Jetzt Mitglied werden!
eRecht24.de

Art. 15 DSGVO: Auskunftsrecht der betroffenen Person

Wann und wie Unternehmen dem Auskunftsrecht für personenbezogene Daten nachkommen müssen

Fachlich geprüft von: Rechtsanwalt Lev Lexow Rechtsanwalt Lev Lexow
(22 Bewertungen, 3.86 von 5)

Das Wichtigste in Kürze

  • Der Art. 15 DSGVO (Datenschutzgrundverordnung) regelt das Auskunftsrecht über sämtliche personenbezogene Daten, die in Unternehmen oder bei Behörden verarbeitet werden.
  • Die Auskunft über die personenbezogenen Daten ist für Betroffene kostenlos.
  • Die Daten müssen nach Auskunftsanfrage unverzüglich, in jedem Fall aber innerhalb eines Monats dem Antragsteller zur Verfügung gestellt werden.
Ich möchte mich umfassend informieren Ich möchte meine Webseite absichern

Worum geht's?

Das Auskunftsrecht gehört zu den wichtigsten Betroffenenrechten im Datenschutz. Erhält ein Unternehmen eine Auskunftsanfrage, stellt sich oft die Frage: Was ist jetzt zu tun? Die Datenschutz-Grundverordnung (DSGVO) verpflichtet Unternehmen, Betroffenen auf Anfrage Informationen über die Verarbeitung ihrer personenbezogenen Daten bereitzustellen. Doch wann besteht eine Auskunftspflicht, welche Fristen gelten und welche Informationen müssen Unternehmen tatsächlich herausgeben?

 

KURZ UND KNAPP ZUSAMMENGEFASST

Art. 15 DSGVO gibt betroffenen Personen das Recht zu erfahren, ob und welche personenbezogenen Daten ein Unternehmen über sie verarbeitet. Auf Anfrage müssen Unternehmen Auskunft über diese Daten erteilen und in der Regel auch eine Kopie der gespeicherten personenbezogenen Daten bereitstellen.

1. Gesetzestext des Art. 15 DSGVO

  1. Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:
    1. die Verarbeitungszwecke;
    2. die Kategorien personenbezogener Daten, die verarbeitet werden;
    3. die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
    4. falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
    5. das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
    6. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
    7. wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
    8. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
  2. Werden personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt, so hat die betroffene Person das Recht, über die geeigneten Garantien gemäß Artikel 46 im Zusammenhang mit der Übermittlung unterrichtet zu werden.
  3. Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. Für alle weiteren Kopien, die die betroffene Person beantragt, kann der Verantwortliche ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen. Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt.
  4. Das Recht auf Erhalt einer Kopie gemäß Absatz 3 darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.

Zur Übersicht aller Artikel des DSGVO Gesetzestextes

2. Was ist das Auskunftsrecht?

Das Auskunftsrecht, verankert in Art. 15 DSGVO, ermöglicht Betroffenen, Auskunft über ihre gespeicherten personenbezogenen Daten zu verlangen. Dies schließt Stammdaten, Kommunikationsdetails und interne Vermerke ein. Unternehmen sind zur Bereitstellung vollständiger Dokumentenkopien verpflichtet.

Das bedeutet, dass Sie als Unternehmen der betroffenen Person Einblick geben müssen, welche Daten und Informationen über sie bei Ihnen gespeichert sind. Sie stehen in der Informationspflicht. Sofern sich der Inhalt und der Sinn der Information erst aus dem Kontext einer Korrespondenz ergeben, müssen Sie dem Antragsteller laut Auskunftsrecht die vollständigen Dokumente der Datenverarbeitung als Kopie herausgeben.

Kosten der Auskunftsanfrage

Grundsätzlich ist die Auskunft über personenbezogene Daten kostenlos. Laut Art. 15 DSGVO gilt dies allerdings nur für die erste Kopie der Auskunftserteilung für die betroffene Person. Bei unbegründeten oder sich häufig wiederholenden Anfragen dürfen Sie als Unternehmen entweder ein Entgelt verlangen oder die Auskunft verweigern (Art. 12 Abs. 5 DSGVO).

3. Datenschutz: Auskunft ist nicht grenzenlos möglich

Trotz Auskunftsrecht muss der Datenschutz gewahrt werden. Hier gilt für Sie, dass Sie nur Auskunft über die Daten erteilen müssen, wenn die Rechte und Freiheiten anderer Personen beachtet werden.

Datenschutz Dritter muss gewahrt werden

Trotz Recht auf Auskunft gilt es, den Datenschutz dritter Personen zu wahren. Auch Betriebs- und Geschäftsgeheimnisse Ihres Unternehmens bleiben damit sicher. Im besten Fall schwärzen Sie entsprechende Passagen, die laut Datenschutz geschützt werden müssen. Eine vollständige Verweigerung der Auskunft ist nämlich laut Artikel 15 DSGVO nicht möglich.

Zum Schutz der öffentlichen Sicherheit sind aber weitere Einschränkungen des Auskunftsrechts möglich. Diese regelt z. B. das Bundesdatenschutzgesetz (BDSG), die Abgabenordnung oder das Sozialgesetzbuch (SGB) X.

Offenkundig unbegründete oder exzessive Anträge

Ausdrücklich nennt die DSGVO nur die offenkundig unbegründeten und die exzessiven Anträge, um ein Entgelt für eine Auskunft zu verlangen oder die Auskunft zu verweigern. Die Verwendung des Wortes “insbesondere” macht jedoch deutlich, dass neben häufigen Wiederholungen auch andere rechtsmissbräuchliche Anträge erfasst werden können.

Ein hoher Aufwand alleine reicht selten aus, um ein Auskunftsverlangen als rechtsmissbräuchlich einzustufen. Hier müssen weitere Gründe hinzukommen. Gerade für personenbezogene Daten, die in einem hohen Umfang gespeichert werden, kann ein Auskunftsrecht umso mehr gegeben sein. Dementsprechend wird der unverhältnismäßige Aufwand in den seltensten Fällen als Argument für eine nicht erteilte Auskunft gesehen.

Nennt der Auskunftsuchende einen sachfremden Grund für die Auskunft , kann dies rechtsmissbräuchlich sein. Die Folge: Sie dürfen als Unternehmer die Auskunft verweigern – und zwar gemäß Art. 12 Absatz 5 Satz 2 Buchstabe b).

Das LG Düsseldorf hatte über einen solchen Fall zu entscheiden (LG Düsseldorf, Urt. v. 13.01.2023 - Az.: 9 O 46/22). Ein Kunde verlangte von seiner Versicherungsgesellschaft - bei der er privat krankenversichert war - Auskunft nach Art. 15 DSGVO. Er wollte prüfen, ob die erfolgten Prämienanpassungen rechtmäßig waren. Da es dem Kläger nicht um die Verarbeitung seiner personenbezogenen Daten ging, sondern um die Prüfung möglicher Ansprüche, verneinte das LG den Auskunftsanspruch.

AUFGEPASST

Ob ein sachfremder Grund vorliegt und ein Weigerungsrecht für den Unternehmer besteht, ist immer eine Frage des Einzelfalls. Sollte kein sachfremder Grund bestehen und Sie als Unternehmer verweigern die Auskunft, kann dies eine Verletzung des Auskunftsrechts darstellen und hohe Bußgelder nach sich ziehen.

Liegt Ihnen als Unternehmer ein Auskunftsersuchen vor, bei dem Sie vermuten, dass es auf sachfremden Gründen beruht, holen Sie zunächst anwaltlichen Rat ein. Sollten Sie nämlich ungerechtfertigt eine Auskunft nicht erteilen, kann das schwere Folgen haben. Unsere Kanzlei Siebert Lexow hilft Ihnen gern weiter.

