Abo

Aufsatz : Die datenschutzbehördliche Informierung als neuartiges Instrument der Aufsichtsbehörden nach Art. 58 Abs. 2 DS-GVG : aus der RDV 5/2020, Seite 245 bis 249

Lesezeit 14 Min.

Art. 58 DS-GVO normiert die aufsichtsbehördlichen Befugnisse umfassend. Gleichwohl können die Mitgliedstaaten weitere zusätzliche Rechtsvorschriften erlassen, die über das datenschutzrechtliche Instrumentarium der DS-GVO hinausgehen. Mit der datenschutzbehördlichen Informierung wenden Teile der Aufsichtsbehörden schon länger eine Maßnahme an, die so nicht ausdrücklich von Art. 58 DSGVO erfasst und bisher auch nicht im deutschen Recht verankert ist. Der Beitrag untersucht daher das Phänomen der datenschutzbehördlichen Informierung näher.

I. Einleitung

Mit Einführung der Europäischen Datenschutzgrundverordnung (DS-GVO) wurden die Befugnisse der nationalen Datenschutzbehörden erheblich erweitert. Zentrale Regelung ist nunmehr Art. 58 DS-GVO, der gegenüber seiner Vorgängerregel in Art. 28 Abs. 3 DSRL die Untersuchungs-, Abhilfe- und Genehmigungsbefugnisse umfangreicher und wesentlich detaillierter ausgestaltet.[1] Dabei sieht die Regelung ein zweistufiges sowie abgestuftes „Eskalationsverfahren“ vor.[2]

Auf der ersten Stufe – diese betrifft die Ermittlungsphase – werden den Aufsichtsbehörden verschiedene Untersuchungsbefugnisse eingeräumt (Art. 58 Abs. 1 DS-GVO). Hier wird zunächst umfangreich geprüft, ob überhaupt ein Verstoß gegen die DS-GVO vorliegt. Dabei können die Datenverarbeiter etwa angewiesen werden, bestimmte Informationen bereitzustellen (Art. 58 Abs. 1 lit. a DS-GVO) oder aber auch Zugang zu ihnen zu gewähren (Art. 58 Abs. 1 lit. e DS-GVO).[3]

urde sodann ein datenschutzrechtlicher Verstoß tatsächlich festgestellt, so stehen auf der zweiten Stufe – diese betrifft die Abhilfephase – den Aufsichtsbehörden wiederum zahlreiche Befugnisse zur Verfügung (Art. 58 Abs. 2 DSGVO).[4] Diese erstrecken sich von einer schlichten Warnung (Art. 58 Abs. 2 lit. a DS-GVO), über eine Verwarnung (Art. 58 Abs. 2 lit. b DS-GVO) bis hin zur Verhängung einer Geldbuße (Art. 58 Abs. 2 lit. i DS-GVO).[5] Allerdings gehen Teile der nationalen Datenschutzbehörden seit geraumer Zeit einen weiteren Weg, der so jedenfalls bisher nicht von Art. 58 Abs. 2 DS-GVO ausdrücklich vorgesehen ist.

In diesen Fällen verschicken die Aufsichtsbehörden zunächst Schreiben, in denen den Datenverarbeitern mitgeteilt wird, dass sie einen Verstoß gegen die DS-GVO begangen haben. Nach dem ausdrücklichen Willen der Aufsichtsbehörden liegt darin gleichwohl aber noch keine Verwarnung im Sinne von Art. 58 Abs. 2 lit. b DS-GVO. Eine derartige Vorgehensweise kommt beispielsweise dann in Betracht, wenn Aufsichtsbehörden einen Verstoß feststellen und infolgedessen ein Bußgeldverfahren einleiten wollen, sodass sie einen den Verstoß feststellenden Verwaltungsakt zur Vorbereitung der Abgabe an die hausinterne Bußgeldstelle erlassen. Denkbar ist aber auch, dass die Aufsichtsbehörden einen datenschutzrelevanten Verstoß feststellen, diesen unter Berücksichtigung aller Umstände des Einzelfalls als geringfügig erachten, aber gleichwohl die Rechtsverletzung verbindlich festhalten möchten, ohne den Datenverarbeiter jedoch damit zu verwarnen.

