Wie oft darf ich Anfragen stellen?

Vielleicht interessiert Dich öfters, welche Daten ein bestimmtes Unternehmen von Dir hat und Du möchtest mehrere Anträge stellen. Grundsätzlich gibt die DSGVO keine konkrete Höchstanzahl an möglichen Anträgen vor. Art. 12 Abs. 5 S. 2 DSGVO regelt aber, dass bei exzessiven Anträgen einer Person – insbesondere im Fall häufiger Wiederholung – der Verantwortliche, also das jeweilige Unternehmen, ein angemessenes Entgelt für den erhöhten Verwaltungsaufwand der Bearbeitung der Anfragen verlangen kann (ansonsten erfolgt die Auskunftserteilung ja unentgeltlich) oder sich weigern kann, aufgrund des Antrags tätig zu werden. Ob wiederholte Antragstellungen exzessiv und damit rechtsmissbräuchlich sind richtet sich danach, welches Recht Du geltend machen möchtest.

Recht auf Berichtigung und Recht auf Vergessenwerden

Das Recht auf Berichtigung nach Art. 16 DSGVO sowie das Recht auf Vergessenwerden nach Art. 17 DSGVO kann nur dann erneut geltend gemacht werden, wenn sich auch die betreffende Sachlage geändert hat, Du also beispielsweise von neuen unzutreffenden Daten erfahren hast. Sofern Du aber bezüglich eines bestimmten Datums einen Antrag auf Berichtigung gestellt hast und dieser durch das Unternehmen (positiv oder negativ) beantwortet wurde, kann ein erneuter Antrag darauf wegen exzessiver Geltendmachung zurückgewiesen werden.1 Wenn das Unternehmen auf Deinen Antrag auf Berichtigung oder Löschung nicht antwortet oder diesen ablehnt, ist nicht ein erneuter Antrag mit demselben Inhalt, sondern eine Mahnung bzw. direkt die Beschwerde zu einer Aufsichtsbehörde der richtige Weg, um Deine Rechte durchzusetzen.

Wiederholte Auskunftsanträge

Anders verhält es sich beim Recht auf Auskunft nach Art. 15 DSGVO, da die Sammlung von Daten durch Unternehmen meist ein dynamischer Vorgang ist und sich die Datenlage nach einiger Zeit entsprechend verändern bzw. erweitern kann. Hier muss Dir als Verbraucher die Möglichkeit gegeben werden, Dein Recht auf Auskunft in angemessenen Abständen problemlos wahrnehmen zu können, um die Verarbeitung Deiner Daten und dessen Rechtmäßigkeit regelmäßig zu überprüfen.2 Die DSGVO gibt keine handfeste Frist dafür vor, wann die Geltendmachung „zu häufig“ ist. Der Richtwert für die Zeitspanne hängt stattdessen von den Umständen des Einzelfalls ab.

Häufig wiederholte Auskunftsanträge können etwa exzessiv sein, wenn der beim Verantwortlichen vorhandene Datenbestand ersichtlich nicht Gegenstand einer weiteren Verarbeitung ist und Dir dies – etwa durch eine zurückliegende Auskunft – auch bekannt ist.3 Generell sollte aber angemessen sein, wenn bei dynamischen Datenverarbeitungsvorgängen an das jeweilige Unternehmen eine Anfrage pro Quartal, also alle 3 Monate, gestellt wird.4 Kürzere Zeitabstände können eventuell auch zulässig sein, je nachdem ob nach Deinen Einzelfallumständen berechtigte Gründe (wie z.B. eine kürzliche Interaktion mit dem Unternehmen oder eine laufende Verarbeitung Deiner Daten durch das Unternehmen) für eine erneute Auskunft vorliegen. Dahingehend lässt sich aber keine pauschale Aussage treffen. Unzulässig dürfte es aber sein, wenn noch während der laufenden Bearbeitung einer Auskunftsanfrage (also innerhalb der Regelfrist des Art. 12 Abs. 3 DSGVO von einem Monat, die die Unternehmen haben, um Deine Anfrage zu beantworten) mehrere Anträge auf Zugang zu denselben personenbezogenen Daten gestellt werden.

Bleib’ up to date!

Du kannst Dich so also darüber auf dem Laufenden halten, welche Daten das Unternehmen von Dir sammelt bzw. ob dies rechtmäßig geschieht und Auskunft darüber in dem entsprechenden Zeitabstand, also zumindest quartalsweise, wiederholt beantragen. Andere Ansprüche als den Auskunftsanspruch nach Art. 15 DSGVO kannst Du erneut geltend machen, wenn sich die betreffende Sachlage geändert hat.


  1. Arbeitspapier zu Erläuterungen zu Art. 12 Abs. 5 DSGVO der Bayerischen Landesbeauftragten für Datenschutz, S. 6, abrufbar unter https://www.datenschutz-bayern.de/datenschutzreform2018/AP_ExzessiveAntraege.pdf. ↩︎

  2. Erwägungsgrund 63 der VO (EU) 2016/679 des Europäischen Parlamentes und des Rates vom 27.4.16. ↩︎

  3. Arbeitspapier der BayLfD, S. 6 (vgl. Fn. 1). ↩︎

  4. Franck in Gola, DSGVO 2. Aufl. 2018, Art. 12 Rn. 35. ↩︎

geschrieben von Nadja Rode (Humboldt Law Clinic Internetrecht, Berlin)
am
veröffentlicht unter: Creative Commons Namensnennung 4.0 International Lizenz

Titelfoto angepasst nach: „Letters Write Communication“ von Gerhard Gellinger (Pixabay-Lizenz)