Fachanwalt für Urheber- und Medienrecht und Spezialist für Arbeitsrecht, Zertifizierter Datenschutzbeauftragter (TÜV)
T (+49) 040 / 7344 086-0
Rechtsanwältin & Expertin für IT-Recht und Datenschutz
T (+49) 040 / 7344 086-0
Rechtsanwältin, Fachanwältin für Informationstechnologierecht & Zertifizierte Datenschutzbeauftragte (TÜV)
T (+49) 040 / 7344 086-0
Blog News
Was passiert, wenn Datenschutzrechte gezielt genutzt werden, um Unternehmen unter Druck zu setzen und Schadensersatzforderungen auszulösen? Mit der Frage rund um das Thema DSGVO als Geschäftsmodell musste sich der Europäische Gerichtshof nun beschäftigen – und hat eine klare Grenze gezogen.
In der Praxis hat sich in den vergangenen Jahren ein Phänomen entwickelt, bei dem Einzelpersonen systematisch Auskunftsanträge nach der DSGVO stellen, um anschließend mögliche Verstöße zu konstruieren und finanziell geltend zu machen. Dieses Vorgehen wird häufig als „Hopping“ bezeichnet.
Der EuGH stellt nun klar: Ein solcher Antrag auf Auskunft ist nicht grenzenlos geschützt. Wird er erkennbar ausschließlich mit dem Ziel gestellt, später Schadenersatzansprüche zu provozieren, kann er als rechtsmissbräuchlich eingestuft und zurückgewiesen werden. Damit stärkt das Gericht Unternehmen gegen missbräuchliche Nutzung datenschutzrechtlicher Ansprüche, ohne den eigentlichen Schutzgedanken der DSGVO infrage zu stellen.
Als DSGVO-Hopper werden Personen bezeichnet, die datenschutzrechtliche Ansprüche gezielt nutzen, um daraus Zahlungsforderungen zu entwickeln. Typisch ist ein standardisierter Ablauf: Sie melden sich etwa zu Newslettern an, stellen anschließend Auskunftsanträge nach Art. 15 DSGVO und machen bei verspäteten, unvollständigen oder formell angreifbaren Antworten Schadensersatz nach Art. 82 DSGVO geltend. Häufig geht es dabei weniger um echten Datenschutzschutz als um ein planmäßiges Vorgehen mit vielen gleichartigen Fällen.
Bekannte Fälle
Soll zwischen 2022 und 2023 in 66 dokumentierten Fällen Newsletter-Anmeldungen und Auskunftsanfragen genutzt haben. Im Raum standen Forderungen von rund 160.000 Euro. Der Fall endete vor dem EuGH unter dem Aktenzeichen C-526/24 (Brillen Rottler).
Nutzte ein Tool zur Suche nach Webseiten mit Google Fonts und verschickte massenhaft Schreiben. Genannt werden mindestens 100.000, teils sogar 217.000 Fälle. Zusammen mit einem Anwalt wurden häufig 170 Euro verlangt. Das LG München I (4 O 13063/22) wertete das Vorgehen als rechtsmissbräuchlich.
Bekannt vor allem aus dem AGG-Bereich, mit Überschneidungen zu DSGVO-Forderungen. Auch hier scheitern Ansprüche regelmäßig, wenn Gerichte von Rechtsmissbrauch ausgehen.
Betroffen waren unter anderem Zahnarztpraxen, Optiker und Online-Anbieter, die durch viele parallele Anfragen und Forderungen unter Vergleichsdruck gesetzt wurden.
Das Problem bei DSGVO-Hoppern liegt weniger in einem einzelnen Auskunftsantrag als in der systematischen Nutzung des Datenschutzrechts als Einnahmemodell. Unternehmen sehen sich dabei mit einer Vielzahl gleichartiger Anfragen konfrontiert, die häufig standardisiert oder softwaregestützt vorbereitet werden. Der Aufwand entsteht sofort: Fristen müssen geprüft, Daten zusammengestellt, Antworten dokumentiert und Risiken bewertet werden. Selbst wenn sich der Anspruch später als schwach oder missbräuchlich herausstellt, bindet das erhebliche personelle und finanzielle Ressourcen.
