VG Schleswig: DSGVO erfordert keine öffentliche Stellenausschreibung für das Amt des Landesdatenschutzbeauftragten

Das VG Schleswig hat im Verfahren des einstweiligen Rechtschutzes entschieden (Beschl. v. 19.08.2020 – 12 B 36/20), dass die Wiederwahl der Landesbeauftragten in Schleswig-Holstein mit der DSGVO vereinbar war.

Sachverhalt

Der Antragsteller, ein Volljurist und seit 2016 bei der Landesbeauftragten für den Datenschutz und die Informationsfreiheit Nordrhein-Westfalen tätig, bewarb sich am 7.6.2020 für das Amt des Landesbeauftragten für Datenschutz. Zuvor (am 4.6.2020) beantragten die Fraktionen im Landtag die bisherige Landesbeauftragte wiederzuwählen.

Der Antragsteller begründete sein Vorbringen u.a. damit, dass die beabsichtigte Ernennung gegen Art. 53 DSGVO verstoße, da die Besetzung der Leitungsposition nicht „im Wege eines transparenten Verfahrens“ erfolge. Nach Art. 53 Abs. 1 DSGVO sehen die Mitgliedstaaten vor, dass jedes Mitglied ihrer Aufsichtsbehörden im Wege eines transparenten Verfahrens ernannt wird.

Entscheidung

Direkt vorab: die Wiederwahl von Frau Hansen zur Landesbeauftragten halte ich im Ergebnis für gut, denn Frau Hansen ist eine sehr kompetente und geschätzte Landesbeauftragte.

Kritisieren möchte ich daher hier auch nicht diese spezielle Wiederwahl, sondern die Begründung und Ansicht des Verwaltungsgerichts zur Auslegung von Art. 53 DSGVO.

Das Verwaltungsgericht begründet seine Ablehnung des Antrags damit, dass das in § 5 Abs. 1 S. 1 ULDErrG SH geregelte Wahlverfahren nicht gegen das Transparenzgebot verstoße.

Einer öffentlichen Ausschreibung des Postens des Landesdatenschutzbeauftragten bedarf es – anders als bei der Ernennung des Europäischen Datenschutzbeauftragten (Art. 42 Abs. 1 der Verordnung (EG) Nr. 45/20019 – nicht“.

Das ist die gesamte Begründung des Gerichts zu seiner Ansicht. Mehr nicht. Das Gericht verweist, zur Untermauerung dieser Ansicht, noch auf zwei Literaturansichten (Boehm, in: Kühling/Buchner, DSGVO, BDSG, 2. Aufl., Art. 53 DSGVO Rn. 6; Ziebarth, in: Sydow, Europäische Datenschutzgrundverordnung, 2. Aufl., Art. 53 Rn. 8).

Das Gericht lässt hierbei aber völlig die gegenteiligen Ansichten außer Betracht. Vgl. etwa:

-          Selmayr, in: Ehmann/Selmayr, Datenschutz-Grundverordnung, 2. Aufl. 2018, Art. 53 Rn. 5.

-          Polenz, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2019, Art. 53 Rn. 4.

-          Tendenziell wohl auch Römer, in Schwartmann/Jaspers/Thüsing/Kugelmann, DSGVO/BDSG, 2. Aufl. 2020, Art. 53 Rn. 19.

Zudem ist meines Erachtens auch der Verweis auf die Ansicht von Prof. Boehm zum Beleg, dass eine Ausschreibung nicht erfolgen muss, nicht richtig. Prof. Boehm legt nur dar, dass diese Ausschreibung in Deutschland nicht vorgesehen ist, was aber nicht bedeutet, dass dies nach der DSGVO nicht erforderlich wäre. Im Gegenteil verlangt Prof. Boehm für das Verfahren, dass dieses für die Bürger überprüfbar und nachvollziehbar erfolgen muss.

Nach Ansicht des Verwaltungsgerichts war öffentlich bekannt, wen die Fraktionen des schleswig-holsteinischen Landtags für das Amt vorschlugen. Zudem geht das Gericht davon aus, dass es einer öffentlichen Debatte über mögliche Kandidaten nicht bedurfte.

Die Ansicht des Verwaltungsgerichts zur Anwendung von Art. 53 Abs. 1 DSGVO halte ich für mindestens diskutabel und im Ergebnis dem Datenschutzrecht wenig zuträglich. Denn ich möchte vermuten, dass eine öffentliche Kenntnis von Anträgen in Landesparlamenten nicht unbedingt so an die Öffentlichkeit gelangen, wie eine öffentliche Ausschreibung mit einer Bewerbungsfrist. Ich persönlich sehe keinen Grund, warum man eine öffentliche Ausschreibung und ein Bewerbungsverfahren nicht durchführen sollte. Je weniger die Öffentlichkeit an diesem Prozess beteiligt ist, desto eher kann bei externen Beobachtern der Eindruck entstehen, dass man sich vorab intern auf einen Kandidaten geeinigt hat, der für die Position „passt“.

