Fachanwalt für Urheber- und Medienrecht und Spezialist für Arbeitsrecht, Zertifizierter Datenschutzbeauftragter (TÜV)
T (+49) 040 / 7344 086-0
Rechtsanwältin & Expertin für IT-Recht und Datenschutz
T (+49) 040 / 7344 086-0
Rechtsanwältin, Fachanwältin für Informationstechnologierecht & Zertifizierte Datenschutzbeauftragte (TÜV)
T (+49) 040 / 7344 086-0
Blog News
Was passiert, wenn Sie eine Beschwerde bei der Datenschutzbehörde einreichen und diese zu dem Ergebnis kommt, dass sich kein Datenschutzverstoß nachweisen lässt? Müssen die Aufsichtsbehörden dann endlos weiter ermitteln oder haben Betroffene sogar einen Anspruch auf bestimmte Maßnahmen wie Bußgelder oder Anordnungen gegenüber dem Unternehmen?
Das Verwaltungsgericht Düsseldorf hat hierzu eine klare Aussage getroffen. Die Behörde muss Beschwerden ernsthaft prüfen und angemessen bearbeiten. Sie ist aber nicht verpflichtet, jede gewünschte Abhilfemaßnahme zu ergreifen oder Ermittlungen grenzenlos fortzusetzen, wenn sich kein Verstoß feststellen lässt. Maßgeblich sind die Aufgaben und Befugnisse aus Art. 57 und Art. 58 DSGVO. Innerhalb dieses Rahmens entscheidet die Aufsichtsbehörde im Einzelfall, wie intensiv und wie weitreichend sie ermittelt. Für Betroffene wirft das wichtige Fragen zur Reichweite ihrer Rechte und zu möglichen Rechtsmitteln auf, wenn eine Beschwerde aus ihrer Sicht unzureichend behandelt wurde.
Im Dezember 2025 entschied das Verwaltungsgericht Düsseldorf einen Fall, der exemplarisch zeigt, wie weit die Pflichten einer Datenschutzbehörde bei der Bearbeitung einer Beschwerde gehen. Ein Mann hatte eine Immobilie erworben und erwartete vom Notar den Kaufvertragsentwurf per E-Mail. Er behauptete später, das Dokument sei nie bei ihm angekommen. Nach seiner Darstellung sei die Nachricht an eine falsche Adresse gesendet worden.
Er wandte sich deshalb an die zuständige Datenschutzaufsicht und warf dem Notar einen Verstoß gegen die DSGVO vor. Die Behörde leitete daraufhin Prüfungen ein und ließ sich vom Notar Unterlagen vorlegen. Dieser konnte belegen, dass die E-Mail an die korrekte Adresse versendet worden war. Damit sah die Behörde keinen Datenschutzverstoß und beendete ihre Ermittlungen.
Der Betroffene war damit unzufrieden und verlangte vor Gericht, dass die Aufsicht weitere Nachforschungen anstellen müsse.
Wer den Eindruck hat, dass die Verarbeitung der eigenen personenbezogenen Daten gegen die Datenschutz-Grundverordnung verstößt, kann sich an eine Datenschutzaufsichtsbehörde wenden. Dieses Recht ergibt sich aus Artikel 77 DSGVO. Die Aufsicht prüft den Vorgang in angemessenem Umfang und informiert die betroffene Person über den Stand und das Ergebnis der Untersuchung. Spätestens nach drei Monaten muss die Behörde Rückmeldung geben.
Die Beschwerde kann bei der Aufsichtsbehörde des Bundeslandes eingereicht werden, in dem man lebt, arbeitet oder in dem der mutmaßliche Verstoß stattgefunden hat. Falls eine Behörde in einem anderen EU-Staat zuständig ist, stimmen sich die Aufsichten untereinander ab. Die deutsche Behörde bleibt in diesem Fall jedoch die Ansprechstelle, damit Betroffene sich nicht mit ausländischen Behörden auseinandersetzen müssen.
