Das Auskunftsrecht des Artikels 15 DSGVO ist eine der schönsten Erfindungen der Verordnung. Jede Person darf wissen, welche Daten ein Unternehmen über sie verarbeitet, zu welchem Zweck, an wen sie weitergegeben werden, wie lange sie gespeichert bleiben. Das ist die juristische Konkretisierung einer alten Idee: dass der Mensch das Subjekt seiner Daten bleibt, nicht ihr Objekt.
In dreißig Jahren Datenschutz habe ich diesen Antrag immer wieder als das gesehen, was er sein sollte – eine Geste der Selbstbehauptung. Jemand will wissen, was über ihn bekannt ist. Ein berechtigtes, oft sogar notwendiges Anliegen.
Aber etwas hat sich in den letzten Jahren verändert. Der Antrag kommt nicht mehr nur einzeln. Er kommt seriell, formularhaft, aus Kanzleien, die sich auf eben diese Anträge spezialisiert haben. Er kommt in Wellen über Unternehmen, oft mit identischem Wortlaut, oft mit dem unausgesprochenen Ziel, aus formellen Bearbeitungsfehlern Schadensersatzansprüche zu generieren. Aus der Geste der Selbstbehauptung ist mancherorts ein Geschäftsmodell geworden.
Was Brillen Rottler verschiebt
Am 19. März 2026 hat der Europäische Gerichtshof in der Sache Brillen Rottler (C-526/24) eine bemerkenswerte Entscheidung getroffen. Bisher galt: Mehrfache, identische Auskunftsanträge derselben Person können als exzessiv im Sinne des Artikels 12 Absatz 5 gewertet werden. Der erste Antrag dagegen war kaum angreifbar – er galt als die Grundausstattung jedes Betroffenen.
Der EuGH hat diese Linie nun verschoben. Auch ein erster Antrag kann missbräuchlich sein, wenn er nicht echtem Auskunftsinteresse dient. Etwa, wenn er ersichtlich nicht der Information dient, sondern der Vorbereitung eines Schadensersatzbegehrens. Oder wenn er von einem industriell betriebenen Geschäftsmodell ausgeht, das die DSGVO als Hebel benutzt, nicht als Schutz.
Das ist eine kleine juristische Bewegung mit großen praktischen Folgen. Sie gibt Unternehmen erstmals eine Verteidigungslinie, die vorher nicht existierte. Und sie sagt etwas Grundsätzliches: Das Recht wird nicht entwertet, wenn man seinen Missbrauch benennt. Es wird gestärkt.
Die andere Seite der Medaille
Doch jede juristische Verschiebung hat ihre Schattenseiten. Wer entscheidet, was ein missbräuchlicher Antrag ist und was ein berechtigter? Die Beweislast liegt beim Verantwortlichen – beim Unternehmen, das den Antrag bekommt. Es muss begründen, warum es ihn ablehnt oder einschränkt. Das ist juristisch sauber, in der Praxis aber heikel.
Denn jetzt entsteht ein neuer Anreiz: Unternehmen könnten geneigt sein, Auskunftsanträge pauschal als zweifelhaft einzustufen, um sich Arbeit zu ersparen. Die ehrlichen Antragsteller – die Bürgerin, die wissen will, was über sie gespeichert ist, der Bewerber, der eine Erklärung sucht – werden mit der industriellen Welle in einen Topf geworfen.
Das wäre die genau falsche Lehre aus Brillen Rottler. Das Urteil sagt nicht: Auskunftsanträge sind verdächtig. Es sagt: Auch das berechtigte Recht hat eine Grenze, wenn es zweckentfremdet wird. Wer aus diesem Satz „lehnt ab im Zweifel" macht, hat die DSGVO nicht verstanden – und schadet den Betroffenen, denen sie eigentlich helfen soll.
Das Reifestadium
Brillen Rottler ist kein einzelnes Urteil. Es ist ein Symptom einer größeren Bewegung. Acht Jahre nach Inkrafttreten der DSGVO ist die europäische Datenschutzlandschaft jenseits der Aufbauphase angekommen. Die ersten Wellen sind durchgespült: Die großen Definitionen sind gesetzt, die zentralen Begriffe geklärt, die Aufsichtsstruktur etabliert. Was jetzt geschieht, ist Kalibrierung.
Die Verordnung lernt, was sie geschrieben hat. Sie lernt, wo sie zu weit greift und wo sie zu kurz greift. Sie lernt, was im Markt mit ihr geschieht – nicht nur in den intendierten, sondern auch in den unintendierten Bahnen. Brillen Rottler ist ein Beispiel von vielen. Es wird nicht das letzte sein. Das Urheberrecht im Zeitalter der KI wird der nächste große Ort solcher Kalibrierungen sein. Danach kommen Themen, die wir heute noch nicht benennen können.
Das ist nicht das Ende der DSGVO. Es ist ihr Erwachsenwerden. Ein Recht, das nicht justiert wird, ist ein Recht, das die Wirklichkeit überholt. Was wir gerade erleben, ist die andere Möglichkeit – ein Recht, das nachjustiert wird, weil es leben will.
Was bleibt
Vor einigen Wochen erzählte mir die Geschäftsführerin eines mittelständischen Online-Händlers, sie habe inzwischen einen eigenen Ordner für Auskunftsanträge derselben Kanzlei. Drei pro Woche, im gleichen Wortlaut, von wechselnden Personen, mit identischem Briefkopf. Ihre Mitarbeiter wussten nicht mehr, ob sie lachen oder weinen sollten. Sie bearbeiteten weiter, aus Pflicht, aus Angst vor Bußgeldern. Im Hintergrund lief eine Klagewelle.
Mit Brillen Rottler hat sie jetzt eine Wahl. Sie kann den Antrag genau anschauen – nicht pauschal abweisen, aber sehr genau prüfen, ob dahinter ein echtes Auskunftsinteresse steht oder eine industrielle Routine. Das ist mehr Arbeit als vorher, nicht weniger. Aber es ist Arbeit, die wieder einen Sinn hat.
Und vielleicht ist das die eigentliche Botschaft des Urteils. Das Datenschutzrecht ist nicht naiv. Es schützt nicht jeden, der sich auf es beruft – sondern jeden, der seinen Schutz tatsächlich braucht. Diese Unterscheidung wird in den nächsten Jahren die Disziplin prägen, in der wir alle arbeiten.
Sie macht das Recht nicht schwächer. Sie macht es ehrlicher.