1 K 74/24

Leitsatz: Ein Unternehmen, für das eine Adresshändlerin im sogenannten Lettershop-Verfahren Direktwerbung versendet, wobei der Werbetreibende Kundenkategorien vorgibt, aber keinen Zugriff auf die genutzten Adressen erhält, ist datenschutzrechtlich für die Datenverarbeitung in Gestalt des Auswählens und Verwendens der Adressdaten nicht gemeinsam mit der Adresshändlerin im Sinne von Art 4 Nr 7, Art 26 Abs 1 S 1 DSGVO (juris: EUV 2016/679) verantwortlich. (Rn.24) Die Verwarnung der Beklagten vom 19. Januar 2024 – Geschäftszeichen 521.15600.11 – wird aufgehoben. Die Beklagte trägt die Kosten des Verfahrens. Das Urteil ist wegen der Kosten vorläufig vollstreckbar. Die Beklagte darf die Vollstreckung durch Sicherheitsleistung in Höhe von 110 % des aufgrund des Urteils vollstreckbaren Betrages abwenden, wenn nicht die Klägerin vor der Vollstreckung Sicherheit in Höhe von 110 % des jeweils zu vollstreckenden Betrages leistet. Die Berufung wird zugelassen. Die zulässige Anfechtungsklage, über die nach § 87a Abs. 2, 3 der Verwaltungsgerichtsordnung – VwGO – mit Einverständnis der Beteiligten der Berichterstatter entscheidet, ist begründet. Die Verwarnung der Beklagten vom 19. Januar 2024 ist rechtswidrig und verletzt die Klägerin in ihren Rechten (§ 113 Abs. 1 Satz 1 VwGO). 1. Die Verwarnung findet ihre Rechtsgrundlage in Art. 58 Abs. 2 Buchstabe b DSGVO. Nach dieser Bestimmung verfügt die Aufsichtsbehörde über die aufgezählten Abhilfebefugnisse, die es ihr unter anderem gestatten, einen Verantwortlichen zu verwarnen, wenn er mit Verarbeitungsvorgängen gegen die Datenschutzgrundverordnung verstoßen hat. 2. Der Bescheid ist formell rechtmäßig. Dafür kommt es entgegen der Ansicht der Klägerin nicht darauf an, ob der Vater der Beschwerdeführerin als deren Betreuer gegenüber der Beklagten hinreichend legitimiert war. Denn der Beklagten stehen die in Art. 58 Abs. 2 DSGVO genannten Abhilfebefugnisse auch unabhängig von einem Beschwerdeverfahren im Sinne von Art. 77 DSGVO zur Seite. Auch wenn sie vollständig außerhalb eines Beschwerdeverfahrens vom vermeintlichen Datenschutzverstoß der Klägerin erfahren hätte, wäre ihr ein Einschreiten von Amts wegen im rechtlichen Ausgangspunkt möglich gewesen. Auch ist die Beklagte für die Datenschutzaufsicht gegenüber der Klägerin nach § 40 Abs. 1 des Bundesdatenschutzgesetzes – BDSG – zuständig. Im Rahmen der Zuständigkeit kommt es dabei nur auf eine formale Betrachtungsweise an. Dass die Klägerin hier gar nicht als Verantwortliche für die Datenverarbeitung anzusehen ist, sodass eine inhaltlich gegen die Datenverarbeitung gerichtete Aufsichtsmaßnahme nicht gegen sie, sondern gegen die Adresshändlerin zu richten gewesen wäre, woraus die Zuständigkeit einer anderen Aufsichtsbehörde folgt, spielt im Rahmen der formellen Rechtmäßigkeit keine Rolle, sondern führt allein zur materiellen Rechtswidrigkeit des Bescheides. 