Der Verwaltungsgerichtshof hat durch die Vorsitzende Senatspräsidentin Dr. Pollak, den Hofrat Dr. Mayr, die Hofrätin Mag. Hainz Sator sowie die Hofräte Dr. Pürgy und Mag. Brandl als Richter, unter Mitwirkung der Schriftführerin Mag. a Stüger, über die Revision der Datenschutzbehörde gegen das Erkenntnis des Bundesverwaltungsgerichts vom 22. Dezember 2022, Zl. W245 2234935 1/6E, betreffend eine datenschutzrechtliche Angelegenheit (weitere Partei: Bundesministerin für Justiz; mitbeteiligte Partei: F R in L, vertreten durch die Thurnher Wittwer Pfefferkorn Partner Rechtsanwälte GmbH in 6850 Dornbirn, Messestraße 11), zu Recht erkannt:
Das angefochtene Erkenntnis wird wegen Rechtswidrigkeit seines Inhaltes aufgehoben.
1 Der Mitbeteiligte erhob am 17. Februar 2020 bei der Datenschutzbehörde eine Datenschutzbeschwerde gemäß Art. 77 Abs. 1 Datenschutz Grundverordnung (DSGVO) wegen Verletzung im Recht auf Auskunft gemäß Art. 15 DSGVO und beantragte die Einleitung eines Verfahrens sowie die Feststellung der Verletzung in seinen Rechten.
2 Der Mitbeteiligte brachte dazu vor, er habe den Antrag auf Auskunft gemäß Art. 15 DSGVO an die B O BV (Beschwerdegegnerin), eine Gesellschaft mit beschränkter Haftung mit Sitz in den Niederlanden, am 7. Jänner 2020 versendet. Der Antrag sei am 13. Jänner 2020 zugestellt worden. Die Beschwerdegegnerin habe nicht innerhalb eines Monats auf den Antrag reagiert.
3 Mit Bescheid vom 22. April 2020 lehnte die Datenschutzbehörde die Behandlung der Datenschutzbeschwerde gemäß Art. 57 Abs. 4 DSGVO ab.
4 Begründend führte die Datenschutzbehörde aus, der Mitbeteiligte habe seit dem 28. August 2018 zum Stichtag 7. April 2020 insgesamt 77 Datenschutzbeschwerden bei ihr eingebracht (in der Bescheidbegründung mit dem jeweiligen Aktenzeichen der Datenschutzbehörde und den Namen der Beschwerdegegner aufgelistet), und zwar vier Datenschutzbeschwerden im Jahr 2018, 53 im Jahr 2019 und weitere 20 im ersten Quartal 2020. Darin habe er in 46 Fällen das Recht auf Löschung und in 29 Fällen das Recht auf Auskunft geltend gemacht.
Die den Datenschutzbeschwerden zugrundeliegenden Sachverhalte seien im Wesentlichen gleich. Der Mitbeteiligte richte zunächst an jeweils verschiedene datenschutzrechtliche Verantwortliche, mit denen er im Laufe der Zeit zu tun gehabt habe, Anträge auf Auskunft bzw. Löschung. Daraufhin bringe er bei der Datenschutzbehörde Beschwerde ein, weil ihm der Verantwortliche nicht innerhalb eines Monats geantwortet habe und zwar bis jetzt in 64 Fällen. Die „Ein Monats Frist“ sei bei Einbringung der Datenschutzbeschwerde oftmals erst wenige Tage überschritten.
Überdies kontaktiere er die Datenschutzbehörde regelmäßig telefonisch, um weitere datenschutzrechtlich relevante Sachverhalte zu schildern und zu erfragen, ob diese in Form von Datenschutzbeschwerden bei der Datenschutzbehörde geltend gemacht werden könnten.
Dem Mitbeteiligten komme zwar ein nicht weiter begründungsbedürftiges Interesse an der Erteilung einer Auskunft gemäß Art. 15 DSGVO zu. Voraussetzung für eine Datenschutzbeschwerde nach Art. 77 DSGVO iVm § 24 Abs. 1 Datenschutzgesetz (DSG) sei jedoch eine gewisse Schutzbedürftigkeit, dessen Schwelle niedrig anzusetzen sei. Andernfalls hätte der EU Verordnungsgeber Aufsichtsbehörden nicht gemäß Art. 57 Abs. 4 DSGVO die Möglichkeit eingeräumt, in gewissen Fällen vom Grundsatz der Unentgeltlichkeit einer Beschwerde abzugehen oder die Behandlung der Beschwerde zu verweigern.
Durch das stetige Einbringen von neuen Beschwerden, deren Gesamtzahl beträchtlich sei, binde der Mitbeteiligte „die knappen Personalressourcen der Datenschutzbehörde seit mittlerweile eineinhalb Jahren“ gegenüber anderen BeschwerdeführerInnen, die weniger Beschwerden einbringen würden, „zu seinem Vorteil und in unverhältnismäßig großem Ausmaß“. Eine Art. 57 Abs. 4 DSGVO immanente „Grundschutzbedürftigkeit“ sei „nicht (mehr) anzunehmen“.
Zudem sei aufgrund der steigenden Anzahl an Datenschutzbeschwerden in den letzten eineinhalb Jahren und der von der Behörde mit ihm geführten Telefonaten davon auszugehen, dass der Mitbeteiligte die Tätigkeit der Datenschutzbehörde auch zukünftig massiv in Anspruch nehmen werde.
Die „nunmehr 77 eingebrachten Beschwerden“ seien als „exzessive Anfragen“ des Mitbeteiligten zu qualifizieren. Da Art. 79 DSGVO auch die Möglichkeit eines gerichtlichen Rechtsbehelfs vorsehe, sei der Mitbeteiligte nicht schutzlos. Es sei daher von einer „exzessiven Inanspruchnahme des Beschwerderechts nach Art. 57 Abs. 4 DSGVO auszugehen“.
5 Mit dem beim Verwaltungsgerichtshof angefochtenen Erkenntnis vom 22. Dezember 2022 gab das Verwaltungsgericht der dagegen erhobenen Beschwerde des Mitbeteiligten Folge, hob den Bescheid der Datenschutzbehörde vom 22. April 2020 ersatzlos auf, trug der Datenschutzbehörde die Fortsetzung des Verfahrens unter Abstandnahme von den gebrauchten Gründen der Ablehnung auf und sprach aus, dass die Revision nicht zulässig sei.
6 Begründend führte das Verwaltungsgericht im Wesentlichen aus, es lasse sich weder aus dem Wortlaut des Art. 57 Abs. 4 DSGVO noch aus den Erwägungsgründen oder aus einer systematischen Betrachtung der DSGVO mit hinreichender Sicherheit ableiten, wann „ein Antrag (eine Anfrage)“ als „exzessiv“ zu beurteilen sei. Aus Art. 57 Abs. 4 DSGVO ergebe sich, dass exzessive Anfragen eine häufige Wiederholung voraussetzen würden.
