ARTICLE
27 March 2026

EuGH: Erster Antrag auf Auskunftserteilung kann nach DSGVO als missbräuchlich abgelehnt werden

GT
Greenberg Traurig, LLP

Contributor

Greenberg Traurig, LLP logo

Greenberg Traurig, LLP has more than 3,100 lawyers across 51 locations in the United States, Europe, the Middle East, Latin America, and Asia. The firm’s broad geographic and practice range enables the delivery of innovative and strategic legal services across borders and industries. Recognized as a 2025 BTI “Best of the Best Recommended Law Firm” by general counsel for trust and relationship management, Greenberg Traurig is consistently ranked among the top firms on the Am Law Global 100, NLJ 500, and Law360 400. Greenberg Traurig is also known for its philanthropic giving, culture, innovation, and pro bono work. Web: www.gtlaw.com.

Explore Firm Details
In seinem Urteil vom 19. März 2026 in der Rechtssache C-526/24 (Brillen Rottler) entschied der EuGH, dass selbst ein erster Antrag auf Auskunft über personenbezogene...
Germany Privacy
Philip Radlanski,Carsten Kociok, and Jannis Dietrich-Webb
Philip Radlanski’s articles from Greenberg Traurig, LLP are most popular:
  • within Privacy topic(s)
  • in United States
Greenberg Traurig, LLP are most popular:
  • within Transport topic(s)

In seinem Urteil vom 19. März 2026 in der Rechtssache C-526/24 (Brillen Rottler) entschied der EuGH, dass selbst ein erster Antrag auf Auskunft über personenbezogene Daten nach der DSGVO als exzessiv angesehen werden kann, wenn er missbräuchlich gestellt wird. 

Wichtige Erkenntnisse

  • Ein erster Antrag auf Auskunft nach Artikel 15 DSGVO kann gemäß Artikel 12 Absatz 5 als „exzessiv“ eingestuft werden. Der Verantwortliche trägt die Beweislast und muss einen eindeutigen Nachweis erbringen, dass die betroffene Person in Missbrauchsabsicht gehandelt hat und nicht aus einem echten Interesse an der Überprüfung der Rechtmäßigkeit der Datenverarbeitung.
  • Öffentlich zugängliche Informationen – wie Medienberichte oder Blogbeiträge, die das Verhaltensmuster einer betroffenen Person dokumentieren, die wiederholt Auskunftsersuchen stellt und anschließend Schadensersatzansprüche gegen mehrere Verantwortliche geltend macht – können als Faktor bei der Beurteilung des Missbrauchs herangezogen werden, jedoch nicht als einzige Grundlage.
  • Artikel 82 Absatz 1 DSGVO gewährt ein Recht auf Schadensersatz bei Verstößen gegen das Auskunftsrecht nach Artikel 15 Absatz 1. Der Schadensersatzanspruch ist nicht auf Schäden beschränkt, die aus Datenverarbeitungsvorgängen entstehen – bereits die Weigerung, einem Antrag der betroffenen Person nachzukommen, kann eine Haftung begründen.
  • Wenn die betroffene Person absichtlich personenbezogene Daten an einen Verantwortlichen übermittelt, um einen Schadensersatzanspruch zu begründen, kann der daraus resultierende Verlust der Kontrolle oder die Ungewissheit über die Verarbeitung keinen Anspruch auf Entschädigung nach Artikel 82 Absatz 1 DSGVO begründen – der Kausalzusammenhang wird durch das eigene Verhalten der betroffenen Person unterbrochen. Diese Einrede der Kausalität ist direkt auf das Szenario des „GDPR-Hoppings“ zugeschnitten.

Hintergrund

Am 19. März 2026 verkündete der Gerichtshof der Europäischen Union (EuGH) sein Urteil in der Rechtssache C‑526/24 (Brillen Rottler) und entschied damit über eine Vorabentscheidungsfrage des Amtsgerichts Arnsberg (Deutschland). Der Fall betrifft ein Phänomen, das umgangssprachlich als „GDPR-Hopping“ bekannt ist – dabei melden sich Personen für Dienste (wie Newsletter) an, stellen umgehend Auskunftsersuchen gemäß Artikel 15 DSGVO und machen dann immateriellen Schadenersatz gemäß Artikel 82 Absatz 1 DSGVO geltend, wenn der Verantwortliche diesen nicht erfüllt oder unzureichend reagiert.

In diesem Fall abonnierte eine Person aus Österreich den Newsletter von Brillen Rottler, einem familiengeführten Optikergeschäft mit Sitz in Arnsberg, Deutschland, und gab dabei über das Online-Anmeldeformular des Unternehmens personenbezogene Daten an. Dreizehn Tage später stellte er einen Antrag auf Auskunftserteilung gemäß Artikel 15 DSGVO. Brillen Rottler weigerte sich, dem nachzukommen, und machte geltend, der Antrag sei exzessiv im Sinne von Artikel 12 Absatz 5 DSGVO. Das Unternehmen verwies auf umfangreiche öffentlich zugängliche Beweise – Medienberichte, Blogbeiträge und Schilderungen von Rechtsanwälten –, die darauf hindeuten, dass die Person einem systematischen Muster folgte: Abonnieren eines Newsletters, Einreichen eines Auskunftsantrags und anschließende Geltendmachung von Schadensersatz, wenn der Antrag abgelehnt oder unsachgemäß bearbeitet wird. Der Betroffene hielt dem entgegen, sein Auskunftsersuchen sei legitim, und reichte eine Widerklage ein, in der er gemäß Artikel 82 Absatz 1 DSGVO mindestens 1.000 € immateriellen Schadensersatz forderte. Das Ausmaß des mutmaßlichen Verhaltens ist erheblich: In einem parallelen Verfahren vor dem Amtsgericht Augsburg (Deutschland) wurden im letzten Jahr 66 Fälle dokumentiert, die dem identischen Muster folgten und zu Schadensersatzforderungen in Höhe von insgesamt rund 160.000 € führten.

Das Amtsgericht Arnsberg hat dem EuGH acht Vorabentscheidungsfragen vorgelegt, die das Gericht zu drei Gruppen zusammengefasst hat: (1) ob ein Erstantrag auf Auskunftserteilung „exzessiv“ sein kann, (2) ob Artikel 82 Absatz 1 DSGVO Schadensersatzansprüche aus Verletzungen des Auskunftsrechts abdeckt und (3) ob der Verlust der Kontrolle oder Ungewissheit allein einen ersatzfähigen immateriellen Schaden darstellt.

Das Urteil des EuGH im Detail

1.  Ein Erstantrag auf Auskunft kann gemäß Art. 12 Abs. 5 DSGVO „exzessiv“ sein

Artikel 12 Absatz 5 DSGVO erlaubt es Verantwortlichen, eine angemessene Gebühr zu erheben oder die Bearbeitung von Auskunftsersuchen zu verweigern, die „offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiv“ sind. Der ausdrückliche Verweis der Bestimmung auf die „häufige Wiederholung“ hat einige Praktiker und Gerichte zu der Annahme veranlasst, dass ein erstes Ersuchen niemals als exzessiv gelten könne. Der EuGH hat diese Auslegung nun zurückgewiesen.

Die Argumentation des Gerichtshofs erfolgt auf drei Ebenen. Auf der Wortlaut-Ebene vertritt der EuGH die Auffassung, dass der Begriff „exzessiv“ sowohl qualitative als auch quantitative Konnotationen hat und dass der Verweis auf die „häufige Wiederholung“ lediglich illustrativ („insbesondere“) und nicht erschöpfend ist. Systematisch verbindet das Gericht Artikel 12 Absatz 5 DSGVO mit dem allgemeinen Grundsatz des EU-Rechts, der den Rechtsmissbrauch verbietet – ein Grundsatz, der bereits in der früheren Entscheidung des EuGH in der Rechtssache Österreichische Datenschutzbehörde (C‑416/23) anerkannt wurde. Teleologisch betont der Gerichtshof, dass das Recht auf Datenschutz nicht absolut ist (Erwägungsgrund 4 DSGVO) und gegen andere Rechte, einschließlich der unternehmerischen Freiheit des Verantwortlichen, abgewogen werden muss.

