Wie man sich bei der Datenschutzbehörde beschwert, wenn Ihre Rechte verletzt wurden

Relevante Gesetze & Datenschutzbehörde bestimmen

Zuerst müssen Sie die tatsächliche Verletzung feststellen, ob es sich um eine Verletzung nach den einschlägigen Datenschutzgesetzen handelt und, falls ja, bei welcher zuständigen Datenschutzbehörde Sie die Beschwerde einreichen sollen.

Die Verletzung feststellen

Sie nehmen an, dass jemand Ihre Datenschutzrechte verletzt hat. Sie müssen in der Lage sein, zu beschreiben, was passiert ist, um festzustellen, worin die Verletzung besteht.

Zum Beispiel:

• wenn es einen Datenleck gab,
• wenn Ihre Daten ohne Ihre Zustimmung an Dritte verkauft wurden,
• Ihre Anfrage als betroffene Person nicht beantwortet wurde,
• Ihre Daten ohne rechtmäßige Grundlage in ein Drittland übertragen wurden,
• Ihre Daten ohne Ihre Zustimmung oder eine andere rechtliche Grundlage gesammelt wurden, usw.

Sobald Sie wissen, was passiert ist, müssen Sie feststellen, ob es ein anwendbares Gesetz gibt, das Sie vor den Taten des Online-Unternehmens schützt.

Wenn Sie unsicher sind, ob Ihre Rechte verletzt wurden, können Sie dies durch Einreichung einer Anfrage als betroffene Person untersuchen.

Wenn Sie bezweifeln, dass Ihre Daten ohne Ihre Zustimmung oder auf einer anderen rechtlichen Grundlage gesammelt und verarbeitet wurden, reichen Sie eine Anfrage auf Auskunft oder eine Anfrage zum Widerspruch gegen die Verarbeitung ein.

Wenn Sie befürchten, dass Ihre Daten in ein Land ohne ausreichende Datenschutzstandards übertragen wurden, wird Ihnen eine Auskunftsanfrage die Informationen liefern, die Sie benötigen.

Wenn der Verantwortliche nicht antwortet, könnte hier etwas nicht stimmen. Abgesehen davon ist das Nichtbeantworten einer Anfrage eine Verletzung.

Anwendbare Gesetze bestimmen

Datenschutzgesetze gelten grundsätzlich für die Beziehung zwischen dem Nutzer und dem Unternehmen. Das bedeutet, dass in jeder Beziehung mindestens zwei Regeln gelten – diejenige, aus der der Nutzer stammt, und diejenige, aus der das Unternehmen stammt.

In der Praxis, wenn ein französischer Internetnutzer online mit einem britischen Unternehmen interagiert, gelten sowohl das französische als auch das britische Gesetz, die beide mit der DSGVO der EU übereinstimmen.

Quelle: Europäische Kommission

Wenn ein Nutzer aus Kalifornien mit einem kanadischen Unternehmen aus Montreal interagiert, gelten die staatlichen und föderalen Gesetze beider Länder. Da die USA kein nationales Datenschutzgesetz haben, gelten das kalifornische Gesetz, das Quebecer Gesetz und das kanadische Bundesgesetz.

Quelle: Justizministerium des Bundesstaates Kalifornien

Wenn ein indischer Nutzer mit einem indischen Unternehmen interagiert, gilt nur das indische Gesetz. Allerdings gibt es zum Zeitpunkt des Schreibens noch kein umfassendes Datenschutzgesetz in Indien, sodass der Nutzer wahrscheinlich nicht die gleichen Rechte auf Datensubjekte wie in einigen anderen Ländern genießt.

Daher gelten für Ihre Beziehung zu dem Unternehmen, das möglicherweise Ihre Rechte verletzt hat, die folgenden zwei Gesetze:

• Das Datenschutzgesetz des Landes, in dem Sie Staatsbürger oder Einwohner sind, falls vorhanden, und
• Das Datenschutzgesetz des Landes, in dem das Unternehmen registriert ist, falls vorhanden.

