Rechtsmissbräuchlicher Auskunftsantrag nach DSGVO – Neues EuGH-Urteil

Der rechtsmissbräuchliche Auskunftsantrag nach DSGVO steht im Zentrum einer wegweisenden Entscheidung des Europäischen Gerichtshofs vom 19.03.2026 (Az. C-526/24, „Brillen Rottler“). Erstmals konkretisiert der Gerichtshof, unter welchen Voraussetzungen selbst ein erstmaliger Auskunftsantrag nach Art. 15 DSGVO als „exzessiv“ und damit als rechtsmissbräuchlich eingestuft werden kann.

Bislang galt das Auskunftsrecht als eines der schärfsten Instrumente der betroffenen Person. Unternehmen mussten Anfragen grundsätzlich kostenfrei und umfassend beantworten. Doch in der Praxis entwickelte sich zunehmend ein strategischer Einsatz dieses Rechts, welches häufig das Ziel verfolgte, gezielt Schadensersatzansprüche nach Art. 82 DSGVO zu generieren.

Der EuGH reagiert nun auf diese Entwicklung und schafft einen differenzierten Maßstab zwischen legitimer Rechtsausübung und missbräuchlichem Verhalten. Besonders relevant ist dabei:

• Auch ein erstmaliger Antrag kann rechtsmissbräuchlich sein
• Die Beweislast liegt vollständig beim Verantwortlichen
• Gleichzeitig wird der Schadensersatzanspruch gestärkt

Damit entsteht ein Spannungsfeld zwischen effektiven Betroffenenrechten und dem Schutz vor systematischer Ausnutzung der DSGVO.

Sachverhalt im Fall Brillen Rottler

Der Entscheidung zum rechtsmissbräuchlichen Auskunftsantrag nach DSGVO liegt ein scheinbar alltäglicher Sachverhalt zugrunde, der sich jedoch zu einer Grundsatzfrage des europäischen Datenschutzrechts entwickelt hat. Eine Privatperson meldete sich über die Website eines Optikerunternehmens für einen Newsletter an und übermittelte dabei ihre personenbezogenen Daten. Nur 13 Tage später machte sie von ihrem Recht Gebrauch und stellte einen Auskunftsantrag nach Art. 15 DSGVO.

Das betroffene Unternehmen verweigerte die Auskunft und stützte sich dabei auf Art. 12 Abs. 5 DSGVO. Es argumentierte, der Antrag sei nicht Ausdruck eines legitimen Informationsinteresses, sondern Teil eines gezielten und systematischen Vorgehens. Nach Auffassung des Unternehmens deuten öffentlich zugängliche Informationen darauf hin, dass der Betroffene wiederholt in vergleichbarer Weise vorgeht, indem er zunächst personenbezogene Daten preisgibt, anschließend Auskunft verlangt und schließlich Schadensersatzansprüche geltend macht.

Der Antragsteller selbst sah darin hingegen eine zulässige Ausübung seiner Betroffenenrechte und verlangte zusätzlich immateriellen Schadensersatz in Höhe von 1.000 Euro wegen der verweigerten Auskunft. Das Amtsgericht Arnsberg setzte das Verfahren aus und legte dem EuGH mehrere Fragen zur Auslegung der DSGVO vor, insbesondere zur Einordnung eines erstmaligen Antrags als „exzessiv“ und zum Umfang des Schadensersatzanspruchs.

Wann liegt ein rechtsmissbräuchlicher Auskunftsantrag nach DSGVO vor?

Im Zentrum des Urteils steht die Frage, unter welchen Voraussetzungen ein rechtsmissbräuchlicher Auskunftsantrag nach DSGVO angenommen werden kann. Der EuGH stellt klar, dass der Begriff des „exzessiven Antrags“ im Sinne von Art. 12 Abs. 5 DSGVO zwar eng auszulegen ist, aber keineswegs auf wiederholte Anfragen beschränkt bleibt. Entscheidend ist vielmehr eine qualitative Betrachtung des Einzelfalls.

Nach Auffassung des Gerichtshofs kommt es maßgeblich darauf an, ob der Antrag seinem eigentlichen Zweck dient. Das Auskunftsrecht aus Art. 15 DSGVO soll es der betroffenen Person ermöglichen, sich über die Verarbeitung ihrer Daten zu informieren und deren Rechtmäßigkeit zu überprüfen. Wird dieses Ziel jedoch bewusst verfehlt und der Antrag stattdessen eingesetzt, um andere Zwecke zu verfolgen, kann ein Missbrauch vorliegen.

