Auskunftsanfragen nach Art. 15 DSGVO gehören zum Alltag fast jedes Unternehmens. Kunden, ehemalige Mitarbeiter oder auch strategisch motivierte Antragsteller fordern Auskunft über gespeicherte Daten – oft in großem Umfang. Bislang war rechtlich umstritten, ob ein Unternehmen solche Anfragen überhaupt als missäuchlich zurückweisen darf. Der Europäische Gerichtshof hat das am 19. März 2026 mit einem richtungsweisenden Urteil geklärt.
Das Ergebnis ist zweischneidig: Ja, missäuchliche Anfragen können abgelehnt werden. Aber gleichzeitig hat der EuGH das Haftungsrisiko bei fehlerhafter Auskunftserteilung deutlich verschärft. Für Unternehmen bedeutet das: mehr Spielraum auf der einen Seite – mehr Risiko auf der anderen.
Das Urteil im Überblick (C-526/24, 19. März 2026)
- Missäuchlicher Antrag möglich: Erstmals hat der EuGH klargestellt, dass selbst ein erstmaliger Auskunftsantrag nach Art. 12 Abs. 5 DSGVO als „exzessiv“ eingestuft werden kann – wenn das eigentliche Ziel nicht der Datenschutz, sondern die Vorbereitung von Schadensersatzklagen ist.
- Beweislast liegt beim Unternehmen: Der Verantwortliche muss die Missbrauchsabsicht nachweisen. Eine Vermutung reicht nicht aus.
- Auskunftsverletzung = eigenständiger Schadensersatzanspruch: Wer eine Auskunft falsch, unvollständig oder zu spät erteilt, haftet nach Art. 82 DSGVO – auch ohne weiteren Verarbeitungsverstoß. Eine verspätete oder fehlerhafte Auskunft ist damit kein Bagatellrisiko mehr.
- 1-Monatsfrist bleibt verbindlich: Unverändert gilt: Auskunftsersuchen müssen innerhalb von einem Monat beantwortet werden (Art. 12 Abs. 3 DSGVO). Bei komplexen Anfragen ist eine einmalige Verlängerung um zwei Monate möglich – mit Begründung.
- Kontext: Steigende Schadensersatzbeträge: Das OLG Thüringen sprach Anfang März 2026 (Az. 3 U 31/25) einem Betroffenen 3.000 Euro Schadensersatz für unzulässiges Tracking zu. Gerichte nehmen DSGVO-Verstöße zunehmend ernst.
Was bedeutet das für Unternehmen?
- Auskunftsprozess strukturieren und dokumentieren. Jedes Unternehmen braucht einen klaren internen Ablauf: Wer empfängt Anfragen? Wer prüft und beantwortet sie? Die Fristüberwachung muss zuverlässig funktionieren. Fehlende Prozesse sind das häufigste Einfallstor für Verstöße.
- Verdächtige Anfragen sorgfältig prüfen – und dokumentieren. Wer eine Anfrage für missäuchlich hält, darf nicht einfach schweigen oder ablehnen ohne Grundlage. Erforderlich ist eine nachvollziehbare Dokumentation der Indizien (z. B. parallele Klagevorbereitung, auffällige Häufung, erkennbar sachfremder Zweck). Die Beweislast liegt beim Unternehmen.
- Keine reflexartige Ablehnung ohne Nachweis. Das Urteil gibt kein Freifahrtschein, unbequeme Anfragen pauschal abzulehnen. Wer eine Anfrage zu Unrecht als missäuchlich einstuft und sie ablehnt, riskiert Bußgelder und Schadensersatzansprüche. Im Zweifel: beantworten.
- Inhalt der Auskunft vollständig und korrekt gestalten. Unvollständige Auskünfte – z. B. fehlende Empfängerkategorien, falsche Speicherfristen, nicht erwähnte Drittmländerübermittlungen – können jetzt direkt zu Schadensersatz führen. Die Auskunft muss alle Pflichtangaben aus Art. 15 Abs. 1 und 2 DSGVO enthalten.
- Externe Datenschutzbeauftragte einbinden. Gerade bei strittigen Anfragen – aus laufenden Verfahren, von ehemaligen Mitarbeitern oder bei unklarer Motivationslage – empfiehlt sich die Einbindung eines erfahrenen DSB, bevor eine Entscheidung getroffen wird.
Fazit
Das EuGH-Urteil vom März 2026 bringt mehr Klarheit in einen bislang uneinheitlichen Rechtsbereich – aber keine Entlastung. Unternehmen bekommen zwar ein rechtliches Instrument gegen strategischen Missbrauch des Auskunftsrechts an die Hand. Dafür steigt gleichzeitig das Haftungsrisiko bei fehlerhafter Auskunftserteilung. Wer Art. 15 DSGVO bisher nicht als ernstzunehmende Compliance-Pflicht behandelt hat, sollte das jetzt ändern.
Bei Fragen helfen wir Ihnen gerne weiter.