Nach näher genannter Literatur sei der exzessive Charakter dann erfüllt, wenn die Bearbeitung der Anfragen den durchschnittlichen Arbeits und Zeitaufwand für vergleichbare Fälle deutlich überschreite und der erhöhte Aufwand auf eine übermäßige Fülle von substanzlosen oder ausschweifenden Ausführungen zurückzuführen sei. Es reiche nicht aus, dass ein Beschwerdeführer mehrfach in vergleichbaren Fällen vorstellig werde oder dass er in zeitlichen Abständen immer wieder Beschwerde gegen eine bestimmte Datenverarbeitung einlege; allein der hohe Zeitaufwand der Bearbeitung oder eine vergleichsweise Banalität der rechtlichen Beurteilung erlaube noch keine Einordnung als exzessiv. Nach der einschlägigen Literatur zu Art. 12 Abs. 5 DSGVO, der mit Art. 57 Abs. 4 DSGVO fast wortidenten an den Verantwortlichen gerichteten Bestimmung, werde eine Antragswiederholung nur dann als exzessiv anzusehen sein, wenn diese ohne berechtigten Grund erfolge.
Zusammengefasst setze „Exzessivität“ gemäß Art. 57 Abs. 4 DSGVO nicht nur eine häufige Wiederholung von Anträgen, sondern auch „einen offensichtlich schikanösen bzw. rechtsmissbräuchlichen Charakter“ voraus. Eine isolierte Betrachtung der Anzahl der Anträge könnte zu einer willkürlichen Beeinträchtigung des Rechtsschutzes des Betroffenen führen. Eine Weigerung sei nur in bestimmten Ausnahmefällen zulässig und bedürfe der Prüfung, ob die Anträge „offensichtlich schikanös bzw. rechtsmissbräuchlich“ erfolgen würden.
Ein Rechtsmissbrauch liege vor, „wenn das unlautere Motiv der Rechtsausübung das lautere Motiv eindeutig“ überwiege. Der Schädigungszweck müsse so augenscheinlich im Vordergrund stehen, dass andere Ziele der Rechtsausübung völlig in den Hintergrund treten.
Vorliegend ergebe sich aus der Begründung der Datenschutzbehörde für die Weigerung der Behandlung der Beschwerde weder Anhaltspunkte für eine offenkundige Unbegründetheit der Datenschutzbeschwerde noch ansatzweise ein rechtsmissbräuchliches Vorgehen oder eine rechtsmissbräuchliche Absicht des Mitbeteiligten. Ebenso komme der Erwartung der Datenschutzbehörde einer künftigen massiven Belastung sowie deren Hinweis auf ihre knappen Personalressourcen kein Begründungswert zu. Eine maßgebliche Belastungssituation habe die Datenschutzbehörde nicht aufgezeigt.
Unabhängig davon, dass es bereits an der „Exzessivität“ des Antrags als Voraussetzung für die Weigerung dessen Behandlung mangle, könne die Datenschutzbehörde nicht beliebig zwischen den Rechtsfolgen der Vorschreibung einer angemessenen Gebühr für einen „exzessiven“ Antrag und der Weigerung, einen solchen Antrag zu behandeln, wählen. Die Wahl der Rechtsfolgen einer exzessiven Anfrage liege vielmehr im „freien Ermessen“, dessen Gebrauch im Sinne der DSGVO die Datenschutzbehörde zu begründen habe.
Art. 57 Abs. 4 DSGVO sei ein Vorrang einer der beiden Handlungsalternativen nicht zu entnehmen. Im Fall einer „offenkundigen Unbegründetheit“ des Antrags komme bloß eine Weigerung tätig zu werden in Frage. Im Fall einer exzessiven Anfrage sei zu beachten, dass eine Weigerung tätig zu werden zu einem massiven Eingriff in den Rechtsschutz des Betroffenen führe. Eine Weigerung, Beschwerden zu bearbeiten, werde nur in bestimmten Ausnahmefällen bei offensichtlich missbräuchlichen oder häufig wiederholten unbegründeten Anträgen in Betracht kommen.
Da die Datenschutzbehörde die Behandlung der Datenschutzbeschwerde abgelehnt habe, ohne den Antrag des Mitbeteiligten inhaltlich zu behandeln, somit vergleichbar mit einem Zurückweisungsbescheid eine prozessuale Erledigung vorgenommen habe, sei Sache des Beschwerdeverfahrens lediglich die Frage, ob die Behörde zu Recht eine Sachentscheidung verweigert habe. Soweit die Datenschutzbehörde zu Unrecht die Behandlung abgelehnt habe, sei ihr Bescheid ersatzlos zu beheben. Das Verwaltungsgericht sei jedoch nicht zu einer meritorischen Entscheidung verpflichtet.
Dies sei vorliegend mangels hinreichender Begründung der Ablehnung der Datenschutzbehörde der Fall, weshalb der angefochtene Bescheid „ersatzlos“ zu beheben sei.
7 Gegen dieses Erkenntnis richtet sich die vorliegende außerordentliche Revision der Datenschutzbehörde. Der Mitbeteiligte beantragte in seiner Revisionsbeantwortung die Revision als unzulässig zurückzuweisen, in eventu als unbegründet abzuweisen und den Zuspruch von Aufwandersatz.
8 Mit Beschluss vom 27. Juni 2023, EU 2023/0004 1 (Ra 2023/04/0002), legte der Verwaltungsgerichtshof im vorliegenden Revisionsverfahren folgende Fragen an den Gerichtshof der Europäischen Union (EuGH) zur Vorabentscheidung nach Art. 267 AEUV vor:
„1. Ist der Begriff ‚Anfragen‘ oder ‚Anfrage‘ in Art. 57 Abs. 4 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung DSGVO) dahin auszulegen, dass darunter auch ‚Beschwerden‘ nach Art. 77 Abs. 1 DSGVO zu verstehen sind?
Falls die Frage 1 bejaht wird:
2. Ist Art. 57 Abs. 4 DSGVO so auszulegen, dass es für das Vorliegen von ‚exzessiven Anfragen‘ bereits ausreicht, dass eine betroffene Person bloß innerhalb eines bestimmten Zeitraums eine bestimmte Zahl von Anfragen (Beschwerden nach Art. 77 Abs. 1 DSGVO) an eine Aufsichtsbehörde gerichtet hat, unabhängig davon, ob es sich um unterschiedliche Sachverhalte handelt und/oder die Anfragen (Beschwerden) unterschiedliche Verantwortliche betreffen, oder bedarf es neben der häufigen Wiederholung von Anfragen (Beschwerden) auch einer Missbrauchsabsicht der betroffenen Person?
3. Ist Art. 57 Abs. 4 DSGVO so auszulegen, dass die Aufsichtsbehörde bei Vorliegen einer ‚offenkundig unbegründeten‘ oder ‚exzessiven‘ Anfrage (Beschwerde) frei wählen kann, ob sie eine angemessene Gebühr auf der Grundlage der Verwaltungskosten für deren Bearbeitung verlangt oder deren Bearbeitung von vornherein verweigert; verneinendenfalls welche Umstände und welche Kriterien die Aufsichtsbehörde zu berücksichtigen hat, insbesondere ob die Aufsichtsbehörde verpflichtet ist, vorrangig als gelinderes Mittel eine angemessene Gebühr zu verlangen, und erst im Fall der Aussichtslosigkeit einer Gebühreneinhebung zur Hintanhaltung offenkundig unbegründeter oder exzessiver Anfragen (Beschwerden) berechtigt ist, deren Bearbeitung zu verweigern?“
9 Mit Urteil vom 9. Jänner 2025, C 416/23, Österreichische Datenschutzbehörde (Exzessive Anfragen) , hat der EuGH über dieses Vorabentscheidungsersuchen entschieden.
