Skip to main content

Auskunftsverpflichtung gemäß Art. 15 DSGVO: Was jedes Unternehmen von diesem BFH-Urteil lernen sollte

BFH-Urteil IX R 25/22: Warum "zu aufwändig" keine Ausrede mehr ist

Nehmen wir an, ein Kunde richtet sich mit einer Auskunftsanfrage gemäß Art. 15 DSGVO an Sie und verlangt alle Daten, die Sie je über ihn gespeichert haben. Ihre IT-Abteilung schätzt den Aufwand auf 120 Arbeitsstunden. Können Sie einfach "Nein" sagen? Ein Urteil des Bundesfinanzhofs (BFH) vom Januar 2025 besagt: "Nein, das dürfen Sie nicht" – und dieses Urteil betrifft erst einmal jedes Unternehmen in Deutschland, das personenbezogene Daten verarbeitet.

Die Kernbotschaften in Kürze

Der BFH hat in seinem Urteil (Az. IX R 25/22) vier zentrale Aussagen getroffen, die für Unternehmer unmittelbare Konsequenzen haben:

  • Erstens: "Zu aufwändig" zählt nicht mehr als Argument. Auch wenn die Bearbeitung einer Auskunftsanfrage enorme Ressourcen bindet, müssen Sie dieser nachkommen. Die DSGVO kennt keine Ausnahme für unverhältnismäßigen Aufwand beim Auskunftsrecht.
  • Zweitens: Pauschale Anfragen sind vollkommen legitim. Betroffene müssen ihre Anfrage nicht zeitlich oder sachlich eingrenzen. Ein "Zeigt mir alle meine Daten" ist rechtlich legitim.
  • Drittens: Akteneinsicht ersetzt keine Auskunft. Die bloße Möglichkeit, in Ihre Unterlagen zu schauen, erfüllt nicht die Pflicht zur Bereitstellung einer Kopie der personenbezogenen Daten.
  • Viertens: Gesetzliche Aufbewahrungspflichten oder Archivzwecke schützen Sie nicht vor der Auskunftspflicht. Diese Ausnahmen greifen nur unter sehr engen Voraussetzungen, die für normale Unternehmen praktisch nie vorliegen.

Die Geschichte hinter dem Urteil

Der Fall, der zu diesem wegweisenden Urteil führte, begann mit einer einfachen Anfrage: Ein Steuerzahler wollte vom Finanzamt Auskunft über alle seine gespeicherten personenbezogenen Daten erhalten. Das Finanzamt verweigerte die vollständige Auskunft mit der Begründung, der Aufwand sei unverhältnismäßig, und bot stattdessen Akteneinsicht an.

Nach einem Rechtsstreit vor dem Thüringer Finanzgericht landete der Fall beim Bundesfinanzhof, der die Sache grundsätzlich klärte: Das Finanzamt – und damit erst einmal jeder Datenverarbeiter – muss Auskunft erteilen, unabhängig vom damit verbundenen Aufwand. Die Begründung "zu aufwändig" ist rechtlich nicht haltbar.

Was das für Ihr Unternehmen bedeutet

Die "Arbeitszeit-Falle" vermeiden

Nehmen wir an, Ihre Organisation bekommt eine DSGVO-Anfrage zu 10 Jahren Kundenhistorie. Sie dürfen jetzt nicht sagen: "Das dauert zu lange" oder "Schauen Sie selbst in unsere Akten". Stattdessen müssen Sie systematisch alle Daten zusammentragen, verständlich aufbereiten und schriftlich bestätigen, dass die Auskunft vollständig ist.

Die Kunst der klaren Kommunikation

Der BFH betont in seinem Urteil einen organisatorisch sehr spannenden Punkt: Eine Auskunft gilt nur dann als erteilt, wenn Sie als Unternehmer aktiv erklären, dass die übermittelten Informationen vollständig sind. Eine einfache Datenübersicht zu schicken reicht nicht aus.

Sie müssen konkret versichern: "Diese Liste enthält 100% Ihrer bei uns gespeicherten Daten" und "Wir haben alle Systeme durchsucht". Nur so erfüllen Sie Ihre rechtliche Pflicht. Erstellen Sie daher Standardvorlagen für solche Vollständigkeitserklärungen, die Sie bei jeder Auskunftserteilung verwenden können.

Wann ist ein Antrag wirklich "exzessiv"?

Ein häufiges Missverständnis: Viele Unternehmer glauben, sie könnten häufige oder umfangreiche Anfragen als "exzessiv" abweisen. Das Urteil stellt jedoch klar: Ein Antrag ist nicht automatisch exzessiv, nur weil er umfassend ist.

Die DSGVO erlaubt die Ablehnung nur bei echtem Rechtsmissbrauch – etwa wenn ein Kunde nachweislich dieselben Daten mehrfach im Monat anfordert, ohne dass sich etwas geändert hat. Die Beweislast für den Missbrauch liegt dabei beim Unternehmen.

Die drei größten Irrtümer bei der Auskunftsanfrage

Irrtum 1: "Wir sind zu klein für sowas"

Die DSGVO gilt für jedes Unternehmen, das personenbezogene Daten verarbeitet – vom Ein-Personen-Betrieb bis zum Konzern. Die Größe Ihres Unternehmens spielt keine Rolle für Ihre Pflichten, sondern höchstens für die Art der Umsetzung.

Irrtum 2: "Einfach alles löschen schützt uns"

Löschpflichten und Auskunftspflichten sind zwei verschiedene Dinge. Selbst wenn Sie Daten bereits gelöscht haben, müssen Sie in der Auskunft darauf hinweisen, welche Kategorien von Daten gelöscht wurden und wann dies geschah. Eine vollständige Auskunft umfasst auch Informationen über nicht mehr vorhandene Daten.

Irrtum 3: "E-Mails zählen nicht als offizielle Anfrage"

Jede formlose Nachricht kann eine rechtlich bindende Auskunftsanfrage sein. Die DSGVO schreibt keine bestimmte Form vor. Wenn ein Kunde per E-Mail schreibt "Könnt ihr mir mal meine Daten schicken", ist dies bereits eine vollgültige Anfrage nach Art. 15 DSGVO, die Sie innerhalb der gesetzlichen Frist beantworten müssen.

Fazit: Vom Problemfall zur Chance

Die Umsetzung dieses Urteils ist eine Herausforderung für viele Unternehmen. Wer eine gut organisierte Datenverwaltung hat, hat nicht nur datenschutzrechtliche Vorteile, sondern macht das Unternehmen auch insgesamt effizienter. Das Urteil ist daher nicht unbedingt nur eine Belastung, es kann auch Anlass für ein paar Gedanken an die Datenstrukturierung und Digitalisierung im Unternehmen sein.

Ralf
...schreibt immer wieder zu Themen, die ihm in der Beratung begegnen und die schreibenswert sind.
Veröffentlicht
03. März 2025
Kategorie
Datenschutz
Tags

Weitere Beiträge

Kümmern Sie sich um Ihre wertvolle Arbeit
Das mit dem Datenschutz erledigen wir. Eine kurze E-Mail oder ein Anruf 0 62 45 - 9 94 55 72 genügt.
E-Mail schreiben