VG Wiesbaden, Beschluss vom 03.09.2021, Az. 6 K 2132/19.WI.A

Der Kläger wendet sich vorliegend gegen einen ablehnenden Bescheid des [X.] und begehrt die Zuerkennung der Flüchtlingseigenschaft nach § 3 [X.]. Dem Bescheid der [X.]n liegt die sogenannte elektronische [X.]amtsakte [X.] zugrunde, welche auch im Rahmen eines gemeinsamen Verfahrens nach Art. 26 dem Gericht über das Elektronische Gerichts- und Verwaltungspostfach ([X.]VP) übermittelt wird. Bezüglich der Fragen zur vollständigen Aktenübermittlung wird auf die dem [X.] bereits vorgelegten Fragen ([X.], [X.]. [X.]/21; [X.], Beschluss vom [X.], [X.]. 6 L 582/21.WI.A) Bezug genommen.

Vorliegend bestehen Zweifel, ob ein Verzeichnis der Verarbeitungstätigkeiten überhaupt bzw. vollständig bezüglich der sogenannten elektronischen [X.]-Akte bei der [X.]n vorliegt. Auch existiert keine Vereinbarung bzw. gesetzliche Regelung bezüglich des Verfahrens zur elektronischen Aktenübermittlung und der Bestimmung der Verantwortlichkeiten in diesem Verfahren. Diese Unterlagen wurden von dem Gericht im Laufe des Verfahrens angefordert. Die [X.] hat die Vorlage jedoch verweigert, unter anderem da hinsichtlich des [X.]VP eine Vereinbarung nach Art. 26 DS-G[X.] nicht vorliege.

Es stellt sich somit die Frage, wie zumindest in Falle einer (formellen) Rechtswidrigkeit der Verarbeitung der personenbezogenen Daten des [X.] bei der [X.]n durch das Gericht umzugehen ist. Denn nach der Richtlinie 2013/32/[X.] des [X.] und des [X.] ([X.] [X.] vom 29.6.2013, [X.]) findet bei Asylverfahren nach nationalem Recht die DS-G[X.] Anwendung. Weder das Asylgesetz ([X.]), noch die Verfahrensordnung (VwGO) enthalten dazu Aussagen.

1. Charta der Grundrechte der Europäischen [X.] ([X.])
Artikel 7 [X.]
Achtung des Privat- und Familienlebens
Jede Person hat das Recht auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung sowie ihrer Kommunikation.
Artikel 8 [X.]
Schutz personenbezogener Daten
(1) Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.
(2) Diese Daten dürfen nur nach [X.] und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken.
(3) Die Einhaltung dieser Vorschriften wird von einer unabhängigen Stelle überwacht.

2. Verordnung ([X.]) 2016/679 des [X.] und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/[X.] ([X.] – DS-G[X.]; [X.] [X.] vom [X.], [X.], [X.] 1)
Erwägungsgrund 82
Zum Nachweis der Einhaltung dieser Verordnung sollte der Verantwortliche oder der Auftragsverarbeiter ein Verzeichnis der Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen, führen. Jeder Verantwortliche und jeder Auftragsverarbeiter sollte verpflichtet sein, mit der Aufsichtsbehörde zusammenzuarbeiten und dieser auf Anfrage das entsprechende Verzeichnis vorzulegen, damit die betreffenden Verarbeitungsvorgänge anhand dieser Verzeichnisse kontrolliert werden können.

Artikel 5 DS-G[X.]
Grundsätze für die Verarbeitung personenbezogener Daten

(1) Personenbezogene Daten müssen
a) auf rechtmäßige Weise, nach [X.] und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach [X.] und Glauben, Transparenz“);
b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz [X.] als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);
c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);
d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);
e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“);
f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“).
(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).

