Datenschutzrecht schützt Personen – aber nicht jede Person, die Datenschutzrecht beansprucht. Der EuGH hat klargestellt: Wer das Auskunftsrecht nicht zur Kontrolle seiner Daten nutzt, sondern gezielt als Hebel für Schadenersatzansprüche, verliert diesen Schutz.  

EUGH-URTEIL (Brillen Rottler) C-526/24 VOM 19. MÄRZ 2026  

Sachverhalt 

TC meldete sich im März 2023 zum Newsletter eines deutschen Optikerunternehmens (Brillen Rottler) an. Bereits 13 Tage später stellte er ein Auskunftsbegehren nach Art. 15 DSGVO. Das Unternehmen verweigerte die Auskunft gestützt auf öffentlich zugängliche Informationen, die ein systematisches Vorgehen von TC belegen sollten: Anmeldung für Dienste -> Auskunftsbegehren -> Schadenersatzforderung. TC klagte auf Zahlung von mindestens EUR 1’000.00 Genugtuung.  

Kernaussagen des Urteils 

• Bereits ein erstes Auskunftsbegehren kann als «exzessiv» gelten: Art. 12 Abs. 5 DSGVO erlaubt die Ablehnung nicht nur bei wiederholten, sondern auch bei einem erstmaligen Antrag, sofern eine Missbrauchsabsicht nachgewiesen ist. Entscheidend ist nicht die Häufigkeit, sondern die Absicht der antragstellenden Person.  

• Beweislast beim Verantwortlichen: Will das Unternehmen ein Auskunftsbegehren als missbräuchlich zurückweisen, trägt es dafür die volle Beweislast – und diese ist zweistufig. Zunächst muss es objektiv darlegen, dass das Gesuch trotz formeller Korrektheit nicht dem eigentlichen Zweck des Auskunftsrechts dient, nämlich der Kontrolle und Überprüfung der eigenen Datenverarbeitung. Sodann muss es subjektiv nachweisen, dass die gesuchstellende Person von vornherein beabsichtigte, die Voraussetzungen für einen Schadenersatzanspruch künstlich herbeizuführen.  

• Öffentliche Quellen als Beweismittel: Das Unternehmen darf öffentlich zugängliche Informationen (z.B. Medienberichte, Blogeinträge über bekannte «Datenschutz-Trolle») zur Beweisführung heranziehen, sofern diese durch weitere Anhaltspunkte bestätigt werden.  

• Schadenersatz auch ohne rechtswidrige Datenbearbeitung: Art. 82 Abs. 1 DSGVO gewährt einen Schadenersatzanspruch nicht nur bei rechtswidriger Datenverarbeitung, sondern auch bei der blossen Verletzung des Auskunftsrechts gemäss Art. 15 DSGVO. Die Verletzung prozessualer Rechte ist für sich allein haftungsbegründend.  

• Immaterieller Schaden – kein Automatismus: Der Verlust der Kontrolle über Daten oder die Ungewissheit über deren Verarbeitung können immateriellen Schaden darstellen. Ein Schadenersatz entfällt aber, wenn der Kausalzusammenhang durch das eigene Verhalten der betroffenen Person unterbrochenwird – insbesondere, wenn diese den Verstoss bewusst provoziert hat, um einen Anspruch zu generieren.  

UMFANG DES AUSKUNFTSRECHTS (Art. 15 DSGVO) – WAS IST ERFASST, WAS NICHT? 

Vom Auskunftsrecht erfasst (Art. 15 DSGVO) 

• Das Recht zu erfahren, ob überhaupt personenbezogene Daten verarbeitet werden.  

• Bei bestehender Verarbeitung: Auskunft über die Daten selbst, Verarbeitungszwecke, Kategorien, Empfänger, Speicherdauer, Herkunft der Daten sowie allfällige automatisierte Entscheidungen.  

• Das Recht, dieses Auskunftsrecht unentgeltlich und in der Regel innert Monatsfrist auszuüben.  

• Schadenersatz für immaterielle Schäden, die aus der Verletzung des Auskunftsrechts resultieren (einschliesslich Kontrollverlust und Ungewissheit über Verarbeitung)  

Nicht vom Auskunftsrecht erfasst bzw. nicht schutzwürdig 

• Auskunftsbegehren, die nicht dem Zweck dienen, die eigene Datenverarbeitung zu kontrollieren, sondern missbräuchlich zur Erzielung von Schadenersatz gestellt werden.  

• Schadenersatz, wenn die betroffene Person den Schaden (z.B. Kontrollverlust) durch eigenes missbräuchliches Handeln selbst herbeigeführt hat – der Kausalzusammenhang wird unterbrochen.  

• Schadenersatz ohne Nachweis eines tatsächlich entstandenen Schadens – kein Automatismus aus dem blossen Verstoss.  

KONSEQUENZEN FÜR DIE SCHWEIZ UND IHRE RECHTSPRECHUNG  

Relevanz für die Schweiz 

Obwohl die DSGVO in der Schweiz nicht unmittelbar gilt, orientiert sich das revidierte Datenschutzgesetz (DSG, in Kraft seit 1. September 2023) eng an den europäischen Vorgaben. Schweizer Gerichte ziehen die DSGVO und die EuGH-Rechtsprechung regelmässig als Auslegungshilfe für die eurokompatible Anwendung des DSG heran.  

Stärkung des Rechtsmissbrauchsverbots (Art. 2 ZGB) 

Das Urteil bestätigt und stärkt die Anwendung von Art. 2 Abs. 2 ZGB («Der offenbare Missbrauch eines Rechts findet keinen Rechtsschutz») im Datenschutzrecht. Schweizer Gerichte werden die Logik des EuGH voraussichtlich übernehmen: Nicht die Anzahl der Gesuche, sondern die zweckfremde Absicht ist entscheidend.  

Art. 26 Abs. 1 lit. c DSG erlaubt die Verweigerung von Auskunft bei «offensichtlich querulatorischen» Gesuchen oder solchen mit datenschutzwidrigem Zweck. Das EuGH-Urteil liefert wertvolle Kriterien zur Konkretisierung dieser Bestimmung.  

Wesentlicher Unterschied: Höhere Schwelle für Genugtuung (Art. 32 Abs. 3 DSG) 

Während der EuGH den Kontrollverlust als potenziell ersatzfähigen immateriellen Schaden anerkennt, setzt Art. 32 Abs. 3 DSG für einen Genugtuungsanspruch eine schwere Persönlichkeitsverletzung voraus. Die blosse Verweigerung einer Auskunft oder die damit verbundene Ungewissheit dürfte diese Schwelle in der Schweiz regelmässig nicht erreichen.  

Dies stellt für «Datenschutz-Trolle» in der Schweiz eine erheblich höhere Hürde dar als im EU-Recht und dürfte das Geschäftsmodell systematischer Auskunftsbegehren zum Zweck der Schadenersatzerzielung in der Schweiz weitgehend unattraktiv machen.  

Übereinstimmung beim Kausalzusammenhang  

Die Ausführungen des EuGH zur Unterbrechung des Kausalzusammenhangs durch das Verhalten der betroffenen Person decken sich vollständig mit den Grundsätzen des schweizerischen Haftpflichtrechts (Selbstverschulden). Wer einen Verstoss bewusst provoziert, verliert seinen Anspruch.  

KONSEQUENZEN FÜR UNTERNEHMEN  

Das Urteil ist kein Freifahrtschein, Auskunftsbegehren pauschal abzulehnen – die Beweislast für Missbrauch liegt vollständig beim Unternehmen. Fehlerhafte oder verspätete Auskünfte sind das Einfallstor für Schadenersatzansprüche – unabhängig davon, ob die Anfrage gutgläubig oder missbräuchlich gestellt wurde.   

Für Schweizer Unternehmen kommt hinzu, dass das revidierte DSG seit September 2023 vergleichbare Auskunftspflichten kennt. Die Schwelle für Genugtuungsansprüche liegt zwar höher als im EU-Recht – das entbindet aber nicht von der Pflicht zur fristgerechten und vollständigen Auskunftserteilung.  

Konkret empfiehlt sich daher, Auskunftsprozesse zu verschlanken und intern klar zuzuweisen, Antworten verständlich zu formulieren, statt nur Rohdaten zu liefern, Datenhaltung so zu strukturieren, dass Auskünfte rasch und vollständig erteilt werden können.  

FAZIT  

Der EuGH hat mit seinem Urteil eine wichtige Grenze gegen den Missbrauch des datenschutzrechtlichen Auskunftsrechts gezogen: Wer eine Auskunft nach Art. 15 DSGVO nicht zur Kontrolle der eigenen Datenverarbeitung stellt, sondern gezielt zur Konstruktion von Schadenersatzansprüchen, handelt missbräuchlich – und verliert sowohl den Anspruch auf Auskunft als auch auf Genugtuung. Für die Schweiz bestätigt das Urteil die Anwendung des Rechtsmissbrauchsverbots (Art. 2 ZGB) im Datenschutzrecht. Zugleich setzt das Schweizer DSG mit dem Erfordernis einer schweren Persönlichkeitsverletzung für Genugtuungsansprüche die Hürde noch höher als das EU-Recht, was das Geschäftsmodell der «Datenschutz-Trolle» unattraktiv macht. 

FAQs

• Was ist der Zweck des Auskunftsrechts nach Art. 15 DSGVO bzw. Art. 25 DSG?

  Das Auskunftsrecht gibt betroffenen Personen die Möglichkeit, zu erfahren, ob und wie ihre Daten verarbeitet werden – und diese Verarbeitung zu kontrollieren und allenfalls anzufechten. Es ist kein allgemeines Informationsrecht, sondern ein gezieltes Instrument des Datenschutzes. Wer es für andere Zwecke einsetzt – etwa zur gezielten Erzielung von Schadenersatz – verlässt den Schutzbereich der Norm.

• Was ist ein «Datenschutz-Troll»?

  Als «Datenschutz-Troll» - wobei es sich nicht um eine Legaldefinition handelt – bezeichnet man Personen, die Auskunftsbegehren nicht aus echtem Interesse an ihren Daten stellen, sondern systematisch und mit dem primären Ziel, Unternehmen in Verfahrensfehler zu treiben und daraus Schadenersatzansprüche abzuleiten. Das Muster ist typischerweise: Anmeldung für einen Dienst -> sofortiges Auskunftsbegehren -> Schadenersatzforderung bei Fristversäumnis oder Formfehler.

• Was versteht man unter Unterbrechung des Kausalzusammenhangs?

  Der Kausalzusammenhang ist die rechtliche Verbindung zwischen einem schädigenden Ereignis und dem eingetretenen Schaden – ohne ihn gibt es keinen Schadenersatzanspruch. Er kann unterbrochen werden, wenn das Verhalten der geschädigten Person selbst so massgebend zum Schaden beigetragen hat, dass die ursprüngliche Handlung nicht mehr als entscheidende Ursache gilt. Im vorliegenden Kontext bedeutet dies: Wer einen Datenschutzverstoss bewusst provoziert, um daraus einen Anspruch zu konstruieren, kann keinen Schadenersatz fordern – der Kausalzusammenhang ist durch das eigene Verhalten unterbrochen.