Aufsatz : Grenzen der Informationstätigkeit der Datenschutzaufsicht im nicht öffentlichen Bereich : aus der RDV 3/2015, Seite 125 bis 133
A. Einführung:
Die Informationstätigkeit der Datenschutzaufsichtsbehörden Während gemeinhin der Verwaltungsakt die klassische und in vielen Fällen auch notwendige Handlungsform der Verwaltung ist, sind die Datenschutzaufsichtsbehörden im nicht öffentlichen Bereich (§ 38 BDSG) überwiegend und in unterschiedlicher Weise informatorisch und beratend tätig. Unterschieden werden können dabei ausgehend von den unterschiedlichen Adressatenkreisen grob zwei Kategorien. Erstens die Information, Unterstützung und Beratung eines individuellen oder begrenzten Adressatenkreises. Sprich, gegenüber nicht öffentlichen Stellen (§ 2 Abs. 4 Satz 1 BDSG) selbst, seien es diese als verantwortlicheStellen (§ 3 Abs. 7 BDSG) oder Auftragsdatenverarbeiter (§ 11 BDSG), aber auch gegenüber einzelnen Bürgern bzw. Betroffenen (§ 3 Abs. 1 BDSG). Zweitens die nicht notwendigerweise auf den Einzelfall bezogene Informationstätigkeit gegenüber der Allgemeinheit und den Medien.[1]
Im Folgenden werden einige wesentliche tatsächliche und rechtliche Aspekte dieser Tätigkeit näher beleuchtet. Besonderes Augenmerk gilt dabei der Information der Allgemeinheit und der Medien durch die Datenschutzaufsichtsbehörden. Kritisch untersucht wird hierfür insbesondere eine Entscheidung des OVG Schleswig, das sich mit medialen Äußerungen des Landesbeauftragten für Datenschutz von Schleswig-Holstein Dr. Thilo Weichert auseinanderzusetzen hatte.
B. Individuelle Beratung und Information
Betroffener, Bürger und verantwortlicher Stellen Den Schwerpunkt der Aufsichtstätigkeit bildet entsprechend dem Selbstverständnis[2] der Datenschutzaufsichtsbehörden die Beratungs- und Unterstützungstätigkeit. Bemerkenswert ist dabei, dass diese Tätigkeit, insbesondere die Beratung und Unterstützung der verantwortlichen Stellen, trotz ihrer immensen praktischen Bedeutung in der (datenschutzrechtlichen) Literatur nahezu unbeachtet geblieben ist.
1. Beratung und Information der Bürger
Die Verpflichtung zur Beratung und Information der Bürger ist nur in einigen Landesdatenschutzgesetzen geregelt.[3] Im Übrigen ergibt sich die Verpflichtung hierzu schon aus Sinn und Zweck des Rechts zur Anrufung der Datenschutzaufsichtsbehörden in Zusammenschau mit den grundrechtlichen Schutzpflichten, die aus dem Datenschutzgrundrecht in Art. 8 Abs. 1 EUGRCh, das die Mitgliedsstaaten der EU bei Umsetzung der datenschutzrechtlichen Richtlinien zu beachten haben, insbesondere der Datenschutzrichtlinie (RL 95/46/EG)[4] , und aus dem Recht auf informationelle Selbstbestimmung (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) folgen.[5]
2. Beratung und Unterstützung der verantwortlichen Stellen sowie deren Bindungswirkung
Die Beratung und Unterstützung der verantwortlichen Stellen ist, so wie übrigens auch die der betrieblichen Datenschutzbeauftragten (siehe auch § 4g Abs. 1 Satz 2, 3 BDSG), in § 38 Abs. 1 Satz 2 BDSG niedergelegt. Dieser ist über § 11 Abs. 4 Nr. 2 BDSG auf Auftragsdatenverarbeiter entsprechend anzuwenden. Aufgrund der gesetzlichen Regelung ist die Beratung und Unterstützung verpflichtend und von Amts wegen zu gewährleisten.[6] Die Verpflichtung ist umfassend zu sehen. Da die verantwortlichen Stellen nach dem Willen des Gesetzgebers durch die Beratung entlastet werden sollen,[7] kann entgegen der Ansicht des Sächsischen Datenschutzbeauftragten eine Begutachtung von Datenschutzkonzepten oder auch ganzer Geschäftsmodelle durchaus zulässig sein.[8] Typische Beispiele aus der Praxis betreffen Anfragen hinsichtlich der Vereinbarkeit einer bestimmten Datenverwendung mit dem materiellen Recht oder etwa auch die richtige Gestaltung einer Einwilligungserklärung.[9] Rein abstrakte Anfragen müssen jedoch nicht beantwortet werden. Der Wortlaut von § 38 Abs. 1 Satz 2 BDSG verpflichtet nämlich nur zur Beratung und Unterstützung mit Rücksicht auf die typischen Bedürfnisse. Praktisch limitiert wird die Beratungstätigkeit durch die begrenzten Mittel der Aufsichtsbehörden. Dies darf aber nicht dazu führen, dass diese ihrer Verpflichtung nicht nachkommen oder einen Anspruch generell ablehnen.[10] Hier kann nur eine bessere Ausstattung der Aufsichtsbehörden helfen. Zu beachten ist aber auch, dass in einigen Ländern für die Beratung Gebühren verlangt werden können.[11]
Von besonderem Interesse ist in diesem Zusammenhang die Frage der Bindungswirkung der Beratungs- und Unterstützungstätigkeit gegenüber den verantwortlichen Stellen bzw. deren betrieblichen Datenschutzbeauftragten. Nicht selten wenden diese sich an eine Datenschutzaufsichtsbehörde, um etwa in Erfahrung zu bringen, ob bestimmte Datenverwendungen rechtskonform sind oder wie diese hierfür auszugestalten sind. Wenn Datenschutzaufsichtsbehörden im Einzelfall die Rechtslage bzw. Datenschutzkonformität prüfen und das Ergebnis der anfragenden Stelle mitteilen, handelt es sich in vielen Fällen um einen feststellenden Verwaltungsakt („Prüfbescheid“ oder je nach Ergebnis „Unbedenklichkeitsbescheinigung“).[12] Die für das Vorliegen eines Verwaltungsaktes erforderliche Regelungswirkung (§ 35 Satz 1 VwVfG NRW bzw. die entsprechenden landesrechtlichen Vorschriften) lässt sich meist schon aus dem Wortlaut der Antworten, insbesondere aber aus den Gesamtumständen herleiten. So drohen bei Verstößen gegen das Datenschutzrecht in vielen Fällen Bußgelder (insbesondere § 43 BDSG), strafrechtliche Sanktionen (insbesondere § 44 BDSG, § 203 StGB) und ganz allgemein hohe wirtschaftliche Risiken. Schließlich sind personenbezogene Daten für viele Geschäftsbereiche bzw. Geschäftsmodelle heutzutage essentiell. Im Interesse des Grundrechtsschutzes (Art. 15 Abs. 1 Var. 2 und Art. 16 EuGRCh; Art. 12 GG) der Anfragenden ist daher eine verbindliche Feststellung durch Verwaltungsakt notwendig, die auch dem Grundrechtsschutz (Art. 8 Abs. 1 EUGRCh bzw. Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) der Betroffenen dient.[13] Aus den genannten Gründen besteht schließlich ein gesteigertes Bedürfnis nach rechtsstaatlich gebotener Rechtssicherheit und damit ein Sachbescheidungsinteresse der verantwortlichen Stellen.[14]
