EuGH: Keine pauschale Beschränkung von Datenschutzbeschwerden
Ein aktuelles Urteil (C-416/23) des Europäischen Gerichtshofs (EuGH) vom 09.01.2025 stellt die österreichische Datenschutzbehörde (DSB) ins Zentrum heftiger Kritik. Die Behörde hatte die Anzahl der von Betroffenen eingereichten Beschwerden auf maximal zwei pro Monat beschränkt. Der EuGH hat diese Praxis nun für rechtswidrig erklärt und festgestellt, dass keine pauschale Beschränkung von Datenschutzbeschwerden erfolgen darf.
Beschwerde bei der Datenschutzbehörde
Der Fall betrifft eine Datenschutzbeschwerde eines österreichischen Betroffenen, der aufgrund der Nichterfüllung seines Auskunftsrechts nach Art. 15 DSGVO die Aufsichtsbehörde anrief. In 20 Monaten erhob er insgesamt 77 Beschwerden, die sich auf unterschiedliche Verantwortliche bezogen. Die Behörde verweigerte die Bearbeitung der konkreten Beschwerde. In Verbindung mit regelmäßigen Telefonanrufen handle es sich um exzessive Anfragen. Infolgedessen beschränkte die DSB die Anzahl der zulässigen Beschwerden auf zwei pro Monat, selbst wenn Nutzer tatsächlich häufiger von Datenschutzverletzungen betroffen waren.
Mit seinem Anliegen wandte sich der Betroffene deshalb an ein österreichisches Gsgericht, dass ihm Recht gab. Im Rahmen der darauffolgenden Revision beantragte der Verwaltungsgerichtshof die Vorabentscheidung beim EuGH. Das Gericht wollte insbesondere wissen, ob für einen exzessiven Charakter allein eine bestimmte Anzahl an Anfragen in Bezug auf verschiedene Fälle ausreicht, oder ob darüber hinaus weitere Kriterien vorliegen müssen, die die Anfragen als rechtsmissbräuchlich darstellen.
Stellungnahme des EuGH-Generalanwalts
Bereits Anfang Oktober 2024 meinte der Generalanwalt des EuGH in seinen Schlussanträgen, dass die Anzahl der Beschwerden allein nicht ausreicht, um eine Anfrage als exzessiv zu werten. Entscheidend sei, ob die Anfragen missbräuchlich genutzt werden, etwa mit der Absicht, den Betrieb einer Aufsichtsbehörde zu beeinträchtigen. Ein starre Schwellenwerte verstoße gegen die DSGVO. Die Behörde müsse im Einzelfall rechtsmissbräuchliche Absichten nachweisen.
Entscheidung des EuGH
Der EuGH schloss sich nun dem Generalanwalt an. Eine Anfrage könne nicht allein deshalb als exzessiv angesehen werden, weil über einen bestimmten Zeitraum eine besonders hohe Anzahl an Anfragen eingegangen ist. Dies könne nämlich auch die Folge einer tatsächlich hohen Anzahl an Rechtsverstößen sein. Vielmehr müsse die Behörde beweisen, dass der Antragssteller eine darüberhinausgehende missbräuchliche Gesinnung besitze. Liegen allerdings tatsächlich exzessive Anfragen vor, kann eine Behörde laut des Urteils im Rahmen einer ordnungsgemäßen Ermessensausübung darüber entscheiden, ob sie eine angemessene Zahlung für den Verwaltungsaufwand erhebt oder die Beantwortung der Anfrage auslässt.
Fragwürdige Praxis der österreichischen DSB
Die Bürgerrechtsorganisation noyb kritisiert zudem insgesamt die Datenschutzpraxis der österreichischen DSB. Seit Jahren entwickele die Behörde Strategien, um Verfahren einzustellen oder abzuwürgen. Dazu würden Drohungen mit Verfahrensbeendigung nach Stellungnahme durch Unternehmen erfolgen, wenn Betroffene nicht innerhalb von zwei Wochen reagieren. Hinzukommen würden über die gesetzlich vorgeschriebenen Fristen hinausgehende Verfahrensdauern. Max Schrems, Vorstandsvorsitzender bei noyb, behauptet, noch nie ein Verfahren gesehen zu haben, bei dem die 6-Monatsfrist eingehalten wurde. Die Erhöhung des Budgets der Datenschutzbehörde könne hier einen enormen Vorteil bieten. Erforderlich sei dann aber auch, effizienter zu handeln.
Laut Schrems stelle es eine Gefahr für den Datenschutz dar, wenn DSGVO-Verstöße nicht ordnungsgemäß geahndet würden. Auch würde eine konsequente Rechtsdurchsetzung insgesamt Verstöße minimieren und so auch zu weniger Beschwerden führen. In diesem Zusammenhang sei besonders problematisch, dass nur 1,36 % aller eingeleiteten Verfahren zu einer Strafe führen, während selbst banale Verstöße wie falsch geparkte E-Scooter deutlich strenger sanktioniert würden. Laut der Pressemitteilung von noyb seien etliche der DSGVO-Verletzungen ebenso simpel zu bearbeiten, wie einfache Verkehrsverstöße.
Fazit
Der EuGH entscheidet, dass keine pauschale Beschränkung von Datenschutzbeschwerden erfolgen darf. Das Urteil ist hierdurch eine klare Mahnung an die DSB, die Rechte von Betroffenen nicht durch willkürliche Beschränkungen zu untergraben. Gleichzeitig offenbaren die Kritikpunkte ein vielschichtiges Problem: von ineffizienten Verfahren über mangelnde Durchsetzungskraft bis hin zu Defiziten in der Ressourcenausstattung. Dies kann sich mitunter auch nachteilig für Unternehmen auswirken, die ebenfalls unter langwierigen Verfahrensgängen leiden können. Insbesondere sollten sie ein großes Interesse daran haben, etwaige Datenschutzverstöße möglichst schnell aufklären zu können und die Vermehrung von möglichen Schadensersatzansprüchen zu verhindern. Dies zeigt, dass man für eine wirksame Datenschutzaufsicht nicht nur eine angemessene Finanzierung, sondern auch einer grundlegenden Neuausrichtung hin zu mehr Konsequenz und Effektivität, braucht.