En optiker, ett nyhetsbrev och ett krav på 1 000 euro

Fakta i målet är nästan komiskt små för en dom med denna räckvidd. En man bosatt i Österrike prenumererade på nyhetsbrevet från Brillen Rottler, en familjeägd optiker i Arnsberg i Tyskland, och fyllde i sina uppgifter i anmälningsformuläret. Tretton dagar senare skickade han företaget en begäran om tillgång enligt artikel 15 GDPR. Optikern vägrade och pekade på rapporter, bloggartiklar och advokaters nyhetsbrev som beskriver hur samme man systematiskt prenumererar på nyhetsbrev, begär tillgång och sedan kräver skadestånd. Han krävde minst 1 000 euro för ideell skada på grund av avslaget.

Domstolen i Arnsberg ställde Luxemburg två frågor som tusentals europeiska företag, även svenska, tyst ställt sig själva: kan en första begäran redan vara orimlig, och har en avvisad sökande automatiskt rätt till ersättning? Den 19 mars 2026 svarade domstolen på båda.

Vad domstolen faktiskt beslutade

För det första: en enda, formellt korrekt begäran om tillgång kan redan vara orimlig i den mening som avses i artikel 12.5 GDPR och får därmed avslås, när den inte gjorts för att känna till behandlingen och kontrollera dess laglighet, utan med den missbrukande avsikten att på konstlad väg skapa förutsättningarna för ersättning enligt artikel 82.

För det andra räknade domstolen upp vad en ansvarig får stödja sig på för att visa den avsikten: samtliga omständigheter i fallet, särskilt att den registrerade lämnade uppgifterna frivilligt, syftet med lämnandet, tiden mellan registrering och begäran och personens beteende. Offentligt tillgänglig information som visar ett mönster av många begäranden följda av krav mot olika ansvariga får vägas in, dock inte som enda grund.

För det tredje skadeståndssidan. Ersättning enligt artikel 82 kräver bevis om en verklig materiell eller ideell skada, och den faller bort när kravställarens eget beteende är den avgörande orsaken till skadan. Förlust av kontroll över de egna uppgifterna är i princip fortfarande ersättningsgill, men en tillverkad förlust är ingen skada som den ansvarige orsakat.

Kravindustrin som denna dom torrlägger

Affärsmodellen domstolen beskriver har ett namn i praktiken: GDPR-hoppande. Prenumerera på dussintals nyhetsbrev, skjut iväg begäranden om tillgång, vänta på att en ansvarig missar månadsfristen eller svarar ofullständigt, och kräv sedan från några hundra till några tusen euro i ideell skada. Modellen skalar eftersom det är dyrt att svara och billigt att förlikas. Små företag, exakt den familjeägda sorten i centrum av det här målet, var dess favoritmål.

Domen angriper modellen i båda ändar. Själva begäran får avslås där missbruksavsikt kan visas, och utbetalningen rasar där skadan tillverkats av kravställaren själv. Orörd står den ärliga sökanden: domstolen bekräftade att tillgången finns för att kontrollera laglighet, och inget i domen ger rätt att sortera begäranden efter misstanke eller irritation.

Vad du bör ändra i din hantering av begäranden

Den felaktiga läsningen av domen är att man nu får avslå obekväma begäranden. Bevisbördan för missbruk är din, bevisen måste vara mer än en känsla, och en felaktigt avslagen begäran utsätter dig fortfarande för klagomål till IMY, sanktionsavgifter och skadestånd. Den riktiga läsningen är att bevisdisciplin lönar sig: logga varje begäran med tidpunkt och sammanhang, svara inom fristen som huvudregel, och behandla avslag som det dokumenterade undantag för vilket en akt först byggs upp.

För ägare är det operativa draget en skriftlig triage av begäranden: vem bedömer dem, mot vilka kriterier ur denna dom, vem godkänner ett avslag och var arkiveras bevisen. Det pappersspåret är det som gör ett domstolsgodkänt försvar till ett du faktiskt kan använda.