Hinzu kommt der wirtschaftliche Druck. Gerade kleinere Unternehmen vergleichen solche Forderungen oft vorsorglich, weil ein Verfahren mehr Zeit, Kosten und Unsicherheit verursacht als eine schnelle Zahlung. Genau auf diesen Mechanismus zielen viele dieser Modelle ab. Das belastet nicht nur die betroffenen Unternehmen, sondern schadet auch der Akzeptanz der DSGVO insgesamt. Wenn Datenschutzrechte massenhaft als Druckmittel eingesetzt werden, wächst die Skepsis gegenüber legitimen Auskunftsanträgen echter Betroffener.
Ausgangspunkt des Verfahrens war eine Newsletter-Anmeldung bei dem Optikerunternehmen Brillen Rottler. Ein Mann aus Wien hatte sich dort selbst zum Newsletter angemeldet und der Verarbeitung seiner Daten durch das Anklicken des entsprechenden Feldes zugestimmt. Kurz darauf stellte er gegenüber dem Unternehmen ein Auskunftsersuchen nach Art. 15 DSGVO. Mit diesem Recht können Betroffene grundsätzlich verlangen, umfassend zu erfahren, ob und welche personenbezogenen Daten über sie verarbeitet werden.
Das Unternehmen reagierte auf die Anfrage jedoch nicht in der üblichen Weise. Aus Sicht von Brillen Rottler sprach vieles dafür, dass es sich nicht um ein gewöhnliches Datenschutzbegehren handelte, sondern um ein planmäßiges Vorgehen mit wirtschaftlichem Hintergrund. Das Unternehmen ging davon aus, dass der Betroffene systematisch nach einem ähnlichen Muster vorgeht und Datenschutzrechte gezielt nutzt, um später Ansprüche geltend zu machen. Deshalb verweigerte der Optiker die begehrte Auskunft.
Daraufhin eskalierte die Auseinandersetzung vor Gericht. Brillen Rottler erhob Klage vor dem Amtsgericht Arnsberg und wollte feststellen lassen, dass in diesem konkreten Fall kein Auskunftsanspruch besteht. Der Betroffene wiederum stellte sich nicht nur gegen diese Position, sondern machte im Wege der Widerklage selbst den Auskunftsanspruch geltend. Zusätzlich verlangte er 1.000 Euro Schadenersatz nach Art. 82 DSGVO mit der Begründung, die verweigerte Auskunft verletze seine Rechte aus der Datenschutz-Grundverordnung.
Das Amtsgericht Arnsberg stand damit vor einer grundsätzlichen Frage. Einerseits schützt die DSGVO das Auskunftsrecht sehr weit, andererseits stellte sich hier die Frage, ob und unter welchen Voraussetzungen ein Unternehmen eine Auskunft verweigern darf, wenn es von einem missbräuchlichen Vorgehen ausgeht. Weil diese Auslegung des europäischen Datenschutzrechts nicht eindeutig war, legte das Gericht mehrere Fragen dem Europäischen Gerichtshof vor. Im Mittelpunkt stand damit die grundsätzliche Klärung, wann ein Auskunftsantrag noch legitime Wahrnehmung von Datenschutzrechten ist und wann er in Richtung Rechtsmissbrauch kippt.
Mit seiner Entscheidung hat der Europäische Gerichtshof die rechtliche Bewertung sogenannter DSGVO-Hopper deutlich geschärft. Gemeint sind Personen, die datenschutzrechtliche Ansprüche gezielt nutzen, um daraus anschließend Schadensersatzforderungen zu entwickeln. Bislang war das für Unternehmen juristisch schwer greifbar. Das zentrale Problem lag darin, dass gegenüber jedem einzelnen Unternehmen zunächst nur ein erster Auskunftsantrag gestellt wurde. Gerade deshalb ließ sich ein missbräuchliches Gesamtmuster oft nur schwer in das konkrete Verfahren übersetzen.
Der EuGH hat nun klargestellt, dass auch schon ein erster Antrag auf Auskunft missbräuchlich sein kann. Das gilt jedenfalls dann, wenn die Anfrage erkennbar nicht der echten Wahrnehmung datenschutzrechtlicher Interessen dient, sondern künstlich die Grundlage für spätere Schadenersatzansprüche schaffen soll. Damit verschiebt das Gericht den Blick weg von der bloßen formalen Erstanfrage hin zu ihrem tatsächlichen Zweck.
Besonders praxisrelevant ist, dass Unternehmen für den Nachweis eines solchen exzessiven oder missbräuchlichen Verhaltens auch öffentliche Quellen heranziehen dürfen. Dazu können etwa Berichte über vergleichbare Fälle, öffentlich dokumentierte Verhaltensmuster oder andere zugängliche Hinweise gehören, die auf ein systematisches Vorgehen schließen lassen. Der Datenverantwortliche trägt allerdings die Darlegungs- und Beweislast. Er muss also konkret belegen können, warum die Anfrage im Einzelfall nicht mehr als normale Ausübung des Auskunftsrechts erscheint.
In einem solchen Ausnahmefall eröffnet Art. 12 Abs. 5 DSGVO dem Verantwortlichen zwei Möglichkeiten. Er kann entweder ein angemessenes Entgelt verlangen oder die Auskunft verweigern. Der EuGH betont jedoch zugleich, dass diese Vorschrift eng auszulegen ist. Die Auskunft nach der DSGVO bleibt der Regelfall, die Berufung auf einen exzessiven Charakter die Ausnahme. Unternehmen dürfen den Missbrauchseinwand daher nicht pauschal oder vorschnell erheben, sondern nur dann, wenn belastbare Anhaltspunkte für ein rechtsmissbräuchliches Vorgehen vorliegen.
Das Auskunftsrecht nach Art. 15 DSGVO bildet den Kern vieler datenschutzrechtlicher Anfragen. Betroffene können verlangen zu erfahren, ob ihre personenbezogenen Daten verarbeitet werden und erhalten umfassende Informationen, etwa zu Verarbeitungszwecken, Datenkategorien, Empfängern und Speicherdauer. Zusätzlich besteht ein Anspruch auf eine Kopie der verarbeiteten Daten.
Eng damit verknüpft ist Art. 12 DSGVO, der die praktische Umsetzung regelt. Unternehmen müssen Auskünfte transparent, verständlich und grundsätzlich innerhalb eines Monats erteilen. Die Auskunft ist in der Regel kostenlos. Nur in Ausnahmefällen – etwa bei offensichtlich unbegründeten oder exzessiven Anträgen nach Art. 12 Abs. 5 DSGVO – kann eine Gebühr verlangt oder die Auskunft verweigert werden.
Weitere zentrale Vorschriften im Kontext typischer „Hopper“-Konstellationen sind:
Art. 17 DSGVO (Recht auf Löschung)
Häufig kombiniert mit Auskunftsanträgen, um Daten vollständig entfernen zu lassen
Art. 21 DSGVO (Widerspruchsrecht)
Relevant insbesondere bei Direktwerbung oder Newsletter-Verarbeitung
Art. 82 DSGVO (Schadensersatz)
Grundlage für finanzielle Ansprüche bei Datenschutzverstößen, auch bei immateriellen Schäden
Art. 13 und 14 DSGVO (Informationspflichten)
Regeln, welche Informationen Betroffene bereits bei oder nach der Datenerhebung erhalten müssen
Diese Vorschriften greifen in der Praxis ineinander. Gerade formale Fehler – etwa verspätete oder unvollständige Antworten – können als Ansatzpunkt für Schadensersatzforderungen genutzt werden.
