Rechtsmissbräuchliche Auskunftsanfragen: EuGH setzt dem DSGVO-Hop­ping Grenzen

Schon ein erster Antrag auf Auskunft über die eigenen personenbezogenen Daten kann als missbräuchlich eingestuft und zurückgewiesen werden, wenn er allein in der Absicht gestellt wird, anschließend Schadensersatz wegen eines angeblichen Verstoßes gegen die Datenschutzgrundverordnung (DSGVO) zu fordern. So heißt es in einer aktuellen Entscheidung des Europäischen Gerichtshofs (EuGH) (Urt. v. 19.03.2026, Az. C 526/24, Brillen Rottler). 

Damit hat das Gericht die Weichen dafür gestellt, das sogenannte DSGVO-Hopping zu beenden. Als "Hopper" werden Personen bezeichnet, die reihenweise Ansprüche etwa gegen Unternehmen nur deswegen geltend machen, um aus der formal erreichten Rechtsposition heraus Schadensersatz und Entschädigungsansprüche geltend zu machen. 

Die Problematik beim Hopping ist stets, dass die Hopper den Anspruch bei jedem Unternehmen nur einmal und damit das erste Mal geltend machen. Rechtlich ist es für Hopping-Betroffene deshalb bisher schwierig, zu beweisen, dass der Hopper den Anspruch nur geltend macht, um damit rechtsmissbräuchlich an Geld zu kommen.

Selbst bei "berühmten" Hoppern, deren Namen bei Anwält:innen und in Unternehmen bekannt sind und über deren Methoden Erfahrungsberichte im Internet stehen, war es für betroffene Unternehmen bisher juristisch schwierig bis unmöglich, erfolgreich einen Rechtsmissbrauch einzuwenden, weil es eben jeweils nur um einen ersten Auskunftsanspruch und nicht um das gesamte Verhalten ging. 

Ein Wiener meldete sich zum Newsletter bei Rottler an

In dem zugrundeliegenden Fall hatte Herr G., ein Privatmann aus Wien, sich selbst beim Newsletter von Brillen Rottler aus Arnsberg angemeldet und in die Datenverarbeitung durch Ankreuzen eines Kästchens eingewilligt. Nur 13 Tage später verlangte er von dem deutschen Optiker Auskunft über seine Daten nach Art. 15 DSGVO. Nach der Norm kann jeder umfassend Auskunft über seine verarbeiteten, personenbezogenen Daten verlangen.

Das familiengeführte Unternehmen – vertreten von Jörn Tröber von Tröber legal aus Münster – weigerte sich, G.s Anfrage zu beantworten. Es war überzeugt, dass G. immer so vorgeht und deshalb rechtsmissbräuchlich handelt. DSGVO-Hopping sei für G. ein Geschäftsmodell, das Internet sei voll mit Hinweisen auf seine Person und ähnliche Fälle.

Das Unternehmen erhob daher Klage gegen G. vor dem Amtsgericht (AG) Arnsberg. Es will die Feststellung, dass in diesem Fall kein Auskunftsanspruch besteht. G., vertreten von der Kanzlei Brandt Legal aus Berlin, erhob seinerseits Widerklage auf Auskunft und verlangte zusätzlich 1.000 Euro Schadensersatz aus Art. 82 DSGVO mit dem Argument, durch die Auskunftsverweigerung verletze Rottler seine Rechte nach der DSGVO.

Das AG war sich unsicher, ob Brillen Rottler wirklich die Auskunft verweigern durfte. Es legte dem EuGH deshalb mehrere Fragen zur Auslegung der DSGVO vor. Es wollte unter anderem wissen, unter welchen Voraussetzungen ein Unternehmen die Auskunft verweigern kann.

Öffentliche Quellen können Rechtsmissbrauch belegen

Der EuGH hat jetzt klargestellt: Schon ein erster Auskunftsantrag kann "exzessiv" und daher missbräuchlich sein. Das sei denkbar, wenn ein Betroffener "künstlich die Voraussetzungen für die Erlangung von Schadensersatz nach der DSGVO" zu schaffen versuche. Den Nachweis für das exzessive Verhalten muss der Datenverantwortliche erbringen. Dafür darf er auch öffentliche Quellen, die über Hopper-Verhalten berichten, berücksichtigen.

In solchen Fällen darf der in dem betroffenen Unternehmen für den Auskunftsanspruch Verantwortliche dann entweder ein Entgelt verlangen oder die Auskunft verweigern, Art. Art. 12 Abs. 5 DSGVO. Die Norm ist aber nur eine Ausnahme von der Pflicht zur Erleichterung des Auskunftsrechts, betonte der EuGH. Daher dürfe sich ein Verantwortlicher nur ausnahmsweise auf einen solchen exzessiven Charakter berufen; die Maßstäbe müssten hoch sein.

Für den Nachweis fordert der EuGH zwei Aspekte: Zum einen eine Gesamtheit objektiver Umstände, nach denen formal ein Anspruch auf Auskunft besteht, aber nicht durchgesetzt werden konnte. Aspekte könnten die freiwillige Bereitstellung der Daten und deren Zweck, der Zeitablauf zwischen Datenbereitstellung und Auskunftsantrag sowie das Verhalten der Person sein. Hier könnten auch die öffentlichen Informationen berücksichtigt werden, auch, wenn sie nicht allein ausschlaggebend sein können.

Zum Zweiten verlangt der EuGH das subjektive Element, sich den Anspruch verschaffen zu wollen, indem die Voraussetzungen dafür künstlich geschaffen werden. Auch dabei müssten alle Tatsachen und Umstände des Einzelfalls berücksichtigt werden. 

Schadensersatz auch nach Verstoß gegen Auskunftspflichten

Darüber hinaus stellte der EuGH klar, dass der Schadensersatzanspruch gem. Art. 82 DSGVO auch für bei Schäden durch Verletzung des Auskunftsanspruchs gilt. Der Anspruch ist also nicht beschränkt auf Schäden, die sich aus einer Verarbeitung personenbezogener Daten ergeben. Der immaterielle Schaden umfasse dabei grundsätzlich den Kontrollverlust über die personenbezogenen Daten und die Ungewissheit darüber, ob ihre Daten verarbeitet wurden.

Der Gerichtshof stellt jedoch klar, dass die betroffene Person nachweisen muss, dass ihr tatsächlich ein entsprechender Schaden entstanden ist. 

Im Übrigen betonte das Gericht, dass der Schadensersatzanspruch nach der DSGVO ausgeschlossen ist, wenn das eigene Verhalten der Person die entscheidende Ursache für den Schaden ist. 

Stimmen der Anwälte der Beteiligten

Aus Sicht des Anwalts von G., Philipp Brandt, hat der EuGH "die wesentliche Argumentation, die wir für unseren Mandanten vorgebracht haben, bestätigt". "Rechtsmissbrauch" komme danach nur in absoluten Ausnahmefällen überhaupt in Betracht. Erforderlich sei der eindeutige Nachweis durch den Verantwortlichen, dass es der betroffenen Person gar nicht um ihre Datenschutzrechte geht, sondern das Ziel "allein" die missbräuchliche Generierung von Schadenersatzansprüchen war. "Ungeachtet dessen muss der Missbrauchseinwand – worauf der Generalanwalt hingewiesen hat – gem. Art. 12 Abs. 4 DSGVO auch 'fristgerecht' erhoben werden", so der Anwalt gegenüber LTO. Das werde in der Praxis häufig übersehen.

Auch zum Schadenersatzanspruch sei der EuGH "unserer Argumentationslinie im Wesentlichen gefolgt". Es brauche keinen "Verarbeitungsverstoß" und als Schaden genüge bereits die bloße Ungewissheit. "Diese Ungewissheit ist in den meisten Fallkonstellationen die immanente Folge von Verstößen gegen Art. 15 DSGVO, sodass sich der Nachweis des Schadens in Gestalt bloßer Ungewissheit nicht allzu schwer wird führen lassen", so Brandt. Erfreulich sei schließlich die neuerliche Feststellung des EuGH, dass auch bereits der bloße Kontrollverlust als Schaden ausreicht, was bis zuletzt in der nationalen Rechtsprechung und Literatur trotz entsprechender EuGH- und BGH-Entscheidungen umstritten gewesen sei.

Auch der Anwalt von Brillen Rottler, Jörn Tröber, bewertet "das Urteil als Erfolg für alle ehrlichen Unternehmen". Natürlich sei "unserer Mandantin der Datenschutz wichtig und natürlich achtet diese die Rechte ihrer Kunden. Die Grenze ist allerdings erreicht, wenn es nur darum geht, auf Kosten der für die Verarbeitung von personenbezogenen Daten Verantwortlichen einen Profit zu schlagen", teilt Tröber LTO mit. Das sei von der DSGVO nicht mehr gedeckt. "Hier hat der EuGH jetzt Pflöcke eingeschlagen", so der Anwalt: "Datenschutz ja, exzessive Auskunftsbegehren nein. Und zwar auch dann – das ist neu –, wenn es das erste Auskunftsbegehren ist."

Entscheiden wird das AG Arnsberg

Jetzt muss das AG Arnsberg entscheiden, ob in diesem konkreten Fall ein rechtsmissbräuchliches Verhalten vorlag, und dabei die Vorgaben des EuGH berücksichtigen. Die Chancen dürften für Rottler besser stehen als für G.: Der hatte den Auskunftsanspruch nur 13 Tage nach der Newsletteranmeldung geltend gemacht, überall im Internet stößt man auf den Namen von G. und Anwalt Tröber wird eine Vielzahl ähnlicher Verfahren nachweisen können. 

Etwa vor dem AG Augsburg war der Sachverhalt im Wesentlichen identisch mit dem, um den es jetzt in Arnsberg geht: Newsletter abonnieren, vergeblich Auskunft verlangen, Schadensersatz fordern. Die Abläufe waren in Augsburg unstreitig, nur die genaue Anzahl der ebenso geführten Verfahren war dort umstritten. Nachgewiesen wurden laut dem Urteil 66 Fälle allein im Zeitraum Ende 2022 bis Oktober 2023. Insgesamt hatte der Österreicher so rund 160.000 Euro Schadensersatz gefordert (Urt. v. 24.06.2024, Az. 18 C 3234/23).