Wen der EuGH „Grundlegendes“ zur DSGVO entscheidet, lohnt sich die Lektüre in der Regel auch aus arbeitsrechtlicher Sicht. Für zwei aktuelle Entscheidungen zum Jahreswechsel gilt dies allerdings in ganz besonderem Maße:
Zum einen für das lang erwartete Urteil auf die Vorlage des BAG zur Datenverarbeitung per Betriebsvereinbarung (C-65/23 vom 19.12.2024), das bereits kurz vor Weihnachten erging und hier zunächst unter I.  näher in den Blick genommen wird.
Die dortige Zusammenfassung zeigt unter I. 3. bspw. auch auf, ob sich etwaige Gestaltungsspielräume der Betriebsparteien von denen des nationalen Gesetzgebers unterscheiden. Und wo aus Sicht des EuGH einer etwaigen Gestaltung Grenzen gesetzt sind, wo aber ggf. auch nicht.
Ebenfalls bedeutend für die arbeitsrechtliche Praxis dürfte eine aktuelle Entscheidung aus der 2. Januarwoche sein (C-416/23 vom 09.01.2025) zum Begriff „exzessiven Verhaltens“, die unter II. kurz erörtert wird. Sie setzt sich mit der Frage auseinander, wann die Aufsichtsbehörde vielfachen Anfragen Betroffener zur Verfolgung nicht erfüllter Auskunftsansprüche nach Art 15 DSGVO einen Missbrauchsvorwurf entgegenhalten kann.
Die insoweit maßgebliche Vorschrift des Art 57 Abs. 4 DSGVO entspricht zudem inhaltlich voll und ganz Art 12 Abs. 5 S.2 DSGVO. Diese Norm räumt dem Verantwortlichen, im Zweifel also dem Arbeitgeber die Möglichkeit ein, bei offenkundig unbegründeten oder exzessiven Anträgen nach Art 15 DSGVO, den Antrag schlicht unbearbeitet zu lassen.
I. EuGH zur Legitimation der Datenverarbeitung per Betriebsvereinbarung (C-65/23)
Um besser einordnen zu können, was der EuGH entscheiden hat (und was ggf. auch noch nicht), lohnt zunächst ein nochmaliger Blick auf das Vorabentscheidungsverfahren BAG vom 22.09.2022 – 8 AZR 209/21.
1. Hintergrund und Ausgangsfragen des BAG
Dort bestand Streit über eine Betriebsvereinbarung zur Nutzung der Software „Workday„, insbesondere zu der damit verbundenen Verarbeitung von Mitarbeiterdaten. Der Kläger hatte vorgetragen, dass die Betriebsvereinbarung dazu keine ausreichende Legitimation biete. Aus diesem Grund hatte er die Löschung seiner Daten begehrt und Schadensersatzansprüche geltend gemacht.
Streitig war daher zwischen den Parteien insbesondere, an welchen Kriterien sich dabei der gerichtliche Überprüfungsmaßstab der Betriebsvereinbarung zu orientieren habe.
Von den ursprünglich sechs Vorlagefragen, u.a. auch zum Schadensersatz, standen zuletzt noch drei im Raum:
- Sind Betriebsvereinbarungen nur an Art 88 Abs. 2 zu messen oder sind stets auch die sonstigen Vorgaben der DSGVO – wie etwa Art. 5, Art. 6 Abs. 1 und Art. 9 Abs. 1 und Abs. 2 DSGVO – einzuhalten?
- Verfügen die Parteien einer solchen Kollektivvereinbarung über einen Spielraum, der bei der Beurteilung der Erforderlichkeit der betreffenden Verarbeitung im Sinne von Art. 5, Art. 6 Abs. 1 sowie Art. 9 Abs. 1 und 2 DSGVO nur einer eingeschränkten gerichtlichen Kontrolle unterliegen soll?
- Wenn ja, auf welche Beurteilungskriterien habe es gegebenenfalls seine gerichtliche Kontrolle zu beschränken?
2. Einschätzungen und Anregungen des 8. Senat des BAG Im Rahmen der Vorlage und im Kontext der bisherigen Rechtsprechun
Die Beantwortung der ersten Frage erschien vorab -unabhängig vom am Ende erzielten Ergebnis -mithilfe klassischer Auslegungsdogmatik als durchaus „machbar“.
Dagegen hatte es die beiden Folgefragen – vor allem aufgrund ihrer Verknüpfung- durchaus „in sich“.
a. Beschränkung der Beurteilungskriterien bei Beurteilungsspielraum?
