Von Grenzen der DSGVO

Gesetze sind keine Wunschautomaten, sondern präzise Verfahrensmaschinen, die nur dann liefern, wenn man sie mit den richtigen Parametern füttert und die physikalische Realität des Verwaltungshandelns mitdenkt. Drei meiner jüngeren Texte kreisen genau um diese Reibungsfläche: das Auskunftsrecht als Instrument,¹ die technische Spurensicherung als Methode,² und die Asymmetrie eines Arbeitsmarkts,³ der mit Nebelkerzen operiert, während er gleichzeitig Transparenz predigt.

Wer aus solchen Beobachtungen den Schluss zieht, die DSGVO^{4 5 6} sei ein generelles Straf- und Vergeltungswerkzeug, verfehlt ihr Design. Wer sie hingegen als blosses Feigenblatt abtut, verkennt ihre Sprengkraft. Beides sind Denkfehler derselben Sorte: intellektuelle Bequemlichkeit, verkleidet als Entschlossenheit.

Vom Rechtsrahmen

Die Datenschutz Grundverordnung ist kein moralischer Kommentar zur Weltlage, sondern unmittelbar geltendes Unionsrecht, das Verarbeitungsvorgänge in eine Ordnung zwingt: Zweckbindung, Datenminimierung, Speicherbegrenzung, Integrität und Vertraulichkeit, Rechenschaftspflicht. Diese Prinzipien sind kein lyrischer Vorspann, sondern die Messlatte, an der jede konkrete Verarbeitung hängt.

Wer sich ernsthaft auf die DSGVO beruft, muss darum immer zwei Ebenen gleichzeitig halten: die abstrakte Norm und den konkreten Vorgang. Die Norm liefert Begriffe, Fristen, Abwägungen. Der Vorgang liefert Akten, Systeme, Logs, Verantwortlichkeiten, Dienstleister, Datenflüsse, und auch menschliche Schlamperei. Ohne diese Doppelbelichtung wird aus Datenschutz schnell ein politisches Theaterstück, das juristisch nichts trägt.

Das führt zu einer unangenehmen Einsicht: Der Erfolg einer datenschutzrechtlichen Intervention hängt weniger an der Lautstärke als an der formalen Sauberkeit und der technischen Plausibilität. Eine Anfrage, die juristisch überzieht, lädt den Verantwortlichen ein, sie prozedural zu zerlegen. Eine Anfrage, die technisch naiv ist, ermöglicht Ausflüchte, die man später kaum mehr sauber widerlegen kann.

Art. 15 DSGVO Auskunft ist kein Akteneinsichtsrecht

Das Auskunftsrecht nach Art. 15 DSGVO ist bewusst breit: Bestätigung, ob verarbeitet wird; Zugriff auf die eigenen personenbezogenen Daten; Metainformationen zu Zwecken, Kategorien, Empfängern, Speicherdauer, Herkunft; dazu Information über automatisierte Entscheidungsfindung einschliesslich Profiling, samt aussagekräftiger Informationen zur Logik und zu den Tragweiten.

Zwei Missverständnisse bleiben notorisch.

1. Auskunft ist nicht identisch mit Akteneinsicht. Die DSGVO verspricht keinen freien Zutritt zu internen Dossiers als solche. Sie verspricht den Zugriff auf personenbezogene Daten und die dazugehörige Kontextinformation. In der Praxis überschneidet sich das stark, weil personenbezogene Daten häufig in Dokumenten leben. Aber die juristische Achse bleibt: nicht „Gib mir die ganze Akte“, sondern „Gib mir meine Daten, vollständig, verständlich, treu reproduziert“. Genau dieses Verständnis hat der Gerichtshof betont: „Kopie“ meint eine getreue und nachvollziehbare Wiedergabe aller personenbezogenen Daten, nicht bloss eine abstrakte Zusammenfassung.⁷
2. „Kopie“ ist nicht beliebig verweigerbar. Eine erste Kopie ist grundsätzlich unentgeltlich; Gebührenkonstruktionen, die faktisch den Zugang entwerten, sind mit dem Normzweck unvereinbar.⁸

Wichtig ist dabei, was oft unterschlagen wird: Art. 15 hat einen Kontrollzweck. Er ist der Einstieg, nicht das Finale. Wer wissen will, ob eine Verarbeitung rechtmässig läuft, braucht erst einmal die Daten, die Kategorien, die Empfänger, die Herkunft, die Speicherlogik. Erst danach ergeben sich Löschung, Berichtigung, Widerspruch, Beschwerde, Unterlassung, gegebenenfalls Schadenersatz.

