Titel:
Auskunftsanspruch hinsichtlich Herkunft der Daten, behördlicher Hinweisgeber, entgegenstehende Rechte und Freiheiten der natürlichen Person, keine Anwendbarkeit der DSGVO auf juristische Personen, Datenschutzrechtlicher Auskunftsanspruch
Normenketten:
BayDSG Art. 5 Abs. 1 S. 1 Nr. 2, Art. 10 Abs. 2, Art. 28 Abs. 1 S. 1
DSGVO Art. 2 lit. g, Art. 6, Art. 15 Abs. 1 Hs. 2 lit. g, Abs. 4
GRC Art. 7 Abs. 1, Art. 8
Leitsätze:
1. Auch unter Berücksichtigung der Bedeutung des Auskunftsrechts nach Art. 15 DS-GVO würden durch die Preisgabe der personenbezogenen Daten einer natürlichen Person als Hinweisgeber dessen Rechte aus Art. 7 Abs. 1 und 8 GRCh in einem Ausmaß beeinträchtigt, das die Rechtsbeeinträchtigung des Betroffenen überwiegt. (Rn. 35) (redaktioneller Leitsatz)
2. Das Interesse des Hinweisgebers an der Geheimhaltung seiner Identität hat regelmäßig dann zurückzutreten, wenn er wider besseres Wissen oder leichtfertig unrichtige Angaben zu personenbezogenen Daten der betroffenen Person gemacht hat. (Rn. 39) (redaktioneller Leitsatz)
3. Das hinweisgebende Unternehmen ist hingegen vor einem Auskunftsanspruch nicht in gleicher geschützt. (Rn. 44 und 47) (redaktioneller Leitsatz)
Schlagworte:
Auskunftsanspruch hinsichtlich Herkunft der Daten, behördlicher Hinweisgeber, entgegenstehende Rechte und Freiheiten der natürlichen Person, keine Anwendbarkeit der DSGVO auf juristische Personen, Auskunftsanspruch, Daten, juristische Person, personenbezogene Daten, Datenschutzgrundverordnung (DSGVO), Rechte und Freiheiten Dritter, Geheimhaltung von Daten, Datenschutz, Auskunft, natürliche Person, Geheimhaltung, Dritter, Bekanntgabe, Nennung, Ablehnung, Unternehmen, Hinweisgeber
Fundstellen:
BeckRS 2024, 24638
LSK 2024, 24638
ZD 2025, 118
Tenor
1. Der Beklagte wird verpflichtet, der Klägerin Auskunft über das Unternehmen zu erteilen, unter dessen Firmierung im Rahmen der E-Mail mit Zeitstempel …, … diverse Verstöße der Klägerin gegen medizinprodukterechtliche Vorschriften behauptet worden sind. Der Bescheid der Regierung von … vom 17.01.2023 wird aufgehoben, soweit er dieser Verpflichtung entgegensteht.
Im Übrigen wird die Klage abgewiesen.
Der jeweilige Vollstreckungsschuldner kann die Vollstreckung durch Sicherheitsleistung in Höhe von 110% des aus dem Urteil gegen ihn vollstreckbaren Betrages abwenden, wenn nicht der jeweilige Vollstreckungsgläubiger vor der Vollstreckung Sicherheit in Höhe von 110% des jeweils zu vollstreckenden Betrages leistet.
Tatbestand
1
Die Klägerin macht gegenüber dem Beklagten einen Auskunftsanspruch nach der Datenschutz-Grundverordnung geltend.
2
Mit E-Mail vom … an die Regierung der …, welche zuständigkeitshalber von dieser an die Regierung von … weitergeleitet wurde, informierte ein Hinweisgeber darüber, dass über die Homepage https:/ …com/ (Angabe im Rahmen der E-Mail als Hyperlink) angeblich Zubehör von Medizinprodukten ohne Zertifizierung und ohne entsprechende Kennzeichnung über verschiedene Absatzkanäle (Webshops, Amazon u.ä.) vertrieben worden sei. Aus dieser E-Mail ist der Absender (Unternehmensname, Anschrift, Person des Geschäftsführers, E-Mail-Adresse) ersichtlich.
3
Anlässlich dieses Hinweises wurde seitens der Regierung von … ein medizinprodukte-rechtliches Aufsichtsverfahren gegenüber der Klägerin als Betreiberin des Webshops hinsichtlich des Vertriebs angeblicher Medizinprodukte eingeleitet. Im Zeitpunkt der Anhörung handelte es sich aufgrund der Bewerbung der Produkte u.a. als Fixierprodukte nach Auffassung der Überwachungsbehörde um Zubehör für ein Medizinprodukt. Im Rahmen des Anhörungsverfahrens änderte bzw. beschränkte die Klägerin den Zweck ihrer Produkte dahingehend, dass diese nunmehr nur noch der Dekoration dienten. Sie stellte im Internet, auf Flyern, in Katalogen usw. die Bewerbung des Produkts entsprechend um und informierte ihre Kunden. Infolge dieser Umstellung unterfiel das Produkt nicht mehr den Regularien des Medizinprodukterechts, so dass das Verwaltungsverfahren gegen die Klägerin letztlich eingestellt wurde.
4
Mit Schreiben ihres Bevollmächtigten vom 01.12.2022 bat die Klägerin gegenüber der Regierung von … sinngemäß um Auskunft über die Person des Hinweisgebers und ersuchte um Überlassung einer Kopie der Hinweisgeber-E-Mail. In Abstimmung mit dem behördlichen Datenschutzbeauftragten wurde dem Auskunftsbegehren durch das Sachgebiet … der Regierung von … nur insoweit entsprochen, als dem Bevollmächtigten eine Kopie der Hinweisgeber-E-Mail vom … zur Verfügung gestellt wurde, die hinsichtlich der Informationen, die Rückschlüsse auf die Person des Hinweisgebers zuließen (Unternehmensname, Anschrift, Person des Geschäftsführers, E-Mail-Adresse), geschwärzt wurde. Im Übrigen wurde das Auskunftsbegehren der Klägerin mit Bescheid der Regierung von … vom 17.01.2023 abgelehnt. Zur Begründung wurde ausgeführt, dass die Regierung von … nach umfassender Abwägung zu dem Ergebnis gekommen sei, dass das Geheimhaltungsinteresse des Hinweisgebers bezüglich dessen Identität das Auskunftsinteresse der Klägerin überwiege. Es habe sich um einen sachlichen und objektiv zutreffenden Hinweis auf einen Verstoß der Klägerin gegen das Medizinprodukterecht gehandelt. Diesem Hinweis sei im Rahmen eines eingeleiteten Verwaltungsverfahrens nachgegangen worden. Die Klägerin habe erst im weiteren Verlauf dieses Verfahrens die Produktbeschreibungen, Werbung usw. in der Weise geändert, dass die Produkte seither nicht mehr den Regularien des Medizinprodukterechts unterlägen. Es liege der Regierung von … keine Einwilligung des Hinweisgebers zur Weitergabe seiner personenbezogenen Daten vor. Potentielle Unterlassungs- und Schadensersatzansprüche der Klägerin gegen den Hinweisgeber seien weder ersichtlich noch vorgetragen. Es sei insbesondere durch den Hinweisgeber nicht wider besseren Wissens oder bösartig etwas behauptet worden. Die Kenntnis der Identität des Hinweisgebers sei nicht zur Wahrung der berechtigten Interessen der Klägerin erforderlich (vgl. Art. 6 Abs. 1 lit. f DSGVO). Vorliegend gehe es vielmehr um das bloße Interesse an der Kenntnis der Identität des Hinweisgebers als Selbstzweck. Das Auskunftsrecht der Klägerin sei in diesem Fall nach Abwägung durch die Rechte des Hinweisgebers beschränkt.
5
Mit Schriftsatz ihres Prozessbevollmächtigten vom 19.02.2023, beim Bayerischen Verwaltungsgericht Bayreuth am selben Tag eingegangen, hat die Klägerin Klage erhoben und beantragt,
den Beklagten unter entsprechender Aufhebung des Bescheids vom 17.01.2023 zu verurteilen, der Klägerin vollständige Auskunft zur Identität des Hinweisgebers zu erteilen, der im Rahmen der
E-Mail mit Zeitstempel …, … diverse Verstöße der Klägerin gegen medizinproduktrechtliche Vorschriften behauptet hat sowie hilfsweise den Beklagten unter entsprechender Aufhebung des Bescheids vom 17.10.2023 zu verurteilen, der Klägerin Auskunft über das Unternehmen zu erteilen, unter dessen Firmierung im Rahmen der E-Mail mit Zeitstempel …, … diverse Verstöße der Klägerin gegen medizinproduktrechtliche Vorschriften behauptet worden sind.
