EuGH zu exzessiven DSGVO-Anfragen: Abgrenzung zwischen berechtigtem Auskunftsrecht und Rechtsmissbrauch

D40a4c4a 49fe 48df 8cef 8e542862d432

Der Europäische Gerichtshof (EuGH) hat mit Urteil vom 9. Januar 2025 (Rs. C-416/23) eine wegweisende Entscheidung zur Frage getroffen, unter welchen Umständen Aufsichtsbehörden die Bearbeitung von Anfragen und Beschwerden nach der Datenschutz-Grundverordnung (DSGVO) verweigern oder eine Gebühr verlangen dürfen.

Das Urteil stellt klar, dass eine große Anzahl von Anfragen allein nicht ausreicht, um diese als „exzessiv“ im Sinne von Art. 57 Abs. 4 DSGVO einzustufen. Vielmehr muss eine Aufsichtsbehörde nachweisen, dass eine Missbrauchsabsicht des Antragstellers vorliegt. Zudem dürfen Behörden nicht willkürlich zwischen den möglichen Maßnahmen – Gebührenforderung oder Ablehnung der Bearbeitung – wählen, sondern müssen stets die Verhältnismäßigkeit wahren.

Sachverhalt

Der Fall nahm seinen Ausgang in Österreich. Der Kläger hatte bei der österreichischen Datenschutzbehörde (DSB) insgesamt 77 Beschwerden gegen verschiedene Verantwortliche eingereicht, weil diese auf seine Auskunftsersuchen nach Art. 15 DSGVO nicht reagiert hatten.

Die DSB verweigerte die Bearbeitung der Beschwerden mit der Begründung, dass die Vielzahl der Anfragen „exzessiv“ sei und eine Bearbeitung unverhältnismäßig viele Ressourcen in Anspruch nehme. Sie stützte sich dabei auf Art. 57 Abs. 4 DSGVO, der es einer Aufsichtsbehörde ermöglicht, bei offenkundig unbegründeten oder exzessiven Anfragen eine Gebühr zu verlangen oder die Bearbeitung abzulehnen.

Der Kläger focht diese Entscheidung vor dem österreichischen Bundesverwaltungsgericht an, das ihm Recht gab. Es stellte fest, dass eine exzessive Nutzung des Beschwerderechts zwar möglich sei, dies aber nicht allein durch die Anzahl der Beschwerden belegt werden könne. Entscheidend sei vielmehr, ob ein Antragsteller rechtsmissbräuchlich handelt.

Die DSB legte daraufhin Revision beim Verwaltungsgerichtshof ein, der den EuGH um eine Klärung der Auslegung von Art. 57 Abs. 4 DSGVO ersuchte.

Rechtliche Würdigung durch den EuGH

Der EuGH befasste sich in seinem Urteil mit drei zentralen Fragen:

  1. Fällt eine DSGVO-Beschwerde unter den Begriff „Anfrage“ in Art. 57 Abs. 4 DSGVO?
  2. Wann ist eine Anfrage als „exzessiv“ einzustufen?
  3. Kann die Aufsichtsbehörde frei zwischen der Erhebung einer Gebühr und der Verweigerung der Bearbeitung wählen?

1. Begriff „Anfrage“ umfasst auch Beschwerden

Der EuGH stellte klar, dass sich der Begriff „Anfrage“ in Art. 57 Abs. 4 DSGVO auch auf Beschwerden nach Art. 77 Abs. 1 DSGVO bezieht. Diese Auslegung ergibt sich aus dem Kontext der Norm, die darauf abzielt, die Arbeitslast der Datenschutzbehörden zu regulieren.

Somit können Aufsichtsbehörden grundsätzlich auch Beschwerden von betroffenen Personen als exzessiv einstufen und darauf mit den in Art. 57 Abs. 4 DSGVO vorgesehenen Maßnahmen reagieren.

2. Hohe Anzahl von Anfragen allein macht sie nicht exzessiv

Eine zentrale Aussage des Urteils ist, dass die bloße Anzahl von Beschwerden nicht ausreicht, um sie als „exzessiv“ zu qualifizieren.

Der EuGH betonte, dass das Auskunftsrecht nach Art. 15 DSGVO und das Beschwerderecht nach Art. 77 DSGVO essenzielle Bestandteile des Datenschutzes sind. Viele Beschwerden können darauf hindeuten, dass Unternehmen ihre datenschutzrechtlichen Pflichten nicht erfüllen.

Daher könne eine Behörde Anfragen nicht allein deshalb als exzessiv ablehnen, weil sie in großer Zahl eingereicht wurden. Erforderlich sei vielmehr der Nachweis einer Missbrauchsabsicht. Diese liege beispielsweise vor, wenn ein Antragsteller Beschwerden einreiche, ohne dass dies objektiv erforderlich sei, um seine Rechte zu wahren, sondern um die Behörde lahmzulegen oder rechtsmissbräuchlich Vorteile zu erlangen.

Diese Entscheidung stärkt die Rechte von betroffenen Personen und begrenzt zugleich die Handlungsmöglichkeiten von Datenschutzbehörden, die sich einer wachsenden Zahl von Beschwerden gegenübersehen.

Rechtsanwalt Jens Ferner

Das Gericht stellte außerdem klar, dass Mitgliedstaaten verpflichtet sind, ihre Datenschutzbehörden mit ausreichenden Ressourcen auszustatten, um eine hohe Anzahl von Beschwerden bearbeiten zu können. Eine Behörde könne sich daher nicht auf Überlastung berufen, um die Bearbeitung abzulehnen.

3. Kein freies Wahlrecht der Aufsichtsbehörden zwischen Gebühr und Ablehnung

Der EuGH stellte zudem fest, dass eine Aufsichtsbehörde nicht willkürlich zwischen den beiden in Art. 57 Abs. 4 DSGVO vorgesehenen Maßnahmen – der Erhebung einer Gebühr oder der Verweigerung der Bearbeitung – wählen kann.

Die Entscheidung müsse vielmehr auf Basis der Verhältnismäßigkeit getroffen werden. Eine Behörde könne beispielsweise nicht ohne weiteres eine Bearbeitung ablehnen, wenn eine Gebühr als milderes Mittel ausreichen würde, um missbräuchliches Verhalten zu unterbinden.

Der EuGH empfahl daher, dass Behörden in einer ersten Stufe zunächst eine Gebühr erheben sollten, bevor sie in einer zweiten Stufe zu einer Ablehnung der Bearbeitung übergehen. Eine starre Verpflichtung hierzu gebe es jedoch nicht, sodass im Einzelfall abgewogen werden müsse.

Bedeutung des Urteils für die Praxis

Diese Entscheidung hat weitreichende Konsequenzen sowohl für betroffene Personen als auch für Datenschutzbehörden und Unternehmen.

  • Für Datenschutzbehörden bedeutet das Urteil, dass sie weiterhin gegen missbräuchliche Anfragen vorgehen können, hierfür aber eine klare Begründung liefern müssen. Es reicht nicht aus, hohe Beschwerdezahlen pauschal als exzessiv abzulehnen.
  • Für betroffene Personen stärkt das Urteil das Recht auf Datenschutzbeschwerden erheblich. Sie können auch in großer Anzahl Beschwerden einreichen, ohne eine Ablehnung fürchten zu müssen, sofern keine missbräuchliche Absicht vorliegt.
  • Für Unternehmen, die mit vielen Anfragen konfrontiert sind, bedeutet das Urteil, dass sie sich nicht darauf verlassen können, dass Behörden überlastet sind und Beschwerden deshalb nicht weiterverfolgt werden. Vielmehr müssen sie sicherstellen, dass sie datenschutzrechtliche Pflichten einhalten, um die Anzahl berechtigter Beschwerden zu minimieren.

Fazit

Das EuGH-Urteil setzt klare Maßstäbe für den Umgang mit Datenschutzanfragen und -beschwerden. Es betont die Notwendigkeit eines effektiven Datenschutzes, verhindert aber zugleich eine missbräuchliche Überforderung von Aufsichtsbehörden.

Die Entscheidung sorgt für eine ausgewogene Abwägung zwischen dem Schutz individueller Datenschutzrechte und der Funktionsfähigkeit der Behörden. Datenschutzbehörden müssen künftig eine sorgfältige Begründung liefern, wenn sie Anfragen als exzessiv einstufen, während betroffene Personen sich darauf verlassen können, dass ihr Beschwerderecht nicht durch administrative Hürden eingeschränkt wird. Mit diesem Urteil stärkt der EuGH den Datenschutz in der EU und stellt sicher, dass Aufsichtsbehörden nicht vorschnell auf Ressourcenengpässe verweisen können, um Beschwerden abzulehnen.

Rechtsanwalt Jens Ferner
Rechtsanwalt Jens Ferner
Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf
Rechtsanwalt Jens Ferner ist Spezialist für Strafverteidigung (insbesondere bei Wirtschaftskriminalität wie Geldwäsche, Betrug bis zu Cybercrime) sowie für IT-Recht (Softwarerecht und KI, IT-Vertragsrecht und Compliance) mit zahlreichen Publikationen. Als Fachanwalt für Strafrecht und IT-Recht vertrete ich Mandanten in komplexen Zivil- und Strafverfahren, insbesondere bei streitigen Fragen im Softwarerecht, bei der Abwehr von strafrechtlichen Vorwürfen oder Ansprüchen in der Managerhaftung sowie bei der Einziehung von Vermögenswerten. Mein Fokus liegt auf der Schnittstelle zwischen technischem Verständnis und juristischer Strategie, um Sie in digitalen Fällen und wirtschaftlichen Strafsachen effektiv zu verteidigen und zu beraten.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Anwaltskanzlei ist spezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht sowie IT-Recht und Managerhaftung. Von Verbrauchern werden allein Strafverteidigungen übernommen - wir sind im Raum Aachen zu finden und bundesweit tätig.
Rechtsanwalt Jens Ferner
Letzte Artikel von Rechtsanwalt Jens Ferner (Alle anzeigen)
Rechtsanwalt Jens Ferner

Von Rechtsanwalt Jens Ferner

Rechtsanwalt Jens Ferner ist Spezialist für Strafverteidigung (insbesondere bei Wirtschaftskriminalität wie Geldwäsche, Betrug bis zu Cybercrime) sowie für IT-Recht (Softwarerecht und KI, IT-Vertragsrecht und Compliance) mit zahlreichen Publikationen. Als Fachanwalt für Strafrecht und IT-Recht vertrete ich Mandanten in komplexen Zivil- und Strafverfahren, insbesondere bei streitigen Fragen im Softwarerecht, bei der Abwehr von strafrechtlichen Vorwürfen oder Ansprüchen in der Managerhaftung sowie bei der Einziehung von Vermögenswerten. Mein Fokus liegt auf der Schnittstelle zwischen technischem Verständnis und juristischer Strategie, um Sie in digitalen Fällen und wirtschaftlichen Strafsachen effektiv zu verteidigen und zu beraten.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Anwaltskanzlei ist spezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht sowie IT-Recht und Managerhaftung. Von Verbrauchern werden allein Strafverteidigungen übernommen - wir sind im Raum Aachen zu finden und bundesweit tätig.