Brillen Rottler

URTEIL DES GERICHTSHOFS (Vierte Kammer)

19. März 2026(*)

„ Vorlage zur Vorabentscheidung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung (EU) 2016/679 – Art. 12 Abs. 5 – Art. 15 Abs. 1 – Recht der betroffenen Person auf Auskunft über die sie betreffenden personenbezogenen Daten – Recht des Verantwortlichen, sich zu weigern, aufgrund des Antrags auf Auskunft tätig zu werden – Exzessiver Charakter des Antrags – Rechtsmissbrauch – Erster Antrag auf Auskunft – Haftung und Recht auf Schadensersatz – Art. 82 Abs. 1 – Klage wegen Verletzung des Auskunftsrechts – Immaterieller Schaden – Verlust der Kontrolle über die personenbezogenen Daten “

In der Rechtssache C‑526/24

betreffend ein Vorabentscheidungsersuchen nach Art. 267 AEUV, eingereicht vom Amtsgericht Arnsberg (Deutschland) mit Beschluss vom 31. Juli 2024, beim Gerichtshof eingegangen am selben Tag, in dem Verfahren

Brillen Rottler GmbH & Co. KG

gegen

TC

erlässt

DER GERICHTSHOF (Vierte Kammer)

unter Mitwirkung des Kammerpräsidenten I. Jarukaitis, des Präsidenten des Gerichtshofs K. Lenaerts in Wahrnehmung der Aufgaben eines Richters der Vierten Kammer, der Richter M. Condinanzi und N. Jääskinen sowie der Richterin R. Frendo (Berichterstatterin),

Generalanwalt: M. Szpunar,

Kanzler: I. Illéssy, Verwaltungsrat,

aufgrund des schriftlichen Verfahrens und auf die mündliche Verhandlung vom 5. Juni 2025,

unter Berücksichtigung der Erklärungen

–        der Brillen Rottler GmbH & Co. KG, vertreten durch Rechtsanwalt J. Tröber,

–        von TC, vertreten durch Rechtsanwalt P. Brandt,

–        der Europäischen Kommission, vertreten durch A. Bouchagiar, M. Heller und H. Kranenborg als Bevollmächtigte,

nach Anhörung der Schlussanträge des Generalanwalts in der Sitzung vom 18. September 2025

folgendes

Urteil

1Das Vorabentscheidungsersuchen betrifft die Auslegung von Art. 4 Nr. 2, Art. 12 Abs. 5 und Art. 82 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1, berichtigt in ABl. 2018, L 127, S. 2) (im Folgenden: DSGVO).

2Es ergeht im Rahmen eines Rechtsstreits zwischen der Brillen Rottler GmbH & Co KG, einem familiengeführten Optikerunternehmen, und TC, einer Privatperson, wegen der Weigerung dieses Unternehmens, aufgrund des von TC nach Art. 15 DSGVO gestellten Antrags auf Auskunft über seine personenbezogenen Daten tätig zu werden.

Rechtlicher Rahmen

3In den Erwägungsgründen 4, 10, 11, 63, 85, 141 und 146 der DSGVO wird ausgeführt:

„(4)      Die Verarbeitung personenbezogener Daten sollte im Dienste der Menschheit stehen. Das Recht auf Schutz der personenbezogenen Daten ist kein uneingeschränktes Recht; es muss im Hinblick auf seine gesellschaftliche Funktion gesehen und unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte abgewogen werden. Diese Verordnung steht im Einklang mit allen Grundrechten und achtet alle Freiheiten und Grundsätze, die mit der [Charta der Grundrechte der Europäischen Union (im Folgenden: Charta)] anerkannt wurden und in den Europäischen Verträgen verankert sind, insbesondere Achtung des Privat- und Familienlebens, der Wohnung und der Kommunikation, Schutz personenbezogener Daten, Gedanken‑, Gewissens- und Religionsfreiheit, Freiheit der Meinungsäußerung und Informationsfreiheit, unternehmerische Freiheit, Recht auf einen wirksamen Rechtsbehelf und ein faires Verfahren und Vielfalt der Kulturen, Religionen und Sprachen.

…

(10)      Um ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen zu gewährleisten und die Hemmnisse für den Verkehr personenbezogener Daten in der [Europäischen] Union zu beseitigen, sollte das Schutzniveau für die Rechte und Freiheiten von natürlichen Personen bei der Verarbeitung dieser Daten in allen Mitgliedstaaten gleichwertig sein. Die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten von natürlichen Personen bei der Verarbeitung personenbezogener Daten sollten unionsweit gleichmäßig und einheitlich angewandt werden. …

(11)      Ein unionsweiter wirksamer Schutz personenbezogener Daten erfordert die Stärkung und präzise Festlegung der Rechte der betroffenen Personen sowie eine Verschärfung der Verpflichtungen für diejenigen, die personenbezogene Daten verarbeiten und darüber entscheiden, ebenso wie – in den Mitgliedstaaten – gleiche Befugnisse bei der Überwachung und Gewährleistung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie gleiche Sanktionen im Falle ihrer Verletzung.

…

(63)      Eine betroffene Person sollte ein Auskunftsrecht hinsichtlich der sie betreffenden personenbezogenen Daten, die erhoben worden sind, besitzen und dieses Recht problemlos und in angemessenen Abständen wahrnehmen können, um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können. …

…

(85)      Eine Verletzung des Schutzes personenbezogener Daten kann – wenn nicht rechtzeitig und angemessen reagiert wird – einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen, wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder ‑betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person. …

…

(141)      Jede betroffene Person sollte das Recht haben, bei einer einzigen Aufsichtsbehörde insbesondere in dem Mitgliedstaat ihres gewöhnlichen Aufenthalts eine Beschwerde einzureichen und gemäß Artikel 47 der Charta einen wirksamen gerichtlichen Rechtsbehelf einzulegen, wenn sie sich in ihren Rechten gemäß dieser Verordnung verletzt sieht …

…

(146)      Der Verantwortliche … sollte Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht, ersetzen. Der Verantwortliche … sollte von seiner Haftung befreit werden, wenn er nachweist, dass er in keiner Weise für den Schaden verantwortlich ist. Der Begriff des Schadens sollte im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht. … Die betroffenen Personen sollten einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten. …“

4Art. 4 („Begriffsbestimmungen“) DSGVO regelt:

„Im Sinne dieser Verordnung bezeichnet der Ausdruck:

…

2.      ‚Verarbeitung‘ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

…“

5Art. 12 („Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person“) Abs. 1, 2 und 5 DSGVO sieht vor:

„(1)      Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, … zu übermitteln …

(2)      Der Verantwortliche erleichtert der betroffenen Person die Ausübung ihrer Rechte gemäß den Artikeln 15 bis 22. …

…

(5)      Informationen gemäß den Artikeln 13 und 14 sowie alle Mitteilungen und Maßnahmen gemäß den Artikeln 15 bis 22 und Artikel 34 werden unentgeltlich zur Verfügung gestellt. Bei offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anträgen einer betroffenen Person kann der Verantwortliche entweder

a)      ein angemessenes Entgelt verlangen, bei dem die Verwaltungskosten für die Unterrichtung oder die Mitteilung oder die Durchführung der beantragten Maßnahme berücksichtigt werden, oder

b)      sich weigern, aufgrund des Antrags tätig zu werden.