Artikel 9 DS-G[X.]
Verarbeitung besonderer Kategorien personenbezogener Daten
(1) Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.
(2) Absatz 1 gilt nicht in folgenden Fällen:
a) Die betroffene Person hat in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt, es sei denn, nach [X.]srecht oder dem Recht der Mitgliedstaaten kann das Verbot nach Absatz 1 durch die Einwilligung der betroffenen Person nicht aufgehoben werden,
b) die Verarbeitung ist erforderlich, damit der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann, soweit dies nach [X.]srecht oder dem Recht der Mitgliedstaaten oder einer Kollektivvereinbarung nach dem Recht der Mitgliedstaaten, das geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person vorsieht, zulässig ist,
c) die Verarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich und die betroffene Person ist aus körperlichen oder rechtlichen Gründen außerstande, ihre Einwilligung zu geben,
d) die Verarbeitung erfolgt auf der Grundlage geeigneter Garantien durch eine poli-tisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder sonstige Organisation ohne Gewinnerzielungsabsicht im Rahmen ihrer rechtmäßigen Tätigkeiten und unter der Voraussetzung, dass sich die Verarbeitung ausschließlich auf die Mitglieder oder ehemalige Mitglieder der Organisation oder auf Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßige Kontakte mit ihr unterhalten, bezieht und die personenbezogenen Daten nicht ohne Einwilligung der betroffenen Personen nach außen offengelegt werden,
e) die Verarbeitung bezieht sich auf personenbezogene Daten, die die betroffene Person offensichtlich öffentlich gemacht hat,
f) die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder bei Handlungen der Gerichte im Rahmen ihrer justiziellen Tätigkeit erforderlich,
g) die Verarbeitung ist auf der Grundlage des [X.]srechts oder des Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, aus Gründen eines erheblichen öffentlichen Interesses erforderlich,
h) die Verarbeitung ist für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage des [X.]srechts oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs und vorbehaltlich der in Absatz 3 genannten Bedingungen und Garantien erforderlich,
i) die Verarbeitung ist aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten, auf der Grundlage des [X.]srechts oder des Rechts eines Mitgliedstaats, das angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person, insbesondere des Berufsgeheimnisses, vorsieht, erforderlich, oder
j) die Verarbeitung ist auf der Grundlage des [X.]srechts oder des Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 erforderlich.
(3) Die in Absatz 1 genannten personenbezogenen Daten dürfen zu den in Absatz 2 Buchstabe h genannten Zwecken verarbeitet werden, wenn diese Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal nach dem [X.]srecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen dem Berufsgeheimnis unterliegt, oder wenn die Verarbeitung durch eine andere Person erfolgt, die ebenfalls nach dem [X.]srecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen einer Geheimhaltungspflicht unterliegt.
(4) Die Mitgliedstaaten können zusätzliche Bedingungen, einschließlich Beschränkungen, einführen oder aufrechterhalten, soweit die Verarbeitung von genetischen, biometrischen oder Gesundheitsdaten betroffen ist.

Artikel 17 DS-G[X.]
Recht auf Löschung („Recht auf Vergessenwerden“)
(1) Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:
a) Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
b) Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
c) Die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Artikel 21 Absatz 2 Widerspruch gegen die Verarbeitung ein.
d) Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
e) Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem [X.]srecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.
f) Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Artikel 8 Absatz 1 erhoben.
(2) Hat der Verantwortliche die personenbezogenen Daten öffentlich gemacht und ist er gemäß Absatz 1 zu deren Löschung verpflichtet, so trifft er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat.

Artikel 18 DS-G[X.]
Recht auf Einschränkung der Verarbeitung
(1) Die betroffene Person hat das Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn eine der folgenden Voraussetzungen gegeben ist:
a) die Richtigkeit der personenbezogenen Daten von der betroffenen Person bestritten wird, und zwar für eine Dauer, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen,
b) die Verarbeitung unrechtmäßig ist und die betroffene Person die Löschung der personenbezogenen Daten ablehnt und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangt;
c) der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, die betroffene Person sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt, oder
d) die betroffene Person Widerspruch gegen die Verarbeitung gemäß Artikel 21 Absatz 1 eingelegt hat, solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen.
(2) Wurde die Verarbeitung gemäß Absatz 1 eingeschränkt, so dürfen diese personenbezogenen Daten – von ihrer Speicherung abgesehen – nur mit Einwilligung der betroffenen Person oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der [X.] oder eines Mitgliedstaats verarbeitet werden.
(3) Eine betroffene Person, die eine Einschränkung der Verarbeitung gemäß Absatz 1 erwirkt hat, wird von dem Verantwortlichen unterrichtet, bevor die Einschränkung aufgehoben wird.

