DSGVO-Auskunftsrecht: EuGH setzt dem „DSGVO-Hopping“ Grenzen | Recht

Dr. Felix Sühlmann-Faul
Experte für Digitalisierung und Nachhaltigkeit, Techniksoziologe, Berater, Autor

DSGVO-Auskunftsrecht: EuGH setzt dem „DSGVO-Hopping“ Grenzen — Bild: MStudioImages/GettyImages Newsletter abonnieren, wenige Tage später Auskunft nach Art. 15 DSGVO beantragen, Schadensersatz fordern – das versteht man unter DSGVO-Hopping

Ein aktuelles EuGH-Urteil gibt Unternehmen erstmals eine unionsrechtliche Grundlage, um strategisch missbrauchte Datenschutzanfragen abzuwehren. Doch der Schutz kommt mit hohen Anforderungen – und einem eigenen Haftungsrisiko.

„Wer einen Newsletter abonniert, stimmt zu, dass seine Daten verarbeitet werden.“
Was nach einem harmlosen Alltagsvorgang klingt, hat sich in den vergangenen Jahren zu einem Einfallstor für ein systematisches Geschäftsmodell entwickelt: Newsletter abonnieren, wenige Tage später Auskunft nach Art. 15 DSGVO beantragen, bei der kleinsten Verzögerung oder Unregelmäßigkeit Schadensersatz in Höhe von typischerweise 1.000 EUR fordern – und das in Serie, gegenüber dutzenden Unternehmen. Dies ist so weit verbreitet, dass es bereits einen eigenen Begriff dieses Vorgehens gibt: DSGVO-Hopping. Da dieses missbräuchliche Vorgehen auf einer schnellen Abfolge von Beantragung auf Auskunft und einer Schadenersatzforderung basiert, wird es bildlich als „hüpfen“ bezeichnet.

Genau dieses Muster lag dem EuGH in der Rechtssache C-526/24 – Brillen Rottler vor. Am 19. März 2026 fällte der Gerichtshof ein Grundsatzurteil, das die Grenzen des DSGVO-Auskunftsrechts neu justiert.

Kann ein erster Auskunftsantrag rechtsmissbräuchlich sein?

Das Urteil dreht sich um eine zentrale Frage: Kann ein Auskunftsantrag nach Art. 15 DSGVO überhaupt beim ersten Mal als missbräuchlich zurückgewiesen werden – oder setzt das zwingend eine Häufung von Anträgen voraus?

Der EuGH antwortet klar: Ja, auch ein erster Antrag kann zurückgewiesen werden – wenn er in missbräuchlicher Absicht gestellt wurde. Das bloße Stellen eines Auskunftsersuchens ist damit kein automatischer Schutzschild mehr.

Jedoch: Damit Unternehmen diesen Einwand aber erfolgreich erheben können, müssen sie zwei Voraussetzungen nachweisen:

Objektiv muss erkennbar sein, dass der Antragsteller gar nicht beabsichtigt, sich über die Datenverarbeitung zu informieren – also den eigentlichen Zweck von Art. 15 DSGVO gar nicht verfolgt.

Subjektiv muss er die Absicht haben, künstlich die Grundlage für einen späteren Schadensersatzanspruch zu schaffen.

Als mögliche Indizien nennt der EuGH unter anderem:

den sehr kurzen zeitlichen Abstand zwischen Dateneingabe und Auskunftsantrag,
die sofortige Kombination des Antrags mit Schadensersatzandrohungen sowie
öffentlich dokumentierte Muster aus früheren gleichgelagerten Fällen desselben Antragstellers.

Das Urteil ist kein Freifahrtschein

Und hier beginnt die Komplexität: Die Beweislast liegt vollständig beim Unternehmen. Wer einen Auskunftsantrag vorschnell als missbräuchlich ablehnt, ohne dies belastbar begründen zu können, riskiert seinerseits Schadensersatz – denn der EuGH bestätigt gleichzeitig, dass auch die unberechtigte Verweigerung einer legitimen Auskunft einen Schadensersatzanspruch nach Art. 82 DSGVO auslösen kann.

Das Urteil ist damit ein zweischneidiges Schwert: Es gibt Unternehmen eine neue Verteidigungsmöglichkeit – fordert dafür aber sorgfältige Prozesse, lückenlose Dokumentation und eine juristisch abgestimmte Einzelfallentscheidung.

Was Unternehmen jetzt tun sollten

Eingehende Auskunftsanträge sollten ab sofort systematisch mit Datum, Kontext und allen relevanten Begleitumständen dokumentiert werden. Wer auf den Missbrauchseinwand setzt, braucht eine belastbare Begründung – keine Vermutung.

(EuGH Urt. v. 19.03.2026, Az. C 526/24, Brillen Rottler)