Die zuständige Datenschutzbehörde ermitteln

Jedes Datenschutzgesetz wird von einer Datenschutzbehörde durchgesetzt.

Die für Ihren Fall relevanten Behörden hängen von den anwendbaren Gesetzen ab.

Im Falle eines französischen Nutzers und eines britischen Unternehmens kann sich der französische Nutzer bei der CNIL (der französischen Datenschutzbehörde) oder beim ICO (der britischen Datenschutzbehörde) beschweren.

Im Falle des kalifornischen Nutzers und der Unternehmen in Quebec und Kanada kann sich der Nutzer bei den Behörden in Kanada beschweren. Wenn das CCPA (California Consumer Protection Act) überhaupt zur Anwendung kommt, sind die Beschwerdemöglichkeiten sehr begrenzt.

Für Nutzer außerhalb von Kalifornien gibt es jedoch praktisch keinen Schutz in den Vereinigten Staaten.

Der Nutzer aus Indien, dessen Privatsphäre von einem indischen Unternehmen verletzt wurde, kann zum Zeitpunkt des Schreibens nicht viel tun, da das aktuelle Gesetz unzureichenden Schutz für personenbezogene Daten bietet.

Maßnahmen zur Behebung der Verletzung ergreifen

Jetzt wissen Sie, dass Ihre persönlichen Daten missbraucht wurden oder Ihre Rechte als betroffene Person verletzt wurden. Dann ist es an der Zeit, sich selbst zu schützen.

An diesem Punkt stehen Ihnen mehrere Optionen zur Verfügung:

• Fordern Sie den Datenverantwortlichen auf, die Verletzung zu beheben. Wenn Sie keine Lust auf viel hin- und her-Kommunikation bei einer geringfügigen Verletzung haben, können Sie dem Datenverantwortlichen eine E-Mail schicken und ihn darüber informieren, dass Sie sich der Verletzung bewusst sind und ihn bitten, sein Verhalten zu verbessern.

  Das könnte der richtige Weg sein, wenn die Verletzung geringfügig ist. Es gibt keine bedeutenden Folgen für Sie, sodass es sich nicht lohnt, Beschwerden bei den Behörden einzureichen.

  Wenn zum Beispiel ein Datenverantwortlicher Sie ohne Ihre Zustimmung anruft, um Ihnen einige Produkte anzubieten, können Sie darauf hinweisen, dass Sie Ihre Zustimmung nicht gegeben haben und sie aufhören sollten, Sie anzurufen. Wenn sie entsprechend handeln, haben Sie die

• Reichen Sie eine Anfrage als betroffene Person ein. Manchmal kann eine einfache Anfrage als betroffene Person Sie schützen.

  Es wird nicht beheben, was der Datenverantwortliche rechtswidrig getan hat, aber es kann ändern, wie er sich Ihnen gegenüber in Zukunft verhält.

  Wenn die DSGVO oder ein ähnliches Gesetz für Sie oder das Unternehmen gilt, können Anfragen Folgendes für Sie tun:

  • Widerspruchsanfrage. Die Widerspruchsanfrage führt zu einer Verbesserung oder Einstellung der Datenverarbeitung durch den Datenverantwortlichen und deren Verarbeiter, wie gefordert.
    Wenn Sie der Verarbeitung Ihrer Telefonnummer widersprechen, kann der Verantwortliche sie nicht mehr verwenden, um Sie anzurufen. Wenn er Ihr Telefon zu einem anderen Zweck als dem Anrufen gesammelt hat (zum Beispiel zur Identitätsprüfung), ist dies immer noch eine Verletzung Ihrer Datenschutzrechte. Die Anfrage als betroffene Person kann Ihnen jedoch helfen, die weitere Datenverarbeitung zu verhindern.
  • Löschanfrage. Sie können den Verantwortlichen bitten, alle Daten, die er über Sie hat, zu löschen. Wenn er Ihre Daten nicht hat, kann er sie auch nicht mehr verarbeiten.
• Reichen Sie eine Beschwerde bei der zuständigen Datenschutzbehörde ein. Eine Beschwerde einzureichen ist immer eine Option, wenn Ihre Rechte verletzt wurden. Sie haben das Recht dazu, auch wenn Sie den Verantwortlichen aufgefordert haben, die Verletzung zu beheben und sie dies getan haben.

