Der EuGH hat entschieden (EuGH, Urteil v. 19.3.2026. – C-526/24), dass auch ein erster Auskunftsantrag nach Art. 15 DSGVO ausnahmsweise als exzessiv im Sinne von Art. 12 Abs. 5 DSGVO qualifiziert werden kann, wenn er missbräuchlich gestellt wurde. Art. 82 Abs. 1 DSGVO erfasst auch Schäden, die allein aus der Verletzung des Auskunftsrechts resultieren. Ein immaterieller Schaden setzt einen konkret nachgewiesenen Kontrollverlust oder eine begründete Ungewissheit voraus.
Sachverhalt
Dem Verfahren lag ein Rechtsstreit zwischen der Brillen Rottler GmbH & Co. KG und einer Privatperson zugrunde, die sich zunächst zum Newsletter des Unternehmens angemeldet und kurz darauf einen Auskunftsantrag nach Art. 15 DSGVO gestellt hatte. Das Unternehmen verweigerte die Auskunft mit der Begründung, der Antrag sei rechtsmissbräuchlich, da der Betroffene systematisch Newsletteranmeldungen nutze, um anschließend Auskunfts- und Schadensersatzansprüche geltend zu machen. Nachdem der Betroffene Schadensersatz wegen Verletzung des Auskunftsrechts verlangte, erhob das Unternehmen eine negative Feststellungsklage. Das Amtsgericht Arnsberg legte dem EuGH mehrere Fragen zur Auslegung von Art. 12 Abs. 5, Art. 15 Abs. 1 und Art. 82 Abs. 1 DSGVO vor.
Entscheidung
Der EuGH stellte zunächst klar, dass der Begriff des „exzessiven Antrags“ unionsrechtlich autonom auszulegen sei und nicht allein an eine häufige Wiederholung von Anträgen anknüpfe. Zwar nenne Art. 12 Abs. 5 DSGVO die wiederholte Antragstellung exemplarisch, schließe aber nach Wortlaut, Systematik und Zweck nicht aus, dass bereits ein erster Antrag exzessiv sein könne. Maßgeblich sei im Ergebnis eine qualitative Gesamtwürdigung aller Umstände des Einzelfalls. Dabei sei zu beachten, dass Art. 12 Abs. 5 DSGVO den allgemeinen unionsrechtlichen Grundsatz zum Ausdruck bringe, dass sich niemand missbräuchlich auf unionsrechtliche Anspruchsgrundlagen berufen dürfe.
Ein Rechtsmissbrauch setze ein objektives und ein subjektives Element voraus. In objektiver Hinsicht müsste festgestellt werden können, dass trotz formaler Einhaltung der Voraussetzungen von Art. 15 Abs. 1 DSGVO das Ziel der Norm – nämlich Transparenz und Kontrolle der Datenverarbeitung – nicht verfolgt wird. In subjektiver Hinsicht müsse der Verantwortliche nachweisen, dass der Antrag nicht zur Information über die Datenverarbeitung, sondern zu einem sachfremden Zweck gestellt wurde, etwa um künstlich die Voraussetzungen für einen Schadensersatzanspruch zu schaffen. Die Beweislast hierfür verortete der EuGH mit Verweis auf Art. 12 Abs. 5 Unterabs. 2 DSGVO ausdrücklich beim Verantwortlichen. Öffentliche Informationen über ein systematisches Vorgehen des Betroffenen könnten grundsätzlich berücksichtigt werden, reichten für sich genommen aber (wohl) nicht aus, sondern müssten durch weitere Indizien gestützt sein.
Im zweiten Teil der Entscheidung befasst sich der EuGH mit Art. 82 DSGVO. Entgegen der Argumentation, dass ein Schadensersatz zwingend eine Datenverarbeitung voraussetze, stellte der EuGH klar, dass Art. 82 Abs. 1 DSGVO grundsätzlich jeden Verstoß gegen die Verordnung erfasse. Auch die Verletzung verfahrensrechtlicher Betroffenenrechte – insbesondere des Auskunftsrechts – könne daher einen ersatzfähigen Schaden begründen. Eine einschränkende Auslegung würde die praktische Wirksamkeit der DSGVO untergraben und die Durchsetzung der Betroffenenrechte schwächen.
Im Hinblick auf einen immateriellen Schaden präzisierte der EuGH seine bisherige Rechtsprechung. Neben einem Verlust der Kontrolle über personenbezogene Daten könne auch die Ungewissheit über deren Verarbeitung einen immateriellen Schaden begründen. Ein Schadensersatzanspruch entstehe jedoch nicht automatisch mit dem in Rede stehenden DSGVO-Verstoß. Der Betroffene müsse vielmehr konkret darlegen und beweisen, dass ihm tatsächlich ein solcher Schaden entstanden ist und dass ein Kausalzusammenhang zwischen Verstoß und Schaden besteht. Zudem – und dies betrifft einen weiteren Aspekt etwaig rechtsmissbräuchlicher Auskunftsverfolgung – könne der notwendige Kausalzusammenhang „unterbrochen“ sein, wenn der Schaden maßgeblich auf dem eigenen Verhalten des Betroffenen beruht, etwa wenn dieser die Situation gezielt herbeigeführt habe.
Anmerkung
Die Entscheidung des EuGH bietet interessante Ansätze für den Umgang mit fragwürdigen Auskunftsanträgen und sog. „Massen- oder Serienanfragen“ (DSGVO-Hopping). Der EuGH eröffnet Verantwortlichen erstmals ausdrücklich die Möglichkeit, auch einen ersten Auskunftsantrag wegen Rechtsmissbrauchs zurückzuweisen. Damit wird ein wichtiger Ansatz zur Verteidigung gegen strategisch motivierte Auskunftsanträge konturiert. Zugleich setzt der EuGH die Hürden allerdings hoch an. Der Missbrauchseinwand ist als eng auszulegende Ausnahme zu begreifen, zumal die Darlegungs- und Beweislast vollständig beim Verantwortlichen verbleibt.
In der Praxis dürfte es daher nur in klar gelagerten Fällen möglich sein, sich erfolgreich auf Art. 12 Abs. 5 DSGVO zu berufen. Pauschale Verweise auf bekannte „Abmahner“ oder allgemein zugängliche Berichte – wie diese auch im Übrigen über Massenabmahner vor allem im lauterkeitsrechtlichen und urheberrechtlichen Bereich in diversen Foren kursieren – dürften insoweit nicht genügen. Wichtig erscheint in jedem Fall eine sorgfältige Dokumentation der konkreten Umstände des Einzelfalls, um eine etwaige Zurückweisung von Auskunftsansprüchen plausibel darlegen zu können. Andernfalls drohen bei unzulässiger Auskunftsverweigerung Schadensersatzansprüche.
Für die Schadensersatzpraxis bestätigt der EuGH den tendenziell weiten Anwendungsbereich von Art. 82 DSGVO. Unternehmen können sich nicht darauf berufen, dass bei einer bloßen Auskunftsverweigerung ein möglicher Schadensersatzanspruch mangels „Datenverarbeitung“ gar nicht erst in Betracht komme. Gleichwohl stärkt das Urteil die Verteidigungsmöglichkeiten, indem es den Nachweis eines tatsächlichen immateriellen Schadens verlangt und eine automatische Kompensation ablehnt. Die Gerichte dürften künftig zu einer kritischen Prüfung dahingehend angehalten sein, ob ein geltend gemachter Kontrollverlust oder eine behauptete Ungewissheit tatsächlich spürbar und kausal auf einen relevanten DSGVO-Verstoß zurückzuführen ist oder ob sie auf einem bewusst herbeigeführten Verhalten des Anspruchstellers beruht.
Die weitere Entwicklung in Sachen Auskunftsanspruch und rechtsmissbräuchliche Geltendmachung ist aufmerksam zu verfolgen. Dies gilt vor allem für die Rezeption der EuGH-Entscheidung in der Praxis. Im Blick zu behalten sind zudem aktuelle Bestrebungen im Rahmen der Digital-Omnibus-Verordnung und Plänen für eine Verschärfung von Art. 12 Abs. 5 DSGVO, um die Verteidigungsmöglichkeiten gegen rechtsmissbräuchliche Auskunftsersuchen zu stärken.
Weitergehende Informationen
Ein Überblick zur Instrumentalisierung datenschutzrechtlicher Auskunftsansprüche und zur Reaktion von EuGH und Gesetzgeber mit Praxishinweisen findet sich hier:
