Im Mittelpunkt des aktuellen EuGH-Urteils vom 19. März 2026 stehen das Auskunftsrecht nach Art. 15 DSGVO, die Grenzen exzessiver Anträge und die Voraussetzungen für immateriellen Schadensersatz. Für Verantwortliche und Datenschutzbeauftragte ist es wichtig, die Bedeutung dieses Urteils für ihre praktische Arbeit und für das Verständnis der DSGVO zu berücksichtigen.
Der Inhalt im Überblick
Details zum EuGH-Urteil
Das Urteil des EuGH (C-526/24) befasst sich mit der Auslegung zentraler Vorschriften der DSGVO, insbesondere Art. 12 Abs. 5, Art. 15 Abs. 1 und Art. 82 Abs. 1. Ausgangspunkt war ein Streit zwischen einem Optikerunternehmen und einer Privatperson, die nur wenige Tage nach Anmeldung zu einem Newsletter einen Auskunftsantrag stellte und nach Ablehnung Schadensersatz verlangte.
Der EuGH klärt, unter welchen Bedingungen ein Auskunftsantrag als „exzessiv“ abgelehnt werden kann, wie Schadensersatzansprüche bei Verletzung des Auskunftsrechts zu beurteilen sind und welche Anforderungen an den Nachweis eines immateriellen Schadens zu stellen sind.
Wann ist ein Auskunftsantrag nach DSGVO exzessiv?
Der Wortlaut von Art. 12 Abs. 5 DSGVO spricht bei exzessiven Anträgen von „häufiger Wiederholung“. Im zugrunde liegenden Urteil stellt sich dagegen die Frage: Kann bereits ein erster Auskunftsantrag als exzessiv gelten?
Der EuGH stellt klar: Auch ein erstmaliger Antrag kann „exzessiv“ im Sinne von Art. 12 Abs. 5 DSGVO sein. Die Einstufung als exzessiv verlangt nicht, dass die betroffene Person mehrere Anträge einreicht.
Für den Nachweis einer missbräuchlichen Verhaltensweise muss zum einen die Gesamtheit der objektiven Umstände betrachtet werden. Zum anderen muss ein subjektives Element vorliegen, nämlich die Absicht der betroffenen Person, sich einen Vorteil zu verschaffen, indem sie die Voraussetzungen für diesen Vorteil künstlich herstellt (Missbrauchsabsicht).
Der Verantwortliche trägt die Beweislast für den exzessiven Charakter und muss alle relevanten Umstände des Einzelfalls darlegen. Öffentlich zugängliche Informationen über systematische Anträge und Schadensersatzforderungen können dabei Indizien für eine missbräuchliche Absicht sein, müssen aber durch weitere Umstände bestätigt werden.
Der EuGH kommt in seinem Urteil zu dem Ergebnis, dass
„ein erster von der betroffenen Person an den Verantwortlichen gerichteter Antrag nach Art. 15 DSGVO auf Auskunft über personenbezogene Daten als „exzessiv“ im Sinne dieses Art. 12 Abs. 5 angesehen werden kann, wenn der Verantwortliche in Ansehung aller relevanten Fallumstände nachweist, dass dieser Antrag […] von der betroffenen Person nicht gestellt wurde, um sich der Verarbeitung dieser Daten bewusst zu werden und deren Rechtmäßigkeit zu überprüfen, damit sie anschließend ihre Rechte aus der DSGVO schützen kann, sondern in missbräuchlicher Absicht wie zur künstlichen Schaffung der Voraussetzungen für die Erlangung eines sich aus der DSGVO ergebenden Vorteils.“
(EuGH-Urteil C-526/24, Rn. 45)
Welche Anforderungen gelten für Schadensersatz nach Art. 82 DSGVO?
Das EuGH-Urteil bringt auch für den Schadensersatz nach Art. 82 DSGVO wichtige Klarstellungen:
- Ein Anspruch auf Ersatz immaterieller Schäden besteht auch bei Verletzung des Auskunftsrechts nach Art. 15 DSGVO, unabhängig davon, ob eine Datenverarbeitung stattgefunden hat.
- Voraussetzung ist, dass der betroffenen Person tatsächlich ein Schaden entstanden ist und ein Kausalzusammenhang zwischen Verstoß und Schaden besteht.
- Der bloße Verstoß gegen die DSGVO reicht nicht aus; ein tatsächlicher Schaden muss nachgewiesen werden.
- Der Verlust der Kontrolle über personenbezogene Daten oder Ungewissheit über deren Verarbeitung kann einen immateriellen Schaden darstellen, sofern dieser konkret belegt wird.
Weiterhin hat der EuGH festgestellt, dass immaterielle Schäden nicht auf Schäden mit gewisser Erheblichkeit beschränkt werden dürfen. Auch nationale Reglungen oder die Praxis dürfen keine Bagatellgrenze festlegen. Die betroffene Person muss aber nachweisen können, dass ihr tatsächlich ein (geringfügiger) Schaden entstanden ist. Zudem muss sie nachweisen, dass in den Folgen eines Verstoßes, ein Schaden begründet liegt, der sich von der bloßen Verletzung der Bestimmungen der DSGVO unterscheidet. Bloße Befürchtungen oder abstrakte Kontrollverluste genügen hier nicht.
Welche praktischen Folgen hat das EuGH-Urteil für Verantwortliche und Datenschutzbeauftragte?
Auf die Praxis hat das Urteil folgende Auswirkungen:
- Verantwortliche müssen Auskunftsanträge sorgfältig prüfen und dokumentieren, insbesondere wenn sie sich auf einen exzessiven oder missbräuchlichen Charakter berufen wollen.
- Die Beweislast für Rechtsmissbrauch liegt beim Verantwortlichen und ist hoch. Mögliche Anhaltspunkte müssen sorgfältig geprüft werden.
- Datenschutzbeauftragte sollten interne Prozesse zur Bearbeitung von Auskunftsanträgen und zur Dokumentation von Ablehnungsgründen überprüfen und ggf. anpassen.
- Bei Schadensersatzforderungen ist eine sorgfältige Prüfung des Kausalzusammenhangs und des tatsächlichen Schadens erforderlich.
- Die Kommunikation mit Betroffenen sollte transparent und nachvollziehbar erfolgen, um Missverständnisse und potenzielle Haftungsrisiken zu minimieren.
Bedeutung des EuGH-Urteils für die Auslegung der DSGVO
Das EuGH-Urteil bringt mehr Klarheit, aber auch neue Herausforderungen für Verantwortliche und Datenschutzbeauftragte. Die Anforderungen an die Ablehnung exzessiver Anträge und an den Nachweis immaterieller Schäden sind hoch. Verantwortliche müssen gegebenenfalls ihre Prozesse anpassen und die Rechtsprechung fortlaufend beobachten, um Haftungsrisiken zu minimieren und die Rechte der Betroffenen zu wahren. Das Urteil unterstreicht die Bedeutung einer sorgfältigen, einzelfallbezogenen Prüfung und einer transparenten Kommunikation im Umgang mit Auskunftsanträgen und Schadensersatzforderungen im Datenschutz.
Interessanter Artikel, vielen Dank.
Kann auch der Aufwand, der durch Art. 15 entsteht, als Faktor für einen Missbrauch gesehen werden? Also nicht nur, dass der Betroffene einen Vorteil erhofft und kein Interesse an den Daten hat, sondern, dass er einer Institution schaden will. (Wie auch immer man das nachweisen möchte.)
Konkretes Beispiel: Ein Elternteil streitet mit einer Schule über irgendwas. Die Schule bekommt vor Gericht recht. Direkt im Anschluss wird ein Art. 15 Antrag gestellt über die Herausgabe aller Daten – ohne Einschränkung. Und weils so viel Spaß macht, noch ein paar wilde Anträge nach LIFG.
In der Kommunikation wird klar, dass der Betroffene nicht einschränken will und es auch um nichts bestimmtes geht, sondern es liegt die starke Vermutung vor, dass einfach nur der Schule Aufwand erzeugt werden soll.
Könnte dann auch versucht werden, das als exzessiv anzusehen?
Schönen Gruß
Vielen Dank für Ihre Frage. Wenn man Beweise für ein exzessives Vorgehen hat, sollte man diese anbringen bzw. es versuchen. Vielleicht hilft hier auch ein Verweis auf Erwägungsgrund 63, Satz 7 zur Datenschutz-Grundverordnung weiter: „Verarbeitet der Verantwortliche eine große Menge von Informationen über die betroffene Person, so sollte er verlangen können, dass die betroffene Person präzisiert, auf welche Information oder welche Verarbeitungsvorgänge sich ihr Auskunftsersuchen bezieht, bevor er ihr Auskunft erteilt.“ Weitere Verweigerungsgründe finden Sie auch im Artikel Auskunftsrecht nach DSGVO. Allerdings hat z.B. der Bundesfinanzhof entschieden, dass datenschutzrechtliche Auskunftsverlangen nicht pauschal mit der Begründung „zu viel Aufwand“ verweigert werden dürfen.