B 6 K 23.133

Leitsatz: 1. Auch unter Berücksichtigung der Bedeutung des Auskunftsrechts nach Art. 15 DS-GVO würden durch die Preisgabe der personenbezogenen Daten einer natürlichen Person als Hinweisgeber dessen Rechte aus Art. 7 Abs. 1 und 8 GRCh in einem Ausmaß beeinträchtigt, das die Rechtsbeeinträchtigung des Betroffenen überwiegt. (Rn. 35) (redaktioneller Leitsatz) 2. Das Interesse des Hinweisgebers an der Geheimhaltung seiner Identität hat regelmäßig dann zurückzutreten, wenn er wider besseres Wissen oder leichtfertig unrichtige Angaben zu personenbezogenen Daten der betroffenen Person gemacht hat. (Rn. 39) (redaktioneller Leitsatz) 3. Das hinweisgebende Unternehmen ist hingegen vor einem Auskunftsanspruch nicht in gleicher geschützt. (Rn. 44 und 47) (redaktioneller Leitsatz) 1. Der Beklagte wird verpflichtet, der Klägerin Auskunft über das Unternehmen zu erteilen, unter dessen Firmierung im Rahmen der E-Mail mit Zeitstempel …, … diverse Verstöße der Klägerin gegen medizinprodukterechtliche Vorschriften behauptet worden sind. Der Bescheid der Regierung von … vom 17.01.2023 wird aufgehoben, soweit er dieser Verpflichtung entgegensteht. Im Übrigen wird die Klage abgewiesen. Der jeweilige Vollstreckungsschuldner kann die Vollstreckung durch Sicherheitsleistung in Höhe von 110% des aus dem Urteil gegen ihn vollstreckbaren Betrages abwenden, wenn nicht der jeweilige Vollstreckungsgläubiger vor der Vollstreckung Sicherheit in Höhe von 110% des jeweils zu vollstreckenden Betrages leistet. I. Die zulässige Klage hat hinsichtlich des Hilfsantrags Erfolg. Statthafte Klageart für die gerichtliche Geltendmachung eines gegen eine Behörde gerichteten Auskunftsanspruchs aus Art. 15 Abs. 1 DSGVO ist die Verpflichtungsklage (vgl. BVerwG, U.v. 16.9.2020 – 6 C 10/19 – juris Rn. 12; OVG Hamburg, U.v. 8.2.2018 – 3 Bf 107/17 – NordÖR 2018, 336f.). Denn bei der Entscheidung über einen datenschutzrechtlichen Auskunftsanspruch durch eine Behörde handelt es sich um einen Verwaltungsakt. Der Erteilung der Auskunft geht eine behördliche Entscheidung voraus, die auf der Grundlage eines gesetzlichen Prüfprogramms (vgl. Art. 15 Abs. 4 DSGVO) zu treffen ist und bei der die Behörde besondere verfahrensrechtliche Vorkehrungen wie Begründungs- oder Anhörungspflichten zu beachten hat. Daher geht der Auskunftserteilung durch eine Behörde auf der Grundlage des Art. 15 Abs. 1 DSGVO stets eine Prüfung möglicher Ausschluss- und Beschränkungstatbestände voraus (vgl. BVerwG, U.v. 16.9.2020 – 6 C 10/19 – juris Rn. 12 unter Verweis auf BVerwG, U.v. 28.11.2007 – 6 A 2.07 – BVerwGE 130, 29 Rn. 13; U.v. 24.3.2010 – 6 A 2.09 – Buchholz 402.71 BNDG Nr. 2 Rn. 25). 1. Die Klägerin hat keinen Anspruch auf Auskunft über die Identität der im Rahmen der Hinweisgeber-E-Mail genannten natürlichen Person aus Art. 15 Abs. 1 Halbsatz 2 lit. g DSGVO. Gemäß Art. 15 Abs. 1 Halbsatz 1 DSGVO hat die betroffene Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Ist dies der Fall, hat sie gemäß Halbsatz 2 ein Recht auf Auskunft über diese Daten und gemäß Halbsatz 2 lit. g ein Recht auf alle verfügbaren Informationen über die Herkunft der Daten, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden. a) Zwar ist die DSGVO vorliegend anwendbar. aa) Ihr sachlicher Anwendungsbereich ist eröffnet. Gemäß Art. 2 Abs. 1 DSGVO gilt diese Verordnung für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Nach Art. 4 Nr. 6 DSGVO bezeichnet „Dateisystem“ jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird. Der Beklagte speichert ausweislich der von ihm der Klägerin bereits erteilten Auskünfte personenbezogene Daten der Klägerin. Er ist „Verantwortlicher“ im Sinne von Art. 4 Nr. 7 Halbsatz 1 DSGVO und damit gemäß Art. 15 Abs. 1 DSGVO grundsätzlich auskunftspflichtig. Zudem stehen vorliegend personenbezogene Daten der Klägerin in Rede. Personenbezogene Daten sind nach Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. Nach dieser Definition und der Rechtsprechung des EuGH ist der Begriff weit zu verstehen. Er ist nicht auf sensible oder private Informationen beschränkt, sondern umfasst potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur in Form von Stellungnahmen oder Beurteilungen, unter der Voraussetzung, dass