Knowledge Hub
Datenschutz

Wenn Rückfragen zur Datenfalle werden: Unerlaubte Datenerhebung erkennen

Verfasst von
Max Hortmann
13 Nov 2025
Lesezeit:
Diesen Beitrag teilen

Rückfragen als Datenfalle: Rechtsdogmatik, Transparenzanforderungen und Grenzen zulässiger Datenerhebungen im Auskunftsverfahren

I. Einleitung: Rückfragen als unterschätztes Risiko im Auskunftsprozess

Rückfragen im Rahmen eines Auskunftsersuchens nach Art. 15 DSGVO werden in der Praxis häufig als unproblematische organisatorische Schritte verstanden. Tatsächlich stellen sie jedoch datenschutzrechtlich relevante Vorgänge dar, da bereits das Anfordern zusätzlicher Informationen eine Verarbeitung personenbezogener Daten im Sinne von Art. 4 Nr. 2 DSGVO ist. Die Rechtsprechung fasst diesen Begriff bewusst weit. Die Entscheidungen des EuGH (C-60/22, C-61/22) sowie der nationalen Gerichte betonen, dass selbst vermeintlich geringfügige oder administrative Eingriffe datenschutzrechtliche Erhebungen darstellen können.

Diese dogmatische Ausgangslage verdeutlicht, dass Rückfragen nicht als rein technische Kommunikation gewertet werden dürfen. Sie beeinflussen die Struktur des Auskunftsverfahrens, erweitern den Kreis der verarbeiteten Daten und bergen das Risiko, den Betroffenen in eine Lage zu bringen, in der er mehr preisgibt, als gesetzlich erforderlich ist. Der Verantwortliche muss bereits an dieser Stelle die Anforderungen an Transparenz, Datenminimierung und Rechtmäßigkeit erfüllen.

II. Rechtlicher Rahmen: Art. 4 Nr. 2, Art. 5, Art. 6 und Art. 7 DSGVO

1. Rückfragen als Verarbeitungstatbestand (Art. 4 Nr. 2 DSGVO)

Der Verarbeitungsbegriff der DSGVO umfasst jede Erhebung und jede Form des Abfragens personenbezogener Daten. Der EuGH hebt hervor, dass der Begriff funktional auszulegen ist und alle Handlungen erfasst, mit denen personenbezogene Informationen erlangt werden. Auch das OVG Hamburg und verschiedene Finanzgerichte bestätigen diese dogmatische Weite. Daraus folgt: Eine Rückfrage ist stets eine Erhebung neuer Daten.

2. Grundsätze der Verarbeitung (Art. 5 DSGVO)

Art. 5 DSGVO bildet den normativen Kern der Bewertung. Insbesondere folgende Grundsätze sind relevant:

  • Rechtmäßigkeit
  • Zweckbindung
  • Datenminimierung
  • Transparenz
  • Integrität und Vertraulichkeit

Der Verantwortliche darf Rückfragen nur stellen, wenn sie tatsächlich erforderlich sind, um das Auskunftsersuchen zu bearbeiten. Rückfragen, die lediglich der internen Orientierung oder organisatorischen Vereinfachung dienen, verstoßen gegen das Prinzip der Datenminimierung.

3. Rechtmäßigkeit der Rückfrage (Art. 6 DSGVO)

Da Rückfragen eine Verarbeitung darstellen, benötigen sie eine Rechtsgrundlage. Organisatorische Bequemlichkeit ist keine solche Grundlage. Der EuGH betont, dass Art. 6 Abs. 1 lit. f DSGVO nicht herangezogen werden kann, wenn mildere Mittel existieren. Die Rechtsprechung (u. a. LG Braunschweig) hält fest, dass die Notwendigkeit im Sinne der DSGVO streng auszulegen ist.

Eine Rückfrage ist nur dann rechtmäßig, wenn sie objektiv zur Bearbeitung des Auskunftsersuchens erforderlich ist.

4. Anforderungen an Freiwilligkeit (Art. 7 DSGVO)

Werden Rückfragen so formuliert, dass die Bearbeitung des Auskunftsanspruchs von zusätzlichen Angaben abhängig zu sein scheint, entsteht ein Spannungsverhältnis zur Freiwilligkeit. Die Rechtsprechung der Arbeitsgerichte (LAG Stuttgart, LAG Sachsen-Anhalt) bestätigt, dass Freiwilligkeit entfällt, wenn Betroffene faktisch keinen Ausweg sehen.

Die Rückfrage darf daher nicht als implizite Bedingung für die weitere Bearbeitung verstanden werden.

III. Typische Fehlstrukturen: Warum Rückfragen zu unzulässigen Erhebungen führen

In der Praxis sind fehlerhafte Rückfragen regelmäßig Ausdruck organisatorischer Defizite. Mehrere strukturelle Faktoren sind typisch:

1. Unklare interne Zuständigkeiten

In größeren Organisationen ist häufig unklar, wo ein Vorfall oder eine Datenverarbeitung stattgefunden hat. Der Verantwortliche versucht dann, durch Rückfragen Informationen zu erlangen, die er selbst bereitstellen müsste. Dies widerspricht der Rechenschaftspflicht.

2. Fehlende Dateninventare

Art. 30 DSGVO verlangt ein Verzeichnis der Verarbeitungstätigkeiten. Wenn dieses nicht vollständig ist, entstehen in der Praxis Rückfragen, weil Unternehmen ihre eigenen Datenflüsse nicht kennen.

3. Schwache technische Infrastruktur

Viele Verantwortliche verfügen nicht über Systeme, die Anfragen automatisiert und abteilungsübergreifend zuordnen können. Rückfragen werden zum Ersatz fehlender technischer Prozesse.

4. Mangelnde Schulung der Mitarbeitenden

Unzureichend geschulte Mitarbeitende erkennen nicht, dass Rückfragen datenschutzrechtlich regulierte Vorgänge sind und agieren aus administrativer Routine heraus.

Diese strukturellen Defizite führen zu Rückfragen, die den Zweck des Auskunftsanspruchs unterlaufen, indem sie Datenbestände vergrößern, die der Verantwortliche ohne Rechtsgrundlage erhebt.

„Futuristische Darstellung von Datenschutz, Datenfluss und IT-Sicherheitsarchitektur im Kontext der DSGVO und moderner Compliance-Prozesse.“
„Abstrakte digitale Grafik zur DSGVO-Compliance, die moderne Datenverarbeitung, IT-Sicherheit und Datenschutzstrukturen in Unternehmen visualisiert.“

IV. Dogmatische Bewertung: Die Rückfrage als Eingriff in die Transparenzstruktur

Die Rückfrage ist rechtlich nicht deswegen problematisch, weil sie Betroffene belastet, sondern weil sie die Transparenzstruktur der DSGVO verändert. Das Auskunftsverfahren ist so konzipiert, dass der Betroffene Klarheit über die Verarbeitung erhält. Wird er jedoch zur Preisgabe zusätzlicher Informationen aufgefordert, verschiebt sich die Rollenverteilung.

1. Rückfragen dürfen nicht zur Voraussetzung des Auskunftsrechts werden

Art. 12 Abs. 2 DSGVO verpflichtet Verantwortliche, die Ausübung der Rechte zu erleichtern. Rückfragen, die faktisch zu einer Bearbeitungsvoraussetzung werden, widersprechen dieser Pflicht. Dies wurde von nationalen Gerichten in der Bewertung der Bearbeitungspflichten mehrfach betont.

2. Rückfragen dürfen den Umfang der Datenverarbeitung nicht erweitern

Wenn durch Rückfragen neue Daten entstehen, die ohne Rechtsgrundlage erhoben wurden, liegt eine rechtswidrige Verarbeitung vor. Die Rechtsprechung (LG Baden-Baden; FG Berlin-Brandenburg) bestätigt, dass Erhebungen immer einer klaren Zweck- und Rechtsgrundlage bedürfen.

3. Rückfragen müssen nachweislich erforderlich sein

Der Verantwortliche trägt die Beweislast dafür, dass eine Rückfrage notwendig war. Dies folgt aus der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO.

V. Folgen unzulässiger Rückfragen für Betroffene

Unzulässige Rückfragen führen typischerweise zu folgenden Problemen:

  1. Informationsasymmetrie: Der Betroffene weiß nicht, ob sein Auskunftsrecht ohne weitere Angaben bearbeitet wird.
  2. Erweiterung der Datenverarbeitung: Rückfragen erzeugen zusätzliche personenbezogene Daten, deren Erhebung nicht gerechtfertigt sein kann.
  3. Erschwerung der Auskunft: Der eigentliche Zweck des Auskunftsrechts – Transparenz – wird verzerrt, da der Verantwortliche eigene Unsicherheiten auf die betroffene Person abwälzt.

Diese Folgen sind nicht primär emotional, sondern strukturell relevant. Sie beeinträchtigen die Funktionsfähigkeit des Auskunftsrechts selbst.

