Datenschutz

Auskunftsersuchen bearbeiten 2026: Art. 15 DSGVO Prozess + Antwort-Muster

Auskunftsersuchen nach Art. 15 DSGVO bearbeiten: Prozess-Muster, Fristen, Antwort-Vorlagen zum Kopieren und häufige Fehler bei der DSAR-Bearbeitung.

In einem Satz. Ein Auskunftsersuchen nach Art. 15 DSGVO verpflichtet Sie, einer betroffenen Person innerhalb eines Monats (Art. 12 Abs. 3) unentgeltlich mitzuteilen, ob und welche Daten Sie verarbeiten — inklusive Zwecke, Empfänger, Speicherdauer, Herkunft und einer Kopie der Daten (Abs. 3); der Prozess braucht Identitätsprüfung, Fristenkontrolle und Antwortvorlagen.

Das Auskunftsrecht ist das meistgenutzte Betroffenenrecht und ein häufiger Bußgeldauslöser. Wer nicht rechtzeitig oder unvollständig antwortet, riskiert Beschwerde und Sanktion. Diese Vorlage liefert Prozess und Antwort-Muster. Grundlagen im Leitfaden Auskunftsrecht und im Beitrag zu Art. 15.

Wichtige Punkte

  • Frist: 1 Monat, verlängerbar um 2 Monate bei Komplexität (Art. 12 Abs. 3).
  • Grundsätzlich unentgeltlich (Art. 12 Abs. 5).
  • Identität prüfen, aber nicht überzogen (Art. 12 Abs. 6).
  • Datenkopie nach Art. 15 Abs. 3.
  • Bußgeld bis 20 Mio. € / 4 % (Art. 83 Abs. 5).

Der Prozess in 6 Schritten

Schritt Aktion Frist
1 Eingang erfassen, Frist starten Tag 0
2 Identität prüfen (verhältnismäßig) Tag 0–3
3 Daten aus allen Systemen zusammenführen Tag 3–20
4 Rechte Dritter / Ausnahmen prüfen Tag 20–25
5 Auskunft + Datenkopie erstellen Tag 25–28
6 Sicher zustellen, dokumentieren bis Tag 30

Antwort-Muster 1: Eingangsbestätigung

Betreff: Ihr Auskunftsersuchen vom [Datum]

Sehr geehrte/r [Name],

wir bestätigen den Eingang Ihres Antrags auf Auskunft nach Art. 15
DSGVO. Zur Bearbeitung müssen wir Ihre Identität feststellen; bitte
[Angabe: Kundennummer / Bestätigung per hinterlegter E-Mail].

Wir beantworten Ihr Ersuchen innerhalb eines Monats. Sollte die
Bearbeitung aufgrund der Komplexität länger dauern, informieren wir
Sie fristgerecht über eine Verlängerung um bis zu zwei Monate.

Mit freundlichen Grüßen
[Verantwortlicher]

Antwort-Muster 2: Vollständige Auskunft

Betreff: Auskunft nach Art. 15 DSGVO

Sehr geehrte/r [Name],

wir verarbeiten personenbezogene Daten zu Ihrer Person wie folgt:

1. Verarbeitungszwecke: [z. B. Vertragsabwicklung, Marketing]
2. Kategorien der Daten: [Stammdaten, Vertrags-, Kommunikationsdaten]
3. Empfänger / Kategorien: [IT-Dienstleister (AV), Versanddienst]
4. Speicherdauer: [konkret oder Kriterien]
5. Herkunft der Daten: [von Ihnen / aus öffentlicher Quelle]
6. Bestehen automatisierter Entscheidungen: [ja/nein, ggf. Logik]
7. Drittlandübermittlung: [nein / Garantien nach Art. 46]

Ihre Rechte: Berichtigung (Art. 16), Löschung (Art. 17),
Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch
(Art. 21) sowie Beschwerde bei einer Aufsichtsbehörde (Art. 77).

