Auskunftsverweigerung bei exzessiven DSGVO-Anträgen
Die Datenschutzgrundverordnung (DSGVO) gewährt verschiedene Rechte zum Schutz personenbezogener Daten, wozu auch das Auskunftsrecht nach Art. 15 DSGVO zählt. Doch was geschieht, wenn dieses Recht zum Geschäftsmodell wird, um Schadensersatzansprüche zu provozieren? Aktuell liegt beim Amtsgericht Arnsberg (AG Arnsberg) ein solcher Fall vor. In diesem Zusammenhang hat das Gericht mit Beschluss vom 31.07.2024 dem Europäischen Gerichtshof (EuGH) verschiedene Fragen zur Vorabentscheidung vorgelegt.
Geschäftsmodell mit DSGVO-Anfragen
Im vorliegenden Fall abonnierte der Betroffene online einen Newsletter und forderte im Anschluss Auskunft über die von der Betreiberin verarbeiteten Daten gemäß Art. 15 DSGVO. Mit der Empfangsbestätigung erklärte die Betreiberin die Anfrage innerhalb eines Monats beantworten zu wollen. Schlussendlich gab die Betreiberin allerdings dem Auskunftsbegehren nicht statt, da es sich um eine rechtsmissbräuchliche Anfrage handle.
Das Begehren ziele nämlich darauf ab, Verstöße zu provozieren und darauf basierend Schadensersatzansprüche geltend zu machen. Hierbei handle es sich um ein Geschäftsmodell, was auch zahlreiche Berichte und Blogbeiträge bestätigen würden. Ein solches Verhalten untergrabe den Schutzzwecke der DSGVO.
Dem hielt der Betroffene entgegen, dass das Auskunftsrecht nicht an Bedingungen gebunden sei und etwaige Motive nicht von Bedeutung seien. Als der Betroffene infolge der Auskunftsverweigerung Schadensersatz i. H. v. 1.000 Euro verlangte, erhob die Betreiberin hiergegen Klage.
Rechtsmissbräuchlicher Auskunftsanspruch
Grundsätzlich gewährt Art. 15 DSGVO Betroffenen im Rahmen des Auskunftsanspruchs das Recht, von dem Verantwortlichen Auskunft darüber zu erhalten, ob und welche personenbezogenen Daten verarbeitet werden. Zentraler Streitpunkt des Falls ist die Frage, wann dieses Begehren aufgrund eines Rechtsmissbrauchs verweigert werden kann. Art. 12 Abs. 5 S. 2 lit. b DSGVO erklärt nämlich, dass der Verantwortliche bei offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anträgen einer betroffenen Person die Auskunft verweigern kann. Den Nachweis für einen solchen Rechtsmissbrauch muss der Verantwortliche erbringen.
Vorabentscheidungsersuchen des AG Arnsberg
Das AG Arnsberg setzte das Verfahren in der Rechtssache 42 C 434/23 aus und legte dem EuGH mehrere Fragen vor (siehe hierzu auch beck-aktuell).
Zum einen möchte es wissen, unter welchen Voraussetzungen die Auskunft wegen eines rechtsmissbräuchlichen Antrags abgelehnt werden darf. Insbesondere stelle sich die Frage, ob für „exzessive Anträge“ bereits eine erste Anfrage genügt, wenn der Verdacht besteht, dass sie nur der anschließenden Schadensersatzforderung dient. Im Übrigen sei unklar, ob der Darlegungs- und Beweislast mit Verweis auf öffentliche Informationen über das Vorgehen des Betroffenen genüge getan ist.
Darüber hinaus ist zu klären, ob allein eine Verletzung des Auskunftsrechts einen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO begründen kann, oder ob hierfür eine Verarbeitung von personenbezogenen Daten notwendig ist. Zudem sei fraglich, ob bereits der Kontrollverlust einen immateriellen Schaden begründet.
Bisherige Rechtsprechung
In der Vergangenheit haben sich bereits verschiedene deutsche Gerichte mit den Voraussetzungen des Rechtsmissbrauchs bei DSGVO-Anfragen beschäftigt. So haben etwa das Oberlandesgericht (OLG) Hamm (20 U 146/22), das OLG Brandenburg (11 U 233/22) und das OLG Nürnberg (8 U 2907/21) entschieden, dass ein Auskunftsbegehren dann als missbräuchlich zu werten ist, wenn es nicht zur Prüfung der datenschutzkonformen Datenverarbeitung erfolgt.
Unabhängig davon bleibt auch fraglich, ob das Begehren auf immateriellen Schadensersatz Erfolg haben wird. Der EuGH hat nämlich mittlerweile vermehrt entschieden, dass zwar keine „Erheblichkeitsschwelle“ für immateriellen Schaden überschritten werden muss, der Betroffene jedoch den Schaden nachweisen muss.
Fazit
Insofern bleibt es für die Voraussetzungen der Auskunftsverweigerung bei exzessiven DSGVO-Anträgen spannend, wie das EuGH-Urteil ausfallen wird. Unabhängig davon sollten Unternehmen allerdings ihre internen Prozesse so anpassen, dass sie bei Auskunftserteilungen keine Verstöße gegen Datenschutzvorschriften begehen. Denn dann kann der Betroffene, auch wenn er rechtsmissbräuchliche Ziele verfolgt, keine Schadensersatzansprüche geltend machen. Als Externe Datenschutzbeauftragte helfen wir Ihnen gerne bei der Implementierung datenschutzkonformer Verfahren weiter.