Exzessive DSGVO-Auskunftsanfrage abweisen — mit Vorlage

Inhalt in Kürze

• Eine DSGVO-Auskunftsanfrage darf nur in engen Ausnahmefällen abgelehnt werden — Maßstab ist Art. 12 Abs. 5 DSGVO.
• Drei Stufen entscheiden: offenkundig unbegründet, exzessiv, Schädigungsabsicht.
• Die Beweislast liegt beim Unternehmen. Ohne Dokumentation verliert der Geschäftsführer vor der Aufsichtsbehörde.
• Unten finden Sie drei sofort nutzbare Ablehnungs-Textbausteine und eine Alternative: Gebühr statt Ablehnung.

Ein Ex-Mitarbeiter schickt kurz vor Ihrem Urlaub eine 12-seitige Auskunftsanfrage. Er will sämtliche E-Mails, Slack-Nachrichten und Backup-Kopien der letzten sieben Jahre — und droht gleichzeitig mit der Aufsichtsbehörde. Zu viel liefern ist gefährlich, zu wenig auch. Dieser Artikel zeigt den Weg dazwischen.

Wann eine DSGVO-Auskunftsanfrage exzessiv ist

Art. 15 DSGVO verpflichtet Sie grundsätzlich zur Auskunft. Der Ausnahmetatbestand steht in Art. 12 Abs. 5 DSGVO: Sie dürfen ein Entgelt verlangen oder die Bearbeitung verweigern, wenn Anträge offenkundig unbegründet oder exzessiv sind. Das “oder” ist wichtig — eine der beiden Voraussetzungen reicht.

Beide Begriffe sind eng auszulegen. Das Kurzpapier Nr. 6 der Datenschutzkonferenz und die Praxis der Aufsichtsbehörden machen klar: Eine Ablehnung ist der Ausnahmefall. Und: Die Beweislast trägt das Unternehmen.

“Exzessiv” heißt nicht “umfangreich”. Der BfDI stellt klar, dass Unternehmen keine überhöhten Hürden aufstellen dürfen. Eine 12-seitige Erstanfrage ist lästig, aber nicht exzessiv.

Die 3-Stufen-Prüfung

Bevor Sie ablehnen, prüfen Sie in dieser Reihenfolge. Jede Stufe schriftlich dokumentieren — dazu gleich mehr.

1. Stufe 1 — Offenkundig unbegründet: Prüfen Sie, ob ein Rechtsmissbrauch auf den ersten Blick erkennbar ist. Typische Indizien: Die Anfrage zielt offensichtlich nicht auf Datenschutz, sondern ausschließlich auf einen arbeits- oder zivilrechtlichen Streit. Der Antragsteller hat die gleiche Auskunft vor wenigen Wochen schon einmal vollständig erhalten. Oder er verlangt Daten zu einer Person, die er erkennbar nicht ist.
2. Stufe 2 — Exzessiv: Bewerten Sie Menge, Häufigkeit und Wiederholung. Kriterien: Wurde in den letzten Monaten bereits mehrfach identisch angefragt? Kommen in kurzen Abständen weitere Nachforderungen? Ist der Antrag so unbestimmt, dass er sich praktisch nicht beantworten lässt (z. B. "alle Daten" ohne jede Eingrenzung)? Eine einmalige, sehr breite Erstanfrage ist in der Regel nicht exzessiv.
3. Stufe 3 — Schädigungsabsicht: Ziehen Sie den Kontext heran. Zeitpunkt (kurz vor Kündigungsschutzklage?), Tonalität, offene Drohungen ("ich werde Sie kosten"), paralleles Verhalten auf anderen Kanälen. Schädigungsabsicht allein reicht nicht als Ablehnungsgrund, verstärkt aber die Argumentation bei Stufe 1 oder 2.

Alternative zur Ablehnung: angemessene Gebühr

Häufig übersehen: Art. 12 Abs. 5 DSGVO räumt Ihnen zwei Wege ein — entweder Gebühr oder Ablehnung. In vielen Fällen ist die Gebühr die bessere Wahl.

