EuGH: Schon das erste DSGVO-Auskunftsersuchen kann rechtsmissbräuchlich sein – Rs. C-526/24 (Brillen Rottler)

Stand: April 2026. Der EuGH stellt klar: Auch ein erstmaliger Antrag nach Art. 15 DSGVO kann unter Umständen als exzessiv gelten. Für Unternehmen, die mit taktisch motivierten Auskunftsersuchen in Konfliktfällen konfrontiert sind, ist das eine wichtige Weichenstellung. Das Thema DSGVO Auskunftsersuchen EuGH ist dabei von zentraler Bedeutung.

Die Entscheidung im Überblick: DSGVO Auskunftsersuchen EuGH

Mit Urteil vom 19. März 2026 hat der EuGH in der Rechtssache C-526/24 – Brillen Rottler entschieden, dass ein erstes Auskunftsersuchen nach Art. 15 DSGVO bereits als „exzessiv“ im Sinne der Verordnung eingestuft werden kann. Voraussetzung ist, dass der Antrag erkennbar nicht dem Zweck dient, über die Datenverarbeitung informiert zu werden und deren Rechtmäßigkeit zu überprüfen, sondern allein darauf abzielt, die Grundlage für einen späteren Schadensersatzanspruch künstlich zu schaffen.

Zugleich betont der Gerichtshof: Ein Schadensersatzanspruch nach der DSGVO setzt tatsächlich eingetretenen Schaden voraus. Und er kann ausgeschlossen sein, wenn das eigene Verhalten der betroffenen Person die maßgebliche Ursache des Schadens bildet.

Warum werden DSGVO-Auskunftsersuchen taktisch eingesetzt? und DSGVO Auskunftsersuchen EuGH

In der Praxis werden Auskunftsersuchen nach Art. 15 DSGVO zunehmend taktisch eingesetzt – insbesondere in drei Konstellationen:

Arbeitsrechtliche Konflikte: Gekündigte oder abgemahnte Arbeitnehmer nutzen DSARs, um Druck aufzubauen oder interne Dokumente zu erhalten, die sie auf dem regulären Weg nicht bekommen würden. Relevant ist dabei auch die Entscheidung des LAG München vom 12.6.2025 – 2 SLa 70/25, wonach kein Anspruch auf vollständige Kopie eines Compliance-Abschlussberichts besteht.

Whistleblowing und Fraud-Sachverhalte: Personen, die Gegenstand interner Untersuchungen sind, setzen Auskunftsersuchen ein, um den Umfang der Ermittlung auszuforschen oder Verfahrensfehler zu provozieren.

Prozesstaktik: DSARs werden als Vorstufe zu Schadensersatzklagen positioniert – nicht um tatsächlich Auskunft zu erhalten, sondern um eine Verletzung der Antwortfrist zu erzwingen und daraus einen eigenständigen Anspruch abzuleiten.

Die Brillen-Rottler-Entscheidung gibt Unternehmen erstmals eine belastbare europarechtliche Grundlage, solche Konstellationen als Missbrauch zu qualifizieren – auch wenn es sich um den ersten Antrag handelt.

Was folgt für die Praxis?

Die Entscheidung rechtfertigt keine pauschale Zurückweisung von Auskunftsersuchen. Sie stärkt aber die Verteidigungsfähigkeit gegenüber ersichtlich instrumentellen Anträgen erheblich. Konkret sollten Unternehmen:

• DSAR-Playbooks für Konfliktfälle überarbeiten: Die interne Prüfung, ob ein Antrag möglicherweise missbräuchlich ist, sollte dokumentiert und strukturiert ablaufen.
• Zweckanalyse dokumentieren: Hat der Antragsteller erkennbar kein Informationsinteresse, sondern verfolgt ausschließlich eine Anspruchsstrategie? Das muss im Einzelfall belegt werden können.
• Fristenkontrolle verschärfen: Gerade weil taktische DSARs auf Fristversäumnisse abzielen, muss die interne Fristüberwachung lückenlos sein.
• Abstimmung zwischen Datenschutz, HR, Investigations und Litigation sicherstellen: Die Missbrauchsprüfung erfordert Kontext aus dem jeweiligen Konfliktfall.

Fazit

EuGH, Urteil vom 19.03.2026 – Rs. C-526/24 (Brillen Rottler) schärft die Missbrauchsgrenze bei Betroffenenrechten. Für die Schnittstelle von Datenschutz und Internal Investigations ist die Entscheidung ein Meilenstein: Sie erkennt an, dass Betroffenenrechte instrumentalisiert werden können – und dass Verantwortliche dem etwas entgegensetzen dürfen. Entscheidend bleibt die saubere Dokumentation im Einzelfall.

Dieser Beitrag dient der allgemeinen Information und stellt keine Rechtsberatung dar. Stand: April 2026.