Die Datenschutz-Grundverordnung gewährt jedem das Recht, Auskunft über die Verarbeitung der eigenen personenbezogenen Daten zu verlangen. Doch kann dieses Recht auch missbräuchlich genutzt werden? Genau mit dieser Thematik befasst sich derzeit der EuGH. Es geht um die Frage, wann ein Antrag nach Art. 15 DSGVO als „exzessiv“ und damit rechtsmissbräuchlich abgelehnt werden kann.
Hintergrund
In dem konkreten Fall klagte ein Betroffener vor dem AG Arnsberg (Az.: 42 C 434/23) auf Schadensersatz, nachdem ein Websitebetreiber ihm die Auskunft über die Verarbeitung seiner Daten verweigerte. Der Betreiber argumentierte, dass der Kläger in einer Reihe von Fällen ein „geschäftsmäßiges“ Vorgehen an den Tag gelegt habe, indem er sich gezielt bei Newslettern anmeldete, dann Auskunft begehrte und anschließend auf Schadensersatz klagte. Diese Informationen hat der Datenverarbeiter unter anderem aus Blogbeiträgen, die über den Kläger berichten. Das Gericht setzte das Verfahren aus und möchte vom EuGH im Rahmen eines Vorabentscheidungsverfahrens wissen, ob bereits eine einmalige Anfrage bei einem Datenverarbeiter „exzessiv“ sein kann, wenn sie mit dem Ziel erfolgt, Schadensersatz zu provozieren.
Datenschutzrechtliche Aspekte:
Der entscheidende rechtliche Anknüpfungspunkt ist Art. 12 Abs. 5 DSGVO, der es Datenverarbeitern erlaubt, bei „exzessiven Anträgen“ eine Auskunft zu verweigern. Bisher wurde der Begriff „exzessiv“ überwiegend im Kontext von häufig wiederholten Anträgen verwendet. Das AG Arnsberg stellt jedoch die Frage, ob auch eine erstmalige Anfrage als exzessiv angesehen werden kann, wenn diese Teil eines rechtsmissbräuchlichen Verhaltensmusters ist.
Der Beklagte argumentiert hingegen, dass der Auskunftsanspruch gesetzlich gerade nicht an ein besonderes Motiv gebunden wird.
Neben der Frage, ob das Motiv des Antragstellers bei der Bewertung des Auskunftsanspruchs berücksichtigt werden kann, ist auch zu klären, ob für die Weigerung öffentlich erhältliche Informationen wie Online-Blogbeiträge herangezogen werden dürfen.
Schadensersatz bei DSGVO-Verstößen
Eine weitere Vorlagefrage betrifft den Schadensersatzanspruch, der in der DSGVO nicht klar definiert ist. Das AG Arnsberg möchte einerseits vom EuGH klären lassen, ob pauschale Schadensersatzforderungen von 1.000 Euro rechtens sind oder ob ein tatsächlicher Schaden nachgewiesen werden muss. Andererseits soll geklärt werden, ob bereits ein Verstoß gegen das Auskunftsrecht einen Schadensersatzanspruch begründen kann.
Vergleichbares Verfahren aus Österreich
Parallel läuft ein ähnliches Verfahren vor dem EuGH, das vom österreichischen Verwaltungsgerichtshof eingeleitet wurde (Az.: C-416/23). Hier hatte der Beklagte innerhalb von zwei Jahren über 70 Beschwerden bei der Datenschutzbehörde eingereicht hatte. Das besondere an diesem Fall ist, dass die Anträge stets andere Verarbeitungstätigkeiten betrafen. Die Behörde weigerte sich, weiter tätig zu werden, und begründete dies mit der exzessiven Zahl der Anträge und der begrenzten behördlichen Kapazität. Der EuGH soll hier entscheiden, ab wann eine Vielzahl von Anträgen als exzessiv anzusehen ist und ob Datenschutzbehörden unter diesen Umständen ihre Tätigkeit verweigern dürfen.
Fazit
Die bevorstehenden Entscheidungen des EuGH zu exzessiven DSGVO-Anfragen haben das Potenzial, die Rechtslage sowohl für Privatpersonen als auch für Unternehmen erheblich zu beeinflussen. Sollten Gerichte und Behörden künftig striktere Kriterien für die Annahme von Anträgen anwenden dürfen, könnte dies den massenhaften Missbrauch des Auskunftsrechts eindämmen. Andererseits wird der EuGH auch prüfen müssen, wie die Balance zwischen dem Schutz der Betroffenen und der Verhinderung rechtsmissbräuchlicher Verfahren gewahrt werden kann.
Foto von Kenny Eliason auf Unsplash
Weitere Beiträge:
Schreibe einen Kommentar
You must be logged in to post a comment.