Es ist eine Entscheidung, von welcher man mit Fug und recht behaupten kann, dass die Datenschutzwelt auf sie gewartet hat: Es ist die Brillen Rottler Entscheidung des Europäischen Gerichtshof (EuGH) in der Rechtssache C-526/24. Das wird zunächst vermutlich nur Wenigen etwas sagen. Im Kern dreht sich die Entscheidung um die für die Praxis bedeutende Frage nach dem Missbrauchseinwand des Art. 12 Abs. 5 DS-GVO bei der Geltendmachung von Auskunftsansprüchen nach Art. 15 DS-GVO. Zur praktischen Umsetzung von Art. 15 DS-GVO praktischer Umsetzung haben wir bereits berichtet. Heute wollen wir nun das aktuelle Urteil zum Missbrauchseinwand näher beleuchten.
Ein Blick ins Gesetz und so…
Blicken wir doch zunächst einmal ins Gesetz. Art. 12 Abs. 5 DS-GVO lautet:
„Informationen gemäß den Artikeln 13 und 14 sowie alle Mitteilungen und Maßnahmen gemäß den Artikeln 15 bis 22 und Artikel 34 werden unentgeltlich zur Verfügung gestellt. Bei offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anträgen einer betroffenen Person kann der Verantwortliche entweder
- ein angemessenes Entgelt verlangen, bei dem die Verwaltungskosten für die Unterrichtung oder die Mitteilung oder die Durchführung der beantragten Maßnahme berücksichtigt werden, oder
- sich weigern, aufgrund des Antrags tätig zu werden.
Der Verantwortliche hat den Nachweis für den offenkundig unbegründeten oder exzessiven Charakter des Antrags zu erbringen.“
Das Gesetz zeigt uns eine Reihe unbestimmter Rechtsbegriffe: „offenkundig unbegründet“, „exzessiv“ oder aber „häufige Wiederholungen“. Kurzum: Verantwortliche haben zwar grundsätzlich die Möglichkeit einem Antrag Betroffener Personen entgegenzutreten, bisher waren die Konturen für diesen Einwand jedoch weitestgehend ungeklärt. Bisher…
Nun zu dem Eugh-Urteil
Worum geht es eigentlich. Aus dem Sachverhalt:
Im März 2023 abonnierte eine in Österreich wohnhafte natürliche Person, den Newsletter von Brillen Rottler, einem familiengeführten Optikerunternehmen mit Sitz in Arnsberg (Deutschland). Dabei gab er seine personenbezogenen Daten in die Anmeldemaske auf der Website des Unternehmens ein und willigte in die Verarbeitung dieser Daten ein. 13 Tage später richtete die betroffene Person einen Auskunftsantrag nach Art. 15 DS-GVO an Brillen Rottler. Diese wiesen den Auskunftsantrag innerhalb der gesetzlichen Frist von einem Monat zurück, da sie ihn für missbräuchlich i.S.v. Art. 12 Abs. 5 UAbs. 1 Satz 2 DS-GVO hielten. Der „Betroffene verfolgte“ seinen Auskunftsantrag weiter und machte darüber hinaus Schadenersatz in Höhe von 1.000€ nach Art. 82 DS-GVO geltend.
In der Folge klagte Brillen Rottler dann vor dem AG Arnsberg auf Feststellung, dass dem „Betroffenen“ kein Anspruch aus Art. 82 DS-GVO zustehe. Gestützt wurde der Feststellungantrag darauf, dass aus verschiedenen Medienberichten, Blogbeiträgen und Berichten von Rechtsanwälten hervorgehe, dass der „Betroffene“ Anträge auf Auskunft über seine personenbezogenen Daten systematisch und rechtsmissbräuchlich allein zu dem Zweck stelle, eine Entschädigung für eine von ihm bewusst provozierte angebliche Verletzung seiner Rechte aus der Datenschutz-Grundverordnung zu erzwingen. Er gehe nach dem Muster vor, sich zunächst zu einem Newsletter anzumelden, dann Auskunft zu beantragen und schließlich Schadensersatz zu fordern.
Das AG Arnsberg wandte sich in der Folge mit diversen Vorlagefragen an den EuGH.
Was hat denn der Eugh nun entschieden?
Zunächst stellt der EuGH klar: „Was […] die Frage betrifft, ob ein erster Auskunftsantrag der betroffenen Person an den Verantwortlichen nach Art. 15 DSGVO als „exzessiv“ angesehen werden kann, ist darauf hinzuweisen, dass, da der Begriff „exzessive Anträge“ in der DSGVO nicht definiert wird, bei seiner Auslegung nach ständiger Rechtsprechung sowohl der Wortlaut von Art. 12 Abs. 5 DSGVO entsprechend seinem üblichen Sinn im gewöhnlichen Sprachgebrauch als auch der Zusammenhang dieser Bestimmung und die Ziele zu berücksichtigen sind, die mit der Regelung, zu der sie gehört, verfolgt werden.“
Und weiter: „Insoweit bezeichnet, was den Wortlaut von Art. 12 Abs. 5 DSGVO und insbesondere den üblichen Sinn des Begriffs „exzessive Anträge“ im gewöhnlichen Sprachgebrauch anbelangt, das Adjektiv „exzessiv“ etwas, das über das gewöhnliche oder vernünftige Maß hinausgeht oder das erwünschte oder zulässige Maß überschreitet […] Allein anhand der Verwendung dieses Adjektivs, das sich sowohl auf qualitative als auch auf quantitative Merkmale bezieht, kann daher nicht ausgeschlossen werden, dass ein erster Auskunftsantrag exzessiv sein mag.“
Bemerkenswert ist zudem folgender Hinweis: „Zudem ergibt sich zwar aus Art. 12 Abs. 5 Unterabs. 1 Satz 2 DSGVO, dass Anträge „insbesondere im Fall von häufiger Wiederholung“ exzessiv sein können. Die Häufung von Anträgen einer Person kann daher ein Indiz dafür sein, dass sie exzessiv sind […] In Ansehung einer am Wortlaut orientierten Auslegung von Art. 12 Abs. 5 DSGVO kann daher nicht ausgeschlossen werden, dass ein erster Auskunftsantrag als „exzessiv“ im Sinne dieser Bestimmung angesehen werden kann.“
Damit aber nicht genug: „Somit ist die Zahl der Auskunftsanträge der betroffenen Person an den Verantwortlichen für sich allein nicht ausschlaggebend für dessen Recht, von der ihm durch Art. 12 Abs. 5 DSGVO eingeräumten Möglichkeit Gebrauch zu machen, auf den Antrag nicht tätig zu werden, so dass der Verantwortliche davon auch im Fall eines ersten Auskunftsantrags Gebrauch machen kann, wenn er in Ansehung aller relevanten Umstände des Einzelfalls dartut, dass eine Missbrauchsabsicht der betroffenen Person vorliegt. […] Da der Begriff „exzessive Anträge“, wie sich aus Rz. 29 des vorliegenden Urteils ergibt, eng auszulegen ist, kann sich jedoch ein Verantwortlicher nur ausnahmsweise auf einen solchen exzessiven Charakter berufen, und die Maßstäbe für die Einstufung eines ersten Auskunftsantrags als „exzessiv“ müssen (…) hoch sein.“
Der EuGH fordert für den Missbrauchseinwand zweit grundlegende Voraussetzungen:
Ein objektives sowie ein subjektives Element: „Was […] die Umstände betrifft, unter denen der erste Auskunftsantrag der betroffenen Person als „exzessiv“ i.S.v. Art. 12 Abs. 5 DSGVO eingestuft werden und somit einen Rechtsmissbrauch im Sinne der oben in den Rz. 23 und 30 angeführten Rechtsprechung begründen kann, so ist für den Nachweis einer missbräuchlichen Verhaltensweise zweierlei erforderlich, nämlich zum einen eine Gesamtheit objektiver Umstände, aus denen sich ergibt, dass trotz formaler Einhaltung der in der Unionsregelung vorgesehenen Bedingungen das Ziel dieser Regelung nicht erreicht wurde, und zum anderen ein subjektives Element, das in der Absicht der betroffenen Person besteht, sich einen aus der Unionsregelung resultierenden Vorteil zu verschaffen, indem die Voraussetzungen für seine Erlangung künstlich geschaffen werden.“
Fazit
Diese letzte Klarstellung dürfte in vielen Praxiskonstellationen – wohl allen voran im Beschäftigtendatenschutz – eine gewichtige Weichenstellung sein. Es kann sich aus den Umständen des Einzelfalls ergeben, dass ein Missbrauch seitens des Betroffenen vorliegt. Insbesondere in bereits vorangetriebenen Streitigkeiten dürfte dies Relevanz entfalten, wenn zum Auskunftsanspruch gegriffen wird. Für die Einstufung möglicher objektiver Missbrauchskriterien verweist der EuGH zudem auf Erwägungsgrund 63 Satz 1 der DS-GVO in welchem die ursprünglichen Zwecke des Auskunftsanspruchs niedergelegt sind: „Eine betroffene Person sollte ein Auskunftsrecht hinsichtlich der sie betreffenden personenbezogenen Daten, die erhoben worden sind, besitzen und dieses Recht problemlos und in angemessenen Abständen wahrnehmen können, um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können.“
Klar ist allerdings auch, dass ein einfaches Berufen auf den Missbrauchseinwand seitens der Verantwortlichen nicht ausreichend sein wird. Vielmehr bedarf es der vertieften Darlegung der objektiven wie subjektiven Missbrauchskriterien.
Der Ball für die Entscheidung, ob im konkreten Fall ein Rechtsmissbrauch vorlag, liegt nun wieder beim AG Arnsberg, welches die Entscheidung unter Berücksichtigung des Urteils des EuGH treffen muss.
Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
