Aufsatz : DSFA-Blacklists nach Art. 35 Abs. 4 DS-GVO als Allgemeinverfügungen? Verwaltungsrechtliche Einordnung und mögliche Rechtsschutzmöglichkeiten : aus der RDV 2/2020, Seite 65 bis 71
Nach Art. 35 Abs. 1 DS-GVO müssen öffentliche und nichtöffentliche Stellen für Datenverarbeitungsvorgänge, die voraussichtlich mit einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen verbunden sind, eine Datenschutzfolgeabschätzung (DSFA) durchführen. Art. 35 Abs. 4 DS-GVO verpflichtet die Aufsichtsbehörden zur Erstellung von Listen, die (wenn auch nicht abschließend) Verarbeitungsvorgänge aufzählen, bei deren Vorliegen eine DSFA zwingend durchzuführen ist. Der vorliegende Beitrag untersucht, wie diese Listen im Kontext des deutschen Verwaltungsrechts rechtlich eingeordnet werden können und was für die Praxis daraus folgt.
I. Die Blacklist nach Art. 35 Abs. 4 DS-GVO
Nach Art. 35 Abs. 4 DS-GVO muss die Aufsichtsbehörde eine Positivliste von Verarbeitungsvorgängen im Sinne des Abs. 1 erstellen, für die eine Datenschutzfolgeabschätzung (DSFA) erforderlich ist. Teilweise wird auch die Bezeichnung „Muss-Liste“ oder der Begriff „Blacklist“ verwendet. Diese Positivliste muss solche Verarbeitungsvorgänge enthalten, die nach Auffassung der Aufsichtsbehörde voraussichtlich mit einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen verbunden sind.
Ziel einer solchen Positivliste ist die Klarstellung darüber, wann eine DSFA durchgeführt werden muss. Eine DSFA muss nach Art. 35 Abs. 1 DS-GVO grundsätzlich vom Verantwortlichen durchgeführt werden, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Es obliegt dem Verantwortlichen, sich die notwendigen Informationen zu beschaffen und beispielsweise konkret bei Auftragsverarbeitern oder Herstellern anzufordern.[1] Bei unvollständiger oder nicht korrekter DSFA droht gemäß Art. 83 Abs. 4 lit. a) DSGVO im schlimmsten Fall eine Geldbuße.
Momentan existiert eine gemeinsame Liste aller deutschen Aufsichtsbehörden für Datenverarbeitungsvorgänge von nicht-öffentlichen Stellen.[2] Für Verarbeitungsvorgänge öffentlicher Stellen verweisen die Aufsichtsbehörden der Länder entweder auf die Liste für nicht-öffentliche Stellen oder haben zum Teil eigene Listen erstellt. Aus der Liste geht die Beschreibung verschiedenster Verarbeitungstätigkeiten hervor sowie typische Einsatzfelder und Beispiele für diese Art der Verarbeitung. Nach Ansicht der deutschen Aufsichtsbehörden ist eine DSFA durchzuführen, wenn eine Verarbeitung des Verantwortlichen die Voraussetzungen einer der dort gelisteten Verarbeitungstätigkeiten erfüllt.
II. Blacklists als normenumschaltende Verwaltungsmaßnahmen
Bei den Blacklists dürfte es sich um sogenannte „normumschaltende Verwaltungsmaßnahmen“ handeln.[3] Diese sind abzugrenzen von normkonkretisierenden Verwaltungsvorschriften, die unbestimmte Rechtsbegriffe in Normen konkretisieren und dieses Ergebnis einer nur begrenzten gerichtlichen Kontrolle zugänglich machen.[4]
Der Anwendungsbereich normkonkretisierender Verwaltungsvorschriften umfasst mittlerweile das gesamte Umweltund Technikrecht.[5] Sie entfalten nach ständiger Rechtsprechung des Bundesverwaltungsgerichts nur Bindungswirkung, wenn sie dem wesentlichen Erkenntnis- und Erfahrungsstand Rechnung tragen, der aufgrund eines umfangreichen Beteiligungsverfahrens ermittelt worden ist.[6] Da das Ziel der Blacklist nicht die Sicherstellung der einheitlichen Auslegung von Begriffen im Umwelt- und Technikrecht ist, sondern es vielmehr um eine wertende Entscheidung der Aufsichtsbehörde geht, welche Datenverarbeitungsvorgänge sie als risikoreich einstuft, dürfte es sich nicht um normkonkretisierende Verwaltungsvorschriften handeln.
Normumschaltende Verwaltungsmaßnahmen liegen hingegen vor, wenn Normen so konstruiert sind, dass die dort angeordneten Rechtsfolgen nur dann eintreten sollen, wenn die Behörde das Vorliegen bestimmter tatsächlicher Umstände (verbindlich) festgestellt hat und diese Feststellung öffentlich bekanntgibt. Die Rechtsnatur dieser Maßnahmen ist umstritten.[7] Bei bisherigen Konstruktionen dieser Art (Beispiel: Feststellung des Vorliegens einer austauscharmen Wetterlage nach § 40, § 49 Abs. 2 BImSchG aF, die den Smog-Alarm auslösten) wurde dieses Vorgehen der Verwaltung von der herrschenden Meinung als Erlass einer personenbezogenen Allgemeinverfügung klassifiziert.[8] Dem kann man zustimmen, da es letztendlich auf das Gleiche hinausläuft, ob der Eintritt gesetzlicher Rechtsfolgen durch die behördliche Feststellung bestimmter Tatsachen bedingt ist oder ob eine Behörde ermächtigt wird, bei Vorliegen bestimmter Tatsachen bestimmte Regelungen durch sich an jedermann richtende personenbezogene anlassbezogene Allgemeinverfügungen zu treffen. Es erscheint nicht sinnvoll, beide Maßnahmen unterschiedlich zu beurteilen.
