Mit der Frage, wann eine Verweigerung der Erteilung einer DSGVO-Auskunft nach Art. 15 Datenschutzgrundverordnung (DSGVO) wegen Rechtsmissbrauchs zulässig ist, hat sich der Generalanwalt des Europäischen Gerichtshofs (EuGH) mit seinen Schlussanträgen vom 18.09.2025 (C-526/24) beschäftigt. Konkret ging es um die Frage, wann eine Verweigerung bei einer erstmaligen Anfrage zulässig ist. Relevant war auch der Umfang der Haftung nach Art. 82 DSGVO und die Beweislast hierfür.
Hintergrund des Verfahrens
Ausgangspunkt war ein Vorabentscheidungsersuchen des Amtsgerichts (AG) Arnsberg. Der betroffene Verantwortliche hatte ein Auskunftsbegehren innerhalb der Frist verweigert, da er das Vorgehen der betroffenen Person als rechtsmissbräuchlich einstufte. Aus öffentlichen Quellen ergebe sich, dass die Person systematisch Datenschutzverstöße provoziere, um anschließend Schadensersatzforderungen zu stellen. Zuvor hatte sich eine Privatperson für den Newsletter des verantwortlichen Optikunternehmens angemeldet. Nun verlangte der Betroffene immateriellen Schadensersatz in Höhe on 1.000 €. Der EuGH soll jetzt klären, unter welchen Umständen eine solche Verweigerung rechtmäßig sein kann und welche Folgen sie für einen möglichen Schadensersatzanspruch hat.
Exzessive Auskunftsbegehren
Der Generalanwalt erkennt grundsätzlich an, dass auch ein erstmaliges Auskunftsersuchen „exzessiv“ und damit rechtsmissbräuchlich im Sinne von Art. 12 Abs. 5 DSGVO sein kann. Allerdings müsse dies auf außergewöhnliche Umstände beschränkt bleiben. Das Auskunftsrecht sei ein zentrales Schutzinstrument der DSGVO, weshalb Einschränkungen nur in eng begrenzten Ausnahmefällen zulässig seien.
Nach Auffassung des Generalanwalts reicht es hierfür nicht aus, dass eine betroffene Person bereits mehrfach ähnliche Anfragen gestellt oder in der Vergangenheit Schadensersatzansprüche erhoben hat. Auch eine entsprechende öffentliche Berichterstattung über dieses Verhalten genüge nicht.
Entscheidend sei allein der Zweck des Vorgehens. Nur wenn nachweisbar ist, dass die betroffene Person ausschließlich deshalb einer Datenverarbeitung zugestimmt hat, um später einen DSGVO-Verstoß zu provozieren und daraus Schadensersatz zu ziehen, könne ein Rechtsmissbrauch angenommen werden.
Die Beweislast für diese Absicht liege beim Verantwortlichen. Anhaltspunkte seien etwa der Zeitpunkt des Auskunftsbegehrens sowie der Einwilligung zur Datenverarbeitung und die Kommunikationsweise.
Schaden durch DSGVO-Verstoß vs. Datenverarbeitung
Zudem will das AG Arnsberg wissen, ob sich im Rahmen von Art. 82 DSGVO der Schaden durch eine Datenverarbeitung ergeben muss oder ob generell eine Verletzung der DSGVO ausreicht. Das ist hier insofern relevant, als dass der geltend gemachte Schaden hier nur aufgrund des nicht befolgten Auskunftsbegehren entstanden ist und die Datenverarbeitung per se nicht rechtswidrig war.
Der Generalanwalt orientiert sich hier am Wortlaut des Art. 82 Abs. 1 DSGVO und spricht sich für eine weite Auslegung der Haftung aus, womit jeder Verstoß gegen die DSGVO ausreichen soll. Insofern könnte bei Bejahung eines DSGVO-Verstoßes hier ein Anspruch auf Schadensersatz bestehen.
In diesem Zusammenhang weist der Generalanwalt aber zugleich daraufhin, dass das Vorliegen eines konkreten Schadensersatzanspruch vom Betroffenen hinreichend zu beweisen ist. Insofern hat der EuGH wiederholt klargestellt, dass die DSGVO kein System für eine pauschale Haftung schafft.
Bedeutung für Unternehmen
Die Schlussanträge liefern Unternehmen wertvolle Orientierung für den Umgang mit verdächtigen Auskunftsersuchen. Sie zeigen aber auch, dass der Rechtsmissbrauchseinwand nur in eng begrenzten Ausnahmefällen trägt. Verantwortliche sollten Auskunftsbegehren deshalb grundsätzlich ernst nehmen und eine Verweigerung nur dann erwägen, wenn belastbare Anhaltspunkte für eine missbräuchliche Absicht vorliegen. Diese sollten über bloße Medienberichterstattung hinausgehen. Es empfiehlt sich, dass Unternehmen die konkreten Umstände sorgfältig dokumentieren, um anschließend zeitliche Zusammenhänge, Kommunikationsmuster oder andere Indizien vereinfacht erkennen zu können.
Fazit
Die Schlussanträge des Generalanwalts zur Verweigerung der DSGVO-Auskunft wegen Rechtsmissbrauchs versuchen die verschiedenen Interessen der betroffenen Parteien auszubalancieren. Sollte der EuGH den Ausführungen folgen, wird dies die Voraussetzungen für die Annahme von Rechtsmissbrauch klarer definieren. Grundsätzlich verdeutlichen sie aber schon jetzt, dass Verantwortliche gut beraten sind, jedes Auskunftsbegehren exakt zu prüfen und rechtlich sowie dokumentarisch abzusichern. Eine vorschnelle Verweigerung birgt finanzielle und prozessuale Risiken.
