Datenschutz-Berater
Auskunftsanspruch in der Praxis: Aktuelle Entwicklungen und praktische Strategien
Quelle: Datenschutz-Berater 2026 Heft 06 vom 05.06.2026, Seite 174

Veröffentlicht am von


Wiebke Reuter und Dr. Julius Alexander Remmers

Auskunftsanspruch in der Praxis: Aktuelle Entwicklungen und praktische Strategien

Der EuGH hat erstmals die Tür zum Missbrauchseinwand bei Erstauskunftsanträgen eröffnet. Er bestätigt aber zugleich die Möglichkeit eines Schadenersatzanspruchs bei fehlerhafter Bearbeitung. Flankierend diskutiert die EU-Kommission im Digital Omnibus-Paket Anpassungen, die diese Grenzen kodifizieren könnten. Verantwortliche stehen damit vor einer doppelten Herausforderung: Sie müssen Auskunftsersuchen rechtssicher erfüllen und gleichzeitig wirtschaftlich vernünftig steuern, ohne ihre Verteidigungsspielräume vorschnell aufzugeben. Der Beitrag ordnet die aktuellen Entwicklungen ein, beleuchtet die zentralen Best-Practice-Schritte und widmet sich vor allem den strategischen Erwägungen, die in der täglichen Bearbeitungspraxis den entscheidenden Unterschied machen.

I. Aufstieg zum populärsten Betroffenenrecht

Der Auskunftsanspruch nach Art. 15 DSGVO hat sich in kurzer Zeit von einem klassischen Transparenzrecht zu dem wohl sichtbarsten und streitträchtigsten Betroffenenrecht entwickelt. Sein gesetzgeberischer Zweck ist klar umrissen: Betroffene sollen überprüfen können, ob ihre personenbezogenen Daten rechtmäßig verarbeitet werden, und die Grundlage erhalten, weitere Rechte – etwa Berichtigung, Löschung oder Einschränkung – wirksam auszuüben. In der Praxis erfüllt Art. 15 DSGVO damit eine doppelte Funktion: als Kontrollinstrument und zugleich Auslöser für Folgemaßnahmen, die auf eine rechtmäßige, faire und transparente Datenverarbeitung hinwirken.

Parallel zu diesem normativen Ziel hat der Auskunftsanspruch eine strategische Dimension gewonnen. Auskunftsersuchen werden vermehrt eingesetzt, um in konfliktbeladenen Situationen Druck aufzubauen – etwa im Arbeitsverhältnis, bei Bonus- und Leistungsstreitigkeiten, im Kunden- und Lieferantenkonflikt oder als vorbereitende Maßnahme im Zivilprozess. Die faktisch niedrige Schwelle für die Antragstellung, die zunehmende Verfügbarkeit von Mustertexten und die Nutzung KI-gestützter Tools haben zu einer spürbaren Zunahme von Anträgen geführt. Viele dieser Anträge gehen in Umfang und Tiefe weit über das hinaus, was für die Wahrnehmung des Transparenzrechts erforderlich ist. Eine besondere Erscheinungsform ist das sog. „DSGVO-Hopping”, also gezielte Anmeldungen zu Newslettern oder ähnliche Datengenerierungen mit dem alleinigen Ziel, anschließend Auskunftsersuchen und Schadenersatzforderungen geltend zu machen. Diese Entwicklung erklärt nicht nur die operative Belastung von Unternehmen, sondern auch die gestiegene Relevanz klarer Prozesse, belastbarer Abwägungen und rechtssicherer Kommunikation.

