Sowohl die BfDI als auch die Landesdatenschutzbehörden informieren regelmäßig in Pressemitteilungen über aktuelle Bußgeldverfahren. Mitunter werden dabei auch die betroffenen Unternehmen namentlich genannt. Doch ist dieses Vorgehen überhaupt rechtlich zulässig und welche Grenzen haben die Behörden dabei einzuhalten? In anderen Rechtsgebieten existiert zu diesen Fragen durch umfangreiche Rechtsprechung - allerdings bislang nicht speziell im Bereich des Datenschutzrechts.

Aktuelle Entscheidung des Bundesverfassungsgerichts

Mit Beschluss vom 28. Juli 2025 (Az. 1 BvR 1949/24) hat das Bundesverfassungsgericht entschieden, dass die beabsichtigte Veröffentlichung von Informationen über einen Verstoß gegen lebensmittelrechtliche Vorschriften unzulässig ist.

Der Hintergrund der Entscheidung war eine Betriebsprüfung bei der Beschwerdeführerin, bei der das zuständige Ordnungsamt zahlreiche Verstöße gegen lebensmittelrechtliche Vorschriften feststellte. Die Behörde kündigte daraufhin an, die festgestellten Mängel auf einer Verbraucherschutz-Website zu veröffentlichen. Rechtsgrundlage hierfür ist § 40 Abs. 1a S. 1 Nr. 3 des Lebensmittel- und Futtermittelgesetzbuchs (LFGB), der die zuständigen Behörden verpflichtet, die Öffentlichkeit bei bestimmten Verstößen gegen Lebensmittelrecht unverzüglich zu informieren. Nachdem sowohl das VG Frankfurt a. M. als auch der Hessische VGH den Antrag der Beschwerdeführerin auf einstweiligen Rechtsschutz zurückgewiesen hatten, erhob das Unternehmen Verfassungsbeschwerde. Es sah sich in seiner Berufsfreiheit nach Art. 12 Abs. 1 GG verletzt. Im Mittelpunkt der verfassungsrechtlichen Prüfung stand dabei das Tatbestandsmerkmal der „Unverzüglichkeit“. Zwischen der Kontrolle und der beabsichtigten Veröffentlichung waren zu diesem Zeitpunkt mittlerweile ca. 17 Monate vergangen. Das Unternehmen argumentierte, dass eine Veröffentlichung nach einem derart langen gerichtlichen Verfahren nicht mehr als unverzüglich angesehen werden könne.

Die Kammer kam zum Ergebnis, dass obwohl die durch das laufende gerichtliche Eilverfahren bedingte zeitliche Verzögerung bei der Beurteilung der Unverzüglichkeit grundsätzlich nicht zu berücksichtigen ist, die Behörde trotzdem prüfen muss, ob nach Umständen des Einzelfalles die Veröffentlichung noch angemessen ist.

Im vorliegenden Fall konnte die Veröffentlichung schon wegen der langen zeitlichen Verzögerung ihren Zweck nicht mehr erfüllen und war nicht mehr aktuell. Das Gericht berücksichtigte unter anderem, dass die Verzögerung nicht der Sphäre des Unternehmens zurechenbar war und dass keine sachlichen Gründe erkennbar waren, die die Verzögerung noch als angemessen erscheinen lassen könnten.  Damit war der Eingriff in das Grundrecht aus Art. 12 Abs. 1 GG nicht gerechtfertigt.

Ähnliche Entscheidungen aus anderen Rechtsgebieten

Die Problematik des sog. „naming and shaming“, also der öffentlichen Namensnennung von sanktionierten Unternehmen, ist nicht neu und führt seit Jahren immer wieder zu Rechtsstreitigkeiten. So entschied das VG Köln (Urt. v. 17.11.2023, 1 K 3664/21) im Jahr 2023, dass die Bundesnetzagentur keine Pressemitteilungen veröffentlichen durfte, in denen sie die sanktionierten Unternehmen namentlich nennt. Grund dafür war das Fehlen einer entsprechenden Rechtsgrundlage.

