EuGH, „Brillen Rottler“ (C-526/24): Wann ein erster Auskunftsantrag nach Art. 15 DSGVO „exzessiv“ sein kann – und warum das Urteil gerade kein Freibrief zur Standardabwehr ist
Das Urteil des EuGH vom 19.03.2026 in der Rechtssache C-526/24 – Brillen Rottler wird in der Datenschutzpraxis sofort zitiert werden. Das ist nachvollziehbar – und zugleich gefährlich. Denn die plakative Schlagzeile lautet zwar: Auch ein erster Auskunftsantrag kann „exzessiv“ sein. Wer es dabei belässt, liest die Entscheidung aber zu grob. Der Gerichtshof eröffnet keine einfache Verteidigungslinie gegen Art.-15-Anträge, sondern eine enge, beweisbelastete Ausnahme. Zugleich stellt er mit Nachdruck klar, dass auch die Verletzung des Auskunftsrechts selbst einen Schadensersatzanspruch nach Art. 82 DSGVO tragen kann.
Genau darin liegt die eigentliche Bedeutung der Entscheidung: Sie begrenzt die Instrumentalisierung von Art. 15 DSGVO, ohne dessen Schutzzweck preiszugeben. Für Unternehmen ist das ein Fall an der Schnittstelle von Datenschutzrecht, Privacy Litigation, Compliance und IT-Recht. Wer interne Prozesse zu Betroffenenanfragen verantwortet, sollte das Urteil weder als Entwarnung noch als bloßen Sonderfall abtun.
Auch ein erster Antrag kann ausnahmsweise „exzessiv“ sein. Das ist aber kein neuer Standard, sondern eine eng begrenzte Ausnahme.
Der Verantwortliche muss Missbrauch nachweisen. Ein bloßes Verdachtsgefühl genügt nicht.
Serielle Auskunfts- und Schadensersatzmuster dürfen berücksichtigt werden, reichen aber für sich genommen nicht aus.
Auch die Verletzung von Artt. 12 und 15 DSGVO kann schadensersatzrechtlich relevant sein. Schaden und Kausalität bleiben aber eigenständig zu prüfen.
- Der Begriff „exzessiv“ bleibt eng auszulegen.
- Die Missbrauchsprüfung ist einzelfallbezogen und beweisintensiv.
- Die Entscheidung stärkt nicht nur Abwehr, sondern bestätigt zugleich die Reichweite von Art. 82 DSGVO.
Ja: Ein erster Art.-15-Antrag kann ausnahmsweise „exzessiv“ sein. Aber: Die Ausnahme ist eng, die Maßstäbe sind hoch, und der Verantwortliche trägt die Beweislast. Öffentliche Informationen über serielle Auskunfts- und Schadensersatzmuster können berücksichtigt werden, reichen aber nicht isoliert. Art. 82 DSGVO bleibt scharf: Auch eine Verletzung des Auskunftsrechts kann ersatzfähige Schäden auslösen – nur eben nicht ohne tatsächlichen Schaden und Kausalität.
1. Der Fall: Newsletter-Anmeldung, Auskunftsantrag, Schadensersatzforderung
Ausgangspunkt war ein vergleichsweise schlichter Sachverhalt. Eine in Österreich wohnhafte Person meldete sich zum Newsletter von Brillen Rottler an und übermittelte dabei personenbezogene Daten. 13 Tage später stellte sie einen Auskunftsantrag nach Art. 15 DSGVO. Brillen Rottler wies den Antrag zurück und berief sich auf Missbrauch. Im Anschluss machte die betroffene Person immateriellen Schadensersatz in Höhe von mindestens 1.000 Euro geltend. Das Amtsgericht Arnsberg legte dem EuGH daraufhin mehrere Fragen vor, insbesondere zur Reichweite von Art. 12 Abs. 5 DSGVO und zu Art. 82 DSGVO.
„Ein Antrag auf Auskunft über die eigenen personenbezogenen Daten kann als missbräuchlich eingestuft und zurückgewiesen werden, wenn er allein in der Absicht gestellt wird, anschließend Schadensersatz wegen eines angeblichen Verstoßes gegen die Datenschutz-Grundverordnung (DSGVO) zu fordern“EuGH, Pressemitteilung Nr. 38/26 vom 19.03.2026
Schon diese Formulierung zeigt die Richtung: Der Gerichtshof hatte keinen gewöhnlichen Art.-15-Fall zu entscheiden, sondern eine Konstellation, in der sich die Frage nach einer strategischen Nutzung des Auskunftsrechts stellte. Ebenso wichtig ist aber der zweite Teil der Vorlage: Was folgt, wenn ein Auskunftsersuchen zu Unrecht abgelehnt wird? Genau diese zweite Hälfte wird in ersten Reaktionen häufig zu knapp behandelt.
2. Die erste Kernaussage: Ein erster Antrag kann „exzessiv“ sein – aber nur ausnahmsweise
Der EuGH bejaht die Grundfrage des Amtsgerichts Arnsberg: Exzessivität im Sinne von Art. 12 Abs. 5 DSGVO ist nicht zwingend an eine Mehrzahl von Anträgen geknüpft. Der Begriff „exzessiv“ hat nach der Entscheidung nicht nur eine quantitative, sondern auch eine qualitative Seite. Daraus folgt aber nicht, dass der erste Antrag nun leicht abgewehrt werden könnte. Der Gerichtshof zieht die Handbremse unmittelbar selbst an.
„Da der Begriff „exzessive Anträge“ … eng auszulegen ist, kann sich jedoch ein Verantwortlicher nur ausnahmsweise auf einen solchen exzessiven Charakter berufen, und die Maßstäbe für die Einstufung eines ersten Auskunftsantrags als „exzessiv“ müssen … hoch sein.“EuGH, Urt. v. 19.03.2026, C-526/24, Rn. 35
Dieser Satz ist der eigentliche Maßstab des Urteils. Er neutralisiert die allzu schnelle Lesart, Unternehmen könnten nun formell ordnungsgemäße Erstanträge freier zurückweisen. Richtig ist vielmehr: Die Ausnahme existiert – und bleibt eine Ausnahme.
Nicht jeder erste Antrag ist verdächtig
Der EuGH sagt nicht, dass der erste Antrag typischerweise missbräuchlich wäre. Entscheidend ist die belegbare Zweckwidrigkeit des konkreten Antrags.
Art. 12 Abs. 5 DSGVO bleibt eng
Das Urteil legitimiert keine formularmäßige Zurückweisung. Wer „Brillen Rottler“ so liest, verschärft die Entscheidung über den Wortlaut hinaus.
Spätere Schadensersatzforderungen bleiben möglich
Die Existenz einer späteren Art.-82-Forderung genügt für sich genommen gerade nicht, um Missbrauch festzustellen.
3. Der Missbrauchstest des EuGH: Zweckwidrigkeit, künstliche Vorteilsschaffung, Gesamtschau
Der EuGH beschreibt recht präzise, was der Verantwortliche darlegen muss. Entscheidend ist nicht irgendein „ungutes Gefühl“, sondern eine Missbrauchsabsicht, die sich aus allen relevanten Fallumständen ergeben muss. Maßgeblich ist, ob der Antrag zu einem anderen Zweck gestellt wird als dem, sich der Verarbeitung bewusst zu werden und deren Rechtmäßigkeit zu überprüfen, um anschließend Rechte aus der DSGVO auszuüben.
„… muss der Verantwortliche … anhand aller relevanten Umstände des Einzelfalls nachweisen, dass eine Missbrauchsabsicht seitens der betroffenen Person vorliegt …“
„Somit obliegt … dem Verantwortlichen der eindeutige Nachweis, dass sich die betroffene Person … nicht der Datenverarbeitung bewusst werden, sondern künstlich die Voraussetzungen für die Erlangung von Schadensersatz … schaffen wollte.“EuGH, Urt. v. 19.03.2026, C-526/24, Rn. 40 und 41
Bemerkenswert ist die Wortwahl: Der Gerichtshof verlangt nicht nur einen Nachweis irgendeiner Nebenmotivation, sondern einen eindeutigen Nachweis, dass der Antrag nicht dem unionsrechtlichen Schutzzweck dient, sondern auf die künstliche Schaffung der Voraussetzungen für einen unionsrechtlichen Vorteil – hier: Schadensersatz – gerichtet ist. Das ist mehr als eine bloße Vermutung strategischen Verhaltens.
Freiwillige Datenbereitstellung
Der EuGH nennt ausdrücklich, dass die betroffene Person die Daten freiwillig bereitgestellt hat.
Zweck der Bereitstellung
Relevant ist, zu welchem Zweck die Daten übermittelt wurden und ob dies mit dem späteren Antrag zusammenhängt.
Zeitlicher Ablauf
Zu würdigen ist auch die zwischen Datenbereitstellung und Auskunftsantrag verstrichene Zeit.
Gesamtverhalten
Ausschlaggebend bleibt das Verhalten der betroffenen Person insgesamt und nicht ein Einzelindiz.
Bei der Einzelfallprüfung nennt der Gerichtshof insbesondere: dass die betroffene Person die Daten freiwillig bereitgestellt hat, den Zweck dieser Bereitstellung, die zwischen Datenbereitstellung und Auskunftsantrag verstrichene Zeit, das Verhalten der betroffenen Person insgesamt.Vgl. EuGH, Urt. v. 19.03.2026, C-526/24, Rn. 42
„Dieser Anhaltspunkt kann zur Feststellung missbräuchlicher Absichten der betroffenen Person durchaus herangezogen werden, sofern er durch andere relevante Anhaltspunkte bestätigt wird.“EuGH, Urt. v. 19.03.2026, C-526/24, Rn. 43
Auch das verdient Betonung: Es gibt keinen vom EuGH abgesegneten Schematismus „Newsletter + schneller Antrag + Art. 82 = Missbrauch“. Entscheidend bleibt die Gesamtschau. Genau darin liegt der Unterschied zwischen einer gerichtsfesten Missbrauchsprüfung und einer bloß praktischen Abwehrintuition.
4. Die zweite Kernaussage: Art. 82 DSGVO erfasst auch Schäden aus der Verletzung des Auskunftsrechts
Noch wichtiger als die Missbrauchsfrage ist in dogmatischer Hinsicht die zweite Hälfte der Entscheidung. Der EuGH legt Art. 82 Abs. 1 DSGVO so aus, dass Schadensersatz nicht auf Fälle beschränkt ist, in denen der Schaden aus einer „Verarbeitung“ im technischen Sinn resultiert. Auch die Verletzung der Rechte aus Kapitel III DSGVO – und damit gerade auch von Art. 12 und Art. 15 DSGVO – fällt in den Schutzbereich.
„Es ist festzustellen, dass diese Bestimmung keine Bezugnahme auf die „Verarbeitung“ enthält, so dass der Ersatzanspruch nicht auf Schäden beschränkt sein kann, die sich aus einer Verarbeitung personenbezogener Daten ergeben.“
„… so dass sie durch Art. 82 DSGVO geschützt werden müssen, der somit dahin auszulegen ist, dass er auch für Schäden aus Verstößen gegen die Art. 12 und 15 DSGVO gilt.“
„Daraus folgt, dass sich die betroffene Person auch bei einem Verstoß gegen die DSGVO, bei dem als solchem keine Datenverarbeitung impliziert ist, auf das in Art. 82 DSGVO vorgesehene Recht auf Schadensersatz berufen kann.“EuGH, Urt. v. 19.03.2026, C-526/24, Rn. 48, 49 und 54
Damit korrigiert der EuGH eine zu enge Lesart von Art. 82 DSGVO. Wäre Schadensersatz nur dann denkbar, wenn der Schaden unmittelbar aus einer Datenverarbeitung als solcher resultiert, blieben gerade Verstöße gegen Informations- und Auskunftspflichten haftungsrechtlich teilweise folgenlos. Der Gerichtshof schließt diese Lücke ausdrücklich.
5. Kein Schadensersatzautomatismus: Schaden, Verstoß und Kausalität bleiben kumulativ
Die Weite von Art. 82 DSGVO bedeutet allerdings gerade nicht, dass jeder Auskunftsfehler automatisch Geldansprüche auslöst. Der EuGH bleibt seiner bisherigen Linie treu: Es braucht drei kumulative Voraussetzungen – Verstoß, Schaden und Kausalzusammenhang. Eine Schadensvermutung gibt es nicht.
„… wobei diese drei Voraussetzungen kumulativ sind.“
„Ein entsprechender Schaden kann daher nicht allein deshalb vermutet werden, weil sich der Verstoß ereignet hat.“EuGH, Urt. v. 19.03.2026, C-526/24, Rn. 59 und 60
Ebenso wichtig: Der Gerichtshof hält daran fest, dass der Verlust der Kontrolle über personenbezogene Daten oder die Ungewissheit darüber, ob Daten verarbeitet wurden, grundsätzlich immaterielle Schäden sein können. Gleichzeitig verlangt er, dass ein solcher Schaden tatsächlich entstanden sein muss.
„… dass der immaterielle Schaden der betroffenen Person den Verlust der Kontrolle über ihre personenbezogenen Daten oder ihre Ungewissheit darüber umfasst, ob ihre Daten verarbeitet wurden, sofern insbesondere nachgewiesen wird, dass dieser Person tatsächlich ein solcher Schaden entstanden ist und dass ihr Verhalten nicht die entscheidende Ursache für diesen Schaden war.“EuGH, Urt. v. 19.03.2026, C-526/24, Rn. 67
„Folglich kann der betroffenen Person nach Art. 82 Abs. 1 DSGVO kein Ersatz für Schäden gewährt werden … wenn der Kausalzusammenhang aufgrund der Handlungsweise dieser Person unterbrochen wird …“EuGH, Urt. v. 19.03.2026, C-526/24, Rn. 66
Der Verstoß allein reicht nicht
Auch bei einer unzulässigen Verweigerung braucht es einen tatsächlich entstandenen materiellen oder immateriellen Schaden.
Eigenes Verhalten kann den Anspruch abschneiden
Ist das Verhalten der betroffenen Person die entscheidende Ursache des Schadens, scheidet ein Anspruch nach Art. 82 DSGVO aus.
6. Einordnung
Zutreffend ist vor allem: Der erste Antrag kann exzessiv sein; öffentliche Informationen über serielle Antragsmuster können berücksichtigt werden; und ein Art.-82-Anspruch scheidet aus, wenn das eigene Verhalten der betroffenen Person die entscheidende Ursache des Schadens ist. Diese Lesart entspricht dem Urteil.
„Nicht primär Transparenz“ genügt nicht
Der Verantwortliche muss nachweisen, dass der Antrag missbräuchlich gestellt wurde, um künstlich die Voraussetzungen für einen unionsrechtlichen Vorteil zu schaffen. Das ist strenger als eine bloße Zweckverschiebung.
Das Urteil ist nicht nur „unternehmenfreundlich“
Dieselbe Entscheidung hält ausdrücklich fest, dass Art. 82 DSGVO auch für Schäden aus Verstößen gegen Art. 12 und 15 DSGVO gilt. Wer nur die Abwehrseite betont, verkürzt das Urteil.
Die trennschärfste Zusammenfassung lautet daher: Der EuGH begrenzt die missbräuchliche Instrumentalisierung von Art. 15 DSGVO, ohne die praktische Wirksamkeit des Auskunftsrechts oder die Haftung nach Art. 82 DSGVO zu schwächen.
7. Einordnung in die EuGH-Rechtsprechung: Präzisierung, kein Kurswechsel
„Brillen Rottler“ ist kein Bruch, sondern eine Präzisierung der bisherigen EuGH-Linie. Der Gerichtshof knüpft an seine frühere Rechtsprechung an, nach der Art. 15 DSGVO ein Transparenz- und Kontrollrecht ist, Art. 12 Abs. 5 DSGVO eng auszulegen bleibt und Art. 82 DSGVO zwar weit, aber nicht schrankenlos ist. Neu konturiert wird vor allem die qualitative Dimension von „Exzessivität“ und die Frage, wie Missbrauch im Rahmen eines Erstantrags dogmatisch nachgewiesen werden kann.
Der EuGH schützt das unionsrechtliche Betroffenenrecht gegen Aushöhlung von zwei Seiten: gegen seine missbräuchliche Instrumentalisierung durch Antragsteller und gegen seine haftungsrechtliche Entwertung durch eine zu enge Lesart von Art. 82 DSGVO.
8. Was folgt daraus für Unternehmen?
Keine Standardabwehr
Art. 12 Abs. 5 DSGVO darf nicht zum Textbaustein werden. Das Urteil verlangt eine echte, dokumentierte Einzelfallprüfung.
Beweislast sauber führen
Wer Missbrauch einwendet, braucht belastbare Indizien zur Zielrichtung des Antrags und zur Gesamtschau der Umstände.
Art. 82 stets mitdenken
Eine zu Unrecht verweigerte oder defizitäre Auskunft bleibt haftungsrelevant. Prozessqualität und materielle Richtigkeit müssen zusammenpassen.
Unternehmen sollten ihre Prozesse zu Betroffenenanfragen jetzt ausdrücklich in drei Stufen denken: (1) ordnungsgemäße Antragserfüllung, (2) qualifizierte Missbrauchsprüfung und (3) haftungsrechtliche Nachsorge. Wer nur die Abwehrseite schärft, liest „Brillen Rottler“ unvollständig.
9. Fazit
Das Urteil ist klug austariert. Es schützt Unternehmen nicht vor dem Auskunftsrecht, wohl aber vor seiner missbräuchlichen Zweckentfremdung. Zugleich schützt es Betroffene nicht vor jeder prozessualen Gegenwehr, wohl aber davor, dass Verstöße gegen Art. 12 und 15 DSGVO haftungsrechtlich kleingelesen werden.
Wer „Brillen Rottler“ als unternehmensfreundliches Abwehrurteil etikettiert, greift zu kurz. Wer es nur als Sonderfall eines missbräuchlichen Antragstellers liest, ebenfalls. Die Entscheidung ist wichtiger: Sie schärft die Grenze zwischen legitimer Rechtsausübung und Instrumentalisierung – und sie hält zugleich die praktische Wirksamkeit des Auskunftsrechts und des Schadensersatzes nach Art. 82 DSGVO aufrecht.
FAQ
Dürfen Unternehmen den ersten Art.-15-Antrag jetzt leichter ablehnen?
Nein. Der EuGH eröffnet nur eine enge Ausnahme. Die Maßstäbe sind hoch, der Begriff „exzessiv“ ist eng auszulegen, und der Verantwortliche trägt die Beweislast.
Reicht es für Missbrauch, dass später Schadensersatz verlangt wird?
Nein. Es braucht den Nachweis, dass der Antrag missbräuchlich gestellt wurde, um künstlich die Voraussetzungen für einen unionsrechtlichen Vorteil zu schaffen. Eine spätere Art.-82-Forderung allein genügt nicht.
Können öffentliche Berichte über serielle Anträge berücksichtigt werden?
Ja, aber nur als Anhaltspunkt. Nach dem EuGH müssen solche Informationen durch andere relevante Umstände bestätigt werden.
Kann eine verweigerte Auskunft selbst Schadensersatz auslösen?
Ja. Genau das bestätigt der EuGH ausdrücklich. Erforderlich bleibt aber ein tatsächlich entstandener materieller oder immaterieller Schaden sowie Kausalität.
Auskunftsprozesse nach Art. 15 DSGVO jetzt belastbar aufstellen
Die Entscheidung verlangt weder reflexhafte Erfüllung um jeden Preis noch vorschnelle Standardabwehr. Sie verlangt belastbare Prozesse, dokumentierte Einzelfallprüfung und ein klares Bewusstsein dafür, dass Auskunftsverstöße haftungsrechtlich relevant bleiben.
Als Kanzlei für Datenschutzrecht, Privacy Litigation, Compliance und IT-Recht beraten wir zu Betroffenenanfragen, Auskunftsprozessen nach Art. 15 DSGVO, Schadensersatzforderungen nach Art. 82 DSGVO und der belastbaren Ausgestaltung interner Response-Prozesse.
Hinweis: Stand des Artikels: 19.03.2026.