Abwehr von rechtsmissbräuchlichen Ansprüchen

Die Datenschutz-Grundverordnung (DSGVO) verfolgt das Ziel, die Rechte betroffener Personen zu stärken, und ermöglicht ihnen, sich gegen Datenschutzverstöße durch verantwortliche Stellen zu wehren. Die Exkulpations­möglichkeiten für Unternehmen sind demgegenüber gering, was die Abwehr von Ansprüchen erschwert. Angesichts der betroffenenfreundlichen Ausgestaltung der DSGVO stellt sich für Unternehmen die Frage, wie mit Fällen umgegangen wird, in denen datenschutzrechtliche Ansprüche rechtsmissbräuchlich geltend gemacht werden. Denkbar sind zum Beispiel Fälle, in denen vermeintliche Datenschutzverstöße lediglich vorgeschoben werden, um einen finanziellen Ausgleich für einen tatsächlich gar nicht erlittenen Schaden zu erhalten. 

Der Grundsatz des Rechtsmissbrauchs greift auch im Datenschutzrecht und verbietet die Ausübung eines Rechts, wenn ohne ein schützenswertes Eigeninteresse eine formale Rechtstellung in ungemessener oder unzulässiger Weise ausgenutzt wird. Im Datenschutzrecht können diese Sachverhalte zum Beispiel mit einer Kontaktanfrage über die unternehmerische Website oder einem Newsletter-Abonnement beginnen, aber auch die Kündigung eines Mitarbeitenden oder die Ablehnung einer Bewerbung führen regelmäßig zu der Geltendmachung von datenschutzrechtlichen Ansprüchen, die von der verantwortlichen Stelle dann sorgfältig zu prüfen sind. Die Herausforderung für Unternehmen besteht darin, einerseits ihren datenschutzrechtlichen Pflichten nachzukommen und Betroffenenanfragen ordnungsgemäß und fristgemäß zu bearbeiten, andererseits aber auch rechtsmissbräuchliche Ansprüche zu erkennen, nachzuweisen und sich erfolgreich gegen diese zu wehren.

Indizien für einen Rechtsmissbrauch 

Ein vorsätzlicher Rechtsmissbrauch ist im Allgemeinen schwer nachweisbar, wobei die Darlegungs- und Beweislast das Unternehmen trifft. Gelingt es dem Unternehmen, hinreichend substantiiert Indizien für einen Rechtsmissbrauch darzulegen, sind dagegen die Vorwürfe von dem Anspruchsteller zu entkräften. 

Ein starkes Indiz ist es, wenn die Person bereits eine Vielzahl von Klagen in gleichgelagerten Sachverhalten eingereicht hat (sog. Berufskläger). Diese Personen suchen in der Regel im Internet nach Urteilen, in denen Schadenersatzansprüche zugesprochen wurden, oder nach bereits verhängten Bußgeldern, um daraufhin Unternehmen auf Datenschutzverstöße bei bestimmten relevanten Aktivitäten, beispielsweise bei Newsletter-Anmeldungen, zu überprüfen und so gezielt einen vermeintlichen Schaden herbeizuführen. Werden diese Ansprüche mit Anwaltsschreiben geltend gemacht, kann sich für Unternehmen eine kurze Internetrecherche nach dem gegnerischen Anwalt lohnen. Wirbt der gegnerische Anwalt auf seiner Internetseite explizit mit der Verfolgung von Datenschutzverstößen oder mit erfolgreichen Massenabmahnungen oder -klagen und hat daraus ein Geschäftsmodell entwickelt, sollte die Möglichkeit eines Rechtsmissbrauchs betrachtet werden. Es empfiehlt sich hier regelmäßig auch eine Rücksprache mit dem Datenschutzbeauftragten des Unternehmens.

