BECKMANN UND NORDA - Rechtsanwälte Bielefeld

EuGH-Generalanwältin
Schlussanträge vom 19.03.2026
C-354/24

Die EuGH-Generalanwältin kommt in ihren Schlussanträgen zu dem Ergebnis, dass der Ausschluss von Huwai hinsichtlich Hardware und Software für 2G-, 4G- und 5G-Telekommunikationsinfrastrukturen aus gründen der nationalen Sicherheit gerechtfertigt sein

Die Pressemitteilung des EuGH:
Generalanwältin Ćapeta: Mitgliedstaaten dürfen Hard- und Software von 2G-, 4G- und 5G-Telekommunikationsinfrastrukturen mit der Begründung ausschließen, dass der Hersteller ein Risiko für die nationale Sicherheit darstelle

Maßnahmen zum Schutz der nationalen Sicherheit eines Mitgliedstaats müssten jedoch nach dem Unionsrecht verhältnismäßig sein.

Im Jahr 2022 beantragte die Elisa Eesti AS, ein estnischer Telekommunikationsanbieter, bei den estnischen Behörden die Genehmigung, Hard- und Software des chinesischen Telekommunikationsausrüstungsherstellers Huawei in ihren 2G-4G- und 5G-Telekommunikationsnetzen zu verwenden. Die zuständigen estnischen Behörden waren der Ansicht, dass die Hard- und Software aufgrund des „hohen Risikos“, das mit Huawei verbunden sei, ein Risiko für die nationale Sicherheit Estlands darstelle. Diese Entscheidung wurde beim Verwaltungsgericht Tallinn angefochten, das um eine Vorabentscheidung ersucht hat.

In ihren Schlussanträgen schlägt Generalanwältin Tamara Ćapeta dem Gerichtshof vor, festzustellen, dass die Mitgliedstaaten Hard- und Software grundsätzlich mit der Begründung von ihrer Telekommunikationsinfrastruktur ausschließen dürfen, dass der Hersteller dieser Hard- und Software ein Risiko für ihre nationale Sicherheit darstelle.

Die Generalanwältin betont jedoch auch, dass jede Entscheidung, die aus Gründen der nationalen Sicherheit getroffen werde, gerichtlich u. a. auf ihre Verhältnismäßigkeit überprüfbar sein müsse. Obwohl eine Risikobewertung für Hersteller von Ausrüstung aus Drittländern anders ausfallen könne als für Hersteller derselben Ausrüstung in der Union, dürfe eine solche Entscheidung nicht auf einen allgemeinen Verdacht gestützt werden. Vielmehr müsse sie eine konkrete Bewertung der Verwendung der betreffenden Ausrüstung und der damit verbundenen Risiken umfassen.

Unter den Umständen der konkreten Rechtssache weist die Generalanwältin auch darauf hin, dass die einschlägige Regelung des Unionsrechts, der Europäische Kodex für die elektronische Kommunikation, speziell bestimmte Sicherheitsanforderungen für nationale Telekommunikationsnetze und -dienste vorsehe. Gemäß diesen Anforderungen des Unionsrechts stimmten die Sicherheitsinteressen der Union und die nationalen Sicherheitsinteressen überein. In einer solchen Lage dürften sich die zuständigen nationalen Behörden auf Risikobewertungen stützen, die von den Unionsorganen sowie anderen nationalen Stellen und Unionsstellen vorgenommen worden seien.

Schließlich handele es sich bei einer Beschränkung der Verwendung von Hard- und Software aufgrund des Risikos, die von dieser Ausrüstung für die Sicherheit der Union und der Mitgliedstaaten ausgehe, nicht um einen Eigentumsentzug, sondern um eine Einschränkung der Nutzung dieses Eigentums im Sinne von Art. 17 Abs. 1 der Charta. In einem solchen Fall habe ein Unternehmen grundsätzlich keinen Anspruch auf Entschädigung, es sei denn, das nationale Gericht stelle fest, dass die durch eine solche Beschränkung entstehende Belastung unverhältnismäßig hoch sei, auch wenn sie notwendig sei.

Die vollständigen Schlussanträge finden Sie hier:

LG Köln
Beschluss vom 09.10.2025
323 Qs 69/25

Das LG Köln hat entschieden, dass die Fortdauer der vorläufigen Sicherstellung von Mobiltelefonen und Datenträgern zur Durchsicht nach zweieinhalb Jahren unverhältnismäßig ist, wenn die Auswertung allein aufgrund von Überlastung und personellen Defiziten der Ermittlungsbehörden nicht voranschreitet.

Aus den Entscheidungsgründen:
Die vorläufige Sicherstellung zur Durchsicht war zwar zum Zeitpunkt ihrer Anordnung rechtmäßig. Sie ist dies aber zum jetzigen Zeitpunkt nicht mehr. Die Beschlagnahme der im Tenor bezeichneten Gegenstände ist nicht mehr verhältnismäßig und daher aufzuheben.

1. Zunächst bestand zum Zeitpunkt der Anordnung der vorläufigen Sicherstellung und besteht auch weiterhin ein Anfangsverdacht gegen den Beschwerdeführer wegen Verbreitens und Besitzes von kinderpornographischen Inhalten i.S.v. §§ 184b Abs. 1 S. 1 Nr. 1 Alt. 1 lit a), Abs. 3 aufgrund des bisherigen Ermittlungsergebnisses.

Die Kammer teilt insoweit die Einschätzung der Staatsanwaltschaft und des Amtsgerichts, dass der Beschwerdeführer verdächtig ist, am 19.03.2022 um 03.20 Uhr über die Plattform G. unter der Verwendung des Nutzernamens „Q.“ eine Videodatei kinderpornografischen Inhalts an einen anderen Nutzer der Plattform versendet zu haben. Das Video zeigt eine augenscheinlich erwachsene Frau, die an einer Schultafel steht. Der Fokus der Videoaufnahme liegt auf ihrem Gesäß, welches sich bewegt, während sie die Bewegungen an der Tafel ausführt. Sodann wechselt die Aufnahme in ein Klassenzimmer. Es ist ein 3-6-jähriger Junge zu sehen, welcher an seinem Penis manipuliert. Er zieht erschrocken die Hose hoch, als er bemerkt, dass er durch die Kamera beobachtet wird.

Der Verdacht ergibt sich aus den bisherigen Ermittlungen, insbesondere der Mitteilung des R.. Der bei G. hinterlegte Name beinhaltet den Klarnamen des Beschwerdeführers. Ferner ist die dort hinterlegte Rufnummer Tel01 dem Beschwerdeführer zuzuordnen, was sich aus dem polizeilichen Informationssystem ergibt. Das bei G. hinterlegte Geburtsdatum stimmt zudem mit dem Geburtsdatum des Beschwerdeführers überein. Auf dem Mobiltelefon Samsung Galaxy A40 schwarz, welches durch den Beschwerdeführer genutzt wird, konnte die Mobilfunknummer dem G.-Account zugeordnet werden. Der Username Q. konnte auch auf weiteren Asservaten festgestellt werden. Des Weiteren hat sich der Beschwerdeführer im Rahmen der Durchsuchung dahingehend eingelassen, dass es sich bei der Datei um ein Spaßvideo handele und sich das Video seit geraumer Zeit auf seinem Mobiltelefon befinde.

2. Die Fortdauer der vorläufigen Sicherstellung erweist sich unter Berücksichtigung des Tatvorwurfs sowie des Verdachtsgrades und unter dem Gesichtspunkt des Gebots der zügigen Auswertung zur Durchsicht mitgenommener potentieller Beweismittel aber als unverhältnismäßig.

a. Zwar existieren keine gesetzlichen Fristen für die strafprozessuale Beschlagnahme von Sachen oder die Durchsicht beschlagnahmter Datenträger. Die entsprechenden Regelungen der §§ 94 ff., 110 StPO kennen keine bestimmte Höchstdauer der Maßnahme. Die Entscheidung, in welchem Umfang eine inhaltliche Durchsicht potentieller Beweismittel nach § 110 StPO notwendig ist, wie sie im Einzelnen zu gestalten und wann sie zu beenden ist, obliegt dem Ermessen der Staatsanwaltschaft. Die Rechtskontrolle beschränkt sich deshalb darauf, ob diese im Entscheidungszeitpunkt die Grenzen des ihr zukommenden Ermittlungsermessens überschritten hat (vgl. BGH, Beschl. v. 20.5.2021 - StB 21/21, NStZ 2021, 623 Rn. 17-19). Die Befugnis der Ermittlungsbehörden, beschlagnahmte Gegenstände zum Zwecke ihrer Durchsicht einzubehalten ist jedoch keinesfalls uferlos. Sie hat sich - wie jede staatliche Maßnahme - am Grundsatz der Verhältnismäßigkeit zu messen (vgl. BVerfG, Beschl. v. 17.11.2022 - 2 BvR 827/21; BVerfG, Beschluss vom 30. 1. 2002 - 2 BvR 2248/00). Hierbei ist das staatliche Interesse an der Strafverfolgung gegen die grundgesetzlich verbürgten Eigentumsrechte des Beschuldigten abzuwägen (LG Limburg, Beschluss vom 22. August 2005 - 5 Qs 96/05 -, Rn. 14, juris). Die Stärke des Tatverdachts, der Umfang und das Gewicht des Tatvorwurfs sowie der Ermittlungsstand sind dem aus der Beschlagnahme resultierenden Ausmaß der Beeinträchtigung für einen Betroffenen, dem Wert und Alter der Geräte, einem möglichen Wertverlust und gegebenenfalls vorhandenen Entschädigungsansprüchen gegenüberzustellen (LG Ravensburg, Beschluss vom 2.7.2014 - 2 Qs 19/14).

b. Die im vorliegenden Einzelfall anhaltende Sicherstellung der im Tenor genannten Gegenstände war ausgehend von diesen Grundsätzen nicht mehr verhältnismäßig.

Der Durchsuchungsbeschluss des Amtsgerichts Köln vom 16.11.2022 (Az. 502 Gs 3123/22), geändert durch den Beschluss des Amtsgerichts Köln vom 17.02.2023 (Az. 502 Gs 346/23), wurde am 28.03.2023 und damit bereits vor zweieinhalb Jahren vollstreckt. Die Akte wurde sodann am 12.06.2023 zur Auswertung an die Kreispolizeibehörde C.-N.-Kreis übergeben. Auf Sachstandsanfrage von Seiten der Staatsanwaltschaft teilte die Kreispolizeibehörde am 21.08.2023 mit, dass noch keine vollumfängliche Auswertung durchgeführt worden sei. Es seien 51 Datenträger sichergestellt worden. Die Datenmenge der auszuwertenden Datenträger belaufe sich auf 56 GB. Im Rahmen der kursorischen Suche mittels KI seien keine kinder- oder jugendpornographischen Inhalte, sondern lediglich pornographische und tierpornographische Inhalte festgestellt worden. Auf erneute Anfrage teilte die Kreispolizeibehörde im April 2024 mit, dass die Datensicherung vorliege und dem LKA zur Auswertung zu übermitteln sei. Aufgrund von Daten in älteren Verfahren werde die Übertragung noch Zeit in Anspruch nehmen. Insofern wurde um Fristverlängerung bis zum 30.09.2024 gebeten. Im Oktober 2024 teilte die Kreispolizeibehörde dann mit, dass die Daten zum LKA übersandt worden seien, aber wegen vorrangiger Verfahren noch nicht mit der Auswertung begonnen werden könne. Es wurde erneut eine Fristverlängerung bis zum 30.06.2025 ersucht. Auf abermalige Sachstandsanfrage teilte die Kreispolizeibehörde am 30.07.2025 mit, dass eine Auswertung aufgrund der Belastung der Dienststelle und personellen Veränderungen nicht aufgenommen werden könne und bat um erneute Fristverlängerung bis 01.12.2025.

Es ist zwar zutreffend, dass dem konkreten Verfahren des Beschwerdeführers im Vergleich zu Haftsachen, älteren Verfahren oder umfangreichen Verfahren der organisierten Kriminalität eine eher geringe Priorität bei der Abarbeitung etwaiger Rückstände zuzumessen ist. Nach mehreren Sachstandsanfragen seitens der Staatsanwaltschaft und beantragten Fristverlängerungen seitens der Kreispolizeibehörde ist der aktuelle Stand (September 2025), dass die Auswertung aufgrund der Belastung der Dienststelle, personellen Veränderungen sowie vorrangigen Verfahren nicht aufgenommen werden kann. Zunächst sind noch priorisierte Ermittlungsverfahren oder gar noch ältere Ermittlungsverfahren auszuwerten. Es ist auch nicht mitgeteilt worden, dass eine Auswertung zeitnah vorgenommen wird oder mit welcher Zeitspanne zu rechnen ist. Es ist zudem zu berücksichtigen, dass es sich vorliegend um noch überschaubare Datenmengen von 56 GB handelt, die Geräte nicht verschlüsselt waren bzw. die PIN herausgegeben wurden. In Anbetracht dessen ist eine vorläufige Sicherstellung für die Dauer von mittlerweile zweieinhalb Jahren seit der Durchsuchung unverhältnismäßig.

Denn personelle und/oder sachliche Defizite in der Ausstattung der Ermittlungsbehörden dürfen sich gerade nicht zu Lasten des Beschuldigten eines Strafverfahrens auswirken. Es ist dabei unerheblich, ob die Defizite von den Ermittlungsbehörden selbst verschuldet wurden oder ob diese in der Lage sind, die Missstände eigenständig zu beseitigen. Die Gerichte verfehlen die ihnen obliegende Aufgabe, den Grundrechtsschutz der Betroffenen zu verwirklichen, wenn sie angesichts des Versagens des Staates, die Justiz mit dem erforderlichen Personal auszustatten, die im Falle einer Verletzung des Beschleunigungsgebots gebotenen Konsequenzen nicht ziehen (vgl. BVerfG, Beschluss vom 19.09.2007 - 2 BvR 1850/07). Dies gilt insbesondere, wenn es sich um einen anhaltenden und nicht nur vorübergehenden Überlastungszustand handelt (vgl. OLG Stuttgart, Beschl. v. 21.4.2011 - 2 HEs 37-39/11).

