EuGH muss entscheiden: Wann sind Auskunftsverlangen nach der DSGVO rechtsmissbräuchlich?

Nach der DSGVO hat jeder Betroffene das Recht zu erfahren, welche personenbezogenen Daten über ihn gespeichert werden. Auf Anfrage müssen Unternehmen und öffentliche Stellen Auskünfte erteilen, die den Voraussetzungen des Art. 15 DSGVO genügen. Aber darf die Auskunft verweigert werden, wenn der Betroffene bekanntermaßen solche Auskünfte verlangt, um Schadensersatzansprüche zu provozieren? Fragen hierzu hat das AG Arnsberg (Beschl. v. 31.7.2024 – 42 C 434/23) nun dem EuGH zur Vorabentscheidung vorgelegt.

Der Beklagte hatte sich auf der Website der Klägerin zum Newsletter angemeldet, indem er seine persönlichen Daten in die Anmeldemaske eingab, die Einwilligung zur Datenverarbeitung durch Ankreuzen eines Kästchens bestätigte und das Formular absendete. Anschließend hat der Beklagte per Fax eine Auskunftsanfrage gemäß Art. 15 DSGVO gestellt. Die Klägerin hat den Erhalt der Anfrage bestätigt und angekündigt, diese innerhalb der Monatsfrist zu beantworten. Im Anschluss hat die Klägerin jedoch die Auskunft verweigert, da sie das Auskunftsbegehren als rechtsmissbräuchlich im Sinne von Art. 12 Abs. 5 S. 2 lit. b DSGVO einstufte. Zudem forderte sie den Beklagten dazu auf, endgültig von seinem Anspruch abzusehen, da sie andernfalls die Angelegenheit an einen Rechtsanwalt übergeben werde.

Der Beklagte ist dieser Aufforderung nicht nachgekommen und hat seinen Auskunftsanspruch sowie einen Schadensersatzanspruch aus Art. 82 DSGVO weiterverfolgt. Er verlangt eine Entschädigung i.H.v. 1.000 Euro.

Die Klägerin hat eine negative Feststellungsklage erhoben und möchte feststellen lassen, dass ein solcher Anspruch nicht bestehe. Sie behauptet, der Beklagte nutze datenschutzrechtliche Auskunftsanfragen systematisch und rechtsmissbräuchlich, um anschließend Schadensersatzforderungen zu stellen. Dies gehe aus zahlreichen Berichten in einschlägigen Onlinemedien hervor, die das Vorgehen des Beklagten in vielen Fällen dokumentieren. Die Klägerin stützt ihre Ansicht auf verschiedene Blogbeiträge und Berichte, die ähnliche Fälle schildern und das Vorgehen des Beklagten als geschäftsmäßig beschreiben. Der Beklagte wiederum ist der Ansicht, dass sein Auskunftsbegehren nicht rechtsmissbräuchlich sei. Er behauptet, die Anfrage sei legitim und entspreche seinem Recht auf Auskunft nach Art. 15 DSGVO.

Das AG Arnsberg hat das Verfahren nun ausgesetzt und dem EuGH mehrere Fragen zur Vorabentscheidung vorgelegt.

Wann darf die Auskunft verweigert werden?

Zunächst nennt das Gericht die Punkte, deren Auslegung unklar ist. Zunächst sei unklar, ob ein exzessiver Antrag auf Auskunft durch den Betroffenen bereits bei der ersten Antragstellung vorliegen könne. Zudem stelle sich die Frage, ob der Verantwortliche ein Auskunftsersuchen verweigern könne, wenn der Betroffene beabsichtige, mit dem Auskunftsersuchen Schadenersatzansprüche gegen ihn zu provozieren. Es sei auch unklar, inwieweit öffentlich zugängliche Informationen über das Verhalten des Betroffenen als Grundlage für die Annahme eines Rechtsmissbrauchs herangezogen werden dürfen.

Es ist unklar, ob ein exzessiver Antrag auf Auskunft durch den Betroffenen bereits bei der ersten Antragstellung gegenüber dem Verantwortlichen vorliegen kann. Der Wortlaut von Art. 12 Abs. 5 S. 2 DSGVO ist diesbezüglich nicht eindeutig, und es fehlt an klarer Leitlinie aus der bisherigen Rechtsprechung des Gerichtshofs.

