Brillen Rottler

SCHLUSSANTRÄGE DES GENERALANWALTS

MACIEJ SZPUNAR

vom 18. September 2025(1)

Rechtssache C‑526/24

Brillen Rottler GmbH & Co. KG

gegen

TC

(Vorabentscheidungsersuchen des Amtsgerichts Arnsberg [Deutschland])

„ Vorlage zur Vorabentscheidung – Verordnung (EU) 2016/679 – Schutz personenbezogener Daten – Antrag der betroffenen Person auf Auskunft hinsichtlich der sie betreffenden personenbezogenen Daten – Recht des Verantwortlichen, sich zu weigern, aufgrund des Antrags tätig zu werden – Exzessiver Charakter des Antrags – Rechtsmissbrauch – Recht auf Schadenersatz – Schadensbegründendes Ereignis “

I.Einleitung

1.Verleiht die Rechtsordnung einer Person ein subjektives Recht, ist die Ausübung dieses Rechts grundsätzlich als rechtmäßig anzusehen. Wenn die Art und Weise, wie dieses Recht ausgeübt wird, jedoch den Zielen der ihm zugrundeliegenden Rechtsnorm zuwiderläuft, kann die Rechtsordnung namentlich durch das Instrument des Rechtsmissbrauchs Schranken setzen(2).

2.In diesem Zusammenhang gibt es im Unionsrecht einen – auch für privatrechtliche Beziehungen geltenden – allgemeinen Rechtsgrundsatz, wonach sich die Bürger nicht in betrügerischer oder missbräuchlicher Weise auf unionsrechtliche Normen berufen dürfen(3).

3.Die vorliegende Rechtssache betrifft eine konkrete Ausprägung dieses Grundsatzes im abgeleiteten Recht, insbesondere im Rahmen des „private enforcement“ der Verordnung (EU) 2016/679(4) (im Folgenden: DSGVO). Der Gerichtshof wird gebeten, insbesondere zu klären, welche Grenzen der Ausübung des Rechts auf Auskunft und des Anspruchs auf Schadenersatz zu setzen sind, die eine betroffene Person in vermeintlich missbräuchlicher Weise gegenüber einem privaten Unternehmen als dem für die Datenverarbeitung Verantwortlichen geltend macht.

II.Unionsrecht: DSGVO

4.In den Erwägungsgründen 10, 11, 60, 63, 141 und 146 der DSGVO heißt es:

„(10)      Um ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen zu gewährleisten und die Hemmnisse für den Verkehr personenbezogener Daten in der Union zu beseitigen, sollte das Schutzniveau für die Rechte und Freiheiten von natürlichen Personen bei der Verarbeitung dieser Daten in allen Mitgliedstaaten gleichwertig sein. Die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten von natürlichen Personen bei der Verarbeitung personenbezogener Daten sollten unionsweit gleichmäßig und einheitlich angewandt werden. …

(11)      Ein unionsweiter wirksamer Schutz personenbezogener Daten erfordert die Stärkung und präzise Festlegung der Rechte der betroffenen Personen sowie eine Verschärfung der Verpflichtungen für diejenigen, die personenbezogene Daten verarbeiten und darüber entscheiden …

…

(60)      Die Grundsätze einer fairen und transparenten Verarbeitung machen es erforderlich, dass die betroffene Person über die Existenz des Verarbeitungsvorgangs und seine Zwecke unterrichtet wird. Der Verantwortliche sollte der betroffenen Person alle weiteren Informationen zur Verfügung stellen, die unter Berücksichtigung der besonderen Umstände und Rahmenbedingungen, unter denen die personenbezogenen Daten verarbeitet werden, notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten. …

…

(63)      Eine betroffene Person sollte ein Auskunftsrecht hinsichtlich der sie betreffenden personenbezogenen Daten, die erhoben worden sind, besitzen und dieses Recht problemlos und in angemessenen Abständen wahrnehmen können, um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können. … Jede betroffene Person sollte daher ein Anrecht darauf haben zu wissen und zu erfahren, insbesondere zu welchen Zwecken die personenbezogenen Daten verarbeitet werden und, wenn möglich, wie lange sie gespeichert werden, wer die Empfänger der personenbezogenen Daten sind, nach welcher Logik die automatische Verarbeitung personenbezogener Daten erfolgt und welche Folgen eine solche Verarbeitung haben kann, zumindest in Fällen, in denen die Verarbeitung auf Profiling beruht. …

…

(141)      Jede betroffene Person sollte das Recht haben, bei einer einzigen Aufsichtsbehörde insbesondere in dem Mitgliedstaat ihres gewöhnlichen Aufenthalts eine Beschwerde einzureichen und gemäß Artikel 47 der Charta [der Grundrechte der Europäischen Union] einen wirksamen gerichtlichen Rechtsbehelf einzulegen, wenn sie sich in ihren Rechten gemäß dieser Verordnung verletzt sieht …“

…

(146) Der Verantwortliche oder der Auftragsverarbeiter sollte Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht, ersetzen. Der Verantwortliche oder der Auftragsverarbeiter sollte von seiner Haftung befreit werden, wenn er nachweist, dass er in keiner Weise für den Schaden verantwortlich ist. Der Begriff des Schadens sollte im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht. … Die betroffenen Personen sollten einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten. …“

5.Art. 4 Nr. 2 DSGVO definiert den Begriff „Verarbeitung“ als „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung“.

6.Art. 12 („Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person“) Abs. 1 und 5 DSGVO sieht vor:

„(1)      Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, … zu übermitteln…

…

(5)      Informationen gemäß den Artikeln 13 und 14 sowie alle Mitteilungen und Maßnahmen gemäß den Artikeln 15 bis 22 und Artikel 34 werden unentgeltlich zur Verfügung gestellt. Bei offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anträgen einer betroffenen Person kann der Verantwortliche entweder

a)      ein angemessenes Entgelt verlangen, bei dem die Verwaltungskosten für die Unterrichtung oder die Mitteilung oder die Durchführung der beantragten Maßnahme berücksichtigt werden, oder

b)      sich weigern, aufgrund des Antrags tätig zu werden.

Der Verantwortliche hat den Nachweis für den offenkundig unbegründeten oder exzessiven Charakter des Antrags zu erbringen.

…“

7.Art. 15 („Auskunftsrecht der betroffenen Person“) Abs. 1 DSGVO bestimmt:

„Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten …“

8.Art. 57 („Aufgaben“) Abs. 4 DSGVO lautet:

„Bei offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anfragen kann die Aufsichtsbehörde eine angemessene Gebühr auf der Grundlage der Verwaltungskosten verlangen oder sich weigern, aufgrund der Anfrage tätig zu werden. In diesem Fall trägt die Aufsichtsbehörde die Beweislast für den offenkundig unbegründeten oder exzessiven Charakter der Anfrage.“

9.In Art. 79 („Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter“) Abs. 1 DSGVO heißt es:

„Jede betroffene Person hat unbeschadet eines verfügbaren verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs einschließlich des Rechts auf Beschwerde bei einer Aufsichtsbehörde gemäß Artikel 77 das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn sie der Ansicht ist, dass die ihr aufgrund dieser Verordnung zustehenden Rechte infolge einer nicht im Einklang mit dieser Verordnung stehenden Verarbeitung ihrer personenbezogenen Daten verletzt wurden. …“

10.Art. 80 („Vertretung von betroffenen Personen“) Abs. 2 DSGVO sieht vor:

„Die Mitgliedstaaten können vorsehen, dass jede der in Absatz 1 des vorliegenden Artikels genannten Einrichtungen, Organisationen oder Vereinigungen unabhängig von einem Auftrag der betroffenen Person in diesem Mitgliedstaat das Recht hat, bei der gemäß Artikel 77 zuständigen Aufsichtsbehörde eine Beschwerde einzulegen und die in den Artikeln 78 und 79 aufgeführten Rechte in Anspruch zu nehmen, wenn ihres Erachtens die Rechte einer betroffenen Person gemäß dieser Verordnung infolge einer Verarbeitung verletzt worden sind.“

11.Art. 82 („Haftung und Recht auf Schadenersatz“) Abs. 1 bis 3 DSGVO bestimmt:

„(1)      Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

(2)      Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat.

(3)      Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.“

III.Ausgangsrechtsstreit, Vorlagefragen und Verfahren vor dem Gerichtshof

12.Im März 2023 abonnierte TC, der Beklagte des Ausgangsverfahrens, ein in Wien (Österreich) wohnhafter Privatmann, den Newsletter der Brillen Rottler GmbH & Co. KG (im Folgenden: Brillen Rottler), eines in Arnsberg (Deutschland) ansässigen familiengeführten Optikunternehmens. TC trug seine persönlichen Daten in das Anmeldeformular auf der Website des Unternehmens ein und erteilte seine Einwilligung zur Verarbeitung dieser Daten. 13 Tage später richtete der Beklagte des Ausgangsverfahrens eine Auskunftsanfrage gemäß Art. 15 DSGVO an Brillen Rottler.