Es ist zudem nicht dargelegt, aus welchem Grund die Datenträger trotz ihrer erfolgten Sicherung und der bereits langfristig bekannten hohen Bearbeitungszeiten weiter einbehalten werden müssen. Ausweislich der Mitteilung der Kreispolizeibehörde ist eine Datensicherung bereits erfolgt. Die Herausgabe der sichergestellten Speichermedien steht einer etwaigen Einziehung nicht entgegen. Diese kann auch bei vorheriger Herausgabe mit Rechtskraft der Einziehungsentscheidung vollstreckt werden (§ 459g StPO). Anhaltspunkte dafür, dass der Beschwerdeführer eine spätere Vollstreckung der Einziehung verhindern oder die Datenträger anderweitig dem Zugriff der Ermittlungsbehörden entziehen könnte, sind nicht ersichtlich. Die beschlagnahmten Gegenstände in Form der Mobiltelefone sowie des Tablets unterliegen ferner einem konstanten Wertverlust.

Auch die Schwere des Tatvorwurfes rechtfertigt den andauernden Grundrechtseingriff nicht. Zum Zeitpunkt der Beschlagnahme wurde dem Beschwerdeführer ein Fall der §§ 184b Abs. 1 Nr. 1, 184c Abs. 1 Nr. 1 StGB vorgeworfen. Es handelt sich hierbei um ein Vergehen im Sinne des § 12 Abs. 2 StGB. Der Beschwerdeführer ist nicht einschlägig vorbestraft. Sein Bundeszentralregisterauszug vom 29.09.2025 weist lediglich eine Verurteilung wegen Fahrens ohne Fahrerlaubnis auf. Die zu erwartenden Rechtsfolgen im Falle einer Verurteilung dürften sich daher im überschaubaren Bereich bewegen. Die Kammer verkennt nicht, dass bislang lediglich eine Überprüfung der Datenträger auf inkriminierten Material mittels KI erfolgte, welche lediglich einer kursorischen Auswertung entspricht und bei der es sich keineswegs um eine vollständige Auswertung handelt. Allerdings sind bei dieser kursorischen Suche gerade keine kinder- oder jugendpornographischen Inhalte, sondern lediglich pornographische und tierpornographische Inhalte festgestellt worden. Auch das verfahrensgegenständliche Video konnte weder über den Hashwert noch über den Dateinamen auf einem der Asservate festgestellt werden.

Eine Gesamtschau der vorstehenden Faktoren ergibt, dass bei Außerachtlassung von Umständen, die verfassungsrechtlich nicht zu Lasten des Beschwerdeführers berücksichtigt werden dürfen, die konkrete Dauer der Beschlagnahme von zwei Jahren und sechs Monaten nicht mehr verhältnismäßig ist.

Der angefochtene Beschluss war deshalb in dem Tenor bezeichnenden Umfang aufzuheben und die Herausgabe der im Tenor benannten Gegenstände anzuordnen. Mangels Antrag des Beschwerdeführers war gerade nicht die Herausgabe aller sichergestellten Gegenstände anzuordnen. Der Antrag des Beschwerdeführers bezieht sich dem eindeutigen Wortlaut nach nur auf die Mobiltelefone, das Tablet Acer weiß sowie die Festplatten. Im Vergleich zum Antrag auf gerichtliche Entscheidung, mit welchem noch die Herausgabe sämtlicher elektronischer Geräte beantragt wurde und diese in der Begründung noch einmal alle explizit genannt wurden, kann der Beschwerdeantrag nur dahingehend ausgelegt werden, dass lediglich die beantragten Gegenstände herausgegeben werden sollen. Der Schlagring war mangels Antrag ebenfalls nicht herausgeben. Im Übrigen scheidet eine Herausgabe aus, weil der sichergestellte Schlagring mit dem gegenständlichen Vorwurf nicht im Zusammenhang steht und sich die Frage der Verhältnismäßigkeit der vorläufigen Sicherstellung zum Zwecke der Durchsicht bei dem Schlagring gerade nicht stellt.

Den Volltext der Entscheidung finden Sie hier:

EuGH
Urteil vom 19.03.2026
C-371/24

Der EuGH hat entschieden, dass die Erhebung biometrischer Daten im Rahmen eines strafrechtlichen Ermittlungsverfahrens durch Polizeibehörden nur bei unbedingter Erorderlichkeit zulässig ist.

Die Pressemitteilung des EuGH:
Die Erhebung biometrischer Daten im Rahmen eines strafrechtlichen Ermittlungsverfahrens durch eine Polizeibehörde kann nur mit einer unbedingten Erforderlichkeit gerechtfertigt werden

Erkennungsdienstliche Maßnahmen dürfen nicht systematisch angeordnet werden, sondern müssen klar begründet werden, andernfalls ist die strafrechtliche Sanktion für die Verweigerung, sich ihnen zu unterziehen, unwirksam.

Im Mai 2020 wurde HW in Paris wegen der Organisation einer nicht angemeldeten Demonstration und wegen Aufruhrs festgenommen. Während seines Polizeigewahrsams weigerte er sich, sich erkennungsdienstlichen Maßnahmen (Abnahme von Fingerabdrücken und Anfertigung von Fotografien) zu unterziehen.

HW wurde wegen dieser Weigerung verurteilt2, obwohl er wegen des Vergehens, das der beabsichtigten erkennungsdienstlichen Behandlung zugrunde lag, freigesprochen wurde. Er wandte sich gegen seinen Schuldspruch und trug vor, dass die anwendbare französische Regelung nicht mit den europäischen Rechtsvorschriften über den Schutz personenbezogener Daten im Bereich des Strafrechts vereinbar sei.

n diesem Zusammenhang hat sich das Berufungsgericht Paris an den Gerichtshof gewandt. Es möchte im Wesentlichen wissen, ob das Unionsrecht nationalen Behörden gestattet, von jeder Person, die einer Straftat verdächtigt wird, systematisch Fingerabdrücke abzunehmen und Fotografien anzufertigen, ohne diese Maßnahme im Einzelfall rechtfertigen zu müssen. Es möchte auch wissen, ob eine Person für die Weigerung, sich erkennungsdienstlichen Maßnahmen zu unterziehen, selbst dann strafrechtlich verfolgt werden darf, wenn sie für die Straftat, derer sie verdächtigt wurde, letztlich nicht verfolgt wird.

Der Gerichtshof konkretisiert in seinem Urteil die Anforderungen, die an die nationalen Behörden gestellt werden, wenn sie biometrische Daten (Fingerabdrücke, Fotografien) für strafrechtliche Ermittlungsverfahren erheben.

Zunächst weist der Gerichtshof darauf hin, dass biometrische Daten zu den sensiblen personenbezogenen Daten im Sinne des Unionsrechts gehören, die einem verstärkten Schutz unterliegen: Ihre Verarbeitung ist nur erlaubt, wenn sie unbedingt erforderlich4 ist und geeignete Garantien für die Rechte und Freiheiten der betroffenen Person bestehen.

Das bloße Vorliegen eines oder mehrerer plausibler Gründe für den Verdacht einer Straftat reicht nicht aus, um die Erhebung biometrischer Daten zu rechtfertigen. Jede Entscheidung, erkennungsdienstliche Maßnahmen durchzuführen, muss daher mit einer klaren Begründung versehen sein, die auch summarisch sein kann und es der betroffenen Person ermöglicht, die Gründe der Maßnahme zu verstehen und ihr Recht auf Einlegung eines Rechtsbehelfs auszuüben. Da die Erhebung nicht systematisch erfolgen darf, stellt diese Begründungspflicht keine unverhältnismäßige Belastung für die Behörde dar.

Der Gerichtshof stellt außerdem klar, dass eine nationale Regelung, die eine systematische Erhebung vorschriebe, ohne dass die zuständige Polizeibehörde die Möglichkeit hätte, die Erforderlichkeit im Einzelfall zu prüfen, mit dem Unionsrecht unvereinbar wäre, da sie zu einer unterschiedslosen und allgemeinen Erhebung biometrischer Daten führen würde. Das nationale Recht muss daher die konkreten Zwecke der Erhebung festlegen.

Zur Rechtmäßigkeit einer Sanktion für die Weigerung, sich einer Erhebung biometrischer Daten zu unterziehen, entscheidet der Gerichtshof, dass sie davon abhängt, ob die zugrunde liegende Erhebung die Voraussetzung der unbedingten Erforderlichkeit erfüllt: Erfüllt sie diese Voraussetzung, verstößt die Sanktion nicht gegen das Unionsrecht, sofern sie dem in der Charta der Grundrechte der Europäischen Union vorgesehenen Grundsatz der Verhältnismäßigkeit genügt.

Tenor der Entscheidung:
1. Art. 10 in Verbindung mit Art. 4 Abs. 1 Buchst. a bis c und Art. 8 der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates ist dahin auszulegen, dass er einer nationalen Regelung entgegensteht, die die systematische Erhebung biometrischer Daten jeder Person vorsieht, gegen die ein oder mehrere plausible Gründe für den Verdacht bestehen, dass sie eine Straftat begangen hat oder versucht hat, eine Straftat zu begehen, es sei denn, dass das nationale Recht die mit dieser Erhebung verfolgten speziellen und konkreten Zwecke angemessen und hinreichend genau definiert und die zuständige Behörde verpflichtet ist, in jedem Einzelfall zu prüfen, ob die Erhebung zur Erreichung dieser Zwecke unbedingt erforderlich ist, so dass sie nicht systematisch erfolgt.

2. Art. 10 in Verbindung mit Art. 4 Abs. 4 und Art. 54 der Richtlinie 2016/680 ist unter erücksichtigung von Art. 47 der Charta der Grundrechte der Europäischen Union dahin auszulegen, dass er einer nationalen Regelung entgegensteht, die für die zuständige Behörde keine Verpflichtung vorsieht, in jedem Einzelfall angemessen zu begründen, dass es im Sinne von Art. 10 der Richtlinie „unbedingt erforderlich“ ist, die biometrischen Daten jeder Person zu erheben, gegen die ein oder mehrere plausible Gründe für den Verdacht bestehen, dass sie eine Straftat begangen hat oder versucht hat, eine Straftat zu begehen.

3. Art. 10 in Verbindung mit Art. 4 Abs. 1 Buchst. a bis c und Art. 8 der Richtlinie 2016/680 ist unter Berücksichtigung von Art. 49 Abs. 3 der Charta der Grundrechte dahin auszulegen, dass
er einer nationalen Regelung, die es erlaubt, eine Person wegen einer eigenständigen Straftat zu verfolgen und zu verurteilen, mit der ihre Weigerung, die Erhebung ihrer biometrischen Daten zu gestatten, geahndet wird, obwohl sie wegen der Straftat, die der beabsichtigten Datenerhebung zugrunde lag, nicht verfolgt oder verurteilt wurde, nicht entgegensteht, sofern die Erhebung „unbedingt erforderlich“ im Sinne von Art. 10 der Richtlinie ist und die insoweit verhängte strafrechtliche Sanktion dem Verhältnismäßigkeitsgrundsatz genügt.

Den Volltext der Entscheidung finden Sie hier:

VG Düsseldorf
Urteil vom 05.03.2026
29 L 4014/25

Das VG Düsseldorf hat entschieden, dass ein DSGVO-Verstoß vorliegt, wenn ein Reiseveranstalter Videos von Badegästen ohne deren Einwilligung zu Werbezwecken bei Facebook veröffentlicht. Insbesondere kann sich der Reiseveranstalter nicht auf ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO berufen.

Aus den Entscheidungsgründen:
Auch in materieller Hinsicht begegnet der angegriffene Bescheid hinsichtlich Ziffer I. keinen rechtlichen Bedenken. Beurteilungszeitpunkt für die Rechtmäßigkeit der angefochtenen Anordnung ist die Sach- und Rechtslage, die zum Zeitpunkt der letzten Behördenentscheidung am 29. Oktober 2025 galt.

Vgl. BVerwG, Urteil vom 29. Januar 2025 - 6 C 3.23 -, juris Rn. 21.

Dies folgt daraus, dass für die Aufsichtsbehörde bei Feststellung eines Verstoßes gegen Datenschutzrecht ein Ermessensspielraum für das daran angeknüpfte Vorgehen besteht.

Vgl. Matzke, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, 54. Edition, Stand: 1. August 2025, Art. 58 DSGVO Rn. 18.

Die gerichtliche Nachprüfung einer behördlichen Ermessensentscheidung bezieht sich auf den Zeitpunkt der Ausübung des Ermessens, wenn sich aus dem materiellen Recht nichts Abweichendes ergibt. Die Verwaltungsgerichte prüfen diese Auswahlentscheidungen nach Maßgabe des § 114 Satz 1 VwGO. Insbesondere sind sie daran gehindert, ihre eigenen Auswahlerwägungen an die Stelle derjenigen der Behörde zu setzen. Dies schließt es grundsätzlich aus, Ermessensentscheidungen anhand von tatsächlichen und rechtlichen Erkenntnissen nachzuprüfen, die die Behörde nicht in ihre Erwägungen einbeziehen konnte, weil sie zum Zeitpunkt der Ermessensausübung noch nicht vorlagen.

Vgl. BVerwG, Urteil vom 27. März 2019 - 6 C 2/18 -, juris Rn. 11.

Nach dem Regelungsgehalt des Art. 58 Abs. 2 lit. d DSGVO ist kein anderer Beurteilungszeitpunkt geboten.

Vgl. VG Bremen, Urteil vom 23. April 2025 - 4 K 2873/23 -, juris Rn. 37 unter Bezugnahme auf BVerwG, Urteil vom 27. März 2019 - 6 C 2/18 -, juris Rn. 11 sowie Rn. 38 f. (dort noch zu § 38 Abs. 5 Satz 1 des Bundesdatenschutzgesetzes a.F.).

Durchgreifende Bedenken gegen die Bestimmtheit im Sinne von § 37 Abs. 1 VwVfG NRW der in Ziffer I. des Bescheides enthaltenen Anordnung bestehen nicht.

