Nach der DSGVO hat jeder Betroffene das Recht zu erfahren, welche personenbezogenen Daten über ihn gespeichert werden. Auf Anfrage müssen Unternehmen und öffentliche Stellen Auskünfte erteilen, die den Voraussetzungen des Art. 15 DSGVO genügen. Fraglich ist jedoch, ob die Auskunft verweigert werden darf, wenn der Betroffene bekanntermaßen solche Auskünfte verlangt, um Schadensersatzansprüche zu provozieren. Fragen hierzu hatte das AG Arnsberg (Beschl. v. 31.7.2024 – 42 C 434/23) dem EuGH zur Vorabentscheidung vorgelegt. (Wir berichteten)

Die Beantwortung der Vorlagefragen erfolgte im Rahmen des Urteils vom 19.03.2026 (EuGH, Urt. 19.03.2026 - C526/24). Der EuGH entschied u.a., dass die relevante Norm des Art. 12 Abs. 5 DSGVO dahingehend auszulegen sei, dass bereits ein erstes von der betroffenen Person an den Verantwortlichen gerichtetes Auskunftsersuchen (Art. 15 DSGVO) als „exzessiv“ angesehen werden könne, wenn der Verantwortliche nachweise, dass dieser Antrag von der betroffenen Person in missbräuchlicher Absicht wie zur künstlichen Schaffung der Voraussetzungen für die Erlangung eines aus der DSGVO resultierenden Vorteils gestellt werde.

Zum Hintergrund

Im Frühling 2023 abonnierte eine in Österreich wohnhafte natürliche Person den Newsletter eines Optikerunternehmens mit Sitz in Deutschland und gab dabei seine personenbezogenen Daten in die Anmeldemaske auf der Website des Unternehmens ein und willigte in die Verarbeitung dieser Daten ein. Nach weniger als zwei Wochen forderte die betroffene Person das Optikerunternehmen (als Verantwortlichen) zu Auskunftserteilung nach Art. 15 DSGVO auf. Diesen Antrag wies das Optikerunternehmen innerhalb der gesetzlichen Frist von einem Monat zurück, da sie ihn für missbräuchlich im Sinne von Art. 12 Abs. 5 Unterabs. 1 S. 2 DSGVO hielt.

Die betroffene Person verfolgte ihren Auskunftsantrag weiter und machte zudem einen Schadensersatzanspruch gem. Art. 82 DSGVO in Höhe von 1.000 Euro geltend.

Das Optikerunternehmen erhob daraufhin eine negative Feststellungsklage und möchte feststellen lassen, dass ein solcher Anspruch nicht bestehe. Es behauptet, der Beklagte nutze datenschutzrechtliche Auskunftsanfragen systematisch und rechtsmissbräuchlich, um anschließend Schadensersatzforderungen zu stellen. Dies gehe aus zahlreichen Berichten in einschlägigen Onlinemedien hervor, die das Vorgehen des Beklagten in vielen Fällen dokumentieren. Die betroffene Person wiederum ist der Ansicht, dass ihr Auskunftsbegehren nicht rechtsmissbräuchlich sei. Sie behauptet, die Anfrage sei legitim und entspreche seinem Recht auf Auskunft nach Art. 15 DSGVO.

Das AG Arnsberg setzte das Verfahren aus und legte dem EuGH mehrere Fragen zur Vorabentscheidung vor. Diese werden in dem Beitrag „EuGH muss entscheiden: Wann sind Auskunftsverlangen nach der DSGVO rechtsmissbräuchlich?“ bereits thematisiert und nachstehend nochmals dargestellt.

1. Ist Art. 12 Abs. 5 Unterabs. 1 Satz 2 DSGVO dahingehend auszulegen, dass ein exzessiver Antrag auf Auskunft durch den Betroffenen nicht bei der ersten Antragstellung gegenüber dem Verantwortlichen vorliegen kann?
   
   
2. Ist Art. 12 Abs. 5 Unterabs. 1 Satz 2 DSGVO dergestalt auszulegen, dass der Verantwortliche ein Auskunftsersuchen des Betroffenen verweigern kann, wenn der Betroffene beabsichtigt, mit dem Auskunftsersuchen Schadensersatzansprüche gegen den Verantwortlichen zu provozieren?
   
   
3. Ist Art. 12 Abs. 5 Unterabs. 1 Satz 2 DSGVO dahingehend auszulegen, dass öffentlich zugängliche Informationen über den Betroffenen, die den Schluss zulassen, dass dieser in einer Vielzahl von Fällen bei Datenschutzverstößen Schadensersatzansprüche gegen Verantwortliche geltend macht, die Verweigerung der Auskunft rechtfertigen können?
   
   
4. Ist Art. 4 Nr. 2 DSGVO dergestalt auszulegen, dass das Auskunftsersuchen eines Betroffenen gegenüber dem Verantwortlichen gemäß Art. 15 Abs. 1 DSGVO und/oder dessen Beantwortung eine Verarbeitung im Sinne von Art. 4 Nr. 2 DSGVO darstellt?
   
   
5. Ist Art. 82 Abs. 1 DSGVO in Ansehung von Erwägungsgrund 146 Satz 1 DSGVO dahingehend auszulegen, dass lediglich diejenigen Schäden ersatzfähig sind, die dem Betroffenen aufgrund einer Verarbeitung entstehen bzw. entstanden sind? Bedeutet dies, dass für einen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO – das Vorliegen eines kausalen Schadens des Betroffenen unterstellt – zwingend eine Verarbeitung der personenbezogenen Daten des Betroffenen vorgelegen haben muss?
   
   
6. Falls Frage 5 bejaht wird: Führt dies dazu, dass dem Betroffenen – das Vorliegen eines kausalen Schadens unterstellt – allein aus der Verletzung seines Auskunftsrechts nach Art. 15 Abs. 1 DSGVO kein Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO zusteht?
   
   
7. Ist Art. 82 Abs. 1 DSGVO dergestalt auszulegen, dass der Rechtsmissbrauchseinwand des Verantwortlichen in Bezug auf ein Auskunftsersuchen des Betroffenen in Ansehung des Unionsrechts nicht darin bestehen kann, dass der Betroffene die Verarbeitung seiner personenbezogenen Daten allein oder unter anderem deswegen herbeigeführt hat, um Schadensersatzansprüche geltend zu machen?
   
   
8. Falls die Fragen 5 und 6 verneint werden: Stellt allein der mit einem Verstoß gegen Art. 15 Abs. 1 DSGVO einhergehende Kontrollverlust und/oder die Ungewissheit über die Verarbeitung der personenbezogenen Daten des Betroffenen einen immateriellen Schaden des Betroffenen im Sinne des Art. 82 Abs. 1 DSGVO dar oder bedarf es darüber hinaus einer weiteren (objektiven oder subjektiven) Einschränkung und/oder (spürbaren) Beeinträchtigung des Betroffenen?

Antworten des EuGH auf die Vorlagefragen

Rechtsmissbräuchlichkeit exzessiver Auskunftsanträge bereits bei erstem Antrag gegenüber einem Verantwortlichen möglich?

Bei der Beantwortung der Vorlagefragen fasste der EuGH die Fragen 1 bis 3 und 7 zusammen. Mit diesen wolle das vorlegende Gericht wissen, ob Art. 12 Abs. 5 DSGVO dahin auszulegen sei, dass bereits ein erster von der betroffenen Person an den Verantwortlichen gerichteter Antrag auf Auskunft nach Art. 15 DSGVO als „exzessiv“ angesehen werden könne und, wenn dies der Fall sei, anhand welcher Umstände gegebenenfalls ein solcher exzessiver Charakter festgestellt werden könne.

Funktion des Rechts auf Auskunft nach Art. 15 Abs. 1 DSGVO und Grundsatz der kostenlosen Beauskunftung

Diesbezüglich gab der Gerichtshof zunächst die Funktion des Art. 15 Abs. 1 DSGVO wieder und erläuterte den in Art. 12 Abs. 5 DSGVO verankerten Grundsatz, dass der betroffenen Person durch die Ausübung des Rechts auf Auskunft keine Kosten entstehen.

Ausnahmen bei Rechtsmissbrauch (offenkundige Unbegründetheit und exzessive Anträge)

Der EuGH hob jedoch auch die beiden Gründe hervor, aus denen der Verantwortliche entweder ein angemessenes Entgelt in Rechnung stellen oder sich weigern könne, aufgrund des Antrags auf Auskunft tätig zu werden: Rechtsmissbrauch aufgrund offenkundiger Unbegründetheit der Anträge oder exzessive Anträge.

Außerdem stellt Art. 12 Abs. 5 DSGVO den Grundsatz auf, dass der betroffenen Person durch die Ausübung des Rechts auf Auskunft keine Kosten entstehen. Gleichwohl gibt es nach dieser Bestimmung zwei Gründe, aus denen der Verantwortliche entweder ein angemessenes Entgelt in Rechnung stellen kann, bei dem die Verwaltungskosten berücksichtigt werden, oder sich weigern kann, aufgrund des Auskunftsantrags tätig zu werden. Diese Gründe beziehen sich auf Fälle von Rechtsmissbrauch, in denen die Anträge der betroffenen Person als „offenkundig unbegründet“ oder – insbesondere im Fall häufiger Wiederholung – „exzessiv“ anzusehen sind (Urteil vom 26. Oktober 2023, FT [Kopien der Patientenakte], C‑307/22, EU:C:2023:811, Rn. 31).

Auslegung des Begriffs „exzessiver Anträge“

Eine Legaldefinition „exzessiver Anträge“ sucht man in der DSGVO vergebens. Der Begriff ist insofern auslegungsbedürftig. Diesbezüglich wies der EuGH auf Folgendes hin:

Was erstens die Frage betrifft, ob ein erster Auskunftsantrag der betroffenen Person an den Verantwortlichen nach Art. 15 DSGVO als „exzessiv“ angesehen werden kann, ist darauf hinzuweisen, dass, da der Begriff „exzessive Anträge“ in der DSGVO nicht definiert wird, bei seiner Auslegung nach ständiger Rechtsprechung sowohl der Wortlaut von Art. 12 Abs. 5 DSGVO entsprechend seinem üblichen Sinn im gewöhnlichen Sprachgebrauch als auch der Zusammenhang dieser Bestimmung und die Ziele zu berücksichtigen sind, die mit der Regelung, zu der sie gehört, verfolgt werden […].

Insoweit bezeichnet, was den Wortlaut von Art. 12 Abs. 5 DSGVO und insbesondere den üblichen Sinn des Begriffs „exzessive Anträge“ im gewöhnlichen Sprachgebrauch anbelangt, das Adjektiv „exzessiv“ etwas, das über das gewöhnliche oder vernünftige Maß hinausgeht oder das erwünschte oder zulässige Maß überschreitet […]. Allein anhand der Verwendung dieses Adjektivs, das sich sowohl auf qualitative als auch auf quantitative Merkmale bezieht, kann daher nicht ausgeschlossen werden, dass ein erster Auskunftsantrag exzessiv sein mag.

Kein Schutz von Vorgängen, die einem missbräuchlichen Zweck dienen

Der EuGH nahm in seinem Urteil eine Übertragbarkeit der Rechtsprechung zur Auslegung des Begriffs der exzessiven Anfrage in Art. 57 Abs. 4 DSGVO auf den gegenständlichen Art. 12 Abs. 5 DSGVO an. Er wies drauf hin, dass sich Einzelne nicht in betrügerischer oder missbräuchlicher Weise auf unionsrechtliche Normen berufen dürften und die Anwendung von Unionsregelungen nicht so weit gehen könne, dass einem missbräuchlichen Zweck dienende Vorgänge geschützt würden.

Aus der Rechtsprechung des Gerichtshofs zur Auslegung des Begriffs „exzessive Anfragen“ in Art. 57 Abs. 4 DSGVO, die auf die vorliegende Rechtssache übertragbar ist, da Art. 57 Abs. 4 DSGVO einen im Wesentlichen Art. 12 Abs. 5 DSGVO entsprechenden Wortlaut hat und das gleiche Ziel wie dieser verfolgt, ergibt sich allerdings, dass in Art. 12 Abs. 5 DSGVO ein allgemeiner Grundsatz des Unionsrechts zum Ausdruck kommt, wonach sich Einzelne nicht in betrügerischer oder missbräuchlicher Weise auf unionsrechtliche Normen berufen dürfen (vgl. in diesem Sinne Urteil vom 9. Januar 2025, Österreichische Datenschutzbehörde [Exzessive Anfragen], C‑416/23, EU:C:2025:3, Rn. 49). Die Anwendung der Unionsregelung kann nämlich nicht so weit gehen, dass Vorgänge geschützt werden, die einem missbräuchlichen Zweck dienen (vgl. in diesem Sinne Urteil vom 19. September 2024, Matmut, C‑236/23, EU:C:2024:761, Rn. 52 und die dort angeführte Rechtsprechung).

Anzahl der Auskunftsanträge allein nicht ausschlaggebend für Geltendmachung von Art. 12 Abs. 5 DSGVO

Allein die Anzahl der Auskunftsanträge der betroffenen Person an den Verantwortlichen sei für eine Einordnung als "exzessiv" oder "nicht exzessiv" allerdings nicht ausschlaggebend. Der Verantwortliche könne vielmehr auch bereits im Falle des ersten Auskunftsersuchens von der Möglichkeit Gebrauch machen, nicht tätig zu werden, wenn er – so der EuGH - in Ansehung aller relevanten Umstände des Einzelfalls dartue, dass eine Missbrauchsabsicht der betroffenen Person vorliege.

Somit ist die Zahl der Auskunftsanträge der betroffenen Person an den Verantwortlichen für sich allein nicht ausschlaggebend für dessen Recht, von der ihm durch Art. 12 Abs. 5 DSGVO eingeräumten Möglichkeit Gebrauch zu machen, auf den Antrag nicht tätig zu werden, so dass der Verantwortliche davon auch im Fall eines ersten Auskunftsantrags Gebrauch machen kann, wenn er in Ansehung aller relevanten Umstände des Einzelfalls dartut, dass eine Missbrauchsabsicht der betroffenen Person vorliegt (vgl. in diesem Sinne Urteil vom 9. Januar 2025, Österreichische Datenschutzbehörde [Exzessive Anfragen], C‑416/23, EU:C:2025:3, Rn. 50).

Nachweis des exzessiven Charakters obliegt dem Verantwortlichen

Zugleich betonte der Gerichtshof, dass der Begriff der exzessiven Anträge eng auszulegen sei und weiterhin die Ausnahme darstelle. Der Nachweis des exzessiven Charakters müsse zudem vom Verantwortlichen erbracht werden.

Daraus folgt, dass es möglich ist, einen ersten Auskunftsantrag an den Verantwortlichen nach Art. 15 DSGVO als „exzessiv“ im Sinne von Art. 12 Abs. 5 DSGVO anzusehen. Da der Begriff „exzessive Anträge“, wie sich aus Rn. 29 des vorliegenden Urteils ergibt, eng auszulegen ist, kann sich jedoch ein Verantwortlicher nur ausnahmsweise auf einen solchen exzessiven Charakter berufen, und die Maßstäbe für die Einstufung eines ersten Auskunftsantrags als „exzessiv“ müssen, wie vom Generalanwalt in Nr. 34 seiner Schlussanträge ausgeführt, hoch sein. Ferner ist darauf hinzuweisen, dass nach Art. 12 Abs. 5 Unterabs. 2 DSGVO ausdrücklich der Verantwortliche den Nachweis für den exzessiven Charakter zu erbringen hat.

Somit obliegt im vorliegenden Fall […] dem Verantwortlichen der eindeutige Nachweis, dass sich die betroffene Person mit dem Auskunftsantrag nach Art. 15 DSGVO nicht der Datenverarbeitung bewusst werden, sondern künstlich die Voraussetzungen für die Erlangung von Schadensersatz von dem Verantwortlichen schaffen wollte.

Anforderungen an den Nachweis: objektive Umstände und subjektives Element

Für den Nachweis einer missbräuchlichen Verhaltensweise seien laut EuGH zweierlei Dinge erforderlich. Zum einen eine Gesamtheit objektiver Umstände, aus denen sich ergebe, dass trotz formaler Einhaltung der in der Unionsregelung vorgesehenen Bedingungen das Ziel der Regelung nicht erreicht wurde. Zum anderen sei auch ein subjektives Element erforderlich, das in der Absicht der betroffenen Person bestehe, sich einen aus der Unionsregelung resultierenden Vorteil zu verschaffen, indem die Voraussetzungen für seine Erlangung künstlich geschaffen werden.

Was zweitens die Umstände betrifft, unter denen der erste Auskunftsantrag der betroffenen Person als „exzessiv“ im Sinne von Art. 12 Abs. 5 DSGVO eingestuft werden und somit einen Rechtsmissbrauch […] begründen kann, so ist für den Nachweis einer missbräuchlichen Verhaltensweise zweierlei erforderlich, nämlich zum einen eine Gesamtheit objektiver Umstände, aus denen sich ergibt, dass trotz formaler Einhaltung der in der Unionsregelung vorgesehenen Bedingungen das Ziel dieser Regelung nicht erreicht wurde, und zum anderen ein subjektives Element, das in der Absicht der betroffenen Person besteht, sich einen aus der Unionsregelung resultierenden Vorteil zu verschaffen, indem die Voraussetzungen für seine Erlangung künstlich geschaffen werden. […]

Grundsätzlich müsse es der betroffenen Person möglich sein, ihr Recht auf Auskunft nach Art. 15 DSGVO problemlos und in angemessenen Abständen (zu rechtmäßigen Zwecken) wahrnehmen zu können.

Für eine Einstufung des Antrags als „exzessiv“ müsse der Verantwortliche daher anhand aller relevanten Umstände des Einzelfalls nachweisen, dass eine Missbrauchsabsicht seitens der betroffenen Person vorliege, wobei eine solche Absicht festgestellt werden könne, wenn diese Person den Antrag zu einem anderen Zweck stelle als dem, sich der Datenverarbeitung bewusst zu werden und deren Rechtmäßigkeit zu überprüfen, um anschließend ihre Rechte aus der DSGVO schützen zu können.

Was als Erstes das objektive Element einer missbräuchlichen Verhaltensweise anbelangt, ist darauf hinzuweisen, dass eine betroffene Person mit Art. 15 DSGVO vor dem Hintergrund des 63. Erwägungsgrundes der DSGVO ein Auskunftsrecht hinsichtlich der sie betreffenden personenbezogenen Daten, die erhoben worden sind, besitzen und dieses Recht problemlos und in angemessenen Abständen wahrnehmen können soll, um sich insbesondere der Verarbeitung dieser Daten bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können, damit sie gegebenenfalls ihre Rechte auf Berichtigung, auf Löschung und auf Einschränkung der Verarbeitung sowie ihr Widerspruchsrecht und im Schadensfall ihr Recht auf einen Rechtsbehelf ausüben kann (vgl. in diesem Sinne Urteil vom 12. Januar 2023, Österreichische Post [Informationen über die Empfänger personenbezogener Daten], C‑154/21, EU:C:2023:3, Rn. 37 und 38).

Was insoweit als Zweites das subjektive Element einer missbräuchlichen Vorgehensweise betrifft, so muss der Verantwortliche, um einen Auskunftsantrag als „exzessiv“ im Sinne von Art. 12 Abs. 5 DSGVO einstufen zu können, anhand aller relevanten Umstände des Einzelfalls nachweisen, dass eine Missbrauchsabsicht seitens der betroffenen Person vorliegt, wobei eine solche Absicht festgestellt werden kann, wenn diese Person den Antrag zu einem anderen Zweck stellt als dem, sich der Datenverarbeitung bewusst zu werden und deren Rechtmäßigkeit zu überprüfen, um anschließend ihre Rechte aus der DSGVO schützen zu können (vgl. in diesem Sinne Urteil vom 9. Januar 2025, Österreichische Datenschutzbehörde [Exzessive Anfragen], C‑416/23, EU:C:2025:3, Rn. 50 und 56). […]

Berücksichtigung sämtlicher Fallumstände

Bei der Bewertung seien sämtliche Fallumstände zu berücksichtigen, darunter u.a. der Umstand, dass die betroffene Person personenbezogene Daten freiwillig bereitgestellt habe, der Zweck der Bereitstellung dieser Daten, die zwischen der Datenbereitstellung und dem Auskunftsantrag verstrichene Zeit sowie das Verhalten der Person. Aber auch öffentliche Informationen, die darauf hindeuten, dass die betroffene Person Auskunftsersuchen systematisch an verschiedene Verantwortliche richte, könnten dabei herangezogen werden, sofern dies durch andere relevante Anhaltspunkte bestätigt werde.

Insoweit werden sämtliche Fallumstände zu berücksichtigen sein, insbesondere der Umstand, dass die betroffene Person personenbezogene Daten freiwillig bereitgestellt hat, der Zweck der Bereitstellung dieser Daten, die zwischen der Datenbereitstellung und dem Auskunftsantrag verstrichene Zeit sowie das Verhalten dieser Person.

Vor dem Hintergrund des bei ihm anhängigen Rechtsstreits sieht sich das vorlegende Gericht vor die Frage gestellt, ob bei der Beurteilung des Vorliegens eines Rechtsmissbrauchs öffentliche Informationen berücksichtigt werden können, die darauf hindeuten sollen, dass TC Anträge auf Auskunft über seine personenbezogenen Daten und Schadensersatzforderungen systematisch an verschiedene Verantwortliche nach einem Muster richtet, das mit dem im vorliegenden Fall angewandten vergleichbar ist. Dieser Anhaltspunkt kann zur Feststellung missbräuchlicher Absichten der betroffenen Person durchaus herangezogen werden, sofern er durch andere relevante Anhaltspunkte bestätigt wird.

Das vorlegende Gericht müsse nun im gegenständlichen Fall prüfen, ob das Optikerunternehmen einen hinreichenden Nachweis der missbräuchlichen Absicht erbracht habe.

Mithin hat das vorlegende Gericht im vorliegenden Fall zu prüfen, ob Brillen Rottler unter Berücksichtigung aller relevanten Umstände nachgewiesen hat, dass TC mit dem betreffenden Auskunftsantrag eine missbräuchliche Absicht verfolgte.

Anspruch auf Schadensersatz gem. Art. 82 Abs. 1 DSGVO auch bei Verletzung des Auskunftsrechts möglich

Auch die Fragen 5 und 6, die sich inhaltlich auf das Bestehen oder Nichtbestehen eines Schadensersatzanspruches im Falle einer Verletzung des Auskunftsrechts beziehen, fasste der EuGH bei der Beantwortung in einem Abschnitt zusammen.

Der Gerichtshof wies in diesem Zusammenhang erneut drauf hin, dass neben dem Wortlaut bei der Auslegung der Unionsnorm auch die mit dieser verfolgten Ziele zu berücksichtigen seien.

Wie oben in Rn. 24 ausgeführt, sind nach ständiger Rechtsprechung bei der Auslegung einer Bestimmung des Unionsrechts nicht nur ihr Wortlaut, sondern auch ihr Zusammenhang und die mit ihr verfolgten Ziele zu berücksichtigen.

Nach Art. 82 Abs. 1 DSGVO hat eine Person, der „wegen eines Verstoßes gegen diese Verordnung“ ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen. Es ist festzustellen, dass diese Bestimmung keine Bezugnahme auf die „Verarbeitung“ enthält, so dass der Ersatzanspruch nicht auf Schäden beschränkt sein kann, die sich aus einer Verarbeitung personenbezogener Daten ergeben.

Der EuGH nahm in diesem Kontext zudem Bezug auf schriftliche Erklärungen der Kommission und betonte dabei, dass eine Abhängigkeit des Schadensersatzanspruches nach Art. 82 Abs. 1 DSGVO vom Vorliegen von Schäden, die sich aus einer Verarbeitung als solcher ergeben, den Ausschluss derartiger Fälle vom Anwendungsbereich der Norm zur Folge hätte, deren praktische Wirksamkeit damit beeinträchtigt würde.

Wie nämlich die Kommission in ihren schriftlichen Erklärungen im Wesentlichen geltend macht, kann sich der behauptete Verstoß im Fall einer Verletzung der in den Bestimmungen des Kapitels III der DSGVO vorgesehenen Rechte, insbesondere der Rechte auf Auskunft über die Daten und auf Berichtigung sowie der Rechte auf Löschung, auf Einschränkung der Verarbeitung und auf Übertragbarkeit, nicht aus einer tatsächlichen Verarbeitung der personenbezogenen Daten als solcher ergeben, sondern vielmehr aus der Weigerung, aufgrund des auf die Ausübung dieser Rechte bezogenen Antrags der betroffenen Person tätig zu werden. Würde der Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO vom Vorliegen von Schäden abhängig gemacht, die sich aus einer Verarbeitung als solcher ergeben, hätte dies daher den Ausschluss solcher Fälle vom Anwendungsbereich dieser Bestimmung zur Folge, deren praktische Wirksamkeit damit beeinträchtigt würde.

Im Ergebnis sei Art. 82 Abs. 1 DSGVO dahin auszulegen, dass er der betroffenen Person einen Anspruch auf Ersatz des aus einer Verletzung des Auskunftsrechts nach Art. 15 Abs. 1 DSGVO entstandenen Schadens verleihe.

Demnach ist auf die fünfte und die sechste Frage zu antworten, dass Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass er der betroffenen Person einen Anspruch auf Ersatz des aus einer Verletzung des Auskunftsrechts nach Art. 15 Abs. 1 DSGVO entstandenen Schadens verleiht. 

Nicht jeder DSGVO-Verstoß begründet einen Schadensersatzanspruch der betroffenen Person

Hinsichtlich der 8. Vorlagefrage, die sich inhaltlich damit beschäftigt, ob Art. 82 Abs. 1 DSGVO dahingehend auszulegen sei, dass der immaterielle Schaden der betreffenden Person den Kontrollverlust über ihre Daten oder die Ungewissheit erfasse, ob diese personenbezogenen Daten verarbeitet werden, äußerte sich der EuGH ebenfalls.

Zunächst wies der Gerichtshof darauf hin, dass mangels Verweis auf das Recht der Mitgliedsstaaten die Begriffe „materieller oder immaterieller Schaden“ und „Schadensersatz“ für die Zwecke der Anwendung der DSGVO als autonome Begriffe des Unionsrechts anzusehen und in allen Mitgliedsstaaten einheitlich auszulegen seien.

Da die DSGVO für den Sinn und die Tragweite der in ihrem Art. 82 Abs. 1 enthaltenen Begriffe, insbesondere, was die Begriffe „materieller oder immaterieller Schaden“ und „Schadenersatz“ betrifft, nicht auf das Recht der Mitgliedstaaten verweist, sind diese Begriffe für die Zwecke der Anwendung der DSGVO als autonome Begriffe des Unionsrechts anzusehen, die in allen Mitgliedstaaten einheitlich auszulegen sind […].

Anschließend stellte der EuGH klar, dass nicht davon ausgegangen werden könne, dass jeder DSGVO-Verstoß einen Schadensersatzanspruch der betroffenen Person begründe. Gemäß Art. 82 Abs. 1 DSGVO sei neben dem Vorliegen eines Verstoßes gegen die DSGVO auch das Vorliegen eines „Schadens“, der „entstanden“ ist, eine der Voraussetzungen für den dort normierten Schadensersatzanspruch ebenso wie das Bestehen eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ seien.

Insoweit ist darauf hinzuweisen, dass nicht davon ausgegangen werden kann, dass jeder „Verstoß“ gegen die Bestimmungen der DSGVO für sich genommen einen Schadensersatzanspruch der betroffenen Person begründet. […]

[Aus Art. 82 Abs. 1 DSGVO] geht klar hervor, dass das Vorliegen eines „Schadens“, der „entstanden“ ist, eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadensersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DSGVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind […].

Infolgedessen müsse die einen Schadensersatz fordernde Person nicht nur einen Verstoß gegen die Bestimmungen der DSGVO nachweisen, sondern zudem, dass ihr durch diesen Verstoß ein solcher Schaden entstanden sei. Ein Schaden könne nicht bereits deshalb vermutet werden, weil sich der Verstoß ereignet habe. Zwar gebe es keine Bagatellgrenze, der EuGH betonte jedoch, dass die betroffene Person auch den (noch so geringfügigen) Schaden nachweisen müsse.

Der Gerichtshof hat auch befunden, dass der Begriff „immaterieller Schaden“ nicht allein auf Schäden mit einer gewissen Erheblichkeit beschränkt werden kann. Insbesondere darf eine nationale Regelung oder Praxis für einen durch einen Verstoß gegen die DSGVO verursachten immateriellen Schaden keine „Bagatellgrenze“ festlegen. Die betroffene Person muss jedoch nachweisen, dass ihr zum einen tatsächlich ein solcher Schaden – so geringfügig er auch sein mag – entstanden ist und dass zum anderen in den Folgen dieses Verstoßes, die sie erlitten zu haben behauptet, ein Schaden begründet liegt, der sich von der bloßen Verletzung der Bestimmungen der DSGVO unterscheidet (vgl. in diesem Sinne Urteil vom 14. Dezember 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, Rn. 22 und 23).

Die Handlungsweise der betroffenen Person kann den Kausalzusammenhang unterbrechen

Der Gerichtshof wies außerdem darauf hin, dass der für den Schadensersatzanspruch erforderliche Kausalzusammenhang zwischen dem behaupteten Verstoß und dem vermeintlichen Schaden durch die (nicht verpflichtende) Handlungsweise der betroffenen Person unterbrochen werden könne. Dies könne der Fall sein, wenn der Kontrollverlust oder die Ungewissheit der Verarbeitung durch die Entscheidung des Betroffenen herbeigeführt werde, dem Verantwortlichen diese Daten in der Absicht zu übermitteln, künstlich die Voraussetzungen für die Anwendung der Bestimmungen zu schaffen.

Um dem vorlegenden Gericht eine zweckdienliche Antwort zu geben, ist noch darauf hinzuweisen, dass der Kausalzusammenhang zwischen dem behaupteten Verstoß und dem behaupteten Schaden durch die Handlungsweise der betroffenen Person unterbrochen werden kann, sofern sich diese Handlungsweise als die entscheidende Ursache für den Schaden erweist. Eine entsprechende Handlung kann u. a. in einer Entscheidung der geschädigten Person bestehen, allerdings nur, sofern diese Entscheidung für sie nicht zwingend war (vgl. entsprechend Urteil vom 18. Dezember 2025, WS u. a./Frontex [Gemeinsame Rückkehraktion], C‑679/23 P, EU:C:2025:976, Rn. 151 und 152 sowie die dort angeführte Rechtsprechung).

Folglich kann der betroffenen Person nach Art. 82 Abs. 1 DSGVO kein Ersatz für Schäden gewährt werden, die ihr durch den Verlust der Kontrolle über ihre personenbezogenen Daten oder ihre Ungewissheit über das Vorliegen einer Verarbeitung dieser Daten entstanden sein sollen, wenn der Kausalzusammenhang aufgrund der Handlungsweise dieser Person unterbrochen wird, weil besagter Kontrollverlust oder besagte Ungewissheit durch die Entscheidung der betroffenen Person herbeigeführt wurden, dem Verantwortlichen diese Daten in der Absicht zu übermitteln, künstlich die Voraussetzungen für die Anwendung dieser Bestimmung zu schaffen.

Fazit

Der EuGH setzte mit diesem Urteil wichtige Eckpfeiler hinsichtlich der Frage, wann die Grenze hin zur missbräuchlichen Geltendmachung datenschutzrechtlicher Ansprüche (insb. Auskunftsersuchen und Schadensersatz) überschritten wird und welche Aspekte beim Nachweis eines exzessiven Charakters von Auskunftsanträgen von Bedeutung sind.

Ebenfalls relevant ist die erneute Klarstellung, dass im Rahmen eines Schadensersatzanspruches nur entstandene und nachweisbare Schäden von Belang seien – dies allerdings unabhängig von der Höhe bzw. Geringfügigkeit des Schadens, da keine Bagatellgrenze bestehe. Die ebenfalls erforderliche Kausalität zwischen Verstoß und Schaden dürfe zudem nicht durch die Handlungsweise der betroffenen Person unterbrochen werden.

Auch das AG Darmstadt hatte sich kürzlich mit einem ähnlichen Fall zu befassen. Es wies die Klage ab und gelangte zu der Überzeugung, dass das Vorgehen des Klägers nicht dem Schutz persönlicher Daten diene, sondern primär der Generierung finanzieller Ansprüche. 

Die praktische Relevanz der gegenständlichen Thematik ist hoch. Immer wieder treten Fälle auf, in denen Einzelpersonen unmittelbar oder zumindest in engem zeitlichem Zusammenhang zu einer Newsletter-Anmeldung ein datenschutzrechtliches Auskunftsersuchen an das jeweilige Unternehmen richten. Besonders auffällig sind Schreiben von solchen Akteuren, die wiederholt die inhaltlich nahezu gänzlich übereinstimmenden Anfragen an eine Vielzahl von verschiedenen Verantwortlichen senden. Die Art und Häufigkeit des Vorgehens, welches bei einigen Individuen zudem in gleichlautenden Schadensersatzforderungen mündet, lassen eine Prüfung hinsichtlich einer potentiellen Rechtsmissbräuchlichkeit sinnvoll erscheinen.

Doch während spezialisierte Kanzleien derartige Muster aufgrund ihrer Tätigkeit für eine Vielzahl von Mandanten beobachten, erkennen sowie ggf. nachweisen können, sind die Möglichkeiten einzelner Unternehmen oftmals begrenzt.