Zudem eine Anmerkung zu dem Verweis auf die Verordnung (EG) 45/2001. Diese ist überhaupt nicht mehr anwendbar. Und zwar seit dem 11.12.2018 (!). Denn es gibt eine Nachfolgeverordnung (Verordnung (EU) 2018/1725), in der die Aufhebung der alten Verordnung in Art. 99 VO 2018/1725 angeordnet wird. Das Verwaltungsgericht stützt seine Ansicht mithin u.a. auf eine nicht mehr anwendbare Verordnung. Freilich muss beachtet werden, dass in Art. 53 Abs. 1 VO 2018/1725 eine entsprechende Regelung für eine öffentliche Ausschreibung für das Amts des Europäischen Datenschutzbeauftragten geschaffen wurde.

Meines Erachtens muss aber nicht aus dieser Regelung geschlossen werden, dass im Rahmen der DSGVO das geforderte „transparente Verfahren“ gerade keine Ausschreibung verlangt. Der Unterschied beider Verordnungen liegt u.a. darin, dass sich VO 2018/1725 nicht an verschiedene Staaten mit unterschiedlichen nationalen Regelungen im Bereich des Beamten- oder Verwaltungsrechts richtet. VO 2018/1725 bezieht sich allein auf die EU-Ebene und die Regelung zur Ausschreibung konnte (bzw. musste sogar) in der VO 2018/1725 erfolgen.

Dass die Anforderungen an das transparente Verfahren wohl auch in Deutschland unterschiedlich interpretiert werden, zeigt beispielhaft die letzte öffentliche Stellenausschreibung für das Amt des Landesbeauftragten in Sachsen-Anhalt.

Die Auslegung und Anwendung von Art. 53 DSGVO ist aus meiner Sicht auf jeden Fall ein spannendes Thema, zu dem sicher noch diskutiert werden kann.

Verwaltungsgericht Schleswig: Interne Übertragung der Aufgabe zur Erstellung eines Verarbeitungsverzeichnisses ist zulässig

Das Verwaltungsgericht (VG) Schleswig hat am 31.3.2020 entschieden (Beschl. v. 31.03.202012 B 79/19), dass die Übertagung der von einer öffentlichen Stelle nach der DSGVO zu erfüllenden konkreten Aufgaben im Rahmen der Behördenorganisation zulässig ist.

(Ja, mir ist bekannt, dass es unter der DSGVO nicht mehr „Verarbeitungsverzeichnis“ heißt; wenn ich aber stattdessen „Verzeichnis der Verarbeitungstätigkeiten“ in die Überschrift aufnehme, wird diese zu lang)

Sachverhalt

In dem Verfahren im Rahmen des vorläufigen Rechtsschutzes (Antrag auf Erlass einer einstweiligen Anordnung) ging ein Justizamtmann gegen die dienstliche Weisung an ihn vor, an einem Arbeitskreis zur DSGVO, der bei der Generalstaatsanwaltschaft eingerichtet wurde, teilzunehmen und die Erstellung und Führung des Verarbeitungsverzeichnisses gem. Art. 30 DSGVO zu übernehmen. Zuvor war der Antragsteller gegenüber dem Generalstaatsanwalt als „Datenschutzverantwortlicher“ benannt worden.

Der Antragsteller ging davon aus, dass diese Weisung rechtswidrig sei, weil eine Tätigkeit als „Datenschutzverantwortlicher“ mit seiner Tätigkeit als Personalratsmitglied und als ständiger Vertreter der Personalratsvorsitzenden nicht vereinbar sei. Zudem dürfte eine vollständige Übertragung der Verantwortlichkeit i.S.d. DSGVO nicht möglich sein.

Entscheidung

Das VG lehnte den Antrag als unbegründet ab.

Zunächst stellte das VG zurecht ein paar datenschutzrechtliche Begrifflichkeiten klar.

Die anfängliche Formulierung der Antragsgegnerin, nach der dem Antragsteller die Position als „Datenschutzverantwortlicher“ (vollumfänglich) übertragen werden sollte, dürfte schon aufgrund der Unbestimmtheit nicht zulässig sein.

Sodann führt das VG zu den rechtlichen Möglichkeiten der Übertragung von Pflichten nach der DSGVO aus.

Außerdem dürfte eine vollständige Übertragung der Verantwortlichkeit i.S.d. DSGVO nicht möglich sein, wie der Personalrat mit seinem Schreiben vom 19. Dezember 2019 zutreffend ausführte.