Von Fristen, Formen. Von Unbestimmtheit.

Die DSGVO lebt von Fristen, weil Datenschutz ohne Zeitbindung zum dekorativen Papiertiger verkommt. Art. 12 Abs. 3 setzt die Monatsfrist, mit enger Verlängerungsmöglichkeit und Begründungspflicht.

Trotzdem scheitern Auskunftsbegehren erstaunlich oft nicht an bösem Willen, sondern an handwerklichen Fehlern. Ein Klassiker ist die Unbestimmtheit: Wer pauschal „alle E Mails“, „alle Dokumente“, „alles was ihr habt“ fordert, macht es einem Gericht leicht das Begehren als zu unbestimmt zu behandeln. Das Bundesarbeitsgericht hat hierzu deutliche Leitplanken formuliert: Ein Begehren muss erkennbar machen, was konkret begehrt wird, sonst wird es prozessual angreifbar.⁹

Das ist keine Kleinlichkeit, sondern Systemlogik. Ein Verantwortlicher kann nur dann ordnungsgemäss liefern, wenn er weiss, wonach er suchen soll. Wer die Suche bewusst ins Unendliche treibt, provoziert prozedurale Abwehr, und die trifft am Ende nicht den Verantwortlichen, sondern die eigene Position.

Die Gegenbewegung ist aber genauso falsch: zu klein denken, zu zahm formulieren, die entscheidenden Metadaten nicht anfordern. Genau deshalb sind Leitlinien des European Data Protection Board hier Gold wert, weil sie sehr konkret beschreiben, was „Zugriff“ praktisch heisst und wie Verantwortliche liefern sollen.¹⁰

Von Grenzen. Vom BDSG. Vom GeschGehG.

Datenschutzrechte sind nicht grenzenlos. Das ist kein Skandal, sondern ein bewusst eingebauter Kollisionsmechanismus: Rechte der betroffenen Person auf der einen Seite, Rechte und Freiheiten anderer Personen auf der anderen. Art. 15 Abs. 4 codiert genau diese Schranke für die Kopie.

Dazu kommt nationales Recht, das innerhalb der Öffnungsklauseln konkretisiert und teilweise beschränkt, etwa das BDSG¹¹. § 34 BDSG¹² enthält spezifische Regeln, wann Auskunft zu verweigern ist, wie zu begründen ist und wie die betroffene Person zu informieren ist.

Und dann steht da noch das Geschäftsgeheimnisrecht^{13 14} als Realitätsanker. Wer behauptet, Art. 15 DSGVO zwinge Unternehmen, interne Bewertungsmodelle, Strategiepapiere oder fremde personenbezogene Daten ungeschwärzt herauszugeben, der irrt. Es braucht eine Abwägung, und die ist nicht kosmetisch. Dass diese Spannungslage auch von Aufsichtsbehörden offen benannt wird, ist hilfreich, weil es die Grenzen ohne Mythologie beschreibt.¹⁵

Der Punkt ist heikel: Genau in dieser Abwägungszone werden laienhafte Parolen gefährlich. Wer Menschen einredet, sie könnten per Art. 15 „die ganze Wahrheit“ erzwingen, erzeugt Erwartungen, die rechtlich nicht gedeckt sind. Das frisst Vertrauen, sobald die erste geschwärzte Passage kommt. Und es schiebt die Debatte von der Normtreue in die Empörung, also dorthin, wo sie juristisch am schwächsten ist.

Vom Märchen. Vom Geldregen.

Nichts unterminiert Datenschutzarbeit schneller als monetarisierte Heilsversprechen. Schadenersatz nach Art. 82 DSGVO ist real, aber er ist (k)ein Lotterieschein.

Der Gerichtshof hat klargestellt: Ein blosses Vorliegen eines Verstosses reicht nicht. Es braucht Schaden, Verstoss und Kausalität, kumulativ. Gleichzeitig gibt es keine Bagatellschwelle, die national erfunden werden dürfte, um kleine Beeinträchtigungen pauschal auszuschliessen. Das heisst aber nicht, dass jeder Verstoss automatisch Geld auslöst.¹⁶

Wer den zweiten Satz hört und den ersten unterschlägt, baut eine Betrugsillusion, selbst wenn er subjektiv „nur motivieren“ will. Juristisch ist das toxisch: Es animiert zu massenhaft identischen Forderungen, die im Streitfall an denselben drei Voraussetzungen scheitern können und werden. Politisch ist es noch toxischer, weil es jedem Gegner der DSGVO die perfekte Vorlage liefert: „Seht, das sind keine Betroffenenrechte, das ist ein Geschäftsmodell.“

Von harmlosen Aussagen.