Ob derartige „datenschutzbehördliche Informierungen“ aber überhaupt von den Abhilfebefugnissen von Art. 58 Abs. 2 DS-GVO erfasst werden, ist bisher völlig ungeklärt. Der Kurzbeitrag stellt darum zunächst die generellen Befugnisse der Datenschutzbehörden nach Art. 58 Abs. 2 DSGVO überblicksartig dar (II.), bevor anschließend die datenschutzbehördliche Informierung im Anwendungsbereich der Norm systematisch verortet wird (III.). Abgerundet wird der Beitrag mit einem Fazit sowie einem Ausblick (IV.)

II. Befugnisse der Datenschutzbehörden nach Art. 58 Abs. 2 DS-GVO

Art. 58 Abs. 2 DS-GVO normiert grundsätzlich sämtliche Abhilfebefugnisse der Aufsichtsbehörden. Innerhalb dieser Befugnisse ist eine Steigerung in der Intensität der Maßnahmen erkennbar,[6] wenngleich damit aber nicht eine bestimmte Rangfolge der Befugnisse verbunden ist.[7] Vielmehr haben sich die Aufsichtsbehörden im Rahmen der Ausübung ihres Ermessens für die geeignete Maßnahme bzw. das geeignete Maßnahmenbündel zu entscheiden.[8]

Dennoch ist auch innerhalb von Art. 58 Abs. 2 DS-GVO ein gestuftes Vorgehen notwendig bzw. ein hintereinander gestaffeltes Vorgehen anzuwenden. Denn eine Verwarnung nach Art. 58 Abs. 2 lit. b DS-GVO ist etwa erst dann möglich, wenn überhaupt ein Verstoß gegen die DS-GVO festgestellt wurde. Eine Warnung nach Art. 58 Abs. 2 lit. a DS-GVO stellt demgegenüber zunächst auf einen vermutlichen Datenschutzverstoß ab. Sie muss also immer einer Verwarnung als solches vorgelagert sein. So können die Aufsichtsbehörden die Datenverarbeiter entsprechend warnen, dass beabsichtigte Verarbeitungsvorgänge voraussichtlich gegen diese Verordnung verstoßen (Art. 58 Abs. 2 lit. a DS-GVO). Warnungen sind gerade dadurch gekennzeichnet, dass durch die Aufsichtsbehörden (noch) kein datenschutzrechtlicher Verstoß rechtswirksam festgestellt wurde, sondern ein solcher zunächst bloß vermutet wird.[9] Tritt sodann ein Datenschutzverstoß ein, können die Aufsichtsbehörden die Datenverarbeiter in einem nächsten Schritt verwarnen (Art. 58 Abs. 2 lit. b DS-GVO) oder andere Maßnahmen treffen.[10]

Ebenso ist eine Anweisung zur Abstellung von Verstößen nach Art. 58 Abs. 2 lit. d DS-GVO immer erst dann möglich, wenn der konkrete Datenschutzverstoß bereits feststeht. Die Regelung hat insbesondere dort einen großen Anwendungsbereich, wo im Rahmen der Datenverarbeitung die technisch-organisatorischen Anforderungen nicht beachtet wurden.[11] Bevor die Datenschutzbehörden aber gegenüber den Datenverarbeitern eine derartige spezifische Anweisung treffen, Verarbeitungsvorgänge auf bestimmte Weise in Einklang mit der Verordnung zu bringen, wird man dem Datenverarbeiter gegenüber einräumen müssen, dass er zunächst die Mittel und Maßnahmen selbst auswählt, wie er den Datenschutzverstoß konkret abstellt. Ebenso wird in diesem Kontext die Aufsichtsbehörde zu prüfen haben, ob anstelle einer Maßnahme nach Art. 58 Abs. 2 lit. d DS-GVO als milderes Mittel eine Verwarnung nach Art. 58 Abs. 2 lit. b DSGVO oder speziellere Anweisungen nach Art. 58 Abs. 2 lit. e, g und h DS-GVO in Betracht kommen.[12]

