Der Europäische Gerichtshof (EuGH) hat eine wegweisende Entscheidung getroffen, die Unternehmen bessere Möglichkeiten gibt, sich gegen systematischen Missbrauch von Auskunftsrechten zur Wehr zu setzen, ohne dabei den legitimen Datenschutz zu schwächen.
Das Auskunftsrecht nach Artikel 15 der Datenschutz-Grundverordnung ist eines der wichtigsten Instrumente zum Schutz personenbezogener Daten. Es ermöglicht Betroffenen, Transparenz über die Verarbeitung ihrer Daten zu erlangen und ihre Rechte wahrzunehmen. Doch was passiert, wenn dieses Recht nicht zur Kontrolle, sondern zur Provokation von Schadenersatzforderungen missbraucht wird? Der Europäische Gerichtshof hat hierzu am 13. März 2025 eine wegweisende Entscheidung getroffen.
Der Fall: Newsletter und schnelle Auskunftsanfrage
Im zugrunde liegenden Fall hatte sich eine Person freiwillig für den Newsletter eines Optikerunternehmens angemeldet. Nur 13 Tage später forderte sie umfassend Auskunft über die verarbeiteten Daten. Als das Unternehmen den Antrag mit Verweis auf möglichen Missbrauch ablehnte, klagte die Person auf mindestens 1.000 Euro Schadenersatz. Das Unternehmen konnte belegen, dass der Antragsteller systematisch Newsletter abonniert, umgehend Auskunft verlangt und bei jeder Verzögerung oder Ablehnung Klagen wegen Datenschutzverstößen einreicht. Das Amtsgericht Arnsberg legte den Fall dem EuGH zur Klärung vor.
Klare Grenzen für Rechtsmissbrauch
Der EuGH stellt in seiner Entscheidung in der Rechtssache C-526/24 klar: Auskunftsanträge können als rechtsmissbräuchlich eingestuft werden, wenn sie nachweislich nur mit der Absicht gestellt werden, später künstlich Schadenersatzansprüche zu konstruieren. Der Nachweis kann durch das bisherige Verhalten der Person, öffentlich zugängliche Informationen über ähnliche Forderungen und die Umstände des Einzelfalls geführt werden.
Wie Heise Online berichtet, spielen Faktoren wie die kurze Zeitspanne zwischen Anmeldung und Auskunftsantrag sowie die Freiwilligkeit der Datenpreisgabe eine zentrale Rolle.
Schadenersatz nur bei tatsächlichem Schaden
Besonders relevant ist die Klarstellung des Gerichtshofs zu den Voraussetzungen für Schadenersatz: Ein bloßer Verstoß gegen die DSGVO reicht nicht automatisch aus. Der Kläger muss nachweisen, dass ihm ein konkreter materieller oder immaterieller Schaden entstanden ist. Wer durch sein eigenes Verhalten die entscheidende Ursache für den vermeintlichen Schaden gesetzt hat, etwa indem er die Datenverarbeitung nur provoziert, um sie später zu verklagen, kann keinen Ersatz verlangen.
Was bedeutet das für Unternehmen?
Verantwortliche können bei offensichtlich exzessiven Anträgen unter Berufung auf Artikel 12 Absatz 5 DSGVO entweder die Auskunft verweigern oder ein angemessenes Entgelt für den Verwaltungsaufwand verlangen. Allerdings liegt die Beweislast weiterhin beim Verantwortlichen. Unternehmen sollten daher sorgfältig dokumentieren, wenn Anhaltspunkte für einen Missbrauch vorliegen.
Fazit
Das Urteil des EuGH schafft wichtige Rechtssicherheit für Unternehmen, ohne das Auskunftsrecht legitimer Betroffener zu schwächen. Es zeigt, dass die DSGVO kein Einfallstor für Geschäftsmodelle sein soll, die auf künstlich provozierten Verstößen basieren.
Gleichzeitig bleibt das Auskunftsrecht ein zentrales Instrument für den Schutz personenbezogener Daten. Unternehmen sind gut beraten, Auskunftsanträge weiterhin ernst zu nehmen und im Einzelfall sorgfältig zu prüfen, ob tatsächlich ein Missbrauch vorliegt.
Können wir Ihnen weiterhelfen? Wir freuen uns auf Ihren Anruf oder Ihre eMail.
