Entscheidungen zum Datenschutzrecht  ·  01. Dezember 2025

Auskunftsersuchen per Brief zulässig – OLG Innsbruck zu Datenexport-Tool, Transparenz und Art-15-Auskunft

Behörde: Oberlandesgericht Innsbruck
Datum der Entscheidung: 1. Oktober 2025


Geschäftszahl: 4 R 117/25z

Rechtssatz (kurz): "Online-Self-Service-Tool darf nicht exklusiv sein!"
Auch wenn ein Unternehmen ein Online-Self-Service-Tool für Auskunftsersuchen anbietet, muss es ein ordnungsgemäß an den Firmensitz gerichtetes Auskunftsbegehren nach Art 15 DSGVO bearbeiten.

 

Eine bloße, schwer verständliche „Datenkopie“ und allgemeine Datenschutzhinweise genügen dem Transparenzgebot des Art 12 DSGVO icht.

 

Sachverhalt

 

Der Kläger hat bei der (in Irland ansässigen) Beklagten ein Online-Konto für verschiedene B*-Dienste (erkennbar ein großer Tech-Konzern). Um seine Betroffenenrechte wahrzunehmen, wandte er sich – wie schon in anderen Fällen – postalisch an Unternehmen und berief sich auf Art 15 DSGVO.

 

Im März 2024 schickte er ein eingeschriebenes Auskunftsbegehren samt Ausweiskopie an die Postadresse des Firmensitzes der Beklagten (die Adresse, die auch in der Datenschutzerklärung aufscheint). Dieses Schreiben blieb unbeantwortet. Die Beklagte vertrat die Ansicht, sie reagiere grundsätzlich nicht auf postalische Auskunftsbegehren, weil eine Ausweiskopie im Online-Kontext zur Identifizierung nicht geeignet sei.

 

Parallel dazu betrieb die Beklagte ein umfangreiches Datenexport-Tool im Kundenkonto:

 

  • Zugriff über den Bereich „Daten und Datenschutz“ → „Meine Daten herunterladen oder löschen“.

  • Nutzer:innen können eine Kopie ihrer Daten auswählen und herunterladen.

  • Es gibt zahlreiche Erklärvideos, Textguides und Beispiele, die die Nutzung des Tools erläutern sollen.

Nach Einbringung der Klage nutzte der Kläger am 12.12.2024 dieses Datenexport-Tool. Er erhielt ein Download-Paket mit

 

  • 201 Dateien,

  • verschiedenen Dateiformaten (u.a. mbox, json, csv, html, pdf, xlsx),

  • verschachtelter Ordnerstruktur,

  • teils deutsch, teils englisch,

  • ohne zusätzliche, individuelle Erläuterungen zur Struktur oder Bedeutung der Daten.

Der Kläger konnte insbesondere Dateien in den Formaten mbox und json mit seiner Standardsoftware nicht öffnen; er hätte sich zusätzliche Programme besorgen müssen. Der Inhalt mancher „Gerätedaten“ war selbst für das Gericht schwer bzw. gar nicht verständlich. Ob es in der Datenschutzerklärung eine klare Erklärung dieser Datenstrukturen gab, konnte nicht festgestellt werden.

 

Der Kläger fand das Download-Paket teilweise unverständlich und nahm keine weiteren Recherchen vor, sah sich auch die Info-Videos nicht an. Er blieb aber dabei, dass sein Auskunftsanspruch nicht erfüllt sei und verlangte – neben der Datenkopie – die konkreten Informationen nach Art 15 Abs 1 und 2 DSGVO, u.a. zu

 

  • Verarbeitungszwecken,

  • Empfängern und Empfängerkategorien,

  • Inhalt der Offenlegungen,

  • Speicherdauer und deren Kriterien,

  • Herkunft der Daten,

  • Drittlandsübermittlungen und entsprechenden Garantien,

  • Zeitpunkten der Verarbeitung.

Die Beklagte entgegnete:

 

  • Man habe ein geeignetes Online-Tool bereitgestellt; postalische Briefe müsse man nicht bearbeiten.

  • Die EDSA-Leitlinien würden eine Kanalisierung der Betroffenenanfragen zulassen.

