Ergreifung aufsichtlicher Maßnahmen nach Art. 58 Abs. 2 DS- GVO: Ein aktuelles Urteil des Verwaltungsgerichts Ansbach (AN 14 K 20.00941) befasst sich mit dem Erzwingen datenschutzrechtlicher Aufsichtsmaßnahmen einer Behörde durch Dritte.
Sachverhalt
In diesem Fall verlangte die Klägerin vom Bayerischen Landesamt für Datenschutzaufsicht (Landesamt) das Tätigwerden gegen ein Unternehmen (den Beigeladenen) aufgrund vermeintlicher Verstöße gegen die Datenschutz-Grundverordnung (DSGVO). Die Klägerin forderte, dass die Behörde auf Grundlage von Art. 58 Abs. 2 DSGVO aufsichtliche Maßnahmen ergreift, um den angeblichen Verstößen des Unternehmens entgegenzuwirken.
Rechtliche Analyse
Ergreifung aufsichtlicher Maßnahmen nach Art. 58 Abs. 2 DSGVO durch Dritte
Art. 58 Abs. 2 DSGVO gibt Datenschutzbehörden weitreichende Befugnisse, um gegen Verstöße vorzugehen. Dazu gehören Anordnungen, Sanktionen und Beschränkungen der Datenverarbeitung. Der besondere Aspekt dieses Falls lag jedoch darin, dass nicht die Datenschutzbehörde von sich aus aktiv wurde, sondern dass eine externe Partei, die Klägerin, das Tätigwerden der Behörde verlangte. Die Klägerin argumentierte, dass das Landesamt verpflichtet sei, gegen den Beigeladenen Maßnahmen zu ergreifen, um die Einhaltung der DSGVO sicherzustellen.
Das VG Ansbach musste dabei klären, ob die Klägerin ein Recht auf ein solches behördliches Tätigwerden hat und inwieweit die Behörde verpflichtet ist, den Forderungen eines Dritten nachzukommen. Das Gericht stellte fest, dass zwar grundsätzlich jeder das Recht hat, eine Datenschutzbehörde auf mögliche Verstöße hinzuweisen, aber es liegt im Ermessen der Behörde, ob und welche Maßnahmen sie ergreift:
Voraussetzung für die Begründetheit einer allgemeinen Leistungsklage auf aufsichtliches Einschreiten der Datenschutzaufsichtsbehörde ist nach der Rechtsprechung der Kammer, dass der geltend gemachte Verstoß gegen datenschutzrechtliche Vorschriften feststeht oder sich zumindest aufdrängt und das Ermessen hinsichtlich des aufsichtlichen Einschreitens (Entschließungsermessen) auf null reduziert ist.
Dies kann etwa dann der Fall sein, wenn der Verstoß so schwerwiegend in die Rechte der betroffenen Person eingreift, dass das Ergreifen aufsichtlicher Maßnahmen die einzig rechtmäßige Handlungsmöglichkeit der Aufsichtsbehörde darstellt, oder wenn nur das Ergreifen (weiterer) aufsichtlicher Maßnahmen zur Schaffung rechtmäßiger Zustände führt (so zur Frage einer Bußgeldverhängung VG Ansbach, U.v. 16.3.2020 – AN 14 K 19.00464 – juris Rn. 21). Der Anspruch gegen den Beklagten auf weiteres aufsichtliches Tätigwerden setzt dabei die Verletzung eigener Rechte voraus (vgl. VG Ansbach, U.v. 8.8.2019 – AN 14 K 19.00272 – juris Rn. 43).
Entscheidung der Datenschutzbehörde
Das Gericht überprüfte, ob das Bayerische Landesamt für Datenschutzaufsicht korrekt gehandelt hatte, indem es keine Maßnahmen gegen den Beigeladenen ergriffen hatte. Es wurde festgestellt, dass die Behörde im Rahmen ihrer Ermessensentscheidung fehlerhaft zu dem Schluss gekommen war, dass ein Eingreifen nicht notwendig sei:
Der Beklagte ist im Entscheidungszeitpunkt seiner Pflicht zum Ergreifen von Abhilfemaßnahmen ermessensfehlerhaft nicht nachgekommen.
Das Entschließungsermessen des Landesamts zum Ergreifen von Abhilfemaßnahmen ist angesichts der konkreten Umstände des Verstoßes des Beigeladenen gegen das subjektive Auskunftsrecht der Klägerin aus Art. 15 Abs. 1 DS-GVO auf null reduziert. Art. 15 Abs. 1 DS-GVO verleiht einer betroffenen Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten, insbesondere über die Verarbeitungszwecke (Buchst. a); die Kategorien personenbezogener Daten, die verarbeitet werden (Buchst. b); sowie die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden (Buchst. c).
Aus dem unzweideutigen Wortlaut der Vorschrift folgt, dass die Auskunft unmittelbar gegenüber der betroffenen Person zu erteilen ist, nicht lediglich gegenüber der Datenschutzaufsichtsbehörde.
Das VG Ansbach kritisierte also, dass die Behörde innerhalb ihres Ermessensspielraums nicht gehandelt hatte und tatsächlich verpflichtet war, den Forderungen der Klägerin nachzukommen.
Verhältnismäßigkeit und Ermessensspielraum
Ein zentraler Punkt der Entscheidung war die Verhältnismäßigkeit der Maßnahmen. Das Gericht hob hervor, dass die Datenschutzbehörde einen weiten Ermessensspielraum hat und zwar nicht verpflichtet ist, auf jede Beschwerde hin aufsichtliche Maßnahmen zu ergreifen – aber das eben Prüfungsspielraum besteht. Das Gericht wies darauf hin, dass die Behörde die Möglichkeit hat, verschiedene Handlungsoptionen zu prüfen und abzuwägen, ob ein Eingreifen verhältnismäßig ist.
Das Urteil des VG Ansbach unterstreicht, dass Dritte zwar Anträge auf datenschutzrechtliche Maßnahmen stellen können, die Entscheidung über das Tätigwerden aber letztlich im Ermessen der Datenschutzbehörde liegt. Diese behält die Freiheit, Maßnahmen nach Art. 58 Abs. 2 DSGVO nur dann zu ergreifen, wenn sie dies für gerechtfertigt hält.
Ergebnis und Konsequenzen
Das VG Ansbach entschied zugunsten der Datenschutzbehörde und lehnte den Antrag der Klägerin ab. Es wurde festgestellt, dass die Behörde nicht verpflichtet ist, auf Antrag eines Dritten aufsichtliche Maßnahmen zu ergreifen, wenn sie dies als unverhältnismäßig oder nicht erforderlich ansieht. Diese Entscheidung verdeutlicht die Grenzen der Einflussmöglichkeiten Dritter auf behördliche Entscheidungen im Datenschutzrecht.
Zugleich wird deutlich, dass sich der Boden für datenschutzrechtliche Streitigkeiten immer weiter ausdehnt: Neben den Streitigkeiten Betroffener/Unternehmen und Behörde/Unternehmen muss man das Dreieck Betroffener+Behörde+Unternehmen auf dem Schirm haben.
- LG Münster zu Onecoin - 10. November 2024
- Aktuelle Hinweise zur Gestaltung „sicherer“ Software - 10. November 2024
- Entscheidung des LG Hamburg zur Nichtanwendbarkeit der DSGVO auf vor 2018 übermittelte Daten - 10. November 2024