Tenor

Die Beklagte wird unter teilweiser Aufhebung ihres Bescheides vom 16. November 2022 verpflichtet, die Beschwerde des Klägers unter Beachtung der Rechtsauffassung des Gerichts insoweit neu zu bescheiden, als die Beschwerdegegnerin auf den Auskunftsantrag des Klägers vom 12. April 2022 die begehrten Informationen nicht fristgerecht zur Verfügung gestellt hat.

Im Übrigen wird die Klage abgewiesen.

Die Klägerin trägt 7/8, die Beklagte 1/8 der Kosten des Verfahrens.

Das Urteil ist wegen der Kosten vorläufig vollstreckbar. Der jeweilige Vollstreckungsgläubiger darf die Vollstreckung durch Sicherheitsleistung in Höhe von 110 % des aufgrund des Urteils vollstreckbaren Betrages abwenden, wenn nicht der jeweilige Vollstreckungsschuldner vor der Vollstreckung Sicherheit in Höhe von 110 % des jeweils zu vollstreckenden Betrages leistet.

1

Tatbestand

2

Der Kläger, für den wegen Gefahren für Leib und Leben eine Sperre im Melderegister nach § 51 Bundesmeldegesetz (BMG) angeordnet ist, begehrt ein aufsichtsrechtliches Einschreiten der beklagten Landesbeauftragten für Datenschutz.

3

Mit Schreiben vom 28. Juni 2022, eingegangen am 16. September 2022, erhob der Kläger bei der Beklagten eine Beschwerde gegen das Busunternehmen W. mit folgender Begründung: Am 20. Januar 2022 habe sich in F. ein Verkehrsunfall ereignet. Aufgrund einer Unachtsamkeit habe der bei der Beschwerdegegnerin angestellte Busfahrer den Pkw des Klägers gestreift und die Fahrt anschließend fortgesetzt, ohne eine Unfallaufnahme zu ermöglichen. An dem Pkw des Klägers seien zum Unfallzeitpunkt Tarnkennzeichen angebracht gewesen. Nachdem die vom Kläger eingeschaltete Polizei den Busfahrer habe ermitteln können, habe der Kläger diesem einen handgeschriebenen Zettel mit seinem Namen und seiner ladungsfähigen Anschrift übergeben. Darauf sei der Hinweis vermerkt gewesen, dass die Kommunikation nur schriftlich erfolgen solle. Am 2. März 2022 habe sich der Kläger über seine Prozessbevollmächtigten an das Busunternehmen gewendet und mitgeteilt, dass bei ihm schutzwürdige Interessen vorlägen. Sollten seine Daten elektronisch verarbeitet werden, müssten umfangreiche Schutzmaßnahmen getroffen werden. Durch eine Auskunft der Haftpflichtversicherung sei dem Kläger bekannt geworden, dass die Beschwerdegegnerin in mindestens zwei Fällen E-Mails mit seinen personenbezogenen Daten über das Internet an die Versicherung übermittelt habe. Er habe am 12. April 2022 bei der Beschwerdegegnerin eine Auskunft nach Art. 15 Abs. 1 der Verordnung (EU) des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 45/46/EG (Datenschutz-Grundverordnung (DSGVO)) beantragt, die auf Verarbeitungen im Zusammenhang mit dem Verkehrsunfall vom 20. Januar 2022 beschränkt worden sei. Die Auskunft sei bis heute nicht erteilt worden.

4

Unter dem 30. September 2022 forderte die Beklagte die Beschwerdegegnerin auf, kurzfristig alle Informationen bereitzustellen, die ihr die Beurteilung des Sachverhalts ermöglichten. Ferner bat sie darum, dem Auskunftsbegehren des Klägers nachzukommen.

5

Die Beschwerdegegnerin teilte mit Schreiben ihrer Anwälte vom 26. Oktober 2022 mit, den Verkehrsunfall mit E-Mail vom 21. Januar 2022 der Kfz-Haftpflichtversicherung angezeigt zu haben. Ebenso sei das Schreiben der Prozessbevollmächtigten des Klägers vom 2. März 2022 per E-Mail an die Versicherung weitergeleitet worden. Hierfür habe ein berechtigtes Interesse bestanden, da es ihr aufgrund der Versicherungsbedingungen oblegen habe, den Schadenfall unverzüglich der Versicherung anzuzeigen. Im Nachgang der Übermittlung seien die E-Mails gelöscht worden. Es sei weder eine Speicherung personenbezogener Daten noch eine sonstige Verarbeitung der Daten bei ihr erfolgt. Betreffend das Auskunftsbegehren habe allein durch Angabe eines Vor- und Nachnamens keine hinreichende Identifikation des Petenten vorgelegen. Die Beschwerdegegnerin sei aufgrund der vorliegenden Angelegenheit nochmals sensibilisiert worden, was die Handhabung von ein- und ausgehender Post und elektronischen Mitteilungen angehe.

