DSGVO-Auskunft im Spamfilter: Strukturelles Organisationsversagen im Lichte von Art. 12, 15, 24 und 32 DSGVO

I. Einführung in die dogmatische Bedeutung des Auskunftsanspruchs

Das Auskunftsrecht nach Art. 15 DSGVO ist die Grundlage für die gesamte Architektur der Betroffenenrechte. Ohne Transparenz ist keine Kontrolle über personenbezogene Daten möglich. Die Rechtsprechung auf europäischer wie nationaler Ebene betont, dass der Betroffene in die Lage versetzt werden muss, über die eigenen Informationen Selbstbestimmung auszuüben. Der EuGH hat in seinen Entscheidungen (C-340/21; C-60/22; C-61/22) klargestellt, dass jegliche Informationsverweigerung oder -verzögerung nicht als Bagatelle einzuordnen ist, sondern als Eingriff in das unionsrechtlich geschützte Transparenzgebot.

Wird ein Auskunftsersuchen nicht beantwortet oder „verschwindet“ im Spamfilter eines Unternehmens, entsteht keine bloße technische Panne. Es entsteht eine strukturelle Gefährdungslage, in der der Betroffene weder die Verarbeitung nachvollziehen noch weitere Rechte aus Art. 16 bis Art. 22 DSGVO ausüben kann. Die Unsicherheit darüber, ob personenbezogene Daten existieren, verarbeitet oder weitergegeben wurden, ist nach der Rechtsprechung (LG Leipzig, LG Osnabrück, OLG Frankfurt, Brandenburgisches OLG, LG Bonn) ein eigenständiger immaterieller Schaden, der sich bereits im Kontrollverlust manifestiert.

Aus grundrechtlicher Perspektive berührt eine ausbleibende Auskunft nicht nur die informationelle Selbstbestimmung, sondern in ihrer Intensität auch die Menschenwürde, weil der Betroffene in einen Zustand der Ohnmacht gegenüber einer datenverarbeitenden Stelle versetzt wird. Insbesondere das Bundesverfassungsgericht (1 BvR 2388/03; 1 BvR 1160/19) weist darauf hin, dass ein Mensch die Möglichkeit behalten muss, einschätzen zu können, „wo er mit seinen Daten steht“, um frei handeln zu können.

II. Normativer Rahmen: Art. 12, Art. 15 und Art. 24 DSGVO

Art. 12 DSGVO fordert eine unverzügliche, transparente, fristgerechte und für den Betroffenen leicht zugängliche Bearbeitung des Auskunftsersuchens. Der Verantwortliche hat sämtliche organisatorischen und technischen Maßnahmen bereitzuhalten, die sicherstellen, dass ein Auskunftsverlangen zuverlässig ankommt und bearbeitet wird. Der EuGH (C-340/21) betont ausdrücklich die Pflicht zur strukturierten, nachweisbaren Organisation der Betroffenenrechte. Art. 12 Abs. 3 DSGVO enthält eine feste Monatsfrist, deren Verletzung automatisch eine Pflichtverletzung darstellt, wie das OLG Düsseldorf mit Beschluss vom 2.12.2024 (I-16 W 93/23) bestätigt hat.

Art. 15 DSGVO definiert sodann jeden einzelnen Inhalt der Auskunft, u. a.:

• Verarbeitungszwecke
• Kategorien personenbezogener Daten
• Empfänger
• Speicherdauer
• Herkunft der Daten
• Bestehen von Betroffenenrechten
• Bereitstellung einer „Kopie“ im Sinne der Vorschrift

Die finanzgerichtliche Rechtsprechung (FG Berlin-Brandenburg, Thüringer FG, FG Schleswig-Holstein) bekräftigt, dass eine Auskunft unvollständig ist, sobald einer dieser Kernelemente fehlt.

Art. 24 DSGVO verpflichtet Verantwortliche, geeignete technische und organisatorische Maßnahmen (TOM) so einzurichten, dass alle Pflichten eingehalten werden können. Das LG Wuppertal hat hierzu festgestellt, dass Organisationsversagen selbständig einen Datenschutzverstoß darstellt. Der EuGH wiederum betont die Pflicht zu einem funktionierenden Datenschutzmanagementsystem, inklusive Eingangskontrollen, strukturierten Prozessen und technischer Überwachung (C-340/21).