6
Zur Begründung wird ausgeführt, dass der Beklagte die Auskunft über die Identität des Hinweisgebers zu Unrecht verweigert habe. Mit der verfahrensgegenständlichen E-Mail des Hinweisgebers vom … sei die Internetadresse der Klägerin als personenbezogenes bzw. personenbeziehbares Datum i.S.v. Art. 4 Nr. 1 DSGVO an den Beklagten übermittelt worden. Auf Grundlage dieses personenbezogenen Datums sei es dem Beklagten möglich gewesen, die Klägerin als natürliche Person zu identifizieren und gegen sie ein Ermittlungsverfahren einzuleiten. Die Klägerin stütze den mit ihrer Klage geltend gemachten Auskunftsanspruch auf Art. 15 Abs. 1 Halbsatz 2 lit. g DSGVO. Die Daten seien vom Beklagten unstreitig nicht direkt bei der Klägerin erhoben worden. Dass die Daten ohne Aufforderung des Beklagten durch einen Dritten an diesen herangetragen worden seien, der Beklagte sich die Daten also nicht aktiv von diesem beschafft habe, sei für das Auskunftsrecht über die Herkunft der Daten ohne Belang. Entgegen der Auffassung des Beklagten sei eine Einwilligung des Hinweisgebers zur Weitergabe seiner Daten im Rahmen eines Auskunftsersuchens nach Art. 15 DSGVO nicht erforderlich. Der Beklagte sei nach Art. 15 DSGVO gesetzlich zur umfassenden Auskunft verpflichtet, so dass er sich insoweit auf den Erlaubnistatbestand des Art. 6 Abs. 1 lit. c DSGVO stützen könne. Die Behauptung des Beklagten, dass potentielle Unterlassungs- und Schadensersatzansprüche der Klägerin gegen den Hinweisgeber nicht ersichtlich seien, möge zwar eventuell zutreffen. Eine Entscheidung über solche datenschutzrechtlichen Fragestellungen liege aber ganz offensichtlich nicht in der Zuständigkeit des Beklagten. Zudem verkenne der Beklagte, dass der Auskunftsanspruch nach Art. 15 DSGVO generell bestehe und gerade nicht voraussetze, dass vorausgehend ein Datenschutzverstoß vorliegen müsse oder zumindest behauptet werde. Entgegen der pauschalen Behauptung des Beklagten diene das Interesse der Klägerin an der Identität des Hinweisgebers nicht nur dem bloßen Selbstzweck, sondern sei vielmehr sogar Voraussetzung, um ihre Rechte aus der DSGVO gegenüber dem Hinweisgeber überhaupt wirksam ausüben zu können (vgl. Art. 8 Abs. 2 Satz 2 GRC, Erwägungsgrund 63 Satz 1 DSGVO). Es sei offensichtlich, dass beim Hinweisgeber personenbezogene Daten der Klägerin verarbeitet und auch an Dritte – wie vorliegend an den Beklagten – weitergegeben worden seien. Der Auskunftsanspruch bestünde vorliegend allenfalls dann nicht, wenn das Interesse des Hinweisgebers daran, dass seine diesbezüglichen Daten nicht weitergegeben würden oder berücksichtigungsfähige Interessen des Beklagten das Auskunftsrecht der Klägerin überwögen. Die Klägerin habe ein erhebliches Interesse an der Kenntnis der Identität des Hinweisgebers, denn nur so könne sie diesem gegenüber ihre Rechte aus u.a. Art. 16 bis 19, 21, 79 und 82 DSGVO überhaupt geltend machen. Demgegenüber sei nicht ersichtlich, welche berechtigten Interessen des Hinweisgebers der Preisgabe seiner Identität überhaupt entgegenstehen sollten. Insbesondere sei nicht erkennbar, dass durch die Mitteilung seiner Identität irgendwelche Rechte und Freiheiten des Hinweisgebers beeinträchtigt würden. Der Beklagte gehe vielmehr sogar selbst davon aus, dass keine potentiellen Schadensersatz- oder Unterlassungsansprüche gegenüber dem Hinweisgeber bestünden. Der Hinweisgeber habe zudem nicht einmal um vertrauliche Behandlung seiner Anzeige gebeten. Er müsse nicht zuletzt auch deswegen damit rechnen, dass seine Identität im Rahmen einer etwaigen Akteneinsicht durch die Klägerin bekannt werden würde. Selbst wenn – wie hier nicht – dem Hinweisgeber seitens des Beklagten eine vertrauliche Behandlung seines Hinweises zugesichert worden wäre, dann führe dies noch nicht zu dem Recht, der Klägerin diese Information zu verweigern. Der pauschale Verweis auf ein nicht näher konkretisiertes Schutzbedürfnis des Hinweisgebers sei daher nicht ausreichend, um den Auskunftsanspruch zu verweigern. Schließlich sei auch nicht ersichtlich und habe der Beklagte zur Begründung seiner Entscheidung auch nicht angeführt, dass eine Auskunft über die Identität des Hinweisgebers eigene Interessen des Beklagten berühren oder hierdurch die Erfüllung seiner öffentlichen Aufgaben behindert oder gefährdet würde. Bei Annahme einer Auskunftspflicht über die Identität des Hinweisgebers bestehe insbesondere auch nicht die Gefahr, dass sich niemand mehr an den Beklagten wenden würde, um Missstände auf dem Markt anzuzeigen und um Abhilfe zu bitten. Denn auf Missstände könne auch anonym hingewiesen werden, ohne dass die Anonymität des Hinweisgebers einer Reaktion des Beklagten grundsätzlich entgegenstehen würde. Vorsorglich sei zudem klarzustellen, dass es sich bei den Behauptungen in der streitgegenständlichen E-Mail um unwahre Tatsachenbehauptungen handele. Bei den „beanstandeten“ Produkten der Klägerin („Sticker, Fixierungen, …“) handele es sich gerade nicht – wie vom Hinweisgeber unwahr absolut behauptet und nicht etwa nur als Verdachtsfall bzw. Vermutung geäußert – um „Zubehör für CGM-Sensoren“, die als medizinisches Produkt zertifiziert werden müssten.
7
Der Hilfsantrag (Ziffer 2) werde für den Fall gestellt, dass dem Hauptantrag (Ziffer 1) aufgrund überwiegender berechtigter Interessen des Hinweisgebers als natürlicher Person nicht entsprochen werde. In seiner E-Mail vom … schreibe der Hinweisgeber: „bei den von uns beanstandeten Produkten (…)“. Diese Formulierung lasse nur den Schluss zu, dass der Hinweisgeber nicht in seiner Eigenschaft als Privatperson, sondern für (s) ein Unternehmen gehandelt habe. Zugleich sei dieser Formulierung im Plural zu entnehmen, dass neben dem Hinweisgeber als Verfasser der E-Mail offensichtlich auch noch andere Personen für dieses Unternehmen tätig seien. Schließlich lasse der Umfang der geschwärzten Signaturangaben vermuten, dass dort nicht ausschließlich personenbezogene Daten des Absenders, sondern zusätzlich auch noch allgemeine, nicht personenbezogene Firmenangaben enthalten seien. Auch vor diesem Hintergrund sei die Abwägung des Beklagten fehlerhaft gewesen. Denn selbst wenn dem Hinweisgeber ein berechtigtes und die Interessen der Klägerin überwiegendes Interesse an der Geheimhaltung seiner Identität zukommen würde, bezöge sich dieses nur auf den Schutz seiner eigenen personenbezogenen Daten, nicht aber auf die Angabe des Unternehmens, für welches er die streitgegenständliche E-Mail verfasst habe. Die Mitteilung der in der E-Mail enthaltenen Firmenangaben unter Anonymisierung der die Person des Hinweisgebers identifizierenden Daten würde keine Rechte des Hinweisgebers verletzen. Insbesondere würde die bloße Mitteilung des Unternehmens keinen Rückschluss auf die Person des Hinweisgebers erlauben, da er – ausweislich seiner E-Mail – dort offensichtlich nicht der einzige Mitarbeiter sei und daher jeder der dortigen Beschäftigten als Hinweisgeber in Betracht komme. Unternehmen als juristische Personen könnten wiederum keine „betroffene Person“ im Sinne des Art. 4 DSGVO sein und daher auch keine datenschutzrechtlichen Betroffenenrechte aus der DSGVO ableiten, die bei einer Abwägung zu berücksichtigen wären. Der Beklagte hätte daher selbst unter Zugrundelegung seiner eigenen Argumentation allenfalls die in der E-Mail enthaltenen Angaben schwärzen dürfen, welche einen Bezug zur Person des Hinweisgebers ermöglichen würden, beispielsweise Name, Vorname, Position, Durchwahlnummer oder einen identifizierenden Namensbestandteil in der E-Mail-Adresse.
8
Für den Beklagten beantragt die Regierung von … mit Schriftsatz vom 15.03.2023,
9
Zur Begründung wurde ausgeführt, dass der Klägerin ein Auskunftsanspruch gegen den Beklagten über die Identität des Hinweisgebers bzw. ein Anspruch auf Überlassung einer ungeschwärzten Kopie der Hinweisgeber-E-Mail vom … nicht zustehe. Es erscheine bereits zweifelhaft, ob die Klägerin überhaupt ein im Sinne des Datenschutzrechts als berechtigt anzuerkennendes Interesse an der Kenntniserlangung der Identität des Hinweisgebers habe glaubhaft darlegen können. Weder Neugier noch der Wunsch, sich am ungeliebten „Denunzianten“ zu rächen bzw. gegen einen unliebsamen Mitbewerber vorzugehen, könnten ein solches Interesse begründen. Soweit klägerseitig damit argumentiert werde, dass die Klägerin gegenüber dem Hinweisgeber Auskunfts- und Löschungsansprüche geltend zu machen gedenke, die sich auf die seitens des Hinweisgebers verarbeiteten, die Klägerin betreffenden Daten bezögen, erscheine dies vorgeschoben. Der Auskunftsanspruch nach Art. 15 Abs. 1 lit. g DSGVO solle nach der Rechtsprechung des BGH (U.v. 22.2.2022 – VI ZR 14/21 – juris Rn. 24) die betroffene Person in die Lage versetzen, mögliche Rechte auch gegen die Person oder Stelle geltend zu machen, von der die (möglicherweise unrichtigen oder zu Unrecht weitergegebenen Daten) herrührten, um so die „Fehler an der Wurzel anzugehen“. Vorliegend seien aber die durch den Hinweisgeber in dessen E-Mail vom … mitgeteilten, die Klägerin betreffenden personenbezogenen Daten (dies sei ausschließlich der Hyperlink zur Internetpräsenz des Unternehmens der Klägerin gewesen) korrekt gewesen. Auch der Hinweis sei inhaltlich berechtigt gewesen, sodass nichts dafür ersichtlich sei, dass der Hinweisgeber die Daten der Aufsichtsbehörde zu Unrecht mitgeteilt habe. Daher sei nicht erkennbar, dass datenschutzrechtliche Ansprüche der Klägerin gegenüber dem Hinweisgeber bestünden.
10
Zudem könne in der Sache die Offenlegung personenbezogener Daten von Hinweisgebern nicht beansprucht werden. Art. 10 BayDSG enthalte insoweit einschränkende Regelungen in Bezug auf die Auskunft nach Art. 15 DSGVO. Nach Art. 10 Abs. 2 Nr. 3 BayDSG unterbleibe eine Auskunft insbesondere, soweit personenbezogene Daten oder die Tatsache ihrer Speicherung zum Schutz der betroffenen Person oder wegen der überwiegenden berechtigten Interessen Dritter geheim gehalten werden müssten. Dies sei vorliegend der Fall. Insoweit werde auf die Erläuterungen zum Informantenschutz des Bayerischen Landesbeauftragten für den Datenschutz in Ziffer 5.3 seines 29. Tätigkeitsberichts zum Thema „Informantenschutz bei Datenübermittlungen unter Geltung der Datenschutz-Grundverordnung“ verwiesen. Danach überwiege das Interesse des Informanten an einer Geheimhaltung seiner Identität als „Quelle“ das Auskunftsinteresse grundsätzlich, da insoweit berücksichtigt werden müsse, dass Personen, die eine Behörde auf tatsächliche oder vermeintliche Missstände, Gefahren und Verstöße gegen Rechtsvorschriften hinwiesen, dadurch keine Nachteile entstehen sollten. Der Hinweisgeber vertraue darauf, dass seine Hinweise im Bereich der Verwaltung verblieben. Dies sei letztlich auch im Interesse von Behörden – insbesondere von Aufsichtsbehörden – die zur ordnungsgemäßen Erfüllung ihrer Aufgaben auf derartige Informationen angewiesen seien. Nur soweit sich der Informant mit haltlosen, grob unwahren oder gar verleumderischen Angaben an die Behörde gewandt habe, werde dagegen dem Auskunftsinteresse regelmäßig Vorrang zu geben sein, damit sich die betroffene Person gegebenenfalls gerichtlich gegen die Anschuldigungen zur Wehr setzen könne. Letzteres sei vorliegend nicht anzunehmen, da die angebotenen Produkte der Klägerin den Vorgaben des Medizinprodukterechts nicht genügt hätten und dieser Mangel erst nach Einleitung des Verwaltungsverfahrens durch die Klägerin ausgeräumt worden sei.
11
Darüber hinaus stehe auch Art. 10 Abs. 2 Nr. 1 BayDSG der geltend gemachten Auskunftserteilung aus Gründen der Gefahrenabwehr entgegen. Denn die Erteilung von Auskünften über die Identität von Hinweisgebern würde die Regierung von … als Aufsichtsbehörde für die Marktüberwachung von Medizinprodukten und damit ihre diesbezügliche Aufgabenerfüllung zur Gefahrenabwehr gefährden, zumindest aber erheblich beeinträchtigen. Die Tätigkeit der Überwachungsbehörde im Vollzug des Medizinprodukterechts diene u.a. der Gewährleistung hoher Standards für die Qualität und Sicherheit von Medizinprodukten und somit der Gesundheit und Sicherheit der Nutzer von Medizinprodukten, weshalb dieser Bereich der hoheitlichen Gefahrenabwehr zuzuordnen sei. Die Überwachungsbehörden seien hierbei auch unter Berücksichtigung der personellen Ressourcen auf Hinweise aus der Bevölkerung und durch Konkurrenten angewiesen, um ihre Aufgaben effektiv wahrnehmen zu können. Derartige Hinweise erhöhten die Effektivität behördlicher Kontroll- und Überwachungsmaßnahmen, indem sie die behördliche Aufmerksamkeit auf Verdachtsfälle lenkten. Hinweisgeber seien sich nicht in jedem Fall darüber bewusst, dass ihre Daten beispielsweise im Rahmen einer Akteneinsicht dem Betroffenen bekannt werden könnten und gingen häufig von der Vertraulichkeit ihrer Mitteilung aus. Die Offenbarung der Namen von Hinweisgebern sei geeignet, die Tätigkeit der Behörde in diesem Bereich zu beeinträchtigen, weil weniger Personen bereit wären, entsprechende Hinweise zu geben. Dem lasse sich auch nicht entgegenhalten, dass es Hinweisgebern möglich sei, ihre Hinweise in anonymisierter Form einzureichen. Ganz abgesehen davon, dass dies den allermeisten (potentiellen) Hinweisgebern gar nicht bekannt sein dürfte, führe jedenfalls der Umstand allein, dass ein Hinweis gerade nicht anonym eingereicht werde, nicht ohne Weiteres zu der pauschalen Annahme, dass der Hinweisgeber mit der Offenlegung seiner Identität auch gegenüber dem Betroffenen einverstanden sei bzw. an der Wahrung der Vertraulichkeit kein Interesse habe.
12
Insoweit gehe auch der Verweis der Klägerseite fehl, die Preisgabe der Identität des Hinweisgebers durch die Regierung von … sei eine Datenverarbeitung zum Zwecke der Erfüllung einer gesetzlichen Verpflichtung und damit nach Art. 6 Abs. 1 UAbs. 1 lit. c DSGVO zulässig. Zum einen erscheine es zirkulär, sich auf das Bestehen eines Auskunftsanspruchs nach Art. 15 DSGVO zu berufen und diesen als diejenige, die Datenverarbeitung durch Auskunftserteilung rechtfertigende rechtliche Verpflichtung zu benennen, die der Verantwortliche nach Art. 6 Abs. 1 UAbs. 1 lit. c DSGVO zu erfüllen habe, wenn gerade in Streit stehe, ob die begehrte Auskunft überhaupt der Sache nach zu erteilen sei. Zum anderen betreffe Art. 6 Abs. 1 DSGVO („nur“) die Frage der Rechtmäßigkeit der Datenverarbeitung, treffe aber gerade keine Aussage dazu, ob den Verantwortlichen auch eine unbedingte Pflicht zur Vornahme einer solchen Datenverarbeitung treffe bzw. vom Betroffenen beansprucht werden könne.
13
Aus dem klägerseits zitierten Urteil des BGH vom 22.02.2022 – VI ZR 14/21 ergebe sich nichts anderes. Zunächst unterscheide sich der diesem Urteil zugrundeliegende Sachverhalt ganz erheblich von dem vorliegenden Fall: Der Beklagte sei im BGH-Fall keine öffentliche Stelle, sondern eine Privatperson (Hausverwaltung) gewesen. In diesem Fall habe die Offenlegung der Identität des Hinweisgebers gegenüber dem Kläger durch die verantwortliche Stelle auf Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO gestützt werden können. Diese Vorschrift sei jedoch für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Datenverarbeitung ausdrücklich nicht anwendbar, vgl. Art. 6 Abs. 1 UAbs. 2 DSGVO. Daneben erkenne der BGH an, dass öffentliche Stellen – beispielsweise unter Verweis auf § 34 Abs. 1 Nr. 1 i.V.m. § 33 Abs. 1 Nr. 1 lit. a BDSG – die Auskunft verweigern könnten, wenn diese etwa die ordnungsgemäße Erfüllung ihrer Aufgaben gefährden würde. Der Beklagten im BGH-Fall als nicht-öffentlicher Stelle habe diese Möglichkeit hingegen nicht offen gestanden.
14
In Erwiderung hierauf führt der Klägerbevollmächtigte mit Schriftsatz vom 19.02.2023 ergänzend aus, dass der Auskunftsanspruch aus Art. 15 DSGVO nicht erfordere, dass ein „berechtigt anzuerkennendes Interesse (…) glaubhaft dargelegt“ werden müsse. Auch spiele es keine Rolle, ob die Daten der Klägerin durch den Hinweisgeber rechtmäßig übermittelt bzw. dort verarbeitet worden seien. Die Ausübung der Betroffenenrechte aus Art. 13ff. DSGVO setze gerade nicht voraus, dass eine vorausgehende Rechtsverletzung vorliege. Soweit der Beklagte erstmals behaupte, dass infolge der Auskunftserteilung seine Tätigkeit als Aufsichtsbehörde beeinträchtigt würde, sei dies offensichtlich vorgeschoben. Der angegriffene Bescheid rekurriere nicht auf derartige Gründe, sondern stütze die Verweigerung der Auskunft ausschließlich auf behauptete Rechte des Hinweisgebers. Hinweise an die Aufsichtsbehörden könnten zudem unproblematisch auch in anonymisierter Form erfolgen. Die Annahme des Beklagten, dass sich potentielle Hinweisgeber der Möglichkeit einer anonymen Anzeige oft nicht bewusst seien, erscheine lebensfremd. Zudem sei der Beklagte gehalten auf die Möglichkeit zur Einreichung anonymer Hinweise hinzuweisen bzw. eine solche Kontaktaufnahme anzubieten. Überdies müsse der Hinweisgeber ohnehin damit rechnen, dass seine Identität im Rahmen einer Akteneinsicht gemäß § 49 Abs. 1 OWiG offenbart werde. Der BGH (U.v. 22.02.2022 – VI ZR 14/21) habe sogar für das enge Vertrauens- und Näheverhältnis einer Mietergemeinschaft klargestellt, dass ein Hinweisgeber keinen absoluten Anspruch auf Anonymität habe. Der vorliegende Fall sei zwar anders gelagert, allerdings müsse dies erst recht für den klageweise geltend gemachten Auskunftsanspruch gelten. Denn hier bestehe nicht einmal ein Nähe- oder Abhängigkeitsverhältnis zwischen den Parteien. Es handele sich mutmaßlich um einen Konkurrenten der Klägerin, der außerhalb ihres Einflussbereichs angesiedelt sei. Der Hinweisgeber habe daher keinerlei rechtliche oder soziale Nachteile zu befürchten, wenn seine Identität offengelegt werde. Zudem unterlägen dieser – soweit es sich bei ihm um eine juristische Person handele – und seine Daten nicht dem Schutz der DSGVO.
15
Mit Schriftsatz vom 22.03.2023 verzichtete der Beklagte auf die Durchführung einer mündlichen Verhandlung. Der Klägerbevollmächtigte erklärte mit Schriftsatz vom 30.03.2023 sein Einverständnis mit einer Entscheidung ohne mündliche Verhandlung.
16
Mit Schriftsatz vom 11.01.2024 teilt der Beklagte mit, dass es sich bei dem Hinweisgeber um eine juristische Person, eine GmbH, gehandelt habe. Die E-Mail vom … stamme von einem der beiden Geschäftsführer dieser GmbH.
17
Zu den weiteren Einzelheiten des Sachverhalts wird Bezug genommen auf den Inhalt der Gerichtsakte und den Inhalt der vorgelegten Behördenakte, § 117 Abs. 3 Satz 2 VwGO.
Entscheidungsgründe
18
Die zulässige Klage hat hinsichtlich des Hilfsantrags Erfolg.
19
Statthafte Klageart für die gerichtliche Geltendmachung eines gegen eine Behörde gerichteten Auskunftsanspruchs aus Art. 15 Abs. 1 DSGVO ist die Verpflichtungsklage (vgl. BVerwG, U.v. 16.9.2020 – 6 C 10/19 – juris Rn. 12; OVG Hamburg, U.v. 8.2.2018 – 3 Bf 107/17 – NordÖR 2018, 336f.). Denn bei der Entscheidung über einen datenschutzrechtlichen Auskunftsanspruch durch eine Behörde handelt es sich um einen Verwaltungsakt. Der Erteilung der Auskunft geht eine behördliche Entscheidung voraus, die auf der Grundlage eines gesetzlichen Prüfprogramms (vgl. Art. 15 Abs. 4 DSGVO) zu treffen ist und bei der die Behörde besondere verfahrensrechtliche Vorkehrungen wie Begründungs- oder Anhörungspflichten zu beachten hat. Daher geht der Auskunftserteilung durch eine Behörde auf der Grundlage des Art. 15 Abs. 1 DSGVO stets eine Prüfung möglicher Ausschluss- und Beschränkungstatbestände voraus (vgl. BVerwG, U.v. 16.9.2020 – 6 C 10/19 – juris Rn. 12 unter Verweis auf BVerwG, U.v. 28.11.2007 – 6 A 2.07 – BVerwGE 130, 29 Rn. 13; U.v. 24.3.2010 – 6 A 2.09 – Buchholz 402.71 BNDG Nr. 2 Rn. 25).
20
1. Die Klägerin hat keinen Anspruch auf Auskunft über die Identität der im Rahmen der Hinweisgeber-E-Mail genannten natürlichen Person aus Art. 15 Abs. 1 Halbsatz 2 lit. g DSGVO.
21
Gemäß Art. 15 Abs. 1 Halbsatz 1 DSGVO hat die betroffene Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Ist dies der Fall, hat sie gemäß Halbsatz 2 ein Recht auf Auskunft über diese Daten und gemäß Halbsatz 2 lit. g ein Recht auf alle verfügbaren Informationen über die Herkunft der Daten, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden.
22
a) Zwar ist die DSGVO vorliegend anwendbar.
23
aa) Ihr sachlicher Anwendungsbereich ist eröffnet. Gemäß Art. 2 Abs. 1 DSGVO gilt diese Verordnung für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Nach Art. 4 Nr. 6 DSGVO bezeichnet „Dateisystem“ jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird. Der Beklagte speichert ausweislich der von ihm der Klägerin bereits erteilten Auskünfte personenbezogene Daten der Klägerin. Er ist „Verantwortlicher“ im Sinne von Art. 4 Nr. 7 Halbsatz 1 DSGVO und damit gemäß Art. 15 Abs. 1 DSGVO grundsätzlich auskunftspflichtig.
24
Zudem stehen vorliegend personenbezogene Daten der Klägerin in Rede. Personenbezogene Daten sind nach Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. Nach dieser Definition und der Rechtsprechung des EuGH ist der Begriff weit zu verstehen. Er ist nicht auf sensible oder private Informationen beschränkt, sondern umfasst potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur in Form von Stellungnahmen oder Beurteilungen, unter der Voraussetzung, dass es sich um Informationen über die in Rede stehende Person handelt. Die letztgenannte Voraussetzung ist erfüllt, wenn die Information aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft ist (vgl. BGH, U.v. 22.2.2022 – VI ZR 14/21 – juris Rn. 11; U.v. 15.6.2021 – VI ZR 576/19 – WM 2021, 1376 Rn. 22 m.w.N.; EuGH, U.v. 20.12.2017 – Rs. C-434/16 – NJW 2018, 767 Rn. 33ff. noch zu Art. 2 lit. a der RL 95/46/EG). Bei dem seitens des Hinweisgebers mit E-Mail vom … angegebenen Hyperlink des klägerischen Webshops handelt es sich um ein personenbezogenes Datum i.S.v. Art. 4 Nr. 1 DSGVO, da die Klägerin über den im Impressum der Website vollständig angegebenen Namen samt Adresse identifizierbar wird bzw. identifiziert werden kann. Überdies teilt der Hinweisgeber mit, dass die Klägerin „diverse Medizinprodukte der Klasse I über verschiedenste Absatzkanäle (B2B, Shops, Amazon, Webshop, …) ohne jegliche Zertifizierung“ vertreibe, es sich bei den Produkten um „Zubehör (Sticker, Fixierungen, …) für CGM Sensoren (Glukosesensoren)“ handele und die „vorgeschriebenen Kennzeichnungen auf der Verpackung (CE, Hersteller, Importeur, Bevollmächtigter)“ fehlten. Auch insoweit handelt es sich durch den hergestellten Bezug zur klägerischen Website und der damit gegebenen Identifizierbarkeit der Klägerin um personenbezogene Daten.
25
Die vorstehenden personenbezogenen Daten hat der Beklagte sodann verwendet, indem er ein medizinprodukte-rechtliches Aufsichtsverfahren gegenüber der Klägerin als Betreiberin des Webshops einleitete. Spätestens damit hat er die Daten im Sinne von Art. 4 Nr. 2 DSGVO verarbeitet.
26
bb) Auch ist die Anwendung der DSGVO vorliegend nicht durch Art. 2 lit. d DSGVO ausgeschlossen. Demnach findet die DSGVO keine Anwendung auf die Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit. Für die Verarbeitung dieser personenbezogenen Daten gelten die Vorgaben der RL 2016/680/EU (JI-RL), die im achten Kapitel des BayDSG (Art. 28 bis 37) umgesetzt wurden. Nach Art. 28 Abs. 1 Satz 1 BayDSG greifen die vorgenannten Vorschriften, soweit nichts anderes bestimmt ist, für die Verarbeitung personenbezogener Daten durch (1.) die Polizei, (2.) die Gerichte in Strafsachen und die Staatsanwaltschaften, (3.) die Strafvollstreckungs- und Justizvollzugsbehörden, (4.) die Behörden des Maßregelvollzugs zum Zwecke der Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit. Nach Satz 2 gelten die Vorschriften des achten Kapitels auch für sonstige Behörden im Sinne des Art. 1 Abs. 1 Satz 1 BayDSG, soweit diese personenbezogenen Daten verarbeiten, um Straftaten oder Ordnungswidrigkeiten zu verfolgen und zu ahnden. Mithin könnte auch die hier tätig gewordene Regierung von … nach Art. 28 Abs. 1 Satz 2 BayDSG grundsätzlich als zuständige Behörde i.S.v. Art. 2 Abs. 2 lit. d DSGVO angesehen werden. Allerdings ist sie bei der Verarbeitung der personenbezogenen Daten der Klägerin nicht zur „Verfolgung oder Ahndung einer Ordnungswidrigkeit“ tätig geworden. Vielmehr hat sie auf den Hinweis hin lediglich ein „medizinprodukte-rechtliches Aufsichtsverfahren“ eingeleitet. Die Möglichkeit, dass das eingeleitete Verwaltungsverfahren gegebenenfalls in ein Straf- oder Ordnungswidrigkeitenverfahren übergehen kann, ist für den Ausschluss der Anwendung der DSGVO nach Art. 2 Abs. 2 lit. d nicht ausreichend (vgl. Bäcker in: BeckOK Datenschutzrecht, Wolff/Brink/v. Ungern-Sternberg, 46. Edition, Stand: 01.08.2023, Art. 2 DSGVO, Rn. 26; zu der Vorgängerregelung in Art. 3 Abs. 2 DSRL: EuGH, U.v. 27.9.2017 – Rs. C-73/16 – BeckRS 2017, 126269 Rn. 40; ähnlich EuGH, U.v. 24.2.2022 – Rs. C-175/20 – EuZW 2022, 527/529). Auch führt der Umstand, dass die Regierung von … durch Einleitung des Verwaltungsverfahrens gegenüber der Klägerin zum Schutz vor Gefahren für die öffentliche Sicherheit tätig geworden ist, nicht zum Eingreifen des Ausschlusstatbestands des Art. 2 Abs. 2 lit. d DSGVO. Denn bei ihr handelt es sich nicht um eine Behörde, die spezifisch zur Bekämpfung von Straftaten berufen ist und die daneben eine weitere Aufgabe zum Schutz der öffentlichen Sicherheit wahrzunehmen hat. Nur im letzteren Fall würde es sich um eine zuständige Behörde i.S.v. Art. 3 Nr. 7 JI-RL handeln, deren Datenverarbeitungen in den Anwendungsbereich dieser Richtlinie fallen könnten. Nicht erfasst werden somit allgemeine Ordnungsbehörden sowie Sonderordnungsbehörden, auch wenn diese Behörden durchaus zur Kriminalprävention beitragen. Diese Behörden fallen nur insoweit unter den Ausnahmetatbestand in Art. 2 Abs. 2 lit. d DSGVO, als sie Ordnungswidrigkeiten repressiv verfolgen und ahnden (Bäcker in: BeckOK Datenschutzrecht, Wolff/Brink/v. Ungern-Sternberg, 46. Edition, Stand: 01.08.2023, Art. 2 DSGVO, Rn. 29; Hornung/Schindler/Schneider, ZIS 2018, 566/572; BayVGH, U.v. 30.5.2023 – 5 BV 20.2104 – juris Rn. 24ff.), was vorliegend nicht der Fall war.
27
b) Darüber hinaus liegt auch die weitere Voraussetzung für einen klägerischen Auskunftsanspruch nach Art. 15 Abs. 1 Halbsatz 2 lit. g DSGVO vor, da die Daten nicht direkt bei der Klägerin erhoben wurden. Dies ist für das Bestehen eines Auskunftsrechts über die Herkunft der Daten erforderlich, da anderenfalls die betroffene Person über die Herkunft Bescheid wüsste. Dass die Daten ohne Aufforderung des Beklagten durch einen Dritten an diesen herangetragen wurden, der Beklagte sich die Daten also nicht aktiv von diesem beschafft hat, ist für das Auskunftsrecht über die Herkunft der Daten ohne Belang. Wie für die Informationspflicht des Verantwortlichen gemäß Art. 14 Abs. 1 DSGVO für den Fall, dass „die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden“, genügt es auch für die Auskunftspflicht gemäß Art. 15 Abs. 1 Halbsatz 2 lit. g DSGVO, dass der Verantwortliche die von Dritten – auch Privatpersonen – auf deren eigene Initiative spontan übermittelten Daten verarbeitet hat. Eine andere – restriktive – Sichtweise ist weder durch den Wortlaut veranlasst noch wäre sie mit dem Sinn und Zweck des Auskunftsrechts vereinbar (BGH, U.v. 22.2.2022 – VI ZR 14/21 – juris Rn. 13 m.w.N.).
28
c) Überdies ist der Auskunftsanspruch der Klägerin vorliegend nicht durch Art. 10 Abs. 2 Nrn. 1 und 2 BayDSG, welcher von der Öffnungsklausel des Art. 23 Abs. 1 lit. a bis e sowie g bis h DSGVO Gebrauch macht, eingeschränkt.
29
Nach Art. 10 Abs. 2 Nrn. 1 und 2 BayDSG unterbleibt die Auskunft, soweit die Auskunft die ordnungsgemäße Erfüllung von Aufgaben der Gefahrenabwehr oder die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten, Ordnungswidrigkeiten oder berufsrechtlichen Vergehen oder die Strafvollstreckung gefährden würde (Nr. 1) oder die Auskunft die öffentliche Sicherheit und Ordnung, die Landesverteidigung oder ein wichtiges wirtschaftliches oder finanzielles Interesse des Freistaates Bayern, eines anderen Landes, des Bundes oder der Europäischen Union – einschließlich Währungs-, Haushalts- und Steuerangelegenheiten – gefährden würde (Nr. 2).
30
Art. 10 Abs. 2 Nrn. 1 und 2 BayDSG erfordern als zentrale Voraussetzung eine Gefährdungsprognose. Da personenbezogene Daten nicht „von selbst“ die Erfüllung der in Art. 10 Abs. 2 Nr. 1 BayDSG genannten Aufgaben oder die Durchsetzung der in Art. 10 Abs. 2 Nr. 2 BayDSG zusammengefassten Interessen gefährden können, sondern nur, wenn sie „in falsche Hände“ geraten, ist bei der Gefährdungsprognose zu beurteilen, ob die betroffene Person bei Erteilung der Auskunft die erlangten Informationen voraussichtlich zu Maßnahmen nutzen wird, welche die Aufgabenerfüllung (Art. 10 Abs. 2 Nr. 1 BayDSG) oder Interessendurchsetzung (Art. 10 Abs. 2 Nr. 2 BayDSG) erschweren werden. Jedoch sollte nur eine „realistische Aussicht auf hinreichend wichtige Nachteile“ ein Anspruchshindernis begründen, denn im Gegensatz zu § 34 Abs. 1 Nr. 1 i.V.m. § 33 Abs. 1 Nr. 1 BDSG sieht weder Art. 10 Abs. 2 Nr. 1 noch Nr. 2 BayDSG eine Abwägung zwischen dem Informationsinteresse der Auskunft begehrenden betroffenen Person einerseits und dem Vertraulichkeitsinteresse der staatlichen Stelle andererseits vor (Seidl in: Schröder, Bayerischen Datenschutzgesetz, 1. Auflage 2021, Art. 10 BayDSG, Rn. 20). Vorliegend bestehen aber keinerlei Anhaltspunkte dafür, dass die Klägerin die mit dem geltend gemachten Auskunftsanspruch begehrten Informationen zu Maßnahmen nutzen wird, welche die Aufgabenerfüllung oder Interessendurchsetzung der Behörde erschweren werden, zumal das gegenüber der Klägerin eingeleitete Aufsichtsverfahren inzwischen abgeschlossen ist. Eine realistische Aussicht auf hinreichend gewichtige Nachteile ist damit nicht ersichtlich.
31
d) Soweit die Klägerin allerdings die Preisgabe der Identität der hinweisgebenden natürlichen Person begehrt, ist ihr Auskunftsrecht vorliegend durch Rechte und Freiheiten Dritter eingeschränkt.
32
Der BGH hat im Rahmen seiner Entscheidung vom 22.02.2022 – VI ZR 14/21 (Rn. 14) die – noch nicht durch den EuGH geklärte – Frage aufgeworfen, ob sich diese Beschränkung durch Rechte und Freiheiten anderer Personen unmittelbar aus der DSGVO oder über die Öffnungsklausel des Art. 23 Abs. 1 lit. i DSGVO erst aus (hier) Art. 10 Abs. 2 Nr. 3 BayDSG ergibt.
33
Der Wortlaut des Art. 15 DSGVO enthält keine Hinweise darauf, dass das Auskunftsrecht der betroffenen Person aus Art. 15 Abs. 1 DSGVO beschränkt wäre. Gemäß Art. 15 Abs. 4 DSGVO darf lediglich das Recht auf Erhalt einer Kopie gemäß Absatz 3 die Rechte und Freiheiten anderer Personen nicht beeinträchtigen. Allerdings lautet Erwägungsgrund 63, der sich mit dem Auskunftsrecht der betroffenen Person befasst, in seinen Sätzen 5 und 6 wie folgt: „Dieses Recht sollte die Rechte und Freiheiten anderer Personen, etwa Geschäftsgeheimnisse oder Rechte des geistigen Eigentums und insbesondere das Urheberrecht an Software, nicht beeinträchtigen. Dies darf jedoch nicht dazu führen, dass der betroffenen Person jegliche Auskunft verweigert wird.“
34
Die überwiegende Meinung in der deutschen Kommentarliteratur sieht das Auskunftsrecht gemäß Art. 15 Abs. 1 DSGVO durch Rechte und Freiheiten anderer Personen bereits in der DSGVO selbst beschränkt (Bienemann in Sydow/Marsch, DSGVO/BDSG, 3. Aufl. 2022, Art. 15 DSGVO, Rn. 57, der von einem Redaktionsversehen ausgeht; Schmidt-Wudy in BeckOK, Datenschutzrecht, Wolff/Brink/v. Ungern-Sternberg, 46. Edition. Stand: 01.11.2023, Art. 15 DSGVO Rn. 96-98, der Art. 15 Abs. 4 DSGVO analog auf Abs. 1 anwendet; Dix in Simitis/Hornung/Spiecker, Datenschutzrecht, 1. Auflage 2019, Art. 15 DSGVO Rn. 34f.; Paal in Paal/Pauly, DS-GVO/BDSG, 3. Auflage 2021, Art. 15 DSGVO, Rn. 41 und Franck in Gola, Datenschutz-Grundverordnung/Bundesdatenschutzgesetz, 3. Auflage 2022, Art. 15 DSGVO, Rn. 48).
35
Im Hinblick darauf, dass Art. 15 DSGVO im Lichte der durch die Charta der Grundrechte der Europäischen Union garantierten Grundrechte, insbesondere des Art. 7 (Recht auf Achtung des Privatlebens) und Art. 8 GRC (Recht auf Schutz personenbezogener Daten) auszulegen ist (vgl. EuGH, U.v. 9.3.2017 – C-398/15 – BB 2017, 652 Rn. 39 f.; U.v. 13.5.2014 – C-131/12 – NJW 2014, 2257 Rn. 68 f.), dass die Datenschutz-Grundverordnung gemäß Art. 1 Abs. 2 DSGVO die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten schützt und dass auch laut Erwägungsgrund 63 Satz 5 die Rechte und Freiheiten anderer Personen durch die Auskunft nicht beeinträchtigt werden sollen, wäre die Annahme einer einschränkungslosen Gewährung des Auskunftsrechts in Art. 15 Abs. 1 DSGVO – auch und gerade über die Herkunft von Daten nach Abs. 1 Halbsatz 2 lit. g – kaum zu begründen. Gemäß Art. 8 Abs. 2 Satz 1 GRC dürfen personenbezogene Daten nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Gemäß Art. 8 Abs. 2 Satz 2 GRC hat jede Person das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken. Auf das Recht auf Schutz personenbezogener Daten kann sich demnach nicht nur der gemäß Art. 15 Abs. 1 DSGVO Auskunftsberechtigte berufen, sondern auch derjenige, dessen Daten durch eine Übermittlung im Rahmen der Auskunft nach Art. 15 Abs. 1 Halbsatz 2 lit. g DSGVO offengelegt würden (BGH, U.v. 22.2.2022 – VI ZR 14/21 – juris Rn. 18).
36
Aus diesem Umstand folgert der BGH, dass die Offenlegung der personenbezogenen Daten eines Hinweisgebers durch Übermittlung, welche eine Verarbeitung i.S.v. Art. 4 Nr. 4 DSGVO ist, nur unter den Voraussetzungen des Art. 6 DSGVO rechtmäßig wäre (Verbot mit Erlaubnisvorbehalt). Welcher Erlaubnistatbestand hier für die Herausgabe der Daten der hinweisgebenden natürlichen Person greifen soll, ist nicht ohne Weiteres ersichtlich. Eine Einwilligung gemäß Art. 6 Abs. 1 UAbs. 1 lit. a DSGVO liegt nicht vor. Die Argumentation, eine Übermittlung der Daten der hinweisgebenden natürlichen Person an die Klägerin sei zur Erfüllung einer rechtlichen Verpflichtung, der der Beklagte unterliege, nämlich zur Erfüllung des klägerischen Auskunftsanspruchs aus Art. 15 Abs. 1 Halbsatz 2 lit. g DSGVO erforderlich (Art. 6 Abs. 1 UAbs. 1 lit. c DSGVO), dürfte auf einen Zirkelschluss führen. Auch der Erlaubnistatbestand des Art. 6 Abs. 1 UAbs. 1 lit. e DSGVO dürfte nicht greifen, da nicht ersichtlich ist, dass die Übermittlung der personenbezogenen Daten des Hinweisgebers zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt und welche spezifisch der Regierung von … übertragen wurde, erforderlich ist. Zwar sieht auch Art. 5 BayDSG, der auf den Öffnungsklauseln des Art. 6 Abs. 2 bis 4 DSGVO beruht, gewisse Erlaubnistatbestände vor. So ist eine Übermittlung personenbezogener Daten nach dem vorliegend allein in Betracht kommenden Art. 5 Abs. 1 Satz 1 Nr. 2 BayDSG zulässig, wenn der Empfänger (hier also die Klägerin) eine nicht öffentliche Stelle ist, diese Stelle ein berechtigtes Interesse an ihrer Kenntnis glaubhaft dargelegt und die betroffene Person (hier also der Hinweisgeber) kein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat. Allerdings ist Art. 5 Abs. 1 Nr. 2 BayDSG nach der Rechtsprechung des BVerwG mit der DSGVO nicht vereinbar. Demnach sei Art. 5 Abs. 1 Satz 1 Nr. 2 BayDSG von der insoweit in Bezug genommenen Öffnungsklausel des Art. 6 Abs. 2 bis 4 DSGVO nicht gedeckt. Auf die Öffnungsklausel in Art. 6 Abs. 2 und 3 DSGVO könne diese Norm schon deswegen nicht gestützt werden, weil danach nur eine Konkretisierung der Regelungen von Art. 6 Abs. 1 UAbs. 1 lit. c und e DSGVO erlaubt sei, während Art. 5 Abs. 1 Satz 1 Nr. 2 BayDSG an Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO anknüpfe (vgl. BVerwG, U.v. 27.9.2018 – 7 C 5/17 – juris Rn. 25ff.). In Betracht käme damit allenfalls der Erlaubnistatbestand des Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO. Zwar verwehrt Art. 6 Abs. 1 UAbs. 2 DSGVO Behörden den Rückgriff auf diese Abwägungsklausel, soweit sie die Datenverarbeitung in Erfüllung ihrer Aufgaben vornehmen. Allerdings dürfte sich die Regierung von … im Verhältnis zur hinweisgebenden natürlichen Person hinsichtlich der Übermittlung ihrer personenbezogenen Daten vorliegend nicht in einem spezifisch staatlichen Verhältnis befinden (vgl. BVerwG, U.v. 27.9.2018 – 7 C 5/17 – juris Rn. 26; Albers/Veit in BeckOK Datenschutzrecht, Wolff/Brink/v. Ungern-Sternberg, 46. Edition, Stand: 01.11.2023, Art. 6 DSGVO, Rn. 65).
37
Unabhängig davon, ob sich die Regierung von … vorliegend für die Übermittlung der personenbezogenen Daten des Hinweisgebers auf einen Erlaubnistatbestand berufen könnte, würde eine Preisgabe an die Klägerin im Wege des Auskunftsanspruchs jedenfalls die Rechte und Freiheiten anderer Personen gemäß Art. 15 Abs. 4 DSGVO beeinträchtigen.
38
Zwar sind insoweit zugunsten der Klägerin Bedeutung, Gewicht und Zweck ihres Auskunftsrechts über die Herkunft ihrer Daten gemäß Art. 15 Abs. 1 Halbsatz 2 lit. g DSGVO in Rechnung zu stellen. Das Recht jeder Person, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken, ist in Art. 8 Abs. 2 Satz 2 GRC im Rahmen des Rechts auf Schutz personenbezogener Daten verbürgt. Es dient dem Zweck, dass sich die betroffene Person der Verarbeitung der sie betreffenden Daten bewusst wird und deren Rechtmäßigkeit überprüfen kann (Erwägungsgrund 63 Satz 1 der DSGVO). Sie soll sich insbesondere vergewissern können, dass sie betreffende personenbezogene Daten richtig sind und in zulässiger Weise verarbeitet werden (BGH, U.v. 22.2.2022 – VI ZR 14/21 – juris Rn. 24;, U.v. 15.6.2021 – VI ZR 576/19, WM 2021, 1376 Rn. 25 m.w.N.). Das Auskunftsrecht gemäß Art. 15 Abs. 1 DSGVO ist insbesondere erforderlich, um es der betroffenen Person gegebenenfalls zu ermöglichen, von dem für die Verarbeitung Verantwortlichen etwa die Berichtigung oder Löschung ihrer Daten zu verlangen (vgl. EuGH, U.v. 20.12.2017 – Rs. C-434/16, NJW 2018, 757 Rn. 57; U.v. 7.5.2009 – C-553/07, EuZW 2009, 546 Rn. 51 zur RL 95/46/EG). Die Pflicht des Verantwortlichen gemäß Art. 15 Abs. 1 Halbsatz 2 lit. g DS-GVO, im Falle der Verarbeitung personenbezogener Daten der betroffenen Person auch alle verfügbaren Informationen über die Herkunft der Daten zur Verfügung zu stellen, soll die betroffene Person in die Lage versetzen, mögliche Rechte auch gegen die Person oder Stelle geltend zu machen, von der die (möglicherweise unrichtigen oder zu Unrecht weitergegebenen) Daten herrühren (Dix in Simitis/Hornung/Spiecker, Datenschutzrecht, 1. Auflage 2019, Art. 15 DSGVO, Rn. 24), um so die „Fehler an der Wurzel anzugehen“ (vgl. BGH, U.v. 22.2.2022 – VI ZR 14/21 – juris Rn. 24 m.w.N.).
39
Allerdings ist zugunsten der hinweisgebenden natürlichen Person zu berücksichtigen, dass auch deren Rechte durch Art. 7 Abs. 1 (Achtung des Privatlebens) und Art. 8 (Recht auf Schutz personenbezogener Daten) GRC verbürgt sind, wobei diese beiden Grundrechte, soweit es um die Verarbeitung personenbezogener Daten geht, eine einheitliche Schutzverbürgung bilden (vgl. BVerfG, B.v. 6.11.2019 – 1 BvR 276/17 – BVerfGE 152, 216, Rn. 99 m.w.N. – Recht auf Vergessen II). Zwar hätte das Interesse des Hinweisgebers an der Geheimhaltung seiner Identität regelmäßig dann zurückzutreten, wenn er wider besseres Wissen oder leichtfertig unrichtige Angaben zu personenbezogenen Daten der betroffenen Person gemacht hat (vgl. dazu LAG Baden-Württemberg, U.v. 20.12.2018 – 17 Sa 11/18, BB 2020, 2169, 2175, juris Rn. 207; Dix in Simitis/Hornung/Spiecker, Datenschutzrecht, 1. Auflage 2019, Art. 15 DSGVO, Rn. 35). Dafür bestehen vorliegend indes keine Anhaltspunkte, zumal auf den Hinweis hin ein medizinprodukte-rechtliches Aufsichtsverfahren gegenüber der Klägerin eingeleitet wurde, welches lediglich infolge ihrerseits vorgenommener Korrekturen an den Produktbeschreibungen eingestellt wurde.
40
Auch unter Berücksichtigung der Bedeutung des klägerischen Auskunftsrechts würden hier durch die Preisgabe der personenbezogenen Daten des Hinweisgebers dessen Rechte aus Art. 7 Abs. 1 und Art. 8 GRC in einem Ausmaß beeinträchtigt, der die Rechtsbeeinträchtigung der Klägerin überwiegt. Denn die hinweisgebende natürliche Person, die die E-Mail vom … im Rahmen ihrer geschäftlichen Betätigung verfasste und dabei die Interessen ihres Unternehmens wahrnahm, würde durch die Offenlegung ihrer Daten nunmehr in ihrer Privatsphäre betroffen. Dies obgleich die Klägerin auf die Kenntnis der personenbezogenen Daten des Hinweisgebers nicht angewiesen ist. Soweit sie – ausweislich ihres Vortrags – beabsichtigt, datenschutzrechtliche Ansprüche gegenüber dem Hinweisgeber geltend zu machen, hätte sie sich diesbezüglich nicht an den hinweisgebenden Geschäftsführer als natürliche Person, sondern vielmehr an die GmbH zu wenden, für die dieser gehandelt hat. Allein die GmbH ist als Verantwortliche i.S.v. Art. 4 Nr. 7 DSGVO anzusehen.
41
Überdies ist unklar, ob darüber hinaus der Verantwortliche – hier also der Beklagte – ebenfalls als eine andere Person i.S.d. Art. 15 Abs. 4 DSGVO gelten kann (vgl. dazu Steinötter in BeckOK, IT-Recht, Borger/Hilber, 12. Edition, Stand: 01.01.2023, Art. 15 DSGVO, Rn. 42 m.w.N.). Nimmt man dies vorliegend an, könnte der Beklagte zudem ins Feld führen, dass er zur Erfüllung seiner Aufsichtspflichten im Medizinprodukterecht, welches dem gewichtigen öffentlichen Interesse des Gesundheitsschutzes dient, auf Hinweise privater Personen, die von der Geheimhaltung ihrer Identität ausgingen, angewiesen sei. Da dem Auskunftsanspruch vorliegend aber bereits die Rechte der hinweisgebenden natürlichen Person entgegenstehen, erweist sich diese Frage als nicht entscheidungserheblich.
42
Auf dieselben Gesichtspunkte wie bei Art. 15 Abs. 4 DSGVO käme es an, sollte sich die Beschränkung des Auskunftsrechts durch Rechte und Freiheiten Dritter vorliegend nicht bereits unmittelbar aus der Datenschutz-Grundverordnung ergeben. In diesem Fall eröffnet jedenfalls Art. 23 Abs. 1 lit. i DS-GVO unter bestimmten Voraussetzungen die Möglichkeit, das Auskunftsrecht durch ein Gesetz zu beschränken, das den „Schutz der Rechte und Freiheiten anderer Personen“ sicherstellt. Eine solche Regelung wurde u.a. mit Art. 10 Abs. 2 Nr. 3 BayDSG getroffen, wonach die Auskunft nach Art. 15 DSGVO unterbleibt, soweit personenbezogene Daten oder die Tatsache ihrer Speicherung zum Schutz der betroffenen Person oder wegen der überwiegenden berechtigten Interessen Dritter geheim gehalten werden muss. Auch unter Zugrundelegung dieser Vorschrift käme man mithin zu dem Ergebnis, dass die Preisgabe der personenbezogenen Daten des Hinweisgebers wegen dessen überwiegender berechtigter Interessen geheim gehalten werden muss (s.o.).
43
2. Der Klägerin kommt jedoch der im Hilfsantrag geltend gemachte Anspruch gemäß Art. 15 Abs. 1 Halbsatz 2 lit. g DSGVO auf Auskunft über das Hinweisgeberunternehmen zu.
44
Hinsichtlich der Voraussetzungen des Anspruchs aus Art. 15 Abs. 1 Halbsatz 2 lit. g DSGVO wird auf die Ausführungen unter Ziffer 1 a) bis c) Bezug genommen. Anders als unter 1 greifen hinsichtlich der hinweisgebenden GmbH etwaige DSGVOimmanente Beschränkungen des Auskunftsanspruchs in Form des Erfordernisses einer datenschutzrechtlichen Rechtsgrundlage für die Übermittlung der Daten des Hinweisgebers nicht ein. Denn die DSGVO schützt ihrerseits keine juristischen Personen und erfasst nicht – wie Erwägungsgrund 14 Satz 2 besonders betont – „insbesondere als juristische Person begründete Unternehmen“ (vgl. Gola in Gola, Datenschutz-Grundverordnung/Bundesdatenschutzgesetz, 3. Auflage 2022, Art. 4 DSGVO, Rn. 26). Mithin bedarf der Beklagte insbesondere keiner datenschutzrechtlichen Rechtsgrundlage für die Verarbeitung der Daten der GmbH.
45
Auch stehen dem Auskunftsanspruch der Klägerin insoweit nach Art. 15 Abs. 4 DSGVO keine Rechte und Freiheiten anderer Personen entgegen. Zwar erfasst dieser Begriff der anderen Person nach der Kommentarliteratur auch juristische Personen (vgl. Steinötter in BeckOK IT-Recht, Borges/Hilber, 12. Edition, Stand: 01.01.2023, Art. 15 DS-GVO, Rn. 40). Rechte juristischer Personen sind aber wegen der klaren Hinwendung zum Menschen in Art. 1 Abs. 1 und Abs. 2 DSGVO im Rahmen der Abwägung nicht überzubewerten. Zum Vergleich: Hinsichtlich des Schadensersatzanspruchs gemäß Art. 82 DSGVO wird unisono vertreten, dass dieser nur natürlichen und nicht etwa juristischen Personen zustehe (vgl. Franck in: Gola/Heckmann, Datenschutz-Grundverordnung – Bundesdatenschutzgesetz, 3. Auflage 2022, Art. 15 DS-GVO, Rn. 48 m.w.N.). Welche Rechtspositionen des Hinweisgeberunternehmens durch eine Auskunftserteilung betroffen sein sollen, ist nicht ersichtlich.
46
Die Darlegungs- und Beweislast für die Umstände, die im Rahmen der gebotenen Interessenabwägung im Einzelfall die Verweigerung der begehrten Auskunft über die Person des Hinweisgebers rechtfertigen sollen, trägt nach allgemeinen Grundsätzen der auf Auskunft in Anspruch genommene Verantwortliche (vgl. LAG Baden-Württemberg, U.v. 20.12.2018 – 17 Sa 11/18, BB 2020, 2169, 2175, juris Rn. 208 f.; Sächsisches Finanzgericht, U.v. 8.5.2019 – 5 K 337/19, juris Rn. 18; Louven in Taeger/Gabel, DSGVO-BDSG-TTDSG, 4. Aufl., § 29 BDSG Rn. 7; Specht in Sydow, Europäische Datenschutzgrundverordnung, 2. Aufl., Art. 15 Rn. 24 i.V.m. 35; Dix in Simitis/Hornung/Spiecker, Datenschutzrecht, 2019, Art. 15 DS-GVO Rn. 24). Dieser darf sich dabei nicht auf bloße Vermutungen stützen, sondern hat die konkreten Tatsachen zu benennen, die das überwiegende Interesse des Hinweisgebers an seiner Geheimhaltung begründen sollen (vgl. Uwer in BeckOK Datenschutzrecht, Wolff/Brink/v. Ungern-Sternberg, 46. Edition, Stand: 01.11.2023, § 29 BDSG Rn. 10 m.w.N.; BGH, U.v. 22.2.2022 – VI ZR 14/21 – juris Rn. 28). Art. 15 Abs. 4 DSGVO ist nur einschlägig, wenn durch die Auskunft tatsächlich eine Beeinträchtigung der Drittinteressen vorliegen wird, eine bloße Befürchtung genügt nicht (Schmidt-Wudy in BeckOK Datenschutzrecht, Wolff/Brink/v. Ungern-Sternberg, 46. Edition, Stand: 01.11.2023, Art. 15 DSGVO, Rn. 96).
47
Juristische Personen können sich grundsätzlich nicht auf den durch Art. 7 und 8 GRC verliehenen Schutz berufen (vgl. Gola in Gola, Datenschutz-Grundverordnung/Bundesdatenschutzgesetz, 3. Auflage 2022, Art. 4 DSGVO, Rn. 26). Das dies im vorliegenden Fall abweichend zu beurteilen wäre, wurde von Beklagtenseite nicht dargelegt. Insbesondere wurde nicht geltend gemacht, dass die Firma der in Rede stehenden GmbH eine oder mehrere natürliche Personen bestimmen würde (vgl. Schild in BeckOK Datenschutzrecht, Wolff/Brink/v. Ungern-Sternberg, 46. Edition, Stand: 01.08.2023, Art. 4 DSGVO, Rn. 7 m.w.N.). Auch ist weder ersichtlich noch dargelegt, dass etwaige Geschäftsgeheimnisse oder Rechte des geistigen Eigentums der betroffenen GmbH durch die Auskunftserteilung berührt wären. Da die Hinweisgeber GmbH ausweislich des Schriftsatzes des Beklagten vom 11.01.2024 über zwei Geschäftsführer, von denen einer die Hinweisgeber-E-Mail verfasst hatte, verfügt, kann auch nicht davon ausgegangen werden, dass die Information über die Firma der GmbH auf die konkrete hinweisgebende natürliche Person führt. Dass mit der Preisgabe des Namens einer juristischen Person wohl letztlich – beispielsweise über die Websites der Unternehmen oder das Handelsregister – immer auf einzelne natürliche Personen geschlossen werden kann (z. B. Person des/der Geschäftsführer/s, des Vorstandsvorsitzenden etc.), muss vor dem Hintergrund des Art. 1 Abs. 2 DSGVO i.V.m. Erwägungsgrund 14 Satz 2 als unerheblich erachtet werden, da dem Anwendungsausschluss der DSGVO für juristische Personen andernfalls kein Anwendungsbereich mehr verbliebe.
48
Zudem kann nicht davon ausgegangen werden, dass der Auskunftserteilung hinsichtlich des Unternehmens Interessen des Beklagten i.S.v. Art. 15 Abs. 4 DSGVO entgegenstehen. Unabhängig von der Frage, ob der Verantwortliche überhaupt als andere Person im Sinne der Norm angesehen werden kann (s.o.), fehlt es insoweit an konkreten Anhaltspunkten für die Annahme entgegenstehender Interessen. Die bloße Befürchtung des Beklagten, im Falle einer Preisgabe des Hinweisgeberunternehmens künftig keine Hinweise Dritter mehr zu erhalten, ist nicht ausreichend. Zumal vorliegend seitens des Hinweisgebers offenbar nicht einmal um eine vertrauliche Behandlung seines Hinweises gebeten wurde. Überdies ist in Rechnung zu stellen, dass insoweit keine natürliche Person als Hinweisgeber betroffen ist und vermeintliche Verstöße im Übrigen auch anonym gemeldet werden könnten.
49
Ferner ist zu berücksichtigen, dass es eines „berechtigten“ Auskunftsinteresses der Klägerin weder nach dem Wortlaut des Art. 15 Abs. 1 DSGVO noch nach der aktuellen Rechtsprechung des EuGH bedarf. Insbesondere kann danach nicht davon ausgegangen werden, dass es sich bei dem datenschutzrechtlichen Auskunftsanspruch nach Art. 15 DSGVO um einen Hilfsanspruch in Bezug auf datenschutzrechtliche Hauptansprüche, etwa auf Berichtigung oder Löschung, handelt und er zurückgewiesen werden kann, wenn er diesem Zweck nicht dient. Der EuGH hat jüngst entschieden, dass die Verpflichtung des Verantwortlichen, der betroffenen Person unentgeltlich eine erste Kopie ihrer personenbezogenen Daten, die Gegenstand einer Verarbeitung sind, zur Verfügung zu stellen, auch dann gilt, wenn der betreffende Antrag mit einem anderen als den in Satz 1 des 63. Erwägungsgrundes der Verordnung genannten Zwecks begründet wird. Demnach ist die betroffene Person nicht verpflichtet, den Antrag auf Auskunft über die Daten zu begründen. Erwägungsgrund 63 sei nicht geeignet die Tragweite von Art. 15 Abs. 3 DSGVO einzuschränken. Nach ständiger Rechtsprechung seien Erwägungsgrunde eines Unionsrechtsakts rechtlich nicht verbindlich und könnten weder herangezogen werden, um von den Bestimmungen des betreffenden Rechtsakts abzuweichen, noch, um diese Bestimmungen in einem Sinne auszulegen, der ihrem Wortlaut offensichtlich widerspreche. Die DSGVO wolle ein gleichmäßiges und hohes Schutzniveau für natürliche Personen in der Union gewährleisten und die Rechte der betroffenen Personen stärken und präzise festgelegen (vgl. Erwägungsgründe 10 und 11). Gerade zur Erreichung dieses Ziels garantiere Art. 15 Abs. 1 DSGVO der betroffenen Person ein Recht auf Auskunft über ihre personenbezogenen Daten. Angesichts der Bedeutung, die die DSGVO dem in Art. 15 Abs. 1 DSGVO garantierten Recht auf Auskunft über die personenbezogenen Daten, die Gegenstand einer Verarbeitung sind, zur Erreichung solcher Ziele beimesse, dürfe die Ausübung dieses Rechts folglich nicht von Bedingungen abhängig gemacht werden, die der Unionsgesetzgeber nicht ausdrücklich festgelegt habe, wie etwa von der Verpflichtung, einen der im ersten Satz des 63. Erwägungsgrundes DSGVO genannten Gründe geltend zu machen (vgl. EuGH, U.v. 26.10.2023 – C-307/22 – juris Rn. 29ff.).
50
Die Kostenentscheidung beruht auf § 155 Abs. 1 Satz 1 VwGO. Die Entscheidung zur vorläufigen Vollstreckbarkeit ergibt sich aus § 167 Abs. 1 Satz 1 und Abs. 2 VwGO i.V.m. §§ 708 Nr. 11, 709 S. 2, 711 ZPO.