Der Europäische Gerichtshof (EuGH) hat in einem wegweisenden Urteil (C‑416/23) Klarheit über den Umgang mit sogenannten „exzessiven Anfragen“ nach der Datenschutz-Grundverordnung (DSGVO) geschaffen. Das Urteil betrifft die Rechte betroffener Personen, Beschwerden bei Datenschutzbehörden einzureichen, sowie die Möglichkeiten der Behörden, auf eine Überlastung durch vielfache oder missbräuchliche Anfragen zu reagieren.
Hintergrund des Urteils
Im zugrundeliegenden Fall hatte eine betroffene Person (FR) in einem Zeitraum von rund 20 Monaten insgesamt 77 Beschwerden bei der österreichischen Datenschutzbehörde (DSB) eingereicht. Die Behörde verweigerte die Bearbeitung mit der Begründung, die Anfragen seien „exzessiv“ im Sinne von Art. 57 Abs. 4 DSGVO. Das österreichische Bundesverwaltungsgericht hob diese Entscheidung jedoch auf und stellte fest, dass eine hohe Anzahl von Beschwerden allein nicht ausreiche, um diese als exzessiv zu qualifizieren. Daraufhin legte der Verwaltungsgerichtshof den Fall dem EuGH zur Vorabentscheidung vor.
Kernfragen des EuGH-Urteils
- Sind Beschwerden nach Art. 77 DSGVO auch „Anfragen“ im Sinne von Art. 57 Abs. 4 DSGVO?
Ja, der EuGH stellte fest, dass Beschwerden als „Anfragen“ zu qualifizieren sind. Dies bedeutet, dass die Möglichkeit besteht, bei „offenkundig unbegründeten“ oder „exzessiven“ Beschwerden entweder eine Gebühr zu verlangen oder die Bearbeitung zu verweigern. - Wann gilt eine Anfrage als „exzessiv“?
Die bloße Häufung von Anfragen oder Beschwerden reicht nicht aus, um sie als exzessiv einzustufen. Entscheidend ist, ob eine missbräuchliche Absicht der betroffenen Person vorliegt. Die Behörde muss nachweisen, dass die Anfragen nicht dem Schutz der DSGVO-Rechte dienen, sondern darauf abzielen, die Behörde zu überlasten oder lahmzulegen. - Welche Optionen haben Aufsichtsbehörden bei exzessiven Anfragen?
Die Behörden dürfen zwischen zwei Maßnahmen wählen: Sie können eine angemessene Gebühr verlangen oder sich weigern, tätig zu werden. Diese Entscheidung muss jedoch verhältnismäßig und gut begründet sein.
Bedeutung für Betroffene und Behörden
Das Urteil stärkt einerseits die Position der Betroffenen, da eine Vielzahl an Beschwerden allein keine Ablehnung rechtfertigt. Andererseits gibt es den Datenschutzbehörden Werkzeuge an die Hand, um sich gegen Missbrauch und Überlastung zu wehren. Der Nachweis einer missbräuchlichen Absicht bleibt jedoch die Voraussetzung für restriktive Maßnahmen.
Fazit
Das Urteil des EuGH sorgt für ein Gleichgewicht zwischen dem Recht auf Datenschutz und dem Schutz der Effizienz von Datenschutzbehörden. Es zeigt, dass Rechte zwar umfassend wahrgenommen werden können, jedoch nicht missbräuchlich eingesetzt werden dürfen.
Stefan Lutz, LL.M.
Rechtsanwalt und Fachanwalt für IT-Recht
externer Datenschutzbeauftragter
Lehrbeauftragter für IT-Recht an der RWU
Rechtsanwalt und Fachanwalt für IT-Recht Stefan Lutz, LL.M. berät Firmen und private Mandanten in den Rechtsgebieten des IT-Rechts, wozu unter anderem das Datenschutzrecht (BDSG, DSGVO, TDDDG...), Urheberrecht, Wettbewerbsrecht, Markenrecht, E-Commerce-Recht, Social Media Recht und das Recht der Künstlichen Intelligenz gehören.
Telefon: 0751 / 27 088 530