Das AG Arnsberg hat den EuGH ersucht, zu klären, welche Grenzen der Ausübung des Rechts auf Auskunft und des Anspruchs auf Schadenersatz nach der DSGVO zu setzen sind, die eine betroffene Person in vermeintlich missbräuchlicher Weise gegenüber einem privaten Unternehmen als dem für die Datenverarbeitung Verantwortlichen geltend macht. (RN 3; zum Sachverhalt siehe RN 12 ff.)
In seinen Schlussanträgen vom 18.09.2025 schlägt Generalanwalt (GenA) Maciej Szpunar dem Gerichtshof vor, dem AG Arnsberg wie folgt zu antworten: (RN 92)
1. Art. 12 Abs. 5 Satz 2 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG
ist dahin auszulegen, dass
- ein erster Auskunftsantrag, der gemäß Art. 15 der Verordnung 2016/679 bei einem Verantwortlichen gestellt wird, als „exzessiv“ eingestuft werden kann, wenn Letzterer anhand aller relevanten Umstände des Einzelfalls nachweist, dass die betroffene Person eine Missbrauchsabsicht verfolgt, wobei eine solche Absicht festgestellt werden kann, wenn diese Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat, um diesen Auskunftsantrag stellen und anschließend Schadenersatz verlangen zu können;
- ein solcher Antrag nicht allein deshalb als „exzessiv“ eingestuft werden kann, weil öffentlich zugängliche Informationen den Schluss zulassen, dass die betroffene Person in zahlreichen Fällen bei Verletzungen des Datenschutzrechts ihr Recht auf Schadenersatz gegenüber einem Verantwortlichen geltend gemacht hat.
2. Art. 82 Abs. 1 der Verordnung 2016/679
ist dahin auszulegen, dass
der betroffenen Person aufgrund eines Verstoßes gegen diese Verordnung entstandene Schäden auch dann ersatzfähig sind, wenn sie nicht infolge einer Verarbeitung personenbezogener Daten dieser Person verursacht wurden (Mitteilung des EuGH v. 18.09.2025).
Zu Antwort 2 führt der Generalanwalt u.a. aus, dass aus seiner Sicht ein Recht auf Schadenersatz besteht, wenn der erlittene Schaden entweder auf einer gegen die DSGVO verstoßenden Datenverarbeitung oder auf einem anderen Verstoß gegen die DSGVO beruht, sofern das Vorliegen eines solchen Schadens nachgewiesen wird. (RN 73)
