Verwaltungsgerichtshof
27.06.2023
Ra 2023/04/0002
Der Verwaltungsgerichtshof hat durch den Vorsitzenden Senatspräsident Dr. Handstanger, Hofrat Dr. Mayr, Hofrätin Mag. Hainz-Sator sowie die Hofräte Dr. Pürgy und Mag. Brandl als Richter, unter Mitwirkung des Schriftführers Mag. Vonier, über die Revision der Datenschutzbehörde gegen das Erkenntnis des Bundesverwaltungsgerichts vom 22. Dezember 2022, Zl. W245 2234935-1/6E, betreffend Ablehnung der Behandlung einer Datenschutzbeschwerde gemäß Artikel 57, Absatz 4, DSGVO (weitere Partei: Bundesministerin für Justiz, mitbeteiligte Partei: F R in L, vertreten durch Thurnher Wittwer Pfefferkorn & Partner Rechtsanwälte GmbH in 6850 Dornbirn, Messestraße 11), den Beschluss gefasst:
Dem Gerichtshof der Europäischen Union (EuGH) werden nach Artikel 267, AEUV folgende Fragen zur Vorabentscheidung vorgelegt:
1. Ist der Begriff „Anfragen“ oder „Anfrage“ in Artikel 57, Absatz 4, der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung - DSGVO) dahin auszulegen, dass darunter auch „Beschwerden“ nach Artikel 77, Absatz eins, DSGVO zu verstehen sind?
Falls die Frage 1 bejaht wird:
2. Ist Artikel 57, Absatz 4, DSGVO so auszulegen, dass es für das Vorliegen von „exzessiven Anfragen“ bereits ausreicht, dass eine betroffene Person bloß innerhalb eines bestimmten Zeitraums eine bestimmte Zahl von Anfragen (Beschwerden nach Artikel 77, Absatz eins, DSGVO) an eine Aufsichtsbehörde gerichtet hat, unabhängig davon, ob es sich um unterschiedliche Sachverhalte handelt und/oder die Anfragen (Beschwerden) unterschiedliche Verantwortliche betreffen, oder bedarf es neben der häufigen Wiederholung von Anfragen (Beschwerden) auch einer Missbrauchsabsicht der betroffenen Person?
3. Ist Artikel 57, Absatz 4, DSGVO so auszulegen, dass die Aufsichtsbehörde bei Vorliegen einer „offenkundig unbegründeten“ oder „exzessiven“ Anfrage (Beschwerde) frei wählen kann, ob sie eine angemessene Gebühr auf der Grundlage der Verwaltungskosten für deren Bearbeitung verlangt oder deren Bearbeitung von vornherein verweigert; verneinendenfalls welche Umstände und welche Kriterien die Aufsichtsbehörde zu berücksichtigen hat, insbesondere ob die Aufsichtsbehörde verpflichtet ist, vorrangig als gelinderes Mittel eine angemessene Gebühr zu verlangen, und erst im Fall der Aussichtslosigkeit einer Gebühreneinhebung zur Hintanhaltung offenkundig unbegründeter oder exzessiver Anfragen (Beschwerden) berechtigt ist, deren Bearbeitung zu verweigern?
Sachverhalt und Ausgangsverfahren
1 Der Mitbeteiligte erhob am 17. Februar 2020 bei der Datenschutzbehörde eine Datenschutzbeschwerde gemäß Art. 77 Abs. 1 Datenschutz-Grundverordnung (DSGVO) wegen Verletzung im Recht auf Auskunft gemäß Art. 15 DSGVO und beantragte die Einleitung eines Verfahrens sowie die Feststellung der Verletzung in seinen Rechten.
2 Der Mitbeteiligte brachte dazu vor, er habe den Antrag auf Auskunft gemäß Art. 15 DSGVO an die B O BV (Beschwerdegegnerin), eine Gesellschaft mit beschränkter Haftung mit Sitz in den Niederlanden, am 7. Jänner 2020 versendet. Der Antrag sei am 13. Jänner 2020 zugestellt worden. Die Beschwerdegegnerin habe nicht innerhalb eines Monats auf den Antrag reagiert.
3 Mit Bescheid vom 22. April 2020 lehnte die Datenschutzbehörde die Behandlung der Datenschutzbeschwerde gemäß Art. 57 Abs. 4 DSGVO ab.
4 Begründend führte die Datenschutzbehörde aus, der Mitbeteiligte habe seit dem 28. August 2018 zum Stichtag 7. April 2020 insgesamt 77 Datenschutzbeschwerden bei ihr eingebracht (in der Bescheidbegründung mit dem jeweiligen Aktenzeichen der Datenschutzbehörde und den Namen der Beschwerdegegner aufgelistet), und zwar 4 Datenschutzbeschwerden im Jahr 2018, 53 im Jahr 2019 und weitere 20 im ersten Quartal 2020. Darin habe er in 46 Fällen das Recht auf Löschung und in 29 Fällen das Recht auf Auskunft geltend gemacht.
Die den Datenschutzbeschwerden zugrundeliegenden Sachverhalte seien im Wesentlichen gleich. Der Mitbeteiligte richte zunächst an jeweils verschiedene datenschutzrechtliche Verantwortliche, mit denen er im Laufe der Zeit zu tun gehabt habe, Anträge auf Auskunft bzw. Löschung. Daraufhin bringe er bei der Datenschutzbehörde Beschwerde ein, weil ihm der Verantwortliche nicht innerhalb eines Monats geantwortet habe und zwar bis jetzt in 64 Fällen. Die „Ein-Monats-Frist“ sei bei Einbringung der Datenschutzbeschwerde oftmals erst wenige Tage überschritten.
Überdies kontaktiere er die Datenschutzbehörde regelmäßig telefonisch, um weitere datenschutzrechtlich relevante Sachverhalte zu schildern und zu erfragen, ob diese in Form von Datenschutzbeschwerden bei der Datenschutzbehörde geltend gemacht werden könnten.
Dem Mitbeteiligten komme zwar ein nicht weiter begründungsbedürftiges Interesse an der Erteilung einer Auskunft gemäß Artikel 15, DSGVO zu. Voraussetzung für eine Datenschutzbeschwerde nach Artikel 77, DSGVO in Verbindung mit Paragraph 24, Absatz eins, Datenschutzgesetz (DSG) sei jedoch eine gewisse Schutzbedürftigkeit, dessen Schwelle niedrig anzusetzen sei. Andernfalls hätte der EU-Verordnungsgeber Aufsichtsbehörden nicht gemäß Artikel 57, Absatz 4, DSGVO die Möglichkeit eingeräumt, in gewissen Fällen vom Grundsatz der Unentgeltlichkeit einer Beschwerde abzugehen oder die Behandlung der Beschwerde zu verweigern.
