Die DSGVO gewährt jedem das Recht, Auskunft über die Verarbeitung seiner persönlichen Daten zu verlangen. Doch kann dieses Recht auch missbraucht werden? Mehrere Gerichte haben den Europäischen Gerichtshof (EuGH) um Klärung dieser Frage gebeten; insbesondere ab wann eine DSGVO-Anfrage als „exzessiv“ und damit rechtsmissbräuchlich gilt.
Beispiel: AG Arnsberg
Das Amtsgericht Arnsberg (Beschl. v. 31.07.2024, Az. 42 C 434/23) legte dem EuGH den Fall eines Website-Nutzers aus NRW vor, der nach der Anmeldung zu einem Newsletter gemäß Art. 15 DSGVO Informationen über die Verarbeitung seiner Daten forderte.
Der Betreiber verweigerte die Auskunft und warf dem Nutzer Rechtsmissbrauch vor. Daraufhin verlangte der Nutzer 1.000 Euro Schadensersatz. Der Betreiber sah im Verhalten des Mannes ein gezieltes Muster zur finanziellen Bereicherung und argumentierte, dass das Vorgehen des Nutzers den eigentlichen Zweck der DSGVO untergrabe.
Vor Gericht beantragte der Betreiber, dass kein Schadensersatzanspruch bestehe, da das Auskunftsverlangen rechtsmissbräuchlich sei.
Das Amtsgericht äußerte Zweifel und bat den EuGH um eine Vorabentscheidung; insbesondere zur Auslegung von Art. 12 Abs. 5 DSGVO. Dieser Artikel erlaubt es Datenverarbeitern, eine Auskunft zu verweigern, wenn diese „exzessiv“ ist, insbesondere bei wiederholten Anfragen.
Nun stellt sich die Frage, ob eine erstmalige Anfrage bereits als exzessiv angesehen werden kann, wenn sie in einem schädigenden Kontext steht.
Zudem stellt sich die Frage, ob der Schadensersatz, wie vom Nutzer gefordert, pauschal zu leisten ist oder nur für tatsächlich entstandene Schäden gilt.
Der EuGH wird auch klären müssen, ob allein die Verletzung des Auskunftsrechts zu einem Schadensersatzanspruch führt, da hierzu in der DSGVO keine konkreten Angaben gemacht werden.
Parallel dazu beschäftigt sich der EuGH mit einem weiteren Fall aus Österreich, bei dem es um wiederholte Anfragen an die Datenschutzbehörde geht.
Hier hatte eine Person innerhalb von zwei Jahren über 70 Beschwerden eingereicht. Die Behörde verweigerte schließlich die Bearbeitung aufgrund unverhältnismäßiger Ressourcenbelastung. Auch hier soll der EuGH Kriterien festlegen, wann Anfragen als exzessiv gelten und ob die Behörde direkt die Tätigkeit einstellen darf.
In beiden Fällen steht eine Entscheidung des EuGH bevor, die weitreichende Konsequenzen für den Umgang mit DSGVO-Anfragen haben wird. Die anstehenden Urteile werden sowohl die Rechte der betroffenen Personen als auch die Pflichten der Datenverarbeiter präzisieren.
Bildquelle: Bild 430882 von Tumisu auf pixabay
Wie Unternehmen sich gegen Hasspostings schützen können