Serie Betroffenenrechte: Das Recht auf Beschwerde bei einer Aufsichtsbehörde nach Art. 77 DSGVO

Dies ist der achte und vorletzte Artikel aus unserer Artikelreihe zu den Betroffenenrechten. Nach der Einleitung zu allgemeinen Regelungen des Art. 12 DSGVO, unseren Erläuterungen zum Auskunftsrecht gemäß Art. 15 DSGVO, den Artikeln zum Berichtigungs- und Löschungsrecht gemäß Artt. 16 und 17 DSGVO, zum Recht auf Einschränkung der Verarbeitung gemäß Art. 18 DSGVO und zum Recht auf Datenübertragbarkeit gemäß Art. 20 DSGVO sowie dem Widerspruchsrecht (Art. 21 DSGVO) befasst sich dieser Artikel mit dem Beschwerderecht der betroffenen Personen gemäß Artikel 77 DSGVO.

Alle inhaltlichen Anforderungen des Beschwerderechts sind in Abs. 1 geregelt. Danach steht betroffenen Personen das Recht zu, bei einer Aufsichtsbehörde Beschwerde einzureichen, wenn sie der Auffassung sind, dass die Verarbeitung der sie betreffenden Daten gegen die Regelungen der DSGVO verstößt. Die Aufsichtsbehörde muss sich der Sache annehmen und die Beschwerdeführer über den Stand und das Ergebnis der Ermittlungen informieren. Als Ergebnis der Überprüfung kann eine Behörde gegebenenfalls Sanktionen gegen den jeweiligen Verantwortlichen (z.B. das Unternehmen) verhängen.

Eigentlich selbsterklärend: Vermeiden Sie Beschwerden

Neben allen Tipps zum Umgang mit Beschwerden, wäre es natürlich optimal, solche Beschwerden von vornherein zu vermeiden. Aus Sicht der Unternehmen wäre es begrüßenswert, etwaige Kritikpunkte direkt mit den betroffenen Personen zu klären. Es sollte also dafür gesorgt werden, dass Anfragen bzw. Beschwerden betroffener Personen nicht an die Aufsichtsbehörde gerichtet werden, sondern in erster Linie an den für die Verarbeitung Verantwortlichen. Darüber hinaus ist es häufig auch für die betroffene Person zielführender, sich mit ihrem Anliegen beispielsweise an den Datenschutzbeauftragten des Verantwortlichen zu richten. Die Datenschutzbeauftragten der Verantwortlichen bearbeiten solche Anfragen in der Regel schnell und unbürokratisch, während bei Beschwerdeverfahren über die Aufsichtsbehörde erfahrungsgemäß mit einer recht langen  Bearbeitungszeit zu rechnen ist.

Nun regeln unter anderem die Artt. 13, 14 und 15 DS-GVO unter anderen eindeutig, dass die betroffenen Personen bei nahezu jeder Gelegenheit über ihr Beschwerderecht bei der Aufsichtsbehörde zu informieren sind. Diese Information einfach wegzulassen, ist also nicht anzuraten. Sinnvoller erscheint unseres Erachtens im Rahmen der zu gebenden Informationen stets auch darüber zu informieren, dass man den Anfragen betroffener Personen selbstverständlich offen gegenübersteht und entsprechende Kontaktdaten zur Verfügung zu stellen. Unserer Meinung nach sollten die direkten Kontaktdaten des oder der Datenschutzbeauftragten leicht auffindbar sein und auch tatsächlich zu einem direkten Kontakt mit einer für den Datenschutz zuständigen Person führen.

Was sind die Beschwerdegründe?

Aktuell dürfte einer der Hauptgründe für Beschwerden bei der Aufsichtsbehörde eine nicht, nicht zufriedenstellend oder nicht fristgemäß erfolgte Beantwortung von Betroffenenanfragen durch ein Unternehmen sein, vor allem, wenn ein fachkundiger Mitarbeiter (z.B. ein Datenschutzbeauftragter oder ein Datenschutzkoordinator) fehlt, der eine Anfrage bzw. Beschwerde schnell und unbürokratisch bearbeiten könnte. Aus diesem Grund ist es für die Unternehmen wichtig, die Anforderungen der Betroffenenrechte vollumfänglich zu erfüllen. Unternehmen sollten daher frühzeitig entsprechende Prozesse und Arbeitsanweisungen definieren, um eine fristgemäße Beantwortung sicherstellen zu können. Mindestens ebenso wichtig ist allerdings, diese Prozesse flächendeckend im Unternehmen bekannt zu machen. Weiteres zu den Betroffenenrechten finden Sie in unserer Blogartikel-Galerie, wo wir bereits in der Vergangenheit zahlreiche Beiträge zu diesem Themenbereich veröffentlicht haben.

Zuständige Aufsichtsbehörde

Neben verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfen hat jede Person das Recht auf Beschwerde bei einer Aufsichtsbehörde. Welche Aufsichtsbehörde zur Bearbeitung der Beschwerde zuständig ist, muss je nach Sachlage entschieden werden.

Jedes Bundesland hat (mindestens) eine eigene Aufsichtsbehörde. Die betroffene Person kann sich an die Aufsichtsbehörde seines Bundeslandes oder an die Aufsichtsbehörde des Bundeslandes, in dem der Verantwortliche seinen Firmensitz hat, wenden. Federführende Aufsichtsbehörde ist jedoch immer die in dem der Verantwortliche oder der Auftragsverarbeiter seine Hauptniederlassung hat. Die Behörde übernimmt nach Antragseingang die Bearbeitung der Beschwerde und tritt mit dem belasteten Unternehmen in Kontakt.

Betrifft die Beschwerde einen grenzüberschreitenden Datenverarbeitungsvorgang muss die Aufsichtsbehörde, bei der die Beschwerde eingelegt wurde, das Verfahren der Zusammenarbeit mit der federführenden Behörde nach Artikel 60 DSGVO beschreiten und bei Meinungsverschiedenheiten, die beide Behörden nicht ausräumen können, auch noch das Kohärenzverfahren durchführen.

In Fällen grenzüberschreitender Datenverarbeitungsvorgänge wird die betroffene Person dieses Beschwerderecht voraussichtlich in ihrem Heimatland wahrnehmen, unabhängig davon wo der Verantwortliche seinen Sitz hat. Dieses ist nach Artikel 56 Abs. 2 DSGVO zulässig und hat für die betroffene Person den Vorteil, die Beschwerde in ihrer Muttersprache vornehmen zu können und sich nicht unmittelbar mit dem Verantwortlichen in einem anderen Mitgliedstaat in einer fremden Sprache auseinandersetzen zu müssen.

Form der Beschwerde

Das Einreichen einer Beschwerde bei der Aufsichtsbehörde ist grundsätzlich kostenlos. Die Beschwerde geht in der Regel per E-Mail in Textform ein. Es können hierfür aber auch andere Medien, wie beispielsweise ein Online-Formular oder der schriftliche Brief verwendet werden.

Die Beschwerde sollte die Aufsichtsbehörde in die Lage versetzen, anhand der vorliegenden Angaben zu bewerten, ob die Verarbeitung der betreffenden personenbezogenen Daten gegen die DSGVO verstößt. Hierfür muss der Verstoß so detailliert dargestellt sein, dass einem fachkundiger Dritten diese Beurteilung möglich ist. Konkrete Anforderungen an den Inhalt der Beschwerde definiert die DSGVO nicht. Es sollten jedoch mindestens Angaben über die Person, den Verantwortlichen oder Auftragsverarbeiter und grobe Angaben zum vermeintlichen Verstoß vorliegen.

Bei missbräuchlicher Inanspruchnahme kann die Behörde die Bearbeitung verwehren oder sogar Gebühren für deren Bearbeitung verlangen (siehe Artikel 57 Abs. 4 DSGVO).

Wie müssen Verantwortliche reagieren?

Schriftliche Anfragen, die aufgrund einer Beschwerde beim Verantwortlichen (z.B. Unternehmen) seitens der Aufsicht eingehen, sind in der Regel mit einer Frist für die Beantwortung versehen. Die vorgegebene Frist sollte unbedingt eingehalten werden. Falls dies aus bestimmten Gründen einmal nicht möglich sein sollte, beispielsweise weil der Aufwand für die Beantwortung hoch ist, sollte innerhalb der Frist eine Fristverlängerung beantragt werden.

Es kann auch vorkommen, dass unverzüglich eine Antwort gefordert wird. Unverzüglich bedeutet in diesem Zusammenhang ohne „schuldhaftes Verzögern“. Keine Panik, es ist im Normalfall immer ausreichend Zeit vorhanden, alle wichtigen Informationen zusammenzutragen und ein Antwortschreiben zu entwerfen. Die Erfahrung zeigt jedoch, dass insbesondere viele Unternehmen eine Beschwerde bei der Aufsicht nicht ernst genug nehmen. Hierfür kann am Ende ein saftiges Bußgeld drohen. Daher empfehlen wir, dass Sie sich bei der Beantwortung von Anfragen der Aufsichtsbehörden durch Ihren Datenschutzbeauftragten beraten und unterstützen lassen.

Was nun?

Sofern Sie noch keinen Ablaufplan für solche Fälle festgelegt haben, sollte dies umgehend nachgeholt werden. Also, schnappen Sie sich Ihren Datenschutzbeauftragten, um einen Plan zu entwerfen, wie bei derartigen Fällen vorzugehen ist. Ein Ablaufplan muss individuell erstellt und in die bestehenden Prozesse integriert werden.

Vergessen Sie zu keinem Zeitpunkt die verantwortlichen Mitarbeiter, welche die Anfragen betroffener Personen beantworten, zu sensibilisieren und Ihnen den Reaktionsplan zu jedem Zeitpunkt zugänglich zu machen. Denn sicher ist, dass jede Anfrage einer betroffenen Person, die verspätet oder unvollständig beantwortet wird, unmittelbar das Risiko einer Beschwerde bei einer Aufsichtsbehörde mit sich bringt. Daraus kann unter anderem eine Prüfung durch die Behörde resultieren, völlig unabhängig davon, ob die Beschwerde berechtigt ist oder nicht.

Benötigen Sie Unterstützung bei der Entwicklung des Reaktionsplans? Rufen Sie uns an, wir unterstützen!

Dieser Artikel ist Teil unserer Reihe zu den Betroffenenrechten. Die weiteren Artikel finden Sie hier: