Auskunftsersuchen

16. Juni 2026 - Minuten Lesezeit

Auskunftsersuchen

Das Auskunftsrecht nach Art. 15 DSGVO gehört zu den elementarsten Instrumenten, mit denen Betroffene ihre Rechte im Datenschutz wahrnehmen können.

Für Unternehmen ist es zugleich ein Prüfstein. Wie gut ist der Umgang mit personenbezogenen Daten organisiert, dokumentiert und verständlich kommuniziert?

Inhalt
Auskunftsersuchen
Was ist ein Auskunftsersuchen?
Wer hat Anspruch auf Auskunft?
Was muss das Unternehmen konkret mitteilen?
Form, Frist und Kosten der Auskunft
Praxisherausforderungen für Unternehmen
Risiken und Grenzen des Auskunftsrechts
Auskunftsersuchen als Chance für mehr Transparenz
Fazit 
FAQ: Häufig gestellte Fragen

Was ist ein Auskunftsersuchen?

Ein Auskunftsersuchen ist eine Anfrage einer betroffenen Person, die von dem Verantwortlichen bestätigen lassen möchte, ob betreffende personenbezogene Daten verarbeitet werden.

Verankert ist dieses Recht in Artikel 15 DSGVO.

Technisch gesehen unterscheidet man zwei Stufen:

  • Zunächst hat jeder Betroffene ein Recht auf Bestätigung, ob Daten verarbeitet werden („positiv“ oder „negativ“)
  • Wenn Daten verarbeitet werden, besteht ein Recht auf umfassende Auskunft über diese Daten und die Art der Verarbeitung.

Ein Auskunftsersuchen bedarf keiner besonderen Form.

In der Regel trifft ein solches Auskunftsersuchen per E-Mail, Brief oder online Formular ein.

Weiterhin ist auch klarzustellen, dass keine Begründung für ein Auskunftsersuchen notwendig ist.

Wer hat Anspruch auf Auskunft?

Das Auskunftsrecht steht ausschließlich der betroffenen Person zu, also derjenigen, auf die sich die verarbeiteten Daten beziehen.

  • Selbstverständlich kann die betroffene Person selbst Auskunft verlangen.
  • Eine dritte Person (z.B. Bevollmächtigter, Anwalt, Beratungsstelle) kann nur mit einer wirksamen Vollmacht oder Auftrag handeln, um das Auskunftsrecht auszuüben.
  • Nach Artikel 80 DSGVO können zudem bestimmte Organisationen im Namen betroffener Personen Beschwerde einlegen oder Rechtsmittel durchsetzen, was in der Praxis vor allem bei massenbasierten Datenverarbeitungen relevant wird.

Aus Datenschutz- und Haftungssicht ist die sichere Identitätsprüfung entscheidend. Werden Daten unzulässig an falsche Personen weitergegeben, kann dies bereits als Datenpanne oder Pflichtverletzung gelten.

Was muss das Unternehmen konkret mitteilen?

Die Auskunft nach Artikel 15 DSGVO ist bewusst umfassend:

Betroffene sollen nicht nur „Stammdaten“ sehen, sondern verstehen, wofür, wie und von wem ihre Daten verarbeitet werden.

Typischerweise gehören dazu u.a.:

  • die konkreten personenbezogenen Daten (z.B. Name, Adresse, E-Mail, IP-Adresse, Telefonnummer, Kunden- oder Mitarbeiternummer)
  • die Verarbeitungszwecke (z.B. Vertragsabwicklung, Marketing, Personalverwaltung)
  • die Kategorien der verarbeiteten Daten
  • die Empfänger oder Kategorien von Empfängern
  • die beabsichtigte Speicherdauer bzw. die Kriterien zu ihrer Festlegung
  • das Bestehen weiterer Rechte (Berichtigung, Löschung, Einschränkung, Widerspruch, Beschwerde bei einer Aufsichtsbehörde) sowie
  • bei Daten, die nicht direkt bei der betroffenen Person erhoben wurden (z.B. über Partner oder Datenanbieter), Informationen zur Herkunft und ggf. zu den Weiterverarbeitungsprozessen.