Danach verlangt eine inhaltliche Bestimmtheit, dass der Inhalt der von der Behörde getroffenen Regelung für die Beteiligten, insbesondere für den oder die Adressaten des Verwaltungsakts, so vollständig, klar und unzweideutig erkennbar ist, dass sie ihr Verhalten danach richten können.

Vgl. Matzke, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, 54. Edition, Stand: 1. August 2025, Art. 58 DSGVO Rn. 25; Nguyen, in: Gola/Heckmann, DSGVO BDSG, 3. Auflage 2022, Art. 58 DSGVO Rn. 16 unter Verweis auf VG Ansbach, Urteil vom 12. August 2014 - AN 4 K 13.01634 -, SVR 2015, 235, 239.

Die Erkennbarkeit des Inhalts der Regelung ist aufgrund einer Auslegung des Verwaltungsakts entsprechend §§ 133, 157 des Bürgerlichen Gesetzbuchs ausgehend vom Wortlaut unter Berücksichtigung der weiteren Umstände des Einzelfalls und nach Treu und Glauben zu ermitteln. Dabei ist nicht erforderlich, dass sich der Inhalt des Verwaltungsakts allein aus dem verfügenden Teil präzise ergibt; vielmehr sind die den Beteiligten bekannten oder ohne Weiteres erkennbaren Umstände sowie vor allem die dem Verwaltungsakt beigefügte Begründung zur Auslegung des Regelungsinhalts heranzuziehen.

Vgl. Ramsauer, in: Kopp/Ramsauer, VwVfG, 25. Auflage 2024, § 37 Rn. 5.

Zulässig sind auch Bezugnahmen im Verwaltungsakt auf gegenüber den Beteiligten früher ergangene Verwaltungsakte, ihnen bekannte und ihnen vorliegende oder jederzeit zugänglich Unterlagen, Pläne, technische Regelwerke usw.
Vgl. Ramsauer, in: Kopp/Ramsauer, VwVfG, 25. Auflage 2024, § 37 Rn. 5.

Diesen Anforderungen genügt der angegriffene Bescheid. Dies gilt zunächst hinsichtlich des Einwandes, der Antragstellerin werde durch die Anordnung, sämtliche auf der Facebook-Plattform „E.“ veröffentlichten Filmaufnahmen so zu verändern, „[…] dass eine Identifizierung von Personen […] nicht möglich ist, […]“, unzulässigerweise die Auswahl aufgegeben. Die Antragsgegnerin hat mit Verwendung des Einschubes „[…] unter Berücksichtigung aller Mittel, die von Ihnen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, […]“ das Ziel der geforderten Handlung hinreichend bestimmt angegeben. Mit dieser Konkretisierung kann die Antragstellerin ohne Weiteres beurteilen, in welchen Fällen sie eine Veränderung eines Videos vorzunehmen hat. Die getroffene Regelung berücksichtigt, dass die Frage, wann eine Person identifizierbar ist, stets aus verschiedenen Wahrnehmungsperspektiven erfolgen kann. Damit übereinstimmend stellt Erwägungsgrund 26 Satz 3 zur DSGVO darauf ab, dass zur Feststellung, ob eine natürliche Person identifizierbar ist, alle Mittel berücksichtigt werden sollten, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern. Nach Erwägungsgrund 26 Satz 4 zur DSGVO sollten bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind. Soweit die Antragstellerin vorträgt, damit werde ihr in unzulässiger Weise eine Auswahlentscheidung übertragen, betrifft dies nicht die Frage der Bestimmtheit, sondern der Verhältnismäßigkeit (dazu sogleich).

Für die Antragstellerin ist auch ohne weiteres erkennbar, dass sie Adressatin des Bescheides und insbesondere der in Ziffer I. enthaltenen Anweisung ist. Der angegriffene Bescheid ist ausweislich des Adressfeldes an die „L. GmbH, z. Hd. des Geschäftsführers, H.-straße 0, N01 P.“ gerichtet. Daraus ergibt sich als Inhaltsadressatin die Antragstellerin als juristische Person des Privatrechts. Damit übereinstimmend heißt es in der Einleitung des Schreibens „Sehr geehrter Herr Z., gegenüber der L. GmbH […] ergeht folgende Anweisung […]“. Die Formulierung „von Ihnen oder einer anderen Person“ bezieht sich allein auf die Mittel, die von dem Verantwortlichen oder einer anderen Person wahrscheinlich zur Identifizierung genutzt werden und nimmt damit auf Erwägungsgrund 26 Satz 3 zur DSGVO Bezug. Die Antragsgegnerin hat in diesem Zusammenhang dargelegt, dass im vorliegenden Fall einer weltweiten Veröffentlichung hinsichtlich der Möglichkeiten zur Identifizierung etwaiges Zusatzwissen dritter Personen zu berücksichtigen sei. Es ist auch nicht Aufgabe der Antragsgegnerin, die Mittel zur Identifizierung abschließend zu eruieren und sodann gegenüber der Antragstellerin zu benennen. Vielmehr ist die Antragstellerin als Verantwortliche nach Art. 5 Abs. 2 DSGVO für die Einhaltung der Datenschutzgrundsätze verantwortlich und muss dies auch nachweisen können. Hat die Antragstellerin über die Veröffentlichung der Videos einem weltweit bestehenden und damit potentiell unbegrenzten Personenkreis die Möglichkeit der Identifizierung von betroffenen Personen eröffnet, ist es auch ihre Aufgabe festzustellen, ob eine natürliche Person identifizierbar ist.

Schließlich steht der Bestimmtheit der Anordnung in Ziffer I. nicht entgegen, dass sich die Regelung auf sämtliche veröffentlichte Videos auf der Facebook-Internetseite der Antragstellerin bezieht, wobei das streitgegenständliche Video nicht mehr vorhanden ist und auch alle weiteren Live-Videos infolge einer geänderten Facebook-Policy nach 30 Tagen gelöscht bzw. heruntergeladen werden. Denn die Formulierung „sämtliche“ in Ziffer I. bezieht sich auf eine genau bestimmbare Gruppe von Videos, nämlich die bis zum Zeitpunkt des Bescheiderlasses veröffentlichten Aufnahmen und nicht etwa die noch zu veröffentlichenden bzw. von der Antragstellerin beabsichtigten Videos. Letztere wären von der Antragsgegnerin ggf. in einer gesonderten Anweisung zu erfassen. Auch die in Ziffer I. des Bescheides enthaltene Frist ändert nichts an der Bestimmtheit der Regelung, da es sich hierbei lediglich um die Umsetzungsfrist für die von der Antragsgegnerin angeordnete Maßnahme handelt.

Auch im Übrigen begegnet Ziffer I. des angegriffenen Bescheids keinen materiellen Bedenken. Die Anordnung lässt sich auf Art. 58 Abs. 2 lit. d DSGVO stützen, wonach jede Aufsichtsbehörde - und damit auch die Antragsgegnerin - den Verantwortlichen oder den Auftragsverarbeiter anweisen kann, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen. Voraussetzung für die Ausübung von Abhilfebefugnissen nach Art. 58 Abs. 2 DSGVO ist, dass ein Datenschutzverstoß vorliegt oder unmittelbar bevorsteht.

Vgl. Nguyen, in: Gola/Heckmann, DSGVO BDSG, 3. Auflage 2022, Art. 58 DSGVO Rn. 2; Matzke, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, 54. Edition, Stand: 1. August 2025, Art. 58 DSGVO Rn. 18.

Dies ist hier der Fall. Dadurch, dass die Antragstellerin auf ihrer Facebook-Internetseite „E.“ Filmaufnahmen wie das Video „N.“ veröffentlicht hat, hat sie gegen Art. 5 Abs. 1 lit. a DSGVO verstoßen. Danach müssen personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“). Diesen Anforderungen wird die Tätigkeit der Antragstellerin auf ihrer Facebook-Seite nicht gerecht.

Die Antragstellerin kann sich nicht auf eine Datenverarbeitungsgrundlage im Sinne von Art. 6 Abs. 1 DSGVO berufen. Eine Einwilligung der betroffenen Personen im Sinne von Art. 6 Abs. 1 lit. a DSGVO liegt nicht vor. Die Antragstellerin kann sich auch nicht auf Art. 6 Abs. 1 lit. f DSGVO berufen. Danach ist die Verarbeitung rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Diese Voraussetzungen sind nicht erfüllt. Ob eine Verarbeitungsgrundlage im Sinne von Art. 6 Abs. 1 lit. f DSGVO vorliegt, erfolgt anhand einer dreistufigen Prüfung.

Vgl. Datenschutzkonferenz, Orientierungshilfe der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 20. Dezember 2021, Stand: 20. Dezember 2021, S. 31; Buchner/Petri, in: Kühling/Buchner, DSGVO BDSG, 4. Auflage 2024, Art. 6 DSGVO Rn. 146, m.w.N.

Auf der ersten Stufe ist zu klären, ob zum Zeitpunkt der Verarbeitung überhaupt ein berechtigtes Interesse des Verantwortlichen oder eines Dritten, dem die Daten übermittelt werden, vorliegt. Auf einer zweiten Stufe geht es sodann um die Frage der Erforderlichkeit der Datenverarbeitung zur Verwirklichung dieses berechtigten Interesses und auf einer dritten Stufe dürfen die Grundrechte und Grundfreiheiten der von der Datenverarbeitung betroffenen Person nicht das wahrgenommene berechtigte Interesse überwiegen.

Vgl. Buchner/Petri, in: Kühling/Buchner, DSGVO BDSG, 4. Auflage 2024, Art. 6 DSGVO Rn. 146.

Die Interessenabwägung im Rahmen des Art. 6 Abs. 1 lit. f DSGVO verlangt eine substantielle Auseinandersetzung mit den Interessen, Grundrechten und Grundfreiheiten der Beteiligten und muss auf den konkreten Einzelfall bezogen sein.

Als Vermittlerin von Kreuzfahrten verschiedener Reedereien und damit verbundener Reiseleistungen kann sich die Antragstellerin auf ein wirtschaftliches Interesse berufen.

Vgl. auch Buchner/Petri, in: Kühling/Buchner, DSGVO BDSG, 4. Auflage 2024, Art. 6 DSGVO Rn. 147.

Die Veröffentlichung eines Videos, auf dem viele der anwesenden Personen ohne weiteres erkennbar sind, ist zur Wahrung der wirtschaftlichen Interessen der Antragstellerin aber nicht erforderlich. Voraussetzung einer Erforderlichkeit ist, dass kein milderes, gleich effektives Mittel zur Verfügung steht, um die Interessen des Verantwortlichen zu erreichen.

Vgl. VG Ansbach, Urteil vom 23. Februar 2022 - AN 14 K 20.00083 -, juris Rn. 40; Buchner/Petri, in: Kühling/Buchner, DSGVO BDSG, 4. Auflage 2024, Art. 6 DSGVO Rn. 147c.

h der Rechtsprechung des EuGH muss eine Datenverarbeitung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO innerhalb der Grenzen dessen erfolgen, was zur Verwirklichung der berechtigten Interessen „unbedingt notwendig“ ist.

Vgl. EuGH, Urteile vom 4. Juli 2023 - C-252/21 -, GRUR 2023, 1131, 1141 Rn. 126 und vom 11. Dezember 2019 - C-708/17 -, ZD 2020, 148, 149 Rn. 46.

Entsprechend kann die Erforderlichkeit nicht allein damit begründet werden, dass es sich bei der beabsichtigten Datenverarbeitung um die aus Sicht des Verantwortlichen wirtschaftlich sinnvollste Alternative handelt.

Vgl. VG Ansbach, Urteil vom 23. Februar 2022 - AN 14 K 20.00083 -, juris Rn. 41; Buchner/Petri, in: Kühling/Buchner, DSGVO BDSG, 4. Auflage 2024, Art. 6 DSGVO Rn. 147c.

Danach hat die Antragstellerin nicht dargelegt, warum in den von ihr veröffentlichten Filmaufnahmen unbeteiligte Personen zur Verfolgung des genannten Werbezwecks identifizierbar bleiben müssen. Sie schildern weder ihre Reiseeindrücke noch tragen sie in sonstiger Weise zum Inhalt des Videos bei.

Darüber hinaus ergibt eine Abwägung der betroffenen Interessen auf der dritten Stufe, dass die von der Antragstellerin verfolgten Zwecke hinter die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Personen, die den Schutz personenbezogener Daten gewährleisten, zurücktreten. Dabei ist zu berücksichtigen, dass im Rahmen der abschließenden Interessenabwägung grundsätzlich von einer Schutzwürdigkeit der Betroffeneninteressen auszugehen ist. Sinn und Zweck des Rechts auf informationelle Selbstbestimmung ist es gerade, den Einzelnen vor den Registrierungs- und Verfügungsmöglichkeiten automatisierter Datenverarbeitung zu schützen.

Vgl. bereits BGH, Urteil vom 17. Dezember 1985 - VI ZR 244/84 -, NJW 1986, 2505, 2506; Buchner/Petri, in: Kühling/Buchner, DSGVO BDSG, 4. Auflage 2024, Art. 6 DSGVO Rn. 148.

Dabei folgt aus der allgemeinen Rechenschaftspflicht nach Art. 5 Abs. 2, 24 Abs. 1 Satz 1 DSGVO, dass der Verantwortliche - hier die Antragstellerin - die Darlegungslast dafür trägt, dass die Interessen der betroffenen Person nicht überwiegen.

Vgl. EuGH, Urteil vom 4. Juli 2023 - C-252/21 -, GRUR 2023, 1131, 1139 Rn. 95; Schantz, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2. Auflage 2025, Art. 6 Abs. 1 DSGVO Rn. 106.

