Das Amtsgericht (AG) Arnsberg hat sich mit der Frage befasst, ob die Auskunft nach Art. 15 DSGVO verweigert werden darf, wenn der Anfragende solche Auskünfte verlangt, um Schadensersatzansprüche zu provozieren (Beschluss vom 31.07.2024, Az.: 42 C 434/23, siehe auch beck-aktuell). Seitens des AG Arnsberg wurde der EuGH eingeschaltet und diesem eine Reihe von Fragen vorgelegt.
Sachverhalt
Der Betroffene meldete sich mit seinen persönlichen Daten auf einer Website für einen Newsletter an. Anschließend verlangte er von der Betreiberin der Website Auskunft nach Art. 15 DSGVO darüber, welche personenbezogenen Daten über ihn verarbeitet werden. Die Betreiberin hat zunächst den Erhalt des Auskunftsersuchens bestätigt und angekündigt, dieses innerhalb der Monatsfrist zu beantworten. Aber dann hat die Betreiberin ggü. dem Betroffenen die Auskunftserteilung verweigert, da sie diese als rechtsmissbräuchlich im Sinne von Art. 12 Abs. 5 S. 2 lit. b DSGVO einstufte. Nach ihrer Auffassung hat es sich der Betroffene zum Geschäftsmodell gemacht, durch DSGVO-Anfragen datenschutzrechtliche Verstöße zu provozieren und dann Schadensersatz zu fordern. Dies zeigten seitens der Betreiberin recherchierte Blogbeiträge und Berichte von Anwälten, welche das Vorgehen des Betroffenen in vielen Fällen dokumentierten. Der Betroffene wurde von der Betreiberin aufgefordert, endgültig von seinem Auskunftsanspruch abzusehen. Dem ist der Betroffene nicht nachgekommen. Ferner hat dieser von der Betreiberin wegen der Auskunftsverweigerung gemäß Art. 82 DSGVO eine Entschädigung i. H. v. 1.000 Euro gefordert. Daraufhin erhob die Betreiberin (Klägerin) eine negative Feststellungsklage. Der Betroffene (Beklagte) verfolgt seinen Anspruch auf Zahlung von 1.000 Euro im Wege seiner Widerklage weiter.
Rechtslage
Seitens der Klägerin wird darauf hingewiesen, dass der Beklagte systematisch und rechtsmissbräuchlich datenschutzrechtliche Auskunftsanfragen nutze, um anschließend Schadensersatzansprüche zu stellen. Dies gehe nach Auffassung der Klägerin aus zahlreichen Berichten in einschlägigen Onlinemedien (Berichte von Rechtsanwälten, Blogbeiträge) hervor, welche zahlreiche ähnliche Fälle schildern und das Vorgehen des Beklagten als geschäftsmäßig beschreiben. Nach Auffassung der Klägerin unterlaufe dieses Vorgehen den Schutzzweck der DSGVO und der Beklagte handele rechtsmissbräuchlich, da es diesem nicht um den Schutz seiner personenbezogenen Daten geht, sondern allein darum, finanzielle Entschädigungen zu erzwingen.
Der Beklagte hingegen vertritt die Auffassung, dass sein Auskunftsbegehren nicht rechtsmissbräuchlich sei und verweist darauf, dass das Auskunftsrecht nicht an die Motive des Antragstellers gebunden sei und jede betroffene Person dieses Recht bedingungslos geltend machen könne. Darüber hinaus ist der Beklagte der Ansicht, dass die Klägerin ihn unzulässig in seinen Rechten einschränken wolle und ihm ein Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO zustehe.
Das AG Arnsberg hat das Verfahren ausgesetzt und den EuGH eingeschaltet, um verschiedene Fragen zur Auslegung der DSGVO zu klären. Dabei geht es u. a. um die Voraussetzungen, unter denen ein Auskunftsverlangen als rechtsmissbräuchlich abgelehnt werden kann. Nach Art. 12 Abs. 5 S. 2 DSGVO kann der Verantwortliche sich bei „exzessiven Anträgen“ weigern, tätig zu werden. Nach Auffassung des AG Arnsberg ist dabei unklar, ob dafür schon eine erstmalige Anfrage bei der verantwortlichen Stelle ausreichen kann und ob eine Auskunft verweigert werden kann, wenn mittels des Auskunftsersuchens Schadensersatzansprüche provoziert werden sollen. Ferner ist ebenfalls fraglich, ob sich ein Weigerungsrecht auf öffentlichen Informationen über das Verhalten des Anfragenden stützen lasse.
Darüber hinaus drehen sich die Fragen darum, ob sich (allein) aus einer Verletzung des Auskunftsrechts auch ein Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO ergeben kann. Das AG Arnsberg möchte u. a. wissen, ob für den vorgenannten Anspruch eine Verarbeitung personenbezogener Daten erforderlich ist. Für den Fall, dass der Betroffene einen Schadensersatzanspruch haben kann, soll der EuGH klären, ob schon der mit einem Verstoß verbundene Kontrollverlust des Betroffenen über die Verarbeitung seiner Daten einen immateriellen Schadensersatzanspruch begründet, oder ob der Betroffene darüber hinaus spürbar beeinträchtigt sein müsse.
Fazit
Es bleibt abzuwarten, wie sich der EuGH in diesem Fall positionieren wird. Dies gilt insbesondere vor dem Hintergrund der Entscheidung des EuGH vom 04.05.2023 (Az.: C-300/21; wir berichteten). Denn dort hat der EuGH klargestellt, dass es hinsichtlich eines immateriellen Schadens zwar keine Erheblichkeitsschwelle gibt, aber der Betroffene das Vorliegen eines erlittenen immateriellen Schadens nachweisen muss.
Ferner wurde u. a. vom OLG Brandenburg (Entscheidung vom 14.04.2023, Az.: 11 U 233/22, wir berichteten) sowie vom OLG Nürnberg (Entscheidung vom 14.03.2021, Az.: 8 U 2907/21, wir berichteten) die Auffassung vertreten, dass ein Auskunftsersuchen dann missbräuchlich ist, wenn dieses nicht zur Überprüfung der datenschutzrechtlichen Zulässigkeit der Datenverarbeitung erfolgt, sondern damit andere Ziele (z. B. die Überprüfung der Prämienerhöhungen der letzten Jahre in der privaten Krankenversicherung) verfolgt werden.
Unabhängig vom Ausgang dieses Rechtsstreits ist es für datenschutzrechtlich verantwortliche Stellen (z. B. Unternehmen) rechtssicher, wenn diese ihre internen Prozesse dahingehend anpassen, dass auch im Falle einer Auskunftserteilung nach Art. 15 DSGVO keine Verletzungen datenschutzrechtlicher Vorschriften ggü. dem Betroffenen offenbart werden. Denn dann würde das Geschäftsmodell des Beklagten nicht funktionieren.