EuGH zur Anwendung der DSGVO auf parlamentarische Untersuchungsausschüsse

Verdrängt Unionsrecht das Grundgesetz?

Am 09.07.2020 urteilte der EuGH, dass die DSGVO auf den Petitionsausschuss des Hessischen Landtages anzuwenden sei (EuGH C-272/19). Auf eine Auslegungsvorlage des Österreichischen Verwaltungsgerichtshofs hat der EuGH nun entschieden, dass auch parlamentarische Untersuchungsausschüsse den Bindungen der DSGVO und damit dem Unionsrecht unterfallen. In Wien hatte ein verdeckter Ermittler beim Datenschutzbeauftragten beantragt, dass die Wiedergabe seiner Identität in einem Zwischenbericht über seine Aussage vor einem Untersuchungsausschuss anonymisiert wird. Der Antrag wurde abgewiesen, in zweiter Instanz wurde der EuGH zur Vorabentscheidung durch den VwGH eingeschaltet (VwGH Ro 2021/04/0006 vom 14.12.2021).

Damit verdrängt auf Bundesebene das Unionsrecht insoweit das Grundgesetz – ein sensationeller Befund! Denn nach Art. 44 IV 1 GG sind Beschlüsse eines Untersuchungsausschusses der richterlichen Erörterung entzogen und damit nach dem Grundgesetz nicht justiziabel.

Mit dem folgenden äußerst relevanten Klausurfall haben wir die Problematik auf das Bundesrecht übertragen. Zugleich beziehen wir eine Entscheidung des Verwaltungsgerichts Hamburg (Urteil vom 01.06.2021 – 17 K 2977/19 ) mit ein, die exemplarisch die prozessuale Verfolgung des Datenschutzes nach der unionsrechtlichen DSGVO deutlich macht.

A. Sachverhalt

Im Bundestag hat ein Untersuchungsausschuss seine Tätigkeit zur Aufklärung von Missständen beim Bundesamt für Verfassungsschutz abgeschlossen. Gegenstand der Untersuchung war die Frage, ob die Bundesregierung in unzulässiger Weise Einfluss auf die Leitung des Amtes ausgeübt hatte. Im Abschlussbericht, der an das Plenum übermittelt werden soll, wird in besonderer Weise die Aussage eines Mitarbeiters des Bundesamtes (K) bewertet, der mit seinen Aussagen den Mitgliedern des Ausschusses einen tiefgehenden Einblick in die Entscheidungsprozesse beim Bundesamt geben konnte. K hatte den Ausschussvorsitzenden vor Abschluss des Untersuchungsverfahrens darum gebeten, seine Identität aus Gründen des Persönlichkeitsschutzes nicht bekanntzugeben. Außerdem sei dies angesichts der gesetzlichen Aufgabenstellung des Bundesamtes für Verfassungsschutz aus Gründen der nationalen Sicherheit angezeigt. Da er damit keinen Erfolg hatte, hat er nun beim Bundesbeauftragten für Datenschutz unter Hinweis auf die DSGVO den Antrag gestellt, dem Untersuchungsausschuss aufzugeben, im Abschlussbericht seine Identität nicht offenzulegen.

Der Bundesbeauftragte für Datenschutz hat eine Entscheidung über den Antrag von vornherein abgelehnt. Nach Art. 44 IV GG sei der Abschlussbericht eines Untersuchungsausschusses nicht justiziabel und somit auch seiner Kontrolle schlechthin entzogen.

Hiergegen hat K unverzüglich Klage vor dem örtlich zuständigen Verwaltungsgericht erhoben. Mit seinem Klageantrag erstrebt er die Verpflichtung des Datenschutzbeauftragten, dem geltend gemachten Verstoß gegen die DSGVO nachzugehen und entsprechend in der Sache nach pflichtgemäßem Ermessen zu entscheiden.

Wird K damit Erfolg haben?

