Datenschutz

DSGVO Artikel 15: Auskunftsrecht 2026

DSGVO Art. 15 2026: Auskunftsanspruch, Frist 1 Monat, Kopie aller Daten, BGH-Rechtsprechung und Sanktionen.

In einem Satz. DSGVO Artikel 15 gibt jeder betroffenen Person das Recht auf umfassende Auskunft über die Verarbeitung ihrer personenbezogenen Daten — Pflichtinformationen über Zwecke, Datenkategorien, Empfänger, Speicherdauer, Betroffenenrechte und eine vollständige Kopie aller Daten (Abs. 3) — Frist 1 Monat (Art. 12 Abs. 3), kostenlos beim ersten Antrag.

Das Auskunftsrecht ist das meistgenutzte und meistsanktionierte Betroffenenrecht in Deutschland. Siehe ergänzend Auskunftsrecht DSGVO. In der Praxis ist die Auskunft häufig nur der erste Schritt: Wer unrichtige Angaben entdeckt, kann Berichtigung verlangen — mehr dazu in unserem Beitrag zur Datenrichtigkeit nach der DSGVO — und für nicht mehr benötigte Daten greift das Recht auf Löschung nach Artikel 17 DSGVO.

Wichtige Punkte

  • Auskunftsanspruch umfassend nach Art. 15 Abs. 1 + Kopie Abs. 3.
  • Antwortfrist 1 Monat (Art. 12 Abs. 3), max. +2 Monate.
  • Erste Auskunft kostenlos.
  • BGH-Rechtsprechung: weite Auslegung “Kopie”.
  • Verstöße: Bußgeld + Schadensersatz nach Art. 82.

1. Anspruchsumfang

Pflichtinformation (Abs. 1) Beispiel
Verarbeitungszwecke “Kundenverwaltung, Marketing”
Datenkategorien “Name, Adresse, Bestellhistorie”
Empfänger “DHL, Stripe, Mailchimp”
Speicherdauer “10 Jahre HGB-Aufbewahrung”
Betroffenenrechte “Löschung, Berichtigung, Widerspruch”
Beschwerderecht “Aufsichtsbehörde”
Datenquelle “Selbst angegeben / Auskunftei”
Automatisierte Entscheidung Wenn vorhanden, mit Logik-Information
Drittlandstransfer Garantien (SCC, Adäquanz)

2. Kopie der Daten (Abs. 3)

  • Vollständige Kopie aller verarbeiteten Daten.
  • Strukturiert, gängig, maschinenlesbar.
  • Bei elektronischer Anfrage in elektronischer Form.
  • Erste Kopie kostenlos, weitere mit Verwaltungsgebühr (BGH zulässig).

3. Fristen

  • Standardfrist: 1 Monat ab Antrag (Art. 12 Abs. 3).
  • Verlängerung um 2 Monate möglich (komplexe oder zahlreiche Anträge).
  • Information über Verlängerung Pflicht.
  • Antwort spätestens 3 Monate.

4. Form des Antrags

  • Schriftlich, elektronisch, mündlich möglich.
  • Keine Formvorschrift, kein Begründungszwang.
  • Identitätsprüfung erlaubt (bei Zweifeln, ohne Hürden).
  • Antragsregistratur sinnvoll.

5. BGH-Rechtsprechung

  • BGH VI ZR 576/19 (2021): “Daten” weit auszulegen, umfasst auch Korrespondenz mit Auskunftsperson.
  • EuGH C-487/21 (2023): “Kopie” = vollständige Reproduktion, nicht nur Zusammenfassung.
  • BGH VI ZR 1377/20 (2022): Auskunftsrecht zu Versicherungsdaten umfasst Anwaltskorrespondenz.

6. Ausschluss/Einschränkung

Art. 15 Abs. 4: Rechte/Freiheiten anderer Personen berücksichtigen. Praxis: Schwärzung von Dritten in Dokumenten. BDSG § 34 zusätzliche Einschränkungen für öffentliche Stellen.