Weiterhin stellt sich im Zusammenhang mit Art. 12 Abs. 5 S. 2 DSGVO die Frage, ob der Verantwortliche ein Auskunftsersuchen des Betroffenen verweigern kann, wenn der Betroffene beabsichtigt, mit dem Auskunftsersuchen Schadenersatzansprüche gegen den Verantwortlichen zu provozieren. Die DSGVO enthält keine expliziten Bestimmungen darüber, wie mit Anfragen umzugehen ist, die möglicherweise in böser Absicht gestellt werden.

Zweifel an der Auslegung bestehen auch im Hinblick auf öffentlich zugängliche Informationen über den Betroffenen, die den Schluss zulassen, dass dieser in einer Vielzahl von Fällen bei Datenschutzverstößen Schadenersatzansprüche gegen Verantwortliche geltend macht, die Verweigerung der Auskunft rechtfertigen können. Dies betrifft die Frage, inwieweit öffentlich zugängliche Informationen über das Verhalten des Betroffenen als Grundlage für die Annahme eines Rechtsmissbrauchs herangezogen werden dürfen.

Schadensersatz bei Verletzung des Auskunftsrechts?

Unklar sei, ob das Auskunftsersuchen und/oder dessen Beantwortung selbst bereits eine Verarbeitung i.S.d. Art. 4 Nr. 2 DSGVO darstellen. Es müsse zudem geklärt werden, ob nach Art. 82 Abs. 1 DSGVO lediglich diejenigen Schäden ersatzfähig sind, die dem Betroffenen aufgrund einer Verarbeitung entstehen bzw. entstanden sind. Zuletzt stelle sich die Frage, ob dem Betroffenen allein aus der Verletzung des Auskunftsrechts nach Art. 15 Abs. 1 DSGVO ein Schadenersatzanspruch zustehen könne.

Es ist ferner von der Auslegung der DSGVO abhängig, ob das Auskunftsersuchen eines Betroffenen gegenüber dem Verantwortlichen gemäß Art. 15 Abs. 1 DSGVO und/oder dessen Beantwortung eine Verarbeitung im Sinne von Art. 4 Nr. 2 DSGVO darstellt. Dies betrifft die Definition der Verarbeitung und deren Anwendung auf Anfragen und Antworten.

Eine weitere wesentliche Frage betrifft die Ersatzfähigkeit von Schäden nach Art. 82 Abs. 1 DSGVO: Es ist zu klären, ob lediglich diejenigen Schäden ersatzfähig sind, die dem Betroffenen aufgrund einer Verarbeitung entstehen bzw. entstanden sind. Erwägungsgrund 146 S. 1 DSGVO könnte hier eine einschränkende Wirkung haben, jedoch fehlt eine klare Auslegung durch den Gerichtshof.

Schließlich stellt sich die Frage, ob dem Betroffenen allein aus der Verletzung seines Auskunftsrechts nach Art. 15 Abs. 1 DSGVO ein Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO zusteht. Hierzu fehlen präzise Vorgaben in der DSGVO und entsprechende Rechtsprechung des Gerichtshofs.

Folgende Fragen muss der EUGH beantworten

Das AG Arnsberg hat dem EuGH folgende Fragen zur Vorabentscheidung vorgelegt:

1. Ist Art. 12 Abs. 5 S. 2 Datenschutzgrundverordnung (DSGVO) dahingehend auszulegen, dass ein exzessiver Antrag auf Auskunft durch den Betroffenen nicht bei der ersten Antragstellung gegenüber dem Verantwortlichen vorliegen kann?

Hier hält das Gericht ein exzessives Auskunftsersuchen nur in Ausnahmefällen für möglich.

