Beschwerdeverfahren
Ein Beschwerdeverfahren ist das in der DSGVO verankerte Recht jeder betroffenen Person, bei einer Datenschutzbehörde gegen vermutete Datenschutzverstöße vorzugehen. Es ermöglicht KMU-Kund:innen oder Mitarbeitenden, einen förmlichen Antrag auf Prüfung einzureichen.
Ausführliche Erklärung
Das Beschwerdeverfahren ist in Artikel 77 der Datenschutz-Grundverordnung verankert und stellt das wichtigste Rechtsschutzinstrument für betroffene Personen dar. Jede Person kann eine Beschwerde einreichen, wenn sie der Ansicht ist, dass die Verarbeitung ihrer personenbezogenen Daten gegen die DSGVO oder nationale Datenschutzgesetze verstößt. Die Beschwerde kann bei der Datenschutzbehörde des Landes eingereicht werden, in dem die betroffene Person ihren Aufenthalt oder Arbeitsplatz hat, oder wo der vermutete Verstoß stattgefunden hat.
In Österreich ist die Datenschutzbehörde für die Durchführung solcher Verfahren zuständig. Das Beschwerdeverfahren ist grundsätzlich unentgeltlich – es fallen weder Gebühren an, noch besteht eine Kostenersatzpflicht. Allerdings kann die Behörde in Fällen, die nicht primär der Wahrung von Datenschutzrechten dienen, eine Gebühr bis zu 400 Euro verlangen. Die Beschwerde kann online per Formular, per E-Mail oder schriftlich eingereicht werden.
Für KMU bedeutet eine eingehende Beschwerde, dass sie als Beschwerdegegner in ein kontradiktorisches Verfahren eintreten – ähnlich einem Gerichtsverfahren mit zwei Parteien. Die Datenschutzbehörde fordert das Unternehmen zur Stellungnahme auf, typischerweise innerhalb von zwei Wochen. Die Behörde ist verpflichtet, die beschwerdeführende Person innerhalb von drei Monaten über den Verfahrensstand zu informieren. Das Verfahren endet entweder mit einem Bescheid, der eine Rechtsverletzung feststellt und Maßnahmen anordnet, oder mit einer formlosen Einstellung, etwa wenn der Beschwerdegegner dem Antrag nachträglich entspricht.
Wichtig für Unternehmen: Die Datenschutzbehörde kann keine Geldbußen im Beschwerdeverfahren verhängen und keinen Schadenersatz zusprechen – dafür sind separate Verwaltungsstrafverfahren beziehungsweise ordentliche Gerichte zuständig. Dennoch sollten Beschwerden ernst genommen werden, da die Behörde umfassende Kontrollbefugnisse besitzt und Aufträge zur Herstellung rechtmäßiger Zustände erteilen kann. Gegen Bescheide der Datenschutzbehörde ist als zweite Instanz das Bundesverwaltungsgericht zuständig.
Praxisbeispiel
Ein oberösterreichisches Handelsunternehmen mit 35 Mitarbeitenden erhält eine Beschwerde eines Kunden bei der Datenschutzbehörde. Der Kunde bemängelt, dass er trotz zweimaliger Anfrage keine Auskunft über die zu seiner Person gespeicherten Daten erhalten habe. Die Datenschutzbehörde fordert das Unternehmen zur Stellungnahme auf. Das Unternehmen reagiert umgehend, erteilt die Auskunft vollständig nach und legt der Behörde dies dar. Das Verfahren wird daraufhin formlos eingestellt, da die behauptete Rechtsverletzung beseitigt wurde.