Tenor

Die Klage wird abgewiesen.

Die Klägerin trägt die Kosten des Verfahrens.

Das Urteil ist hinsichtlich der Kosten vorläufig vollstreckbar. Die Klägerin darf die Vollstreckung durch die Beklagte durch Sicherheitsleistung oder Hinterlegung in Höhe von 110 % des aufgrund des Urteils vollstreckbaren Betrages abwenden, wenn nicht die Beklagte zuvor Sicherheit in Höhe von 110 % des jeweils zu vollstreckenden Betrages leistet.

1

Tatbestand:

2

Die Klägerin wendet sich gegen eine dem Bundesamt für das Personalmanagement der Bundeswehr (BAPersBw) durch die Beklagte gemäß Art. 58 Ab. 2 lit. b) der Datenschutzgrundverordnung (DSGVO) erteilte Verwarnung.

3

Dieser lag eine Datenschutzbeschwerde eines Herrn G. I. zu Grunde, der sich am 4. April 2020 an die Beklagte gewandt und vorgetragen hatte, ein Auskunftsersuchen nach Art. 15 Abs. 1 DSGVO, das er am 1. März 2020 - unstreitig - per De-Mail an das Bundesministerium der Verteidigung (BMVg) gerichtet habe, sei nicht innerhalb der gesetzlich vorgesehenen Frist beantwortet worden. Der bewusste Auskunftsantrag des Beschwerdeführers vom 1. März 2020 war noch am gleichen Tag per E-Mail an das für die Personalführung der aktiven Soldaten (unterhalb der Besoldungsgruppe B3), Beamten und Arbeitnehmer zuständige BAPersBw weitergeleitet worden, wo es beim Administrativen Datenschutzbeauftragten (ADSB) bearbeitet wurde. An die vom Beschwerdeführer als Kontakt angegebene De-Mail-Adresse (E-Mail01) konnte vom ADSB keine Auskunft gem. Art. 15 DSGVO zugestellt werden, da der ADSB selbst über kein entsprechendes De-Mail-Postfach verfügt. Deshalb übermittelte er die Auskunft am 12. März 2020 an eine vom Beschwerdeführer nicht als Kontakt angegebene E-Mail-Adresse (E-Mail02). Diese E-Mail erhielt der Beschwerdeführer jedoch nicht. Das E-Mail-Postfach E-Mail02 gehört weder zu seiner Person noch wurde es dem BAPersBw vom Beschwerdeführer als Kontaktadresse mitgeteilt. Die Auskunft vom 12. März 2020 an die E-Mail-Adresse (E-Mail02) war als verschlüsseltes PDF-Dokument (PDF-Verschlüsselung mit 256-Bit Schlüssellänge) an eine ansonsten ungesicherte E-Mail angehängt. Als Passwort zur Entschlüsselung wurde das Geburtsdatum des Empfängers in sechsstelliger Schreibweise gewählt. Diese Information war im Text der unverschlüsselten E-Mail enthalten. Auf seine Datenschutzbeschwerde, die der Beschwerdeführer in Kopie auch dem BMVg geschickt hatte, erhielt er mit Schreiben vom 6. April 2020 die gewünschte Auskunft.

4

Mit Schreiben vom 1. Februar 2021 hörte die Beklagte das BAPersBw zum beabsichtigten Erlass einer Verwarnung an, weil es nicht innerhalb der nach Art. 12 Abs. 3 DSGVO vorgesehenen Frist die nach Art. 15 DSGVO beantragte Auskunft über die personenbezogenen Daten des Beschwerdeführers erteilt und mit der Übersendung der beantragten Auskunft per einfacher, unverschlüsselter E-Mail an eine nicht ausreichend überprüfte E-Mail-Adresse gegen Art. 5 Abs. 1 lit. f) und Art. 32 Abs. 1 lit. b) DSGVO verstoßen habe.

