zur Übersicht

Umgang mit Auskunftsersuchen nach DSGVO: Neues EuGH-Urteil hilft Unternehmen

Ein neues EuGH-Urteil können Unternehmen nutzen, um sich gegen „exzessive“ datenschutzrechtliche Auskunftsverlangen zu wehren.

Hintergrund: Auskunftsersuchen als Druckmittel

Oft nutzen Betroffene die Möglichkeiten der DSGVO, um Verantwortlichen Aufwand zu verursachen und Schadensersatz wegen marginalen formalen (vermeintlichen) Rechtsverstößen geltend zu machen. Besonders zu beobachten ist dies etwa bei der Auflösung von Arbeitsverhältnissen. Hier gehört es fast schon zum Standard, dass ein Auskunftsanspruch nach Art. 15 DSGVO geltend gemacht wird, um mehr Verhandlungsdruck aufzubauen. Aber auch verärgerte Kunden ziehen gerne diese Karte, um ihrem anderweit entspringenden Unmut Luft zu machen. Zusätzlich gibt es Fälle, die gezielt auf die Geltendmachung von Schadensersatz ausgerichtet sind.

Um die Wahrung der Datenschutzrechte der Betroffenen geht es hierbei meist, wenn überhaupt, nur am Rande. Solche Auskunftsersuchen können aber erhebliche Ressourcen bei Unternehmen binden, die anderweitig benötig werden. Verantwortliche Unternehmen müssen grundsätzlich alle personenbezogenen Daten zusammenstellen, welche sie zu der Person des Betroffenen speichern. Je nach Dauer der Geschäftsbeziehung und Umfang der Daten kann dies eine extrem komplexe und zeitfressende Aufgabe sein.

Neues Urteil hilft Unternehmen

Der EuGH hat nun mit seinem Urteil vom 19. März 2026 (Rechtssache C‑526/24) dem Missbrauch dieser Rechtspositionen einen zumindest kleinen Riegel vorgeschoben, der hilfreich sein wird, wenn Unternehmen sich mit derartigen Auskunftsersuchen konfrontiert sehen. Warum und wie, das zeigen wir in diesem Beitrag.

Hintergrund und Sachverhalt

Das Urteil erging auf ein Vorabentscheidungsersuchen des Amtsgerichts Arnsberg (Deutschland) vom 31. Juli 2024 und betrifft die Auslegung mehrerer Bestimmungen der DSGVO, insbesondere Art. 12 Abs. 5, Art. 15 Abs. 1 und Art. 82 Abs. 1.

TC, eine in Österreich wohnhafte Privatperson, meldete sich im März 2023 zum Newsletter der Brillen Rottler GmbH & Co. KG, einem familiengeführten Optikerunternehmen mit Sitz in Arnsberg, an. Dabei übermittelte er personenbezogene Daten über die Anmeldemaske auf der Unternehmenswebsite. Nur 13 Tage später stellte TC einen Auskunftsantrag nach Art. 15 DSGVO. Brillen Rottler wies diesen Antrag innerhalb der gesetzlichen Monatsfrist als missbräuchlich im Sinne von Art. 12 Abs. 5 DSGVO zurück und forderte TC auf, endgültig von seinem Antrag abzusehen.

TC verfolgte seinen Antrag weiter und machte zusätzlich einen Schadensersatzanspruch in Höhe von 1.000 Euro aus Art. 82 DSGVO geltend. Daraufhin erhob Brillen Rottler eine negative Feststellungsklage beim Amtsgericht Arnsberg mit dem Antrag festzustellen, dass TC kein Schadensersatzanspruch zustehe. Brillen Rottler stützte sich darauf, dass aus Medienberichten, Blogbeiträgen und Anwaltsberichten hervorgehe, dass TC systematisch und rechtsmissbräuchlich Auskunftsanträge stelle – stets nach demselben Muster: Newsletter-Anmeldung, dann Auskunftsantrag, dann Schadensersatzforderung.

TC erhob Widerklage auf Zahlung von mindestens 1.000 Euro immateriellen Schadensersatz wegen der Weigerung des Unternehmens, ihm Auskunft über seine personenbezogenen Daten zu erteilen.

