Auskunftsverweigerungsrecht Datenschutzbehörde

Datenschutz

Muss ich der Datenschutzbehörde wirklich alles sagen?

Wenn die Aufsichtsbehörde fragt, folgt in vielen Unternehmen reflexartig die Gegenfrage: Wie viel müssen wir eigentlich preisgeben? Ein Urteil des Verwaltungsgerichts Berlin vom Oktober 2025 gibt darauf eine klare Antwort – und die ist für Unternehmen wenig komfortabel.

Die Rechtslage: Auskunft ist Pflicht

Art. 58 Abs. 1 lit. a DSGVO gibt jeder Aufsichtsbehörde das Recht, Verantwortliche und Auftragsverarbeiter anzuweisen, alle erforderlichen Informationen bereitzustellen. Art. 31 DSGVO ergänzt das durch eine allgemeine Kooperationspflicht.

Das Ergebnis: Wenn die Datenschutzbehörde fragt, muss grundsätzlich geantwortet werden – vollständig und wahrheitsgemäß.

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

Inhalt entsperren Erforderlichen Service akzeptieren und Inhalte entsperren

Das Auskunftsverweigerungsrecht – aber nicht für Unternehmen

40 Abs. 4 S. 2 BDSG erlaubt es, eine Auskunft zu verweigern, wenn die Antwort eine straf- oder ordnungswidrigkeitenrechtliche Verfolgung nach sich ziehen könnte. Dahinter steht der Nemo-tenetur-Grundsatz: Niemand muss sich selbst belasten.

Dieses Recht gilt aber ausschließlich für natürliche Personen. Es wurzelt im Allgemeinen Persönlichkeitsrecht und in der Menschenwürde – Grundrechte, die einer GmbH oder AG nicht zustehen.

40 BDSG ist Bundesrecht und gilt einheitlich für alle nichtöffentlichen Stellen in allen 16 Bundesländern. Die Landesdatenschutzgesetze sind primär für den öffentlichen Sektor relevant. Für Privatunternehmen gilt der einheitliche § 40-BDSG-Rahmen – das Auskunftsverweigerungsrecht steht natürlichen Personen damit überall in Deutschland zu, juristischen Personen hingegen nirgends.

VG Berlin, 9. Oktober 2025: Keine Schweigekarte für juristische Personen

Das Verwaltungsgericht Berlin hat in seinem Urteil (Az.: VG 1 K 607/22) klargestellt: Eine GmbH kann sich gegenüber einem Auskunftsverlangen der Aufsichtsbehörde nicht auf ein Auskunftsverweigerungsrecht berufen.

Im konkreten Fall hatte ein Verlag ein Auskunftsersuchen der Berliner Datenschutzbeauftragten abgelehnt. Das Gericht: Das Verlangen war rechtmäßig, verhältnismäßig und hinreichend bestimmt – die Verweigerung rechtswidrig.

Hinweis: Das Urteil ist noch nicht rechtskräftig. Eine Berufungsentscheidung des OVG Berlin-Brandenburg steht aus.

Was gilt für Geschäftsführer und Mitarbeitende?

Natürliche Personen – also Geschäftsführer, DSB oder Mitarbeitende – können das Verweigerungsrecht persönlich geltend machen, wenn das Ersuchen ihr persönliches Verhalten betrifft und ihnen konkret eine straf- oder ordnungswidrigkeitenrechtliche Verfolgung droht.

Dieser Schutz ist eng. Er greift nicht pauschal bei jeder unbequemen Frage, sondern nur bei ernsthafter, konkreter Verfolgungsgefahr für die Person selbst.

Wichtig: Die Aufsichtsbehörde ist nach § 40 Abs. 4 S. 3 BDSG verpflichtet, auf dieses Recht ausdrücklich hinzuweisen. Unterbleibt der Hinweis, gilt ein Beweisverwertungsverbot – eine praxisrelevante Schutzwirkung, die Betroffene kennen sollten.

Checkliste - Den passenden DSB finden

So treffen Sie die richtige Wahl: mit klaren Auswahlkriterien und den wichtigsten Fragen für das Gespräch mit Ihrem zukünftigen Datenschutzbeauftragten.

Kooperation lohnt sich – buchstäblich

Art. 83 Abs. 2 lit. f DSGVO legt ausdrücklich fest, dass das Ausmaß der Zusammenarbeit mit der Aufsichtsbehörde bei der Bußgeldbemessung berücksichtigt wird. Kooperation mildert die Strafe, Verweigerung verschärft sie.

Die Strategie „mauern und schweigen“ ist damit nicht nur rechtlich riskant – sie ist auch wirtschaftlich unklug.

Was tun bei einem Auskunftsverlangen?

Prüfen, nicht panikieren. Ist das Verlangen formell ordnungsgemäß, hinreichend bestimmt und verhältnismäßig? Nur wenn diese Voraussetzungen nicht erfüllt sind, kommt eine Ablehnung in Betracht. Den Zugang zu IT-Systemen und Geräten muss das Unternehmen hingegen stets dulden (§ 40 Abs. 5 BDSG) – das gilt unabhängig davon, ob im Übrigen ein Verweigerungsrecht bestünde.
Kooperieren. Die DSGVO honoriert das bei der Bußgeldbemessung – dieser Spielraum sollte genutzt werden.
Individuelle Risiken separat bewerten. Steht konkrete Verfolgungsgefahr für einzelne Personen im Raum, rechtzeitig anwaltlichen Rat einholen.
Dokumentation als Schutzschild. Wer Datenschutzprozesse gut dokumentiert, ist bei Behördenanfragen schneller auskunftsfähig – und hat weniger zu verbergen.
OVG-Entscheidung im Blick behalten. Das letzte Wort hat noch das OVG Berlin-Brandenburg.

Fazit

Unternehmen haben gegenüber der Datenschutzaufsichtsbehörde keine Schweigekarte. Das Auskunftsverweigerungsrecht schützt Menschen – nicht Organisationen. Und selbst wo es gilt, greift es nur unter engen Voraussetzungen und mit klarer Hinweispflicht der Behörde.

Wer das ignoriert, riskiert eine Niederlage vor Gericht und höhere Bußgelder. Die klügere Strategie: gut dokumentieren, transparent kooperieren, im Zweifel anwaltlichen Rat einholen.

Beitrag aktualisiert am 15. April 2026 – Geprüft durch Datenschutzbeauftragter Jörg ter Beek

Sie suchen einen externen DSB?

Professioneller Datenschutz zum Budget-Preis mit Software, Schulungen, Audits & Vorlagen inklusive

ab 125€ / pro Monat

Ihre Vorteile mit Cortina Consult im Datenschutz

Wir helfen Unternehmen dabei, die Anforderungen der DSGVO im Unternehmen umzusetzen – digital, so einfach wie möglich, zu fixen Konditionen. Als Beratungsdienstleister und externer Datenschutzbeauftragter sorgen wir für die Einhaltung der DSGVO-Vorgaben bei der Verarbeitung von personenbezogenen Daten in Ihrem Unternehmen.

Autor dieses Artikels:

Jörg ter Beek

CEO & Datenschutzbeauftragter bei Cortina Consult