Das Auskunftsrecht nach Art. 15 DSGVO ist ein zentrales Instrument des Datenschutzrechts. Gleichzeitig eröffnet es Raum für missbräuchliche Nutzung: Personen, die sich gezielt in Newsletter‑Verteiler eintragen, nur um kurz darauf Auskunft zu verlangen und anschließend Schadensersatzansprüche geltend zu machen – sogenanntes DSGVO‑Hopping – haben Unternehmen wiederholt vor erhebliche Probleme gestellt. Der Europäische Gerichtshof hat mit Urteil C‑526/24 eine klare Leitlinie geliefert: Selbst ein erstes Auskunftsersuchen kann unter engen Voraussetzungen als exzessiv und damit rechtsmissbräuchlich zurückgewiesen werden. Dieser Beitrag erklärt den zugrundeliegenden Sachverhalt, die rechtlichen Prüfungsmaßstäbe des EuGH, die Folgen für Unternehmen und Betroffene und gibt praxisorientierte Hinweise, wie Unternehmen jetzt vernünftig und rechtssicher reagieren können.

Inhaltsangabe: Sachverhalt und Verfahrensgang — Rechtlicher Rahmen: Relevante DSGVO‑Normen — Die Vorlagefragen des Amtsgerichts Arnsberg — Entscheidung des EuGH (C‑526/24) und ihre Begründung — Konsequenzen für Unternehmen — Konsequenzen für Verbraucher und Betroffene — Praktische Handlungsempfehlungen und Compliance‑Hinweise — Schlussfolgerung — Was LEGAL SMART für Sie tun kann

Sachverhalt und Verfahrensgang

Der Ausgangsfall betraf einen klassischen DSGVO‑Hopping‑Sachverhalt. Eine in Österreich wohnhafte natürliche Person meldete sich für den Newsletter eines familiengeführten Optikerunternehmens mit Sitz in Deutschland an und übermittelte dabei freiwillig personenbezogene Daten. Nur 13 Tage nach dieser Registrierung stellte die Person ein Auskunftsersuchen nach Art. 15 DSGVO. Das Unternehmen verweigerte innerhalb der gesetzlichen Frist die Auskunft mit der Begründung, der Antrag sei missbräuchlich im Sinne von Art. 12 Abs. 5 DSGVO, und forderte den Betroffenen auf, von seinem Antrag abzusehen.

Der Betroffene verfolgte den Antrag weiter und erhob zusätzlich einen Anspruch auf Schadensersatz nach Art. 82 DSGVO in Höhe von 1.000 Euro wegen der verweigerten Auskunft. Das Unternehmen erhob Gegenklage vor dem Amtsgericht Arnsberg mit dem Ziel, feststellen zu lassen, dass kein Auskunftsanspruch bestehe. Zur Begründung berief sich das Unternehmen auf öffentliche Quellen, die ein systematisches Vorgehen des Betroffenen darstellten: Anmeldung zu Newslettern, Auskunftsersuchen, anschließende Schadensersatzforderungen. Das Amtsgericht Arnsberg sah sich in der Sache unsicher und legte dem Europäischen Gerichtshof mehrere Vorlagefragen zur Auslegung der DSGVO vor. Der EuGH entschied in der Rechtssache C‑526/24 und erließ am 19. März 2026 eine Vorabentscheidung, die den Umgang mit sogenannten Hoppern merklich beeinflusst.

Rechtlicher Rahmen: Relevante DSGVO‑Normen

Für die Beurteilung des Falls waren insbesondere drei Normgruppen der DSGVO relevant. Zunächst Art. 12 DSGVO, insbesondere Abs. 5, der grundsätzlich die unentgeltliche Bereitstellung von Informationen und die Erleichterung der Ausübung von Betroffenenrechten regelt, aber in Ausnahmefällen vorsieht, dass der Verantwortliche bei offenkundig unbegründeten oder exzessiven Anträgen ein Entgelt verlangen oder die Anfrage ganz verweigern darf. Zweitens Art. 15 DSGVO, das Auskunftsrecht der betroffenen Person. Drittens Art. 82 DSGVO, der Anspruch auf Schadensersatz bei materiellen oder immateriellen Schäden infolge eines Verstoßes gegen die Verordnung.

Die DSGVO‑Erwägungsgründe ergänzen die Normen und betonen, dass das Recht auf Datenschutz kein uneingeschränktes, absoluter Charakter nicht ohne Abwägung gegenüber anderen Rechten gelte, sowie dass immaterielle Schäden, etwa der Verlust der Kontrolle über personenbezogene Daten oder die damit verbundene Ungewissheit, ersatzfähig sein können. In Verbindung betrachtet bilden diese Vorschriften den Prüfrahmen, innerhalb dessen der EuGH die Frage beantworten musste, ob und unter welchen Voraussetzungen ein Erstantrag nach Art. 15 DSGVO bereits als exzessiv und somit rechtsmissbräuchlich eingestuft werden kann und welche Bedeutung dies für Schadensersatzansprüche hat.

Die Vorlagefragen des Amtsgerichts Arnsberg

Das vorlegende Gericht stellte dem EuGH mehrere präzis formulierte Fragen. Im Kern ging es darum, ob ein erster Auskunftsantrag bereits exzessiv sein kann; ob ein Verantwortlicher die Auskunft verweigern kann, wenn der Betroffene die Anfrage nur zum Zweck der Hervorrufung von Schadensersatz stellt; ob öffentliche Informationen über ein wiederkehrendes, gleiches Vorgehen berücksichtigt werden dürfen; ob das Auskunftsersuchen selbst oder dessen Beantwortung als Verarbeitung im Sinne der DSGVO zu qualifizieren ist; und schließlich, ob Art. 82 DSGVO Ersatz auch dann gewährt, wenn der Schaden lediglich aus der Verletzung des Auskunftsrechts resultiert. Diese Fragen zielten darauf ab, sowohl die Abwehrmöglichkeiten der Verantwortlichen zu klären als auch die Reichweite des Schadensersatzrechts der Betroffenen zu definieren.

Entscheidung des EuGH (C‑526/24) und ihre Begründung

Der Europäische Gerichtshof hat in der Vorabentscheidung zu C‑526/24 in mehreren zentralen Punkten Klarheit geschaffen. Zunächst hat der EuGH entschieden, dass ein erster Auskunftsantrag grundsätzlich nicht von vornherein vom Anwendungsbereich des Rechtsmissbrauchs ausgenommen ist: Ein erster Antrag kann sehr wohl als „exzessiv“ im Sinne von Art. 12 Abs. 5 DSGVO bewertet werden. Dies ist aber nur in engen Grenzen möglich und setzt voraus, dass der Verantwortliche den exzessiven, also missbräuchlichen Charakter des Antrags beweist.

Zur Begründung macht der EuGH deutlich, dass der Begriff „exzessiv“ sowohl quantitative als auch qualitative Aspekte umfassen kann und daher nicht automatisch an die Häufigkeit von Anträgen gebunden ist. Die Formulierung in Art. 12 Abs. 5, die ausdrücklich „insbesondere im Fall von häufiger Wiederholung“ auflistet, ist nach dem EuGH nur beispielhaft. Die Möglichkeit, auch einen ersten Antrag als exzessiv zu beurteilen, folgt aus dem Wortlaut und dem systematischen Kontext der DSGVO: Art. 12 ist eine Ausnahmevorschrift, die eng auszulegen ist, gibt dem Verantwortlichen jedoch ein Instrument, sich gegen missbräuchliche Inanspruchnahme zu wehren.

Wesentlich ist die vom EuGH herausgearbeitete zweistufige Prüfanforderung, die ein Verantwortlicher zu erfüllen hat, wenn er sich auf Art. 12 Abs. 5 beruft. Zum einen ist ein objektives Element nachzuweisen: Eine Gesamtheit objektiver Umstände muss zeigen, dass der Antrag zwar formal die Voraussetzungen des Art. 15 erfüllt, aber das gesetzliche Regelungsziel – Transparenz und Kontrolle der Datenverarbeitung – nicht erreicht wird. Solche objektiven Umstände können sein, dass die Daten freiwillig bereitgestellt wurden, der Zweck der Datenübermittlung (etwa Newsletterversand), der sehr kurze Zeitablauf zwischen Datenbereitstellung und Auskunftsanfrage sowie konkrete Verhaltensweisen der betroffenen Person.

Zum anderen verlangt der EuGH ein subjektives Element: Der Verantwortliche muss nachweisen, dass die betroffene Person die Voraussetzungen für die Erwirkung eines Rechtsvorteils künstlich geschaffen hat, also mit der Absicht handelte, nur einen Auskunftsanspruch zu simulieren, um anschließend einen Schadensersatzanspruch durchzusetzen. Beide Elemente sind kumulativ und unter Berücksichtigung aller Umstände des Einzelfalls zu prüfen.

Der EuGH betont ausdrücklich, dass öffentlich zugängliche Informationen – etwa Presseberichte, Blogeinträge oder Erfahrungsberichte, die ein systematisches Vorgehen der betreffenden Person dokumentieren – in die Gesamtwürdigung einbezogen werden können. Diese Hinweise dürfen jedoch nicht allein ausschlaggebend sein; sie müssen im Kontext der individuellen Tatsachenlage eine Bestätigung für die Missbrauchsabsicht liefern.

In Bezug auf Schadensersatz nach Art. 82 DSGVO stellte der EuGH klar, dass ein Anspruch auf Ersatz materieller oder immaterieller Schäden auch dann bestehen kann, wenn der Schaden allein aus der Verletzung des Auskunftsrechts resultiert. Art. 82 Abs. 1 ist nicht auf Schäden beschränkt, die aus einer Verarbeitung resultieren; vielmehr sind Schäden aufgrund jeder Verletzung der DSGVO möglich. Als immaterielle Schäden nennt der EuGH ausdrücklich den Verlust der Kontrolle über personenbezogene Daten und die Ungewissheit darüber, ob und wie Daten verarbeitet wurden.

Gleichzeitig hält der EuGH jedoch an wichtigen Voraussetzungen für die Anspruchsbegründung fest: Die anspruchsstellende Person muss den eingetretenen Schaden nachweisen; ein bloßes Behaupten genügt nicht. Ferner ist ein Schadensersatzanspruch ausgeschlossen, wenn das Verhalten der betroffenen Person selbst die entscheidende Ursache für den Schaden war, also etwa wenn diese die Situation gezielt herbeigeführt hat, um später Schadensersatz zu beanspruchen. Damit wird ein Gleichgewicht zwischen dem Schutz der Betroffenenrechte und dem Schutz der Verantwortlichen vor Instrumentalisierung hergestellt.

Konsequenzen für Unternehmen

Die EuGH‑Entscheidung bietet Unternehmen in mehrfacher Hinsicht Orientierung, verlangt aber zugleich eine sorgfältige rechtliche und dokumentarische Umsetzung. Unternehmen können nun in bestimmten, klar nachgewiesenen Fällen den Auskunftsanspruch nach Art. 15 DSGVO aufgrund von Art. 12 Abs. 5 ablehnen oder ein Entgelt verlangen. Allerdings bleibt die Beweislast beim Verantwortlichen: Er muss die objektiven und subjektiven Elemente des Missbrauchs darlegen und dokumentieren. Öffentlich zugängliche Hinweise auf ein systematisches Vorgehen der betroffenen Person können berücksichtigt werden, genügen aber nicht ohne Weiteres als alleiniger Nachweis.