In Deutschland gibt es mehrere Aufsichtsbehörden mit unterschiedlichen Aufgabenbereichen. Dazu gehören die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, die Landesdatenschutzbehörden sowie spezifische Fachaufsichten. Ein hierarchisches Verhältnis besteht zwischen ihnen nicht. Welche Stelle zuständig ist, hängt davon ab, wer die Daten verarbeitet.
Beispiele
Eine Beschwerde ermöglicht die unabhängige Überprüfung möglicher Verstöße. Die Aufsicht verfügt über umfassende Kontrollbefugnisse und kann Auskünfte anfordern, Prüfungen durchführen oder Maßnahmen anordnen. Zugleich hat sie aber Ermessen, wie weit die Ermittlungen im Einzelfall gehen müssen. Ergibt die Prüfung keine Anhaltspunkte für einen Verstoß, kann die Behörde das Verfahren einstellen.
Das Verwaltungsgericht Düsseldorf hat die Klage des Betroffenen abgewiesen. Nach Auffassung des Gerichts hatte die Datenschutzbehörde ihren Prüfauftrag ordnungsgemäß erfüllt und den Sachverhalt ausreichend aufgeklärt.
Die Behörde hatte unter anderem anhand der Notariatssoftware und der Serverprotokolle prüfen lassen, an welche Adresse der Kaufvertragsentwurf versendet worden war. Dabei ergab sich, dass in der Software die richtige E-Mail-Adresse des Klägers hinterlegt war und die streitige Nachricht dorthin versandt wurde. Eine technische Auswertung des alten Servers ergab keine Hinweise darauf, dass die E-Mail an eine falsche Adresse gegangen wäre.
Der Notar hatte an der Aufklärung mitgewirkt und zusätzliche technische Untersuchungen veranlasst. Anhaltspunkte für eine bewusste Täuschung sah das Gericht nicht. Vor diesem Hintergrund durften die Aufsichtsbehörde und das Gericht davon ausgehen, dass sich ein Datenschutzverstoß nicht feststellen lässt.
Da die Behörde den Sachverhalt in angemessenem Umfang untersucht und geeignete Aufklärungsmaßnahmen ergriffen hatte, bestand kein Anspruch des Klägers auf weitergehende Ermittlungen.
Das Urteil des Verwaltungsgerichts Düsseldorf macht deutlich, dass Datenschutzaufsichtsbehörden ein Beschwerdeverfahren beenden dürfen, wenn sie den Sachverhalt in angemessenem Umfang aufgeklärt haben und sich dabei kein Datenschutzverstoß feststellen lässt. Gleiches gilt für Konstellationen, in denen zwar ein Vorfall vorliegt, ein möglicher Verstoß oder der konkret verantwortliche Stelleninhaber aber trotz zumutbarer Ermittlungen nicht ermittelt werden kann. In diesen Situationen kommen die Abhilfemaßnahmen nach Artikel 58 Absatz 2 DSGVO wie Anordnungen oder Bußgelder schon deshalb nicht in Betracht, weil sie einen klar identifizierten Verantwortlichen voraussetzen.
Entscheidend ist der Maßstab des angemessenen Umfangs. Nach Auffassung des Gerichts hängt dieser unter anderem von der Bedeutung des Einzelfalls für die betroffene Person und von der Schwere des behaupteten Verstoßes ab. Die gerichtliche Kontrolle beschränkt sich dabei auf eine Ermessensprüfung.
Das bedeutet, das Gericht überprüft, ob die Behörde alle wesentlichen Umstände berücksichtigt, die rechtlichen Grenzen eingehalten und sachgerecht, also nicht willkürlich, entschieden hat. Trifft dies zu, bleibt die Entscheidung der Aufsicht bestehen, auch wenn die betroffene Person sich eine weitergehende Aufklärung gewünscht hätte.
Für Betroffene lassen sich daraus zwei Dinge ableiten: Zum einen besteht ein Anspruch darauf, dass die Aufsichtsbehörde sich ernsthaft mit der Beschwerde befasst, den Sachverhalt in angemessenem Umfang prüft und über den Stand sowie das Ergebnis informiert. Zum anderen ergibt sich daraus aber kein einklagbarer Anspruch auf immer weitere Ermittlungen oder auf eine bestimmte Sanktion gegen ein Unternehmen, wenn sich ein Verstoß oder ein Verantwortlicher nicht nachweisen lässt.
Das Urteil zeigt damit die Grenzen der behördlichen Pflichtermittlung in Beschwerdeverfahren nach der DSGVO und kann als Argumentationshilfe in rechtlichen Stellungnahmen, Mandanteninformationen oder gerichtlichen Verfahren herangezogen werden.
Auch andere Gerichte haben betont, dass das Beschwerderecht nach Artikel 77 DSGVO zwar ein subjektives Recht auf Befassung der Aufsichtsbehörde begründet, aber keinen Anspruch auf grenzenlose Ermittlungen. So hat etwa das Verwaltungsgericht Berlin entschieden, dass eine Beschwerde unzulässig sein kann, wenn sie völlig pauschal bleibt, keine konkreten Angaben zum behaupteten Verstoß enthält und die persönliche Betroffenheit der beschwerdeführenden Person nicht nachvollziehbar dargelegt wird. Eine Behörde muss ein solches Begehren, das im Ergebnis „ins Blaue hinein“ erhoben wird, nicht weiterverfolgen.
In weiteren Entscheidungen, unter anderem im Zusammenhang mit Vorlageverfahren an den Europäischen Gerichtshof, wird dieser Ansatz bestätigt. Die Aufsichtsbehörde ist verpflichtet, sich ernsthaft mit der Beschwerde zu befassen, verfügt aber über Ermessen, wie weit die Ermittlungen im Einzelfall gehen sollen. Maßgeblich sind dabei Bedeutung und Tragweite des Falls sowie die Schwere eines möglichen Verstoßes. Verwaltungsgerichte haben in verschiedenen Verfahren, etwa bei Beschwerden wegen verweigerter Auskunft, klargestellt, dass die Behörde den Sachverhalt sorgfältig, aber nur in angemessenem Umfang zu prüfen hat. Ein Anspruch auf bestimmte, von der betroffenen Person gewünschte Maßnahmen besteht nicht, wenn sich ein Verstoß nicht feststellen lässt oder der Verantwortliche nicht eindeutig identifiziert werden kann.
Fragen Sie sich, ob sich eine Beschwerde bei der Datenschutzaufsicht in Ihrem Fall lohnt, wie weit Ermittlungen der Behörde tatsächlich gehen müssen oder wie Sie auf eine aus Ihrer Sicht unzureichende Entscheidung reagieren können? Möchten Sie wissen, ob Ihre eigenen Prozesse, Verträge und Online-Auftritte datenschutzkonform sind oder ob Bußgelder, Abmahnungen oder Schadensersatzforderungen drohen könnten?
Als Kanzlei für Datenschutzrecht unterstützen wir Sie bei der Erstellung passgenauer Datenschutzerklärungen für Webseiten, Apps und Social-Media-Auftritte, bei der Abwehr von Abmahnungen und behördlichen Bußgeldverfahren sowie bei der rechtssicheren Gestaltung von Werbemaßnahmen, Gewinnspielen und PR-Kampagnen. Wir prüfen Ihre Vertragsbeziehungen, entwerfen Auftragsverarbeitungs- und Joint-Controller-Vereinbarungen, sichern internationalen Datentransfer ab und begleiten Audits und Compliance-Projekte auch gemeinsam mit der SBS Data GmbH. Zudem beraten wir zur Pflicht zur Benennung eines Datenschutzbeauftragten, formulieren Einwilligungen und Mitarbeitendenverpflichtungen und sorgen so dafür, dass Ihr Unternehmen datenschutzrechtlich verlässlich aufgestellt ist.
Für weitere Rückfragen stehen wir Ihnen jederzeit gerne auch telefonisch zur Verfügung. Wünschen Sie die Rechtsberatung von dem erfahrenen Team aus Fachanwälten und Spezialisten von SBS LEGAL?