1 K 463/22

Die Klage wird abgewiesen. Die Klägerin trägt die Kosten des Verfahrens. Das Urteil ist wegen der Kosten vorläufig vollstreckbar. Die Klägerin darf die Vollstreckung durch Sicherheitsleistung in Höhe von 110 Prozent des aufgrund des Urteils vollstreckbaren Betrages abwenden, wenn nicht die Beklagte vor der Vollstreckung Sicherheit in Höhe von 110 Prozent des jeweils zu vollstreckenden Betrages leistet. Die zulässige Anfechtungsklage, über welche im Einverständnis der Beteiligten gemäß § 87a Abs. 2 und 3 der Verwaltungsgerichtsordnung (VwGO) die Berichterstatterin entscheidet, bleibt ohne Erfolg, denn sie ist unbegründet. Die Verwarnung der Beklagten vom 22. September 2022 ist rechtmäßig und verletzt die Klägerin nicht in ihren Rechten (§ 113 Abs. 1 Satz 1 VwGO). I. Rechtsgrundlage der Verwarnung ist Art. 58 Abs. 2 Buchst. b) der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 (Datenschutz-Grundverordnung – DSGVO). Danach hat die Beklagte als Aufsichtsbehörde für den Datenschutz (vgl. § 8 Abs. 2 Berliner Datenschutzgesetz – BlnDSG, § 40 Abs. 1 BDSG) die Befugnis, einen Verantwortlichen zu verwarnen, wenn er mit Verarbeitungsvorgängen gegen die DSGVO verstoßen hat. II. Diese Voraussetzungen für die Verwarnung lagen vor, weil die Klägerin mit der dem Beschwerdeführer erteilten Auskunft vom 25. August 2020 gegen ihre Pflicht zur rechtzeitigen und vollständigen Auskunftserteilung aus Art. 15 Abs. 1 Hs. 2 in Verbindung mit Art. 12 Abs. 3 Satz 1 DSGVO verstoßen hat. Sie hat dem Beschwerdeführer binnen der gesetzlichen Frist keine vollständige Auskunft erteilt (1.). Ein Verschulden der Klägerin ist für die behördliche Feststellung des datenschutzrechtlichen Verstoßes nicht erforderlich (2.). 1. Nach Art. 15 Abs. 1 und Abs. 2 DSGVO hat eine betroffene Person das Recht, im Falle der Verarbeitung ihrer personenbezogenen Daten von dem Verantwortlichen Auskunft über diese Daten zu verlangen. Zur Wahrung des Auskunftsrechts ist es erforderlich, dass der Betroffene eine vollständige Übersicht der Daten erhält, die Gegenstand der Verarbeitung sind, in verständlicher Form. Gemäß Erwägungsgrund 63 zur DSGVO soll dieses Auskunftsrecht den Betroffenen in die Lage versetzen, von einer Verarbeitung ihn betreffender personenbezogener Daten Kenntnis zu erhalten, um im Folgenden nicht nur die Richtigkeit dieser Daten, sondern auch die Zulässigkeit ihrer Verarbeitung überprüfen und ggf. die ihm nach den Art. 16 ff. DSGVO zustehenden Rechte ausüben zu können. Nach Art. 12 Abs. 3 Sätze 1 bis 3 DSGVO stellt der Verantwortliche der betroffenen Person Informationen über die auf Antrag gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Der Verantwortliche unterrichtet die betroffene Person innerhalb eines Monats nach Eingang des Antrags über eine Fristverlängerung, zusammen mit den Gründen für die Verzögerung. Die Klägerin war gegenüber dem Beschwerdeführer aufgrund seines ausdrücklich auf Art. 15 Abs. 1 Buchst. a) bis f) DSGVO gestützten Auskunftsersuchens vom 12. August 2020 zu einer Auskunft im oben genannten Sinne verpflichtet. Binnen der Monatsfrist des Art. 12 Abs. 3 Satz 1 DSGVO – das heißt bis zum 12. September 2020 – hat sie ihm jedoch keine den Anforderungen des Art. 15 Abs. 1 DSGVO genügende Auskunft erteilt: sie hatte dem Beschwerdeführer weder alle auf ihn bezogenen Daten beauskunftet (a)), noch hat sie ihm die in Art. 15 Abs. 1 Buchst. a) bis f) DSGVO aufgezählten Informationen mitgeteilt (b)). Die Pflichtverletzung ist auch nicht dadurch entfallen, dass der Beschwerdeführer nachträglich auf die vollständige und rechtzeitige Beauskunftung verzichtet hätte (c)). a) Die dem Beschwerdeführer am 15. August 2020 erteilte Auskunft über ihn betreffende, durch die Klägerin verarbeitete personenbezogene Daten war unvollständig. Gemäß Art. 4 Nr. 1 DSGVO sind „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. Nach dieser gesetzlichen Definition kommt es nicht darauf an, aus welcher Quelle die Daten über eine Person stammen oder ob sie noch mit einer anderen Person verknüpft sind. Dem Begriff der personenbezogenen Daten ist nach der Rechtsprechung des Europäischen Gerichtshofs darüber hinaus eine weite Bedeutung beizumessen. Er ist nicht auf sensible oder private Informationen beschränkt, sondern umfasst potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur, unter der