Artikel 26 DS-G[X.]
Gemeinsam Verantwortliche
(1) Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche. Sie legen in einer Vereinbarung in transparenter Form fest, wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Artikeln 13 und Artikel 14, sofern und soweit die jeweiligen Aufgaben der Verantwortlichen nicht durch Rechtsvorschriften der [X.] oder der Mitgliedstaaten, denen die Verantwortlichen unterliegen, festgelegt sind. In der Vereinbarung kann eine Anlaufstelle für die betroffenen Personen angegeben werden.
(2) Die Vereinbarung gemäß Absatz 1 muss die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen gebührend widerspiegeln. Das wesentliche der Vereinbarung wird der betroffenen Person zur Verfügung gestellt.
(3) Ungeachtet der Einzelheiten der Vereinbarung gemäß Absatz 1 kann die betroffene Person ihre Rechte im Rahmen dieser Verordnung bei und gegenüber jedem einzelnen der Verantwortlichen geltend machen.

Artikel 30 DS-G[X.]
Verzeichnis von Verarbeitungstätigkeiten
(1) Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Dieses Verzeichnis enthält sämtliche folgenden Angaben:
a) den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
b) die Zwecke der Verarbeitung;
c) eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
d) die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
e) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden [X.] oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1https://beck-online.beck.de/?typ=reference&y=100&a=49&g=EWG_DSG[X.]&x=1Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
f) wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
g) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.
(2) Jeder Auftragsverarbeiter und gegebenenfalls sein Vertreter führen ein Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung, das Folgendes enthält:
a) den Namen und die Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie gegebenenfalls des Vertreters des Verantwortlichen oder des Auftragsverarbeiters und eines etwaigen Datenschutzbeauftragten;
b) die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden;
c) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden [X.] oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
d) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz1.
(3) Das in den Absätzen 1 und 2 genannte Verzeichnis ist schriftlich zu führen, was auch in einem elektronischen Format erfolgen kann.
(4) Der Verantwortliche oder der Auftragsverarbeiter sowie gegebenenfalls der Vertreter des Verantwortlichen oder des Auftragsverarbeiters stellen der Aufsichtsbehörde das Verzeichnis auf Anfrage zur Verfügung.
(5) [X.] genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, es sei denn, die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10.

Artikel 94
Aufhebung der Richtlinie 95/46/[X.]
(1) Die Richtlinie 95/46/[X.] wird mit Wirkung vom 25. Mai 2018 aufgehoben.
(2) Verweise auf die aufgehobene Richtlinie gelten als Verweise auf die vorliegende Verordnung. Verweise auf die durch Artikel 29 der Richtlinie 95/46/[X.] eingesetzte Gruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten gelten als Verweise auf [X.] dieser Verordnung errichteten Europäischen Datenschutzausschuss.

3. [X.] 2013/32/[X.] DES [X.]ROPÄISCHEN PA[X.]AMENTS UND DES RATES vom 26. Juni 2013 zu gemeinsamen Verfahren für die Zuerkennung und Aberkennung des internationalen Schutzes ([X.] [X.] [X.] [X.])
Erwägungsgrund 52
Die Verarbeitung personenbezogener Daten in den Mitgliedstaaten gemäß dieser Richtlinie erfolgt nach Maßgabe der Richtlinie 95/46/[X.] des [X.] und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.

4. [X.]datenschutzgesetz BDSG (eigeführt durch Art. 1 des Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung ([X.]) 2016/679 und zur Umsetzung der Richtlinie ([X.]) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz [X.] – DSAnpUG-[X.] vom 30.06.2017, [X.]. I [X.] 2097 )
§ 43 Abs. 3 BDSG
Bußgeldvorschriften
…
(3) Gegen Behörden und sonstige öffentliche Stellen im Sinne des § 2 Absatz 1 werden keine Geldbußen verhängt.

