Rechtssache C‑526/24

Brillen Rottler GmbH & Co. KG

gegen

TC

(Vorabentscheidungsersuchen des Amtsgerichts Arnsberg)

 Urteil des Gerichtshofs (Vierte Kammer) vom 19. März 2026

„ Vorlage zur Vorabentscheidung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung (EU) 2016/679 – Art. 12 Abs. 5 – Art. 15 Abs. 1 – Recht der betroffenen Person auf Auskunft über die sie betreffenden personenbezogenen Daten – Recht des Verantwortlichen, sich zu weigern, aufgrund des Antrags auf Auskunft tätig zu werden – Exzessiver Charakter des Antrags – Rechtsmissbrauch – Erster Antrag auf Auskunft – Haftung und Recht auf Schadensersatz – Art. 82 Abs. 1 – Klage wegen Verletzung des Auskunftsrechts – Immaterieller Schaden – Verlust der Kontrolle über die personenbezogenen Daten “

1.        Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung 2016/679 – Recht der betroffenen Person auf Auskunft über ihre Daten, die Gegenstand der Verarbeitung sind – Recht des Verantwortlichen, sich zu weigern, aufgrund eines Antrags auf Auskunft tätig zu werden – Begriff „exzessive Anträge“ – Erster Antrag auf Auskunft – Kriterien – Beurteilung objektiver und subjektiver Aspekte einer missbräuchlichen Verhaltensweise – Vorliegen einer Missbrauchsabsicht der betroffenen Person – Relevante Gesichtspunkte

(Verordnung 2016/679 des Europäischen Parlaments und des Rates, Erwägungsgründe 4, 10 und 11, Art. 12 Abs. 5, Art. 15 Abs. 1 und Art. 57 Abs. 4)

(vgl. Rn. 24-37, 39, 40, 42, 45, Tenor 1)

2.        Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung 2016/679 – Haftung und Recht auf Schadensersatz – Recht auf Ersatz des Schadens, der sich aus einer Verletzung des Rechts auf Auskunft über personenbezogene Daten ergibt – Beschränkung auf Schäden, die sich aus einer Verarbeitung personenbezogener Daten ergeben – Fehlen

(Verordnung 2016/679 des Europäischen Parlaments und des Rates, Erwägungsgründe 11, 141 und 146, Art. 15 Abs. 1 und Art. 82 Abs. 1)

(vgl. Rn. 48-55, Tenor 2)

3.        Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung 2016/679 – Haftung und Recht auf Schadensersatz – Anspruch auf Ersatz des entstandenen Schadens – Immaterieller Schaden – Begriff – Verlust der Kontrolle über personenbezogene Daten oder Ungewissheit über deren Verarbeitung – Einbeziehung – Obliegenheit der betroffenen Person, den Schaden nachzuweisen – Durch das Verhalten der betroffenen Person bedingte Unterbrechung des Kausalzusammenhangs zwischen dem behaupteten Verstoß und dem geltend gemachten Schaden – Verhalten, das die entscheidende Ursache für den Schaden ist – Kein Anspruch auf Schadensersatz

(Verordnung 2016/679 des Europäischen Parlaments und des Rates, 85. Erwägungsgrund und Art. 82 Abs. 1)

(vgl. Rn. 58-67, Tenor 3)

Zusammenfassung

Der vom Amtsgericht Arnsberg (Deutschland) um Vorabentscheidung ersuchte Gerichtshof präzisiert die Grenzen der Ausübung des Rechts auf Auskunft über personenbezogene Daten nach Art. 15 der Datenschutz-Grundverordnung(1) im Fall eines „Rechtsmissbrauchs“ sowie die Voraussetzungen des Schadensersatzanspruchs nach Art. 82 dieser Verordnung.

Im Jahr 2023 abonnierte TC, eine in Österreich wohnhafte Privatperson, den Newsletter von Brillen Rottler, einem deutschen Optikerunternehmen. Im Zuge dessen gab er seine personenbezogenen Daten an und willigte in deren Verarbeitung ein. Kurz darauf richtete er einen Antrag auf Auskunft über diese Daten an das Unternehmen. Dieses hielt den Antrag für missbräuchlich und wies ihn zurück. Ungeachtet dessen wiederholte TC seinen Antrag und forderte darüber hinaus Ersatz des immateriellen Schadens, der ihm durch die Weigerung des Unternehmens, ihm Auskunft über seine personenbezogenen Daten zu erteilen, entstanden sei. Brillen Rottler erhob daraufhin beim vorlegenden Gericht Klage auf Feststellung, dass TC kein Anspruch auf Schadensersatz zustehe, und machte geltend, dass TC nach öffentlich zugänglichen Informationen systematisch und missbräuchlich Auskunftsanträge an verschiedene Verantwortliche allein zu dem Zweck richte, eine Entschädigung zu erzwingen.

Das vorlegende Gericht hat den Gerichtshof befasst, da es zweierlei Zweifel hegt, nämlich zum einen hinsichtlich der Umstände, die relevant sind, um einen Auskunftsantrag als „exzessiv“ im Sinne von Art. 12 Abs. 5 DSGVO einzustufen, nach dem sich der Verantwortliche u. a. weigern kann, aufgrund eines solchen Antrags tätig zu werden, und zum anderen hinsichtlich des Rechts, wegen einer Verletzung des Auskunftsrechts Schadensersatz auf der Grundlage von Art. 82 Abs. 1 DSGVO zu verlangen.

Würdigung durch den Gerichtshof

Zur Möglichkeit, einen ersten von der betroffenen Person an den Verantwortlichen gerichteten Antrag auf Auskunft über personenbezogene Daten als „exzessiv“ im Sinne von Art. 12 Abs. 5 DSGVO einzustufen, weist der Gerichtshof darauf hin, dass diese Bestimmung die häufige Wiederholung von Auskunftsanträgen nur beispielhaft anführt, so dass die Zahl der von derselben betroffenen Person gestellten Anträge allein nicht entscheidend für diese Einstufung ist. Der exzessive Charakter eines Auskunftsantrags ist daher aus qualitativer Sicht zu beurteilen, um festzustellen, ob es sich um einen Rechtsmissbrauch handelt.

Der Gerichtshof stellt klar, dass ein solcher Missbrauch vorliegt, wenn trotz formaler Einhaltung der Voraussetzungen für die Ausübung des Rechts auf Auskunft über personenbezogene Daten gemäß Art. 15 DSGVO eine missbräuchliche Absicht der betroffenen Person nachgewiesen wird, insbesondere, wenn diese einen Auskunftsantrag nicht zur Geltendmachung ihrer Rechte aus der DSGVO stellt, sondern zu einem anderen Zweck wie der künstlichen Schaffung der Voraussetzungen für die Erlangung eines sich aus der DSGVO ergebenden Vorteils.

Art. 12 Abs. 5 DSGVO begründet jedoch eine Ausnahme von der Verpflichtung der Verantwortlichen, das Recht der betroffenen Personen auf Auskunft über ihre personenbezogenen Daten zu erleichtern, und ist daher eng auszulegen. Somit kann sich ein Verantwortlicher nur ausnahmsweise auf den exzessiven Charakter eines Auskunftsantrags berufen, wenn er in Ansehung aller relevanten Fallumstände nachweist, dass der Antrag in missbräuchlicher Absicht gestellt wurde. In diesem Zusammenhang kann auch berücksichtigt werden, dass die betroffene Person etwa mehrere Auskunftsanträge, gefolgt von Schadensersatzforderungen gegenüber verschiedenen Verantwortlichen, gestellt hat.

Zur Auslegung von Art. 82 Abs. 1 DSGVO stellt der Gerichtshof zum einen fest, dass diese Bestimmung der betroffenen Person auch einen Anspruch auf Ersatz des allein aus einer Verletzung des Auskunftsrechts nach Art. 15 Abs. 1 DSGVO entstandenen Schadens verleiht. Er weist darauf hin, dass Art. 82 Abs. 1 DSGVO keine Bezugnahme auf die „Verarbeitung“ enthält, so dass der Ersatzanspruch, damit seine praktische Wirksamkeit nicht beeinträchtigt wird, nicht auf Schäden beschränkt sein kann, die sich aus einer Verarbeitung personenbezogener Daten als solcher ergeben. Eine solche Beschränkung würde nämlich Schäden vom Anwendungsbereich dieser Bestimmung ausschließen, die durch die Missachtung bestimmter in der DSGVO vorgesehener Rechte wie des Auskunftsrechts verursacht werden, deren Verletzung grundsätzlich nicht auf eine tatsächliche Datenverarbeitung, sondern vielmehr auf die Weigerung zurückginge, aufgrund eines auf die Ausübung dieser Rechte bezogenen Antrags tätig zu werden.

Zum anderen präzisiert der Gerichtshof den Begriff des immateriellen Schadens der betroffenen Person im Sinne von Art. 82 Abs. 1 DSGVO. Er hält vor allem fest, dass dieser Begriff den Verlust der Kontrolle der betroffenen Person über ihre personenbezogenen Daten oder ihre Ungewissheit darüber umfasst, ob ihre Daten verarbeitet wurden, sofern insbesondere nachgewiesen wird, dass dieser Person tatsächlich ein solcher Schaden entstanden ist und dass ihr Verhalten nicht die entscheidende Ursache für diesen Schaden war.

In diesem Rahmen weist der Gerichtshof darauf hin, dass der Kausalzusammenhang zwischen dem behaupteten Verstoß gegen die DSGVO und dem Schaden, der der betroffenen Person entstanden sein soll, eine unabdingbare Voraussetzung für einen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO ist, und stellt fest, dass ein solcher Zusammenhang durch die Handlungsweise dieser Person unterbrochen wird, wenn der Verlust der Kontrolle über ihre personenbezogenen Daten oder die Ungewissheit über das Vorliegen einer Verarbeitung dieser Daten durch ihre Entscheidung herbeigeführt wurden, dem Verantwortlichen diese Daten in der Absicht zu übermitteln, künstlich die Voraussetzungen für die Anwendung dieser Bestimmung zu schaffen.

1      Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1, berichtigt in ABl. 2018, L 127, S. 2) (im Folgenden: DSGVO).