EuGH: Erster Auskunftsantrag kann rechtsmissbräuchlich sein – DS News KW 12/2026

Transkript zur Folge:

Herzlich willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update der Migosense.
Wir starten heute wieder mit euch gemeinsam ins Wochenende. Mein Name ist Heiko Gossen.
Mein Name ist David Schmidt.
Unser Redaktionsschluss war um 10 Uhr. Heute ist Freitag, der 20.
März. Wir schreiben das Jahr 2026 und wir gucken wie gewohnt einmal auf die
Woche des Datenschutzes, was es so an Themen gab.
Und damit, David, würde ich direkt mal den Ball zu dir spielen und sagen,
welche Themen hast du denn die Woche identifiziert für uns?
Ball ist angenommen. Ich habe identifiziert ein Urteil des EuGH zur biometrischen
Datenerhebung durch Strafverfolgungsbehörden.
Dann habe ich ein Bußgeld aus Frankreich mitgebracht.
Ich schaue auf Drohnenbilder und inwieweit diese Personen bezogen sein können.
Dann gibt es noch Neues aus den Aufsichtsbehörden und eine Veröffentlichung
habe ich auch im Gepäck. Wie sieht es bei dir aus?
Ja, ich fange hinten an. Auch eine Veröffentlichung habe ich mit dabei.
Außerdem unsere Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
hat ihren Rücktritt erklärt.
Da schauen wir kurz drauf. Ich hätte auch genauso ein Bußgeld bzw.
Eine Bußgeldkorrektur, muss ich richtigerweise sagen.
Und ein Titelthema, das haben wir auch, nämlich eine EuGH-Entscheidung,
die ich nicht ganz so interessant finde, nämlich zur Frage, ob auch ein erstmaliger
Auskunftsantrag schon exzessiv sein kann.
Da schauen wir zusammen auch gleich drauf.
Da bin ich schon sehr gespannt drauf. Ich würde aber erstmal beginnen mit meinem EuGH-Urteil.
Sehr gerne, Lee Schloss.
Das wurde gesprochen zum Fall...
Comdibus. Darin ging es um die Auslegung der Richtlinie 2016-680,
also nicht um die DSGVO, sondern um die Richtlinie zum Schutz natürlicher Personen
bei der Verarbeitung von personenbezogenen Daten durch Strafverfolgungsbehörden.
Genauer ging es um den Artikel 10 dieser Richtlinie, in dem die Voraussetzungen
für die Zulässigkeit der Verarbeitung von Daten besonderer Kategorie geregelt
sind und dort um Buchstabe A.
Danach dürfen solche Daten von Strafverfolgungsbehörden verarbeitet werden,
wenn dies nach dem Unionsrecht oder dem Recht der Mitgliedstaaten zulässig ist.
Erstmal wenig überraschend, vielleicht um das ein bisschen mehr anzufüttern,
einmal der zugrunde liegende Fall.
Es geht um einen Mann, der 2020 in Paris festgenommen wurde,
weil er angeblich eine nicht angemeldete Demonstration organisiert hatte.
Für diesen Vorwurf wurde der Mann dann später freigesprochen.
Trotzdem bekam er aber eine Geldstrafe, weil er sich geweigert hatte,
bei der Polizei Fingerabdrücke abzugeben und Fotos von sich machen zu lassen.
Dagegen hat er sich jetzt mit Erfolg gewährt. Er vertrat die Auffassung,
dass die französische Strafprozessordnung, die anordnet bei Verdacht auf Begehung
einer Straftat Fingerabdrücke von Verdächtigen zu nehmen,
gegen das EU-Datenschutzrecht verstößt.
Der EuGH schloss sich dem an und erklärte, dass eine grundsätzliche Verpflichtung
der Strafverfolgungsbehörden zur Erhebung biometrischer Daten von Verdächtigen
gegen die Richtlinie 2016-680 verstößt.
Vielmehr muss in jedem Einzelfall konkret begründet werden, wieso dies erforderlich ist.
Demnach muss jetzt der französische Gesetzgeber einmal nachbessern und ja,
wahrscheinlich auch viele sonstige Mitgliedstaaten werden entsprechend ihre
Strafprozessregelung einmal kritisch überprüfen und gegebenenfalls ändern müssen.