13.Brillen Rottler wies diese Anfrage fristgerecht mit der Begründung zurück, sie sei missbräuchlich im Sinne von Art. 12 Abs. 5 Satz 2 DSGVO, und forderte den Beklagten des Ausgangsverfahrens auf, endgültig davon abzusehen. Dieser verfolgte seinen Auskunftsanspruch weiter und ergänzte ihn um einen Anspruch auf Schadenersatz gemäß Art. 82 DSGVO in Höhe von 1 000 Euro.

14.Brillen Rottler erhob beim vorlegenden Gericht Klage mit dem Antrag, festzustellen, dass der Beklagte des Ausgangsverfahrens keinen Anspruch auf eine Entschädigung habe. Sie machte geltend, aus verschiedenen Online-Berichten und Blogbeiträgen von Rechtsanwälten gehe hervor, dass der Beklagte des Ausgangsverfahrens Auskunftsanfragen systematisch und rechtsmissbräuchlich mit dem alleinigen Ziel stelle, Schadenersatz zu erlangen, indem er einen Verstoß gegen die DSGVO geltend mache, den er vorsätzlich nach demselben Muster provoziere: Anmeldung zu einem Newsletter, Auskunftsbegehren und dann Forderung von Schadenersatz.

15.Am 25. September 2023 erhob der Beklagte beim vorlegenden Gericht Widerklage mit dem Antrag, Brillen Rottler zu verurteilen, ihm Auskunft über die Verarbeitung seiner Daten zu erteilen und ihm gemäß Art. 82 DSGVO eine Entschädigung für den erlittenen immateriellen Schaden zu zahlen. Er argumentierte, sein Recht auf Auskunft gemäß Art. 15 DSGVO könne voraussetzungslos ausgeübt werden. Außerdem halte er sich regelmäßig in Deutschland auf, so dass er ein berechtigtes Interesse am Newsletter von Brillen Rottler habe.

16.Nach Ansicht des vorlegenden Gerichts sollte wegen des Grundsatzes der Transparenz der Verarbeitung personenbezogener Daten eine Einschränkung des Rechts auf Auskunft im Falle eines ersten Antrags nur ausnahmsweise in Betracht kommen, wobei die Absicht des Antragstellers, anschließend Schadenersatz zu verlangen, kein hinreichender Grund für eine Ablehnung sein könne. Angesichts der Gefahr, dass der Verantwortliche diese Möglichkeit der Ablehnung missbrauchen könnte, genüge der Verweis auf öffentlich zugängliche Informationen, aus denen hervorgehe, dass die betroffene Person zahlreiche Anträge gestellt habe, für sich genommen nicht, um die Nichterteilung der Auskunft zu rechtfertigen.

17.Zum Anspruch auf Schadenersatz führt das vorlegende Gericht aus, jeder Verstoß gegen die DSGVO durch den Verantwortlichen könne einen solchen Anspruch begründen, auch wenn keine Datenverarbeitung stattgefunden habe. Die betroffene Person könne daher auch bei einer Verletzung ihres Auskunftsrechts Schadenersatz nach Art. 82 Abs. 1 DSGVO verlangen.

18.Vor diesem Hintergrund hat das Amtsgericht Arnsberg (Deutschland) das Verfahren ausgesetzt und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorgelegt:

1.      Ist Art. 12 Abs. 5 Satz 2 DSGVO dahingehend auszulegen, dass ein exzessiver Antrag auf Auskunft durch den Betroffenen nicht bei der ersten Antragstellung gegenüber dem Verantwortlichen vorliegen kann?

2.      Ist Art. 12 Abs. 5 Satz 2 DSGVO dergestalt auszulegen, dass der Verantwortliche ein Auskunftsersuchen des Betroffenen verweigern kann, wenn der Betroffene beabsichtigt, mit dem Auskunftsersuchen Schadenersatzansprüche gegen den Verantwortlichen zu provozieren?

3.      Ist Art. 12 Abs. 5 Satz 2 DSGVO dahingehend auszulegen, dass öffentlich zugängliche Informationen über den Betroffenen, die den Schluss zulassen, dass dieser in einer Vielzahl von Fällen bei Datenschutzverstößen Schadenersatzansprüche gegen Verantwortliche geltend macht, die Verweigerung der Auskunft rechtfertigen können?

4.      Ist Art. 4 Nr. 2 DSGVO dergestalt auszulegen, dass das Auskunftsersuchen eines Betroffenen gegenüber dem Verantwortlichen gemäß Art. 15 Abs. 1 DSGVO und/oder dessen Beantwortung eine Verarbeitung im Sinne von Art. 4 Nr. 2 DSGVO darstellt?

5.      Ist Art. 82 Abs. 1 DSGVO in Ansehung von Erwägungsgrund 146 Satz 1 DSGVO dahingehend auszulegen, dass lediglich diejenigen Schäden ersatzfähig sind, die dem Betroffenen aufgrund einer Verarbeitung entstehen bzw. entstanden sind? Bedeutet dies, dass für einen Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO – das Vorliegen eines kausalen Schadens des Betroffenen unterstellt – zwingend eine Verarbeitung der personenbezogenen Daten des Betroffenen vorgelegen haben muss?

6.      Falls Frage 5 bejaht wird: Führt dies dazu, dass dem Betroffenen – das Vorliegen eines kausalen Schadens unterstellt – allein aus der Verletzung seines Auskunftsrechts nach Art. 15 Abs. 1 DSGVO kein Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO zusteht?

7.      Ist Art. 82 Abs. 1 DSGVO dergestalt auszulegen, dass der Rechtsmissbrauchseinwand des Verantwortlichen in Bezug auf ein Auskunftsersuchen des Betroffenen in Ansehung des Unionsrechts nicht darin bestehen kann, dass der Betroffene die Verarbeitung seiner personenbezogenen Daten allein oder unter anderem deswegen herbeigeführt hat, um Schadenersatzansprüche geltend zu machen?

8.      Falls die Fragen 5 und 6 verneint werden: Stellt allein der mit einem Verstoß gegen Art. 15 Abs. 1 DSGVO einhergehende Kontrollverlust und/oder die Ungewissheit über die Verarbeitung der personenbezogenen Daten des Betroffenen einen immateriellen Schaden des Betroffenen im Sinne des Art. 82 Abs. 1 DSGVO dar oder bedarf es darüber hinaus einer weiteren (objektiven oder subjektiven) Einschränkung und/oder (spürbaren) Beeinträchtigung des Betroffenen?

19.Brillen Rottler, der Beklagte des Ausgangsverfahrens und die Europäische Kommission haben schriftliche Erklärungen eingereicht und an der mündlichen Verhandlung vom 5. Juni 2025 teilgenommen.

20.Dem Wunsch des Gerichtshofs entsprechend werde ich mich in den vorliegenden Schlussanträgen auf die Prüfung der Vorlagefragen 1 bis 7 konzentrieren.

IV.Würdigung

A.Zu den Fragen 1 bis 3 und 7

1.Zur Umformulierung der Fragen

21.Mit seinen ersten drei Fragen, die meines Erachtens zusammen behandelt werden können, möchte das vorlegende Gericht im Wesentlichen wissen, ob ein erster Antrag auf Auskunft als „exzessiv“ im Sinne von Art. 12 Abs. 5 Satz 2 DSGVO qualifiziert werden kann, wenn die betroffene Person ihn gestellt hat, um den Verantwortlichen anschließend auf Schadenersatz in Anspruch nehmen zu können, und öffentlich zugängliche Informationen den Schluss zulassen, dass die betroffene Person in zahlreichen Fällen bei Verletzungen des Datenschutzrechts ihr Recht auf Schadenersatz gegenüber einem Verantwortlichen geltend gemacht hat.

22.Mit seiner siebten Frage möchte dieses Gericht im Wesentlichen wissen, ob Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass der Verantwortliche den Auskunftsantrag der betroffenen Person nicht deshalb als rechtsmissbräuchlich ablehnen darf, weil diese die Verarbeitung ihrer personenbezogenen Daten allein oder u. a. deswegen herbeigeführt hat, um ihren Anspruch auf Schadenersatz geltend zu machen.