Der EuGH legt einen zweiteiligen Test zur Feststellung einer missbräuchlichen Verhaltensweise fest, der sich aus der allgemeinen EU-Rechtsmissbrauchsdoktrin ableitet:

  • Objektives Element: Eine Gesamtheit objektiver Umstände, die belegen, dass trotz formaler Einhaltung der Voraussetzungen für die Ausübung des Auskunftsrechts der Zweck der Verordnung nicht erreicht wurde. Zu den relevanten Faktoren zählen, ob die betroffene Person die personenbezogenen Daten freiwillig bereitgestellt hat, der Zweck der Datenbereitstellung, die zwischen der Datenbereitstellung und dem Auskunftsersuchen verstrichene Zeit sowie das Gesamtverhalten der betroffenen Person.
  • Subjektives Element: Die Absicht der betroffenen Person, sich unter der DSGVO einen Vorteil zu verschaffen, indem sie künstlich die Voraussetzungen für deren Anwendung schafft – insbesondere wenn der Auskunftsantrag nicht gestellt wird, um sich über die Datenverarbeitung zu informieren und deren Rechtmäßigkeit zu überprüfen, sondern um eine Grundlage für Schadensersatzansprüche zu schaffen.

Wichtig ist, dass der EuGH bestätigt, dass öffentlich zugängliche Informationen – wie Medienberichte, Blogbeiträge und Berichte von Fachleuten, die das Muster einer betroffenen Person dokumentieren, serienweise Auskunftsersuchen einzureichen und anschließend Schadensersatzansprüche gegen andere Verantwortliche geltend zu machen – bei der Beurteilung der exzessiven Absicht berücksichtigt werden können. Solche Informationen können jedoch nicht als alleinige Grundlage für die Feststellung dienen; sie müssen durch andere relevante Indikatoren untermauert werden.

Das Gericht betont, dass Artikel 12 Absatz 5 DSGVO eine enge Ausnahme von der Pflicht des Verantwortlichen darstellt, die Rechte der betroffenen Person zu gewährleisten. Die Schwelle für die Einstufung eines ersten Auskunftsersuchens als exzessiv muss hoch sein, und die Beweislast liegt eindeutig beim Verantwortlichen (Artikel 12 Absatz 5 Unterabsatz 2 DSGVO).

2.  82 Abs. 1 DSGVO regelt Schadensersatzansprüche bei Verletzungen des Auskunftsrechts

Die zweite wichtige Feststellung des Gerichts betrifft den Anwendungsbereich von Artikel 82 Absatz 1 DSGVO. Brillen Rottler hatte argumentiert, dass Schadensersatzansprüche nach Artikel 82 Absatz 1 DSGVO einen Verstoß im Zusammenhang mit einem Datenverarbeitungsvorgang voraussetzen und dass die bloße Weigerung, einem Auskunftsersuchen nachzukommen, keine „Verarbeitung“ im Sinne von Artikel 4 Absatz 2 DSGVO darstelle. Würde man diesem Argument folgen, wären Verstöße gegen das Auskunftsrecht vollständig vom Schadensersatzsystem der DSGVO ausgeschlossen.

Der EuGH wies diese Auslegung zurück. Artikel 82 Absatz 1 DSGVO gewährt ein Recht auf Ersatz des Schadens, der durch „einen Verstoß gegen diese Verordnung“ verursacht wurde – nicht lediglich durch eine rechtswidrige Verarbeitung. Der Gerichtshof führte zwei Gründe an:

  • Systematische Erwägungen: Artikel 82 ist in Kapitel VIII der DSGVO angesiedelt, das Rechtsbehelfe, Haftung und Sanktionen zum Schutz aller Rechte nach der Verordnung regelt – einschließlich der Rechte aus Kapitel III (Artikel 12–22), wie beispielsweise des Auskunftsrechts. Viele dieser Rechte werden gerade durch Untätigkeit – d. h. durch die Weigerung, auf den Antrag einer betroffenen Person zu reagieren – und nicht durch eine aktive Datenverarbeitung verletzt. Der Ausschluss solcher Verstöße aus dem Anwendungsbereich von Artikel 82 würde dessen praktische Wirksamkeit (effet utile) untergraben.
  • Teleologische Erwägungen: Artikel 82 soll die Verwirklichung der Ziele der DSGVO gewährleisten, einschließlich der Stärkung der Rechte der betroffenen Personen (Erwägungsgrund 11). Diese Rechte würden geschwächt, wenn Schadensersatz nur für rechtswidrige Handlungen im Zusammenhang mit der Datenverarbeitung gewährt würde. Das Gericht stellt fest, dass diese Auslegung im Einklang mit seiner früheren Rechtsprechung steht, wonach Verstöße gegen die Artikel 26 und 30 DSGVO – die als solche keine „rechtswidrige Verarbeitung“ darstellen – dennoch zu Schadensersatzansprüchen führen können (unter Verweis auf Bundesrepublik Deutschland, C‑60/22).

Damit wird eine Frage geklärt, die die deutschen Gerichte und Kommentatoren bisher gespalten hatte. Verantwortliche sollten sich bewusst sein, dass eine ungerechtfertigte Nichtbeantwortung von Anträgen betroffener Personen gemäß Kapitel III DSGVO nun ein eindeutig feststehendes Risiko der Schadensersatzhaftung nach Art. 82 Abs. 1 DSGVO mit sich bringt, unabhängig von etwaigen separaten Verstößen gegen die Verarbeitungsvorschriften.

3.  Verlust der Kontrolle und Ungewissheit als immaterieller Schaden – mit Einschränkungen

Aufbauend auf seiner früheren Rechtsprechung (Agentsia po vpisvaniyata, C‑200/23; Gemeinde Ummendorf, C‑456/22) bestätigt der EuGH, dass der Verlust der Kontrolle über personenbezogene Daten und die Ungewissheit darüber, ob die eigenen Daten verarbeitet wurden, einen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO darstellen können. Das Gericht bekräftigt, dass es keine De-minimis-Schwelle gibt – selbst geringfügige Schäden sind grundsätzlich ersatzfähig.

Der Gerichtshof legt jedoch mehrere Einschränkungen fest:

  • Nachweis eines tatsächlichen Schadens: Ein Verstoß gegen die DSGVO führt nicht automatisch zu einem Schadensersatzanspruch. Die betroffene Person muss nachweisen, dass tatsächlich ein Schaden entstanden ist. Die bloße Behauptung einer Befürchtung des Datenmissbrauchs reicht nicht aus; eine solche Befürchtung muss unter den konkreten Umständen als begründet nachgewiesen werden.
  • Keine Schadensvermutung: Die drei Voraussetzungen des Art. 82 Abs. 1 DSGVO – ein Verstoß gegen die DSGVO, ein tatsächlich entstandener Schaden und ein Kausalzusammenhang zwischen beiden – gelten weiterhin kumulativ. Ein Schaden kann nicht allein aus dem Verstoß abgeleitet werden.
  • Unterscheidung vom Verstoß selbst: Die betroffene Person muss nachweisen, dass die erlittenen Folgen einen Schaden darstellen, der sich vom bloßen Verstoß gegen die DSGVO selbst unterscheidet.

4.  Zusätzlicher Einblick: Der Kausalzusammenhang kann durch das eigene Verhalten der betroffenen Person unterbrochen werden

In einer für das Phänomen des „GDPR-Hopping“ wichtigen Passage stellte das Gericht fest, dass der Kausalzusammenhang zwischen einem Verstoß gegen die DSGVO und dem behaupteten Schaden durch das eigene Verhalten der betroffenen Person unterbrochen werden kann, wenn sich dieses Verhalten als entscheidende Ursache des Schadens erweist.

Insbesondere wenn der Verlust der Kontrolle oder die Ungewissheit hinsichtlich der Datenverarbeitung durch die eigene Entscheidung der betroffenen Person verursacht wurde, personenbezogene Daten an den Verantwortlichen zu übermitteln, mit der Absicht, künstlich die Voraussetzungen für einen Schadensersatzanspruch zu schaffen, ist gemäß Art. 82 Abs. 1 DSGVO kein Schadensersatz geschuldet. Das Gericht zog eine Analogie zu seiner Rechtsprechung zur Unterbrechung des Kausalzusammenhangs in anderen Zusammenhängen (unter Verweis auf WS u. a./Frontex, C‑679/23 P).

Während also die Einrede des Missbrauchs nach Artikel 12 Absatz 5 DSGVO es dem Verantwortlichen ermöglicht, den Auskunftsantrag gänzlich abzulehnen, bietet die Doktrin der Unterbrechung des Kausalzusammenhangs eine separate und eigenständige Einrede in der Schadensersatzphase: Selbst wenn der Verantwortliche seiner Beweislast nach Artikel 12 Absatz 5 nicht vollständig nachkommen kann, kann er einen Schadensersatzanspruch dennoch abwehren, indem er nachweist, dass die betroffene Person genau die Situation herbeigeführt hat, aus der der behauptete Schaden resultiert.

Praktische Auswirkungen

  • Für Verantwortliche und Unternehmen: Das Urteil bietet Verantwortlichen eine potenzielle neue Verteidigungsmöglichkeit gegen wiederholte, missbräuchliche Auskunftsersuchen – erstmals auf Ebene des EuGH kann sogar ein erstes Ersuchen als exzessiv abgelehnt werden. Um sich auf diese Verteidigung zu berufen, sollten Verantwortliche frühzeitig Beweismaterial sammeln (Dokumentation von Zeitabläufen, öffentlich zugängliche Berichte über das Verhaltensmuster des Antragstellers und parallele Verfahren) und den Missbrauchsvorwurf innerhalb der einmonatigen Antwortfrist gemäß Artikel 12 Abs. 3–4 DSGVO geltend machen, wobei die Gründe für die Ablehnung klar anzugeben sind. Die Kehrseite des Urteils erhöht den Druck bei berechtigten Anträgen; der EuGH hat bestätigt, dass eine ungerechtfertigte Ablehnung eines Auskunftsantrags nach Artikel 15 selbst eine Schadensersatzpflicht nach Artikel 82 Absatz 1 DSGVO auslösen kann, weshalb eine konsequente und zeitnahe Bearbeitung von Anträgen betroffener Personen von entscheidender Bedeutung ist.
  • Für betroffene Personen und Antragsteller: Berechtigte Auskunftsersuchen bleiben geschützt – das Gericht bekräftigte das Auskunftsrecht als Eckpfeiler des Transparenzrahmens der DSGVO und bestätigte, dass Schadensersatz bei dessen Verletzung und nicht nur bei unrechtmäßiger Verarbeitung, gewährt werden kann. Betroffene Personen, deren vorrangiges Ziel jedoch darin besteht, Schadensersatzansprüche zu konstruieren, anstatt ihre Datenschutzrechte tatsächlich auszuüben, laufen nun Gefahr, dass ihre Anträge wegen Missbrauchs abgelehnt werden und dass unabhängig davon der Kausalzusammenhang, der einem Anspruch nach Artikel 82 Absatz 1 zugrunde liegt, als durch ihr eigenes Verhalten unterbrochen angesehen wird.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

[View Source]
Authors
Photo of Philip Radlanski
Philip Radlanski
Photo of Carsten Kociok
Carsten Kociok
Photo of Jannis Dietrich-Webb
Jannis Dietrich-Webb
See More Popular Content From

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More