Der EuGH hat mit Urteil vom 19. März 2026 (C-526/24 – „Brillen Rottler“) zentrale Fragen zum Auskunftsanspruch nach Art. 15 DSGVO präzisiert. Im Fokus stehen die Grenzen missbräuchlicher Auskunftsersuchen und die Reichweite des Schadensersatzanspruchs nach Art. 82 DSGVO.
Missbrauch von Auskunftsersuchen nur in Ausnahmefällen
Der Gerichtshof stellt klar, dass auch ein erstmaliges Auskunftsersuchen als „exzessiv“ eingestuft werden kann. Entscheidend ist jedoch eine strenge Einzelfallprüfung.
Ein Missbrauch liegt nur vor, wenn das Auskunftsrecht objektiv nicht zur Kontrolle der Datenverarbeitung genutzt wird und zugleich die Absicht besteht, gezielt Ansprüche zu generieren. Beide Voraussetzungen müssen kumulativ erfüllt sein und sind vom Unternehmen nachzuweisen.
Auffällige Umstände wie ein enger zeitlicher Zusammenhang zwischen Dateneingabe und Auskunftsersuchen oder ein systematisches Vorgehen können zwar Indizien darstellen, reichen für sich genommen jedoch nicht aus.
Schadensersatzrisiken bei Verstößen gegen Betroffenenrechte
Der EuGH bestätigt, dass ein Schadensersatzanspruch nach Art. 82 DSGVO nicht zwingend eine rechtswidrige Datenverarbeitung voraussetzt. Bereits die Verletzung von Betroffenenrechten – etwa durch eine verweigerte oder unvollständige Auskunft – kann haftungsrelevant sein.
Voraussetzung bleibt jedoch, dass ein konkreter Schaden eingetreten ist und ein Kausalzusammenhang zwischen Verstoß und Schaden besteht. Ein bloßer DSGVO-Verstoß genügt nicht.
Fazit
Für die Praxis bedeutet die Entscheidung: Auskunftsersuchen sind grundsätzlich zu erfüllen, während Ablehnungen auf eng begrenzte Ausnahmefälle beschränkt bleiben. Gleichzeitig steigt das Risiko, dass Fehler im Umgang mit Betroffenenrechten zu Schadensersatzansprüchen führen.
Eine ausführlichere Fassung dieses Artikels finden Sie unter Legal Bytes - DSGVO-Auskunft als Geschäftsmodell? EuGH zieht klare Missbrauchsgrenzen