23.Obwohl diese Frage sich ausdrücklich auf die Auslegung von Art. 82 Abs. 1 DSGVO bezieht, hat sie nach meiner Meinung nicht die Auslegung der Voraussetzungen für den in dieser Bestimmung verankerten Schadenersatzanspruch zum Ziel. Denn sie hat im Gegensatz zu den Vorlagefragen 4 bis 6 und 8, die konkret diese Bestimmung betreffen, keine dieser Voraussetzungen zum Gegenstand. Mit der siebten Vorlagefrage soll so, wie sie formuliert ist, meines Erachtens geklärt werden, ob sich ein Verantwortlicher auf den exzessiven Charakter eines Auskunftsantrags im Sinne von Art. 12 Abs. 5 Satz 2 DSGVO berufen darf, wenn die betroffene Person beabsichtigt, die Verarbeitung ihrer Daten zu „provozieren“, um Schadenersatzansprüche geltend zu machen.

24.Demzufolge ist davon auszugehen, dass das vorlegende Gericht mit der siebten Frage auf die „Vorgehensweise“ abstellt, die Brillen Rottler dem Beklagten des Ausgangsverfahrens vorwirft, nämlich die Einwilligung in die Verarbeitung seiner Daten durch die Anmeldung zu einem Newsletter, um einen Auskunftsantrag stellen und anschließend einen Schadenersatzanspruch geltend machen zu können. So gesehen betrifft diese Frage die bereits mit den ersten drei Vorlagefragen angesprochene Auslegung von Art. 12 Abs. 5 Satz 2 DSGVO.

25.Daher schlage ich vor, die Vorlagefragen 1 bis 3 und 7 zusammen zu behandeln, und zwar in dem Sinne, dass geklärt werden soll, ob Art. 12 Abs. 5 Satz 2 DSGVO dahin auszulegen ist, dass ein erster Antrag auf Auskunft, der gemäß Art. 15 DSGVO bei einem Verantwortlichen gestellt wird, als „exzessiv“ qualifiziert werden kann, wenn

–        die betroffene Person ihre Einwilligung zur Verarbeitung ihrer Daten erteilt hat, um diesen Auskunftsantrag stellen und anschließend Schadenersatz geltend machen zu können;

–        öffentlich zugängliche Informationen den Schluss zulassen, dass die betroffene Person in zahlreichen Fällen bei Verletzungen des Datenschutzrechts ihr Recht auf Schadenersatz gegenüber einem Verantwortlichen geltend gemacht hat.

2.Prüfung

a)      Zum exzessiven Charakter eines ersten Antrags auf Auskunft

26.Nach Art. 12 Abs. 5 Satz 1 DSGVO werden „Informationen gemäß den Artikeln 13 und 14 sowie alle Mitteilungen und Maßnahmen gemäß den Artikeln 15 bis 22 und Artikel 34 … unentgeltlich zur Verfügung gestellt“. Wie der Gerichtshof im Urteil FT (Kopien der Patientenakte)(5) entschieden hat, stellt diese Bestimmung den Grundsatz auf, dass der betroffenen Person u. a. durch die Ausübung ihres Rechts auf Auskunft über die Daten, die Gegenstand einer Verarbeitung sind, und auf Auskunft über die damit verbundenen Informationen gemäß Art. 15 DSGVO keine Kosten entstehen.

27.In Art. 12 Abs. 5 Sätze 2 und 3 DSGVO sind sodann zwei Gründe genannt, aus denen ein Verantwortlicher entweder ein angemessenes Entgelt unter Berücksichtigung der Verwaltungskosten berechnen oder die Auskunft verweigern kann: wenn er nachweist, dass die betroffene Person mit „offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anträgen“ an ihn herangetreten ist.

28.Aus dem Wortlaut dieser Bestimmung geht somit hervor, dass ein Auskunftsantrag nicht nur dann „exzessiv“ sein kann, wenn mehrere Anträge gestellt werden, denn die häufige Wiederholung wird nur beispielhaft angeführt.

29.Auch wenn meines Erachtens somit nicht auszuschließen ist, dass ein erster Auskunftsantrag als exzessiv angesehen werden kann, teile ich doch die Auffassung des vorlegenden Gerichts, wonach sich ein Verantwortlicher nur in Ausnahmefällen auf einen solchen exzessiven Charakter berufen kann.

30.Da Art. 12 Abs. 5 Satz 2 DSGVO eine Ausnahme vom Grundsatz der unentgeltlichen Wahrnehmung des Auskunftsrechts vorsieht, ist erstens die Befugnis des Verantwortlichen, angemessene Kosten zu berechnen oder einen Auskunftsantrag abzulehnen, nach einem allgemeinen Auslegungsgrundsatz(6) eng auszulegen(7).

31.Zweitens weise ich auf die grundlegende Bedeutung des in Art. 15 DSGVO vorgesehenen Auskunftsrechts hin, das die Transparenz der Art und Weise der Verarbeitung personenbezogener Daten gegenüber der betroffenen Person und damit die Ausübung zahlreicher weiterer Rechte gewährleisten soll, die den von der DSGVO betroffenen Personen zustehen(8). Zudem ist in Art. 8 Abs. 2 Satz 2 der Charta der Grundrechte der Europäischen Union der Grundsatz verankert, dass „[j]ede Person … das Recht [hat], Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken“. Daher darf die Ausübung des Auskunftsrechts nicht an zu strenge Voraussetzungen geknüpft werden(9).

32.Dieses Auskunftsrecht ist nämlich erforderlich, um es der betroffenen Person zu ermöglichen, gegebenenfalls ihr Recht auf Berichtigung, ihr Recht auf Löschung („Recht auf Vergessenwerden“) und ihr Recht auf Einschränkung der Verarbeitung, die ihr nach den Art. 16, 17 bzw. 18 DSGVO zustehen, sowie ihr in Art. 21 DSGVO vorgesehenes Recht auf Widerspruch gegen die Verarbeitung ihrer personenbezogenen Daten oder ihre in den Art. 79 und 82 DSGVO vorgesehenen Rechte auf Einlegung eines gerichtlichen Rechtsbehelfs bzw. auf Schadenersatz auszuüben(10).

33.Drittens entspricht der Ausnahmecharakter der in Art. 12 Abs. 5 Satz 2 DSGVO vorgesehenen Möglichkeit, ein angemessenes Entgelt zu berechnen oder einen Auskunftsantrag abzulehnen, nach meiner Meinung dem mit der DSGVO verfolgten Zweck. Wie in ihren Erwägungsgründen 10 und 11 dargelegt, soll die DSGVO ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen in der Union gewährleisten und nicht nur die Rechte der betroffenen Personen stärken und präzise festlegen(11), sondern auch die Verpflichtungen für diejenigen verschärfen, die personenbezogene Daten verarbeiten und darüber entscheiden.

34.Angesichts dessen müssen die Anforderungen, damit ein erster Auskunftsantrag als „exzessiv“ eingestuft werden kann, meines Erachtens hoch sein.

b)      Zu den Umständen, unter denen ein Antrag als „exzessiv“ eingestuft werden kann

35.Aus dem Urteil FT(12) ergibt sich, dass die beiden Gründe, aus denen eine Ausnahme vom Grundsatz der Unentgeltlichkeit u. a. für die Ausübung des Auskunftsrechts gemacht wird, mit Fällen des „Rechtsmissbrauchs“ zu tun haben.

36.Der Gerichtshof hat aber in diesem Urteil die Bedeutung dieses Begriffs nicht näher erläutert. In jener Rechtssache stand nämlich fest, dass der Auskunftsantrag der betroffenen Person nicht missbräuchlich war(13).

37.Dem Urteil FT lag der Antrag eines Patienten zugrunde, der von seiner Zahnärztin unentgeltlich eine erste Kopie seiner Patientenakte anforderte, um Haftungsansprüche gegen die Ärztin wegen vermeintlicher Behandlungsfehler geltend zu machen(14). Die völlig legitime Absicht des Patienten bestand also darin, Auskunft über seine Daten zu erhalten, damit er gegebenenfalls seine Rechte aus dem Vertrag über die medizinische Behandlung im Falle von Behandlungsfehlern geltend machen konnte. In diesem Zusammenhang kam der Gerichtshof aufgrund einer wörtlichen, systematischen und teleologischen Auslegung von Art. 12 Abs. 5 und Art. 15 DSGVO zu dem Schluss, dass nicht einer der im ersten Satz des 63. Erwägungsgrundes der DSGVO genannten spezifischen Gründe zur Rechtfertigung des Auskunftsantrags – nämlich Kenntnis von der Datenverarbeitung zu nehmen und deren Rechtmäßigkeit zu überprüfen – geltend gemacht werden muss(15).

38.Dass die betroffene Person ihren Auskunftsantrag also nicht begründen muss, bedeutet jedoch nicht, dass die von ihr verfolgte Absicht immer unberücksichtigt bleiben müsste.

