Kann man eine Datenschutzbehörde mit einer allgemeinen Beschwerde ohne konkretes Beispiel zum Handeln zwingen? Das Verwaltungsgericht (VG) Berlin hat in einem Urteil, das „Datenschutz-Aktivisten“ und Unternehmen gleichermaßen aufhorchen lassen sollte, eine klare Grenze gezogen. Eine pauschale Beschwerde ohne die Benennung eines spezifischen Verstoßes und einer persönlichen Betroffenheit ist unzulässig (VG Berlin, Urt. v. 11.11.2025 – Az.: 1 K 525/23).
Der Fall ein Datenschutz-„Experte“ gegen die fehlende E-Mail-Verschlüsselung
Ein selbsternannter Datenschutz-Experte und Blogger reichte bei mehreren Datenschutzbehörden per E-Mail eine Beschwerde ein. Er monierte allgemein die fehlende Transportverschlüsselung bei E-Mails und verwies dabei lediglich auf einen seiner eigenen Blogbeiträge. Er nannte weder ein konkretes Unternehmen, das ihm eine unverschlüsselte E-Mail gesendet hatte, noch legte er eine persönliche Betroffenheit dar.
Als die Berliner Datenschutzbeauftragte auf seine Forderung nach einer Eingangsbestätigung und einem Aktenzeichen nicht sofort reagierte, klagte der „Experte“ auf die Durchführung eines offiziellen Beschwerdeverfahrens nach Art. 77 DSGVO.
Die Entscheidung des Gerichts keine Untersuchung „ins Blaue hinein“
Das VG Berlin wies die Klage als unzulässig ab. Dem Kläger fehle das notwendige Rechtsschutzinteresse. Die Begründung des Gerichts ist ein wichtiges Korrektiv gegen missbräuchliche oder unzureichend vorbereitete Beschwerden:
- Zusage der Behörde reicht aus: In der mündlichen Verhandlung hatte die Datenschutzbehörde zugesagt, die Eingabe des Klägers zu prüfen, sobald dieser einen konkreten Fall und eine spezifische, unverschlüsselt versendete E-Mail benennt. Damit sei dem Anliegen des Klägers bereits entsprochen und die Grundlage für die Klage entfallen.
- Eine Beschwerde erfordert Substanz: Das Gericht stellte klar, dass die ursprüngliche E-Mail des Klägers viel zu allgemein war. Eine wirksame Datenschutzbeschwerde muss zumindest grob aufzeigen, worin der konkrete Verstoß liegt und wie der Beschwerdeführer davon betroffen ist. Ein bloßer Verweis auf einen allgemeinen Blogbeitrag reicht nicht aus.
- Kein Anspruch auf sofortige Verfahrenseröffnung: Die Behörde ist nicht verpflichtet, auf eine vage und unsubstantiierte Eingabe hin sofort ein formelles Beschwerdeverfahren zu eröffnen. Sie kann und darf vom Beschwerdeführer zunächst die notwendigen konkreten Informationen anfordern.
Was das Urteil für Ihr Unternehmen bedeutet
- Schutz vor pauschalen und missbräuchlichen Beschwerden: Dies ist eine gute Nachricht für Unternehmen. Die Entscheidung schiebt Beschwerden einen Riegel vor, die nicht auf einem echten, konkreten Vorfall basieren, sondern möglicherweise nur dazu dienen, Behörden zu beschäftigen oder Druck aufzubauen.
- Die Bedeutung der ersten Reaktion: Wenn Sie mit einer unkonkreten Beschwerde konfrontiert werden, ist Ihre erste Reaktion entscheidend. Fordern Sie den Beschwerdeführer höflich, aber bestimmt auf, den Vorwurf zu konkretisieren (z.B. „Bitte nennen Sie uns das genaue Datum und den Absender der E-Mail, die Sie beanstanden.“).
- Dokumentation der Kommunikation: Dokumentieren Sie Ihre Nachfragen und die (möglicherweise ausbleibende) Antwort des Beschwerdeführers. Dies kann entscheidend sein, wenn der Fall später bei einer Behörde oder vor Gericht landet.
FAQ zum Thema DSGVO-Beschwerden
- Was muss eine wirksame DSGVO-Beschwerde enthalten?
Sie sollte den Namen des verantwortlichen Unternehmens, eine möglichst genaue Beschreibung des Datenschutzverstoßes, den Zeitpunkt des Vorfalls und eine Darlegung der eigenen Betroffenheit enthalten. Belege wie Screenshots oder E-Mails sind sehr hilfreich. - Muss die Datenschutzbehörde jeder Beschwerde nachgehen?
Ja, sie muss sich gemäß Art. 57 Abs. 1 lit. f) DSGVO mit jeder Beschwerde „in angemessenem Umfang befassen“. Dieses Urteil zeigt aber, dass „befassen“ auch bedeuten kann, zunächst weitere Informationen anzufordern, bevor ein formelles Verfahren eingeleitet wird. - Was kann ich als Unternehmen tun wenn ich eine unberechtigte Beschwerde erhalte?
Kooperieren Sie mit der Aufsichtsbehörde, legen Sie Ihre Sicht der Dinge dar und weisen Sie auf fehlende Konkretisierungen oder Beweise seitens des Beschwerdeführers hin. - Was sind die Konsequenzen einer berechtigten Beschwerde?
Dies kann zu einer Untersuchung durch die Datenschutzbehörde führen, die in Anordnungen zur Behebung des Verstoßes, Verwarnungen oder empfindlichen Bußgeldern münden kann. - Wo erhalte ich Unterstützung bei der Kommunikation mit Datenschutzbehörden?
Die Kommunikation mit Aufsichtsbehörden erfordert Erfahrung und Fingerspitzengefühl. Die Experten von sofortdatenschutz.de unterstützen Sie professionell im Umgang mit Beschwerden und behördlichen Verfahren. Kontaktieren Sie uns unter sofortdatenschutz.de/kontakt/.
Ein wichtiges Korrektiv gegen die Instrumentalisierung des Beschwerderechts
Das Urteil des VG Berlin ist ein klares Signal. Das Beschwerderecht der DSGVO ist ein wichtiges Instrument zum Schutz der Rechte von Einzelpersonen, aber es ist kein Werkzeug für pauschale Anprangerungen oder zur Selbstprofilierung. Sowohl Betroffene als auch Behörden werden daran erinnert, dass ein effektiver Datenschutz auf konkreten Fakten und einer substanziierten Auseinandersetzung im Einzelfall beruht, nicht auf vagen Behauptungen.
