Tel.:
+49 228 935 907 59

DSGVO-Anfragen als Geschäftsmodell – Was muss sich ein Unternehmen gefallen lassen?

Unternehmen

Das Auskunftsersuchen gemäß Art. 15 Datenschutzgrundverordnung (DSGVO) ist ein wichtiges Betroffenenrecht, welches den betroffenen Personen ermöglicht, Informationen darüber anzufordern, welche ihrer personenbezogenen Daten wie und wie lange verarbeitet werden. So soll durch mehr Transparenz dem Datenmissbrauch vorgebeugt werden.

In der Praxis kann bei einem unzureichend vorbereiteten Unternehmen so ein Auskunftsersuchen allerdings auch schnell nervig werden. Besonders wenn ein solches Auskunftsersuchen gar nicht zur Überprüfung der datenschutzrechtlichen Zulässigkeit dient, sondern z. B. der Überprüfung der Prämienerhöhungen der letzten Jahre in der privaten Krankenversicherung (OLG Nürnberg, Entscheidung vom 14.03.2021, Az.: 8 U 2907/21).

Amtsgericht wendet sich an EuGH

Das Amtsgericht Arnsberg bemüht sich um mehr Klarheit und hat dem Europäischen Gerichtshof (EuGH) mehrere Fragen zur Auslegung der Datenschutz-Grundverordnung im Zusammenhang mit möglicherweise rechtsmissbräuchlichen Auskunftsansprüchen vorgelegt (Beschluss vom 31.07.2024 – 42 C 434/23). Der Fall betrifft die grundsätzliche Frage, unter welchen Voraussetzungen ein Auskunftsverlangen nach Art. 15 DSGVO als rechtsmissbräuchlich abgelehnt werden kann.

Im zugrundeliegenden Fall hatte sich ein Mann mit seinen persönlichen Daten für einen Newsletter angemeldet und anschließend von der Betreiberin Auskunft nach Art. 15 DSGVO verlangt. Die Betreiberin verweigerte die Auskunft unter Berufung auf Rechtsmissbrauch, woraufhin der Mann eine Entschädigung in Höhe von 1.000 Euro forderte. Die Betreiberin erhob daraufhin negative Feststellungsklage mit der Begründung, der Kläger habe es sich zum Geschäftsmodell gemacht, durch DSGVO-Anfragen datenschutzrechtliche Verstöße zu provozieren und Schadensersatz zu fordern. Dies ginge aus zahlreichen Berichten in einschlägigen Onlinemedien hervor, welche ähnliche Fälle schilderten. Der Kläger wandte ein, das Auskunftsrecht sei bedingungslos und die Motive für eine Anfrage seien unerheblich.

Fragen bei Voraussetzung der Ablehnung und Schadensersatz

Das AG Arnsberg hat das Verfahren ausgesetzt und dem EuGH mehrere Fragen zur Auslegung der DSGVO vorgelegt:

Voraussetzungen für die Ablehnung eines Auskunftsverlangens als rechtsmissbräuchlich:

  • Kann bereits eine erstmalige Anfrage als „exzessiver Antrag“ im Sinne des Art. 12 Abs. 5 S. 2 DSGVO gelten?
  • Ist eine Auskunftsverweigerung zulässig, wenn mit der Anfrage Schadensersatzansprüche provoziert werden sollen?
  • Dürfen öffentliche Informationen über das Verhalten des Anfragenden zur Begründung eines Weigerungsrechts herangezogen werden?

Schadensersatzansprüche bei Verletzung des Auskunftsrechts:

  • Kann allein aus der Verletzung des Auskunftsrechts ein Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO entstehen?
  • Ist für einen solchen Anspruch eine Verarbeitung personenbezogener Daten erforderlich? Begründet bereits der mit einem Verstoß verbundene Kontrollverlust des Betroffenen einen immateriellen Schaden oder muss eine darüberhinausgehende, spürbare Beeinträchtigung vorliegen?

Gute Vorbereitung zahlt sich aus

Die Positionierung des EuGH bleibt nun abzuwarten. In der Vergangenheit kam es immer wieder zu Entscheidungen, die ein Abwägen zwischen dem Schutz von Betroffenenrechten und dem berechtigten Interesse von Verantwortlichen an einem Schutz vor missbräuchlichen Anfragen prägten. In der Entscheidung des EuGH vom 04.05.2023 (Az.: C-300/2) hatte dieser bereits klargestellt, dass es bei einer Klage auf immateriellen Schadensersatz zwar keine Erheblichkeitsschwelle gibt, die betroffene Person aber den ihr entstandenen Schaden nachweisen muss.

Der einfachste Weg für Unternehmen und Verantwortliche ist aber nach wie vor, Prozesse so rechtssicher zu gestalten, dass den potenziellen Antragstellern kein Spielraum für eine mögliche Schadensersatzforderung bleibt.

Abgefahrener Bußgeld-Hammer – 290 Millionen Euro soll Uber zahlen