BECKMANN UND NORDA - Rechtsanwälte Bielefeld

VG Düsseldorf
Gerichtsbescheid vom 21.01.2026
29 K 7470/24

Das VG Düsseldorf hat entschieden, dass ein DSGVO-Verstoß durch Löschung der Daten vor Erfüllung eines bereits geltend gemachten Auskunftsanspruchs gemäß Art. 15 DSGVO vorliegt.

Aus den Entscheidungsgründen:
Der angefochtene Bescheid erweist sich auch in materieller Hinsicht als rechtmäßig.

Die Voraussetzungen von Art. 58 Abs. 2 Buchst. b DSGVO liegen vor. Nach dieser Vorschrift verfügt jede Aufsichtsbehörde über die Befugnis, einen Verantwortlichen zu verwarnen, wenn er mit Verarbeitungsvorgängen gegen die Datenschutz-Grundverordnung verstoßen hat.

Die tatbestandlichen Voraussetzungen für die ausgesprochene Verwarnung liegen vor. Die Klägerin hat gegen die Datenschutz-Grundverordnung verstoßen, indem sie die personenbezogenen Daten des Beschwerdeführers nach der Stellung des Auskunftsantrags nicht weiter gespeichert hat. Die Löschung der Daten trotz der Verpflichtung der Klägerin zur Auskunftserteilung war rechtswidrig.

Die Löschung von Daten stellt einen Verarbeitungsvorgang im Sinne von Art. 4 Nr. 2 DSGVO. Die Verarbeitung betrifft personenbezogene Daten nach Art. 4 Nr. 1 DSGVO, nämlich solche, die sich auf eine identifizierte natürliche Person, den Beschwerdeführer, beziehen.

Die Klägerin hat die personenbezogenen Daten als Verantwortliche im Sinne von Art. 58 Abs. 2 b, Art. 4 Nr. 7 Halbsatz 1 DSGVO verarbeitet. Sie hat sowohl die Versendung der an die E-Mail-Adresse des Beschwerdeführers gerichteten Werbe-E-Mails als auch die Löschung von dessen personenbezogenen Daten veranlasst.

Als Verantwortliche muss die Klägerin nach Art. 5 Abs. 2 DS-GVO iVm Art. 5 Abs. 1 lit. a DS-GVO sicherstellen, dass die von ihr durchgeführte Datenverarbeitung rechtmäßig ist.

Vgl. EuGH, Urteil vom 4. Mai 2023 - C-60/22 -, ZD 2023,606, Rn. 54.

Die Rechtmäßigkeit der Verarbeitung wird in Art. 6 DSGVO geregelt. Die Liste der darin genannten Fälle, in denen eine Verarbeitung personenbezogener Daten als rechtmäßig angesehen werden kann, ist erschöpfend und abschließend, sodass eine Verarbeitung unter einen der in Art. 6 Abs. 1 UAbs. 1 DSGVO vorgesehenen Fälle subsumierbar sein muss, um als rechtmäßig angesehen werden zu können.

Vgl. EuGH, Urteil vom 4. Mai 2023 - C-60/22 -, ZD 2023,606, Rn. 56.

Danach war die Löschung der personenbezogenen Daten rechtswidrig, weil für diese Verarbeitung keine der in Art. 6 Abs. 1 DSGVO genannten Bedingungen erfüllt waren. In Betracht kommen dabei allein die Tatbestände in Art. 6 Abs. 1 UAbs. 1 lit. a) und lit. c) DSGVO. Die Verarbeitung in Form der Löschung ist weder für die Erfüllung eines Vertrages (lit. b)) noch zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich (lit.d)). Die Klägerin nimmt auch keine Aufgabe wahr, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die ihr übertragen wurde) (lit. e)). Schließlich liegen auch keinerlei Anhaltspunkte dafür vor, dass die Löschung zur Wahrnehmung der berechtigten Interessen der Klägerin erforderlich gewesen sein könnte (lit. f)).

Eine Einwilligung des betroffenen Beschwerdeführers zu der Verarbeitung in Form der Löschung seiner personenbezogenen Daten gemäß Art. 6 Abs. 1 UAbs. lit. a) DSGVO liegt nicht vor. Sein ausdrücklich als Bitte um Auskunftserteilung bezeichnetes Schreiben vom 26. August 2022 kann ersichtlich nicht als Einwilligung zur Löschung seiner Daten nicht verstanden werden. Dasselbe gilt für die Erinnerung an das Auskunftsersuchen vom 26. September 2022.

Die Löschung war auch nicht zur Erfüllung einer rechtlichen Verpflichtung der Klägerin erforderlich (Art. 6 Abs. 1 UAbs. 1 lit. c)). Ein Löschungsbegehren hat der Beschwerdeführer nicht geäußert. Es traf auch keiner der Gründe zu, die nach Art. 17 Abs. 1 DSGVO zu einer Verpflichtung des Verantwortlichen zur unverzüglichen Löschung personenbezogener Daten führen.

Die personenbezogenen Daten waren für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, weiter notwendig (Art. 17 Abs. 1 lit. a) DSGVO. Aus dem Grundsatz der Datenminimierung gemäß Art. 5 Abs. 1 lit. c) DSGVO, dem - wie die anderen Grundsätze des Art. 5 DSGVO auch - jede Datenverarbeitung entsprechen muss, kann die Klägerin daher nichts für sich herleiten.

Der ursprünglich auf E-Mail-Marketing gerichtete Zweck der Datenverarbeitung dürfte bereits nicht entfallen sein. Der Beschwerdeführer hat lediglich einen Auskunftsantrag gestellt und mit seinen Schreiben, anders als die Klägerin behauptet, an keiner Stelle kundgetan, dass er keine Werbemails mehr wünsche. Ausgehend von der angeblich erteilten Einwilligung des Beschwerdeführers in die Nutzung und Verarbeitung seiner personenbezogenen Daten für Werbezwecke per E-Mail (Bl. 75 der Beiakte Heft 1) durfte die Klägerin im Gegenteil davon ausgehen, weiter Werbemails versenden zu dürfen. Das zeigt, dass es sich um eine reine Schutzbehauptung handelt.

Ungeachtet dessen war die Datenverarbeitung aber nach Stellung des Auskunftsantrags für die Zwecke der Erfüllung der Auskunftsverpflichtung notwendig. Zum Zeitpunkt der Löschung war das Auskunftsverlangen des Beschwerdeführers noch nicht erfüllt.

Die Erfüllung der Pflicht aus Art. 12 Abs. 1 bis 3 DSGVO setzt die fortgesetzte Datenverarbeitung in Form der Speicherung der personenbezogenen Daten bis zur Erfüllung des Auskunftsbegehrens voraus. Die Mitteilungen gemäß Art. 15 DSGVO z.B. zu den Bearbeitungszwecken oder den Kategorien der verarbeiteten personenbezogenen Daten können nur übermittelt werden, wenn der Verantwortliche noch über die personenbezogenen Daten verfügt. Es spricht viel dafür, dass die personenbezogenen Daten, auf die die Auskunft zielt, so lange gespeichert werden müssen, bis die betroffene Person Gelegenheit hatte, die Rechtmäßigkeit der Verarbeitung zu überprüfen (vgl. Erwägungsgrund 63). Wie lange personenbezogene Daten zur Erfüllung eines Auskunftsbegehrens gespeichert werden müssen, braucht hier jedoch nicht entschieden zu werden. Denn jedenfalls tritt Erfüllung der Informationspflicht des Verantwortlichen und mit ihr der Wegfall des Zwecks der Verarbeitung frühestens ein, nachdem dem Antragsteller die begehrten Informationen vollständig und innerhalb der maßgeblichen Frist zur Verfügung gestellt wurden (Art. 12 Abs. 1, Abs. 3 Satz 1 DSGVO). Die Klägerin hat vorliegend die Daten aber bereits gelöscht, bevor dem Beschwerdeführer die Auskunft übermittelt worden ist. Mit Übersendung der als Datenschutzauskunft bezeichneten Daten hat die Klägerin bereits die Löschung der Daten in ihrer Datenbank bestätigt.

Einen Widerspruch gegen die Verarbeitung (Art. 17 Abs. 1 lit. c) DSGVO) hat der Beschwerdeführer ebenfalls nicht eingelegt, auch wenn die Klägerin die Schreiben des Beschwerdeführers als solchen bezeichnet. Das nur aus konkreten Fragen bestehende Schreiben vom 26. August 2022 sowie die Erinnerung an das Auskunftsersuchen vom 26. September 2022 enthalten keinerlei Anhaltspunkte dafür, dass der Beschwerdeführer keine Werbemails mehr wünscht oder dass er der Verarbeitung widerspricht.

Auch die anderen in Art. 17 Abs. 1 DSGVO genannten Gründe treffen nicht zu. Ein Widerruf der Einwilligung ist nicht ersichtlich (Art. 17 Abs. 1 lit. b) DSGVO). Die personenbezogenen Daten wurden aus Sicht der Klägerin auch nicht unrechtmäßig verarbeitet (Art. 17 Abs. 1 lit. d) DSGVO). Vielmehr stützt sie sich, wie die „Datenschutzauskunft“ zeigt, gerade auf eine angebliche Einwilligung des Beschwerdeführers in die Verarbeitung seiner personenbezogenen Daten. Eine rechtliche Verpflichtung nach Art. 17 Abs. 1 lit. e) DSGVO ist nicht ersichtlich. Ebenso wenig wurden die Daten in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Art. 8 Abs. 1 erhoben (Art. 17 Abs. 1 lit. f) DSGVO).

Die Klägerin kann die vorgenommene Löschung der personenbezogenen Daten des Beschwerdeführers schließlich nicht auf Art. 5 Abs. 1 lit. d) DSGVO und eine angebliche sachliche Unrichtigkeit der Daten stützen. Die personenbezogenen Daten des Beschwerdeführers waren im Gegenteil sachlich richtig, und zwar sowohl im Hinblick auf Werbezwecke als auch zum Zwecke der Informationserteilung. Wie die Klägerin den beiden der Löschung vorangegangenen Schreiben des Beschwerdeführers entnommen haben will, dass die Daten nicht von ihm sein könnten, ist nicht nachvollziehbar und offensichtlich vorgeschoben.

Die Verwarnung begegnet auch auf der Rechtsfolgenseite keinen durchgreifenden rechtlichen Bedenken. Die Beklagte hat das ihr nach Art. 58 Abs. 2 DSGVO eingeräumte Ermessen fehlerfrei ausgeübt (§ 114 Satz 1 VwGO). Insbesondere ist ein Verstoß gegen den Grundsatz der Verhältnismäßigkeit, der bei der Auswahl der nach Art. 58 Abs. 2 DSGVO zur Verfügung stehenden Maßnahmen zu beachten ist,

vgl. OVG NRW, Urteil vom 15. Juni 2022 - 16 A 857/21 -, juris Rn. 147,

nicht zu erkennen. Die Verwarnung dient dem Zweck der Datenschutz-Grundverordnung, eine einheitliche Überwachung und Durchsetzung der Verordnung in der gesamten Union sicherzustellen (vgl. Erwägungsgrund 129 Satz 1 DSGVO). Durch die ihr zukommende Warnfunktion ist sie auch geeignet, datenschutzkonforme Zustände herzustellen. Sie ist des Weiteren auch erforderlich. Mit der Verwarnung hat die Beklagte das mildeste Abhilfeinstrumentarium im Maßnahmenkatalog des Art. 58 Abs. 2 DSGVO gewählt. Die Anordnung ist schließlich auch angemessen, d. h. verhältnismäßig im engeren Sinn. Die Verwarnung stellt sich als geringfügiger Eingriff in die Rechte der Klägerin dar, da mit ihr insbesondere keine unmittelbaren finanziellen Nachteile verbunden sind.

Vorsorglich weist das Gericht darauf hin, dass in Fällen wie dem vorliegenden auch die Verhängung eines Bußgeldes gemäß Art. 58 Abs. 2 i DSGVO gerechtfertigt sein dürfte. Denn es ist zu berücksichtigen, dass die Klägerin mit der Löschung nicht nur die Überprüfung der Richtigkeit und Vollständigkeit der Datenschutzauskunft, sondern auch die Überprüfung der Rechtmäßigkeit der Verarbeitung der personenbezogenen Daten des Beschwerdeführers vereitelt hat. Es spricht alles dafür, dass dies beabsichtigt war. Die Klägerin hat die personenbezogenen Daten des Beschwerdeführers angeblich mit dessen Einwilligung verarbeitet, und durfte damit von der Rechtmäßigkeit der Datenverarbeitung ausgehen. Es gab also keinen Grund zur Löschung, es sei denn, die Daten sind tatsächlich rechtswidrig erhoben worden.

Den Volltext der Entscheidung finden Sie hier:

EuGH
Urteil vom 10.02.2026
C-97/23 P
WhatsApp Ireland / Europäischer Datenschutzausschuss

Der EuGH hat entschieden, dass die Klage von WhatsApp Ireland gegen den streitgegenständlichen verbindlichen Beschluss des Europäischen Datenschutzausschusses (EDSA) zulässig ist.

Die Pressemitteilung des EuGH:
DSGVO: Die Klage von WhatsApp Ireland gegen den verbindlichen Beschluss 1/2021 des Europäischen Datenschutzausschusses ist zulässig

Da dieser Beschluss eine anfechtbare Handlung darstellt, die dieses Unternehmen unmittelbar betrifft, hebt der Gerichtshof den Beschluss des Gerichts auf und verweist die Rechtssache zur Entscheidung in der Sache an das Gericht zurück.

Der Gerichtshof stellt fest, dass ein verbindlicher Beschluss des Europäischen Datenschutzausschusses (EDSA), mit dem eine Streitigkeit zwischen mehreren nationalen Aufsichtsbehörden darüber beigelegt wird, ob ein für die Verarbeitung Verantwortlicher gegen die Datenschutz-Grundverordnung (DSGVO) 1 verstoßen hat und gegebenenfalls die Abhilfemaßnahmen, die ihm auferlegt werden sollen, abzuändern sind, eine vor den Gerichten der Union anfechtbare Handlung darstellt. Dieser verbindliche Beschluss stammt nämlich von einer Einrichtung der Union und soll Rechtswirkungen gegenüber Dritten entfalten. Darüber hinaus entscheidet der Gerichtshof im vorliegenden Fall, dass die WhatsApp Ireland Ltd (im Folgenden: WhatsApp) von dem streitigen Beschluss des EDSA unmittelbar betroffen ist. Da die Nichtigkeitsklage von WhatsApp zulässig ist, das Gericht der Europäischen Union jedoch noch nicht in der Sache entschieden hat, hebt der Gerichtshof den Beschluss des Gerichts auf und verweist die Sache an das Gericht zurück.

Nach dem Inkrafttreten der DSGVO gingen bei der irischen Aufsichtsbehörde, der Data Protection Commission, Beschwerden von Nutzern und Nichtnutzern des Messengerdienstes „WhatsApp“ in Bezug auf die Verarbeitung personenbezogener Daten durch dieses Unternehmen ein. Die irische Aufsichtsbehörde leitete im Dezember 2018 von Amts wegen eine allgemeine Untersuchung über die Einhaltung der Transparenz- und Informationspflichten durch WhatsApp gegenüber Privatpersonen ein.

Im Dezember 2022 legte die irische Aufsichtsbehörde allen betroffenen nationalen Aufsichtsbehörden einen Beschlussentwurf vor, um ihre Stellungnahmen dazu einzuholen . Da über bestimmte Punkte dieses Entwurfs kein Konsens erzielt werden konnte, befasste sie den EDSA. Dieser sollte die Streitigkeit zwischen den betroffenen Aufsichtsbehörden beilegen und zu den Fragen, die Gegenstand maßgeblicher und begründeter Einsprüche waren, Stellung nehmen.

Der EDSA erließ einen für alle betroffenen Aufsichtsbehörden verbindlichen Beschluss , nämlich den Beschluss 1/2021, in dem er u. a. einen Verstoß gegen bestimmte Vorschriften der DSGVO feststellte und die irische Aufsichtsbehörde dazu verpflichtete, die geplanten Abhilfemaßnahmen, einschließlich der Höhe der Geldbußen, zu ändern. Auf dieser Grundlage erließ die irische Aufsichtsbehörde ihren endgültigen Beschluss, der an WhatsApp gerichtet war und mit dem sie gegen WhatsApp insbesondere Geldbußen in Höhe von insgesamt 225 Millionen Euro verhängte.

WhatsApp erhob gegen den Beschluss des EDSA eine Nichtigkeitsklage beim Gericht . Mit seinem Beschluss vom 7. Dezember 20225 wies das Gericht diese Klage jedoch als unzulässig ab und begründete dies damit, dass der Beschluss des EDSA keine anfechtbare Handlung sei und WhatsApp von diesem Beschluss nicht unmittelbar betroffen sei. Nach Ansicht des Gerichts handelte es sich bei dem Beschluss des EDSA lediglich um eine Zwischenmaßnahme, und WhatsApp könne nur den endgültigen Beschluss der irischen Aufsichtsbehörde vor einem nationalen Gericht anfechten. WhatsApp legte daraufhin gegen den Beschluss des Gerichts ein Rechtsmittel beim Gerichtshof ein.

In seinem heutigen Urteil stellt der Gerichtshof fest, dass der Beschluss des EDSA sehr wohl eine vor den Unionsgerichten anfechtbare Handlung darstellt. Denn dieser Beschluss ist eine Handlung, die von einer Einrichtung der Union stammt und für Dritte, d. h. im vorliegenden Fall für die federführende irische Aufsichtsbehörde und alle anderen betroffenen Aufsichtsbehörden, verbindlich ist.

Darüber hinaus legt dieser Beschluss endgültig die Position dieser Einrichtung fest und behandelt alle ihr vorgelegten Fragen erschöpfend. Daher kann ein solcher Beschluss nicht als eine Zwischenmaßnahme angesehen werden, die nicht mit einer Klage anfechtbar ist. Darüber hinaus stellt der Gerichtshof fest, dass WhatsApp von diesem Beschluss unmittelbar betroffen war, da er die Rechtslage dieses Unternehmens in qualifizierter Weise geändert hat, ohne den Adressaten einen Ermessensspielraum zu lassen. Dieser Beschluss ist für die betroffenen Aufsichtsbehörden nämlich unbedingt verbindlich, insbesondere hinsichtlich der Feststellung eines Verstoßes gegen bestimmte Vorschriften der DSGVO, und diese Behörden können das Ergebnis nicht abändern.

Die Klage von WhatsApp wird daher für zulässig erklärt, und der Beschluss des Gerichts wird aufgehoben. Der Gerichtshof verweist die Sache an das Gericht zurück, damit dieses in der Sache entscheidet, einschließlich der Frage, ob WhatsApp gegen die betreffenden Bestimmungen der DSGVO verstoßen hat.

Den Volltext der Entscheidung finden Sie hier:

VG Dresden
Urteil vom 05.11.2025
6 K 790/23

Das VG Dresden hat enstchieden, dass das bloße Hinweisschreiben einer Datenschutzbehörde kein rechtsverbindlicher Beschluss und daher gerichtlich nicht überprüfbar ist.

Aus den Entscheidungsgründen:
Die Klage hat keinen Erfolg, da sie unzulässig ist.

Gemäß § 20 Abs. 1 Satz 1 BDSG ist für Streitigkeiten zwischen einer natürlichen oder einer juristischen Person und einer Aufsichtsbehörde des Bundes oder eines Landes über die Rechte gemäß Art. 78 Abs. 1 und Abs. 2 der Verordnung (EU) 2016/679 (DS-GVO) der Verwaltungsrechtsweg gegeben.

Die Zuständigkeit des Verwaltungsgerichts Dresden ergibt sich sachlich aus § 45 VwGO und örtlich aus § 20 Abs. 3 BDSG. Hiernach ist für ein Verfahren nach § 20 Abs. 1 Satz 1 BDSG das Verwaltungsgericht zuständig, in dessen Bezirk die Aufsichtsbehörde ihren Sitz hat. Die Beklagte als Aufsichtsbehörde nach Art. 51 DS-GVO, § 40 BDSG und § 14 Abs. 2 SächsDSDG hat ihren Sitz in Dresden.

Die Klage ist nicht als Anfechtungsklage im Sinne des § 20 Abs. 2 BDSG in Verbindung mit § 42 Abs. 1 Alt. 1 VwGO statthaft, da es bereits an der erforderlichen Verwaltungsaktqualität der Maßnahme mangelt.

Bei dem Schreiben der Beklagten vom 24. April 2023 handelt es sich weder der äußeren Form nach um einen Verwaltungsakt noch – maßgeblich – um einen materiellen Verwaltungsakt, da es sich nicht um eine Verwarnung mit Verwaltungsaktcharakter im Sinne des Art. 58 Abs. 2 lit. b) DS-GVO und auch nicht um die Androhung eines Bußgeldes handelt. Es handelt sich vielmehr um Hinweise im Sinne von Art. 58 Abs. 1 lit. d) DS-GVO in Verbindung mit einer Warnung nach Art. 58 Abs. 2 lit. a) DS-GVO, wobei es sich in beiden Fällen um Maßnahmen ohne Regelungscharakter und somit nicht Verwaltungsaktqualität handelt.

Für die Beurteilung der Frage, ob es sich um einen Verwaltungsakt handelt, ist auf den objektiven Erklärungswert der Maßnahme abzustellen und darauf, inwieweit dieser vom Betroffenen wahrgenommen und verstanden werden kann, mithin auf den Empfängerhorizont (vgl. Ramsauer, in: Kopp/Ramsauer, Verwaltungsverfahrensgesetz, 25. Aufl. 2024, § 35 Rn. 51 m. w. N.). Hierbei sind sämtliche Umstände, nicht nur der Inhalt, sondern auch die Form der Maßnahme und der Gesamtzusammenhang zu berücksichtigen (vgl. ebd.). Maßgeblich für die Beurteilung eines behördlichen Akts als Verwaltungsakt ist somit stets, ob der Akt sich nach objektiver Betrachtung als verbindliche, auf die Setzung einer Rechtsfolge gerichtete und auf Rechtsbeständigkeit hin abzielende und von der Behörde erkennbar so gewollte Regelung darstellt oder nicht (vgl. ebd. Rn. 56).

Nach dem äußeren Erscheinungsbild stellt sich das Schreiben nicht als Verwaltungsakt dar. Es setzt keine Rechtsfolge und enthält keine Rechtsmittelbelehrung. Es enthält auch keine Begründung, keinen Tenor und (wenngleich die Bezeichnung als solche allein nicht maßgebend ist) keine Bezeichnung als Bescheid. Die Beklagte hat den Kläger vor Erlass des Schreibens auch nicht angehört oder ihm sonst die Möglichkeit zur Stellungnahme gegeben.

Anders als klägerseits vorgebracht lässt sich auch nicht durch die Verwendung des Briefkopfs der Behörde auf einen Bescheid schließen. Durch die Nutzung des behördlichen Briefkopfs gibt diese sich als Urheberin des Schreibens zu erkennen, trifft jedoch keine Aussage über die Verbindlichkeit des Inhalts. Andernfalls würde ein Schreiben einer Behörde, mit welchem sie einen anderen Zweck als den Erlass eines Rechtsfolgen zeitigenden oder eine Feststellung treffenden Verwaltungsakts verfolgte, stets eine letztlich anonyme äußere Form erfordern.

