Webshoprecht.de
OVG Bautzen Beschluss vom 17.07.2013 - 3 B 470/12 - Auskunftsanspruch der Datenschutzbehörde
OVG Bautzen v. 17.07.2013: Zum Auskunftsanspruch der Datenschutzbehörde
Das OVG Bautzen (Beschluss vom 17.07.2013 - 3 B 470/12) hat entschieden:
- § 38 Abs. 3 S. 1 BDSG genügt dem allgemeinen Vorbehalt des Gesetzes, der auf Eingriffe in die Berufsfreiheit und in das Recht am eingerichteten und ausgeübten Gewerbebetrieb anzuwenden ist.
- Das öffentliche Interesse der Allgemeinheit an einem effektiven Schutz personenbezogener Daten und das grundrechtlich geschützte Recht Betroffener auf informationelle Selbstbestimmung gehen wirtschaftlichen Interessen (im Einzelfall) vor.
Siehe auch Datenschutz
Gründe:
I.
Die Antragstellerin begehrt einstweiligen Rechtsschutz gegen eine Verpflichtung zur datenschutzrechtlichen Auskunft, deren sofortige Vollziehbarkeit angeordnet wurde.
Die Antragstellerin ist als Muttergesellschaft Teil der U...-Unternehmensgruppe. Sie betreibt und vermarktet Internetwebseiten, auf die monatlich über 13,22 Millionen Nutzer zugreifen. Dazu gehören beispielsweise die Portale http://www..., http://www..., http://www... oder http://www.... Diese Seiten werden auch von einem Tochterunternehmen der Antragstellerin, der U... GmbH, betrieben und vermarktet. Die Unternehmensstrukturen der beiden Unternehmen sind eng miteinander verwoben. Zudem betreibt die Antragstellerin auch eigene Seiten, wie zum Beispiel das Portal http://www.... Die U...-Unternehmensgruppe hat ihren Firmensitz in L... und betreibt mehrere Standorte in Deutschland mit insgesamt etwa 1.500 Mitarbeitern.
Am 11. Juli 2012 führte der Antragsgegner am Firmensitz der Antragstellerin eine als anlassfrei bezeichnete Kontrolle durch. Die Antragstellerin sicherte dem Antragsgegner im Termin zu, dem Antragsgegner eine Auflistung zur Verfügung zu stellen, aus der hervorgeht, wo sich die einzelnen Server befinden, welche Datenbanken auf diesen Servern laufen, welche Portale auf welche Datenbanken zugreifen und welche Prozesse/Produkte der Portale jeweils auf den Datenbanken laufen.
Mit Schreiben vom 12. Juli 2012 übersandte die Antragstellerin dem Antragsgegner verschiedene Unterlagen und wies darauf hin, dass sie die ihr vom Antragsgegner gesetzte Frist bis zum 17. Juli 2012 für die Vorlage einer Übersicht aller Geschäftsprozesse nicht einhalten könne und bat um Fristverlängerung bis zum 24. Juli 2012. Mit Schreiben vom 16. Juli 2012 gewährte der Antragsgegner die beantragte Fristverlängerung und konkretisierte die von der Antragstellerin geforderten Auskünfte.
Nachdem die Antragstellerin die geforderten Auskünfte auch bis 24. Juli 2012 nicht erbracht und den Antragsgegner um eine weitere Fristverlängerung gebeten hatte, zog der Antragsgegner die Antragstellerin mit dem streitgegenständlichen Bescheid vom 14. August 2012 unter Hinweis auf § 38 Abs. 3 Satz 1 BDSG und Fristsetzung bis zum 17. September 2012 sowie unter Belehrung über ein mögliches Auskunftsverweigerungsrecht zur Erteilung folgender Auskünfte heran:
„1.1 Eine umfassende, abschließende und aussagefähige Darstellung aller Geschäftsprozesse, welche die Erhebung, Verarbeitung und Nutzung personenbezogener Daten zum Gegenstand haben,
1.2 unter detaillierter Angabe jedes (einzelnen) Verarbeitungshandelns,
1.3 insbesondere eine Liste der Übermittlungen und Zusammenführungen personenbezogener Daten innerhalb der Holding sowie etwaige Übermittlungen an sonstige Dritte sowie
1.4 eine genaue Zuordnung des (jeweiligen) Verarbeitungshandelns wie folgt:
- Ort der Verarbeitung durch die verantwortliche Stelle
Für den Fall, dass die Antragstellerin diese Verpflichtung nicht erfüllen sollte, drohte der Antragsgegner ihr für jede nicht erteilte Auskunft ein Zwangsgeld i. H. v. 5.000,00 € an (Ziffer 2 des Bescheids).
Mit inhaltsgleichem Bescheid vom selben Tage zog der Antragsgegner auch die U... GmbH zur Auskunftserteilung heran.
Die Antragstellerin hat am 14. September 2012 beim Verwaltungsgericht Klage gegen den streitgegenständlichen Heranziehungsbescheid erhoben.
Mit weiterem Bescheid vom 1. Oktober 2012 ordnete der Antragsgegner die sofortige Vollziehung der Anordnung in Ziffer 1 des Heranziehungsbescheids vom 14. August 2012 an.
Die Antragstellerin hat am 18. Oktober 2012 beim Verwaltungsgericht Leipzig einstweiligen Rechtsschutz beantragt.
II.
Die Beschwerde der Antragstellerin hat keinen Erfolg. Das Verwaltungsgericht hat den Antrag der Antragstellerin auf Wiederherstellung bzw. Anordnung der aufschiebenden Wirkung ihrer Klage gegen den auf § 38 Abs. 3 Satz 1 BDSG gestützten, mit einer Zwangsgeldandrohung versehenen und nachträglich mit Bescheid vom 1. Oktober 2012 für sofort vollziehbar erklärten Heranziehungsbescheid vom 14. August 2012 zu Recht abgelehnt. Die mit der Beschwerde dargelegten Gründe, auf deren Prüfung das Oberverwaltungsgericht gemäß § 146 Abs. 4 Sätze 3 und 6 VwGO beschränkt ist, sind nicht geeignet, die Entscheidung des Verwaltungsgerichts in Frage zu stellen.