Ein ähnliches Muster findet man auch in Art. 35 Abs. 1, 4 DS-GVO. Art. 35 Abs. 1 DS-GVO ordnet an, dass für Datenverarbeitungsvorgänge, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen, eine DSFA durchzuführen ist. In Art. 35 Abs. 4 DSGVO werden die Behörden verpflichtet, durch Erstellung einer Liste verbindlich festzulegen, wann ein solch hohes Risiko besteht und somit in jedem Fall eine DSFA durchzuführen ist. Besonderheit ist in diesem Fall jedoch, dass nicht nur die Liste die Pflicht zur Durchführung begründet. Diese kann sich allein schon aus Art. 35 Abs. 1 DS-GVO ergeben. Der Verantwortliche muss also auch, wenn ein etwaiger Verarbeitungsvorgang nicht in der Liste aufgeführt ist, selbstständig anhand der Kriterien der Art. 35 Abs. 2 und 3 DS-GVO überprüfen, ob voraussichtlich ein hohes Risiko vorliegt.[9] Dies ändert aber nichts an der Einschätzung, die Listen als normumschaltende Verwaltungsmaßnahmen charakterisieren zu können, da die Aufsichtsbehörden durch die Bereitstellung der Listen Verarbeitungsvorgänge als verbindlichen Grund einstufen, der die Verpflichtung nach Art. 35 Abs. 1 DS-GVO auslöst.
III. Charakterisierungsmöglichkeit der Blacklist als Allgemeinverfügung
Fraglich ist, ob die momentan existierenden Blacklist als normumschaltende Verwaltungsmaßnahmen in der vorliegenden Variante als Allgemeinverfügung charakterisiert werden kann.
1. Materielle Voraussetzungen
Ein Verwaltungsakt (VA) ist jede Verfügung, Entscheidung oder andere hoheitliche Maßnahme, die eine Behörde zur Regelung eines Einzelfalls auf dem Gebiet des öffentlichen Rechts trifft und die auf unmittelbare Rechtswirkung nach außen gerichtet ist. Eine Allgemeinverfügung ist ein VA, der sich an einen nach allgemeinen Merkmalen bestimmten oder bestimmbaren Personenkreis richtet oder die öffentlich-rechtliche Eigenschaft einer Sache oder ihre Benutzung durch die Allgemeinheit betrifft.
Die Allgemeinverfügung als besondere Form des VA iSv § 35 S.1 VwVfG, existiert in drei Formen: als personenbezogene (Var. 1), sachbezogene (Var. 2) oder benutzungsregelnde (Var. 3) Allgemeinverfügung.
Ob eine Maßnahme als VA und im Speziellen als eine Allgemeinverfügung einzuordnen ist, bestimmt sich danach, ob sie die Merkmale des § 35 VwVfG erfüllt (sog. materieller VA-Begriff), unabhängig davon, in welcher Form sie ergeht.[10]
Für Allgemeinverfügungen als Unterfall des VA bedeutet dies, dass eine Allgemeinverfügung die Tatbestandsmerkmale des § 35 S. 1 VwVfG erfüllen muss, und S. 2 nur eine Teil-Legaldefinition des Merkmals „Einzelfall“ enthält; alle anderen Tatbestandsmerkmale des S. 1 bleiben unberührt.[11] Maßgeblich ist somit letztlich, ob sich der Akt nach objektiver Betrachtung als verbindliche, auf Setzung einer Rechtsfolge gerichtete und auf Rechtsbeständigkeit hin abzielende und von der Behörde erkennbar gewollte Regelung darstellt oder nicht.
a) Maßnahme einer Behörde
Der Begriff der Behörde ist in § 1 Abs. 4 VwVfG legaldefiniert. Die Aufsichtsbehörden (Datenschutzbeauftragte der einzelnen Bundesländer) die die Positivlisten erstellt haben, sind unstreitig Behörden im Sinne dieser Vorschrift.
b) Verfügung, Entscheidung oder andere hoheitliche Maßnahme
Den Begriffen Verfügung, Entscheidung oder Maßnahme ist gemein, dass sie Formen der Willensbildung,[12] also verwaltungsrechtliche Willenserklärungen sind, die final auf eine Rechtsfolge gerichtet sind. Ob dies der Fall ist, ist durch Auslegung zu ermitteln.
Ob eine Rechtsgrundlage für den Erlass eines VA vorhanden ist, das heißt dafür, dass die Behörde sich zu einer Regelung der Rechtsform des VA bedienen durfte, ist für die Frage der Rechtsnatur nicht entscheidend.[13] Es kann jedoch trotzdem als Auslegungshilfe auf die Entscheidungskompetenz der Behörde abgestellt werden. Fehlt eine offensichtliche VA-Befugnis, kann nicht ohne weiteres unterstellt werden, die Behörde habe einen VA erlassen wollen.[14] Vorliegend sind die Aufsichtsbehörden verpflichtet, eine Liste mit Datenverarbeitungsvorgängen, die eine DSFA erfordern, zu erstellen („Die Aufsichtsbehörde erstellt eine Liste…“, Art. 35 Abs. 4 DS-GVO), während hingegen die Erstellung einer Liste mit Datenverarbeitungsvorgängen, die keine DSFA erfordern, lediglich optional ist („Die Aufsichtsbehörde kann des Weiteren eine Liste der Arten von Verarbeitungsvorgängen erstellen und veröffentlichen, für die keine Datenschutz-Folgenabschätzung erforderlich ist“, Art. 35 Abs. 5 DS-GVO).