Ein im Spamfilter „hängengebliebenes“ Auskunftsersuchen ist daher nicht ein Fehler des Betroffenen oder „Unglück“, sondern ein organisationsrechtliches Fehlverhalten, das Art. 24 DSGVO unmittelbar verletzt.

III. Typische strukturelle Fehler: Der Spamfilter als Symptom

Die Praxis zeigt, dass das Verschwinden eines Auskunftsersuchens im Spamfilter nur die sichtbarste Spitze von systemischen Defiziten ist. Häufig finden sich folgende Strukturen:

Unternehmen haben keine redundante Eingangskontrolle. Die Prüfung des Spamordners erfolgt zufällig, wenn überhaupt. Funktionspostfächer existieren ohne Eskalationsmechanismen. Es fehlt ein Ticket- oder Vorgangssystem, das Betroffenenanfragen automatisch erfasst. In Konzernen verteilen sich Zuständigkeiten auf mehrere Fachbereiche, sodass Verantwortlichkeiten unklar bleiben. Die DSGVO verlangt jedoch ein gesteuertes und überprüfbares Verfahren. Interne Fehler, technische Konfigurationen oder Abteilungszuschreibungen entlasten den Verantwortlichen nicht. Dies entspricht auch der dogmatischen Linie der Entscheidung des ArbG Düsseldorf, die ausdrücklich betont, dass interne Fehlleitungen oder Organisationprobleme nicht zu Lasten des Betroffenen gehen dürfen.

Die Kette der Versäumnisse zeigt: Betroffenenrechte werden dem Zufall überlassen. Der Betroffene kann nicht einschätzen, ob sein Anliegen jemals bearbeitet wird. Diese Unsicherheit bildet die Grundlage jenes Kontrollverlusts, den Gerichte wie das LG Leipzig oder das LG Osnabrück als immateriellen Schaden anerkennen.

IV. Rechtliche und grundrechtliche Bewertung

Die Untätigkeit des Verantwortlichen, sei sie absichtlich oder unabsichtlich, ist ein rechtswidriger Zustand. Die Rechtsprechung betont in Übereinstimmung mit Art. 82 DSGVO, dass der Schaden bereits mit der fehlenden Transparenz beginnt. Nach der Entscheidung des EuGH (C-687/21) genügt bereits die begründete Furcht vor fehlender Kontrolle oder Missbrauch, um einen immateriellen Schaden anzunehmen. Gerichte wie das OLG Frankfurt und das Brandenburgische OLG bestätigen diese Linie: Der Schaden liegt im Zustand der Unsicherheit selbst.

Aus grundrechtlicher Perspektive verstärkt sich die Bewertung: Wenn ein Mensch nicht weiß, was mit seinen Daten geschieht, wird er objektiv in einem Zustand gehalten, der seine Autonomie beeinträchtigt. Das Bundesverfassungsgericht hat in mehreren Entscheidungen ausgeführt, dass Intransparenz in zentralen Lebensbereichen geeignet ist, das Persönlichkeitsrecht zu beschneiden und die Menschenwürde zu tangieren. Die DSGVO fungiert somit als Grundrechtsschutzinstrument.

Der organisatorische Fehler ist daher nicht bloß ein Verstoß gegen eine sekundäre Ordnungspflicht. Er berührt den Kern der Persönlichkeit. Das macht die datenschutzrechtliche Beurteilung so gravierend und erklärt die hohe Gewichtung im Rahmen des Art. 82 DSGVO.

V. Folgen für Verantwortliche

Unternehmen, die Betroffenenrechte nicht ordnungsgemäß bearbeiten, setzen sich erheblichen Rechtsrisiken aus. Da Art. 12 Abs. 3 DSGVO eine feste Monatsfrist normiert, tritt der Verzug ohne Mahnung ein (OLG Düsseldorf). Die Aufsichtsbehörden bewerten strukturelle Defizite regelmäßig als bußgeldrelevante Organisationspflichtverletzung im Sinne des Art. 83 DSGVO. Dabei wird nicht der Einzelfall, sondern das System bewertet. Ein Unternehmen, das Anfragen nicht zuverlässig entgegennimmt, gilt als nicht DSGVO-fähig.

