SCHLUSSANTRÄGE DES GENERALANWALTS
JEAN RICHARD DE LA TOUR
vom 5. September 2024(1 )
Rechtssache C ‑416/23
Österreichische Datenschutzbehörde,
Beteiligte:
F R,
Bundesministerin für Justiz
(Vorabentscheidungsersuchen des Verwaltungsgerichtshofs, Österreich)
„ Vorlage zur Vorabentscheidung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung (EU) 2016/679 – Art. 57 Abs. 4 – Aufgaben der Aufsichtsbehörde – Anfrage – Begriff – Exzessive Anfragen – Begriff – Art. 77 Abs. 1 – Recht, eine Beschwerde einzureichen – Angemessene Gebühr auf der Grundlage der Verwaltungskosten oder Weigerung der Aufsichtsbehörde, aufgrund der Anfrage tätig zu werden – Kriterien, von denen sich die Aufsichtsbehörde bei ihrer Wahl leiten lassen kann “
I. Einleitung
1. Nach Art. 57 Abs. 4 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)(2 ) (im Folgenden: DSGVO) kann eine Aufsichtsbehörde bei offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anfragen eine angemessene Gebühr auf der Grundlage der Verwaltungskosten verlangen oder sich weigern, aufgrund der Anfrage tätig zu werden.
2. Dieses Verfahrensinstrument beruht auf dem Gedanken, dass es betroffenen Personen zwar problemlos möglich sein muss, die Einhaltung ihrer Rechte aus der DSGVO bei den Aufsichtsbehörden einzufordern, die Behörden aber ihrerseits in der Lage sein müssen, mit exzessiven Anfragen besonders umzugehen, um ihr ordnungsgemäßes Funktionieren zu gewährleisten und ihre Fähigkeit zu wahren, ihre Aufgaben uneingeschränkt wahrzunehmen.
3. Allerdings ist noch zu bestimmen, wann eine Anfrage exzessiv ist. Dies ist das Hauptproblem, das durch das vorliegende Vorabentscheidungsersuchen aufgeworfen wird.
4. Dieses Ersuchen ergeht im Rahmen eines Rechtsstreits zwischen der Österreichischen Datenschutzbehörde (im Folgenden: Datenschutzbehörde) und F R wegen der auf Art. 57 Abs. 4 DSGVO gestützten Weigerung dieser Behörde, aufgrund einer von F R gemäß Art. 77 Abs. 1 DSGVO eingelegten Beschwerde tätig zu werden.
II. Sachverhalt des Ausgangsverfahrens und Vorlagefragen
5. Am 17. Februar 2020 reichte F R bei der Datenschutzbehörde eine Beschwerde gemäß Art. 77 Abs. 1 DSGVO wegen Verletzung seines Auskunftsrechts nach Art. 15 DSGVO ein, weil der Verantwortliche nicht innerhalb eines Monats auf seinen Auskunftsantrag geantwortet habe.
6. Mit Bescheid vom 22. April 2020 weigerte sich die Datenschutzbehörde gemäß Art. 57 Abs. 4 DSGVO, aufgrund der Beschwerde tätig zu werden, da sie sie als „exzessiv“ erachtete. In diesem Zusammenhang führte sie u. a. aus, dass F R innerhalb eines Zeitraums von ca. 20 Monaten 77 Beschwerden an sie gerichtet habe, mit denen er beanstandet habe, dass jeweils verschiedene Verantwortliche nicht innerhalb eines Monats auf seine Anträge auf Auskunft bzw. Löschung geantwortet hätten(3 ). Überdies habe er die Datenschutzbehörde regelmäßig telefonisch kontaktiert, um weitere Sachverhalte zu schildern und sie im Hinblick auf etwaige weitere Beschwerden zu konsultieren.
7. F R erhob gegen den genannten Bescheid Beschwerde beim Bundesverwaltungsgericht (Österreich), das mit Erkenntnis vom 22. Dezember 2022 der Beschwerde stattgab und den Bescheid aufhob. Es entschied im Wesentlichen, dass die exzessive Natur von Anfragen im Sinne von Art. 57 Abs. 4 DSGVO nicht nur eine häufige Wiederholung, sondern auch einen offensichtlich schikanösen bzw. rechtsmissbräuchlichen Charakter der Anfragen voraussetze. Aus der Begründung der Datenschutzbehörde für ihre Weigerung, sich mit der Beschwerde von F R zu befassen, gehe jedoch kein rechtsmissbräuchliches Vorgehen von F R hervor. Im Übrigen könne die Datenschutzbehörde nicht nach Belieben wählen, ob sie eine angemessene Gebühr für eine „exzessive“ Anfrage verlange oder sich weigere, sich mit einer solchen Anfrage zu befassen. Sie habe diese Wahl zu begründen, was vorliegend nicht geschehen sei.
8. Der Verwaltungsgerichtshof (Österreich), bei dem die Datenschutzbehörde Revision gegen das Erkenntnis des Bundesverwaltungsgerichts eingelegt hat und der in dieser Rechtssache das vorlegende Gericht ist, fragt sich erstens, ob der Begriff „Beschwerde“ in Art. 77 Abs. 1 DSGVO mit dem Begriff „Anfragen“ bzw. „Anfrage“ im Sinne von Art. 57 Abs. 4 DSGVO gleichgesetzt werden kann.
9. Falls nicht, wäre nach seiner Auffassung die Folge, dass sich eine Aufsichtsbehörde nicht gemäß dieser Bestimmung weigern könnte, aufgrund einer Beschwerde tätig zu werden oder eine angemessene Gebühr zu verlangen, um sich mit ihr zu befassen, und zwar unabhängig davon, ob sie unbegründet oder exzessiv sei. Die besseren Gründe sprächen dafür, dass der Anwendungsbereich von Art. 57 Abs. 4 DSGVO auch die in Art. 77 Abs. 1 DSGVO genannten Beschwerden erfasse.
10. Zweitens hat das vorlegende Gericht Zweifel hinsichtlich der Bedeutung des Begriffs „exzessive Anfragen“ im Sinne von Art. 57 Abs. 4 DSGVO. Insbesondere sei, obwohl die häufige Wiederholung von Anfragen als Beispiel für exzessive Anfragen angeführt werde, zu berücksichtigen, dass der Umstand, dass sich eine Aufsichtsbehörde weigern könne, aufgrund einer Beschwerde tätig zu werden, zu einer wesentlichen Beeinträchtigung des Schutzes führe, auf den sich die betroffenen Personen nach der DSGVO berufen könnten. Dies liefe dem Ziel der DSGVO zuwider, ein hohes Schutzniveau für personenbezogene Daten zu gewährleisten. Als Ausnahme von der Verpflichtung der Aufsichtsbehörden, sich mit bei ihnen eingereichten Beschwerden zu befassen, sei die Möglichkeit, sich zu weigern, aufgrund einer Beschwerde tätig zu werden, eng auszulegen.
11. Es sei daher fraglich, ob die bloße Tatsache, dass eine betroffene Person von den Möglichkeiten der DSGVO Gebrauch mache, indem sie im Vergleich zu anderen Personen eine äußerst große Anzahl von Beschwerden einreiche, insbesondere wenn die Beschwerden unterschiedliche Verantwortliche beträfen, ausreichen könne, um die Anfragen als „exzessiv“ einzustufen, wenn keine anderen Umstände vorlägen, aus denen sich eine missbräuchliche Absicht ergebe.
12. Ebenso wenig vermöge der bloße Umstand, dass die Befassung mit bestimmten Beschwerden für die Aufsichtsbehörde einen überdurchschnittlichen Arbeits- und Zeitaufwand darstelle, zu rechtfertigen, dass die Behörde gemäß Art. 57 Abs. 4 DSGVO Gebühren verlange oder sich weigere, aufgrund der Beschwerden tätig zu werden.
