Missbräuchlicher DSGVO-Auskunftsantrag – EuGH-Urteil mit Signalwirkung

Mit seinem Urteil „Brillen Rottler“ vom 19.03.2026 (Az.: C-526/24) hat der Europäische Gerichtshof (EuGH) erstmals klarere Leitlinien zum missbräuchlichen DSGVO-Auskunftsantrag entwickelt. Im Fokus steht dabei eine bislang umstrittene Frage: Kann bereits ein erstmaliges Auskunftsersuchen nach Art. 15 DSGVO als exzessiv und damit unzulässig eingestuft werden?

Während das Auskunftsrecht lange als besonders starkes Instrument der betroffenen Person galt, zeigt die Entscheidung eine neue Differenzierung. In der Praxis wurde dieses Recht zunehmend strategisch eingesetzt und hatte nicht selten das Ziel, Ansprüche auf Schadensersatz nach Art. 82 DSGVO vorzubereiten oder zu forcieren.

Der EuGH reagiert auf diese Entwicklung und zieht eine klarere Grenze zwischen legitimer Rechtsausübung und missbräuchlichem Verhalten.

Zentrale Aussagen des Urteils auf einen Blick:

• Auch ein erstmaliger Antrag kann unter Umständen als missbräuchlich gelten
• Die Darlegungs- und Beweislast liegt vollständig beim Verantwortlichen
• Gleichzeitig wird der Schadensersatz nach Art. 82 DSGVO gestärkt

Damit entsteht ein Spannungsfeld:

• effektive Durchsetzung von Betroffenenrechten
• versus Schutz vor gezielter Ausnutzung der DSGVO

Für Unternehmen bedeutet das: Auskunftsanträge müssen künftig nicht nur formal, sondern auch strategisch und rechtlich differenziert geprüft werden.

EuGH-Urteil Brillen Rottler C-526/24 im Überblick

Dem Urteil zum missbräuchlichen DSGVO-Auskunftsantrag liegt ein auf den ersten Blick unspektakulärer Sachverhalt zugrunde, der sich jedoch zu einer grundlegenden Rechtsfrage entwickelt hat.

Eine Privatperson registrierte sich über die Website eines Optikerunternehmens für den Newsletter und übermittelte dabei ihre personenbezogenen Daten. Bereits kurze Zeit später machte sie ihr Auskunftsrecht geltend.

Sachverhalt und zeitlicher Ablauf

• Anmeldung zum Newsletter unter Angabe personenbezogener Daten
• 13 Tage später: Auskunftsantrag nach Art. 15 DSGVO
• Unternehmen verweigert die Auskunft unter Berufung auf Art. 12 Abs. 5 DSGVO
• Begründung: Verdacht auf systematisches und strategisches Vorgehen
• Antragsteller fordert zusätzlich 1.000 € immateriellen Schadensersatz

Das Unternehmen argumentierte, dass kein echtes Informationsinteresse vorliege. Vielmehr spreche vieles dafür, dass der Betroffene gezielt ein Schema verfolge: Daten angeben, Auskunft verlangen und anschließend Schadensersatz geltend machen. Hinweise darauf ergäben sich laut Unternehmen aus öffentlich zugänglichen Informationen und vergleichbaren Fällen.

Der Antragsteller stellte sich dagegen auf den Standpunkt, dass er lediglich seine datenschutzrechtlichen Ansprüche wahrnehme. Aus seiner Sicht sei die verweigerte Auskunft selbst bereits ein Verstoß, der einen Schadensersatzanspruch begründe.

Vorlagefragen des AG Arnsberg

Das zuständige Amtsgericht Arnsberg sah Klärungsbedarf und legte dem EuGH mehrere zentrale Fragen vor:

• Kann ein erstmaliger Auskunftsantrag bereits als exzessiv gelten?
• Wann liegt ein missbräuchlicher DSGVO-Auskunftsantrag vor?
• Unter welchen Voraussetzungen besteht ein Schadensersatzanspruch nach Art. 82 DSGVO?

Damit wurde aus einem Einzelfall eine Grundsatzentscheidung für das gesamte europäische Datenschutzrecht.

Wann ist ein missbräuchlicher DSGVO-Auskunftsantrag gegeben?

Der EuGH stellt klar, dass ein missbräuchlicher DSGVO-Auskunftsantrag nicht allein an formalen Kriterien festgemacht werden kann. Entscheidend ist vielmehr, ob das Auskunftsersuchen seinem eigentlichen Zweck entspricht oder gezielt zweckentfremdet wird.

Zweck des Auskunftsrechts nach Art. 15 DSGVO

Das Recht aus Art. 15 DSGVO dient primär dazu, Transparenz zu schaffen. Betroffene sollen nachvollziehen können:

• ob und wie ihre Daten verarbeitet werden
• ob die Verarbeitung rechtmäßig erfolgt
• welche konkreten Daten betroffen sind

Wird dieses Ziel verfolgt, liegt grundsätzlich eine legitime Rechtsausübung vor.

Abweichung vom Normzweck als Kernproblem

Problematisch wird es dort, wo der Antrag zwar formal zulässig erscheint, tatsächlich aber andere Ziele verfolgt. Der EuGH betont, dass genau hier die Grenze zur Missbräuchlichkeit verlaufen kann.

Ein missbräuchlicher DSGVO-Auskunftsantrag kommt insbesondere in Betracht, wenn:

• kein echtes Interesse an der Datenauskunft besteht
• der Antrag lediglich als Mittel zum Zweck eingesetzt wird
• gezielt rechtliche Nachteile für das Unternehmen provoziert werden sollen

Rechtsmissbrauch trotz erstmaligem Antrag

Besonders relevant: Der Gerichtshof löst sich ausdrücklich von der bisherigen Annahme, dass nur wiederholte Anfragen problematisch sind.

Stattdessen gilt:

• Auch ein einmaliger Antrag kann exzessiv sein
• Maßgeblich ist die Gesamtbetrachtung des Einzelfalls
• Sowohl äußere Umstände als auch die Zielrichtung spielen eine Rolle

Gesamtwürdigung statt starrem Schema

Der EuGH verlangt eine umfassende Bewertung aller relevanten Faktoren. Dabei müssen zwei Ebenen zusammengeführt werden:

• objektive Umstände (z. B. Ablauf, Verhalten, Kontext)
• subjektive Motivation der betroffenen Person

Wichtig: Die Schwelle für die Annahme eines Missbrauchs bleibt bewusst hoch. Unternehmen können sich nicht pauschal darauf berufen, sondern müssen den Ausnahmecharakter sauber begründen.

Beweislast bei missbräuchlichen DSGVO-Auskunftsanträgen

Ein missbräuchlicher DSGVO-Auskunftsantrag liegt nach dem EuGH nur vor, wenn sich aus einer Gesamtbetrachtung ergibt, dass das Auskunftsrecht zweckwidrig eingesetzt wird. Maßgeblich ist, ob der Antrag tatsächlich der Transparenz über die Datenverarbeitung dient oder lediglich vorgeschoben wird.

Auf objektiver Ebene können insbesondere der zeitliche Zusammenhang zwischen Datenübermittlung und Auskunftsersuchen sowie ein auffälliges, wiederkehrendes Verhalten Indizien liefern. Solche Umstände allein reichen jedoch nicht aus, sondern müssen in ihrer Gesamtheit ein schlüssiges Bild ergeben.

Entscheidend ist zusätzlich die subjektive Zielrichtung. Ein Missbrauch kommt vor allem dann in Betracht, wenn der Antrag gezielt gestellt wird, um Schadensersatzansprüche nach Art. 82 DSGVO vorzubereiten oder auszulösen, ohne dass ein echtes Informationsinteresse besteht.

Die Hürden für diesen Einwand bleiben hoch: Unternehmen müssen konkrete Anhaltspunkte für eine missbräuchliche Absicht darlegen. Pauschale Vermutungen genügen nicht, sodass der Missbrauchseinwand die Ausnahme bleibt.

Schadensersatz nach Art. 82 DSGVO bei verweigerter Auskunft

Der EuGH stellt klar, dass ein Schadensersatzanspruch nach Art. 82 DSGVO nicht zwingend eine unrechtmäßige Datenverarbeitung voraussetzt. Bereits die Verletzung des Auskunftsrechts kann ausreichen, um einen ersatzfähigen Schaden zu begründen. Damit erweitert der Gerichtshof den Anwendungsbereich erheblich und erhöht die Relevanz einer ordnungsgemäßen Bearbeitung von Auskunftsanträgen.

Gleichzeitig betont der EuGH, dass kein Automatismus besteht: Ein bloßer DSGVO-Verstoß führt nicht automatisch zu einem Anspruch. Voraussetzung bleibt, dass tatsächlich ein materieller oder immaterieller Schaden eingetreten ist und dieser konkret nachgewiesen wird. Insgesamt ergibt sich daraus ein ausgewogenes Haftungssystem, das einerseits die Rechte der Betroffenen stärkt, andererseits aber unbegründete Forderungen begrenzen soll.

Immaterieller Schaden und Nachweispflicht

Der EuGH bestätigt seine weite Auslegung des immateriellen Schadensbegriffs und stellt klar, dass bereits der Verlust der Kontrolle über personenbezogene Daten oder die Unsicherheit über deren Verwendung einen ersatzfähigen Schaden darstellen können. Damit wird die Schwelle für immaterielle Schäden grundsätzlich niedrig angesetzt.

Gleichzeitig verschärft der Gerichtshof jedoch die Anforderungen an den Nachweis. Ein Schaden wird nicht vermutet, sondern muss konkret dargelegt werden. Es reicht nicht aus, sich allein auf den DSGVO-Verstoß zu berufen. Vielmehr muss eine spürbare Beeinträchtigung vorliegen, die über den bloßen Rechtsverstoß hinausgeht. Zudem ist ein klarer Kausalzusammenhang zwischen Verstoß und Schaden erforderlich.

Besonders relevant ist, dass ein Anspruch regelmäßig ausscheidet, wenn die betroffene Person selbst maßgeblich zur Entstehung des Schadens beigetragen hat, etwa indem sie gezielt Situationen schafft, um einen solchen geltend zu machen.

Handlungsempfehlungen für Unternehmen

Das EuGH-Urteil zum missbräuchlichen DSGVO-Auskunftsantrag hat unmittelbare Auswirkungen auf die Praxis. Unternehmen bewegen sich künftig stärker in einem Spannungsfeld zwischen Auskunftspflicht und Missbrauchsabwehr.

Auskunftsanträge rechtssicher prüfen

Auskunftsersuchen müssen weiterhin grundsätzlich beantwortet werden. Der Einwand des Missbrauchs bleibt eine Ausnahme und darf nur in klar belegbaren Fällen greifen. Unternehmen können sich zwar nun ausdrücklich darauf berufen, müssen dabei jedoch sehr zurückhaltend vorgehen.

In der Praxis bedeutet das: Jeder Antrag erfordert eine sorgfältige Einzelfallprüfung. Auffälligkeiten im Verhalten oder im zeitlichen Ablauf sollten erkannt und bewertet werden, ohne vorschnell eine Ablehnung auszusprechen. Denn eine unberechtigte Verweigerung kann selbst einen Schadensersatzanspruch auslösen.

Dokumentation und interne Prozesse anpassen

Zentral ist die klare Zuweisung der Beweislast. Unternehmen müssen darlegen können, warum ein missbräuchlicher DSGVO-Auskunftsantrag vorliegt. Ohne belastbare Dokumentation ist dieser Einwand kaum durchsetzbar.

Erforderlich sind insbesondere:

• nachvollziehbare Erfassung des Sachverhalts
• konkrete Indizien für ein systematisches oder widersprüchliches Verhalten
• saubere juristische Bewertung des Einzelfalls

Allgemeine Vermutungen oder Hinweise auf typische Missbrauchsmuster reichen nicht aus. Unternehmen müssen daher ihre internen Prozesse anpassen und rechtliche sowie organisatorische Prüfmechanismen enger verzahnen.

Fazit zum missbräuchlichen DSGVO-Auskunftsantrag

Das Urteil des EuGH setzt neue Maßstäbe für den Umgang mit dem missbräuchlichen DSGVO-Auskunftsantrag. Erstmals wird klargestellt, dass auch ein einmaliges Auskunftsersuchen als exzessiv eingeordnet werden kann. Entscheidend ist allein die Zielrichtung und der konkrete Einzelfall.

Für Unternehmen bedeutet das eine gewisse Entlastung, da strategische oder gezielt eingesetzte Anfragen nicht mehr in jedem Fall hinzunehmen sind. Gleichzeitig bleibt die Hürde für den Missbrauchseinwand hoch, insbesondere wegen der vollständigen Beweislast beim Verantwortlichen.

Parallel dazu konkretisiert der EuGH das Haftungssystem nach Art. 82 DSGVO. Bereits Fehler im Umgang mit Auskunftsanträgen können schadensersatzpflichtig sein, auch ohne unrechtmäßige Datenverarbeitung. Dennoch bleibt es dabei, dass ein konkreter Schaden nachgewiesen werden muss.

Insgesamt zwingt die Entscheidung zu einem präziseren Umgang mit Auskunftsersuchen. Unternehmen sollten ihre Prozesse entsprechend anpassen und jede Entscheidung sorgfältig dokumentieren.

Fragen zum missbräuchlichen DSGVO-Auskunftsantrag?

Sie möchten wissen, ob in Ihrem konkreten Fall ein missbräuchlicher DSGVO-Auskunftsantrag vorliegt oder wie Sie rechtssicher auf ein Auskunftsersuchen reagieren sollten? Vereinbaren Sie gerne einen Termin mit einem unserer spezialisierten Anwälte oder nehmen Sie unverbindlich Kontakt mit uns auf!