Wie Sie sich als Unternehmer gegen rechtsmissbräuchliche DSGVO-Auskunftsbegehren wehren können

Martin Bahr
Martin Bahr

Dr. Bahr ist Rechtsanwalt in Hamburg und auf das Recht der Neuen Medien und den gewerblichen Rechtsschutz (Marken-, Urheber- und Wettbewerbsrecht) spezialisiert. Neben der reinen juristischen Qualifikation besitzt er ausgezeichnete Kenntnisse im Soft- und Hardware-Bereich. Unter Law-Podcasting.de betreibt er seit 2006 einen eigenen Podcast und unter Law-Vodcast.de einen Video-Vodcast.

Mehr von diesem AutorArtikel als PDF laden

In der letzten Zeit sehen sich immer mehr Unternehmer mit DSGVO-Auskunftsansprüchen von Verbrauchern konfrontiert. Der Großteil der Ansprüche ist durchaus legitim und dient dem Informationsinteresse des Verbrauchers, wer und wie seine Daten verarbeitet werden. In den letzten Monaten treten jedoch zunehmend Fälle auf, bei denen die DSGVO-Auskunftsansprüche nur vorgeschoben sind. Das Ziel ist ein anderes: Entweder, es wird versucht, einen Datenschutzverstoß zu provozieren, um einen Schadensersatzanspruch nach Art. 82 DSGVO auszulösen. Oder aber das Begehren wird als „begleitende Maßnahme" im Rahmen der Durchsetzung anderer Ansprüche (z. B. im Arbeitsgerichtsprozess) als weitere Munition verwendet. Der Artikel zeigt die Möglichkeiten auf, wie sich betroffene Unternehmen erfolgreich gegen rechtsmissbräuchliche DSGVO-Auskunftsbegehren wehren können.

Teil 1: Die Problematik bei DSGVO-Auskunftsbegehren


Fangen wir mit der guten Nachricht an: Sie können sich durchaus erfolgreich gegen rechtsmissbräuchliche Auskunftsbegehren wehren.

Und nun die schlechte Nachricht: Das Ganze wird nicht ohne einigen Aufwand im Voraus und ein paar Euro an Kosten möglich sein.

Mit Inkrafttreten der DSGVO im Mai 2018 wurde bekanntlich auch der sogenannte datenschutzrechtliche Auskunftsanspruch nach Art. 15 DSGVO eingeführt.

Der Betroffene kann von beliebigen Dritten Auskunft dazu verlangen, ob über ihn personenbezogene Daten gespeichert werden. Spätestens innerhalb eines Monats hat der angesprochene Unternehmer zu reagieren.

Bei vielen Unternehmen sind inzwischen entsprechende datenschutzrechtliche Prozesse etabliert, bei denen mittels Knopfdruck die jeweiligen Auskunftsbegehren beantwortet werden können. Jedoch ist es nicht allen Firmen möglich, derart leicht Auskunft zu erteilen.

Während ein Webseiten-Betreiber problemlos Zugriff auf die Inhalte seiner eigenen Datenbank hat, ist dies bei externen Inhalten schon deutlich anders: Was ist mit den Inhalten auf Ihrer Facebook-Fanpage? Oder Ihrem Instagram-Profil?

In aller Regel ist es nicht oder nur schwer möglich, diese externen Inhalte zu durchsuchen.

Da ein DSGVO-Auskunftsbegehren vollständig sein muss, muss der betroffene Unternehmer somit im Zweifel händisch die entsprechenden externen Inhalte durchsuchen, um zu überprüfen, ob möglicherweise Daten des Auskunftsbegehrenden enthalten sind.

Übersieht die angefragte Firma etwas, begeht sie einen Datenschutzverstoß. Dies gilt auch dann, wenn der Fehler lediglich auf einfacher Fahrlässigkeit beruht.

In der letzten Zeit häufen sich DSGVO-Anfragen, bei denen offensichtlich ist, dass sie nicht dem Informationsinteresse dienen, sondern in der Absicht gestellt werden, beim Auskunftsverpflichteten einen Datenschutz zu provozieren, um später Schadensersatzansprüche nach Art. 82 DSGVO geltend zu machen.

Teil 2: Ihre Reaktionsmöglichkeiten

1. Einfachstes Mittel: Zugriff + Suchmöglichkeiten auf alle Daten

Die einfachste Methode, einem solchen rechtsmissbräuchlichen DSGVO-Auskunftsbegehren in der Praxis zu begegnen, ist relativ simpel: Sorgen Sie dafür, dass Sie Zugriff auf alle Daten haben und dass Sie diese ohne großen Aufwand elektronisch durchsuchen können, d. h., dass die Informationen in einer entsprechenden Datenbank abgespeichert sind.

