26.03.2026
Gernot Fritz, Tanja Pfleger
Mit Urteil vom 19. März 2026 in der Rechtssache C-526/24 (Brillen Rottler) hat der EuGH eine für die Praxis äußerst relevante Entscheidung zum Zusammenspiel von Auskunftsrecht, Missbrauchseinwand und Schadenersatz nach der DSGVO getroffen. Der Gerichtshof stellt dabei einerseits klar, dass sich Verantwortliche in Ausnahmefällen auch gegenüber einem ersten Auskunftsantrag auf dessen exzessiven bzw. missbräuchlichen Charakter berufen können. Andererseits betont er ebenso deutlich, dass eine Verletzung des Auskunftsrechts aus Art 15 DSGVO eigenständig einen Schadenersatzanspruch nach Art 82 DSGVO auslösen kann. Damit schärft der EuGH die Grenzen zwischen legitimer Rechteausübung und Rechtsmissbrauch, ohne das Auskunftsrecht als zentrales Betroffenenrecht zu entwerten.
Ausgangspunkt des Verfahrens war ein Sachverhalt, der aus Unternehmenssicht zunehmend vertraut wirkt: Eine betroffene Person meldete sich zu einem Newsletter an, stellte kurz darauf ein Auskunftsersuchen nach Art 15 DSGVO und machte im Anschluss immateriellen Schadenersatz geltend. Das betroffene Unternehmen verweigerte die Auskunft mit der Begründung, der Antrag sei missbräuchlich gestellt worden, um gezielt Schadenersatzansprüche zu provozieren. Das vorlegende deutsche Gericht wollte daher insbesondere wissen, ob schon ein erster Auskunftsantrag „exzessiv“ sein kann und ob ein bloßer Verstoß gegen das Auskunftsrecht überhaupt Schadenersatzansprüche auslösen kann.
Erster Auskunftsantrag kann ausnahmsweise exzessiv sein
Besonders bemerkenswert ist zunächst, dass der EuGH einen ersten Antrag nach Art 15 DSGVO nicht von vornherein aus dem Anwendungsbereich des Art 12 Abs 5 DSGVO ausnimmt. Nach Ansicht des Gerichtshofs kann auch ein erstmaliges Auskunftsersuchen „exzessiv“ sein, wenn der Verantwortliche unter Berücksichtigung aller Umstände des Einzelfalls nachweist, dass der Antrag nicht dazu dient, sich der Verarbeitung bewusst zu werden und deren Rechtmäßigkeit zu überprüfen, sondern in missbräuchlicher Absicht gestellt wurde, etwa um künstlich die Voraussetzungen für einen späteren Vorteil aus der DSGVO – insbesondere einen Schadenersatzanspruch – zu schaffen. Der EuGH betont aber zugleich, dass dies nur ausnahmsweise gelten kann und die Maßstäbe für einen solchen Nachweis hoch sind. Die Ausnahme des Art 12 Abs 5 DSGVO ist eng auszulegen, und die Beweislast liegt beim Verantwortlichen.
Für die Praxis ist das ein wichtiger Punkt. Die Entscheidung bedeutet gerade nicht, dass Unternehmen nun bei unangenehmen oder „verdächtigen“ Auskunftsanträgen routinemäßig auf Missbrauch verweisen könnten. Der EuGH verlangt vielmehr einen klaren Nachweis dafür, dass das Auskunftsrecht zweckwidrig instrumentalisiert wurde. Dass öffentlich zugängliche Informationen darauf hindeuten, dass eine Person in einer Vielzahl von Fällen ähnlich vorgeht und nach Auskunftsersuchen jeweils Schadenersatz fordert, kann ein Indiz sein. Für sich allein reicht das aber nicht automatisch; es muss im Gesamtbild des konkreten Falls eine missbräuchliche Absicht belegen.
Der EuGH schützt das Auskunftsrecht – trotz Missbrauchskorrektiv
Dogmatisch ist die Entscheidung gut in die bisherige Linie des EuGH eingebettet. Der Gerichtshof unterstreicht erneut, dass das Auskunftsrecht ein zentrales Instrument der DSGVO ist, um betroffenen Personen Transparenz zu verschaffen und ihnen die Überprüfung der Rechtmäßigkeit einer Verarbeitung zu ermöglichen. Gerade deshalb darf die Missbrauchsausnahme nicht zu weit verstanden werden. Der EuGH hält also an einem betroffenenfreundlichen Grundverständnis fest, ergänzt dieses aber um ein unionsrechtlich anerkanntes Missbrauchskorrektiv.
Für Unternehmen ist das eine hilfreiche Klarstellung, aber keine generelle Entwarnung. Wer sich auf Art 12 Abs 5 DSGVO stützen will, braucht eine tragfähige Tatsachengrundlage und sollte sich bewusst sein, dass Gerichte hier zu Recht zurückhaltend sein werden. Ein bloßes Unbehagen mit der Motivation des Antragstellers genügt nicht. Ebenso wenig dürfte es ausreichen, dass ein Antrag rasch nach Erhebung der Daten gestellt wird oder dass parallel rechtliche Ansprüche angekündigt werden. Entscheidend ist, ob sich objektiv und subjektiv ein missbräuchliches Vorgehen nachweisen lässt.
Schadenersatz auch bei bloßer Verletzung des Auskunftsrechts
Noch bedeutsamer für die tägliche Beratungspraxis dürfte der zweite Kernpunkt des Urteils sein: Art 82 Abs 1 DSGVO setzt nach Auffassung des EuGH nicht voraus, dass der geltend gemachte Schaden unmittelbar auf einer eigenständigen Verarbeitung personenbezogener Daten beruht. Vielmehr kann auch die Verletzung eines Betroffenenrechts – hier des Auskunftsrechts aus Art 15 Abs 1 DSGVO – einen ersatzfähigen Schaden begründen. Mit anderen Worten: Verweigert ein Verantwortlicher die gebotene Auskunft rechtswidrig, kann dies für sich genommen eine Haftung nach Art 82 DSGVO auslösen.
Das ist konsequent. Würde man Art 82 DSGVO nur auf Schäden aus „Verarbeitungsvorgängen“ im engen Sinn beschränken, wären Verstöße gegen zentrale Betroffenenrechte haftungsrechtlich weitgehend entleert. Genau das wollte der EuGH vermeiden. Er verweist darauf, dass Kapitel III der DSGVO die Rechte der betroffenen Personen stärkt und dass Art 82 als effektiver Rechtsbehelf auch deren Verletzung erfassen muss.
Für die Praxis bedeutet das: Die fehlerhafte oder verweigerte Beantwortung eines Auskunftsersuchens ist nicht nur ein aufsichtsrechtliches Thema, sondern kann unmittelbare zivilrechtliche Folgen haben. Unternehmen sollten Auskunftsprozesse daher nicht als administratives Randthema behandeln, sondern als haftungsrelevanten Compliance-Bereich.
Kontrollverlust und Ungewissheit können immateriellen Schaden darstellen – aber nicht automatisch
Bei der Frage des immateriellen Schadens bleibt der EuGH seiner bisherigen Linie treu. Er bestätigt, dass ein Verlust der Kontrolle über personenbezogene Daten oder auch Ungewissheit darüber, ob diese Daten verarbeitet wurden, grundsätzlich einen immateriellen Schaden im Sinn des Art 82 DSGVO darstellen können. Zugleich stellt er aber klar, dass ein DSGVO-Verstoß nicht automatisch zu einem Schadenersatzanspruch führt. Die betroffene Person muss einen tatsächlich eingetretenen immateriellen Schaden darlegen und den Kausalzusammenhang zwischen Verstoß und Schaden nachweisen. Eine reine Vermutung genügt nicht.
Damit bleibt der EuGH auf einem Mittelweg. Einerseits lehnt er Bagatellschwellen ab und erkennt Kontrollverlust als grundsätzlich ersatzfähige Beeinträchtigung an. Andererseits verlangt er weiterhin einen realen Schaden und einen konkreten Kausalzusammenhang. Gerade im Kontext strategisch gestellter Auskunftsanträge ist das wichtig: Wer den behaupteten Schaden im Ergebnis selbst gezielt herbeiführt, könnte an der Kausalität scheitern. Auch darauf weist der Gerichtshof hin, wenn er ausführt, dass das Verhalten der betroffenen Person die entscheidende Ursache für den Schaden gewesen sein kann.
Was bedeutet das für Unternehmen?
Das Urteil verschiebt die Praxis nicht revolutionär, aber es justiert sie an entscheidenden Stellen nach. Unternehmen erhalten zwar ein potenziell wichtiges Argument gegen klar missbräuchliche Auskunftsersuchen. Dieses Instrument bleibt aber eng begrenzt und beweisintensiv. Zugleich steigt die praktische Relevanz sorgfältiger Auskunftsprozesse weiter, weil der EuGH die haftungsrechtliche Bedeutung von Verstößen gegen Art 15 DSGVO nochmals unterstreicht.
In der operativen Umsetzung spricht viel dafür, interne Prozesse für Betroffenenanfragen noch einmal zu schärfen. Dazu gehören insbesondere eine konsistente Dokumentation des Anfrageverlaufs, klare Entscheidungskriterien für Fälle mit möglichem Missbrauchsverdacht, belastbare Eskalationspfade zur Rechtsabteilung sowie eine sorgfältige Begründung, wenn tatsächlich eine Berufung auf Art 12 Abs 5 DSGVO in Betracht gezogen wird. Wer Auskunftsersuchen vorschnell zurückweist, läuft künftig noch deutlicher in ein Schadenersatzrisiko.
Fazit
Mit der Entscheidung in der Rechtssache Brillen Rottler schafft der EuGH einen ausgewogenen, aber für Verantwortliche durchaus anspruchsvollen Rahmen. Das Auskunftsrecht bleibt ein starkes Betroffenenrecht und kann nicht schon deshalb zurückgewiesen werden, weil ein Antragsteller strategisch oder konfliktorientiert agiert. In echten Ausnahmefällen kann jedoch auch ein erster Antrag missbräuchlich und damit exzessiv sein. Gleichzeitig macht der Gerichtshof unmissverständlich klar, dass die Verletzung des Auskunftsrechts haftungsrechtlich ernst zu nehmen ist.
Die praktische Lehre daraus ist klar: Missbrauchseinwand nur mit großer Vorsicht – Auskunftsprozesse aber mit maximaler Sorgfalt.
Denn das Risiko liegt oft im Prozess – nicht im Antrag. Gerne unterstützen wir Sie bei der Einordnung der Auswirkungen dieser Entscheidung auf Ihre Organisation sowie bei konkreten Auskunftsersuchen.
