EuGH stärkt Unternehmen gegen missbräuchliche DSGVO-Auskunftsersuchen

Der Europäische Gerichtshof hat der strategischen Ausnutzung von Datenschutzrecht einen Riegel vorgeschoben. In einem Grundsatzurteil stellte das Gericht klar, dass Unternehmen ein erstmaliges Auskunftsersuchen nach Artikel 15 DSGVO ablehnen dürfen, wenn es offensichtlich missbräuchlich gestellt wird. Die Entscheidung vom 19. März 2026 beendet eine Grauzone, die systematische Schadensersatzforderungen begünstigte.

DSGVO-Verstöße bei Auftragsdatenverarbeitung oder Auskunftspflichten können Unternehmen teuer zu stehen kommen. Dieser kostenlose Experten-Report zeigt Ihnen, wie Sie rechtssicher agieren und kostspielige Bußgelder effektiv vermeiden. Kostenlosen Experten-Report jetzt herunterladen

Systematische Abzocke per Datenschutz-Anfrage

Der Fall hatte seinen Ursprung in einem Rechtsstreit zwischen dem deutschen Optikunternehmen Brillen Rottler und einem österreichischen Privatmann. Dieser hatte im März 2023 einen Newsletter abonniert, nur 13 Tage später aber bereits ein umfassendes Auskunftsersuchen gestellt. Das Unternehmen lehnte ab – mit dem Hinweis auf einen mutmaßlich systematischen Ablauf: Der Mann habe bei verschiedenen Firmen Newsletter abonniert, sofort Auskünfte verlangt und anschließend Schadensersatz gefordert.

Das Amtsgericht Arnsberg legte den Fall dem EuGH vor. Die zentrale Frage: Kann ein erstes Auskunftsersuchen bereits als „exzessiv“ im Sinne der DSGVO gelten, wenn es offenbar nur dazu dient, einen Schadensersatzanspruch zu konstruieren?

EuGH definiert klare Grenzen für Transparenzrecht

Das Urteil fiel eindeutig aus. Der EuGH entschied, dass der Zweck der Anfrage entscheidend ist. „Das Auskunftsrecht ist ein Instrument für Transparenz und individuelle Kontrolle, kein Mechanismen zur Generierung von Einnahmen“, so die Kernaussage der Richter. Liegen hinreichende Anhaltspunkte für einen missbräuchlichen Antrag vor – etwa ein extrem kurzer Zeitraum zwischen Dateneingabe und Anfrage oder ein bekanntes Muster beim Antragsteller –, darf die Auskunft verweigert werden.

Doch der Gerichtshof setzte auch hohe Hürden: Ein bloßer Verdacht reicht nicht aus. Unternehmen müssen eine umfassende Prüfung aller Umstände vornehmen und ihre Einschätzung sorgfältig dokumentieren. Eine vorschnelle oder pauschale Ablehnung bleibt riskant, betonten die Richter. Das fundamentale Transparenzrecht der DSGVO bleibe unangetastet.

Folgen für Schadensersatzforderungen und Compliance

Die Entscheidung hat direkte Auswirkungen auf Schadensersatzklagen nach Artikel 82 DSGVO. Zwar bestätigte der EuGH, dass eine Verletzung des Auskunftsrechts grundsätzlich einen immateriellen Schaden – etwa ein Kontrollverlust über die eigenen Daten – darstellen kann. Entscheidend ist jedoch die Kausalität: Wer den Schaden durch eigenes missbräuchliches Verhalten selbst herbeiführt, hat keinen Anspruch auf Entschädigung.

Ob Auskunftsersuchen oder Dokumentationspflichten – viele Geschäftsführer unterschätzen die Details der DSGVO-Anforderungen. Dieses Gratis-E-Book liefert Ihnen fertige Vorlagen und Checklisten, um Ihre Compliance ohne teuren Rechtsbeistand abzusichern. Gratis E-Book mit Vorlagen sichern

Für die Praxis bedeutet das: Unternehmen erhalten ein scharfes Schwert gegen sogenannte „DSGVO-Abzocke“, bei der automatisierte Massenanfragen gestellt werden, um formale Fehler zu provozieren und außergerichtliche Vergleiche zu erpressen. Gleichzeitig müssen Compliance-Abteilungen ihre Prozesse anpassen. Legitime Verbraucheranfragen müssen weiterhin schnell und vollständig beantwortet werden.

Ein Wendepunkt für die europäische Datenschutz-Praxis

Das Urteil markiert einen Wendepunkt in der Anwendung der DSGVO. Es bestätigt eine Linie, die europäische Aufsichtsbehörden bereits angedeutet hatten: Datenschutzrechte sind keine Waffe für geschäftsmäßige Geldforderungen. Für deutsche Unternehmen, vom Mittelständler bis zum DAX-Konzern, bringt die Klarheit erhebliche Entlastung. Die Flut strategisch motivierter Anfragen dürfte spürbar abebben.

Jetzt liegt es an den nationalen Gerichten, die vom EuGH vorgegebenen Maßstäbe mit Leben zu füllen. Die Balance ist heikel: Echte Datenschutzverletzungen müssen sanktioniert, unseriöse Praktiken aber wirksam abgewehrt werden. Die Entscheidung für Brillen Rottler zeigt den Weg zu einem ausgewogeneren Datenschutz – der Transparenz schützt, nicht aber Geschäftsmodelle auf Kosten der Seriosität.

boerse | 68945835 |