Rechtsmissbrauch im Datenschutz: Neue Leitlinien zu Auskunftsanträgen 

von RA Clemens Handl und juristischer Mitarbeiterin Annika Clarissa Grassmayr

Das Auskunftsrecht nach Art 15 DSGVO zählt zu den zentralen Instrumenten des europäischen Datenschutzrechts. Es soll betroffenen Personen Transparenz darüber verschaffen, ob und wie ihre personenbezogenen Daten verarbeitet werden. In einer aktuellen Entscheidung hat sich der Europäische Gerichtshof (EuGH) mit der Frage befasst, ob dieses Recht auch missbräuchlich ausgeübt werden kann – und welche Folgen dies für Schadenersatzansprüche hat.

1. Der Sachverhalt: Newsletter-Anmeldung und Auskunftsantrag

Ausgangspunkt war ein Fall, in dem sich eine in Österreich wohnhafte Person im März 2023 für den Newsletter eines Unternehmens anmeldete und dabei personenbezogene Daten übermittelte. Bereits 13 Tage später stellte sie einen Auskunftsantrag nach Art 15 DSGVO. Das Unternehmen lehnte den Antrag innerhalb der gesetzlichen Frist ab und argumentierte, dieser sei exzessiv beziehungsweise missbräuchlich im Sinne von Art 12 Abs. 5 DSGVO. Zur Begründung führte es an, die betroffene Person verfolge ein systematisches Vorgehen: Sie melde sich gezielt bei Newslettern an, stelle anschließend Auskunftsanträge und mache danach Schadenersatzansprüche geltend, um bewusst DSGVO-Verstöße zu provozieren.

Die betroffene Person hielt dem entgegen, dass es sich um eine legitime Ausübung ihres Auskunftsrechts handle. Sie sah in der Verweigerung der Auskunft eine Verletzung ihrer Betroffenenrechte und verlangte zusätzlich immateriellen Schadenersatz in Höhe von 1.000 Euro nach Art 82 DSGVO. Der Fall gelangte schließlich vor den EuGH, da das nationale Gericht insbesondere klären wollte, ob bereits ein erstmaliger Auskunftsantrag als exzessiv eingestuft werden kann, wann ein Rechtsmissbrauch vorliegt und ob ein Schadenersatzanspruch auch ohne konkrete Datenverarbeitung möglich ist.

2. Die zentrale Frage: Wann ist ein Auskunftsantrag „exzessiv“?

Der EuGH stellte zunächst klar, dass das Auskunftsrecht ein grundlegendes Recht darstellt und grundsätzlich unentgeltlich zu gewähren ist. Die Möglichkeit, einen Antrag als exzessiv abzulehnen, sei daher eine eng auszulegende Ausnahme. Gleichzeitig betonte der Gerichtshof jedoch, dass der Begriff „exzessiv“ nicht allein quantitativ zu verstehen ist. Er beschränkt sich also nicht auf häufig wiederholte Anträge, sondern kann auch einen erstmaligen Antrag erfassen. Entscheidend ist vielmehr, ob ein Rechtsmissbrauch vorliegt.

Ein solcher Missbrauch setzt nach der Rechtsprechung des EuGH zwei Elemente voraus: Zum einen müssen die Voraussetzungen der DSGVO zwar formal eingehalten sein, das Ziel der Regelung jedoch verfehlt werden. Zum anderen muss eine subjektive Absicht bestehen, sich einen Vorteil – etwa einen Schadenersatzanspruch – künstlich zu verschaffen. Maßgeblich ist somit eine Gesamtbetrachtung aller Umstände des Einzelfalls. Dabei können unter anderem die freiwillige Angabe der Daten, der kurze Zeitraum zwischen Dateneingabe und Auskunftsantrag sowie ein systematisches Verhalten der betroffenen Person berücksichtigt werden. Auch öffentlich zugängliche Informationen über ein solches Vorgehen dürfen einbezogen werden, sofern sie durch weitere Umstände gestützt werden. Die Beweislast für das Vorliegen eines missbräuchlichen Verhaltens trägt jedoch das Unternehmen.

Auf dieser Grundlage gelangte der EuGH zu dem Ergebnis, dass auch ein erstmaliger Auskunftsantrag als exzessiv eingestuft werden kann, wenn er in missbräuchlicher Absicht gestellt wurde. Insbesondere gilt dies dann, wenn der Antrag nicht darauf abzielt, Informationen über die Datenverarbeitung zu erhalten, sondern lediglich dazu dient, Schadenersatzansprüche zu generieren.

3. Schadenersatz auch ohne Datenverarbeitung?

Von besonderer Bedeutung ist darüber hinaus die Auslegung des Art 82 DSGVO. Der EuGH stellte klar, dass ein Schadenersatzanspruch nicht nur bei rechtswidriger Verarbeitung personenbezogener Daten besteht. Vielmehr erfasst diese Vorschrift sämtliche Verstöße gegen die DSGVO, einschließlich der Verletzung von Betroffenenrechten wie dem Auskunftsrecht. Dies bedeutet, dass auch die bloße Verweigerung einer Auskunft einen Schadenersatzanspruch auslösen kann, selbst wenn keine eigenständige Datenverarbeitung vorliegt. Eine andere Auslegung würde nach Ansicht des Gerichtshofs die praktische Wirksamkeit der DSGVO beeinträchtigen.

Gleichzeitig stellte der EuGH klar, dass ein Anspruch auf Schadenersatz nicht automatisch bei jedem Verstoß entsteht. Vielmehr müssen drei Voraussetzungen kumulativ erfüllt sein: Es muss ein Verstoß gegen die DSGVO vorliegen, ein tatsächlicher Schaden entstanden sein und ein ursächlicher Zusammenhang zwischen beiden bestehen. Als immaterieller Schaden kommen insbesondere der Verlust der Kontrolle über personenbezogene Daten oder die Unsicherheit über deren Verarbeitung in Betracht. Allerdings reicht eine bloße Befürchtung nicht aus; der Schaden muss konkret nachgewiesen werden.

Besonders hervorzuheben ist, dass der erforderliche Kausalzusammenhang auch entfallen kann, wenn das Verhalten der betroffenen Person selbst die maßgebliche Ursache für den geltend gemachten Schaden darstellt. Dies ist etwa dann der Fall, wenn die betroffene Person bewusst eine Situation herbeiführt, um anschließend Schadenersatzansprüche geltend zu machen.

4. Rechtliche Einordnung

Insgesamt verdeutlicht die Entscheidung, dass der EuGH eine ausgewogene Linie verfolgt. Einerseits stärkt er die Rechte betroffener Personen, indem er den Anwendungsbereich des Schadenersatzanspruchs erweitert und klarstellt, dass auch die Verletzung von Betroffenenrechten erfasst ist. Andererseits setzt er dem Missbrauch dieser Rechte klare Grenzen, indem er betont, dass exzessive Anträge auch bei einmaliger Stellung vorliegen können und dass ein tatsächlicher Schaden nachgewiesen werden muss.

Für die Praxis bedeutet dies, dass Unternehmen Auskunftsanträge sorgfältig prüfen und nur in klar begründeten Ausnahmefällen ablehnen sollten. Gleichzeitig zeigt die Entscheidung, dass strategisch oder missbräuchlich eingesetzte Anträge nicht schutzwürdig sind und entsprechende Ansprüche scheitern können. Damit trägt das Urteil zu einer differenzierten und praxisnahen Fortentwicklung des europäischen Datenschutzrechts bei.