DSGVO-Hopping adé? Der EuGH stärkt die Rechte von Unternehmen gegenüber missbräuchlichen Auskunftsanfragen

Urteil des Europäischen Gerichtshofs vom 19. März 2026 – Az. C-526/24 (Brillen Rottler)

Wer kennt es nicht: Ein Unternehmen erhält eine Auskunftsanfrage gemäß Art. 15 DSGVO – und wenige Wochen später folgt die Klage auf Schadensersatz. Dieses als „DSGVO-Hopping" bekannte Phänomen hat in den letzten Jahren erheblich zugenommen. Mit seinem Urteil vom 19. März 2026 hat der Europäische Gerichtshof (EuGH) nun wichtige Leitlinien gesetzt, die für Unternehmen wie für Betroffene gleichermaßen bedeutsam sind.

1. Was steckt hinter dem „DSGVO-Hopping"?

Als „Hopper" werden Personen bezeichnet, die systematisch bei verschiedenen Unternehmen Auskunftsansprüche nach Art. 15 DSGVO geltend machen – nicht etwa, um ihre Datenschutzrechte wahrzunehmen, sondern mit dem erklärten Ziel, anschließend Schadensersatzansprüche nach Art. 82 DSGVO zu generieren. Das Geschäftsmodell ist simpel: Newsletter abonnieren, kurz darauf Auskunft verlangen, bei Verzögerung oder Verweigerung klagen und Schadensersatz kassieren.

Im Fall „Brillen Rottler" hatte sich ein Privatmann aus Wien beim Newsletter des deutschen Optikfilialisten angemeldet und lediglich 13 Tage später eine umfassende Auskunft nach Art. 15 DSGVO verlangt. Das Unternehmen verweigerte die Auskunft mit dem Argument des Rechtsmissbrauchs – und das Amtsgericht Arnsberg legte dem EuGH mehrere Auslegungsfragen zur DSGVO vor.

Das Ausmaß solcher Praktiken ist erheblich: In einem vergleichbaren Verfahren vor dem Amtsgericht Augsburg wurden allein im Zeitraum von Ende 2022 bis Oktober 2023 66 gleichartige Fälle desselben Betroffenen nachgewiesen; insgesamt hatte dieser Schadensersatzforderungen von rund 160.000 Euro erhoben.

2. Die Kernaussagen des EuGH: Was gilt nun?

Der EuGH hat mit seinem Urteil in mehreren zentralen Punkten Klarheit geschaffen:

a) Bereits der erste Antrag kann missbräuchlich sein

Bislang war es für Unternehmen rechtlich nahezu unmöglich, einen Rechtsmissbrauch einzuwenden, weil die „Hopper" ihren Anspruch bei jedem Unternehmen technisch gesehen immer nur „zum ersten Mal" geltend machten. Der EuGH hat diese Schutzlücke nun geschlossen: Schon ein erster Auskunftsantrag kann als „exzessiv" im Sinne des Art. 12 Abs. 5 DSGVO eingestuft und zurückgewiesen werden, wenn er allein in der Absicht gestellt wird, künstlich die Voraussetzungen für einen Schadensersatzanspruch zu schaffen.

b) Beweislast liegt beim Unternehmen – öffentliche Quellen sind zulässig

Den Nachweis für das missbräuchliche Verhalten muss weiterhin der Datenverantwortliche erbringen. Entscheidend ist jedoch: Das Unternehmen darf dabei auch öffentlich zugängliche Quellen heranziehen, beispielsweise Berichte und Erfahrungsberichte über das Hopper-Verhalten der betreffenden Person im Internet. Zudem muss der Missbrauchseinwand gemäß Art. 12 Abs. 4 DSGVO fristgerecht erhoben werden – ein in der Praxis häufig übersehener Punkt.

c) Schadensersatz: Bloße Ungewissheit kann genügen – aber mit Grenzen

Zum Schadensersatzanspruch nach Art. 82 DSGVO bestätigte der EuGH, dass kein konkreter „Verarbeitungsverstoß" vorliegen muss und bereits die bloße Ungewissheit als Schaden ausreichen kann. Auch ein Kontrollverlust über die eigenen Daten reicht als Schadenseintritt aus.

Gleichzeitig setzte der EuGH aber klare Grenzen: Der Betroffene muss nachweisen, dass ihm tatsächlich ein Schaden entstanden ist. Und: Ist das eigene Verhalten der betroffenen Person die entscheidende Ursache für den Schaden, ist der Schadensersatzanspruch ausgeschlossen.

3. Praktische Bedeutung: Was ändert sich für Unternehmen?

Das Urteil des EuGH markiert eine wichtige Weichenstellung – sowohl für Unternehmen als auch für die gerichtliche Praxis:

• Frühzeitige Dokumentation ist entscheidend: Unternehmen sollten bei Auskunftsanfragen, die auf ein systematisches Muster hindeuten, umgehend Nachweise sichern – etwa öffentliche Quellen, Parallelverfahren oder auffällige Zeitabläufe (z. B. sehr kurze Zeitspanne zwischen Registrierung und Auskunftsverlangen).
• Der Missbrauchseinwand muss rechtzeitig erhoben werden: Gemäß Art. 12 Abs. 4 DSGVO gilt eine Frist für den Missbrauchseinwand. Unternehmen, die zu spät reagieren, verlieren dieses Verteidigungsmittel.
• Koordination mit spezialisierten Anwälten empfehlenswert: Da der Nachweis des Rechtsmissbrauchs hohen Anforderungen genügen muss – das Ziel der Schadensersatzgenerierung muss das alleinige Motiv sein –, bedarf die Verteidigung gegen solche Klagen einer sorgfältigen rechtlichen Strategie.

Was bedeutet das für Sie?

Das EuGH-Urteil vom 19. März 2026 ist ein bedeutsamer Schritt im Kampf gegen den Missbrauch datenschutzrechtlicher Instrumente. Unternehmen, die mit systematischen DSGVO-Auskunftsanfragen konfrontiert werden, haben nun erstmals eine verlässliche rechtliche Grundlage, um sich gegen missbräuchliche Anfragen zu wehren – und das bereits beim ersten Antrag.

Gleichwohl bleibt der Nachweis des Rechtsmissbrauchs anspruchsvoll. Eine frühzeitige anwaltliche Beratung und konsequente Dokumentation sind unerlässlich. Wenn Sie Fragen zu Datenschutzansprüchen, DSGVO-Compliance oder zur Verteidigung gegen missbräuchliche Auskunftsbegehren haben, stehen wir Ihnen gerne zur Verfügung.