Verzichten Sie, wenn möglich, auf sämtliche externe Inhalte, bei denen Sie nicht oder nur mit großem Aufwand auf die dort hinterlegten personenbezogenen Daten zugreifen können.

Wenn Sie nämlich schnell und vollständig auf ein derartiges DSGVO-Auskunftsbegehren reagieren, ist dies die beste Methode, um vor weiterem Ungemach verschont zu bleiben. Sie demonstrieren damit nämlich, dass Ihr Unternehmen alles im Griff hat und absolut DSGVO-konform aufgestellt ist. Ein Provokateur wird dies ebenso erkennen und sich schnell auf die Suche nach einem leichteren „Opfer" begeben.

Denn davon gibt es auch im Jahr 2022 leider nach wie vor viele. Eine erhebliche Anzahl von Unternehmen nimmt auch weiterhin ein derartiges DSGVO-Auskunftsbegehren nicht ernst, bevor dann das Kind in den Brunnen fällt.

2. Rechtsmissbrauch des Auskunftsbegehrens

Ist die vorgenannte Variante nicht möglich, so bleibt nur die Möglichkeit, dem Auskunftsanfragenden Rechtsmissbrauch nachzuweisen.

In Fällen des Rechtsmissbrauchs muss der Auskunftsverpflichtete nämlich die Anfrage nicht inhaltlich beantworten, sondern kann das Begehren als unzulässig zurückweisen.

Beachten Sie dabei aber bitte, dass Sie nicht zu vorschnell mit dem Vorwurf des Rechtsmissbrauchs um die Ecke kommen sollten. Denn der Art. 15 DSGVO ist eines der zentralen Rechte des Verbrauchers. Es sind daher qualifizierte Voraussetzungen zu erfüllen, damit ein Missbrauch zu bejahen ist.

a. Offenkundig unbegründete oder exzessive Auskunftsverlangen

Das Gesetz statuiert in Art. 12 Abs. 5 DSGVO zunächst selbst einen Fall des Rechtsmissbrauchs: wenn es sich nämlich um „offenkundig unbegründete oder – insbesondere im Fall von häufigen Wiederholungen – exzessive Anträge" handelt.

Nähere Erläuterungen oder Hinweise finden sich in den Gesetzesmaterialien hierzu nicht. Ob nun ein Auskunftsbegehren schon dann exzessiv ist, wenn es beispielsweise alle drei Monate wiederholt wird, wird man nicht schematisch beantworten können. Vielmehr wird man sich jeden Einzelfall isoliert anschauen müssen. Starre Leitlinien oder Vorgaben gibt es hier leider nicht.

b. Urteil des OLG Hamm1:

Darüber hinaus hat die Rechtsprechung auch in anderen Konstellationen einen Rechtsmissbrauch bejaht.

Der Kläger war bei der verklagten Versicherung krankenversichert. Er wehrte sich gegen Prämienerhöhungen der Assekuranz, die er für unbegründet hielt. Im Zuge der gerichtlichen Auseinandersetzung verlangte er von der Beklagten auch Auskunft nach Art. 15 DSGVO.

Das OLG Hamm stufte dieses Auskunftsbegehren als rechtsmissbräuchlich ein:

„Der Beklagten steht ein Weigerungsrecht aus Art. 12 Abs. 5 Satz 2 Buchstabe b) DS-GVO zu. Die Vorschrift führt zwar lediglich die häufige Wiederholung als Beispiel für einen ‚exzessiven‘ Antrag auf. Die Verwendung des Wortes ‚insbesondere‘ macht aber deutlich, dass die Vorschrift auch andere rechtsmissbräuchliche Anträge erfassen will (...).

Bei der Auslegung, was in diesem Sinne rechtsmissbräuchlich ist, ist auch der Schutzzweck der DS-GVO zu berücksichtigen. Wie sich aus dem Erwägungsgrund 63 zu der Verordnung ergibt, ist Sinn und Zweck des in Art. 15 DS-GVO normierten Auskunftsrechts, es der betroffenen Person problemlos und in angemessenen Abständen zu ermöglichen, sich der Verarbeitung der sie betreffenden personenbezogenen Daten bewusst zu werden und die Rechtmäßigkeit dieser Verarbeitung überprüfen zu können (...)."

Die Richter bejahen hier einen Missbrauchsfall, weil es dem Kläger hier ja nicht um die Auskunft ging, sondern vielmehr um seine Klage gegen die Versicherung:

„Um ein solches Bewusstwerden zum Zweck einer Überprüfung der datenschutzrechtlichen Zulässigkeit der Verarbeitung personenbezogener Daten geht es dem Kläger aber nach seinem eigenen Klagevorbringen überhaupt nicht. 