Rechtsgrundlage ist dabei grundsätzlich § 38 Abs. 1 Satz 2 (Verpflichtung zur Beratung und Unterstützung) i.V.m Abs. 5 Satz 1 BDSG. Zwar enthält dieser keine ausdrückliche Ermächtigung für feststellende Verwaltungsakte in dem hier gemeinten Sinne. Er kann jedoch entsprechend ausgelegt werden, was ausreichend ist.[15] Da der Wortlaut von § 38 Abs. 5 Satz 1 BDSG schon ausdrücklich die Feststellung von Datenschutzverstößen durch Verwaltungsakt zulässt,[16] ist eine solche Auslegung problemlos möglich. Dies lässt sich insbesondere damit begründen, dass es das Rechtsstaatsprinzip (siehe auch Art. 2 Satz 2 EUV) gebietet, eine Klärung der Rechtslage im Verwaltungsrechtsweg jedenfalls dann zuzulassen, wenn ein Verhalten, das keiner Genehmigung bedarf und unter Sanktionsandrohung steht, und eine gesetzeswidrige Betätigung nicht mehr rückgängig zu machende, nachteilige Rechtsfolgen von erheblichem Gewicht auslösen würden.[17] Besteht keine gesetzliche Regelung, ist eine verfassungskonforme Auslegung einer vorhandenen Norm vorzunehmen.[18] Nicht richtig ist daher die Ansicht des Sächsischen Datenschutzbeauftragten, dass Unbedenklichkeitsbescheinigungen generell nicht ausgestellt werden könnten, da es an einer Rechtsgrundlage fehle, woraus geschlossen werden kann, dass jener diese jedenfalls als Verwaltungsakte ansieht.[19] Geht es es um die Genehmigung einzelner Übermittlungen oder bestimmter Arten von Übermittlungen in unsichere Drittstaaten, also um die Frage, ob diese überhaupt einer Genehmigung bedürfen oder Genehmigungsfähigkeit gegeben ist, ist Rechtsgrundlage hingegen § 4c Abs. 2 Satz 1 BDSG.[20] Es ist anerkannt, dass die Befugnis festzustellen, ob ein Genehmigungstatbestand erfüllt ist oder nicht, in der Rechtsgrundlage für die Erteilung der Genehmigung enthalten ist.[21]
Die Gründe, die schon für das Vorliegen eines Verwaltungsaktes sprechen, führen zugleich dazu, dass in den meisten Fällen sogar ein Anspruch auf Erlass eines feststellenden Verwaltungsaktes in Form eines Prüfbescheides oder einer Unbedenklichkeitsbescheinigung besteht.[22] Ein solcher entfaltet wegen der Gesetzesbindung (Art. 20 Abs. 3 GG)[23] und dem Grundsatz der Gewaltenteilung[24] eine so genannte Tatbestandswirkung und ist insofern gegenüber anderen Behörden sowie Gerichten bindend[25] – im letztgenannten Fall aber nur, soweit er nicht selbst Gegenstand der gerichtlichen Überprüfung ist, also im Falle der Anfechtung.[26] Bedeutung haben können feststellende Verwaltungsakte daher vor allem in Zivilverfahren, einschließlich wettbewerbsrechtlicher Verfahren.[27] Dass die Datenschutzaufsichtsbehörden das Vorliegen eines feststellenden Verwaltungsaktes naturgemäß kritischer sehen, ändert an der Verwaltungsaktseigenschaft natürlich nichts. Dies dürfte aber auch ein Grund sein, warum diese derartigen Antworten im Aufsichtsalltag keine Rechtsbehelfsbelehrung (§ 58 VwGO) beifügen. Das Fehlen einer solchen wirkt sich nur dahingehend aus, dass die Frist für Einlegung einer Anfechtungsklage, abweichend von § 74 Abs. 1 VwGO, ein Jahr ab Bekanntgabe des Verwaltungsaktes beträgt (§ 58 Abs. 2 Satz 1 VwGO).
3. Absprachen und deren Bindungswirkung
Da der Schwerpunkt der Aufsichtstätigkeit in der Beratung und Unterstützung liegt, findet naturgemäß ein Dialog zwischen Datenschutzaufsichtsbehörden und verantwortlichen Stellen statt. Hierbei kann, wenn Mängel bei oder Verstöße gegen den Datenschutz vorliegen, oft eine (gemeinsame) Lösung erreicht werden. Werden dabei Absprachen getroffen, entfalten diese typischerweise keine rechtliche Bindungswirkung.[28] Für die Annahme eines öffentlich-rechtlichen Vertrages (§§ 55 ff. VwVfG NRW bzw. entsprechende Landesnormen) fehlt es regelmäßig schon an einem entsprechenden Rechtsbindungswillen.[29] Damit können die Absprachen im Regelfall, als bloße Realakte[30], die Beteiligten nur faktisch binden.[31]
Dabei wäre der öffentlich-rechtliche Vertrag durchaus eine Handlungsoption für die Datenschutzaufsichtsbehörden.[32] So könnte etwa mittels eines Austauschvertrages (§ 56 VwVfG NRW bzw. entsprechende Landesnorm) eine rechtlich verpflichtende und koordinierte Beseitigung eines Datenschutzverstoßes vereinbart werden.[33] Die Umstellung für die Aufsichtsbehörden wäre nicht allzu groß, schließlich haben die heute bereits getroffenen Absprachen schon einen vergleichbaren Inhalt.[34]
C. Information der Allgemeinheit und Medien
Die Informationstätigkeit gegenüber der Allgemeinheit und den Medien findet nicht nur durch die nach § 38 Abs. 1 Satz 7 BDSG mindestens alle zwei Jahre zu veröffentlichenden Tätigkeitsberichte statt, sondern auch durch Presseund Fernsehinterviews oder Pressemeldungen, ferner durch die Herausgabe von Leitfäden, Faltblättern, Broschüren, FAQs und Ähnlichem.[35] Wenig überraschend, ist dabei wichtigster Kommunikationskanal das Internet.[36] Die Datenschutzaufsichtsbehörden veröffentlichen dabei über ihre Internetauftritte in einzelnen Fällen auch Gutachten[37] und sogar Verwaltungsakte[38], die auf Grundlage von § 38 Abs. 5 BDSG ergangen sind.
Die Information der Allgemeinheit und Medien ist dabei naturgemäß öffentlichkeitswirksamer als die individuelle Beratungs- und Unterstützungstätigkeit der Datenschutzaufsichtsbehörden, zumal Datenschutz mittlerweile kein Nischendasein mehr fristet. Nachrichten betreffend den Datenschutz sind heutzutage auch außerhalb von Fachmedien fast täglich anzutreffen. Dies ist teilweise auch darauf zurückzuführen, dass einige Datenschutzaufsichtsbehörden recht offensiv auftreten.[39] Konsequent ist es daher, dass sich 2013 und 2014 nach langer Zeit Gerichte wieder mit den Grenzen der medialen Informationstätigkeit von Datenschutzaufsichtsbehörden zu beschäftigen hatten. Zuletzt war dies davor im Jahre 1999 der Fall gewesen, als das VG Köln über die Zulässigkeit von Äußerungen des Bundesbeauftragten für den Datenschutz in einer Presseerklärung zu entscheiden hatte.[40] Darin hatte sich dieser dergestalt geäußert, dass die von einem Unternehmen geplante Errichtung einer Bilddatenbank über Häuser und Hausgrundstücke auch kriminellen Aktivitäten Tür und Tor öffnen könne und dass er solche Verfahren bereits nach der bestehenden Rechtslage nicht für zulässig halte. Gegenstand des aktuelleren Verfahrens, in dem 2013 zunächst das VG Schleswig und 2014 in der Beschwerdeinstanz das OVG Schleswig zu entscheiden hatte, waren Äußerungen des Leiters der Datenschutzaufsichtsbehörde von Schleswig-Holstein, des Unabhängigen Landeszentrum für Datenschutz (ULD), des Landesbeauftragten für Datenschutz Dr. Thilo Weichert. Dieser hatte sich in verschiedenen Medien (u.a. dem Spiegel und in Interviews auf Bayern 2, der Deutschen Welle und in der TAZ) unter anderem dahingehend geäußert, dass ein in Bayern ansässiges Apothekenrechenzentrum an einem der größten Datenskandale der Nachkriegszeit beteiligt und sein Geschäftsmodell illegal sei. Der Name des Unternehmens wurde dabei ausdrücklich genannt.[41]Die hierzu ergangenen Entscheidungen sollen der Anlass sein, diesen wichtigen Teilbereich der Informationstätigkeit etwas näher zu beleuchten.