39.Im Urteil Österreichische Datenschutzbehörde hat der Gerichtshof in der Tat aufgrund einer wörtlichen, systematischen und teleologischen Auslegung von Art. 57 Abs. 4 DSGVO entschieden, dass die Feststellung des Vorliegens exzessiver Beschwerden voraussetzt, dass anhand aller relevanten Umstände jedes Einzelfalls nachgewiesen wird, dass die Person, die sich an die Aufsichtsbehörde wendet, eine Missbrauchsabsicht verfolgt(16).

40.Art. 57 Abs. 4 und Art. 12 Abs. 5 Satz 2 DSGVO haben den gleichen Wortlaut und verfolgen dasselbe Ziel, nämlich eine Ausnahme vom Grundsatz der Unentgeltlichkeit für die Aufgaben der Aufsichtsbehörden bzw. für die Ausübung u. a. des Auskunftsrechts der betroffenen Person vorzusehen. Daher gilt die in der vorstehenden Nummer vorgenommene Auslegung nach meiner Meinung entsprechend auch für die letztgenannte Bestimmung(17).

41.Folglich muss der Verantwortliche, um von der in Art. 12 Abs. 5 Satz 2 DSGVO vorgesehenen Möglichkeit Gebrauch machen und einen exzessiven Auskunftsantrag ablehnen – oder gegebenenfalls ein angemessenes Entgelt verlangen – zu können, nach Satz 3 dieser Bestimmung anhand aller relevanten Umstände jedes einzelnen Antrags nachweisen, dass die betroffene Person eine Missbrauchsabsicht verfolgt.

42.Der Rechtsmissbrauch ist ein Instrument, das unter den konkreten Umständen des jeweiligen Einzelfalls zum Tragen kommt. Es ist daher Sache des vorlegenden Gerichts, zu prüfen, ob Brillen Rottler unter Berücksichtigung der relevanten Umstände des Ausgangsverfahrens den exzessiven Charakter des vom Beklagten des Ausgangsverfahrens gestellten Auskunftsantrags nachgewiesen hat(18).

43.Die Aufgabe des Gerichtshofs besteht hingegen darin, im Wege der Auslegung zu klären, ob bestimmte Umstände unter den allgemeinen Rechtsbegriff „exzessiv“ subsumiert werden können.

44.Konkret wirft das vorlegende Gericht die Frage auf, ob ein erster Antrag auf Auskunft als exzessiv angesehen werden kann, wenn zum einen die betroffene Person eine „Vorgehensweise“ praktiziert, die darin besteht, in die Verarbeitung ihrer Daten einzuwilligen und anschließend einen Auskunftsantrag allein – oder unter anderem – deswegen zu stellen, um Schadenersatzansprüche geltend zu machen, und wenn zum anderen öffentlich zugängliche Informationen den Schluss zulassen, dass die betroffene Person in zahlreichen Fällen bei Verletzungen des Datenschutzrechts ihr Recht auf Schadenersatz gegenüber einem Verantwortlichen geltend gemacht hat.

45.Hierzu hat der Gerichtshof im Urteil Österreichische Datenschutzbehörde festgestellt, dass Art. 57 Abs. 4 DSGVO die ständige Rechtsprechung zu dem allgemeinen Rechtsgrundsatz widerspiegelt, wonach sich die Bürger nicht in betrügerischer oder missbräuchlicher Weise auf unionsrechtliche Normen berufen dürfen(19). Diese Rechtsprechung sieht eine zweistufige Prüfung vor und verlangt für den Nachweis einer missbräuchlichen Praxis das Vorliegen eines objektiven und eines subjektiven Elements(20). Wie ich bereits dargelegt habe(21), ist es aber, wenn das mit der Unionsregelung verfolgte Ziel a priori erreicht zu sein scheint, angebracht, die Prüfung nicht mit dem objektiven, sondern mit dem subjektiven Element zu beginnen und somit zu ermitteln, welche Absicht die betreffende Person hatte. Da Art. 15 DSGVO die Auskunft über Daten, die Gegenstand einer Verarbeitung sind, und auf Übermittlung damit verbundener Informationen gewährleisten soll, scheint dieses Ziel im vorliegenden Fall a priori erreicht zu sein, denn der Beklagte des Ausgangsverfahrens hat nach seiner Anmeldung zum Newsletter von Brillen Rottler einen Antrag auf Auskunft über die verarbeiteten Daten gestellt.

46.Im Urteil Österreichische Datenschutzbehörde hat der Gerichtshof zur Auslegung des Begriffs „exzessiver Charakter“ einer Beschwerde festgestellt, dass eine Missbrauchsabsicht bei der Ausübung des Beschwerderechts vorliegt, „wenn eine Person Beschwerden einreicht, ohne dass dies objektiv erforderlich ist, um ihre Rechte aus der [DSGVO] zu schützen“(22). Reicht eine betroffene Person eine große Zahl von Beschwerden bei der Aufsichtsbehörde ein, muss die Behörde nachweisen, dass „diese Zahl nicht durch den Wunsch der betroffenen Person zu erklären ist, ihre Rechte aus der DSGVO zu schützen, sondern durch einen anderen Zweck, der in keinem Zusammenhang mit diesem Schutz steht“(23).

47.Kommen wir zurück zum Auskunftsrecht und als Erstes zur Absicht der betroffenen Person, durch einen Antrag auf Auskunft einen Schadenersatzanspruch zu „provozieren“. Wie sich aus dem 63. Erwägungsgrund der DSGVO ergibt, kann es durchaus legitim sein und den Zielen von Art. 15 DSGVO entsprechen, wenn z. B. ein Auskunftsantrag mit der Absicht gestellt wird, zu überprüfen, ob der Verantwortliche die Daten in zulässiger Weise verarbeitet hat(24). Außerdem ist, wie aus Nr. 32 der vorliegenden Schlussanträge hervorgeht, das Auskunftsrecht erforderlich, damit die betroffene Person gegebenenfalls auch ihr Recht auf Schadenersatz ausüben kann.

48.Als Zweites stelle ich fest, dass die Begründung der siebten Vorlagefrage bezüglich der Absicht der betroffenen Person, eine Verarbeitung ihrer personenbezogenen Daten allein – oder unter anderem – zum Zweck einer Entschädigung zu „provozieren“, sehr knapp gehalten ist. Diese Begründung besteht vielmehr in der Annahme, dass die eigentliche Absicht der betroffenen Person, die in eine Verarbeitung ihrer Daten einwillige, darin bestehe, mit Hilfe eines Auskunftsantrags einen Verstoß gegen die DSGVO „aufzudecken“, um anschließend Schadenersatz zu beanspruchen.

49.Mit Blick auf diese Annahme dürfte es sich meines Erachtens so verhalten, dass die betroffene Person nach Erteilung ihrer Einwilligung in die Verarbeitung ihrer Daten mit der Stellung eines Auskunftsantrags in Wirklichkeit weder eine Auskunft über diese Daten noch die Übermittlung der in Art. 15 DSGVO erwähnten Informationen wünscht, sondern die – für die betroffenen Personen a priori günstige – Ausgestaltung der sich aus der DSGVO ergebenden Rechte und Pflichten für andere Zwecke als den Schutz ihrer Daten instrumentalisieren möchte.

50.Dies kann insbesondere dann der Fall sein, wenn die betroffene Person gerade die Absicht hat, den Verantwortlichen zur Ablehnung des Auskunftsantrags zu veranlassen, um von ihm die sofortige Zahlung einer Entschädigung zu verlangen, gegebenenfalls mit der Drohung, eine Schadenersatzklage zu erheben. Unter diesen Umständen wäre eine solche Absicht meiner Meinung nach missbräuchlich und sollte nicht durch die DSGVO geschützt werden. Die in den Leitlinien des Europäischen Datenschutzausschusses angeführten Beispiele für Missbrauchsfälle gehen ebenfalls in diese Richtung(25).

51.Als Drittes reicht der Umstand, dass die betroffene Person öffentlich zugänglichen Informationen zufolge in zahlreichen Fällen bei Verletzungen des Datenschutzrechts ihr Recht auf Schadenersatz gegenüber einem Verantwortlichen geltend gemacht hat, meines Erachtens für sich allein und ohne weitere Umstände nicht aus, um eine Missbrauchsabsicht zu belegen. Art. 82 DSGVO gewährt gerade das Recht, bei einem Verstoß gegen die DSGVO Schadenersatz zu verlangen, so dass die Wahrnehmung dieses Rechts nicht von vornherein als missbräuchlich angesehen werden kann.