Das Gericht hält es in Ansehung der Erwägungsgründe 63 und 64 der DSGVO zwar nicht für gänzlich ausgeschlossen, dass im Einzelfall ein exzessiver Antrag auch bei einem ersten Auskunftsersuchen möglich sein kann, aber unter Berücksichtigung von Art. 5 Abs. 1 lit. a) DSGVO für nur in absoluten Ausnahmefällen überhaupt denkbar. Legte man das Tatbestandsmerkmal des exzessiven Antrags zu liberal aus, führte dies zu einer Verkürzung der Rechte der betroffenen Person und führte zu Intransparenz. Solange seine personenbezogenen Daten vermeintlich von einem Verantwortlichen verarbeitet werden, muss der betroffenen Person das Recht auf Auskunft nach Art. 15 DSGVO zustehen.

2. Ist Art. 12 Abs. 5 S. 2 DSGVO dergestalt auszulegen, dass der Verantwortliche ein Auskunftsersuchen des Betroffenen verweigern kann, wenn der Betroffene beabsichtigt, mit dem Auskunftsersuchen Schadenersatzansprüche gegen den Verantwortlichen zu provozieren.

Das AG Arnsberg hält eine Verweigerung des Auskunftsersuchens durch den Verantwortlichen allein wegen der Absicht des Betroffenen, Schadenersatzansprüche vorzubereiten, für unzulässig.

Das Gericht hält eine Verweigerung des Auskunftsersuchens durch den Verantwortlichen allein wegen der Absicht des Betroffenen, Schadenersatzansprüche vorzubereiten, für unzulässig. Eine andere Auslegung käme einer Verwirkung des Rechts auf Auskunft gleich. Eine betroffene Person, die in der Vergangenheit etwaig rechtmissbräuchlich Auskunft über die Verarbeitung begehrt hat, muss im Lichte des Schutzgutes der DSGVO diese Möglichkeit dennoch behalten. Im Übrigen stellt es eine zu respektierende gesetzgeberische Entscheidung dar, die Rechtmäßigkeit der Verarbeitungen von personenbezogenen Daten durch die jeweiligen Verantwortlichen dergestalt sicher zu stellen, dass die Verantwortlichen allein in den Grenzen der Missbräuchlichkeit gegenüber sämtlichen Betroffenen Rechenschaft über die Verarbeitung ablegen müssen.

3. Ist Art. 12 Abs. 5 S. 2 DSGVO dahingehend auszulegen, dass öffentlich zugängliche Informationen über den Betroffenen, die den Schluss zulassen, dass dieser in einer Vielzahl von Fällen bei Datenschutzverstößen Schadenersatzansprüche gegen Verantwortliche geltend macht, die Verweigerung der Auskunft rechtfertigen können?

Das Gericht hält eine Bezugnahme auf öffentliche Informationen, die belegen, dass der Betroffene eine Vielzahl von Auskunftsersuchen stellt, für sich genommen nicht für ausreichend, um einen Rechtsmissbrauch zu rechtfertigen

In Ansehung des Vorstehenden und der sich daraus ergebenen Missbrauchsgefahr durch den jeweiligen Verantwortlichen sowie der damit einhergehenden Verkürzung der Rechte des Betroffenen hält das Gericht die Bezugnahme auf öffentliche Informationen, die belegen, dass der Betroffene eine Vielzahl von Auskunftsersuchen stellt, für sich genommen für nicht ausreichend, um einen Rechtsmissbrauch oder die Nichterteilung der Auskunft zu rechtfertigen.

4. Ist Art. 4 Nr. 2 DSGVO dergestalt auszulegen, dass das Auskunftsersuchen eines Betroffenen gegenüber dem Verantwortlichen gemäß Art. 15 Abs. 1 DSGVO und/oder dessen Beantwortung eine Verarbeitung im Sinne von Art. 4 Nr. 2 DSGVO darstellt?

5. Ist Art. 82 Abs. 1 DSGVO in Ansehung von Erwägungsgrund 146 S. 1 DSGVO dahingehend auszulegen, dass lediglich diejenigen Schäden ersatzfähig sind, die dem Betroffenen aufgrund einer Verarbeitung entstehen bzw. entstanden sind? Bedeutet dies, dass für einen Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO – das Vorliegen eines kausalen Schadens des Betroffenen unterstellt – zwingend eine Verarbeitung der personenbezogenen Daten des Betroffenen Vorgelegen haben muss?

6. Falls Frage 5 bejaht wird: Führt dies dazu, dass dem Betroffenen – das Vorliegen eines kausalen Schadens unterstellt – allein aus der Verletzung seines Auskunftsrechts nach Art. 15 Abs. 1 DSGVO kein Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO zusteht?

Einen Schadensersatzanspruch allein wegen der Verletzung des Auskunftsrechts hält das AG Arnsberg für möglich.

Das Gericht hält es dementsprechend für möglich, dass dem Betroffenen aus der Verletzung seines Auskunftsrechts ein Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO zustehen kann.

7. Ist Art. 82 Abs. 1 DSGVO dergestalt auszulegen, dass der Rechtsmissbrauchseinwand des Verantwortlichen in Bezug auf ein Auskunftsersuchen des Betroffenen in Ansehung des Unionsrechts nicht darin bestehen kann, dass der Betroffene die Verarbeitung seiner personenbezogenen Daten allein oder unter anderem deswegen herbeigeführt hat, um Schadenersatzansprüche geltend zu machen?

Nach Ansicht des AG Arnsberg sei es legitim, dass Auskunftsersuchen auf die Aufdeckung von Verstößen gegen die DSGVO gerichtet sein können.

Das Gericht sieht es als zu respektierende gesetzgeberische Entscheidung an, dass Auskunftsersuchen auf die Aufdeckung von Verstößen gegen die DSGVO gerichtet sein können. Die Geltendmachung von Schadenersatzansprüchen durch den Betroffenen im Falle eines Verstoßes gegen die DSGVO des Verantwortlichen hält das Gericht deswegen für grundsätzlich legitim.

8. Falls die Fragen 5 und 6 verneint werden: Stellt allein der mit einem Verstoß gegen Art. 15 Abs. 1 DSGVO einhergehende Kontrollverlust und/oder die Ungewissheit über die Verarbeitung der personenbezogenen Daten des Betroffenen einen immateriellen Schaden des Betroffenen im Sinne des Art. 82 Abs. 1 DSGVO dar oder bedarf es darüber hinaus einer weiteren (objektiven oder subjektiven) Einschränkung und/oder (spürbaren) Beeinträchtigung des Betroffenen?

Fazit

Der betroffenen Person steht u. a. ein Recht auf Auskunft der über sie gespeicherten personenbezogenen Daten nach Art. 15 DSGVO zu. Verlangt der Betroffene Auskunft, muss diese grundsätzlich spätestens innerhalb von einem Monat zur Verfügung gestellt werden. Hierzu sind konkrete Informationen gem. Art. 15 Abs. 1 lit. a) – h) DSGVO notwendig. Die Auskunft kann der Verantwortliche nach Art. 15 Abs. 5 S. 2 DSGVO nur bei offensichtlich unbegründeten oder exzessiven Anträgen verweigern. Fragen hierzu, wann von einer missbräuchlichen Geltendmachung auszugehen ist, hat das AG Arnsberg nun dem EuGH zur Vorabentscheidung vorgelegt.

Unser Tipp Im Rahmen unserer Legal Products stehen Ihnen umfangreiche Checklisten und Anleitungen rund um das Thema DSGVO zur Verfügung und Sie erhalten Muster-AV-Verträge und Muster-Antwortschreiben. Zudem bietet der Trusted Shops Consent-Manager eine Lösung, um die Einwilligung wirksam einzuholen. Selbstverständlich erhalten Sie umfassenden Support bei der Integration. Ebenfalls enthalten ist ein Update-Service – ergeben sich Gesetzesänderungen oder relevante gerichtliche oder behördliche Entscheidungen, die auch Sie betreffen, aktualisieren wir den Consent-Manager entsprechend und informieren Sie darüber natürlich. Unser Consent-Manager ist in allen Legal Products enthalten. In unserem Legal Enterprise und Legal Ultimate übernehmen wir auch eine außergerichtliche Vertretung bei der Geltendmachung von Unterlassungs- und Aufwendungsersatzansprüchen sowie Schadensersatz-/Schmerzensgeldansprüchen nach der DSGVO (z.B. aufgrund eines nicht erteilten Auskunftsersuchens oder einer unzulässigen Datenübermittlung).

05.09.24