Wann sind Betroffenenanfragen „exzessiv“ und können von Verantwortlichen entweder zurückgewiesen oder für ihre Bearbeitung ein angemessenes Entgelt verlangt werden? Diese Frage spielt in der Praxis insbesondere für Unternehmen oder auch öffentliche Stellen eine Rolle, die etwa in kurzer Zeit mit vielen Anfragen, z. B. auf Auskunft oder Löschung, von ein und derselben Person konfrontiert werden.
Generalanwalt de la Tour (GA) hat sich mit der Frage der „Exzessivität“ von Anträgen an Aufsichtsbehörden in seinen Schlussanträgen vom 5.9.2024 (Rechtssache C‑416/23) befasst. Die österreichische Aufsichtsbehörde weigerte sich gemäß Art. 57 Abs. 4 DSGVO, aufgrund einer Beschwerde tätig zu werden, da sie sie als „exzessiv“ erachtete. Der Beschwerdeführer hatte innerhalb eines Zeitraums von ca. 20 Monaten 77 Beschwerden an sie gerichtet, mit denen er beanstandet hatte, dass jeweils verschiedene Verantwortliche nicht innerhalb eines Monats auf seine Anträge auf Auskunft bzw. Löschung geantwortet hätten.
Für Verantwortliche sind die Schlussanträge für Betroffenenanfragen interessant, weil der GA im Rahmen seiner Erläuterungen explizit davon ausgeht, dass seine Begründung auch für Art. 12 Abs. 5 DSGVO gilt.
Begründung übertragbar auf Art. 12 Abs. 5 DSGVO
Kurz zum Hintergrund. Nach Art 57 Abs. 4 DSGVO kann die Aufsichtsbehörde, bei offenkundig unbegründeten oder — insbesondere im Fall von häufiger Wiederholung — exzessiven Anfragen eine angemessene Gebühr verlangen oder sich weigern, aufgrund der Anfrage tätig zu werden. Ähnlich findet sich eine solche Regelungen für Betroffenenanfragen nach Art. 15-22 DSGVO in Art. 12 Abs. 5 DSGVO. Danach kann der Verantwortliche, bei offenkundig unbegründeten oder — insbesondere im Fall von häufiger Wiederholung — exzessiven Anträgen einer betroffenen Person entweder ein angemessenes Entgelt verlangen oder sich weigern, aufgrund des Antrags tätig zu werden.
Anzahl der Anfragen als Kriterium?
Im konkreten Fall wollte das vorlegende Gericht aus Österreich im Wesentlichen wissen, ob Anfragen allein aufgrund ihrer Anzahl innerhalb eines bestimmten Zeitraums als „exzessiv“ eingestuft werden können oder ob zudem nachgewiesen werden muss, dass die Person, die diese Anfragen bei einer Aufsichtsbehörde stellt, mit missbräuchlicher Absicht handelt.
Der GA lehnt eine solche Sichtweise ab.
„die Anzahl der von einer betroffenen Person bei einer Aufsichtsbehörde gestellten Anfragen, so groß sie auch sein mag“
könne, für sich genommen kein ausreichendes Kriterium sein, um festzustellen, dass „exzessive Anfragen“ im Sinne der Bestimmung vorliegen.
Eine andere Entscheidung, bei der etwa ein Schwellenwert festgelegt würde, ab dem eine Aufsichtsbehörde diese Beschwerden allein aufgrund ihrer Anzahl als „exzessiv“ einstufen könnte, würde die von der DSGVO gewährleisteten Rechte, die ich zuvor aufgezählt habe, beeinträchtigen.
Begründung zu Art. 57 Abs. 4 DSGVO auf Art 12 Abs. 5 DSGVO übertragbar
Nach Ansicht des GA sind Art. 12 Abs. 5 und Art. 57 Abs. 4 DSGVO ähnlich formuliert und beruhen auf derselben Logik. Diese Ansicht ist durchaus für die Auslegung und Anwendung der Vorschriften relevant, denn es geht hierbei um den Zweck der Vorschriften.
Nach Ansicht der GA besteht dieser darin
„zu vermeiden, dass dem Verantwortlichen bzw. der Aufsichtsbehörde eine unverhältnismäßige Belastung auferlegt wird, die geeignet ist, ihr ordnungsgemäßes Funktionieren zu beeinträchtigen“.
Rechtsmissbrauch im EU-Recht
Art. 12 Abs. 5 DSGVO und Art. 57 Abs. 4 DSGVO spiegelt nach Ansicht des GA die ständige Rechtsprechung des EuGH wider,
„nach der es im Unionsrecht einen allgemeinen Rechtsgrundsatz gibt, wonach sich die Bürger nicht in betrügerischer oder missbräuchlicher Weise auf unionsrechtliche Normen berufen dürfen“.
Insbesondere kann im Zusammenhang mit Art. 57 Abs. 4 DSGVO ein missbräuchliches Vorgehen festgestellt werden, wenn eine Person Beschwerden einreicht, ohne dass dies objektiv erforderlich ist, um ihre Rechte aus der Verordnung zu schützen.
