Auskunftsanträge als Geschäftsmodell: Newsletter abonnieren, Auskunft verlangen, Schadensersatz fordern. Auch wir sehen solche Fälle immer wieder. Zurück bleibt stets ein Störgefühl und die Frage: Darf ein Verantwortlicher in solchen Fällen schon den allerersten Auskunftsantrag zurückweisen? Als missbräuchlich? Und haftet er auf Schadensersatz, wenn er einem berechtigten Antrag nicht nachkommt – selbst wenn gar keine rechtswidrige Verarbeitung vorliegt? Der EuGH hat in seiner Entscheidung vom 19. März 2026 (C-526/24) wichtige Hinweise für die Praxis zu beiden Fragen gegeben und dabei sowohl die Verteidigungsmöglichkeiten der Verantwortlichen als auch die Reichweite des Schadensersatzanspruchs nach Art. 82 Abs. 1 DSGVO präzisiert.
Newsletter-Anmeldung als Ausgangspunkt für Schadensersatz-forderungen
Im März 2023 abonnierte eine in Österreich wohnhafte Privatperson den Newsletter eines familiengeführten Optikerunternehmens mit Sitz in Arnsberg. Nur 13 Tage später richtete die Person einen Auskunftsantrag nach Art. 15 DSGVO an das Unternehmen. Dieses wies den Antrag innerhalb der Monatsfrist zurück – er sei missbräuchlich i.S.v. Art. 12 Abs. 5 DSGVO.
Daraufhin forderte die Person Schadensersatz in Höhe von 1.000 Euro nach Art. 82 DSGVO. Das Unternehmen erhob negative Feststellungsklage und verwies auf Medienberichte, aus denen hervorgehe, dass die Person systematisch Newsletter abonniere, Auskunftsanträge stelle und anschließend Schadensersatz fordere.
Das zuständige Amtsgericht Arnsberg legte dem EuGH Fragen zur Vorabentscheidung vor, bei denen es im Kern um drei Komplexe ging: (i) Die Möglichkeit, bereits einen ersten Auskunftsantrag als exzessiv einzustufen, (ii) den Schadensersatz bei Verletzung des Auskunftsrechts ohne rechtswidrige Verarbeitung sowie (iii) den Kontrollverlust als immateriellen Schaden.
Missbrauch trotz Erstantrag – hohe Hürden für den Verantwortliche
Der EuGH stellte in seinem Urteil vom 19. März 2026 (C-526/24 – Brillen Rottler) klar: Auch ein erster Auskunftsantrag kann als „exzessiv“ i.S.v. Art. 12 Abs. 5 DSGVO angesehen und dann zurückgewiesen werden. Die häufige Wiederholung von Anträgen sei lediglich beispielhaft als Indiz angeführt.
Allerdings handle es sich um eine eng auszulegende Ausnahme vom Grundsatz der erleichterten Rechtsausübung. Für den Nachweis des Missbrauchs verlangt der EuGH eine zweistufige Prüfung:
- Objektives Element: Eine Gesamtheit objektiver Umstände muss ergeben, dass trotz formaler Einhaltung der Voraussetzungen des Art. 15 DSGVO das Ziel der Regelung – sich der Datenverarbeitung bewusst zu werden und deren Rechtmäßigkeit zu überprüfen – nicht erreicht wurde.
- Subjektives Element: Der Verantwortliche muss nachweisen, dass die betroffene Person den Antrag nicht zur Überprüfung der Datenverarbeitung, sondern in missbräuchlicher Absicht gestellt hat – etwa zur künstlichen Schaffung der Voraussetzungen für Schadensersatz.
Der EuGH legt dem Verantwortlichen dabei ausdrücklich die Beweislast auf. In die Gesamtbetrachtung können insbesondere einfließen:
- die freiwillige Bereitstellung der Daten,
- der Zweck dieser Bereitstellung und
- die zwischen Datenübermittlung und Auskunftsantrag verstrichene Zeit.
Zudem können öffentlich zugängliche Informationen – etwa Medienberichte oder Blogbeiträge darüber, dass dieselbe Person bei verschiedenen Verantwortlichen nach gleichem Muster Auskunftsanträge und Schadensersatzforderungen gestellt hat – als Indiz für die missbräuchliche Absicht herangezogen werden. Dieses Indiz allein genügt allerdings nicht; es muss durch weitere Anhaltspunkte im konkreten Einzelfall bestätigt werden. Wer sich ausschließlich auf öffentlich zugängliche Quellen stützt, ohne zusätzliche fallspezifische Umstände vortragen zu können, bleibt beweisfällig.
