Der Europäischer Gerichtshof (Urt. v. 19.03.2026, Az.: C-526/24 – „Brillen Rottler“) setzt eine wichtige Grenze im Datenschutz- und Wettbewerbsrecht: Selbst ein erstmaliges Auskunftsverlangen nach der Datenschutz-Grundverordnung (DSGVO) kann rechtsmissbräuchlich sein – insbesondere dann, wenn es primär der Generierung von Schadensersatzansprüchen dient.
Sachverhalt: DSGVO-Anfrage als Teil einer Strategie?
Ein Verbraucher meldete sich für den Newsletter eines Optikerunternehmens an und stellte kurz darauf ein Auskunftsersuchen zu seinen personenbezogenen Daten. Der Verantwortliche lehnte ab und verwies auf ein systematisches Vorgehen: Der Betroffene melde sich gezielt bei verschiedenen Unternehmen an, stelle anschließend DSGVO-Anfragen und fordere danach Schadensersatz.
Der Fall landete beim Amtsgericht Arnsberg, das den EuGH zur Auslegung des Begriffs „exzessiv“ im Sinne der DSGVO befragte.
Entscheidung des EuGH: Missbrauch auch beim ersten Antrag möglich
Der Europäischer Gerichtshof stellt klar: Auch ein erstmaliger Auskunftsantrag kann als „exzessiv“ und damit unzulässig bewertet werden.
Voraussetzung ist, dass der Verantwortliche nachweisen kann, dass das Auskunftsbegehren nicht der Kontrolle der Datenverarbeitung, sondern einer missbräuchlichen Zielsetzung dient – etwa der gezielten Vorbereitung von Schadensersatzforderungen.
Ein Indiz hierfür kann sein, dass der Betroffene wiederholt gegenüber verschiedenen Unternehmen identisch vorgeht.
Schadensersatz: Kein Anspruch ohne tatsächlichen Schaden
Zugleich betont der Gerichtshof die Voraussetzungen für Schadensersatz nach der Datenschutz-Grundverordnung:
- Es muss ein konkreter materieller oder immaterieller Schaden nachgewiesen werden
- Ein bloßer Verstoß gegen die DSGVO genügt nicht
- Kein Anspruch besteht, wenn das Verhalten der betroffenen Person selbst maßgeblich zur Schadensentstehung beigetragen hat
Relevanz für IT-Recht und Wettbewerbsrecht
Die Entscheidung ist für Unternehmen im Online-Handel und digitalen Geschäftsmodellen besonders bedeutsam:
- Abwehr von „DSGVO-Massenanfragen“: Unternehmen können sich gegen strategisch motivierte Auskunftsersuchen verteidigen
- Missbrauchseinwand stärken: Dokumentation und Mustererkennung gewinnen an Bedeutung
- Kein Automatismus beim Schadensersatz: Die Hürde für immaterielle Schäden bleibt hoch
Gleichzeitig bleibt Vorsicht geboten: Die Ablehnung eines Auskunftsantrags muss sorgfältig begründet werden, da ansonsten eigene DSGVO-Verstöße drohen.
Praxisempfehlungen für Unternehmen
- Auskunftsersuchen strukturiert prüfen und dokumentieren
- Auffällige Serienanfragen intern erfassen
- Missbrauch nur bei klarer Indizienlage annehmen
- DSGVO-Prozesse rechtssicher gestalten (Fristen, Inhalte, Nachweise)
Fazit
Der EuGH begrenzt den Missbrauch von Betroffenenrechten als Geschäftsmodell. Für Unternehmen im IT- und Wettbewerbsrecht bedeutet dies mehr Verteidigungsspielraum – zugleich aber auch die Pflicht zu einer sauberen und rechtssicheren Handhabung von Datenschutzanfragen.