Zurück zur Übersicht
19.03.2026 Fachbeitrag

EuGH: Missbräuchliche Auskunftsersuchen können zurückgewiesen werden: „Brillen Rottler“ konkretisiert die Grenzen von Art. 15 und Art. 82 DSGVO

Update Datenschutz Nr. 240

Mit Urteil vom 19. März 2026 (Rs. C-526/24, Brillen Rottler) hat der EuGH klargestellt, dass auch ein erstmaliges Auskunftsersuchen unter bestimmten Voraussetzungen als missbräuchlich eingestuft und zurückgewiesen werden kann. Voraussetzung ist allerdings, dass der Verantwortliche nachweist, dass der Antrag zwar formal die Anforderungen der DSGVO erfüllt, tatsächlich aber nicht der Wahrnehmung von Transparenz- und Kontrollrechten dient, sondern allein in der Absicht gestellt wurde, künstlich die Voraussetzungen für einen späteren Schadensersatzanspruch nach Art. 82 DSGVO zu schaffen.

Die Entscheidung betrifft damit zwei für die Praxis zentrale Fragen: Zum einen, unter welchen Voraussetzungen Verantwortliche ein Auskunftsersuchen wegen Missbrauchs oder Exzessivität zurückweisen dürfen. Zum anderen, ob und unter welchen Voraussetzungen aus einer verweigerten oder unzureichenden Auskunft ein Schadensersatzanspruch nach Art. 82 DSGVO folgen kann. Damit betrifft das Urteil den praktischen Umgang mit strategisch motivierten Betroffenenanfragen ebenso wie die Reichweite des Haftungsrisikos unter der DSGVO.

Sachverhalt

Dem Verfahren lag ein Rechtsstreit zwischen dem Optikunternehmen Brillen Rottler und einer Privatperson zugrunde. Diese hatte sich im März 2023 über die Website des Unternehmens für einen Newsletter angemeldet und dabei in die Verarbeitung ihrer personenbezogenen Daten eingewilligt. 13 Tage später machte sie gegenüber dem Unternehmen einen Auskunftsanspruch nach Art. 15 DSGVO geltend. Brillen Rottler wies das Ersuchen fristgerecht zurück und berief sich auf einen missbräuchlichen bzw. exzessiven Charakter des Antrags. Im weiteren Verlauf verfolgte die betroffene Person nicht nur den Auskunftsanspruch weiter, sondern machte zusätzlich einen immateriellen Schadensersatzanspruch nach Art. 82 DSGVO in Höhe von 1.000 Euro geltend.

Brillen Rottler begründete seine Position damit, aus öffentlich zugänglichen Quellen ergebe sich, dass der Beklagte in vergleichbarer Weise wiederholt Datenschutzverstöße provoziere, um hieran Schadensersatzforderungen anzuknüpfen. Das Amtsgericht Arnsberg setzte das Verfahren aus und legte dem EuGH mehrere Fragen zur Vorabentscheidung vor. Im Zentrum stand dabei insbesondere, ob bereits ein erstmaliges Auskunftsersuchen rechtsmissbräuchlich sein kann, welche Bedeutung einer auf Schadensersatz gerichteten Motivation des Betroffenen zukommt und ob Art. 82 DSGVO zwingend eine Verarbeitung personenbezogener Daten voraussetzt.

Die Kernfragen des Verfahrens

Der EuGH hatte im Wesentlichen über folgende Punkte zu entscheiden: Erstens, ob ein erstmaliges Auskunftsersuchen überhaupt als exzessiv oder missbräuchlich im Sinne von Art. 12 Abs. 5 DSGVO eingeordnet werden kann. Zweitens, ob die Absicht des Betroffenen, mit dem Auskunftsersuchen einen späteren Schadensersatzanspruch vorzubereiten, eine Ablehnung rechtfertigen kann. Drittens, ob öffentlich zugängliche Informationen über ein entsprechendes Vorgehensmuster des Betroffenen hierfür ausreichen. Viertens, ob ein Verstoß gegen das Auskunftsrecht selbst einen Schadensersatzanspruch nach Art. 82 DSGVO tragen kann und ob hierfür zwingend eine „Verarbeitung“ im Sinne des Art. 4 Nr. 2 DSGVO vorliegen muss. Schließlich stellte sich die Frage, ob ein bloßer Kontrollverlust oder die Ungewissheit über den Umgang mit personenbezogenen Daten bereits einen immateriellen Schaden darstellen.