Dies sagt jedoch nichts darüber aus, ob diese Listen als Allgemeinverfügung erlassen werden können. Grundsätzlich muss die Verwendung der Handlungsform VA wegen des Vorbehalts des Gesetzes gesetzlich vorgeschrieben sein, wenn es sich um eine für den Adressaten ungünstige Entscheidung handelt. Da die Listen die Handlungsverpflichtung[15] der Verantwortlichen begründen, eine DSFA durchzuführen (und diese auch praktischen Aufwand bedeutet), handelt es sich um eine belastende Maßnahme. Dass die Befugnis besteht, diese Liste als Allgemeinverfügung zu erlassen, ergibt sich nicht direkt aus der Vorschrift. Allerdings würde, wenn man von einer fehlenden VA-Befugnis ausginge, dies nichts daran ändern, dass der VA „in der Welt ist“ und angefochten werden muss, um ihn zu beseitigen – die Anfechtungslast trägt also in jedem Fall der von dem VA Betroffene.
In der Literatur wird bereits vertreten, dass, sofern der Adressatenkreis hinreichend bestimmbar ist (zum Beispiel jeder Verantwortliche, der Genomdaten von Deutschen verarbeitet), die Listen von den Aufsichtsbehörden in Form einer Allgemeinverfügung (§ 35 S. 2 VwVfG) erlassen werden können.[16] Nach dieser Ansicht könnte die Behörde also wählen, für welche Handlungsform sie sich entscheidet.
Aufschluss über den Willen der Behörde kann auch die Form der in Rede stehenden Maßnahme geben. Vergleicht man die Listen mit anderen im Internet veröffentlichen Allgemeinverfügungen,[17] sind diese klar als solche gekennzeichnet und folgen auch der geläufigen Struktur eines Verwaltungsaktes (Inhalt der Anordnung, Begründung, Gebührenregelung, Rechtsbehelfsbelehrung). Dies alles vermag man zumindest in der gemeinsamen Liste der Datenschutzkonferenz nicht zu erkennen. Sie erscheint vielmehr als schlichte Broschüre oder Information mit einer Tabelle. Es wird zwar darauf hingewiesen, dass die Durchführung der DSFA (siehe näheres unter c)), verpflichtend ist, jedoch enthält die Liste nicht die oft typische Überschrift „Allgemeinverfügung“ wie bei sonstigen im Internet veröffentlichten Allgemeinverfügungen.[18] Auch erfolgt keine Rechtsbehelfsbelehrung im Sinne des § 58 VwGO, sondern nur der Hinweis, dass gegen eine Geldbuße, die verhängt wurde, weil keine DSFA durchgeführt wurde (was selbstverständlich einen Verwaltungsakt darstellt[19]), der Rechtsweg gemäß Art. 78 DS-GVO eröffnet ist. Auch die übrigen Listen der einzelnen Aufsichtsbehörden der Länder weisen diese Gestaltung auf. Man könnte dadurch den Eindruck gewinnen, die Aufsichtsbehörden wollten eben (noch) keine Allgemeinverfügung erlassen. Ob sie dies jedoch getan haben, ist, wie oben schon festgestellt, keine Frage der äußeren Form, sondern des Inhalts.
c) Regelung
Die Blacklist müsste, um als Allgemeinverfügung zu gelten, nach dem objektiven Sinngehalt auf eine unmittelbare, für die von ihr Betroffenen verbindliche Festlegung von Rechten und Pflichten gerichtet sein, das heißt einen Anspruch unmittelbarer Verbindlichkeit haben.[20] Sie muss also auf unmittelbare Rechtswirkung gerichtet sein. Dies wird man ohne Zweifel bejahen können, enthält die von der Datenschutzkonferenz herausgegebene Liste für Verarbeitungsvorgänge nicht öffentlicher Stellen doch folgenden Hinweis:
„Führt eine verantwortliche Stelle (Verantwortlicher i.S.v. Art. 4 Nr. 7 DS-GVO) Verarbeitungsvorgänge aus, die in Art. 35 Abs. 3 DS-GVO der Liste aufgeführt sind, ohne vorab eine DSFA durchgeführt zu haben, so kann die zuständige Aufsichtsbehörde wegen Verstoßes gegen Art. 35 Abs. 1 DS-GVO von ihren Abhilfebefugnissen gemäß Art. 58 Abs. 2 DS-GVO einschließlich der Verhängung von Geldbußen gemäß Art. 83 Abs. 4 DS-GVO Gebrauch machen. Gegen eine derartige Maßnahme der Aufsichtsbehörde steht der Rechtsweg gemäß Art. 78 DS-GVO offen.“
Man könnte zwar die Ansicht vertreten, dass sich die Pflicht zur Durchführung der DFSA nicht erst aus der Liste ergibt, sondern bereits aus Art. 35 Abs. 1 DS-GVO, da es dort heißt: „(…) so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.“ Das Unterlassen der Durchführung kann auch einen Verstoß gegen Art. 35 Abs. 1 DS-GVO begründen.[21] Verstöße gegen Art. 35 DS-GVO sind gem. Art. 83 Abs. 4 lit. a) DS-GVO bußgeldbewehrt. Im Grundsatz muss der Verantwortliche nach Art. 35 Abs. 1 DS-GVO selbst eine (Wertungs-)entscheidung treffen, ob „sein“ Verarbeitungsvorgang nach seiner eigenen Prognose voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Er muss die Entscheidung über das „ob“ einer DSFA also grundsätzlich selbst treffen. Im Unterschied hierzu wird durch die Positivlisten die Prognoseentscheidung durch die Aufsichtsbehörden bereits getroffen und dem Verantwortlichen kein Entscheidungsspielraum mehr eingeräumt. In der Zusammenschau aus gesetzlicher Regelung in Art. 35 Abs. 1 und 4 DS-GVO und der Positivliste ergibt sich mithin klar eine Handlungspflicht.
