Wenn die DSGVO an ihre Grenzen stößt: Verantwortlichkeit als Schlüsselfaktor

Das Urteil des Verwaltungsgerichts Düsseldorf vom 11. November 2024 (Az. 29 K 4853/22) beleuchtet die praktischen Grenzen der DSGVO bei der Durchsetzung datenschutzrechtlicher Vorschriften. Der Fall zeigt, dass selbst bei einem klaren Datenschutzverstoß keine Maßnahmen ergriffen werden können, wenn der Verantwortliche nicht eindeutig identifiziert werden kann.

Hintergrund des Falls

Ein Kläger beschwerte sich bei der Landesdatenschutzbehörde Nordrhein-Westfalens über die Weitergabe von Gerichtsakten, einschließlich der Anklageschrift, an die Presse. Diese Veröffentlichung erfolgte vor der Hauptverhandlung und ohne Einwilligung des Klägers.

Die Datenschutzbehörde konnte trotz interner Ermittlungen sowie einer Untersuchung der Staatsanwaltschaft keinen Verantwortlichen für die unzulässige Weitergabe der Daten feststellen. Daher stellte sie das Verfahren ein. Der Kläger argumentierte, dass die Behörde ihre Ermittlungspflichten nicht erfüllt und ihr Ermessen nicht ordnungsgemäß ausgeübt habe, und forderte Sanktionen gemäß Art. 58 Abs. 2 DSGVO.

Entscheidung des Gerichts Untersuchungspflichten der Aufsichtsbehörde

Gemäß Art. 57 Abs. 1 lit. f DSGVO sind Datenschutzaufsichtsbehörden verpflichtet, Beschwerden in angemessenem Umfang zu prüfen. Sie haben dabei weitreichende Befugnisse gemäß Art. 58 Abs. 1 DSGVO.

Die Behörde muss in zwei Schritten vorgehen:

  1. Prüfen, ob ein Datenschutzverstoß vorliegt.
  2. Ermessensfehlerfreie Entscheidung über Maßnahmen zur Abhilfe.


Das Gericht bestätigte, dass die Behörde den Sachverhalt hinreichend untersucht habe. Trotz intensiver Ermittlungen – einschließlich der Einholung von Stellungnahmen des Landgerichts und der Staatsanwaltschaft – konnte kein Verantwortlicher festgestellt werden.

Maßnahmen gegen einen Verantwortlichen nach Art. 58 Abs. 2 DSGVO

Nach Art. 58 Abs. 2 DSGVO können Aufsichtsbehörden Maßnahmen nur gegen den Verantwortlichen oder dessen Auftragsverarbeiter ergreifen. Da die Verantwortlichkeit im vorliegenden Fall nicht geklärt werden konnte, war ein weiteres Einschreiten der Behörde nicht möglich.

Das Gericht betonte, dass Maßnahmen wie Bußgelder oder Verbote nur dann zulässig sind, wenn ein konkreter Verantwortlicher festgestellt wird. Ohne einen Verantwortlichen fehlt die rechtliche Grundlage für Maßnahmen, selbst wenn objektiv ein Datenschutzverstoß vorliegt.

Keine Verletzung des Ermessensspielraums

Die Behörde habe ihren Ermessensspielraum ordnungsgemäß genutzt. Angesichts der geringen Erfolgsaussichten weiterer Ermittlungen, des hohen Aufwands und des Zeitablaufs sei die Entscheidung zur Verfahrenseinstellung nachvollziehbar. Ein Ermessensnichtgebrauch liege nicht vor.

Herausforderungen für die DSGVO

Der Fall zeigt eine strukturelle Schwäche der DSGVO:

  1. Abhängigkeit von der Identifizierung eines Verantwortlichen
    • Maßnahmen sind nur möglich, wenn der Verantwortliche oder ein Auftragsverarbeiter bekannt ist.
    • Die DSGVO bietet keine Möglichkeit, allgemeine Maßnahmen oder Sanktionen zu erlassen, wenn die Verantwortlichkeit nicht eindeutig geklärt werden kann.
  2. Ermittlungsgrenzen der Aufsichtsbehörden
    • Datenschutzbehörden sind in ihrer Untersuchung auf Kooperationsbereitschaft und klare Verantwortlichkeiten innerhalb von Organisationen angewiesen.
    • Unklare Zuständigkeiten oder mangelnde Nachvollziehbarkeit der Datenverarbeitung erschweren die Aufklärung.
  3. Fehlende Präventionsmechanismen
    • Die DSGVO sieht keine umfassenden Mindestanforderungen vor, die betroffenen Organisationen als Leitfaden dienen könnten, um Verstöße präventiv zu vermeiden.

Das Urteil des Verwaltungsgerichts Düsseldorf betont die Grenzen der DSGVO in der Praxis. Obwohl die Verordnung umfassende Rechte und Pflichten formuliert, stößt ihre Durchsetzung an praktische Hürden, wenn keine Verantwortlichkeit festgestellt werden kann.

Um solche Fälle künftig besser zu handhaben, könnten folgende Maßnahmen diskutiert werden:

  1. Formulierung allgemeiner Leitlinien durch die Aufsichtsbehörden:
    • Entwicklung von Mindeststandards und Handlungsempfehlungen für betroffene Organisationen.
  2. Stärkung präventiver Ansätze:
    • Verpflichtung zur regelmäßigen Überprüfung von Datenverarbeitungsprozessen und Verantwortlichkeiten.
  3. Erweiterung der Befugnisse der Aufsichtsbehörden:
    • Schaffung rechtlicher Grundlagen für allgemeine Sanktionen oder Maßnahmen, auch wenn kein konkreter Verantwortlicher festgestellt wird.


Das Urteil verdeutlicht die Notwendigkeit, die DSGVO weiterzuentwickeln, um sowohl den Schutz personenbezogener Daten als auch die effektive Durchsetzung von Datenschutzvorgaben zu gewährleisten. 

Sie haben Fragen zu diesem Artikel? Rufen Sie uns gern unter 09122 6937302 an und vereinbaren Sie einen Gesprächstermin. Oder senden Sie uns einfach eine Nachricht. Wir freuen uns, Sie kennenzulernen!

Ihr Team von Datenschutz Prinz


×
Bleiben Sie informiert!

Hier haben Sie die Möglichkeit, für alle Blog-Beiträge, die wir auf unserer Webseite veröffentlichen, Updates zu erhalten.

Damit verpassen Sie keine Neuigkeiten mehr in Sachen Datenschutz!

 
Empfehlungen zum Einsatz von KI-Anwendungen von An...
Phishing-Mails: So erkennen Sie betrügerische E-Ma...

Um hier diese Inhalte zu sehen, stimmen Sie bitte zu, dass diese in die Webseite von https://www.datenschutz-prinz.de/ geladen werden.