Der EuGH hatte in Rs. C‑526/24 i.S. Brillen Rottler zu beurteilen, ob ein erstmaliges Auskunftsbegehren als “exzessiv” i.S.v. von Art. 12 Abs. 5 DSGVO sein kann. Das trifft zu, und die Voraussetzungen sind nicht einmal weit vom schweizerischen Recht – der Zweckwidrigkeit des Begehrens – entfernt. Eine weitere Frage betraf erneut den Schadenersatz.
Hintergrund war ein Auskunftsbegehren einer in Österreich wohnhaften Person, die sich für einen Newsletter von Brillen Rottler angemeldet hatte, einem Optikerunternehmen in Deutschland. Knapp zwei Wochen später stellte diese Person ein Auskunftsbegehren, das Brillen Rottler als missbräuchlich zurückgewiesen hat. Die betroffene Person verlangte in der Folge weiterhin Auskunft und Schadenersatz von EUR 1000 – offensichtlich ein systematisches Vorgehen. Das Amtsgericht Arnsberg legte dem EuGH im folgenden Verfahren acht Fragen zur Vorabentscheidung vor.
Zweckwidrige Auskunftsbegehren
Der EuGH bestätigt zunächst, dass die Missbräuchlichkeit eines Auskunftsbegehrens nicht alleine nach der Zahl der Begehren zu beurteilen ist; die häufige Wiederholung nennt Art. 12 Abs. 5 DSGVO nur beispielhaft:
26 Zudem ergibt sich zwar aus Art. 12 Abs. 5 Unterabs. 1 Satz 2 DSGVO, dass Anträge „insbesondere im Fall von häufiger Wiederholung“ exzessiv sein können. Die Häufung von Anträgen einer Person kann daher ein Indiz dafür sein, dass sie exzessiv sind […]. Wie der Generalanwalt […] betont hat, verlangt jedoch, da die häufige Wiederholung in dieser Bestimmung nur beispielhaft angeführt wird, die Einstufung eines Auskunftsantrags als „exzessiv“ nicht, dass der betreffende Antrag notwendigerweise im Zusammenhang mit der Einreichung mehrerer Anträge durch dieselbe betroffene Person stehen muss.
27 In Ansehung einer am Wortlaut orientierten Auslegung von Art. 12 Abs. 5 DSGVO kann daher nicht ausgeschlossen werden, dass ein erster Auskunftsantrag als „exzessiv“ im Sinne dieser Bestimmung angesehen werden kann.
Die Ausnahme ist eng auszulegen:
35 Daraus folgt, dass es möglich ist, einen ersten Auskunftsantrag an den Verantwortlichen nach Art. 15 DSGVO als „exzessiv“ im Sinne von Art. 12 Abs. 5 DSGVO anzusehen. Da der Begriff „exzessive Anträge“, wie sich aus Rn. 29 des vorliegenden Urteils ergibt, eng auszulegen ist, kann sich jedoch ein Verantwortlicher nur ausnahmsweise auf einen solchen exzessiven Charakter berufen, und die Maßstäbe für die Einstufung eines ersten Auskunftsantrags als „exzessiv“ müssen, wie vom Generalanwalt in Nr. 34 seiner Schlussanträge ausgeführt, hoch sein. Ferner ist darauf hinzuweisen, dass nach Art. 12 Abs. 5 Unterabs. 2 DSGVO ausdrücklich der Verantwortliche den Nachweis für den exzessiven Charakter zu erbringen hat.
Aber auch wenn die Ausnahme eng auszulegen ist: Das Unionsrecht kennt ein allgemeines Rechtsmissbrauchsverbot:
30 Aus der Rechtsprechung des Gerichtshofs zur Auslegung des Begriffs „exzessive Anfragen“ in Art. 57 Abs. 4 DSGVO, die auf die vorliegende Rechtssache übertragbar ist […], ergibt sich allerdings, dass in Art. 12 Abs. 5 DSGVO ein allgemeiner Grundsatz des Unionsrechts zum Ausdruck kommt, wonach sich Einzelne nicht in betrügerischer oder missbräuchlicher Weise auf unionsrechtliche Normen berufen dürfen […]. Die Anwendung der Unionsregelung kann nämlich nicht so weit gehen, dass Vorgänge geschützt werden, die einem missbräuchlichen Zweck dienen […].
Der Rechtsmissbrauch setzt dabei zwei Elemente voraus – dass das Regelungsziel des Auskunftsrechts verfehlt würde und der Betroffene eine missbräuchliche Absicht verfolgt:
36 Was zweitens die Umstände betrifft, unter denen der erste Auskunftsantrag der betroffenen Person als „exzessiv“ im Sinne von Art. 12 Abs. 5 DSGVO eingestuft werden und somit einen Rechtsmissbrauch im Sinne der oben in den Rn. 23 und 30 angeführten Rechtsprechung begründen kann, so ist für den Nachweis einer missbräuchlichen Verhaltensweise zweierlei erforderlich, nämlich zum einen eine Gesamtheit objektiver Umstände, aus denen sich ergibt, dass trotz formaler Einhaltung der in der Unionsregelung vorgesehenen Bedingungen das Ziel dieser Regelung nicht erreicht wurde, und zum anderen ein subjektives Element, das in der Absicht der betroffenen Person besteht, sich einen aus der Unionsregelung resultierenden Vorteil zu verschaffen, indem die Voraussetzungen für seine Erlangung künstlich geschaffen werden. Bei einer solchen Einstufung müssen außerdem alle Tatsachen und Umstände des Einzelfalls berücksichtigt werden […].
Als rechtsmissbräuchlich erscheinen dabei insbesondere Begehren, die einen datenschutzwidrigen Zweck verfolgen und in Bereicherungsabsicht gestellt werden – der EuGH liegt hier erfreulich nahe beim schweizerischen Recht. Den Datenschutzzweck des Auskunftsrechts umschreibt der EuGH dabei folgendermassen, auch hier in Übereinstimmung mit Art. 25 DSG:
45 […] als „exzessiv“ im Sinne dieses Art. 12 Abs. 5 angesehen werden kann, wenn der Verantwortliche in Ansehung aller relevanten Fallumstände nachweist, dass dieser Antrag […] nicht gestellt wurde, um sich der Verarbeitung dieser Daten bewusst zu werden und deren Rechtmäßigkeit zu überprüfen, damit sie anschließend ihre Rechte aus der DSGVO schützen kann, sondern in missbräuchlicher Absicht […]
Rechtsmissbräuchlich wäre daher insbesondere ein Auskunftsbegehren, das dem Verantwortlichen bloss eine Falle stellen soll:
45 […] wie zur künstlichen Schaffung der Voraussetzungen für die Erlangung eines sich aus der DSGVO ergebenden Vorteils.
Die Beurteilung des Rechtsmissbrauchs liegt beim Sachgericht. Dieses darf auch öffentliche Informationen berücksichtigen, die Aufschluss über das Motiv der betroffenen Person geben:
45 […] Dass die betroffene Person nach öffentlich zugänglichen Informationen etwa mehrere Anträge auf Auskunft über ihre personenbezogenen Daten, gefolgt von Schadensersatzforderungen gegenüber verschiedenen Verantwortlichen, gestellt hat, kann für die Feststellung einer solchen missbräuchlichen Absicht berücksichtigt werden.
Schadenersatz bei Verletzung des Auskunftsrechts möglich
Art. 82 Abs. 1 DSGVO gewährt einen Anspruch auf Schadenersatz “wegen eines Verstosses gegen diese Verordnung”. Daraus schliesst der EuGH, dass nicht eine rechtswidrige Datenverarbeitung erforderlich ist, sondern lediglich eine Verletzung der DSGVO, bspw. des Auskunftsrechts
48 Nach Art. 82 Abs. 1 DSGVO hat eine Person, der „wegen eines Verstoßes gegen diese Verordnung“ ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen. Es ist festzustellen, dass diese Bestimmung keine Bezugnahme auf die „Verarbeitung“ enthält, so dass der Ersatzanspruch nicht auf Schäden beschränkt sein kann, die sich aus einer Verarbeitung personenbezogener Daten ergeben.
[…]54 Daraus folgt, dass sich die betroffene Person auch bei einem Verstoß gegen die DSGVO, bei dem als solchem keine Datenverarbeitung impliziert ist, auf das in Art. 82 DSGVO vorgesehene Recht auf Schadensersatz berufen kann.
55 Demnach ist auf die fünfte und die sechste Frage zu antworten, dass Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass er der betroffenen Person einen Anspruch auf Ersatz des aus einer Verletzung des Auskunftsrechts nach Art. 15 Abs. 1 DSGVO entstandenen Schadens verleiht.
Unterbrechung der Kausalität
Der EuGH bestätigt seine Rechtsprechung, wonach der blosse Verlust der Kontrolle über personenbezogene Daten oder die Ungewissheit über die Verarbeitung einen immateriellen Schaden darstellen kann. Eine Bagatellgrenze gibt es nicht. Die betroffene Person muss aber nachweisen, dass ihr tatsächlich ein Schaden entstanden ist und ein Kausalzusammenhang zwischen Verstoss und Schaden besteht. Dieser Kausalzusammenhang kann durch das Verhalten der betroffenen Person unterbrochen werden.
Der EuGH zieht hier eine zweite Verteidigungslinie gegen missbräuchliche Auskunftsbegehren hoch: Eine Unterbrechung erfolgt u.a. dann, wenn die betroffene Person den Kontrollverlust oder die Ungewissheit selbst geschaffen hat, indem sie Daten dazu übermittelt hat, hinterher Ansprüche geltend machen zu können (also sozusagen eine Unterbrechung durch grobes Selbstverschulden):
65 Um dem vorlegenden Gericht eine zweckdienliche Antwort zu geben, ist noch darauf hinzuweisen, dass der Kausalzusammenhang zwischen dem behaupteten Verstoß und dem behaupteten Schaden durch die Handlungsweise der betroffenen Person unterbrochen werden kann, sofern sich diese Handlungsweise als die entscheidende Ursache für den Schaden erweist. Eine entsprechende Handlung kann u. a. in einer Entscheidung der geschädigten Person bestehen, allerdings nur, sofern diese Entscheidung für sie nicht zwingend war […].
66 Außerdem ergibt sich […], dass das Bestehen eines Kausalzusammenhangs […] eine unabdingbare Voraussetzung für einen Schadensersatzanspruch […] ist. Folglich kann der betroffenen Person […] kein Ersatz für Schäden gewährt werden, die ihr durch den Verlust der Kontrolle über ihre personenbezogenen Daten oder ihre Ungewissheit über das Vorliegen einer Verarbeitung dieser Daten entstanden sein sollen, wenn der Kausalzusammenhang aufgrund der Handlungsweise dieser Person unterbrochen wird, weil besagter Kontrollverlust oder besagte Ungewissheit durch die Entscheidung der betroffenen Person herbeigeführt wurden, dem Verantwortlichen diese Daten in der Absicht zu übermitteln, künstlich die Voraussetzungen für die Anwendung dieser Bestimmung zu schaffen.