Ein Antrag auf Auskunft über die eigenen personenbezogenen Daten kann als missbräuchlich eingestuft und zurückgewiesen werden, wenn er allein in der Absicht gestellt wird, anschließend Schadensersatz wegen eines angeblichen Verstoßes gegen die Datenschutz-Grundverordnung (DS-GVO) zu fordern. Das stellt der Europäische Gerichtshof (EuGH) klar.

Eine in Österreich wohnhafte Person abonnierte den Newsletter des familiengeführten Optikerunternehmens Brillen Rottler mit Sitz im deutschen Arnsberg. Dabei gab sie ihre personenbezogenen Daten in die Anmeldemaske auf der Website des Unternehmens ein.

13 Tage später richtete sie einen Auskunftsantrag nach der DS-GVO an Brillen Rottler. Nach der DS-GVO hat eine Person das Recht, vom Verantwortlichen im Sinne dieser Verordnung eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden, und, wenn dies der Fall ist, das Recht auf Auskunft über diese Daten und die damit verbundenen Informationen.

Brillen Rottler wies den Antrag zurück, da er missbräuchlich sei. Aus verschiedenen Medienberichten, Blogbeiträgen und Berichten von Rechtsanwälten sei ersichtlich, dass sich der Antragsteller systematisch zu Newslettern verschiedener Unternehmen anmelde, dann Auskunft beantrage und schließlich Schadensersatz fordere. Der Antragsteller hingegen hält seinen Auskunftsantrag für legitim und fordert von Brillen Rottler eine Entschädigung von mindestens 1 000 Euro für den immateriellen Schaden, der ihm durch die Zurückweisung des Antrags entstanden sei.

Das Amtsgericht (AG) Arnsberg, das mit dem Rechtsstreit zwischen Brillen Rottler und dem Antragsteller über die Berechtigung der vorstehend genannten Anträge befasst ist, hat den Gerichtshof unter anderem dazu befragt, ob ein erster Antrag der betroffenen Person auf Auskunft über personenbezogene Daten als "exzessiv" angesehen werden kann.

Der EuGH bejaht das. Dafür müsse der Verantwortliche nachweisen, dass trotz formaler Einhaltung der in der DS-GVO vorgesehenen Voraussetzungen für die Stellung eines Auskunftsantrags dieser Antrag nicht gestellt wurde, um sich der Datenverarbeitung bewusst zu werden und deren Rechtmäßigkeit zu überprüfen, sondern in der als "missbräuchlich" einzustufenden Absicht, künstlich die Voraussetzungen für die Erlangung von Schadensersatz nach der DS-GVO zu schaffen.

Dass die betroffene Person nach öffentlich zugänglichen Informationen etwa mehrere Anträge auf Auskunft über ihre personenbezogenen Daten, gefolgt von Schadensersatzforderungen gegenüber verschiedenen Verantwortlichen, gestellt hat, kann laut EuGH für die Feststellung einer solchen missbräuchlichen Absicht berücksichtigt werden.

Außerdem habe eine Person, der wegen eines Verstoßes gegen die DS-GVO – einschließlich einer Verletzung des Rechts auf Auskunft über ihre personenbezogenen Daten – ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Ersatz des betreffenden Schadens gegen den Verantwortlichen. Der Gerichtshof stellt jedoch klar, dass die betroffene Person als Voraussetzung für einen solchen Schadensersatz unter anderem nachweisen muss, dass ihr tatsächlich ein entsprechender Schaden entstanden ist. Wenn ihr eigenes Verhalten die entscheidende Ursache für den Schaden ist, könne sie keinen Schadensersatz nach der DS-GVO erhalten,

Offen ist, wie der Rechtsstreit ausgeht. Darüber muss nun – unter Berücksichtigung der Ausführungen des EuGH – das AG Arnsberg entscheiden.

Gerichtshof der Europäischen Union, Urteil vom 19.03.2026, C-526/24