Gefährlich sind nicht die offenen Drohungen, sondern die unbedachten Vereinfachungen, die Menschen in rechtliche und technische Fehltritte treiben. Beispiele:

• „Ihr dürft meine Daten gar nicht speichern.“ Falsch. Speicherung kann rechtmässig sein, wenn eine Rechtsgrundlage trägt, etwa Vertrag, rechtliche Pflicht, berechtigtes Interesse, und wenn die Prinzipien eingehalten werden.
• „Profiling ist verboten.“ Falsch. Profiling ist reguliert, nicht pauschal untersagt. Art. 22 DSGVO betrifft Entscheidungen mit rechtlicher oder ähnlich erheblicher Wirkung, und auch dort gibt es Ausnahmen und Schutzmechanismen. Die Auskunft nach Art. 15 DSGVO verlangt Information über diese Logik, aber sie ist kein Generalschlüssel für die komplette Offenlegung jedes Scores.
• „Die müssen mir sagen, an wen sie meine Daten gegeben haben, Kategorien reichen nicht.“ Das ist komplizierter, und gerade deshalb sollte man sauber arbeiten. Der Gerichtshof hat in einem zentralen Urteil ausgeführt, dass Betroffene grundsätzlich Anspruch auf die konkreten Empfänger haben, soweit diese identifizierbar sind; nur wenn das unmöglich ist oder die Anfrage offenkundig unbegründet oder exzessiv, kann auf Kategorien ausgewichen werden.¹⁷

Das sind keine Spitzfindigkeiten. Das sind die Stellen, an denen eine saubere Anfrage den Unterschied macht zwischen belastbarer Information und formalem Abwimmeln.

Von der Datenverarbeitung.

Massenauskunft ist politisch verständlich, organisatorisch brutal, technisch riskant. Wer zehntausende bis hunderttausende Antworten einsammelt, erzeugt selbst eine neue Verarbeitung mit hohem Schadenspotential. Und hier endet der Spass, weil das Datenschutzrecht nicht nur „die da oben“ bindet, sondern jeden Verantwortlichen, der Zwecke und Mittel bestimmt.

Das bedeutet konkret: Zweckdefinition, Rechtsgrundlage, Informationspflichten, Auftragsverarbeitung, technische und organisatorische Massnahmen, Zugriffskonzepte, Verschlüsselung, Protokollierung, Löschkonzept, Incident Response. Wer diese Hausaufgaben nicht sichtbar erledigt, baut eine Angriffsoberfläche, die sich nicht durch gute Absichten abdichtet.

An dieser Stelle wird gerne mit dem Satz gewunken, man betreibe das auf eigener Hardware. Das ist in etwa so beruhigend wie der Hinweis, man habe das Geld „in einer Schublade“ versteckt. Ein Server ist kein Sicherheitskonzept. Ein Konzept ist ein Überbau aus Verantwortlichkeit, Prozessen, TOMs, Vertraulichkeitsverpflichtungen, Rollenmodellen, und der banalen Disziplin, keine neuen Risiken zu schaffen, während man andere kritisiert.

Dass dabei auch Telemedienrecht und Endgerätezugriffe hineinspielen können, ist kein Nebenschauplatz. Wer etwa Tracking, Cookies oder vergleichbare Technologien einsetzt, landet bei spezialgesetzlichen Vorgaben wie § 25¹⁸ TDDDG¹⁹, unabhängig davon, ob man sich rhetorisch nur auf die DSGVO stützt.

Von Ghost Jobs.

Trotz all dieser Grenzen bleibt Art. 15 DSGVO ein hervorragendes Instrument, gerade im Bewerbungsumfeld. Nicht weil er Wunder wirkt, sondern weil er Informationsasymmetrien offenlegt.

Ich habe in meinen Texten über Auskünfte und technische Auskünfte beschrieben, wie man aus einer Absage und aus einem Bewerbungsprozess eine saubere, nachvollziehbare Auskunftslage erzeugen kann: Welche Daten wurden erhoben, woher kamen Zusatzinformationen, wer hat Zugriff, welche Dienstleister sind beteiligt, welche Kriterien wurden angewandt, wie lange wird gespeichert, wie läuft Löschung. Diese Fragen sind nicht romantisch, aber sie sind wirksam. Sie zwingen Organisationen, wenigstens einmal die eigene Pipeline zu benennen, statt sich hinter Floskeln zu verstecken.

Und hier sitzt der eigentliche Mehrwert: Nicht jeder Prozess ist böse, aber viele sind schlampig. Schlamperei ist oft die Schnittstelle, an der die Wahrheit versehentlich sichtbar wird. Nicht durch heroische Eskalation, sondern durch methodische Präzision.

Eine gute Auskunftsanfrage ist kühl, klar, aber nicht provozierend. Sie definiert Identität und Kommunikationsweg. Sie fordert Auskunft und Kopie. Sie fordert Empfänger, Herkunft, Speicherdauer, Logik automatisierter Entscheidungen. Sie lässt Raum für notwendige Schwärzungen, verlangt aber Begründung. Sie referenziert die Monatsfrist. Sie signalisiert, dass man prozedural weitergehen kann, falls nicht geliefert wird, ohne das als Drohgebärde auszuschlachten.

Wer stattdessen mit Schadenersatzsummen hausieren geht, macht sich selbst zum Teil des Problems. Wer Menschen verspricht, eine einzelne Anfrage löse automatisch Zahlungen aus, der baut eine Enttäuschungsmaschine. Die DSGVO ist stark, aber sie ist nicht idiotensicher, und sie verzeiht kein juristisches Wunschdenken.

Von der Wirksamkeit.

Ich vertraue der DSGVO genau deshalb, weil sie Grenzen hat. Grenzen sind das, was ein Instrument von einer Parole trennt. Wer Grenzen anerkennt, formuliert präziser, fordert weniger Show, bekommt mehr Substanz. Wer Grenzen ignoriert, läuft in die immer gleiche Wand: viel Lärm, wenig Ergebnis, danach die übliche Erzählung, der Rechtsstaat sei schuld.

Mein Interesse ist ein anderes: Verfahren so zu nutzen, dass sie Informationen liefern, die man später noch verwenden kann. Nicht zur Selbstbetäubung, nicht als rituelle Empörung, sondern als dokumentierbare, zitierfähige, prüfbare Grundlage. Genau dort beginnt die einzige Form von Transparenz, die mehr ist als ein Hashtag.

---

1. https://coresecret.eu/2025/12/17/von-auskuenften/ ↩︎
2. https://coresecret.eu/2025/12/18/von-technischen-auskuenften/ ↩︎
3. https://coresecret.eu/2025/12/15/vom-land-der-wirbellosen/ ↩︎
4. Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, DSGVO), ABl. L 119 vom 04.05.2016, S. 1. ↩︎
5. https://eur-lex.europa.eu/eli/reg/2016/679/oj/eng ↩︎
6. https://gdpr-text.com/pt/read/article-1/?col=2&lang1=pt&lang2=de ↩︎
7. EuGH, Urt. v. 04.05.2023 – C-487/21, ECLI:EU:C:2023:369. ↩︎
8. EuGH, Urt. v. 26.10.2023 – C-307/22, ECLI:EU:C:2023:811. ↩︎
9. BAG, Urt. v. 27.04.2021 – 2 AZR 342/20, ECLI:DE:BAG:2021:270421.U.2AZR342.20.0.  ↩︎
10. https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-012022-data-subject-rights-right-access_en ↩︎
11. Bundesdatenschutzgesetz (BDSG) vom 30.06.2017 (BGBl. I S. 2097). ↩︎
12. https://www.gesetze-im-internet.de/bdsg_2018/__34.html ↩︎
13. Gesetz zum Schutz von Geschäftsgeheimnissen (Geschäftsgeheimnisgesetz – GeschGehG) vom 18. April 2019, BGBl. I 2019, S. 466. ↩︎
14. https://www.gesetze-im-internet.de/geschgehg/BJNR046610019.html ↩︎
15. https://www.bfdi.bund.de/DE/Buerger/Inhalte/Allgemein/Betroffenenrechte/Betroffenenrechte_Auskunftsrecht.html ↩︎
16. EuGH, Urt. v. 04.05.2023 – C-300/21, ECLI:EU:C:2023:370. ↩︎
17. EuGH, Urt. v. 26.10.2023 – C-307/22, ECLI:EU:C:2023:811. ↩︎
18. https://www.gesetze-im-internet.de/ttdsg/__25.html ↩︎
19. Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei digitalen Diensten (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz – TDDDG) vom 23. Juni 2021 (BGBl. I S. 1982; 2022 I S. 1045), zuletzt geändert durch Artikel 4 des Gesetzes vom 2. Dezember 2025 (BGBl. 2025 I Nr. 301). ↩︎

---