Eine Kopie Ihrer Daten finden Sie in der beigefügten Anlage.

Mit freundlichen Grüßen
[Verantwortlicher]

So passen Sie das Muster an

  1. Alle Systeme einbeziehen. CRM, E-Mail, Ticketing, Backups, Marketing-Tools. Der EuGH (C-487/21) verlangt eine originalgetreue, verständliche Kopie — kein bloßes Feldverzeichnis.
  2. Rechte Dritter wahren. Art. 15 Abs. 4 schützt Rechte anderer Personen; schwärzen Sie fremde Daten, statt die Auskunft zu verweigern.
  3. Identitätsprüfung dosieren. Nur bei begründeten Zweifeln zusätzliche Nachweise verlangen (Art. 12 Abs. 6) — nicht routinemäßig Ausweiskopien.
  4. Sichere Zustellung. Versenden Sie die Datenkopie verschlüsselt oder über ein geschütztes Portal — sonst droht eine Datenpanne.
  5. Mit dem Verzeichnis abgleichen. Ihr Verarbeitungsverzeichnis liefert Zwecke, Empfänger und Speicherdauern für die Auskunft.

Grenzen und Ausnahmen des Auskunftsrechts

Das Auskunftsrecht ist weit, aber nicht grenzenlos. Art. 15 Abs. 4 stellt klar, dass das Recht auf eine Kopie die Rechte und Freiheiten anderer Personen nicht beeinträchtigen darf — betreffen die Daten also auch Dritte (etwa in E-Mail-Verläufen oder Vermerken), sind deren Angaben zu schwärzen, statt die Auskunft ganz zu verweigern. Weitere Grenzen ergeben sich aus § 34 BDSG, der die Auskunft in bestimmten Fällen einschränkt (etwa wenn Daten nur wegen gesetzlicher Aufbewahrungsfristen gespeichert sind und der Auskunftsaufwand unverhältnismäßig wäre), sowie aus Berufs- und Geschäftsgeheimnissen. Bei offenkundig unbegründeten oder exzessiven Anträgen — etwa bei wiederholten, kurz aufeinanderfolgenden Ersuchen derselben Person — kann der Verantwortliche ein angemessenes Entgelt verlangen oder die Bearbeitung verweigern (Art. 12 Abs. 5). Die Beweislast für den exzessiven Charakter trägt jedoch der Verantwortliche; eine pauschale Verweigerung ist riskant.

Auskunftsersuchen als Frühwarnsystem

Ein Auskunftsersuchen ist selten zufällig. Häufig steht es am Anfang einer Auseinandersetzung — etwa vor einer Kündigungsschutzklage, einer Schadensersatzforderung nach Art. 82 oder einer Beschwerde bei der Aufsichtsbehörde nach Art. 77. Eine unvollständige, verspätete oder unsichere Auskunft liefert der Gegenseite zusätzliche Angriffspunkte und dokumentiert Organisationsdefizite. Umgekehrt signalisiert eine professionelle, fristgerechte Bearbeitung, dass Ihr Datenschutz funktioniert. Behandeln Sie jedes Ersuchen deshalb ernst und einheitlich, unabhängig davon, wer es stellt. Ein sauberes Verarbeitungsverzeichnis ist dabei die halbe Miete, weil es alle Systeme, Zwecke und Empfänger bereits benennt.

Häufige Fehler

  • Frist versäumen. Die Monatsfrist läuft ab Eingang, nicht ab Identitätsprüfung. Eine Verlängerung ist nur mit fristgerechter Information zulässig.
  • Auskunft von einer Gebühr abhängig machen. Die erste Auskunft ist unentgeltlich. Nur bei offenkundig unbegründeten oder exzessiven Anträgen darf ein Entgelt verlangt oder abgelehnt werden (Art. 12 Abs. 5).
  • Datenkopie verweigern. Der EuGH (C-307/22) hat bestätigt: Auch bei kommerziellem Motiv besteht Anspruch auf die kostenlose Kopie.
  • Zu enge Auslegung. Der EuGH (C-460/20) verlangt auch Auskunft über konkrete Empfänger, nicht nur über Empfängerkategorien, sofern die Person dies wünscht.
  • Unsichere Zustellung. Eine unverschlüsselte Mail mit allen Kundendaten an die falsche Adresse ist selbst ein meldepflichtiger Vorfall.

