DAEN

MENU

Hvornår kan man afvise en indsigtsanmodning efter GDPR pga. misbrug?

I en ny principiel dom fastslår EU-Domstolen, at en anmodning om indsigt i egne personoplysninger kan betragtes som misbrug og afvises, hvis den udelukkende fremsættes med det formål senere at fremsætte et erstatningskrav for en påstået overtrædelse af GDPR. I sagen fremhæver EU-Domstolen, hvilke betingelser der skal være til stede, førend en indsigtsanmodning kan afvises pga. misbrug.

I en ny principiel dom fastslår EU-Domstolen, at en anmodning om indsigt i egne personoplysninger kan betragtes som misbrug og afvises, hvis den udelukkende fremsættes med det formål senere at fremsætte et erstatningskrav for en påstået overtrædelse af GDPR. I sagen fremhæver EU-Domstolen, hvilke betingelser der skal være til stede, førend en indsigtsanmodning kan afvises pga. misbrug.

Den 19. marts 2026 traf EU-Domstolen afgørelse i sagen C-526/24, Brillen Rottler GmbH & Co. KG mod TC. Sagen angik navnlig: 

  1. rækkevidden af den registreredes indsigtsret efter GDPR artikel 15, stk. 1,
  2. betingelserne for at afvise en indsigtsanmodning med henvisning til misbrug efter GDPR artikel 12, stk. 5, samt 
  3. retten til erstatning ved krænkelse af indsigtsretten efter GDPR artikel 82, stk. 1.

Sagens omstændigheder

Sagen handlede om en tvist mellem et optikerfirma (Brillen Rottler) og en fysisk person (TC) ved en tysk byret. TC havde tilmeldt sig virksomhedens nyhedsbrev og indtastet sine personoplysninger i tilmeldingsformularen. Kort derefter anmodede TC om indsigt i sine personoplysninger efter GDPR artikel 15.

Brillen Rottler gjorde gældende, at TC systematisk tilmeldte sig nyhedsbreve med det ene formål efterfølgende at fremsætte indsigtsanmodninger og erstatningskrav. Virksomheden havde på nettet fundet offentligt tilgængelige oplysninger om TC, der tydede herpå. 

På denne baggrund afviste Brillen Rottler TC’s anmodning om indsigt med henvisning til, at denne var et udtryk for misbrug af indsigtsretten, jf. GDPR artikel 12, stk. 5. 

Det følger af bestemmelsen, at hvis anmodninger fra en registreret er åbenbart grundløse eller overdrevne, især fordi de gentages, kan den dataansvarlige vælge at afvise at efterkomme anmodningen.

TC undlod at trække sin anmodning tilbage og fremsatte et erstatningskrav mod Brillen Rottler på 1.000 euro for ikke-økonomisk skade efter GDPR artikel 82.

Brillen Rottler anlagde efterfølgende sag ved den tyske domstol med påstand om, at TC ikke havde krav på erstatning.

Sagens spørgsmål

Den forelæggende tyske ret anmodede EU-Domstolen om at tage stilling til følgende præjudicielle spørgsmål:

  • om den første indsigtsanmodning kan være urimelig efter GDPR artikel 12, stk. 5, 
  • om en indsigtsanmodning kan afvises, når den fremsættes med henblik på at opnå erstatning,
  • om offentligt tilgængelige oplysninger om den registreredes tidligere adfærd kan indgå i misbrugsvurderingen, 
  • om GDPR artikel 82, stk. 1, giver ret til erstatning som følge af en krænkelse af indsigtsretten, 
  • om tab af kontrol over personoplysninger eller usikkerhed om behandlingen kan udgøre ikke-økonomisk skade. 

EU-Domstolens vurdering

Om afvisning af indsigtsanmodningen efter GDPR artikel 12, stk. 5

EU-Domstolen fastslog indledningsvis, at en indsigtsanmodning efter GDPR artikel 15, som fremsættes for første gang, efter omstændighederne kan være urimelig i artikel 12, stk. 5’s forstand. 

Domstolen lagde herved vægt på, at ordlyden i artikel 12, stk. 5, 2. pkt., hvorefter anmodninger navnlig kan afvises som urimelige ’fordi de gentages’, ikke indebærer, at antallet af anmodninger i sig selv er afgørende for, om den dataansvarlige kan benytte sig af retten til at afslå en indsigtsanmodning. 

Den udtalte endvidere, at artikel 12, stk. 5 skal fortolkes i lyset af det almindelige EU-retlige princip om, at EU-retten ikke kan påberåbes med henblik på misbrug eller svig. De rettigheder, der tilkommer den registrerede efter GDPR, kan således ikke udøves med henblik på kunstigt at fremme fordele, som forordningen giver adgang til.

Samtidig understregede Domstolen, at artikel 12, stk. 5, udgør en undtagelse fra den dataansvarliges pligt til at lette udøvelsen af de registreredes rettigheder, og at bestemmelsen derfor skal fortolkes restriktivt.

Domstolen fastslog herefter, at den dataansvarlige bærer bevisbyrden for misbrugspraksis, og at redegørelsen skal indeholde en kombination af objektive omstændigheder og et subjektivt element bestående af den registreredes hensigt. 

Ved denne vurdering skal der tages hensyn til alle sagens relevante omstændigheder, herunder navnlig:

  • at den registrerede frivilligt har afgivet personoplysninger,
  • formålet med afgivelsen af oplysningerne,
  • den tid, der er forløbet mellem afgivelsen af oplysningerne og indsigtsanmodningen,
  • den registreredes adfærd i øvrigt.

Domstolen fastslog endvidere, at offentligt tilgængelige oplysninger om, at TC systematisk fremsatte indsigtsanmodninger efterfulgt af erstatningskrav mod forskellige dataansvarlige, kunne indgå i vurderingen af, om der forelå en misbrugshensigt.

Om erstatning i forbindelse med krænkelse af indsigtsretten efter GDPR artikel 82, stk. 1

EU-Domstolen fastslog herefter, at artikel 82, stk. 1, i GDPR skal fortolkes således, at den giver den registrerede ret til erstatning for den skade, der følger af en krænkelse af indsigtsretten, jf. artikel 15, stk. 1. Den udtalte, at en fortolkning, hvorefter retten til erstatning alene omfatter skade som følge af selve behandlingen af personoplysninger, ville underminere bestemmelsens effektive virkning. 

Domstolen præciserede, at erstatningskravet er betinget af, at tre kumulative betingelser er opfyldt, henholdsvis i) at der foreligger en overtrædelse af GDPR, ii) at den registrerede har lidt en økonomisk eller ikke-økonomisk skade, samt iii) at der består en årsagsforbindelse mellem overtrædelsen og skaden. 

Det er således ikke tilstrækkeligt, at den registrerede blot kan påvise, at der foreligger en overtrædelse af bestemmelserne i GDPR. Den registrerede skal kunne godtgøre, at overtrædelsen kausalt har forårsaget en reel skade, og at den registreredes egen adfærd ikke var den afgørende årsag hertil. 

Det blev herefter fastslået, at tab af kontrol over egne personoplysninger samt usikkerhed i behandlingen principielt kan udgøre ikke-økonomisk skade i henhold til artikel 82, stk. 1

Hvad betyder dommen for dataansvarlige?

Dommen er vigtig, fordi den fastslår, at selv en enkelt indsigtsanmodning kan afvises som misbrug af indsigtsretten efter GDPR artikel 12, stk. 5, hvis det eneste formål med indsigtsanmodningen er at skabe et kunstigt grundlag for et krav om kompensation i modsætning til at kontrollere lovligheden af indsamlingen af personoplysninger. 

Dette kan efter omstændighederne aktualiseres i situationer, hvor registrerede eksempelvis anvender onlineværktøjer, herunder AI-løsninger, i stort omfang til at sende bølger af indsigtsanmodninger afsted til dataansvarlige.

Den dataansvarliges beslutning om at afvise en indsigtsanmodning under henvisning til mistanke om misbrug skal være konkret begrundet og behørigt dokumenteret af den dataansvarlige. Det er således den dataansvarlige, der bærer bevisbyrden for, at der foreligger misbrug.

Vurderingen, af om anmodningen er udtryk for misbrug, skal bero på både objektive og subjektive forhold. Den dataansvarlige kan også inddrage offentligt tilgængelige oplysninger om den registreredes tidligere adfærd.  

Dommen er samtidig vigtig, fordi den understreger, at et uberettiget eller udokumenteret afslag på indsigt kan få erstatningsretlige konsekvenser, hvis den registrerede kan dokumentere, at der foreligger en skade. 

Vi gennemgår dommen og dens praktiske betydning på det næste møde i vores Databeskyttelsesnetværk.

EU-Domstolens afgørelse kan tilgås via nedenstående link: 
C-526/24 Brillen Rottler GmbH & Co. KG mod TC, afsagt den 19. marts 2026

Læs også EU-Domstolens pressemeddelelse her: Court of Justice of The European Union

Hold dig opdateret: Få juridisk viden og indsigter fra vores eksperter direkte i din indbakke

Når du tilmelder dig vores nyhedsbreve, bliver du opdateret på seneste nyt fra de retsområder, som du ønsker at følge. Du får også adgang til kommende kurser, webinarer og arrangementer – alt sammen designet til at holde dig informeret og ajour. Uanset om du er på udkig efter rådgivning, viden eller netværksmuligheder, er vores nyhedsbreve din nøgle til det hele.