Denn wenn sich der EuGH dazu entscheiden würde, den Betriebsparteien eine „Beurteilungsspielraum“ zuzugestehen, hätte er mittels der weiteren Frage ggf. die Beurteilungskriterien aufzeigen müssen, auf die sich das nationale Gericht zu beschränken hätte.
Eine Frage, die -mit Blick auf den sicher selben Wunsch nach Rechtsicherheit- Praktiker ihrerseits bereits Jahre vor Inkraftreten der DSGVO eigentlich genauso berechtigt dem BAG hätten stellen können.
Enthält § 75 Abs. 2 S. 1 BetrVG doch seit langem die Vorgabe an die Betriebsparteien,
die freie Entfaltung der Persönlichkeit der im Betrieb beschäftigten Arbeitnehmer zu schützen und zu fördern.
Auch hier stellt sich daher zwangsläufig die Frage, wo dabei die Einschätzungsprärogative der Betriebsparteien endet und welche Kriterien dann vom überprüfenden Gericht anzulegen sind. Bekanntlich gesteht das BAG im Rahmen des § 75 BetrVG den Betriebsparteien seit langem zu, im Rahmen des ihnen zustehenden Gestaltungs- und Beurteilungsspielraums bei der Normsetzung zu typisieren und pauschalieren (so bspw. BAG, Urteil vom 10.11.2015 – 3 AZR 576/14, Rz. 37).
Diesen Gestaltungs- und Beurteilungsspielraum definiert aber auch das BAG keineswegs über diese Formel hinaus mittels abschließender Beurteilungskriterien vorab. Sondern vielmehr nach und nach anhand von Einzelfällen und den ihnen zugrunde liegenden Sachverhaltskonstellationen. Denn alles andere würde die Flexibilität bei künftigen Entscheidungen viel zu sehr einschränken. Für den EuGH dürfte nichts anderes gelten.
b. Unterschiedliche Überprüfungsmaßstäbe bei Betriebsvereinbarungen, Tarifverträgen und Gesetzen?
Man mag ggf. darüber streiten, ob sich bereits daraus zumindest mittelbar eine gewisse Intention ableiten lässt, den EuGH vor allem davon zu überzeugen, den Betriebsparteien einen solchen Beurteilungsspielraum bei Betriebsvereinbarungen besser nicht einzuräumen.
An anderer Stelle der Vorlage trat diese Intention jedoch etwas deutlich zu Tage. So hatte das BAG in seiner Vorlage unter Rz. 32 den EuGH zudem ausdrücklich darauf hingewiesen, dass den Betriebsparteien nach nationalem Recht gem. § 74 Abs. 2 BetrVG Maßnahmen des Arbeitskampfes untersagt seien, so dass zumindest -wie vorliegend- im Fall einer Betriebsvereinbarung Art 28 GrCH nicht allzu stark ins Gewicht fallen könne. Mag diese bei einem (erstreikbaren) Tarifvertrag, über den hier nicht zu entscheiden war, ggf. anders sein.
Inhaltlich überzeugt dieses Argument eigentlich nicht. Denn bei rechtsvergleichender Betrachtung erscheint die erzwingbare Mitbestimmung über § 87 Nr. 6 BetrVG als ein letztlich deutlich effektiverer Hebel zur Regulierung datenschutzrechtlicher Spezifizierungen auf „Augenhöhe“ als das Streikrecht. Denn die Bereitschaft für Datenschutztarifverträge zu streiken, scheint hingegen -national wie international- nicht sonderlich ausgeprägt (Vgl. dazu bereits Lentz ArbRB 2023, 114, 116)
c. Betriebsvereinbarungen in der bisherigen Rechtsprechung des EuGH
Der Hinweis auf das mangelnde Streikrecht und Art 28 GrCH ist jedoch nicht ohne Grund erfolgt. Denn der EuGH hatte bereits an anderer Stelle entschieden, dass nicht nur Tarifverträge, sondern auch Betriebsvereinbarungen insoweit in den Schutzbereich des Art 28 GrCh fallen und daher daraus auch Gestaltungsspielräume abzuleiten sind (Vgl. bspw EuGH v. 06.12.2012 – C 152/11 Rz. 53). Ein grundrechtsbezogener Ansatz, der sich abweichend dazu beim Bundesverfassungsgericht -mit Bezug auf Art 9 GG- so bislang nicht wiederspiegelt.
3. Zum Inhalt der Entscheidung des EuGH C-65/23 vom 19.12.2024
All dies sollte man vor ab besser in den Blick nehmen, um den Inhalt der Entscheidung besser bewerten zu können.
a. Zu den Anforderungen an die Regelung einer Kollektivvereinbarung (Frage 1)
Der EuGH hat die lange umstrittene Frage der normativen Vorgaben für eine Kollektivvereinbarung abschließend und unzweideutig entscheiden.
So führt der EuGH unter Rz. 50 aus:
[…] dass eine nach Art. 88 Abs. 1 dieser Verordnung erlassene nationale Rechtsvorschrift über die Verarbeitung personenbezogener Daten für die Zwecke von Beschäftigungsverhältnissen bewirken muss, dass ihre Adressaten nicht nur die Anforderungen erfüllen müssen, die sich aus Art. 88 Abs. 2 dieser Verordnung ergeben, sondern auch diejenigen, die sich aus Art. 5, Art. 6 Abs. 1 sowie Art. 9 Abs. 1 und 2 der Verordnung ergeben.
Eine nähere Auseinandersetzung mit der diesbezüglichen Begründung ist -wegen dieser Eindeutigkeit- aus Praktiker-Sicht entbehrlich.
b. Zu einer möglichen Beschränkung des beschränkten Überprüfungspielraum (Frage 2)
Deutlich differenzierter und umfangreicher fällt hingegen die die Stellungnahme zu einem möglichen Überprüfungsspielraum aus:
aa.
Wie bereits in früheren Entscheidungen stellt der EuGH zunächst klar, dass die nationalen Gerichte eigenständig beurteilen können, ob die eben unter a. skizzierten Vorgaben (u.a. Art 5, 6,9) der DSGVO eingehalten wurden.
So führt der EuGH unter Rz. 53 dazu aus
Zum Umfang der gerichtlichen Kontrolle, die in Bezug auf solche spezifischen Vorschriften ausgeübt werden kann, hat der Gerichtshof bereits entschieden, dass es Sache des angerufenen nationalen Gerichts ist, das für die Auslegung des nationalen Rechts allein zuständig ist, zu beurteilen, ob diese Vorschriften die insbesondere in Art. 88 DSGVO vorgegebenen Voraussetzungen und Grenzen beachten.
bb.
Dem zuvor unter 2. b skizzierten Ansatz der Vorlage, datenschutzrechtlichen Regelungen in Betriebsvereinbarungen ggf. eine geringere Legitimation als bspw. einem Tarifvertrag -oder gar einer nationalen gesetzlichen Regelung- zuzusprechen, erteilt der EuGH jedoch eine Absage.
So führt er zunächst unter Rz. 54 aus:
Wie die Europäische Kommission in ihren schriftlichen Erklärungen im Wesentlichen ausgeführt hat, müssen die Parteien einer Kollektivvereinbarung nämlich über einen Spielraum verfügen, der insbesondere hinsichtlich seiner Grenzen dem den Mitgliedstaaten zuerkannten Ermessen gleichwertig ist,
 um sodann unter Rz. 55 zu ergänzen:
Ungeachtet des Spielraums, den Art. 88 DSGVO den Parteien einer Kollektivvereinbarung einräumt, muss sich daher die gerichtliche Kontrolle einer solchen Kollektivvereinbarung ebenso wie die einer nach dieser Bestimmung erlassenen Vorschrift des nationalen Rechts ohne jede Einschränkung auf die Einhaltung aller Voraussetzungen und Grenzen erstrecken können, die die Bestimmungen dieser Verordnung für die Verarbeitung personenbezogener Daten vorschreiben.Â
Mit Blick auf die -hier zur besseren Ãœbersichtlichkeit vorgenommen- Unterstreichungen macht es für den EuGH nach der DSGVO mithin keinen Unterscheid, ob die „Spezifizierung“ vom Gesetzgeber, den Tarifvertragsparteien oder den Betriebsparteien vorgenommen wurde.
cc.
Auch die weiteren Ausführungen des EuGH zu den eingangs von ihm unter Rz. 53 erwähnten „Spielraum“ eröffnen den Betriebsparteien durchaus veritable Gestaltungsoptionen.
So führt der EuGH dazu ergänzend unter Rz. 57 aus:
[verfügen] die Parteien einer Kollektivvereinbarung im Allgemeinen über gute Grundlagen für die Beurteilung, ob eine Datenverarbeitung in einem konkreten beruflichen Kontext erforderlich ist, da diese Parteien gewöhnlich umfangreiche Kenntnisse in Bezug auf die spezifischen Bedürfnisse im Beschäftigungsbereich und im betreffenden Tätigkeitsbereich haben. Ein solcher Beurteilungsprozess darf jedoch nicht dazu führen, dass diese Parteien aus Gründen der Wirtschaftlichkeit oder Einfachheit Kompromisse schließen, die das Ziel der DSGVO, ein hohes Schutzniveau der Freiheiten und Grundrechte der Beschäftigten bei der Verarbeitung ihrer personenbezogenen Daten zu gewährleisten, in unzulässiger Weise beeinträchtigen könnten.
und ergänzt zudem vorsorglich unter Rz. 58:
insbesondere um zu prüfen, ob die von den Parteien dieser Kollektivvereinbarung geltend gemachten Rechtfertigungsgründe die Erforderlichkeit der sich aus dieser Vereinbarung ergebenden Verarbeitung personenbezogener Daten belegen, in Anbetracht des in der vorstehenden Randnummer des vorliegenden Urteils genannten Schutzziels nicht mit dieser Verordnung vereinbar [sind].
4. Bewertung und Fazit
a. Erster Eindruck
Wenn man lediglich die Vorlage kennt und im Nachgang die Zusammenfassung zur Frage 2 „umfassende gerichtliche Kontrolle“ zur Kenntnis nähme, läge zunächst der Schluss nahe, dass Betriebsvereinbarungen durch die Entscheidung erheblich an Wertigkeit als Gestaltungsmittel eingebüßt haben könnten.
b. Zweiter Eindruck nach Blick auf die Entscheidungsgründe
Ein Blick darauf, wie ausweislich der Entscheidung diese „umfassende Kontrolle“ nach Maßgabe der DSGVO auszuüben sei, relativiert dies jedoch erheblich.
Zum einen, weil das Gericht ausdrücklich festhält, dass sich der „Spielraum“ der Betriebsparteien nicht von dem des nationalen Gesetzgebers unterscheidet. Ein Beschäftigtendatenschutz, über das ja weiter aktuell diskutiert wird, würde daher demgegenüber -je nach Regelungsinhalt- für die Betriebsparteien eine weitere (nationale) Grenze ziehen.
Zum anderen, weil auch der EuGH -ähnlich einer Vermutung- grundsätzlich davon auszugehen scheint, dass „gewöhnlich“ umfangreiche Kenntnisse über Bedürfnisse und daraus abzuleitende Spezifizierungen vorhanden sind.
Belegen dies die Betriebsparteien durch entsprechende Rechtfertigungen -bestenfalls natürlich im Wortlaut der der Betriebsvereinbarung selbst-, so dürfte es dem Gericht obliegen, diesen Begründungsansatz unter Verweis auf einen mit Blick auf das Schutzniveau der DSGVO „unzulässigen Kompromiss“ zurückzuweisen.
Das ist offensichtlich etwas anderes, als die grundsätzliche Befugnis, die eigene, gerichtliche „Spezifizierung“ an die Stelle der „Spezifizierung“ der Betriebsparteien zu setzen.
c. weitere Sonderaspekte bei Betriebsvereinbarungen
Zwei Dinge sollte dabei in der Praxis zudem nicht aus dem Blick geraten.
aa. „mehrpolige Rechtsverhältnisse“ und die Anwendung der Vorgaben der DSGVO
Betriebsvereinbarungen im Beschäftigtendatenschutz regulieren regelmäßig „mehrpolige Rechtsverhältnisse“, weil neben dem Arbeitgeber in der Regel eine Vielzahl von Mitarbeitern von Ihnen betroffen sind.
Das ist etwas grundlegend anderes als das ebenfalls von der DSGVO als „one fits all Lösung“ abgedeckte „übliche“ zweipolige Verhältnis Unternehmer/Verbraucher.
Es führt vor allem dazu, dass die Vorgaben des Art 5 DSGVO nicht selten in einem Spannungsverhältnis stehen, das es zum Ausgleich zu bringen gilt. Das Begehren eines Mitarbeiters gegenüber dem Arbeitgeber nach „Transparenz“ gemäß Art 5 ((1) a hat dieser -als Verantwortlicher- gegenüber dem Grundsatz der Datenminimierung gemäß Art 5 (1) (c) abzuwägen, soweit es einen anderen Mitarbeiter betrifft.
bb. Ist „Spezifizierung“ ohne den Vorwurf des „Absenken des Schutzniveaus“ möglich?
(1)
Nicht selten entwickeln sich bei Verhandlungen in der Praxis zudem lange Diskussionen darüber, ob eine Regelung bereits deshalb unzulässig sei, weil sie vermeintlich das „Schutzniveau“ absenke.
Diese Diskussionen erinnern an vergleichbare „Wortwechsel“ im Rahmen der zwingenden Mitbestimmung (bspw. bei § 87 Nr. 2,3 zur Arbeitszeit), in der die verhandelte Regelung auf keine Fall zur „Verkürzung des Mitbestimmungsrechts“ führen soll.
(2)
Auflösen lassen sich beide Diskussionen in der Praxis in der Regel wie folgt.
Bei einem unbestimmten Rahmen, wie ihn sowohl die DSGVO als auch § 87 BetrVG bereithält, besteht grundsätzlich ein gewisses Maß an Rechtsunsicherheit für die Anwendung im Einzelfall, insbesondere hinsichtlich möglicher Grenzüberschreitungen.
Konkretisieren die Betriebsparteien diesen allgemeinen Rahmen für typisierte Fälle, wird dieser Rahmen zwar „verkürzt“. Im Gegenzug erhalten die betroffenen Mitarbeiter jedoch mehr Transparenz und Rechtssicherheit. Sie „üben ihr Recht aus“, statt auf es zu „verzichten“, auch wenn dies durch die Kollektivparteien und nicht durch den Einzelnen erfolgt.
d. Fazit
Beide Argumente dürften sich von den Betriebsparteien im Rahmen ihrer „typisierend regulierten Fallgestaltungen“ zur Rechtfertigung nutzbar lassen machen.
Alles zusammen scheint dann -mit den Konkretisierungen des EuGH im Urteil- insgesamt auch nicht mehr weit entfernt von dem eingangs erwähnten Ansatz des BAG im Rahmen des § 75, den
ihnen zustehenden Gestaltungs- und Beurteilungsspielraums bei der Normsetzung zu typisieren und pauschalieren.
Man darf daher durchaus gespannt sein, wie der 8. Senat damit im vorliegenden Fall, vor allem aber in künftigen Fällen mit ggf. abweichend Sachverhaltskonstellationen umgehen wird. Im Nachgang des Vorlageverfahrens kam es dort zudem zu personellen Veränderungen, in dessen Zuge auch der Vorsitz gewechselt hat.
II. EuGH zum Exzess, insbesondere einer Vielzahl geltend gemachter Auskunftsansprüche nach Art 15 DSGVO
Etwas übersichtlicher gestaltet sich die Entscheidung C-416/23 vom 09.01.2025), die verschiedene Aspekte im aufsichtsrechtlichen Umfeld, aber auch des Auskunftsanspruchs nach Art. 15 anspricht. Dessen Praxisrelevanz im Kontext arbeitsrechtlicher Individualstreitigkeiten stellt mittlerweile niemand mehr in Frage (Vgl. zu dessen Anfängen: Lentz ArbRB 2019, 150)
1. Fall und hier maßgebliche Ausgangsfrage
a.
In dem zu entscheidenden Fall hatte ein Betroffener innerhalb eines Zeitraums von ca. 20 Monaten 77 ähnliche Beschwerden bei der (österreichischen) Aufsichtsbehörde gegen verschiedene Verantwortliche wegen einer nicht ordnungsmäßen Behandlung eines Auskunftsanspruchs nach Art 15 DSGVO eingebracht.
Die Aufsichtsbehörde berief sich auf Art 57 Abs. 4 DSGVO. Diese Norm räumt ihr die Möglichkeit ein, bei offenkundig unbegründeten oder exzessiven Anfragen nicht tätig zu werden.
Im Raum stand deshalb dort u.a. auch die Frage,
ob bereits die Zahl der innerhalb eines bestimmten Zeitraums bei einer Aufsichtsbehörde eingebrachten Beschwerden unabhängig von den Sachverhalten, die den einzelnen Beschwerden zugrunde liegen, für die Beurteilung als „exzessiv“ ausreicht.
oder ob zudem weiterer Umstände bedarf, aufgrund deren auf das Vorliegen einer Missbrauchsabsicht geschlossen werden kann.
b.
Da insoweit maßgebliche Vorschrift des Art 57 Abs. 4 DSGVO für Aufsichtsbehörden entspricht zudem inhaltlich voll und ganz. Art 12 Abs. 5 S.2 DSGVO. Die insoweit wortgleiche Vorschrift ermöglicht es dem Verantwortlichen, sich gegenüber dem Betroffenen bei einem von diesem geltend gemachten Auskunftsanspruch nach Art 15 DSGVO auf ein exzessives Verhalten zu berufen.  Also im Beschäftigungsverhältnis ggf. dem Arbeitgeber gegenüber dem Beschäftigten. Insoweit liegt es nahe, dass sich aus der Entscheidung auch Rückschlüsse zur Systematik der dortigen Regelung ziehen lassen.
2. Aussagen des EuGH
Zu dieser Frage führt der EuGH unter Rz. 33 zum Ausnahmecharakter des Art 57 Abs. 4 (Unterstreichungen hier und im Folgenden durch den Verfasser) zunächst aus
Somit sieht Art. 57 Abs. 4 DSGVO, indem er den Aufsichtsbehörden die Möglichkeit einräumt, bei offenkundig unbegründeten oder exzessiven Anfragen eine angemessene Gebühr auf der Grundlage der Verwaltungskosten zu verlangen oder sich zu weigern, aufgrund einer Anfrage tätig zu werden, eine Ausnahme von dem in Art. 57 Abs. 3 DSGVO aufgestellten Grundsatz der Unentgeltlichkeit vor, die eng auszulegen ist.
bzw. nochmals unter Rz. 48:
Insoweit muss, wie oben in den Rn. 33, 34 und 36 ausgeführt, die Ausübung der in Art. 57 Abs. 4 DSGVO vorgesehenen Befugnis als Ausnahme von dem in Art. 57 Abs. 3 DSGVO vorgesehenen Grundsatz der Unentgeltlichkeit der von den Aufsichtsbehörden erfüllten Aufgaben die Ausnahme bleiben […]. Sie kann nur im Fall von Rechtsmissbrauch erfolgen.
Weiterhin sind bei dieser Ausnahme die Umstände des Einzelfalls zu berücksichtigen, die von demjenigen dazulegen sind, der sich auf diese eng auszulegende Ausnahme beruft, wie der EuGH sodann unter Rz. 50 ausführt:
Vor diesem Hintergrund muss eine Aufsichtsbehörde, wenn sie von der in Art. 57 Abs. 4 DSGVO vorgesehenen Möglichkeit Gebrauch machen möchte, anhand aller relevanten Umstände jedes Einzelfalls feststellen, dass eine Missbrauchsabsicht der betroffenen Person vorliegt, wofür die Zahl der von dieser Person eingereichten Beschwerden allein nicht ausreicht.
bzw. diese Anforderungen an den engen Ausnahmetatbestand sodann unter Rz. 56 konkretisierend:
Auf der Grundlage der Umstände des jeweiligen Einzelfalls obliegt es somit der Aufsichtsbehörde, bei der eine große Zahl von Beschwerden eingereicht wird, nachzuweisen, dass diese Zahl nicht durch den Wunsch der betroffenen Person zu erklären ist, ihre Rechte aus der DSGVO zu schützen, sondern durch einen anderen Zweck, der in keinem Zusammenhang mit diesem Schutz steht. Dies gilt insbesondere dann, wenn sich aus den Umständen ergibt, dass die Zahl von Beschwerden darauf abzielt, das ordnungsgemäße Funktionieren der Behörde zu beeinträchtigen, indem ihre Ressourcen missbräuchlich in Anspruch genommen werden.
3. Fazit und Bewertung
Der EuGH stellt damit bei Art 57 Abs. 4 an die Voraussetzungen für ein exzessives Verhalten hohe Anforderungen. Zudem fordert er dazu den Nachweis einer Missbrauchsabsicht, obgleich dies der Vorschrift so nicht explizit zu entnehmen ist.
Mit Blick auf deren dogmatische Herleitung in der Entscheidung, auf die hier aus Platzgründen nicht weiter eingegangen werden soll, liegt es mehr als nahe, dies auch beim wortgleichen Art 12 Abs. 4 DSGVO einzufordern, wenn sich dort der Verantwortliche gegenüber dem Mitarbeiter auf einen Exzess beruft. Die Hürden dafür dürften daher sehr hoch sein.
Gleichwohl hat der EuGH ebenfalls zu erkennen gegeben, dass es auch für ihn Grenzen gibt.
Ob und inwieweit allerdings auch der Aspekt über die „mißbräuchliche Inanspruchnahme von Ressourcen“ auch vom (direkt verpflichteten) Verantwortlichen ebenso konkret nutzbar gemacht werden wie von einer (neutralen) Aufsichtsbehörde bedürfte hingegen  einer etwas tiefgreifenderen Untersuchung.  Â
Â
