Im Rahmen eines Vorabentscheidungsersuchens des Verwaltungsgerichtshofs (Österreich) hat sich der EuGH (Rechtssache C‑416/23) mit der Frage der „Exzessivität“ von Anträgen an Aufsichtsbehörden zu befassen. Der Generalanwalt hat hier nun seine Schlussanträge verfasst.
Auch wenn Gegenstand des Verfahrens die Weigerung einer Aufsichtsbehörde nach Art. 57 Abs. 4 DSGVO ist und kein Unternehmen Partei des Rechtsstreits ist, kann das Verfahren auch Auswirkungen auf Unternehmen im Rahmen von Auskunftsverfahren nach Art. 15 Abs. 1 DSGVO haben. Der Generalanwalt geht zudem davon aus, dass die Ausführungen auch auf Art. 12 Abs. 5 DSGVO übertragbar sind.
Nach Art. 57 Abs. 4 DSGVO kann die Aufsichtsbehörde bei offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anfragen eine angemessene Gebühr auf der Grundlage der Verwaltungskosten verlangen oder sich weigern, aufgrund der Anfrage tätig zu werden. Eine ähnliche Regelung findet sich in der DSGVO bei den Rechten der Betroffenen. Gemäß Art. 12 Abs. 5 DSGVO kann der Verantwortliche bei offenkundig unbegründeten oder den beschriebenen „exzessiven“ Anträgen einer betroffenen Person entweder ein angemessenes Entgelt verlangen oder sich weigern, aufgrund des Antrags tätig zu werden.
Sachverhalt
Gegenstand des Verfahrens vor dem EuGH ist die Beschwerde eines Betroffenen bei der österreichischen Datenschutzbehörde gemäß Art. 77 Abs. 1 DSGVO wegen Verletzung seines Auskunftsrechts nach Art. 15 DSGVO. Grund für die Beschwerde bei der Aufsichtsbehörde war der Umstand, dass ein Verantwortlicher nicht innerhalb eines Monats den Auskunftsantrag des Betroffenen beantwortet hatte.
Mit Bescheid vom 22. April 2020 weigerte sich die Datenschutzbehörde gemäß Art. 57 Abs. 4 DSGVO aufgrund der Beschwerde tätig zu werden, da sie diese als „exzessiv“ erachtete. In diesem Zusammenhang führte die Aufsichtsbehörde u. a. aus, dass der Betroffene innerhalb eines Zeitraums von ca. 20 Monaten 77 Beschwerden an die Behörde gerichtet habe, mit denen er beanstandete, dass jeweils verschiedene Verantwortliche nicht innerhalb eines Monats auf seine Anträge auf Auskunft bzw. Löschung geantwortet hätten. Überdies habe er die Datenschutzbehörde regelmäßig telefonisch kontaktiert, um weitere Sachverhalte zu schildern und sie im Hinblick auf etwaige weitere Beschwerden zu konsultieren.
Der Betroffene erhob gegen den genannten Bescheid Beschwerde beim österreichischen Bundesverwaltungsgericht, welches der Beschwerde stattgab und den Bescheid aufhob. Das Bundesverwaltungsgericht entschied im Wesentlichen, dass die exzessive Natur von Anfragen im Sinne von Art. 57 Abs. 4 DSGVO nicht nur eine häufige Wiederholung, sondern auch einen offensichtlich schikanösen bzw. rechtsmissbräuchlichen Charakter der Anfragen voraussetze. Aus der Begründung der Datenschutzbehörde für ihre Weigerung, sich mit der Beschwerde zu befassen, gehe jedoch kein rechtsmissbräuchliches Vorgehen des Betroffenen hervor. Die Datenschutzbehörde dürfe nicht nach Belieben wählen, ob sie eine angemessene Gebühr für eine „exzessive“ Anfrage verlange oder sich weigere, sich mit einer solchen Anfrage zu befassen. Sie habe diese Wahl zu begründen, was vorliegend nicht geschehen sei.