Voraussetzung, dass es sich um Informationen „über“ die in Rede stehende Person handelt. Die letztgenannte Voraussetzung ist erfüllt, wenn die Information aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft ist (EuGH, Urteil vom 20. Dezember 2017 – C-434/16 – juris Rn. 34 f.). Nach diesen Maßstäben handelt es sich jedenfalls bei sämtlichen am 12. September 2022 an den Beschwerdeführer beauskunfteten Daten um personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO, da die Klägerin diese Daten zu dem auf den Namen des Beschwerdeführers erstellten Nutzerkonto gespeichert hatte. Nachdem die Klägerin am 25. August 2020 nur die personenbezogenen Daten E-Mail-Adresse, Name, Profilname, Zahlungsmethode, IBAN und Buchungsdatum mitgeteilt hatte, beauskunftetet sie am 12. September 2022 auch die Account-ID, den Zeitpunkt der Registrierung des Benutzerkontos, die IP-Adresse der registrierenden Person, die Zahlungsinformationen zum Benutzerkonto sowie Nutzungsdaten zum Benutzerkonto. Sämtliche dieser Informationen sind mit der Person des Beschwerdeführers verknüpft worden, weil sie zu dem unter seinem Namen erstellten Benutzerkonto gespeichert und damit verarbeitet wurden (für die IP-Adresse siehe LG Leipzig, Urteil vom 15. August 2025 – 05 O 1939/24 – juris Rn. 76). Es handelt sich daher (auch) um personenbezogene Daten des Beschwerdeführers. Darauf, dass der Beschwerdeführer diese Daten nicht selbst erzeugt bzw. zur Verfügung gestellt hat, kommt es nicht an. Es genügt für die Auskunftspflicht, dass die Klägerin die durch eine dritte Person übermittelten Daten im Sinne von Art. 4 Nr. 2 DSGVO verarbeitet hat (vgl. BFH, Urteil vom 15. Juli 2025 – IX R 25/24 – juris Rn. 61). Anders als die Klägerin meint, fallen solche Daten, die sich auf mehrere Personen beziehen, nicht von vornherein aus der Definition des Art. 4 Nr. 1 DSGVO oder dem Auskunftsrecht nach Art. 15 DSGVO heraus. Hierfür gibt es keinerlei Anhaltspunkte in den Erwägungsgründen zur DSGVO oder ihren sonstigen Bestimmungen. Ein derart eingeschränktes Verständnis des Begriffs der personenbezogenen Daten stünde auch im Widerspruch zur Rechtsprechung des Europäischen Gerichtshofs, insbesondere in der Rechtssache C-434/16 (Nowak). Danach kann ein und dieselbe Information nämlich mehrere natürliche Personen betreffen und folglich für diese Personen – vorausgesetzt, dass sie bestimmt oder bestimmbar sind – personenbezogene Daten im Sinne von Art. 2 Buchst. a der Richtlinie 95/46 (jetzt Art. 4 Nr. 1 DSGVO) darstellen (EuGH, Urteil vom 20. Dezember 2017 – C-434/16 – juris Rn. 45). Die Klägerin durfte die Beauskunftung der personenbezogenen Daten, die sich auch auf die unbekannte dritte Person bezogen, auch nicht nach Art. 15 Abs. 4 DSGVO verweigern. Nach dieser Regelung darf zwar das Recht auf Erhalt einer Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, die Rechte und Freiheiten anderer Personen nicht beeinträchtigen. Das Gericht folgt jedoch insoweit der Einschätzung der Beklagten in ihrem Jahresbericht 2020 (S. 150), dass im Falle des Identitätsdiebstahls, bei der eine dritte Person die Verknüpfung von ihr erzeugter oder zur Verfügung gestellter Daten mit der Person des Auskunftssuchenden widerrechtlich veranlasst hat, Rechte und Freiheiten dieser dritten Person durch die Beauskunftung der von ihr rührenden Daten nicht beeinträchtigt werden, weil sie sich durch ihr widerrechtliches Tun des Schutzes dieser Daten begeben hat. Ob hier bereits von einer konkludenten Einwilligung in die Herausgabe dieser Daten durch die herbeigeführte Verknüpfung mit der Identität des Beschwerdeführers ausgegangen werden kann, muss nicht entschieden werden, da jedenfalls Grundrechte und Grundfreiheiten dieses widerrechtlich agierenden Dritten das Auskunftsrecht des Beschwerdeführers bei der im Rahmen des Art. 15 Abs. 4 DSGVO vorzunehmenden Güterabwägung (vgl. OVG Berlin-Brandenburg, Urteil vom 13. Mai 2025 – 12 B 14/23 – juris Rn. 60) nicht überwiegen. Der Beauskunftung steht auch § 29 Abs. 1 Satz 2 des Bundesdatenschutzgesetzes (BDSG) nicht entgegen. Danach besteht das Recht auf Auskunft der betroffenen Person gemäß Art. 15 DS-GVO nicht, soweit durch die Auskunft Informationen offenbart würden, die nach einer Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müssen. In einem Falle, in dem ein Dritter wider besseren Wissens seine eigene