Die Datenschutz-Grundverordnung (DSGVO) verleiht Aufsichtsbehörden weitreichende Befugnisse, insbesondere um Datenschutzverstöße zu ahnden. Doch was passiert, wenn ein solcher Verstoß vorliegt, der Verantwortliche jedoch nicht ermittelt werden kann? Wie weit dürfen die Behörden gehen, um Abhilfe gemäß Art. 58 Abs. 2 DSGVO zu schaffen?

Diese Fragen beleuchtet das Verwaltungsgericht Düsseldorf in seinem Urteil vom 11. November 2024 (Az. 29 K 4853/22).

Was ist passiert?

Im zugrunde liegenden Fall verlangte der Kläger von der Landesbeauftragten für Datenschutz und Informationsfreiheit des Landes Nordrheinwestfalen (im Folgenden: Beklagte) die Sanktionierung eines Datenschutzverstoßes. Hintergrund war, dass im Rahmen des Strafverfahrens gegen den Kläger mit dem Vorwurf der Steuerhinterziehung Inhalte der Gerichtsakte einschließlich der Anklageschrift an die Presse gelangt seien und publiziert wurden, bevor sie in der Hauptverhandlung verlesen wurden.

Die Datenschutzaufsichtsbehörde führte in ihrem Bescheid vom 01. Juni 2022 an den Kläger aus, dass nicht festgestellt werden könnte, dass bzw. von welcher der ihrer Zuständigkeit unterfallenden Stellen bzw. deren Beschäftigten der Presse die Informationen übermittelt worden seien. Auch eine weitergehende Ermittlung durch Hinzuziehung der Staatsanwaltschaft blieb ergebnislos. Angesichts dessen und unter Berücksichtigung der geringen Erfolgsaussichten stellte die Aufsichtsbehörde das Verfahren ein und sah von weiteren Maßnahmen ab.

Der Kläger beklagte das Unterbleiben entsprechender Maßnahmen und warf der Aufsichtsbehörde vor, den Sachverhalt bewusst nicht ausreichend untersucht zu haben und von ihrem Ermessen nicht ordnungsgemäß Gebrauch gemacht zu haben, was einen sogenannten Ermessensnichtgebrauch darstelle. Die Entscheidung der Behörde, das Verfahren einzustellen, bezeichnete der Kläger als rechtswidrig und sah sich in seinen Grundrechten sowie seinem Recht auf effektiven Rechtsschutz verletzt.

Die Entscheidung des Verwaltungsgerichts

Das Gericht stellte fest, dass die Entscheidung der Behörde vom 01. Juni 2022 nicht die Rechte des Klägers verletzt. Der Kläger habe zudem gegenüber der Beklagten weder einen Anspruch auf die Verhängung eines Verbots noch auf entsprechender Abhilfemaßnahmen.

Doch welche zentralen Gründe führte das Gericht zu dieser Entscheidung?

Nach Art. 57 Abs. 1 lit. f DSGVO ist jede Aufsichtsbehörde verpflichtet, sich mit Beschwerden innerhalb ihres Hoheitsgebiets auseinanderzusetzen. Dies schließt unter anderem Beschwerden von betroffenen Personen gemäß Art. 77 Abs. 1 DSGVO ein, die der Ansicht sind, dass die Verarbeitung ihrer personenbezogenen Daten gegen die Vorgaben der DSGVO verstößt. Zudem ist die jeweilige Behörde verpflichtet, den Gegenstand der Beschwerde in angemessenem Umfang zu untersuchen. Die Untersuchung der Behörden erfolgt dabei mit weitreichenden Befugnissen gemäß Art. 58 Abs. 1 DSGVO.

Erkennt die Behörde einen Verstoß gegen die DSGVO, ist sie verpflichtet, in geeigneter Weise zu reagieren, um der festgestellten Unzulänglichkeit abzuhelfen. Artikel 58 Abs. 2 DSGVO listet hierfür verschiedene Abhilfebefugnisse auf, deren Einsatz im Ermessen der Behörde liegt. Dabei sei nur gerichtlich überprüfbar, ob die Behörde die gesetzlichen Grenzen ihres Ermessensspielraums eingehalten habe.

Das Gericht stellte in seinem Urteil zwar fest, dass die Weitergabe der betreffenden Verfahrensakten an Medienvertreter vor deren Verlesung in der Hauptverhandlung objektiv eine rechtswidrige Datenverarbeitung im Sinne von Art. 4 Nr. 2 DSGVO darstellen dürfte, da weder eine Einwilligung des Klägers (Art. 6 Abs. 1 S. 1 lit. a DSGVO) vorlag, noch die Weitergabe der Unterlagen zur Wahrung der Aufgaben der Justiz erforderlich ist (Art. 6 Abs. 1 S. 1 lit. c und e DSGVO). Gleichwohl führt das Gericht weiter aus, dass der Kläger auf den Erlass aufsichtsrechtlicher Maßnahmen keinen Anspruch habe, weil der Verantwortliche für die Verletzung des Schutzes seiner personenbezogenen Daten nicht bekannt sei.

Herausforderung: Eindeutige Feststellbarkeit der Verantwortlichkeit

Gemäß Art. 58 Abs. 2 DSGVO kann die Aufsichtsbehörde nur Maßnahmen gegenüber dem Verantwortlichen (oder einem Auftragnehmer) ergreifen. Ursache hierfür ist, dass der Verantwortliche nach Art. 4 Nr. 7 DSGVO über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet und folglich die Möglichkeit hat, etwaige Verstöße zukünftig zu unterbinden.