Nach Erwägungsgrund 52 der Richtlinie 2013/32/[X.] erfolgt die Verarbeitung personenbezogener Daten bei Asylverfahren in den Mitgliedstaaten gemäß dieser Richtlinie nach Maßgabe der Richtlinie 95/46/[X.] des [X.] und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. Die Richtlinie 95/46/[X.] wurde mit Wirkung vom 25.05.2018 aufgehoben, Art. 94 Abs. 1 DS-G[X.]. Jedoch gelten Verweise auf die aufgehobene Richtlinie 95/46/[X.] als Verweise auf die vorliegende DS-G[X.], Art. 94 Abs. 1 DS-G[X.]. Mithin findet die DS-G[X.] auf Verfahren für die Zuerkennung des internationalen Schutzes vollständig Anwendung.

Bereits die Richtlinie 95/46/[X.] sah eine Dokumentation von automatisierten Verarbeitungen vor, die sog. Meldung, Art. 18 Richtlinie 95/46/[X.]. Der Inhalt der Meldung nach Art. 19 Richtlinie 95/46/[X.] entsprach im Wesentlichen dem nunmehrigen Art. 30 DS-G[X.], wobei sich die neue Norm auf alle Formen der Verarbeitung, also auch auf Dateisysteme, bezieht.

Unter der Geltung der Richtlinie 95/46/[X.] verfügte die [X.] nur über ein sehr rudimentäres Verarbeitungsverzeichnis als Meldung im Sinne der Richtlinie 95/46/[X.] (§ 4e BDSG alt) bezüglich der elektronischen [X.]-Akte. Besondere Regelungen zu dem Umgang von besonderen Kategorien personenbezogener Daten nach Art. 9 DS-G[X.] (Art. 8 Richtlinie 95/46/[X.]) enthielt das damalige Verarbeitungsverzeichnis (die Meldung) nicht. Solche besonderen Regelungen zu dem Umgang mit Daten nach Art. 9 und Art. 10 DS-G[X.] dürften auch bis heute nicht vorliegen. Denn Gesundheitsdaten, wie auch Religionsdaten werden ebenso wie strafrechtliche Verurteilungen, als sog. „normale Unterlagen“ allgemein in die elektronische [X.]-Akte aufgenommen. Ein besonderer Schutz der Datensicherheit ist nicht erkennbar, außer dass es wohl eine Zugriffsprotokollierung gibt. Allerdings kann die Akte eines Asylbewerbers von jedem Außenstandort der [X.]n in ganz [X.] ebenso eingesehen werden, wie von der Zentrale selbst.

Gerade im Hinblick auf die Aktenführung und die Vorlage der Akten bei Gericht hegt das Gericht erhebliche Zweifel daran, dass die [X.] die Vorgaben von Art. 5 Abs. 1 DS-G[X.] i.V.m. z.B. Art. 26 und 30 DS-G[X.] einhält. Entgegen der Auflage des Gerichts wurde das Verzeichnis der Verarbeitungstätigkeiten nicht vorgelegt. Es ist insoweit beabsichtigt, den Behördenleiter der verantwortlichen Stelle, also der [X.]n, im Hinblick auf seine Rechenschaftspflicht nach Art. 5 Abs. 2 DS-G[X.] nach der Entscheidung des [X.] anzuhören.

Vor einer Anhörung muss aber geklärt werden, ob das Unterlassen von Verpflichtungen nach der DS-G[X.] und eine damit einhergehende Rechtswidrigkeit der Datenverarbeitung zu einer Sanktion, wie dem Löschen der Daten nach Art. 17 Abs. 1 lit. d) DS-G[X.] oder einer Einschränkung der Verarbeitung nach Art. 18 Abs. 1 lit. b) DS-G[X.] führt. Dies zumindest dann, wenn die betroffene Person, hier der Kläger, dies verlangt. Denn andernfalls wäre das Gericht gezwungen, sich im Rahmen des gerichtlichen Verfahrens an einer rechtswidrigen Datenverarbeitung zu beteiligen. Die Behörde könnte ständig sanktionslos gegen die DS-G[X.] verstoßen.

In einem solchen Fall könnte nur die Aufsichtsbehörde nach Art. 58 DS-G[X.] tätig werden. Ein Erlass eines Bußgeldes gegen die Behörde käme jedoch nach dem nationalen Recht nicht in Betracht. Gemäß § 43 Abs. 3 BDSG - beruhend auf Art. 83 Abs. 7 DS-G[X.] - werden gegen Behörden und sonstige öffentliche Stellen keine Geldbußen verhängt. Es gäbe keinen Anreiz für die Behörde, sich rechtmäßig zu verhalten. Dies mit der Folge, dass die Vorgaben der [X.] 2013/32/[X.] ebenso wenig eingehalten würden, wie die DS-G[X.] selbst.

Der [X.] hat bereits entschieden, dass zum Zeitpunkt der Verarbeitung die „Meldung“ (heute das Verzeichnis der Verarbeitungstätigkeiten) vollständig vorliegen muss, jedoch nicht früher (Rechtssachen [X.]/09 und [X.], Urteil vom 09.11.2011, [X.]:[X.]:[X.], Rn. 95 ff.). Vorliegend erfolgt die Datenverarbeitung der personenbezogenen Daten des [X.] bereits seit dem Datum der Asylantragstellung am 07.05.2019 durch die [X.]. Damit müsste zumindest nach der Rechtsprechung des [X.] zum Zeitpunkt der Verarbeitung – also zum Zeitpunkt der Asylantragsstellung des [X.] - ein Verzeichnis der Verarbeitungstätigkeiten bezüglich der [X.]-Akte (und damit für Asylakte des [X.]) vollständig vorliegen, was aber nicht der Fall ist.

Was in diesem Fall gilt, hat der [X.] bisher weder nach der Richtlinie 95/46/[X.], noch nach der DS-G[X.] entschieden. Stellt man darauf ab, dass zum Nachweis der Einhaltung der DS-G[X.] der Verantwortliche oder der Auftragsverarbeiter ein Verzeichnis der Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen, führen soll (Erwägungsgrund 82 DS-G[X.]) stellt sich die Frage, welche Konsequenz sich aus dem Unterlassen der verantwortlichen Stelle ergibt. Denn dann kann der Rechenschaftspflicht nach Art. 5 DS-G[X.] nicht nachgekommen werden.

Zwar regelt Art. 83 Abs. 5 lit. a) DS-G[X.], dass ein Verstoß gegen die Rechenschaftspflicht nach Art. 5 DS-G[X.] mit Geldbußen von bis zu 20 000 000 [X.]R geahndet werden kann. Dies findet aber - wie bereits ausgeführt - auf [X.]behörden nach § 43 Abs. 3 [X.], keine Anwendung. Allerdings regelt Art. 17 Abs. 1 lit. d) DS-G[X.], dass unrechtmäßig verarbeitete Daten zumindest auf Verlangen der betroffenen Person zu löschen sind.

Das fehlende bzw. unvollständige Verzeichnis der Verarbeitungstätigkeiten führt zumindest im Lichte von Art. 5 DS-G[X.] zur Überzeugung des vorlegenden Gerichts zu einer „formellen“ Rechtswidrigkeit der Datenverarbeitung. Es stellt sich daher die Frage, ob in einem solchen Fall als Sanktionswirkung für ein Unterlassen nach Art. 5 DS-G[X.] i.V.m. Art. 30 DS-G[X.] nicht eine Löschung oder wenigstens Sperrung der Daten zu erfolgen hat. Denn andernfalls könnte, mangels einer möglichen Sanktion, eine wirksame Durchsetzung der DS-G[X.] nicht erfolgen.

