Aktueller Anlass: Arbeitsgericht Duisburg zur DSGVO-Auskunftspflicht (Urteil vom 03.11.2023 – 5 Ca 877/23) – Tempo wird zum Risiko- und Compliance-Faktor.
Das Arbeitsgericht Duisburg hat mit diesem Urteil ein wichtiges Signal im Datenschutzrecht gesetzt: Die DSGVO-Auskunftspflicht ist ein zentraler Bestandteil moderner Datenschutz-Compliance – und „unverzüglich“ bedeutet hier tatsächlich schnell handeln.
Der konkrete Fall: Bewerbung, DSGVO-Negativauskunft und Fristversäumnis
Im Mittelpunkt des Falls steht ein Bewerber, der sich bereits 2017 bei einem Inkassounternehmen im Bereich Forderungsmanagement beworben hatte. Im Mai 2023 stellte er ein Auskunftsersuchen gemäß Art. 15 DSGVO, um herauszufinden, ob das Unternehmen noch personenbezogene Daten über ihn gespeichert hatte. Er setzte dafür eine Frist bis zum 2. Juni 2023.
Nach zunächst ausbleibender Reaktion erinnerte er am 3. Juni an sein Anliegen. Die Antwort – eine DSGVO-Negativauskunft mit dem Hinweis, dass keine Daten mehr vorhanden seien – ging jedoch erst am 5. Juni ein. Das war nach Auffassung des Arbeitsgerichts Duisburg zu spät und somit ein Verstoß gegen die DSGVO-Auskunftspflicht.
DSGVO-Auskunftspflicht rechtssicher erfüllen – unverzüglich handeln
Wichtig für Unternehmen im Rahmen der Datenschutz-Compliance: Auch eine Negativauskunft im Sinne der DSGVO – also das Fehlen gespeicherter Daten – ist eine vollwertige Auskunft im datenschutzrechtlichen Sinne. Die gesetzliche DSGVO-Auskunftspflicht besteht unabhängig vom Ergebnis – und muss unverzüglich nach DSGVO-Vorgabe erfüllt werden, wenn kein Hinderungsgrund vorliegt. Verstöße gegen diese Pflicht gelten als Compliance-Risiko und können zu DSGVO-Schadensersatzansprüchen führen. Zu unseren Kernkompetenzen gehört das IT- und Datenschutzrecht, weshalb wir Sie gerne dabei unterstützen, Schadensersatzverfahren abzuwehren.
Warum das Arbeitsgericht Duisburg die DSGVO-Frist „unverzüglich“ neu definiert
Das Arbeitsgericht Duisburg hat mit seiner Entscheidung einen wichtigen Akzent im Datenschutzrecht gesetzt:
Der Begriff „unverzüglich“ in der DSGVO darf nicht mit „innerhalb eines Monats“ verwechselt werden. Vielmehr bedeutet er „ohne schuldhaftes Zögern“, wie in § 121 BGB definiert.
Im konkreten Fall hätte die Antwort laut Gericht technisch sofort erteilt werden können. Eine Verzögerung von 19 Tagen sei damit nicht mit der DSGVO-Auskunftspflicht vereinbar. Für einfache Fälle gelte eine Reaktionsfrist von maximal einer Woche.
Bedeutung für Unternehmen: Kontrollverlust über personenbezogene Daten ist haftungsträchtig
Unverzügliche DSGVO-Auskunft: Haftungsfalle bei verspäteter Reaktion vermeiden
Obwohl keine personenbezogenen Daten mehr vorlagen, stellte das Gericht einen temporären Kontrollverlust fest – ein zentrales Argument für die Zuerkennung von Schadensersatz bei DSGVO-Auskunftsverstößen.
Ergebnis: Das Unternehmen musste dem Kläger 750 Euro Schadensersatz zahlen – gestützt auf Art. 82 Abs. 1 DSGVO. Die verspätete Auskunft allein genügte, um einen immateriellen Schaden und damit einen Verstoß gegen die DSGVO-Auskunftspflicht anzunehmen. Dieses Urteil im Datenschutzrecht ist damit auch ein Signal an die Wirtschaft, DSGVO-Fristen strikt einzuhalten.
DSGVO-Auskunftspflicht ernst nehmen – auch organisatorisch
Der Fall zeigt deutlich: Unternehmen, die DSGVO-Auskunftsanfragen nicht zeitnah bearbeiten, setzen sich konkreten Risiken aus. Besonders heikel ist, dass selbst eine formale Negativauskunft erhebliche DSGVO-Schadensersatzzahlungen zur Folge haben kann, wenn sie zu spät erfolgt.
Handlungsempfehlungen: So minimieren Sie das DSGVO-Haftungsrisiko
1. DSGVO-Prozesse intern überprüfen
Sorgen Sie dafür, dass DSGVO-Auskunftsersuchen strukturiert erfasst und zeitnah bearbeitet werden – unabhängig vom Inhalt.
2. Technische Automatisierung mit klaren Reaktionsfristen
Automatisierte Prozesse sind nur dann sinnvoll, wenn sie die DSGVO-Auskunftspflicht auch zuverlässig erfüllen.
3. Fristen dokumentieren und nachhalten
Der genaue Zeitpunkt des Eingangs des DSGVO-Auskunftsersuchens muss belegbar sein – das schafft Nachweissicherheit im Streitfall.
4. Bei einfachen Fällen: sofort handeln
Sobald erkennbar ist, dass keine umfangreiche Prüfung erforderlich ist, sollte dem Auskunftsanspruch unverzüglich i.S.d. DSGVO nachgekommen werden.
5. Keine pauschale Berufung auf Monatsfrist
Diese ist lediglich eine Obergrenze für komplexe Sachverhalte – nicht die Regel bei klaren Anfragen.
Sie wollen jederzeit auf dem neusten Stand bleiben? Mit unserer Akte-Online-Lösung ist dies unkompliziert möglich!
Checkliste: DSGVO-Auskunft gesetzeskonform umsetzen
- Eingang des DSGVO-Auskunftsersuchens erfassen
- Komplexität des Sachverhalts beurteilen
- Systematische Datenprüfung durchführen
- Rechtsabteilung bei Unsicherheiten einbinden
- Antwort fristgerecht und DSGVO-konform versenden
Kritik am Datenschutzrecht-Urteil: Einladung zum DSGVO-Hopping?
Das Urteil des Arbeitsgerichts Duisburg stößt auf gemischte Reaktionen. Juristische Stimmen äußern Bedenken, dass diese Auslegung gezielt ausgenutzt werden könnte:
- DSGVO-Hopping als neue Masche:
Kritiker warnen, dass die Entscheidung potenziell Anreize für missbräuchliche Schadensersatzforderungen nach der DSGVO schafft, auch ohne ernsthaften Schaden. - Abweichung von EuGH-Vorgaben:
Der Europäische Gerichtshof sieht in seiner Rechtsprechung einen konkreten Nachweis des Schadens als zwingende Voraussetzung für Schadensersatz bei DSGVO-Verstößen. - Konträre Positionen anderer Gerichte:
Entscheidungen des LAG Düsseldorf und des LAG Baden-Württemberg verlangen eine nachvollziehbare Begründung des immateriellen Schadens gemäß der DSGVO, nicht bloß subjektive Unannehmlichkeiten.
Fazit: DSGVO-Auskunft als Compliance-Schlüssel
Die Entscheidung des Arbeitsgerichts Duisburg verdeutlicht, dass Schnelligkeit bei DSGVO-Auskunftspflichten kein „Nice-to-have“, sondern ein Pflichtbestandteil moderner Datenschutz-Compliance ist.
Wer Anfragen verzögert beantwortet oder sich pauschal auf die Monatsfrist beruft, riskiert nicht nur Bußgelder, sondern auch immateriellen Schadensersatz – selbst bei vermeintlich simplen DSGVO-Negativauskünften.
Fazit: Die Auskunft gemäß Art. 15 DSGVO ist ein zentrales Element des Datenschutzrechts. Wer hier versagt, verliert schnell die Kontrolle – über personenbezogene Daten und das eigene Haftungsrisiko.
Sie haben Fragen zur DSGVO-Auskunftspflicht?
Besuchen Sie gerne unser Webinar „DSGVO Auskunftsbegehren & Datenschutzvorfälle“. Hier gelangen Sie zur Buchung!
Unsere spezialisierten Rechtsanwälte für IT- und Datenschutzrecht beraten Sie gerne zur rechtssicheren Umsetzung von Auskunftsbegehren nach Art. 15 DSGVO – effizient, praxisnah und compliant. Jetzt Beratungstermin vereinbaren.
❓ Häufige Fragen zur DSGVO-Auskunftspflicht
„Unverzüglich“ bedeutet rechtlich gesehen „ohne schuldhaftes Zögern“ (§ 121 BGB analog). Das heißt: Der Verantwortliche muss das DSGVO-Auskunftsersuchen so schnell wie möglich bearbeiten – in der Regel innerhalb einer Woche, wenn keine besonderen Umstände vorliegen.
Nein. Die Monatsfrist ist eine Höchstfrist, kein Regelzeitraum. Sie darf nicht routinemäßig ausgeschöpft werden, sondern nur bei besonders komplexen oder aufwändigen Fällen.
Ein Fall ist dann einfach, wenn
- der Umfang der verarbeiteten Daten sehr gering ist,
- eine Datenverarbeitung vermutlich gar nicht mehr stattfindet (z. B. bei längst abgelehnten Bewerbungen),
- keine manuelle Auswertung oder rechtliche Prüfung erforderlich ist.
In solchen Fällen sind kurze Antwortzeiten (unter 7 Tagen) zumutbar.
Wenn Sie Fragen zur DSGVO-Auskunftspflicht haben, buchen Sie gerne unser Webinar zum Thema!
Ein immaterieller Schaden liegt vor, wenn jemand nicht-finanzielle Nachteile erleidet – etwa:
- ein temporärer Kontrollverlust über personenbezogene Daten,
- Unsicherheit über eine mögliche Datenverarbeitung,
- emotionale Beeinträchtigung (z. B. bei sensibler Vorgeschichte wie Hackerangriffen).
Es ist nicht erforderlich, dass die Folgen „erheblich“ sein müssen – ein geringer Nachteil kann genügen.
Die Höhe des DSGVO-Schadensersatzes ist vom Einzelfall abhängig. Im Urteil des ArbG Duisburg wurden 750 Euro zugesprochen, obwohl nur eine Verzögerung von 19 Tagen vorlag. Entscheidend sind u. a.:
- Art und Dauer der Verzögerung,
- Bedeutung der betroffenen Daten,
- Stellung des Verantwortlichen (z. B. Datenverarbeiter als Kerngeschäft),
- Wiederholungstäter vs. Einzelfall.
Auch im Falle einer DSGVO-Negativauskunft muss die DSGVO-Auskunft unverzüglich erfolgen. Da keine inhaltliche Prüfung nötig ist, liegt hier meist ein einfacher Fall vor – und die Antwort muss besonders schnell erfolgen. Eine verzögerte Negativauskunft kann ebenfalls schadensersatzpflichtig machen.
Ja. Die DSGVO kennt keine zeitliche Begrenzung für das Auskunftsrecht. Auch Jahre nach einer Bewerbung kann eine Person Auskunft darüber verlangen, ob und welche Daten über sie noch gespeichert sind.
Weiterführende Themen
Datenschutz schlägt SCHUFA-Interesse
„Einmal SCHUFA, immer SCHUFA?“ Nicht mehr! Das OLG Köln hat entschieden: Bezahlte Schulden dürfen nicht jahrelang gespeichert bleiben. Datenschutz schlägt SCHUFA-Interesse – was das für Verbraucher, Kreditvergabe und Bonität bedeutet, erfahren Sie in unserem Beitrag.
EuGH verpflichtet zur geschlechtsneutralen Anrede
Anredepflicht adé: Der EuGH stärkt Vielfalt und Datenschutz. Unternehmen stehen vor einem Umbruch – wir zeigen, wie Sie rechtssicher und zeitgemäß kommunizieren.
Transparenzpflicht bei automatisierten Entscheidungen nach DSGVO
Automatisierte Entscheidungen treffen immer häufiger über unser Leben – doch was passiert im Hintergrund? Der EuGH schafft Klarheit zur Transparenzpflicht bei automatisierten Entscheidungen nach DSGVO. Erfahre, was Unternehmen offenlegen müssen, welche Rechte Betroffene haben – und wie der Spagat zwischen Datenschutz und Geschäftsgeheimnissen gelingt. Jetzt weiterlesen!