Verwaltungsgericht: Keine Ermächtigung für Datenschutzbehörde zur zwangsweisen (Ab-)Berufung eines Datenschutzbeauftragten?

Das Verwaltungsgericht Köln hat im Verfahren des einstweiligen Rechtsschutzes eine interessante Entscheidung getroffen (Az. 13 L 1707/21). Geklagt (und parallel im Wege des einstweiligen Rechtsschutzes die aufschiebende Wirkung betragt) hat eine Behörde gegen einen Bescheid des Bundesdatenschutzbeauftragten (BfDI). In diesem sollte die Behörde dazu verpflichtet werden, entweder einen Datenschutzbeauftragten (DSB) zu benennen oder den aktuellen abzuberufen; das wird aus der Begründung leicht nicht ganz klar.

Interessant ist die Begründung des Verwaltungsgerichts zu der Frage, ob denn die Datenschutzbehörde überhaupt eine Ermächtigungsgrundlage nach der DSGVO besitzt, um Verantwortliche oder Auftragsverarbeiter anzuweisen, einen DSB zu benennen oder einen bereits benannten abzuberufen (z.B. wegen mangelnder Qualifikation oder Interessenkonflikten).

Das Verwaltungsgericht führt zu dieser Frage aus:

Weiter maßgeblich zu berücksichtigen ist in diesem Zusammenhang, dass nach der im vorliegenden Eilverfahren allein möglichen und gebotenen summarischen Prüfung voraussichtlich die tatbestandlichen Voraussetzungen der vom Antragsgegner herangezogene Ermächtigungsgrundlage des Art. 58 Abs. 2 lit. d) DSGVO ohnehin nicht gegeben sind“.

In der Tat verlangt Abs. 2 lit. d) für die Anweisung durch den BfDI, dass „Verarbeitungsvorgänge“ vorliegen, die nach Ansicht der Aufsichtsbehörde auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen sind.

Die Tätigkeit des DSB und auch seine (Ab-)Berufung stellt jedoch nach Ansicht des Verwaltungsgerichts keinen solchen tatbestandlichen Verarbeitungsvorgang dar.

Das Verwaltungsgericht dazu: „Dass die (Ab-)Berufung eines behördlichen Datenschutzbeauftragten hierunter fallen könnte, ist nicht ersichtlich.“

Und es gibt in Art. 58 Abs. 2 DSGVO auch keine andere Ermächtigung, die speziell die Benennung des DSB adressieren würde. Man könnte nun spitzfindig überlegen, dass etwa die Benennung eines DSB schon eine Verarbeitung darstellt und diese Verarbeitung nur zulässig sein kann, wenn etwa der DSB auch qualifiziert und geeignet ist. Es würde dann um die personenbezogenen Daten dieses DSB gehen, etwa um zu dokumentieren, dass Herr / Frau XYZ zum DSB benannt wurde. Die Verarbeitung könnte dann die Aufsichtsbehörde eventuell angreifen oder eine solche Verarbeitung in Einklang mit der DSGVO verlangen. Jedoch dürfte dies ggfs. nicht ausreichen, da in Bezug auf die Daten des DSB wohl nur die Frage zu beantworten ist, ob diese Verarbeitung (Verwendung des Namens des DSB) zulässig war? Im Zweifel wird die Verarbeitung zulässig gewesen sein, um eine gesetzliche Pflicht (Art. 37 DSGVO) zu erfüllen. Eventuell mag man aber auch (ein wenig von hinten durch die Brust) den Schluss ziehen, dass wenn die Benennung (oder fehlende Benennung) nicht zulässig im Sinne des Art. 37 DSGVO war, dann dürfte auch die Verarbeitung der Daten des DSB unzulässig sein.

Mal sehen, wie die Sache im Hauptverfahren ausgeht.

Update vom 13.12.2021: der Bescheid erging nicht durch die LDI, sondern den BfDI.