Am 19. März 2026 hat der Europäische Gerichtshof in der Rechtssache C-526/24 – Brillen Rottler eine Entscheidung gefällt, die für Unternehmen, Datenschutzbeauftragte und Prozessvertreter gleichermaßen wichtig ist. Im Kern geht es um eine Frage, die in der Praxis seit einiger Zeit an Bedeutung gewonnen hat: Darf sich ein Unternehmen gegen einen Auskunftsantrag nach Art. 15 DSGVO verteidigen, wenn der Verdacht besteht, dass der Antrag gar nicht der Transparenz dient, sondern nur darauf abzielt, Schadensersatzansprüche zu provozieren?
Die Antwort des EuGH ist bemerkenswert klar, aber keineswegs pauschal. Ja, auch ein erstmaliger Auskunftsantrag kann „exzessiv“ im Sinne von Art. 12 Abs. 5 DSGVO sein. Das gilt jedoch nur in Ausnahmefällen und nur dann, wenn der Verantwortliche nachweist, dass der Antrag in missbräuchlicher Absicht gestellt wurde. Gleichzeitig betont der Gerichtshof ebenso deutlich, dass der Auskunftsanspruch ein zentrales Betroffenenrecht bleibt und nicht leichtfertig beschnitten werden darf. Für Unternehmen ist das Urteil deshalb keine Einladung zur Blockade, sondern ein Auftrag zur präzisen Einzelfallprüfung.
Der Fall vor dem EuGH und die eigentliche Brisanz der Entscheidung
Dem Verfahren lag ein Sachverhalt zugrunde, der in ähnlicher Form in der Beratungspraxis immer häufiger auftaucht. Eine in Österreich wohnhafte Privatperson abonnierte im März 2023 den Newsletter eines deutschen Optikerunternehmens und gab dabei personenbezogene Daten in die Anmeldemaske auf der Website ein. Nur 13 Tage später stellte sie einen Auskunftsantrag nach Art. 15 DSGVO. Das Unternehmen lehnte den Antrag innerhalb der Monatsfrist ab, weil es ihn für missbräuchlich hielt. Nachdem die betroffene Person den Antrag weiterverfolgte und zusätzlich Schadensersatz in Höhe von 1.000 Euro geltend machte, landete der Fall vor dem Amtsgericht Arnsberg, das mehrere Fragen dem EuGH vorlegte.
Die rechtliche Sprengkraft lag dabei an zwei Stellen. Zum einen wollte das Amtsgericht wissen, ob ein erster Antrag überhaupt „exzessiv“ sein kann. Viele Stimmen in der Praxis hatten das bislang skeptisch gesehen, weil Art. 12 Abs. 5 DSGVO als Beispiel die „häufige Wiederholung“ nennt. Zum anderen stellte sich die Frage, ob eine Verletzung des Auskunftsrechts selbst einen Schadensersatzanspruch nach Art. 82 DSGVO auslösen kann oder ob dafür zwingend eine rechtswidrige Datenverarbeitung im engeren Sinne vorliegen muss.
Der EuGH nutzt die Vorlage, um beide Themen grundsätzlich zu klären. Das Urteil ist deshalb weit mehr als eine Einzelfallentscheidung. Es setzt Leitplanken für den Umgang mit strategisch eingesetzten DSGVO-Anträgen und schärft zugleich das Verständnis von Art. 82 DSGVO. Gerade diese doppelte Botschaft macht die Entscheidung für Unternehmen so relevant.
Warum auch ein erster Auskunftsantrag exzessiv sein kann
Der Ausgangspunkt des Gerichtshofs ist dogmatisch sauber. Art. 15 DSGVO gewährt der betroffenen Person ein Recht auf Auskunft über die sie betreffenden personenbezogenen Daten und die damit verbundenen Informationen. Dieses Recht dient dazu, dass sich die betroffene Person der Verarbeitung bewusst wird und deren Rechtmäßigkeit überprüfen kann. Art. 12 Abs. 5 DSGVO enthält dazu die Ausnahmevorschrift: Bei offenkundig unbegründeten oder exzessiven Anträgen kann der Verantwortliche entweder ein angemessenes Entgelt verlangen oder sich weigern, aufgrund des Antrags tätig zu werden. Den Nachweis für den exzessiven Charakter muss allerdings der Verantwortliche erbringen.
Entscheidend ist nun, dass der EuGH den Begriff „exzessiv“ nicht rein quantitativ versteht. Zwar kann eine häufige Wiederholung ein starkes Indiz sein. Der Wortlaut der Norm nennt diesen Fall aber nur „insbesondere“. Damit ist klar: Exzessivität setzt nicht zwingend mehrere Anträge voraus. Nach Auffassung des Gerichtshofs kann bereits ein erstmaliger Antrag exzessiv sein, wenn er über das zulässige Maß hinausgeht und sich als missbräuchlich darstellt.
Das ist die juristisch wichtigste Aussage des Urteils. Der EuGH löst sich damit von der verkürzten Vorstellung, exzessiv sei nur, was sich durch Masse oder Wiederholung auszeichnet. Stattdessen stellt er auf eine qualitative Bewertung ab. Das ist folgerichtig. Missbrauch zeigt sich im Recht nicht immer durch Häufung. Manchmal reicht ein einziger formal zulässiger Schritt, wenn er allein dazu dient, die Schutzmechanismen des Rechts zweckwidrig auszunutzen. Mit anderen Worten: Auch ein einzelner Antrag kann wie ein korrekt aussehender Schlüssel sein, der in Wahrheit nicht die Tür zur Transparenz öffnen, sondern nur eine Forderungskette in Gang setzen soll.
Gleichzeitig zieht der EuGH eine wichtige Sicherung ein. Weil Art. 12 Abs. 5 DSGVO eine Ausnahme vom Grundsatz der unentgeltlichen und erleichterten Rechtsausübung darstellt, ist die Norm eng auszulegen. Der Verantwortliche kann sich daher nur ausnahmsweise auf den exzessiven Charakter eines ersten Auskunftsantrags berufen. Die Hürden sind hoch. Genau darin liegt die Balance des Urteils: Es schützt Unternehmen vor Missbrauch, ohne das Auskunftsrecht zu entwerten.
Wann nach dem EuGH ein Rechtsmissbrauch vorliegt
Besonders praxisrelevant ist die Frage, welche Umstände für eine missbräuchliche Absicht sprechen können. Der EuGH greift dafür auf die unionsrechtlichen Grundsätze zum Rechtsmissbrauch zurück. Er verlangt zwei Elemente: erstens objektive Umstände, aus denen sich ergibt, dass das Ziel der Regelung trotz formaler Einhaltung nicht erreicht wurde, und zweitens ein subjektives Element, nämlich die Absicht, sich einen unionsrechtlichen Vorteil zu verschaffen, indem die Voraussetzungen für diesen Vorteil künstlich geschaffen werden.
Übertragen auf Art. 15 DSGVO bedeutet das: Ein Auskunftsantrag ist dann missbräuchlich, wenn er nicht gestellt wurde, um sich der Datenverarbeitung bewusst zu werden und deren Rechtmäßigkeit zu kontrollieren, sondern um künstlich die Grundlage für einen späteren Vorteil aus der DSGVO zu schaffen, insbesondere für einen Schadensersatzanspruch. Der EuGH formuliert das sehr deutlich. Genau diese Klarheit dürfte in künftigen Verfahren häufig zitiert werden.
Für die Praxis noch wichtiger ist, welche Indizien berücksichtigt werden dürfen. Der Gerichtshof nennt ausdrücklich sämtliche relevanten Fallumstände. Dazu gehören insbesondere der Umstand, dass die betroffene Person die Daten freiwillig bereitgestellt hat, der Zweck dieser Bereitstellung, die Zeitspanne zwischen Datenbereitstellung und Auskunftsantrag sowie das Verhalten der Person. Auch öffentlich zugängliche Informationen, nach denen dieselbe Person mehrfach Anträge auf Auskunft gestellt und daran jeweils Schadensersatzforderungen angeschlossen hat, dürfen berücksichtigt werden.
