Am 9. Januar 2025 entschied der Europäische Gerichtshof (EuGH) in der Rechtssache C‑416/23 über die Frage, ob die bloße Anzahl von Beschwerden als Kriterium für „exzessive Anfragen“ gemäß Art. 57 Abs. 4 der Datenschutz-Grundverordnung (DSGVO) herangezogen werden kann.
Hintergrund des Falls
Ein österreichischer Bürger reichte in den Jahren 2019 und 2020 insgesamt 77 Beschwerden bei der österreichischen Datenschutzbehörde ein. Diese lehnte die Bearbeitung schließlich mit der Begründung ab, die Anfragen seien aufgrund ihrer Menge „exzessiv“. Die Beschwerden betrafen unterschiedliche Sachverhalte und Verantwortliche.
Entscheidung des EuGH
Der EuGH stellte klar, dass:
- Begriff „Anfragen“: Dieser umfasst auch Beschwerden nach Art. 77 Abs. 1 DSGVO.
- Anzahl der Beschwerden: Eine hohe Anzahl allein rechtfertigt nicht die Einstufung als „exzessiv“. Es muss ein missbräuchliches Verhalten der betroffenen Person nachgewiesen werden.
- Ermessen der Aufsichtsbehörde: Bei der Entscheidung über Maßnahmen muss die Behörde die Umstände des Einzelfalls berücksichtigen und sicherstellen, dass die gewählte Maßnahme geeignet, erforderlich und verhältnismäßig ist.
Fazit
Dieses Urteil stärkt die Rechte der betroffenen Personen. Legitime Beschwerden dürfen nicht allein aufgrund ihrer Anzahl abgewiesen werden. Es betont die Notwendigkeit einer individuellen Prüfung jeder Beschwerde und verhindert pauschale Ablehnungen durch Aufsichtsbehörden.
Bedeutung der Datenschutzkonformität im Unternehmen
Das Urteil des EuGH zeigt erneut, wie stark die Rechte von Betroffenen durch die DSGVO geschützt sind. Unternehmen sollten sich dieser Stärkung bewusst sein und sicherstellen, dass sie datenschutzkonform arbeiten. Eine transparente und sorgfältige Verarbeitung personenbezogener Daten sowie die effektive Bearbeitung von Anfragen und Beschwerden sind essenziell, um rechtliche Risiken zu vermeiden.
Datenschutzkonformität ist nicht nur eine rechtliche Verpflichtung, sondern auch ein Vertrauensfaktor gegenüber Kunden und Geschäftspartnern. Eine klare und proaktive Kommunikation sowie der Aufbau effizienter interner Prozesse für den Umgang mit Datenschutzanfragen helfen, potenzielle Konflikte frühzeitig zu entschärfen und die Beziehung zu den Betroffenen zu stärken.