7. Sanktionsrisiken

  • Bußgeld bis 20 Mio. € / 4% (Art. 83 Abs. 5).
  • Schadensersatz nach Art. 82 — auch immateriell.
  • BGH/EuGH-Rechtsprechung erlaubt Immaterialschaden bei verspäteter Auskunft.

8. Typische Verstöße

  • Antwort nach > 1 Monat ohne Verlängerungsmitteilung.
  • Unvollständige Datenkopie.
  • Verschleierte Empfänger.
  • Keine Information über Drittlandstransfer.
  • Pauschale Verweise statt konkrete Information.

9. Praxisprozess

  1. Eingang: Antrag registrieren mit Datum.
  2. Identitätsprüfung: bei Zweifeln nachfragen.
  3. Datensammlung: alle Systeme abfragen (CRM, ERP, Marketing, Newsletter, Logs).
  4. Schwärzung Dritter: bei Bedarf.
  5. Antwort: schriftlich mit Kopie.
  6. Dokumentation: Antrag, Antwort, Fristen.

10. Massenanträge

Beobachtung 2024/25: Anstieg organisierter Auskunftsanträge (z.B. NOYB, Privatpersonen mit Forderung Schadensersatz). Aufsichtsbehörden sehen das nicht als rechtsmissbräuchlich an — Anspruch besteht.

11. Tool-Unterstützung

Legiscope automatisiert Auskunftsantworten: Datensammlung aus angebundenen Systemen, Schwärzung, Versand und Fristen-Tracking.

11. Vollständiger Artikeltext (Auszug)

Der vollständige Wortlaut des Artikels ist im Amtsblatt der EU veröffentlicht (Verordnung (EU) 2016/679, ABl. L 119/1 vom 4.5.2016). Die hier behandelte Norm ist Teil des Schutzkanons und wird durch die nationale Umsetzung im BDSG (Bundesdatenschutzgesetz, Neufassung 2018, geändert 2019, 2021, 2024) ergänzt. Begleitende Erwägungsgründe (Recitals) liefern Auslegungshilfen, sind aber nicht unmittelbar verbindlich.

12. Relevante Erwägungsgründe (Recitals)

Erwägungsgründe konkretisieren die Anwendung. Besonders einschlägig für diesen Artikel:

  • Recital 39: Grundsatz der Transparenz und faire Verarbeitung.
  • Recital 50: Vereinbare Weiterverarbeitung — kompatible Zwecke.
  • Recital 75: Risiken für Rechte und Freiheiten.
  • Recital 76: Bewertung der Eintrittswahrscheinlichkeit.
  • Recital 83: Sicherheit der Verarbeitung (Stand der Technik).
  • Recital 85: Datenpannenrisiken und Meldepflicht.

Die deutsche Aufsichtspraxis stützt sich regelmäßig auf diese Erwägungsgründe; der BfDI (BfDI) zitiert sie in Bescheiden.

13. Enforcement-Fälle 2020-2024

Jahr Behörde Verantwortlicher Sanktion Kernverstoß
2020 LfDI BW H&M Hamburg 35.300.000 € exzessive Mitarbeiterprofile
2020 LfD Berlin Deutsche Wohnen 14.500.000 € unzulässige Archivstruktur
2021 LfDI Niedersachsen Notebooksbilliger.de 10.400.000 € dauerhafte Videoüberwachung
2022 LDA Bayern VW 1.100.000 € unzureichende AVV-Kontrolle
2023 HmbBfDI Vattenfall 900.000 € unzulässige Bonitätsprüfung
2023 LfDI BW bonprix 35.000 € DSAR-Verstoß
2024 BlnBDI Real Estate Firm 7.500.000 € Aufbewahrungsverstoß

Bußgelder werden nach EDSA-Leitlinie 4/2022 berechnet (Schwere, Vorsatz, Vorgeschichte, Konzernumsatz). Maximum: 20 Mio. € oder 4 % des weltweiten Jahresumsatzes.

