Exzessives Auskunftsersuchen und Schadensersatzanspruch nach DSGVO

Ein erster Auskunftsantrag, der gem. Art. 15 DSGVO bei einem Verantwortlichen gestellt wird, kann als "exzessiv" eingestuft werden kann, wenn Letzterer anhand aller relevanten Umstände des Einzelfalls nachweist, dass die betroffene Person eine Missbrauchsabsicht verfolgt. Dabei kann eine solche Absicht festgestellt werden, wenn die Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat, um diesen Auskunftsantrag stellen und anschließend Schadenersatz verlangen zu können. Ein solcher Antrag kann jedoch nicht allein deshalb als "exzessiv" eingestuft werden, weil öffentlich zugängliche Informationen den Schluss zulassen, dass die betroffene Person in zahlreichen Fällen bei Verletzungen des Datenschutzrechts ihr Recht auf Schadenersatz gegenüber einem Verantwortlichen geltend gemacht hat.

Der Sachverhalt:
Der Beklagte, ein in Wien wohnhafter Privatmann, abonnierte Im März 2023 den Newsletter der klagenden Brillen Rottler GmbH & Co. KG, eines in Deutschland ansässigen familiengeführten Optikunternehmens. Der Beklagte trug seine persönlichen Daten in das Anmeldeformular auf der Website des Unternehmens ein und erteilte seine Einwilligung zur Verarbeitung dieser Daten. 13 Tage später richtete er eine Auskunftsanfrage gem. Art. 15 DSGVO an die Klägerin. Diese wies die Anfrage fristgerecht mit der Begründung zurück, sie sei missbräuchlich i.S.v. Art. 12 Abs. 5 Satz 2 DSGVO, und forderte den Beklagten auf, endgültig davon abzusehen. Dieser verfolgte seinen Auskunftsanspruch weiter und ergänzte ihn um einen Anspruch auf Schadenersatz gem. Art. 82 DSGVO i.H.v. 1.000 €.

Die Klägerin erhob Klage mit dem Antrag, festzustellen, dass der Beklagte keinen Anspruch auf eine Entschädigung habe. Sie machte geltend, aus verschiedenen Online-Berichten und Blogbeiträgen von Rechtsanwälten gehe hervor, dass der Beklagte Auskunftsanfragen systematisch und rechtsmissbräuchlich mit dem alleinigen Ziel stelle, Schadenersatz zu erlangen, indem er einen Verstoß gegen die DSGVO geltend mache, den er vorsätzlich nach demselben Muster provoziere: Anmeldung zu einem Newsletter, Auskunftsbegehren und dann Forderung von Schadenersatz. 

Der Beklagte erhob Widerklage mit dem Antrag, die Beklagte zu verurteilen, ihm Auskunft über die Verarbeitung seiner Daten zu erteilen und ihm gem. Art. 82 DSGVO eine Entschädigung für den erlittenen immateriellen Schaden zu zahlen. Er argumentierte, sein Recht auf Auskunft gem. Art. 15 DSGVO könne voraussetzungslos ausgeübt werden. Außerdem halte er sich regelmäßig in Deutschland auf, so dass er ein berechtigtes Interesse am Newsletter der Klägerin habe.

Das mit der Sache befasste AG Arnsberg setzte das Verfahren aus und legte dem EuGH Fragen zur Vorabentscheidung vor. Es möchte wissen, welche Grenzen der Ausübung des Rechts auf Auskunft und des Anspruchs auf Schadenersatz nach der DSGVO zu setzen sind, die eine betroffene Person in vermeintlich missbräuchlicher Weise gegenüber einem privaten Unternehmen als dem für die Datenverarbeitung Verantwortlichen geltend macht.

Die Gründe:
Art. 12 Abs. 5 Satz 2 DSGVO ist dahin auszulegen, dass ein erster Auskunftsantrag, der gem. Art. 15 DSGVO bei einem Verantwortlichen gestellt wird, als "exzessiv" eingestuft werden kann, wenn Letzterer anhand aller relevanten Umstände des Einzelfalls nachweist, dass die betroffene Person eine Missbrauchsabsicht verfolgt. Dabei kann eine solche Absicht festgestellt werden, wenn die Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat, um diesen Auskunftsantrag stellen und anschließend Schadenersatz verlangen zu können.

Ein solcher Antrag kann jedoch nicht allein deshalb als "exzessiv" eingestuft werden, weil öffentlich zugängliche Informationen den Schluss zulassen, dass die betroffene Person in zahlreichen Fällen bei Verletzungen des Datenschutzrechts ihr Recht auf Schadenersatz gegenüber einem Verantwortlichen geltend gemacht hat.

Art. 82 Abs. 1 DSGVO ist dahin auszulegen, dass der betroffenen Person aufgrund eines Verstoßes gegen diese Verordnung entstandene Schäden auch dann ersatzfähig sind, wenn sie nicht infolge einer Verarbeitung personenbezogener Daten dieser Person verursacht wurden. Es besteht ein Recht auf Schadenersatz, wenn der erlittene Schaden entweder auf einer gegen die DSGVO verstoßenden Datenverarbeitung oder auf einem anderen Verstoß gegen die DSGVO beruht, sofern das Vorliegen eines solchen Schadens nachgewiesen wird.

Mehr zum Thema:

Kurzbeitrag
AG Arnsberg: Vorlagefragen zu rechtsmissbräuchlichem Auskunftsverlangen
German von Blumenthal / Vilma Niclas, ITRB 2024, 250
ITRB0071415

Aufsatz
Der Auskunftsanspruch gem. Art. 15 DSGVO: Reichweite und Rechtsfolgen bei Verstößen
Julia Dreyer / Anna Lena Füllsack, ITRB 2024, 206
ITRB0069038

Beratermodul IT-Recht
Otto Schmidt Answers optional dazu buchen und die KI 4 Wochen gratis nutzen! Die Answers-Lizenz gilt für alle Answers-fähigen Module, die Sie im Abo oder im Test nutzen. Hier das informative Rezensions- und Anwendungsvideo von RA Michael Rohrlich und Marc Oliver Thoma ansehen! Bearbeiten Sie zahlreiche bewährte Formulare mit LAWLIFT! 4 Wochen gratis nutzen!

Kommentierung | VO (EU) 2016/679
3. Verweigerung nach Art. 12 Abs. 5
Schwartmann/Klein/Peisker in Schwartmann/Jaspers/Thüsing/Kugelmann, Datenschutz-Grundverordnung/Bundesdatenschutzgesetz, 3. Aufl. 2024

Kommentierung | VO (EU) 2016/679
4. Verweigerung wegen Rechtsmissbrauchs
Schwartmann/Klein/Peisker in Schwartmann/Jaspers/Thüsing/Kugelmann, Datenschutz-Grundverordnung/Bundesdatenschutzgesetz, 3. Aufl. 2024

Beratermodul Datenschutzrecht
Otto Schmidt Answers optional dazu buchen und die KI 4 Wochen gratis nutzen! Die Answers-Lizenz gilt für alle Answers-fähigen Module, die Sie im Abo oder im Test nutzen. Bearbeiten Sie zahlreiche bewährte Formulare mit LAWLIFT! Das Komplettangebot zum Datenschutzrecht. 4 Wochen gratis nutzen!