Das Recht auf Auskunft nach Art. 15 DSGVO ist eines der zentralen Betroffenenrechte und für Unternehmen oft eine besondere Herausforderung. Betroffene haben Anspruch darauf, umfassend zu erfahren, welche personenbezogenen Daten über sie verarbeitet werden, zu welchen Zwecken dies geschieht, woher diese Daten stammen und an wen sie weitergegeben wurden. Dieses Recht soll Transparenz schaffen und den Betroffenen die Möglichkeit geben, ihre weiteren Rechte – etwa auf Berichtigung, Löschung oder Schadensersatz – effektiv wahrzunehmen.
Aktuelle Rechtsprechung
Zwei aktuelle Urteile verdeutlichen, dass die Anforderungen an Transparenz und Rechtmäßigkeit der Datenverarbeitung in der Praxis noch strenger zu verstehen sind, als es viele kleine und mittlere Unternehmen bislang angenommen haben.
Das Landgericht Nürnberg-Fürth entschied am 20. Februar 2025 (Az. 6 O 1485/24), dass ein soziales Netzwerk verpflichtet war, auch Daten herauszugeben, die über externe Tracking-Tools wie Pixel, SDKs oder Plugins erhoben wurden. Es reicht also nicht aus, nur die Daten offenzulegen, die unmittelbar im eigenen System gespeichert sind. Sobald ein Unternehmen Tracking- oder Analysetools von Drittanbietern einsetzt, werden die so erhobenen Daten Teil der eigenen Verantwortung . Wird diese Auskunft verweigert oder unvollständig erteilt, können Betroffene immateriellen Schadensersatz verlangen – im konkreten Fall in Höhe von 500 Euro.
Das Landgericht Berlin II ging am 4. April 2025 (Az. 39 O 56/24) noch einen Schritt weiter. Es verurteilte Meta, sämtliche über die „Meta Business Tools“ (Pixel, SDKs, Social Plugins) erhobenen Daten zu löschen, da diese ohne wirksame Einwilligung der Nutzer:innen verarbeitet worden waren. Zudem musste Meta nicht nur vollständige Auskunft erteilen, sondern auch pro betroffene Person einen Schadensersatz von 2.000 Euro zahlen.
Für kleine und mittlere Unternehmen (KMU) bedeutet das: Auch wenn im konkreten Fall Meta selbst zur Zahlung von Schadensersatz verurteilt wurde, gilt das Risiko ebenso für jedes Unternehmen, das diese Tools einsetzt. Nutzen KMU solche Dienste ohne wirksame Einwilligung, können auch sie direkt verklagt und zur Zahlung von Schadensersatz verpflichtet werden – zusätzlich zu Löschungspflichten und möglichen behördlichen Sanktionen.
Das Berliner Urteil beschränkt sich also nicht nur auf die Informationspflicht, sondern stellt die Rechtmäßigkeit der Verarbeitung selbst in den Mittelpunkt. Ohne wirksame Einwilligung dürfen diese Daten gar nicht erhoben werden – andernfalls drohen insbesondere für KMU empfindliche rechtliche und finanzielle Konsequenzen.
Konsequenzen für KMU
Für KMU ergeben sich daraus klare Konsequenzen: Die Auskunftspflicht ist weitreichender, als es auf den ersten Blick scheinen mag, und umfasst auch Daten aus externen Quellen, wenn deren Tools aktiv genutzt werden.
Gleichzeitig zeigt das Berliner Urteil, dass nicht nur Transparenz, sondern auch die Rechtmäßigkeit der Datenverarbeitung selbst überprüft wird. Fehlende oder unzureichend dokumentierte Einwilligungen können nicht nur Abmahnungen und behördliche Verfahren, sondern auch unmittelbare Löschungs- und Schadensersatzpflichten auslösen.
Gerade kleinere Unternehmen sollten daher ihre Webseiten, Tracking-Mechanismen und Datenschutzerklärungen regelmäßig prüfen und sowohl ein belastbares Auskunftsmanagement als auch einen Nachweis über die Rechtmäßigkeit der Verarbeitung sicherstellen.
Merke
- Auskunftsansprüche umfassen auch Daten, die über externe Tools erhoben werden.
- Die Rechtsgrundlagen der Verarbeitung müssen regelmäßig überprüft und dokumentiert sein.
- Unvollständige Auskünfte oder fehlende Einwilligungen können zu Löschungs- und Schadensersatzpflichten führen.
- Die Nutzung großer Anbieter wie Meta oder Google befreit nicht von der eigenen DSGVO-Verantwortung.
