Kein Schweigerecht für Unternehmen bei DSGVO-Auskunft

Ein Auskunftsersuchen der Datenschutzbehörde fühlt sich für viele Unternehmen an wie ein Vorbote des Bußgeldverfahrens. Entsprechend naheliegend ist der Gedanke: „Wir sagen lieber nichts, um uns nicht selbst zu belasten.“

Genau an dieser Stelle setzt eine praxisrelevante Entscheidung des Verwaltungsgerichts Berlin (VG Berlin, Urt. v. 09.10.2025 – Az.: VG 1 K 607/22) an: Das Auskunftsverweigerungsrecht nach § 40 Abs. 4 Satz 2 BDSG (Selbstbelastungsfreiheit/„nemo tenetur“) steht juristischen Personen nicht zu. Das Gericht hat damit eine klare Trennlinie gezogen zwischen dem Schutz natürlicher Personen und der Rechtsposition von Unternehmen.

Wichtig ist dabei vor allem eines: Es geht nicht um „Kooperation aus Höflichkeit“, sondern um die Frage, welche Pflichten Sie als Verantwortlicher im Aufsichtsverfahren treffen und welche Verteidigungsstrategien rechtlich voraussichtlich nicht tragen.

Der Fall vor dem VG Berlin in verständlichen Worten

Das Geschäftsmodell: Lettershop-Verfahren und Adressdaten

Die Klägerin war ein Verlag mit Versandhandel. Zusätzlich vermietete sie Kundendaten für postalische Werbung an Geschäftskunden im sogenannten Lettershop-Verfahren. Die Datenschutzbehörde hatte bereits zuvor wegen unzulässiger Datenweitergabe reagiert, unter anderem mit einer Verwarnung.

Der Konflikt: Auskunft zum Umfang und zu Empfängern

Im Kern verlangte die Behörde später Auskunft dazu,

• wie viele Kundendaten in bestimmten Zeiträumen zu Werbezwecken an Dritte vermietet wurden
• an welche Werbepartner und jeweils in welchem Umfang diese Daten gegangen sind

Die Klägerin beantwortete diese zentrale Frage nicht. Die Behörde erließ daraufhin einen verbindlichen Bescheid und verband ihn mit einer Zwangsgeldandrohung.

Das Prozessziel: Aufhebung des Bescheids

Das Unternehmen wollte gerichtlich erreichen, dass der Bescheid aufgehoben wird. Unter anderem wurde argumentiert,

• die Behörde benötige die Informationen nicht (fehlende Erforderlichkeit)
• das Ganze sei ein unzulässiger Vorgriff auf ein Bußgeldverfahren
• außerdem stehe ein Auskunftsverweigerungsrecht zu, um eine Selbstbelastung zu vermeiden

Rechtsgrundlage: Warum die Behörde überhaupt Auskunft verlangen darf

Untersuchungsbefugnisse nach der DSGVO

Das VG Berlin hat die Rechtsgrundlage nicht im „freien Ermessen“ der Behörde gesehen, sondern in den Untersuchungsbefugnissen der DSGVO. Vereinfacht gesagt: Die Aufsicht darf von Verantwortlichen Informationen verlangen, wenn das für ihre Aufgaben erforderlich ist.

Dabei ist entscheidend, dass die Aufsicht nicht erst dann tätig werden darf, wenn ein Verstoß „abschließend bewiesen“ ist. Sie muss auch in die Lage versetzt werden, Sachverhalte aufzuklären und geeignete Maßnahmen auszuwählen.

Erforderlichkeit heißt nicht: Nur das absolute Minimum

Das Gericht hat deutlich gemacht, dass die Behörde ihre Ermittlungen nicht schon dann einstellen muss, wenn sie einen Datenschutzverstoß „im Grundsatz“ annimmt. Sie darf darüber hinaus klären,

• wie groß das Ausmaß eines möglichen Verstoßes ist
• ob weitere verantwortliche Akteure beteiligt sein könnten
• welche Folgemaßnahmen sachgerecht erscheinen

Gerade der Blick auf Umfang und Empfängerkreis kann aus Sicht der Aufsicht eine Schlüsselrolle spielen, weil sich daraus häufig erst ergibt, ob es bei einer Maßnahme bleibt oder ob weitere Schritte gegenüber Dritten in Betracht kommen.

Warum der Bescheid nach Auffassung des Gerichts hinreichend bestimmt war

Ein häufiger Angriffspunkt in der Praxis lautet: „Das ist zu unklar formuliert, wir wissen gar nicht, was genau verlangt wird.“

Hier hatte die Klägerin sinngemäß geltend gemacht, die Frage nach den „Werbepartnern“ sei unbestimmt. Das VG Berlin ist dem nicht gefolgt und hat die behördliche Frage aus Sicht eines objektiven Empfängers verstanden: Gefragt war die Identität der Werbepartner, weil die Behörde prüfen können muss, ob im Umfeld des Geschäftsmodells weitere Datenschutzverstöße in Betracht kommen.

Für die Praxis ist das eine Warnlampe: Ein Bestimmtheitsargument kann tragen, wenn ein Bescheid tatsächlich interpretierbar bleibt. Bei typischen „Wer, wie viele, wann“-Fragen wird diese Hürde aber oft hoch hängen.

Der Kern der Entscheidung: „Nemo tenetur“ schützt natürliche Personen, nicht Unternehmen

Was hinter dem Auskunftsverweigerungsrecht steht

§ 40 Abs. 4 Satz 2 BDSG kennt ein Auskunftsverweigerungsrecht, das an die Idee der Selbstbelastungsfreiheit anknüpft. Der Grundgedanke ist bekannt: Niemand soll vom Staat in eine Lage gedrängt werden, sich selbst bezichtigen zu müssen.

Dieses Prinzip wird verfassungsrechtlich vor allem als Ausprägung des allgemeinen Persönlichkeitsrechts verstanden und hängt eng mit dem Schutz der Menschenwürde zusammen.

Warum das nach Ansicht des VG Berlin nicht auf juristische Personen übertragbar ist

Das VG Berlin hat den entscheidenden Schritt über das Verfassungsrecht gemacht: Art. 19 Abs. 3 GG begrenzt Grundrechtsschutz juristischer Personen dort, wo der Schutz seinem Wesen nach an menschliche Persönlichkeit anknüpft. Eine juristische Person kann die typische Konfliktlage, die „nemo tenetur“ verhindern soll, nach der verfassungsgerichtlichen Linie nicht in gleicher Weise erleben.

Das Gericht arbeitet dabei mit mehreren Leitgedanken, die Sie kennen sollten:

• Juristische Personen bilden ihren Willen nur über Organe
• im Straf- und Ordnungswidrigkeitenrecht unterliegen sie nur einer eingeschränkten Verantwortlichkeit
• ein Bußgeld gegen ein Unternehmen wird in diesem Kontext nicht in gleicher Weise als persönlicher Schuldvorwurf verstanden wie eine strafrechtliche Sanktion gegen eine natürliche Person

In der Diktion des Gerichts steckt ein zentraler Punkt, den viele in der Beratungspraxis unterschätzen: Das Auskunftsverweigerungsrecht wird als persönliches Recht verstanden, nicht als „Unternehmensschild“.

Was das für Geschäftsführer, Mitarbeiter und sonstige Personen bedeutet

Die Entscheidung bedeutet nicht, dass natürliche Personen schutzlos wären. Das VG Berlin stellt aber klar: Beschäftigte und Leitungspersonen können sich nur dann auf § 40 Abs. 4 Satz 2 BDSG berufen, wenn das Auskunftsersuchen ihr konkretes Verhalten betrifft und ihnen persönlich eine straf- oder bußgeldrechtliche Verfolgung droht; die bloße Gefahr eines Unternehmensbußgeldes nach Art. 83 DSGVO genügt nicht.

Ein Auskunftsverweigerungsrecht natürlicher Personen kommt eher in Betracht, wenn:

• das Auskunftsersuchen sich gegen die natürliche Person richtet oder
• die verlangten Angaben das konkrete Verhalten dieser Person betreffen und
• eine persönliche straf- oder bußgeldrechtliche Verfolgung tatsächlich ernsthaft in Betracht kommt

Nicht ausreichend soll nach der Linie des Gerichts typischerweise sein:

• allein der Umstand, dass dem Unternehmen ein Bußgeld drohen könnte

Mit anderen Worten: Das Schweigerecht wandert nicht automatisch vom Menschen zur Gesellschaft.

Warum das Gericht „Gegenargumente“ nicht überzeugen ließ

In der Diskussion wird teils versucht, die Selbstbelastungsfreiheit breiter zu begründen, etwa über:

• rechtsstaatliche Verfahrensgarantien
• europäische Gewährleistungen eines fairen Verfahrens

Das VG Berlin hält solche Überlegungen im Ergebnis für nicht tragfähig, jedenfalls für die hier relevante Konstellation im Aufsichtsverfahren. Das VG Berlin verweist darauf, dass bislang weder der EGMR noch der EuGH entschieden haben, dass juristischen Personen aus Art. 6 EMRK oder Art. 47 Abs. 2 Satz 1 GRCh ein Schweige- bzw. Auskunftsverweigerungsrecht zusteht.

Was Unternehmen aus dem Urteil praktisch mitnehmen sollten

Ein Auskunftsersuchen der Datenschutzbehörde ist kein Bereich für reflexhafte Standardreaktionen. Das Urteil zeigt vielmehr: Eine pauschale Verweigerung mit dem Hinweis auf Selbstbelastung kann bei Unternehmen ins Leere laufen und zusätzliche Eskalationsstufen auslösen.

Typische Risiken bei pauschaler Verweigerung

• der Erlass eines formellen Bescheids statt informeller Klärung
• Zwangsmittel wie Zwangsgeldandrohungen
• eine Verhärtung der behördlichen Bewertung, weil der Sachverhalt aus Sicht der Behörde „unaufgeklärt“ bleibt
• Folgeermittlungen, die für Sie faktisch belastender werden können als eine strukturierte, kontrollierte Auskunft

Sinnvolle Leitplanken für Ihre Reaktion

• Prüfen Sie frühzeitig, ob die Anfrage informell ist oder bereits als Verwaltungsakt gestaltet wird
• Klären Sie, welcher konkrete Verarbeitungsvorgang im Fokus steht und welche Zeiträume gemeint sind
• Beantworten Sie nicht „blind“, sondern strukturieren Sie die Auskunft nachvollziehbar und konsistent
• Sichern Sie intern die Tatsachenbasis, bevor Sie Angaben zu Mengen, Empfängern und Zeiträumen machen
• Vermeiden Sie Spekulationen; kennzeichnen Sie Unsicherheiten sauber
• Achten Sie darauf, ob die Behörde die Auskunft als Antwort auf konkrete Fragen verlangt oder die Vorlage von Unterlagen erwartet, weil sich daraus die rechtliche Einordnung im Detail verschieben kann

Häufige Missverständnisse im Umgang mit der Datenschutzaufsicht

• „Wenn noch kein Bußgeldverfahren läuft, muss ich nicht antworten.“
  Das kann riskant sein, weil das Aufsichtsverfahren eigenständig ist und Ermittlungsbefugnisse gerade der Vorbereitung und Prüfung dienen.
• „Als GmbH kann ich mich auf das Schweigerecht berufen, weil Bußgelder existenzbedrohend sein können.“
  Das VG Berlin nimmt eine solche Übertragung gerade nicht an und knüpft den Schutz an die persönliche Konfliktlage natürlicher Personen.
• „Dann darf die Behörde alles fragen.“
  Auch nach dieser Entscheidung bleibt es bei der Grenze der Erforderlichkeit. Der Punkt ist nur: Diese Grenze wird im Aufsichtsrecht oft weiter verstanden, als Betroffene zunächst annehmen.

Handlungsempfehlung: Wie Sie Auskunft geben, ohne sich unnötig angreifbar zu machen

Sie können die Auskunftspflichten ernst nehmen und zugleich Ihre Risiken steuern. In der Praxis bewährt sich häufig folgendes Vorgehen:

• Fristen und Form prüfen, damit Sie nicht durch Fristversäumnis in eine schlechte Ausgangsposition geraten
• internen Sachverhalt ermitteln, insbesondere Datenquellen, Empfängerlisten, Zeiträume, Verantwortlichkeiten
• Antwort in Modulen aufbauen, damit jede Aussage belegbar bleibt
• Abgrenzungen definieren, etwa welche Datenkategorien und welche Empfängertypen gemeint sind
• sensible Punkte vorab rechtlich einordnen, insbesondere wenn die Auskunft zwangsläufig auch eine Bewertung des eigenen Vorgehens nahelegt
• Kommunikation mit der Behörde strategisch führen, damit Nachfragen kontrollierbar bleiben

Gerade wenn es um Empfänger, Mengen und Zeiträume geht, entscheidet häufig die Auskunftsarchitektur darüber, ob Sie die Kontrolle behalten oder ob Sie sich durch unpräzise Aussagen neue Angriffspunkte schaffen.

Fazit: Schweigen ist für Unternehmen vor der Datenschutzbehörde kein Standardwerkzeug

Das Urteil des VG Berlin zeigt eine klare Tendenz: Unternehmen können sich gegenüber Auskunftsverlangen der Datenschutzbehörde regelmäßig nicht auf ein aus der Selbstbelastungsfreiheit abgeleitetes Auskunftsverweigerungsrecht berufen. Für natürliche Personen kann das anders liegen, aber nur unter engeren Voraussetzungen und mit Blick auf eine persönliche Betroffenheit.

Wenn Sie ein Auskunftsersuchen erhalten, lohnt sich eine frühzeitige juristische Prüfung. Nicht, um „nicht zu antworten“, sondern um so zu antworten, dass Sie Pflichten erfüllen, ohne unnötige Risiken zu erzeugen.