Der EuGH hat mit Urteil vom 19. März 2026 (C-526/24) klargestellt, dass Auskunftsanfragen nach Art. 15 DSGVO unter bestimmten Voraussetzungen rechtsmissbräuchlich sein können. In solchen Fällen bestehen weder eine Antwortpflicht noch ein Anspruch auf Schadensersatz.
Unternehmen sind im Geschäftsalltag regelmäßig mit den Vorgaben der Datenschutz-Grundverordnung (DSGVO) konfrontiert. Besonders beliebt ist dabei das Auskunftsbegehren nach Artikel 15 DSGVO. Danach hat die betroffene Person das Recht, von datenverarbeitenden Unternehmen Auskunft darüber zu erhalten, welche personenbezogenen Daten über sie gespeichert werden, zu welchem Zweck dies geschieht und wie lange die Daten aufbewahrt werden. Das angefragte Unternehmen hat daraufhin grundsätzlich längstens einen Monat Zeit, die Anfrage zu beantworten. Eine verzögerte oder ausbleibende Antwort kann im schlimmsten Fall, wenn auch unter hohen Voraussetzungen, Schadensersatzansprüche begründen. Diese Systematik hat in den vergangenen Jahren „DSGVO-Hopper“ auf den Plan gerufen. Damit sind Personen gemeint, die gezielt darauf spekulieren, dass Unternehmen Fehler machen oder Fristen ignorieren, um ihnen anschließend Schadensersatzforderungen wegen eines vermeintlichen Datenschutzverstoßes zu schicken. Dass die DSGVO jedoch kein Selbstbedienungsladen ist, hat jetzt der Europäische Gerichtshof (EuGH) mit seinem Urteil vom 19. März 2026 (Az.: C-526/24) nochmals klargestellt. Anfragen können unter bestimmten Voraussetzungen rechtsmissbräuchlich sein, müssen nicht beantwortet werden und lassen den Anspruch auf geltend gemachten Schadensersatz entfallen.
Sachverhalt
Im konkreten Fall meldete sich ein in Österreich wohnhafter „Herr G.“ im März 2023 auf der Website eines deutschen Optiker- und Hörakustikunternehmens für einen Newsletter an und willigte in die Verarbeitung seiner personenbezogenen Daten ein. Nur wenige Tage später stellte er einen Auskunftsantrag nach Art. 15 DSGVO. Er forderte das Unternehmen auf zu bestätigen, dass seine Daten verarbeitet werden, und verlangte detaillierte Informationen über die von ihm gespeicherten Daten.
Das Unternehmen weigerte sich jedoch, die Auskunft zu erteilen. Durch Recherchen des Unternehmens kam heraus, dass der Mann systematisch und identisch gegen Dutzende Firmen vorging. Das Unternehmen war daher davon überzeugt, dass Herr G. rechtsmissbräuchlich handelte und beantwortete die Anfrage nicht.
Um sich gerichtlich bestätigen zu lassen, dass kein Auskunftsanspruch besteht, erhob das Unternehmen Klage vor dem Amtsgericht (AG) Arnsberg. Herr G. reagierte mit einer Widerklage. Er forderte weiterhin die Auskunft über seine Daten und verlangte zusätzlich 1.000 Euro Schadensersatz nach Art. 82 DSGVO wegen der verweigerten Auskunft und des damit einhergehenden Kontrollverlusts.
Das Amtsgericht (AG) Arnsberg war sich unsicher, ob das Unternehmen die Auskunft tatsächlich verweigern durfte, setzte das Verfahren aus und legte dem EuGH mehrere Fragen zur Auslegung der DSGVO vor.
Entscheidungsgründe
Der EuGH teilte mit, dass bereits ein allererster Auskunftsantrag als rechtsmissbräuchlich verweigert werden kann, wenn er nachweislich nur zur Geltendmachung von Schadensersatz dient. Zudem führe ein solcher Verstoß nicht automatisch zu einem Schadensersatz, da ein konkreter immaterieller Schaden immer im Einzelfall nachgewiesen werden muss.
Auch ein Erstantrag nach der DSGVO kann exzessiv sein
Zunächst äußerte sich das Gericht zu Artikel 12 Absatz 5 DSGVO. Danach kann das angefragte Unternehmen bei offenkundig unbegründeten oder, insbesondere im Fall von häufiger Wiederholung, exzessiven Anträgen die Auskunft verweigern.
Der Gerichtshof führte aus, dass der Begriff der „exzessiven Anträge“ sowohl quantitative als auch qualitative Merkmale umfasst. Die „häufige Wiederholung“ wird in der Vorschrift zwar als Regelbeispiel genannt, ist aber keine zwingende Voraussetzung.
Ein Missbrauch der Rechte liegt immer dann vor, wenn die Unionsregelung für Zwecke instrumentalisiert wird, die dem eigentlichen Schutzzweck der Norm widersprechen. Das Ziel von Art. 15 DSGVO ist es schließlich, dass sich Verbraucher der Datenverarbeitung bewusst werden und deren Rechtmäßigkeit überprüfen können. Wer den Antrag jedoch nachweislich nur stellt, um künstlich die Voraussetzungen für eine finanzielle Entschädigung zu provozieren, handelt rechtsmissbräuchlich. In einem solchen Fall darf das Unternehmen die Auskunft vollständig verweigern, sodass hieraus auch keine Schadensersatzansprüche entstehen.
Öffentliche Quellen als zulässiges Beweismittel
Die Beweislast dafür, ob ein Antrag exzessiv und damit rechtsmissbräuchlich ist, trägt gemäß Art. 12 Abs. 5 Satz 3 DSGVO das datenverarbeitende Unternehmen. Der Gerichtshof hat hierzu ausdrücklich klargestellt, dass Unternehmen, die ein systemwidriges Verhalten vermuten, öffentlich zugängliche Informationen aus dem Internet als Beweismittel heranziehen dürfen. Dazu zählen beispielsweise Blogbeiträge, Foreneinträge oder Berichte über laufende bzw. abgeschlossene Gerichtsverfahren des Anfragenden, um das systematische Vorgehen im Rahmen einer Gesamtschau nachzuweisen.
Schadensersatz kann es auch bei Auskunftsverstößen geben
Der EuGH knüpfte zudem an seine bisherige Rechtsprechung zum Thema Schadensersatz nach Art. 82 Abs. 1 DSGVO an. Ein solcher Anspruch setzt nicht zwingend einen materiellen Schaden voraus. Der notwendige Schaden kann auch ein immaterieller Schaden sein, der sich aus der Ungewissheit über den Verbleib der Daten oder einem Kontrollverlust ergibt.
Auch hier gilt jedoch, dass nicht automatisch ein immaterieller Schaden mit einem Datenschutzverstoß einhergeht. Die Hürden für den Kläger sind hoch, denn er muss ganz konkret nachweisen, dass ihm tatsächlich ein spürbarer immaterieller Schaden erwachsen ist. Dass ein solcher Schaden nicht einfach pauschal vermutet werden kann, liegt auf der Hand.
Zudem kommt ein Schadensersatzanspruch laut dem EuGH dann nicht in Betracht, wenn das Verhalten der betroffenen Person die entscheidende Ursache für den Schaden war. Das ist der Fall, wenn die Anmeldung zum Newsletter nachweislich allein mit dem Ziel erfolgte, die Voraussetzungen für einen späteren Schadensersatz zu schaffen.
Für die Praxis
Sollten Auskunftsanfragen nach Art. 15 DSGVO im Unternehmen eingehen, sollten diese keineswegs ignoriert, lückenhaft oder verspätet beantwortet werden. Die gesetzliche Frist von einem Monat sollte stets im Auge behalten werden.
Zwar stellen die Gerichte hohe Anforderungen an den Nachweis eines immateriellen Schadens, völlig ausgeschlossen ist ein solcher Anspruch bei Fehlern im Ablauf jedoch nicht. Am Ende kommt es darauf an, wie substanziiert der Kläger einen solchen Schaden, also etwa einen konkreten Kontrollverlust seiner Daten, dem Gericht vortragen kann und inwieweit das Gericht diesem Vortrag folgt.
Das Bundesarbeitsgericht (BAG) hat 2025 beispielsweise eine Schadensersatzklage in Höhe von 10.000 Euro im Verhältnis zwischen Arbeitnehmer und Arbeitgeber abgewiesen und zwar primär deshalb, weil der Kläger den konkreten Schaden nicht nachweisen konnte, obwohl der Arbeitgeber nachweislich zu spät auf die Datenauskunft geantwortet hatte (Urteil vom 20. Februar 2025, Az.: 8 AZR 61/24). Die erste Instanz, also das Arbeitsgericht, hatte dem Kläger den Schadensersatz wegen der reinen Fristüberschreitung zunächst noch zugesprochen.
Sollte sich trotzdem einmal die Vermutung aufdrängen, dass eine Anfrage rechtsmissbräuchlich gestellt wird, um im Anschluss Ansprüche geltend zu machen, ist trotz des EuGH-Urteils weiterhin höchste Vorsicht geboten. Man sollte es tunlichst unterlassen, eingehende Anfragen pauschal als „exzessiv“ abzutun.
Ob man sich im Einzelfall dafür entscheidet, den aktiven Weg zu gehen und per negativer Feststellungsklage gerichtlich klären zu lassen, dass keine Auskunftspflicht besteht, dem Anfragenden die Verweigerung aufgrund von Rechtsmissbräuchlichkeit schriftlich mitteilt oder die Anfrage schlichtweg zu ignorieren, bleibt letztendlich eine unternehmerische Entscheidung, die das jeweilige Risiko abwägen muss.
Zu beachten ist schließlich auch, dass sich Anfragende neben den Gerichten auch an die zuständigen Landesdatenschutzbeauftragten wenden können. Von einer solchen Aufsichtsbehörde Post zu bekommen und Stellung beziehen zu müssen, ist vieles, aber ganz sicher nicht vergnügungsteuerpflichtig.
Das Urteil lesen Sie hier.
Patrick Frank, Syndikusrechtsanwalt, Bundesinnung der Hörakustiker (biha) KdöR
„Hörakustik“ – einfach mehr wissen