In der täglichen Praxis bedeutet dies, dass Unternehmen nicht leichtfertig Anfragen ablehnen dürfen. Die Hürden sind hoch, die Ausnahme eng auszulegen. Eine pauschale oder standardisierte Abweisung aller kurz nach Kontaktaufnahme eingereichten Auskunftsersuchen wäre rechtsfehlerhaft und kann wiederum Schadenersatzansprüche nach sich ziehen. Umgekehrt kann eine fehlende Reaktion auf ein tatsächlich exzessives Auskunftsersuchen erhebliche organisatorische und finanzielle Folgen haben.

Wesentlich ist daher eine strukturierte Einzelfallprüfung: Zeitliche Abfolge von Anmeldung und Antrag, Freiwilligkeit und Zweck der Datenübermittlung, nachvollziehbare Hinweise auf ein wiederholtes Vorgehen des Betroffenen in öffentlichen Quellen sowie das Verhalten des Antragstellers im konkreten Vorgang. Unternehmen sollten diese Prüfung dokumentieren und die Entscheidung über eine mögliche Ablehnung auf eine rechtlich fundierte, nachvollziehbare Grundlage stellen. Ferner ist zu beachten, dass der Einwand des Rechtsmissbrauchs „fristgerecht“ zu erheben ist – ein Punkt, den der EuGH und der Generalanwalt hervorgehoben haben.

Konsequenzen für Verbraucher und Betroffene

Für Verbraucher und sonstige Betroffene ändert die Entscheidung nichts am grundsätzlich weitreichenden Recht auf Auskunft. Das Auskunftsrecht bleibt ein zentrales Instrument, um Transparenz über die Datenverarbeitung zu erlangen. Allerdings müssen Personen beachten, dass ein Auskunftsantrag, der nur zum Ziel hat, nachfolgend Schadensersatzansprüche zu provozieren, nicht von vornherein geschützt ist. Insbesondere dann, wenn objektive Indizien vorliegen, die ein systematisches Vorgehen nahelegen, und die Person ihr Verhalten so gestaltet hat, dass die Voraussetzungen eines Anspruchs künstlich erzeugt wurden, kann ein Anspruch scheitern.

Die Entscheidung stellt aber auch klar, dass Berechtigte bei tatsächlich entstandenen immateriellen Schäden Anspruch auf Ersatz haben. Der Nachweis eines Schadens bleibt hierfür zentral: Betroffene müssen darlegen, dass ihnen ein konkreter immaterieller oder materieller Nachteil entstanden ist und dieser kausal auf die DSGVO‑Verletzung zurückzuführen ist. Die Bloßbehauptung einer Befürchtung oder Unsicherheit reicht nicht aus; die Umstände sind in der gerichtlichen Geltendmachung konkret darzulegen.

Praktische Handlungsempfehlungen und Compliance‑Hinweise

Aus der EuGH‑Entscheidung lassen sich konkrete Empfehlungen ableiten, die Unternehmen helfen, das Auskunftsrecht rechtskonform zu bearbeiten und zugleich Schutzmechanismen gegen missbräuchliche Vorgänge zu etablieren. Zunächst ist ein sauberer, nachvollziehbarer Prozess für Eingangs‑, Prüf‑ und Dokumentationsschritte bei Auskunftsanfragen zu implementieren. Dies umfasst die sichere Erfassung des Zeitpunkts der Datenübermittlung, die Zwecke der Datenverarbeitung, sowie alle Umstände des Zugangs und der Bearbeitung der Anfrage. Jede Entscheidung über die Verweigerung oder die Erhebung eines Entgelts sollte schriftlich begründet und mit den relevanten Indizien untermauert werden.

Zweitens sollten Unternehmen öffentliche Informationen, die Hinweise auf wiederholtes missbräuchliches Verhalten enthalten, in ihre Prüfung einbeziehen. Solche Informationen sind zwar nicht allein entscheidend, können aber im Rahmen der Gesamtwürdigung ein wichtiges Indiz bilden. Es ist ratsam, Screenshots, Links und Datumsangaben zu dokumentieren, um die Relevanz dieser Hinweise zu belegen.

Drittens empfiehlt sich ein abgestufter Kommunikationsansatz: Bevor eine Auskunft verweigert wird, kann eine sorgfältig formulierte Nachfrage an die anfragende Person angezeigt sein, um den Zweck der Anfrage zu klären und Gelegenheit zur Präzisierung zu geben. Diese Vorgehensweise reduziert das Risiko einer unbegründeten Verweigerung und dokumentiert, dass der Verantwortliche die Mitwirkungspflichten ernst genommen hat.

Viertens sollte die Rechtsabteilung oder externe Datenschutzberatung in komplexen Fällen frühzeitig einbezogen werden. Bei Zweifelsfällen ist die Erstellung einer juristischen Fallakte sinnvoll, die alle relevanten Dokumente, öffentlichen Hinweise und die rechtliche Würdigung enthält. Das reduziert Haftungsrisiken und schafft eine belastbare Grundlage für gerichtliche Auseinandersetzungen.

Schließlich sollten Unternehmen ihre Mitarbeitenden schulen und verbindliche interne Regeln für die Behandlung von Auskunftsanfragen etablieren. Die EuGH‑Entscheidung verpflichtet Verantwortliche nicht zu automatischen Ablehnungen, gibt ihnen aber Handlungsoptionen. Wer diese Instrumente nutzen will, muss die Voraussetzungen sorgfältig prüfen und dokumentieren.

Schlussfolgerung

Mit Urteil C‑526/24 hat der EuGH die Rechtslage beim sogenannten DSGVO‑Hopping präzisiert und einen praktikablen Ausgleich zwischen dem Schutz individueller Betroffenenrechte und dem Schutz der Verantwortlichen vor missbräuchlicher Instrumentalisierung der DSGVO geschaffen. Kernbotschaft ist: Ein erster Auskunftsantrag kann unter engen und streng zu belegenden Voraussetzungen als exzessiv und rechtsmissbräuchlich eingestuft werden. Zugleich bekräftigt der Gerichtshof, dass Schadensersatzansprüche nach Art. 82 DSGVO auch dann möglich sind, wenn der Schaden aus einer Verletzung des Auskunftsrechts resultiert – allerdings nur, wenn der Schaden tatsächlich nachgewiesen werden kann und das Verhalten der betroffenen Person nicht die entscheidende Ursache für diesen Schaden war.

Für die Praxis bedeutet dies: Unternehmen gewinnen ein Verteidigungsinstrument gegen systematische Hopping‑Strategien, müssen dieses Instrument aber mit hoher Sorgfalt und sauberer Dokumentation einsetzen. Betroffene behalten ihr Auskunftsrecht, müssen aber beachten, dass ein instrumentalisiertes Vorgehen rechtlich angreifbar ist und zu einer Zurückweisung führen kann.

Was LEGAL SMART für Sie tun kann

LEGAL SMART unterstützt kleine und mittelständische Unternehmen sowie Selbstständige dabei, DSGVO‑Anfragen rechtssicher zu bearbeiten und interne Prozesse so zu gestalten, dass berechtigte Betroffenenrechte respektiert werden, missbräuchliche Anfragen aber wirksam abgewehrt werden können. Wir helfen Ihnen bei der Umsetzung strukturierter Prüfprozesse, bei der Dokumentation öffentlicher Hinweise, bei der Erstellung belastbarer Rechtsakten und beraten Sie zur Vermeidung von Haftungsrisiken. Wenn Sie Unterstützung bei der Überprüfung einzelner Anfragen oder bei der Anpassung Ihrer Datenschutzprozesse wünschen, sprechen Sie uns an. Wir analysieren Ihre Situation und erarbeiten praktikable, rechtssichere Lösungen, die zum Schutz Ihres Unternehmens beitragen.