Auch nach dem Inhalt des Schreibens stellt sich dieses nicht als Verwaltungsakt dar. Nach dem objektivierten Empfängerhorizont setzt das Schreiben keine rechtlich verbindlichen Folgen für die Zukunft in Bezug auf den in der Vergangenheit liegenden Sachverhalt. Typischerweise müsste ein Empfänger eines rechtsverbindlichen Schreibens, wenn in diesem ein Rechtsverstoß festgestellt wird und nicht nur ein möglicher Verstoß erwähnt wird, damit rechnen, dass das Schreiben auch eine Handlungsanweisung bezogen auf diesen konkreten Sachverhalt, beispielsweise die Anweisung des Löschens der Fotos, enthielte. Dies kann dem Schreiben aber nicht entnommen werden.

Die der Aufsichtsbehörde zustehenden Befugnisse nach Art. 58 DS-GVO werden nach Untersuchungsbefugnissen (Abs. 1) und Abhilfebefugnissen (Abs. 2) unterschieden.

Die Untersuchungsbefugnisse dienen insbesondere der Überwachung der Einhaltung der DS-GVO (vgl. Matzke, in: BeckOK DatenschutzR, 53. Edition, Stand: 1. August 2025, DS-GVO Art. 58 Rn. 2). Die Abhilfebefugnisse erfolgen als Reaktion auf einen datenschutzrechtlichen Verstoß und stehen oftmals, aber nicht zwingend, am Ende eines aufsichtsbehördlichen Verfahrens. Sie werden teilweise in einer Systematik von "Eskalationsstufen" betrachtet (vgl. Nguyen, in: Gola/Heckmann, Datenschutz-Grundverordnung – Bundesdatenschutzgesetz, 3. Aufl. 2022, DS-GVO Art. 58 Rn. 13). Hierbei ist die Behörde nicht verpflichtet stets mit der untersten Stufe also dem mildesten Mittel anzufangen, sondern ist lediglich an die Verhältnismäßigkeit der jeweiligen Maßnahme im Einzelfall gebunden (vgl. Polenz, in: Simitis/Hornung/Spieker gen. Döhmann, Datenschutzrecht, 2. Aufl. 2025, DS-GVO Art. 58 Rn. 7).

Nach Art. 58 Abs. 1 lit. d) DS-GVO verfügt jede Aufsichtsbehörde über sämtliche folgende Untersuchungsbefugnisse, die es ihr gestatten, den Verantwortlichen oder den Auftragsverarbeiter auf einen vermeintlichen Verstoß gegen diese Verordnung hinzuweisen. Mit "vermeintlich" ist nicht etwa ein widerlegter, sondern ein noch nicht abschließend festgestellter Verstoß gemeint (vgl. Matzke a. a. O., DS-GVO Art. 58 Rn. 11). Der Hinweis dient der Prävention und soll dem Verarbeiter die Möglichkeit zur Änderung seines Verhaltens geben, bevor weitere Maßnahmen der Aufsichtsbehörden, wie beispielsweise Verwarnungen, angewendet werden (vgl. Boehm, in: Kühling/Buchner DS-GVO BDSG, 4. Aufl. 2024, DS-GVO Art. 58 Rn. 17).

Der erste Absatz des Schreibens enthält eine kurze Darstellung des Sachverhalts. Es wird keine rechtliche Einordnung vorgenommen oder ein Verstoß gegen datenschutzrechtliche Normen festgestellt.

Der zweite Absatz des Schreibens beginnt mit den Worten "Ich weise Sie darauf hin…" und erläutert die Rechtsauffassung der Behörde, dass ohne eigene Betroffenheit das Fotografieren von Parkverstößen fremder PKW unzulässig sei. Bereits dieser Wortlaut spricht für eine Einordnung als Hinweis im Sinne des Art. 58 Abs. 1 lit. d) DS-GVO, zumindest dieser Passage. Durch die Aufklärung des Empfängers über die Spruchpraxis der Behörde wird diesem die Möglichkeit gegeben, sein Verhalten anzupassen, wobei der Bezug zu einem vergangenen Sachverhalt hergestellt wird.

Für den letzten Satz des dritten Absatzes gilt das bereits Gesagte, insbesondere im Hinblick auf den Wortlaut, wonach sich die Behörde vorbehalte, im Wiederholungsfalle eines gleich gelagerten Datenschutzverstoßes ein Bußgeld zu verhängen. Es handelt sich hierbei insbesondere nicht um die Androhung eines Bußgeldes.

Soweit dort das Verhalten des Klägers als Datenschutzverstoß bezeichnet wird, ergibt sich aus der nachfolgenden Korrespondenz zwischen den Beteiligten, insbesondere aber aus der Erklärung der Beklagten in der mündlichen Verhandlung, dass die Beklagte nunmehr eine andere Rechtsauffassung vertritt. Danach soll das private Fotografieren von Parkverstößen ohne eigene Betroffenheit zum Zweck der Anzeigenerstattung dann kein Datenschutzverstoß sein, wenn hierbei keine über das Fotografieren des Kfz-Kennzeichens hinausgehenden Daten erhoben werden, namentlich, wenn keine Aufnahmen von Personen gefertigt werden, die im Zusammenhang mit einem Parkverstoß stehen sollen.

Der übrige dritte Absatz des Schreibens der Beklagten vom 24. April 2023 mit der Aufforderung, künftig das Fotografieren von Parkverstößen fremder PKW zu unterlassen, stellt eine Warnung im Sinne des Art. 58 Abs. 2 lit. a) DS-GVO dar.

Bei der Warnung im genannten Sinne handelt es sich, anders als bei den anderen Befugnissen des Absatz 2, um eine präventive Maßnahme, die zu einem Zeitpunkt erfolgt, zu welchem die Datenverarbeitung noch nicht stattgefunden hat. Dieser Zukunftsbezug wird deutlich im Wortlaut, nach welchem der Kläger aufgefordert wird, "in Zukunft bei festgestellten Parkplatzverstößen private Fotos von fremden Pkws zu unterlassen". Der Absatz bezieht sich somit nicht auf den bereits festgestellten Sachverhalt, sondern nimmt diesen lediglich zum Anlass, Künftiges zu antizipieren und für den Fall eines ähnlich gelagerten Sachverhalts und gleichem Verhalten des Klägers die wahrscheinliche Bewertung als datenschutzrechtlichen Verstoß kundzutun. Da bei der Warnung nur auf einen voraussichtlichen Verstoß auf eine geplante Verarbeitung hingewiesen wird, fehlt es auch hier an der für einen Verwaltungsakt notwendigen Regelung (vgl. Matzke a.a.O., DS-GVO Art. 58 Rn. 19 unter Verweis auf U. Stelkens, in: Stelkens/Bonk/Sachs, Verwaltungsverfahrensgesetz, 10. Aufl. 2023, VwVfG § 35 Rn. 84).

Eine – hier vorgenommene – Kombination der unterschiedlichen Befugnisse durch die Behörde ist möglich (vgl. Polenz a. a. O., DS-GVO Art. 58 Rn. 9; vgl. Ngyuen a. a. O., DS-GVO Art. 58 Rn. 12).

Die Anfechtungsklage ist auch nicht durch die in Art. 78 DS-GVO und § 20 Abs. 1 BDSG kodifizierte Garantie auf einen wirksamen gerichtlichen Rechtsbehelf statthaft.

Nach Art. 78 DS-GVO hat jede natürliche oder juristische Person unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtbehelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen einen sie betreffenden rechtverbindlichen Beschluss einer Aufsichtsbehörde.

Bereits aus dem Wortlaut der Norm ergibt sich, dass die Rechtsschutzgarantie lediglich die rechtsverbindlichen Beschlüsse betrifft. Die vereinzelt in der Literatur vertretene Meinung, gerichtlicher Rechtsschutz sei gegen sämtliche Untersuchungs- und Abhilfebefugnisse des Art. 58 Abs. 1, Abs. 2 DS-GVO zu gewähren und greife insbesondere auch dann, wenn die Ausübung entsprechender Befugnisse nach bisherigem deutschem Verständnis unter dem BDSG a. F. mangels Regelung nicht in der Handlungsform des Verwaltungsakts erfolgt war, die Anfechtungsklage deshalb ausschied und mangels Rechtsschutzbedürfnisses teilweise überhaupt keine Notwendigkeit gerichtlichen Rechtsschutzes gesehen wurde (vgl. Sydow, in: Sydow/Marsch DS-GVO/BDSG, 3. Aufl. 2022, DS-GVO Art. 78 Rn. 22), vermag nicht zu überzeugen.

Die Ansicht stützt sich maßgeblich darauf, diese umfassendere Garantie ergebe sich aus Erwägungsgrund 143 Satz 5 der DS-GVO, wenn es heißt: "Ein derartiger Beschluss betrifft insbesondere die Ausübung von Untersuchungs-, Abhilfe- und Genehmigungsbefugnissen durch die Aufsichtsbehörde oder die Ablehnung oder Abweisung von Beschwerden.". Ein derartiger Beschluss ist hierbei im Hinblick auf den vorherigen Satz 4 zu lesen: "Unbeschadet dieses Rechts nach Artikel 267 AEUV sollte jede natürliche oder juristische Person das Recht auf einen wirksamen gerichtlichen Rechtsbehelf bei dem zuständigen einzelstaatlichen Gericht gegen einen Beschluss einer Aufsichtsbehörde haben, der gegenüber dieser Person Rechtswirkung entfaltet.". So ergibt sich bereits auch aus diesem Satz 4, dass sich die Rechtsschutzgarantie lediglich auf Beschlüsse erstreckt, welche gegenüber der adressierten Person Rechtswirkung entfalten. Noch deutlicher tritt diese Einschränkung in Satz 6 hervor, in welchem ausdrücklich formuliert ist: "Das Recht auf einen wirksamen gerichtlichen Rechtsbehelf umfasst jedoch nicht rechtlich nicht bindende Maßnahmen der Aufsichtsbehörden wie von ihr abgegebene Stellungnahmen oder Empfehlungen.". Ebenfalls entspricht es der vorwiegenden Auffassung in der Literatur, die Statthaftigkeit der Anfechtungsklage sowie die Klagebefugnis in Bezug auf gerichtlichen Rechtsschutz gegen Maßnahmen der Aufsichtsbehörden nur bei Vorliegen von "rechtsverbindlichen" Beschlüssen als gegeben anzusehen (so bspw. Boehm, in: Simitis/Hornung/Spieker gen. Döhmann, Datenschutzrecht, 2. Aufl. 2025, DS-GVO Art. 78 Rn. 7 m. w. N.). Solche stellen Warnungen und Hinweise im Sinne der DS-GVO gerade nicht dar. Auch die Rechtsschutzgarantie des Art. 78 DS-GVO kann daher nicht über die fehlende Regelungswirkung der Maßnahme hinweghelfen.

Aus den vorstehenden Erwägungen ergibt sich zugleich, dass die Klage zwar als allgemeine Leistungsklage (vgl. dazu Pietzcker/Marsch, in: Schoch/Schneider, VwGO, Stand 47. EL Februar 2025, § 42 Rn. 152 m. w. N.) statthaft wäre, da das angegriffene Schreiben keine für den Kläger verbindliche Regelungen enthält und die Beklagte die Feststellung eines Datenschutzverstoßes im Zeitpunkt der mündlichen Verhandlung nicht mehr aufrecht erhalten hat.

