Das Oberverwaltungsgericht (OVG) Koblenz hat sich in einer aktuellen Entscheidung zu der Möglichkeit der gerichtlichen Überprüfung von erfolglosen Beschwerden beim Landesdatenschutzbeauftragten geäußert.[1] In dem Urteil geht es im Wesentlichen um die Frage, welche Anforderungen die Aufsichtsbehörden bei der Überprüfung von angeblichen Datenschutzverstößen im Beschwerdeverfahren nach Art. 77 Abs. 1 DSGVO beachten müssen und wie weit die Entscheidungen der Behörden einer gerichtlichen Kontrolle unterliegen. Vor dem OVG haben die Landesdatenschutzbeauftragten in diesem Fall einen Etappensieg erringen können.
Erfolgloses Beschwerdeverfahren als Ausgang des Verfahrens
Das Verfahren nahm seinen Anfang in einer nach Meinung des Klägers rechtswidrigen Datenverarbeitung durch die Stadt Koblenz.[2] In diesem Zusammenhang wandte sicher der Kläger unter anderen an den Landesbeauftragen für den Datenschutz und die Informationsfreiheit von Rheinland-Pfalz (LfDI). Der LfDI erachtete das Vorgehen der Stadt hingegen als rechtmäßig. Es liege kein Verstoß gegen Datenschutzrecht vor. Mit Schreiben vom Juli 2019, dem eine Rechtsmittelbelehrung beigefügt worden war, wurde dem Kläger die Beendigung des Verfahrens durch den LfDI mitgeteilt. Daraufhin erhob der Kläger Klage mit dem Ziel, den LfDI zu verpflichten, ihn unter der Rechtsaufassung des Gerichts neu zu bescheiden. Der Kläger rügte eine Aushöhlung seines Beschwerderechts aus Art. 77 Abs. 1 DSGVO. Insbesondere sei die vom LfDI im Verfahren vertretene Auffassung, der Kläger müsse sein Auskunftsersuchen gegenüber der Stadt präzisieren mit dem Schutzzweck der Datenschutzgrundverordnung unvereinbar. In erster Instanz blieb der Kläger erfolglos.[3]
Entscheidungsgründe des OVG
Das OVG hat die Berufung des Klägers abgewiesen. Die Prüfung der Beschwerde durch den LfDI sei im vorliegenden Fall ausreichend gewesen. Insbesondere habe der LfDI nicht gegen seine Pflichten aus Art. 57 Abs. 1 lit. f) DSGVO verstoßen, wonach die Aufsichtsbehörden verpflichtet sind, Beschwerden nach Art. 78 Abs. 1 DSGVO zu untersuchen. Zum Umfang der Prüfung dieser Beschwerden heißt es in Erwägungsgrund 141 Satz 2 zur DSGVO lediglich, dass diese im Einzelfall angemessen sein soll. Der LfDI hatte im vorliegenden Fall sowohl die Ausführungen des Klägers als auch der Stadt einer rechtlichen Bewertung unterzogen und diese hinreichend, auf den Beschwerdegegenstand bezogen und nicht lediglich floskelhaft begründet. Dies genüge Art. 57 DSGVO.[4]
Überdies sehe die DSGVO eine weitere gerichtliche Überprüfung, ob die Entscheidung der Aufsichtsbehörden materiell richtig sei, nicht vor. Insbesondere ergebe sich aus Art. 78 DSGVO kein Anspruch des Betroffenen auf gerichtliche Überprüfung der materiellen Richtigkeit einer Entscheidung der Aufsichtsbehörden. Denn bei dem Betroffenen zustehenden Beschwerderecht nach Art. 77 Abs. 1 DSGVO handle es sich um ein petitionsähnlich ausgestaltetes Recht, das nur eingeschränkter gerichtlicher Kontrolle unterliege.[5] Die gerichtlich überprüfbaren Aufgaben der Aufsichtsbehörde beschränkten sich bei der Bearbeitung von Beschwerden auf die Befassung mit der Beschwerde, die Untersuchung des Beschwerdegegenstands sowie die Unterrichtung des Beschwerdeführers über das Ergebnis.
Das OVG stützt seine Auffassung hierzu auf den fast gleichen Wortlaut von Art. 77 Abs. 1 DSGVO und Art. 28 Abs. 4 DSRL.[6] Schon das in Art. 28 Abs. 4 DSRL kodifizierte Eingaberecht sei nach einhelliger Meinung nur als Petitionsrecht ausgestaltet gewesen.[7] An dieser Einordnung habe sich durch die Neufassung der Beschwerde in der DSGVO nichts geändert. Im Gegenzug sei Erwägungsgrund 11 zur DSGVO, der eine Stärkung und präzise Festlegung der Rechte von betroffenen Personen vorsieht, nicht deutlich genug, um hieraus die Notwendigkeit einer inhaltlichen Überprüfung der Entscheidung der Aufsichtsbehörde abzuleiten.
Schließlich verweist das OVG Koblenz auf die Systematik der Rechtsbehelfe der DSGVO. Das Beschwerderecht nach Art. 77 DSGVO setze keine subjektive Rechtsverletzung voraus. Das ein Betroffener durch Art. 77 DSGVO im selben Maße geschützt sein soll, wie im Fall einer Klage nach Art. 79 DSGVO gegen den Verantwortlichen, sei nicht ersichtlich. Die gerichtliche Überprüfung der Entscheidung beschränke sich daher auf den den Aufsichtsbehörden durch Art. 57 Abs. 1 lit. f) DSGVO vorgegebenen Rahmen.
