Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt.
Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, unterrichtet den Beschwerdeführer über den Stand und die Ergebnisse der Beschwerde einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs nach Artikel 78.
Art. 77 DSGVO legt ein Beschwerderecht für betroffene Personen fest. Abs. 1 regelt die inhaltlichen sowie formellen Anforderungen des Beschwerderechts. Danach steht betroffenen Personen das Recht zu, bei einer Aufsichtsbehörde Beschwerde einzureichen, wenn sie der Auffassung sind, dass die Verarbeitung der sie betreffenden Daten gegen die Regelungen der DSGVO verstößt. Dieses Beschwerderecht besteht unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs. Betroffene Personen sind nach Art. 4 Nr. 1 DSGVO natürliche Personen, die sich aufgrund von personenbezogenen Daten identifizieren lassen. Da das Beschwerderecht vorrangig dem individuellen Rechtsschutz dienen soll, und nicht der objektiven Durchsetzung der DSGVO, müssen natürliche Personen unmittelbar mit den streitgegenständlichen Datenverarbeitungen im Zusammenhang stehen und gerade durch diese Verarbeitungen identifizierbar sein. Dies schließt jedoch nicht aus, dass eine Aufsichtsbehörde, etwa um ihre Befugnisse aus Art. 58 DSGVO auszuüben, auch Beschwerden von nicht betroffenen Personen aufgreift.
Art. 80 Abs. 2 DSGVO legt zudem fest, dass auch juristische Personen wie Einrichtungen, Organisationen und Vereinigungen das Recht haben, bei der nach Art. 77 DSGVO zuständigen Behörde Beschwerde einzulegen. Voraussetzung dafür ist jedoch, dass die genannten juristischen Personen der Ansicht sind, dass die Rechte einer betroffenen Person durch eine Datenverarbeitung verletzt worden sind, womit wieder dem individuellen Rechtsschutz Rechnung getragen wird. Die Ausweitung des Kreises der Beschwerdeberechtigten obliegt dabei den Mitgliedstaaten. Mit der Neuregelung des § 2 Abs. 2 Nr. 11 UKlaG, welche ein Verbandsklagerecht einräumt, hat der deutsche Gesetzgeber die Ausgestaltungsmöglichkeit des Art. 80 Abs. 2 DSGVO genutzt.
Da der Beschwerdeführer der Ansicht sein muss, dass die Verarbeitung der ihn betreffenden Daten gegen die DSGVO verstößt (vgl. oben), muss er der Aufsichtsbehörde einen Sachverhalt vortragen, der die Möglichkeit eines Verstoßes jedenfalls nicht ausschließt. Es kommt also auf eine mögliche Verletzung der Rechte an, zu welcher es jedoch Anhaltspunkte bedarf. Ob diese auch tatsächlich verletzt wurden, muss dann im Beschwerdeverfahren durch die Behörde geprüft werden. Formvorschriften trifft der Artikel zwar nicht, jedoch muss der Vortrag einer betroffenen Person zumindest Angaben über die Person, den Verantwortlichen oder Auftragsverarbeiter und grobe Angaben über den möglichen Verstoß enthalten. Selbst wenn die Behörde ein elektronisches Beschwerdeformular bereitstellt, ist sie dazu verpflichtet, auch Beschwerden in anderer Form bzw. durch andere Kommunikationskanäle anzunehmen. Bei missbräuchlicher Inanspruchnahme kann die Behörde die Bearbeitung verwehren oder sogar Gebühren verlangen (vgl. Art. 57 Abs. 4 DSGVO).
Der vorliegende Artikel regelt die Aufzählung möglicher Aufsichtsbehörden in Abs. 1 ausdrücklich nicht abschließend (Aufenthaltsort, Arbeitsplatz oder Ort des Verstoßes), sodass jede Behörde für die Beschwerde in Anspruch genommen werden darf. Diese muss dann zwar ggf. mit der zuständigen oder anderen Aufsichtsbehörde kooperieren, jedoch bleibt die in Anspruch genommene betroffene Aufsichtsbehörde alleiniger Ansprechpartner für den Beschwerdeführer.
Für das Beschwerdeverfahren gibt es keine ausdrücklichen Regelungen. Abs. 2 bestimmt jedoch einige Grundzüge. Danach muss die Behörde, bei der die Beschwerde eingelegt wurde (betroffene Behörde), den Beschwerdeführer über den Stand und die Ergebnisse der Beschwerde unterrichten sowie über die Möglichkeit eines gerichtlichen Rechtsbehelfs in Form einer Untätigkeitsklage nach Art. 78 DSGVO informieren. Dies setzt voraus, dass die Aufsichtsbehörde zu Beginn des Verfahrens eine Prüfung des Einzelfalls durchführt. Im Laufe des Verfahrens treffen die Behörde dann die oben genannten Informationspflichten, wobei sie bei umfangreicheren Verfahren auch verpflichtet ist, über Zwischenstände zu informieren. Der betroffenen Behörde kommt hier also ein Verfahrensermessen zu, welches aber nicht uneingeschränkt gilt. Der gerichtliche Rechtsbehelf nach Art. 78 DSGVO gibt der betroffenen Person die Möglichkeit, die Befassung mit ihrer Beschwerde oder die Mitteilung über den Stand des Verfahrens oder dessen Ergebnis einzuklagen.
Eine Vorgängerregelung zum Beschwerderecht der DSGVO enthielt Art. 28 Abs. 4 DSRL (alte Fassung). Danach stand jeder Person oder einem sie vertretenden Verband ein Eingaberecht gegenüber jeder Kontrollstelle zum Schutz ihrer Rechte und Freiheiten bei der Datenverarbeitung zu. Der Beschwerdebegriff geht jedoch über eine bloße Eingabe hinaus. Außerdem fallen unter den Begriff der Beschwerde auch Rechtsbehelfe.
Ziel des Beschwerderechts ist es, betroffenen Personen einen unkompliziert zu erhebenden Rechtsbehelf anzubieten. Dies dient zum einen der Durchsetzung der Rechte betroffener Personen sowie zum anderen einer verbesserten Kenntnislage der Aufsichtsbehörden über die Datenverarbeitung. Dieses Beschwerderechts sollten Sie sich sowohl als betroffene Person als auch als Verantwortlicher oder Auftragsverarbeiter bewusst sein. Als Verantwortlicher oder Auftragsverarbeiter können Sie nämlich nicht nur Beschwerde einreichen, sondern auch zum Gegenstand einer Beschwerde beitragen oder sogar den Grund dafür darstellen. Deshalb sollten Sie besonders auf eine nach der DSGVO rechtmäßige Verarbeitung achten, um mögliche Sanktionen zu vermeiden. Denken Sie vor diesem Hintergrund auch an unsere Datenschutz Services.
Telefon:
Öffnungszeiten:
Mo. - Fr.: 09:00 - 18:00 Uhr