EuGH schiebt rechtsmissbräuchlichen DSGVO-Anfragen einen Riegel vor

Die DSGVO verleiht Einzelpersonen umfassende Rechte zum Schutz ihrer personenbezogenen Daten – von der Auskunft über die Berichtigung und Löschung bis hin zum Widerspruch (Art. 15 bis 22 DSGVO). In der Praxis ist jedoch ein unschöner Trend zu beobachten: Diese Betroffenenrechte werden zunehmend als Vehikel missbraucht, um gezielt Schadensersatzansprüche zu konstruieren. Diesem Vorgehen hat der Europäische Gerichtshof (EuGH) mit seinem Urteil vom 19. März 2026 nun klare Grenzen gesetzt.

Der rechtliche Hintergrund

Grundsätzlich müssen Verantwortliche Betroffenenanfragen nach Art. 12 Abs. 5 DSGVO unentgeltlich bearbeiten. Eine Ausnahme besteht nur dann, wenn Anträge „offensichtlich unbegründet oder exzessiv“ sind. In solchen Fällen darf das Unternehmen entweder ein angemessenes Entgelt verlangen oder die Bearbeitung gänzlich verweigern.

Im Mittelpunkt des aktuellen EuGH-Urteils stand ein Fall aus Deutschland, der genau hier ansetzte: Eine Person hatte sich für einen Newsletter angemeldet und fast unmittelbar danach ein Auskunftsersuchen gestellt. Das Unternehmen vermutete dahinter die reine Absicht, einen Schadensersatzanspruch zu provozieren. Die zentrale Frage für die Richter lautete folglich: Kann bereits ein erstmaliger Antrag als „exzessiv“ gelten?

Exzessivität auch bei einmaligem Antrag möglich

Der EuGH bejahte dies ausdrücklich und stellte klar, dass der Begriff „exzessiv“ nicht zwingend eine Häufung von Anträgen voraussetzt. Auch ein Einmalantrag kann dieses Kriterium erfüllen, wenn er betrügerisch oder missbräuchlich gestellt wird. Ausschlaggebend ist allein die Motivation: Wird ein Antrag nicht zur tatsächlichen Wahrnehmung der DSGVO-Rechte gestellt, sondern primär mit der Absicht, die Grundlage für eine Schadensersatzforderung zu schaffen, liegt ein Rechtsmissbrauch vor.

Strenge Voraussetzungen für eine Verweigerung

Ein Freifahrtschein zur pauschalen Verweigerung von Auskünften ist das Urteil für Unternehmen jedoch nicht. Der Verantwortliche muss die missbräuchliche Absicht im Rahmen einer Einzelfallprüfung konkret nachweisen. Relevante Indizien hierfür können sein:

• ein auffällig enger zeitlicher Zusammenhang zwischen Datenerhebung und Antrag sowie
• das „allgemeine“ Verhalten der betroffenen Person.

Im Ausgangsfall sprachen mehrere Umstände für einen Missbrauch, darunter öffentlich zugängliche Informationen, die auf ein systematisches Vorgehen des Betroffenen hindeuteten. Außerhalb solch eindeutiger Konstellationen dürfte der Nachweis für Unternehmen in der Praxis allerdings herausfordernd bleiben.

Fazit

Mit diesem Urteil stärkt der EuGH die Position der Verantwortlichen, da nun feststeht, dass auch ein Erst-Antrag rechtsmissbräuchlich und damit exzessiv sein kann. Gleichzeitig bleiben die Hürden für diesen Nachweis hoch. Im Regelfall gilt daher weiterhin die Pflicht zur unentgeltlichen Bearbeitung von Betroffenenanfragen; rein strategische und missbräuchliche Anfragen lassen sich jedoch bei klarer Beweislage nun rechtssicher abwehren.

Für Fragen sowie zur Unterstützung bei der Bearbeitung konkreter Betroffenenanfragen stehen wir Ihnen gerne zur Verfügung.