Newsletter datenschutzkonform versenden

Liebe Leserinnen und Leser,

das Auskunftsrecht nach Art. 15 DSGVO ist eines der zentralen Betroffenenrechte – und in gewisser Weise ein Basisrecht des Datenschutzes. Denn nur wer weiß, welche Daten über ihn verarbeitet werden, kann beurteilen, ob die Verarbeitung dieser Daten überhaupt rechtmäßig ist, die Daten korrekt sind, oder ob Daten korrigiert oder gelöscht werden sollten.

Auskunftsersuchen werden aber nicht nur gestellt, wenn jemand schlicht wissen möchte, was gespeichert ist. Häufig kommen sie in angespannten Situationen, beispielsweise bei Konflikten im Arbeitsverhältnis. Das macht die Anfragen nicht weniger legitim – bedeutet aber: Auskunftsersuchen sollten weder unterschätzt noch nebenbei beantwortet werden.

Besonders fehleranfällig sind Fristenkontrolle, Identitätsprüfung, die systematische Recherche in allen relevanten Systemen sowie die Berücksichtigung von Rechten Dritter. Die folgenden 10 Schritte helfen Ihnen, Auskunftsersuchen strukturiert und rechtssicher zu bearbeiten.

Anfrage erkennen und richtig einordnen

Nicht jedes Auskunftsersuchen nennt ausdrücklich Art. 15 DSGVO. Oft wird schlicht gefragt:

Welche Daten haben Sie über mich gespeichert?
Ich bitte um Auskunft über die zu meiner Person verarbeiteten Daten.

Entscheidend ist nicht die Überschrift, sondern der Inhalt. Sobald erkennbar ist, dass eine Person wissen möchte, welche personenbezogenen Daten verarbeitet werden, sollte die Anfrage als Betroffenenanfrage behandelt werden.

Eingang dokumentieren – Frist sofort im Blick behalten

Ab Eingang läuft die Frist nach Art. 12 Abs. 3 DSGVO: Die Antwort muss unverzüglich, spätestens innerhalb eines Monats erfolgen. In der Praxis hilft es, die folgenden Punkte zu dokumentieren:

Eingangsdatum
anfragende Person
Eingangsweg (E-Mail, Post, Kontaktformular …)
zuständige interne Stelle
Fristende (Datum)

In der Praxis geht Zeit häufig schon am Anfang verloren – etwa weil Anfragen im falschen Postfach landen oder intern nicht sofort weitergeleitet werden.

Bestätigen Sie der anfragenden Person kurz den Eingang des Auskunftsersuchen und dass sie sich fristgerecht zurückmelden werden – das schafft Vertrauen.

Zuständigkeiten klar festlegen

Ein Auskunftsersuchen braucht eine klare Koordination – es sollte nicht irgendwie bearbeitet werden. Zu klären ist:

Wer übernimmt die Steuerung (Datenschutzbeauftragter, Rechtsabteilung, HR)?
Welche Fachbereiche müssen eingebunden werden?
Wer prüft rechtliche Fragen?
Wer gibt die Antwort final frei?

Je klarer die Zuständigkeiten, desto geringer ist das Risiko für Verzögerungen und Abstimmungsfehler. Empfehlenswert ist ein interner Prozessverantwortlicher, der alle Schritte koordiniert und die Dokumentation sicherstellt. Idealerweise anhand einer bereits bestehenden Prozessdokumentation.

Identität und Vertretungsbefugnis prüfen

Bevor personenbezogene Daten herausgegeben werden, muss geprüft werden, ob die anfragende Person tatsächlich berechtigt ist und ob es sich bei der antragstellenden Person auch wirklich um die betroffene und korrekte Person handelt. Wird die Auskunft an eine falsche = unberechtigte Person erteilt, kann daraus schnell selbst eine Datenschutzverletzung werden.

Wie kann die Identitätsprüfung erfolgen? Wie intensiv die Prüfung ausfallen muss, hängt vom Einzelfall ab – insbesondere von der Sensibilität der Daten und davon, ob begründete Zweifel an der Identität bestehen. Mögliche Wege sind zum Beispiel:

Abgleich mit bereits bekannten Kontaktdaten, etwa wenn die Anfrage von einer im Unternehmen hinterlegten E-Mail-Adresse gestellt wird
Rückruf unter einer bereits bekannten Telefonnummer
Rückfrage über einen bereits etablierten Kommunikationsweg
Anforderung zusätzlicher Angaben, die nur der betroffenen Person bekannt sein dürften, bspw. die interne Personalnummer
Vorlage eines geeigneten Identitätsnachweises, wenn berechtigte Zweifel bestehen

Dabei gilt: Es sollten nur solche Nachweise oder Informationen verlangt werden, die zur Identitätsfeststellung tatsächlich erforderlich sind. Eine pauschale Anforderung von Ausweiskopien in jedem Fall ist in der Regel nicht sinnvoll und notwendig. Wird ein Ausweisdokument angefordert, sollte nur das genutzt werden, was für die Identifizierung wirklich benötigt wird (Name, Adresse). Alle anderen Daten sind auf der Kopie zu schwärzen, außerdem sollte die Kopie immer auch erkennbar als solche gekennzeichnet sein.

Umfang der Anfrage verstehen

Manche Anfragen richten sich allgemein auf sämtliche verarbeiteten Daten, andere nur auf einen bestimmten Vorgang oder Zeitraum. Zu klären ist also:

Worauf bezieht sich die Anfrage konkret?
Welche Verarbeitungsvorgänge kommen in Betracht?
Ist eine Präzisierung sinnvoll und zulässig?

Eine Rückfrage kann hilfreich sein – sie darf aber nicht dazu führen, die Bearbeitung unnötig hinauszuzögern oder die Frist zu umgehen.

Systematisch in allen relevanten Systemen recherchieren

Ein häufiger Fehler: nur in einem System nachzusehen. Das passiert oft dann, wenn das Auskunftsersuchen in einer Abteilung ankommt und dort auch gleich – mit besten Wissen – bearbeitet wird, aber dabei vergessen wird, dass evtl. auch in anderen Abteilungen Daten der betroffenen Person verarbeitet werden.

Folgende Systeme können relevant sein:

Personalakten / HR-Systeme
CRM-Systeme
Kunden- oder Lieferantendatenbanken
E-Mail-Postfächer
Bewerbermanagementsystem
Ticketsysteme
Newsletter- und Marketingtools
usw.

Die Recherche sollte strukturiert erfolgen und intern nachvollziehbar dokumentiert werden – welche Systeme wurden geprüft, von wem und mit welchem Ergebnis.

Die Auskunft vollständig zusammenstellen

Die Datenschutzgrundverordnung gibt sehr genau vor, welche Informationen die Beantwortung des Auskunftsersuchens enthalten muss:

die verarbeiteten personenbezogenen Daten (Inhalt)
die Zwecke der Verarbeitung
die Kategorien personenbezogener Daten
die Empfänger der Daten
die geplante Speicherdauer oder Kriterien für deren Festlegung
die Herkunft der Daten (soweit nicht direkt bei der betroffenen Person erhoben)
Hinweis auf die weiteren Betroffenenrechte (Berichtigung, Löschung, Einschränkung, Widerspruch, Beschwerde)
Informationen zu automatisierten Entscheidungen / Profiling, soweit vorhanden

Recht auf Datenkopie (Art. 15 Abs. 3 DSGVO): Die betroffene Person hat zudem einen eigenständigen Anspruch auf eine Kopie der verarbeiteten personenbezogenen Daten. Wird die Anfrage elektronisch gestellt, ist die Kopie grundsätzlich in einem gängigen elektronischen Format bereitzustellen.

Wichtig: Die Auskunft ist grundsätzlich kostenlos zu erteilen (Art. 12 Abs. 5 DSGVO). Nur bei offenkundig unbegründeten oder exzessiven Anfragen (z. B. wiederholte identische Anfragen ohne erkennbaren neuen Zweck) kann ein angemessenes Entgelt verlangt oder die Bearbeitung verweigert werden – die Beweislast liegt dabei beim Verantwortlichen.

Rechte Dritter prüfen – was darf herausgegeben werden?