  Sie könnten eine Beschwerde einreichen und gleichzeitig eine Widerspruchs- oder Löschungsanfrage beim Verantwortlichen einreichen, um ihn dazu zu bringen, die Verletzung zu beenden, wenn dies in Ihrem speziellen Fall ein geeignetes Mittel ist.

  Quelle: Europäische Kommission

  Beschwerden wurden für Internetnutzer (oder andere Nutzer) vorgeschrieben, um gegen Unternehmen vorzugehen, die sich nicht an Datenschutzgesetze halten und die Rechte ihrer Nutzer verletzen. Zögern Sie also nicht, eine Beschwerde einzureichen, wenn Sie berechtigterweise der Meinung sind, dass Ihre Rechte verletzt wurden.

Wie reicht man eine Beschwerde bei der Datenschutzbehörde ein?

Wir gehen davon aus, dass Sie sich zu diesem Zeitpunkt der Verletzung bewusst sind und die anwendbaren Gesetze und die zuständigen Datenschutzbehörden (DPA) kennen. Jetzt ist es an der Zeit, Ihre Beschwerde einzureichen.

Gehen Sie auf die Website der zuständigen DPA. Die Website jeder DPA hat einen Bereich mit Informationen zur Einreichung von Beschwerden. Wenn nicht, können Sie sie über die Kontaktseite, E-Mail, Telefon oder auf andere Weise kontaktieren.

Im Allgemeinen nehmen DPAs Beschwerden in vielen verschiedenen Formen und auf viele verschiedene Arten entgegen.

In den meisten Fällen finden Sie eine Möglichkeit, die Beschwerde über deren Website einzureichen. Sie können ein Beispiel der ICO aus Großbritannien sehen und hier sehen, wie die CNIL in Frankreich Beschwerden bearbeitet. Eine solche einzureichen ist so einfach wie möglich.

Wenn die Website Ihrer DPA keine Möglichkeit zur Einreichung einer Beschwerde bietet, wie im Fall der britischen ICO und der französischen CNIL, reichen Sie eine Beschwerde per Post, E-Mail oder telefonisch ein. Selbst wenn Sie in dieser Phase einige Fehler machen, wird Ihnen im schlimmsten Fall jemand von der DPA antworten und Sie durch den richtigen Prozess führen.

Füllen Sie die Beschwerde aus. Online verfügbare Beschwerdeformulare fordern Sie auf, alle Informationen bereitzustellen, die die DPA zur Untersuchung des Falls benötigt. Sie müssen jedes Feld nach bestem Wissen ausfüllen und auf die SCHICKEN-Schaltfläche klicken.

Wenn kein Formular verfügbar ist, können Sie eine Beschwerde verfassen, ohne formellen Richtlinien zu folgen. Das könnte aussehen wie jede andere Beschwerde, die Sie möglicherweise einer Behörde vorlegen. Achten Sie nur darauf, dass es mindestens Folgendes enthält:

• Ihren Namen und Ihre Kontaktdaten
• Angaben zum Verletzer und
• Beschreibung der Verletzung.

Falls die DPA weitere Informationen benötigt, werden sie Ihnen einige Fragen stellen.

Nachdem Sie die Beschwerde eingereicht haben, müssen Sie warten.

Quelle: GDPR-Info.eu – Art. 77 DSGVO

Die Untersuchung. Wenn die DPA Ihre Beschwerde erhält, beginnen sie mit der Untersuchung.

Wie bereits erwähnt, könnten sie sich für weitere Informationen bei Ihnen melden.

Die DPA wird den Fall untersuchen und Ihnen alle Ergebnisse mitteilen, die ohne Behinderung der Untersuchung geteilt werden können. Niemand kann vorhersagen, wie lange es dauern wird. Jeder Fall hat seine Besonderheiten, die seine Komplexität und damit die Dauer der Untersuchung bestimmen. Daher ist es hilfreich, in dieser Phase geduldig zu sein.

Diese Untersuchung ist nicht wie eine polizeiliche Ermittlung. Die Mitarbeiter der DPA sind ganz normale Staatsbedienstete, die sich Ihren Fall ansehen und darüber entscheiden werden. Sie können eine Erfahrung wie bei den Steuerbehörden oder Verbraucherschutzstellen erwarten.

Das Ergebnis der Untersuchung. Wenn die Untersuchung abgeschlossen ist, gibt es mehrere mögliche Ergebnisse:

• Der Fall wird abgewiesen. Wenn die DPA feststellt, dass Sie keine Datenschutzrechte haben oder sie nicht die zuständige DPA für diesen Fall sind, wird sie den Fall abweisen. Sie können nicht viel dagegen tun. Vielleicht sollten Sie in Erwägung ziehen, sich bei der zuständigen DPA zu beschweren.
• Sie stellen fest, dass keine Verstöße vorliegen. Wenn die Beweise nicht belegen, dass der Datenverantwortliche gegen das Gesetz und Ihre Rechte verstoßen hat, wird die DPA nicht gegen den Verantwortlichen vorgehen. Wenn es keinen Verstoß gibt, sind sie frei.
• Sie stellen fest, dass ein Verstoß vorliegt. In einem solchen Fall wird die DPA eine Geldstrafe verhängen. Die Höhe der DSGVO-Geldbuße hängt von dem Verstoß, dem Bruttojahreseinkommen des Verantwortlichen und anderen Faktoren ab, die der DPA helfen, die tatsächliche Strafe zu bestimmen.

  Im Falle von geringfügigen Verstößen und wenn das Gesetz es zulässt, kann die DPA eine Warnung, eine Unterlassungsverfügung oder eine andere Maßnahme zur Behebung der Folgen des Verstoßes erlassen. Diese Maßnahmen sind jedoch selten. In den meisten Fällen werden Verstöße mit Geldbußen geahndet.

Zusammenfassung

Kurz gesagt, wenn Sie der Meinung sind, dass Ihre Datenschutzrechte verletzt wurden, können Sie sich bei der zuständigen Datenschutzbehörde beschweren.

Zuerst müssen Sie den Verstoß, den Verletzer und die in Ihrem Fall anwendbaren Gesetze feststellen.

Anschließend sollten Sie zur DPA gehen, die Beschwerde einreichen, kooperieren und auf die Entscheidung warten. In der Zwischenzeit können Sie direkt mit dem Verletzer kommunizieren, um die Verletzung zu beheben. Sie könnten schließlich kooperieren.

Im gesamten Prozess ist es sehr wichtig zu bedenken, dass es an Ihnen liegt, Maßnahmen zum Schutz Ihrer Datenschutzrechte zu ergreifen. Warten Sie nicht darauf, dass die Behörden jedes Unternehmen zur Einhaltung der Gesetze zwingen. Das wird nie passieren.

Selbst die proaktivsten Datenschutzbehörden (DPAs) weltweit verfügen über begrenzte Ressourcen, um gegen jedes nicht konforme Unternehmen vorzugehen.

Aber Sie haben die Möglichkeit zu handeln. Und Sie sollten aktiv werden, wenn Sie feststellen, dass Ihre Datenschutzrechte verletzt wurden.