Abstrakte Darstellung von zwei symmetrischen, halbkreisförmigen Formen, die miteinander verbunden sind und Cortina Consult Logo rot mit Schrift
Top Themen im Datenschutz:
Cortina Consult
Auskunftsanfragen nach Art. 15 DSGVO
Datenschutz

Auskunftsanfragen nach Art. 15 DSGVO

Praxisleitfaden: Fristen, Prozesse und aktuelle Haftungsrisiken bei DSGVO-Auskunftsanfragen.

Betroffenenanfragen effizient bearbeiten
Checkliste: Datenschutzpflichten
Abstrakte Darstellung eines digitalen Formulars mit Checkmarken und Schutzschild zeigt IT-Sicherheitskonzept und Datenschutz

Warum Auskunftsanfragen jetzt strategisch wichtig sind

Das Auskunftsrecht nach Art. 15 DSGVO gehört zu den meistunterschätzten Compliance-Risiken im Mittelstand. Viele Unternehmen behandeln eingehende Anfragen als lästige Pflichtübung – und zahlen dafür im Ernstfall einen hohen Preis. Denn die Realität der Bußgeldpraxis hat sich verschärft: Allein im Vodafone-Fall verhängte die Bundesbeauftragte für den Datenschutz im Jahr 2025 ein Bußgeld von 45 Millionen Euro, davon 30 Millionen wegen mangelhafter Authentifizierungsprozesse bei Auskunftsanfragen.

Gleichzeitig hat der EuGH mit seinem Urteil vom 19. März 2026 (Az.: C-526/24) erstmals klargestellt, dass auch missbräuchliche Auskunftsanfragen abgelehnt werden dürfen – eine Entscheidung, die Unternehmen neue Verteidigungsmöglichkeiten eröffnet, aber auch einen sauberen Dokumentationsprozess voraussetzt.

Dieser Artikel zeigt Ihnen, wie Sie DSGVO-Auskunftsanfragen strukturiert bearbeiten, fristgerecht und rechtssicher beantworten – und dabei sowohl Bußgeldrisiken als auch Schadensersatzforderungen minimieren.

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen
Inhalt entsperren Erforderlichen Service akzeptieren und Inhalte entsperren

Der Prozess im Überblick: Fünf Phasen der Bearbeitung

Eine professionelle Bearbeitung von Auskunftsanfragen folgt einem klaren Ablauf. Die folgende Übersicht zeigt die fünf Phasen – vom Eingang bis zum Versand: Eingangserfassung und Fristnotierung, Identitätsprüfung, Datenrecherche im VVT und bei Auftragsverarbeitern, Zusammenstellung der Auskunft sowie gesicherter Versand mit Dokumentation.

  1. Phase – Eingang erfassen: Datum dokumentieren; Fristberechnung starten. Anträge können formfrei eingehen – schriftlich, per E-Mail, telefonisch oder mündlich.
  2. Phase – Identität prüfen: Sicherstellen, dass der Antragsteller tatsächlich die betroffene Person ist. Methode nach Verhältnismäßigkeit wählen.
  3. Phase – Daten zusammen­stellen: Alle relevanten Verarbeitungstätigkeiten identifizieren, Pflichtinformationen zusammenstellen, ggf. Auftragsverarbeiter einbinden.
  4. Phase – Prüfung und Schwärzung: Rechte Dritter schützen, Geschäftsgeheimnisse maskieren, Vollständigkeit der Auskunft sicherstellen.
  5. Phase – Versand: Auskunft über gesicherten Kanal übermitteln, Versand dokumentieren. Frist einhalten!

Identitätsprüfung: Das Nadelöhr des gesamten Prozesses

Die häufigste Fehlerquelle bei Auskunftsanfragen ist nicht die inhaltliche Aufbereitung – sondern die Identitätsprüfung. Wird eine Auskunft an die falsche Person erteilt, liegt bereits eine meldepflichtige Datenpanne vor. Das Vodafone-Bußgeld belegt, wie teuer dieser Fehler werden kann.