Auch wenn die Auskunft vollständig sein soll, dürfen Unterlagen nicht ungeprüft herausgegeben werden. Besonders sorgfältig zu prüfen sind:

E-Mail-Verläufe mit anderen Personen
Gesprächsnotizen und interne Vermerke
Dokumente mit Angaben zu Dritten

Enthalten Unterlagen auch Daten anderer Personen, bspw. Namen, müssen deren Rechte berücksichtigt werden. Das kann dazu führen, dass Inhalte geschwärzt oder Teile ausgenommen werden.

Grenzen des Auskunftsrechts: Das Auskunftsrecht besteht nicht schrankenlos. Betriebs- und Geschäftsgeheimnisse sowie gesetzliche Verschwiegenheitspflichten können im Einzelfall eine vollständige Herausgabe einschränken. Solche Einschränkungen müssen aber gut begründet und dokumentiert sein. Dies gilt auch, wenn Auskunftsersuchen generell vom Umfang her „unverhältnismäßig“ sind, auch dann ist das Auskunftsrecht eingeschränkt. Die Beurteilung, wann ein Ersuchen unverhältnismäßig ist, ist nicht ganz einfach. Hier sollte immer der Datenschutzbeauftragte die Bewertung vornehmen.

Fristen aktiv steuern – Verlängerung rechtzeitig anzeigen

Wenn die Bearbeitung besonders aufwändig ist, erlaubt Art. 12 Abs. 3 DSGVO eine Fristverlängerung um bis zu zwei weitere Monate. Voraussetzung: Die Anfrage ist komplex oder es liegen viele Anfragen gleichzeitig vor.

Entscheidend: Die betroffene Person muss innerhalb der ursprünglichen Monatsfrist über die Verlängerung und deren Gründe informiert werden. Ein bloß verspätetes Antworten ohne rechtzeitige Mitteilung ist keine saubere Lösung – und kann zu einer Beschwerde bei der Aufsichtsbehörde führen.

Antwort sicher übermitteln und Vorgang vollständig dokumentieren

Die Antwort sollte nicht nur inhaltlich richtig, sondern auch verständlich formuliert und sicher übermittelt werden (z. B. verschlüsselte E-Mail oder gesicherter Versandweg bei sensiblen Daten).

Der gesamte Vorgang sollte intern dokumentiert werden, insbesondere:
Eingang der Anfrage und Fristberechnung
Durchgeführte Identitätsprüfung
Beteiligte interne Stellen und einbezogene Systeme
Durchgeführte Prüfungen und Abwägungen (z. B. Drittrechte, Ausnahmen)
Datum, Inhalt und Übermittlungsweg der Antwort

Diese Dokumentation ist wichtig: Sie belegt im Zweifelsfall – gegenüber Betroffenen, der Aufsichtsbehörde oder in einem gerichtlichen Verfahren – dass das Unternehmen seiner Pflicht nachgekommen ist.

Ablehnungen dokumentieren: Wird eine Auskunft ganz oder teilweise verweigert (z. B. wegen Drittrechten oder exzessiver Anfrage), muss die betroffene Person über die Ablehnung und deren Gründe informiert werden – und auf ihr Recht zur Beschwerde bei der zuständigen Datenschutz-Aufsichtsbehörde hingewiesen werden.

Auskunftsersuchen sind kein reines Datenschutz-Formalthema, sondern ein operativer Prüfstein für funktionierende Prozesse im Unternehmen. Wer Zuständigkeiten, Fristen, Recherche und Dokumentation vorab klar regelt, spart im Ernstfall Zeit, reduziert Risiken und kann Anfragen deutlich souveräner bearbeiten.

Auf Wunsch stellen wir Ihnen gerne eine Vorlage für die Beantwortung von Auskunftsersuchen zur Verfügung. Gern unterstützen wir Sie auch bei der Prüfung konkreter Auskunftsersuchen und bei der rechtssicheren Formulierung von Antworten.

Herzlichen Dank fürs Lesen

Ihr Dapro Serv-Team

Klingt kompliziert? Wir unterstützen Sie gerne. Sprechen Sie uns an. Datenschutz kann einfach sein.

Sie haben Anmerkungen zu unseren Newslettern? Wir freuen uns sehr über jedes Feedback.

Bitte beachten Sie, dass dieser Newsletter der Information dient und keine Rechtsberatung darstellt!

Cookie	Dauer	Beschreibung
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.