EuGH zur DSGVO: Missbrauch, Kausalität und Schadensersatz
Nachdem der Gerichtshof der Europäischen Union (EuGH) in den vergangenen Jahren bereits eine Vielzahl relevanter Entscheidungen zum DSGVO-Schadensersatz getroffen hat, führt er seine Rechtsprechung im Jahr 2026 fort und nimmt dabei auch das Auskunftsrecht nach Art. 15 DSGVO in den Fokus. In dem aus Deutschland stammenden Verfahren C-526/24 („Brillen Rottler“) stellten sich diverse Rechtsfragen zum Auskunftsrecht gemäß Art. 15 DSGVO und zum Anspruch auf Schadensersatz gemäß Art. 82 DSGVO, die unter deutschen Gerichten bislang umstritten waren. Im Zentrum standen insbesondere drei Aspekte: die Grenzen missbräuchlicher Auskunftsanträge, die Reichweite des Schadensersatzanspruchs nach Art. 82 DSGVO sowie die Frage, unter welchen Voraussetzungen ein Kausalzusammenhang zwischen DSGVO-Verstoß und Schaden vorliegt.
Mutmaßlicher „DSGVO-Hopper“ verlangt nach 13 Tagen Auskunft und anschließend Schadensersatz
Dem Verfahren lag ein Sachverhalt zugrunde, der exemplarisch für eine zunehmende Praxis steht: Eine in Österreich ansässige Person abonnierte im Jahr 2023 den Newsletter der Brillen Rottler GmbH & Co. KG über deren Website. Bereits 13 Tage nach der Anmeldung stellte sie einen Auskunftsantrag nach Art. 15 DSGVO.
Das Unternehmen lehnte den Antrag innerhalb der Monatsfrist ab und berief sich auf Art. 12 Abs. 5 Satz 2 DSGVO. Es hielt das Auskunftsersuchen für rechtsmissbräuchlich. Hintergrund war, dass das Unternehmen zuvor recherchiert hatte und auf Hinweise gestoßen war, wonach der Betroffene systematisch Auskunftsanträge stellte, um anschließend Schadensersatzforderungen geltend zu machen. Dieses Vorgehen entspricht dem typischen Muster sogenannter „DSGVO-Hopper“.
Nach Ablehnung der Auskunft verlangte der Betroffene immateriellen Schadensersatz gemäß Art. 82 DSGVO in Höhe von EUR 1.000. Das Unternehmen erhob daraufhin Klage auf Feststellung, dass kein Anspruch bestehe; der Betroffene machte im Wege der Widerklage Schadensersatz geltend.
Vorlage an den EuGH durch das AG Arnsberg
Das mit dem Rechtsstreit befasste Amtsgericht Arnsberg legte dem EuGH mit Beschluss vom 31. Juli 2024 (42 C 434/23) mehrere Fragen zur Auslegung der DSGVO vor. Diese betrafen insbesondere die Voraussetzungen eines „exzessiven“ Auskunftsantrags sowie die Reichweite des Schadensersatzanspruchs nach Art. 82 DSGVO.
Kann bereits der erste Auskunftsantrag „exzessiv“ und damit rechtsmissbräuchlich sein?
Zunächst wollte das AG Arnsberg wissen, ob bereits ein erstmaliger Auskunftsantrag als „exzessiv“ im Sinne von Art. 12 Abs. 5 Satz 2 DSGVO qualifiziert werden kann.
Der EuGH bejaht dies ausdrücklich. Entscheidend sei nicht die Anzahl der Anträge, sondern deren Charakter. Der Begriff des „exzessiven Antrags“ sei jedoch eng auszulegen, sodass an die Annahme eines Missbrauchs strenge Anforderungen zu stellen sind. Nach Auffassung des EuGH erfordert die Feststellung eines missbräuchlichen Verhaltens eine zweistufige Prüfung:
- Objektives Element: Die Zielsetzung der DSGVO wird trotz formaler Einhaltung der Voraussetzungen nicht erreicht.
- Subjektives Element: Die betroffene Person verfolgt die Absicht, sich durch künstliches Herbeiführen der Anspruchsvoraussetzungen einen Vorteil zu verschaffen.
Die Beweislast für das Vorliegen dieser Voraussetzungen trägt der Verantwortliche. Dabei sind sämtliche Umstände des Einzelfalls zu berücksichtigen. Der EuGH nennt beispielhaft die freiwillige Bereitstellung der Daten, den Zweck dieser Bereitstellung, den zeitlichen Abstand zwischen Dateneingabe und Auskunftsantrag sowie das Verhalten der betroffenen Person insgesamt.
Berücksichtigung öffentlich zugänglicher Informationen
Eine weitere praxisrelevante Frage betraf die Möglichkeit, öffentlich zugängliche Informationen als Indiz für ein missbräuchliches Verhalten heranzuziehen. Auch dies bejaht der EuGH. So kann etwa berücksichtigt werden, ob eine Person gegenüber verschiedenen Verantwortlichen wiederholt Auskunftsanträge stellt und daran anschließend Schadensersatzforderungen geltend macht.
Allerdings reicht ein solcher Umstand für sich genommen nicht aus. Vielmehr bedarf es einer Gesamtwürdigung aller relevanten Indizien.
Schadensersatz nach Art. 82 DSGVO auch ohne „Verarbeitung“ von Daten
Von erheblicher praktischer Bedeutung ist die Klarstellung des EuGH zur Reichweite des Art. 82 DSGVO.
Der Gerichtshof entscheidet sich für eine weite Auslegung: Ein Schadensersatzanspruch kann grundsätzlich bei jedem Verstoß gegen die DSGVO bestehen – unabhängig davon, ob dieser Verstoß unmittelbar mit einer Datenverarbeitung verbunden ist. Zur Begründung verweist der EuGH insbesondere auf den Wortlaut von Art. 82 Abs. 1 DSGVO sowie auf den 141. Erwägungsgrund. Würde man Schadensersatzansprüche auf Verstöße im Zusammenhang mit einer Datenverarbeitung beschränken, würde dies die praktische Wirksamkeit der Betroffenenrechte erheblich beeinträchtigen.
Konsequenterweise stellt der EuGH klar, dass auch eine Verletzung des Auskunftsrechts nach Art. 15 DSGVO grundsätzlich einen Schadensersatzanspruch begründen kann. Die Frage war unter deutschen Gerichten zuvor umstritten. Das BAG hatte sie zuletzt ausdrücklich offengelassen (BAG, Urteil vom 20. Februar 2025 – 8 AZR 61/24).
Kausalität zwischen Datenschutzverstoß und Schaden als zwingende Voraussetzung
Gleichzeitig bekräftigt der EuGH seine ständige Rechtsprechung, wonach ein Schadensersatzanspruch nicht automatisch aus jedem DSGVO-Verstoß folgt. Vielmehr müssen drei Voraussetzungen kumulativ erfüllt sein:
- ein Verstoß gegen die DSGVO,
- ein Schaden sowie
- ein Kausalzusammenhang zwischen Verstoß und Schaden.
Die Darlegungs- und Beweislast hierfür liegt bei der betroffenen Person.
Zugleich hält der EuGH daran fest, dass ein immaterieller Schaden bereits im Verlust der Kontrolle über personenbezogene Daten oder in einer Ungewissheit über deren Verarbeitung liegen kann, auch ohne, dass ein konkreter Datenmissbrauch nachgewiesen werden muss.
Kausalitätsunterbrechung durch eigenes Verhalten des Betroffenen
Besondere Bedeutung kommt der Frage zu, ob das Verhalten der betroffenen Person selbst den Kausalzusammenhang unterbrechen kann.
Der EuGH bejaht dies ausdrücklich: Ein Anspruch auf Schadensersatz besteht nicht, wenn der geltend gemachte Schaden letztlich auf einer eigenständigen Entscheidung der betroffenen Person beruht. Dies ist insbesondere dann der Fall, wenn die betroffene Person ihre personenbezogenen Daten bewusst übermittelt, um anschließend gezielt einen DSGVO-Verstoß zu provozieren und daraus Schadensersatzansprüche herzuleiten. In einer solchen Konstellation fehlt es an der erforderlichen Zurechenbarkeit des Schadens, da der Kausalzusammenhang durch das Verhalten der betroffenen Person unterbrochen wird.
EuGH liefert mit seiner Entscheidung wichtige Leitlinien für die Praxis
Verantwortliche erhalten mehr Rechtssicherheit im Umgang mit missbräuchlichen Auskunftsersuchen. Insbesondere müssen sie nicht erst mehrere Anträge abwarten, sondern können bereits einen erstmaligen Antrag unter den strengen Voraussetzungen des Art. 12 Abs. 5 Satz 2 DSGVO zurückweisen.
Zugleich wird der Nachweis missbräuchlicher Absichten dadurch erleichtert, dass auch öffentlich zugängliche Informationen berücksichtigt werden dürfen. Außerdem erweitert der EuGH die Reichweite des Art. 82 DSGVO, indem er Schadensersatz auch bei Verstößen gegen formelle Pflichten ermöglicht. Dies führt zu erhöhten Haftungsrisiken für Unternehmen.
Vor diesem Hintergrund empfiehlt es sich für Verantwortliche, ihre Prozesse zur Bearbeitung von Betroffenenanfragen sorgfältig zu überprüfen und insbesondere eine lückenlose Dokumentation sicherzustellen.
Unter Berücksichtigung der durch den EuGH mit dieser Entscheidung aufgestellten Grundsätze muss das AG Arnsberg nun über den Fall entscheiden.
Unser regelmäßig aktualisierter Blog-Beitrag zur Rechtsprechung zum Schadensersatz nach Art. 82 DSGVO informiert Sie laufend zu diesem Thema.
