VG Düsseldorf: Grenzen von Datenschutzaufsichtsbehörden
Ein Urteil des Verwaltungsgerichts (VG) Düsseldorf vom 11.11.2024 (29 K 4853/22) beleuchtet eine relevante Frage im Datenschutzrecht: Wie weit dürfen Aufsichtsbehörden bei der Ahndung von Datenschutzverletzungen gehen, wenn der Verantwortliche nicht identifizierbar ist? Obwohl die Datenschutzgrundverordnung (DSGVO) den Aufsichtsorganen viel Handlungsspielraum zuspricht, zeigt dieser Fall, dass Befugnisse an praktische und rechtliche Grenzen stoßen können.
Hintergrund zum Fall
Das Urteil beruht auf einem Fall, indem ein Kläger im Rahmen eines Strafverfahrens wegen Steuerhinterziehung zum Opfer eines möglichen Datenschutzverstoßes wurde. Inhalte der Gerichtsakte, darunter die Anklageschrift, seien unbefugt an die Presse gelangt und veröffentlicht worden.
Der Kläger forderte daraufhin von der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW), den Verstoß zu sanktionieren. Die Aufsichtsbehörde konnte jedoch keine Anhaltspunkte dafür finden, ob eine Stelle Daten weitergegeben hatte und wenn ja wer hierfür verantwortlich war. Auch die Ermittlungen der Staatsanwaltschaft führten zu keinem anderen Ergebnis. Infolgedessen stellte die Behörde das Verfahren ein.
Hiergegen wehrte sich der Kläger gerichtlich. Er beanstandet, dass die Behörde bewusst nicht hinreichend ihre Befugnisse ausgeschöpft habe. Dies wertete er als einen Verstoß gegen seine Grundrechte und das Recht auf effektiven Rechtsschutz.
Pflichten und Befugnisse von Aufsichtsbehörden
Nach Art. 57 Abs. 1 lit. f DSGVO sind Aufsichtsbehörden verpflichtet, Beschwerden nach Art. 77 Abs. 1 DSGVO über Datenschutzverstöße zu untersuchen. Art. 58 DSGVO verleiht ihnen dafür weitreichende Befugnisse, um Abhilfe zu schaffen. Der Einsatz dieser Befugnisse liegt im Ermessen der Behörde und ist nur insoweit gerichtlich überprüfbar, als dass die gesetzlichen Grenzen des Ermessensspielraums eingehalten wurden.
So entschied der EuGH etwa jüngst, dass die Datenschutzaufsichtsbehörden zwar verpflichtet sind, die Einhaltung der DSGVO zu gewährleisten, jedoch nicht in jedem Fall strikte Sanktionen wie Geldbußen erlassen müssen. Stattdessen haben sie Ermessen dahingehend zu entscheiden, welche Maßnahmen erforderlich sind, um einen Datenschutzverstoß zu beheben.
Entscheidung des VG Düsseldorf
Das Gericht bestätigte nun in seinem Urteil klar, dass die Behörde ihr Ermessen nicht fehlerhaft ausgeübt hat. Ein Anspruch des Klägers auf weitere konkrete behördliche Maßnahmen bestünde nicht. Zwar existierten grundsätzlich weitreichende datenschutzrechtliche Befugnisse nach Art. 58 Abs. 2 DSGVO und es liege auch eine Datenschutzverletzung aufgrund der rechtswidrigen Datenverarbeitung vor, hier sei der Verantwortliche allerdings nicht identifizierbar gewesen.
Da die entsprechenden Befugnisse nur gegen Verantwortliche ergriffen werden könnten, habe die Behörde mit der Einstellung der Ermittlungsmaßnahmen ihr Ermessen ordnungsgemäß ausgeschöpft. Insofern beschränke sich der gerichtliche Prüfungsumfang darauf, ob die Behörde ihren Ermessensspielraum ordnungsgemäß ausgeübt hat. In diesem Zusammenhang habe die Behörde auch darauf hingewiesen, dass sie von weiteren Ermittlungsmaßnahmen aufgrund des zeitlichen und personellen Aufwands und einer geringen Wahrscheinlichkeit für eine Aufklärung absehe. Ein Ermessensfehler liege somit nicht vor.
Fazit
Der Fall unterstreicht die Herausforderungen der DSGVO in der Praxis. Zwar existiert ein berechtigtes Interesse an der Durchsetzung von Datenschutzrechten und der Verhinderung von Verstößen. Allerdings kann dies teilweise an praktischen Hürden scheitern. Dann dürfen Behörden ihre Befugnisse nicht ohne hinreichende Anhaltspunkte wahrnehmen. Insofern stellt das VG Düsseldorf fest, dass ohne identifizierbare Verantwortliche behördliche Maßnahmen gegen diese nicht möglich sind. Obwohl es sich vorliegend um staatliche Stellen handelt, die als potenzielle Verantwortliche in Frage kommen, hat der Fall insofern auch für Privatunternehmen Relevanz, als dass auch in solchen Fällen Maßnahmen nur rechtmäßig verhängt werden dürfen, wenn die Datenschutzbehörde ordnungsgemäße die Verantwortlichkeit festgestellt hat.