Zum Hintergrund des Vorfalls: Eine Privatperson und ein Unternehmen gerieten in einen Streit, da die Person wenige Tage nach Newsletter Anmeldung einen Auskunftsantrag stelle. Das Unternehmen lehnte diesen Antrag ab, worauf hin die Person Schadensersatz beanspruchte.
Das komplette Urteil von 19.März.2026 des EuGH hier zum Nachlesen Urteil des EuGH (C-526/24)
Unter welchen Bedingungen können Auskunftsantrag als „exzessiv“ abgelehnt werden (Art. 12 Abs. 5 DS-GVO):
Laut EuGH kann auch ein erstmaliger Antrag als exzessiv gelten, da der Betroffene dafür nicht zwingend mehrere Anträge stellen muss. Es reicht, wenn die betroffene Person durch die Antragsstellung künstlich einen Vorteil zu ihren Gunsten herstellen möchte (Missbrauchsabsicht).
Dennoch muss der Verantwortliche begründen, warum er den Antrag als exzessiv einstuft. Die Entscheidung des EuGH soll in keiner Weise die Recht der betroffenen Personen schwächen und gilt auch nicht als Freifahrtsschein für Unternehmen zukünftig Auskunftsanfragen abzulehnen. Vielmehr fordert der EuGH einen eindeutigen Nachweis, dass das Auskunftsrecht missbräuchlich eingesetzt wurde.
Folgendes Zitat des EuGHs kann dabei Hilfestellung leisten:
Das der Antrag „von der betroffenen Person nicht gestellt wurde, um sich der Verarbeitung dieser Daten bewusst zu werden und deren Rechtmäßigkeit zu überprüfen […], sondern in missbräuchlicher Absicht wie zur künstlichen Schaffung der Voraussetzungen für die Erlangung eines sich aus der DS-GVO ergebenden Vorteils“
Wie sind Schadensersatzansprüche bei Verletzung des Auskunftsrechts zu beurteilen (Art. 82 DS-GVO)
Eine bloße Verweigerung des Auskunftsrechts bzw. der Reine Verstoß gegen die DS-GVO ist noch nicht ausreichend für einen Schadensersatzanspruch. Es muss der entstandene Schaden der Person nachgewiesen werden. So kann der Kontrollverlust über personenbezogene Daten oder die Ungewissheit über die Verarbeitung einen immateriellen Schaden darstellen. Auch dieser muss konkret belegbar sein. Somit müssen betroffene Personen, den tatsächlich entstandenen Schaden nachweisen können. Darüber hinaus muss der Unterschied zwischen dem reinen Verstoß gegen die DS-GVO und den Schaden der durch einen Verstoßes entstanden ist, nachgewiesen werden können. Eine bloße Befürchtung oder ein theoretischer Kontrollverlust der Daten ist als Begründung nicht ausreichend.
Tipps für die Praxis
- Um Auskunftsanträge als exzessiv oder missbräuchlich einzustufen, müssen Verantwortliche die Anträge prüfen und dokumentieren
- Der Verantwortliche muss den Rechtsmissbrauch beweisen können
- Sorgfältige Prüfung des Kausalzusammenhangs und des tatsächlichen Schadens ist bei Schadensersatzforderungen um Missverständnisse und potenzielle Haftungsrisiken zu minimieren, sollte die Kommunikation mit dem Betroffenen transparent und nachvollziehbar sein
Quellen
https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:62024CJ0526
https://www.eh.at/auskunft-missbrauch-schadenersatz-eugh-zieht-die-linie/