In diesem Beitrag soll aufgezeigt werden, was die Datenschutzaufsicht bei datenschutzrechtlichen Beschwerde von Betroffenen nach Art. 77 DSGVO prüft und welche Ansprüche des Betroffenen sich gegenüber den Aufsichtsbehörden hieraus ergeben.
Der Inhalt im Überblick
- Wer ist beschwerdeberechtigt?
- Wohin kann sich die beschwerdeberechtigte Person wenden?
- Was ist der Beschwerdegegenstand?
- Umfang der Beschwerdeprüfung
- Frist für die Beschwerdeprüfung
- Hat der Beschwerdeführer einen Anspruch auf eine bestimmte Entscheidung?
- Welcher Prüfungsumfang bleibt für die Datenschutzaufsicht?
Wer ist beschwerdeberechtigt?
Es gibt unterschiedliche Beschwerdeberechtigte in der DSGVO:
- die betroffene natürliche Person
In Art. 77 Abs. 1 DSGVO ist als beschwerdeberechtigt, die betroffene Person gemäß Art. 4 Nr. 1 DSGVO, mithin eine natürliche Person, angeführt. Zu beachten ist, dass der Begriff der betroffenen Person weit auszulegen ist. Für die Beschwerdeberechtigung reicht es daher aus, dass die Verarbeitung der personenbezogenen Daten der betroffenen Person nicht ausgeschlossen werden kann – allerdings ist eine rein theoretische Betroffenheit nicht ausreichend. - Verbände und Organisationen
Art. 80 DSGVO ermächtigt Verbände und Organisationen im Namen von betroffenen Personen gem. Art. 80 Abs. 1 DSGVO und auf der Grundlage von nationalem Recht Beschwerden aus eigenem Recht einzulegen, die wie Beschwerden der betroffenen Personen zu behandeln sind. - sonstige Personen
Auch jede andere Person kann „Beschwerden“ einlegen, wobei diese dann nicht als Beschwerden im Sinne von Art. 77 DSGVO zu klassifizieren sind, sondern vielmehr als Hinweise von Dritten, die diesen gegenüber keinerlei Recht auf Prüfung, Unterrichtung oder Rechtsschutz geben.
Wohin kann sich die beschwerdeberechtigte Person wenden?
Zwar ist das Beschwerderecht der betroffenen Person gem. EG 141 S. 1 auf eine einzige Aufsichtsbehörde beschränkt, jedoch kann sich die betroffene Person an jede beliebige Aufsichtsbehörde wenden. Die in Art. 77 DSGVO angeführten Möglichkeiten sind:
- in dem Mitgliedsstaat des gewöhnlichen Aufenthaltsortes
- am Ort des Arbeitsplatzes
- am Ort des mutmaßlichen Verstoßes
Dies sind nur Beispiele aber keine abschließende Zuständigkeitsregelung. Sobald die Beschwerde bei einer Aufsichtsbehörde eingereicht wird, ist diese die betroffene Aufsichtsbehörde gem. Art. 4 Nr. 22 DSGVO. Alle weiteren Aufsichtsbehörden können die Bearbeitung der Beschwerde sodann verweigern. Eine Aufstellung der in Deutschland vorhandenen Aufsichtsbehörden findet sich auf der Website des Bundesbeauftragten für Datenschutz und Informationsfreiheit.
Was ist der Beschwerdegegenstand?
Der Inhalt der Beschwerde, d.h. der Beschwerdegegenstand ist sehr weit gefasst. Ausreichend ist, dass die betroffene Person durch die Datenverarbeitung einen Verstoß gegen die DSGVO sieht und diesen form- und fristlos gegenüber der Datenschutzaufsichtsbehörde darlegt. Dies ist immer der Fall, wenn es sich um
- die Verletzung von Betroffenenrechten
- den Verstoß gegen objektive Vorschriften
handelt und dabei die personenbezogenen Daten der betroffenen Person, die die Beschwerde eingereicht hat, tangiert sind. Aufgrund der Fristlosigkeit kann auch keine Verwirkung des Beschwerderechts eintreten, wenn ein Verstoß bereits seit längerem beendet ist. Dies birgt für den Verantwortlichen die Gefahr, dass er auch noch viele Jahre nach Beendigung der Datenverarbeitung ein Bußgeld erhalten kann, es sei denn, der Verstoß ist bereits verjährt. In diesem Fall kann von einem Bußgeld abgesehen werden.
Bei der Darlegung des Sachverhaltes ist keine schlüssige Darlegung gefordert, wie das im Zivilrecht notwendig ist. Erforderlich sind Angaben zum Beschwerdeführer, so dass dessen Beschwerdeberechtigung geprüft werden kann und die Beschreibung eines Sachverhaltes, der der Aufsichtsbehörde die Beurteilung des Sachverhaltes ermöglicht, auch wenn diese noch mittels Rückfragen bei Beschwerdeführer auf die Substantiierung hinwirken muss.
Umfang der Beschwerdeprüfung
Klar ist, dass die Behörden keine querulatorische und keine offensichtlich unbegründeten Beschwerden bearbeiten müssen. Im Übrigen müssen sie, nachdem der Amtsermittlungsgrundsatz gilt, auch allen anderen Anhaltspunkten, die sich aus Beschwerden ergeben, mit der gebotenen Sorgfalt und in angemessenen Umfang gem. Art. 57 Abs. 1 lit. f DSGVO nachgehen. Eine klare Regelung, was angemessen ist, ergibt sich aus Art. 57 DSGVO nicht. In EG 141 wird darauf verwiesen, dass der Umfang der Ermittlung vorbehaltlich einer gerichtlichen Prüfung dem Einzelfall entsprechen sollte. Der Umfang der Ermittlungen ergibt sich demnach u.a.
- aus der Schwere des dargelegten Verstoßes gegen die DSGVO sowie
- anderer Aspekte, wie diese in Art. 83 Abs. 2 DSGVO angeführt sind.
Ferner muss die Datenschutzaufsicht dem Beschwerdeführer in der Entscheidung eine Rechtsbehelfsbelehrung geben.
Frist für die Beschwerdeprüfung
Für die Bearbeitung der Beschwerde soll innerhalb einer angemessenen Frist jedoch gem. Art. 78 Abs. 3 DSGVO in höchstens drei Monaten reagiert werden. Querulatorische Beschwerden müssen weder bearbeitet noch beantwortet werden. Sie unterliegen daher keiner Frist. Anders ist es für offensichtlich unbegründete Beschwerden. Da das Beschwerderecht ein Grundrecht darstellt, soll es auch jedem möglich sein, sich mit seinem Anliegen an die Behörde zu wenden. Die Beurteilung, ob der Sachverhalt unbegründet ist, ergibt sich aus einer dem Sachverhalt angemessenen Prüfung und trägt den Umständen Rechnung, dass nicht alle Beschwerdeführer juristisch vorgebildet sind. Es ist daher geboten, diese Beschwerden gegenüber dem Betroffenen auch innerhalb der Frist zu beantworten.
Handelt es sich um einen höchst komplexen Fall, kann die Bearbeitungsfrist auch überschritten werden, jedoch ist der Beschwerdeführer über den Fortschritt der Bearbeitung auf dem Laufenden zu halten. Die Tatsache der Arbeitsüberlastung an sich und die geringe Personalausstattung rechtfertigt ein Überschreiten der Frist nicht.
Hat der Beschwerdeführer einen Anspruch auf eine bestimmte Entscheidung?
Der Beschwerdeführer hat einen Anspruch auf das Ergebnis der tatsächlichen Prüfung sowie deren rechtliche Bewertung soweit es sich nicht um eine exzessive Beschwerde handelt. Er hat jedoch keinen Anspruch auf eine bestimmte Entscheidung, vielmehr hat der Beschwerdeführer nur den Anspruch, dass sich die Behörde mit der Beschwerde befasst und innerhalb der Frist den Beschwerdeführer informiert. Der Beschwerdeführer hat jedoch keinen Anspruch aus Art. 78 DSGVO auf eine weitergehende gerichtliche Überprüfung des Bescheides in Bezug auf dessen inhaltliche Richtigkeit.
Art. 78 Abs. 2 DSGVO gibt der betroffenen Person die Möglichkeit gegen eine untätige Aufsichtsbehörde tätig zu werden, d.h. sie kann allenfalls erreichen, dass die Behörde sich mit der Beschwerde befasst und innerhalb bestimmter Zeitintervalle über den Fortschritt informiert. Auch wenn Art. 78 DSGVO einen gerichtlichen Rechtsbehelf gegen einen rechtsverbindlichen Beschluss der Aufsichtsbehörde gewährt, bedeutet dies nicht, dass damit die materielle Richtigkeit der Beschwerdeentscheidung überprüft wird.
Warum ist das so bedeutsam?
Ein Betroffener hat die wissentliche Weitergabe von falschen Daten durch eine Behörde an eine andere bei der Datenschutzaufsicht gerügt und ist gegen deren Bescheid gem. Art. 78 DSGVO mit einer Klage vorgegangen.
Das Finanzamt teilte ihm im Zuge einer Auskunft mit, dass es seine Identifikations- und Kontaktdaten gespeichert habe. Dabei stellte der Betroffene fest, dass keine Kinderfreibeträge berücksichtigt worden seien. Das Finanzamt führte hierzu aus, dass Kinderfreibeträge mit Vollendung des 18. Lebensjahres nur auf Antrag berücksichtigt und damit gespeichert werden. Gegen den auf dieser Datenbasis getroffenen Bescheid legte der Betroffene Beschwerde bei der Datenaufsicht ein. Diese stellte fest, dass die fehlende Berücksichtigung der Kinderfreibeträge nicht bei der Datenschutzaufsicht geltend gemacht werden kann und insbesondere diese nicht befähigt ist, andere Behörden zur Berichtigung der Daten anzuweisen. Hiergegen klagte letztendlich der Betroffene, jedoch ist die Nichtberücksichtigung der Kinderfreibeträge kein Gegenstand, der mit einer Klage nach Art. 78 DSGVO geltend gemacht werden kann.
Welcher Prüfungsumfang bleibt für die Datenschutzaufsicht?
Das Beschwerderecht ist ein Petitionsrecht, das richterlich nur eingeschränkt überprüft wird. Die betroffene Person hat gegenüber der Aufsichtsbehörde nur einen Anspruch auf Entgegen- und Kenntnisnahme der Beschwerde sowie auf eine sachlich angemessene Prüfung und Verbescheidung. Nur dagegen richtet sich eine mögliche spätere Klage. Die inhaltliche Richtigkeit der Entscheidung kann auf dem Verwaltungsrechtsweg nicht geprüft werden. Will der Beschwerdeführer eine subjektive Rechtsverletzung geltend machen, muss er sich direkt in einem gerichtlichen Verfahren gegen den Verantwortlichen wenden. Das Beschwerdeverfahren mit anschließender Klage gegen die Datenschutzaufsicht ist hierfür nicht geeignet.
Der Beschwerdeführer hat keinen Anspruch auf eine bestimmte Entscheidung der Aufsichtsbehörde und keinen Anspruch auf ein Einschreiten der Datenschutzaufsicht im Sinne einer Handlungsanweisung an eine andere Behörde, auch wenn die Datenschutzaufsicht bei einer begründeten Beschwerde verpflichtet sei, den Verstoß gegen die DSGVO abzustellen.
Schöner Artikel, aber was genau ist eine „Querulatorische Beschwerde“? Was für den, der sich beschwert, absolut angemessen ist, kann für den, den die Beschwerde betrifft, querulatorisch sein.
Hätten Sie vielleicht dazu ein paar Hinweise? Im Voraus Vielen Dank!
Hier sind „missbräuchliche“ oder „exzessive“ Beschwerden gemeint, von denen insbesondere ausgegangen wird, wenn der Beschwerdeführer bereits eine identische oder nur leicht abgewandelte Beschwerde gestellt hat, die nach Auffassung eines objektiven Beobachters bereits als ausreichend bearbeitet bzw. beantwortet zu bewerten ist.
Sie schreiben, dass ‚auch wenn Art. 78 DSGVO einen gerichtlichen Rechtsbehelf gegen einen rechtsverbindlichen Beschluss der Aufsichtsbehörde gewährt, dies nicht [bedeutet], dass damit die materielle Richtigkeit der Beschwerdeentscheidung überprüft wird‘.
Wozu ist der gerichtliche Rechtsbehelf gemäß Artikel 78 Absatz 1 aber sonst zu verwenden, wenn nicht für die Prüfung der Entscheidung? Die Untätigkeit wird ja bereits in Absatz 2 niedergelegt.
Haben Sie dort noch einen entsprechenden Bericht zu / können mir weiterhelfen? Danke!
Die Aufsichtsbehörden sind verpflichtet, Beschwerden angemessen nachzugehen.
Betroffene Personen können sich daher gem. Art. 78 Abs. 2 DSGVO gegen die Aufsichtsbehörde wenden, wenn diese Beschwerden gar nicht bearbeitet oder diese nicht innerhalb der 3 Monatsfrist entscheidet bzw. zumindest einen Zwischenstand kundtut. Des Weiteren kann sich der Betroffene auch gegen eine Entscheidung der Aufsichtsbehörde wenden, wenn er mit dieser nicht einverstanden ist.
Art. 78 Abs. 1 DSGVO räumt der betroffenen Person das Recht ein, sich gegen rechtsverbindliche Beschlüsse der Aufsichtsbehörde zu wehren. Hiervon umfasst sind Untersuchungs-, Abhilfe- und Genehmigungsbefugnisse der Aufsichtsbehörde, wie in Art. 58 DSGVO geregelt. Weist die Aufsichtsbehörde eine Beschwerde als unbegründet ab, kann hiergegen von dem Betroffenen durchaus gem. Art. 78 Abs. 1 DSGVO vorgegangen werden.
Mit der Beschwerde an die Aufsichtsbehörde kann jedoch nicht die inhaltliche Richtigkeit der ursprünglichen Entscheidung einer Behörde gerügt werden. Geprüft wird nur, ob die Verarbeitung der personenbezogenen Daten der betroffenen Person gegen die DSGVO verstößt. Daher kann gegen die Entscheidung der Aufsichtsbehörde auch nur insoweit vorgegangen werden, als man als betroffene Person geltend machen will, dass entgegen des Beschlusses der Aufsichtsbehörde personenbezogene Daten der betroffenen Person verarbeitet wurden und diese Verarbeitung gegen die DSGVO verstieß. Ist jedoch die Datenverarbeitung dsgvo-konform durch die ursprüngliche Behörde erfolgt, aber materiell-rechtlich falsch, kann hiergegen nicht bei einer Aufsichtsbehörde vorgegangen werden.
Die rechtlichen Ausführungen zum Umfang verwaltungsgerichtlicher Nachprüfung sind weitestgehend ungeklärt. Die Feststellung im Beitrag es handele sich um eine Petition ist schlicht haltlos. Die Petion ist im Art. 17 GG geregelt. Die Verwaltungsgerichte verweigerm mit Hinweis auf Obergerichtliche Rechtsprechung, allen voran des OVG Koblenz. Diese Rechtsprechung dürfte alsbald der Vergangenheit angehören. Das VG Wiesbaden hat jier dem EUGH genau diese Auslegungsfrage kürzlich unterbreitet.
Das Beschwerderecht aus Art. 77 DSGVO, dass dem Betroffenen zugestanden wird, sich mit seinem Anliegen an die Datenschutzaufsichtsbehörden zu wenden, ist wesensgleich mit dem Petitionsrecht aus Art. 17 GG. Es soll dem Betroffenen ermöglichen, sich unabhängig von irgendwelchen Formvorschriften an die datenschutzrechtliche Aufsichtsbehörde zu wenden und auch unabhängig von anderweitigen Rechtsbehelfen, um eine Prüfung des Anliegens zu erreichen. Die Tatsache, dass die Aufsichtsbehörde, den Betroffenen nicht auf einen anderen Rechtsbehelf verweisen darf und die form- und fristlose Beschwerdemöglichkeit, macht die Beschwerde wesensgleich mit der Petition.