Bei vielen Anfragen wird die Fristenkontrolle zum Engpass. Legiscope erfasst Auskunftsersuchen zentral, überwacht die Monatsfrist automatisch und zieht die relevanten Verarbeitungen aus dem Verzeichnis für die Antwort zusammen.

FAQ

Wie lange habe ich Zeit für die Antwort?

Einen Monat ab Eingang des Antrags (Art. 12 Abs. 3). Bei besonders komplexen oder zahlreichen Anträgen können Sie um bis zu zwei weitere Monate verlängern — allerdings nur, wenn Sie die betroffene Person innerhalb des ersten Monats über die Verlängerung und deren Gründe informieren.

Darf ich einen Ausweis verlangen?

Nur bei begründeten Zweifeln an der Identität (Art. 12 Abs. 6). Bei bestehenden Kundenkonten reicht meist die Bestätigung über die hinterlegte E-Mail-Adresse. Routinemäßige Ausweiskopien sind unverhältnismäßig und selbst datenschutzrechtlich heikel.

Muss ich wirklich eine Kopie aller Daten herausgeben?

Ja, Art. 15 Abs. 3 gibt Anspruch auf eine Kopie der verarbeiteten personenbezogenen Daten. Der EuGH legt „Kopie" weit aus: Die Reproduktion muss so beschaffen sein, dass die betroffene Person ihre Rechte wirksam ausüben kann. Rechte Dritter (Art. 15 Abs. 4) sind durch Schwärzung zu wahren.

Was gilt bei einem Auskunftsersuchen an einen Auftragsverarbeiter?

Betroffene richten ihren Antrag an den Verantwortlichen, nicht an dessen Dienstleister. Geht ein Ersuchen versehentlich beim Auftragsverarbeiter ein, muss dieser es unverzüglich an den Verantwortlichen weiterleiten und ihn bei der Beantwortung unterstützen — genau das regelt § 7 des AVV-Musters. Die inhaltliche Beantwortung und die Fristwahrung bleiben Sache des Verantwortlichen.

In welchem Format muss ich die Auskunft erteilen?

Wird der Antrag elektronisch gestellt, ist die Auskunft nach Art. 12 Abs. 3 grundsätzlich in einem gängigen elektronischen Format bereitzustellen, sofern die betroffene Person nichts anderes wünscht. Ein sicher zugestelltes PDF oder ein verschlüsselter Datenexport sind übliche Wege. Wichtig ist die Verständlichkeit: Rohdatenbanken-Auszüge mit kryptischen Feldnamen genügen nicht, wenn die Person daraus ihre Rechte nicht ableiten kann. Bei umfangreichen Datenbeständen empfiehlt sich eine strukturierte Aufbereitung nach den Kategorien des Art. 15 Abs. 1 (Zwecke, Empfänger, Speicherdauer usw.) plus die eigentliche Datenkopie als Anlage. Die Zustellung muss sicher erfolgen — eine unverschlüsselte Sammelmail an die falsche Adresse ist ihrerseits eine meldepflichtige Datenpanne.

Fazit

Das Auskunftsersuchen ist Routine — aber nur mit einem definierten Prozess. Erfassen Sie den Eingang sofort, prüfen Sie die Identität verhältnismäßig, führen Sie Daten aus allen Systemen zusammen und antworten Sie fristgerecht mit Datenkopie. Wer das Verfahren standardisiert, vermeidet den häufigsten Beschwerdegrund überhaupt. Den Normtext des Art. 15 finden Sie bei EUR-Lex, Musterschreiben stellt der BfDI bereit.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →