Recht und Steuern
DSGVO-Hopping erkennen und abwehren
Das EuGH-Urteil vom 19.03.2026 (Az. C-526/24, Brillen Rottler) hat für Unternehmen entscheidende Leitlinien zur Vermeidung und Abwehr von DSGVO-Hopping gesetzt. DSGVO-Hopping bezeichnet das systematische Geltendmachen von Auskunfts- und Schadensersatzansprüchen nach der Datenschutz-Grundverordnung (DSGVO) durch Personen, die diese Rechte nicht aus echtem Interesse am Datenschutz, sondern gezielt nutzen, um daraus finanziellen Profit zu erzielen. Dabei werden häufig bei verschiedenen Unternehmen jeweils erstmalig Auskunftsanträge gestellt, um anschließend – oft unter Berufung auf angebliche Verstöße – Schadensersatzansprüche geltend zu machen. Das Ziel ist nicht der Schutz der eigenen Daten, sondern die missbräuchliche Generierung von Entschädigungszahlungen.
Schon ein erstmaliger Auskunftsantrag nach Art. 15 DSGVO kann als missbräuchlich abgelehnt werden, wenn er ausschließlich dazu dient, künstlich Voraussetzungen für einen Schadensersatzanspruch nach Art. 82 DSGVO zu schaffen. Unternehmen müssen hierfür eine Gesamtheit objektiver Umstände und das subjektive Element des Missbrauchs nachweisen; öffentliche Quellen, die das Hopping-Verhalten dokumentieren, dürfen einbezogen werden.
Empfehlungen für Unternehmen zur Vermeidung von DSGVO-Hopping
1. Systematische Prüfung und Dokumentation jedes Auskunftsantrags
Unternehmen sollten bei jedem Auskunftsbegehren prüfen, ob Indizien für missbräuchliches Verhalten vorliegen. Dazu gehören:
- Freiwillige Datenbereitstellung (z.B. Newsletter-Anmeldung)
- Kurzer Zeitraum zwischen Anmeldung und Auskunftsantrag
- Hinweise auf systematisches Vorgehen (z.B. zahlreiche ähnliche Fälle, Internetberichte)
Diese Umstände sind sorgfältig zu dokumentieren, da der Nachweis des Missbrauchs dem Unternehmen obliegt.
2. Nutzung öffentlicher Quellen
Das EuGH-Urteil erlaubt ausdrücklich, öffentliche Quellen (z.B. Internetberichte, Erfahrungsberichte anderer Unternehmen) zur Begründung eines Missbrauchseinwands heranzuziehen. Diese dürfen aber nicht das alleinige Kriterium sein, sondern müssen in die Gesamtschau einfließen.
3. Fristgerechte und begründete Erhebung des Missbrauchseinwands
Der Missbrauchseinwand muss nach Art. 12 Abs. 4 DSGVO unverzüglich und begründet gegenüber dem Antragsteller erhoben werden. Die Ablehnung ist zu dokumentieren und mit einer Rechtsbehelfsbelehrung zu versehen.
4. Interne Datenschutzorganisation und Schulung
Klare Zuständigkeiten, ein Fristen- und Dokumentationssystem sowie regelmäßige Schulungen der Mitarbeiter sind unerlässlich, um Auskunftsansprüche rechtssicher zu bearbeiten und Missbrauch frühzeitig zu erkennen.
5. Transparente Kommunikation
Betroffene sollten im Ablehnungsschreiben transparent über die Gründe informiert werden, einschließlich der Hinweise auf die Beschwerdemöglichkeit bei der Aufsichtsbehörde und gerichtlichen Rechtsschutz.
6. Einheitliche Datenschutzstandards im Unternehmen und Konzern
Gerade in Konzernstrukturen ist auf einheitliche Standards und die Vermeidung künstlicher Verantwortlichkeitsverlagerungen zu achten, um „DSGVO-Hopping“ durch organisatorische Maßnahmen zu unterbinden.
7. Praxisorientierte Ausgestaltung des Datenschutzmanagements
Die Bearbeitung von Auskunftsanträgen sollte durch klare interne Prozesse, Fristenkontrolle und eine präzise Dokumentation erfolgen. Mitarbeiter müssen im Umgang mit datenschutzrechtlichen Eingaben und der Identitätsprüfung geschult sein, um rechtsmissbräuchliche Anträge frühzeitig zu erkennen und abzuwehren.
Maßstab und Nachweis des Missbrauchs
Der EuGH verlangt für die Annahme eines exzessiven, missbräuchlichen Antrags eine Gesamtheit objektiver Umstände (z.B. ungewöhnlicher Ablauf, Vielzahl ähnlicher Fälle, kurze Zeitspanne) und ein subjektives Element (Absicht, künstlich Voraussetzungen für Schadensersatz zu schaffen). Die Schwelle bleibt hoch; der Nachweis muss eindeutig geführt werden. Ein bloßer erstmaliger Antrag reicht nicht aus, es sei denn, die genannten Kriterien sind erfüllt.
Schadensersatz und Kontrollverlust
Der EuGH stellt klar, dass ein Schadensersatzanspruch nach Art. 82 DSGVO auch bei Verstößen gegen Auskunftspflichten besteht, sofern ein Schaden – etwa Kontrollverlust oder Ungewissheit über die Datenverarbeitung – nachgewiesen wird. Es gibt keinen Automatismus; der Schaden ist stets konkret darzulegen. Die Rechtsprechung betont, dass nicht jeder Verstoß gegen Auskunftsansprüche automatisch einen immateriellen Schaden begründet; vielmehr muss der Betroffene die Folgen des Verstoßes darlegen und nachweisen.
Fazit für Unternehmen
Das Urteil stärkt Unternehmen im Kampf gegen DSGVO-Hopping, verlangt aber eine sorgfältige Prüfung und Dokumentation. Unternehmen sollten ein effektives Datenschutzmanagement etablieren, um Missbrauchsfälle rechtssicher zu erkennen und abzuwehren. Die Schwelle für die Ablehnung bleibt hoch, ist aber bei klaren Indizien erreichbar. Ein systematischer und dokumentierter Umgang mit Auskunftsanträgen, die Nutzung öffentlicher Quellen und eine transparente Kommunikation sind zentrale Präventionsmaßnahmen.