Anfragen können nicht allein aufgrund ihrer Zahl während eines bestimmten Zeitraums als „exzessiv“ im Sinne der DSGVO eingestuft werden, da die Ausübung der in der DSGVO vorgesehenen Befugnis voraussetzt, dass die Aufsichtsbehörde das Vorliegen einer Missbrauchsabsicht der anfragenden Person nachweist.
Ausgangslage
Eine Person erhob bei der österreichischen Datenschutzaufsichtsbehörde eine Beschwerde nach Art. 77 Abs. 1 DSGVO wegen Verstoßes gegen Art. 15 DSGVO, weil eine Gesellschaft, die die Eigenschaft eines Verantwortlichen gehabt habe, nicht innerhalb eines Monats auf seinen Antrag auf Auskunft über seine personenbezogenen Daten reagiert habe.
Die Datenschutzbehörde lehnte es auf der Grundlage von Art. 57 Abs. 4 DSGVO ab, diese Beschwerde zu behandeln, da sie exzessiv sei. In diesem Zusammenhang führte sie u. a. aus, die betreffende Person habe bei ihr innerhalb eines Zeitraums von ca. 20 Monaten 77 ähnliche Beschwerden gegen verschiedene Verantwortliche eingebracht. Außerdem habe sie die Aufsichtsbehörde regelmäßig telefonisch kontaktiert, um weitere Sachverhalte zu schildern und zusätzliche Anfragen zu stellen.
Gegen diesen Bescheid erhob der Kläger Beschwerde beim Bundesverwaltungsgericht (Österreich).
Ausgangsfragen
Der Verwaltungsgerichtshof beschloss, das Verfahren auszusetzen und dem Europäischen Gerichtshof (EuGH) folgende Fragen zur Vorabentscheidung vorzulegen:
1. Ist der Begriff „Anfragen“ oder „Anfrage“ in Art. 57 Abs. 4 DSGVO dahin auszulegen, dass darunter auch „Beschwerden“ nach Art. 77 Abs. 1 DSGVO zu verstehen sind?
Falls die Frage 1 bejaht wird:
2. Ist Art. 57 Abs. 4 DSGVO so auszulegen, dass es für das Vorliegen von „exzessiven Anfragen“ bereits ausreicht, dass eine betroffene Person bloß innerhalb eines bestimmten Zeitraums eine bestimmte Zahl von Anfragen (Beschwerden nach Art. 77 Abs. 1 DSGVO) an eine Aufsichtsbehörde gerichtet hat, unabhängig davon, ob es sich um unterschiedliche Sachverhalte handelt und/oder die Anfragen (Beschwerden) unterschiedliche Verantwortliche betreffen, oder bedarf es neben der häufigen Wiederholung von Anfragen (Beschwerden) auch einer Missbrauchsabsicht der betroffenen Person?
3. Ist Art. 57 Abs. 4 DSGVO so auszulegen, dass die Aufsichtsbehörde bei Vorliegen einer „offenkundig unbegründeten“ oder „exzessiven“ Anfrage (Beschwerde) frei wählen kann, ob sie eine angemessene Gebühr auf der Grundlage der Verwaltungskosten für deren Bearbeitung verlangt oder deren Bearbeitung von vornherein verweigert; verneinendenfalls, welche Umstände und welche Kriterien die Aufsichtsbehörde zu berücksichtigen hat, insbesondere ob die Aufsichtsbehörde verpflichtet ist, vorrangig als gelinderes Mittel eine angemessene Gebühr zu verlangen, und erst im Fall der Aussichtslosigkeit einer Gebühreneinhebung zur Hintanhaltung offenkundig unbegründeter oder exzessiver Anfragen (Beschwerden) berechtigt ist, deren Bearbeitung zu verweigern?
Auszüge aus dem Urteil des EuGH
Zur ersten Frage
Vorab ist darauf hinzuweisen, dass der Begriff „Beschwerde“ auch in Art. 57 Abs. 1 Buchst. f DSGVO verwendet wird. Unter diesen Umständen ist, um dem vorlegenden Gericht eine sachdienliche Antwort zu geben, davon auszugehen, dass es mit seiner ersten Frage im Wesentlichen wissen möchte, ob Art. 57 Abs. 4 DSGVO dahin auszulegen ist, dass der darin enthaltene Begriff „Anfrage“ „Beschwerden“ nach Art. 57 Abs. 1 Buchst. f und Art. 77 Abs. 1 DSGVO umfasst.
Bei der Auslegung einer Bestimmung des Unionsrechts sind nicht nur ihr Wortlaut entsprechend ihrem Sinn nach dem gewöhnlichen Sprachgebrauch, sondern auch ihr Kontext und die Ziele, die mit der Regelung, zu der sie gehört, verfolgt werden, zu berücksichtigen.
Was als Erstes den Wortlaut von Art. 57 Abs. 1 Buchst. f DSGVO betrifft, so muss diesem zufolge jede Aufsichtsbehörde in ihrem Hoheitsgebiet „sich mit Beschwerden einer betroffenen Person … befassen, den Gegenstand der Beschwerde in angemessenem Umfang untersuchen und den Beschwerdeführer innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung unterrichten, insbesondere, wenn eine weitere Untersuchung oder Koordinierung mit einer anderen Aufsichtsbehörde notwendig ist“.
Demgegenüber heißt es in Art. 57 Abs. 4 DSGVO: „Bei offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anfragen kann die Aufsichtsbehörde eine angemessene Gebühr auf der Grundlage der Verwaltungskosten verlangen oder sich weigern, aufgrund der Anfrage tätig zu werden. In diesem Fall trägt die Aufsichtsbehörde die Beweislast für den offenkundig unbegründeten oder exzessiven Charakter der Anfrage.“
Was den Wortlaut von Art. 77 Abs. 1 DSGVO angeht, so hat diesem zufolge „[j]ede betroffene Person … unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres gewöhnlichen Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt“.
Somit definiert keine der oben genannten Bestimmungen den Begriff „Anfrage“ im Sinne von Art. 57 Abs. 4 DSGVO ausdrücklich.
Wie der Generalanwalt ausgeführt hat, ist der Begriff „Anfrage“ gemäß seinem Sinn nach dem gewöhnlichen Sprachgebrauch besonders weit, da er potenziell jedes Ersuchen einer Person oder Einrichtung umfasst.
Somit ist festzustellen, dass der Wortlaut der oben genannten Bestimmungen den Schluss zulässt, dass Beschwerden nach Art. 77 Abs. 1 DSGVO unter den Begriff „Anfragen“ im Sinne von Art. 57 Abs. 4 DSGVO fallen.
Als Zweites wird die Analyse des Wortlauts durch den Kontext bestätigt, in den sich diese Bestimmungen einfügen. Insoweit beschreibt Art. 57 DSGVO die Aufgaben der Aufsichtsbehörden und legt die Bedingungen fest, unter denen diese Aufgaben zu erfüllen sind. Konkret bestimmt Art. 57 DSGVO erstens, in Abs. 1 Buchst. a, dass jede Behörde die Anwendung dieser Verordnung überwachen und durchsetzen muss, zweitens, in Abs. 1 Buchst. e, dass jede Behörde auf Anfrage jeder betroffenen Person Informationen über die Ausübung ihrer Rechte aufgrund dieser Verordnung zur Verfügung stellen und gegebenenfalls zu diesem Zweck mit den Aufsichtsbehörden in anderen Mitgliedstaaten zusammenarbeiten muss, und drittens, in Abs. 2, dass jede Behörde das Einreichen von in Abs. 1 Buchst. f genannten Beschwerden durch Maßnahmen wie etwa die Bereitstellung eines Beschwerdeformulars erleichtert, das auch elektronisch ausgefüllt werden kann, ohne dass andere Kommunikationsmittel ausgeschlossen werden.
Außerdem stellt Art. 57 Abs. 3 DSGVO den Grundsatz auf, dass die Erfüllung der Aufgaben jeder Aufsichtsbehörde für die betroffene Person und gegebenenfalls für den Datenschutzbeauftragten unentgeltlich ist.
Somit sieht Art. 57 Abs. 4 DSGVO, indem er den Aufsichtsbehörden die Möglichkeit einräumt, bei offenkundig unbegründeten oder exzessiven Anfragen eine angemessene Gebühr auf der Grundlage der Verwaltungskosten zu verlangen oder sich zu weigern, aufgrund einer Anfrage tätig zu werden, eine Ausnahme von dem in Art. 57 Abs. 3 DSGVO aufgestellten Grundsatz der Unentgeltlichkeit vor, die eng auszulegen ist.
Wie der Generalanwalt im Wesentlichen ausgeführt hat, sollte den Aufsichtsbehörden – da die Regel ist, dass sie sich mit den bei ihnen eingereichten Beschwerden befassen – nur in Ausnahmefällen gestattet werden, von der in Art. 57 Abs. 4 DSGVO vorgesehenen Befugnis Gebrauch zu machen.
Aus diesen Bestimmungen kann jedoch nicht abgeleitet werden, dass Art. 57 Abs. 4 DSGVO, soweit dort der Begriff „Anfrage“ verwendet wird, nur auf Anfragen im Sinne von Art. 57 Abs. 1 Buchst. e DSGVO anzuwenden ist. Art. 57 Abs. 3 DSGVO gilt nämlich für alle Aufgaben der Aufsichtsbehörden einschließlich der Bearbeitung von Beschwerden nach Art. 57 Abs. 1 Buchst. f DSGVO.
In diesem Kontext müsste Art. 57 Abs. 4 DSGVO, da er eine Ausnahme vom Grundsatz der Unentgeltlichkeit der von den Aufsichtsbehörden erfüllten Aufgaben vorsieht, ohne dabei diese Ausnahme auf bestimmte besondere Aufgaben der Aufsichtsbehörden zu beschränken, auch für die Bearbeitung von Beschwerden nach Art. 57 Abs. 1 Buchst. f DSGVO gelten, zumal diese Aufgabe einen wesentlichen Auftrag der Aufsichtsbehörden darstellt. Außerdem muss die betroffene Aufsichtsbehörde diese Beschwerden mit aller gebotenen Sorgfalt bearbeiten.
Umgekehrt würde eine Auslegung, wonach der Begriff „Anfrage“ in Art. 57 Abs. 4 DSGVO nur Anfragen nach Art. 57 Abs. 1 Buchst. e DSGVO und nicht auch Beschwerden nach Art. 57 Abs. 1 Buchst. f und Art. 77 Abs. 1 DSGVO umfasst, Art. 57 Abs. 4 DSGVO eines großen Teils seiner praktischen Wirksamkeit berauben und dem wirksamen Schutz der durch diese Verordnung garantierten Rechte zuwiderlaufen.
Als Drittes steht diese systematische Auslegung im Einklang mit den Zielen der DSGVO. Insoweit ist festzustellen, dass diese Verordnung, wie sich aus ihren Erwägungsgründen 10 und 11 ergibt, ein gleichmäßiges und hohes Schutzniveau für natürliche Personen in der Union gewährleisten und die Rechte der betroffenen Personen stärken und präzise festlegen soll.
Demnach ist das Beschwerdeverfahren als ein Mechanismus konzipiert, der geeignet ist, die Rechte und Interessen der betroffenen Personen wirksam zu wahren. Insoweit sollen die in Art. 57 Abs. 2 DSGVO vorgesehene Verpflichtung der Aufsichtsbehörden, das Einreichen von Beschwerden zu erleichtern, und der in Art. 57 Abs. 3 DSGVO aufgestellte Grundsatz der Unentgeltlichkeit der von ihnen zu erfüllenden Aufgaben es jeder betroffenen Person ermöglichen, die Einhaltung ihrer Rechte aus der Verordnung bei einer Aufsichtsbehörde einzufordern.
In diesem Kontext ist für die Verfolgung des Ziels, ein gleichmäßiges und hohes Schutzniveau für natürliche Personen in der Union sicherzustellen, das ordnungsgemäße Funktionieren der Aufsichtsbehörden zu gewährleisten, indem verhindert wird, dass dieses dadurch behindert wird, dass offenkundig unbegründete oder exzessive Beschwerden im Sinne von Art. 57 Abs. 4 DSGVO eingereicht werden. Diese Bestimmung gibt den Aufsichtsbehörden somit die Möglichkeit, mit diesen Beschwerden besser umzugehen, indem sie die Belastung verringern, die diese Beschwerden bei ihnen auslösen können. Dass eine Aufsichtsbehörde bei offenkundig unbegründeten oder exzessiven Beschwerden eine angemessene Gebühr verlangen oder sich weigern kann, aufgrund solcher Beschwerden tätig zu werden, ist insoweit geeignet, ein hohes Schutzniveau für personenbezogene Daten zu gewährleisten.
Nach alledem ist auf die erste Frage zu antworten, dass Art. 57 Abs. 4 DSGVO dahin auszulegen ist, dass der darin enthaltene Begriff „Anfrage“ Beschwerden nach Art. 57 Abs. 1 Buchst. f und Art. 77 Abs. 1 DSGVO umfasst.
