05.09.2024

Exzessive Anfragen bei der Datenschutzbehörde

Datenschutzrechtliche Anfragen bei einer Aufsichtsbehörde sind nicht allein aufgrund ihrer Anzahl innerhalb eines bestimmten Zeitraums als "exzessiv" i.S.v. Art. 57 Abs. 4 DSGVO einzustufen, da die Aufsichtsbehörde zudem nachweisen muss, dass die Person, die diese Anfragen stellt, mit missbräuchlicher Absicht handelt. Eine Aufsichtsbehörde kann bei exzessiven Anfragen durch eine mit Gründen versehene Entscheidung wählen, ob sie eine angemessene Gebühr auf der Grundlage der Verwaltungskosten verlangt oder sich weigert, aufgrund der Anfrage tätig zu werden; dabei muss sie alle relevanten Umstände berücksichtigen und sich vergewissern, dass die gewählte Option angemessen und verhältnismäßig ist, ohne dass zwischen diesen beiden Optionen ein Vorrangverhältnis besteht.

EuGH, C 416/23: Schlussanträge des Generalanwalts vom 5.9.2024
Der Sachverhalt:
Nach der DSGVO kann eine Aufsichtsbehörde bei offenkundig unbegründeten oder - insbesondere im Fall von häufiger Wiederholung - exzessiven Anfragen eine angemessene Gebühr auf der Grundlage der Verwaltungskosten verlangen oder sich weigern, aufgrund der Anfrage tätig zu werden (Art. 57 Abs. 4 DSGVO). Dieses Verfahrensinstrument beruht auf dem Gedanken, dass es betroffenen Personen zwar problemlos möglich sein muss, die Einhaltung ihrer Rechte aus der DSGVO bei den Aufsichtsbehörden einzufordern, die Behörden aber ihrerseits in der Lage sein müssen, mit exzessiven Anfragen besonders umzugehen, um ihr ordnungsgemäßes Funktionieren zu gewährleisten und ihre Fähigkeit zu wahren, ihre Aufgaben uneingeschränkt wahrzunehmen.

Allerdings ist noch zu bestimmen, wann eine Anfrage exzessiv ist. Dies ist das Hauptproblem, das durch das vorliegende Vorabentscheidungsersuchen des österreichischen Verwaltungsgerichtshofs aufgeworfen wird. Dieses Ersuchen ergeht im Rahmen eines Rechtsstreits zwischen der Österreichischen Datenschutzbehörde und einem Beschwerdeführer wegen der Weigerung dieser Behörde, aufgrund einer von dem Beschwerdeführer eingelegten Beschwerde tätig zu werden. Mit seiner Beschwerde hatte der Beschwerdeführer eine Verletzung seines Auskunftsrechts nach Art. 15 DSGVO geltend gemacht, weil ein für die Verarbeitung personenbezogener Daten Verantwortlicher nicht innerhalb eines Monats auf seinen Auskunftsantrag geantwortet habe.

Die Datenschutzbehörde weigerte sich, aufgrund der Beschwerde tätig zu werden, da sie sie als "exzessiv" erachtete. In diesem Zusammenhang führte sie u.a. aus, dass der Beschwerdeführer innerhalb eines Zeitraums von ca. 20 Monaten 77 Beschwerden an sie gerichtet habe, mit denen er beanstandet habe, dass jeweils verschiedene Verantwortliche nicht innerhalb eines Monats auf seine Anträge auf Auskunft bzw. Löschung geantwortet hätten. Überdies habe er die Datenschutzbehörde regelmäßig telefonisch kontaktiert, um weitere Sachverhalte zu schildern und sie im Hinblick auf etwaige weitere Beschwerden zu konsultieren.

Der mit der Sache befasste österreichische Verwaltungsgerichtshof hat das Verfahren ausgesetzt und dem EuGH Fragen zur Vorabentscheidung vorgelegt.

Die Gründe:
Art. 57 Abs. 4 DSGVO ist dahin auszulegen, dass
  • der Begriff "Anfragen" bzw. "Anfrage" in dieser Bestimmung "Beschwerden" i.S.v. Art. 57 Abs. 1 Buchst. f und Art. 77 Abs. 1 dieser Verordnung erfasst;
  • Anfragen nicht allein aufgrund ihrer Anzahl innerhalb eines bestimmten Zeitraums als "exzessiv" i.S.v. Art. 57 Abs. 4 DSGVO eingestuft werden können, da die Aufsichtsbehörde zudem nachweisen muss, dass die Person, die diese Anfragen stellt, mit missbräuchlicher Absicht handelt;
  • eine Aufsichtsbehörde bei exzessiven Anfragen durch eine mit Gründen versehene Entscheidung wählen kann, ob sie eine angemessene Gebühr auf der Grundlage der Verwaltungskosten verlangt oder sich weigert, aufgrund der Anfrage tätig zu werden, wobei sie alle relevanten Umstände berücksichtigen und sich vergewissern muss, dass die gewählte Option angemessen und verhältnismäßig ist, ohne dass zwischen diesen beiden Optionen ein Vorrangverhältnis besteht.

Vorliegend erscheint zweifelhaft, dass die von der Datenschutzbehörde vorgebrachte Begründung ausreicht, um eine Einstufung der Beschwerde als exzessiv zu rechtfertigen. Sie lässt nicht ein missbräuchliches Vorgehen des Beschwerdeführers erkennen, d.h. ein Vorgehen, das nicht auf den Schutz seiner Rechte aus der DSGVO abzielt, sondern einen anderen Zweck verfolgt, nämlich das ordnungsgemäße Funktionieren der Aufsichtsbehörde zu beeinträchtigen. Auch ist weder die Prognosen der Behörde hinsichtlich der großen Anzahl von Beschwerden, die der Beschwerdeführer zukünftig einreichen könnte, noch der Hinweis auf ihre knappen Personalressourcen relevant.

Mehr zum Thema:

Beratermodul Datenschutzrecht
Das weitgreifende Komplettangebot zum deutschen und europäischen Datenschutzrecht deckt die DSGVO, das TTDSG und das BDSG ab. Mit Top-Inhalten aus den Verlagen Dr. Otto Schmidt und C.F. Müller. Bearbeiten Sie zahlreiche bewährte Formulare mit LAWLIFT! Das Komplettangebot zum Datenschutzrecht. 4 Wochen gratis nutzen!

EuGH online
Zurück