EuGH schafft neue Maßstäbe für missbräuchliche DSGVO‑Auskunftsanfragen

Das Phänomen des sogenannten DSGVO‑Hoppings hat in den vergangenen Jahren ein strukturelles Problem im Datenschutz offengelegt. Einfache Vorgänge wie das Abonnieren eines Newsletters wurden gezielt genutzt, um kurz darauf einen Antrag nach Art. 15 DSGVO zu stellen und bei kleinsten Verzögerungen Schadensersatzforderungen zu erheben. Dieses wiederkehrende Muster führte zu einer Vielzahl gleichartiger Fälle in Unternehmen unterschiedlichster Branchen.

Strategische Auskunftsanträge als Geschäftsmodell

Der Ablauf folgt meist einer festen Abfolge: Dateneingabe, schneller Auskunftsantrag, anschließende Forderung. Die Höhe der verlangten Beträge liegt häufig bei rund 1.000 Euro. Die systematische Wiederholung dieses Vorgehens hat dem Modell den Namen DSGVO‑Hopping eingebracht.

Rechtssache C‑526/24: Der EuGH setzt Grenzen

Mit dem Urteil vom 19. März 2026 in der Sache Brillen Rottler hat der EuGH erstmals klargestellt, dass ein Auskunftsersuchen bereits beim ersten Antrag rechtsmissbräuchlich sein kann. Damit wird der Gedanke widerlegt, dass Missbrauch nur bei einer Vielzahl von Anträgen angenommen werden darf.

Voraussetzungen für den Missbrauchseinwand

Der Gerichtshof verlangt jedoch einen zweistufigen Nachweis. Unternehmen müssen sowohl objektive als auch subjektive Elemente belegen können. Erst wenn beide Komponenten vorliegen, kann ein Antrag zurückgewiesen werden.

• Objektive Komponente — Der Antrag verfolgt nicht den Zweck, Informationen zur Datenverarbeitung zu erhalten.
• Subjektive Komponente — Die Handlung dient dazu, die Grundlage für eine spätere Schadensersatzforderung zu schaffen.

Als mögliche Hinweise nennt der EuGH unter anderem sehr kurze Zeitabstände zwischen Dateneingabe und Antrag, die direkte Verbindung mit Schadensersatzandrohungen sowie dokumentierte Muster aus früheren Fällen derselben Person.

Risiko einer unberechtigten Ablehnung

Die Entscheidung des EuGH eröffnet zwar eine neue Verteidigungsmöglichkeit, verschiebt aber gleichzeitig die Verantwortung vollständig auf die Unternehmen. Eine Ablehnung ohne tragfähige Begründung kann selbst einen Schadensersatzanspruch nach Art. 82 DSGVO auslösen. Das Urteil wirkt damit in beide Richtungen: Es begrenzt missbräuchliche Anträge, erhöht aber zugleich die Anforderungen an die interne Prüfung.

Notwendige Anpassungen in der Praxis

Für eine rechtssichere Bewertung müssen eingehende Anträge künftig systematisch erfasst werden. Datum, Kontext und alle relevanten Begleitumstände bilden die Grundlage, um Missbrauch zu erkennen oder auszuschließen. Ohne diese Dokumentation lässt sich der vom EuGH geforderte Nachweis nicht führen.

Unternehmen sollten ihre Prozesse so gestalten, dass jeder Auskunftsantrag vollständig nachvollziehbar bleibt. Nur eine strukturierte Erfassung ermöglicht eine belastbare Entscheidung über die Zulässigkeit oder Ablehnung eines Antrags.