52.Im Urteil Österreichische Datenschutzbehörde hat auch der Gerichtshof die Menge der Anträge allein nicht als ausreichendes Kriterium für die Feststellung eines „exzessiven“ Charakters angesehen. Zu diesem Ergebnis gelangte der Gerichtshof im Wege der Auslegung dieses Begriffs unter Berücksichtigung des spezifischen Kontexts der Aufgaben, die die Aufsichtsbehörden zur Gewährleistung eines hohen Schutzniveaus für personenbezogene Daten wahrnehmen(26). Die maßgeblichen objektiven Umstände sind daher meines Erachtens bei Beschwerden und Auskunftsanträgen nicht deckungsgleich, da sich die Letztgenannten nicht an die Aufsichtsbehörde richten.

53.Hierzu stelle ich fest, dass der Verantwortliche eine Missbrauchsabsicht nachweisen muss, wenn ein Rechtsstreit vor Gericht oder eine Beschwerde bei der Aufsichtsbehörde anhängig ist, d. h. nachdem er sich geweigert hat, aufgrund des Antrags der betroffenen Person tätig zu werden. Allerdings muss der Verantwortliche schon bei der Einreichung des Auskunftsantrags durch die betroffene Person beurteilen, ob die von Letzterer mit diesem Antrag verfolgte Absicht gegebenenfalls missbräuchlich ist.

54.Um anhand aller relevanten Umstände des Einzelfalls nachzuweisen, dass die betroffene Person eine Missbrauchsabsicht verfolgt, sollte sich der Verantwortliche somit insbesondere auf den Gegenstand des Auskunftsantrags, den zeitlichen Abstand zwischen der Einwilligung in die Verarbeitung und diesem Antrag, die Anzahl und die Art der vom Auskunftsantrag betroffenen personenbezogenen Daten sowie die Tätigkeit, in deren Rahmen er diese Daten gegebenenfalls verarbeitet, stützen können(27).

55.Nach alledem schlage ich vor, auf die Vorlagefragen 1 bis 3 und 7 zu antworten, dass Art. 12 Abs. 5 Satz 2 DSGVO dahin auszulegen ist, dass

–        ein erster Auskunftsantrag, der gemäß Art. 15 DSGVO bei einem Verantwortlichen gestellt wird, als „exzessiv“ eingestuft werden kann, wenn Letzterer anhand aller relevanten Umstände des Einzelfalls nachweist, dass die betroffene Person eine Missbrauchsabsicht verfolgt, wobei eine solche Absicht festgestellt werden kann, wenn diese Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat, um diesen Auskunftsantrag stellen und anschließend Schadenersatz verlangen zu können;

–        ein solcher Antrag nicht allein deshalb als „exzessiv“ eingestuft werden kann, weil öffentlich zugängliche Informationen den Schluss zulassen, dass die betroffene Person in zahlreichen Fällen bei Verletzungen des Datenschutzrechts ihr Recht auf Schadenersatz gegenüber einem Verantwortlichen geltend gemacht hat.

B.Zu den Vorlagefragen 4 bis 6

1.Zur Prüfungsreihenfolge der Fragen und zu deren Umformulierung

56.Ich weise vorab darauf hin, dass Brillen Rottler, sollte das vorlegende Gericht den Auskunftsantrag für exzessiv im Sinne von Art. 12 Abs. 5 Satz 2 DSGVO halten, tatsächlich aufgrund dieses Antrags nicht tätig zu werden bräuchte. In diesem Fall könnte der Beklagte des Ausgangsverfahrens nicht mit Erfolg rügen, dass ein Verstoß gegen Art. 15 DSGVO gegeben sei, mit dem Ziel, einen Schadenersatzanspruch nach Art. 82 DSGVO geltend zu machen.

57.Davon abgesehen, möchte das vorlegende Gericht mit seiner vierten Frage wissen, ob Art. 4 Nr. 2 DSGVO dahin auszulegen ist, dass der Auskunftsantrag der betroffenen Person gegenüber dem Verantwortlichen gemäß Art. 15 Abs. 1 DSGVO und/oder dessen Beantwortung eine „Verarbeitung“ im Sinne von Art. 4 Nr. 2 DSGVO darstellen.

58.Mit seiner fünften Frage möchte dieses Gericht im Wesentlichen wissen, ob Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass nur solche Schäden ersatzfähig sind, die der betroffenen Person durch die Verarbeitung ihrer personenbezogenen Daten entstanden sind. Bei Bejahung dieser Frage möchte das Gericht mit seiner sechsten Frage wissen, ob die Verletzung des in Art. 15 Abs. 1 DSGVO vorgesehenen Auskunftsrechts für sich allein genommen der betroffenen Person keinen Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO eröffnet.

59.Die fünfte Vorlagefrage ist meines Erachtens die Prämisse für die vierte und die sechste Vorlagefrage. Denn nur wenn die Haftung für den Schaden nach Art. 82 Abs. 1 DSGVO davon abhängt, dass dieser Schaden „durch“ eine Verarbeitung im Sinne von Art. 4 Nr. 2 DSGVO verursacht wurde, muss geklärt werden, ob diese Voraussetzung im Fall einer Verletzung des in Art. 15 Abs. 1 DSGVO verankerten Auskunftsrechts erfüllt ist.

60.Ich werde daher zunächst auf die fünfte Vorlagefrage eingehen und dann, soweit erforderlich, die vierte und die sechste Vorlagefrage zusammen prüfen, um zu klären, ob Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass ein aufgrund einer Verletzung des Auskunftsrechts entstandener Schaden „durch eine Verarbeitung“ von Daten verursacht wurde.

2.Prüfung

a)      Zum schadensbegründenden Ereignis im Sinne von Art. 82 DSGVO

61.Gemäß Art. 82 Abs. 1 DSGVO hat „[j]ede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, … Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter“(28).

62.Der Gerichtshof hat diese Bestimmung wiederholt dahin ausgelegt, dass ein bloßer Verstoß gegen die DSGVO nicht ausreicht, um auf dieser Grundlage einen Schadenersatzanspruch für die betroffene Person zu begründen, da dieser Anspruch nur gegeben ist, wenn drei kumulative Voraussetzungen vorliegen: ein materieller oder immaterieller „Schaden“, ein Verstoß gegen Bestimmungen der DSGVO und ein Kausalzusammenhang zwischen diesem Schaden und diesem Verstoß(29).

63.Das vorlegende Gericht ist sich jedoch unsicher im Hinblick auf den 146. Erwägungsgrund der DSGVO, in dem es heißt, dass der Verantwortliche oder der Auftragsverarbeiter Schäden ersetzen sollte, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht. Dieser Erwägungsgrund spiegelt sich, wie es häufig der Fall ist(30), auch im Wortlaut der DSGVO selbst wider, nämlich in deren Art. 82 Abs. 2, wonach u. a. jeder an einer Verarbeitung beteiligte Verantwortliche für den Schaden haftet, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde.

64.Zudem wird der Verantwortliche bzw. gegebenenfalls der Auftragsverarbeiter nach Abs. 3 dieser Bestimmung von der Haftung gemäß Abs. 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.

65.Das Verständnis dieser Bestimmungen ist in der Tat nicht ganz einfach, was ihr Verhältnis zueinander und die Tragweite von Art. 82 DSGVO angeht.

66.Aus dem Wortlaut von Art. 82 DSGVO könnte man schließen, dass – im Gegensatz zu der Regelung in Abs. 1 dieses Artikels – nicht jeder Verstoß gegen die DSGVO einen Anspruch auf Ersatz des dadurch verursachten Schadens begründet, sondern dass der Schaden, wie es in Abs. 2 dieses Artikels heißt, konkret durch eine Verarbeitung unter Verstoß gegen die DSGVO verursacht worden sein muss.

67.Diese Auslegung scheint mir auch der Gerichtshof in mehreren Urteilen, angefangen mit dem Urteil Österreichische Post (Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten)(31), vorgenommen zu haben. Ich weise jedoch darauf hin, dass in den Rechtssachen, in denen diese Urteile ergangen sind, die Daten der betroffenen Personen tatsächlich verarbeitet worden waren, so dass sich die Frage, ob der Schaden durch eine Verarbeitung verursacht worden sein musste, nicht gestellt hat.

68.Die Entstehungsgeschichte, die Zielsetzung und der Kontext von Art. 82 DSGVO sprechen aus meiner Sicht jedoch dagegen, den Begriff „schadensbegründendes Ereignis“ restriktiv dahin gehend zu verstehen, dass damit nur eine gegen die DSGVO verstoßende Datenverarbeitung gemeint wäre, nicht aber jeder Verstoß gegen die DSGVO.

