Der Auskunftsanspruch nach Art. 15 DSGVO zählt zu den zentralen Instrumenten des Datenschutzrechts, wird in der Praxis jedoch auch zunehmend strategisch genutzt. Der Europäische Gerichtshof (EuGH) hat sich nun mit der Frage befasst, unter welchen Voraussetzungen ein solches Auskunftsersuchen als missbräuchlich zurückgewiesen werden kann. Im Mittelpunkt steht dabei eine Konstellation, in der Betroffene gezielt Auskunft verlangen, um im Anschluss Schadensersatzansprüche wegen angeblicher DSGVO-Verstöße geltend zu machen.
„DSGVO-Hopping“ durch Newsletter-Anmeldungen?
Dem Verfahren lag ein vergleichsweise einfacher, aber praxisnaher Sachverhalt zugrunde: Eine in Österreich wohnhafte Person abonnierte den Newsletter des Unternehmens Brillen Rottler und gab dafür ihre personenbezogenen Daten in die Anmeldemaske auf der Website ein. Bereits 13 Tage später stellte sie ein Auskunftsersuchen nach Art. 15 DSGVO. Das Unternehmen lehnte die Auskunft ab, weil es das Ersuchen für missbräuchlich hielt. Es berief sich darauf, dass der Betroffene sich nach öffentlich zugänglichen Informationen systematisch bei Newslettern verschiedener Unternehmen anmelde, anschließend Auskunft verlange und danach Schadensersatz fordere. Vor diesem Hintergrund legte das Amtsgericht Arnsberg dem EuGH Fragen zur Auslegung der DSGVO vor
Erstes Auskunftsersuchen kann bereits missbräuchlich sein
Der EuGH stellt klar, dass auch ein erster Auskunftsantrag unter Umständen bereits als „exzessiv“ und damit als missbräuchlich eingeordnet werden kann. Das gilt dann, wenn der Antrag zwar formal die Voraussetzungen des Art. 15 DSGVO erfüllt, aber nicht dazu dient, sich über die Verarbeitung der eigenen Daten zu vergewissern und deren Rechtmäßigkeit zu überprüfen, sondern allein darauf abzielt, künstlich die Voraussetzungen für einen späteren Schadensersatzanspruch nach Art. 82 DSGVO zu schaffen. Die Beweislast für ein solches Verhalten trägt jedoch der Datenverantwortliche. Hierfür darf er auch öffentlich zugängliche Informationen berücksichtigen, etwa Hinweise darauf, dass die betroffene Person mehrfach nach demselben Muster gegenüber verschiedenen Verantwortlichen vorgeht und „DSGVO-Hopping“ betreibt. Ob ein solcher Missbrauch im konkreten Fall tatsächlich vorliegt, muss nun das Amtsgericht Arnsberg, beurteilen.
Der EuGH ergänzt außerdem, dass ein Schadensersatzanspruch nur besteht, wenn ein tatsächlicher Schaden nachgewiesen wird. Fehlt es daran oder ist das eigene Verhalten der betroffenen Person die entscheidende Schadensursache, scheidet Ersatz aus.
Einholung öffentlicher Informationen nicht unproblematisch
Die Einholung öffentlicher Informationen ist jedoch nicht unproblematisch und kann mit dem Informationsanspruch des Betroffenen aus Art. 14 DSGVO des Betroffenen korrelieren. Hingewiesen sei in diesem Zusammenhang auf das Verfahren vor dem Bundesarbeitsgericht. Der dort klagende Bewerber – ein Rechtsanwalt – hatte sich auf eine Stelle beworben. Im Rahmen des Auswahlverfahrens recherchierte der beklagte Arbeitgeber Informationen über den Bewerber im Internet, also aus öffentlich zugänglichen Quellen. Unter anderem ergab sich hieraus, dass der Anwalt bereits erstinstanzlich wegen Betruges verurteilt worden war. Über diese Datenerhebung wurde der Bewerber jedoch nicht gemäß Art. 14 DSGVO informiert. Nach der Absage machte er daraufhin einen Schadensersatzanspruch wegen eines Verstoßes gegen die DSGVO geltend und gewann.
Fazit
Der EuGH eröffnet zwar die Möglichkeit, missbräuchliche Auskunftsersuchen zurückzuweisen, setzt die Hürden dafür aber bewusst hoch. In der Praxis wird ein solcher Nachweis nur selten eindeutig gelingen.
Vor der Beweisführung lohnt sich ein Blick auf nationale Entscheidungen zur DSGVO-Ansprüchen. Wer zur Prüfung eines möglichen Missbrauchs öffentlich zugängliche Informationen nutzt, kann selbst neue Pflichten nach Art. 14 DSGVO auslösen – inklusive Schadensersatzrisiko.
Für Verantwortliche bleibt es daher beim Grundsatz: Auskunftsersuchen sind regelmäßig zu erfüllen. Eine Zurückweisung kommt nur in klaren Ausnahmefällen in Betracht und sollte datenschutzrechtlich sauber vorbereitet werden.
Bereit, die Verantwortung an einen externen Datenschutzbeauftragten zu übergeben?
Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Ihr Unternehmen in Fragen des Datenschutzes und der Datenschutz-Compliance unterstützen können.