  • Durch Datenexport-Tool, Datenschutzerklärung und sonstige Online-Informationen seien alle Auskunftspflichten bereits erfüllt.

  • Das Vorgehen des Klägers sei rechtsmissbräuchlich, da er – wie in anderen Fällen – Postbriefe versende, auf fehlende oder unzureichende Antworten warte und dann klage.

Das Erstgericht gab der Klage großteils statt; das OLG Innsbruck änderte teilweise ab, bestätigte aber die wesentlichen Kernaussagen des Ersturteils.

 

 

Rechtliche Begründung des OLG Innsbruck

 

1. Form des Auskunftsersuchens: Postalisch ist zulässig

 

Die DSGVO enthält keine Formvorschrift für Auskunftsanträge. Ein Verantwortlicher darf zwar „benutzerfreundliche Kommunikationskanäle“ anbieten – etwa ein Online-Formular oder Portal –, aber die betroffene Person ist nicht verpflichtet, ausschließlich diesen Kanal zu nutzen.

 

Das OLG stützt sich dabei ausdrücklich auf die EDSA-Leitlinien zu den Betroffenenrechten:

 

  • Verantwortliche sollen zwar die „geeignetsten und benutzerfreundlichsten“ Wege zur Verfügung stellen,

  • dürfen aber Anträge nicht ignorieren, die über andere offizielle Kontaktstellen des Verantwortlichen eingehen (z.B. die allgemeine Firmenadresse).

  • Nur Anträge an völlig willkürliche oder offensichtlich falsche Adressen können unbeantwortet bleiben.

Die Postadresse des Firmensitzes ist offensichtlich keine willkürliche oder falsche Adresse. Damit war das vom Kläger eingeschriebene Schreiben ein zulässiges Auskunftsersuchen.

 

 

Folge: Mit Einlangen des Schreibens wurde nach Art 12 Abs 3 DSGVO

die Ein-Monats-Frist zur Beantwortung ausgelöst – ganz unabhängig davon, dass ein Datenexport-Tool existiert.

 

2. Reaktionspflicht – Schweigen ist keine Option

 

Die Beklagte reagierte auf das Auskunftsersuchen überhaupt nicht.

 

Das OLG hält klar fest:

 

  • Selbst wenn Zweifel an der Identität bestehen, darf der Verantwortliche nicht einfach schweigen,

  • sondern muss nach Art 12 Abs 6 DSGVO

innerhalb eines Monats schriftlich mitteilen, warum er nicht tätig wird, und auf die Beschwerdemöglichkeit bei der Aufsichtsbehörde hinweisen. Da all das nicht passiert ist, war der Auskunftsanspruch nicht erfüllt – weder vor Klagseinbringung noch danach allein durch das bloße Bereitstellen des Self-Service-Tools.

 

3. Kein Rechtsmissbrauch durch „Serien-Auskunftswerber“

 

Die Beklagte versuchte, das Vorgehen des Klägers als rechtsmissbräuchlich darzustellen (häufige Auskunftsersuchen, nachfolgende Klagen).

 

 

Das OLG lehnt dies ab und verwies darauf, dass das Auskunftsrecht ein zentrales Grundrecht nach der DSGVO sei und nur offenkundig unbegründete oder exzessive Anfragen abgelehnt werden können. 

 

4. Datenkopie & Transparenz – CRIF-Judikatur des EuGH angewendet

 

Das OLG rekapituliert die CRIF-Entscheidung des EuGH (C-487/21) und betont:

 

  • Das Recht auf Auskunft umfasst

    1. die Bestätigung, ob Daten verarbeitet werden,

    2. die Kopie der personenbezogenen Daten,

    3. die Informationen zur Verarbeitung (Art 15 Abs 1 und 2).

  • Die „Kopie“ muss eine vollständige Wiedergabe der personenbezogenen Daten in verständlicher Form sein und in einem gängigen elektronischen Format bereitgestellt werden.

  • Gesamthaft müssen die Informationen „präzise, transparent, verständlich und leicht zugänglich“ in klarer und einfacher Sprache bereitgestellt werden (Art 12 Abs 1 DSGVO)

  • Die Datenkopie umfasste über 3.000 Seiten mit unzähligen Protokolldaten.

  • Es fehlten Erläuterungen, welche Daten was bedeuten und welche Schlussfolgerungen Betroffene daraus ziehen können.