Der Klage fehlte dann allerdings in entsprechender Anwendung von § 42 Abs. 2 VwGO das Rechtsschutzbedürfnis (vgl. dazu Wahl/Schütz, in: Schoch/Schneider a. a. O. Rn. 33 sowie Pietzcker/Marsch, ebd., Rn. 170). Denn die in dem angegriffenen Schreiben enthaltenen Hinweise und Feststellungen sind bereits nicht geeignet, den Kläger in seinen Rechten zu beeinträchtigen oder ihm sonst nachteilig zu sein. Sie erschöpfen sich, wie oben dargelegt und soweit noch relevant, darin, den Kläger über die nach Auffassung der Beklagten geltende Rechtslage zu informieren und ihn auf ihre künftige Vorgehensweise hinzuweisen, sollte das Verhalten des Klägers hierzu Anlass geben. Es stand und steht dem Kläger frei, diese Auffassung zu teilen oder ihr nicht zu folgen. Gerichtlichen Rechtsschutzes bedarf der Kläger hierfür nicht (vgl. Ehlers, in: Schoch/Schneider a. a. O, § 42 Rn. 74). Eine etwaige gerichtliche Aufhebung des Schreibens oder die – gerichtlich nicht beantragte – Rücknahme der Äußerung der Beklagte ihm gegenüber ist nicht geeignet, dem Kläger einen Rechtsvorteil zu verschaffen.

Den Volltext der Entscheidung finden Sie hier:

VG Berlin
Urteil vom 09.10.2025
VG 1 K 607/22

Das VG Berlin hat entschieden, dass juristische Personen kein Auskunftsverweigerungsrecht gegen Auskunftsersuchen der Datenschutzbehörde haben. Dieses steht nur natürlichen Personen zu.

Aus den Entscheidungsgründen:
1. Rechtsgrundlage für den Auskunftsheranziehungsbescheid ist Art. 58 Abs. 1 Buchst. a) DSGVO. Nach dieser Regelung verfügt die Beklagte als Aufsichtsbehörde (vgl. § 8 Abs. 1 Berliner Datenschutzgesetz) über sämtliche Untersuchungsbefugnisse, die es ihr gestatten, den Verantwortlichen, den Auftragsverarbeiter und gegebenenfalls den Vertreter des Verantwortlichen oder des Auftragsverarbeiters anzuweisen, alle Informationen bereitzustellen, die für die Erfüllung ihrer Aufgaben erforderlich sind. Die behördliche Anweisung, Informationen bereitzustellen, beinhaltet auch eine Auskunftsverpflichtung des Verantwortlichen, Auftragsverarbeiters und Vertreters.

2. Die gesetzlichen Voraussetzungen für das Auskunftsersuchen der Beklagten liegen vor. Die von der Klägerin angeforderten Informationen zum Umfang der an die jeweiligen Werbepartner übermittelten Kundendaten benötigt die Beklagte für die Erfüllung ihrer gesetzlichen Aufgaben.

Die Aufsichtsbehörde wird die in Art. 58 Abs. 1 DSGVO statuierten Untersuchungsbefugnisse regelmäßig für die Prüfung nutzen, ob in dem konkreten Fall eine Datenschutzverletzung vorliegt. Die Befugnis der Aufsichtsbehörden zur Heranziehung ist jedoch aus Gründen der Verhältnismäßigkeit auf die Anweisung der Bereitstellung der für die Erfüllung ihrer Aufgaben erforderlichen Informationen beschränkt (vgl. Art. 58 Abs. 1 Buchst. a) a. E. DSGVO. Für die Bestimmung der Erforderlichkeit wird auf den konkreten Verarbeitungsvorgang abgestellt, der auf die Einhaltung der datenschutzrechtlichen Vorschriften hin überprüft wird (Polenz, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, DS-GVO Art. 58 Rn. 12).

Der Vorwurf einer Datenschutzverletzung ist jedoch keine zwingende Voraussetzung eines Auskunftsverlangens. Informationen können beispielsweise auch dann verlangt werden, wenn die Aufsichtsbehörde die Öffentlichkeit gemäß Art. 57 Abs. 1 Buchst. b DSGVO über die Risiken eines bestimmten Verarbeitungsvorgangs aufklären will. Sie kann auch Informationen einholen, wenn sie sich vergewissern möchte, ob überhaupt personenbezogene Daten verarbeitet werden (vgl. Nguyen, in: Gola/Heckmann, DSGVO/BDSG, 3. Aufl. 2022, DS-GVO Art. 58 Rn. 4). Die Ausübung der Befugnis aus Art. 58 Abs. 1 DSGVO ist unabdingbare Voraussetzung dafür, dass die Beklagte die Anwendung der Datenschutz-Grundverordnung überwachen und durchsetzen kann, wie in Art. 57 Abs. 1 Buchst. a) DSGVO vorgesehen (Polenz, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, DS-GVO Art. 58 Rn. 12; Matzke, in: BeckOK DatenschutzR, 53. Ed. 2025, DS-GVO Art. 58 Rn. 5).

Gemessen daran ist die Beklagte nicht darauf beschränkt, ihr Auskunftsverlangen einzustellen, sobald nach ihrer Auffassung feststeht, dass die auskunftsverpflichtete Klägerin einen Datenschutzverstoß begangen hat. Vielmehr darf sie darüber hinaus auch das Ausmaß des datenschutzrechtlichen Verstoßes und die Beteiligung weiterer datenschutzrechtlich verantwortlicher Akteure aufklären, da die ihr nach Art. 57 Abs. 1 DSGVO obliegenden Aufgaben entsprechend angelegt sind. Anders als die Klägerin meint, ist es insbesondere auch nicht unzulässig, weitere Informationen über das Lettershop-Verfahren und die an ihm Beteiligten Datenschutzverantwortlichen zu erlangen. Denn hierbei geht es nicht um eine – sächlich und persönlich unbegrenzte – Informationsgewinnung über das datenschutzrechtlich relevante Handeln einer Vielzahl von dritten Akteuren zu Lasten der Klägerin, sondern um weitere Ermittlungen zu einem bereits beanstandeten Geschäftsmodell der Klägerin und ihrer Geschäftspartner. Darüber hinaus hat die Beklagte in der mündlichen Verhandlung nachvollziehbar dargelegt, dass das Ausmaß des datenschutzrechtlichen Verstoßes der Klägerin selbst wegen der begrenzten personellen und sächlichen Mittel der Behörde auch ausschlaggebend für die Priorisierung der Verfolgung der jeweiligen Verstöße ist. Die Beklagte benötigt die Informationen daher auch im Hinblick auf die zu ergreifenden Abhilfemaßnahmen gegen die Klägerin

Die Beklagte ist – anders als die Klägerin suggeriert – nicht verpflichtet, detailliert auszuführen, für welche der ihr durch Art. 57 DSGVO zugewiesenen Aufgaben die konkrete Auskunftserteilung erforderlich ist. Entsprechende einschränkende Vorgaben lassen sich weder den Bestimmungen der Datenschutzgrundverordnung noch den nationalen Datenschutzgesetzen entnehmen. Im Übrigen lässt sich den Begründungen zu den behördlichen Schreiben, insbesondere dem vom 6. September 2022, entnehmen, dass das Auskunftsersuchen im Zusammenhang mit der Untersuchung eines mutmaßlichen Datenschutzverstoßes erfolgt.

Der Einwand der Klägerin, der Auskunftsheranziehungsbescheid sei (auch) wegen eines Verstoßes gegen das Bestimmtheitsgebot gemäß § 37 Abs. 1 VwVfG rechtswidrig, weil die Beklagte mit der Formulierung „Welchen Werbepartnern“ in ihrer Frage nicht hinreichend deutlich gemacht habe, ob diese Werbepartner auch namentlich oder nur mit Platzhaltern benannt werden sollen, ist nicht nachvollziehbar: Die Beklagte fragt hier aus der Perspektive eines objektiven, verständigen Adressaten hinreichend deutlich nach der Identität der Werbepartner der Klägerin, denn sie muss im Rahmen der ihr nach Art. 57 Abs. 1 Buchst. a) DSGVO obliegenden Aufgaben prüfen, ob weitere Dritte Datenschutzverletzungen im Rahmen des LettershopVerfahrens der Klägerin verüben. Hier verbleiben im Ergebnis keine Unklarheiten über den Gegenstand des behördlichen Begehrens, die eine rechtlich relevante „Unbestimmtheit“ der Verfügung begründen könnten.

2. Die behördliche Befugnis zur Auskunftsheranziehung nach Art. 58 Abs. 1 Buchst. a DSGVO wird für den Fall der Klägerin nicht durch ein Auskunftsverweigerungsrecht beschränkt, dass den Bescheid vom 17. November 2022 nachträglich rechtswidrig gemacht haben könnte.

In Fällen, in denen die Aufsichtsbehörde eine Auskunft in Form der Beantwortung konkreter Fragen verlangt und nicht nur die Vorlage näher bezeichneter Unterlagen, kann dem Verpflichteten ein Auskunftsverweigerungsrecht zustehen. Die Klägerin hat sich ein Jahr nach Klageerhebung erstmals auf ein Auskunftsverweigerungsrecht nach § 40 Abs. 4 Satz 2 Bundesdatenschutzgesetz (BDSG) berufen. Danach kann der nach § 40 Abs. 4 Satz 1 BDSG Auskunftspflichtige die Auskunft auf solche Fragen verweigern, deren Beantwortung ihn selbst oder einen der in § 383 Abs. 1 Nr. 1 bis 3 der Zivilprozessordnung bezeichneten Angehörigen der Gefahr strafgerichtlicher Verfolgung oder eines Verfahrens nach dem Gesetz über Ordnungswidrigkeiten aussetzen würde. Der Auskunftspflichtige ist gemäß § 40 Abs. 4 Satz 3 BDSG auf dieses Recht hinzuweisen. Ein entsprechender Hinweis ist in dem Auskunftsheranziehungsbescheid der Beklagten vom 17. November 2022 auf Seite 4 auch enthalten. Die Entscheidung, vom Auskunftsverweigerungsrecht Gebrauch zu machen, muss ausdrücklich erklärt, aber nicht im Einzelnen begründet werden (OVG Schleswig, a.a.O, Rn. 20)

Maßgebliche Sach- und Rechtslage für die Beurteilung der Rechtmäßigkeit des Auskunftsheranziehungsbescheids ist hier der Zeitpunkt der mündlichen Verhandlung (a.A. wohl VG Bremen, Urteil vom 27. November 2023 – 4 K 1160/22 – juris Rn. 47), denn verwaltungsrechtliche Auskunftsverweigerungsrechte können bereits dem behördlichen Auskunftsbegehren und nicht erst dessen Durchsetzung entgegenstehen (vgl. OVG Schleswig, Beschluss vom 28. Mai 2021 – 4 MB 14/21 – juris Rn. 32 m.w.N.). Die Auskunftsverweigerung durch die Klägerin ist demnach nicht wegen ihrer späten Erklärung unbeachtlich. Die Klägerin kann sich aber als juristische Person nicht auf das Auskunftsverweigerungsrecht berufen, so dass nicht mehr zu entscheiden ist, ob die behördlich angeforderten Informationen vom Umfang des Auskunftsverweigerungsrechts erfasst wären.

