06/26: ChatGPT als Datenschutz-Waffe – KI-gestützte Art. 15-Anfragen gezielt einsetzen

HMDATA Datenschutz-Newsletter 06/2026, Autor: Dipl.-Ing. (FH) Harald Müller-Delius, MBA, ©HMD 2026

Eine Anfrage nach Art. 15 DSGVO – dem Recht auf Auskunft – im Stil eines Anwaltsschreibens, formuliert in Minuten mit ChatGPT. Die Antwort des Unternehmens wird sofort wieder an die KI übergeben – mit dem Auftrag, jeden nicht vollständig konformen Satz zu identifizieren und zu beanstanden.
Das Ziel ist nicht Datenschutz. Das Ziel ist Aufwand, Druck und im besten Fall Schadensersatz.
Was steckt hinter diesem Muster, wie sieht es in der Praxis aus – und wie schützt sich das Unternehmen?

Ein neues Muster mit System

Betroffenenrechte nach Art. 15 DSGVO – dem Recht auf Auskunft – sind ein legitimes und wichtiges Instrument des Datenschutzes. Doch ein wachsender Trend zeigt: KI-Tools wie ChatGPT werden gezielt eingesetzt, um Auskunftsersuchen in einer Qualität und Präzision zu formulieren, die früher juristisches Fachwissen vorausgesetzt hätte. Das Ersuchen kommt als mehrseitiges Schreiben mit Rechtsquellen, Fristen, Formulierungsanforderungen nach Art. 12 DSGVO und unmittelbarer Androhung von Schadensersatz nach Art. 82 DSGVO – oft ohne anwaltliche Beteiligung, aber in deren Sprache.

Antwortet das Unternehmen fristgerecht, beginnt die zweite Runde: Die Antwort wird wiederum in ChatGPT eingegeben, diesmal mit dem Auftrag, alle Stellen zu identifizieren, die nicht vollständig den Anforderungen der DSGVO entsprechen. Das Ergebnis ist eine detaillierte Mängelliste, die postwendend als Nachforderung an das Unternehmen geht – oft mit konkreten Schadensersatzforderungen im dreistelligen bis vierstelligen Bereich. In einigen Fällen wird parallel Beschwerde bei der Aufsichtsbehörde erstattet, um zusätzlichen institutionellen Druck aufzubauen.

Ein praktisches Beispiel

Ein ehemaliger Kunde eines Versicherungsmaklerbüros, mit dem es im Zuge einer Vertragsbeendigung Streit gab, stellt folgende Anfrage: Er fordert vollständige Auskunft über alle zu seiner Person gespeicherten Daten, alle Empfänger, alle Verarbeitungszwecke, die Speicherdauer je Datenkategorie, Herkunft der Daten, das Bestehen automatisierter Entscheidungsfindung sowie eine Kopie sämtlicher Dokumente, in denen seine Daten enthalten sind – inklusive interner E-Mails, CRM-Einträge und Gesprächsnotizen. Frist: drei Wochen. Bei Nichteinhaltung oder unvollständiger Antwort kündigt er Schadensersatz nach Art. 82 DSGVO an.

Das Maklerbüro antwortet sorgfältig und fristgerecht. Die Antwort enthält Auskunft über CRM-Daten, Vertragsdaten, Korrespondenz und Speicherfristen – intern E-Mails werden mit Verweis auf das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO und laufende Aufbewahrungspflichten nicht vollständig herausgegeben. Zwei Tage später kommt die Reaktion: ChatGPT hat die Antwort analysiert. Beanstandet werden unter anderem fehlende Angabe aller Unterauftragsverarbeiter, unzureichende Beschreibung der Speicherdauer, unzulässige Verweigerung der internen E-Mails sowie eine angeblich zu kurze Beschreibung der Rechtsgrundlagen. Schadensersatzforderung: 850 Euro.

Was ist rechtlich tatsächlich geschuldet?

Art. 15 DSGVO – das Recht auf Auskunft – gibt Betroffenen einen Anspruch auf Auskunft über die zu ihrer Person gespeicherten Daten sowie auf eine Kopie dieser Daten nach Abs. 3. Die Reichweite dieses Kopienanspruchs ist in der Rechtsprechung nicht abschließend geklärt und im Einzelfall zu beurteilen: Enthält ein internes Dokument – etwa eine E-Mail oder eine Gesprächsnotiz – personenbezogene Daten des Betroffenen, kann im Einzelfall auch dessen Herausgabe geboten sein. Gleichzeitig erkennt die Rechtsprechung Einschränkungen an, wenn Geschäftsgeheimnisse, schutzwürdige Interessen Dritter oder Rechtsverteidigungsbelange entgegenstehen. In jedem Fall empfiehlt sich bei der Frage, welche Dokumente konkret herauszugeben sind, eine rechtliche Einzelfallprüfung.

Enthält die Auskunft alle wesentlichen Pflichtangaben nach Art. 15 Abs. 1 DSGVO – Verarbeitungszwecke, Datenkategorien, Empfänger, Speicherdauer, Betroffenenrechte, Beschwerderecht und Herkunft der Daten – ist sie dem Grunde nach vollständig, auch wenn eine KI weitere Lücken zu identifizieren meint. KI-generierte Mängellisten sind keine Rechtsgutachten und entfalten keine rechtliche Bindungswirkung.

Wie schützt sich das Unternehmen?

Standardprozess einrichten: Jede eingehende Betroffenenanfrage sollte über einen definierten internen Prozess laufen – mit Eingangsbestätigung, Fristerfassung, verantwortlicher Person und dokumentierter Antwort. Ein vorgefertigtes, rechtlich geprüftes Auskunftsformat reduziert Angriffsflächen erheblich.

Antworten sorgfältig und vollständig formulieren: Die Auskunft sollte alle Pflichtangaben nach Art. 15 Abs. 1 DSGVO strukturiert enthalten. Werden einzelne Informationen – etwa bestimmte Dokumente – nicht herausgegeben, ist dies mit der konkreten Rechtsgrundlage zu begründen und zu dokumentieren. Im Zweifelsfall sollte die Formulierung der Auskunft rechtlich begleitet werden.

Missbräuchliche Anfragen erkennen und dokumentieren: Wie bereits im Newsletter 04/26 dargestellt, erlaubt Art. 12 Abs. 5 DSGVO bei offensichtlich missbräuchlichen oder exzessiven Anfragen die Verweigerung oder Gebührenerhebung. Diese Hürde ist hoch und setzt eine sorgfältige, nachvollziehbare Dokumentation des Missbrauchsverdachts voraus.

Schadensersatzforderungen nicht ungeprüft akzeptieren: Der EuGH hat mit Urteil vom 04.05.2023 (Az. C 300/21) klargestellt, dass ein bloßer DSGVO-Verstoß allein keinen Schadensersatzanspruch nach Art. 82 DSGVO begründet – es bedarf eines tatsächlich eingetretenen, nachweisbaren materiellen oder immateriellen Schadens. KI-gestützte Forderungsschreiben ohne anwaltliche Prüfung und ohne konkreten Schadensnachweis haben vor Gericht erfahrungsgemäß wenig Aussicht auf Erfolg. Dennoch gilt: Jede Forderung sollte im Einzelfall rechtlich bewertet werden, bevor eine Reaktion erfolgt.

Erhalten Sie KI-gestützte Auskunftsanfragen oder Schadensersatzforderungen und sind unsicher über die korrekte Reaktion? Wir prüfen den Sachverhalt und unterstützen Sie bei der rechtssicheren Antwort. Anfragen per E-Mail an datenschutz@hmdata.de.