Das Auskunftsrecht DSGVO gehört zu den am häufigsten ausgeübten Betroffenenrechten in der Europäischen Union. Gemäß Artikel 15 der Datenschutz-Grundverordnung hat jede betroffene Person das Recht, vom Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden, und — falls ja — Zugang zu diesen Daten und weiteren Informationen zu erhalten. Die Berliner Datenschutzbeauftragte berichtet, dass ein erheblicher Anteil aller eingehenden Beschwerden das Auskunftsrecht betrifft.
Dieser Leitfaden erklärt alle Pflichten, die sich aus dem Auskunftsrecht DSGVO für Unternehmen ergeben, welche Fristen einzuhalten sind und wie Sie ein effizientes Verfahren zur Bearbeitung von Auskunftsanfragen aufbauen. Ergänzend empfehlen wir unseren englischsprachigen Artikel zu Data Subject Access Requests.
Was umfasst das Auskunftsrecht nach DSGVO?
Das Auskunftsrecht DSGVO hat zwei Ebenen: Erstens das Recht auf Bestätigung, ob personenbezogene Daten verarbeitet werden, und zweitens das Recht auf Zugang zu den Daten selbst sowie zu bestimmten Zusatzinformationen.
Umfang der Auskunftspflicht
Gemäß Artikel 15 DSGVO muss der Verantwortliche der betroffenen Person folgende Informationen bereitstellen:
- Die Verarbeitungszwecke
- Die Kategorien personenbezogener Daten, die verarbeitet werden
- Die Empfänger oder Kategorien von Empfängern
- Die geplante Speicherdauer oder die Kriterien für die Festlegung dieser Dauer
- Das Bestehen eines Rechts auf Berichtigung, Löschung, Einschränkung oder Widerspruch
- Das Beschwerderecht bei einer Aufsichtsbehörde
- Die Herkunft der Daten, wenn sie nicht bei der betroffenen Person erhoben wurden
- Das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling
Darüber hinaus hat die betroffene Person das Recht auf eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind. Die erste Kopie ist unentgeltlich bereitzustellen; für weitere Kopien kann ein angemessenes Entgelt verlangt werden. Das Auskunftsrecht ist vom Recht auf Löschung und dem Recht auf Datenübertragbarkeit klar abzugrenzen, da es primär einen Informationsanspruch gewährt.
Welche Fristen gelten für das Auskunftsrecht?
Die Einhaltung der Fristen ist eine der häufigsten Herausforderungen beim Auskunftsrecht DSGVO. Verstöße gegen die Fristen sind ein regelmäßiger Grund für Beschwerden bei Aufsichtsbehörden.
Grundfrist und Verlängerungsmöglichkeit
Der Verantwortliche muss die Auskunft unverzüglich, spätestens jedoch innerhalb eines Monats nach Eingang der Anfrage erteilen. Diese Frist beginnt mit dem Eingang der Anfrage — nicht mit der Identitätsüberprüfung oder der internen Weiterleitung. Laut dem BfDI halten rund 30% der Unternehmen diese Frist nicht ein, was zu entsprechenden Aufsichtsmaßnahmen führt.
Bei besonders komplexen Anfragen oder einer Vielzahl von Anfragen kann die Frist um zwei weitere Monate verlängert werden. Der Verantwortliche muss die betroffene Person jedoch innerhalb des ersten Monats über die Verlängerung und deren Gründe informieren. Eine pauschale Berufung auf die Fristverlängerung ohne konkrete Begründung ist unzulässig. Der EDPB hat in seinen Leitlinien klargestellt, dass die Fristverlängerung die Ausnahme und nicht die Regel sein muss.
Wie sollten Unternehmen Auskunftsanfragen bearbeiten?
Ein strukturiertes Verfahren zur Bearbeitung von Auskunftsanfragen ist unerlässlich. Die folgenden Schritte beschreiben einen bewährten Prozess, der die DSGVO Anforderungen erfüllt.
Eingangskanal und Identitätsprüfung
Stellen Sie sicher, dass Auskunftsanfragen über verschiedene Kanäle eingehen können — per E-Mail, Post, Online-Formular oder persönlich. Es gibt kein Formerfordernis für Auskunftsanfragen; die betroffene Person muss kein bestimmtes Formular verwenden.
Vor der Erteilung der Auskunft muss der Verantwortliche die Identität der anfragenden Person überprüfen, um eine unbefugte Offenlegung zu verhindern. Die Identitätsüberprüfung muss verhältnismäßig sein. Bei bestehenden Kundenbeziehungen kann die Verifizierung über den bekannten Kommunikationskanal erfolgen; bei unbekannten Personen kann ein Ausweisdokument verlangt werden. Aufsichtsbehörden haben wiederholt Bußgelder verhängt, wenn Kundendaten ohne ausreichende Identitätsüberprüfung an unbefugte Dritte offengelegt wurden.
Datensuche und Zusammenstellung der Auskunft
Nach der Identitätsüberprüfung müssen alle Systeme durchsucht werden, in denen personenbezogene Daten der betroffenen Person gespeichert sein könnten. Dies umfasst CRM-Systeme und Kundendatenbanken, E-Mail-Postfächer und Kommunikationsarchive, HR-Systeme bei Mitarbeiteranfragen, Backup-Systeme und Archive sowie externe Dienstleister und Auftragsverarbeiter. Ein vollständiges Verzeichnis der Verarbeitungstätigkeiten, wie in unserer DSGVO Checkliste beschrieben, ist die Grundlage für eine lückenlose Suche. Ohne ein solches Verzeichnis besteht das Risiko, relevante Datenbestände zu übersehen.