Zur zweiten Frage
Da der Begriff „exzessive Anfragen“ in der DSGVO nicht definiert wird, ist im Licht der oben angeführten Rechtsprechung auf den Sinn dieses Begriffs nach dem gewöhnlichen Sprachgebrauch abzustellen. Das Adjektiv „exzessiv“ bezeichnet etwas, das über das gewöhnliche oder vernünftige Maß hinausgeht oder das erwünschte oder zulässige Maß überschreitet.
Als Zweites ergibt sich aus dem Wortlaut von Art. 57 Abs. 4 DSGVO, dass Anfragen insbesondere im Fall von häufiger Wiederholung „exzessiv“ sein können. Jedoch lässt sich anhand der grammatikalischen Auslegung dieser Bestimmung nicht feststellen, ob ein solcher Fall von häufiger Wiederholung und folglich allein die Zahl der eingereichten Anfragen ausreicht, um eine solche Einstufung zu rechtfertigen. Unter Berücksichtigung dieser Rechtsprechung ist daher die Tragweite dieser Bestimmung anhand des Kontexts, in den sie sich einfügt, und der Ziele, die mit der Regelung, zu der sie gehört, verfolgt werden, zu prüfen.
Was den Kontext anbelangt, ist erstens darauf hinzuweisen, dass Art. 12 DSGVO allgemeine Pflichten des Verantwortlichen in Bezug auf Transparenz von Informationen und Kommunikation sowie die Modalitäten für die Ausübung der Rechte der betroffenen Person festlegt. Nach Abs. 2 Satz 1 dieses Artikels muss der Verantwortliche der betroffenen Person die Ausübung ihrer Rechte gemäß den Art. 15 bis 22 DSGVO erleichtern.
Zweitens vervollständigt Art. 15 DSGVO, der zu Kapitel III Abschnitt 2 („Informationspflicht und Recht auf Auskunft zu personenbezogenen Daten“) gehört, den durch die DSGVO geschaffenen Transparenzrahmen, indem er der betroffenen Person ein Recht auf Auskunft über ihre personenbezogenen Daten und ein Recht auf Information über die Verarbeitung dieser Daten gewährt.
Art. 15 DSGVO ist im Licht von Satz 1 des 63. Erwägungsgrundes dieser Verordnung zu lesen, wonach eine betroffene Person ein Auskunftsrecht hinsichtlich der sie betreffenden personenbezogenen Daten, die erhoben worden sind, besitzen und dieses Recht problemlos und in angemessenen Abständen wahrnehmen können sollte, um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können. Wenn diese Person vergeblich mehrere Auskunftsersuchen an einen oder mehrere Verantwortliche gerichtet hat, könnte die Zahl der bei einer Aufsichtsbehörde eingereichten Beschwerden mit der Zahl der Ablehnungen übereinstimmen, die diese Person von den Verantwortlichen erhalten hat. Unter diesen Umständen könnte die Festlegung einer absoluten Höchstzahl, bei deren Überschreitung diese Beschwerden automatisch als exzessiv eingestuft werden könnten, die durch die DSGVO garantierten Rechte beeinträchtigen.
Insoweit muss, wie oben ausgeführt, die Ausübung der in Art. 57 Abs. 4 DSGVO vorgesehenen Befugnis als Ausnahme von dem in Art. 57 Abs. 3 DSGVO vorgesehenen Grundsatz der Unentgeltlichkeit der von den Aufsichtsbehörden erfüllten Aufgaben die Ausnahme bleiben. Sie kann nur im Fall von Rechtsmissbrauch erfolgen, ohne dass die Zahl der eingereichten Beschwerden für sich genommen ein ausreichendes Kriterium für die Feststellung eines solchen Missbrauchs darstellen kann.
Art. 57 Abs. 4 DSGVO spiegelt nämlich die ständige Rechtsprechung des Gerichtshofs wider, nach der es im Unionsrecht einen allgemeinen Rechtsgrundsatz gibt, wonach sich die Bürger nicht in betrügerischer oder missbräuchlicher Weise auf unionsrechtliche Normen berufen dürfen.
