DSGVO-Beschwerde ohne konkrete Angaben unzulässig

Die Datenschutz-Grundverordnung eröffnet Betroffenen weitreichende Möglichkeiten, sich gegen Datenschutzverstöße zu wehren. Besonders praxisrelevant ist dabei das Beschwerderecht nach Art. 77 DSGVO. Immer wieder zeigt sich jedoch, dass dieses Instrument missverstanden oder strategisch eingesetzt wird, ohne einen konkreten Sachverhalt zu benennen. Genau an diesem Punkt setzt eine aktuelle Entscheidung des Verwaltungsgerichts Berlin an.

Das VG Berlin hat mit Urteil vom 11.11.2025 (Az.: 1 K 525/23) klargestellt, dass eine pauschale Eingabe ohne hinreichend konkretisierten Einzelfall keinen durchsetzbaren Anspruch auf sofortige Eröffnung und Durchführung eines förmlichen Beschwerdeverfahrens begründet. Im entschiedenen Fall scheiterte die Klage insbesondere am fehlenden Rechtsschutzbedürfnis, weil die Behörde die Prüfung nach kurzfristiger Nachreichung konkreter Angaben verbindlich in Aussicht gestellt hatte. Die Entscheidung schafft wichtige Klarheit für Datenschutzbehörden, Unternehmen und Beschwerdeführer gleichermaßen und konkretisiert die Anforderungen an die Substantiierung einer Beschwerde sowie an die gerichtliche Durchsetzbarkeit eines behördlichen Tätigwerdens.

Das Beschwerderecht nach Art. 77 DSGVO – rechtlicher Hintergrund

Die DSGVO räumt betroffenen Personen das Recht ein, sich bei einer Aufsichtsbehörde zu beschweren, wenn sie der Ansicht sind, dass die Verarbeitung ihrer personenbezogenen Daten gegen datenschutzrechtliche Vorgaben verstößt. Dieses Recht ist ein zentrales Element der Durchsetzung des Datenschutzrechts.

Dabei ist jedoch zu berücksichtigen, dass das Beschwerderecht kein abstraktes Kontrollinstrument darstellt. Es ist primär ein Instrument zur Durchsetzung individueller Datenschutzrechte im Zusammenhang mit einer konkreten Datenverarbeitung. Unabhängig davon können Aufsichtsbehörden Hinweise selbstverständlich auch von Amts wegen zum Anlass nehmen, allgemeine Prüfungen anzustoßen – ein Anspruch, dies ohne Einzelfallbezug über das Beschwerdeverfahren zu erzwingen, folgt daraus jedoch nicht.

Eine Beschwerde sollte daher zumindest enthalten:

• eine nachvollziehbare Schilderung eines konkreten Vorgangs (Einzelfall)
• einen erkennbaren Bezug zu einer Datenverarbeitung, die eine betroffene Person betrifft (ggf. auch über Vertretung/Beauftragung)
• Tatsachenangaben, die der Behörde eine erste Plausibilitäts- und Zuständigkeitsprüfung ermöglichen

Fehlen diese Mindestangaben, stößt auch das Beschwerderecht an seine Grenzen.

Der Sachverhalt vor dem VG Berlin

Dem Urteil des VG Berlin lag ein ungewöhnlicher, gleichwohl praxisrelevanter Sachverhalt zugrunde. Kläger war ein seit vielen Jahren freiberuflich tätiger Berater, der unter anderem im Bereich IT-Sicherheit und Datenschutz tätig war und sich selbst als „Experte“ bezeichnete. Zusätzlich betrieb er einen eigenen Online-Blog.

Der Kläger wandte sich per E-Mail an mehrere Datenschutzbehörden und rügte allgemein, dass E-Mails häufig ohne Transportverschlüsselung versendet würden. Zur Begründung verwies er lediglich auf einen eigenen Blogbeitrag.

Was jedoch fehlte, waren konkrete Angaben:

• kein benanntes Unternehmen
• keine konkret versendete E-Mail
• kein persönlicher Bezug oder eigene Betroffenheit
• kein bestimmter Zeitpunkt oder Einzelfall

Gleichwohl verlangte der Kläger vom Berliner Datenschutzbeauftragten eine Eingangsbestätigung und die Vergabe eines Aktenzeichens. Als eine entsprechende Reaktion ausblieb, erhob er Klage auf Verpflichtung der Aufsichtsbehörde, ein Beschwerdeverfahren zu eröffnen und zu betreiben (im Zusammenspiel von Art. 77 DSGVO mit den Aufgaben der Aufsichtsbehörde nach Art. 57 Abs. 1 Buchst. f DSGVO).

Entscheidung des VG Berlin: Klage als unzulässig abgewiesen

Das Verwaltungsgericht Berlin wies die Klage als unzulässig ab. Ausschlaggebend war das fehlende Rechtsschutzbedürfnis des Klägers: In der mündlichen Verhandlung stellte die Behörde verbindlich in Aussicht, die Eingabe nach kurzfristiger Konkretisierung zu prüfen, sodass eine gerichtliche Entscheidung dem Kläger keinen zusätzlichen Nutzen mehr verschafft hätte.

In der mündlichen Verhandlung hatte die Datenschutzbehörde erklärt, dass sie bereit sei, die Eingabe zu prüfen, sobald der Kläger einen konkreten Sachverhalt benenne. Insbesondere sei erforderlich, dass:

• eine bestimmte, unverschlüsselt versendete E-Mail
• ein konkreter Verantwortlicher
• ein nachvollziehbarer Datenschutzverstoß

angegeben würden.

Damit war der Kläger nach Auffassung des Gerichts bereits „klaglos gestellt“: Die Behörde hatte die begehrte Verfahrensbearbeitung – zeitlich gestaffelt nach Nachlieferung konkreter Angaben – verbindlich zugesagt. Eine gerichtliche Entscheidung hätte keinen weitergehenden Nutzen gehabt.

Das VG Berlin stellte klar, dass die ursprüngliche E-Mail des Klägers zu allgemein gewesen sei und keinerlei konkrete Hinweise auf einen Datenschutzverstoß im Einzelfall enthalten habe. Eine Datenschutzbeschwerde müsse jedoch zumindest grob aufzeigen, worin der behauptete Verstoß liege.

Besonders deutlich wird dies in der Begründung des Gerichts, wonach der Kläger durch die Zusage der Behörde, bei Nachreichung konkreter Angaben tätig zu werden, bereits klaglos gestellt worden sei. Das erforderliche Rechtsschutzbedürfnis sei damit entfallen.

Keine abstrakten Datenschutzkontrollen durch Beschwerden

Die Entscheidung des VG Berlin macht unmissverständlich deutlich, dass Datenschutzbeschwerden nicht dazu dienen, allgemeine Missstände oder theoretische Risiken ohne konkreten Anlass überprüfen zu lassen.

Eine DSGVO-Beschwerde ist kein Ersatz für:

• wissenschaftliche oder journalistische Analysen
• politische oder rechtspolitische Kritik
• allgemeine Hinweise auf mögliche Sicherheitslücken

Vielmehr verlangt das Beschwerderecht einen individuellen Bezug und einen konkreten Prüfungsgegenstand.

Anforderungen an eine zulässige DSGVO-Beschwerde

Aus der Entscheidung lassen sich klare Mindestanforderungen ableiten, die Beschwerdeführer beachten sollten. Eine zulässige DSGVO-Beschwerde sollte insbesondere enthalten:

• eine nachvollziehbare Darstellung des konkreten Sachverhalts
• die Benennung des Verantwortlichen oder zumindest dessen eindeutige Bestimmbarkeit
• eine Beschreibung, welche datenschutzrechtliche Pflicht verletzt sein soll
• einen erkennbaren Bezug zur eigenen Betroffenheit oder zu einem bestimmten Vorgang

Zwar müssen keine juristisch ausgefeilten Ausführungen gemacht werden, reine Pauschalbehauptungen reichen jedoch nicht aus.

Bedeutung der Entscheidung für Datenschutzbehörden

Für Datenschutzbehörden bedeutet das Urteil eine spürbare Entlastung. Sie sind nicht verpflichtet, auf bloße allgemeine Hinweise ohne Substanz sofort förmliche Beschwerdeverfahren einzuleiten.

Gleichzeitig bleibt es den Behörden unbenommen, Hinweise aufzugreifen, wenn diese ausreichend konkretisiert werden. Das VG Berlin betont damit auch den kooperativen Charakter des Beschwerdeverfahrens.

Auswirkungen für Unternehmen und Verantwortliche

Für Unternehmen und andere Verantwortliche ist die Entscheidung von erheblicher praktischer Bedeutung. Sie reduziert das Risiko, allein aufgrund pauschaler oder abstrakter Beschwerden in aufwendige Prüfverfahren verwickelt zu werden.

Gleichwohl sollte das Urteil nicht als Freibrief verstanden werden. Liegen konkrete Hinweise vor, bleibt die Aufsichtsbehörde weiterhin verpflichtet, tätig zu werden.

Unternehmen sollten daher weiterhin darauf achten:

• datenschutzrechtliche Mindeststandards einzuhalten
• technische und organisatorische Maßnahmen angemessen umzusetzen
• auf konkrete Beschwerden sachlich und strukturiert zu reagieren

Einordnung und Bewertung

Das Urteil des VG Berlin sorgt für eine ausgewogene Balance zwischen effektivem Datenschutz und dem Schutz vor missbräuchlicher Inanspruchnahme des Beschwerderechts. Es verdeutlicht, dass die DSGVO kein Instrument zur abstrakten Kontrolle ohne Einzelfallbezug ist.

Zugleich bleibt das Beschwerderecht ein starkes Werkzeug für Betroffene, sofern es zielgerichtet und sachlich eingesetzt wird. Wer konkrete Datenschutzverstöße erlebt, kann und sollte weiterhin den Weg über die Aufsichtsbehörden beschreiten.

Fazit: Konkrete Angaben sind unerlässlich

Die Entscheidung des VG Berlin zeigt deutlich, dass pauschale Eingaben ohne hinreichend konkretisierten Einzelfall nicht ausreichen, um ein förmliches Beschwerdeverfahren gerichtlich zu erzwingen. Wer eine behördliche Prüfung erreichen will, sollte den Sachverhalt so beschreiben, dass Zuständigkeit, Verantwortlicher und behaupteter Verstoß zumindest im Ansatz überprüfbar sind. Pauschale Hinweise, allgemeine Blogverweise oder abstrakte Risiken genügen nicht, um ein Beschwerdeverfahren zu erzwingen.