Immerhin hatte - soweit bekannt - z.B. die [X.] unter der Geltung von Art. 18 ff. Richtlinie 95/46/[X.] im nationalen Recht geregelt, dass bei gerichtlichen Verfahren ein striktes gesetzliches Verwendungsverbot bezüglich derer personenbezogen Daten besteht, die nicht durch eine Meldung von der verantwortlichen Stelle an die Aufsichtsbehörde ([X.]) erfasst worden waren, da die Nutzung der Daten mangels Dokumentation rechtswidrig war. Damit erfolgte hier schon zumindest eine Sanktion dadurch, dass die Daten von dem Gericht nicht verarbeitet und verwendet werden durften. Unter der Geltung der DS-G[X.] soll auch in [X.] und bei anderen Mitgliedsstaaten das fehlende Verzeichnis der Verarbeitungstätigkeiten zu einem Verwertungsverbot führen. Ein Mechanismus, den es in der [X.]republik [X.] im Rahmen der Umsetzung der Richtlinie 95/46/[X.] und auch unter der Geltung der DS-G[X.] nicht gibt. Hier wurde vielmehr der Grundstein für eine „Duldung“ der fehlenden Meldung gelegt.

Auch die elektronische Übermittlung der Akte und der Schriftsätze des [X.] ist eine Datenverarbeitung i.[X.]v. Art. 4 Nr. 2 DS-G[X.], welche die Grundsätze der Datenverarbeitung nach Art. 5 DS-G[X.] zu beachten hat. Daher ergeben sich auch hier Zweifel an einer formellen Rechtmäßigkeit der Datenverarbeitung durch übermitteln, als für den Übertragungsweg der sogenannten elektronischen [X.]amtsakte, wie auch den Schriftsätzen der [X.]n. Auch hier fehlt es an einem Verzeichnis der Verarbeitungstätigkeiten und einer Regelung über die gemeinsame Verantwortlichkeit. Zwar existiert eine Verordnung über die technischen Rahmenbedingungen des elektronischen Rechtsverkehrs und über das besondere elektronische Behördenpostfach vom 24.11.2017 ([X.]. I [X.] 3803, geändert durch Artikel 6 des [X.], [X.]. I [X.] 4607). Sie regelt die Übermittlung elektronischer Dokumente an die Gerichte der Länder und des [X.]. Dabei können die obersten Behörden des [X.] oder der Landesregierungen für ihren Bereich bei öffentlich-rechtlichen Stellen die Identität der Behörden oder juristischen Personen des öffentlichen Rechts prüfen, um diese zum Besonderen elektronischen Behördenpostfach (sog. BeBPo) zuzulassen. Die obersten Behörden des [X.] oder mehrere Landesregierungen können auch eine öffentlich-rechtliche Stelle gemeinsam für ihre Bereiche bestimmen. Wer dies tatsächlich ist, wurde nicht geregelt. Letztendlich steht dahinter wohl die sogenannte [X.] der [X.] ([X.] in der Justiz ([X.]) Arbeitsgruppe IT-Standards in der Justiz). Welche Behörde oder Behörden für den Verzeichnisdienst des [X.]VP oder des BeBPos oder gar der notwendigen Serverstruktur verantwortlich zeichnet, ist nicht bekannt und nicht dokumentiert.

Auch sind keine entsprechenden gesetzlichen oder sonstigen schriftlichen Regelungen zwischen den Gerichten und Behörden, wie diese nach Art. 26 DS-G[X.] erforderlich wären, um die Verantwortlichkeiten zu regeln, vorhanden. Selbst in [X.]ländern, die nach ihrer Rechtsverordnung das Modell des gemeinsamen Verfahrens gewählt haben (z.B. [X.], [X.] über den elektronischen Rechtsverkehr bei [X.] Gerichten und Staatsanwaltschaften v. 26.10.2007 GVBl. I 699), fehlt es an einer entsprechenden datenschutzkonformen Umsetzung. In [X.] wird sogar in der [X.] geregelt, dass der elektronische Briefkasten ausschließlich auf den Servern des „[X.]“ der Justiz, also bei der [X.] ([X.]) geführt wird. Dabei ist die [X.] gerade nicht Teil der Justiz und allenfalls als [X.] ein Auftragsverarbeiter nach Art. 28 DS-G[X.].

