Kein Verantwortlicher ermittelbar =
keine DSGVO-Maßnahmen von Aufsichtsbehörden möglich

Die Aufsichtsbehörde muss einen Sachverhalt ermitteln und alle zur Ermittlung und Überprüfung des Verstoßes erforderlichen Umstände aufklären. Dazu gehört auch die Klärung, wer den möglichen Datenschutzverstoß begangen hat. Aber: Lässt sich ein Verantwortlicher für den Datenschutzverstoß nicht feststellen, ist die Ergreifung von Abhilfemaßnahmen durch die Aufsichtsbehörde ausgeschlossen. Zu diesem Ergebnis kommt das Verwaltungsgericht (VG) Düsseldorf.

Der Fall

Ein ehemaliger ziviler Mitarbeiter von Polizei und Geheimdiensten klagte gegen die Landesdatenschutzbehörde (LDI) NRW und verlangte, dass diese Maßnahmen ergreifen sollte. In einem Strafverfahren gegen ihn waren Gerichtsakten an die Medien weitergegeben worden, die zu mehreren Presseberichten führten. Er forderte nun, dass die Datenschutzbehörde Maßnahmen gegen den Datenschutzverstoß ergriff und die Weitergabe seiner Daten zukünftig verhinderte.

Die Datenschutzbehörde konnte nicht feststellen, wer die Rechtsverletzungen begangen hatte. Auch staatsanwaltschaftliche Untersuchungen blieben erfolglos. Daraufhin stellte die Datenschutzbehörde das Verfahren ein, ohne weitere Maßnahmen zu ergreifen. Dies beanstandete der Kläger und sah in dem Nichthandeln einen Rechtsverstoß.

Die Entscheidung

Das VG Düsseldorf (11.11.2024, Az. 29 K 4853/22) wies die Klage ab.

Zwar stellt das Gericht zunächst fest: „Die Weitergabe personenbezogener Daten des Klägers aus diesen betreffenden Verfahrensakten vor Verlesung in der Hauptverhandlung an Medienvertreter dürfte zwar objektiv eine rechtswidrige Datenverarbeitung im Sinne von Art. 4 Nr. 2 DSGVO in Form der Offenlegung durch Übermittlung oder Verbreitung darstellen.“

Aber weiter: „Gleichwohl hat der Kläger auf den Erlass aufsichtsrechtlicher Maßnahmen keinen Anspruch, weil der Verantwortliche für die Verletzung des Schutzes seiner personenbezogenen Daten nicht bekannt ist.“

Verantwortlicher muss eindeutig feststellbar sein

Eine Datenschutzbehörde könne nur dann Maßnahmen ergreifen, wenn der Verantwortliche für den Datenschutzverstoß eindeutig festgestellt sei. An der Gewissheit, wer den Datenschutzverstoß begangen habe, fehle es aber gerade. Das schließe die Ergreifung von Abhilfemaßnahmen nach Art. 58 Abs. 2 DSGVO durch die Beklagte aus. Lasse sich ein Verantwortlicher für den Datenschutzverstoß nicht feststellen, könne die Aufsichtsbehörde weder auf Abhilfe hinwirken, noch könne sie gemäß den in der DSGVO vorgesehenen Möglichkeiten eine Maßnahme oder Sanktion erlassen.

Das Gericht weiter: „Die Beklagte konnte den Verantwortlichen auch nicht ermitteln. Das Absehen von weiteren Aufklärungsmaßnahmen ist nicht zu beanstanden. Um bewerten zu können, ob eine Datenverarbeitung rechtswidrig ist und ob aufsichtsrechtliche Maßnahmen zu ergreifen sind, muss die Aufsichtsbehörde den Sachverhalt ermitteln und alle zur Ermittlung und Überprüfung des Verstoßes erforderlichen Umstände aufklären. Dazu gehört auch die Klärung, wer den möglichen Datenschutzverstoß begangen hat. Denn wenn der Verantwortliche für die Rechtsverletzung nicht feststeht, kommen Abhilfebefugnisse der Aufsichtsbehörde nach Art. 58 Abs. 2 DSGVO mit dem Ziel, den Verstoß abzustellen, von vornherein nicht in Betracht.“

Behörde durfte auch weitere Ermittlungen ablehnen

Dass das Amt weitere Ermittlungen abgelehnt habe, sei ebenfalls nicht zu beanstanden, so das Gericht. Die Behörde habe den ihr zustehenden Ermessensspielraum genutzt. Da die Aufklärungswahrscheinlichkeit gering sei, der zeitliche und personelle Aufwand hingegen jedoch hoch, könne die Einstellung weiterer Maßnahmen nicht kritisiert werden.