Auskunftsersuchen von Beschäftigten und ehemaligen Mitarbeitenden sind für Personalabteilungen kein Randthema mehr. Sie tauchen häufig parallel zu Kündigungsschutzklagen, Aufhebungsverhandlungen, internen Beschwerden oder Bewerberstreitigkeiten auf. In vielen Fällen ist das legitim: Beschäftigte wollen nachvollziehen, welche Daten über sie gespeichert sind, wer Zugriff hatte und auf welcher Grundlage Personalentscheidungen vorbereitet wurden.
Gerade deshalb ist das Thema für HR heikel. Denn Auskunftsersuchen sind rechtlich ernst zu nehmen, organisatorisch aufwendig und in der Praxis mitunter strategisch aufgeladen. Mit seinem Urteil hat der EuGH nun zwei Dinge zugleich klargestellt: (1.) Auch ein erster Auskunftsantrag kann missbräuchlich sein. (2.) Wer einen legitimen Antrag zu Unrecht ablehnt, kann aber gerade dadurch einen Schadensersatzanspruch auslösen.
Das Auskunftsrecht ist weit – aber nicht grenzenlos
Art. 15 DSGVO gibt Betroffenen ein weitreichendes Recht auf Auskunft über die Verarbeitung ihrer personenbezogenen Daten. Nach Art. 12 Abs. 5 DSGVO darf ein Verantwortlicher aber offenkundig unbegründete oder exzessive Anträge zurückweisen oder ein angemessenes Entgelt verlangen. Der EuGH betont den Ausnahmecharakter dieser Vorschrift: Ablehnungen bleiben die Ausnahme, nicht die Regel. Zugleich ist „exzessiv“ nicht nur quantitativ, sondern auch qualitativ zu verstehen. Ein Erstantrag ist also nicht allein deshalb geschützt, weil er der erste ist.
Wichtig dabei: Die Beweislast liegt beim Verantwortlichen. Wer einen Antrag als missbräuchlich zurückweist, muss diesen Missbrauch konkret und belegbar nachweisen. Pauschale Annahmen oder allgemeine Skepsis genügen nicht.
Der Fall „Brillen Rottler“: Ein B2C-Fall mit Relevanz für Arbeitgeber
Ausgangspunkt der EuGH-Entscheidung war ein Newsletter-Abo: Ein Verbraucher hatte seine Daten bei dem Optikerunternehmen Brillen Rottler eingetragen und bereits 13 Tage später Auskunft verlangt. Das Unternehmen lehnte ab und verwies auf öffentlich zugängliche Hinweise, wonach der Betroffene systematisch Newsletter abonnierte, sodann Auskunft verlangte und anschließend Schadensersatz geltend machte – in mindestens 66 dokumentierten Fällen allein innerhalb eines Jahres.
Der EuGH hält einen solchen ersten Antrag für potenziell „exzessiv“, wenn er nicht der Kontrolle der Datenverarbeitung dient, sondern in missbräuchlicher Absicht der betroffenen Person gestellt wird, etwa um künstlich die Voraussetzungen für einen späteren Schadensersatzanspruch nach Art. 82 DSGVO zu schaffen. Öffentlich zugängliche Informationen dürfen dabei für die Beurteilung eines Missbrauchs berücksichtigt werden, reichen aber nicht allein aus; maßgeblich ist die Gesamtschau des Einzelfalls.
Für HR ist der Sachverhalt vor allem deshalb relevant, weil er ein Muster betrifft, das Personalabteilungen aus anderer Konstellation kennen: Ein Recht wird nicht nur zur Informationsgewinnung eingesetzt, sondern zugleich als Hebel in einer bereits eskalierten oder strategisch geführten Auseinandersetzung. Der EuGH beantwortet damit keine theoretische Datenschutzfrage, sondern ein sehr praktisches Problem des Umgangs mit taktisch aufgeladenen Betroffenenrechten.
Drei Klarstellungen des EuGH
Erstens: Auch ein Erstantrag kann missbräuchlich sein. Der EuGH verlangt dafür eine konkrete Einzelfallprüfung. Missbrauch liegt nicht schon bei einem taktischen Motiv vor, sondern nur dann, wenn der Antrag trotz formaler Zulässigkeit nicht der Transparenz über die Datenverarbeitung dient, sondern der künstlichen Schaffung eines Vorteils, etwa eines Schadensersatzanspruchs. Zweitens: Die rechtswidrige Ablehnung eines legitimen Auskunftsersuchens kann selbst ein DSGVO-Verstoß sein und damit Schadensersatzansprüche auslösen. Drittens: Ein Anspruch auf Schadensersatz scheidet aus, wenn das Verhalten der betroffenen Person selbst die entscheidende Ursache des behaupteten Schadens war.
Was das für Arbeitgeber im Arbeitsverhältnis bedeutet
Nicht jedes Auskunftsersuchen, das parallel zu einer Kündigungsschutzklage oder einer Trennungsverhandlung gestellt wird, ist missbräuchlich. Gerade im Arbeitsverhältnis besteht häufig ein legitimes Interesse an Transparenz über Personalakte, Leistungsbeurteilungen, Kommunikationsvorgänge oder Empfängerkreise. Die richtige Lehre aus „Brillen Rottler“ lautet daher nicht: künftig häufiger ablehnen. Sie lautet: besser unterscheiden.
Missbrauchsnah können aber Konstellationen sein, in denen der Auskunftsanspruch erkennbar nur als zusätzlicher Druckhebel eingesetzt wird. Denkbar ist etwa der Fall, dass ein ausgeschiedener Mitarbeiter im laufenden Vergleichsgespräch ankündigt, den „DSGVO-Komplex“ nur fallen zu lassen, wenn die Abfindung erhöht wird. Ebenfalls auffällig kann sein, wenn ein Arbeitnehmer parallel an mehrere Konzerngesellschaften bewusst leicht unterschiedlich formulierte Auskunftsersuchen schickt, offenkundig mit dem Ziel, Antwortlücken oder Fristfehler zu provozieren. Ein weiteres Beispiel wäre ein Bewerber oder Beschäftigter, der nicht primär Transparenz über eigene Daten verlangt, sondern pauschal sämtliche internen Chats, Bewertungsmatrizen, Führungsnotizen und juristischen Einschätzungen anfordert und die Anfrage von Beginn an mit einer pauschalen Geldforderung verbindet. Solche Fälle sind nicht automatisch missbräuchlich. Sie können aber in der Gesamtschau darauf hindeuten, dass nicht Aufklärung, sondern Fehlerprovokation oder Vergleichsdruck im Vordergrund stehen.
Genau hier liegt die praktische Schwierigkeit: Der Übergang zwischen legitimer, auch strategischer Rechtsausübung und Rechtsmissbrauch ist im Arbeitsverhältnis schmal. Wer zu schnell mit Art. 12 Abs. 5 DSGVO arbeitet, verlagert das Risiko aus der Auskunftspflicht unmittelbar in die Schadensersatzhaftung.
Das sollten Unternehmen jetzt organisatorisch beachten
Unternehmen brauchen deshalb kein schärferes Ablehnungsregime, sondern ein besseres Prüfregime. Erstens sollte es für Auskunftsersuchen eine klare Federführung geben. HR, Datenschutzbeauftragte und Legal müssen wissen, wer koordiniert, wer Inhalte zuliefert und wer die Entscheidung über eine mögliche Ablehnung trifft. Gerade in konfliktbeladenen Fällen entstehen Haftungsrisiken oft nicht wegen der Rechtslage, sondern wegen unkoordinierter Kommunikation.
Zweitens braucht es eine echte Triage. Standardfälle sollten strukturiert und fristgerecht beantwortet werden. Auffällige Fälle müssen früh als solche erkannt werden, etwa wenn mehrere parallele Anträge eingehen, der Antrag erkennbar auf formale Fehler angelegt ist oder bereits im ersten Schreiben pauschaler Schadensersatz „mitverhandelt“ wird. Dann sollten Sachverhalt, Kommunikationsverlauf und Entscheidungsgründe sauber dokumentiert werden.
Drittens sollten Arbeitgeber im Beschäftigungskontext stärker darauf achten, welche Informationen bereits anderweitig offengelegt wurden. Wer im Prozess, in der Personalakte oder in Vergleichsgesprächen bereits wesentliche Informationen erhalten hat, kann später nicht ohne Weiteres einen Kontrollverlust über seine personenbezogenen Daten geltend machen. Das ersetzt keine Auskunft, kann aber für die Kausalität und damit für die Abwehr von Schadensersatz relevant werden. Der EuGH hat gerade diese zweite Verteidigungslinie ausdrücklich geöffnet.
Mehr Prüfpflicht statt mehr Ablehnung
Das Urteil Brillen Rottler ist kein Freibrief für Arbeitgeber, Auskunftsersuchen von Beschäftigten künftig reflexhaft als rechtsmissbräuchlich abzuwehren. Es schafft vielmehr ein enges, aber praxisrelevantes Korrektiv gegen künstlich provozierte Datenschutzverstöße und flankierende Schadensersatzstrategien. Für HR liegt die eigentliche Lehre daher nicht in mehr Härte, sondern in mehr Professionalität: Auskunftsersuchen müssen strukturiert bearbeitet, Verdachtsmomente belastbar dokumentiert und arbeitsrechtliche Konfliktlagen von Beginn an mitgedacht werden. Im Arbeitsverhältnis entscheidet am Ende weniger die Schärfe der Reaktion als die Qualität der internen Organisation.
Patricia Meinking-Rühling
Susan Lipeyko
Teilen auf