Durch das stetige Einbringen von neuen Beschwerden, deren Gesamtzahl beträchtlich sei, binde der Mitbeteiligte „die knappen Personalressourcen der Datenschutzbehörde seit mittlerweile eineinhalb Jahren“ gegenüber anderen BeschwerdeführerInnen, die weniger Beschwerden einbringen würden, „zu seinem Vorteil und in unverhältnismäßig großem Ausmaß“. Eine Artikel 57, Absatz 4, DSGVO immanente „Grundschutzbedürftigkeit“ sei „nicht (mehr) anzunehmen“.
Zudem sei aufgrund der steigenden Anzahl an Datenschutzbeschwerden in den letzten eineinhalb Jahren und der von der Behörde mit ihm geführten Telefonaten davon auszugehen, dass der Mitbeteiligte die Tätigkeit der Datenschutzbehörde auch zukünftig massiv in Anspruch nehmen werde.
Die „nunmehr 77 eingebrachten Beschwerden“ seien als „exzessive Anfragen“ des Mitbeteiligten zu qualifizieren. Da Artikel 79, DSGVO auch die Möglichkeit eines gerichtlichen Rechtsbehelfs vorsehe, sei der Mitbeteiligte nicht schutzlos. Es sei daher von einer „exzessiven Inanspruchnahme des Beschwerderechts nach Artikel 57, Absatz 4, DSGVO auszugehen“.
5 Gegen diesen Bescheid erhob der Mitbeteiligte Beschwerde an das Bundesverwaltungsgericht (Verwaltungsgericht).
6 Mit dem beim Verwaltungsgerichtshof angefochtenen Erkenntnis vom 22. Dezember 2022 gab das Verwaltungsgericht der Beschwerde Folge, hob den Bescheid der Datenschutzbehörde vom 22. April 2020 ersatzlos auf, trug der Datenschutzbehörde die Fortsetzung des Verfahrens unter Abstandnahme von den gebrauchten Gründen der Ablehnung auf und sprach aus, dass die Revision gemäß Art. 133 Abs. 4 B-VG nicht zulässig sei.
7 Begründend führte das Verwaltungsgericht im Wesentlichen aus, es lasse sich weder aus dem Wortlaut des Art. 57 Abs. 4 DSGVO noch aus den Erwägungsgründen oder aus einer systematischen Betrachtung der DSGVO mit hinreichender Sicherheit ableiten, wann „ein Antrag (eine Anfrage)“ als „exzessiv“ zu beurteilen sei. Aus Art. 57 Abs. 4 DSGVO ergebe sich, dass exzessive Anfragen eine häufige Wiederholung voraussetzen würden.
Nach näher genannter Literatur sei der exzessive Charakter dann erfüllt, wenn die Bearbeitung der Anfragen den durchschnittlichen Arbeits- und Zeitaufwand für vergleichbare Fälle deutlich überschreite und der erhöhte Aufwand auf eine übermäßige Fülle von substanzlosen oder ausschweifenden Ausführungen zurückzuführen sei. Es reiche nicht aus, dass ein Beschwerdeführer mehrfach in vergleichbaren Fällen vorstellig werde oder dass er in zeitlichen Abständen immer wieder Beschwerde gegen eine bestimmte Datenverarbeitung einlege; allein der hohe Zeitaufwand der Bearbeitung oder eine vergleichsweise Banalität der rechtlichen Beurteilung erlaube noch keine Einordnung als exzessiv. Nach der einschlägigen Literatur zu Artikel 12, Absatz 5, DSGVO, der mit Artikel 57, Absatz 4, DSGVO fast wortidenten an den Verantwortlichen gerichteten Bestimmung, werde eine Antragswiederholung nur dann als exzessiv anzusehen sein, wenn diese ohne berechtigten Grund erfolge.
Zusammengefasst setze „Exzessivität“ gemäß Artikel 57, Absatz 4, DSGVO nicht nur eine häufige Wiederholung von Anträgen, sondern auch „einen offensichtlich schikanösen bzw. rechtsmissbräuchlichen Charakter“ voraus. Eine isolierte Betrachtung der Anzahl der Anträge könnte zu einer willkürlichen Beeinträchtigung des Rechtsschutzes des Betroffenen führen. Eine Weigerung sei nur in bestimmten Ausnahmefällen zulässig und bedürfe der Prüfung, ob die Anträge „offensichtlich schikanös bzw. rechtsmissbräuchlich“ erfolgen würden.
Ein Rechtsmissbrauch liege vor, „wenn das unlautere Motiv der Rechtsausübung das lautere Motiv eindeutig“ überwiege. Der Schädigungszweck müsse so augenscheinlich im Vordergrund stehen, dass andere Ziele der Rechtsausübung völlig in den Hintergrund treten.
Vorliegend ergebe sich aus der Begründung der Datenschutzbehörde für die Weigerung der Behandlung der Beschwerde nicht ansatzweise ein rechtsmissbräuchliches Vorgehen oder eine rechtsmissbräuchliche Absicht des Mitbeteiligten. Ebenso komme der Erwartung der Datenschutzbehörde einer künftigen massiven Belastung sowie deren Hinweis auf ihre knappen Personalressourcen kein Begründungswert zu. Eine maßgebliche Belastungssituation habe die Datenschutzbehörde nicht aufgezeigt.
Unabhängig davon, dass es bereits an der „Exzessivität“ des Antrags als Voraussetzung für die Weigerung dessen Behandlung mangle, könne die Datenschutzbehörde nicht beliebig zwischen den Rechtsfolgen der Vorschreibung einer angemessenen Gebühr für einen „exzessiven“ Antrag und der Weigerung, einen solchen Antrag zu behandeln, wählen. Die Wahl der Rechtsfolgen einer exzessiven Anfrage liege vielmehr im „freien Ermessen“, dessen Gebrauch im Sinne der DSGVO die Datenschutzbehörde zu begründen habe.
Artikel 57, Absatz 4, DSGVO sei ein Vorrang einer der beiden Handlungsalternativen nicht zu entnehmen. Im Fall einer „offenkundigen Unbegründetheit“ des Antrags komme bloß eine Weigerung tätig zu werden in Frage. Im Fall einer exzessiven Anfrage sei zu beachten, dass eine Weigerung tätig zu werden zu einem massiven Eingriff in den Rechtsschutz des Betroffenen führe. Eine Weigerung, Beschwerden zu bearbeiten, werde nur in bestimmten Ausnahmefällen bei offensichtlich missbräuchlichen oder häufig wiederholten unbegründeten Anträgen in Betracht kommen.
Mangels hinreichender Begründung des Vorliegens einer exzessiven Anfrage und der Heranziehung der Handlungsalternative „Weigerung“ sei die mit dem angefochtenen Bescheid ausgesprochene Weigerung der Behandlung der Beschwerde, die als inhaltlich rechtswidriger Zurückweisungsbescheid zu qualifizieren sei, „ersatzlos“ zu beheben.
