Geschäftsmodell: Datenschutz
EuGH muss über Auskunftsverweigerung entscheiden
Der EuGH soll entscheiden, wann die Geltendmachung des Auskunftsrecht nach DS-GVO rechtsmissbräuchlich ist und entsprechend verweigert werden kann.
Werden personenbezogene Daten verarbeitet, haben Betroffene nach Artikel 15 der Datenschutz-Grundverordnung (DS-GVO) das Recht, vom Verantwortlichen Auskunft darüber zu verlangen, ob, wie und wozu ihre Daten verarbeitet werden. Dass eine solche Anfrage möglicherweise unter Umständen rechtsmissbräuchlich sein kann, zeigen die dem Europäischen Gerichtshof (EuGH) vorgelegten Fragen aus dem aktuellen Beschluss des Amtsgerichts Arnsberg (AG Arnsberg, Beschluss vom 31.07.2024 - 42 C 434/23).
Anfragender provoziert Schadensersatzansprüche
In dem vom Gericht zu entscheidenden Fall hatte sich ein Mann für einen Newsletter angemeldet und dafür zahlreiche personenbezogene Daten angegeben. Kurz darauf machte er gegenüber der Betreiberin von seinem Auskunftsrecht aus Artikel 15 DS-GVO Gebrauch und verlangte Information darüber, welche seiner Daten bei der Betreiberin verarbeitet wurden. Das war nicht sein erstes Mal. Denn tatsächlich zeigten Berichte von Anwälten, dass der Anfragende ein ganzes Geschäftsmodell auf Grundlage der DS-GVO errichtet hatte. Bei unterschiedlichen Anbietern gab er seine personenbezogenen Daten an und macht dann von dem Auskunftsrecht Gebrauch, um Verstöße gegen den Datenschutz zu provozieren. Bei Gelingen folgten Schadensersatzansprüche gegen den jeweiligen Anbieter.
Im streitigen Fall verweigerte der Anbieter des Newsletters die Auskunft wegen Rechtsmissbrauchs. Der Nutzer forderte daraufhin eine Entschädigung in Höhe von 1.000 Euro.
AG ruft EuGH an
Das AG musste zur Entscheidung des Falles den EuGH heranziehen. Zwar könne nach Artikel 12 Absatz 5 Satz 2 DS-GVO die Auskunft durch den Verantwortlichen bei „exzessiven Anträgen“ verweigert werden, allerdings sei nicht eindeutig, ob „exzessive Anträge“ nur solche Anträge beim selben oder auch bei mehreren Verantwortlichen meint.
Auch soll der EuGH klären, ob für den Entschädigungsanspruch des Anfragenden der Artikel 82 Absatz 1 DS-GVO als Anspruchsgrundlage in Betracht kommt. Dafür müsse festgestellt werden, ob die alleinige Verletzung des Auskunftsrechts einen Verstoß im Sinne des Artikel 82 DS-GVO darstellt.
Datenschutz im on- und offline
Für eine endgültige Entscheidung in diesem Fall bleibt nun abzuwarten, wie der EuGH die relevanten Normen auslegt. Dennoch zeigt sich bereits jetzt die zentrale Bedeutung der Einhaltung der DS-GVO. Dies betrifft nicht nur die Arbeit im digitalen Raum; auch offline müssen Unternehmen sicherstellen, dass ihre Arbeitsprozesse den Anforderungen der DS-GVO genügen. Nur durch eine dem Datenschutzrecht entsprechende Vorgehensweise können rechtliche Konsequenzen, dabei vor allem mögliche Bußgelder und Schadensersatzansprüche, vermieden werden.