Das Auskunftsrecht nach Art. 15 DSGVO ist eines der wichtigsten Betroffenenrechte der Datenschutz-Grundverordnung. Jede Person hat das Recht, von einem Verantwortlichen Auskunft darüber zu verlangen, ob, wie und welche personenbezogenen Daten über sie verarbeitet werden. Die Auskunft ist innerhalb eines Monats zu erteilen — verlängerbar um zwei weitere Monate bei Komplexität. Die Verletzung des Auskunftsrechts ist einer der häufigsten DSGVO-Bußgeldgründe in Deutschland — mit Sanktionen bis 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes. Das Schadensersatzrecht (Art. 82 DSGVO) wird in den letzten Jahren zunehmend genutzt — der BGH und der EuGH haben mehrere Grundsatzentscheidungen zur Höhe und Voraussetzungen erlassen.
Kerntatsachen
Auskunftsrecht umfasst zwei Stufen: (1) Bestätigung, ob Daten verarbeitet werden, (2) detaillierte Auskunft über die Verarbeitung.
Art. 15 DSGVO gibt jeder Person das fundamentale Recht, von einem Verantwortlichen Auskunft über die Verarbeitung ihrer personenbezogenen Daten zu erhalten. Es ist die operative Grundlage für alle anderen Betroffenenrechte — Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragbarkeit.
Zwei Stufen des Auskunftsrechts
Stufe
Inhalt
Stufe 1: Bestätigung
Ob personenbezogene Daten der antragstellenden Person verarbeitet werden
Stufe 2: Auskunft
Wenn ja: detaillierte Informationen zur Verarbeitung + Datenkopie
Die Stufen sind oft kombiniert — der Verantwortliche bestätigt nicht nur, sondern liefert direkt die vollständige Auskunft.
Schutzfunktion des Auskunftsrechts
Das Auskunftsrecht schützt drei Interessen:
Interesse
Bedeutung
Transparenz
Betroffener weiß, was über ihn verarbeitet wird
Kontrolle
Betroffener kann Verarbeitung überprüfen und ggf. korrigieren
Ausgangspunkt
für andere Rechte (Löschung, Berichtigung, Widerspruch)
Kennzahl
Über 50.000 Auskunftsersuchen pro Jahr werden durchschnittlich an deutsche Unternehmen gestellt — die Zahl ist seit 2020 um etwa 200 % gestiegen, getrieben durch Daten-Subjekt-Awareness und Schadensersatz-Klagen.
Wer hat das Recht?
Der Anspruchsberechtigte
Jede natürliche Person (unabhängig von Staatsangehörigkeit, Wohnsitz oder Alter) hat das Auskunftsrecht — solange sie identifizierbar ist und das Unternehmen Daten über sie verarbeitet.
Der Anspruchsverpflichtete
Jedes Unternehmen, jede Behörde, jede Organisation, das/die als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO personenbezogene Daten verarbeitet.
Auftragsverarbeiter und Auskunftsrecht
Auftragsverarbeiter erteilen keine Auskunft direkt — sie unterstützen den Verantwortlichen bei der Beantwortung. Wenn ein Antrag direkt an den Auftragsverarbeiter gerichtet wird, ist dieser an den Verantwortlichen weiterzuleiten.
Mehrere Verantwortliche
Bei gemeinsamer Verantwortung (Art. 26 DSGVO) muss in der Joint-Controller-Vereinbarung geregelt sein, wer das Auskunftsrecht erfüllt. Häufig haben beide gemeinsam Verantwortlichen die Pflicht, sind aber durch die Vereinbarung intern arbeitsteilig zuständig.
Form des Auskunftsersuchens
Es gibt keine Formvorschrift — der Betroffene kann das Ersuchen schriftlich, per E-Mail, telefonisch oder mündlich stellen. Das Unternehmen darf eine schriftliche Bestätigung verlangen, aber keine bestimmten Formulare oder Kanäle vorschreiben.
Inhalt der Auskunft
Art. 15 Abs. 1 DSGVO schreibt acht Pflichtinhalte der Auskunft vor.
Der EuGH hat im Urteil vom 4. Mai 2023 (C-487/21) klargestellt: Auf Anfrage des Betroffenen müssen die konkreten Empfänger (nicht nur Empfänger-Kategorien) genannt werden — sofern technisch möglich.
