Aus meiner Sicht ist dies eines der wichtigsten DSGVO-Urteile der letzten Jahre zum Auskunftsrecht nach Art. 15 DSGVO, weil der EuGH erstmals ausdrücklich anerkennt, dass sogar ein erstmaliger Auskunftsantrag rechtsmissbräuchlich und damit „exzessiv“ sein kann. Gleichzeitig stärkt das Gericht die Schadensersatzansprüche Betroffener bei Verletzungen des Auskunftsrechts.
EuGH stärkt Unternehmen bei missbräuchlichen Auskunftsanträgen – und Betroffene beim Schadensersatz
Das Auskunftsrecht nach Art. 15 DSGVO gehört zu den wichtigsten Rechten betroffener Personen. Unternehmen erleben jedoch zunehmend Fälle, in denen Auskunftsanträge offenbar nicht gestellt werden, um die Rechtmäßigkeit einer Datenverarbeitung zu überprüfen, sondern um anschließend Schadensersatzansprüche geltend zu machen. Mit seinem Urteil vom 19. März 2026 (C-526/24 – Brillen Rottler) hat der Europäische Gerichtshof nun erstmals klare Leitlinien für den Umgang mit solchen Fällen geschaffen.
Gleichzeitig stärkt das Urteil die Rechte betroffener Personen, indem es bestätigt, dass Verstöße gegen das Auskunftsrecht selbst Schadensersatzansprüche auslösen können.
Worum ging es im Verfahren?
Ausgangspunkt war ein Rechtsstreit zwischen dem Optikerunternehmen Brillen Rottler und einem Verbraucher.
Der Betroffene hatte sich zunächst für den Newsletter des Unternehmens angemeldet und dabei seine personenbezogenen Daten angegeben. Bereits 13 Tage später stellte er einen Auskunftsantrag nach Art. 15 DSGVO. Das Unternehmen verweigerte die Auskunft mit der Begründung, der Antrag sei rechtsmissbräuchlich. Hintergrund waren öffentlich zugängliche Informationen, wonach der Betroffene bereits in zahlreichen vergleichbaren Fällen zunächst Newsletter abonniert, anschließend Auskunft verlangt und schließlich Schadensersatzansprüche geltend gemacht haben soll.
Der Betroffene hielt dagegen und verlangte unter anderem Schadensersatz wegen der verweigerten Auskunft.
Das Amtsgericht Arnsberg legte dem EuGH daraufhin mehrere Fragen zur Auslegung der DSGVO vor. Im Mittelpunkt standen insbesondere folgende Themen:
- Kann bereits ein erstmaliger Auskunftsantrag exzessiv sein?
- Wann liegt ein Rechtsmissbrauch vor?
- Können Verstöße gegen das Auskunftsrecht Schadensersatzansprüche auslösen?
- Wann liegt ein immaterieller Schaden vor?
Erstmaliger Auskunftsantrag kann exzessiv sein
Die wohl wichtigste Aussage des Urteils betrifft Art. 12 Abs. 5 DSGVO.
Bislang wurde häufig angenommen, dass nur wiederholte oder massenhafte Anfragen als exzessiv angesehen werden können. Der EuGH stellt nun klar, dass auch ein erster Auskunftsantrag exzessiv sein kann. Entscheidend ist nicht die Anzahl der Anträge, sondern die dahinterstehende Absicht.
Der Gerichtshof betont jedoch, dass dies eine Ausnahme bleiben muss. Die Hürden für den Nachweis eines Rechtsmissbrauchs sind hoch und die Beweislast liegt vollständig beim Verantwortlichen.
Wann liegt Rechtsmissbrauch vor?
Nach Auffassung des EuGH muss der Verantwortliche nachweisen, dass der Betroffene das Auskunftsrecht nicht ausübt, um sich über die Verarbeitung seiner Daten zu informieren oder deren Rechtmäßigkeit zu überprüfen.
Vielmehr muss feststehen, dass der Antrag allein oder überwiegend dazu dient, künstlich die Voraussetzungen für die Geltendmachung weiterer Ansprüche – insbesondere Schadensersatzansprüche – zu schaffen.
Dabei dürfen Gerichte sämtliche Umstände des Einzelfalls berücksichtigen. Dazu gehören beispielsweise:
- die freiwillige Übermittlung der Daten,
- der zeitliche Abstand zwischen Dateneingabe und Auskunftsantrag,
- das Verhalten des Betroffenen,
- sowie öffentlich zugängliche Informationen über vergleichbare Vorgehensweisen in anderen Fällen.
Für Unternehmen bedeutet dies, dass der Einwand des Rechtsmissbrauchs künftig zwar möglich ist, aber nur in klar belegbaren Ausnahmefällen Erfolg haben wird.
Schadensersatz auch bei Verletzung des Auskunftsrechts
Ebenso bedeutsam ist die zweite Kernaussage des Urteils.
Der EuGH stellt ausdrücklich fest, dass Schadensersatzansprüche nach Art. 82 DSGVO nicht auf Verstöße beschränkt sind, die unmittelbar mit einer Datenverarbeitung zusammenhängen. Auch die Verletzung des Auskunftsrechts nach Art. 15 DSGVO kann einen Schadensersatzanspruch begründen.
Das bedeutet: Verweigert ein Unternehmen eine berechtigte Auskunft oder beantwortet einen Auskunftsantrag nicht ordnungsgemäß, kann dies grundsätzlich zu einer Schadensersatzpflicht führen.
Damit stärkt der EuGH die praktische Durchsetzbarkeit der Betroffenenrechte erheblich.
Verlust der Kontrolle kann ein immaterieller Schaden sein
Besonders interessant ist die Entscheidung auch im Hinblick auf immaterielle Schäden.
Der EuGH bestätigt seine bisherige Rechtsprechung, wonach bereits der Verlust der Kontrolle über personenbezogene Daten oder die Unsicherheit darüber, was mit den eigenen Daten geschieht, einen immateriellen Schaden darstellen kann.
Allerdings genügt nicht jede bloße Behauptung eines solchen Kontrollverlusts. Der Betroffene muss konkret darlegen und nachweisen, dass ihm tatsächlich ein entsprechender Schaden entstanden ist.
Eine allgemeine Bagatellgrenze lehnt der EuGH weiterhin ab. Gleichzeitig stellt er klar, dass nicht jeder DSGVO-Verstoß automatisch einen Schadensersatzanspruch auslöst. Es bleibt bei den Voraussetzungen:
- DSGVO-Verstoß,
- tatsächlicher Schaden,
- Kausalzusammenhang zwischen Verstoß und Schaden.
Welche Folgen hat das Urteil für Unternehmen?
Unternehmen sollten aus dem Urteil insbesondere drei Konsequenzen ziehen:
Erstens bleibt das Auskunftsrecht ein zentrales Betroffenenrecht, das grundsätzlich umfassend zu erfüllen ist.
Zweitens eröffnet das Urteil zwar die Möglichkeit, sich gegen missbräuchliche Auskunftsanträge zu verteidigen. Die Anforderungen hierfür sind jedoch hoch und erfordern eine sorgfältige Dokumentation der Umstände.
Drittens steigt das Risiko von Schadensersatzansprüchen, wenn Auskunftsanträge fehlerhaft bearbeitet oder unberechtigt zurückgewiesen werden.
Gerade vor diesem Hintergrund sollten Unternehmen ihre Prozesse zur Bearbeitung von Betroffenenanfragen regelmäßig überprüfen und dokumentieren.
Fazit
Mit dem Urteil in der Rechtssache C-526/24 schafft der EuGH mehr Klarheit im Spannungsfeld zwischen Betroffenenrechten und Rechtsmissbrauch.
Einerseits stärkt das Gericht Unternehmen, indem es anerkennt, dass selbst ein erstmaliger Auskunftsantrag rechtsmissbräuchlich sein kann. Andererseits betont der EuGH die hohe Bedeutung des Auskunftsrechts und bestätigt, dass Verstöße gegen dieses Recht Schadensersatzansprüche begründen können.
Für die Praxis bedeutet dies: Auskunftsanträge dürfen nicht vorschnell als missbräuchlich eingestuft werden. Liegen jedoch konkrete Anhaltspunkte für eine gezielte Anspruchsprovokation vor, eröffnet das Urteil erstmals einen klaren rechtlichen Rahmen für die Verteidigung gegen solche Vorgehensweisen.
Wenn Sie Fragen zum Umgang mit Auskunftsersuchen, Betroffenenrechten oder möglichen Schadensersatzansprüchen nach der DSGVO haben, stehen wir Ihnen gern beratend zur Seite und unterstützen Sie bei der rechtssicheren Gestaltung Ihrer Datenschutzprozesse.