Sinn und Zweck der von ihm begehrten Auskunftserteilung ist vielmehr (...) ausschließlich die Überprüfung etwaiger vom Beklagten vorgenommener Prämienanpassungen wegen möglicher formeller Mängel nach § 203 Abs. 5 VVG.

Eine solche Vorgehensweise ist vom Schutzzweck der DS-GVO aber nicht umfasst (...)."

c. Urteil des LG Wuppertal2:

Einen ähnlichen Standpunkt vertritt das LG Wuppertal.

Danach ist ein Auskunftsanspruch nach Art. 15 DSGVO dann rechtsmissbräuchlich, wenn mit ihm ein zweckfremdes Ziel außerhalb des Datenschutzes erreicht werden soll.

Der Kläger in diesem Fall war bei der verklagten Versicherung kranken- und pflegeversichert. Er wehrte sich gegen Prämienerhöhungen der Assekuranz, die er für unbegründet hielt. Im Zuge der gerichtlichen Auseinandersetzung verlangte er von der Beklagten nach Art. 15 DSGVO Auskunft über Prämienanpassungen in den Jahren zuvor. Er trug vor, dass er diese Informationen benötige, um weitere Ansprüche gegen die Beklagte beziffern zu können.

Ein solches Handeln stufte das LG Wuppertal als rechtsmissbräuchlich ein. Denn mit dieser Vorgehensweise werde ein zweckwidriges Ziel verfolgt:

„Nach dem Willen des Klägers soll das begehrte Auskunftsbündel ausschließlich der Verfolgung von Leistungsansprüchen dienen.

Dabei handelt es sich um einen vollkommen verordnungsfremden Zweck. Nach dem Erwägungsgrund 63 DSGVO, dient das Auskunftsrecht aus Art. 15 DSGVO dem Betroffenen vielmehr dazu, sich der Verarbeitung seiner personenbezogenen Daten bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können."

d. Urteil des LG Krefeld3:

Die nahezu identische Meinung vertritt das LG Krefeld.

Auch hier war der Kläger Kunde mit einer privaten Kranken- und Pflegeversicherung bei dem verklagten Versicherungsunternehmen. Um die Rechtmäßigkeit der Beitragserhöhungen zu überprüfen, machte er u. a. einen DSGVO-Auskunftsanspruch geltend.

Das LG Krefeld konnte kein legitimes Interesse erkennen und bejahte den Rechtsmissbrauch:

„Nach dem Erwägungsgrund (...) dient das Auskunftsrecht aus Art. 15 DSGVO dem Betroffenen dazu, sich der Verarbeitung seiner personenbezogenen Daten bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können. So soll Art. 15 DSGVO eine Rechtmäßigkeitskontrolle der Datenverarbeitungsvorgänge ermöglichen. Der Betroffene soll den Umfang und Inhalt der gespeicherten Daten beurteilen können.

Keine der (...) genannten Interessen verfolgt die Klagepartei vorliegend, nicht einmal als Reflex. Aus dem Vortrag und dem prozessualen Vorgehen der Klagepartei ergibt sich, dass der Auskunftsanspruch letztlich nur dazu dienen soll, nach Überprüfung der Rechtmäßigkeit der Beitragsüberprüfung einen etwaig bestehenden Bereicherungsanspruch gegen die Beklagte zu verfolgen."

Teil 3: Ergebnis

Die einfachste und effektivste Methode, sich gegen rechtsmissbräuchliche Auskunftsbegehren zu wehren, ist die schnelle und vollständige Mitteilung. Denn damit signalisieren Sie dem Auskunftsanfragenden, dass sie in puncto DSGVO gut aufgestellt sind. Der Anfragende wird dann, auf der Suche nach einem leichteren Opfer, weiterziehen.

Ist Ihnen eine schnelle und vollständige Mitteilung nicht oder nur sehr schwer möglich, so überprüfen Sie, ob das Begehren nicht möglicherweise rechtsmissbräuchlich ist und Sie es daher ablehnen können. Seien Sie aber nicht zu vorschnell mit einer solchen Annahme, da die Rechtsprechung hohe Voraussetzungen daran knüpft.

1 OLG Hamm, Beschl. v. 15.11.2021 – Az.: 20 U 269/21.
2 LG Wuppertal, Urt. v. 29.07.2021 – Az.: 4 O 409/20.
3 LG Krefeld, Urt. v. 06.10.2021 – Az.: 2 O 448/20.