Daten mit der Person des Betroffenen verknüpfen lässt, um sich aus dessen Identität einen rechtswidrigen Vorteil zu verschaffen, tritt das Interesse an der Geheimhaltung der Daten, die sich auch auf seine eigene Person beziehen, regelmäßig gegenüber dem Auskunftsinteresse des Betroffenen zurück (vgl. ausführlich zu behördlichen Hinweisgebern, die Falschangaben machen, BGH, Urteil vom 22. Februar 2022 – VI ZR 14/21 – juris Rn. 14 ff. und Rn. 26). Die Klägerin kann den Verstoß gegen ihre Pflichten aus Art. 15 Abs. 1 und Art. 12 Abs. 3 Satz 1 DSGVO auch nicht damit rechtfertigen, dass sie Zweifel an der Identität des Beschwerdeführers gehabt hätte und die Auskunft daher aufgrund von Art. 12 Abs. 2 Satz 2 und Abs. 6 DSGVO zunächst nicht erteilen wollte. Nach dieser Bestimmung kann der Verantwortliche zwar zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind, wenn er begründete Zweifel an der Identität der natürlichen Person hat, die den Antrag gemäß den Artikeln 15 bis 21 stellt. Dabei setzen Zweifel in diesem Sinne voraus, dass die vorhandenen Daten auf eine bestimmte Identität hindeuten und somit eine Identifizierung grundsätzlich möglich ist, aber nach den Umständen Zweifel daran bestehen, ob der Antragsteller tatsächlich die als Betroffener identifizierte Person ist. Der Verantwortliche hat seine Zweifel jedoch einzelfallbezogen darzulegen (vgl. ausführlich VG Berlin, Beschluss vom 24. April 2023 – 1 K 227/23 – EA S. 4). Entsprechende Zweifel hat die Klägerin hier jedoch zu keinem Zeitpunkt geltend gemacht oder sonst erkennen lassen. Dem Auskunftsrecht des Beschwerdeführers konnte die Klägerin auch nicht entgegengehalten, dass er mit seinem auf Art. 15 DSGVO gestützten Begehren offenbar zivilrechtliche und/oder strafrechtliche Schritte gegen die Person, die seine Identität missbraucht hatte, anstrengen wollte. Der Antragsteller muss seinen Antrag nach Art. 15 Abs. 1 DSGVO nicht begründen, was zugleich bedeutet, dass er auch nicht zurückgewiesen werden kann, wenn mit ihm ein anderer Zweck verfolgt wird als der, von der Verarbeitung Kenntnis zu nehmen und deren Rechtmäßigkeit zu überprüfen (vgl. BFH, Urteil vom 15. Juli 2025 – IX R 25/24 – juris Rn. 62; vgl. EuGH, Urteil vom 26. Oktober 2023 – C-307/22 – juris Rn. 52). b) Unabhängig von der Frage, welche personenbezogenen Daten des Beschwerdeführers nach Art. 15 Abs. 1 DSGVO zu beauskunften waren, hat die Klägerin dem Beschwerdeführer trotz seines ausdrücklich auch auf die Informationen gemäß Art. 15 Abs. 1 Buchst. a) bis f) DSGVO bezogenes Auskunftsersuchen die Informationen gemäß Buchst. a) bis f) nicht bereits am 25. August 2025, sondern erst mit dem Schreiben vom 12. September 2022 gegeben. Warum diese Informationen zunächst nicht an den Beschwerdeführer gegeben wurden, hat die Klägerin auch in der mündlichen Verhandlung nicht dargelegt. Rechtfertigende Gründe hierfür vermag das Gericht nicht zu erkennen. c) Die Pflicht der Klägerin zur rechtzeitigen und vollständigen Beauskunftung nach Art. 15 Abs. 1 und Art. 12 Abs. 3 Satz 1DSGVO hat keine Einschränkung durch den behaupteten (nachträglichen) Verzicht des Beschwerdeführers auf eine weitergehende Beauskunftung erfahren. Zwar ist es zutreffend, dass sich der Beschwerdeführer am 15. September 2020 bei der Beklagten nur hinsichtlich der Datenverarbeitung durch die Klägerin für den unberechtigten Lastschrifteinzug und hinsichtlich der Übermittlung sensibler Kontodaten per unverschlüsselter E-Mail beschwert hat und es in seiner Beschwerde als „erfreulich“ bezeichnete, dass seine Anfrage aus „datenschutzrechtlichen Gründen“ nicht beantwortet worden sei. Weder gegenüber der Beklagten, noch gegenüber der Klägerin hat der Beschwerdeführer jedoch ausdrücklich und klar von seinem unmissverständlich formulierten Auskunftsersuchen nach Art. 15 Abs. 1 Buchst. a) bis f) DSGVO Abstand genommen. Daher muss auch nicht entschieden werden, ob der behauptete nachträgliche Verzicht auf die ursprünglich eindeutig begehrte vollständige Auskunftserteilung den Verstoß des Verantwortlichen – hier der Klägerin – gegen seine Verpflichtung zur rechtzeitigen und vollständigen Auskunft überhaupt entfallen lassen kann. 2. Ein Verschulden des Verantwortlichen ist für die behördliche Feststellung des datenschutzrechtlichen Verstoßes und den Ausspruch einer Verwarnung gemäß Art. 58 Abs. 2 Buchst. b) DSGVO nicht erforderlich. Dafür finden sich im Normtext keine Anhaltspunkte. Die Verwarnung beschränkt sich auf die objektive Feststellung eines Verstoßes. Aussagen über subjektive Merkmale bei den handelnden Personen und die Vorwerfbarkeit sind damit nicht verbunden (Nguyen, in: Gola/Heckmann, 3. Aufl. 2022, DSGVO Art. 58 Rn. 14). Ausgehend von Erwägungsgrund 148 Satz 2 zur DSGVO kommt die Verwarnung gerade bei geringfügigen Verstößen in Betracht, wobei für die Beurteilung der Geringfügigkeit neben vielen anderen Kriterien auch die Frage der subjektiven Vorwerfbarkeit von Bedeutung sein kann (vgl. Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, DSGVO Art. 58 Rn. 30). Vorsätzliche Datenschutzverstöße werden regelmäßig weitergehende Abhilfemaßnahmen der Beklagten erfordern. III. Die Verwarnung der Klägerin erfolgte in pflichtgemäßer Ermessensausübung der Beklagten. Letzterer kommt im Hinblick auf den Gebrauch der Abhilfebefugnisse nach Art. 58 Abs. 2 DSGVO ein Ermessensspielraum zu, der nur auf die Einhaltung seiner Grenzen hin überprüft werden kann (vgl. EuGH, Urteil vom 4. Oktober 2024 – C-621/22 – juris Rn. 37, 46 m.w.N.). Eine Unter- bzw. Überschreitung des behördlichen Ermessensspielraums ist hier nicht erkennbar. Insbesondere gibt es keine Anhaltspunkte für den Vorwurf der Klägerin, die Behörde habe ihr Ermessen nicht erkannt oder fehlerhaft ausgeübt, indem sie ein – nach Auffassung der Klägerin – fehlendes Verschulden nicht hinreichend gewürdigt habe. Der Begründung der Verwarnung lässt sich entnehmen, dass die Beklagte diese sowohl wegen der gemäß Art. 12 Abs. 3 Satz 1 DSGVO stark verspäteten Auskunftserteilung an den Beschwerdeführer als auch wegen der Unterschreitung eines dem Risiko angemessenen Schutzniveaus gemäß Art. 32 Abs. 1 DSGVO ausgesprochen hat. Letzteres erfolgte durch die Mitteilung einer ungekürzten IBAN des Beschwerdeführers in einer an diesen gerichteten E-Mail ohne Transportverschlüsselung. Gemäß dem Bescheid ist zudem die erstmalige Feststellung eines Verstoßes berücksichtigt worden ebenso wie die grundsätzliche Einsichtigkeit der Klägerin, verbunden mit der Ankündigung, das gerügte Verhalten abzustellen. Die Verwarnung werde aus diesem Grund als ausreichend für den Verfahrensabschluss betrachtet und von weiteren aufsichtsrechtlichen Maßnahmen abgesehen. Daran ist nichts zu erinnern. Die Beklagte war – anders als die Klägerin meint – in ihrem Entschließungs- und Auswahlermessen nicht durch den Umstand eingeschränkt, dass der Klägerin die Rechtsansicht der Beklagten zum Umfang des Auskunftsrechts aus Art. 15 Abs. 1 DSGVO im Falle eines Identitätsdiebstahls nicht bekannt war. Dabei kann dahinstehen, ob der Klägerin ihr anfänglich fehlerhaftes Verständnis von der Reichweite des Auskunftsrechts subjektiv vorwerfbar ist oder nicht. Hierfür spricht, dass sie bereits im ersten Anhörungsschreiben der Beklagten vom 24. September 2020 auf die Unvollständigkeit der erteilten Auskunft hingewiesen wurde (Frage Nr. 9) und die Klägerin bis zuletzt nicht dargelegt hat, warum sie die ausdrücklich erbetenen Informationen nach Art. 15 Abs. 1 Buchst. a) bis f) DSGVO nicht bereits am 15. August 2020 beauskunftete. Auf die Vorwerfbarkeit kommt es jedoch nicht an, weil diese aus den genannten Gründen keine Voraussetzung für die Rechtmäßigkeit der Verwarnung ist. Der Einzelfall der Klägerin weist keine besonderen Umstände auf, die ein Absehen auch von dieser mildesten aller nach Art. 58 Abs. 2 DSGO in Betracht zu ziehenden Abhilfemaßnahmen gebieten könnten. Ein Absehen von der Durchsetzung der Datenschutz-Grundverordnung mittels der Abhilfemaßnahmen in Art. 58 Abs. 2 DSGVO kommt nur in Ausnahmefällen in Betracht. Zwar ist die Beklagte nach der Rechtsprechung des Europäischen Gerichtshofs im Fall der Feststellung einer Verletzung des Schutzes personenbezogener Daten nicht verpflichtet, eine Abhilfemaßnahme nach Art. 58 Abs. 2 DSGVO zu ergreifen. Sie muss insbesondere keine Geldbuße verhängen, wenn ein solches Einschreiten nicht geeignet, erforderlich oder verhältnismäßig ist, um der festgestellten Unzulänglichkeit abzuhelfen und die umfassende Einhaltung der DSGVO zu gewährleisten (EuGH, Urteil vom 26. September 2024 – C-768/21 – juris Rn. 50). Sie hat außerdem, wie Erwägungsgrund 129 zur DSGVO betont, in jedem Einzelfall zu prüfen, ob die jeweilige Maßnahme erforderlich und verhältnismäßig ist und ob ggfs. mildere Eingriffsmittel anzuwenden sind (vgl. Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, DSGVO Art. 58 Rn. 7). Der Europäische Gerichtshof erkennt jedoch unter Bezugnahme auf die Erwägungsgründe 7 und 10 der DSGVO eine Begrenzung des behördlichen Entschließungsermessens durch das Erfordernis an, durch einen klar durchsetzbaren Rechtsrahmen ein gleichmäßiges und hohes Schutzniveau für personenbezogene Daten zu gewährleisten (EuGH, a.a.O. juris Rn. 38). Im Hinblick auf die in Art. 57 Abs. 1 Buchst. a) DSGVO bestimmten Aufgaben der Datenschutzaufsichtsbehörden geht auch die nationale Rechtsprechung bei der Feststellung eines Verstoßes gegen die Datenschutz-Grundverordnung von einer regelmäßig gegebenen Reduzierung des Entschließungsermessen der Behörden dahin aus, von ihren Abhilfebefugnissen Gebrauch zu machen (OVG Hamburg, Urteil vom 7. Oktober 2019 – 5 Bf 279/17 – juris Rn. 72; vgl. auch VG Berlin, Urteil vom 7. April 2022 – 1 K 391/20 – juris Rn. 35 und LSG Celle, Beschluss vom 14. Februar 2023 – L 16 SF 5/21 DS (KR) – juris 2. Ls.). Nur im Falle besonderer Umstände des konkreten Einzelfalls, beispielweise wenn die festgestellte Verletzung wegen des sofortigen Ergreifens geeigneter technischer und organisatorischer Maßnahmen nicht angedauert hat, kann die Aufsichtsbehörde ausnahmsweise von Abhilfemaßnahmen absehen (vgl. EuGH, a.a.O. juris Rn. 43). Dass es sich hier um einen solchen Ausnahmefall handelt, ist aber nicht nachvollziehbar dargelegt. Weder geben die festgestellten datenschutzrechtlichen Verstöße hierzu Anlass, noch die Verzögerung im Verfahren der Beklagten. Die Klägerin hat hier im engen zeitlichen Zusammenhang gegen mehrere datenschutzrechtliche Bestimmungen verstoßen: gegen die Pflicht zur rechtzeitigen und vollständigen Beauskunftung nach Art. 15 Abs. 1 und Art. 12 Abs. 3 Satz 1 DSGVO und gegen ihre Pflicht zur Gewährleistung eines angemessenen Schutzniveaus aus Art. 32 Abs. 1 DSGVO. Die Beklagte hat sie in der Gesamtschau beider Verstöße einmalig verwarnt, wobei beiden Verstöße auch einzeln betrachtet nicht nur unerheblich sind. Die von der Klägerin angestrebte Aufteilung der einheitlichen Verwarnung in zwei auf die beiden Rechtsverstöße bezogenen Teile, und die voneinander getrennte Rechtmäßigkeitsprüfung, kann vor diesem Hintergrund nicht vorgenommen werden, da sie der behördlichen Entscheidung nicht entsprechen würde. Dies hat die Beklagte in der mündlichen Verhandlung noch einmal bekräftigt. Die Klägerin hat des Weiteren den Verstoß gegen Art. 15 Abs. 1 und Art. 12 Abs. 3 Satz 1 DSGVO auch nicht unmittelbar auf den Hinweis der Beklagten im Anhörungsschreiben vom September 2020 abgestellt, wie es in dem Vorabentscheidungsverfahren beim Europäischen Gerichtshof in der Rechtssache C-768/21 der Fall war. Vielmehr hat sie den Beschwerdeführer erst nach wiederholter Anhörung zu einem Verstoß gegen Art. 15 Abs. 1 DSGVO vollständig beauskunftet und ihren datenschutzrechtlichen Pflichten genügt. Auch dieser Umstand spricht gegen die Annahme einer Unerheblichkeit der Pflichtverletzung. Ein besonderer Ausnahmefall ist schließlich auch nicht deshalb anzunehmen, weil die Beklagte auf die klägerische Äußerung einer abweichenden Rechtsauffassung zum Umfang des Auskunftsrechts nach Art. 15 Abs. 1 DSGVO in dem 2020 eingeleiteten Verfahren trotz entsprechender Aufforderung nicht sogleich Stellung genommen hat, sondern das Verfahren erst im Jahr 2022 mit neuerlichen Anhörungen der Klägerin fortführte. Die allgemeine datenschutzrechtliche Beratung von Unternehmen gehört nicht zum Aufgabenkreis der Beklagten nach Art. 57 Abs. 1 DSGVO. Die Verantwortlichen können sich im Übrigen im Hinblick auf das in der Europäischen Union angestrebte hohe Schutzniveau nicht dadurch ihrer datenschutzrechtlichen Verantwortlichkeit entziehen, dass sie die Beklagte zur Auskunft auffordern und sich bis zu deren Erteilung als gutgläubig betrachten. Die Behörde ist weder verpflichtet noch mutmaßlich in der Lage, individuelle Rechtsberatungsleistungen zu erbringen. Vor diesem Hintergrund kann die Klägerin – anders als sie meint – aus der „Untätigkeit“ der Beklagten auch keine Verwirkung von deren Abhilfebefugnissen oder die Unverhältnismäßigkeit der später vorgenommenen Verwarnung ableiten. Den behaupteten Vertrauenstatbestand hat die