EuGH: Missbrauch des DSGVO-Auskunftsrechts: Wann darf ein Antrag zurückgewiesen werden?

01.06.2026
IT-Recht
2 Minuten

Das Auskunftsrecht nach Art. 15 DS-GVO wird zunehmend missbräuchlich eingesetzt, um Schadensersatzansprüche zu generieren. Der EuGH (Urteil vom 19. März 2026, Rs. C-526/24 – Brillen Rottler) hat nun Klarheit geschaffen, wann Unternehmen zurückweisen dürfen.

Was Unternehmen wissen sollten

Der EuGH hat entschieden, dass ein erster Auskunftsantrag unter bestimmten Umständen bereits als „exzessiv" im Sinne der DSGVO angesehen werden und daher missbräuchlich sein kann. Dies ist der Fall, wenn der Verantwortliche nachweist, dass der Antrag trotz formaler Einhaltung der Voraussetzungen nicht gestellt wurde, um sich der Datenverarbeitung bewusst zu werden und deren Rechtmäßigkeit zu überprüfen, sondern in der als „missbräuchlich" einzustufenden Absicht, künstlich die Voraussetzungen für die Erlangung von Schadensersatz nach der DSGVO zu schaffen. Dabei sind sämtliche Fallumstände zu berücksichtigen, insbesondere ob die betroffene Person ihre Daten freiwillig bereitgestellt hat, zu welchem Zweck dies geschah, wie viel Zeit zwischen Datenbereitstellung und Auskunftsantrag verstrichen ist, und wie sich die antragstellende Person generell verhalten hat. Dass eine Person nach öffentlich zugänglichen Informationen mehrere Anträge auf Auskunft gefolgt von Schadensersatzforderungen gegenüber verschiedenen Verantwortlichen gestellt hat, kann für die Feststellung einer solchen missbräuchlichen Absicht berücksichtigt werden, führt aber nicht automatisch zur Rechtsmissbräuchlichkeit. Wichtig: Die Anforderungen an den Nachweis des Missbrauchs sind bewusst hoch angesetzt; der Missbrauchseinwand bleibt eine begründungsbedürftige Ausnahme. Als Voraussetzung für Schadensersatz muss die betroffene Person nachweisen, dass ihr tatsächlich ein entsprechender Schaden entstanden ist, außerdem kann sie keinen Schadensersatz erhalten, wenn ihr eigenes Verhalten die entscheidende Ursache für den Schaden ist.

Handlungsbedarf

  • Dokumentieren Sie eingehende Auskunftsanträge sorgfältig, insbesondere den zeitlichen Kontext (Wann wurden Daten bereitgestellt? Wie viel Zeit verging bis zum Antrag?) sowie den Zweck der ursprünglichen Datenbereitstellung und das generelle Verhalten der antragstellenden Person

  • Prüfen Sie bei verdächtigen Antragsmustern, ob öffentliche Informationen zu serienmäßigem Vorgehen des Antragstellenden vorliegen

  • Beantworten Sie Auskunftsanträge stets fristgerecht (Art. 12 Abs. 3 DS-GVO: innerhalb eines Monats), auch wenn Sie einen Missbrauch vermuten oder dokumentieren Sie die Zurückweisung substanziiert

  • Erstellen Sie ein internes Verfahren für den Umgang mit verdächtigen Auskunftsanträgen

Unser Angebot für Sie

  • Beratung zum Umgang mit (mutmaßlich missbräuchlichen) Auskunftsanfragen

  • Prüfung und Formulierung rechtssicherer Ablehnungsbescheide oder Beauskunftungen

  • Vertretung in DSGVO-Schadensersatzverfahren

  • Entwicklung eines Prozesses zur Bearbeitung von Betroffenenrechten

Bildnachweis:fatido/Stock-Fotografie-ID:2213775739

Autor:in

Carola SielingRechtsanwältin, Fachanwältin für Informationstechnologierecht, Dozentin der Nordakademie, Datenschutzbeauftragte, IT-Sicherheitsbeauftragte, KI Compliance Beauftragte, Partnerin

Immer bestens informiert mit den Newslettern von SCHOMERUS

Schomerus GruppeImpressumDatenschutz
Steuerberatung und Rechtsberatung
Schomerus & Partner mbB
Steuerberater Rechtsanwälte
Wirtschaftsprüfer
Wirtschaftsprüfung
Hamburger Treuhand Gesellschaft
Schomerus & Partner mbB
Wirtschaftsprüfungsgesellschaft
München
Atelierstraße 1
81671 München
Paderborn
Klingenderstraße 5
33100 Paderborn
Hamburg
Deichstraße 1
20459 Hamburg
Pixel