Ein österreichischer Newsletter-Abonnent, ein Optiker aus Arnsberg und ein Grundsatzurteil aus Luxemburg: Mit seiner Entscheidung vom 19. März 2026 in der Rechtssache C-526/24 „Brillen Rottler“ hat der EuGH klargestellt, dass selbst ein erster Auskunftsantrag nach Art. 15 DSGVO missbräuchlich sein kann – dann nämlich, wenn er allein dazu dient, später Schadensersatz zu fordern. Für Betriebe, die regelmäßig personenbezogene Daten verarbeiten, ist das eine wichtige Weichenstellung.
Vom Newsletter zur Grundsatzfrage
Ausgangspunkt war ein vergleichsweise alltäglicher Vorgang: Eine in Österreich lebende Person meldete sich beim Newsletter des familiengeführten Optikerunternehmens Brillen Rottler aus Arnsberg an und gab dabei ihre Daten in die Anmeldemaske auf der Website ein. 13 Tage später verlangte sie Auskunft über die verarbeiteten Daten. Das Unternehmen wies den Antrag zurück, weil es von einem systematischen Vorgehen ausging. Der Betroffene hielt sein Begehren dagegen für legitim und verlangte mindestens 1.000 Euro Entschädigung wegen immateriellen Schadens. Das Amtsgericht Arnsberg legte die Sache dem EuGH zur Auslegung der DSGVO vor.
Der Fall steht exemplarisch für das, was in der Praxis als „DSGVO-Hopping“ bezeichnet wird. Gemeint ist das systematische Geltendmachen von Auskunfts- und anschließend Schadensersatzansprüchen, nicht aus echtem Interesse am Datenschutz, sondern mit dem Ziel, finanzielle Ansprüche zu generieren. Genau diese Definition greift inzwischen auch die IHK Koblenz auf und spricht von einem gezielten Ausnutzen datenschutzrechtlicher Instrumente zu Profitzwecken.
Dass es sich nicht nur um einen theoretischen Grenzfall handelt, zeigt ein Blick auf ähnliche Verfahren: Nach Darstellung von LTO wurden in einem vergleichbaren Verfahren vor dem AG Augsburg allein für den Zeitraum von Ende 2022 bis Oktober 2023 66 Fälle nachgewiesen; insgesamt soll der Betroffene rund 160.000 Euro Schadensersatz gefordert haben.
Was Luxemburg jetzt festlegt
Der EuGH zieht in seiner Entscheidung eine klare Linie: Ein erster Auskunftsantrag kann bereits dann als „exzessiv“ und damit missbräuchlich gelten, wenn der Verantwortliche nachweist, dass es der betroffenen Person nicht darum ging, sich der Datenverarbeitung bewusst zu werden oder deren Rechtmäßigkeit zu prüfen, sondern darum, „künstlich die Voraussetzungen für die Erlangung von Schadensersatz nach der DSGVO“ zu schaffen. Für diese Bewertung dürfen auch öffentlich zugängliche Informationen über ein entsprechendes Serienverhalten berücksichtigt werden.
Gleichzeitig macht der Gerichtshof deutlich, dass diese Ausnahme eng auszulegen ist. Unternehmen müssen sowohl objektive Umstände als auch ein subjektives Element der Missbrauchsabsicht darlegen. Eine Rolle spielen können etwa die freiwillige Datenbereitstellung, der Zweck der Angabe, der kurze Zeitraum zwischen Dateneingabe und Auskunftsverlangen sowie das Verhalten der Person insgesamt. Ist dieser Nachweis gelungen, kann der Verantwortliche nach Art. 12 Abs. 5 DSGVO entweder ein angemessenes Entgelt verlangen oder die Auskunft verweigern. Die Hürde bleibt jedoch hoch.
Ebenso wichtig ist der zweite Teil des Urteils: Schadensersatz nach Art. 82 DSGVO bleibt grundsätzlich auch dann möglich, wenn ein Unternehmen gegen das Auskunftsrecht verstößt. Der EuGH betont aber, dass die betroffene Person einen tatsächlichen materiellen oder immateriellen Schaden nachweisen muss. Kein Anspruch besteht, wenn das eigene Verhalten die entscheidende Ursache für den behaupteten Schaden ist.
Warum das Urteil für Hörakustiker relevant ist
Für Hörakustikbetriebe ist die Entscheidung vor allem deshalb relevant, weil sie das Auskunftsrecht nicht schwächt, zugleich aber die Abwehr nachweisbar missbräuchlicher Serienanfragen erleichtert. Gerade in Branchen, in denen Kundendaten über Websites, Newsletter, Kontaktformulare oder Servicekommunikation verarbeitet werden, schafft das Urteil mehr Rechtssicherheit im Umgang mit auffälligen Konstellationen. Die IHK Koblenz spricht deshalb von „entscheidenden Leitlinien“ für Unternehmen.
Der Ton der Entscheidung ist dabei keineswegs unternehmensfreundlich um jeden Preis. Vielmehr hält der EuGH die Balance zwischen Betroffenenrechten und Missbrauchsabwehr. Entsprechend klar fällt die Lesart von Brillen-Rottler-Anwalt Jörn Tröber aus: Gegenüber LTO bezeichnete er das Urteil als Erfolg für „ehrliche Unternehmen“ und fasste die Stoßrichtung so zusammen: „Datenschutz ja, exzessive Auskunftsbegehren nein.“ Für die betriebliche Praxis heißt das vor allem: dokumentieren, Fristen einhalten, Missbrauchseinwände begründen und interne Zuständigkeiten sauber organisieren. Genau diese Punkte nennt auch die IHK in ihren Handlungsempfehlungen.
Das letzte Wort hat noch nicht Luxemburg
Ob der konkrete Antrag im Fall Brillen Rottler tatsächlich missbräuchlich war, muss nun das Amtsgericht Arnsberg entscheiden. Die Leitplanken aus Luxemburg stehen aber bereits. Für Hörakustiker, Optiker und andere mittelständische Betriebe mit intensiver Kundendatenverarbeitung dürfte das Urteil deshalb schnell praktische Folgen haben: Das Auskunftsrecht bleibt ein scharfes Instrument – aber eben kein Freifahrtschein für taktisch aufgebaute Schadensersatzmodelle.
