DS-GVO-Anfragen als Geschäftsmodell: Darf die Auskunft verweigert werden?

Darf die Auskunft auf eine Anfrage nach Art. 15 DS-GVO verweigert werden, wenn der Anfragende bekanntermaßen solche Auskünfte verlangt, um Schadensersatzansprüche zu provozieren? Das AG Arnsberg hat den EuGH eingeschaltet und ihm eine Reihe von Fragen vorgelegt.

Ein Mann meldete sich mit seinen persönlichen Daten auf einer Website für einen Newsletter an. Anschließend verlangte er von der Betreiberin Auskunft nach Art. 15 DS-GVO darüber, welche personenbezogenen Daten über ihn verarbeitet werden. Die Betreiberin verweigerte die Auskunft wegen Rechtsmissbrauchs, woraufhin der Mann 1.000 Euro Entschädigung forderte.

Die Betreiberin erhob eine negative Feststellungsklage darauf, dass ein solcher Anspruch nicht besteht. Ihr zufolge hat es sich der Mann zum Geschäftsmodell gemacht, durch DS-GVO-Anfragen datenschutzrechtliche Verstöße zu provozieren und dann Schadensersatz zu fordern. Dies zeigten Blogbeiträge und Berichte von Anwälten, die sein Vorgehen in vielen Fällen dokumentierten. Der Mann wandte ein, dass das Auskunftsrecht bedingungslos sei und die Motive für eine Anfrage keine Rolle spielten. Mit einer Widerklage machte er unter anderem seine Entschädigungsforderung geltend.

Das AG hat das Verfahren ausgesetzt und den EuGH eingeschaltet, um mehrere Fragen zur Auslegung der DS-GVO zu klären (Beschluss vom 31.07.2024 - 42 C 434/23). Dabei geht es zum einen um die Voraussetzungen, unter denen ein Auskunftsverlangen als rechtsmissbräuchlich abgelehnt werden kann. Nach Art. 12 Abs. 5 S. 2 DS-GVO kann der Verantwortliche sich bei "exzessiven Anträgen" weigern, tätig zu werden. Laut AG ist dabei unklar, ob dafür auch schon eine erstmalige Anfrage bei dem Verantwortlichen ausreichen kann und ob eine Auskunft verweigert werden kann, wenn mit der DS-GVO-Anfrage Schadenersatzansprüche provoziert werden sollen. Es sei auch fraglich, ob sich ein Weigerungsrecht auf öffentliche Informationen über das Verhalten des Anfragenden stützen lasse.

Zum anderen drehen sich die Fragen darum, ob sich (allein) aus einer Verletzung des Auskunftsrechts auch ein Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO ergeben kann. Das AG möchte unter anderem wissen, ob für einen solchen Anspruch eine Verarbeitung von personenbezogenen Daten erforderlich ist. Für den Fall, dass der Betroffene einen Schadensersatzanspruch haben kann, soll der EuGH klären, ob schon der mit einem Verstoß verbundene Kontrollverlust des Betroffenen über die Verarbeitung seiner Daten einen immateriellen Schaden begründet oder der Betroffene darüber hinaus spürbar beeinträchtigt sein müsse.

AG Arnsberg, Beschluss vom 31.07.2024 - 42 C 434/23

Redaktion beck-aktuell, hs, 3. September 2024.