Landgericht Köln: die bloße verspätete Auskunft stellt keinen Schaden im Rahmen des Art. 82 DSGVO dar

In seinem Urteil vom 19.4.2024 (12 S 4/23) hatte sich das LG Köln mit einem sehr praxisrelevanten Problem zu befassen: haben Betroffenen einen Anspruch auf Schadenersatz nach Art. 82 DSGVO, wenn eine Auskunft nach Art. 15 DSGVO verspätet erfolgt? Also die Auskunft zwar inhaltlich erteilt wird, jedoch zB erst nach 1,5 Monaten.

Das LG lehnt in diesem Fall einen Schadenersatzanspruch ab, da allein die Verspätung und damit der Verstoß gegen Art. 15, 12 Abs. 3 DSGVO an sich noch keinen ersatzfähigen Schaden darstellt.

Das Gericht verweist für seine Ansicht auf die bisherige Rechtsprechung des EuGH zu Art. 82 DSGVO.

So habe der EuGH entschieden, dass Art. 82 Abs. 1 DSGVO dahingehend auszulegen ist, dass der bloße Verstoß gegen die Bestimmungen der DSGVO nicht ausreicht, um einen Schadenersatzanspruch zu begründen (EuGH, Urteil vom 04.05.2023, C-300/21). Zwar sei Art. 82 Abs. 1 DSGVO dahingehend auszulegen, dass er einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat.

Allerdings ist die betroffene Person, die von einem Verstoß gegen die DSGVO betroffen ist, der für sie negative Folgen gehabt hat, nicht vom Nachweis befreit, dass diese Folgen einen immateriellen Schaden darstellen.

Der EuGH geht davon aus, dass der bloße Verstoß gegen die DSGVO nicht ausreicht, um einen Schadenersatzanspruch zu begründen (EuGH, Urteil vom 21. Dezember 2023, C-667/21, Rn. 82). Dies ist der Anknüpfungspunkt des LG im vorliegenden Fall. Der Betroffene hatte keinen individuellen Schaden dargelegt. Wenn der Betroffene aber als Folge eines Verstoßes (hier: die Verspätung) einen Schaden annimmt und diese Folge (hier: die Verspätung) quasi stets bei dem betreffenden Verstoß eintritt, reicht dies nach Ansicht des LG nicht aus.

Das bloße längere Zuwarten auf die Erteilung der Auskunft bzw. die „verspätete Auskunft“ (…) kann einen solchen nach der o.g. Entscheidung des EuGH keinesfalls darstellen, da dies bei einem Verstoß gegen die DSGVO immanent ist und nicht über den bloßen Verstoß hinausgeht“.

Im Ergebnis geht das LG mithin davon aus, dass die „Standardfolge“ aus einem Verstoß gerade keinen Schaden darstellen kann, denn dies würde bedeuten, dass ein Verstoß für die Annahme eines Schadens ausreichend ist.

Wann sind DSGVO-Betroffenenanfragen „exzessiv“? Generalanwalt entwickelt praktische Checkliste

Wann sind Betroffenenanfragen „exzessiv“ und können von Verantwortlichen entweder zurückgewiesen oder für ihre Bearbeitung ein angemessenes Entgelt verlangt werden? Diese Frage spielt in der Praxis insbesondere für Unternehmen oder auch öffentliche Stellen eine Rolle, die etwa in kurzer Zeit mit vielen Anfragen, z. B. auf Auskunft oder Löschung, von ein und derselben Person konfrontiert werden.

Generalanwalt de la Tour (GA) hat sich mit der Frage der „Exzessivität“ von Anträgen an Aufsichtsbehörden in seinen Schlussanträgen vom 5.9.2024 (Rechtssache C‑416/23) befasst. Die österreichische Aufsichtsbehörde weigerte sich gemäß Art. 57 Abs. 4 DSGVO, aufgrund einer Beschwerde tätig zu werden, da sie sie als „exzessiv“ erachtete. Der Beschwerdeführer hatte innerhalb eines Zeitraums von ca. 20 Monaten 77 Beschwerden an sie gerichtet, mit denen er beanstandet hatte, dass jeweils verschiedene Verantwortliche nicht innerhalb eines Monats auf seine Anträge auf Auskunft bzw. Löschung geantwortet hätten.

Für Verantwortliche sind die Schlussanträge für Betroffenenanfragen interessant, weil der GA im Rahmen seiner Erläuterungen explizit davon ausgeht, dass seine Begründung auch für Art. 12 Abs. 5 DSGVO gilt.

Begründung übertragbar auf Art. 12 Abs. 5 DSGVO
Kurz zum Hintergrund. Nach Art 57 Abs. 4 DSGVO kann die Aufsichtsbehörde, bei offenkundig unbegründeten oder — insbesondere im Fall von häufiger Wiederholung — exzessiven Anfragen eine angemessene Gebühr verlangen oder sich weigern, aufgrund der Anfrage tätig zu werden. Ähnlich findet sich eine solche Regelungen für Betroffenenanfragen nach Art. 15-22 DSGVO in Art. 12 Abs. 5 DSGVO. Danach kann der Verantwortliche, bei offenkundig unbegründeten oder — insbesondere im Fall von häufiger Wiederholung — exzessiven Anträgen einer betroffenen Person entweder ein angemessenes Entgelt verlangen oder sich weigern, aufgrund des Antrags tätig zu werden.

Anzahl der Anfragen als Kriterium?
Im konkreten Fall wollte das vorlegende Gericht aus Österreich im Wesentlichen wissen, ob Anfragen allein aufgrund ihrer Anzahl innerhalb eines bestimmten Zeitraums als „exzessiv“ eingestuft werden können oder ob zudem nachgewiesen werden muss, dass die Person, die diese Anfragen bei einer Aufsichtsbehörde stellt, mit missbräuchlicher Absicht handelt.

Der GA lehnt eine solche Sichtweise ab.

die Anzahl der von einer betroffenen Person bei einer Aufsichtsbehörde gestellten Anfragen, so groß sie auch sein mag

könne, für sich genommen kein ausreichendes Kriterium sein, um festzustellen, dass „exzessive Anfragen“ im Sinne der Bestimmung vorliegen.

Eine andere Entscheidung, bei der etwa ein Schwellenwert festgelegt würde, ab dem eine Aufsichtsbehörde diese Beschwerden allein aufgrund ihrer Anzahl als „exzessiv“ einstufen könnte, würde die von der DSGVO gewährleisteten Rechte, die ich zuvor aufgezählt habe, beeinträchtigen.

Begründung zu Art. 57 Abs. 4 DSGVO auf Art 12 Abs. 5 DSGVO übertragbar
Nach Ansicht des GA sind Art. 12 Abs. 5 und Art. 57 Abs. 4 DSGVO ähnlich formuliert und beruhen auf derselben Logik. Diese Ansicht ist durchaus für die Auslegung und Anwendung der Vorschriften relevant, denn es geht hierbei um den Zweck der Vorschriften.
Nach Ansicht der GA besteht dieser darin

zu vermeiden, dass dem Verantwortlichen bzw. der Aufsichtsbehörde eine unverhältnismäßige Belastung auferlegt wird, die geeignet ist, ihr ordnungsgemäßes Funktionieren zu beeinträchtigen“.

Rechtsmissbrauch im EU-Recht
Art. 12 Abs. 5 DSGVO und Art. 57 Abs. 4 DSGVO spiegelt nach Ansicht des GA die ständige Rechtsprechung des EuGH wider,

nach der es im Unionsrecht einen allgemeinen Rechtsgrundsatz gibt, wonach sich die Bürger nicht in betrügerischer oder missbräuchlicher Weise auf unionsrechtliche Normen berufen dürfen“.

Insbesondere kann im Zusammenhang mit Art. 57 Abs. 4 DSGVO ein missbräuchliches Vorgehen festgestellt werden, wenn eine Person Beschwerden einreicht, ohne dass dies objektiv erforderlich ist, um ihre Rechte aus der Verordnung zu schützen.

Große Anzahl von Anfragen? Verantwortlicher muss im Zweifel Kapazitäten schaffen
Dass allein die Anzahl an Betroffenenanfragen noch kein taugliches Kriterium ist, begründet der GA auch mit dem Stellenwert der Betroffenenrechte. Zu Art. 57 Abs. 4 DSGVO führt er aus:

Folglich könnte es meines Erachtens die Verwirklichung dieses Ziels beeinträchtigen, wenn es den Aufsichtsbehörden gestattet würde, allein deshalb festzustellen, dass die Beschwerden exzessiv sind, weil ihre Anzahl groß ist.“

Konkret am Beispiel der Aufsichtsbehörden begründet der GA zudem, dass eine prozessuale Überforderung mit Anträgen nicht zu lasen der Betroffenen gehen darf – dies kann man durchaus als Begründung auch auf die interne Organisation und Struktur von Verantwortlichen übertragen.

Mit Blick auf Aufsichtsbehörden haben die Mitgliedstaaten sicherzustellen, dass jede Aufsichtsbehörde mit den personellen, technischen und finanziellen Ressourcen, Räumlichkeiten und Infrastrukturen ausgestattet wird, die sie benötigt, um ihre Aufgaben und Befugnisse effektiv wahrnehmen zu können.

Folglich sind diese Ressourcen an den Gebrauch anzupassen, den die betroffenen Personen von ihrem Recht machen, Beschwerden bei den Aufsichtsbehörden einzureichen“.

Enge Auslegung von Ausnahmevorschriften
Aufgrund der Wichtigkeit der Betroffenenrechte und des Ausnahmecharakters der beiden hier relevanten Vorschriften weist der GA darauf hin, dass Betroffene etwa ihr Recht auf Auskunft nach Art. 15 DSGVO mehrfach bei demselben Verantwortlichen ausüben können, ohne dass die Wiederholung einer Anfrage als solche als „exzessiv“ eingestuft werden kann. Auch dies ist eine wichtige Aussage für die Praxis.

In Bezug auf Art. 57 Abs. 4 DSGVO stellt der GA klar, dass die Vorschrift als Ausnahme eng auszulegen ist. Die Anwendung ist auf das zu beschränken ist, was unbedingt erforderlich ist, um zu verhindern, dass das mit ihm verfolgte Ziel, dass die Aufsichtsbehörden ordnungsgemäß funktionieren, beeinträchtigt wird.

Prüfung im Einzelfall – welche Kriterien sind relevant?

Die Prüfung von exzessiven Anfragen muss auf der Grundlage der Umstände des Einzelfalls erfolgen.

Die Aufsichtsbehörde / der Verantwortliche muss nachweisen,

dass diese Anzahl nicht durch den Wunsch der betroffenen Person zu erklären ist, ihre Rechte aus der DSGVO zu schützen, sondern durch einen anderen Zweck, der in keinem Zusammenhang mit diesem Schutz steht.

Und der GA gibt hierzu noch einen Hinweis. Ein solcher Nachweis kann etwa dann gegeben sein, wenn

sich aus den Umständen ergibt, dass die große Anzahl von Beschwerden darauf abzielt, das ordnungsgemäße Funktionieren der Behörde zu beeinträchtigen, indem ihre Ressourcen ohne berechtigten Grund in Anspruch genommen werden“.

Für uns in der Praxis kann dies also Fälle betreffen, in denen Betroffene offenkundig und vorsätzlich Anträge stellen, um etwa das Unternehmen oder den (ex) Arbeitgeber in seinem normalen Arbeitsalltag zu beeinträchtigen. Wenn es also klar überhaupt nicht um den Datenschutz geht.

Die Häufung von Beschwerden / Anträgen kann nach Ansicht des GA durchaus ein Indiz für exzessive Anfragen einer betroffenen Person sein,

wenn sich herausstellt, dass die Beschwerden nicht objektiv durch Erwägungen gerechtfertigt sind, die sich auf den Schutz der Rechte beziehen, die die DSGVO dieser Person verleiht“.

Und der GA wird hierzu noch etwas konkreter und gibt eine Art Checkliste an, die man bei der Prüfung gut verwenden könnte. Dies kann z. B. dann der Fall sein, wenn Beschwerden / Anträge

  • denselben Verantwortlichen betreffen,
  • denselben Inhalt haben,
  • sich auf dieselben Verpflichtungen aus der DSGVO beziehen und
  • in übertrieben kurzen Zeitabständen eingereicht werden, ohne dass eine Änderung der tatsächlichen Umstände dies rechtfertigt, und
  • damit die Absicht der betroffenen Person erkennen lassen, das ordnungsgemäße Funktionieren der Aufsichtsbehörde / Funktionieren des Verantwortlichen zu beeinträchtigen, anstatt den Schutz der ihr durch diese Verordnung verliehenen Rechte zu erreichen.