Knowledge Hub
Datenschutz

Großunternehmen & DSGVO: Warum Betroffenenrechte dort regelmäßig scheitern

Verfasst von
Max Hortmann
Lesezeit:
Diesen Beitrag teilen

DSGVO-Probleme in Großunternehmen: Strukturelle Risiken, Fragmentierung und die Grenzen interner Compliance-Systeme

I. Einleitung: Die besondere Herausforderung in komplexen Organisationsstrukturen

Großunternehmen stehen im Datenschutz vor besonderen Herausforderungen. Je umfangreicher die interne Struktur, je stärker die Fragmentierung der Verantwortlichkeiten, desto schwieriger wird es, die Anforderungen der DSGVO konsistent umzusetzen. Anders als kleine Organisationen, die nur wenige Systeme und überschaubare Kommunikationswege nutzen, arbeiten Großunternehmen regelmäßig mit zahlreichen Abteilungen, heterogenen IT-Systemen, externen Dienstleistern und komplexen Datenflüssen.

Daraus ergeben sich systemische Risiken: Die Bearbeitung von Betroffenenrechten verläuft uneinheitlich, Datenbestände sind verteilt, Verantwortlichkeiten verschieben sich und technische oder organisatorische Fehlstellen bleiben lange unentdeckt. Die Rechtsprechung zeigt, dass gerade große Unternehmen häufig gegen Art. 5, 12, 24, 25 und 30 DSGVO verstoßen — nicht aus bösem Willen, sondern aufgrund struktureller Defizite. Der EuGH (C-340/21) betont, dass Verantwortliche nachweisen müssen, dass sie über funktionierende Systeme verfügen. Das FG Berlin-Brandenburg und das LG Wuppertal sehen in strukturellen Mängeln regelmäßig eigenständige Verstöße.

Die DSGVO verlangt jedoch vollständige Transparenz und Kontrolle. Komplexe Organisationen müssen daher besonders hohe Standards erfüllen.

II. Rechtlicher Rahmen: Art. 5, 12, 24, 25 und 30 DSGVO

1. Art. 5 DSGVO: Die Prinzipien als übergreifende Leitlinien

Großunternehmen müssen alle Grundsätze einhalten:

  • Rechtmäßigkeit,
  • Verarbeitung nach Treu und Glauben,
  • Transparenz,
  • Datenminimierung,
  • Richtigkeit,
  • Speicherbegrenzung,
  • Integrität und Vertraulichkeit
  • sowie Rechenschaftspflicht.

Die praktische Erfahrung zeigt, dass gerade die Prinzipien „Transparenz“, „Datenminimierung“ und „Rechenschaftspflicht“ in großen Strukturen am häufigsten verletzt werden.

2. Art. 12 DSGVO: Bearbeitung von Betroffenenrechten

Großunternehmen haben oft keine zentralisierten Prozesse zur Bearbeitung von Auskunfts- oder Löschanträgen. Die DSGVO verlangt jedoch:

  • unverzügliche Bearbeitung,
  • feste Monatsfrist,
  • Erleichterung der Rechte,
  • klare Verantwortlichkeiten.

Das OLG Düsseldorf betonte in seiner Entscheidung (I-16 W 93/23), dass die Monatsfrist strikt ist und organisatorische Versäumnisse nicht entschuldigen.

3. Art. 24 DSGVO: Organisationsverantwortung

Art. 24 DSGVO verpflichtet Verantwortliche, Strukturen zu etablieren, die eine DSGVO-konforme Verarbeitung gewährleisten. Das LG Wuppertal stellte klar, dass systemische Defizite eigenständige Verstöße darstellen.

4. Art. 25 DSGVO: Privacy by Design

Großunternehmen müssen Datenschutz systemisch integrieren. Der EuGH betont, dass technisch-organisatorische Maßnahmen so gestaltet sein müssen, dass Datenschutz automatisiert gewährleistet ist.

5. Art. 30 DSGVO: Verzeichnis der Verarbeitungstätigkeiten

In großen Organisationen sind Verzeichnisse oft unvollständig, veraltet oder nicht mit realen Datenflüssen synchronisiert. Finanzgerichte wie das Thüringer FG und das FG Berlin-Brandenburg haben betont, dass ein unvollständiges Verzeichnis ein Verstoß gegen die DSGVO ist.

III. Typische Fehlstrukturen in Großunternehmen

1. Fragmentierte Datenlandschaften

Großunternehmen nutzen meist:

  • verschiedene Softwarelösungen,
  • dezentrale Systeme,
  • getrennte Datenbanken,
  • länderspezifische Subsysteme,
  • interne Schatten-IT.

Dies führt zu Dateninseln, die schlecht dokumentiert und schwer steuerbar sind. Die Folge sind unvollständige Auskünfte und fehlende Löschprozesse.

2. Abteilungsgrenzen und Silostrukturen

Fachbereiche arbeiten unabhängig voneinander, ohne dass ein zentraler Überblick über alle Verarbeitungsvorgänge existiert. Die DSGVO verlangt jedoch jederzeitigen Gesamtüberblick. Fehlen Schnittstellen zwischen Legal, Compliance, IT, HR und operativen Bereichen, entstehen Lücken.

3. Unklare Zuständigkeiten

Oft werden Betroffenenrechte nicht zentral, sondern abteilungsweise bearbeitet. Das führt zu:

  • Verzögerungen,
  • widersprüchlichen Antworten,
  • unvollständigen Auskünften.

Art. 12 DSGVO verlangt eine klare interne Zuordnung und feste Zuständigkeiten.

4. Mangelnde Protokollierung

Protokolle sind für große Organisationen essenziell:

  • Zugriffslogs,
  • Änderungsprotokolle,
  • Systemprotokolle,
  • Dokumentation von Übermittlungen.

Fehlen solche Logs, kann ein Unternehmen seinen Pflichten nach Art. 15, Art. 30 oder Art. 32 nicht nachkommen. Das FG Berlin-Brandenburg betont, dass fehlende Dokumentation selbst ein Verstoß ist.

5. Fehlende Risikoanalysen

Die DSGVO verlangt laufende Risikoanalysen.
In komplexen Strukturen werden Risiken jedoch selten geprüft, weil sie:

  • zu technisch wirken,
  • zu viele Beteiligte verlangen,
  • oder nie vollständig abgeschlossen werden.

Dadurch entstehen konkrete Risiken in der Verarbeitung.

6. Unzureichende Schulung und Governance

In großen Organisationen werden Befugnisse weitergegeben, ohne dass alle Mitarbeitenden ausreichend geschult sind. Das LG Wuppertal weist darauf hin, dass fehlende Schulung ein Organisationsmangel ist.

IV. Dogmatische Bewertung: Die besondere Verantwortung großer Organisationen

1. Höhere Anforderungen aufgrund der Komplexität

Der Risikobasiertheit der DSGVO zufolge müssen die Maßnahmen mit dem Risiko und Umfang der Verarbeitung wachsen. Je größer die Struktur, desto strenger die Anforderungen. Große Organisationen haben daher weit höhere Pflichten als kleine Verantwortliche.

2. Nachweispflicht und interne Steuerbarkeit

Der EuGH (C-340/21) stellt klar, dass Unternehmen die Funktionsfähigkeit ihrer Strukturen jederzeit nachweisen müssen. In komplexen Systemen wird dieser Nachweis umso schwieriger, je mehr Abteilungen und Systeme beteiligt sind.

3. Fehlende Übersicht als Verstoß gegen die Rechenschaftspflicht

Wenn ein Unternehmen nicht in der Lage ist, eigene Datenströme zu überblicken, verletzt es Art. 5 Abs. 2 DSGVO.
Das FG Berlin-Brandenburg bestätigt, dass fehlende Übersichtlichkeit ein Beweis für mangelhafte Organisation ist.

4. Technische Fehlkonfigurationen als Indikator

Das LG Wuppertal erkennt technische Fehlkonfigurationen — etwa fehlerhafte E-Mail-Systeme oder unklare Log-Strukturen — als typischen Ausdruck fehlender Privacy-by-Design-Maßnahmen.

V. Folgen für Betroffene

Fehlstrukturen in Großunternehmen führen dazu, dass Betroffene:

  • unvollständige Auskünfte erhalten,
  • längere Wartezeiten haben,
  • unklare oder widersprüchliche Informationen bekommen,
  • Löschansprüche nicht durchsetzen können,
  • Unklarheit über Datenverarbeitungen behalten.

Gerichte wie das LG Leipzig, LG Bonn und OLG Frankfurt erkennen an, dass diese Situation einen immateriellen Schaden darstellen kann.

