6 K 1107/20.WI

Leitsatz: 1. Bereits mit Beschluss vom 31.08.2021 (6 K 226/21.WI; C-552/21) wurde die Frage gestellt, ob die Entscheidung der Aufsichtsbehörde den Charakter einer behördlichen Sachentscheidung habe. 2. Es stellt sich darüber hinaus die Frage, ob die Regelung des Art. 78 Abs. 1 DS-GVO dahingehend auszulegen ist, dass es keinen Spielraum der Aufsichtsbehörde gibt und die Aufsichtsbehörde bei Verstößen, gleich welcher Intensität, immer einschreiten und eine Maßnahme nach Art. 57, 58 DS-GVO treffen müsse. 3. Es bestehen Zweifel an der Auffassung, nach der die Aufsichtsbehörde in allen Fällen eine Maßnahme nach Art. 58 Abs. 2 bzw. 83 Abs. 2 DS-GVO zu treffen hätte. 4. Die Sachenscheidung der Aufsichtsbehörde ist voll inhaltlich von dem Gericht zu überprüfen. Es besteht nur dann ein Anspruch auf ein Einschreiten, wenn rechtmäßige Alternativen nicht erkennbar sind (etwa bei einer sog. Ermessensreduzierung auf Null). I. Das Verfahren wird ausgesetzt. II. Das Verfahren wird gemäß Art. 267 AEUV zur Vorabentscheidung dem Gerichtshof der Europäischen Union hinsichtlich folgender Frage vorgelegt: Sind Art. 57 Abs. 1 lit. a, f und Art. 58 Abs. 2 lit. a-j in Verbindung mit Art. 77 Abs. 1 der Verordnung (EU) 2016/679 des Europäische Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung – DS-GVO; ABl. EU vom 04.05.2016, L 119, S. 1) dahingehend auszulegen, dass in dem Fall, dass die Aufsichtsbehörde eine Datenverarbeitung feststellt, die den Betroffenen in seinen Rechten verletzt, die Aufsichtsbehörde stets verpflichtet ist, nach Art. 58 Abs. 2 DS-GVO einzuschreiten? I. Bereits mit Beschluss vom 31.08.2021 (6 K 226/21.WI; C-552/21) legte die 6. Kammer des Verwaltungsgerichts Wiesbaden dem Europäischen Gerichtshof die Frage zum Rechtscharakter der Tätigkeit und der Mitteilung der Aufsichtsbehörde bezüglich eines betroffenen Beschwerdeführers vor. Bei dieser Vorlage wurde die Frage gestellt, ob die Entscheidung der Aufsichtsbehörde den Charakter einer behördlichen Sachentscheidung habe. Dies mit der Folge, dass die gerichtliche Kontrolle einer aufsichtsbehördlichen Beschwerdeentscheidung nach Art. 78 Abs. 1 DS-GVO dazu führe, dass die Sachentscheidung voll inhaltlich von dem Gericht zu überprüfen sei, wobei im Einzelfall - z.B. bei einer sog. Ermessensreduzierung auf Null - die Aufsichtsbehörde durch das Gericht auch zu einer konkreten Maßnahme im Sinne des Art. 58 DS-GVO verpflichtet werden könne. In dem vorliegenden Verfahren hat der Prozessvertreter ein weitergehendes Verständnis. Seiner Auffassung nach sei die Regelung des Art. 78 Abs. 1 DS-GVO dahingehend auszulegen, dass es keinen Spielraum der Aufsichtsbehörde nach der DS-GVO gebe und bei Verstößen, gleich welcher Intensität, die Aufsichtsbehörde immer einschreiten und eine Maßnahme nach Art. 57, 58 DS-GVO treffen müsse. Dabei beruft er sich auf das Urteil des EuGH vom 14.06.2021, C-645/19 (ECLI:EU:C:2021:483). Bei dieser Auslegung müsste das Gericht immer zu einem Einschreiten verpflichten. II. 1. Charta der Grundrechte der Europäischen Union (GrCh) 3 Artikel 7 GrCh Achtung des Privat- und Familienlebens Jede Person hat das Recht auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung sowie ihrer Kommunikation. 4 Artikel 8 GrCh Schutz personenbezogener Daten (1) Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten. (2) Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken. (3) Die Einhaltung dieser Vorschriften wird von einer unabhängigen Stelle überwacht. Artikel 47 GrCh Recht auf einen wirksamen Rechtsbehelf und ein unparteiisches Gericht (1) Jede Person, deren durch das Recht der Union garantierte Rechte oder Freiheiten verletzt worden sind, hat das Recht, nach Maßgabe der in diesem Artikel vorgesehenen Bedingungen bei einem Gericht einen wirksamen Rechtsbehelf einzulegen. (2) Jede Person hat ein Recht darauf, dass ihre Sache von einem unabhängigen, unparteiischen und zuvor durch Gesetz errichteten Gericht in einem fairen Verfahren, öffentlich und innerhalb angemessener Frist verhandelt wird. Jede Person kann sich beraten, verteidigen und vertreten lassen. (3) Personen, die nicht über ausreichende Mittel verfügen, wird Prozesskostenhilfe bewilligt, soweit diese Hilfe erforderlich ist, um den Zugang zu den Gerichten wirksam zu gewährleisten. 2. Verordnung (EU) 2016/679 des Europäische Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung – DS-GVO; ABl. EU vom 4.5.2016, L 119, S. 1) Erwägungsgrund (129) Um die einheitliche Überwachung und Durchsetzung dieser Verordnung in der gesamten Union sicherzustellen, sollten die Aufsichtsbehörden in jedem Mitgliedstaat dieselben Aufgaben und wirksamen Befugnisse haben, darunter, insbesondere im Fall von Beschwerden natürlicher Personen, Untersuchungsbefugnisse, Abhilfebefugnisse und Sanktionsbefugnisse und Genehmigungsbefugnisse und beratende Befugnisse, sowie – unbeschadet der Befugnisse der Strafverfolgungsbehörden nach dem Recht der Mitgliedstaaten – die Befugnis, Verstöße gegen diese Verordnung den Justizbehörden zur Kenntnis zu bringen und Gerichtsverfahren anzustrengen. Dazu sollte auch die Befugnis zählen, eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen. Die Mitgliedstaaten können andere Aufgaben im Zusammenhang mit dem Schutz personenbezogener Daten im Rahmen dieser Verordnung festlegen. Die Befugnisse der Aufsichtsbehörden sollten in Übereinstimmung mit den geeigneten Verfahrensgarantien nach dem Unionsrecht und dem Recht der Mitgliedstaaten unparteiisch, gerecht und innerhalb einer angemessenen Frist ausgeübt werden. Insbesondere sollte jede Maßnahme im Hinblick auf die Gewährleistung der Einhaltung dieser Verordnung geeignet, erforderlich und verhältnismäßig sein, wobei die Umstände des jeweiligen Einzelfalls zu berücksichtigen sind, das Recht einer jeden Person, gehört zu werden, bevor eine individuelle Maßnahme getroffen wird, die nachteilige Auswirkungen auf diese Person hätte, zu achten ist und überflüssige Kosten und übermäßige Unannehmlichkeiten für die Betroffenen zu vermeiden sind. Untersuchungsbefugnisse im Hinblick auf den Zugang zu Räumlichkeiten sollten im Einklang mit besonderen Anforderungen im Verfahrensrecht der Mitgliedstaaten ausgeübt werden, wie etwa dem Erfordernis einer vorherigen richterlichen Genehmigung. Jede rechtsverbindliche Maßnahme der Aufsichtsbehörde sollte schriftlich erlassen werden und sie sollte klar und eindeutig sein; die Aufsichtsbehörde, die die Maßnahme erlassen hat, und das Datum, an dem die Maßnahme erlassen wurde, sollten angegeben werden und die Maßnahme sollte vom Leiter oder von einem von ihm bevollmächtigen Mitglied der Aufsichtsbehörde unterschrieben sein und eine Begründung für die Maßnahme sowie einen Hinweis auf das Recht auf einen wirksamen Rechtsbehelf enthalten. Dies sollte zusätzliche Anforderungen nach dem Verfahrensrecht der Mitgliedstaaten nicht ausschließen. Der Erlass eines rechtsverbindlichen Beschlusses setzt voraus, dass er in dem Mitgliedstaat der Aufsichtsbehörde, die den Beschluss erlassen hat, gerichtlich überprüft werden kann. Erwägungsgrund (141) Jede betroffene Person sollte das Recht haben, bei einer einzigen Aufsichtsbehörde insbesondere in dem Mitgliedstaat ihres gewöhnlichen Aufenthalts eine Beschwerde einzureichen und gemäß Artikel 47 der Charta einen wirksamen gerichtlichen Rechtsbehelf einzulegen, wenn sie sich in ihren Rechten gemäß dieser Verordnung verletzt sieht oder wenn die Aufsichtsbehörde auf eine Beschwerde hin nicht tätig wird, eine Beschwerde teilweise oder ganz abweist oder ablehnt oder nicht tätig wird, obwohl dies zum Schutz der Rechte der betroffenen Person notwendig ist. Die auf eine Beschwerde folgende Untersuchung sollte vorbehaltlich gerichtlicher Überprüfung so weit gehen, wie dies im Einzelfall angemessen ist. Die Aufsichtsbehörde sollte die betroffene Person innerhalb eines angemessenen Zeitraums über den Fortgang und die Ergebnisse der Beschwerde unterrichten. Sollten weitere Untersuchungen oder die Abstimmung mit einer anderen Aufsichtsbehörde erforderlich sein, sollte die betroffene Person über den Zwischenstand informiert werden. Jede Aufsichtsbehörde sollte Maßnahmen zur Erleichterung der Einreichung von Beschwerden treffen, wie etwa die Bereitstellung eines Beschwerdeformulars, das auch elektronisch ausgefüllt werden kann, ohne dass andere Kommunikationsmittel ausgeschlossen werden. Artikel 57 DS-GVO Aufgaben (1) Unbeschadet anderer in dieser Verordnung dargelegter Aufgaben muss jede Aufsichtsbehörde in ihrem Hoheitsgebiet a) die Anwendung dieser Verordnung überwachen und durchsetzen; b) die Öffentlichkeit für die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung sensibilisieren und sie darüber aufklären. Besondere Beachtung finden dabei spezifische Maßnahmen für Kinder; c) im Einklang mit dem Recht des Mitgliedsstaats das nationale Parlament, die Regierung und andere Einrichtungen und Gremien über legislative und administrative Maßnahmen zum Schutz der Rechte und Freiheiten natürlicher Personen in Bezug auf die Verarbeitung beraten; d) die Verantwortlichen und die Auftragsverarbeiter für die ihnen aus dieser Verordnung entstehenden Pflichten sensibilisieren; e) auf Anfrage jeder betroffenen Person Informationen über die Ausübung ihrer Rechte aufgrund dieser Verordnung zur Verfügung stellen und gegebenenfalls zu diesem Zweck mit den Aufsichtsbehörden in anderen Mitgliedstaaten zusammenarbeiten; f) sich mit Beschwerden einer betroffenen Person oder Beschwerden einer Stelle, einer Organisation oder eines Verbandes gemäß Artikel 80 befassen, den Gegenstand der Beschwerde in angemessenem Umfang untersuchen und den Beschwerdeführer innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung unterrichten, insbesondere, wenn eine weitere Untersuchung oder Koordinierung mit einer anderen Aufsichtsbehörde notwendig ist; Artikel 58 DS-GVO Befugnisse (1) Jede Aufsichtsbehörde verfügt über sämtliche folgenden Untersuchungsbefugnisse, die es ihr gestatten, a) den Verantwortlichen, den Auftragsverarbeiter und gegebenenfalls den Vertreter des Verantwortlichen oder des Auftragsverarbeiters anzuweisen, alle Informationen bereitzustellen, die für die Erfüllung ihrer Aufgaben erforderlich sind, b) Untersuchungen in Form von Datenschutzüberprüfungen durchzuführen, c) eine Überprüfung der nach Artikel 42 Absatz 7 erteilten Zertifizierungen durchzuführen, d) den Verantwortlichen oder den Auftragsverarbeiter auf einen vermeintlichen Verstoß gegen diese Verordnung hinzuweisen, e) von dem Verantwortlichen und dem Auftragsverarbeiter Zugang zu allen personenbezogenen Daten und Informationen, die zur Erfüllung ihrer Aufgaben notwendig sind, zu erhalten, f) gemäß dem Verfahrensrecht der Union oder dem Verfahrensrecht des Mitgliedstaats Zugang zu den Räumlichkeiten, einschließlich aller Datenverarbeitungsanlagen und -geräte, des Verantwortlichen und des Auftragsverarbeiters zu erhalten. (2) Jede Aufsichtsbehörde verfügt über sämtliche folgenden Abhilfebefugnisse, die es ihr gestatten, a) einen Verantwortlichen oder einen Auftragsverarbeiter zu warnen, dass beabsichtigte Verarbeitungsvorgänge voraussichtlich gegen diese Verordnung verstoßen, b) einen Verantwortlichen oder einen Auftragsverarbeiter zu verwarnen, wenn er mit Verarbeitungsvorgängen gegen diese Verordnung verstoßen hat, c) den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, den Anträgen der betroffenen Person auf Ausübung der ihr nach dieser Verordnung zustehenden Rechte zu entsprechen, d) den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen, e) den Verantwortlichen anzuweisen, die von einer Verletzung des Schutzes personenbezogener Daten betroffene Person entsprechend zu benachrichtigen, f) eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen, g) die Berichtigung oder Löschung von personenbezogenen Daten oder die Einschränkung der Verarbeitung gemäß den Artikeln 16, 17 und 18 und die Unterrichtung der Empfänger, an die diese personenbezogenen Daten gemäß Artikel 17 Absatz 2 und Artikel 19 offengelegt wurden, über solche Maßnahmen anzuordnen, h) eine Zertifizierung zu widerrufen oder die Zertifizierungsstelle anzuweisen, eine gemäß den Artikel 42 und 43 erteilte Zertifizierung zu widerrufen, oder die Zertifizierungsstelle anzuweisen, keine Zertifizierung zu erteilen, wenn die Voraussetzungen für die Zertifizierung nicht oder nicht mehr erfüllt werden, i) eine Geldbuße gemäß Artikel Artikel 83 zu verhängen, zusätzlich zu oder anstelle von in diesem Absatz genannten Maßnahmen, je nach den Umständen des Einzelfalls, j) die Aussetzung der Übermittlung von Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation anzuordnen. Artikel 77 DS-GVO Recht auf Beschwerde bei einer Aufsichtsbehörde (1) Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt. (2) Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, unterrichtet den Beschwerdeführer über den Stand und die Ergebnisse der Beschwerde einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs nach Artikel 78. Artikel 78 DS-GVO Recht auf wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde (1) Jede natürliche oder juristische Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen einen sie betreffenden rechtsverbindlichen Beschluss einer Aufsichtsbehörde. (2) Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtbehelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn die nach den Artikeln 55 und 56 zuständige Aufsichtsbehörde sich nicht mit einer Beschwerde befasst oder die betroffene Person nicht innerhalb von drei Monaten über den Stand oder das Ergebnis der gemäß Artikel 77 erhobenen Beschwerde in Kenntnis gesetzt hat. Artikel 83 DS-GVO Allgemeine Bedingungen für die Verhängung von Geldbußen (1) Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Artikel für Verstöße gegen diese Verordnung gemäß den Absätzen 4, 5 und 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. (2) Geldbußen werden je nach den Umständen des Einzelfalls zusätzlich zu oder anstelle von Maßnahmen nach Artikel 58 Absatz 2 Buchstaben a bis h und j verhängt. Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall Folgendes gebührend berücksichtigt: a) Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens; b) Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes; c) jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens; d) Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen gemäß den Artikeln 25 und 32 getroffenen technischen und organisatorischen Maßnahmen; e) etwaige einschlägige frühere Verstöße des Verantwortlichen oder des Auftragsverarbeiters; f) Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern; g) Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind; h) Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat; i) Einhaltung der nach Artikel 58 Absatz 2 früher gegen den für den betreffenden Verantwortlichen oder Auftragsverarbeiter in Bezug auf denselben Gegenstand angeordneten Maßnahmen, wenn solche Maßnahmen angeordnet wurden; j) Einhaltung von genehmigten Verhaltensregeln nach Artikel 40 oder genehmigten Zertifizierungsverfahren nach Artikel 42 und k) jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste. (3) Verstößt ein Verantwortlicher oder ein Auftragsverarbeiter bei gleichen oder miteinander verbundenen Verarbeitungsvorgängen vorsätzlich oder fahrlässig gegen mehrere Bestimmungen dieser Verordnung, so übersteigt der Gesamtbetrag der Geldbuße nicht den Betrag für den schwerwiegendsten Verstoß. (4) Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 10 000 000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist: a) die Pflichten der Verantwortlichen und der Auftragsverarbeiter gemäß den Artikeln 8, 11, 25 bis 39, 42 und 43; b) die Pflichten der Zertifizierungsstelle gemäß den Artikeln 42 und 43; c) die Pflichten der Überwachungsstelle gemäß Artikel 41 Absatz 4. (5) Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist: a) die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung, gemäß den Artikeln 5, 6, 7 und 9; b) die Rechte der betroffenen Person gemäß den Artikeln 12 bis 22; c) die Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation gemäß den Artikeln 44 bis 49; d) alle Pflichten gemäß den Rechtsvorschriften der Mitgliedstaaten, die im Rahmen des Kapitels IX erlassen wurden; e) Nichtbefolgung einer Anweisung oder einer vorübergehenden oder endgültigen Beschränkung oder Aussetzung der Datenübermittlung durch die Aufsichtsbehörde gemäß Artikel 58 Absatz 2 oder Nichtgewährung des Zugangs unter Verstoß gegen Artikel 58 Absatz 1. (6) Bei Nichtbefolgung einer Anweisung der Aufsichtsbehörde gemäß Artikel 58 Absatz 2 werden im Einklang mit Absatz 2 des vorliegenden Artikels Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist. (7) Unbeschadet der Abhilfebefugnisse der Aufsichtsbehörden gemäß Artikel 58 Absatz 2 kann jeder Mitgliedstaat Vorschriften dafür festlegen, ob und in welchem Umfang gegen Behörden und öffentliche Stellen, die in dem betreffenden Mitgliedstaat niedergelassen sind, Geldbußen verhängt werden können. (8) Die Ausübung der eigenen Befugnisse durch eine Aufsichtsbehörde gemäß diesem Artikel muss angemessenen Verfahrensgarantien gemäß dem Unionsrecht und dem Recht der Mitgliedstaaten, einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren, unterliegen. (9) Sieht die Rechtsordnung eines Mitgliedstaats keine Geldbußen vor, kann dieser Artikel so angewandt werden, dass die Geldbuße von der zuständigen Aufsichtsbehörde in die Wege geleitet und von den zuständigen nationalen Gerichten verhängt wird, wobei sicherzustellen ist, dass diese Rechtsbehelfe wirksam sind und die gleiche Wirkung wie die von Aufsichtsbehörden verhängten Geldbußen haben. In jeden Fall müssen die verhängten Geldbußen wirksam, verhältnismäßig und abschreckend sein. Die betreffenden Mitgliedstaaten teilen der Kommission bis zum 25. Mai 2018 die Rechtsvorschriften mit, die sie aufgrund dieses Absatzes erlassen, sowie unverzüglich alle späteren Änderungsgesetze oder Änderungen dieser Vorschriften. III. Der Kläger fordert von dem Beklagten ein Einschreiten gegen die Sparkasse. Die Sparkasse ist eine kommunale Anstalt des öffentlichen Rechts und wickelt unter anderem Bank- und Kreditgeschäfte ab. Der Beschwerde des Klägers lag zugrunde, dass eine Mitarbeiterin der Sparkasse, die zum damaligen Zeitpunkt ein angespanntes nachbarliches Verhältnis zum Kläger hatte, mehrmals unbefugt auf die Personenstammdaten, Umsatzdaten und Daten über die wirtschaftlichen Verhältnisse des Klägers zugegriffen hatte. Nachdem der Kläger hiervon aufgrund von Nachfragen bei der Sparkasse Kenntnis erlangt hatte, wandte er sich an den Beklagten, schilderte den Sachverhalt und zeigte einen Verstoß gegen Art. 34 DS-GVO an. Hierbei kritisierte er auch die Speicherdauer der Zugriffsprotokolle von 3 Monaten und den Umstand, dass jeder Mitarbeiter umfassende Zugriffsrechte habe. Bereits zuvor hatte die Sparkasse dem Beklagten die Datenschutzverletzung gemäß Art. 33 DS-GVO gemeldet. Der Beklagte wies sodann die Sparkasse darauf hin, dass die damalige Speicherfrist der Zugriffsprotokolle zu kurz sei. Die Protokolle sollten 6-12 Monate aufbewahrt werden, da oftmals dem Betroffenen erst nach einer längeren Zeit bewusst werde, dass möglicherweise unberechtigte Zugriffe erfolgt sein könnten, dann aber eine Aufklärung nicht mehr möglich sei. Die Sparkasse erklärte im Rahmen ihrer Anhörung gegenüber dem Beklagten, dass sie von einer Benachrichtigung nach Art. 34 DS-GVO abgesehen habe, da es sich nicht um eine Verletzung des Schutzes personenbezogener Daten mit einem voraussichtlich hohen Risiko für den Kläger handele. Erst im Rahmen eines persönlichen Gesprächs habe der Kläger den Verdacht geäußert, dass eine bestimmte Person auf seine Daten zugegriffen habe. Hiernach sei umgehend die Mitteilung nach Art. 33 DS-GVO erfolgt. Die Speicherdauer der Zugriffsdaten werde überprüft. Es sei korrekt, dass die Speicherdauer zum Zeitpunkt der Anfrage auf 3 Monate beschränkt gewesen sei. Der Hinweis des Beklagten, dass die Protokolle 6 bis 12 Monate aufbewahrt werden sollten, sei jedoch zum Anlass genommen worden, die aktuelle Speicherdauer zu überprüfen. Ferner teilte der Beklagte gegenüber der Sparkasse der Auffassung mit, dass eine Benachrichtigung nach Art. 34 DS-GVO dann nicht erforderlich sei, wenn dem Betroffenen durch die Datenschutzverletzung voraussichtlich kein hohes Risiko drohe. Der Datenschutzbeauftragte der Sparkasse sei davon ausgegangen, dass kein Risiko für den Kläger drohe, da disziplinarische Maßnahmen gegen die Nachbarin des Klägers durchgeführt worden seien und diese schriftlich bestätigt habe, die zur Kenntnis genommenen Daten weder kopiert oder gespeichert, noch an Dritte übermittelt zu haben und zugesagt habe, dies auch zukünftig nicht zu tun. Mit streitgegenständlichem Bescheid vom 03.09.2020 teilte der Beklagte dem Kläger mit, dass die Sparkasse in dem vom Kläger vorgetragenen Fall nicht gegen die Bestimmungen des Art. 34 DS-GVO verstoßen habe. Im Rahmen des Art. 34 Abs. 1 DS-GVO sei eine Prognoseentscheidung durch die Sparkasse zu treffen. Die Sparkasse sei nicht von einem hohen Risiko ausgegangen, sodass eine Benachrichtigung nicht erforderlich gewesen sei. Aus datenschutzaufsichtsrechtlicher Sicht sei zu prüfen, ob die Prognoseentscheidung offensichtlich falsch gewesen sei. Die Sparkasse habe ausgeführt, dass zwar ein Zugriff erfolgt sei, es aber keinerlei Anhaltspunkte dafür gegeben habe, dass die entsprechende Mitarbeiterin die Daten an Dritte weitergegeben oder zum Nachteil des Klägers verwendet habe. Nach alledem sei ein hohes Risiko voraussichtlich nicht gegeben. Eine derartige Prognoseentscheidung sei beim vorliegenden Sachverhalt sicherlich möglich. Es könne zwar auch Argumente für eine Benachrichtigung nach Art. 34 DS-GVO geben. Ein Verstoß könne jedoch nicht festgestellt werden, da hierfür nachgewiesen werden müsse, dass die Prognoseentscheidung unter Einbeziehung aller Fakten so nicht hätte getroffen werden dürfen. Bezüglich der Speicherdauer der Zugriffsprotokolle sei die Sparkasse dazu aufgefordert worden, die Protokollierung nunmehr länger zu speichern. Hinsichtlich der Sicherheitsmechanismen bezüglich der Protokollierung und der Zugriffsrechte sei anzumerken, dass grundsätzlich umfangreiche Zugriffsrechte erteilt werden dürften, wenn sichergestellt sei, dass jeder Nutzer belehrt werde, unter welchen Bedingungen auf welche Daten zugegriffen werden dürfe. Eine grundsätzliche Kontrolle eines jeden Zugriffs sei nicht erforderlich. Hiergegen hat der Kläger mit Schriftsatz vom 28.09.2020, eingegangen beim Verwaltungsgericht Wiesbaden am 02.10.2020, Klage erhoben. Er trägt vor, dass der Beklagte die Beschwerde nicht bzw. nicht nach den Vorgaben der DS-GVO bearbeitet habe. Er habe einen Anspruch darauf, dass die Beschwerde bearbeitet und er darüber unterrichtet werde. Es bestünde ein Anspruch auf Einschreiten des Beklagten. Der Beklagte sei verpflichtet, die tatsächlichen Umstände für die Beurteilung des Risikos durch die Sparkasse zu ermitteln. Alles, was dem Beklagten vorgetragen wurde, sei von diesem zu berücksichtigen und zu bearbeiten. Der Beklagte sei nicht auf solche Maßnahmen beschränkt, die ausdrücklich beantragt wurden. Der Beklagte hätte gegen die Sparkasse Bußgelder verhängen müssen. Ihm komme bei einem festgestellten Verstoß kein Entschließungsermessen, allenfalls ein Auswahlermessen, welche Maßnahmen er zu ergreifen gedenkt, zu. Es gelte hier nicht das Opportunitätsprinzip. Der Kläger macht einen Anspruch auf Bearbeitung seiner Beschwerde geltend. Dies betreffe folgende Punkte: - Verdacht eines Verstoßes der Sparkasse gegen Art. 33 Abs. 1 DS-GVO durch nicht rechtzeitige Meldung des Datenschutzverstoßes gegenüber dem Beklagten, - Verdacht, dass die Meldung des Datenschutzverstoßes durch die Sparkasse an den Beklagten nicht den von Art. 33 Abs. 3 DS-GVO geforderten Mindestinhalt aufweise, - Verstoß der Sparkasse gegen Art. 15 Abs. 1 lit. c) DS-GVO durch Nichtbearbeitung des Auskunftsverlangens des Klägers, - Verstoß der Sparkasse gegen Art. 12 Abs. 3 DS-GVO, da sie insoweit, als sie das Auskunftsverlangen des Klägers beantwortet habe, das Auskunftsverlangen nicht innerhalb der Monatsfrist beantwortet habe, - Verstoß der Sparkasse gegen Art. 5 DS-GVO durch unzureichende Speicherfristen von Zugriffsprotokollen, - Verstoß der Sparkasse gegen Art. 5 DS-GVO durch ungenügende Überwachung der Zugriffsprotokolle sowie - Verstoß der Sparkasse gegen Art. 5 DS-GVO durch Unterlassung von Folgemaßnahmen zur Vermeidung zukünftiger Vorfälle gleicher Art. Der Kläger begehrt von dem Gericht die Verpflichtung der beklagten Aufsichtsbehörde zum Einschreiten gegen die Sparkasse XXX durch eine Neuentscheidung unter Beachtung der Rechtsauffassung des Gerichts, wobei die Verpflichtung und Rechtsauffassung des Gerichts neben einer Durchsetzung der Ansprüche des Klägers auch eine Verpflichtung zum Erlass eines Bußgeldes nach Art. 83 Abs. 2 DS-GVO enthalten solle. Der Kläger führt aus: „Ausgehend von einer Bilanzsumme der Sparkasse von ca. 3. Mrd. EUR im Geschäftsjahr 2019 würde sich eine Geldbuße von bis zu 60.000.0000 EUR (2 %) bzw. bis zu 120.000.000 EUR (4 %) ergeben“. IV. Das vorlegende Gericht ist zur Vorlage der Frage gemäß Art. 267 Abs. 1 lit. a, Abs. 2 AEUV berechtigt. Denn in Frage steht die Auslegung der Art. 57, 58, 77 DS-GVO, die sekundäres Unionsrecht darstellen. Die Entscheidung über diese Frage ist für den Erlass des Urteiles erforderlich. Denn im vorliegenden Fall hat die nationale Aufsichtsbehörde ein Einschreitermessen ausgeübt und ist zu dem Ergebnis gekommen, dass zwar ein Verstoß gegen Datenschutzbestimmungen vorliegt, ein Einschreiten nach Art. 58 Abs. 2 DS-GVO aber dennoch nicht geboten sei. Dieses Vorgehen ist nur dann rechtmäßig, wenn die Aufsichtsbehörde auch bei einem festgestellten Datenschutzverstoß nicht verpflichtet ist, einzuschreiten. Folgt man der Auffassung des Klägers und der in der Literatur geäußerten Meinung (Härting, Flisek, Thiess, Das neue Beschwerderecht des Bürgers, CR 2018, 296 ff.), es bestehe kein Ermessen, so hätte dies zur Folge, dass immer bei einem festgestellten Verstoß ein Anspruch auf Einschreiten und Abhilfe bestünde und die Aufsichtsbehörde in allen Fällen eine Maßnahme nach Art. 58 Abs. 2 bzw. 83 Abs. 2 DS-GVO zu treffen hätte. Im Falle der Ablehnung müsste das Gericht dann die Aufsichtsbehörde zu einer Maßnahme oder einer Auswahl von Maßnahmen verpflichten. An dieser Auslegung hat das Gericht Zweifel und findet diese Auslegung zu weitgehend. Das Gericht neigt vielmehr dazu, der Aufsichtsbehörde einen Spielraum zuzugestehen, auch bei festgestellten Verstößen von Sanktionen abzusehen. Zwar ist der Charakter der Rechtsnatur der Entscheidung der nationalen Aufsichtsbehörde nach Art. 77 DS-GVO umstritten. In der Vorlage C-552/21 führte die vorlegende Kammer aus, dass es nach Art. 77 Abs. 1 DS-GVO ihrer Ansicht nach gerade nicht ausreiche, dass sich die Behörde nur mit der Beschwerde befasse, den Beschwerdegegenstand angemessen untersuche und über das Ergebnis der Prüfung unterrichte. Hierdurch werde das Recht auf wirksamen gerichtlichen Rechtsbehelf gegen die Aufsichtsbehörde gemäß Art. 78 Abs. 1 DS-GVO eingeschränkt. Ansonsten wäre die Durchsetzung der DS-GVO dann auch ganz wesentlich auf die Geltendmachung privater Rechtsbehelfe im Sinne des Art. 79 DS-GVO angewiesen und damit in erster Linie eine private Aufgabe. Dass dies nicht im Sinne der DS-GVO sein könne, ergebe sich daraus, dass die Umsetzung der Vorgaben der DS-GVO Aufgabe der Mitgliedstaaten und deren nationaler Verwaltungen sei (Art. 57 Abs. 1 lit. a DS-GVO). Allerdings steht der Aufsichtsbehörde zu der in der Vorlage C-552/21 dargelegten Überzeugung der Kammer ein Beurteilungs- und ein Ermessensspielraum in Bezug auf ein mögliches Einschreiten zu, weshalb die Aufsichtsbehörde im Einzelfall trotz eines Verstoßes des Dritten zulässigerweise auf ein Tätigwerden verzichten kann. Zwar wird in der Literatur teilweise die Ansicht vertreten, dass der Bürger, der durch die Datenverarbeitung in seinen Rechten verletzt ist, auch einen Anspruch auf Abhilfe habe. Es bestünde ein Anspruch gegen die Aufsichtsbehörde auf Erlass eines abhelfenden Verwaltungsakts gem. Art. 58 Abs. 2 DS-GVO (Härting/Flisek/Thiess „DS-GVO: Der Verwaltungsakt wird zum Normalfall – Das neue Beschwerderecht des Bürgers“ in: CR 2018, S. 299). Die Aufsichtsbehörde sei jedenfalls verpflichtet, bei festgestellten Rechtsverstößen hiergegen mit dem Ziel der Abstellung des Verstoßes vorzugehen, insbesondere eine Geldbuße zu verhängen und, falls erforderlich, Anordnungen nach Art. 58 Abs. 2 lit. c) bis j) zu erlassen (Kühling/Buchner/ Bergt, 3. Aufl. 2020, DS-GVO Art. 77 Rn. 17). Dies wird daraus hergeleitet, dass die Abhilfebefugnisse nach Art. 58 Abs. 2 DS-GVO dazu dienten, rechtmäßige Zustände wiederherzustellen, wenn Bürger durch eine Datenverarbeitung in ihren Rechten verletzt werden. Art. 58 Abs. 2 DS-GVO sei als Verpflichtungsnorm zu verstehen, die einen Anspruch des Bürgers auf behördliches Handeln begründe, wenn ein Unternehmen oder eine Behörde rechtswidrig personenbezogene Daten des Bürgers verarbeitet oder in anderer Weise Rechte verletzt haben. Im Falle der Feststellung eines Datenschutzverstoßes sei die Aufsichtsbehörde zur Abhilfe verpflichtet; ihr bliebe lediglich das Auswahlermessen, welche der Maßnahmen des Art. 58 Abs. 2 DS-GVO sie ergreift (Härting/Flisek/ Thiess, a.a.O., S. 299). Dennoch darf der Ansicht der Kammer nach aber nicht übersehen werden, dass Art. 57 Abs. 1 lit. f DS-GVO lediglich bestimmt, dass sich die Aufsichtsbehörde mit Beschwerden befasst, den Gegenstand der Beschwerde in angemessenem Umfang untersucht und den Beschwerdeführer innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung unterrichtet. Hieraus folgt eine Pflicht zu einer sorgsamen inhaltlichen Prüfung, jedoch nicht, dass stets und ausnahmslos ein Einschreiten geboten ist, wenn ein Verstoß festgestellt wird. Auch im Zusammenspiel mit den Erwägungsgründen 129 und 141 zur DS-GVO wird dieses Verständnis deutlich. Hiernach sollte insbesondere jede Maßnahme der Aufsichtsbehörde im Hinblick auf die Gewährleistung der Einhaltung dieser Verordnung geeignet, erforderlich und verhältnismäßig sein, wobei die Umstände des jeweiligen Einzelfalls zu berücksichtigen sind. Jede betroffene Person sollte das Recht haben, bei einer Aufsichtsbehörde eine Beschwerde einzureichen und gemäß Artikel 47 der Charta einen wirksamen gerichtlichen Rechtsbehelf einzulegen, wenn sie sich in ihren Rechten gemäß dieser Verordnung verletzt sieht oder wenn die Aufsichtsbehörde auf eine Beschwerde hin nicht tätig wird, eine Beschwerde teilweise oder ganz abweist oder ablehnt oder nicht tätig wird, obwohl dies zum Schutz der Rechte der betroffenen Person notwendig ist. Die auf eine Beschwerde folgende Untersuchung sollte vorbehaltlich gerichtlicher Überprüfung so weit gehen, wie dies im Einzelfall angemessen ist. Die Aufsichtsbehörde sollte die betroffene Person innerhalb eines angemessenen Zeitraums über den Fortgang und die Ergebnisse der Beschwerde unterrichten. Aus diesen Formulierungen wird deutlich, dass die Aufsichtsbehörde den Einzelfall zu prüfen hat. Es ist nur dann ein Einschreiten geboten, wenn dies zum Schutz der Rechte der betroffenen Person notwendig ist. Dies bedeutet im Umkehrschluss, dass nicht jeder Verstoß gegen Datenschutzvorschriften zwangsläufig zu einem Einschreiten führt, sondern dass der Einzelfall zu prüfen ist. Im Einzelfall ist es nämlich auch möglich, dass zwar in der Vergangenheit ein Verstoß gegen Datenschutzvorschriften stattgefunden hat, das handelnde Unternehmen bzw. die Behörde dies aber bemerkt hat und Maßnahmen getroffen hat, die nicht erwarten lassen, dass ein Datenschutzverstoß erneut auftritt. Ein Einschreiten der Aufsichtsbehörde wäre in diesem Fall überflüssig. Dies wird auch aus dem Wortlaut des Art. 58 Abs. 1 und 2 DS-GVO deutlich. Demnach ist es der Aufsichtsbehörde „gestattet“, die entsprechenden Untersuchungsbefugnisse einzusetzen. Nach dem allgemeinen Sprachgebrauch beschreibt dieses Verb die Einwilligung, „dass jemand etwas tut oder lässt“. Wenn die Aufsichtsbehörde in jedem Falle zum Einschreiten verpflichtet wäre, sobald ein Verstoß gegen die DS-GVO vorliegt, so hätte nicht von der Gestattung gesprochen werden müssen, sondern von einer Verpflichtung. Dies wird auch in der englischen und französischen Version der DS-GVO deutlich. Im Englischen werden folgende Formulierungen verwendet: “Each supervisory authority shall have all of the following investigative powers” beziehungsweise “Each supervisory authority shall have all of the following corrective powers”. Es werden hier durch den Ausdruck Verb “shall have […] powers“ die Befugnisse der Aufsichtsbehörde beschrieben. Es ist nicht die Rede davon, dass eine „duty“ zum Einschreiten besteht, ebenso wird nicht von „obliged to“ gesprochen. Eine Verpflichtung zur Nutzung der Befugnisse lässt sich hieraus nicht herleiten. Ebenso verhält es sich in der französischen Fassung: „Chaque autorité de contrôle dispose de tous les pouvoirs d'enquête suivants“ und „Chaque autorité de contrôle dispose du pouvoir d'adopter toutes les mesures correctrices suivantes“. Der Ausdruck „disposer des pouvoirs“ beschreibt ein „Verfügen“ über Befugnisse. Nur weil die Aufsichtsbehörde über Befugnisse verfügt, folgt auch hier nicht daraus, dass diese Befugnisse zwingend einzusetzen sind. Um eine einheitliche Auslegung zu erreichen, ist die Beantwortung der Frage erforderlich. Das vorlegende Gericht neigt dabei nach dem zuvor Ausgeführten zu einer Auslegung dahingehend, dass die Sachenscheidung der Aufsichtsbehörde zwar voll inhaltlich von dem Gericht zu überprüfen ist. Die Aufsichtsbehörde verfügt jedoch über ein Entschließungsermessen. Es besteht nur dann ein Anspruch auf ein Einschreiten, wenn rechtmäßige Alternativen nicht erkennbar sind (etwa bei einer sog. Ermessensreduzierung auf Null). V. Der Beschluss ist unanfechtbar.