Abweichende Meinungen zum Prüfungsumfang
Das OVG Koblenz hat sich als eines der ersten Gerichte mit der noch umstrittenen Frage der Reichweite der gerichtlichen Überprüfbarkeit von Entscheidungen der Aufsichtsbehörden im Rahmen des Beschwerdeverfahrens geäußert.[8] Nach einer Gegenauffassung sind die Entscheidungen der Datenschützer im Beschwerdeverfahren durch die Gerichte auf ihre materielle Richtigkeit zu überprüfen. Diese Ansicht stützt sich unter anderem auf Erwägungsgrund 141 zur DSGVO, nachdem jede Person das Recht auf einen wirksamen gerichtlichen Rechtsbehelf habe, wenn die Aufsichtsbehörde eine Beschwerde ganz oder teilweise ablehnt.[9] Ferner heißt es in Erwägungsgrund 143 zur DSGVO, dass die Gerichte bei der Überprüfung von Maßnahmen der Aufsichtsbehörde eine uneingeschränkte Zuständigkeit hätten, die maßgeblichen Sach- und Rechtsfragen im Verfahren zu überprüfen. Hieraus könne sich die Möglichkeit einer inhaltlichen Überprüfung von ablehnenden Entscheidungen ergeben. Auch das systematische Verständnis des OVG Koblenz von den Rechtsbehelfen der DSGVO ist durchaus angreifbar. So ist nicht ersichtlich, dass nach der DSGVO ein unmittelbares Vorgehen gegen den Verantwortlichen nach Art. 79 DSGVO vorrangig gegenüber einem Verfahren gegen die Aufsichtsbehörden nach Art. 78 Abs. 1 DSGVO sein soll.[10]
In der Literatur wird der Prüfungsmaßstab unterschiedlich weit gezogen. So wollen manche die Prüfungsdichte bei Art. 78 DSGVO auf das der Aufsichtsbehörde zustehende Entschließungs- und Auswahlermessen beschränken.[11] Dies würde wohl aber eine inhaltliche Auseinandersetzung mit der Entscheidung denklogisch voraussetzen. Andere halten im Rahmen der gerichtlichen Überprüfung von Art. 78 Abs. 1 i.V.m. Art. 77 DSGVO nur zwei Anwendungsfälle für denkbar: Zum einen, wenn die Aufsichtsbehörde es gänzlich unterlässt, den Beschwerdesachverhalt aufzuklären und zum anderen, wenn der Betroffene nicht über das Ergebnis der Entscheidung informiert wird.[12] Bei der inhaltlichen Überprüfung der aufsichtsbehördlichen Anwendung der datenschutzrechtlichen Vorgaben seien die Gerichte jedoch auf eine Willkürkontrolle beschränkt.[13]
Fazit
Das OVG Koblenz hat die Revision leider nicht zugelassen. Dies ist bedauernswert, da angesichts der Vielzahl von vertretenen Meinungen eine Klärung der Rechtsfragen wünschenswert gewesen wäre. Denn es ist für Kläger aus strategischen Erwägungen durchaus relevant, ob sie gegen die Landesdatenschutzbeauftragten vorgehen können, um diese zu einem Einschreiten zu verpflichten oder ob sie sich direkt gegen den Verantwortlichen wenden müssen. Der Datenschutzbeauftragte von Rheinland-Pfalz, Dieter Kugelmann, äußerte sich zufrieden.[14] Man prüfe eingehende Beschwerden sorgfältig und erläutere gegenüber den Betroffenen das weitere Vorgehen. Die bestehenden Spielräume seien notwendig, um eine angemessene Entscheidung zu treffen.
Da auch in Zukunft damit zu rechnen ist, dass unzufriedene Betroffene gegen Entscheidungen der Datenschutzbeauftragen vorgehen, dürfen kommende Urteile zum gerichtlichen Prüfungsumfang mit Spannung erwartet werden.
[1] OVG Koblenz, Urteil vom 26.10.2020 (10 A 10613/20.OVG).
[2] Verkürzt aus: OVG Koblenz, Urteil vom 26.10.2020 (10 A 10613/20.OVG), Rn. 1ff.
[3] VG Koblenz, Urteil vom 16.03.2020 (3 K 848/19.KO).
[4] OVG Koblenz, Urteil vom 26.10.2020 (10 A 10613/20.OVG), Rn. 26f.
[5] OVG Koblenz, Urteil vom 26.10.2020 (10 A 10613/20.OVG), Rn. 28.
[6] Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.
[7] OVG Koblenz, Urteil vom 26.10.2020 (10 A 10613/20.OVG), Rn. 30 m.w.N.
[8] Wie das OVG Koblenz: VG Ansbach, Urteil vom 8.08.2019 (AN 14 K 19.00272); a.A., in casu aber offengelassen: OVG Hamburg, Urteil vom 7.10.2019 (5 Bf 291/17).
[9] OVG Hamburg, Urteil vom 7.10.2019 (5 Bf 291/17), Rn. 58.
[10] OVG Hamburg, Urteil vom 7.10.2019 (5 Bf 291/17), Rn 62.
[11] Nemitz, in: Ehmann/Selmayr, Art. 78 DS-GVO, Rn. 9.
[12] Engelbrecht, ZD 2020, 217, 219.
[13] Engelbrecht, ZD 2020, 217, 220.
[14] Pressemitteilung des LfDI v. 24.11.2020, zuletzt abgerufen am: 16.12.2020, dort auch zum Folgenden.