In vielen Fällen ist es sinnvoll, Auszüge aus Dokumenten oder Systemauszügen zu übermitteln, um die Daten im Kontext zu zeigen – etwa Vertragsunterlagen, Kommunikationsverläufe oder Verarbeitungsprotokolle – sofern dies datenschutzrechtlich und fachlich zulässig ist.

Form, Frist und Kosten der Auskunft

Die DSGVO lässt zu, wie die Auskunft erteilt wird:

  • schriftlich
  • elektronisch (z.B. per E-Mail, PDF), oder
  • mündlich, wenn die betroffene Person dies ausdrücklich wünscht und die Identität hinreichend sichergestellt ist.

Die Auskunft muss unverzüglich, spätestens innerhalb eines Monats nach Eingang des Ersuchens erfolgen. In komplexen Fällen kann die Frist um weitere zwei Monate verlängert werden, sofern die betroffene Person vorher informiert wird.

Was häufig unterschätzt wird:

Die erste Kopie der personenbezogenen Daten ist grundsätzlich unentgeltlich. Erst bei wiederholten oder offensichtlich missbräuchlichen Anfragen kann eine Verwaltungskostengebühr in Betracht kommen – dies muss aber im Einzelfall begründbar sein und rechtlich sauber dokumentiert werden.

Praxisherausforderungen für Unternehmen

Für viele Organisationen ist ein Auskunftsersuchen gleichzeitig ein „Stresstest“ für ihre Datenschutz-Organisation:

  • Können Daten schnell aus den jeweiligen Systemen zusammengetragen werden?
  • Ist klar, welche Systeme personenbezogenen Daten speichern und welche Daten überhaupt relevant sind)
  • Sind Prozesse dokumentiert, dass die Auskunft rechtssicher, aber zugleich nicht überbordend ist?

Besonders knifflig können Auskunftsersuchen bei:

  • E-Mail-Verkehr (z.B. interne E-Mails, die auch Dritte betreffen),
  • Personenbezogenen Daten Dritter, die nicht herausgegeben werden dürfen, oder
  • Massenmailings oder Marketing-Kampagnen, bei denen Daten aus mehreren Quellen stammen.

Die exkulpa gmbh setzt hier auf ein ISO-konformen Datenschutz-Mangement-System (DSMS), welches alle relevanten Prozesse, Verfahren und Systeme bündelt.

Wer diese Strukturen bereits aufgebaut hat, kann ein Auskunftsersuchen nicht nur schneller, sondern auch strukturierter und damit rechtssicherer bearbeiten.

Sie brauchen Unterstützung beim Thema Datenschutz?

Sprechen Sie uns gerne direkt an und vereinbaren Sie ein kostenfreies Beratungsgespräch mit einem unserer Experten für Datenschutz.

Jetzt Kontakt aufnehmen
KI-Kompetenz-Schulung für das Management

Risiken und Grenzen des Auskunftsrechts

Das Auskunftsrecht ist stark, aber nicht absolut.

Es gibt Grenzen – etwa, wenn der Auskunftsanspruch so umfangreich ist, dass das Unternehmen überproportional belastet würde, oder wenn die Daten anderer Personen betroffen sind, die nicht herausgegeben werden dürfen.

Zudem gibt es Datenschutz‑spezifische Ausnahmen und andere rechtliche Regelungen (z.B. betriebliche Mitbestimmung, Schutz geheimnisvoller Informationen), die bei der Auskunftserfassung Berücksichtigung finden müssen.

Aus haftungsrechtlicher Sicht ist daher entscheidend:

  • Werden Sachverhalte begründet verweigert, oder wirkt die Antwort wie eine bloße Verzögerungstaktik?
  • Sind die intern zuständigen Personen (Datenschutzbeauftragte, Compliance, IT) schnell einbezogen?
  • Wird die Dokumentation der Bearbeitung lückenlos geführt, sodass bei einer späteren Prüfung durch eine Aufsichtsbehörde eine nachvollziehbare Entscheidungs- und Prozesslogik erkennbar ist?

Auskunftsersuchen als Chance für mehr Transparenz

Ein Auskunftsersuchen ist nicht nur Verpflichtung, sondern auch ein Signal für Transparenz und Vertrauen.

Unternehmen, die solche Anfragen seriös, schnell und verständlich bearbeiten, stärken das Vertrauen von Kunden, Mitarbeitenden und Partnern.

Für uns bedeutet das, dass Datenschutz nicht am Papier endet, sondern im täglichen Prozessleben verankert sein muss:

  • Mitarbeiterschulung,
  • klar definierte Verantwortlichkeiten und Kommunikationswege,
  • ein dokumentiertes DMS mit 21-Punkte-Plan, das Auskunftsersuchen systematisch steuert.

Wer solche Strukturen aufbaut, entlastet nicht nur Geschäftsführung und Fachbereiche, sondern schafft gleichzeitig eine solide Basis, um auf Anfragen von Betroffenen – egal ob Auskunftsersuchen, Widerspruch oder Beschwerde – aus einer Hand zu reagieren.

Fazit 

Das Auskunftsrecht nach Art. 15 DSGVO ist ein zentrales Instrument für Betroffene und gleichzeitig ein echter Stresstest für die Datenschutz-Organisation von Unternehmen.

  • Umfassende Pflichten: Unternehmen müssen betroffenen Personen auf Anfrage formlos, begründungsfrei und grundsätzlich kostenlos mitteilen, ob und welche personenbezogenen Daten (inkl. Verarbeitungszweck, Speicherdauer und Herkunft) über sie verarbeitet werden.
  • Strikte Fristen: Die Rückmeldung muss unverzüglich, spätestens jedoch innerhalb eines Monats erfolgen.
  • Herausforderungen & Risiken: Größte Hürden in der Praxis sind die sichere Identitätsprüfung (Gefahr von Datenpannen bei Fehlern) sowie das datenschutzkonforme Filtern von Daten, wenn z. B. Rechte Dritter oder Geschäftsgeheimnisse berührt werden.
  • Die Lösung als Chance: Ein funktionierendes, ISO-konformes Datenschutz-Management-System (DSMS) – wie es beispielsweise die exkulpa gmbh nutzt – sowie klare Prozesse (z. B. ein 21-Punkte-Plan) und geschulte Mitarbeiter machen das Auskunftsersuchen kalkulierbar. So wird aus einer rechtlichen Pflicht eine Chance, um digitales Vertrauen bei Kunden und Partnern aufzubauen.

FAQ: Häufig gestellte Fragen

Ist für ein Auskunftsersuchen eine bestimmte Form oder Begründung nötig?

Nein. Das Ersuchen kann formlos (z. B. per E-Mail, Brief oder online) gestellt werden. Der Betroffene muss keine Gründe für seine Anfrage nennen. Wichtig ist jedoch eine sichere Identitätsprüfung durch das Unternehmen vor der Herausgabe.

Müssen Unternehmen die Auskunft immer innerhalb eines Monats erteilen?

Ja. Das ist die gesetzliche Regelfrist. Nur in komplexen Ausnahmefällen darf die Frist um maximal zwei weitere Monate verlängert werden – allerdings muss der Betroffene darüber innerhalb des ersten Monats informiert werden.

Ist die Datenauskunft für den Betroffenen grundsätzlich kostenlos?

Ja. Die erste Kopie der personenbezogenen Daten sowie die dazugehörigen Informationen müssen unentgeltlich zur Verfügung gestellt werden. Erst bei offensichtlich missbräuchlichen oder häufig wiederholten Anfragen dürfen nachweisbare Verwaltungskosten erhoben werden.

Müssen Unternehmen ausnahmslos alle internen Daten bei einem Ersuchen offenlegen?

Nein. Das Recht auf Auskunft hat Grenzen. Daten dürfen nicht herausgegeben werden, wenn dadurch die Rechte und Freiheiten anderer Personen (z. B. Geschäftsgeheimnisse oder Daten unbeteiligter Dritter) verletzt würden. Solche Ausnahmen müssen jedoch präzise begründet und dokumentiert werden.

Antonio Morales

Beraterin

Mehr zu Antonio Morales

Antonio Morales-exkulpa gmbh-2025
Weitere blogartikel

Auskunftsersuchen

Wohnungssuche & Datenschutz: Was Vermieter 2026 wissen müssen

BYOD Datenschutz: Tipps für eine sichere Nutzung im Unternehmen

{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}

Sie haben Beratungsbedarf oder wünschen ein Angebot zum Datenschutz?

Jetzt AnfrageN
>