EuGH klärt zentrale Fragen zu missbräuchlichen Auskunftsanträgen

Die strategische Nutzung des Auskunftsrechts nach Art. 15 DSGVO hat in den vergangenen Jahren spürbar zugenommen. Auskunftsanträge dienen häufig nicht mehr der Transparenz, sondern werden gezielt als Instrument zur Vorbereitung von Schadensersatzansprüchen eingesetzt. Dies stellt Unternehmen vor wachsende rechtliche Herausforderungen.

Nun hat sich der Europäische Gerichtshof (EuGH) in seinem Urteil vom 19. März 2026 (C-526/24) mit zentralen Fragen zum Umgang mit missbräuchlichen Auskunftsanträgen befasst. Im Mittelpunkt stand insbesondere die Frage, wann ein Auskunftsantrag als „exzessiv“ im Sinne des Art. 12 Abs. 5 DSGVO eingestuft werden kann, ob eine Ablehnung bei erkennbar missbräuchlicher Zielsetzung zulässig ist und inwieweit öffentlich zugängliche Informationen zur Begründung einer missbräuchlichen Absicht herangezogen werden dürfen.

DSGO Schadensersatz DSGVO-Auskunftsanfragen als Geschäftsmodell? Ihr externer Datenschutzbeauftragter in Berlin | sofortdatenschutz.de

Auskunftsanfrage nach Newsletter-Anmeldung

Im Ausgangsfall meldete sich eine betroffene Person im März 2023 für einen Newsletter eines Optikerunternehmens an und stellte 13 Tage später ein Auskunftsersuchen nach Art. 15 DSGVO.

Das Unternehmen lehnte die Auskunft unter Berufung auf Art. 12 Abs. 5 DSGVO innerhalb der gesetzlichen Monatsfrist ab. Zur Begründung verwies es auf ein bekanntes Muster, bei dem gezielt Auskunftsanträge gestellt werden, um anschließend Schadensersatz geltend zu machen.

Als der Betroffene seinen Antrag weiterverfolgte und zusätzlich einen Schadensersatz von 1.000 Euro nach Art. 82 DSGVO geltend machte, erhob das Unternehmen eine Feststellungsklage beim Amtsgericht Arnsberg. Dieses legte dem EuGH mehrere Fragen zur Auslegung der DSGVO vor.

Die Vorlagefragen und die Antworten des EuGH:

Im Kern hat der EuGH über folgende praxisrelevante Fragen entschieden:

1. Kann ein exzessiver Antrag auf Auskunft bereits bei der ersten Antragstellung vorliegen?

Ja. Der EuGH stellt klar, dass für die Einstufung als „exzessiv“ im Sinne des Art. 12 Abs. 5 DSGVO nicht die Anzahl der gestellten Anträge entscheidend ist, sondern deren erkennbare Zielrichtung. Kann der Verantwortliche nachweisen, dass ein Antrag nicht der Transparenz, sondern der gezielten Schaffung von Schadensersatzansprüchen dient, kann bereits der erste Antrag als „exzessiv“ eingestuft werden. Da der Begriff unionsrechtlich nicht definiert ist, ist er unter Berücksichtigung des Wortlauts, des systematischen Zusammenhangs sowie der Ziele der DSGVO auszulegen.

2. Darf eine Auskunft verweigert werden, wenn der Antrag erkennbar der Schaffung von Schadensersatzansprüchen dient?

Ja, aber unter strengen Voraussetzungen. Die Ablehnung bleibt die begründungspflichtige Ausnahme, nicht die Regel. Sie setzt eine sorgfältige Einzelfallprüfung und eine belastbare Dokumentation voraus.

3. Können öffentlich zugängliche Informationen über den Betroffenen herangezogen werden, um eine Auskunft zu verweigern?

Ja. Unternehmen dürfen öffentlich zugängliche Informationen wie Medienberichte, Blogbeiträge oder Einschätzungen von Fachanwälten heranziehen, um eine missbräuchliche Absicht zu belegen. Das erleichtert den Nachweis in der Praxis erheblich, setzt aber voraus, dass diese Informationen systematisch gesammelt und dokumentiert werden.

4. Kann allein die Verletzung des Auskunftsrechts einen Schadensersatzanspruch begründen?

Ja. Weigert sich ein Unternehmen unberechtigterweise, eine Auskunft zu erteilen, kann diese Pflichtverletzung einen Schadensersatzanspruch nach Art. 82 DSGVO auslösen, sofern hierdurch ein materieller oder immaterieller Schaden entstanden ist. Dies gilt unabhängig davon, ob die zugrunde liegende Datenverarbeitung rechtmäßig war. Eine vorschnelle oder unzureichend begründete Ablehnung birgt damit erhebliche Haftungsrisiken.

5. Kann ein Unternehmen einwenden, dass die betroffene Person ihre Daten bewusst übermittelt hat, um Ansprüche zu provozieren?

Ja. Der EuGH erkennt ausdrücklich an, dass der Kausalzusammenhang entfallen kann, wenn die betroffene Person ihre Daten bewusst mit dem alleinigen Ziel übermittelt hat, einen Schadensersatzanspruch zu konstruieren, und dieses Verhalten die entscheidende Ursache für den geltend gemachten Schaden war. Damit steht Unternehmen erstmals eine rechtlich belastbare Einwendung zur Verfügung, die bislang in der Praxis kaum nutzbar war.

6. Reicht ein subjektives Gefühl des Kontrollverlusts oder Unsicherheit über die Datenverarbeitung als immaterieller Schaden aus?

Nein, nicht automatisch. Ein Kontrollverlust über personenbezogene Daten oder Ungewissheit über deren Verarbeitung können zwar als immaterieller Schaden anerkannt werden, allerdings nur, wenn nachgewiesen wird, dass dieser Schaden tatsächlich eingetreten ist.

Die Instrumentalisierung von Betroffenenrechten ist kein Einzelfall, sondern eine strukturelle Entwicklung

Die Entscheidung des EuGH steht nicht für sich allein. Sie reagiert auf eine Entwicklung, die Datenschutzaufsichtsbehörden seit einiger Zeit beobachten und zunehmend thematisieren. So hat unter anderem das Bayerische Landesamt für Datenschutzaufsicht in seinem Tätigkeitsbericht 2025 ausdrücklich darauf hingewiesen, dass Betroffenenrechte vermehrt strategisch instrumentalisiert werden, insbesondere Auskunftsersuchen, die gezielt dazu eingesetzt werden, Druck auf Unternehmen auszuüben oder zivilrechtliche Ansprüche vorzubereiten.

Es handelt sich damit nicht um Einzelfälle, sondern um ein systematisches Phänomen, auf das Unternehmen vorbereitet sein sollten.

Was das Urteil für die Praxis bedeutet

Das EuGH-Urteil rückt das eigentliche Ziel der DSGVO und der Betroffenenrechte wieder deutlich in den Vordergrund. Es stellt klar, dass das Auskunftsrecht der Transparenz und Kontrolle der Datenverarbeitung dient und nicht zur strategischen Durchsetzung von Schadensersatzansprüchen genutzt werden darf. Zugleich stärkt das Urteil die Verteidigungsmöglichkeiten von Unternehmen in Fällen erkennbaren Missbrauchs.

Zwar kann bereits eine unberechtigte Verweigerung der Auskunft einen Schadensersatzanspruch begründen. Wer jedoch Auskunftsanfragen sorgfältig prüft, alle relevanten Umstände nachvollziehbar dokumentiert und rechtlich fundiert bewertet, kann die neu eröffneten Spielräume nutzen und zugleich Haftungsrisiken wirksam reduzieren.