5

Das BAPersBw sei zum einen nach Art. 12 Abs. 3 DSGVO verpflichtet gewesen, Herrn I. die verlangte Auskunft nach Art. 15 DSGVO binnen eines Monats - mithin bis zum 1. April 2020 - zu erteilen. Für die Einhaltung der Frist sei die Behörde gemäß Art. 5 Abs. 2 DSGVO nachweispflichtig. Den Nachweis, dass die per einfacher E-Mail am 12. März 2020 an die Adresse E-Mail02 übermittelte Auskunft tatsächlich bei diesem angekommen sei, habe das BAPersBw nicht erbracht. Vielmehr sei die Auskunft erst am 6. April 2025 bei Herrn I. eingegangen. Zum anderen habe der Versand personenbezogener Daten per einfacher, unverschlüsselter E-Mail einen Verstoß gegen den Grundsatz der Vertraulichkeit aus Art. 5 Abs. 1 lit. f) und Art. 32 Abs. 1 lit. b) DSGVO dargestellt. Dass das Schreiben mit einem 6-stelligen Passwort versehen gewesen sei, habe das Risiko der unbefugten Offenlegung nur ein wenig reduzieren, nicht aber verhindern können. Erschwerend komme hinzu, dass sich das BAPersBw zu einer Kommunikation per einfacher E-Mail entschieden und ohne tatsächliche Anhaltspunkte lediglich angenommen habe, der Beschwerdeführer sei über die vom BAPersBw verwendete E-Mail-Adresse E-Mail02 erreichbar, was nicht der Fall gewesen sei. Nach Recherche der Beklagten könne bei t-online auch ohne eine dort bestehende E-Mail-Adresse ([email protected]) eine neue, gleichlautende De-Mail-Adresse ([email protected]) eingerichtet werden. Die Annahme des BAPersBw, dass die einfache E-Mail-Adresse und die gleichlautende De-Mail-Adresse bei t-online derselben Person zugeordnet seien und der Beschwerdeführer tatsächlich auf beide Postfächer zugreifen könne, sei reine Spekulation gewesen. Mit dem Versand der Antwort vom 12. März 2020 an E-Mail02 und damit möglicherweise an einen unbeteiligten Dritten habe das BAPersBw damit gegen Art. 5 Abs. 1 lit. f) und Art. 32 Abs. 1 lit. b) DSGVO verstoßen. Selbst wenn dem BAPersBw aus technischen Gründen eine Kommunikation per De-Mail nicht möglich gewesen sei, hätte zum Schutz der personenbezogenen Daten dem Beschwerdeführer per Brief geantwortet werden können und müssen.

6

In seiner Stellungnahme vom 1. März 2021 wies das BAPersBw darauf hin, die Übersendung der Daten an das E-Mail Postfach des Beschwerdeführers sei erfolgt, da der zuständige Sachbearbeiter davon überzeugt gewesen sei, dass dieses Postfach ebenfalls dem Beschwerdeführer zugeordnet werden könne und beim Anbieter t-online nicht zwei Personen eine Adresse mit derselben Hauptkennung haben könnten. Im Übrigen seien die personenbezogenen Daten in einer verschlüsselten pdf-Datei (256-Bit-AES) übersandt worden. Die gewählte Art. der Verschlüsselung gelte derzeit praktisch als „unknackbar“. Die Sicherheit und Vertraulichkeit der übermittelten Daten sei also uneingeschränkt gewahrt gewesen. Im Hinblick auf den Vorwurf, das BAPersBw habe entgegen der Vorgaben aus Art. 15 Abs. 1 i. V. m. Art. 12 Abs. 3 DSGVO das Auskunftsersuchen über personenbezogenen Daten nicht binnen eines Monats beantwortet, werde darauf verwiesen, dass das Ersuchen unmittelbar nach dessen Eingang am 2. März 2020 im BAPersBw unter dem Datum vom 12. März 2020 inhaltlich abschließend bearbeitet worden sei. Eine Antwort auf das Auskunftsersuchen sei damit bereits vor dem 6. April 2020 abgesetzt worden. Selbst wenn man unterstellen sollte, dass der Inhaber der Mailadresse E-Mail02 nicht der Petent sein sollte und damit eine Zustellung der Auskunft an den Petenten erst am 6. April 2020 - mithin mit 5 Tagen Verzug - erfolgt wäre, liege bei Abwägung der außergewöhnlichen Umstände des Falles, der geringen Verspätung und der Sicherheit der in Rede stehenden Datei jedenfalls kein Grund für eine Verwarnung gemäß Art. 58 Abs. 2 lit. b) DSGVO vor; insbesondere deshalb nicht, weil kein Verstoß gegen Art. 5 Abs. 1 lit. f) und Art. 32 Abs. 1 lit. b) DSGVO gegeben sei. Abschließend werde der hohe Stellenwert betont, den der Datenschutz im BAPersBw genieße. Integrität und Vertraulichkeit im Umgang mit Daten seien eine Selbstverständlichkeit. Deshalb widme man sich jedem Vorgang mit datenschutzrechtlicher Relevanz mit größter Sorgfalt und nehme berechtigte Kritik gerne zum Anlass, die Handhabung der anvertrauten Daten weiter zu verbessern.

