Datenschutzrechtliche Betroffenenrechte dienen der Verwirklichung des Grundrechts auf informationelle Selbstbestimmung und sind damit wichtiger Garant für die Rechtmäßigkeit von Datenverarbeitungen.
Hierin erfahren sie aber auch ihre Grenzen:
Betroffenenrechte sollen gerade nicht als letzter Joker für datenschutzfremde Ziele missbraucht werden dürfen.
So ist schon in den Erwägungsgründen (EG) der DSGVO zum wohl populärsten Betroffenenrecht – dem datenschutzrechtlichen Auskunftsanspruch aus Art. 15 DSGVO – verankert, dass dieser einzig dem Zweck dient,
„[…] sich der Datenverarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können.“
DSGVO EG 63
Es steht außer Frage, dass Betroffene von Datenverarbeitungen bei der Ausübung ihrer Rechte nicht immer – unbewusst oder rechtsmissbräuchlich – vor Augen haben, dass es sich dabei um datenschutzbezogene Rechte handelt. Die DSGVO gibt datenverarbeitenden Stellen daher in Art. 12 Abs. 5 DSGVO die Möglichkeit, einen Antrag abzulehnen oder nur gegen Entgelt zu erfüllen, wenn diese offenkundig unbegründet oder exzessiv gestellt werden.
Bei dem Einwand des Art. 12 Abs. 5 DSGVO – etwa gegen Auskunftsansprüche – müssen datenverarbeitende Stellen aber Vorsicht walten lassen, denn einerseits ist diese für die Umstände beweispflichtig, auf die der Einwand gestützt wird und andererseits wird Art. 12 Abs. 5 DSGVO aufgrund der Grundrechtsrelevanz von Betroffenenrechten eher streng ausgelegt.
Die bisherige gerichtliche Praxis scheint für datenverarbeitende Stellen zumindest dahingehend Klarheit zu bringen, dass eine rechtsmissbräuchliche Ausübung der Betroffenenrechte schon dann vorliegt,
„[…] wenn sachfremde Ziele verfolgt werden. Letzteres kann dann anzunehmen sein, wenn der Betroffene nicht eine Rechtmäßigkeitsprüfung zur Durchsetzung seiner Betroffenenrechte anstrebt, sondern eine inhaltliche Prüfung oder eine Lästigkeitswirkung erzielen möchte“ .
LG Heidelberg, Urteil vom 21.02.2020 – 4 O 6/19
Rechtsmissbräuchlichkeit könne auch dann angenommen werden,
„wenn ein Antrag dem alleinigen Ziel dient, dem Antragsgegner Aufwand zu bereiten (sog. schikanöse Anträge) oder er eindeutig andere Ziele verfolgt“.
AG Pforzheim, Urteil vom 05.08.2022 – 4 C 1845/21
Diese Klarheit könnte der Europäische Gerichtshof (EuGH) nun aber relativieren. Der Bundesgerichtshof (BGH) hat dem EuGH nämlich in diesem Frühjahr die Frage vorgelegt, ob die Verfolgung sachfremder aber legitimer Zwecke den Einwand des Art. 12 Abs. 5 DSGVO begründet. (BGH, Beschluss vom 29.3.2022 – VI ZR 1352/20).
Hintergrund war, dass ein Patient die kostenlose Herausgabe seiner Patientenakte vom behandelnden Arzt – gestützt auf den datenschutzrechtlichen Auskunftsanspruch – verlangte, um arzthaftungsrechtliche Ansprüche zu prüfen. Rechtssicher steht daher aktuell nur fest, dass Art. 12 Abs. 5 DSGVO bei destruktiven Akteuren greift.
Sollte der EuGH nun zu einer weiten Auslegung der Betroffenenrechte tendieren, läuft das Kriterium der Sachfremdheit gegen Null. Denn für eine Abgrenzung legitimer und illegitimer Zwecke bietet das Kriterium der Sachfremdheit keinen Raum, sondern eben nur für die Frage der Sachbezogenheit.
Es bleibt abzuwarten, wie der EuGH entscheidet. Angesichts des Wortlauts des EG 63 und dem Zweck der Betroffenenrechte käme es aber – wohl nicht nur für das LG Heilbronn und das AG Pforzheim – überraschend, wenn die DSGVO zur Durchsetzung sachfremder Interessen zweckentfremdet werden darf.