Vorliegend überwiegen die Betroffeneninteressen. Die aufgezeichneten Personen befinden sich im Urlaub und damit in ihrer Freizeit. Dieser Umstand ist besonders schutzbedürftig, da Menschen nicht davon ausgehen müssen, dass sie ohne ihre Kenntnis und Einwilligung zu Werbezwecken aufgenommen werden. Insoweit folgt aus Erwägungsgrund 47 Satz 4 zur DSGVO, dass insbesondere dann, wenn personenbezogene Daten in Situationen verarbeitet werden, in denen eine betroffene Person vernünftigerweise nicht mit einer weiteren Verarbeitung rechnen muss, die Interessen und Grundrechte der betroffenen Person das Interesse des Verantwortlichen überwiegen können.
Vgl. Buchner/Petri, in: Kühling/Buchner, DSGVO BDSG, 4. Auflage 2024, Art. 6 DSGVO Rn. 152.

Ebenso überwiegen die Interessen der betroffenen Person auch dann, wenn zwischen dieser und dem Verantwortlichen keine vertraglichen oder geschäftlichen Verbindungen bestehen, die die konkrete Datenverarbeitung vernünftigerweise absehbar machen.

Vgl. OVG Lüneburg, Beschluss vom 19. Januar 2021 - 11 LA 16/20 -, MMR 2021, 593, 595 Rn. 22.

Besonderes Gewicht kommt hier dem Umstand zu, dass ein auf Facebook veröffentlichtes Video weltweit potentiell Millionen Inhabern eines Accounts zugänglich ist. Auch die von der Antragstellerin dargelegte Lösch-Policy von Facebook ändert daran nichts, da auf Facebook veröffentlichte Filmaufnahmen jedenfalls für eine gewisse Zeit einsehbar sind und in dieser Zeit auch Inhalte extrahiert bzw. heruntergeladen werden können. Dass die Aufnahmen auch von solchen Örtlichkeiten stammen, an denen sich sogenannte Influencer aufhalten und Filmaufnahmen produzieren, führt ebenfalls zu keinem anderen Ergebnis. Allein mit dem Besuch einer solchen Örtlichkeit liegt noch kein Einverständnis in die Datenverarbeitung der jeweils aufgezeichneten Person vor. Auch begeben sich Personen nicht des durch die DSGVO gewährleisteten Schutzes, sobald sie solche Örtlichkeiten aufsuchen. Hinzu kommt, dass diese Personen in keiner geschäftlichen oder sonstigen Beziehung zur Antragstellerin stehen.

Ohne Bedeutung ist auch, dass sich die Antragstellerin auf § 23 Abs. 1 Nr. 2 KUG bzw. eine Wertung im Sinne dieser Vorschrift beruft, wonach ohne die nach § 22 KUG erforderliche Einwilligung Bilder, auf denen Personen nur als Beiwerk neben einer Landschaft oder sonstigen Örtlichkeit erscheinen, verbreitet und zur Schau gestellt werden dürfen. Denn das Kunsturhebergesetz findet in der vorliegenden Konstellation bereits keine Anwendung.

Nach Art. 85 Abs. 2 DSGVO sehen die Mitgliedstaaten für die Verarbeitung, die zu journalistischen Zwecken oder zu wissenschaftlichen, künstlerischen oder literarischen Zwecken erfolgt, Abweichungen oder Ausnahmen unter anderem von Kapitel II (Grundsätze) vor, wenn dies erforderlich ist, um das Recht auf Schutz personenbezogenen Daten mit der Freiheit der Meinungsäußerung und der Informationsfreiheit in Einklang zu bringen. Aufgrund der Öffnungsklausel des Art. 85 Abs. 2 DSGVO sind Datenverarbeitungen zu journalistischen Zwecken von den die Rechtmäßigkeit der Datenverarbeitung betreffenden Vorschriften in Art. 6 und Art. 7 DSGVO durch nationale Regelungen wie etwa das Kunsturhebergesetz ausgenommen worden.

Vgl. BGH, Urteil vom 27. Mai 2025 - VI ZR 337/22 -, juris Rn. 12, m.w.N.

Eine Zweckbestimmung im vorgenannten Sinne ist nach der Rechtsprechung des EuGH nicht allein deshalb ausgeschlossen, weil damit zugleich auch eine Gewinnerzielungsabsicht verfolgt wird.

Vgl. EuGH, Urteil vom 16. Dezember 2008 - C-73/07 -, EuZW 2009, 108, 110 Rn. 59; Buchner/Tinnefeld, in: Kühling/Buchner, DSGVO BDSG, 4. Auflage 2024, Art. 85 DSGVO Rn. 15.

Allerdings liegen journalistische Zwecke im Sinne von Art. 85 Abs. 2 DSGVO nur dann vor, wenn die Verarbeitung im Zusammenhang mit der journalistisch-redaktionellen und damit meinungsrelevanten Tätigkeit eines Medienredakteurs steht.

Vgl. OVG Lüneburg, Beschluss vom 19. Januar 2021 - 11 LA 16/20 -, MMR 2021, 593, 597 Rn. 39; Lauber-Rönsberg, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, 54. Edition, Stand: 1. August 2025, Art. 85 DSGVO Rn. 20; Buchner/Tinnefeld, in: Kühling/Buchner, DSGVO BDSG, 4. Auflage 2024, Art. 85 DSGVO Rn. 17a.

Demgegenüber enthält Art. 85 Abs. 2 DSGVO kein allgemeines Meinungsprivileg und findet somit nicht auf alle Meinungsäußerungen im Internet Anwendung. Auch ist Journalismus nicht stets allein schon deshalb anzunehmen, weil sich jemand mit Informationen an die Öffentlichkeit wendet.

Vgl. OVG Lüneburg, Beschluss vom 19. Januar 2021 - 11 LA 16/20 -, MMR 2021, 593, 597 Rn. 39.

Danach handelt es sich bei den von der Antragstellerin auf ihrer Facebook-Internetseite veröffentlichten Filmaufnahmen nicht um Journalismus im Sinne von Art. 85 Abs. 2 DSGVO. Das zwischenzeitlich von ihr entfernte Video „N.“ diente ausschließlich Werbezwecken. Die Antragstellerin vermittelt nach eigenen Angaben Kreuzfahrten verschiedener Reedereien und damit verbundene Reiseleistungen. Auf ihrer Facebook-Internetseite „E.“ heißt es in der Rubrik „Beiträge“ unter der Überschrift „Intro“ etwa: „[…] Entdecke die ganze Welt des Reisens mit E.. Wir sind 365 Tage im Jahr persönlich für dich da […]“.

Vgl. https://www.facebook..[..........]_DE (zuletzt aufgerufen am 5. März 2026).

Unter der Rubrik „Info“ und „Seitentransparenz“ lässt sich über die Schaltfläche „Zur Werbebibliothek“ eine Aufstellung diverser aktiver Werbeanzeigen der Antragstellerin abrufen.

Vgl. https://www.facebook....[.........] (zuletzt aufgerufen am 2. März 2026).

Dass die Antragsgegnerin von ihrer Abhilfebefugnis nach Art. 58 Abs. 2 lit. d DSGVO Gebrauch gemacht hat, begegnet keinen rechtlichen Bedenken. Die Entscheidung für die geeignete Maßnahme im Sinne von Art. 58 Abs. 2 DSGVO liegt im pflichtgemäßen Ermessen der Behörde, wobei die Sachlage im Einzelfall zu berücksichtigen ist.

Vgl. Matzke, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, 54. Edition, Stand: 1. August 2025, Art. 58 DSGVO Rn. 18.

Die in Ziffer I. des Bescheides enthaltene Anordnung ist ermessensgerecht und verhältnismäßig. Ermessensfehler der Antragsgegnerin liegen nicht vor. Anhaltspunkte dafür, dass sich die Antragsgegnerin durch die Petentin des Beschwerdeverfahrens hat instrumentalisieren lassen, sind nicht ansatzweise ersichtlich. Es gehört im Gegenteil zu den Aufgaben der Aufsichtsbehörde, sich mit Beschwerden einer betroffenen Person zu befassen (Art. 58 Abs. 1 lit. f DSGVO).

Die von der Antragsgegnerin gewählte Abhilfemaßnahme nach Art 58 Abs. 2 lit. d DSGVO ist geeignet, erforderlich und angemessen. Es ist insbesondere nicht unverhältnismäßig, dass sich die Anweisung auf sämtliche veröffentlichte Filmaufnahmen auf der Facebook-Internetseite bezieht, auch wenn die Antragsgegnerin nur einen Datenschutzverstoß bei einem Verarbeitungsvorgang festgestellt hat.

Die in Art. 58 Abs. 2 lit. d DSGVO enthaltene grundlegende Anweisungsbefugnis der Aufsichtsbehörde, die alle Verarbeitungsvorgänge und deren Vereinbarkeit mit den Vorgaben der DSGVO betrifft, umfasst die Behebung materiellrechtlicher, aber auch technischer oder organisatorischer Mängel.

Vgl. Matzke, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, 54. Edition, Stand: 1. August 2025, Art. 58 DSGVO Rn. 23.

Gemessen daran konnte die Antragsgegnerin ausgehend von dem festgestellten Datenschutzverstoß und dem Geschäftsgebaren der Antragstellerin - Hochladen selbsterstellter Videos aus dem öffentlichen Raum zum Zwecke der Bewerbung der von ihr vermittelten Reisen - davon ausgehen, dass auch bei anderen Videos entsprechende Datenschutzverstöße anzunehmen sind. Die Antragstellerin bestärkte diesen Eindruck, indem sie im Verwaltungsverfahren - etwa mit Schreiben vom 24. Juli 2024 und 6. November 2024 - auch auf Hinweise der Antragsgegnerin weiterhin die Auffassung vertrat, es bestehe keine Veranlassung, das Video „N.“ oder andere Videoaufnahmen zu löschen oder durch Verwischen/Verschwimmen oder den Einsatz eines anderen Filters zu bearbeiten.

Auch im Übrigen bestehen keine Bedenken an der Verhältnismäßigkeit der Anordnung. Es ist nicht Aufgabe der Antragsgegnerin, den Bestand der auf der Facebook-Internetseite der Antragstellerin veröffentlichten Videos, der sich nach ihren Angaben über einen Zeitraum von etwa vier Jahren erstreckt, durchzuarbeiten und hinsichtlich jedes einzelnen Videos Bearbeitungsanweisungen gegenüber der Antragstellerin zu erlassen, denen diese unter Umständen entgegentreten würde. Vielmehr folgt aus der Rechenschaftspflicht der Antragstellerin nach Art. 5 Abs. 2, 24 Abs. 1 Satz 1 DSGVO, dass sie bereits mit Veröffentlichung der Filmaufnahmen auf ihrem Facebook-Account die Einhaltung der Vorgaben der DSGVO hätte sicherstellen müssen. Dies nachträglich zur Aufgabe der Antragsgegnerin zu machen, würde die in der DSGVO geregelte Verantwortung des für die Verarbeitung Verantwortlichen in ihr Gegenteil verkehren. Dass infolge der Entfernung eines Videos die damit verbundenen „Likes“ und Kommentare entfallen, führt in Anbetracht der überwiegenden Betroffeneninteressen zu keinem anderen Ergebnis. Im Übrigen hat die Antragstellerin vorgetragen, dass infolge der geänderten Lösch-Policy von Facebook, die sich auch auf Altvideos erstrecke, jedenfalls sogenannte Facebook-Live-Videos ohnehin nur für eine Zeit von 30 Tagen gespeichert würden.

Den Volltext der Entscheidung finden Sie hier:

VG Düsseldorf
Urteil vom 11.11.2024
29 K 4853/22

Das VG Düsseldorf hat entschieden, dass einen Betroffener keinen Anspruch gegen die datenschutzrechtliche Aufsichtsbehörde auf Abhilfemaßnahmen nach Art 58 Abs. 2 DSGVO hat, wenn der Verantwortliche für den Datenschutzverstoß nicht ermittelt werden kann.

Aus den Entscheidungsgründen:
Rechtsgrundlage der streitgegenständlichen Beschwerdeentscheidung ist Art. 57 Abs. 1 Buchst. f DSGVO i. V. m. Art. 77 Abs. 1 DSGVO, sofern das Landgericht U. und die Staatsanwaltschaft U. Verwaltungsaufgaben wahrnehmen (§ 5 Abs. 4 DSG NRW). Soweit durch das Landgericht U. an die Staatsanwaltschaft U. personenbezogene Daten zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit verarbeitet werden, ist der Anwendungsbereich der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörde zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates vom 27. April 2016 (JI-RL) eröffnet. Über die Regelungen in §§ 60 Abs. 2, 61 DSG NRW richtet sich die Beschwerdeentscheidung ebenfalls nach Art. 57 Abs. 1 Buchst. f DSGVO i.V.m. Art. 77 Abs. 1 DSGVO.

Aus diesen Rechtsnormen ergibt sich nicht lediglich ein petitionsähnliches Recht in dem Sinne, dass die gerichtliche Kontrolle darauf beschränkt wäre, ob sich die Aufsichtsbehörde mit der Beschwerde befasst, den Beschwerdegegenstand in angemessenem Umfang untersucht und den Beschwerdeführer über das Ergebnis der Prüfung unterrichtet hat.

So noch: OVG Rheinland-Pfalz, Urteil vom 26. Oktober 2020 – 10 A 10613/20 –, juris Rn. 37 ff.; VGH Baden-Württemberg, Urteil vom 22. Januar 2020 – 1 S 3001/19 –, juris Rn. 51,

Stattdessen unterliegt die Entscheidung der Aufsichtsbehörde einer vollständigen inhaltlichen Überprüfung durch das Gericht. Insbesondere ist jede Aufsichtsbehörde nach Art. 57 Abs. 1 Buchst. f DSGVO verpflichtet, sich in ihrem Hoheitsgebiet mit Beschwerden zu befassen, die jede Person gem. Art. 77 Abs. 1 DSGVO einlegen kann, wenn sie der Ansicht ist, dass eine Verarbeitung sie betreffender personenbezogener Daten gegen diese Verordnung verstößt, und den Gegenstand der Beschwerde in angemessenem Umfang zu untersuchen. Die Aufsichtsbehörde muss eine solche Beschwerde mit aller gebotenen Sorgfalt bearbeiten. Hinsichtlich der Bearbeitung von Beschwerden verleiht Art. 58 Abs. 1 DSGVO jeder Aufsichtsbehörde weitreichende Untersuchungsbefugnisse. Stellt eine solche Behörde am Ende ihrer Untersuchung einen Verstoß gegen die Bestimmungen dieser Verordnung fest, ist sie verpflichtet, in geeigneter Weise zu reagieren, um der festgestellten Unzulänglichkeit abzuhelfen. Zu diesem Zweck werden in Art. 58 Abs. 2 DSGVO die verschiedenen der Aufsichtsbehörde zur Verfügung stehenden Abhilfebefugnisse aufgezählt. Hinsichtlich dieser in Art. 58 Abs. 2 DSGVO genannten Abhilfebefugnisse verfügt die Behörde indes über ein Ermessen in Bezug auf die geeigneten und erforderlichen Mittel, welches das Gericht nur dahingehend überprüft, ob die Aufsichtsbehörde die Grenzen ihres Ermessens eingehalten hat.