d) Regelung eines Einzelfalls
Da sich die Listen an alle richten, die die genannten Arten von Verarbeitungstätigkeiten vornehmen, kann es sich bei einer solchen Liste, wenn überhaupt, nur um eine generellkonkrete Maßnahme handeln. Für die Frage, ob die Maßnahme zur Regelung eines Einzelfalls erfolgt, kommt es nicht darauf an, ob auch die rechtlichen Voraussetzungen für eine solche Regelung vorliegen. Die Regelung eines Einzelfalls im Sinne einer hier in Betracht kommenden personenbezogenen Allgemeinverfügung wird man annehmen können, wenn sich die Allgemeinverfügung an einen nach allgemeinen Merkmalen bestimmten Kreis von Adressaten aus Anlass einer bestimmten konkreten Situation richtet.[22] Der Unterschied zur Rechtsnorm ist nicht die Unbestimmtheit des Personenkreises, sondern die Konkretheit des geregelten Sachverhalts. Eine Allgemeinverfügung kann auch eine Regelung „für wen immer es angeht“ bezüglich erst in der Zukunft liegender Konkretisierungsfälle sein.[23]
Personenbezogene Allgemeinverfügungen richten sich an einen bestimmten oder bestimmbaren Personenkreis. Der Umstand, dass der Adressatenkreis zur Zeit des Erlasses der Regelung objektiv nicht feststeht, spricht nicht gegen die Annahme einer Allgemeinverfügung.[24] Die betroffenen Personen werden nach allgemeinen Merkmalen gattungsmäßig bestimmt. Das Gattungsmerkmal, das den Personenkreis bestimmbar macht, kann durch ein konkretes Ereignis hergestellt werden, das Anlass für eine öffentlich bekannt gegebene Anordnung an einen näher umschriebenen Personenkreis ist. Maßgebliches Abgrenzungskriterium zur Rechtsverordnung ist die Konkretheit des Sachverhalts.[25] Die Rechtsprechung verfährt bei der Annahme einer personenbezogenen Allgemeinverfügung eher großzügig. Nach Auffassung des BGH schließt es die generelle Natur der Allgemeinverfügung sogar regelmäßig aus, dass der geregelte Sachverhalt sowohl sachlich als auch räumlich, zeitlich und hinsichtlich des betroffenen Personenkreises konkretisiert wird.[26]
Ein nach allgemeinen Merkmalen bestimmbarer Personenkreis liegt auch vor, wenn der Personenkreis nicht unabhängig von der in Frage stehenden Regelung einer bestimmten Gattung zugehört, sondern die Regelung diese Gattung erst begründet, indem Sie z.B. allen denjenigen, die etwas Bestimmtes tun wollen, dieses verbietet[27] oder etwas befiehlt[28], sich die Regelung also an jedermann wendet.
Die Verarbeitungsarten, die in der Liste genannt sind, dürften zumindest zu einem Großteil (insbesondere Nr. 1-3, 11-13, 15[29]) so beschrieben sein, dass jeder Adressat erkennen kann, ob er diese Art der Verarbeitung vornimmt und damit die DSFA durchführen muss. So muss zum Beispiel nach Nr. 1 eine DSFA vorgenommen werden, wenn eine Verarbeitung von biometrischen Daten zur eindeutigen Identifizierung natürlicher Personen durchgeführt wird und mindestens ein weiteres Kriterium aus WP 248 Rev. 01 zutrifft. Dieser Verarbeitungsvorgang dürfte in jedem Fall so klar umgrenzt sein, dass sich für Verantwortliche ergibt, ob sie zum angesprochenen Adressatenkreis gehören oder nicht. Bei anderen Verarbeitungsvorgängen, wie der unter Nr. 4 genannten „umfangreichen“ Verarbeitung von personenbezogenen Daten über den Aufenthalt von natürlichen Personen, könnte man dies wohl auch mit dem Hinweis darauf, dass nicht klar definiert ist, was „umfangreich“ bedeutet, anders sehen.
Der Adressatenkreis der Liste ist damit mindestens zum Teil hinreichend bestimmbar, denn jeder Verantwortliche, der eine in der Liste genannte Verarbeitungsart durchführt, muss ohne weitere Differenzierung (nach beispielsweise Zweck der Verarbeitung) die DSFA durchführen. Die in Spalte 2 und 3 genannten Einsatzfelder und Beispiele wie „Große Anwaltskanzlei“ und „Carsharing und Mobilitätsdienste“ bestimmen den Adressatenkreis keinesfalls abschließend, sondern dienen eben nur als Beispiel.
e) Außenwirkung
Die hoheitliche Maßnahme muss nach ihrem objektiven Sinngehalt darauf gerichtet sein, Außenwirkung zu entfalten.[30] Die getroffene hoheitliche Regelung darf nicht nur darauf abzielen, im Bereich der Behörden als verwaltungsinterne Anweisung Wirkungen zu zeigen.[31] Da die Positivlisten festlegen, wann die unbedingte Rechtspflicht der Verantwortlichen zur Durchführung einer DSFA besteht, liegt auch klar eine Außenwirkung vor. Die Listen dienen gerade nicht nur als behördeninterne Hinweise oder Anweisungen. In Kombination mit der gesetzlichen Pflicht aus Art. 35 Abs. 1 DS-GVO ergibt sich eine Wirkung in Richtung der außerhalb der Aufsichtsbehörden stehenden datenverarbeitenden Stellen.
f) Zwischenergebnis
Damit erfüllen die Positivlisten (mindestens partiell) die materiellen Voraussetzungen eines Verwaltungsaktes in Form einer personenbezogenen Allgemeinverfügung.
2. Form
Problematisch für die Klassifizierung der Positivlisten als Allgemeinverfügung könnte auf den ersten Blick erscheinen, dass die Listen nur auf der Homepage der jeweiligen Aufsichtsbehörden abgerufen werden können. Nach § 37 Abs. 2 VwVfG kann ein VA schriftlich, elektronisch, mündlich oder in anderer Weise erlassen werden. Man könnte überlegen, ob die Liste einen VA in Textform darstellt. Ein VA in Textform liegt vor, wenn der Inhalt in einer Urkunde oder in anderer dauerhafter Weise materialisiert ist. Das kann man bereits annehmen, wenn der VA auf einem Datenträger des Empfängers abgespeichert ist. Dazu würde es zum Beispiel genügen, wenn die Positivliste als PDF (in dieser Form ist sie veröffentlicht) auf dem PC bei dem Verantwortlichen abgespeichert wird.
In Betracht käme hier auch ein elektronischer VA. Ein elektronischer VA ist jeder textlich perpetuierte VA, der nur als elektronischer Speicherzustand auf einem (austauschbaren) elektronischen Datenträger existiert und damit nicht unmittelbar wahrnehmbar ist.[32] Vom elektronischen VA ist der von § 41 Abs. 2 S. 2 VwVfG erwähnte „elektronisch übermittelte“ VA zu unterscheiden. Dieser Begriff erfasst nicht nur elektronische VA, sondern auch schriftliche VA, soweit sie elektronisch übermittelt werden.[33]
Man könnte hier wohl einen VA-Erlass in Textform oder aber auch in elektronischer Form annehmen. In jedem Fall ist der VA aber auf „andere Weise“ im Sinne des § 37 Abs. 2 S. 1 VwVfG dadurch erlassen worden, dass die Aufsichtsbehörden die Liste auf ihren Internetseiten veröffentlichen und sie zum Download bereitsteht.
3. Abgrenzung zu anderen Rechtsakten
a) öffentliche Bekanntgabe
Die Bekanntgabe ist zwar kein Tatbestandsmerkmal des VA im Sinne des § 35 VwVfG. Ob die Blacklist einen VA in Form einer Allgemeinverfügung im materiell-rechtlichen Sinn darstellt, ist mithin losgelöst von der Bekanntgabe zu beurteilen. Relevant ist die Bekanntgabe jedoch für die Rechtsschutzmöglichkeiten gegen die Blacklist.
Nach h.M. wird ein VA erst durch seine Bekanntgabe gemäß 41 VwVfG wirksam.[34] Unter Bekanntgabe versteht man allgemein die Eröffnung des VA gegenüber dem Betroffenen.[35] Ein Verwaltungsakt, der dem Betroffenen nicht ordnungsgemäß bekanntgegeben wurde, ist diesem gegenüber unwirksam, jedoch „in der Welt“ und ggf. wirksam gegenüber den Betroffenen, denen er ordnungsgemäß bekanntgegeben wurde. Liegt gar keine wirksame Bekanntgabe vor, ist der betroffene VA ein bloßes Verwaltungsinternum.[36] Eine Sonderform der Bekanntgabe ist die öffentliche Bekanntgabe nach § 41 Abs. 3, 4 VwVfG. Die öffentliche Bekanntgabe unterscheidet sich von der Individualbekanntgabe dadurch, dass ihre Wirksamkeit nicht vom Zugang des VA beim Betroffenen abhängt.[37] Allgemeinverfügungen können öffentlich bekanntgegeben werden, wenn die Bekanntgabe an die einzelnen Beteiligten untunlich oder unmöglich ist, § 41 Abs. 3 S. 2 VwVfG. Untunlich ist die Individualbekanntgabe unter anderem auch, wenn nicht mit Sicherheit feststellbar ist, wer betroffen ist.[38]
Das Zugangserfordernis wird dann durch eine öffentliche Verlautbarung des VA ersetzt. Dadurch wird zwar jedermann die Kenntnisnahme ermöglicht, bei dieser hängt jedoch die Wahrnehmung der Kenntnisnahmemöglichkeit von der Aufmerksamkeit, dem Interesse und den tatsächlichen Möglichkeiten des Betroffenen ab.[39] Ob der Betroffene tatsächlich Kenntnis nimmt, ist keine Voraussetzung für die Wirksamkeit der öffentlichen Bekanntgabe. Nach dieser Logik würde die öffentliche Bekanntgabe grundsätzlich unbeschränkt gelten und folglich auch gegenüber erst später betroffenen Personen, die zur Zeit der Bekanntgabe noch nicht zum Adressatenkreis des VAs gehörten. Die Bekanntgabe setzt damit auch die Rechtsbehelfsfristen des § 58 VwGO in Gang (ein Monat bzw. ein Jahr bei fehlender Rechtsbehelfsbelehrung), was in letzter Konsequenz dazu führen würde, dass die Rechtsbehelfsfristen abgelaufen sein könnten, bevor eine Person, die erst später betroffen ist oder von der Verfügung Kenntnis genommen hat, Rechtsmittel einlegen kann. Unter Rechtsschutzgesichtspunkten des Art. 19 Abs. 4 GG müsste zumindest ein Wideraufgreifen des Verfahrens möglich sein.[40] In Anlehnung an die Rechtsprechung des Bundesverwaltungsgerichts zur selben Problematik bei Verkehrsschildern (die auch als Allgemeinverfügung gelten[41]), könnte man hier argumentieren, dass die Rechtsmittelfrist erst zu laufen beginnen kann, wenn der von Regelung Betroffene erstmals auch wirklich Adressat ist (und auch erst dann eine Beschwer im Sinne des § 42 Abs. 2 VwGO überhaupt vorliegt), da dies sonst den Rechtsschutz unzumutbar verkürzen würde.[42]
Bei der Blacklist kann die Aufsichtsbehörde vorher nicht wissen, wer die genannten Verarbeitungsvorgänge vornehmen wird. Deshalb bleibt ihr letztendlich nichts anderes übrig, als die Listen öffentlich bekanntzugeben. Aufgrund der erhöhten Sensibilität der Verantwortlichen für die Anforderungen der DS-GVO ist davon auszugehen, dass ein Besuch der Internetseiten der Aufsichtsbehörden nicht unwahrscheinlich ist und auch erwartet werden kann, so dass in jedem Fall von einer Kenntnisnahmöglichkeit der Verantwortlichen ausgegangen werden kann, auch wenn dies in der Praxis einen gewissen Aufwand für die Verantwortlichen begründet, gerade vor dem Hintergrund, dass es 17 Aufsichtsbehörden gibt und die Listen fortlaufend aktualisiert werden sollen. Daher ist es zu begrüßen, dass es zumindest eine gemeinsame Liste für nicht-öffentliche Stellen gibt. Dies würde im vorliegenden Fall bedeuten, dass Zeitpunkt der öffentlichen Bekanntgabe derjenige Zeitpunkt ist, ab dem die Liste im Netz abrufbar ist.
