Datenlöschung während laufendem Auskunftsverfahren unzulässig
Mit Gerichtsbescheid vom 21. Januar 2026 (Az. 29 K 7470/24) hat das Verwaltungsgericht Düsseldorf die Klage eines E-Mail-Marketing-Unternehmens gegen eine datenschutzrechtliche Verwarnung abgewiesen und damit eine praxisrelevante Klarstellung zum Verhältnis von Auskunftsanspruch und Löschpflicht nach DSGVO getroffen.
Sachverhalt
Nachdem ein Betroffener im August 2022 eine unverlangte Werbe-E-Mail erhalten hatte, stellte er beim absendenden Unternehmen eine Auskunftsanfrage gemäß Art. 15 DS-GVO. Das Unternehmen übersandte zwar ein als „Datenschutzauskunft“ bezeichnetes Dokument, bestätigte jedoch gleichzeitig die Löschung der Betroffenendaten – ohne dass ein Löschungsbegehren gestellt worden war. Die zuständige Aufsichtsbehörde erließ daraufhin eine Verwarnung nach Art. 58 Abs. 2 lit. b DS-GVO wegen rechtswidriger Datenverarbeitung.
Kernaussage des Gerichts
Das Gericht bestätigte die Verwarnung in vollem Umfang. Es stellte klar, dass die Erfüllung der Informationspflicht nach Art. 12 i.V.m. Art. 15 DS-GVO frühestens dann eintritt, wenn dem Antragsteller die begehrten Informationen vollständig und fristgerecht übermittelt wurden. Eine Löschung der Daten vor Abschluss des Auskunftsverfahrens ist damit rechtswidrig – unabhängig davon, ob der ursprüngliche Verarbeitungszweck (hier: E-Mail-Marketing) noch fortbesteht. Der Auskunftsanspruch selbst begründet einen eigenständigen Verarbeitungszweck, der die Datenspeicherung bis zur vollständigen Erfüllung rechtfertigt und gebietet.
Darüber hinaus wies das Gericht darauf hin, dass das Vorgehen des Unternehmens auch die Überprüfung der Rechtmäßigkeit der ursprünglichen Datenerhebung faktisch vereitelt habe – ein Umstand, der nach Einschätzung des Gerichts auch die Verhängung eines Bußgeldes gerechtfertigt hätte.
Bedeutung für die Praxis
Verantwortliche sollten sicherstellen, dass interne Prozesse eine voreilige Datenlöschung bei laufenden Betroffenenanfragen ausschließen. Eingehende Auskunftsersuchen sind konsequent zu dokumentieren, und Löschvorgänge dürfen erst nach vollständiger, nachweisbarer Erfüllung der Auskunftspflicht erfolgen. Das Urteil unterstreicht zudem die Bedeutung der Rechenschaftspflicht gemäß Art. 5 Abs. 2 DS-GVO.
(Foto: AspctStyle – stock.adobe.com)
Das könnte Sie auch interessieren
-
KI haftet nicht? – Zurechnung von KI-Falschaussagen
Ob Chatbot, KI-Übersicht oder halluzinierter Suchalgorithmus – drei Gerichtsentscheidungen in Deutschland ziehen eine klare Linie: Wer KI-Systeme im geschäftlichen Umfeld einsetzt, trägt die volle rechtliche Verantwortung für deren Ausgaben. Mit Urteil vom 12. Mai 2026 hat der 4. Zivilsenat des OLG Hamm entschieden, dass ein Unternehmen für irreführende Qualifikationsangaben seines KI-Chatbots wettbewerbsrechtlich haftet. Im konkreten
Mehr erfahren -
Tätigkeitsbericht als Steuerungsinstrument für Datenschutzbeauftragte
Die französische Datenschutzbehörde CNIL hat jüngst eine Empfehlung samt Mustervorlage für den Tätigkeitsbericht des Datenschutzbeauftragten veröffentlicht. Die Empfehlungen decken sich weitgehend mit der deutschen Praxis – mit einer bemerkenswerten Ausnahme. Obwohl weder DS-GVO noch BDSG einen Tätigkeitsbericht für betriebliche Datenschutzbeauftragte vorschreiben, empfiehlt die CNIL diesen als zentrale Best Practice. Das entspricht der gelebten Praxis auch
Mehr erfahren -
Praxisnahe Handreichung zum Datenpannenmanagement
Passend zur jüngsten Verwarnung der BVG durch die BlnBDI hat das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) eine strukturierte Handreichung zum Vorgehen bei Datenpannen veröffentlicht – ein nützliches Referenzdokument für Datenschutzverantwortliche, das die wesentlichen Pflichten kompakt und praxisorientiert aufbereitet. Meldepflicht und Risikobewertung als Ausgangspunkt Die Meldepflicht nach Art. 33 DS-GVO liegt stets beim Verantwortlichen –
Mehr erfahren