Vgl. EuGH, Urteil vom 7. Dezember 2023 – C-26/22 –, juris Rn. 47 ff. sowie bereits: BFH, Urteil vom 12. Dezember 2023 – IX R 33/21 –, juris Rn. 14 ff.; BSG, Urteil vom 20. Januar 2021 – B 1 KR 15/20 R –, juris Rn. 111; Hamburgisches OVG, Urteil vom 7. Oktober 2019 – 5 Bf 291/17 –, juris Rn. 69 ff.

Unter Berücksichtigung der vorstehenden Ausführungen handelt es sich bei dem Recht auf Beschwerde nach Art. 57 Abs. 1 Buchst. f DSGVO i. V. m. Art. 77 Abs. 1 DSGVO um ein subjektiv-öffentliches Recht, aus dem sich ein gerichtlich überprüfbarer, zweistufiger Anspruch ergibt. Zunächst ist zu prüfen, ob die Aufsichtsbehörde in angemessenem Umfang überprüft hat, ob ein Verstoß gegen die Datenschutzgrundverordnung vorliegt. Für den Fall, dass ein Verstoß festgestellt wird, besteht ein Anspruch des Klägers auf ermessensfehlerfreie Entscheidung über ein aufsichtsbehördliches Einschreiten der Beklagten.

Vgl. BFH, Urteil vom 12. Dezember 2023 – IX R 33/21 –, juris Rn. 32; VG Hamburg, Urteil vom 1. Juni 2021 – 17 K 2977/19 –, juris Rn. 53.

Soweit der Kläger mit seinem Hauptantrag einen Anspruch auf Verhängung eines Verbots der Datenverarbeitung in Form der Übermittlung seiner personenbezogenen Daten aus den ihn betreffenden Verfahrensakten an Medienvertreter und in Form der Vervielfältigung der Verfahrensakten gegenüber dem „Rechtsträger des Landgerichts U. sowie der Staatsanwaltschaft beim Landgericht U.“ begehrt, kann dahinstehen, ob die Beklagte einen Verstoß gegen datenschutzrechtliche Vorschriften in angemessenem Umfang überprüft hat. Denn ein Anspruch des Klägers gemäß Art. 58 Abs. 2 Buchst. f DSGVO oder gemäß § 60 Abs. 3 DSG NRW entsprechend Art. 58 Abs. 2 Buchst. f DSGVO auf ein aufsichtsrechtliches Tätigwerden der Beklagten gegenüber dem Rechtsträger des Landgerichts U. und der Staatsanwaltschaft U. – nach Auffassung des Klägers das Ministerium für Justiz des Landes Nordrhein-Westfalen – ist bereits deshalb nicht gegeben, weil dieser nicht Verantwortlicher im Sinne der datenschutzrechtlichen Vorschriften ist. Vielmehr sind das Landgericht U. und die Staatsanwaltschaft U. datenschutzrechtlich jeweils selbst verantwortliche Stellen.

Da der Beklagte als Aufsichtsbehörde allein die Einhaltung und Überwachung der datenschutzrechtlichen Bestimmungen obliegt (vgl. §§ 26, 60 DSG NRW), richtet sich die Verantwortlichkeit für einen Datenschutzverstoß nicht nach zivil- oder strafrechtlichen Vorschriften, sondern allein nach Datenschutzrecht.

Die Rechte und Pflichten aus der DSGVO knüpfen an den Verantwortlichen im datenschutzrechtlichen Sinne an.

Vgl. Schild, in: BeckOK Datenschutzrecht, Wolff/Brink/v.Ungern-Sternberg, 49. Edition, Stand 1. August 2024, Art. 4 Rn. 88.

Der Verantwortliche ist nach Art. 5 Abs. 2 DSGVO für die Einhaltung der in Art. 5 Abs. 1 DSGVO genannten Grundsätze für die Verarbeitung personenbezogener Daten verantwortlich und müssen deren Einhaltung nachweisen können. Nur ihnen gegenüber kann die Beklagte als Aufsichtsbehörde demzufolge Maßnahmen ergreifen. Nur der für die Datenverarbeitung Verantwortliche hat die Möglichkeit, auf die Datenverarbeitung einzuwirken und etwaige Verstöße abzustellen.

„Verantwortlicher“ ist nach der gesetzlichen Definition in Art. 4 Nr. 7 DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche bzw. können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden.

Nichts Anderes gilt im Anwendungsbereich der JI-RL und des 3. Teils des DSG NRW, sodass offenbleiben kann, auf welcher Grundlage die (rechtswidrige) Datenverarbeitung durch Weitergabe an Medienvertreter erfolgte. Nach der bezogen auf Behörden gleichlautenden Vorschrift ist „Verantwortlicher“ gemäß Art. 3 Nr. 8 JI-RL, § 36 Nr. 9 DSG NRW die zuständige Behörde, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. „Zuständige Behörde“ wiederum ist nach Art. 3 Nr. 7 JI-RL, § 36 Nr. 8 Buchst. a DSG NRW jede staatliche Stelle, die personenbezogene Daten zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit oder Ordnung verarbeitet.

In Bezug auf Behörden oder öffentliche Stellen wird sowohl nach der DSGVO als auch nach der JI-RL hinsichtlich des „Verantwortlichen“ auf die Behörde oder staatliche Stelle als solche abgestellt.

Vgl. Schild, in: BeckOK Datenschutzrecht, Wolff/Brink/v.Ungern-Sternberg, 49. Edition, Stand 1. August 2024, Art. 4 Rn. 88.

Das Landgericht U. und die Staatsanwaltschaft U. sind Behörde bzw. staatliche Stelle in diesem Sinne. Als untere Justizbehörden nehmen das Landgericht U. und die Staatsanwaltschaft U. Verwaltungsaufgaben wahr (§ 3 Abs. 2 Gesetz über die Justiz im Land Nordrhein-Westfalen (Justizgesetz Nordrhein-Westfalen – JustG NRW)). Soweit die Gerichte und die Strafverfolgungsbehörden als Organe der Rechtspflege tätig werden, zählen sie zu den öffentlichen Stellen.

Vgl. Eßer, in: Schwartmann/Pabst, Landesdatenschutzgesetz Nordrhein-Westfalen, § 36 Rn. 127.

Die für die Datenverarbeitung beim Landgericht U. und bei der Staatsanwaltschaft U. verantwortliche Stelle ist hiernach das Landgericht U. bzw. die Staatsanwaltschaft U. selbst, entweder, soweit sie Verwaltungsaufgaben wahrnehmen, oder weil sie mit der Bearbeitung der betreffenden Rechtssache befasst sind.

Das schließt die Qualifizierung des „Rechtsträgers des Landgerichts U. bzw. der Staatsanwaltschaft beim Landgericht U.“ – sei es das Ministerium der Justiz des Landes Nordrhein-Westfalen, sei es eine andere übergeordnete staatliche Stelle – als „Verantwortlicher“ für die Datenverarbeitung beim Landgericht U. und bei der Staatsanwaltschaft U. und infolgedessen diesem gegenüber die Verhängung eines Verbots der Datenverarbeitung aus. Weder die DSGVO noch die JI-RL stellen bei der Bestimmung des Verantwortlichen auf eine übergeordnete Behörde ab. Vielmehr entscheiden sowohl das Landgericht U. als auch die Staatsanwaltschaft U. als Behörde bzw. staatliche Stelle eigenständig über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten in ihrem Geschäftsbereich. Sind sie allein für die Datenverarbeitung in ihrem Bereich verantwortlich, scheidet auch eine vom Kläger aufgeworfene gemeinsame datenschutzrechtliche Verantwortlichkeit mit dem Ministerium der Justiz aus.

Der Hilfsantrag ist ebenfalls unbegründet. Da ein Adressat aufsichtsrechtlicher Maßnahmen nicht genannt wird, legt das Gericht den Hilfsantrag des Klägers dahingehend aus, dass er die Verpflichtung der Beklagten begehrt, gegenüber dem Verantwortlichen geeignete Maßnahmen zu ergreifen, um die Weitergabe personenbezogener Daten des Klägers im Geschäftsbereich des Rechtsträgers des LG U. und/oder der Staatsanwaltschaft beim LG U. geführten Verfahrensakten an Dritte zu unterbinden.

Auch mit dem so verstandenen Antrag dringt der Kläger nicht durch.

Die Weitergabe personenbezogener Daten des Klägers aus diesen betreffenden Verfahrensakten vor Verlesung in der Hauptverhandlung an Medienvertreter dürfte zwar objektiv eine rechtswidrige Datenverarbeitung im Sinne von Art. 4 Nr. 2 DSGVO in Form der Offenlegung durch Übermittlung oder Verbreitung darstellen. Weder hat der Kläger in die Übermittlung oder Verbreitung seiner Daten eingewilligt (Art. 6 Abs. 1 Satz 1 Buchst. a DSGVO), noch ist die Übermittlung oder Verbreitung der Anklageschrift und Teilen der Verfahrensakte an die Presse zur Wahrnehmung der Aufgaben der Justiz erforderlich (Art. 6 Abs. 1 Satz 1 Buchst. c und e DSGVO). Dasselbe gilt, soweit in Umsetzung der JI-RL der Anwendungsbereich des DSG NRW eröffnet sein sollte, und es sich um die Verarbeitung personenbezogener Daten durch das Landgericht U. und die Staatsanwaltschaft U. im Rahmen ihrer Aufgabenwahrnehmung zur Verhütung, Ermittlung, Aufdeckung, Verfolgung und Ahndung von Straftaten oder Ordnungswidrigkeiten und der Strafvollstreckung handelt (§ 35 Abs. 1 Satz 1 Nr. 3 DSG NRW). Gemäß § 37 Nr. 2 DSG NRW müssen personenbezogene Daten für festgelegte, eindeutige und rechtmäßige Zwecke erhoben und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise verarbeitet werden. Eine schriftliche Einwilligung (§ 38 DSG NRW) des Klägers in die Verbreitung seiner personenbezogenen Daten an die Presse liegt nicht vor.

Gleichwohl hat der Kläger auf den Erlass aufsichtsrechtlicher Maßnahmen keinen Anspruch, weil der Verantwortliche für die Verletzung des Schutzes seiner personenbezogenen Daten nicht bekannt ist. Es steht nicht fest, ob die rechtswidrige Verbreitung der Anklageschrift und von Teilen der Verfahrensakte im Geschäftsbereich des Landgerichts U. oder im Geschäftsbereich der Staatsanwaltschaft U. oder durch eine andere verantwortliche Stelle oder Person erfolgt ist. Der Präsident des Landgerichts U. gab auf das an ihn gerichtete Auskunftsersuchen der Beklagten nach Art. 58 Abs. 1 Buchst. e DSGVO hin an, dass die Prozessakte oder Teile hiervon Vertretern der Presse weder im Rahmen der Öffentlichkeitsarbeit noch durch die zuständige Kammer zugänglich gemacht worden seien. Die Leitende Oberstaatsanwältin im U. verwies in ihrer Auskunft auf den Bescheid der Generalstaatsanwältin in D. vom 14. Juli 2021, wonach es keine zureichenden tatsächlichen Anhaltspunkte für eine strafbare Informationsweitergabe durch die Staatsanwaltschaft U. gebe.

Eine Wahlfeststellung, wie sie der Kläger ins Spiel bringt, kommt von vorneherein nicht in Betracht. Das Rechtsinstitut der Wahlfeststellung setzt in verfahrensrechtlicher Hinsicht u.a. die Gewissheit der Verwirklichung eines von mehreren Strafgesetzen durch den Beschuldigten voraus.

Vgl. Jens Bülte/​Gerhard Dannecker/​Eric Hilgendorf/​Florian Jeßberger/​Bernd Schünemann/​Jan C. Schuhr/​Tonio Walter/​Thomas Weigend/​Gerhard Werle, in: Leipziger Kommentar zum StGB, 13. Auflage, Anhang zu § 1 Wahlfeststellung, IV Nr. 1.

An der Gewissheit, wer den Datenschutzverstoß begangen hat, fehlt es aber gerade.

Das schließt die Ergreifung von Abhilfemaßnahmen nach Art. 58 Abs. 2 DSGVO durch die Beklagte aus. Lässt sich ein Verantwortlicher für den Datenschutzverstoß nicht feststellen, kann die Beklagte als Aufsichtsbehörde weder auf Abhilfe hinwirken noch kann sie gemäß den in der Datenschutzgrundverordnung vorgesehenen Möglichkeiten eine Maßnahme oder Sanktion erlassen.

Die Beklagte konnte den Verantwortlichen auch nicht ermitteln. Das Absehen von weiteren Aufklärungsmaßnahmen ist nicht zu beanstanden.

Um bewerten zu können, ob eine Datenverarbeitung rechtswidrig ist und ob aufsichtsrechtliche Maßnahmen zu ergreifen sind, muss die Aufsichtsbehörde den Sachverhalt ermitteln und alle zur Ermittlung und Überprüfung des Verstoßes erforderlichen Umstände aufklären. Dazu gehört auch die Klärung, wer den möglichen Datenschutzverstoß begangen hat. Denn wenn der Verantwortliche für die Rechtsverletzung nicht feststeht, kommen Abhilfebefugnisse der Aufsichtsbehörde nach Art. 58 Abs. 2 DSGVO mit dem Ziel, den Verstoß abzustellen, von vornherein nicht in Betracht.