7

Mit Bescheid vom 1. April 2021, per E-Mail übermittelt am 6. April 2021, verwarnte die Beklagte das BAPersBw gemäß Art. 58 Abs. 2 lit. b) DSGVO, weil dieses sorgfaltswidrig gegen Art. 5 Abs. 1 lit. f), 12 Abs. 3 i.V.m. Art. 15 und 32 Abs. 1 lit. b) DSGO verstoßen habe, in dem es nicht innerhalb der nach Art. 12 Abs. 3 DSGVO vorgesehenen Frist die nach Art. 15 DSGVO beantragte Auskunft über die personenbezogenen Daten des Beschwerdeführers erteilt und mit der Übersendung der beantragten Auskunft per einfacher, unverschlüsselter E-Mail an eine nicht verifizierte E-Mal-Adresse gegen Art. 5 Abs. 1 lit. f), 32 Abs. 1 lit. b) DSGVO verstoßen habe.

8

Einen fristgerechten Eingang der beantragten Auskunft beim Beschwerdeführer habe das BAPersBw nicht nachgewiesen. Der Versand der personenbezogenen Daten per einfacher, unverschlüsselter E-Mail habe einen Verstoß gegen den Grundsatz der Vertraulichkeit dargestellt, wobei erschwerend hinzukomme, dass sich die Behörde hier zu einer Kommunikation über eine E-Mail-Adresse entschieden habe, von der sie lediglich angenommen habe, über sie sei der Beschwerdeführer erreichbar. Nach Recherche der Beklagten könne bei t-online auch ohne eine dort bestehende E-Mail-Adresse eine neue, gleichlautende De-Mail-Adresse eingerichtet werden. Im Übrigen stelle die Wahl eines lediglich sechs Zeichen langen Passworts für die Entschlüsselung einen schwerwiegenden Fehler dar. Passwörter dieser Länge könnten mit einem „offline brute force“-Angriff innerhalb kurzer Zeit gebrochen werden, auch wenn das eingesetzte Verschlüsselungsverfahren an sich sicher sei. Erschwerend komme hinzu, dass als Passwort das Geburtsdatum des Empfängers gewählt worden sei, wodurch die Anzahl der für einen Angriff benötigten Versuche dramatisch reduziert worden sei. Nach einer Überschlagsrechnung unter der sehr konservativen Annahme, dass für einen einzelnen Entschlüsselungsversuch immerhin eine Sekunde benötigt werde, könne ein entsprechender Angriff in weniger als einem halben Tag erfolgreich durchgeführt werden. Mit dem Versand der E-Mail vom 12. März 2021 habe das BAPersBw somit gegen Art. 5 Abs. 1 lit. f), 32 Abs. 1 lit. b) DSGVO verstoßen. Selbst wenn eine Kommunikation per De-Mail aus technischen Gründen nicht möglich gewesen sei, hätte dem Beschwerdeführer zum Schutz seiner personenbezogenen Daten per Brief geantwortet werden müssen. Die Verwarnung sei verhältnismäßig, insbesondere angemessen, da in mehrfacher Hinsicht Rechte des Beschwerdeführers verletzt worden seien. Die Fristüberschreitung von fünf Tagen sei zwar geringfügig, die anderen Verstöße jedoch nicht unerheblich.