Das Ganze dürfte auch nochmal zusätzliches Material für die Kritik an den Vorhaben
in Deutschland bezüglich Palantir und so weiter mit sich bringen.
Wir halten euch auf dem Laufenden.
Ja, ist ja im Prinzip das, was Sie
natürlich für die Unternehmensdatenschutzvorgaben natürlich auch kennen.
Die absolute Erforderlichkeit muss auch für Behörden eingehalten werden.
Vielleicht kurz nochmal zur Einsortierung. Die Richtlinie 2016-680 ist sozusagen
direkt nach der Verordnung 2016-679 gekommen, die ja die DSGVO ist.
Also das heißt, da gibt es schon eine sehr hohe Deckung auch zur DSGVO.
Deswegen hat das natürlich auch, finde ich, schon eine gewisse Ausstrahlwirkung
dann natürlich auch auf die Regelung in der DSGVO.
Von daher vielen Dank dafür, dass du es mitgebracht hast. Gerne.
Ja, und damit schauen wir auf das andere EuGH-Urteil, was diese Woche herausgekommen
ist, veröffentlicht wurde.
Ein erstmaliger Auskunftsantrag kann laut EuGH unzulässig sein,
wenn er gezielt auf Schadensersatz angelegt ist.
Im Ausgangsfall hat sich eine Person in Österreich bewusst für den Newsletter
eines deutschen Optiker-Unternehmens angemeldet und kurz darauf dann aber Auskunft
über die personenbezogenen Daten verlangt.
Das Unternehmen hat den Antrag dann abgelehnt und ihn als missbräuchlich eingeordnet.
Anscheinend war der Betroffene für dieses Vorgehen wohl schon bekannt und deswegen
hat man dann hier auch schon vermutet, dass es nur darum geht,
irgendwie nachher Schadensersatzansprüche geltend zu machen.
Das hat den Betroffenen nicht davon abgehalten. Er hat dann direkt die Schadensersatzansprüche
gestellt, woraufhin das Unternehmen wiederum beim Amtsgericht Arnsberg hat feststellen
lassen wollen, dass in dem Fall kein Auskunftsanspruch bestünde.
Und das Amtsgericht hat dem Europäischen Gerichtshof daraufhin mehrere Fragen
zur Auslegung der DSGVO vorgelegt.
Also manchmal kann das dann sozusagen auch direkt vom Amtsgericht zum EuGH gehen
und hilft natürlich dann, wie gesagt, gerade in so einem Fall finde ich uns
auch, natürlich in so einem Fall mal mit einer Einsortierung.
Im Mittelpunkt der Vorlagefragen stand, unter welchen Voraussetzungen ein Auskunftsantrag
als exzessiv gelten kann und außerdem wollte das Amtsgericht wissen,
wann ein Schadensersatzanspruch wegen eines Verstoßes gegen das Auskunftsrecht besteht.
Der AGR hat nun entschieden diese Woche.
Dass auch ein erstmaliger Auskunftsantrag exzessiv sein kann.
Das gilt jedoch nur, wenn der Verantwortliche nachweisen kann,
dass der Antrag nicht der Kontrolle der Datenverarbeitung, die ihn stattdessen muss,
erkennbar sein, dass gezielt die Grundlage für einen späteren Schadensersatzanspruch
geschaffen werden sollte vom Betroffenen.
Gleichzeitig hat der EuGH aber auch klargestellt, dass ein Verstoß gegen das
Auskunftsrecht grundsätzlich einen Schadensersatzanspruch auslösen kann.
Das ist auch ein Punkt ja gewesen, der durchaus kontrovers diskutiert wurde.
Ein solcher Anspruch setzt aber dann natürlich wiederum voraus,
dass tatsächlich ein materieller oder immaterieller Schaden auch entstanden ist.
Und, und das ist das Wichtige, der Anspruch besteht nämlich nicht,
wenn das Verhalten der betroffenen Person selbst die wesentliche Ursache für
den Schaden gewesen wäre.
Also das heißt, ich kann nicht einen Schaden provozieren, um dann Schadensersatz geltend zu machen.
