Die DSGVO erlaubt es eigentlich jedem, Auskunft über die Verarbeitung der eigenen Daten zu verlangen. Aber kann man es damit auch übertreiben? Mehrere Gerichte haben diese Frage nun dem Europäischen Gerichtshof vorgelegt. Es geht darum, ab wann eine DSGVO-Anfrage im Sinne des Gesetzes als „exzessiv“ und rechtsmissbräuchlich gilt.

Das Amtsgericht (AG) Arnsberg hat dem Europäischen Gerichtshof die Frage vorgelegt, wann ein Datenverarbeiter ein Auskunftsverlangen als rechtsmissbräuchlich ablehnen darf. Es fragt, ob man einen „exzessiven Antrag“ nach Art. 12 Abs. 5 DSGVO auch bei einer erstmaligen Anfrage sehen kann, wenn damit Schadensersatzansprüche provoziert werden sollen. Es sei auch zu klären, ob man eine Auskunftsverweigerung auf das Verhalten des Anfragenden stützen kann (AG Arnsberg, Beschl. v. 31.07.2024, Az. 42 C 434/23).

Vor dem AG Arnsberg stritt sich in diesem Verfahren ein Privatmann mit einem Websitebetreiber aus NRW. Der Mann hatte sich mit seinen persönlichen Daten bei einem Newsletter angemeldet, und dann unter Verweis auf Art. 15 DSGVO Auskunft darüber verlangt, welche seiner personenbezogenen Daten bei der Betreiberin verarbeitet werden. Diese verweigerte die Auskunft allerdings und unterstellte dem Mann Rechtsmissbrauch. Daraufhin forderte dieser 1.000 Euro Schadensersatz.

DSGVO-Auskunft „bedingungslos“?

Vor dem Amtsgericht Arnsberg beantragte die Betreiberin nun Feststellung, dass dem Mann dieser Schadensersatz nicht zusteht. Das Verhalten des Mannes war in der Tat bereits medienbekannt. Die Betreiberin stellte auf mehrere Online-Berichten ab, die dem Mann ein „geschäftsmäßiges“ Vorgehen unterstellen würden. Bereits in mehreren Fällen sei er demselben Muster gefolgt: Anmeldung zu einem Newsletter, Auskunftsbegehren, anschließende Forderung von Schadensersatz. Dieses Verhalten unterlaufe den Zweck der DSGVO und sei rechtsmissbräuchlich. Ihm gehe es nicht um den Schutz seiner personenbezogenen Daten, sondern nur darum, finanzielle Entschädigungen zu erzwingen.

Soforthilfe vom Anwalt

Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.

Der Mann sah dies allerdings nicht ein. Er pochte vor Gericht darauf, dass sein Handeln legitim sei. Das DSGVO-Auskunftsrecht sei nicht an die Motive des Antragstellers gebunden, man dürfe es also voraussetzungslos geltend machen. Er stützte sich dabei auf EuGH-Rechtsprechung, die diese Bedingungslosigkeit untermauert habe. Die Betreiberin beschneide ihn in seinen DSGVO-gemäßen Rechten, weswegen die Schadensersatzforderung rechtens sei.

Das Amtsgericht zweifelte an der Auslegung der DSGVO und setzte das Verfahren aus, um den EuGH um eine Vorabentscheidung zu bitten. Es geht vor allem Art. 12 Abs. 5 DSGVO. Dieser erlaubt es Datenverarbeitern in der Tat, eine Auskunft zu verweigern, wenn die Anfrage „insbesondere im Fall von häufiger Wiederholung exzessiv […]“ ist. Das Gericht möchte nun vom EuGH erfahren, ob trotzdem von einem „exzessiven“ Antrag die Rede sein kann, wenn dieser zwar nur einmalig ist, aber der Anfragende sonstiges rechtsmissbräuchliches Verhalten an den Tag legt. Es ist auch zu klären, ob für die Weigerung öffentlich erhältliche Informationen wie Online-Blogbeiträge herangezogen werden dürfen.

Zwei weitere Vorlagefragen betreffen den geltend gemachten Schadensersatz. Das AG zweifelt auch daran, ob statt der pauschalen 1.000 € nicht nur tatsächlich entstandene Schäden zu ersetzen sind. Der EuGH solle außerdem entscheiden, ob allein eine Verletzung des Auskunftsrechts einen Schadensersatzanspruch begründen kann. Dafür würden Angaben in der DSGVO fehlen.

Ähnliches Verfahren aus Österreich

Der EuGH-Generalanwalt Richard de la Tour 05.09 Schlussanträge in einem ähnlichen Verfahren präsenteren (Laufende Rechtssache, Az. C-416/23). In diesem Fall war es der österreichische Verwaltungsgerichtshof (VwGH), der den EuGH um einige Klarstellungen zu exzessiven Anfragen der DSGVO erbat. Hier geht es um eine ähnliche Regelung im DSGVO-Kapitel über die Datenschutz-Aufsichtsbehörden (Art. 57 Abs. 4 DSGVO). Diese erlaubt es auch Aufsichtsbehörden, bei „exzessiven Anfragen“ die Tätigkeit zu verweigern.

Hintergrund ist der Fall einer Person, die innerhalb von zwei Jahren mehr als 70 Beschwerden bei der österreichischen Datenschutzbehörde eingebracht hatte. Die Beschwerden betrafen dabei jeweils andere Verarbeitungen. Die Behörde verweigerte die Tätigkeit per Bescheid, weil die Anfragen deren Ressourcen unverhältnismäßig binden würden. Der Bescheid wurde vom österreichischen Bundesverwaltungsgericht ersatzlos aufgehoben. Die Behörde sollte das Beschwerdeverfahren demnach fortführen, ging aber vor dem VwGH gegen die Entscheidung vor (sog. „Amtsrevision“).

Der österreichische VwGH setzte das Verfahren nun wiederum aus, um dem EuGH einige Fragen vorzulegen. Es wollte wissen, ob die von der Person eingelegten (77) Beschwerden überhaupt „Anfragen“ sind, die die Behörde als exzessiv ablehnen darf. Falls ja, ginge es auch hier um die Frage, ab wann diese Anfragen „exzessiv“ sind.

Es ist insofern gerade der umgekehrte Fall zum Verfahren des AG Arnsberg. Es geht nicht darum, ob auch eine einzelne Frage „exzessiv“ sein kann, sondern darum, ob eine Vielzahl von Anfragen „exzessiv“ sein können, wenn sie auch verschiedene Fälle betreffen. Jedenfalls exzessiv wäre es gewesen, hätte die Person in einem einzigen Fall über 70 Beschwerden eingereicht – in diesem Fall war sich der VwGH allerdings nicht sicher.

Der VwGH bat den EuGH außerdem darum, Kriterien für den Umgang mit exzessiven Anfragen aufzustellen. Es sei nach geltender Rechtslage nicht klar, ob die Behörde direkt die Tätigkeit einstellen darf, oder zuerst als milderes Mittel (wie von der DSGVO vorgesehen) eine angemessene Gebühr verlangen soll.

Jetzt zu unserem Newsletter anmelden und bei rechtlichen Themen immer aktuell bleiben

Einwilligung(erforderlich)
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Entscheidungen stehen ins Haus

In der Causa „exzessive DSGVO-Anfragen“ kommt es damit zu der interessanten Konstellation, dass eine Rechtsfrage durch den EuGH bald aus zwei verschiedenen Perspektiven beleuchtet wird. Schon die Schlussanträge vom 05.09 dürften hier einigen Aufschluss über den Umgang mit beschwerdefreudigen Datenschutzenthusiasten geben.

Die Antworten auf das Verfahren des AG Arnsberg betreffen dagegen die Pflichten von Verarbeitern, die sich mit „DSGVO-Jägern“ auseinandersetzen müssen. Beide Fragen werden aus rechtlicher Sicht mit Spannung erwartet.

the