I. Entscheidungen des VG Schleswig und OVG Schleswig
Nachdem das VG Schleswig[42] die Äußerungen allesamt per einstweiliger Anordnung untersagt hatte (§ 123 VwGO), änderte das OVG Schleswig den Beschluss im Beschwerdeverfahren (nur) teilweise ab.[43] So bestätigte es die Anordnung insbesondere hinsichtlich der besagten Äußerungen. Hinsichtlich weiterer Äußerungen, unter anderem der Aussage, dass das Apothekenrechenzentrum unzulässig handle und einen Rechtsverstoß begehe, wurde der Antrag auf Anordnung der Unterlassung nunmehr abgelehnt, allerdings mit der Maßgabe, dass Weichert diese Aussagen künftig als eigene zu kennzeichnen habe. Begründet wurde dies damit, dass nur so eine unzulässige Verabsolutierung des Geltungsanspruches der eigenen Position vermieden werden könne.[44]
II. Grundrechtliche Beurteilung der Information der Allgemeinheit und der Medien
Unter Verweis darauf, dass es sich nicht um allgemeine Informationen handle, sondern um gezielte Hinweise bzw. Warnungen, kam das VG Schleswig direkt dazu, einen Eingriff in Art. 12 GG (Berufsfreiheit) und Art. 14 GG (Eigentumsgarantie) anzunehmen, was vom OVG Schleswig nicht weiter in Frage gestellt wurde.[45]
1. Bindung an Grundrechte
Die Prüfung anhand des Grundgesetzes vermag zunächst einzuleuchten. Wie alle staatlichen Stellen sind die Datenschutzaufsichtsbehörden nicht nur gemäß Art. 20 Abs. 3 GG an Gesetz und Recht gebunden,[46] sondern gemäß Art. 1 Abs. 3 GG auch an die Grundrechte des Grundgesetzes. Dies gilt nach der hier vertretenen Ansicht aber nur eingeschränkt. Denn die nationalen Rechtsvorschriften zum Datenschutzrecht im nicht öffentlichen Bereich bezwecken allesamt die Umsetzung der das Datenschutzrecht vollharmonisierenden[47] Datenschutzrichtlinie. Die Datenschutzaufsichtsbehörden führen daher bei ihrer gesamten Aufsichtstätigkeit stets Recht der Europäischen Union auf administrativer Ebene durch und sind damit gemäß Art. 51 Abs. 1 Satz 1 EUGRCh an die Charta der Grundrechte der Europäischen Union gebunden.[48] Dies ist auch dann der Fall, wenn diese in Form von Information erfolgt. Diese findet ebenso im Rahmen der Ausübung der Aufsichtstätigkeit statt, die der Durchsetzung des materiellen Rechts dient und damit zumindest auch der administrativen Durchführung des Unionsrechts.[49] Der Anwendungsvorrang des Unionsrechts, der es nicht zulässt, dass die einheitliche Geltung des Unionsrechts beeinträchtigt wird, muss daher auf grundrechtlicher Ebene zu alleiniger Anwendbarkeit der EUGrundrechtecharta führen.[50]
Zu einem anderen Ergebnis kommt, wer mit dem Bundesverfassungsgericht den Anwendungsvorrang des Unionsrechts nur insoweit anerkennt, wie dieses dem Gesetzgeber keinen Spielraum bei der Umsetzung im nationalen Recht und nicht eine gewisse Gestaltungsfreiheit belässt.[51] Für diese Konstellationen wird überwiegend gefolgert, dass es zu einer kumulativen Bindung an die Grundrechte des Grundgesetzes und der Charta der Grundrechte der EU komme, so dass das Günstigkeitsprinzip aus Art. 52 EUGRCh anzuwenden sei.[52] Damit müsste man erst recht zu dieser doppelten Grundrechtsbindung kommen, wenn es, wie im Fall der in Grundrechte eingreifenden Informationstätigkeit der Datenschutzaufsichtsbehörden, an einer europarechtlichen Vorgabe in der Datenschutzrichtlinie (RL 95/46/EG) fehlt.[53]
2. Einschlägige Grundrechte
Vom Informationshandeln gegenüber Allgemeinheit und Medien können hinsichtlich der der hier primär interessierenden (verantwortlichen) Stellen,[54]die selbst oder deren Produkte oder Dienstleistungen Gegenstand der Information sind, sei es ausdrücklich oder in erkennbarer Weise, gleich mehrere Grundrechte betroffen sein.[55] Einschlägig sind die Berufsfreiheit in Art. 15 Abs. 1 Var. 2 EUGRCh bzw. Art. 12 GG und die unternehmerische Freiheit in Art. 16 EUGRCh.[56] Die genaue Abgrenzung der beiden europäischen Grundrechte kann dabei dahinstehen, da beide Grundrechte die gesamte Betätigung im Wirtschaftsverkehr umfassend schützen.[57]Ergänzend kann gegebenenfalls auch der Schutzbereich des Eigentumsrechts (Art. 17 EUGRCh; Art. 14 GG) betroffen sein. Zu nennen ist ferner das Recht auf Schutz der personenbezogenen Daten, Art. 8 Abs. 1 EUGRCh. Dessen Schutzbereich ist auch dann eröffnet, wenn der Name einer juristischen Person eine oder mehrere natürliche Personen bestimmt.[58] Eröffnet sein kann unter solchen Umständen auch der Schutzbereich des Rechts auf informationelle Selbstbestimmung, das auch bei juristischen Personen und Personengesellschaften auf die dahinterstehenden natürlichen Personen durchschlagen kann.[59]
3. Grundrechtseingriff
Unabhängig davon, ob man das Vorliegen eines Grundrechtseingriffs anhand des Grundgesetzes oder der GrundrechteCharta prüft, kommt man nicht umhin, einen solchen bei Äußerungen wie den von Weichert grundsätzlich zu bejahen.[60] So können Äußerungen massive wirtschaftliche Folgen haben und im schlimmsten Fall existenzgefährdend oder gar existenzvernichtend sein.[61] Dies zeigt sich insbesondere bei Warnungen oder dem Öffentlichmachen von Datenschutzverstößen unter Nennung des Unternehmens oder seiner Produkte. Die betroffenen Unternehmen werden insofern an den Pranger gestellt.[62] Die tatsächlichen Wirkungen, die über die konkret beabsichtigten oder gebilligten Wirkungen der Information hinausgehen, können dabei nie definitiv abgeschätzt, vor allem aber nicht kontrolliert und endgültig rückgängig gemacht werden.[63] Gerade wenn Informationen online kommuniziert werden, sind die jeweiligen Informationen leicht verfügbar, kopierbar und auffindbar und bleiben dies auch dann, wenn sie sich inhaltlich schon erledigt haben, was zu einer erhöhten Wirkungs- und damit Eingriffsintensität führt.[64]Die öffentliche Wahrnehmung der Datenschutzaufsichtsbehörden als sachverständig verstärkt dies noch und führt dazu, dass Äußerungen besonders nachteilig wirken können.[65] Es lässt sich daher sogar sagen, dass der Eingriff über eine Verfügung nach § 38 Abs. 5 Satz 1 oder sogar Satz 2 BDSG hinausgehen kann.[66] Passenderweise hat Weichert selbst die öffentliche Nennung von Unternehmen, die gegen das Datenschutzrecht verstoßen, als das vielleicht effektivste Sanktionsmittel bezeichnet.[67] Dies gilt auch dann, wenn es sich, wie im Fall Weichert, um nur subjektive Rechtsmeinungen handelt, jedenfalls, wenn eine solche Stellungnahme in generalisierender Form erfolgt, etwa durch die Äußerung, dass bestimmte Datenverwendungen oder Geschäftsmodelle generell rechtswidrig seien.[68] Es liegt daher insoweit jedenfalls ein Eingriff in Art. 15 Abs. 1 Var. 2 EUGRCh bzw. Art. 12 GG und Art. 16 EUGRCh vor.
Eingegriffen wird zudem in Art. 8 Abs. 1 EUGRCh bzw. das Recht auf informationelle Selbstbestimmung, wenn mit der Äußerung die Nennung einer bei der Verwendung personenbezogener Daten beteiligten Stelle erfolgt. Denn es wird damit eine Aussage über das Verhalten der hinter dieser stehenden natürlichen, zur Leitung befugten Personen getroffen.[69] Dies trifft insbesondere auf die Veröffentlichung von Verwaltungsakten der Datenschutzaufsicht zu.[70] Unproblematisch sind dagegen reine Tatsachenäußerungen, wie die Äußerung über bestehende gesetzliche Regelungen[71] oder die Warnung vor generellen Gefahren.[72]
4. Erfordernis und Fehlen einer Rechtsgrundlage
Das in Grundrechte eingreifende Informationshandeln der Datenschutzaufsicht erfordert sowohl nach der Europäischen Grundrechtecharta (Art. 52 Abs. 1 Satz 1 EUGRCh, soweit das Datenschutzgrundrecht betroffen ist auch Art. 8 Abs. 2 Satz 1 EUGRCh) als auch nach dem Grundgesetz (Art. 20 Abs. 3 GG und Gesetzesvorbehalte der einschlägigen Grundrechte) eine Ermächtigungsgrundlage.