Praxis-Tipps:

Prüfen Sie jeden Auskunftsantrag sorgfältig und achten Sie dabei auf Anzeichen für einen möglichen Missbrauch. Typisch sind ein sehr kurzer Zeitraum zwischen Dateneingabe und Anfrage, die unmittelbare Einschaltung einer Kanzlei oder auffällig standardisierte Formulierungen in den Anträgen.
Dokumentieren Sie alle relevanten Umstände nachvollziehbar, insbesondere den zeitlichen Zusammenhang zwischen Dateneingabe und Anfrage, den Zweck der ursprünglichen Datenerhebung, das konkrete Verhalten der betroffenen Person im Einzelfall sowie auffällige Kommunikationsmuster. Sie dürfen auch öffentlich zugängliche Informationen heranziehen, um eine missbräuchliche Absicht zu belegen.
Lehnen Sie Anfragen nur in klar begründeten Ausnahmefällen ab und stützen Sie Ihre Entscheidung auf eine rechtliche Prüfung. Beachten Sie, dass eine unberechtigte Verweigerung einen Schadensersatzanspruch auslösen kann.
Sorgen Sie für klare Abläufe im Unternehmen und schulen Sie Ihre Mitarbeitenden regelmäßig im Umgang mit Auskunftsanfragen.

Sofortdatenschutz – Kontaktaufnahme

„*“ zeigt erforderliche Felder an

Instagram

Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Ihr Name*

Firma*

Ihre E-Mail*

Ihre Telefonnummer*

Ihre Nachricht*

Einwilligungserklärung und Datenschutzinformation

Mit Absenden des Formulars erkläre ich mich damit einverstanden, dass die im Rahmen dieser Nachricht angegebenen personenbezogenen Daten in einer unter der Verantwortung der mip Consult GmbH geführten Datenbank ausschließlich für die Bearbeitung und Beantwortung dieser Anfrage verarbeitet werden und die mip Consult GmbH mir entsprechende, anfragebezogene Informationen per Post, E-Mail oder telefonisch zukommen lassen kann. Die Einverständniserklärung kann jederzeit z.B. schriftlich an mip Consult GmbH, Wilhelm-Kabus-Str. 9, 10829 Berlin oder per E-Mail an sofortdatenschutz@mip-consult.de mit Wirkung für die Zukunft widerrufen werden. Ihre Daten werden vertraulich behandelt und nicht an Dritte weitergegeben. Die Datenübertragung erfolgt verschlüsselt. Weitere Informationen zum Datenschutz finden Sie unter https://www.sofortdatenschutz.de/datenschutzinformation.

DSGVO-Auskunftsanfragen als Geschäftsmodell?

EuGH klärt zentrale Fragen zu missbräuchlichen Auskunftsanträgen

Auskunftsanfrage nach Newsletter-Anmeldung

Die Vorlagefragen und die Antworten des EuGH:

1. Kann ein exzessiver Antrag auf Auskunft bereits bei der ersten Antragstellung vorliegen?

2. Darf eine Auskunft verweigert werden, wenn der Antrag erkennbar der Schaffung von Schadensersatzansprüchen dient?

3. Können öffentlich zugängliche Informationen über den Betroffenen herangezogen werden, um eine Auskunft zu verweigern?

4. Kann allein die Verletzung des Auskunftsrechts einen Schadensersatzanspruch begründen?

5. Kann ein Unternehmen einwenden, dass die betroffene Person ihre Daten bewusst übermittelt hat, um Ansprüche zu provozieren?

6. Reicht ein subjektives Gefühl des Kontrollverlusts oder Unsicherheit über die Datenverarbeitung als immaterieller Schaden aus?

Die Instrumentalisierung von Betroffenenrechten ist kein Einzelfall, sondern eine strukturelle Entwicklung

Was das Urteil für die Praxis bedeutet

Praxis-Tipps:

Sofortdatenschutz – Kontaktaufnahme

Inhalt

Mehr zum Thema Datenschutz

Kontakt

Downloadbereich

Neueste Blogeinträge

DSGVO-Auskunftsanfragen als Geschäftsmodell?

Darf die Herkunft bei der Wohnungsvergabe eine Rolle spielen?

NIS2-Registrierungspflicht: Dringender Handlungsbedarf für betroffene Unternehmen

Neuer SCHUFA-Score 2026: Kriterien, Berechnung und Auswirkungen auf Verbraucher

Datenschutzbeschwerden 2025: Auch Bayern meldet Rekordzahlen

Dürfen Behörden ohne Ihr Wissen Daten über Ihre Religion sammeln?

Sitemap