Ein wegweisendes Urteil des Europäischen Gerichtshofs bringt mehr Klarheit im Beschäftigtendatenschutz. Es definiert erstmals, wann Mitarbeiteranfragen nach personenbezogenen Daten als missbräuchlich gelten können. Zugleich erschwert es pauschale Schadenersatzforderungen. Die Entscheidung kommt zur rechten Zeit – denn der Einsatz von Künstlicher Intelligenz im Personalwesen und neue Gesetze stellen Unternehmen vor komplexe Herausforderungen.

Was gilt nun als "exzessiver" Antrag?

Das Urteil vom 19. März 2026 (C-526/24) präzisiert entscheidende Passagen der Datenschutz-Grundverordnung (DSGVO). Der EuGH stellt klar: Ein Auskunftsantrag nach Artikel 15 DSGVO kann bereits beim ersten Mal als "exzessiv" eingestuft werden. Bisher gingen viele davon aus, dass erst wiederholte Anfragen diese Einstufung rechtfertigen.

Anzeige

Angesichts der verschärften Rechtsprechung zum Beschäftigtendatenschutz ist eine lückenlose Dokumentation für Unternehmen wichtiger denn je. Dieser kostenlose Leitfaden unterstützt Sie mit praktischen Vorlagen und Checklisten dabei, eine rechtssichere Datenschutz-Folgenabschätzung zu erstellen und Bußgelder zu vermeiden. Jetzt kostenlose Muster-Vorlagen und Checklisten sichern

Doch wann liegt Missbrauch vor? Entscheidend ist die Absicht des Mitarbeitenden. Laut EuGH muss der Arbeitgeber nachweisen können, dass der Antrag nicht dem eigentlichen Zweck dient – nämlich die Rechtmäßigkeit der Datenverarbeitung zu überprüfen. Stattdessen muss eine missbräuchliche Absicht vorliegen, etwa um gezielt Vorwände für Klagen zu schaffen.

"Der ursprüngliche Sinn des Auskunftsrechts ist es, Betroffenen ein Verständnis über die Verarbeitung ihrer Daten zu ermöglichen", so die Richter. Wird dieses qualitative Ziel überschritten, kann von Missbrauch ausgegangen werden. Die Beweislast liegt jedoch beim Arbeitgeber, der objektive Anhaltspunkte sammeln und dokumentieren muss.

Höhere Hürden für Schadenersatzansprüche

Parallel verschärft das Urteil die Voraussetzungen für immaterielle Schadenersatzansprüche. Zwar bestätigt der EuGH den grundsätzlichen Anspruch bei Verletzungen des Auskunftsrechts. Doch der Schaden muss nun konkret nachgewiesen werden.

Ein bloßer Verstoß gegen das Auskunftsrecht reicht nicht mehr aus. Stattdessen muss die betroffene Person darlegen, dass ihr tatsächlich ein Schaden entstanden ist – etwa durch den Verlust der Kontrolle über ihre Daten oder erhebliche Ungewissheit über deren Verarbeitung.

Für Unternehmen bedeutet dies eine spürbare Entlastung. Die Gefahr unbegründeter Schadenersatzforderungen sinkt. Gleichzeitig unterstreicht die Entscheidung die Wichtigkeit korrekter und nachvollziehbarer Datenverarbeitungspraktiken.

KI im Personalwesen: Neue Regeln ab August

Die Entwicklungen im Beschäftigtendatenschutz werden maßgeblich durch den Einsatz von Künstlicher Intelligenz (KI) geprägt. Der europäische AI Act, der 2025 verabschiedet wurde, tritt ab dem 2. August 2026 vollständig in Kraft. KI-Systeme im Personalwesen gelten als "hochriskant" – sie berühren Grundrechte und ziehen strenge Auflagen nach sich.

Anzeige

Da KI-Systeme im HR-Bereich ab August 2024 unter die strengen Auflagen der neuen EU-Verordnung fallen, müssen Verantwortliche jetzt schnell handeln. Erfahren Sie in diesem kompakten Umsetzungsleitfaden alles über die neuen Kennzeichnungspflichten und Risikoklassen für Ihr Unternehmen. Gratis E-Book zur EU-KI-Verordnung herunterladen

Unternehmen müssen Transparenz gewährleisten, umfangreich dokumentieren und Datenschutz-Folgenabschätzungen durchführen. Die Bundesregierung plant zudem nationale Anpassungen, um mehr Rechtssicherheit bei der KI-gestützten Leistungsüberwachung zu schaffen.

Datenschutzbehörden sind bereits aktiv. Sie stellen gezielte Informationsersuchen an Unternehmen, insbesondere im HR-Bereich. Sieben detaillierte Fragen müssen beantwortet werden – von den genutzten Software-Tools bis zur Durchführung der erforderlichen Folgenabschätzungen.

Nationale Gesetze kommen hinzu

Neben der europäischen Regulierung arbeitet die Bundesregierung an einem eigenständigen Beschäftigtendatengesetz (BeschDG). Ein Entwurf aus dem Jahr 2024 wurde im Januar 2026 weiter vorangetrieben. Ziel ist es, klare und praxisnahe Regeln zu schaffen und bestehende Rechtsunsicherheiten zu reduzieren.

Der Entwurf sieht strengere Erforderlichkeitsprüfungen, eine strikte Zweckbindung und spezielle Regeln für den Einsatz von KI und digitaler Überwachung vor. Eine "umfassende Durchleuchtung" von Mitarbeitenden soll verhindert werden.

Hinzu kommt die EU-Entgelttransparenzrichtlinie, die bis spätestens 7. Juni 2026 umgesetzt werden muss. Sie bringt neue Auskunftsansprüche zu Entgelt und Vergleichswerten mit sich – auch diese Daten unterliegen strengen datenschutzrechtlichen Anforderungen.

Was bedeutet das für die Praxis?

Die aktuellen Entwicklungen erfordern proaktives Handeln. Das EuGH-Urteil bietet Arbeitgebern zwar mehr Rechtssicherheit gegenüber potenziell missbräuchlichen Anfragen. Doch diese Sicherheit hat ihren Preis: lückenlose Dokumentation und transparente Prozesse sind unerlässlich.

Unternehmen sollten ihre internen Datenschutzprozesse kritisch überprüfen – besonders im Hinblick auf KI-Systeme im Personalmanagement. Die frühzeitige Einbindung des Betriebsrats kann zu mehr Sicherheit und Akzeptanz führen.

Mit Blick auf die Entgelttransparenzrichtlinie sind Auskunfts- und Reportingkonzepte bereits jetzt DSGVO-konform vorzubereiten. Nur so können Unternehmen den komplexen Anforderungen gerecht werden, rechtliche Risiken minimieren und das Vertrauen ihrer Mitarbeitenden stärken.