[IITR – 26.1.16] Wie schnell muss eine Datenschutz-Aufsichtsbehörde auf die Beschwerden von Bürgern reagieren? Das Verwaltungsgericht Neustadt stellte jetzt fest (Az.: 4 K 867/15.NW), dass die Behörde „nicht an gesetzliche Fristen gebunden“ ist.
In diesem Fall hatte der Kläger die baden-württembergische Aufsichtsbehörde aufgefordert, die Kreissparkasse Südwestpfalz datenschutzrechtlich zu überprüfen. Unter anderem seien die Räumlichkeiten so angeordnet, dass Kundengespräche von anderen Kunden mitgehört werden könnten. Auch wüsste eine Bankmitarbeiterin, dass er Arbeitslosengeld II beziehe. Schon neun Tage nach Eingang der Beschwerde gab die Behörde eine erste datenschutzrechtliche Einschätzung. Nachdem auch die Sparkasse Stellungnahme bezogen hatte, wurde der Kläger rund fünf Monate später über den Sachstand informiert.
Nach einem weiteren Schriftwechsel verlangte der Kläger drei Monate später einen schriftlichen Bescheid und drohte eine Untätigkeitsklage an. Die Aufsichtsbehörde informierte daraufhin den Kläger darüber, dass eine weitere Nachfrage bei der Sparkasse notwendig sei. Wiederum drei Monate später ging dem Kläger eine endgültige Bewertung zu, wobei dieser wenige Tage zuvor eine Untätigkeitsklage nach § 75 Verwaltungsgerichtsordnung erhoben hatte. Darin trug er vor, dass die Behörde nicht innerhalb von drei Monaten über sein Begehren entschieden hatte. Er äußerte laut Urteilsbegründung die Befürchtung, dass die Aufsichtsbehörde der Sparkasse „weitere Fristen, womöglich bis zur Unendlichkeit“ gewähre.
Das Verwaltungsgericht urteilte, dass die Klage nach § 75 Verwaltungsgerichtsordnung unzulässig sei, weil der Kläger weder einen Widerspruch eingereicht hatte, noch einen Antrag auf Vornahme eines Verwaltungsakts gestellt hatte. Die Beschwerde des Bürgers komme einer Petition gleich. Darauf ergehende Bescheide seien keine Verwaltungsakte. Der Petent habe keinen Anspruch, die Prüfung der Petition einer gerichtlichen Kontrolle zu unterziehen. Überdies sei die Aufsichtsbehörde „nicht an gesetzliche Fristen gebunden“. Es komme auf die „konkreten Umstände des Einzelfalles an, innerhalb welcher Frist“ die Aufsichtsbehörde dem Petenten zu bescheiden hat. Die Behörde habe dem Anspruch des Klägers, so das Gericht sinngemäß, mehr als Genüge getan.
Das Urteil bezieht sich auf die baden-württembergische Aufsichtsbehörde, lässt sich aber auf alle Datenschutz-Aufsichtsbehörden beziehen: Bund und Länder haben keine Fristen gesetzlich festgelegt. Ein Bürger kann gleichwohl eine Bearbeitung innerhalb eines überschaubaren Zeitraums verlangen, doch der vorliegende Fall eignet sich kaum für eine Klärung seitens höherer Instanzen.
In der Praxis sind in vielen Datenschutz-Aufsichtsbehörden seit etwa zehn Jahren weit längere Bearbeitungszeiten bekannt. „Bearbeitungszeiten, die weit über ein Jahr reichen, sind nicht unüblich“, erklärt ein ehemaliger Behördenleiter. Die Gründe hierfür sind höchst unterschiedlich. So illustrierte der Hamburgische Datenschutzbeauftragte Johannes Caspar erst kürzlich in einem ersten öffentlichen Defizitbericht (PDF) zwei Fälle, in denen es zu enorm langen Bearbeitungszeiten kam: In einem Fall schildert er einen langwierigen Verhandlungsprozess mit einem Hamburger Versandhandelskonzern. Die Beschwerde wurde Mitte 2013 eingereicht, wobei die Verhandlungen über die Anforderungen und die Überprüfung der Umsetzung sich bis Anfang 2016 hinzogen.
In einem zweiten, „leider typischen“ Fall ignorierte der Betreiber eines Restaurants, der eine Videoüberwachung installiert hatte, den Fragebogen, den die Behörde ihm zugesandt hatte. Bevor das daraufhin eingeleitete Ordnungswidrigkeitsverfahren zum Erfolg kam, kam es zu einem Betreiberwechsel. Der neue Betreiber ignorierte ebenfalls die mehrfache Zusendung des Fragebogens. Eine Geldbuße konnte acht Monate nach Eingang der Beschwerde eingetrieben werden, doch der Betreiber erteilte weiterhin keine Auskunft. Ein Jahr nach Eingang der Beschwerde „meldete sich der Petent erneut und gratulierte ironisch zur bisherigen Erfolgslosigkeit“, schreibt Caspar in seinem Bericht.
Nach Verwaltungsschritten erteilte der Betreiber nach weiteren zwei Monaten eine lückenhafte Auskunft. Nachdem die Aufsicht Änderungen einforderte, reagierte der Betreiber wiederum nicht. „17 Monate nach Eingang der Eingabe konnten endlich aufsichtsbehördliche Maßnahmen ergriffen werden“, berichtet Caspar. Den Grund für die Verzögerung erklärt er mit „einer strategischen Zurückhaltung bei der Einleitung förmlicher Verfahren, weil diese zeitintensiv sind und dies vom Referat nicht geleistet werden kann.“ Wäre die Aufsichtsbehörden „angemessen“ personell ausgestattet, wären die notwendigen Schritte „sehr viel früher“ eingeleitet worden und „die Verzögerungstaktik der Beschuldigten hätte sich nicht ausgezahlt“.
Interessant hinsichtlich der Effizienz von Aufsichtsbehörden ist ein Urteil des Verwaltungsgerichts Wiesbaden, das dem hessischen Umweltministerium ein Zwangsgeld von jeweils 10.000 Euro androht, wenn die Luftreinhaltepläne für Wiesbaden und Darmstadt nicht effektiver werden. Den Prozess hatte die Deutsche Umwelthilfe angestrengt, das Urteil ist noch nicht rechtskräftig. Ein ähnliches Verfahren gegen eine Datenschutz-Aufsichtsbehörde hat es bislang nicht gegeben.
Eine Fristsetzung könnte einen Hebel darstellen, um eine bessere personelle Ausstattung der Datenschutzaufsicht auf politischer Ebene einzufordern. Aber auch mit der europäischen Datenschutzreform ändert sich nichts grundsätzlich: Auch die Datenschutz-Grundverordnung sieht keine Fristen zur Beantwortung von Fällen vor, wobei grundsätzlich eine nationale Regelung möglich wäre. Verschieden lange Fristen gibt es jedoch für das One-Stop-Shop-Verfahren, in dem sich die verschiedenen zuständigen Aufsichtsbehörden über ein gemeinsames Vorgehen einigen müssen.
Autorin:
Christiane Schulzki-Haddouti
Kontakt:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Telefon: 089-1891 7360
E-Mail-Kontaktformular
E-Mail: email@iitr.de
Information bei neuen Entwicklungen im Datenschutz
Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.