EuGH: Auskunftsanträge können als missbräuchlich abgewiesen werden
Der Europäische Gerichtshof (EuGH) hat am 19. März 2026 in der Rechtssache C-526/24 (Brillen Rottler) entschieden, dass ein Auskunftsantrag nach der DSGVO als missbräuchlich eingestuft und zurückgewiesen werden darf. Voraussetzung ist der Nachweis, dass der Antrag nicht zur Prüfung der eigenen Datenschutzrechte gestellt wurde, sondern um Schadensersatz zu erzwingen.
Eine in Österreich wohnhafte Person meldete sich zum Newsletter des Optikerunternehmens Brillen Rottler aus Arnsberg an und gab dabei ihre personenbezogenen Daten ein. Dreizehn Tage später stellte sie einen Auskunftsantrag nach Art. 15 DS-GVO. Brillen Rottler wies den Antrag als missbräuchlich zurück. Das Unternehmen belegte anhand von Medienberichten, Blogbeiträgen und Anwaltsberichten, dass die Person systematisch bei verschiedenen Unternehmen Newsletter abonniert, Auskunft beantragt und anschließend Schadensersatz fordert. Die antragstellende Person hielt ihren Antrag für legitim und verlangte mindestens 1.000 Euro Entschädigung für den immateriellen Schaden durch die Zurückweisung.
Das Amtsgericht Arnsberg legte dem EuGH die Frage vor, ob ein erster Auskunftsantrag bereits als exzessiv eingestuft werden kann und ob ein Anspruch auf Schadensersatz wegen der Zurückweisung besteht.
Der EuGH bejaht die erste Frage. Ein erster Auskunftsantrag kann unter bestimmten Umständen bereits als exzessiv im Sinne des Art. 12 Abs. 5 DS-GVO gelten und damit missbräuchlich sein. Das ist der Fall, wenn der Verantwortliche nachweist, dass der Antrag nicht dazu dient, die eigene Datenschutzlage zu überprüfen oder Rechte wie Berichtigung, Löschung oder Widerspruch auszuüben. Entscheidend ist der Nachweis, dass der Antrag gezielt gestellt wurde, um künstlich die Voraussetzungen für einen Schadensersatzanspruch nach Art. 82 DS-GVO zu schaffen.
Als Indiz für eine missbräuchliche Absicht kann berücksichtigt werden, dass eine Person nachweislich mehrere solcher Anträge bei verschiedenen Verantwortlichen gestellt und jeweils Schadensersatz gefordert hat. Der Gerichtshof betont, dass dabei alle Umstände des Einzelfalls zu prüfen sind: ob die Daten freiwillig bereitgestellt wurden, welchem Zweck die Datenbereitstellung diente, wie viel Zeit zwischen Dateneingabe und Auskunftsantrag verstrichen ist und wie sich die Person insgesamt verhält.
Zum Schadensersatz stellt der EuGH klar: Wer einen tatsächlichen materiellen oder immateriellen Schaden durch einen DSGVO-Verstoß erleidet, hat grundsätzlich Anspruch auf Ersatz nach Art. 82 DS-GVO. Der Schaden muss aber nachgewiesen werden. Und: Ist das eigene Verhalten die entscheidende Ursache für den Schaden, entfällt der Anspruch. Das Amtsgericht Arnsberg muss den Fall nun unter Berücksichtigung dieser Vorgaben abschließend entscheiden.
Unsere Empfehlungen
Unternehmen und KMU
Dokumentieren Sie jeden eingehenden Auskunftsantrag vollständig mit Datum, Kontext und allen verfügbaren Informationen zur antragstellenden Person. Wenn öffentlich zugängliche Informationen auf ein Muster aus Anmeldung, Auskunftsantrag und Schadensersatzforderung hinweisen, können Sie den Antrag als missbräuchlich zurückweisen. Die Beweislast liegt dabei bei Ihnen als Verantwortlichem. Holen Sie in solchen Fällen rechtlichen Rat ein, bevor Sie ablehnen.
Führen Sie ein internes Register für Auskunftsanfragen. So erkennen Sie Muster frühzeitig und haben eine nachvollziehbare Grundlage für Ihre Entscheidung.
Kanzleien und Freiberufler
Das Urteil ist praxisrelevant für alle, die Mandanten bei der Abwehr unberechtigter DSGVO-Forderungen beraten. Der EuGH schafft eine klare Grundlage, um missbräuchliche Auskunftsanträge abzulehnen und sich gegen Schadensersatzforderungen zu verteidigen. Entscheidend ist die Dokumentation des Verhaltensmusters der antragstellenden Person. Medienberichte, Forenbeiträge und Anwaltskorrespondenz können dabei als Belege dienen.
Quelle: Europäischer Gerichtshof (EuGH)
Lassen Sie sich unverbindlich von einem Datenschutzbeauftragten beraten.
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Art. 17 DS-GVO – Recht auf Löschung (Recht auf Vergessenwerden)
- Meldung von Datenschutzverletzungen nach Art. 33 DS-GVO
- Nachweis der Datenlöschung – So dokumentieren Sie korrekt
- Datenschutzrisiko E-Mails – Was Unternehmen wissen müssen
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber (Whistleblower)
- Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking – Blickschutz hilft
Dieser Absatz enthält Affiliatelinks/Werbelinks