69.Erstens mussten nach der entsprechenden Bestimmung der Richtlinie 95/46/EG(32), nämlich deren Art. 23, die Mitgliedstaaten vorsehen, dass jede Person, der wegen einer rechtswidrigen Verarbeitung oder jeder anderen mit den einzelstaatlichen Vorschriften zur Umsetzung dieser Richtlinie nicht zu vereinbarenden Handlung ein Schaden entstand, das Recht hatte, von dem für die Verarbeitung Verantwortlichen Schadenersatz zu verlangen.

70.Der Unionsgesetzgeber hat somit in Art. 82 DSGVO zum einen die Art des entstandenen Schadens (materiell oder immateriell) konkretisiert und zum anderen die Haftung des Auftragsverarbeiters eingeführt, die in Art. 23 der Richtlinie 95/46 nicht vorgesehen war.

71.Wäre Art. 82 Abs. 1 DSGVO in dem in Nr. 66 der vorliegenden Schlussanträge dargelegten Sinne auszulegen, würde dies bedeuten, dass der Unionsgesetzgeber den Umfang der Schadenersatzpflicht in der DSGVO gegenüber der vorerwähnten Richtlinie ausschließlich auf rechtswidrige Handlungen beschränkt hätte, die in einer gegen die DSGVO verstoßenden Datenverarbeitung bestünden. Meines Erachtens käme es jedoch im Wortlaut der DSGVO deutlicher zum Ausdruck, wenn der Unionsgesetzgeber beabsichtigt hätte, das Niveau des Datenschutzes im Rahmen des „private enforcement“ nach der DSGVO abzusenken.

72.Zweitens liefe eine Absenkung des Schutzniveaus dem mit der DSGVO verfolgten Ziel zuwider, die Rechte der betroffenen Personen zu stärken und zu präzisieren, und zwar insbesondere durch eine Intensivierung der Mittel zur Gewährleistung der Wirksamkeit der DSGVO-Bestimmungen(33).

73.Daher sprechen meiner Meinung nach die Entstehungsgeschichte und die Zielsetzung der in Art. 82 DSGVO enthaltenen Regelung dafür, dass Abs. 2 dieses Artikels nicht als Einschränkung von dessen Abs. 1, sondern als Ergänzung zu diesem zu verstehen ist. Aus meiner Sicht besteht somit ein Recht auf Schadenersatz, wenn der erlittene Schaden entweder auf einer gegen die DSGVO verstoßenden Datenverarbeitung oder auf einem anderen Verstoß gegen die DSGVO beruht, sofern das Vorliegen eines solchen Schadens nachgewiesen wird.

74.Diese Sichtweise steht auch im Einklang mit dem Ergebnis, zu dem der Gerichtshof aufgrund einer Gesamtbetrachtung von Art. 82 Abs. 1 bis 3 DSGVO unter Berücksichtigung des Kontexts dieser Bestimmung und der mit der DSGVO verfolgten Ziele gelangt ist, dass nämlich dieser Artikel eine verschuldensabhängige Haftungsregelung vorsieht, in deren Rahmen der Verantwortliche die Beweislast trägt(34). Da innerhalb von Art. 82 DSGVO der Abs. 2 meines Erachtens den Abs. 1 ergänzt, beinhaltet nämlich der in Abs. 3 – wonach der Verantwortliche die Beweislast trägt – enthaltene Verweis auf diesen Abs. 2 implizit auch einen Verweis auf Abs. 1. Daher gelten dieselben Regeln, unabhängig davon, ob der Schaden auf einem Verstoß gegen die DSGVO oder speziell auf einer gegen die DSGVO verstoßenden Verarbeitung beruht.

75.Drittens wird diese Schlussfolgerung durch die Tatsache gestützt, dass der Gerichtshof andere Bestimmungen der DSGVO, die wie deren Art. 82 in Kapitel VIII („Rechtsbehelfe, Haftung und Sanktionen“) enthalten sind und sich auf eine „infolge einer Verarbeitung“ bewirkte Verletzung der nach der DSGVO zustehenden Rechte beziehen, eher weit ausgelegt hat. Was Art. 80 Abs. 2 DSGVO angeht, der die Befugnis zur Erhebung einer Verbandsklage unabhängig von einem Auftrag einer betroffenen Person regelt, so hat der Gerichtshof diese Bestimmung dahin ausgelegt, dass geltend gemacht werden muss, dass die Verletzung der durch die DSGVO gewährten Rechte „anlässlich“ einer Verarbeitung geschieht(35).

76.Im Übrigen hat jede betroffene Person nach Art. 79 Abs. 1 DSGVO das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn sie der Ansicht ist, dass die ihr aufgrund der DSGVO zustehenden Rechte infolge einer nicht im Einklang mit dieser Verordnung stehenden Verarbeitung ihrer personenbezogenen Daten verletzt wurden. Nach der Rechtsprechung des Gerichtshofs müssen die konkreten Modalitäten für die Ausübung dieses Rechtsbehelfs im Einklang mit dem Recht auf einen wirksamen gerichtlichen Rechtsschutz festgelegt werden(36), wie auch aus dem 141. Erwägungsgrund der DSGVO hervorgeht. Das Ziel eines wirksamen gerichtlichen Schutzes der Rechte aus der DSGVO spricht aus meiner Sicht gegen eine restriktive Auslegung der Voraussetzungen für die Ausübung dieses Rechtsbehelfs, wie etwa der Voraussetzung betreffend die Verletzung der Rechte der betroffenen Person „infolge einer Verarbeitung“(37).

77.Aus diesen Gründen schlage ich vor, auf die fünfte Vorlagefrage zu antworten, dass Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass der betroffenen Person aufgrund eines Verstoßes gegen die DSGVO entstandene Schäden auch dann ersatzfähig sind, wenn sie nicht infolge einer Verarbeitung personenbezogener Daten dieser Person verursacht wurden.

b)      Zum Begriff „Verarbeitung“ im Sinne des Rechts auf Schadenersatz

78.In Anbetracht meines Antwortvorschlags zur fünften Vorlagefrage erübrigt sich eine Beantwortung der vierten und der sechsten Vorlagefrage. Für den Fall, dass der Gerichtshof dieser Auslegung nicht folgen und die Auffassung vertreten sollte, dass der Schaden zwangsläufig infolge einer gegen die DSGVO verstoßenden Datenverarbeitung entstanden sein muss, werde ich jedoch prüfen, inwieweit die in der fünften Vorlagefrage angesprochene Voraussetzung(38) bei einer Verletzung des Auskunftsrechts in einer Situation wie der hier vorliegenden erfüllt wäre, und sodann eine Antwort auf diese beiden Fragen vorschlagen.

79.Erstens gilt die DSGVO nach ihrem Art. 2 Abs. 1 für die „Verarbeitung“ personenbezogener Daten. Es ist allgemein anerkannt, dass dieser Begriff, der gemäß Art. 4 Nr. 2 DSGVO „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten“ bezeichnet, weit gefasst ist(39).

80.Zweitens stellt sich wegen der weitreichenden Bedeutung dieses Begriffs meines Erachtens in den allermeisten Fällen gar nicht die Frage, ob ein die Haftung nach Art. 82 DSGVO auslösender Verstoß gegen die DSGVO durch Verarbeitung personenbezogener Daten verursacht wurde. Jedoch ist diese Feststellung nicht selbstverständlich, sofern es um eine Verletzung des Auskunftsrechts aus Art. 15 Abs. 1 DSGVO geht.

81.Zur Erinnerung: Nach Art. 15 Abs. 1 DSGVO hat die betroffene Person das Recht, vom Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf die in dieser Bestimmung genannten Informationen. Außerdem heißt es im 60. Erwägungsgrund der DSGVO, die Grundsätze einer fairen und transparenten Verarbeitung machten es erforderlich, dass die betroffene Person über die Existenz des Verarbeitungsvorgangs und seine Zwecke unterrichtet werde.

82.Art. 15 DSGVO soll also, wie die Kommission sinngemäß geltend macht, der betroffenen Person ermöglichen, sich über die Verarbeitung ihrer personenbezogenen Daten zu informieren, die der Verantwortliche gegebenenfalls vorgenommen hat. Daher stellt das an den Verantwortlichen gerichtete Ersuchen um Auskunft über diese Daten keine von der DSGVO erfasste „Verarbeitung“ im Sinne von deren Art. 4 Nr. 2 dar.

83.Drittens betrifft der vorliegende Fall die Weigerung des Verantwortlichen, der den vom Beklagten des Ausgangsverfahrens abonnierten Newsletter herausgibt, dem Auskunftsantrag des Beklagten Folge zu leisten. Um einen solchen Antrag (positiv oder negativ) zu bescheiden, verwendet der Verantwortliche aber zwangsläufig bestimmte personenbezogene Daten des Antragstellers, zumindest eine tatsächliche oder elektronische Adresse oder eine Telefonnummer (im Falle einer Antwort per Telefon/Fax), die mit seinem Namen verbunden sind. Die Verwendung dieser Daten stellt einen gesonderten Verarbeitungsvorgang dar, auf den die DSGVO Anwendung findet(40).

84.Meiner Ansicht nach würde aber ein Schaden nicht dadurch verursacht, dass die Daten verarbeitet werden, um diese Weigerung mitzuteilen, sondern durch die ungerechtfertigte Weigerung, dem Auskunftsantrag Folge zu leisten.

85.Wie die Kommission zutreffend argumentiert, würde der Rechtsschutz für das Auskunftsrecht, das im System der DSGVO von struktureller Bedeutung ist, erheblich eingeschränkt, wenn eine solche Verletzung des Auskunftsrechts keinen Anspruch auf Schadenersatz begründen könnte.

86.Ich bin daher der Auffassung, dass die in Art. 82 Abs. 2 DSGVO enthaltene Voraussetzung – wonach der Schaden durch eine Verarbeitung verursacht worden sein muss –, sofern sie zwingender Natur ist, weit ausgelegt werden muss, damit die Erreichung der in den Nrn. 33 und 72 der vorliegenden Schlussanträge genannten Ziele der DSGVO gewährleistet und die praktische Wirksamkeit des Auskunftsrechts garantiert werden kann. Eine solche Lösung hätte zur Folge, dass der Begriff der Kausalität im Sinne von Art. 82 DSGVO extensiv verstanden würde. Für dieses Verständnis spricht, dass eine restriktive Auslegung der Voraussetzungen für die Ausübung von Rechtsbehelfen dem Ziel eines wirksamen gerichtlichen Schutzes der Rechte aus der DSGVO zuwiderlaufen würde(41).

c)      Zum Vorliegen eines immateriellen Schadens

87.Zu der von mir vorgeschlagenen Auslegung des Begriffs „schadensbegründendes Ereignis“ möchte ich bemerken, dass sie in keiner Weise die anderen Voraussetzungen präjudiziert, die erfüllt sein müssen, damit bei einem Verstoß gegen Art. 15 DSGVO ein Schadenersatzanspruch gemäß Art. 82 DSGVO geltend gemacht werden kann. Insbesondere muss eine von einem Verstoß gegen die DSGVO betroffene Person nachweisen, dass die ihr entstandenen nachteiligen Folgen einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellen, da der bloße Verstoß gegen DSGVO-Bestimmungen nicht ausreicht, um einen Schadenersatzanspruch zu begründen(42).

88.Im Übrigen macht die von mir vorgeschlagene Antwort auf die fünfte Vorlagefrage auch eine Beantwortung der achten Vorlagefrage erforderlich. Diese bezieht sich auf den ersatzfähigen immateriellen Schaden, der durch den Verlust der Kontrolle über personenbezogene Daten infolge eines Verstoßes gegen Art. 15 Abs. 1 DSGVO oder durch die Ungewissheit über die mögliche Verarbeitung dieser Daten verursacht wurde.

89.In diesem Zusammenhang möchte ich, obwohl die achte Vorlagefrage nicht Gegenstand der vorliegenden Schlussanträge ist, darauf hinweisen, dass der Gerichtshof wiederholt festgestellt hat, dass der – selbst kurzzeitige – Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO darstellen kann, der einen Schadenersatzanspruch begründet, sofern die betroffene Person nachweist, dass sie tatsächlich einen solchen Schaden erlitten hat(43), ohne dass eine „Bagatellgrenze“ überschritten werden müsste(44).

90.Der Gerichtshof hat jedoch auch entschieden, dass ein nationales Gericht, wenn ein Schaden gegeben ist, bei fehlender Schwere des Schadens diesen ausgleichen kann, indem es der betroffenen Person einen geringfügigen Schadenersatz zuspricht, sofern dieser Schadenersatz geeignet ist, den entstandenen Schaden in vollem Umfang auszugleichen(45).

91.Im vorliegenden Fall verlangt der Beklagte des Ausgangsverfahrens eine Entschädigung in Höhe von 1 000 Euro für den immateriellen Schaden, der ihm seiner Meinung nach durch den angeblichen Verlust der Kontrolle über die personenbezogenen Daten entstanden ist, die er 13 Tage, bevor er seinen Auskunftsantrag stellte, in das Anmeldeformular für den Newsletter von Brillen Rottler eingetragen hatte. Es ist Sache des vorlegenden Gerichts, zu beurteilen, ob der Beklagte des Ausgangsverfahrens nachgewiesen hat, dass diese etwaige Verletzung des Auskunftsrechts nachteilige Folgen für ihn hatte und diese Folgen einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellen.

V.Ergebnis

92.Nach alledem schlage ich dem Gerichtshof vor, die Vorlagefragen 1 bis 7 des Amtsgerichts Arnsberg (Deutschland) wie folgt zu beantworten:

1.      Art. 12 Abs. 5 Satz 2 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG

ist dahin auszulegen, dass

–        ein erster Auskunftsantrag, der gemäß Art. 15 der Verordnung 2016/679 bei einem Verantwortlichen gestellt wird, als „exzessiv“ eingestuft werden kann, wenn Letzterer anhand aller relevanten Umstände des Einzelfalls nachweist, dass die betroffene Person eine Missbrauchsabsicht verfolgt, wobei eine solche Absicht festgestellt werden kann, wenn diese Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat, um diesen Auskunftsantrag stellen und anschließend Schadenersatz verlangen zu können;

–        ein solcher Antrag nicht allein deshalb als „exzessiv“ eingestuft werden kann, weil öffentlich zugängliche Informationen den Schluss zulassen, dass die betroffene Person in zahlreichen Fällen bei Verletzungen des Datenschutzrechts ihr Recht auf Schadenersatz gegenüber einem Verantwortlichen geltend gemacht hat.

2.      Art. 82 Abs. 1 der Verordnung 2016/679

ist dahin auszulegen, dass

der betroffenen Person aufgrund eines Verstoßes gegen diese Verordnung entstandene Schäden auch dann ersatzfähig sind, wenn sie nicht infolge einer Verarbeitung personenbezogener Daten dieser Person verursacht wurden.

1      Originalsprache: Französisch.

2      Vgl. Basedow, J., EU Private Law – Anatomy of a Growing Legal Order, Intersentia, Cambridge, 2021, Nrn. 98 und 99.

3      Vgl. z. B. zu Verbraucherkreditverträgen Urteil vom 21. Dezember 2023, BMW Bank u. a. (C‑38/21, C‑47/21 und C‑232/21, EU:C:2023:1014, Rn. 280 bis 282 und die dort angeführte Rechtsprechung).

4      Verordnung des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1).

5      Urteil vom 26. Oktober 2023 (C‑307/22, im Folgenden: Urteil FT, EU:C:2023:811, Rn. 31).

6      Vgl. in diesem Sinne Urteil vom 30. April 2025, Generalstaatsanwaltschaft Frankfurt am Main (Ausfuhr von Bargeld nach Russland) (C‑246/24, EU:C:2025:295, Rn. 27 und die dort angeführte Rechtsprechung).

7      Vgl. entsprechend zu Art. 57 Abs. 4 DSGVO Urteil vom 9. Januar 2025, Österreichische Datenschutzbehörde (Exzessive Anfragen) (C‑416/23, im Folgenden: Urteil Österreichische Datenschutzbehörde, EU:C:2025:3, Rn. 33 und 48).

8      Vgl. in diesem Sinne Urteil vom 22. Juni 2023, Pankki S (C‑579/21, EU:C:2023:501, Rn. 59).

9      Vgl. in diesem Sinne Schlussanträge von Generalanwalt Richard de la Tour in der Rechtssache Österreichische Datenschutzbehörde (Exzessive Anfragen) (C‑416/23, EU:C:2024:701, Nr. 62).

10      Urteil vom 27. Februar 2025, Dun & Bradstreet Austria u. a. (C‑203/22, EU:C:2025:117, Rn. 54 und die dort angeführte Rechtsprechung).

11      Vgl. in diesem Sinne Urteil FT (Rn. 47) und Urteil Österreichische Datenschutzbehörde (Rn. 38).

12      Rn. 31.

13      Rn. 31 und 32.

14      Rn. 18 und 23.

15      Urteil FT (Rn. 35 bis 51, insbesondere Rn. 38, 43, 50 und 51). Der Gerichtshof hat diese Lesart im Beschluss vom 27. Mai 2024, Addiko Bank (C‑312/23, EU:C:2024:458), bestätigt, der die Weigerung einer Bank betraf, ihren Kunden, von denen einige beabsichtigten, eine Beschwerde oder eine Klage gegen diese Bank einzureichen, Kopien der sie betreffenden Kreditunterlagen zu übermitteln.

16      Vgl. in diesem Sinne Urteil Österreichische Datenschutzbehörde (Rn. 50).

17      Der Gerichtshof hat die in Rn. 31 des Urteils FT vorgenommene Auslegung schon in Rn. 48 des Urteils Österreichische Datenschutzbehörde entsprechend angewandt.

18      Vgl. zur Verweisung an das nationale Gericht Urteil vom 12. Januar 2023, Österreichische Post (Informationen über die Empfänger personenbezogener Daten) (C‑154/21, EU:C:2023:3, Rn. 50).

19      Urteil Österreichische Datenschutzbehörde (Rn. 49).

20      Vgl. z. B. im Bereich des Privatrechts Urteile vom 21. Dezember 2023, BMW Bank u. a. (C‑38/21, C‑47/21 und C‑232/21, EU:C:2023:1014, Rn. 284 und 285 sowie die dort angeführte Rechtsprechung), und vom 19. September 2024, Matmut (C‑236/23, EU:C:2024:761, Rn. 54).

21      Vgl. meine Schlussanträge in der Rechtssache Matmut (C‑236/23, EU:C:2024:560, Nr. 67).

22      Urteil Österreichische Datenschutzbehörde (Rn. 50).

23      Vgl. in diesem Sinne Urteil Österreichische Datenschutzbehörde (Rn. 56).

24      Vgl. u. a. Urteil vom 4. Mai 2023, Österreichische Datenschutzbehörde und CRIF (C‑487/21, EU:C:2023:369, Rn. 33 bis 35).

25      Wenn nämlich betroffene Personen in der alleinigen Absicht, dem Verantwortlichen Nachteile oder Schaden zuzufügen, übermäßig von ihrem Auskunftsrecht Gebrauch machen oder wenn eine Person einen Antrag stellt, aber gleichzeitig anbietet, ihn zurückzuziehen, falls ihr im Gegenzug ein irgendwie gearteter Vorteil durch den Verantwortlichen gewährt wird; vgl. Leitlinien 01/2022 zu den Rechten der betroffenen Personen – Auskunftsrecht, Version 2.1, angenommen am 28. März 2023, https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-012022-data-subject-rights-right-access_de, Ziff. 188 und 190.

26      Vgl. in diesem Sinne Urteil Österreichische Datenschutzbehörde (Rn. 51 bis 57).

27      Vgl. auch die Beispiele in den Leitlinien 01/2022 des Europäischen Datenschutzausschusses zu den Rechten der betroffenen Personen – Auskunftsrecht, Version 2.1, angenommen am 28. März 2023, https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-012022-data-subject-rights-right-access_de, Ziff. 13, 185, 188 und 190.

28      Hervorhebung nur hier.

29      Vgl. in diesem Sinne Urteil vom 4. Mai 2023, Österreichische Post (Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten) (C‑300/21, EU:C:2023:370, Rn. 32 bis 34), und zuletzt Urteil vom 4. Oktober 2024, Patērētāju tiesību aizsardzības centrs (C‑507/23, EU:C:2024:854, Rn. 24).

30      Vgl. hierzu meine Schlussanträge in den verbundenen Rechtssachen X und Visser (C‑360/15 und C‑31/16, EU:C:2017:397, Nr. 132).

31      In Rn. 36 des Urteils vom 4. Mai 2023, Österreichische Post (Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten) (C‑300/21, EU:C:2023:370), hat der Gerichtshof entschieden: „Art. 82 Abs. 2 DSGVO, der die Haftungsregelung, deren Grundsatz in Abs. 1 dieses Artikels festgelegt ist, präzisiert, übernimmt nämlich die drei Voraussetzungen für die Entstehung des Schadenersatzanspruchs, nämlich eine Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmungen der DSGVO, ein der betroffenen Person entstandener Schaden und ein Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden“ (Hervorhebung nur hier). Diese Lesart findet sich auch in Rn. 159 des Urteils vom 4. Oktober 2024, Agentsia po vpisvaniyata (C‑200/23, EU:C:2024:827). Vgl. auch Urteil vom 21. Dezember 2023, Krankenversicherung Nordrhein (C‑667/21, EU:C:2023:1022, Rn. 92 bis 97), das nicht zwischen einem Verstoß gegen die DSGVO und einer gegen die DSGVO verstoßenden Verarbeitung zu unterscheiden scheint.

32      Richtlinie des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. 1995, L 281, S. 31).

33      Vgl. in diesem Sinne Schlussanträge des Generalanwalts Campos Sánchez-Bordona in der Rechtssache Österreichische Post (Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten) (C‑300/21, EU:C:2022:756, Nr. 41).

34      Urteil vom 21. Dezember 2023, Krankenversicherung Nordrhein (C‑667/21, EU:C:2023:1022, Rn. 94 und 95).

35      Vgl. Urteil vom 11. Juli 2024, Meta Platforms Ireland (Verbandsklage) (C‑757/22, EU:C:2024:598, Rn. 40 und 42 sowie 59 bis 64), in dem der Gerichtshof das Erfordernis einer Verletzung der Rechte der betroffenen Person „infolge einer Verarbeitung“ im Licht der Präventivfunktion der Verbandsklage ausgelegt hat. Vgl. auch Urteil vom 4. Mai 2023, Österreichische Post (Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten) (C‑300/21, EU:C:2023:370, Rn. 39), wonach „die in [Kapitel VIII] enthaltenen Art. 77 und 78 DSGVO im Fall eines behaupteten Verstoßes gegen diese Verordnung Rechtsbehelfe bei einer bzw. gegen eine Aufsichtsbehörde vorsehen …“.

36      Vgl. zuletzt Urteil vom 30. April 2025, Inspektorat kam Visshia sadeben savet (C‑313/23, C‑316/23 und C‑332/23, EU:C:2025:303, Rn. 136 und die dort angeführte Rechtsprechung).

37      Vgl. in diesem Sinne Martini, M., „Art. 79“, DSGVO BDSG, in Paal, B. P., und Pauly, D. A. (Hrsg.), 3. Aufl., München, 2021, Rn. 22a.

38      Nämlich die Voraussetzung, dass die personenbezogenen Daten der betroffenen Person Gegenstand einer Verarbeitung waren.

39      Vgl. zuletzt Urteil vom 3. April 2025, Ministerstvo zdravotnictví (Daten über den Vertreter einer juristischen Person) (C‑710/23, EU:C:2025:231, Rn. 27).

40      Wie das vorlegende Gericht und die Kommission zutreffend festgestellt haben, wäre die Verarbeitung der personenbezogenen Daten der betroffenen Person zur Beantwortung eines Auskunftsersuchens nach Art. 15 DSGVO im Sinne von Art. 6 Abs. 1 Buchst. c und Art. 6 Abs. 3 DSGVO rechtmäßig, unabhängig davon, ob der Verantwortliche die Daten dieser Person bereits verarbeitet hätte oder nicht. Diese Verarbeitung ist nämlich im Sinne der vorerwähnten Bestimmungen erforderlich, um eine rechtliche Verpflichtung zu erfüllen, der der Verantwortliche nach dem Unionsrecht unterliegt.

41      Vgl. zu Art. 79 DSGVO Martini, M., „Art. 79“, DSGVO BDSG, in Paal, B. P., und Pauly, D. A. (Hrsg.), 3. Aufl., München, 2021, Rn. 22a.

42      Urteil vom 4. Oktober 2024, Agentsia po vpisvaniyata (C‑200/23, EU:C:2024:827, Rn. 142 und die dort angeführte Rechtsprechung).

43      Vgl. insbesondere Urteile vom 4. Mai 2023, Österreichische Post (Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten) (C‑300/21, EU:C:2023:370, Rn. 32 bis 36), vom 20. Juni 2024, PS (Fehlerhafte Anschrift) (C‑590/22, EU:C:2024:536, Rn. 33), und vom 4. September 2025, Quirin Privatbank (C‑655/23, EU:C:2025:655, Rn. 62 und 64).

44      Vgl. in diesem Sinne Urteile vom 14. Dezember 2023, Gemeinde Ummendorf (C‑456/22, EU:C:2023:988, Rn. 18), vom 20. Juni 2024, Scalable Capital (C‑182/22 und C‑189/22, EU:C:2024:531, Rn. 44), sowie vom 4. Oktober 2024, Agentsia po vpisvaniyata (C‑200/23, EU:C:2024:827, Rn. 149).

45      Urteil vom 20. Juni 2024, Scalable Capital (C‑182/22 und C‑189/22, EU:C:2024:531, Rn. 46).