es sich um Informationen über die in Rede stehende Person handelt. Die letztgenannte Voraussetzung ist erfüllt, wenn die Information aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft ist (vgl. BGH, U.v. 22.2.2022 – VI ZR 14/21 – juris Rn. 11; U.v. 15.6.2021 – VI ZR 576/19 – WM 2021, 1376 Rn. 22 m.w.N.; EuGH, U.v. 20.12.2017 – Rs. C-434/16 – NJW 2018, 767 Rn. 33ff. noch zu Art. 2 lit. a der RL 95/46/EG). Bei dem seitens des Hinweisgebers mit E-Mail vom … angegebenen Hyperlink des klägerischen Webshops handelt es sich um ein personenbezogenes Datum i.S.v. Art. 4 Nr. 1 DSGVO, da die Klägerin über den im Impressum der Website vollständig angegebenen Namen samt Adresse identifizierbar wird bzw. identifiziert werden kann. Überdies teilt der Hinweisgeber mit, dass die Klägerin „diverse Medizinprodukte der Klasse I über verschiedenste Absatzkanäle (B2B, Shops, Amazon, Webshop, …) ohne jegliche Zertifizierung“ vertreibe, es sich bei den Produkten um „Zubehör (Sticker, Fixierungen, …) für CGM Sensoren (Glukosesensoren)“ handele und die „vorgeschriebenen Kennzeichnungen auf der Verpackung (CE, Hersteller, Importeur, Bevollmächtigter)“ fehlten. Auch insoweit handelt es sich durch den hergestellten Bezug zur klägerischen Website und der damit gegebenen Identifizierbarkeit der Klägerin um personenbezogene Daten. Die vorstehenden personenbezogenen Daten hat der Beklagte sodann verwendet, indem er ein medizinprodukte-rechtliches Aufsichtsverfahren gegenüber der Klägerin als Betreiberin des Webshops einleitete. Spätestens damit hat er die Daten im Sinne von Art. 4 Nr. 2 DSGVO verarbeitet. bb) Auch ist die Anwendung der DSGVO vorliegend nicht durch Art. 2 lit. d DSGVO ausgeschlossen. Demnach findet die DSGVO keine Anwendung auf die Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit. Für die Verarbeitung dieser personenbezogenen Daten gelten die Vorgaben der RL 2016/680/EU (JI-RL), die im achten Kapitel des BayDSG (Art. 28 bis 37) umgesetzt wurden. Nach Art. 28 Abs. 1 Satz 1 BayDSG greifen die vorgenannten Vorschriften, soweit nichts anderes bestimmt ist, für die Verarbeitung personenbezogener Daten durch (1.) die Polizei, (2.) die Gerichte in Strafsachen und die Staatsanwaltschaften, (3.) die Strafvollstreckungs- und Justizvollzugsbehörden, (4.) die Behörden des Maßregelvollzugs zum Zwecke der Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit. Nach Satz 2 gelten die Vorschriften des achten Kapitels auch für sonstige Behörden im Sinne des Art. 1 Abs. 1 Satz 1 BayDSG, soweit diese personenbezogenen Daten verarbeiten, um Straftaten oder Ordnungswidrigkeiten zu verfolgen und zu ahnden. Mithin könnte auch die hier tätig gewordene Regierung von … nach Art. 28 Abs. 1 Satz 2 BayDSG grundsätzlich als zuständige Behörde i.S.v. Art. 2 Abs. 2 lit. d DSGVO angesehen werden. Allerdings ist sie bei der Verarbeitung der personenbezogenen Daten der Klägerin nicht zur „Verfolgung oder Ahndung einer Ordnungswidrigkeit“ tätig geworden. Vielmehr hat sie auf den Hinweis hin lediglich ein „medizinprodukte-rechtliches Aufsichtsverfahren“ eingeleitet. Die Möglichkeit, dass das eingeleitete Verwaltungsverfahren gegebenenfalls in ein Straf- oder Ordnungswidrigkeitenverfahren übergehen kann, ist für den Ausschluss der Anwendung der DSGVO nach Art. 2 Abs. 2 lit. d nicht ausreichend (vgl. Bäcker in: BeckOK Datenschutzrecht, Wolff/Brink/v. Ungern-Sternberg, 46. Edition, Stand: 01.08.2023, Art. 2 DSGVO, Rn. 26; zu der Vorgängerregelung in Art. 3 Abs. 2 DSRL: EuGH, U.v. 27.9.2017 – Rs. C-73/16 – BeckRS 2017, 126269 Rn. 40; ähnlich EuGH, U.v. 24.2.2022 – Rs. C-175/20 – EuZW 2022, 527/529). Auch führt der Umstand, dass die Regierung von … durch Einleitung des Verwaltungsverfahrens gegenüber der Klägerin zum Schutz vor Gefahren für die öffentliche Sicherheit tätig geworden ist, nicht zum Eingreifen des Ausschlusstatbestands des Art. 2 Abs. 2 lit. d DSGVO. Denn bei ihr handelt es sich nicht um eine Behörde, die spezifisch zur Bekämpfung von Straftaten berufen ist und die daneben eine weitere Aufgabe zum Schutz der öffentlichen Sicherheit wahrzunehmen hat. Nur im letzteren Fall würde es sich um eine zuständige Behörde i.S.v. Art. 3 Nr. 7 JI-RL handeln, deren Datenverarbeitungen in den Anwendungsbereich