BECKMANN UND NORDA - Rechtsanwälte Bielefeld

VG Dresden
Urteil vom 05.11.2025
6 K 790/23

Das VG Dresden hat enstchieden, dass das bloße Hinweisschreiben einer Datenschutzbehörde kein rechtsverbindlicher Beschluss und daher gerichtlich nicht überprüfbar ist.

Aus den Entscheidungsgründen:
Die Klage hat keinen Erfolg, da sie unzulässig ist.

Gemäß § 20 Abs. 1 Satz 1 BDSG ist für Streitigkeiten zwischen einer natürlichen oder einer juristischen Person und einer Aufsichtsbehörde des Bundes oder eines Landes über die Rechte gemäß Art. 78 Abs. 1 und Abs. 2 der Verordnung (EU) 2016/679 (DS-GVO) der Verwaltungsrechtsweg gegeben.

Die Zuständigkeit des Verwaltungsgerichts Dresden ergibt sich sachlich aus § 45 VwGO und örtlich aus § 20 Abs. 3 BDSG. Hiernach ist für ein Verfahren nach § 20 Abs. 1 Satz 1 BDSG das Verwaltungsgericht zuständig, in dessen Bezirk die Aufsichtsbehörde ihren Sitz hat. Die Beklagte als Aufsichtsbehörde nach Art. 51 DS-GVO, § 40 BDSG und § 14 Abs. 2 SächsDSDG hat ihren Sitz in Dresden.

Die Klage ist nicht als Anfechtungsklage im Sinne des § 20 Abs. 2 BDSG in Verbindung mit § 42 Abs. 1 Alt. 1 VwGO statthaft, da es bereits an der erforderlichen Verwaltungsaktqualität der Maßnahme mangelt.

Bei dem Schreiben der Beklagten vom 24. April 2023 handelt es sich weder der äußeren Form nach um einen Verwaltungsakt noch – maßgeblich – um einen materiellen Verwaltungsakt, da es sich nicht um eine Verwarnung mit Verwaltungsaktcharakter im Sinne des Art. 58 Abs. 2 lit. b) DS-GVO und auch nicht um die Androhung eines Bußgeldes handelt. Es handelt sich vielmehr um Hinweise im Sinne von Art. 58 Abs. 1 lit. d) DS-GVO in Verbindung mit einer Warnung nach Art. 58 Abs. 2 lit. a) DS-GVO, wobei es sich in beiden Fällen um Maßnahmen ohne Regelungscharakter und somit nicht Verwaltungsaktqualität handelt.

Für die Beurteilung der Frage, ob es sich um einen Verwaltungsakt handelt, ist auf den objektiven Erklärungswert der Maßnahme abzustellen und darauf, inwieweit dieser vom Betroffenen wahrgenommen und verstanden werden kann, mithin auf den Empfängerhorizont (vgl. Ramsauer, in: Kopp/Ramsauer, Verwaltungsverfahrensgesetz, 25. Aufl. 2024, § 35 Rn. 51 m. w. N.). Hierbei sind sämtliche Umstände, nicht nur der Inhalt, sondern auch die Form der Maßnahme und der Gesamtzusammenhang zu berücksichtigen (vgl. ebd.). Maßgeblich für die Beurteilung eines behördlichen Akts als Verwaltungsakt ist somit stets, ob der Akt sich nach objektiver Betrachtung als verbindliche, auf die Setzung einer Rechtsfolge gerichtete und auf Rechtsbeständigkeit hin abzielende und von der Behörde erkennbar so gewollte Regelung darstellt oder nicht (vgl. ebd. Rn. 56).

Nach dem äußeren Erscheinungsbild stellt sich das Schreiben nicht als Verwaltungsakt dar. Es setzt keine Rechtsfolge und enthält keine Rechtsmittelbelehrung. Es enthält auch keine Begründung, keinen Tenor und (wenngleich die Bezeichnung als solche allein nicht maßgebend ist) keine Bezeichnung als Bescheid. Die Beklagte hat den Kläger vor Erlass des Schreibens auch nicht angehört oder ihm sonst die Möglichkeit zur Stellungnahme gegeben.

Anders als klägerseits vorgebracht lässt sich auch nicht durch die Verwendung des Briefkopfs der Behörde auf einen Bescheid schließen. Durch die Nutzung des behördlichen Briefkopfs gibt diese sich als Urheberin des Schreibens zu erkennen, trifft jedoch keine Aussage über die Verbindlichkeit des Inhalts. Andernfalls würde ein Schreiben einer Behörde, mit welchem sie einen anderen Zweck als den Erlass eines Rechtsfolgen zeitigenden oder eine Feststellung treffenden Verwaltungsakts verfolgte, stets eine letztlich anonyme äußere Form erfordern.

Auch nach dem Inhalt des Schreibens stellt sich dieses nicht als Verwaltungsakt dar. Nach dem objektivierten Empfängerhorizont setzt das Schreiben keine rechtlich verbindlichen Folgen für die Zukunft in Bezug auf den in der Vergangenheit liegenden Sachverhalt. Typischerweise müsste ein Empfänger eines rechtsverbindlichen Schreibens, wenn in diesem ein Rechtsverstoß festgestellt wird und nicht nur ein möglicher Verstoß erwähnt wird, damit rechnen, dass das Schreiben auch eine Handlungsanweisung bezogen auf diesen konkreten Sachverhalt, beispielsweise die Anweisung des Löschens der Fotos, enthielte. Dies kann dem Schreiben aber nicht entnommen werden.

Die der Aufsichtsbehörde zustehenden Befugnisse nach Art. 58 DS-GVO werden nach Untersuchungsbefugnissen (Abs. 1) und Abhilfebefugnissen (Abs. 2) unterschieden.

Die Untersuchungsbefugnisse dienen insbesondere der Überwachung der Einhaltung der DS-GVO (vgl. Matzke, in: BeckOK DatenschutzR, 53. Edition, Stand: 1. August 2025, DS-GVO Art. 58 Rn. 2). Die Abhilfebefugnisse erfolgen als Reaktion auf einen datenschutzrechtlichen Verstoß und stehen oftmals, aber nicht zwingend, am Ende eines aufsichtsbehördlichen Verfahrens. Sie werden teilweise in einer Systematik von "Eskalationsstufen" betrachtet (vgl. Nguyen, in: Gola/Heckmann, Datenschutz-Grundverordnung – Bundesdatenschutzgesetz, 3. Aufl. 2022, DS-GVO Art. 58 Rn. 13). Hierbei ist die Behörde nicht verpflichtet stets mit der untersten Stufe also dem mildesten Mittel anzufangen, sondern ist lediglich an die Verhältnismäßigkeit der jeweiligen Maßnahme im Einzelfall gebunden (vgl. Polenz, in: Simitis/Hornung/Spieker gen. Döhmann, Datenschutzrecht, 2. Aufl. 2025, DS-GVO Art. 58 Rn. 7).

Nach Art. 58 Abs. 1 lit. d) DS-GVO verfügt jede Aufsichtsbehörde über sämtliche folgende Untersuchungsbefugnisse, die es ihr gestatten, den Verantwortlichen oder den Auftragsverarbeiter auf einen vermeintlichen Verstoß gegen diese Verordnung hinzuweisen. Mit "vermeintlich" ist nicht etwa ein widerlegter, sondern ein noch nicht abschließend festgestellter Verstoß gemeint (vgl. Matzke a. a. O., DS-GVO Art. 58 Rn. 11). Der Hinweis dient der Prävention und soll dem Verarbeiter die Möglichkeit zur Änderung seines Verhaltens geben, bevor weitere Maßnahmen der Aufsichtsbehörden, wie beispielsweise Verwarnungen, angewendet werden (vgl. Boehm, in: Kühling/Buchner DS-GVO BDSG, 4. Aufl. 2024, DS-GVO Art. 58 Rn. 17).

Der erste Absatz des Schreibens enthält eine kurze Darstellung des Sachverhalts. Es wird keine rechtliche Einordnung vorgenommen oder ein Verstoß gegen datenschutzrechtliche Normen festgestellt.

Der zweite Absatz des Schreibens beginnt mit den Worten "Ich weise Sie darauf hin…" und erläutert die Rechtsauffassung der Behörde, dass ohne eigene Betroffenheit das Fotografieren von Parkverstößen fremder PKW unzulässig sei. Bereits dieser Wortlaut spricht für eine Einordnung als Hinweis im Sinne des Art. 58 Abs. 1 lit. d) DS-GVO, zumindest dieser Passage. Durch die Aufklärung des Empfängers über die Spruchpraxis der Behörde wird diesem die Möglichkeit gegeben, sein Verhalten anzupassen, wobei der Bezug zu einem vergangenen Sachverhalt hergestellt wird.

Für den letzten Satz des dritten Absatzes gilt das bereits Gesagte, insbesondere im Hinblick auf den Wortlaut, wonach sich die Behörde vorbehalte, im Wiederholungsfalle eines gleich gelagerten Datenschutzverstoßes ein Bußgeld zu verhängen. Es handelt sich hierbei insbesondere nicht um die Androhung eines Bußgeldes.

Soweit dort das Verhalten des Klägers als Datenschutzverstoß bezeichnet wird, ergibt sich aus der nachfolgenden Korrespondenz zwischen den Beteiligten, insbesondere aber aus der Erklärung der Beklagten in der mündlichen Verhandlung, dass die Beklagte nunmehr eine andere Rechtsauffassung vertritt. Danach soll das private Fotografieren von Parkverstößen ohne eigene Betroffenheit zum Zweck der Anzeigenerstattung dann kein Datenschutzverstoß sein, wenn hierbei keine über das Fotografieren des Kfz-Kennzeichens hinausgehenden Daten erhoben werden, namentlich, wenn keine Aufnahmen von Personen gefertigt werden, die im Zusammenhang mit einem Parkverstoß stehen sollen.

Der übrige dritte Absatz des Schreibens der Beklagten vom 24. April 2023 mit der Aufforderung, künftig das Fotografieren von Parkverstößen fremder PKW zu unterlassen, stellt eine Warnung im Sinne des Art. 58 Abs. 2 lit. a) DS-GVO dar.