Erst innerhalb einer weiteren Eskalationsstufe wird die Verhängung einer vorübergehenden oder sogar endgültigen Beschränkung der Datenverarbeitung nach Art. 58 Abs. 2 lit. f DS-GVO in Betracht kommen. Denn ein solches Verbot stellt eine der am stärksten belastenden Maßnahmen für die Datenverarbeiter dar, sodass vor Erlass einer derartigen Verfügung weniger eingriffsintensive Maßnahmen – etwa nach Art 58 Abs. 2 lit. b DS-GVO – geprüft werden müssen.[13] Schließlich kann eine Geldbuße gemäß Art. 58 Abs. 2 lit. i DS-GVO zusätzlich oder anstelle von Maßnahmen nach Art. 58 Abs. 2 DS-GVO verhängt werden. Sie wird anstatt einer anderen Maßnahme jedoch nur dann sinnvoll sein, wenn der Verstoß auch tatsächlich abgestellt wurde. Nicht in Betracht kommt hingegen die Möglichkeit, eine Geldbuße zu verhängen, gleichzeitig aber den datenschutzrechtlichen Verstoß aufrechtzuerhalten.[14]

III. Die datenschutzbehördliche Informierung als neues aufsichtsrechtliches Instrument

Die von den Aufsichtsbehörden praktizierte Informierung der Datenverarbeiter lässt sich so jedenfalls nicht unmittelbar in den Kanon der Abhilfebefugnisse nach Art. 58 Abs. 2 DS-GVO einordnen. Darum wird zunächst ihre rechtliche Handlungsform untersucht (1.), um sodann gleichwohl aufzuzeigen, wie sie im Rahmen von Abs. 2 zu verorten ist (2.).

1. Verwaltungsaktqualität der datenschutzbehördlichen Informierung

Bei den Einzelbefugnissen nach Art. 58 DS-GVO handelt es sich überwiegend um Verwaltungsakte nach § 35 S. 1 VwVfG, wobei für einzelne Maßnahmen die Details umstritten sind.[15] So sei etwa die Warnung nach Art. 58 Abs. 2 lit. a DS-GVO kein Verwaltungsakt, da es ihr an der Regelungswirkung fehle, weil lediglich eine prognostische Einschätzung und keine verbindliche Feststellung eines Verstoßes gegen die DS-GVO erfolge.[16] Demgegenüber stelle die Verwarnung nach Art. 58 Abs. 2 lit. b DS-GVO einen feststellenden Verwaltungsakt dar, da für den Adressaten zwar keine konkreten Handlungspflichten entstünden, gleichwohl eine verbindliche und missbilligende Feststellung zu einem konkreten Datenschutzverstoß getroffen werde.[17]

Die rechtliche Qualifizierung der datenschutzbehördlichen Informierung hängt in erster Linie von der genauen Analyse der Gesetzeslage sowie der von der Behörde gewählten Formulierung ab.[18] Wird das Ergebnis eines behördlichen Subsumtionsvorgangs festgeschrieben, ohne selbst hieran Rechtsfolgen zu knüpfen, so wird man von einem feststellenden Verwaltungsakt ausgehen müssen.[19] Soweit erforderlich bleiben mögliche Rechtsfolgen auch einer anderen Behörde vorbehalten. Für das Vorliegen einer verbindlichen Regelung spricht im Übrigen, wenn die Maßnahme – hier also die Informierung durch die Aufsichtsbehörden – schriftlich erfolgt, als Bescheid gekennzeichnet ist[20] oder aber insbesondere mit einer Rechtsmittelbelehrung[21] versehen ist.[22]

Eine andere rechtliche Bewertung, welche die Verwaltungsaktqualität derartiger Schreiben verneint, käme nur dann in Betracht, wenn die Informierung lediglich als bloße(r) Hinweis/Information bzw. nur als reine Mitteilung oder Auskunft zu verstehen wäre. Denn dann würde mangels Regelungswirkung kein Verwaltungsakt im Sinne des § 35 VwVfG vorliegen.[23]

Die Informationsschreiben der Datenschutzbehörden gegenüber denjenigen Datenverarbeitern, die einen Datenschutzverstoß begangen haben, sind darum grundsätzlich als feststellende Verwaltungsakte[24] zu qualifizieren. Denn neben dem äußeren Erscheinungsbild wie etwa der Bezeichnung als Bescheid oder der Beifügung einer Rechtsmittelbelehrung, liegt die Regelungswirkung der Informierung darin begründet, dass ein datenschutzrechtlicher Verstoß durch die Aufsichtsbehörde festgestellt wurde. Es wird damit das rechtswidrige Verhalten des Datenverarbeiters verbindlich festgeschrieben. Lediglich von der konkreten Rechtsfolge in Form der Verwarnung wird abgesehen.

