Das von der Datenschutzgrundverordnung (DSGVO) eingeräumte Recht ein Auskunftsersuchen (Art. 15 DSGVO) zu stellen, wird regelmäßig von Betroffenen genutzt. Unternehmen stellt dies vor verschiedenste Herausforderungen, nicht zuletzt deshalb, da die Beantwortung solcher Anträge zum Teil mit erheblichen Zeit- und damit auch Kostenaufwänden einhergeht. In Anbetracht dessen stellt sich für Unternehmen die Frage, ob denn tatsächlich jedes Auskunftsersuchen beantwortet werden muss.
Der Tenor
Die gute Nachricht für Unternehmen vorab: Es gibt zwei Voraussetzungen, unter denen eine Beantwortung eines Auskunftsersuchens abgelehnt bzw. hierfür zumindest ein angemessenes Entgelt verlangt werden kann. Diese werden in Art. 12 Abs. 5 S. 2 DSGVO normiert: Im Rahmen eines offenkundig unbegründeten oder eines exzessiven Antrages besteht für Unternehmen die Möglichkeit, die Beantwortung des Ersuchens abzulehnen.
Nichtsdestotrotz wird aller Voraussicht nach aber nur selten der Fall eintreffen, dass die Voraussetzungen, unter denen die Beantwortung des Antrags verweigert werden bzw. hierfür ein angemessenes Entgelt verlangt werden kann, erfüllt sein werden. Dies resultiert auch nicht zuletzt daraus, dass die Beweislast für das Vorliegen der besagten Anträge dem Verantwortlichen obliegt (Art. 12 Abs. 5 S. 3 DSGVO).
Sofern der Verantwortliche zu dem Ergebnis gelangt, dass ein Fall des Art. 12 Abs. 5 DSGVO vorliegt, muss er den Betroffenen zeitnah, spätestens aber innerhalb eines Monats, darüber informieren, dass der Antrag nicht beantwortet wird. In diesem Zusammenhang sind auch die jeweiligen Gründe für sein Nichttätigwerden zu benennen (Art. 12 Abs. 4 DSGVO). Zudem muss der Verantwortliche den Betroffenen auch darüber in Kenntnis setzen, dass ihm ein Beschwerderecht bei der Aufsichtsbehörde zusteht oder er einen gerichtlichen Rechtsbehelf einlegen kann.
Die beiden Konstellationen – der offenkundig unbegründete und der exzessive Antrag – setzen voraus, dass es sich hierbei um Anträge handelt, die in missbräuchlicher Art und Weise gestellt wurden. Insbesondere im Hinblick auf den Zweck der Norm des Art. 12 Abs. 5 DSGVO – der Abwehr von Missbrauch – sind die beiden Konstellationen eng auszulegen.
Offenkundig unbegründete Anträge
Entgegen des Wortlautes des offenkundig „unbegründeten“ Antrages ist von einem solchen nicht automatisch dann auszugehen, wenn dieser eine unzureichende Begründung enthält, zumal der Betroffene regelmäßig nicht verpflichtet ist, sein Begehr zu begründen. Vielmehr ist unter einem offenkundig unbegründeten Antrag ein solcher zu verstehen, bei dem direkt erkennbar ist, dass er die in der DSGVO eingeräumten Betroffenenrechte zweifelsfrei überschreitet. Erstanträge werden in der überwiegenden Zahl der Fälle wohl regelmäßig nicht dieser Fallkonstellation unterfallen, wobei stets zu berücksichtigen ist, dass einzelfallspezifisch zu prüfen ist, inwiefern ein offenkundig unbegründeter Antrag vorliegt. In der Literatur wird auch thematisiert, dass Anträge, die der reinen Schikanierung des Verantwortlichen dienen, unter besagte Fallkonstellation fallen können. In diesem Zusammenhang ist aber zu beachten, dass der Verantwortliche auch hierfür die Beweislast trägt und dass dies ggf. mit Schwierigkeiten verbunden ist.
Exzessive Anträge
Auch exzessive Anträge müssen nach Art. 12 Abs. 5 DSGVO nicht beantwortet werden. In der DSGVO findet sich allerdings keine Definition hierzu. Aufgrund der Wortwahl „exzessiv“ und der Gestaltung des Gesetzestextes „Bei offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anträgen […]“ wird jedoch davon ausgegangen werden können, dass von diesem Begriff eben nicht nur das rein wiederholte Stellen eines Antrages umfasst sein dürfte. Vielmehr wird durch den Einschub des „insbesondere“ deutlich, dass die Exzessivität eines Antrages sich wohl nicht allein aus der Quantität gestellter Anträge ergeben muss, sondern dass ein exzessiver Antrag auch andere Formate aufweisen kann. Das Gesetz lässt jedoch offen, welche konkreten Formate unter diese Regelung fallen können. Grundsätzlich stellt sich aber auch hier die oben bereits thematisierte Problematik der Beweislast des Verantwortlichen für das Vorliegen eines exzessiven Antrags.
Fazit
Grundsätzlich ermöglicht die DSGVO dem Verantwortlichen, sich zu weigern, rechtsmissbräuchliche Anträge zu beauskunften bzw. hierfür zumindest ein angemessenes Entgelt zu verlangen. Es obliegt allerdings dem Verantwortlichen, den Nachweis zu führen, dass ein offenkundig unbegründeter oder exzessiver Antrag vorliegt. Insbesondere auch mit Hinblick auf den nicht in der DSGVO definierten Begriff der Exzessivität bleibt ein Stück weit offen, welche Formate rechtsmissbräuchlicher Anträge hierunter konkret subsumiert werden können.
Nils
10. November 2021 @ 11:23
Wenn der BR droht, das er jetzt MA anweisen will, eine Auskunft beim AG einzuholen, ist von davor auszugehen, das hier schikaniert wird und somit der Antrag unbegründet ist. Oder?
Holger
11. November 2021 @ 7:52
Wieso sollte der BR etwas „anweisen“? Der ist doch nur der „Vertreter“ der MA. Andererseits ist es doch auch mal schön wenn der AG schikaniert wird – sonst ist es ja üblicherweise immer der MA. Davon abgesehen: Warum ist es Schikanierung, wenn der AG eine Auskunft erteilen soll? Gerade bei MA sollte das doch recht unproblematisch vonstatten gehen – und auch ohne viel Aufwand. Oder ist der etwa nicht darauf vorbereitet? 🙂
T.H.
11. November 2021 @ 12:50
In so einem Fall hätte der AG aber trotzdem bei jedem einzelnen Mitarbeiter die Nachweispflicht, dass es sich bei dem Auskunftsersuchen um eine Schikane handelt. In so einem Fall halte ich es für höchst unwahrscheinlich, dass das dem AG gelingt. Der AG kann ja nicht den Antrag von Mitarbeiter A mit der Begründung abweisen, dass Mitarbeiter B auch einen Antrag gestellt hat.