Bei der Warnung im genannten Sinne handelt es sich, anders als bei den anderen Befugnissen des Absatz 2, um eine präventive Maßnahme, die zu einem Zeitpunkt erfolgt, zu welchem die Datenverarbeitung noch nicht stattgefunden hat. Dieser Zukunftsbezug wird deutlich im Wortlaut, nach welchem der Kläger aufgefordert wird, "in Zukunft bei festgestellten Parkplatzverstößen private Fotos von fremden Pkws zu unterlassen". Der Absatz bezieht sich somit nicht auf den bereits festgestellten Sachverhalt, sondern nimmt diesen lediglich zum Anlass, Künftiges zu antizipieren und für den Fall eines ähnlich gelagerten Sachverhalts und gleichem Verhalten des Klägers die wahrscheinliche Bewertung als datenschutzrechtlichen Verstoß kundzutun. Da bei der Warnung nur auf einen voraussichtlichen Verstoß auf eine geplante Verarbeitung hingewiesen wird, fehlt es auch hier an der für einen Verwaltungsakt notwendigen Regelung (vgl. Matzke a.a.O., DS-GVO Art. 58 Rn. 19 unter Verweis auf U. Stelkens, in: Stelkens/Bonk/Sachs, Verwaltungsverfahrensgesetz, 10. Aufl. 2023, VwVfG § 35 Rn. 84).

Eine – hier vorgenommene – Kombination der unterschiedlichen Befugnisse durch die Behörde ist möglich (vgl. Polenz a. a. O., DS-GVO Art. 58 Rn. 9; vgl. Ngyuen a. a. O., DS-GVO Art. 58 Rn. 12).

Die Anfechtungsklage ist auch nicht durch die in Art. 78 DS-GVO und § 20 Abs. 1 BDSG kodifizierte Garantie auf einen wirksamen gerichtlichen Rechtsbehelf statthaft.

Nach Art. 78 DS-GVO hat jede natürliche oder juristische Person unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtbehelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen einen sie betreffenden rechtverbindlichen Beschluss einer Aufsichtsbehörde.

Bereits aus dem Wortlaut der Norm ergibt sich, dass die Rechtsschutzgarantie lediglich die rechtsverbindlichen Beschlüsse betrifft. Die vereinzelt in der Literatur vertretene Meinung, gerichtlicher Rechtsschutz sei gegen sämtliche Untersuchungs- und Abhilfebefugnisse des Art. 58 Abs. 1, Abs. 2 DS-GVO zu gewähren und greife insbesondere auch dann, wenn die Ausübung entsprechender Befugnisse nach bisherigem deutschem Verständnis unter dem BDSG a. F. mangels Regelung nicht in der Handlungsform des Verwaltungsakts erfolgt war, die Anfechtungsklage deshalb ausschied und mangels Rechtsschutzbedürfnisses teilweise überhaupt keine Notwendigkeit gerichtlichen Rechtsschutzes gesehen wurde (vgl. Sydow, in: Sydow/Marsch DS-GVO/BDSG, 3. Aufl. 2022, DS-GVO Art. 78 Rn. 22), vermag nicht zu überzeugen.

Die Ansicht stützt sich maßgeblich darauf, diese umfassendere Garantie ergebe sich aus Erwägungsgrund 143 Satz 5 der DS-GVO, wenn es heißt: "Ein derartiger Beschluss betrifft insbesondere die Ausübung von Untersuchungs-, Abhilfe- und Genehmigungsbefugnissen durch die Aufsichtsbehörde oder die Ablehnung oder Abweisung von Beschwerden.". Ein derartiger Beschluss ist hierbei im Hinblick auf den vorherigen Satz 4 zu lesen: "Unbeschadet dieses Rechts nach Artikel 267 AEUV sollte jede natürliche oder juristische Person das Recht auf einen wirksamen gerichtlichen Rechtsbehelf bei dem zuständigen einzelstaatlichen Gericht gegen einen Beschluss einer Aufsichtsbehörde haben, der gegenüber dieser Person Rechtswirkung entfaltet.". So ergibt sich bereits auch aus diesem Satz 4, dass sich die Rechtsschutzgarantie lediglich auf Beschlüsse erstreckt, welche gegenüber der adressierten Person Rechtswirkung entfalten. Noch deutlicher tritt diese Einschränkung in Satz 6 hervor, in welchem ausdrücklich formuliert ist: "Das Recht auf einen wirksamen gerichtlichen Rechtsbehelf umfasst jedoch nicht rechtlich nicht bindende Maßnahmen der Aufsichtsbehörden wie von ihr abgegebene Stellungnahmen oder Empfehlungen.". Ebenfalls entspricht es der vorwiegenden Auffassung in der Literatur, die Statthaftigkeit der Anfechtungsklage sowie die Klagebefugnis in Bezug auf gerichtlichen Rechtsschutz gegen Maßnahmen der Aufsichtsbehörden nur bei Vorliegen von "rechtsverbindlichen" Beschlüssen als gegeben anzusehen (so bspw. Boehm, in: Simitis/Hornung/Spieker gen. Döhmann, Datenschutzrecht, 2. Aufl. 2025, DS-GVO Art. 78 Rn. 7 m. w. N.). Solche stellen Warnungen und Hinweise im Sinne der DS-GVO gerade nicht dar. Auch die Rechtsschutzgarantie des Art. 78 DS-GVO kann daher nicht über die fehlende Regelungswirkung der Maßnahme hinweghelfen.

Aus den vorstehenden Erwägungen ergibt sich zugleich, dass die Klage zwar als allgemeine Leistungsklage (vgl. dazu Pietzcker/Marsch, in: Schoch/Schneider, VwGO, Stand 47. EL Februar 2025, § 42 Rn. 152 m. w. N.) statthaft wäre, da das angegriffene Schreiben keine für den Kläger verbindliche Regelungen enthält und die Beklagte die Feststellung eines Datenschutzverstoßes im Zeitpunkt der mündlichen Verhandlung nicht mehr aufrecht erhalten hat.

Der Klage fehlte dann allerdings in entsprechender Anwendung von § 42 Abs. 2 VwGO das Rechtsschutzbedürfnis (vgl. dazu Wahl/Schütz, in: Schoch/Schneider a. a. O. Rn. 33 sowie Pietzcker/Marsch, ebd., Rn. 170). Denn die in dem angegriffenen Schreiben enthaltenen Hinweise und Feststellungen sind bereits nicht geeignet, den Kläger in seinen Rechten zu beeinträchtigen oder ihm sonst nachteilig zu sein. Sie erschöpfen sich, wie oben dargelegt und soweit noch relevant, darin, den Kläger über die nach Auffassung der Beklagten geltende Rechtslage zu informieren und ihn auf ihre künftige Vorgehensweise hinzuweisen, sollte das Verhalten des Klägers hierzu Anlass geben. Es stand und steht dem Kläger frei, diese Auffassung zu teilen oder ihr nicht zu folgen. Gerichtlichen Rechtsschutzes bedarf der Kläger hierfür nicht (vgl. Ehlers, in: Schoch/Schneider a. a. O, § 42 Rn. 74). Eine etwaige gerichtliche Aufhebung des Schreibens oder die – gerichtlich nicht beantragte – Rücknahme der Äußerung der Beklagte ihm gegenüber ist nicht geeignet, dem Kläger einen Rechtsvorteil zu verschaffen.

Den Volltext der Entscheidung finden Sie hier:

VG Berlin
Urteil vom 09.10.2025
VG 1 K 607/22

Das VG Berlin hat entschieden, dass juristische Personen kein Auskunftsverweigerungsrecht gegen Auskunftsersuchen der Datenschutzbehörde haben. Dieses steht nur natürlichen Personen zu.

Aus den Entscheidungsgründen:
1. Rechtsgrundlage für den Auskunftsheranziehungsbescheid ist Art. 58 Abs. 1 Buchst. a) DSGVO. Nach dieser Regelung verfügt die Beklagte als Aufsichtsbehörde (vgl. § 8 Abs. 1 Berliner Datenschutzgesetz) über sämtliche Untersuchungsbefugnisse, die es ihr gestatten, den Verantwortlichen, den Auftragsverarbeiter und gegebenenfalls den Vertreter des Verantwortlichen oder des Auftragsverarbeiters anzuweisen, alle Informationen bereitzustellen, die für die Erfüllung ihrer Aufgaben erforderlich sind. Die behördliche Anweisung, Informationen bereitzustellen, beinhaltet auch eine Auskunftsverpflichtung des Verantwortlichen, Auftragsverarbeiters und Vertreters.

2. Die gesetzlichen Voraussetzungen für das Auskunftsersuchen der Beklagten liegen vor. Die von der Klägerin angeforderten Informationen zum Umfang der an die jeweiligen Werbepartner übermittelten Kundendaten benötigt die Beklagte für die Erfüllung ihrer gesetzlichen Aufgaben.

Die Aufsichtsbehörde wird die in Art. 58 Abs. 1 DSGVO statuierten Untersuchungsbefugnisse regelmäßig für die Prüfung nutzen, ob in dem konkreten Fall eine Datenschutzverletzung vorliegt. Die Befugnis der Aufsichtsbehörden zur Heranziehung ist jedoch aus Gründen der Verhältnismäßigkeit auf die Anweisung der Bereitstellung der für die Erfüllung ihrer Aufgaben erforderlichen Informationen beschränkt (vgl. Art. 58 Abs. 1 Buchst. a) a. E. DSGVO. Für die Bestimmung der Erforderlichkeit wird auf den konkreten Verarbeitungsvorgang abgestellt, der auf die Einhaltung der datenschutzrechtlichen Vorschriften hin überprüft wird (Polenz, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, DS-GVO Art. 58 Rn. 12).

Der Vorwurf einer Datenschutzverletzung ist jedoch keine zwingende Voraussetzung eines Auskunftsverlangens. Informationen können beispielsweise auch dann verlangt werden, wenn die Aufsichtsbehörde die Öffentlichkeit gemäß Art. 57 Abs. 1 Buchst. b DSGVO über die Risiken eines bestimmten Verarbeitungsvorgangs aufklären will. Sie kann auch Informationen einholen, wenn sie sich vergewissern möchte, ob überhaupt personenbezogene Daten verarbeitet werden (vgl. Nguyen, in: Gola/Heckmann, DSGVO/BDSG, 3. Aufl. 2022, DS-GVO Art. 58 Rn. 4). Die Ausübung der Befugnis aus Art. 58 Abs. 1 DSGVO ist unabdingbare Voraussetzung dafür, dass die Beklagte die Anwendung der Datenschutz-Grundverordnung überwachen und durchsetzen kann, wie in Art. 57 Abs. 1 Buchst. a) DSGVO vorgesehen (Polenz, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, DS-GVO Art. 58 Rn. 12; Matzke, in: BeckOK DatenschutzR, 53. Ed. 2025, DS-GVO Art. 58 Rn. 5).