Anders ist die Rechtslage, wenn das anwendbare Spezialrecht eine Veröffentlichungsbefugnis oder sogar -pflicht vorsieht. So kam der VGH Hessen (Beschl. v. 04.08.2022, 6 B 134/22) in einem Fall zum Ergebnis, dass die Bekanntmachung der Unternehmensnamen nach § 60b KWG zulässig ist. Die Vorschrift enthalte eine ausdrückliche Veröffentlichungspflicht und nur in bestimmten Fällen eine anonymisierte Veröffentlichung zulässt. In dieser Entscheidung macht der Gerichtshof auch die Funktion der Veröffentlichungsbefugnis deutlich. Ein wichtiger Aspekt ist nämlich der Abschreckungseffekt und nicht nur bloße Dokumentation der behördlichen Tätigkeit.

Naming & Shaming im Datenschutzrecht?

Obwohl die Aufsichtsbehörden in ihren Tätigkeitsberichten und Pressemitteilungen manchmal auch die Namen der sanktionierten Unternehmen nennen, ist die Rechtslage im datenschutzrechtlichen Bereich nicht ganz eindeutig.

Gerichte erkennen bei Naming & Shaming ausdrücklich an, dass die Namensnennung einen Eingriff in die Berufsfreiheit nach Art. 12 Abs. 1 GG sein kann. Art. 12 Abs. 1 S. 2 GG normiert einen Gesetzesvorbehalt als Schranke für Eingriffe in dieses Grundrecht. Sollte die Behörde beabsichtigen, den Namen eines Unternehmens zu veröffentlichen und damit in dessen grundrechtlich geschützte Position einzugreifen, ist eine entsprechende gesetzliche Rechtsgrundlage erforderlich. Im datenschutzrechtlichen Bereich ist die Wahl einer solchen Rechtsgrundlage allerdings nicht so einfach.

In der DSGVO

Der Wortlaut des Art. 57 Abs. 1 lit. b DSGVO lässt den Schluss zu, dass zu den Aufgaben der Behörde auch die Information der Öffentlichkeit über verhängte Bußgelder gehört. Zwar enthält die Vorschrift keine ausdrückliche Regelung hierzu. Die Vorschrift regelt eine Veröffentlichung nicht ausdrücklich, die Risikoaufklärung kann aber grundsätzlich auch die Information über Unternehmen umfassen, die personenbezogene Daten rechtswidrig verarbeiten. Problematisch ist allerdings die Natur der Norm: Aus Überschrift und Wortlaut von Art. 57 Abs. 1 lit. b DSGVO wird klar, dass es sich lediglich um eine aufgabenzuweisende Vorschrift handelt. Eine Befugnis zur Veröffentlichung lässt sich aus dieser Aufgabenbestimmung allein noch nicht ableiten. Vielmehr ist, wie die Systematik der DSGVO zeigt, eine eigenständige Befugnisnorm erforderlich.

Für die Namensnennung in Pressemitteilungen kommt auch Art. 58 Abs. 3 lit. b DSGVO in Betracht. Diese Vorschrift ist relativ offen formuliert und erlaubt der Behörde, zu allen Fragen des Datenschutzes eigenständig oder auf Anfrage Stellungnahmen abzugeben. Adressaten dieser Stellungnahmen können sowohl staatliche Institutionen wie das nationale Parlament als auch die Öffentlichkeit sein. Diese Norm mag zwar auf den ersten Blick als passende Rechtsgrundlage für „Naming & Shaming“ erscheinen. Dem ist aber entgegenzuhalten, dass sie nicht hinreichend bestimmt ist, um einen Grundrechtseingriff, der mit erheblichen wirtschaftlichen und imagebezogenen Folgen für das betroffene Unternehmen verbunden sein kann, zu rechtfertigen. Insbesondere begründet die Vorschrift weder eine Pflicht noch eine ausdrückliche Befugnis zur namentlichen Nennung des Unternehmens. Zudem wird in der Fachliteratur zutreffend darauf hingewiesen, dass diese Norm die Unterrichtung der Öffentlichkeit nur unter der Voraussetzung erlaubt, dass dies nach dem Recht des jeweiligen Mitgliedstaates zulässig ist. Damit ist sie als Öffnungsklausel zu verstehen und stellt keine eigenständige Rechtsgrundlage dar.

Für die Namensnennung in Tätigkeitsberichten kommt auch Art. 59 DSGVO in Betracht. Die Norm sieht zwar grundsätzlich einen Informationsauftrag der Aufsichtsbehörde vor, es fehlt aber auch hier an einer hinreichend konkreten Pflicht, die Namen der sanktionierten Unternehmen zu veröffentlichen. Für die informatorische Berichterstattung genügen in der Regel die Nennung der Höhe der Geldbuße sowie eine Beschreibung des Verstoßes.