Für den Umfang orientieren Sie sich an den tatsächlichen Verwaltungskosten (Zeitaufwand, Kopien, Datenträger). § 34 BDSG ergänzt Regelungen für einzelne Sonderfälle. Keine Strafgebühr, keine Abschreckung — sonst ist die Gebühr selbst DSGVO-widrig.

Vorteil der Gebühr gegenüber der Ablehnung: Sie müssen keine vollständige Missbrauchsprüfung dokumentieren. Sie rechnen nach. Das spart Streit.

Was Sie dokumentieren müssen — bevor Sie ablehnen

Die Beweislast trägt der Verantwortliche. Fehlt die Dokumentation, verlieren Sie das Verfahren bei der Aufsichtsbehörde praktisch automatisch.

• Eingangsdatum und Kanal der Anfrage.
• Vollständiger Wortlaut der Anfrage (PDF oder Screenshot archivieren).
• Prüfprotokoll zu Stufe 1, 2 und 3 — mindestens je zwei Sätze, warum das Kriterium erfüllt ist oder nicht.
• Historie früherer Anfragen derselben Person (wenn vorhanden).
• Beteiligte Personen (wer hat geprüft, wer hat entschieden).
• Ablehnungsschreiben mit Sendenachweis.
• Ablage: mindestens 3 Jahre — besser bis zur Verjährung eventueller Bußgeldverfahren.

Mehr zu sauberer Dokumentation im Artikel DSGVO-Dokumentationspflichten und Nachweis.

Drei Ablehnungs-Vorlagen zum Copy-Paste

Jede Variante ersetzt [eckige Klammern] durch Ihren konkreten Fall. Alle drei nennen die Rechtsgrundlage, bieten einen Weg nach vorne und vermeiden emotionale Formulierungen.

Aus der Praxis

In Deutschland ist es häufig so, dass die Datenschutzbehörden eine beratende Funktion haben. Viele Mandanten haben Angst, eine Datenpanne zu melden — aber es ist nicht wie beim Finanzamt. Das gilt auch bei exzessiven Anfragen: Wer sauber dokumentiert und nachvollziehbar begründet, wird nicht sofort mit einem Bußgeld überzogen. Aber wer pauschal ablehnt und hofft, dass es schon niemand bemerkt, bekommt Post.

Nils OehmichenDatenschutzberater bei frag.hugo

Der häufigste Fehler: pauschale Ablehnung ohne Begründung

Immer wieder begegnet uns derselbe Satz: “Ihre Anfrage ist zu umfangreich, wir können sie nicht bearbeiten.” Keine Rechtsgrundlage, keine Tatsachen, kein Angebot zur Konkretisierung. Genau solche Schreiben landen innerhalb von 48 Stunden bei der Aufsichtsbehörde — und die fragt dann, warum.

Drei Dinge müssen in jedem Ablehnungsschreiben stehen:

1. Die Rechtsgrundlage (Art. 12 Abs. 5 DSGVO).
2. Die konkrete Tatsachenbegründung (welches der drei Kriterien und warum).
3. Der Hinweis auf die Beschwerderechte (Art. 77 und 79 DSGVO).

Fehlt auch nur einer dieser Bausteine, ist die Ablehnung angreifbar. Ausführliche Übersicht zu den Folgen finden Sie unter Was passiert bei einem Datenschutzverstoß? und DSGVO-Bußgeld vermeiden.

Schutz für Rechte Dritter — das zweite Feld

Parallel zur 3-Stufen-Prüfung prüfen Sie, welche Daten Sie nicht herausgeben dürfen. Art. 15 Abs. 4 DSGVO schützt die Rechte und Freiheiten anderer Personen.

Konkret heißt das:

• E-Mails mit dritten Mitarbeitenden schwärzen oder als Kategorie nennen.
• Interne Bewertungen und Beurteilungen nur, soweit sie personenbezogene Daten des Antragstellers selbst enthalten.
• Namen von Kunden, Lieferanten oder anderen Betroffenen schwärzen, wenn sie nicht zwingend zur Antwort gehören.

