Der Betroffene einer unerlaubte Datenverarbeitung (hier: Äußerungen in einem Internet-Forum) hat gegen die zuständige Datenschutzbehörde einen Anspruch auf Durchsetzung von Löschungsansprüchen gegenüber Google (OVG Hamburg, Urt. v. 07.10.2019 - Az.: 5 Bf 291/17).
Über den Kläger, der im Bereich der Immobilienvermittlung tätig war, wurden mehrere verschiedene kritische Äußerungen in einem Internet-Forum veröffentlicht. Nachdem der Kläger seine Löschungsansprüche gegen Google nicht direkt gerichtlich durchsetzen konnte, wandte er sich an den Hamburgischen Datenschutzbeauftragten und verlangte auf Basis des Datenschutzrechts ein behördliches Einschreiten. Dies lehnte das Amt ab.
Daraufhin ging der Kläger vor Gericht.
Im Ergebnis lehnte das OVG Hamburg im konkreten Einzelfall den Anspruch ab, da die beanstandeten Äußerungen nicht offensichtlich rechtswidrig seien. Gleichwohl äußerten sich die Richter an mehreren wichtigen Stellen zu bislang ungeklärten Rechtsfragen.
Zunächst bejahte das Gericht ein subjektives DSGVO-Recht des Betroffenen gegen die zuständige Datenschutzbehörde auf ermessensfehlerfreies Einschreiten:
"Darüber hinaus spricht viel dafür, dass der Kläger entgegen der Ansicht des Beklagten und der Beigeladenen nach den Regelungen der DSGVO auch berechtigt ist, den mit seiner Beschwerde geltend gemachten Anspruch auf eine datenschutzrechtliche Anordnung gegen die Beigeladene auf dem Verwaltungsrechtsweg gerichtlich durchzusetzen und die ablehnende Entscheidung des Beklagten inhaltlich überprüfen zu lassen.
Soweit das Verwaltungsgericht in der angefochtenen Entscheidung zur früheren Rechtslage ausgeführt hat, einem Beschwerdeführer stehe lediglich ein Anspruch auf Befassung im Sinne eines Petitionsrechts zu, nicht aber ein gerichtlich durchsetzbarer Anspruch auf eine konkrete Maßnahme gegen den Verantwortlichen, dürfte zumindest zweifelhaft sein, ob dies mit der nunmehr geltenden Rechtslage noch vereinbar ist."
Und weiter:
"Bei einer umfassenden Würdigung der maßgeblichen Regelungen spricht nach der Auffassung des Berufungsgerichts einiges dafür, dass sich bei Beschwerden im Sinne des Art. 77 DSGVO der Rechtsschutz nicht allein nach Art. 78 Abs. 2 DSGVO richtet, sondern dass die Ablehnung einer Beschwerde durch die Aufsichtsbehörde jeweils einen „rechtsverbindlichen Beschluss“ darstellen dürfte (...).
Für diese Auslegung sprechen zunächst die Erwägungsgründe Nr. 141 und 143, die eine Rechtsschutzmöglichkeit nach „ganz oder teilweiser Ablehnung einer Beschwerde“ vorsehen. Darin heißt es unter anderem, jede betroffene Person solle das Recht haben, bei einer einzigen Aufsichtsbehörde insbesondere in dem Mitgliedstaat ihres gewöhnlichen Aufenthalts eine Beschwerde einzureichen und gemäß Artikel 47 der Charta einen wirksamen gerichtlichen Rechtsbehelf einzulegen, wenn sie sich in ihren Rechten gemäß der DSGVO verletzt sieht oder wenn die Aufsichtsbehörde auf eine Beschwerde hin nicht tätig wird, eine Beschwerde teilweise oder ganz abweist oder ablehnt oder nicht tätig wird, obwohl dies zum Schutz der Rechte der betroffenen Person notwendig ist (Erwägungsgrund 141 der DSGVO).
Weiter heißt es, jede natürliche oder juristische Person solle das Recht auf einen wirksamen gerichtlichen Rechtsbehelf bei dem zuständigen einzelstaatlichen Gericht gegen einen Beschluss einer Aufsichtsbehörde haben, der gegenüber dieser Person Rechtswirkungen entfaltet. Ein derartiger Beschluss betreffe insbesondere die Ausübung von Untersuchungs-, Abhilfe- und Genehmigungsbefugnissen durch die Aufsichtsbehörde oder die Ablehnung oder Abweisung von Beschwerden (Erwägungsgrund 143 der DSGVO). Ferner wird unter anderem ausgeführt, die zuständigen Gerichte der Mitgliedstaaten sollten eine uneingeschränkte Zuständigkeit besitzen, was die Zuständigkeit, sämtliche für den bei ihnen anhängigen Rechtsstreit maßgebliche Sach- und Rechtsfragen zu prüfen, einschließe. Wurde eine Beschwerde von einer Aufsichtsbehörde abgelehnt oder abgewiesen, könne der Beschwerdeführer Klage bei den Gerichten desselben Mitgliedstaats erheben (Erwägungsgrund 143 der DSGVO)."
Der Hamburgische Datenschutzbeauftragte sei auch örtlich zuständig, obgleich der Suchmaschinen-Anbieter nicht in Deutschland sitze:
"Allerdings bedarf die Frage des Vorhandenseins einer Hauptniederlassung keiner abschließenden Klärung, da eine Übertragung des Verfahrens an den Beklagten im Rahmen des Art. 56 Abs. 2-5 DSGVO erfolgt ist und andernfalls, d.h. bei Fehlen einer Hauptniederlassung der Beigeladenen in der Union, seine Zuständigkeit jedenfalls aufgrund von Art. 55 DSGVO bestünde.
Denn das Berufungsgericht geht davon aus, dass – wie der Beklagte dargelegt hat – bei Anwendung des Verfahrens nach Art. 56 Abs. 2ff. DSGVO die hier federführende (irische) Aufsichtsbehörde im Rahmen der von ihr abgegebenen generellen Erklärung, in sogenannten Delisting-Fällen wie dem vorliegenden auf eine eigene Befassung mit der Beschwerde zu verzichten und den nationalen Aufsichtsbehörden die eigenständige Entscheidung über das Begehren zu überlassen, wirksam entsprechend Art. 56 Abs. 5 DSGVO dem Beklagten die Durchführung und Entscheidung des Beschwerdeverfahrens übertragen hat."
Anmerkung von RA Dr. Bahr:
Das OVG Hamburg hatte bereits in einer anderen Entscheidung (OVG Hamburg, Urt. v. 07.10.2019 - Az.: 5 Bf 279/17) eines entsprechendes subjektives Klagerecht bejaht.
Zu dieser Problematik sind bislang nur vereinzelte Urteile veröffentlicht.
Das VG Ansbach (Urt. v. 16.03.2020 - Az.: AN 14 K 19.00464) und das SG Frankfurt (Oder) (Urt. v. 08.05.2019 - Az.: 2 49 SF 8/19) lehnen einen Anspruch ab. Das VG Mainz (Urt. v. 16.01.2020 - Az.: 1 K 129/19) teilt hingegen die Einschätzung des OVG Hamburg.