DSGVO-Auskunftsrecht (Art. 15): So beantwortest du Betroffenenanfragen korrekt
Art. 15 DSGVO gibt Betroffenen das Recht auf Auskunft über ihre Daten. Erfahre, was du beantworten musst, welche Fristen gelten und welche Fehler du vermeiden solltest.
Das Auskunftsrecht nach Art. 15 DSGVO ist eines der am häufigsten genutzten Betroffenenrechte. Jede Person hat das Recht zu erfahren, ob und welche personenbezogenen Daten ein Unternehmen über sie gespeichert hat. In der Praxis stellen immer mehr Verbraucher, Kunden und ehemalige Mitarbeiter solche Anfragen — und viele Unternehmen sind darauf nicht vorbereitet.
Ein fehlerhafter oder verspäteter Umgang mit Auskunftsanfragen kann zu Beschwerden bei der Aufsichtsbehörde, Bußgeldern und Schadensersatzansprüchen führen. Dieser Artikel erklärt, was Art. 15 genau verlangt, wie du Anfragen korrekt bearbeitest und welche Fehler du vermeiden solltest.
Was verlangt Art. 15 DSGVO?
Art. 15 gibt betroffenen Personen zwei Rechte:
- Bestätigungsrecht (Art. 15 Abs. 1 Satz 1): Die Person darf erfahren, ob überhaupt personenbezogene Daten verarbeitet werden.
- Auskunftsrecht (Art. 15 Abs. 1 Satz 2): Falls ja, hat sie das Recht auf Auskunft über die folgenden Informationen.
Pflichtauskünfte im Detail
| Information | Beschreibung | Beispiel |
|---|---|---|
| Verarbeitungszwecke | Warum werden die Daten verarbeitet? | Vertragserfüllung, Marketing, Bewerbung |
| Datenkategorien | Welche Arten von Daten werden verarbeitet? | Name, E-Mail, IP-Adresse, Kaufhistorie |
| Empfänger | An wen wurden oder werden die Daten weitergegeben? | Hosting-Anbieter, Newsletter-Dienst, Steuerberater |
| Speicherdauer | Wie lange werden die Daten gespeichert (oder Kriterien für die Festlegung)? | 10 Jahre (Steuerrecht), 3 Jahre nach Vertragsende |
| Betroffenenrechte | Hinweis auf Recht auf Berichtigung, Löschung, Einschränkung, Widerspruch | Verweis auf Art. 16, 17, 18, 21 DSGVO |
| Beschwerderecht | Hinweis auf das Recht, Beschwerde bei der Aufsichtsbehörde einzulegen | Zuständige Behörde benennen |
| Herkunft der Daten | Woher stammen die Daten, wenn sie nicht beim Betroffenen selbst erhoben wurden? | Von einem Geschäftspartner, öffentliche Quellen |
| Automatisierte Entscheidungsfindung | Ob und wie automatisierte Entscheidungen (inkl. Profiling) getroffen werden | Kreditscoring, automatische Ablehnung |
| Drittlandtransfers | Ob Daten in Drittländer übermittelt werden und welche Garantien bestehen | USA via DPF, SCCs |
Fristen: 1 Monat, Verlängerung auf 3 Monate
Die Antwortfrist ist klar geregelt in Art. 12 Abs. 3 DSGVO:
- Grundfrist: 1 Monat ab Eingang der Anfrage
- Verlängerung: Um weitere 2 Monate möglich, wenn die Anfrage komplex ist oder viele Anfragen eingehen
- Information bei Verlängerung: Du musst den Betroffenen innerhalb des ersten Monats über die Verlängerung und die Gründe informieren
- Bei Nichthandeln: Wenn du die Anfrage nicht bearbeitest, musst du innerhalb von 1 Monat die Gründe mitteilen und auf das Beschwerderecht bei der Aufsichtsbehörde hinweisen
Fristberechnung
Anfrage eingegangen: 15. April 2026
Frist (1 Monat): 15. Mai 2026
Verlängerung möglich: Bis 15. Juli 2026
-> Mitteilung über Verlängerung: Bis 15. Mai 2026
Achtung: “1 Monat” bedeutet Kalendermonat, nicht 30 Tage. Eine Anfrage vom 31. Januar muss bis zum 28./29. Februar beantwortet werden. Wenn das Fristende auf ein Wochenende oder einen Feiertag fällt, verschiebt sich die Frist auf den nächsten Werktag.
