Einleitung

Das AG Arnsberg hat nach einer Vorabentscheidung des EuGH entschieden, dass ein Auskunftsersuchen nach Art. 15 DSGVO wegen Rechtsmissbrauchs abgelehnt werden durfte (Urt. v. 01.07.2026 – 42 C 434/23). Dabei lag die Besonderheit darin, dass bereits das erste Auskunftsersuchen als exzessiv eingestuft werden kann. Voraussetzung ist allerdings das Vorliegen besonderer Umstände.

Worum ging es in dem Verfahren?

Ein in Österreich wohnhafter Beklagter meldete sich zum Newsletter eines nordrhein-westfälischen Optikunternehmens an und stellte kurz darauf ein Auskunftsersuchen nach Art. 15 DSGVO. Die Klägerin verweigerte die Auskunft mit der Begründung, das Ersuchen sei rechtsmissbräuchlich, woraufhin der Beklagte im Wege der Widerklage Auskunft sowie Schadensersatz forderte.

Wie hat das Gericht entschieden?

Das AG Arnsberg wies die Widerklage vollständig ab. Es bewertete das Vorgehen des Beklagten als missbräuchlich und bestätigte damit das Recht der Klägerin, die Auskunft nach Art. 12 Abs. 5 lit. b) DSGVO als exzessiv abzulehnen. Auch ein Anspruch auf Geldentschädigung nach Art. 82 DSGVO bestand mangels DSGVO-Verstoßes nicht.

Welche Kriterien hat das Gericht für einen Rechtsmissbrauch aufgestellt?

Maßgeblich sind die Gesamtheit objektiver Umstände (formale Einhaltung der Voraussetzungen bei gleichzeitiger Zweckverfehlung) sowie die subjektive Absicht, sich künstlich einen unionsrechtlichen Vorteil zu verschaffen. Als Indizien wertete das Gericht u. a. die freiwillige Preisgabe überobligatorischer Daten, das Fehlen eines plausiblen Eigeninteresses am Newsletter, die sehr kurze Zeitspanne zwischen Anmeldung und Auskunftsersuchen sowie öffentlich zugängliche Informationen zu einem wiederholten, serienmäßigen Vorgehen.

Welche Bedeutung hat die EuGH-Entscheidung (C-526/24, Brillen Rottler)?

Der EuGH hat in seinem Urteil vom 19.03.2026 (C-526/24 – Brillen Rottler) klargestellt, dass auch ein erstmaliges Auskunftsersuchen exzessiv im Sinne von Art. 12 Abs. 5 DSGVO sein kann – es kommt also nicht zwingend auf eine Wiederholung von Anfragen an. Der Verantwortliche trägt aber die volle Beweislast und darf öffentlich zugängliche Informationen (z. B. Blogeinträge, Medienberichte) nur als Indiz heranziehen, das durch weitere Umstände des Einzelfalls bestätigt werden muss. Der EuGH betont zugleich den engen Ausnahmecharakter der Norm: Die Maßstäbe für die Annahme eines Missbrauchs bei einem Erstantrag müssen hoch sein.

Dabei knüpft der EuGH an sein früheres Urteil vom 09.01.2025 (C-416/23, Österreichische Datenschutzbehörde – „Exzessive Anfragen“) an. Dort hatte der Gerichtshof zum wortlautgleichen Begriff der „exzessiven Anfragen“ in Art. 57 Abs. 4 DSGVO bereits entschieden, dass die bloße Anzahl von Anfragen oder Beschwerden allein nicht ausreicht, um Exzessivität zu begründen, sondern stets eine nachgewiesene Missbrauchsabsicht der betroffenen Person hinzutreten muss. Diese Grundsätze hat der EuGH in der Sache Brillen Rottler ausdrücklich auf Art. 12 Abs. 5 DSGVO übertragen.

Ergänzend stellte der EuGH klar, dass auch die unzulässige Verweigerung eines Auskunftsersuchens selbst einen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO auslösen kann – ein Anspruch scheitert aber, wenn der Kausalzusammenhang durch das eigene missbräuchliche Verhalten der betroffenen Person unterbrochen wird.

Oftmals sind Entscheidungen von Amtsgerichten für die Rechtsfortbildung und für die finale Auslegung von Rechtsnormen nicht aussagekräftig (hierzu bieten Entscheidungen von Oberlandesgerichten und dem BGH eine höhere Verbindlichkeit). Vorliegend erging die Entscheidung jedoch nach einer Vorlagefrage an den EuGH. Dieser hat die hier relevante Rechtsfrage verbindlich beantwortet und das Amtsgericht hat für die Anwendung im Einzelfall passende Indizien aufgestellt, anhand derer ein Rechtsmissbrauch festgestellt werden konnte.

