Missbräuchliche Auskunftsersuchen nach der DSGVO erneut vor dem EuGH

Die Rechte von Betroffenen sind zentraler Bestandteil der DSGVO. Für Verantwortliche, die sich häufig mit zweckfremden oder missbräuchlichen Auskunftsersuchen konfrontiert sehen, stellt sich jedoch die Frage, ob sie die Auskunft verweigern können. [...]

Mag. Andreas Schütz und Mag. Tereza Grünvaldska, Juristen der Kanzlei Taylor-Wessing (c) Taylor-Wessing
Mag. Andreas Schütz und Mag. Tereza Grünvaldska, Juristen der Kanzlei Taylor-Wessing (c) Taylor-Wessing

Dies will gut überlegt sein, da Verstöße gegen die Betroffenenrechte mit Bußgeldern bis zu 20 Mio. Euro oder 4 Prozent des Jahresumsatzes geahndet werden können. Der EuGH befasste sich mehrfach mit dem Umfang des Auskunftsrechts, einige Aspekte bleiben jedoch offen. Zuletzt wurde dem EuGH die Frage vorgelegt, ob Auskunft auch dann zu gewähren ist, wenn das Auskunftsverlangen missbräuchlich gestellt wird, um Schadensersatzansprüche auszulösen.

Im zugrunde liegenden deutschen Ausgangsverfahren hatte sich ein Mann für einen Newsletter angemeldet und anschließend von der Betreiberin Auskunft über seine von ihr verarbeiteten personenbezogenen Daten verlangt. Da die Betreiberin dieser Aufforderung nicht nachkam, verlangte der Mann Schadensersatz von 1.000 Euro. Die Betreiberin lehnte den Schadensersatzanspruch ab, da der Mann aus solchen Auskunftsverlangen ein Geschäftsmodell gemacht habe. Dies sei aus Berichten in Medien über sein Vorgehen in ähnlichen Fällen bekannt. Der Mann argumentierte, dass ihm der Auskunftsanspruch unabhängig von seinen Motiven zustehe. Grundsätzlich kann ein Verantwortlicher ein Auskunftsersuchen ablehnen, wenn es exzessiv ist. Der EuGH wird nun in diesem Verfahren zu entscheiden haben, ob bereits ein einziges Auskunftsverlangen als exzessiv gelten kann, wenn dem Verantwortlichen missbräuchliches Verhalten des Betroffenen aus anderen Fällen bekannt ist.

In einem ähnlichen Fall aus Österreich, mit dem sich ebenfalls der EuGH befasst, hatte der Betroffene über einen Zeitraum von ca. 20 Monaten 77 Beschwerden zu verschiedenen Fällen bei der Datenschutzbehörde (DSB) eingereicht und telefonisch versucht, weitere Fälle zu schildern und sich über die Beschwerdemöglichkeiten zu informieren. Die DSB lehnte die Bearbeitung unter Hinweis auf eine überdurchschnittliche Belastung der Behörde durch diese Person ab. Hierzu hat der Generalanwalt Anfang September in seinen Schlussanträgen die Auffassung vertreten, dass der Häufung von Beschwerden nur eine Indizwirkung für die Beurteilung der Frage zukommt, ob ein Exzess vorliegt. Es müssten weitere Umstände hinzutreten, etwa dass der Betroffene missbräuchlich oder aus datenschutzfremden Motiven handle.

Der Ausgang der beiden Verfahren bleibt abzuwarten. Die Linie des Generalanwalts zeigt aber gewisse Tendenzen auf. Auch wenn Sie sich als Unternehmen mit Auskunftsbegehren von »Querulanten« konfrontiert sehen, ist daher angesichts der hohen Bußgelddrohungen Vorsicht bei einer allfälligen Auskunftsverweigerung geboten.

*Mag. Andreas Schütz und Mag. Tereza Grünvaldska sind Juristen der Kanzlei Taylor-Wessing.


Mehr Artikel

News

Große Sprachmodelle und Data Security: Sicherheitsfragen rund um LLMs

Bei der Entwicklung von Strategien zur Verbesserung der Datensicherheit in KI-Workloads ist es entscheidend, die Perspektive zu ändern und KI als eine Person zu betrachten, die anfällig für Social-Engineering-Angriffe ist. Diese Analogie kann Unternehmen helfen, die Schwachstellen und Bedrohungen, denen KI-Systeme ausgesetzt sind, besser zu verstehen und robustere Sicherheitsmaßnahmen zu entwickeln. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*