Bezüglich der Fristen für etwaige Rechtsbehelfe kann nach dem oben Dargestelltem argumentiert werden, dass diese erst dann anfangen zu laufen, wenn ein Verantwortlicher einen der in den Blacklists genannten Verarbeitungsvorgänge erstmalig vornimmt, da er auch erst dann von der Allgemeinverfügung und ihrem Regelungsgehalt betroffen ist.
b) Sich daraus ergebende Notwendigkeit der Abgrenzung
Mit der öffentlichen Bekanntgabe nach § 41 Abs. 3 VwVfG erlangt die Allgemeinverfügung allgemeine Wirksamkeit gegenüber jedem Adressaten, auch gegenüber solchen, die zum Zeitpunkt des Erlasses noch nicht von der Regelung betroffen waren, aber in Zukunft betroffen sind. Damit haben solche Regelungen Gemeinsamkeiten mit Rechtsnormen beziehungsweise normkonkretisierenden Verwaltungsvorschriften. Nach Auffassung der Autoren scheidet jedoch eine Einordnung der Blacklist in diesem Sinne aus. Dass ein Außenrechtssatz sui generis[43] vorliegt, erscheint aufgrund des Ausnahmecharakters relativ unwahrscheinlich. Die Annahme, Blacklists könnten normkonkretisierende Verwaltungsvorschriften darstellen, geht fehl, weil es nicht um die einheitliche Auslegung unbestimmter Rechtsbegriffe geht, sondern um eine Wertentscheidung der Behörde.
IV. Rechtsschutz gegen die Blacklist
Wenn man, nach hier vertretener Ansicht, die „Blacklist“ als Allgemeinverfügung ansieht, kann gegen sie im Wege der Anfechtungsklage gemäß § 42 Abs. 1 VwGO vorgegangen werden.[44] Ein stattgebendes Anfechtungsurteil hebt die Allgemeinverfügung gemäß § 113 Abs. 1 VwGO „soweit“ auf, wie sie den Kläger in seinen Rechten verletzt. Wenn die Regelung also teilbar ist, kann damit auch nur eine Aufhebung erfolgen, soweit der Kläger betroffen ist.[45] Es wäre also denkbar, dass nur bestimmte Verarbeitungsarten aus der Liste „gestrichen“ werden. Die Liste könnte aufgrund bestimmter Mängel aber auch als Ganzes aufgehoben werden. In beiden Fällen wären aufgrund des Adressatenkreises jedoch weitere betroffene Verantwortliche, die nicht gerichtlich gegen die Liste vorgegangen sind, Nutznießer des erstrittenen Urteils.[46]
Nichts anderes ergibt sich aus dem Umstand, dass die Aufsichtsbehörden eventuell selbst nicht erkannt haben, dass es sich bei den Blacklists um eine Allgemeinverfügung handelt und sie eine solche gar nicht erlassen wollten. Wenn sich im Wege der Auslegung (durch ein Gericht) herausstellt, dass eine Erklärung als VA zu werten ist, obwohl die Behörde tatsächlich eine andere Erklärung abgeben wollte, weil sie diese Maßnahme nicht als VA ansah, liegt dennoch ein materieller und mit Anfechtungsklage anfechtbarer VA vor.[47] Wie bereits oben dargestellt, dürfte für Verarbeitungen, die nach Veröffentlichung der Blacklist begonnen werden, die Jahresfrist nach § 58 Abs. 2 VwGO gelten.
Unklar ist, wie es sich auf etwaige Rechtsschutzverfahren auswirkt, dass momentan das nach Art. 35 Abs. 6 DS-GVO erforderliche Kohärenzverfahren für die gemeinsame Liste der Aufsichtsbehörden für nicht-öffentliche Stellen noch nicht abgeschlossen ist. Die Stellungnahme des EDSA nach Art. 64 Abs. 1 lit. a) DS-GVO erfolgte am 25.09.2018,[48] die Liste wurde daraufhin mit Fassung vom 17.10.2019 angepasst und ergänzt, jedoch wurde die Liste nicht vollumfänglich in dem Maß geändert, wie der EDSA angeregt hatte. Hierbei geht es konkret um Standortdaten. Der EDSA bat darum, die Liste dahingehend zu ändern, dass bei der Verarbeitung von Standortdaten hinzugefügt wird, dass eine DSFA nur erforderlich ist, wenn diese Verarbeitung in Verbindung mit mindestens einem weiteren auf der Liste aufgeführten Kriterium erfolgt. Dies wurde bis jetzt nicht angepasst (siehe Nr. 4 auf der Liste). Eigentlich müsste jetzt nach Art. 64 Abs. 8, Art. 65 DS-GVO das Streitbeilegungsverfahren eingeleitet werden. Es findet sich auch kein finaler Beschluss des EDSA über die deutsche DSFA-Liste auf der Homepage des EDSA.[49] Es ist daher zum Zeitpunkt der Erstellung dieses Beitrages davon auszugehen, dass noch keine final mit dem EDSA abgestimmte Blacklist der deutschen Behörden veröffentlicht wurde. Diese würde aber auch bedeuten, dass die Jahresfrist nach § 58 Abs. 2 DSGVO erst zu laufen beginnt, wenn diese (vorerst) finale Blacklist online gestellt wird.
