Erst Newsletter abonnieren, dann Schadensersatz?

Ein Österreicher abonniert Newsletter, verlangt kurz darauf Auskunft nach Art. 15 DSGVO – und fordert anschließend 1.000 Euro Schadensersatz. Die Konstellation sorgt europaweit für Diskussionen: Wann kippt die rechtmäßige Geltendmachung von Betroffenenrechten in rechtsmissbräuchliches Verhalten? In der Rechtssache C-526/24 „Brillen Rottler“ hat der Generalanwalt beim EuGH am 18.09.2025 Schlussanträge vorgelegt. Kernaussage: Auch ein erstmaliges Auskunftsersuchen kann „exzessiv“ sein – aber nur ausnahmsweise, bei nachweisbarer Missbrauchsabsicht. Unternehmen dürfen sich nicht auf Bauchgefühle oder bloße Internetfunde stützen, sondern müssen konkrete Anhaltspunkte beibringen.

Wichtig: Am 18.09.2025 wurden Schlussanträge vorgelegt; eine endgültige EuGH-Entscheidung steht noch aus. Gleichwohl folgen die Richter dem Generalanwalt häufig – sicher ist das jedoch nie.

Was war passiert? Der Sachverhalt anschaulich

Ein Verbraucher meldete sich online für den Newsletter eines deutschen Optikerunternehmens an und bestätigte dabei die Einwilligung. Zwei Wochen später verlangte er Auskunft darüber, welche personenbezogenen Daten verarbeitet werden (Art. 15 DSGVO). Das Unternehmen verweigerte die Auskunft mit dem Hinweis, das Begehren sei rechtsmissbräuchlich: Der Mann stelle in großer Zahl gleichgelagerte Anfragen allein mit dem Ziel, im Anschluss Schadensersatz nach Art. 82 DSGVO zu fordern.

Der Betroffene forderte 1.000 Euro, weil seine Rechte verletzt worden seien. Das Unternehmen ließ es darauf ankommen und erhob vor dem AG Arnsberg Klage auf Feststellung, dass keine Ansprüche bestehen. Das Amtsgericht legte dem EuGH im Wege des Vorabentscheidungsverfahrens mehrere Fragen zur Auslegung der DSGVO vor, insbesondere dazu,

• ob bereits ein erstes Auskunftsersuchen „offenkundig unbegründet oder exzessiv“ sein kann (Art. 12 Abs. 5 DSGVO),
• welche Maßstäbe an einen Rechtsmissbrauch anzulegen sind und
• welche Darlegungs- und Beweislast den Verantwortlichen trifft, wenn er sich auf Missbrauch beruft.

Kontext: In einem ähnlich gelagerten, bereits entschiedenen Ausgangsverfahren vor einem anderen Gericht wurde dem Betroffenen serienmäßiges Vorgehen attestiert (Dutzende Fälle in kurzem Zeitraum mit hohen Gesamtsummen). Das verdeutlicht die praktische Brisanz – gerade für Unternehmen, die massenhaft Einzelforderungen sehen.

Die rechtlichen Leitplanken der DSGVO

Die DSGVO garantiert weite Betroffenenrechte, insbesondere Auskunft (Art. 15 DSGVO). Zugleich schützt Art. 12 Abs. 5 DSGVO Unternehmen vor offenkundig unbegründeten oder exzessiven Anträgen – dann darf die Auskunft verweigert oder ein angemessenes Entgelt verlangt werden. Die Norm nennt als Beispiel die häufige Wiederholung. Sie ist aber nicht abschließend – die Exzessivität kann auch anders begründet sein.

Art. 82 DSGVO gewährt Schadensersatz bei Verstößen – materiell wie immateriell. Der EuGH hat bereits klargestellt, dass es keine Bagatellgrenze gibt; dennoch müssen Pflichtverstoß, Schaden und Kausalität dargelegt und bewiesen werden. Bloßer Ärger genügt nicht automatisch.

Die Schlussanträge: So argumentiert der Generalanwalt

1) Missbrauchsschranke gilt auch bei der ersten Anfrage

Der Generalanwalt macht deutlich: Ja, auch ein erstes Auskunftsersuchen kann „exzessiv“ im Sinne von Art. 12 Abs. 5 DSGVO sein. Die „häufige Wiederholung“ ist nur ein Beispiel, nicht die Voraussetzung. Aber: Das ist die Ausnahme. Grundsätzlich sollen Betroffenenrechte niedrigschwellig sein.

2) Doppelter Prüfungsmaßstab: objektiv + subjektiv

Ob Rechtsmissbrauch vorliegt, verlangt eine zweistufige Betrachtung:

• Objektiv: Wird das Recht zweckwidrig instrumentalisiert – also nicht zur Wahrnehmung datenschutzrechtlicher Interessen, sondern als Hebel, um Ansprüche zu provozieren? Indizien können der künstlich herbeigeführte Anlass (gezieltes Newsletter-Abo ohne echtes Interesse), die zeitliche Choreografie (schnelles Nachschieben von Auskunft und Forderung) und das Fehlen eines sachlichen Bezugs sein.
• Subjektiv: Spricht Überzeugendes dafür, dass der Betroffene gerade mit dem Ziel gehandelt hat, Entschädigungen zu generieren – und nicht, um seine Datenlage zu klären?

Beides muss zusammenkommen; reine Mutmaßungen reichen nicht.

3) Enges Tor für den Einwand des Verantwortlichen

Der Generalanwalt warnt vor Vorschnelligkeit auf Unternehmensseite: Öffentlich zugängliche Informationen darüber, dass jemand häufig klagt, reichen allein nicht. Der Verantwortliche muss konkret darlegen, was im Verhältnis zum Betroffenen auf Missbrauch hindeutet. Die Beweislast für den Missbrauch trägt grundsätzlich der Verantwortliche.

4) Konsequenzen für Art. 82 DSGVO

Verweigert ein Verantwortlicher zu Recht die Auskunft wegen Exzessivität, fehlt es am Pflichtverstoß – ein Schadensersatzanspruch scheidet dann aus. Umgekehrt: Wird zu Unrecht verweigert, kann ein Anspruch nach Art. 82 DSGVO im Raum stehen – die Betroffenen müssen dann aber Schaden und Kausalität belegen. Das Modell „Newsletter klicken → Auskunft blockieren → 1.000 Euro kassieren“ wird dadurch deutlich ausgebremst.

Was bedeutet das für die Praxis?

Für Unternehmen

• Missbrauchs-Check etablieren: Entwickeln Sie einen standardisierten Prüfpfad für Auskunftsersuchen (Authentifizierung, Umfang, Zwecknähe, Verhaltensmuster im konkreten Verhältnis, Dokumentation).
• Beweise sammeln, aber sauber: Nicht auf bloße Blogeinträge oder Forenbeiträge vertrauen. Dokumentieren Sie den Ablauf (Newsletter-Anmeldung, Zeitabstände, Kommunikation) und sichern Sie sachliche Indizien.
• Schlanke Auskunftsprozesse: Wer fristgerecht, vollständig und transparent antwortet, reduziert Konfliktpotenzial. Nutzen Sie Vorlagen mit klaren Checklisten und Zuständigkeitsregeln.
• Rechtsabteilung früh einbinden: Der Einwand „exzessiv/offenkundig unbegründet“ ist eng. Holen Sie frühzeitig juristischen Rat, bevor Sie verweigern oder Entgelt verlangen.
• Kommunikation mit Augenmaß: Selbst bei Verdacht auf Missbrauch sachlich bleiben, Gründe verständlich darlegen, Alternativen (z. B. Eingrenzung des Umfangs) anbieten.

Für Betroffene

• Rechte nutzen – ohne Fallen: Sie dürfen Auskunft verlangen und bei echten Verstößen Schadensersatz geltend machen. Wer Betroffenenrechte jedoch planvoll als Einnahmequelle nutzt, riskiert, leer auszugehen – inklusive Kostenrisiko.
• Gute Begründung hilft: Erläutern Sie kurz, warum Sie Auskunft wünschen (z. B. konkrete Zweifel an Datenrichtigkeit). Das schärft die Zwecknähe und vermeidet Missverständnisse.

Typische Fallstricke und wie Sie sie vermeiden

• Voreilige Verweigerung: Der Missbrauchseinwand ist kein Freifahrtschein. Ohne harte Anhaltspunkte sollten Sie jedenfalls eine (eingeschränkte) Auskunft erteilen oder gezielt nachfragen.
• „Copy-Paste“-Standardtexte: Generische Ablehnungen wirken schwach. Passen Sie Begründungen am Einzelfall an.
• Fehlende Protokolle: Ohne Logdaten (Double-Opt-In, Zeitstempel, Versandhistorie) stehen Sie beweisrechtlich im Regen.
• Unklare Zuständigkeiten: Definieren Sie klare Rollen (Datenschutz, IT, Legal, Customer Care) und Eskalationsstufen.

Unser Fazit

Die Schlussanträge in C-526/24 ziehen eine klare Grenzlinie: Betroffenenrechte dürfen nicht missbraucht werden – auch das erste Auskunftsersuchen kann exzessiv sein. Gleichzeitig bleibt die Hürde für Unternehmen hoch: Missbrauch muss konkret und sorgfältig begründet werden. Für beide Seiten gilt: Sorgfalt, Transparenz und gute Dokumentation entscheiden am Ende den Fall.

Was wir für Sie tun

Wir prüfen schnell und fundiert, ob ein Auskunftsersuchen berechtigt ist, ob der Missbrauchseinwand greift und wie Sie rechtssicher reagieren. Gerne übernehmen wir die Kommunikation mit der Gegenseite und entwickeln mit Ihnen skalierbare Prozesse für wiederkehrende Fälle.