En optiker, et nyhedsbrev og et krav på 1.000 euro

Sagens fakta er næsten komisk små for en dom af denne rækkevidde. En mand bosat i Østrig tilmeldte sig nyhedsbrevet fra Brillen Rottler, en familiedrevet optiker i Arnsberg i Tyskland, og indtastede sine oplysninger i tilmeldingsformularen. Tretten dage senere sendte han virksomheden en indsigtsanmodning efter GDPR artikel 15. Optikeren afviste og henviste til rapporter, blogindlæg og advokaters nyhedsbreve, der beskriver, hvordan samme mand systematisk tilmelder sig nyhedsbreve, kræver indsigt og derefter forlanger erstatning. Han krævede mindst 1.000 euro for ikke-økonomisk skade som følge af afslaget.

Byretten i Arnsberg stillede Luxembourg to spørgsmål, som tusindvis af europæiske virksomheder, også danske, stille har stillet sig selv: kan en første anmodning allerede være overdreven, og har en afvist anmoder automatisk et erstatningskrav? Den 19. marts 2026 svarede Domstolen på begge.

Hvad Domstolen faktisk afgjorde

For det første: en enkelt, formelt korrekt indsigtsanmodning kan allerede være overdreven i artikel 12, stk. 5's forstand og dermed afvises, når den ikke er indgivet for at kende behandlingen og efterprøve dens lovlighed, men med den misbrugende hensigt kunstigt at skabe betingelserne for erstatning efter artikel 82.

For det andet opregnede Domstolen, hvad en dataansvarlig må støtte sig på for at påvise den hensigt: alle sagens omstændigheder, især at den registrerede afgav sine data frivilligt, formålet med afgivelsen, tiden mellem tilmelding og anmodning og personens adfærd. Offentligt tilgængelige oplysninger om et mønster af mange anmodninger fulgt af krav mod forskellige dataansvarlige må indgå, blot ikke som eneste grundlag.

For det tredje erstatningssiden. Erstatning efter artikel 82 kræver bevis for en faktisk økonomisk eller ikke-økonomisk skade, og den bortfalder, når sagsøgerens egen adfærd er den afgørende årsag til skaden. Tab af kontrol over egne data kan fortsat i princippet erstattes, men et iscenesat tab er ikke en skade, den dataansvarlige har forvoldt.

Kravindustrien, som denne dom tørlægger

Forretningsmodellen, Domstolen beskriver, har et navn i praksis: GDPR-hopperi. Tilmeld dig snesevis af nyhedsbreve, affyr indsigtsanmodninger, vent på at en dataansvarlig misser månedsfristen eller svarer ufuldstændigt, og kræv så nogle hundrede til nogle tusinde euro for ikke-økonomisk skade. Modellen skalerer, fordi det er dyrt at svare og billigt at forlige. Små virksomheder, præcis den familiedrevne slags i centrum af denne sag, var dens foretrukne mål.

Dommen angriber modellen i begge ender. Selve anmodningen kan afvises, hvor misbrugshensigt kan påvises, og udbetalingen kollapser, hvor skaden er fabrikeret af sagsøgeren selv. Urørt står den ærlige anmoder: Domstolen bekræftede, at indsigt findes, så man kan efterprøve lovligheden, og intet i dommen giver lov til at sortere anmodninger efter mistanke eller irritation.

Hvad du bør ændre i din indsigtshåndtering

Den forkerte læsning af dommen er, at man nu må afvise ubekvemme anmodninger. Bevisbyrden for misbrug er din, beviserne skal være mere end en fornemmelse, og en uberettiget afvist anmodning udsætter dig stadig for klager til Datatilsynet, bøder og erstatning. Den rigtige læsning er, at bevisdisciplin betaler sig: log enhver anmodning med tidspunkt og kontekst, svar inden fristen som hovedregel, og behandl afvisning som den dokumenterede undtagelse, der først kræver en sagsmappe.

For ejerledere er det operative træk en skriftlig triage af indsigtsanmodninger: hvem vurderer dem, efter hvilke kriterier fra denne dom, hvem godkender et afslag, og hvor ligger bevismaterialet. Det papirspor er det, der gør et domstolsgodkendt forsvar til et, du faktisk kan bruge.