Die Datenschutzstelle (DSS) publiziert regelmässig kurze Zusammenfassungen datenschutzrechtlich relevanter Gerichtsurteile. Im heutigen Rechtsprechungs-Newsletter finden sich vier Entscheidungen nationaler Gerichte in Europa, welche jüngst für eine weitere Konkretisierung der Auslegung der europäischen Datenschutz-Grundverordnung (DSGVO) und indirekt auch des liechtensteinischen Datenschutzgesetzes (DSG) sorgten. Im Anschluss an die Entscheidungen findet sich zumeist noch eine entsprechende Einordnung bzw. Anmerkung durch die DSS. Diesmal liegt der Fokus auf den Schranken bei der Geltendmachung von Betroffenenrechten. So mancher Verantwortliche könnte diesen Newsletter deshalb als kleines Weihnachtsgeschenk empfinden.
- AG Mainz, Urteil vom 27. März 2025 – 88 C-200/24: Schranken bei der Geltendmachung von Betroffenenrechten – Gewinnerzielungsabsicht
Steht eine Gewinnerzielungsabsicht hinter der Ausübung eines Betroffenenrechts, so ist die Geltendmachung des jeweiligen Rechts als missbräuchlich zu qualifizieren.
Das Amtsgericht Mainz wies die Klage eines Betroffenen unter anderem auf Auskunft und Löschung seiner personenbezogenen Daten ab. Es hielt fest, dass der Kläger sachfremde Motive, konkret die Generierung von Einkünften, verfolge. Die Klage diene deshalb nicht dem eigenen Schutz, sondern ausschliesslich der Gewinnerzielung, weswegen ein Rechtsmissbrauch vorliege und die Klage abzuweisen sei. Die Gewinnerzielungsstrategie lag darin, dass der Kläger auf zahlreichen Webseiten nach (vermeintlichen) DSGVO-Mängeln suchte und zur Behebung seine Dienste anbot. Wenn er nicht gebucht wurde, machte er seine Betroffenenrechte geltend, um über den dadurch aufgebauten Druck doch noch zu einem Vertragsabschluss zu kommen; zu Unrecht, wie das Gericht befand. Es stützte sich in seinem Urteil auf §§ 226 und 242 BGB (Schikaneverbot und Leistung nach Treu und Glauben) sowie auf die Rechtsprechung des EuGH zum Rechtsmissbrauch.
Der EuGH hält den Einwand des Rechtsmissbrauchs nach nationalem Recht grundsätzlich für zulässig, soweit er die volle Wirksamkeit des Unionsrechts und dessen einheitliche Anwendung nicht beeinträchtigt; insbesondere die mit dem Unionsrecht verfolgten Zwecke dürfen nicht vereitelt werden (EuGH, Urteil vom 12.03.1996 - C-441/93, Rn. 68).
Das Verbot des Rechtsmissbrauchs ist auch in der DSGVO selbst, konkret in Art. 12 Abs. 5 DSGVO abgebildet, der gerade für die Ansprüche nach Art. 15 (Auskunft) und Art. 17 (Löschung) DSGVO unmittelbare Relevanz aufweist. Hiernach kann der Verantwortliche bei offenkundig unbegründeten oder - insbesondere im Fall von häufiger Wiederholung - exzessiven Anträgen einer betroffenen Person das Tätigwerden verweigern oder ein angemessenes Entgelt verlangen.
Für Verantwortliche bildet somit Art. 12 Abs. 5 DSGVO die Rechtsgrundlage für die Einrede der Rechtsmissbräuchlichkeit. Aufsichtsbehörden hingegen müssen sich auf Art. 57 Abs. 4 DSGVO stützen, wenn sie einem Beschwerdeführer die Rechtsmissbräuchlichkeit entgegenhalten wollen. Mehr zu Art. 57 Abs. 4 DSGVO im nachstehenden Urteil BVwG vom 26. August 2025.