dieser Richtlinie fallen könnten. Nicht erfasst werden somit allgemeine Ordnungsbehörden sowie Sonderordnungsbehörden, auch wenn diese Behörden durchaus zur Kriminalprävention beitragen. Diese Behörden fallen nur insoweit unter den Ausnahmetatbestand in Art. 2 Abs. 2 lit. d DSGVO, als sie Ordnungswidrigkeiten repressiv verfolgen und ahnden (Bäcker in: BeckOK Datenschutzrecht, Wolff/Brink/v. Ungern-Sternberg, 46. Edition, Stand: 01.08.2023, Art. 2 DSGVO, Rn. 29; Hornung/Schindler/Schneider, ZIS 2018, 566/572; BayVGH, U.v. 30.5.2023 – 5 BV 20.2104 – juris Rn. 24ff.), was vorliegend nicht der Fall war. b) Darüber hinaus liegt auch die weitere Voraussetzung für einen klägerischen Auskunftsanspruch nach Art. 15 Abs. 1 Halbsatz 2 lit. g DSGVO vor, da die Daten nicht direkt bei der Klägerin erhoben wurden. Dies ist für das Bestehen eines Auskunftsrechts über die Herkunft der Daten erforderlich, da anderenfalls die betroffene Person über die Herkunft Bescheid wüsste. Dass die Daten ohne Aufforderung des Beklagten durch einen Dritten an diesen herangetragen wurden, der Beklagte sich die Daten also nicht aktiv von diesem beschafft hat, ist für das Auskunftsrecht über die Herkunft der Daten ohne Belang. Wie für die Informationspflicht des Verantwortlichen gemäß Art. 14 Abs. 1 DSGVO für den Fall, dass „die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden“, genügt es auch für die Auskunftspflicht gemäß Art. 15 Abs. 1 Halbsatz 2 lit. g DSGVO, dass der Verantwortliche die von Dritten – auch Privatpersonen – auf deren eigene Initiative spontan übermittelten Daten verarbeitet hat. Eine andere – restriktive – Sichtweise ist weder durch den Wortlaut veranlasst noch wäre sie mit dem Sinn und Zweck des Auskunftsrechts vereinbar (BGH, U.v. 22.2.2022 – VI ZR 14/21 – juris Rn. 13 m.w.N.). c) Überdies ist der Auskunftsanspruch der Klägerin vorliegend nicht durch Art. 10 Abs. 2 Nrn. 1 und 2 BayDSG, welcher von der Öffnungsklausel des Art. 23 Abs. 1 lit. a bis e sowie g bis h DSGVO Gebrauch macht, eingeschränkt. Nach Art. 10 Abs. 2 Nrn. 1 und 2 BayDSG unterbleibt die Auskunft, soweit die Auskunft die ordnungsgemäße Erfüllung von Aufgaben der Gefahrenabwehr oder die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten, Ordnungswidrigkeiten oder berufsrechtlichen Vergehen oder die Strafvollstreckung gefährden würde (Nr. 1) oder die Auskunft die öffentliche Sicherheit und Ordnung, die Landesverteidigung oder ein wichtiges wirtschaftliches oder finanzielles Interesse des Freistaates Bayern, eines anderen Landes, des Bundes oder der Europäischen Union – einschließlich Währungs-, Haushalts- und Steuerangelegenheiten – gefährden würde (Nr. 2). Art. 10 Abs. 2 Nrn. 1 und 2 BayDSG erfordern als zentrale Voraussetzung eine Gefährdungsprognose. Da personenbezogene Daten nicht „von selbst“ die Erfüllung der in Art. 10 Abs. 2 Nr. 1 BayDSG genannten Aufgaben oder die Durchsetzung der in Art. 10 Abs. 2 Nr. 2 BayDSG zusammengefassten Interessen gefährden können, sondern nur, wenn sie „in falsche Hände“ geraten, ist bei der Gefährdungsprognose zu beurteilen, ob die betroffene Person bei Erteilung der Auskunft die erlangten Informationen voraussichtlich zu Maßnahmen nutzen wird, welche die Aufgabenerfüllung (Art. 10 Abs. 2 Nr. 1 BayDSG) oder Interessendurchsetzung (Art. 10 Abs. 2 Nr. 2 BayDSG) erschweren werden. Jedoch sollte nur eine „realistische Aussicht auf hinreichend wichtige Nachteile“ ein Anspruchshindernis begründen, denn im Gegensatz zu § 34 Abs. 1 Nr. 1 i.V.m. § 33 Abs. 1 Nr. 1 BDSG sieht weder Art. 10 Abs. 2 Nr. 1 noch Nr. 2 BayDSG eine Abwägung zwischen dem Informationsinteresse der Auskunft begehrenden betroffenen Person einerseits und dem Vertraulichkeitsinteresse der staatlichen Stelle andererseits vor (Seidl in: Schröder, Bayerischen Datenschutzgesetz, 1. Auflage 2021, Art. 10 BayDSG, Rn. 20). Vorliegend bestehen aber keinerlei Anhaltspunkte dafür, dass die Klägerin die mit dem geltend gemachten Auskunftsanspruch begehrten Informationen zu Maßnahmen nutzen wird, welche die Aufgabenerfüllung oder Interessendurchsetzung der Behörde erschweren werden, zumal das gegenüber der Klägerin eingeleitete Aufsichtsverfahren inzwischen abgeschlossen ist. Eine realistische Aussicht