Der Verwaltungsgerichtshof hat erwogen:
Zulässigkeit
10 Die Amtsrevision erweist sich mangels Rechtsprechung des Verwaltungsgerichtshofs zu der in ihrem Zulässigkeitsvorbringen dargelegten Rechtsfrage über die Voraussetzungen für die Ablehnung der Behandlung einer Datenschutzbeschwerde gemäß Art. 57 Abs. 4 DSGVO als zulässig und berechtigt.
Maßgebliche Rechtslage
Unionsrecht
11 Die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz Grundverordnung) samt Erwägungsgründen lautet auszugsweise:
„...
(10) Um ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen zu gewährleisten und die Hemmnisse für den Verkehr personenbezogener Daten in der Union zu beseitigen, sollte das Schutzniveau für die Rechte und Freiheiten von natürlichen Personen bei der Verarbeitung dieser Daten in allen Mitgliedstaaten gleichwertig sein. Die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten von natürlichen Personen bei der Verarbeitung personenbezogener Daten sollten unionsweit gleichmäßig und einheitlich angewandt werden. ...
(11) Ein unionsweiter wirksamer Schutz personenbezogener Daten erfordert die Stärkung und präzise Festlegung der Rechte der betroffenen Personen sowie eine Verschärfung der Verpflichtungen für diejenigen, die personenbezogene Daten verarbeiten und darüber entscheiden ...
...
(59) Es sollten Modalitäten festgelegt werden, die einer betroffenen Person die Ausübung der Rechte, die ihr nach dieser Verordnung zustehen, erleichtern, darunter auch Mechanismen, die dafür sorgen, dass sie unentgeltlich insbesondere Zugang zu personenbezogenen Daten und deren Berichtigung oder Löschung beantragen und gegebenenfalls erhalten oder von ihrem Widerspruchsrecht Gebrauch machen kann. ...
...
(63) Eine betroffene Person sollte ein Auskunftsrecht hinsichtlich der sie betreffenden personenbezogenen Daten, die erhoben worden sind, besitzen und dieses Recht problemlos und in angemessenen Abständen wahrnehmen können, um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können. ... Verarbeitet der Verantwortliche eine große Menge von Informationen über die betroffene Person, so sollte er verlangen können, dass die betroffene Person präzisiert, auf welche Information oder welche Verarbeitungsvorgänge sich ihr Auskunftsersuchen bezieht, bevor er ihr Auskunft erteilt.
...
(129) ... Die Befugnisse der Aufsichtsbehörden sollten in Übereinstimmung mit den geeigneten Verfahrensgarantien nach dem Unionsrecht und dem Recht der Mitgliedstaaten unparteiisch, gerecht und innerhalb einer angemessenen Frist ausgeübt werden. Insbesondere sollte jede Maßnahme im Hinblick auf die Gewährleistung der Einhaltung dieser Verordnung geeignet, erforderlich und verhältnismäßig sein, das Recht einer jeden Person, gehört zu werden, bevor eine individuelle Maßnahme getroffen wird, die nachteilige Auswirkungen auf diese Person hätte, zu achten ist und überflüssige Kosten und übermäßige Unannehmlichkeiten für die Betroffenen zu vermeiden sind. ...
...
Artikel 12
Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person
...
(2) Der Verantwortliche erleichtert der betroffenen Person die Ausübung ihrer Rechte gemäß den Artikeln 15 bis 22. In den in Artikel 11 Absatz 2 genannten Fällen darf sich der Verantwortliche nur dann weigern, aufgrund des Antrags der betroffenen Person auf Wahrnehmung ihrer Rechte gemäß den Artikeln 15 bis 22 tätig zu werden, wenn er glaubhaft macht, dass er nicht in der Lage ist, die betroffene Person zu identifizieren.
...
(5) Informationen gemäß den Artikeln 13 und 14 sowie alle Mitteilungen und Maßnahmen gemäß den Artikeln 15 bis 22 und Artikel 34 werden unentgeltlich zur Verfügung gestellt. Bei offenkundig unbegründeten oder insbesondere im Fall von häufiger Wiederholung exzessiven Anträgen einer betroffenen Person kann der Verantwortliche entweder
a) ein angemessenes Entgelt verlangen, bei dem die Verwaltungskosten für die Unterrichtung oder die Mitteilung oder die Durchführung der beantragten Maßnahme berücksichtigt werden, oder
b) sich weigern, aufgrund des Antrags tätig zu werden.
Der Verantwortliche hat den Nachweis für den offenkundig unbegründeten oder exzessiven Charakter des Antrags zu erbringen.
...
Artikel 15
Auskunftsrecht der betroffenen Person
(1) Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:
a) die Verarbeitungszwecke
...
c) die Empfänger oder Kategorien von Empfängern gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, ...;
...
Artikel 52
Unabhängigkeit
...
(4) Jeder Mitgliedstaat stellt sicher, dass jede Aufsichtsbehörde mit den personellen, technischen und finanziellen Ressourcen, Räumlichkeiten und Infrastrukturen ausgestattet wird, die sie benötigt, um ihre Aufgaben und Befugnisse auch im Rahmen der Amtshilfe, Zusammenarbeit und Mitwirkung im Ausschuss effektiv wahrnehmen zu können.
...
Artikel 57
Aufgaben
(1) Unbeschadet anderer in dieser Verordnung dargelegter Aufgaben muss jede Aufsichtsbehörde in ihrem Hoheitsgebiet
a) die Anwendung dieser Verordnung überwachen und durchsetzen;
...
e) auf Anfrage jeder betroffenen Person Informationen über die Ausübung ihrer Rechte aufgrund dieser Verordnung zur Verfügung stellen und gegebenenfalls zu diesem Zweck mit den Aufsichtsbehörden in anderen Mitgliedstaaten zusammenarbeiten;
f) sich mit Beschwerden einer betroffenen Person oder Beschwerden einer Stelle, einer Organisation oder eines Verbandes gemäß Artikel 80 befassen, den Gegenstand der Beschwerde in angemessenem Umfang untersuchen und den Beschwerdeführer innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung unterrichten, insbesondere, wenn eine weitere Untersuchung oder Koordinierung mit einer anderen Aufsichtsbehörde notwendig ist;
...
(2) Jede Aufsichtsbehörde erleichtert das Einreichen von in Absatz 1 Buchstabe f genannten Beschwerden durch Maßnahmen wie etwa die Bereitstellung eines Beschwerdeformulars, das auch elektronisch ausgefüllt werden kann, ohne dass andere Kommunikationsmittel ausgeschlossen werden.
(3) Die Erfüllung der Aufgaben jeder Aufsichtsbehörde ist für die betroffene Person und gegebenenfalls für den Datenschutzbeauftragten unentgeltlich.
(4) Bei offenkundig unbegründeten oder insbesondere im Fall von häufiger Wiederholung exzessiven Anfragen kann die Aufsichtsbehörde eine angemessene Gebühr auf der Grundlage der Verwaltungskosten verlangen oder sich weigern, aufgrund der Anfrage tätig zu werden. In diesem Fall trägt die Aufsichtsbehörde die Beweislast für den offenkundig unbegründeten oder exzessiven Charakter der Anfrage.
...
Artikel 77
Recht auf Beschwerde bei einer Aufsichtsbehörde
(1) Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt.
...“
Nationales Recht
12 § 24 des Bundesgesetzes zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz DSG), BGBl. I Nr. 165/1999 in der Fassung BGBl. I Nr. 120/2017, lautet auszugsweise:
„ Beschwerde an die Datenschutzbehörde
§ 24. (1) Jede betroffene Person hat das Recht auf Beschwerde bei der Datenschutzbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO oder gegen § 1 oder Artikel 2 1. Hauptstück verstößt.
...
(5) Soweit sich eine Beschwerde als berechtigt erweist, ist ihr Folge zu geben. Ist eine Verletzung einem Verantwortlichen des privaten Bereichs zuzurechnen, so ist diesem aufzutragen, den Anträgen des Beschwerdeführers auf Auskunft, Berichtigung, Löschung, Einschränkung oder Datenübertragung in jenem Umfang zu entsprechen, der erforderlich ist, um die festgestellte Rechtsverletzung zu beseitigen. Soweit sich die Beschwerde als nicht berechtigt erweist, ist sie abzuweisen.
...
(8) Jede betroffene Person kann das Bundesverwaltungsgericht befassen, wenn die Datenschutzbehörde sich nicht mit der Beschwerde befasst oder die betroffene Person nicht innerhalb von drei Monaten über den Stand oder das Ergebnis der erhobenen Beschwerde in Kenntnis gesetzt hat.
...“
13 Vorweg ist festzuhalten, dass der EuGH in seinem Urteil vom 9. Jänner 2025, C 416/23, Österreichische Datenschutzbehörde (Exzessive Anfragen) , die zunächst wesentliche Frage des Vorabentscheidungsersuchens des Verwaltungsgerichtshofes zur Auslegung des Begriffs „Anfrage“ in Art. 57 Abs. 4 DSGVO dahin beantwortet hat, dass dieser Begriff Beschwerden nach Art. 57 Abs. 1 lit. f und Art. 77 Abs. 1 DSGVO, wie etwa die Datenschutzbeschwerde des Mitbeteiligten, umfasst.
„Exzessive Anfragen“ iSd Art. 57 Abs. 4 DSGVO
14 Der EuGH hat in seinem Urteil vom 9. Jänner 2025 die zweite Frage des Vorabentscheidungsersuchens zur Auslegung der Bestimmung des Art. 57 Abs. 4 DSGVO dahin beantwortet, „dass Anfragen nicht allein aufgrund ihrer Zahl während eines bestimmten Zeitraums als ‚exzessiv‘ im Sinne dieser Bestimmung eingestuft werden können, da die Ausübung der in dieser Bestimmung vorgesehenen Befugnis voraussetzt, dass die Aufsichtsbehörde das Vorliegen einer Missbrauchsabsicht der anfragenden Person nachweist“. Er hat dies im Wesentlichen wie folgt begründet:
„43 Insoweit ist als Erstes, da der Begriff ‚exzessive Anfragen‘ in der DSGVO nicht definiert wird, im Licht der oben in Rn. 24 angeführten Rechtsprechung auf den Sinn dieses Begriffs nach dem gewöhnlichen Sprachgebrauch abzustellen. Das Adjektiv ‚exzessiv‘ bezeichnet etwas, das über das gewöhnliche oder vernünftige Maß hinausgeht oder das erwünschte oder zulässige Maß überschreitet.
44 Als Zweites ergibt sich aus dem Wortlaut von Art. 57 Abs. 4 DSGVO, dass Anfragen insbesondere im Fall von häufiger Wiederholung ‚exzessiv‘ sein können. Jedoch lässt sich anhand der grammatikalischen Auslegung dieser Bestimmung nicht feststellen, ob ein solcher Fall von häufiger Wiederholung und folglich allein die Zahl der eingereichten Anfragen ausreicht, um eine solche Einstufung zu rechtfertigen. Unter Berücksichtigung dieser Rechtsprechung ist daher die Tragweite dieser Bestimmung anhand des Kontexts, in den sie sich einfügt, und der Ziele, die mit der Regelung, zu der sie gehört, verfolgt werden, zu prüfen.
45 Was den Kontext anbelangt, ist erstens darauf hinzuweisen, dass Art. 12 DSGVO allgemeine Pflichten des Verantwortlichen in Bezug auf Transparenz von Informationen und Kommunikation sowie die Modalitäten für die Ausübung der Rechte der betroffenen Person festlegt. Nach Abs. 2 Satz 1 dieses Artikels muss der Verantwortliche der betroffenen Person die Ausübung ihrer Rechte gemäß den Art. 15 bis 22 DSGVO erleichtern.
46 Zweitens vervollständigt Art. 15 DSGVO, der zu Kapitel III Abschnitt 2 (‚Informationspflicht und Recht auf Auskunft zu personenbezogenen Daten‘) gehört, den durch die DSGVO geschaffenen Transparenzrahmen, indem er der betroffenen Person ein Recht auf Auskunft über ihre personenbezogenen Daten und ein Recht auf Information über die Verarbeitung dieser Daten gewährt.
47 Art. 15 DSGVO ist im Licht von Satz 1 des 63. Erwägungsgrundes dieser Verordnung zu lesen, wonach eine betroffene Person ein Auskunftsrecht hinsichtlich der sie betreffenden personenbezogenen Daten, die erhoben worden sind, besitzen und dieses Recht problemlos und in angemessenen Abständen wahrnehmen können sollte, um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können. Wenn diese Person vergeblich mehrere Auskunftsersuchen an einen oder mehrere Verantwortliche gerichtet hat, könnte die Zahl der bei einer Aufsichtsbehörde eingereichten Beschwerden mit der Zahl der Ablehnungen übereinstimmen, die diese Person von den Verantwortlichen erhalten hat. Unter diesen Umständen könnte die Festlegung einer absoluten Höchstzahl, bei deren Überschreitung diese Beschwerden automatisch als exzessiv eingestuft werden könnten, die durch die DSGVO garantierten Rechte beeinträchtigen.
48 Insoweit muss, wie oben in den Rn. 33, 34 und 36 ausgeführt, die Ausübung der in Art. 57 Abs. 4 DSGVO vorgesehenen Befugnis als Ausnahme von dem in Art. 57 Abs. 3 DSGVO vorgesehenen Grundsatz der Unentgeltlichkeit der von den Aufsichtsbehörden erfüllten Aufgaben die Ausnahme bleiben (vgl. entsprechend Urteile vom 5. April 2022, Commissione of An Garda Síochána u. a., C 140/20, EU:C:2022:258, Rn. 40, sowie vom 8. November 2022, Deutsche Umwelthilfe [Typgenehmigung von Kraftfahrzeugen], C 873/19, EU:C:2022:857, Rn. 87 und die dort angeführte Rechtsprechung). Sie kann nur im Fall von Rechtsmissbrauch erfolgen (vgl. entsprechend Urteil vom 26. Oktober 2023, FT [Kopien der Patientenakte], C 307/22, EU:C:2023:811, Rn. 31), ohne dass die Zahl der eingereichten Beschwerden für sich genommen ein ausreichendes Kriterium für die Feststellung eines solchen Missbrauchs darstellen kann.