13. Drittens fragt sich das vorlegende Gericht, ob eine Aufsichtsbehörde bei offenkundig unbegründeten oder exzessiven Anfragen frei wählen kann, ob sie eine angemessene Gebühr auf der Grundlage der Verwaltungskosten verlangt oder sich weigert, aufgrund der Anfragen tätig zu werden.
14. Unter diesen Umständen hat der Verwaltungsgerichtshof beschlossen, das Verfahren auszusetzen und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorzulegen:
1. Ist der Begriff „Anfragen“ oder „Anfrage“ in Art. 57 Abs. 4 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung – DSGVO) dahin auszulegen, dass darunter auch „Beschwerden“ nach Art. 77 Abs. 1 DSGVO zu verstehen sind?
2. Falls die Frage 1 bejaht wird: Ist Art. 57 Abs. 4 DSGVO so auszulegen, dass es für das Vorliegen von „exzessiven Anfragen“ bereits ausreicht, dass eine betroffene Person bloß innerhalb eines bestimmten Zeitraums eine bestimmte Zahl von Anfragen (Beschwerden nach Art. 77 Abs. 1 DSGVO) an eine Aufsichtsbehörde gerichtet hat, unabhängig davon, ob es sich um unterschiedliche Sachverhalte handelt und/oder die Anfragen (Beschwerden) unterschiedliche Verantwortliche betreffen, oder bedarf es neben der häufigen Wiederholung von Anfragen (Beschwerden) auch einer Missbrauchsabsicht der betroffenen Person?
3. Ist Art. 57 Abs. 4 DSGVO so auszulegen, dass die Aufsichtsbehörde bei Vorliegen einer „offenkundig unbegründeten“ oder „exzessiven“ Anfrage (Beschwerde) frei wählen kann, ob sie eine angemessene Gebühr auf der Grundlage der Verwaltungskosten für deren Bearbeitung verlangt oder deren Bearbeitung von vornherein verweigert; verneinendenfalls welche Umstände und welche Kriterien die Aufsichtsbehörde zu berücksichtigen hat, insbesondere ob die Aufsichtsbehörde verpflichtet ist, vorrangig als gelinderes Mittel eine angemessene Gebühr zu verlangen, und erst im Fall der Aussichtslosigkeit einer Gebühreneinhebung zur Hintanhaltung offenkundig unbegründeter oder exzessiver Anfragen (Beschwerden) berechtigt ist, deren Bearbeitung zu verweigern?
15. F R, die Datenschutzbehörde, die Bundesministerin für Justiz (Österreich), die österreichische und die tschechische Regierung sowie die Europäische Kommission haben schriftliche Erklärungen eingereicht.
III. Würdigung
A. Zur ersten Vorlagefrage
16. Mit seiner ersten Frage möchte das vorlegende Gericht im Wesentlichen vom Gerichtshof wissen, ob der Begriff „Anfragen“ bzw. „Anfrage“ in Art. 57 Abs. 4 DSGVO „Beschwerden“ im Sinne von Art. 57 Abs. 1 Buchst. f und Art. 77 Abs. 1 DSGVO erfasst(4 ).
17. Die Datenschutzbehörde hat nämlich dadurch, dass sie sich gemäß Art. 57 Abs. 4 DSGVO geweigert hat, aufgrund der Beschwerde von F R wegen der behaupteten Verletzung seines Auskunftsrechts nach Art. 15 DSGVO tätig zu werden, eine Entscheidung getroffen, die auf der Annahme beruht, dass Beschwerden betroffener Personen nach Art. 77 Abs. 1 DSGVO „Anfragen“ im Sinne von Art. 57 Abs. 4 DSGVO gleichzustellen sind.
18. Das vorlegende Gericht hält es für erforderlich, vom Gerichtshof klären zu lassen, ob diese Annahme zutrifft, da eine Aufsichtsbehörde anderenfalls daran gehindert wäre, sich gemäß Art. 57 Abs. 4 DSGVO zu weigern, aufgrund einer Beschwerde tätig zu werden, oder eine angemessene Gebühr zu verlangen, um sich mit ihr zu befassen.
19. Zunächst ist darauf hinzuweisen, dass zum einen nach ständiger Rechtsprechung des Gerichtshofs die Begriffe einer Bestimmung des Unionsrechts, die für die Ermittlung ihres Sinnes und ihrer Tragweite nicht ausdrücklich auf das Recht der Mitgliedstaaten verweist, in der Regel in der gesamten Union eine autonome und einheitliche Auslegung erhalten müssen(5 ). Zum anderen sind bei der Auslegung einer Bestimmung des Unionsrechts nicht nur ihr Wortlaut entsprechend ihrem Sinn nach dem gewöhnlichen Sprachgebrauch, sondern auch ihr Kontext und die Ziele, die mit der Regelung, zu der sie gehört, verfolgt werden, zu berücksichtigen(6 ).
20. Aus der wörtlichen, systematischen und teleologischen Auslegung von Art. 57 Abs. 4 DSGVO schließe ich, dass der dort verwendete Begriff „Anfragen“ bzw. „Anfrage“ „Beschwerden“ im Sinne von Art. 57 Abs. 1 Buchst. f und Art. 77 Abs. 1 DSGVO erfasst.
21. Was erstens den Wortlaut von Art. 57 Abs. 4 DSGVO betrifft, so heißt es dort, dass „[b]ei offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anfragen … die Aufsichtsbehörde eine angemessene Gebühr auf der Grundlage der Verwaltungskosten verlangen oder sich weigern [kann], aufgrund der Anfrage tätig zu werden. In diesem Fall trägt die Aufsichtsbehörde die Beweislast für den offenkundig unbegründeten oder exzessiven Charakter der Anfrage.“
22. Art. 77 Abs. 1 DSGVO sieht seinerseits vor, dass „[j]ede betroffene Person … unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres gewöhnlichen Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes [hat], wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt“.
23. Der Begriff „Anfragen“ bzw. „Anfrage“ im Sinne von Art. 57 Abs. 4 DSGVO wird in der DSGVO nicht definiert. Was den Sinn dieses Begriffs nach dem gewöhnlichen Sprachgebrauch angeht, so ist dieser besonders weit. Er umfasst potenziell jedes Ersuchen einer Person oder Einrichtung. So definiert das Wörterbuch Larousse den in der französischen Sprachfassung verwendeten Begriff „demande“ („Anfrage“) als „action de faire savoir que l’on désire obtenir quelque chose; fait de demander; écrit qui l’exprime“ („Handlung, mit der mitgeteilt wird, dass man etwas erhalten möchte; Ersuchen; Schreiben, das dies zum Ausdruck bringt“) und nennt als eines der Synonyme den in der französischen Sprachfassung verwendeten Begriff „réclamation“ („Beschwerde“). Beschwerden nach Art. 77 Abs. 1 DSGVO sind daher meines Erachtens eine Kategorie von „Anfragen“ bzw. einer „Anfrage“ im Sinne von Art. 57 Abs. 4 DSGVO.
