Der Europäische Gerichtshof hat mit Urteil vom 19.03.2026 (Az. C‑526/24) wichtige Leitplanken für den Umgang mit missbräuchlichen Auskunftsanfragen nach Art. 15 DSGVO gesetzt.
Dem Verfahren lag ein scheinbar harmloser Sachverhalt zugrunde. Ein Verbraucher meldete sich über die Website einer Optikerkette für den Newsletter an und stellte nur 13 Tage später einen Auskunftsantrag nach Art. 15 DSGVO. Das Unternehmen lehnte die Auskunft ab, weil öffentlich dokumentiert war, dass der Betroffene in zahlreichen Fällen nach demselben Muster vorging Newsletter abonnieren, schnell Auskunft verlangen und anschließend Schadensersatz wegen angeblicher DSGVO Verstöße fordern. Man sah darin ein Geschäftsmodell des sogenannten DSGVO Hopping.
Der EuGH bestätigt nun, dass ein Auskunftsantrag als „offensichtlich unbegründet oder exzessiv“ im Sinne von Art. 12 Abs. 5 DSGVO eingestuft werden kann, wenn er im Kern nicht der Kontrolle der Datenverarbeitung dient, sondern primär darauf abzielt, einen Schadensersatzanspruch zu konstruieren. Dies kann sogar den ersten Auskunftsantrag betreffen, sofern ein erkennbares Missbrauchsmuster vorliegt. Die Beweislast für den Missbrauch trägt allerdings das Unternehmen.
Zugleich bekräftigt der EuGH, dass Schadensersatz nach Art. 82 DSGVO drei Voraussetzungen braucht: einen Verstoß gegen die DSGVO, einen konkreten materiellen oder immateriellen Schaden und einen Kausalzusammenhang. Ein Verstoß allein reicht nicht, um automatisch einen Anspruch zu begründen.
Für die Praxis bedeutet das Urteil: Betroffenenrechte bleiben stark, doch das gezielte „DSGVO‑Hopping“ mit rein taktischen Auskunftsanträgen stößt an klare Grenzen. Unternehmen gewinnen eine zusätzliche Verteidigungslinie gegen Missbrauch, müssen aber einen solchen Missbrauch sorgfältig dokumentieren und begründen.