EuGH zu DSGVO-Massenanfragen

Ausgangsverfahren

Im vom EuGH zu entscheidenden Fall wandte sich eine natürliche Person in Österreich gegen die örtliche Datenschutzbehörde, die sich weigerte, ihren datenschutzrechtlichen Beschwerden nachzugehen. Über einen Zeitraum von 20 Monaten hatte der Bürger insgesamt 77 Beschwerden über mögliche Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) bei der Behörde eingereicht. Zusätzlich hatte er die Behörde in regelmäßigen Abständen telefonisch kontaktiert und weitere Anfragen gestellt.

Die Datenschutzbehörde verweigerte daraufhin die Bearbeitung der Beschwerden mit dem Argument, dass sie aufgrund der hohen Anzahl der Anfragen nicht zur Beantwortung verpflichtet sei. Dabei berief sie sich auf Art. 57 Abs. 4 DSGVO, der besagt, dass die Aufsichtsbehörde Anfragen ablehnen kann, wenn diese offenkundig unbegründet oder exzessiv sind.

Mit der Beschwerde gegen den daraufhin von der DSB erlassenen Bescheid war das österreichische Bundesverwaltungsgericht befasst, welches den Bescheid aufhob. Nach Revision der Behörde legte der österreichische Verwaltungsgerichtshof die Rechtsfragen dem EuGH vor. Dieser hatte zunächst zu klären, ob von dem Begriff „Anfrage“ i.S.d. Art. 57 Abs. 4 DSGVO auch nach Art. 77 Abs. 1 DSGVO eingereichte Beschwerden erfasst sind. Zweitens hatte der EuGH zu entscheiden, unter welchen Bedingungen Anfragen von betroffenen Personen als „exzessiv“ gelten und inwiefern Aufsichtsbehörden berechtigt sind, solche Anfragen abzulehnen oder Gebühren zu erheben.

Auslegung des EuGH

Auf die erste Vorlagefrage hin stellte der EuGH klar, dass der Begriff der „Anfrage“ in Artikel 57 Abs. 4 DSGVO weit auszulegen ist und ausdrücklich auch Beschwerden nach Artikel 77 Abs. 1 DSGVO mit einschließt. Aufsichtsbehörden können sich somit auch im Rahmen von Beschwerdeverfahren auf die Regelung des Art. 57 Abs. 4 DSGVO berufen.

Weiter entschied der EuGH, dass Aufsichtsbehörden grundsätzlich berechtigt sind, Maßnahmen wie die Ablehnung von Anfragen oder auch die Erhebung von Gebühren zu ergreifen, wenn die Anfragen offenkundig unbegründet und exzessiv sind. Dafür müssen jedoch genaue Kriterien angewendet werden, damit die Rechte der betroffenen Personen nicht unverhältnismäßig eingeschränkt und der Schutz personenbezogener Daten gemäß der DSGVO gewährleistet werden. So liegen „exzessive“ Anfragen erst dann vor, wenn der Bürger sein Beschwerderecht missbrauchen will, etwa um gezielt die Behörde durch eine Überflutung mit Beschwerden zu lähmen. Eine „exzessive Anfrage“ muss nicht nur häufig wiederholt werden, sondern muss auch schikanös oder missbräuchlich sein. Dies muss die insoweit beweisbelastete Behörde dem Bürger jedoch zunächst nachweisen. Gelingt ihr dies, steht es sodann der Behörde frei, wie sie mit den Anfragen umgeht. So kann sie die exzessiven Beschwerden zurückweisen oder alternativ eine angemessene Gebühr für die Bearbeitung erheben.

In sonstigen Fällen, in denen ein Bürger eine Vielzahl von Beschwerden in kurzer Zeit einreicht, berechtigt allein dieser Umstand die Behörde noch nicht, von der Bearbeitung abzusehen. Insbesondere stellte der EuGH klar, dass die Mitgliedstaaten sicherzustellen haben, dass jede Aufsichtsbehörde mit den personellen, technischen und finanziellen Ressourcen, Räumlichkeiten und Infrastrukturen ausgestattet wird, die sie benötigt, um ihre Aufgaben und Befugnisse effektiv wahrnehmen zu können und sich mit allen bei ihnen eingereichten Beschwerden befassen zu können.

Folgen der Entscheidung

Auch in anderen EU-Staaten sehen sich die Datenschutzbehörden vermehrt mit hohen Beschwerdezahlen konfrontiert. Teilweise werden sogar unter falschem Namen mehrere Beschwerden eingereicht. In solchen Extremfällen werden die Behörden auch nach dem Urteil des EuGH in der Lage sein, die erforderliche Missbrauchsabsicht nachzuweisen. Dann hat die Aufsichtsbehörde grundsätzlich die Wahl, ob sie eine Verwaltungsgebühr erhebt oder die Bearbeitung einer exzessiven Anfrage verweigert. Die Behörde muss jedoch aufgrund der Umstände des Einzelfalles verhältnismäßig handeln. So kann etwa die Erhebung einer Gebühr für den Bürger weniger einschränkend sein als die Ablehnung der Bearbeitung.

Die Erhebung von Gebühren für oder die Verweigerung der Bearbeitung von derartigen Anfragen kann die Behörden also entlasten. Abgesehen von solchen nachweisbar missbräuchlichen Fällen bedeutet das Urteil für die Datenschutzbehörden jedoch einen Mehraufwand. Sie müssen sich auch mit großen Zahlen von Beschwerden auseinandersetzen, selbst wenn dies große Teile der Behördenkapazitäten bindet.