V. Fazit
Nach der hier vertretenen Ansicht stellen die Blacklists nach Art. 35 Abs. 4 DS-GVO, da sie die materiellen Voraussetzungen des § 35 S. 1, 2 VwVfG erfüllen, Allgemeinverfügungen dar, gegen die im Wege der Anfechtungsklage vorgegangen werden kann. Im Detail stellt sich die verwaltungsrechtliche Einordnung der Blacklist aber sicher noch als schwierig dar. Dies dürfte unter anderem auch dem Umstand geschuldet sein, dass hier unmittelbar anwendbares europäisches Recht (DS-GVO) und nationales Verwaltungs(verfahrens) recht in praktisch handhabbaren Einklang gebracht werden müssen.
Dr. Carlo Piltz
Dr. Carlo Piltz, Rechtsanwalt, reuschlaw Legal Consultants, Berlin
Carolin Lühe
Carolin Lühe hat ihr Zweites Juristisches Staatsexamen im Februar 2020 in Berlin abgeschlossen. Sie war wissenschaftliche Mitarbeiterin im Deutschen Bundestag und bei reuschlaw Legal Consultants und hat sich im Rahmen dieser Tätigkeiten vorrangig mit Datenschutzthemen befasst.
[1] Hansen, in: Wolff/Brink, BeckOK Datenschutzrecht, 29. Ed 2018, Art. 35, Rn. 10.
[2] Abzurufen unter: https://www.lda.bayern.de/media/dsfa_muss_liste_dsk_de.pdf.
[3] Begriff nach Winkler, DVBl 2003, 1490, 1491.
[4] Riese, in: Schoch/Schneider/Bier/Riese, VwGO, 37. El 2019, § 114, Rn. 169.
[5] Sachs, in: Stelkens/Bonk/Sachs, VwVfG, 9. Aufl. 2018, § 40, Rn. 217. Bekannteste Beispiele sind wohl die TA Luft und TA Lärm.
[6] BVerwG, Beschl. v. 15.02.1988, 4 NB 2/87, NVwZ 1988, 824, 825; BVerwG, Beschl. v. 21.03.1996, 7B 164/95, NVwZ-RR 1996, 498, 499.
[7] Stelkens, in: Stelkens/Bonk/Sachs, VwVfG, 9. Aufl. 2018, § 35, Rn. 299.
[8] Appel/Melchinger, VerwArch 84 (1993), 349, 376 ff.; Jacobs, NVwZ 1987, 100, 105; Jarass, NVwZ 1987, 95 ff.; a. A. Ehlers, DVBl 1987, 972, 973 ff.
[9] Erläuternd: Baumgartner, in: Ehmann/Selmayr, DS-GVO, 2. Aufl. 2018, Art. 35, Rn. 46.
[10] Stelkens, in: Stelkens/Bonk/Sachs, VwVfG, 9. Aufl. 2018, § 35, Rn. 16.
[11] Stelkens, in: Stelkens/Bonk/Sachs, VwVfG, 9. Aufl. 2018, § 35, Rn. 267.
[12] BT-Drs. 7910 S. 57; Stelkens, in: Stelkens/Bonk/Sachs, VwVfG, 9. Aufl. 2018, § 35, Rn. 69.
[13] BVerwG, Beschl. v. 09.11.1984, 7 C 5/84, NVwZ 1985, 264, 264.
[14] VG München, Beschl. v. 24.05.2004, M 22 E 04.799, NVwZ 2005, 477, 478.
[15] Vgl. wann ein belastender Verwaltungsakt vorliegt: Müller, in: BeckOK VwVfG, 45. Ed. 2019, VwVfG, § 48, Rn. 27.
[16] Nolte/Werkmeister, in: Gola, DS-GVO, 2. Aufl. 2018, Art. 35, Rn. 32.
[17] Beispielhaft, eine Allgemeinverfügung der Stadt Cottbus: https://www.cottbus.de/aktuelles/allgemein/allgemeinverfuegung_der_stadt_cottbus_zum_alkoholverbot_gueltigkeitszeitraum_25_juni_bis_31_oktober_2019.html; Allgemeinverfügung des Eisenbahn-Bundesamtes: https://www.eba.bund.de/SharedDocs/Downloads/DE/TechnArbeitsschutz/33_Allgemeinverfuegung_Tunnelbaustellen_Grossbaumaschinen.pdf;jsessionid=F363E4852036CD471B29678D17729239.live21302?__blob=publicationFile&v=2.
[18] Siehe Fn 17.
[19] Gassner, in: Blum/Gassner/Seith, Ordnungswidrigkeitengesetz, 1. Aufl. 2016, § 65, Rn. 5; Kurz, in: Karlsruher Kommentar, OWiG, 5. Aufl., § 65, Rn. 8; OLG Schleswig, Urt. v. 10.09.1969, NJW 1970, 158, 159.