Das ist kein Freibrief zur Gesinnungsprüfung. Der EuGH verlangt keine spekulative Mutmaßung, sondern eine belastbare Gesamtwürdigung. Öffentliche Informationen allein reichen nicht automatisch. Sie können aber ein Baustein sein, wenn weitere Umstände hinzutreten. Unternehmen sollten daraus zwei Schlüsse ziehen. Erstens: Ein bloßer Verdacht genügt nicht. Zweitens: Wer sich auf Missbrauch berufen will, muss den Sachverhalt sorgfältig dokumentieren und in einen nachvollziehbaren Kontext stellen.
Gerade hier trennt sich die rechtssichere Reaktion von der riskanten Schnellschuss-Ablehnung. Ein Unternehmen sollte einen Auskunftsantrag nicht schon deshalb zurückweisen, weil er früh gestellt wird oder weil parallel ein Schadensersatzverlangen auftaucht. Das kann legitim sein. Missbrauch setzt mehr voraus: eine erkennbare Zweckverfehlung des Auskunftsrechts. Die Prüfung ähnelt damit einem Blick hinter die Fassade. Formal mag alles ordentlich wirken, materiell kann der Antrag aber ein anderes Ziel verfolgen. Diesen Unterschied sauber herauszuarbeiten, ist in der Praxis anspruchsvoll und sollte im Zweifel anwaltlich begleitet werden.
Art. 82 DSGVO: Schadensersatz auch bei Verletzung des Auskunftsrechts
Mindestens ebenso bedeutsam ist der zweite Teil der Entscheidung. Der EuGH stellt klar, dass Art. 82 Abs. 1 DSGVO auch dann einen Schadensersatzanspruch eröffnen kann, wenn der Verstoß in der Verletzung des Auskunftsrechts nach Art. 15 Abs. 1 DSGVO liegt. Der Anspruch ist also nicht auf Schäden beschränkt, die unmittelbar aus einer Datenverarbeitung als solcher resultieren.
Diese Klarstellung ist für die Praxis erheblich. Manche Verteidigungslinien hatten darauf gesetzt, Art. 82 DSGVO verlange zwingend einen Schaden „durch eine Verarbeitung“. Der EuGH weist diese Lesart zurück. Er argumentiert, dass Art. 82 Abs. 1 seinem Wortlaut nach an einen „Verstoß gegen diese Verordnung“ anknüpft. Das Kapitel über Rechtsbehelfe, Haftung und Sanktionen schützt gerade auch die Rechte der betroffenen Person aus den Art. 12 und 15 DSGVO. Würde man Schäden aus einer rechtswidrigen Verweigerung der Auskunft vom Anwendungsbereich ausnehmen, würde die praktische Wirksamkeit dieser Rechte erheblich geschwächt.
Für Unternehmen bedeutet das eine wichtige doppelte Erkenntnis. Einerseits eröffnet das Urteil eine Verteidigung gegen missbräuchliche Auskunftsersuchen. Andererseits bestätigt es, dass eine unberechtigte Ablehnung eines legitimen Auskunftsantrags schadensersatzrechtliche Risiken auslösen kann. Wer sich also auf Art. 12 Abs. 5 DSGVO beruft, muss besonders sorgfältig arbeiten. Das Urteil ist kein Schild gegen Art. 82 DSGVO, sondern eher eine Waage: Auf der einen Seite steht der Schutz vor Missbrauch, auf der anderen die fortbestehende Haftungsgefahr bei falscher Einschätzung.
Ebenso wichtig ist, dass der EuGH an seiner bisherigen Linie festhält: Ein DSGVO-Verstoß allein genügt nicht. Erforderlich bleiben drei kumulative Voraussetzungen, nämlich ein Verstoß gegen die DSGVO, ein tatsächlicher materieller oder immaterieller Schaden und ein Kausalzusammenhang zwischen beidem. Damit wird erneut klargestellt, dass Art. 82 DSGVO keine automatische Sanktion für jeden formalen Fehler ist.
Was Unternehmen jetzt konkret beachten sollten
Für die Unternehmenspraxis ist das Urteil vor allem eine Aufforderung zur Schaffung besserer Strukturen. Wer Auskunftsersuchen bearbeitet, braucht Prozesse, die zwischen normalen, ernsthaften und möglicherweise missbräuchlichen Anfragen unterscheiden können. Genau hier liegt die eigentliche Lehre aus Luxemburg. Nicht die schnelle Ablehnung ist der Königsweg, sondern die belastbare Prüfung.
Zunächst sollten Unternehmen ihre internen Abläufe so aufstellen, dass Auskunftsanträge fristgerecht erkannt, erfasst und bearbeitet werden. Denn die Berufung auf Missbrauch hilft nicht, wenn es schon an sauberer Organisation fehlt. Ebenso wichtig ist eine vollständige Dokumentation des Einzelfalls. Wer auf Exzessivität oder Rechtsmissbrauch abstellen will, muss die relevanten Umstände festhalten: Wann wurden die Daten erhoben? Zu welchem Zweck? Wurden sie freiwillig angegeben? Wie kurz war der Abstand zum Auskunftsantrag? Gibt es weitere objektive Hinweise auf ein systematisches Vorgehen? Und vor allem: Lässt sich daraus wirklich ableiten, dass der Antrag nicht der Transparenz, sondern der künstlichen Anspruchsgenerierung diente?
In Zweifelsfällen empfiehlt sich Zurückhaltung. Denn die Beweislast liegt beim Verantwortlichen. Eine unberechtigte Ablehnung kann selbst wieder zum Problem werden, gerade weil der EuGH nun ausdrücklich bestätigt hat, dass aus der Verletzung des Auskunftsrechts ein Schadensersatzanspruch entstehen kann. Unternehmen sollten deshalb nicht mit pauschalen Standardablehnungen arbeiten, sondern mit juristisch abgestimmten Einzelfallentscheidungen.
Besondere Vorsicht ist auch bei der Bewertung immaterieller Schäden geboten. Der EuGH bekräftigt, dass ein solcher Schaden etwa im Verlust der Kontrolle über personenbezogene Daten oder in der Ungewissheit darüber liegen kann, ob Daten verarbeitet wurden. Aber auch hier gilt: Das ist kein Automatismus. Die betroffene Person muss einen tatsächlichen Schaden nachweisen. Zudem kann der Kausalzusammenhang unterbrochen sein, wenn das Verhalten der betroffenen Person selbst die entscheidende Ursache des Schadens war. Gerade dieser Punkt dürfte in Fällen strategischer Antragstellung künftig eine wichtige Rolle spielen.
Unser Eindruck aus anwaltlicher Sicht ist deshalb eindeutig: Das Urteil stärkt Unternehmen, die sorgfältig, dokumentiert und differenziert handeln. Es hilft dagegen nicht denen, die Auskunftsersuchen vorschnell als lästig oder verdächtig abtun. Wie so oft im Datenschutzrecht entscheidet nicht die große Parole, sondern die Qualität der konkreten Reaktion.
Fazit
Der EuGH hat mit dem Urteil vom 19. März 2026 in der Rechtssache C-526/24 – Brillen Rottler eine wichtige Klärung für die DSGVO-Praxis geschaffen. Ein erster Auskunftsantrag nach Art. 15 DSGVO kann exzessiv sein, wenn er in missbräuchlicher Absicht gestellt wurde und der Verantwortliche dies anhand aller relevanten Umstände nachweist. Das ist ein wichtiges Signal gegen strategische Modelle, die Datenschutzrechte nur als Hebel für Entschädigungsforderungen nutzen wollen.
Gleichzeitig bleibt der Auskunftsanspruch ein zentrales Betroffenenrecht. Die Ausnahme des Art. 12 Abs. 5 DSGVO ist eng auszulegen, die Hürden für den Missbrauchseinwand sind hoch, und eine unberechtigte Ablehnung kann selbst schadensersatzrechtliche Folgen nach Art. 82 DSGVO haben. Für Unternehmen lautet die richtige Antwort deshalb nicht Abwehr um jeden Preis, sondern rechtssichere Differenzierung.
Gerade an der Schnittstelle von Datenschutz, Compliance und Prozessstrategie zeigt sich erneut, wie wichtig eine vorausschauende Beratung ist. Wer Anträge sauber prüft, sauber dokumentiert und sauber begründet, reduziert nicht nur Risiken, sondern stärkt auch die eigene Verteidigungsposition. Genau darin liegt die praktische Bedeutung dieses Urteils.
.png)
Fachanwalt für Insolvenz- und Sanierungsrecht
Datenschutzauditor (TÜV)
Datenschutzbeauftragter (TÜV)
Zum Profil