Der Verantwortliche hat den Nachweis für den offenkundig unbegründeten oder exzessiven Charakter des Antrags zu erbringen.“

6In Art. 15 („Auskunftsrecht der betroffenen Person“) Abs. 1 DSGVO heißt es:

„Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:

…“

7Art. 26 („Gemeinsam Verantwortliche“) Abs. 1 DSGVO bestimmt:

„Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche. …“

8Art. 30 („Verzeichnis von Verarbeitungstätigkeiten“) Abs. 1 DSGVO sieht vor:

„Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. …“

9In Art. 57 („Aufgaben“) Abs. 1 und 4 DSGVO heißt es:

„(1)      Unbeschadet anderer in dieser Verordnung dargelegter Aufgaben muss jede Aufsichtsbehörde in ihrem Hoheitsgebiet

…

f)      sich mit Beschwerden einer betroffenen Person oder Beschwerden einer Stelle, einer Organisation oder eines Verbandes gemäß Artikel 80 befassen, den Gegenstand der Beschwerde in angemessenem Umfang untersuchen …;

…

(4)      Bei offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anfragen kann die Aufsichtsbehörde eine angemessene Gebühr auf der Grundlage der Verwaltungskosten verlangen oder sich weigern, aufgrund der Anfrage tätig zu werden. In diesem Fall trägt die Aufsichtsbehörde die Beweislast für den offenkundig unbegründeten oder exzessiven Charakter der Anfrage.“

10Art. 79 („Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter“) Abs. 1 DSGVO lautet:

„Jede betroffene Person hat unbeschadet eines verfügbaren verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs einschließlich des Rechts auf Beschwerde bei einer Aufsichtsbehörde gemäß Artikel 77 das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn sie der Ansicht ist, dass die ihr aufgrund dieser Verordnung zustehenden Rechte infolge einer nicht im Einklang mit dieser Verordnung stehenden Verarbeitung ihrer personenbezogenen Daten verletzt wurden.“

11Art. 82 („Haftung und Recht auf Schadenersatz“) Abs. 1, 2 und 4 DSGVO bestimmt:

„(1)      Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

(2)      Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. …

…

(4)      Ist mehr als ein Verantwortlicher oder mehr als ein Auftragsverarbeiter bzw. sowohl ein Verantwortlicher als auch ein Auftragsverarbeiter an derselben Verarbeitung beteiligt und sind sie gemäß den Absätzen 2 und 3 für einen durch die Verarbeitung verursachten Schaden verantwortlich, so haftet jeder Verantwortliche oder jeder Auftragsverarbeiter für den gesamten Schaden, damit ein wirksamer Schadensersatz für die betroffene Person sichergestellt ist.“

Ausgangsrechtsstreit und Vorlagefragen

12Im März 2023 abonnierte TC, eine in Österreich wohnhafte natürliche Person, den Newsletter von Brillen Rottler, einem familiengeführten Optikerunternehmen mit Sitz in Arnsberg (Deutschland). Dabei gab er seine personenbezogenen Daten in die Anmeldemaske auf der Website des Unternehmens ein und willigte in die Verarbeitung dieser Daten ein. 13 Tage später richtete TC einen Auskunftsantrag nach Art. 15 DSGVO an Brillen Rottler.

13Brillen Rottler wies den Auskunftsantrag innerhalb der gesetzlichen Frist von einem Monat zurück, da sie ihn für missbräuchlich im Sinne von Art. 12 Abs. 5 Unterabs. 1 Satz 2 DSGVO hielt. Sie forderte TC auf, endgültig von seinem Antrag abzusehen.

14Nachdem TC seinen Auskunftsantrag weiterverfolgte und darüber hinaus einen Schadensersatzanspruch aus Art. 82 DSGVO in Höhe von 1 000 Euro geltend machte, erhob Brillen Rottler beim Amtsgericht Arnsberg (Deutschland), dem vorlegenden Gericht, Klage auf Feststellung, dass TC kein Anspruch auf Schadensersatz zustehe.

15Sie stützt ihren Feststellungantrag darauf, dass aus verschiedenen Medienberichten, Blogbeiträgen und Berichten von Rechtsanwälten hervorgehe, dass TC Anträge auf Auskunft über seine personenbezogenen Daten systematisch und rechtsmissbräuchlich allein zu dem Zweck stelle, eine Entschädigung für eine von ihm bewusst provozierte angebliche Verletzung seiner Rechte aus der DSGVO zu erzwingen. Er gehe nach dem Muster vor, sich zunächst zu einem Newsletter anzumelden, dann Auskunft zu beantragen und schließlich Schadensersatz zu fordern.

16TC macht vor dem vorlegenden Gericht geltend, sein Auskunftsantrag an Brillen Rottler sei legitim und entspreche seinem Auskunftsrecht nach Art. 15 DSGVO; Brillen Rottler wolle ihn unrechtmäßig in seinen Rechten aus der DSGVO einschränken. Mit einer Widerklage begehrt er die Verurteilung von Brillen Rottler zur Zahlung einer Entschädigung in Höhe von mindestens 1 000 Euro für den immateriellen Schaden, der ihm durch die Weigerung des Unternehmens, ihm Auskunft über seine personenbezogenen Daten zu erteilen, entstanden sei.

17Das vorlegende Gericht sieht sich als Erstes vor die Frage gestellt, ob ein erster Auskunftsantrag der betroffenen Person als „exzessiver Antrag“ im Sinne von Art. 12 Abs. 5 DSGVO und damit als Rechtsmissbrauch angesehen werden kann und anhand welcher Umstände ein solcher exzessiver Charakter festgestellt werden kann. Insbesondere fragt es sich, ob sich ein Verantwortlicher, um einen Auskunftsantrag auf der Grundlage dieser Bestimmung zurückzuweisen, auf öffentliche Informationen stützen kann, aus denen hervorgeht, dass dieselbe Person zahlreiche Auskunftsanträge und Schadensersatzforderungen an andere Verantwortliche gerichtet hat.