Aber selbst wenn man die Informierung durch die Aufsichtsbehörden nicht als Verwaltungsakt qualifizieren würde, bedürfte es gleichwohl für die dann als bloße Informationsschreiben zu qualifizierenden Mitteilungen einer Rechtsgrundlage, da auch in diesen Fällen rechtserhebliche Grundrechtseingriffe durch staatliches Informationshandeln – nämlich in der Form der Informierung durch die Aufsichtsbehörden – vorlägen.[25] Die datenschutzbehördliche Informierung reiht sich somit – unabhängig von ihrer genuinen rechtlichen Qualifizierung – in die nach Art. 58 DS-GVO statuierten Handlungsformen der aufsichtsbehördlichen Befugnisse ein.

2. Die datenschutzbehördliche Informierung als „Minus-Maßnahme“ nach Art. 58 Abs. 2 lit. b DS-GVO

Die datenschutzbehördliche Informierung lässt sich zunächst nicht auf Art. 58 Abs. 2 lit. a DS-GVO stützen, da ein datenschutzrechtlicher Verstoß bereits feststeht und die Vorschrift ausweislich des Wortlauts („beabsichtigte Verarbeitungsvorgänge“) nur als präventive Befugnis vor einem Datenschutzverstoß in Betracht kommt.[26] Die Behörde gibt in diesen Fällen lediglich eine Prognose ab, die auf einer summarischen Prüfung der Sach- und Rechtslage beruht.[27] Da ein Verstoß bereits vorliegt, kommt eine Warnung gerade nicht (mehr) in Betracht.

Allerdings ist Art. 58 Abs. 2 lit. b DS-GVO als taugliche Rechtsgrundlage für die datenschutzbehördliche Informierung in Erwägung zu ziehen. Grundsätzlich ermächtigt die Regelung zum Erlass einer Verwarnung, wenn mit Verarbeitungsvorgängen gegen die DS-GVO verstoßen wurde. Die Verwarnung knüpft also als sogenannte „gelbe Karte“[28] an einen feststehenden datenschutzrechtlichen Verstoß an und spricht eine Missbilligung aus, ohne hieran allerdings eine konkrete unmittelbar negative Rechtsfolge für den Adressaten zu knüpfen.[29] Als derartiges Instrument ist die Verwarnung im europäischen Datenschutzrecht auch kein Novum, denn unter Geltung der bisherigen DSRL hat der nationale Gesetzgeber die seinerzeitigen Vorgaben der DSRL dergestalt umgesetzt, dass die Aufsichtsbehörden eine Beanstandung[30] aussprechen konnten.[31]

Allerdings soll nach dem ausdrücklichen Behördenwillen die datenschutzbehördliche Informierung gerade keine Verwarnung iSd Art. 58 Abs. 2 lit. b DS-GVO darstellen. Vielmehr soll sie als Hinweis zu verstehen sein, der den Datenverarbeiter auf die rechtswidrige Datenschutzverarbeitung aufmerksam macht und diese gleichwohl verbindlich feststellt. Die Datenschutzbehörden können auf diese Art und Weise auch geringfügige Verstöße rechtsverbindlich fixieren, ohne das damit jedoch unmittelbar eine Verwarnung verknüpft ist.

Ein solches aufsichtsbehördliches Vorgehen lässt sich als eine „letzte Ermahnung“ interpretieren,[32] die folglich der „gelben Karte“ vorgeschaltet ist. Eine derartige Befugnis kennt Art. 58 Abs. 2 DS-GVO prinzipiell nicht.