3. Der Bescheid erweist sich als materiell rechtswidrig. Zwar liegt eine Verarbeitung personenbezogener Daten vor (nachfolgend a)). Es kann jedoch offenbleiben, ob diese Verarbeitung nach Art. 6 Abs. 1 DSGVO rechtmäßig war. Denn die Klägerin ist nicht taugliche Adressatin der Verwarnung, weil sie nicht als gemeinsam mit der Adresshändlerin Verantwortliche im Sinne von Art. 4 Nr. 7, Art. 26 Abs. 1 Satz 1 DSGVO anzusehen ist (unten b)). a) Eine Verarbeitung personenbezogener Daten liegt im Auslesen und Verwenden der relevanten Adressdaten für das Erstellen des Werbeschreibens. Nach Art. 4 Nr. 1 DSGVO sind personenbezogene Daten in allen Informationen zu erblicken, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, wobei als identifizierbar eine natürliche Person angesehen wird, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einer Kennnummer identifiziert werden kann. Eine Verarbeitung liegt gemäß Art. 4 Nr. 2 DSGVO in jedem mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder in jeder solchen Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, wobei die Verordnung beispielhaft etwa das Auslesen, Abfragen und Verwenden der Daten als Verarbeitungsvorgänge nennt. Nach diesen Maßstäben liegt im Auslesen und Verwenden der Adressdaten für das Werbeschreiben eine der Datenschutzgrundverordnung unterfallende Verarbeitung personenbezogener Daten. Dafür kann offenbleiben, ob die Zuschreibung eines statistischen Merkmals – etwa hinsichtlich der Kaufkraft – auf Ebene der Mikrozellen und die anschließende Auswahl unter den Mikrozellen anhand eines solchen Merkmals schon für sich genommen Verarbeitungen personenbezogener Daten darstellen. Denn jedenfalls die Adressdaten – Vor- und Familienname sowie postalische Anschrift – sind personenbezogene Daten, die verarbeitet, nämlich aus dem Adressdatenbestand der Adresshändlerin ausgelesen und für den Versand des Werbeschreibens genutzt werden. Auch hebt die Zuordnung der Adressdaten zu den Mikrozellen ihren Personenbezug nicht auf. Dafür kommt es wiederum nicht darauf an, inwiefern die im Hinblick auf die Mikrozellen verarbeiteten Daten personenbezogen sind, weil der Adressdatenbestand, der für das Versenden der Werbeschreiben genutzt wird, durch die bloße Zuordnung der Adressen zu den Mikrozellen unverändert bleibt. Zugleich ist vorliegend unerheblich, dass der Adressdatenbestand der Adresshändlerin schon unabhängig vom Auftrag der Klägerin bestand, die Erhebung der personenbezogenen Daten also schon abgeschlossen war. Denn im späteren Auslesen und Verwenden der Adressdaten liegt eine eigenständig zu betrachtende Datenverarbeitung im Sinne von Art. 4 Nr. 2 DSGVO. b) Die Klägerin war für diese Verarbeitung personenbezogener Daten jedoch nicht im Sinne von Art. 4 Nr. 7, Art. 26 Abs. 1 Satz 1 DSGVO gemeinsam mit der Adresshändlerin verantwortlich. Nach der Definition in Art. 4 Nr. 7 DSGVO ist Verantwortlicher die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemäß Art. 26 Abs. 1 Satz 1 DSGVO gemeinsam Verantwortliche. aa) Der Europäische Gerichtshof (EuGH) hat die Anforderungen, die sich aus diesen Bestimmungen für eine gemeinsame Verantwortlichkeit ergeben, in seiner Rechtsprechung weiter konkretisiert. Danach muss jeder der im Sinne von Art. 26 Abs. 1 Satz 1 gemeinsam Verantwortlichen die Definition des „Verantwortlichen“ in Art. 4 Nr. 7 DSGVO erfüllen, wobei die Akteure in die Verarbeitung personenbezogener Daten in verschiedenen Phasen und in unterschiedlichem Ausmaß einbezogen sein können (EuGH, Urteil vom 5. Juni 2018 – C-210/16 – Wirtschaftsakademie Schleswig-Holstein, Rn. 43; Urteil vom 29. Juli 2019 – C-40/17 – Fashion ID, Rn. 70; Urteil vom 7. März 2024 – C-604/22 – IAB Europe, Rn. 58). Andererseits setzt die gemeinsame Verantwortlichkeit mehrerer Akteure für dieselbe Verarbeitung nach ständiger