Vor diesem Hintergrund muss eine Aufsichtsbehörde, wenn sie von der in Art. 57 Abs. 4 DSGVO vorgesehenen Möglichkeit Gebrauch machen möchte, anhand aller relevanten Umstände jedes Einzelfalls feststellen, dass eine Missbrauchsabsicht der betroffenen Person vorliegt, wofür die Zahl der von dieser Person eingereichten Beschwerden allein nicht ausreicht. Das Vorliegen einer Missbrauchsabsicht kann aber festgestellt werden, wenn eine Person Beschwerden einreicht, ohne dass dies objektiv erforderlich ist, um ihre Rechte aus der Verordnung zu schützen.
Insoweit ist noch darauf hinzuweisen, dass die Mitgliedstaaten nach Art. 52 Abs. 4 DSGVO sicherzustellen haben, dass jede Aufsichtsbehörde mit den personellen, technischen und finanziellen Ressourcen, Räumlichkeiten und Infrastrukturen ausgestattet wird, die sie benötigt, um ihre Aufgaben und Befugnisse effektiv wahrnehmen zu können. Folglich sind diese Ressourcen an den Gebrauch anzupassen, den die betroffenen Personen von ihrem Recht machen, Beschwerden bei den Aufsichtsbehörden einzureichen.
Es ist daher Sache der Mitgliedstaaten, den Aufsichtsbehörden angemessene Ressourcen zur Verfügung zu stellen, damit sie sich mit allen bei ihnen eingereichten Beschwerden befassen können, und diese Ressourcen gegebenenfalls aufzustocken, um sie an den Gebrauch anzupassen, den die betroffenen Personen von ihrem Recht machen, Beschwerden nach Art. 77 Abs. 1 DSGVO einzureichen. Eine Aufsichtsbehörde kann daher ihre Weigerung gemäß Art. 57 Abs. 4 DSGVO, aufgrund einer Beschwerde tätig zu werden, nicht darauf stützen, dass eine Person, die eine Zahl von Beschwerden einreicht, die deutlich über der durchschnittlichen Zahl der von jeder betroffenen Person eingereichten Beschwerden liegt, erhebliche Ressourcen der Behörde in Anspruch nimmt, was die Befassung mit Beschwerden beeinträchtigt, die andere Personen einreichen.
Im Übrigen sind Beschwerden nach Art. 77 Abs. 1 DSGVO wichtig, damit die Aufsichtsbehörden Kenntnis von Verletzungen der durch diese Verordnung geschützten Rechte erlangen. Diese Beschwerden tragen daher wesentlich dazu bei, ein gleichmäßiges und hohes Schutzniveau für Personen in der Union zu gewährleisten und ihre Rechte im Sinne der Erwägungsgründe 10 und 11 der DSGVO zu stärken und präzise festzulegen.
Folglich könnte es die Verwirklichung dieses Ziels beeinträchtigen, wenn es den Aufsichtsbehörden gestattet würde, allein deshalb festzustellen, dass die Beschwerden exzessiv sind, weil ihre Zahl groß ist. Eine große Zahl von Beschwerden kann nämlich die unmittelbare Folge einer großen Zahl von Fällen sein, in denen auf Auskunftsersuchen, die eine Person zum Schutz ihrer Rechte gestellt hat, seitens eines Verantwortlichen bzw. mehrerer Verantwortlicher keine Antwort gegeben wurde oder es abgelehnt wurde, diesen Ersuchen zu entsprechen.
Insoweit könnte eine isolierte Betrachtung der Zahl der Beschwerden zu einer willkürlichen Beeinträchtigung der Rechte der betroffenen Person aus der DSGVO führen, so dass die Feststellung, dass exzessive Anfragen im Sinne von Art. 57 Abs. 4 dieser Verordnung vorliegen, an die Voraussetzung zu knüpfen ist, dass eine Missbrauchsabsicht der Person, die solche Beschwerden einreicht, nachgewiesen wird.
Auf der Grundlage der Umstände des jeweiligen Einzelfalls obliegt es somit der Aufsichtsbehörde, bei der eine große Zahl von Beschwerden eingereicht wird, nachzuweisen, dass diese Zahl nicht durch den Wunsch der betroffenen Person zu erklären ist, ihre Rechte aus der DSGVO zu schützen, sondern durch einen anderen Zweck, der in keinem Zusammenhang mit diesem Schutz steht. Dies gilt insbesondere dann, wenn sich aus den Umständen ergibt, dass die Zahl von Beschwerden darauf abzielt, das ordnungsgemäße Funktionieren der Behörde zu beeinträchtigen, indem ihre Ressourcen missbräuchlich in Anspruch genommen werden.
Insoweit kann die Häufung von Beschwerden einer Person ein Indiz für exzessive Anfragen sein, wenn sich herausstellt, dass die Beschwerden nicht objektiv durch Erwägungen gerechtfertigt sind, die sich auf den Schutz der Rechte beziehen, die die DSGVO dieser Person verleiht. Dies kann z. B. dann der Fall sein, wenn eine Person eine so große Zahl von Beschwerden bei einer Aufsichtsbehörde einreicht, die eine Vielzahl von Verantwortlichen betreffen, zu denen sie nicht unbedingt einen Bezug hat, dass diese übermäßige Inanspruchnahme ihres Rechts, Beschwerden einzureichen, in Verbindung mit anderen Gesichtspunkten wie dem Inhalt der Beschwerden ihre Absicht erkennen lässt, die Behörde zu lähmen, indem sie sie mit Anfragen überflutet.
Im vorliegenden Fall ist es Sache des vorlegenden Gerichts, zu prüfen, ob die Datenschutzaufsichtsbehörde das Vorliegen einer Missbrauchsabsicht der betroffenen Person nachgewiesen hat, ohne dass die Zahl ihrer Beschwerden für sich genommen die Ausübung der in Art. 57 Abs. 4 DSGVO vorgesehenen Befugnis rechtfertigen kann.
Nach alledem ist auf die zweite Frage zu antworten, dass Art. 57 Abs. 4 DSGVO dahin auszulegen ist, dass Anfragen nicht allein aufgrund ihrer Zahl während eines bestimmten Zeitraums als „exzessiv“ im Sinne dieser Bestimmung eingestuft werden können, da die Ausübung der in dieser Bestimmung vorgesehenen Befugnis voraussetzt, dass die Aufsichtsbehörde das Vorliegen einer Missbrauchsabsicht der anfragenden Person nachweist.
Zur dritten Frage
Was erstens den Wortlaut von Art. 57 Abs. 4 DSGVO betrifft, ist festzustellen, dass die beiden dort für den Fall exzessiver Anfragen vorgesehenen Optionen, nämlich die Option, eine angemessene Gebühr auf der Grundlage der Verwaltungskosten zu verlangen, und die Option, sich zu weigern, aufgrund solcher Anfragen tätig zu werden, nebeneinander aufgeführt und durch die nebenordnende Konjunktion „oder“ getrennt sind, ohne dass aus der Formulierung geschlossen werden könnte, dass zwischen ihnen ein Vorrangverhältnis besteht.
Somit scheint der Wortlaut dieser Bestimmung für die Auslegung zu sprechen, dass die Behörde, wenn sie feststellt, dass die bei ihr gestellten Anfragen exzessiv sind, zwischen diesen Optionen frei wählen kann.
Was zweitens den Kontext betrifft, in den sich Art. 57 Abs. 4 DSGVO einfügt, ist darauf hinzuweisen, dass es im 59. Erwägungsgrund dieser Verordnung heißt: „Es sollten Modalitäten festgelegt werden, die einer betroffenen Person die Ausübung der Rechte, die ihr nach dieser Verordnung zustehen, erleichtern, darunter auch Mechanismen, die dafür sorgen, dass sie unentgeltlich insbesondere Zugang zu personenbezogenen Daten und deren Berichtigung oder Löschung beantragen und gegebenenfalls erhalten oder von ihrem Widerspruchsrecht Gebrauch machen kann.“ Daraus folgt, dass eine Wahl zugunsten einer der beiden Optionen getroffen werden kann, wenn jedenfalls die wirksame Ausübung des Beschwerderechts gewährleistet ist.
Drittens steht die oben dargestellte Auslegung im Einklang mit den Zielen der DSGVO.
Insoweit ist darauf hinzuweisen, dass diese Verordnung, wie sich aus ihren Erwägungsgründen 10 und 11 ergibt, ein gleichmäßiges und hohes Schutzniveau für natürliche Personen in der Union gewährleisten und die Rechte der betroffenen Personen stärken und präzise festlegen soll.
Außerdem geht aus dem 129. Erwägungsgrund der DSGVO hervor, dass die Aufsichtsbehörde verpflichtet ist, den offenkundig unbegründeten oder exzessiven Charakter einer solchen Anfrage unparteiisch und gerecht zu beurteilen und sicherzustellen, dass ihre Wahl geeignet, erforderlich und verhältnismäßig ist, wobei die einschlägigen Umstände zu berücksichtigen sind und überflüssige Kosten und übermäßige Unannehmlichkeiten für die betroffene Person zu vermeiden sind.
In Anbetracht der Bedeutung des Beschwerderechts im Hinblick auf das Ziel, ein hohes Schutzniveau für personenbezogene Daten zu gewährleisten, der wesentlichen Rolle, die die Befassung mit diesen Beschwerden bei den Aufgaben spielt, die den Aufsichtsbehörden übertragen wurden, und der Verpflichtung dieser Behörden, sich mit aller gebotenen Sorgfalt mit diesen Beschwerden zu befassen, obliegt es diesen Behörden somit, alle relevanten Umstände zu berücksichtigen und sich zu vergewissern, dass die gewählte Option geeignet, erforderlich und verhältnismäßig ist.
In diesem Zusammenhang könnte es eine Aufsichtsbehörde je nach den relevanten Umständen für angebracht halten, eine angemessene Gebühr auf der Grundlage der Verwaltungskosten für den durch exzessive Beschwerden verursachten Mehraufwand zu verlangen, um einer missbräuchlichen Praxis ein Ende zu setzen, die ihr ordnungsgemäßes Funktionieren beeinträchtigen kann. Die abschreckende Wirkung dieser Option könnte die Behörde sogar dazu veranlassen, sie zu bevorzugen, statt sich von vornherein zu weigern, aufgrund dieser Beschwerden tätig zu werden.
Im Licht des 129. Erwägungsgrundes der DSGVO könnten die Aufsichtsbehörden daher erwägen, in einer ersten Stufe die Zahlung einer angemessenen Gebühr auf der Grundlage der Verwaltungskosten zu verlangen, bevor sie sich in einer zweiten Stufe weigern, aufgrund einer Beschwerde tätig zu werden, da Ersteres die Rechte der betroffenen Personen aus der DSGVO in geringerem Maße beeinträchtigt als Letzteres. Allerdings verpflichtet Art. 57 Abs. 4 DSGVO die Aufsichtsbehörde nicht in jedem Fall, zunächst die Option zu wählen, eine angemessene Gebühr zu verlangen.
Nach alledem ist auf die dritte Frage zu antworten, dass Art. 57 Abs. 4 DSGVO dahin auszulegen ist, dass eine Aufsichtsbehörde bei exzessiven Anfragen durch eine mit Gründen versehene Entscheidung wählen kann, ob sie eine angemessene Gebühr auf der Grundlage der Verwaltungskosten verlangt oder sich weigert, aufgrund der Anfrage tätig zu werden, wobei sie alle relevanten Umstände berücksichtigen und sich vergewissern muss, dass die gewählte Option geeignet, erforderlich und verhältnismäßig ist.
Fazit
Aus diesen Gründen hat der Gerichtshof (Erste Kammer) für Recht erkannt:
- Art. 57 Abs. 4 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass der darin enthaltene Begriff „Anfrage“ Beschwerden nach Art. 57 Abs. 1 Buchst. f und Art. 77 Abs. 1 der Verordnung 2016/679 umfasst.
- Art. 57 Abs. 4 der Verordnung 2016/679 ist dahin auszulegen, dass Anfragen nicht allein aufgrund ihrer Zahl während eines bestimmten Zeitraums als „exzessiv“ im Sinne dieser Bestimmung eingestuft werden können, da die Ausübung der in dieser Bestimmung vorgesehenen Befugnis voraussetzt, dass die Aufsichtsbehörde das Vorliegen einer Missbrauchsabsicht der anfragenden Person nachweist.
- Art. 57 Abs. 4 der Verordnung 2016/679 ist dahin auszulegen, dass eine Aufsichtsbehörde bei exzessiven Anfragen durch eine mit Gründen versehene Entscheidung wählen kann, ob sie eine angemessene Gebühr auf der Grundlage der Verwaltungskosten verlangt oder sich weigert, aufgrund der Anfrage tätig zu werden, wobei sie alle relevanten Umstände berücksichtigen und sich vergewissern muss, dass die gewählte Option geeignet, erforderlich und verhältnismäßig ist.
Fundstelle:
Urteil des EuGH vom 9. Januar 2025 In der Rechtssache C 416/23 – abrufbar im Internet unter https://curia.europa.eu/juris/document/document.jsf?text=&docid=294111&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1&cid=1720307