Nach zutreffender Ansicht des VG ist „Datenschutzverantwortlicher“ (nicht gemeint war hier der Datenschutzbeauftragte) nach Art. 4 Nr. 7 DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Die Letztverantwortung muss damit bei Behörde selbst als juristischer Person bleiben und kann nicht etwa zur Gänze wie die Position des Datenschutzbeauftragten i.S.v. Art. 37 DSGVO einem Beamten übertragen werden.

Jedoch konkretisierte die Antragsgegnerin die dem Antragsteller übertragenen Aufgaben nachträglich dahingehend, dass mit den übertragenen Aufgaben

  • die Teilnahme an einem Arbeitskreis bei der Generalstaatsanwaltschaft und
  • die Erstellung und Führung des Verarbeitungsverzeichnisses gem. Art. 30 DSGVO gemeint seien.

Die Antragsgegnerin bezog sich hierbei anscheinend auch auf einen Beschluss der DSK, in dem die Empfehlung ausgesprochen wurde, „durch eine allgemeine Aufbauorganisation sicherzustellen, dass im Innenverhältnis die Anwendung des Datenschutzrechts in der Behörde organisiert und gewährleistet wird“.

Aus Sicht des VG bleibt daher die Antragsgegnerin (also die öffentliche Stelle) die eigentliche Verantwortliche, da sie die Verfügungsgewalt über die erhobenen Daten besitzt.

Die Übertagung der von der Antragsgegnerin nach der DSGVO zu erfüllenden konkreten Aufgaben im Rahmen der Behördenorganisation ist dagegen zulässig.

Gerade diese letzte Einschätzung des VG ist meines Erachtens auch für den privatwirtschaftlichen Bereich relevant. Es ist innerbetrieblich möglich (und rein faktisch oft anders gar nicht handhabbar), dass die Aufgabenerfüllung von der Führungsebene nach unten delegiert und bestimmten Personen übertragen wird. Wichtig zu beachten ist, dass nicht die gesetzliche Pflicht an sich übertragen werden kann, sondern nur die Aufgabe, bei der Erfüllung dieser Pflicht zu unterstützen.

Fazit

Die Entscheidung des VG ist meines Erachtens richtig und spiegelt auch die tatsächlichen Gegebenheiten in der Praxis wider, wenn man DSGVO-Anforderungen in größeren Einheiten umsetzen möchte. Dies erfordert eine arbeitsteilige Erledigung der verschiedenen Aufgaben. Intern kann eine solche Aufgabe dann im Rahmen des Weisungsrechts auch an Angestellte übertragen werden. Datenschutzrechtlich verpflichtet bleibt aber allein der Verantwortliche (oder Auftragsverarbeiter).

Verwaltungsgericht Mainz: Betroffene haben keinen Anspruch auf die Vornahme bestimmter aufsichtsbehördlicher Maßnahmen

Kann eine betroffene Person, wen sie sich bei einer Datenschutzbehörde beschwert hat, von dieser Datenschutzbehörde die Vornahme einer ganz bestimmten aufsichtsbehördlichen Maßnahme verlangen und dies auch einklagen? Um diese Frage ging u.a. in einem Fall, den das Verwaltungsgericht Main (VG) entschieden hat (Beschluss vom 29.08.2019 – 1 L 605/19.MZ).

Sachverhalt

In dem Verfahren im Rahmen des einstweiligen Rechtsschutzes (§ 123 Abs. 1 VwGO) hat die Antragstellerin vorgetragen, sie führe einen Rechtsstreit mit ihrem früheren Anwalt, der sie gegen die B. GmbH vertreten habe. Der Anwalt sei später als Zeuge von der B. GmbH angeboten worden, was ihrer Ansicht nach dafür spreche, dass er einen Geheimnisverrat begangen habe. Um dies feststellen zu können, benötige sie nunmehr die Auskunft von der B. GmbH.

Hierzu hatte die Antragstellerin offensichtlich einen Auskunftsanspruch nach Art. 15 DSGVO gegenüber der B. GmbH geltend gemacht. Dieser scheint nicht erfüllt worden zu sein, worauf hin sich die Antragstellerin bei dem Landesbeauftragten für Datenschutz in Rheinland-Pfalz (LfDI) beschwerte. Der LfDI hat das Beschwerdeverfahren durch einen rechtsverbindlichen Beschluss, der auch mit einer Rechtsbehelfsbelehrung versehen war, abgeschlossen.

Die Antragstellerin begehrte nun vom LfDI, dass er das gegen die B. GmbH gerichtete Beschwerdeverfahren nach Art. 77 Abs. 1 DSGVO wieder aufnimmt und fortsetzt.