49 Art. 57 Abs. 4 DSGVO spiegelt nämlich die ständige Rechtsprechung des Gerichtshofs wider, nach der es im Unionsrecht einen allgemeinen Rechtsgrundsatz gibt, wonach sich die Bürger nicht in betrügerischer oder missbräuchlicher Weise auf unionsrechtliche Normen berufen dürfen (Urteil vom 21. Dezember 2023, BMW Bank u. a., C 38/21, C 47/21 und C 232/21, EU:C:2023:1014, Rn. 281 sowie die dort angeführte Rechtsprechung).
50 Vor diesem Hintergrund muss eine Aufsichtsbehörde, wenn sie von der in Art. 57 Abs. 4 DSGVO vorgesehenen Möglichkeit Gebrauch machen möchte, anhand aller relevanten Umstände jedes Einzelfalls feststellen, dass eine Missbrauchsabsicht der betroffenen Person vorliegt, wofür die Zahl der von dieser Person eingereichten Beschwerden allein nicht ausreicht. Das Vorliegen einer Missbrauchsabsicht kann aber festgestellt werden, wenn eine Person Beschwerden einreicht, ohne dass dies objektiv erforderlich ist, um ihre Rechte aus der Verordnung zu schützen.
51 Insoweit ist noch darauf hinzuweisen, dass die Mitgliedstaaten nach Art. 52 Abs. 4 DSGVO sicherzustellen haben, dass jede Aufsichtsbehörde mit den personellen, technischen und finanziellen Ressourcen, Räumlichkeiten und Infrastrukturen ausgestattet wird, die sie benötigt, um ihre Aufgaben und Befugnisse effektiv wahrnehmen zu können. Folglich sind diese Ressourcen an den Gebrauch anzupassen, den die betroffenen Personen von ihrem Recht machen, Beschwerden bei den Aufsichtsbehörden einzureichen.
52 Es ist daher Sache der Mitgliedstaaten, den Aufsichtsbehörden angemessene Ressourcen zur Verfügung zu stellen, damit sie sich mit allen bei ihnen eingereichten Beschwerden befassen können, und diese Ressourcen gegebenenfalls aufzustocken, um sie an den Gebrauch anzupassen, den die betroffenen Personen von ihrem Recht machen, Beschwerden nach Art. 77 Abs. 1 DSGVO einzureichen. Eine Aufsichtsbehörde kann daher ihre Weigerung gemäß Art. 57 Abs. 4 DSGVO, aufgrund einer Beschwerde tätig zu werden, nicht darauf stützen, dass eine Person, die eine Zahl von Beschwerden einreicht, die deutlich über der durchschnittlichen Zahl der von jeder betroffenen Person eingereichten Beschwerden liegt, erhebliche Ressourcen der Behörde in Anspruch nimmt, was die Befassung mit Beschwerden beeinträchtigt, die andere Personen einreichen.
53 Im Übrigen sind Beschwerden nach Art. 77 Abs. 1 DSGVO, wie der Generalanwalt in Nr. 76 seiner Schlussanträge ausgeführt hat, wichtig, damit die Aufsichtsbehörden Kenntnis von Verletzungen der durch diese Verordnung geschützten Rechte erlangen. Diese Beschwerden tragen daher wesentlich dazu bei, ein gleichmäßiges und hohes Schutzniveau für Personen in der Union zu gewährleisten und ihre Rechte im Sinne der Erwägungsgründe 10 und 11 der DSGVO zu stärken und präzise festzulegen.
54 Folglich könnte es die Verwirklichung dieses Ziels beeinträchtigen, wenn es den Aufsichtsbehörden gestattet würde, allein deshalb festzustellen, dass die Beschwerden exzessiv sind, weil ihre Zahl groß ist. Eine große Zahl von Beschwerden kann nämlich die unmittelbare Folge einer großen Zahl von Fällen sein, in denen auf Auskunftsersuchen, die eine Person zum Schutz ihrer Rechte gestellt hat, seitens eines Verantwortlichen bzw. mehrerer Verantwortlicher keine Antwort gegeben wurde oder es abgelehnt wurde, diesen Ersuchen zu entsprechen.
55 Insoweit könnte eine isolierte Betrachtung der Zahl der Beschwerden zu einer willkürlichen Beeinträchtigung der Rechte der betroffenen Person aus der DSGVO führen, so dass die Feststellung, dass exzessive Anfragen im Sinne von Art. 57 Abs. 4 dieser Verordnung vorliegen, an die Voraussetzung zu knüpfen ist, dass eine Missbrauchsabsicht der Person, die solche Beschwerden einreicht, nachgewiesen wird.
56 Auf der Grundlage der Umstände des jeweiligen Einzelfalls obliegt es somit der Aufsichtsbehörde, bei der eine große Zahl von Beschwerden eingereicht wird, nachzuweisen, dass diese Zahl nicht durch den Wunsch der betroffenen Person zu erklären ist, ihre Rechte aus der DSGVO zu schützen, sondern durch einen anderen Zweck, der in keinem Zusammenhang mit diesem Schutz steht. Dies gilt insbesondere dann, wenn sich aus den Umständen ergibt, dass die Zahl von Beschwerden darauf abzielt, das ordnungsgemäße Funktionieren der Behörde zu beeinträchtigen, indem ihre Ressourcen missbräuchlich in Anspruch genommen werden.
57 Insoweit kann die Häufung von Beschwerden einer Person ein Indiz für exzessive Anfragen sein, wenn sich herausstellt, dass die Beschwerden nicht objektiv durch Erwägungen gerechtfertigt sind, die sich auf den Schutz der Rechte beziehen, die die DSGVO dieser Person verleiht. Dies kann z. B. dann der Fall sein, wenn eine Person eine so große Zahl von Beschwerden bei einer Aufsichtsbehörde einreicht, die eine Vielzahl von Verantwortlichen betreffen, zu denen sie nicht unbedingt einen Bezug hat, dass diese übermäßige Inanspruchnahme ihres Rechts, Beschwerden einzureichen, in Verbindung mit anderen Gesichtspunkten wie dem Inhalt der Beschwerden ihre Absicht erkennen lässt, die Behörde zu lähmen, indem sie sie mit Anfragen überflutet.
58 Im vorliegenden Fall ist es Sache des vorlegenden Gerichts, zu prüfen, ob die DSB das Vorliegen einer Missbrauchsabsicht der betroffenen Person nachgewiesen hat, ohne dass die Zahl ihrer Beschwerden für sich genommen die Ausübung der in Art. 57 Abs. 4 DSGVO vorgesehenen Befugnis rechtfertigen kann.“
15 Ausgehend davon kann die Datenschutzbehörde angesichts des allgemeinen Rechtsgrundsatzes im Unionsrecht, dass sich Bürger nicht in betrügerischer oder missbräuchlicher Weise auf unionsrechtliche Normen berufen dürfen, die Behandlung einer Datenschutzbeschwerde gemäß Art. 57 Abs. 4 DSGVO nur bei Vorliegen von Missbrauchsabsicht der beschwerdeführenden Partei verweigern. Der Aufsichtsbehörde obliegt dabei für das Vorliegen der Missbrauchsabsicht gemäß Art. 57 Abs. 4 zweiter Satz DSGVO die Beweislast.
