vgl. Urteil der Kammer vom 12. Oktober 2023 - 1 K 561/21, juris Rn. 60). Diese Voraussetzung ist hier jedoch – trotz des großen Umfangs der durch die Beklagte zu sichtenden und vor einer Herausgabe an den Kläger ggf. zu anonymisierenden Akten – nicht erfüllt. Denn der Kläger hat unter Bezugnahme auf die besondere Schutzwürdigkeit seiner personenbezogenen Daten (vgl. hierzu das den Beteiligten bekannte Urteil der Kammer vom 10. Juni 2020 - VG 1 K 143/16, UA S. 9f.) plausibel dargelegt, dass er vorrangig deren Weitergabe durch die Beklagte an Dritte nachvollziehen wolle (die laut der Mitteilung der Beklagten an den Kläger vom 18. November 2020 mehrfach erfolgt ist), um diesen Dritten gegenüber eventuell die Löschung oder die Einschränkung der Verarbeitung der Daten geltend zu machen. Dem lässt sich allein dadurch Rechnung tragen, dass die Beklagte die betreffenden Dokumente in Kopie an den Kläger herausgibt; eine abstrakte Mitteilung der Empfänger der Daten ist nach dem oben Gesagten für die jeweils erforderliche Einzelfallprüfung nicht ausreichend. Der Einwand des Rechtsmissbrauchs, an den gleichermaßen strenge Anforderungen zu stellen sind, greift vor diesem Hintergrund ebenfalls nicht durch.

Den Volltext der Entscheidung finden Sie hier: