Das Auskunftsrecht ist eines der wichtigsten Rechte, die Betroffene gegenüber Unternehmen geltend gemacht werden können. Zu diesem Thema hat nun der EuGH ein Urteil gefällt (19.03.2026 – C-526/24). Über die Vorgeschichte dieses Urteils und den Schlussantrag des Generalanwalts beim EuGH hatten wir bereits hier berichtet.

Newsletteranmeldung, Auskunftsersuchen, Schadensersatz

Kurz zusammengefasst ging es bei dem Fall aus Österreich um Folgendes: Eine Person (im Urteil „TC“ genannt) meldete sich für den Newsletter des Optikers Brillen Rottler an, forderte 13 Tage später Auskunft über die Verarbeitung seiner Daten und verlangte 1.000 Euro Schadensersatz. Der Optiker lehnte dies als missbräuchlich ab und klagte vor Gericht, um feststellen zu lassen, dass TC kein Schadensersatz zustehe. TC konterte mit Widerklage und forderte Auskunft und Schadensersatz. Das Gericht bat den EuGH um seine Meinung.

Der Generalanwalt, der eine erste rechtliche Einschätzung für das Gericht vornahm, meinte, Erstanfragen könnten exzessiv sein, wenn Missbrauch der Anfrage nachweisbar sei, wobei der Nachweis sich nicht nur auf Internet-Hinweise beschränken dürfe. Auch Schadensersatz sei nicht ausgeschlossen.

Der EuGH hat sich nun geäußert: Im Kern sagt er, dass schon der erste Antrag auf Auskunft rechtsmissbräuchlich sein kann. Ebenso kann ein Schadensersatz gerechtfertigt sein, selbst wenn es keine konkrete „Fehlverarbeitung“ der Daten gibt. Allerdings schränkt der EuGH ein, dass zwar Kontrollverlust und Ungewissheit über die Datenverarbeitung ein immaterieller Schaden sein können, der ein Schmerzensgeld nach sich zieht, es jedoch keinen Automatismus gibt – insbesondere dann nicht, wenn der Betroffene das Szenario gezielt provoziert.

Hohe Hürden, wenn der erste Auskunftsantrag exzessiv sein soll

Der EuGH stellt klar, dass ein Auskunftsantrag auch beim ersten Mal „exzessiv“ im Sinne von Art. 12 Abs. 5 DSGVO sein und damit als Rechtsmissbrauch qualifiziert werden kann.

Allerdings gilt es Folgendes zu beachten:

Bei der Bewertung des Exzesses kommt es nicht auf die Anzahl der Fragen an, sondern auf den Inhalt. Die Annahme eines solchen Erst-Exzesses ist die Ausnahme vom Grundsatz aus Art. 12 Abs. 5 DSGVO, wonach Betroffene ihre Rechte unentgeltlich und ohne Hürden ausüben können. Für die Annahme des Exzesses trägt das Unternehmen auch die volle Beweislast vor Gericht.

Nach dem EuGH kann der Auskunftsantrag dann missbräuchlich sein, wenn der Antrag zwar formal den Anforderungen nach Art. 15 DSGVO genügt, es dem Antragsstellenden aber nicht darum geht, sich der Verarbeitung seiner Daten bewusst zu werden und deren Rechtmäßigkeit zu überprüfen, um ggf. weitere Rechte in Anspruch zu nehmen – etwa das Recht auf Löschung oder Berichtigung. Dem Antragsstellenden muss es vor allem oder auch einzig darum gehen, künstlich Voraussetzungen für einen Vorteil aus der DSGVO zu schaffen – wie Schadensersatz nach Art. 82 DSGVO.

Wenn jemand sich also bei einem Newsletter anmeldet, nur um zwei Wochen später Auskunft und Schadensersatz zu verlangen, kann man ihm unterstellen, dies nur getan zu haben, um die Voraussetzungen für Schmerzensgeld zu schaffen.

Der EuGH gibt auch einen Fingerzeig, wie die Vermutung des exzessiven Charakters untermauert werden kann. So lässt er es zu, Informationen aus öffentlichen Quellen heranzuziehen, die belegen, dass der Auskunftsstellende bereits in ähnlichen Fällen so vorgegangen ist. Allerdings müssen solche Indizien (eben keine Beweise) durch andere Umstände bestätigt werden, etwa eine kurze Zeitspanne zwischen Datenüberlassung und Auskunftsantrag, ähnliches Vorgehen und ein erkennbarer Fokus auf den Schadensersatz und nicht auf die Auskunft.

Schadensersatz auch ohne Fehlverarbeitung

Der EuGH hebt hervor, dass nicht nur Verstöße wegen einer Datenverarbeitung einen Schaden verursachen können, sondern jeder Verstoß gegen die DSGVO. Daher können auch Verstöße gegen die Erfüllung von Auskunftsbegehren – etwa durch Überschreiten von gesetzlichen Fristen, Unvollständigkeit oder schlichtes Ignorieren – zu Schadensersatz führen.

Schmerzensgeld bei Kontrollverlust und Ungewissheit

Wenn es um die Frage geht, ob auch bei Kontrollverlust und Unklarheit über die Datenverarbeitung Schmerzensgeld möglich ist, greift der EuGH auf seine bisherige Rechtsprechung zurück und fordert einen Zusammenhang zwischen Schaden und Verstoß. Ebenso verweist der EuGH darauf, dass es keine Bagatellgrenze gibt, die erst ein Schmerzensgeld auslöst. Allerdings muss sich der Schaden subjektiv auswirken (Stress, Schlaflosigkeit wegen Angstzuständen etc.).

Allerdings schränkt der EuGH die Möglichkeit des Schmerzensgeldes ein. So kann der Zusammenhang zwischen Schaden und Verstoß unterbrochen werden, wenn die entscheidende Ursache des Schadens im Verhalten des Betroffenen selbst liegt. Wenn also der Betroffene seine Daten gerade in der Absicht übermittelt, um später Schadensersatz geltend zu machen, kann er sich nicht auf einen Schaden berufen, der aus dieser gezielten Provokation resultiert.

Fazit

Für Unternehmen bedeutet dies, dass vor allem offensichtlich missbräuchliche Anfragen auf Auskunft nicht beantwortet werden müssen. Dies gilt bspw. für Anfragen, die zwar ein Auskunftsbegehren geltend machen, aber gleichzeitig mitteilen, dass bei einer Zahlung von 100 Euro das Begehren nicht weiterverfolgt wird.

Daher ist sorgfältig zu prüfen, ob ein Auskunftsbegehren den Anforderungen des Missbrauchs nach dem EuGH entspricht, bevor man es nicht beauskunftet. Andernfalls kann bereits bei der ersten Auskunftsanfrage, die nicht oder unvollständig beantwortet wird, ein Schmerzensgeld fällig werden.

| | | , , , , , , , , , , , , , | 1 Kommentar