Beklagte nicht geschaffen. Die Klägerin hat im Übrigen auch nicht dargelegt, inwieweit sie durch die „verspätete“ Verwarnung Nachteile erlitten oder im Vertrauen auf deren Ausbleiben Dispositionen getroffen oder nicht getroffen hat, und diese Situationen nunmehr zu härteren Konsequenzen für sie führt als wäre sie bereits im Jahr 2020 durch die Beklagte verwarnt worden. Vor dem Hintergrund des Fehlens besonderer Umstände im Fall der Klägerin, die ein Absehen von der mildesten aller in Art. 58 Abs. 2 DSGVO vorgesehenen Abhilfemaßnahmen gebieten könnten, kommt es schließlich auch nicht auf die Behauptung der Klägerin an, die Beklagte habe nicht erkannt, dass die Verwarnung bereits nachteilige Auswirkungen auf die Situation der Klägerin im Hinblick auf zukünftige Datenschutzverstöße habe. Die Beklagte dürfte dies sehr wohl in Betracht gezogen haben, zumal nach ihrer Aussage im Rahmen des Beschwerdeverfahrens noch andere Prozesse bei der Klägerin aufgefallen seien, anlässlich derer Prüfverfahren von Amts wegen eingeleitet worden seien. Die Nebenentscheidungen folgen aus § 154 Abs. 1 VwGO und § 167 VwGO in Verbindung mit §§ 708 Nr. 11, 711, 709 Satz 2 der Zivilprozessordnung. Die Klägerin wendet sich gegen eine datenschutzrechtliche Verwarnung der beklagten Berliner Beauftragten für Datenschutz und Informationsfreiheit. Sie bietet kostenpflichtige E-Learning-Sprachkurse für Selbstlerner und Unternehmen an und bedient sich zur Abwicklung ihrer Vertragsbeziehungen eines Zahlungsdienstleisters. Im August 2020 erfuhr ihr Kundenservice von Herrn X... (im Folgenden: Beschwerdeführer) von einer Abbuchung von dessen Konto mit dem Verwendungszweck „G...“ durch den beauftragten Zahlungsdienstleister, obwohl er kein Kunde der Klägerin sei, und von seiner Vermutung eines Betrugsfalles. Die Klägerin gab gegenüber dem Beschwerdeführer zunächst per E-Mail eine Auskunft dahingehend, dass die Abbuchung aufgrund eines Französischen Abonnements im Benutzerkonto mit der E-Mail-Adresse r... vorgenommen worden sei und die Rückerstattung veranlasst werde. Daraufhin rügte der Beschwerdeführer mit E-Mail vom 12. August 2020 das fehlende Eingehen der Klägerin auf eine ggfs. rechtswidrige Verwendung seiner Kontodaten und bat unter Fristsetzung um Auskunft, warum sein Bankkonto (mit ihm als Kontoinhaber) von der Klägerin für das Benutzerkonto r... belastet worden sei, insbesondere, wer das „französische Abo“ beauftragt habe, ob er im Rahmen der Beauftragung als Nutzer angegeben worden sei; ferner, wann und mit welchen Angaben (insbesondere zum Kontoinhaber) der Klägerin das Lastschriftmandat zur Abbuchung von seinem Konto erteilt worden sei, welches Kundenkonto auf seinen Namen bei der Klägerin registriert und wann dieses Konto von welchem Nutzer angelegt worden sei. Er machte unabhängig von diesen Fragestellungen gegenüber der Klägerin außerdem einen datenschutzrechtlichen Auskunftsanspruch gemäß Art. 15 DSGVO geltend und erbat alle Informationen im Sinne von Art. 15 Abs. 1 Buchst. a) bis f) DSGVO, indem die Klägerin ihm als Verantwortliche kostenlos Kopien seiner personenbezogenen Daten, die Gegenstand der Verarbeitung seien, zur Verfügung stelle. Die Klägerin verwies den Beschwerdeführer hinsichtlich des vermuteten Betrugsfalles an die Polizei und gab an, nur im Falle einer Anzeige bei der Polizei berechtigt zu sein, alle von ihr abrufbaren Daten zu diesem Vorgang herauszugeben. Mit E-Mail vom 18. August 2020 wies der Beschwerdeführer erneut auf sein Auskunftsersuchen gemäß Art. 15 Abs. 1 DSGVO vom 12. August 2020 hin und setzte der Klägerin eine zweiwöchige Frist für die Auskunftserteilung. Die Klägerin teilte dem Beschwerdeführer mit E-Mail ihres Kundenservices vom 25. August 2020 unter Bezugnahme auf den geltend gemachten Auskunftsanspruch gemäß Art. 15 Abs. 1 DSGVO mit, über keine weiteren personenbezogenen Daten des Beschwerdeführers zu verfügen, mit Ausnahme seines Namens und seines Bankkontos, dass als Zahlungsmittel für die betreffende Abbuchung benutzt worden sei. Sie beauskunftete ihm in diesem Zusammenhang die in den Kategorien Name, Profil-Name, Zahlungsmethode, IBAN sowie Buchungsdatum und -uhrzeit gespeicherten Daten. Die Beantwortung seiner Anfrage, welches Kundenkonto auf seinen Namen bei der Klägerin registriert und wann dieses Konto von welchem Nutzer angelegt worden sei, lehnte sie