Standardstruktur der Auskunft
Eine professionelle Auskunft folgt typischerweise dieser Struktur:
Art. 15 Abs. 3 DSGVO regelt das Recht auf Datenkopie — eine der praktisch wichtigsten Anforderungen.
Was ist eine „Kopie"?
Die Kopie umfasst alle personenbezogenen Daten, die Gegenstand der Verarbeitung sind. Das schließt ein:
Stammdaten
Kontaktdaten
Vertragsdaten
Verarbeitungs-Logs
Korrespondenz
ggf. Profil-Daten und Bewertungen
Was ist NICHT Teil der Kopie?
Geschäftsgeheimnisse des Verantwortlichen (z. B. interne Bewertungssysteme als Algorithmus)
Daten Dritter, die in Kombination mit den Daten des Antragstellers gespeichert sind (z. B. andere Vertragspartner)
Reine Metadaten ohne Personenbezug
Format der Kopie
Format
Anwendung
Strukturierte elektronische Form
bei elektronisch gestellten Anträgen — häufig PDF, CSV, JSON
Schriftliche Kopie
bei schriftlichen Anträgen — Brief, ggf. ausgedruckte Datenbankauszüge
Mündliche Auskunft
nur wenn Betroffener es ausdrücklich verlangt
Erste Kopie kostenfrei
Die erste Kopie ist kostenfrei. Bei weiteren Kopien können angemessene Verwaltungsgebühren verlangt werden — typischerweise 5–25 EUR pro Kopie, abhängig vom Aufwand.
Bei „offensichtlich unbegründeten oder exzessiven Anfragen"
Art. 12 Abs. 5 DSGVO erlaubt:
die Erhebung einer angemessenen Gebühr
die Verweigerung des Tätigwerdens
Die Hürde ist hoch — nur wirklich missbräuchliche Anfragen (z. B. wiederholte identische Anträge ohne neue Gründe) fallen darunter.
Bearbeitungsfrist
Die Standardfrist beträgt einen Monat ab Eingang des Auskunftsersuchens.
Verlängerung um zwei Monate
Bei Komplexität oder hohem Aufkommen kann die Frist um zwei weitere Monate verlängert werden — gesamt drei Monate. Voraussetzungen:
Schriftliche Mitteilung an den Betroffenen innerhalb des ersten Monats
Begründung der Verlängerung
konkretes Datum der zu erwartenden Antwort
Was bei verspäteter Antwort?
Verspätete Antworten sind eigene DSGVO-Verstöße. Die Bußgeldhöhe richtet sich nach Verzögerungsdauer und Größenordnung — typisch 5.000–50.000 EUR.
Praxis-Empfehlung
Tätigkeit
Empfohlene Frist
Eingangsbestätigung
binnen 3 Werktagen
Identitätsprüfung
binnen 1 Woche
Datenrecherche
binnen 2–3 Wochen
Auskunftserteilung
innerhalb 4 Wochen
Verlängerung beantragen
nur bei nachvollziehbarer Komplexität
Identitätsprüfung
Bevor Auskunft erteilt wird, muss die Identität des Antragstellers geprüft werden — andernfalls riskiert der Verantwortliche eine Datenpanne.
Standardprüfung
Bei E-Mail-Anfragen genügt typischerweise die Prüfung:
Bekannte E-Mail-Adresse des Kunden
Login-basierte Anfrage über Kundenkonto
Nicht-elektronische Bestätigung der Anschrift
Erweiterte Prüfung bei Zweifeln
Bei „begründeten Zweifeln" (Art. 12 Abs. 6 DSGVO) können weitere Identitätsnachweise verlangt werden:
Verlangen unverhältnismäßiger Identitätsnachweise (z. B. notarielle Beglaubigung)
Verzögerung der Bearbeitung als Druckmittel
Verweigerung trotz hinreichender Identifikation
Eine falsche Auskunftserteilung an einen Dritten wäre eine Datenpanne — vorsichtige Identitätsprüfung schützt vor solchen Vorfällen. Aufsichtsbehörden bewerten angemessene Identitätsprüfung positiv.
Beschränkungen
Das Auskunftsrecht hat enge Grenzen — die Verweigerung muss begründet werden.
Zulässige Beschränkungen
Grund
Art.
