EuGH, Urt. 19.3.2026 - C-526/24
Schadensersatz bei exzessivem ersten Auskunftsantrag von DSGVO-Hoppern
Autor: RA Markus Rössel, LL.M. (Informationsrecht), Köln
Aus: IT-Rechtsberater, Heft 05/2026
Aus: IT-Rechtsberater, Heft 05/2026
Ein erster Antrag nach Art. 15 DSGVO kann als exzessiv i.S.d. Art. 12 Abs. 5 DSGVO angesehen werden, wenn unter Berücksichtigung aller relevanten Umstände – insb. öffentlicher Informationen zu Auskunftsanträgen und Schadensersatzforderungen gegenüber mehreren Dritten – nachgewiesen wird, dass er trotz formaler Einhaltung der Tatbestandsvoraussetzungen nicht gestellt wurde, um sich der Verarbeitung dieser Daten bewusst zu werden und deren Rechtmäßigkeit zu überprüfen, damit anschließend die Rechte aus der DSGVO geschützt werden können, sondern in missbräuchlicher Vorteilsabsicht zur künstlichen Schaffung dieser Tatbestandsvoraussetzungen.
DSGVO Artt. 12 Abs. 5, 15 Abs. 1, 82 Abs. 1
Systematische Auslegung:Nach allgemeinem Sprachgebrauch sei „exzessiv“, was qualitativ oder quantitativ insb. über das gewöhnliche oder zulässige Maß hinausgehe. Die Vorschrift enthalte eine eng auszulegende Ausnahme von der Auskunftspflicht als Ausdruck des allgemeinen Grundsatzes des Rechtsmissbrauchs, wonach sich Einzelne nicht in betrügerischer oder missbräuchlicher Weise auf unionsrechtliche Normen berufen dürften. Somit sei die Zahl der Auskunftsanträge nicht ausschlaggebend (Rz. 25–31 m.w.N.; vgl. insges. zu Art. 57 Abs. 4 DSGVO EuGH v. 9.1.2025 – C-416/23 – Exzessive Anfragen Rz. 30–57, CR 2025, 113).
Teleologische Auslegung:Um die praktische Wirksamkeit der Ausnahmeregelung zu gewährleisten, sei für rechtsmissbräuchliches Verhalten unter Berücksichtigung von Erwgrd. 4, 10, 11 der DSGVO der – nicht allein von der Antragswiederholung abhängige – qualitativ exzessive Charakter des Auskunftsantrags maßgeblich. Wegen enger Auslegung komme „Exzessivität“ nur ausnahmsweise in Betracht, seien die Maßstäbe hoch anzulegen und trage der Verantwortliche die Beweislast (Rz. 32–35 m.w.N.).
Objektiv und subjektiv missbräuchliches Vorgehen:Exzessive bzw. allgemein rechtsmissbräuchliche Verhaltensweisen setzten unter Berücksichtigung aller Einzelfallumstände den Nachweis der Telosverfehlung nur formal erfüllten Unionsrechts sowie die Absicht der Vorteilserlangung durch künstlich geschaffene Rechtsvoraussetzungen voraus. Das Auskunftsrecht solle nach Art. 15, Erwgrd. 63 der DSGVO problemlos und in angemessenen Abständen insb. zu Bewusstwerdung der Verarbeitung, Überprüfung und ggf. Rechtsdurchsetzung wahrgenommen werden können. Würden andere Zwecke verfolgt, könne Rechtsmissbrauch anzunehmen sein. Berücksichtigungsfähige Umstände seien Freiwilligkeit und Zweck der Datenbereitstellung, Zeitraum bis zum Auskunftsantrag, Betroffenenverhalten sowie – vorbehaltlich einer Bestätigung „durch andere relevante Anhaltspunkte“ – öffentliche Informationen zu musterhaft vergleichbar systematischem Verhalten auch gegenüber Dritten (Rz. 36–43 m.w.N.; Ls. 1).
Kein Verarbeitungserfordernis beim Schadensersatz:Der Wortlaut von Art. 82 Abs. 1, Erwgrd. 141 der DSGVO enthalte keine (einschränkende) Bezugnahme auf eine „Verarbeitung“. Dem stehe der Begriff der Verarbeitung in Art. 82 Abs. 2 und 4, Erwgrd. 146 der DSGVO nicht entgegen. Denn sonst würde die praktische Wirksamkeit der Betroffenenrechte aus Artt. 12, 15 DSGVO entgegen Erwgrd. 11 der DSGVO beeinträchtigt (Rz. 48–55 m.w.N.; Ls. 2).
Unionsautonomer Schadensbegriff:Der Schadensersatzanspruch setze den Nachweis von DSGVO-Verstoß, Schaden und Kausalzusammenhang voraus. Der Datenkontrollverlust i.S.d. Beispiels aus Erwgrd. 85 der DSGVO könne auch ohne eingetretene missbräuchliche Datenverwendung einen immateriellen Schaden darstellen. Der Betroffene müsse aber nachweisen, dass ihm tatsächlich ein solcher Schaden – wie geringfügig auch immer – entstanden sei und dass sich dieser Schaden als Folge des Verstoßes von diesem unterscheide. Bloßes Vorbringen einer durch Datenkontrollverlust hervorgerufenen Befürchtung eines Datenmissbrauchs sei als solches unzureichend. Erforderlich sei der Nachweis, dass diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden könne. Was demnach für den Kontrollverlust gelte, sei auf Fälle der Verarbeitungsunsicherheit des Betroffenen entsprechend übertragbar (Rz. 58–64 m.w.N.).
Keine Zurechnung bei Mitursächlichkeit:Der Kausalzusammenhang zwischen Verstoß und Schaden könne durch ein freiwilliges, entscheidend schadensursächliches Betroffenenverhalten unterbrochen werden (vgl. zu Art. 340 Abs. 2 AEUV EuGH v. 18.12.2025 – C-679/23 P – Gemeinsame Rückkehraktion Rz. 151 f. m.w.N.). Dies sei der Fall, wenn durch die Datenübermittlung Kontrollverlust oder Verarbeitungsungewissheit herbeigeführt werden, um künstlich Anspruchsvoraussetzungen zu erfüllen (Rz. 65 ff.; Ls. 3).
DSGVO Artt. 12 Abs. 5, 15 Abs. 1, 82 Abs. 1
Das Problem
Ein Betroffener aus Österreich abonnierte im März 2023 den Newsletter eines deutschen Augenoptikunternehmens unter Angabe personenbezogener Daten. Bereits 13 Tage später verlangte er Auskunft nach Art. 15 DSGVO, die innerhalb Monatsfrist unter Berufung auf Art. 12 Abs. 5 DSGVO abgelehnt wurde, weil öffentliche Berichte auf eine systematisch monetarisierte Provokation von DSGVO-Verletzungen hindeuteten. Daraufhin forderte er tatsächlich auch immateriellen Schadensersatz i.H.v. 1.000 €, letztlich auch widerklagend zur negativen Feststellungsklage des Unternehmens.Die Entscheidung des Gerichts
Aus Art. 15 Abs. 1 DSGVO folge das Recht auf Verarbeitungsbestätigung und Datenauskunft. Nach Art. 12 Abs. 5 Unterabs. 1 Satz 2 DSGVO sei die Auskunft ausnahmsweise entweder – Verwaltungskosten berücksichtigend – angemessen entgeltpflichtig oder verweigerbar, wenn die Anträge als offenkundig unbegründet oder insb. im Fall häufiger Wiederholung als exzessiv anzusehen seien (Rz. 22 f. m.w.N.).Systematische Auslegung:Nach allgemeinem Sprachgebrauch sei „exzessiv“, was qualitativ oder quantitativ insb. über das gewöhnliche oder zulässige Maß hinausgehe. Die Vorschrift enthalte eine eng auszulegende Ausnahme von der Auskunftspflicht als Ausdruck des allgemeinen Grundsatzes des Rechtsmissbrauchs, wonach sich Einzelne nicht in betrügerischer oder missbräuchlicher Weise auf unionsrechtliche Normen berufen dürften. Somit sei die Zahl der Auskunftsanträge nicht ausschlaggebend (Rz. 25–31 m.w.N.; vgl. insges. zu Art. 57 Abs. 4 DSGVO EuGH v. 9.1.2025 – C-416/23 – Exzessive Anfragen Rz. 30–57, CR 2025, 113).
Teleologische Auslegung:Um die praktische Wirksamkeit der Ausnahmeregelung zu gewährleisten, sei für rechtsmissbräuchliches Verhalten unter Berücksichtigung von Erwgrd. 4, 10, 11 der DSGVO der – nicht allein von der Antragswiederholung abhängige – qualitativ exzessive Charakter des Auskunftsantrags maßgeblich. Wegen enger Auslegung komme „Exzessivität“ nur ausnahmsweise in Betracht, seien die Maßstäbe hoch anzulegen und trage der Verantwortliche die Beweislast (Rz. 32–35 m.w.N.).
Objektiv und subjektiv missbräuchliches Vorgehen:Exzessive bzw. allgemein rechtsmissbräuchliche Verhaltensweisen setzten unter Berücksichtigung aller Einzelfallumstände den Nachweis der Telosverfehlung nur formal erfüllten Unionsrechts sowie die Absicht der Vorteilserlangung durch künstlich geschaffene Rechtsvoraussetzungen voraus. Das Auskunftsrecht solle nach Art. 15, Erwgrd. 63 der DSGVO problemlos und in angemessenen Abständen insb. zu Bewusstwerdung der Verarbeitung, Überprüfung und ggf. Rechtsdurchsetzung wahrgenommen werden können. Würden andere Zwecke verfolgt, könne Rechtsmissbrauch anzunehmen sein. Berücksichtigungsfähige Umstände seien Freiwilligkeit und Zweck der Datenbereitstellung, Zeitraum bis zum Auskunftsantrag, Betroffenenverhalten sowie – vorbehaltlich einer Bestätigung „durch andere relevante Anhaltspunkte“ – öffentliche Informationen zu musterhaft vergleichbar systematischem Verhalten auch gegenüber Dritten (Rz. 36–43 m.w.N.; Ls. 1).
Kein Verarbeitungserfordernis beim Schadensersatz:Der Wortlaut von Art. 82 Abs. 1, Erwgrd. 141 der DSGVO enthalte keine (einschränkende) Bezugnahme auf eine „Verarbeitung“. Dem stehe der Begriff der Verarbeitung in Art. 82 Abs. 2 und 4, Erwgrd. 146 der DSGVO nicht entgegen. Denn sonst würde die praktische Wirksamkeit der Betroffenenrechte aus Artt. 12, 15 DSGVO entgegen Erwgrd. 11 der DSGVO beeinträchtigt (Rz. 48–55 m.w.N.; Ls. 2).
Unionsautonomer Schadensbegriff:Der Schadensersatzanspruch setze den Nachweis von DSGVO-Verstoß, Schaden und Kausalzusammenhang voraus. Der Datenkontrollverlust i.S.d. Beispiels aus Erwgrd. 85 der DSGVO könne auch ohne eingetretene missbräuchliche Datenverwendung einen immateriellen Schaden darstellen. Der Betroffene müsse aber nachweisen, dass ihm tatsächlich ein solcher Schaden – wie geringfügig auch immer – entstanden sei und dass sich dieser Schaden als Folge des Verstoßes von diesem unterscheide. Bloßes Vorbringen einer durch Datenkontrollverlust hervorgerufenen Befürchtung eines Datenmissbrauchs sei als solches unzureichend. Erforderlich sei der Nachweis, dass diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden könne. Was demnach für den Kontrollverlust gelte, sei auf Fälle der Verarbeitungsunsicherheit des Betroffenen entsprechend übertragbar (Rz. 58–64 m.w.N.).
Keine Zurechnung bei Mitursächlichkeit:Der Kausalzusammenhang zwischen Verstoß und Schaden könne durch ein freiwilliges, entscheidend schadensursächliches Betroffenenverhalten unterbrochen werden (vgl. zu Art. 340 Abs. 2 AEUV EuGH v. 18.12.2025 – C-679/23 P – Gemeinsame Rückkehraktion Rz. 151 f. m.w.N.). Dies sei der Fall, wenn durch die Datenübermittlung Kontrollverlust oder Verarbeitungsungewissheit herbeigeführt werden, um künstlich Anspruchsvoraussetzungen zu erfüllen (Rz. 65 ff.; Ls. 3).