6

Mit Schreiben an den Kläger vom 16. November 2022 wies die Beklagte darauf hin, dass aufgrund der Schadensabwicklung des Verkehrsunfalls grundsätzlich berechtigte Interessen des Verantwortlichen für die Datenverarbeitung gegeben seien. Darüber hinaus müssten Verantwortliche geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Es obliege dem Verantwortlichen, konkrete Maßnahmen zu treffen, durch die nach seiner Einschätzung ein angemessenes Schutzniveau erreicht werde. In Verarbeitungssituationen mit normalen Risiken werde bereits durch die Transportverschlüsselung eine ausreichende Risikominderung erreicht. Ein Verstoß gegen die DSGVO sei nicht zu sehen. In der E-Mail des Beschwerdeführers an die betroffene Versicherung sei lediglich der Name „Herr H.“ angegeben, aus dem weitergeleiteten Schreiben vom 2. März 2022 sei nur der Name „H.“ zu entnehmen. Ein erhöhtes Risiko sei im vorliegenden Fall nicht zu erkennen, da kein Bezug zur privaten Adresse etc. des Klägers hergestellt werden könne. Die Auskunftssperre bewirke lediglich, dass Privatpersonen keine Melderegisterauskunft zu den „gesperrten Daten“ erhielten. Zur Auskunft nach Art. 15 DSGVO habe der Verantwortliche mitgeteilt, dass aufgrund der Angabe allein Vor- und Nachnamens keine Identifikation für ein Auskunftsbegehren möglich gewesen wäre. Zur Herausgabe von Kopien von Originaldokumenten sei der Verantwortliche nicht verpflichtet.

7

Hiergegen hat der Kläger am 6. Oktober 2023 Klage erhoben, mit der er geltend macht: Er sei aufgrund seiner beruflichen Tätigkeit Gefahren für Leib und Leben ausgesetzt. Das Landgericht Münster habe den Verarbeiter zu einem Schadenersatz von 500 € wegen verspäteter Erteilung der Auskunft verurteilt. In die Kommunikationsvorgänge könnte auch die „Z. einbezogen sein. Es sei möglich, dass der Verarbeiter unmittelbar mit der SVG kommuniziert und diese Daten an die KRAVAG übermittelt habe. Der Datenverarbeiter habe das hinsichtlich seiner personenbezogenen Daten zu beachtende Schutzniveau trotz explizitem Hinweis nicht beachtet. Damit habe er personenbezogene Daten rechtswidrig verarbeitet. Bei der Verarbeitung müsse das Prinzip der Datenminimierung berücksichtigt werden. Das gelte auch für jede Datenverarbeitung in Form einer Datenübertragung an Subunternehmer oder Dritte. Die Beklagte müsse im vorliegenden Fall von ihren Befugnissen nach Art. 58 DSGVO Gebrauch machen. Der Kläger lege Wert auf die Ergreifung wirksamer technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO und gegebenenfalls einer Datenschutzfolgeabschätzung aufgrund des auf ihn anzuwendenden hohen Schutzniveaus gemäß Art. 35 DSGVO. Ferner habe der Verantwortliche der Beklagten offensichtlich keine aufgrund der rechtswidrigen Datenverarbeitung erforderliche Meldung gemäß Art. 33 DSGVO gemacht. Es sei nicht nachvollziehbar, woraus die Beklagte ableite, dass überhaupt eine Transportverschlüsselung bei den E-Mails stattgefunden habe.

8

Der Kläger beantragt mit Schriftsatz vom 6. Oktober 2023 sinngemäß,

9

1. 10

   die Beklagte unter Aufhebung ihres Bescheides vom 16. November 2022 zu verpflichten,

11

a) dem Verarbeiter gemäß Art. 58 Abs. 2 lit. f DSGVO eine Beschränkung der Verarbeitung der personenbezogenen Daten des Klägers insofern zu verhängen, dass bei elektronischer Kommunikation nur Ende-zu-Ende-Verschlüsselung erlaubt ist,

12

b) hilfsweise den Verarbeiter gemäß Art. 58 Abs. 2 lit. d DSGVO anzuweisen, die elektronische Kommunikation in der Unfallsache des Klägers nur Ende-zu-Ende-verschlüsselt vorzunehmen,

13

c) hilfsweise den Verarbeiter gemäß Art. 58 Abs. 2 lit. b DSGVO zu verwarnen, weil er gegen datenschutzrechtliche Bestimmungen verstoßen hat,

14

2. 15

   gemäß Art. 58 Abs. 2 lit. i DSGVO gegenüber dem Verarbeiter eine angemessene Geldbuße zu verhängen für die Verspätung der Auskunft, die Nichtmeldung des Datenschutzverstoßes und den Datenschutzverstoß selbst.

3. 16

   Hilfsweise zu Anträgen 1 und 2: Die Beklagte unter Aufhebung ihres Bescheides vom 16. November 2022 zu verpflichten, unter Beachtung der Rechtsauffassung des Gerichts über die Beschwerde des Klägers neu zu entscheiden.

