DSGVO: EuGH schiebt systematischen Auskunftsmissbräuchen Riegel vor

Das Recht auf Auskunft über die eigenen personenbezogenen Daten gehört zu den schärfsten Schwertern der Datenschutz-Grundverordnung (DSGVO). Doch wer dieses Instrument zweckentfremdet, um daraus ein Geschäftsmodell zu machen, stößt nun an juristische Grenzen. Der Europäische Gerichtshof (EuGH) hat am Donnerstag in einem wegweisenden Urteil klargestellt, dass Auskunftsanträge eindeutig als rechtsmissbräuchlich eingestuft werden können. Voraussetzung ist, dass sie allein mit der Absicht gestellt werden, später Schadenersatzansprüche zu provozieren.

Mit der Entscheidung in der Rechtssache C-526/24 stärkt das höchste europäische Gericht die Verteidigungsmöglichkeiten von Unternehmen gegen sogenannte Datenschutz-Trolle. Der Fall nahm seinen Ausgang vor dem Amtsgericht Arnsberg. Dort entwickelte sich eine Art Lehrstück über eine moderne juristische Grauzone.

Eine in Österreich wohnhafte Person hatte sich für den Newsletter des Optikerunternehmens Brillen Rottler angemeldet und dabei freiwillig ihre Daten in die Maske eingegeben. Nur 13 Tage später forderte sie das Unternehmen nach Artikel 15 DSGVO auf, umfassend Auskunft über die verarbeiteten Daten zu erteilen. Als das Unternehmen den Antrag mit Verweis auf einen mutmaßlichen Missbrauch ablehnte, klagte die Person auf eine Entschädigung von mindestens 1000 Euro für den angeblich entstandenen immateriellen Schaden.

Kläger war kein Unbekannter

Das Optikerunternehmen konnte vor Gericht darauf verweisen, dass der Antragsteller kein Unbekannter war. Medienberichte und Informationen von Rechtsanwälten legten nahe, dass die Person systematisch Newsletter abonniert, unmittelbar danach Auskunft verlangt und bei der kleinsten Verzögerung oder Ablehnung Klagewellen wegen Datenschutzverstößen initiiert. Das Amtsgericht Arnsberg rief daraufhin den EuGH an. Es wollte klären lassen, ob bereits ein erster Auskunftsantrag als „exzessiv“ im Sinne der DSGVO gelten kann und unter welchen Bedingungen ein Schadenersatzanspruch in solchen Konstellationen besteht.

Die Luxemburger Richter stellten nun fest, dass der einschlägige Schutz der DSGVO nicht schrankenlos gilt. Zwar dient das Auskunftsrecht dazu, dass sich Bürger der Datenverarbeitung bewusst werden und deren Rechtmäßigkeit überprüfen können. Ziel ist es, gegebenenfalls Rechte auf Berichtigung oder Löschung wahrzunehmen. Wenn aber nachgewiesen werden kann, dass ein Antrag trotz formaler Korrektheit nur gestellt wurde, um künstlich die Voraussetzungen für eine Schadenersatzklage zu schaffen, liegt ein Rechtsmissbrauch vor.

Ein solcher Nachweis kann laut EuGH etwa durch das bisherige Verhalten der Person und öffentlich zugängliche Informationen über ähnliche Forderungen gegenüber anderen Unternehmen geführt werden.

Wann wird Schadenersatz fällig?

Relevant für die Praxis ist die Klarstellung des EuGH zu den Voraussetzungen für Schadenersatz. Ein bloßer Verstoß gegen die DSGVO reicht demnach nicht automatisch für eine Geldentschädigung aus. Der Kläger muss vielmehr nachweisen, dass ihm tatsächlich ein konkreter materieller oder immaterieller Schaden entstanden ist.

Zwar umfasst ein immaterieller Schaden grundsätzlich auch den Kontrollverlust über die eigenen Daten. Doch setzt der EuGH hier jetzt eine entscheidende Hürde: Wer durch sein eigenes Verhalten die entscheidende Ursache für den Schaden gesetzt hat – etwa indem er die Datenverarbeitung nur provoziert, um sie später zu „verklagen“ – kann keinen Ersatz verlangen.

Firmen verspricht dieses Urteil eine Erleichterung. Sie können bei exzessiven Anträgen unter Berufung auf Artikel 12 Absatz 5 DSGVO entweder die Auskunft verweigern oder ein angemessenes Entgelt für den Verwaltungsaufwand verlangen. Trotzdem bleibt die Beweislast beim Verantwortlichen.

Das Amtsgericht Arnsberg muss nun im konkreten Einzelfall prüfen, ob das Verhalten des Klägers die Schwelle zum Missbrauch überschritten hat, wobei Faktoren wie die kurze Zeitspanne zwischen Anmeldung und Antrag sowie die Freiwilligkeit der Datenpreisgabe eine zentrale Rolle spielen.

()