Einordnung: Zwischen legitimer Rechtsausübung und strategischem Missbrauch
In der datenschutzrechtlichen Praxis hat sich in den letzten Jahren ein Phänomen entwickelt, das zunehmend kritisch betrachtet wird: das sogenannte „DSGVO-Hopping“. Gemeint ist damit eine systematische Vorgehensweise, bei der betroffene Personen gezielt Auskunftsansprüche nach Art. 15 DSGVO geltend machen, um anschließend Schadensersatzforderungen nach Art. 82 DSGVO durchzusetzen. Ziel ist dabei häufig nicht der Schutz der eigenen Daten, sondern die Generierung von Entschädigungsansprüchen.
Mit Urteil vom 19.03.2026 (Rs. C-526/24) hat der Europäische Gerichtshof (EuGH) hierzu erstmals eine grundlegende Entscheidung getroffen und klare Leitlinien für den Umgang mit solchen Konstellationen entwickelt.
Der zugrunde liegende Sachverhalt
Im Ausgangsfall hatte sich eine in Österreich ansässige Person gezielt für den Newsletter eines deutschen Unternehmens angemeldet und dabei personenbezogene Daten übermittelt. Bereits 13 Tage später machte sie einen Auskunftsanspruch nach Art. 15 DSGVO geltend.
Das Unternehmen verweigerte die Auskunft unter Hinweis auf Rechtsmissbrauch. Es führte aus, dass der Antragsteller systematisch vergleichbare Auskunftsanträge stelle, um anschließend Schadensersatz nach Art. 82 DSGVO zu verlangen. Der Antragsteller hingegen begehrte eine Entschädigung wegen der verweigerten Auskunft.
Das mit dem Rechtsstreit befasste Amtsgericht Arnsberg legte dem EuGH mehrere Fragen zur Auslegung der DSGVO vor.
Rechtlicher Rahmen: Auskunftsanspruch und Missbrauchsgrenze
Der Auskunftsanspruch nach Art. 15 DSGVO ist ein zentrales Betroffenenrecht. Er dient der Transparenz und ermöglicht es, die Rechtmäßigkeit der Datenverarbeitung zu überprüfen.
Gleichzeitig enthält die DSGVO mit Art. 12 Abs. 5 DSGVO eine wichtige Schranke: Offenkundig unbegründete oder exzessive Anträge können abgelehnt oder nur gegen Entgelt bearbeitet werden.
Der Schadensersatzanspruch nach Art. 82 DSGVO wiederum setzt voraus:
- einen Verstoß gegen die DSGVO,
- einen tatsächlichen materiellen oder immateriellen Schaden,
- sowie einen Kausalzusammenhang zwischen Verstoß und Schaden.
Diese Voraussetzungen hat der EuGH in seiner bisherigen Rechtsprechung mehrfach betont und nun weiter präzisiert.
Die Entscheidung des EuGH: Missbrauch auch beim Erstantrag möglich
Der EuGH stellt klar, dass selbst ein erstmaliger Auskunftsantrag nach Art. 15 DSGVO als „exzessiv“ im Sinne von Art. 12 Abs. 5 DSGVO qualifiziert werden kann. Voraussetzung ist, dass der Antrag missbräuchlich gestellt wird.
Ein solcher Missbrauch liegt insbesondere dann vor, wenn:
- der Antrag nicht der Informationsgewinnung dient,
- sondern ausschließlich darauf abzielt, künstlich die Voraussetzungen für Schadensersatzansprüche nach Art. 82 DSGVO zu schaffen.
Der EuGH verlangt hierbei eine zweistufige Prüfung:
1. Objektive Umstände: etwa ein auffälliges Verhalten, eine Vielzahl ähnlicher Anträge oder ein ungewöhnlich kurzer Zeitraum zwischen Datenerhebung und Auskunftsersuchen.
2. Subjektives Element: die gezielte Absicht, einen Schadensersatzanspruch zu konstruieren.
Bemerkenswert ist, dass auch öffentlich zugängliche Informationen zur Beurteilung herangezogen werden können.
Schadensersatz nach der DSGVO: Kein Automatismus
Der EuGH bestätigt zugleich seine restriktive Linie zum Schadensersatz nach Art. 82 DSGVO.
Ein Anspruch besteht nur, wenn ein konkreter Schaden tatsächlich nachgewiesen wird. Der bloße Verstoß gegen die DSGVO genügt nicht.
Darüber hinaus stellt der EuGH klar: Ein Schadensersatzanspruch scheidet aus, wenn das Verhalten der betroffenen Person selbst die maßgebliche Ursache für den geltend gemachten Schaden ist.
Diese Klarstellung ist von erheblicher Bedeutung, da sie gezielt missbräuchliche Geschäftsmodelle unterbindet.
Praktische Auswirkungen für Unternehmen
Die Entscheidung hat weitreichende Konsequenzen für die Praxis: Unternehmen können sich künftig unter Berufung auf Art. 12 Abs. 5 DSGVO gegen missbräuchliche Auskunftsanträge verteidigen – auch dann, wenn es sich um den ersten Antrag handelt.
Allerdings sind die Anforderungen hoch:
- Die Beweislast liegt beim Unternehmen,
- der Missbrauch muss konkret nachgewiesen werden,
- pauschale Vermutungen reichen nicht aus.
Zugleich bleibt das Risiko bestehen, dass eine unberechtigte Ablehnung eines Auskunftsantrags zu Schadensersatzansprüchen nach Art. 82 DSGVO führt.
Einordnung in die bisherige Rechtsprechung
Die Entscheidung des EuGH fügt sich in eine Entwicklung ein, die einerseits die Betroffenenrechte stärkt, andererseits aber deren missbräuchliche Inanspruchnahme begrenzt.
Während frühere Entscheidungen – etwa zur Frage des immateriellen Schadens – den Zugang zu Ansprüchen nach Art. 82 DSGVO erweitert haben, wird nun erstmals eine klare Missbrauchsgrenze gezogen.
Die DSGVO wird damit nicht als Instrument zur Anspruchsgenerierung verstanden, sondern bleibt ihrem eigentlichen Zweck verpflichtet: dem Schutz personenbezogener Daten.
Fazit: Deutliche Grenzen für DSGVO-Hopping
Die Entscheidung des EuGH vom 19.03.2026 (C-526/24) setzt einen wichtigen Meilenstein im Datenschutzrecht. Sie stellt klar, dass Betroffenenrechte nach Art. 15 DSGVO nicht missbräuchlich eingesetzt werden dürfen, um gezielt Schadensersatzansprüche nach Art. 82 DSGVO zu generieren.
Für Unternehmen eröffnet das Urteil neue Verteidigungsmöglichkeiten gegen strategische Auskunftsanfragen. Gleichzeitig bleiben die Hürden für die Annahme eines Rechtsmissbrauchs hoch, sodass eine sorgfältige Einzelfallprüfung unerlässlich ist.
Aus anwaltlicher Sicht ist die Entscheidung zu begrüßen. Sie schafft eine sachgerechte Balance zwischen effektivem Datenschutz und dem Schutz vor missbräuchlicher Inanspruchnahme – und trägt damit zur Stabilisierung der datenschutzrechtlichen Praxis bei.
