Der EuGH sorgt wieder einmal für Spannung im Datenschutz! Diesmal geht es um Beschwerden an die Datenschutzbehörde. Die Aufsichtsbehörden sind verpflichtet Anfragen von Betroffenen zu beantworten, doch was passiert, wenn diese Anfragen überhandnehmen? Mit der Vorlage C-416/23 soll der EuGH klären, ab wann Anfragen nach der DSGVO als „exzessiv“ gelten, ob auch Beschwerden dazu zählen und inwieweit Datenschutzbehörden übermäßige Anfragen ablehnen oder Gebühren erheben können.
Beschwerdeflut oder berechtigte Anfragen?
Im konkreten Fall wurde die österreichische Datenschutzbehörde von einer regelrechten Beschwerdewelle überschwemmt: 77 Beschwerden von einer Person innerhalb von nur 20 Monaten! Die Behörde zog die Reißleine und entschied, keine weiteren Anfragen mehr zu bearbeiten – mit der Begründung, diese seien „exzessiv“.
Unter Berufung auf Art. 57 Abs. 4 DSGVO (Aufgaben einer Aufsichtsbehörde) traf die Behörde die Entscheidung, dass sie bei offensichtlich unbegründeten oder – besonders im Fall häufiger Wiederholung – exzessiven Anfragen eine angemessene Gebühr verlangen oder die Bearbeitung der Anfragen komplett verweigern darf. In solchen Fällen liegt die Beweislast bei der Aufsichtsbehörde, die den übermäßigen oder unbegründeten Charakter der Anfragen nachweisen muss.
Das Bundesverwaltungsgericht ließ diese Entscheidung jedoch nicht unkommentiert. Es hob sie auf und stellte klar: Nicht die Anzahl allein zählt. Vielmehr muss geprüft werden, ob die Beschwerden tatsächlich missbräuchlich oder sogar schikanös waren.
In weiterer Folge wurden dem EuGH drei entscheidende Fragen zur Klärung vorgelegt.
- Fallen auch Datenschutzbeschwerden unter den Schutz des Art. 57 Abs. 4 DSGVO?
- Reicht die bloße Anzahl von Anfragen aus, um sie als exzessiv einzustufen, oder ist eine Missbrauchsabsicht erforderlich?
- Wie soll die Aufsichtsbehörde vorgehen, wenn sie mit exzessiven Anfragen konfrontiert wird?
Schlussanträge des Generalanwaltes
Obwohl der EuGH noch kein endgültiges Urteil gefällt hat, hat der Generalanwalt bereits eine klare Stellungnahme abgegeben. Seiner Ansicht nach können Beschwerden durchaus unter den Begriff „Anfragen“ gemäß Art. 57 Abs. 4 DSGVO fallen. Allerdings reicht die bloße Anzahl der Anfragen nicht aus, um sie als übertrieben oder „exzessiv“ einzustufen. Der Generalanwalt teilt somit die Auffassung des Bundesverwaltungsgerichts: Es komme nicht nur auf die Anzahl der Anfragen an, sondern darauf, ob diese mit einer missbräuchlichen Absicht gestellt wurden.
Im Fall von exzessiven Anfragen soll die Aufsichtsbehörde selbst entscheiden können, ob sie eine angemessene Gebühr erhebt oder sich weigert, die Anfrage zu bearbeiten – vorausgesetzt, diese Entscheidung ist gut begründet und steht in einem angemessenen Verhältnis zum Aufwand.
Déjà-vu?
Tatsächlich erinnert die Stellungnahme des Generalanwalts an einen ähnlichen Fall des EuGH (C-307/22), bei dem es um die korrespondierende Bestimmung in Art. 12 Abs. 5 DSGVO und die Betroffenenrechte von Unternehmen ging. In diesem Urteil entschied der Gerichtshof, dass Unternehmen bei „exzessiven“ Anfragen das Recht haben, entweder ein angemessenes Entgelt zu verlangen oder die Bearbeitung abzulehnen – allerdings nur in Fällen von Rechtsmissbrauch.
Konsequenzen für Unternehmen
Für Unternehmen bedeutet dies: Anfragen können nur dann als „exzessiv“ zurückgewiesen werden, wenn sie nachweislich darauf abzielen, den Betrieb zu stören, anstatt legitime Rechte nach der DSGVO durchzusetzen.
Wichtige Kriterien lt. Generalanwalt, um „exzessive“ Anfragen zu prüfen…
- Mehrfache Anfragen an denselben Verantwortlichen
- Gleicher oder sehr ähnlicher Inhalt der Anfragen
- Wiederholung in übertrieben kurzen Zeitabständen
- Keine Änderung der tatsächlichen Umstände, die die Anfragen rechtfertigen
- Hinweise auf die Absicht, das ordnungsgemäße Funktionieren des Unternehmens zu beeinträchtigen
MeineBerater-Tipp
Sorgen Sie dafür, dass Ihre internen Prozesse auf einen klaren Umgang mit Betroffenenanfragen abgestimmt sind. Regelmäßige Schulungen und klare Richtlinien können helfen, auf Anfragen effizient und DSGVO-konform zu reagieren, ohne den Betrieb zu gefährden. Wenn Sie eine Vielzahl von Anfragen erhalten, prüfen Sie, ob diese „exzessiv“ sind, indem Sie die entsprechenden Kriterien checken. Falls Unsicherheiten bestehen, beraten wir Sie gern zu einem optimalen Datenschutzmanagement! 😊