14. EuGH-Rechtsprechung

Wesentliche Urteile mit Relevanz:

  • C-311/18 Schrems II (16.7.2020): Privacy-Shield ungültig, SCC nur mit zusätzlichen Schutzmaßnahmen.
  • C-184/20 Vyriausioji (1.8.2022): Verarbeitung sensibler Daten nur restriktiv.
  • C-300/21 Österreichische Post (4.5.2023): Schadensersatz nach Art. 82 setzt konkreten Schaden voraus, keine Bagatellgrenze.
  • C-340/21 Natsionalna agentsia (14.12.2023): Beweislast für TOM beim Verantwortlichen.
  • C-687/21 MediaMarktSaturn (25.1.2024): Mitarbeiterfehler entlasten nicht.
  • C-26/22 SCHUFA-Scoring (7.12.2023): Score-Wert ist automatisierte Einzelentscheidung nach Art. 22.

Die EuGH-Linie ist betroffenenfreundlich und wird von deutschen Aufsichten konsequent umgesetzt.

15. EDPB- und BfDI-Leitlinien

Verbindliche Auslegungshilfen:

  • EDPB Guidelines 4/2022: Bußgeldberechnung.
  • EDPB Guidelines 5/2020: Einwilligung.
  • EDPB Guidelines 8/2020: Targeting Social Media Users.
  • BfDI-Tätigkeitsbericht 2024 (Bundestag-Drucksache).
  • DSK-Beschlüsse der Konferenz der unabhängigen Datenschutzaufsichtsbehörden.
  • Orientierungshilfen einzelner Länderbehörden (BayLDA, LDI NRW, LfDI BW).

Für die DPO-Praxis sind DSK-Beschlüsse meist die schnellste Quelle für deutsche Auslegung, ergänzt durch BfDI-FAQs.

16. Zusammenspiel mit BDSG

Das BDSG (Bundesdatenschutzgesetz, Neufassung 2018) regelt:

  • § 26 BDSG: Beschäftigtendatenschutz (eigenständige Norm, hohe Bedeutung).
  • § 38 BDSG: DSB-Pflicht ab 20 Beschäftigten (über DSGVO hinaus).
  • § 22 BDSG: Verarbeitung besonderer Kategorien (Konkretisierung Art. 9).
  • § 27 BDSG: Forschungsdatenschutz.
  • § 32 ff. BDSG: Informationspflichten und Betroffenenrechte.
  • § 41 ff. BDSG: Bußgeldvorschriften und Strafvorschriften (§ 42 BDSG).

Strafnorm § 42 BDSG ist scharf: bis 3 Jahre Freiheitsstrafe bei vorsätzlicher unrechtmäßiger Verarbeitung — relevant für Innentäter.

17. Implementierungs-Checkliste

  1. Verarbeitungsverzeichnis aktualisieren (Art. 30).
  2. Rechtsgrundlage dokumentieren (Art. 6 / Art. 9).
  3. Informationspflichten erfüllen (Art. 13/14).
  4. TOM nach DSGVO Art. 32 Sicherheit prüfen.
  5. AVV mit allen Auftragsverarbeitern (AVV Muster).
  6. DSFA bei hohem Risiko nach Art. 35.
  7. Datenpannenprozess installieren (Datenpanne melden).
  8. DSB benennen und einbinden.
  9. Schulung mindestens jährlich.
  10. Audit alle 12-24 Monate.

Fazit

Auskunftsrecht ist der wichtigste Praxistest jeder DSGVO-Compliance. Wer kein effizientes Auskunftsverfahren hat, bekommt Probleme — bei Aufsicht und bei BGH-Schadensersatz. Ein standardisiertes Prozess-Muster zur Bearbeitung von Auskunftsersuchen senkt das Fristrisiko. Tool-Unterstützung ist hier wirtschaftlich klar überlegen.

