Grenze für
missbräuchliche
DSGVO-Anfragen.
Grenze für
missbräuchliche
DSGVO-Anfragen.
von
Kann ein Unternehmen eine Auskunftsanfrage nach der DSGVO schon beim ersten Antrag als rechtsmissbräuchlich ablehnen? Wann schuldet ein Unternehmen Schadensersatz, wenn es eine Auskunft verweigert? Reicht der bloße Verdacht, dass jemand systematisch Datenschutzanfragen stellt, um Schadensersatzklagen zu provozieren?
Worum geht es?
Im März 2023 meldete sich eine in Österreich wohnhafte Privatperson für den Newsletter eines deutschen Optikerunternehmens an. Nur 13 Tage später stellte sie einen Auskunftsantrag nach dem Datenschutzrecht, da sie wissen wollte, welche personenbezogenen Daten das Unternehmen von ihr verarbeitet. Das Optikerunternehmen verweigerte die Auskunft und bezeichnete den Antrag als rechtsmissbräuchlich. Die Begründung: Aus öffentlich zugänglichen Quellen, Blogbeiträgen und Berichten gehe hervor, dass die Person nach demselben Muster bei zahlreichen anderen Unternehmen vorgehe: Anmeldung für einen Newsletter, dann Auskunftsantrag, dann Schadensersatzforderung. Als die Person ihren Anspruch weiterverfolgte und zusätzlich 1.000 Euro Schadensersatz forderte, wandte sich das Unternehmen an das Amtsgericht Arnsberg. Dieses legte den Fall dem Europäischen Gerichtshof vor.
Rechtlicher Hintergrund
Das Datenschutzrecht gewährt jeder Person das Recht, von einem Unternehmen zu erfahren, welche personenbezogenen Daten über sie verarbeitet werden. Dieses Auskunftsrecht ist grundsätzlich kostenfrei zu erfüllen. Die DSGVO sieht jedoch vor, dass ein Verantwortlicher die Auskunft verweigern kann, wenn ein Antrag „offenkundig unbegründet oder exzessiv“ ist. Das Gesetz nennt als Beispiel ausdrücklich häufige Wiederholungen. Was aber gilt, wenn es sich um einen ersten Antrag handelt? Und welche Schadensersatzansprüche entstehen bei einer Auskunftsverweigerung?
Die Entscheidung des EuGH
Der EuGH hat mit seinem Urteil vom 19.03.2026 – Az. C-526/24 drei wesentliche Rechtsfragen beantwortet.
Erstens stellte der Gerichtshof klar, dass auch ein erster Auskunftsantrag als exzessiv im Sinne der DSGVO eingestuft werden kann – wenn der Verantwortliche nachweist, dass der Antrag nicht dem eigentlichen Zweck des Auskunftsrechts dient, nämlich der Person zu ermöglichen, die Verarbeitung ihrer Daten zu kontrollieren und ihre Rechte zu schützen. Stattdessen kann ein Antrag exzessiv sein, wenn er in missbräuchlicher Absicht gestellt wurde, etwa um künstlich die Voraussetzungen für einen Schadensersatzanspruch zu schaffen. Dabei dürfen öffentlich zugängliche Informationen berücksichtigt werden, aus denen hervorgeht, dass dieselbe Person bei vielen anderen Unternehmen nach demselben Muster vorgegangen ist.
Ein erster von der betroffenen Person an den Verantwortlichen gerichteter Antrag auf Auskunft über personenbezogene Daten kann als „exzessiv“ angesehen werden, wenn der Verantwortliche nachweist, dass dieser Antrag in missbräuchlicher Absicht gestellt wurde, etwa zur künstlichen Schaffung der Voraussetzungen für die Erlangung eines Vorteils.
Zweitens bejahte der EuGH, dass die DSGVO auch dann Schadensersatzansprüche begründet, wenn keine eigentliche Datenverarbeitung stattgefunden hat. Bereits die Verletzung des Auskunftsrechts, also die rechtswidrige Verweigerung einer Auskunft, kann einen ersatzfähigen Schaden begründen. Das ist insofern bedeutsam, als Unternehmen somit auch für die Nichtbeantwortung von Datenschutzanfragen haften können.
Drittens stellte der EuGH klar, dass der Verlust der Kontrolle über die eigenen Daten oder die Ungewissheit über eine Datenverarbeitung einen immateriellen Schaden darstellen kann. Dieser muss jedoch tatsächlich nachgewiesen werden. Ein bloßes Behaupten genügt nicht und der Kausalzusammenhang kann unterbrochen sein, wenn die betroffene Person den Schaden durch ihr eigenes Verhalten selbst herbeigeführt hat.
Was bedeutet das für Unternehmen?
Das Urteil hat erhebliche praktische Bedeutung. Einerseits schützt es Unternehmen vor systematischem Missbrauch des Auskunftsrechts. Wer belegen kann, dass ein Antragsteller immer nach demselben Muster vorgeht und dabei systematisch Schadensersatzforderungen erzeugt, kann auch einen ersten Antrag ablehnen. Auf der anderen Seite ist jedoch Vorsicht geboten. Die Beweislast liegt beim Unternehmen und die Hürde ist hoch. Pauschale Vermutungen reichen nicht aus. Unternehmen sollten Auskunftsanfragen daher grundsätzlich fristgerecht beantworten und nur in gut dokumentierten Ausnahmefällen einen Missbrauch geltend machen.
Besonders wichtig ist zudem die Klarstellung, dass eine rechtswidrige Auskunftsverweigerung Schadensersatz auslösen kann, selbst wenn keine Daten verarbeitet wurden. Unternehmen sollten ihre internen Prozesse für den Umgang mit Datenschutzanfragen überprüfen und sicherstellen, dass diese rechtzeitig und korrekt bearbeitet werden.
Fazit
Das EuGH-Urteil schützt Unternehmen vor einer Form des rechtsmissbräuchlichen Umgangs mit dem Datenschutzrecht, durch die in der Praxis bereits erheblicher Aufwand und finanzielle Schäden entstanden sind.
Gleichwohl bleibt die Grenze zwischen legitimer Ausübung des Auskunftsrechts und Missbrauch fließend. Das Gericht hat ausdrücklich betont, dass die Missbrauchsabsicht im Einzelfall nachgewiesen werden muss.
Die für Unternehmen beruhigende Botschaft lautet: Wer den Nachweis erbringen kann, muss sich auch beim ersten Antrag nicht beugen. Im Übrigen sind Auskunftsanfragen ernst zu nehmen und fristgerecht zu beantworten.
Wir beraten
Sie gerne zum
Datenschutzrecht!