B. Entscheidung

K erstrebt mit seiner Klage vor dem Verwaltungsgericht die Verurteilung des Bundesbeauftragten für Datenschutz, seinen Antrag, dem Untersuchungsausschuss des Bundestages aufzugeben, seine Identität im Abschlussbericht nicht zu benennen, sachlich zu bescheiden.

I. Zulässigkeit

1. Zunächst müsste das angerufene Verwaltungsgericht zur Entscheidung über den Rechtsstreit zuständig sein. Fehlt es daran, verweist es den Rechtsstreit an das zuständige Gericht (§§ 17a II GVG, 83 VwGO).

a) Voraussetzung ist dafür zunächst, dass der Verwaltungsrechtsweg eröffnet ist. Das ist der Fall, wenn eine aufdrängende Sonderzuweisung eingreift. Andernfalls beurteilt sich die Eröffnung des Rechtsweges nach § 40 I VwGO.

Der Datenschutz einschließlich der verfahrensrechtlichen Ausgestaltung ist vorrangig in der DSGVO geregelt mit der Folge, dass das BDSG und die LDSG nur (noch) insoweit zur Anwendung kommen können, als das Unionsrecht keine eigenständigen Aussagen trifft. Die prozessualen Rechtsbehelfe zum Datenschutz durch Anrufung von Datenschutzbeauftragten beurteilen sich auf Bundes- und Landesebene nach § 20 BDSG, zumal die DSGVO dazu keine Aussagen aufweist.

Nach der aufdrängenden Sonderzuweisung des § 20 I 1 BDSG ist der Verwaltungsrechtsweg für die Streitigkeit des K gegen den Bundesbeauftragten als Aufsichtsbehörde eröffnet.

b) Sachlich zuständig ist nach § 45 VwGO das Verwaltungsgericht. Da laut Sachverhalt K vor dem örtlich zuständigen Verwaltungsgericht Klage erhoben hat, bestehen keinerlei Bedenken an der Zuständigkeit des angerufenen Gerichts.

2. Beteiligte des Rechtsstreits sind K als Kläger und unmittelbar der Datenschutzbeauftragte des Bundes als beklagte Behörde (§ 61 Nr. 1 VwGO, 1. Alternative sowie § 20 IV BDSG in Abweichung zu § 61 Nr. 1 VwGO, 2. Alternative).

Der Untersuchungsausschuss ist dem Verfahren beizuladen. Der Kläger erstrebt die Verurteilung des Bundesbeauftragten für Datenschutz, verbindlich darüber zu entscheiden, inwieweit dem Ausschuss eine bestimmte Verhaltensweise aufzugeben ist. Damit ist in der dreipoligen Beziehung eine einheitliche Entscheidung auch gegenüber dem Untersuchungsausschuss erforderlich, sodass es der Beiladung bedarf (§ 65 II VwGO).

3. Statthafte Klageart ist eine Verpflichtungsklage, wenn der Kläger die Verurteilung der beklagten Behörde zum Erlass eines Verwaltungsaktes erstrebt (§ 42 I VwGO, 1. Alternative). Dem Kläger geht es um eine Maßnahme des Bundesbeauftragten für Datenschutz gegenüber dem Untersuchungsausschuss. Der Datenschutzbeauftragte soll verbindlich darüber entscheiden, wie anlässlich des Begehrens auf Anonymisierung sachlich zu entscheiden ist. Die Entscheidung ist ein Verwaltungsakt iSd. § 35 1 VwVfG.

Im Fall des Erfolges der Klage hebt das Verwaltungsgericht zugleich den Ablehnungsbescheid auf und spricht die Verpflichtung des beklagten Datenschutzbeauftragten aus, den erstrebten Verwaltungsakt – die Entscheidung in der Sache – zu erlassen.

4. Die besonderen Sachurteilsvoraussetzungen beurteilen sich nach §§ 42 II, 68-74 VwGO.

Da ein Vorverfahren entfällt (vgl. § 20 VI BDSG) und K umgehend Klage erhoben hat (vgl. § 74 VwGO), hängt die Prüfung der klageartabhängigen Zulässigkeitsvoraussetzungen allein davon ab, ob die Möglichkeit besteht, dass K in einem subjektiven Recht betroffen ist (§ 42 II VwGO).

Art. 77 I DSGVO begründet ein Recht auf Beschwerde bei der Aufsichtsbehörde (hier: dem Datenschutzbeauftragten), wenn der Betroffene meint, dass eine ihn betreffende Datenverarbeitung gegen die DSGVO verstößt. Wird die Beschwerde zurückgewiesen, folgt aus Art. 78 II DSGVO das Recht auf einen wirksamen gerichtlichen Rechtsbehelf. Damit wird der grundrechtliche Schutz personenbezogener Daten (Art. 8 EU GRCh) einfachgesetzlich näher ausgestaltet, sodass insoweit ein subjektives Recht auf Anrufung des Datenschutzbeauftragten besteht.

Umstritten ist jedoch die Reichweite dieses subjektiven Rechts.

a) Unter Hinweis auf die in Art. 57 I DSGVO geregelte Aufgaben des Datenschutzbeauftragten wird vereinzelt vertreten, der Betroffene habe lediglich ein Recht darauf, dass sich der Datenschutzbeauftragte mit dem Fall – vergleichbar mit dem Beschwerderecht bei einer Petition – befasst (Art. 57 I f DSGVO). Exemplarisch ist etwa die Entscheidung des OVG Koblenz vom 26.10.2020 (10 A 10613/20), zitiert nach juris Rn. 38:

„Das Beschwerderecht des Art. 77 DS-GVO knüpft an die in Art. 57 Abs. 1 Buchst. f DS-GVO objektiv-rechtlich geregelten Aufgaben der Aufsichtsbehörde an. Diese beschränken sich bei der Bearbeitung von Beschwerden im Sinne von Art. 77 Abs. 1 DS-GVO wie dargelegt auf die Befassung mit der Beschwerde, die Untersuchung des Beschwerdegegenstands sowie die Unterrichtung des Beschwerdeführers über das Ergebnis. Damit entspricht das Beschwerderecht einem Petitionsrecht, das dem Betroffenen ebenfalls (nur) einen Anspruch auf Entgegennahme, sachliche Prüfung und Bescheidung einräumt. Ein Recht auf einen Bescheid bestimmten Inhalts bzw. auf eine bestimmte Entscheidung in seiner Sache steht dem Petenten danach nicht zu.“

Diese Sichtweise hat zur Folge, dass das subjektive Recht dem Kläger lediglich die Position vermittelt, mithilfe des Verwaltungsgerichts sicherzustellen bzw. zu überprüfen, dass die Beschwerde vom Datenschutzbeauftragten ordnungsgemäß entgegengenommen wurde, dass er die Beschwerde geprüft und dies auch verbindlich mitgeteilt hat – nicht jedoch darauf, inwieweit sich die Bearbeitung und das Ergebnis inhaltlich in der vom Betroffenen erwünschten Weise mit der Sache befasst haben.

b) Die h.M. leitet aus Art. 57 I f, 77 I DSGVO das Recht ab, dass der Betroffene einen Anspruch darauf hat, dass der Datenschutzbeauftragte nach einer inhaltlichen Überprüfung der Beschwerde zu einer ermessensfehlerfreien Entscheidung in der Sache einschließlich etwaiger Abhilfemaßnahmen i.S.d. Art. 58 II DSGVO verpflichtet ist (vgl. die umfangreichen Nachweise bei VG Hamburg aaO Rn. 63).

Zur Begründung verweist das VG Hamburg auf mehrere Gesichtspunkte:

Rn. 47 „Indem Art. 78 Abs. 1 DSGVO (in Einklang mit Erwägungsgrund 143) einen „wirksamen gerichtlichen Rechtsbehelf“ gegen einen rechtsverbindlichen Beschluss der Aufsichtsbehörde vorsieht, verlangt er eine inhaltliche Kontrolle der Entscheidung der Aufsichtsbehörde, die sich nicht lediglich auf die Prüfung beschränkt, ob die Aufsichtsbehörde die Beschwerde entgegengenommen, bearbeitet und beschieden hat……

Rn. 48 Deutlich spricht auch der Erwägungsgrund 141 der Datenschutzgrundverordnung dafür, dass ein Anspruch auf ein Einschreiten bestehen kann. Danach soll ein Beschwerdeführer u.a. einen Anspruch auf einen wirksamen gerichtlichen Rechtsbehelf haben, wenn die Aufsichtsbehörde auf eine Beschwerde hin nicht tätig wird….

Rn. 54 Die Reichweite des subjektiven Rechts ergibt sich zunächst aus Art. 57 Abs. 1 Buchst. f DSGVO. Danach muss die Aufsichtsbehörde die Beschwerde in angemessenem Umfang untersuchen. Sie hat die Beschwerde dabei mit aller gebotenen Sorgfalt zu prüfen (vgl. EuGH, Urt. v. 6.10.2015, C 362/14, juris, Rn. 63), wobei Prüfungsmaßstab die Frage ist, ob ein Verstoß gegen die Datenschutzgrundverordnung vorliegt (vgl. Ehmann/Selmayr/Nemitz, DSGVO, 2. Aufl. 2018, Art. 77 Rn. 15).

Rn. 58 Nach Art. 57 Abs. 1 Buchst. a DSGVO hat die Aufsichtsbehörde die Anwendung der Datenschutzgrundverordnung zu überwachen und durchzusetzen. Hierzu verfügt sie über die in Art. 58 DSGVO geregelten Untersuchungs-, Abhilfe, Genehmigungs- und beratende Befugnisse. Ihr ist es im Rahmen der ihr zur Verfügung stehenden Abhilfebefugnisse nach Art. 58 Abs. 2 DSGVO insbesondere gestattet, eine Verwarnung auszusprechen (Buchst. b), eine vorübergehende oder endgültige Beschränkung der Verarbeitung, insbesondere ein Verbot, zu verhängen (Buchst. f) sowie die Löschung von personenbezogenen Daten anzuordnen (Buchst. g). Der Aufsichtsbehörde steht dabei sowohl ein Entschließungs- als auch ein Auswahlermessen zu (Sydow, DSGVO, 2. Aufl. 2018, Art. 77 Rn. 37; Ehmann/Selmayr/Nemitz, DSGVO, 2. Aufl. 2018, Art. 77 Rn. 17; Ehmann/Selmayr/Selmayr, DSGVO, 2. Aufl. 2018, Art. 58 Rn. 18; BeckOK DatenschutzR/Mundil, 35. ED 1.2.2020, DS-GVO Art. 77 Rn. 15).

Der Kläger hat im Rahmen seiner Beschwerde nach Art. 57 I f, 77 I DSGVO geltend gemacht, dass die Verarbeitung der ihn betreffenden personenbezogenen Daten gegen die DSGVO verstößt. Somit begründen diese Vorschriften gegenüber dem Datenschutzbeauftragten einen Anspruch auf eine ermessensfehlerfreie Entscheidung in der Sache. Damit ist die Klagebefugnis nach § 42 II VwGO gegeben.

4. Schließlich können Kläger das allgemeine Rechtsschutzbedürfnis an seiner Klage nicht abgesprochen werden. Er hat vor Erhebung der Klage den Untersuchungsausschuss darum gebeten, seine Identität nicht bekanntzugeben. Der Ausschuss ist dem nicht gefolgt. Deshalb bedarf es der Klage.

Die Klage ist danach zulässig.

II. Begründetheit

Der zu Recht gegen den Datenschutzbeauftragten des Bundes als zuständige Behörde gerichtete Anspruch aus Art. 57 I f, 77 I, 78 I DSGVO auf ermessensfehlerfreie Entscheidung ist begründet, wenn der Anspruch des Klägers nicht ordnungsgemäß erfüllt worden ist (§ 113 V VwGO). Ein Anspruch auf Bescheidung geht durch Erfüllung unter, wenn die Ablehnung ermessensfehlerfrei erfolgt ist (vgl. § 40 VwVfG). Beruht hingegen die Ablehnung auf einem Ermessensausfall oder einem Ermessensfehlgebrauch, wird die Behörde zu einer erneuten Bescheidung verurteilt (vgl. § 113 V 2 VwGO).

Der Datenschutzbeauftragte des Bundes hat eine Bescheidung des Antrags des Klägers von vornherein unter Hinweis auf Art. 44 IV GG ausgeschlossen. Nach dem Grundgesetz ist der Abschlussbericht eines Untersuchungsausschusses der richterlichen Erörterung entzogen. Mit dieser Begründung hat er sein Ermessen zur inhaltlichen Sachbescheidung nicht ausgeübt.

Sollte die DSGVO auch für Untersuchungsausschüsse des Bundestages verbindlich sein, hätte der Datenschutzbeauftragte des Bundes entsprechend den Vorgaben aus Art. 57 I f, 77 I, 78 I DSGVO den geltend gemachten Anspruch des K sachlich bescheiden müssen. Seine Entscheidung würde dann auf einem Ermessensausfall beruhen.

Für die Beurteilung der Begründetheit der Klage auf Bescheidung durch den Datenschutzbeauftragten kommt es deshalb maßgeblich darauf an, inwieweit die DSGVO auch auf einen Untersuchungsausschuss des Bundestages zur Anwendung kommt.

1. Hintergrund der Regelung des Art. 44 IV 1 GG ist die Funktionssicherung der parlamentarischen Autonomie des Bundestages. Abgeleitet aus dem Demokratieprinzip soll damit ein verfassungsfester Kernbereich parlamentarischer Eigengestaltung gewährleistet werden. Die Abgeordneten sind nur ihrem Gewissen verantwortlich (Art. 38 GG). Das schließt Übergriffe durch andere Staatsgewalten aus.

Danach wäre es dem Datenschutzbeauftragten des Bundes verwehrt, datenschutzrechtliche Entscheidungen im Zusammenhang mit dem Abschlussbericht eines Untersuchungsausschusses zu treffen.

Der Anspruch des Klägers aus der DSGVO scheitert dann an Art. 44 IV 1 GG, er war ohne Ermessensausübung zurückzuweisen.

2. Demgegenüber legt der EuGH die auf Art. 16 AEUV beruhende DSGVO entsprechend ihrem Wortlaut weit aus: Art. 2 I DSGVO benennt den sachlichen Anwendungsbereich für jede Form der Datenverarbeitung, wobei (nur) Art. 2 II und Art. 2 III DSGVO abschließend alle Ausnahmen aufführen.

a) Dementsprechend werden die Ausnahmen zum Anwendungsbereich der DSGVO vom EuGH wiederum sehr eng interpretiert. Dazu heißt es in Rn. 37 des Urteils vom 16.01.2024 (C-33/22):

Rn 37 „Aus der Rechtsprechung des Gerichtshofs ergibt sich, dass die in Art. 2 Abs. 2 DSGVO vorgesehene Ausnahme eng auszulegen ist (Urteil vom 22. Juni 2021, Latvijas Republikas Saeima, C-439/19, EU:C:2021:504, Rn. 62 und die dort angeführte Rechtsprechung). In diesem Zusammenhang hat der Gerichtshof bereits entschieden, dass mit Art. 2 Abs. 2 Buchst. a DSGVO im Licht des 16. Erwägungsgrundes dieser Verordnung von deren Anwendungsbereich allein Verarbeitungen personenbezogener Daten ausgenommen werden sollen, die von staatlichen Stellen im Rahmen einer Tätigkeit, die der Wahrung der nationalen Sicherheit dient, oder einer Tätigkeit, die derselben Kategorie zugeordnet werden kann, vorgenommen werden, so dass der bloße Umstand, dass eine Tätigkeit eine spezifische Tätigkeit des Staates oder einer Behörde ist, nicht dafür ausreicht, dass diese Ausnahme automatisch für diese Tätigkeit gilt ….

Rn 38 Diese Auslegung, die sich bereits daraus ergibt, dass Art. 2 Abs. 1 DSGVO nicht danach unterscheidet, wer Urheber der betreffenden Verarbeitung ist, wird durch ihren Art. 4 Nr. 7 bestätigt, der den Begriff „Verantwortlicher“ als „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“, definiert.

Rn 41 Wie im Wesentlichen vom Generalanwalt … ausgeführt, bezieht sich die in Art. 2 Abs. 2 Buchst. a DSGVO vorgesehene Ausnahme vom Anwendungsbereich dieser Verordnung ausschließlich auf Kategorien von Tätigkeiten, die aufgrund ihrer Natur nicht in den Anwendungsbereich des Unionsrechts fallen, und nicht auf Kategorien von Personen (privater oder öffentlich-rechtlicher Natur) und – für den Fall, dass der Verantwortliche eine Behörde ist – auch nicht darauf, dass die Aufgaben und Pflichten dieser Behörde unmittelbar und ausschließlich einer bestimmten hoheitlichen Befugnis zuzurechnen sind, wenn diese Befugnis nicht mit einer Tätigkeit einhergeht, die jedenfalls vom Anwendungsbereich des Unionsrechts ausgenommen ist.

Rn 43 Nach alledem ist … zu antworten, dass Art. 16 Abs. 2 Satz 1 AEUV und Art. 2 Abs. 2 Buchst. a DSGVO dahin auszulegen sind, dass nicht angenommen werden kann, dass eine Tätigkeit allein deshalb außerhalb des Anwendungsbereichs des Unionsrechts liegt und damit der Anwendung der DSGVO entzogen ist, weil sie von einem vom Parlament eines Mitgliedstaats in Ausübung seines Kontrollrechts der Vollziehung eingesetzten Untersuchungsausschuss ausgeübt wird.“

b) Fallen danach Durchführung und Abschluss eines Untersuchungsverfahrens nach Art. 46 GG in den grundsätzlichen Anwendungsbereich der DSGVO, so könnte im vorliegenden Fall gleichwohl eine Ausnahme gegeben sein, weil der Untersuchungsgegenstand dem Unionsrecht entzogen ist (Art. 2 II a DSGVO). Dann müsste die Untersuchung des Verdachts politischer Einflussnahme auf das Bundesamt für Verfassungsschutz als eine Frage der nationalen Sicherheit der Bundesrepublik zu bewerten sein. In dem Bedürfnis, den Datenschutz unionsweit zur optimalen Wirkung zu bringen, interpretiert der EuGH diese Ausnahme wiederum sehr eng und verneint sie hier:

„Rn 45 Wie in Rn. 37 des vorliegenden Urteils ausgeführt, ist Art. 2 Abs. 2 Buchst. a DSGVO eng auszulegen und soll allein Verarbeitungen personenbezogener Daten vom Anwendungsbereich dieser Verordnung ausnehmen, die von staatlichen Stellen im Rahmen einer Tätigkeit, die der Wahrung der nationalen Sicherheit dient, oder einer Tätigkeit, die derselben Kategorie zugeordnet werden kann, vorgenommen werden.

Rn 46 Die im Sinne von Art. 2 Abs. 2 Buchst. a DSGVO auf die Wahrung der nationalen Sicherheit abzielenden Tätigkeiten umfassen insbesondere solche, die den Schutz der grundlegenden Funktionen des Staates und der grundlegenden Interessen der Gesellschaft bezwecken (Urteile vom 22. Juni 2021, Latvijas Republikas Saeima, C-439/19, EU:C:2021:504, Rn. 67, und vom 20. Oktober 2022, Koalitsia „Demokratichna Bulgaria – Obedinenie“, C-306/21, EU:C:2022:813, Rn. 40).

Rn 50 Hierzu ist darauf hinzuweisen, dass es gemäß Art. 4 Abs. 2 EUV zwar Sache der Mitgliedstaaten ist, ihre wesentlichen Sicherheitsinteressen festzulegen und die geeigneten Maßnahmen zu ergreifen, um ihre innere und äußere Sicherheit zu gewährleisten, doch kann die bloße Tatsache, dass eine nationale Maßnahme zum Schutz der nationalen Sicherheit getroffen wurde, nicht dazu führen, dass das Unionsrecht unanwendbar ist und die Mitgliedstaaten von der erforderlichen Beachtung dieses Rechts entbunden werden (vgl. in diesem Sinne Urteil vom 15. Juli 2021, Ministrstvo za obrambo, C-742/19, EU:C:2021:597, Rn. 40 und die dort angeführte Rechtsprechung).

Rn 51 Wie bereits in Rn. 41 des vorliegenden Urteils ausgeführt, bezieht sich die in Art. 2 Abs. 2 Buchst. a DSGVO vorgesehene Ausnahme ausschließlich auf Kategorien von Tätigkeiten, die aufgrund ihrer Natur nicht in den Anwendungsbereich des Unionsrechts fallen, und nicht auf Kategorien von Personen (privater oder öffentlich-rechtlicher Natur) und – für den Fall, dass der Verantwortliche eine Behörde ist – auch nicht darauf, dass Aufgaben und Pflichten dieser Behörde unmittelbar und ausschließlich einer bestimmten hoheitlichen Befugnis zuzurechnen sind, wenn diese Befugnis nicht mit einer Tätigkeit einhergeht, die jedenfalls vom Anwendungsbereich des Unionsrechts ausgenommen ist.

Damit ist der Anspruch gegen den Datenschutzbeauftragten des Bundes auf eine ermessensfehlerfreie Entscheidung in der Sache begründet (Art. 57 I f, 77 I, 78 I DSGVO). Da der Datenschutzbeauftragte sein Ermessen nicht ausgeübt hat, ist dieser Anspruch nicht durch Erfüllung untergegangen, die Ablehnung ist rechtswidrig.

Der Kläger hat einen Anspruch darauf, dass der Beklagte überprüft, ob und inwieweit wegen seiner mangelnden Anonymisierung im Abschlussbericht des beigeladenen Untersuchungsausschusses ein Verstoß gegen die Datenschutzgrundverordnung vorliegt. Wird ein Verstoß festgestellt, hat der Kläger einen Anspruch auf ermessensfehlerfreie Entscheidung über ein etwaiges aufsichtsbehördliches Einschreiten des Datenschutzbeauftragten. Dabei kann das Entschließungsermessen des Datenschutzbeauftragten angesichts seiner sich aus Art. 57 I a DSGVO ergebenden Verpflichtung, die Anwendung der Datenschutzgrundverordnung durchzusetzen, dahingehend reduziert sein, von seinen Abhilfebefugnissen nach Art. 58 II DSGVO in angemessener Weise Gebrauch zu machen. Einer Entscheidung darüber bedarf es nicht, weil der Kläger lediglich auf Bescheidung geklagt hat.

Ergebnis

Das Verwaltungsgericht hebt den Ablehnungsbescheid des Datenschutzbeauftragten auf. Es verpflichtet den Beklagten, den Antrag des Klägers unter Berücksichtigung der Rechtsauffassung des Gerichts erneut zu bescheiden.