Knowledge Hub
Datenschutz

DSGVO - Auskunftsrecht, Löschpflicht und Haftungsrisiken für Unternehmen

Verfasst von
Max Hortmann
03 Oct 2025
Lesezeit:
10 Minuten
Diesen Beitrag teilen

DSGVO - Auskunftsrecht, Löschpflicht und Haftungsrisiken für Unternehmen

Die Datenschutz-Grundverordnung (DSGVO) auferlegt Unternehmen klare Pflichten im Umgang mit personenbezogenen Daten. Im Mittelpunkt stehen Betroffenenrechte wie Auskunft und Löschung – flankiert von Haftungsrisiken durch Bußgelder und Schadensersatzansprüche. Dieser Beitrag gibt einen kompakten Überblick über die zentralen Punkte: Auskunftsrecht, Löschpflicht und Datenportabilität sowie Auftragsverarbeitung, internationale Datentransfers, Beschäftigtendatenschutz und behördliche Sanktionen.

Auskunftsrechte nach Art. 15 DSGVO

Welche Informationen Unternehmen herausgeben müssen

Nach Art. 15 DSGVO haben Betroffene einen klaren Anspruch auf Transparenz. Ein Unternehmen muss auf Anfrage offenlegen:

  • Verarbeitungszwecke – warum die Daten erhoben und genutzt werden.
  • Kategorien der Daten – etwa Kontaktdaten, Vertragsdaten oder Nutzungsdaten.
  • Empfänger – interne Stellen und externe Partner, auch in Drittstaaten.
  • Speicherdauer – konkrete Zeiträume oder Kriterien zur Festlegung.
  • Rechte der Betroffenen – z. B. auf Berichtigung, Löschung oder Einschränkung.
  • Beschwerderecht – Hinweis auf die zuständige Datenschutzaufsichtsbehörde.

Fristen und Abläufe

Unternehmen sind verpflichtet, innerhalb eines Monats eine vollständige und verständliche Auskunft zu erteilen. In Ausnahmefällen darf die Frist um zwei Monate verlängert werden – dies muss jedoch begründet und dem Anfragenden rechtzeitig mitgeteilt werden.

Bedeutung für die Praxis

  • Prozesse einrichten: Unternehmen brauchen klare Workflows, wie Anfragen erfasst, geprüft und beantwortet werden.
  • Dokumentation: Ohne ein sauberes Verzeichnis der Verarbeitungstätigkeiten ist eine Auskunft kaum möglich.
  • Risiko bei Versäumnis: Wer die Auskunft gar nicht oder verspätet erteilt, riskiert Beschwerden bei der Behörde oder sogar eine Klage auf Herausgabe der Informationen.

Fazit: Das Auskunftsrecht ist einer der wichtigsten Hebel für Betroffene – und einer der größten Stolpersteine für Unternehmen. Wer hier rechtzeitig Strukturen schafft, senkt sein Haftungsrisiko erheblich.

Recht auf Löschung („Recht auf Vergessenwerden“) und Datenportabilität

Wann ein Anspruch auf Löschung besteht

Nach Art. 17 DSGVO haben Betroffene das Recht, ihre personenbezogenen Daten löschen zu lassen. Typische Fälle sind:

  • die Daten sind für den ursprünglichen Zweck nicht mehr erforderlich,
  • eine erteilte Einwilligung wird widerrufen und es gibt keine andere Rechtsgrundlage,
  • die Verarbeitung war unrechtmäßig,
  • eine gesetzliche Pflicht zur Löschung besteht.

Grenzen des Löschungsrechts

Nicht immer muss ein Unternehmen Daten sofort entfernen. Ausnahmen gelten insbesondere, wenn:

  • gesetzliche Aufbewahrungsfristen einzuhalten sind (z. B. steuer- oder handelsrechtlich),
  • die Daten für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt werden,
  • ein übergeordnetes öffentliches Interesse besteht, etwa bei Archivierung oder Informationsfreiheit.

Recht auf Datenportabilität

Mit Art. 20 DSGVO können Betroffene verlangen, dass ihre Daten:

  • in einem strukturierten, gängigen und maschinenlesbaren Format (z. B. CSV, XML) bereitgestellt werden,
  • auf Wunsch direkt an einen anderen Anbieter übertragen werden.

Das stärkt die Kontrolle der Nutzer und fördert den Wettbewerb – zum Beispiel, wenn ein Kunde von einem Streaming-Dienst oder einer Bank zu einem anderen Anbieter wechseln möchte.

Praxis für Unternehmen

  • Löschkonzepte erstellen: mit klaren Fristen und Verantwortlichkeiten.
  • Technische Lösungen bereitstellen: Exportfunktionen oder APIs für die Datenportabilität.
  • Dokumentation: Nachweis führen, warum Daten gelöscht oder ausnahmsweise behalten wurden.

Fazit: Das Löschungsrecht und die Datenportabilität sind zentrale Instrumente für Nutzerrechte. Unternehmen sollten Prozesse einrichten, um Anfragen schnell und rechtssicher zu erfüllen – andernfalls drohen Beschwerden und Bußgelder.

Haftung und Schadensersatz bei DSGVO-Verstößen (Art. 82 DSGVO)

Anspruch auf Schadensersatz

Nach Art. 82 DSGVO kann jede betroffene Person Schadensersatz verlangen, wenn ihr durch einen Verstoß gegen die DSGVO ein Schaden entstanden ist – unabhängig davon, ob dieser materiell (z. B. finanzieller Verlust) oder immateriell(z. B. Stress, Kontrollverlust, Reputationsschäden) ist.

Typische Fälle aus der Praxis

  • Datenpannen durch Hackerangriffe auf Kundendaten.
  • Fehlgeleitete E-Mails mit sensiblen Informationen.
  • Unberechtigte Datenverarbeitung, z. B. Nutzung ohne Einwilligung.

Gerichte haben betont: Der DSGVO-Schadensersatz ist umfassend – nationale Begrenzungen greifen nicht. Das bedeutet, dass selbst kleinere Verstöße kostspielig sein können.

Folgen für Unternehmen

  • Doppeltes Risiko: Neben Bußgeldern durch Behörden drohen zivilrechtliche Klagen.
  • Reputationsschäden: Öffentlich bekannt gewordene Datenverstöße beschädigen das Vertrauen von Kunden und Partnern.
  • Handlungsdruck: Unternehmen müssen Vorfälle schnell erkennen, melden und beheben.

Auftragsverarbeitung und internationale Datentransfers

Auftragsverarbeitung (Art. 28 DSGVO)

  • Unternehmen, die externe Dienstleister einsetzen (z. B. Cloud-Anbieter, Lohnabrechnung, Marketing-Tools), müssen zwingend einen Auftragsverarbeitungsvertrag (AVV) abschließen.
  • Der AVV regelt Pflichten, Verantwortlichkeiten und Mindeststandards, insbesondere:
    • Zweck der Verarbeitung,
    • technische und organisatorische Maßnahmen (TOMs),
    • Regeln für Unterauftragsvergabe,
    • Löschung oder Rückgabe der Daten nach Vertragsende.
  • Ohne AVV drohen Bußgelder und Rechtsunsicherheit bei Datenpannen.

Internationale Datentransfers

Besonders sensibel sind Übermittlungen in Drittstaaten außerhalb der EU/EWR.

  • Schrems II (2020): Das Privacy Shield wurde für ungültig erklärt – Datentransfers in die USA sind nur noch eingeschränkt möglich.
  • Aktuelle Lösungen:
    • EU-Standardvertragsklauseln (SCCs) – mit zusätzlicher Risikoanalyse (Transfer Impact Assessment).
    • Data Privacy Framework (2023): Gilt für zertifizierte US-Unternehmen mit Angemessenheitsbeschluss.
  • Zusatzmaßnahmen: Verschlüsselung, Pseudonymisierung oder strenge Zugriffsbeschränkungen können notwendig sein.

Praxisempfehlung

  • Dienstleister prüfen: Wer verarbeitet welche Daten, wo und auf welcher Rechtsgrundlage?
  • Verträge dokumentieren: AVV, SCCs und Transferbewertungen aktuell halten.
  • Risiken abwägen: Transfers sollten nur erfolgen, wenn Rechte der Betroffenen hinreichend geschützt sind.

Fazit: Haftung, Schadensersatz, Auftragsverarbeitung und internationale Datenflüsse sind eng verzahnt. Unternehmen, die hier keine klaren Prozesse haben, laufen Gefahr, sowohl finanziell als auch reputationsmäßig erheblich belastet zu werden.

Max Hortmann
Rechtsanwalt
,
Hortmann Law

Nicht genau das gefunden, wonach Sie suchen?

Wir helfen Ihnen gerne persönlich weiter – schildern Sie uns Ihr Anliegen und wir finden gemeinsam eine Lösung.

Kontakt aufnehmen
Verwandte Artikel

Das könnte Sie auch interessieren

Lorem ipsum dolor sit amet, consectetur adipiscing elit.

Datenschutz
10/17/2025
October 17, 2025

Was kostet eigentlich eine Datenschutzverletzung?

Was kostet eine Datenschutzverletzung? Warum 100 € kein Maßstab sind – EuGH und BGH klären auf

Artikel lesen
Datenschutz
10/3/2025
October 3, 2025

IT- und Plattformrecht - Plattformhaftung, IT-Sicherheit und Nutzerinhalte

Artikel lesen
Datenschutz
10/3/2025
October 3, 2025

Digitales Urheberrecht: Upload-Filter, NFTs und KI-generierte Inhalte

Artikel lesen
Mehr anzeigen