Rechtsanwalt Professor Dr. Michael Fuhlrott, Hamburg
Heft 8/2026
Der datenschutzrechtliche Auskunftsanspruch ist eines der schärfsten Schwerter, das die DS-GVO Betroffenen an die Hand gibt. Wer wissen will, ob und wie seine personenbezogenen Daten verarbeitet werden, kann sich gem. Art. 15 DS-GVO jederzeit an den Verantwortlichen wenden – niedrigschwellig und formlos. In der arbeitsrechtlichen Praxis hat sich dieses Instrument aber längst von seiner ursprünglich intendierten Kontrollfunktion emanzipiert: Auskunftsansprüche werden nicht selten strategisch eingesetzt; zunehmend zur Generierung von Schadensersatzansprüchen durch Verschaffen der formalen Stellung als Bewerber. Das Schlagwort vom „DS-GVO-Hopping“ macht seit einiger Zeit die Runde (vgl. dazu Barrein/Fuhlrott NZA 2024, 443).
Mit Urteil vom 19.3.2026 (C-526/24, NZA 2026, 579, in diesem Heft) hat der EuGH dieser Entwicklung nun Grenzen gezogen. Anlass war der Fall eines Newsletter-Abonnenten, der kurz nach Übermittlung seiner Daten Auskunft verlangte und später Schadensersatz geltend machte – kein Einzelfall, wie öffentlich zugängliche Informationen nahelegten. Der Gerichtshof stellt klar: Auch ein erstmaliger Auskunftsantrag kann „exzessiv“ und damit unzulässig sein, wenn er nicht der Kontrolle der Datenverarbeitung dient, sondern darauf abzielt, die Voraussetzungen für Schadensersatzansprüche künstlich zu schaffen. Damit greift der EuGH einen allgemeinen unionsrechtlichen Grundsatz auf: Missbräuchliches Berufen auf Unionsrecht genießt keinen Schutz. Das ist eine Zäsur. Bislang wurde in der Praxis häufig argumentiert, der erste Auskunftsantrag sei gewissermaßen „sakrosankt“ – Missbrauchseinwände kämen allenfalls bei Serienanträgen in Betracht. Dem tritt der EuGH nun entgegen. Entscheidend ist nicht die Anzahl der Anträge, sondern deren Zweck. Liegt dieser außerhalb der datenschutzrechtlichen Zielsetzung, kann sich der Verantwortliche bereits beim ersten Begehren auf Art. 12 V DS-GVO berufen, so dass auch ein Schadensersatzanspruch gem. Art. 82 DS-GVO ausscheidet. Wer also selbst gezielt die Voraussetzungen für einen solchen Anspruch herbeiführt, kann sich nicht auf die vorgesehenen Rechtsfolgen berufen.
Was folgt daraus? Zunächst einmal: Aufatmen ist verfrüht. Die Hürden für den Nachweis eines Rechtsmissbrauchs bleiben hoch. Der Verantwortliche trägt die Darlegungs- und Beweislast – und muss sowohl objektive Umstände als auch eine missbräuchliche Absicht nachweisen. Dass der EuGH dabei ausdrücklich auch öffentlich zugängliche Informationen als Erkenntnisquelle zulässt, dürfte allerdings neue Spielräume eröffnen. Gerade im Arbeitsrecht wird die Entscheidung damit erhebliche Wirkung entfalten. In Konstellationen, in denen Bewerber oder (ehemalige) Arbeitnehmer systematisch Auskunftsansprüche geltend machen, um anschließend Schadensersatzforderungen zu erheben, bietet das Urteil ein wirksames Verteidigungsinstrument. Es zwingt zugleich zu einer differenzierteren Betrachtung: Nicht jeder strategisch motivierte Antrag ist missbräuchlich – wohl aber derjenige, der die DS-GVO bewusst zum bloßen Vehikel eigener Anspruchsgenerierung degradiert.