Ein solcher Fall ist insbesondere dann denkbar, wenn die betroffene Person den Antrag stellt, um gezielt die Voraussetzungen für einen späteren Schadensersatzanspruch zu schaffen. Dabei verlangt der EuGH eine umfassende Würdigung aller Umstände. Sowohl objektive Faktoren als auch die subjektive Zielrichtung des Antragstellers müssen berücksichtigt werden. Die Beweislast liegt dabei vollständig beim Verantwortlichen.

Voraussetzungen für einen exzessiven Auskunftsantrag

Objektive Kriterien eines rechtsmissbräuchlichen Auskunftsantrags nach DSGVO

Für die Einordnung eines rechtsmissbräuchlichen Auskunftsantrags nach DSGVO stellt der EuGH zunächst auf objektive Umstände ab. Entscheidend ist, ob trotz formaler Einhaltung der Voraussetzungen des Art. 15 DSGVO das eigentliche Ziel der Norm verfehlt wird. Das Auskunftsrecht dient der Transparenz und Kontrolle der Datenverarbeitung. Wird dieses Ziel nicht verfolgt, sondern lediglich vorgeschoben, kann dies ein starkes Indiz für Missbrauch sein.

Im konkreten Kontext bedeutet dies, dass der zeitliche Ablauf und das Verhalten der betroffenen Person eine zentrale Rolle spielen. Ein sehr kurzer Zeitraum zwischen Datenübermittlung und Auskunftsantrag kann ebenso relevant sein wie der Umstand, dass personenbezogene Daten bewusst und freiwillig übermittelt wurden. Auch das Gesamtverhalten, beispielsweise ein wiederkehrendes Muster vergleichbarer Anfragen gegenüber verschiedenen Verantwortlichen, kann in die Bewertung einfließen.

Wichtig ist jedoch, dass einzelne Indizien für sich genommen regelmäßig nicht ausreichen. Vielmehr verlangt der EuGH eine Gesamtwürdigung aller Umstände, bei der die objektiven Faktoren ein konsistentes Bild ergeben müssen.

Subjektive Missbrauchsabsicht als entscheidender Faktor

Neben den objektiven Kriterien betont der EuGH ausdrücklich die Bedeutung der subjektiven Komponente. Ein rechtsmissbräuchlicher Auskunftsantrag nach DSGVO liegt nur dann vor, wenn zusätzlich nachgewiesen werden kann, dass die betroffene Person in missbräuchlicher Absicht handelt. Diese Absicht besteht insbesondere dann, wenn der Antrag nicht der Informationsbeschaffung dient, sondern gezielt darauf ausgerichtet ist, einen rechtlichen Vorteil zu erlangen.

Typischerweise geht es dabei um die künstliche Herbeiführung von Schadensersatzansprüchen nach Art. 82 DSGVO. Der Antrag wird also nicht gestellt, um die Rechtmäßigkeit der Datenverarbeitung zu überprüfen, sondern um eine Pflichtverletzung zu provozieren. Genau hier zieht der EuGH eine klare Grenze zwischen legitimer Rechtsausübung und strategischem Verhalten.

Die Anforderungen an den Nachweis dieser Absicht sind hoch. Unternehmen müssen konkret darlegen, dass der Antragsteller nicht aus datenschutzrechtlichem Interesse handelt. Pauschale Vermutungen oder allgemeine Hinweise auf vergleichbare Fälle reichen nicht aus. Damit bleibt der Missbrauchseinwand eine Ausnahme, die nur unter strengen Voraussetzungen greift.

Schadensersatz nach Art. 82 DSGVO erklärt

Der EuGH nutzt das Urteil zum rechtsmissbräuchlichen Auskunftsantrag nach DSGVO, um zugleich zentrale Fragen zum Schadensersatz nach Art. 82 DSGVO zu präzisieren. Besonders praxisrelevant ist die Klarstellung, dass ein Schadensersatzanspruch nicht zwingend eine unrechtmäßige Datenverarbeitung voraussetzt. Vielmehr kann bereits die Verletzung des Auskunftsrechts selbst einen ersatzfähigen Schaden begründen.

Damit erweitert der Gerichtshof die Reichweite des Schadensersatzregimes erheblich. Unternehmen können sich nicht darauf berufen, dass keine (fehlerhafte) Verarbeitung stattgefunden hat, wenn sie einen Auskunftsantrag nicht oder nicht ordnungsgemäß erfüllen. Gleichzeitig bleibt der EuGH seiner bisherigen Linie treu, indem er einen Automatismus ausdrücklich ablehnt.

Wesentliche Aussagen des EuGH lassen sich wie folgt zusammenfassen:

• Ein Schadensersatzanspruch besteht auch bei bloßer Verletzung des Auskunftsrechts
• Eine Datenverarbeitung ist keine zwingende Voraussetzung für den Anspruch
• Ein tatsächlicher Schaden muss nachgewiesen werden
• Ein bloßer DSGVO-Verstoß reicht nicht automatisch aus
• Es gibt keine Bagatellgrenze, aber auch keinen pauschalen Anspruch

Damit entsteht ein differenziertes Haftungssystem, das sowohl die Effektivität der Betroffenenrechte stärkt als auch missbräuchliche Inanspruchnahmen begrenzen soll.

Immaterieller Schaden bei DSGVO-Verstößen

Ein weiterer Schwerpunkt des Urteils zum rechtsmissbräuchlichen Auskunftsantrag nach DSGVO liegt auf der Konkretisierung des immateriellen Schadensbegriffs nach Art. 82 DSGVO. Der EuGH stellt klar, dass insbesondere der Verlust der Kontrolle über personenbezogene Daten oder die Ungewissheit über deren Verarbeitung grundsätzlich einen ersatzfähigen Schaden darstellen können. Damit bestätigt der Gerichtshof seine weite Auslegung des Schadensbegriffs.

Gleichzeitig verschärft der EuGH jedoch die Anforderungen an die Darlegungslast der betroffenen Person. Ein Schaden wird nicht vermutet, sondern muss konkret nachgewiesen werden. Entscheidend ist, dass sich die Beeinträchtigung spürbar vom bloßen Rechtsverstoß unterscheidet und tatsächlich eingetreten ist.

Zentrale Anforderungen an den Schadensnachweis sind:

• Es muss ein konkreter immaterieller Nachteil vorliegen
• Der Schaden darf nicht nur in der DSGVO-Verletzung selbst bestehen
• Ein Kausalzusammenhang zwischen Verstoß und Schaden ist erforderlich
• Reine Befürchtungen oder abstrakte Sorgen reichen nicht aus
• Das Verhalten der betroffenen Person darf nicht die Hauptursache des Schadens sein

Besonders relevant ist der letzte Punkt: Wer gezielt Situationen herbeiführt, um einen Schaden zu provozieren, kann sich regelmäßig nicht auf einen ersatzfähigen Kontrollverlust berufen.

Auswirkungen für Unternehmen und Compliance

Umgang mit Auskunftsanträgen nach dem EuGH-Urteil

Das Urteil zum rechtsmissbräuchlichen Auskunftsantrag nach DSGVO verändert die praktische Handhabung von Auskunftsersuchen erheblich. Unternehmen können sich zwar erstmals ausdrücklich auf einen Missbrauchseinwand berufen, müssen dabei jedoch äußerst vorsichtig agieren. Der EuGH betont klar, dass es sich um eine eng auszulegende Ausnahme handelt. In der täglichen Praxis bedeutet das, dass Auskunftsanträge weiterhin grundsätzlich zu erfüllen sind und nur in klar belegbaren Ausnahmefällen abgelehnt werden dürfen.

Besonders relevant ist dabei die strukturierte Prüfung jedes Einzelfalls. Unternehmen sollten interne Prozesse schaffen, die es ermöglichen, Auffälligkeiten systematisch zu erfassen, ohne dabei die gesetzlichen Fristen aus den Augen zu verlieren. Eine vorschnelle Ablehnung kann erhebliche Risiken bergen, da bereits die unberechtigte Verweigerung der Auskunft einen Schadensersatzanspruch auslösen kann. Gleichzeitig verlangt das Urteil eine sorgfältige juristische Bewertung, da die Grenze zwischen legitimer Rechtsausübung und Missbrauch oft fließend verläuft.

Dokumentation, Beweislast und Risikominimierung

Ein zentraler Punkt des Urteils ist die klare Zuweisung der Beweislast an den Verantwortlichen. Wer sich auf einen rechtsmissbräuchlichen Auskunftsantrag nach DSGVO berufen will, muss diesen substantiiert nachweisen. In der Praxis wird damit die Dokumentation zum entscheidenden Faktor. Unternehmen müssen sämtliche relevanten Umstände erfassen, die auf eine missbräuchliche Absicht hindeuten könnten, und diese nachvollziehbar aufbereiten.

Dabei reicht es nicht aus, sich auf allgemeine Vermutungen oder Branchenphänomene wie sogenanntes DSGVO-Hopping zu berufen. Vielmehr bedarf es konkreter Anhaltspunkte im jeweiligen Einzelfall. Dazu zählen etwa auffällige zeitliche Abläufe, wiederkehrende Muster oder widersprüchliches Verhalten der betroffenen Person. Ohne eine solche fundierte Grundlage ist der Missbrauchseinwand regelmäßig nicht haltbar.

Gleichzeitig steigt das Haftungsrisiko, da Unternehmen im Zweifel zwischen zwei Risiken abwägen müssen: der unberechtigten Ablehnung eines Antrags oder der Erfüllung eines möglicherweise missbräuchlichen Begehrens. Das Urteil zwingt daher zu klar definierten Prozessen, juristisch abgestimmten Entscheidungswegen und einer engen Verzahnung zwischen Datenschutzpraxis und rechtlicher Bewertung.

Fazit zum EuGH-Urteil

Das EuGH-Urteil C-526/24 markiert einen wichtigen Wendepunkt im Umgang mit dem rechtsmissbräuchlichen Auskunftsantrag nach DSGVO. Erstmals stellt der Gerichtshof klar, dass auch ein erstmaliger Auskunftsantrag als exzessiv und damit rechtsmissbräuchlich eingeordnet werden kann. Gleichzeitig bleibt die Schwelle dafür bewusst hoch, um den Kernbereich der Betroffenenrechte nicht zu gefährden.

Für die Praxis ergibt sich daraus ein differenziertes Gesamtbild. Einerseits stärkt der EuGH die Position von Unternehmen, indem er eine unionsrechtliche Grundlage zur Abwehr strategischer oder missbräuchlicher Anfragen schafft. Andererseits verschärft er die Anforderungen an diese Verteidigung erheblich, insbesondere durch die vollständige Beweislast beim Verantwortlichen und die enge Auslegung des Missbrauchseinwands.

Parallel dazu wird das Haftungsregime nach Art. 82 DSGVO weiter konkretisiert. Die Entscheidung bestätigt, dass bereits die Verletzung des Auskunftsrechts einen Schadensersatzanspruch auslösen kann, ohne dass es auf eine unrechtmäßige Datenverarbeitung ankommt. Gleichzeitig bleibt es dabei, dass ein konkreter Schaden nachgewiesen werden muss und kein Automatismus besteht.

Insgesamt zwingt das Urteil zu einem präziseren und strategisch durchdachten Umgang mit Auskunftsanfragen. Unternehmen müssen ihre Prozesse schärfen, Risiken sorgfältig abwägen und jede Entscheidung fundiert begründen. Der rechtsmissbräuchliche Auskunftsantrag nach DSGVO wird damit zu einem zentralen Prüfstein moderner Datenschutz-Compliance.

Fragen zum rechtsmissbräuchlichen Auskunftsantrag nach DSGVO?

Sie sind unsicher, ob in Ihrem Fall ein rechtsmissbräuchlicher Auskunftsantrag nach DSGVO vorliegt oder wie Sie auf ein entsprechendes Auskunftsersuchen rechtssicher reagieren sollten? Unsere erfahrenen Rechtsanwälte unterstützen Sie bei der rechtlichen Bewertung von Auskunftsanträgen, der Abwehr missbräuchlicher Forderungen sowie bei der Durchsetzung oder Abwehr von Schadensersatzansprüchen nach Art. 82 DSGVO. Vereinbaren Sie ein Teams-Meeting oder stellen Sie direkt Ihre Rechtsfrage! Wir helfen Ihnen gerne!