Art. 15 DSGVO: Auskunftsrecht der betroffenen Person

Wann und wie Unternehmen dem Auskunftsrecht für personenbezogene Daten nachkommen müssen

Fachlich geprüft von: Rechtsanwalt Lev Lexow Rechtsanwalt Lev Lexow
(19 Bewertungen, 3.89 von 5)

Das Wichtigste in Kürze

  • Der Art. 15 DSGVO (Datenschutzgrundverordnung) regelt das Auskunftsrecht über sämtlichen personenbezogenen Daten, die in Unternehmen oder bei Behören verarbeitet werden.
  • Die Auskunft über die personenbezogenen Daten ist für Betroffene kostenlos.
  • Die Daten müssen nach Auskunftsanfrage unverzüglich, spätestens innerhalb eines Monats, dem Antragsteller zur Verfügung gestellt werden.

Worum geht's?

Das Recht auf Auskunft ist im Datenschutz eines der wichtigsten Betroffenenrechte. Flattert bei Ihnen im Unternehmen das erste Auskunftsersuchen ein, stellt Sie das erstmal vor eine neue Herausforderung. Was müssen Sie jetzt beachten? Erstmal kurz zum Allgemeinen: Die Datenschutz-Grundverordnung, kurz DSGVO, beinhaltet verschiedene Betroffenenrechte, die laut Rechtsprechung seit dem 25. Mai 2018 anwendbar sind. Dabei geht es im Wesentlichen darum, welche privaten Daten von Betroffenen in Ihrem Unternehmen gespeichert werden und wofür diese genutzt werden.

Ein wichtiger Bestandteil der Datenschutzgrundverordnung ist der Art. 15 DSGVO. Dieser beinhaltet das Auskunftsrecht der betroffenen Person über ihre personenbezogenen Daten. Aber was genau bedeutet die Auskunft für Sie als Unternehmen?

Besteht eine Auskunftspflicht? Wann hat eine Person laut Datenschutzgrundverordnung ein Recht auf Auskunft? Und wie gestaltet sich eine Auskunftsanfrage? Welche Kosten entstehen dabei für den Antragsteller? Dies und mehr lesen Sie in diesem Artikel.

 

1. Was ist das Auskunftsrecht?

Das Auskunftsrecht, verankert in Art. 15 DSGVO, ermöglicht Betroffenen, Auskunft über ihre gespeicherten personenbezogenen Daten zu verlangen. Dies schließt Stammdaten, Kommunikationsdetails und interne Vermerke ein. Unternehmen sind zur Bereitstellung vollständiger Dokumentenkopien verpflichtet.

Das bedeutet, dass Sie als Unternehmen der betroffenen Person Einblick darüber geben müssen, welche Daten und Informationen über ihn bei Ihnen gespeichert sind. Sie stehen in der Informationspflicht. Sofern sich der Inhalt und der Sinn der Information erst aus dem Kontext einer Korrespondenz ergibt, müssen Sie dem Antragsteller laut Auskunftsrecht die vollständigen Dokumente der Datenverarbeitung als Kopie herausgeben.

2. Wie teuer ist die Auskunftsanfrage?

Grundsätzlich ist die Auskunft über personenbezogene Daten kostenlos. Laut Art. 15 DSGVO gilt dies allerdings nur für die erste Kopie der Auskunftserteilung der betroffenen Person. Bei unbegründeten oder sich häufig wiederholenden Anfragen dürfen Sie als Unternehmen entweder ein Entgelt verlangen oder die Auskunft verweigern (Art. 12 Abs. 5 DSGVO).

3. Datenschutz: Auskunft ist nicht grenzenlos möglich

Trotz Auskunftsrecht muss der Datenschutz gewahrt werden. Hier gilt für Sie, dass Sie nur Auskunft über die Daten erteilen müssen, wenn die Rechte und Freiheiten anderer Personen beachtet werden.

Datenschutz Dritter muss gewahrt werden

Trotz Recht auf Auskunft gilt es, den Datenschutz dritter Personen zu wahren. Auch Betriebs- und Geschäftsgeheimnisse Ihres Unternehmens bleiben damit sicher. Im besten Fall schwärzen Sie entsprechende Passagen, die laut Datenschutz geschützt werden müssen. Eine vollständige Verweigerung der Auskunft ist nämlich laut Artikel 15 DSGVO nicht möglich.