17

Die Beklagte beantragt mit Schriftsatz vom 4. Dezember 2023,

18

die Klage abzuweisen.

19

Sie trägt vor: Als Aufsichtsbehörde entscheide sie über ihr aufsichtsrechtliches Einschreiten nach pflichtgemäßem Ermessen. Das Ermessen sei hier nicht auf die Anwendung der Abhilfebefugnisse reduziert, die der Kläger anstrebe. Eine Ende-zu-Ende-Verschlüsselung sei nicht erforderlich gewesen, da die Hinweise des Klägers kein hohes Risiko bei einem Bruch der Vertraulichkeit von personenbezogenen Daten im Inhalt der Nachricht begründeten. Der E-Mail-Versand zwischen Mailservern erfolge in der Regel über eine Transportverschlüsselung. Eine Datenschutzfolgenabschätzung habe nicht durchgeführt werden müssen, da die Verarbeitung der personenbezogenen Daten des Klägers durch den Verantwortlichen zu voraussichtlich keinem hohen Risiko führe. Den Sachverhalt zum Vorwurf der verspäteten Auskunft habe sie ermessensgerecht nicht weiter aufgeklärt, da sie zum einen davon ausgegangen sei, dass das Unternehmen die gewünschten Informationen dem Kläger erteilt habe, nachdem dieses zur Auskunft aufgefordert worden war. Zum anderen habe das Unternehmen vorgetragen, dass es den Kläger allein anhand des Namens nicht habe identifizieren können. Selbst ein Verstoß hätte keine Durchsetzungsmaßnahmen erfordert. Insbesondere wäre das Ermessen nicht auf eine Geldbuße reduziert gewesen. Zum Vorwurf der Nichtmeldung des Datenschutzverstoßes habe sie den Sachverhalt ausreichend aufgeklärt und keinen Rechtsverstoß festgestellt.

20

Wegen der weiteren Einzelheiten des Sach- und Streitstandes wird auf den Inhalt der Gerichtsakte sowie des beigezogenen Verwaltungsvorgangs Bezug genommen.

21

Entscheidungsgründe

22

Die Einzelrichterin ist für die Entscheidung zuständig, nachdem ihr der Rechtsstreit durch Beschluss der Kammer vom 23. Februar 2026 gemäß § 6 Abs. 1 Satz 1 Verwaltungsgerichtsordnung (VwGO) zur Entscheidung übertragen worden ist.

23

Das Gericht kann gemäß § 101 Abs. 2 VwGO ohne mündliche Verhandlung entscheiden, weil die Beteiligten hierzu ihr Einverständnis erklärt haben.

24

Die insgesamt zulässige Klage hat nur in dem aus dem Tenor ersichtlichen Umfang Erfolg. Hinsichtlich der Klageanträge zu 1. und 2. ist die Klage unbegründet. Soweit der Kläger mit dem Hilfsklageantrag zu 3. bezüglich der Nichtmeldung des Datenschutzverstoßes und bezüglich des Datenschutzverstoßes selbst die Verpflichtung zur Neubescheidung über seine Beschwerde begehrt, ist die Klage ebenfalls unbegründet. Im Übrigen ist sie mit ihrem Hilfsklageantrag zu 3. begründet. Der Kläger hat einen Anspruch auf Neubescheidung seiner Beschwerde, soweit sie die verspätete Datenschutzauskunft durch die Beschwerdegegnerin zum Gegenstand hat (§ 113 Abs. 5 Satz 2 VwGO).

25

Die Klage ist zulässig, insbesondere als Verpflichtungsklage gemäß § 42 Abs. 1 Alt. 2 VwGO statthaft.

26

Die von dem Kläger begehrte andere Entscheidung über seine Beschwerde stellt - ebenso wie das Schreiben der Beklagten vom 16. November 2022 - einen Verwaltungsakt im Sinne von § 35 Satz 1 des Verwaltungsverfahrensgesetzes (VwVfG) dar. Insbesondere zielt es auf die Herbeiführung unmittelbarer Rechtswirkungen ab. Aus der Begründung ergibt sich, dass die Beklagte das Schreiben als Aufsichtsbehörde im Rahmen ihrer Befugnisse nach Art. 58 DSGVO erstellt hat. Dabei ist unschädlich, dass dieses weder als „Bescheid“ noch als „Verfügung“ oder in ähnlicher Weise bezeichnet wird. Denn inhaltlich stellt es eine auf unmittelbare Rechtswirkung nach außen gerichtete Entscheidung der Beklagten über den weiteren Fortgang - nämlich die Beendigung - des Beschwerdeverfahrens dar.

27

Vgl. zur Einordnung der abschließenden Beschwerdeentscheidung der Aufsichtsbehörde als Verwaltungsakt: VG Düsseldorf, Urteil vom 20. November 2025 - 29 K 3939/23 -, juris Rn 20 m.w.N.; VG Mainz, Urteil vom 16.  Januar 2020 - 1 K 129/19.MZ -, juris Rn. 26 f. Vgl. auch zur Rechtsverbindlichkeit der Beschlüsse einer Aufsichtsbehörde: EuGH, Urteil vom 07.12.2023 - C-26/22 -, juris Rn. 50.

28

Die Klage ist rechtzeitig innerhalb der gemäß § 58 Abs. 2 VwGO geltenden Jahresfrist erhoben worden. Der Bescheid vom 16. November 2022 enthält keine Rechtsbehelfsbelehrung.

29

Der Kläger ist klagebefugt im Sinne von § 42 Abs. 2 VwGO, weil es nach seinem Vorbringen jedenfalls möglich ist, dass er durch die Einstellung des Beschwerdeverfahrens in eigenen subjektiv-öffentlichen Rechten nach Art. 57 Abs. 1 Buchst. f, 77 Abs. 1 DSGVO verletzt ist.

30

Vgl. VG Hamburg, Urteil vom 1.  Juni 2021 - 17 K 2977/19 -, Rn. 41 ff.; VG Ansbach, Urteil vom 7.  Dezember 2020 - An 14 K 18.02503 -, juris Rn. 25; OVG Rheinland-Pfalz, Urteil vom 26.  Oktober 2020 - 10 A 10613/20 -, juris Rn. 29.

31

Die Klage ist mit ihren Klageanträgen zu 1. und 2. aber unbegründet. Der Bescheid vom 16. November 2022 ist insoweit rechtmäßig und verletzt den Kläger nicht in seinen Rechten. Der Kläger hat gegenüber der Beklagten keinen Anspruch auf das Ergreifen der begehrten Aufsichtsmaßnahmen (§ 113 Abs. 5 Satz 1 VwGO).

32

Rechtsgrundlage für die streitgegenständliche Beschwerdeentscheidung ist Art. 57 Abs. 1 Buchst. f DSGVO i. V. m. Art. 77 Abs. 1 DSGVO.

33

Nach Art. 77 Abs. 1 DSGVO hat jede betroffene Person das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen Vorschriften über den Datenschutz verstößt. Als Datenschutzaufsichtsbehörde muss sich die Beklagte im Rahmen ihrer Zuständigkeit mit der Beschwerde befassen, den Gegenstand der Beschwerde in angemessenem Umfang untersuchen und den Beschwerdeführer innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung unterrichten (Art. 57 Abs. 1 Buchst. f DSGVO).

34

Bei dem Recht auf Beschwerde nach Art. 57 Abs. 1 Buchst. f DSGVO i. V. m. Art. 77 Abs. 1 DSGVO handelt es sich um ein subjektiv-öffentliches Recht, aus dem sich ein gerichtlich überprüfbarer, zweistufiger Anspruch ergibt.

35

Zunächst ist zu prüfen, ob die Aufsichtsbehörde in angemessenem Umfang überprüft hat, ob ein Verstoß gegen die Datenschutzgrundverordnung vorliegt. Die Aufsichtsbehörde ist nach Art. 57 Abs. 1 Buchst. f DSGVO verpflichtet, eine Beschwerde mit aller gebotenen Sorgfalt zu bearbeiten. Hierzu verleiht ihr Art. 58 Abs. 1 DSGVO weitreichende Untersuchungsbefugnisse.

36

Vgl. EuGH, Urteil vom 16. Juli 2020 - C-311/18 -, juris Rn.109, 111.

37

Über den Einsatz der sich aus Art. 58 Abs. 1 DSGVO ergebenden Untersuchungsbefugnisse sowie den Umfang der Untersuchung entscheidet die Aufsichtsbehörde nach pflichtgemäßem Ermessen entsprechend der Sachlage im Einzelfall.

38

Vgl. Matzke, in: BeckOK Datenschutzrecht, Wolff/Brink/v. Ungern-Sternberg, 49. Edition, Stand 01.02.2026, DSGVO Art. 57 Rz 17.

39

Stellt die Aufsichtsbehörde sodann am Ende ihrer Untersuchung einen Verstoß gegen die Bestimmungen dieser Verordnung fest, ist sie verpflichtet, in geeigneter Weise zu reagieren, um der festgestellten Unzulänglichkeit abzuhelfen, wobei alle Maßnahmen insbesondere im Hinblick auf die Gewährleistung der Einhaltung der Verordnung geeignet, erforderlich und verhältnismäßig sein sollten und die Umstände des jeweiligen Einzelfalls zu berücksichtigen sind. Zu diesem Zweck werden in Art. 58 Abs. 2 DSGVO die verschiedenen der Aufsichtsbehörde zur Verfügung stehenden Abhilfebefugnisse aufgezählt.

40

Vgl. EuGH, Urteil vom 7.  Dezember 2023 - C-26/22 -, juris Rn. 47 ff.

41

Hiervon ausgehend richtet sich die gerichtliche Prüfung der Beschwerdeentscheidung nach § 114 Abs. 1 VwGO.

42

Bei Ermessensentscheidungen hat das Gericht nur zu prüfen, ob die Verwaltung den ihr eingeräumten Ermessensspielraum ausgeschöpft hat, ob sie die nach dem Zweck der Ermessensermächtigung für die Entscheidung relevanten Gesichtspunkte bei ihrer Entscheidung berücksichtigt hat und ob sie die gesetzlichen Grenzen der Ermessensbetätigung überschritten hat. Das Gericht darf die getroffene Entscheidung nur anhand derjenigen Erwägungen überprüfen, die die Behörde tatsächlich angestellt hat, wozu auch in Einklang mit § 114 Satz 2 VwGO nachgeschobene Erwägungen zählen.

43

Vgl. BVerwG, Urteil vom 11.  Mai 2016 - 10 C 8/15 -, juris Rn. 13 m.w.N.

44

Nach diesem Maßstab sind Ermessensfehler bei der Entscheidung der Beklagten, das Beschwerdeverfahren einzustellen, nicht erkennbar.

45

Dies ergibt sich für den mit dem Klageantrag zu 1. geltend gemachten Sachverhalt bereits daraus, dass ein Datenschutzverstoß nicht vorliegt. Die Datenverarbeitung durch die verarbeitende Beschwerdegegnerin war rechtmäßig. Eine Ende-zu-Ende-Verschlüsselung bei elektronischer Kommunikation mit dem Kläger war weder allgemein noch in der Unfallsache geboten.

46

Die Datenverarbeitung der personenbezogenen Daten des Klägers durch die Verantwortliche in Form der Offenlegung durch die Anzeige des Verkehrsunfalls mit E-Mail vom 21. Januar 2022 sowie in Form der Übermittlung des an sie gerichteten Schreibens der Prozessbevollmächtigten des Klägers vom 2. März 2022 an die KFZ-Haftpflichtversicherung bzw. den für diese tätigen Versicherungsvertreter war gemäß Art. 6 Abs. 1 Satz 1 Buchst. f DSGVO zulässig. Nach dieser Bestimmung ist die Verarbeitung rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen der Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. Ein berechtigtes Interesse der Verantwortlichen liegt vor. Als Versicherungsnehmerin durfte das verantwortliche Busunternehmen den Namen des Klägers als Unfallgeschädigtem zum Zwecke der Schadensabwicklung des Verkehrsunfalls ihrer Versicherung melden. Soweit im E-Mail-Verteiler neben der „SVG-Kravag“ auch „SVG“ aufgeführt wird, handelt es sich angesichts des identischen Namens „Claus Vennemann“ ersichtlich um ein- und denselben Adressaten. Herr Vennemann scheint der bei der KRAVAG zuständige Versicherungsvertreter für die Beschwerdegegnerin zu sein.

47

Die Übermittlung der personenbezogenen Daten des Klägers per E-Mail war auch hinsichtlich der Sicherheit der Datenverarbeitung datenschutzkonform und verstößt nicht gegen Art. 5 Abs. 1 Buchst. f DSGVO. Nach diesem Grundsatz müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“). Dieser Grundsatz wird in Art. 32 DSGVO konkretisiert. Diese Vorschrift sieht vor, dass der Verantwortliche und der Auftragsverarbeiter unter Berücksichtigung des Standes der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen treffen, um ein dem risikoangemessenes Schutzniveau zu gewährleisten (Art. 32 Abs. 1 1. HS DSGVO). Diese Maßnahmen schließen gegebenenfalls unter anderem die Pseudonymisierung und Verschlüsselung personenbezogener Daten ein (Art. 32 Abs. 1 2. HS Buchst. a DSGVO).

48

Als Maßnahme zur Gewährleistung der Datensicherheit hat die Beschwerdegegnerin eine solche Verschlüsselung vorgenommen. Mangels gegenteiliger Anhaltspunkte durfte die Beklagte bei ihrer Prüfung davon auszugehen, dass die bei der Kommunikation zwischen der Beschwerdegegnerin und ihrer Versicherung beteiligten E-Mail-Anbieter eine Transportverschlüsselung einsetzen und dadurch die personenbezogenen Daten des Klägers in Form seines Namens und Vornamens während des Versands verschlüsselt worden sind.

49

Nachrichten, die per E-Mail versendet werden, unterliegen einer Transportverschlüsselung. Bei der Transportverschlüsselung wird zwischen dem E-Mail-Programm (Client) und dem E-Mail-Server eine Verbindung aufgebaut und diese z.B. gemäß dem weit verbreiteten Protokoll "Transport Layer Security" (TLS) verschlüsselt. Dies wird von den allermeisten E-Mail-Anbietern unterstützt. Alle Daten, die zwischen dem Client und dem E-Mail-Server ausgetauscht werden, sind damit während des Versands verschlüsselt. Allerdings werden E-Mails beim Versand über unterschiedliche Knotenpunkte im Web zwischen den Servern der E-Mail-Anbieter zur Empfängerin oder dem Empfänger weitergeleitet und sind in diesen Punkten nicht verschlüsselt und dazwischen nicht immer. Sowohl beim E-Mail-Anbieter als auch an den Knotenpunkten des Versands liegt die E-Mail im Klartext vor.

50

Vgl. Bundesamt für Sicherheit in der Informationstechnik, E-Mail-Verschlüsselung, https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Onlinekommunikation/Verschluesselt-kommunizieren/E-Mail-Verschluesselung/e-mail-verschluesselung.html#:~:text=Vertraulichkeit%20der%20E%2DMail:%20Verschl%C3%BCsselung%20nutzen%20Bei%20E%2DMail%2DVerschl%C3%BCsselung,entscheidende%20Unterschied%20liegt%2C%20wird%20im%20Folgenden%20erkl%C3%A4rt.

51

Diese Technik gewährleistete im vorliegenden Fall gleichwohl ein dem Risiko angemessenes Schutzniveau im Sinne von Art. 32 Abs. 1 1. HS DSGVO.

52

Bei der Beurteilung des angemessenen Schutzniveaus sind gemäß Art. 32 Abs. 2 DSGVO insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch - ob unbeabsichtigt oder unrechtmäßig - Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von bzw. unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.

53

Das Risiko bestimmt sich nach der möglichen Schwere des Schadens und nach der Wahrscheinlichkeit, mit der der Schaden eintritt.

54

Vgl. Martini, in: Paal/Pauly, DS-GVO BDSG, 4. Auflage 2026, Art. 32 DSGVO, Rn. 50.

55

Anders als bei einer Ende-zu-Ende-Verschlüsselung, bei der nicht die einzelnen Abschnitte des Versandkanals verschlüsselt werden, sondern die E-Mails selbst, so dass weder die beteiligten E-Mail-Anbieter die E-Mail lesen können, noch potentielle Angreifer die Möglichkeit haben, die E-Mails unterwegs zu lesen oder zu manipulieren,

56

vgl. Bundesamt für Sicherheit in der Informationstechnik, E-Mail-Verschlüsselung, https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Onlinekommunikation/Verschluesselt-kommunizieren/E-Mail-Verschluesselung/e-mail-verschluesselung.html#:~:text=Vertraulichkeit%20der%20E%2DMail:%20Verschl%C3%BCsselung%20nutzen%20Bei%20E%2DMail%2DVerschl%C3%BCsselung,entscheidende%20Unterschied%20liegt%2C%20wird%20im%20Folgenden%20erkl%C3%A4rt,

57

kann bei einer Transportverschlüsselung ein unbefugter Zugang zu personenbezogenen Daten nicht vollständig ausgeschlossen werden. Das birgt für den Kläger aber kein erhöhtes Risiko. Im Raum stand, dass ein unbefugter Dritter Kenntnis von dem in beiden E-Mails enthaltenen Namen des Klägers erlangt. Diese Daten sind nicht sensibel und bedürfen keines besonderen Schutzes. Die im Melderegister für ihn angeordnete Auskunftssperre ändert daran nichts. Der Name des Klägers ist nicht geheim, sondern im Internet frei zugänglich. Dasselbe gilt für seine Firma. Der Kläger verwendet kein Pseudonym. Sein Name wird daher nicht erst bei unbefugtem Zugang Dritter zu den E-Mails bekannt. Auch die Wahrscheinlichkeit, dass ein Dritter dadurch weitere Informationen über den Kläger erlangt, ist äußerst gering. Ein Bezug zur privaten Anschrift des Klägers kann nicht hergestellt werden. Denn die für den Kläger eingetragene Auskunftssperre nach § 51 BMG bewirkt, dass Dritte keinen Zugang zu den Meldedaten erhalten. Es ist auch nicht ersichtlich, wie ein Unbefugter über die Kanzlei der Prozessbevollmächtigten des Klägers nähere Informationen über den Kläger herausfinden könnte. Diese sind hinreichend sensibilisiert. Vielmehr kann der mögliche Aufenthaltsort des Klägers bereits jetzt mit seinem Namen in Verbindung mit seiner Firma und deren Sitz im Internet auf einfache Weise ermittelt werden. Die vom Kläger angenommene Gefahr, Dritte könnten ihn zur Erlangung seiner Produkte entführen oder einen Raub begehen, hat sich durch die Nennung seines Namens in den beiden streitgegenständlichen E-Mails nicht erhöht.

58

Da die Datenverarbeitung durch das Busunternehmen kein hohes Risiko für die Rechte und Freiheiten des Klägers zur Folge hat, bedurfte es auch keiner Datenschutz-Folgenabschätzung im Sinne von Art. 35 DSGVO.