Rechtsprechung des EuGH nicht voraus, dass jeder von ihnen Zugang zu den betreffenden personenbezogenen Daten hat (EuGH, Urteil vom 5. Juni 2018 – C-210/16 – Wirtschaftsakademie Schleswig-Holstein, Rn. 38; Urteil vom 10. Juli 2018 – C-25/17 – Jehovan todistajat, Rn. 69; Urteil vom 29. Juli 2019 – C-40/17 – Fashion ID, Rn. 69, 82; Urteil vom 11. Januar 2024 – C-231/22 – Données traitées par un journal officiel, Rn. 48; Urteil vom 7. März 2024 – C-604/22 – IAB Europe, Rn. 58). Nach einer in der Rechtsprechung wiederkehrenden Formulierung geht der EuGH zudem davon aus, dass eine Person, die „aus Eigeninteresse“ beziehungsweise „zu ihren eigenen Zwecken“ auf die Verarbeitung personenbezogener Daten „Einfluss nimmt“ und damit „an der Entscheidung über die Zwecke und Mittel“ der Verarbeitung „mitwirkt“ beziehungsweise „beteiligt ist“, als für die Verarbeitung Verantwortliche angesehen werden kann (EuGH, Urteil vom 10. Juli 2018 – C-25/17 – Jehovan todistajat, Rn. 68; Urteil vom 29. Juli 2019 – C-40/17 – Fashion ID, Rn. 68; Urteil vom 11. Januar 2024 – C-231/22 – Données traitées par un journal officiel, Rn. 48; Urteil vom 7. März 2024 – C-604/22 – IAB Europe, Rn. 57). Dieses Abstellen auf die „Einflussnahme“ aus „Eigeninteresse“, aus der eine Entscheidung über Zwecke und Mittel der Verarbeitung resultieren soll, scheint sehr weit zu reichen. Es ist jedoch zu berücksichtigen, dass dieses Kriterium nach der Formulierung des EuGH („kann“) noch keine hinreichende Bedingung für die gemeinsame Verantwortlichkeit darstellt und außerdem zunächst auf die Rechtslage vor Inkrafttreten der Datenschutzgrundverordnung bezogen war, als der Begriff der gemeinsamen Verantwortlichkeit noch nicht gesetzlich fixiert war. In seiner jüngeren – unter der Geltung der Datenschutzgrundverordnung ergangenen – Rechtsprechung prüft der EuGH alle drei Voraussetzungen kumulativ, das heißt, für die gemeinsame Verantwortlichkeit muss eine Stelle „tatsächlich im Eigeninteresse auf die Entscheidung über die Zwecke und Mittel der Verarbeitung“ Einfluss nehmen (EuGH, Urteil vom 5. Dezember 2023 – C-683/21 – Nacionalinis visuomenės sveikatos centras, Rn. 31; ähnlich auch Urteil vom 7. März 2024 – C-604/22 – IAB Europe, Rn. 61; siehe zur erforderlichen kumulativen Prüfung von Entscheidungen über Zwecke und Mittel auch: European Data Protection Board – EDPB, Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO, Version 2.0, 7. Juli 2021, Rn. 53; Der Bayerische Landesbeauftragte für den Datenschutz, Gemeinsame Verantwortlichkeit – Orientierungshilfe, Stand: 1. Juni 2024, Rn. 44, 70). bb) Nach diesen Maßstäben erfüllte die Klägerin in Bezug auf die von der Adresshändlerin vorgenommenen Datenverarbeitungsvorgänge nicht die Voraussetzungen einer gemeinsamen Verantwortlichkeit nach Art. 26 Abs. 1 Satz 1 DSGVO. Zwar hat die Klägerin im Eigeninteresse Einfluss auf die Zwecke der Datenverarbeitung durch die Adresshändlerin genommen. Denn unabhängig davon, ob man den Zweck der Verarbeitung im Versand des Werbeschreibens oder – allgemeiner – in der Beförderung ihrer Geschäftstätigkeit durch die Anwerbung von Neukunden erblickt, hat sie diesen Zweck der Datenverarbeitung gegenüber der Adresshändlerin festgesetzt. Er entspricht auch ihrem Eigeninteresse, nämlich ihrem wirtschaftlichen Gewinnstreben. Dafür spricht auch der Empfängerhorizont, also die