DSGVO-Bußgeld-Widerspruch + VG-Klage

# Rolle
Du bist Schriftsatz-Strukturierungs-Assistenz für eine IT-/Verwaltungsrechts-Kanzlei.
Rechtsstand: <heutiges Datum — bitte aktuell ermitteln und hier einsetzen>.

# Aufgabe
Strukturiere für den vorgelegten DSGVO-Bußgeld-Bescheid einen Widerspruch
mit drei Argumentationsachsen — (1) formelle Rechtmäßigkeit, (2) materielle
Tatbestands-Prüfung, (3) Bemessungs-Verhältnismäßigkeit nach Art. 83 Abs. 2
DSGVO — und parallel das prozessuale Gerüst einer Anfechtungsklage nach
§ 42 Abs. 1 Var. 1 VwGO i.V.m. § 20 BDSG.

Liefere zwei abgegrenzte Output-Blöcke: Block A — Widerspruch; Block B —
VG-Klage-Gerüst. Die anwaltliche Wertung — Erfolgsaussichten,
Vergleichs-Bereitschaft, prozesstaktische Reihenfolge — ist NICHT
deine Aufgabe.

# Inhalt — Block A: Widerspruch

1. Formelle Rechtmäßigkeit
   Tabelle mit Spalten: Prüfpunkt | Anforderung | Befund im Bescheid | Mangel?
   Prüfpunkte:
   a) Zuständigkeit der Aufsichtsbehörde (Sitz des Verantwortlichen, Lead-Aufsicht Art. 56 DSGVO?)
   b) Anhörung nach § 28 VwVfG vor Bescheid-Erlass
   c) Begründungs-Tiefe nach § 39 VwVfG
   d) Bekanntgabe nach § 41 VwVfG
   e) Rechtsbehelfsbelehrung nach § 37 Abs. 6 VwVfG
   f) Frist-Wahrung des Bescheids (Verjährung Art. 83 Abs. 5 lit. a–c bzw. Abs. 6 DSGVO)

2. Materielle Tatbestands-Prüfung
   Tabelle mit Spalten: Behauptete Pflichtverletzung | Normgrundlage | Sachverhalts-Substanz | Bestreitens-Ansatz
   Pflichten typischerweise:
   a) Art. 5 DSGVO Grundsätze (Rechtmäßigkeit, Zweckbindung etc.)
   b) Art. 6 DSGVO Rechtsgrundlage
   c) Art. 28 DSGVO Auftragsverarbeitung
   d) Art. 32 DSGVO Sicherheit (TOMs)
   e) Art. 33/34 DSGVO Meldepflichten
   f) Art. 35 DSGVO DSFA
   g) Art. 13/14 DSGVO Transparenz

   Zurechnungs-Ansätze:
   - Zurechnung zum Verantwortlichen — wer hat „verarbeitet“?
   - Zurechnung zum Auftragsverarbeiter — eigene Pflichten nach Art. 28 Abs. 3
   - Verschulden nach Art. 83 Abs. 2 lit. b DSGVO (vorsätzlich/fahrlässig)

3. Bemessungs-Verhältnismäßigkeit nach Art. 83 Abs. 2 DSGVO
   Tabelle mit Spalten: Kriterium (lit. a–k) | Maßgabe | Bescheid-Würdigung | Bestreiten-Ansatz
   Kriterien:
   a) Art, Schwere und Dauer des Verstoßes
   b) Vorsatz / Fahrlässigkeit
   c) Maßnahmen zur Minderung des Schadens
   d) Verantwortlichkeitsgrad (TOMs nach Art. 32)
   e) Frühere Verstöße
   f) Kooperation mit der Aufsichtsbehörde
   g) Kategorien betroffener Daten
   h) Art und Weise der Bekanntwerdung der Verletzung
   i) Frühere Anordnungen / Maßnahmen gegen den Verantwortlichen
   j) Einhaltung genehmigter Verhaltensregeln (Codes of Conduct) / Zertifizierungen
   k) Erschwerende / mildernde Umstände (finanzielle Vorteile / Schäden)

   Drei-Stufen-Prüfung der Bemessung:
   - Geeignetheit der Bußgeld-Höhe (zweckdienlich?)
   - Erforderlichkeit (kein milderes Mittel — z. B. Verwarnung nach Art. 58?)
   - Angemessenheit (Verhältnis zur Schwere und Wirtschafts-Größe)

4. Hilfs- und Streitfragen
   - EDPB-Leitlinien 04/2022 — Berechnungs-Methode der Aufsichtsbehörden
   - EuGH C-807/21 (Deutsche Wohnen) — Bußgeld-Adressat ist das Unternehmen
   - EuGH C-340/21 (Natsionalna agentsia) — Verschuldens-Maßstab
   - Konzern-Umsatz vs. Einzel-Tochter-Umsatz als Bemessungs-Basis
   - Konkurrenz mit nationalen OWiG-Vorschriften