Was personenbezogene Daten genau sind, klärt DSGVO: Definition personenbezogener Daten. Für den Gesamtüberblick Ihrer Dokumentationspflichten lesen Sie Datenschutzdokumentation im Unternehmen und den Grundfall DSGVO-Auskunftsanfrage korrekt beantworten.

Fazit — Ihr nächster Schritt

Eine DSGVO-Auskunftsanfrage abzulehnen ist möglich, aber selten. Die 3-Stufen-Prüfung, eine saubere Dokumentation und eine begründete Ablehnung mit Rechtsgrundlage trennen die erfolgreichen Fälle von den teuren. Ist Ihre Ablehnung angreifbar, kassiert die Aufsichtsbehörde sie — und im Wiederholungsfall folgt das Bußgeld.

Im Zweifel gilt: Lieber Gebühr verlangen oder konkretisieren lassen, als pauschal ablehnen. Und wenn Sie unsicher sind, prüfen Sie den Fall mit einem erfahrenen Datenschutzberater, bevor das Schreiben rausgeht. Unsere Datenschutz-Plattform Hugo DSB begleitet Mandanten durch genau solche Situationen — inklusive Vorlagen, Prüfprotokoll-Templates und externer DSB-Betreuung.

Häufige Fragen (FAQ)

Darf ich eine DSGVO-Auskunftsanfrage einfach ablehnen, weil sie zu aufwendig ist?

Nein. Aufwand allein ist kein Ablehnungsgrund. Art. 12 Abs. 5 DSGVO erlaubt eine Ablehnung nur, wenn die Anfrage offenkundig unbegründet oder exzessiv ist. Die Maßstäbe sind hoch und eng auszulegen. Der Verantwortliche muss die Voraussetzungen nachweisen — nicht der Antragsteller.

Wann gilt eine Auskunftsanfrage als exzessiv?

Exzessiv sind vor allem häufig wiederholte Anträge in kurzen Abständen ohne erkennbaren Grund. Der reine Umfang einer Erstanfrage reicht in der Regel nicht. Relevant sind Menge, Frequenz und der Kontext der Anfragen. Eine erstmalige, sehr breite Anfrage eines Ex-Mitarbeiters ist daher meist nicht exzessiv — auch wenn sie sieben Jahre zurückreicht.

Kann ich statt abzulehnen auch eine Gebühr verlangen?

Ja. Art. 12 Abs. 5 lit. a DSGVO erlaubt alternativ ein angemessenes Entgelt, das sich an den Verwaltungskosten orientiert. In der Praxis sind das erfahrungsgemäß Beträge im zweistelligen Euro-Bereich — keine Strafgebühr. Die Gebühr muss begründet und dokumentiert sein.

Muss ich E-Mails an Dritte herausgeben, in denen der Name des Anfragenden fällt?

Nicht pauschal. Rechte Dritter (andere Mitarbeitende, Kunden, Geschäftspartner) haben Gewicht und begrenzen die Kopie nach Art. 15 Abs. 4 DSGVO. Sie dürfen E-Mails schwärzen oder Inhalte herausfiltern, die nicht personenbezogene Daten des Antragstellers sind. Blanko alle E-Mails weitergeben ist praktisch nie richtig.

Wer trägt die Beweislast, wenn der Betroffene sich bei der Aufsichtsbehörde beschwert?

Der Verantwortliche. Sie müssen gegenüber der Aufsichtsbehörde nachweisen, dass die Anfrage offenkundig unbegründet oder exzessiv war. Ohne saubere Dokumentation der 3-Stufen-Prüfung verliert das Unternehmen regelmäßig. Deshalb: Prüfen, begründen, archivieren — bevor Sie ablehnen.

Was passiert, wenn ich pauschal ohne Begründung ablehne?

Die Aufsichtsbehörde wertet das als Verstoß gegen Art. 12 Abs. 3 und Abs. 4 DSGVO. Folge: Aufforderung zur Stellungnahme, Nachholung der Auskunft, im Wiederholungsfall Bußgeld. Der häufigste Fehler im Mittelstand ist die Ein-Satz-Ablehnung “zu aufwendig” — das hält nicht.