Unvollständige Auskünfte nach Art. 15 DSGVO: Rechtliche Grenzen, systemische Fehler und die Bedeutung für die Selbstbestimmung

I. Einführung: Die Struktur des Auskunftsrechts und seine zentrale Bedeutung

Das Auskunftsrecht nach Art. 15 DSGVO ist das Fundament jedes Betroffenenrechts und das zentrale Transparenzelement des europäischen Datenschutzrechts. Es ermöglicht einer betroffenen Person, die Verarbeitung der eigenen Daten nachzuvollziehen und die rechtliche Kontrolle darüber zu behalten. Eine unvollständige Auskunft oder eine Auskunft, die nur Teilinformationen enthält, führt unmittelbar zu einem Zustand der Unsicherheit, der die Ausübung weiterer Rechte unmöglich macht. Die Rechtsprechung, insbesondere Entscheidungen wie die des FG Berlin-Brandenburg, des Thüringer Finanzgerichts, des FG Schleswig-Holstein sowie der allgemeinen Zivilgerichte (LG Leipzig, LG Bonn, OLG Frankfurt), bestätigen, dass Transparenz und Vollständigkeit nicht fakultativ, sondern wesentliche Voraussetzungen für die Rechtmäßigkeit der Datenverarbeitung sind.

Die DSGVO erkennt an, dass Menschen erst dann frei und selbstbestimmt handeln können, wenn sie wissen, welche personenbezogenen Daten über sie existieren, wie sie verarbeitet werden, zu welchen Zwecken sie gespeichert werden und wer darauf zugreifen kann. Sobald ein Unternehmen diese Transparenz nicht herstellt, entsteht ein Machtgefälle, das mit der Menschenwürde und dem Grundsatz der informationellen Selbstbestimmung unvereinbar ist. Die unvollständige Auskunft ist daher nicht nur eine formale Pflichtverletzung, sondern ein tiefgreifender Eingriff in das Grundrecht des Betroffenen.

II. Rechtlicher Rahmen: Transparenz, Vollständigkeit und Kopiepflicht

Art. 15 Abs. 1 DSGVO bestimmt, welche Inhalte eine vollständige datenschutzrechtliche Auskunft enthalten muss. Dazu zählen insbesondere die Verarbeitungszwecke, die Kategorien personenbezogener Daten, die Empfängerinnen und Empfänger, die Speicherdauer, die Herkunft der Daten sowie sämtliche Betroffenenrechte. Zudem muss gemäß Art. 15 Abs. 3 DSGVO eine Kopie der verarbeiteten personenbezogenen Daten bereitgestellt werden.

Die finanzgerichtliche Rechtsprechung hat die Reichweite der Auskunftspflicht im Einzelnen konkretisiert. Das FG Berlin-Brandenburg betont, dass die Auskunft dann unvollständig ist, wenn der Verantwortliche nicht alle relevanten Kategorien personenbezogener Daten oder nicht alle vorhandenen Empfänger benennt. Das Thüringer Finanzgericht führt aus, dass die Auskunft auch dann unvollständig bleibt, wenn sie nur abstrakte Angaben enthält oder wenn wesentliche Kernelemente fehlen. Das FG Schleswig-Holstein bestätigt, dass die Kopie im Sinne des Art. 15 Abs. 3 DSGVO nicht auf einzelne Dokumente bezogen sein muss, aber sämtliche personenbezogene Daten vollständig und nachvollziehbar enthalten muss.

Der EuGH hat in mehreren Entscheidungen (u. a. C-340/21; C-687/21) hervorgehoben, dass eine transparente und vollständige Auskunft notwendig ist, um dem Betroffenen effektive Kontrolle über seine Daten zu ermöglichen. Fehlende Angaben sind nicht nur unvollständig, sondern rechtswidrig, da sie die Ausübung sämtlicher weiteren Rechte unzumutbar erschweren. Die Rechtsprechung der Arbeits- und Zivilgerichte folgt dieser Linie. Auskunftsverstöße werden dort konsequent als eigenständige Verletzung der DSGVO qualifiziert, unabhängig davon, ob weitere Verstöße vorliegen.

