Wenn man eine Brille benötigt oder ein neues Modell haben möchte, ist der Newsletter eines Optikers eine gute Informationsquelle. Vielleicht hatte ein Abonnent neben der Information auch noch etwas anderes im Sinn. Dies vermutete der Optiker selbst. Wie er zu dieser Vermutung gekommen ist und wie dieser Fall zum EuGH gelangt ist (Rechtssache C‑526/24) , soll hier berichtet werden.
Im März 2023 meldete sich ein Privatmann aus Wien, TC, für den Newsletter des Optikunternehmens Brillen Rottler GmbH & Co. KG mit Sitz in Deutschland an. Die Anmeldung erfolgte über die Website des Unternehmens, inklusive Einwilligung zur Verarbeitung seiner personenbezogenen Daten. Nur 13 Tage später stellte TC eine Auskunftsanfrage gemäß Art. 15 DSGVO – ein Recht, das jedem Betroffenen zusteht.
Ablehnung mit Begründung „Missbrauch“
Brillen Rottler reagierte fristgerecht, lehnte die Anfrage jedoch mit der Begründung ab, sie sei missbräuchlich. TC wurde aufgefordert, von weiteren Anfragen abzusehen. Doch TC blieb hartnäckig und ergänzte seine Anfrage um einen Schadenersatzanspruch in Höhe von 1.000 Euro wegen eines angeblich erlittenen immateriellen Schadens.
Der Streit eskaliert – Klage und Widerklage
Daraufhin reichte Brillen Rottler Klage beim Amtsgericht Arnsberg ein – mit dem Ziel, feststellen zu lassen, dass TC keinen Anspruch auf Entschädigung habe. Das Unternehmen verwies auf diverse Online-Quellen, die nahelegen, TC verfolge ein systematisches Vorgehen: Newsletter-Anmeldung, Auskunftsanfrage, Schadenersatzforderung.
TC wiederum erhob Widerklage und beantragte, Brillen Rottler zur Auskunft und zur Zahlung von Schadenersatz zu verurteilen. Er argumentierte, dass sein Auskunftsrecht voraussetzungslos bestehe und er ein berechtigtes Interesse am Newsletter habe, da er sich regelmäßig in Deutschland aufhalte.
Amtsgericht hat Zweifel
Das Amtsgericht stellte sich auf den Standpunkt, dass die Einschränkung des Rechts auf Auskunft nur ausnahmsweise in Betracht kommen sollte. Schadenersatzforderungen könnten nicht als alleiniger Grund ausreichen. Auch Schadenersatz hält das Amtsgericht für möglich, selbst wenn keine Daten verarbeitet wurden. Daher könne dem Grunde nach auch bei Verweigerung der Auskunft ein Schaden entstehen und Schmerzensgeld verlangt werden.
Allerdings bat das Amtsgericht den EuGH um seine Rechtsmeinung, um sich abzusichern, und stellte diesem einige Fragen, die sich zusammenfassen lassen. Hierzu hat der Generalanwalt des EuGH eine Stellungnahme verfasst, der der EuGH in der Regel in seiner Entscheidung folgt.
Missbrauch schon bei erster Auskunft?
Ein erster Fragenkomplex befasst sich mit der Frage des Missbrauchs von Auskunftsersuchen:
So fragte das Amtsgericht, ob bereits ein erstes Auskunftsersuchen als exzessiv und damit als missbräuchlich gelten kann, etwa wenn es dem Betroffenen darum geht, gezielt Schadenersatzansprüche vorzubereiten oder zu provozieren. In diesem Zusammenhang fragt das Amtsgericht auch, ob öffentlich zugängliche Hinweise auf die Nutzung des Auskunftsersuchens zur Geltendmachung von Schadenersatz die Ablehnung eines ersten Auskunftsersuchens ermöglichen und ein Rechtsmissbrauch vorliegt, wenn man eine Datenverarbeitung nur deswegen initiiert, um Schadenersatz zu fordern.
Der Generalanwalt kam zu dem Schluss, dass ein erstmaliger Auskunftsantrag nach Art. 15 DSGVO ausnahmsweise als „exzessiv“ gelten kann, wenn der Verantwortliche nachweisen kann, dass der Antrag missbräuchlich gestellt wurde – etwa mit der Absicht, Schadenersatz zu erlangen. Solch eine Missbrauchsabsicht kann bereits vorliegen, wenn die betroffene Person bewusst in die Datenverarbeitung eingewilligt hat, um anschließend einen Auskunftsantrag zu stellen und daraus Schadenersatzansprüche abzuleiten. Allerdings darf ein Auskunftsantrag nicht allein deshalb als exzessiv eingestuft werden, weil öffentlich zugängliche Informationen darauf hindeuten, dass die betroffene Person häufig Schadenersatzforderungen bei Datenschutzverstößen geltend gemacht hat.
Ist die Datenverarbeitung Voraussetzung für Schadenersatz?
Weiter fragte das Gericht, ob das Stellen eines Auskunftsersuchens bzw. dessen Beantwortung durch das Unternehmen bereits eine Verarbeitung personenbezogener Daten darstellt und ob eine Datenverarbeitung zwingend Voraussetzung für einen Anspruch auf Schadenersatz ist.
Der Generalanwalt antwortete darauf, dass ein Anspruch auf Schadenersatz auch dann besteht, wenn es zu keiner Datenverarbeitung gekommen ist. Er begründet dies mit dem Wortlaut des Art. 82 DSGVO, der einen Schadenersatz wegen fehlerhafter Datenverarbeitung vorsieht, diesen aber nicht darauf beschränkt, sondern klarstellt, dass jeglicher Verstoß gegen die DSGVO zu einem Schaden führen könne. Außerdem macht der Generalanwalt darauf aufmerksam, dass ein kurzzeitiger Verlust der Kontrolle über personenbezogene Daten einen Schaden darstellen kann, der zu einem entsprechenden Anspruch führt. Der Ausgleich des Schadens für einen kurzzeitigen Verlust kann dann in einem geringfügigen Schadenersatz münden. Ob 1.000 Euro für einen Verlust in diesem konkreten Fall angemessen ist, müsse aber das Amtsgericht entscheiden.
Stolpersteine für die Ablehnung eines ersten Auskunftsantrags
Der Generalanwalt hat deutlich gemacht, dass schon bei Erstanträgen von Auskünften ein exzessiver Antrag vorliegen kann, der nicht beauskunftet werden muss. Allerdings möchte er den Einzelfall geprüft wissen. Allein, dass im Internet Hinweise zu finden sind, dass der Kläger in der Vergangenheit in ähnlichen Fällen Schadenersatz gefordert hat, reicht nach dem Generalanwalt nicht aus.
Außerdem kann Schadenersatz auch dann gefordert werden, wenn der Verstoß gegen die DSGVO ohne Datenverarbeitung erfolgt.
Unternehmen können danach also nicht pauschal eine Auskunft ablehnen, nur weil im Internet der Antragsteller bereits mit ähnlichem Verhalten aufgefallen ist. Es muss konkret etwas hinzukommen. Dies könnte etwa dann der Fall sein, wenn aus dem Auskunftsbegehren oder im Schriftwechsel der Antragsteller kein Interesse mehr an der Auskunft bekundet, sondern die Anfrage gegen Zahlung eines Geldbetrags als erledigt ansehen will.
Die Bearbeitung von Auskunftsbegehren ist damit nicht unbedingt für die Unternehmen leichter geworden.
22. Oktober 2025 @ 16:26
Art. 15 DSGVO hat sich in der Praxis zu einem Tatwerkzeug für Missbrauch fehlentwickelt. Insbesondere kleine und mittlere Unternehmen leiden darunter. Eine Pervertierung des eigentlich guten Idee, die mit dem umfassenden Auskunftsrecht bezweckt war. Um so wichtiger wäre eine Rechtsprechung, die das „Geschäftsmodell Art. 15“ wirksam unterbindet. Aus unerfindlichen Gründen ist die Rechtsprechung aber dazu nicht fähig. Das führt dann zu den regelmäßigen Vorlagen beim EuGH, der am Ende aber auch nicht zu einer Einzelfallbetrachtung tendiert, die für die Verantwortlichen in der Praxis nichts verbessert. Wo ist der alte Grundsatz von Treu und Glauben verloren gegangen? In den Tiefen der EU? Der Verordnungsgeber muss hier endlich nachschärfen. Eine Pervertierung des Datenschutzes hilft den Persönlichkeitsrechten nichts, sondern dient am Ende Leuten, die eigentlich strafrechtlich belangt werden müssten.
28. Oktober 2025 @ 11:18
Rede!