59

Kann ein Verstoß gegen die Bestimmungen der Datenschutz-Grundverordnung nicht festgestellt werden, ist die Beklagte nicht gehalten, mit dem Ziel der Abstellung des Verstoßes die mit dem Klageantrag zu 1. begehrten Maßnahmen nach Art. 58 Abs. 2 DSGVO Maßnahmen zu ergreifen.

60

Der Klageantrag zu 2., mit dem der Kläger die Verpflichtung der Beklagten begehrt, gegenüber dem Verarbeiter eine angemessene Geldbuße zu verhängen für die Verspätung der Auskunft, die Nichtmeldung des Datenschutzverstoßes und der Datenschutzverstoß selbst, ist ebenfalls unbegründet. Der Kläger hat keinen Anspruch auf die Verhängung einer Geldbuße gemäß Art. 58 Abs. 2 Buchst. i DSGVO gegenüber der Beschwerdegegnerin. Dies ergibt sich hinsichtlich der Nichtmeldung des Datenschutzverstoßes und des Datenschutzverstoßes selbst bereits daraus, dass nach den obigen Ausführungen kein Datenschutzverstoß vorliegt, und infolgedessen keine Meldung nach Art. 33 DSGVO an die Beklagte erfolgen musste. Aus diesem Grund bleibt auch dem Hilfsantrag zu 3., soweit er auf die Neubescheidung des Klägers hinsichtlich der Nichtmeldung des Datenschutzverstoßes und des Datenschutzverstoßes selbst zielt, der Erfolg versagt.

61

In Bezug auf die Verspätung der Auskunft nach Art. 15 DSGVO liegt zwar ein Datenschutzverstoß vor. Der auf die Verhängung eines Bußgelds gerichtete Klageantrag zu 2. ist gleichwohl unbegründet.

62

Die Beklagte hat nicht in angemessenem Umfang überprüft, ob hinsichtlich der verspäteten Auskunftserteilung ein Verstoß gegen die Datenschutzgrundverordnung gegeben ist. Dass die gewünschte E-Mail-Auskunft zum Zeitpunkt der Entscheidung der Beklagten vorlag, ist für die Frage der fristgerechten Erfüllung des Antrags des Klägers auf Auskunft über seine personenbezogenen Daten ohne Belang. Soweit sich die Beklagte in ihrem Bescheid vom 16. November 2022 auf die Einlassung der Verantwortlichen stützt, es sei keine Identifikation für ein Auskunftsbegehren möglich gewesen, schließt dies einen Verstoß gegen Art. 12 Abs. 3 Satz 1 DSGVO nicht aus.

63

Der Antrag des Klägers auf Auskunft über seine personenbezogenen Daten gemäß Art. 15 Abs. 1 DSGVO an die Beschwerdegegnerin datiert vom 12. April 2022. Auskunft erteilt wurde mit der anwaltlichen Stellungnahme der Beschwerdegegnerin vom 26. Oktober 2022. Gemäß Art. 12 Abs. 3 Satz 1 DSGVO stellt der Verantwortliche der betroffenen Person Informationen über die auf Antrag gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Die einmonatige Frist hat die Beschwerdegegnerin nicht eingehalten. Sie hat den Kläger auch nicht über eine Fristverlängerung oder die Gründe für die Verzögerung unterrichtet (Art. 12 Abs. 3 Satz 3 DSGVO). Anders als die Verantwortliche geltend macht, war der Kläger auch identifizierbar. Der Antrag vom 12. April 2022 wurde weder anonym noch unter einem Pseudonym gestellt. Zwar wird nur der Name des Klägers ohne Privatanschrift angegeben. Das Schreiben wurde jedoch von den Prozessbevollmächtigten des Klägers übersendet, die sich bereits Schreiben vom 2. März 2022 an die Beschwerdegegnerin gewendet und darin neben dem Namen des Klägers auch den zugrunde liegenden Sachverhalt (Verkehrsunfall in F. am 20. Januar 2022) benannt haben. Damit war der Verantwortlichen eine Zuordnung des Klägers ohne weiteres möglich.

64

Der auf Verhängung einer Geldbuße gerichtete Klageantrag zu 2. hat dennoch keinen Erfolg. Ein gerichtlich im Wege der Verpflichtungsklage durchsetzbarer Anspruch gegen die Beklagte auf Ergreifen der Maßnahme nach Art. 58 Abs. 2 Buchst. i DSGVO besteht in Anbetracht des der Aufsichtsbehörde nach Art. 58 Abs. 2 DSGVO zustehenden Auswahlermessens nur, wenn das Ermessen der Beklagten auf null reduziert ist. Dies ist vorliegend nicht der Fall, zumal von drei behaupteten Datenschutzverstößen nur einer gegeben ist, der zudem angesichts der später erteilten Auskunft nicht schwer wiegt.

