Skip to main contentSkip to footer

DSGVO-Auskunft als Geschäftsmodell? EuGH zieht klare Missbrauchsgrenzen

Mit Urteil vom 19. März 2026 (C-526/24 – „Brillen Rottler“) konkretisiert der Europäische Gerichtshof (EuGH) die Grenzen der Auskunft nach Art. 15 DSGVO und befasst sich dabei insbesondere mit der Frage, wann ein Auskunftsersuchen als Missbrauch einzuordnen ist. Der EuGH stellt klar, dass auch ein erstmaliges Auskunftsersuchen als „exzessiv“ und damit als rechtsmissbräuchlich eingeordnet werden kann – allerdings nur unter strengen Voraussetzungen und bei entsprechendem Nachweis durch den Verantwortlichen. Gleichzeitig bestätigt das Gericht, dass Schadensersatzansprüche nach Art. 82 DSGVO auch bei der bloßen Verletzung von Betroffenenrechten, insbesondere des Auskunftsrechts, in Betracht kommen können. Der EuGH schafft damit erstmals eine klare Grundlage zur Abgrenzung zulässiger Auskunftsersuchen von missbräuchlichen „Claim-Strategien“, setzt die Hürden für deren Annahme jedoch bewusst hoch.

Hintergründe zum DSGVO-Auskunftsanspruch

Dem Urteil liegt ein Verfahren vor dem Amtsgericht Arnsberg zugrunde, das ein in der Praxis zunehmend verbreitetes Konfliktmuster betrifft. Eine betroffene Person hatte sich zunächst für den Newsletter bei dem familiengeführten Optikerunternehmen Brillen Rottler angemeldet und dabei personenbezogene Daten übermittelt. Bereits kurze Zeit später machte sie von ihrem Auskunftsrecht nach Art. 15 DSGVO Gebrauch.

Das Unternehmen sah in diesem Vorgehen kein legitimes Auskunftsersuchen, sondern ein systematisches und missbräuchliches Verhalten. Es argumentierte, die betroffene Person gehe gezielt nach einem bestimmten Muster vor: Anmeldung zu einem Dienst, anschließendes Auskunftsersuchen und sodann die Geltendmachung von Schadensersatzansprüchen. Dieses Vorgehen diene allein dazu, Verstöße zu provozieren und hieraus finanzielle Ansprüche abzuleiten.

Zur Untermauerung dieses Vorwurfs verwies das Unternehmen auf öffentlich zugängliche Informationen, aus denen sich ergeben soll, dass die betroffene Person vergleichbare Auskunftsersuchen gegenüber einer Vielzahl anderer Unternehmen gestellt und in der Folge jeweils Schadensersatzansprüche geltend gemacht habe. Nach Auffassung des Unternehmens belegte dieses systematische Vorgehen, dass das Auskunftsrecht nicht zur Kontrolle der Datenverarbeitung genutzt werde, sondern gezielt zur Generierung von Ansprüchen eingesetzt werde.

Vor diesem Hintergrund erhob das Unternehmen eine Feststellungsklage vor dem Amtsgericht Arnsberg mit dem Ziel, klären zu lassen, dass kein Schadensersatzanspruch besteht. Die betroffene Person machte ihrerseits im Wege der Widerklage einen entsprechenden Schadensersatzanspruch geltend. Das Verfahren wurde damit maßgeblich vom Unternehmen initiiert.

Das Amtsgericht Arnsberg legte dem EuGH zentrale Fragen zur Auslegung der DSGVO vor. Im Kern ging es darum, die Grenzen des Auskunftsanspruchs zu bestimmen, insbesondere im Hinblick auf missbräuchliche Inanspruchnahmen, sowie die Voraussetzungen und Reichweite von Schadensersatzansprüchen nach Art. 82 DSGVO zu klären.

Aussagen des EuGH zum Auskunftsanspruch und Missbrauch

Missbrauchsgrenzen des Auskunftsanspruchs

Im Hinblick auf Art. 12 Abs. 5 DSGVO stellt der Gerichtshof zunächst klar, dass ein Auskunftsersuchen nicht allein deshalb zulässig ist, weil es sich um den ersten Antrag der betroffenen Person handelt. Auch ein erstmaliger Antrag kann „exzessiv“ sein. Maßgeblich ist jedoch nicht die Anzahl der Anträge, sondern deren qualitativer Charakter im konkreten Einzelfall.

Der tragende Maßstab für die Einordnung als exzessiv ist der unionsrechtliche Missbrauchsbegriff. Dieser setzt kumulativ zwei Elemente voraus:

  1. Zum einen müssen objektive Umstände vorliegen, aus denen sich ergibt, dass das mit Art. 15 DSGVO verfolgte Ziel – die Kontrolle der Datenverarbeitung und ihrer Rechtmäßigkeit – tatsächlich nicht erreicht wird.

  2. Zum anderen ist ein subjektives Element erforderlich, nämlich die Absicht der betroffenen Person, sich durch künstliche Schaffung der Voraussetzungen einen Vorteil zu verschaffen.

Der EuGH betont insoweit, dass dieses subjektive Element konkret nachgewiesen werden muss. Weder ein auffälliges Vorgehen noch die bloße Häufung vergleichbarer Anträge genügen für sich genommen. Missbrauch liegt erst vor, wenn der Antrag primär darauf gerichtet ist, die Voraussetzungen eines Anspruchs gezielt herbeizuführen, ohne dass ein echtes Interesse an der Kontrolle der Datenverarbeitung besteht.

Für die Beurteilung ist eine umfassende Würdigung aller Umstände des Einzelfalls erforderlich. Hierzu zählen insbesondere der Kontext der Datenerhebung, der zeitliche Zusammenhang zwischen Datenübermittlung und Auskunftsersuchen sowie das Verhalten der betroffenen Person. Auch öffentlich zugängliche Informationen über ein systematisches Vorgehen können als Indiz herangezogen werden, sind jedoch für sich genommen nicht ausreichend.

Die Darlegungs- und Beweislast für das Vorliegen eines Missbrauchs trägt vollständig der Verantwortliche. Aufgrund des Ausnahmecharakters von Art. 12 Abs. 5 DSGVO sind die Anforderungen an diesen Nachweis hoch.

Schadensersatz bei Verstößen gegen den DSGVO-Auskunftsanspruch

Im zweiten Komplex präzisiert der EuGH die Reichweite des Schadensersatzanspruchs nach Art. 82 DSGVO. Der Gerichtshof stellt ausdrücklich klar, dass dieser Anspruch nicht auf Schäden beschränkt ist, die aus einer Datenverarbeitung resultieren. Art. 82 Abs. 1 DSGVO knüpft vielmehr allgemein an einen „Verstoß gegen diese Verordnung“ an und enthält keine Beschränkung auf Verarbeitungsvorgänge (Rn. 48).

Daraus folgt, dass auch Verstöße gegen Betroffenenrechte einen Schadensersatzanspruch begründen können (Rn. 49). Der EuGH stellt insoweit ausdrücklich klar, dass ein Anspruch auch dann in Betracht kommt, wenn der Verstoß als solcher keine Datenverarbeitung impliziert (Rn. 54).

Gleichzeitig konkretisiert der Gerichtshof die Voraussetzungen des immateriellen Schadens. Ein solcher kann zwar im Verlust der Kontrolle über personenbezogene Daten oder in der Ungewissheit über deren Verarbeitung liegen. Erforderlich bleibt jedoch, dass die betroffene Person einen tatsächlichen Schaden sowie einen Kausalzusammenhang zwischen Verstoß und Schaden nachweist. Ein bloßer Verstoß gegen die DSGVO genügt nicht.

Von besonderer Bedeutung ist schließlich die Klarstellung zur Kausalität. Ein Schadensersatzanspruch kann ausscheiden, wenn der geltend gemachte Schaden maßgeblich auf das Verhalten der betroffenen Person selbst zurückzuführen ist. Dies gilt insbesondere dann, wenn die betroffene Person die Datenverarbeitung bewusst initiiert, um die Voraussetzungen für einen Schadensersatzanspruch zu schaffen.

Auswirkungen auf die Praxis und Handlungsempfehlungen

Die Entscheidung des EuGH eröffnet zwar erstmals eine dogmatisch tragfähige Grundlage zur Abwehr missbräuchlicher Auskunftsersuchen, setzt die Hürden hierfür jedoch bewusst hoch und bestätigt zugleich die weitreichende Bedeutung des Auskunftsanspruchs.

Unternehmen können Auskunftsersuchen weiterhin nicht allein mit dem Argument zurückweisen, sie dienten der Vorbereitung von Schadensersatzansprüchen. Die strategische Nutzung des Auskunftsrechts bleibt grundsätzlich zulässig.

Gleichzeitig macht der EuGH deutlich, dass weder die bloße Häufung von Anträgen noch ein erkennbares Vorgehensmuster automatisch einen Missbrauch begründen. Erforderlich bleibt stets der konkrete Nachweis einer gezielten missbräuchlichen Zweckverfolgung im Einzelfall, was die praktische Durchsetzung entsprechender Einwände erheblich erschwert.

Vor diesem Hintergrund ergeben sich für die Praxis folgende zentrale Konsequenzen und Handlungserfordernisse:

  1. Auskunftsersuchen sollten grundsätzlich fristgerecht und vollständig beantwortet werden. Eine Ablehnung kommt nur in Betracht, wenn konkrete und belastbare Anhaltspunkte für einen Missbrauch vorliegen.

  2. Unternehmen sollten einen strukturierten Prüfprozess etablieren. Dieser sollte insbesondere den Kontext der Datenerhebung, den zeitlichen Ablauf und mögliche Auffälligkeiten im Verhalten der betroffenen Person berücksichtigen.

  3. Entscheidungen – insbesondere Ablehnungen – müssen nachvollziehbar dokumentiert werden. Maßgeblich sind die zugrunde liegenden Indizien sowie die rechtliche Bewertung, da die Beweislast beim Verantwortlichen liegt.

  4. Prozesse zur Bearbeitung von Auskunftsersuchen sollten standardisiert und effizient ausgestaltet sein. Dazu gehören klare Zuständigkeiten sowie definierte Abläufe für Prüfung und Beantwortung. Ziel ist eine vollständige und fristgerechte Bearbeitung. Fehlerhafte, unvollständige oder verspätete Antworten können unmittelbar Schadensersatzansprüche auslösen. Gleichzeitig sollten bei auffälligen Mustern mögliche Verteidigungsansätze geprüft werden.

Fazit zum Auskunftsanspruch und Missbrauch nach der DSGVO

Mit dem Urteil „Brillen Rottler“ konkretisiert der EuGH die Grenzen des Auskunftsanspruchs nach Art. 15 DSGVO erstmals ausdrücklich im Hinblick auf missbräuchliche Inanspruchnahmen. Zwar kann auch ein erstmaliges Auskunftsersuchen exzessiv sein, die Hürden hierfür bleiben jedoch hoch.

Zugleich stellt der Gerichtshof klar, dass bereits die Verletzung von Betroffenenrechten einen Schadensersatzanspruch begründen kann, begrenzt diesen jedoch durch Anforderungen an Schaden und Kausalität.

Für die Praxis bedeutet dies: Der Auskunftsanspruch bleibt weitreichend, Ablehnungen sind die Ausnahme. Zugleich stehen erstmals belastbare Argumentationslinien gegen missbräuchliche Nutzung zur Verfügung. Die abschließende Anwendung dieser Maßstäbe im konkreten Fall obliegt nun dem Amtsgericht Arnsberg, das über das Vorliegen eines Missbrauchs und etwaige Schadensersatzansprüche zu entscheiden hat.

Quellen:

Urteil des EuGH vom 19. März 2026 (C-526/24)
Pressemitteilung des EuGH vom 19. März 2026
Rechtsmissbräuchliche Auskunftsanfragen: . In: Legal Tribune Online, 19.03.2026

Wir unterstützen Unternehmen/Organisationen bei der Konzeption und Umsetzung von Prozessen für die Umsetzung von Betroffenenrechten (z.B. Auskunft und Löschung). Diese Leistungen können individuell projektbasiert im Rahmen der Datenschutzberatung oder im Rahmen der Wahrnehmung der Rolle des externen Datenschutzbeauftragten erfolgen. Kontaktieren Sie uns gerne bei Fragen.

FAQ zum EuGH-Urteil zum DSGVO-Auskunftsanspruch

Wann ist ein Auskunftsersuchen nach der DSGVO missbräuchlich?

Ein Auskunftsersuchen ist nur dann missbräuchlich, wenn zwei Voraussetzungen erfüllt sind: Zum einen muss objektiv erkennbar sein, dass das Auskunftsrecht nicht zur Kontrolle der Datenverarbeitung genutzt wird. Zum anderen muss die betroffene Person gezielt darauf abzielen, sich einen Vorteil zu verschaffen, etwa durch die Generierung von Schadensersatzansprüchen. Beide Voraussetzungen müssen kumulativ vorliegen und sind vom Unternehmen nachzuweisen.

Dürfen Unternehmen Auskunftsersuchen ablehnen?

Grundsätzlich nicht. Unternehmen sind verpflichtet, Auskunftsersuchen zu beantworten. Eine Ablehnung kommt nur in eng begrenzten Ausnahmefällen in Betracht, etwa bei nachweisbarem Missbrauch. Die Anforderungen hierfür sind hoch, und die Beweislast liegt vollständig beim Unternehmen.

Kann Schadensersatz auch ohne rechtswidrige Datenverarbeitung verlangt werden?

Ja. Nach der Entscheidung des EuGH kann ein Schadensersatzanspruch auch dann bestehen, wenn keine rechtswidrige Datenverarbeitung vorliegt. Es genügt bereits die Verletzung von Betroffenenrechten, etwa durch eine unterlassene, verspätete oder unvollständige Auskunft. Voraussetzung bleibt jedoch, dass ein konkreter Schaden und ein Kausalzusammenhang nachgewiesen werden.

 

Kontakt externer Datenschutzbeauftragter

Boris Arendt

Rechtsanwalt Boris Arendt berät StartUps, mittelständische Unternehmen, Konzerne und NGOs in den Bereichen Datenschutz, Cybersecurity, Compliance und IT-Recht sowie bei der Realisierung von digitalen Geschäftsmodellen.

Vorheriger Beitrag
Wie erstelle ich ein Löschkonzept?

Neueste Beiträge

Kontakt aufnehmen
Instagram
LinkedIn