Das Verwaltungsgericht Leipzig hat den Antrag der Antragstellerin auf Gewährung vorläufigen Rechtsschutzes mit der Begründung abgelehnt, die aufschiebende Wirkung der Klage der Antragstellerin sei weder wiederherzustellen (hinsichtlich der Verpflichtung zur Auskunftserteilung in Ziffer 1 des Bescheids vom 14. August 2012) noch anzuordnen (hinsichtlich der Anordnung des Zwangsgelds in Ziffer 2 des Bescheids vom 14. August 2012). Die Anordnung der sofortigen Vollziehung im Bescheid des Antragsgegners vom 1. Oktober 2012 genüge dem Begründungserfordernis des § 80 Abs. 3 Satz 1 VwGO. Der Antragsgegner habe maßgeblich auf die in § 38 Abs. 3 Satz 1 BDSG zum Ausdruck kommende gesetzgeberische Intention abgestellt, wonach eine effektive Datenschutzaufsicht eine unverzügliche Auskunftserteilung erfordere. Er habe darauf hingewiesen, dass der Antragstellerin bereits ausreichend Zeit gewährt worden sei und mit der Anordnung der sofortigen Vollziehung verhindert werden solle, dass sich die Antragstellerin durch die Einlegung eines Rechtsbehelfs auf unbestimmte Zeit ihrer Verpflichtung zur Auskunftserteilung entziehen könne. Damit habe der Antragsgegner nicht bloß die im Gesetzeswortlaut zum Ausdruck kommende Wertung wiedergegeben, sondern beziehe sich konkret auf den vorliegenden Fall.
Die nach § 80 Abs. 5 Satz 1 VwGO vorzunehmende Interessenabwägung falle zugunsten des Vollzugsinteresses des Antragsgegners aus, da sich die Verpflichtung zur Auskunftserteilung als offensichtlich rechtmäßig erweise und im Übrigen auch ein besonderes Vollzugsinteresse bestehe. Der Heranziehungsbescheid sei formell rechtmäßig. Die örtliche Zuständigkeit des Antragsgegners folge aus § 1 SächsVwVfZG i. V. m. § 3 Abs. 1 Nr. 2 VwVfG. Danach sei in Angelegenheiten, die sich auf den Betrieb eines Unternehmens oder einer seiner Betriebsstätten beziehe, die Behörde örtlich zuständig, in deren Bezirk das Unternehmen oder die Betriebsstätte betrieben werde. Die geforderte Darstellung datenschutzrechtlich relevanter Geschäftsprozesse beziehe sich nur auf das Unternehmen der Antragstellerin in L... Ihre Tochtergesellschaften seien rechtlich eigenständig und würden aus dem Bescheid nicht verpflichtet. Geschäftsprozesse, die ausschließlich einem der Tochterunternehmen zuzuordnen seien, würden vom Auskunftsverlangen nicht erfasst. Dies gelte auch, soweit die Antragstellerin nach Ziffer 1.3 des Heranbringungsbescheids vom 14. August 2012 „insbesondere eine Liste der Übermittlungen und Zusammenführungen personenbezogener Daten innerhalb der Holding sowie etwaige Übermittlungen an sonstige Dritte“ vorlegen solle. Auch insoweit sei das Unternehmen der Antragstellerin betroffen, die als Muttergesellschaft die Datenverarbeitungsprozesse steuere und verwalte. Somit sei für die Kontrolle dieser Prozesse der Antragsgegner örtlich zuständig.
Der Bescheid sei auch materiell rechtmäßig. Entgegen der Auffassung der Antragstellerin seien die Kontrollmöglichkeiten des Antragsgegners nicht auf dateigebundene Verarbeitungen beschränkt, sondern umfassten auch automatisierte Verarbeitungsprozesse. Da die Antragstellerin über ihre Unternehmensgruppe Internetwebseiten betreibe und vermarkte, sei davon auszugehen, dass die dabei erhobenen personenbezogenen Daten automatisiert und dateigebunden verarbeitet bzw. genutzt würden. Die Auskunftsverpflichtung der Antragstellerin sei auch hinreichend bestimmt. Die Antragstellerin habe schon aus dem Wortlaut des Heranziehungsbescheids hinreichend genau erkennen können, welche Auskünfte von ihr gefordert würden. Auch die Formulierung „aussagefähige Darstellung aller Geschäftsprozesse“ sei hinreichend bestimmt. Der Antragsgegner verlange damit eine Auflistung, aus der - ohne dass es weiterer Erklärungen bedürfte - zu entnehmen sei, wie die Geschäftsprozesse abliefen. Die Beurteilung, ob es sich bei den Auskünften der Antragstellerin um eine aussagefähige oder nicht aussagefähige Darstellung handele, obliege somit nicht der Einschätzung des Antragsgegners, sondern sei objektiv bestimmbar. Dass die Antragstellerin den Bescheid habe verstehen können, ergebe sich auch aus dem Gesprächsprotokoll, das einer ihrer Mitarbeiter über den Termin zur Vorortkontrolle am 11. Juli 2012 gefertigt habe. Ausweislich dieses Protokolls habe ein Mitarbeiter der Antragstellerin nämlich zugesichert, dass die geforderten Angaben erteilt würden. Im Übrigen habe die Antragstellerin auch die gleichlautende Aufforderung im Schreiben der Antragsgegnerin vom 16. Juli 2012 nicht moniert. Die Verpflichtung zur Auskunftserteilung sei auch ermessensfehlerfrei und insbesondere verhältnismäßig. Die geforderten Auskünfte seien zur Erfüllung der Aufgabe des Antragsgegners - die Kontrolle der Einhaltung datenschutzrechtlicher Bestimmungen - geeignet und erforderlich. Die von der Antragstellerin übersandten Datenflussdiagramme seien aus sich heraus nicht verständlich. Es gehe aus ihnen nicht hervor, an welchem Standort sich die Server befänden, um welche Produkte es sich handele oder welche konkreten Daten im Rahmen der abgebildeten Prozesse übermittelt würden. Diese Informationen seien aber für die datenschutzrechtliche Überprüfung erforderlich, etwa für die Frage der Zulässigkeit der Datenerhebung und -speicherung i. S. d. § 28 BDSG. Das von der Antragstellerin vorgeschlagene gestufte Auskunftsbegehren, wonach zunächst nur Datenverarbeitungsschritte abgefragt und erst bei entsprechendem Anlass weitere Details erfragt würden, sei nicht gleichermaßen erfolgversprechend. Die Verpflichtung zur Auskunft belaste die Antragstellerin auch nicht unverhältnismäßig. Angesichts der Größe des Unternehmens und der Zahl ihrer Mitarbeiter bestünden keine Anhaltspunkte dafür, dass die Erteilung der Auskunft ihren Geschäftsbetrieb im besonderen Maße belasten könne. Dafür spreche auch, dass die Antragstellerin bereits gemäß § 4g Abs. 2 Satz 1 BDSG ohnehin in der Lage sein müsste, eine Übersicht über die in § 4e BDSG genannten Angaben zur Verfügung zu stellen und die Auskunftsverpflichtung ohne weiteren Aufwand in weiten Teilen zu erfüllen.
Es liege auch ein besonderes Vollzugsinteresse vor. Die Ansicht der Antragstellerin, dass sich im Rahmen der Ermittlung des besonderen Vollzugsinteresses ein Rückgriff auf die Wertung des § 38 BDSG verbiete, wonach Auskünfte unverzüglich zu erteilen seien, gehe fehl. Ohne die Anordnung des sofortigen Vollzugs könnte sich die Antragstellerin durch Klageerhebung für längere Zeit der Auskunftspflicht entziehen. Dadurch wäre es dem Antragsgegner während dieser Zeit verwehrt, die Einhaltung datenschutzrechtlicher Bestimmungen effektiv zu kontrollieren und Rechtsverletzungen zu verhindern. Aufgrund der Art der von der U...-Unternehmensgruppe betriebenen Portale liege es auf der Hand, dass neben Adressdaten auch Zahlungsdaten und weitere höchstpersönliche Daten anfielen. Hinzu komme, dass aufgrund der Konzernstruktur der Antragstellerin eine erhöhte Gefahr der nicht ohne weiteres zulässigen konzerninternen Übermittlung von personenbezogenen Daten bestehe.
Auch die Androhung eines Zwangsgeldes in Höhe von 5.000,00 € sei rechtlich nicht zu beanstanden. Sie sei hinreichend bestimmt. Aus dem Wortlaut und dem Regelungszusammenhang des angefochtenen Heranziehungsbescheides ergebe sich, dass die Formulierung „jede nicht erteilte Auskunft“ auf die unter Ziffern 1.1 bis 1.4 angeführten Auskunftskomplexe bezogen sei und somit maximal ein Zwangsgeld in Höhe von 20.000,00 € festgesetzt werden könne. Dafür, dass für jede nicht mitgeteilte Verarbeitungshandlung ein Zwangsgeld angedroht werden sollte, bestünden nach dem Wortlaut des Bescheids keine Anhaltspunkte.
Zur Begründung ihrer Beschwerde trägt die Antragstellerin im Wesentlichen vor, die Anordnung der sofortigen Vollziehung genüge nicht den Anforderungen an eine ordnungsgemäße Begründung i. S. v. § 80 Abs. 3 Satz 1 VwGO, da der Antragsgegner zur Begründung nicht auf den konkreten Fall abstelle. Das Verwaltungsgericht habe nicht gewürdigt, dass es der Gesetzgeber unterlassen habe, das Auskunftsersuchen nach § 38 Abs. 3 Satz 1 BDSG bereits Kraft Gesetzes für sofort vollziehbar zu erklären. Vor diesem Hintergrund genüge eine formelhafte Bezugnahme auf die Effektivität der Aufgabenwahrnehmung nicht. § 38 Abs. 3 BDSG stelle keine dem grundrechtlichen Gesetzesvorbehalt genügende Ermächtigungsgrundlage dar. Es handele sich ersichtlich nicht um eine Befugnisnorm für die Behörde. Vielmehr werde ein Adressat verpflichtet. Aber eine ausdrückliche Ermächtigung der Behörde sei der Vorschrift nicht zu entnehmen. Jedenfalls biete die Vorschrift aber keine Grundlage für die faktisch geforderte vollständige Offenlegung ihres gesamten Geschäftsbetriebs. Der Gesetzgeber habe mit der Neufassung des § 38 BDSG zwar die Möglichkeit einer anlasslosen Kontrolle geschaffen. Keinesfalls eröffne die Vorschrift jedoch eine „Totalkontrolle“ oder eine allgemeine Überprüfung der Datenschutzverhältnisse eines Geschäftsbetriebs. § 38 Abs. 3 BDSG normiere lediglich eine Mitwirkungspflicht des Verantwortlichen im Rahmen der Kontrollaufgabe der Aufsichtsbehörde, jedoch keine Offenbarungspflicht. Die Verpflichtung zur vollständigen Offenlegung aller Geschäftsvorgänge gehe über die im Gesetz normierte Mitwirkungspflicht weit hinaus. Dies stelle einen schwerwiegenden Eingriff in den eingerichteten und ausgeübten Gewerbebetrieb als auch in die Berufsfreiheit dar. Der Kernbereich ihres Unternehmens sei betroffen. Mit Blick auf ihr Geschäftsfeld - dem e-Commerce - werde ihr die Offenlegung ihres gesamten Geschäftsbetriebs aufgegeben. Regelungen, die - wie hier bei Offenlegung aller Geschäftsprozesse - nicht mehr rückgängig gemacht werden könnten, dürften im Verfahren des vorläufigen Rechtsschutzes nur getroffen werden, wenn sie schlechterdings notwendig seien. Die örtliche Zuständigkeit des Antragsgegners fehle, soweit sich die Auskunftsverpflichtung auch auf Daten erstrecke, die zwischen zwei Tochtergesellschaften übermittelt würden, welche ihr angehörten. Für die Kontrollzuständigkeit sei maßgeblich darauf abzuheben, wo die Daten verarbeitet würden. Die Behörde, in deren Bereich die Hauptniederlassung ihren Sitz habe, sei nicht zuständig für Aufsichtsmaßnahmen gegenüber der Zweigniederlassung, wenn diese ihren Sitz im Zuständigkeitsbereich einer anderen Behörde hätte. Der Antragsgegner kontrolliere die Ausführung des Bundesdatenschutzgesetzes sowie anderer Vorschriften über den Datenschutz, soweit diese die automatisierte Verarbeitung personenbezogener Daten oder die Verarbeitung oder Nutzung personenbezogener Daten in oder aus nicht automatisierten Dateien regeln. Die Auffassung des Verwaltungsgerichts, es „liege auf der Hand“, dass die von ihr erhobenen personenbezogenen Daten automatisiert und/oder dateigebunden verarbeitet bzw. genutzt würden, sei durch nichts belegt. Die unbelegte Annahme des Verwaltungsgerichts, dass alle Daten - es würden schließlich alle Geschäftsprozesse abgefragt - solche i. S. d. § 38 Abs. 1 Satz 1 BDSG seien, sei spekulativ. Die Auskunftsverpflichtung sei nicht hinreichend bestimmt. Es gehe aus dem Bescheid nicht hervor, was „eine aussagefähige Darstellung aller Geschäftprozesse“ sei und was unter einer „detaillierten Angabe jedes Verarbeitungshandelns“ zu verstehen sei. Insbesondere bei Verwaltungsakten, die - wie hier - mit Zwangsmitteln durchgesetzt werden sollten, müsse die angeordnete Verpflichtung eindeutig sein. Nur dann könne sich feststellen lassen, ob der Adressat ihr tatsächlich nachgekommen sei. Die Annahme des Verwaltungsgerichts, die vorgelegten Datenflussdiagramme seien nicht nachvollziehbar, gehe fehl. Anhand dieser Diagramme lasse sich eine Zuordnung zu einzelnen Websites vornehmen. Auch verhalte sich der angefochtene Beschluss nicht zu der Frage, ob sie durch die zwischenzeitlich vorgelegten Unterlagen ihrer Verpflichtung zumindest teilweise, zum Beispiel hinsichtlich ihrer Verpflichtung aus Ziffer 1.1, nachgekommen sei und nur noch die Erfüllung der Verpflichtung aus Ziffer 1.4 ausstehe. Das Auskunftsverlangen sei unverhältnismäßig. Es sei nicht nachvollziehbar, weshalb der Antragsgegner seine Kontrolle nicht abgestuft vorgenommen, beispielsweise seine Kontrolle nicht erst einmal auf bestimmte Websites beschränkt habe. Ein überwiegendes öffentliches Vollzugsinteresse sei nicht ersichtlich. Das Verwaltungsgericht habe die betroffenen widerstreitenden Interessen nicht abgewogen, sondern sich auf die Feststellung beschränkt, das Vollzugsinteresse ergebe sich bereits aus dem Gesetz. Dem stehe entgegen, dass der Gesetzgeber sich bewusst dagegen entschieden habe, eine Regelung in das Gesetz aufzunehmen, die die aufschiebende Wirkung einer Klage gegen ein Auskunftsverlangen nach § 38 Abs. 3 BDSG entfallen lasse.
Das Beschwerdevorbringen der Antragstellerin rechtfertigt keine Abänderung des angefochtenen Beschlusses.
Zu Recht ist das Verwaltungsgericht davon ausgegangen, dass der Antragsgegner das besondere Interesse an der mit Bescheid vom 1. Oktober 2012 erfolgten Anordnung der sofortigen Vollziehung hinreichend i. S. v. § 80 Abs. 3 Satz 1 VwGO begründet hat. Der Senat sieht die formellen Anforderungen des § 80 Abs. 3 Satz 1 VwGO noch als gewahrt an und verweist insoweit auf die zutreffende Begründung im angefochtenen Beschluss.
Die im Verfahren des vorläufigen Rechtsschutzes vom Gericht nach § 80 Abs. 5 VwGO vorzunehmende Interessenabwägung fällt auch unter Berücksichtigung des Beschwerdevorbringens zulasten der Antragstellerin aus. Dem steht nicht entgegen, dass die Vollzugsfolgen - worauf die Antragstellerin hingewiesen hat - nicht mehr rückgängig gemacht werden können. Denn auch bei - in solchen Fällen gebotener - eingehender Prüfung der Sach- und Rechtslage (vgl. Kopp, VwGO, 18. Aufl. 2012, § 80 Rn. 127) ist davon auszugehen, dass der Heranziehungsbescheid rechtmäßig ist, die dagegen erhobene Klage der Antragstellerin vor dem Verwaltungsgericht ohne Erfolg bleiben wird und schon deswegen das öffentliche Vollzugsinteresse das private Interesse der Antragstellerin, vom Vollzug des Heranziehungsbescheids bis zur Entscheidung in der Hauptsache verschont zu bleiben, überwiegt.
Die Antragstellerin wird durch den Heranziehungsbescheid nicht in den geltend gemachten Grundrechten der Berufsfreiheit (Art. 12 Abs. 1 Satz 1 GG) und des Rechts am eingerichteten und ausgeübten Gewerbebetrieb (Art. 14 Abs. 1 Satz 1 GG) verletzt. Soweit der Heranziehungsbescheid in diese Grundrechte eingreift, ist der Eingriff durch § 38 Abs. 3 Satz 1 BDSG gedeckt. Danach haben die der Kontrolle unterliegenden Stellen sowie die mit deren Leitung beauftragten Personen der Aufsichtsbehörde auf Verlangen die für die Erfüllung ihrer Aufgaben erforderlichen Auskünfte unverzüglich zu erteilen. Der für solche Grundrechtseingriffe geltende allgemeine Gesetzesvorbehalt ist durch § 38 Abs. 3 Satz 1 BDSG gewahrt, die Voraussetzungen dieser Eingriffsnorm liegen hier vor und die Heranziehung zur Auskunftsverpflichtung stellt sich auch als verhältnismäßig dar.
§ 38 Abs. 3 Satz 1 BDSG genügt dem allgemeinen Vorbehalt des Gesetzes, der auf Eingriffe in die Berufsfreiheit (Art. 12 Abs. 1 Satz 2 GG) und in das Recht am eingerichteten und ausgeübten Gewerbebetrieb (Art. 14 Abs. 1 Satz 2, Abs. 2 GG) anzuwenden ist. § 38 BDSG regelt die Kompetenz der die Privatwirtschaft als externe Kontrollinstanz überwachenden Aufsichtsbehörden (Gola/Schomerus, Bundesdatenschutzgesetz, 11. Aufl. 2012, § 38 Rn. 1). Das Auskunftsverlangen in § 38 Abs. 3 Satz 1 BDSG ist Teil des Instrumentariums dieser staatlichen Datenschutzaufsicht. Mit der Einrichtung einer staatlichen Datenschutzaufsicht für den nicht-öffentlichen Bereich sucht der Gesetzgeber unter anderem die grundrechtlichen Anforderungen zu erfüllen, die das Recht auf informationelle Selbstbestimmung in Bezug auf den Umgang mit personenbezogenen Daten an verfahrens- und organisationsrechtlichen Schutzvorkehrungen von Verfassungs wegen verlangt (Petri, in: Simitis, Bundesdatenschutzgesetz, 7. Aufl. 2011, § 38 Rn. 2). § 38 Abs. 3 Satz 1 BDSG ist damit am Wohl der Allgemeinheit ausgerichtet und dient dem öffentlichen Interesse an einem effektiven Datenschutz.
Es bestehen auch keine durchgreifenden Bedenken an der Geeignetheit, Erforderlichkeit und Verhältnismäßigkeit der in § 38 Abs. 3 Satz 1 BDSG geregelten Befugnis der Aufsichtsbehörde. Durch die Ermächtigung wird die Aufsichtsbehörde in die Lage versetzt, die Rechtmäßigkeit des Verarbeitungshandelns der privaten Wirtschaft zu prüfen. Die Befugnis, vom Verantwortlichen Auskünfte zu verlangen, ist für die Erfüllung dieser Aufgabe unerlässlich und im Übrigen auch verhältnismäßig.
Zweifel am Vorliegen einer Ermächtigungsnorm sind nicht etwa deswegen veranlasst, weil der Gesetzgeber in § 38 Abs. 3 Satz 1 BDSG eine Verpflichtung der der Kontrolle unterliegenden Stellen sowie der mit deren Leitung beauftragten Personen zur Auskunft, nicht aber ausdrücklich eine Kontrollbefugnis der Aufsichtsbehörde formuliert hat, wie die Antragstellerin meint. Denn die Norm ermächtigt die Aufsichtsbehörde zum Auskunftsverlangen zum Zwecke der Erfüllung ihrer Kontrollaufgaben nach § 38 Abs. 1 Satz 1 BDSG. Die Ermächtigung ist gleichsam Spiegelbild der in § 38 Abs. 3 Satz 1 BDSG geregelten Verpflichtung.
Das Verwaltungsgericht ist zutreffend davon ausgegangen, dass der Antragsgegner zum Erlass des Heranziehungsbescheids zuständig ist. Die sachliche Zuständigkeit des Antragsgegners folgt aus § 38 Abs. 6 BDSG und § 30a SächsDSchG. Die örtliche Zuständigkeit des Antragsgegners zur Aufsicht erstreckt sich auf nicht-öffentliche Stellen i. S. v. § 1 Abs. 2 Nr. 3 BDSG, die ihren Sitz im Freistaat Sachsen haben (§ 1 SächsVwVfZG i. V. m. § 3 Abs. 1 Nr. 2 VwVfG). Der Einwand der Antragstellerin, der Heranziehungsbescheid sei rechtswidrig, da er auch Tochterunternehmen betreffe, die ihren Sitz außerhalb des Freistaates Sachsen und damit außerhalb des Zuständigkeitsbereichs des Antragsgegners haben, ist nicht zutreffend. Gegenstand der Aufsichtsmaßnahme ist ersichtlich ausschließlich das Verarbeitungshandeln der Antragstellerin und deren Nutzung von personenbezogenen Daten. § 3 Abs. 4 BDSG definiert das Verarbeiten als das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten. Das Übermitteln personenbezogener Daten ist gemäß § 3 Abs. 4 Nr. 3 BDSG das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten in der Weise, dass die Daten an den Dritten weitergegeben werden oder der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft. Soweit die Antragstellerin im Heranziehungsbescheid aufgefordert wurde, „insbesondere eine Liste der Übermittlungen und Zusammenführungen personenbezogener Daten innerhalb der Holding sowie etwaige Übermittlungen an sonstige Dritte“ vorzulegen, werden durch den Heranziehungsbescheid somit keine Tochterunternehmen innerhalb der Holding verpflichtet. Vielmehr geht es nur um das Übermitteln personenbezogener Daten i. S. v. § 3 Abs. 4 Nr. 3 BDSG durch die Antragstellerin. Verpflichtete ist somit allein die Antragstellerin.
Der Heranziehungsbescheid ist inhaltlich hinreichend bestimmt (§ 1 SächsVwVfZG i. V. m. § 37 Abs. 1 VwVfG). Ein Verwaltungsakt ist hinreichend bestimmt, wenn der Inhalt der getroffenen Regelung für den Adressaten so vollständig, klar und unzweideutig und aus sich heraus erkennbar ist, dass er sein Verhalten danach ausrichten kann (BVerwG, Urt. v. 3. Dezember 2003, BVerwGE 119, 282). Hat der Verwaltungsakt - wie hier - einen vollstreckbaren Inhalt, muss er darüber hinaus so bestimmt sein, dass er Grundlage für Maßnahmen seiner zwangsweisen Durchsetzung sein kann. Es genügt, dass aus dem gesamten Inhalt des Verwaltungsakts und aus dem Zusammenhang, vor allem aus der von der Behörde gegebenen Begründung des Verwaltungsakts, aus den den Beteiligten bekannten näheren Umständen des Erlasses, aus den dem Erlass vorausgegangenen Vorgängen im Wege einer an den Grundsätzen von Treu und Glauben orientierten Auslegung hinreichende Klarheit gewonnen werden kann (Kopp/Ramsauer, VwVfG, 13. Aufl. 2012, § 37 Rn. 12). Dabei ist auf den objektiven Erklärungsinhalt abzustellen, wie er sich dem Betroffenen darstellt.
Davon ausgehend bestehen keine Zweifel an der Bestimmtheit des angefochtenen Heranziehungsbescheids. Es war für die Antragstellerin unzweideutig erkennbar, was von ihr mit einer „aussagefähigen Darstellung aller Geschäftsprozesse“ verlangt wird, nämlich eine für den Antragsgegner nachvollziehbare Darstellung, die aus sich heraus verständlich und dem Antragsgegner bei der Erfüllung seiner Kontrollaufgabe dienlich ist. Zutreffend hat das Verwaltungsgericht darauf hingewiesen, dass an der Bestimmtheit auch aufgrund vorausgegangener Vorgänge kein Zweifel bestehen kann. Der Termin zur Vorortkontrolle vom 11. Juli 2012 wurde von Vertretern beider Beteiligter offensichtlich dazu genutzt, die Anforderungen der vom Antragsgegner geforderten Auskunftserteilung zu präzisieren. Mitarbeiter der Antragstellerin haben in diesem Termin ausweislich eines von ihrem Justiziar gefertigten Protokolls, das ihr Prozessbevollmächtigter dem Verwaltungsgericht mit Schreiben vom 18. Oktober 2012 übersandte, den anwesenden Mitarbeitern des Antragsgegners zugesichert, dass dem Antragsgegner eine Auflistung zur Verfügung gestellt werde, aus der hervorgehe, wo sich einzelne Server befinden, welche Datenbanken auf diesen Servern laufen, welche Portale auf welche Datenbanken zugreifen und welche Prozesse/Produkte der Portale jeweils auf den Datenbanken laufen. In diesem Zusammenhang wies ein anwesender Techniker von Seiten des Antragsgegners auf „Anforderungen zum Aufzeigen der Transparenz der Datenverarbeitungsprozesse“ hin. Es solle am Ende der Kontrolle klar sein, welche Prozesse ablaufen, welche Daten bei diesen Prozessen verarbeitet werden, wo die Prozesse ablaufen und wo sie hinführen. Bei der „Erstellung der Prozessübersicht“ müsse „die notwendige Sorgfalt aufgebracht“ werden. Im Protokoll finden sich keinerlei Hinweise, dass der Antragstellerin unklar gewesen sein könnte, was von ihr insoweit gefordert wird. Auch bestehen keine Zweifel, was unter einer „detaillierten Angabe jedes Verarbeitungshandelns“ zu verstehen ist, da die verschiedenen Formen des Verarbeitungshandelns gesetzlich definiert sind (§ 3 Abs. 4 BDSG).
Soweit die Antragstellerin die Feststellung des Verwaltungsgerichts, es liege auf der Hand, dass die Antragstellerin die von ihr erhobenen personenbezogenen Daten automatisiert und/oder dateigebunden verarbeitet bzw. nutze, in Zweifel zu ziehen versucht, indem sie einwendet, dies sei durch nichts belegt, ist dies schon nicht nachvollziehbar. Denn die Antragstellerin vermarktet über verschiedene Portale vielerlei Produkte im Internet. Dabei erhebt sie freilich, was von ihr nicht bestritten wird, ständig und vielfältig personenbezogene Daten, die sie verarbeitet, indem sie sie zum Beispiel speichert (§ 3 Abs. 4 Nr. 1 BDSG) oder - soweit sie diese nicht i. S. v. § 3 Abs. 4 BDSG verarbeitet - anderweitig nutzt. Auch geht aus dem Heranziehungsbescheid eindeutig hervor, dass sich die Auskunftsverpflichtung nicht auf alle bei der Antragstellerin anfallenden Daten, sondern nur auf personenbezogene Daten bezieht.
Der Heranziehungsbescheid belastet die Antragstellerin nicht unverhältnismäßig. Nach herrschender Auffassung sind die der Kontrolle unterliegenden Stellen sowie die mit deren Leitung beauftragten Personen umfassend zur Auskunft verpflichtet. Die Verpflichtung zur Auskunft erstreckt sich auch auf die Datenorganisation (Schaffland/Wiltfang, BDSG, Stand: Lfg. I/11 - IV/11, § 38 Rn. 10a; Petri, a. a. O., § 38 Rn. 54). Was umfassend ist, also welches Auskunftsverlangen geeignet und erforderlich ist, ist eine Frage des Einzelfalles. Die Verpflichtung zur Auskunftserteilung erstreckt sich auf alle Angaben, die die Aufsichtsbehörde zur Erfüllung ihrer Aufgaben benötigt (Gola, BDSG, 11. Aufl. 2012, § 38 Rn. 19; Bergmann/Möhrle, Strafrechtliche Nebengesetze, Stand: 44. EL Dezember 2001, § 38 BDSG Rn. 6). Der Umfang der Auskunftspflicht richtet sich somit danach, was die Aufsichtsbehörde für die Prüfung, ob die Einhaltung der datenschutzrechtlichen Bestimmungen gewährleistet ist, an Auskünften benötigt.
Davon ausgehend ist das Auskunftsverlangen des Antragsgegners zur Erfüllung seiner Aufgaben nach § 38 Abs. 1, § 4g Abs. 1 BDSG geeignet und erforderlich. Ziel des Auskunftsverlangens ist es, die Aufsichtsbehörde in die Lage zu versetzen, ihre in § 38 Abs. 3 Satz 1 i. V. m. § 38 Abs. 1 Satz BDSG geregelte Aufgabe der Kontrolle der Ausführung der datenschutzrechtlichen Bestimmungen zu erfüllen. Die Antragstellerin betreibt im Internet und zum Teil gleichzeitig mit ihren Tochterunternehmen, wie der U... GmbH, diverse Portale in unterschiedlichen Geschäftsfeldern und erhebt dabei vielfältig personenbezogene Daten. Das Auskunftsverlangen dient einer umfassenden Aufklärung des innerhalb des Unternehmens stattfindenden Verarbeitungshandelns zum Zwecke der Prüfung durch den Antragsgegner, ob die Antragstellerin die von ihr erhobenen personenbezogenen Daten in Einklang mit den datenschutzrechtlichen Bestimmungen verarbeitet und/oder nutzt. Das setzt voraus, dass die technischen und organisatorischen Abläufe und Zusammenhänge der Datenverarbeitung von der Antragstellerin, wie in Ziffer 1.1 bis 1.4 des Bescheides gefordert, nachvollziehbar offengelegt werden. Das Auskunftsverlangen ist damit geeignet, der datenschutzrechtlichen Überprüfung zu dienen.
Die Verpflichtung zur Auskunft ist auch in ihrem Umfang erforderlich, da ein hinreichender Anlass für eine sich auf alle Portale und Geschäftsprozesse erstreckende Auskunftspflicht vorliegt. Ausweislich des Gesprächsprotokolls über ein Gespräch vom 24. September 2012, an dem auch Vertreter der Antragstellerin teilgenommen haben, sind nicht „die negativen Berichterstattungen zum Geschäftsgebaren der U...-Gruppe Ursache für die eingeleitete Tiefenprüfung“, sondern „allein die Tatsache, dass die mit Abstand meisten Eingaben und Ordnungswidrigkeiten“ beim Antragsgegner „Unternehmen der U...-Gruppe betreffen (fast täglich neue!) und deshalb eine so grundlegende Prüfung allen Verarbeitungshandelns geboten ist, zumal aktuelle Stellenausschreibungen zum Data-Mining und CRM Anhaltspunkte für problematisches Verarbeitungshandeln bieten.“ Dieser Sachverhalt wurde von der Antragstellerin nicht bestritten. Ausweislich der bei den Behördenakten befindlichen Internetausdrucke ihrer Seite www. U... hatte die U...-Gruppe eine Stelle für einen Junior Entwickler Data Mining sowie für einen Leiter CRM ausgeschrieben, zu dessen Aufgaben unter anderem die Zusammenführung unterschiedlicher Datenquellen sowie die „Ableitung zielgruppenadäquater Maßnahmen für alle Vertriebs- und Marketingbereiche on- und offline (Mailings/Newsletter/Display/Outbound/Produktmanagement etc.)“ gehören soll. Vor diesem Hintergrund bestand ausreichend Anlass für die in Rede stehenden Auskunftsverpflichtungen. Denn sie sind insbesondere erforderlich für eine aufsichtsrechtliche Prüfung, ob die Antragstellerin personenbezogene Daten innerhalb ihres Konzerns in Einklang mit den gesetzlichen Bestimmungen des Datenschutzes zusammenführt und übermittelt.
Dem Antragsgegner steht zur Schaffung der notwendigen Prüfungsgrundlage auch kein milderes Mittel, insbesondere nicht in Gestalt eines abgestuften Auskunftsverlangens, zur Verfügung. Ein abgestuftes Vorgehen des Antragsgegners nach einzelnen Portalen oder Geschäftsprozessen wäre angesichts einer Vielzahl von gegen sie erhobenen Beschwerden jedoch nicht effektiv genug und daher als milderes Aufsichtsmittel nicht gleichermaßen geeignet, um die erforderliche umfassende Prüfung, ob die Antragstellerin personenbezogene Daten innerhalb ihres Konzerns in Einklang mit den gesetzlichen Bestimmungen des Datenschutzes verarbeitet und/oder nutzt, zu ermöglichen. Ob es unverhältnismäßig sein kann, einen Auskunftspflichtigen ohne Anlass zu einer vollständigen, nämlich das gesamte Verarbeitungshandeln umfassenden Auskunft heranzuziehen, wenn dies - wie hier - angesichts der Unternehmensgröße einen erheblichen personellen und zeitlichen Aufwand verursacht, kann dahinstehen. Denn im Streitfall erfolgt das Auskunftsverlangen, wie dargelegt, nicht anlasslos.
Der mit dem behördlichen Verlangen verbundene Auskunftsaufwand belastet die Antragstellerin in ihren Grundrechten nach Art. 12 Abs. 1 Satz 1 und Art. 14 Abs. 1 Satz 1 GG auch nicht aus sonstigen Gründen über Gebühr. Das öffentliche Interesse der Allgemeinheit an einem effektiven Schutz personenbezogener Daten und das grundrechtlich geschützte Recht Betroffener auf informationelle Selbstbestimmung gehen hier den wirtschaftlichen Interessen der Antragstellerin vor. Der Senat sieht insoweit wie das Verwaltungsgericht keine Anhaltspunkte dafür, dass die Erteilung der Auskünfte den Geschäftsbetrieb der Antragstellerin angesichts der Größe ihres Unternehmens und dessen Mitarbeiterzahl in besonderem Maße belastet. Einen besonderen Aufwand hat die Antragstellerin im Beschwerdeverfahren auch nicht näher substantiiert.
Soweit die Antragstellerin einwendet, sie werde solchermaßen verpflichtet, ihren gesamten Geschäftsbetrieb im Wege einer „Totalkontrolle“ offenzulegen, ist dies nicht nachvollziehbar. Das Unternehmen der Antragstellerin umfasst weitaus mehr als den Bereich ihrer Datenverarbeitung und -nutzung. Die Antragstellerin wird durch den Heranziehungsbescheid zu nicht wesentlich mehr an Offenlegung verpflichtet, als ihr ohnehin bereits im Rahmen ihrer Meldepflicht nach § 4g Abs. 2 Satz 1 i. V. m. § 4e Satz 1 Nr. 1 bis 8 BDSG an Transparenz abverlangt ist. Dies ergibt sich aus Folgendem: Nach § 4g Abs. 2 Satz 1 BDSG ist dem Beauftragten für Datenschutz von der verantwortlichen Stelle eine Übersicht über die in § 4e Satz 1 BDSG genannten Angaben sowie über zugriffsberechtigte Personen zur Verfügung zu stellen. Zu den notwendigen Angaben nach § 4e Satz 1 BDSG zählen unter anderem die Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung ( § 4e Abs. 1 Satz 1 Nr. 4 BDSG), eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien (§ 4e Abs. 1 Satz 1 Nr. 5 BDSG), Empfänger oder Kategorien von Empfängern (was Ziffer 1.3 des Heranziehungsbescheids entspricht), denen die Daten mitgeteilt werden können (§ 4e Satz 1 Nr. 6 BDSG) sowie eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach § 9 BDSG zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind (§ 4e Abs. 1 Satz 1 Nr. 9 BDSG). Nach § 9 Satz 1 BDSG haben öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung des Bundesdatenschutzgesetzes und dessen Anforderungen zu gewährleisten. Damit dürfte die Antragstellerin bereits nach § 4e Abs. 1 Satz 1 Nr. 9 BDSG zur Art der bei ihr ablaufenden Geschäftsprozesse, der Zuordnung zu von ihr betriebenen Portalen sowie hinsichtlich deren Lokalisierbarkeit auskunftspflichtig sein, da dem Antragsgegner eine vorläufige Prüfung i. S. v. § 4g Satz 1 Nr. 9 BDSG ansonsten kaum möglich sein dürfte.
Der Heranziehungsbescheid ist auch nicht etwa deswegen unverhältnismäßig, weil die Antragstellerin ihrer Auskunftsverpflichtung zumindest teilweise nachgekommen ist. Denn die von der Antragstellerin an den Antragsgegner zur Erfüllung ihrer Auskunftsverpflichtung bislang übersandten Unterlagen sind nicht nachvollziehbar. Die Antragstellerin hatte, wie sie in ihrem an den Antragsgegner gerichteten Schreiben vom 13. August 2012 angegeben hatte, zu diesem Zeitpunkt bereits mehr als 2000 und damit ca. 85% der gesamten Prozesse in Form von Diagrammen dokumentiert und hat zu einem späteren Zeitpunkt weitere Diagramme an den Antragsgegner übersandt. Mit diesen dem Antragsgegner übersandten Unterlagen ist sie ihrer Auskunftsverpflichtung jedoch nicht nachgekommen, da sie nicht nachvollziehbar sind. Bei diesen Unterlagen handelt es sich um eine Ansammlung von ausgedruckten Schaubildern, deren Zusammenhang und Ordnung von der Antragstellerin nicht erklärt wird. Sie sind nicht selbsterklärend und daher nicht verständlich. So ist nicht nachvollziehbar, ob die Antragstellerin bei der Ordnung nach Portalen oder Geschäftsprozessen vorgegangen ist. Auch lässt sich teilweise nur erahnen, welches Produkt jeweils betroffen ist. Schließlich fehlen auf den Diagrammen Angaben zu einem konkreten Server, auf dem die dargestellten Prozesse laufen. Teilweise fehlen Angaben zu den konkreten Daten, die übermittelt werden.
Somit dürfte die Klage der Antragstellerin gegen den Heranziehungsbescheid mit sehr hoher Wahrscheinlichkeit erfolglos bleiben. Schon deswegen überwiegt hier das öffentliche Vollzugsinteresse. Dessen ungeachtet sprechen im Rahmen der vom Gericht vorzunehmenden eigenen Interessenabwägung hier aber auch sonstige weitere Gründe für das Vorliegen eines besonderen Vollzugsinteresses i. S. v. § 80 Abs. 3 Satz 1 VwGO, worauf das Verwaltungsgericht mit zutreffenden Gründen hingewiesen hat. Schon angesichts der zahlreichen Beschwerden gegen die Antragstellerin besteht im vorliegenden Fall ein überwiegendes öffentliches Bedürfnis an der sofortigen Vollziehbarkeit des Heranziehungsbescheids, um der Gefahr problematischer Datenverarbeitung möglichst effektiv und zügig entgegenwirken zu können.
Gegen die Rechtmäßigkeit, insbesondere die hinreichende Bestimmtheit der Zwangsgeldandrohung in Ziffer 2 des Heranziehungsbescheids hat die Beschwerde keine substantiierten Einwände erhoben, so dass es insoweit bereits an dargelegten Gründen i. S. d. § 146 Abs. 4 Satz 6 VwGO fehlt.
Die Streitwertfestsetzung für das Beschwerdeverfahren beruht auf §§ 47, 53 Abs. 2 Nr. 2, § 52 Abs. 1 GKG und folgt der Festsetzung der Vorinstanz.
Dieser Beschluss ist unanfechtbar (§ 152 Abs. 1 VwGO, § 68 Abs. 1 Satz 5, § 66 Abs. 3 Satz 3 GKG).