65

Der Kläger hat aber, soweit er sich über die verspätete Auskunft beschwert hat, gegenüber der Beklagten einen Anspruch auf ermessensfehlerfreie Entscheidung über das Ergreifen von Abhilfebefugnissen nach Art. 58 Abs. 2 DSGVO unter Beachtung der Rechtsauffassung des Gerichts (§ 113 Abs. 5 Satz 2 VwGO) mit der Folge, dass der Hilfsantrag zu 3. insoweit Erfolg hat. Die Beklagte konnte ihre Ermessenserwägungen dazu im gerichtlichen Verfahren nicht wirksam nachholen, weil sie die nicht fristgerechte Erteilung der begehrten Datenschutzauskunft im Bescheid nicht als Verstoß erkannt und deshalb ihr Auswahlermessen nicht ausgeübt hat.

66

Die Kostenentscheidung folgt aus § 155 Abs. 1 Satz 1 VwGO. Dabei hat das Gericht berücksichtigt, dass der Kläger vier Datenschutzverstöße geltend gemacht hat.

67

Die Entscheidung über die vorläufige Vollstreckbarkeit beruht auf § 167 VwGO i.V.m. § 708 Nr. 11, § 709 Satz 2, § 711 Zivilprozessordnung.

68

Rechtsmittelbelehrung

69

Innerhalb eines Monats nach Zustellung dieses Urteils kann bei dem Verwaltungs­gericht Düsseldorf schriftlich beantragt werden, dass das Ober­verwaltungsgericht für das Land Nord­rhein-West­falen in Münster die Berufung zulässt. Der Antrag muss das angefoch­tene Urteil be­zeichnen.

70

Innerhalb von zwei Monaten nach Zustellung des Urteils sind die Gründe darzulegen, aus denen die Berufung zuzulassen ist. Die Begründung ist, soweit sie nicht bereits mit dem Antrag vorgelegt worden ist, bei dem Oberverwaltungs­gericht für das Land Nordrhein-Westfalen in Münster schriftlich einzurei­chen.

71

Der Antrag ist zu stellen und zu begründen durch einen Rechtsanwalt oder einen Rechtslehrer an einer staatlichen oder staatlich anerkannten Hochschule eines Mit­gliedstaates der Europäischen Union, eines anderen Vertragsstaates des Abkom­mens über den Europäischen Wirtschaftsraum oder der Schweiz, der die Befähigung zum Richteramt besitzt, oder eine diesen gleichgestellte Person als Bevollmächtig­ten. Behörden und juristische Personen des öffentlichen Rechts ein­schließlich der von ihnen zur Erfüllung öffentlicher Aufgaben gebildeten Zusammen­schlüsse können sich auch durch eigene Beschäftigte mit Befähigung zum Richter­amt oder durch Be­schäftigte mit Befähigung zum Richteramt anderer Behörden oder juristischer Per­sonen des öffentlichen Rechts einschließlich der von ihnen zur Erfül­lung ihrer öffent­lichen Aufgaben gebildeten Zusammenschlüsse vertreten lassen. Auf die besonde­ren Regelungen in § 67 Abs. 4 Sätze 7 und 8 VwGO wird hingewiesen.

72

Beschluss

73

Der Wert des Streitgegenstandes wird auf

74

5.000,- Euro

75

festgesetzt.

76

Gründe

77

Die Festsetzung des Streitwerts beruht auf § 52 Abs. 2 GKG. Der festgesetzte Wert entspricht dem Auffangstreitwert.

78

Rechtsmittelbelehrung

79

Gegen die Festsetzung des Streitwerts kann innerhalb von sechs Monaten, nachdem die Ent­scheidung in der Hauptsache Rechtskraft erlangt oder das Verfahren sich anderwei­tig erledigt hat, bei dem Verwaltungsgericht Düsseldorf schriftlich oder zur Niederschrift des Urkunds­beamten der Geschäftsstelle Beschwerde eingelegt werden, über die das Oberver­waltungsgericht für das Land Nordrhein-Westfalen in Münster entscheidet, falls das Verwaltungsgericht ihr nicht abhilft. Ist der Streitwert später als einen Monat vor Ab­lauf der genannten Frist festgesetzt worden, kann die Beschwerde innerhalb eines Monats nach Zustellung oder formloser Mitteilung des Festsetzungs­beschlusses ein­gelegt werden. Die Beschwerde ist nur zulässig, wenn der Wert des Beschwerdegegenstandes in Rechtsstreitigkeiten, die vor dem 1. Januar 2026 anhängig geworden sind, zweihundert Euro übersteigt und in Rechtsstreitigkeiten, die ab dem 1. Januar 2026 anhängig geworden sind, dreihundert Euro übersteigt. Die Beschwerde findet auch statt, wenn sie das Gericht, das die Entscheidung erlassen hat, wegen der grundsätzlichen Bedeu­tung der zur Entscheidung stehenden Frage zulässt.