Anmerkung der DSS: In Liechtenstein ist das Rechtsmissbrauchsverbot jeweils in Art. 2 Abs. 2 des Personen- und Gesellschaftsrechts sowie des Sachenrechts verankert. Somit gelten in Liechtenstein vergleichbare Normen zum Rechtsmissbrauch wie in Deutschland. Zudem wird die Rechtsprechung des EuGH bei datenschutzrechtlichen Sachverhalten in Liechtenstein regelmässig herangezogen. Daher ist davon auszugehen, dass ein ähnlich gelagerter Fall in Liechtenstein wohl gleich entschieden und somit die Geltendmachung eines Betroffenenrechts nach der DSGVO zum Zweck der Gewinnerzielung ebenfalls keinen Schutz finden würde.
Generell wird das Rechtsmissbrauchsverbot im Datenschutz von den Gerichten jedoch sehr restriktiv angewandt und wurde bisher nur in schwerwiegenden Einzelfällen anerkannt. Im nächsten Urteil findet sich jedoch eine weitere Konkretisierung der Rechtsmissbräuchlichkeit durch das österreichische Bundesverwaltungsgericht. - Urteil BVwG vom 26. August 2025, W252 2307842-1: Schranken bei der Geltendmachung von Betroffenenrechten – Feindseligkeit
Von Feindseligkeit motivierte Datenschutzbeschwerden können als missbräuchliche Ausübung von Betroffenenrechten qualifiziert werden.
Ein Beschwerdeführer hatte innerhalb von knapp neun Monaten 19 Datenschutzbeschwerden sowie eine ältere aus 2021 gegen 12 verschiedene Beschwerdegegner eingebracht. Die österreichische Datenschutzbehörde (DSB) lehnte die Behandlung aller 20 Beschwerden mit der Begründung ab, dass es sich um missbräuchliches und exzessives Verhalten des Beschwerdeführers handle. Der Beschwerdeführer bekämpfte diese Entscheidung beim österreichischen Bundesverwaltungsgericht (BVwG).
Das BVwG prüfte in der Folge, ob die Ablehnung der Bearbeitung der Beschwerden durch die DSB rechtmässig war. Das Gericht stellte fest, dass die Beschwerden neben kurzen Ausführungen zur vorgebrachten Datenschutzverletzung zumeist zahlreiche Anschuldigungen gegenüber den jeweiligen Beschwerdegegnern beinhalten würden und in einer provokanten, angriffigen und zum Teil beleidigenden Sprache verfasst seien. Der Beschwerdeführer verfolge mit seinen Beschwerden den primären Zweck, die belangte Behörde zu behelligen und seinen Unmut gegenüber anderen Personen, Behörden und Unternehmen kundzutun. Er nutze die Beschwerden dazu, es diesen Stellen/Personen heimzuzahlen und sei diesen sowie der belangten Behörde gegenüber feindselig gestimmt. Zwar sei das grundsätzliche Begehren des Beschwerdeführers hinsichtlich Datenschutz durchaus erkennbar, allerdings rücke es aufgrund der angriffigen und feindseligen Formulierungen geradezu in den Hintergrund. Der Beschwerdeführer fühle sich stets ungerecht behandelt bzw. gekränkt und nutze die Datenschutzbeschwerde als Vergeltungsmassnahme. Dies zeige sich insbesondere daran, dass er fast ausnahmslos eine «möglichst hohe Strafe» fordere.
Wenn man den europarechtlichen Rechtsgrundsatz bedenke, wonach sich Bürger nicht in betrügerischer oder missbräuchlicher Weise auf unionsrechtliche Normen berufen dürfen (vgl. EuGH 09.01.2025, C-416/23, Österreichische Datenschutzbehörde [Exzessive Anfragen], Rz. 49), dann werde deutlich, dass eine Datenschutzbeschwerde von einem Beschwerdeführer nicht dazu benutzt werden dürfe, seinen Unmut kundzutun, Personen und Behörden zu beleidigen und seine Feindseligkeit gegenüber diesen auszuleben. Der Beschwerdeführer verfolge damit keinen von datenschutzrechtlichen Bestimmungen geschützten Zweck. Derartige sachfremde Motive (etwa Publicity, Feindseligkeit, Sensationslust) würden von der Rechtsprechung explizit als missbräuchlich angeführt (vgl. VwGH 29.01.2025, Ra 2022/04/0049, Rz. 31 bezüglich der «Feindseligkeit»). Der Datenschutz könne nicht als Vorwand dazu dienen, Feindseligkeiten gegenüber Personen/Stellen und Behörden auszuleben.
Zudem befände sich der Beschwerdeführer in einer finanziell angespannten Lage, sodass Gebühren als Alternative zur Ablehnung nicht sinnvoll gewesen wären. Die Eignung der Gebühreneinhebung sei nämlich etwa dann zu verneinen, wenn die Vollstreckbarkeit der Gebührenvorschreibung auf Grund der finanziellen Lage der beschwerdeführenden Partei zweifelhaft sei (vgl. VwGH 29.01.2025, Ra 2023/04/0002, Rz. 25).
Gemäss Art. 57 Abs. 4 DSGVO dürfe eine DSB Beschwerden ablehnen, wenn sie exzessiv oder offenkundig unbegründet seien. Exzessiv sei eine Beschwerde insbesondere dann, wenn eine Missbrauchsabsicht vorliege. Das BVwG kam in der Gesamtbetrachtung zum Ergebnis, dass der Beschwerdeführer die Beschwerden nicht primär zum Schutz seiner Daten, sondern aus Feindseligkeit, Gekränktheit und Vergeltungsabsicht einbrachte. Die Datenschutzbeschwerden des Beschwerdeführers seien somit im Sinne der zitierten Rechtsprechung des EuGH und VwGH rechtsmissbräuchlich und exzessiv im Sinne von Art. 57 Abs 4 DSGVO und die DSB durfte ihre Behandlung daher zurecht verweigern.
Anmerkung der DSS: Dieses Urteil des BVwG ist insbesondere vor dem Hintergrund des EuGH-Urteils vom 9. Januar 2025, Rs C-416/23 bemerkenswert, weil darin eine Anzahl von 77 Beschwerden innert 20 Monaten vom EuGH als nicht rechtsmissbräuchlich qualifiziert wurde. Er hielt darin fest, dass eine hohe Zahl von Eingaben allein nicht ausreiche, um eine Missbräuchlichkeit zu indizieren. Vielmehr setze Art. 57 Abs. 4 DSGVO voraus, dass die Aufsichtsbehörde das Vorliegen einer Missbrauchsabsicht der anfragenden Person sowohl in subjektiver als auch in objektiver Hinsicht nachweise. Art. 57 Abs. 4 DSGVO widerspiegle dabei die ständige Rechtsprechung des EuGH zum allgemeinen Rechtsgrundsatz, wonach sich Bürger nicht in betrügerischer oder missbräuchlicher Weise auf unionsrechtliche Normen berufen dürfen. Zur Auslegung des Begriffs «exzessiver Charakter» einer Beschwerde stellte der EuGH fest, dass eine Missbrauchsabsicht bei der Ausübung des Beschwerderechts vorliege, wenn eine Person Beschwerden einreiche, ohne dass dies objektiv erforderlich sei, um ihre Rechte aus der DSGVO zu schützen. Reiche eine betroffene Person eine grosse Zahl von Beschwerden bei der Aufsichtsbehörde ein, müsse die Behörde somit nachweisen, dass «diese Zahl nicht durch den Wunsch der betroffenen Person zu erklären ist, ihre Rechte aus der DSGVO zu schützen, sondern durch einen anderen Zweck, der in keinem Zusammenhang mit diesem Schutz steht». Die Verweigerung der Bearbeitung (oder die Erhebung von Verwaltungskosten) müsse jedoch die Ausnahme bleiben.
Das Urteil des BVwG vom 26. August 2025 bestätigt somit, dass die reine Anzahl der Beschwerden eine untergeordnete Rolle spielt. Obwohl es sich gegenständlich «nur» um 20 Beschwerden innert einiger Monate handelte, sah das BVwG die Missbrauchsabsicht des Beschwerdeführers als erwiesen an und bestätigte deswegen die Entscheidung der DSB.
Noch weiter geht es in der aktuell beim EuGH anhängigen Rechtssache C‑526/24, Brillen Rottler GmbH & Co. KG gegen TC. Den Schlussanträgen des Generalanwalts vom 18. September 2025 ist zu entnehmen, dass selbst ein erster Auskunftsantrag als exzessiv eingestuft werden kann, wobei die Anforderungen an diese Qualifizierung hoch zu sein haben. Auch hier geht es somit bei der Frage nach dem exzessiven Charakter bzw. der Rechtsmissbräuchlichkeit eines Antrags offensichtlich nicht um die Anzahl, sondern es ist vielmehr stets eine zweistufige Prüfung (objektives und subjektives Element) vorzunehmen. Dass eine betroffene Person ihren Auskunftsantrag nicht begründen müsse, bedeute nicht, dass die von ihr verfolgte Absicht immer unberücksichtigt bleiben müsse. Beim subjektiven Element ist somit die Absicht der betroffenen Person zu ermitteln und je nachdem hat dies eine Qualifizierung als rechtsmissbräuchliche bzw. exzessive Ausübung von Betroffenenrechten zur Folge oder nicht. Nach Ansicht des Generalanwalts sind die massgeblichen objektiven Umstände bei Beschwerden (DSB, Art. 57 Abs. 4 DSGVO) und Auskunftsanträgen (Verantwortlicher, Art. 12 Abs. 5 DSGVO) nicht deckungsgleich. - Rb. Den Haag – Urteil C/09/677435/ HA RK 24-660 vom 28. August 2025: Schranken bei der Geltendmachung von Betroffenenrechten – Entfernung aus Suchergebnissen
Suchmaschinen müssen eine URL zu einem zutreffenden, öffentlich relevanten Artikel über strafrechtliche Verurteilungen nicht löschen, wenn das Informationsinteresse der Öffentlichkeit das Recht auf Vergessen überwiegt.
Das Bezirksgericht erster Instanz in Den Haag lehnte den Antrag einer betroffenen Person ab, Google anzuweisen, eine URL aus den Suchergebnissen zu entfernen, die auf einen Artikel verweist, der Informationen über ihre strafrechtlichen Verurteilungen enthält. Das Gericht war der Ansicht, dass das Recht der Öffentlichkeit auf Information schwerer wiegt als die Persönlichkeitsrechte der betroffenen Person, zumal die Informationen im Artikel aktuell und korrekt waren.
Nach Auffassung des Gerichts ist die Verarbeitung personenbezogener Daten durch eine Suchmaschine gemäss Art. 6 Abs. 1 Bst. f DSGVO grundsätzlich zulässig. Ein Anspruch auf Löschung nach Art. 17 DSGVO besteht nur, wenn die Verarbeitung gegen die DSGVO verstösst, z.B. aufgrund weggefallener Erforderlichkeit oder Rechtsgrundlage, oder ein anderer in Art. 17 Abs. 1 DSGVO aufgeführter Grund erfüllt ist. Art. 17 Abs. 3 Bst. a DSGVO schliesst das Löschrecht jedoch aus, wenn die Verarbeitung zur Wahrung der Meinungs- und Informationsfreiheit erforderlich ist.
Das Gericht betonte, dass Suchmaschinen nicht für die Inhalte Dritter verantwortlich sind, sondern nur für die Anzeige der Links. Bei Löschanträgen nach Art. 17 DSGVO muss eine Abwägung zwischen Datenschutz und Informationsfreiheit erfolgen. Nur bei nachweislich falschen oder irreführenden Informationen überwiegen die Persönlichkeitsrechte.
Bezüglich Art. 10 DSGVO stellte das Gericht klar, dass Daten über strafrechtliche Verurteilungen zwar besonders geschützt sind, dieser Schutz aber nicht absolut ist und gegen das Informationsinteresse der Öffentlichkeit abzuwägen ist.
Da die betroffene Person keine wesentlichen Ungenauigkeiten im Artikel belegen konnte und der Artikel aktuelle, für die Öffentlichkeit relevante Themen behandelte, lehnte das Gericht den Antrag ab. Die URL durfte somit in den Suchergebnissen von Google verbleiben.
- Rb. Midden-Nederland – Urteil UTR 24/4589 vom 13. Mai 2025: Schranken bei der Geltendmachung von Betroffenenrechten – Berichtigungsrecht
Nach Art. 16 DSGVO kann nur berichtigt werden, was objektiv falsch ist, nicht aber subjektive Einschätzungen oder Meinungen.
Eine betroffene Person stellte Antrag auf Berichtigung eines Berichts der niederländischen Kinderschutzbehörde über ihre Erziehungsfähigkeit. Sie war der Ansicht, der Bericht enthalte sachliche Fehler und verwende irreführende Begriffe wie «psychiatrische Probleme» oder «Substanzkonsum».
Die Behörde lehnte den Antrag grösstenteils ab. Sie argumentierte, die beanstandeten Aussagen seien grösstenteils keine objektiven Tatsachen, sondern Eindrücke, Meinungen oder Einschätzungen von Fachleuten oder des Kindsvaters. Solche Inhalte könnten nach Art. 16 DSGVO nicht berichtigt werden. Lediglich eine kleine Änderung («psychiatrische» in «psychologische Probleme») wurde vorgenommen.
Das Gericht bestätigte diese Entscheidung der Kinderschutzbehörde. Berichtigungen seien nur möglich, wenn die Unrichtigkeit klar und objektiv nachweisbar sei. Meinungen, Bewertungen, Forschungsergebnisse oder subjektive Eindrücke könnten nicht berichtigt, sondern allenfalls ergänzt oder kommentiert werden. Auch die von der betroffenen Person gewünschten Ergänzungen (z.B. zur Zeitleiste) musste die Behörde nicht übernehmen, da sie teils andere Personen betrafen oder keine objektiv falschen Daten darstellten. Der Begriff «Substanzkonsum» wurde vom Gericht nicht als falsch qualifiziert, da nicht objektiv feststellbar war, ob er die Situation unzutreffend wiedergab. Die Ablehnung der Datenberichtigung durch die Kinderschutzbehörde war somit rechtmässig.
Anmerkung der DSS: In dieselbe Kerbe schlägt auch das österreichische Bundesverwaltungsgericht mit seinem Erkenntnis BVwG – W256 2278150-1 vom 6. Oktober 2025, in welcher es entschied, dass eine medizinische Diagnose eine subjektive fachliche Meinung und keine Tatsacheninformation ist, weswegen sie nicht dem Recht auf Berichtigung nach Art. 16 DSGVO unterliegt. «Unrichtig» sei ein objektives Kriterium und bedeute, dass die über die betroffene Person gespeicherte (oder sonst verarbeitete) Information nicht mit der Realität übereinstimmen würden. Dieses Kriterium sei nur bei Tatsachenangaben anwendbar, nicht aber bei Werturteilen.
Hinweis: Eine umfassende Zusammenstellung relevanter Rechtsprechung im Datenschutzbereich finden Sie im Judikaturspiegel der Datenschutzstelle.