Identitätsprüfung: Wer fragt da?
Bevor du personenbezogene Daten herausgibst, musst du sicherstellen, dass die Anfrage tatsächlich von der betroffenen Person stammt. Art. 12 Abs. 6 DSGVO erlaubt es dir, zusätzliche Informationen zur Identifizierung anzufordern, wenn “begründete Zweifel” an der Identität bestehen.
Angemessene Identifizierungsmethoden
| Anfrage per | Identifizierung | Angemessenheit |
|---|---|---|
| E-Mail von bekannter Adresse | E-Mail-Adresse abgleichen mit Kundendaten | Ausreichend bei geringem Risiko |
| E-Mail von unbekannter Adresse | Rückfrage per bekannter E-Mail oder Post | Empfehlenswert |
| Kontaktformular auf der Website | E-Mail-Adresse, ggf. Kundennummer | Ausreichend bei geringem Risiko |
| Brief | Absenderadresse abgleichen | Ausreichend, ggf. Rückfrage |
| Telefon | Kundennummer + persönliche Daten abfragen | Vorsichtig sein, besser schriftlich bestätigen |
Wichtig: Verlange nicht mehr Daten zur Identifizierung als nötig. Eine Kopie des Personalausweises darfst du nur in Ausnahmefällen verlangen (z.B. bei sensiblen Daten oder wenn kein anderer Abgleich möglich ist). Die DSK hat klargestellt, dass eine Ausweiskopie in den meisten Fällen unverhältnismäßig ist.
Besonderer Fall: Anfrage per E-Mail
Wenn die Anfrage von derselben E-Mail-Adresse kommt, die in deinem System gespeichert ist, reicht das in der Regel als Identifizierung aus. Du musst nicht zusätzlich einen Ausweis verlangen. Wenn die E-Mail-Adresse nicht übereinstimmt, darfst du eine Bestätigung über die bekannte Adresse anfordern.
Kostenfreiheit und Ausnahmen
Grundsatz: Kostenfrei
Art. 15 Abs. 3 DSGVO stellt klar: Die erste Kopie der Daten muss kostenfrei bereitgestellt werden. Du darfst keine Gebühren für die Bearbeitung der Anfrage verlangen.
Ausnahmen: Entgelt oder Verweigerung
Art. 12 Abs. 5 DSGVO erlaubt es, in zwei Fällen ein angemessenes Entgelt zu verlangen oder die Anfrage zu verweigern:
- Offenkundig unbegründete Anfragen: Die Anfrage hat keinen erkennbaren Bezug zu einem Datenschutzanliegen
- Exzessive Anfragen: Dieselbe Person stellt wiederholt Anfragen in kurzen Abständen, ohne dass sich etwas geändert hat
Beweislast: Du musst nachweisen, dass die Anfrage offenkundig unbegründet oder exzessiv ist. Im Zweifel solltest du die Anfrage beantworten.
Weitere Kopien
Für jede weitere Kopie über die erste hinaus darfst du ein angemessenes Entgelt auf Basis der Verwaltungskosten verlangen (Art. 15 Abs. 3 Satz 2 DSGVO).
Format der Auskunft
Elektronisch bei elektronischer Anfrage
Art. 15 Abs. 3 Satz 3 DSGVO: Wenn die Anfrage elektronisch gestellt wird (E-Mail, Webformular), muss die Auskunft in einem gängigen elektronischen Format bereitgestellt werden. Das kann sein:
- PDF-Dokument per E-Mail
- Strukturierte Datei (CSV, JSON) für maschinenlesbare Daten
- Zugang zu einem Download-Portal
Mündliche Auskunft
Art. 12 Abs. 1 Satz 2 DSGVO: Auf Verlangen kann die Auskunft auch mündlich erteilt werden, sofern die Identität nachgewiesen ist. In der Praxis ist eine schriftliche Auskunft aber immer vorzuziehen (Nachweisbarkeit).
Muster-Antwortschreiben
Hier ein strukturiertes Muster für eine vollständige Auskunft:
Betreff: Auskunft nach Art. 15 DSGVO -- Ihr Antrag vom [Datum]
Sehr geehrte/r [Name],
vielen Dank für Ihre Anfrage vom [Datum]. Wir bestätigen, dass wir
personenbezogene Daten zu Ihrer Person verarbeiten.
1. VERARBEITUNGSZWECKE
- Vertragserfüllung (Ihre Bestellungen)
- Rechnungsstellung und Buchhaltung
- Newsletter-Versand (auf Basis Ihrer Einwilligung)
2. KATEGORIEN PERSONENBEZOGENER DATEN
- Stammdaten: Vor- und Nachname, Anschrift, Geburtsdatum
- Kontaktdaten: E-Mail-Adresse, Telefonnummer
- Vertragsdaten: Bestellhistorie, Rechnungen
- Nutzungsdaten: Newsletter-Interaktion (Öffnungsrate, Klicks)
3. EMPFAENGER IHRER DATEN
- [Hosting-Anbieter] (Auftragsverarbeiter, AVV vorhanden)
- [Newsletter-Dienst] (Auftragsverarbeiter, AVV vorhanden)
- [Steuerberater] (gesetzliche Übermittlung)
4. SPEICHERDAUER
- Vertragsdaten: 3 Jahre nach Ende der Geschäftsbeziehung
- Rechnungen: 10 Jahre (gesetzliche Aufbewahrungspflicht)
- Newsletter-Daten: Bis zum Widerruf Ihrer Einwilligung
5. DRITTLANDTRANSFERS
- [Keine / Details zu Transfers mit Garantien]
6. HERKUNFT DER DATEN
- Direkt von Ihnen erhoben (Bestellformular, Newsletter-Anmeldung)
7. AUTOMATISIERTE ENTSCHEIDUNGSFINDUNG
- Findet nicht statt.
8. IHRE RECHTE
Sie haben das Recht auf Berichtigung (Art. 16), Löschung (Art. 17),
Einschränkung der Verarbeitung (Art. 18), Datenportabilität (Art. 20),
Widerspruch (Art. 21) und Beschwerde bei der zuständigen
Aufsichtsbehörde: [Name und Kontakt der Behörde].
Anbei erhalten Sie eine Kopie Ihrer personenbezogenen Daten.
Mit freundlichen Grüßen
[Verantwortlicher]
Recht auf Kopie (Art. 15 Abs. 3)
Neben der Auskunft über die Verarbeitungsinformationen hat die betroffene Person auch ein Recht auf eine Kopie der tatsächlich verarbeiteten Daten. Das bedeutet: Du musst nicht nur mitteilen, dass du den Namen und die E-Mail-Adresse speicherst, sondern auch die konkreten Werte (“Max Mustermann”, “max@example.com”).
Was umfasst die Kopie?
Der EuGH hat in seinem Urteil vom 04.05.2023 (C-487/21) klargestellt:
- Die Kopie muss eine vollständige und originalgetreue Wiedergabe der Daten sein
- Bei komplexen Daten (z.B. Logdaten) kann eine Zusammenfassung in Tabellenform genügen
- Interne Vermerke und Bewertungen (z.B. Notizen eines Sachbearbeiters) können ebenfalls unter das Recht auf Kopie fallen
Was gehört NICHT zur Kopie?