  • Teilweise konnten Dateien (mbox, json) mit üblichen Mitteln gar nicht geöffnet werden.

  • Die von der Beklagten online bereitgestellten Erklärungen waren allgemein gehalten und nicht auf den konkreten Kläger zugeschnitten.

Das OLG spricht von einem Informationsangebot, das eine Art „Ostereier-Suche“ darstellt – im Einklang mit der OGH-Judikatur, die eine bloße Verweisung auf verschiedene Websites und Dokumente als Verstoß gegen den Transparenzgrundsatz qualifiziert (6 Ob 56/21k).

 

5. Self-Service-Tool als Hilfsmittel – nicht als „Gatekeeper“

Die EDSA-Leitlinien erlauben zwar den Einsatz von Self-Service-Tools, stellen aber klar:

  • Die Nutzung des Tools darf den Umfang der Auskunft nicht beschränken.

  • Wenn nicht alle Informationen darüber zugänglich gemacht werden können, müssen fehlende Informationen auf anderem Weg geliefert werden.

  • Ein Verantwortlicher muss auch Anträge bearbeiten, die nicht über das Tool kommen (Rz 138).

 

Das OLG hält fest:

 

Ein Datenexport-Tool ist zulässig und praktisch – aber es ersetzt nicht die Pflicht, auf andere Kanäle eingehende Auskunftsersuchen zu reagieren und diese transparent, verständlich und individuell zu beantworten.

 

 

6. Welche Informationen noch zu erteilen sind – und welche als erfüllt gelten

 

Das OLG differenziert:

 

Auskunftsverpflichtung bestätigt (nicht erfüllt):

 

Die Beklagte muss dem Kläger (über die bloße Datenkopie hinaus) insbesondere noch Auskunft geben über

 


 

Die Datenschutzerklärung enthält hierzu nur allgemeine Formulierungen wie „Wir verarbeiten Ihre Daten, soweit …“, „Wir geben Daten an vertrauenswürdige Unternehmen weiter …“, „Wir stützen uns ggf. auf Standardvertragsklauseln …“ – das genügt nicht, um die konkrete Situation des Klägers transparent darzustellen.

 

Insbesondere zu Art 15 Abs 2 DSGVO:


Selbst wenn unklar ist, ob überhaupt ein Drittlandtransfer stattgefunden hat, hätte die Beklagte ausdrücklich mitteilen müssen, ob und wohin Daten des Klägers übermittelt wurden und auf welcher Rechtsgrundlage. Eine pauschale Passage zu „Angemessenheitsbeschlüssen“ und „Standardvertragsklauseln“ reicht nicht aus.

 

Als erfüllt angesehen / Klage abgewiesen:

 

Im Berufungsverfahren hat das OLG hingegen angenommen, dass bestimmte Informationspflichten bereits erfüllt wurden, weil der Kläger das entsprechende Vorbringen der Beklagten nicht bestritten hat:

 

  • Kategorien personenbezogener Daten (Art 15 Abs 1 lit b DSGVO),
  • Information über Berichtigung, Löschung, Einschränkung (Art 15 Abs 1 lit e DSGVO),
  • Information über das Beschwerderecht bei einer Aufsichtsbehörde (Art 15 Abs 1 lit f DSGVO),
  • Zeitpunkte der Datenverarbeitung (aus den Protokolldaten im Exportpaket; der Kläger brachte kein substantiiertes Vorbringen, warum diese unverständlich seien).

 

 

In diesem Umfang wurde das Klagebegehren abgewiesen.

 

 

 

 

Fazit und Schlussfolgerungen für Verantwortliche

 

Was sollten Organisationen – insbesondere große Online-Dienste – aus dieser Entscheidung mitnehmen?

 

 

1. Kanalsteuerung ist erlaubt – „Wegignorieren“ nicht

 

  • Sie dürfen Self-Service-Portale, Web-Formulare oder spezielle E-Mail-Adressen für Betroffenenrechte anbieten.

  • Sie dürfen nicht Auskunftsbegehren ignorieren, die an

    • die allgemeine Firmenadresse

    • die im Impressum angegebene Kontaktadresse

    • den physischen Firmensitz
      gerichtet werden.