Abgesehen davon, dass der Bund die Eingriffsbefugnisse der Datenschutzaufsichtsbehörden im Rahmen seiner konkurrierenden Gesetzgebungskompetenz (insbesondere Art. 74 Nr. 11 und Nr. 12 GG) im BDSG abschließend geregelt hat,[73]findet sich in keinem der Landesdatenschutzgesetze eine geeignete Rechtsgrundlage, wie das VG Schleswig am Beispiel von Schleswig-Holstein richtig festgestellt hat.[74] Beratungspflichten, wie sie in § 43 Abs. 1, Abs. 3 Satz 2 LDSG SH geregelt sind, oder auch Regelungen, die ganz allgemein eine Information der Bürger und der Öffentlichkeit zu Fragen des Datenschutzes zulassen[75], sind schon vom Wortlaut her nicht einschlägig.[76] Entsprechendes gilt für die Verpflichtung, Tätigkeitsberichte zu veröffentlichen, § 38 Abs. 1 Satz 7 BDSG, wie auch schon die Bezeichnung als Tätigkeitsberichte zeigt.[77] Die in Grundrechte eingreifende Information in entsprechender Anwendung von § 38 Abs. 5 Satz 1 BDSG als Minusmaßnahme zur einer Verfügung anzusehen, ist ebenfalls nicht möglich.[78] Dies folgt insbesondere daraus, dass unter Berücksichtigung der schwerwiegenden Folgen, die das Informationshandeln haben kann, die Systematik von § 38 Abs. 5 BDSG unterlaufen würde. Eingriffe, die jedenfalls ein potentielles Mehr gegenüber einer Verfügung gestützt auf diese Regelung sind, können daher keine zulässige Minusmaßnahme sein.[79] Dazu kommt, dass auch wenn Informationspflichten wegen Datenpannen bestehen, die zudem an bestimmte Voraussetzungen geknüpft sind, primär nur die Datenschutzaufsichtsbehörden und die Betroffenen zu benachrichtigen sind (§ 42a Satz 1 BDSG; § 15 a TMG; § 109a TKG und § 21h Abs. 2 EnWG). Selbst die Befugnis, Betroffene über festgestellte Datenschutzverstöße zu unterrichten, hat der Gesetzgeber als für ausdrücklich regelungswürdig gehalten, wie § 38 Abs. 1 Satz 6 BDSG zeigt.8[80]
Ferner ist zu berücksichtigen, dass sogar in Bereichen, in denen Regelungen bestehen, die eine in Grundrechte eingreifende Information der Öffentlichkeit zulassen, diese meist nur als ultima ratio gestattet ist (§ 26 Abs. 2 Nr. 9 Hs. 2 ProdSG; § 40 Abs. 2 Satz 1 LFGB).[81]Schließlich erfordern die vom Bundesverfassungsgericht entwickelte Wesentlichkeitsdoktrin und das diese ergänzende[82] Gebot der Normenklarheit eine bereichsspezifische, präzise und normenklare gesetzliche Ermächtigung.[83] Dies gilt insbesondere für die Rechtfertigung von Eingriffen in Art. 8 Abs. 1 EUGRCh (siehe Art. 8 Abs. 2 Satz 1 EUGRCh) und das Recht auf informationelle Selbstbestimmung.[84] Deswegen ist auch der für grundrechtsrelevantes Informationshandeln der Verwaltung teilweise befürwortete Rückgriff auf die polizeiund ordnungsrechtlichen Generalklauseln[85] problematisch.[86] Wegen der abschließenden Regelung der Befugnisse der Datenschutzaufsichtsbehörden ist er ohnehin ausgeschlossen.[87] Die medienrechtlichen Auskunftsansprüche (z.B. § 9a RStV; § 4 LPresseG NRW; § 4 Abs. 1 LPrG SH) rechtfertigen ebenfalls keine Eingriffe auf Initiative der Datenschutzaufsichtsbehörden und greifen zudem nur bei vorherigen Anfragen von Seiten der Medien.[88] Soweit vorgeschlagen wird, Eingriffe als Annex zu gesetzlichen Eingriffsbefugnissen zuzulassen,[89] überzeugt dies vor dem Hintergrund der hohen Eingriffsintensität nicht.[90]
5. Keine Ausnahmen vom Gesetzesvorbehalt
Die Kritik an den Entscheidungen des VG Schleswig und OVG Schleswig knüpft nun in erster Linie daran an, dass sich das VG Schleswig und ihm folgend das OVG Schleswig der Rechtsprechung[91] anschließen, wonach mit Warnungen verbundene Grundrechtseingriffe auf Grundlage der Aufgabenstellung in Verbindung mit der Wahrnehmung von Schutzpflichten gerechtfertigt werden können.[92] So argumentiert hatte im Jahre 1999, und damit noch vor den Entscheidungen des Bundesverfassungsgerichts, bereits das VG Köln in seiner oben erwähnten Entscheidung bezüglich Äußerungen des Bundesbeauftragten für den Datenschutz.[93]
Dies folgt zunächst daraus, dass im Anwendungsbereich der EUGRCh eine Ausnahme vom Gesetzesvorbehalt nicht existiert (Art. 52 Abs. 1 Satz 1 EUGRCh; Art. 8 Abs. 2 Satz 1 EUGRCh). Auch die die Heranziehung der Rechtsprechung, insbesondere des Bundesverfassungsgerichts, überzeugt nicht. Diese Rechtsprechung bezog sich auf Informationshandeln, das als die Erledigung von Aufgaben der Staatsleitung anzusehen sei, weshalb sich die Ermächtigung aus der zugewiesenen Aufgabe ergebe, staatsleitend tätig zu werden.[94] Wie dies mit der Aussage des Bundesverfassungsgerichts, dass informatorisches Handeln der Verwaltung auf die Aufgabenzuweisung gestützt werden könne, in Einklang zu bringen ist, bleibt jedoch fraglich und zeigt einen gewissen Widerspruch im besagtem Urteil auf.[95] Dass es sich bei Informationshandeln von Landesregierungen und Bundesregierung um etwas anderes als Verwaltungshandeln handeln muss, zeigt sich, wenn das Bundesverfassungsgericht ausführt, dass bei staatsleitendem Regierungshandeln das Ziel die Bewältigung einer komplexen Krisensituation insgesamt sein müsse und es nicht um die Abwehr von Gefahren im Einzelfall gehen dürfe, einer ureigenen Verwaltungsaufgabe.[96] Genau eine solche Verwaltungsaufgabe erfüllt die Datenschutzaufsicht aber, woran die Übertragung der aufgestellten Grundsätze jedenfalls scheitert.[97]
Darüber hinaus kann auch ein Rückgriff auf staatliche Schutzpflichten nicht darüber hinweghelfen, dass eine Rechtsgrundlage gerade nicht existiert. Eine Durchbrechung des Gesetzesvorbehaltes, wie sie durch die (unklare) Rechtsprechung des Bundesverfassungsgerichts droht, da diese durch den Verweis auf die Funktion der Staatsleitung einen unzulässigen Schluss von der Aufgabenzuweisung auf die Befugnis nahelegt, ist daher nicht zuzulassen.[98] Es handelt sich um einen der Grundpfeiler des Rechtsstaates, der nicht aus paternalistischen Erwägungen heraus geopfert werden darf.[99] Auf ein datenschutzrechtliches Mandat der Aufsichtsbehörden kann daher, auch in Kombination mit Schutzpflichten, entgegen des VG Schleswig, ebenso wenig abgestellt werden.[100] Ein solches vermag eine Rechtsgrundlage nicht zu substituieren. Folgerichtig hat der (Bundes-)Gesetzgeber in anderen Bereichen Rechtsgrundlagen für in Grundrechte eingreifendes Informationshandeln, etwa durch Warnungen, vorgesehen (§ 7 BSIG; § 26 Abs. 2 Satz 2 Nr. 9 ProdSG). Diese zeigen ferner, dass Schwierigkeiten bei der Normierbarkeit[101] ebenfalls keinen Grund für einen Verzicht auf gesetzliche Regelung bieten.[102] Die Befugnis auf eine Gesamtschau von Art. 28 RL 95/46/EG[103] zu stützen[104], ist daher ebenfalls nicht möglich.[105] Sie muss schon daran scheitern, dass eine unmittelbare Anwendbarkeit von Richtlinien im Verhältnis Staat zu Bürger zu Lasten des Bürgers unzulässig ist.[106]
6. Ergebnis der VG bzw. OVG Schleswig-Entscheidungen ist vertretbar
Wenngleich die Entscheidungen des VG Schleswig und OVG Schleswig rechtsdogmatisch betrachtet fragwürdig sind, sind diese im Ergebnis jedenfalls beide vertretbar.
Soweit für die Prüfung der Rechtmäßigkeit darauf abgestellt wird, ob ein hinreichender Anlass zu medienöffentlichen Äußerungen bestand und das Gebot der Sachlichkeit beachtet wurde,[107] so können diese Kriterien schon auf der Ebene der Eingriffsprüfung berücksichtigt werden. Hier ist allerdings Zurückhaltung geboten, um den Grundrechtsschutz nicht über Gebühr zu verkürzen. Dass das OVG Schleswig unter anderem die Äußerungen, dass das Apothekenrechenzentrum unzulässig handle und einen Rechtsverstoß begehe, unter der Voraussetzung, dass diese Aussagen künftig als eigene zu kennzeichnen sind, um so eine unzulässige Verabsolutierung zu vermeiden, für zulässig erachtet hat, ist unter Anwendung des oben aufgezeigten Maßstabes durchaus vertretbar. Unter dieser Voraussetzung ist nämlich schon ein Grundrechtseingriff zu verneinen. Die Rechtswidrigkeit der übrigen Äußerungen folgt hingegen nicht unmittelbar aus der Überschreitung gebotener Zurückhaltung bei Abgabe dieser, die sich aus der fehlenden aufsichtsbehördlichen Zuständigkeit ergeben soll.[108] Sie folgt vielmehr aus dem daraus resultierenden Eingriff, für den nun mal keine Rechtsgrundlage existiert.
