Ein Antrag auf Auskunft über die eigenen personenbezogenen Daten kann als missbräuchlich eingestuft und zurückgewiesen werden, wenn er allein in der Absicht gestellt wird, anschließend Schadensersatz wegen eines angeblichen Verstoßes gegen die DS-GVO zu verlangen. Das stellt der EuGH klar (Urteil vom 19.03.2026 – C-526/24), der damit der Ansicht seines Generalanwalts folgte.
Eine in Österreich lebende Person abonnierte den Newsletter des familiengeführten Optikerunternehmens Brillen Rottler mit Sitz im deutschen Arnsberg. Dazu gab sie ihre personenbezogenen Daten in die Anmeldemaske auf der Website des Unternehmens ein.
13 Tage später richtete er einen Auskunftsantrag nach der DS-GVO an Brillen Rottler. Nach der DS-GVO hat eine Person das Recht, vom Verantwortlichen im Sinne dieser Verordnung eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden, und, wenn dies der Fall ist, das Recht auf Auskunft über diese Daten und die damit verbundenen Informationen.
Brillen Rottler wies den Antrag zurück, da er missbräuchlich sei. Aus verschiedenen Medienberichten, Blogbeiträgen und Berichten von Rechtsanwälten sei ersichtlich, dass sich der Antragsteller systematisch zu Newslettern verschiedener Unternehmen anmelde, dann Auskunft beantrage und schließlich Schadensersatz fordere. Der Antragsteller hingegen hält seinen Auskunftsantrag für legitim und fordert von Brillen Rottler eine Entschädigung in Höhe von mindestens 1.000 Euro für den immateriellen Schaden, der ihm durch die Zurückweisung des Antrags entstanden sei.
Auch erster Auskunftsantrag kann "exzessiv" sein
Die Sache landete vor dem AG Arnsberg. Das konfrontierte den EuGH mit der Frage, ob die DS-GVO-Anträge hier berechtigt sind. Dazu will es wissen, ob ein erster Antrag der betroffenen Person auf Auskunft über personenbezogene Daten als "exzessiv" angesehen werden kann.
Der EuGH bejaht das – unter bestimmten Umständen. So müsse der Verantwortliche nachweisen, dass der Auskunftsantrag, auch wenn die für ihn in der DS-GVO aufgestellten Voraussetzungen formal eingehalten worden seien, nicht gestellt wurde, um sich der Datenverarbeitung bewusst zu werden und deren Rechtmäßigkeit zu überprüfen, sondern in Missbrauchsabsicht. Will heißen, um künstlich die Voraussetzungen für Schadensersatz zu schaffen.
Dabei kann laut EuGH berücksichtigt werden, dass die betroffene Person nach öffentlich zugänglichen Informationen etwa mehrere Anträge auf Auskunft über ihre personenbezogenen Daten, gefolgt von Schadensersatzforderungen gegenüber verschiedenen Verantwortlichen, gestellt hat.
Weiter hält der EuGH fest, dass bei einem Verstoß gegen die DS-GVO die betroffene Person Schadensersatz verlangen kann – etwa, wenn ihr keine Auskunft erteilt wurde. Dafür müsse sie aber nachweisen, dass ihr ein Schaden entstanden ist. Ein Schadensersatzanspruch falle aus, wenn die betroffene Person mit ihrem eigenen Verhalten die entscheidende Ursache für den Schaden gesetzt hat.
Offen bleibt damit zunächst, wie der Streit zwischen Brillen Rottler und dem Auskunftsbegierigen ausgeht. Ob ein Schadensersatzanspruch besteht, muss nun – anhand der Vorgaben des EuGH – das AG Arnsberg entscheiden.
