DSGVO-Probleme in Großunternehmen: Strukturelle Risiken, Fragmentierung und die Grenzen interner Compliance-Systeme

I. Einleitung: Die besondere Herausforderung in komplexen Organisationsstrukturen

Großunternehmen stehen im Datenschutz vor besonderen Herausforderungen. Je umfangreicher die interne Struktur, je stärker die Fragmentierung der Verantwortlichkeiten, desto schwieriger wird es, die Anforderungen der DSGVO konsistent umzusetzen. Anders als kleine Organisationen, die nur wenige Systeme und überschaubare Kommunikationswege nutzen, arbeiten Großunternehmen regelmäßig mit zahlreichen Abteilungen, heterogenen IT-Systemen, externen Dienstleistern und komplexen Datenflüssen.

Daraus ergeben sich systemische Risiken: Die Bearbeitung von Betroffenenrechten verläuft uneinheitlich, Datenbestände sind verteilt, Verantwortlichkeiten verschieben sich und technische oder organisatorische Fehlstellen bleiben lange unentdeckt. Die Rechtsprechung zeigt, dass gerade große Unternehmen häufig gegen Art. 5, 12, 24, 25 und 30 DSGVO verstoßen — nicht aus bösem Willen, sondern aufgrund struktureller Defizite. Der EuGH (C-340/21) betont, dass Verantwortliche nachweisen müssen, dass sie über funktionierende Systeme verfügen. Das FG Berlin-Brandenburg und das LG Wuppertal sehen in strukturellen Mängeln regelmäßig eigenständige Verstöße.

Die DSGVO verlangt jedoch vollständige Transparenz und Kontrolle. Komplexe Organisationen müssen daher besonders hohe Standards erfüllen.

II. Rechtlicher Rahmen: Art. 5, 12, 24, 25 und 30 DSGVO

1. Art. 5 DSGVO: Die Prinzipien als übergreifende Leitlinien

Großunternehmen müssen alle Grundsätze einhalten:

• Rechtmäßigkeit,
• Verarbeitung nach Treu und Glauben,
• Transparenz,
• Datenminimierung,
• Richtigkeit,
• Speicherbegrenzung,
• Integrität und Vertraulichkeit
• sowie Rechenschaftspflicht.

Die praktische Erfahrung zeigt, dass gerade die Prinzipien „Transparenz“, „Datenminimierung“ und „Rechenschaftspflicht“ in großen Strukturen am häufigsten verletzt werden.

2. Art. 12 DSGVO: Bearbeitung von Betroffenenrechten

Großunternehmen haben oft keine zentralisierten Prozesse zur Bearbeitung von Auskunfts- oder Löschanträgen. Die DSGVO verlangt jedoch:

• unverzügliche Bearbeitung,
• feste Monatsfrist,
• Erleichterung der Rechte,
• klare Verantwortlichkeiten.

Das OLG Düsseldorf betonte in seiner Entscheidung (I-16 W 93/23), dass die Monatsfrist strikt ist und organisatorische Versäumnisse nicht entschuldigen.

3. Art. 24 DSGVO: Organisationsverantwortung

Art. 24 DSGVO verpflichtet Verantwortliche, Strukturen zu etablieren, die eine DSGVO-konforme Verarbeitung gewährleisten. Das LG Wuppertal stellte klar, dass systemische Defizite eigenständige Verstöße darstellen.

4. Art. 25 DSGVO: Privacy by Design

Großunternehmen müssen Datenschutz systemisch integrieren. Der EuGH betont, dass technisch-organisatorische Maßnahmen so gestaltet sein müssen, dass Datenschutz automatisiert gewährleistet ist.

5. Art. 30 DSGVO: Verzeichnis der Verarbeitungstätigkeiten

In großen Organisationen sind Verzeichnisse oft unvollständig, veraltet oder nicht mit realen Datenflüssen synchronisiert. Finanzgerichte wie das Thüringer FG und das FG Berlin-Brandenburg haben betont, dass ein unvollständiges Verzeichnis ein Verstoß gegen die DSGVO ist.

