EuGH stoppt „GDPR-Hopping: Missbrauch des Datenauskunftsrechts jetzt abwehrbar

Der Europäische Gerichtshof hat klare Grenzen gegen systematischen Missbrauch des Auskunftsrechts nach Artikel 15 DSGVO gezogen. Selbst eine erstmalige Anfrage kann künftig als „unverhältnismäßig" zurückgewiesen werden – wenn sie Teil eines Geschäftsmodells zur Erzeugung von Schadensersatzforderungen ist.

Das Urteil in der Rechtssache Brillen Rottler (C-526/24) vom 19. März 2026 markiert einen Wendepunkt im europäischen Datenschutzrecht. Jahrelang hatten Unternehmen unter dem Phänomen des sogenannten „GDPR-Hopping" gelitten: Personen meldeten sich systematisch für Dienste wie Newsletter an, stellten kurz darauf umfangreiche Auskunftsersuchen und forderten bei Verstößen gegen die engen Fristen sofort Schadensersatz.

Um bei Auskunftsersuchen und Dokumentationspflichten nicht angreifbar zu sein, müssen Unternehmen ihre internen Prozesse präzise steuern. Dieser kostenlose Ratgeber zeigt Ihnen in 5 konkreten Schritten, wie Sie die DSGVO-Vorgaben rechtssicher umsetzen und Abmahnungen vermeiden. DSGVO-Leitfaden mit Checkliste kostenlos anfordern

Der Fall, der alles änderte

Ausgangspunkt war ein Streit zwischen einem Familienunternehmen aus Arnsberg und einem Verbraucher aus Österreich. Der Kunde hatte den Newsletter des Optikers abonniert und bereits 13 Tage später sein Auskunftsrecht geltend gemacht. Als das Unternehmen die Anfrage als missbräuchlich ablehnte, forderte der Kunde mindestens 1.000 Euro Schadensersatz.

Das Amtsgericht Arnsberg legte dem EuGH die Frage vor, ob eine erstmalige Anfrage überhaupt „unverhältnismäßig" im Sinne von Artikel 12 Absatz 5 DSGVO sein könne. Die Antwort des Gerichts fiel deutlich aus: Die quantitative Häufigkeit von Anfragen ist nicht das einzige Kriterium. Entscheidend ist eine qualitative Bewertung der Absicht des Antragstellers.

Zweistufiger Test für Missbrauch

Der EuGH entwickelte einen klaren Prüfmechanismus:

1. Das objektive Element: Die Gesamtumstände müssen zeigen, dass das eigentliche Ziel der DSGVO – Transparenz und Kontrolle – gar nicht verfolgt wird.
2. Das subjektive Element: Es muss die Absicht bestehen, sich durch künstliche Herbeiführung eines Verstoßes einen Vorteil zu verschaffen.

Besonders brisant: Unternehmen dürfen öffentlich zugängliche Informationen wie Medienberichte oder Blogbeiträge nutzen, um ein musterhaftes Verhalten bestimmter Personen nachzuweisen.

Die „Kausalitätsbremse" bei Schadensersatz

Das Urteil greift auch tief in die Schadensersatzpraxis nach Artikel 82 DSGVO ein. Zwar bestätigt der EuGH, dass bereits eine Verletzung des Auskunftsrechts einen Anspruch auslösen kann – selbst ohne rechtswidrige Datenverarbeitung. Doch die entscheidende Neuerung: Wer den Schaden durch eigenes Verhalten verursacht, hat keinen Anspruch.

Liefert jemand seine Daten bewusst, um dann gezielt eine Verletzung zu provozieren, ist der Kausalzusammenhang zwischen Unternehmensversagen und behauptetem Schaden unterbrochen. Die Liechtensteinische Datenschutzstelle (DSS) betonte in ihren Leitlinien vom 5. Mai 2026: Das Auskunftsrecht dient dem Schutz, nicht als Einnahmequelle durch taktische Provokation.

Abgrenzung zu früheren Urteilen

Das neue Urteil korrigiert frühere, weitreichendere Auslegungen. Im Oktober 2023 hatte der EuGH im Fall FT gegen DW (C-307/22) entschieden, dass ein Patient unabhängig von seiner Motivation Anspruch auf eine erste kostenlose Kopie seiner Krankenakte hat – selbst wenn er die Daten für eine Arzthaftungsklage nutzen wollte.

Im Mai 2023 stellte das Gericht im CRIF-Urteil (C-487/21) klar, dass eine „Kopie" eine originalgetreue und verständliche Wiedergabe aller Dokumente mit personenbezogenen Daten bedeutet. Die 2026er-Entscheidung gibt Unternehmen nun das rechtliche Werkzeug, sich gegen bösgläubige Ausnutzung dieser Rechte zu wehren.

Eine lückenlose Dokumentation aller Datenverarbeitungen ist die beste Verteidigung gegen Vorwürfe und Bußgelder, die bis zu 2 % des Jahresumsatzes betragen können. Nutzen Sie diese bewährte Excel-Vorlage, um Ihr Verarbeitungsverzeichnis gemäß Art. 30 DSGVO schnell, zeitsparend und rechtssicher zu erstellen. Kostenlose Muster-Vorlage jetzt herunterladen

Was Unternehmen jetzt tun müssen

Die aktuelle Rechtslage verlangt von Firmen eine robustere Dokumentation. Compliance-Experten empfehlen:

• Definition interner Prozesse zur Identifikation von Serienantragstellern
• Dokumentation konkreter Missbrauchsindikatoren – etwa die Zeitspanne zwischen Datenbereitstellung und Anfrage
• Klare Kriterien, bevor eine Anfrage abgelehnt wird

Die europäischen Regulierungsbehörden diskutieren derzeit im Rahmen der geplanten „Digital Omnibus Regulation" über eine gesetzliche Verankerung des Missbrauchsprinzips. Der Europäische Datenschutzausschuss (EDSA) und der Europäische Datenschutzbeauftragte (EDSB) unterstützen den Ansatz, fordern aber eine strikte Bindung an nachgewiesene Missbrauchsabsicht – um die Rechte der Durchschnittsbürger nicht zu untergraben.

Für die deutsche Wirtschaft, die besonders stark von Serienanfragen betroffen war, ist das Urteil eine spürbare Entlastung. Der Fokus verschiebt sich von der Frage, „ob" eine Anfrage beantwortet werden muss, hin zu der Frage, „wie" Unternehmen rechtssicher zwischen transparenten Nutzern und strategischen Klägern unterscheiden können.

de | wirtschaft | 69371371 |