Category Archives: Auskunft

Geänderte Rechtsprechung des EuGH zum Missbrauch des Auskunftsrechts?

Posted on by

In der Rechtssache C‑526/24 (Brillen Rottler) hat sich der EuGH u.a. mit der Frage befasst, unter welchen Umständen ein Antrag nach Art. 15 DSGVO auf Auskunft über personenbezogene Daten als „exzessiv“ im Sinne dieses Art. 12 Abs. 5 DSGVO angesehen werden kann.

Wann liegen also die Voraussetzungen eines Missbrauchs des Betroffenenrechts vor?

Vorab

Um es vorweg zu nehmen: in den letzten Wochen wurde bereits viel zu dem Urteil diskutiert und geschrieben. So gerne ich zu der Fraktion „Jetzt können wir Auskunftsanträge ganz einfach wegen Missbrauch ablehnen.“ gehören würde, denke ich schon, dass Verantwortliche in der Praxis immer noch recht hohe Anforderungen erfüllen müssen, um sich auf den Missbrauchsweinwand berufen zu können. Der EuGH hat uns aber mit seinem Urteil einige gute Leitlinien bzw. Prüfpunkte geliefert, die man nun anwenden kann bzw. muss.

Anforderungen des EuGH an den Einwand des Missbrauchs

Möchte ein Verantwortlicher einen Auskunftsantrag als „exzessiv“ im Sinne von Art. 12 Abs. 5 DSGVO ablehnen, begründet er seine Ablehnung damit nach Ansicht des EuGH im Grunde mit dem Einwand des Rechtsmissbrauchs auf der Grundlage des Europäischen Rechts. In Art. 12 Abs. 5 DSGVO kommt der allgemeine Grundsatz des Unionsrechts zum Ausdruck,

wonach sich Einzelne nicht in betrügerischer oder missbräuchlicher Weise auf unionsrechtliche Normen berufen dürfen“ (Rn. 30).

Für diesen Nachweis (!) einer missbräuchlichen Verhaltensweise ist zweierlei erforderlich:

  • zum einen eine Gesamtheit objektiver Umstände, aus denen sich ergibt, dass trotz formaler Einhaltung des Art. 15 DSGVO das Ziel dieser Regelung nicht erreicht wurde
  • zum anderen ein subjektives Element, das in der Absicht der betroffenen Person besteht, sich einen aus der Unionsregelung resultierenden Vorteil zu verschaffen, indem die Voraussetzungen für seine Erlangung künstlich geschaffen werden.

Ich möchte mich nachfolgend auf den zweiten Aspekt fokussieren und hervorheben, dass der EuGH hier meines Erachtens eine Änderung in seiner Rechtsprechung zu den Voraussetzungen des Missbrauchseinwands vorgenommen hat.

Subjektives Element des Missbrauchs

Hinsichtlich des subjektiven Elements stellt der EuGH fest, dass der Verantwortliche anhand aller relevanten Umstände des Einzelfalls nachweisen muss, dass eine Missbrauchsabsicht seitens der betroffenen Person vorliegt.

Und nun kommt der entscheidende Passus der Begründung.

Eine solche Absicht kann festgestellt werden,

wenn diese Person den Antrag zu einem anderen Zweck stellt als dem, sich der Datenverarbeitung bewusst zu werden und deren Rechtmäßigkeit zu überprüfen, um anschließend ihre Rechte aus der DSGVO schützen zu können“ (Rn. 40).

Wichtig: der EuGH geht ausdrücklich davon aus, dass diese Absicht nicht per se vorliegt und festzustellen ist, wenn die nachfolgende Anforderung erfüllt ist. Die Absicht „kann“ in diesem Fall vorliegen. Den Nachweis muss am Ende der Verantwortliche erbringen.

Und welche Voraussetzung ist nun entscheidend, um diese Missbrauchsabsicht nachweisen zu können? Der EuGH stellt auf den Zweck der Ausübung des Betroffenenrechts ab. Also, warum bzw. wofür wird Auskunft beantragt?

Alte (?) Ansicht

In der Vergangenheit hat der EuGH schon einmal zum Zweck des Auskunftsrechts Position bezogen. In der Rechtssache C-307/22. Dort wurde die Kopie einer Patientenakte verlangt, um zivilrechtliche Haftungsansprüche geltend zu machen. Der EuGH lehnte die Verfolgung dieses Zwecks als Grund für den Einwand des Missbrauchs ab.

kann der erste Satz des 63. Erwägungsgrundes nicht dahin ausgelegt werden, dass dieser Antrag zurückzuweisen ist, wenn mit ihm ein anderer Zweck verfolgt wird als der, von der Verarbeitung Kenntnis zu nehmen und deren Rechtmäßigkeit zu überprüfen“ (Rn. 43).

Damals sah es der EuGH also nicht als einen Faktor für einen Missbrauch an, wenn Art. 15 DSGVO geltend gemacht wird, um gerade nicht die Rechtmäßigkeit der Verarbeitung zu prüfen.

Dieses Urteil wurde von der Ersten Kammer des EuGH gefällt.

Neue (?) Ansicht

In dem neuen Urteil geht der EuGH jedoch davon aus, dass eine Missbrauchsabsicht seitens der betroffenen Person festgestellt werden kann,

wenn diese Person den Antrag zu einem anderen Zweck stellt als dem, sich der Datenverarbeitung bewusst zu werden und deren Rechtmäßigkeit zu überprüfen, um anschließend ihre Rechte aus der DSGVO schützen zu können“ (Rn. 40).

In der Rechtssache C‑526/24 geht der EuGH also genau konträr zur damaligen Begründung davon aus, dass gerade ein anderer Zweck, als die Rechtmäßigkeit der Verarbeitung zu prüfen und DSGVO-Rechte geltend zu machen, die Missbrauchsabsicht begründen kann.

Dieses Urteil wurde von der Vierten Kammer des EuGH gefällt.

Fazit

Wir sehen derzeit also eine durchaus klassische Situation: verschiedene Gerichte bzw. verschiedene Kammern innerhalb eines Gerichts legen die gleichen Vorschriften anders aus. Aus meiner Sicht ist die divergierende Auslegung der Kammern tatsächlich sehr klar, da die Begründungen als Startpunkt jeweils sehr klar den „anderen Zweck“ haben, dann aber zu unterschiedlichen Ansichten gelangen.

Für die Praxis können Verantwortliche natürliche die neuere Ansicht der 4. Kammer nutzen. Jedoch sollte, wie bereits erwähnt, stets beachtet werden, dass erstens auch die 4. Kammer nicht per se die Missbrauchsabsicht bei einem anderen Zweck als gegeben unterstellt. Und zweitens der Nachweis des Vorliegens sowohl der objektiven als auch subjektiven Elemente dem Verantwortlichen obliegt. Ablehnung wegen Missbrauchs sind also auch nach diesem Urteil kein Selbstläufer, jedoch bieten sich für Verantwortliche bessere Möglichketen.

Hessische Datenschutzbehörde: Anforderungen an die Vollmacht zur Ausübung von Betroffenenrechten

Posted on by

Im neuen Tätigkeitsbericht 2025 befasst sich die hessische Datenschutzbehörde u.a. auch mit der Frage, ob Betroffenenrechte (im konkreten Fall, das Auskunftsrecht nach Art. 15 DSGVO), durch Stellvertreter bzw. bevollmächtigte Personen geltend gemacht werden können.

Die kurze Antwort: ja, dies ist möglich. Diese Ansicht ist meines Erachtens auch nicht neu und bereits in der Rechtsprechung (sowohl in Deutschland als auch Österreich) und auch durch Datenschutzbehörden und den EDSA (Leitlinien 01/2022, Version 2.0, Rn. 80) bestätigt worden.

Für die Praxis von besonderer Relevanz ist aber die Frage, welche Anforderungen erfüllt sein und damit vom Verantwortlichen verlangt werden dürfen, damit von einer wirksamen Bevollmächtigung ausgegangen werden kann. Dieses Thema ist öfter Diskussionsgegenstand, wenn Unternehmen etwa solche Auskunftsanträge im Namen der betroffenen Person von Dritten erhalten.

Für diese Frage verweist die hessische Behörde auf die zivilrechtlichen Regelungen über die Stellvertretung nach §§ 164 ff. BGB. Auf die jeweils anwendbaren nationalen Vorgaben verweist auch der EDSA.

Nachweis

Die erteilte Vollmacht ist gegenüber dem Verantwortlichen nachzuweisen. Die Aufsichtsbehörde verweist hierbei auf eine Entscheidung des OLG Stuttgart (Urt. v. 31. März 2021 – 9 U 34/21).

Inhalt

Bezüglich des erforderlichen Inhalts verweist die Aufsichtsbehörde auf einen aus meiner Sicht extrem praxisrelevanten Aspekt:

Grundsätzlich kann die bevollmächtigte Person 1) sowohl den Antrag auf Erteilung einer Auskunft gemäß Art. 15 DSGVO stellen als auch 2) die Datenauskunft entgegennehmen. Also die Daten und Informationen empfangen.

Aber: die Vollmacht

„muss sich ausdrücklich sowohl auf die Geltendmachung des Anspruchs gemäß Art. 15 DS-GVO als auch auf den Empfang der zu beauskunftenden personenbezogenen Daten beziehen und somit inhaltlich klar und bestimmt sein.“

Das bedeutet, dass nach Ansicht der Behörde eine Vollmacht mit dem Inhalt „Person X darf für mich mein Auskunftsrecht nach Art. 15 DSGVO ausüben“ gerade nicht ausreichen würde, um dem Stellvertreter auch die Daten zu übersenden. Denn in diesem Fall würde die Vollmacht nicht den Empfang der personenbezogenen Daten erfassen.

Fristbeginn

Und zuletzt zur Frist: die hessische Aufsichtsbehörde geht zurecht davon aus, dass bei der Bevollmächtigung die Frist nach Art. 12 Abs. 3 DSGVO erst dann beginnt (nicht etwa bereits startet und dann pausiert), wenn eine hinreichende Legitimation des Vertreters gegenüber der verantwortlichen Stelle vorliegt.

Negativauskunft nach Art. 15 DSGVO – Muss über personenbezogene Daten aus dem Auskunftsantrag informiert werden? Österreichische Datenschutzbehörde sagt „nein“

Posted on by

Betroffene Personen haben nach Art. 15 Abs. 1 DSGVO das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Sowohl von Aufsichtsbehörden als auch der Rechtsprechung ist mittlerweile anerkannt, dass damit ein Anspruch auf Negativauskunft besteht. 

Verantwortliche müssen also, wenn keine Daten zu der Person vorhanden sind, auf den Antrag antworten, dass keine Daten vorhanden sind. 

In der Praxis stellt sich jedoch die Frage (bzw. legen es manche Betroffene darauf an), ob es denn eine solche Negativauskunft überhaupt geben kann? Wenn doch im Rahmen des Antrags auf Auskunft, also etwa per E-Mail, personenbezogene Daten an den Verantwortlichen gesendet wurden.

Einen solchen Fall hatte die Datenschutzbehörde aus Österreich zu entscheiden (Entscheidung vom 17. September 2025, GZ 2025-0.502.649). 

Sachverhalt

In dem Beschwerdeverfahren rügte die Betroffene u.a., dass die Beschwerdegegnerin auf ihren Antrag auf Auskunft nicht (fristgerecht) reagiert habe. Im Beschwerdeverfahren erteilte die Verantwortliche eine Negativauskunft, dass keine Daten vorliegen würden. 

Nach Ansicht der Betroffenen sei aber einerseits ihr Antrag auf Auskunft bearbeitet worden und schon deshalb müsse eine Datenverarbeitung vorliegen.

Entscheidung

Nach Ansicht der Datenschutzbehörde (DSB) ist für eine Negativauskunft ausreichend, dass, „sofern zu einer antragsstellenden Person (aktuell) keine personenbezogenen Daten verarbeitet werden“, die Information erteilt wird, dass keine personenbezogenen Daten verarbeitet werden. 

Nun mag man sich fragen: aber die Verantwortliche verarbeitet doch personenbezogene Daten? Und zwar jene, die mit dem Auskunftsantrag übersendet wurden. 

Hierzu führt die Aufsichtsbehörde aus: 

„… dass Gegenstand einer zu erteilenden datenschutzrechtlichen Auskunft die im 

Zeitpunkt des Einlangens des Auskunftsverlangens tatsächlich verarbeiteten Daten sind“.

Die DSB sieht also von der Auskunft gerade nur solche Daten erfasst, die vor dem Zeitpunkt des Eingangs des Antrags verarbeitet werden. Daher folgert die DSB, dass die Negativauskunft hier korrekt erteilt wurde.

Somit waren die personenbezogenen Daten der Beschwerdeführerin, die in ihrem Antrag auf Auskunft bzw. im Identitätsnachweis enthalten gewesen sind, in zeitlicher Hinsicht nicht vom Auskunftsrecht umfasst.“

Zudem verdeutlicht die DSB auch, dass das Auskunftsrecht sich nicht auf ehemals vorhandene Daten bezieht, die aber mittlerweile gelöscht wurden. 

„…, dass aufgrund des klaren Wortlauts von Art. 15 Abs. 1 DSGVO keine inhaltliche Auskunftspflicht hinsichtlich der in der Vergangenheit verarbeiteten (bereits gelöschten) Daten besteht“.

Fazit

Die Ansicht der DSB kann in der Praxis eine wertvolle Hilfe für Verantwortliche bei der Bearbeitung von Auskunftsansprüchen darstellen. Insbesondere für Fälle, in denen Betroffene einen Verstoß gegen die DSGVO dadurch sehen, dass in einer Negativauskunft nicht über jene Daten informiert wird, die durch die Auskunftsanfrage an den Verantwortlichen übermittelt wurden.

Verwaltungsgericht: Einmal Auskunftsanspruch, bitte – Fristbeginn, anwaltliche Vollmacht, zeitlicher Umfang

Posted on by

Das Verwaltungsbericht Osnabrück hat sich in seinem Urteil vom 13.01.2026 (Az. 7 A 6/24, derzeit leider noch nicht öffentlich abrufbar; BeckRS 2026, 443) mit Fragen zum Beginn der Monatsfrist nach Art. 12 Abs. 3 DSGVO befasst.

Grundsatz

Die generelle Vorgabe zur Erfüllung des Auskunftsanspruchs nach Art. 15 DSGVO findet sich in Art. 12 Abs. 3 DSGVO. Danach stellt der Verantwortliche der betroffenen Person (Informationen über die auf Antrag gemäß den Art. 15 DSGVO ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung.

„Fristauslösendes Moment ist der Antragseingang beim Verantwortlichen.“

Entscheidend ist also das Datum des Eingangs des Antrags. Im konkreten Fall war dies der 22.11.2023 – Fristablauf war daher der 22.12.2023. Die Berechnung erfolgt nicht nach nationalem Recht, sondern nach der Verordnung (EWG, Euratom) Nr. 1182/71.

Wichtig für die Praxis: bestehen Zweifel hinsichtlich der Identität des Betroffenen, dann darf der Verantwortliche zusätzliche Angaben erfragen. In diesem Fall läuft noch keine Frist.

Nach Ansicht des Gerichts ist in diesem Fall „auf die Feststellung der Identität nach Art. 12 Abs. 6 DSGVO abzustellen“.

Wenn also der Verantwortliche sicher ist, dass der Betroffene auch die anfragende Person ist, beginnt die Frist zu laufen.

Anwaltliche Vertretung

Oft werden Betroffene in der Praxis anwaltlich vertreten. Wenn in diesem Fall der Verantwortliche die Vorlage einer Vollmacht verlangt (was er auf jeden Fall tun sollte), beginnt die Frist nach Ansicht des Gerichts erst

mit Vorlage der Originalvollmacht“.

Betroffener muss keinen Stichtag nennen

Es ist nicht erforderlich, dass der Betroffene im Rahmen seines Auskunftsantrages einen Stichtag benennt, zu dem die Auskunft erfolgen soll.

Wenn der Betroffene ohne weitere Ergänzungen und Anmerkungen einen normalen Auskunftsantrag stellt, ist nach Ansicht des Gerichts

grundsätzlich ohne Weiteres so auszulegen, dass er sich auf den Zeitpunkt seines Eingangs bezieht, also alle bis zu diesem Zeitpunkt stattgefundenen Datenverarbeitungen erfasst“.

Betroffener kann Umfang zeitlich eingrenzen

Jedoch gesteht das Gericht zu, dass der Betroffene, wenn er möchte, den (zeitlichen) Umfang der Auskunft einschränken kann.

Er kann seine Anfrage auf einen bestimmten Zeitraum eingrenzen,

wenn sich sein Interesse allein auf diesen Zeitraum bezieht“.

Dieser Hinweis ist für Verantwortliche in der Praxis hilfreich, insbesondere für Fälle, in denen die Auskunft theoretisch sehr umfangreich wäre. Jedoch aus den Umständen klar wird, dass es dem Betroffenen nur um Daten zu einem speziellen Thema oder aus einem bestimmen Zeitraum geht.

OLG Brandenburg: DSGVO vs. BRAO & BDSG – Kein Auskunftsanspruch bei anwaltlichem Geheimnisschutz

Posted on by

Der Auskunftsanspruch nach Art. 15 DSGVO wird in der Praxis durch die Gerichte oft sehr weit verstanden. Zum Teil sind Unternehmen auch verpflichtet, ganze Dokumente oder Auszüge aus Datenbanken herauszugeben.

Doch wie verhält es sich mit dem Recht auf Auskunft nach der DSGVO, wenn Betroffenen von Rechtanwälten Informationen herausverlangen? Zu dieser Frage hat sich das OLG Brandenburg in einem Beschluss vom 11. September 2025 (Az: 1 U 16/25) geäußert.

Sachverhalt

Die Klägerin verlangt von der beklagten Rechtsanwältin Auskunft und Schadensersatz wegen behaupteter Datenschutzverletzungen. Die Rechtsanwältin vertrat den ehemaligen Lebensgefährten der Klägerin. Im Rahmen der anwaltlichen Korrespondenz mit der von der Klägerin in einem Unterhaltsverfahren mandatierten Rechtsanwältin hat die Beklagte ausgeführt, die Klägerin „sei im Erotikbereich tätig“ und generiere aus dieser Tätigkeit Einnahmen, wofür „umfangreiche Nachweise“ vorlägen.

Die Klägerin befürchtet eine Verwendung von Film-/Fotomaterial im Internet und verlangt Auskunft Art. 15 Abs. 1 und 3 DSGVO. Die Beklagte beruft sich darauf, dass ihr die begehrten Informationen im Rahmen des Mandatsverhältnisses zugetragen worden seien und dem Berufsgeheimnis unterlägen.

Entscheidung

Das OLG lehnt den Auskunftsanspruch der Klägerin gegenüber der Rechtsanwältin ab.

Die Klägerin kann die begehrte Auskunft nicht verlangen, da sich der aus dem Mandatsverhältnis zu sichernde Geheimnisschutz als vorrangig erweise (Art. 23 Abs. 1 DSGVO i.V.m. §§ 29 Abs. 1 S. 2 BDSG, § 43a Abs. 2 BRAO).

Das Gericht stellt zunächst fest, dass die DSGVO als EU-Verordnung zwar in allen Mitgliedstaaten allgemein, verbindlich sowie unmittelbar gilt und gegenüber entgegenstehenden nationalen Normen Anwendungsvorrang genieße. Gleichzeitig sehe die DSGVO an zahlreichen Stellen aber vor, dass Anpassungen des nationalen Gesetzgebers nicht nur möglich, sondern zwingend erforderlich sind.

So wird Art. 15 DSGVO durch … § 29 Abs. 1 S. 2 BDSG, konkretisiert bzw. eingeschränkt“.

Nach § 29 Abs. 1 S. 2 BDSG besteht das Recht auf Auskunft der betroffenen Person nicht, soweit durch die Auskunft Informationen offenbart würden, die nach einer Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müssen.

Die beklagte Rechtsanwältin konnte sich hier auf den Ausnahmetatbestand von § 29 Abs. 1 S. 2 BDSG berufen,

der auf der Öffnungsklausel des Art. 23 Abs. 1 lit. i DSGVO beruht, wonach Informations- und Benachrichtigungspflichten des Verantwortlichen bzw. das Auskunftsrecht betroffener Personen zum Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen beschränkt werden können.“

Die hier begehrte Auskunft unterfalle dem Anwaltsgeheimnis nach § 43a Abs. 2 BRAO. Danach ist der Rechtsanwalt zur Verschwiegenheit verpflichtet. Diese Pflicht bezieht sich auf alles, was ihm in Ausübung seines Berufes bekanntgeworden ist, gilt aber nicht für Tatsachen, die offenkundig sind oder ihrer Bedeutung nach keiner Geheimhaltung bedürfen, § 43a Abs. 2 S. 2 und 3 BRAO.

Aus diesen Vorgaben folge nicht nur die Verschwiegenheitspflicht, sondern auch ein Verschwiegenheitsrecht des Anwalts. Dadurch werde der anwaltliche Beruf an sich geschützt.

Tatbestandlich erfasst die Norm nicht nur einige spezifische Informationen, sondern  „alles“ und bezieht sich auch auf Wissen, welches der Anwalt im Zusammenhang mit dem Mandat durch eigene Recherche erlangt hat.

In dem Verfahren wandte die betroffene Person ein, dass die „Befreiung von der Informationspflicht“ nicht uneingeschränkt besteht, sondern nur, „sofern nicht das Interesse der betroffenen Person an der Informationserteilung überwiegt“.

Jedoch verweist die Betroffene hierbei auf eine anderen Ausnahmevorschrift, nämlich jene nach § 29 Abs. 2 BDSG, welche die Informationspflicht nach Art. 13 Abs. 3 DSGVO beschränkt.

Das OLG sieht für die Ausnahmevorschrift des § 29 Abs. 1 S. 2 BDSG hingegen kein Abwägungserfordernis. In der Norm ist eine solche Abwägung auch nicht vorgesehen.

„… besteht dieses Abwägungserfordernis nicht für den geltend gemachten Auskunftsanspruch nach Art. 15 DSGVO, dessen Ausnahme in § 29 Abs. 1 S. 2 BDSG geregelt ist, sondern nur für die (aktive) Pflicht des Mandanten zur Informationserteilung nach Art. 13 DSGVO, die vorliegend nicht streitgegenständlich ist“.

Zwar beziehe sich § 29 Abs. 1 S. 2 BDSG auf „überwiegende berechtigte Interessen eines Dritten“ – jedoch sollen diese Interessen das Recht auf Auskunft – neben geltenden Rechtsvorschriften – gerade ausschließen; sie führen zur Geheimhaltung, nicht zur Auskunftserteilung.

Die Regelung des § 29 Abs. 2 BDSG passe systematisch streng genommen bereits nicht in den Anwendungsbereich von § 29 BDSG, der nach der amtlichen Überschrift die Rechte der betroffenen Person und aufsichtsbehördliche Befugnisse „im Fall von Geheimhaltungspflichten“ regele.

Bundesarbeitsgericht: Kein Schadenersatz allein wegen verspäteter DSGVO-Auskunft 

Posted on by

In seinem Urteil vom 20.02.2025 (Az. 8 AZR 61/24) hatte sich das BAG mit der Frage zu befassen, ob eine verspätete Auskunft (und damit ein Verstoß gegen Art. 12 Abs. 3, Art. 15 DSGVO) per se zu einem Anspruch auf Schadenersatz führt oder die Verspätung zumindest einen Kontrollverlust indiziert – der dann als immaterieller Schaden nach Art. 82 DSGVO geltend gemacht werden kann. 

In beiden Fällen lehnte das BAG einen Anspruch nach Art. 82 DSGVO ab. 

Sachverhalt

Der Kläger war der Ansicht, die Beklagte habe mit einer nach Art. 12 Abs. 3 DSGVO verspäteten Auskunft gegen die DSGVO verstoßen. Er habe deshalb einen Anspruch auf Schadenersatz. Es bestehe ein immaterieller Schaden in Form eines wochenlangen Kontrollverlusts bzgl. der Datenverarbeitung. Er habe deshalb etwaige Rechte nicht ausüben können. Er habe auch Angst, dass die Beklagte „Schindluder“ mit seinen Daten treibe. Außerdem sei er wegen des durch die Beklagte verursachten Aufwands der Rechtsverfolgung „genervt“.

Entscheidung

Das BAG orientiert sich bei seiner Entscheidung an den relevanten Urteilen und Aussagen des EuGH zum Anspruch nach Art. 82 DSGVO. Hinsichtlich der Darlegungs- und Beweislast ist geklärt, dass die betroffene Person, die auf der Grundlage von Art. 82 Abs. 1 DSGVO den Ersatz eines immateriellen Schadens verlangt, nicht nur den Verstoß gegen Bestimmungen der DSGVO nachweisen muss, sondern auch, dass ihr durch diesen Verstoß ein solcher Schaden entstanden ist. Daran fehlet es hier.

Kontrollverlust wegen der Verspätung?

Der Kläger vertrat die Auffassung, eine verspätete Auskunftserteilung bewirke einen Kontrollverlust, der ohne weitere Voraussetzung einen Schaden darstelle. 

Die Ansicht des BAG: „Dies ist aber unzutreffend.“

Zwar geht das BAG (mit dem EuGH) davon aus, dass die durch einen Verstoß gegen die DSGVO ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, bereits für sich genommen einen immateriellen Schaden nach Art. 82 Abs. 1 DSGVO darstellen kann (so etwa EuGH, C-687/21). 

Das rein hypothetische Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten kann jedoch nicht zu einer Entschädigung führen“.

Nach Ansicht des BAG versteht der EuGH unter einem Kontrollverlust 

nur eine Situation, in der die betroffene Person eine begründete Befürchtung des Datenmissbrauchs hegt“.

Wichtig ist hierbei das Erfordernis „begründet“. 

Das bloße Berufen auf eine bestimmte Gefühlslage reiche dabei nicht aus. Das Gericht hat vielmehr zu prüfen, ob das Gefühl unter Berücksichtigung der konkreten Umstände „als begründet angesehen werden kann“.

Und allein eine verspätete Auskunftserteilung genügt dem BAG für diese Begründetheit nicht.

Eine nur verspätete Auskunft begründet demgegenüber für sich genommen keinen Kontrollverlust über Daten iSd. Gefahr einer missbräuchlichen Verwendung, sondern nur einen Zeitverzug hinsichtlich der Auskunft“.

Auch lasse eine ungerechtfertigte Verzögerung ohne weitere Anhaltspunkte gerade nicht auf einen Datenmissbrauch schließen.

Negative Gefühle und genervt sein

Zudem habe das Landesarbeitsgericht auch einen Schaden in Form von negativen Gefühlen allein wegen der verspäteten Erfüllung des Auskunftsanspruchs rechtsfehlerfrei verneint.

Zunächst stellt das BAG auch bezüglich dieser Schadenskategorie dar, dass ein immaterieller Schaden zwar durchaus allein in negativen Gefühlen bestehen kann. Dies betreffe Konstellationen, in denen der bloße Verstoß gegen die DSGVO zu der Befürchtung eines Datenmissbrauchs führt.

Jedoch löse die verspätete Erfüllung des Auskunftsanspruchs geradezu zwangsläufig die Sorge eines Verstoßes gegen sonstige Verpflichtungen aus der DSGVO aus. 

Wäre aber schon das Berufen auf solche abstrakten Befürchtungen ausreichend für die Annahme eines Schadens, würde jeder Verstoß gegen Art. 15 DSGVO – so ein Verstoß dagegen einen Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO dem Grunde nach begründen könnte – zu einem immateriellen Schaden führen. 

Die eigenständige Voraussetzung des Schadens würde damit bedeutungslos (BAG 17. Oktober 2024 – 8 AZR 215/23 – Rn. 16). Sie wäre stets erfüllt.“ 

Gerade diese Annahme (Verstoß stets auch ein Schaden) lehnt das BAG mit Verweis auf die Rechtsprechung des EuGH ab. Der EuGH hat bereits entschieden, dass allein ein Verstoß gegen die DSGVO noch nicht der Schaden im Sinne des Art. 82 DSGVO sein kann. Der EuGH unterscheidet strikt zwischen Verstoß und Schaden.

Möglich ist nach Ansicht des BAG durchaus eine Situation, in der ein Verstoß gegen die DSGVO ggf. 

so schwerwiegende Konsequenzen aufweist, dass ein Schaden in Form von Befürchtungen selbstverständlich angenommen werden kann (zB Datenleck bzgl. Bank- oder Gesundheitsdaten)“. 

Aber das Gericht müsse stets im Einzelfall prüfen, ob dies angenommen kann oder ob der Schaden gesondert begründet werden muss.

Zudem geht das BAG davon aus, dass der Verstoß gegen Art. 15 DSGVO für sich genommen keinen immateriellen Schaden begründet, wenn die verzögerte oder zunächst verweigerte Auskunftserteilung der Durchsetzung von Rechten entgegensteht.

Denn dies steht in keinem Zusammenhang mit dem Zweck des Schadenersatzanspruchs. Dieser hat nur eine Ausgleichsfunktion, da eine auf Art. 82 Abs. 1 DSGVO gestützte Entschädigung in Geld ermöglichen soll“.

Zuletzt lehnt das BAG den Schaden auch mit Blick auf behauptete Emotionen wie Ärger oder Frust („genervt sein“) ab. Es handelt sich hierbei nur um pauschal gehaltene Unmutsbekundungen.

Hat die Datenschutzbehörde NRW das Thema „Herausgabe von E-Mails im Rahmen der Auskunft“ geklärt?

Posted on by

Werden in der Praxis Auskunftsanspräche nach Art. 15 DSGVO geltend gemacht, stellt sich oft die Frage, wie weit der Begriff „personenbezogene Daten“ und auch jener der „Kopie“ in Art. 15 Abs. 3 DSGVO zu verstehen sind, wenn es um eine mögliche Herausgabe von E-Mails geht. Der Klassiker ist hierbei etwa die Auskunft eines ehemaligen Mitarbeiters, der mehrere Jahre im Unternehmen gearbeitet und hunderte oder tausende E-Mails erzeugt hat.  

Vorgaben des EuGH

Eine klare Aussage des EuGH, ob E-Mails an sich im Rahmen des Art. 15 DSGVO herauszugeben sind, wenn etwa im AN-Feld oder im CC-Feld die personalisierte E-Mail-Adresse des Betroffenen vorkommt, fehlt bisher.

Die Vorgaben des EuGH sind:

  • Der Begriff „Kopie“ bezieht sich nicht auf ein Dokument als solches, sondern auf die personenbezogenen Daten, die es enthält und die vollständig sein müssen.
  • Der Begriff „Kopie“ bezeichnet die originalgetreue Reproduktion oder Abschrift, so dass eine rein allgemeine Beschreibung der Daten, die Gegenstand einer Verarbeitung sind, nicht ausreicht.
  • Die Kopie, die der Verantwortliche zur Verfügung zu stellen hat, muss alle personenbezogenen Daten erhalten, die Gegenstand der Verarbeitung sind, alle Merkmale aufweisen, die es der betroffenen Person ermöglichen, ihre Rechte gemäß der Verordnung wirksam auszuüben, und diese Daten daher vollständig und originalgetreu wiedergeben.
  • Es kann sich die Reproduktion von Auszügen aus Dokumenten oder gar von ganzen Dokumenten oder auch von Auszügen aus Datenbanken, die u. a. personenbezogene Daten enthalten, die Gegenstand der Verarbeitung sind, als unerlässlich erweisen, wenn die Kontextualisierung der verarbeiteten Daten erforderlich ist, um ihre Verständlichkeit zu gewährleisten.

Und wie ist vor diesem Hintergrund eine E-Mail zu beauskunften, in deren AN-Feld oder etwa im CC der Name des Betroffenen als E-Mail-Adresse vorhanden ist? Ist dann nur die E-Mail-Adresse zu beauskunften oder ist erforderlich, dass die ganze Mail (etwa als Ausdruck oder als PDF) herausgegeben wird?

Ansicht der LDI NRW zu Namen in Briefköpfen

In ihrem letzten Tätigkeitsbericht 2023 befasst sich die LDI NRW zwar nicht mit der Auskunft zu E-Mails, jedoch mit einer aus meiner Sicht durchaus vergleichbaren Situation: müssen Dokumente / Briefe an einen Betroffenen herausgegeben werden, wenn sein Name in dem Briefkopf enthalten ist, der auf den Dokumenten steht, der Inhalt der Dokumente aber sonst keinen Bezug zur Person aufweist? Übertragen auf unseren E-Mail-Fall also etwa, wenn die E-Mail-Adresse im AN- oder CC-Feld vorhanden ist.

Die LDI NRW war mit einem Fall befasst, in dem sich ein Rechtsanwalt auf sein Auskunftsrecht nach Art. 15 DSGVO gegenüber einer Versicherung berief. Er verlangte Kopien des gesamten Schriftverkehrs zwischen der Versicherung und einer Kanzlei, in der er Partner war. Er begründete seinen Auskunftsanspruch damit, dass sein Name, wie es das Berufsrecht vorschreibt, als Partner auf dem Briefbogen der Kanzlei genannt ist.

Entscheidend kommt es aus Sicht der LDI hierbei auf die Vorgabe des EuGH an, dass eine Kopie von Auszügen aus Dokumenten oder gar von ganzen Dokumenten nur dann erforderlich ist, wenn die Kopie unerlässlich ist, um der betroffenen Person die wirksame Ausübung ihrer Datenschutzrechte zu ermöglichen.

Zwar stelle die Nennung des Namens des Anwalts auf den Schreiben an die Versicherung ist ein personenbezogenes Datum dar. In unserem Fall, die E-Mail-Adresse.

Der Auskunftsanspruch erstreckt sich aber deswegen nicht automatisch auf alle Inhalte einer umfassenden Korrespondenz.“

In unserem Fall: nur weil eine E-Mail in einem AN- oder CC-Feld die E-Mail-Adresse erhält, erstreckt sich das Auskunftsrecht noch nicht per se auf den Inhalt der E-Mails.

Eine Kopie von Auszügen aus Dokumenten oder gar von ganzen Dokumenten sieht die LDI (mit dem EuGH) nur dann als erforderlich an, wenn die Kopie unerlässlich ist, um der betroffenen Person die wirksame Ausübung ihrer Datenschutzrechte zu ermöglichen.

Im vorliegenden Fall kam die LDI zu dem Schluss:

Eine solche Kopie von Dokumenten ist bei Schreiben, in denen der Anwalt nur im Kopfbogen steht, nicht unerlässlich für das Verständnis und damit nicht erforderlich.“

Um meine Frage aus der Überschrift zu beantworten: nein, die LDI hat das Thema nicht geklärt – zumindest nicht direkt. Jedoch lässt sich die Ansicht und Argumentation der LDI auf E-Mail-Sachverhalte übertragen. Allein der Umstand, dass eine personalisierte E-Mail-Adresse in E-Mails enthalten ist, bedeutet nicht, dass diese E-Mails als Ganzes herauszugeben sind.

Oberverwaltungsgericht: Kein Anspruch des Betroffenen auf Vorlage und Prüfung von Auftragsverarbeitungsverträgen

Posted on by

Der Bayerische Verwaltungsgerichtshof (VGH) hat mit Beschluss vom 21.02.2025 (Az 7 ZB 24.651) eine vorangegangene Entscheidung des Verwaltungsgerichts München zur Frage der Einsichtnahme von Betroffenen in Auftragsverarbeitungsverträge nach Art. 28 DSGVO bestätigt.

Sachverhalt

Der Kläger verlangte Einsicht in Auftragsverarbeitungsverträge, die der Beklagte (der Bayerische Rundfunk mit einem Inkassounternehmen geschlossen hatte. Das Unternehmen war mit der Beitreibung von Rundfunkbeiträgen beauftragt worden. Die Einsicht in den Vertrag lehnte der Beklagte ab.

Das Verwaltungsgericht wies die daraufhin erhobene Klage ab und begründete dies im Wesentlichen damit, dass keine Anspruchsgrundlage für den geltend gemachten Anspruch auf Einsichtnahme existiere.

Entscheidung

Nach Ansicht des VGH besteht für den Betroffenen kein berechtigtes Interesse an der Einsichtnahme in den zwischen dem Beklagten und dem Unternehmen gemäß Art. 28 DSGVO geschlossen Auftragsverarbeitungsvertrag.

Ein solches ergibt sich insbesondere nicht – wie der Kläger meint – daraus, dass er selbst in der Lage sein müsse, zu überprüfen, ob ein „wirksamer Auftragsverarbeitungsvertrag“ mit dem nach Art. 28 Abs. 3 DSGVO „vorgeschriebenen Inhalt“ tatsächlich geschlossen wurde“.

Das Gericht argumentiert, dass für die Überwachung der Anwendung der DSGVO gemäß Art. 51 Abs. 1 DSGVO die Aufsichtsbehörde zuständig ist – aber nicht Private. Zu den Aufgaben der Aufsichtsbehörde gehört gemäß Art. 57 Abs. 1 Buchst. a DSGVO die Überwachung und Durchsetzung der Anwendung der DSGVO.

Die Aufsichtsbehörde kann gegebenenfalls im Rahmen einer Beschwerde nach Art. 77 DSGVO die Rechtmäßigkeit einer Auftragsdatenverarbeitung prüfen und die hierzu eingeräumten Befugnisse nach Art. 58 DSGVO nutzen.

Dem Betroffenen selbst ist hingegen nach Art. 15 DSGVO nur ein Auskunftsrecht über die eigenen personenbezogenen Daten eingeräumt.

Ein Recht auf eigenständige Rechtmäßigkeitsüberprüfung steht ihm hingegen nicht zu. Vor diesem Hintergrund hat vorliegend der Kläger kein berechtigtes Interesse, selbst den Abschluss und die Rechtmäßigkeit eines Auftragsverarbeitungsvertrags zu prüfen.“

DSGVO-Auskunft über Daten in Backups – wann liegt ein „unverhältnismäßiger Aufwand“ vor?

Posted on by

In der Praxis stellt sich im Rahmen der Erfüllung von Auskunftsansprüchen nach Art. 15 DSGVO sehr oft die Frage, ob auch solche personenbezogenen Daten zu beauskunften sind, die nur noch in Backups gespeichert werden.

§ 34 Abs. 1 Nr. 2 b) BDSG sieht hierzu eine mögliche Ausnahme für Verantwortliche vor.

Danach besteht das Recht auf Auskunft der betroffenen Person gemäß Art. 15 DSGVO nicht, wenn die Daten 1) ausschließlich Zwecken der Datensicherung oder der Datenschutzkontrolle dienen und 2) die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde sowie 3) eine Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Maßnahmen ausgeschlossen ist.

Rechtsprechung zu diesem Thema, findet sich kaum. Daher lohnt sich für die praktische Umsetzung durchaus der Blick in Hinweise von Aufsichtsbehörden, die sich mit dem Thema befassen.

Konkret hat etwa der BayLfD in seiner Orientierungshilfe „Das Recht auf Auskunft nach der Datenschutz-Grundverordnung“ zu einer solchen, wie in § 34 BDSG vorgesehenen Ausnahme, im Rahmen des § 83 Abs. 1 Nr. 2 SGB X Stellung genommen. Der BayLfD weist auch ausdrücklich darauf hin, dass sich die Ausschlussgründe des § 83 Abs. 1 Nr. 2 SGB X auch in Parallelbestimmungen in § 34 Abs. 1 Nr. 2 BDSG finden.

Aus diesem Grund ist die Auslegung des BayLfD auch für den Anwendungsberiech von § 34 BDSG nutzbar. Nachfolgen stelle ich kurz die Ansicht zu den obigen Anforderungen nach 1) und 2) dar.

Zwecke der Datensicherung oder der Datenschutzkontrolle

Zunächst müsste ein Backup unter das Merkmal der „Datensicherung“ oder „Datenschutzkontrolle“ fallen. Nach Ansicht des BayLfD ist dies für personenbezogene Daten in Backups der Fall:

Der Datensicherung dienen insbesondere Backup-Dateien, der Datenschutzkontrolle etwa Protokolldateien.“

Wichtig: § 34 BDSG fordert ausdrücklich, dass die Daten in Backups ausschließlich für die Zwecke der Datensicherung oder Datenschutzkontrolle vorgehalte werden würfen. Sollten die Daten auch für andere Zweck verwendet werden, greift die Ausnahme nicht.

Unverhältnismäßiger Aufwand

Besonders schwierig stellt sich in der Praxis die Antwort auf die Frage dar, wann denn eine Auskunftserteilung mit einem unverhältnismäßigen Aufwand verbunden ist?

Zunächst geht der BayLfD davon aus, dass „die Erteilung von Auskunft genauso zum Aufgabenkreis der öffentlichen Stelle gehört wie alle anderen Aufgaben“.

Bedeutet, dass also der Grundsatz stets die Pflichtenerfüllung sein muss – in unserem Fall, die Auskunft zu erteilen. Ausnahmen sind grundsätzlich restriktiv auszulegen.

Nach Ansicht des BayLfD zielt § 83 Abs. 1 Nr. 2 SGB X (und parallel auch § 34 Abs. 1 Nr. 2 b) BDSG) auf einen „ausgewogenen“ Ressourceneinsatz.

Dies bedeutet, dass das begrenzte personelle und sachliche Leistungspotenzial möglichst so genutzt werden, dass im öffentlichen Bereich des SGB X alle Bürgerinnen und Bürger eine ordnungsgemäße, insbesondere auch zeitgerechte Bearbeitung für ihre Anliegen erhalten.

Übertragen auf den weiteren öffentlichen und privatwirtschaftlichen Anwendungsbereich des § 34 Abs. 1 Nr. 2 b) DSGVO könnte mal umformulieren: im Rahmen der dem Verantwortlichen zur Verfügung stehenden Kapazitäten sollen Bürger/Kunden/Nutzer etc. zunächst und primär jene Leistungen erhalten, auf die sie einen gesetzlichen oder vertraglichen Anspruch haben.

Zu § 83 SGB X erläutert der BayLfD dann:

wird – bei einer Sozialbehörde – die für das „Kerngeschäft“ der Leistungsgewährung zur Verfügung stehende Zeit knapp, erlaubt es § 83 Abs. 1 Nr. 2 SGB X, auf die typischerweise aufwändige Auswertung von Backup- oder Protokolldateien zu verzichten.“

Für § 34 BDSG im privatwirtschaftlichen Bereich könnte man etwa ableiten, dass die Ausnahme dann greifen kann, wenn die Hauptleitungen an Kunden und Nutzer durch die Arbeit an einer (oder mehreren) Auskünften die Erfüllung der Hauptleitungen, also Tätigkeiten des Kerngeschäfts, für andere Personen erschweren oder einschränken.

Hiergegen mag man einwenden, dass das Beispiel des BayLfD ja in einem sensiblen und gesellschaftlich wichtigen Bereich der Leistungsgewährung des Staates gegenüber Bürgern spielt. Dort müsse quasi die „Daseinsvorsorge Vorrang haben“. Diesem Argument könnte man aber entgegenhalten, dass der Staat, wenn er hier personelle Engpässe sieht, genauso wie ein Unternehmen entsprechend reagieren kann und müsste. Der BayLfD verweist jedoch nicht auf ein solches Kriterium.

Weiter führt die Aufsichtsbehörde Kriterien an, wann die Unverhältnismäßigkeit angenommen werden könnte:

  • wenn die betroffene Person aus der Ankunft zu den Backups keinen „Mehrwert“ erlangen kann, weil etwa feststeht, dass Backup-Dateien keine zusätzlichen Informationen bieten können, oder
  • wenn bei einer kleineren Behörde trotz anlassbezogener organisatorischer Vorkehrungen das „Kerngeschäft“ über einen längeren Zeitraum nicht ordnungsgemäß durchgeführt werden könnte.

Insbesondere das zweite Kriterium könnte im privatwirtschaftlichen Bereich für kleine Unternehmen ein guter Anhaltspunkt sein. Wenn man sich als Unternehmen, im Rahmen seiner Möglichkeiten und verhältnismäßigem Aufwand, ordentlich um den Datenschutz kümmert, dann kann die Auskunft zu Daten aus Backups unverhältnismäßig sein, wenn dadurch die Hauttätigkeit des Unternehmens beeinträchtigt wird (etwa durch personellen Zusatzaufwand). Zum Abschluss ist noch darauf hinzuweisen, dass im Fall der Ablehnung einer Auskunft der Verantwortliche nach § 34 Abs. 2 BDSG in jedem Fall die Gründe der Auskunftsverweigerung zu dokumentieren hat und auch die Ablehnung der Auskunftserteilung gegenüber der betroffenen Person begründen muss.

Kann der Auskunftsanspruch nach Art. 15 DSGVO verjähren? Amtsgericht sagt „nein“ – Ausschluss der Geltendmachung aber möglich

Posted on by

Das Amtsgericht Chemnitz entscheid in seinem Urteil vom 22.11.2024 (16 C 1063/24; aktuell abrufbar bei BeckOnline, GRUR-RS 2024, 33206), dass der Auskunftsanspruch nach Art. 15 DSGVO nicht verjähren kann.

Zum einen sehe das Europarecht eine Verjährung des Auskunftsanspruchs nicht vor.

Zum anderen könne der Anspruch aber auch seiner Natur nach nicht verjähren, da er keine Entstehungsvoraussetzungen kennt, sondern jederzeit voraussetzungslos geltend gemacht werden kann.

Dies gelte selbst in Fällen, in denen gar keine personenbezogenen Daten verarbeitet werden, denn in diesen besteht immerhin ein Anspruch auf Negativauskunft.

Verzicht bzw. Ausschluss aber möglich

Sowohl nach Ansichten von Gerichten als auch Aufsichtsbehörden ist jedoch ein Verzicht auf die Ausübung des Rechts bzw. eine entsprechende Vereinbarung möglich.

Das Landesarbeitsgericht (LAG) Hamburg hat etwa mit Urteil vom 11.06.2024 (Az. 3 SLA 2/24) hierzu eine praxisrelevante Entscheidung zum vertraglichen Ausschluss von Betroffenenrechten nach der DSGVO getroffen.

Sachverhalt
Grundlage für die Entscheidung war die Klage einer Arbeitnehmerin u.a. gegen folgende Regelung im Arbeitsvertrag:

„§13 Ausschlussfristen
Abs. 1: Alle beiderseitigen Ansprüche aus dem Arbeitsverhältnis und solche, die mit dem Arbeitsverhältnis in Verbindung stehen, verfallen, wenn sie nicht innerhalb von drei Monaten nach Fälligkeit gegenüber der anderen Vertragspartei schriftlich oder in Textform (§ 126 BGB) geltend gemacht werden.“

Abs. 3: Diese Ausschlussklausel gilt nicht für Ansprüche, die auf eine Haftung wegen vorsätzlichen Handelns beruhen. Des Weiteren gilt diese Ausschlussklausel nicht für Ansprüche auf Vergütung der Arbeitsleistung In Höhe des jeweiligen gesetzlichen Mindestlohns.“

Nach Ansicht der Arbeitnehmerin halte § 13 des Arbeitsvertrages der AGB-Kontrolle nicht stand. Zwar enthalte § 13 Abs. 3 ArbV eine Rückausnahme gewisser Ansprüche, auf die nicht verzichtet werden könne. Die Rückausnahme sei aber nicht ausreichend. Umfasst seien auch Auskunftsansprüche nach der DSGVO (z.B. Art. 12 DSGVO, Art. 15 DSGVO) und Schadensersatzansprüche (z.B. nach Art. 82 DSGVO). Es sei der Arbeitgeberin aber verwehrt, bereits im Vorwege eines Datenschutzverstoßes die Durchsetzung von Rechten aus der DSGVO zu erschweren.

Entscheidung des LAG
Nach Ansichtd es LAG ist die Geltendmachung von DSGVO-Ansprüchen grundsätzlich dispositiv.

  • Die Regelung in § 13 ArbV unterliegt der Inhaltskontrolle nach §§ 307 ff. BGB. Sie mag auch gegen § 309 Nr. 7 a) und b) BGB verstoßen.
  • Die Verstöße seien unter Berücksichtigung der im Arbeitsrecht geltenden Besonderheiten nach § 310 Abs. 4 Satz 2 BGB allerdings nicht so gewichtig, dass sie zur Unwirksamkeit der Verfallklausel führen.
  • Dass Ansprüche nach der DSGVO nicht ausdrücklich vom Verfall ausgenommen sind, führt nicht zur Unwirksamkeit der vertraglichen Ausschlussfristenregelung.
  • Die DSGVO und deren Erwägungsgründe treffen keine Aussage über die Disposivität der in der DSGVO niedergelegten Betroffenenrechte.
  • Nach dem Grundsatz der Verfahrensautonomie kommt den Mitgliedsstaaten und deren innerstaatlicher Rechtsordnung insoweit das Ausgestaltungsrecht zu. Die getroffenen Regelungen dürfen nicht ungünstiger sein als diejenigen, die gleichartige Sachverhalte innerstaatlicher Art regeln (Äquivalenzgrundsatz) und die Ausübung der durch die Unionsrechtsordnung verliehenen Rechte nicht praktisch unmöglich machen oder übermäßig erschweren (Effektivitätsgrundsatz).

Zudem waren hier auch der Äquivalenz- und Effektivitätsgrundsatz gewahrt.

  • Äquivalenzgrundsatz: Da vertragliche Ausschlussfristen nicht den Inhalt eines Anspruchs betreffen, sondern nur den Fortbestand eines bereits entstandenen Rechts regeln, wird die Entstehung des Anspruchs nicht von zusätzlichen Voraussetzungen abhängig gemacht und der Grundsatz der Äquivalenz gewahrt.
  • Effektivitätsgrundsatz: Die Festsetzung von angemessenen Ausschlussfristen ist als ein Anwendungsfall des Prinzips der Rechtssicherheit grundsätzlich mit dem Erfordernis der Effektivität vereinbar (st. Rspr. des EuGH). Derartige Fristen sind nicht geeignet, die Ausübung der durch die Unionsrechtsordnung verliehenen Rechte praktisch unmöglich zu machen oder übermäßig zu erschweren, wenn (!) der Fristlauf nicht vor dem Zeitpunkt beginnt, zu dem der Arbeitnehmer von den anspruchsbegründenden Tatsachen Kenntnis erlangt.
  • Hier knüpft die vertragliche Regelung den Fristbeginn an die Fälligkeit des Anspruchs.
  • Fälligkeit tritt aber nicht ohne weiteres schon mit der Entstehung des Anspruchs ein.
  • Es muss dem Gläubiger tatsächlich möglich sein, seinen Anspruch geltend zu machen. Ein Anspruch ist deshalb regelmäßig erst dann im Sinne der Ausschlussfrist fällig, wenn er für den Arbeitnehmer aufgrund der Gesamtumstände erkennbar und durchsetzbar ist.
  • Die Ausschlussfrist beginnt daher nicht zu laufen, ohne dass der Klägerin die anspruchsbegründenden Tatsachen überhaupt bekannt sind.