Wann sind Beschwerden bei Datenschutzbehörden als „exzessiv“ einzustufen?

Mit der Datenschutz-Grundverordnung (DSGVO) hat die Europäische Union das Fundament für ein umfassendes Datenschutzrecht gelegt. Ein zentrales Element dieser Verordnung ist das Beschwerderecht der betroffenen Personen: Art. 77 Abs. 1 DSGVO erlaubt es jeder Person, sich bei einer Datenschutzbehörde zu beschweren, wenn sie der Ansicht ist, ihre Rechte seien verletzt worden.

Doch wie oft darf man sich beschweren? Gibt es Grenzen? Können Behörden irgendwann sagen: „Jetzt ist es zu viel“?

Genau mit dieser Frage befasste sich der Europäische Gerichtshof (EuGH) in seinem vielbeachteten Urteil vom 09. Januar 2025 (Rechtssache C-416/23). Der Fall gibt Anlass, sich näher mit dem Spannungsverhältnis zwischen dem berechtigten Anliegen des Bürgers auf Rechtsschutz und dem Interesse der Verwaltung an funktionsfähiger Arbeitsweise zu befassen.

1. Der Hintergrund des Falls – Was war passiert?

Die Ausgangssituation war durchaus bemerkenswert: Eine Einzelperson (FR), ein in Österreich lebender Bürger, hatte innerhalb von 20 Monaten 77 Beschwerden bei der österreichischen Datenschutzbehörde (DSB) eingereicht. Inhaltlich betrafen diese Beschwerden unterschiedliche Sachverhalte und verschiedene Verantwortliche – es ging also nicht um eine bloße Wiederholung immer desselben Sachverhalts.

Zusätzlich meldete sich die betroffene Person regelmäßig telefonisch bei der Behörde, um weitere Anliegen vorzutragen oder bereits laufende Verfahren zu kommentieren.

Die DSB verweigerte schließlich die Bearbeitung einer dieser Beschwerden mit der Begründung, dass sie (wie bereits viele vorherige) „exzessiv“ im Sinne von Art. 57 Abs. 4 DSGVO sei. Die Begründung stützte sich vorrangig auf die hohe Anzahl der Eingaben.

FR erhob dagegen Beschwerde. Das österreichische Bundesverwaltungsgericht (BVwG) hob die Entscheidung auf. Es argumentierte, die bloße Anzahl reiche nicht aus – es müsse ein missbräuchliches Verhalten nachgewiesen werden. Der Fall landete schließlich vor dem Verwaltungsgerichtshof, der dem EuGH zwei entscheidungserhebliche Fragen vorlegte.

2. Die Vorlagefragen an den EuGH

Der österreichische Verwaltungsgerichtshof wollte wissen:

1. Fällt eine „Beschwerde“ unter den Begriff der „Anfrage“ im Sinne des Art. 57 Abs. 4 DSGVO?
2. Welche Kriterien müssen erfüllt sein, damit eine Aufsichtsbehörde eine Beschwerde als „exzessiv“ einstufen und deren Bearbeitung verweigern oder eine Gebühr erheben kann?

3. Die Entscheidung des EuGH: Präzise und grundrechtsfreundlich

3.1 Begriff der „Anfrage“ – Weite Auslegung

Der EuGH stellt klar: Der Begriff der „Anfrage“ in Art. 57 Abs. 4 DSGVO ist weit auszulegen. Er umfasst auch Beschwerden nach Art. 77 Abs. 1 DSGVO.

Begründung:

• Das Ziel der DSGVO sei es, ein hohes Datenschutzniveau und eine effektive Durchsetzung zu garantieren.
• Beschwerden seien ein integraler Bestandteil dieses Durchsetzungsmechanismus.
• Es wäre inkonsequent, wenn Art. 57 Abs. 4 nicht auch Beschwerden betreffen würde.

Fazit: Datenschutzbehörden dürfen Beschwerden als exzessiv behandeln – sie unterfallen dem Begriff der „Anfrage“.

3.2 Exzessivität erfordert Missbrauchsabsicht

Doch der EuGH bleibt bei einem entscheidenden Punkt streng: Die bloße Anzahl von Beschwerden reicht nicht aus, um eine Beschwerde als exzessiv einzustufen.

Kernaussage:

„Anfragen [= Beschwerden] können nicht allein aufgrund ihrer Zahl während eines bestimmten Zeitraums als exzessiv im Sinne dieser Bestimmung eingestuft werden.“

Stattdessen müsse eine Missbrauchsabsicht nachgewiesen werden – also die Absicht, die Behörde in ihrer Funktionsweise zu stören oder systematisch zu überlasten.

Konkrete Anhaltspunkte für Missbrauch könnten sein:

• Wiederholte Beschwerden zu identischen oder bereits abschließend geprüften Sachverhalten.
• Verwendung von Schimpfwörtern oder beleidigender Sprache.
• Drohungen gegen Behördenmitarbeitende.
• Masseneingaben ohne jeglichen inhaltlichen Bezug.

Im Fall FR sah der EuGH keine hinreichenden Anhaltspunkte für eine solche missbräuchliche Motivation. Der Bürger habe zwar viele Beschwerden eingereicht – diese seien aber thematisch verschieden, sachlich formuliert und nicht rechtsmissbräuchlich.

4. Handlungsspielräume der Behörde bei „exzessiven Anfragen“

Erkennt eine Behörde eine Anfrage (bzw. Beschwerde) als tatsächlich exzessiv oder offenkundig unbegründet, hat sie zwei Reaktionsmöglichkeiten (Art. 57 Abs. 4 DSGVO):

1. Sie kann sich weigern, tätig zu werden,
2. oder eine angemessene Gebühr erheben.

Voraussetzungen dafür:

• Entscheidung muss mit Gründen versehen sein.
• Die Maßnahme muss geeignet, erforderlich und verhältnismäßig sein.
• Alle Umstände des Einzelfalls sind zu berücksichtigen (Art. 129 DSGVO Erwägungsgrund).

Der EuGH fordert hier eine strenge Kontrolle und transparente Begründungspflicht. Es gehe um einen Grundrechtseingriff, der der demokratischen Kontrolle unterliegen müsse.

5. Bedeutung des Urteils für die Praxis

5.1 Für Datenschutzbehörden

• Behörden dürfen bei echten Missbrauchsfällen Maßnahmen ergreifen – sie sind also nicht völlig ausgeliefert.
• Sie müssen jedoch konkrete Missbrauchsabsicht nachweisen.
• Pauschale Verweigerungen aufgrund hoher Fallzahlen sind nicht rechtmäßig.
• Behörden sollten intern Standards und Kriterien entwickeln, wie sie mit wiederholten Beschwerden umgehen.

5.2 Für Betroffene und Beschwerdeführer

• Das Beschwerderecht bleibt geschützt – auch bei häufiger Inanspruchnahme.
• Sorgfalt und Sachlichkeit in der Kommunikation stärken die Position.
• Wiederholte Beschwerden zu unterschiedlichen Themen bleiben zulässig.

5.3 Für Unternehmen

• Unternehmen können sich nicht darauf berufen, dass Beschwerden exzessiv seien – das ist Sache der Behörde.
• Wiederholte Beschwerden von Einzelpersonen können aber Hinweise auf systematische Datenschutzmängel sein.

6. Fazit: Der EuGH zieht klare Linien – und schützt das Grundrecht

Mit dem Urteil vom 09.01.2025 setzt der EuGH wichtige Maßstäbe für das Gleichgewicht zwischen effektiver Rechtsdurchsetzung und administrativer Effizienz:

• Das Grundrecht auf Datenschutz darf nicht durch verwaltungspraktische Erwägungen ausgehebelt werden.
• Behörden sind nicht schutzlos – sie dürfen sich gegen rechtsmissbräuchliche Flut an Beschwerden wehren.
• Gleichzeitig verlangt der EuGH ein hohes Maß an Begründung, Differenzierung und Verhältnismäßigkeit.

Damit sendet das Gericht eine klare Botschaft: Datenschutz ist kein Behördenluxus, sondern ein einklagbares Recht. Und zwar auch dann, wenn es unbequem oder aufwendig wird.

Was Unternehmen jetzt beachten sollten

Auch wenn sich das EuGH-Urteil (C-416/23) in erster Linie auf das Verhältnis zwischen betroffenen Personen und Datenschutzbehörden bezieht, ergeben sich daraus wichtige Handlungsimplikationen für Unternehmen, insbesondere datenverarbeitende Stellen und Verantwortliche im Sinne der DSGVO:

1. Beschwerden ernst nehmen – auch bei Wiederholung

Wird ein Unternehmen mehrfach von derselben Person bei der Datenschutzbehörde gemeldet, ist das kein ausreichender Grund, eine Beschwerde als unzulässig oder „missbräuchlich“ abzutun. Der EuGH betont, dass jede einzelne Eingabe inhaltlich geprüft werden muss – allein die Wiederholung oder Vielzahl reicht nicht aus, um sie abzuwehren.

➡️ Praxis-Tipp: Unternehmen sollten Beschwerden und Anfragen stets sachlich beantworten und sorgfältig dokumentieren – auch bei Vielschreibern.

2. Wiederholte Beschwerden sind oft Hinweis auf strukturelle Mängel

Mehrere Beschwerden innerhalb kurzer Zeit können ein Signal für systematische Schwächen in den Datenschutzprozessen sein – etwa bei der Umsetzung von Auskunftspflichten, Löschersuchen oder der Einhaltung technischer Schutzmaßnahmen.

➡️ Praxis-Tipp: Überprüfen Sie bei wiederkehrender Kritik Ihre internen Abläufe, insbesondere im Bereich Betroffenenrechte (Art. 12 ff. DSGVO).

3. Reaktionspflicht bleibt bestehen – auch bei Vielbeschwerern

Datenschutzbehörden werden in Zukunft noch genauer prüfen, ob Unternehmen bei eingereichten Beschwerden kooperativ mitgewirkt haben. Unternehmen sind verpflichtet, der Behörde alle erforderlichen Informationen zur Verfügung zu stellen (Art. 31 DSGVO).

➡️ Praxis-Tipp: Bereiten Sie sich auf Rückfragen vor – durch konsistente Dokumentation und klare Rollenverteilung im Datenschutz-Management.

4. Kein „Freifahrtschein“ für Behörden – auch Unternehmen profitieren von Verhältnismäßigkeit

Sollte eine Aufsichtsbehörde Ihre Organisation auffordern, mehrfach auf gleichartige oder erkennbar unbegründete Anliegen zu reagieren, haben Sie als Unternehmen das Recht, auf Missbrauchscharakter hinzuweisen – etwa durch überzogene, substanzlose oder drohend formulierte Eingaben.

➡️ Praxis-Tipp: Stimmen Sie sich bei erkennbar missbräuchlichen Verfahren frühzeitig mit einem Anwalt ab, um geeignete Argumente gegenüber der Behörde rechtssicher vorzubereiten.

5. Datenschutzkommunikation stärken

Transparente Kommunikation gegenüber Kunden, Nutzern und Betroffenen trägt dazu bei, unnötige Beschwerden zu vermeiden – gerade bei komplexen Sachverhalten wie Scoring, Profiling oder Videoüberwachung.

➡️ Praxis-Tipp: Investieren Sie in klar verständliche Datenschutzerklärungen, FAQs oder interaktive Tools, die Rechte und Prozesse erläutern.

Fazit für Unternehmen:
Das EuGH-Urteil schützt vor willkürlicher Überforderung durch Beschwerdeflut – es schützt aber auch die Verbraucherrechte mit aller Konsequenz. Unternehmen sollten sich daher nicht auf formale Verteidigungslinien verlassen, sondern in Datenschutzqualität investieren. Wer Transparenz, Dokumentation und proaktive Kommunikation ernst nimmt, ist nicht nur rechtlich auf der sicheren Seite, sondern stärkt auch nachhaltig das Vertrauen seiner Kundschaft.