Kanzlei Dr. Bahr
Navigation
Kategorie: Datenschutzrecht

VG Düsseldorf: DSGVO-Maßnahmen nur dann möglich, wenn Verantwortlicher festgestellt wurde

Eine Datenschutzbehörde darf Maßnahmen nur ergreifen, wenn der Verantwortliche für einen Datenschutzverstoß eindeutig feststellbar ist.

Eine Datenschutzbehörde kann DSGVO-Maßnahmen nur dann ergreifen, wenn der Verantwortliche für eine Datenschutzverletzung festgestellt ist (VG Düsseldorf, Urt. v. 11.11.2024 - Az.: 29 K 4853/22).

Ein ehemaliger ziviler Mitarbeiter von Polizei und Geheimdiensten klagte gegen die Landesdatenschutzbehörde Nordrhein-Westfalens und verlangte, dass diese Maßnahmen ergreifen sollte.

In einem Strafverfahren gegen den Kläger waren Gerichtsakten an die Medien weitergegeben worden, die zu mehreren Presseberichten führten. Der Kläger forderte nun, dass die Datenschutzbehörde Maßnahmen gegen den Datenschutzverstoß ergriff und die Weitergabe seiner Daten zukünftig verhinderte.

Die Datenschutzbehörde konnte nicht feststellen, wer die Rechtsverletzungen begangen hatte. Auch staatsanwaltschaftliche Untersuchungen blieben erfolglos. Daraufhin stelle die Datenschutzbehörde das Verfahren ein, ohne weitere Maßnahmen zu ergreifen.

Dies beanstandete der Kläger und sah in dem Nichthandeln einen Rechtsverstoß.

Das VG Düsseldorf wies die Klage ab.

Eine Datenschutzbehörde könne nur dann Maßnahmen ergreifen, wenn der Verantwortliche für den Datenschutzverstoß eindeutig festgestellt sei:

"An der Gewissheit, wer den Datenschutzverstoß begangen hat, fehlt es aber gerade.

Das schließt die Ergreifung von Abhilfemaßnahmen nach Art. 58 Abs. 2 DSGVO durch die Beklagte aus. Lässt sich ein Verantwortlicher für den Datenschutzverstoß nicht feststellen, kann die Beklagte als Aufsichtsbehörde weder auf Abhilfe hinwirken noch kann sie gemäß den in der Datenschutzgrundverordnung vorgesehenen Möglichkeiten eine Maßnahme oder Sanktion erlassen.

Die Beklagte konnte den Verantwortlichen auch nicht ermitteln. Das Absehen von weiteren Aufklärungsmaßnahmen ist nicht zu beanstanden.

Um bewerten zu können, ob eine Datenverarbeitung rechtswidrig ist und ob aufsichtsrechtliche Maßnahmen zu ergreifen sind, muss die Aufsichtsbehörde den Sachverhalt ermitteln und alle zur Ermittlung und Überprüfung des Verstoßes erforderlichen Umstände aufklären. Dazu gehört auch die Klärung, wer den möglichen Datenschutzverstoß begangen hat. Denn wenn der Verantwortliche für die Rechtsverletzung nicht feststeht, kommen Abhilfebefugnisse der Aufsichtsbehörde nach Art. 58 Abs. 2 DSGVO mit dem Ziel, den Verstoß abzustellen, von vornherein nicht in Betracht."

Dass das Amt weitere Ermittlungen abgelehnt habe, sei ebenfalls nicht zu beanstanden, so das Gericht.

Die Behörde habe den ihr zustehenden Ermessensspielraum genutzt. Da die Aufklärungswahrscheinlichkeit gering sei, der zeitliche und personelle Aufwand hingegen jedoch hoch, könne die Einstellung weiterer Maßnahmen nicht kritisiert werden:

"Nach diesem Maßstab sind Ermessensfehler bei der Entscheidung der Beklagten, von weiteren Aufklärungsmaßnahmen abzusehen, nicht erkennbar.

Die Beklagte hat ihr Ermessen hinsichtlich des Umfangs der Ermittlungen erkannt und ausgeübt. Der Vermerk der Beklagten vom 15. Dezember 2021, es sei zu erwarten, dass ein Datenschutzverstoß nicht mit zu vertretendem Aufwand festgestellt werden könne, lässt nicht, wie der Kläger meint, auf einen aktiven Ermessensnichtgebrauch schließen. 

Der Vermerk stellt lediglich eine realistische Einschätzung der Erfolgsaussichten einer weiteren Aufklärung und keine Vorwegnahme des Ergebnisses der Untersuchung dar. Das zeigt sich daran, dass die Beklagte in der Folge den relevanten Sachverhalt untersucht und die geeigneten und erforderlichen Aufklärungsmaßnahmen ergriffen hat. Zur Ermittlung des für den Datenschutzrechtsverstoß Verantwortlichen hat sie Auskunftsersuchen an das Landgericht U., die Staatsanwaltschaft U. und die Staatsanwaltschaft S. gesandt. 

Während die Staatsanwaltschaft (…) mit dem Verfahren des Klägers zu keinem Zeitpunkt befasst war, haben die beiden anderen Stellen mitgeteilt, dass dort jeweils eine Weitergabe der in Rede stehenden Informationen nicht habe festgestellt werden können."

Rechts-News durch­suchen

13. Januar 2025
Die verpflichtende Angabe der Anrede beim Kauf eines Bahntickets verstößt gegen die DSGVO, da sie für den Vertrag nicht unerlässlich und…
ganzen Text lesen
09. Januar 2025
Die EU-Kommission muss einem Nutzer 400 EUR DSGVO-Schadenersatz zahlen, da sie durch die Nutzung von "Sign in with Facebook" eine rechtswidrige…
ganzen Text lesen
07. Januar 2025
Und noch einmal: Kein DSGVO-Schadensersatz für Facebook-Scraping, da Kläger keinen Kontrollverlust nachweisen konnte.
ganzen Text lesen
06. Januar 2025
Eine Entschuldigung kann unter bestimmten Voraussetzungen einen immateriellen Schaden, der durch einen DSGVO-Verstoß entstanden ist, vollständig…
ganzen Text lesen

Rechts-News durchsuchen