Was prüft die Datenschutzaufsicht bei einer Beschwerde?

Fachbeitrag

In diesem Beitrag soll aufgezeigt werden, was die Datenschutzaufsicht bei datenschutzrechtlichen Beschwerde von Betroffenen nach Art. 77 DSGVO prüft und welche Ansprüche des Betroffenen sich gegenüber den Aufsichtsbehörden hieraus ergeben.

Wer ist beschwerdeberechtigt?

Es gibt unterschiedliche Beschwerdeberechtigte in der DSGVO:

  • die betroffene natürliche Person
    In Art. 77 Abs. 1 DSGVO ist als beschwerdeberechtigt, die betroffene Person gemäß Art. 4 Nr. 1 DSGVO, mithin eine natürliche Person, angeführt. Zu beachten ist, dass der Begriff der betroffenen Person weit auszulegen ist. Für die Beschwerdeberechtigung reicht es daher aus, dass die Verarbeitung der personenbezogenen Daten der betroffenen Person nicht ausgeschlossen werden kann – allerdings ist eine rein theoretische Betroffenheit nicht ausreichend.
  • Verbände und Organisationen
    Art. 80 DSGVO ermächtigt Verbände und Organisationen im Namen von betroffenen Personen gem. Art. 80 Abs. 1 DSGVO und auf der Grundlage von nationalem Recht Beschwerden aus eigenem Recht einzulegen, die wie Beschwerden der betroffenen Personen zu behandeln sind.
  • sonstige Personen
    Auch jede andere Person kann „Beschwerden“ einlegen, wobei diese dann nicht als Beschwerden im Sinne von Art. 77 DSGVO zu klassifizieren sind, sondern vielmehr als Hinweise von Dritten, die diesen gegenüber keinerlei Recht auf Prüfung, Unterrichtung oder Rechtsschutz geben.

Wohin kann sich die beschwerdeberechtigte Person wenden?

Zwar ist das Beschwerderecht der betroffenen Person gem. EG 141 S. 1 auf eine einzige Aufsichtsbehörde beschränkt, jedoch kann sich die betroffene Person an jede beliebige Aufsichtsbehörde wenden. Die in Art. 77 DSGVO angeführten Möglichkeiten sind:

  • in dem Mitgliedsstaat des gewöhnlichen Aufenthaltsortes
  • am Ort des Arbeitsplatzes
  • am Ort des mutmaßlichen Verstoßes

Dies sind nur Beispiele aber keine abschließende Zuständigkeitsregelung. Sobald die Beschwerde bei einer Aufsichtsbehörde eingereicht wird, ist diese die betroffene Aufsichtsbehörde gem. Art. 4 Nr. 22 DSGVO. Alle weiteren Aufsichtsbehörden können die Bearbeitung der Beschwerde sodann verweigern. Eine Aufstellung der in Deutschland vorhandenen Aufsichtsbehörden findet sich auf der Website des Bundesbeauftragten für Datenschutz und Informationsfreiheit.

Was ist der Beschwerdegegenstand?

Der Inhalt der Beschwerde, d.h. der Beschwerdegegenstand ist sehr weit gefasst. Ausreichend ist, dass die betroffene Person durch die Datenverarbeitung einen Verstoß gegen die DSGVO sieht und diesen form- und fristlos gegenüber der Datenschutzaufsichtsbehörde darlegt. Dies ist immer der Fall, wenn es sich um

  • die Verletzung von Betroffenenrechten
  • den Verstoß gegen objektive Vorschriften

handelt und dabei die personenbezogenen Daten der betroffenen Person, die die Beschwerde eingereicht hat, tangiert sind. Aufgrund der Fristlosigkeit kann auch keine Verwirkung des Beschwerderechts eintreten, wenn ein Verstoß bereits seit längerem beendet ist. Dies birgt für den Verantwortlichen die Gefahr, dass er auch noch viele Jahre nach Beendigung der Datenverarbeitung ein Bußgeld erhalten kann, es sei denn, der Verstoß ist bereits verjährt. In diesem Fall kann von einem Bußgeld abgesehen werden.

Bei der Darlegung des Sachverhaltes ist keine schlüssige Darlegung gefordert, wie das im Zivilrecht notwendig ist. Erforderlich sind Angaben zum Beschwerdeführer, so dass dessen Beschwerdeberechtigung geprüft werden kann und die Beschreibung eines Sachverhaltes, der der Aufsichtsbehörde die Beurteilung des Sachverhaltes ermöglicht, auch wenn diese noch mittels Rückfragen bei Beschwerdeführer auf die Substantiierung hinwirken muss.

Umfang der Beschwerdeprüfung

Klar ist, dass die Behörden keine querulatorische und keine offensichtlich unbegründeten Beschwerden bearbeiten müssen. Im Übrigen müssen sie, nachdem der Amtsermittlungsgrundsatz gilt, auch allen anderen Anhaltspunkten, die sich aus Beschwerden ergeben, mit der gebotenen Sorgfalt und in angemessenen Umfang gem. Art. 57 Abs. 1 lit. f DSGVO nachgehen. Eine klare Regelung, was angemessen ist, ergibt sich aus Art. 57 DSGVO nicht. In EG 141 wird darauf verwiesen, dass der Umfang der Ermittlung vorbehaltlich einer gerichtlichen Prüfung dem Einzelfall entsprechen sollte. Der Umfang der Ermittlungen ergibt sich demnach u.a.

  • aus der Schwere des dargelegten Verstoßes gegen die DSGVO sowie
  • anderer Aspekte, wie diese in Art. 83 Abs. 2 DSGVO angeführt sind.

Ferner muss die Datenschutzaufsicht dem Beschwerdeführer in der Entscheidung eine Rechtsbehelfsbelehrung geben.

Frist für die Beschwerdeprüfung

Für die Bearbeitung der Beschwerde soll innerhalb einer angemessenen Frist jedoch gem. Art. 78 Abs. 3 DSGVO in höchstens drei Monaten reagiert werden. Querulatorische Beschwerden müssen weder bearbeitet noch beantwortet werden. Sie unterliegen daher keiner Frist. Anders ist es für offensichtlich unbegründete Beschwerden. Da das Beschwerderecht ein Grundrecht darstellt, soll es auch jedem möglich sein, sich mit seinem Anliegen an die Behörde zu wenden. Die Beurteilung, ob der Sachverhalt unbegründet ist, ergibt sich aus einer dem Sachverhalt angemessenen Prüfung und trägt den Umständen Rechnung, dass nicht alle Beschwerdeführer juristisch vorgebildet sind. Es ist daher geboten, diese Beschwerden gegenüber dem Betroffenen auch innerhalb der Frist zu beantworten.

Handelt es sich um einen höchst komplexen Fall, kann die Bearbeitungsfrist auch überschritten werden, jedoch ist der Beschwerdeführer über den Fortschritt der Bearbeitung auf dem Laufenden zu halten. Die Tatsache der Arbeitsüberlastung an sich und die geringe Personalausstattung rechtfertigt ein Überschreiten der Frist nicht.

Hat der Beschwerdeführer einen Anspruch auf eine bestimmte Entscheidung?

Der Beschwerdeführer hat einen Anspruch auf das Ergebnis der tatsächlichen Prüfung sowie deren rechtliche Bewertung soweit es sich nicht um eine exzessive Beschwerde handelt. Er hat jedoch keinen Anspruch auf eine bestimmte Entscheidung, vielmehr hat der Beschwerdeführer nur den Anspruch, dass sich die Behörde mit der Beschwerde befasst und innerhalb der Frist den Beschwerdeführer informiert. Der Beschwerdeführer hat jedoch keinen Anspruch aus Art. 78 DSGVO auf eine weitergehende gerichtliche Überprüfung des Bescheides in Bezug auf dessen inhaltliche Richtigkeit.

Art. 78 Abs. 2 DSGVO gibt der betroffenen Person die Möglichkeit gegen eine untätige Aufsichtsbehörde tätig zu werden, d.h. sie kann allenfalls erreichen, dass die Behörde sich mit der Beschwerde befasst und innerhalb bestimmter Zeitintervalle über den Fortschritt informiert. Auch wenn Art. 78  DSGVO einen gerichtlichen Rechtsbehelf gegen einen rechtsverbindlichen Beschluss der Aufsichtsbehörde gewährt, bedeutet dies nicht, dass damit die materielle Richtigkeit der Beschwerdeentscheidung überprüft wird.

Warum ist das so bedeutsam?

Ein Betroffener hat die wissentliche Weitergabe von falschen Daten durch eine Behörde an eine andere bei der Datenschutzaufsicht gerügt und ist gegen deren Bescheid gem. Art. 78 DSGVO mit einer Klage vorgegangen.

Das Finanzamt teilte ihm im Zuge einer Auskunft mit, dass es seine Identifikations- und Kontaktdaten gespeichert habe. Dabei stellte der Betroffene fest, dass keine Kinderfreibeträge berücksichtigt worden seien. Das Finanzamt führte hierzu aus, dass Kinderfreibeträge mit Vollendung des 18. Lebensjahres nur auf Antrag berücksichtigt und damit gespeichert werden. Gegen den auf dieser Datenbasis getroffenen Bescheid legte der Betroffene Beschwerde bei der Datenaufsicht ein. Diese stellte fest, dass die fehlende Berücksichtigung der Kinderfreibeträge nicht bei der Datenschutzaufsicht geltend gemacht werden kann und insbesondere diese nicht befähigt ist, andere Behörden zur Berichtigung der Daten anzuweisen. Hiergegen klagte letztendlich der Betroffene, jedoch ist die Nichtberücksichtigung der Kinderfreibeträge kein Gegenstand, der mit einer Klage nach Art. 78 DSGVO geltend gemacht werden kann.

Welcher Prüfungsumfang bleibt für die Datenschutzaufsicht?

Das Beschwerderecht ist ein Petitionsrecht, das richterlich nur eingeschränkt überprüft wird. Die betroffene Person hat gegenüber der Aufsichtsbehörde nur einen Anspruch auf Entgegen- und Kenntnisnahme der Beschwerde sowie auf eine sachlich angemessene Prüfung und Verbescheidung. Nur dagegen richtet sich eine mögliche spätere Klage. Die inhaltliche Richtigkeit der Entscheidung kann auf dem Verwaltungsrechtsweg nicht geprüft werden. Will der Beschwerdeführer eine subjektive Rechtsverletzung geltend machen, muss er sich direkt in einem gerichtlichen Verfahren gegen den Verantwortlichen wenden. Das Beschwerdeverfahren mit anschließender Klage gegen die Datenschutzaufsicht ist hierfür nicht geeignet.

Der Beschwerdeführer hat keinen Anspruch auf eine bestimmte Entscheidung der Aufsichtsbehörde und keinen Anspruch auf ein Einschreiten der Datenschutzaufsicht im Sinne einer Handlungsanweisung an eine andere Behörde, auch wenn die Datenschutzaufsicht bei einer begründeten Beschwerde verpflichtet sei, den Verstoß gegen die DSGVO abzustellen.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

2 Kommentare zu diesem Beitrag

  1. Schöner Artikel, aber was genau ist eine „Querulatorische Beschwerde“? Was für den, der sich beschwert, absolut angemessen ist, kann für den, den die Beschwerde betrifft, querulatorisch sein.
    Hätten Sie vielleicht dazu ein paar Hinweise? Im Voraus Vielen Dank!

    • Hier sind „missbräuchliche“ oder „exzessive“ Beschwerden gemeint, von denen insbesondere ausgegangen wird, wenn der Beschwerdeführer bereits eine identische oder nur leicht abgewandelte Beschwerde gestellt hat, die nach Auffassung eines objektiven Beobachters bereits als ausreichend bearbeitet bzw. beantwortet zu bewerten ist.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.