Da der Name des Unternehmens im vorliegenden Fall schon bekannt war, folgte im Übrigen allein aus dessen Nennung noch kein Überschreiten der Schwelle zum Grundrechtseingriff. Auch hier lag das OVG Schleswig mit seiner Bewertung, dass die Nennung letztlich zulässig gewesen sei, daher zumindest im Ergebnis richtig.[109] Wenn das Gericht aber andeutet, dass allein wegen der Schutzfunktion von Äußerungen nur eine Nennung interessierten Kreisen eine Orientierung geben könne,[110] kann dem wegen der möglichen schwerwiegenden Auswirkungen nicht gefolgt werden.
Zuzustimmen ist dem OVG Schleswig auch darin, dass die fehlende örtliche Zuständigkeit – zuständig wäre hier hinsichtlich der betroffenen Stelle selbst das Bayerische Landesamt für Datenschutzaufsicht gewesen – letztlich unschädlich war. Zwar hat auch das Bundesverfassungsgericht betont, dass die Kompetenzordnung einzuhalten sei.[111]
Wenn aber Fragen des Datenschutzes Gegenstand einer bundesweiten Berichterstattung sind, ist es durchaus angemessen, wenn Datenschutzaufsichtsbehörden sich auch außerhalb ihrer Zuständigkeit äußern, wenn dies dazu dient, verschiedene fachliche Sichtweisen zu fördern. Denn einerseits sind diese nach der Rechtsprechung des EuGH Hüter der Grundrechte (insb. Art. 8 Abs. 1 EUGRCh) und der Grundfreiheiten (siehe auch Erwägungsgrund 10 RL 95/46/EG).[112] Andererseits sieht Art. 28 Abs. 6 UAbs. 2 RL 95/46/EG deren gegenseitige Zusammenarbeit, insbesondere durch den Austausch sachdienlicher Informationen, vor. Eine Beschränkung auf eine interne fachliche Diskussion unter den Aufsichtsbehörden folgt daraus nicht zwingend.[113]Hinzu kommt, dass zumindest teilweise auch eine Zuständigkeit des ULD Schleswig-Holstein gegeben war (§ 31 Abs. 1 Nr. 2 LVwG SH)[114], soweit schleswig-holsteinische Auftraggeber (Apotheken) des Apothekenrechenzentrums betroffen waren.[115]
7. Recht auf ein faires Verfahren und Unschuldsvermutung
Weitere Grenzen der Informationstätigkeit sind zu beachten in dem Fall, dass die sich äußernde Datenschutzaufsichtsbehörde bereits Verwaltungs- oder Ordnungswidrigkeitenverfahren eingeleitet hat.[116] Denn das Recht auf ein faires Verfahren, das aus Art. 2 Abs. 1 GG i.V. m. Art. 20 Abs. 3 GG hergeleitet wird,[117] gilt als allgemeiner Grundsatz auch in diesen;[118] ebenso die Unschuldsvermutung (vgl. auch Art. 6 Abs. 2 EMRK und Art. 48 Abs. 1 EUGRCh).[119] Bei öffentlicher Nennung mutmaßlicher Datenschutzsünder droht diese in vielen Fällen untergraben zu werden.[120] Da das ULD selbst kein Verwaltungs- oder Bußgeldverfahren durchführte und die Aufsichtsbehörde in Bayern von der Zulässigkeit der in dem Apothekenrechenzentrum vorgenommenen Datenverwendungen ausging,[121] spielten die genannten Rechte hier im Ergebnis keine Rolle.
III. Folgen von Rechtswidrigkeit und möglicher Rechtsschutz
Ist die an die Allgemeinheit bzw. Medien gerichtete Informationstätigkeit im Einzelfall rechtswidrig, kann in mehrfacher Weise hiergegen vorgegangen werden. Es besteht zunächst ein öffentlich-rechtlicher Unterlassungsanspruch[122], der jedenfalls gewohnheitsrechtlich anerkannt ist. Bestehen kann zudem auch ein Folgenbeseitigungsanspruch, wobei dieser nach neuerer Rechtsprechung des Bundesverwaltungsgerichts nicht bei Wertungen und Meinungsäußerungen eingreifen soll.[123] Schadensersatzansprüche aus den Landesdatenschutzgesetzen,[124] Amts haftung bzw. Haftung aus dem unionsrechtlichen Staatshaftungsanspruch[125], der wegen der Anwendbarkeit der EUGRCh eingreifen kann, stoßen auf Probleme bei der Durch setzbarkeit, da sich der Kausalzusammenhang zwischen Information und Schaden nur schwerlich wird nachweisen lassen.[126]Dies ist insbesondere der Fall, wenn (mögliche) Datenschutzverstöße aufgrund von Medienberichten bereits bekannt waren.[127]
D. Fazit
Die facettenreiche Informations- und Beratungstätigkeit, die an dieser Stelle nur teilweise behandelt werden konnte, wirft zahlreiche Rechtsprobleme auf. Diese lassen sich jedoch unter Zuhilfenahme verwaltungsrechtlicher, staatsrechtlicher und europarechtlicher Grundsätze lösen. Spannend bleiben insbesondere zwei Fragen: Erstens, ob die Datenschutzaufsichtsbehörden endlich anerkennen, dass es sich bei der Mitteilung von Ergebnissen datenschutzrechtlicher Prüfungen bzw. der Beantwortung rechtlicher Anfragen regelmäßig um feststellende Verwaltungsakte handelt, auf die sogar ein rechtlicher Anspruch besteht. Hier ist aber auch die Politik gefragt, die den Datenschutzaufsichtsbehörden endlich mehr
personelle und sachliche Ressourcen verschaffen muss, damit diese ihre Aufgaben erfüllen können. Zweitens, wie die Rechtsprechung entscheiden wird, wenn es erneut zu kritischen Äußerungen einer Datenschutzaufsichtsbehörde kommt.
Dr. Tobias Born
Dr. Tobias Born ist Rechtsreferendar am Landgericht Düsseldorf. Er studierte Rechtswissenschaften in Bielefeld, Münster und Melbourne und war für mehrere internationale Wirtschaftskanzleien als Wissenschaftlicher Mitarbeiter im Bereich des IT- und Datenschutzrechts tätig.
Im Jahre 2014 schloss er seine Promotion zum Thema „Die Datenschutzaufsicht und ihre Verwaltungstätigkeit im nicht öffentlichen Bereich“ ab, die von Prof. Dr. Thomas Hoeren (WWU Münster) betreut wurde.
[1] Born, Die Datenschutzaufsicht und ihre Verwaltungstätigkeit im nicht öffentlichen Bereich, 2014, S. 219; ebenso Kloepfer, Umweltrecht, 3. Aufl., München 2004. § 5 Rn. 394.
[2] Bayerisches Landesamt für Datenschutzaufsicht, 5. Tätigkeitsbericht 2011/2012, S. 11; Hillenbrand-Beck, in: Roßnagel, Handbuch Datenschutzrecht – Die neuen Grundlagen für Wirtschaft und Verwaltung, 2003, Kapitel 5.4 Rn. 96.
[3] Regelungen hierzu finden sich nur in Nordrhein-Westfalen (§ 27 Abs. 1 Satz 3 DSG NRW), Rheinland-Pfalz (§ 24 Abs. 8 LDSG RP) und Schleswig-Holstein (§ 43 Abs. 1 DSG SH).
[4] Zu nennen ist daneben noch die Datenschutzrichtlinie für elektronische Kommunikation (RL 2002/58/EG), ABl. Nr. L 201, S. 37, zuletzt geändert durch Art. 2 ÄndRL 2009/136/EG vom 25.11.2009, ABl. Nr. L 337, S. 11, ber. 2013 ABl. Nr. L 241, S. 9.
[5] Grundlegend zum Recht auf informationelle Selbstbestimmung, aber auch dessen Schutzfunktion, BVerfGE 65, 1 (46); Born, (o. Fn. 1), S. 239.
[6] Gola/Schomerus, BDSG, 12. Aufl. 2015, § 38 Rn. 7a; ausführlich, auch zur Reichweite der Beratungs- und Unterstützungspflicht Born, (o. Fn. 1), S. 220 ff.; Hoeren, RDV 2011, 1 (3).
[7] BT-Drs. 16/1407, S. 10.
