EuGH: Erstantrag nach DSGVO kann abgelehnt werden

Ein europäisches Gericht hat klargestellt, dass Unternehmen einen Antrag auf Auskunft über personenbezogene Daten (DSAR) unter bestimmten Umständen ablehnen dürfen, selbst wenn es sich um den allerersten Antrag dieser Person handelt.

Was ist passiert?

Laut einem Blogbeitrag von DLA Piper Privacy Matters hat der Gerichtshof der Europäischen Union (EuGH) am 19. März 2026 sein Urteil in der Rechtssache C-526/24 verkündet, die das deutsche Optikunternehmen Brillen Rottler betrifft. Im Mittelpunkt des Verfahrens stand eine österreichische Person, die in den Quellen nur als TC bezeichnet wird. TC hatte sich für den Newsletter des Unternehmens angemeldet und kurz darauf einen Auskunftsantrag nach Artikel 15 DSGVO gestellt. Brillen Rottler lehnte den Antrag ab und argumentierte, er sei missbräuchlich und diene ausschließlich dazu, einen Schadensersatzanspruch nach Artikel 82 DSGVO auszulösen, anstatt ein Datenschutzrecht ernsthaft wahrzunehmen.

TC bestritt dies und forderte Berichten zufolge mindestens 1.000 Euro Schadensersatz für immaterielle Schäden, die durch die Ablehnung entstanden sein sollen. Es ist wichtig festzuhalten, dass es sich dabei um den von TC geltend gemachten Betrag handelt, nicht um ein Bußgeld einer Aufsichtsbehörde. Ein deutsches Gericht legte die Frage dem EuGH vor.

Was hat das Gericht entschieden?

Laut dem Bericht von DLA Piper hat der EuGH zwei wesentliche Punkte bestätigt.

Erstens kann ein erstmaliger Auskunftsantrag nach Artikel 12 Absatz 5 DSGVO als „exzessiv" abgelehnt werden, wenn der Verantwortliche eine missbräuchliche Absicht nachweisen kann. Das Gericht soll dem Bericht zufolge klargestellt haben, dass der Verweis auf „wiederholte Anträge" in Artikel 12 Absatz 5 DSGVO lediglich ein Beispiel für Exzessivität darstellt und nicht die einzige Möglichkeit. Entscheidend ist demnach, ob der Antrag mit der Absicht gestellt wurde, die Voraussetzungen für einen Schadensersatzanspruch gezielt herbeizuführen, und nicht allein die Anzahl der gestellten Anträge.

Zweitens hat das Gericht Berichten zufolge zur Frage des Schadensersatzes nach Artikel 82 DSGVO entschieden, dass der für einen Schadensersatzanspruch erforderliche Kausalzusammenhang unterbrochen werden kann, wenn das eigene Verhalten der betroffenen Person die maßgebliche Ursache des behaupteten Schadens ist.

Da es sich bei der Quelle um einen sekundären Blogbeitrag und nicht um den primären Urteilstext handelt, sollten diese Angaben mit einer gewissen Vorsicht behandelt werden, bis das vollständige Urteil vorliegt.

Was bedeutet das für Ihre Website?

Wenn sich jemand in Ihren Newsletter oder ein Kontaktformular einträgt und kurz darauf einen Auskunftsantrag stellt, müssen Sie diesem nicht automatisch und ohne Weiteres nachkommen. Eine Ablehnung ist jedoch kein einfacher Schritt: Sie müssten eine missbräuchliche Absicht nachweisen können, und ein Fehler dabei kann weiterhin zu einer Beschwerde bei der zuständigen Datenschutzaufsichtsbehörde führen, in Deutschland etwa beim BfDI oder dem jeweiligen Landesdatenschutzbeauftragten. Wenn Sie sicherstellen möchten, dass Ihr Prozess zur Bearbeitung von Auskunftsanträgen solide aufgestellt ist, sind unsere DSGVO-Compliance-Checkliste und unser Leitfaden zu Datenschutzerklärungen gute Ausgangspunkte.