- Interne Dokumente, die keine personenbezogenen Daten des Anfragenden enthalten
- Geschäftsgeheimnisse (aber: das Geheimhaltungsinteresse muss abgewogen werden)
- Daten Dritter (andere Personen dürfen nicht identifizierbar sein)
Abgrenzung zu anderen Betroffenenrechten
Das Auskunftsrecht wird oft mit anderen Rechten verwechselt oder kombiniert. Hier die Abgrenzung:
| Recht | Artikel | Inhalt | Abgrenzung zu Art. 15 |
|---|---|---|---|
| Auskunft | Art. 15 | Information über gespeicherte Daten und Kopie | Basis-Recht, oft Ausgangspunkt für weitere Rechte |
| Berichtigung | Art. 16 | Korrektur unrichtiger Daten | Setzt voraus, dass der Betroffene weiss, welche Daten gespeichert sind (via Art. 15) |
| Löschung | Art. 17 | Löschung aller Daten (“Recht auf Vergessenwerden”) | Weitergehend als Auskunft — betrifft die Entfernung der Daten |
| Einschränkung | Art. 18 | Sperrung der Verarbeitung (Daten bleiben gespeichert, werden aber nicht mehr genutzt) | Übergangslösung, z.B. während Prüfung der Richtigkeit |
| Datenportabilität | Art. 20 | Herausgabe der Daten in maschinenlesbarem Format (JSON, CSV) zur Übertragung an anderen Anbieter | Nur für Daten, die auf Einwilligung oder Vertrag basieren und automatisiert verarbeitet werden |
| Widerspruch | Art. 21 | Widerspruch gegen Verarbeitung auf Basis von berechtigtem Interesse | Betrifft die Rechtmäßigkeit der Verarbeitung, nicht die Auskunft |
Praxis-Tipp: Oft stellt eine betroffene Person zuerst eine Auskunftsanfrage (Art. 15) und leitet daraus einen Löschantrag (Art. 17) oder eine Berichtigungsanforderung (Art. 16) ab. Bereite dich darauf vor, dass auf die Auskunft weitere Anfragen folgen.
Die 7 häufigsten Fehler bei Auskunftsanfragen
1. Anfrage ignorieren oder vergessen
Der schlimmste Fehler: Die Anfrage geht im operativen Alltag unter. Richte einen klaren Prozess ein, wer Anfragen entgegennimmt, bearbeitet und dokumentiert.
2. Frist überziehen
1 Monat klingt lang, kann aber knapp werden, wenn die Daten über mehrere Systeme verteilt sind. Beginne sofort mit der Bearbeitung.
3. Unvollständige Auskunft
Du listest die Stammdaten auf, vergisst aber Server-Logs, Newsletter-Tracking-Daten oder Daten bei Auftragsverarbeitern. Prüfe alle Systeme, in denen Daten der Person gespeichert sein könnten.
4. Übermäßige Identitätsprüfung
Eine Ausweiskopie für eine einfache Auskunftsanfrage per bekannter E-Mail-Adresse ist unverhältnismäßig und kann als Behinderung des Rechts gewertet werden.
5. Daten Dritter herausgeben
In der Kopie der Daten tauchen versehentlich personenbezogene Daten anderer Personen auf (z.B. in E-Mail-Verläufen oder internen Notizen). Prüfe die Auskunft sorgfältig auf Daten Dritter.
6. Keine Dokumentation
Du beantwortest die Anfrage korrekt, dokumentierst aber nicht, wann die Anfrage einging und wann du geantwortet hast. Im Streitfall kannst du die fristgerechte Bearbeitung nicht nachweisen.
7. Anfrage als Löschantrag missverstehen
Eine Auskunftsanfrage ist kein Löschantrag. Lösche keine Daten, nur weil jemand nach einer Auskunft fragt. Warte auf einen expliziten Löschantrag nach Art. 17.
Interner Prozess für Auskunftsanfragen
Definiere einen klaren internen Ablauf:
1. Eingang der Anfrage
-> Zuständige Person wird benachrichtigt
-> Eingang und Datum werden dokumentiert
2. Identitätsprüfung (max. 3 Werktage)
-> Abgleich mit vorhandenen Daten
-> Ggf. Rückfrage an den Anfragenden
3. Datensammlung (max. 2 Wochen)
-> Alle Systeme prüfen: CRM, E-Mail, Analytics, Backups
-> Auftragsverarbeiter einbeziehen (haben die Daten?)
4. Prüfung und Aufbereitung (max. 1 Woche)
-> Daten Dritter entfernen
-> Auskunft nach Art. 15 Abs. 1 strukturieren
-> Kopie der Daten erstellen
5. Versand der Auskunft
-> Per E-Mail (wenn Anfrage per E-Mail kam)
-> Versanddatum dokumentieren
6. Nachbereitung
-> Anfrage und Antwort archivieren
-> Ggf. Folgeanfragen (Löschung, Berichtigung) vorbereiten
Praxis-Checkliste: Auskunftsanfragen korrekt beantworten
- Klaren internen Prozess für Betroffenenanfragen definieren
- Zuständige Person(en) benennen (z.B. DSB, Kundendienst)
- E-Mail-Adresse für Datenschutzanfragen einrichten (z.B. datenschutz@firma.de)
- Identitätsprüfung angemessen durchführen (nicht übermäßig)
- Alle Systeme identifizieren, in denen personenbezogene Daten gespeichert sind
- Auftragsverarbeiter einbeziehen (haben die weitere Daten?)
- Frist von 1 Monat einhalten, bei Verlängerung informieren
- Alle Pflichtinformationen nach Art. 15 Abs. 1 in die Auskunft aufnehmen
- Kopie der Daten bereitstellen (Art. 15 Abs. 3)
- Daten Dritter aus der Kopie entfernen
- Elektronisches Format bei elektronischer Anfrage
- Eingang, Bearbeitung und Versand dokumentieren
- Auf mögliche Folgeanfragen (Löschung, Berichtigung) vorbereitet sein
Bußgelder bei Verstößen gegen Art. 15
Verstöße gegen das Auskunftsrecht fallen unter Art. 83 Abs. 5 DSGVO — die höhere Bußgeldkategorie:
- Bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes
- In der Praxis: Deutsche Aufsichtsbehörden verhängen Bußgelder von mehreren Tausend bis mehreren Hunderttausend Euro
- Schadensersatz: Betroffene können nach Art. 82 DSGVO Schadensersatz (auch immateriellen) für eine verspätete oder verweigerte Auskunft geltend machen
Die österreichische Datenschutzbehörde hat 2023 ein Bußgeld von 2 Millionen Euro gegen ein Unternehmen verhängt, das Auskunftsanfragen systematisch ignoriert hatte.
Betroffenenrechte in der Datenschutzerklärung
Art. 13 Abs. 2 DSGVO verlangt, dass du in deiner Datenschutzerklärung über alle Betroffenenrechte informierst — einschließlich des Auskunftsrechts nach Art. 15. Dein Datenschutzerklärungstext sollte für jedes Recht kurz beschreiben, was es beinhaltet und wie es ausgeübt werden kann.
Der Compliso Content-Generator erstellt eine vollständige Datenschutzerklärung mit einem korrekten Betroffenenrechte-Abschnitt. In Kombination mit dem Compliso Scanner, der automatisch alle Verarbeitungstätigkeiten auf deiner Website erkennt, stellst du sicher, dass deine Datenschutzerklärung alle Informationen enthält, die du auch bei einer Auskunftsanfrage herausgeben müsstest.
Jetzt kostenlos scannen und sicherstellen, dass deine Datenschutzerklärung alle Betroffenenrechte korrekt abbildet. Oder direkt registrieren und deine Rechtstexte in Minuten erstellen.
Deine Website DSGVO-konform machen?
Compliso prüft deine Website automatisch auf Cookies, Tracker, Dark Patterns und Accessibility-Probleme.