Eine neue EuGH-Entscheidung zeigt den Datenschutzbehörden neue Wege auf, mit der großen Zahl von Beschwerden umzugehen. Der EuGH vertritt die Auffassung, bei missbräuchlichen oder offensichtlich unbegründeten Beschwerden könnten und sollten die Behörden Gebühren erheben und erst dann tätig werden, wenn die Gebühren bezahlt worden sind.

Art. 57 Abs. 4 DSGVO räumt den Datenschutzbehörden das Recht ein, bei offenkundig unbegründeten oder exzessiven Anfragen für ihr Tätigwerden eine Gebühr zu verlangen oder ihr Tätigwerden zu verweigern. Obwohl man immer wieder hört, dass es bei den Behörden zahlreiche „Stammkunden“ gibt, die von ihrem Beschwerderecht in ganz „besonderem“ Umfang Gebrauch machen, nutzen die Behörden kaum die Möglichkeit eines Gebührenbescheids aus Art. 57 Abs. 4 DSGVO.

In einem jüngst ergangenen Urteil beschäftigte sich der EuGH mit einem Aktivisten aus Österreich (EuGH vom 9.1.2025, Az. C-416/23). Dieser hatte systematisch auf Grundlage von Art. 15 DSGVO von verschiedenen Verantwortlichen Auskunft über die Verarbeitung der ihn betreffenden personenbezogenen Daten verlangt. Immer dann, wenn diese Auskunft unbeantwortet blieb oder verweigert wurde, beschwerte er sich bei der Österreichischen Datenschutzbehörde (im Folgenden: DSB) auf der Grundlage seines in Art. 77 Abs. 1 DSGVO verbrieften Beschwerderechts. Dieses ermöglicht es jeder betroffenen Person, sich bei einer Aufsichtsbehörde über einen Datenschutzverstoß zu beschweren. Bei der DSB reichte er auf diesem Wege innerhalb eines Zeitraums von 20 Monaten 77 Beschwerden gegen verschiedene Verantwortliche ein.

Bei einer im Februar 2020 eingereichten Beschwerde war die Geduld der DSB am Ende, die kurzum auf Grundlage von Art. 57 Abs. 4 DSGVO die Behandlung der Beschwerde verweigerte. In erster Instanz gab das Bundesverwaltungsgericht, welches in Österreich die zentrale Anlaufstelle für Beschwerden gegen Entscheidungen der Bundesbehörden ist, der Beschwerde statt. Der mit der Revision befasste Verwaltungsgerichtshof legte dem EuGH dann drei Fragen vor, von denen vor allem die letzteren beiden große Relevanz aufweisen: Reicht für das Vorliegen von „exzessiven Anfragen“ bereits eine bestimmte Zahl von Anfragen an die Behörde innerhalb eines bestimmten Zeitraums aus? Und weiter: Kann die Behörde zwischen den Handlungsmöglichkeiten – Gebührenerhebung und Verweigerung der Anfrage – frei wählen, oder ist eine Alternative vorrangig zu berücksichtigen?

In seinem Urteil legt der EuGH fest, dass eine hohe Zahl der Beschwerden zwar ein Indiz für exzessive Anfragen ist (Rn. 57), jedoch für sich genommen noch nicht das Vorliegen exzessiver Anfragen beweist (Rn. 55). Stattdessen sei es Aufgabe der Behörde, eine Missbrauchsabsicht nachzuweisen bei der Anwendung des Art. 57 Abs. 4 DSGVO (Rn. 59). Wann im Detail eine Missbrauchsabsicht anzunehmen ist, lässt das Gericht jedoch offen. Dies wird Datenschutzbehörden enttäuschen, da ihnen kein Maßstab an die Hand gegeben wird, um über das Vorliegen von Rechtsmissbrauch im konkreten Fall zu entscheiden.

Mit noch weniger Konkretheit beleuchtet der EuGH das genaue Verhältnis zwischen den Handlungsoptionen der Behörden. Unter Hinweis auf EG 129 DSGVO hält das Gericht fest, dass die Behörden ein Wahlrecht zwischen den beiden Optionen haben (Rn. 70). In verklausulierter Form legt der EuGH den Behörden zugleich nahe, vorrangig eine Gebühr zu verlangen, da diese zum einen eine abschreckende Wirkung habe und zum anderen die Rechte der betroffenen Person in geringerem Maße beeinträchtige (Rn. 68 f.). Anhand der Verwendung des Konjunktivs („In diesem Zusammenhang könnte es eine Aufsichtsbehörde für angebracht halten“, Rn. 68) zeigt sich die Zurückhaltung des Gerichts.

Zur Höhe der Gebühr, die eine Behörde im Einzelfall erheben kann, äußert sich der EuGH auch. Ihm zufolge sei die Gebühr „auf der Grundlage der Verwaltungskosten für den durch exzessive Beschwerden verursachten Mehraufwand zu verlangen“.