DSGVO-Anfragen: Ab wann sind sie rechtsmissbräuchlich?

Der Datenschutzgrundverordnung (DSGVO) nach kann eigentlich jeder eine Auskunft über die Verarbeitung der eigenen Daten verlangen. Aber kann man es damit auch übertreiben? Mehrere Gerichte haben diese Frage nun dem Europäischen Gerichtshof (EuGH) vorgelegt.

Bildquelle: pixabay.com

Es geht darum, ab wann eine DSGVO-Anfrage im Sinne des Gesetzes als „exzessiv“ und rechtsmissbräuchlich gilt. Das Amtsgericht (AG) Arnsberg hat dem Europäischen Gerichtshof die Frage vorgelegt, wann ein Datenverarbeiter ein Auskunftsverlangen als rechtsmissbräuchlich ablehnen darf. Es fragt, ob man einen „exzessiven Antrag“ nach Art. 12 Abs. 5 DSGVO auch bei einer erstmaligen Anfrage sehen kann, wenn damit Schadensersatzansprüche provoziert werden sollen. Es sei auch zu klären, ob man eine Auskunftsverweigerung auf das Verhalten des Anfragenden stützen kann (AG Arnsberg, Beschl. v. 31.07.2024, Az. 42 C 434/23).

Zum Hintergrund: Vor dem AG stritt sich ein Privatmann mit einem Websitebetreiber aus NRW. Der Mann hatte sich mit seinen persönlichen Daten bei einem Newsletter angemeldet, und dann unter Verweis auf Art. 15 DSGVO Auskunft darüber verlangt, welche seiner personenbezogenen Daten bei der Betreiberin verarbeitet werden. Diese verweigerte die Auskunft allerdings und unterstellte dem Mann Rechtsmissbrauch. Daraufhin forderte dieser 1.000 Euro Schadensersatz.

DSGVO-Zweck unterlaufen?

Vor dem AG beantragte die Betreiberin nun Feststellung, dass dem Mann dieser Schadensersatz nicht zusteht. Das Verhalten des Mannes war in der Tat bereits medienbekannt. Die Betreiberin stellte auf mehrere Online-Berichten ab, die dem Mann ein „geschäftsmäßiges“ Vorgehen unterstellen würden. Bereits in mehreren Fällen sei er demselben Muster gefolgt: Anmeldung zu einem Newsletter, Auskunftsbegehren, anschließende Forderung von Schadensersatz. Dieses Verhalten unterlaufe den Zweck der DSGVO und sei rechtsmissbräuchlich. Ihm gehe es nicht um den Schutz seiner personenbezogenen Daten, sondern nur darum, finanzielle Entschädigungen zu erzwingen.

Der Mann sah dies allerdings nicht ein. Er pochte vor Gericht darauf, dass sein Handeln legitim sei. Das DSGVO-Auskunftsrecht sei nicht an die Motive des Antragstellers gebunden, man dürfe es also voraussetzungslos geltend machen. Er stützte sich dabei auf EuGH-Rechtsprechung, die diese Bedingungslosigkeit untermauert habe. Die Betreiberin beschneide ihn in seinen DSGVO-gemäßen Rechten, weswegen die Schadensersatzforderung rechtens sei.

EuGH muss entscheiden

Das Amtsgericht zweifelte an der Auslegung der DSGVO und setzte das Verfahren aus, um den EuGH um eine Vorabentscheidung zu bitten. Es geht vor allem Art. 12 Abs. 5 DSGVO. Dieser erlaubt es Datenverarbeitern in der Tat, eine Auskunft zu verweigern, wenn die Anfrage „insbesondere im Fall von häufiger Wiederholung exzessiv […]“ ist. Das Gericht möchte nun vom EuGH erfahren, ob trotzdem von einem „exzessiven“ Antrag die Rede sein kann, wenn dieser zwar nur einmalig ist, aber der Anfragende sonstiges rechtsmissbräuchliches Verhalten an den Tag legt. Es ist auch zu klären, ob für die Weigerung öffentlich erhältliche Informationen wie Online-Blogbeiträge herangezogen werden dürfen.

Zwei weitere Vorlagefragen betreffen den geltend gemachten Schadensersatz. Das AG zweifelt auch daran, ob statt der pauschalen 1.000 Euro nicht nur tatsächlich entstandene Schäden zu ersetzen sind. Der EuGH solle außerdem entscheiden, ob allein eine Verletzung des Auskunftsrechts einen Schadensersatzanspruch begründen kann. Dafür würden Angaben in der DSGVO fehlen.

Quelle: WBS LEGAL