Der EuGH hat für den Nachweis eines missbräuchlichen Auskunftsantrags klare Maßstäbe entwickelt. Entscheidend ist zunächst eine objektive Gesamtbetrachtung. Dabei wird geprüft, ob zwar formal ein Anspruch besteht, dieser aber unter den konkreten Umständen nicht im Sinne der DSGVO ausgeübt wird. Eine Rolle spielen etwa, wie die Daten ursprünglich bereitgestellt wurden, zu welchem Zweck dies geschah, wie viel Zeit zwischen Dateneingabe und Auskunftsantrag liegt und wie sich die betroffene Person insgesamt verhält. Auch öffentlich bekannte Informationen über ein systematisches Vorgehen können berücksichtigt werden, sind für sich allein aber nicht ausreichend.
Zusätzlich verlangt der EuGH ein subjektives Element. Es muss erkennbar sein, dass der Antrag nicht aus einem echten Informationsinteresse gestellt wurde, sondern gezielt darauf abzielt, die Voraussetzungen für spätere Ansprüche – insbesondere Schadenersatz – künstlich zu schaffen. Auch hier kommt es immer auf die Umstände des Einzelfalls an.
Die Entscheidung des EuGH stärkt weder pauschal Unternehmen noch pauschal Antragsteller, sondern zieht eine eng begrenzte Missbrauchsschranke ein. Aus Sicht der Beteiligten liegt genau darin der Kern des Urteils. Ein Missbrauchseinwand bleibt nur in Ausnahmefällen möglich und muss vom Unternehmen konkret belegt werden. Gleichzeitig bestätigt der EuGH, dass Schadensersatz wegen Verstößen gegen Auskunftspflichten grundsätzlich in Betracht kommt, wenn tatsächlich ein immaterieller Schaden nachgewiesen werden kann.
Für die Praxis ist damit vor allem eines klar: Unternehmen können sich künftig eher gegen systematische Hopper-Modelle verteidigen, müssen den Einwand aber frühzeitig, sorgfältig und einzelfallbezogen aufbauen. Umgekehrt bleibt das Auskunftsrecht ein starkes Datenschutzinstrument, das nicht schon durch bloße Verdachtsmomente entwertet wird. Wie weit die neue EuGH-Linie im konkreten Fall trägt, muss nun das Amtsgericht Arnsberg entscheiden.
Haben Sie Fragen dazu, wie Ihr Unternehmen auf Auskunftsanträge nach Art. 15 DSGVO rechtssicher reagieren sollte? Müssen Sie prüfen, ob ein konkretes Auskunftsersuchen berechtigt ist oder ob Anhaltspunkte für ein missbräuchliches Vorgehen vorliegen? Oder möchten Sie Ihre internen Datenschutzprozesse so aufstellen, dass Fristen, Dokumentation und Kommunikation im Ernstfall belastbar funktionieren?
Wir von SBS LEGAL als Kanzlei für Datenschutzrecht unterstützt Unternehmen umfassend im Datenschutzrecht und bei der praktischen Umsetzung der DSGVO. Dazu gehören maßgeschneiderte Datenschutzerklärungen für Webseiten, Apps und Social-Media-Auftritte ebenso wie die Abwehr von Abmahnungen, einstweiligen Verfügungen und behördlichen Bußgeldverfahren. Wir beraten zu datenschutzrechtlichen Anforderungen im Online-Business, prüfen Vertragsbeziehungen auf DSGVO-Konformität und unterstützen bei der Frage, ob ein Datenschutzbeauftragter oder Datenschutzvertreter erforderlich ist. Darüber hinaus begleiten wir Audits zur Einhaltung des Datenschutzrechts, sichern internationalen Datentransfer rechtlich ab, entwickeln Compliance-Richtlinien, gestalten Auftragsverarbeitungsverträge und Joint-Controller-Vereinbarungen und erstellen die erforderlichen Rechtstexte, etwa für Einwilligungen in die Datenverarbeitung.
Für weitere Rückfragen stehen wir Ihnen jederzeit gerne auch telefonisch zur Verfügung. Wünschen Sie die Rechtsberatung von dem erfahrenen Team aus Fachanwälten und Spezialisten von SBS LEGAL?