Schadensersatz auch bei Verletzung des Auskunftsrechts
Die zweite zentrale Aussage betrifft die Reichweite des Schadensersatzanspruchs aus Art. 82 Abs. 1 DSGVO. Der EuGH stellte fest, dass dieser nicht auf Schäden aus einer rechtswidrigen Verarbeitung beschränkt ist. Die Norm knüpfe an einen „Verstoß gegen diese Verordnung“ an – nicht an eine Verarbeitung. Die Weigerung, einem berechtigten Auskunftsantrag nachzukommen, kann daher einen eigenständigen Schadensersatzanspruch auslösen. Andernfalls wären Verletzungen der Betroffenenrechte aus Kapitel III der DSGVO vom Schadensersatz ausgeschlossen – die praktische Wirksamkeit der Normen wäre beeinträchtigt.
Kontrollverlust als Schaden – aber nicht bei selbst verursachter Ungewissheit
Der Gerichtshof bestätigt seine bisherige Rechtsprechung: Ein Kontrollverlust kann einen immateriellen Schaden begründen, auch wenn keine missbräuchliche Verwendung der Daten erfolgt ist. Allerdings genügt der DSGVO-Verstoß allein nicht – die betroffene Person muss nachweisen, dass ihr tatsächlich ein Schaden entstanden ist. Der Schaden muss sich von der Rechtsverletzung unterscheiden.
Besonders praxisrelevant ist die Klarstellung zur Kausalität, die der EuGH als eigenständige Anforderung neben dem Missbrauchseinwand nach Art. 12 Abs. 5 DSGVO betont: Hat die betroffene Person dem Verantwortlichen personenbezogene Daten gerade in der Absicht übermittelt, künstlich die Voraussetzungen für Schadensersatz zu schaffen, ist der Kausalzusammenhang zwischen Verstoß und Schaden unterbrochen. Ein Ersatzanspruch scheidet dann aus – auch wenn der Verantwortliche tatsächlich gegen die DSGVO verstoßen hat. Die Unterscheidung ist wichtig: Der Missbrauchseinwand betrifft die Frage, ob der Antrag überhaupt beantwortet werden muss; die Kausalitätsunterbrechung betrifft die nachgelagerte Frage, ob bei einem Verstoß Schadensersatz geschuldet wird. Beide Verteidigungslinien können unabhängig voneinander greifen. Der Missbrauchseinwand, ob überhaupt Auskunft zu erteilen ist, verlangt mehr als die Unterbrechung der Kausalitätsvermutung.
Konsequenzen für die Bearbeitung von Auskunftsanträgen
Die Entscheidung schreibt die insbesondere im EuGH Urteil vom 09.01.2025, C-416/23 entwickelten Grundsätze konsequent fort. Der Missbrauchseinwand nach Art. 12 Abs. 5 DSGVO ist nicht auf wiederholte Anträge an denselben Verantwortlichen beschränkt. Gleichzeitig bestätigt der Gerichtshof die weite Anwendung von Art. 82 Abs. 1 DSGVO: Schadensersatz kommt bei jeder Verletzung der DSGVO, auch der Betroffenenrechte, in Betracht – rechtswidrige Verarbeitung personenbezogener Daten ist nicht erforderlich.
Für Unternehmen bedeutet das: Auskunftsanträge müssen im absoluten Regelfall fristgerecht beantwortet werden – die Schwelle für den Missbrauchseinwand bleibt hoch. Gleichzeitig empfiehlt es sich, Indizien für eine missbräuchliche Absicht frühzeitig zu dokumentieren: den zeitlichen Zusammenhang zwischen Datenbereitstellung und Auskunftsantrag, das Verhalten der betroffenen Person und öffentlich zugängliche Informationen über ein systematisches Vorgehen. Entscheidend ist aber, dass diese allgemeinen Indizien durch weitere, fallspezifische Anhaltspunkte ergänzt werden. Nur so lässt sich der Missbrauchseinwand im Streitfall substantiiert vorbringen.
Bei Fragen zum Auskunftsrecht stehen wir gerne zur Verfügung und begleiten Unternehmen regelmäßig bei der DSGVO-konformen Beauskunftung unter Wahrung aller relevanter Rechte und Pflichten, auch dem Schutz des Unternehmens und der Rechte Dritte: kristina.schreiber@loschelder.de