Methoden der Identifizierung

Das Gesetz verlangt keine bestimmte Methode, sondern verhältnismäßige Mittel. In der Praxis haben sich drei Abstufungen bewährt:

  • Bestandskunden-Verifikation: Bei bestehenden Kundenbeziehungen genügt häufig eine Bestätigung über bekannte Sicherheitsmerkmale – zum Beispiel PIN/TAN-Verfahren, Kundennummern oder vordefinierte Sicherheitsfragen.
  • Elektronische Identität: Die eID-Funktion des Personalausweises (§ 18 PAuswG) bietet das höchste Sicherheitsniveau im digitalen Raum und ist besonders bei Online-Anfragen empfehlenswert.
  • Ausweiskopie als Ultima Ratio: Eine Ausweiskopie darf nur bei besonders sensiblen Daten angefordert werden (§ 20 Abs. 2 PAuswG). Nicht benötigte Informationen auf der Kopie sind vom Betroffenen zwingend zu schwärzen.

Umgang mit begründeten Zweifeln

Was tun, wenn die Identität unklar bleibt – etwa bei Namensgleichheit oder veralteten Kontaktdaten? Die Rechtsprechung (VG Berlin, Az.: VG 1 K 27/22) erlaubt es ausdrücklich, zusätzliche Identifikatoren anzufordern, beispielsweise das Geburtsdatum oder frühere Anschriften. Reagiert der Betroffene auf diese berechtigte Nachfrage nicht, verletzt er seine Mitwirkungspflicht. In diesem Fall darf die Auskunft rechtssicher verweigert werden.

Praxistipp: Dokumentieren Sie jede Nachforderung und deren Ergebnis lückenlos. Im Streitfall liegt die Beweislast bei Ihnen.

Grafische Übersicht zum Auskunftsprozess nach DSGVO mit Schritten wie Relevanzprüfung, Datenzusammenstellung und Bereitstellung

Fristen: Der Monat läuft schneller als gedacht

Die DSGVO gibt Ihnen grundsätzlich einen Monat Zeit zur Beantwortung. Doch Vorsicht: Das Gesetz verlangt eine unverzügliche Reaktion. Die Monatsfrist ist das Maximum, nicht der reguläre Bearbeitungszeitraum.

Interne Zeitplanung

Empfohlene Meilensteine: Eingangsbestätigung binnen 48 Stunden, Identitätsprüfung innerhalb von 5 Werktagen, Datenrecherche bei Auftragsverarbeitern nach 10 Werktagen, interne Freigabe nach 15 Werktagen sowie Versand spätestens am Tag 28.

Zeitpunkt
Maßnahme
Tag 1
Eingang dokumentieren, Identitätsprüfung starten
Tag 3–5
Komplexitäts-Check: Ist eine Fristverlängerung nötig? Falls ja, Begründung vorbereiten.
Woche 1
Benchmark: Initiale Bearbeitung abgeschlossen. Auftragsverarbeiter zur Datenlieferung auffordern.
Woche 2–3
Zusammenstellung, rechtliche Prüfung, Schwärzung von Drittdaten
Spätestens Tag 30
Versand über gesicherten, dokumentierten Kanal

Fristverlängerung auf bis zu drei Monate

Bei besonders komplexen Fällen – etwa wenn tausende E-Mails gesichtet und geschwärzt werden müssen – darf die Frist um weitere zwei Monate verlängert werden. Voraussetzung: Sie informieren den Betroffenen innerhalb des ersten Monats schriftlich über die Gründe der Verzögerung. Ohne diese Mitteilung greift die Verlängerung nicht.

Was gehört in die Auskunft?

Die Vollständigkeit der Antwort ist entscheidend. Unvollständige Auskünfte sind die häufigste Grundlage für Nachforderungen, Beschwerden bei der Aufsichtsbehörde und Schadensersatzklagen. Art. 15 Abs. 1 DSGVO definiert einen klaren Pflichtenkatalog: Verarbeitungszwecke, Datenkategorien, Empfänger, Speicherdauer, Rechte auf Berichtigung/Löschung/Einschränkung/Widerspruch, Beschwerderecht bei der Aufsichtsbehörde, Herkunft der Daten sowie Informationen über automatisierte Entscheidungsfindung.

