Kann schon ein erstmaliges Auskunftsersuchen nach Art. 15 DSGVO rechtsmissbräuchlich sein, wenn es nur auf Schadensersatz abzielt? Zu dieser Frage fällte der Europäische Gerichtshof (EuGH) ein wichtiges Urteil und klärte zugleich, ob auch die bloße Verletzung des Auskunftsrechts bereits einen immateriellen Schaden begründen kann (Urteil vom 19. März 2026, Az.: C‑526/24).
Der Sachverhalt
Ein österreichischer Verbraucher meldete sich für den Newsletter des deutschen Optikerunternehmens Brillen Rottler an und stellte kurz danach einen Auskunftsantrag nach Art. 15 Datenschutz-Grundverordnung (DSGVO).
Das Unternehmen verweigerte die Auskunft mit der Begründung, der Antrag sei rechtsmissbräuchlich. Der Betroffene habe offenbar systematisch Newsletteranmeldungen genutzt, um anschließend Auskunft und Schadensersatz zu verlangen.
Der Fall gelangte über das Amtsgericht Arnsberg zum Europäischen Gerichtshof, der mehrere Grundsatzfragen zu exzessiven Auskunftsanträgen, Rechtsmissbrauch und Schadensersatz klärte.
Aktuelle Urteile zur DSGVO
In unseren regelmäßigen Besprechungen von Urteilen zum Datenschutzrecht erklären wir Ihnen die Konsequenzen für den Unternehmensalltag.
Das Urteil
Der EuGH bestätigt erstmals ausdrücklich, dass ein erstes Auskunftsersuchen missbräuchlich sein kann. Entscheidend sei nicht die Anzahl der Anfragen, sondern die Absicht, mit der sie gestellt werden. Demnach ist ein Antrag exzessiv, wenn er nicht der Transparenz dient, sondern allein darauf abzielt, die Voraussetzungen für eine Schadensersatzforderung künstlich zu schaffen.
Der Gerichtshof betont jedoch, dass die Anforderungen für den Missbrauchsnachweis hoch sind.
Unternehmen dürfen hierfür auch öffentlich zugängliche Quellen berücksichtigen, aus denen hervorgeht, dass eine Person in vielen vergleichbaren Fällen gleich vorgeht. Solche Informationen sind zwar kein alleiniger Beweis, können aber ein wichtiges Indiz im Rahmen einer Gesamtbewertung darstellen.
Relevant sind zudem
- der Zeitpunkt der Datenübermittlung,
- der zeitliche Abstand zur Anfrage sowie
- das Verhalten des Betroffenen vor und nach dem Antrag.
Darüber hinaus stellt der EuGH klar, dass Schadensersatz nach Art. 82 DSGVO auch dann verlangt werden kann, wenn der Schaden allein aus der Verletzung des Auskunftsanspruchs resultiert. Eine rechtswidrige Verarbeitung ist hierfür nicht erforderlich.
Als immateriellen Schaden erkennt der Gerichtshof sowohl einen Kontrollverlust über personenbezogene Daten als auch eine Ungewissheit über deren Verarbeitung an, sofern diese Beeinträchtigung tatsächlich eingetreten ist und nicht durch das Verhalten der betroffenen Person selbst verursacht wurde.
Datenschutzrechtliche Einschätzung
Für Unternehmen schafft das Urteil wertvolle Orientierung.
Es bleibt dabei, dass das Auskunftsrecht ein zentrales Instrument der Transparenz ist und durch Verantwortliche grundsätzlich großzügig gehandhabt werden muss. Zugleich zeigt der EuGH, dass Verantwortliche nicht schutzlos gegenüber missbräuchlichen Auskunftsanträgen sind – und das bereits bei erstmaligen Anfragen.
Unternehmen können eine Anfrage zurückweisen, wenn sie plausibel und nachvollziehbar belegen, dass der Betroffene das Verfahren instrumentalisiert. Die Hürden bleiben jedoch hoch, denn der EuGH verlangt einen zweistufigen Nachweis:
- objektive Umstände, die auf ein künstliches Herbeiführen der Situation hindeuten, und
- ein subjektives Element, das die missbräuchliche Absicht erkennbar macht.
Gleichzeitig stärkt der EuGH die Betroffenenrechte, indem er klarstellt, dass die Nichtbeantwortung legitimer Auskunftsanträge zu Schadensersatz führen kann – selbst ohne zugrundeliegende rechtswidrige Verarbeitung. Für Unternehmen bedeutet das, dass unzulässige Ablehnungen teuer werden können.
Zudem macht das Urteil deutlich, dass immaterielle Schäden zwar keinen hohen Erheblichkeitsschwellen unterliegen, aber konkret nachgewiesen werden müssen. Verantwortliche sollten daher sorgfältig bewerten, ob der geltend gemachte Schaden plausibel auf den behaupteten Verstoß zurückzuführen ist.
Fazit
Der EuGH bringt erstmals klare Kriterien gegen das bislang schwer nachweisbare sogenannte DSGVO‑Hopping.
Für die Praxis bedeutet dies, dass Unternehmen bereits ein erstes Auskunftsersuchen kritisch prüfen dürfen, wenn deutliche Hinweise dafür vorliegen, dass es nur gestellt wurde, um Schadensersatz zu erlangen. In der Praxis betrifft dies insbesondere Fälle, in denen ein Auskunftsersuchen ungewöhnlich schnell nach der Datenerhebung erfolgt, öffentliche Quellen ein massenhaftes Vorgehen belegen oder das Verhalten des Betroffenen ein klares Muster erkennen lässt.
Gleichzeitig bleibt das Risiko bestehen, dass eine unberechtigte Ablehnung zu Schadensersatz führt – einschließlich immaterieller Schäden wie dem Verlust der Kontrolle oder der Ungewissheit über die Datenverarbeitung.
Unternehmen sollten daher ihre internen Prozesse für Auskunftsersuchen anpassen. Dazu gehören eine strukturierte Erstprüfung, die sorgfältige Dokumentation aller Indizien, ein klares Fristenmanagement (auch der Einwand der Rechtsmissbräuchlichkeit kann verfristet sein) und juristisch belastbare Entscheidungswege sowie deren gründliche Dokumentation.
Die Entscheidung des EuGHs zeigt, dass die DSGVO Betroffenenrechte effektiv schützt, dass darauf basierenden missbräuchlichen Geschäftsmodellen aber zunehmend ein Riegel vorgeschoben wird, damit die Betroffenenrechte nicht entgegen der rechtlichen Zweckbestimmung ausgehöhlt werden.