Missbräuchlich geforderte DS-GVO-Auskunft: Muss nicht erteilt werden

Ein Antrag aufAuskunft über die eigenen personenbezogenen Daten kann als missbräuchlicheingestuft und zurückgewiesen werden, wenn er allein in der Absicht gestelltwird, anschließend Schadensersatz wegen eines angeblichen Verstoßes gegen dieDatenschutz-Grundverordnung (DS-GVO) zu fordern. Das stellt der EuropäischeGerichtshof (EuGH) klar.

Eine in Österreichwohnhafte Person abonnierte den Newsletter des familiengeführtenOptikerunternehmens Brillen Rottler mit Sitz im deutschen Arnsberg. Dabei gabsie ihre personenbezogenen Daten in die Anmeldemaske auf der Website desUnternehmens ein.

13 Tage späterrichtete sie einen Auskunftsantrag nach der DS-GVO an Brillen Rottler. Nach derDS-GVO hat eine Person das Recht, vom Verantwortlichen im Sinne dieserVerordnung eine Bestätigung darüber zu verlangen, ob sie betreffendepersonenbezogene Daten verarbeitet werden, und, wenn dies der Fall ist, dasRecht auf Auskunft über diese Daten und die damit verbundenen Informationen.

Brillen Rottlerwies den Antrag zurück, da er missbräuchlich sei. Aus verschiedenenMedienberichten, Blogbeiträgen und Berichten von Rechtsanwälten seiersichtlich, dass sich der Antragsteller systematisch zu Newsletternverschiedener Unternehmen anmelde, dann Auskunft beantrage und schließlichSchadensersatz fordere. Der Antragsteller hingegen hält seinen Auskunftsantragfür legitim und fordert von Brillen Rottler eine Entschädigung von mindestens 1000 Euro für den immateriellen Schaden, der ihm durch die Zurückweisung desAntrags entstanden sei.

Das Amtsgericht (AG)Arnsberg, das mit dem Rechtsstreit zwischen Brillen Rottler und demAntragsteller über die Berechtigung der vorstehend genannten Anträge befasstist, hat den Gerichtshof unter anderem dazu befragt, ob ein erster Antrag derbetroffenen Person auf Auskunft über personenbezogene Daten als "exzessiv"angesehen werden kann.

Der EuGH bejahtdas. Dafür müsse der Verantwortliche nachweisen, dass trotz formaler Einhaltungder in der DS-GVO vorgesehenen Voraussetzungen für die Stellung einesAuskunftsantrags dieser Antrag nicht gestellt wurde, um sich derDatenverarbeitung bewusst zu werden und deren Rechtmäßigkeit zu überprüfen,sondern in der als "missbräuchlich" einzustufenden Absicht, künstlichdie Voraussetzungen für die Erlangung von Schadensersatz nach der DS-GVO zuschaffen.

Dass die betroffenePerson nach öffentlich zugänglichen Informationen etwa mehrere Anträge aufAuskunft über ihre personenbezogenen Daten, gefolgt vonSchadensersatzforderungen gegenüber verschiedenen Verantwortlichen, gestellthat, kann laut EuGH für die Feststellung einer solchen missbräuchlichen Absichtberücksichtigt werden.

Außerdem habe einePerson, der wegen eines Verstoßes gegen die DS-GVO – einschließlich einerVerletzung des Rechts auf Auskunft über ihre personenbezogenen Daten – einmaterieller oder immaterieller Schaden entstanden ist, Anspruch auf Ersatz desbetreffenden Schadens gegen den Verantwortlichen. Der Gerichtshof stellt jedochklar, dass die betroffene Person als Voraussetzung für einen solchenSchadensersatz unter anderem nachweisen muss, dass ihr tatsächlich einentsprechender Schaden entstanden ist. Wenn ihr eigenes Verhalten dieentscheidende Ursache für den Schaden ist, könne sie keinen Schadensersatz nachder DS-GVO erhalten,

Offen ist, wie derRechtsstreit ausgeht. Darüber muss nun – unter Berücksichtigung derAusführungen des EuGH – das AG Arnsberg entscheiden.

Gerichtshof derEuropäischen Union, Urteil vom 19.03.2026, C-526/24