Welcher Untersuchungsumfang im Rahmen des Amtsermittlungsgrundsatzes bei der Bearbeitung einer Beschwerde als "in angemessenen Umfang" anzusehen ist, regelt Art. 57 DSGVO nicht. Aus Erwägungsgrund 141 Satz 2 der DSGVO folgt, dass die Untersuchung vorbehaltlich gerichtlicher Überprüfung so weit gehen soll, wie dies im Einzelfall angemessen ist. Maßstab für den Umfang der Ermittlungen sind danach insbesondere die individuelle Bedeutung der Sache und die Schwere des in Rede stehenden Verstoßes. Insoweit steht der Aufsichtsbehörde ein Ermessen zu.

Bundesfinanzhof (BFH), Urteil vom 12. Dezember 2023 – IX R 33/21 –, juris Rn. 30; BeckOK Datenschutzrecht, Wolff/Brink/v. Ungern-Sternberg, 49. Edition, Stand 01.05.2024, DSGVO Art. 57 Rz 17; Boehm in Kühling/Buchner, DSGVO BDSG, 4. Aufl. 2024, Art. 57 DSGVO Rz 11 f; Körffer in Paal/Pauly, DS-GVO BDSG, 3. Aufl. 2021, Art. 77 DSGVO Rz 5.

Die gerichtliche Prüfung richtet sich demnach nach § 114 Abs. 1 VwGO.

Bei Ermessensentscheidungen hat das Gericht nur zu prüfen, ob die Verwaltung den ihr eingeräumten Ermessensspielraum ausgeschöpft hat, ob sie die nach dem Zweck der Ermessensermächtigung für die Entscheidung relevanten Gesichtspunkte bei ihrer Entscheidung berücksichtigt hat und ob sie die gesetzlichen Grenzen der Ermessensbetätigung überschritten hat. Das Gericht darf die getroffene Entscheidung nur anhand derjenigen Erwägungen überprüfen, die die Behörde tatsächlich angestellt hat, wozu auch in Einklang mit § 114 Satz 2 VwGO nachgeschobene Erwägungen zählen.

Vgl. BVerwG, Urteil vom 11. Mai 2016 - 10 C 8/15 -, juris Rn. 13 m.w.N.

Nach diesem Maßstab sind Ermessensfehler bei der Entscheidung der Beklagten, von weiteren Aufklärungsmaßnahmen abzusehen, nicht erkennbar.

Den Volltext der Entscheidung finden Sie hier:

EuGH
Urteil vom 26.08.2024
C-768/21
Land Hessen (Handlungspflicht der Datenschutzbehörde)

Der EuGH hat entschieden, dass der Betroffene einer Datenschutzverletzung keinen Anspruch gegen die datenschutzrechtliche Aufsichtsbehörde auf Verhängung einer Geldbuße oder sonstiger Abhilfemaßnahmen hat.

Tenor der Entscheidung:
Art. 57 Abs. 1 Buchst. a und f, Art. 58 Abs. 2 sowie Art. 77 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

sind dahin auszulegen, dass

die Aufsichtsbehörde im Fall der Feststellung einer Verletzung des Schutzes personenbezogener Daten nicht verpflichtet ist, nach diesem Art. 58 Abs. 2 eine Abhilfemaßnahme zu ergreifen, insbesondere eine Geldbuße zu verhängen, wenn ein solches Einschreiten nicht geeignet, erforderlich oder verhältnismäßig ist, um der festgestellten Unzulänglichkeit abzuhelfen und die umfassende Einhaltung dieser Verordnung zu gewährleisten.

Die Pressemitteilung des EuGH:
Schutz personenbezogener Daten: Die Aufsichtsbehörde ist nicht verpflichtet, in jedem Fall eines Verstoßes eine Abhilfemaßnahme zu ergreifen und insbesondere eine Geldbuße zu verhängen

Sie kann davon absehen, wenn der Verantwortliche bereits von sich aus die erforderlichen Maßnahmen ergriffen hat

In Deutschland stellte eine Sparkasse fest, dass eine Mitarbeiterin mehrmals unbefugt auf personenbezogene Daten eines Kunden zugegriffen hatte. Die Sparkasse setzte den Kunden hiervon nicht in Kenntnis, da ihr Datenschutzbeauftragter der Ansicht war, dass für diesen Kunden kein hohes Risiko bestehe. Denn die Mitarbeiterin hatte schriftlich bestätigt, dass sie die Daten weder kopiert oder gespeichert noch an Dritte übermittelt habe und dass sie dies auch zukünftig nicht tun werde. Außerdem hatte die Sparkasse gegen die Mitarbeiterin Disziplinarmaßnahmen ergriffen. Gleichwohl meldete die Sparkasse diesen Verstoß dem Landesdatenschutzbeauftragten.

Nachdem der Kunde nebenbei von diesem Vorfall Kenntnis erlangt hatte, reichte er bei dem Landesdatenschutzbeauftragten eine Beschwerde ein. Nach Anhörung der Sparkasse teilte der Landesdatenschutzbeauftragte dem Kunden mit, dass er es nicht für erforderlich halte, gegen die Sparkasse Abhilfemaßnahmen zu ergreifen.

Der Kunde erhob daraufhin Klage bei einem deutschen Gericht und beantragte, den Landesdatenschutzbeauftragten zum Einschreiten gegen die Sparkasse zu verpflichten und insbesondere dazu, gegen die Sparkasse eine Geldbuße zu verhängen.

Das deutsche Gericht hat den Gerichtshof ersucht, die Datenschutz-Grundverordnung (DSGVO) im Hinblick auf diese Fragestellung auszulegen.

In seinem Urteil antwortet der Gerichtshof, dass die Aufsichtsbehörde im Fall der Feststellung einer Verletzung des Schutzes personenbezogener Daten nicht verpflichtet ist, eine Abhilfemaßnahme zu ergreifen , insbesondere eine Geldbuße zu verhängen, wenn dies nicht erforderlich ist, um der festgestellten Unzulänglichkeit abzuhelfen und die umfassende Einhaltung der DSGVO zu gewährleisten. Ein solcher Fall könnte u. a. dann vorliegen, wenn der für die Verarbeitung Verantwortliche, sobald er von der Verletzung Kenntnis erlangt hat, die erforderlichen Maßnahmen ergriffen hat, damit die Verletzung abgestellt wird und sich nicht wiederholt.

Die DSGVO räumt der Aufsichtsbehörde ein Ermessen hinsichtlich der Art und Weise ein, wie sie der festgestellten Unzulänglichkeit abhilft.

Dieses Ermessen wird durch das Erfordernis begrenzt, durch den klar durchsetzbaren Rechtsrahmen der DSGVO ein gleichmäßiges und hohes Schutzniveau für personenbezogene Daten zu gewährleisten.

Es ist Sache des deutschen Gerichts, zu prüfen, ob der Landesdatenschutzbeauftragte diese Grenzen eingehalten hat

Den Volltext der Entscheidung finden Sie hier:

BGH
Beschluss vom 20.04.2024
KVB 69/2
Google - Offenlegung
GG Art. 12 Abs. 1, GWB § 19a, 54 Abs. 1 Satz 3, Abs. 2 Nr. 3, 56 Abs. 1, 4, 57 Abs.1, 74 Abs. 3 Satz 4, 75 Abs. 5 VwVfG § 30

Der BGH hat entschieden, dass die Kartellbehörde Betriebs- oder Geschäftsgeheimnisse eines von Ermittlungen betroffenen Unternehmens zum Zwecke der Stellungnahme gemäß § 56 Abs. 1 GWB nur bei Wahrung der Verhältnismäßigkeit gegenüber Beigeladenen offenlegen.

Leitsätze des BGH:
a) Die Zuständigkeit des Bundesgerichtshofs in Verfahren nach § 19a GWB für Streitigkeiten gegen selbständig anfechtbare Verfahrenshandlungen ist nicht auf Beschwerden gegen Verwaltungsakte beschränkt, sondern erstreckt sich auch auf Beschwerden gegen sonstige Verfahrenshandlungen.

b) Den Geheimnisschutz nach § 30 VwVfG, der auf die Offenlegung von Informationen bei der Anhörung von Beteiligten nach § 56 Abs. 1 GWB anwendbar ist, können auch ungeschriebene Offenbarungsbefugnisse einschränken, insbesondere wenn eine Güterabwägung ergibt, dass das Geheimhaltungsinteresse hinter noch wichtigeren anderen Interessen zurücktreten muss.

c) Die Kartellbehörde darf Betriebs- oder Geschäftsgeheimnisse des von den Ermittlungen betroffenen Unternehmens für die Zwecke der Stellungnahme gemäß § 56 Abs. 1 GWB gegenüber Beigeladenen nur dann offenlegen, wenn dies verhältnismäßig ist, die Offenlegung mithin geeignet und erforderlich ist, die Ermittlungen des Bundeskartellamts zu fördern und das mit ihr verfolgte öffentliche Interesse an der Verfahrensförderung und die - insoweit gleichgerichteten - (Verfahrens-)Interessen des Beigeladenen das Geheimhaltungsinteresse des betroffenen Unternehmens im Einzelfall überwiegen.

BGH, Beschluss vom 20. Februar 2024 - KVB 69/2

Den Volltext der Entscheidung finden Sie hier:

EuGH-Generalanwalt
Schlussanträge vom 11.04.2024
C-768/21
Land Hessen (Handlungspflicht der Datenschutzbehörde)

Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass eine Datenschutzbehörde grundsätzlich tätig werden muss, wenn sie bei der Prüfung einer Beschwerde einen DSGVO-Verstoß feststellt.

Ergebnis der Schlussanträge:
Nach alledem schlage ich dem Gerichtshof vor, die Vorlagefrage des Verwaltungsgerichts Wiesbaden (Deutschland) wie folgt zu beantworten:

Art. 57 Abs. 1 Buchst. a und f sowie Art. 58 Abs. 2 Buchst. a bis j in Verbindung mit Art. 77 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

sind dahin auszulegen, dass

die Aufsichtsbehörde, wenn sie eine Datenverarbeitung feststellt, die in die Rechte der betroffenen Person eingreift, verpflichtet ist, gemäß Art. 58 Abs. 2 der Verordnung 2016/679 einzuschreiten, soweit dies erforderlich ist, um die vollständige Beachtung dieser Verordnung zu gewährleisten. In diesem Zusammenhang hat sie unter Berücksichtigung der konkreten Umstände des jeweiligen Einzelfalls das geeignete, erforderliche und verhältnismäßige Mittel auszuwählen, um insbesondere den Rechtsverstoß zu beheben und die Rechte der betroffenen Person durchzusetzen

Die Pressemitteilung des EuGH:
Schutz personenbezogener Daten: Nach Ansicht von Generalanwalt Pikamäe ist die Aufsichtsbehörde zum Einschreiten verpflichtet, wenn sie bei der Prüfung einer Beschwerde einen Verstoß feststellt.

Die Entscheidung über die zu ergreifende Abhilfemaßnahme hänge jedoch von den konkreten Umständen des jeweiligen Einzelfalls ab

Ein Kunde einer Sparkasse ersuchte den Hessischen Beauftragten für Datenschutz und Informationsfreiheit (Deutschland), gegen die Sparkasse wegen einer Verletzung des Schutzes seiner personenbezogenen Daten einzuschreiten. Eine Mitarbeiterin der Sparkasse hatte nämlich mehrmals unbefugt auf seine Daten zugegriffen.

Der Datenschutzbeauftragte stellte eine Verletzung des in der Datenschutz-Grundverordnung (DSGVO) vorgesehenen Datenschutzes fest . Er kam jedoch zu dem Ergebnis, dass ein Einschreiten gegen die Sparkasse nicht geboten sei, da diese gegen die betreffende Mitarbeiterin bereits Disziplinarmaßnahmen ergriffen habe.

Der Kunde geht gegen diese Weigerung bei einem deutschen Gericht vor und beantragt, den Datenschutzbeauftragten zum Einschreiten gegen die Sparkasse zu verpflichten. Er macht u. a. geltend, dass der Datenschutzbeauftragte gegen die Sparkasse Bußgelder hätte verhängen müssen.

Das deutsche Gericht hat den Gerichtshof zu den Befugnissen und Pflichten des Datenschutzbeauftragten als „Aufsichtsbehörde“ im Sinne der DSGVO befragt.

Nach Ansicht von Generalanwalt Pikamäe ist die Aufsichtsbehörde zum Einschreiten verpflichtet, wenn sie bei der Prüfung einer Beschwerde eine Verletzung des Schutzes personenbezogener Daten feststelle. Insbesondere habe sie die Abhilfemaßnahme(n) zu ermitteln, die zur Behebung des Verstoßes und zur Durchsetzung der Rechte der betroffenen Person am besten geeignet sei bzw. seien.

In diesem Zusammenhang räume die DSGVO der Aufsichtsbehörde zwar ein gewisses Ermessen ein, verlange jedoch, dass die Maßnahmen geeignet, erforderlich und verhältnismäßig seien. Daraus ergebe sich zum einen, dass das Ermessen bei der Wahl der Mittel beschränkt sei, wenn der erforderliche Schutz nur durch ganz bestimmte Maßnahmen gewährleistet werden könne, und zum anderen, dass die Aufsichtsbehörde unter bestimmten Voraussetzungen auf die Maßnahmen nach der DSGVO verzichten dürfe, wenn dies durch die besonderen Umstände des Einzelfalls gerechtfertigt sei. Dies könne insbesondere dann der Fall sein, wenn der Verantwortliche bestimmte Maßnahmen aus eigener Initiative ergriffen habe. Jedenfalls habe die betroffene Person keinen Anspruch auf Erlass einer bestimmten Maßnahme . Diese Grundsätze gälten auch für die Geldbußenregelung.

Die vollständigen Schlussanträge finden Sie hier:

EuGH
Urteil vom 30.01.2024
C-118/22

Der EuGH hat entschieden, dass die lebenslange Speicherung biometrischer und genetischer Daten von Straftätern ohne regelmäßige Notwendigkeitsprüfung gegen die Vorgaben der DSGVO verstößt.

Tenor der Entscheidung:
Art. 4 Abs. 1 Buchst. c und e der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates in Verbindung mit ihren Art. 5 und 10, ihrem Art. 13 Abs. 2 Buchst. b und ihrem Art. 16 Abs. 2 und 3 sowie im Licht der Art. 7 und 8 der Charta der Grundrechte der Europäischen Union

ist dahin auszulegen, dass

er nationalen Rechtsvorschriften entgegensteht, die vorsehen, dass die Polizeibehörden zum Zweck der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung personenbezogene und insbesondere biometrische und genetische Daten, die wegen einer vorsätzlichen Offizialstraftat rechtskräftig verurteilte Personen betreffen, speichern, und zwar bis zum Tod der betroffenen Person und auch im Fall ihrer Rehabilitierung, ohne den Verantwortlichen zu verpflichten, regelmäßig zu überprüfen, ob diese Speicherung noch notwendig ist, und ohne dieser Person das Recht auf Löschung dieser Daten, sobald deren Speicherung für die Zwecke, für die sie verarbeitet worden sind, nicht mehr erforderlich ist, oder gegebenenfalls das Recht auf Beschränkung der Verarbeitung dieser Daten zuzuerkennen.

Den Volltext der Entscheidung finden Sie hier:

BVerfG
Urteil vom 16.02.2023
1 BvR 1547/19 und 1 BvR 2634/20

Das Bundesverfassungsgericht hat entschieden, dass die Regelungen zur automatisierten Datenanalyse für die vorbeugende Bekämpfung von Straftaten in Hessen und Hamburg verfassungswidrig sind. Es liegt ein rechtswidriger Eingriff in das Recht auf informationelle Selbstbestimmung (Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG) vor.

Die Pressemitteilung des Bundesverfassungsgerichts:
Regelungen in Hessen und Hamburg zur automatisierten Datenanalyse für die vorbeugende Bekämpfung von Straftaten sind verfassungswidrig

Mit heute verkündetem Urteil hat der Erste Senat des Bundesverfassungsgerichts entschieden, dass § 25a Abs. 1 Alt. 1 des Hessischen Gesetzes über die öffentliche Sicherheit und Ordnung (HSOG) und § 49 Abs. 1 Alt. 1 des Hamburgischen Gesetzes über die Datenverarbeitung der Polizei (HmbPolDVG) verfassungswidrig sind. Sie ermächtigen die Polizei, gespeicherte personenbezogene Daten mittels automatisierter Anwendung im Rahmen einer Datenanalyse (Hessen) oder einer Datenauswertung (Hamburg) weiter zu verarbeiten.

Die Vorschriften verstoßen gegen das allgemeine Persönlichkeitsrecht aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 Grundgesetz (GG) in seiner Ausprägung als informationelle Selbstbestimmung, weil sie keine ausreichende Eingriffsschwelle enthalten. Sie ermöglichen eine Weiterverarbeitung gespeicherter Datenbestände mittels einer automatisierten Datenanalyse oder -auswertung in begründeten Einzelfällen, wenn dies zur vorbeugenden Bekämpfung bestimmter Straftaten erforderlich ist. Dieser Eingriffsanlass bleibt angesichts der besonders daten- und methodenoffen formulierten Befugnisse weit hinter der wegen des konkreten Eingriffsgewichts verfassungsrechtlich gebotenen Schwelle einer konkretisierten Gefahr zurück.

§ 25a Abs. 1 Alt. 1 HSOG gilt bis zu einer Neuregelung, längstens jedoch bis zum 30. September 2023 mit einschränkender Maßgabe fort. § 49 Abs. 1 Alt. 1 HmbPolDVG ist nichtig.

Sachverhalt:

Die beiden weitgehend gleichlautenden Regelungen in § 25a Abs. 1 HSOG und in § 49 Abs. 1 HmbPolDVG schaffen eine spezielle Rechtsgrundlage dafür, bisher unverbundene, automatisierte Dateien und Datenquellen in Analyseplattformen zu vernetzen und die vorhandenen Datenbestände durch Suchfunktionen systematisch zu erschließen. Die Vorschriften ermächtigen die Polizei, in begründeten Einzelfällen zur vorbeugenden Bekämpfung schwerer Straftaten im Sinne von § 100a Abs. 2 StPO (Alternative 1) oder zur Abwehr von Gefahren für bestimmte Rechtsgüter (Alternative 2) gespeicherte personenbezogene Daten mittels automatisierter Anwendung im Rahmen einer Datenanalyse (Hessen) oder einer Datenauswertung (Hamburg) weiter zu verarbeiten. Auf diese Weise können nach Absatz 2 der jeweiligen Regelung insbesondere Beziehungen oder Zusammenhänge zwischen Personen, Personengruppierungen, Institutionen, Organisationen, Objekten und Sachen hergestellt, unbedeutende Informationen und Erkenntnisse ausgeschlossen, die eingehenden Erkenntnisse bekannten Sachverhalten zugeordnet sowie gespeicherte Daten statistisch ausgewertet werden.

In Hessen wird von den Befugnissen des § 25a HSOG jährlich tausendfach über die Analyseplattform „hessenDATA“ Gebrauch gemacht. Demgegenüber wird § 49 HmbPolDVG bislang nicht angewendet.

Wesentliche Erwägungen des Senats:

A. Die Verfassungsbeschwerden sind nur zulässig, soweit sie gegen die Eingriffsschwelle in § 25a Abs. 1 Alt. 1 HSOG und § 49 Abs. 1 Alt. 1 HmbPolDVG (Datenanalyse oder -auswertung zur vorbeugenden Bekämpfung von Straftaten) gerichtet sind. Im Übrigen sind sie unzulässig.

B. Soweit sie zulässig sind, sind die Verfassungsbeschwerden auch begründet.

I. Werden gespeicherte Datenbestände mittels einer automatisierten Anwendung zur Datenanalyse oder -auswertung verarbeitet, greift dies in die informationelle Selbstbestimmung aller ein, deren Daten bei diesem Vorgang personenbezogen Verwendung finden. Ein Grundrechtseingriff liegt hier nicht nur in der weiteren Verwendung vormals getrennter Daten, sondern darüber hinaus in der Erlangung besonders grundrechtsrelevanten neuen Wissens, das durch die automatisierte Datenauswertung oder -analyse geschaffen werden kann.

II. Eine automatisierte Datenanalyse oder -auswertung bedarf verfassungsrechtlicher Rechtfertigung. Diese ist grundsätzlich möglich. Sie setzt insbesondere die Vereinbarkeit mit dem Grundsatz der Verhältnismäßigkeit voraus, dessen Anforderungen sich nach der konkreten Reichweite der Befugnis richten. Die angegriffenen Regelungen dienen dem legitimen Zweck, vor dem Hintergrund informationstechnischer Entwicklung die Wirksamkeit der vorbeugenden Bekämpfung schwerer Straftaten zu steigern, indem Anhaltspunkte für bevorstehende schwere Straftaten gewonnen werden, die im Datenbestand der Polizei ansonsten unerkannt blieben. Es wurde hier dargelegt, die Polizeibehörden seien infolge der insbesondere in den Bereichen terroristischer und extremistischer Gewalt sowie der organisierten und schweren Kriminalität zunehmenden Nutzung digitaler Medien und Kommunikationsmittel mit einem ständig anwachsenden und nach Qualität und Format zunehmend heterogenen Datenaufkommen konfrontiert. Die dazu in den polizeilichen Datenbeständen enthaltenen Informationen könnten gerade unter Zeitdruck kaum manuell gewonnen werden; eine automatisierte Datenanalyse sei daher von großer Bedeutung für erfolgreiches polizeiliches Handeln. Zur Steigerung der Wirksamkeit vorbeugender Straftatenbekämpfung sind die Regelungen auch im verfassungsrechtlichen Sinne geeignet. Sie sind auch erforderlich, weil durch eine automatisierte Datenanalyse oder -auswertung für die Verhütung von Straftaten relevante Erkenntnisse erschlossen werden können, die auf andere, grundrechtsschonendere Weise nicht gleichermaßen zu gewinnen wären.

III. Spezielle Anforderungen an die Rechtfertigung des Grundrechtseingriffs ergeben sich hier aus dem Gebot der Verhältnismäßigkeit im engeren Sinne. Wie streng diese Anforderungen im Einzelnen sind, bestimmt sich nach dem Eingriffsgewicht der Maßnahme.

1. Das Eingriffsgewicht einer automatisierten Datenanalyse oder -auswertung ergibt sich zunächst aus dem Gewicht der vorausgegangenen Datenerhebungseingriffe; insoweit gelten die Grundsätze der Zweckbindung und Zweckänderung, wie sie bereits im Urteil zum Bundeskriminalamtgesetz näher konturiert wurden.

Danach kann der Gesetzgeber eine Datennutzung über das für die Datenerhebung maßgebende Verfahren hinaus als weitere Nutzung im Rahmen der ursprünglichen Zwecke dieser Daten erlauben (zweckwahrende Weiternutzung). Diese zweckwahrende Weiternutzung kommt seitens derselben Behörde im Rahmen derselben Aufgabe und für den Schutz derselben Rechtsgüter in Betracht, die bereits für die Datenerhebung maßgeblich waren. Grundsätzlich ist dann die weitere Nutzung als bloßer Spurenansatz erlaubt.

Der Gesetzgeber kann eine weitere Nutzung der Daten aber auch zu anderen Zwecken als denen der ursprünglichen Datenerhebung erlauben (zweckändernde Weiternutzung). Als Maßstab der Verhältnismäßigkeitsprüfung gilt insoweit das Kriterium der hypothetischen Datenneuerhebung. Danach kann der Gesetzgeber die zweckändernde Weiternutzung von Daten der Polizeibehörden grundsätzlich dann erlauben, wenn es sich um Informationen handelt, aus denen sich im Einzelfall konkrete Ermittlungsansätze zur Aufdeckung von vergleichbar gewichtigen Straftaten oder zur Abwehr von zumindest auf mittlere Sicht drohenden Gefahren für vergleichbar gewichtige Rechtsgüter wie die ergeben, zu deren Schutz bereits die entsprechende Datenerhebung zulässig ist.

In beiden Konstellationen gelten strengere Anforderungen für eine Weiternutzung von Daten aus Wohnraumüberwachungen und Online-Durchsuchungen.

Nach § 25a HSOG und § 49 HmbPolDVG können personenbezogene Daten sowohl zweckwahrend als auch zweckändernd weiterverarbeitet werden. Die beiden Vorschriften erlauben die Verarbeitung sehr großer Datenmengen, im Wesentlichen ohne selbst nach der Herkunft der Daten und den ursprünglichen Erhebungszwecken zu unterscheiden. Zur Wahrung der verfassungsrechtlichen Anforderungen der Zweckbindung müssten darum anderweitig hinreichend normenklare Regelungen getroffen sein, die die Einhaltung des Grundsatzes der Zweckbindung rechtlich und praktisch sichern.

2. Darüber hinaus hat die automatisierte Datenanalyse oder -auswertung ein Eigengewicht, weil die weitere Verarbeitung einmal erhobener und gespeicherter Daten durch eine automatisierte Datenanalyse oder -auswertung eigene Belastungseffekte haben kann, die über das Eingriffsgewicht der ursprünglichen Erhebung hinausgehen; insoweit ergeben sich aus dem Grundsatz der Verhältnismäßigkeit im engeren Sinne weitergehende Rechtfertigungsanforderungen.

a) Die automatisierte Datenanalyse oder -auswertung ist darauf gerichtet, neues Wissen zu erzeugen. Die handelnde Behörde kann aus den zur Verfügung stehenden Daten mit praktisch allen informationstechnisch möglichen Methoden weitreichende Erkenntnisse abschöpfen sowie aus der Auswertung neue Zusammenhänge erschließen. Zwar ist es für sich genommen nicht ungewöhnlich, dass die Polizei ihre einmal gewonnenen Erkenntnisse als Spuren- oder Ermittlungsansätze allein oder in Verknüpfung mit anderen ihr zur Verfügung stehenden Informationen als Ausgangspunkt weiterer Ermittlungen nutzt. Die automatisierte Analyse oder Auswertung geht aber schon deshalb weiter, weil sie die Verarbeitung großer und komplexer Informationsbestände ermöglicht. Je nach der eingesetzten Analysemethode können zudem durch verknüpfende Auswertung vorhandener Daten neue persönlichkeitsrelevante Informationen gewonnen werden, die ansonsten so nicht zugänglich wären. Die Maßnahme erschließt die in den Daten enthaltenen Informationen damit intensiver als zuvor. Sie bringt nicht nur in den Daten angelegte, aber zunächst mangels Verknüpfung verborgene Erkenntnisse über Personen hervor, sondern kann sich bei entsprechendem Einsatz einem „Profiling“ annähern. Denn es können sich softwaregestützt neue Möglichkeiten einer Vervollständigung des Bildes von einer Person ergeben, wenn Daten und algorithmisch errechnete Annahmen über Beziehungen und Zusammenhänge aus dem Umfeld der Betroffenen einbezogen werden. Der Grundsatz der Zweckbindung könnte dem Eingriffsgewicht dann für sich genommen nicht hinreichend Rechnung tragen.

b) Insoweit variieren die verfassungsrechtlichen Anforderungen an die Rechtfertigung einer automatisierten Datenanalyse oder -auswertung, da deren eigene Eingriffsintensität je nach gesetzlicher Ausgestaltung ganz unterschiedlich sein kann.

aa) Generell wird das Gewicht eines Eingriffs in die informationelle Selbstbestimmung vor allem durch Art, Umfang und denkbare Verwendung der Daten sowie die Gefahr ihres Missbrauchs bestimmt. Daneben beeinflusst die zugelassene Methode der Datenanalyse oder -auswertung die Eingriffsintensität. Besonderes Eingriffsgewicht kann der Einsatz komplexer Formen des Datenabgleichs haben. Insgesamt ist die Methode automatisierter Datenanalyse oder -auswertung umso eingriffsintensiver, je breitere und tiefere Erkenntnisse über Personen dadurch erlangt werden können, je höher die Fehler- und Diskriminierungsanfälligkeit ist und je schwerer die softwaregestützten Verknüpfungen nachvollzogen werden können.

bb) Mit der vom Gesetzgeber durch Regelungen zu Art und Umfang der Daten und zur Begrenzung der Auswertungsmethode steuerbaren Eingriffsintensität korrespondieren die verfassungsrechtlichen Anforderungen an die Eingriffsvoraussetzungen. Die dem Eingriffsgewicht entsprechenden Anforderungen des Gebots der Verhältnismäßigkeit im engeren Sinne richten sich sowohl an das mit der Maßnahme zu schützende Rechtsgut als auch an die Eingriffsschwelle, also den Anlass der Maßnahme.

