Gezielte Grenzziehung im Auskunftsrecht
Das Urteil in der Rechtssache C-526/24 markiert eine Zäsur. Während der EuGH das Auskunftsrecht nach Art. 15 DSGVO in der Vergangenheit (etwa im Urteil FT, C-307/22) stetig ausweitete, setzt er nun erstmals ein substanzielles Korrektiv durch den Einwand des Rechtsmissbrauchs.
Rechtsmissbrauch: Qualitative statt rein quantitativer Prüfung
Der EuGH bestätigt, dass auch ein erstmaliger Auskunftsantrag „exzessiv“ im Sinne von Art. 12 Abs. 5 DSGVO sein kann. Entscheidend ist dabei die missbräuchliche Absicht, nicht die bloße Anzahl der Anfragen. Der Gerichtshof überträgt hierfür die zweistufige Prüfung (objektives und subjektives Element) aus seiner bisherigen Missbrauchsrechtsprechung auf das Verhältnis zwischen Betroffenen und Verantwortlichen. Diese methodische Übertragung gründet darauf, dass die zu Art. 57 Abs. 4 DSGVO entwickelten Grundsätze aufgrund des identischen Wortlauts und Zwecks auf Art. 12 Abs. 5 DSGVO übertragbar sind.
Nach Ansicht des EuGH sind für den Nachweis einer missbräuchlichen Verhaltensweise zwei Elemente erforderlich:
- Ein objektives Element: Umstände, aus denen folgt, dass das Ziel der Regelung trotz formaler Einhaltung nicht erreicht wurde.
- Ein subjektives Element: Die Absicht, sich künstlich die Voraussetzungen für einen Vorteil aus der DSGVO (wie etwa Schadensersatz) zu verschaffen
Bemerkenswert ist in diesem Zusammenhang, dass der EuGH es ausdrücklich für zulässig hält, auch öffentlich zugängliche Informationen über ein systematisches Vorgehen mit Auskunftsanträgen und anschließenden Schadensersatzforderungen zu berücksichtigen. Solche Informationen müssen jedoch durch weitere relevante Anhaltspunkte im Einzelfall bestätigt werden. Hierzu zählen insbesondere die zwischen Datenbereitstellung und Auskunftsantrag verstrichene Zeit – im Ausgangsverfahren lediglich 13 Tage – sowie das allgemeine Verhalten der betroffenen Person.
Damit liefert das Urteil unionsrechtliche Maßstäbe für eine Frage, die in der deutschen Rechtsprechung bislang nicht einheitlich beantwortet wurde: Während einige deutsche Oberlandesgerichte (etwa das OLG Hamm) datenschutzfremde Motive bereits als Indiz für Rechtsmissbrauch werteten, lehnten andere (etwa das OLG Köln) eine Motivprüfung bislang strikt ab. Nun legitimiert der Gerichtshof die Motivprüfung ausdrücklich für Fälle künstlich geschaffener Klagegründe.
Haftung ohne „Verarbeitung“: Ein dogmatischer Durchbruch
Besonders praxisrelevant ist die Aussage des Gerichtshofs zu Art. 82 Abs. 1 DSGVO: Ein Schadensersatzanspruch kann auch bei Verstößen entstehen, die keine direkte Datenverarbeitung implizieren, wie die bloße rechtswidrige Verweigerung einer Auskunft.
Der Gerichtshof stützt dies auf den Wortlaut von Art. 82 Abs. 1 DSGVO, der allgemein an einen „Verstoß gegen diese Verordnung“ anknüpft, sowie auf die systematische Stellung der Norm in Kapitel VIII der DSGVO. Geschützt werden danach nicht nur Vorgänge der Datenverarbeitung im engeren Sinne, sondern auch die in Kapitel III geregelten Betroffenenrechte, zu denen gerade das Auskunftsrecht gehört.
Der EuGH korrigiert damit eine restriktive Lesart seines Urteils Österreichische Post (C-300/21). Er stellt klar, dass Art. 82 Abs. 2 DSGVO den Absatz 1 lediglich „ergänzt“, ihn aber nicht auf reine Verarbeitungsvorgänge beschränkt. Dies stärkt das Schutzniveau für Betroffene einerseits und erweitert die Haftung von Verantwortlichen andererseits und hat unmittelbare Folgen für anhängige Verfahren.
Das eigentliche Novum: Kausalitätsunterbrechung durch Eigenverhalten
Von besonderem Interesse ist schließlich die Aussage des EuGH zum Kausalzusammenhang. Der EuGH geht über die Schlussanträge des Generalanwalts (wir berichteten) hinaus, indem er die Kausalitätsunterbrechung als zentrales Verteidigungsinstrument für Verantwortliche etabliert. Gestützt auf die allgemeine Haftungsrechtsprechung (WS u. a./Frontex) stellt das Gericht fest, dass das Eigenverhalten der betroffenen Person den Kausalzusammenhang unterbrechen kann.
Wer eine Datenverarbeitung gezielt herbeiführt, um Klagegründe zu provozieren, kann unter Umständen sein Verhalten zur „entscheidenden Ursache“ des Schadens machen. Dies kann zum vollständigen Ausschluss der Haftung des Verantwortlichen führen. Für die Verteidigungspraxis eröffnet dies einen zusätzlichen Argumentationsansatz, ohne dass der EuGH die Anforderungen an den Nachweis eines tatsächlichen Schadens herabsetzt.
Kontrollverlust und offene Fragen
Zwar bleibt der EuGH dabei, dass ein bloßer Kontrollverlust einen ersatzfähigen immateriellen Schaden ohne Bagatellgrenze darstellen kann. Ein solcher Schaden wird jedoch nicht vermutet, vielmehr muss die betroffene Person nachweisen, dass ihr tatsächlich ein immaterieller Schaden entstanden ist. Zudem darf ihr eigenes Verhalten nicht die entscheidende Ursache dieses Schadens sein.
Offen bleibt, wie nationale Gerichte die Schwelle der „entscheidenden Ursache“ und die Höhe des Schadens in Fallgestaltungen bestimmen werden, in denen sowohl das Verhalten des Verantwortlichen als auch das Verhalten der betroffenen Person zum behaupteten Schaden beigetragen haben. Auch die Frage, ob serielle Anfragen durch Verbände oder Legal-Tech-Modelle dem Missbrauchsvorbehalt unterliegen, wird die Praxis weiter beschäftigen.
Handlungsempfehlungen für Verantwortliche
Für Verantwortliche, die potenziell mit missbräuchlichen Auskunftsanfragen konfrontiert werden, liegt der praktische Wert des Urteils insbesondere in den Hinweisen zur strukturierten Vorbereitung:
- Auskunftsanträge sollten nicht ohne sorgfältige Prüfung zurückgewiesen werden. Auch im Falle eines Verdachts auf Missbrauch bleibt Art. 12 Abs. 5 DSGVO eine eng auszulegende Ausnahme.
- Verantwortliche sollten interne Prüfprozesse definieren und festlegen, wann die/der Datenschutzbeauftragte, die Rechtsabteilung oder externer Rechtsbeistand eingebunden und nach welchen Kriterien ein Missbrauchseinwand geprüft wird.
- Bei entsprechenden Hinweisen ist zu prüfen und dokumentieren, ob das Verhalten der betroffenen Person die entscheidende Ursache eines geltend gemachten Schadens war.
Fazit
Mit dem Urteil in der Rechtssache C-526/24 stärkt der EuGH einerseits die Reichweite des Schadensersatzanspruchs aus Art. 82 DSGVO, indem er ihn ausdrücklich auch auf Verletzungen des Auskunftsrechts erstreckt. Andererseits zieht er im Bereich des Art. 12 Abs. 5 DSGVO eng begrenzte, aber praktisch bedeutsame Missbrauchsschranken und damit ein wichtiges Korrektiv ein. Besonders hervorzuheben ist, dass der EuGH dem Eigenverhalten der betroffenen Person auch auf der Ebene des Kausalzusammenhangs Gewicht beimisst. Er bewahrt auf diese Weise die DSGVO als Instrument zum Schutz der Grundrechte und verhindert ihre Instrumentalisierung für rein monetäre Zwecke bei provozierten Rechtsverstößen.
