DSGVO-Auskunft und Rechtsmissbrauch: Auch der erste Auskunftsantrag kann exzessiv sein.

von | Apr. 14, 2026 | Datenschutzrecht, EU-Rechtsprechung | 0 Kommentare

EuGH-Urteil vom 19.3.2026, Rechtssache C-526/24

 

Sachverhalt:

Eine in Österreich wohnhafte Person meldete sich für den Newsletter des in Deutschland ansässigen Optikerunternehmens Brillen Rottler an und gab dabei ihre personenbezogenen Daten über die Eingabemaske auf der Website des Unternehmens ein. Bereits 13 Tage später stellte sie einen Auskunftsantrag nach Art. 15 DSGVO.

Brillen Rottler lehnte die Auskunft jedoch mit der Begründung ab, der Antrag sei missbräuchlich. Nach öffentlich zugänglichen Informationen solle sich der Antragsteller systematisch bei Newslettern verschiedener Unternehmen anmelden, sodann Auskunft verlangen und anschließend Schadensersatzansprüche geltend machen.

Der Antragsteller hielt dem entgegen, sein Auskunftsbegehren sei legitim, und verlangte seinerseits mindestens 1.000 Euro immateriellen Schadensersatz wegen der verweigerten Auskunft. Das Amtsgericht Arnsberg (Deutschland) legte dem EuGH daraufhin die Fragen vor, ob bereits ein erster Auskunftsantrag als exzessiv im Sinne von Art. 12 Abs. 5 DSGVO angesehen werden kann und ob die Verletzung des Auskunftsrechts einen Schadensersatzanspruch nach Art. 82 DSGVO auslösen kann.

 

Entscheidung:

Der EuGH hat zunächst klargestellt, dass auch ein erster Auskunftsantrag nicht von vornherein dem Anwendungsbereich des Art. 12 Abs. 5 DSGVO entzogen ist. Ein erstmaliges Auskunftsverlangen kann ausnahmsweise bereits dann als exzessiv und damit als missbräuchlich angesehen werden, wenn der Verantwortliche nachweist, dass der Antrag zwar formal die Voraussetzungen der DSGVO erfüllt, tatsächlich aber nicht dazu dient, sich der Datenverarbeitung bewusst zu werden und deren Rechtmäßigkeit zu überprüfen. Missbräuchlich ist ein solcher Antrag nach Auffassung des EuGH insbesondere dann, wenn er allein in der Absicht gestellt wird, künstlich die Voraussetzungen für einen späteren Schadensersatzanspruch zu schaffen. Öffentlich zugängliche Hinweise darauf, dass eine Person in mehreren vergleichbaren Fällen ebenso vorgegangen ist und jeweils im Anschluss Schadensersatz verlangt hat, können dabei als Indiz berücksichtigt werden.

Zugleich betont der EuGH aber, dass es sich um einen Ausnahmefall handelt. Der Missbrauchseinwand ist eng auszulegen, und die Darlegungs- und Beweislast liegt beim Verantwortlichen. Die Entscheidung bedeutet daher nicht, dass Unternehmen künftig missliebige oder unbequeme Auskunftsanträge ohne Weiteres zurückweisen dürften. Erforderlich bleibt vielmehr ein belastbarer Nachweis dafür, dass das Auskunftsrecht zweckwidrig instrumentalisiert wurde.

Der EuGH bestätigte weiters, dass die Verletzung des Auskunftsrechts grundsätzlich einen eigenständigen Schadensersatzanspruch nach Art. 82 DSGVO auslösen kann. Der Anspruch setzt also nicht zwingend voraus, dass der Schaden unmittelbar aus einer eigenständigen Verarbeitung personenbezogener Daten resultiert. Auch die rechtswidrige Verweigerung einer geschuldeten Auskunft kann haftungsrechtlich relevant sein.

Gleichzeitig hält der EuGH an seiner bisherigen Linie zum Schadensbegriff fest. Ein Schadensersatzanspruch besteht nicht automatisch bei jedem DSGVO-Verstoß. Die betroffene Person muss vielmehr einen tatsächlich eingetretenen materiellen oder immateriellen Schaden darlegen und den erforderlichen Kausalzusammenhang zwischen Verstoß und Schaden nachweisen. Der EuGH wies zudem ausdrücklich darauf hin, dass ein Anspruch ausscheidet, wenn das eigene Verhalten der betroffenen Person die entscheidende Ursache des geltend gemachten Schadens ist. Gerade dieser Gesichtspunkt dürfte in Konstellationen Bedeutung gewinnen, in denen Auskunftsanträge erkennbar strategisch eingesetzt werden, um Ansprüche erst zu provozieren. Das nationale Gericht wird daher im Einzelfall zu prüfen haben, ob ein echter Datenschutzschaden vorliegt oder ob der geltend gemachte Nachteil im Wesentlichen auf einem bewusst herbeigeführten Geschehensablauf beruht.

 

 

Link zur Entscheidung

 

Weitere Blog-Beiträge zum Thema DSGVO:

Datenschutz in der Hausverwaltung: Wann die Weiterleitung von Mängelrügen die DSGVO verletzt.

Videoüberwachung mit Bodycams im öffentlichen Raum: EuGH zu den Informationspflichten der DSGVO.

OGH zu Facebook-Datenverarbeitung: Personalisierte Werbung ohne Einwilligung unzulässig. Strenge Anforderungen an Auskunftserteilung.

EuGH: Online-Marktplätze müssen sensible Daten vor Veröffentlichung prüfen. Keine Haftungsprivilegierung bei DSGVO-Verstößen.

OGH zur Videoüberwachung bei Grunddienstbarkeiten: Unzulässige Überwachung des Quellbereichs bei Wasserbezugsrecht.

Verfrühte Klage oder verspätete Auskunft? OLG Wien spricht Kostenersatz für Klage nach verspäteter DSGVO-Auskunft zu.

Übermittlung pseudonymisierter Daten an Dritte: EuGH zur Transparenzpflicht bei personenbezogenen Daten.

Absage in Gehaltsverhandlungen irrtümlich an Dritten versandt: EuGH zu Unterlassungs- und Schadenersatzansprüchen nach der DSGVO. Negative Gefühle können ausreichen.

Darf die Datenschutzbehörde (DSB) die Bearbeitung „exzessiver Beschwerden“ verweigern? EuGH: Anzahl ist nur Indiz für Missbrauchsabsicht.

Google-Bewertungen: OGH zur Anwendung des Herkunftslandsprinzips sowie datenschutzrechtlichen Fragestellungen.

Online-Apotheken und Datenschutz: EuGH stuft Kundendaten als Gesundheitsdaten ein. Klagebefugnis von Mitbewerbern bei Datenschutzverletzungen.

EuGH: Entschuldigung kann angemessener Ersatz eines immateriellen Schadens bei DSGVO-Verletzung sein.

EuGH: Meta (Facebook) muss Grundsatz der Datenminimierung einhalten. Keine zeitlich unbegrenzte und unterschiedslose Verarbeitung personenbezogener Daten für Werbung.

EuGH: Temporäre Veröffentlichung personenbezogener Daten im Handelsregister kann immateriellen Schaden auslösen.

Sparkassen-Mitarbeiter greift mehrmals unbefugt auf personenbezogene Daten eines Kunden zu. EuGH: Aufsichtsbehörde muss nicht bei jedem Verstoß Abhilfemaßnahme ergreifen oder Geldbuße verhängen.

EuGH: Verbandsklagen bei Datenschutzverstößen möglich, wenn bei Datenverarbeitung DSGVO-Informationspflichten verletzt wurden.

Videoüberwachung deckt versuchtes Erschleichen einer Versicherungsleistung auf: Kein DSGVO-Schadenersatz für (behauptete) Datenschutzverletzung.

EuGH zum immateriellen DSGVO-Schadenersatz: „Verlust der Kontrolle“ über personenbezogene Daten ist Schaden. Keine Straf- sondern Ausgleichsfunktion.

EuGH: Keine Bagatellgrenze für immateriellen Schaden infolge DSGVO-Verstoß. Jedoch Nachweis erforderlich, dass immaterieller Schaden tatsächlich entstanden ist.

EuGH: Datenschutzverletzung allein begründet nicht Unangemessenheit von Sicherheitsmaßnahmen. Befürchtung eines Datenmissbrauchs kann immateriellen Schaden darstellen.

Politische Partei veröffentlicht Stand-Bild von Live-Stream auf Facebook: DSGVO-Verstoß. Ansprüche auf Löschung, Unterlassung und Schadenersatz.

DSGVO-Schadenersatz für Schulwart, der irrtümlich in Lehrerbewertungs-App aufgenommen wurde.

Erfassen des Stromverbrauchs durch „Smart Meter“: Kein Anspruch auf Schadenersatz auf Grundlage der DSGVO aufgrund Sorgen allgemeiner Natur.

Immaterieller Schadenersatz bei Verstößen gegen die DSGVO? Verstoß allein genügt nicht. Schaden erforderlich. Aber: Keine „Erheblichkeitsschwelle“.

EuGH zu DSGVO-Geldbußen: Verstoß muss schuldhaft begangen worden sein. Höhe richtet sich nach weltweitem Jahresumsatz.