Am 11. November 2024 fällte das Verwaltungsgericht Düsseldorf ein wegweisendes Urteil zum Datenschutz (Az. 29 K 4853/22). Der Fall drehte sich um die unbefugte Weitergabe sensibler Informationen an Journalisten. Ein ehemaliger ziviler Mitarbeiter von Polizei und Geheimdiensten behauptete, dass seine Ermittlungsakte ohne seine Zustimmung an die Presse gelangt sei.
Daraufhin forderte er die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) auf, Maßnahmen gegen den mutmaßlichen Datenschutzverstoß zu ergreifen. Die Behörde konnte jedoch keinen Verantwortlichen ermitteln – und genau das wurde zum zentralen Punkt des Gerichtsverfahrens.
Kernfrage: Kann eine Datenschutzbehörde sanktionieren, wenn der Verantwortliche unbekannt ist?Die Datenschutz-Grundverordnung (DSGVO) gibt Aufsichtsbehörden weitreichende Befugnisse, um Verstöße zu ahnden. In Artikel 58 Abs. 2 DSGVO sind Maßnahmen wie Verwarnungen, Anordnungen und Bußgelder festgelegt. Doch diese Befugnisse setzen voraus, dass ein konkreter Verantwortlicher identifiziert werden kann.
In diesem Fall stand jedoch fest: Die Datenschutzbehörde hatte umfassend ermittelt, konnte aber nicht klären, wer für die unbefugte Weitergabe der Ermittlungsakte verantwortlich war.
Urteil: Keine Sanktionen ohne VerantwortlichenDas Verwaltungsgericht Düsseldorf wies die Klage des ehemaligen Mitarbeiters ab. Die Begründung:
✔ Ohne feststellbaren Verantwortlichen kann keine Sanktion verhängt werden.
✔ Die Datenschutzbehörde hat ihre Ermittlungsaufgaben erfüllt und keine Pflichtverletzung begangen.
✔ Datenschutzverstöße können nicht „ins Blaue hinein" geahndet werden.
Das Urteil verdeutlicht die Grenzen der Datenschutzaufsicht. Auch wenn eine Datenschutzverletzung vermutet wird, kann die Behörde nur handeln, wenn sie den Verantwortlichen eindeutig benennen kann.
Folgen für den Datenschutz in DeutschlandDieses Urteil könnte Auswirkungen auf zukünftige Datenschutzfälle haben:
🔹 Herausforderungen für Betroffene: Personen, deren Daten unbefugt weitergegeben werden, haben es schwer, wenn der Verantwortliche nicht ermittelt werden kann.
🔹 Grenzen der DSGVO-Durchsetzung: Datenschutzbehörden können nur reagieren, wenn Verstöße klar einem Verursacher zugeordnet werden können.
🔹 Erhöhte Anforderungen an Beweisführung: Wer eine Datenschutzverletzung meldet, sollte nach Möglichkeit Beweise oder Anhaltspunkte für den Verantwortlichen liefern.
Das Urteil des VG Düsseldorf zeigt: Datenschutzverstöße sind nur dann sanktionierbar, wenn der Verantwortliche bekannt ist. Das stellt Betroffene oft vor große Herausforderungen – und setzt Unternehmen, Behörden und Organisationen unter Druck, ihre internen Datenschutzstrukturen so zu gestalten, dass Verantwortlichkeiten klar nachvollziehbar sind.
Wer Datenschutzverstöße meldet, sollte daher möglichst konkrete Hinweise auf den Verantwortlichen liefern, damit die zuständigen Behörden tätig werden können.
Sie haben Fragen zu diesem Artikel? Rufen Sie uns gern unter 09122 6937302 an und vereinbaren Sie einen Gesprächstermin. Oder senden Sie uns einfach eine Nachricht. Wir freuen uns, Sie kennenzulernen!
Ihr Team von Datenschutz Prinz