Eine Datenschutzbehörde kann DSGVO-Maßnahmen nur dann ergreifen, wenn der Verantwortliche für eine Datenschutzverletzung festgestellt ist (VG Düsseldorf, Urt. v. 11.11.2024 - Az.: 29 K 4853/22).
Ein ehemaliger ziviler Mitarbeiter von Polizei und Geheimdiensten klagte gegen die Landesdatenschutzbehörde Nordrhein-Westfalens und verlangte, dass diese Maßnahmen ergreifen sollte.
In einem Strafverfahren gegen den Kläger waren Gerichtsakten an die Medien weitergegeben worden, die zu mehreren Presseberichten führten. Der Kläger forderte nun, dass die Datenschutzbehörde Maßnahmen gegen den Datenschutzverstoß ergriff und die Weitergabe seiner Daten zukünftig verhinderte.
Die Datenschutzbehörde konnte nicht feststellen, wer die Rechtsverletzungen begangen hatte. Auch staatsanwaltschaftliche Untersuchungen blieben erfolglos. Daraufhin stelle die Datenschutzbehörde das Verfahren ein, ohne weitere Maßnahmen zu ergreifen.
Dies beanstandete der Kläger und sah in dem Nichthandeln einen Rechtsverstoß.
Das VG Düsseldorf wies die Klage ab.
Eine Datenschutzbehörde könne nur dann Maßnahmen ergreifen, wenn der Verantwortliche für den Datenschutzverstoß eindeutig festgestellt sei:
"An der Gewissheit, wer den Datenschutzverstoß begangen hat, fehlt es aber gerade.
Das schließt die Ergreifung von Abhilfemaßnahmen nach Art. 58 Abs. 2 DSGVO durch die Beklagte aus. Lässt sich ein Verantwortlicher für den Datenschutzverstoß nicht feststellen, kann die Beklagte als Aufsichtsbehörde weder auf Abhilfe hinwirken noch kann sie gemäß den in der Datenschutzgrundverordnung vorgesehenen Möglichkeiten eine Maßnahme oder Sanktion erlassen.
Die Beklagte konnte den Verantwortlichen auch nicht ermitteln. Das Absehen von weiteren Aufklärungsmaßnahmen ist nicht zu beanstanden.
Um bewerten zu können, ob eine Datenverarbeitung rechtswidrig ist und ob aufsichtsrechtliche Maßnahmen zu ergreifen sind, muss die Aufsichtsbehörde den Sachverhalt ermitteln und alle zur Ermittlung und Überprüfung des Verstoßes erforderlichen Umstände aufklären. Dazu gehört auch die Klärung, wer den möglichen Datenschutzverstoß begangen hat. Denn wenn der Verantwortliche für die Rechtsverletzung nicht feststeht, kommen Abhilfebefugnisse der Aufsichtsbehörde nach Art. 58 Abs. 2 DSGVO mit dem Ziel, den Verstoß abzustellen, von vornherein nicht in Betracht."
Dass das Amt weitere Ermittlungen abgelehnt habe, sei ebenfalls nicht zu beanstanden, so das Gericht.
Die Behörde habe den ihr zustehenden Ermessensspielraum genutzt. Da die Aufklärungswahrscheinlichkeit gering sei, der zeitliche und personelle Aufwand hingegen jedoch hoch, könne die Einstellung weiterer Maßnahmen nicht kritisiert werden:
"Nach diesem Maßstab sind Ermessensfehler bei der Entscheidung der Beklagten, von weiteren Aufklärungsmaßnahmen abzusehen, nicht erkennbar.
Die Beklagte hat ihr Ermessen hinsichtlich des Umfangs der Ermittlungen erkannt und ausgeübt. Der Vermerk der Beklagten vom 15. Dezember 2021, es sei zu erwarten, dass ein Datenschutzverstoß nicht mit zu vertretendem Aufwand festgestellt werden könne, lässt nicht, wie der Kläger meint, auf einen aktiven Ermessensnichtgebrauch schließen.
Der Vermerk stellt lediglich eine realistische Einschätzung der Erfolgsaussichten einer weiteren Aufklärung und keine Vorwegnahme des Ergebnisses der Untersuchung dar. Das zeigt sich daran, dass die Beklagte in der Folge den relevanten Sachverhalt untersucht und die geeigneten und erforderlichen Aufklärungsmaßnahmen ergriffen hat. Zur Ermittlung des für den Datenschutzrechtsverstoß Verantwortlichen hat sie Auskunftsersuchen an das Landgericht U., die Staatsanwaltschaft U. und die Staatsanwaltschaft S. gesandt.
Während die Staatsanwaltschaft (…) mit dem Verfahren des Klägers zu keinem Zeitpunkt befasst war, haben die beiden anderen Stellen mitgeteilt, dass dort jeweils eine Weitergabe der in Rede stehenden Informationen nicht habe festgestellt werden können."