Bekannt ist nur, dass faktisch das [X.] in [X.] als „[X.]“ für die Administration und den Betreib des zentralen, länderübergreifenden Registerserver [X.]A.F.E. zuständig sein soll. Derzeit stehen folgende Registrierungsclients zur Verfügung: [X.]VP-Client zur Anlage eines Postfaches für die [X.], [X.] für die Registrierung zur Nutzung des Zentralen Testamentsregisters der [X.]notarkammer, [X.] für die Registrierung zur Nutzung des [X.]. Die [X.] soll unveränderbar sein und nur einmal vergeben werden (s. dazu [X.] – http://www.egvp.de/Drittprodukte/[X.]_Abbildungsvorschrift
_[X.]_ID_Stand_Dez_2014.pdf). Daneben gibt es noch den Begriff der [X.]. Postfächer im [X.]VP werden durch eine eindeutige Identifikationsnummer ([X.]) bezeichnet. Die [X.] ist aus der Kennung „[X.]“ oder „govello“ sowie zweier Zahlenfolgen zusammengesetzt. Diese [X.] sollen in einem Verzeichnisdienst registriert sein, der wohl von [X.] ([X.]) gepflegt wird. Wer tatsächlich für die Vergabe der [X.] im [X.] verantwortlich zeichnet, ist nicht geregelt.

Auf welcher datenschutzrechtlichen Basis das [X.]VP erfolgt, ist nicht bekannt. Bezüglich der Anfrage nach einer Vereinbarung nach Art. 26 DS-G[X.] hat sich die [X.] geweigert, sich hierzu zu erklären und diese vorzulegen. Es ist insoweit auch fraglich, ob über das sogenannte besondere elektronische Behördenpostfach mangels der Bestimmung von Verantwortlichkeiten nach Art. 26 DS-G[X.] eine rechtmäßige Übermittlung erfolgen kann. Dies auch im Hinblick auf die Datensicherheit, da keines der Dokumente auf dem Übertragungsweg verschlüsselt ist.

So wird behauptet, dass das positive Recht es zurzeit nicht erfordere, dass das besondere elektronische Anwaltspostfach mit einer [X.] zu konzipieren und zu betreiben ist ([X.], Urteil vom [X.] – [X.] 6/18 –, Rn. 14 nach juris). Dafür, dass eine geforderte [X.] dem Stand der Technik entspräche und diese deshalb von der [X.]rechtsanwaltskammer verwendet werden müsste, bestünden keine Anhaltspunkte ([X.], Urteil vom 14. November 2019 – [X.] 6/18 –, Rn. 83nach juris). Solche werden auch nicht vorgegeben ([X.], Urteil vom 22.03.2021 – [X.] ([X.]) 2/20 –, [X.]Z 229, 172-213, Rn 88). Zumindest in [X.] besteht zwischen dem [X.], der [X.], und dem jeweiligen Gericht - also auch dem [X.] - keine Verschlüsselung der zu übermittelnden Nachrichten.

Hierauf kommt es vorliegend aber nicht an, denn das Verfahren entspricht einem Mailverfahren. Zu dem internetbasierten Gmail-Dienst hat der [X.] entscheiden, dass es sich um keinen Kommunikationsdienst handelt, da der Dienst keinen Internetzugang vermittele, der nicht ganz oder überwiegend in der Übertragung von Signalen über elektronische Kommunikationsnetze bestehe und daher kein „elektronischer Kommunikationsdienst“ ist (Urteil vom 13.06.2019, [X.]/18, [X.]:[X.]:[X.]). Damit handelt es sich bei dem [X.]VP um keinen Dienst, der unter die Richtlinie 2002/58/[X.] fällt (Art. 2 Abs. 4 DS-G[X.]). Mithin gilt die DS-G[X.] mit Folge, dass das [X.]VP und die angeschlossenen Verfahren in einem Verzeichnis der Verarbeitungstätigkeiten zu erfassen sind und die jeweilige Verantwortlichkeit als Verfahren mit vielen Verantwortlichen nach Art. 26 DS-G[X.] vereinbart werden muss. An beiden fehlt es vorliegend. Damit bestehen Zweifel an der Rechtmäßigkeit der Datenübermittlung.

