Missbräuchliche Auskunftsersuchen können bereits beim ersten Antrag zurückgewiesen werden

Der EuGH setzt mit Brillen Rottler erstmals Grenzen für missbräuchliche Auskunftsbegehren nach Art. 15 DSGVO – und klärt zugleich, wann Anträge exzessiv sind, ob Schadensersatz ohne Rechtsverstoß möglich ist und wie Betroffenenverhalten den Kausalzusammenhang beeinflusst.

Hintergrund: Das Geschäftsmodell der „Datenschutz-Trolle"

Der Sachverhalt illustriert ein in der Praxis zunehmend verbreitetes Muster: Eine in Österreich wohnhafte Person meldete sich im März 2023 über die Website des Optikunternehmens Brillen Rottler für einen Newsletter an. Nur 13 Tage später folgte ein Auskunftsersuchen nach Art. 15 DSGVO. Brillen Rottler wies den Antrag fristgerecht als missbräuchlich zurück. Die Reaktion: Die betroffene Person machte immateriellen Schadensersatz in Höhe von EUR 1.000 nach Art. 82 DSGVO geltend.

Brillen Rottler stützte sich darauf, dass öffentlich zugängliche Quellen ein systematisches Vorgehen des Antragstellers belegten: Er melde sich gezielt für Newsletter an, stelle anschließend Auskunftsanträge und verknüpfe diese mit Schadensersatzforderungen. Das Amtsgericht Arnsberg setzte das Verfahren aus und legte dem EuGH Fragen zur Vorabentscheidung vor. 

Die entscheidenden Punkte des Urteils

Bereits ein erster Auskunftsantrag kann „exzessiv" sein

Der Wortlaut von Art. 12 Abs. 5 DSGVO nennt die „häufige Wiederholung" – und suggeriert damit eine quantitative Schwelle. Doch der EuGH liest die Norm weiter: Auch ein erstmaliger Auskunftsantrag kann exzessiv sein, wenn der Verantwortliche eine Missbrauchsabsicht nachweist. Die dogmatische Begründung: Art. 12 Abs. 5 DSGVO bringe einen allgemeinen Grundsatz des Unionsrechts zum Ausdruck, wonach sich Einzelne nicht missbräuchlich auf unionsrechtliche Normen berufen dürften. Die „häufige Wiederholung" sei lediglich ein beispielhafter Anwendungsfall. Entscheidend ist die Gesamtwürdigung aller relevanten Fallumstände. Die Maßstäbe bleiben allerdings hoch, und die Beweislast liegt ausdrücklich beim Verantwortlichen.

Zwei-Elemente-Prüfung des Rechtsmissbrauchs

Wie weist ein Verantwortlicher Missbrauch nach? Der EuGH verlangt zweierlei: ein objektives und ein subjektives Element. Objektiv muss feststehen, dass trotz formaler Einhaltung der Regelungsvoraussetzungen das Ziel des Auskunftsrechts – sich der Datenverarbeitung bewusst zu werden und deren Rechtmäßigkeit zu überprüfen – nicht erreicht wurde. Subjektiv bedarf es der Absicht, sich einen Vorteil aus der DSGVO künstlich zu verschaffen. Die entscheidende Frage lautet: Ist die betroffene Person die Rechtsbeziehung zum Verantwortlichen – etwa die Newsletter-Anmeldung – ausschließlich eingegangen, um daran Schadensersatzforderungen zu knüpfen? Wichtig für die Praxis: Die bloße Tatsache, dass eine Person in der Vergangenheit zahlreiche ähnliche Ansprüche geltend gemacht hat, genügt für sich allein nicht. Öffentlich zugängliche Informationen über ein systematisches Vorgehen können aber als Indiz im Rahmen einer Gesamtwürdigung berücksichtigt werden.

Schadensersatz auch ohne rechtswidrige Datenverarbeitung

Setzt Art. 82 DSGVO zwingend eine rechtswidrige Datenverarbeitung voraus? Nein, sagt der EuGH – und legt die Vorschrift weit aus. Die Begründung stützt sich auf zwei Pfeiler: Erstens knüpfe der Wortlaut von Art. 82 Abs. 1 DSGVO allgemein an einen „Verstoß gegen diese Verordnung" an. Zweitens schütze die systematische Stellung der Norm in Kapitel VIII nicht nur Verarbeitungsvorgänge, sondern auch die in Kapitel III geregelten Betroffenenrechte – einschließlich des Auskunftsrechts. Die Kehrseite bleibt bestehen: Die betroffene Person muss den Eintritt eines tatsächlichen Schadens aufgrund des DSGVO-Verstoßes nachweisen. Ein bloßer DSGVO-Verstoß genügt nicht. 

Kausalitätsunterbrechung durch Verhalten der betroffenen Person

Der EuGH etabliert die Kausalitätsunterbrechung als eigenständiges Verteidigungsinstrument: Der Kausalzusammenhang zwischen Verstoß und Schaden kann durch das Eigenverhalten der betroffenen Person unterbrochen werden, sofern sich dieses als die entscheidende Ursache erweist. Zwar kann ein Kontrollverlust grundsätzlich einen ersatzfähigen immateriellen Schaden ohne Bagatellgrenze darstellen. Ein solcher Schaden wird jedoch nicht vermutet, sondern muss nachgewiesen werden. Die Konsequenz: Ein Schadensersatzanspruch scheidet aus, wenn die betroffene Person dem Verantwortlichen Daten in der Absicht übermittelt hat, künstlich die Voraussetzungen für Art. 82 DSGVO zu schaffen. Dies kann zum vollständigen Haftungsausschluss führen.

Die Entscheidung steht nicht isoliert. Bereits im Urteil vom 25. Januar 2024 (Rs. C-687/21 – MediaMarktSaturn) hatte der EuGH den Kausalzusammenhang als eigenständige kumulative Voraussetzung des Art. 82 Abs. 1 DSGVO hervorgehoben und klargestellt: Die betroffene Person muss den Eintritt eines tatsächlichen Schadens nachweisen; ein bloßer DSGVO-Verstoß genügt nicht. Ein rein hypothetisches Risiko der missbräuchlichen Datenverwendung sei nicht ersatzfähig. Brillen Rottler fügt sich als konsequente Fortentwicklung in diese Linie ein: Wer eine Rechtsbeziehung ausschließlich eingeht, um künstlich die Voraussetzungen für einen Schadensersatzanspruch zu schaffen, kann den erforderlichen Kausalzusammenhang von vornherein nicht schlüssig darlegen.

Praxishinweise

Die Entscheidung ist janusköpfig. Es stärkt einerseits die Abwehrposition von Unternehmen gegenüber systematischen „Datenschutz-Trollen", die gezielt Auskunftsanträge stellen, um Schadensersatzforderungen zu generieren. Andererseits eröffnet die Erweiterung des Art. 82 DSGVO auf verfahrensrechtliche Verstöße ein signifikantes Haftungsrisiko für Verantwortliche, die Auskunftsersuchen vorschnell oder ohne tragfähige Begründung zurückweisen.

Für die Praxis folgt daraus: Erstens dürfen Auskunftsanträge nicht ohne sorgfältige Prüfung zurückgewiesen werden – auch bei Missbrauchsverdacht bleibt Art. 12 Abs. 5 DSGVO eine eng auszulegende Ausnahme. Zweitens sollten Verantwortliche interne Prüfprozesse definieren: Nach welchen Kriterien wird ein Missbrauchseinwand geprüft? Drittens ist zu dokumentieren, ob das Verhalten der betroffenen Person die entscheidende Ursache eines geltend gemachten Schadens war. Offen bleibt die Folgefrage: Wie werden nationale Gerichte die Schwelle der „entscheidenden Ursache" in Fällen bestimmen, in denen sowohl der Verantwortliche als auch die betroffene Person zum Schaden beigetragen haben? 

(EuGH, Urteil vom 19.03.2026 – C-526/24 – Brillen Rottler)