Ein starkes Indiz für einen Rechtsmissbrauch kann auch die umfangreiche Aufbereitung der behaupteten Rechtsverletzung sein, wenn sie in keinem Verhältnis zu dem gerügten Verstoß steht. Dies kann beispielsweise Sachverhalte wie ein Auskunftsersuchen wegen eines Newsletter-Abonnements oder einer Bewerbungsabsage betreffen, bei denen die personenbezogenen Daten von der betroffenen Person selbst stammen. Hier wird oft ausführlich eine Rechtsverletzung wegen einer angeblichen Unvollständigkeit der Auskunftserteilung begründet, obwohl die (vermeintlich) fehlenden Daten für die betroffene Person kaum einen Mehrwert schaffen. Bietet die betroffene Person anschließend an, ihren Anspruch bei einer sofortigen Entschädigung zurückzuziehen, kommt es der Person erkennbar nicht auf einen Schutz ihrer personenbezogenen Daten an (vgl. EDSA Leitlinien v. 28.03.20223, Ziff. 190). 

Auffällig sind zudem Sachverhalte, in denen keinerlei vorherige Beziehung zwischen dem Anspruchsteller und dem Unternehmen bestand. So kann die betroffene Person beispielsweise bei einem Newsletter-Abonnement gezielt eine Rechtsbeziehung zu dem Unternehmen aufbauen, allein um darauffolgend etwaige datenschutzrechtliche Ansprüche, wie etwa auf Auskunft oder Schadensersatz, geltend zu machen. In diesen Fällen bietet auch ein sehr kurzer zeitlicher Abstand zwischen der ersten Kontaktaufnahme und der Anspruchserhebung ein Indiz für einen Rechtsmissbrauch. Legen aus der Sicht des Unternehmens ein oder mehrere Indizien einen Rechtsmissbrauch nahe, bedarf es dennoch einer Einzelfallprüfung.

Problemfelder bei der Abwehr rechtsmissbräuchlicher Ansprüche

Bei der Abwehr unberechtigter Ansprüche ergeben sich verschiedene Problemfelder, wobei sich mögliche Lösungswege bei einem Blick auf die Rechtsprechung immer auch nach der Art des geltend gemachten Anspruchs richten. 

Auskunftsansprüche

Nach Art. 15 Abs. 1 DSGVO haben betroffene Personen das Recht, zu erfahren, ob und welche personenbezogenen Daten von ihnen verarbeitet werden. Auskunftsersuchen eröffnen das Tor für eine effektive Durchsetzung der Betroffenenrechte, weshalb keine hohen Anforderungen – wie eine Begründung – an den Auskunftsersuchenden gestellt werden. Nach europäischer Rechtsprechung ist es unschädlich, wenn mit dem Auskunftsersuchen datenschutzfremde Zwecke verfolgt werden (EuGH, Urt. v. 26.10.2023 – C-307/22). Die Erteilung einer Auskunft kann also nicht verweigert werden, nur weil der Auskunftsersuchende einen anderen Zweck verfolgt, als Kenntnis über die Datenverarbeitung zu erlangen und deren Rechtmäßigkeit zu überprüfen. Bei Auskunftsersuchen in Reaktion auf eine mangelhafte Leistung des Unternehmens oder einen arbeitsrechtlichen Konflikt ist das Unternehmen also nicht von einer Auskunftserteilung befreit. Allerdings bedeutet dies nicht, dass die mit dem Auskunftsersuchen verfolgte Absicht unberücksichtigt bleiben muss. Jedenfalls bei offenkundig unbegründeten oder exzessiven – häufig wiederholten – Anträgen kann nach Art. 12 Abs. 5 S. 2 DSGVO die Auskunftserteilung verweigert oder ein angemessenes Entgelt für die Auskunftserteilung verlangt werden.

Darüber hinaus stellt sich bei Auskunftsersuchen das Problem, dass die erforderliche Art und der erforderliche Umfang der Auskunft nicht immer auf den ersten Blick eindeutig erkennbar sind und sich so Zweifel an der Vollständigkeit leicht erheben lassen. Ein bloßer Verdacht auf die Unvollständigkeit reicht aber nicht aus, um das Unternehmen zu einer Auskunft in weitergehendem Umfang zu verpflichten (BGH, Urt. v. 15.06.2021 – Az. VI ZR 576/19). Behauptet die betroffene Person ins Blaue hinein, dass dem Unternehmen noch weitere Informationen vorliegen und beauskunftet werden müssen, kann somit die Erfüllung des Auskunftsersuchens mit Verweis auf die ursprüngliche Auskunftserteilung verweigert werden.