[20] BVerwG, Urt. v. 22.05.1980, 2 C 30/78, NJW 1981, 67, 68; BVerwG, Urt. v. 25.03.1964, VI C 150/62, MDR 1964, 701, 702.
[21] Baumgartner, in: Ehmann/Selmayr, DS-GVO, 2. Aufl. 2018, Art. 35, Rn. 78.
[22] Stelkens, in: Stelkens/Bonk/Sachs, VwVfG, 9. Aufl. 2018, § 35, Rn. 282.
[23] BVerfG, Beschl. v. 26.03.2001, 1 BvQ 15/01, NJW 2001, 1411, 1412.
[24] VGH Mannheim, Urt. v. 22.05.2013, 9 S 1367/12, BeckRS 2013, 52330.
[25] OVG Münster, Beschl. v. 20.07.2010, 2 A 61/08, BeckRS 2010, 51242.
[26] BGH, Beschl. v. 29.04.2008, KVR 28/07, NJW-RR 2008, 1654, 1655.
[27] Stelkens, in: Stelkens/Bonk/Sachs, VwVfG, 9. Aufl. 2018, § 37, Rn. 287.
[28] Scheffczyk, in: von Alemann, BeckOK VwVfG, 45. Ed. 2019, § 35, Rn. 14, 257; OVG Lüneburg, Beschl. v. 18.10.2004, 1 ME 205/05, NVwZ-RR 2005, 93, 94.
[29] Bei allen anderen Verarbeitungstätigkeit ist bis jetzt die Bedeutung des Wortes „umfangreich“ noch nicht einheitlich geklärt. Grundlage ist Art. 35 Abs. 3 lit. b) DS-GVO. Zwar nennen die ErwG 75 bzw. 91 die Berücksichtigung zweier Einflussgrößen für die Bemessung, ob eine Verarbeitung umfangreich ist (Zahl der Personen und Menge der Daten).
[30] BVerwG, Urt. v. 15.02.1989, 6 A 2/87, NVwZ 1989, 1055, 1055; BVerwG, Urt. v. 26.04.2012, 2 C 17/10, NVwZ 2012, 1483.
[31] Stelkens, in: Stelkens/Bonk/Sachs, VwVfG, 9. Aufl. 2018, § 35, Rn. 14.
[32] Stelkens, in: Stelkens/Bonk/Sachs, VwVfG, 9. Aufl. 2018, § 37, Rn. 65.
[33] Stelkens, in: Stelkens/Bonk/Sachs, VwVfG, 9. Aufl. 2018, § 37, Rn. 67.
[34] Ramsauer, in: Kopp/Ramsauer, VwVfG, 20. Aufl. 2019, § 41, Rn. 15.
[35] Ramsauer, in: Kopp/Ramsauer, VwVfG, 20. Aufl. 2019, § 41, Rn. 6.
[36] BVerwG, Urt. v. 21.11.1986, 8 C 127/87, NVwZ 1987, 330, 331; BVerwG, Urt. v. 09.01.1989, 6 C 47/86, NVwZ 1989, 1173
[37] Stelkens, in: Stelkens/Bonk/Sachs, VwVfG, 9. Aufl. 2018, § 41, Rn. 135
[38] BT-Drs. 7/910, S. 62
[39] Stelkens, in: Stelkens/Bonk/Sachs, VwVfG, 9. Aufl. 2018, § 41, Rn. 135
[40] Schmidt-Aßmann, in: Maunz/Dürig, Art. 19, Rn. 251; Stelkens, NJW 2010, 1184, 1186.
[41] BVerwG, Urt. v. 23. 09.2010, 3 C 37/09, NJW 2011, 246, 246.
[42] BVerwG, Urt. v. 23.09.2010, 3 C 37/09, NJW 2011, 246, 247.
[43] Da (untergesetzliche) Rechtssetzungsformen nach h. M. wohl keinen Numerus clausus kennen, liegt ein solcher vor, wenn die Exekutive eine generell abstrakte Regelung entwirft, die wie ein Parlamentsgesetz sowohl den Bürger unmittelbar berechtigt und verpflichtet, als auch von den Gerichten und Behörden zu beachten ist, ihm also gesetzesgleiche Bindungswirkung zukommt (so BVerwG, Urt. v. 20.11.2003, 4 CN 6/03, NVwZ 2004, 614, 615.).
[44] BVerwG, Urt. v. 25.10.2018, 7 C 22/16, NVwZ, 2019, 574, 575
[45] Stelkens, in: Stelkens/Bonk/Sachs, VwVfG, 9. Aufl. 2018, § 35, Rn. 274.
[46] OVG Berlin, Beschl. v. 20.02.2002, 2 S 6/01, NVwZ-RR 2002, 720 (im durch das Gericht zu entscheidendem Fall ging es um die Verpflichtung, Einweg-Getränkeverpackungen für Bier und Mineralwasser zurückzunehmen, für sie Pfand erheben, zu erstatten und einer Verwertung zuzuführen).
[47] BVerwG, Urt. v. 21.11.1980, 7 C 1879, BeckRS 1980 30424776 (für Ablehnung eines Antrags); BVerwG, Urt. v. 26.06.1987, 8 C 21/86, NVwZ 1988, 51, 51 (für Rechnung); VGH München, Beschl. v. 20.12.1986, 9 B 1851/79, BayVBl 1987, 693 (für von der Behörde gewollte innerdienstliche Erklärung).
[48] Abrufbar unter: https://edpb.europa.eu/sites/edpb/files/files/file1/2018-09-25opinion_2018_art_64_de_sas_dpia_list_de_0.pdf
[49] Abrufbar unter: https://edpb.europa.eu/our-work-tools/consistencyfindings/register-for-decisions_de