aus datenschutzrechtlichen Gründen ab, stellte aber in Aussicht, diese Information gegebenenfalls den zuständigen Ermittlungsbehörden zur Verfügung zu stellen. Der Beschwerdeführer beschwerte sich daraufhin bei der Beklagten über die Datenverarbeitung der Klägerin für den unberechtigten Lastschrifteinzug und die Übermittlung sensibler Kontodaten per unverschlüsselter E-Mail. Im Rahmen der Anhörung der Klägerin wegen verschiedener Datenschutzverstöße forderte die Beklagte diese u.a. zur Beantwortung der Frage (Nr. 9) auf, warum sie dem Beschwerdeführer auf sein Auskunftsersuchen keine vollständige Auskunft mit Ausnahme der in der E-Mail vom 25. August 2020 genannten Informationen erteilt habe. Die Klägerin nahm hierauf dahingehend Stellung, dass nur der Betroffene nach Art. 15 Abs. 1 DSGVO auskunftsberechtigt sei und die nicht beauskunfteten Nutzungsdaten zum Benutzerkonto personenbezogene Daten des Benutzerkontoinhabers und nicht des Beschwerdeführers seien, so dass sie aus Datenschutzgründen gehindert sei, diese an den Beschwerdeführer herauszugeben. Die Daten dürften nur an die Polizei im Falle der Eröffnung eines Ermittlungsverfahrens herausgegeben werden. Die Klägerin bat in ihrer Stellungnahme „um kurze Mitteilung, falls die Berliner Datenschutzbeauftragte dies anders“ sehe. Ein zweites Auskunftsersuchen und Anhörungsschreiben der Beklagten vom 3. Mai 2022 bezog sich ausschließlich auf den Themenkomplex der Übermittlung sensibler Kontodaten per E-Mail. Mit Schreiben vom 9. August 2022 hörte die Beklagte die Klägerin dann „wegen einer Verwarnung aufgrund eines Datenschutzverstoßes“ an. Neben der nicht datenschutzkonformen Verarbeitung von Daten im Rahmen des Lastschriftverfahrens und der fehlenden Gewährleistung eines angemessenen Schutzniveaus bei der Übermittlung von Kontodaten per unverschlüsselter E-Mail stellte die Beklagte in dem Schreiben auch einen Verstoß gegen Art. 15 Abs. 1 DSGVO fest. Zur Begründung dieses Verstoßes führte die Beklagte aus, dass auch die durch einen Dritten erzeugten Daten der natürlichen Person, die ein Verantwortlicher zu einem Kundenkonto einer natürlichen Person speichere, mit dieser Person verknüpft und auf diese bezogen seien. Es handele sich damit um personenbezogene Daten dieser natürlichen Person. Diese müsse daher bei einem (auch vermuteten) Identitätsdiebstahl alle in Verbindung mit ihr gespeicherten Daten ausnahmslos beauskunfteten bekommen. Das betreffe alle Daten, die diese Person, ihr Kundenkonto, Kontobewegungen, Bestellhistorie etc. betreffen, da diese Daten, auch wenn sie von einem anderen unter Vorspiegelung einer falschen Identität verursacht worden seien, der Identität der betroffenen Person zugeordnet seien oder zu dieser in Bezug stünden und daher personenbezogene Daten der betroffenen Person darstellten. Ein Schutzbedürfnis der personenbezogenen Daten des Dritten bestehe nicht, da dieser bewusst die personenbezogenen Daten der betroffenen Person verwendet habe, damit sein Handeln dieser zugerechnet werde. Er habe die Situation, dass seine und die Daten der betroffenen Person zusammenfallen, selbst herbeigeführt. Mit Schreiben vom 12. September 2025 erteilte die Klägerin dem Beschwerdeführer eine ergänzte Auskunft nach Art. 15 DSGVO mit den zu seiner Person gespeicherten personenbezogenen Daten sowie zu Herkunft, Verarbeitungszwecken, Datenkategorien und -empfänger, Speicherdauer, zu seinen Datenschutzrechten, zur (teil-)automatisierten Entscheidungsfindung sowie zur Übermittlung in Drittstaaten. Auf den Inhalt des Schreibens wird Bezug genommen. Mit Bescheid vom 22. September 2022 verwarnte die Beklagte die Klägerin wegen der binnen der gesetzlichen Frist unvollständig erteilten Auskunft an den Beschwerdeführer sowie der fehlenden Gewährleistung eines dem Risiko der Übermittlung einer ungekürzten IBAN angemessenen Schutzniveaus. Der Bescheid wiederholte zur Begründung im Wesentlichen die bereits im Anhörungsschreiben mitgeteilten Erwägungen. Mit der am 28. Oktober 2022 erhobenen Klage ficht Klägerin die Verwarnung insoweit an, als sie wegen eines Verstoßes gegen die Auskunftsverpflichtung gegenüber dem Beschwerdeführer ergangen ist. Zur Begründung wiederholt und vertieft die Klägerin ihre Rechtsauffassung, dass die Daten der dritten Person, die das Benutzerkonto auf den Namen des Beschwerdeführers registriert und