DSGVO-Frist verlängern: Art. 12.3 in der Praxis (Vorlage + Begründung 2026)

Inhalt in Kürze

• 30 Tage Standard-Frist nach Art. 12 Abs. 3 DSGVO — verlängerbar einmalig um maximal zwei Monate.
• Pauschalbegründung reicht nicht — die Behörde prüft konkret, ob der Aufwand nachvollziehbar ist.
• Mitteilung muss vor Tag 31 beim Betroffenen sein, sonst Frist-Versäumnis mit Bußgeld-Risiko.
• Tools mit Auto-Verlängerungs-Workflow dokumentieren die Begründung Audit-fest und versenden die Mitteilung in Sekunden — Hugo macht das mit einem Klick.

Stand: Mai 2026 · Autor: Jens Hagel · Lesezeit: 6 Minuten

Tag 25 nach Eingang einer DSAR. Der Datenschutzbeauftragte merkt: Die Auskunft ist nicht in 5 Tagen fertig — das Auskunftsbegehren betrifft 8 Jahre Bestandsdaten in 4 Systemen, dazu Mails mit Drittpersonen, die geschwärzt werden müssen. Was jetzt? Genau dafür ist Art. 12 Abs. 3 DSGVO gemacht — und genau hier passieren die häufigsten Fehler.

Dieser Artikel zeigt, wann eine Verlängerung zulässig ist, wie die Begründung Behörden-fest formuliert wird und welche Vorlage Sie heute übernehmen können.

Wann eine Verlängerung zulässig ist

Art. 12 Abs. 3 DSGVO regelt die Verlängerung in einem einzigen Satz:

„Die Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl der Anträge erforderlich ist.”

Das klingt großzügig, ist es aber nur in zwei Fällen:

• Komplexität der einzelnen Anfrage — viele Systeme, große Datenmengen, Schwärzungsaufwand bei Daten Dritter, multilinguale Inhalte, ältere Bestandsdaten in nicht durchsuchbaren Backups.
• Anzahl gleichzeitig eingehender Anträge — z. B. nach einer Datenpanne mit 1.000 Folge-DSARs, oder bei Massen-Anfragen nach einem viralen Vorfall.
• Personalengpässe sind nicht zulässig — eine zu kleine Datenschutz-Abteilung ist Ihre Verantwortung, nicht die des Antragstellers.
• Urlaub des DSB ist nicht zulässig — Vertretung muss organisiert sein.
• Server-Migration ist nur bedingt zulässig — als technische Komplexität, nicht als Vorwand.

Mustertext für die Verlängerungs-Mitteilung

Eine zulässige Verlängerung enthält fünf Pflichtelemente. Hier ein Beispieltext, der in der Praxis bewährt ist:

Sehr geehrte/r [Name],

vielen Dank für Ihre Anfrage vom [Datum] nach Art. 15 DSGVO.

Aufgrund der Komplexität Ihrer Anfrage — die Datenermittlung
betrifft [Anzahl] interne Systeme über einen Zeitraum von [X]
Jahren, beinhaltet die Schwärzung von Daten Dritter sowie die
Auswertung mehrsprachiger Bestandskorrespondenz — ist eine
abschließende Beantwortung innerhalb der ursprünglichen
Monatsfrist nicht möglich.

Wir nehmen daher die Verlängerungsmöglichkeit nach
Art. 12 Abs. 3 Satz 2 DSGVO in Anspruch und werden Ihre
Anfrage spätestens bis zum [Datum, max +2 Monate]
beantworten.

Sollten Sie Rückfragen haben, erreichen Sie uns unter
[Kontakt DSB].

Mit freundlichen Grüßen
[Name DSB]
[Funktion, Unternehmen]

Was eine schlechte Begründung aussieht — und warum sie scheitert

Die Aufsichtsbehörden prüfen Verlängerungsbegründungen seit 2023 systematisch — der HmbBfDI hat das in mehreren Tätigkeitsberichten dokumentiert. Folgende Floskeln scheitern regelmäßig:

Die 5-Stufen-Eskalation in der Praxis

Wer DSARs strukturiert managt, arbeitet mit einer 5-Stufen-Eskalation. Die Verlängerung ist dabei Stufe 4 — nicht Stufe 1.

1. Tag 1 — Eingangsbestätigung: Automatische Mail an den Betroffenen mit Frist-Termin und Aktenzeichen.
2. Tag 7 — Identitätsprüfung: Falls nicht beim Eingang erfolgt, jetzt durchführen (Magic-Link, OTP, ggf. Ausweis-Upload).
3. Tag 15 — Daten-Discovery: Systemübergreifender Such-Lauf in CRM, ERP, Mail-Server, Backup-System. Erste Aufwandsschätzung.
4. Tag 25 — Verlängerungs-Entscheidung: Wenn Aufwand > 5 Restwerktage, Verlängerungs-Mitteilung versenden.
5. Tag 30 (oder verlängert): Auskunft mit DSGVO-konformer Schwärzung Dritter und Liste der Empfänger versenden — über Secure-Reply, nicht per unverschlüsselter Mail.

Wie Tools die Verlängerung automatisieren

Manuell ist die Verlängerung 15 Minuten Arbeit pro Anfrage — Mustertext rauskopieren, Begründung anpassen, Datum berechnen, Mail senden, im Akt dokumentieren. In einem strukturierten Tool ist es ein Klick.

Quellen für Markt-Vergleich: audatis MANAGER DSAR-Modul, caralegal DSGVO-Workflow, Iubenda DSR.

Aus der Praxis

Innerhalb von 24 Stunden war der Fall geklärt. Der Mandant wusste: Er kann jetzt datenschutzkonform eine Umfrage an seine Kunden losschicken. Genau so soll Arbeit mit einem Datenschutzbeauftragten stattfinden.

Nils OehmichenDatenschutzberater bei frag.hugo

Was bei Verstoß droht — die Bußgeld-Realität

Frist-Versäumnisse sind in DACH-Behördenstatistiken einer der häufigsten Bußgeld-Anlässe. Die Aufsichtsbehörde Hamburg und Berlin haben in Tätigkeitsberichten 2023–2025 Bußgelder zwischen 5.000 und 65.000 Euro wegen Frist-Versäumnissen verhängt. In schweren Fällen (systematisches Ignorieren) drohen 4 % vom Konzernumsatz nach Art. 83.5.

Schwerer als das Bußgeld wiegt oft der Schadensersatzanspruch des Betroffenen nach Art. 82 — das BAG hat in mehreren Urteilen 1.000 bis 5.000 Euro Schmerzensgeld pro Frist-Versäumnis zugesprochen.

Fazit / Ihr nächster Schritt

Die Verlängerung nach Art. 12.3 ist ein einfaches Werkzeug, das in der Praxis oft falsch eingesetzt wird — entweder zu spät, mit unzureichender Begründung oder gar nicht. Ein DSAR-Tool mit Auto-Verlängerungs-Workflow nimmt 90 % des Risikos heraus.

Mehr Praxis lesen Sie in unserem Leitfaden zur Beantwortung von DSGVO-Auskunftsanfragen, der Vorlage zur Abweisung exzessiver Anfragen und im DSAR-Portal-Vergleich 2026.

Häufige Fragen (FAQ)

Wann darf ich die DSGVO-Auskunftsfrist verlängern?

Art. 12 Abs. 3 DSGVO erlaubt eine einmalige Verlängerung um maximal zwei Monate, wenn die Anfrage „unter Berücksichtigung der Komplexität und der Anzahl der Anträge” nicht in den ursprünglichen 30 Tagen beantwortbar ist. Typische Gründe: viele betroffene Systeme, große Datenmengen, multilinguale Auswertung. Personalengpass aufgrund Urlaub oder Krankheit ist NICHT zulässig.

Wie begründe ich die Verlängerung rechtssicher?

Die Begründung muss konkret und überprüfbar sein. Pauschale Floskeln wie „aufgrund hohen Aufwands” reichen nicht. Sinnvoll sind: konkrete Anzahl betroffener Systeme/Verfahren, technischer Aufbau der Datenermittlung, Übersetzungs-/Schwärzungsaufwand bei Mehrsprachigkeit oder Daten Dritter. Aufsichtsbehörden prüfen die Begründung bei Beschwerden inhaltlich.

Was passiert, wenn ich die 30-Tage-Frist überziehe?

Ohne dokumentierte Verlängerungs-Mitteilung an den Betroffenen liegt eine Verletzung von Art. 12 Abs. 3 DSGVO vor. Mögliche Folgen: Beschwerde bei der Aufsichtsbehörde, Bußgeld bis zu 20 Mio Euro oder 4 % des Konzernumsatzes (Art. 83.5), Schadensersatzanspruch des Betroffenen nach Art. 82. In der Praxis verhängen DACH-Behörden 5.000 bis 50.000 Euro für Frist-Versäumnisse.

Muss ich die Verlängerung schriftlich mitteilen?

Ja, die Mitteilung muss innerhalb der ursprünglichen 30-Tage-Frist erfolgen — also spätestens am Tag 30 nach Eingang der Anfrage. Form: Textform (E-Mail genügt), Sprache: gleiche Sprache wie die ursprüngliche Anfrage, Inhalt: Verlängerungsdauer plus konkrete Begründung. Eine nachträgliche Mitteilung am Tag 31 ist nicht zulässig und gilt als Frist-Versäumnis.

Kann ich mit der Verlängerung auch das Auskunftsentgelt verlangen?

Nein. Das Auskunftsentgelt nach Art. 15 Abs. 3 DSGVO darf nur erhoben werden bei „offenkundig unbegründeten oder exzessiven” Anträgen — und das ist eine separate juristische Bewertung mit hoher Hürde. Eine Verlängerung wegen Komplexität ist normaler DSGVO-Alltag und löst keinen Entgeltanspruch aus.

Recherche-Stand: Bußgeld- und Verfahrenszahlen verifiziert am 8. Mai 2026 über die Tätigkeitsberichte 2023/2024 von HmbBfDI, LfDI Berlin und BayLDA.