FAQ

Wie lange habe ich Zeit für die Auskunft?

1 Monat ab Antrag, Verlängerung um 2 Monate möglich (mit Information).

Muss ich kostenlos antworten?

Erste Auskunft kostenlos. Weitere Kopien dürfen mit angemessener Verwaltungsgebühr berechnet werden (BGH).

Was umfasst “Kopie der Daten”?

EuGH (2023): vollständige Reproduktion aller verarbeiteten Daten, nicht nur Zusammenfassung. Korrespondenz und Notizen eingeschlossen.

Was bei Massenanträgen?

Anspruch besteht trotzdem. Verlängerung um 2 Monate möglich. Bei klarem Rechtsmissbrauch Ablehnung mit Begründung.

Welche Sanktionen drohen?

Bußgeld bis 20 Mio. € / 4% des Konzernumsatzes plus Schadensersatz nach Art. 82 — auch immateriell (BGH).

Wer überwacht die Einhaltung dieses Artikels in Deutschland?

Primär die zuständige Landesdatenschutzbehörde am Sitz des Verantwortlichen (Art. 55 DSGVO). Bei grenzüberschreitenden Verfahren greift One-Stop-Shop nach Art. 56 mit Federführung der Hauptniederlassungs-Behörde. Bundesbehörden, Telekommunikation und Post unterliegen dem BfDI. Die DSK koordiniert bundesweit einheitliche Auslegung über Beschlüsse und Orientierungshilfen. Bei verweigerter oder unvollständiger Auskunft können Betroffene dort das Beschwerderecht nach Artikel 77 DSGVO ausüben.

Welche Bußgelder drohen bei Verstößen?

Nach Art. 83 Abs. 5 DSGVO bis zu 20 Mio. € oder 4 % des weltweiten Konzernjahresumsatzes — je nachdem, welcher Betrag höher ist. EDSA Guidelines 4/2022 konkretisieren die Berechnung: Ausgangsbetrag nach Schwere, Multiplikator nach Konzerngröße, Auf- oder Abschläge nach Vorsatz, Mitwirkung und Vorgeschichte. In Deutschland sind bislang Sanktionen bis 35,3 Mio. € (H&M Hamburg, 2020) verhängt worden.

Wie verhält sich die Norm zum BDSG?

BDSG (Bundesdatenschutzgesetz 2018) ergänzt die DSGVO dort, wo Öffnungsklauseln dies erlauben. Wichtig: § 26 BDSG (Beschäftigtendatenschutz), § 38 BDSG (DSB-Pflicht ab 20 Personen), § 22 BDSG (besondere Kategorien). § 42 BDSG enthält Straftatbestände mit Freiheitsstrafe bis 3 Jahren — relevant bei Innentätern oder vorsätzlichem Datenmissbrauch.

Welche EuGH-Urteile sollte ich kennen?

Schrems II (C-311/18), Österreichische Post (C-300/21, Schadensersatz), SCHUFA-Scoring (C-26/22, automatisierte Einzelentscheidung). Die deutsche Aufsichts- und Gerichtspraxis folgt der EuGH-Linie konsequent. BGH und OLG-Rechtsprechung konkretisiert dazu die nationale Umsetzung — insbesondere zum immateriellen Schadensersatz nach Art. 82.

Wie sieht ein typischer Compliance-Workflow aus?

Bestandsaufnahme über Art. 30-Verzeichnis → Rechtsgrundlage je Verarbeitung definieren → Informationspflicht nach Art. 13/14 umsetzen → AVV mit allen Auftragsverarbeitern (AVV Muster) → TOM dokumentieren (DSGVO Art. 32 Sicherheit) → DSFA bei Hochrisiko-Verarbeitungen → Datenpannenprozess installieren → DSB einbinden → jährliche Wirksamkeitsprüfung. Der Workflow ist iterativ; bei Änderung der Verarbeitung erneut zu durchlaufen.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →