Am 9. Januar 2025 entschied der Europäische Gerichtshof (EuGH) hinsichtlich der Beschränkung von Datenschutzbeschwerden auf Grund von „exzessiven Anfragen“ (C‑416/23).

Grundsätzlich steht jeder betroffenen Person nach Art. 77 DSGVO das Recht auf Beschwerde bei einer Aufsichtsbehörde zu, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt.

Von diesem Recht wollte ein österreichischer Bürger in den Jahren 2019 und 2020 insgesamt 77 Mal Gebrauch machen, was die österreichische Aufsichtsbehörde schließlich dazu veranlasste die Anträge unter Verweis darauf, dass sie exzessiv seien, abzulehnen (Art. 57 Abs. 4 DSGVO). Die Anträge des Beschwerdeführers richteten sich dabei gegen unterschiedliche Sachverhalte und unterschiedliche Verantwortliche.

Auffassung des Österreichischen Bundesverwaltungsgerichts

Gegen diese Ablehnung erhob der Beschwerdeführer zunächst Beschwerde beim Österreichischen Bundesverwaltungsgericht, welches im Wesentlichen die Auffassung vertrat, „dass die exzessive Natur von Anfragen im Sinne von Art. 57 Abs. 4 DSGVO nicht nur eine häufige Wiederholung, sondern auch einen offensichtlich schikanösen bzw. rechtsmissbräuchlichen Charakter der Anfragen voraussetze“. Ein solches missbräuchliches Verhalten ging nach Einschätzung des Gerichts aus dem Ablehnungsbescheid jedoch nicht hervor.

Das österreichische Gericht setzte das Verfahren aus und legte die nachfolgenden Fragen zur Vorabentscheidung beim EuGH vor:

  1. „Ist der Begriff ‚Anfragen‘ oder ‚Anfrage‘ in Art. 57 Abs. 4 DSGVO dahin auszulegen, dass darunter auch ‚Beschwerden‘ nach Art. 77 Abs. 1 DSGVO zu verstehen sind?
  1. Ist Art. 57 Abs. 4 DSGVO so auszulegen, dass es für das Vorliegen von ‚exzessiven Anfragen‘ bereits ausreicht, dass eine betroffene Person bloß innerhalb eines bestimmten Zeitraums eine bestimmte Zahl von Anfragen (Beschwerden nach Art. 77 Abs. 1 DSGVO) an eine Aufsichtsbehörde gerichtet hat, unabhängig davon, ob es sich um unterschiedliche Sachverhalte handelt und/oder die Anfragen (Beschwerden) unterschiedliche Verantwortliche betreffen, oder bedarf es neben der häufigen Wiederholung von Anfragen (Beschwerden) auch einer Missbrauchsabsicht der betroffenen Person?
  2. Ist Art. 57 Abs. 4 DSGVO so auszulegen, dass die Aufsichtsbehörde bei Vorliegen einer ‚offenkundig unbegründeten‘ oder ‚exzessiven‘ Anfrage (Beschwerde) frei wählen kann, ob sie eine angemessene Gebühr auf der Grundlage der Verwaltungskosten für deren Bearbeitung verlangt oder deren Bearbeitung von vornherein verweigert; verneinendenfalls, welche Umstände und welche Kriterien die Aufsichtsbehörde zu berücksichtigen hat, insbesondere ob die Aufsichtsbehörde verpflichtet ist, vorrangig als gelinderes Mittel eine angemessene Gebühr zu verlangen, und erst im Fall der Aussichtslosigkeit einer Gebühreneinhebung zur Hintanhaltung offenkundig unbegründeter oder exzessiver Anfragen (Beschwerden) berechtigt ist, deren Bearbeitung zu verweigern?“

Die vorgebrachten Fragen entschied der EuGH wie folgt:

Zu 1: Der Wortlaut und der Kontext der in Rede stehenden Bestimmungen lässt den Schluss zu, dass der Begriff „Anfragen“ in Art. 57 Abs.4 DSGVO dahingehend auszulegen ist, dass auch Beschwerden nach Art. 77 Abs. 1 DSGVO davon umfasst sind.

Zu 2: Allein die hohe Anzahl von Beschwerden innerhalb eines bestimmten Zeitraums kann nicht als Indiz dafür herangezogen werden, dass es sich um „exzessive Anträge“ handelt. Vielmehr muss nachzuweisen sein, dass ein missbräuchliches Verhalten der betroffenen Person vorliegt.

Zu 3: Bei der Ausübung des Ermessens hat die Aufsichtsbehörde sicherzustellen, dass die relevanten Umstände des Einzelfalls berücksichtigt werden und die „gewählte Option geeignet, erforderlich und verhältnismäßig ist“.

 Fazit

Dieses Urteil stärkt die Rechte der betroffenen Personen, indem es sicherstellt, dass legitime Beschwerden nicht aufgrund bloßer Quantität abgewiesen werden dürfen.

Die Entscheidung unterstreicht die Notwendigkeit, jede Beschwerde individuell zu prüfen und sicherzustellen, dass Maßnahmen zur Begrenzung von Anfragen nicht pauschal, sondern nur in Fällen von tatsächlichem Missbrauch ergriffen werden. Für Aufsichtsbehörden, die bisher bereits die Vielzahl von Anträgen für eine Ablehnung ausreichen ließen, bedeutet dies künftig einen höheren Bearbeitungsaufwand.

Für betroffene Personen bedeutet dies, dass sie ihre Rechte unter der DSGVO weiterhin uneingeschränkt geltend machen können, ohne befürchten zu müssen, dass ihre Beschwerden allein aufgrund ihrer Anzahl abgewiesen werden. Dies fördert einen effektiven Schutz personenbezogener Daten und stärkt das Vertrauen in die Durchsetzung der Datenschutzrechte innerhalb der EU.

| | , | , , , ,