18Als Zweites wirft das vorlegende Gericht die Frage auf, ob ein Auskunftsantrag nach Art. 15 Abs. 1 DSGVO und/oder dessen Beantwortung eine „Verarbeitung“ im Sinne von Art. 4 Nr. 2 DSGVO darstellt.

19Als Drittes hegt das vorlegende Gericht Zweifel hinsichtlich der Kriterien für die Ersatzfähigkeit von Schäden nach Art. 82 Abs. 1 DSGVO und insbesondere hinsichtlich der Frage, ob dieser Artikel ein Recht auf Schadensersatz auch ohne Verarbeitung allein aufgrund der Verletzung des in Art. 15 Abs. 1 DSGVO vorgesehenen Auskunftsrechts verleiht.

20Vor diesem Hintergrund hat das Amtsgericht Arnsberg beschlossen, das Verfahren auszusetzen und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorzulegen:

1.      Ist Art. 12 Abs. 5 Unterabs. 1 Satz 2 DSGVO dahingehend auszulegen, dass ein exzessiver Antrag auf Auskunft durch den Betroffenen nicht bei der ersten Antragstellung gegenüber dem Verantwortlichen vorliegen kann?

2.      Ist Art. 12 Abs. 5 Unterabs. 1 Satz 2 DSGVO dergestalt auszulegen, dass der Verantwortliche ein Auskunftsersuchen des Betroffenen verweigern kann, wenn der Betroffene beabsichtigt, mit dem Auskunftsersuchen Schadensersatzansprüche gegen den Verantwortlichen zu provozieren?

3.      Ist Art. 12 Abs. 5 Unterabs. 1 Satz 2 DSGVO dahingehend auszulegen, dass öffentlich zugängliche Informationen über den Betroffenen, die den Schluss zulassen, dass dieser in einer Vielzahl von Fällen bei Datenschutzverstößen Schadensersatzansprüche gegen Verantwortliche geltend macht, die Verweigerung der Auskunft rechtfertigen können?

4.      Ist Art. 4 Nr. 2 DSGVO dergestalt auszulegen, dass das Auskunftsersuchen eines Betroffenen gegenüber dem Verantwortlichen gemäß Art. 15 Abs. 1 DSGVO und/oder dessen Beantwortung eine Verarbeitung im Sinne von Art. 4 Nr. 2 DSGVO darstellt?

5.      Ist Art. 82 Abs. 1 DSGVO in Ansehung von Erwägungsgrund 146 Satz 1 DSGVO dahingehend auszulegen, dass lediglich diejenigen Schäden ersatzfähig sind, die dem Betroffenen aufgrund einer Verarbeitung entstehen bzw. entstanden sind? Bedeutet dies, dass für einen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO – das Vorliegen eines kausalen Schadens des Betroffenen unterstellt – zwingend eine Verarbeitung der personenbezogenen Daten des Betroffenen vorgelegen haben muss?

6.      Falls Frage 5 bejaht wird: Führt dies dazu, dass dem Betroffenen – das Vorliegen eines kausalen Schadens unterstellt – allein aus der Verletzung seines Auskunftsrechts nach Art. 15 Abs. 1 DSGVO kein Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO zusteht?

7.      Ist Art. 82 Abs. 1 DSGVO dergestalt auszulegen, dass der Rechtsmissbrauchseinwand des Verantwortlichen in Bezug auf ein Auskunftsersuchen des Betroffenen in Ansehung des Unionsrechts nicht darin bestehen kann, dass der Betroffene die Verarbeitung seiner personenbezogenen Daten allein oder unter anderem deswegen herbeigeführt hat, um Schadensersatzansprüche geltend zu machen?

8.      Falls die Fragen 5 und 6 verneint werden: Stellt allein der mit einem Verstoß gegen Art. 15 Abs. 1 DSGVO einhergehende Kontrollverlust und/oder die Ungewissheit über die Verarbeitung der personenbezogenen Daten des Betroffenen einen immateriellen Schaden des Betroffenen im Sinne des Art. 82 Abs. 1 DSGVO dar oder bedarf es darüber hinaus einer weiteren (objektiven oder subjektiven) Einschränkung und/oder (spürbaren) Beeinträchtigung des Betroffenen?

Zu den Vorlagefragen

Zu den Fragen 1 bis 3 und 7

21Mit seinen Fragen 1 bis 3 und 7, die zusammen und als Erstes zu prüfen sind, möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 12 Abs. 5 DSGVO dahin auszulegen ist, dass es möglich ist, einen ersten von der betroffenen Person an den Verantwortlichen gerichteten Antrag nach Art. 15 DSGVO auf Auskunft über personenbezogene Daten als „exzessiv“ im Sinne dieses Art. 12 Abs. 5 anzusehen, und, wenn dem so ist, anhand welcher Umstände gegebenenfalls ein solcher exzessiver Charakter festgestellt werden kann.

22Art. 15 Abs. 1 DSGVO garantiert insoweit das Recht der betroffenen Person, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden, und, wenn dies der Fall ist, das Recht dieser Person auf Auskunft über diese Daten und die damit verbundenen Informationen (vgl. in diesem Sinne Urteil vom 26. Oktober 2023, FT [Kopien der Patientenakte], C‑307/22, EU:C:2023:811, Rn. 31).

23Außerdem stellt Art. 12 Abs. 5 DSGVO den Grundsatz auf, dass der betroffenen Person durch die Ausübung des Rechts auf Auskunft keine Kosten entstehen. Gleichwohl gibt es nach dieser Bestimmung zwei Gründe, aus denen der Verantwortliche entweder ein angemessenes Entgelt in Rechnung stellen kann, bei dem die Verwaltungskosten berücksichtigt werden, oder sich weigern kann, aufgrund des Auskunftsantrags tätig zu werden. Diese Gründe beziehen sich auf Fälle von Rechtsmissbrauch, in denen die Anträge der betroffenen Person als „offenkundig unbegründet“ oder – insbesondere im Fall häufiger Wiederholung – „exzessiv“ anzusehen sind (Urteil vom 26. Oktober 2023, FT [Kopien der Patientenakte], C‑307/22, EU:C:2023:811, Rn. 31).

24Was erstens die Frage betrifft, ob ein erster Auskunftsantrag der betroffenen Person an den Verantwortlichen nach Art. 15 DSGVO als „exzessiv“ angesehen werden kann, ist darauf hinzuweisen, dass, da der Begriff „exzessive Anträge“ in der DSGVO nicht definiert wird, bei seiner Auslegung nach ständiger Rechtsprechung sowohl der Wortlaut von Art. 12 Abs. 5 DSGVO entsprechend seinem üblichen Sinn im gewöhnlichen Sprachgebrauch als auch der Zusammenhang dieser Bestimmung und die Ziele zu berücksichtigen sind, die mit der Regelung, zu der sie gehört, verfolgt werden (vgl. Urteile vom 17. November 1983, Merck, 292/82, EU:C:1983:335, Rn. 12, und vom 9. Januar 2025, Österreichische Datenschutzbehörde [Exzessive Anfragen], C‑416/23, EU:C:2025:3, Rn. 24 und die dort angeführte Rechtsprechung).