[8] Born (o. Fn. 1), S. 224 f.; a.A.: SächsDSB, 5. TB (2009-2010) Datenschutz im nicht öffentlichen Bereich, S. 138; SächsDSB, 4. TB (2007- 2008) Datenschutz im nicht öffentlichen Bereich, S. 79.
[9] Born (o. Fn. 1), S. 225; Hoeren, RDV 2011, 1 (1).
[10] Entgegengesetzter Ansicht für die Beratungspflicht des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) der Schweiz unter Verweis auf dessen limitierte personelle Ressourcen Rosenthal, in: Rosenthal/Jöhri, DSG, 2008, Art. 28 DSG Rn. 3.
[11] In Baden-Württemberg gemäß der Verordnung des Innenministeriums über die Festsetzung der Gebührensätze für öffentliche Leistungen der staatlichen Behörden für den Geschäftsbereich des Innenministeriums und des Landesbeauftragten für den Datenschutz im nichtöffentlichen Bereich (Gebührenverordnung Innenministerium – GebVO IM) vom 12. Juli 2011, GBl. 2011, 404. Ferner in Schleswig-Holstein gemäß § 43 Abs. 4 LDSG SH und der Satzung des Unabhängigen Landeszentrums für Datenschutz über die Leistungen der Anstalt und die Erhebung von Entgelten (ULD-Benutzungs- und Entgeltsatzung), abrufbar unter: https://www.datenschutzzentrum.de/material/recht/gebuehrensatzung.htm (zuletzt abgerufen am 15.02.2015); ebenso in Thüringen gem. § 42 Abs. 3 ThürDSG.
[12] Born (o. Fn. 1), S. 240 ff.; Hoeren, RDV 2011, 1 (2 f.).
[13] Born (o. Fn. 1), S. 248 ff.
[14] Born (o. Fn. 1) S. 257 f.; vgl. BVerwG, NVwZ 1991, 267 (268); Martens, NVwZ 1993, 27 (31).
[15] BVerwGE 141, 253 (245 f.); BVerwG, NVwZ 2011, 1142 (1144); VGH Baden-Württemberg, NZV 2003, 301 (301)
[16] Bergmann/Möhrle/Herb, Datenschutzrecht, 47. Ergänzungslieferung, Januar 2014, § 38 BDSG Rn. 76.
[17] Born (o. Fn. 1), S. 285.
[18] BVerwG, Urteil vom 06.12.1978 – 8 C 24.7, BeckRS 1978, 30427619.
[19] SächsDSB, 4. Tätigkeitsbericht (2007-2008) Datenschutz im nicht öffentlichen Bereich, S. 74.
[20] Born (o. Fn. 1), S. 285.
[21] BVerwG, NJW 2003, 2767 (2768).
[22] Born (o. Fn. 1), S. 257 f.
[23] BVerwGE 117, 351 (355); Kirchhof, NJW 1986, 1315 (1315 f.); Kirchhof, NJW 1985, 2977 (2983).
[24] Schnellenbach, JA 1996, 981 (983).
[25] Schwarz, in: Fehling/Kastner/Störmer, HK-Verwaltungsrecht, 3. Aufl. 2013, § 43 VwVfG Rn. 19; Born (o. Fn. 1), S. 261 ff.
[26] BVerwGE 117, 351 (355); zur Bindung im Zivilprozess Born (o. Fn. 1), S. 264 f.
[27] Born (o. Fn. 1), S. 264 f.
[28] Mit Beispielen zu Absprachen HmbBfDI, 23. TB 2010/2011, Drs. 20/3570, S. 13 ff.; zu einzelnen Arten von Absprachen und m.w.N. Born (o. Fn. 1), S. 231 ff.
[29] Wind, Die Kontrolle des Datenschutzes im nicht öffentlichen Bereich, 1994, S. 151; Eberle, Die Verwaltung 17 (1984), 439 (445).
[30] Statt vieler Schoch, in: Isensee/Kirchhof, Handbuch des Staatsrechts Bd. 3, 5. Auflage 2005, § 37 Rn. 25; Brohm, DVBl 1994, 133 (134); Müggenborg, NVwZ 1990, 909 (915).
[31] Maurer, Allgemeines Verwaltungsrecht, 18. Aufl. 2011, § 15 Rn. 20; Wind (o. Fn. 29), S. 154; Bohne, VerwArch 1984, 343 (349 f., 361).
[32] Born (o. Fn. 1), S. 288 ff.
[33] Vgl. für das Produktsicherheitsrecht Klindt, NVwZ 2003, 307 (309).
[34] HmbBfDI, 23. TB 2010/2011, Drs. 20/3570, S. 17.
[35] Petri, in: Simitis, BDSG, 8. Aufl. 2014, § 38 Rn. 47.
[36] BayLDA, 3. TB 2008, S. 68; LfD Bremen, 31. Jahresbericht, LT-Drs. 17/706, S. 68 ff.; LfD Baden-Württemberg, 30. TB 2010/2011, LT-Drs. 15/955, S. 12.
[37] HmbBfDI, Prüfbericht vom 02.11.2011, Prüfung der nach Abmeldung eines Facebook-Nutzers verbleibenden Cookies – D2/2 32.02-62, abrufbar unter: http://www.datenschutz-hamburg.de/uploads/media/Pruefbericht_Facebook-Cookies.pdf; HmbBfDI, Gutachten vom 17.01.2012, Rechtliche Bewertung der Gesichtserkennung und der Zuständigkeit des HmbBfDI über den Internet-Dienst Facebook, abrufbar unter: http://www.datenschutz-hamburg.de/fileadmin/user_upload/documents/Gutachten_Facebook-Gesichtserkennung.pdf; ULD Schleswig-Holstein, Arbeitspapier v. 19.01.2011, Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook, abrufbar unter: https://www.datenschutzzentrum.de/facebook/facebookap-20110819.pdf (jeweils zuletzt abgerufen am 15.02.2015).
[38] HmbBfDI, Gesichtserkennung, Anordnung gem. § 38 BDSG, vom 21.09.2012 – D32/32.02-62/5, abrufbar unter: http://www.datenschutz-hamburg.de/uploads/media/Anordnung_gegen_Facebook_2012-09-21.pdf. Das Verwaltungsverfahren wurde nach Aufgabe der gerügten Datenverwendung eingestellt, Pressemitteilung vom 07.02.2013, abrufbar unter: http://www.datenschutz-hamburg.de/news/detail/article/facebook-gesichtserkennung-verwaltungsverfahren-eingestellt.html; ULD Schleswig-Holstein, Anordnung nach § 38 Abs. 5 Satz 1 Bundesdatenschutzgesetz (BDSG), vom 14.12.2012 – LD4-61.41/12.004, abrufbar unter: https://www.datenschutz zentrum. de/facebook/20121214-anordnung-fb-ltd.html; ULD Schleswig-Holstein, Anordnung nach § 38 Abs. 5 Satz 1 Bundesdatenschutzgesetz (BDSG), vom 14.12.2012 – LD4-61.41/12.002, abrufbar unter: https://www.datenschutzzentrum.de/facebook/20121214-anordnung-fb-inc.html (jeweils zuletzt abgerufen am 15.02.2015).
[39] So wurde der Landesbeauftragte für Datenschutz von Schleswig-Holstein Dr. Thilo Weichert (Leiter des ULD Schleswig-Holstein) als „menschgewordene Firewall“ beschrieben: Wiegand, Ein Mann wie eine Firewall, Süddeutsche Zeitung, 22.06.2013, S. V2/6.
[40] VG Köln, MMR 1999, 741.
[41] VG Schleswig, ZD 2014, 102 (102).
[42] VG Schleswig, ZD 2014, 102.
[43] OVG Schleswig, ZD 2014, 536.
[44] OVG Schleswig, ZD 2014, 536 (539).
[45] VG Schleswig, ZD 2014, 102 (102).
[46] Dies ergibt sich für die Aufsichtsbehörden aller Länder außer dem Saarland explizit auch aus den Landesdatenschutzgesetzen oder sogar der Landesverfassung: § 26 Abs. 2 Satz 1 LDSG BW; Art. 35 Abs. 2 Satz 1 BayDSG; § 22 Abs. 2 Satz 1 BlnDSG; § 22 Abs. 4 Satz 2 BbgDSG; § 25 S. 1 BremDSG; § 22 Abs. 1 Satz 1 HmbDSG; § 22 HDSG; § 29 Abs. 6 Satz 1 DSG M-V; § 21 Abs. 2 Satz 4 DSG NRW; § 25 Abs. 1 Satz 1 LDSG RP; § 25 Abs. 4 Satz 1 SächsDSG; § 21 Abs. 1 S. 1 DSG LSA; § 39 Abs. 1 Satz 1 DSG SH; § 36 Abs. 1 Satz 1 ThürDSG; Art. 62 Abs. 3 Satz 1 NDSVerf; dazu auch die Begründung LT-Drs. 16/3417, S. 6.
[47] EuGH, Urteil vom 24.11.2011, verb. Rs. C-468/10 und C-469/10, CR 2012, 29 (30), Rn. 29, m. Anm. Freund; EuGH, Urteil vom 16.12.2008, Rs. C-524/06, Slg. I-2008, 9725 Rn. 51; EuGH, Urteil vom 06.11.2003, Rs. C-101/01, Slg. 2003, I-12971, Rn. 91 ff.
[48] EuGH, Urteil vom 29.01.2008, Rs. C-275/06, Slg. 2008, I-271, Rn. 68; Borowsky, in: Meyer, EUGRCh, 4. Aufl. 2014, Art. 51 Rn. 24 ff.; Jarass, EUGRCh, 2. Aufl. 2013, Art. 51 Rn. 19; Streinz/Michel in: Streinz, EUV/ AEUV, 2. Aufl. 2012, Art. 51 GR-Charta Rn. 7; Fassbender, NVwZ 2010, 1049 (1049 f.); Streinz/Michl, EuZW 2011, 384 (385 f.).
[49] EuGH, Beschluss vom 01.03.2011, Rs. C-457/09, Slg. 2011, I-819, Rn. 25; EuGH, Beschluss vom 12.11.2010, Rs. C-339/10, Rn. 14; Classen in: Grabitz/Hilf/Nettesheim, Das Recht der EU, 54. Ergänzungslieferung 2014, Art. 197 AEUV Rn. 17.
[50] EuGH, Urteil vom 17.12.1970, Rs. C-11/70, Slg. 1970, I-1125, Rn. 3; Kingreen in: Calliess/Ruffert, EUV/AEUV, 4. Auflage 2011, Art. 51 EUGRCh Rn. 12; Born (o. Fn. 1), S. 163; Ostermann, Entwicklung und gegenwärtiger Stand der europäischen Grundrechte nach der Rechtsprechung des Europäischen Gerichtshofs sowie des Gerichts erster Instanz, 2009, S. 85; Streinz/Michl, EuZW 2011, 384 (385 f.); die alleinige Anwendbarkeit der Grundrechte-Charta für „gut vertretbar“ gehalten hat, bei der Frage, ob Anwendungsbereich der EU-Grundrechtecharta eröffnet sei, wenn mit einem Gesetz oder Gesetzesteil auch – aber nicht nur – Richtlinien umgesetzt wurden, der VGH Mannheim, Vorlagebeschluss an den EuGH vom 20.01.2011 – 11 S 1069/10, DVBl 2011, 378.
[51] BVerfGE 125, 260 (306), Rn. 182.
[52] Borowsky, in: Meyer (o. Fn. 48), Vor Titel VII Rn. 24, Art. 53 Rn. 14a; Jarass (o. Fn. 48), Art. 53 Rn. 11; Streinz/Michel in: Streinz (o. Fn. 48), Art. 51 GR-Charta Rn. 9; Lindner, EuZW 2007, 71 (73); krit. Kingreen in: Calliess/Ruffert (o. Fn. 50), Art. 51 EUGRCh Rn. 12.
[53] Zum Fehlen einer Rechtsgrundlage sogleich unter C.II.4.
[54] Im Fall der Entscheidung des OVG Schleswig war das Apothekenrechenzentrum Auftragsdatenverarbeiter im Sinne des § 11 BDSG, OVG Schleswig, ZD 2014, 536.
[55] Ausführlich, auch zu Grundrechten Dritter und (potentiell) Betroffener Born (o. Fn. 1), S. 307 ff., 325 ff.
[56] Born (o. Fn. 1), S. 308 f.
[57] Ruffert, in: Calliess/Ruffert (o. Fn. 50), Art. 16 Rn. 1.
[58] EuGH, Urteil vom 09.11.2010, Rs. C-92, 93/09, Slg. 2010, I-11063, Rn. 53
[59] BGH, NJW 1986, 2505 (2506); dazu im Einzelnen Gola/Schomerus (o. Fn. 6), § 3 Rn. 11a.
[60] Siehe schon BVerwG NJW 1991, 1770 (1771); ausführlich, auch zur Eingriffsdogmatik im Anwendungsbereich der EUGRCh und des GG Born (o. Fn. 1), S. 311 ff., 329 ff.
[61] VGH Mannheim, GewArch 2013, 158 (158) m. Anm. Hüpers; VGH Mannheim, NVwZ 2011, 443 (444); VG Schleswig, ZD 2014, 102 (104); SG München, Beschluss vom 27.01.2010 – S 29 P 24/10 ER, BeckRS 2010, 66140.
[62] Von einer Anprangerung sprechend Weichert, RDV 2005, 1 (2); VGH Mannheim, GewArch 2013, 158 (158) m. Anm. Hüpers; BayVGH, LMRR 2013, 18 (18); BayVGH, DVBl 2012, 383 (386); OVG Lüneburg, NJW 2013, 1252 (1253); VG Berlin, LMRR 2012, 77 (77).
[63] VGH Mannheim, GewArch 2013, 158 (158) m. Anm. Hüpers; VGH Mannheim, NVwZ 2011, 443 (444), mit Verweis auf Käß, WiVerw 2002, 197 (208); Hochhuth, NVwZ 2003, 30 (31); Schoch, NJW 2012, 2844 (2845); vgl. auch OVG Münster, NVwZ 2012, 767 (768).
[64] OVG Münster, NVwZ-RR 2013, 627 (627); Becker/Blackstein, NJW 2011, 490 (493)
[65] So zum Informationshandeln des BfDI VG Köln, MMR 1999, 741 (743); vgl. auch VG Schleswig, ZD 2014, 102 (103); Ossenbühl, NVwZ 2011, 1357 (1358).
[66] Ossenbühl, NVwZ 2011, 1357 (1358); dazu auch VG Berlin, LMRR 2012, 77 (77).
[67] Weichert, RDV 2005, 1 (2).
[68] Born (o. Fn. 1), S. 321, 337 f.
[69] Becker/Blackstein, NJW 2011, 490 (493); Kügel/Plaßmann, LMuR 2012, 1 (6).
[70] Zu Recht kritisch hinsichtlich der Veröffentlichung von Verwaltungsakten im Produktsicherheitsrecht daher Klindt, in: Klindt, GPSG, 2007, § 8 Rn. 140.
[71] BVerfGE 105, 252 (272); VG Düsseldorf, PharmR 2012, 521 (522).
[72] VGH Mannheim, NVwZ 1989, 279 (280).
[73] Born (o. Fn. 1), S. 207 ff.
[74] Schleswig, ZD 2014, 102 (102).
[75] Z.B. § 27 Abs. 1 Satz 3 DSG NRW; § 22 Abs. 4a Satz 3 DSG LSA; ähnlich die Verpflichtung in § 24 Abs. 8 LDSG RP zur Information der Bürgerinnen und Bürger zu Fragen des Datenschutzes und ihrer Rechte (vgl. § 6 Abs. 1 LDSG RP); für den BfDI § 26 Abs. 1 Satz 2 BDSG.
[76] VG Schleswig, ZD 2014, 102 (102); Born (o. Fn. 1), S. 346 f.; vgl. auch VGH Kassel, NVwZ 1995, 611 (612).
[77] So auch VG Schleswig, ZD 2014, 102 (102); Born (o. Fn. 1), S. 342.
[78] Zur Einordnung als Minus zu einem Verbot Huber, JZ 2003, 290 (296); Käß, WiVerw 2002, 197 (206).
[79] Schucht, in: Klindt, Produktsicherheitsgesetz, 2. Auflage 2015, § 26 Rn. 10, zu § 26 Abs. 2 Nr. 9 Hs. 2 ProdSG; von Lewinski, RDV 2001, 275 (280).
[80] Born (o. Fn. 1), S. 348.
[81] Anders § 7 Abs. 2 Satz 1 BSIG, wobei sich der Gesetzgeber auch hier der Grundrechtsrelevanz bewusst war und für den Fall, dass sich eine Information als falsch herausstellt, das BSI dazu verpflichtet hat, dies unverzüglich öffentlich bekannt zu machen (§ 7 Abs. 2 Satz 2 BSIG).
[82] Rachor, in: Lisken/Denninger, Handbuch des Polizeirechts, 5. Auflage 2012, E Rn. 723.
[83] Zur Wesentlichkeitsdoktrin BVerfGE 47, 46 (79 f.); zur Normenklarheit BVerfGE 113, 348 (375); BVerfGE 110, 33 (52 ff.).