Ermöglicht die automatisierte Anwendung einen schwerwiegenden Eingriff in die informationelle Selbstbestimmung der Betroffenen, ist dies nur unter den engen Voraussetzungen zu rechtfertigen, wie sie allgemein für eingriffsintensive heimliche Überwachungsmaßnahmen gelten. Sie sind nur zum Schutz besonders gewichtiger Rechtsgüter – etwa Leib, Leben oder Freiheit der Person – zulässig. Die verfassungsrechtlich erforderliche Eingriffsschwelle ist hier die hinreichend konkretisierte Gefahr.

Hingegen können, wenneine konkretisierte Gefahr vorliegt, weniger gewichtige Eingriffe bereits dann zu rechtfertigen sein, wenn sie dem Schutz von Rechtsgütern von zumindest erheblichem Gewicht dienen, etwa zur Verhütung von Straftaten von zumindest erheblicher Bedeutung. Umgekehrt kann dann, sofern die Maßnahme dem Schutz hochrangiger, überragend wichtiger oder auch besonders gewichtiger Rechtsgüter dient, eine Eingriffsschwelle genügen, die noch hinter einer konkretisierten Gefahr zurückbleibt.

Sind die einbeziehbaren Daten gesetzlich nach Art und Umfang in einer Weise reduziert und die möglichen Methoden der automatisierten Analyse oder Auswertung von vornherein so eingeschränkt, dass eine auf die Befugnis gestützte Maßnahme nicht zu tieferen Einsichten in die persönliche Lebensgestaltung der Betroffenen führt als sie die Behörde, wenngleich aufwendiger und langsamer, auch ohne automatisierte Anwendung realistisch erlangen könnte, oder zielt die Befugnis von vornherein nur darauf, gefährliche oder gefährdete Orte zu identifizieren, ohne dabei personenbezogene Informationen zu generieren, kann sogar bereits die Einhaltung des Grundsatzes der Zweckbindung ausreichen, um die automatisierte Datenverarbeitung zu rechtfertigen.

cc) Die Schwelle einer wenigstens konkretisierten Gefahr für besonders gewichtige Rechtsgüter ist nur dann verfassungsrechtlich verzichtbar, wenn die zugelassenen Analyse- und Auswertungsmöglichkeiten normenklar und hinreichend bestimmt in der Sache so eng begrenzt sind, dass das Eingriffsgewicht der Maßnahmen erheblich gesenkt ist. Grundsätzlich kann der Gesetzgeber diese Regelungsaufgabe zwischen sich und der Verwaltung aufteilen. Er muss aber sicherstellen, dass unter Wahrung des Gesetzesvorbehalts insgesamt ausreichende Regelungen insbesondere zur Begrenzung von Art und Umfang der Daten und zur Beschränkung der Datenverarbeitungsmethoden getroffen werden. Zur Regelung von Aspekten, die nicht unmittelbar vom Gesetzgeber selbst zu normieren sind, kommt eine Verordnungsermächtigung in Betracht. Darüber hinaus kann der Gesetzgeber hier die Verwaltung verpflichten, die im Gesetz oder in Rechtsverordnungen geregelten Vorgaben in abstrakt-genereller Form weiter zu konkretisieren. In jedem Fall bedarf die Konkretisierung durch Verwaltungsvorschriften aber einer gesetzlichen Grundlage. Darin hat der Gesetzgeber sicherzustellen, dass die für die Anwendung der Bestimmungen im Einzelfall maßgebliche Konkretisierung und Standardisierung seitens der Behörden nachvollziehbar dokumentiert und veröffentlicht wird.

c) Nach den dargelegten generellen Maßstäben ist das spezifische Eingriffsgewicht der daten- und methodenoffen formulierten Befugnisse zur Datenanalyse oder -auswertung nach § 25a Abs. 1 Alt. 1 HSOG und § 49 Abs. 1 Alt. 1 HmbPolDVG potentiell sehr hoch, so dass diese Regelungen von Verfassungs wegen strengen Eingriffsvoraussetzungen genügen müssen. Die Befugnisse lassen die automatisierte Verarbeitung unbegrenzter Datenbestände mittels rechtlich unbegrenzter Methoden zu. Sie erlauben der Polizei so, mit einem Klick umfassende Profile von Personen, Gruppen und Milieus zu erstellen und auch zahlreiche rechtlich unbeteiligte Personen weiteren polizeilichen Maßnahmen zu unterziehen, die in irgendeinem Zusammenhang Daten hinterlassen haben, deren automatisierte Auswertung die Polizei auf die falsche Spur zu ihnen gebracht hat. Daher gilt das Erfordernis einer konkretisierten Gefahr für besonders gewichtige Rechtsgüter.

aa) Die beiden Vorschriften begrenzen die Art und die Menge der bei einer Datenanalyse oder
-auswertung einsetzbaren Daten kaum. Sie regeln nicht, welche Arten von Daten und welche Datenbestände für eine automatisierte Datenanalyse oder -auswertung genutzt werden dürfen. Die Vorschriften unterscheiden insbesondere nicht nach Daten von Personen, die einen Anlass für die Annahme geben, sie könnten eine Straftat begehen oder in besonderer Verbindung zu solchen Personen stehen, und anderen Personen. Sie lassen eine breite Einbeziehung von Daten Unbeteiligter zu, die deshalb polizeilichen Ermittlungsmaßnahmen unterzogen werden könnten.

bb) Dem Wortlaut nach lassen sie zudem sehr weitreichende Methoden der automatisierten Datenanalyse und -auswertung zu. Der Gesetzgeber hat nicht eingegrenzt, welche Methoden der Analyse und Auswertung erlaubt sind. Die angegriffenen Vorschriften ermöglichen auch ein „Data-Mining“ bis hin zur Verwendung selbstlernender Systeme (KI). Dabei sind insbesondere auch offene Suchvorgänge zulässig. Die Datenauswertung oder -analyse darf darauf zielen, allein statistische Auffälligkeiten in den Datenmengen zu entdecken, aus denen dann, möglicherweise auch mit Hilfe weiterer automatisierter Anwendungen, weitere Schlüsse gezogen werden. Die Vorschriften schließen auch bezüglich der erzielbaren Suchergebnisse nichts aus. Nach dem Wortlaut könnte das
Suchergebnis in maschinellen Sachverhaltsbewertungen bestehen – bis hin zu Gefährlichkeitsaussagen über Personen im Sinne eines „predictive policing“.Es könnten also mittels Datenanalyse oder -auswertung neue persönlichkeitsrelevante Informationen erzeugt werden, auf die ansonsten kein Zugriff bestünde. Diese potenzielle Weite erzielbaren neuen Wissens wird auch nicht durch eingriffsmildernde Regelungen zu dessen Verwendung flankiert.

In Hamburg hat der Gesetzgeber den Versuch unternommen, so weitgehende Anwendungen auszuschließen, indem er anstelle des Wortes „Datenanalyse“ das Wort „Datenauswertung“ verwendet hat. Eine verfassungsrechtlich ausreichende Klarstellung, dass durch die automatisierte Anwendung lediglich mittels bestimmter Suchkriterien Übereinstimmungen ausgewiesen werden, nicht jedoch die polizeiliche Aus- und Bewertung der Daten ersetzt werden sollten, ist damit jedoch nicht gelungen.

cc) Die angegriffenen Befugnisse sind auch nicht dadurch verfassungsrechtlich relevant eingegrenzt, dass Techniken einer unbegrenzten Datenauswertung aktuell nicht zur Verfügung stünden. Selbst wenn Funktionsweiterungen erst infolge weiterer technischer Entwicklungen möglich sind, richten sich die verfassungsrechtlichen Anforderungen grundsätzlich nach den rechtlich schon jetzt geschaffenen Eingriffsmöglichkeiten.

IV. § 25a Abs. 1 Alt. 1 HSOG und § 49 Abs. 1 Alt. 1 HmbPolDVG genügen danach nicht den Anforderungen der Verhältnismäßigkeit im engeren Sinne, weil sie keine hinreichende Eingriffsschwelle enthalten.

1. Soweit die angegriffenen Vorschriften zur Datenanalyse oder -auswertung zwecks Verhütung der in § 100a Abs. 2 StPO genannten Straftaten ermächtigen, ist der Eingriffsanlass angesichts des beschriebenen Eingriffsgewichts unverhältnismäßig weit und damit verfassungswidrig geregelt. Auch die weitere Maßgabe beider Regelungen, es müsse ein begründeter Einzelfall vorliegen, enthält hier kaum nähere inhaltliche Festlegungen. In der mündlichen Verhandlung wurde zwar ein engeres Konzept beschrieben, nach dem die Voraussetzung des „Einzelfalls“ in der hessischen Polizeipraxis verstanden und angewendet werde. Es werde durchgehend an eine bereits begangene Straftat oder wenigstens den durch Tatsachen belegten Verdacht einer bereits begangenen Straftat angeknüpft und daraus eine Prognose für die Zukunft hergeleitet: Zum einen müsse für die Vergangenheit davon ausgegangen werden können, dass bereits eine Straftat nach § 100a Abs. 2 StPO begangen wurde. Zum anderen müsse aufgrund dieser Situation für die Zukunft mit weiteren, gleichgelagerten Straftaten zu rechnen sein.

Ungeachtet der näheren Ausgestaltung der hessischen Anwendungspraxis sind die verfassungsrechtlichen Anforderungen derzeit aber schon deshalb nicht erfüllt, weil das Konzept der hessischen Praxis von vornherein nicht auf die Identifizierung einer wenigstens konkretisierten Gefahr und der zu deren Abwehr geeigneten Daten zielt. Das ist aber wegen der daten- und methodenoffenen Ausgestaltung der Befugnis in § 25a HSOG und § 49 HmbPolDVG erforderlich.

Die angegriffenen Vorschriften regeln auch deshalb keine hinreichende Eingriffsschwelle, weil über den Katalog des § 100a Abs. 2 StPO auch Gefährdungstatbestände erfasst sind. Zwar ist dem Gesetzgeber verfassungsrechtlich nicht verwehrt, zur Bestimmung der Eingriffsvoraussetzungen auch an die Gefahr der Begehung von Vorfeldtatbeständen anzuknüpfen. Er muss dann aber eigens sicherstellen, dass in jedem Einzelfall eine konkrete oder konkretisierte Gefahr für die durch den Straftatbestand geschützten Rechtsgüter vorliegt. Daran fehlt es hier.

2. Die vorbeugende Bekämpfung von Straftaten im Sinne von § 25a Abs. 1 Alt. 1 HSOG und § 49 Abs. 1 Alt. 1 HmbPolDVG umfasst nach der gesetzlichen Definition nicht nur die Verhütung von Straftaten, sondern auch die Vorsorge zur Verfolgung künftiger Straftaten. Polizeiliche Datenbestände sollen im Wege der automatischen Datenauswertung genutzt werden, um Erkenntnisse für die zukünftige Aufklärungsarbeit und Ermittlungsverfahren zu gewinnen. Dass bereits eine Sachlage gegeben sein müsste, bei der eine konkrete oder eine konkretisierte Gefahr besteht, ist dem nicht zu entnehmen. Damit fehlt es auch hier an jeder eingrenzenden Konkretisierung des Eingriffsanlasses.

C. § 25a Abs. 1 Alt. 1 HSOG gilt bis zu einer Neuregelung, längstens bis zum 30. September 2023 fort. Angesichts der Bedeutung, die der Gesetzgeber der Befugnis für die staatliche Aufgabenwahrnehmung beimessen darf, und wegen ihrer Bedeutung für die hessische Polizeipraxis ist eine befristete Fortgeltung eher hinzunehmen als eine Nichtigerklärung.

Die befristete Anordnung der Fortgeltung bedarf mit Blick auf die betroffenen Grundrechte jedoch einschränkender Maßgaben, die eine Neuregelung durch den Gesetzgeber aber nicht präjudizieren. Unter Zugrundelegung des in der hessischen Praxis gewählten Konzepts wird angeordnet, dass von der Befugnis des § 25a Abs. 1 Alt. 1 HSOG nur Gebrauch gemacht werden darf, wenn bestimmte, genügend konkretisierte Tatsachen den Verdacht begründen, dass eine besonders schwere Straftat im Sinne von § 100b Absatz 2 StPO begangen wurde und aufgrund der konkreten Umstände eines solchen im Einzelfall bestehenden Tatverdachts für die Zukunft mit weiteren, gleichgelagerten Straftaten zu rechnen ist, die Leib, Leben oder den Bestand oder die Sicherheit des Bundes oder eines Landes gefährden, wenn das Vorliegen dieser Voraussetzungen und die konkrete Eignung der verwendeten Daten zur Verhütung der zu erwartenden Straftat durch eigenständig auszuformulierende Erläuterung begründet wird und wenn sichergestellt ist, dass keine Informationen in die Datenanalyse einbezogen werden, die aus Wohnraumüberwachung, Online-Durchsuchung, Telekommunikationsüberwachung, Verkehrsdatenabfrage, länger andauernder Observation, unter Einsatz von verdeckt ermittelnden Personen oder Vertrauenspersonen oder aus vergleichbar schwerwiegenden Eingriffen in die informationelle Selbstbestimmung gewonnen wurden.

§ 49 Abs. 1 Alt. 1 HmbPolDVG ist nichtig. Es sind keine Umstände ersichtlich, die eine befristete Fortgeltungsanordnung erforderten und rechtfertigten.