Ein DSGVO-Auskunftsantrag kann seinen Schutz verlieren, wenn er nicht der Informationskontrolle, sondern allein der strategischen Vorbereitung von Schadensersatzforderungen dient. Dies hat der EuGH mit Urteil vom 19.03.2026 (C-526/24) klargestellt und damit die Grenzen des Auskunftsrechts nach der DSGVO präzisiert.
Darum ging es im Streitfall
Ausgangspunkt war ein Streit zwischen dem Optikerunternehmen Brillen Rottler aus Arnsberg und einer in Österreich wohnhaften Person. Diese hatte den Newsletter des Unternehmens abonniert und 13 Tage später einen Auskunftsantrag nach der DSGVO gestellt. Brillen Rottler lehnte den Antrag als missbräuchlich ab. Das Unternehmen verwies auf öffentlich zugängliche Berichte, wonach sich der Antragsteller systematisch bei Newslettern verschiedener Unternehmen anmelde, anschließend Auskunft verlange und danach Schadensersatz fordere. Der Betroffene hielt seinen Antrag dagegen für rechtmäßig und verlangte mindestens 1.000 Euro wegen immateriellen Schadens.
Wann ein Auskunftsantrag exzessiv ist
Das Amtsgericht Arnsberg fragte den EuGH, ob bereits ein erster Auskunftsantrag als exzessiv eingestuft werden kann. Der EuGH bejaht das grundsätzlich. Ein Antrag ist danach missbräuchlich, wenn er zwar formal den Anforderungen der DSGVO entspricht, tatsächlich aber nicht der Information über die Datenverarbeitung und deren Rechtmäßigkeit dient. Missbrauch liegt vielmehr vor, wenn der Antrag allein gestellt wird, um künstlich die Grundlage für einen späteren Schadensersatzanspruch zu schaffen.
Auch öffentlich zugängliche Hinweise auf ein systematisches Vorgehen des Betroffenen dürfen dabei berücksichtigt werden. Dazu zählt etwa, dass bereits mehrfach Auskunftsanträge gegen verschiedene Unternehmen gestellt und anschließend Schadensersatzforderungen erhoben wurden.
Schadensersatz nur bei echtem Schaden
Der EuGH stellt zudem klar, dass Schadensersatz nach der DSGVO nur verlangt werden kann, wenn tatsächlich ein materieller oder immaterieller Schaden entstanden ist. Ein bloßer Verstoß gegen die DSGVO reicht dafür nicht aus.
Außerdem scheidet ein Anspruch aus, wenn das eigene Verhalten der betroffenen Person die entscheidende Ursache für den geltend gemachten Schaden war. Wer eine Situation gezielt herbeiführt, um daraus eine Entschädigung abzuleiten, kann sich also nicht ohne Weiteres auf die DSGVO berufen.
Fazit
Das Urteil stärkt Unternehmen bei der Abwehr gezielt missbräuchlicher Auskunftsanträge, ohne das Auskunftsrecht als solches einzuschränken. Verantwortliche dürfen Anträge aber nur im Ausnahmefall als exzessiv zurückweisen und müssen den Missbrauch im Einzelfall darlegen. Nun muss das Amtsgericht Arnsberg den Ausgangsfall unter Berücksichtigung der Luxemburger Vorgaben entscheiden. Die Entscheidung dürfte für den Umgang mit serienhaften DSGVO-Anträgen in der Praxis erhebliche Bedeutung gewinnen.
