Auch der erste Auskunftsantrag kann missbräuchlich sein

Das Auskunftsrecht nach Art. 15 DSGVO kann missbraucht werden, und zwar schon beim allerersten Antrag. Der EuGH hat das am 19. März 2026 in der Rechtssache C‑526/24 klargestellt. Die Entscheidung gibt Verantwortlichen ein Werkzeug an die Hand, setzt aber zugleich bewusst hohe Hürden.

Zusammengefasst:

  • Ein erster Auskunftsantrag kann als exzessiv im Sinne von Art. 12 Abs. 5 DSGVO gelten. Die Ausnahme ist eng auszulegen und setzt einen hohen Nachweis voraus: Der Verantwortliche muss eine konkrete Missbrauchsabsicht belegen.
  • Die Missbrauchsprüfung braucht zwei Elemente: ein objektives (das Ziel der Norm wird trotz formaler Erfüllung verfehlt) und ein subjektives (Absicht, künstlich einen Schadensersatzanspruch zu provozieren). Beide müssen vorliegen.
  • Die Beweislast liegt vollständig beim Verantwortlichen. Wer zurückweist, ohne diesen Nachweis führen zu können, haftet selbst nach Art. 82 DSGVO. 
Niklas Niggemeier
Niklas Niggemeier
Datenschutz Berater

Sachverhalt

Eine Privatperson meldete sich beim Newsletter eines Unternehmens an und stellte 13 Tage später einen Auskunftsantrag. Das Unternehmen verweigerte die Antwort, weil aus Medienberichten und Anwaltsschreiben hervorging, dass dieselbe Person dieses Muster systematisch gegenüber zahlreichen Verantwortlichen anwandte: Newsletter abonnieren, Auskunft beantragen, Schadensersatz fordern. Der EuGH bestätigte, dass Art. 12 Abs. 5 DSGVO (Missbrauchsschutz) auch in solchen Fällen greift, und zwar unabhängig davon, ob es sich um den ersten oder den zwanzigsten Antrag handelt. Entscheidend ist nicht die Zahl, sondern die Absicht.

Was bedeutet das konkret?

Wer einen Auskunftsantrag zurückweist, muss zweierlei dokumentieren: erstens, dass der Antragsteller die Norm formal einhält, aber ihren Zweck verfehlt, und zweitens, dass er konkret beabsichtigt, Schadensersatzbedingungen künstlich herbeizuführen. Öffentlich zugängliche Informationen über ein systematisches Muster dürfen herangezogen werden, reichen aber allein nicht aus. Die 13-Tage-Spanne zwischen Newsletter-Anmeldung und Antrag kann ein Indiz sein, ist aber kein Beweis.

Hinzu kommt:  

Der EuGH hat in derselben Entscheidung klargestellt, dass Art. 82 Abs. 1 DSGVO auch Verstöße gegen das Auskunftsrecht selbst erfasst, also keine vorangegangene Verarbeitungspflichtverletzung voraussetzt. Wer zu Unrecht zurückweist, haftet.

  • Haben Sie einen Prozess, der Missbrauchsfälle erkennt?

Viele Unternehmen behandeln Art. 15 DSGVO Anträge als Routinevorgang. Wer Missbrauchsfälle abwehren will, braucht einen Prozess, der Muster identifiziert, Einzelfallumstände dokumentiert und die Zurückweisung rechtssicher begründet, bevor sie kommuniziert wird.

  • Kennen Sie den Zweck jedes Ihrer Opt-ins?

Bei niedrigschwelligen Anmeldungen wie Newslettern entsteht das größte Spannungsverhältnis. Ein klares Bild der eigenen Verarbeitungstätigkeiten ist die Grundlage für jede seriöse Antwort auf einen Auskunftsantrag und für jeden Missbrauchseinwand.

  • Können Sie eine Zurückweisung im Nachhinein belegen?

Die Beweislast liegt beim Verantwortlichen. Eine Zurückweisung ohne saubere Dokumentation ist keine Verteidigung. Wer sich auf Art. 12 Abs. 5 DSGVO beruft, muss das nachweisbar begründen können.

Wie wir Sie begleiten

Wir prüfen mit Ihnen, ob Ihre bestehenden Prozesse zur Bearbeitung von Auskunftsanträgen dem aktuellen Standard entsprechen, und helfen dabei, einen Missbrauchsvorbehalt rechtssicher zu verankern, ohne das legitime Auskunftsrecht Ihrer Kunden zu untergraben. In einem kurzen Gespräch klären wir, ob Ihr Umgang mit Auskunftsanträgen den Anforderungen aus dem EuGH-Urteil standhält und wo der nächste konkrete Schritt liegt. 

Share