auf hinreichend gewichtige Nachteile ist damit nicht ersichtlich. d) Soweit die Klägerin allerdings die Preisgabe der Identität der hinweisgebenden natürlichen Person begehrt, ist ihr Auskunftsrecht vorliegend durch Rechte und Freiheiten Dritter eingeschränkt. Der BGH hat im Rahmen seiner Entscheidung vom 22.02.2022 – VI ZR 14/21 (Rn. 14) die – noch nicht durch den EuGH geklärte – Frage aufgeworfen, ob sich diese Beschränkung durch Rechte und Freiheiten anderer Personen unmittelbar aus der DSGVO oder über die Öffnungsklausel des Art. 23 Abs. 1 lit. i DSGVO erst aus (hier) Art. 10 Abs. 2 Nr. 3 BayDSG ergibt. Der Wortlaut des Art. 15 DSGVO enthält keine Hinweise darauf, dass das Auskunftsrecht der betroffenen Person aus Art. 15 Abs. 1 DSGVO beschränkt wäre. Gemäß Art. 15 Abs. 4 DSGVO darf lediglich das Recht auf Erhalt einer Kopie gemäß Absatz 3 die Rechte und Freiheiten anderer Personen nicht beeinträchtigen. Allerdings lautet Erwägungsgrund 63, der sich mit dem Auskunftsrecht der betroffenen Person befasst, in seinen Sätzen 5 und 6 wie folgt: „Dieses Recht sollte die Rechte und Freiheiten anderer Personen, etwa Geschäftsgeheimnisse oder Rechte des geistigen Eigentums und insbesondere das Urheberrecht an Software, nicht beeinträchtigen. Dies darf jedoch nicht dazu führen, dass der betroffenen Person jegliche Auskunft verweigert wird.“ Die überwiegende Meinung in der deutschen Kommentarliteratur sieht das Auskunftsrecht gemäß Art. 15 Abs. 1 DSGVO durch Rechte und Freiheiten anderer Personen bereits in der DSGVO selbst beschränkt (Bienemann in Sydow/Marsch, DSGVO/BDSG, 3. Aufl. 2022, Art. 15 DSGVO, Rn. 57, der von einem Redaktionsversehen ausgeht; Schmidt-Wudy in BeckOK, Datenschutzrecht, Wolff/Brink/v. Ungern-Sternberg, 46. Edition. Stand: 01.11.2023, Art. 15 DSGVO Rn. 96-98, der Art. 15 Abs. 4 DSGVO analog auf Abs. 1 anwendet; Dix in Simitis/Hornung/Spiecker, Datenschutzrecht, 1. Auflage 2019, Art. 15 DSGVO Rn. 34f.; Paal in Paal/Pauly, DS-GVO/BDSG, 3. Auflage 2021, Art. 15 DSGVO, Rn. 41 und Franck in Gola, Datenschutz-Grundverordnung/Bundesdatenschutzgesetz, 3. Auflage 2022, Art. 15 DSGVO, Rn. 48). Im Hinblick darauf, dass Art. 15 DSGVO im Lichte der durch die Charta der Grundrechte der Europäischen Union garantierten Grundrechte, insbesondere des Art. 7 (Recht auf Achtung des Privatlebens) und Art. 8 GRC (Recht auf Schutz personenbezogener Daten) auszulegen ist (vgl. EuGH, U.v. 9.3.2017 – C-398/15 – BB 2017, 652 Rn. 39 f.; U.v. 13.5.2014 – C-131/12 – NJW 2014, 2257 Rn. 68 f.), dass die Datenschutz-Grundverordnung gemäß Art. 1 Abs. 2 DSGVO die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten schützt und dass auch laut Erwägungsgrund 63 Satz 5 die Rechte und Freiheiten anderer Personen durch die Auskunft nicht beeinträchtigt werden sollen, wäre die Annahme einer einschränkungslosen Gewährung des Auskunftsrechts in Art. 15 Abs. 1 DSGVO – auch und gerade über die Herkunft von Daten nach Abs. 1 Halbsatz 2 lit. g – kaum zu begründen. Gemäß Art. 8 Abs. 2 Satz 1 GRC dürfen personenbezogene Daten nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Gemäß Art. 8 Abs. 2 Satz 2 GRC hat jede Person das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken. Auf das Recht auf Schutz personenbezogener Daten kann sich demnach nicht nur der gemäß Art. 15 Abs. 1 DSGVO Auskunftsberechtigte berufen, sondern auch derjenige, dessen Daten durch eine Übermittlung im Rahmen der Auskunft nach Art. 15 Abs. 1 Halbsatz 2 lit. g DSGVO offengelegt würden (BGH, U.v. 22.2.2022 – VI ZR 14/21 – juris Rn. 18). Aus diesem Umstand folgert der BGH, dass die Offenlegung der personenbezogenen Daten eines Hinweisgebers durch Übermittlung, welche eine Verarbeitung i.S.v. Art. 4 Nr. 4 DSGVO ist, nur unter den Voraussetzungen des Art. 6 DSGVO rechtmäßig wäre (Verbot mit Erlaubnisvorbehalt). Welcher Erlaubnistatbestand hier für die Herausgabe der Daten der hinweisgebenden natürlichen Person greifen soll, ist nicht ohne Weiteres ersichtlich. Eine Einwilligung gemäß Art. 6 Abs. 1 UAbs. 1 lit. a DSGVO liegt nicht vor. Die Argumentation, eine Übermittlung der Daten der hinweisgebenden natürlichen Person an die Klägerin sei zur Erfüllung einer rechtlichen Verpflichtung, der der Beklagte unterliege, nämlich zur Erfüllung des klägerischen Auskunftsanspruchs aus Art. 15 Abs. 1 Halbsatz 2 lit. g DSGVO erforderlich (Art. 6 Abs. 1 UAbs. 1 lit. c DSGVO), dürfte auf einen Zirkelschluss führen. Auch der Erlaubnistatbestand des Art. 6 Abs. 1 UAbs. 1 lit. e DSGVO dürfte nicht greifen, da nicht ersichtlich ist, dass die Übermittlung der personenbezogenen Daten des Hinweisgebers zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt und welche spezifisch der Regierung von … übertragen wurde, erforderlich ist. Zwar sieht auch Art. 5 BayDSG, der auf den Öffnungsklauseln des Art. 6 Abs. 2 bis 4 DSGVO beruht, gewisse Erlaubnistatbestände vor. So ist eine Übermittlung personenbezogener Daten nach dem vorliegend allein in Betracht kommenden Art. 5 Abs. 1 Satz 1 Nr. 2 BayDSG zulässig, wenn der Empfänger (hier also die Klägerin) eine nicht öffentliche Stelle ist, diese Stelle ein berechtigtes Interesse an ihrer Kenntnis glaubhaft dargelegt und die betroffene Person (hier also der Hinweisgeber) kein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat. Allerdings ist Art. 5 Abs. 1 Nr. 2 BayDSG nach der Rechtsprechung des BVerwG mit der DSGVO nicht vereinbar. Demnach sei Art. 5 Abs. 1 Satz 1 Nr. 2 BayDSG von der insoweit in Bezug genommenen Öffnungsklausel des Art. 6 Abs. 2 bis 4 DSGVO nicht gedeckt. Auf die Öffnungsklausel in Art. 6 Abs. 2 und 3 DSGVO könne diese Norm schon deswegen nicht gestützt werden, weil danach nur eine Konkretisierung der Regelungen von Art. 6 Abs. 1 UAbs. 1 lit. c und e DSGVO erlaubt sei, während Art. 5 Abs. 1 Satz 1 Nr. 2 BayDSG an Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO anknüpfe (vgl. BVerwG, U.v. 27.9.2018 – 7 C 5/17 – juris Rn. 25ff.). In Betracht käme damit allenfalls der Erlaubnistatbestand des Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO. Zwar verwehrt Art. 6 Abs. 1 UAbs. 2 DSGVO Behörden den Rückgriff auf diese Abwägungsklausel, soweit sie die Datenverarbeitung in Erfüllung ihrer Aufgaben vornehmen. Allerdings dürfte sich die Regierung von … im Verhältnis zur hinweisgebenden natürlichen Person hinsichtlich der Übermittlung ihrer personenbezogenen Daten vorliegend nicht in einem spezifisch staatlichen Verhältnis befinden (vgl. BVerwG, U.v. 27.9.2018 – 7 C 5/17 – juris Rn. 26; Albers/Veit in BeckOK Datenschutzrecht, Wolff/Brink/v. Ungern-Sternberg, 46. Edition, Stand: 01.11.2023, Art. 6 DSGVO, Rn. 65). Unabhängig davon, ob sich die Regierung von … vorliegend für die Übermittlung der personenbezogenen Daten des Hinweisgebers auf einen Erlaubnistatbestand berufen könnte, würde eine Preisgabe an die Klägerin im Wege des Auskunftsanspruchs jedenfalls die Rechte und Freiheiten anderer Personen gemäß Art. 15 Abs. 4 DSGVO beeinträchtigen. Zwar sind insoweit zugunsten der Klägerin Bedeutung, Gewicht und Zweck ihres Auskunftsrechts über die Herkunft ihrer Daten gemäß Art. 15 Abs. 1 Halbsatz 2 lit. g DSGVO in Rechnung zu stellen. Das Recht jeder Person, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken, ist in Art. 8 Abs. 2 Satz 2 GRC im Rahmen des Rechts auf Schutz personenbezogener Daten verbürgt. Es dient dem Zweck, dass sich die betroffene Person der Verarbeitung der sie betreffenden Daten bewusst wird und deren Rechtmäßigkeit überprüfen kann (Erwägungsgrund 63 Satz 1 der DSGVO). Sie soll sich insbesondere vergewissern können, dass sie betreffende personenbezogene Daten richtig sind und in zulässiger Weise verarbeitet werden (BGH, U.v. 22.2.2022 – VI ZR 14/21 – juris Rn. 24;, U.v. 15.6.2021 – VI ZR 576/19, WM 2021, 1376 Rn. 25 m.w.N.). Das Auskunftsrecht gemäß Art. 15 Abs. 1 DSGVO ist insbesondere erforderlich, um es der betroffenen Person gegebenenfalls zu ermöglichen, von dem für die Verarbeitung Verantwortlichen etwa die Berichtigung oder Löschung ihrer Daten zu verlangen (vgl. EuGH, U.v. 20.12.2017 – Rs. C-434/16, NJW 2018, 757 Rn. 57; U.v. 7.5.2009 – C-553/07, EuZW 2009, 546 Rn. 51 zur RL 95/46/EG). Die Pflicht des Verantwortlichen gemäß Art. 15 Abs. 1 Halbsatz 2 lit. g DS-GVO, im Falle der Verarbeitung personenbezogener Daten der betroffenen Person auch alle verfügbaren Informationen über die Herkunft der Daten zur Verfügung zu stellen, soll die betroffene Person in die Lage versetzen, mögliche Rechte auch