Bei dem [X.]VP handelt es sich um ein Verfahren der Justizverwaltungen, die der zweiten Gewalt, der Exekutive, zuzuordnen sind und der [X.]n, die ebenfalls Teil der ausführenden Gewalt ist. Damit hat die [X.] zur Überzeugung des Gerichts dafür zu sorgen, dass das elektronische Verfahren zur Datenübermittlung von Schriftsätzen und Akten im Einklang mit der DS-G[X.] steht.

Für das Gericht stellt sich im Rahmen der justiziellen Tätigkeit daher die Frage, wie mit den über das [X.]VP-System über das sogenannte Behördenpostfach gelieferten Daten umzugehen ist, wenn das Verfahren des [X.]VP und die damit verbundene Datenverarbeitung als solche nicht der DS-G[X.] entspricht.

Zumindest das Gericht hat die DS-G[X.] im Rahmen der justiziellen Tätigkeit zu beachten und zu befolgen. Dabei hat der [X.] in dem Urteil vom 09.07. 2020 ([X.]/19 –, Rn 42 ff.; [X.]:[X.]:C:2020:535) ausdrücklich klargestellt, dass sich die Unabhängigkeit des nationalen Richters nur auf die persönliche Unabhängigkeit beschränke (Rn. 49) und nicht die Institution des Gerichtes als Ganzes einbezieht. Mithin die justizielle Tätigkeit nur im Rahmen der persönlichen Unabhängigkeit erfolgt.

Damit hat das vorlegende Gericht keinen Einfluss auf eine Rechtmäßigkeit der Datenverarbeitung der Justizverwaltung, da diese außerhalb der „[X.] Tätigkeit“ bei der zweiten Gewalt, der Exekutive, liegt. Das Gericht hat aber Europarecht zu beachten und einzuhalten. Wenn Verfahrensbeteiligte dagegen verstoßen, dürfte eine gerichtliche Datennutzung wohl nicht zulässig sein, da sich das Gericht ansonsten an einer rechtwidrigen Datenverarbeitung beteiligt. Im vorliegenden Fall kommt hierbei verschärfend hinzu, dass die [X.] angesichts des bisherigen Schriftverkehrs wohl (bewusst) gegen europarechtliche Vorgaben verstößt.

Es liegt auch kein Fall vor, der eine gerichtliche Nutzung über Art. 17 Abs. 3 lit. e) DS-G[X.] zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen durch die [X.] rechtfertigen würde. Zwar dienen die Daten dem [X.]n zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der [X.] oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt, oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde, Art. 17 Abs. 3 lit. b) DS-G[X.]. Damit wäre aber zugleich [X.] auf Dauer legalisiert.

Mithin sind die vorgelegten Fragen von besonderer Bedeutung, wenn es um die Umsetzung der DS-G[X.] im gerichtlichen Verfahren geht. Das Ziel nach Art. 1 Abs. 2 DS-G[X.], die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten zu fördern, würde konterkariert.

Insoweit dürfte es wenigstens für den Fall, dass die Frage 1 verneint wird, der Disposition der betroffenen Person oder besser der ausdrücklichen Zustimmung der betroffenen Person - hier des [X.] - bedürfen, dass seine Daten trotz formeller rechtswidriger Verarbeitung im gerichtlichen Verfahren genutzt werden dürfen.

Dies hätte allerdings auch zur Folge, dass im Falle einer Verweigerung die bei dem [X.]n verarbeiteten Daten, die diese in Form der sogenannten elektronischen [X.]-Behördenakte vorlegt, von dem Gericht nicht verarbeitet (verwendet) werden dürften. Dies hätte weiter zur Folge, dass eine Entscheidungsgrundlage bis zur Nachholung der Dokumentationspflichten nicht mehr bestünde. Der Ausgangsbescheid des [X.]n müsste immer aufgehoben werden. Eine Entscheidung über den geltend gemachten Asyl-Status wäre bis zur Nachholung der Dokumentationspflichten nicht möglich.

Der Beschluss ist unanfechtbar.