Die Datenschutzstelle (DSS) publiziert regelmässig Zusammenfassungen datenschutzrechtlich relevanter Gerichtsurteile. Im heutigen Rechtsprechungs-Newsletter finden sich zwei Urteile des Europäischen Gerichtshofs (EuGH). Eines davon ist sehr aktuell und wurde im letzten Newsletter vom 15.12.2025 bereits angekündigt. Das andere Urteil ist schon etwas älter, da aber die DSS in den letzten Monaten drei Fälle von mündlichen Datenübermittlungen zu beurteilen hatte, soll es im heutigen Newsletter ebenfalls vorgestellt werden.
-
EuGH-Urteil vom 19. März 2026, C526/24, Brillen Rottler GmbH & Co. KG gegen TC: Rechtsmissbrauch gegenüber Verantwortlichen
Ein (erster) Antrag auf Auskunft über die eigenen personenbezogenen Daten kann als missbräuchlich eingestuft und zurückgewiesen werden, wenn er allein in der Absicht gestellt wird, anschliessend Schadenersatz wegen eines angeblichen Verstosses gegen die europäische Datenschutz-Grundverordnung (DSGVO) zu fordern.
Eine Person abonnierte den Newsletter des Optikerunternehmens Brillen Rottler und gab dabei ihre personenbezogenen Daten in die Anmeldemaske auf der Internetseite des Unternehmens ein. Bereits 13 Tage später richtete sie einen Auskunftsantrag gemäss Art. 15 DSGVO an Brillen Rottler. Brillen Rottler wies den Antrag zurück, da er missbräuchlich sei. Aus verschiedenen Medienberichten, Blogbeiträgen und Berichten von Rechtsanwälten sei ersichtlich, dass sich der Antragsteller systematisch zu Newslettern verschiedener Unternehmen anmelde, dann Auskunft beantrage und schliesslich Schadensersatz fordere. Der Antragsteller hingegen hielt seinen Auskunftsantrag für legitim und forderte von Brillen Rottler eine Entschädigung von mindestens 1’000 Euro für den immateriellen Schaden, der ihm durch die Zurückweisung des Antrags entstanden sei. Das damit befasste Amtsgericht Arnsberg legte sodann dem EuGH die Frage vor, ob bereits ein erster Antrag auf Auskunft über personenbezogene Daten als «exzessiv» im Sinne von Art. 12 Abs. 5 DSGVO angesehen werden könne und ob die antragstellende Person einen Anspruch auf Ersatz des aus der entsprechenden Verweigerung des Auskunftsrechts entstandenen Schadens habe oder nicht.
Der EuGH entschied, dass auch ein erster Auskunftsantrag unter bestimmten Umständen bereits als exzessiv im Sinne der DSGVO angesehen werden und daher missbräuchlich sein kann. Dies ist gemäss EuGH dann der Fall, wenn der Verantwortliche nachweist, dass trotz formaler Einhaltung der in der DSGVO vorgesehenen Voraussetzungen für die Stellung eines Auskunftsantrags dieser Antrag nicht gestellt wurde, um sich der Datenverarbeitung bewusst zu werden und deren Rechtmässigkeit zu überprüfen, sondern in der als missbräuchlich einzustufenden Absicht, künstlich die Voraussetzungen für die Erlangung von Schadensersatz nach der DSGVO zu schaffen. Mit anderen Worten ist die Rechtsmissbräuchlichkeit eines Antrags grundsätzlich dann als gegeben zu betrachten, wenn er anderen Zwecken dient als dem tatsächlichen Schutz der eigenen Rechte aus der DSGVO.
Um dies jedoch belastbar festzustellen, ist eine zweistufige Prüfung vorzunehmen, nach objektiven (Fakten) und nach subjektiven (Absicht) Kriterien. Bei dieser Beurteilung sind sämtliche Fallumstände zu berücksichtigen, insbesondere ob die betroffene Person die personenbezogenen Daten freiwillig bereitgestellt hat, der Zweck der Bereitstellung dieser Daten, die zwischen der Datenbereitstellung und dem Auskunftsantrag verstrichene Zeit sowie das Verhalten der Person. Dass im vorliegenden Fall die betroffene Person gemäss öffentlichen Informationen bereits mehrere Anträge auf Auskunft über ihre personenbezogenen Daten, gefolgt von Schadensersatzforderungen gegenüber verschiedenen Verantwortlichen, gestellt hat, kann gemäss EuGH für die Feststellung einer missbräuchlichen Absicht berücksichtigt werden. Der EuGH hielt zudem fest, dass eine betroffene Person keinen Schadenersatz nach der DSGVO erhalten kann, wenn ihr eigenes Verhalten die entscheidende Ursache für den Schaden ist.
(Die Zusammenfassung ist weitgehend der offiziellen Pressemitteilung Nr. 38/26 vom 19. März 2026 entnommen.) - EuGH-Urteil vom 7. März 2024, C-740/22, Endemol Shine Finland Oy: Mündliche Übermittlung von Daten
Auch eine mündliche Übermittlung von Daten ist eine Verarbeitung von personenbezogenen Daten im Sinne von Art. 4 Ziff. 2 DSGVO, wenn diese Informationen in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
Die Klägerin, Endemol Shine Finland, wollte die strafrechtliche Vorgeschichte einer Person feststellen, die an einem von ihr organisierten Wettbewerb teilnahm, und beantragte dazu bei einem finnischen Gericht mündlich Auskunft über möglicherweise verhängte oder bereits verbüsste Strafen dieser Person. Das Gericht wies diesen Antrag jedoch zurück. Die Klägerin legte dagegen Berufung ein und machte geltend, dass die mündliche Mitteilung der angefragten Informationen keine Verarbeitung personenbezogener Daten im Sinne von Art. 4 Ziff. 2 DSGVO darstelle, weshalb die Bestimmungen der DSGVO nicht anwendbar seien. Das Berufungsgericht legte darauf dem EuGH unter anderem die Frage vor, ob es sich bei einer mündlichen Übermittlung überhaupt um eine Verarbeitung personenbezogener Daten im Sinne der DSGVO handelt oder nicht.
Der EuGH entschied, dass auch eine mündliche Übermittlung eine Verarbeitung personenbezogener Daten im Sinne von Art. 4 Ziff. 2 DSGVO darstellt, wenn diese Informationen in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Dabei ist es gemäss EuGH unerheblich, ob die anfragende Person ein Unternehmen oder eine Privatperson ist. Ebenso unerheblich ist die Form des Dateisystems (physisch oder elektronisch) und auch der Begriff «Dateisystem» ist gemäss EuGH weit zu fassen.
Anmerkung der DSS: Auch eine mündliche Weitergabe personenbezogener Daten kann unter die DSGVO fallen. Der EuGH stellt klar, dass «Verarbeitung» sehr weit zu verstehen ist und ausdrücklich auch nicht-automatisierte Vorgänge wie Gespräche umfasst. Die DSGVO gilt für mündliche Übermittlungen immer dann, wenn die Daten aus einem Dateisystem stammen oder darin gespeichert werden sollen. «Dateisystem» wird ebenfalls weit ausgelegt: Es reicht jede strukturierte Sammlung, in der Informationen leicht wieder auffindbar sind – egal ob digital oder auf Papier. Somit ist auch bei einer mündlichen Weitergabe von personenbezogenen Daten Vorsicht geboten, da die DSGVO in vielen Fällen anwendbar bleibt. Die DSS hatte die eingangs erwähnten drei Fälle im Sinne dieser Rechtsprechung des EuGH ausnahmslos als Datenverarbeitung gemäss DSGVO eingestuft.
Hinweis: Eine umfassende Zusammenstellung relevanter Rechtsprechung im Datenschutzbereich finden Sie im Judikaturspiegel der Datenschutzstelle.