Große Anzahl von Anfragen? Verantwortlicher muss im Zweifel Kapazitäten schaffen
Dass allein die Anzahl an Betroffenenanfragen noch kein taugliches Kriterium ist, begründet der GA auch mit dem Stellenwert der Betroffenenrechte. Zu Art. 57 Abs. 4 DSGVO führt er aus:
„Folglich könnte es meines Erachtens die Verwirklichung dieses Ziels beeinträchtigen, wenn es den Aufsichtsbehörden gestattet würde, allein deshalb festzustellen, dass die Beschwerden exzessiv sind, weil ihre Anzahl groß ist.“
Konkret am Beispiel der Aufsichtsbehörden begründet der GA zudem, dass eine prozessuale Überforderung mit Anträgen nicht zu lasen der Betroffenen gehen darf – dies kann man durchaus als Begründung auch auf die interne Organisation und Struktur von Verantwortlichen übertragen.
Mit Blick auf Aufsichtsbehörden haben die Mitgliedstaaten sicherzustellen, dass jede Aufsichtsbehörde mit den personellen, technischen und finanziellen Ressourcen, Räumlichkeiten und Infrastrukturen ausgestattet wird, die sie benötigt, um ihre Aufgaben und Befugnisse effektiv wahrnehmen zu können.
„Folglich sind diese Ressourcen an den Gebrauch anzupassen, den die betroffenen Personen von ihrem Recht machen, Beschwerden bei den Aufsichtsbehörden einzureichen“.
Enge Auslegung von Ausnahmevorschriften
Aufgrund der Wichtigkeit der Betroffenenrechte und des Ausnahmecharakters der beiden hier relevanten Vorschriften weist der GA darauf hin, dass Betroffene etwa ihr Recht auf Auskunft nach Art. 15 DSGVO mehrfach bei demselben Verantwortlichen ausüben können, ohne dass die Wiederholung einer Anfrage als solche als „exzessiv“ eingestuft werden kann. Auch dies ist eine wichtige Aussage für die Praxis.
In Bezug auf Art. 57 Abs. 4 DSGVO stellt der GA klar, dass die Vorschrift als Ausnahme eng auszulegen ist. Die Anwendung ist auf das zu beschränken ist, was unbedingt erforderlich ist, um zu verhindern, dass das mit ihm verfolgte Ziel, dass die Aufsichtsbehörden ordnungsgemäß funktionieren, beeinträchtigt wird.
Prüfung im Einzelfall – welche Kriterien sind relevant?
Die Prüfung von exzessiven Anfragen muss auf der Grundlage der Umstände des Einzelfalls erfolgen.
Die Aufsichtsbehörde / der Verantwortliche muss nachweisen,
„dass diese Anzahl nicht durch den Wunsch der betroffenen Person zu erklären ist, ihre Rechte aus der DSGVO zu schützen, sondern durch einen anderen Zweck, der in keinem Zusammenhang mit diesem Schutz steht.“
Und der GA gibt hierzu noch einen Hinweis. Ein solcher Nachweis kann etwa dann gegeben sein, wenn
„sich aus den Umständen ergibt, dass die große Anzahl von Beschwerden darauf abzielt, das ordnungsgemäße Funktionieren der Behörde zu beeinträchtigen, indem ihre Ressourcen ohne berechtigten Grund in Anspruch genommen werden“.
Für uns in der Praxis kann dies also Fälle betreffen, in denen Betroffene offenkundig und vorsätzlich Anträge stellen, um etwa das Unternehmen oder den (ex) Arbeitgeber in seinem normalen Arbeitsalltag zu beeinträchtigen. Wenn es also klar überhaupt nicht um den Datenschutz geht.
Die Häufung von Beschwerden / Anträgen kann nach Ansicht des GA durchaus ein Indiz für exzessive Anfragen einer betroffenen Person sein,
„wenn sich herausstellt, dass die Beschwerden nicht objektiv durch Erwägungen gerechtfertigt sind, die sich auf den Schutz der Rechte beziehen, die die DSGVO dieser Person verleiht“.
Und der GA wird hierzu noch etwas konkreter und gibt eine Art Checkliste an, die man bei der Prüfung gut verwenden könnte. Dies kann z. B. dann der Fall sein, wenn Beschwerden / Anträge
- denselben Verantwortlichen betreffen,
- denselben Inhalt haben,
- sich auf dieselben Verpflichtungen aus der DSGVO beziehen und
- in übertrieben kurzen Zeitabständen eingereicht werden, ohne dass eine Änderung der tatsächlichen Umstände dies rechtfertigt, und
- damit die Absicht der betroffenen Person erkennen lassen, das ordnungsgemäße Funktionieren der Aufsichtsbehörde / Funktionieren des Verantwortlichen zu beeinträchtigen, anstatt den Schutz der ihr durch diese Verordnung verliehenen Rechte zu erreichen.