Entscheidung

Das VG lehnt die begehrte einstweilige Anordnung gegenüber dem LfDI ab. Die Antragstellerin habe einen Anordnungsgrund nicht glaubhaft gemacht. Es könne damit offenbleiben, ob ein Anordnungsanspruch bestehe.

Der Antrag der Antragstellerin ist quasi auf eine Fortsetzung des Beschwerdeverfahrens gerichtet. Nach Art. 77 Abs. 1 DSVGO hat jede betroffene Person das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt.

Da hier die Fortsetzung des Verfahrens Antragsziel ist, könnte die besondere Form der Untätigkeitsklage nach Art. 78 Abs. 2 DSGVO statthaft sein. Danach hat jede betroffene Person das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn die zuständige Aufsichtsbehörde sich nicht mit einer Beschwerde befasst oder die betroffene Person nicht innerhalb von drei Monaten über den Stand oder das Ergebnis der erhobenen Beschwerde in Kenntnis gesetzt hat.

Jedoch verweist das VG in seiner Begründung zurecht darauf, dass der LfDI als Aufsichtsbehörde hier das Verfahren bereits durch einen rechtsverbindlichen Beschluss abgeschlossen hat.

Gegen diesen Verwaltungsakt als Abschlussverfügung des LfDI kann die betroffene Person grundsätzlich nach Art. 78 Abs. 1 DSGVO vorgehen. Jedoch ist der Antrag hier gerade nicht nur auf die Aufhebung eines Verwaltungsakts bzw. die Anfechtung eines rechtsverbindlichen Beschlusses der Aufsichtsbehörde gerichtet, sondern zumindest auch auf ein Tätigwerden des LfDI.

Grundsätzlich relevant ist die Ansicht des VG, dass Art. 78 Abs. 1 DSGVO nicht nur auf Anfechtungsklagen gegen die rechtsverbindlichen Beschlüsse der Aufsichtsbehörde beschränkt ist, sondern darüber hinaus

auch Verpflichtungs- und Leistungsklagen zur Gewährung eines effektiven Rechtsschutzes für die betroffene Person

umfasst.

Danach geht das VG noch auf die Frage ein, was konkret die Antragstellerin überhaupt von dem LfDI verlangen könnte.

In diesem Zusammenhang verweist das VG auf die durchaus (auch schon gerichtlich) divers diskutierte Frage nach dem Umfang der – gerichtlich gegebenenfalls durchsetzbaren – Pflichten der Auskunftsbehörde.

Zum einen wird die Auffassung vertreten, dass von der Aufsichtsbehörde gemäß Art. 77 Abs. 1 DSGVO und Art. 57 Abs. 1 lit. f) DSGVO nur eine Bearbeitung der Beschwerde bzw. eine zeitnahe Unterrichtung über den Stand und das Ergebnis der Untersuchungen verlangt werden kann.

Andererseits gibt es aber auch die Rechtsmeinung, dass die Aufsichtsbehörde zu konkreten Maßnahmen verpflichtet werden kann.

Nach Ansicht des VG (nach der im Eilverfahren gebotenen summarischen Prüfung) spricht einiges dafür,

dass der Aufsichtsbehörde ein (weiter) Ermessensspielraum zusteht, ob und welche Maßnahmen sie ergreift, um einen etwaigen Verstoß gegen die DSGVO festzustellen oder einen Auskunftsanspruch des Beschwerdeführers durchzusetzen.

Danach kann eine betroffene Person nur Ermessensfehler rügen, jedoch nicht in Form eines Anspruchs direkt nur eine bestimmte aufsichtsbehördliche Maßnahme fordern. Vorliegend begehrt die Antragstellerin aber nicht den Erlass einer ermessensfehlerfreien Entscheidung und etwa einen Anspruch auf behördliches Einschreiten des Antragsgegners gegen die B. GmbH, sondern sie hat nur eine Fortsetzung des Beschwerdeverfahrens beantragt.

Offen lässt das VG im Rahmen der Prüfung des Anordnungsanspruchs, welche Pflichten die nach Art. 77 Abs. 1 DSGVO angerufene und mit einer Beschwerde befasste Aufsichtsbehörde hat, ob ein (weiter) Ermessensspielraum besteht oder ob sie zum Erlass bestimmter Maßnahmen verpflichtet ist bzw. verpflichtet werden kann. Denn das Gericht lehnt den Antrag bereits wegen Fehlens eines Anordnungsgrundes (keine hinreichende Glaubhaftmachung, dass ihr ein Abwarten einer Entscheidung in der Hauptsache nicht zumutbar ist) ab.