9

Die Klägerin hat am 4. Mai 2021 Klage erhoben. Zur Begründung trägt sie unter Vertiefung ihres Vorbringens im Verwaltungsverfahren vor, es treffe zu, dass der Nachweis einer fristgerechten Antwortzustellung nicht geführt werden könne, und damit auch der Vorwurf eines Verstoßes gegen Art. 15 Abs. 1 i.V.m. Art. 12 Abs. 3 DSGVO. Hierbei handele es sich jedoch um einen marginalen Verfahrensverstoß, der keinen sofortigen Verwarnungsgrund darstelle, zumal das BAPersBw zunächst davon habe ausgehen dürfen, die Antwort fristgerecht gegeben zu haben. Ein Verstoß gegen Art. 5 Abs. 1 lit. f) und Art. 32 Abs. 1 lit b.) DSGVO werde entschieden zurückgewiesen. Bei der gewählten Vorgehensweise sei die Vertraulichkeit vielmehr uneingeschränkt gewahrt gewesen. Der Vorwurf, trotz des eingerichteten Passwortschutzes sei das Risiko einer unbefugten Offenlegung nur ein wenig reduziert worden, sei unberechtigt. Die Vorgabe der Beklagten an eine ausreichende Verschlüsselung (mindestens 20 Zeichen) sei realitätsfremd.

10

Die Klägerin beantragt,

11

den Bescheid der Beklagten vom 1. April 2021 aufzuheben.

12

Die Beklagte beantragt,

13

die Klage abzuweisen.

14

Sie verteidigt den angefochtenen Bescheid und ist darüber hinaus der Ansicht, es könne dahinstehen, ob eine nur geringfügige Fristüberschreitung und damit ein geringfügiger Verstoß in Rede stehe. Denn aus dem 148. Erwägungsgrund der DSGVO ergebe sich, dass die Verwarnung auch und gerade für den Fall des geringfügigen Verstoßes vorgesehen sei. Was die Datenübermittlung angehe, könne letztlich dahinstehen, ob die gewählte E-Mail-Adresse dem Beschwerdeführer zuzuordnen sei oder nicht. Entscheidend sei, dass er sie nicht als Kontaktadresse angegeben habe. Selbst wenn es sich um eine seiner Adressen handelte, sei nicht ausgeschlossen, dass er diese zu ganz anderen Zwecken erstellt habe, z.B. zur Verwendung im familiären Bereich mit entsprechenden Zugriffmöglichkeiten für die in seinem Haushalt lebenden Personen. Im Übrigen habe eine einfache Namenssuche im Internet zahlreiche Personen mit dem Namen G. I. ergeben. Für die Entschlüsselung eines Passwortes, das sich nur aus den sechs Zahlen des Geburtsdatums zusammensetze, würden mit einem „offline brute-force“-Angriff lediglich 50 Sekunden benötigt.

15

Die Beteiligten haben auf die Durchführung einer mündlichen Verhandlung verzichtet.

16

Wegen der weiteren Einzelheiten des Sach- und Streitstandes wird auf den Inhalt der Gerichts­akte und denjenigen der beigezogenen Verwaltungsvorgänge der Beklagten Bezug genommen.

17

Entscheidungsgründe:

18

Das Gericht kann mit Einverständnis der Beteiligten ohne mündliche Verhandlung ent­scheiden, § 101 Abs. 2 der Verwaltungsgerichtsordnung (VwGO).

19

Die zulässige Klage ist unbegründet.

20

Die auf die Aufhebung der datenschutzrechtlichen Verwarnung gerichtete Klage ist zwar als Anfechtungsklage statthaft und auch sonst zulässig. Die Verwarnung stellt einen Verwaltungsakt im Sinne des § 35 Satz 1 des Verwaltungsverfahrensgesetzes (VwVfG) dar. Die Beklagte zielte mit der als „Bescheid“ überschriebenen und mit einer Rechtsbehelfsbelehrung versehenen Verwarnung darauf ab, verbindlich ihre Missbilligung über einen Verstoß des BAPersBw gegen die DSGVO zum Ausdruck zu bringen,

21

vgl. hierzu: Bundesverwaltungsgericht (BVerwG), Urteil vom 20. März 2024 - 6 C 8.22 -, juris Rdn. 13.

22

Dass auch eine Bundesbehörde Rechtsschutz gegen eine sie betreffende datenschutzrechtliche Beanstandung der Aufsichtsbehörde suchen kann, folgt unmittelbar aus Art. 78 DSGVO. Danach hat jede natürliche oder juristische Person unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen einen sie betreffenden rechtsverbindlichen Beschluss einer Aufsichtsbehörde. Wegen des Anwendungsvorrangs des Unionsrechts setzt der Erfolg einer Anfechtungsklage gegen eine auf Art. 58 Abs. 2 DSGVO gestützte Maßnahme der Beklagten weder die Geltendmachung (§ 42 Abs. 2 VwGO) noch das Vorliegen einer subjektiven Rechtsverletzung (§ 113 Abs. 1 Satz 1 VwGO) voraus. Vielmehr reicht es aus, dass die Maßnahme einen Kläger betrifft,

23

vgl. BVerwG, a.a.O. Rdn. 14.

24

Das ist hier der Fall.

25

Jedoch hat die Klage in der Sache keinen Erfolg.

26

Der Bescheid der Beklagten vom 1. April 2021 ist rechtmäßig und verletzt die Klägerin nicht in ihren Rechten, § 113 Abs. 1 Satz 1 VwGO.

27

Rechtsgrundlage für die mit Bescheid vom 1. April 2021 erteilte Verwarnung ist Art. 58 Abs. 2 lit. b) DSGVO i.V.m. § 16 Abs. 1 des Bundesdatenschutzgesetzes (BDSG). Danach hat die Aufsichtsbehörde die Befugnis, einen Verantwortlichen oder einen Auftragsverarbeiter zu verwarnen, wenn er mit Verarbeitungsvorgängen gegen die DSGVO verstoßen hat.

28

Hier hat das BAPersBw zum einen gegen Art. 12 Abs. 3 DSGVO verstoßen, wonach es verpflichtet war, dem Beschwerdeführer die nach Art. 15 DSGVO verlangte Auskunft innerhalb eines Monates nach Eingang seines Antrags zur Verfügung zu stellen. Die Frist begann mit Zugang des entsprechenden Auskunftsantrages am 1. März 2020 beim BAPersBw. Mag das BAPersBw auch unmittelbar mit der Bearbeitung des Auskunftsantrages begonnen und diese intern abgeschlossen haben, ist die Auskunft nachweislich erst am 6. April 2020 - und damit außerhalb der Monatsfrist - bei dem Antragsteller eingegangen. Für einen früheren Zugang ist die Klägerin beweispflichtig,

29

vgl. Ehmann/Selmayr/Heckmann/Paschke, DSGVO, 3. Aufl. 2024, Art. 12 DSGVO, Rdn. 32.

30

Diesen Beweis hat die Klägerin nicht erbracht und konsequenterweise diesen Verstoß auch eingeräumt.

31

Zum anderen liegt ein Verstoß gegen Art. 5 Abs. 1 lit. f) und 32 Abs. 1 lit. b) DSGVO vor. Hiernach müssen bei der Verarbeitung personenbezogener Daten geeignete Maßnahmen ergriffen werden, um diese u.a. vor einer unbefugten oder unrechtmäßigen Verarbeitung bzw. Offenlegung zu schützen. Gemäß dem 39. Erwägungsgrund (letzter Satz) sollten personenbezogene Daten so verarbeitet werden, dass ihre Sicherheit und Vertraulichkeit hinreichend gewährleistet ist, wozu auch gehört, dass Unbefugte keinen Zugang zu den Daten haben und weder die Daten noch die Geräte, mit denen diese verarbeitet werden, benutzen können.

32

Der am 12. März 2020 vom BAPersBw erfolgte Versand der personenbezogenen Daten des Beschwerdeführers mittels einfacher, unverschlüsselter E-Mail an die von ihm - unstreitig - gerade nicht als Kontaktadresse angegebene und nach den eigenen Angaben des BAPersBw lediglich vermutete E-Mail-Adresse (E-Mail02) stellte einen Verstoß gegen die in Art. 5 Abs. 1 lit. f) und 32 Abs. 1 lit. b) DSGVO normierten Grundsätze der Integrität und Vertraulichkeit dar. Der Versand an diese E-Mail-Adresse erfolgte gewissermaßen „ins Blaue hinein“.

33

Hinzu kommt, dass dieser ansonsten ungesicherten E-Mail vom 12. März 2020 ein verschlüsseltes PDF-Dokument (nach Angaben des BAPersBw mit 256-Bit Schlüssellänge) angehängt war. Als Passwort zur Entschlüsselung wurde das Geburtsdatum des Empfängers in sechsstelliger Schreibweise gewählt, wobei diese Information im Text der unverschlüsselten E-Mail enthalten war.

34

Hierdurch war die Vertraulichkeit der übermittelten personenbezogenen Daten nicht gesichert. Denn Passwörter der Länge eines Geburtsdatums können mit einem sog. „offline brute force“-Angriff innerhalb kürzester Zeit entschlüsselt werden, wie die Beklagte nachvollziehbar dargelegt hat. Setzt sich ein Passwort nur aus den sechs Zahlen eines Geburtsdatums zusammen, werden für die Entschlüsselung nur ca. 50 Sekunden benötigt, wie sich auf der Internetseite https://wiesicheristmeinpasswort.de testen lässt. Da in der E-Mail bereits unverschlüsselt der Hinweis enthalten war, dass Passwort das Geburtsdatum des eigentlichen Empfängers war, wurde die Anzahl der für eine Entschlüsselung benötigten Versuche zusätzlich reduziert.

35

Die streitgegenständliche Verwarnung begegnet auch auf der Rechtsfolgenseite keinen durchgreifenden Bedenken. Die Beklagte hat das ihr nach Art. 58 Abs. 2 DSGVO eingeräumte Ermessen,

36

vgl. nur: Gerichtshof der Europäischen Union (EuGH), Urteil vom 26. September 2024 - C-768/21 -, juris Rdn. 37,

37

fehlerfrei ausgeübt, § 114 VwGO.

38

Insbesondere ist ein Verstoß gegen den Grundsatz der Verhältnismäßigkeit, der auch bei der Auswahl der nach Art. 58 DSGVO zur Verfügung stehenden Maßnahmen zu beachten ist,

39

vgl. EuGH, a.a.O., Rdn. 42,

40

nicht ersichtlich.

41

Dabei ist zu berücksichtigen, dass die Aufsichtsbehörde zum Einschreiten verpflichtet ist, wenn das Ergreifen einer oder mehrerer der in Art. 58 Abs. 2 DSGVO vorgesehenen Abhilfemaßnahmen unter Berücksichtigung aller Umstände des konkreten Falls geeignet, erforderlich und verhältnismäßig ist, um der festgestellten Unzulänglichkeit abzuhelfen und die umfassende Einhaltung der DSGVO zu gewährleisten. Dabei ist nicht ausgeschlossen, dass die Aufsichtsbehörde ausnahmsweise und unter Berücksichtigung der besonderen Umstände des konkreten Falles vom Ergreifen einer Abhilfemaßnahme absehen kann, obwohl - wie hier - eine Verletzung des Schutzes personenbezogener Daten festgestellt wurde. Ein solcher könnte namentlich dann vorliegen, wenn die festgestellte Verletzung nicht angedauert hat, beispielsweise wenn der Verantwortliche, der grundsätzlich geeignete technische und organisatorische Maßnahmen zum Datenschutz umgesetzt hatte, in Anbetracht der ihm insbesondere nach Art. 5 Abs. 2 und 24 DSGVO obliegenden Pflichten, sobald er von dieser Verletzung Kenntnis erlangt, die geeigneten und erforderlichen Maßnahmen ergriffen hat, damit die Verletzung abgestellt wird und sich nicht wiederholt,

42

vgl. EuGH, a.a.O., Rdn. 42ff.

43

Von Letzterem kann hier indes keine Rede sein. Insbesondere hinsichtlich der Übersendung der beantragten Auskunft per einfacher, unverschlüsselter E-Mail an eine nicht verifizierte E-Mail-Adresse sowie der Verwendung eines lediglich sechs Zeichen langen Passworts hat die Klägerin nicht etwa selbst geeignete Maßnahmen ergriffen, damit eine solche Verletzung von Art. 5 Abs. 1 lit. f), 32 Abs. 1 lit. b) DSGVO sich nicht wiederholt, sondern sich lediglich darauf zurückgezogen, pauschal zu behaupten, sie widme sich jedem Vorgang mit datenschutzrechtlicher Relevanz mit größter Sorgfalt und nehme berechtigte Kritik gerne zum Anlass, die Handhabung der anvertrauten Daten weiter zu verbessern. Dass das Ergreifen wirksamer Maßnahmen vom BAPersBw nicht ernsthaft beabsichtigt ist, belegt auch der Umstand, dass die Klägerin im Klageverfahren die Ansicht vertritt, die Vorgabe der Beklagten an eine ausreichende Verschlüsselung (mindestens 20 Zeichen) sei realitätsfremd.

44

Die nach alledem zum Einschreiten verpflichtete Beklagte hat schließlich mit der Verwarnung auch das mildeste im Maßnahmenkatalog des Art. 58 Abs. 2 DSGVO geregelte Abhilfeinstrumentarium bei einem festgestellten Verstoß gewählt.

45

Die Kostenentscheidung beruht auf § 154 Abs. 1 VwGO.

46

Die Entscheidung über die vorläufige Vollstreckbarkeit ergibt sich aus § 167 Abs. 1 Satz 1, Abs. 2 VwGO i.V.m. § 708 Nr. 11, § 711 ZPO.

47

Rechtsmittelbelehrung

48

Innerhalb eines Monats nach Zustellung dieses Urteils kann bei dem Verwaltungs­gericht Köln schriftlich beantragt werden, dass das Ober­verwaltungsgericht für das Land Nord­rhein-West­falen in Münster die Berufung zulässt. Der Antrag muss das angefoch­tene Urteil be­zeichnen.

49

Innerhalb von zwei Monaten nach Zustellung des Urteils sind die Gründe darzulegen, aus denen die Berufung zuzulassen ist. Die Begründung ist, soweit sie nicht bereits mit dem Antrag vorgelegt worden ist, bei dem Oberverwaltungs­gericht für das Land Nordrhein-Westfalen in Münster schriftlich einzurei­chen.

50

Der Antrag ist zu stellen und zu begründen durch einen Rechtsanwalt oder einen Rechtslehrer an einer staatlichen oder staatlich anerkannten Hochschule eines Mit­gliedstaates der Europäischen Union, eines anderen Vertragsstaates des Abkom­mens über den Europäischen Wirtschaftsraum oder der Schweiz, der die Befähigung zum Richteramt besitzt, oder eine diesen gleichgestellte Person als Bevollmächtig­ten. Behörden und juristische Personen des öffentlichen Rechts ein­schließlich der von ihnen zur Erfüllung öffentlicher Aufgaben gebildeten Zusammen­schlüsse können sich auch durch eigene Beschäftigte mit Befähigung zum Richter­amt oder durch Be­schäftigte mit Befähigung zum Richteramt anderer Behörden oder juristischer Per­sonen des öffentlichen Rechts einschließlich der von ihnen zur Erfül­lung ihrer öffent­lichen Aufgaben gebildeten Zusammenschlüsse vertreten lassen. Auf die besonde­ren Regelungen in § 67 Abs. 4 Sätze 7 und 8 VwGO wird hingewiesen.

51

Ferner ergeht ohne Mitwirkung der ehrenamtlichen Richterinnen der

52

Beschluss

53

Der Wert des Streitgegenstandes wird auf

54

5.000,-- €

55

festgesetzt.

56

Gründe

57

Die Festsetzung des Streitwerts beruht auf § 52 Abs. 2 GKG. Der festgesetzte Wert entspricht dem Auffangstreitwert.

58

Rechtsmittelbelehrung

59

Gegen diesen Beschluss kann innerhalb von sechs Monaten, nachdem die Ent­scheidung in der Hauptsache Rechtskraft erlangt oder das Verfahren sich anderwei­tig erledigt hat, bei dem Verwaltungsgericht Köln schriftlich oder zur Niederschrift des Urkunds­beamten der Geschäftsstelle Beschwerde eingelegt werden, über die das Oberver­waltungsgericht für das Land Nordrhein-Westfalen in Münster entscheidet, falls das Verwaltungsgericht ihr nicht abhilft. Ist der Streitwert später als einen Monat vor Ab­lauf der genannten Frist festgesetzt worden, kann die Beschwerde innerhalb eines Monats nach Zustellung oder formloser Mitteilung des Festsetzungs­beschlusses ein­gelegt werden. Die Beschwerde ist nur zulässig, wenn der Wert des Beschwerdege­genstandes zweihundert Euro übersteigt. Die Beschwerde findet auch statt, wenn sie das Gericht, das die Entscheidung erlassen hat, wegen der grundsätzlichen Bedeu­tung der zur Entscheidung stehenden Frage zulässt.