In der Rechtssache C-526/24 (Brillen Rottler) hat Generalanwalt Szpunar eine wichtige rechtliche Einordnung zum Rechtsmissbrauch bei DSGVO-Auskunftsansprüchen vorgelegt. Seine Schlussanträge definieren die hohen Hürden für die Annahme von Rechtsmissbrauch, klären den weiten Haftungsumfang nach Art. 82 DSGVO und bekräftigen gleichzeitig das Erfordernis eines nachgewiesenen Schadens. Dieser Beitrag analysiert die Kernaussagen und ihre Implikationen für die Praxis.
Was war passiert?
Dem Gerichtshof der Europäischen Union (EuGH) lag ein Vorabentscheidungsersuchen des Amtsgerichts Arnsberg, Deutschland, vor. Der Verantwortliche wollte einem Auskunftsersuchen nach Art. 15 der Datenschutz-Grundverordnung (DSGVO) nicht nachkommen. Er begründete die Weigerung mit dem Vorwurf des Rechtsmissbrauchs, da aus öffentlichen Quellen ersichtlich sei, die betroffene Person provoziere systematisch datenschutzrechtliche Verstöße, um dann Schadensersatzansprüche geltend zu machen.
Das vorlegende Gericht ersucht den EuGH um Klärung, unter welchen Umständen die Geltendmachung eines Auskunftsanspruchs als rechtsmissbräuchlich eingestuft werden kann und welche Konsequenzen sich daraus für den Anspruch auf Schadensersatz nach Art. 82 DSGVO ergeben. Die am 12. September 2025 veröffentlichten Schlussanträge von Generalanwalt (GA) Maciej Szpunar liefern eine detaillierte rechtliche Würdigung dieser Fragen.
Rechtliche Würdigung durch den Generalanwalt
Die Analyse des Generalanwalts konzentriert sich auf vier zentrale Aspekte bezüglich des Rechtsmissbrauchs und der Haftung nach der DSGVO.
Kann ein erster Auskunftsantrag bereits “exzessiv” sein?
Der Generalanwalt stellt klar, dass der in Art. 12 Abs. 5 DSGVO genannte Fall eines "exzessiven" Antrags lediglich beispielhaft ist. Ein Rechtsmissbrauch könne demnach auch in anderen Fällen vorliegen, sogar bereits bei einem erstmaligen Auskunftsersuchen.
Allerdings betont der GA, dass dies nur in "außergewöhnlichen Umständen" anzunehmen sei. Das Auskunftsrecht stelle ein fundamentales Recht im System der DSGVO dar, weshalb jede Ausnahme von diesem Grundsatz eng auszulegen ist. Die Schwelle für die Annahme eines Rechtsmissbrauchs bei einem Erstantrag ist demzufolge grundsätzlich hoch anzusetzen.
Wann ist ein Auskunftsantrag als “exzessiv” und daher als Rechtsmissbrauch einzustufen?
Zur Feststellung des Rechtsmissbrauchs entwickelt der Generalanwalt eine wesentliche Differenzierung. Er führt aus, dass der Umstand, dass eine Person in der Vergangenheit bereits zahlreiche ähnliche Ansprüche geltend gemacht hat, für sich genommen nicht ausreicht, um eine missbräuchliche Absicht nachzuweisen. Die Ausübung des in Art. 82 DSGVO verankerten Rechts auf Schadensersatz dürfe nicht per se als missbräuchlich gewertet werden.
Das entscheidende Kriterium ist vielmehr der zugrundeliegende Zweck des Handelns der betroffenen Person. Ein Rechtsmissbrauch liege dann vor, wenn der Nachweis erbracht werden kann, dass die betroffene Person in eine Datenverarbeitung (z. B. durch die Anmeldung zu einem Newsletter) ausschließlich zu dem Zweck eingewilligt hat, um anschließend jenes Auskunftsersuchen zu stellen und dann Schadensersatz zu verlangen.
Der Fokus liegt somit auf dem Tatbestand der gezielten Schaffung einer Rechtsbeziehung mit dem Verantwortlichen mit der alleinigen Absicht, einen potenziellen DSGVO-Verstoß für einen Schadensersatzanspruch zu instrumentalisieren.
Ein Verantwortlicher kann den exzessiven bzw. missbräuchlichen Charakter einer Auskunftsanfrage nicht allein damit darlegen, dass die Vorgehensweise der betroffenen Person in öffentlichen Quellen beschrieben und als rechtsmissbräuchlich erachtet wird. Vielmehr muss er im konkreten Fall anhand einzelner Anhaltspunkte, wie z.B. dem Zeitpunkt der Anmeldung, dem Zeitpunkt der Auskunftsanfrage, der Art der Kommunikation usw. nachweisen können, dass die Auskunftsanfrage mit rechtsmissbräuchlicher Absicht gestellt worden ist.
Umfang der Haftung nach Artikel 82 DSGVO
Ein wesentlicher Teil der Schlussanträge befasst sich mit dem Anwendungsbereich des Schadensersatzanspruchs nach Art. 82 DSGVO. Während der Wortlaut von Art. 82 Abs. 1 DSGVO auf einen Schaden aufgrund eines Verstoßes gegen diese Verordnung abstellt, beziehen sich andere Absätze spezifischer auf Schäden durch eine "Verarbeitung".
Der Generalanwalt plädiert hier für eine weite Auslegung. Er gelangt zu dem Schluss, dass ein Schadensersatzanspruch aus jedem Verstoß gegen die DSGVO resultieren kann, nicht nur aus einer rechtswidrigen Verarbeitungshandlung. Dies impliziert, dass auch rein prozedurale Versäumnisse, wie die ungerechtfertigte Verweigerung der Auskunftserteilung gemäß Art. 15 DSGVO, eine Haftung nach Art. 82 DSGVO begründen können, selbst wenn die zugrundeliegende Datenverarbeitung an sich konform war. Der potenzielle Haftungsumfang für Verantwortliche wird hierdurch erheblich erweitert.
Erfordernis eines nachgewiesenen Schadens
Als Korrektiv zum weiten Haftungsumfang bekräftigt der Generalanwalt den etablierten Grundsatz, dass ein Verstoß gegen die DSGVO nicht automatisch einen Schadensersatzanspruch begründet. Der bloße Verstoß gegen deren Bestimmungen genügt nicht, um einen Anspruch auf Schadensersatz zu begründen.
Die anspruchstellende Person trägt weiterhin die Beweislast für den Eintritt eines tatsächlichen materiellen oder immateriellen Schadens. Selbst bei einem eindeutigen Verstoß, wie der unrechtmäßigen Verweigerung eines Auskunftsersuchens, besteht kein Anspruch auf Entschädigung, sofern nicht dargelegt werden kann, dass hierdurch ein konkreter Schaden entstanden ist. Dieser Grundsatz verhindert eine Umwandlung der DSGVO in ein verschuldensunabhängiges Haftungsregime, bei dem jeder formale Fehler automatisch sanktioniert wird.
Mögliche Auswirkungen der Schlussanträge
Die Schlussanträge des Generalanwalts bieten Verantwortlichen Orientierung zum Schutz vor offenkundig rechtsmissbräuchlichen Praktiken, die das Datenschutzrecht für sachfremde Zwecke instrumentalisieren. Dies allerdings nur dann, wenn der Verantwortliche den Missbrauch beweisen kann. Da die unberechtigte Verweigerung der Auskunft Schadensersatzansprüche begründen kann, sollte die Verweigerung nur dann erfolgen, wenn die ihr entgegenstehenden Gründe dokumentiert und rechtlich tragbar sind.
Auch wenn die endgültige Entscheidung des EuGH noch aussteht, deutet das Votum des Generalanwalts darauf hin, dass die DSGVO nicht für missbräuchliche Zwecke instrumentalisiert werden kann. Die differenzierte Auslegung bietet ein positives Signal dafür, dass der ursprüngliche Zweck der DSGVO – nämlich der Schutz der Datenschutzrechte der betroffenen Personen – im Vordergrund bleibt und die Rechtspositionen der betroffenen Personen und Verantwortlichen angemessen in Einklang gebracht werden.