III. Typische Fehlstrukturen in Großunternehmen

1. Fragmentierte Datenlandschaften

Großunternehmen nutzen meist:

• verschiedene Softwarelösungen,
• dezentrale Systeme,
• getrennte Datenbanken,
• länderspezifische Subsysteme,
• interne Schatten-IT.

Dies führt zu Dateninseln, die schlecht dokumentiert und schwer steuerbar sind. Die Folge sind unvollständige Auskünfte und fehlende Löschprozesse.

2. Abteilungsgrenzen und Silostrukturen

Fachbereiche arbeiten unabhängig voneinander, ohne dass ein zentraler Überblick über alle Verarbeitungsvorgänge existiert. Die DSGVO verlangt jedoch jederzeitigen Gesamtüberblick. Fehlen Schnittstellen zwischen Legal, Compliance, IT, HR und operativen Bereichen, entstehen Lücken.

3. Unklare Zuständigkeiten

Oft werden Betroffenenrechte nicht zentral, sondern abteilungsweise bearbeitet. Das führt zu:

• Verzögerungen,
• widersprüchlichen Antworten,
• unvollständigen Auskünften.

Art. 12 DSGVO verlangt eine klare interne Zuordnung und feste Zuständigkeiten.

4. Mangelnde Protokollierung

Protokolle sind für große Organisationen essenziell:

• Zugriffslogs,
• Änderungsprotokolle,
• Systemprotokolle,
• Dokumentation von Übermittlungen.

Fehlen solche Logs, kann ein Unternehmen seinen Pflichten nach Art. 15, Art. 30 oder Art. 32 nicht nachkommen. Das FG Berlin-Brandenburg betont, dass fehlende Dokumentation selbst ein Verstoß ist.

5. Fehlende Risikoanalysen

Die DSGVO verlangt laufende Risikoanalysen.
In komplexen Strukturen werden Risiken jedoch selten geprüft, weil sie:

• zu technisch wirken,
• zu viele Beteiligte verlangen,
• oder nie vollständig abgeschlossen werden.

Dadurch entstehen konkrete Risiken in der Verarbeitung.

6. Unzureichende Schulung und Governance

In großen Organisationen werden Befugnisse weitergegeben, ohne dass alle Mitarbeitenden ausreichend geschult sind. Das LG Wuppertal weist darauf hin, dass fehlende Schulung ein Organisationsmangel ist.

IV. Dogmatische Bewertung: Die besondere Verantwortung großer Organisationen

1. Höhere Anforderungen aufgrund der Komplexität

Der Risikobasiertheit der DSGVO zufolge müssen die Maßnahmen mit dem Risiko und Umfang der Verarbeitung wachsen. Je größer die Struktur, desto strenger die Anforderungen. Große Organisationen haben daher weit höhere Pflichten als kleine Verantwortliche.

2. Nachweispflicht und interne Steuerbarkeit

Der EuGH (C-340/21) stellt klar, dass Unternehmen die Funktionsfähigkeit ihrer Strukturen jederzeit nachweisen müssen. In komplexen Systemen wird dieser Nachweis umso schwieriger, je mehr Abteilungen und Systeme beteiligt sind.

3. Fehlende Übersicht als Verstoß gegen die Rechenschaftspflicht

Wenn ein Unternehmen nicht in der Lage ist, eigene Datenströme zu überblicken, verletzt es Art. 5 Abs. 2 DSGVO.
Das FG Berlin-Brandenburg bestätigt, dass fehlende Übersichtlichkeit ein Beweis für mangelhafte Organisation ist.

4. Technische Fehlkonfigurationen als Indikator

Das LG Wuppertal erkennt technische Fehlkonfigurationen — etwa fehlerhafte E-Mail-Systeme oder unklare Log-Strukturen — als typischen Ausdruck fehlender Privacy-by-Design-Maßnahmen.

V. Folgen für Betroffene

Fehlstrukturen in Großunternehmen führen dazu, dass Betroffene:

• unvollständige Auskünfte erhalten,
• längere Wartezeiten haben,
• unklare oder widersprüchliche Informationen bekommen,
• Löschansprüche nicht durchsetzen können,
• Unklarheit über Datenverarbeitungen behalten.

Gerichte wie das LG Leipzig, LG Bonn und OLG Frankfurt erkennen an, dass diese Situation einen immateriellen Schaden darstellen kann.

VI. Folgen für Verantwortliche: Haftung, Bußgelder und Betriebsauswirkungen

1. Bußgelder aufgrund systemischer Fehler

Aufsichtsbehörden bewerten strukturelle Defizite strenger als Einzelfehler.
Großunternehmen haben erhöhte Anforderungen und damit höhere Bußgeldrisiken.

2. Schadensersatz nach Art. 82 DSGVO

Gerichte erkennen systemische Defizite als Grundlage eines immateriellen Schadens an.
Der Schaden liegt insbesondere im Kontrollverlust, der durch strukturelle Intransparenz entsteht.

3. Reputationsrisiken

Großunternehmen stehen im Mittelpunkt öffentlicher Wahrnehmung.
Fehlende Compliance führt zu erheblichen Reputationsschäden.

4. Betriebsinterne Auswirkungen

Organisationsfehler verursachen:

• ineffiziente Prozesse,
• unnötige Kosten,
• Fehlentscheidungen,
• Risiken durch Schatten-IT.

VII. Anforderungen an wirksame Datenschutzstrukturen in Großorganisationen

Großunternehmen benötigen strukturierte Systeme, darunter:

1. Zentrale Governance-Strukturen
   mit klarer Zuständigkeitsverteilung.
2. Einheitliche Bearbeitungssysteme für Betroffenenrechte
   z. B. zentrale Postfächer, Ticketsysteme, standardisierte Abläufe.
3. Vollständige Dokumentation
   einschließlich aktueller Verzeichnisse und nachvollziehbarer Logs.
4. Regelmäßige Risikoanalysen und Audits
   intern und extern.
5. Technische Interoperabilität
   Vermeidung von Schatten-IT und parallelen Systemlandschaften.
6. Verstärkte Schulung und interne Leitlinien
   verpflichtend, wiederkehrend und dokumentiert.
7. Privacy by Design & Default
   Integration datenschutzrechtlicher Anforderungen in alle Systeme.

VIII. Handlungsempfehlungen für Betroffene

Betroffene, die im Kontakt mit großen Unternehmen auf strukturelle Probleme stoßen, können:

• Auskunft nach Art. 15 DSGVO anfordern,
• die Benennung konkreter Empfänger verlangen,
• ergänzende Transparenz fordern,
• sich an die Aufsichtsbehörde wenden,
• Schadensersatzansprüche prüfen lassen.

Großorganisationen müssen ihre Strukturen offenlegen können. Jede Intransparenz ist ein Hinweis auf mögliche Verstöße.

IX. Schlussbetrachtung

Datenschutz in Großunternehmen ist besonders anspruchsvoll. Die DSGVO verlangt vollständige Transparenz, funktionierende Strukturen und nachweisbare Compliance. Fragmentierung, Silos, fehlende Logs und unklare Zuständigkeiten führen schnell zu erheblichen Verstößen. Die Rechtsprechung macht deutlich, dass systemische Defizite streng bewertet werden. Großunternehmen tragen eine gesteigerte Verantwortung — technisch, organisatorisch und rechtlich.

CTA

Wenn Sie prüfen möchten, ob ein Großunternehmen seine datenschutzrechtlichen Pflichten erfüllt oder ob strukturelle Defizite zu Verstößen geführt haben, stehe ich Ihnen für eine vertrauliche und strukturierte Beratung zur Verfügung.
Telefon: 0160 9955 5525
Kontakt: https://www.hortmannlaw.com/contact

‍

Wenn Sie weitere Hintergrundanalysen zum Datenschutz suchen, finden Sie hier die wichtigsten vertiefenden Beiträge:

1. DSGVO-Auskunft im Spamfilter
   ​https://www.hortmannlaw.com/articles/dsgvo-auskunft-spamfilter
2. Unvollständige Auskünfte nach Art. 15 DSGVO
   ​https://www.hortmannlaw.com/articles/art15-dsgvo-unvollstaendige-auskunft
3. Rückfragen als Datenfalle
   ​https://www.hortmannlaw.com/articles/rueckfrage-datenfalle-dsgvo
4. Social-Media-Überwachung durch Unternehmen
   ​https://www.hortmannlaw.com/articles/social-media-ueberwachung-dsgvo
5. Organisationsfehler nach Art. 24 DSGVO
   ​https://www.hortmannlaw.com/articles/art24-dsgvo-organisationsfehler
6. Privacy by Design – warum es in der Praxis scheitert
   ​https://www.hortmannlaw.com/articles/privacy-by-design-scheitert
7. Zutritts- und Sicherheitsdaten als DSGVO-Risiko
   ​https://www.hortmannlaw.com/articles/zutrittsdaten-dsgvo-sicherheitsbereiche
8. E-Mail-Systeme als Schwachstelle der DSGVO-Compliance
   ​https://www.hortmannlaw.com/articles/email-systeme-dsgvo-risiko
9. Einwilligung unter Druck – unzulässige Kopplungen
   ​https://www.hortmannlaw.com/articles/dsgvo-einwilligung-druck
10. Schadensersatz bei Kontrollverlust nach Art. 82 DSGVO
    ​https://www.hortmannlaw.com/articles/art82-dsgvo-kontrollverlust
11. Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO
    ​https://www.hortmannlaw.com/articles/rechenschaftspflicht-dsgvo
12. Kameraüberwachung im Garten – Datenschutz unter Nachbarn
    ​https://www.hortmannlaw.com/articles/kamerauberwachung-im-garten---datenschutz-unter-nachbarn
13. Privatsphäre-Schutz für Hochvermögende
    ​https://www.hortmannlaw.com/articles/privatsphaere-schutz-hochvermoegende
14. Art. 9 DSGVO & digitale Intimsphäre
    ​https://www.hortmannlaw.com/articles/datenschutz-intimsphaere-art9-dsgvo-digitale-sexarbeit
15. DeFi, Krypto-Betrug & Datenschutz
    ​https://www.hortmannlaw.com/articles/defi-compliance-datenschutz-krypto-betrug-anwalt
16. Crypto.com & DSGVO-Pflichten
    ​https://www.hortmannlaw.com/articles/dsgvo-crypto-com-pflichten-krypto-betrug
17. Datenlecks im Krypto-Betrug
    ​https://www.hortmannlaw.com/articles/datenlecks-krypto-betrug
18. Verfahrens- & Systemdaten im Netz
    ​https://www.hortmannlaw.com/articles/gesundheits-verfahrensdaten-im-netz
19. Love Scam & Datenmissbrauch
    ​https://www.hortmannlaw.com/articles/love-scam-datenmissbrauch-opfer-anwalt
20. Datenschutzpflichten von Krypto-Plattformen
    ​https://www.hortmannlaw.com/articles/die-rolle-von-krypto-plattformen-im-zusammenhang-mit-der-DSGVO
21. KI, Datenschutz & Strafrecht – Verantwortungsmatrix
    ​https://www.hortmannlaw.com/articles/ki-haftung-datenschutz-und-strafrecht-die-neue-verantwortungsmatrix
22. Was eine Datenschutzverletzung wirklich kostet
    ​https://www.hortmannlaw.com/articles/was-kostet-eigentlich-eine-datenschutzverletzung

‍