16 Allein die Zahl der von einer Person eingereichten Beschwerden, selbst wenn sie deutlich über der durchschnittlichen Zahl der von jeder betroffenen Person eingereichten Beschwerden liegt und erhebliche Ressourcen der Behörde in Anspruch nimmt, reicht nicht als Nachweis. Die Häufung von Beschwerden einer Person kann jedoch ein Indiz für Missbrauchsabsicht sein.
17 Von einer Missbrauchsabsicht ist dann auszugehen, wenn die Erhebung von Datenschutzbeschwerden erfolgt, ohne dass dies objektiv erforderlich ist, um die der beschwerdeführenden Partei aus der DSGVO zukommenden Rechte zu schützen, sondern einem anderen Zweck dient, der in keinem Zusammenhang mit diesem Schutz steht. Sie ist dann anzunehmen, wenn die entscheidenden Gründe der beschwerdeführenden Partei für die Einbringung einer Vielzahl von Datenschutzbeschwerden nicht in der Verfolgung der ihr aus der DSGVO zukommenden Rechte liegen und die beschwerdeführende Partei ohne diese sachfremden Gründe die Vielzahl an Datenschutzbeschwerden nicht erhoben hätte.
18 Das Vorliegen eines solchen anderen Zwecks als jenen der Verfolgung der einer beschwerdeführenden Person nach der DSGVO zukommenden Rechte (somit das Vorliegen von Missbrauchsabsicht) ist anhand aller relevanten Umstände jedes Einzelfalls festzustellen. Die Missbrauchsabsicht muss hinsichtlich der von der Datenschutzbehörde konkret nach Art. 57 Abs. 4 DSGVO abgelehnten Beschwerde bestehen.
19 Lediglich als ein Beispiel für das Vorliegen eines in keinem Zusammenhang mit dem Schutz der aus der DSGVO zukommenden Rechte stehenden Zwecks führt der EuGH im oben auszugsweise wiedergegebenen Urteil die Absicht der beschwerdeführenden Partei an, das ordnungsgemäße Funktionieren der Behörde zu beeinträchtigen, indem sie die Behörde mit Anfragen überflutet.
20 Ein Indiz dafür, dass es der beschwerdeführenden Partei in Bezug auf eine große Zahl von ihr eingebrachter Datenschutzbeschwerden nicht oder nicht entscheidend um den Schutz der ihr aus der DSGVO zukommenden Rechte geht, sondern vielmehr die Datenschutzbeschwerden anderen Zielen dienen, ist etwa, wenn mit den Datenschutzbeschwerden die Verletzung des Auskunftsrechts nach Art. 15 DSGVO gegen eine Vielzahl von Verantwortlichen, die auf Auskunftsersuchen der beschwerdeführenden Partei keine Antwort gaben oder es ablehnten, dem Ersuchen zu entsprechen, geltend gemacht wird, die beschwerdeführende Partei jedoch zu den Verantwortlichen keinen Bezug hat und keine Anhaltspunkte für die Verarbeitung personenbezogener Daten der beschwerdeführenden Partei durch die Verantwortlichen bestehen.
21 Andererseits ist vom bloßen Umstand, dass eine große Zahl an Datenschutzbeschwerden einer Person eine Vielzahl von Verantwortlichen betrifft, zu denen sie einen Bezug hat, und davon auszugehen ist, dass diese Verantwortlichen personenbezogene Daten der beschwerdeführenden Partei verarbeiten, nicht von vornherein darauf zu schließen, dass es der beschwerdeführenden Partei tatsächlich um den Schutz der ihr aus der DSGVO zukommenden Rechte und nicht vielmehr um die Verfolgung anderer Interessen und Ziele geht. Veranlasst etwa eine beschwerdeführende Partei lediglich deshalb eine Verarbeitung ihrer personenbezogenen Daten durch einen Verantwortlichen, um in weiterer Folge die ihr aus der DSGVO zukommenden Rechte, wie etwa das Auskunftsrecht nach Art. 15, gegenüber dem Verantwortlichen geltend machen zu können, und besteht nur deswegen eine Beziehung zwischen der beschwerdeführenden Partei und dem Verantwortlichen, ist in Bezug auf eine spätere Datenschutzbeschwerde Missbrauchsabsicht der beschwerdeführenden Partei anzunehmen.
Gebühreneinhebung versus Verweigerung der Bearbeitung „exzessiver“ Datenschutzbeschwerden nach Art. 57 Abs. 4 DSGVO
22 Der EuGH hat in seinem Urteil vom 9. Jänner 2025 die dritte Frage des Vorabentscheidungsersuchens zur Auslegung der Bestimmung des Art. 57 Abs. 4 DSGVO dahin beantwortet, „dass eine Aufsichtsbehörde bei exzessiven Anfragen durch eine mit Gründen versehene Entscheidung wählen kann, ob sie eine angemessene Gebühr auf der Grundlage der Verwaltungskosten verlangt oder sich weigert, aufgrund der Anfrage tätig zu werden, wobei sie alle relevanten Umstände berücksichtigen und sich vergewissern muss, dass die gewählte Option geeignet, erforderlich und verhältnismäßig ist“. Er hat dies im Wesentlichen wie folgt begründet:
„61 Was erstens den Wortlaut von Art. 57 Abs. 4 DSGVO betrifft, ist festzustellen, dass die beiden dort für den Fall exzessiver Anfragen vorgesehenen Optionen, nämlich die Option, eine angemessene Gebühr auf der Grundlage der Verwaltungskosten zu verlangen, und die Option, sich zu weigern, aufgrund solcher Anfragen tätig zu werden, nebeneinander aufgeführt und durch die nebenordnende Konjunktion ‚oder‘ getrennt sind, ohne dass aus der Formulierung geschlossen werden könnte, dass zwischen ihnen ein Vorrangverhältnis besteht (vgl. entsprechend Urteil vom 12. Januar 2023, Österreichische Post [Informationen über die Empfänger personenbezogener Daten], C 154/21, EU:C:2023:3, Rn. 31).
62 Somit scheint der Wortlaut dieser Bestimmung für die Auslegung zu sprechen, dass die Behörde, wenn sie feststellt, dass die bei ihr gestellten Anfragen exzessiv sind, zwischen diesen Optionen frei wählen kann.
63 Was zweitens den Kontext betrifft, in den sich Art. 57 Abs. 4 DSGVO einfügt, ist darauf hinzuweisen, dass es im 59. Erwägungsgrund dieser Verordnung heißt: ‚Es sollten Modalitäten festgelegt werden, die einer betroffenen Person die Ausübung der Rechte, die ihr nach dieser Verordnung zustehen, erleichtern, darunter auch Mechanismen, die dafür sorgen, dass sie unentgeltlich insbesondere Zugang zu personenbezogenen Daten und deren Berichtigung oder Löschung beantragen und gegebenenfalls erhalten oder von ihrem Widerspruchsrecht Gebrauch machen kann.‘ Daraus folgt, dass eine Wahl zugunsten einer der beiden Optionen getroffen werden kann, wenn jedenfalls die wirksame Ausübung des Beschwerderechts gewährleistet ist.
