Wann müssen Unternehmen auf Auskunftsanfragen reagieren – und wann dürfen sie diese ablehnen? Ein aktuelles EuGH-Urteil schafft mehr Klarheit, zeigt aber auch: Die Bewertung im Einzelfall bleibt entscheidend.

Das Auskunftsrecht nach der Datenschutzgrundverordnung (DSGVO) gehört zu den zentralen Rechten betroffener Personen. Unternehmen sind verpflichtet, auf entsprechende Anfragen umfassend zu reagieren. Ein aktuelles Urteil des Europäischen Gerichtshofs (EuGH) zeigt jedoch: Dieses Recht ist nicht grenzenlos.

Im zugrunde liegenden Fall hatte sich eine Person gezielt für einen Newsletter angemeldet und ihre personenbezogenen Daten in die Anmeldemaske auf der Website des Unternehmens eingegeben. Knapp zwei Wochen später hatte die Person beim betroffenen Unternehmen Auskunft über die gespeicherten Daten verlangt – dieses Recht räumt die DSGVO ein. Das betroffene Unternehmen lehnte die Auskunft ab – mit der Begründung, der Antrag sei missbräuchlich. Aus verschiedenen Medienberichten, Blogbeiträgen und Berichten von Rechtsanwälten sei ersichtlich, dass sich der Antragsteller systematisch zu Newslettern verschiedener Unternehmen anmelde, Auskunft beantrage und schließlich Schadensersatz aufgrund einer vermeintlich fehlerhaften, bzw. unvollständigen Auskunft fordere. Der Antragsteller hingegen hält seinen Auskunftsantrag für legitim und fordert vom Unternehmen eine Entschädigung in Höhe von mindestens 1000 Euro für den immateriellen Schaden, der ihm durch die Zurückweisung des Antrags entstanden sei. Der Fall landete vor Gericht.

Der EuGH stellt klar: Ein Auskunftsantrag kann auch beim ersten Antrag bereits als missbräuchlich eingestuft werden. Das gilt insbesondere dann, wenn nachweisbar ist, dass der Antrag nicht dem eigentlichen Zweck dient – also der Transparenz über die Datenverarbeitung –, sondern ausschließlich darauf abzielt, Schadensersatzansprüche zu konstruieren.

Für die Bewertung können unter anderem folgende Aspekte herangezogen werden:

• systematisches Vorgehen der anfragenden Person
• wiederholte Anfragen bei verschiedenen Unternehmen
• zeitlicher Zusammenhang zwischen Dateneingabe und Anfrage
• Gesamtverhalten der betroffenen Person
• ggf. Berichte über das Vorgehen dieser Person

Unter diesen Umständen kann ein Unternehmen berechtigt sein, den Antrag abzulehnen.

Der EuGH betont zudem: Ein Schadensersatzanspruch nach der DSGVO setzt voraus, dass tatsächlich ein Schaden entstanden ist. Allein die Ablehnung eines Auskunftsantrags reicht dafür nicht aus. Darüber hinaus gilt: Wenn das Verhalten der betroffenen Person selbst die wesentliche Ursache für den Schaden ist, kann ein Anspruch entfallen.

Das Urteil schafft für Unternehmen mehr Handlungsspielraum – aber keinen Freibrief. Auskunftsanfragen bleiben ein zentrales Betroffenenrecht und müssen grundsätzlich sorgfältig und fristgerecht bearbeitet werden. Gleichzeitig zeigt die Entscheidung:

• Unternehmen müssen nicht jede Anfrage ungeprüft erfüllen
• missbräuchliche Anfragen können zurückgewiesen werden

Eine saubere Dokumentation und Bewertung wird entscheidend.

Die eigentliche Schwierigkeit liegt in der Abgrenzung: Wann ist eine Anfrage legitim – und wann liegt Missbrauch vor?

Diese Bewertung erfordert:

• eine Einordnung des Einzelfalls
• eine nachvollziehbare Begründung
• und eine belastbare Dokumentation

Fehleinschätzungen können weiterhin rechtliche Risiken bergen.

Das EuGH-Urteil stärkt die Position von Unternehmen im Umgang mit offensichtlich missbräuchlichen Auskunftsanfragen. Gleichzeitig bleibt es dabei: Das Auskunftsrecht ist ein zentrales Instrument des Datenschutzes – und kein formaler Prozess, der pauschal eingeschränkt werden kann. Für Unternehmen bedeutet das: Sie müssen in der Lage sein, zwischen berechtigten und missbräuchlichen Anfragen zu unterscheiden – strukturiert, dokumentiert und rechtlich fundiert.