Die datenschutzrechtliche Informierung ist als „MinusMaßnahme“ dennoch im Anwendungsbereich von Art. 58 Abs. 2 lit. b DS-GVO zu verorten. Ihrer Intention nach stellt sie sich als eine weniger eingriffsintensive Maßnahme wie die Verwarnung selbst dar, ist aber auch ein „mehr“ als die bloße Warnung. Derartige „Minus-Maßnahmen“ sind dem deutschen Recht nicht fremd. Zu denken ist hier beispielsweise an versammlungsrechtliche Maßnahmen, bei denen gezielte polizeiliche Maßnahmen – etwa die Sicherstellung rechtswidriger Transparente von einigen wenigen Versammlungsteilnehmern – gegenüber einer vollständigen Versammlungsauflösung (vgl. § 15 VersammlungsG) eine weniger eingriffsintensive Maßnahme darstellen.[33] Die datenschutzrechtliche Informierung stellt in ihrem spezifischen Kontext ebenso eine vergleichbare „Minus-Maßnahme“ gegenüber der Verwarnung dar. Denn die Datenschutzaufsicht dürfte ohnehin auch eine Verwarnung iSd Art. 58 Abs. 2 lit. b DS-GVO aussprechen. Einen Geringfügigkeitsvorbehalt enthält die Regelung nämlich nicht, sodass grundsätzlich jeder – auch nur marginale – Datenschutzverstoß sanktioniert werden kann. Mit der datenschutzrechtlichen Informierung übt die Aufsichtsbehörde die ihr nach dem Gesetz eingeräumte Befugnis aber nicht voll aus, sondern bleibt „ein wenig dahinter“. Diese Vorgehensweise ist rechtsstaatlich sowie aus Gründen der Verhältnismäßigkeit möglich, wenn ein schwerwiegenderer Eingriff zur Erreichung des von der Datenschutzbehörde verfolgten Zwecks nicht notwendig ist. Deshalb lässt sich die datenschutzrechtliche Informierung auf die Ermächtigungsnorm der Verwarnung nach Art. 58 Abs. 2 lit. b DS-GVO stützen.

IV. Fazit und Ausblick

Mit Art. 58 Abs. 2 DS-GVO werden den Aufsichtsbehörden umfangreiche und teilweise auch neue datenschutzrechtliche Befugnisse eingeräumt. Dabei enthält Art. 58 Abs. 2 DS-GVO unterschiedliche Eskalationsstufen, die gleichwohl nicht schematisch einer unmittelbaren Rangfolge entsprechen. Mit der datenschutzbehördlichen Informierung, die grundsätzlich einen feststellenden Verwaltungsakt darstellt und die im Spannungsfeld zwischen Warnung (Art. 58 Abs. 2 lit. a DS-GVO) und Verwarnung (Art. 58 Abs. 2 lit. b DS-GVO) angesiedelt ist, machen die Aufsichtsbehörden von einer Befugnis gebraucht, die so zwar nicht ausdrücklich in Art. 58 Abs. 2 DS-GVO normiert ist, aber aus teleologischen Erwägungen abgeleitet werden kann. Um mehr Rechtssicherheit – sowohl für die Datenverarbeiter als auch die Aufsichtsbehörden – zu ermöglichen, sollte der deutsche Gesetzgeber von der in Art. 58 Abs. 6 DS-GVO eingeräumten Befugnis Gebrauch machen und die datenschutzbehördliche Informierung im nationalen Recht entsprechend regeln.[34] In Betracht käme hier eine Ergänzung von § 40 BDSG.[35] Eine darüber hinausgehende Bindungswirkung für ein sich möglicherweise anschließendes Bußgeldverfahren entfaltet die datenschutzbehördliche Informierung nicht.[36] Denn eine Geldbuße, die in einem gesonderten Bußgeldverfahren festgestellt und vollstreckt werden muss, kann immer unabhängig bzw. auch zusätzlich oder anstelle von Maßnahmen nach Art. 58 Abs. 2 DS-GVO verhängt werden, wie Art. 58 Abs. 2 lit. i DS-GVO ausdrücklich normiert. Im Übrigen sind das aufsichtsbehördliche und das bußgeldrechtliche Verfahren zwei streng voneinander zu trennende Verwaltungsverfahren.[37] Die datenschutzbehördliche Informierung gibt den Aufsichtsbehörden so jedenfalls ein weiteres taugliches Instrument an die Hand, das insbesondere bei geringfügigen Datenschutzverstößen seine Berechtigung erfährt.

