DSGVO Auskunftsanfrage beantworten – Frist, Vorlage und Praxistipps

Eine E-Mail von einem ehemaligen Kunden: “Ich möchte wissen, welche Daten Sie über mich gespeichert haben.” Viele Geschäftsführende lesen solche Nachrichten und denken: “Muss ich darauf reagieren?” Die Antwort ist eindeutig: Ja. Und zwar innerhalb eines Monats.

Die DSGVO Auskunftsanfrage nach Art. 15 DSGVO gehört zu den häufigsten Betroffenenrechten, die Unternehmen in der Praxis erreichen. Gleichzeitig ist sie eine der am meisten unterschätzten Pflichten. Wer nicht oder zu spät antwortet, riskiert eine Beschwerde bei der Aufsichtsbehörde und ein Bußgeld.

Dieser Artikel zeigt Ihnen, wie Sie eine DSGVO Auskunftsanfrage korrekt beantworten. Mit konkreter Vorlage, Checkliste und den wichtigsten Fristen.

Was ist eine DSGVO Auskunftsanfrage?

Das Auskunftsrecht nach Art. 15 DSGVO gibt jeder Person das Recht zu erfahren, ob und welche personenbezogenen Daten ein Unternehmen über sie verarbeitet. Das betrifft Kunden, Mitarbeitende, Bewerber, Lieferanten und Website-Besucher.

Wichtig: Eine DSGVO Auskunftsanfrage muss keiner bestimmten Form folgen. Sie kann per E-Mail, Brief, Telefon oder sogar mündlich eingehen. Es gibt kein Formular, das der Betroffene ausfüllen muss. Auch die Formulierung “Auskunftsanfrage nach Art. 15” ist nicht erforderlich. Jede Anfrage, die sinngemäß nach gespeicherten Daten fragt, löst Ihre Pflicht zur Beantwortung aus.

Das BfDI (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit) stellt klar: Unternehmen dürfen keine überhöhten Hürden für die Geltendmachung des Auskunftsrechts aufstellen.

Was muss die Auskunft enthalten?

Die Antwort auf eine DSGVO Auskunftsanfrage muss vollständig sein. Art. 15 Abs. 1 DSGVO listet die Pflichtangaben auf:

• Verarbeitungszwecke – Warum verarbeiten Sie die Daten?
• Kategorien personenbezogener Daten – Welche Datenarten sind betroffen (Name, Adresse, Bankdaten, Gesundheitsdaten)?
• Empfänger oder Kategorien von Empfängern – An wen wurden die Daten weitergegeben (Dienstleister, Behörden, Dritte)?
• Speicherdauer – Wie lange werden die Daten gespeichert, oder nach welchen Kriterien wird die Dauer festgelegt?
• Hinweis auf Betroffenenrechte – Recht auf Berichtigung, Löschung, Einschränkung und Widerspruch
• Beschwerderecht – Hinweis auf das Recht zur Beschwerde bei der Aufsichtsbehörde
• Herkunft der Daten – Falls die Daten nicht beim Betroffenen selbst erhoben wurden
• Automatisierte Entscheidungsfindung – Ob und wie Profiling oder automatisierte Entscheidungen stattfinden
• Kopie der Daten – Der Betroffene hat Anspruch auf eine Kopie der verarbeiteten personenbezogenen Daten

DSGVO Auskunftsanfrage in 5 Schritten beantworten

1. Anfrage erkennen und dokumentieren Prüfen Sie jede eingehende Anfrage: Handelt es sich um eine Auskunftsanfrage im Sinne von Art. 15 DSGVO? Dokumentieren Sie Eingang, Datum und Kanal. Notieren Sie die Monatsfrist im Kalender.
2. Identität des Anfragenden prüfen Sie müssen sicherstellen, dass die anfragende Person tatsächlich die betroffene Person ist. Bei Anfragen per E-Mail von einer bekannten Adresse reicht das in der Regel aus. Bei Zweifeln dürfen Sie einen Identitätsnachweis verlangen – aber keine überzogenen Anforderungen stellen.
3. Daten zusammentragen Durchsuchen Sie alle relevanten Systeme: CRM, E-Mail-Postfächer, Personalakte, Buchhaltung, Newsletter-Tool, Website-Analytics. Vergessen Sie nicht Papierdokumente und Backups. Binden Sie alle Abteilungen ein, die Daten der betroffenen Person verarbeiten.
4. Antwortschreiben erstellen Formulieren Sie die Auskunft vollständig und verständlich. Listen Sie alle Pflichtangaben auf (siehe Checkliste oben). Fügen Sie eine Kopie der personenbezogenen Daten bei. Nutzen Sie unsere Muster-Vorlage weiter unten als Ausgangspunkt.
5. Fristgerecht versenden und dokumentieren Versenden Sie die Auskunft innerhalb eines Monats nach Eingang der Anfrage. Dokumentieren Sie den Versand mit Datum und Inhalt. Die erste Kopie ist kostenlos – bei offensichtlich unbegründeten oder exzessiven Anfragen dürfen Sie ein angemessenes Entgelt verlangen.