Daten Dritter würden offengelegt
Art. 15 Abs. 4
Geschäftsgeheimnisse des Verantwortlichen
nationales Recht (BGH-Auslegung)
Mitgliedstaatliche Beschränkungen
Art. 23 DSGVO
„Offensichtlich unbegründete oder exzessive" Anfragen
Art. 12 Abs. 5
Bei Strafverfolgung
§ 34 BDSG sieht zusätzliche Beschränkungen vor — z. B. wenn Auskunft die Strafverfolgung beeinträchtigen würde (typisch bei Bewerbungs-Konstellationen mit Strafregister-Bezug, AML-Bewertungen).
Anteilsweise Auskunft
Bei teilweiser Beschränkung muss der Verantwortliche die nicht-beschränkten Daten herausgeben und die Beschränkung der anderen begründen.
Rechtsprechung
Die Rechtsprechung zum Auskunftsrecht hat sich 2023–2025 stark entwickelt.
Schlüssel-Urteile
Datum
Gericht
Aktenzeichen
Kerninhalt
04.05.2023
EuGH
C-487/21
Empfänger-Identifikation auf Anfrage konkret
26.10.2023
EuGH
C-307/22
Datenkopie umfasst auch Korrespondenz und Verträge
11.04.2024
EuGH
C-741/21
immaterielle Schäden auch ohne objektive Beeinträchtigung
27.04.2023
BGH
VI ZR 1345/20
Verbraucherrechte stärken — auch bei kleineren Verletzungen
15.06.2023
BGH
VI ZR 1196/22
„Bagatell-Schwelle" für immaterielle Schäden niedrig
EuGH C-741/21 — immaterielle Schäden
Das Urteil hat die deutsche Rechtsprechung deutlich gegenüber Schadensersatz-Klägern ausgerichtet:
Keine Bagatellgrenze — auch geringfügige Beeinträchtigungen können Schadensersatz auslösen
Beweislast liegt aber beim Kläger — er muss die Beeinträchtigung darlegen
Höhe typisch 250–2.500 EUR pro Verstoß, in Einzelfällen mehr
Praxis-Konsequenzen
Die Rechtsprechung verschärft die Compliance-Anforderungen:
Vollständigkeit der Auskunft ist entscheidend
Einhaltung der Frist als Standard
Sorgfältige Identitätsprüfung als Schutz
Empfänger-Identifikation auf konkreter Anfrage zwingend
Schadensersatz
Art. 82 DSGVO regelt den Schadensersatz bei DSGVO-Verstößen — einschließlich Verletzung des Auskunftsrechts.
Anspruchsvoraussetzungen
DSGVO-Verstoß durch den Verantwortlichen
Materieller oder immaterieller Schaden des Betroffenen
Kausalität zwischen Verstoß und Schaden
Typische Schadensszenarien
Szenario
Typische Höhe
Vollständig versäumte Auskunft
1.000–5.000 EUR
Mehrmonatige Verzögerung
500–2.500 EUR
Unvollständige Auskunft (z. B. Empfänger fehlten)
250–1.500 EUR
Falsche Auskunftsverweigerung
500–3.000 EUR
Daten an unbefugten Dritten herausgegeben
2.000–10.000 EUR
Sammelklagen
Seit 2024 sind Verbandsklagen (Mustererkennungsklagen) zur Durchsetzung von DSGVO-Schadensersatz möglich. Verbraucherschutzverbände haben begonnen, systematische DSGVO-Klagen einzuleiten — insbesondere gegen Plattform-Betreiber und große E-Commerce-Anbieter.
Workflow
Ein effizienter Workflow für die Bearbeitung von Auskunftsersuchen sieht typischerweise so aus.