Gemessen daran ist die Beklagte nicht darauf beschränkt, ihr Auskunftsverlangen einzustellen, sobald nach ihrer Auffassung feststeht, dass die auskunftsverpflichtete Klägerin einen Datenschutzverstoß begangen hat. Vielmehr darf sie darüber hinaus auch das Ausmaß des datenschutzrechtlichen Verstoßes und die Beteiligung weiterer datenschutzrechtlich verantwortlicher Akteure aufklären, da die ihr nach Art. 57 Abs. 1 DSGVO obliegenden Aufgaben entsprechend angelegt sind. Anders als die Klägerin meint, ist es insbesondere auch nicht unzulässig, weitere Informationen über das Lettershop-Verfahren und die an ihm Beteiligten Datenschutzverantwortlichen zu erlangen. Denn hierbei geht es nicht um eine – sächlich und persönlich unbegrenzte – Informationsgewinnung über das datenschutzrechtlich relevante Handeln einer Vielzahl von dritten Akteuren zu Lasten der Klägerin, sondern um weitere Ermittlungen zu einem bereits beanstandeten Geschäftsmodell der Klägerin und ihrer Geschäftspartner. Darüber hinaus hat die Beklagte in der mündlichen Verhandlung nachvollziehbar dargelegt, dass das Ausmaß des datenschutzrechtlichen Verstoßes der Klägerin selbst wegen der begrenzten personellen und sächlichen Mittel der Behörde auch ausschlaggebend für die Priorisierung der Verfolgung der jeweiligen Verstöße ist. Die Beklagte benötigt die Informationen daher auch im Hinblick auf die zu ergreifenden Abhilfemaßnahmen gegen die Klägerin

Die Beklagte ist – anders als die Klägerin suggeriert – nicht verpflichtet, detailliert auszuführen, für welche der ihr durch Art. 57 DSGVO zugewiesenen Aufgaben die konkrete Auskunftserteilung erforderlich ist. Entsprechende einschränkende Vorgaben lassen sich weder den Bestimmungen der Datenschutzgrundverordnung noch den nationalen Datenschutzgesetzen entnehmen. Im Übrigen lässt sich den Begründungen zu den behördlichen Schreiben, insbesondere dem vom 6. September 2022, entnehmen, dass das Auskunftsersuchen im Zusammenhang mit der Untersuchung eines mutmaßlichen Datenschutzverstoßes erfolgt.

Der Einwand der Klägerin, der Auskunftsheranziehungsbescheid sei (auch) wegen eines Verstoßes gegen das Bestimmtheitsgebot gemäß § 37 Abs. 1 VwVfG rechtswidrig, weil die Beklagte mit der Formulierung „Welchen Werbepartnern“ in ihrer Frage nicht hinreichend deutlich gemacht habe, ob diese Werbepartner auch namentlich oder nur mit Platzhaltern benannt werden sollen, ist nicht nachvollziehbar: Die Beklagte fragt hier aus der Perspektive eines objektiven, verständigen Adressaten hinreichend deutlich nach der Identität der Werbepartner der Klägerin, denn sie muss im Rahmen der ihr nach Art. 57 Abs. 1 Buchst. a) DSGVO obliegenden Aufgaben prüfen, ob weitere Dritte Datenschutzverletzungen im Rahmen des LettershopVerfahrens der Klägerin verüben. Hier verbleiben im Ergebnis keine Unklarheiten über den Gegenstand des behördlichen Begehrens, die eine rechtlich relevante „Unbestimmtheit“ der Verfügung begründen könnten.

2. Die behördliche Befugnis zur Auskunftsheranziehung nach Art. 58 Abs. 1 Buchst. a DSGVO wird für den Fall der Klägerin nicht durch ein Auskunftsverweigerungsrecht beschränkt, dass den Bescheid vom 17. November 2022 nachträglich rechtswidrig gemacht haben könnte.

In Fällen, in denen die Aufsichtsbehörde eine Auskunft in Form der Beantwortung konkreter Fragen verlangt und nicht nur die Vorlage näher bezeichneter Unterlagen, kann dem Verpflichteten ein Auskunftsverweigerungsrecht zustehen. Die Klägerin hat sich ein Jahr nach Klageerhebung erstmals auf ein Auskunftsverweigerungsrecht nach § 40 Abs. 4 Satz 2 Bundesdatenschutzgesetz (BDSG) berufen. Danach kann der nach § 40 Abs. 4 Satz 1 BDSG Auskunftspflichtige die Auskunft auf solche Fragen verweigern, deren Beantwortung ihn selbst oder einen der in § 383 Abs. 1 Nr. 1 bis 3 der Zivilprozessordnung bezeichneten Angehörigen der Gefahr strafgerichtlicher Verfolgung oder eines Verfahrens nach dem Gesetz über Ordnungswidrigkeiten aussetzen würde. Der Auskunftspflichtige ist gemäß § 40 Abs. 4 Satz 3 BDSG auf dieses Recht hinzuweisen. Ein entsprechender Hinweis ist in dem Auskunftsheranziehungsbescheid der Beklagten vom 17. November 2022 auf Seite 4 auch enthalten. Die Entscheidung, vom Auskunftsverweigerungsrecht Gebrauch zu machen, muss ausdrücklich erklärt, aber nicht im Einzelnen begründet werden (OVG Schleswig, a.a.O, Rn. 20)

Maßgebliche Sach- und Rechtslage für die Beurteilung der Rechtmäßigkeit des Auskunftsheranziehungsbescheids ist hier der Zeitpunkt der mündlichen Verhandlung (a.A. wohl VG Bremen, Urteil vom 27. November 2023 – 4 K 1160/22 – juris Rn. 47), denn verwaltungsrechtliche Auskunftsverweigerungsrechte können bereits dem behördlichen Auskunftsbegehren und nicht erst dessen Durchsetzung entgegenstehen (vgl. OVG Schleswig, Beschluss vom 28. Mai 2021 – 4 MB 14/21 – juris Rn. 32 m.w.N.). Die Auskunftsverweigerung durch die Klägerin ist demnach nicht wegen ihrer späten Erklärung unbeachtlich. Die Klägerin kann sich aber als juristische Person nicht auf das Auskunftsverweigerungsrecht berufen, so dass nicht mehr zu entscheiden ist, ob die behördlich angeforderten Informationen vom Umfang des Auskunftsverweigerungsrechts erfasst wären.

Wie andere spezialgesetzlich normierte Auskunftsverweigerungsrechte trägt § 40 Abs. 4 Satz 2 BDSG dem Grundsatz der Selbstbelastungsfreiheit (“nemo tenetur se ipsum accusare“) Rechnung, den das Bundesverfassungsgericht als – im Rechtsstaatsprinzip verankerten – Teil des allgemeinen Persönlichkeitsrechts aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG anerkennt. Der Einzelne soll vom Staat grundsätzlich nicht in eine Konfliktlage gebracht werden, in der er sich selbst strafbarer Handlungen oder ähnlicher Verfehlungen bezichtigen muss. Ein Zwang zur Selbstbezichtigung berührt die Würde des Menschen, dessen Aussage als Mittel gegen ihn selbst verwendet wird (vgl. BVerfG, Beschluss vom 13. Januar 1981 – 1 BvR 116/77 – juris Rn. 18; Beschluss vom 25. Januar 2022 – 2 BvR 2462/18 – juris Rn. 50; OVG Schleswig, Beschluss vom 28. Mai 2021 – 4 MB 14/21 – juris Rn. 33 m.w.N.). Nach der Rechtsprechung des Bundesverfassungsgerichts schließt Art. 19 Abs. 3 GG für juristische Personen einen Schutz vor einem derartigen Zwang aber aus. Eine Lage, wie sie dieser Zwang für natürliche Personen heraufbeschwört, kann bei juristischen Personen nicht eintreten. Diese bilden ihren Willen nur durch Organe und unterliegen im Hinblick auf Straftaten und Ordnungswidrigkeiten nur einer eingeschränkten Verantwortlichkeit (BVerfG, Beschluss vom 26. Februar 1997 – 1 BvR 2172/96 – juris Rn. 83).

Gemessen daran gilt auch das Auskunftsverweigerungsrecht des § 40 Abs. 4 Satz 2 BDSG nur für Auskunftspflichtige persönlich und steht juristischen Personen nicht zu. Letztere können sich selbst nicht strafbar machen und das Festsetzen einer Geldbuße gegen sie enthält – für den Schutz vor Selbstbezichtigung wesentlich (vgl. BVerfG, a.a.O. juris Rn. 84) – weder einen Schuldvorwurf noch eine ethische Missbilligung. Beschäftigte und Leitungspersonen eines Unternehmens können sich folglich auf das Auskunftsverweigerungsrecht nur dann berufen, wenn ihnen persönlich strafrechtliche Verfolgung oder ein Bußgeld drohen, d.h., das Auskunftsersuchen muss sich auf das konkrete Verhalten der auskunftspflichtigen Person beziehen, welches möglicherweise eine Straftat oder Ordnungswidrigkeit darstellt. Die Gefahr, dass dem jeweiligen Unternehmen ein Bußgeld nach Art. 83 DSGVO droht, reicht hingegen nicht aus (Nguyen, in: Gola/Heckmann, DSGVO/BDSG, 3. Aufl. 2022, DSGVO Art. 58 Rn. 6; Matzke, in: BeckOK DatenschutzR, 53. Ed. 2025, DS-GVO Art. 58 Rn. 7).

Vereinzelte Erwägungen, den Grundsatz der Selbstbelastungsfreiheit allein aus dem Rechtsstaatsprinzip des Art. 20 Abs. 3 GG oder aus Art. 6 Abs. 1 EMRK bzw. Art. 47 Abs. 2 Satz 1 GRCh herzuleiten und dadurch auch juristischen Personen das Recht zur Auskunftsverweigerung in Fällen möglicher Selbstbelastung zuzubilligen, überzeugen nicht (vgl. OVG Schleswig, Beschluss vom 28. Mai 2021 – 4 MB 14/21 – juris Rn. 33 m.w.N.). Das Recht auf ein faires, rechtsstaatliches Verfahren umfasst den Grundsatz der Selbstbelastungsfreiheit zwar als Teilaspekt. Dieser soll aber die Aussage- und Entschließungsfreiheit des Betroffenen innerhalb des Straf- oder Ordnungswidrigkeitenverfahrens wahren und unzumutbare Konfliktsituationen für – natürliche – Personen verhindern (vgl. BVerfG, Beschluss vom 25. Januar 2022 – 2 BvR 2462/18 – juris Rn. 50). Er steht also nicht unabhängig von dem Schutz der Menschenwürde für sich allein. Da juristische Personen selbst keine Entscheidungen treffen, nicht gegen sich selbst aussagen können und insoweit keines besonderen verfassungsrechtlichen Schutzes ihrer Entscheidungsfreiheit bedürfen, muss auch der staatliche Anspruch auf Schutz von Gemeinwohlbelangen nicht zurücktreten. Bisher haben auch weder der Europäische Menschengerichtshof noch der Europäische Gerichtshof entschieden, dass juristischen Personen aus Art. 6 EMRK oder Art. 47 Abs. 2 Satz 1 GRCh ein Schweigerecht bzw. ein Auskunftsverweigerungsrecht zusteht.