Der immaterielle Schaden nach Art. 82 DSGVO kann zudem bereits dadurch entstehen, dass der Betroffene über Wochen oder Monate nicht weiß, was mit seinen Daten geschieht. Verschiedene Gerichte, darunter das LG Bonn oder das LG Wuppertal, haben betont, dass subjektive Belastungen auch dann ersatzfähig sind, wenn sie sich in Form von Verunsicherung oder Kontrollverlust äußern.

VI. Präventive Anforderungen an Unternehmen

Aus rechtlicher Sicht müssen Unternehmen Systeme implementieren, die sicherstellen, dass Auskunftsersuchen niemals verloren gehen. Art. 24 DSGVO sieht hierfür ein strukturiertes Datenschutzmanagementsystem vor. Dazu gehören nach herrschender Literatur und Rechtsprechung:

Eingangskontrollen, redundante Kommunikationskanäle, regelmäßige Überprüfung der technischen Filtermechanismen, automatisierte Fristenüberwachung, Eskalationsmodelle und umfassende Protokollierung. Das FG Berlin-Brandenburg hat darauf hingewiesen, dass Dokumentation ein integraler Bestandteil der Rechenschaftspflicht ist. Der Verantwortliche trägt die volle Darlegungs- und Beweislast für die Einhaltung der Anforderungen (EuGH C-340/21).

VII. Rechte der Betroffenen aus menschenwürdebezogener Perspektive

Betroffene müssen nicht erklären, warum sie Auskunft wünschen. Sie müssen nicht begründen, ob ein Datenschutzverstoß vorliegt. Das Recht besteht unabhängig davon, wie ein Unternehmen intern organisiert ist. Der Betroffene hat Anspruch darauf, Transparenz über die Verwendung seiner personenbezogenen Daten zu erhalten, um selbstbestimmt handeln zu können. Die normative Funktion des Art. 15 DSGVO besteht darin, Machtasymmetrien auszugleichen und Betroffene vor Kontrollverlust zu schützen. Die DSGVO ist damit ein menschenwürdebezogenes Schutzinstrument.

VIII. Handlungsempfehlungen für Betroffene

Betroffene sollten ihre Anfragen dokumentieren und nach Ablauf der Monatsfrist gemäß Art. 12 Abs. 3 DSGVO eine Erinnerung senden. Bleibt auch diese unbeantwortet, können sie eine Beschwerde bei der Aufsichtsbehörde einreichen. Auch die gerichtliche Geltendmachung eines immateriellen Schadensersatzanspruchs nach Art. 82 DSGVO kommt in Betracht. Da der Schaden bereits in der Unsicherheit selbst liegen kann, bedarf es keiner weitergehenden Darlegung konkreter Nachteile. Die Rechtsprechung hat klargestellt, dass die Belastung durch den Kontrollverlust ausreicht, sofern sie nachvollziehbar und plausibel gemacht wird.

IX. Schlussbetrachtung

Ein im Spamfilter verlorenes Auskunftsersuchen ist kein Zufall und kein technisches Randphänomen. Es zeigt strukturelles Organisationsversagen und verletzt den Kern der Transparenzpflichten der DSGVO. Aus menschenwürdebezogener Sicht wird der Betroffene in einen Zustand versetzt, der ihn daran hindert, frei über seine Daten zu entscheiden. Dies widerspricht dem Zweck der DSGVO, die die Selbstbestimmungsfähigkeit des Einzelnen schützen soll. Verantwortliche müssen deshalb Strukturen schaffen, die sicherstellen, dass Auskunftsersuchen niemals vom Zufall abhängen. Die Rechtsordnung bewertet solche Versäumnisse zu Recht streng.

CTA

Wenn Sie rechtlich klären lassen möchten, welche Rechte Ihnen im Datenschutzrecht zustehen oder ob die Bearbeitung Ihres Auskunftsersuchens den gesetzlichen Anforderungen entspricht, stehe ich Ihnen für eine vertrauliche und strukturierte Erstberatung zur Verfügung.
Telefon: 0160 9955 5525
Kontakt: https://www.hortmannlaw.com/contact

‍

Wenn Sie weitere Hintergrundanalysen zum Datenschutz suchen, finden Sie hier die wichtigsten vertiefenden Beiträge:

1. Unvollständige Auskünfte nach Art. 15 DSGVO
   ​https://www.hortmannlaw.com/articles/art15-dsgvo-unvollstaendige-auskunft
2. Rückfragen als Datenfalle
   ​https://www.hortmannlaw.com/articles/rueckfrage-datenfalle-dsgvo
3. Social-Media-Überwachung durch Unternehmen
   ​https://www.hortmannlaw.com/articles/social-media-ueberwachung-dsgvo
4. Organisationsfehler nach Art. 24 DSGVO
   ​https://www.hortmannlaw.com/articles/art24-dsgvo-organisationsfehler
5. Privacy by Design – warum es in der Praxis scheitert
   ​https://www.hortmannlaw.com/articles/privacy-by-design-scheitert
6. DSGVO-Probleme in Großunternehmen
   ​https://www.hortmannlaw.com/articles/dsgvo-grossunternehmen-probleme
7. Zutritts- und Sicherheitsdaten als DSGVO-Risiko
   ​https://www.hortmannlaw.com/articles/zutrittsdaten-dsgvo-sicherheitsbereiche
8. E-Mail-Systeme als Schwachstelle der DSGVO-Compliance
   ​https://www.hortmannlaw.com/articles/email-systeme-dsgvo-risiko
9. Einwilligung unter Druck – unzulässige Kopplungen
   ​https://www.hortmannlaw.com/articles/dsgvo-einwilligung-druck
10. Schadensersatz bei Kontrollverlust nach Art. 82 DSGVO
    ​https://www.hortmannlaw.com/articles/art82-dsgvo-kontrollverlust
11. Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO
    ​https://www.hortmannlaw.com/articles/rechenschaftspflicht-dsgvo
12. Kameraüberwachung im Garten – Datenschutz unter Nachbarn
    ​https://www.hortmannlaw.com/articles/kamerauberwachung-im-garten---datenschutz-unter-nachbarn
13. Privatsphäre-Schutz für Hochvermögende
    ​https://www.hortmannlaw.com/articles/privatsphaere-schutz-hochvermoegende
14. Art. 9 DSGVO & digitale Intimsphäre
    ​https://www.hortmannlaw.com/articles/datenschutz-intimsphaere-art9-dsgvo-digitale-sexarbeit
15. DeFi, Krypto-Betrug & Datenschutz
    ​https://www.hortmannlaw.com/articles/defi-compliance-datenschutz-krypto-betrug-anwalt
16. Crypto.com & DSGVO-Pflichten
    ​https://www.hortmannlaw.com/articles/dsgvo-crypto-com-pflichten-krypto-betrug
17. Datenlecks im Krypto-Betrug
    ​https://www.hortmannlaw.com/articles/datenlecks-krypto-betrug
18. Verfahrens- & Systemdaten im Netz
    ​https://www.hortmannlaw.com/articles/gesundheits-verfahrensdaten-im-netz
19. Love Scam & Datenmissbrauch
    ​https://www.hortmannlaw.com/articles/love-scam-datenmissbrauch-opfer-anwalt
20. Datenschutzpflichten von Krypto-Plattformen
    ​https://www.hortmannlaw.com/articles/die-rolle-von-krypto-plattformen-im-zusammenhang-mit-der-DSGVO
21. KI, Datenschutz & Strafrecht – Verantwortungsmatrix
    ​https://www.hortmannlaw.com/articles/ki-haftung-datenschutz-und-strafrecht-die-neue-verantwortungsmatrix
22. Was eine Datenschutzverletzung wirklich kostet
    ​https://www.hortmannlaw.com/articles/was-kostet-eigentlich-eine-datenschutzverletzung

‍