Die Entscheidung ist ja nun natürlich an das Abendsgericht zurückgegeben worden,
dass ich jetzt den Einzelfall abschließend bewerten muss.
Aus meiner Sicht ist es aber eine sehr begrüßenswerte Entscheidung,
denn ich finde, hier zeigt sie auch mal wieder klare Grenzen auf,
wenn Betroffene versuchen, hier Datenschutz zu instrumentalisieren.
Das kennen wir natürlich auch noch in anderen Fällen. Das löst nicht alle Probleme,
die wir da haben von missbräuchlicher Anwendung von betroffenen Rechten.
Aber es ist, finde ich, schon mal wieder ein wichtiger Baustein im Puzzle für,
wir kriegen das alles irgendwie rechtsgeklärt.
Ja, vor allem auch endlich mal was, wo man dann auch in der Praxis darauf zurückgreifen kann.
Meines Wissens nach hatte sich der EuGH nämlich noch nicht zu den Begriffen
Rechtsmissbräuchlichkeit und vor allem nicht Exzessivität großartig geäußert.
Es ist ja irgendwie, entspricht das ja auch dem Gefühl, was wir alle haben.
Trotzdem in der Beratungspraxis ging es zumindest mir so, dass ich oft so ein
bisschen Respekt vor dieser Ablehnung wahrgenommen habe aufgrund der Rechtsmissbräuchlichkeit.
Ich glaube, hier hat man jetzt was in der Hand, sodass man da auch ein bisschen
selbstbewusst sowas mal ablehnen kann, wenn man es mit solchen Querulanten zu tun hat.
Genau, absolut. Ich meine, wir hatten schon eine Entscheidung vom EuGH,
dass auch eine mehrfache Abfrage nicht automatisch rechtsmissbräuchlich sein muss.
Also das heißt, es gab schon eine Entscheidung auch in eine andere Richtung
rund um den Begriff der Exzessivität.
Von daher, ja, ich glaube, jede Entscheidung auf höchstrichterlicher Ebene hilft
uns dann wieder das Ganze zu schärfen, weil genau wie du sagst,
diese Ablehnung bei mehrfachen Anfragen zum Beispiel,
die wird mit sehr viel Vorsicht genossen in der Realität.
Das französische Werbetechnologieunternehmen Criteo hat sich vor dem höchsten
Verwaltungsgericht in Frankreich gegen ein von der Knill verhängtes Bußgeld
in Höhe von 40 Millionen Euro versucht zu wehren, jedoch verloren.
Der Vorwurf lautete, Criteo habe über längere Zeit mangelhafte Einwilligungsprozesse
und unzureichende Nutzerinformationen beim Einsatz von Tracking-Cookies eingesetzt.
Criteo ist ja ein Marketingunternehmen, was als Anbieter von Tracking-Technologie
auftritt und diese Webseitenbetreibern zur Verfügung stellt.
Und hier ging es jetzt insbesondere um die Einstufung von Criteo als gemeinsam
verantwortliche Stelle und inwieweit Tracking-Informationen weiterhin Personenbezug aufweisen.
Criteo versuchte hier damit zu argumentieren, dass Rückschlüsse auf einzelne
Website-User für sie nur mit unverhältnismäßig hohem Aufwand möglich seien und
es sich bei den Tracking-Informationen deshalb aus Sicht von Criteo gar nicht
um personenbezogene Daten handele.
Dies sah das Gericht aber anders.
Zwar müsse es nicht technisch ausgeschlossen sein, die Informationsschnipsel
zu natürlichen Personen zuzuordnen, um dabei von nicht personenbezogenen Daten auszugehen.
Gleichwohl müsse das Risiko der Reidentifizierung einer betroffenen Person unbedeutend
sein, da eine solche Identifizierung in der Praxis nicht durchführbar ist.
Das hört sich erstmal wenig konkret an.
Beim zweiten Lesen würde ich dafür die Praxis aber durchaus rausziehen,
die Empfehlung eben eine entsprechende Risikoanalyse in diesen Konstellationen durchzuführen.
Also insbesondere sich einmal anzuschauen, wie wahrscheinlich ist es denn tatsächlich,
dass eine Identifizierung durchgeführt werden kann und darauf basierend dann
festzulegen, ob man sich im Scope der DSGVO befindet.