Perspektive eines objektiven Beobachters, der das Werbeschreiben erhält. Für diesen stellt es sich äußerlich als eine ausschließliche Maßnahme der Klägerin dar, weil es mit ihrem Briefkopf bzw. Corporate Design auftritt und allein für einen Besuch der von ihr angebotenen Show wirbt, ohne dass die Beteiligung der Adresshändlerin an der Datenverarbeitung jenseits der Datenschutzhinweise ersichtlich würde (vgl. zur Maßgeblichkeit des nach außen hin vermittelten Eindrucks: Der Bayerische Landesbeauftragte für den Datenschutz, a. a. O., Rn. 36). Die Klägerin hatte aber keinerlei Einfluss auf die Mittel der Datenverarbeitung. Die Adresshändlerin führte den gesamten Datenverarbeitungsprozess nach dem von ihr konzipierten „Lettershop“-Verfahren beziehungsweise Mikrozellen-Modell durch, ohne dass die Klägerin die Möglichkeit gehabt hätte, auf die strukturelle beziehungsweise organisatorische Ausgestaltung dieses Prozesses in irgendeiner Form einzuwirken. Auch insoweit kommt es nicht darauf an, ob man nur das Auslesen und Verwenden der Adressen im zweiten Schritt oder darüber hinaus auch die Selektion der Mikrozellen anhand bestimmter Merkmale im ersten Schritt als Verarbeitung personenbezogener Daten ansieht. Denn die bloße Vorgabe einer Zielgruppe (Haushalte in Berlin und Brandenburg mit zumindest überdurchschnittlicher Kaufkraft) führte auch dann nicht dazu, dass die Klägerin auf die „Mittel“ der Datenverarbeitung Einfluss genommen hätte, wenn man die Mikrozellenselektion als Verarbeitung personenbezogener Daten versteht. Die Festlegung der Zielgruppe ist vielmehr wegen ihrer eindeutigen wirtschaftlichen Motivation untrennbar mit der Zwecksetzung für die Datenverarbeitung verbunden und stellt sich demgegenüber nicht als Entscheidung über ihre Mittel dar. Für eine Einflussnahme auf die Mittel der Datenverarbeitung müsste es irgendeine über die Auftragserteilung hinausgehende organisatorisch-konzeptionelle Mitwirkung der Klägerin an der Datenverarbeitung gegeben haben, die hier aber nicht ersichtlich ist. Sie hat lediglich eine Leistung eingekauft, deren prozedurale Ausgestaltung – von der grundlegenden Konzeption über die datenschutzrechtlich relevanten Organisationsmaßnahmen bis hin zur technischen Umsetzung – allein in den Händen der Adresshändlerin verblieb. Es ist nicht ersichtlich, dass die Klägerin irgendwelche Entscheidungen in Bezug darauf hätte treffen können, wie die Mikrozellen gebildet, wie ihnen Merkmale zugeschrieben werden, wie der Selektionsprozess anhand ihrer Vorgaben ausgestaltet ist und wie letztlich die Adressauswahl technisch hin zum Versand des Werbeschreibens umgesetzt wird. Auch die bloße Entscheidung, ein Werbeschreiben an potenzielle Neukunden zu versenden, kann nicht als Einflussnahme auf die Mittel der Datenverarbeitung gewertet werden. Denn das Leistungsangebot der Adresshändlerin besteht gerade darin, ihren Kunden das Versenden von Werbeschreiben zu ermöglichen. Andere Modalitäten des Verwendens personenbezogener Daten ohne Zugriff des Kunden auf die Daten bietet sie in diesem Bereich ihrer Geschäftstätigkeit nicht an. cc) Für das Ergebnis spricht schließlich auch ein Vergleich mit denjenigen Fällen, in denen der EuGH bisher eine gemeinsame Verantwortlichkeit im Sinne von Art. 26 Abs. 1 Satz 1 DSGVO angenommen beziehungsweise auf Grundlage der entsprechenden Vorlagebeschlüsse der nationalen Gerichte für möglich gehalten hat. Bei diesen Sachverhalten gab es anders als hier stets ein Ineinandergreifen der Entscheidungen beider Verantwortlicher gerade auch in Bezug auf die Mittel der Datenverarbeitung. Am ehesten ist der vorliegende Fall mit den Konstellationen vergleichbar, über die der EuGH in der sogenannten Fanpage- sowie in der Fashion-ID-Entscheidung befunden hat. Hier ging es um die gemeinsame Verantwortlichkeit von Website-Betreiberinnen, die ihre Website auf einer sozialen Plattform einrichten beziehungsweise ein Plugin einer sozialen Plattform in ihre Website einbinden mit der Folge, dass beim Aufrufen der Website personenbezogene Daten der Nutzer automatisch an die soziale Plattform übermittelt und von dieser weiterverarbeitet werden. Der EuGH hat die Einbindung der sozialen Plattform jeweils für die gemeinsame Verantwortlichkeit der Website-Anbieterinnen genügen lassen (EuGH, Urteil vom 5. Juni 2018 – C-210/16 – Wirtschaftsakademie Schleswig-Holstein; Urteil vom 29. Juli 2019 – C-40/17 – Fashion ID). Das wäre ein starkes Argument für die gemeinsame Verantwortlichkeit auch der Klägerin im vorliegenden Fall, wenn für den EuGH die bloße Kausalität der Website-Anbieterinnen für die Datenverarbeitung durch die Plattform ausgereicht hätte. Zu beachten ist jedoch, dass der EuGH in den genannten Entscheidungen zwischen dem Erheben und dem weiteren Verarbeiten der Nutzerdaten durch die Plattform unterscheidet (insbesondere EuGH, Urteil vom 29. Juli 2019 – C-40/17 – Fashion ID, Rn. 76). Ein zentrales Argument des EuGH für die Verantwortlichkeit der Website-Betreiberinnen in Bezug auf das Erheben der Daten lag in beiden Entscheidungen darin, dass es das Einrichten der Website beziehungsweise das Einbinden des Plugins der sozialen Plattform erst ermöglicht hatte, die personenbezogenen Daten zu erheben (EuGH, Urteil vom 5. Juni 2018 – C-210/16 – Wirtschaftsakademie Schleswig-Holstein, Rn. 35; Urteil vom 29. Juli 2019 – C-40/17 – Fashion ID, Rn. 75). Das Verhalten der Website-Anbieterinnen stellte sich für die soziale Plattform so gleichsam als „Schlüssel“ zu den Nutzerdaten dar. Einen solch beherrschenden Einfluss auf die Datenverarbeitung durch die Adresshändlerin hatte die Klägerin vorliegend nicht. Zwar wirkte sich auch ihre Entscheidung im Sinne einfacher Kausalität dahingehend aus, dass es ohne ihren Auftrag den konkreten Datenverarbeitungsvorgang durch die Adresshändlerin nicht gegeben hätte. Sie hat ihr die Datenverarbeitung aber nicht erst ermöglicht, ihr nicht erst die Tür zu den Daten geöffnet. Die Adresshändlerin verfügte unabhängig vom Verhalten der Klägerin über ihren Adressdatenbestand. Ihre tatsächlichen Zugriffsmöglichkeiten auf diese Daten bestanden vollkommen unabhängig davon, ob die Klägerin ihr einen Auftrag, der mit einer (weiteren) Datenverarbeitung einherging, erteilte. Aus diesem Grund ist auch das Argument der Parametrierung, welches der EuGH in der Fanpage-Entscheidung für eine gemeinsame Verantwortlichkeit der Website-Betreiberin auch im Hinblick auf die Weiterverarbeitung der Nutzerdaten durch die soziale Plattform anführte (EuGH, Urteil vom 5. Juni 2018 – C-210/16 – Wirtschaftsakademie Schleswig-Holstein, Rn. 36), nicht auf den vorliegenden Fall übertragbar. Denn es macht einen Unterschied, ob sich solche (statistischen) Selektionskriterien nur auf die Auswahl unter schon bei einem Dritten vorhandenen Daten auswirken oder auf Daten bezogen sind, die nur erhoben werden können, weil der Verantwortliche diese Datenerhebung für einen Dritten ermöglicht. Auch in den weiteren vom EuGH entschiedenen Konstellationen war die Einflussnahme des gemeinsam Verantwortlichen auf die Mittel der Datenverarbeitung anders als im Fall der Klägerin deutlich ausgeprägt. So stellte der EuGH in der Entscheidung zu den Zeugen Jehovas neben dem erheblichen Eigeninteresse der Gemeinschaft an der Datenverarbeitung auch darauf ab, dass die Dachorganisation die Verkündigungstätigkeit der einzelnen Mitglieder durch eine Zuteilung von Tätigkeitsbezirken „organisiert und koordiniert“ hat (EuGH, Urteil vom 10. Juli 2018 – C-25/​17 – Jehovan todistajat, Rn. 71, 73). In der Entscheidung zur litauischen Corona-Warn-App bezog sich der EuGH darauf, dass die Parameter der Anwendung, z. B. welche Fragen in der App gestellt wurden und wie diese formuliert waren, an den Bedarf der auftraggebenden Behörde angepasst waren und sie bei der Festlegung der Fragen eine aktive Rolle gespielt hatte (EuGH, Urteil vom 5. Dezember 2023 – C-683/21 – Nacionalinis visuomenės sveikatos centras, Rn. 32). In der Entscheidung zum belgischen Amtsblatt war ein tragendes Argument für die datenschutzrechtliche Verantwortlichkeit der herausgebenden Behörde, dass für sie bereits auf gesetzlicher Ebene die Zwecke und Mittel der Datenverarbeitung festgelegt waren (EuGH, Urteil vom 11. Januar 2024 – C-231/22 – Données traitées par un journal officiel, Rn. 34; vgl. zur Maßgeblichkeit rechtlicher Bestimmungen beim Begriff des Verantwortlichen: Art. 4 Nr. 7 Halbsatz 2 DSGVO). Schließlich rekurrierte der EuGH in der Entscheidung zu einem europäischen Werbebranchenverband darauf, dass dieser seinen Mitgliedern für die Datenverarbeitung einen verbindlichen Regelungsrahmen vorgegeben hatte, in dem auch technische Spezifikationen für den Verarbeitungsvorgang enthalten waren (EuGH, Urteil vom 7. März 2024 – C-604/22 – IAB Europe, Rn. 65 f.). Auch eine solche Form der Einflussnahme gab es hier jedoch nicht. 4. Die Kostenentscheidung folgt aus § 154 Abs. 1 VwGO. Die Entscheidung über die vorläufige Vollstreckbarkeit beruht auf § 167 VwGO i. V. m. § 708 Nr. 11, § 711 Sätze 1 und 2 sowie § 709 Satz 2 der Zivilprozessordnung – ZPO. 5. Die Berufung war nach § 124a Abs. 1 Satz 1 i. V. m. § 124 Abs. 2 Nr. 3 VwGO zuzulassen, weil die Sache grundsätzliche Bedeutung hat. Die Frage, ob eine Auftraggeberin für ein im „Lettershop“-Verfahren erstelltes Werbeschreiben als datenschutzrechtlich gemeinsam mit der Adresshändlerin Verantwortliche im Sinne von Art. 4 Nr. 7, Art. 26 Abs. 1 Satz 1 VwGO anzusehen ist, ist in der Rechtsprechung nicht geklärt und lässt sich anhand der bisher vom EuGH entschiedenen Fälle in beide Richtungen vertretbar beantworten. Wegen der wirtschaftlich nicht unerheblichen Bedeutung des Geschäftsmodells, wie es die Adresshändlerin anbietet, kann sich die Frage in einer Vielzahl von Verfahren stellen und ist einer obergerichtlichen Klärung zugänglich. BESCHLUSS Der Wert des Streitgegenstandes wird gemäß §§ 39 ff., 52 f. des Gerichtskostengesetzes auf 5.000,00 Euro festgesetzt. Die Klägerin wendet sich gegen eine datenschutzrechtliche Verwarnung. Sie betreibt ein Revuetheater in Berlin. Für die dort dargebotene „F... “ wollte sie Ende des Jahres 2021 eine Weihnachtswerbekampagne durchführen und sich dafür auch an Personen wenden, die noch keine Kunden bei ihr waren. Hierzu erteilte sie der I... GmbH (im Folgenden: Adresshändlerin) einen Auftrag für das Versenden von Werbung im sogenannten „Lettershop“-Verfahren. Dafür gab die Klägerin die Gestaltung des Werbeschreibens und Zielgruppenmerkmale, nämlich in Berlin und Brandenburg lebende Personen mit stark überdurchschnittlicher sowie überdurchschnittlicher Kaufkraft, vor. Die Adresshändlerin wählte Empfängeradressen für das Werbeschreiben aus ihrem Adressdatenbestand in folgendem Verfahren aus: Sie nutzt sogenannte Mikrozellen, in die sie das Bundesgebiet geografisch einteilt. Dafür wird davon ausgegangen, dass eine Postabgabestelle – vereinfacht ausgedrückt: ein Briefkasten – einem Haushalt entspricht. Jeder Haushalt ist einer Mikrozelle zugeordnet, im Durchschnitt gehören 6,6 Haushalte zu einer Mikrozelle. Anhand statistischer Daten für das Gebiet werden den Mikrozellen jeweils bestimmte Eigenschaften (z. B. zur angenommenen Kaufkraft) zugeschrieben. Anhand der Kundenvorgaben zur Zielgruppe erstellt ein Dienstleister der Adresshändlerin in einem ersten Schritt eine Liste der einschlägigen Mikrozellen. In einem zweiten Schritt ermittelt er anhand dieser Liste diejenigen Adressen, die anschließend für das Werbeschreiben genutzt werden. Der Ermittlung der Adressen in diesem zweiten Schritt liegt nur der Umstand zugrunde, dass der Haushalt einer Mikrozelle auf der Liste aus dem ersten Schritt zugeordnet ist, während die Adressdaten selbst hierfür nicht mit den statistischen Merkmalen, die Grundlage für die Auswahl der jeweiligen Mikrozelle waren, verknüpft sind. Die zum Versenden von Werbebriefen genutzten Adressdaten legt die Adresshändlerin ihren Kunden gegenüber nicht offen, so auch nicht im Fall der Klägerin. Im Dezember 2021 erhielt Frau Q... aus Berlin, die zuvor in keiner rechtlichen Beziehung zur Klägerin stand, eines der Werbeschreiben. Ihr Vater wandte sich als ihr Betreuer am 24. Januar 2022 mit einer Beschwerde an die Beklagte, die die Klägerin mehrfach anhörte. Mit Bescheid vom 19. Januar 2024 verwarnte die Beklagte die Klägerin. Sie sei in Bezug auf die Werbemaßnahme gemeinsam mit der Adresshändlerin gemäß Art. 26 der Datenschutzgrundverordnung – DSGVO – datenschutzrechtlich verantwortlich. Dafür sei eine Zugriffsmöglichkeit auf die Daten nicht erforderlich. Über Zwecke und Mittel der Datenverarbeitung habe sie aber entschieden. Die Datenverarbeitung habe gegen Art. 6 Abs. 1 DSGVO verstoßen, weil kein Erlaubnistatbestand erfüllt sei. Insbesondere sei Art. 6 Abs. 1 UAbs. 1 Buchstabe f DSGVO nicht erfüllt. Zudem lägen Verstöße gegen Art. 14 Abs. 1 und 2 sowie gegen Art. 26 Abs. 1 und Abs. 2 Satz 2 DSGVO vor. Hiergegen richtet sich die am 23. Februar 2024 erhobene Klage, die die Klägerin im Wesentlichen damit begründet, für die Datenverarbeitung nicht verantwortlich gewesen zu sein. Eine bloße Zielgruppenvorgabe auf Grundlage einer anonymen Datenbasis stelle keine Verarbeitung personenbezogener Daten dar. Die Adresshändlerin habe ohne ihre Einflussmöglichkeit über die Datenerhebung zu Werbezwecken entschieden, lange bevor die Kunden davon Kenntnis erlangt hätten. Später seien die Daten nur noch entsprechend dieser Zweckbestimmung verwendet worden. Die Verarbeitung im Rahmen der Selektion der Mikrozellendaten für den Versand von Werbung habe nicht-personenbezogene Daten zum Gegenstand und unterfalle daher nicht der Datenschutzgrundverordnung. Die von der Adresshändlerin erhobenen Daten verblieben bei dieser, ohne dass ihre Kunden sie erhielten oder Einfluss auf die Datenverarbeitung nehmen könnten. Es bestehe nur ein einfacher Kausalzusammenhang zwischen dem Auftrag der Klägerin und dem Versand der Werbeschreiben. Sie und die Adresshändlerin hätten keine gemeinsamen Werbeinteressen und verfolgten keine gemeinsamen Werbezwecke. Die Annahme einer gemeinsamen Verantwortlichkeit setze einen zeitlichen Zusammenhang zwischen den Entscheidungen voraus, die Verarbeitung durch die Adresshändlerin sei im Zeitpunkt ihrer Beteiligung jedoch bereits abgeschlossen gewesen. Die Zulässigkeit von Postdirektwerbung auf der Rechtsgrundlage des Art. 6 Abs. 1 UAbs. 1 Buchstabe f DSGVO sei gerichtlich und durch die für die Adresshändlerin zuständige Datenschutzaufsichtsbehörde anerkannt. Sie folge auch aus § 7 des Gesetzes gegen unlauteren Wettbewerb – UWG. Außerdem beruhe die Begründung des Bescheides hinsichtlich der Interessen der Beschwerdeführerin auf bloßen Mutmaßungen. Jedenfalls sei es ermessensfehlerhaft, nämlich ineffektiv, nur gegen die Klägerin und nicht gegen die Adresshändlerin vorzugehen. Ferner habe die Beklagte die Vertretungsbefugnis des Vaters der Beschwerdeführerin als deren Betreuer nicht ausreichend überprüft. Die Klägerin beantragt, die Verwarnung der Beklagten vom 19. Januar 2024 – Geschäftszeichen 521.15600.11 – aufzuheben. Die Beklagte beantragt, die Klage abzuweisen. Sie verteidigt den angegriffenen Bescheid unter Bezugnahme auf dessen Begründung. Die Klägerin sei gemeinsam mit der Adresshändlerin Verantwortliche in Bezug auf die Adressverarbeitung beim Versand des Werbeschreibens, weil zwischen den einzelnen Datenverarbeitungen (Erhebung, Mikrozellenbildung und Versendung des Werbebriefs) zu unterscheiden sei. Die Klägerin habe aktiv veranlasst, dass die Adresshändlerin Personen mit den gewünschten Eigenschaften aus ihrem Adressbestand auswähle und ihnen Werbung zusende. Sie habe damit über Zwecke und Mittel der Datenverarbeitung bestimmt. Für die Erfüllung der Grundsätze des Art. 5 DSGVO sei die Klägerin darlegungs- und beweisbelastet. Sie habe in ihrem Schreiben zudem nicht gemäß Art. 14 Abs. 2 Buchstabe b DSGVO über ihre Interessen informiert, sodass diese außer Betracht zu bleiben hätten. Ein berechtigtes Interesse liege nicht vor. Dafür sei zwischen bloßer Direktwerbung und Datenhandel zu unterscheiden. Auch wenn man ein berechtigtes Interesse unterstelle, sei die Datenverarbeitung nicht erforderlich gewesen. Die Klägerin habe jedenfalls gegen die Grundsätze der Transparenz und der Verarbeitung nach Treu und Glauben verstoßen. Auch sei die Selektion der Adressen nach zugeschriebener Kaufkraft als nicht erforderlich anzusehen. Schließlich falle die von Art. 6 Abs. 1 UAbs. 1 Buchstabe f DSGVO geforderte Abwägung zu Lasten der Klägerin aus. Die Beschwerdeführerin habe nicht damit rechnen müssen, dass ihre aus unbekannten Quellen erhobenen Daten zu Werbezwecken verwendet würden. Wegen der weiteren Einzelheiten des Sach- und Streitstandes wird auf die Gerichtsakte und den beigezogenen Verwaltungsvorgang der Beklagten Bezug genommen.