gegen die Person oder Stelle geltend zu machen, von der die (möglicherweise unrichtigen oder zu Unrecht weitergegebenen) Daten herrühren (Dix in Simitis/Hornung/Spiecker, Datenschutzrecht, 1. Auflage 2019, Art. 15 DSGVO, Rn. 24), um so die „Fehler an der Wurzel anzugehen“ (vgl. BGH, U.v. 22.2.2022 – VI ZR 14/21 – juris Rn. 24 m.w.N.). Allerdings ist zugunsten der hinweisgebenden natürlichen Person zu berücksichtigen, dass auch deren Rechte durch Art. 7 Abs. 1 (Achtung des Privatlebens) und Art. 8 (Recht auf Schutz personenbezogener Daten) GRC verbürgt sind, wobei diese beiden Grundrechte, soweit es um die Verarbeitung personenbezogener Daten geht, eine einheitliche Schutzverbürgung bilden (vgl. BVerfG, B.v. 6.11.2019 – 1 BvR 276/17 – BVerfGE 152, 216, Rn. 99 m.w.N. – Recht auf Vergessen II). Zwar hätte das Interesse des Hinweisgebers an der Geheimhaltung seiner Identität regelmäßig dann zurückzutreten, wenn er wider besseres Wissen oder leichtfertig unrichtige Angaben zu personenbezogenen Daten der betroffenen Person gemacht hat (vgl. dazu LAG Baden-Württemberg, U.v. 20.12.2018 – 17 Sa 11/18, BB 2020, 2169, 2175, juris Rn. 207; Dix in Simitis/Hornung/Spiecker, Datenschutzrecht, 1. Auflage 2019, Art. 15 DSGVO, Rn. 35). Dafür bestehen vorliegend indes keine Anhaltspunkte, zumal auf den Hinweis hin ein medizinprodukte-rechtliches Aufsichtsverfahren gegenüber der Klägerin eingeleitet wurde, welches lediglich infolge ihrerseits vorgenommener Korrekturen an den Produktbeschreibungen eingestellt wurde. Auch unter Berücksichtigung der Bedeutung des klägerischen Auskunftsrechts würden hier durch die Preisgabe der personenbezogenen Daten des Hinweisgebers dessen Rechte aus Art. 7 Abs. 1 und Art. 8 GRC in einem Ausmaß beeinträchtigt, der die Rechtsbeeinträchtigung der Klägerin überwiegt. Denn die hinweisgebende natürliche Person, die die E-Mail vom … im Rahmen ihrer geschäftlichen Betätigung verfasste und dabei die Interessen ihres Unternehmens wahrnahm, würde durch die Offenlegung ihrer Daten nunmehr in ihrer Privatsphäre betroffen. Dies obgleich die Klägerin auf die Kenntnis der personenbezogenen Daten des Hinweisgebers nicht angewiesen ist. Soweit sie – ausweislich ihres Vortrags – beabsichtigt, datenschutzrechtliche Ansprüche gegenüber dem Hinweisgeber geltend zu machen, hätte sie sich diesbezüglich nicht an den hinweisgebenden Geschäftsführer als natürliche Person, sondern vielmehr an die GmbH zu wenden, für die dieser gehandelt hat. Allein die GmbH ist als Verantwortliche i.S.v. Art. 4 Nr. 7 DSGVO anzusehen. Überdies ist unklar, ob darüber hinaus der Verantwortliche – hier also der Beklagte – ebenfalls als eine andere Person i.S.d. Art. 15 Abs. 4 DSGVO gelten kann (vgl. dazu Steinötter in BeckOK, IT-Recht, Borger/Hilber, 12. Edition, Stand: 01.01.2023, Art. 15 DSGVO, Rn. 42 m.w.N.). Nimmt man dies vorliegend an, könnte der Beklagte zudem ins Feld führen, dass er zur Erfüllung seiner Aufsichtspflichten im Medizinprodukterecht, welches dem gewichtigen öffentlichen Interesse des Gesundheitsschutzes dient, auf Hinweise privater Personen, die von der Geheimhaltung ihrer Identität ausgingen, angewiesen sei. Da dem Auskunftsanspruch vorliegend aber bereits die Rechte der hinweisgebenden natürlichen Person entgegenstehen, erweist sich diese Frage als nicht entscheidungserheblich. Auf dieselben Gesichtspunkte wie bei Art. 15 Abs. 4 DSGVO käme es an, sollte sich die Beschränkung des Auskunftsrechts durch Rechte und Freiheiten Dritter vorliegend nicht bereits unmittelbar aus der Datenschutz-Grundverordnung ergeben. In diesem Fall eröffnet jedenfalls Art. 23 Abs. 1 lit. i DS-GVO unter bestimmten Voraussetzungen die Möglichkeit, das Auskunftsrecht durch ein Gesetz zu beschränken, das den „Schutz der Rechte und Freiheiten anderer Personen“ sicherstellt. Eine solche Regelung wurde u.a. mit Art. 10 Abs. 2 Nr. 3 BayDSG getroffen, wonach die Auskunft nach Art. 15 DSGVO unterbleibt, soweit personenbezogene Daten oder die Tatsache ihrer Speicherung zum Schutz der betroffenen Person oder wegen der überwiegenden berechtigten Interessen Dritter geheim gehalten werden muss. Auch unter Zugrundelegung dieser Vorschrift käme man mithin zu dem Ergebnis, dass die Preisgabe der personenbezogenen Daten des Hinweisgebers wegen dessen überwiegender berechtigter Interessen geheim gehalten werden muss (s.o.). 