Nach Auffassung des Gerichts ist das beteiligte Landgericht sowie die zuständige Staatsanwaltschaft jeweils eigenständig für die Verarbeitung personenbezogener Daten verantwortlich, da sie in ihrem Geschäftsbereich unabhängig voneinander über die Zwecke und Mittel der Datenverarbeitung entscheiden. Des Weiteren orientiert sich die Bestimmung des Verantwortlichen nicht an einer übergeordneten Stelle (z. B. Justizministerium), sondern an die jeweils zuständige Behörde bzw. staatliche Stelle, die die Datenverarbeitung in ihrem Bereich verantwortet. Auch das Vorliegen einer gemeinsamen Verantwortlichkeit wurde vom Gericht verneint. Aus diesem Grund ist das Landgericht als auch die Staatsanwaltschaft beim Landgericht jeweils selbst für die Verarbeitung der Daten verantwortlich.

Liegt ein Ermessensnichtgebrauch vor?

Dem Betroffenen steht das Recht auf Beschwerde gemäß Art. 57 Abs. 1 S. 1 lit. f DSGVO i.V.m. Art. 77 Abs. 1 DSGVO zu. Daraus ergibt sich ein zweistufiger gerichtlich überprüfbarer Anspruch: Im ersten Schritt ist zu prüfen, ob die Aufsichtsbehörde den Sachverhalt in angemessenem Umfang untersucht hat. Stellt diese einen Verstoß fest, besteht im zweiten Schritt ein Anspruch seitens des Klägers auf eine ermessensfehlerfreie Entscheidung über das behördliche Einschreiten. Diese beschränkt sich darauf, ob die Behörde ihren Ermessensspielraum sachgerecht ausgeübt, alle relevanten Gesichtspunkte berücksichtigt und die gesetzlichen Grenzen eingehalten hat.

Der Umfang der Ermittlungen richtet sich nach den Umständen des Einzelfalls. Maßgeblich ist die Schwere des Verstoßes und die individuelle Bedeutung der Sache, die im Ermessen der Aufsichtsbehörde liegt.

Die beklagte Aufsichtsbehörde hatte zunächst eine Stellungnahme von dem betreffenden Landgericht und der zuständigen Staatsanwaltschaft eingeholt. Beide erklärten, dass es keine Hinweise auf eine unzulässige Weitergabe der Daten gebe. Auch die durch die Generalstaatsanwaltschaft eingeleitete Untersuchung wegen des Verdachts der Verletzung des Dienstgeheimnisses und einer besonderen Geheimhaltungspflicht gegen Unbekannt blieben erfolglos. Somit konnte die Behörde keine rechtswidrige Datenverarbeitung im Verantwortungsbereich der beiden Rechtsträger feststellen.

Des Weiteren wies das Gericht darauf hin, dass zwar eine tiefergehende Aufklärung des Sachverhaltes theoretisch möglich wäre, jedoch davon abgesehen werden kann aufgrund des zeitlichen, sächlichen und persönlichen Aufwands sowie der geringen Aufklärungswahrscheinlichkeit und des Zeitablaufs.

Das Gericht begründete: „Soweit der Kläger der Auffassung ist, es liege ein Ermessensnichtgebrauch vor, weil die Beklagte über etwaige Sanktionen erst gar nicht entschieden habe, kann er damit nicht durchdringen. Eine Entscheidung über den Erlass von aufsichtsrechtlichen Maßnahmen war von vorneherein nicht zu treffen, weil der Verantwortliche nicht feststeht.“ Auch das Unterbleiben von weiteren Aufklärungsmaßnahmen stellt aufgrund der realistischen Einschätzung der Erfolgsaussichten kein Ermessensnichtgebrauch dar.

Fazit

Der Fall verdeutlicht, dass das Vorliegen eines Datenschutzverstoßes allein nicht ausreicht, um behördliche Maßnahmen oder Sanktionen zu rechtfertigen. Einerseits besteht zwar ein legitimes Interesse am Schutz betroffener Personen und an der konsequenten Verhinderung von Datenschutzverstößen. Andererseits dürfen Aufsichtsbehörden ihre Befugnisse nicht willkürlich einsetzen und Beanstandungen ohne Grundlage vornehmen.

Das Verwaltungsgericht beantwortet die zu Anfangs aufgeworfenen Fragen mit einer klaren Botschaft: Ohne einen eindeutig identifizierbaren Verantwortlichen dürfen die Aufsichtsbehörden keine Abhilfemaßnahmen nach Art. 58 Abs. 2 DSGVO ergreifen. Somit kommt es nicht auf den Umstand an, dass ein Verstoß vorliegt, sondern ob festgestellt werden kann welche Stelle für den Datenschutzvorfall verantwortlich ist.

Gleichzeitig wird deutlich, dass die Aufsichtsbehörden – als Hüter der DSGVO – an Hürden stoßen. Zum besseren Schutz des Datenschutzrechts wäre es wünschenswert, wenn die Behörden in solchen Fällen allgemeine Mindeststandards formulieren und den Verantwortlichen an die Hand geben könnten. Diese Hinweise könnten den betroffenen Stellen als Orientierung für eine interne Prüfung dienen, um sicherzustellen, dass ihre Prozesse in dem betreffenden Fall den aktuellen datenschutzrechtlichen Anforderungen entsprechen und künftige vergleichbare Verstöße vermieden werden.