Für den Fall der Klägerin bedeutet dies, dass sie dem Auskunftsheranziehungsbescheid kein Auskunftsverweigerungsrecht entgegenhalten kann. Der Bescheid nimmt sie selbst in Anspruch und richtet sich nicht gegen einen ihrer Beschäftigten oder ihre Geschäftsführung und deren persönliches Verhalten im Rahmen des LettershopVerfahrens. Straf- oder Ordnungswidrigkeitenverfahren gegen natürliche Personen sind weder eingeleitet noch angekündigt. Es gibt noch nicht einmal ein Ordnungswidrigkeitenverfahren gegen die Klägerin selbst.

VG Düsseldorf
Urteil vom 20.11.2025
29 K 3939/23

Das VG Düsseldorf hat entschieden, dass der Betroffene keinen Anspruch auf weitere Ermittlungen der Datenschutzbehörde hat, wenn diese nach Prüfung der Sache keinen Datenschutzverstoß festgestellt hat.

Aus den Entscheidungsgründen:
Die Klage, die sich nach Einwilligung der Beklagten in die von dem Kläger mit Schriftsatz vom 26. Juli 2023 vorgenommene Klageänderung gemäß § 91 Abs. 1 VwGO gegen das Schreiben der Beklagten vom 3. Juli 2023 richtet, hat keinen Erfolg.

Sie ist zwar zulässig, insbesondere als Verpflichtungsklage gemäß § 42 Abs. 1 Alt. 2 VwGO statthaft.

Die von dem Kläger nach sinngemäßer Auslegung (§ 88 VwGO) begehrte, andere Entscheidung über seine Beschwerde stellt – ebenso wie das Schreiben der Beklagten vom 3. Juli 2023 – einen Verwaltungsakt im Sinne von § 35 Satz 1 des Verwaltungsverfahrensgesetzes (VwVfG) dar. Insbesondere zielt es auf die Herbeiführung unmittelbarer Rechtswirkungen ab. Aus der Begründung ergibt sich, dass die Beklagte das Schreiben als Aufsichtsbehörde im Rahmen ihrer Befugnisse nach Art. 58 DSGVO erstellt hat. Dabei ist unschädlich, dass dieses weder als „Bescheid“ noch als „Verfügung“ oder in der ähnlicher Weise bezeichnet wird. Denn inhaltlich stellt es eine auf unmittelbare Rechtswirkung nach außen gerichtete Entscheidung der Beklagten über den weiteren Fortgang – nämlich die Beendigung – des Beschwerdeverfahrens dar. Dementsprechend ist es auch mit einer Rechtsbehelfsbelehrung versehen.

Vgl. zur Einordnung der abschließenden Beschwerdeentscheidung der Aufsichtsbehörde als Verwaltungsakt: VG Düsseldorf, Urteil vom 11. Oktober 2021 – 29 K 7031/19 –, nicht veröffentlicht; VG Düsseldorf, Beschluss vom 8. Januar 2021 – 29 K 7626/19 –, nicht veröffentlicht; VG Mainz, Urteil vom 16. Januar 2020 – 1 K 129/19.MZ –, juris Rn. 26 f. Vgl. auch zur Rechtsverbindlichkeit der Beschlüsse einer Aufsichtsbehörde: EuGH, Urteil vom 07.12.2023 – C-26/22 –, juris Rn. 50.

Der Kläger ist klagebefugt im Sinne von § 42 Abs. 2 VwGO, weil es nach seinem Vorbringen jedenfalls möglich ist, dass er durch die Einstellung des Beschwerdeverfahrens in eigenen subjektiv-öffentlichen Rechten nach Art. 57 Abs. 1 Buchst. f, 77 Abs. 1 DSGVO verletzt ist.

Vgl. VG Hamburg, Urteil vom 1. Juni 2021 – 17 K 2977/19 –, Rn. 41 ff.; VG Ansbach, Urteil vom 7. Dezember 2020 – An 14 K 18.02503 –, juris Rn. 25; OVG Rheinland-Pfalz, Urteil vom 26. Oktober 2020 – 10 A 10613/20 –, juris Rn. 29.

Die Klage ist aber unbegründet. Der Bescheid vom 3. Juli 2023 ist rechtmäßig und verletzt den Kläger nicht in seinen Rechten. Der Kläger hat gegenüber der Beklagten keinen Anspruch auf Neubescheidung seiner Beschwerde vom 23. April 2021 unter Beachtung der Rechtsauffassung des Gerichts (§ 113 Abs. 5 Satz 2 VwGO).

Rechtsgrundlage für die streitgegenständliche Beschwerdeentscheidung ist Art. 57 Abs. 1 Buchst. f DSGVO i. V. m. Art. 77 Abs. 1 DSGVO.

Nach Art. 77 Abs. 1 DSGVO hat jede betroffene Person das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen Vorschriften über den Datenschutz verstößt. Als Datenschutzaufsichtsbehörde muss sich die LDI NRW im Rahmen ihrer Zuständigkeit mit der Beschwerde befassen, den Gegenstand der Beschwerde in angemessenem Umfang untersuchen und den Beschwerdeführer innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung unterrichten (Art. 57 Abs. 1 Buchst. f DSGVO).

Bei dem Recht auf Beschwerde nach Art. 57 Abs. 1 Buchst. f DSGVO i. V. m. Art. 77 Abs. 1 DSGVO handelt es sich um ein subjektiv-öffentliches Recht, aus dem sich ein gerichtlich überprüfbarer, zweistufiger Anspruch ergibt.

Zunächst ist zu prüfen, ob die Aufsichtsbehörde in angemessenem Umfang überprüft hat, ob ein Verstoß gegen die Datenschutzgrundverordnung vorliegt. Die Aufsichtsbehörde ist nach Art. 57 Abs. 1 Buchst. f DSGVO verpflichtet, eine Beschwerde mit aller gebotenen Sorgfalt zu bearbeiten. Hierzu verleiht ihr Art. 58 Abs. 1 DSGVO weitreichende Untersuchungsbefugnisse.

Vgl. EuGH, Urteil vom 16. Juli 2020 – C-311/18 –, juris, Rn.109, 111.

Über den Einsatz der sich aus Art. 58 Abs. 1 DSGVO ergebenden Untersuchungsbefugnisse sowie den Umfang der Untersuchung entscheidet die Aufsichtsbehörde nach pflichtgemäßem Ermessen entsprechend der Sachlage im Einzelfall.

Vgl. BeckOK Datenschutzrecht, Wolff/Brink/v. Ungern-Sternberg, 49. Edition, Stand 01.05.2024, DSGVO Art. 57 Rz 17.

Stellt die Aufsichtsbehörde sodann am Ende ihrer Untersuchung einen Verstoß gegen die Bestimmungen dieser Verordnung fest, ist sie verpflichtet, in geeigneter Weise zu reagieren, um der festgestellten Unzulänglichkeit abzuhelfen, wobei alle Maßnahmen insbesondere im Hinblick auf die Gewährleistung der Einhaltung der Verordnung geeignet, erforderlich und verhältnismäßig sein sollten und die Umstände des jeweiligen Einzelfalls zu berücksichtigen sind. Zu diesem Zweck werden in Art. 58 Abs. 2 DSGVO die verschiedenen der Aufsichtsbehörde zur Verfügung stehenden Abhilfebefugnisse aufgezählt.

Vgl. EuGH, Urteil vom 7. Dezember 2023 – C-26/22 –, juris Rn. 47 ff.

Hiervon ausgehend richtet sich die gerichtliche Prüfung der Beschwerdeentscheidung nach § 114 Abs. 1 VwGO.

Bei Ermessensentscheidungen hat das Gericht nur zu prüfen, ob die Verwaltung den ihr eingeräumten Ermessensspielraum ausgeschöpft hat, ob sie die nach dem Zweck der Ermessensermächtigung für die Entscheidung relevanten Gesichtspunkte bei ihrer Entscheidung berücksichtigt hat und ob sie die gesetzlichen Grenzen der Ermessensbetätigung überschritten hat. Das Gericht darf die getroffene Entscheidung nur anhand derjenigen Erwägungen überprüfen, die die Behörde tatsächlich angestellt hat, wozu auch in Einklang mit § 114 Satz 2 VwGO nachgeschobene Erwägungen zählen.

Vgl. BVerwG, Urteil vom 11. Mai 2016 - 10 C 8/15 -, juris Rn. 13 m.w.N.

Nach diesem Maßstab sind Ermessensfehler bei der Entscheidung der Beklagten, das Beschwerdeverfahren einzustellen, nicht erkennbar.

Die Beklagte hat ihr Ermessen hinsichtlich des Umfangs der Ermittlungen erkannt und ausgeübt. Insbesondere hat sie den relevanten Sachverhalt in angemessenem Umfang untersucht und die geeigneten und erforderlichen Aufklärungsmaßnahmen nach Art. 58 Abs. 1 Buchst. e DSGVO ergriffen. Zur Ermittlung des für den Datenschutzrechtsverstoß Verantwortlichen hat sie Auskunftsersuchen an das Notariat gerichtet und die Stellungnahmen inhaltlich ausgewertet.

Die auf der Grundlage dieser Untersuchung getroffene Annahme, das Vorliegen eines Datenschutzverstoßes lasse sich nicht abschließend ermitteln, ist im Ergebnis nicht zu beanstanden. Denn das Ergreifen weiterer Aufklärungsmaßnahmen war schon deswegen nicht angezeigt, weil die streitgegenständliche E-Mail nicht an eine falsche E-Mail-Adresse gesendet wurde. Dies steht nach den vom Notar veranlassten technischen Untersuchungen fest. Die EDV-Beratung des Notars konnte nach einer Auswertung des alten Servers keinen E-Mail-Verlauf mit einem Versand an die Adresse xxxxxx00@xxxxx.com ermitteln. Diese Erkenntnis korrespondiert mit den Angaben des Notars, wonach E-Mails direkt aus der Notariatssoftware ARNOtop heraus verschickt werden. In der vom Notar verwendeten Software ist im Kontaktdatenblatt des Klägers aber die richtige E-Mail-Adresse hinterlegt, sodass davon auszugehen ist, dass die E-Mail vom 21. Januar 2021 an die richtige Adresse übermittelt wurde. Eine Änderung des Kontaktdatenblattes ist nicht erfolgt. Dementsprechend kam die E-Mail weder als unzustellbar zurück noch erfolgte eine sonstige Reaktion des vermeintlichen Adressaten. Für den Versand an die richtige Adresse spricht zudem, dass es als unmittelbare Reaktion auf die E-Mail durch die vorgesehenen Käufer, der Kläger und sein Vater, im Notariat eine Terminabsage gegeben hat. Auch dies lässt darauf schließen, dass die E-Mail dem Kläger tatsächlich zugegangen ist.

Soweit in den Stellungnahmen des Notars teilweise andere E-Mail-Adressen genannt werden, handelt es sich ersichtlich um Verwechslungen sehr ähnlicher E-Mail-Adressen (xxxxxxx00@xxxxx.com, xxxxxx00@xxxxx.com, xxxxxx@xxxxx.com, xxxxxxx@xxxxx.com), die auch anderen Beteiligten einschließlich der Beklagten unterlaufen sind. Sie vermögen den objektiven technischen Befund der IT-Fachleute, wie er im Schreiben der Rechtsanwältin des Notars vom 14. März 2023 wiedergegeben wird (Bl. 196 der Beiakte), nicht infrage zu stellen. An der inhaltlichen Richtigkeit der Angaben des Notars – sei es das Ergebnis der Auswertung des alten Servers, sei es die Darstellung des E-Mail-Versands durch die Notariatssoftware – hat das Gericht keine Zweifel. Es gibt keine Anhaltspunkte für eine etwaige Verschleierung oder Vertuschung des Sachverhalts durch Dr. U.. Im Gegenteil hat er durch Auswertung auch des alten, bereits ausgetauschten Servers an der Aufklärung mitgewirkt.

Eine andere Beurteilung ergibt sich schließlich nicht daraus, dass die Kopfzeile der vom Makler weitergeleiteten E-Mail vom 21. Februar 2021 die falsche E-Mail-Adresse xxxxxx00@xxxxx.com ausweist. Dabei kann es sich lediglich um einen Anzeigenamen handeln. Es ist nicht auszuschließen, dass der Text vom Makler vor der Weiterleitung an den Kläger verändert worden ist. Denkbar ist auch, dass der Provider (hier: Google Mail) die Adresse xxxxxx00@xxxxx.com und die Adresse xxxxxxx00@xxxxx.com als dieselbe Adresse behandelt und zustellt.

Eine weitere Prüfung musste die Beklagte bei dieser Sachlage nicht mehr durchführen. Insbesondere verlangt die Pflicht nach Art. 57 Abs. 1 Buchst. f DSGVO, den Gegenstand der Beschwerde in angemessenem Umfang zu untersuchen, keine weiteren Ermittlungen, wenn ein Datenschutzverstoß – wie hier – aufgrund der bereits durchgeführten, umfassenden Untersuchung hinreichend sicher ausgeschlossen werden kann. Auf die Metadaten der Original-E-Mail vom 21. Februar 2021 kommt es daher nicht mehr an. Ob im Hinblick auf die Verschwiegenheitspflicht nach § 18 Abs. 1 BNotO weitere Untersuchungsbefugnisse der Beklagte gegenüber dem Notar bestehen, kann ebenfalls offenbleiben. Dass die Beklagte ihre Entscheidung, das Beschwerdeverfahren einzustellen, damit begründet, ein Datenschutzverstoß könne nicht abschließend ermittelt werden, ist unschädlich. In der Sache geht auch sie davon aus, dass ein Datenschutzverstoß nicht positiv festgestellt werden kann.


Den Volltext der Entscheidung finden Sie hier:

VG Ansbach
Beschluss v. 19.02.2025
AN 14 K 22.02562

Das VG Ansbach hat dem EuGH zur Vorabentscheidung vorgeleget, ob ein Auskunftsanspruch aus Art. 15 DSGVO gegen eine Datenschutzbehörde besteht.

Tenor der Entscheidung:
Dem Gerichtshof der Europäischen Union werden nach Art. 267 AEUV folgende Fragen zur Vorabentscheidung vorgelegt:

1. Ist Art. 15 VO (EU) 2016/679 i.V.m. Art. 4 Nr. 7 VO (EU) 2016/679 dahingehend auszulegen, dass eine Aufsichtsbehörde nach Art. 4 Nr. 21 VO (EU) 2016/679, die im Rahmen eines von einer betroffenen Person eingeleiteten Beschwerdeverfahrens nach Art. 77 VO (EU) 2016/679 tätig wird, gleichzeitig im Sinne von Art. 15 VO (EU) 2016/679 i.V.m. Art. 4 Nr. 7 VO (EU) 2016/679 „Verantwortlicher“ und damit auf Grundlage des Art. 15 VO (EU) 2016/679 gegenüber der betroffenen Person zur Auskunft verpflichtet ist ?

2. Für den Fall, dass Frage 1 mit „ja“ beantwortet wird:
Ist das Unionsrecht, insbesondere Art. 23 VO (EU) 2016/679, dahingehend auszulegen, dass es einer nationalen Regelung – wie dem im Ausgangsverfahren streitigen Art. 20 Abs. 2 BayDSG – entgegensteht, wonach Auskunfts- oder Einsichtsrechte hinsichtlich Akten und Dateien der Aufsichtsbehörden nach Art. 4 Nr. 21 VO (EU) 2016/679 pauschal nicht bestehen ?

Den Volltext der Entscheidung finden Sie hier:

VG Ansbach
Beschluss vom 03.08.2023
AN 14 K 19.01313

Das VG Ansbach hat entschieden, dass ein Betroffener nach 3 Monaten Untätigkeit Leistungsklage gegen die zuständige Datenschutzbehörde erheben kann. Die Kosten trägt § 161 Abs. 3 VwGO analog die Datenschutzbehörde.

Aus den Entscheidungsgründen:
1. Die Kosten des Verfahrens trägt vorliegend analog § 161 Abs. 3 VwGO der Beklagte.

Entgegen der Ansicht der Klägerin war für die Kostenentscheidung § 161 Abs. 3 VwGO nicht direkt anwendbar, da es sich vorliegend nicht um eine Untätigkeitsklage i.S.d. § 161 Abs. 3, § 75 VwGO gehandelt hat. Denn das Klagebegehren der Klägerin richtete sich nicht auf eine bestimmte, als Verwaltungsakt zu qualifizierende Maßnahme seitens den Beklagten, sondern auf ein Tätigwerden des Beklagten im Rahmen ihrer Datenschutzbeschwerde nach Art. 77 f. DS-GVO. Daher war nicht die Untätigkeitsklage nach § 75 VwGO die hier statthafte Klageart, sondern die allgemeine Leistungsklage.

§ 161 Abs. 3 VwGO ist auf den hier vorliegenden Fall aber analog anzuwenden, da es sich um eine Interessenlage handelt, welche der einer Untätigkeitsklage vergleichbar ist, für welche aber eine planwidrige Regelungslücke besteht.

Für den Fall einer Klage nach Art. 78 Abs. 2 Alt. 2 VwGO besteht hinsichtlich der Kostenentscheidung eine planwidrige Regelungslücke, da die §§ 154 ff. VwGO, welche über § 20 Abs. 2 BDSG auch im Fall einer Klage nach Art. 78 Abs. 2 Alt. 2 VwGO zur Anwendung kommen, keine spezielle Kostenregelung für diese Klagekonstellation enthalten. Die Interessenlage ist in dieser Konstellation aber insgesamt mit der einer Untätigkeitsklage nach § 75 VwGO vergleichbar, da beiden Fällen zugrunde liegt, dass eine Behörde pflichtwidrig nicht (rechtzeitig) tätig geworden ist.

Daher ist in Fällen wie dem vorliegenden, in denen der Beklagte den Beschwerdeführer entgegen der Vorschrift des Art. 78 Abs. 2 Alt. 2 DS-GVO nicht innerhalb von drei Monaten über den Stand der Beschwerde in Kenntnis gesetzt hatte und der Beschwerdeführer daraufhin deswegen Klage erhoben hat, § 161 Abs. 3 VwGO analog anzuwenden.

Die Voraussetzungen des § 161 Abs. 3 VwGO liegen hier vor. Die Klägerin durfte grundsätzlich aufgrund der Vorschrift des Art. 78 Abs. 2 Alt. 2 VwGO damit rechnen, dass der Beklagte sie innerhalb von drei Monaten über den Stand ihrer Datenschutzbeschwerde vom 5. April 2019 in Kenntnis setzt. Entgegen der Ansicht des Beklagten handelte es sich bei dieser E-Mail der Klägerin auch um eine Beschwerde i.S.d. Art. 77, 78 DS-GVO, denn die Voraussetzungen an die bloße Einleitung eines Beschwerdeverfahrens dürfen im Sinne des hier bezweckten effektiven Rechtsbehelfs nicht überspannt werden. Die Klägerin hat in dieser E-Mail ausdrücklich einen Verstoß gegen das Kopplungsverbot (Art. 7 Abs. 4 DS-GVO) gerügt, sodass die Behandlung ihrer E-Mail als Beschwerde i.S.d. Art. 77, 78 DS-GVO mit der entsprechenden Unterrichtungspflicht aus Art. 78 Abs. 2 Alt. 2 DS-GVO angezeigt gewesen wäre.

Da die inhaltlichen Anforderungen an ein Inkenntnissetzen i.S.d. Art. 78 Abs. 2 Alt. 2 DS-GVO wohl nicht allzu hoch sind, dürfte sich auch der behördliche Zeitaufwand hierfür in Grenzen halten und in der Regel innerhalb von drei Monaten umsetzbar sein. Es sind im vorliegenden Fall auch keine außergewöhnlichen Anhaltspunkte ersichtlich, die möglicherweise eine Verlängerung der starren Frist des Art. 78 Abs. 2 Alt. 2 DS-GVO rechtfertigen könnten. Daher durfte die Klägerin analog § 161 Abs. 3 VwGO mit einem Tätigwerden des Beklagten vor Klageerhebung rechnen.

Deswegen waren die Kosten des Verfahrens vorliegend analog § 161 Abs. 3 VwGO dem Beklagten aufzuerlegen.

2. Die Streitwertfestsetzung beruht auf § 51 Abs. 2 GKG. Da das Begehren der Klägerin allein auf die Durchführung eines Beschwerdeverfahrens gerichtet war und somit hinter einem Begehren auf eine solche Durchführung eines Beschwerdeverfahrens einschließlich einer bestimmten behördlichen Entscheidung zurückbleibt, erscheint nach dem Ermessen des Gerichts die Festsetzung eines Streitwerts in Höhe des hälftigen Auffangstreitwerts aus § 52 Abs. 2 GKG angemessen (§ 52 Abs. 1 GKG) (vgl. VG Ansbach, U.v. 12.10.2022 – AN 14 K 19.01728 – juris Rn. 48-50).

Den Volltext der Entscheidung finden Sie hier:

OLG Hamm
Beschluss vom 23.09.2022
26 W 6/22

Das OLG Hamm hat entschieden, dass für die karitative Tätigkeit der evangelischen Kirche (hier: Betrieb eines Krankenhauses) gilt kirchliches Datenschutzrecht und nicht die DSGVO.

Aus den Entscheidungsgründen:
(3) In der Sache selbst hat das Landgericht mit zutreffender und ausführlicher Begründung - welcher sich der Senat anschließt - dargelegt, dass der Klägerin gegen die Beklagte keine Ansprüche gem. Art. 15, 82 DS-GVO zugestehen, da die DS-GVO vorliegend nicht anwendbar ist. Auf die entsprechenden Ausführungen wird insoweit vorab Bezug genommen.

Gem. Art. 91 DS-GVO dürfen, wenn eine Kirche oder eine religiöse Vereinigung oder Gemeinschaft in einem Mitgliedstaat zum Zeitpunkt des Inkrafttretens dieser Verordnung umfassende Regeln zum Schutz natürlicher Personen bei der Verarbeitung anwendet, diese Regeln weiter angewandt werden, sofern sie mit dieser Verordnung in Einklang gebracht werden.

Wie das Landgericht zu Recht ausgeführt hat, folgt hieraus, dass die kirchenrechtlichen Datenschutzregeln vorrangig anwendbar sind, wenn sie mit der DS-GVO in Einklang gebracht werden können und bereits vor Inkrafttreten der DS-GVO bestanden. Dies ist bei dem DSG-EKD der Fall (vgl. BeckOK DatenschutzR/Mundil, 41. Ed. 1.11.2021, DS-GVO Art. 91 Rn. 18a; Gola DS-GVO/Gola, 2. Aufl. 2018, DS-GVO Art. 91 Rn. 11). Die Beklagte als Trägerin von diakonischen Krankenhäusern fällt aufgrund ihres Bezugs zur Evangelischen Kirche unter das Merkmal „Kirche“, auch wenn es sich bei ihr um eine selbständige, privatrechtlich (nämlich als GmbH) organisierte Einrichtung der Kirche handelt.

Der Senat schließt sich hierbei der Ansicht des Landgerichts an, dass von den zahlreichen vertretenen Auffassungen (vgl. nur: Preuß ZD 2015, 217, 222) vorliegend mit der differenzierenden Ansicht darauf abzustellen ist, ob es sich bei der Tätigkeit der Beklagten um eine solche aus dem Kernbereich der Kirche handelt, was vorliegend zu bejahen ist. Hierfür spricht, dass sich zunächst aus Art. 91 DS-GVO selbst keine Einschränkung ableiten lässt. Der Anwendungsbereich ist entsprechend weit auszulegen (BeckOK DatenschutzR/Mundil, 41. Ed. 1.11.2021, DS-GVO Art. 91 Rn. 15). Dementsprechend wird vertreten, dass auch Tätigkeiten von Religionsgemeinschaften von Art. 17 Abs. 1 AEUV umfasst sind, wenn auch nur in sehr restriktivem Maße. Eine typische Tätigkeit von Religionsgemeinschaften ist bspw. der Betrieb von karitativen Krankenhäusern. Träger dieser kirchlichen Krankenhäuser ist jedoch zumeist eine GmbH. Folglich handelt es sich um privatrechtliche Einrichtungen einer Religionsgemeinschaft. Es lässt sich demnach vertreten, dass auch privatrechtliche Einrichtungen von Religionsgemeinschaften in den Schutzbereich des Art. 17 AEUV fallen und damit auch nach Art. 91 vom Anwendungsbereich der DS-GVO ausgenommen und dem kirchlichen Datenschutz unterstellt sind (vgl. Paal/Pauly/Pauly, 3. Aufl. 2021, DS-GVO Art. 91 Rn. 10).

Der vorliegende karitative Betrieb des Krankenhauses der Beklagten unterliegt nicht dem Anwendungsbereich der DS-GVO. Wie das Landgericht zutreffend ausgeführt hat, ist hierbei zu berücksichtigen, ob nach kirchlichem Selbstverständnis durch den Betrieb des Krankenhauses eine dem religiösen Auftrag der Kirche entsprechende und dem Zweck kirchlicher Fürsorge gegenüber den Menschen dienende Aufgabe erfüllt werden soll. Dabei ist nicht nur dann der Kernbereich kirchlicher Aufgaben betroffen, wenn es um direkte Seelsorge geht. Entscheidend ist, ob die Kirche mit der Einrichtung ihren Aufgaben gerecht werden will. Hierzu gehören nach dem Selbstbild der Kirche insbesondere auch karitative und fürsorgliche Aufgaben, wozu nicht nur ehrenamtliche bzw. unentgeltliche Betreuungsaufgaben zählen, sondern auch der notwendigerweise wirtschaftliche Betrieb von Betreuungsangeboten für hilfsbedürftige Menschen, wie z.B. von Kindergärten, Alten- und Pflegeheimen und Krankenhäusern. Dies ist vorliegend der Fall. Zutreffend hat das Landgericht insoweit auch darauf verwiesen, dass sich der karitative Aspekt der kirchlichen Trägerschaft auch aus den eigenen Ausführungen der Beklagten auf ihrer Krankenhaus-Homepage ergibt. Dort wird unter der Rubrik „über uns“ die persönliche Zuwendung als eine ihrer besonderen Stärken bezeichnet, wobei sich aus dem grundlegenden christlichen Selbstverständnis – dem Dienst am Menschen – die hohe Qualität von Pflege und Medizin ableite. Als evangelische Einrichtung sei das Unternehmen fest in einem christlichen Weltbild verankert.

4) Soweit die Klägerin unter Hinweis auf die Entscheidung des Bundesverfassungsgerichts (Beschluss von 14.01.2021 – 1 BvR 2853/19, NJW 2021, 1005) der Ansicht ist, die vorliegende Rechtsfrage sei von grundsätzlicher Bedeutung für das vollvereinheitliche europäische Datenschutzrecht und bedürfe damit letztlich einer Klärung durch den Europäischen Gerichtshof, hält der Senat eine Vorabentscheidung nach Art. 267 Abs. 3 AEUV nicht für geboten. Im dortigen Fall ging es um die Auslegung des Schadensbegriffs aus Art. 82 I DS-GVO. Vorliegend ist die DS-GVO jedoch bereits aufgrund tatsächlicher Umstände nicht anwendbar.

5) Schließlich hat das Landgericht auch zutreffend ausgeführt, dass das Begehren der Klägerin auch nicht als ein Auskunftsbegehren nach § 19 DSG-EKD ausgelegt werden konnte. Zum einen steht dem bereits der Wortlaut der Anträge entgegen, in denen sie ihr Begehren nur auf die DS-GVO stützt, zum anderen hat die Klägerin deutlich gemacht, dass sie eine Auskunft nach dem DSG-EKD ausdrücklich nicht begehrt.

Entsprechend war der Klägerin mangels Erfolgsaussicht die begehrte weitere Prozesskostenhilfe zu verweigern.

Den Volltext der Entscheidung finden Sie hier:

VG Hannover
Urteil vom 30.11.2022
10 A 1195/21

Das VG Hannover hat entschieden, dass die Selbstständige Evangelisch-lutherische Kirche den Vorgaben der DSGVO und der Aufsicht durch die Landesdatenschutzbehörde unterliegt.

SELK unterliegt der Datenschutz-Grundverordnung (DSGVO) und der Aufsicht durch die Nds. Landesdatenschutzbeauftragte

10. KAMMER WEIST KLAGE EINER KIRCHE GEGEN LANDESBEAUFTRAGTE FÜR DEN DATENSCHUTZ NIEDERSACHSEN AB

Die 10. Kammer hat auf die mündliche Verhandlung vom heutigen Tage die auf die Feststellung gerichtete Klage, dass die Klägerin zum einen nicht der Datenschutzgrundverordnung unterfalle, sondern eigene Datenschutzvorschriften erlassen dürfe, und zum anderen nicht der Aufsicht durch die Landesdatenschutzbeauftragte in Niedersachsen unterliege, abgewiesen.

Die Klägerin ist eine Kirche in der Rechtsform einer Körperschaft des öffentlichen Rechts. Bundesweit gehören ihr 150 Kirchengemeinden mit ca. 32.000 Mitgliedern an.

Bereits 1993 setzte sie die "Richtlinie über den Datenschutz in der Selbstständigen Evangelisch-Lutherischen Kirche" mit Teilregelungen zum Datenschutz in Kraft. 2018 beschloss die Klägerin eine neue Richtlinie, die im Wesentlichen dem Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland entspricht.

In der Folgezeit kam es zu Meinungsverschiedenheiten über die Anwendbarkeit der eigenen Datenschutzregeln und die Datenschutzaufsicht zwischen den Beteiligten, infolge derer die Klägerin Feststellungsklage vor dem Verwaltungsgericht erhob.

Die Klägerin begründete ihre Klage damit, dass sie aufgrund von Art. 91 Abs. 1 DSGVO berechtigt sei, eigene Datenschutzvorschriften in Kraft zu setzen und daher nicht der Anwendung der DSGVO unterliege. Infolgedessen sei sie nach Art. 91 Abs. 2 DSGVO berechtigt, eine eigene Aufsichtsbehörde einzurichten. Die Landesdatenschutzbeauftragte sei nicht zur Aufsicht berechtigt.

Das Gericht ist dieser Argumentation nicht gefolgt. Die Voraussetzungen der Vorschrift seien nicht gegeben. Die Klägerin habe zum Zeitpunkt des Inkrafttretens der DSGVO, auf den es maßgeblich ankomme, lediglich rudimentäre Regelungen zum Datenschutz in Kraft gehabt, die die Anforderungen an umfassende Datenschutzvorschriften i.S.d. Art. 91 Abs. 1 DSGVO nicht erfüllten. Art. 91 Abs. 1 DSGVO sei als Bestandsvorschrift ausgestaltet. Angesichts des klaren Wortlaut und des Sinns und Zwecks der Norm sei sie auch abschließend zu verstehen. Darin liege kein Verstoß gegen Unionsrecht. Der EuGH habe in ständiger Rechtsprechung deutlich gemacht, dass die Anwendung der Vorschriften des Unionsrechts über den Datenschutz keinen Eingriff in die organisatorische Autonomie der Religionsgemeinschaften, Art. 17 AEUV, darstelle. Soweit die Klägerin aber bereits nach Art. 91 Abs. 1 DSGVO nicht berechtigt sei, eigene Datenschutzregeln weiter anzuwenden, sei sie nach Art. 91 Abs. 2 DSGVO auch nicht berechtigt, eine eigene Aufsichtsbehörde einzurichten. Sie unterfalle damit der Aufsicht der Beklagten.

Gegen das Urteil kann vor dem Oberverwaltungsgericht Lüneburg binnen eines Monats nach Vorliegen der vollständigen Entscheidungsgründe die Zulassung der Berufung beantragt werden.

Urteil vom 30.11.2022 - Az. 10 A 1195/21

LG Flensburg
Urteil vom 19.11.2021
3 O 227/19

Das LG Flensburg hat entschieden, dass Anrufung der Datenschutzbehörde die Verjährung etwaiger Ansprüche gegen die verarbeitende Stelle nicht hemmt, da es sich dabei nicht um eine Streitbeilegungsstelle i.S.v. § 204 Abs. 1 Nr. 4 BGB handelt.

Aus den Entscheidungsgründen:

bb) Ein etwaiger, hieraus folgender Schadensersatzanspruch des Klägers wäre nämlich verjährt und deshalb nicht durchsetzbar (§ 214 Abs. 1 BGB).

(1) Ein etwaiger Schadensersatzanspruch des Klägers unterläge der regelmäßigen dreijährigen Verjährungsfrist (§ 195 BGB).

(2) Diese Verjährungsfrist hätte mit dem Schluss des Jahres 2015 begonnen und mit Ablauf des Jahres 2018 geendet. Die regelmäßige Verjährungsfrist beginnt mit dem Schluss des Jahres, in dem der Anspruch entstanden ist und der Gläubiger von den den Anspruch begründenden Umständen und der Person des Schuldners Kenntnis erlangt oder ohne grobe Fahrlässigkeit erlangen müsste (§ 199 Abs. 1 BGB). Dies wäre hier der Schluss des Jahres 2015 gewesen:

Der Anspruch wäre im Jahr 2015 entstanden, weil die als gerügten Zugriffe auf die Patientendaten des Klägers im Mai 2015 stattfanden. Der Kläger hätte durch das Gespräch mit dem betrieblichen Datenschutzbeauftragten der Beklagten, dem Zeugen O. F., und der nachfolgenden Übersendung der Stellungnahmen der vier Mitarbeiter der Beklagten, jeweils im Jahr 2015, auch Kenntnis von den den Anspruch begründenden Umständen und der Person des Schuldners erlangt.

Anlässlich der Vernehmung des Zeugen F. hat der Kläger persönlich in der mündlichen Verhandlung bestätigt, dass das Gespräch mit dem betrieblichen Datenschutzbeauftragten, in welchem die fraglichen Zugriffe identifiziert worden seien, bereits im Jahr 2015 stattgefunden habe. Der Kläger hat ebenfalls bestätigt, die in dem E-Mails vom 14.12.2015 und 15.12.2015 erwähnte Post mit den Stellungnahmen der Beschäftigten erhalten zu haben. Hiermit hatte der Kläger bereits 2015 die hinreichende Kenntnis von den anspruchsbegründenden Umständen. Der Kläger wusste von den erfolgten Zugriffen auf seine Patientendaten, hat die Berechtigung für die vier streitgegenständlichen Zugriffe als zweifelhaft erkannt und er kannte die Stellungnahmen der vier Beschäftigten und damit deren Begründungen für die Zugriffe. Dies genügt, um die Verjährungsfrist beginnen zu lassen.

Entgegen der Auffassung des Klägers begann die Verjährung nicht erst dann zu laufen, als die internen Ermittlungen der Beklagten zu den Berechtigungen der Zugriffe abgeschlossen waren oder als das ULD Feststellungen hierzu getroffen hat. Die erforderliche Kenntnis von den Anspruchsvoraussetzungen und der Person des Ersatzpflichtigen liegt im Allgemeinen vor, wenn dem Geschädigten die Erhebung einer Schadensersatzklage, sei es auch nur in Form der Feststellungsklage, Erfolg versprechend, wenn auch nicht risikolos, möglich ist. Weder ist notwendig, dass der Geschädigte alle Einzelumstände kennt, die für die Beurteilung möglicherweise Bedeutung haben, noch muss er bereits hinreichend sichere Beweismittel in der Hand haben, um einen Rechtsstreit im Wesentlichen risikolos führen zu können. Auch kommt es grundsätzlich nicht auf eine zutreffende rechtliche Würdigung an. Vielmehr genügt aus Gründen der Rechtssicherheit und Billigkeit im Grundsatz die Kenntnis der den Ersatzanspruch begründenden tatsächlichen Umstände (statt vieler BGH, Urteil vom 27.05.2008 – XI ZR 132/07, juris Rn. 32 mwN). Hier hatte der Kläger bereits im Jahr 2015 Kenntnis aller tatsächlichen Umstände, auf deren Grundlage zumindest – wenn auch nicht risikolos – eine Feststellungsklage hätte erhoben werden können. Die Kenntnis von den gerügten Zugriffen auf seine Patientendaten, von bestehenden Zweifeln an der Berechtigung hierzu und von den Stellungnahmen der Beschäftigten, aufgrund derer er die Berechtigung der Beschäftigten hätte beurteilen können, genügte hierfür. Dies wird durch den vorliegenden Rechtsstreit bestätigt: Der Kläger gründet seine Klage letztlich auf die Umstände und Zweifel, die seinem Informationsstand im Jahr 2015 entsprechen. Der Umstand, dass das ULD mit Schreiben vom 10.08.2018 festgestellt hat, dass die Zugriffe einen Verstoß gegen Vorschriften der DSGVO darstellten, ändert hieran nichts; insoweit handelt es sich um die rechtliche Bewertung der bereits bekannten Umstände durch einen Dritten, auf die es für die Bestimmung des Verjährungsbeginns nicht ankommt.

(3) Die Verjährung wäre auch nicht gehemmt worden (§ 209 BGB).

(11) Die Verjährung wäre zunächst nicht durch Verhandlungen der Parteien gehemmt worden (§ 203 BGB).

Nach der Rechtsprechung des Bundesgerichtshofes ist der Begriff der „Verhandlungen“ im Sinne des § 203 Satz 1 BGB weit auszulegen. Der Gläubiger muss dafür lediglich klarstellen, dass er einen Anspruch geltend machen und worauf er ihn stützen will. Anschließend genügt jeder ernsthafte Meinungsaustausch über den Anspruch oder seine tatsächlichen Grundlagen, sofern der Schuldner dies nicht sofort und erkennbar ablehnt. Verhandlungen schweben schon dann, wenn eine der Parteien Erklärungen abgibt, die der jeweils anderen Partei die Annahme gestatten, der Erklärende lasse sich auf Erörterungen über die Berechtigung des Anspruches oder dessen Umfang ein. Nicht erforderlich ist, dass dabei Vergleichsbereitschaft oder Bereitschaft zum Entgegenkommen signalisiert wird oder dass Erfolgsaussicht besteht (statt vieler BGH, Urteil vom 14.07.2009 – XI ZR 18/08, juris Rn. 16 mwN).

An diesem Maßstab gemessen haben Verhandlungen im Sinne des § 203 BGB zwischen den Parteien in unverjährter Zeit nicht stattgefunden. Anders als der Kläger bewertet die Kammer die Kommunikation zwischen ihm und der Beklagten in der Zeit von 2015 bis 2018 nicht als Verhandlungen iSd. § 203 BGB. Die Parteien mögen dabei über Umstände gesprochen haben, die dem streitgegenständlichen Anspruch zugrunde liegen, etwa die gerügten Zugriffe auf die Patientendaten des Klägers, deren Berechtigungen etc. Erkennbar ist das Ziel des Klägers, Aufklärung zu erlangen und Vorsorge gegen zukünftige vermeintliche Datenschutzverstöße zu treffen. Auch forderte der Kläger die Beklagte immer wieder zu Stellungnahmen zu den gerügten und vermeintlichen weiteren Datenschutzverstößen auf. Weder aus dem Vortrag der Parteien noch aus der gesamten zur Akte gereichten Korrespondenz bis einschließlich 2018 ergibt sich aber, weder ausdrücklich noch konkludent, dass der Kläger gegenüber der Beklagten einen Schadensersatzanspruch geltend machen will. Dies aber ist Mindestvoraussetzung für ein „Verhandeln“ iSd. § 203 BGB, auch wenn dann anschließend jeder Meinungsaustausch hierüber, d.h. auch über die tatsächlichen Grundlagen, genügt. Soweit ersichtlich, begehrt der Kläger erstmals mit anwaltlichem Schreiben vom 15.01.2019 (Anlage K6, Blatt 18 der Akte) Schadensersatz in Form der Erstattung seiner Rechtsanwaltskosten und behält sich „etwaige Schadensersatzansprüche gemäß Art. 82 DSGVO“ vor. Dies geschah allerdings bereits in verjährter Zeit und vermochte eine Hemmung nicht mehr herbeizuführen.

(22) Die Anrufung des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein durch den Kläger mit Schreiben vom 16.03.2018 führte ebenfalls nicht zu einer Hemmung der Verjährung. Der Landesbeauftragte ist nicht als staatliche oder staatlich anerkannte Streitbeilegungsstelle iSd. § 204 Abs. 1 Nr. 4 Buchst. a BGB oder als andere Streitbeilegungsstelle iSd. § 204 Abs. 1 Nr. 4 Buchst. b BGB tätig geworden. Trotz der fehlenden zeitlichen Anwendbarkeit der DSGVO (dazu oben) ist das ULD, dokumentiert etwa im Schreiben des ULD vom 16.07.2018 (Sonderband), aufgrund der Beschwerde des Klägers nach Art. 77 DSGVO im Rahmen eines aufsichtsbehördlichen Verfahrens gemäß § 74 LVwG tätig geworden, in dessen Ergebnis gemäß Art. 58 Abs. 2 DSGVO Abhilfebefugnisse wie etwa eine Verwarnung, Beschränkungen oder Geldbußen hätten ausgesprochen bzw. verhängt werden können, wovon das ULD letztlich aber absah. Dieses Verwaltungsverfahren ist auf die Überprüfung etwaiger Datenschutzverstöße, deren Sanktionierung und zukünftige Verhinderung gerichtet, nicht aber auf die Beilegung eines Streits zwischen Parteien über einen erhobenen, individuellen Anspruch. Im Übrigen muss für einen wirksam hemmenden Streitbeilegungsantrag - wie bei allen in § 204 Abs. 1 BGB genannten Rechtsverfolgungshandlungen und Verfahren - ein bestimmter Anspruch bezeichnet werden. Nur im Umfang des geltend gemachten Anspruchs erfolgt eine Hemmung. Antragsgegner, Streitbeilegungsstelle und einem ggf. später befassten Gericht muss es möglich sein, Art, Umfang und Tatsachenbasis einer Forderung zu identifizieren (zum Ganzen BeckOGK-BGB/Meller-Hannich, Stand 01.09.2021, § 204 BGB Rn. 176 mwN). Einen solchen individualisierten (Schadensersatz-) Anspruch hat der Kläger bei Anrufung des ULD weder geltend gemacht noch ist ein solcher Gegenstand des Verwaltungsverfahrens vor dem ULD. Auch dies zeigt, dass dieses Verwaltungsverfahren nicht auf Beilegung eines Streits zwischen Parteien über einen erhobenen Anspruch ausgerichtet und deshalb kein Streitbeilegungsverfahren ist, das ULD ist keine Streitbeilegungsstelle.

(33) Die Klage ist am 03.07.2019 und damit in verjährter Zeit bei Gericht eingegangen, so dass die Erhebung der Klage die Verjährung ebenfalls nicht mehr zu hemmen vermochte (§ 204 Abs. 1 Nr. 1 BGB).

Den Volltext der Entscheidung finden Sie hier:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz hat ein datenschutzrechtliches Aufsichtsverfahren wegen Nutzung von Kontaktdaten aus der LUCA-App durch die Staatsanwaltschaft Mainz eingeleitet.

Die Pressemitteilung des Landesdatenschutzbeauftragten RLP

Nach Erhebung und Nutzung von Kontaktdaten aus der LUCA-App durch die Staatsanwaltschaft – Datenschutzbeauftragter leitet aufsichtsrechtliche Verfahren ein

Nachdem der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz davon Kenntnis erlangte, dass die Staatsanwaltschaft Mainz zusammen mit der lokalen Polizeibehörde und dem örtlichen Gesundheitsamt über die LUCA-App erfasste Kontaktdaten von Besuchern einer Mainzer Gastwirtschaft zu Ermittlungszwecken erhoben und genutzt hat, hat er umgehend aufsichtsrechtliche Verfahren eingeleitet. Dabei sollen insbesondere die Umstände geklärt werden, die ungeachtet der eindeutigen Rechtslage zu der datenschutzrechtlich unzulässigen Abfrage und Nutzung der ausschließlich zu Infektionsschutzzwecken erfassten Kontaktdaten geführt haben. Entsprechende Informationsersuchen wurden bereits versendet.

Hintergrund ist ein Vorfall aus dem November 2021. Nachdem vor einer Mainzer Gastwirtschaft ein 39-jähriger Mann mit schwersten Kopfverletzungen aufgefunden wurde, ersuchten die zuständigen Strafermittlungsbehörden das Gesundheitsamt um Bereitstellung der über die LUCA-App von dem Betreiber der Gastwirtschaft zu dem vermuteten Tatzeitpunkt erfassten Kontaktdaten. Das Gesundheitsamt kam der Aufforderung nach und übermittelte die Daten von 21 Personen, die der Behörde auf Anfrage von dem App-Betreiber zur Verfügung gestellt wurden. Die Betroffenen wurden dann von der Polizei kontaktiert und zu dem Vorfall befragt. Mittlerweile haben die beteiligten Behörden die Unzulässigkeit der erfolgten Datenverarbeitung eingeräumt.

„Für mich ist es zunächst einmal besorgniserregend, dass sowohl Staatsanwaltschaft als auch Gesundheitsamt die bereits vor einiger Zeit geänderte Rechtslage im Infektionsschutzgesetz und damit zusammenhängende datenschutzrechtliche Bestimmungen offensichtlich nicht kannten oder sich darüber hinweg gesetzt haben“, kommentiert der Landesbeauftragte Prof. Dr. Kugelmann den Vorfall. Aus § 28a Abs. 4 Satz 3 des Infektionsschutzgesetzes geht eindeutig hervor, dass zum Zwecke des Infektionsschutzes erfasste Kontaktdaten lediglich zur Kontaktnachverfolgung verarbeitet werden dürfen und eine anderen Zwecken dienende Datenverwendung unzulässig ist. „Das Vorgehen erschüttert das Vertrauen der Bürger in die Rechtmäßigkeit staatlichen Handelns und ist gerade in Zeiten einer die Gesellschaft als Ganzes herausfordernden Pandemie das völlig falsche Signal.“ Kugelmann kündigt an, nach Aufklärung des Sachverhaltes die Ausübung sämtlicher ihm datenschutzrechtlich zur Verfügung stehender Befugnisse zu prüfen.

VG Berlin
Beschluss vom 21.04.2021
1 K 360.19

Das VG Berlin hat entschieden, dass nach der DSGVO kein individueller Anspruch auf Einschreiten der Datenschutzbehörde und Einleitung bestimmter Maßnahmen besteht.

Aus den Entscheidungsgründen:
Die Klage ist voraussichtlich unbegründet. Der Antragsteller und künftige Kläger hat keinen Anspruch darauf, dass der Antragsgegner (Beklagte) über seine Beschwerde vom 1. August 2019 erneut entscheidet. Mögliche Anspruchsgrundlage ist Art. 57 Abs. 1 lit. f) DS-GVO. Erhebt eine betroffene Person eine Beschwerde im Sinne von Art. 77 DS-GVO, muss sich die Aufsichtsbehörde nach Art. 57 Abs. 1 lit. f) DS-GVO mit der Beschwerde befassen, den Gegenstand der Beschwerde in angemessenem Umfang untersuchen und den Beschwerdeführer innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung unterrichten. Die Aufsichtsbehörde ist hiernach verpflichtet, die Beschwerde mit der gebotenen Sorgfalt und in angemessenem Umfang zu prüfen. Maßstab für den Umfang der Ermittlungen ist insbesondere die Schwere des in Rede stehenden Verstoßes, aber auch alle weiteren relevanten Aspekte sind zu berücksichtigen, insbesondere die in Art. 83 Abs. 2 DS-GVO genannten (Bergt, in: Kühling/Buchner, Datenschutz-Grundverordnung BDSG, 3. Auflage 2020, Art. 77 DS-GVO, Rn. 16). Nach Maßgabe dieser Grundsätze hat der Antragsgegner seine Pflichten bei der Bearbeitung der Beschwerde des Antragstellers erfüllt. Er hat den Sachverhalt ermittelt, indem er das Beschwerdevorbringen zur Kenntnis genommen und die D... zur Stellungnahme aufgefordert hat. Er hat den Sachverhalt anschließend bewertet und dem Antragsteller das Ergebnis seiner Prüfung mit Abschlussbescheid der Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 25. September 2019 mitgeteilt. Weiter hat er den Antragsteller auf die Möglichkeit gerichtlichen Rechtschutzes gegen die Beschwerdeentscheidung nach Art. 78 Abs. 1 DS-GVO hingewiesen und der Mitteilung eine entsprechende Rechtsmittelbelehrung beigefügt (siehe hierzu Art. 77 Abs. 2 DS-GVO).

Umstritten ist zwar, ob eine weitergehende gerichtliche Überprüfung zum Inhalt der Beschwerdeentscheidung vorzunehmen ist. Dies hat die Kammer in einer Eilentscheidung verneint, weil das Beschwerderecht als Petitionsrecht ausgestaltet sei (Beschluss vom 28. Januar 2019, VG 1 L 1.19, juris, Rn. 5; so nunmehr auch OVG Koblenz, Urteil vom 26. Oktober 2020 – 10 A 10613/20, juris, Rn. 37 ff.; a.A. Halder, jurisPR-ITR 16/2020 Anm. 6; Bergt, a.a.O., Rn. 17, jeweils mwN). Ausgehend hiervon ist der Anspruch des Antragstellers erfüllt, weil dessen Beschwerde zur Kenntnis genommen, geprüft und beschieden worden ist. Selbst unter Zugrundelegung der Gegenmeinung wäre der Anspruch hier erfüllt. Nach der Gegenauffassung steht der betroffenen Person ein Anspruch auf eine ermessensfehlerfreie Entscheidung zu, welche gerichtlich überprüfbar und durchsetzbar sein soll (Halder, jurisPR-ITR 16/2020 Anm. 6); eine konkrete Maßnahme kann die betroffene Person hingegen nicht verlangen (vgl. Urteil der Kammer vom 18. Januar 2021 – VG 1 K 206.19; Bergt, a.a.O., Rn. 17). Auch unter Zugrundelegung dieses Maßstabs gilt im Ergebnis nichts anderes. Der Anspruch des Antragstellers auf eine ermessensfehlerfreie Entscheidung über ein Einschreiten des Beklagten gegen die D... ist erfüllt. Der Abschlussbescheid der Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 25. September 2019 führt aus, dass die D... wegen ihrer unvollständigen Auskunft gegen Art. 15 DS-GVO verstoßen habe und sie deshalb verwarnt worden sei. Den datenschutzrechtlichen Belangen des Antragstellers ist damit ausreichend Rechnung getragen. Warum der Antragsteller gleichwohl meint, der Abschlussbescheid sei für ihn nicht positiv, bleibt unklar. Ein Anspruch auf Verhängung eines Bußgeldes gegen die D... steht ihm dagegen nicht zu, weil er eine konkrete Maßnahme nicht verlangen kann.

Den Volltext der Entscheidung finden Sie hier: