Sehr geehrte Leserinnen und Leser,

die Aufsichtsbehörden verstehen sich auch als Ansprechpartnerinnen für Betroffene. Art. 57 Abs. 1 lit. e und lit. f DSGVO formulieren dies ausdrücklich: Aufsichtsbehörden sollen auf Anfrage Informationen über die Rechte der DSGVO bereitstellen sowie Beschwerden prüfen und Betroffene über den Fortgang und das Ergebnis unterrichten. Daraus hat sich in der Praxis eine niedrigschwellige „Beratungsfunktion“ entwickelt, die zweifellos in Grenzen sinnvoll ist. Sie ermöglicht Orientierung in einem komplexen Rechtsrahmen und schafft Vertrauen in die Durchsetzung des Datenschutzrechts. Doch gerade diese Beratungsnähe wirft eine bislang wenig diskutierte Frage auf: Wo endet diese Beratung und was folgt danach?

Abstrakt betrachtet ist die Sache einfach. Beratung lebt von einem Bedarf. Entfällt dieser, endet auch die Beratung. Erklärt beispielsweise ein Betroffener im Verlauf, dass sich sein Anliegen erledigt hat, ist die kommunikative Grundlage dieser Interaktion entzogen. Die Behörde verliert damit nicht ihre Zuständigkeit, wohl aber ihre Rolle als beratende Instanz in diesem konkreten Verhältnis. Überträgt man diesen Grundsatz auf das Datenschutzrecht, endet die Beratungsfunktion jedenfalls dort, wo der Betroffene für sich zu dem Ergebnis kommt, dass seinen individuellen Rechten ausreichend Rechnung getragen wurde. Soweit sich die Interaktion auf subjektive Rechtspositionen beschränkt, etwa auf Transparenzinteressen im Rahmen einer Auskunft oder die Mitteilung über einen Datenschutzvorfall, erschöpft sich ihr Gegenstand regelmäßig in dieser individuellen Bewertung. Einschlägige Rechte sind strukturell auf die individuelle Wahrnehmung und Bewertung durch den Betroffenen ausgerichtet. Ein darüber hinausgehendes öffentliches Interesse an fortgesetzter „Beratung“ oder weiterer Aufsichtstätigkeit besteht insoweit nicht.

Komplex wird es dort, wo die Aufsicht parallel bereits im Zusammenhang mit demselben Vorgang in einer anderen Rolle tätig ist oder der zugrundeliegende Sachverhalt über die individuelle Rechtsposition hinausgeht und aufsichtsrechtliche Relevanz entfaltet. Denn neben der Beratung steht die eigenständige Aufsichtsfunktion aus Art. 57 Abs. 1 lit. a DSGVO. Sie besteht unabhängig vom Willen einzelner Betroffener. Ein Datenschutzvorfall oder eine vermeintlich rechtswidrige Verarbeitung, die weit über den Einzelfall hinausreicht, bleibt aufsichtsrechtlich relevant – auch wenn der konkrete Hinweisgeber längst zufriedengestellt ist. Die Behörde darf – und muss gegebenenfalls – solchen Sachverhalten nachgehen, um ihrer Aufgabe entsprechend über die Einhaltung der DSGVO wirksam zu wachen (vgl. EuGH, Urt. v. 26.9.2024 – C-768/21 Rn. 37, siehe dazu Ambrock, DSB 2024, 272).

Damit kann in der Praxis eine strukturelle Doppelrolle entstehen: Die Behörde ist einerseits Ansprechpartnerin des Betroffenen und andererseits Ermittlungsinstanz gegenüber dem Verantwortlichen. Solange diese Rollen klar getrennt bleiben, ist daran nichts auszusetzen. Problematisch wird es jedoch, wenn diese Trennung verschwimmt oder ohne hinreichende Transparenz gehandhabt wird.

Genau hier liegt der kritische Punkt: Beendet ein Betroffener seine Beteiligung erkennbar, stellt sich nicht die Frage nach der Zulässigkeit weiterer Ermittlungen, sondern nach der Art seiner Einbindung. Eine erneute Kontaktaufnahme kann gerechtfertigt sein – dann aber nur bei transparenter Rollentrennung. Es ist ein Unterschied, ob jemand beraten wird oder als Informationsquelle in einem Verfahren dient. Besonders sensibel wird es, wenn Kommunikation in informelle Bahnen verlagert wird. Telefonate sind im Verwaltungsalltag üblich. Werden sie jedoch gezielt eingesetzt, um nach einer Erledigungserklärung Einfluss zu nehmen und zugleich die Dokumentation zu reduzieren, geraten zentrale Prinzipien unter Druck: Nachvollziehbarkeit, Transparenz und die Überprüfbarkeit behördlichen Handelns. Auch die gebotene Neutralität der Aufsicht wird hier berührt. Die Behörde ist nicht Interessenvertreterin des Betroffenen und kein Instrument privater Anspruchsdurchsetzung, sondern handelt im öffentlichen Interesse. Hinweise auf Rechte können zulässig sein, solange sie der Information dienen. Mit der Beendigung der Beratungsnotwendigkeit endet jedoch die beratende Funktion. Eine weitere Einbindung kann dann nur noch im Rahmen aufsichtsrechtlicher Aufklärung erfolgen. Jede darüber hinausgehende Lenkung oder gar gezielte Motivierung ist mit der Rolle der Aufsicht nicht vereinbar.

Eine zweckwidrige Vermischung bleibt zudem nicht ohne Folgen. Datenschutzaufsicht ist nach der DSGVO auf Kooperation angelegt (Art. 31 DSGVO). Die Bereitschaft von Unternehmen, Vorfälle offenzulegen und konstruktiv mitzuwirken, beruht maßgeblich auf Vertrauen in ein faires und transparentes Verfahren. Entsteht der Eindruck informeller Einflussnahme oder unklarer Rollen, führt dies zu defensiveren und stärker formalisierten Verhaltensweisen – mit Nachteilen für die Effektivität der Aufsicht und letztlich auch für den Datenschutz. Die entscheidende Linie verläuft daher nicht zwischen „Beratung“ und „keiner Beratung“, sondern zwischen klarer Rollenwahrnehmung und funktionaler Vermischung. Eine saubere Aufsichtspraxis verlangt, die Beendigung der Beratung zu respektieren, eigene Ermittlungen davon strikt zu trennen und jede weitere Einbindung des Betroffenen transparent und freiwillig zu gestalten. Dazu gehört auch, seine veränderte Rolle klar zu benennen und diese im weiteren Verfahren konsequent beizubehalten. Die Frage „Wo endet die Beratung?“ ist damit mehr als eine formale. Sie berührt den Kern rechtsstaatlicher Verwaltung: die Fähigkeit, Kompetenzen auszuüben, ohne ihre Grenzen zu verwischen.

In diesem Sinne wünsche ich Ihnen viel Spaß mit der neuen Ausgabe des Datenschutz-Berater.

Ihr

Laurenz Strassemeyer

Schriftleitung
Datenschutz-Berater