2. Der Klägerin kommt jedoch der im Hilfsantrag geltend gemachte Anspruch gemäß Art. 15 Abs. 1 Halbsatz 2 lit. g DSGVO auf Auskunft über das Hinweisgeberunternehmen zu. Hinsichtlich der Voraussetzungen des Anspruchs aus Art. 15 Abs. 1 Halbsatz 2 lit. g DSGVO wird auf die Ausführungen unter Ziffer 1 a) bis c) Bezug genommen. Anders als unter 1 greifen hinsichtlich der hinweisgebenden GmbH etwaige DSGVOimmanente Beschränkungen des Auskunftsanspruchs in Form des Erfordernisses einer datenschutzrechtlichen Rechtsgrundlage für die Übermittlung der Daten des Hinweisgebers nicht ein. Denn die DSGVO schützt ihrerseits keine juristischen Personen und erfasst nicht – wie Erwägungsgrund 14 Satz 2 besonders betont – „insbesondere als juristische Person begründete Unternehmen“ (vgl. Gola in Gola, Datenschutz-Grundverordnung/Bundesdatenschutzgesetz, 3. Auflage 2022, Art. 4 DSGVO, Rn. 26). Mithin bedarf der Beklagte insbesondere keiner datenschutzrechtlichen Rechtsgrundlage für die Verarbeitung der Daten der GmbH. Auch stehen dem Auskunftsanspruch der Klägerin insoweit nach Art. 15 Abs. 4 DSGVO keine Rechte und Freiheiten anderer Personen entgegen. Zwar erfasst dieser Begriff der anderen Person nach der Kommentarliteratur auch juristische Personen (vgl. Steinötter in BeckOK IT-Recht, Borges/Hilber, 12. Edition, Stand: 01.01.2023, Art. 15 DS-GVO, Rn. 40). Rechte juristischer Personen sind aber wegen der klaren Hinwendung zum Menschen in Art. 1 Abs. 1 und Abs. 2 DSGVO im Rahmen der Abwägung nicht überzubewerten. Zum Vergleich: Hinsichtlich des Schadensersatzanspruchs gemäß Art. 82 DSGVO wird unisono vertreten, dass dieser nur natürlichen und nicht etwa juristischen Personen zustehe (vgl. Franck in: Gola/Heckmann, Datenschutz-Grundverordnung – Bundesdatenschutzgesetz, 3. Auflage 2022, Art. 15 DS-GVO, Rn. 48 m.w.N.). Welche Rechtspositionen des Hinweisgeberunternehmens durch eine Auskunftserteilung betroffen sein sollen, ist nicht ersichtlich. Die Darlegungs- und Beweislast für die Umstände, die im Rahmen der gebotenen Interessenabwägung im Einzelfall die Verweigerung der begehrten Auskunft über die Person des Hinweisgebers rechtfertigen sollen, trägt nach allgemeinen Grundsätzen der auf Auskunft in Anspruch genommene Verantwortliche (vgl. LAG Baden-Württemberg, U.v. 20.12.2018 – 17 Sa 11/18, BB 2020, 2169, 2175, juris Rn. 208 f.; Sächsisches Finanzgericht, U.v. 8.5.2019 – 5 K 337/19, juris Rn. 18; Louven in Taeger/Gabel, DSGVO-BDSG-TTDSG, 4. Aufl., § 29 BDSG Rn. 7; Specht in Sydow, Europäische Datenschutzgrundverordnung, 2. Aufl., Art. 15 Rn. 24 i.V.m. 35; Dix in Simitis/Hornung/Spiecker, Datenschutzrecht, 2019, Art. 15 DS-GVO Rn. 24). Dieser darf sich dabei nicht auf bloße Vermutungen stützen, sondern hat die konkreten Tatsachen zu benennen, die das überwiegende Interesse des Hinweisgebers an seiner Geheimhaltung begründen sollen (vgl. Uwer in BeckOK Datenschutzrecht, Wolff/Brink/v. Ungern-Sternberg, 46. Edition, Stand: 01.11.2023, § 29 BDSG Rn. 10 m.w.N.; BGH, U.v. 22.2.2022 – VI ZR 14/21 – juris Rn. 28). Art. 15 Abs. 4 DSGVO ist nur einschlägig, wenn durch die Auskunft tatsächlich eine Beeinträchtigung der Drittinteressen vorliegen wird, eine bloße Befürchtung genügt nicht (Schmidt-Wudy in BeckOK Datenschutzrecht, Wolff/Brink/v. Ungern-Sternberg, 46. Edition, Stand: 01.11.2023, Art. 15 DSGVO, Rn. 96). Juristische Personen können sich grundsätzlich nicht auf den durch Art. 7 und 8 GRC verliehenen Schutz berufen (vgl. Gola in Gola, Datenschutz-Grundverordnung/Bundesdatenschutzgesetz, 3. Auflage 2022, Art. 4 DSGVO, Rn. 26). Das dies im vorliegenden Fall abweichend zu beurteilen wäre, wurde von Beklagtenseite nicht dargelegt. Insbesondere wurde nicht geltend gemacht, dass die Firma der in Rede stehenden GmbH eine oder mehrere natürliche Personen bestimmen würde (vgl. Schild in BeckOK Datenschutzrecht, Wolff/Brink/v. Ungern-Sternberg, 46. Edition, Stand: 01.08.2023, Art. 4 DSGVO, Rn. 7 m.w.N.). Auch ist weder ersichtlich noch dargelegt, dass etwaige Geschäftsgeheimnisse oder Rechte des geistigen Eigentums der betroffenen GmbH durch die Auskunftserteilung berührt wären. Da die Hinweisgeber GmbH ausweislich des Schriftsatzes des Beklagten vom 11.01.2024 über zwei Geschäftsführer, von denen einer die Hinweisgeber-E-Mail verfasst hatte, verfügt, kann auch nicht davon ausgegangen werden, dass die Information über die Firma der GmbH auf die konkrete hinweisgebende natürliche Person führt. Dass mit der Preisgabe des Namens einer juristischen Person wohl letztlich – beispielsweise über die Websites der Unternehmen oder das Handelsregister – immer auf einzelne natürliche Personen geschlossen werden kann (z. B. Person des/der Geschäftsführer/s, des Vorstandsvorsitzenden etc.), muss vor dem Hintergrund des Art. 1 Abs. 2 DSGVO i.V.m. Erwägungsgrund 14 Satz 2 als unerheblich erachtet werden, da dem Anwendungsausschluss der DSGVO für juristische Personen andernfalls kein Anwendungsbereich mehr verbliebe. Zudem kann nicht davon ausgegangen werden, dass der Auskunftserteilung hinsichtlich des Unternehmens Interessen des Beklagten i.S.v. Art. 15 Abs. 4 DSGVO entgegenstehen. Unabhängig von der Frage, ob der Verantwortliche überhaupt als andere Person im Sinne der Norm angesehen werden kann (s.o.), fehlt es insoweit an konkreten Anhaltspunkten für die Annahme entgegenstehender Interessen. Die bloße Befürchtung des Beklagten, im Falle einer Preisgabe des Hinweisgeberunternehmens künftig keine Hinweise Dritter mehr zu erhalten, ist nicht ausreichend. Zumal vorliegend seitens des Hinweisgebers offenbar nicht einmal um eine vertrauliche Behandlung seines Hinweises gebeten wurde. Überdies ist in Rechnung zu stellen, dass insoweit keine natürliche Person als Hinweisgeber betroffen ist und vermeintliche Verstöße im Übrigen auch anonym gemeldet werden könnten. Ferner ist zu berücksichtigen, dass es eines „berechtigten“ Auskunftsinteresses der Klägerin weder nach dem Wortlaut des Art. 15 Abs. 1 DSGVO noch nach der aktuellen Rechtsprechung des EuGH bedarf. Insbesondere kann danach nicht davon ausgegangen werden, dass es sich bei dem datenschutzrechtlichen Auskunftsanspruch nach Art. 15 DSGVO um einen Hilfsanspruch in Bezug auf datenschutzrechtliche Hauptansprüche, etwa auf Berichtigung oder Löschung, handelt und er zurückgewiesen werden kann, wenn er diesem Zweck nicht dient. Der EuGH hat jüngst entschieden, dass die Verpflichtung des Verantwortlichen, der betroffenen Person unentgeltlich eine erste Kopie ihrer personenbezogenen Daten, die Gegenstand einer Verarbeitung sind, zur Verfügung zu stellen, auch dann gilt, wenn der betreffende Antrag mit einem anderen als den in Satz 1 des 63. Erwägungsgrundes der Verordnung genannten Zwecks begründet wird. Demnach ist die betroffene Person nicht verpflichtet, den Antrag auf Auskunft über die Daten zu begründen. Erwägungsgrund 63 sei nicht geeignet die Tragweite von Art. 15 Abs. 3 DSGVO einzuschränken. Nach ständiger Rechtsprechung seien Erwägungsgrunde eines Unionsrechtsakts rechtlich nicht verbindlich und könnten weder herangezogen werden, um von den Bestimmungen des betreffenden Rechtsakts abzuweichen, noch, um diese Bestimmungen in einem Sinne auszulegen, der ihrem Wortlaut offensichtlich widerspreche. Die DSGVO wolle ein gleichmäßiges und hohes Schutzniveau für natürliche Personen in der Union gewährleisten und die Rechte der betroffenen Personen stärken und präzise festgelegen (vgl. Erwägungsgründe 10 und 11). Gerade zur Erreichung dieses Ziels garantiere Art. 15 Abs. 1 DSGVO der betroffenen Person ein Recht auf Auskunft über ihre personenbezogenen Daten. Angesichts der Bedeutung, die die DSGVO dem in Art. 15 Abs. 1 DSGVO garantierten Recht auf Auskunft über die personenbezogenen Daten, die Gegenstand einer Verarbeitung sind, zur Erreichung solcher Ziele beimesse, dürfe die Ausübung dieses Rechts folglich nicht von Bedingungen abhängig gemacht werden, die der Unionsgesetzgeber nicht ausdrücklich festgelegt habe, wie etwa von der Verpflichtung, einen der im ersten Satz des 63. Erwägungsgrundes DSGVO genannten Gründe geltend zu machen (vgl. EuGH, U.v. 26.10.2023 – C-307/22 – juris Rn. 29ff.). II. Die Kostenentscheidung beruht auf § 155 Abs. 1 Satz 1 VwGO. Die Entscheidung zur vorläufigen Vollstreckbarkeit ergibt sich aus § 167 Abs. 1 Satz 1 und Abs. 2 VwGO i.V.m. §§ 708 Nr. 11, 709 S. 2, 711 ZPO.