Aufgrund des erkennbar repressiven Charakters der Namensnennung bei Sanktionen wird teilweise angenommen, dass „Naming and Shaming“ als Bestandteil der Sanktion selbst zu verstehen sei. Allerdings ist die Namensnennung in Pressemitteilungen nicht unter den Abhilfebefugnissen der Behörden nach Art. 58 Abs. 2 DSGVO geregelt. Auch aus Art. 84 DSGVO lässt sich keine Rechtsgrundlage ableiten.

Pressegesetze

Alle Landespressegesetze enthalten Vorschriften, die das Auskunfts- und Informationsrecht der Presse regeln. Beispiele hierfür sind § 4 PresseG Berlin, § 4 BayPrG und § 4 PresseG NRW. Demnach sind die Behörden verpflichtet, den Vertretern der Presse die zur Erfüllung ihrer öffentlichen Aufgabe erforderlichen Auskünfte zu erteilen. Die Auskunftspflichten der Behörden werden außerdem aus Art. 5 Abs. 1 S. 2 Var. 1 GG abgeleitet.

Allerdings können Pressemitteilungen der Datenschutzbehörden kaum auf diese Rechtsgrundlagen gestützt werden. Zum einen sieht das Recht auf Auskunft der Presse keine proaktive Veröffentlichungspflicht vor, sondern verpflichtet die Behörden lediglich dazu, auf konkrete Anfragen der Presse zu reagieren, sofern keine gesetzlichen Verweigerungsgründe entgegenstehen. Zum anderen werden durch Online-Pressemitteilungen nicht nur die Presse, sondern die breite Öffentlichkeit informiert. In diesem Zusammenhang hat das OVG NRW (Beschl. v. 04.02.2021, 4 B 1380/20) entschieden, dass eine Veröffentlichung von Pressemitteilungen im Internet, die der Allgemeinheit zugänglich gemacht werden, nicht durch § 4 PresseG NRW gedeckt ist.

Sonstige Vorschriften

Am 16. Juni 2025 hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden (DSK) die Musterrichtlinien für das Verfahren über Geldbußen der Datenschutzaufsichtsbehörden (MRiDaVG) beschlossen. Diese sollen insbesondere die Gleichförmigkeit datenschutzaufsichtsbehördlicher Verfahren über Geldbußen herstellen. Nach Nr. 23 MRiDaVG sind Mitteilungen an die Öffentlichkeit im Rahmen der eigenen Öffentlichkeitsarbeit zulässig, sofern sie sachlich und zutreffend erfolgen. Grundsätzlich sollen solche Mitteilungen erst nach Zustellung oder sonstiger Bekanntmachung des Bescheids veröffentlicht werden.

Die Musterrichtlinien sind als interne Verwaltungsvorschriften vorgesehen, die von den jeweiligen Behörden zeitnah erlassen werden sollen. Da die Verwaltungsvorschriften aber nur die Verwaltung selbst binden und keine Außenwirkung entfalten, kann ein Grundrechtseingriff nicht allein durch solche Vorschriften gerechtfertigt werden.

Fazit

Im Ergebnis dürfte den Datenschutzaufsichtsbehörden derzeit keine Rechtsgrundlage zur Verfügung stehen, um Pressemitteilungen mit namentlicher Nennung von Unternehmen über verhängte Bußgelder im Internet zu veröffentlichen. Die Entscheidung des Bundesverfassungsgerichts verdeutlicht, dass selbst bei bestehender Ermächtigung nach spezialrechtlichen Vorschriften die Voraussetzungen einer Informationsbefugnis oder -pflicht stets sorgfältig zu prüfen sind. Die grundrechtliche Relevanz solcher Veröffentlichungen ist seit langem anerkannt, weshalb sich eine solche Befugnis nicht allein aus allgemeinen Grundsätzen wie Transparenz der öffentlichen Verwaltung ableiten lässt.

Wird dem Unternehmen die Veröffentlichungsabsicht der Behörde bekannt, sollte geprüft werden, ob ein öffentlich-rechtlicher Unterlassungsanspruch besteht. Bei bereits veröffentlichten Informationen besteht in vielen Fällen ein öffentlich-rechtlicher Folgenbeseitigungsanspruch. Da dieser aber die Verbreitung der Pressemitteilung durch Journalisten oder Datenschutzrechtler nicht verhindern kann, ist die praktische Wirksamkeit solcher Maßnahmen begrenzt.