Gleichzeitig ist Art. 15 DSGVO kein einseitiges Recht ohne Grenzen. Die DSGVO sieht Beschränkungen bis hin zur vollständigen Verweigerung vor, wenn dem Auskunftsanspruch überwiegende Rechte und Freiheiten Dritter entgegenstehen (Art. 15 Abs. 4 DSGVO; ErwGr. 63 Satz 5 der DSGVO; § 29 Abs. 1 Satz 2 BDSG) oder wenn Anträge offenkundig unbegründet oder exzessiv sind (Art. 12 Abs. 5 DSGVO). In diesem Spannungsfeld hat die Rechtsprechung, insbesondere des EuGH, in jüngerer Zeit bedeutsame Akzente gesetzt. Von besonderer praktischer Relevanz ist, dass die Verletzung des Auskunftsanspruchs neben aufsichtsbehördlichen Maßnahmen einschließlich Bußgeldern auch Schadenersatzansprüche nach Art. 82 Abs. 1 DSGVO auslösen kann. Mit der Entscheidung Brillen Rottler hat der EuGH diesen Zusammenhang weiter konturiert und zugleich erstmals klare Leitlinien zum Missbrauchseinwand bei erstmaligem Auskunftsersuchen formuliert (Urt. v. 19.3.2026 – C-526/24; siehe dazu Sorber/Knoepffler, DSB 2026, 162).

Vor diesem Hintergrund ordnet der folgende Beitrag aktuelle Entwicklungen ein und stellt einen praxistauglichen Leitfaden für den Umgang mit Auskunftsersuchen bereit. Der Schwerpunkt liegt dabei bewusst auf den strategischen Erwägungen, die Verantwortliche im Spannungsfeld zwischen pragmatischer Handlungsorientierung und strengen rechtlichen Vorgaben täglich treffen müssen.

II. Aktuelle Entwicklungen

1. EuGH („Brillen Rottler“)

Dem EuGH-Verfahren lag ein in der Praxis zunehmend typischer Sachverhalt zugrunde: Eine in Österreich ansässige Person hatte sich für den Newsletter eines deutschen Optikerunternehmens angemeldet und bereits dreizehn Tage später ein Auskunftsersuchen nach Art. 15 DSGVO gestellt, verbunden mit der Forderung nach (immateriellem) Schadenersatz in Höhe von 1.000 Euro. Das Unternehmen verweigerte die Auskunft mit dem Hinweis auf ein systematisches und rechtsmissbräuchliches Vorgehen der antragstellenden Person, die wiederholt Newsletter abonniere, um anschließend Schadenersatzforderungen zu generieren. Auf eine entsprechende Feststellungsklage des Unternehmens legte das Amtsgericht Arnsberg dem EuGH zentrale Fragen zur Auslegung von Art. 12 Abs. 5, Art. 15 Abs. 1 und Art. 82 Abs. 1 DSGVO vor. Der EuGH hat in seinem Urteil zwei zentrale Aussagen getroffen, die in der Praxis erhebliche Bedeutung entfalten:

Erstens kann auch ein erstmaliges Auskunftsersuchen „exzessiv” im Sinne von Art. 12 Abs. 5 DSGVO sein (Rn. 27, 45). Maßgeblich ist nicht allein die Anzahl der Anträge, sondern deren qualitativer Charakter im konkreten Einzelfall (Rn. 34). Der tragende Maßstab ist der unionsrechtliche Missbrauchsbegriff (Rn. 30). Es muss sich aufdrängen, dass es der antragstellenden Person vor allem oder ausschließlich darum geht, künstlich die Voraussetzungen für einen Vorteil aus der DSGVO (insbesondere Schadenersatz nach Art. 82 DSGVO) zu schaffen, und nicht um die Wahrnehmung des Transparenzrechts (Rn. 36). Die Beweislast für die missbräuchliche Absicht trägt der Verantwortliche, die Hürden sind hoch und die Ausnahme ist eng auszulegen (Rn. 35).

Zweitens bestätigt der EuGH, dass auch die bloße Verweigerung oder fehlerhafte Erfüllung eines Auskunftsersuchens grundsätzlich einen ersatzfähigen immateriellen Schaden nach Art. 82 Abs. 1 DSGVO begründen kann (Rn. 54 f.). Ein solcher Schaden kann zwar auch in einem „Verlust der Kontrolle” über die eigenen Daten liegen, ohne dass es einer darüberhinausgehenden missbräuchlichen Verwendung bedarf. Der Kontrollverlust als solcher begründet jedoch nicht automatisch einen Schadenersatz. Die betroffene Person muss vielmehr nachweisen, dass ihr dadurch ein Nachteil entstanden ist, der über die bloße DSGVO-Verletzung hinausgeht. So genügt etwa die bloße Befürchtung eines künftigen Datenmissbrauchs nicht. Sie muss unter den konkreten Umständen als begründet anzusehen sein (Rn. 61 ff.).

Für die Praxis ergeben sich daraus zwei klare Linien: Verantwortliche dürfen sich gegen Missbrauchsfälle wehren, müssen den Missbrauch aber nachweisen. Wer hingegen vorschnell oder pauschal ablehnt, riskiert seinerseits Schadenersatzansprüche oder Bußgelder. Die Entscheidung markiert damit keinen Freibrief, sondern eine sorgfältig austarierte Leitplanke.

2. Digital Omnibus-Paket

Flankierend zur Rechtsprechung hat die EU-Kommission am 19. November 2025 das „Digital Omnibus“-Paket vorgelegt, das auch punktuelle Anpassungen der DSGVO vorsieht. Das Paket befindet sich derzeit im EU-Gesetzgebungsverfahren. Der finale Regelungstext steht noch nicht fest und der EDSA sowie der EDSB haben in einer gemeinsamen Stellungnahme vom Februar 2026 erhebliche Kritik an zentralen Elementen geäußert.

Laut Gesetzesvorhaben soll u.a. Art. 12 Abs. 5 DSGVO um eine Klarstellung ergänzt werden, dass das Auskunftsrecht nicht missbraucht werden darf. Unternehmen sollen Anfragen ablehnen oder eine angemessene Gebühr verlangen dürfen, wenn sie nachweisen können, dass die Anfrage exzessiv oder missbräuchlich ist oder nachweislich nicht dem Schutz der Daten der betroffenen Person dient. Damit würde der vom EuGH in der Entscheidung Brillen Rottler entwickelte Maßstab in den Verordnungstext überführt und teilweise konkretisiert. Zudem soll der Begriff der personenbezogenen Daten in Art. 4 Nr. 1 DSGVO präzisiert werden: Informationen sollen nicht notwendigerweise als personenbezogene Daten für jede Einrichtung gelten, nur weil eine andere Einrichtung die natürliche Person identifizieren könnte. Dies könnte mittelbar auch den Anwendungsbereich des Auskunftsrechts berühren.

Eine belastbare Umsetzungsperspektive lässt sich erst nach Abschluss des Trilogs benennen. Bis dahin gelten die bisherigen Regelungen unverändert. Unternehmen sollten die Entwicklungen jedoch im Rahmen ihrer Rechtsbeobachtung aktiv begleiten, da sich aus der Kombination mit der EuGH-Rechtsprechung Spielräume für die Bearbeitung exzessiver Anträge eröffnen könnten.

III. Best-Practice bei der Bearbeitung

1. VorprĂĽfung der Formalien

Der professionelle Umgang mit Auskunftsersuchen beginnt mit einem sauberen Intake-Prozess. Zunächst ist die Identität der antragstellenden Person zu verifizieren, um unberechtigte Offenlegungen zu vermeiden. Tritt ein Vertreter auf – etwa ein Rechtsanwalt, ein Interessenverband oder ein Betriebsrat – ist ein hinreichender Vertretungsnachweis einzuholen. Bei berechtigten Zweifeln an der Identität sollten nach Art. 12 Abs. 6 DSGVO Nachweise nachgefordert werden. Dieser Schritt ist rechtlich geboten und dient dem Schutz der betroffenen Person ebenso wie dem Verantwortlichen.

Parallel ist ein striktes Fristenmanagement aufzusetzen. Die Ausgangsfrist von einem Monat (Art. 12 Abs. 3 Satz 1 DSGVO) beginnt mit Zugang eines hinreichend bestimmten Antrags. Bei begründeten Zweifeln an der Identität ist die Monatsfrist bis zur Verifizierung ausgesetzt. Bei fehlender Konkretisierung ist die Rechtslage uneinheitlich. Vorsichtige Praxis ist es, parallel zur Klärungsanfrage die Auskunftsbearbeitung weiterzuführen und eine Vollauskunft vorzubereiten, falls keine Konkretisierung erfolgt. Komplexität der Sachlage oder eine hohe Zahl gleichzeitiger Anträge können eine Verlängerung um bis zu zwei Monate rechtfertigen (Art. 12 Abs. 3 Satz 2 DSGVO). Diese ist binnen eines Monats zu kommunizieren und plausibel zu begründen. Eine frühzeitige, transparente Kommunikation vermeidet Eskalation und schafft Vertrauen in die Ernsthaftigkeit der Bearbeitung.

2. Umfang der Auskunft

Nach der formellen Vorprüfung folgt die inhaltliche Einordnung. Art. 15 Abs. 1 DSGVO nennt die Pflichtinhalte der Auskunft: (i) Verarbeitungszwecke, (ii) Datenkategorien, (iii) Empfänger oder Empfängerkategorien, (iv) Speicherdauer oder Kriterien für deren Festlegung, (v) die Rechte der betroffenen Person, (vi) die Herkunft der Daten, soweit nicht unmittelbar bei der betroffenen Person erhoben, sowie (vii) das Bestehen automatisierter Entscheidungen einschließlich Profiling und aussagekräftige Informationen über die involvierte Logik und die angestrebten Auswirkungen. Diese Angaben müssen verständlich, vollständig und für die betroffene Person nutzbar aufbereitet werden. Zur Empfängerangabe hat der EuGH bereits in der Entscheidung RW/Österreichische Post klargestellt, dass die betroffene Person im Falle der Ausübung ihres Wahlrechts grundsätzlich Anspruch auf Auskunft über die konkreten Empfänger hat (Urt. v. 12.1.2023 – C-154/21, Rn. 43; siehe dazu Brink, DSB 2023, 57). Eine bloße Angabe von Empfängerkategorien genügt nur in engen Ausnahmefällen (Rn. 47 ff.).

Daneben besteht der Anspruch auf Überlassung einer Datenkopie nach Art. 15 Abs. 3 DSGVO. Hier ist zwischen „Datenkopie“ und „Dokumentkopie“ zu differenzieren. Der EuGH hat in der Entscheidung Österreichische Datenschutzbehörde/CRIF ausgeführt, dass der Verantwortliche eine originalgetreue und verständliche Wiedergabe der personenbezogenen Daten schuldet (EuGH, Urt. v. 4.5.2023 – C-487/21, Rn. 39; Zeitvogel/Rath, DSB 2023, 175). Gegenstand des Anspruchs sind die personenbezogenen Daten, nicht zwangsläufig die vollständigen Dokumente, in denen diese Daten enthalten sind. In der Praxis hat es sich bewährt, die personenbezogenen Daten in einem strukturierten, gängigen, gut lesbaren Format bereitzustellen, das der betroffenen Person die effektive Wahrnehmung ihrer Rechte ermöglicht. Vollständige Dokumentkopien oder Auszüge können jedoch erforderlich sein, wenn dies für die effektive Wahrnehmung der Rechte der betroffenen Person unerlässlich ist, etwa wenn der Kontext für das Verständnis unabdingbar ist. In der Praxis hat sich eine gestufte Vorgehensweise bewährt: zunächst Kerninformationen in strukturierter Form, anschließend – wo erforderlich – vertiefende Inhalte, jeweils unter Beachtung von Drittschutz und Geheimhaltungsinteressen.

Die Erhebung und Zusammenstellung setzt eine sorgfältige Identifikation relevanter Systeme und Datenquellen voraus. Verantwortliche sollten eine aktuelle „Datenlandkarte“ vorhalten, die Fachsysteme (etwa CRM, ERP, HR), Kommunikationsplattformen (E-Mail, Kollaborationstools) sowie Archiv- und Backup-Bestände erfasst. Suchkriterien und Ergebnisse sind zu dokumentieren, um die Nachvollziehbarkeit gegenüber Aufsichtsbehörden und Gerichten zu gewährleisten.

3. Beschränkungen oder Ausschluss

Die Erfüllung des Auskunftsanspruchs steht unter dem Vorbehalt einer Abwägung mit Rechten und Freiheiten Dritter. Art. 15 Abs. 4 DSGVO stellt für die Datenkopie ausdrücklich klar, dass deren Übermittlung nicht zu einer Beeinträchtigung dieser Rechte führen darf. Flankierend weist ErwGr. 63 Satz 5 der DSGVO auch für den Auskunftsanspruch selbst auf den Drittschutz hin. Nach § 29 Abs. 1 Satz 2 BDSG dürfen geheimhaltungspflichtige Informationen nicht offengelegt werden. Praktisch relevant ist etwa der Schutz personenbezogener Daten Dritter in E-Mail-Threads, interne Bewertungen und Vertraulichkeiten im HR-Kontext, anwaltliche oder sonstige berufsrechtliche Verschwiegenheit, Geschäfts- und Betriebsgeheimnisse oder geistige Eigentumsrechte. In diesen Konstellationen sind mildernde Maßnahmen wie Schwärzung, Pseudonymisierung, Segmentierung nach Zeiträumen oder Systemen und die Bereitstellung strukturierter Auszüge zu prüfen. Eine pauschale Verweigerung ist nur als ultima ratio gerechtfertigt und setzt eine besonders sorgfältige Begründung voraus.

Daneben eröffnet Art. 12 Abs. 5 DSGVO die Möglichkeit, offenkundig unbegründete oder exzessive Anträge zurückzuweisen oder ein angemessenes Entgelt zu verlangen. Exzess kann sich aus der Frequenz wiederholter Anträge, dem erkennbaren taktischen Zweck ohne Bezug zur Datenverarbeitung, dem überbordenden Umfang ohne erkennbaren Informationsmehrwert oder der mutwilligen Belastung des Verantwortlichen ergeben. Nach der EuGH-Entscheidung Brillen Rottler kann auch ein erstmaliger Antrag exzessiv sein, wenn er in missbräuchlicher Absicht gestellt wurde. Die Schwelle hierfür liegt hoch. Verantwortliche tragen die Darlegungslast und sollten ihre Bewertung anhand objektiver Kriterien dokumentieren. Indikatoren können etwa eine erkennbar künstlich erzeugte Datenverarbeitung (z.B. Newsletter-Anmeldung mit unmittelbar folgendem Auskunftsersuchen), wiederholte gleichartige Vorgänge bei verschiedenen Unternehmen oder erkennbare „Vorlagen”-Muster sein. Zugleich gilt: Auch ein Auskunftsersuchen, das erkennbar prozessualen Zwecken dient, ist nicht schon deshalb missbräuchlich. Die Abgrenzung erfolgt über die funktionale Erforderlichkeit für die Wahrnehmung des Transparenzrechts, nicht allein über die subjektiven Motive des Antragstellers. Erst wenn der Transparenzzweck erkennbar vorgeschoben ist, kommt der Missbrauchseinwand in Betracht.

Die EuGH-Entscheidung Brillen Rottler verstärkt insgesamt die Notwendigkeit, diese Abwägungen nicht nur zu treffen, sondern auch inhaltlich nachvollziehbar zu kommunizieren. Wo Einschränkungen vorgenommen werden, sollten sie punktgenau begründet und, wo möglich, durch alternative Informationsformen kompensiert werden. Dies reduziert Haftungsrisiken und erhöht die Akzeptanz bei Betroffenen und Behörden.

IV. Strategische Erwägungen in der Praxis

Über die rein rechtliche Prüfung hinaus stehen Unternehmen bei jedem ernstzunehmenden Auskunftsersuchen vor strategischen Entscheidungen, die sich nicht aus dem Verordnungstext ableiten lassen. Sie verlangen eine bewusste Abwägung zwischen pragmatischer Handlungsorientierung und juristischer Verteidigungslinie.

1. GroĂźzĂĽgige vs. defensive Auskunft: wirtschaftliche Dimension

Eine elementare strategische Grundsatzentscheidung lautet: Wie tief und breit soll beauskunftet werden? Eine engmaschige Drittschutz- und Geheimhaltungsprüfung mit individueller Schwärzung großer Dokumentbestände ist regelmäßig zeit- und kostenintensiv. Demgegenüber kann eine großzügige, das heißt nicht über das Notwendige hinaus, aber substanzielle und transparente Auskunftserteilung das Konfliktniveau senken und Folgeverfahren vermeiden. In der Regel gilt: Je geringer das Drittschutz- oder Geheimhaltungsinteresse, desto eher lohnt die pragmatische, vollständige Auskunft; je sensitiver der Datenbestand, desto sorgfältiger die gestufte Aufbereitung. Eine pauschale „Minimallinie” ist nach der EuGH-Entscheidung Brillen Rottler haftungsträchtig, eine pauschale „Maximallinie” ist unwirtschaftlich und kann ihrerseits Drittrechte verletzen.

2. Lösung im Rahmen eines Vergleichs

Eine besondere strategische Option bietet sich im Rahmen einvernehmlicher Streitbeilegungen, insbesondere in arbeitsrechtlichen Vergleichen: Nach der Rechtsprechung kann auf den Auskunftsanspruch nach Art. 15 DSGVO im Rahmen eines Vergleichs wirksam verzichtet werden. Maßgeblich ist insbesondere das Urteil des OVG Saarland (Urt. v. 13.5.2025 – 2 A 165/24), das eine weit gefasste Ausgleichsklausel auch auf den datenschutzrechtlichen Auskunftsanspruch erstreckt hat. Bereits zuvor hatte das VG Ansbach (Urt. v. 3.5.2024 – AN K 21.00653) in dieselbe Richtung entschieden. Die Gerichte stützen sich auf das Prinzip der informationellen Selbstbestimmung und die Disponibilität des Auskunftsrechts als „Freiheitsrecht”. Ein strukturelles Schutzbedürfnis sei jedenfalls nach Beendigung des Arbeitsverhältnisses nicht mehr gegeben.

Zwei Einschränkungen sind in der Praxis zu beachten: Zum einen erstreckt sich der wirksame Verzicht nur auf vergangene, im Zeitpunkt des Vergleichsschlusses bereits abgeschlossene Verarbeitungen, wohingegen künftige Verarbeitungen auch nach gefestigter Rechtsprechung erneut einen Auskunftsanspruch auslösen können. Zum anderen positionieren sich der EDSA sowie Teile der Aufsichtsbehörden kritisch und betrachten Betroffenenrechte als nur eingeschränkt dispositiv. Für die Praxis empfiehlt sich daher eine möglichst klare und ausdrückliche Verzichtsregelung im Vergleichstext – idealerweise unter Bezugnahme auf konkret bereits geltend gemachte Auskunftsersuchen und eindeutiger Beschränkung auf vergangene Verarbeitungen.

3. Missbrauchseinwand: Wann ziehen, wann nicht?

Anträge, die ersichtlich auch oder primär anderen Zwecken dienen (z.B. Bonus- oder Abfindungsstreit, Beweismittelausforschung im Zivilprozess, Druckaufbau im Lieferantenkonflikt) sind nicht per se missbräuchlich. Der EuGH hat ausdrücklich klargestellt, dass datenschutzfremde Motive der Auskunftserteilung nicht entgegenstehen (EuGH, Urt. v. 26.10.2023 – C-307/22; siehe dazu Rexin, DSB 2023, 306). Die Entscheidung Brillen Rottler öffnet die Tür zum Missbrauchseinwand auch beim Erstantrag. Die strategische Frage lautet: Wann lohnt es sich, diesen Einwand vorzubringen? Empfehlenswert ist er wohl nur, wenn:

  • objektive Indizien fĂĽr ein DSGVO-Hopping-Muster (etwa kĂĽnstliche Datengenerierung, kurzer zeitlicher Abstand, parallele Schadenersatzforderung mit Vergleichsangebot) oder fĂĽr offenkundig zweckfremde Motive vorliegen,
  • diese Indizien beweissicher dokumentiert werden können (z.B. Anmeldedaten, Korrespondenzhistorie, Vergleichsfälle in der Branche),
  • und der wirtschaftliche Effekt der Ablehnung die Risiken einer unberechtigten Verweigerung ĂĽbersteigt.

In allen anderen Fällen ist die vollständige Auskunft häufig die strategisch klügere Wahl. Die Beweislast trägt der Verantwortliche und eine unberechtigte Ablehnung wandelt das Auskunftsverfahren möglicherweise in ein Schadenersatzverfahren um – mit unsicherem Ausgang und zusätzlichen Kosten.

4. Schadenersatzrisiko als steuernder Faktor

Mit der EuGH-Entscheidung Brillen Rottler wurde wieder einmal bestätigt, dass ein Kontrollverlust, hier als Folge einer verweigerten oder defizitären Auskunft, zwar einen ersatzfähigen immateriellen Schaden begründen kann, die betroffene Person den tatsächlichen Eintritt eines Schadens jedoch nachweisen muss. Auch wenn die in deutschen Instanzgerichten zugesprochenen Beträge bislang überschaubar sind (typischerweise im niedrigen dreistelligen Bereich), summieren sich Anwaltskosten, interner Aufwand und Reputationsrisiken. Diese Haftungsdimension kann in der Bearbeitungspraxis als steuernder Faktor wirken. Wo Unsicherheit über Umfang oder Tiefe der Auskunft besteht, ist das risikoärmere Vorgehen regelmäßig die substanzielle Auskunftserteilung mit begründeten Schwärzungen statt die Teilverweigerung.

5. Kommunikationsstrategie als Eskalationsbremse

Ein erheblicher Teil eskalierter Auskunftsverfahren beruht weniger auf inhaltlichen Differenzen als auf wahrgenommener Intransparenz oder Verzögerung. Eine frühzeitige, sachliche Bestätigung des Antragseingangs, eine zeitnahe Rückfrage zur Konkretisierung (ohne diese zur Bedingung der Bearbeitung zu machen) und eine begründete Mitteilung bei Fristverlängerung sind kostengünstige Deeskalationsinstrumente. Insbesondere bei anwaltlich vertretenen Antragstellern oder ehemaligen Beschäftigten zahlt sich ein professioneller, nicht-konfrontativer Ton oft aus, auch und gerade dann, wenn die Auskunft am Ende teilweise eingeschränkt wird.

Eine in der Praxis manchmal unterschätzte taktische Dimension liegt in der Frage, wer auf Unternehmensseite kommuniziert: das Unternehmen selbst, typischerweise die Datenschutzabteilung, oder der externe Rechtsbeistand. Beide Wege haben unterschiedliche Wirkungen und sollten bewusst eingesetzt werden. Eine direkte Kommunikation durch das Unternehmen signalisiert Sachlichkeit, Kooperationsbereitschaft und Augenhöhe. Sie ist regelmäßig der richtige Weg bei sachlich vorgetragenen Erstersuchen, in laufenden Beschäftigungsverhältnissen oder bei Kundenbeziehungen, die fortbestehen sollen. Die Einschaltung des Rechtsbeistands hingegen markiert oft eine veränderte Eskalationsstufe: Sie ist angezeigt, wenn der Antrag erkennbar prozessuale Zwecke verfolgt, parallele Schadenersatzforderungen erhoben werden, Missbrauchsindikatoren vorliegen oder die Gegenseite anwaltlich auf eine konfliktorientierte Linie gewechselt hat. Auch eine bewusste „good cop/bad cop”-Rollenverteilung kann sinnvoll sein, etwa wenn das Unternehmen die sachliche Auskunftserteilung übernimmt, während die rechtliche Verteidigungslinie gegen weitergehende Forderungen über den Rechtsbeistand geführt wird. Entscheidend ist, dass die Rollenverteilung bewusst gewählt und konsistent durchgehalten wird. Ein Wechsel mitten im Verfahren, z.B. die plötzliche Einschaltung eines Anwalts nach freundlichem Schriftverkehr, wird regelmäßig als Eskalation wahrgenommen und kann die Verhandlungsposition schwächen.

6. Governance und Prozessfragen

Strategisch tragfähig ist die Auskunftspraxis nur, wenn sie nicht ad hoc gehandhabt, sondern in Strukturen abgebildet wird. Empfehlenswert sind:

  • ein klar zugewiesener Erstkontakt (z.B. Datenschutz-Postfach mit definiertem Eskalationsweg),
  • eine interdisziplinäre Bearbeitungsroutine zwischen betroffenen Fachbereichen,
  • standardisierte, aber individuell anpassbare Antwortbausteine,
  • regelmäßige Schulung der mit Erstkontakten betrauten Personen, sowie
  • eine konsequente Dokumentation jeder wesentlichen Bearbeitungsentscheidung (Fristen, Fristverlängerungen, Schwärzungen, Teil-/Komplettverweigerungen, Missbrauchseinwände).

Diese Governance reduziert das Risiko handwerklicher Fehler, ermöglicht im Streitfall den Nachweis ordnungsgemäßer Bearbeitung und verkürzt zugleich die Bearbeitungszeiten; ein nicht zu unterschätzender wirtschaftlicher Effekt bei steigenden Antragszahlen.

V. Fazit

Der Auskunftsanspruch nach Art. 15 DSGVO ist rechtlich anspruchsvoll, operativ fordernd und strategisch bedeutsam. Sein gesetzlicher Zweck – die Überprüfung der Rechtmäßigkeit der Datenverarbeitung und die Durchsetzung weiterer Betroffenenrechte – verlangt eine substanzielle, verständliche und fristgerechte Antwortpraxis. Die Realität in Unternehmen mit steigenden, teils taktisch eingesetzten Anträgen macht zugleich deutlich, dass Verantwortliche ihre Verteidigungswerkzeuge kennen und rechtssicher einsetzen sollten. Mit der Entscheidung Brillen Rottler hat der EuGH die Konturen weiter geschärft: Auch ein Erstantrag kann missbräuchlich sein, gleichzeitig kann bereits die fehlerhafte Bearbeitung einen ersatzfähigen Schaden begründen. Diese doppelseitige Linie spiegelt sich auch im „Digital Omnibus”-Paket, dessen Ausgang noch offen ist. Strategisch entscheidend ist, dass Verantwortliche weder reflexhaft maximal abwehren noch maximal beauskunften, sondern jeden Fall bewusst in der Spannung zwischen wirtschaftlicher Handlungsorientierung und rechtlicher Sorgfaltspflicht steuern. Die wesentlichen Stellschrauben (präzise Identitäts- und Vollmachtsprüfung, belastbares Fristenmanagement, klare Differenzierung zwischen Daten- und Dokumentkopie, sorgfältige Drittschutzabwägung, besonnener Umgang mit Missbrauchsindikatoren, professionelle Kommunikation und dokumentierte Governance) sind bekannt. Ihr konsequenter Einsatz unterscheidet die rechtssichere von der haftungsanfälligen Praxis.

Wer den Auskunftsanspruch als das versteht, was er ist – ein zentrales Betroffenenrecht mit hoher Schutzfunktion und zugleich begrenztem, aber wirkungsvollem Verteidigungsspielraum – wird ihn nicht nur rechtssicher, sondern auch wirtschaftlich vernünftig handhaben. Genau in dieser Balance liegt die eigentliche Aufgabe.

Autoren: Wiebke Reuter, LL.M. (London) ist Fachanwältin für Informations- und Technologierecht bei Taylor Wessing in Berlin.
Dr. Julius Alexander Remmers, LL.M. (Edinburgh) ist Fachanwalt fĂĽr Informations- und Technologierecht bei Taylor Wessing in Hamburg.

Beitrag per E-Mail empfehlen

Auf LinkedIn teilen

Seite drucken