Die Auskunft ist in einer präzisen, transparenten, verständlichen und leicht zugänglichen Form zu erteilen, wobei eine klare und einfache Sprache zu verwenden ist. Bei elektronischen Anfragen sind die Informationen in einem gängigen elektronischen Format bereitzustellen, sofern die betroffene Person nichts anderes angibt. In der Praxis bedeutet dies häufig die Bereitstellung der Daten als PDF-Dokument oder in tabellarischer Form über ein sicheres Portal.
Wann darf eine Auskunft verweigert werden?
Das Auskunftsrecht DSGVO ist kein absolutes Recht. Es gibt bestimmte Ausnahmen, unter denen eine Auskunft eingeschränkt oder verweigert werden kann.
Schutz der Rechte Dritter
Wenn die Erteilung der Auskunft die Rechte und Freiheiten anderer Personen beeinträchtigen würde, kann der Verantwortliche die Auskunft einschränken. Dies betrifft insbesondere Fälle, in denen Daten Dritter in den Dokumenten enthalten sind. Eine vollständige Verweigerung ist jedoch nur selten gerechtfertigt — in der Regel ist eine Schwärzung der Daten Dritter die angemessene Lösung. Die Entscheidung über eine Einschränkung muss im Einzelfall sorgfältig abgewogen und dokumentiert werden. In der Praxis empfiehlt es sich, einen standardisierten Prozess für die Prüfung solcher Einschränkungen zu etablieren, der sowohl die rechtlichen Grundlagen als auch die konkreten Umstände jedes Einzelfalls berücksichtigt.
Offensichtlich unbegründete oder exzessive Anfragen
Bei offensichtlich unbegründeten oder exzessiven Anfragen, insbesondere bei häufiger Wiederholung, kann der Verantwortliche entweder ein angemessenes Entgelt verlangen oder die Bearbeitung verweigern. Die Beweislast für den unbegründeten oder exzessiven Charakter liegt beim Verantwortlichen. In seinem Urteil vom 19. März 2026 (C-526/24, Brillen Rottler) hat der EuGH erstmals klargestellt, dass bereits ein erster Auskunftsantrag nach Artikel 15 DSGVO als rechtsmissbräuchlich abgelehnt werden kann, wenn er nicht der Kontrolle der Datenverarbeitung, sondern ausschließlich der Generierung von Schadensersatzansprüchen dient. Gerichte haben ansonsten einen strengen Maßstab angelegt — allein die Häufigkeit einer Anfrage reicht nicht aus, um sie als exzessiv einzustufen. Die Schwelle für eine berechtigte Verweigerung liegt hoch, und Unternehmen sollten im Zweifelsfall eher die Auskunft erteilen, als das Risiko eines Aufsichtsverfahrens einzugehen. Jede Verweigerung sollte intern dokumentiert werden, damit sie gegenüber der Aufsichtsbehörde nachvollziehbar begründet werden kann, falls die betroffene Person eine Beschwerde einlegt.
Konsequenzen bei Verstößen gegen das Auskunftsrecht
Verstöße gegen das Auskunftsrecht DSGVO können erhebliche Konsequenzen haben. Die Aufsichtsbehörden haben in den vergangenen Jahren zahlreiche Bußgelder wegen Verstößen gegen Artikel 15 DSGVO verhängt. Verstöße können mit Bußgeldern von bis zu 4% des weltweiten Jahresumsatzes geahndet werden. Darüber hinaus können betroffene Personen Schadensersatz gemäß Artikel 82 DSGVO geltend machen. Das Bundesarbeitsgericht hat entschieden, dass bereits die verspätete Auskunftserteilung einen immateriellen Schadensersatzanspruch begründen kann. Auch andere Gerichte in Deutschland und der EU folgen zunehmend dieser Linie, sodass Unternehmen neben aufsichtsrechtlichen Sanktionen auch mit zivilrechtlichen Klagen rechnen müssen.
Die DSGVO Anforderungen zur fristgerechten Bearbeitung sind daher nicht nur regulatorisch, sondern auch zivilrechtlich relevant. Eine proaktive Datenschutz-Folgenabschätzung kann dazu beitragen, Risiken bei der Bearbeitung von Auskunftsanfragen frühzeitig zu identifizieren und geeignete Gegenmaßnahmen zu treffen. Für eine umfassende Analyse der Bußgeldpraxis verweisen wir auf unseren Artikel zu GDPR Fines.
FAQ
Muss ich für die Auskunft nach DSGVO bezahlen?
Nein, die erste Kopie der personenbezogenen Daten ist grundsätzlich kostenlos bereitzustellen. Nur für weitere Kopien kann ein angemessenes Entgelt auf Grundlage der Verwaltungskosten verlangt werden. Bei offensichtlich unbegründeten oder exzessiven Anfragen darf der Verantwortliche ein angemessenes Entgelt erheben oder die Bearbeitung verweigern.
In welchem Format muss die Auskunft erteilt werden?
Die Auskunft muss in einer präzisen, transparenten und leicht zugänglichen Form erteilt werden. Bei elektronischen Anfragen soll die Auskunft in einem gängigen elektronischen Format erfolgen. In der Praxis bedeutet dies häufig PDF- oder CSV-Dateien, die per E-Mail oder über ein sicheres Portal bereitgestellt werden.
Kann ich als betroffene Person auch telefonisch Auskunft verlangen?
Ja, eine Auskunftsanfrage ist an keine bestimmte Form gebunden. Sie kann schriftlich, per E-Mail, telefonisch oder persönlich gestellt werden. Der Verantwortliche darf die Anfrage nicht allein deshalb ablehnen, weil sie nicht über ein bestimmtes Formular oder einen bestimmten Kanal eingegangen ist.
Automate your GDPR compliance
Save 340+ hours per year on compliance work. Legiscope provides AI-powered GDPR management trusted by compliance professionals.
Discover Legiscope
