Unsere KanzleiYou can add some sub-text right here to give your navigation item some context.
Mandantensegmente
FachwissenYou can add some sub-text right here to give your navigation item some context.
KI BuchhaltungYou can add some sub-text right here to give your navigation item some context.
SchnittstellenpartnerYou can add some sub-text right here to give your navigation item some context.
KontaktYou can add some sub-text right here to give your navigation item some context.
Digitalisierung

DSGVO-Auskunftsanträge im Unternehmen missbräuchlich abwehren

Ein Artikel von der Intelligent Accounting Steuerberatungsgesellschaft Kassel

Sie wollen Mandant werden?
Kontaktieren Sie uns!

E-Mail Schreiben
Anfrage senden

DSGVO-Auskunftsantrag: Zweck, Reichweite und typische Praxisfälle

Das Auskunftsrecht nach der Datenschutz-Grundverordnung ist für Unternehmen aller Branchen ein wiederkehrendes Thema, vom Onlinehändler mit Newsletter-Marketing bis zur mittelständischen Pflegeeinrichtung mit umfangreicher Datenverarbeitung im Bewerbungs- und Patientenmanagement. Gemeint ist das Recht einer betroffenen Person, von dem Verantwortlichen eine Bestätigung zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden, und wenn ja, Auskunft über diese Daten und begleitende Informationen zu erhalten. Verantwortlicher ist dabei die Stelle, die über Zwecke und Mittel der Verarbeitung entscheidet, also regelmäßig das Unternehmen selbst. Der Antrag muss nicht begründet werden und kann grundsätzlich auch dann gestellt werden, wenn die betroffene Person die Daten zuvor freiwillig angegeben hat, etwa bei einer Newsletter-Anmeldung.

In der Praxis hat sich jedoch eine problematische Entwicklung gezeigt: Einzelne Antragsteller nutzen Auskunftsanträge nicht zur Transparenz über Datenverarbeitung, sondern als Hebel, um nach einer erwarteten oder provozierten Unvollständigkeit oder Zurückweisung unmittelbar Schadensersatzforderungen geltend zu machen. Genau an dieser Stelle setzt eine aktuelle Klarstellung des Gerichtshofs der Europäischen Union an. Der Gerichtshof hat mit Urteil vom 19.03.2026 in der Rechtssache C-526/24 herausgearbeitet, dass selbst ein erster Auskunftsantrag unter bestimmten Umständen bereits als exzessiv und damit missbräuchlich eingestuft werden kann. Das ist für Unternehmen wichtig, weil die Verteidigung gegen massenhafte oder strategisch motivierte Anfragen bislang häufig als kaum möglich wahrgenommen wurde, ohne zugleich das Risiko eines Datenschutzverstoßes einzugehen.

Für die Einordnung ist zentral, dass das Auskunftsrecht nach der Systematik der Datenschutz-Grundverordnung der betroffenen Person ermöglichen soll, sich der Verarbeitung bewusst zu werden und deren Rechtmäßigkeit zu überprüfen. Es ist damit funktional auf Transparenz und Kontrolle ausgerichtet, nicht auf die künstliche Erzeugung von Streitwerten oder Entschädigungsansprüchen. Gerade in digitalen Geschäftsmodellen, in denen Datenpunkte in vielen Systemen verteilt sind, kann ein Auskunftsprozess aufwendig sein. Umso wichtiger ist es, Auskunftsanträge nicht reflexhaft als Angriff zu behandeln, sondern strukturiert, fristgerecht und prüfbar zu bearbeiten und nur dann eine Zurückweisung zu erwägen, wenn die Voraussetzungen dafür tragfähig dokumentiert sind.

EuGH: Wann ein Auskunftsantrag exzessiv und missbräuchlich sein kann

Der Gerichtshof stellt klar, dass ein Auskunftsantrag exzessiv sein kann, obwohl er formal die Anforderungen erfüllt. Exzessiv bedeutet in diesem Kontext nicht bloß unbequem oder arbeitsintensiv, sondern eine missbräuchliche Inanspruchnahme des Rechts. Die Datenschutz-Grundverordnung eröffnet für exzessive Anträge die Möglichkeit, entweder ein angemessenes Entgelt zu verlangen oder die Bearbeitung zu verweigern. Der entscheidende Punkt ist die Beweislast: Das Unternehmen muss nachweisen, dass der Antrag nicht gestellt wurde, um Transparenz über die Verarbeitung zu erlangen, sondern mit dem missbräuchlichen Ziel, die Voraussetzungen für einen Schadensersatzanspruch zu schaffen.