Dr. Sebastian Bretthauer ist wissenschaftlicher Mitarbeiter bei Prof. Dr. Indra Spiecker gen. Döhmann, LL.M. an der Goethe-Universität Frankfurt a.M. sowie Projektleiter an der Forschungsstelle Datenschutz ebenda.

[1] Polenz, in: Simitis/Hornung/Spiecker gen. Döhmann (Hrsg.), Datenschutzrecht, 2019, Art. 58 Rn. 1.

[2] Ebenso Dieterich, ZD 2016, 260 (263); Nguyen, in: Gola (Hrsg.), DSGVO, 2. Aufl. 2018, Art. 58 Rn. 17

[3] Siehe dazu Polenz, in: Simitis/Hornung/Spiecker gen. Döhmann (Hrsg.), Datenschutzrecht, 2019, Art. 58 Rn. 9 ff.; Wenzel/Wybitul, ZD 2019, 290 (292).

[4] Siehe dazu umfangreich auch Rost, DuD 2019, 488.

[5] Ausführlich zu den Abhilfebefugnissen Polenz, in: Simitis/Hornung/Spiecker gen. Döhmann (Hrsg.), Datenschutzrecht, 2019, Art. 58 Rn. 24 ff. sowie Nguyen, in: Gola (Hrsg.), DS-GVO, 2. Aufl. 2018, Art. 58 Rn. 17 ff.

[6] Polenz, in: Simitis/Hornung/Spiecker gen. Döhmann (Hrsg.), Datenschutzrecht, 2019, Art. 58 Rn. 6.

[7] Polenz, in: Simitis/Hornung/Spiecker gen. Döhmann (Hrsg.), Datenschutzrecht, 2019, Art. 58 Rn. 6; Nguyen, in: Gola (Hrsg.), DS-GVO, 2. Aufl. 2018, Art. 58 Rn. 17.

[8] Eichler, in: Wolff/Brink (Hrsg.), BeckOK Datenschutzrecht, 32. Ed., Art. 58 Rn. 18.

[9] Polenz, in: Simitis/Hornung/Spiecker gen. Döhmann (Hrsg.), Datenschutzrecht, 2019, Art. 58 Rn. 24.

[10] Vgl. ausführlich zur Verwarnung nach Art. 58 Abs. 2 lit. b DS-GVO Martini/Wenzel, PinG 2017, 92.

[11] Polenz, in: Simitis/Hornung/Spiecker gen. Döhmann (Hrsg.), Datenschutzrecht, 2019, Art. 58 Rn. 34; Nguyen, in: Gola (Hrsg.), DS-GVO, 2. Aufl. 2018, Art. 58 Rn. 19.

[12] Polenz, in: Simitis/Hornung/Spiecker gen. Döhmann (Hrsg.), Datenschutzrecht, 2019, Art. 58 Rn. 35.

[13] Polenz, in: Simitis/Hornung/Spiecker gen. Döhmann (Hrsg.), Datenschutzrecht, 2019, Art. 58 Rn. 40.

[14] Ziebarth, in: Sydow (Hrsg.), Europäische Datenschutzgrundverordnung, 2. Aufl. 2018, Art. 58 Rn. 68.

[15] Polenz, in: Simitis/Hornung/Spiecker gen. Döhmann (Hrsg.), Datenschutzrecht, 2019, Art. 58 Rn. 7; Nguyen, in: Gola (Hrsg.), DS-GVO, 2. Aufl. 2018, Art. 58 Rn. 17 ff.

[16] Polenz, in: Simitis/Hornung/Spiecker gen. Döhmann (Hrsg.), Datenschutzrecht, 2019, Art. 58 Rn. 7; aA Härting/Flisek/Thiess, CR 2018, 296 (298) erblicken in der Warnung einen feststellenden Verwaltungsakt, da die Warnung als hoheitliche Maßnahme einen Einzelfall mit unmittelbarer Außenwirkung regelt.

[17] VG Hannover K&R 2020, 169; Martini/Wenzel, PinG 2017, 92 (96); Polenz, in: Simitis/Hornung/Spiecker gen. Döhmann (Hrsg.), Datenschutzrecht, 2019, Art. 58 Rn. 7; aA Nguyen, in: Gola (Hrsg.), DS-GVO, 2. Aufl. 2018, Art. 58 Rn. 17.

[18] Pietzcker, in: Schoch/Schneider/Bier (Hrsg.), VwGO, 37. EL Juli 2019, § 42 Abs. 1 Rn. 26; Stelkens, in: Stelkens/Bonk/Sachs (Hrsg.), VwVfG, 9. Aufl. 2018, § 35 Rn. 82 ff.

[19] BVerwG NVwZ 2010, 133 (134); Stelkens, in: Stelkens/Bonk/Sachs (Hrsg.), VwVfG, 9. Aufl. 2018, § 35 Rn. 219.

[20] BVerwGE 57, 26.

[21] BVerwG NVwZ 2007, 340 Rn. 8.

[22] Stelkens, in: Stelkens/Bonk/Sachs (Hrsg.), VwVfG, 9. Aufl. 2018, § 35 Rn. 72 mwN.

[23] BVerwGE 148, 217 Rn. 33; OVG Münster NVwZ-RR 2008, 470 (471); Stelkens, in: Stelkens/Bonk/Sachs (Hrsg.), VwVfG, 9. Aufl. 2018, § 35 Rn. 83 mwN.

[24] Vgl. allgemein zum feststellenden Verwaltungsakt Stelkens, in: Stelkens/Bonk/Sachs (Hrsg.), VwVfG, 9. Aufl. 2018, § 35 Rn. 219 ff.; von Alemann/Scheffczyk, in: Bader/Ronellenfitsch (Hrsg.), BeckOK VwVfG, 48. Edition, § 35 Rn. 65 ff.

[25] Siehe dazu BVerfGE 105, 279; Paal, K&R 2020, 8; Murswiek, DVBl 1997, 1021.

[26] Polenz, in: Simitis/Hornung/Spiecker gen. Döhmann (Hrsg.), Datenschutzrecht, 2019, Art. 58 Rn. 24.

[27] Nguyen, in: Gola (Hrsg.), DS-GVO, 2. Aufl. 2018, Art. 58 Rn. 17

[28] So bezeichnet von Martini/Wenzel, PinG 2017, 92 (92).

[29] Martini/Wenzel, PinG 2017, 92 (92 f.).

[30] Vgl. dazu noch § 25 BDSG aF.

[31] Polenz, in: Simitis/Hornung/Spiecker gen. Döhmann (Hrsg.), Datenschutzrecht, 2019, Art. 58 Rn. 27; Martini/Wenzel, PinG 2017, 92 (92).

[32] Im Fußball würde man von der letzten mündlichen Verwarnung sprechen, bevor der Schiedsrichter bei einem weiteren Foul die gelbe Karte zieht.

[33] Wache, in: Erbs/Kohlhaas, Strafrechtliche Nebengesetze, Stand Mai 2020, VersammlG § 15 Rn. 2; OVG Bautzen DVBl 2018, 663.

[34] Vgl. dazu auch Polenz, in: Simitis/Hornung/Spiecker gen. Döhmann (Hrsg.), Datenschutzrecht, 2019, Art. 58 Rn. 73; Nguyen, in: Gola (Hrsg.), DS-GVO, 2. Aufl. 2018, Art. 58 Rn. 30 ff.

[35] Vgl zu § 40 BDSG Hense, in: Sydow (Hrsg.), BDSG, 2020, § 40 Rn. 1 ff.

[36] Vgl. zum neuen Bußgeldverfahren auch Rost, DuD 2019, 488 (490 ff.).

[37] Vgl. zum Begriff des Verwaltungsverfahrens allgemein Schmitz, in: Stelkens/Bonk/Sachs (Hrsg.), VwVfG, 9. Aufl. 2018, § 9 Rn. 1 ff.; vgl. zum Verfahren nach Art. 58 Abs. 4 DS-GVO Nguyen, in: Gola (Hrsg.), DS-GVO, 2. Aufl. 2018, Art. 58 Rn. 26 ff. und Polenz, in: Simitis/Hornung/Spiecker gen. Döhmann (Hrsg.), Datenschutzrecht, 2019, Art. 58 Rn. 68 ff.