24. Zweitens wird die Analyse des Wortlauts durch den Zusammenhang bestätigt, in den sich diese Bestimmung einfügt. Hierzu ist festzustellen, dass Art. 57 DSGVO die Aufgaben der Aufsichtsbehörden und die Voraussetzungen für deren Ausübung beschreibt. Zu diesen Aufgaben zählt Folgendes:
– Gemäß Art. 57 Abs. 1 Buchst. a DSGVO muss jede dieser Behörden „die Anwendung dieser Verordnung überwachen und durchsetzen“;
– gemäß Art. 57 Abs. 1 Buchst. e DSGVO muss jede dieser Behörden „auf Anfrage jeder betroffenen Person Informationen über die Ausübung ihrer Rechte aufgrund dieser Verordnung zur Verfügung stellen und gegebenenfalls zu diesem Zweck mit den Aufsichtsbehörden in anderen Mitgliedstaaten zusammenarbeiten“(7 );
– gemäß Art. 57 Abs. 1 Buchst. f DSGVO muss jede Aufsichtsbehörde „sich mit Beschwerden einer betroffenen Person oder Beschwerden einer Stelle, einer Organisation oder eines Verbandes gemäß Artikel 80 befassen, den Gegenstand der Beschwerde in angemessenem Umfang untersuchen und den Beschwerdeführer innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung unterrichten, insbesondere, wenn eine weitere Untersuchung oder Koordinierung mit einer anderen Aufsichtsbehörde notwendig ist“(8 ).
25. Nach Art. 57 Abs. 2 DSGVO erleichtert „[j]ede Aufsichtsbehörde … das Einreichen von in Absatz 1 Buchstabe f genannten Beschwerden durch Maßnahmen wie etwa die Bereitstellung eines Beschwerdeformulars, das auch elektronisch ausgefüllt werden kann, ohne dass andere Kommunikationsmittel ausgeschlossen werden“(9 ).
26. Außerdem stellt Art. 57 Abs. 3 DSGVO den Grundsatz auf, dass „[d]ie Erfüllung der Aufgaben jeder Aufsichtsbehörde … für die betroffene Person und gegebenenfalls für den Datenschutzbeauftragten unentgeltlich“ ist.
27. Indem Art. 57 Abs. 4 DSGVO den Aufsichtsbehörden die Möglichkeit einräumt, bei offenkundig unbegründeten oder exzessiven Anfragen eine angemessene Gebühr auf der Grundlage der Verwaltungskosten zu verlangen oder sich zu weigern, aufgrund einer Anfrage tätig zu werden, sieht er eine Ausnahme von dem in Art. 57 Abs. 3 DSGVO aufgestellten Grundsatz der Unentgeltlichkeit sowie von der Verpflichtung dieser Behörden vor, aufgrund der bei ihnen gestellten Anfragen tätig zu werden.
28. Entgegen dem Vorbringen von F R kann meines Erachtens aus der Gegenüberstellung der oben genannten Bestimmungen nicht abgeleitet werden, dass Art. 57 Abs. 4 DSGVO, soweit dort der Begriff „Anfragen“ bzw. „Anfrage“ verwendet wird, nur auf Anfragen im Sinne von Art. 57 Abs. 1 Buchst. e DSGVO anzuwenden ist. Mit anderen Worten bin ich nicht der Auffassung, dass aus der Feststellung, dass in Art. 57 Abs. 1 Buchst. e DSGVO der Begriff „Anfragen“ bzw. „Anfrage“ verwendet wird, abgeleitet werden kann, dass der Anwendungsbereich von Art. 57 Abs. 4 DSGVO auf die in Art. 57 Abs. 1 Buchst. e DSGVO vorgesehene Aufgabe der Aufsichtsbehörden zu beschränken ist. Im Übrigen bedeutet die Feststellung, dass Art. 57 Abs. 2 DSGVO auf „Beschwerden“ Anwendung findet, nicht, dass dies die einzige Bestimmung ist, die die Voraussetzungen für das Einreichen von Beschwerden bei den Aufsichtsbehörden regeln soll.
29. Art. 57 Abs. 3 DSGVO, der den Grundsatz aufstellt, dass die Aufsichtsbehörden ihre Aufgaben unentgeltlich erfüllen, gilt nämlich für alle Aufgaben dieser Behörden, einschließlich der Befassung mit Beschwerden gemäß Art. 57 Abs. 1 Buchst. f DSGVO. Logischerweise und spiegelbildlich dazu sollte Art. 57 Abs. 4 DSGVO, soweit er eine Ausnahme vom Grundsatz der Unentgeltlichkeit vorsieht, ohne dabei diese Ausnahme auf bestimmte besondere Aufgaben der Behörden zu beschränken, auch für die Befassung mit Beschwerden gelten.
30. Dies gilt umso mehr, als es sich bei der Befassung mit Beschwerden nach Art. 57 Abs. 1 Buchst. f DSGVO um eine Kernaufgabe der Aufsichtsbehörden handelt(10 ). Der Grundsatz der Unentgeltlichkeit nach Art. 57 Abs. 3 DSGVO und die Verpflichtung nach Art. 57 Abs. 2 DSGVO, das Einreichen von Beschwerden zu erleichtern, sollen es im Übrigen jeder betroffenen Person ermöglichen, die Einhaltung ihrer Rechte aus der Verordnung bei einer Aufsichtsbehörde einzufordern.
31. Eine Auslegung, wonach der Begriff „Anfragen“ bzw. „Anfrage“ in Art. 57 Abs. 4 DSGVO nur Anfragen gemäß Art. 57 Abs. 1 Buchst. e DSGVO und nicht auch Beschwerden gemäß Art. 57 Abs. 1 Buchst. f und Art. 77 Abs. 1 DSGVO erfasst, würde daher Art. 57 Abs. 4 DSGVO eines großen Teils seiner praktischen Wirksamkeit berauben.
32. Im Übrigen können meines Erachtens Beschwerden gemäß Art. 57 Abs. 1 Buchst. f und Art. 77 Abs. 1 DSGVO gegebenenfalls eher als „offenkundig unbegründet“ eingestuft werden als Anfragen gemäß Art. 57 Abs. 1 Buchst. e DSGVO, mit denen betroffene Personen von den Aufsichtsbehörden Informationen über die Ausübung ihrer Rechte aufgrund dieser Verordnung erhalten möchten.
33. Ich möchte hinzufügen, dass die Auslegung, wonach sich Art. 57 Abs. 4 DSGVO auch auf die Befassung mit Beschwerden nach Art. 77 Abs. 1 DSGVO bezieht, vom Europäischen Datenschutzausschuss (EDSA) vertreten wird, der hinsichtlich der Zulässigkeit von Beschwerden auf Art. 57 Abs. 4 DSGVO verweist(11 ).
34. Folglich ist Art. 57 Abs. 4 DSGVO zwar eng auszulegen, weil er eine Ausnahme vom Grundsatz der Unentgeltlichkeit und von der Verpflichtung der Aufsichtsbehörden vorsieht, aufgrund der bei ihnen gestellten Anfragen tätig zu werden(12 ), doch kann dies nach meinem Dafürhalten nicht dazu führen, dass seine Anwendung auf Beschwerden nach der DSGVO ausgeschlossen wird.
35. Drittens können mit der Auslegung, die ich dem Gerichtshof vorschlage, meiner Meinung nach die mit der DSGVO verfolgten Ziele erreicht werden. Insoweit ist festzustellen, dass diese Verordnung, wie sich aus ihren Erwägungsgründen 10 und 11 ergibt, ein gleichmäßiges und hohes Schutzniveau für natürliche Personen in der Union gewährleisten und die Rechte der betroffenen Personen stärken und präzise festlegen soll(13 ).
36. Zwar könnte, wie das vorlegende Gericht ausführt, die Auslegung, wonach Beschwerden in den Anwendungsbereich von Art. 57 Abs. 4 DSGVO fallen, auf den ersten Blick im Widerspruch zu den genannten Zielen und den Verpflichtungen der Aufsichtsbehörden stehen.
37. Wie ich bereits ausgeführt habe, ist nämlich jede Aufsichtsbehörde nach Art. 57 Abs. 1 Buchst. f DSGVO verpflichtet, sich in ihrem Hoheitsgebiet mit Beschwerden zu befassen, die jede Person gemäß Art. 77 Abs. 1 DSGVO einlegen kann, wenn sie der Ansicht ist, dass eine Verarbeitung sie betreffender personenbezogener Daten gegen diese Verordnung verstößt, und den Gegenstand der Beschwerde in angemessenem Umfang zu untersuchen. Die Aufsichtsbehörde muss diese Beschwerden mit aller gebotenen Sorgfalt bearbeiten(14 ).
38. Somit wurde das Beschwerdeverfahren als ein Mechanismus konzipiert, der geeignet ist, die Rechte und Interessen der betroffenen Personen wirksam zu wahren(15 ).
39. Mithin hat die Einbeziehung von Beschwerden in den Anwendungsbereich von Art. 57 Abs. 4 DSGVO zur Folge, dass die Aufsichtsbehörden ihre Verpflichtung einschränken können, sich mit diesen Beschwerden zu befassen und dabei den Grundsatz der Unentgeltlichkeit anzuwenden.
40. Dass eine Aufsichtsbehörde bei offenkundig unbegründeten oder exzessiven Anfragen eine angemessene Gebühr verlangen oder sich weigern kann, aufgrund einer Anfrage tätig zu werden, ist meines Erachtens allerdings geeignet, ein hohes Schutzniveau für personenbezogene Daten zu gewährleisten.
41. Die Verfolgung dieses Ziels erfordert es nämlich, das ordnungsgemäße Funktionieren der Aufsichtsbehörden zu gewährleisten, indem verhindert wird, dass dieses dadurch behindert wird, dass offenkundig unbegründete oder exzessive Beschwerden im Sinne von Art. 57 Abs. 4 DSGVO eingereicht werden. Diese Bestimmung gibt den Aufsichtsbehörden somit die Möglichkeit, mit diesen Beschwerden speziell umzugehen, indem sie die Belastung verringern, die diese Beschwerden bei ihnen auslösen können. Diese Behörden können daher bei offenkundig unbegründeten oder exzessiven Beschwerden davon absehen, sich mit diesen wie üblich zu befassen, was dadurch, dass es die Ressourcen der Behörden ohne berechtigten Grund in Anspruch nähme, die Dauer und die Qualität der Befassung mit Anfragen, die parallel dazu von anderen betroffenen Personen gestellt werden, und damit das diesen Personen zu gewährleistende Schutzniveau beeinträchtigen könnte.
42. In Anbetracht der Bedeutung des Rechts auf das Einreichen von Beschwerden hinsichtlich des Ziels, ein hohes Schutzniveau für personenbezogene Daten zu gewährleisten, und der wesentlichen Rolle, die die Befassung mit diesen Beschwerden bei den Aufgaben spielt, die den Aufsichtsbehörden übertragen wurden, ist somit zu vermeiden, dass dieses Recht in offenkundig unbegründeter oder exzessiver Weise ausgeübt wird, was – wenn nicht die Möglichkeit bestünde, von den in Art. 57 Abs. 4 DSGVO vorgesehenen Verfahrensinstrumenten Gebrauch zu machen – dazu führen könnte, dass die Aufsichtsbehörden an der Erfüllung ihrer Aufgaben gehindert würden. Daraus folgt, dass eine Auslegung, die Beschwerden vom Anwendungsbereich dieser Bestimmung ausschließt, das ordnungsgemäße Funktionieren der Aufsichtsbehörden und damit das Ziel beeinträchtigen könnte, ein hohes Schutzniveau für die Rechte der betroffenen Personen aus der DSGVO zu gewährleisten.
43. Im Übrigen weise ich darauf hin, dass die Anwendung dieser Bestimmung mit Verfahrensgarantien verbunden ist, die es ermöglichen, die Berufung der Aufsichtsbehörden darauf eng zu begrenzen. So trägt die Aufsichtsbehörde die Beweislast für den offenkundig unbegründeten oder exzessiven Charakter der Anfrage. Zudem kann gegen die Entscheidung der Behörde, eine angemessene Gebühr zu verlangen oder sich zu weigern, aufgrund einer Anfrage tätig zu werden, ein wirksamer gerichtlicher Rechtsbehelf nach Art. 78 Abs. 1 DSGVO eingelegt werden. Ebenso hat die betroffene Person gemäß Art. 78 Abs. 2 DSGVO das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn sich eine Aufsichtsbehörde ohne eine diesbezügliche Entscheidung nicht mit einer Beschwerde befasst.
44. Darüber hinaus hat gemäß Art. 79 Abs. 1 DSGVO jede betroffene Person das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn sie der Ansicht ist, dass die ihr aufgrund dieser Verordnung zustehenden Rechte infolge einer nicht im Einklang mit dieser Verordnung stehenden Verarbeitung ihrer personenbezogenen Daten verletzt wurden.
45. Wie der Gerichtshof in seinem Urteil vom 12. Januar 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság(16 ), entschieden hat, sind Art. 77 Abs. 1, Art. 78 Abs. 1 und Art. 79 Abs. 1 DSGVO in Verbindung mit Art. 47 der Charta der Grundrechte der Europäischen Union dahin auszulegen, dass sie es erlauben, die in Art. 77 Abs. 1 und Art. 78 Abs. 1 einerseits und in Art. 79 Abs. 1 andererseits vorgesehenen Rechtsbehelfe nebeneinander und unabhängig voneinander auszuüben(17 ).
46. Nach alledem schlage ich dem Gerichtshof vor, auf die erste Vorlagefrage zu antworten, dass der Begriff „Anfragen“ bzw. „Anfrage“ in Art. 57 Abs. 4 DSGVO „Beschwerden“ im Sinne von Art. 57 Abs. 1 Buchst. f und Art. 77 Abs. 1 DSGVO erfasst.
B. Zur zweiten Vorlagefrage
47. Mit seiner zweiten Frage möchte das vorlegende Gericht im Wesentlichen vom Gerichtshof wissen, ob Anfragen allein aufgrund ihrer Anzahl innerhalb eines bestimmten Zeitraums als „exzessiv“ im Sinne von Art. 57 Abs. 4 DSGVO eingestuft werden können oder ob zudem nachgewiesen werden muss, dass die Person, die diese Anfragen bei einer Aufsichtsbehörde stellt, mit missbräuchlicher Absicht handelt.
48. Um diese Frage zu beantworten, werde ich zunächst den Wortlaut dieser Bestimmung prüfen, auf dessen Grundlage ich zu den folgenden Feststellungen gelange.
49. Erstens ist, da der Begriff „exzessive Anfragen“ in der DSGVO nicht definiert wird, auf seinen Sinn nach dem gewöhnlichen Sprachgebrauch abzustellen. So bezeichnet die in der französischen Sprachfassung verwendete Form des Adjektivs „excessif“ („exzessiv“) etwas, das „excède la mesure ordinaire ou raisonnable“ („über das gewöhnliche oder vernünftige Maß hinausgeht“) (Wörterbuch Larousse ) bzw. „dépasse la mesure souhaitable ou permise“ („das erwünschte oder zulässige Maß überschreitet“) (Wörterbuch Le Robert ). Etwas exzessiv zu tun, bedeutet, es ohne Maß zu tun.
50. Zweitens ist es jedoch nicht so, dass der Wortlaut von Art. 57 Abs. 4 DSGVO keinerlei Hinweise enthält, da diese Bestimmung durch die Erwähnung von „insbesondere im Fall von häufiger Wiederholung [gestellten] exzessiven Anfragen“, darauf hindeutet, dass die häufige Wiederholung es erlaubt, festzustellen, dass exzessive Anfragen vorliegen.