64 Drittens steht die oben in Rn. 62 dargestellte Auslegung im Einklang mit den Zielen der DSGVO.
65 Insoweit ist darauf hinzuweisen, dass diese Verordnung, wie sich aus ihren Erwägungsgründen 10 und 11 ergibt, ein gleichmäßiges und hohes Schutzniveau für natürliche Personen in der Union gewährleisten und die Rechte der betroffenen Personen stärken und präzise festlegen soll (Urteil vom 26. Oktober 2023, FT [Kopien der Patientenakte], C 307/22, EU:C:2023:811, Rn. 47).
66 Außerdem geht aus dem 129. Erwägungsgrund der DSGVO hervor, dass die Aufsichtsbehörde verpflichtet ist, den offenkundig unbegründeten oder exzessiven Charakter einer solchen Anfrage unparteiisch und gerecht zu beurteilen und sicherzustellen, dass ihre Wahl geeignet, erforderlich und verhältnismäßig ist, wobei die einschlägigen Umstände zu berücksichtigen sind und überflüssige Kosten und übermäßige Unannehmlichkeiten für die betroffene Person zu vermeiden sind.
67 In Anbetracht der Bedeutung des Beschwerderechts im Hinblick auf das Ziel, ein hohes Schutzniveau für personenbezogene Daten zu gewährleisten, der wesentlichen Rolle, die die Befassung mit diesen Beschwerden bei den Aufgaben spielt, die den Aufsichtsbehörden übertragen wurden, und der Verpflichtung dieser Behörden, sich mit aller gebotenen Sorgfalt mit diesen Beschwerden zu befassen, obliegt es diesen Behörden somit, alle relevanten Umstände zu berücksichtigen und sich zu vergewissern, dass die gewählte Option geeignet, erforderlich und verhältnismäßig ist.
68 In diesem Zusammenhang könnte es eine Aufsichtsbehörde je nach den relevanten Umständen für angebracht halten, eine angemessene Gebühr auf der Grundlage der Verwaltungskosten für den durch exzessive Beschwerden verursachten Mehraufwand zu verlangen, um einer missbräuchlichen Praxis ein Ende zu setzen, die ihr ordnungsgemäßes Funktionieren beeinträchtigen kann. Die abschreckende Wirkung dieser Option könnte die Behörde sogar dazu veranlassen, sie zu bevorzugen, statt sich von vornherein zu weigern, aufgrund dieser Beschwerden tätig zu werden.
69 Im Licht des 129. Erwägungsgrundes der DSGVO könnten die Aufsichtsbehörden daher erwägen, in einer ersten Stufe die Zahlung einer angemessenen Gebühr auf der Grundlage der Verwaltungskosten zu verlangen, bevor sie sich in einer zweiten Stufe weigern, aufgrund einer Beschwerde tätig zu werden, da Ersteres die Rechte der betroffenen Personen aus der DSGVO in geringerem Maße beeinträchtigt als Letzteres. Allerdings verpflichtet Art. 57 Abs. 4 DSGVO die Aufsichtsbehörde nicht in jedem Fall, zunächst die Option zu wählen, eine angemessene Gebühr zu verlangen.“
23 Ausgehend davon besteht für die Datenschutzbehörde gemäß Art. 57 Abs. 4 DSGVO unter der Voraussetzung des Vorliegens exzessiver Datenschutzbeschwerden einer beschwerdeführenden Partei die Wahl zwischen der Einhebung einer angemessenen Gebühr für deren Bearbeitung und der Weigerung, aufgrund der Datenschutzbeschwerden tätig zu werden. Die Datenschutzbehörde hat dabei alle relevanten Umstände zu berücksichtigen und auf die Eignung, Erforderlichkeit und Verhältnismäßigkeit beider Optionen Bedacht zu nehmen.
24 Da mit dem Verlangen einer angemessenen Gebühr für die Bearbeitung von exzessiven Datenschutzbeschwerden die Rechte einer beschwerdeführenden Partei aus der DSGVO in geringerem Maße beeinträchtigt werden als durch die Weigerung, die exzessiven Datenschutzbeschwerden zu bearbeiten, steht die Gebühreneinhebung an sich im Einklang mit dem Grundsatz der Verhältnismäßigkeit.
25 Allein daraus ist jedoch noch nicht auf den Vorzug der Einhebung einer Gebühr zu schließen. Vielmehr ist auch die Eignung dieser Option zu prüfen, das Ziel der Bestimmung des Art. 57 Abs. 4 DSGVO, den Missbrauch der einer betroffenen Person zukommenden Möglichkeit der Verfolgung ihrer Rechte aus der DSGVO hintanzuhalten, zu erreichen. Die Eignung der Gebühreneinhebung wird etwa dann zu verneinen sein, wenn die Vollstreckbarkeit der Gebührenvorschreibung auf Grund der finanziellen Lage der beschwerdeführenden Partei zweifelhaft ist, oder angesichts der Annahme, dass die Rechtsschutzmöglichkeiten gegen einen Gebührenbescheid von der beschwerdeführenden Partei ebenfalls ausgenützt werden, um die Behörden lahmzulegen. Ebenso erweist sich die Gebühreneinhebung als ungeeignet, wenn trotz Gebührenvorschreibung für exzessive Datenschutzbeschwerden die beschwerdeführende Partei von der Einbringung solcher Beschwerden nicht Abstand nimmt.
„Sache“ des Beschwerdeverfahrens
26 Die Amtsrevision richtet sich auch insofern gegen die ersatzlose Behebung des Bescheides der Datenschutzbehörde, als es sich dabei nicht um eine einem Zurückweisungsbescheid gleichzuhaltende Erledigung, bei welcher eine ersatzlose Behebung in Frage käme, handle, sondern um ein „aliud“ im Vergleich zu einem Zurückweisungsbescheid, weil die Datenschutzbehörde grundsätzlich zur inhaltlichen Behandlung der Beschwerde verpflichtet sei. Darüber hinaus handle es sich bei einem Verfahren nach Art. 77 DSGVO iVm § 24 DSG um ein antragsbedürftiges Mehrparteienverfahren, welches soweit es eine behauptete Verletzung im Recht auf Geheimhaltung zum Gegenstand habe grundsätzlich mit Feststellungsbescheid ende. Eine ersatzlose Behebung von Spruchpunkten scheide daher von vornherein aus. Das Verwaltungsgericht habe vielmehr in der Sache zu entscheiden.
27 Gemäß Art. 78 Abs. 1 und 3 DSGVO iVm Erwägungsgrund 143 richtet sich das Verfahren über Beschwerden gegen Entscheidungen der nationalen Aufsichtsbehörde nach dem jeweiligen mitgliedstaatlichen Verfahrensrecht.
Der durch die Beschwerde gemäß § 27 VwGVG festgelegte Prüfungsumfang ist nach der Rechtsprechung des Verwaltungsgerichtshofes nicht ausschließlich an das Vorbringen der beschwerdeführenden Partei gebunden. Der äußerste Rahmen für die Prüfbefugnis ist die „Sache“ des bekämpften Bescheides. Nach der Rechtsprechung des Verwaltungsgerichtshofes ist „Sache“ des Bescheidbeschwerdeverfahrens vor dem Verwaltungsgericht (nur) jene Angelegenheit, die den Inhalt des Spruchs der belangten Behörde gebildet hat, d.h. jene Angelegenheit, die von der belangten Behörde entschieden wurde (vgl. zu alldem etwa VwGH 8.2.2022, Ro 2021/04/0033, Rn. 7 und 8, mwN).
28 Vorliegend hat die Datenschutzbehörde die Behandlung der Datenschutzbeschwerde gemäß Art. 57 Abs. 4 DSGVO abgelehnt. Damit hat sie die Datenschutzbeschwerde des Mitbeteiligten gerade nicht inhaltlich geprüft und über sie nicht inhaltlich entschieden. Vielmehr hat die Datenschutzbehörde die inhaltliche Prüfung der Datenschutzbeschwerde verweigert. „Sache“ des Beschwerdeverfahrens vor dem Verwaltungsgericht ist daher lediglich die Frage der Rechtmäßigkeit der Ablehnung der inhaltlichen Behandlung der Datenschutzbeschwerde. Dies allein bildet den Gegenstand des Beschwerdeverfahrens vor dem Verwaltungsgericht. Da Sache des Beschwerdeverfahrens keine inhaltliche Entscheidung der Datenschutzbehörde über die Datenschutzbeschwerde selbst ist, hat das Verwaltungsgericht weder die Datenschutzbeschwerde inhaltlich zu prüfen noch darüber inhaltlich zu entscheiden. Eine solche meritorische Entscheidung über die Datenschutzbeschwerde hätte vielmehr eine rechtswidrige Überschreitung des Gegenstands des Bescheidbeschwerdeverfahrens zur Folge.
29 Das Verwaltungsgericht ist nicht auf die Prüfung der konkreten Begründung der Datenschutzbehörde beschränkt, sondern hat den von der Datenschutzbehörde herangezogenen Ablehnungsgrund umfassend und abschließend zu beurteilen. Falls erforderlich (und kein Fall des § 28 Abs. 3 zweiter Satz VwGG vorliegt), hat das Verwaltungsgericht den zur Prüfung der Rechtmäßigkeit der Ablehnung der Datenschutzbeschwerde gemäß Art. 57 Abs. 4 DSGVO maßgeblichen Sachverhalt amtswegig selbst zu erheben.
Einzelfallbezogene Beurteilung
30 Die Datenschutzbehörde begründete die Ablehnung der Datenschutzbeschwerde des Mitbeteiligten gemäß Art. 57 Abs. 4 DSGVO wegen Vorliegens exzessiver Anfragen dahin, dass der Mitbeteiligte seit August 2018 77 Beschwerden bei ihr anhängig gemacht habe, und zwar vier Datenschutzbeschwerden im Jahr 2018, 53 Datenschutzbeschwerden im Jahr 2019 und in den ersten drei Monaten des Jahres 2020 wiederum 20 Datenschutzbeschwerden, weshalb im Hinblick auf mit dem Mitbeteiligten geführte Telefonate anzunehmen sei, dass er auch zukünftig die Tätigkeit der Datenschutzbehörde massiv in Anspruch nehmen werde. Die den Datenschutzbeschwerden zugrundeliegenden Sachverhalte seien im Wesentlichen gleich. Der Mitbeteiligte richte zunächst an jeweils verschiedene Verantwortliche, mit denen er im Laufe der Zeit zu tun gehabt habe, Anträge auf Auskunft bzw. Löschung und bringe in der Folge eine Datenschutzbeschwerde ein, wenn der Verantwortliche nicht innerhalb eines Monats geantwortet habe. Die „Ein Monats Frist“ sei bei Beschwerdeeinbringung oftmals erst wenige Tage überschritten.
31 Auch in der Revision begründete die Datenschutzbehörde die Erfüllung des Tatbestandes der Exzessivität lediglich mit der Einbringung von insgesamt 77 Datenschutzbeschwerden innerhalb von eineinhalb Jahren. Diese Anzahl an Datenschutzbeschwerden übersteige jene Zahl an Beschwerden, „die ein durchschnittlich Normunterworfener in derselben Zeitspanne zur Wahrung seiner Rechte erheben würde“.
32 Mit dieser Begründung legt die Datenschutzbehörde keine Missbrauchsabsicht des Mitbeteiligten entsprechend der oben wiedergegebenen Auslegung des Art. 57 Abs. 4 DSGVO durch den EuGH dar. Auch mit dem Hinweis auf eine erhebliche Inanspruchnahme ihrer Ressourcen infolge der großen Zahl der Datenschutzbeschwerden des Mitbeteiligten, die deutlich über der durchschnittlichen Zahl der von jeder betroffenen Person eingereichten Beschwerden liege, vermag die Datenschutzbehörde für sich genommen keine Missbrauchsabsicht des Mitbeteiligten nachzuweisen.
33 Das Verwaltungsgericht hatte jedoch nicht bloß zu prüfen, ob die Datenschutzbehörde den Nachweis für den von ihr herangezogenen Ablehnungsgrund „exzessiver Anfragen“ erbracht hat, sondern von sich aus diesen Ablehnungsgrund umfassend und abschließend zu prüfen.
34 Zwar lässt sich den Feststellungen des Verwaltungsgerichts entnehmen, dass der Mitbeteiligte seine Datenschutzbeschwerden gegen Verantwortliche richtete, mit denen er im Laufe der Zeit zu tun hatte, zu denen er also einen Bezug hatte. Darüber hinaus kann jedoch eine Missbrauchsabsicht des Mitbeteiligten nicht abschließend beurteilt werden, weil es ergänzender Ermittlungen zum Vorliegen einer Missbrauchsabsicht im Lichte der Ausführungen in Rn. 20 und 21 bedarf.
35 Der vom Verwaltungsgericht festgestellte Sachverhalt erweist sich daher zwecks abschließender Beurteilung einer die Weigerung der Bearbeitung der Datenschutzbeschwerde des Mitbeteiligten gemäß Art. 57 Abs. 4 DSGVO begründenden Missbrauchsabsicht als ergänzungsbedürftig. Das Verwaltungsgericht ist insofern seiner umfassenden und abschließenden Prüfungspflicht des Ablehnungsgrundes „exzessiver Anfragen“ iSd Art. 57 Abs. 4 DSGVO nicht hinreichend nachgekommen. Es hat daher seine Entscheidung mit inhaltlicher Rechtswidrigkeit belastet.
Ergebnis
36 Das angefochtene Erkenntnis war daher gemäß § 42 Abs. 2 Z 1 VwGG aufzuheben.
37 Das Verwaltungsgericht wird im fortzusetzenden Verfahren mit den Parteien das Vorliegen einer Missbrauchsabsicht im Lichte der oben angeführten Rechtsprechung zu erörtern und ausgehend davon gegebenenfalls das Ermittlungsverfahren und die Feststellungen, etwa über die Beweggründe der vom Mitbeteiligten gestellten Auskunfts und Löschungsbegehren und erhobenen Datenschutzbeschwerden amtswegig zu ergänzen haben. Für den Fall der Bejahung einer Missbrauchsabsicht hat das Verwaltungsgericht in weiterer Folge unter Berücksichtigung der in Rn. 23 bis 25 dargelegten Erwägungen zu beurteilen, ob die Weigerung zum Tätigwerden im Verhältnis zur Einhebung einer Gebühr geeignet, erforderlich und verhältnismäßig ist.
Wien, am 29. Jänner 2025
Codara Summary
Sachverhalt, Spruch und rechtliche Beurteilung – kompakt zusammengefasst.
Rückverweise
RIS