Liegt eine rechtsmissbräuchliche DSGVO-Auskunftsanfrage bereits vor, wenn, wenn es im Internet Hinweise gibt, dass der Anfragende die Informationen dann nutzt, um später einen DSGVO-Schadensersatz geltend zu machen? Diese Frage hat das AG Arnsberg dem EuGH zur Beantwortung vorgelegt (AG Arnsberg, Beschl. v. 31.07.2024 - Az.: 42 C 434/23).
Das klägerische Unternehmen verweigerte dem Beklagten die Auskunft über seine personenbezogenen Daten gemäß Art. 15 DSGVO.
Der Beklagte hatte zuvor seine Daten bei der Anmeldung für einen Newsletter eingegeben und stellte im Anschluss einen Auskunftsantrag nach Art. 15 DSGVO.
Die Klägerin vertrat den Standpunkt, das Auskunftsersuchen sei rechtsmissbräuchlich, da der Beklagte diese Anfragen systematisch nutze, um Schadensersatzforderungen zu provozieren. Sie verwies dazu auf zahlreiche Online-Nachrichten, die ein solches Vorgehen des Beklagten belegten.
Das Gericht hat das Verfahren ausgesetzt und dem EuGH folgende Fragen vorgelegt.
"1. Ist Art. 12 Abs. 5 S. 2 Datenschutzgrundverordnung (DSGVO) dahingehend auszulegen, dass ein exzessiver Antrag auf Auskunft durch den Betroffenen nicht bei der ersten Antragstellung gegenüber dem Verantwortlichen vorliegen kann?
2. Ist Art. 12 Abs. 5 S. 2 DSGVO dergestalt auszulegen, dass der Verantwortliche ein Auskunftsersuchen des Betroffenen verweigern kann, wenn der Betroffene beabsichtigt, mit dem Auskunftsersuchen Schadenersatzansprüche gegen den Verantwortlichen zu provozieren.
3. Ist Art. 12 Abs. 5 S. 2 DSGVO dahingehend auszulegen, dass öffentlich zugängliche Informationen über den Betroffenen, die den Schluss zulassen, dass dieser in einer Vielzahl von Fällen bei Datenschutzverstößen Schadenersatzansprüche gegen Verantwortliche geltend macht, die Verweigerung der Auskunft rechtfertigen können?
4. Ist Art. 4 Nr. 2 DSGVO dergestalt auszulegen, dass das Auskunftsersuchen eines Betroffenen gegenüber dem Verantwortlichen gemäß Art. 15 Abs. 1 DSGVO und/oder dessen Beantwortung eine Verarbeitung im Sinne von Art. 4 Nr. 2 DSGVO darstellt?
5. Ist Art. 82 Abs. 1 DSGVO in Ansehung von Erwägungsgrund 146 S. 1 DSGVO dahingehend auszulegen, dass lediglich diejenigen Schäden ersatzfähig sind, die dem Betroffenen aufgrund einer Verarbeitung entstehen bzw. entstanden sind? Bedeutet dies, dass für einen Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO – das Vorliegen eines kausalen Schadens des Betroffenen unterstellt – zwingend eine Verarbeitung der personenbezogenen Daten des Betroffenen Vorgelegen haben muss?
6. Falls Frage 5 bejaht wird: Führt dies dazu, dass dem Betroffenen – das Vorliegen eines kausalen Schadens unterstellt – allein aus der Verletzung seines Auskunftsrechts nach Art. 15 Abs. 1 DSGVO kein Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO zusteht?
7. Ist Art. 82 Abs. 1 DSGVO dergestalt auszulegen, dass der Rechtsmissbrauchseinwand des Verantwortlichen in Bezug auf ein Auskunftsersuchen des Betroffenen in Ansehung des Unionsrechts nicht darin bestehen kann, dass der Betroffene die Verarbeitung seiner personenbezogenen Daten allein oder unter anderem deswegen herbeigeführt hat, um Schadenersatzansprüche geltend zu machen?
8. Falls die Fragen 5 und 6 verneint werden: Stellt allein der mit einem Verstoß gegen Art. 15 Abs. 1 DSGVO einhergehende Kontrollverlust und/oder die Ungewissheit über die Verarbeitung der personenbezogenen Daten des Betroffenen einen immateriellen Schaden des Betroffenen im Sinne des Art. 82 Abs. 1 DSGVO dar oder bedarf es darüber hinaus einer weiteren (objektiven oder subjektiven) Einschränkung und/oder (spürbaren) Beeinträchtigung des Betroffenen?"
Das Verfahren betrifft somit zwei wesentliche Fragen:
1. Liegt ein Rechtsmissbrauch bereits dann vor, wenn der Anfragende diese bewusst einsetzt, um Schadensersatzansprüche nach Art. 82 DSGVO zu provozieren?
2. Reichen öffentlich zugängliche Internet-Beiträge aus, um einen solchen Rechtsmissbrauch zu belegen?