Zum Schutz der öffentlichen Sicherheit sind aber weitere Einschränkungen des Auskunftsrechts möglich. Diese regelt z. B. das Bundesdatenschutzgesetz (BDSG), die Abgabenordnung oder das Sozialgesetzbuch (SGB) X.

Unternehmen versuchen oft, den Aufwand der Auskunft als unverhältnismäßig einzustufen. Grundsätzlich geht es bei der Unverhältnismäßigkeit aber nicht nur um den Aufwand. Daten, die ggf. nicht beauskunftet werden müssen, können zwar ausschließlich gespeicherte Daten sein, allein wegen des Umfangs kann allerdings nicht von einem zu hohen Aufwand ausgegangen werden.

Gerade für personenbezogene Daten, die in einem hohen Umfang gespeichert werden, kann ein Auskunftsrecht umso mehr gegeben sein. Dementsprechend wird der unverhältnismäßige Aufwand in den seltensten Fällen als Argument für eine nicht erteilte Auskunft gesehen.

Sachfremder Grund beim Auskunftsbegehren

Auch wenn der Auskunftssuchende einen sachfremden Grund für die Auskunft nennt, kann dies rechtsmissbräuchlich sein. Die Folge: Sie dürfen als Unternehmer die Auskunft verweigern – und zwar gemäß Art. 12 Absatz 5 Satz 2 Buchstabe b). Ein sachfremder Grund gehört nämlich zu den exzessiven Anträgen.

Beispiel: Ein Kunde verlangt von seiner Versicherungsgesellschaft - bei der er privat krankenversichert war - Auskunft nach Art. 15 DSGVO. Das tut er nur, um zu überprüfen, ob die erfolgten Prämienanpassungen rechtmäßig erfolgt sind (LG Düsseldorf, Urt. v. 13.02.2023 - Az.: 9 O 46/22).

In unserem Beispiel möchte der Kunde im Wesentlichen seine möglichen Ansprüche gegen die Versicherungsgesellschaft prüfen. Es geht ihm gerade nicht darum, Auskunft darüber zu erlangen, wie seine personenbezogenen Daten von dem Unternehmen gespeichert und verarbeitet werden. Genau dazu dient das Auskunftsrecht gemäß Art. 15 DSGVO aber. Deshalb ist der Antrag rechtsmissbräuchlich und das Unternehmen hat ein Weigerungsrecht.

Aufgepasst:

Ob ein sachfremder Grund vorliegt und ein Weigerungsrecht für den Unternehmer besteht ist immer eine Frage des Einzelfalls.

Sollte kein sachfremder Grund bestehen und Sie als Unternehmer verweigern die Auskunft, kann dies eine Verletzung des Auskunftsrechts darstellen und hohe Bußgelder nach sich ziehen.

Jetzt Anwalt kontaktieren

Praxis-Tipp:

Liegt Ihnen als Unternehmer ein Auskunftsersuchen vor, bei dem Sie vermuten, dass es auf sachfremden Gründen beruht, holen Sie zunächst anwaltlichen Rat ein. Sollten Sie nämlich ungerechtfertigt eine Auskunft nicht erteilen, kann das schwere Folgen haben. Unsere Kanzlei Siebert Lexow hilft Ihnen gern weiter.

Jetzt Anwalt kontaktieren

4. Was muss eine Auskunft nach Art. 15 DSGVO enthalten?

Ein allgemeingültiges Formular für die Auskunftserteilung der Daten existiert laut Datenschutzgrundverordnung nicht. Sie können das Schreiben als Unternehmen selbst gestalten. Die Betroffenenrechte setzen voraus, dass die Auskunft folgendermaßen gestaltet sein muss:

  • Präzise Sprache
  • Transparenz
  • Verständlichkeit
  • Leicht zugängliche Form

Der Inhalt der Datenauskunft gemäß DSGVO ist klar geregelt. Die folgenden Informationen müssen Sie in der Auskunftserteilung für die betroffene Person gemäß DSGVO-Auskunftsrecht bereitstellen:

  • Verarbeitungszwecke
  • Welche Daten werden verarbeitet?
  • Empfänger und künftige Empfänger der personenbezogenen Daten
  • Geplante Speicherdauer oder Kriterien für die Festlegung der Speicherdauer
  • Rechte auf Berichtigung, Einschränkung oder Löschung der Verarbeitung
  • Widerspruchsrecht gegen die Verarbeitung
  • Beschwerderecht des Antragstellers bei der Aufsichtsbehörde
  • Herkunft der Daten, wenn nicht bei Ihnen erhoben
  • Daten, die über einen Dienst oder ein Gerät erhoben werden, z. B. Suchaktivitäten oder Standortdaten

Negativauskunft Muster

Wenn Sie keine personenbezogenen Daten der betroffenen Person verarbeiten, können Sie diese in einer sogenannten Negativauskunft darüber informieren. Als Beispiel dafür haben wir ein kleines Muster für Sie:

Sehr geehrte Frau Mustermann,

personenbezogene Daten zu Ihnen haben wir nicht gespeichert. Ausgenommen sind Ihre Daten, die Sie uns mit Ihrem Auskunftsersuchen mitgeteilt haben.

Hinweise zu unserem Datenschutz finden Sie unter www.beispielunternehmen.de/datenschutz.

Mit freundlichen Grüßen

Beispielunternehmen

 

Laut Art. 5 Abs. 2 DSGVO besteht eine Rechenschaftspflicht:

Wichtig: Vergessen Sie nicht, die Auskunft intern zu dokumentieren. Diese Pflicht ergibt sich im Übrigen auch für Negativauskünfte.

5. Wie darf eine betroffene Person ihr Auskunftsrecht wahrnehmen?

Als Auskunftsersuchen laut DSGVO genügt bereits ein formloser Antrag ohne Begründung des Auskunftsanspruchs der betroffenen Person. Da Sie als Unternehmen sicherstellen müssen, dass unbefugte Dritte nicht an die Daten anderer Personen gelangen, sollten Sie den Antragsteller in jedem Fall eindeutig identifizieren können.

Gibt es Zweifel an der Identität der betroffenen Person, können Sie laut Art. 12 Abs. 6 Datenschutzgrundverordnung in Einzelfällen auch eine Kopie des Personalausweises verlangen. Zur Identifizierung genügen allerdings Name, Anschrift, Geburtsdatum und Gültigkeitsdauer. Alles andere kann von der betroffenen Person geschwärzt werden. Eine Speicherung der Ausweiskopie ist nicht erlaubt.

Wichtig: Bei der Weitergabe der personenbezogenen Daten ist Vorsicht geboten. Per Telefon ist es schwierig, die Identität der betroffenen Person zweifelsfrei festzustellen. Eine sichere Übermittlung der Auskunft gemäß Artikel 15 DSGVO sollten Sie daher lieber schriftlich oder per verschlüsselter E-Mail vornehmen.

6. Wann muss laut Art. 15 DSGVO die Auskunft über personenbezogene Daten erfolgen?

Verlangt eine betroffene Person gemäß Artikel 15 DSGVO Auskunft über seine personenbezogenen Daten, müssen Sie diese unverzüglich zur Verfügung stellen. Laut Art. 12 Abs. 3 DSGVO beträgt die Frist einen Monat nach Antragstellung.

In komplexen Fällen können Sie die Frist für die Auskunftserteilung auf zwei Monate verlängern. Sollte eine Verlängerung nötig sein, schreibt das Auskunftsrecht vor, dass Sie die betroffene Person innerhalb des ersten Monats der Bearbeitung ihrer Auskunft darüber informieren müssen.

7. Muster für eine Datenauskunft nach DSGVO

Im Folgenden finden Sie ein Muster für eine Datenauskunft nach Art. 15 DSGVO. Dieses können Sie kostenlos downloaden, anpassen und für Ihr Unternehmen verwenden.

Jetzt Muster herunterladen

  

8. Gesetzestext des Art. 15 DSGVO

  1. Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:
    1. die Verarbeitungszwecke;
    2. die Kategorien personenbezogener Daten, die verarbeitet werden;
    3. die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
    4. falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
    5. das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
    6. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
    7. wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
    8. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
  2. Werden personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt, so hat die betroffene Person das Recht, über die geeigneten Garantien gemäß Artikel 46 im Zusammenhang mit der Übermittlung unterrichtet zu werden.
  3. Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. Für alle weiteren Kopien, die die betroffene Person beantragt, kann der Verantwortliche ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen. Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt.
  4. Das Recht auf Erhalt einer Kopie gemäß Absatz 3 darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.

Zur Übersicht aller Artikel des DSGVO Gesetzestextes

 

Mehr Details zur Datenschutzgrundverordnung - DSGVO

 

eRecht24 Praxis Guide
Rechtssichere Webseiten:
Alles, was Sie wissen müssen
In unserem Guide erklären wir Ihnen in 12 Schritten, wie Sie eine Website rechtssicher erstellen - von der Wahl des Domainnamens über Impressum und Datenschutzerklärung bis hin zu E-Mail- und Newslettermarketing.
Guide jetzt kostenfrei herunterladen!

Name: Bitte Name angeben.

E-Mail-Adresse: Bitte korrekte E-Mail-Adresse angeben.

Ja, bitte senden Sie mir den kostenfreien Guide zu. Ich bin damit einverstanden, dass eRecht24 mir regelmäßig aktuelle Rechts-Updates, Praxistipps und Angebote aus den Bereichen Datenschutz und Internetrecht per E-Mail zusendet. Ich kann jederzeit form- und kostenlos widersprechen. Näheres entnehmen Sie unserer Datenschutzerklärung.
Vielen Dank!
Wir nehmen es mit dem Schutz Ihrer Daten genau und halten uns an die rechtlichen Vorgaben des Double-Opt-In. Bitte bestätigen Sie zuerst Ihre E-Mail-Adresse. Dann stellen wir Ihnen den Guide kostenfrei zur Verfügung.
Tipp: In unseren Premium-Paketen stehen Ihnen mehr als 10 praktische Guides mit Handlungsempfehlungen und passenden Generatoren und Tools zu verschiedenen Themen (Datenschutz, Urheberrecht, Marketing & Co.) kostenfrei zur Verfügung. Die Premium Praxis Guides werden sie regelmäßig aktualisiert, damit Sie stets auf dem neuesten Stand sind.
Caroline Schmidt
Caroline Schmidt, B.A.
Legal Writerin & SEO-Redakteurin

Caroline Schmidt hat Medienbildung studiert und ein einjähriges Volontariat in der Online-Redaktion eines Berliner Legal-Tech-Unternehmens absolviert. Sie ist seit über vier Jahren als Legal Writerin tätig und hat in verschiedenen Rechtsbereichen, darunter dem Arbeitsrecht, Schreiberfahrungen gesammelt. Seit 2022 ist sie als Legal Writerin und SEO-Redakteurin Teil des eRecht24-Redaktionsteams.

Rechtsanwalt Lev Lexow
Lev Lexow
Rechtsanwalt in der Kanzlei Siebert Lexow

Lev Lexow ist ein auf Datenschutz und Internetrecht spezialisierter Rechtsanwalt, Autor und Inhaber der Kanzlei Siebert Lexow. Im Zuge der DSGVO ließ sich Lev Lexow zum TÜV-zertifizierten Datenschutzberauftragten sowie Auditor ausbilden und vertieft seither seine Kenntnisse und Expertise im Datenschutzrecht. Als Head of Legal unterstützt und berät er eRecht24 in allen datenschutzrechtlichen Fragen und veröffentlicht regelmäßig praktische Ratgeber und Anleitungen für unsere Nutzer. Lev Lexow publizierte zudem eine Vielzahl an Kommentaren und Interviews und hält regelmäßig Webinare und Vorträge, insbesondere zum Dauerthema DSGVO.

Ich möchte mit eRecht24 chatten!
Datenschutzhinweis: Ihre Daten und Ihre Chateingaben werden in unserem Chat-Tool Brevo verarbeitet, sobald Sie zustimmen, den Chat mit uns zu beginnen. Sie können Ihre Zustimmung jederzeit zurücknehmen. Details hierzu entnehmen Sie unserer Datenschutzerklärung.
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details