25Insoweit bezeichnet, was den Wortlaut von Art. 12 Abs. 5 DSGVO und insbesondere den üblichen Sinn des Begriffs „exzessive Anträge“ im gewöhnlichen Sprachgebrauch anbelangt, das Adjektiv „exzessiv“ etwas, das über das gewöhnliche oder vernünftige Maß hinausgeht oder das erwünschte oder zulässige Maß überschreitet (vgl. in diesem Sinne Urteil vom 9. Januar 2025, Österreichische Datenschutzbehörde [Exzessive Anfragen], C‑416/23, EU:C:2025:3, Rn. 43). Allein anhand der Verwendung dieses Adjektivs, das sich sowohl auf qualitative als auch auf quantitative Merkmale bezieht, kann daher nicht ausgeschlossen werden, dass ein erster Auskunftsantrag exzessiv sein mag.

26Zudem ergibt sich zwar aus Art. 12 Abs. 5 Unterabs. 1 Satz 2 DSGVO, dass Anträge „insbesondere im Fall von häufiger Wiederholung“ exzessiv sein können. Die Häufung von Anträgen einer Person kann daher ein Indiz dafür sein, dass sie exzessiv sind (vgl. in diesem Sinne Urteil vom 9. Januar 2025, Österreichische Datenschutzbehörde [Exzessive Anfragen], C‑416/23, EU:C:2025:3, Rn. 57). Wie der Generalanwalt in Nr. 28 seiner Schlussanträge im Wesentlichen betont hat, verlangt jedoch, da die häufige Wiederholung in dieser Bestimmung nur beispielhaft angeführt wird, die Einstufung eines Auskunftsantrags als „exzessiv“ nicht, dass der betreffende Antrag notwendigerweise im Zusammenhang mit der Einreichung mehrerer Anträge durch dieselbe betroffene Person stehen muss.

27In Ansehung einer am Wortlaut orientierten Auslegung von Art. 12 Abs. 5 DSGVO kann daher nicht ausgeschlossen werden, dass ein erster Auskunftsantrag als „exzessiv“ im Sinne dieser Bestimmung angesehen werden kann.

28Bestätigung findet diese Feststellung im Regelungszusammenhang von Art. 12 Abs. 5 Unterabs. 1 Satz 2 DSGVO. Insoweit ist darauf hinzuweisen, dass dieser Art. 12, der sich in Kapitel III der DSGVO über die Rechte der betroffenen Person findet, allgemeine Pflichten des Verantwortlichen in Bezug auf die Transparenz von Information und Kommunikation aufstellt und die Modalitäten für die Ausübung der Rechte der betroffenen Person festlegt. Nach Art. 12 Abs. 2 Satz 1 DSGVO muss der Verantwortliche der betroffenen Person die Ausübung ihrer Rechte gemäß u. a. Art. 15 DSGVO erleichtern, der den durch die DSGVO geschaffenen Transparenzrahmen vervollständigt, indem er dieser Person ein Recht auf Auskunft über ihre personenbezogenen Daten gewährt (vgl. in diesem Sinne Urteil vom 9. Januar 2025, Österreichische Datenschutzbehörde [Exzessive Anfragen], C‑416/23, EU:C:2025:3, Rn. 45 und 46).

29Indem Art. 12 Abs. 5 DSGVO gleichzeitig den Verantwortlichen die Möglichkeit einräumt, bei offenkundig unbegründeten oder exzessiven Anträgen ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten zu verlangen oder sich zu weigern, aufgrund eines Antrags tätig zu werden, sieht er mithin eine Ausnahme von der Pflicht zur Erleichterung u. a. des Auskunftsrechts vor, die eng auszulegen ist (vgl. in diesem Sinne Urteil vom 9. Januar 2025, Österreichische Datenschutzbehörde [Exzessive Anfragen], C‑416/23, EU:C:2025:3, Rn. 33).

30Aus der Rechtsprechung des Gerichtshofs zur Auslegung des Begriffs „exzessive Anfragen“ in Art. 57 Abs. 4 DSGVO, die auf die vorliegende Rechtssache übertragbar ist, da Art. 57 Abs. 4 DSGVO einen im Wesentlichen Art. 12 Abs. 5 DSGVO entsprechenden Wortlaut hat und das gleiche Ziel wie dieser verfolgt, ergibt sich allerdings, dass in Art. 12 Abs. 5 DSGVO ein allgemeiner Grundsatz des Unionsrechts zum Ausdruck kommt, wonach sich Einzelne nicht in betrügerischer oder missbräuchlicher Weise auf unionsrechtliche Normen berufen dürfen (vgl. in diesem Sinne Urteil vom 9. Januar 2025, Österreichische Datenschutzbehörde [Exzessive Anfragen], C‑416/23, EU:C:2025:3, Rn. 49). Die Anwendung der Unionsregelung kann nämlich nicht so weit gehen, dass Vorgänge geschützt werden, die einem missbräuchlichen Zweck dienen (vgl. in diesem Sinne Urteil vom 19. September 2024, Matmut, C‑236/23, EU:C:2024:761, Rn. 52 und die dort angeführte Rechtsprechung).

31Somit ist die Zahl der Auskunftsanträge der betroffenen Person an den Verantwortlichen für sich allein nicht ausschlaggebend für dessen Recht, von der ihm durch Art. 12 Abs. 5 DSGVO eingeräumten Möglichkeit Gebrauch zu machen, auf den Antrag nicht tätig zu werden, so dass der Verantwortliche davon auch im Fall eines ersten Auskunftsantrags Gebrauch machen kann, wenn er in Ansehung aller relevanten Umstände des Einzelfalls dartut, dass eine Missbrauchsabsicht der betroffenen Person vorliegt (vgl. in diesem Sinne Urteil vom 9. Januar 2025, Österreichische Datenschutzbehörde [Exzessive Anfragen], C‑416/23, EU:C:2025:3, Rn. 50).