Muster-Vorlage: Antwort auf eine DSGVO Auskunftsanfrage

Die folgende Vorlage können Sie als Ausgangspunkt für Ihr Antwortschreiben verwenden. Passen Sie sie an Ihren konkreten Fall an:

Betreff: Ihre Auskunftsanfrage nach Art. 15 DSGVO

Sehr geehrte/r [Name],

vielen Dank für Ihre Anfrage vom [Datum]. Wir erteilen Ihnen hiermit Auskunft gemäß Art. 15 DSGVO über die bei uns zu Ihrer Person gespeicherten Daten.

1. Verarbeitete Daten: [Auflistung der konkreten Datenkategorien und Daten, z. B. Name, E-Mail-Adresse, Bestellhistorie]

2. Verarbeitungszwecke: [z. B. Vertragserfüllung, Buchhaltung, Newsletter-Versand]

3. Rechtsgrundlagen: [z. B. Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)]

4. Empfänger der Daten: [z. B. Steuerberater, Hosting-Provider, Newsletter-Dienstleister – jeweils mit AVV]

5. Speicherdauer: [z. B. Vertragsdaten: 10 Jahre nach Vertragsende (steuerliche Aufbewahrungspflicht), Newsletter-Daten: bis zum Widerruf]

6. Ihre Rechte: Sie haben das Recht auf Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18) und Datenübertragbarkeit (Art. 20). Sie können der Verarbeitung widersprechen (Art. 21) und sich bei der zuständigen Aufsichtsbehörde beschweren.

7. Kopie Ihrer Daten: Eine Kopie Ihrer bei uns gespeicherten personenbezogenen Daten finden Sie im Anhang.

Mit freundlichen Grüßen [Ihr Unternehmen]

Hinweis: Passen Sie die Vorlage immer an den Einzelfall an. Bei umfangreichen Datenbeständen empfiehlt sich eine tabellarische Aufstellung. Lassen Sie die Antwort im Zweifel von Ihrem Datenschutzbeauftragten prüfen.

Sonderfälle: Wann wird es kompliziert?

Anfragen von Mitarbeitenden

Mitarbeitende haben das gleiche Auskunftsrecht wie Kunden. Die Anfrage kann sich auf Personalakte, E-Mail-Korrespondenz, Leistungsbeurteilungen und Zeiterfassung beziehen. Besonders heikel: Anfragen im Zusammenhang mit Kündigungen oder Rechtsstreitigkeiten. Hier ist juristische Beratung sinnvoll.

Rechte Dritter schützen

Die Kopie der Daten darf keine personenbezogenen Daten anderer Personen enthalten. Wenn zum Beispiel in einem E-Mail-Verlauf Daten Dritter vorkommen, müssen Sie diese schwärzen.

Fristverlängerung

Bei besonders umfangreichen oder komplexen Anfragen dürfen Sie die Frist einmalig um zwei Monate verlängern (Art. 12 Abs. 3 DSGVO). Voraussetzung: Sie informieren den Betroffenen innerhalb des ersten Monats über die Verlängerung und die Gründe.

Verweigerung der Auskunft

Sie dürfen die Auskunft nur in sehr engen Ausnahmen verweigern – etwa bei offensichtlich unbegründeten oder exzessiven Anfragen (Art. 12 Abs. 5 DSGVO). Die Beweislast liegt bei Ihnen. Im Zweifel antworten Sie lieber.

