04/26: Taktische Nutzung von Betroffenenrechten?

HMDATA Datenschutz-Newsletter 04/2026, Autor: Dipl.-Ing. (FH) Harald Müller-Delius, MBA, ©HMD 2026

Die Betroffenenrechte sind als unabdingbares Kontrollrecht der Verarbeitung personenbezogener Daten eines der wichtigsten Elemente der gesamten DSGVO.
So soll der Kunde eines Unternehmens jederzeit über die Verarbeitung seiner Daten informiert werden und ggf. Rechte zu deren Nutzung ausüben können.
Soweit so gut – doch aus dem ursprünglichen ritterlichen Ansehen im Dienste der Menschheit kann sehr leicht auch missbräuchliche Verwendung werden, wenn sich Kunde und Unternehmen überworfen haben oder ChatGPT Antwort auf die Frage „Wie kann ich einem Unternehmen maximal auf den Senkel gehen?“ beantwortet.

Aktuelle Fälle

Bekannt wurde die missbräuchliche Verwendung von einem Kunden, der massenhaft Newsletter abonnierte und im Anschluss Auskunftsanfragen nach Art. 15 DSGVO stellte. Sollten diese nicht zu seiner Zufriedenheit ausfallen, reichte er Klage ein und machte Schadenersatz i. H. v. mehreren Hundert Euro geltend.

Ein ähnlicher Fall ist nun dem EuGH im Urteil vom 19.03.2026 (Az. C 526/24) vorgelegt worden. Dieser hatte unter anderem auch den in Art. 12 Abs. 5 DSGVO definierten Begriff der „exzessiven Anträge“ zu definieren. Es stellte sich die Frage, ob ein „exzessiv“ bereits nach der ersten Anfrage zur Auskunft nach Art. 15 DSGVO vorliegen kann.

Einstufung durch den EuGH

Die Entscheidung fällt pragmatisch aus: wie dem Ursprungsgedanken der DSGVO zu Grunde liegt, ist die Exzessivität einer Auskunftsanfrage streng auszulegen und legt dem Unternehmen die Pflicht auf, eine missbräuchliche Anwendung konkret und nachweisbar zu begründen und nur für Ausnahmefälle in Entscheidung zu ziehen.

Jedoch wird auch klargestellt, dass das Auskunftsrecht nicht für taktische oder missbräuchliche Zwecke durch Betroffene genutzt werden darf. „Exzessiv“ kann also durchaus bereits bei der ersten Anfrage erfüllt sein.

Daraus folgend wird zwar die Unabdingbarkeit von Betroffenenrechten nicht in Zweifel gezogen, jedoch stehen Unternehmen nicht schutzlos dar, wenn ein begründbarer Verdacht des Missbrauchs des ursprünglichen Zweckes der Betroffenenrechte dokumentierbar ist.

Bedeutung für die Praxis

Insofern heißt es um so mehr: insb. beim Recht auf Auskunft nach Art. 15 DSGVO sind die Sichtweisen von Betroffenem und Unternehmen immer im Einzelfall abzuwägen. In der Vergangenheit sind entsprechende „Geschäftsmodelle“ findiger Betrüger immer gehäuft aufgetreten, so dass in Expertenkreisen durchaus Expertise im Umgang mit jeweiligen Anfragen besteht.

Deswegen gilt um so mehr: kein Unternehmen muss sich selbst belasten oder unsinnigen nutzlosen Anfragen schutzlos ausgeliefert sein. Jedes Betroffenenrecht sollte individuell im Einzelfall geprüft und vor allem in der Entscheidung des Umfangs oder der Verweigerung dokumentiert werden.

Benötigen Sie Unterstützung bei der rechtssicheren Bearbeitung von Betroffenenanfragen? Wir beraten Sie zur DSGVO-konformen Dokumentation und Entscheidungsfindung. Anfragen per E-Mail an hmd@hmdata.de.