8 Gegen dieses Erkenntnis richtet sich die vorliegende Revision der Datenschutzbehörde. Der Mitbeteiligte beantragte in seiner Revisionsbeantwortung die Revision als unzulässig zurückzuweisen, in eventu als unbegründet abzuweisen.
Die maßgeblichen Bestimmungen des Unionsrechts
9 Die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) samt Erwägungsgründen lautet auszugsweise:
„...
(10) Um ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen zu gewährleisten und die Hemmnisse für den Verkehr personenbezogener Daten in der Union zu beseitigen, sollte das Schutzniveau für die Rechte und Freiheiten von natürlichen Personen bei der Verarbeitung dieser Daten in allen Mitgliedstaaten gleichwertig sein. Die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten von natürlichen Personen bei der Verarbeitung personenbezogener Daten sollten unionsweit gleichmäßig und einheitlich angewandt werden. ...
(11) Ein unionsweiter wirksamer Schutz personenbezogener Daten erfordert die Stärkung und präzise Festlegung der Rechte der betroffenen Personen sowie eine Verschärfung der Verpflichtungen für diejenigen, die personenbezogene Daten verarbeiten und darüber entscheiden, ebenso wie - in den Mitgliedstaaten - gleiche Befugnisse bei der Überwachung und Gewährleistung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie gleiche Sanktionen im Falle ihrer Verletzung.
...
(63) Eine betroffene Person sollte ein Auskunftsrecht hinsichtlich der sie betreffenden personenbezogenen Daten, die erhoben worden sind, besitzen und dieses Recht problemlos und in angemessenen Abständen wahrnehmen können, um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können. ... Jede betroffene Person sollte daher ein Anrecht darauf haben zu wissen und zu erfahren, insbesondere zu welchen Zwecken die personenbezogenen Daten verarbeitet werden und, wenn möglich, wie lange sie gespeichert werden, wer die Empfänger der personenbezogenen Daten sind, nach welcher Logik die automatische Verarbeitung personenbezogener Daten erfolgt und welche Folgen eine solche Verarbeitung haben kann, zumindest in Fällen in denen die Verarbeitung auf Profiling beruht. ... Verarbeitet der Verantwortliche eine große Menge von Informationen über die betroffene Person, so sollte er verlangen können, dass die betroffene Person präzisiert, auf welche Information oder welche Verarbeitungsvorgänge sich ihr Auskunftsersuchen bezieht, bevor er ihr Auskunft erteilt.
...
(141) Jede betroffene Person sollte das Recht haben, bei einer einzigen Aufsichtsbehörde insbesondere in dem Mitgliedstaat ihres gewöhnlichen Aufenthalts eine Beschwerde einzureichen und gemäß Artikel 47 der Charta einen wirksamen gerichtlichen Rechtsbehelf einzulegen, wenn sie sich in ihren Rechten gemäß dieser Verordnung verletzt sieht oder wenn die Aufsichtsbehörde auf eine Beschwerde hin nicht tätig wird, eine Beschwerde teilweise oder ganz abweist oder ablehnt oder nicht tätig wird, obwohl dies zum Schutz der Rechte der betroffenen Person notwendig ist. Die auf eine Beschwerde folgende Untersuchung sollte vorbehaltlich gerichtlicher Überprüfung so weit gehen, wie dies im Einzelfall angemessen ist. Die Aufsichtsbehörde sollte die betroffene Person innerhalb eines angemessenen Zeitraums über den Fortgang und die Ergebnisse der Beschwerde unterrichten. Sollten weitere Untersuchungen oder die Abstimmung mit einer anderen Aufsichtsbehörde erforderlich sein, sollte die betroffene Person über den Zwischenstand informiert werden. Jede Aufsichtsbehörde sollte Maßnahmen zur Erleichterung der Einreichung von Beschwerden treffen, wie etwa die Bereitstellung eines Beschwerdeformulars, das auch elektronisch ausgefüllt werden kann, ohne dass andere Kommunikationsmittel ausgeschlossen werden.
...
Artikel 12
Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person
...
(3) Der Verantwortliche stellt der betroffenen Person Informationen über die auf Antrag gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Der Verantwortliche unterrichtet die betroffene Person innerhalb eines Monats nach Eingang des Antrags über eine Fristverlängerung, zusammen mit den Gründen für die Verzögerung. Stellt die betroffene Person den Antrag elektronisch, so ist sie nach Möglichkeit auf elektronischem Weg zu unterrichten, sofern sie nichts anderes angibt.
(4) Wird der Verantwortliche auf den Antrag der betroffenen Person hin nicht tätig, so unterrichtet er die betroffene Person ohne Verzögerung, spätestens aber innerhalb eines Monats nach Eingang des Antrags über die Gründe hierfür und über die Möglichkeit, bei einer Aufsichtsbehörde Beschwerde einzulegen oder einen gerichtlichen Rechtsbehelf einzulegen.
(5) Informationen gemäß den Artikeln 13 und 14 sowie alle Mitteilungen und Maßnahmen gemäß den Artikeln 15 bis 22 und Artikel 34 werden unentgeltlich zur Verfügung gestellt. Bei offenkundig unbegründeten oder - insbesondere im Fall von häufiger Wiederholung - exzessiven Anträgen einer betroffenen Person kann der Verantwortliche entweder
a) ein angemessenes Entgelt verlangen, bei dem die Verwaltungskosten für die Unterrichtung oder die Mitteilung oder die Durchführung der beantragten Maßnahme berücksichtigt werden, oder
b) sich weigern, aufgrund des Antrags tätig zu werden.
Der Verantwortliche hat den Nachweis für den offenkundig unbegründeten oder exzessiven Charakter des Antrags zu erbringen.
...
Artikel 15
Auskunftsrecht der betroffenen Person
(1) Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:
a) die Verarbeitungszwecke
b) die Kategorien personenbezogener Daten, die verarbeitet werden;
c) die Empfänger oder Kategorien von Empfängern gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
d) falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
e) das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
f) das Bestehen eines Beschwerderechtes bei einer Aufsichtsbehörde;
g) wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
h) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und - zumindest in diesen Fällen - aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
...
Artikel 51
Aufsichtsbehörde
(1) Jeder Mitgliedstaat sieht vor, dass eine oder mehrere unabhängige Behörden für die Überwachung der Anwendung dieser Verordnung zuständig sind, damit die Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung geschützt werden und der freie Verkehr personenbezogener Daten in der Union erleichtert wird (im Folgenden „Aufsichtsbehörde“).
...
Artikel 57
Aufgaben
(1) Unbeschadet anderer in dieser Verordnung dargelegter Aufgaben muss jede Aufsichtsbehörde in ihrem Hoheitsgebiet
a) die Anwendung dieser Verordnung überwachen und durchsetzen;
b) die Öffentlichkeit für die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung sensibilisieren und sie darüber aufklären. Besondere Beachtung finden dabei spezifische Maßnahmen für Kinder;
c) im Einklang mit dem Recht des Mitgliedstaats das nationale Parlament, die Regierung und andere Einrichtungen und Gremien über legislative und administrative Maßnahmen zum Schutz der Rechte und Freiheiten natürlicher Personen in Bezug auf die Verarbeitung beraten;
d) die Verantwortlichen und die Auftragsverarbeiter für die ihnen aus dieser Verordnung entstehenden Pflichten sensibilisieren;
e) auf Anfrage jeder betroffenen Person Informationen über die Ausübung ihrer Rechte aufgrund dieser Verordnung zur Verfügung stellen und gegebenenfalls zu diesem Zweck mit den Aufsichtsbehörden in anderen Mitgliedstaaten zusammenarbeiten;
f) sich mit Beschwerden einer betroffenen Person oder Beschwerden einer Stelle, einer Organisation oder eines Verbandes gemäß Artikel 80 befassen, den Gegenstand der Beschwerde in angemessenem Umfang untersuchen und den Beschwerdeführer innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung unterrichten, insbesondere, wenn eine weitere Untersuchung oder Koordinierung mit einer anderen Aufsichtsbehörde notwendig ist;
g) mit anderen Aufsichtsbehörden zusammenzuarbeiten, auch durch Informationsaustausch, und ihnen Amtshilfe leisten, um die einheitliche Anwendung und Durchsetzung dieser Verordnung zu gewährleisten;
h) Untersuchungen über die Anwendung dieser Verordnung durchführen, auch auf der Grundlage von Informationen einer anderen Aufsichtsbehörde oder einer anderen Behörde;
i) maßgebliche Entwicklungen verfolgen, soweit sie sich auf den Schutz personenbezogener Daten auswirken, insbesondere die Entwicklung der Informations- und Kommunikationstechnologie und der Geschäftspraktiken;
j) Standardvertragsklauseln im Sinne des Artikels 28 Absatz 8 und des Artikels 46 Absatz 2 Buchstabe d festlegen;
k) eine Liste der Verarbeitungsarten erstellen und führen, für die gemäß Artikel 35 Absatz 4 eine Datenschutz-Folgeabschätzung durchzuführen ist;
l) Beratung in Bezug auf die in Artikel 36 Absatz 2 genannten Verarbeitungsvorgänge leisten;
m) die Ausarbeitung von Verhaltensregeln gemäß Artikel 40 Absatz 1 fördern und zu diesen Verhaltensregeln, die ausreichende Garantien im Sinne des Artikels 40 Absatz 5 bieten müssen, Stellungnahmen abgeben und sie billigen;
n) die Einführung von Datenschutzzertifizierungsmechanismen und von Datenschutzsiegeln und -prüfzeichen nach Artikel 42 Absatz 1 anregen und Zertifizierungskriterien nach Artikel 42 Absatz 5 billigen;
o) gegebenenfalls die nach Artikel 42 Absatz 7 erteilten Zertifizierungen regelmäßig überprüfen;
p) die Kriterien für die Akkreditierung einer Stelle für die Überwachung der Einhaltung von Verhaltensregeln gemäß Artikel 41 und einer Zertifizierungsstelle gemäß Artikel 43 abfassen und veröffentlichen;
q) die Akkreditierung einer Stelle für die Überwachung der Einhaltung der Verhaltensregeln gemäß Artikel 41 und einer Zertifizierungsstelle gemäß Artikel 43 vornehmen;
r) Vertragsklauseln und Bestimmungen im Sinne des Artikels 46 Absatz 3 genehmigen;
s) verbindliche interne Vorschriften gemäß Artikel 47 genehmigen;
t) Beiträge zur Tätigkeit des Ausschusses leisten;
u) interne Verzeichnisse über Verstöße gegen diese Verordnung und gemäß Artikel 58 Absatz 2 ergriffene Maßnahmen und
v) jede sonstige Aufgabe im Zusammenhang mit dem Schutz personenbezogener Daten erfüllen.
(2) Jede Aufsichtsbehörde erleichtert das Einreichen von in Absatz 1 Buchstabe f genannten Beschwerden durch Maßnahmen wie etwa die Bereitstellung eines Beschwerdeformulars, das auch elektronisch ausgefüllt werden kann, ohne dass andere Kommunikationsmittel ausgeschlossen werden.
(3) Die Erfüllung der Aufgaben jeder Aufsichtsbehörde ist für die betroffene Person und gegebenenfalls für den Datenschutzbeauftragten unentgeltlich.
(4) Bei offenkundig unbegründeten oder - insbesondere im Fall von häufiger Wiederholung - exzessiven Anfragen kann die Aufsichtsbehörde eine angemessene Gebühr auf der Grundlage der Verwaltungskosten verlangen oder sich weigern, aufgrund der Anfrage tätig zu werden. In diesem Fall trägt die Aufsichtsbehörde die Beweislast für den offenkundig unbegründeten oder exzessiven Charakter der Anfrage.
...
Artikel 77
Recht auf Beschwerde bei einer Aufsichtsbehörde
(1) Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt.
(2) Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, unterrichtet den Beschwerdeführer über den Stand und die Ergebnisse der Beschwerde einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs nach Artikel 78.
Artikel 78
Recht auf wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde
(1) Jede natürliche oder juristische Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen einen sie betreffenden rechtsverbindlichen Beschluss einer Aufsichtsbehörde.
(2) Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn die nach den Artikeln 55 und 56 zuständige Aufsichtsbehörde sich nicht mit einer Beschwerde befasst oder die betroffene Person nicht innerhalb von drei Monaten über den Stand oder das Ergebnis der gemäß Artikel 77 erhobenen Beschwerde in Kenntnis gesetzt hat.
...“
Die maßgeblichen Bestimmungen des nationalen Rechts
10 § 24 des Bundesgesetzes zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz - DSG), BGBl. I Nr. 165/1999 in der Fassung BGBl. I Nr. 120/2017, lautet auszugsweise:
„Beschwerde an die Datenschutzbehörde
Paragraph 24, (1) Jede betroffene Person hat das Recht auf Beschwerde bei der Datenschutzbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO oder gegen Paragraph eins, oder Artikel 2 1. Hauptstück verstößt.
...
(5) Soweit sich eine Beschwerde als berechtigt erweist, ist ihr Folge zu geben. Ist eine Verletzung einem Verantwortlichen des privaten Bereichs zuzurechnen, so ist diesem aufzutragen, den Anträgen des Beschwerdeführers auf Auskunft, Berichtigung, Löschung, Einschränkung oder Datenübertragung in jenem Umfang zu entsprechen, der erforderlich ist, um die festgestellte Rechtsverletzung zu beseitigen. Soweit sich die Beschwerde als nicht berechtigt erweist, ist sie abzuweisen.