Typische Fehler bei der Beantwortung

Diese Fehler sehen wir in der Praxis regelmäßig:

1. Anfrage ignorieren oder aussitzen – Jede Anfrage erfordert eine Reaktion, auch wenn Sie keine Daten gespeichert haben (Negativauskunft).
2. Unvollständige Auskunft – Nur die CRM-Daten liefern, aber E-Mails, Backups und Papierakten vergessen.
3. Frist verstreichen lassen – Ohne Fristverlängerung nach einem Monat antwortet die Aufsichtsbehörde statt Ihnen.
4. Identität nicht prüfen – Daten an unbefugte Dritte herausgeben ist selbst ein Datenschutzverstoß.
5. Kosten berechnen – Die erste Kopie ist kostenlos. Entgelt ist nur bei exzessiven Anfragen zulässig.

So bereiten Sie sich vor

Sie müssen nicht auf die erste Auskunftsanfrage warten, um sich vorzubereiten. Je besser Ihre Prozesse stehen, desto schneller reagieren Sie:

• Zuständigkeiten klären: Wer nimmt Anfragen entgegen? Wer koordiniert die Beantwortung?
• Systeme kennen: Erstellen Sie eine Übersicht aller Systeme, in denen personenbezogene Daten gespeichert werden. Das Verarbeitungsverzeichnis ist die Grundlage.
• Vorlagen bereithalten: Halten Sie Muster-Antwortschreiben für verschiedene Szenarien bereit (Kunde, Mitarbeitender, Bewerber).
• Mitarbeitende schulen: Alle Mitarbeitenden müssen erkennen, wann eine Auskunftsanfrage vorliegt, und wissen, an wen sie diese weiterleiten.
• Website-Check durchführen: Mit dem Hugo Check prüfen Sie, ob Ihre Datenschutzerklärung die Auskunftsrechte korrekt beschreibt.

Keine Frage ist doof. Oftmals kann schon damit geholfen werden, wenn Mitarbeiter schnell mal eine Frage loswerden und diese zeitnah vom Datenschutzbeauftragten beantwortet wird.

Nils OehmichenDatenschutzberater bei frag.hugo

Fazit: DSGVO Auskunftsanfrage ernst nehmen

Die DSGVO Auskunftsanfrage ist kein bürokratisches Ärgernis. Sie ist ein gesetzlich verankertes Recht, das Unternehmen fristgerecht und vollständig erfüllen müssen. Mit einem klaren Prozess, vorbereiteten Vorlagen und geschulten Mitarbeitenden beantworten Sie jede Anfrage innerhalb der Monatsfrist.

Wer die Auskunftspflicht ignoriert, riskiert Beschwerden bei der Aufsichtsbehörde und empfindliche Bußgelder. Wer sie professionell erfüllt, stärkt das Vertrauen von Kunden und Mitarbeitenden.

Auskunftsanfragen in Hamburg: Beschwerden bei der HmbBfDI vermeiden

Betroffene in Hamburg wissen: Die HmbBfDI nimmt Beschwerden über unbeantwortete Auskunftsanfragen ernst und leitet zügig Prüfverfahren ein. Besonders Hamburger Dienstleistungsunternehmen und Personalvermittler erhalten regelmäßig Auskunftsanfragen — von ehemaligen Bewerbern, Ex-Kunden oder Geschäftspartnern. Wer dann keinen funktionierenden Prozess hat, verliert die Monatsfrist und riskiert ein Bußgeld. Falls Ihnen die interne Kapazität fehlt, unterstützt Sie unser externer Datenschutzbeauftragter in Hamburg bei der Einrichtung eines belastbaren Auskunftsprozesses.

Häufige Fragen zur DSGVO Auskunftsanfrage

Muss ich auch antworten, wenn ich keine Daten gespeichert habe?

Ja. Auch eine sogenannte Negativauskunft ist Pflicht. Sie teilen dem Betroffenen mit, dass Sie keine personenbezogenen Daten zu seiner Person verarbeiten. Auch das muss innerhalb der Monatsfrist geschehen.

Darf ich die Auskunft per E-Mail erteilen?

Ja, wenn die Anfrage elektronisch eingegangen ist, sollen Sie die Auskunft nach Art. 15 Abs. 3 DSGVO auch elektronisch erteilen – sofern der Betroffene nichts anderes wünscht. Achten Sie auf eine sichere Übermittlung, insbesondere bei sensiblen Daten.

Was passiert, wenn ein Betroffener sich bei der Aufsichtsbehörde beschwert?

Die Aufsichtsbehörde wird Sie auffordern, eine Stellungnahme abzugeben. Können Sie keine fristgerechte und vollständige Auskunft nachweisen, droht ein Bußgeldverfahren. Ein externer Datenschutzbeauftragter kann die Stellungnahme formulieren und Sie im Verfahren begleiten.