„Abstrakte digitale Grafik zur DSGVO-Compliance, die moderne Datenverarbeitung, IT-Sicherheit und Datenschutzstrukturen in Unternehmen visualisiert.“
„Futuristische Darstellung von Datenschutz, Datenfluss und IT-Sicherheitsarchitektur im Kontext der DSGVO und moderner Compliance-Prozesse.“

VI. Folgen für Verantwortliche: Haftung, Bußgelder und Betriebsauswirkungen

1. Bußgelder aufgrund systemischer Fehler

Aufsichtsbehörden bewerten strukturelle Defizite strenger als Einzelfehler.
Großunternehmen haben erhöhte Anforderungen und damit höhere Bußgeldrisiken.

2. Schadensersatz nach Art. 82 DSGVO

Gerichte erkennen systemische Defizite als Grundlage eines immateriellen Schadens an.
Der Schaden liegt insbesondere im Kontrollverlust, der durch strukturelle Intransparenz entsteht.

3. Reputationsrisiken

Großunternehmen stehen im Mittelpunkt öffentlicher Wahrnehmung.
Fehlende Compliance führt zu erheblichen Reputationsschäden.

4. Betriebsinterne Auswirkungen

Organisationsfehler verursachen:

  • ineffiziente Prozesse,
  • unnötige Kosten,
  • Fehlentscheidungen,
  • Risiken durch Schatten-IT.

VII. Anforderungen an wirksame Datenschutzstrukturen in Großorganisationen

Großunternehmen benötigen strukturierte Systeme, darunter:

  1. Zentrale Governance-Strukturen
    mit klarer Zuständigkeitsverteilung.
  2. Einheitliche Bearbeitungssysteme für Betroffenenrechte
    z. B. zentrale Postfächer, Ticketsysteme, standardisierte Abläufe.
  3. Vollständige Dokumentation
    einschließlich aktueller Verzeichnisse und nachvollziehbarer Logs.
  4. Regelmäßige Risikoanalysen und Audits
    intern und extern.
  5. Technische Interoperabilität
    Vermeidung von Schatten-IT und parallelen Systemlandschaften.
  6. Verstärkte Schulung und interne Leitlinien
    verpflichtend, wiederkehrend und dokumentiert.
  7. Privacy by Design & Default
    Integration datenschutzrechtlicher Anforderungen in alle Systeme.

VIII. Handlungsempfehlungen für Betroffene

Betroffene, die im Kontakt mit großen Unternehmen auf strukturelle Probleme stoßen, können:

  • Auskunft nach Art. 15 DSGVO anfordern,
  • die Benennung konkreter Empfänger verlangen,
  • ergänzende Transparenz fordern,
  • sich an die Aufsichtsbehörde wenden,
  • Schadensersatzansprüche prüfen lassen.

Großorganisationen müssen ihre Strukturen offenlegen können. Jede Intransparenz ist ein Hinweis auf mögliche Verstöße.

IX. Schlussbetrachtung

Datenschutz in Großunternehmen ist besonders anspruchsvoll. Die DSGVO verlangt vollständige Transparenz, funktionierende Strukturen und nachweisbare Compliance. Fragmentierung, Silos, fehlende Logs und unklare Zuständigkeiten führen schnell zu erheblichen Verstößen. Die Rechtsprechung macht deutlich, dass systemische Defizite streng bewertet werden. Großunternehmen tragen eine gesteigerte Verantwortung — technisch, organisatorisch und rechtlich.

CTA

Wenn Sie prüfen möchten, ob ein Großunternehmen seine datenschutzrechtlichen Pflichten erfüllt oder ob strukturelle Defizite zu Verstößen geführt haben, stehe ich Ihnen für eine vertrauliche und strukturierte Beratung zur Verfügung.
Telefon: 0160 9955 5525
Kontakt: https://www.hortmannlaw.com/contact

Wenn Sie weitere Hintergrundanalysen zum Datenschutz suchen, finden Sie hier die wichtigsten vertiefenden Beiträge:

  1. DSGVO-Auskunft im Spamfilter
    https://www.hortmannlaw.com/articles/dsgvo-auskunft-spamfilter
  2. Unvollständige Auskünfte nach Art. 15 DSGVO
    https://www.hortmannlaw.com/articles/art15-dsgvo-unvollstaendige-auskunft
  3. Rückfragen als Datenfalle
    https://www.hortmannlaw.com/articles/rueckfrage-datenfalle-dsgvo
  4. Social-Media-Überwachung durch Unternehmen
    https://www.hortmannlaw.com/articles/social-media-ueberwachung-dsgvo
  5. Organisationsfehler nach Art. 24 DSGVO
    https://www.hortmannlaw.com/articles/art24-dsgvo-organisationsfehler
  6. Privacy by Design – warum es in der Praxis scheitert
    https://www.hortmannlaw.com/articles/privacy-by-design-scheitert
  7. Zutritts- und Sicherheitsdaten als DSGVO-Risiko
    https://www.hortmannlaw.com/articles/zutrittsdaten-dsgvo-sicherheitsbereiche
  8. E-Mail-Systeme als Schwachstelle der DSGVO-Compliance
    https://www.hortmannlaw.com/articles/email-systeme-dsgvo-risiko
  9. Einwilligung unter Druck – unzulässige Kopplungen
    https://www.hortmannlaw.com/articles/dsgvo-einwilligung-druck
  10. Schadensersatz bei Kontrollverlust nach Art. 82 DSGVO
    https://www.hortmannlaw.com/articles/art82-dsgvo-kontrollverlust
  11. Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO
    https://www.hortmannlaw.com/articles/rechenschaftspflicht-dsgvo
  12. Kameraüberwachung im Garten – Datenschutz unter Nachbarn
    https://www.hortmannlaw.com/articles/kamerauberwachung-im-garten---datenschutz-unter-nachbarn
  13. Privatsphäre-Schutz für Hochvermögende
    https://www.hortmannlaw.com/articles/privatsphaere-schutz-hochvermoegende
  14. Art. 9 DSGVO & digitale Intimsphäre
    https://www.hortmannlaw.com/articles/datenschutz-intimsphaere-art9-dsgvo-digitale-sexarbeit
  15. DeFi, Krypto-Betrug & Datenschutz
    https://www.hortmannlaw.com/articles/defi-compliance-datenschutz-krypto-betrug-anwalt
  16. Crypto.com & DSGVO-Pflichten
    https://www.hortmannlaw.com/articles/dsgvo-crypto-com-pflichten-krypto-betrug
  17. Datenlecks im Krypto-Betrug
    https://www.hortmannlaw.com/articles/datenlecks-krypto-betrug
  18. Verfahrens- & Systemdaten im Netz
    https://www.hortmannlaw.com/articles/gesundheits-verfahrensdaten-im-netz
  19. Love Scam & Datenmissbrauch
    https://www.hortmannlaw.com/articles/love-scam-datenmissbrauch-opfer-anwalt
  20. Datenschutzpflichten von Krypto-Plattformen
    https://www.hortmannlaw.com/articles/die-rolle-von-krypto-plattformen-im-zusammenhang-mit-der-DSGVO
  21. KI, Datenschutz & Strafrecht – Verantwortungsmatrix
    https://www.hortmannlaw.com/articles/ki-haftung-datenschutz-und-strafrecht-die-neue-verantwortungsmatrix
  22. Was eine Datenschutzverletzung wirklich kostet
    https://www.hortmannlaw.com/articles/was-kostet-eigentlich-eine-datenschutzverletzung

Max Hortmann
Rechtsanwalt
,
Hortmann Law

Suchen Sie dringend diskrete, juristische Unterstüzung?

Wir helfen Ihnen gerne persönlich weiter – schildern Sie uns Ihr Anliegen und wir finden gemeinsam eine Lösung.

Kontakt aufnehmen
Verwandte Artikel

Das könnte Sie auch interessieren

Entdecken Sie weitere Beiträge zu aktuellen Themen rund um Digitalrecht, Cybercrime, Datenschutz, KI und Steuerrecht. Unsere verwandten Artikel geben Ihnen zusätzliche Einblicke und vertiefende Analysen.

Datenschutz
11/13/2025
November 13, 2025

Wenn Unternehmen Betroffene verantwortlich machen: Rechenschaftspflicht erklärt

Viele Verantwortliche schieben Betroffenen ihre eigenen Fehler zu – ein klarer Verstoß gegen Art. 5 Abs. 2 DSGVO.

Artikel lesen
Datenschutz

Schadensersatz nach Art. 82 DSGVO: Kontrollverlust als immaterieller Schaden

Moderne Rechtsprechung: Wann Kontrollverlust genügt, warum keine „Bagatelle“ nötig ist, und wie Betroffene Ansprüche sichern.

Artikel lesen
Datenschutz
11/13/2025
November 13, 2025

DSGVO-Einwilligung unter Druck: Unzulässige Kopplungen erkennen

Unternehmen setzen Betroffene oft unter faktischen Druck. Dieser Beitrag zeigt, wann eine Einwilligung nicht freiwillig ist.

Artikel lesen
Mehr anzeigen