Gegen die Entscheidung legte die Datenschutzbehörde Revision beim Verwaltungsgerichtshof in Österreich ein. Dieses Gericht setzte das Verfahren aus und legte dem EuGH verschiedene Fragen zur Vorabentscheidung vor. Eine Vorlagefrage (Frage Nr. 2) lautet hierbei:
„Ist Art. 57 Abs. 4 DSGVO so auszulegen, dass es für das Vorliegen von „exzessiven Anfragen“ bereits ausreicht, dass eine betroffene Person bloß innerhalb eines bestimmten Zeitraums eine bestimmte Zahl von Anfragen (Beschwerden nach Art. 77 Abs. 1 DSGVO) an eine Aufsichtsbehörde gerichtet hat, unabhängig davon, ob es sich um unterschiedliche Sachverhalte handelt und/oder die Anfragen (Beschwerden) unterschiedliche Verantwortliche betreffen, oder bedarf es neben der häufigen Wiederholung von Anfragen (Beschwerden) auch einer Missbrauchsabsicht der betroffenen Person?“
Schlussanträge und Würdigung des Generalanwalts
Nach Ansicht des Generalanwalts kann die Anzahl der von einer betroffenen Person bei einer Aufsichtsbehörde gestellten Anfragen, so groß sie auch sein mag, für sich genommen kein ausreichendes Kriterium sein, um festzustellen, dass „exzessive Anfragen“ vorliegen:
„Wenn eine Person Anträge auf Auskunft oder Löschung an mehrere Verantwortliche gerichtet hat, muss die Anzahl der bei einer Aufsichtsbehörde eingereichten Beschwerden potenziell mit der Anzahl der Fälle übereinstimmen können, in denen sich die Verantwortlichen gegenüber dieser Person geweigert haben, tätig zu werden. Eine andere Entscheidung, bei der ein Schwellenwert festgelegt würde, ab dem eine Aufsichtsbehörde diese Beschwerden allein aufgrund ihrer Anzahl als „exzessiv“ einstufen könnte, würde die von der DSGVO gewährleisteten Rechte, die ich zuvor aufgezählt habe, beeinträchtigen.“ (Rn. 65)
In seiner Würdigung erklärt der Generalanwalt, dass nach seiner Auffassung Art. 12 Abs. 5 und Art. 57 Abs. 4 DSGVO gleich auszulegen seien, da die Normen ähnlich formuliert sind und auf derselben Logik beruhen, die darin besteht, zu vermeiden, dass dem Verantwortlichen bzw. der Aufsichtsbehörde eine unverhältnismäßige Belastung auferlegt wird, die geeignet ist, ihr ordnungsgemäßes Funktionieren zu beeinträchtigen.
Daraus schließt der Generalanwalt, dass eine Aufsichtsbehörde, um von der in Art. 57 Abs. 4 DSGVO vorgesehenen Möglichkeit Gebrauch zu machen, anhand aller relevanten Umstände jedes Einzelfalls feststellen muss, dass ein missbräuchliches Vorgehen der betroffenen Person vorliegt, wofür die Anzahl der von dieser Person eingereichten Beschwerden allein nicht ausreicht.
Sowohl Art. 12 Abs. 5 DSGVO als auch Art. 57 Abs. 4 DSGVO spiegele die ständige Rechtsprechung des Gerichtshofs wider, nach der es im Unionsrecht einen allgemeinen Rechtsgrundsatz gibt, wonach sich die Bürger nicht in betrügerischer oder missbräuchlicher Weise auf unionsrechtliche Normen berufen dürfen.
Art. 57 Abs. 4 DSGVO sei daher eng auszulegen, was ausschließe, dass die bloße Berücksichtigung der Anzahl der Beschwerden, so groß sie auch sein mag, als Rechtfertigung für die Anwendung dieser Bestimmung durch eine Aufsichtsbehörde ausreiche.
„Um festzustellen, dass im Fall von häufiger Wiederholung exzessive Anfragen vorliegen, genügt es daher nicht, dass eine betroffene Person Beschwerden bei einer Aufsichtsbehörde einreicht, deren Anzahl deutlich über der durchschnittlichen Anzahl der Beschwerden liegt, die die jeweils betroffene Person einreicht, was zu einem überdurchschnittlich hohen Bearbeitungsaufwand für die Behörde führt. […] Eine Aufsichtsbehörde kann daher ihre Weigerung gemäß Art. 57 Abs. 4 DSGVO, aufgrund einer Beschwerde tätig zu werden, nicht darauf stützen, dass eine betroffene Person, die eine große Anzahl von Beschwerden einreicht, erhebliche Ressourcen der Behörde in Anspruch nimmt, was die Befassung mit anderen Beschwerden beeinträchtigt, die andere Personen einreichen.“ (Rn. 75)
Zudem sei es schwierig, einen quantitativen Schwellenwert festzulegen, ab dem Beschwerden aufgrund ihrer Anzahl als „exzessiv“ eingestuft werden könnten. Insoweit könne eine isolierte Betrachtung der Anzahl der Beschwerden zu einer willkürlichen Beeinträchtigung des Rechtsschutzes führen, den eine betroffene Person aufgrund der DSGVO genießt. Nach Ansicht des Generalanwalts müsse vielmehr eine missbräuchliche Absicht der Person nachgewiesen werden, die die Beschwerden einreicht, um festzustellen, dass exzessive Anfragen vorliegen.
Es obliege der Aufsichtsbehörde, bei der eine große Anzahl von Beschwerden eingereicht wird, nachzuweisen, dass diese Anzahl nicht durch den Wunsch der betroffenen Person zu erklären ist, ihre Rechte aus der DSGVO zu schützen, sondern durch einen anderen Zweck, der in keinem Zusammenhang mit diesem Schutz steht. Dies gälte insbesondere dann, wenn sich aus den Umständen ergibt, dass die große Anzahl von Beschwerden darauf abzielt, das ordnungsgemäße Funktionieren der Behörde zu beeinträchtigen, indem ihre Ressourcen ohne berechtigten Grund in Anspruch genommen werden.
Beispielsfälle des Generalanwalts
Der Würdigung des Generalanwalts lassen sich Beispiele entnehmen, bei deren Vorliegen zumindest der Generalanwalt von einer exzessiven Anfrage ausgeht:
Die „[…] Häufung von Beschwerden [kann] ein Indiz für exzessive Anfragen einer betroffenen Person sein, wenn sich herausstellt, dass die Beschwerden nicht objektiv durch Erwägungen gerechtfertigt sind, die sich auf den Schutz der Rechte beziehen, die die DSGVO dieser Person verleiht.
Dies kann z. B. dann der Fall sein, wenn Beschwerden denselben Verantwortlichen betreffen, denselben Inhalt haben, sich auf dieselben Verpflichtungen aus der DSGVO beziehen und in übertrieben kurzen Zeitabständen eingereicht werden, ohne dass eine Änderung der tatsächlichen Umstände dies rechtfertigt und damit die Absicht der betroffenen Person erkennen lassen, das ordnungsgemäße Funktionieren der Aufsichtsbehörde zu beeinträchtigen, anstatt den Schutz der ihr durch diese Verordnung verliehenen Rechte zu erreichen.
Ein weiteres Beispiel für exzessive Anfragen im Fall von häufiger Wiederholung könnte die Situation betreffen, in der eine Person eine so große Anzahl von Beschwerden bei einer Aufsichtsbehörde einreicht, die eine Vielzahl von Verantwortlichen betreffen, zu denen sie nicht unbedingt einen Bezug hat, dass diese übermäßige Inanspruchnahme ihres Rechts, Beschwerden einzureichen, in Verbindung mit anderen Gesichtspunkten wie dem Inhalt der Beschwerden ihre Absicht belegt, die Behörde zu lähmen, indem sie sie mit Anfragen überflutet.“ (Rn. 80)
Da nach Ansicht des Generalanwalts Art. 12 Abs. 5 und Art. 57 Abs. 4 DSGVO gleich auszulegen sind, könnten die genannten Beispielsfälle auch von Verantwortlichen bei der Prüfung, ob ein Auskunftsbegehren ggf. verweigert werden kann, herangezogen werden. Zumindest sofern der EuGH in seinem Urteil sich den Ausführungen des Generalanwalts anschließen sollte.