Phase 1 — Eingang und Identifikation (Tag 1–3)
Schritt
Verantwortlich
Eingangsbestätigung an Antragsteller
Empfänger-Postfach (DSB-E-Mail)
Identitätsprüfung
Sachbearbeiter
Klassifizierung des Antrags
DSB
Erste Datenrecherche
IT / Fachbereiche
Phase 2 — Datenrecherche (Tag 4–14)
Schritt
Verantwortlich
Recherche in allen Systemen (CRM, ERP, HR, Marketing, Logging)
Fachbereiche
Konsolidierung der Daten
DSB
Klärung von Empfängern
Vertrieb / Marketing / IT
Bewertung von Beschränkungen
DSB
Phase 3 — Auskunftserstellung (Tag 14–25)
Schritt
Verantwortlich
Erstellung des Auskunftstextes
DSB
Datenkopie aufbereiten
IT
Qualitätssicherung
Rechtsabteilung
Geschäftsleitungs-Freigabe (bei sensiblen Fällen)
Geschäftsleitung
Phase 4 — Übermittlung (Tag 25–30)
Schritt
Verantwortlich
sichere Übermittlung an Antragsteller
DSB
Dokumentation im Antragskatalog
DSB
Folgemaßnahmen (Berichtigung / Löschung)
je nach Antragsfolge
Häufige Fehler
Aus über 200 Auskunftsanträge-Audits — die häufigsten Fehler.
Top-10 Auskunftsrecht-Fehler
Fehler
Häufigkeit
Auswirkung
Frist verpasst
40 %
Bußgeld + Schadensersatz
Empfänger nur Kategorien, nicht konkret
35 %
EuGH C-487/21-Verstoß
Datenkopie unvollständig
30 %
EuGH C-307/22-Verstoß
Identitätsprüfung zu strikt
25 %
Kunden-Beschwerden, Bußgeld
Identitätsprüfung zu lasch
15 %
Datenpanne
Mündliche Auskunft ohne Dokumentation
25 %
nicht nachweisbar
Unklarer Zugang zur Auskunft
20 %
Frist-Risiko
Beschränkungen ohne Begründung
25 %
rechtswidrige Verweigerung
Auskunft ohne Pflichtinhalte
30 %
unvollständig nach Art. 15
Korrespondenz aus Auskunft ausgeschlossen
25 %
EuGH-Verstoß
Bußgeldpraxis
Jahr
Behörde
Sektor
Bußgeld
Hauptgrund
2024
LfDI BW
Bewerber-Plattform
215.000 EUR
systematische Verzögerung
2023
BlnBDI
Versicherungs-Vergleichsportal
525.000 EUR
unvollständige Auskünfte
2023
BayLDA
Bank
145.000 EUR
falsche Verweigerung
2022
LDI NRW
E-Commerce
65.500 EUR
systematisch zu kurze Auskünfte
Vorlagen
Vision Compliance stellt Mandanten standardisierte Vorlagen zur Verfügung — die Kerninhalte einer professionellen Auskunft folgen einem etablierten Aufbau.
Vorlage Auskunfts-Antwort (Auszug)
Sehr geehrte/r [Name],
mit Schreiben/E-Mail vom [Datum] haben Sie uns einen Antrag auf Auskunft
nach Art. 15 DSGVO gestellt. Anbei erhalten Sie die angeforderten Informationen.
1. BESTÄTIGUNG DER VERARBEITUNG
Wir bestätigen, dass wir personenbezogene Daten über Sie verarbeiten.
2. ZWECKE DER VERARBEITUNG
Ihre Daten werden für folgende Zwecke verarbeitet:
- [Konkrete Zwecke aus VVT]
3. DATENKATEGORIEN
Wir verarbeiten folgende Kategorien personenbezogener Daten:
- [Konkrete Datenkategorien]
4. EMPFÄNGER DER DATEN
Ihre Daten werden an folgende Empfänger übermittelt:
- [Konkrete Empfänger; bei Anfrage spezifisch nennen]
5. SPEICHERDAUER
[Konkrete Speicherfristen]
6. DATENQUELLE
Ihre Daten haben wir wie folgt erhalten:
- [Direkte Erhebung / Quelle]
7. BETROFFENENRECHTE
Sie haben das Recht auf:
- Berichtigung (Art. 16 DSGVO)
- Löschung (Art. 17 DSGVO)
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruch (Art. 21 DSGVO)
- Beschwerde bei der Aufsichtsbehörde
8. AUTOMATISIERTE ENTSCHEIDUNGEN
[Falls relevant: konkrete Logik und Tragweite]
9. DRITTLANDTRANSFER
[Falls relevant: konkrete Übermittlungen]
10. DATENKOPIE
Die Kopie Ihrer personenbezogenen Daten finden Sie als Anlage.
Bei Rückfragen erreichen Sie unseren Datenschutzbeauftragten unter:
[Kontaktdaten DSB]
Mit freundlichen Grüßen
FAQ
Wer kann das Auskunftsrecht ausüben?
Jede natürliche Person — unabhängig von Staatsangehörigkeit, Wohnsitz oder Alter. Bei Minderjährigen agiert in der Regel der Erziehungsberechtigte.
Welche Frist gilt für die Beantwortung?
Ein Monat ab Eingang des Antrags. Verlängerung um zwei weitere Monate möglich, wenn schriftlich begründet und innerhalb des ersten Monats mitgeteilt.
Was muss in der Auskunft enthalten sein?
Acht Pflichtinhalte: Verarbeitungszwecke, Datenkategorien, Empfänger, Speicherfristen, Rechte, Beschwerderecht, Datenquelle, automatisierte Entscheidungen. Plus Datenkopie nach Art. 15 Abs. 3.
Muss ich die Empfänger konkret nennen?
Auf konkrete Anfrage: ja (EuGH C-487/21). Sonst genügt grundsätzlich die Empfänger-Kategorie.
Was kostet eine Auskunft den Betroffenen?
Die erste Auskunft ist kostenfrei. Bei wiederholten Anträgen können angemessene Verwaltungsgebühren verlangt werden (typisch 5–25 EUR).
Was passiert bei verspäteter Auskunft?
DSGVO-Verstoß mit möglichem Bußgeld (typ. 5.000–50.000 EUR) und Schadensersatzansprüchen des Betroffenen (typ. 250–2.500 EUR pro Verstoß).
Kann ich Auskunft verweigern?
Nur in engen Grenzen — bei Schutz Dritter, Geschäftsgeheimnissen, mitgliedstaatlichen Beschränkungen oder offensichtlich missbräuchlichen Anträgen. Die Verweigerung muss schriftlich begründet werden.
Welche Identitätsprüfung darf ich verlangen?
Bei E-Mail-Anfragen genügt meist die bekannte Adresse. Bei begründeten Zweifeln: Ausweis-Kopie (mit Schwärzung), telefonische Rückbestätigung, Postkarte an bekannte Anschrift. Keine unverhältnismäßigen Nachweise.
Welche Daten gehören in die Datenkopie?
Alle personenbezogenen Daten, die Gegenstand der Verarbeitung sind — einschließlich Korrespondenz, Verträge, Logs (EuGH C-307/22). Geschäftsgeheimnisse und Daten Dritter ausgenommen.
Wie hoch ist der Schadensersatz bei Verletzung?
Typisch 250–2.500 EUR pro Verstoß. Bei schwerwiegenden Verletzungen oder Weitergabe an unbefugte Dritte deutlich höher (2.000–10.000 EUR).
Art. 15 DSGVO ist eines der wichtigsten und am häufigsten ausgeübten Betroffenenrechte — und gleichzeitig die häufigste Compliance-Schwäche in deutschen Unternehmen. Drei strategische Empfehlungen:
Erstens, ein schlüsselfertiger Workflow mit klaren Verantwortlichkeiten und Fristen. Manuelle Bearbeitung ohne Prozessbeschreibung führt regelmäßig zu Frist-Verstößen.
Zweitens, eine vollständige Datenrecherche in allen Systemen — nicht nur dem CRM. EuGH-Rechtsprechung verlangt zunehmend Vollständigkeit; verkürzte Auskünfte werden mit Schadensersatz sanktioniert.
Drittens, transparente Identitätsprüfung mit klarem Verfahrenshinweis. Schützt vor Datenpannen und vor Beschwerden wegen unverhältnismäßiger Anforderungen.
Vision Compliance unterstützt Unternehmen mit Datenschutz-Beratung und externer DSB-Bestellung — inkl. standardisierter Antragsworkflows, Vorlagen und Bußgeld-Verteidigung. Wir kombinieren Datenschutzrecht mit Prozess-Optimierung, um Compliance und Effizienz zu verbinden. Sprechen Sie uns an für ein kostenloses Erstgespräch zur Optimierung Ihrer Auskunfts-Bearbeitung.
Robert Lozo, mag. iur., is a Partner at Vision Compliance specializing in EU regulatory compliance. He advises organizations on GDPR, NIS2, AI Act, and financial regulation, delivering audit-ready documentation and compliance roadmaps across regulated industries.