...
(8) Jede betroffene Person kann das Bundesverwaltungsgericht befassen, wenn die Datenschutzbehörde sich nicht mit der Beschwerde befasst oder die betroffene Person nicht innerhalb von drei Monaten über den Stand oder das Ergebnis der erhobenen Beschwerde in Kenntnis gesetzt hat.
...“
Zur Vorlageberechtigung
11 Der Verwaltungsgerichtshof ist ein Gericht im Sinne des Art. 267 AEUV, dessen Entscheidungen selbst nicht mehr mit Rechtsmitteln des innerstaatlichen Rechts angefochten werden können.
12 Der Verwaltungsgerichtshof vertritt die Auffassung, dass sich bei der Entscheidung der von ihm zu beurteilenden Revisionssache die im gegenständlichen Ersuchen um Vorabentscheidung angeführten und im Folgenden näher erläuterten Fragen der Auslegung des Unionsrechts stellen.
Erläuterungen zu den Vorlagefragen
Zur ersten Frage
13 Vorliegend lehnte die Datenschutzbehörde die Behandlung der vom Mitbeteiligten wegen Verletzung des von ihm wahrgenommenen Auskunftsrechts nach Art. 15 DSGVO gemäß Art. 77 DSGVO in Verbindung mit § 24 Abs. 1 DSG bei ihr eingebrachten Beschwerde als exzessiv im Sinne des Art. 57 Abs. 4 DSGVO ab. Dieser Entscheidung liegt die Annahme zugrunde, dass auch Beschwerden von betroffenen Personen nach Art. 77 Abs. 1 DSGVO unter den Begriff „Anfragen“ oder „Anfrage“ im Sinne des Art. 57 Abs. 4 DSGVO zu subsumieren sind. Diese Annahme legt auch das Verwaltungsgericht zugrunde, in dem es grundsätzlich die Weigerung der Datenschutzbehörde, gemäß Art. 57 Abs. 4 DSGVO aufgrund einer Beschwerde nach Art. 77 Abs. 1 DSGVO tätig zu werden, nicht in Frage stellte, sondern fallbezogen die Exzessivität der Beschwerde verneinte.
14 Die Auslegung des Begriffs „Anfrage“ in Art. 57 Abs. 4 DSGVO und zwar dahingehend, ob darunter auch Beschwerden nach Art. 77 Abs. 1 DSGVO zu verstehen sind, ist vorliegend von wesentlicher Bedeutung, weil es im Fall der Verneinung dieser Frage jeder Aufsichtsbehörde, wie etwa der Datenschutzbehörde, grundsätzlich verwehrt wäre, die Behandlung von Beschwerden gemäß Art. 57 Abs. 4 DSGVO zu verweigern oder eine angemessene Gebühr für deren Bearbeitung zu verlangen, und zwar unabhängig von deren allfälliger offenkundiger Unbegründetheit oder Exzessivität.
15 Nach ständiger Rechtsprechung des EuGH müssen die Begriffe einer Bestimmung des Unionsrechts, die für die Ermittlung ihres Sinnes und ihrer Tragweite nicht ausdrücklich auf das Recht der Mitgliedstaaten verweist, in der Regel in der gesamten Union eine autonome und einheitliche Auslegung erhalten (vgl. etwa EuGH 4.5.2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C-300/21, EU:C:2023:370, Rn. 29, mwN). Bei Auslegung einer Bestimmung des Unionsrechts sind nicht nur ihr Wortlaut entsprechend ihrem Sinn nach dem gewöhnlichen Sprachgebrauch, sondern auch ihr Kontext und die Ziele, die mit der Regelung, zu der sie gehört, verfolgt werden, zu berücksichtigen (vgl. EuGH 4.5.2023, Österreichische Datenschutzbehörde und CRIF, C-487/21, EU:C:2023:369, Rn. 19, mwN).
16 Der Begriff „Anfragen“ oder „Anfrage“ im Sinne des Art. 57 Abs. 4 DSGVO ist in der DSGVO nicht näher definiert.
17 Als Ausnahme vom in Abs. 3 statuierten Grundsatz der Unentgeltlichkeit bezieht sich dieser Begriff auf die Erfüllung der Aufgaben jeder Aufsichtsbehörde und umfasst jedenfalls „Anfragen“ jeder betroffenen Person im Sinne des Art. 57 Abs. 1 lit. e DSGVO über die Ausübung ihrer Rechte aufgrund der DSGVO. Aus dem Umstand, dass der Begriff „Anfrage“ in der Aufzählung der Aufgaben jeder Aufsichtsbehörde ausschließlich in Abs. 1 lit. e verwendet wird, kann nicht zwingend geschlossen werden, dass Art. 57 Abs. 4 DSGVO lediglich für die Behandlung solcher Anfragen gilt. Der Kontext zu Abs. 3 lässt vielmehr darauf schließen, dass der Begriff „Anfragen“ oder „Anfrage“ auch Beschwerden nach Art. 77 Abs. 1 DSGVO, die den primären Rechtsbehelf gegen datenschutzrechtliche Verstöße darstellen (vgl. Nemetz in Ehmann/Selmayr, DS-GVO [2017] Art. 77, Rn. 2), umfasst. Während der Behandlung von Anfragen nach Art. 57 Abs. 1 lit. e DSGVO mit dem Zweck, über die allgemeine Sensibilisierungs- und Aufklärungspflicht in Art. 57 Abs. 1 lit. b DSGVO hinaus der einzelnen betroffenen Person auf deren „Anfrage“ hin Informationen über die Ausübung ihrer Rechte zu erteilen, für die Belastung der Aufsichtsbehörden nur eine untergeordnete Rolle zukommt, handelt es sich bei der Behandlung von Beschwerden nach Art. 77 Abs. 1 DSGVO um eine Hauptaufgabe jeder Aufsichtsbehörde (vgl. Selmayr in Ehmann/Selmayr, DS-GVO [2017], Art. 57, Rn. 8). Die damit einhergehende Beanspruchung der Aufsichtsbehörden wird durch die in Art. 57 Abs. 2 DSGVO normierte Pflicht, das Einreichen von Beschwerden etwa durch die Bereitstellung eines Beschwerdeformulars, das auch elektronisch ausgefüllt werden kann, zu erleichtern, und den Grundsatz der Unentgeltlichkeit nach Art. 57 Abs. 3 DSGVO noch größer.
18 In diesem Kontext ist naheliegend, dass Art. 57 Abs. 4 DSGVO als Ausnahmebestimmung vom Grundsatz der Unentgeltlichkeit auch die Behandlung von Beschwerden nach Art. 77 Abs. 1 DSGVO umfasst, um die Aufsichtsbehörden von der Behandlung offenkundig unbegründeter oder exzessiver Beschwerden zu entlasten.
19 Ein solches Auslegungsergebnis hat jedoch zur Folge, dass die in Art. 57 Abs. 1 lit. f DSGVO statuierte Pflicht jeder Aufsichtsbehörde, sich in ihrem Hoheitsgebiet mit Beschwerden zu befassen, die jede Person gemäß Art. 77 Abs. 1 DSGVO einlegen kann, wenn sie der Ansicht ist, dass eine Verletzung sie betreffender personenbezogener Daten gegen die DSGVO verstößt, und den Gegenstand der Beschwerde in angemessenem Umfang zu untersuchen, eingeschränkt wird. Insofern besteht ein Spannungsverhältnis dahin, dass die Aufsichtsbehörde eine Beschwerde mit aller gebotenen Sorgfalt bearbeiten muss (vgl. EuGH 16.7.2020, Facebook Ireland und Schrems, C-311/18, EU:C:2020:559, Rn. 109, mwN).
20 Ebenso steht ein solches Auslegungsergebnis im Spannungsverhältnis zu den von der DSGVO verfolgten Zielen. Insbesondere aus dem zehnten Erwägungsgrund der Verordnung geht hervor, dass diese darauf abzielt, ein hohes Datenschutzniveau für natürliche Personen bei der Verarbeitung personenbezogener Daten in der Union zu gewährleisten. Nach dem elften Erwägungsgrund der Verordnung erfordert ein wirksamer Schutz dieser Daten die Stärkung der Rechte der betroffenen Personen (vgl. EuGH 12.1.2023, Nemzeti Adatvédelmi és Információszabadág Hatóság, C-132/21, EU:C:2023:2, Rn. 42).
21 Allerdings ist auch zu beachten, dass die Anwendung des Art. 57 Abs. 4 DSGVO den Nachweis des offenkundig unbegründeten oder exzessiven Charakters der Beschwerde durch die Aufsichtsbehörde voraussetzt. Überdies unterliegt sowohl das Verlangen einer angemessenen Gebühr als auch die Weigerung tätig zu werden zwingend der gerichtlichen Kontrolle im Sinne des Art. 78 Abs. 1 DSGVO. In Hinblick darauf erscheint die Einschränkung des Rechtsschutzes durch die Geltung des Art. 57 Abs. 4 DSGVO auf den Rechtsbehelf der Beschwerde nach Art. 77 Abs. 1 DSGVO verhältnismäßig.
22 Somit sprechen nach Ansicht des Verwaltungsgerichtshofes zwar die besseren Gründe für die Annahme, dass die Geltung des Art. 57 Abs. 4 DSGVO entgegen ihrem bloßen Wortlaut nicht auf Anfragen im Sinne des Art. 57 Abs. 1 lit. e DSGVO beschränkt ist, sondern nach dem Kontext dieser Bestimmung auch die Behandlung von Beschwerden nach Art. 77 Abs. 1 DSGVO umfasst.
23 Die Auslegung des Begriffs „Anfragen“ oder „Anfrage“ in Art. 57 Abs. 4 DSGVO und die Anwendung dieser Bestimmung sind aber jedenfalls nicht derartig offenkundig, dass keinerlei Raum für einen vernünftigen Zweifel an der Entscheidung der gestellten Frage besteht.
Zur zweiten Frage
24 Die zweite und dritte Frage setzen voraus, dass die Bestimmung des Art. 57 Abs. 4 DSGVO auch auf Beschwerden nach Art. 77 Abs. 1 DSGVO anwendbar ist.
25 Die Datenschutzbehörde begründete die Ablehnung der Beschwerde des Mitbeteiligten gemäß Art. 57 Abs. 4 DSGVO zusammengefasst mit der Gesamtzahl von 77 bis knapp vor ihrem Entscheidungszeitpunkt vom Mitbeteiligten bei ihr eingebrachten Beschwerden, davon 4 Beschwerden eingebracht im Jahr 2018, 53 im Jahr 2019 und 20 im ersten Quartal 2020. In 46 Fällen habe der Mitbeteiligte das Recht auf Löschung und in 29 Fällen das Recht auf Auskunft geltend gemacht. Den Beschwerden liege insofern ein im Wesentlichen gleicher Sachverhalt zugrunde, als der Mitbeteiligte zunächst an jeweils verschiedene Verantwortliche, mit denen er im Laufe der Zeit zu tun gehabt habe, Anträge auf Auskunft bzw. Löschung gerichtet und nach nicht fristgerechter Entsprechung durch die Verantwortlichen Beschwerde bei der Datenschutzbehörde eingebracht habe. Zusätzlich kontaktiere der Mitbeteiligte die Datenschutzbehörde regelmäßig telefonisch, um zu bestimmten Sachverhalten die Möglichkeit der Beschwerdeerhebung zu erfragen. Dadurch binde er „die knappen Personalressourcen“ der Behörde im Vergleich zu anderen BeschwerdeführerInnen in unverhältnismäßig großem Ausmaß.
26 Demgegenüber verneinte das Verwaltungsgericht das Vorliegen einer exzessiven Anfrage im Sinne des Art. 57 Abs. 4 DSGVO mit der Begründung, dass ein mehrfaches Vorstelligwerden des Mitbeteiligten in vergleichbaren Fällen oder die wiederholte Erhebung von Beschwerden gegen eine bestimmte Datenverarbeitung eine Anfrage noch nicht als exzessiv einzuordnen erlaube. Vielmehr setze „Exzessivität“ im Sinne des Art. 57 Abs. 4 DSGVO nicht nur eine häufige Wiederholung von Anträgen voraus, sondern auch ein offensichtlich schikanöses bzw. rechtsmissbräuchliches Vorgehen bzw. eine rechtsmissbräuchliche Absicht. Eine isolierte Betrachtung der Anzahl der Anträge könnte zu einer willkürlichen Beeinträchtigung des Rechtsschutzes von betroffenen Personen führen.
27 Der Begriff „exzessiv“ wird ebenso wie der Begriff „offenkundig unbegründet“ in der DSGVO nicht definiert.
28 Art. 12 Abs. 5 zweiter Satz DSGVO enthält als Ausnahme vom Grundsatz der Unentgeltlichkeit für Informationen gemäß Art. 13 und 14 DSGVO sowie für alle Mitteilungen und Maßnahmen gemäß den Art. 15 bis 22 und Art. 34 DSGVO des Verantwortlichen eine zu Art. 57 Abs. 4 DSGVO parallele Regelung, die neben dem Vorliegen von „offenkundig unbegründeten“ Anträgen auch auf „exzessive“ Anträge abstellt und dem Verantwortlichen in diesen Fällen die Möglichkeit einräumt, entweder „ein angemessenes Entgelt“ für die Unterrichtung oder die Mitteilung oder die Durchführung der beantragten Maßnahme zu verlangen (lit. a) oder das Tätigwerden aufgrund des Antrags zu verweigern (lit. b).
29 Sowohl in Art. 12 Abs. 5 DSGVO als auch in Art. 57 Abs. 4 DSGVO wird als Beispiel von „exzessiven Anträgen“ bzw. „exzessiver Anfragen“ („insbesondere im Fall von“) jeweils deren häufige Wiederholung genannt.
30 Beide Bestimmungen regeln nicht nur eine Ausnahme vom Grundsatz der Unentgeltlichkeit für Informationen gemäß Art. 13 und 14 DSGVO sowie für alle Mitteilungen und Maßnahmen gemäß den Art. 15 bis 22 und Art. 34 DSGVO bzw. vom Grundsatz der Unentgeltlichkeit für die Erfüllung der unter anderem in Art. 57 Abs. 1 DSGVO aufgelisteten Aufgaben jeder Aufsichtsbehörde, sondern in Art. 12 Abs. 5 lit. b DSGVO bzw. Art. 57 Abs. 4 erster Satz zweiter Fall DSGVO auch eine Ausnahme von der Pflicht des Verantwortlichen, auf Antrag einer betroffenen Person gemäß Art. 13 bis 22 DSGVO tätig zu werden, bzw. von der Pflicht jeder Aufsichtsbehörde gemäß Art. 57 Abs. 1 lit. e DSGVO Anfragen zu beantworten bzw. gemäß Art. 57 Abs. 1 lit. f DSGVO, sich mit Beschwerden unter anderem von einer betroffenen Person zu befassen.
31 Da die in Art. 57 Abs. 4 zweiter Fall DSGVO normierte Möglichkeit der Weigerung, aufgrund einer Beschwerde tätig zu werden, zu einer wesentlichen Beeinträchtigung des in der DSGVO vorgesehenen Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten führt und insofern von den mit dieser Verordnung verfolgten Zielen, ein hohes Datenschutzniveau für natürliche Personen bei der Verarbeitung personenbezogener Daten in der Union zu gewährleisten, abweicht, wobei ein wirksamer Schutz dieser Daten die Stärkung der Rechte der betroffenen Personen erfordert, ist diese Ausnahme von der Pflicht jeder Aufsichtsbehörde, sich mit Beschwerden einer betroffenen Person zu befassen, jedenfalls eng auszulegen (vgl. zur Auslegung von Ausnahmen von der Anwendbarkeit der Regelung zum Schutz personenbezogener Daten im Sinne der von der DSGVO aufgehobenen Richtlinie 95/46 EuGH 14.2.2019, Buivids, C-345/17, EU:C:2019:122, Rn. 41, mwN).
32 Als „exzessiv“ ist eine Rechtsverfolgung iSd Art. 57 Abs. 4 DSGVO dann zu qualifizieren, wenn sie im Vergleich mit der Rechtsverfolgung anderer betroffener Personen in ähnlichem Zusammenhang unverhältnismäßig erscheint, in dem die Rechtsverfolgung missbräuchlich ausgeübt wird (vgl. die Entwurfsverfassung des Art. 52 Abs. 6, Ratsdokument 9565/15 vom 11.6.2015, in der statt von „exzessiven Anfragen“ noch von „unverhältnismäßigen Anträgen“ die Rede ist, bzw. Erwägungsgrund 47 zweiter Absatz der Entwurfsverfassung). Nach ständiger Rechtsprechung des EuGH ist die missbräuchliche Berufung auf Unionsrecht nicht gestattet (vgl. etwa EuGH 26.2.2019, N Luxembourg 1 u.a., verbundene Rechtssachen C-115/16, C-118/16, C-119/16 und C-299/16, EU:C:2019:134, Rn. 96, mwN). Eine rechtsmissbräuchliche Inanspruchnahme des durch Art. 77 Abs. 1 DSGVO jeder betroffenen Person eingeräumten Rechts auf gemäß Art. 57 Abs. 3 DSGVO unentgeltliche Beschwerde bei einer Aufsichtsbehörde wäre unter anderem dann anzunehmen, wenn die betroffene Person damit nicht (primär) den Schutz ihrer personenbezogenen Daten, sondern von der Rechtsordnung missbilligte Ziele, etwa das Einbringen einer Beschwerde mit dem Zweck, den Verantwortlichen zu schädigen und/oder die Aufsichtsbehörde ungebührlich zu belasten (vgl. bspw. EuGH 23.3.2000, Diamantis, C-373/97, Rn. 33f), verfolgt.
33 Art. 57 Abs. 4 DSGVO erwähnt zwar ausdrücklich als Beispiel einer „exzessiven“ Befassung der Aufsichtsbehörde den Fall „häufiger Wiederholungen“. Es ist aber (mehr als) fraglich, ob das bloße Ausschöpfen des unionsrechtlichen Rahmens durch eine betroffene Person, somit allein die Einbringung einer im Vergleich zu anderen Beschwerdeführern äußerst hohen Anzahl an Beschwerden eine rechtsmissbräuchliche (unverhältnismäßige) bzw. „exzessive“ Rechtsverfolgung darstellt (vgl. dazu Greve in Sydow/Marsch, DS-GVO/BDSG, 3. Aufl. [2022], Art. 12 Rz 28, mit Hinweis auf BGH 29.3.2022, VI ZR 1352/20, Rn. 19), insbesondere dann, wenn die Beschwerden unterschiedliche Beschwerdegegner betreffen, ohne dass sich aus sonstigen Umständen eine mit der Beschwerdeführung verbundene Missbrauchsabsicht des Beschwerdeführers ergibt.
34 Ebenso wenig vermag allein ein mit der Bearbeitung von Anfragen (Beschwerden) verbundener überdurchschnittlicher Arbeits- und Zeitaufwand die Einhebung einer Gebühr oder die Weigerung der Bearbeitung gemäß Art. 57 Abs. 4 DSGVO zu begründen, ohne dass etwa der überdurchschnittliche Zeit- und Arbeitsaufwand auf eine übermäßige Fülle von substanzlosen oder ausschweifenden Ausführungen zurückzuführen ist. Dabei ist zu berücksichtigen, dass Beschwerdeführer regelmäßig über keine juristischen oder technischen Kenntnisse verfügen und die Darlegung von mitunter komplexen Sachverhalten erfolgt (vgl. Polenz in Simitis/Hornung/Spiecker [Hrsg], Datenschutzrecht [2019] Art. 57, Rz. 58).
35 Gleichermaßen kann allein eine mögliche Überlastung der Personalressourcen einer Aufsichtsbehörde durch die wiederholte Einbringung von Anfragen (Beschwerden) eine „Exzessivität“ nicht begründen, zumal die Mitgliedstaaten dazu verpflichtet sind, die von ihnen eingerichteten Aufsichtsbehörden mit zur Bewältigung ihrer Aufgaben ausreichenden personellen und materiellen Ressourcen auszustatten.
36 In diesem Kontext ist ausgehend vom Wortlaut des Art. 57 Abs. 4 erster Satz DSGVO, wonach „Bei ... - insbesondere im Fall von häufiger Wiederholung - exzessiven Anfragen ... die Aufsichtsbehörde ... sich weigern [kann], aufgrund der Anfrage tätig zu werden“, nicht zwingend darauf zu schließen, dass bereits die Einbringung einer bestimmten Zahl von Beschwerden innerhalb eines bestimmten Zeitraums bei einer Aufsichtsbehörde unabhängig von den Sachverhalten, die den einzelnen Beschwerden zugrunde liegen, und der Person des Verantwortlichen, den die einzelnen Beschwerden betreffen, für die Beurteilung einer Beschwerde als „exzessiv“ ausreicht, ohne dass sonstige Umstände hinzutreten, aufgrund derer auf ein rechtsmissbräuchliches Vorgehen geschlossen werden kann.
37 Demnach kann jedoch die Frage nach dem Inhalt des Begriffs „exzessiv“ in Art. 57 Abs. 4 DSGVO an Hand seines Wortlauts oder Kontexts nicht zweifelsfrei beantwortet werden.
Zur dritten Frage
38 Im Gegensatz zur Datenschutzbehörde setzte sich das Verwaltungsgericht mit der Frage auseinander, ob die Datenschutzbehörde frei zwischen den Alternativen der Vorschreibung einer angemessenen Gebühr für die Bearbeitung einer „exzessiven“ Beschwerde einerseits und der Weigerung, eine solche Beschwerde zu behandeln, andererseits wählen kann. Nach Auffassung des Verwaltungsgerichts sei ein Vorrang einer der beiden Handlungsalternativen der DSGVO nicht zu entnehmen. Im Fall einer „offenkundigen Unbegründetheit“ einer Beschwerde komme bloß eine Weigerung, tätig zu werden, in Frage. Im Fall einer „exzessiven“ Beschwerde sei zu beachten, dass eine Weigerung tätig zu werden, zu einem massiven Eingriff in den Rechtsschutz einer betroffenen Person führe. Eine Weigerung werde nur in bestimmten Ausnahmefällen, bei offensichtlich missbräuchlichen oder häufig wiederholten unbegründeten Anträgen in Betracht kommen. Jedenfalls habe die Datenschutzbehörde ihr Vorgehen bei einer „exzessiven“ Beschwerde zu begründen.
39 Nach dem Wortlaut von Art. 57 Abs. 4 DSGVO sind die beiden Handlungsalternativen der Aufsichtsbehörde im Fall des Vorliegens einer offenkundig unbegründeten oder exzessiven Anfrage und zwar entweder „eine angemessene Gebühr auf der Grundlage der Verwaltungskosten [zu] verlangen“ oder „sich [zu] weigern, aufgrund der Anfrage tätig zu werden“ nebeneinander aufgeführt, ohne dass daraus geschlossen werden kann, dass zwischen ihnen ein Vorrangverhältnis besteht.
40 Dem Wortlaut von Art. 57 Abs. 4 DSGVO lässt sich somit nicht eindeutig entnehmen, ob die Aufsichtsbehörden frei wählen können, aus Anlass einer offenkundig unbegründeten oder exzessiven Anfrage (Beschwerde) entweder für deren Bearbeitung eine angemessene Gebühr zu verlangen oder von vornherein deren Bearbeitung zu verweigern.
41 In der Kommentarliteratur werden dazu verschiedene Meinungen vertreten.
42 Polenz in Simitis/Hornung/Spiecker (Hrsg), Datenschutzrecht (2019) Art. 57, Rz. 56 und 61, etwa vertritt die Ansicht, dass die Wahl zwischen den beiden Handlungsalternativen grundsätzlich im freien Ermessen der Aufsichtsbehörden liege. Mit Blick auf das Auswahlermessen der Aufsichtsbehörde zwischen Gebühr und Tätigkeitsverweigerung werde letzteres nur ausnahmsweise in Betracht kommen werde, wenn die in Art. 57 Abs. 4 DSGVO genannte Anfrage eine Beschwerde nach Art. 77 DSGVO sei. Andererseits könne es auch im Interesse des Anfragenden sein, lieber auf ein Tätigwerden der Behörde zu verzichten, als eine unter Umständen sehr hohe Gebühr tragen zu müssen. Im Zweifel sei die Einhebung einer Gebühr deshalb anzukündigen.
43 Grittmann in Taeger/Gabel (Hrsg.), DSGVO - BDSG - TTDSG, 4. Aufl., (2022), Art. 57, Rn. 40, sowie Selmayr in Ehmann/Selmayr, DS-GVO (2017), Art. 57, Rn. 23, vertreten mit Blick auf den Grundsatz der Verhältnismäßigkeit die Auffassung, dass die gänzliche Weigerung eine Anfrage zu bearbeiten „ultima ratio“ sein müsse. Zunächst sei eine angemessene Gebühr zu verlangen. Erst wenn auch die Einhebung einer Gebühr die Einbringung offenkundig unbegründeter oder exzessiver Anfragen nicht verhindere, seien die Aufsichtsbehörden im nächsten Schritt berechtigt, die Bearbeitung zu verweigern.
44 Für diese Auslegung spricht nicht zuletzt der Umstand, dass der Rechtsschutz primäre Aufgabe der Aufsichtsbehörden ist und sich die Möglichkeit, die Bearbeitung von Anfragen zu verweigern, nicht nur auf offenkundig unbegründete Anfragen beschränkt, sondern auch begründete Anfragen umfassen kann.
45 Somit ist auch im Hinblick auf die beiden in Art. 57 Abs. 4 DSGVO für den Fall des Vorliegens einer offenkundig unbegründeten oder exzessiven Anfrage normierten Handlungsalternativen die Anwendung dieser Bestimmung zweifelhaft.
Ergebnis
46 Da die Anwendung des Unionsrechts und dessen Auslegung nicht als derart offenkundig erscheint, dass für einen vernünftigen Zweifel kein Raum bleibt (vgl. EuGH 6.10.1982, Srl C.I.L.F.I.T. u.a., C-283/81, EU:C:1982:335; 6.10.2021, Consorzio Italian Management, C-561/19, EU:C:2021:799, Rn. 39ff) werden die eingangs formulierten Vorlagefragen gemäß Art. 267 AEUV mit dem Ersuchen um Vorabentscheidung vorgelegt.
Wien, am 27. Juni 2023
ECLI:AT:VWGH:2023:RA2023040002.L00