Gerade im Bereich Telemedien darf man dabei aber natürlich nicht vergessen,
dass der Anwendungsbereich des T3DG anders definiert ist, also selbst wenn ich dazu komme, dass,
bestimmte Tracking-Schnipsel keinen Rückschluss auf den User für mich haben
und es deshalb keine personenbezogenen Daten sind, muss ich trotzdem schauen,
ob ich im Bereich des T3DG nicht eigene Verantwortlichkeiten habe.
Was ich ganz interessant finde und ich frage mich gerade, ob es in Deutschland
auch schon mal ein Bußgeld gab, was vom Gericht so bestätigt wurde,
wie es von der Behörde verhängt wurde.
Denn bei meinem nächsten Fall ist es ein deutsches Urteil zu einem Bußgeld,
was aber vom Gericht angepasst wurde.
Und ich überlege gerade, ob wir überhaupt Fälle hatten, wo die Bußgelder von
den Aufsichtsbehörden so durchgegangen sind, wenn sie gerichtlich überprüft wurden.
Denn das Oberlandesgericht Zelle hat ein DSGVO-Bußgeld gegen Notebooks billiger.de
von 10,4 Millionen Euro auf 900.000 Euro reduziert.
Dem Ganzen ist jetzt ein jahrelanger Rechtsstreit vorausgegangen wegen dieses
massiven Bußgelds gegen den Elektronikhändler und den Fall dürften wahrscheinlich
viele in Erinnerung haben.
Nicht selten sieht man ja dieses Bußgeld auch in irgendwelchen Vorträgen als
abschreckendes Beispiel. Ich glaube, hier müssen jetzt einige Slides angepasst
werden von Leuten, die das heranziehen.
Denn gegen dieses Bußgeld ist das Unternehmen seinerzeit direkt vorgegangen
und hat dann auch erreicht, dass das Landgericht die Geldbuße damals auf 700.000 Euro reduziert hat.
Gegen diese Entscheidung hat dann allerdings die Staatsanwaltschaft wiederum
Rechtsbeschwerde eingelegt. Und das Oberlandesgericht hat dann nun dieses Bußgeld
abschließend auf 900.000 Euro angehoben wiederum.
Im Kern ist es in allen Instanzen um die Bewertung der Schwere des Datenschutzverstoßes gegangen.
Es ging also nicht darum, ob da jetzt als solches datenschutzmäßig alles in Ordnung war oder nicht.
Laut Heise gab es wohl im Jahr 2023 auch strafrechtliche Verurteilungen von
ehemaligen Angestellten des Elektronikhändlers Deswegen schweren Bandendiebstahls.
Allerdings, ob hierfür dann am Ende die Videoaufnahmen von Belang waren oder
nicht, das ist nicht überliefert.
Deswegen wissen wir auch nicht, inwieweit das natürlich nachher wirklich nochmal
in die Entscheidung vielleicht auch mit eingeflossen ist. Auf jeden Fall.
Es gab wohl vor Gericht verschiedene Aspekte, die beleuchtet wurden und das
Landgericht hatte damals auch argumentiert, dass man die Buße etwas niedriger
ansetzt, weil die DSGVO ja noch recht neu war und es dazu dann auch eine gewisse
Rechtsunsicherheit bestand.
Das hat das Oberlandesgericht allerdings wieder revidiert und gesagt,
das gibt die DSGVO nicht her.
Sozusagen so ein Anfangsbonus, weil man da noch eine neue Rechtsunsicherheit
hat, das ist da nicht vorgesehen und hat deswegen dann die Buße wieder etwas erhöht.
Und insgesamt muss man wohl auch sagen, zumindest so ist das jetzt auch in dem
Heiser Artikel geschildert,
dass die Aufsichtsbehörde seinerzeit das DSK-Berechnungsmodell natürlich zugrunde
gelegt hat und später kam ja dann der ETSA mit seinem Berechnungsmodell,
was wohl in seiner Anwendbarkeit auch zu einem etwas niedrigeren Bußgeld wohl führt.
