Datenschutzwoche

#222

EuGH: Schon erster Auskunftsantrag kann rechtsmissbräuchlich sein

Mit Urteil vom 19.03.2026 (Az. C-526/24) hat der EuGH in der Rechtssache „Brillen Rottler“ zu den Voraussetzungen für die Rechtsmissbräuchlichkeit von Auskunftsansprüchen nach Art. 15 DSGVO entschieden. In dem zugrundeliegenden Sachverhalt hatte sich eine Person für den Newsletter eines Optikerunternehmens angemeldet und 13 Tage später Auskunft verlangt. Nach Zurückweisung des Antrags durch das Optikerunternehmen „Brillen Rottler“ wegen Missbräuchlichkeit hat der Betroffene eine Entschädigung in Höhe von mindestens 1.000 EUR für den immateriellen Schaden, der ihm durch die Zurückweisung des Antrags entstanden sei, verlangt.

Das Amtsgericht Arnsberg, das mit dem Rechtsstreit zwischen Brillen Rottler und dem Betroffenen über die Berechtigung der Anträge befasst ist, hat den EuGH dazu befragt, ob ein erster Antrag eines Betroffenen auf Auskunft über personenbezogene Daten als „exzessiv“ angesehen werden kann und ob diese Person einen Anspruch auf Ersatz des aus einer Verletzung des Rechts auf Auskunft über diese Daten entstandenen Schadens hat.

Der EuGH urteilte, dass ein erster Auskunftsantrag unter bestimmten Umständen bereits als „exzessiv“ im Sinne der DSGVO angesehen werden und daher missbräuchlich sein kann. Dies ist der Fall, wenn der Verantwortliche nachweist, dass trotz formaler Einhaltung der in der DSGVO vorgesehenen Voraussetzungen für die Stellung eines Auskunftsantrags dieser Antrag nicht gestellt wurde, um sich der Datenverarbeitung bewusst zu werden und deren Rechtmäßigkeit zu überprüfen, sondern in der als „missbräuchlich“ einzustufenden Absicht, künstlich die Voraussetzungen für die Erlangung von Schadensersatz nach der DSGVO zu schaffen.

Zur Feststellung der Missbrauchsabsicht können öffentlich zugängliche Informationen darüber berücksichtigt werden, dass die betroffene Person bei verschiedenen Verantwortlichen zunächst Auskunftsanträge gestellt und nachfolgend Schadensersatzforderungen erhoben hatte. Im Übrigen kann eine betroffene Person keinen Schadensersatz nach der DSGVO erhalten, wenn das eigene Verhalten die entscheidende Ursache für den Schaden ist.

„Digital Fitness Check“: Datenschutzkonferenz schlägt Anpassungen der DSGVO vor

Die Konferenz der unabhängigen Aufsichtsbehörden des Bundes und der Länder (DSK) empfiehlt in ihrer Stellungnahme zum „Digital Fitness Check“ der EU-Kommission gezielte Anpassungen der Datenschutzgrundverordnung (DSGVO). Unter anderem soll für den Umgang mit besonders sensiblen Daten (Artikel 9 DSGVO) einen neuen Ausnahmetatbestand geschaffen werden, der sich an Art. 6 Abs. 1 UAbs. 1 lit. b DSGVO orientiert und diese „Vertragsdatenverarbeitung“ für bestimmte regelmäßige Vertragsszenarien mit enger Zweckbindung legitimiert. Als Beispiele nennt die DSK alltägliche Geschäfte zum Erwerb medizinischer Produkte oder Versicherungsverhältnisse, für deren Anbahnung und Durchführung Gesundheitsdaten verarbeitet werden.

Die DSK sieht auch mit Bezug zur Herstellerverantwortung weiteren Handlungsbedarf. Hersteller und Anbieter von Hard- und Software müssen nach Ansicht der DSK die Grundsätze Data Protection by Design and by Default (Art. 25 DSGVO) besser umsetzen. Diese gelten schon jetzt auch für Hersteller, Importeure und Anbieter, derzeit würden jedoch ausschließlich die Anwendenden datenschutzrechtlich in die Pflicht genommen.

Um kleinere und mittlere Unternehmen zu entlasten, schlägt die DSK vor, dass Konzept der datenschutzrechtlichen Verantwortlichkeit fortzuentwickeln und dabei auch an Digitalrechtsakte wie Cyber Resilience Act (CRA) oder KI-Verordnung anzugleichen.

Daneben enthält die Stellungnahme weitere Vorschläge:

Anpassung von Art. 37 Abs. 7 DSGVO, indem die Pflicht zur Mitteilung der Kontaktdaten von Datenschutzbeauftragten an die Aufsichtsbehörde gestrichen wird,
Konkretisierungen der Definition von „biometrischen Daten“ (Art. 4 Nr. 14 DSGVO),
Mehr Spielraum für Aufsichtsbehörden bei der Bearbeitung von Beschwerden, um begrenzte Ressourcen sach- und interessengerecht einsetzen zu können,
Gesetzliche Festlegung spezifischer Rechtsgrundlagen für Entwicklung, Training und Betrieb von KI-Modellen und KI-Systemen,
Stärkung der Rechte von Betroffenen beim KI-Einsatz (insbesondere der Informations- und Auskunftsrechte),
Modifikationen beim Auskunftsrecht, um Rechte und Freiheiten Dritter vor unverhältnismäßiger Beeinträchtigung in begründeten Einzelfällen auszugleichen.

Ein weiterer Bereich der in der Stellungnahme adressierten Reformvorschläge betrifft den Kinder- und Jugendschutz. Die DSK fordert, den Schutz der Daten von Kindern und Jugendlichen zu verbessern; hierzu hatte sie bereits zehn konkrete Vorschläge gemacht (siehe DatenschutzWoche #209 vom 24.11.2025).

Prof. Dr. Louisa Specht-Riemenschneider kündigt Rückzug als Bundesbeauftragte für den Datenschutz und die Informationsfreiheit an

Mit Pressemitteilung vom 17.03.2026 hat die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Dr. Louisa Specht-Riemenschneider, erklärt, dass sie sich aus gesundheitlichen Gründen von ihrem Amt zurückziehen wird. „Datenschutz ist ein zentraler Wert unserer Gesellschaft. Deshalb ist es wichtig, dass das Amt der Bundesbeauftragten von einer Person vertreten wird, die jederzeit und uneingeschränkt präsent ist. Ich brauche aber Zeit, um wieder vollständig zu genesen. Deshalb habe ich mich entschlossen, mich von meinem Amt zurückzuziehen.“

Um einen geordneten Übergang zu gewährleisten und die aktuellen Gesetzgebungsverfahren weiter zu begleiten, gibt Prof. Dr. Specht-Riemenschneider das Amt erst auf, wenn die Nachfolge geregelt ist.

Internationale Nachrichten

Europa: Gemeinsame Stellungnahme des Europäischen Datenschutzausschusses und des Europäischen Datenschutzbeauftragten zum Vorschlag für einen Europäischen Biotech Act (Joint Opinion 3/2026).

Europa: Gemeinsame Stellungnahme des Europäischen Datenschutzausschusses und des Europäischen Datenschutzbeauftragten zu dem Vorschlag für einen Cybersecurity Act 2 und zu dem Vorschlag für Änderungen an der NIS 2-Richtlinie (Joint Opinion 4/2026).

Europa: Im Zuge der laufenden Diskussion über eine neue EU-U.S.-Vereinbarung im Rahmen der sogenannten Enhanced Border Security Partnerships (EBSP) hat der Europäische Datenschutzbeauftragte (EDSB), Wojciech Wiewiórowski, die Notwenigkeit klarer Zweckbestimmungen und -begrenzungen sowie die Belastbarkeit von Beschränkungen in der Praxis betont. Eine solche Vereinbarung wird von den Vereinigten Staaten gefordert, um die Visumfreiheit für EU-Bürger beizubehalte. Sie sähe u.a. vor, nationale biometrische Datenbanken mit Fingerabdrücken und Gesichtsscans von Europäern abzufragen.

Aktuelle Gerichtsentscheidungen

EuGH, Urteil vom 19.03.2026, Az. C-526/24 (Volltext): Urteil im Vorabentscheidungsverfahren zu den Voraussetzungen der Rechtsmissbräuchlichkeit von Auskunftsansprüchen.

BGH, Beschluss vom 25.02.2026, Az. ZB 36/25 (Volltext): Art. 80 Abs. 1 DSGVO verleiht Einrichtungen, Organisationen und Vereinigungen keine eigene Postulationsfähigkeit im Anwaltsprozess vor Landgerichten. Das Erfordernis anwaltlicher Vertretung nach § 78 Abs. 1 S. 1 ZPO bleibt unberührt. Art. 80 Abs. 1 DSGVO sieht nicht vor, dass die dort genannten Organisationen Rechtsbehelfe selbst einlegen können, sondern nur, dass sie im Namen der betroffenen Person die in Art. 77, 78 und 79 DSGVO genannten Rechte wahrnehmen können.

OLG Koblenz, Urteil vom 12.02.2026, Az. 2 U 300/25: Bei Erkenntnissen über (erhebliche) Zahlungsstörungen einer Person oder bei einem Eintrag im Schuldnerverzeichnis, wonach Vermögensverhältnisse nicht offengelegt wurden, dürften diese Informationen ausreichen, um einen Kredit abzulehnen, ohne dass es auf den durch eine Wirtschaftsauskunftei erstellten Scorewert noch maßgeblich ankommt. Die abstrakte Gefahr, dass der von einer Wirtschaftsauskunftei ermittelte Score eine automatisierte Entscheidung herbeiführen könnte, reicht nicht aus, um einen Auskunftsanspruch nach Art. 15. Abs. 1 lit. h DSGVO zu begründen.

Neuigkeiten aus den Aufsichtsbehörden:

Die Bundesbeauftragte für den Datenschutz und die Informationssicherheit: Pressemitteilung vom 17.03.2026 zum angekündigten Rückzug von Prof. Dr. Louisa Specht-Riemenschneider.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder: Entschließung vom 10.03.2026 „Stellungnahme zum Digital Fitness Check Vorschläge zur Modifikation der DSGVO“.

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Bremen: Pressemitteilung zur Vorstellung des Jahresberichts 2025.

Die Landesbeauftragte für Datenschutz und Akteneinsicht Brandenburg: Pressemitteilung zur Beteiligung an der europaweiten Prüfaktion zur Umsetzung von Transparenzpflichten. Die Brandenburgische Datenschutzaufsicht legt dabei ihren Schwerpunkt auf Personalvermittlungen.

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg: Anmeldung zum Vortrag und der Diskussion „Cyberangriff auf das Rathaus!“

Der Bayerische Landesbeauftragte für den Datenschutz: Aktuelle Kurz-Information Nr. 66 zum Thema „Dokumente erfolgreich schwärzen“.

Weitere Ausgaben