14. Oktober 2025
Datenschutzrecht. Im Frühjahr 2023 meldete sich ein Mann aus Wien zu einem Newsletter eines deutschen Optikerunternehmens an. Kurze Zeit später stellte er an das Unternehmen eine Auskunftsanfrage nach Artikel (Art.) 15 Datenschutz-Grundverordnung (DSGVO). Als ihm diese verweigert wurde forderte er Schadensersatz. Liegt hier ein Missbrauch der DSGVO vor?
Damit beschäftigt sich derzeit der EuGH. Der Generalanwalt stellte bereits seine Auffassung im Rahmen seiner Schlussanträge dar (Schlussanträge vom 18.09.2025 – C-526/24).
Worum geht es in der Sache?
Grundsätzlich steht betroffenen Personen nach Art. 15 DSGVO ein Auskunftsrecht über die Verarbeitung ihrer personenbezogenen Daten zu. Hierdurch soll unter anderem die Überprüfung der Datenverarbeitung gewährleistet und Betroffenen die Möglichkeit gegeben werden mögliche Ansprüche, wie das Recht auf Schadensersatz, auszuüben.
Doch wie weit reicht dieses Recht, wenn es nur ausgeübt wird, um anschließend Schadensersatz zu fordern?
Das Optikerunternehmen erhob nach der Schadensersatzforderung Klage am AG Arnsberg um feststellen zu lassen, dass die Forderung unberechtigt sei. Dabei führte es an, dass sich aus mehreren öffentlich zugänglichen Quellen ergebe, dass der Beklagte bereits in zahlreichen Fällen DSGVO Verstöße geltend gemacht und Schadensersatz gefordert habe. Dabei sei er immer nach dem gleichen Muster vorgegangen. Er habe sich bei einem Newsletter angemeldet, anschließend eine Auskunftsanfrage gestellt und Schadensersatz gefordert.
Das AG Arnsberg wendete sich nun an den EuGH und legte diesem Fragen zur Auslegung der DSGVO zur Vorabentscheidung vor.
Kann ein Auskunftsantrag rechtsmissbräuchlich sein?
Gemäß Art. 12 Abs. 5 lit. b DSGVO kann der Verantwortliche das Auskunftsersuchen verweigern, wenn es sich um einen „offenkundig unbegründeten oder – insbesondere im Fall von häufigen Wiederholungen - exzessive Anträge“ handelt. Die häufige Wiederholung stellt dem Wortlaut der Bestimmung nach dabei kein zwingendes Kriterium dar, sondern dient lediglich als Beispiel für ein solches exzessives Verhalten. Es stellt sich demnach im Rahmen der Vorabentscheidung die Frage, ob bereits bei einem ersten Auskunftsersuchen bereits ein exzessives Verhalten vorliegen kann.
Nach der Auffassung des Generalanwalts kann dies der Fall sein, wenn die betroffene Person mit Missbrauchsabsicht handelte. Dabei muss es dieser im konkreten Fall gerade darauf ankommen die aus der DSGVO ergebenden Rechte und Pflichte für andere Zwecke als den Schutz der eigenen Daten zu nutzen – zum Beispiel um gezielt Schadensersatz geltend zu machen.
Die Nachweispflicht fällt dabei dem Verantwortlichen zu. Er muss unter Berücksichtigung aller relevanten Umstände des Einzelfalls beweisen, dass der Antragsteller in Missbrauchsabsicht handelte. Allein die Tatsache, dass sich auf öffentlich zugänglichen Quellen ergibt, dass die betroffene Person bereits in einer Vielzahl von Fällen Schadensersatz wegen einer Verletzung des Datenschutzrechtes geltend gemacht hat soll jedoch nach der Ansicht des Generalanwalts nicht ausreichen, um ein rechtsmissbräuchliches Verhalten zu begründen. Gerade aus Art. 82 DSGVO ergebe sich das Recht zur Geltendmachung von Schadensersatz bei DSGVO-Verstößen. Die Wahrnehmung dieses Rechts darf demnach nicht von vornherein als rechtsmissbräuchlich angesehen werden.
Kann die Auskunftsverweigerung bereits einen Anspruch auf Schadensersatz begründen?
Der Anwendungsbereich der DSGVO bezieht sich nach ihrem Art. 2 Abs. 1 zunächst nur auf die Verarbeitung personenbezogener Daten. Dem Generalanwalt zufolge ist der Schadensersatzanspruch aus Art. 82 Abs. 1 DSGVO jedoch dahingehend auszulegen, dass auch solche Schäden infolge eines Verstoßes gegen die DSGVO ersatzfähig sind, die nicht durch die Verarbeitung personenbezogener Daten entstanden sind. Er begründet dies unter anderem damit, dass sich sowohl aus Art. 15, als auch aus dem 60. Erwägungsgrund der DSGVO ergibt, dass die betroffene Person ein Recht darauf hat zu erfahren, ob ihre personenbezogenen Daten verarbeitet werden. Erforderlich machen dies die der DSGVO zugrunde liegenden Grundsätze der fairen und transparenten Verarbeitung. Der Rechtsschutz des Auskunftsrechts würde dabei eine erhebliche Einschränkung erleiden, wenn sich aus der Verletzung kein Anspruch auf Schadensersatz begründen würde. Liegt eine Verletzung des Auskunftsrechts vor, so liegt es an dem Betroffenen nachzuweisen, dass sich hieraus für ihn nachteiligen Folgen ergeben und diese einem immateriellen Schaden nach § 82 DSGVO entsprechen.
Fazit
Die Entscheidung des EuGH bleibt noch offen. Folgt er jedoch den Schlussanträgen des Generalanwalts, die zunächst nur eine unverbindliche Entscheidungsempfehlung darstellen, bedeutet dies, dass Auskunftsersuchen abgelehnt werden können, wenn der Verantwortliche eine Missbrauchsabsicht konkret nachweisen kann. Dem Recht aus Art. 15 DSGVO werden in dieser Hinsicht Grenzen gesetzt. Allerdings werden an diese Grenzen im Rahmen der Nachweisbarkeit hohe Ansprüche gesetzt. Zudem soll ein Schadensersatzanspruch nicht nur bei der Verletzung im Rahmen der Verarbeitung möglich sein, sondern bereits bei einer ungerechtfertigten Verweigerung eines Auskunftsanspruchs.
"Kann ein DSGVO Auskunftsanspruch missbräuchlich sein?"
von Aniva Kirchner, wissenschaftliche Mitarbeiterin