Ich habe mich ein bisschen erinnert gefühlt, so von den Beträgen her,
an das Bußgeld von 1&1, was ja auch mit knapp 10 Millionen Euro vom BFDI seinerzeit
verhängt wurde und dann auch vom Oberlandesgericht Berlin,
nee Bonn, weiß ich nicht mehr, auf jeden Fall Köln, nee Köln glaube ich war es, genau.
Die haben es dann auch auf 900.000 Euro reduziert, also 900.000 scheint irgendwie
so eine beliebte Marke zu sein, habe ich das Gefühl.
Die österreichische Datenschutzbehörde hat in einem Fall zugunsten eines Beschwerdeführers
entschieden, der sich gegen Drohnenaufnahmen in Immobilieninseraten gewährt hatte.
In dem konkreten Fall ließ sich durch Hinzuziehen von Adressen und aus Auszügen
aus dem Grundbuch Rückschlüsse über die Identität der Nachbarn ziehen,
sodass die Aufnahmen als personenbezogene Daten einzustufen sind.
Für deren Veröffentlichung fehlte es dem Immobilienunternehmen an einer,
Auffassung der Datenschutzbehörde, den Maklern grundsätzlich ein legitimes,
berechtigtes Interesse zuzusprechen, solche Drohnenaufnahmen durchzuführen und
die Inseraten anzuhängen.
Jedoch wurde hier die Umgebung gar nicht verpixelt, was als weniger eingriffsintensive
Methode zur Verfügung stand.
Und kann man sich natürlich dann auch wieder ein bisschen darüber streiten,
ob der Personenbezug komplett aufgehoben wird durch so ein Verpixeln,
sodass man erst gar keine Interessenabwägung durchführen müsste oder ob diese
halt im Rahmen der Interessenabwägung als risikoreduzierende Maßnahme zur Verfügung steht.
Ich glaube, das ist auf jeden Fall interessant für alle, die irgendwie mit Immobilien
zu tun haben. Wir haben ja letzte Woche auch schon das Thema mit der Selbstauskunft.
Also von daher, wir haben ja viel für Immobilienmakler. Ich finde,
das sollte man durchaus unseren Podcast mal Immobilienmaklern per se vielleicht ans Herz legen, oder?
Ja, sehe ich auch so. Und das Thema ist ja auch in anderen Bereichen relevant.
Also wir haben ja auch immer wieder zu tun mit der Planung oder Beaufsichtigung
von Baustellen und so weiter, wo Drohnen ja auch immer beliebter werden.
So ist es. Kommen wir zu einer anderen Meldung, die diese Woche,
finde ich, auch sehr viel Medienaufmerksamkeit schon bekommen hat und die auch,
glaube ich, in sich natürlich schon auch für uns nicht ganz uninteressant ist.
Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Prof.
Dr. Luisa Specht-Riemenschneider, hat diese Woche ihren Rücktritt vom Amt erklärt.
In einer offiziellen Pressemitteilung gab sie ihr baldiges Ausscheiden aus dem
Amt bekannt und als ausschlaggebenden Grund für diesen Schritt nennt sie gesundheitliche
Einschränkungen und eine vollständige Genesung,
also die eine vollständige Genesung außerhalb der Dienstpflichten wohl erfordert.
Um die stetige Handlungsfähigkeit der Behörde sowie eine koordnete Übergabe
zu sichern, möchte sie ihre Aufgaben allerdings bis zur Bestimmung einer Nachfolge
auch weiterhin wahrnehmen, was sie natürlich sehr ehrt.
Und sie betont dabei die gesellschaftliche Relevanz nochmal des Datenschutzes
und ihres Amtes und dankt natürlich gleichzeitig auch für das in sie gesetzte Vertrauen.
Seitens Regierungsvertretern gab es auch wohl schon viel Verständnis,
auch Respekt für die Entscheidung, natürlich Zuspruch dafür,
dass Familie und Gesundheit immer vorgehen.
Inwieweit jetzt die Niederlage vor dem Bundesverwaltungsgericht gegen die Kontrolle
des BND hier eine Rolle spielt, werden wir vermutlich nicht erfahren.
Aber ich fand zumindest interessant, dass sie in ihrem LinkedIn-Beitrag zwei
Wochen vorher, in dem sie das Urteil beklagt hat, nämlich schrieb,
so kann ich meine Arbeit nicht machen, meine Pflichten nicht erfüllen.
So können wir es mit dem Grundrechtsschutz auch gleich lassen.
Ich hoffe natürlich sehr, dass das keine wirkliche Rolle gespielt hat und bedauere
persönlich auch sehr die Entscheidung.
Denn ich hoffe mal sehr, man findet eine neue Besetzung, die ihren Ansatz,
den sie ja doch jetzt in den Monaten, die sie das Amt ausgefüllt hat,
geprägt hat, weiterführt.
Also Datenschutz nicht als Verhinderer zu sehen, sondern sich mit kritischen
Bemerkungen auch offensiv auseinanderzusetzen und eher nach Lösungen zu suchen,
und Dinge auch zu ermöglichen, statt nur zu sagen, Datenschutz ist böse. Von daher, schade.
Schade und vor allem alles Gute. Ich fand auch, auch wenn es jetzt ein relativ
kurzes Intermezzo war, dass sie gute Arbeit geleistet hat, trotz der Niederlage jetzt.
Hoffen wir, dass das da nicht mit reinspielt. Und ich denke,
es ist auch wünschenswert, dass man da jetzt schnell jemanden mit einem ähnlich
konstruktiven Ansatz findet und dass es vielleicht mal nicht so viel Theater
gibt, wie das ja bei solchen Ämtern in der Vergangenheit öfters mal war.
Ganz genau.
Ich weiß nicht, vielleicht kommt ja Herr Kälber zurück. Vielleicht fragt man ihn nochmal.
Vielleicht mal so als Tipp, falls uns jemand von der Regierungsseite hört.
Wir fliegen einmal ein kleines Stück raus aus Berlin und befinden uns in Brandenburg.
Dort hat die Datenschutzbehörde angekündigt, sich an einer europaweiten Maßnahme
zur Überprüfung von Transparenzpflichten zu beteiligen.
Und ein besonderer Fokus soll dabei auf Personalvermittlungen liegen.
Diese koordinierte Aktion soll darauf abzielen, die Einhaltung der Transparenzvorgaben
aus der DSGVO bei Personalvermittlungsagenturen sicherzustellen.
Und die Behörde hat angekündigt zu überprüfen, inwieweit Unternehmen ihren Informationspflichten
gegenüber Bewerbern und Mitarbeitern erfüllen.
Also, Obacht in Brandenburg. Kommen wir zu unserer Rubrik Veröffentlichungen und Veranstaltungen.
Aktuell wird ja viel über die Anpassung der DSGVO und einige Digitalrechtsakte diskutiert.
Die DSK fordert nun im Rahmen des Digital Fitness Checks punktuelle DSGVO-Anpassungen
statt eines kompletten Systemumbaus.
Darum unter anderem Entlastung für KMU, stärkere Herstellerverantwortung,
Klarstellung zu biometrischen Daten und Artikel 9 Daten, mehr Spielraum für
Aufsichtsbehörden sowie spezifischere Regeln für KI-Modelle.
Für alle Interessierten packen wir die Pressemitteilung mit auch weiterführenden
Links natürlich in die Shownotes.
Und ebenfalls da rein packen wir die neue Orientierungshilfe zum Gesundheitsdatennutzungsgesetz,
veröffentlicht vom Bayerischen Landesamt für Datenschutz.
Das Ganze hat 62 Seiten und darin wird noch einmal erklärt, worum es überhaupt geht.
Und vor allem wird auch nochmal herausgestellt, dass das jetzt kein Freifahrtschein ist,
sondern dass die Einwilligung und auch landesrechtliche Grundlagen weiterhin
relevant bleiben und sich dementsprechend ergänzen.
Und besonders schön für die Praxis, im Anhang befindet sich auch ein neues Musterformular
für Zustimmungsanträge nach dem Gesundheitsdatennutzungsgesetz.
Wunderbar. Dann bleibt mir noch zu sagen, David, vielen Dank.
Ich danke dir.
Und euch natürlich ein schönes Wochenende zu wünschen. Empfehlt uns gerne weiter.
Wir freuen uns über neue Zuhörer.
Und damit bleibt uns gewogen und auf bald.
Bis bald.