Der Gerichtshof nennt dafür Anknüpfungspunkte, die in der Praxis greifbar sind. Berücksichtigt werden können öffentlich zugängliche Informationen, wonach eine Person wiederholt Auskunftsanträge gegenüber verschiedenen Unternehmen stellt und anschließend systematisch Schadensersatz fordert. Ebenfalls relevant können die Umstände des konkreten Falls sein, etwa dass Daten freiwillig bereitgestellt wurden, der Zweck der Bereitstellung klar erkennbar war, sehr kurze Zeit zwischen Dateneingabe und Auskunftsantrag liegt und das Gesamtverhalten eher einem taktischen Vorgehen als einem echten Informationsinteresse entspricht. Wichtig ist, dass diese Gesichtspunkte stets im Gesamtbild zu würdigen sind. Ein kurzer Zeitraum allein macht einen Antrag nicht automatisch missbräuchlich, kann aber im Zusammenspiel mit weiteren Indizien in diese Richtung weisen.

Für Unternehmen ergibt sich daraus ein praktikabler, aber sensibler Handlungsspielraum. Eine pauschale Ablehnung nach dem Motto „Das ist ohnehin nur Abzocke“ bleibt riskant. Die Entscheidung ermutigt jedoch dazu, bei erkennbar strategischen Serienanfragen nicht nur defensiv zu reagieren, sondern die Missbrauchseinrede ernsthaft zu prüfen und gegebenenfalls zu erheben. Das gilt besonders für Unternehmen mit hoher Sichtbarkeit und standardisierten Online-Prozessen, etwa Händler mit Newsletter-Opt-ins oder Dienstleister mit vielen Kontaktformularen, weil diese typischerweise Ziel solcher Auskunftsstrategien werden.

Schadensersatz nach der DSGVO: Nachweis des Schadens und Mitverursachung

Parallel zur Frage der Missbräuchlichkeit präzisiert der Gerichtshof die Anforderungen an Schadensersatz. Die Datenschutz-Grundverordnung sieht einen Anspruch auf Ersatz materieller und immaterieller Schäden vor, wenn ein Verstoß gegen die Verordnung vorliegt. Ein immaterieller Schaden ist ein nicht vermögensbezogener Nachteil, etwa der Verlust der Kontrolle über personenbezogene Daten oder die Ungewissheit darüber, ob Daten verarbeitet wurden. Der Gerichtshof betont jedoch, dass der Schaden tatsächlich nachgewiesen werden muss. Damit wird die in der Praxis wichtige Abgrenzung gestärkt, dass nicht jede formale Pflichtverletzung automatisch zu einem ersatzfähigen Schaden führt.

Besonders praxisrelevant ist zudem der Hinweis, dass ein Schadensersatzanspruch ausscheiden kann, wenn das eigene Verhalten der betroffenen Person die entscheidende Ursache für den geltend gemachten Schaden ist. Das adressiert Konstellationen, in denen ein Antragsteller gezielt auf eine Eskalation hinarbeitet, um daraus eine Entschädigung abzuleiten. Unternehmen sollten diese Argumentationslinie aber mit Augenmaß nutzen. Sie ersetzt keine ordnungsgemäße Auskunftserteilung, sondern wirkt nur in den Fällen, in denen das Geschehen gerade durch das missbräuchliche Verhalten geprägt ist und dies nachvollziehbar belegt werden kann.

Für die Risikoabschätzung in Unternehmen bedeutet das: Wer Auskunftsanträge sauber bearbeitet, reduziert nicht nur das Risiko behördlicher Maßnahmen, sondern auch die Angriffsfläche für Schadensersatzforderungen. Wer dagegen unkoordiniert reagiert, Fristen verstreichen lässt oder unvollständige Antworten ohne Erklärung liefert, schafft unnötige Ansatzpunkte. Das gilt im Finanzsektor ebenso wie im Gesundheitswesen, wo zusätzlich besondere Kategorien personenbezogener Daten verarbeitet werden und Auskunftsprozesse häufig mit hohen Anforderungen an Identitätsprüfung und Zugriffsschutz verbunden sind.

Praxisleitfaden: So setzen Unternehmen Auskunftsanfragen rechtssicher um

In der täglichen Umsetzung kommt es auf belastbare Prozesse an, die sowohl dem berechtigten Auskunftsrecht als auch der Möglichkeit der Missbrauchsabwehr gerecht werden. Zentral ist zunächst die verlässliche Identitätsprüfung, damit Auskünfte nicht an Unberechtigte erteilt werden. Ebenso wichtig ist die interne Datenlandkarte, also die Kenntnis darüber, in welchen Systemen personenbezogene Daten liegen, etwa im Newsletter-Tool, im Shopsystem, im Kundenservice, in der Finanzbuchhaltung, im Bewerbermanagement oder im Zeiterfassungssystem. Ohne diese Vorarbeit führt jeder Auskunftsantrag zu ad hoc Recherchen, die Fehler und Fristprobleme begünstigen.

Aus rechtlicher Sicht sollte die Kommunikation mit der anfragenden Person so gestaltet sein, dass Inhalt und Umfang der Auskunft nachvollziehbar sind. Wo Daten nicht oder nicht mehr vorhanden sind, sollte dies klar erklärt werden. Wo Ausnahmen greifen, etwa aus Gründen des Schutzes von Rechten Dritter, ist eine sorgfältige Abwägung erforderlich. Gleichzeitig empfiehlt es sich, sämtliche Schritte revisionssicher zu dokumentieren, um im Streitfall nachweisen zu können, wie der Antrag geprüft, welche Systeme abgefragt und welche Informationen bereitgestellt wurden. Genau diese Dokumentation ist auch der Schlüssel, wenn ein Unternehmen sich auf Exzessivität oder Missbrauch berufen will. Ohne belastbare Tatsachengrundlage wird eine Zurückweisung angreifbar.

Stellt sich im Einzelfall der Eindruck ein, dass der Antrag ausschließlich darauf zielt, Schadensersatz zu konstruieren, sollte die Entscheidung über Entgelt oder Verweigerung nicht isoliert im operativen Tagesgeschäft fallen, sondern anhand der vom Gerichtshof betonten Gesamtumstände. Dazu gehört eine nüchterne Prüfung, ob Indizien für ein systematisches Vorgehen vorliegen, wie eng der zeitliche Zusammenhang zur Dateneingabe ist und ob das Verhalten der Person mit einem echten Informationsinteresse plausibel vereinbar ist. Selbst dann bleibt es häufig sinnvoll, zumindest eine Basis-Auskunft zu erteilen, wenn dies ohne unverhältnismäßigen Aufwand möglich ist, und den Missbrauchseinwand für klar gelagerte Fälle vorzuhalten. So lässt sich das Risiko einer Eskalation reduzieren, ohne die eigene Rechtsposition aufzugeben.

Fazit: Die Entscheidung des Gerichtshofs der Europäischen Union vom 19.03.2026 in der Rechtssache C-526/24 stärkt Unternehmen gegen Auskunftsanträge, die ersichtlich nur als Grundlage für spätere Schadensersatzforderungen dienen sollen, und schärft zugleich die Anforderungen an den Nachweis eines tatsächlichen Schadens. Wer Auskunftsprozesse digital sauber organisiert, Fristen steuert und Datenflüsse transparent dokumentiert, kann rechtssicher reagieren und Abmahnstrategien die Grundlage entziehen. Wir unterstützen kleine und mittelständische Unternehmen dabei, solche Abläufe durch Digitalisierung und Prozessoptimierung in Buchhaltung und Administration effizient aufzusetzen und damit dauerhaft Aufwand und Kosten spürbar zu senken.

Artikel vom
21.03.2026
Mehr über diese
Gerichtsentscheidung lesen
zur externen Veröffentlichung

Mandant werden?
Senden Sie uns Ihr Anliegen

Unsere bestens geschulten Mitarbeiter sind bei jedem Schritt für Sie da. Wir helfen gerne. Bitte melden Sie sich, wenn künstliche Intelligenz, Cloud-Lösungen, Machine Learning und eine hochaktuelle Software auch Ihr "Business-Leben" einfacher machen sollen.

Wir haben Ihre Anfrage erhalten.
Oops! Something went wrong while submitting the form.

Wir unterstützen Sie beim Ausbau Ihres Unternehmens!

Profitieren Sie von diesem Wettbewerbsvorteil und gewinnen Sie Zeit für Lebensbereiche die wichtiger sind.
Jetzt anrufen
intelligent accounting Logo
Vorteile
UnternehmenExistenzgründerPrivatpersonenKrypto-Währung
Übersicht
StartseiteKI BuchhaltungDiensteUnsere Kanzlei
Richtlinien
DatenschutzerklärungImpressumCookie-EinstellungenKontaktStellenageboteAABs/AGBs
Links
DownloadsGebührensätzeVideos für MandantenDATEV Unternehmen OnlineDATEV Meine Steuern
Close Cookie Popup
Wir verwenden Cookies
Wir verarbeiten Informationen über Ihren Besuch unter Einsatz von Cookies, um die Leistung der Website zu verbessern. Durch die Nutzung unserer Seite willigen Sie in die Nutzung der technisch notwendigen Cookies ein. Weitere Informationen hierzu finden Sie in unserer Datenschutzerklärung.
Alle akzeptierenCookie Einstellungen
Close Cookie Preference Manager
Cookie Einstellungen
Durch Klicken auf „Alle Cookies akzeptieren“ stimmen Sie der Speicherung von Cookies auf Ihrem Gerät zu, um die Seitennavigation zu verbessern, die Nutzung der Website zu analysieren und unsere Marketingmaßnahmen zu unterstützen, wie in unserer Datenschutzerklärung beschrieben.
Zwingend erforderlich (immer aktiv)
Cookies, die für die grundlegende Funktionalität der Website erforderlich sind.
Alle Cookies akzeptierenEinstellungen speichern