Persönlich, keine Chatbots, klare Kommunikation: Bei uns kümmert sich ein persönlich erreichbarer Mensch

DSGVO: Schon der erste Auskunftsantrag kann rechtsmissbräuchlich sein

Dsgvo

Verfasst von

in

|

Zuletzt bearbeitet:

Wer als Unternehmen einen DSGVO-Auskunftsantrag erhält und dahinter ein bewusst provoziertes Geschäftsmodell auf Schadensersatz vermutet, steht bisher meist machtlos da, weil ein erstmaliger Antrag kaum als Missbrauch gilt. Der Europäische Gerichtshof hat mit Urteil vom 19. März 2026 (Rechtssache C-526/24, B.R. GmbH & Co. KG gegen TC) entschieden, dass auch ein erster Auskunftsantrag nach Art. 15 DSGVO als exzessiv im Sinne von Art. 12 Abs. 5 DSGVO eingestuft werden kann, wenn der Verantwortliche eine missbräuchliche Absicht des Antragstellers nachweist.

Ausgangsfall

Ein Verbraucher hatte sich zum Newsletter eines Optikerunternehmens angemeldet und dabei personenbezogene Daten übermittelt, um dreizehn Tage später einen Auskunftsantrag nach Art. 15 DSGVO zu stellen. Das Unternehmen wies den Antrag als missbräuchlich zurück, weil aus Medienberichten und Anwaltsschriften hervorging, dass der Antragsteller systematisch nach demselben Muster vorging, sich zunächst für Newsletter anzumelden, dann Auskunft zu verlangen und anschließend Schadensersatz nach Art. 82 DSGVO zu fordern. Das Amtsgericht Arnsberg legte dem Gerichtshof die Frage vor, ob ein erstmaliger Antrag überhaupt als exzessiv gelten kann und ob ein reiner Auskunftsrechtsverstoß ohne tatsächliche Datenverarbeitung einen Schadensersatzanspruch begründen kann.

Erstmaligkeit schließt Missbrauch nicht aus

Der Gerichtshof stellt klar, dass die häufige Wiederholung in Art. 12 Abs. 5 DSGVO nur beispielhaft für exzessives Verhalten genannt wird und die Zahl der Anträge allein nicht ausschlaggebend ist. Entscheidend ist eine qualitative Gesamtbetrachtung, bei der zum einen objektive Umstände zeigen müssen, dass trotz formaler Antragstellung das eigentliche Ziel der Norm verfehlt wurde, und zum anderen ein subjektives Element hinzutreten muss, nämlich die Absicht, sich durch künstlich geschaffene Voraussetzungen einen ungerechtfertigten Vorteil zu verschaffen.

Öffentlich zugängliche Informationen über ein systematisches Antrags- und Klagemuster gegenüber verschiedenen Unternehmen können dabei als Indiz herangezogen werden, sofern sie durch weitere Anhaltspunkte im Einzelfall bestätigt werden. Da die Ausnahmevorschrift eng auszulegen ist, bleibt die Darlegungs- und Beweislast für den exzessiven Charakter beim Verantwortlichen, und die Maßstäbe hierfür müssen hoch bleiben.

Schadensersatz auch ohne Datenverarbeitung

Für die Praxis ebenso bedeutsam ist die Klarstellung, dass Art. 82 Abs. 1 DSGVO einen Schadensersatzanspruch auch dann gewährt, wenn die Rechtsverletzung nicht in einer Datenverarbeitung selbst liegt, sondern in der Verweigerung der Auskunft als solcher. Der Gerichtshof begründet dies damit, dass sich die Haftungsnorm auf sämtliche in der DSGVO verankerten Rechte bezieht und ihre praktische Wirksamkeit verlöre, würde man sie auf Schäden aus tatsächlicher Datenverarbeitung beschränken.

Gleichzeitig betont das Gericht, dass ein Verstoß allein noch keinen Schaden begründet, sondern der Antragsteller einen tatsächlich eingetretenen, wenn auch geringfügigen immateriellen Schaden sowie einen Kausalzusammenhang nachweisen muss, wobei dieser Zusammenhang unterbrochen sein kann, wenn der Antragsteller den behaupteten Kontrollverlust durch eigenes, nicht erzwungenes Verhalten selbst herbeigeführt hat.

Bedeutung für die Praxis

Für Unternehmen, die sich systematischen Auskunftsanträgen mit anschließenden Schadensersatzforderungen ausgesetzt sehen, eröffnet das Urteil erstmals eine belastbare Verteidigungslinie, verlangt aber eine sorgfältige Dokumentation des Verhaltensmusters und der zeitlichen Abläufe im Einzelfall. Betroffene Personen wiederum können sich weiterhin auf ihr Auskunftsrecht stützen, müssen im Streitfall jedoch damit rechnen, dass ein auffälliges, wiederkehrendes Vorgehen gegenüber mehreren Verantwortlichen gegen sie verwendet wird, wenn es den Schluss auf eine planmäßige Ausnutzung der DSGVO zulässt.

Rechtsanwalt Jens Ferner