DSGVO-Anfragen: Ab wann sind sie rechtsmissbräuchlich?
Der Datenschutzgrundverordnung (DSGVO) nach kann eigentlich jeder eine Auskunft über die Verarbeitung der eigenen Daten verlangen. Aber kann man es damit auch übertreiben? Mehrere Gerichte haben diese Frage nun dem Europäischen Gerichtshof (EuGH) vorgelegt.
Es geht darum, ab wann eine DSGVO-Anfrage im Sinne des Gesetzes als „exzessiv“ und rechtsmissbräuchlich gilt. Das Amtsgericht (AG) Arnsberg hat dem Europäischen Gerichtshof die Frage vorgelegt, wann ein Datenverarbeiter ein Auskunftsverlangen als rechtsmissbräuchlich ablehnen darf. Es fragt, ob man einen „exzessiven Antrag“ nach Art. 12 Abs. 5 DSGVO auch bei einer erstmaligen Anfrage sehen kann, wenn damit Schadensersatzansprüche provoziert werden sollen. Es sei auch zu klären, ob man eine Auskunftsverweigerung auf das Verhalten des Anfragenden stützen kann (AG Arnsberg, Beschl. v. 31.07.2024, Az. 42 C 434/23).
Zum Hintergrund: Vor dem AG stritt sich ein Privatmann mit einem Websitebetreiber aus NRW. Der Mann hatte sich mit seinen persönlichen Daten bei einem Newsletter angemeldet, und dann unter Verweis auf Art. 15 DSGVO Auskunft darüber verlangt, welche seiner personenbezogenen Daten bei der Betreiberin verarbeitet werden. Diese verweigerte die Auskunft allerdings und unterstellte dem Mann Rechtsmissbrauch. Daraufhin forderte dieser 1.000 Euro Schadensersatz.
DSGVO-Zweck unterlaufen?
Vor dem AG beantragte die Betreiberin nun Feststellung, dass dem Mann dieser Schadensersatz nicht zusteht. Das Verhalten des Mannes war in der Tat bereits medienbekannt. Die Betreiberin stellte auf mehrere Online-Berichten ab, die dem Mann ein „geschäftsmäßiges“ Vorgehen unterstellen würden. Bereits in mehreren Fällen sei er demselben Muster gefolgt: Anmeldung zu einem Newsletter, Auskunftsbegehren, anschließende Forderung von Schadensersatz. Dieses Verhalten unterlaufe den Zweck der DSGVO und sei rechtsmissbräuchlich. Ihm gehe es nicht um den Schutz seiner personenbezogenen Daten, sondern nur darum, finanzielle Entschädigungen zu erzwingen.
Der Mann sah dies allerdings nicht ein. Er pochte vor Gericht darauf, dass sein Handeln legitim sei. Das DSGVO-Auskunftsrecht sei nicht an die Motive des Antragstellers gebunden, man dürfe es also voraussetzungslos geltend machen. Er stützte sich dabei auf EuGH-Rechtsprechung, die diese Bedingungslosigkeit untermauert habe. Die Betreiberin beschneide ihn in seinen DSGVO-gemäßen Rechten, weswegen die Schadensersatzforderung rechtens sei.
EuGH muss entscheiden
Das Amtsgericht zweifelte an der Auslegung der DSGVO und setzte das Verfahren aus, um den EuGH um eine Vorabentscheidung zu bitten. Es geht vor allem Art. 12 Abs. 5 DSGVO. Dieser erlaubt es Datenverarbeitern in der Tat, eine Auskunft zu verweigern, wenn die Anfrage „insbesondere im Fall von häufiger Wiederholung exzessiv […]“ ist. Das Gericht möchte nun vom EuGH erfahren, ob trotzdem von einem „exzessiven“ Antrag die Rede sein kann, wenn dieser zwar nur einmalig ist, aber der Anfragende sonstiges rechtsmissbräuchliches Verhalten an den Tag legt. Es ist auch zu klären, ob für die Weigerung öffentlich erhältliche Informationen wie Online-Blogbeiträge herangezogen werden dürfen.
Zwei weitere Vorlagefragen betreffen den geltend gemachten Schadensersatz. Das AG zweifelt auch daran, ob statt der pauschalen 1.000 Euro nicht nur tatsächlich entstandene Schäden zu ersetzen sind. Der EuGH solle außerdem entscheiden, ob allein eine Verletzung des Auskunftsrechts einen Schadensersatzanspruch begründen kann. Dafür würden Angaben in der DSGVO fehlen.
Quelle: WBS LEGAL
Weitere News aus dieser Kategorie
23. Dezember 2024
Gesetzliche Neuregelungen ab Januar 2025
Auch 2025 gibt es in Deutschland einige gesetzliche Änderungen für Unternehmen.…
11. November 2024
Barrierefreiheit wird für Unternehmen Pflicht
Was für öffentliche Einrichtungen bereits gilt, wird auch für die…
4. November 2024
DSGVO: LinkedIn muss 310 Millionen Euro zahlen
Die Datenschutzbehörde in Irland hat Microsofts sozialem Netzwerk LinkedIn eine…