III. Systemische Fehlerquellen: Wie unvollständige Auskünfte entstehen

Unvollständige Auskünfte entstehen in der Praxis selten dadurch, dass ein Unternehmen Informationen bewusst zurückhält. Häufig sind es systemische, organisatorische oder strukturelle Defizite, die dazu führen, dass die Auskunft nur unvollständig erteilt wird. Ein wesentliches Problem ist die Fragmentierung der Datenbestände innerhalb von Unternehmen. Daten sind in verschiedenen Systemen, Abteilungen und Fachbereichen verteilt, ohne dass eine einheitliche Schnittstelle oder ein konsistentes Monitoring existiert. Dadurch kommt es häufig vor, dass nur die Daten ausgegeben werden, die in zentralen Systemen unmittelbar verfügbar sind, während Rand- oder Fachbereichsdaten vollständig fehlen.

Ein weiterer häufiger Fehler liegt in der fehlenden Dokumentation der Empfänger. Art. 15 Abs. 1 lit. c DSGVO verlangt die Benennung konkreter Empfänger, soweit diese bekannt sind. Dennoch geben viele Unternehmen lediglich abstrakte Kategorien an. Diese Praxis widerspricht der Rechtsprechung. So hat das Thüringer Finanzgericht klargestellt, dass konkrete Empfänger zwingend zu benennen sind, sobald sie existieren. Abstrakte Kategorien sind nur dann zulässig, wenn der Verantwortliche tatsächlich keine spezifischen Empfänger kennt.

Gleiches gilt für die Herkunft der Daten. Art. 15 Abs. 1 lit. g DSGVO verpflichtet den Verantwortlichen, die konkrete Quelle zu benennen, sofern die Daten nicht beim Betroffenen selbst erhoben wurden. Auch hier zeigt sich in der Praxis häufig eine Lücke: Unternehmen führen häufig nur generische Erklärungen an oder lassen die Herkunft vollständig offen. Dies widerspricht der gefestigten Rechtsauffassung, wonach die Herkunft ein Kernelement der Transparenzpflicht darstellt.

IV. Die rechtliche Schwere unvollständiger Auskünfte im Lichte des Transparenzgebots

Die rechtliche Bewertung unvollständiger Auskünfte erfordert die Verbindung zwischen der DSGVO und der grundrechtlichen Dogmatik. Das Bundesverfassungsgericht hat in verschiedenen Entscheidungen betont, dass Eingriffe in die Verfügungsgewalt über personenbezogene Daten nur dann legitim sind, wenn der Betroffene in der Lage ist, die Datenverarbeitung zu überblicken. Das Fehlen einer vollständigen Auskunft führt unmittelbar zu einer Lage, in der der Betroffene keine Kenntnis darüber hat, welche Daten verarbeitet werden oder welche Risiken bestehen. Dieser Zustand ist mit der Menschenwürde nicht vereinbar, da ein Mensch ohne diese Transparenz nicht frei entscheiden kann.

Der immaterielle Schaden im Sinne des Art. 82 DSGVO wird nach der Rechtsprechung europäischer und nationaler Gerichte bereits durch diesen Kontrollverlust begründet. Das LG Leipzig, das LG Bonn, das LG Osnabrück und das Brandenburgische OLG betonen, dass der Betroffene nicht darlegen muss, dass ein Missbrauch seiner Daten eingetreten ist. Es genügt, dass er aufgrund der unvollständigen Auskunft nicht nachvollziehen kann, welche Daten existieren und wie sie verarbeitet werden.

Die Modernität der Rechtsprechung wird insbesondere in der Entscheidung des EuGH (C-687/21) deutlich. Dort wird ausgeführt, dass eine begründete Befürchtung über mögliche Verarbeitungsvorgänge ausreichen kann, um einen immateriellen Schaden anzunehmen. Art. 82 DSGVO ist nicht als Sanktionsnorm, sondern als Ausgleichsnorm konzipiert. Der Schaden entsteht durch den Verlust an Selbstbestimmung und durch die Unmöglichkeit, die eigenen Rechte wahrzunehmen.

V. Folgen und Risiken für Verantwortliche

Ein Unternehmen, das unvollständige Auskünfte erteilt, riskiert mehrere Ebenen von Konsequenzen. Die Aufsichtsbehörden stufen unvollständige Auskünfte als Verletzung des Art. 15 DSGVO ein und verhängen regelmäßig Bußgelder. Die Rechtsprechung bestätigt, dass Unternehmen keine Erleichterungen oder Teilbefreiungen beanspruchen können. Die Verpflichtung ist umfassend.

Die zivilgerichtlichen Folgen betreffen insbesondere Art. 82 DSGVO. Nach der gefestigten Rechtsprechung (OLG Frankfurt, LG Leipzig, LG Bonn, LG Osnabrück) genügt bereits der Kontrollverlust als Schadenstatbestand. Der Betroffene muss nicht darlegen, welche konkrete Folge der Schaden hatte. Die Unsicherheit selbst ist ausreichend. Diese Rechtsprechung wurde durch europäische Leitentscheidungen gestützt. Die Diskussion über Bagatellschäden ist hinfällig, da der EuGH feststellt, dass der immaterielle Schaden keine Erheblichkeitsschwelle kennt.

Auch organisationsrechtliche Konsequenzen bestehen. Art. 24 DSGVO verlangt ein umfassendes Datenschutzmanagementsystem. Ein Unternehmen, das unvollständige Auskünfte erteilt, beweist faktisch, dass dieses System Defizite aufweist. Diese Defizite können eine eigenständige Pflichtverletzung darstellen, wie das LG Wuppertal und das FG Berlin-Brandenburg betont haben.

VI. Anforderungen an Vollständigkeit aus technischer und organisatorischer Sicht

Die Vollständigkeit der Auskunft setzt voraus, dass Unternehmen über interne Strukturen verfügen, die Daten aus allen relevanten Systemen zusammenführen können. Ein Unternehmen, das nicht weiß, wo welche Daten liegen, kann keine vollständige Auskunft erteilen. Deshalb fordert Art. 24 DSGVO eine systematische Erfassung, Protokollierung und Überwachung der Datenverarbeitung. Ein Verantwortlicher muss in der Lage sein, sämtliche Verarbeitungsvorgänge lückenlos nachzuvollziehen.

Die finanzgerichtliche Rechtsprechung bestätigt, dass unvollständige Auskünfte regelmäßig aus fehlender Dokumentation resultieren. Aus grundrechtlicher Perspektive ist dies hochproblematisch, da mangelnde Dokumentation bedeutet, dass der Verantwortliche selbst keinen Überblick hat. Der Betroffene befindet sich dadurch in einer noch ausgeprägteren asymmetrischen Lage.

VII. Die Bedeutung des Schutzes der Menschenwürde in der Auskunftssituation

Die DSGVO ist nicht nur technisches Verwaltungsrecht. Sie ist zugleich Ausdruck eines menschenwürdebezogenen Schutzes. Der Betroffene muss über seine Daten verfügen können. Er muss wissen, was verarbeitet wird. Die Rechtsprechung des Bundesverfassungsgerichts zur informationellen Selbstbestimmung hilft, den Kern des Art. 15 DSGVO zu verstehen: Ein Mensch, der keinen Zugang zu Informationen über sich hat, kann sich nicht frei entscheiden und verliert einen Teil seiner Autonomie.

Unvollständige Auskünfte erzeugen diesen Zustand der Unsicherheit. Dies gilt insbesondere in Situationen, in denen Menschen ohnehin strukturell vulnerabel sind. Die DSGVO schützt vor solchen Machtasymmetrien, indem sie Transparenz zwingend und vollständig fordert. Der Verantwortliche trägt die Last der Organisation, nicht der Betroffene.

VIII. Handlungsempfehlungen für Betroffene

Betroffene sollten die Auskunft dokumentieren und nach Ablauf der Monatsfrist eine Erinnerung senden. Bleibt auch diese unbeantwortet oder unvollständig, können sie sich an die Aufsichtsbehörde wenden. Parallel ist die Geltendmachung von Schadensersatz nach Art. 82 DSGVO möglich, da der Kontrollverlust selbst ein ersatzfähiger immaterieller Schaden ist. Die Rechtsprechung ist hier eindeutig. Eine vollständige Aufarbeitung ist ohne juristische Unterstützung häufig nicht möglich, weshalb eine Beratung sinnvoll sein kann.

IX. Fazit

Unvollständige Auskünfte nach Art. 15 DSGVO stehen im Zentrum der modernen Datenschutzdiskussion. Sie sind nicht nur technische oder organisatorische Fehler, sondern wirken sich unmittelbar auf die Selbstbestimmung des Betroffenen aus. Der Zustand der Unsicherheit, der durch unvollständige Informationen entsteht, ist ein Eingriff in die Menschenwürde und verletzt die Kernfunktionen der DSGVO. Verantwortliche müssen Strukturen schaffen, die lückenlose Transparenz gewährleisten. Die Rechtsordnung bewertet entsprechende Defizite streng und anerkennt die Belastung des Betroffenen unabhängig davon, ob ein Missbrauch eingetreten ist.

CTA

Wenn Sie rechtlich klären lassen möchten, welche Rechte Ihnen im Datenschutzrecht zustehen oder ob eine Auskunft den gesetzlichen Anforderungen entspricht, stehe ich Ihnen für eine vertrauliche und strukturierte Beratung zur Verfügung.
Telefon: 0160 9955 5525
Kontakt: https://www.hortmannlaw.com/contact

‍

Wenn Sie weitere Hintergrundanalysen zum Datenschutz suchen, finden Sie hier die wichtigsten vertiefenden Beiträge:

1. DSGVO-Auskunft im Spamfilter
   ​https://www.hortmannlaw.com/articles/dsgvo-auskunft-spamfilter
2. Rückfragen als Datenfalle
   ​https://www.hortmannlaw.com/articles/rueckfrage-datenfalle-dsgvo
3. Social-Media-Überwachung durch Unternehmen
   ​https://www.hortmannlaw.com/articles/social-media-ueberwachung-dsgvo
4. Organisationsfehler nach Art. 24 DSGVO
   ​https://www.hortmannlaw.com/articles/art24-dsgvo-organisationsfehler
5. Privacy by Design – warum es in der Praxis scheitert
   ​https://www.hortmannlaw.com/articles/privacy-by-design-scheitert
6. DSGVO-Probleme in Großunternehmen
   ​https://www.hortmannlaw.com/articles/dsgvo-grossunternehmen-probleme
7. Zutritts- und Sicherheitsdaten als DSGVO-Risiko
   ​https://www.hortmannlaw.com/articles/zutrittsdaten-dsgvo-sicherheitsbereiche
8. E-Mail-Systeme als Schwachstelle der DSGVO-Compliance
   ​https://www.hortmannlaw.com/articles/email-systeme-dsgvo-risiko
9. Einwilligung unter Druck – unzulässige Kopplungen
   ​https://www.hortmannlaw.com/articles/dsgvo-einwilligung-druck
10. Schadensersatz bei Kontrollverlust nach Art. 82 DSGVO
    ​https://www.hortmannlaw.com/articles/art82-dsgvo-kontrollverlust
11. Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO
    ​https://www.hortmannlaw.com/articles/rechenschaftspflicht-dsgvo
12. Kameraüberwachung im Garten – Datenschutz unter Nachbarn
    ​https://www.hortmannlaw.com/articles/kamerauberwachung-im-garten---datenschutz-unter-nachbarn
13. Privatsphäre-Schutz für Hochvermögende
    ​https://www.hortmannlaw.com/articles/privatsphaere-schutz-hochvermoegende
14. Art. 9 DSGVO & digitale Intimsphäre
    ​https://www.hortmannlaw.com/articles/datenschutz-intimsphaere-art9-dsgvo-digitale-sexarbeit
15. DeFi, Krypto-Betrug & Datenschutz
    ​https://www.hortmannlaw.com/articles/defi-compliance-datenschutz-krypto-betrug-anwalt
16. Crypto.com & DSGVO-Pflichten
    ​https://www.hortmannlaw.com/articles/dsgvo-crypto-com-pflichten-krypto-betrug
17. Datenlecks im Krypto-Betrug
    ​https://www.hortmannlaw.com/articles/datenlecks-krypto-betrug
18. Verfahrens- & Systemdaten im Netz
    ​https://www.hortmannlaw.com/articles/gesundheits-verfahrensdaten-im-netz
19. Love Scam & Datenmissbrauch
    ​https://www.hortmannlaw.com/articles/love-scam-datenmissbrauch-opfer-anwalt
20. Datenschutzpflichten von Krypto-Plattformen
    ​https://www.hortmannlaw.com/articles/die-rolle-von-krypto-plattformen-im-zusammenhang-mit-der-DSGVO
21. KI, Datenschutz & Strafrecht – Verantwortungsmatrix
    ​https://www.hortmannlaw.com/articles/ki-haftung-datenschutz-und-strafrecht-die-neue-verantwortungsmatrix
22. Was eine Datenschutzverletzung wirklich kostet
    ​https://www.hortmannlaw.com/articles/was-kostet-eigentlich-eine-datenschutzverletzung

‍