[84] BVerfGE 65, 1 (46); Born (o. Fn. 1), S. 352 f
[85] LG Göttingen, NVwZ 1992, 98 (100); LG Stuttgart, NJW 1989, 2257 (2258); Leidinger, DÖV 1993, 925 (931) m.w.N.; Lübbe-Wolff, NJW 1987, 2705 (2712).
[86] BVerwGE 115, 189 (194).
[87] Born (o. Fn. 1), S. 207 ff., 355
[88] Born (o. Fn. 1), S. 357.
[89] Philipp, Staatliche Verbraucherinformationen im Umwelt- und Gesundheitsrecht, 1989, S. 210 ff.; Gröschner, DVBl 1990, 619 (623); Lübbe-Wolff, NJW 1987, 2705 (2702).
[90] Born (o. Fn. 1), S. 207 ff., 355.
[91] BVerfGE 105, 252; BVerfGE 105, 279; BVerfG NJW 1989, 3269 (3270); BVerwG, NJW 1989, 2272 (2273 f.); BVerwG, NJW 1991, 1770 ff.
[92] VG Schleswig, ZD 2014, 102 (103); das OVG Schleswig diskutierte diese Frage erst gar nicht mehr.
[93] VG Köln, MMR 1999, 741 (741 f.).
[94] BVerfGE 105, 279 (301); BVerfGE 105, 252 (268); ähnlich auch schon BVerwG, NJW 1991, 1770 (1771); diese Rechtsprechung wird vom EGMR gebilligt: EGMR, NVwZ 2010, 177.
[95] BVerfGE 105, 252 (268); Born (o. Fn. 1), S. 357.
[96] BVerfGE 105, 252 (275); vgl. auch BVerwGE 87, 37 (46 f.); Schnall, in: Streinz, Lebensmittelrechts-Handbuch, 35. EL 2014, Kapitel III. D. 2. Rn. 202; Born (o. Fn. 1), S. 333 f.
[97] Born (o. Fn. 1), S. 334; siehe schon BVerwGE 90, 112 (123) und VGH Kassel, NVwZ 1995, 611 (612); aus jüngerer Zeit VG Frankfurt a. M.: Beschluss vom 21.07.2011 – 8 L 1521/11.F, 8 L 1521/11, BeckRS 2011, 52692; im Ergebnis auch Käß, WiVerw 2002, 197 (206); Ossenbühl, NVwZ 2011, 1357 (1360); wohl ebenfalls mit Zweifeln der BayVGH, DVBl 2012, 383 (386); a.A.: VGH Mannheim, NJW 2013, 2614 (2615 f.); OVG Bremen, NJW 2010, 3738 (3738); OVG Münster, NWVBl 2010, 355 (356).
[98] Statt vieler für die Kritik an dieser Rechtsprechung Huber, JZ 2003, 290 (292 ff.); für eine Rechtsgrundlage bei Handeln der Verwaltung Schnall, in: Streinz (o. Fn. 96), Kapitel II. D. 2. Rn. 215.
[99] Born (o. Fn. 1), S. 343; Bull/Mehde, Allgemeines Verwaltungsrecht, 8. Aufl. 2009, § 5 Rn. 191 ff.; Di Fabio, JuS 1997, 1, 5.
[100] Born (o. Fn. 1), S. 343; a.A.: VG Schleswig, ZD 2014, 102 (102 f.); Müller, S., RDV 2004, 211 (213), der für den Begriff des BfDI als „Anwalt des Bürgers“ auf Gola/Schomerus (o. Fn. 6), § 23 Rn. 5 verweist; siehe auch BVerfG, NJW 1989, 3269 (3270).
[101] Dazu BVerfGE 105, 279 (304 f.).
[102] VGH Kassel, NVwZ 1995, 611 (612); Gurlit, DVBl 2003, 1119 (1131); Huber, JZ 2003, 290 (295); Käß, WiVerw 2002, 197 (205 f.); Klement, DÖV 2005, 507 (511, 515); Schoch, AfP 2010, 313 (321) mit zahlreichen Beispielen.
[103] Die Verpflichtung, Tätigkeitsberichte zu veröffentlichen (Abs. 5), das Recht, Parlamente oder andere politische Institutionen zu befassen (Abs. 3), und völlige Unabhängigkeit des Datenschutzaufsichtsbehörden (Abs. 1 UAbs 2); grundlegend zur „völligen Unabhängigkeit“ EuGH, ZD 2012, 563 ff.; zur Rechtsprechung des EuGH zur „völligen Unabhängigkeit“ und der Umsetzung der Vorgaben im BDSG und im Landesrecht ausführlich Born (o. Fn. 1), S. 20 ff.
[104] So Ehmann, CR 1999, 560 (561).
[105]Born (o. Fn. 1), S. 363 f.; siehe auch von Lewinski, RDV 2001, 275 (280).
[106] EuGH, Urteil vom 26.09.1996, – C-168/95, Slg. 1996, I-4705, Rn. 35 ff.
[107] OVG Schleswig, ZD 2014, 536 (537 f.); VG Schleswig, ZD 2014, 102 (103).
[108] OVG Schleswig, ZD 2014, 536 (537, 539).
[109] OVG Schleswig, ZD 2014, 536 (538).
[110] OVG Schleswig, ZD 2014, 536 (538).
[111] BVerfGE 105, 252 (270); Schoch, in: Isensee/Kirchhof (o. Fn. 24), § 37 Rn. 164.
[112] EuGH, Urteil vom 09.03.2010, Rs. C 518/07, Slg. 2010, I-1897, Rn. 22 f.
[113] OVG Schleswig, ZD 2014, 536 (538); a.A.: VG Schleswig, ZD 2014, 102 (103).
[114] Näher zur örtlichen Zuständigkeit Born (o. Fn. 1), S. 152 ff.
[115] Offen gelassen vom OVG Schleswig, ZD 2014, 536 (536 f.)
[116] Ausführlich Born (o. Fn. 1), S. 358 ff.
[117] BVerfGE 38, 105 (111); BVerfGE 83, 182 (194)
[118] Zum Recht auf ein faires Verfahren BVerwG, NVwZ 1987, 886 (887); BVerwGE 75, 214 (230); Schmitz, in: Stelkens/Bonk/Sachs, VwVfG, 8. Auflage 2014, § 9 Rn. 60; Shirvani, Das Kooperationsprinzip im deutschen und europäischen Umweltrecht, 2005, S. 255; zur Unschuldsvermutung BVerfG, NJW 1992, 2472 (2473).
[119] Wache, in: Senge, Karlsruher Kommentar zum OWiG, 4. Auflage 2014, Vorbemerkungen zu §§ 53 ff. Rn. 66; Eser, in: Meyer (o. Fn. 42), Art. 48 Rn. 11; zur Anwendung von Art. 48 EUGRCh auf Bußgeldverfahren auch EuG, Urteil vom 12.10.2007, Rs. T-474/04, Slg. 2007, II-4225, Rn. 76.
[120] Ebenso für die Veröffentlichung von Kontrollergebnissen im Lebensmittelrecht Kügel/Plaßmann, LMuR 2012, 1 (6).
[121] OVG Schleswig, ZD 2014, 536 (537).
[122] BVerwGE 79, 254 (257); OVG Münster, NVwZ-RR 2000, 599 (600)
[123] BVerwG, NVwZ 2010, 186 (187); ebenso OVG Münster, NVwZ 2012, 767 (769); siehe aber BVerwGE 38, 336 (346); Papesch, Staatliche Informationstätigkeit im System des öffentlichen Rechts, 2000, S. 147 f.; ausführlich Born (o. Fn. 1), S. 390 ff
[124] Diese sind sehr unterschiedlich ausgestaltet – so greift § 30 Abs. 1 LDSG SH nur bei der Verarbeitung personenbezogener Daten in automatisierten Verfahren – und können ohnehin nur eingreifen, soweit man in der Information einen Datenschutzverstoß sieht; ausführlich Born (o. Fn. 1), S. 392 ff.
[125] Grundlegend EuGH, Urteil vom 19.11.1991, Rs C-6/90 u. 9/90 (Francovich) Slg. 1991, I-5357 Rn. 33 ff. und EuGH, Urteil vom 05.03.1996, verb. Rs. C-46/93 und C-48/93 (Brasserie du Pêcheur und Factortame), Slg.1996, I-1029, Rn. 19; EuGH, Urteil vom 04.07.2000, Rs. C-424/97, Slg. 2000, I-5123 Rn. 26 f.; BGH, Urteil vom 02.12.2004 – III ZR 358/03, BGHZ 161, 224 (233).
[126] Born (o. Fn. 1), S. 394 f., 398.
[127] Born (o. Fn. 1), S. 395; vgl. LG Bonn, NJW-RR 2000, 1144 (1146 f.).