VI. Folgen für Verantwortliche: Haftung, Bußgelder und Organisationsverschulden

Unternehmen, die unzulässige Rückfragen stellen, riskieren mehrere Ebenen der Verantwortlichkeit.

1. Rechtswidrige Verarbeitung

Da Rückfragen Verarbeitungen darstellen, liegt bei fehlender Rechtsgrundlage ein Verstoß gegen Art. 6 DSGVO vor.

2. Verletzung der Organisationspflichten (Art. 24 DSGVO)

Wenn Rückfragen notwendig werden, weil interne Strukturen fehlen, stellt dies ein Organisationsverschulden dar. Die Rechtsprechung – unter anderem LG Wuppertal – hat mehrfach hervorgehoben, dass interne Strukturen Teil der gesetzlichen Pflichten sind.

3. Schadensersatz nach Art. 82 DSGVO

Gerichte wie LG Leipzig, LG Osnabrück oder OLG Frankfurt betonen, dass Störungen im Transparenzprozess den Tatbestand eines immateriellen Schadens erfüllen können. Dies gilt insbesondere für Fehlverhalten im Rahmen des Auskunftsrechts.

VII. Anforderungen an zulässige Rückfragen

Eine Rückfrage ist nur dann zulässig, wenn sie:

  • objektiv erforderlich ist,
  • keine zusätzlichen Daten über das notwendige Maß hinaus erhebt,
  • klar kommuniziert, warum sie gestellt wird,
  • keine missverständliche Erwartung einer Pflicht zur zusätzlichen Offenlegung erzeugt,
  • und nicht den Eindruck erweckt, dass ohne Antwort keine Auskunft erfolgt.

Der Verantwortliche muss diese Kriterien nachweislich erfüllen. Die Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) verlangt die vollständige dokumentierte Begründung.

VIII. Handlungsempfehlungen für Betroffene

Betroffene sollten Rückfragen kritisch prüfen und hinterfragen, ob sie für das Auskunftsverfahren zwingend erforderlich sind. Wenn dies nicht erkennbar ist, besteht kein Grund zur Preisgabe weiterer Daten. Eine sachliche Nachfrage nach der Rechtsgrundlage und der Erforderlichkeit ist zulässig. Bei Unsicherheiten kann eine Beschwerde bei der Aufsichtsbehörde oder eine rechtliche Beratung sinnvoll sein.

„Futuristische Darstellung von Datenschutz, Datenfluss und IT-Sicherheitsarchitektur im Kontext der DSGVO und moderner Compliance-Prozesse.“
„Abstrakte digitale Grafik zur DSGVO-Compliance, die moderne Datenverarbeitung, IT-Sicherheit und Datenschutzstrukturen in Unternehmen visualisiert.“

IX. Schlussbetrachtung

Rückfragen im Auskunftsverfahren werden häufig unterschätzt, stellen jedoch datenschutzrechtlich erhebliche Eingriffe dar. Sie erweitern den Datenbestand, verändern die Rollenstruktur des Auskunftsprozesses und bergen das Risiko rechtswidriger Verarbeitungsvorgänge. Der Verantwortliche trägt die Pflicht, Rückfragen auf das absolut Notwendige zu beschränken. Organisationsmängel oder interne Unsicherheiten rechtfertigen keine zusätzlichen Erhebungen. Die DSGVO verlangt ein Verfahren, das klar strukturiert, nachvollziehbar und rechtskonform abläuft.

CTA

Wenn Sie prüfen möchten, ob eine Rückfrage im Auskunftsverfahren rechtmäßig war oder ob ein Verantwortlicher zusätzliche Daten zulässig erhoben hat, stehe ich Ihnen für eine vertrauliche und strukturierte Beratung zur Verfügung.
Telefon: 0160 9955 5525
Kontakt: https://www.hortmannlaw.com/contact

Wenn Sie weitere Hintergrundanalysen zum Datenschutz suchen, finden Sie hier die wichtigsten vertiefenden Beiträge:

  1. DSGVO-Auskunft im Spamfilter
    https://www.hortmannlaw.com/articles/dsgvo-auskunft-spamfilter
  2. Unvollständige Auskünfte nach Art. 15 DSGVO
    https://www.hortmannlaw.com/articles/art15-dsgvo-unvollstaendige-auskunft
  3. Social-Media-Überwachung durch Unternehmen
    https://www.hortmannlaw.com/articles/social-media-ueberwachung-dsgvo
  4. Organisationsfehler nach Art. 24 DSGVO
    https://www.hortmannlaw.com/articles/art24-dsgvo-organisationsfehler
  5. Privacy by Design – warum es in der Praxis scheitert
    https://www.hortmannlaw.com/articles/privacy-by-design-scheitert
  6. DSGVO-Probleme in Großunternehmen
    https://www.hortmannlaw.com/articles/dsgvo-grossunternehmen-probleme
  7. Zutritts- und Sicherheitsdaten als DSGVO-Risiko
    https://www.hortmannlaw.com/articles/zutrittsdaten-dsgvo-sicherheitsbereiche
  8. E-Mail-Systeme als Schwachstelle der DSGVO-Compliance
    https://www.hortmannlaw.com/articles/email-systeme-dsgvo-risiko
  9. Einwilligung unter Druck – unzulässige Kopplungen
    https://www.hortmannlaw.com/articles/dsgvo-einwilligung-druck
  10. Schadensersatz bei Kontrollverlust nach Art. 82 DSGVO
    https://www.hortmannlaw.com/articles/art82-dsgvo-kontrollverlust
  11. Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO
    https://www.hortmannlaw.com/articles/rechenschaftspflicht-dsgvo
  12. Kameraüberwachung im Garten – Datenschutz unter Nachbarn
    https://www.hortmannlaw.com/articles/kamerauberwachung-im-garten---datenschutz-unter-nachbarn
  13. Privatsphäre-Schutz für Hochvermögende
    https://www.hortmannlaw.com/articles/privatsphaere-schutz-hochvermoegende
  14. Art. 9 DSGVO & digitale Intimsphäre
    https://www.hortmannlaw.com/articles/datenschutz-intimsphaere-art9-dsgvo-digitale-sexarbeit
  15. DeFi, Krypto-Betrug & Datenschutz
    https://www.hortmannlaw.com/articles/defi-compliance-datenschutz-krypto-betrug-anwalt
  16. Crypto.com & DSGVO-Pflichten
    https://www.hortmannlaw.com/articles/dsgvo-crypto-com-pflichten-krypto-betrug
  17. Datenlecks im Krypto-Betrug
    https://www.hortmannlaw.com/articles/datenlecks-krypto-betrug
  18. Verfahrens- & Systemdaten im Netz
    https://www.hortmannlaw.com/articles/gesundheits-verfahrensdaten-im-netz
  19. Love Scam & Datenmissbrauch
    https://www.hortmannlaw.com/articles/love-scam-datenmissbrauch-opfer-anwalt
  20. Datenschutzpflichten von Krypto-Plattformen
    https://www.hortmannlaw.com/articles/die-rolle-von-krypto-plattformen-im-zusammenhang-mit-der-DSGVO
  21. KI, Datenschutz & Strafrecht – Verantwortungsmatrix
    https://www.hortmannlaw.com/articles/ki-haftung-datenschutz-und-strafrecht-die-neue-verantwortungsmatrix
  22. Was eine Datenschutzverletzung wirklich kostet
    https://www.hortmannlaw.com/articles/was-kostet-eigentlich-eine-datenschutzverletzung

Max Hortmann
Rechtsanwalt
,
Hortmann Law

Suchen Sie dringend diskrete, juristische Unterstüzung?

Wir helfen Ihnen gerne persönlich weiter – schildern Sie uns Ihr Anliegen und wir finden gemeinsam eine Lösung.

Kontakt aufnehmen
Verwandte Artikel

Das könnte Sie auch interessieren

Entdecken Sie weitere Beiträge zu aktuellen Themen rund um Digitalrecht, Cybercrime, Datenschutz, KI und Steuerrecht. Unsere verwandten Artikel geben Ihnen zusätzliche Einblicke und vertiefende Analysen.

Datenschutz
11/13/2025
November 13, 2025

Wenn Unternehmen Betroffene verantwortlich machen: Rechenschaftspflicht erklärt

Viele Verantwortliche schieben Betroffenen ihre eigenen Fehler zu – ein klarer Verstoß gegen Art. 5 Abs. 2 DSGVO.

Artikel lesen
Datenschutz

Schadensersatz nach Art. 82 DSGVO: Kontrollverlust als immaterieller Schaden

Moderne Rechtsprechung: Wann Kontrollverlust genügt, warum keine „Bagatelle“ nötig ist, und wie Betroffene Ansprüche sichern.

Artikel lesen
Datenschutz
11/13/2025
November 13, 2025

DSGVO-Einwilligung unter Druck: Unzulässige Kopplungen erkennen

Unternehmen setzen Betroffene oft unter faktischen Druck. Dieser Beitrag zeigt, wann eine Einwilligung nicht freiwillig ist.

Artikel lesen
Mehr anzeigen