Positivauskunft: Der Pflichtenkatalog

Pflichtangabe
Was konkret anzugeben ist
Verarbeitungszwecke
Spezifische Zwecke benennen (z. B. Vertragsdurchführung, Direktmarketing)
Datenkategorien
Welche Arten personenbezogener Daten verarbeitet werden
Empfänger
Konkrete Benennung oder zumindest Kategorisierung der Empfänger
Speicherdauer
Dauer oder Kriterien für die Festlegung der Dauer
Betroffenenrechte
Belehrung über Berichtigung, Löschung, Einschränkung und Widerspruch
Beschwerderecht
Hinweis auf die zuständige Aufsichtsbehörde
Herkunft der Daten
Alle verfügbaren Informationen zur Quelle (bei Dritterhebung)
Profiling
Logik sowie Tragweite automatisierter Entscheidungen

Das Recht auf Kopie

Neben den Pflichtinformationen hat der Betroffene Anspruch auf eine vollständige Kopie seiner Daten in einem gängigen elektronischen Format (Art. 15 Abs. 3 DSGVO). Eine bloße Zusammenfassung reicht nicht aus, wenn der Kontext zur Prüfung der Rechtmäßigkeit erforderlich ist – dann müssen Originaldokumente, beispielsweise E-Mails, beigefügt werden. Die erste Kopie ist stets kostenlos.

Die Negativauskunft

Verarbeiten Sie keine Daten der anfragenden Person, müssen Sie dennoch antworten – mit einer förmlichen Negativauskunft. Bloßes Schweigen ist rechtswidrig. Der LDI NRW empfiehlt, diese Auskunft mindestens drei Jahre aufzubewahren, um sich gegen spätere Vorwürfe abzusichern.

Wann Sie die Auskunft einschränken oder verweigern dürfen

Das Auskunftsrecht ist nicht grenzenlos. In bestimmten Konstellationen dürfen – und müssen – Sie Informationen zurückhalten oder den Antrag ganz ablehnen.

Schutz der Rechte Dritter

Personenbezogene Daten Dritter, die in den angeforderten Unterlagen enthalten sind – etwa Namen in E-Mail-Verläufen –, sind grundsätzlich zu schwärzen. Gleiches gilt für Informationen, die Berufsgeheimnissen unterliegen oder Geschäftsgeheimnisse gefährden würden. Die Schwärzung muss sorgfältig dokumentiert werden.

Exzessive und rechtsmissbräuchliche Anträge

Mit dem EuGH-Urteil vom 19. März 2026 (Az.: C-526/24) steht Unternehmen erstmals eine belastbare Grundlage zur Abwehr missbräuchlicher Anfragen zur Verfügung. Das Gericht hat klargestellt: Bereits ein erstmaliges Auskunftsersuchen kann rechtsmissbräuchlich sein, wenn es allein darauf abzielt, künstlich Schadensersatzforderungen zu generieren.

Für eine rechtssichere Ablehnung benötigen Sie einen zweistufigen Nachweis:

  • Objektive Umstände: Gewerbsmäßig kopierte Anträge ohne individuellen Bezug, ungewöhnlich schnelle Anfragen nach Erstanmeldung, Beifügung vorformulierter Vergleichsangebote
  • Subjektive Absicht: Nachweisbare Absicht, den Auskunftsanspruch als Druckmittel zur Generierung von Zahlungen einzusetzen

Wichtig: Die Beweislast liegt gemäß Art. 12 Abs. 5 DSGVO beim Unternehmen. Jede Ablehnung muss detailliert protokolliert werden. Eine unberechtigte Verweigerung kehrt das Haftungsrisiko um.

Bußgelder und Schadensersatz: Die aktuelle Risikolage

Die Sanktionspraxis der Aufsichtsbehörden hat im Zeitraum 2025/2026 eine neue Intensität erreicht. Gleichzeitig hat der EuGH die Hürden für Schadensersatzansprüche differenziert.

Aktuelle Bußgeldfälle

  • Vodafone (2025): 45 Mio. EUR Gesamtbußgeld, davon 30 Mio. EUR allein wegen unzureichender Authentifizierung bei Auskunftsanfragen. Ein klares Signal: Die Identitätsprüfung ist kein Nebenschauplatz.
  • Finanzunternehmen Hamburg: 492.000 EUR wegen Nicht-Reaktion auf Betroffenenanfragen nach Kreditablehnungen. Schon die einfache Nicht-Beantwortung ist sanktionsfähig.

Schadensersatz nach Art. 82 DSGVO

Der EuGH hat klargestellt, dass eine Verletzung des Auskunftsrechts für sich genommen einen immateriellen Schaden begründen kann – etwa durch Kontrollverlust oder Ungewissheit über die Verwendung der eigenen Daten. Eine Bagatellgrenze existiert nicht mehr. Allerdings muss der Betroffene einen konkreten, nachweisbaren Schaden belegen und die Kausalität zum Verstoß darlegen. Ein bloßer Verstoß gegen Art. 15 DSGVO reicht allein nicht aus.

Ihre Checkliste: Auskunftsanfragen in fünf Schritten

Nutzen Sie die folgende Checkliste als Arbeitshilfe für jede eingehende Auskunftsanfrage:

  1. Eingang dokumentieren und Frist notieren (Kalendereintrag!)
  2. Identitätsprüfung durchführen – Methode dokumentieren
  3. Verzeichnis der Verarbeitungstätigkeiten (VVT) als Datenbasis nutzen; ggf. Auftragsverarbeiter zur Zulieferung innerhalb von 48 Stunden auffordern
  4. Auskunft zusammenstellen: Pflichtinformationen nach Art. 15 Abs. 1, ggf. Datenkopie; Rechte Dritter schwärzen
  5. Versand über gesicherten Kanal; Zustellung und Inhalt dokumentieren; kooperative Abschlussformel verwenden

Fazit: Vom Pflichtprogramm zum Compliance-Vorteil

Auskunftsanfragen nach Art. 15 DSGVO sind kein lästiges Beiwerk – sie sind ein Gradmesser für die Datenschutz-Reife Ihres Unternehmens. Wer den Prozess beherrscht, entzieht Schadensersatzforderungen die Grundlage, vermeidet Bußgelder und demonstriert gegenüber Kunden und Geschäftspartnern gelebte Compliance.

Die drei wichtigsten Hebel:

  • Aktuelles VVT als Fundament: Ohne ein gepflegtes Verzeichnis der Verarbeitungstätigkeiten ist keine fristgerechte Auskunft möglich.
  • Saubere Identitätsprüfung: Die Gatekeeper-Funktion schützt vor den teuersten Fehlern.
  • Dokumentation als Rückversicherung: Jeder Prozessschritt muss nachvollziehbar sein – für die Aufsichtsbehörde ebenso wie für den Ernstfall vor Gericht.

Als externer Datenschutzbeauftragter begleiten wir Unternehmen bei der Einrichtung und Optimierung ihrer Betroffenenrechte-Prozesse. Von der Erstbewertung über die Implementierung standardisierter Workflows bis zur laufenden Betreuung eingehender Anfragen – wir stellen sicher, dass Ihr Unternehmen jederzeit auskunftsfähig ist.

Beitrag aktualisiert am 15. Juni 2026 – Geprüft durch Datenschutzbeauftragter Jörg ter Beek
Sie suchen einen externen DSB?

Professioneller Datenschutz zum Budget-Preis mit Software, Schulungen, Audits & Vorlagen inklusive

ab 125€ / pro Monat
  • Stellung des TÜV-zertifizierten DSB
  • Datenschutzmanagementsystem
  • E-Learning für Mitarbeitende
  • Persönlicher Ansprechpartner
  • Website & Social Media Monitoring
Angebot berechnen
Inhalt dieser Seite
Ihre Vorteile mit Cortina Consult im Datenschutz

Wir helfen Unternehmen dabei, die Anforderungen der DSGVO im Unternehmen umzusetzen – digital, so einfach wie möglich, zu fixen Konditionen. Als Beratungsdienstleister und externer Datenschutzbeauftragter sorgen wir für die Einhaltung der DSGVO-Vorgaben bei der Verarbeitung von personenbezogenen Daten in Ihrem Unternehmen.

  • Gebündelte Erfahrung aus 10 Jahren in der Branche
  • Beratung, Software & Schulung aus einer Hand
  • Prozessoptimierung und Skalierbarkeit garantiert
Pauschalpakete entdecken
Datenschutz
Jörg ter Beek
Autor dieses Artikels:
Jörg ter Beek
CEO & Datenschutzbeauftragter bei Cortina Consult
Zum Autorenprofil
Abstrakte Darstellung von zwei symmetrischen, halbkreisförmigen Formen, die miteinander verbunden sind und Cortina Consult Logo rot mit Schrift

Sie haben Fragen?
– Wir beraten Sie gerne

Jörg ter Beek
Jörg ter Beek
Datenschutzexperte & CEO
+49 251 95 20 37 - 40
jtb@cortina-consult.de

Unsere Lösungen