Wer kontrolliert die Datenverarbeitung der Datenschutz-Aufsichtsbehörden?

Datenschutz

Was ist eigentlich, wenn Aufsichtsbehörden für den Datenschutz Datenschutzverstöße begehen? Das kommt nicht vor? Doch…das kommt vor.

Who watches the watchdogs?

Wie häufig? Kann ich nicht beurteilen. Ich kenne meist auch nur die Fälle, die ich selbst erlebt habe oder die öffentlich geworden sind.

Beispiele von Verletzungen der DSGVO durch Aufsichtsbehörden

Die bekanntesten Datenschutz-Verletzungen von Aufsichtsbehörden dürften die Fälle sein, in denen Aufsichtsbehörde selbst eingeräumt haben, dass es z.B. zu einem Datenverlust gekommen ist. Ein Beispiel hierfür sind verlorene Daten bei Online-Beschwerdeformularen – hier am Beispiel der Berliner Aufsichtsbehörde:

Nachgelesen werden kann dies z.B. in diesem Bericht des Tagesspiegels.

Rechtlich gesehen sind dies Verstöße gegen Art. 32 DSGVO, weil die Verfügbarkeit der Daten nicht mehr gegeben ist.

Ein anderes Beispiel hatte mich einmal im März 2020 erreicht. Hier hat sich ein Mandant an mich gewendet, der sich gewundert hat, weil er eine E-Mail aus einer Aufsichtsbehörde erhalten hat, die sich offenbar an einen rein internen Kreis richtete. In der E-Mail ging es um die Regelung von Überstunden im „Home Office“. Neben der Tatsache, dass andere Empfänger dieser E-Mail, die in dieser Aufsichtsbehörde arbeiten, meinem Mandanten so bekannt wurden, hat er auch ungewollt Kenntnis von internen Vorgängen im Umgang mit der aktuellen „Home Office“-Situation in dieser Aufsichtsbehörde erhalten. Das war nun sicher nicht gewollt. Offenbar hat der Absender die E-Mail-Adresse meines Mandanten in den Verteiler eingegeben.

Dieser Vorgang ist also ähnlich wie ein klassischer Fauxpas beim Versenden von E-Mails in einem CC-Verteiler statt BCC-Verteiler zu bewerten, bei dem grundsätzlich auch von einer Meldepflicht gegenüber einer Aufsichtsbehörde ausgegangen werden kann.

Auch Aufsichtsbehörden passieren also diese Fehler im Umgang mit E-Mails. Das ist einerseits menschlich, auf der anderen Seite aber auch befremdlich, dass hier nun keine Sanktionen erfolgen können, die z.B. einem Unternehmen in einem ähnlichen Fall theoretisch drohen könnten.

Wer kontrolliert die Aufsichtsbehörden? Nun…das ist gar nicht so einfach.

Datenschutz-Aufsichtsbehörden sind unabhängig

Dass die Aufsichtsbehörden für den Datenschutz als Aufsichtsbehörde die Einhaltung der datenschutzrechtlichen Vorschriften bei der Verarbeitung personenbezogener Daten durch nichtöffentliche Stellen und öffentliche Stellen kontrollieren, ist bekannt.

Diese Kontrollfunktion ist schon in Art. 8 der Charta der Grundrechte der Europäischen Union (GRCh) vorgesehen und wird durch die Art. 51 ff. DSGVO konkretisiert. Danach sind die Aufsichtsbehörden in den Mitgliedsstaaten für die Überwachung der Anwendung der DSGVO zuständig.

Und diese Aufsichtsbehörden sind – und das ist gut so – nach Art. 52 DSGVO unabhängig. Das bedeutet aber eben auch, dass es in der staatlichen Hierarchie in der Exekutive keine übergeordneten Behörden gibt, die wiederum die unabhängigen Aufsichtsbehörden kontrollieren. Logisch.

Außerdem gibt es noch eine Regelung zu Aufsichtsbehörden in § 40 BDSG. Auch dort sind nur die Aufgaben und eine Befugnis zur Verarbeitung bzw. zur Zweckänderung enthalten. Und natürlich sehen auch die Landesdatenschutzgesetze de der Bundesländer ähnliche Rumpfnormen vor, die die DSGVO flankieren.

Müssen die Aufsichtsbehörden die DSGVO einhalten?

