Der Fall
Ein Kunde meldete sich über die Website eines Optikerunternehmens für einen Newsletter an und gab dabei seine personenbezogenen Daten an. Bereits kurze Zeit später stellte er einen Auskunftsantrag nach Art. 15 DSGVO gegenüber dem Unternehmen. Das Unternehmen lehnte den Antrag ab. Es war der Auffassung, der Antrag werde missbräuchlich gestellt. Zur Begründung verwies es auf öffentlich zugängliche Informationen, wonach der Betroffene systematisch nach einem bestimmten Muster vorgehe: Anmeldung bei Unternehmen, anschließender Auskunftsantrag und danach die Geltendmachung von Schadensersatzansprüchen.
Der Betroffene hielt seinen Antrag für rechtmäßig und verlangte zudem immateriellen Schadensersatz, da ihm die Auskunft verweigert worden sei. Das mit dem Fall befasste Gericht legte dem EuGH mehrere Fragen zur Auslegung der DSGVO vor, insbesondere zur Einordnung eines Auskunftsantrags als „exzessiv“ und zu den Voraussetzungen eines Schadensersatzanspruchs.
Die Entscheidung
Der EuGH stellte klar: Auch ein erster Auskunftsantrag könne in Ausnahmefällen als „exzessiv“ gelten. Das sei aber nur dann möglich, wenn das Unternehmen nachweisen könne, dass der Antrag nicht dazu diene, sich über die eigenen Daten zu informieren, sondern missbräuchlich gestellt sei – zum Beispiel, um gezielt Schadensersatz zu verlangen. Die Hürden dafür seien hoch. Unternehmen müssten genau zeigen können, dass ein Missbrauch vorliege. Allein der Verdacht reiche nicht aus. Auch mehrere Anträge einer Person seien für sich genommen noch kein Beweis. Allerdings könnten Hinweise aus öffentlich zugänglichen Quellen helfen, wenn sie zeigten, dass jemand immer nach dem gleichen Muster vorgehe.
Außerdem stellte der EuGH klar, dass Schadensersatz auch dann möglich sei, wenn nur das Auskunftsrecht verletzt wurde. Schon die fehlende oder verspätete Auskunft kann grundsätzlich zu einem Anspruch führen – auch ohne unrechtmäßige Datenverarbeitung. Ein Schadensersatzanspruch bestehe aber nur dann, wenn
- tatsächlich ein Schaden entstanden sei und
- dieser Schaden durch den Verstoß verursacht wurde.
Ein möglicher immaterieller Schaden könne zum Beispiel darin liegen, dass jemand die Kontrolle über seine Daten verloren habe oder unsicher sei, was mit seinen Daten passiert sei. Auch das muss aber konkret nachgewiesen werden.
Praxis-Hinweis
Das Urteil zeigt: Unternehmen können sich zwar gegen missbräuchliche Auskunftsanträge wehren – in der Praxis wird das aber nur selten möglich sein, weil die Anforderungen sehr hoch sind. Gleichzeitig steigt das Risiko von Schadensersatzforderungen, wenn Auskunftsanträge nicht korrekt beantwortet werden. Unternehmen sollten daher sicherstellen, dass sie solche Anfragen
- vollständig,
- rechtzeitig und
- nachvollziehbar beantworten.
Klare interne Prozesse und eine gute Dokumentation helfen dabei, rechtliche Risiken zu vermeiden.