das Abo abgeschlossen hatte, keine personenbezogenen Daten des Beschwerdeführers seien und die Klägerin zur Auskunft über diese daher weder befugt noch verpflichtet gewesen sei. Weder die IP-Adresse eines Dritten, noch die Account-ID und des Registrierungsdatum seien aufgrund ihres Inhalts auf die Person des Beschwerdeführers bezogen oder mit dieser verknüpft; die Rechtsprechung des Europäischen Gerichtshofs in der Rechtssache Nowak finde daher keine Anwendung. Die personenbezogenen Daten des Beschwerdeführers seien hingegen rechtzeitig beauskunftet worden. Die ergänzende Auskunft an den Beschwerdeführer sei nur erfolgt, um aufsichtsbehördliche Maßnahmen zu vermeiden. Es gebe keine Rechtsgrundlage für die Datenübermittlung. Außerdem habe der Beschwerdeführer die Auskunft als vollständig erachtet, denn diese sei nicht Gegenstand seiner Beschwerde bei der Beklagten gewesen. Sie könne daher auch nicht Grundlage für die Verwarnung sein. Die Verwarnung sei jedenfalls ermessensfehlerhaft, da der Klägerin die Rechtsansicht der Beklagten nicht bekannt gewesen sei, sie jedoch ihre eigene Rechtsauffassung bei der Anhörung im Oktober 2020 transparent mitgeteilt und die Beklagte gebeten habe, eine abweichende Auffassung mitzuteilen. Sie habe nicht einmal fahrlässig gehandelt, denn der Jahresbericht für das Jahr 2020, in welchem die Beklagte erstmals ihre Rechtsauffassung zum Auskunftsrecht bei Identitätstäuschung dargelegt habe, sei erst im April 2021 veröffentlicht worden. Die Beklagte habe Art und Schwere des Verstoßes nicht berücksichtigt, ebenso wenig Erwägungsgrund 148 der DSGVO und das durch ihr langes Schweigen auf die Stellungnahme der Klägerin in der Anhörung geschaffene Vertrauen. Die Beklagte habe ermessensfehlerhaft die tatsächlich erheblichen nachteiligen Folgen der Verwarnung für die Klägerin sowie ihre fehlende Verpflichtung, eine Maßnahme zu verhängen, verkannt. Die Verwarnung betreffend zwei separate, nicht durch dasselbe Verhalten begangene Datenschutzverstöße, welche getrennt voneinander beurteilt werden müssten. Die Klägerin beantragt, den Bescheid der Beklagten vom 22. September 2022 insoweit aufzuheben, als die Verwarnung den Verstoß nach Art. 12 Abs. 3 Satz 1 DSGVO betrifft. Die Beklagte beantragt, die Klage abzuweisen. Sie tritt der Klage entgegen und führt an, dass personenbezogene Daten nach der Rechtsprechung des Europäischen Gerichtshofs vielfältig sein können, und bei der Bewertung weder zivilrechtliche Aspekte entscheidend seien noch der Umstand, dass es sich möglicherweise zugleich auch um personenbezogene Daten einer anderen Person handele. Beim Identitätsdiebstahl bestehe grundsätzlich eine Verknüpfung zwischen aller mit der Transaktion oder dem Nutzerkonto zusammenhängenden Informationen und der Identität des Opfers. Daher stellten auch Informationen, die auf der Grundlage der Handlungen des Täters erhoben worden sein, personenbezogene Daten des Opfers dar. Dem Schutzbedürfnis betroffener Dritter könne auf einer zweiten Stufe Rechnung getragen werden. Entscheidend für den Umfang der zu erteilenden Auskunft sei das ursprüngliche Ersuchen der betroffenen Person. Ob bestimmte Daten dem Beschwerdeführer zugeordnet werden können, sei objektiv anhand des Gesetzes und nicht nach dem Verständnis des Antragstellers zu beurteilen sei. Die Verwarnung setze kein Verschulden des Verantwortlichen voraus, sodass hierauf im Rahmen der Begründung auch nicht einzugehen war. Die Zeitverzögerung im Verfahren bei der Beklagten habe im Ergebnis keine Auswirkung gehabt, denn der Verstoß hätte auch schon früher festgestellt werden können. Die Klägerin könne sich nicht auf Vertrauensschutz berufen, dass sie vor der Verwarnung nicht verfahrensbeendend beschieden worden sei. Aus einer zeitweisen Untätigkeit der Behörde könne sich kein subjektiver Anspruch ergeben, von Abhilfemaßnahmen verschont zu bleiben. Maßstab für die Bewertung der Datenschutzkonformität eines Datenverarbeitungsprozesses sei die objektive Rechtslage, sodass es auf eine Äußerung der Datenschutzaufsichtsbehörde für die grundlegende Bewertung nicht ankomme. Wegen der weiteren Einzelheiten des Sach- und Streitstandes wird auf den Inhalt der Streitakte und des Verwaltungsvorgangs (1 Band) Bezug genommen. Letzterer hat vorgelegen und ist Gegenstand der mündlichen Verhandlung und der Entscheidungsfindung gewesen.