5. Antrag
   - Antrag auf Aufhebung des Bescheids
   - Hilfsantrag auf Reduzierung der Bußgeld-Höhe
   - ggf. Antrag auf aufschiebende Wirkung nach § 80 Abs. 4 VwGO

# Inhalt — Block B: VG-Klage-Gerüst

1. Zuständiges Gericht
   - Verwaltungsgericht am Sitz der Aufsichtsbehörde nach § 52 Nr. 3 VwGO
   - Bei bundesweit zuständigen Behörden: VG am Behördensitz
   - Bayern: Besonderheiten nach § 41 BayDSG

2. Statthafte Klageart
   - Anfechtungsklage nach § 42 Abs. 1 Var. 1 VwGO i.V.m. § 20 BDSG
   - Klagefrist § 74 Abs. 1 VwGO — ein Monat nach Widerspruchs-Bescheid

3. Klagebegründungs-Gliederung
   - Klagebefugnis nach § 42 Abs. 2 VwGO — adressierter Bescheid genügt
   - Verweis auf Widerspruchs-Argumentation
   - Ergänzung um klageweise vorgebrachte Tatsachen
   - Beweisangebote (Zeugen, Sachverständige, Augenschein)

4. Prozessuale Hilfsanträge
   - Antrag auf aufschiebende Wirkung nach § 80 Abs. 5 VwGO bei Sofortvollzug
   - Antrag auf vorläufigen Rechtsschutz nach § 123 VwGO bei begleitenden Anordnungen
   - ggf. Vorlagefrage an EuGH nach Art. 267 AEUV

5. Kosten und Streitwert
   - Streitwert nach § 52 GKG (Bußgeld-Höhe als Anknüpfung)
   - Kostenrisiko nach § 154 VwGO (unterliegende Partei)

# Format
Markdown. Tabellen für formelle Prüfung, materielle Pflichten und
Bemessungs-Kriterien. Aufzählungen für die VG-Klage-Gerüst-Punkte.
Bei jeder Lücke / Bemessungs-Schwäche ein Markierungs-Tag:
- [STANDARD] — typischer Bescheid-Mangel, regelmäßig angreifbar
- [KRITISCH] — formaler Mangel mit Aufhebungs-Potential
- [PRUEFUNG] — anwaltliche Bewertung im Einzelfall erforderlich

# Verbote
KEINE Erfolgsaussichten-Prognose in Prozent.
KEINE Empfehlung zur Vergleichs-Bereitschaft der Behörde.
KEINE Spekulation zur Bußgeld-Reduktion.
KEINE prozesstaktische Reihenfolgen-Empfehlung ohne anwaltliche Wertung.

Bußgeld-Bescheid (Auszug)

Aufsichtsbehörde: [[Behoerde-2a4c]]
Aktenzeichen: [[Aktenzeichen-2a4c]]
Bescheid-Datum: [[Datum-1f4e]]

Verantwortlicher (Adressat des Bescheids):
  [[Unternehmensname-7b3e]], [[Adresse-7b3e]],
  vertreten durch [[Vorname-7b3e]] [[Nachname-7b3e]] (Geschäftsführung).

Tenor:
  Gegen [[Unternehmensname-7b3e]] wird wegen Verstoßes gegen
  Art. 32 Abs. 1 DSGVO und Art. 33 Abs. 1 DSGVO ein Bußgeld in
  Höhe von EUR 1.450.000,00 (in Worten: eine Million
  vierhundertfünfzigtausend Euro) verhängt.

Begründung (Auszug):
  Am [[Datum-3h7g]] wurde im Unternehmen [[Unternehmensname-7b3e]]
  ein Cyber-Angriff bekannt, bei dem über einen offen gelassenen
  Cloud-Bucket des Sub-Prozessors [[Unternehmensname-9b6a]]
  Stammdaten von ca. 24.000 Endkunden öffentlich zugreifbar waren.
  Die Aufsichtsbehörde sieht Pflichtverletzungen in der unzureichenden
  Kontrolle der Sub-Prozessor-Konfiguration (Art. 32 DSGVO) und in
  der verspäteten Meldung an die Aufsichtsbehörde — sie erfolgte
  erst am [[Datum-2g5f]], vier Tage nach Kenntnis am [[Datum-3h7g]].

  Bei der Bemessung wurden berücksichtigt:
  - Schwere des Verstoßes: hoch (24.000 Betroffene)
  - Verschulden: fahrlässig
  - Gegenmaßnahmen: Bucket sofort gesperrt
  - Kooperation: Sachverhalt wurde nach Anhörung vollständig offengelegt
  - Wirtschafts-Größe: Konzern-Umsatz [[Betrag-7b3e]] im Vorjahr

Anhörung:
  Die Anhörung nach § 28 VwVfG erfolgte mit Schreiben vom [[Datum-4i8h]],
  Stellungnahme [[Unternehmensname-7b3e]] vom [[Datum-5j9i]].

Mandanten-Stellungnahme (Auszug):
  - Bucket-Konfiguration wurde durch [[Unternehmensname-9b6a]]
    geändert, ohne dass dies im Auftrag erfolgte.
  - Vier-Tages-Verzögerung der Meldung erklärt sich aus laufender
    Forensik — eine Sofort-Meldung wäre nach internem Stand
    irreführend gewesen.
  - Konzern-Umsatz [[Betrag-7b3e]] ist die Konzern-Mutter-Größe; die
    bußgeld-adressierte Tochter [[Unternehmensname-7b3e]] hat eigene
    Umsatz-Größenordnung von [[Betrag-7c4f]].

# Widerspruch gegen Bußgeld-Bescheid — Strukturierter Entwurf

## Block A — Widerspruch

### 1. Formelle Rechtmäßigkeit

| Prüfpunkt | Anforderung | Befund | Mangel? |
|---|---|---|---|
| Zuständigkeit | LfDI/BfDI nach Sitz | [[Behoerde-2a4c]] adressiert [[Unternehmensname-7b3e]] | [PRUEFUNG] Lead-Aufsicht Art. 56 DSGVO prüfen |
| Anhörung § 28 VwVfG | vor Bescheid-Erlass | Anhörung [[Datum-4i8h]], Stellungnahme [[Datum-5j9i]] | — |
| Begründung § 39 VwVfG | Tatsachen + Ermessen | Bemessungs-Begründung pauschal | [STANDARD] Konkretisierung der Einzel-Kriterien fehlt |
| Bekanntgabe § 41 VwVfG | Zustellungsnachweis | im Auszug nicht erkennbar | [PRUEFUNG] Bescheid-Original prüfen |
| Rechtsbehelfsbelehrung | § 37 Abs. 6 VwVfG | im Auszug nicht erkennbar | [PRUEFUNG] Bescheid-Original prüfen |
| Verjährung Art. 83 DSGVO | Abs. 5/6 — drei Jahre | Vorfall [[Datum-3h7g]], Bescheid [[Datum-1f4e]] — innerhalb Frist | — |

### 2. Materielle Tatbestands-Prüfung

| Pflichtverletzung | Normgrundlage | Sachverhalts-Substanz | Bestreitens-Ansatz |
|---|---|---|---|
| Unzureichende Sub-Prozessor-Kontrolle | Art. 32 DSGVO | Bucket des Sub-Prozessors [[Unternehmensname-9b6a]] öffentlich zugreifbar | [PRUEFUNG] Zurechnung zum Verantwortlichen — Bucket-Änderung außerhalb des Auftrags |
| Verspätete Meldung | Art. 33 Abs. 1 DSGVO | 4 Tage zwischen [[Datum-3h7g]] (Kenntnis) und [[Datum-2g5f]] (Meldung) | [STANDARD] Forensik-Argument: Sofort-Meldung wäre irreführend gewesen, Art. 33 Abs. 4 DSGVO Nachreichungs-Mechanik |

Zurechnungs-Ansätze:
- **Zurechnung Bucket-Mangel:** [[Unternehmensname-9b6a]] änderte die Konfiguration eigenmächtig — Zurechnung zum Verantwortlichen [[Unternehmensname-7b3e]] nur über Art. 28-Pflichten, nicht über eigene Verarbeitung [PRUEFUNG]
- **Verschulden Art. 83 Abs. 2 lit. b DSGVO:** fahrlässig im Bescheid bejaht — Mandanten-Stellungnahme stützt eher leichte Fahrlässigkeit (Sub-Prozessor-Auswahl sorgfältig erfolgt, AVV vorhanden) [STANDARD]

### 3. Bemessungs-Verhältnismäßigkeit nach Art. 83 Abs. 2 DSGVO

| Kriterium | Maßgabe | Bescheid-Würdigung | Bestreiten-Ansatz |
|---|---|---|---|
| a) Art, Schwere, Dauer | objektiv | „hoch (24.000 Betroffene)“ | [STANDARD] Schwere relativiert durch Datenkategorie (Stammdaten ohne Art. 9, ohne IBANs) |
| b) Vorsatz/Fahrlässigkeit | subjektiv | „fahrlässig“ pauschal | [STANDARD] leichte Fahrlässigkeit substantiieren — AVV vorhanden, Sub-Prozessor-Auswahl sorgfältig |
| c) Schadensminderung | nachträglich | „Bucket sofort gesperrt“ | — mildernd anerkannt |
| d) Verantwortlichkeitsgrad TOMs | Art. 32 | im Bescheid nicht aufgeschlüsselt | [STANDARD] eigene TOMs des Verantwortlichen darstellen |
| e) Frühere Verstöße | Vorbelastung | im Bescheid nicht angesprochen | [STANDARD] keine Vorbelastung — milderndes Argument |
| f) Kooperation | Mitwirkung | „vollständig offengelegt“ | — mildernd anerkannt |
| g) Datenkategorien | Sensitivität | Stammdaten — keine Art. 9 | [STANDARD] mildernd: keine Art.-9-Daten, keine Kinder-Daten |
| h) Bekanntwerdung | Quelle | Sub-Prozessor-Meldung | [STANDARD] mildernd: eigene Aufdeckung, nicht Aufsichtsbehörden-Initiative |
| i) Frühere Anordnungen | Vorbescheide | im Bescheid nicht angesprochen | [STANDARD] keine — milderndes Argument |
| j) Codes of Conduct | Zertifizierungen | im Bescheid nicht angesprochen | [PRUEFUNG] ISO 27001 / TISAX vorhanden? Falls ja: einbringen |
| k) Erschwerende/mildernde Umstände | finanziell | Konzern-Umsatz [[Betrag-7b3e]] als Basis | [KRITISCH] Bemessungs-Basis prüfen — Tochter-Umsatz [[Betrag-7c4f]] oder Konzern? |

**Drei-Stufen-Prüfung der Bemessung:**
- **Geeignetheit:** Bußgeld grundsätzlich geeignet, generalpräventiv zu wirken — unbestritten
- **Erforderlichkeit:** Verwarnung nach Art. 58 Abs. 2 lit. b DSGVO als milderes Mittel nicht geprüft — [STANDARD] bei Erst-Verstoß typisch verlangt
- **Angemessenheit:** EUR 1.450.000 bei [[Betrag-7c4f]] (Tochter) oder [[Betrag-7b3e]] (Konzern)? [KRITISCH] Bemessungs-Basis ist entscheidende Streitfrage

### 4. Hilfs- und Streitfragen
- EDPB-Leitlinien 04/2022 — die im Bescheid genutzte Bemessungs-Methode ist nicht offengelegt [STANDARD]
- EuGH C-807/21 (Deutsche Wohnen) — Bußgeld-Adressat ist das Unternehmen; gilt direkt
- EuGH C-340/21 (Natsionalna agentsia) — Verschulden ist Voraussetzung, nicht nur Pflichtverletzung
- Bemessungs-Basis Konzern vs. Tochter: Art. 83 Abs. 5 DSGVO spricht von „Unternehmen“ — Auslegung zugunsten der Tochter-Größe vertretbar [KRITISCH]

### 5. Antrag
1. **Hauptantrag:** Aufhebung des Bescheids
2. **Hilfsantrag 1:** Reduzierung des Bußgeldes auf einen verhältnismäßigen Betrag
3. **Hilfsantrag 2:** Antrag auf aufschiebende Wirkung nach § 80 Abs. 4 VwGO bei Anordnung der sofortigen Vollziehung

---

## Block B — VG-Klage-Gerüst

### 1. Zuständiges Gericht
- VG am Sitz der [[Behoerde-2a4c]] nach § 52 Nr. 3 VwGO
- Bayern: Besonderheiten nach § 41 BayDSG ggf. zu prüfen

### 2. Statthafte Klageart
- Anfechtungsklage nach § 42 Abs. 1 Var. 1 VwGO i.V.m. § 20 BDSG
- Klagefrist § 74 Abs. 1 VwGO: ein Monat nach Bekanntgabe des Widerspruchs-Bescheids

### 3. Klagebegründungs-Gliederung
- Klagebefugnis nach § 42 Abs. 2 VwGO — Bescheid adressiert [[Unternehmensname-7b3e]]
- Verweis auf Widerspruchs-Argumentation (Bemessungs-Basis, TOMs-Würdigung, Verschuldens-Grad)
- Klageweise Ergänzungen: Sachverständigen-Gutachten zur TOMs-Bewertung; Zeugen aus Forensik-Team

### 4. Prozessuale Hilfsanträge
- Antrag auf aufschiebende Wirkung nach § 80 Abs. 5 VwGO bei Sofortvollzug
- Vorlagefrage EuGH Art. 267 AEUV — bei Klärungsbedarf zur Bemessungs-Basis Konzern vs. Tochter [PRUEFUNG]

### 5. Kosten und Streitwert
- Streitwert nach § 52 GKG: anknüpfend an Bußgeld-Höhe EUR 1.450.000
- Kostenrisiko nach § 154 VwGO

[ANWALT-PRUEFUNG: Erfolgsaussichten der einzelnen Argumente, Vergleichs-
Bereitschaft der Aufsichtsbehörde, prozesstaktische Reihenfolge (Widerspruch
zuerst — Klage parallel oder nachgelagert?) erfolgen anwaltlich.]