32Diese systematische Auslegung steht im Einklang mit den Zielen, die mit der DSGVO verfolgt werden. Insoweit ist festzustellen, dass diese Verordnung, wie sich aus ihren Erwägungsgründen 10 und 11 ergibt, ein gleichmäßiges und hohes Schutzniveau für natürliche Personen in der Union gewährleisten und die Rechte der betroffenen Personen stärken und präzise festlegen soll. So sind die Pflichten des Verantwortlichen nach Art. 12 DSGVO, die u. a. die Mitteilung gemäß Art. 15 DSGVO betreffen, als ein Mechanismus konzipiert, der geeignet ist, die Rechte und Interessen der betroffenen Personen wirksam zu wahren (vgl. in diesem Sinne Urteil vom 9. Januar 2025, Österreichische Datenschutzbehörde [Exzessive Anfragen], C‑416/23, EU:C:2025:3, Rn. 38 und 39 sowie die dort angeführte Rechtsprechung).

33Im vierten Erwägungsgrund der DSGVO wird jedoch ausgeführt, dass das Recht auf Schutz der personenbezogenen Daten kein uneingeschränktes Recht ist, da es im Hinblick auf seine gesellschaftliche Funktion gesehen und unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte abgewogen werden muss. Zudem hat der Gerichtshof bereits hervorgehoben, dass die Mechanismen, die es ermöglichen, einen angemessenen Ausgleich zwischen den verschiedenen berührten Rechten und Interessen zu finden, in der DSGVO selbst festgelegt sind (Urteil vom 21. Dezember 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, Rn. 54 und die dort angeführte Rechtsprechung).

34Um die Umsetzung dieses angemessenen Ausgleichs durch die in Rede stehende Ausnahme sowie deren praktische Wirksamkeit zu gewährleisten, ist das relevante Kriterium für die Feststellung eines missbräuchlichen Verhaltens daher der exzessive Charakter des Auskunftsantrags in einer Beurteilung aus qualitativer Sicht gemäß Rn. 26 des vorliegenden Urteils, der nicht allein von der Zahl der Auskunftsanträge der betroffenen Person und damit davon abhängen kann, ob es sich um einen ersten Antrag dieser Person handelt.

35Daraus folgt, dass es möglich ist, einen ersten Auskunftsantrag an den Verantwortlichen nach Art. 15 DSGVO als „exzessiv“ im Sinne von Art. 12 Abs. 5 DSGVO anzusehen. Da der Begriff „exzessive Anträge“, wie sich aus Rn. 29 des vorliegenden Urteils ergibt, eng auszulegen ist, kann sich jedoch ein Verantwortlicher nur ausnahmsweise auf einen solchen exzessiven Charakter berufen, und die Maßstäbe für die Einstufung eines ersten Auskunftsantrags als „exzessiv“ müssen, wie vom Generalanwalt in Nr. 34 seiner Schlussanträge ausgeführt, hoch sein. Ferner ist darauf hinzuweisen, dass nach Art. 12 Abs. 5 Unterabs. 2 DSGVO ausdrücklich der Verantwortliche den Nachweis für den exzessiven Charakter zu erbringen hat.

36Was zweitens die Umstände betrifft, unter denen der erste Auskunftsantrag der betroffenen Person als „exzessiv“ im Sinne von Art. 12 Abs. 5 DSGVO eingestuft werden und somit einen Rechtsmissbrauch im Sinne der oben in den Rn. 23 und 30 angeführten Rechtsprechung begründen kann, so ist für den Nachweis einer missbräuchlichen Verhaltensweise zweierlei erforderlich, nämlich zum einen eine Gesamtheit objektiver Umstände, aus denen sich ergibt, dass trotz formaler Einhaltung der in der Unionsregelung vorgesehenen Bedingungen das Ziel dieser Regelung nicht erreicht wurde, und zum anderen ein subjektives Element, das in der Absicht der betroffenen Person besteht, sich einen aus der Unionsregelung resultierenden Vorteil zu verschaffen, indem die Voraussetzungen für seine Erlangung künstlich geschaffen werden. Bei einer solchen Einstufung müssen außerdem alle Tatsachen und Umstände des Einzelfalls berücksichtigt werden (vgl. in diesem Sinne Urteil vom 21. Dezember 2023, BMW Bank u. a., C‑38/21, C‑47/21 und C‑232/21, EU:C:2023:1014, Rn. 285 und 286 sowie die dort angeführte Rechtsprechung).

37Was als Erstes das objektive Element einer missbräuchlichen Verhaltensweise anbelangt, ist darauf hinzuweisen, dass eine betroffene Person mit Art. 15 DSGVO vor dem Hintergrund des 63. Erwägungsgrundes der DSGVO ein Auskunftsrecht hinsichtlich der sie betreffenden personenbezogenen Daten, die erhoben worden sind, besitzen und dieses Recht problemlos und in angemessenen Abständen wahrnehmen können soll, um sich insbesondere der Verarbeitung dieser Daten bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können, damit sie gegebenenfalls ihre Rechte auf Berichtigung, auf Löschung und auf Einschränkung der Verarbeitung sowie ihr Widerspruchsrecht und im Schadensfall ihr Recht auf einen Rechtsbehelf ausüben kann (vgl. in diesem Sinne Urteil vom 12. Januar 2023, Österreichische Post [Informationen über die Empfänger personenbezogener Daten], C‑154/21, EU:C:2023:3, Rn. 37 und 38).

38Im vorliegenden Fall stellte TC, wie sich aus der dem Gerichtshof vorliegenden Akte ergibt, den im Ausgangsverfahren streitigen Auskunftsantrag, nachdem er sich zum Newsletter von Brillen Rottler angemeldet und dem Unternehmen dabei bestimmte personenbezogene Daten übermittelt hatte, so dass dieser Auskunftsantrag in formaler Hinsicht eine Ausübung des Auskunftsrechts von TC im Hinblick auf die Erreichung des Ziels der Regelung darstellen könnte.

39In Anbetracht der oben in Rn. 36 angeführten Rechtsprechung kann jedoch der „exzessive“ Charakter eines Auskunftsantrags und damit das Vorliegen eines Rechtsmissbrauchs nicht allein anhand der formalen Einhaltung der Anwendungsvoraussetzungen des Art. 15 DSGVO ausgeschlossen werden.

40Was insoweit als Zweites das subjektive Element einer missbräuchlichen Vorgehensweise betrifft, so muss der Verantwortliche, um einen Auskunftsantrag als „exzessiv“ im Sinne von Art. 12 Abs. 5 DSGVO einstufen zu können, anhand aller relevanten Umstände des Einzelfalls nachweisen, dass eine Missbrauchsabsicht seitens der betroffenen Person vorliegt, wobei eine solche Absicht festgestellt werden kann, wenn diese Person den Antrag zu einem anderen Zweck stellt als dem, sich der Datenverarbeitung bewusst zu werden und deren Rechtmäßigkeit zu überprüfen, um anschließend ihre Rechte aus der DSGVO schützen zu können (vgl. in diesem Sinne Urteil vom 9. Januar 2025, Österreichische Datenschutzbehörde [Exzessive Anfragen], C‑416/23, EU:C:2025:3, Rn. 50 und 56).

41Somit obliegt im vorliegenden Fall unter Berücksichtigung insbesondere dessen, was sich aus Rn. 35 des vorliegenden Urteils ergibt, dem Verantwortlichen der eindeutige Nachweis, dass sich die betroffene Person mit dem Auskunftsantrag nach Art. 15 DSGVO nicht der Datenverarbeitung bewusst werden, sondern künstlich die Voraussetzungen für die Erlangung von Schadensersatz von dem Verantwortlichen schaffen wollte.

42Insoweit werden sämtliche Fallumstände zu berücksichtigen sein, insbesondere der Umstand, dass die betroffene Person personenbezogene Daten freiwillig bereitgestellt hat, der Zweck der Bereitstellung dieser Daten, die zwischen der Datenbereitstellung und dem Auskunftsantrag verstrichene Zeit sowie das Verhalten dieser Person.

43Vor dem Hintergrund des bei ihm anhängigen Rechtsstreits sieht sich das vorlegende Gericht vor die Frage gestellt, ob bei der Beurteilung des Vorliegens eines Rechtsmissbrauchs öffentliche Informationen berücksichtigt werden können, die darauf hindeuten sollen, dass TC Anträge auf Auskunft über seine personenbezogenen Daten und Schadensersatzforderungen systematisch an verschiedene Verantwortliche nach einem Muster richtet, das mit dem im vorliegenden Fall angewandten vergleichbar ist. Dieser Anhaltspunkt kann zur Feststellung missbräuchlicher Absichten der betroffenen Person durchaus herangezogen werden, sofern er durch andere relevante Anhaltspunkte bestätigt wird.

44Mithin hat das vorlegende Gericht im vorliegenden Fall zu prüfen, ob Brillen Rottler unter Berücksichtigung aller relevanten Umstände nachgewiesen hat, dass TC mit dem betreffenden Auskunftsantrag eine missbräuchliche Absicht verfolgte.

45Nach alledem ist auf die Fragen 1 bis 3 und 7 zu antworten, dass Art. 12 Abs. 5 DSGVO dahin auszulegen ist, dass ein erster von der betroffenen Person an den Verantwortlichen gerichteter Antrag nach Art. 15 DSGVO auf Auskunft über personenbezogene Daten als „exzessiv“ im Sinne dieses Art. 12 Abs. 5 angesehen werden kann, wenn der Verantwortliche in Ansehung aller relevanten Fallumstände nachweist, dass dieser Antrag trotz formaler Einhaltung der in diesen Bestimmungen vorgesehenen Bedingungen von der betroffenen Person nicht gestellt wurde, um sich der Verarbeitung dieser Daten bewusst zu werden und deren Rechtmäßigkeit zu überprüfen, damit sie anschließend ihre Rechte aus der DSGVO schützen kann, sondern in missbräuchlicher Absicht wie zur künstlichen Schaffung der Voraussetzungen für die Erlangung eines sich aus der DSGVO ergebenden Vorteils. Dass die betroffene Person nach öffentlich zugänglichen Informationen etwa mehrere Anträge auf Auskunft über ihre personenbezogenen Daten, gefolgt von Schadensersatzforderungen gegenüber verschiedenen Verantwortlichen, gestellt hat, kann für die Feststellung einer solchen missbräuchlichen Absicht berücksichtigt werden.

Zur fünften und zur sechsten Frage

46Mit seiner fünften und seiner sechsten Frage, die zusammen und als Zweites zu prüfen sind, möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass er der betroffenen Person einen Anspruch auf Ersatz des aus einer Verletzung des Auskunftsrechts nach Art. 15 Abs. 1 DSGVO entstandenen Schadens verleiht.

47Wie oben in Rn. 24 ausgeführt, sind nach ständiger Rechtsprechung bei der Auslegung einer Bestimmung des Unionsrechts nicht nur ihr Wortlaut, sondern auch ihr Zusammenhang und die mit ihr verfolgten Ziele zu berücksichtigen.

48Nach Art. 82 Abs. 1 DSGVO hat eine Person, der „wegen eines Verstoßes gegen diese Verordnung“ ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen. Es ist festzustellen, dass diese Bestimmung keine Bezugnahme auf die „Verarbeitung“ enthält, so dass der Ersatzanspruch nicht auf Schäden beschränkt sein kann, die sich aus einer Verarbeitung personenbezogener Daten ergeben.

49Bestätigung findet diese Feststellung erstens in der systematischen Analyse dieser Bestimmung im Licht des 141. Erwägungsgrundes der DSGVO, wonach jede betroffene Person das Recht haben sollte, gemäß Art. 47 der Charta einen wirksamen gerichtlichen Rechtsbehelf einzulegen, „wenn sie sich in ihren Rechten gemäß dieser Verordnung verletzt sieht“. Art. 82 Abs. 1 DSGVO findet sich nämlich in deren Kapitel VIII über die Rechtsbehelfe, Haftungsregeln und Sanktionen zum Schutz dieser Rechte. Diese Rechte umfassen aber sowohl das in Art. 12 DSGVO vorgesehene Recht einer betroffenen Person auf Information als auch ihr Auskunftsrecht nach Art. 15 Abs. 1 DSGVO, so dass sie durch Art. 82 DSGVO geschützt werden müssen, der somit dahin auszulegen ist, dass er auch für Schäden aus Verstößen gegen die Art. 12 und 15 DSGVO gilt.

50Diese Auslegung kann nicht dadurch in Frage gestellt werden, dass zum einen ausweislich des 146. Erwägungsgrundes der DSGVO der Verantwortliche Schäden ersetzen sollte, die einer Person „aufgrund einer Verarbeitung“ entstehen, die mit der DSGVO nicht im Einklang steht, und dass zum anderen in Art. 82 Abs. 2 und 4 DSGVO von dem „durch [eine/die] Verarbeitung verursachten Schaden“ die Rede ist.

51Wie nämlich die Kommission in ihren schriftlichen Erklärungen im Wesentlichen geltend macht, kann sich der behauptete Verstoß im Fall einer Verletzung der in den Bestimmungen des Kapitels III der DSGVO vorgesehenen Rechte, insbesondere der Rechte auf Auskunft über die Daten und auf Berichtigung sowie der Rechte auf Löschung, auf Einschränkung der Verarbeitung und auf Übertragbarkeit, nicht aus einer tatsächlichen Verarbeitung der personenbezogenen Daten als solcher ergeben, sondern vielmehr aus der Weigerung, aufgrund des auf die Ausübung dieser Rechte bezogenen Antrags der betroffenen Person tätig zu werden. Würde der Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO vom Vorliegen von Schäden abhängig gemacht, die sich aus einer Verarbeitung als solcher ergeben, hätte dies daher den Ausschluss solcher Fälle vom Anwendungsbereich dieser Bestimmung zur Folge, deren praktische Wirksamkeit damit beeinträchtigt würde.

52Im Übrigen hat der Gerichtshof bereits entschieden, dass der Verstoß des Verantwortlichen gegen die Art. 26 und 30 DSGVO, von denen der erste den Abschluss einer Vereinbarung über die jeweiligen Funktionen und Beziehungen der Verantwortlichen gegenüber betroffenen Personen und der zweite die Führung eines Verzeichnisses der Verarbeitungstätigkeiten betrifft, keine „unrechtmäßige Verarbeitung“ darstellt, die der betroffenen Person ein Recht auf Löschung oder auf Einschränkung der Verarbeitung verleiht. Ein solcher Verstoß ist daher unter Rückgriff auf andere von der DSGVO vorgesehene Maßnahmen zu heilen, u. a. durch Ersatz des vom Verantwortlichen etwaig verursachten Schadens gemäß Art. 82 DSGVO (vgl. in diesem Sinne Urteil vom 4. Mai 2023, Bundesrepublik Deutschland [Elektronisches Gerichtsfach], C‑60/22, EU:C:2023:373, Rn. 66 und 67).

53Zweitens findet die oben in Rn. 48 getroffene Feststellung Bestätigung in der teleologischen Auslegung von Art. 82 Abs. 1 DSGVO, denn dieser Artikel soll die Verwirklichung der Ziele der DSGVO gewährleisten, zu denen u. a. das in deren elftem Erwägungsgrund genannte Ziel gehört, die Rechte der betroffenen Personen zu stärken und die Verpflichtungen für diejenigen zu verschärfen, die personenbezogene Daten verarbeiten und darüber entscheiden. Wie der Generalanwalt in Nr. 72 seiner Schlussanträge im Wesentlichen ausgeführt hat, würden aber diese Rechte, zu denen das Auskunftsrecht, um das es dem vorlegenden Gericht geht, gerade gehört, erheblich geschwächt, wenn Art. 82 Abs. 1 DSGVO dahin ausgelegt werden sollte, dass er allein Schäden erfasst, die sich aus rechtswidrigen Handlungen ergeben, die eine Datenverarbeitung umfassen.

54Daraus folgt, dass sich die betroffene Person auch bei einem Verstoß gegen die DSGVO, bei dem als solchem keine Datenverarbeitung impliziert ist, auf das in Art. 82 DSGVO vorgesehene Recht auf Schadensersatz berufen kann.

55Demnach ist auf die fünfte und die sechste Frage zu antworten, dass Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass er der betroffenen Person einen Anspruch auf Ersatz des aus einer Verletzung des Auskunftsrechts nach Art. 15 Abs. 1 DSGVO entstandenen Schadens verleiht.

Zur vierten Frage

56In Anbetracht der Antwort auf die fünfte und die sechste Vorlagefrage ist die vierte Frage nicht zu beantworten.

Zur achten Frage

57Mit seiner achten Frage, die als Drittes und Letztes zu prüfen ist, möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass der immaterielle Schaden der betroffenen Person den Verlust der Kontrolle über ihre personenbezogenen Daten oder ihre Ungewissheit darüber umfasst, ob diese Daten verarbeitet wurden.

58Da die DSGVO für den Sinn und die Tragweite der in ihrem Art. 82 Abs. 1 enthaltenen Begriffe, insbesondere, was die Begriffe „materieller oder immaterieller Schaden“ und „Schadenersatz“ betrifft, nicht auf das Recht der Mitgliedstaaten verweist, sind diese Begriffe für die Zwecke der Anwendung der DSGVO als autonome Begriffe des Unionsrechts anzusehen, die in allen Mitgliedstaaten einheitlich auszulegen sind (vgl. in diesem Sinne Urteile vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C‑300/21, EU:C:2023:370, Rn. 30, und vom 4. September 2025, Quirin Privatbank, C‑655/23, EU:C:2025:655, Rn. 55 und die dort angeführte Rechtsprechung).

59Insoweit ist darauf hinzuweisen, dass nicht davon ausgegangen werden kann, dass jeder „Verstoß“ gegen die Bestimmungen der DSGVO für sich genommen einen Schadensersatzanspruch der betroffenen Person begründet. Nach Art. 82 Abs. 1 DSGVO hat nämlich „[j]ede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, … Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter“. Daraus geht klar hervor, dass das Vorliegen eines „Schadens“, der „entstanden“ ist, eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadensersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DSGVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind (vgl. in diesem Sinne Urteile vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C‑300/21, EU:C:2023:370, Rn. 31 bis 33, und vom 4. September 2025, Quirin Privatbank, C‑655/23, EU:C:2025:655, Rn. 56 und die dort angeführte Rechtsprechung).

60Somit muss die Person, die auf der Grundlage von Art. 82 Abs. 1 DSGVO Ersatz eines immateriellen Schadens fordert, nicht nur den Verstoß gegen Bestimmungen der DSGVO nachweisen, sondern auch, dass ihr durch diesen Verstoß ein solcher Schaden entstanden ist. Ein entsprechender Schaden kann daher nicht allein deshalb vermutet werden, weil sich der Verstoß ereignet hat (Urteil vom 4. Oktober 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, Rn. 141 und die dort angeführte Rechtsprechung).

61Davon abgesehen hat der Gerichtshof bereits entschieden, dass aus der im ersten Satz des 85. Erwägungsgrundes der DSGVO enthaltenen beispielhaften Aufzählung der „Schäden“, die den betroffenen Personen entstehen können, hervorgeht, dass der Unionsgesetzgeber unter den Schadensbegriff insbesondere auch den bloßen „Verlust der Kontrolle“ über ihre eigenen personenbezogenen Daten infolge eines Verstoßes gegen die DSGVO fassen wollte, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten erfolgt sein sollte (Urteil vom 4. Oktober 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, Rn. 145 und die dort angeführte Rechtsprechung).

62Der Gerichtshof hat auch befunden, dass der Begriff „immaterieller Schaden“ nicht allein auf Schäden mit einer gewissen Erheblichkeit beschränkt werden kann. Insbesondere darf eine nationale Regelung oder Praxis für einen durch einen Verstoß gegen die DSGVO verursachten immateriellen Schaden keine „Bagatellgrenze“ festlegen. Die betroffene Person muss jedoch nachweisen, dass ihr zum einen tatsächlich ein solcher Schaden – so geringfügig er auch sein mag – entstanden ist und dass zum anderen in den Folgen dieses Verstoßes, die sie erlitten zu haben behauptet, ein Schaden begründet liegt, der sich von der bloßen Verletzung der Bestimmungen der DSGVO unterscheidet (vgl. in diesem Sinne Urteil vom 14. Dezember 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, Rn. 22 und 23).

63So kann das bloße Vorbringen seitens der betroffenen Person einer durch einen Verlust der Kontrolle über ihre personenbezogenen Daten hervorgerufenen Befürchtung nicht zu Schadensersatz nach Art. 82 Abs. 1 DSGVO führen (vgl. in diesem Sinne Urteil vom 20. Juni 2024, PS [Fehlerhafte Anschrift], C‑590/22, EU:C:2024:536, Rn. 33 und 35). Beruft sich eine Person, die auf der Grundlage dieser Bestimmung Schadensersatz fordert, auf die Befürchtung, dass ihre personenbezogenen Daten etwa in Zukunft aufgrund eines Verstoßes gegen die DSGVO missbräuchlich verwendet werden, muss daher das angerufene nationale Gericht prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann (vgl. in diesem Sinne Urteil vom 4. Oktober 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, Rn. 143 und die dort angeführte Rechtsprechung).

64Die Erwägungen in den vorstehenden Rn. 59 bis 63 gelten auch in einer Situation, in der nach Ansicht der betroffenen Person Unsicherheit darüber besteht, ob ihre personenbezogenen Daten verarbeitet wurden.

65Um dem vorlegenden Gericht eine zweckdienliche Antwort zu geben, ist noch darauf hinzuweisen, dass der Kausalzusammenhang zwischen dem behaupteten Verstoß und dem behaupteten Schaden durch die Handlungsweise der betroffenen Person unterbrochen werden kann, sofern sich diese Handlungsweise als die entscheidende Ursache für den Schaden erweist. Eine entsprechende Handlung kann u. a. in einer Entscheidung der geschädigten Person bestehen, allerdings nur, sofern diese Entscheidung für sie nicht zwingend war (vgl. entsprechend Urteil vom 18. Dezember 2025, WS u. a./Frontex [Gemeinsame Rückkehraktion], C‑679/23 P, EU:C:2025:976, Rn. 151 und 152 sowie die dort angeführte Rechtsprechung).

66Außerdem ergibt sich aus der oben in Rn. 59 angeführten Rechtsprechung, dass das Bestehen eines Kausalzusammenhangs zwischen dem behaupteten Verstoß gegen die DSGVO und dem Schaden, der der betroffenen Person entstanden sein soll, eine unabdingbare Voraussetzung für einen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO ist. Folglich kann der betroffenen Person nach Art. 82 Abs. 1 DSGVO kein Ersatz für Schäden gewährt werden, die ihr durch den Verlust der Kontrolle über ihre personenbezogenen Daten oder ihre Ungewissheit über das Vorliegen einer Verarbeitung dieser Daten entstanden sein sollen, wenn der Kausalzusammenhang aufgrund der Handlungsweise dieser Person unterbrochen wird, weil besagter Kontrollverlust oder besagte Ungewissheit durch die Entscheidung der betroffenen Person herbeigeführt wurden, dem Verantwortlichen diese Daten in der Absicht zu übermitteln, künstlich die Voraussetzungen für die Anwendung dieser Bestimmung zu schaffen.

67Demnach ist auf die achte Frage zu antworten, dass Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass der immaterielle Schaden der betroffenen Person den Verlust der Kontrolle über ihre personenbezogenen Daten oder ihre Ungewissheit darüber umfasst, ob ihre Daten verarbeitet wurden, sofern insbesondere nachgewiesen wird, dass dieser Person tatsächlich ein solcher Schaden entstanden ist und dass ihr Verhalten nicht die entscheidende Ursache für diesen Schaden war.

Kosten

68Für die Beteiligten des Ausgangsverfahrens ist das Verfahren Teil des beim vorlegenden Gericht anhängigen Verfahrens; die Kostenentscheidung ist daher Sache dieses Gerichts. Die Auslagen anderer Beteiligter für die Abgabe von Erklärungen vor dem Gerichtshof sind nicht erstattungsfähig.

Aus diesen Gründen hat der Gerichtshof (Vierte Kammer) für Recht erkannt:

1.      Art. 12 Abs. 5 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

ist dahin auszulegen, dass

ein erster von der betroffenen Person an den Verantwortlichen gerichteter Antrag nach Art. 15 dieser Verordnung auf Auskunft über personenbezogene Daten als „exzessiv“ im Sinne dieses Art. 12 Abs. 5 angesehen werden kann, wenn der Verantwortliche in Ansehung aller relevanten Fallumstände nachweist, dass dieser Antrag trotz formaler Einhaltung der in diesen Bestimmungen vorgesehenen Bedingungen von der betroffenen Person nicht gestellt wurde, um sich der Verarbeitung dieser Daten bewusst zu werden und deren Rechtmäßigkeit zu überprüfen, damit sie anschließend ihre Rechte aus der besagten Verordnung schützen kann, sondern in missbräuchlicher Absicht wie zur künstlichen Schaffung der Voraussetzungen für die Erlangung eines sich aus dieser Verordnung ergebenden Vorteils. Dass die betroffene Person nach öffentlich zugänglichen Informationen etwa mehrere Anträge auf Auskunft über ihre personenbezogenen Daten, gefolgt von Schadensersatzforderungen gegenüber verschiedenen Verantwortlichen, gestellt hat, kann für die Feststellung einer solchen missbräuchlichen Absicht berücksichtigt werden.

2.      Art. 82 Abs. 1 der Verordnung 2016/679

ist dahin auszulegen, dass

er der betroffenen Person einen Anspruch auf Ersatz des aus einer Verletzung des Auskunftsrechts nach Art. 15 Abs. 1 dieser Verordnung entstandenen Schadens verleiht.

3.      Art. 82 Abs. 1 der Verordnung 2016/679

ist dahin auszulegen, dass

der immaterielle Schaden der betroffenen Person den Verlust der Kontrolle über ihre personenbezogenen Daten oder ihre Ungewissheit darüber umfasst, ob ihre Daten verarbeitet wurden, sofern insbesondere nachgewiesen wird, dass dieser Person tatsächlich ein solcher Schaden entstanden ist und dass ihr Verhalten nicht die entscheidende Ursache für diesen Schaden war.

Unterschriften

*      Verfahrenssprache: Deutsch.