Art. 15 DSGVO in der Praxis: Auskunftsersuchen rechtssicher und fristgerecht bearbeiten

Art. 15 DSGVO gibt jeder betroffenen Person das Recht, von einem Verantwortlichen eine Bestätigung zu erhalten, ob sie betreffende personenbezogene Daten verarbeitet werden, und im Bejahungsfall eine umfassende Auskunft inklusive Datenkopie zu verlangen. Die Frist beträgt nach Art. 12 Abs. 3 DSGVO einen Monat ab Eingang des Antrags, in komplexen Fällen verlängerbar um zwei weitere Monate. Wer die Frist reißt oder unvollständig antwortet, riskiert Bußgelder nach Art. 83 DSGVO und reputative Schäden, sobald Aufsichtsbehörden oder Gerichte eingebunden werden.

Dieser Beitrag bündelt, was Verantwortliche operativ benötigen: Sie lernen die Reichweite des Anspruchs, die Pflichtbestandteile der Antwort, zulässige Ausnahmen, die Identitätsprüfung sowie den Umgang mit wiederholten oder offenkundig unbegründeten Anträgen kennen. Außerdem zeigen wir, wie Sie den gesamten Prozess in einer Compliance-Plattform und Officer-as-a-Service abbilden, sodass jede Anfrage protokolliert, fristgerecht beantwortet und im Audit belegbar ist.

Art. 15 Abs. 1 DSGVO listet zehn Pflichtinformationen auf, die Sie betroffenen Personen mitteilen müssen: Verarbeitungszwecke, Kategorien personenbezogener Daten, Empfänger oder Empfängerkategorien (insbesondere in Drittländern), geplante Speicherdauer, Bestehen von Rechten auf Berichtigung, Löschung und Einschränkung, Beschwerderecht bei einer Aufsichtsbehörde, Herkunft nicht beim Betroffenen erhobener Daten, automatisierte Entscheidungsfindung einschließlich Profiling sowie geeignete Garantien bei Drittlandtransfers nach Art. 46 DSGVO.

Abs. 3 verlangt zusätzlich eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind. Der Europäische Gerichtshof hat in C-487/21 vom 4. Mai 2023 klargestellt: Die Kopie umfasst grundsätzlich die Daten in einer Form, die der betroffenen Person eine wirksame Wahrnehmung ihrer Rechte ermöglicht, gegebenenfalls einschließlich Auszügen aus Dokumenten oder Datenbanken. Die Begriffe Information und Datenkopie sind also nicht deckungsgleich, sondern ergänzen einander.

Operativ heißt das: Sie benötigen eine Routine, die Verarbeitungsverzeichnis nach Art. 30 DSGVO, Empfängerliste und tatsächliche Datenbestände zusammenführt. Ein externer Datenschutzbeauftragter sorgt dafür, dass diese Routine im Workspace hinterlegt und jederzeit reproduzierbar ist.

Die Grundfrist beträgt einen Monat ab Eingang des Antrags. Maßgeblich ist der Tag, an dem die Anfrage in Ihrer Organisation eintrifft, nicht der Tag der Kenntnisnahme durch den zuständigen Sachbearbeiter. Frist läuft ab Kenntnis. Eine Verlängerung um zwei weitere Monate ist nach Art. 12 Abs. 3 Satz 2 DSGVO möglich, wenn die Komplexität oder Anzahl der Anträge dies erfordert. In diesem Fall müssen Sie die betroffene Person innerhalb des ersten Monats über die Verlängerung und deren Gründe informieren.

Verspätungen werden von Aufsichtsbehörden konsequent geahndet. Die LfDI Baden-Württemberg verhängte beispielsweise wiederholt Bußgelder im fünfstelligen Bereich, wenn Auskünfte ohne Begründung über Monate verzögert wurden. Auch Zivilgerichte sprechen Schadensersatz nach Art. 82 DSGVO zu, das BAG bestätigte am 5. Mai 2022 (Az. 2 AZR 363/21) den Anspruch dem Grunde nach.

Pragmatisch bedeutet das: Tag eins beginnt mit dem ersten Posteingang oder der ersten E-Mail. Jeder Bearbeitungsschritt gehört in ein Fristenregister mit automatischer Erinnerung sieben und drei Tage vor Ablauf. Die CIVAC-Plattform und Officer-as-a-Service bilden diesen Fristenlauf inklusive Eskalation an die Geschäftsleitung ab.

Bevor Sie Auskunft erteilen, müssen Sie sicher sein, dass die anfragende Person tatsächlich die betroffene Person ist. Art. 12 Abs. 6 DSGVO erlaubt zusätzliche Informationen zur Identitätsfeststellung, wenn begründete Zweifel bestehen. Diese Schwelle ist hoch: Die bloße Tatsache, dass eine Anfrage per E-Mail eingeht, rechtfertigt keine Kopie des Personalausweises. Der EDSA betonte in Leitlinie 01/2022, dass die Maßnahme verhältnismäßig sein muss.

In der Praxis hat sich ein gestuftes Verfahren bewährt. Bei Kundenkonten reicht häufig die Verifizierung über den hinterlegten Login. Bei Anfragen ohne bestehende Geschäftsbeziehung können Sie eine zweite, bereits hinterlegte Kontaktinformation gegenprüfen oder einen Verifizierungscode an die hinterlegte Adresse senden. Eine Ausweiskopie ist nur zulässig, wenn andere Mittel nicht greifen, und dann mit Schwärzung nicht erforderlicher Daten.

Dokumentieren Sie jeden Verifizierungsschritt. Im Audit-fest, dokumentiert, § 5 DSGVO-fest geführten Workspace hinterlegen Sie pro Anfrage, welche Methode genutzt wurde, wer entschieden hat und warum. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen.

Der EuGH hat in C-487/21 und C-307/22 die Reichweite konkretisiert. Die Kopie muss alle Daten umfassen, die die betroffene Person betreffen, einschließlich solcher aus Notizen, internen Vermerken oder strukturierten Datenbanken, soweit sie personenbeziehbar sind. Auszugsweise Wiedergabe genügt, wenn der Kontext nicht verfälscht wird. Eine wörtliche Kopie ganzer Dokumente ist nur erforderlich, wenn ohne sie der Sinngehalt nicht verständlich bleibt.

Nicht zur Kopie gehören Daten Dritter, sofern deren Rechte überwiegen, sowie reine Sachdaten ohne Personenbezug. Auch Geschäftsgeheimnisse und Rechte des geistigen Eigentums können nach Erwägungsgrund 63 die Reichweite einschränken; die Auskunft ist dann nicht vollständig zu verweigern, sondern angemessen zu redigieren.

Typische Fundorte: CRM, ERP, E-Mail-Postfächer, Ticket-Systeme, Personalakten, Lieferantenmanagement, Marketing-Automatisierung, Webanalyse und Backup-Bestände. Eine Suche allein in der primären Anwendung greift zu kurz. Die CIVAC-Plattform und Officer-as-a-Service hinterlegt eine Datenlandkarte pro Verarbeitungstätigkeit, sodass Sie pro Auskunftsersuchen die relevanten Systeme strukturiert abfragen. So wird aus der Suche eine reproduzierbare Routine statt einer manuellen Schatzsuche.

Art. 15 DSGVO ist nicht grenzenlos. Art. 12 Abs. 5 DSGVO erlaubt es, bei offenkundig unbegründeten oder exzessiven Anträgen, insbesondere bei häufiger Wiederholung, ein angemessenes Entgelt zu verlangen oder die Bearbeitung zu verweigern. Die Darlegungs- und Beweislast für die Exzessivität liegt beim Verantwortlichen. Bloße Unbequemlichkeit reicht nicht.

§ 34 BDSG normiert weitere Ausnahmen, etwa wenn die Daten nur deshalb gespeichert sind, weil sie aufgrund gesetzlicher oder satzungsmäßiger Aufbewahrungspflichten nicht gelöscht werden dürfen, und die Auskunft einen unverhältnismäßigen Aufwand erfordern würde. Auch § 29 BDSG schützt Berufsgeheimnisträger. Diese Ausnahmen müssen Sie jedoch konkret begründen und dokumentieren.

Bei Rechten Dritter, etwa wenn eine E-Mail-Korrespondenz zwischen mehreren Personen Gegenstand der Anfrage ist, gilt das Prinzip der schonenden Schwärzung. Sie geben den auf die anfragende Person bezogenen Inhalt frei, schwärzen aber Klarnamen, Kontaktdaten oder Inhalte, die ausschließlich Dritte betreffen. Vermerken Sie pro Schwärzung den Grund. Der Prüfer ruft an, der Nachweis liegt bereit.

Die erste Kopie ist nach Art. 15 Abs. 3 Satz 2 DSGVO unentgeltlich. Für weitere Kopien dürfen Sie ein angemessenes Entgelt auf Basis der Verwaltungskosten verlangen. Stellt die betroffene Person den Antrag elektronisch, sind die Informationen in einem gängigen elektronischen Format bereitzustellen, sofern sie nichts anderes angibt. PDF mit durchsuchbarem Text ist in den meisten Fällen ausreichend; bei strukturierten Daten kommen CSV oder JSON in Betracht.

Der Übermittlungsweg muss sicher sein. Versand per unverschlüsselter E-Mail ist bei sensiblen Datenbeständen, etwa Gesundheits- oder Bonitätsdaten, nicht ausreichend. Die DSK empfiehlt seit 2021 die Transportverschlüsselung als Mindeststandard und für besonders sensible Kategorien zusätzlich Inhaltsverschlüsselung oder verschlüsselte Downloadportale.

Strukturieren Sie die Kopie verständlich. Eine bloße Datenbankdump-Datei ist nicht zumutbar. Stattdessen sollten Sie pro Kategorie eine kurze Erläuterung beifügen, was die Felder bedeuten. Das reduziert Rückfragen und Beschwerden bei der Aufsichtsbehörde. In der CIVAC-Plattform und Officer-as-a-Service hinterlegen Sie Antwortvorlagen, sodass jede Auskunft konsistente Struktur, Sprache und Sicherheitslevel hat.

Ein belastbarer Prozess beginnt mit einer eindeutigen Eingangsstelle. Anfragen können per Post, E-Mail, Webformular, Telefon oder sogar persönlich eingehen; alle Kanäle müssen erfasst werden. Empfehlenswert ist eine zentrale Mailbox plus Webformular, beide gespiegelt im Workspace, sodass die Frist automatisch beginnt zu laufen.

Die Rolle des Datenschutzbeauftragten koordiniert den Prozess, prüft Identität, Reichweite und Ausnahmen, holt Fachbereichsbeiträge ein und gibt die Antwort frei. Fachbereiche liefern Daten aus ihren Systemen, IT unterstützt bei technischen Exports, Rechtsabteilung bewertet komplexe Schwärzungen. Klare Rollen und Service-Level-Vereinbarungen, etwa zwei Werktage pro Datenexport, sind essenziell, um die Monatsfrist zu halten.

Dokumentiert wird in einem Auskunftsregister: Eingangsdatum, anfragende Person, geprüfte Identität, durchsuchte Systeme, Antwortdatum, Versandweg, etwaige Verlängerung, Begründung. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Im Audit ist dieses Register der zentrale Nachweis; in der CIVAC-Plattform und Officer-as-a-Service entsteht es als Nebenprodukt der täglichen Arbeit.

Fehler eins: Die Frist wird intern erst gestartet, wenn der zuständige Mitarbeiter die Anfrage liest. Korrekt ist der Eingang im Unternehmen. Eine zentrale Eingangsstelle mit automatischem Datumsstempel löst das Problem.

Fehler zwei: Die Antwort enthält nur die Daten aus dem CRM, nicht aber aus E-Mail, Ticketsystem oder HR. Eine Datenlandkarte pro Verarbeitungstätigkeit verhindert blinde Flecken.

Fehler drei: Die Identitätsprüfung wird übersprungen, Daten landen bei einer dritten Person. Hier drohen sowohl Bußgelder als auch Schadensersatzklagen. Ein dokumentiertes, gestuftes Verifizierungsverfahren ist Pflicht.

Fehler vier: Schwärzungen werden ad hoc gemacht, Schwärzungsgründe nicht dokumentiert. Im Beschwerdefall steht der Verantwortliche ohne Begründung da. Eine Schwärzungstabelle pro Antwort behebt das.

Fehler fünf: Die Antwort wird unverschlüsselt versendet. Bei sensiblen Daten kann das eine eigene Datenpanne nach Art. 33 DSGVO sein, mit 72-Stunden-Meldefrist. Verbindliche Versandregeln pro Datenkategorie verhindern den Folgefehler.

Fehler sechs: Wiederholte Anfragen werden ohne Prüfung als exzessiv eingestuft. Die Schwelle ist hoch. Ohne Dokumentation der Vorgeschichte ist die Verweigerung angreifbar. Ein Auskunftsregister bewahrt die Historie und liefert Argumente.

Wer Auskunftsersuchen heute noch in Outlook-Postfächern und Excel-Listen verwaltet, baut Risiko auf. Aufsichtsbehörden prüfen zunehmend nicht nur das Ergebnis, sondern den Prozess. Reproduzierbarkeit, Fristentreue und Nachweisführung sind die drei Hebel.

Mit der CIVAC-Plattform und Officer-as-a-Service erhalten Sie ein Auskunftsmodul mit Eingangsstelle, Fristenrechner, Identitätsprüfungslogik, Datenlandkarte je Verarbeitung, Antwortvorlagen, Schwärzungsdokumentation und sicherem Versand. Die Bestellurkunde, unterschrieben, abgelegt, belegbar, liegt im selben Workspace neben dem Verarbeitungsverzeichnis nach Art. 30 DSGVO. So wird aus jeder einzelnen Anfrage ein dokumentierter Vorgang statt einer Feuerwehrübung.

Sie haben zwei Wege: Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Im zweiten Modell übernimmt CIVAC die operative Bearbeitung, Sie behalten die Sichtbarkeit und die Geschäftsleitung die Verantwortung. In beiden Fällen ist der Auskunftsprozess innerhalb von zwei Werktagen produktiv, mit 37 einsatzbereiten Audit-Vorlagen und vollständigem Nachweis im Audit.

Aus dem Lesen einen Auftrag machen. Schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular auf civac.de, wenn Ihre Organisation den Prozess sauber aufsetzen oder externalisieren möchte.