Exzessive Anfragen nach Art. 12 DSGVO
Die Datenschutzgrundverordnung (DSGVO) schützt die Rechte von Betroffenen umfassend, insbesondere durch Auskunftsansprüche und Beschwerderechte. Allerdings können diese Rechte auch rechtsmissbräuchlich eingesetzt werden. In der Rechtssache C-416/23, die aktuell beim Europäischen Gerichtshof (EuGH) liegt, beschäftigte sich der Generalanwalt in seinen Schlussanträgen vom 05.09.2024 mit der Frage, wann exzessive Anfragen im Sinne von Art. 57 Abs. 4 DSGVO vorliegen, sodass Aufsichtsbehörden sich vor diesem Verhalten schützen können. Die Entscheidung könnte auch Auswirkung darauf haben, wann Unternehmen exzessive Anfragen nach Art. 12 Abs. 5 DSGVO verweigern dürfen.
Beschwerde gegen Aufsichtsbehörde
Der konkrete Fall betrifft eine Beschwerde eines österreichischen Betroffenen, der aufgrund der Nichterfüllung seines Auskunftsrechts nach Art. 15 DSGVO die Aufsichtsbehörde anrief. In einem Zeitraum von 20 Monaten reichte er wegen nicht fristgerechter Beantwortung seiner Begehren insgesamt 77 Beschwerden bei der Datenschutzbehörde ein, die sich auf unterschiedliche Verantwortliche bezogen.
Die Behörde verweigerte die Bearbeitung der konkreten Beschwerde, da diese wiederholten Anfragen exzessiv seien. Zu den unzähligen Anfragen kämen auch noch regelmäßige telefonische Beratungsanfragen.
Der Betroffene wandte sich deshalb an das österreichische Bundesverwaltungsgericht, dass im Anschluss dem Betroffenen Recht gab. Die Behörde habe nicht ausreichend begründet, warum sie die Anfrage als rechtsmissbräuchlich ansah. Neben Häufigkeit müsste für die „exzessive Natur“ die Anfragen auch einen „offensichtlich schikanösen bzw. rechtsmissbräuchlichen Charakter“ haben.
Infolgedessen legte die Datenschutzbehörde Revision beim Verwaltungsgerichtshof in Österreich ein. Dieses wandte sich mit verschiedenen Fragen an den EuGH mit einem Vorabentscheidungsersuchen. Das Gericht fragt insbesondere, ob für einen exzessiven Charakter allein eine bestimmte Anzahl an Anfragen in Bezug auf verschiedene Fälle ausreicht, oder ob darüber hinaus weitere Kriterien vorliegen müssen, die die Anfragen als rechtsmissbräuchlich darstellen.
Auskunftsverweigerungsrecht nach Art. 57 Abs. 4 DSGVO und Art. 12 Abs. 5 DSGVO
Im Fokus des Falls stehen zwei zentrale Regelungen der DSGVO. Art. 12 Abs. 5 S. 2 DSGVO erlaubt es Verantwortlichen, bei offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anträgen einer betroffenen Person ein angemessenes Entgelt zu verlangen, oder sich zu weigern, aufgrund des Antrags tätig zu werden. Der Verantwortliche hat den Nachweis für den rechtsmissbräuchlichen Charakter des Antrags zu erbringen.
Eine ähnliche Regelung findet sich in Art. 57 Abs. 4 DSGVO, der Aufsichtsbehörden das Recht gibt, bei exzessiven Anfragen eine angemessene Gebühr zu erheben oder die Auskunft zu verweigern. Auch hier trägt die Aufsichtsbehörde die Beweislast.
In diesem Zusammenhang hat auch das Amtsgericht Arnsberg erst kürzlich ein Vorabentscheidungsersuchen beim EuGH eingereicht. Konkret geht es hier um die Frage, wann Anfragen verweigert werden können, wenn diese im Rahmen eines Geschäftsmodells missbraucht werden und wann ein solches vorliegt.
Generalanwalt: Häufige Wiederholung reicht nicht
Der Generalanwalt stellte in seinen Schlussanträgen klar, dass die Anzahl der Beschwerden allein nicht ausreicht, um eine Anfrage als exzessiv zu werten. Entscheidend ist, ob die Anfragen missbräuchlich genutzt werden, etwa mit der Absicht, den Betrieb einer Aufsichtsbehörde zu beeinträchtigen.
Im Übrigen gewähre die DSGVO den Betroffenen Rechte, die nicht durch einen konkreten Schwellenwerte beschnitten werden dürfen. Anderenfalls könnte es zu „einer willkürlichen Beeinträchtigung des Rechtsschutzes“ kommen. Vielmehr müsse die Behörde im Einzelfall nachweisen, dass der Betroffene durch seine Anfragen rechtsmissbräuchliche Absichten verfolgt.
Das bedeute, dass der Betroffene andere Zwecke verfolgen muss, die in keinem Zusammenhang zu den Schutzzwecken der DSGVO stehen. Das sei etwa der Fall, wenn durch die hohe Anzahl an Beschwerden die Funktionsfähigkeit der Behörde beeinträchtigt werden soll. Allein ein überdurchschnittlich hoher Arbeitsaufwand für die Behörde reiche nicht aus. Auch sei es gleichgültig, ob hierdurch die Bearbeitung von Beschwerden von anderen Betroffenen beeinträchtigt wird. Diese enge Auslegung sei sowohl auf Art. 57 Abs.4 DSGVO als auch auf Art. 12 Abs. 5 DSGVO anwendbar.
Praxisbeispiele für exzessive Anfragen
In seinen Schlussanträgen führte der Generalanwalt Beispiele für potenziell exzessive Anfragen auf. Etwa dann, wenn ein Betroffener mehrere identische Beschwerden über denselben Verantwortlich in kurzen Abständen einreicht, ohne dass sich die zugrunde liegenden Tatsachen geändert haben, könne dies auf eine Absicht der Funktionsbeeinträchtigung hindeuten. Ein weiteres Beispiel seien eine Vielzahl von Beschwerden gegen unterschiedliche Verantwortliche von derselben Person, ohne dass diese einen direkten Bezug zu diesen hat.
Fazit
Das Verfahren wird eine wichtige Klärung dahingehend bringen, wann Unternehmen und Behörden exzessive Anfragen nach Art. 12 DSGVO und Art. 57 DSGVO verweigern dürfen. Die Schlussanträge des Generalanwalts deuten darauf hin, dass quantitative Kriterien allein nicht ausreichen, um einen Rechtsmissbrauch anzunehmen. Die Einschätzung des Generalanwalts ist für den EuGH nicht verbindlich. Allerdings orientieren sich die EuGH-Richter häufig hieran, weshalb sie einen ersten guten Anhaltspunkt darstellen.