Schadensersatzansprüche 

Art. 82 Abs. 1 DSGVO lautet „Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadensersatz gegen den Verantwortlichen“. Nach der Rechtsprechung des Europäischen Gerichtshofs (EuGH) begründet nicht jeder Verstoß gegen die DSGVO einen Schaden (EuGH, Urt. v. 4.05.2023 – Az. C-300/21). Vorausgesetzt werden neben einem Datenschutzverstoß ein Schaden und ein Kausalzusammenhang zwischen Verstoß und Schaden; diese Voraussetzungen sind auch von dem Anspruchsteller nachzuweisen. 

Problematisch sind Fälle, in denen der Ersatz eines behaupteten immateriellen Schadens aufgrund einer Verletzung des Persönlichkeitsrechts verlangt wird. Der Grund hierfür ist, dass der Schaden nach Ansicht des EuGH keine Erheblichkeitsschwelle überschreiten muss, um ersatzfähig zu sein, sodass bereits geringe immaterielle Schäden einen Schadensersatz auslösen können. In Fällen des Rechtsmissbrauchs wird oftmals textbausteinmäßig behauptet, der Anspruchssteller habe einen „Kontrollverlust“ erlitten oder sei „genervt“. Zwar können dieser Kontrollverlust oder die Befürchtung eines Datenmissbrauchs einen immateriellen Schaden darstellen; die bloße Behauptung – ohne nachgewiesene negative Folgen – reicht indes nicht aus. Ohne einen Nachweis durch den Anspruchsteller besteht kein haftungsauslösender Kontrollverlust, sondern ein rein hypothetisches Risiko (EuGH, Urt. 25.01.2024 – Az. C-687/21; BGH, Urt. v. 13.05.2025 – Az. VI ZR 186/22). In Sachverhalten bewusster Selbstschädigung, etwa bei dem Aufrufen einer Website in der Erwartung, dort einer rechtswidrigen Datenverarbeitung zu begegnen, dürfte in der Regel ein Schaden abzulehnen sein. Ebenso kann der Schadensersatz an einem fehlenden kausalen Kontrollverlust scheitern, sofern die behauptete Verletzung lediglich Daten betrifft, deren Verfügungsgewalt der betroffenen Person aufgrund vorheriger Offenlegungen Dritter bereits entzogen war.

Vorgehensweise bei der Abwehr von rechtsmissbräuchlichen Ansprüchen

Berufskläger neigen dazu, ihre Ansprüche auf Auskunftserteilung und anschließendem Schadensersatz wegen vermeintlicher Unvollständigkeit der Auskunft unmittelbar aufeinanderfolgend geltend zu machen. Sobald ein Anspruch gegen das Unternehmen erhoben wird, sollte sich dieses daher die Frage stellen, was die betroffene Person mit ihrem Anspruch vermutlich erreichen kann und möchte. Sofern sich Indizien finden, die auf einen Rechtsmissbrauch hindeuten, sollten Nachforschungen getätigt und Nachweise gesammelt werden. Eine Absprache mit dem Datenschutzbeauftragten kann hilfreich sein, möglicherweise ist ein etwaiger Berufskläger dort bekannt. Auch datenschutzrechtliche Urteile oder Bußgelder sollten im Auge behalten werden. 

Aufgrund der Rechenschaftspflicht des Unternehmens sollten die datenschutzrechtlichen Aktivitäten umfassend dokumentiert werden, um im Streitfall die technischen und organisatorischen Maßnahmen darzulegen, die einen behaupteten Datenschutzverstoß widerlegen. Hierzu gehören auch der Sachverhalt und Kommunikationsverläufe bezüglich eines geltend gemachten Anspruchs oder einer Betroffenenanfrage. Insbesondere für die Bearbeitung von Auskunftsersuchen sollten organisatorische Arbeitsabläufe etabliert und Aufgaben klar verteilt werden, um die Vollständigkeit zu gewährleisten. 