Vorlagefragen

Das Amtsgericht Arnsberg legte dem EuGH acht Fragen vor, die sich in drei Themenkomplexe gliedern lassen:

  1. Fragen 1–3 und 7 (Exzessivität und Rechtsmissbrauch): Kann ein erster Auskunftsantrag als „exzessiv“ i.S.v. Art. 12 Abs. 5 DSGVO gelten? Können öffentlich zugängliche Informationen über systematisches Vorgehen der betroffenen Person zur Begründung herangezogen werden? Kann der Rechtsmissbrauchseinwand greifen, wenn die betroffene Person die Datenverarbeitung bewusst herbeigeführt hat?
  2. Fragen 4–6 (Schadensersatz und Verarbeitungsbegriff): Stellt ein Auskunftsantrag und/oder dessen Beantwortung eine „Verarbeitung“ i.S.v. Art. 4 Nr. 2 DSGVO dar? Setzt ein Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO zwingend eine Verarbeitung voraus? Besteht ein Schadensersatzanspruch allein aufgrund der Verletzung des Auskunftsrechts?
  3. Frage 8 (Immaterieller Schaden): Stellt der bloße Kontrollverlust über personenbezogene Daten oder die Ungewissheit über eine Verarbeitung einen immateriellen Schaden i.S.v. Art. 82 Abs. 1 DSGVO dar?

Für Unternehmen besonders relevant sind dabei die unter Punkt 1. genannten Fragen, denn bei Bejahung würde ein wichtiges Instrument an die Hand gegeben, um sich gegen Auskunftsersuchen zu wehren, die sichtlich keinen Bezug zur Wahrnehmung von Datenschutzrechten haben, sondern gänzlich anders motiviert sind.

Entscheidung des Gerichtshofs

1. Zum exzessiven Charakter eines ersten Auskunftsantrags (Fragen 1–3 und 7)

Der EuGH entschied, dass bereits ein erster Auskunftsantrag als „exzessiv“ im Sinne von Art. 12 Abs. 5 DSGVO angesehen werden kann.

Der Gerichtshof stellte klar, dass der Begriff „exzessiv“ etwas bezeichnet, das über das gewöhnliche oder vernünftige Maß hinausgeht. Die bloße Tatsache, dass es sich um einen ersten Antrag handelt, schließt den exzessiven Charakter nicht aus. Der Wortlaut von Art. 12 Abs. 5 DSGVO nennt die „häufige Wiederholung“ lediglich als Beispiel für einen exzessiven Antrag (eingeleitet durch „insbesondere“), erfasst aber auch andere Konstellationen.

Für die Feststellung eines Rechtsmissbrauchs sind zwei Elemente erforderlich:

  • Objektives Element: Trotz formaler Einhaltung der Bedingungen wird das Ziel der Regelung nicht erreicht. Nach Erwägungsgrund 63 der DSGVO dient das Auskunftsrecht dazu, sich der Datenverarbeitung bewusst zu werden und deren Rechtmäßigkeit zu überprüfen. Wird der Antrag zu einem anderen Zweck gestellt, fehlt es an der Erreichung dieses Ziels.
  • Subjektives Element: Nachweis einer Missbrauchsabsicht – die betroffene Person stellt den Antrag nicht zur Überprüfung der Rechtmäßigkeit der Datenverarbeitung, sondern z. B. zur künstlichen Schaffung der Voraussetzungen für die Erlangung von Schadensersatz.

Bei der Beurteilung sind alle Umstände des Einzelfalls zu berücksichtigen, insbesondere:

  • die freiwillige Bereitstellung der personenbezogenen Daten,
  • der Zweck der Datenbereitstellung,
  • die zwischen Datenbereitstellung und Auskunftsantrag verstrichene Zeit (hier nur 13 Tage),
  • das Verhalten der betroffenen Person insgesamt.

Dabei können auch öffentlich zugängliche Informationen (Medienberichte, Blogbeiträge, Berichte von Rechtsanwälten) berücksichtigt werden, die darauf hindeuten, dass die betroffene Person systematisch nach einem vergleichbaren Muster vorgeht – sofern dies durch weitere relevante Anhaltspunkte bestätigt wird.

Die Beweislast für den exzessiven Charakter liegt allerdings weiterhin beim Verantwortlichen.

2. Schadensersatz auch bei Verletzung des Auskunftsrechts ohne Verarbeitung (Fragen 5 und 6)

Der EuGH entschied, dass Art. 82 Abs. 1 DSGVO der betroffenen Person einen Anspruch auf Ersatz des aus einer Verletzung des Auskunftsrechts nach Art. 15 Abs. 1 DSGVO entstandenen Schadens verleiht – und zwar auch ohne dass eine Datenverarbeitung als solche vorliegen muss.

Die Begründung stützt sich auf drei Auslegungsmethoden:

  • Wortlautauslegung: Art. 82 Abs. 1 DSGVO spricht von einem Verstoß „gegen diese Verordnung“ und enthält keine Beschränkung auf Verarbeitungsvorgänge. Diese weit gefasste Formulierung umfasst sämtliche Bestimmungen der DSGVO, einschließlich der Rechte der betroffenen Personen aus Kapitel III.
  • Systematische Auslegung: Art. 82 DSGVO steht in Kapitel VIII (Rechtsbehelfe, Haftung, Sanktionen), das dem Schutz aller DSGVO-Rechte dient. Die Rechte aus Kapitel III – insbesondere das Auskunftsrecht, das Recht auf Berichtigung, Löschung, Einschränkung der Verarbeitung und Datenübertragbarkeit – können typischerweise nicht durch eine Verarbeitung als solche verletzt werden, sondern durch die Weigerung, dem entsprechenden Antrag nachzukommen. Würde man den Anspruch auf Verarbeitungsschäden beschränken, wären diese Fälle vom Anwendungsbereich ausgeschlossen – was die praktische Wirksamkeit der Norm beeinträchtigen würde (unter Verweis auf die Erklärungen der Europäischen Kommission).
  • Teleologische Auslegung: Art. 82 DSGVO soll die Ziele der DSGVO verwirklichen, insbesondere die Stärkung der Rechte der betroffenen Personen und die Verschärfung der Verpflichtungen der Verantwortlichen (Erwägungsgrund 11). Das Auskunftsrecht würde erheblich geschwächt, wenn Schadensersatz nur bei rechtswidrigen Verarbeitungsvorgängen möglich wäre.

Der Gerichtshof verwies zudem auf sein Urteil vom 4. Mai 2023 (Bundesrepublik Deutschland [Elektronisches Gerichtsfach], C-60/22), wonach Verstöße gegen die Art. 26 und 30 DSGVO keine „unrechtmäßige Verarbeitung“ darstellen, aber dennoch über Art. 82 DSGVO zu heilen sind.

Da die fünfte und sechste Frage beantwortet wurden, brauchte die vierte Frage (ob ein Auskunftsantrag eine „Verarbeitung“ i.S.v. Art. 4 Nr. 2 darstellt) nicht beantwortet zu werden.

3. Immaterieller Schaden – Kontrollverlust und Ungewissheit (Frage 8)

Der EuGH stellte unter Bestätigung seiner bisherigen Rechtsprechung fest, dass der Verlust der Kontrolle über personenbezogene Daten oder die Ungewissheit über eine Verarbeitung grundsätzlich einen immateriellen Schaden nach Art. 82 Abs. 1 DSGVO darstellen kann, formulierte aber wichtige Einschränkungen:

Grundsätze:

  • Die Begriffe „materieller oder immaterieller Schaden“ und „Schadenersatz“ sind autonome Begriffe des Unionsrechts, die in allen Mitgliedstaaten einheitlich auszulegen sind.
  • Ein Verstoß gegen die DSGVO begründet nicht automatisch einen Schadensersatzanspruch. Es müssen drei kumulative Voraussetzungen vorliegen: (1) ein Verstoß gegen die DSGVO, (2) ein tatsächlich entstandener Schaden und (3) ein Kausalzusammenhang zwischen Verstoß und Schaden.
  • Der Schaden kann nicht allein deshalb vermutet werden, weil sich ein Verstoß ereignet hat.

Zum Kontrollverlust:

  • Aus Erwägungsgrund 85 der DSGVO ergibt sich, dass der Unionsgesetzgeber unter den Schadensbegriff auch den bloßen „Verlust der Kontrolle“ über personenbezogene Daten fassen wollte, selbst wenn keine missbräuchliche Verwendung der Daten erfolgt ist.
  • Es gibt keine Bagatellgrenze für immateriellen Schaden, aber die betroffene Person muss nachweisen, dass ein tatsächlicher Schaden entstanden ist, der über die bloße Verletzung der DSGVO-Bestimmungen hinausgeht (Urteil vom 14. Dezember 2023, C-456/22).

Zu Befürchtungen und Ungewissheit:

  • Das bloße Vorbringen einer Befürchtung über eine zukünftige missbräuchliche Verwendung genügt nicht. Das nationale Gericht muss prüfen, ob diese Befürchtung unter den besonderen Umständen als begründet angesehen werden kann.
  • Diese Erwägungen gelten gleichermaßen für die Ungewissheit darüber, ob personenbezogene Daten verarbeitet wurden.

Zur Unterbrechung des Kausalzusammenhangs:

Besonders praxisrelevant ist die Feststellung des Gerichtshofs, dass der Kausalzusammenhang durch das eigene Verhalten der betroffenen Person unterbrochen werden kann, sofern sich dieses als die entscheidende Ursache für den Schaden erweist.

Konkret bedeutet dies: Wenn der Kontrollverlust oder die Ungewissheit durch die eigene Entscheidung der betroffenen Person herbeigeführt wurde – insbesondere durch die Übermittlung von Daten an den Verantwortlichen in der Absicht, künstlich die Voraussetzungen für einen Schadensersatzanspruch zu schaffen – scheidet ein Ersatzanspruch nach Art. 82 Abs. 1 DSGVO aus.

Zusammenfassung

Der Gerichtshof (Vierte Kammer) entschied kurz gefasst also:

1. Art. 12 Abs. 5 DSGVO ist dahin auszulegen, dass ein erster Auskunftsantrag als „exzessiv“ angesehen werden kann, wenn der Verantwortliche in Ansehung aller relevanten Fallumstände nachweist, dass der Antrag nicht der Überprüfung der Rechtmäßigkeit der Datenverarbeitung diente, sondern in missbräuchlicher Absicht gestellt wurde, etwa zur künstlichen Schaffung der Voraussetzungen für die Erlangung von Schadensersatz. Öffentlich zugängliche Informationen über systematisches Vorgehen der betroffenen Person können bei der Feststellung der missbräuchlichen Absicht berücksichtigt werden.

2. Art. 82 Abs. 1 DSGVO verleiht der betroffenen Person einen Schadensersatzanspruch auch bei Verletzung des Auskunftsrechts nach Art. 15 Abs. 1 DSGVO – unabhängig davon, ob eine Verarbeitung personenbezogener Daten als solche vorliegt.

3. Der immaterielle Schaden nach Art. 82 Abs. 1 DSGVO kann den Kontrollverlust über personenbezogene Daten oder die Ungewissheit über deren Verarbeitung umfassen, sofern insbesondere nachgewiesen wird, dass der Person tatsächlich ein Schaden entstanden ist und ihr eigenes Verhalten nicht die entscheidende Schadensursache war.

Bedeutung des Urteils für die Praxis

Dieses Urteil ist von erheblicher praktischer Bedeutung für das Datenschutzrecht:

  • Instrument gegen systematischen Missbrauch: Es schafft Klarheit, dass der Missbrauchseinwand nach Art. 12 Abs. 5 DSGVO auch bei Erstanträgen greifen kann. Verantwortliche erhalten damit ein wirksames Instrument gegen sogenannte „DSGVO-Abmahner“, missmutige Beschäftigte oder Geschäftspartner und systematische Schadensersatzkläger, die gezielt die Voraussetzungen für Entschädigungsansprüche schaffen.
  • Erweiterung des Schadensersatzanspruchs: Der Anwendungsbereich von Art. 82 DSGVO wird über reine Verarbeitungsvorgänge hinaus erweitert. Dies stärkt die Rechte betroffener Personen bei Auskunftsverletzungen und anderen Verstößen gegen Kapitel III der DSGVO.
  • Gleichzeitige Begrenzung: Der Schadensersatzanspruch wird durch das Erfordernis eines tatsächlich nachweisbaren Schadens und die Möglichkeit einer Unterbrechung des Kausalzusammenhangs durch eigenes missbräuchliches Verhalten begrenzt. Das Gericht zeigt damit einen ausgewogenen Ansatz, der sowohl die Rechte der betroffenen Personen als auch den Schutz der Verantwortlichen vor missbräuchlichen Ansprüchen berücksichtigt.
  • Offene Fragen: Es wird letztlich Sache des vorlegenden Amtsgerichts Arnsberg sein, unter Berücksichtigung aller Umstände des Einzelfalls zu entscheiden, ob TCs Vorgehen tatsächlich missbräuchlich war und ob ihm – sollte ein Verstoß von Brillen Rottler festgestellt werden – ein ersatzfähiger Schaden entstanden ist.

Bleiben Sie informiert

Wir haben bereits zahlreiche Unternehmen dabei geholfen, sich gegen missbräuchliche Auskunftsansprüche zu wehren. Haben Sie Fragen zu diesem Urteil oder benötigen Sie rechtliche Unterstützung im Bereich Datenschutz? Nehmen Sie gerne über das Kontaktformular Verbindung mit uns auf.

Möchten Sie regelmäßig über aktuelle Entwicklungen im Datenschutzrecht und weitere relevante EuGH-Entscheidungen auf dem Laufenden bleiben? Abonnieren Sie den Newsletter von Two Towers und erhalten Sie praxisrelevante Analysen direkt in Ihr Postfach.