51. Drittens und in Verbindung mit den vorstehenden Ausführungen bedeutet der Umstand, dass das Adverb „insbesondere“ darauf hinweist, dass die häufige Wiederholung der Anfragen nur ein Beispiel für exzessive Anfragen ist, dass diese auch andere Fallgestaltungen als die Anzahl der Anfragen erfassen.
52. Allerdings halte ich es nicht für erforderlich, hier alle Fälle erschöpfend zu betrachten, in denen Anfragen als „exzessiv“ eingestuft werden könnten. Ich werde meine Würdigung vielmehr auf die spezifische Frage richten, die das vorlegende Gericht dem Gerichtshof vorgelegt hat und mit der geklärt werden soll, welche Tragweite der Tatsache beizumessen ist, dass die häufige Wiederholung der Anfragen als Beispiel für exzessive Anfragen erwähnt wird. Es geht also darum, zu prüfen, ob eine große Anzahl von Beschwerden für sich genommen ausreicht, um Anfragen im Fall von häufiger Wiederholung als „exzessiv“ einzustufen.
53. Aus den Informationen, die dem Gerichtshof vorliegen, geht nämlich hervor, dass sich die Datenschutzbehörde tatsächlich unter Berufung auf die Anzahl der von F R innerhalb eines bestimmten Zeitraums eingereichten Beschwerden, die sie als zu groß ansah, geweigert hat, aufgrund einer Beschwerde tätig zu werden, indem sie sie als „exzessiv“ einstufte. Alles in allem war sie der Ansicht, dass eine akzeptable quantitative Schwelle an Beschwerden erreicht worden sei, so dass es angebracht gewesen sei, nicht mehr aufgrund der Beschwerden von F R tätig zu werden. Sie begründete ihre Entscheidung auch mit der Befürchtung, dass F R auch in Zukunft eine große Anzahl von Beschwerden einreichen würde. Allerdings hat sie in keiner Weise die Begründetheit der Beschwerden in Frage gestellt, die F R bis dahin bei ihr eingereicht hatte.
54. Wie F R, die Bundesministerin für Justiz, die österreichische Regierung und die Kommission bin ich der Ansicht, dass die Anzahl der von einer betroffenen Person bei einer Aufsichtsbehörde gestellten Anfragen, so groß sie auch sein mag, für sich genommen – und entgegen dem, was auf den ersten Blick aus dem Wortlaut von Art. 57 Abs. 4 DSGVO abgeleitet werden könnte – kein ausreichendes Kriterium sein kann, um festzustellen, dass „exzessive Anfragen“ im Sinne dieser Bestimmung vorliegen. Ich stütze diese Auffassung auf die Prüfung des Zusammenhangs, in den sich diese Bestimmung einfügt, und auf die Ziele, die mit der DSGVO verfolgt werden.
55. Was den Zusammenhang betrifft, in den sich Art. 57 Abs. 4 DSGVO einfügt, weise ich darauf hin, dass Art. 12 DSGVO allgemeine Pflichten des Verantwortlichen in Bezug auf die Transparenz der Information und Kommunikation sowie die Modalitäten für die Ausübung der Rechte der betroffenen Person festlegt.
56. Art. 15 DSGVO, der zu Kapitel III Abschnitt 2 gehört, der die Informationspflicht und das Recht auf Auskunft zu personenbezogenen Daten zum Gegenstand hat, vervollständigt den Transparenzrahmen der DSGVO, indem er der betroffenen Person ein Recht auf Auskunft über ihre personenbezogenen Daten und ein Recht auf Information über die Verarbeitung dieser Daten gewährt.
57. Insbesondere sieht Art. 15 Abs. 1 DSGVO vor, dass die betroffene Person das Recht hat, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und u. a. auf Informationen zu den Verarbeitungszwecken und über die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden.
58. Dieses Auskunftsrecht muss es der betroffenen Person nicht nur ermöglichen, zu überprüfen, ob sie betreffende Daten richtig sind, sondern auch, ob sie in zulässiger Weise verarbeitet werden(18 ).
59. Wie der Gerichtshof festgestellt hat, bedarf es des Auskunftsrechts nach Art. 15 DSGVO deswegen, um es der betroffenen Person zu ermöglichen, gegebenenfalls ihre Rechte auf Berichtigung, auf Löschung („Recht auf Vergessenwerden“) und auf Einschränkung der Verarbeitung, die ihr nach den Art. 16 bis 18 DSGVO zukommen, sowie ihr in Art. 21 DSGVO vorgesehenes Recht auf Widerspruch gegen die Verarbeitung ihrer personenbezogenen Daten oder im Schadensfall ihr in den Art. 79 und 82 DSGVO vorgesehenes Recht auf Einlegung eines Rechtsbehelfs auszuüben(19 ).
60. Folglich handelt es sich bei Art. 15 DSGVO um eine derjenigen Bestimmungen, die das Auskunftsrecht sowie die Transparenz der Art und Weise der Verarbeitung personenbezogener Daten gegenüber der betroffenen Person gewährleisten sollen: Ohne diese Transparenz wäre die betroffene Person nicht in der Lage, die Rechtmäßigkeit der Verarbeitung ihrer Daten zu beurteilen und die namentlich in den Art. 16 bis 18, 21, 79 und 82 dieser Verordnung vorgesehenen Befugnisse wahrzunehmen(20 ).
61. Vor diesem Hintergrund hat der Gerichtshof bereits entschieden, dass der Grundsatz, dass die erste Kopie der Daten unentgeltlich ist, sowie die Tatsache, dass der Auskunftsantrag nicht spezifisch begründet sein muss, notwendigerweise dazu beitragen, der betroffenen Person die Ausübung ihrer Rechte aus der DSGVO zu erleichtern(21 ).
62. Angesichts der Bedeutung, die diese Verordnung dem Recht nach Art. 15 Abs. 1 DSGVO auf Auskunft über personenbezogene Daten, die Gegenstand der Verarbeitung sind, für die Erreichung der mit ihr verfolgten Ziele beimisst, darf die Ausübung dieses Rechts nicht an zu strenge Voraussetzungen geknüpft werden.
63. Dies muss meines Erachtens auch für das Recht der betroffenen Personen gelten, Beschwerden nach Art. 77 Abs. 1 DSGVO einzureichen.
64. Gemäß Art. 12 Abs. 3 DSGVO stellt der Verantwortliche nämlich der betroffenen Person Informationen über die auf Antrag gemäß den Art. 15 bis 22 DSGVO ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Kommt der Verantwortliche dieser Verpflichtung nicht nach, muss die Person, die bei ihm einen Antrag gestellt hat, eine Beschwerde bei einer Aufsichtsbehörde einreichen können, damit diese gegebenenfalls den Verantwortlichen gemäß Art. 58 Abs. 2 Buchst. c DSGVO anweisen kann, den Anträgen der betroffenen Person auf Ausübung der ihr nach dieser Verordnung zustehenden Rechte zu entsprechen.
65. Wenn eine Person Anträge auf Auskunft oder Löschung an mehrere Verantwortliche gerichtet hat, wie es vorliegend der Fall zu sein scheint, muss die Anzahl der bei einer Aufsichtsbehörde eingereichten Beschwerden potenziell mit der Anzahl der Fälle übereinstimmen können, in denen sich die Verantwortlichen gegenüber dieser Person geweigert haben, tätig zu werden. Eine andere Entscheidung, bei der ein Schwellenwert festgelegt würde, ab dem eine Aufsichtsbehörde diese Beschwerden allein aufgrund ihrer Anzahl als „exzessiv“ einstufen könnte, würde die von der DSGVO gewährleisteten Rechte, die ich zuvor aufgezählt habe, beeinträchtigen.
66. Ich weise im Übrigen darauf hin, dass die DSGVO, wie es in ihrem 63. Erwägungsgrund heißt, den betroffenen Personen ausdrücklich das Recht gewährt, Auskunft hinsichtlich der sie betreffenden personenbezogenen Daten, die erhoben worden sind, zu erhalten und dieses Recht problemlos und in angemessenen Abständen wahrzunehmen. Meiner Ansicht nach bedeutet dies, dass diese Personen dieses Recht mehrfach bei demselben Verantwortlichen ausüben können, ohne dass die Wiederholung einer Anfrage als solche als „exzessiv“ eingestuft werden kann. Bei Verletzung dieses Rechts durch einen mehrfach angerufenen Verantwortlichen bzw. durch mehrfach angerufene Verantwortliche sollten diese Personen meines Erachtens mehrere Beschwerden gemäß Art. 77 Abs. 1 DSGVO gegen diesen bzw. diese Verantwortlichen bei einer Aufsichtsbehörde einreichen können.
67. Im Übrigen weise ich darauf hin, dass eine Art. 57 Abs. 4 DSGVO entsprechende Regelung in Art. 12 Abs. 5 DSGVO enthalten ist, der in ähnlicher Weise – in diesem Fall dem Verantwortlichen – bei offenkundig unbegründeten oder exzessiven Anträgen die Möglichkeit einräumt, entweder ein angemessenes Entgelt zu verlangen, bei dem die Verwaltungskosten für die Unterrichtung oder die Mitteilung oder die Durchführung der beantragten Maßnahme berücksichtigt werden, oder sich zu weigern, aufgrund des Antrags tätig zu werden(22 ).
68. Der Gerichtshof hat in seinem Urteil vom 26. Oktober 2023, FT (Kopien der Patientenakte)(23 ), festgestellt, dass Art. 12 Abs. 5 DSGVO den Grundsatz aufstellt, dass der betroffenen Person durch die Ausübung ihres Rechts auf Auskunft über die Daten, die Gegenstand der Verarbeitung sind, und auf Auskunft über die damit verbundenen Informationen keine Kosten entstehen. Außerdem gibt es nach dieser Bestimmung zwei Gründe, aus denen der Verantwortliche entweder ein angemessenes Entgelt verlangen kann, bei dem die Verwaltungskosten berücksichtigt werden, oder sich weigern kann, aufgrund des Antrags tätig zu werden. Diese Gründe, so der Gerichtshof, beziehen sich auf Fälle von Rechtsmissbrauch(24 ). Auf dieser Grundlage hat der Gerichtshof festgestellt, dass nach Ansicht des vorlegenden Gerichts der Antrag der betroffenen Person nicht missbräuchlich war(25 ).
69. Da Art. 12 Abs. 5 und Art. 57 Abs. 4 DSGVO ähnlich formuliert sind und auf derselben Logik beruhen, die darin besteht, zu vermeiden, dass dem Verantwortlichen bzw. der Aufsichtsbehörde eine unverhältnismäßige Belastung auferlegt wird, die geeignet ist, ihr ordnungsgemäßes Funktionieren zu beeinträchtigen, bin ich der Auffassung, dass diese beiden Bestimmungen gleich auszulegen sind.
70. Daraus schließe ich, dass eine Aufsichtsbehörde, um von der in Art. 57 Abs. 4 DSGVO vorgesehenen Möglichkeit Gebrauch zu machen, anhand aller relevanten Umstände jedes Einzelfalls feststellen muss, dass ein missbräuchliches Vorgehen der betroffenen Person vorliegt(26 ), wofür die Anzahl der von dieser Person eingereichten Beschwerden allein nicht ausreicht.
71. Unter diesem Gesichtspunkt spiegeln sowohl Art. 12 Abs. 5 DSGVO als auch Art. 57 Abs. 4 DSGVO die ständige Rechtsprechung des Gerichtshofs wider, nach der es im Unionsrecht einen allgemeinen Rechtsgrundsatz gibt, wonach sich die Bürger nicht in betrügerischer oder missbräuchlicher Weise auf unionsrechtliche Normen berufen dürfen(27 ). Im Zusammenhang mit Art. 57 Abs. 4 DSGVO kann ein missbräuchliches Vorgehen festgestellt werden, wenn eine Person Beschwerden einreicht, ohne dass dies objektiv erforderlich ist, um ihre Rechte aus der Verordnung zu schützen.
72. Art. 57 Abs. 4 DSGVO ist somit ein Ausdruck des Verhältnismäßigkeitsgrundsatzes: Zwar sind die Aufsichtsbehörden grundsätzlich verpflichtet, jede Beschwerde mit aller gebotenen Sorgfalt zu prüfen, doch darf ihnen keine Belastung auferlegt werden, die über das hinausgeht, was zum Schutz der Rechte erforderlich ist, die diese Verordnung den betroffenen Personen verleiht. Diese Bestimmung ermöglicht es den Behörden daher, die Interessen des Anfragestellers mit denen einer ordnungsgemäßen Verwaltung in Einklang zu bringen.
73. Ich möchte hinzufügen, dass Art. 57 Abs. 4 DSGVO, wie ich bereits ausgeführt habe, eng auszulegen ist, d. h., dass seine Anwendung auf das zu beschränken ist, was unbedingt erforderlich ist, um zu verhindern, dass das mit ihm verfolgte Ziel, dass die Aufsichtsbehörden ordnungsgemäß funktionieren, beeinträchtigt wird. Eine solche enge Auslegung schließt meines Erachtens aus, dass die bloße Berücksichtigung der Anzahl der Beschwerden, so groß sie auch sein mag, als Rechtfertigung für die Anwendung dieser Bestimmung durch eine Aufsichtsbehörde ausreicht.
74. Nach Art. 8 Abs. 3 der Charta der Grundrechte wird nämlich die Einhaltung der Vorschriften über den Schutz personenbezogener Daten von einer unabhängigen Stelle überwacht. In diesem Zusammenhang haben die Mitgliedstaaten nach Art. 52 Abs. 4 DSGVO sicherzustellen, dass jede Aufsichtsbehörde mit den personellen, technischen und finanziellen Ressourcen, Räumlichkeiten und Infrastrukturen ausgestattet wird, die sie benötigt, um ihre Aufgaben und Befugnisse effektiv wahrnehmen zu können. Folglich sind diese Ressourcen an den Gebrauch anzupassen, den die betroffenen Personen von ihrem Recht machen, Beschwerden bei den Aufsichtsbehörden einzureichen. Es wäre widersinnig, wenn der Unionsgesetzgeber, obwohl er, wie sich aus Art. 57 Abs. 2 DSGVO ergibt, das Einreichen dieser Beschwerden erleichtern wollte – was darauf hinausläuft, sie zu fördern –, es den Behörden zugleich erlaubt hätte, sich zu weigern, aufgrund der Beschwerden tätig zu werden, wenn sie der Ansicht sind, dass ihre Anzahl zu groß ist.
75. Um festzustellen, dass im Fall von häufiger Wiederholung exzessive Anfragen vorliegen, genügt es daher nicht, dass eine betroffene Person Beschwerden bei einer Aufsichtsbehörde einreicht, deren Anzahl deutlich über der durchschnittlichen Anzahl der Beschwerden liegt, die die jeweils betroffene Person einreicht, was zu einem überdurchschnittlich hohen Bearbeitungsaufwand für die Behörde führt. Es ist nämlich Sache der Mitgliedstaaten, den Aufsichtsbehörden angemessene Ressourcen zur Verfügung zu stellen, damit sie sich mit allen bei ihnen eingereichten Beschwerden befassen können, und diese Ressourcen gegebenenfalls aufzustocken, um sie an den Gebrauch anzupassen, den die betroffenen Personen von ihrem Recht machen, Beschwerden nach Art. 77 Abs. 1 DSGVO einzureichen. Eine Aufsichtsbehörde kann daher ihre Weigerung gemäß Art. 57 Abs. 4 DSGVO, aufgrund einer Beschwerde tätig zu werden, nicht darauf stützen, dass eine betroffene Person, die eine große Anzahl von Beschwerden einreicht, erhebliche Ressourcen der Behörde in Anspruch nimmt, was die Befassung mit anderen Beschwerden beeinträchtigt, die andere Personen einreichen.
76. Ferner sind Beschwerden nach Art. 77 Abs. 1 DSGVO wichtig, damit die Aufsichtsbehörden Kenntnis von Verletzungen der durch diese Verordnung geschützten Rechte erlangen(28 ). Sie sind daher für die erfolgreiche Durchführung der Aufgabe der Aufsichtsbehörden, die ordnungsgemäße Anwendung der Verordnung zu gewährleisten, von entscheidender Bedeutung. Diese Beschwerden tragen daher wesentlich dazu bei, ein gleichmäßiges und hohes Schutzniveau für betroffene Personen in der Union zu gewährleisten und ihre Rechte zu stärken und präzise festzulegen.
77. Folglich könnte es meines Erachtens die Verwirklichung dieses Ziels beeinträchtigen, wenn es den Aufsichtsbehörden gestattet würde, allein deshalb festzustellen, dass die Beschwerden exzessiv sind, weil ihre Anzahl groß ist. Wie ich bereits ausgeführt habe, kann nämlich eine große Anzahl von Beschwerden die unmittelbare Folge einer großen Anzahl von Fällen sein, in denen auf Auskunftsanträge, die eine betroffene Person zum Schutz ihrer Rechte gestellt hat, seitens eines Verantwortlichen bzw. mehrerer Verantwortlicher keine Antwort gegeben wurde oder es abgelehnt wurde, aufgrund dieser Anträge tätig zu werden. Darüber hinaus ist es schwierig, einen quantitativen Schwellenwert festzulegen, ab dem Beschwerden aufgrund ihrer Anzahl als „exzessiv“ eingestuft werden könnten. Insoweit könnte eine isolierte Betrachtung der Anzahl der Beschwerden zu einer willkürlichen Beeinträchtigung des Rechtsschutzes führen, den eine betroffene Person aufgrund der DSGVO genießt. Daher ist meiner Ansicht nach die Feststellung, dass exzessive Anfragen vorliegen, an die Voraussetzung zu knüpfen, dass eine missbräuchliche Absicht der Person nachgewiesen wird, die die Beschwerden einreicht.
78. Aus den vorstehenden Ausführungen ergibt sich, dass den Aufsichtsbehörden – da die Regel ist, dass sie sich mit aller gebotenen Sorgfalt mit den bei ihnen eingereichten Beschwerden befassen – meines Erachtens nur in Ausnahmefällen gestattet werden sollte, von Art. 57 Abs. 4 DSGVO Gebrauch zu machen, und dies umso mehr, als der durch die Ausübung des Rechts, Beschwerden nach Art. 77 Abs. 1 DSGVO einzureichen, bedingte Arbeitsaufwand und das Interesse der betroffenen Person grundsätzlich unerheblich sind, wenn es um die Bestimmung des Umfangs dieses Rechts geht(29 ). Ausnahmen von der Pflicht der Aufsichtsbehörden, sich mit Beschwerden zu befassen, sind daher eng auszulegen, um das öffentliche Interesse an der Befassung mit den Beschwerden gegen das Interesse an der Weigerung, sich mit ihnen zu befassen, abzuwägen(30 ).
79. Auf der Grundlage der Umstände des Einzelfalls obliegt es daher der Aufsichtsbehörde, bei der eine große Anzahl von Beschwerden eingereicht wird, nachzuweisen, dass diese Anzahl nicht durch den Wunsch der betroffenen Person zu erklären ist, ihre Rechte aus der DSGVO zu schützen, sondern durch einen anderen Zweck, der in keinem Zusammenhang mit diesem Schutz steht. Dies gilt insbesondere dann, wenn sich aus den Umständen ergibt, dass die große Anzahl von Beschwerden darauf abzielt, das ordnungsgemäße Funktionieren der Behörde zu beeinträchtigen, indem ihre Ressourcen ohne berechtigten Grund in Anspruch genommen werden.
80. Insoweit kann die Häufung von Beschwerden ein Indiz für exzessive Anfragen einer betroffenen Person sein, wenn sich herausstellt, dass die Beschwerden nicht objektiv durch Erwägungen gerechtfertigt sind, die sich auf den Schutz der Rechte beziehen, die die DSGVO dieser Person verleiht. Dies kann z. B. dann der Fall sein, wenn Beschwerden denselben Verantwortlichen betreffen, denselben Inhalt haben, sich auf dieselben Verpflichtungen aus der DSGVO beziehen und in übertrieben kurzen Zeitabständen eingereicht werden, ohne dass eine Änderung der tatsächlichen Umstände dies rechtfertigt, und damit die Absicht der betroffenen Person erkennen lassen, das ordnungsgemäße Funktionieren der Aufsichtsbehörde zu beeinträchtigen, anstatt den Schutz der ihr durch diese Verordnung verliehenen Rechte zu erreichen. Ein weiteres Beispiel für exzessive Anfragen im Fall von häufiger Wiederholung könnte die Situation betreffen, in der eine Person eine so große Anzahl von Beschwerden bei einer Aufsichtsbehörde einreicht, die eine Vielzahl von Verantwortlichen betreffen, zu denen sie nicht unbedingt einen Bezug hat, dass diese übermäßige Inanspruchnahme ihres Rechts, Beschwerden einzureichen, in Verbindung mit anderen Gesichtspunkten wie dem Inhalt der Beschwerden ihre Absicht belegt, die Behörde zu lähmen, indem sie sie mit Anfragen überflutet.
81. Auf der Grundlage dieser Erwägungen ist es Sache des vorlegenden Gerichts, zu prüfen, ob die Datenschutzbehörde zu Recht feststellen konnte, dass „exzessive Anfragen“ im Sinne von Art. 57 Abs. 4 DSGVO vorlagen.
82. Ich erinnere in diesem Zusammenhang daran, dass die von F R eingereichten Beschwerden, die sich auf 77 belaufen, auf Anträge auf Auskunft bzw. Löschung zurückgehen, die er bei verschiedenen Verantwortlichen gestellt hat und die in den meisten Fällen nach Ablauf eines Monats unbeantwortet geblieben sind. Hinzu kommt die Feststellung, dass F R die Datenschutzbehörde regelmäßig telefonisch kontaktiert, um zu erfahren, ob bestimmte Sachverhalte Anlass zu Beschwerden geben könnten.
83. Nach Ansicht der Datenschutzbehörde bindet F R durch das stetige Einreichen von neuen Beschwerden, deren Gesamtzahl beträchtlich sei, die knappen Personalressourcen der Datenschutzbehörde seit mittlerweile eineinhalb Jahren gegenüber anderen Beschwerdeführern, die weniger Beschwerden einreichten, zu seinem Vorteil und in unverhältnismäßig großem Ausmaß. Zudem sei aufgrund der steigenden Anzahl an Beschwerden und der von der Datenschutzbehörde mit ihm geführten Telefonate davon auszugehen, dass er ihre Tätigkeit auch zukünftig massiv in Anspruch nehmen werde. Die 77 eingereichten Beschwerden seien daher als „exzessive Anfragen“ im Sinne von Art. 57 Abs. 4 DSGVO einzustufen.
84. Ich bezweifle, dass diese Begründung ausreicht, um eine solche Einstufung zu rechtfertigen, da sie nicht ein missbräuchliches Vorgehen von F R erkennen lässt, d. h. ein Vorgehen, das nicht auf den Schutz seiner Rechte aus der DSGVO abzielt, sondern einen anderen Zweck verfolgt, nämlich das ordnungsgemäße Funktionieren der Aufsichtsbehörde zu beeinträchtigen. Auch erachte ich weder die Prognosen der Behörde hinsichtlich der großen Anzahl von Beschwerden, die F R zukünftig einreichen könnte, noch den Hinweis auf ihre knappen Personalressourcen als relevant.
85. Nach alledem ist Art. 57 Abs. 4 DSGVO meines Erachtens dahin auszulegen, dass Anfragen nicht allein aufgrund ihrer Anzahl innerhalb eines bestimmten Zeitraums als „exzessiv“ im Sinne dieser Bestimmung eingestuft werden können, da die Aufsichtsbehörde zudem nachweisen muss, dass die Person, die diese Anfragen stellt, mit missbräuchlicher Absicht handelt.
C. Zur dritten Vorlagefrage
86. Mit seiner dritten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 57 Abs. 4 DSGVO dahin auszulegen ist, dass eine Aufsichtsbehörde bei exzessiven Anfragen frei wählen kann, ob sie eine angemessene Gebühr auf der Grundlage der Verwaltungskosten verlangt oder sich weigert, aufgrund der Anfrage tätig zu werden. Falls dies zu verneinen ist, fragt sich das vorlegende Gericht, welche Kriterien die Aufsichtsbehörde zu berücksichtigen hat, und insbesondere, ob sie verpflichtet ist, vorrangig die Gebühr zu verlangen, ehe sie sich weigert, aufgrund der Anfrage tätig zu werden.
87. Aus der Prüfung des Wortlauts von Art. 57 Abs. 4 DSGVO schließe ich, dass die Option, eine angemessene Gebühr auf der Grundlage der Verwaltungskosten zu verlangen, und die Option, sich zu weigern, aufgrund exzessiver Anfragen tätig zu werden, nebeneinander aufgeführt sind und durch die nebenordnende Konjunktion „oder“ getrennt werden, ohne dass aus dem Wortlaut geschlossen werden kann, dass zwischen ihnen ein Vorrangverhältnis besteht(31 ).
88. Somit scheint der Wortlaut dadurch, dass er die beiden Optionen der Aufsichtsbehörde auf eine Stufe stellt, für die Auslegung zu sprechen, dass die Behörde, wenn sie feststellt, dass die bei ihr gestellten Anfragen exzessiv sind, frei wählen kann, ob sie eine angemessene Gebühr verlangt oder sich weigert, aufgrund der Anfrage tätig zu werden.
89. Angesichts des Zusammenhangs, in den sich Art. 57 Abs. 4 DSGVO einfügt, und der mit dieser Verordnung verfolgten Ziele darf eine Aufsichtsbehörde diese Wahl jedoch nicht nach freiem Ermessen und ohne Begründung treffen. In Anbetracht der Bedeutung des Rechts auf das Einreichen von Beschwerden hinsichtlich des Ziels, ein hohes Schutzniveau für personenbezogene Daten zu gewährleisten, der wesentlichen Rolle, die die Befassung mit diesen Beschwerden bei den Aufgaben spielt, die den Aufsichtsbehörden übertragen wurden, und der Verpflichtung der Behörden, sich mit aller gebotenen Sorgfalt mit diesen Beschwerden zu befassen, obliegt es ihnen nämlich, alle relevanten Umstände zu berücksichtigen und sich zu vergewissern, dass die gewählte Option angemessen und verhältnismäßig ist. Diese Beurteilungsgesichtspunkte müssen in der Begründung der Entscheidung der angerufenen Aufsichtsbehörde enthalten sein.
90. In diesem Zusammenhang könnte es eine Aufsichtsbehörde je nach den relevanten Umständen für angebracht halten, eine angemessene Gebühr auf der Grundlage der Verwaltungskosten für den durch exzessive Beschwerden verursachten Mehraufwand zu verlangen, um einer missbräuchlichen Praxis ein Ende zu setzen, die geeignet ist, ihr ordnungsgemäßes Funktionieren zu beeinträchtigen. Die abschreckende Wirkung dieser Option könnte die Behörde sogar dazu veranlassen, sie zu bevorzugen, statt sich von vornherein zu weigern, aufgrund dieser Beschwerden tätig zu werden.
91. Ich möchte hinzufügen, dass der Verhältnismäßigkeitsgrundsatz und das Ziel, ein hohes Schutzniveau für personenbezogene Daten zu gewährleisten, die Aufsichtsbehörden ebenfalls dazu veranlassen sollten, eine angemessene Gebühr auf der Grundlage der Verwaltungskosten in Betracht zu ziehen, bevor sie sich weigern, aufgrund einer Beschwerde tätig zu werden, da Ersteres die Rechte der betroffenen Personen aus der DSGVO in geringerem Maße beeinträchtigt.
92. Allerdings kann Art. 57 Abs. 4 DSGVO meines Erachtens nicht dahin ausgelegt werden, dass er eine Aufsichtsbehörde in jedem Fall verpflichtet, vorrangig die Option zu wählen, eine angemessene Gebühr zu verlangen.
93. Folglich bin ich der Ansicht, dass Art. 57 Abs. 4 DSGVO dahin auszulegen ist, dass eine Aufsichtsbehörde bei exzessiven Anfragen durch eine mit Gründen versehene Entscheidung wählen kann, ob sie eine angemessene Gebühr auf der Grundlage der Verwaltungskosten verlangt oder sich weigert, aufgrund der Anfrage tätig zu werden, wobei sie alle relevanten Umstände berücksichtigen und sich vergewissern muss, dass die gewählte Option angemessen und verhältnismäßig ist, ohne dass zwischen diesen beiden Optionen ein Vorrangverhältnis besteht.
IV. Ergebnis
94. Nach alledem schlage ich dem Gerichtshof vor, die vom Verwaltungsgerichtshof (Österreich) vorgelegten Fragen wie folgt zu beantworten:
Art. 57 Abs. 4 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)
ist dahin auszulegen, dass
– der Begriff „Anfragen“ bzw. „Anfrage“ in dieser Bestimmung „Beschwerden“ im Sinne von Art. 57 Abs. 1 Buchst. f und Art. 77 Abs. 1 dieser Verordnung erfasst;
– Anfragen nicht allein aufgrund ihrer Anzahl innerhalb eines bestimmten Zeitraums als „exzessiv“ im Sinne von Art. 57 Abs. 4 der Verordnung eingestuft werden können, da die Aufsichtsbehörde zudem nachweisen muss, dass die Person, die diese Anfragen stellt, mit missbräuchlicher Absicht handelt;
– eine Aufsichtsbehörde bei exzessiven Anfragen durch eine mit Gründen versehene Entscheidung wählen kann, ob sie eine angemessene Gebühr auf der Grundlage der Verwaltungskosten verlangt oder sich weigert, aufgrund der Anfrage tätig zu werden, wobei sie alle relevanten Umstände berücksichtigen und sich vergewissern muss, dass die gewählte Option angemessen und verhältnismäßig ist, ohne dass zwischen diesen beiden Optionen ein Vorrangverhältnis besteht.