Liegt ein Rechtsmissbrauch nahe, können für die erfolgreiche Abwehr unberechtigter Ansprüche verschiedene Gegenmaßnahmen in Erwägung gezogen werden. Bei offenkundig unbegründeten oder exzessiven Auskunftsersuchen kann die Erteilung der Auskunft gem. Art. 12 Abs. 5 S. 2 DSGVO verweigert werden, wobei den Unternehmer die Darlegungs- und Beweislast trifft. Alternativ kann die verantwortliche Stelle ein angemessenes Entgelt für die Auskunftserteilung verlangen. Darüber hinaus kann das Unternehmen bei Zweifeln an der Identität des Auskunftsersuchenden nach Art. 12 Abs. 6 DSGVO weitere Informationen anfordern. Sofern der Auskunftsersuchende nicht ausdrücklich eine Auskunft über „alle“ verarbeiteten personenbezogenen Daten begehrt, kann von der Möglichkeit Gebrauch gemacht werden, Rückfragen über den Anlass oder Gegenstand des Auskunftsersuchens zu stellen. Wenn Indizien für einen „Berufskläger“ oder ein entsprechendes Geschäftsmodell der Gegenseite sprechen, sollte das Vorliegen eines konkreten Schadens in Frage gestellt werden. Bei einer anwaltlichen Vertretung sollte stets die Vollmacht überprüft werden. In evidenten Fällen kommt die Erhebung einer negativen Feststellungsklage in Betracht, um gerichtlich feststellen zu lassen, dass keine datenschutzrechtlichen Ansprüche gegen das Unternehmen bestehen. Dahingegen wird dem Unternehmen nur in seltenen Fällen ein eigener Anspruch auf Schadensersatz gegen den Antragsteller – etwa wegen einer Verletzung des eingerichteten und ausgeübten Gewerbebetriebs durch rechtsmissbräuchliches Verhalten nach § 823 Abs. 1 BGB – zustehen. 

Fazit

Werden personenbezogene Daten erhoben, spricht die DSGVO der betroffenen Person umfassende Rechte zu. Grundsätzlich ist jede Betroffenenanfrage von der verantwortlichen Stelle zu berücksichtigen und ordnungsgemäß zu bearbeiten. Es können aber Sachverhalte auftreten, in denen eine betroffene Person ihre Rechtsstellung missbraucht, um sich finanziell zu bereichern. Typische Streitgegenstände sind insofern Auskunftsersuchen und Schadensersatzansprüche nach einem Newsletter-Abonnement oder nach der Absage einer Bewerbung. Es gibt verschiedene Indizien, die auf einen Rechtsmissbrauch hindeuten. Beispielhaft sind eine Vielzahl von Klagen in gleichgelagerten Sachverhalten oder eine unverhältnismäßige Aufbereitung der behaupteten Rechtsverletzung zu nennen. Auch wenn kurze Zeit nach der Aufnahme einer neuen Rechtsbeziehung ein Anspruch geltend gemacht wird, ist Vorsicht geboten. 

Um unberechtigte Ansprüche erfolgreich abzuwehren, sollten sich Unternehmen der Problemfelder bei Schadensersatz- und Auskunftsansprüchen bewusst werden. Auskunftsersuchen sind auch bei datenschutzfremden Zwecken zu beantworten, können aber gem. Art. 12 Abs. 5 DSGVO bei offenkundig unbegründeten oder exzessiven Anträgen verweigert oder von der Zahlung eines angemessenen Entgelts abhängig gemacht werden. Bei Schadensersatzansprüchen sollte beachtet werden, dass ohne den konkreten Nachweis eines haftungsauslösenden Kontrollverlusts kein Schaden besteht, sondern ein rein hypothetisches Risiko. Oftmals besteht auch ein Fall bewusster Selbstschädigung, der zur Ablehnung eines Schadens führen kann. Unternehmen ist zu empfehlen, Nachforschungen anzustellen, umfassende Dokumentationen vorzunehmen und ihre organisatorischen Arbeitsabläufe datenschutzkonform zu gestalten. Letztlich können verschiedene Gegenmaßnahmen ergriffen werden, wie die Rückfrage über den Anlass des Auskunftsersuchens, die Zurückweisung eines konkreten Schadens oder eine negative Feststellungsklage.