  • Interne Prozesse sollten sicherstellen, dass jede Anfrage mit datenschutzrechtlichem Bezug rasch an den DSB/Privacy-Kanal weitergeleitet wird – egal, wo sie eingeht.

 

2. Self-Service-Tools richtig gestalten - zulässig, aber nicht exklusiv 

 

  • Datenexport-Tools sind super – aber nur, wenn sie

    • verständlich strukturiert sind (Ordnerlogik, Dateibenennung, Inhaltsübersicht),

    • gängige Formate verwenden oder einen Viewer/konkrete Öffnungsanleitung bereitstellen,

    • die Rohdaten mit klaren erläuternden Texten ergänzen (z.B. „dieses Logfile enthält …“).

  • Prüfen Sie: Würde eine durchschnittliche Nutzerin mit Standard-Software verstehen, was sie da herunterlädt? Wenn nicht, sind zusätzliche Erläuterungen nötig.

 

 

3. Keine „Ostereier-Suche“ in Datenschutzerklärungen

 

  • Verweisen Sie bei Auskunftsanfragen nicht bloß auf die allgemeine Datenschutzerklärung.

  • Wenn Sie Bausteine daraus verwenden, passen Sie sie konkret auf den Einzelfall an:

    • Welche Verarbeitungen betreffen genau diese Person?

    • Welche Empfänger konkret haben Daten zu dieser Person erhalten?

    • Auf welche Rechtsgrundlagen stützen Sie diese Verarbeitungstätigkeit?

  • Ein maßgeschneidertes Antwortschreiben mit Verweisen auf bestimmte Passagen ist oft der beste Weg.

 

 

4. Identitätsprüfung pragmatisch lösen

 

  • Im Online-Kontext ist die reine Ausweiskopie oft problematisch (Sicherheitsrisiko, EDSA-kritisch).

  • Nutzen Sie stattdessen

    • Login in das bestehende Konto,

    • Bestätigungs-E-Mail mit Code,

    • Zwei-Faktor-Authentifizierung etc.

  • Wenn Sie Zweifel haben: aktiv zusätzliche Informationen anfordern – aber nicht schweigen.

 

 

5. Umgang mit „intensiven“ Betroffenen

 

  • Auch wer viele Auskunftsersuchen stellt, handelt nicht automatisch rechtsmissbräuchlich.

  • Nur offenkundig unbegründete oder exzessive Anträge (z.B. dutzende nahezu identische Anträge in sehr kurzen Abständen) können abgewehrt werden – und das müssen Sie dokumentiert begründen.

 

 

6. Drittlandsübermittlungen klar kommunizieren

 

  • Sagen Sie klar:

    • Werden Daten dieser Person in ein Drittland übermittelt?

    • Wenn ja: wohin genau und auf welcher Grundlage (Angemessenheitsbeschluss, SCC etc.)?

    • Wenn nein: auch das darf – und soll – transparent mitgeteilt werden („Derzeit keine Drittlandübermittlungen zu Ihrer Person.“).

 

7. Fristen & Organisation

  • Richten Sie ein Fristenmonitoring für Art-12-Fristen ein (1 Monat, Verlängerung um 2 Monate mit Begründung möglich).

  • Schulen Sie Empfang, Sekretariat, Support: „Alles, was nach Datenschutz oder Auskunft klingt, geht direkt an “.

 


 

Tags: Auskunftsrecht; Art 15 DSGVO; Transparenz; Art 12 DSGVO; Datenkopie; Art 15 Abs 3 DSGVO; Selbstbedienungstool; Art 25 DSGVO; Drittlandsübermittlung; Art 46 DSGV

Kommentar schreiben

Kommentare: 0
1 Gilt für Lieferungen in folgendes Land: Österreich. Lieferzeiten für andere Länder und Informationen zur Berechnung des Liefertermins siehe hier: Liefer- und Zahlungsbedingungen
2 inkl. MwSt.
Impressum | AGB | Widerrufsbelehrung und -formular | Datenschutz | Cookie-Richtlinie | Sitemap | Vertrag widerrufen
(C) by dataprotect schweiger.legal Rechtsanwälte OG | Dr. Thomas Schweiger, LL.M. (Duke)
Anmelden Abmelden | Bearbeiten