Hintergrund und Sachverhalt
Am 19. März 2026 hat der Europäische Gerichtshof (EuGH) in der Rechtssache C 526/24 (Brillen Rottler GmbH & Co. KG ./. TC) zentrale Fragen zum Auskunftsanspruch nach Art. 15 DSGVO, zum Rechtsmissbrauch und zum Schadensersatz bei Datenschutzverstößen entschieden.
Im Ausgangsfall hatte eine Privatperson (TC) nur wenige Tage nach Anmeldung zum Newsletter eines Optikerunternehmens (Brillen Rottler) einen Auskunftsantrag nach Art. 15 DSGVO gestellt. Das Unternehmen verweigerte die Auskunft mit der Begründung, der Antrag sei rechtsmissbräuchlich, da TC systematisch vorgehe. TC würde mehrfach sich online für den Erhalt von Newslettern anmelden und wenige Tage später Auskunftsanträge stellen, um Schadensersatzansprüche zu provozieren. TC forderte daraufhin immateriellen Schadensersatz wegen der verweigerten Auskunft.
Das Amtsgericht Arnsberg legte dem EuGH mehrere Fragen zur Auslegung der DSGVO vor, insbesondere zur Möglichkeit, bereits einen ersten Auskunftsantrag als „exzessiv“ bzw. rechtsmissbräuchlich zu qualifizieren sowie zu den Voraussetzungen für Schadensersatz und zur Definition des immateriellen Schadens.
Die Kernaussagen des Urteils
1) Exzessiver Auskunftsantrag und Rechtsmissbrauch
Der EuGH stellt in seinem Urteil zunächst klar, dass auch ein erstmaliger Auskunftsantrag als „exzessiv“ im Sinne von Art. 12 Abs. 5 DSGVO eingestuft werden kann. Entscheidend ist nicht die Anzahl der Anträge, sondern ob der Antrag missbräuchlich gestellt wurde. Es obliegt allerdings dem Verantwortlichen alle relevanten Umstände darzulegen und nachzuweisen, dass der Antrag nicht zur Wahrnehmung des Auskunftsrechts, sondern in missbräuchlicher Absicht (z.B. zur künstlichen Schaffung von Schadensersatzansprüchen) gestellt wurde. Der EuGH führt insoweit aus:
„Was insoweit als Zweites das subjektive Element einer missbräuchlichen Vorgehensweise betrifft, so muss der Verantwortliche, um einen Auskunftsantrag als „exzessiv“ im Sinne von Art. 12 Abs. 5 DSGVO einstufen zu können, anhand aller relevanten Umstände des Einzelfalls nachweisen, dass eine Missbrauchsabsicht seitens der betroffenen Person vorliegt, wobei eine solche Absicht festgestellt werden kann, wenn diese Person den Antrag zu einem anderen Zweck stellt als dem, sich der Datenverarbeitung bewusst zu werden und deren Rechtmäßigkeit zu überprüfen, um anschließend ihre Rechte aus der DSGVO schützen zu können (vgl. in diesem Sinne Urteil vom 9. Januar 2025, Österreichische Datenschutzbehörde [Exzessive Anfragen], C‑416/23, EU:C:2025:3, Rn. 50 und 56)“ (Fettdruck nicht im Original)
Öffentlich zugängliche Informationen über systematische Anträge und Schadensersatzforderungen – wie im vorliegenden Fall – können Indizien sein, müssen aber durch weitere Umstände bestätigt werden. Allgemeingültige Aussagen können insofern nicht getroffen werden, da es auf die Umstände im Einzelfall ankommt. Die Möglichkeit, einen Antrag als exzessiv abzulehnen, ist in jedem Fall eng auszulegen und darf nicht dazu führen, berechtigte Auskunftsansprüche zu beschneiden.
2) Möglichkeit des Schadensersatzes bei Verletzung des Auskunftsrechts gegeben
Der EuGH bejaht, dass ein Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO auch dann bestehen kann, wenn der Schaden aus der Nichterteilung der Auskunft resultiert. Zwar fand in dieser Konstellation keine Verarbeitung von Daten statt – der Verantwortliche hat ja gerade nichts getan, die Rechte der betroffenen Personen würden jedoch erheblich geschwächt, wenn die reine Nichtbeachtung ihrer Rechte mangels Verarbeitung keine Ansprüche gegenüber dem Verantwortlichen geben würden.
Für den Anspruch auf Schadensersatz müssen jedoch neben dem Verstoß gegen die DSGVO (= Nichterteilung der Auskunft) auch ein (materieller oder immaterieller) Schaden und ein Kausalzusammenhang zwischen beiden durch die betroffene Person nachgewiesen werden.
3) Immaterieller Schaden
Der Verlust der Kontrolle über personenbezogene Daten oder die Ungewissheit über deren Verarbeitung kann nach inzwischen wohl ständiger Rechtsprechung einen immateriellen Schaden darstellen, sofern tatsächlich ein Nachteil eingetreten ist. Ebenfalls ständige Rechtsprechung ist es, dass auch geringfügige immaterielle Schäden ersatzfähig sind, jedoch muss die betroffene Person den Schaden konkret darlegen und nachweisen.
Zusätzlich der der EuGH im vorliegenden Urteil betont, dass
„der betroffenen Person nach Art. 82 Abs. 1 DSGVO kein Ersatz für Schäden gewährt werden [kann], die ihr durch den Verlust der Kontrolle über ihre personenbezogenen Daten oder ihre Ungewissheit über das Vorliegen einer Verarbeitung dieser Daten entstanden sein sollen, wenn der Kausalzusammenhang aufgrund der Handlungsweise dieser Person unterbrochen wird, weil besagter Kontrollverlust oder besagte Ungewissheit durch die Entscheidung der betroffenen Person herbeigeführt wurden, dem Verantwortlichen diese Daten in der Absicht zu übermitteln, künstlich die Voraussetzungen für die Anwendung dieser Bestimmung zu schaffen.“ (Fettdruck nicht im Original)
4) Praktische Relevanz für Unternehmen
Das Urteil hat erhebliche praktische Bedeutung für Unternehmen als datenschutzrechtlich Verantwortliche. Insbesondere gibt es diesen eine praktische Handhabe, auch erstmalige Auskunftsersuchen als rechtsmissbräuchlich abzulehnen, wenn die betroffene Person eindeutig andere Zwecke mit dem Auskunftsersuchen verfolgt. In diesem Fall sind jedoch hohe Nachweisanforderungen zu erfüllen. Die Ablehnung eines Antrags muss sorgfältig dokumentiert und begründet werden. Es empfiehlt sich, alle relevanten Umstände des Einzelfalls zu erfassen.
Die Wahrscheinlichkeit eines Schadensersatzanspruch der betroffenen Person aufgrund nichterteilter Auskunft ist zwar niedrig, denn die betroffene Person muss ihren Schaden und die Kausalität zwischen Schaden und Verstoß nachweisen. Dennoch sollten Unternehmen ein Auskunftsersuchen immer sorgfältig und individuell prüfen und nur in klar belegbaren Ausnahmefällen als exzessiv oder missbräuchlich ablehnen. Eine pauschale Ablehnung birgt erhebliche Haftungsrisiken. Im Zweifel empfiehlt sich eine rechtliche Einzelfallprüfung und eine transparente Kommunikation mit der betroffenen Person.
Für Fragen rund um Datenschutz und Betroffenenrechte stehen Ihnen unsere Experten gerne zur Verfügung.
'/%3e%3c/svg%3e){kind=small}
'/%3e%3c/svg%3e){kind=small}
