• Mehr als 25 Jahre Erfahrung
  • Individuelle betriebswirtschaftliche Beratung
  • Praxisorientiert mit Know-how
Schnelle Hilfe bei Datenschutzproblemen
Tastatur mit DSGVO Taste

Art. 15 DSGVO: das Auskunftsrecht der betroffenen Person

Die Datenschutzgrundverordnung (DSGVO) hat das Datenschutzrecht innerhalb der EU auf eine einheitliche Grundlage gestellt. Eines der zentralen Elemente dieser Verordnung ist das Auskunftsrecht der betroffenen Person, geregelt in Artikel 15 DSGVO. Es stellt sicher, dass jede Person nachvollziehen kann, welche personenbezogenen Daten über sie verarbeitet werden – und zu welchem Zweck. In einer Zeit zunehmender Digitalisierung und datengetriebener Geschäftsmodelle ist dieses Recht entscheidend für Transparenz und Selbstbestimmung.

Inhaltsverzeichnis:

Bedeutung des Art. 15 DSGVO für Unternehmen

Art. 15 DSGVO verankert das Recht der betroffenen Person auf Auskunft über die Verarbeitung ihrer personenbezogenen Daten. Für Unternehmen ist das doppelt relevant:

  • Einerseits beeinflusst es den täglichen Umgang mit Kunden-, Mitarbeiter- und Lieferantendaten.
  • Andererseits drohen bei Verstößen empfindliche Bußgelder von bis zu 20 Mio. Euro bzw. 4 % des weltweiten Jahresumsatzes.

Wer sich mit dem Datenschutz auseinandersetzt, sollten Art. 15 deshalb nicht als reine Compliance-Pflicht sehen, sondern als Chance, Transparenz und Vertrauen aufzubauen.

Definition zentraler Begriffe

  • Personenbezogene Daten: alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen
  • Verarbeitung: jeder Vorgang im Zusammenhang mit personenbezogenen Daten – von der Erhebung bis zur Löschung
  • Empfänger: jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden

Datenschutz Seminare für Einsteiger und Fortgeschrittene

Ein Mann steht an einem Whiteboard und erklärt lächelnd

Die Datenschutzexperten der KEDUA GmbH bietet für Einsteiger und Fortgeschrittene entsprechende Datenschutzseminare an.

Nicht nur gesetzliche Richtlinien, sondern auch umfangreiche branchen- und bereichsspezifische Informationen gilt es beim Thema Datenschutz zu kennen. Vom Grundlagenseminar bis hin zum tief greifenden Aufbauseminar ermöglichen wir Ihnen zahlreiches Datenschutz-Wissen.

Kerninhalt des Art. 15 DSGVO

Art. 15 gewährt betroffenen Personen mehr als nur eine Kopie ihrer Daten. Er verpflichtet Verantwortliche, strukturierte Informationen bereitzustellen.

Umfang der Auskunft:

  • Verarbeitungszwecke – warum werden die Daten erhoben oder gespeichert?
  • Kategorien personenbezogener Daten – welche Datentypen sind betroffen (Stammdaten, Nutzungsdaten, Gesundheitsdaten etc.)?
  • Empfänger oder Kategorien von Empfängern – wer erhält die Daten intern oder extern?
  • geplante Speicherdauer oder, falls nicht möglich, die Kriterien für deren Festlegung
  • Bestehen der Rechte auf Berichtigung, Löschung, Einschränkung und Widerspruch
  • Beschwerderecht bei einer Aufsichtsbehörde
  • Herkunft der Daten, soweit sie nicht direkt bei der Person erhoben wurden
  • automatisierte Entscheidungsfindung inkl. Profiling und nachvollziehbarer Logik

Fristen und Verfahren

Einmonatige Antwortfrist

Unternehmen müssen die Auskunft unverzüglich, spätestens innerhalb eines Monats nach Eingang des Antrags erteilen. Diese Frist darf nur in Ausnahmefällen um zwei weitere Monate verlängert werden, etwa bei komplexen oder zahlreichen Anträgen. Die betroffene Person ist dann binnen eines Monats über die Verzögerung und deren Gründe zu informieren.

Authentifizierung des Antragstellers

Vor Herausgabe sensibler Daten ist die Identität des Antragstellers zweifelsfrei festzustellen. Geeignet sind z. B. Zwei-Faktor-Verfahren, Ausweiskopien oder interne Kunden-Logins. Lehnen Sie Anfragen ab, wenn eine sichere Identifizierung nicht möglich ist – dokumentieren Sie diese Entscheidung jedoch sorgfältig.

Gebühren

Die erste Auskunft ist kostenfrei. Nur bei offenkundig unbegründeten oder exzessiven Folgeanträgen können „angemessene Gebühren“ verlangt oder die Bearbeitung verweigert werden (Art. 12 Abs. 5 S. 2 DSGVO).

Form und Inhalt der Auskunftserteilung

Datenkopie vs. Zusammenfassung

Art. 15 Abs. 3 verlangt eine Kopie der verarbeiteten Daten. Sie muss nicht zwingend jede Rohdatentabelle enthalten. Ein maschinenlesbares Exportformat (JSON, CSV) oder ein strukturiertes PDF reichen meist aus, sofern alle Pflichtinhalte abgedeckt sind.

Elektronische Bereitstellung

Stellt der Antragsteller seinen Antrag elektronisch, sollte die Antwort grundsätzlich ebenfalls elektronisch erfolgen, sofern möglich „in gängiger elektronischer Form“. Achten Sie auf verschlüsselte Übertragungswege (z. B. passwortgeschützte Zip-Dateien).

Transparente Sprache

Die Informationen müssen klar und verständlich sein. Vermeiden Sie juristische Fachsprache; ergänzen Sie Glossare oder Beispiele.

Grenzen und Ausnahmen

Rechte Dritter

Werden durch die Auskunft Rechte und Freiheiten anderer Personen beeinträchtigt (z. B. Mitarbeitende, Hinweisgeber), kann der Umfang eingeschränkt werden (Erwägungsgrund 63). Eine komplette Verweigerung ist aber ultima ratio. Prüfen Sie, ob eine Teilmaskierung genügt.

Geschäfts- und Betriebsgeheimnisse

Auch hier gilt das Prinzip der Verhältnismäßigkeit. Geschäftsgeheimnisse können geschützt werden, sofern ein angemessener Ausgleich zwischen Transparenz und Geheimhaltungsinteresse besteht.

Weitere gesetzliche Beschränkungen

Sektorspezifische Normen (z. B. § 34 BDSG, Bank- oder Steuergeheimnis) können das Auskunftsrecht einschränken. Diese Einschränkungen müssen jedoch begründet und dokumentiert werden.

Praktische Umsetzung im Unternehmen

Dateninventar und Verarbeitungsverzeichnis

Ein aktuelles Verzeichnis gemäß Art. 30 DSGVO bildet die Grundlage jeder Auskunft. Ergänzen Sie Metadaten wie Speicherorte, Systemverantwortliche und Schnittstellen.

Rollen und Verantwortlichkeiten

  • Datenschutzbeauftragter (DSB) – fachliche Prüfung, Dokumentation, Kommunikation mit Aufsichtsbehörden
  • Fachabteilungen – Bereitstellung der Daten
  • IT-Abteilung – technische Exporte, Systemzugriffe, Verschlüsselung

Eine klare Prozessbeschreibung (SOP) mit Eskalationswegen beschleunigt die Bearbeitung.

Automatisierte Workflows

Moderne Datenschutz-Management-Systeme (DPMS) bieten Self-Service-Portale, die Anträge erfassen, Workflows anstoßen, Fristen überwachen und Audit-Trails erzeugen.

Dokumentation und Rechenschaftspflicht

Die DSGVO verlangt nachweisbare Compliance. Speichern Sie alle relevanten Vorgänge:

  • Eingangsdaten des Antrags (Datum, Kanal, Identitätsprüfung)
  • Entscheidungen zu Ablehnung, Teilerfüllung oder Verzögerung inkl. Begründung
  • Kopien der übermittelten Informationen
  • interne Kommunikation und Freigaben

Besondere Herausforderungen

Große Datenmengen und Legacy-Systeme

Unstrukturierte Daten (E-Mails, Share-Drives) erschweren das Auffinden personenbezogener Daten. Der Einsatz von eDiscovery-Tools mit Personendaten-Erkennung (Pseudonym Matching, AI-gestützte Suche) kann helfen.

Cloud- und Drittlandsverarbeitung

Betroffene haben Anspruch auf Informationen zu Übermittlungsempfängern in Drittländern und den geeigneten Garantien (z. B. EU-Standardvertragsklauseln). Halten Sie Ihre Transfer-Impact-Assessments (TIA) griffbereit.

Mitarbeiteranfragen

Bei Beschäftigtendaten gelten zusätzlich § 26 BDSG und ggf. Betriebsvereinbarungen. Besonders kritisch: Leistungs- und Verhaltensdaten. Prüfen Sie, ob eine Einsichtnahme in Roh-E-Mail-Logs oder Chatprotokolle zulässig ist oder ob Aggregationen genügen.

Sanktionen und Haftungsrisiken

Die Aufsichtsbehörden haben 2024 und 2025 mehrere Millionen-Strafen verhängt, weil Unternehmen Anfragen verspätet oder unvollständig beantwortet oder Betroffene ungerechtfertigt abgewiesen haben. Zusätzlich drohen Schadensersatzklagen nach Art. 82 DSGVO, inklusive immaterieller Schäden. Eine robuste Art.-15-Strategie mindert das Risiko erheblich.

Art. 15 als Chance

Art. 15 DSGVO ist kein bürokratisches Anhängsel, sondern der Transparenz-Hebel des europäischen Datenschutzrechts. Unternehmen, die frühzeitig klare Prozesse, zentrale Dateninventare und automatisierte Workflows etablieren, profitieren von geringeren Haftungsrisiken und stärken gleichzeitig das Vertrauen ihrer Stakeholder. Sie sollten das Auskunftsrecht deshalb nicht isoliert betrachten, sondern als Querschnittsaufgabe zwischen Recht, IT und Organisation.

zwei Geschäftsmännerarme die sich die Hand geben
Partnerschaftliche Zusammenarbeit

Sie haben weitere Fragen oder benötigen Hilfe?

Unsere Datenschutz-Experten unterstützen Sie, geben Hilfestellung und bieten maßgeschneiderte, individuelle Lösungen für Ihr Unternehmen. Wir kümmern uns um Ihren Datenschutz – von der einfachen Beratung, bis hin zur Erstellung eines Datenschutz-Managementkonzeptes.

FAQ

ÄHNLICHE BEITRÄGE

  • LfDI-Anforderungen an Social Media für Unternehmen

    Governance und Konzept statt „Post-by-Post“ Der LfDI fordert (für Behörden, aber übertragbar) ein dokumentiertes Konzept mit Zweck, Zielgruppen, Kanälen, Verantwortlichkeiten, Monitoring, Moderations-/Löschregeln, alternativen Kommunikationswegen und […]

    Weiterlesen →

  • Datenschutz im Homeoffice

    Rechtsrahmen und Verantwortlichkeit Governance: Richtlinien, Zuständigkeiten, Nachweisführung Risikoanalyse des Datenschutzes im Homeoffice TOM im Homeoffice Datenschutz Seminare für Einsteiger und Fortgeschrittene FAQ

    Weiterlesen →

  • Microsoft 365 datenschutzkonform nutzen: ein umfassender Leitfaden

    Inhaltsverzeichnis: Datenschutzrechtliche Herausforderungen bei Microsoft 365 Microsoft 365 umfasst zahlreiche Online-Dienste, die personenbezogene Daten verarbeiten. Dabei ergeben sich verschiedene datenschutzrechtliche Herausforderungen. Datenübermittlung in Drittländer Unklare […]

    Weiterlesen →