Kernaussagen des EuGH

Zum Rechtsmissbrauchseinwand

Der EuGH stellt klar, dass ein erster Auskunftsantrag unter bestimmten Umständen bereits als „exzessiv“ im Sinne von Art. 12 Abs. 5 DSGVO angesehen werden und deshalb missbräuchlich sein kann. Maßgeblich ist insoweit nicht allein die formale Ausübung des Auskunftsrechts, sondern der Zweck, zu dem dieses geltend gemacht wird. Ein Antrag kann zurückgewiesen werden, wenn der Verantwortliche nachweist, dass er nicht gestellt wurde, um sich der Datenverarbeitung bewusst zu werden und deren Rechtmäßigkeit zu überprüfen, sondern allein dazu dient, künstlich die Voraussetzungen für einen Schadensersatzanspruch zu schaffen.

Zur Motivation des Betroffenen

Besondere Bedeutung misst der Gerichtshof damit der Zielrichtung des Auskunftsersuchens zu. Die bloße Tatsache, dass ein Betroffener später Schadensersatz geltend machen will, genügt für sich genommen noch nicht. Entscheidend ist vielmehr, ob das Auskunftsrecht funktional zweckwidrig eingesetzt wird. Missbräuchlich ist das Ersuchen nach der Entscheidung dann, wenn es nicht der Kontrolle der Datenverarbeitung, sondern allein der Generierung eines Anspruchsszenarios dient.

Zu öffentlich zugänglichen Informationen über ein Vorgehensmuster

Der EuGH erkennt an, dass öffentlich zugängliche Informationen über ein systematisches Vorgehen des Betroffenen bei der Missbrauchsprüfung berücksichtigt werden können. Danach darf in die Würdigung einfließen, ob die betroffene Person nach außen erkennbar bereits mehrfach Auskunftsersuchen gegenüber verschiedenen Verantwortlichen gestellt und hieran Schadensersatzforderungen angeknüpft hat. Solche Umstände genügen nicht notwendig isoliert, können aber ein gewichtiges Indiz für eine missbräuchliche Absicht darstellen.

Zu Art. 82 DSGVO

Zugleich bestätigt der Gerichtshof, dass ein Schadensersatzanspruch nach Art. 82 DSGVO nicht auf klassische Fälle unrechtmäßiger Datenverarbeitung beschränkt ist. Auch ein Verstoß gegen das Auskunftsrecht kann grundsätzlich einen materiellen oder immateriellen Schaden auslösen und damit einen Anspruch nach Art. 82 DSGVO eröffnen. Damit unterstreicht der EuGH, dass auch die verfahrensrechtlichen Gewährleistungen der DSGVO haftungsrechtlich relevant sein können.

Zum immateriellen Schaden

Der Gerichtshof hält jedoch ebenso deutlich daran fest, dass Art. 82 DSGVO keinen pauschalen Ausgleich für jeden Rechtsverstoß gewährt. Die betroffene Person muss nachweisen, dass ihr tatsächlich ein materieller oder immaterieller Schaden entstanden ist. Zudem scheidet ein Anspruch aus, wenn das eigene Verhalten des Betroffenen die entscheidende Ursache des geltend gemachten Schadens darstellt. Für die Praxis ist das bedeutsam, weil damit weder die bloße Zurückweisung eines Auskunftsersuchens noch die bloße Berufung auf einen Kontrollverlust automatisch einen Schadensersatzanspruch tragen.

Bedeutung für die Praxis

Die Entscheidung ist für Unternehmen in zweifacher Hinsicht relevant. Einerseits stärkt sie Verantwortliche gegenüber offenkundig strategisch motivierten Auskunftsersuchen. Der EuGH erkennt an, dass sich Betroffenenrechte nicht losgelöst von ihrem Schutzzweck instrumentalisieren lassen. Andererseits setzt der Gerichtshof die Hürden für eine Zurückweisung nicht herab, sondern knüpft sie an einen substanziierten Nachweis der missbräuchlichen Absicht. Ein vorschneller Rückgriff auf Art. 12 Abs. 5 DSGVO bleibt damit riskant.

Ebenso praxisrelevant ist die haftungsrechtliche Aussage des Urteils. Unternehmen können sich nicht darauf verlassen, dass Verstöße gegen das Auskunftsrecht außerhalb des Anwendungsbereichs von Art. 82 DSGVO liegen. Wer ein Auskunftsersuchen zu Unrecht ablehnt oder unzureichend beantwortet, setzt sich weiterhin einem zivilrechtlichen Haftungsrisiko aus. Dieses Risiko wird allerdings dadurch begrenzt, dass der Betroffene einen tatsächlichen Schaden darlegen und nachweisen muss und sein eigenes Verhalten ihm anspruchsausschließend entgegengehalten werden kann, wenn es die maßgebliche Schadensursache bildet.

Was Unternehmen jetzt tun sollten

Erstens sollten Prozesse zur Bearbeitung von Auskunftsersuchen darauf überprüft werden, ob atypische oder strategisch motivierte Anfragen sauber identifiziert und dokumentiert werden können. Der Missbrauchseinwand ist nach dem Urteil möglich, verlangt aber eine tragfähige Tatsachengrundlage.

Zweitens sollten öffentlich verfügbare Hinweise auf ein systematisches Vorgehen eines Antragstellers nicht pauschal verwertet, sondern strukturiert in den konkreten Einzelfall eingeordnet werden. Erforderlich ist eine belastbare Dokumentation, aus der sich ergibt, warum das betreffende Ersuchen nicht der Kontrolle der Datenverarbeitung, sondern der künstlichen Vorbereitung von Schadensersatzansprüchen dient.

Drittens sollten Verantwortliche Zurückweisungen von Auskunftsersuchen künftig noch enger mit ihrer Haftungsbewertung nach Art. 82 DSGVO verzahnen. Denn auch eine Verletzung des Auskunftsrechts kann grundsätzlich schadensersatzrelevant sein.

Viertens empfiehlt es sich, interne Eskalations- und Freigabeprozesse für Fälle mit Missbrauchsverdacht zu schärfen. Entscheidungen über die vollständige oder teilweise Verweigerung einer Auskunft sollten rechtlich geprüft, nachvollziehbar dokumentiert und für einen späteren Rechtsstreit belastbar aufbereitet werden.

Fazit

Mit Brillen Rottler bringt der EuGH die Interessen von Betroffenen und Verantwortlichen in ein neues Gleichgewicht. Der Gerichtshof schützt das Auskunftsrecht weiterhin als zentrales Transparenzinstrument der DSGVO, stellt aber zugleich klar, dass es nicht zweckwidrig zur künstlichen Erzeugung von Schadensersatzansprüchen eingesetzt werden darf. Für Unternehmen ist dies ein wichtiges Signal: Missbräuchliche Anfragen können abgewehrt werden, aber nur auf der Grundlage eines sauber aufgearbeiteten und belegbaren Einzelfalls. Zugleich bleibt die Botschaft deutlich, dass Fehler beim Umgang mit Auskunftsersuchen haftungsrechtlich relevant bleiben können.

Als PDF herunterladen
Datenschutz & Datenrecht
IP, Media & Technology
Als PDF herunterladen

Ansprechpartner

Dr. Philip Kempermann, LL.M.
Düsseldorf

Ansprechpartner

Dr. Philip Kempermann, LL.M.
Düsseldorf

Weitere Artikel

16.03.2026
CNIL sanktioniert unzulässige Weitergabe von Loyalty-Daten an Social Media für Werbezwecke
11.03.2026
Einsatz künstlicher Intelligenz – Was ist aktuell rechtlich zu beachten?
03.03.2026
Digitale Souveränität in Unternehmen: Cloud- und KI-Nutzung rechtssicher gestalten
03.03.2026
BGH konkretisiert räumliche Trennung beim Online-Coaching – Vertragsinhalt ist entscheidend für Anwendbarkeit des Fernunterrichtsschutzgesetzes (FernUSG)
25.02.2026
DIGITAL OMNIBUS: Welche Erleichterungen ergeben sich für Unternehmen?
23.02.2026
AI Act: Der deutsche Entwurf zum Durchführungsgesetz im Überblick
19.02.2026
NIS-2: Registrierungspflicht bis zum 6. März 2026 – Jetzt handeln!
13.02.2026
Neuer Widerrufsbutton: Was Unternehmen bis zum 19. Juni 2026 umsetzen müssen
12.02.2026
„Mogelpackungen“ – Alles nur heiße Luft oder handfestes Risiko?
11.02.2026
28. Regime für innovative Unternehmen: Wie ein optionaler EU Rahmen Gründung und Skalierung erleichtern soll
26.01.2026
EU-Datenräume im Aufbruch: Was Unternehmen jetzt rechtlich wissen müssen
22.01.2026
EU-Digitalrecht 2026: Welche Änderungen sind auf nationaler Ebene zu erwarten?

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.