Schnellnavigation

Steuerleiste | Navigation | Suche | Inhalt

Suche

Erweiterte Suche Tipps und Tricks zur Suche

Alle Dokumente

Suchmaske und Trefferliste maximieren
 


Hinweis

Dokument

  in html speichern drucken Ansicht maximierenDokumentansicht maximieren
Kurztext
Langtext
Gericht:VG Mainz 1. Kammer
Entscheidungsdatum:17.12.2020
Aktenzeichen:1 K 778/19.MZ
ECLI:ECLI:DE:VGMAINZ:2020:1217.1K778.19.MZ.00
Dokumenttyp:Urteil
Quelle:juris Logo
Normen:§ 20 Abs 4 BDSG, Art 10 EUV 2016/679, Art 32 Abs 1 EUV 2016/679, Art 5 Abs 1 Buchst f EUV 2016/679, Art 5 Abs 2 EUV 2016/679 ... mehr

Datenschutzrechtliche Verwarnung für einen Rechtsanwalt wegen einer E-Mail-Kommunikation; Anforderungen an die Verschlüsselung

Leitsatz

1. Für Streitigkeiten zwischen einer natürlichen oder einer juristischen Person und der Aufsichtsbehörde des Landes über Rechte gemäß Artikel 78 Absatz 1 und 2 DS-GVO (juris: EUV 2016/679) ist in Rheinland-Pfalz der Landesbeauftragte für den Datenschutz und die Informationsfreiheit richtiger Beklagter.(Rn.24)

2. Ein angemessenes Schutzniveau im Sinne des Art. 32 Abs. 1 DS-GVO (juris: EUV 2016/679) ist auch bei Berufsgeheimnisträgern (hier: Rechtsanwälte) grundsätzlich durch Nutzung einer (obligatorischen) Transportverschlüsselung anzunehmen, soweit nicht im Einzelfall besondere Anhaltspunkte für einen erhöhten Schutzbedarf bestehen.(Rn.40)

Fundstellen einblendenFundstellen ...

Diese Entscheidung wird zitiert ausblendenDiese Entscheidung wird zitiert


Diese Entscheidung zitiert ausblendenDiese Entscheidung zitiert


Tenor

Der Bescheid des Beklagten vom 14. August 2019 wird aufgehoben.

Der Beklagte trägt die Kosten des Verfahrens.

Das Urteil ist wegen der Kosten vorläufig vollstreckbar. Dem Beklagten wird nachgelassen, die Vollstreckung gegen Sicherheitsleistung in Höhe des vollstreckbaren Betrages abzuwenden, wenn nicht der Kläger vorher Sicherheit in gleicher Höhe leistet.

Tatbestand

1

Der Kläger wendet sich gegen eine datenschutzrechtliche Verwarnung wegen einer E-Mail-Kommunikation.

2

Der Kläger ist Rechtsanwalt und vertrat die rechtlichen Interessen des Herrn U. C. in einer Erbschaftsangelegenheit. Am 24. Dezember 2018 sandte eine Mitarbeiterin des Klägers eine E-Mail an Herrn S. C., den Bruder des Herrn U. C.. Das betreffende Schreiben vom 24. Dezember 2018, das der E-Mail angehängt war, befasste sich zunächst damit, dass Herr S. C. auf ein vorangegangenes Schreiben des Unterzeichners, das dieser ihm per Post übersandt hatte, nicht reagiert habe. Des Weiteren enthielt das Schreiben den Hinweis auf die Notwendigkeit, eine Erklärung gegenüber dem Finanzamt, zu der in dem Schreiben keine Details erwähnt waren, zu unterzeichnen und das Versäumnis des Herrn S. C., eine Wohngebäude- und Haftpflichtversicherung für ein Haus abzuschließen, dessen Eigentümerin eine Erbengemeinschaft ist, der Herr C. angehört, nachzuholen. Darüber hinaus waren dem Schreiben Versicherungsunterlagen beigefügt. Diese betrafen Herrn U. C. und Herrn Dr. N. C. als Versicherungsnehmer. Auf dem Schreiben vom 24. Dezember 2018 war im Briefkopf ausdrücklich „Per Einschreiben/Rückschein“ vermerkt.

3

Mit Schreiben vom 6. Februar 2019 wandte sich Herr S. C. mit einer „Anzeige einer DS-Verletzung“ an den Beklagten. Der Kläger habe ihn ohne dringlichen Grund oder Zeitdruck am 24. Dezember 2018 auf seiner E-Mail-Adresse mit einem umfangreichen neunseitigen Schreiben mit vertraulichen Inhalten und detaillierten persönlichen Angaben zu anderen Personen in unverschlüsselter Form kontaktiert. Den der E-Mail beigefügten Disclaimer halte er in einer solchen Situation für nicht datenschutzkonform. Dem Kläger sei auch seine Faxnummer bekannt gewesen.

4

Auf das Anhörungsschreiben des Beklagten vom 13. Mai 2019 nahm der Kläger mit Schreiben vom 5. August 2019 Stellung. Er führte darin im Wesentlichen aus, dass die Brüder des Herrn S. C. (U. und N.) ausdrücklich ihr Einverständnis mit einer Versendung der Unterlagen per (unverschlüsselter) E-Mail erteilt hätten. Darüber hinaus habe der Kläger nur eine postalische Versandart gegenüber seiner Mitarbeiterin autorisiert. Sein Mandant, Herr U. C., habe seine damaligen Mitarbeiterin ohne Rücksprache mit ihm gebeten, das betreffende Schreiben per E-Mail an seinen Bruder zu versenden, was er damit begründet habe, dass höchste Eile geboten und der Postlauf wegen der Weihnachtsfeiertage zu langwierig sei. Dem Kläger sei dies nicht bekannt gewesen. Ferner könne von einem vermuteten Einverständnis des Herrn S. C. mit der Versendung unverschlüsselter E-Mails in der Erbschaftsangelegenheit ausgegangen werden. Herr S. C. habe nämlich sämtliche Korrespondenz mit seinen Brüdern U. und N., die teilweise vertrauliche familiäre Informationen, aber auch Beleidigungen seines Mandanten seitens des Herrn S. C. enthalten hätten, stets per E-Mail versandt, ohne diese E-Mails zu verschlüsseln.

5

Mit Bescheid vom 14. August 2019 erteilte der Beklagte dem Kläger eine Verwarnung, weil dieser personenbezogene Daten ohne ein dem Risiko angemessenes Schutzniveau verarbeitet habe. Zur Begründung führte der Beklagte aus, dass ein Verstoß gegen Art. 5 Abs. 1 lit. f und Abs. 2 DS-GVO vorliege. Der Versand per unverschlüsselter E-Mail biete keine ausreichende Sicherheit für Nachrichten, die sensible Informationen enthielten. Bereits die Tatsache, dass zwischen dem Mandanten des Klägers und Herrn S. C. ein Rechtsstreit bestehe sowie die Tatsache, dass Herr S. C. es versäumt habe, eine Versicherung abzuschließen und eine Aussage vor dem Finanzamt zu machen, seien als sensible Informationen anzusehen. Es sei insofern irrelevant, dass die Versicherungsunterlagen als solche den Herrn S. C. als Beschwerdeführer nicht beträfen. Der Kläger sei schließlich als Inhaber der Kanzlei Verantwortlicher im Sinne des Datenschutzrechts. Gerade als Berufsgeheimnisträger solle der Kläger mit gutem Beispiel vorangehen und seine Mitarbeiter für die Einhaltung des Datenschutzes sensibilisieren und entsprechend anweisen. Wenn diese entgegen dessen Anweisungen eine von ihm nicht autorisierte Form des Versandes wählten, sei dem Kläger dies zuzurechnen. Die Aufforderung des Mandanten des Klägers ändere an dieser Bewertung nichts. Allenfalls eine ausdrückliche Einwilligung des Beschwerdeführers selbst in die ungesicherte Zustellung ließe eine andere Beurteilung zu. Diese sei aber nicht gegeben.

6

Der Kläger hat am 20. September 2019 Klage erhoben, die er mit Schriftsatz vom 26. November 2019 begründet. Er trägt im Wesentlichen vor, dass es unzutreffend sei, dass zwischen dem Mandanten des Klägers und dem Beschwerdeführer ein Rechtsstreit bestehe und der Beschwerdeführer es versäumt habe, eine Aussage vor dem Finanzamt zu machen. Bei Versendung des streitgegenständlichen Schreibens sei ein Rechtsstreit zwischen diesen Personen nicht anhängig gewesen. Der Kläger habe den Beschwerdeführer zudem pauschal um die Mitwirkung bei der Abgabe einer Steuererklärung im Namen der Erbengemeinschaft gebeten.

7

Der Kläger habe seine Mitarbeiterinnen bereits im Mai 2018 angewiesen, Schreiben an Mandanten sowie an Behörden oder gegnerische Parteien bzw. deren Rechtsanwälte ausschließlich per unverschlüsselter E-Mail zu versenden, wenn zuvor eine ausdrückliche schriftliche Einverständniserklärung eingeholt worden sei. Hier sei jedenfalls von einem vermuteten Einverständnis des Beschwerdeführers in die Versendung des Schreibens per unverschlüsselter E-Mail auszugehen. Letztlich sei es dem Beschwerdeführer unter dem Gesichtspunkt widersprüchlichen Verhaltens verwehrt, sich gegenüber dem Kläger auf eine Verletzung datenschutzrechtlicher Vorschriften zu berufen. Zumindest sei es rechtlich fehlerhaft, dass dem Kläger ohne Weiteres das Verhalten seiner Mitarbeiterin zugerechnet würde. Auf diese Weise würde vom Kläger Unmögliches verlangt. Es stehe für ihn keine andere Möglichkeit zur Verfügung, als seine Mitarbeiterinnen auf die Rechtslage hinzuweisen und diese anzuweisen, entsprechend dieser zu verfahren. In diesem Fall habe der Kläger seiner Mitarbeiterin zudem eine Einzelanweisung erteilt.

8

Darüber hinaus sei die ausgesprochene Verwarnung unverhältnismäßig. Der Beklagte habe zudem die Pflicht zur Amtsermittlung verletzt. Ferner habe der Beklagte offensichtlich das ihm zustehende Entschließungs- und Auswahlermessen verkannt.

9

Mit Schriftsatz vom 7. September und 16. Oktober 2020 vertieft der Kläger sein bisheriges Vorbringen und legt ergänzende Unterlagen vor.

10

Der Kläger beantragt,

11

den Bescheid des Beklagten vom 14. August 2019 aufzuheben.

12

Der Beklagte beantragt,

13

die Klage abzuweisen.

14

Er trägt zur Klageerwiderung vor, dass der Kläger grundsätzlich Verantwortlicher im Sinne von Art. 4 Nr. 7 DS-GVO sei. Er entscheide innerhalb der Kanzlei über die Mittel und Zwecke der Verarbeitung von Daten. Das Verhalten der Mitarbeiter sei ihm zuzurechnen. Entgegen der Auffassung des Klägers sei eine Exkulpationsmöglichkeit ähnlich dem Zivilrecht der DS-GVO fremd. Die Zurechnung erfolge grundsätzlich unabhängig von Auswahl und Verschulden durch einen Mitarbeiter. Allerdings sei dem Kläger zuzustimmen, dass das eigenmächtige Verhalten eines Mitarbeiters trotz entsprechender eindeutiger und ausdrücklicher Anweisung nicht in jedem Fall zugerechnet werden könne. Entscheide der Mitarbeiter weisungswidrig selbst über Mittel und Zwecke der Verarbeitung, so liege ein Fall des Mitarbeiterexzesses vor, bei welchem dieser selbst in die Rolle des Verantwortlichen nach Maßgabe der DS-GVO hineinwachsen könne. Hierzu habe der Kläger bisher jedoch nicht hinreichend substantiiert vorgetragen. Ein mutmaßliches Einverständnis erfülle ferner nicht die Voraussetzungen für eine datenschutzrechtliche Einwilligung.

15

Der Beklagte habe darüber hinaus nicht ermessensfehlerhaft gehandelt. Der Beklagte sei als Aufsichtsbehörde insbesondere bei Beschwerden zur Durchsetzung der DS-GVO verpflichtet, wozu ihm die in Art. 58 Abs. 2 DS-GVO genannten Abhilfebefugnisse zur Verfügung stünden. Soweit es also dabei bliebe, dass dem Kläger ein Datenschutzverstoß vorzuwerfen sei, würde sich das Einschreiten des Beklagten als ermessensgerecht darstellen. Ein Hinweis sei nicht tauglich gewesen, da dieser nur auf einen vermeintlichen Datenschutzverstoß bezogen werden könne. Schließlich habe der Beklagte mit der Wahl der Verwarnung die mildeste Abhilfebefugnis gewählt und, unter Berücksichtigung des Risikos des Verstoßes, kein Bußgeldverfahren eingeleitet.

16

In der mündlichen Verhandlung hat die Kammer durch die Vernehmung der Zeugin M. I. zu der Frage Beweis erhoben, ob und ggf. wie der Kläger seine Mitarbeiterinnen und Mitarbeiter in Bezug auf den Versand von unverschlüsselten E-Mail-Nachrichten allgemein sowie im konkreten Fall (Schreiben vom 24. Dezember 2018) angewiesen hat.

17

Mit Beschluss vom 24. September 2020 hat die Kammer dem Kläger aufgegeben, näher dazu vorzutragen und ggf. die notwendigen Belege vorzulegen, ob und wenn ja, inwieweit die streitgegenständliche E-Mail-Nachricht vom 24. Dezember 2018 verschlüsselt war (z.B. Transportverschlüsselung); dieser Aufforderung ist der Kläger mit Schriftsatz vom 16. Oktober 2020 nachgekommen. Der Kläger hat mit Schriftsatz vom 30. November 2020 auf weitere gerichtliche Aufforderung das streitgegenständliche Schreiben vom 24. Dezember 2018 samt Anlagen zu den Akten gereicht.

18

Mit Schreiben vom 5. bzw. 16. Oktober 2020 haben die Beteiligten auf die Durchführung einer weiteren mündlichen Verhandlung verzichtet.

19

Wegen des Sach- und Streitstandes im Übrigen wird auf die zwischen den Beteiligten gewechselten Schriftsätze, den sonstigen Inhalt der Gerichtsakte sowie die Verwaltungsakten des Beklagten (1 Band) verwiesen, die Vorlagen und Gegenstand der mündlichen Verhandlung und der Beratung waren.

Entscheidungsgründe

20

Die Klage, über welche die Kammer gemäß § 101 Abs. 2 VwGO ohne (weitere) mündliche Verhandlung entscheiden konnte, hat Erfolg.

21

I. Das Verwaltungsgericht Mainz ist abweichend von § 52 Nr. 3 Satz 2 der Verwaltungsgerichtsordnung (VwGO) örtlich zuständig, da es sich um eine Streitigkeit zwischen einer natürlichen Person und dem Beklagten als datenschutzrechtlicher Aufsichtsbehörde über Rechte gemäß Art. 78 Abs. 1 der Datenschutz-Grundverordnung (DS-GVO) handelt (vgl. § 20 Abs. 3 des Bundesdatenschutzgesetzes – BDSG –). Das Bundesdatenschutzgesetz findet gemäß § 1 Abs. 1 Satz 2 BDSG Anwendung auf nichtöffentliche Stellen wie dem Kläger (vgl. zum Anwendungsbereich in Bezug auf die Verfahrensregelungen: Bergt, in: Kühling/Buchner, DS-GVO BDSG, 2. Auflage 2018, § 20 BDSG, Rn. 3).

22

II. Die Klage ist auch sonst zulässig. Der Verwaltungsrechtsweg ist nach Maßgabe des § 20 Abs. 1 Satz 1 BDSG und des § 40 Abs. 1 Satz 1 VwGO eröffnet, sodass im Ergebnis das Verhältnis der beiden Vorschriften offenbleiben kann. Statthafte Klageart ist die Anfechtungsklage gemäß § 42 Abs. 1 Alt. 1 VwGO, da die Verwarnung des Beklagten einen Verwaltungsakt gemäß § 35 Satz 1 VwVfG darstellt (vgl. etwa Polenz, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 1. Auflage 2019, Art. 58 DS-GVO, Rn. 29). Die Klagebefugnis gemäß § 42 Abs. 2 VwGO ist gegeben, da es sich hier um einen belastenden Verwaltungsakt handelt, dessen Adressat der Kläger ist.

23

Eines Vorverfahrens bedurfte es bereits gemäß § 68 Abs. 1 Satz 2 Nr. 1 VwGO nicht, da der streitgegenständliche Verwaltungsakt von dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz als oberste Landesbehörde erlassen (vgl. § 15 Abs. 4 Satz 1 des Landesdatenschutzgesetzes – LDSG –) worden ist; auch gemäß § 20 Abs. 6 BDSG ist die Durchführung eines Vorverfahrens (wohl spezialgesetzlich) entbehrlich. Die Klagefrist des § 74 Abs. 1 Satz 2 VwGO ist eingehalten worden.

24

Richtiger Beklagter ist abweichend von § 78 Abs. 1 Nr. 1 VwGO der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Rheinland-Pfalz (vgl. § 20 Abs. 5 Satz 1 Nr. 2 BDSG), der hier gemäß § 20 Abs. 4 BDSG als bundesrechtliche Spezialregelung zu § 61 Nr. 3 VwGO ausnahmsweise beteiligtenfähig ist (vgl. dazu Bergt, in: Kühling/Buchner, DS-GVO BDSG, 2. Auflage 2018, § 20 BDSG, Rn. 7 ff.). Gemäß § 1 Abs. 1 Satz 2 BDSG ist das Bundesdatenschutzgesetz hier auch anwendbar, da der Kläger die Verarbeitung von personenbezogenen Daten Dritter vornimmt und eine nicht öffentliche Stelle ist. Der Kläger hatte zwar zunächst das Land Rheinland-Pfalz als Klagegegner angeführt; allerdings war hier durch Auslegung unzweifelhaft zu ermitteln, dass der Kläger die Klage gegen den LfDI, der den angefochtenen Bescheid erlassen hat, richten wollte. Unter entsprechender Anwendung des § 78 Abs. 1 Nr. 1 Halbsatz 2 VwGO ergibt sich, dass die fehlerhafte Bezeichnung des Beklagten unerheblich ist, wenn erkennbar ist, gegen wen sich die Klage richtigerweise richten sollte. Dies ist beispielsweise der Fall, wenn – wie hier – die Klage zunächst gegen den Rechtsträger gerichtet ist, auch wenn (ausnahmsweise) die Behörde Klagegegnerin ist (vgl. OVG NRW, Urteil vom 13. März 1991 – 22 A 871/90 –, juris, Rn. 5 ff.; Kintz, in: BeckOK VwGO, 54. Ed. 1. Juli 2020, § 78, Rn. 43). Die Kammer hat daher das Rubrum dahingehend von Amts wegen geändert, dass Klagegegner der LfDI ist. Die Beteiligten, die in der mündlichen Verhandlung am 24. September 2020 hierauf hingewiesen worden sind, haben gegen die Rubrumsänderung keine Einwände erhoben.

25

III. Die Klage ist auch begründet. Der Bescheid des Beklagten vom 14. August 2019 ist rechtswidrig und verletzt den Kläger in seinen Rechten (§ 113 Abs. 1 Satz 1 VwGO).

26

1. Rechtsgrundlage für die mit Bescheid vom 3. Juli 2019 erteilte Verwarnung ist Art. 58 Abs. 2 lit. b DS-GVO. Demnach ist es dem Beklagten als Aufsichtsbehörde gestattet, einen Verantwortlichen oder einen Auftragsverarbeiter zu verwarnen, wenn er mit Verarbeitungsvorgängen gegen die DS-GVO verstoßen hat.

27

2. Der Bescheid ist formell rechtmäßig. Insbesondere ist der beklagte Landesbeauftragte für den Datenschutz und die Informationsfreiheit die gemäß Art. 51, 55 Abs. 1 DS-GVO i.V.m. § 40 BDSG i.V.m. § 15 Abs. 2 LDSG zuständige Aufsichtsbehörde. Der Kläger ist auch vor dem Erlass des Bescheids gemäß § 28 Abs. 1 des Verwaltungsverfahrensgesetzes (VwVfG) in Verbindung mit § 1 Abs. 1 des Landesverwaltungsverfahrensgesetzes (LVwVfG) angehört worden.

28

3. Der Bescheid vom 14. August 2019 ist allerdings materiell rechtswidrig. Die Tatbestandsvoraussetzungen des Art. 58 Abs. 2 lit. b DS-GVO liegen nicht vor, da kein Datenschutzverstoß gegeben ist.

29

a) Es liegt kein Verstoß gegen datenschutzrechtliche Vorschriften vor. Der Versand der E-Mail vom 24. Dezember 2018 ohne Nutzung einer sog. Ende-zu-Ende-Verschlüsselung oder sonstiger über eine (obligatorische) Transportverschlüsselung hinausgehenden Sicherungsmaßnahmen stellt hier keinen Verstoß gegen Art. 5 Abs. 1 lit. f, Abs. 2 DS-GVO dar. Demnach müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“). Der Verantwortliche (Art. 4 Nr. 7 DS-GVO) ist für die Einhaltung dieser Vorgaben verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).

30

Die Einhaltung dieser Vorgaben setzt insbesondere geeignete technische und organisatorische Maßnahmen zum Schutz vor unbefugter und unrechtmäßiger Verarbeitung und vor unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung voraus (vgl. Heberlein, in: Ehmann/Selmayr, Datenschutz-Grundverordnung, 2. Auflage 2018, Art. 5, Rn. 28). Die technischen und organisatorischen Anforderungen an die Sicherheit der Verarbeitung ergeben sich im Wesentlichen aus Art. 32 Abs. 1 DS-GVO. Demnach treffen der Verantwortliche und der Auftragsverarbeiter unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; wobei die Verschlüsselung ausdrücklich in Art. 32 Abs. 1 Hs. 2 lit. a) DS-GVO genannt wird. Gemäß Art. 32 Abs. 2 DS-GVO sind bei der Beurteilung des angemessenen Schutzniveaus insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.

31

aa) Es ist hier davon auszugehen, dass die streitgegenständliche E-Mail mit einer (obligatorischen) Transportverschlüsselung (SSL/TLS) versendet worden ist. Dies ergibt sich wesentlich aus dem Schreiben des Klägers vom 16. Oktober 2020 einschließlich der beigefügten Anlagen, an deren Richtigkeit die Kammer keinen Anlass hat zu zweifeln; dies ist seitens des Beklagten auch nicht bestritten worden. Eine solche Transportverschlüsselung war in diesem konkreten Fall ausreichend. Es hätten keine darüber hinausgehenden Sicherungsmaßnahmen ergriffen werden müssen (insbesondere keine Ende-zu-Ende-Verschlüsselung), um ein angemessenes Schutzniveau sicherzustellen.

32

Es wird insoweit allgemein zwischen der Transportverschlüsselung (z.B. TLS) sowie der Ende-zu-Ende Verschlüsselung (z.B. S/MIME oder PGP) unterschieden. Eine Transportverschlüsselung bieten die meisten E-Mail-Anbieter heutzutage standardmäßig an (Wagner, Anwaltliches Berufsrecht und Datenschutz: Einheit, Widerspruch oder Parallelwelten?, BRAK-Mitteilungen 4/2019, 167 [171]) – es lag daher schon deshalb nahe, dass der Kläger jedenfalls eine solche Transportverschlüsselung verwendet hat. Eine E-Mail wird dann bei den an der E-Mail-Kommunikation beteiligten Servern jeweils ent- bzw. verschlüsselt und ist demnach nur auf dem Transport zwischen den Servern durch Verschlüsselung abgesichert (vgl. Wagner, a.a.O. [171 f.]; zur Unterscheidung zwischen „obligatorischer“ und „qualifizierter“ Transportverschlüsselung: Orientierungshilfe des Arbeitskreises „Technische und organisatorische Datenschutzfragen“ der Datenschutzkonferenz, Stand: 13. März 2020, S. 4 f.). Eine Ende-zu-Ende-Verschlüsselung zeichnet sich demgegenüber dadurch aus, dass eine Entschlüsselung des Inhalts nur an den Endpunkten der Kommunikation (Absender und Empfänger) erfolgt (vgl. etwa https://www.heise.de/tipps-tricks/Ende-zu-Ende-Verschluesselung-was-genau-ist-das-4007116.html; dazu auch Schöttle, Anwaltliche Kommunikation per E-Mail – nur verschlüsselt?, BRAK-Mitteilungen 3/2018, 118). Damit können weder die beteiligten E-Mail-Anbieter die E-Mail lesen, noch haben potentielle Angreifer die Möglichkeit, die E-Mails unterwegs zu manipulieren. Infolgedessen erfüllt nur diese Technik grundsätzlich die drei Ziele der Verschlüsselung im Internet: Vertraulichkeit, Authentizität und Integrität (vgl. Bundesamt für Sicherheit in der Informationstechnik, Empfehlungen: E-Mail Verschlüsselung, abrufbar unter: https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Verschluesselung/EMail_Verschluesselung/email_verschluesselung_node.html). Dies wäre etwa wohl teilweise auch damit zu erreichen, dass ein passwortgeschütztes Dokument (z.B. PDF) als Anhang gesendet wird, wobei die Meta-Daten der E-Mail (insbesondere Absender, Empfänger und Betreff) weiterhin nur während des Transports geschützt wären (sog. Inhaltsverschlüsselung; vgl. dazu Gasteyer/Säljemar, Vertraulichkeit im Wandel digitaler Kommunikationswege, NJW 2020, 1768 [1771]).

33

bb) Es bestand bzw. besteht offenbar schon zwischen den einzelnen Datenschutzaufsichtsbehörden bereits Uneinigkeit darüber, welche Art der Verschlüsselung zwingend sein soll. Der Hamburgische Beauftragte für Datenschutz und Datensicherheit teilte dahingehend mit einem veröffentlichten Schreiben vom 8. Januar 2018 (zu § 9 BDSG a.F.) mit (abrufbar unter: https://www.datenschutzbeauftragter-info.de/wp-content/uploads/2018/02/schreiben-der-aufsichtsbehoerde.pdf), dass eine Ende-zu-Ende Verschlüsselung für Berufsgeheimnisträger „zu bevorzugen“ sei. Demgegenüber scheint der Sächsische Datenschutzbeauftragte in seinem 8. Tätigkeitsbericht vom 31. März 2017 (LT-Drs. 6/10550, S. 138; abrufbar unter: https://www.saechsdsb.de/images/stories/sdb_inhalt/noeb/taetigkeitsberichte/8-TB-Endfassung-Version-5.pdf) davon auszugehen, dass eine „PGP-Verschlüsselung“ (= Ende-zu-Ende-Verschlüsselung) bei der Übermittlung „mandantenbezogener bzw. mandantenbeziehbare Äußerungen“ notwendig ist. Nunmehr sieht die Orientierungshilfe des Arbeitskreises „Technische und organisatorische Datenschutzfragen“ der Datenschutzkonferenz (Stand: 13. März 2020, S. 4) für „Verantwortliche, die aufgrund von § 203 StGB zur Geheimhaltung von Kommunikationsinhalten verpflichtet sind,“ vor, dass sie „durch Verschlüsselung sicherstellen [müssen], dass nur Stellen eine Entschlüsselung vornehmen können, an die die Inhalte der Nachrichten offenbart werden dürfen“. Diese Ansicht dürfte letztlich regelmäßig auf eine Verpflichtung zur Ende-zu-Ende-Verschlüsselung oder den Einsatz vergleichbarer Maßnahmen hinauslaufen.

34

Auch nach Auffassung einzelner Datenschutzbeauftragter ist jedenfalls die Nutzung einer „unverschlüsselten“ E-Mail für Berufsgeheimnisträger generell ein „ungeeignetes“ Medium (so etwa Hamburgischer Beauftragter für Datenschutz und Datensicherheit, Schreiben vom 8. Januar 2018, a.a.O.) und es sei daher „in jedem Fall eine Verschlüsselung des E-Mail-Verkehrs erforderlich“ (so zur alten Rechtslage: 8. Tätigkeitsbericht des Sächsischen Datenschutzbeauftragten, S. 138; abrufbar unter: https://www.saechsdsb.de/images/stories/sdb_inhalt/noeb/taetigkeitsberichte/8-TB-Endfassung-Version-5.pdf).

35

cc) Demgegenüber wird in der Literatur teilweise vertreten, dass auch aus Art. 32 DS-GVO kein „striktes, unabdingbares Verschlüsselungsgebot“ folge (vgl. Härting, Verschlüsselungspflicht für Anwälte? Intersoft sorgt für Verwirrung, CR-online.de Blog, abrufbar unter: https://www.cr-online.de/blog/2018/02/06/verschluesselungspflicht-fuer-anwaelte-intersoft-sorgt-fuer-verwirrung/; eine Transportverschlüsselung grundsätzlich als ausreichend ansehend: Schöttle, Anwaltliche Kommunikation per E-Mail – nur verschlüsselt?, BRAK-Mitteilungen 3/2018, 118 [121]; Bethke, Technische und rechtliche Besonderheiten der EMail-Kommunikation mit Mandant und FA, DStR 2019, 1228 [1229]). An anderer Stelle wird insoweit eine Verschlüsselung ausdrücklich nur dann für erforderlich gehalten, sofern besondere Kategorien personenbezogener Daten im Sinne des Art. 9 DS-GVO übermittelt werden (vgl. Conrad/Treeger, in: Auer-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 3. Auflage 2019, § 34, Rn. 158, Ziffer 10).

36

dd) Insgesamt ist davon auszugehen, dass die DS-GVO im Normtext selbst ausdrücklich keine spezifischen Regelungen für Berufsgeheimnisträger enthält; vielmehr gelten grundsätzlich – vorbehaltlich nationaler Anpassungen nach Art. 90 DS-GVO (siehe dazu § 29 Abs. 3 BDSG) – die allgemeinen Vorschriften (vgl. Schöttle, Anwaltliche Kommunikation per E-Mail – nur verschlüsselt?, BRAK-Mitteilungen 3/2018, 118 [121]; siehe auch Conrad/Treeger, in: Auer-Reinsdorff/Conrad, Handbuch IT- und Datenschutz-recht, 3. Auflage 2019, § 34, Rn. 155). Demnach bestimmen zunächst die Art. 9 und 10 DS-GVO, welche Datenkategorien generell besonderen Schutz genießen (Wagner, Anwaltliches Berufsrecht und Datenschutz: Einheit, Widerspruch oder Parallelwelten?, BRAK-Mitteilungen 4/2019, 167 [171]). Pauschal kann daher (datenschutzrechtlich) zunächst nicht allein deshalb von einer besonderen Schutzbedürftigkeit ausgegangen werden, weil eine mandatsbezogene Kommunikation erfolgt (Wagner, a.a.O. [172]). Dies ergibt sich mittelbar auch aus Art. 10 DS-GVO, der nur Daten zu strafrechtlichen Verurteilungen und Straftaten oder damit zusammenhängenden Sicherungsmaßregeln als besonders schutzwürdig einstuft. Daher ist die (besondere) Schutzbedürftigkeit des Verarbeitungsprozesses ansonsten im Einzelfall zu ermitteln. Nach Maßgabe des ErwGr. 75 Satz 3 DS-GVO sollen – über die in Art. 9 und 10 DS-GVO genannten Kategorien hinaus – auch etwa Daten, die persönliche Aspekte bewerten, insbesondere die Arbeitsleistung, wirtschaftliche Lage, persönliche Vorlieben oder Interessen, die Zuverlässigkeit oder das Verhalten, als besonders risikoreich einzustufen sein (vgl. auch Martini, in: Paal/Pauly, DS-GVO BDSG, 2. Auflage 2018, Art. 32 DS-GVO, Rn. 51). Gleichzeitig erwähnt ErwGr. 75 Satz 1 DS-GVO unter anderem aber explizit den „Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten“ als einen potentiell zu berücksichtigenden Risikofaktor bei der Datenverarbeitung (vgl. dazu Piltz, in: Gola, Datenschutz-Grundverordnung, 2. Auflage 2018, Art. 24, Rn. 38).

37

Die von dem Verantwortlichen ggf. zu ergreifenden technischen und organisatorischen Maßnahmen schließen unter anderem die Verschlüsselung personenbezogener Daten ein (vgl. Art. 32 Abs. 1 Hs. 2 lit. a DS-GVO). Dabei enthält Art. 32 Abs. 2 DS-GVO keinen ausdrücklich abschließenden Katalog an Kriterien („insbesondere“), die bei der Bestimmung des angemessenen Schutzniveaus eine Rolle spielen können (so etwa Mantz, in: Sydow, Europäische Datenschutzgrundverordnung, 2. Auflage 2018, Art. 32, Rn. 10; siehe auch Piltz, in: Gola, Datenschutz-Grundverordnung, 2. Auflage 2018, Art. 32, Rn. 39 f. [„verpflichtend zu berücksichtigen“]). Insoweit verbietet sich regelmäßig eine bloß schematische Betrachtungsweise. Vielmehr ist eine objektive Bewertung im jeweiligen Einzelfall hinsichtlich der Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Person in Bezug auf die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung durchzuführen (vgl. ErwGr. 76 DS-GVO). Zwar sehen weder Art. 32 Abs. 1 DS-GVO noch ErwGr. 76 DS-GVO ausdrücklich ein Rangverhältnis der dort genannten Kriterien vor, allerdings kommt der „Art der Daten für potenziell eintretende Schadensereignisse eine besonders hohe Bedeutung“ zu (vgl. Martini, in: Paal/Pauly, DS-GVO BDSG, 2. Auflage 2018, Art. 24 DS-GVO, Rn. 31 f. unter Verweis auf ErwGr. 75 DS-GVO).

38

Während die Transportverschlüsselung ohne weiteres als weit verbreiteter Standard anzusehen sein dürfte, trifft den Verantwortlichen bei der Implementierung einer Ende-zu-Ende-Verschlüsselung regelmäßig ein höherer Aufwand (vgl. Schöttle, Anwaltliche Kommunikation per E-Mail – nur verschlüsselt?, BRAK-Mitteilungen 3/2018, 118 [121]). Neben der Nutzung von derartigen E-Mail-Protokollen (z.B. S/MIME oder PGP), die allerdings auch auf Absender- und Empfängerseite entsprechende Software und Kenntnisse erfordern, kommen letztlich auch einseitige Implementierungsmaßnahmen, wie z.B. Übersendung einer passwortgeschützten Datei, in Betracht (vgl. Schöttle, a.a.O.; Bethke, Technische und rechtliche Besonderheiten der EMail-Kommunikation mit Mandant und FA, DStR 2019, 1228 [1229]). Damit dürfte eine kostenschonende Implementierung zwar generell möglich und für den jeweiligen Verantwortlichen nicht von vornherein unzumutbar sein. Allerdings bedeutet dies nicht, dass dies zwingend zu einer entsprechenden Verpflichtung des Verantwortlichen führt. Schließlich können bei der Übersendung einer passwortgeschützten Datei unter Umständen (zivilrechtliche) Zugangsprobleme auftreten; auch fehlt es an einer ohne weiteres gegebenen Möglichkeit der Weiterleitung für den Empfänger (vgl. Gasteyer/Säljemar, Vertraulichkeit im Wandel digitaler Kommunikationswege, NJW 2020, 1768 [1771]).

39

Aus alledem folgt, dass bei Daten, die unter Art. 9 oder 10 DS-GVO fallen, in jedem Fall besondere Schutzmaßnahmen zu ergreifen sind, da insoweit schon aufgrund der allgemeinen datenschutzrechtlichen Wertung stets von einem hohen Risiko ausgegangen werden muss. Gleiches dürfte für Fälle gelten, wenn etwa ein „Interesse krimineller und ressourcenreicher Dritter“ absehbar ist (vgl. Wagner, Anwaltliches Berufsrecht und Datenschutz: Einheit, Widerspruch oder Parallelwelten?, BRAK-Mitteilungen 4/2019, 167 [172]). Auch wenn die DS-GVO Berufsgeheimnisträger nicht ausdrücklich im Normtext adressiert, kann diese Eigenschaft in der Gesamtabwägung bezüglich des „angemessenen Schutzniveaus“ eine Rolle spielen (vgl. ErwGr. 75 Satz 1 DS-GVO: „Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten“), aber muss für sich genommen noch nicht allein ausschlaggebend sein, um einen höheren Schutzbedarf zu begründen (vgl. allgemein: Piltz, in: Gola, Datenschutz-Grundverordnung, 2. Auflage 2018, Art. 24, Rn. 38). Daher erscheint es allenfalls sachgerecht, bei nicht von Art. 9 und 10 DS-GVO erfassten Daten im Rahmen einer mandatsbezogenen Kommunikation von Rechtsanwälten als Berufsgeheimnisträger in Zweifelsfällen eine widerlegliche Vermutung für einen besonderen Schutzbedarf der übermittelten Informationen zu sehen (vgl. zur Verschwiegenheitspflicht: Träger, in: Weyland, Bundesrechtsanwaltsordnung: BRAO, 10. Auflage 2020, § 43a, Rn. 17). Ein solcher Zweifelsfall liegt hier indes nicht vor.

40

Generell wird aber die Verwendung einer Transportverschlüsselung datenschutzrechtlich – auch bei Berufsgeheimnisträgern – ausreichend sein, sofern keine Anhaltspunkte für besonders sensible Daten bestehen oder sonstige Umstände hinzutreten. Vielmehr ist die Kommunikation mittels (obligatorisch) transportverschlüsselter E-Mails auch im geschäftlichen Verkehr durchaus als sozialadäquat und wohl derzeit noch als (Mindest-)Stand der Technik einzustufen (vgl. Gasteyer/Säljemar, Vertraulichkeit im Wandel digitaler Kommunikationswege, NJW 2020, 1768 [1771]). Ebenso gehört die etwaige (unbefugte) Kenntnisnahme Dritter von Inhalten der elektronischen Kommunikation – wie auch bei anderen (analogen) Kommunikationsformen – zum allgemeinen Lebensrisiko. Besondere Anhaltspunkte, die einen erhöhten Schutzbedarf begründen und das bei einer hier vorliegenden Form der Transportverschlüsselung bestehende Restrisiko als nicht (mehr) angemessen erscheinen lassen, lagen hier nicht vor. Es handelte sich zunächst weder um Daten, die von Art. 9 und 10 DS-GVO erfasst waren, noch kamen diese den dort genannten Datenkategorien auch nur nahe. Dabei dürfte auch anzunehmen sein, dass die vorgenannten Vorschriften tendenziell eng oder zumindest nicht schematisch auszulegen sind (vgl. dazu VG Mainz, Urteil vom 24. September 2020 – 1 K 584/19.MZ –, juris, Rn. 27 ff.; siehe auch Schulz, in: Gola, Datenschutz-Grundverordnung, 2. Auflage 2018, Art. 9, Rn. 13 ff.). Schließlich war hier zudem keine „Bewertung“ des Verhaltens oder der Leistungsfähigkeit des betroffenen Beschwerdeführers oder sonstiger Personen (vgl. ErwGr. 75 Satz 3 DS-GVO) Gegenstand der E-Mail. Spezielle Indizien für einen naheliegenden Verlust der Vertraulichkeit lagen nicht vor („Eintrittswahrscheinlichkeit“); die sonstigen Umstände, Zwecke und der Umfang der Datenverarbeitung bieten ebenfalls keine Anhaltspunkte für einen in diesem Einzelfall wesentlich erhöhten Schutzbedarf. Allein die Tatsache, dass der Kläger und die Betroffenen (untereinander) in eine (jedenfalls außergerichtliche) rechtliche Auseinandersetzung verwickelt waren, reicht nicht aus.

41

Hier ist demnach nicht davon auszugehen gewesen, dass es sich – mangels gegenteiliger Anhaltspunkte – jedenfalls um derart schutzbedürftige Datenverarbeitungsvorgänge handelt, bei denen für die tatsächlich erfolgte Art der Versendung im Einzelfall kein angemessenes Schutzniveau gewährleistet war. Allein die pauschale subjektive Einschätzung des Beklagten im Bescheid vom 14. August 2019, dass es sich um „sensible“ Informationen handle, kann hier nicht den seinerseits angenommenen erhöhten Schutzbedarf rechtfertigen. Zwar ist der Kläger hier gemäß Art. 5 Abs. 2 DS-GVO für die Einhaltung der Voraussetzungen des Art. 32 Abs. 1 DS-GVO nachweispflichtig (vgl. zur Beweislast: Pötters, in: Gola, Datenschutz-Grundverordnung, 2. Auflage 2018, Art. 5, Rn. 34; Herbst, in: Kühling/Buchner, DS-GVO BDSG, 2. Auflage 2018, Art. 5, Rn. 80), allerdings entbindet dies die beklagte Aufsichtsbehörde nicht davon, ihre Auffassung – auf Grundlage der (nachgewiesenen) Angaben des Verantwortlichen und sonstiger Ermittlungen – nachvollziehbar darzulegen, warum im Einzelfall das angemessene Schutzniveau durch die entsprechenden Maßnahmen nicht gewahrt war. Es hätte zudem für den Beklagten im Rahmen der Amtsermittlung naheliegen müssen, das entsprechende Schreiben des Klägers schon im Verwaltungsverfahren anzufordern (vgl. dazu allgemein etwa: Veil, in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, 3. Auflage 2019, Teil II, Kap. 1 D, Rn. 35 ff.).

42

Insgesamt konnte daher nicht allein deshalb von einem „hohen Risiko“ und infolgedessen von dem Erfordernis einer Ende-zu-Ende-Verschlüsselung oder einer qualifizierten Transportverschlüsselung ausgegangen werden, weil es sich bei dem Kläger um einen Berufsgeheimnisträger handelt (a. A. Orientierungshilfe des Arbeitskreises „Technische und organisatorische Datenschutzfragen“ der Datenschutzkonferenz, Stand: 13. März 2020, S. 4 f.). Dies folgt auch nicht aus ErwGr. 75 Satz 1 DS-GVO, wonach Risiken für die Rechte und Freiheiten natürlicher Personen – mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere – aus einer Verarbeitung personenbezogener Daten hervorgehen können, die zu einem physischen, materiellen oder immateriellen Schaden führen könnte, insbesondere wenn die Verarbeitung zu einer Diskriminierung, einem Identitätsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufschädigung, einem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, der unbefugten Aufhebung der Pseudonymisierung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen führen kann. Dies impliziert letztlich nicht zwingend, bei jeder mandatsbezogenen Kommunikation eines Berufsgeheimnisträgers von einem erhöhten Schutzbedarf mit der Folge einer verpflichtenden Ende-zu-Ende-Verschlüsselung oder qualifizierten Transportverschlüsselung auszugehen. Vielmehr legt dies eine einzelfallbezogene Betrachtung nahe, in der die Eigenschaft als Berufsgeheimnisträger nur einen Aspekt unter vielen darstellen kann. Schließlich orientiert sich Art. 32 Abs. 1 DS-GVO auch generell am „Einzelfallrisiko“ (vgl. Martini, in: Paal/Pauly, DS-GVO BDSG, 2. Auflage 2018, Art. 32, Rn. 46; Römermann/Praß, in: BeckOK BORA, Römermann, 30. Edition, Stand: 1. Juni 2020, § 2, Rn. 44), das hier in einer Gesamtbetrachtung nicht als wesentlich erhöht einzustufen war

43

Allenfalls könnten sich derartig umfassende (weitergehende) Regelungen zur Nutzung bestimmter Techniken – eine entsprechende Kompetenz des nationalen Gesetzgebers vorausgesetzt (vgl. dazu auch die Öffnungsklausel im Hinblick auf Befugnisse der Aufsichtsbehörden in Art. 90 DS-GVO) – in Bezug auf eine Verschwiegenheit im nationalen berufsrechtlichen Kontext (z.B. BORA) wiederfinden, wobei die Kontrolle ihrer Einhaltung dann wohl nicht dem Beklagten obläge (siehe etwa zur Frage der hinreichenden Sicherheit des besonderen elektronischen Anwaltspostfachs trotz fehlender Ende-zu-Ende-Verschlüsselung: Anwaltsgerichtshof Berlin, Urteil vom 14. November 2019 – I AGH 6/18 –, juris).

44

b) Da es an einem Datenschutzverstoß fehlte, war das Einschreiten des Beklagten schon deshalb rechtswidrig. Auf die Beantwortung der im Übrigen aufgeworfenen Rechtsfragen kam es damit nicht mehr entscheidend an. Es kann insbesondere offenbleiben, ob die Pflichten nach Art. 32 DS-GVO überhaupt disponibel sind (dafür etwa Römermann/Praß, in: BeckOK BORA, Römermann, 28. Edition, Stand: 1. Juni 2020, § 2, Rn. 44; Wagner, Anwaltliches Berufsrecht und Datenschutz: Einheit, Widerspruch oder Parallelwelten?, BRAK-Mitteilungen 4/2019, 167 [171]).

45

Zudem bedurfte es keiner abschließenden Entscheidung über die Frage, ob der Kläger hier als Verantwortlicher im Sinne des Art. 4 Nr. 7 DS-GVO zu behandeln war und daher überhaupt zulässiger Adressat der Verwarnung sein konnte. Ausschlaggebend wäre insoweit, wer im konkreten Fall in Bezug auf die in Frage stehende Verwendung tatsächlich die Verfügungs- oder Entscheidungsgewalt über die Daten hat (vgl. Schreiber, in: Plath, DSGVO/BDSG, 3. Auflage 2018, Art. 4 DS-GVO, Rn. 30; Albrecht/Jotzo, Das neue Datenschutzrecht der EU, 1. Auflage 2017, Teil 3, Rn. 7; Klabunde, in: Ehmann/Selmayr, Datenschutz-Grundverordnung, 2. Auflage 2018, Art. 4, Rn. 36; Petri, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 1. Auflage 2019, Art. 4 Nr. 10 DS-GVO, Rn. 20). Dabei ist hier grundsätzlich davon auszugehen, dass dem Kläger Datenschutzverstöße seiner Mitarbeiterinnen und Mitarbeiter, derer er sich zur Durchführung seiner beruflichen Tätigkeit bedient, zugerechnet werden können und er insoweit kraft der ihm zukommenden arbeitsrechtlichen Weisungsbefugnis als Verantwortlicher zu sehen ist (vgl. Schantz, in: Schantz/Wolff, Das neue Datenschutzrecht, 1. Auflage 2017, Rn. 360 unter Verweis auf Art. 4 Nr. 10 DS-GVO; Hartung, in: Kühling/Buchner, DS-GVO BDSG, 2. Auflage 2018, Art. 4 Nr. 7, Rn. 13; siehe auch Maschmann, in: Kühling/Buchner, a.a.O., § 26 BDSG, Rn. 15). Diese Zurechnung findet ihre Grenze allerdings spätestens dann, wenn ein „Exzess“ einer Mitarbeiterin bzw. eines Mitarbeiters vorliegt (vgl. Holländer, in: BeckOK Datenschutzrecht, Wolff/Brink, 33. Edition, Stand: 1. August 2020, Art. 83 DS-GVO, Rn. 11; Entschließung der 97. Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder am 3. April 2019, abrufbar unter: https://www.datenschutzkonferenz-online.de/media/en/20190405_Entschliessung_Unternehmenshaftung.pdf) bzw. diese/r sich nicht an (konkrete) Anweisungen hält (vgl. Eckhardt, in: Spindler/Schuster, Recht der elektronischen Medien, 4. Auflage 2019, Art. 83 DS-GVO, Rn. 77: „Abweichen von Vorgaben durch Mitarbeiter“; siehe zur subjektiven Zurechnung im Kartellrecht: Mansdörfer/Timmerbeil, Das Modell der Verbandshaftung im europäischen Kartellbußgeldrecht, EuZW 2011, 214 [216]).

46

Zumindest sofern die mitarbeitende Person also eigenmächtig über die Zwecke („Ob“ und „Wofür“) und Mittel („Wie“) der Verarbeitung entscheidet, ist diese unter Umständen selbst verantwortlich (vgl. Eckhardt, in: Spindler/Schuster, Recht der elektronischen Medien, 4. Auflage 2019, Art. 83 DS-GVO, Rn. 69; Bergt, in: Kühling/Buchner, DSGVO BDSG, 2. Auflage 2018, Art. 83 DS-GVO, Rn. 22). Mithin ist von einem den Zurechnungszusammenhang unterbrechenden „Exzess“ jedenfalls dann auszugehen, wenn Beschäftigte Daten unbefugt für eigene Zwecke verarbeiten – wie z.B. bei der Einsichtnahme in behördliche Datenbanken für private Zwecke oder Entwendung von Kundendaten (vgl. Schantz, in: Schantz/Wolff, Das neue Datenschutzrecht, 1. Auflage 2017, Rn. 360; Bergt, in: Kühling/Buchner, DS-GVO BDSG, 2. Auflage 2018, Art. 83 DS-GVO, Rn. 22; Born, in: Specht/Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, 1. Auflage 2019, § 8, Rn. 24; Ernst, in: Paal/Pauly, DS-GVO BDSG, 2. Auflage 2018, Art. 4, Rn. 55; siehe auch Art. 29 Datenschutzgruppe, Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“, WP 169, S. 20). Der jeweilige Beschäftigte schwingt sich dann insoweit selbst zum Verantwortlichen auf, indem er anfängt, selbst darüber zu entscheiden, wie und warum mit Daten umgegangen wird (vgl. dazu auch: Basar, Mandat und Datenschutz, StraFo 2019, 222 [224]).

47

Ob und inwieweit darüber hinaus noch Durchbrechungen des Zurechnungszusammenhangs möglich sind, kann letztlich offenbleiben. Damit kam es auch nicht (mehr) auf die Würdigung der Zeugenaussage der Zeugin I. an, sodass eine möglicherweise notwendige Wiederholung der Beweisaufnahme nach einem Wechsel der Kammerbesetzung (vgl. dazu BVerwG, Beschluss vom 8. Juli 1988 – 4 B 100/88 – NVwZ-RR 1990, 166 [167]) schon deshalb nicht erfolgen musste.

48

III. Die Kostentscheidung beruht auf § 154 Abs. 1 VwGO.

49

IV. Der Ausspruch zur vorläufigen Vollstreckbarkeit ergibt sich aus § 167 VwG

B e s c h l u s s

50

Der 1. Kammer des Verwaltungsgerichts Mainz vom 17. Dezember 2020

52

Der Streitwert wird auf 5.000,00 € festgesetzt (§ 52 Abs. 2 GKG).