Üblicherweise beschäftigen sich unsere Beiträge eher mit Fragen, wie sich Verantwortliche vor Sanktionen der zuständigen Datenschutzaufsicht schützen können. Doch wie wäre es einmal mit einem Perspektivenwechsel: Stellen Sie sich vor, Sie sind persönlich von einem Verstoß gegen den Datenschutz betroffen und beschweren sich bei der zuständigen Aufsichtsbehörde. Entgegen Ihren Erwartungen verhängt die Datenschutzaufsicht nun kein Bußgeld gegen den „Übeltäter“ und Sie fragen sich: Haben Sie einen Rechtsanspruch, dass die Aufsicht aktiv wird?
Das Verwaltungsgericht Ansbach hält es prinzipiell für möglich (Urteil vom 16.3.2020 – AN 14 K 19.00464, hier abrufbar). Dazu stellt es folgende Überlegungen an:
- Die Datenschutz-Grundverordnung (DSGVO) gewährt der Aufsichtsbehörde zahlreiche Befugnisse. Dazu zählt auch die Befugnis, ein Bußgeld zu verhängen.
- Ob sie von diesen Befugnissen Gebrauch macht und in welchem Umfang, steht im Ermessen der Aufsichtsbehörde. Art. 58 DSGVO spricht insoweit von Befugnissen, die es der Aufsichtsbehörde „gestatten“, die dort genannten Maßnahmen zu ergreifen. Dieser Begriff sei so zu verstehen, dass die Maßnahmen im Ermessen der Aufsichtsbehörde stehen.
Kann das Ermessen der Aufsichtsbehörde auch auf „Null“ sinken?
Grundsätzlich sind bei behördlichen Entscheidungen Fälle denkbar, in denen die einzig angemessene Reaktion darin besteht, eine konkrete Maßnahme zu ergreifen, also z.B. ein Bußgeld zu verhängen. Dazu wäre erforderlich, dass bei objektiver rechtlicher Betrachtung nur eine ganz bestimmte Maßnahme der Aufsichtsbehörde tauglich ist, im konkreten Fall rechtmäßige Zustände herbeizuführen. Dann wäre die Aufsichtsbehörde verpflichtet, genau diese (eine) Maßnahme zu ergreifen. Das ist regelmäßig nur in Extremfällen vorstellbar. Der Beschwerdeführer bzw. Kläger hat jedoch einen Anspruch darauf, dass das Gericht prüft, ob ein solcher Sonderfall vorliegt.
Dies überrascht nicht und gilt auch dann, wenn die Aufsichtsbehörde nicht tätig wird, obwohl sie eigentlich etwas tun müsste.
Manche Juristen halten es für denkbar, dass der Betroffene Einfluss darauf haben kann, von welcher der Befugnisse die Aufsichtsbehörde im konkreten Fall Gebrauch macht. Andere vertreten die Auffassung, dass diese Auswahl zwischen den verschiedenen Möglichkeiten immer ausschließlich der Aufsichtsbehörde vorbehalten bleibt. Allerdings wird nur ganz selten gerade die Verhängung eines Bußgelds die einzige denkbare rechtmäßige Maßnahme sein.
Fazit
Die DSGVO gibt den Aufsichtsbehörden in Art. 58 zahlreiche Befugnisse. Nach Art. 52 Abs. 1 DSGVO sind sie bei deren Ausübung völlig unabhängig. Doch diese Unabhängigkeit hat Grenzen. Die entscheidende Grenze besteht darin, dass die Aufsichtsbehörde gewissermaßen einer gerichtlichen Überwachung unterliegt, ob das Ermessen im konkreten Fall korrekt ausgeübt wurde.