Wann ist ein Auskunftsersuchen exzessiv? EuGH nennt konkrete Prüfpunkte

EuGH über Missbrauch Auskunftsersuchen
Kategorien:

Mit der Entscheidung „Brillen Rottler“ hat der EuGH die Grenzen des Auskunftsrechts aus Art. 15 DSGVO konkretisiert und zugleich die Konturen des unionsrechtlichen Schadensersatzes nach Art. 82 DSGVO geschärft. Demnach kann laut EuGH auch ein erstmaliges Auskunftsersuchen „exzessiv“ im Sinne von Art. 12 Abs. 5 DSGVO sein, wenn der Verantwortliche nachweist, dass der Antrag nicht der Kontrolle der Datenverarbeitung dient, sondern missbräuchlich zur künstlichen Schaffung von Schadensersatzansprüchen gestellt wird.

Auskunftsersuchen wird wegen Exzess zurückgewiesen

In der Praxis zählen Auskunftsansprüche nach Art. 15 DSGVO zu den wichtigsten Betroffenenrechten. Für Verantwortliche stellen sie jedoch regelmäßig ein Spannungsfeld dar. Einerseits ist das Auskunftsrecht ein zentrales Transparenzinstrument und Voraussetzung für die effektive Wahrnehmung weiterer Betroffenenrechte. Andererseits häufen sich Konstellationen, in denen Auskunftsersuchen offensichtlich nicht primär auf Transparenz, sondern auf die Generierung von Druck, Kosten oder Schadensersatzansprüchen abzielen.

Der EuGH hatte nun über eine Vorlage des AG Arnsberg zu entscheiden. Die betroffene Person hatte den Newsletter eines Optikerunternehmens abonniert und dabei personenbezogene Daten in das Online-Formular eingetragen. Bereits 13 Tage später stellte sie einen Auskunftsantrag gemäß Art. 15 DSGVO. Das Unternehmen Brillen Rottler wies den Antrag zurück, da er missbräuchlich sei. Aus verschiedenen Medienberichten, Blogbeiträgen und Berichten von Rechtsanwälten sei ersichtlich, dass sich der Antragsteller systematisch zu Newslettern verschiedener Unternehmen anmelde, dann Auskunft beantrage und schließlich Schadensersatz fordere. Die betroffene Person hielt ihren Antrag hingegen für legitim und verlangte mindestens 1.000 Euro immateriellen Schadensersatz wegen der verweigerten Auskunft.

Damit musste der Gerichtshof zwei praktisch hochrelevante Fragen beantworten: Unter welchen Voraussetzungen darf ein Auskunftsantrag als exzessiv und missbräuchlich zurückgewiesen werden? Und kann die Verletzung des Auskunftsrechts als solche einen Schadensersatzanspruch nach Art. 82 DSGVO begründen?

Erste Auskunftsersuchen kann exzessiv sein

Der zentrale erste Befund des EuGH lautet: Ein Auskunftsantrag muss nicht wiederholt gestellt worden sein, um als exzessiv im Sinne von Art. 12 Abs. 5 DSGVO zu gelten. Zwar nennt die Norm die „häufige Wiederholung“ ausdrücklich, jedoch nur beispielhaft. Der Gerichtshof lehnt daher jede schematische Sichtweise ab, nach der ein Erstantrag begrifflich nie exzessiv sein könne.

Mit seiner Entscheidung knüpft der EuGH an Wortlaut und Systematik der DSGVO an. Der Begriff „exzessiv“ beschreibt im gewöhnlichen Sprachgebrauch ein Verhalten, das das vernünftige oder zulässige Maß überschreitet. Daraus folgt jedoch nicht, dass nur quantitative Übertreibungen gemeint sein könnten. Auch ein qualitativ missbräuchlicher Antrag kann exzessiv sein. Zugleich betont der Gerichtshof, dass Art. 12 Abs. 5 DSGVO als Ausnahme von der grundsätzlichen unentgeltlichen und erleichterten Ausübung der Betroffenenrechte eng auszulegen ist. Für die Annahme eines exzessiven Erstantrags gelten daher hohe Maßstäbe.

Für die Praxis ist insbesondere wichtig, dass der EuGH Art. 12 Abs. 5 DSGVO in den allgemeinen unionsrechtlichen Missbrauchsgrundsatz einordnet. Betroffenenrechte dürfen nicht in betrügerischer oder missbräuchlicher Weise instrumentalisiert werden. Damit stärkt das Urteil die Verantwortlichen dort, wo Anträge erkennbar nicht der datenschutzrechtlichen Kontrolle, sondern der formelhaften Anspruchsproduktion dienen.

Nachweis einer Missbrauchsabsicht erforderlich

Der Gerichtshof verlangt für die Annahme eines missbräuchlichen exzessiven Antrags eine Gesamtwürdigung aller relevanten Umstände. Entscheidend ist, ob der Antrag tatsächlich dem Zweck von Art. 15 DSGVO dient, nämlich der Bewusstwerdung über die Verarbeitung und der Überprüfung ihrer Rechtmäßigkeit. Fehlt dieser Zweck und geht es stattdessen darum, künstlich die Voraussetzungen für einen finanziellen Vorteil aus der DSGVO zu schaffen, kann ein Missbrauch vorliegen.

Der EuGH benennt mehrere Umstände, die in diese Würdigung einfließen können:

  • die freiwillige Bereitstellung der Daten,
  • den Zweck dieser Bereitstellung,
  • den kurzen zeitlichen Abstand zwischen Datenangabe und Auskunftsantrag sowie
  • das Gesamtverhalten der betroffenen Person.


Besonders hervorzuheben ist, dass auch öffentlich zugängliche Informationen über ein systematisches Vorgehen berücksichtigt werden dürfen. Solche Informationen genügen allerdings nicht isoliert. Sie können ein Indiz sein, müssen aber durch weitere Umstände bestätigt werden. Auch dies entspricht dem Ausnahmecharakter des Art. 12 Abs. 5 DSGVO. Laut dem EuGH kann ein erster Antrag missbräuchlich sein, wenn er nicht der Kontrolle der Verarbeitung, sondern allein der Schaffung von Schadensersatzvoraussetzungen dient. Dafür können mehrere ähnliche Fälle ein Anhaltspunkt sein.

Schadensersatz nach Art. 82 DSGVO auch bei Verletzung des Auskunftsrechts

Ebenso bedeutsam ist der zweite Teil der Entscheidung. Der EuGH stellt klar, dass sich Art. 82 Abs. 1 DSGVO nicht auf Schäden beschränkt, die unmittelbar aus einer Datenverarbeitung resultieren. Ein Schadensersatzanspruch kann demnach auch aus der Verletzung des Auskunftsrechts nach Art. 15 Abs. 1 DSGVO entstehen.

Damit weist der Gerichtshof eine enge, rein verarbeitungstechnische Auslegung des Art. 82 DSGVO zurück. Die DSGVO schützt nämlich nicht nur vor rechtswidriger Verarbeitung, sondern gewährt auch eigenständige Betroffenenrechte, deren effektive Durchsetzung unionsrechtlich abgesichert sein muss. Würde man Art. 82 DSGVO auf Fälle unmittelbarer Verarbeitung beschränken, wäre der Schutz dieser Rechte teilweise hinfällig. Ein Schadensersatzanspruch kann demnach auch bei Verletzung des Rechts auf Auskunft über personenbezogene Daten bestehen.

Kein Automatismus: Verstoß allein genügt nicht

Der EuGH stellt jedoch ebenso klar, dass nicht jeder Verstoß gegen die DSGVO automatisch zu einem Schadensersatzanspruch führt. Erforderlich sind nach wie vor die drei bekannten Voraussetzungen.

  1. Verstoß gegen die DSGVO,
  2. tatsächlicher materieller oder immaterieller Schaden und
  3. Kausalzusammenhang zwischen Verstoß und Schaden.


Gerade hierin liegt die ausgleichende Funktion der Entscheidung. Der Gerichtshof erweitert Art. 82 DSGVO nicht schrankenlos. Zwar bestätigt er, dass auch die Verletzung des Auskunftsrechts haftungsrelevant sein kann. Zugleich bleibt es jedoch dabei, dass die betroffene Person einen realen Schaden darlegen und beweisen muss. Ein abstrakter Rechtsverstoß reicht nicht aus. Dies entspricht der bisherigen Linie des EuGH zu Art. 82 DSGVO.

Kontrollverlust und Ungewissheit als immaterieller Schaden

Mit Blick auf den immateriellen Schaden erkennt der Gerichtshof an, dass der Verlust der Kontrolle über personenbezogene Daten oder die Ungewissheit, ob Daten verarbeitet wurden, grundsätzlich einen ersatzfähigen immateriellen Schaden darstellen können. Gerade das Auskunftsrecht ziele darauf ab, Informationsasymmetrien zu beseitigen und den Betroffenen Kontrolle über ihre Daten zu vermitteln.

Allerdings bleibt der EuGH auch hier differenziert. Die bloße Behauptung einer Befürchtung genügt nicht. Nachzuweisen ist ein tatsächlich eingetretener immaterieller Nachteil. Zudem kann der Kausalzusammenhang unterbrochen sein, wenn das eigene Verhalten der betroffenen Person die entscheidende Ursache des geltend gemachten Schadens war.

Wer also Daten bewusst in der Absicht bereitstellt, anschließend die Voraussetzungen für einen Schadensersatzanspruch zu schaffen, kann sich auf einen dadurch erst geschaffenen Kontrollverlust nicht ohne Weiteres berufen.

Lese-Tipp: BAG reicht “Ärger” über verspätete Auskunft für Schadensersatz nicht aus 

Einordnung der "Brillen Rottler"-Entscheidung für die Praxis

Die Entscheidung ist weder ein „Freibrief” zur Zurückweisung unbequemer Auskunftsanträge noch eine Einladung zu strategischen Massenbegehren. Vielmehr markiert sie einen unionsrechtlich austarierten Mittelweg.

Für Verantwortliche bedeutet dies zunächst, dass die Hürden für die Annahme eines exzessiven Erstantrags hoch bleiben. Eine pauschale Berufung auf Missbrauch ist nicht zulässig. Wer einen Antrag nach Art. 12 Abs. 5 DSGVO ablehnen möchte, muss nachvollziehbar dokumentieren können, aus welchen konkreten Umständen sich ergibt, dass der Betroffene gerade nicht die Rechtmäßigkeit der Verarbeitung prüfen will. Reine Vermutungen, allgemeine Skepsis oder eine konfliktorientierte Anspruchsverfolgung genügen nicht.

Zugleich stärkt das Urteil die Verteidigungsmöglichkeiten in missbrauchsnahen Fallgestaltungen. Bei auffälligen Konstellationen sollten Verantwortliche eine strukturierte Missbrauchsprüfung vornehmen. Relevante Indikatoren können sein: ein äußerst kurzer Abstand zwischen Dateneingabe und Auskunftsantrag, offensichtlich künstlich geschaffene Kontaktkonstellationen, parallele Anspruchsmuster gegenüber zahlreichen Verantwortlichen sowie öffentliche Hinweise auf ein standardisiertes Vorgehen. Entscheidend bleibt aber stets die Gesamtschau.

Für die Bearbeitungspraxis bedeutet das Urteil außerdem, dass Ablehnungen besonders sorgfältig begründet werden müssen. Wer Art. 12 Abs. 5 DSGVO in Anspruch nimmt, trägt die Darlegungs- und Beweislast. Schon deshalb empfiehlt sich regelmäßig eine dokumentierte Einzelfallprüfung unter Einbindung der Datenschutz- und Rechtsabteilung.

Auf der Betroffenenseite zeigt die Entscheidung ebenfalls klare Grenzen. Die gerichtliche Durchsetzung von Auskunftsansprüchen bleibt legitim. Auch die Geltendmachung von Schadensersatz ist nicht per se missbräuchlich. Ein Missbrauch liegt jedoch erst vor, wenn das Auskunftsrecht funktionswidrig eingesetzt wird. Also nicht mehr dem Schutzzweck des Art. 15 DSGVO dient, sondern lediglich als Vehikel zur künstlichen Anspruchsgenerierung genutzt wird.

Quelle: EuGH-Entscheidung “Brillen Rottler” (C‑526/24 vom 19. März 2026)

Kontakt aufnehmen
Tags:
Share this post :

Beliebte Kategorien

Newsletter

Abonnieren Sie unseren Datenschutz-Newsletter, um die neuesten Updates, Tipps und Erkenntnisse direkt in Ihren Posteingang zu erhalten.
Subscribe

Letzte Beiträge