EuGH-Urteil beendet „GDPR-Hopping“ in Deutschland

Ein bahnbrechendes Urteil des Europäischen Gerichtshofs (EuGH) stellt die Praxis von DSGVO-Auskunftsersuchen in Deutschland auf den Kopf. Erstmals können auch erste Anfragen als missbräuchlich abgelehnt werden – eine entscheidende Waffe für Arbeitgeber gegen strategische Klagen.

Was der EuGH entschied: Schon die erste Anfrage kann zu viel sein

Am 19. März 2026 urteilte der EuGH im Fall C-526/24 („Brillen Rottler“) und setzte einen klaren Grenzstein. Bisher galt in vielen Kanzleien die Annahme, dass ein erstes Auskunftsersuchen nach der Datenschutz-Grundverordnung (DSGVO) quasi nie abgelehnt werden dürfe. Das Gericht korrigierte diese Lesart nun fundamental. Der Kern: Nicht nur „wiederholte“ Anfragen können unzulässig sein. Entscheidend ist die Absicht des Fragestellers.

Die lückenlose Dokumentation von Datenverarbeitungsprozessen ist die wichtigste Verteidigungslinie gegen DSGVO-Klagen. Diese kostenlose Excel-Vorlage hilft Ihnen, Ihr Verarbeitungsverzeichnis nach Art. 30 rechtssicher und prüfungskonform aufzubauen. Kostenlose Excel-Vorlage für das Verarbeitungsverzeichnis herunterladen

Konkret ging es um eine Person, die sich für einen Newsletter anmeldete und nur 13 Tage später eine umfassende Datenschutzauskunft verlangte – unmittelbar gefolgt von einer Schadensersatzforderung über 1.000 Euro. Der EuGH wertete dieses Vorgehen als klaren Missbrauch. Die Auskunftspflicht diene der Transparenz, nicht der Generierung von Prozesskosten.

Die neue Beweislast: Unternehmen müssen Missbrauch belegen

Das Urteil stärkt die Position von Unternehmen, verlangt ihnen aber auch mehr ab. Wer eine Anfrage ablehnt, trägt die Beweislast für den mutmaßlichen Missbrauch. Dazu muss eine individuelle Prüfung erfolgen, die objektive Umstände und subjektive Absichten berücksichtigt.

Ein wichtiges Detail: Unternehmen dürfen laut Urteil auf öffentlich zugängliche Informationen zurückgreifen. Medienberichte über „Serien-Anfragende“ oder dokumentierte Muster können als Indiz dienen. „Das allein reicht aber nicht“, betont Rechtsanwalt Dr. Sebastian Kraska. „Es muss stets der konkrete Einzelfall belegt werden.“ Für Personalabteilungen wird die lückenlose Dokumentation jeder Kommunikation damit noch kritischer.

Der Kausalitäts-Dämpfer: Ende des „Schadensersatz-Hoppings“

Besonders bedeutsam ist die Aussage des Gerichts zu immateriellen Schadensersatzansprüchen nach Art. 82 DSGVO. Der EuGH führte eine „Kausalitätsbremse“ ein. Einfach formuliert: Wer Daten nur preisgibt, um einen Fehler zu provozieren und zu klagen, kann keinen Schadensersatz verlangen. Die eigene unlautere Absicht durchbricht den Kausalzusammenhang.

Das trifft das Geschäftsmodell des „GDPR-Hoppings“ ins Mark. Dabei meldeten sich Personen gezielt bei Diensten an, um über formal unvollständige Auskünfte Schadensersatz einzuklagen. Die finanziellen Anreize für solche Klagen sinken damit deutlich, da das Risiko einer Abweisung wegen Arglist stark gestiegen ist.

Praxischeck für Personalabteilungen: Kein Freibrief, aber ein Werkzeug

Deutsche Arbeitgeberverbände wie die bayme vbm warnen ihre Mitglieder bereits: Das Urteil ist kein Freibrief, Anfragen zu ignorieren. Es handelt sich um eine „enge Ausnahme“, die mit größter Sorgfalt angewendet werden muss.

Personalabteilungen sollten ihre Prozesse anpassen und ein Frühwarnsystem etablieren. Als rote Flaggen gelten nun:
* Anfragen kurz nach einer Absage im Bewerbungsverfahren.
* Ersuchen im Kontext einer Abmahnung oder Kündigung.
* Explizite Verknüpfung der Auskunft mit Vergleichsforderungen vor dem Arbeitsgericht.

Unvollständige oder fehlerhafte Verzeichnisse der Verarbeitungstätigkeiten können laut Art. 30 DSGVO Bußgelder von bis zu 2% des Jahresumsatzes nach sich ziehen. Mit dieser Experten-Anleitung und der fertigen Vorlage erfüllen Sie Ihre Dokumentationspflichten in unter einer Stunde. Rechtssicheres Verarbeitungsverzeichnis jetzt kostenlos erstellen

Der Auskunftsanspruch bleibt ein Grundpfeiler des Datenschutzes. Die deutsche Rechtsgemeinschaft sieht in dem Urteil jedoch eine notwendige Korrektur, um die Instrumentalisierung der DSGVO einzudämmen.

Ausblick: Neue Maßstäbe für deutsche Arbeitsgerichte

Die unmittelbaren Auswirkungen wird das deutsche Arbeitsgerichtssystem spüren. In den kommenden Monaten sind Aussetzungen und Neuprüfungen hängiger Schadensersatzklagen zu erwarten. Richter müssen die neuen EuGH-Kriterien zu „Kausalität“ und „Missbrauch“ in ihre Entscheidungen integrieren.

Für Unternehmen heißt die Devise: Präzise dokumentieren. Das „Brillen Rottler“-Urteil bietet einen Schild – doch dieser muss aus belastbaren Aufzeichnungen geschmiedet sein. Die Ära der uncontested, taktischen DSGVO-Anfragen geht zu Ende. Es beginnt eine phase, die Redlichkeit von beiden Seiten verlangt: vom Auskunftsberechtigten und vom datenverarbeitenden Unternehmen.

boerse | 69008898 |