DSGVO-Auskunftsansprüche praxistauglich gestalten, Unternehmen entlasten
Stellungnahme zu den vorgeschlagenen Änderungen der DSGVO im Digital-Omnibus der Europäischen Kommission
März 2026
Zusammenfassung
Mit den Vorschlägen zur Datenschutzgrundverordnung (DSGVO) im Digital-Omnibus reagiert die Europäische Kommission zurecht auf ein seit Inkrafttreten im Jahr 2018 bestehendes Problem: Strategische Auskunftsersuchen von Beschäftigten binden erhebliche personelle und finanzielle Ressourcen von Arbeitgebern, weil sie sich oft auf große, über Jahre entstandene Datenbestände erstrecken. Vor allem kleine und mittlere Unternehmen geraten dadurch an ihre Grenzen, weil ihnen Personal und Mittel für die Auskunftsersuchen fehlen. Das bremst unternehmerische Freiheit und gefährdet die Produktivität. Die Vorschläge der Kommission zur Änderung der DSGVO weisen zwar wichtige Ansatzpunkte auf, bleiben jedoch hinter den praktischen Erfordernissen des Beschäftigtendatenschutzes zurück. Der Rechtstext muss gezielt verbessert werden, ohne den Schutz der Beschäftigtendaten auszuhöhlen. Ein fairer Umgang mit Beschäftigtendaten gilt als selbstverständlich:
- Der Beschäftigtendatenschutz muss europaweit einheitlich geregelt werden, nationale Sonderwege sind zu beenden.
- Die Voraussetzungen dafür, wann ein Auskunftsersuchen als exzessiv oder auf andere Weise missbräuchlich gilt, sollten in Art. 12 Abs. 5 DSGVO eindeutig geregelt werden. Außerdem sollte Erwägungsgrund 35 des Digital-Omnibus als Orientierungshilfe präzisiert werden.
- Daten, die Beschäftigte selbst erstellt oder erhalten haben, müssen vom Auskunftsanspruch nach Art. 15 DSGVO ausgenommen werden.
- Informationen des Verantwortlichen bei der Datenerhebung nach Art. 13 und 14 DSGVO müssen elektronisch bereitgestellt werden können.
- Für konzerninterne Datenverarbeitungen muss Art. 6 DSGVO (Rechtmäßigkeit der Verarbeitung) ein Konzernprivileg vorsehen. Innerhalb einer Unternehmensgruppe soll eine widerlegbare Vermutung eines berechtigten Interesses gelten.
Missbrauch kann durch die Anpassung der Verordnung wirksam vermieden werden, wenn der Auskunftsanspruch klar abgegrenzt und für verantwortliche Unternehmen praktikable Verfahren verfügbar sind. Das schützt die Rechte der Beschäftigten, entlastet KMU und stärkt das Vertrauen in den Datenschutz. Zugleich sollten gezielte Klarstellungen bei konzerninternen Datenverarbeitungen die praktische Anwendung der DSGVO erleichtern.
Im Einzelnen
Beschäftigtendatenschutz europaweit einheitlich gestalten
Art. 88 der DSGVO muss gestrichen werden, um nationale Sonderregelungen im Beschäftigtendatenschutz auszuschließen. Es müssen europaweit einheitliche Bestimmungen gelten. Art. 88 ermöglicht Mitgliedstaaten, eigenständig Regeln im Beschäftigtendatenschutz zu setzen. Diese Sonderregelungen fragmentieren den Binnenmarkt und steigern die Compliance-Kosten und sorgen für Rechtsunsicherheit bei Unternehmen – gerade bei grenzüberschreitenden Tätigkeiten.
Kriterien für exzessive Auskunftsersuchen in Art. 12 Abs. 5 definieren
Der Verordnungstext von Art. 12 Abs. 5 DSGVO muss verbindlich festlegen, wann ein Auskunftsersuchen als exzessiv gilt. So werden bessere rechtliche Voraussetzungen geschaffen, um Auskunftsersuchen abzulehnen oder ein Entgelt verlangen zu dürfen. Der Kommissionsvorschlag schlägt richtigerweise vor, Verantwortlichen die Zurückweisung offenkundig unbegründeter oder exzessiver Auskunftsersuchen nach Art. 15 DSGVO zu ermöglichen und gegebenenfalls Kosten in Rechnung zu stellen, wenn dieses Recht zu anderen Zwecken als dem Schutz ihrer Daten missbraucht wird. Unklar bleibt jedoch weiterhin, wann ein Antrag als exzessiv gilt bzw. ein solcher Missbrauch vorliegt. Es genügt nicht, das allein im Erwägungsgrund 35 der Digital-Omnibus-Verordnung zu erwähnen; die DSGVO muss dies im Rechtstext klar und verbindlich regeln. Ein Antrag sollte insbesondere dann als exzessiv und missbräuchlich gelten, wenn die Bereitstellung der Informationen unverhältnismäßig aufwendig ist, die betroffene Person bei wiederholtem Antrag trotz Aufforderung keine nachvollziehbare Begründung liefert, der Antrag erkennbar missbräuchlichen Zwecken dient oder sich objektiv nicht erfüllen lässt. Die Begründung könnte etwa durch ein standardisiertes Formular, das es auszufüllen gilt, vereinfacht werden. Diese wäre auch für die Verantwortlichen und – sofern streitig – Gerichte nachvollziehbar. Außerdem sollte die Beweislast für einen exzessiven, missbräuchlichen Antrag nicht beim Verantwortlichen liegen, da ein solches Verhalten häufig außerhalb seines Einflussbereichs liegt. Vielmehr sollte der Antragsteller nachweisen müssen, dass und warum der Antrag dem Schutz seiner personenbezogenen Daten dient. So wahrt diese Regelung das berechtigte Interesse des Antragstellers und schützt zugleich die personenbezogenen Daten der Beschäftigten.
EuGH: Kommt nicht auf Zweck des Auskunftsersuchens an
In der Praxis dienen Auskunftsersuchen nach Art. 15 DSGVO von Beschäftigten häufig nicht dem Schutz ihrer personenbezogenen Daten, sondern anderen Zielen – etwa, wenn Beschäftigte das Auskunftsrecht einsetzen, um in arbeitsrechtlichen Streitigkeiten Druck aufzubauen. Ziel ist dann nicht die Kenntnis der eigenen Daten, sondern eine bessere Verhandlungsposition, etwa bei Abfindungen. Regelmäßig wird in diesen Fällen angeboten, auf die Auskunft zu verzichten, wenn der Arbeitgeber eine Abfindung zahlt. Der Datenschutz wird so zum taktischen Instrument. Der Europäische Gerichtshof hat in einer Entscheidung vom 23. Oktober 2023 (Az. C-307/22) allerdings leider entschieden, dass Auskunftsersuchen nicht allein wegen datenschutzfremder Zwecke abgelehnt werden dürfen. Eine Begründung des Auskunftsverlangens ist nicht erforderlich. Diese Rechtsprechung hat die bisherige Praxis in Deutschland verändert: Zuvor konnten Unternehmen Ansprüche bei offensichtlich datenschutzfremden Zwecken zurückweisen. Diese Unsicherheit erschwert den rechtssicheren Umgang mit Auskunftsersuchen und erhöht die organisatorischen Anforderungen für Unternehmen.
Erwägungsgrund 35 als Orientierungshilfe für exzessive Auskunftsersuchen
Ergänzend dazu muss Erwägungsgrund 35 des Digital-Omnibus klarer fassen, wann ein Auskunftsersuchen exzessiv und damit missbräuchlich ist. Er darf die verbindliche Norm in Art. 12 Abs. 5 DSGVO nicht ersetzen, soll aber ihre Anwendung in der Praxis konkretisieren. Die Beispiele für einen Missbrauch von Auskunftsansprüchen bleiben im aktuellen Erwägungsgrund 35 zu allgemein. Dadurch bleibt unklar, welche Anfragen verantwortliche Unternehmen tatsächlich zurückweisen dürfen. Der Erwägungsgrund sollte – ergänzend zur rechtlichen Definition in Art. 12 Abs. 5 – typische Fallgruppen nennen, unter welchen Umständen ein Auskunftsanspruch exzessiv oder auf andere Weise somit missbräuchlich ist. Dazu zählen insbesondere wiederholte Auskunftsverlangen ohne nachvollziehbaren Grund und nach denselben Daten, Anfragen nach offensichtlich irrelevanten Daten, Auskunftsverlangen zur Unterlaufung der Darlegungs- und Beweislast im Zivilverfahren, automatisierte oder massenhafte Abrufe sowie breit angelegte Anfragen über mehrere Datenkategorien hinweg. Auch die gezielte Zusammenstellung umfassender Datensätze, obwohl nur einzelne Informationen relevant sind, spricht für einen Missbrauch. Vage, übermäßig breite oder kombinierte Anfragen sind ebenfalls klare Indikatoren und sollten, wo angemessen, als exzessiv behandelt werden. Nur durch solche Klarstellungen wird eindeutig, welche missbräuchlichen Nutzungen von Auskunftsrechten gemeint sind. Das schafft Rechtssicherheit, verhindert unnötige Konflikte und stärkt das Vertrauen in einen fairen Datenschutz. So erhalten Unternehmen eine klare Orientierung für eine rechtssichere und praktikable Umsetzung. Die Regelung schützt Unternehmen vor überflüssiger Belastung und stellt gleichzeitig sicher, dass echte Auskunftsansprüche der Beschäftigten zuverlässig erfüllt werden.
Eigene Daten vom Auskunftsanspruch ausnehmen
Daten, die Beschäftigte selbst erstellt haben oder selbst einsehen können, dürfen nicht automatisch unter den Auskunftsanspruch fallen. Wer eine E-Mail schreibt oder Unterlagen erhält, kennt deren Inhalt bereits. Diese Daten sind daher regelmäßig weniger schutzbedürftig. Unternehmen müssten sonst große Datenmengen erneut zusammentragen, etwa komplette E-Mail-Postfächer, Dateiablagen oder Archivbestände, ohne dass Beschäftigte neue Erkenntnisse gewinnen. Der Aufwand steigt erheblich, obwohl der Informationswert für die betroffene Person regelmäßig gering ist. Der Unionsgesetzgeber sollte dies durch eine Änderung des Art. 15 DSGVO klar regeln und den Anspruch entsprechend begrenzen. Künftig müssten Unternehmen nur noch solche Daten herausgeben, die der betroffenen Person nicht bereits vorliegen oder auf die sie keinen Zugriff hat. Der Schutz personenbezogener Daten bleibt dabei unberührt.
Informationspflichten bei Datenerhebung auch elektronisch ermöglichen
Die Informationspflicht des Verantwortlichen nach Art. 13 und 14 DSGVO sollte ausdrücklich elektronisch und damit praktikabel erfüllt werden dürfen. Der Verordnungstext sollte klarstellen, dass es ausreicht, bei der Datenerhebung Name und Kontaktdaten des Verantwortlichen anzugeben und für weiterführende Informationen auf einen elektronischen Link, etwa eine URL oder einen QR-Code, zu verweisen. Diese Lösung ist verhältnismäßig und stärkt die Transparenz. Sie vermeidet doppelte Angaben und lange Pflichttexte. Verantwortliche konzentrieren sich zunächst auf die wesentlichen Informationen. Beschäftigte erhalten so einen klaren Überblick und können weitere Details bei Bedarf gezielt abrufen. Das schützt ihre Rechte wirksam und erleichtert es Verantwortlichen zugleich, die Vorgaben einzuhalten. Zudem wird es dadurch leichter, die Informationspflichten einzuhalten – insbesondere bei indirekt erhobenen oder historischen Datensätzen.
Konzernprivileg in der DSGVO verankern
Die DSGVO sollte konzerninterne Datenverarbeitungen im Beschäftigungsverhältnis ausdrücklich erleichtern. Unternehmen organisieren Personal, IT oder Compliance oft zentral für mehrere Gesellschaften. Dafür enthält die DSGVO jedoch keine klaren Regeln. Der Gesetzgeber sollte deshalb in Art. 6 DSGVO (Rechtmäßigkeit der Verarbeitung) ein Konzernprivileg für interne Verwaltungszwecke schaffen. Für diese Datenübermittlungen innerhalb einer Unternehmensgruppe sollte eine widerlegbare Vermutung eines berechtigten Interesses gelten. Das sollte auch für bestimmte Gesundheitsdaten im Beschäftigungskontext gelten, etwa bei der Verwaltung von Krankheitstagen.
Die vollständige Stellungnahme steht Ihnen in der rechten Marginalie zum Download zur Verfügung.
Ansprechpartnerin:
BDA | DIE ARBEITGEBER
Bundesvereinigung der Deutschen Arbeitgeberverbände
Abteilung EU, Internationales, Wirtschaft
T +49 30 2033-1050
eu@arbeitgeber.de
Die BDA organisiert als Spitzenverband die sozial- und wirtschaftspolitischen Interessen der gesamten deutschen Wirtschaft. Wir bündeln die Interessen von einer Million Betrieben mit rund 30,5 Millionen Beschäftigten. Diese Betriebe sind der BDA durch freiwillige Mitgliedschaft in Arbeitgeberverbänden verbunden.