Weitere einschlägige Entscheidungen

Das Phänomen des sogenannten „DSGVO-Hoppings“ – Anmeldung zu Newslettern, anschließendes Auskunftsersuchen, danach Geltendmachung von Schadensersatz – war bereits Gegenstand paralleler Verfahren. So hatte das AG Augsburg (Urt. v. 24.06.2024, Az. 18 C 3234/23) einen praktisch identischen Sachverhalt zu beurteilen; dort wurden allein im Zeitraum Ende 2022 bis Oktober 2023 66 vergleichbare Verfahren jeweils desselben Beklagten dokumentiert, in denen insgesamt rund 160.000 Euro Schadensersatz gefordert wurden. Diese Häufung diente auch im Verfahren vor dem AG Arnsberg als unterstützendes Indiz für die Missbrauchsabsicht.

Was bedeutet das für die Praxis?

Die Entscheidung erleichtert Unternehmen zwar die Abwehr rechtsmissbräuchlicher Auskunftsersuchen, sie darf aber nicht dahingehend missverstanden werden, dass DSGVO-Auskunftsanfragen künftig pauschal als Missbrauch zurückgewiesen werden könnten. Sowohl das AG Arnsberg als auch der EuGH verlangen eine sorgfältige Einzelfallprüfung anhand konkreter, belastbarer Indizien (zeitlicher Ablauf, Verhalten der betroffenen Person, Umfang der freiwillig preisgegebenen Daten, öffentlich bekannte Verhaltensmuster). Eine bloße Vermutung oder ein „ungutes Gefühl“ genügt nicht.

Unternehmen sollten daher:

  • jedes Auskunftsersuchen individuell und sorgfältig dokumentiert prüfen,
  • sich nicht allein auf die Anzahl von Anfragen oder auf Internetrecherchen stützen, sondern zusätzliche Indizien im konkreten Fall sichern,
  • eine Ablehnung wegen Rechtsmissbrauchs nur in klar belegbaren Ausnahmefällen aussprechen,
  • die Ablehnung nachvollziehbar begründen, um im Streitfall bestehen zu können.

Wer vorschnell und ohne ausreichende Tatsachengrundlage ablehnt, riskiert selbst einen Schadensersatzanspruch nach Art. 82 DSGVO.

FAQ: Häufige Fragen zu exzessiven Auskunftsanträgen nach der DSGVO

Kann ein Unternehmen einen ersten Auskunftsantrag nach Art. 15 DSGVO ablehnen?

Ja, grundsätzlich kann auch ein erstmaliger Auskunftsantrag als „exzessiv“ im Sinne von Art. 12 Abs. 5 DSGVO abgelehnt werden. Voraussetzung ist, dass der Verantwortliche anhand konkreter Umstände des Einzelfalls nachweist, dass der Antrag nicht der Überprüfung der Datenverarbeitung dient, sondern in Missbrauchsabsicht gestellt wurde, etwa um künstlich einen Schadensersatzanspruch zu schaffen.

Reicht die Anzahl früherer Auskunftsanträge einer Person aus, um Rechtsmissbrauch zu begründen?

Nein. Nach der Rechtsprechung des EuGH (u. a. C-416/23) ist die bloße Häufigkeit von Anfragen allein kein ausreichendes Kriterium. Sie kann aber als ein Indiz unter mehreren berücksichtigt werden, wenn zusätzliche Umstände wie eine kurze Zeitspanne zwischen Datenpreisgabe und Auskunftsersuchen oder ein wiederkehrendes Verhaltensmuster hinzukommen.

Darf ein Unternehmen öffentlich zugängliche Informationen aus dem Internet zur Begründung eines Missbrauchsvorwurfs verwenden?

Ja, solche Informationen – etwa Blogbeiträge oder Medienberichte über ein systematisches Vorgehen – dürfen als Indiz herangezogen werden. Sie dürfen jedoch nicht die alleinige Grundlage der Ablehnung sein, sondern müssen durch weitere fallbezogene Umstände bestätigt werden.

Besteht ein Schadensersatzanspruch, wenn ein Auskunftsersuchen zu Unrecht abgelehnt wird?

Grundsätzlich ja: Auch die unberechtigte Verweigerung einer Auskunft kann einen Anspruch nach Art. 82 Abs. 1 DSGVO auslösen. Der Anspruch setzt aber einen tatsächlich entstandenen materiellen oder immateriellen Schaden sowie einen ununterbrochenen Kausalzusammenhang voraus; er entfällt insbesondere, wenn das eigene missbräuchliche Verhalten der betroffenen Person den Schaden erst herbeigeführt hat.

Mehr zu unseren Leistungen im IT- und Datenschutzrecht finden Sie hier:

Gerne bringen wir Ihnen im Rahmen eines unverbindlichen Erstgesprächs die Rechtslage näher und unterstützen Sie dabei, Rechtsklarheit zu gewinnen. Kontaktieren Sie uns jederzeit für ein Kennenlerngespräch. 

Einen Überblick Rund um das Thema KI und Recht im Unternehmen finden Sie in unserem gleichnamigen Fokusthema-Beitrag: KI und Recht im Unternehmen

Weitere Blogbeiträge