Wie andere spezialgesetzlich normierte Auskunftsverweigerungsrechte trägt § 40 Abs. 4 Satz 2 BDSG dem Grundsatz der Selbstbelastungsfreiheit (“nemo tenetur se ipsum accusare“) Rechnung, den das Bundesverfassungsgericht als – im Rechtsstaatsprinzip verankerten – Teil des allgemeinen Persönlichkeitsrechts aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG anerkennt. Der Einzelne soll vom Staat grundsätzlich nicht in eine Konfliktlage gebracht werden, in der er sich selbst strafbarer Handlungen oder ähnlicher Verfehlungen bezichtigen muss. Ein Zwang zur Selbstbezichtigung berührt die Würde des Menschen, dessen Aussage als Mittel gegen ihn selbst verwendet wird (vgl. BVerfG, Beschluss vom 13. Januar 1981 – 1 BvR 116/77 – juris Rn. 18; Beschluss vom 25. Januar 2022 – 2 BvR 2462/18 – juris Rn. 50; OVG Schleswig, Beschluss vom 28. Mai 2021 – 4 MB 14/21 – juris Rn. 33 m.w.N.). Nach der Rechtsprechung des Bundesverfassungsgerichts schließt Art. 19 Abs. 3 GG für juristische Personen einen Schutz vor einem derartigen Zwang aber aus. Eine Lage, wie sie dieser Zwang für natürliche Personen heraufbeschwört, kann bei juristischen Personen nicht eintreten. Diese bilden ihren Willen nur durch Organe und unterliegen im Hinblick auf Straftaten und Ordnungswidrigkeiten nur einer eingeschränkten Verantwortlichkeit (BVerfG, Beschluss vom 26. Februar 1997 – 1 BvR 2172/96 – juris Rn. 83).

Gemessen daran gilt auch das Auskunftsverweigerungsrecht des § 40 Abs. 4 Satz 2 BDSG nur für Auskunftspflichtige persönlich und steht juristischen Personen nicht zu. Letztere können sich selbst nicht strafbar machen und das Festsetzen einer Geldbuße gegen sie enthält – für den Schutz vor Selbstbezichtigung wesentlich (vgl. BVerfG, a.a.O. juris Rn. 84) – weder einen Schuldvorwurf noch eine ethische Missbilligung. Beschäftigte und Leitungspersonen eines Unternehmens können sich folglich auf das Auskunftsverweigerungsrecht nur dann berufen, wenn ihnen persönlich strafrechtliche Verfolgung oder ein Bußgeld drohen, d.h., das Auskunftsersuchen muss sich auf das konkrete Verhalten der auskunftspflichtigen Person beziehen, welches möglicherweise eine Straftat oder Ordnungswidrigkeit darstellt. Die Gefahr, dass dem jeweiligen Unternehmen ein Bußgeld nach Art. 83 DSGVO droht, reicht hingegen nicht aus (Nguyen, in: Gola/Heckmann, DSGVO/BDSG, 3. Aufl. 2022, DSGVO Art. 58 Rn. 6; Matzke, in: BeckOK DatenschutzR, 53. Ed. 2025, DS-GVO Art. 58 Rn. 7).

Vereinzelte Erwägungen, den Grundsatz der Selbstbelastungsfreiheit allein aus dem Rechtsstaatsprinzip des Art. 20 Abs. 3 GG oder aus Art. 6 Abs. 1 EMRK bzw. Art. 47 Abs. 2 Satz 1 GRCh herzuleiten und dadurch auch juristischen Personen das Recht zur Auskunftsverweigerung in Fällen möglicher Selbstbelastung zuzubilligen, überzeugen nicht (vgl. OVG Schleswig, Beschluss vom 28. Mai 2021 – 4 MB 14/21 – juris Rn. 33 m.w.N.). Das Recht auf ein faires, rechtsstaatliches Verfahren umfasst den Grundsatz der Selbstbelastungsfreiheit zwar als Teilaspekt. Dieser soll aber die Aussage- und Entschließungsfreiheit des Betroffenen innerhalb des Straf- oder Ordnungswidrigkeitenverfahrens wahren und unzumutbare Konfliktsituationen für – natürliche – Personen verhindern (vgl. BVerfG, Beschluss vom 25. Januar 2022 – 2 BvR 2462/18 – juris Rn. 50). Er steht also nicht unabhängig von dem Schutz der Menschenwürde für sich allein. Da juristische Personen selbst keine Entscheidungen treffen, nicht gegen sich selbst aussagen können und insoweit keines besonderen verfassungsrechtlichen Schutzes ihrer Entscheidungsfreiheit bedürfen, muss auch der staatliche Anspruch auf Schutz von Gemeinwohlbelangen nicht zurücktreten. Bisher haben auch weder der Europäische Menschengerichtshof noch der Europäische Gerichtshof entschieden, dass juristischen Personen aus Art. 6 EMRK oder Art. 47 Abs. 2 Satz 1 GRCh ein Schweigerecht bzw. ein Auskunftsverweigerungsrecht zusteht.

Für den Fall der Klägerin bedeutet dies, dass sie dem Auskunftsheranziehungsbescheid kein Auskunftsverweigerungsrecht entgegenhalten kann. Der Bescheid nimmt sie selbst in Anspruch und richtet sich nicht gegen einen ihrer Beschäftigten oder ihre Geschäftsführung und deren persönliches Verhalten im Rahmen des LettershopVerfahrens. Straf- oder Ordnungswidrigkeitenverfahren gegen natürliche Personen sind weder eingeleitet noch angekündigt. Es gibt noch nicht einmal ein Ordnungswidrigkeitenverfahren gegen die Klägerin selbst.

VG Düsseldorf
Urteil vom 20.11.2025
29 K 3939/23

Das VG Düsseldorf hat entschieden, dass der Betroffene keinen Anspruch auf weitere Ermittlungen der Datenschutzbehörde hat, wenn diese nach Prüfung der Sache keinen Datenschutzverstoß festgestellt hat.

Aus den Entscheidungsgründen:
Die Klage, die sich nach Einwilligung der Beklagten in die von dem Kläger mit Schriftsatz vom 26. Juli 2023 vorgenommene Klageänderung gemäß § 91 Abs. 1 VwGO gegen das Schreiben der Beklagten vom 3. Juli 2023 richtet, hat keinen Erfolg.

Sie ist zwar zulässig, insbesondere als Verpflichtungsklage gemäß § 42 Abs. 1 Alt. 2 VwGO statthaft.

Die von dem Kläger nach sinngemäßer Auslegung (§ 88 VwGO) begehrte, andere Entscheidung über seine Beschwerde stellt – ebenso wie das Schreiben der Beklagten vom 3. Juli 2023 – einen Verwaltungsakt im Sinne von § 35 Satz 1 des Verwaltungsverfahrensgesetzes (VwVfG) dar. Insbesondere zielt es auf die Herbeiführung unmittelbarer Rechtswirkungen ab. Aus der Begründung ergibt sich, dass die Beklagte das Schreiben als Aufsichtsbehörde im Rahmen ihrer Befugnisse nach Art. 58 DSGVO erstellt hat. Dabei ist unschädlich, dass dieses weder als „Bescheid“ noch als „Verfügung“ oder in der ähnlicher Weise bezeichnet wird. Denn inhaltlich stellt es eine auf unmittelbare Rechtswirkung nach außen gerichtete Entscheidung der Beklagten über den weiteren Fortgang – nämlich die Beendigung – des Beschwerdeverfahrens dar. Dementsprechend ist es auch mit einer Rechtsbehelfsbelehrung versehen.

Vgl. zur Einordnung der abschließenden Beschwerdeentscheidung der Aufsichtsbehörde als Verwaltungsakt: VG Düsseldorf, Urteil vom 11. Oktober 2021 – 29 K 7031/19 –, nicht veröffentlicht; VG Düsseldorf, Beschluss vom 8. Januar 2021 – 29 K 7626/19 –, nicht veröffentlicht; VG Mainz, Urteil vom 16. Januar 2020 – 1 K 129/19.MZ –, juris Rn. 26 f. Vgl. auch zur Rechtsverbindlichkeit der Beschlüsse einer Aufsichtsbehörde: EuGH, Urteil vom 07.12.2023 – C-26/22 –, juris Rn. 50.

Der Kläger ist klagebefugt im Sinne von § 42 Abs. 2 VwGO, weil es nach seinem Vorbringen jedenfalls möglich ist, dass er durch die Einstellung des Beschwerdeverfahrens in eigenen subjektiv-öffentlichen Rechten nach Art. 57 Abs. 1 Buchst. f, 77 Abs. 1 DSGVO verletzt ist.

Vgl. VG Hamburg, Urteil vom 1. Juni 2021 – 17 K 2977/19 –, Rn. 41 ff.; VG Ansbach, Urteil vom 7. Dezember 2020 – An 14 K 18.02503 –, juris Rn. 25; OVG Rheinland-Pfalz, Urteil vom 26. Oktober 2020 – 10 A 10613/20 –, juris Rn. 29.

Die Klage ist aber unbegründet. Der Bescheid vom 3. Juli 2023 ist rechtmäßig und verletzt den Kläger nicht in seinen Rechten. Der Kläger hat gegenüber der Beklagten keinen Anspruch auf Neubescheidung seiner Beschwerde vom 23. April 2021 unter Beachtung der Rechtsauffassung des Gerichts (§ 113 Abs. 5 Satz 2 VwGO).

Rechtsgrundlage für die streitgegenständliche Beschwerdeentscheidung ist Art. 57 Abs. 1 Buchst. f DSGVO i. V. m. Art. 77 Abs. 1 DSGVO.

Nach Art. 77 Abs. 1 DSGVO hat jede betroffene Person das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen Vorschriften über den Datenschutz verstößt. Als Datenschutzaufsichtsbehörde muss sich die LDI NRW im Rahmen ihrer Zuständigkeit mit der Beschwerde befassen, den Gegenstand der Beschwerde in angemessenem Umfang untersuchen und den Beschwerdeführer innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung unterrichten (Art. 57 Abs. 1 Buchst. f DSGVO).

Bei dem Recht auf Beschwerde nach Art. 57 Abs. 1 Buchst. f DSGVO i. V. m. Art. 77 Abs. 1 DSGVO handelt es sich um ein subjektiv-öffentliches Recht, aus dem sich ein gerichtlich überprüfbarer, zweistufiger Anspruch ergibt.

Zunächst ist zu prüfen, ob die Aufsichtsbehörde in angemessenem Umfang überprüft hat, ob ein Verstoß gegen die Datenschutzgrundverordnung vorliegt. Die Aufsichtsbehörde ist nach Art. 57 Abs. 1 Buchst. f DSGVO verpflichtet, eine Beschwerde mit aller gebotenen Sorgfalt zu bearbeiten. Hierzu verleiht ihr Art. 58 Abs. 1 DSGVO weitreichende Untersuchungsbefugnisse.

Vgl. EuGH, Urteil vom 16. Juli 2020 – C-311/18 –, juris, Rn.109, 111.

Über den Einsatz der sich aus Art. 58 Abs. 1 DSGVO ergebenden Untersuchungsbefugnisse sowie den Umfang der Untersuchung entscheidet die Aufsichtsbehörde nach pflichtgemäßem Ermessen entsprechend der Sachlage im Einzelfall.

Vgl. BeckOK Datenschutzrecht, Wolff/Brink/v. Ungern-Sternberg, 49. Edition, Stand 01.05.2024, DSGVO Art. 57 Rz 17.

Stellt die Aufsichtsbehörde sodann am Ende ihrer Untersuchung einen Verstoß gegen die Bestimmungen dieser Verordnung fest, ist sie verpflichtet, in geeigneter Weise zu reagieren, um der festgestellten Unzulänglichkeit abzuhelfen, wobei alle Maßnahmen insbesondere im Hinblick auf die Gewährleistung der Einhaltung der Verordnung geeignet, erforderlich und verhältnismäßig sein sollten und die Umstände des jeweiligen Einzelfalls zu berücksichtigen sind. Zu diesem Zweck werden in Art. 58 Abs. 2 DSGVO die verschiedenen der Aufsichtsbehörde zur Verfügung stehenden Abhilfebefugnisse aufgezählt.

Vgl. EuGH, Urteil vom 7. Dezember 2023 – C-26/22 –, juris Rn. 47 ff.

Hiervon ausgehend richtet sich die gerichtliche Prüfung der Beschwerdeentscheidung nach § 114 Abs. 1 VwGO.

Bei Ermessensentscheidungen hat das Gericht nur zu prüfen, ob die Verwaltung den ihr eingeräumten Ermessensspielraum ausgeschöpft hat, ob sie die nach dem Zweck der Ermessensermächtigung für die Entscheidung relevanten Gesichtspunkte bei ihrer Entscheidung berücksichtigt hat und ob sie die gesetzlichen Grenzen der Ermessensbetätigung überschritten hat. Das Gericht darf die getroffene Entscheidung nur anhand derjenigen Erwägungen überprüfen, die die Behörde tatsächlich angestellt hat, wozu auch in Einklang mit § 114 Satz 2 VwGO nachgeschobene Erwägungen zählen.

Vgl. BVerwG, Urteil vom 11. Mai 2016 - 10 C 8/15 -, juris Rn. 13 m.w.N.

Nach diesem Maßstab sind Ermessensfehler bei der Entscheidung der Beklagten, das Beschwerdeverfahren einzustellen, nicht erkennbar.

Die Beklagte hat ihr Ermessen hinsichtlich des Umfangs der Ermittlungen erkannt und ausgeübt. Insbesondere hat sie den relevanten Sachverhalt in angemessenem Umfang untersucht und die geeigneten und erforderlichen Aufklärungsmaßnahmen nach Art. 58 Abs. 1 Buchst. e DSGVO ergriffen. Zur Ermittlung des für den Datenschutzrechtsverstoß Verantwortlichen hat sie Auskunftsersuchen an das Notariat gerichtet und die Stellungnahmen inhaltlich ausgewertet.

Die auf der Grundlage dieser Untersuchung getroffene Annahme, das Vorliegen eines Datenschutzverstoßes lasse sich nicht abschließend ermitteln, ist im Ergebnis nicht zu beanstanden. Denn das Ergreifen weiterer Aufklärungsmaßnahmen war schon deswegen nicht angezeigt, weil die streitgegenständliche E-Mail nicht an eine falsche E-Mail-Adresse gesendet wurde. Dies steht nach den vom Notar veranlassten technischen Untersuchungen fest. Die EDV-Beratung des Notars konnte nach einer Auswertung des alten Servers keinen E-Mail-Verlauf mit einem Versand an die Adresse xxxxxx00@xxxxx.com ermitteln. Diese Erkenntnis korrespondiert mit den Angaben des Notars, wonach E-Mails direkt aus der Notariatssoftware ARNOtop heraus verschickt werden. In der vom Notar verwendeten Software ist im Kontaktdatenblatt des Klägers aber die richtige E-Mail-Adresse hinterlegt, sodass davon auszugehen ist, dass die E-Mail vom 21. Januar 2021 an die richtige Adresse übermittelt wurde. Eine Änderung des Kontaktdatenblattes ist nicht erfolgt. Dementsprechend kam die E-Mail weder als unzustellbar zurück noch erfolgte eine sonstige Reaktion des vermeintlichen Adressaten. Für den Versand an die richtige Adresse spricht zudem, dass es als unmittelbare Reaktion auf die E-Mail durch die vorgesehenen Käufer, der Kläger und sein Vater, im Notariat eine Terminabsage gegeben hat. Auch dies lässt darauf schließen, dass die E-Mail dem Kläger tatsächlich zugegangen ist.

Soweit in den Stellungnahmen des Notars teilweise andere E-Mail-Adressen genannt werden, handelt es sich ersichtlich um Verwechslungen sehr ähnlicher E-Mail-Adressen (xxxxxxx00@xxxxx.com, xxxxxx00@xxxxx.com, xxxxxx@xxxxx.com, xxxxxxx@xxxxx.com), die auch anderen Beteiligten einschließlich der Beklagten unterlaufen sind. Sie vermögen den objektiven technischen Befund der IT-Fachleute, wie er im Schreiben der Rechtsanwältin des Notars vom 14. März 2023 wiedergegeben wird (Bl. 196 der Beiakte), nicht infrage zu stellen. An der inhaltlichen Richtigkeit der Angaben des Notars – sei es das Ergebnis der Auswertung des alten Servers, sei es die Darstellung des E-Mail-Versands durch die Notariatssoftware – hat das Gericht keine Zweifel. Es gibt keine Anhaltspunkte für eine etwaige Verschleierung oder Vertuschung des Sachverhalts durch Dr. U.. Im Gegenteil hat er durch Auswertung auch des alten, bereits ausgetauschten Servers an der Aufklärung mitgewirkt.

Eine andere Beurteilung ergibt sich schließlich nicht daraus, dass die Kopfzeile der vom Makler weitergeleiteten E-Mail vom 21. Februar 2021 die falsche E-Mail-Adresse xxxxxx00@xxxxx.com ausweist. Dabei kann es sich lediglich um einen Anzeigenamen handeln. Es ist nicht auszuschließen, dass der Text vom Makler vor der Weiterleitung an den Kläger verändert worden ist. Denkbar ist auch, dass der Provider (hier: Google Mail) die Adresse xxxxxx00@xxxxx.com und die Adresse xxxxxxx00@xxxxx.com als dieselbe Adresse behandelt und zustellt.

Eine weitere Prüfung musste die Beklagte bei dieser Sachlage nicht mehr durchführen. Insbesondere verlangt die Pflicht nach Art. 57 Abs. 1 Buchst. f DSGVO, den Gegenstand der Beschwerde in angemessenem Umfang zu untersuchen, keine weiteren Ermittlungen, wenn ein Datenschutzverstoß – wie hier – aufgrund der bereits durchgeführten, umfassenden Untersuchung hinreichend sicher ausgeschlossen werden kann. Auf die Metadaten der Original-E-Mail vom 21. Februar 2021 kommt es daher nicht mehr an. Ob im Hinblick auf die Verschwiegenheitspflicht nach § 18 Abs. 1 BNotO weitere Untersuchungsbefugnisse der Beklagte gegenüber dem Notar bestehen, kann ebenfalls offenbleiben. Dass die Beklagte ihre Entscheidung, das Beschwerdeverfahren einzustellen, damit begründet, ein Datenschutzverstoß könne nicht abschließend ermittelt werden, ist unschädlich. In der Sache geht auch sie davon aus, dass ein Datenschutzverstoß nicht positiv festgestellt werden kann.


Den Volltext der Entscheidung finden Sie hier:

VG Köln
Urteil vom 22.05.2025
13 K 1419/23

Wir hatten bereits in dem Beitrag VG Köln: Bundespresseamt darf "Facebook-Fanpage" zur Öffentlichkeitsarbeit für die Bundesregierung betreiben - Untersagungsverfügung der BfDI rechtswidrig über die Entscheidung berichtet.

Leitsätze des Gerichts:
1. Zur Einholung einer Einwilligung nach § 25 Abs. 1 Satz 1 TTDSG verpflichtet ist jede natürliche oder juristische Person, die kausal die Ausführung des Quelltexts veranlasst, der die Informationen speichert oder ausliest, und der deshalb die Realisierung der Distanzgefahr durch den Fernzugriff, vor dem der Endnutzer geschützt werden soll, zuzurechnen ist. Hierfür ist ein hinreichend enger Wirkungs- und Ursachenzusammenhang zwischen der Durchführung des Fernzugriffs und dem Verhalten der Person zu verlangen.

2. Die gemeinsame datenschutzrechtliche Verantwortlichkeit gemäß Art. 4 Nr. 7 Halbs. 1, Art. 26 Abs. 1 Satz 1 DSGVO setzt eine gemeinsame Festlegung von sowohl Zwecken als auch Mitteln der konkreten Datenverarbeitung voraus.

3. Ob die Mittel der Datenverarbeitung gemeinsam festgelegt werden, ist auf Grundlage einer Gesamtwürdigung der Umstände des Einzelfalls zu beurteilen. Die bloße Mitursächlichkeit des Verhaltens einer Person für eine Verarbeitung personenbezogener Daten genügt für die Annahme einer gemeinsamen Mittelfestlegung nicht.

4. Tauglicher Adressat einer Verwarnung auf Grundlage des Art. 58 Abs. 2 Buchst. b DSGVO ist der für den vollendeten Datenschutzverstoß Verantwortliche oder der Auftragsverarbeiter nur dann, wenn er im Zeitpunkt des Erlasses des Verwarnungsbescheides im Hinblick auf die als datenschutzwidrig monierte Datenverarbeitung noch Verantwortlicher oder Auftragsverarbeiter ist

Den Volltext der Entscheidung finden Sie hier:

VG Köln
Urteil vom 22.05.2025
13 K 1419/23

Das VG Köln hat entschieden, dass das Bundespresseamt eine "Facebook-Fanpage" zur Öffentlichkeitsarbeit für die Bundesregierung betreiben darf und entschieden, dass die Untersagungsverfügung der BfDI rechtswidrig ist.

Die Pressemitteilung des Gerichts:
VG Köln: Bundesregierung darf „Facebook-Fanpage“ zur Öffentlichkeitsarbeit weiterbetreiben

Das Presse- und Informationsamt der Bundesregierung darf seine „Facebook-Fanpage“ weiterbetreiben. Dies hat das Verwaltungsgericht Köln aufgrund der mündlichen Verhandlung vom 17. Juli 2025 entschieden und damit den gegen die Bundesbeauftragte für den Datenschutz und die Informationssicherheit (BfDI) gerichteten Klagen des Bundes und von „Meta“ (vormals „Facebook“) stattgegeben.

Das Bundespresseamt betreibt eine „Fanpage“ in dem sozialen Netzwerk „Facebook“. Dort informiert es über aktuelle politische Tätigkeiten der Bundesregierung. Bei dem Besuch der „Fanpage“ können auf den Endgeräten der Nutzenden sogenannte „Cookies“ platziert werden.

Die BfDI untersagte dem Bundespresseamt 2023 den Betrieb seiner „Facebook“-Seite („Fanpage“) wegen Gesetzesverstößen, unter anderem gegen die Datenschutzgrundverordnung (DSGVO). Die BfDI vertrat die Auffassung, wegen der nicht datenschutzkonformen Ausgestaltung des von „Meta“ genutzten „Cookie-Banners“ liege keine wirksame Einwilligung für die Speicherung und das Auslesen bestimmter „Cookies“ vor. Nicht nur „Meta“, sondern auch das Bundespresseamt als Betreiber der „Fanpage“ sei gesetzlich verpflichtet, eine Einwilligung des jeweiligen Benutzers einzuholen. Außerdem sei das Bundespresseamt gemeinsam mit „Meta“ verantwortlich, dafür Sorge zu tragen, dass die Datenverarbeitungen auf einer ausreichenden Rechtsgrundlage wie einer Einwilligung beruhten.

Gegen den an das Bundespresseamt gerichteten Bescheid haben sich sowohl die Bundesregierung als auch „Meta“ mit ihren Klagen gewandt, denen das Gericht nunmehr überwiegend stattgegeben hat. Zur Begründung führt das Gericht im Wesentlichen aus:

Nicht das Bundespresseamt, sondern allein „Meta“ ist zur Einholung einer Einwilligung der Endnutzenden für die Platzierung von „Cookies“ verpflichtet. Es besteht kein ausreichender Ursachen- und Wirkungszusammenhang zwischen dem Betrieb der „Fanpage“ durch das Bundespresseamt und dem mit der Speicherung und dem Auslesen der „Cookies“ verbundenen Fernzugriff auf die Endgeräte der Nutzer. Die „Cookies“ können zwar bei Gelegenheit des Besuches einer „Fanpage“, ebenso jedoch bei dem Besuch einer jeden anderen „Facebook-Seite“ platziert werden.

Auch nach der DSGVO sind „Meta“ und das Bundespresseamt nicht gemeinsam für die beanstandeten Datenverarbeitungen verantwortlich. Der Beitrag des Bundespresseamtes zur Speicherung und zum Auslesen der „Cookies“ erschöpft sich in dem Betrieb der „Fanpage“. Insbesondere kann das Bundespresseamt keine Parameter für die Platzierung der „Cookies“ und die Auswertung der erhobenen Daten vorgeben. Die bloße Ermöglichung einer Datenverarbeitung begründet nach Auffassung der Kammer indessen nicht die notwendige gemeinsame Festlegung der Mittel der Datenverarbeitung.

Das Gericht hat die Berufung zugelassen, über die das Oberverwaltungsgericht für das Land Nordrhein-Westfalen mit Sitz in Münster entscheiden würde, wenn die Beteiligten Berufung einlegen.

Aktenzeichen: 13 K 1419/23

VG Ansbach
Beschluss v. 19.02.2025
AN 14 K 22.02562

Das VG Ansbach hat dem EuGH zur Vorabentscheidung vorgeleget, ob ein Auskunftsanspruch aus Art. 15 DSGVO gegen eine Datenschutzbehörde besteht.

Tenor der Entscheidung:
Dem Gerichtshof der Europäischen Union werden nach Art. 267 AEUV folgende Fragen zur Vorabentscheidung vorgelegt:

1. Ist Art. 15 VO (EU) 2016/679 i.V.m. Art. 4 Nr. 7 VO (EU) 2016/679 dahingehend auszulegen, dass eine Aufsichtsbehörde nach Art. 4 Nr. 21 VO (EU) 2016/679, die im Rahmen eines von einer betroffenen Person eingeleiteten Beschwerdeverfahrens nach Art. 77 VO (EU) 2016/679 tätig wird, gleichzeitig im Sinne von Art. 15 VO (EU) 2016/679 i.V.m. Art. 4 Nr. 7 VO (EU) 2016/679 „Verantwortlicher“ und damit auf Grundlage des Art. 15 VO (EU) 2016/679 gegenüber der betroffenen Person zur Auskunft verpflichtet ist ?

2. Für den Fall, dass Frage 1 mit „ja“ beantwortet wird:
Ist das Unionsrecht, insbesondere Art. 23 VO (EU) 2016/679, dahingehend auszulegen, dass es einer nationalen Regelung – wie dem im Ausgangsverfahren streitigen Art. 20 Abs. 2 BayDSG – entgegensteht, wonach Auskunfts- oder Einsichtsrechte hinsichtlich Akten und Dateien der Aufsichtsbehörden nach Art. 4 Nr. 21 VO (EU) 2016/679 pauschal nicht bestehen ?

Den Volltext der Entscheidung finden Sie hier:

EuGH
Urteil vom 13.02.2025
C-383/23
ILVA A/S

Der EuGH hat entschieden, dass eine Geldbuße nach Art. 83 Abs. 4 bis 6 d DSGVO auf Basis des weltweiten Jahresumsatz des gesamten Konzerns bestimmt werden kann.

Tenor der Entscheidung:
Art. 83 Abs. 4 bis 6 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) in Verbindung mit dem 150. Erwägungsgrund dieser Verordnung ist dahin auszulegen, dass

der Begriff „Unternehmen“ im Sinne dieser Vorschriften dem Begriff „Unternehmen“ im Sinne der Art. 101 und 102 AEUV entspricht, so dass der Höchstbetrag einer Geldbuße, die gegen einen Verantwortlichen für personenbezogene Daten, der ein Unternehmen ist oder einem Unternehmen angehört, wegen eines Verstoßes gegen die Verordnung 2016/679 verhängt wird, auf der Grundlage eines Prozentsatzes des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs des Unternehmens bestimmt wird. Der Begriff „Unternehmen“ ist auch zu berücksichtigen, um die tatsächliche oder materielle Leistungsfähigkeit des Adressaten der Geldbuße zu beurteilen und so zu überprüfen, ob die Geldbuße sowohl wirksam und verhältnismäßig als auch abschreckend ist.

Den Volltext der Entscheidung finden Sie hier:

VG Düsseldorf
Urteil vom 11.11.2024
29 K 4853/22

Das VG Düsseldorf hat entschieden, dass einen Betroffener keinen Anspruch gegen die datenschutzrechtliche Aufsichtsbehörde auf Abhilfemaßnahmen nach Art 58 Abs. 2 DSGVO hat, wenn der Verantwortliche für den Datenschutzverstoß nicht ermittelt werden kann.

Aus den Entscheidungsgründen:
Rechtsgrundlage der streitgegenständlichen Beschwerdeentscheidung ist Art. 57 Abs. 1 Buchst. f DSGVO i. V. m. Art. 77 Abs. 1 DSGVO, sofern das Landgericht U. und die Staatsanwaltschaft U. Verwaltungsaufgaben wahrnehmen (§ 5 Abs. 4 DSG NRW). Soweit durch das Landgericht U. an die Staatsanwaltschaft U. personenbezogene Daten zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit verarbeitet werden, ist der Anwendungsbereich der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörde zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates vom 27. April 2016 (JI-RL) eröffnet. Über die Regelungen in §§ 60 Abs. 2, 61 DSG NRW richtet sich die Beschwerdeentscheidung ebenfalls nach Art. 57 Abs. 1 Buchst. f DSGVO i.V.m. Art. 77 Abs. 1 DSGVO.

Aus diesen Rechtsnormen ergibt sich nicht lediglich ein petitionsähnliches Recht in dem Sinne, dass die gerichtliche Kontrolle darauf beschränkt wäre, ob sich die Aufsichtsbehörde mit der Beschwerde befasst, den Beschwerdegegenstand in angemessenem Umfang untersucht und den Beschwerdeführer über das Ergebnis der Prüfung unterrichtet hat.

So noch: OVG Rheinland-Pfalz, Urteil vom 26. Oktober 2020 – 10 A 10613/20 –, juris Rn. 37 ff.; VGH Baden-Württemberg, Urteil vom 22. Januar 2020 – 1 S 3001/19 –, juris Rn. 51,

Stattdessen unterliegt die Entscheidung der Aufsichtsbehörde einer vollständigen inhaltlichen Überprüfung durch das Gericht. Insbesondere ist jede Aufsichtsbehörde nach Art. 57 Abs. 1 Buchst. f DSGVO verpflichtet, sich in ihrem Hoheitsgebiet mit Beschwerden zu befassen, die jede Person gem. Art. 77 Abs. 1 DSGVO einlegen kann, wenn sie der Ansicht ist, dass eine Verarbeitung sie betreffender personenbezogener Daten gegen diese Verordnung verstößt, und den Gegenstand der Beschwerde in angemessenem Umfang zu untersuchen. Die Aufsichtsbehörde muss eine solche Beschwerde mit aller gebotenen Sorgfalt bearbeiten. Hinsichtlich der Bearbeitung von Beschwerden verleiht Art. 58 Abs. 1 DSGVO jeder Aufsichtsbehörde weitreichende Untersuchungsbefugnisse. Stellt eine solche Behörde am Ende ihrer Untersuchung einen Verstoß gegen die Bestimmungen dieser Verordnung fest, ist sie verpflichtet, in geeigneter Weise zu reagieren, um der festgestellten Unzulänglichkeit abzuhelfen. Zu diesem Zweck werden in Art. 58 Abs. 2 DSGVO die verschiedenen der Aufsichtsbehörde zur Verfügung stehenden Abhilfebefugnisse aufgezählt. Hinsichtlich dieser in Art. 58 Abs. 2 DSGVO genannten Abhilfebefugnisse verfügt die Behörde indes über ein Ermessen in Bezug auf die geeigneten und erforderlichen Mittel, welches das Gericht nur dahingehend überprüft, ob die Aufsichtsbehörde die Grenzen ihres Ermessens eingehalten hat.

Vgl. EuGH, Urteil vom 7. Dezember 2023 – C-26/22 –, juris Rn. 47 ff. sowie bereits: BFH, Urteil vom 12. Dezember 2023 – IX R 33/21 –, juris Rn. 14 ff.; BSG, Urteil vom 20. Januar 2021 – B 1 KR 15/20 R –, juris Rn. 111; Hamburgisches OVG, Urteil vom 7. Oktober 2019 – 5 Bf 291/17 –, juris Rn. 69 ff.

Unter Berücksichtigung der vorstehenden Ausführungen handelt es sich bei dem Recht auf Beschwerde nach Art. 57 Abs. 1 Buchst. f DSGVO i. V. m. Art. 77 Abs. 1 DSGVO um ein subjektiv-öffentliches Recht, aus dem sich ein gerichtlich überprüfbarer, zweistufiger Anspruch ergibt. Zunächst ist zu prüfen, ob die Aufsichtsbehörde in angemessenem Umfang überprüft hat, ob ein Verstoß gegen die Datenschutzgrundverordnung vorliegt. Für den Fall, dass ein Verstoß festgestellt wird, besteht ein Anspruch des Klägers auf ermessensfehlerfreie Entscheidung über ein aufsichtsbehördliches Einschreiten der Beklagten.

Vgl. BFH, Urteil vom 12. Dezember 2023 – IX R 33/21 –, juris Rn. 32; VG Hamburg, Urteil vom 1. Juni 2021 – 17 K 2977/19 –, juris Rn. 53.

Soweit der Kläger mit seinem Hauptantrag einen Anspruch auf Verhängung eines Verbots der Datenverarbeitung in Form der Übermittlung seiner personenbezogenen Daten aus den ihn betreffenden Verfahrensakten an Medienvertreter und in Form der Vervielfältigung der Verfahrensakten gegenüber dem „Rechtsträger des Landgerichts U. sowie der Staatsanwaltschaft beim Landgericht U.“ begehrt, kann dahinstehen, ob die Beklagte einen Verstoß gegen datenschutzrechtliche Vorschriften in angemessenem Umfang überprüft hat. Denn ein Anspruch des Klägers gemäß Art. 58 Abs. 2 Buchst. f DSGVO oder gemäß § 60 Abs. 3 DSG NRW entsprechend Art. 58 Abs. 2 Buchst. f DSGVO auf ein aufsichtsrechtliches Tätigwerden der Beklagten gegenüber dem Rechtsträger des Landgerichts U. und der Staatsanwaltschaft U. – nach Auffassung des Klägers das Ministerium für Justiz des Landes Nordrhein-Westfalen – ist bereits deshalb nicht gegeben, weil dieser nicht Verantwortlicher im Sinne der datenschutzrechtlichen Vorschriften ist. Vielmehr sind das Landgericht U. und die Staatsanwaltschaft U. datenschutzrechtlich jeweils selbst verantwortliche Stellen.

Da der Beklagte als Aufsichtsbehörde allein die Einhaltung und Überwachung der datenschutzrechtlichen Bestimmungen obliegt (vgl. §§ 26, 60 DSG NRW), richtet sich die Verantwortlichkeit für einen Datenschutzverstoß nicht nach zivil- oder strafrechtlichen Vorschriften, sondern allein nach Datenschutzrecht.

Die Rechte und Pflichten aus der DSGVO knüpfen an den Verantwortlichen im datenschutzrechtlichen Sinne an.

Vgl. Schild, in: BeckOK Datenschutzrecht, Wolff/Brink/v.Ungern-Sternberg, 49. Edition, Stand 1. August 2024, Art. 4 Rn. 88.

Der Verantwortliche ist nach Art. 5 Abs. 2 DSGVO für die Einhaltung der in Art. 5 Abs. 1 DSGVO genannten Grundsätze für die Verarbeitung personenbezogener Daten verantwortlich und müssen deren Einhaltung nachweisen können. Nur ihnen gegenüber kann die Beklagte als Aufsichtsbehörde demzufolge Maßnahmen ergreifen. Nur der für die Datenverarbeitung Verantwortliche hat die Möglichkeit, auf die Datenverarbeitung einzuwirken und etwaige Verstöße abzustellen.

„Verantwortlicher“ ist nach der gesetzlichen Definition in Art. 4 Nr. 7 DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche bzw. können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden.

Nichts Anderes gilt im Anwendungsbereich der JI-RL und des 3. Teils des DSG NRW, sodass offenbleiben kann, auf welcher Grundlage die (rechtswidrige) Datenverarbeitung durch Weitergabe an Medienvertreter erfolgte. Nach der bezogen auf Behörden gleichlautenden Vorschrift ist „Verantwortlicher“ gemäß Art. 3 Nr. 8 JI-RL, § 36 Nr. 9 DSG NRW die zuständige Behörde, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. „Zuständige Behörde“ wiederum ist nach Art. 3 Nr. 7 JI-RL, § 36 Nr. 8 Buchst. a DSG NRW jede staatliche Stelle, die personenbezogene Daten zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit oder Ordnung verarbeitet.

In Bezug auf Behörden oder öffentliche Stellen wird sowohl nach der DSGVO als auch nach der JI-RL hinsichtlich des „Verantwortlichen“ auf die Behörde oder staatliche Stelle als solche abgestellt.

Vgl. Schild, in: BeckOK Datenschutzrecht, Wolff/Brink/v.Ungern-Sternberg, 49. Edition, Stand 1. August 2024, Art. 4 Rn. 88.

Das Landgericht U. und die Staatsanwaltschaft U. sind Behörde bzw. staatliche Stelle in diesem Sinne. Als untere Justizbehörden nehmen das Landgericht U. und die Staatsanwaltschaft U. Verwaltungsaufgaben wahr (§ 3 Abs. 2 Gesetz über die Justiz im Land Nordrhein-Westfalen (Justizgesetz Nordrhein-Westfalen – JustG NRW)). Soweit die Gerichte und die Strafverfolgungsbehörden als Organe der Rechtspflege tätig werden, zählen sie zu den öffentlichen Stellen.

Vgl. Eßer, in: Schwartmann/Pabst, Landesdatenschutzgesetz Nordrhein-Westfalen, § 36 Rn. 127.

Die für die Datenverarbeitung beim Landgericht U. und bei der Staatsanwaltschaft U. verantwortliche Stelle ist hiernach das Landgericht U. bzw. die Staatsanwaltschaft U. selbst, entweder, soweit sie Verwaltungsaufgaben wahrnehmen, oder weil sie mit der Bearbeitung der betreffenden Rechtssache befasst sind.

Das schließt die Qualifizierung des „Rechtsträgers des Landgerichts U. bzw. der Staatsanwaltschaft beim Landgericht U.“ – sei es das Ministerium der Justiz des Landes Nordrhein-Westfalen, sei es eine andere übergeordnete staatliche Stelle – als „Verantwortlicher“ für die Datenverarbeitung beim Landgericht U. und bei der Staatsanwaltschaft U. und infolgedessen diesem gegenüber die Verhängung eines Verbots der Datenverarbeitung aus. Weder die DSGVO noch die JI-RL stellen bei der Bestimmung des Verantwortlichen auf eine übergeordnete Behörde ab. Vielmehr entscheiden sowohl das Landgericht U. als auch die Staatsanwaltschaft U. als Behörde bzw. staatliche Stelle eigenständig über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten in ihrem Geschäftsbereich. Sind sie allein für die Datenverarbeitung in ihrem Bereich verantwortlich, scheidet auch eine vom Kläger aufgeworfene gemeinsame datenschutzrechtliche Verantwortlichkeit mit dem Ministerium der Justiz aus.

Der Hilfsantrag ist ebenfalls unbegründet. Da ein Adressat aufsichtsrechtlicher Maßnahmen nicht genannt wird, legt das Gericht den Hilfsantrag des Klägers dahingehend aus, dass er die Verpflichtung der Beklagten begehrt, gegenüber dem Verantwortlichen geeignete Maßnahmen zu ergreifen, um die Weitergabe personenbezogener Daten des Klägers im Geschäftsbereich des Rechtsträgers des LG U. und/oder der Staatsanwaltschaft beim LG U. geführten Verfahrensakten an Dritte zu unterbinden.

Auch mit dem so verstandenen Antrag dringt der Kläger nicht durch.

Die Weitergabe personenbezogener Daten des Klägers aus diesen betreffenden Verfahrensakten vor Verlesung in der Hauptverhandlung an Medienvertreter dürfte zwar objektiv eine rechtswidrige Datenverarbeitung im Sinne von Art. 4 Nr. 2 DSGVO in Form der Offenlegung durch Übermittlung oder Verbreitung darstellen. Weder hat der Kläger in die Übermittlung oder Verbreitung seiner Daten eingewilligt (Art. 6 Abs. 1 Satz 1 Buchst. a DSGVO), noch ist die Übermittlung oder Verbreitung der Anklageschrift und Teilen der Verfahrensakte an die Presse zur Wahrnehmung der Aufgaben der Justiz erforderlich (Art. 6 Abs. 1 Satz 1 Buchst. c und e DSGVO). Dasselbe gilt, soweit in Umsetzung der JI-RL der Anwendungsbereich des DSG NRW eröffnet sein sollte, und es sich um die Verarbeitung personenbezogener Daten durch das Landgericht U. und die Staatsanwaltschaft U. im Rahmen ihrer Aufgabenwahrnehmung zur Verhütung, Ermittlung, Aufdeckung, Verfolgung und Ahndung von Straftaten oder Ordnungswidrigkeiten und der Strafvollstreckung handelt (§ 35 Abs. 1 Satz 1 Nr. 3 DSG NRW). Gemäß § 37 Nr. 2 DSG NRW müssen personenbezogene Daten für festgelegte, eindeutige und rechtmäßige Zwecke erhoben und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise verarbeitet werden. Eine schriftliche Einwilligung (§ 38 DSG NRW) des Klägers in die Verbreitung seiner personenbezogenen Daten an die Presse liegt nicht vor.

Gleichwohl hat der Kläger auf den Erlass aufsichtsrechtlicher Maßnahmen keinen Anspruch, weil der Verantwortliche für die Verletzung des Schutzes seiner personenbezogenen Daten nicht bekannt ist. Es steht nicht fest, ob die rechtswidrige Verbreitung der Anklageschrift und von Teilen der Verfahrensakte im Geschäftsbereich des Landgerichts U. oder im Geschäftsbereich der Staatsanwaltschaft U. oder durch eine andere verantwortliche Stelle oder Person erfolgt ist. Der Präsident des Landgerichts U. gab auf das an ihn gerichtete Auskunftsersuchen der Beklagten nach Art. 58 Abs. 1 Buchst. e DSGVO hin an, dass die Prozessakte oder Teile hiervon Vertretern der Presse weder im Rahmen der Öffentlichkeitsarbeit noch durch die zuständige Kammer zugänglich gemacht worden seien. Die Leitende Oberstaatsanwältin im U. verwies in ihrer Auskunft auf den Bescheid der Generalstaatsanwältin in D. vom 14. Juli 2021, wonach es keine zureichenden tatsächlichen Anhaltspunkte für eine strafbare Informationsweitergabe durch die Staatsanwaltschaft U. gebe.

Eine Wahlfeststellung, wie sie der Kläger ins Spiel bringt, kommt von vorneherein nicht in Betracht. Das Rechtsinstitut der Wahlfeststellung setzt in verfahrensrechtlicher Hinsicht u.a. die Gewissheit der Verwirklichung eines von mehreren Strafgesetzen durch den Beschuldigten voraus.

Vgl. Jens Bülte/​Gerhard Dannecker/​Eric Hilgendorf/​Florian Jeßberger/​Bernd Schünemann/​Jan C. Schuhr/​Tonio Walter/​Thomas Weigend/​Gerhard Werle, in: Leipziger Kommentar zum StGB, 13. Auflage, Anhang zu § 1 Wahlfeststellung, IV Nr. 1.

An der Gewissheit, wer den Datenschutzverstoß begangen hat, fehlt es aber gerade.

Das schließt die Ergreifung von Abhilfemaßnahmen nach Art. 58 Abs. 2 DSGVO durch die Beklagte aus. Lässt sich ein Verantwortlicher für den Datenschutzverstoß nicht feststellen, kann die Beklagte als Aufsichtsbehörde weder auf Abhilfe hinwirken noch kann sie gemäß den in der Datenschutzgrundverordnung vorgesehenen Möglichkeiten eine Maßnahme oder Sanktion erlassen.

Die Beklagte konnte den Verantwortlichen auch nicht ermitteln. Das Absehen von weiteren Aufklärungsmaßnahmen ist nicht zu beanstanden.

Um bewerten zu können, ob eine Datenverarbeitung rechtswidrig ist und ob aufsichtsrechtliche Maßnahmen zu ergreifen sind, muss die Aufsichtsbehörde den Sachverhalt ermitteln und alle zur Ermittlung und Überprüfung des Verstoßes erforderlichen Umstände aufklären. Dazu gehört auch die Klärung, wer den möglichen Datenschutzverstoß begangen hat. Denn wenn der Verantwortliche für die Rechtsverletzung nicht feststeht, kommen Abhilfebefugnisse der Aufsichtsbehörde nach Art. 58 Abs. 2 DSGVO mit dem Ziel, den Verstoß abzustellen, von vornherein nicht in Betracht.

Welcher Untersuchungsumfang im Rahmen des Amtsermittlungsgrundsatzes bei der Bearbeitung einer Beschwerde als "in angemessenen Umfang" anzusehen ist, regelt Art. 57 DSGVO nicht. Aus Erwägungsgrund 141 Satz 2 der DSGVO folgt, dass die Untersuchung vorbehaltlich gerichtlicher Überprüfung so weit gehen soll, wie dies im Einzelfall angemessen ist. Maßstab für den Umfang der Ermittlungen sind danach insbesondere die individuelle Bedeutung der Sache und die Schwere des in Rede stehenden Verstoßes. Insoweit steht der Aufsichtsbehörde ein Ermessen zu.

Bundesfinanzhof (BFH), Urteil vom 12. Dezember 2023 – IX R 33/21 –, juris Rn. 30; BeckOK Datenschutzrecht, Wolff/Brink/v. Ungern-Sternberg, 49. Edition, Stand 01.05.2024, DSGVO Art. 57 Rz 17; Boehm in Kühling/Buchner, DSGVO BDSG, 4. Aufl. 2024, Art. 57 DSGVO Rz 11 f; Körffer in Paal/Pauly, DS-GVO BDSG, 3. Aufl. 2021, Art. 77 DSGVO Rz 5.

Die gerichtliche Prüfung richtet sich demnach nach § 114 Abs. 1 VwGO.

Bei Ermessensentscheidungen hat das Gericht nur zu prüfen, ob die Verwaltung den ihr eingeräumten Ermessensspielraum ausgeschöpft hat, ob sie die nach dem Zweck der Ermessensermächtigung für die Entscheidung relevanten Gesichtspunkte bei ihrer Entscheidung berücksichtigt hat und ob sie die gesetzlichen Grenzen der Ermessensbetätigung überschritten hat. Das Gericht darf die getroffene Entscheidung nur anhand derjenigen Erwägungen überprüfen, die die Behörde tatsächlich angestellt hat, wozu auch in Einklang mit § 114 Satz 2 VwGO nachgeschobene Erwägungen zählen.

Vgl. BVerwG, Urteil vom 11. Mai 2016 - 10 C 8/15 -, juris Rn. 13 m.w.N.

Nach diesem Maßstab sind Ermessensfehler bei der Entscheidung der Beklagten, von weiteren Aufklärungsmaßnahmen abzusehen, nicht erkennbar.

Den Volltext der Entscheidung finden Sie hier: