Zusammenfassung für Eilige
Der Europäische Gerichtshof (EuGH) hat am 19. März 2026 im Urteil C-526/24 (Brillen Rottler) entschieden: Auskunftsersuchen nach Art. 15 DSGVO können als rechtsmissbräuchlich abgelehnt werden, wenn sie ausschließlich darauf abzielen, Schadensersatzforderungen zu provozieren. Auch ein erster Antrag kann „exzessiv“ im Sinne von Art. 12 Abs. 5 DSGVO sein – vorausgesetzt, ein systematisches Missbrauchsmuster lässt sich nachweisen.
Was ist DSGVO-Hopping? Definition und aktuelle Trends
Das sogenannte DSGVO-Hopping beschreibt eine Strategie, bei der Betroffene ihre Rechte gezielt nutzen, um finanzielle Ansprüche zu generieren.
Typischer Ablauf:
- Künstliche Rechtsbeziehung
Anmeldung zu Newslettern oder Bewerbungen ohne echtes Interesse - Strategisches Auskunftsersuchen
Kurz darauf folgt ein Antrag nach Art. 15 DSGVO - Fehlerprovokation
Es wird gezielt auf Fristversäumnisse oder formale Fehler gesetzt - Schadensersatzforderung
Bereits bei kleineren Mängeln werden Ansprüche nach Art. 82 DSGVO geltend gemacht
Mit steigender Verfügbarkeit von KI-Tools wird dieses Vorgehen zunehmend einfacher und skalierbarer.
Das EuGH-Urteil „Brillen Rottler“ (C-526/24)
Das Urteil vom 19.03.2026 bringt eine wichtige Klarstellung:
Zwischen dem Schutz von Betroffenenrechten und dem Schutz vor Missbrauch muss eine Balance bestehen.
Zentrale Aussagen des EuGH
Exzessivität auch beim Erstantrag
Auch ein erstes Auskunftsersuchen kann rechtsmissbräuchlich sein, wenn es ausschließlich der Anspruchsgenerierung dient.
Nachweis durch Gesamtbild
Unternehmen dürfen das Verhalten der betroffenen Person im Kontext bewerten – nicht nur isoliert im Einzelfall.
Berücksichtigung öffentlicher Informationen
Auch öffentlich zugängliche Hinweise auf systematisches Vorgehen können herangezogen werden.
Kein automatischer Schadensersatz
Ein Verstoß gegen Auskunftspflichten führt nicht automatisch zu einer Entschädigung.
Ein tatsächlicher Schaden muss nachgewiesen werden.
Checkliste: Indizien für rechtsmissbräuchliche Auskunftsersuchen
Eine Ablehnung ist nur im Einzelfall möglich. Folgende Indizien können auf Rechtsmissbrauch hindeuten:
- Kurzer Zeitabstand zwischen Dateneingabe und Auskunftsersuchen
- Stark standardisierte oder taktisch formulierte Anfragen
- Bekanntes Muster ähnlicher Anfragen gegenüber mehreren Unternehmen
- Kein erkennbares Interesse an der Datenverarbeitung selbst
Wichtig:
Keines dieser Kriterien ist für sich allein ausreichend. Entscheidend ist die Gesamtbetrachtung.
Operative Exzellenz: Der entscheidende Faktor
Das Urteil stärkt Unternehmen – ersetzt aber keine funktionierenden Prozesse.
Der sicherste Schutz gegen Risiken aus DSGVO-Hopping bleibt ein sauber aufgesetztes Betroffenenrechte-Management.
Drei zentrale Erfolgsfaktoren
1. Zentralisierung
Alle Anfragen – unabhängig vom Eingangskanal – werden an einer Stelle gebündelt.
2. Automatisierung
Fristen und Abläufe werden systematisch gesteuert, um Fehler zu vermeiden.
3. Dokumentation
Entscheidungen werden nachvollziehbar und revisionssicher festgehalten – insbesondere bei der Ablehnung wegen Rechtsmissbrauchs.
Gerade bei steigenden Anfragezahlen wird dieser strukturierte Ansatz entscheidend.
Fazit
Das EuGH-Urteil (C-526/24 – Brillen Rottler) nimmt dem DSGVO-Hopping einen Teil seiner Wirkung.
Aber:
- Der Missbrauchseinwand bleibt die Ausnahme
- Die Beweislast liegt weiterhin beim Unternehmen
- Fehler im Prozess bleiben ein Risiko
Der entscheidende Unterschied liegt daher nicht im Urteil selbst, sondern in der operativen Umsetzung.
Unternehmen, die ihre Prozesse im Griff haben, reduzieren ihr Risiko deutlich – unabhängig davon, ob eine Anfrage missbräuchlich ist oder nicht.