Da Aufsichtsbehörde sachlichen Anwendungsbereich nach Art. 2 DSGVO nicht ausgenommen sind, sind diese selbstverständlich grundsätzlich auch zur Einhaltung der Vorgaben der DSGVO verpflichtet.

Nur passen einige Normen dann natürlich nicht – wie z.B. die schon angesprochene Meldepflicht von Datenschutzverletzungen gegenüber der Aufsichtsbehörde. Die Aufsichtsbehörde kann einen entsprechenden Vorfall ja schlecht sich selbst melden. Dass aber z.B. die Meldepflichten für Datenschutzverletzungen nach Art. 33 DSGVO für Aufsichtsbehörden nicht anwendbar sind, ist weder in der DSGVO noch dem nationalen Recht geregelt.

Auch die Sanktionsbefugnisse der Aufsichtsbehörden gehen in diesen Fällen ins Leere, soweit nicht ein „Mitarbeiter“-Exzess vorliegt, also z.B. ein Mitarbeiter vorsätzlich rechtswidrig Daten verarbeitet.

Wie können Betroffene aber gegen Aufsichtsbehörden vorgehen, wenn bei ihrer Verarbeitung von personenbezogenen Daten gegen datenschutzrechtliche Vorschriften verstoßen?

Schadensersatzansprüche gegenüber Aufsichtsbehörden

Nach Art. 82 DSGVO hat ein Betroffener bei Verstößen gegen die DSGVO einen Schadensersatzanspruch gegenüber dem Verantwortlichen. Eine Aufsichtsbehörde ist für die Datenverarbeitung, die sie im Rahmen ihrer Zuständigkeit und ihrer Aufgaben erfüllt, Verantwortlicher i.S.d. Art. 4 Nr. 7 DSGVO.

Diesen Anspruch kann ein Betroffener auch gegenüber der Aufsichtsbehörde geltend machen. Voraussetzung dafür ist aber ein „Schaden“. Der wird allerdings nicht immer vorliegen.

Sonstige Möglichkeiten gegen rechtswidrige Datenverarbeitung von Aufsichtsbehörden vorzugehen

Da die Sanktionsmechanismen der DSGVO neben dem Schadensersatzanspruch vollständig auf die Sanktionierung durch Aufsichtsbehörden ausgerichtet sind, gehen diese Sanktionsmaßnahmen ins Leere.

Da Aufsichtsbehörden als staatliche Verwaltung agiert, steht Betroffenen (und Dritten) aber auch das Instrumentarium des Verwaltungsrechts zur Verfügung.

1. Dienstaufsichtsbeschwerde

Die Dienstaufsichtsbeschwerde ist ein formloser Rechtsbehelf. Sie ist im Verwaltungsverfahrensrecht noch nicht einmal formal geregelt. Inhaltlich ist die Dienstaufsichtsbeschwerde eine Rüge des Verhaltens einer Mitarbeiterin oder eines Mitarbeiters einer Behörde.

Gerichtet wird die Dienstaufsichtsbeschwerde entweder an die Aufsichtsbehörde der jeweiligen Stelle oder den jeweiligen Dienstvorgesetzten.

Nehmen wir mal den Fall, der mir diese Woche von einem Mandanten vorgetragen wurde, in dem er selbst keinen Schaden hat und damit keine Ansprüche nach Art. 82 DSGVO geltend machen kann. Kann ich hier eine Dienstaufsichtsbeschwerde bei einer Aufsichtsbehörde der Aufsichtsbehörde einreichen? Nein, denn die gibt es auf o.g. Gründen nicht.

Hier könnte ich also für meinen Mandanten nur eine Dienstaufsichtsbeschwerde bei der Leitung der Aufsichtsbehörde geltend machen, die darauf gerichtet ist, das Fehlerverhalten des Absenders der E-Mail zu rügen.

Das kann ein wenig Ärger für den betreffenden Mitarbeiter bedeuten, aber eine echte „Sanktion“ ist dies sicher nicht.

Man sollte aber die Wirkung einer Dienstaufsichtsbeschwerde auch nicht unterschätzen.

2. Klage

Während Klagen von Betroffenen gegen eine vermeintlich Untätigkeit von Datenschutz-Aufsichtsbehörden seit Anwendung der DSGVO recht zahlreich vorkommen, sind Klagen gegen eine rechtswidrige Datenverarbeitung wohl bislang nicht existent oder allenfalls selten. Mir sind jedenfalls keine entsprechenden Gerichtsverfahren bekannt.

Die in der Verwaltungsgerichtsordnung (VwGO) vorgesehenen Klagearten passen vor allen Dingen auch nicht so ganz zu einer Sanktionierung von rechtswidriger Datenverarbeitung durch Aufsichtsbehörden. Da hier weder die Anfechtungsklage, Verpflichtungsklage, Feststellungsklage oder Fortsetzungsfeststellungsklage einschlägig sind, würde man wohl in der Regel zur sog. „Mehrzweckwaffe“ der VwGO greifen, der allgemeinen Leistungsklage. Mit der allgemeinen Leistungsklage können hoheitliche Handlungen wie z.B. von Aufsichtsbehörden gerichtlich überprüft werden, also (theoretisch) auch eine rechtswidrige Datenverarbeitung durch Aufsichtsbehörden.

Die allgemeine Leistungsklage ist nicht konkret in der VwGO geregelt. Das ist allerdings auch gar nicht schlimm, weil die Rechtsprechung der Verwaltungsgerichte die Voraussetzungen einer allgemeinen Leistungsklage ausgeprägt haben.

Das Problem mit dieser Klage ist jedoch, dass auch bei dieser Klageart nach herrschender Meinung eine Klagebefugnis i.S.d. § 42 Abs. 2 VwGO gegeben sein muss. Die Klagebefugnis bei einer allgemeinen Leistungsklage ist zu bejahen, wenn der Kläger möglicherweise einen Anspruch auf das Unterlassen einer Datenverarbeitung durch die Aufsichtsbehörde hat. Dies kann unter Zugrundelegung der sog. Schutznormtheorie dann bejaht werden, wenn sich die Kläger gegen ein Verhalten der Aufsichtsbehörde wendet, das eine Norm verletzt, die nicht nur dem öffentlichen Interesse dient, sondern zumindest auch dem Schutz des einzelnen Bürgers bzw. einer bestimmten Gruppe von Bürgern, denen der Kläger angehört.

Eine Vielzahl der Normen in der DSGVO, jedenfalls aber Art. 6 DSGVO und auch Art. 32 DSGVO dienen auch dem Schutz von Betroffenen, so dass bei etwaigen Verstößen einer Aufsichtsbehörde gegen die DSGVO eine Klagebefugnis gegeben sein kann.

Die Einzelheiten sind hier derzeit nicht allerdings nicht klar.

Im Ergebnis können wir aber feststellen, dass eine allgemeine Leistungsklage gegen eine Aufsichtsbehörde zulässig sein kann. Für die Begründetheit der Klage hätte das Gericht dann über die Zulässigkeit der Datenverarbeitung durch die Aufsichtsbehörde zu entscheiden.

Fazit

Wenn eine Aufsichtsbehörde selbst gegen die DSGVO verstößt, sind Schadensersatzansprüche der Betroffenen durchsetzbar.

Wenn ein Schaden nicht vorliegt kann der Betroffene (oder ein Dritter) grundsätzlich im Wege der allgemeinen Leistungsklage bei einem Verwaltungsgericht gegen ein sog. tatsächliches Handeln (wie eine rechtswidrige Datenverarbeitung) der Aufsichtsbehörde vorgehen.

Ich denke, dass dies in der Praxis wohl selten vorkommen wird. Gleichwohl ist es wichtig zu wissen, dass zumindest grundsätzlich hier eine gerichtliche Überprüfung von Datenschutz-Verstößen von Aufsichtsbehörden möglich ist.

Darüber hinaus bleibt natürlich auch die Möglichkeit einer Dienstaufsichtsbeschwerde.

Stephan Hansen-Oest

Ich bin Rechtsanwalt & Fachanwalt für IT-Recht. Auch wenn ich mich seit 1995 mit Datenschutzrecht beschäftige, bin ich sicher kein Datenschutz-Guru. Mein Ziel ist es, Menschen dabei zu helfen, den Datenschutz in Unternehmen einfach besser zu machen. Und ich freue mich über jeden, der meinen Newsletter abonniert. Wenn du unbedingt noch mehr zu mir wissen möchtest, kannst du dir mein Profil ansehen. Und wenn du Lust hast, am Datenschutz-Coaching teilzunehmen findest du hier mehr Informationen.