4. Was muss eine Auskunft nach Art. 15 DSGVO enthalten?

Ein allgemeingültiges Formular für die Auskunftserteilung der Daten existiert laut Datenschutzgrundverordnung nicht. Sie können das Schreiben als Unternehmen selbst gestalten. Die Betroffenenrechte setzen voraus, dass die Auskunft folgendermaßen gestaltet sein muss:

  • Präzise Sprache
  • Transparenz
  • Verständlichkeit
  • Leicht zugängliche Form

Der Inhalt der Datenauskunft gemäß DSGVO ist klar geregelt. Die folgenden Informationen müssen Sie in der Auskunftserteilung für die betroffene Person gemäß DSGVO-Auskunftsrecht bereitstellen:

  • Verarbeitungszwecke
  • Welche Daten werden verarbeitet?
  • Empfänger und künftige Empfänger der personenbezogenen Daten
  • Geplante Speicherdauer oder Kriterien für die Festlegung der Speicherdauer
  • Rechte auf Berichtigung, Einschränkung oder Löschung der Verarbeitung
  • Widerspruchsrecht gegen die Verarbeitung
  • Beschwerderecht des Antragstellers bei der Aufsichtsbehörde
  • Herkunft der Daten, wenn nicht bei Ihnen erhoben
  • Daten, die über einen Dienst oder ein Gerät erhoben werden, z. B. Suchaktivitäten oder Standortdaten

Negativauskunft Muster

Wenn Sie keine personenbezogenen Daten der betroffenen Person verarbeiten, können Sie diese in einer sogenannten Negativauskunft darüber informieren. Als Beispiel dafür haben wir ein kleines Muster für Sie:

Sehr geehrte Frau Mustermann,

personenbezogene Daten zu Ihnen haben wir nicht gespeichert. Ausgenommen sind Ihre Daten, die Sie uns mit Ihrem Auskunftsersuchen mitgeteilt haben.

Hinweise zu unserem Datenschutz finden Sie unter www.beispielunternehmen.de/datenschutz.

Mit freundlichen Grüßen

Beispielunternehmen

 

Laut Art. 5 Abs. 2 DSGVO besteht eine Rechenschaftspflicht:

WICHTIG

Vergessen Sie nicht, die Auskunft intern zu dokumentieren. Diese Pflicht ergibt sich im Übrigen auch für Negativauskünfte.

5. Wie darf eine betroffene Person ihr Auskunftsrecht wahrnehmen?

Als Auskunftsersuchen laut DSGVO genügt bereits ein formloser Antrag ohne Begründung des Auskunftsanspruchs der betroffenen Person. Da Sie als Unternehmen sicherstellen müssen, dass unbefugte Dritte nicht an die Daten anderer Personen gelangen, sollten Sie den Antragsteller in jedem Fall eindeutig identifizieren können.

Gibt es Zweifel an der Identität der betroffenen Person, können Sie laut Art. 12 Abs. 6 Datenschutzgrundverordnung in Einzelfällen auch eine Kopie des Personalausweises verlangen. Zur Identifizierung genügen allerdings Name, Anschrift, Geburtsdatum und Gültigkeitsdauer. Alles andere kann von der betroffenen Person geschwärzt werden. Eine Speicherung der Ausweiskopie ist nicht erlaubt.

ACHTUNG

Bei der Weitergabe der personenbezogenen Daten ist Vorsicht geboten. Per Telefon ist es schwierig, die Identität der betroffenen Person zweifelsfrei festzustellen. Eine sichere Übermittlung der Auskunft gemäß Artikel 15 DSGVO sollten Sie daher lieber schriftlich oder per verschlüsselter E-Mail vornehmen.

6. Wann muss laut Art. 15 DSGVO die Auskunft über personenbezogene Daten erfolgen?

Verlangt eine betroffene Person gemäß Artikel 15 DSGVO Auskunft über ihre personenbezogenen Daten, müssen Sie diese unverzüglich zur Verfügung stellen. Laut Art. 12 Abs. 3 DSGVO beträgt die Frist einen Monat nach Antragstellung.

In komplexen Fällen können Sie die Frist für die Auskunftserteilung auf zwei Monate verlängern. Sollte eine Verlängerung nötig sein, schreibt das Auskunftsrecht vor, dass Sie die betroffene Person innerhalb des ersten Monats der Bearbeitung ihrer Auskunft darüber informieren müssen.

PRAXIS-TIPP

Unternehmen sollten klare interne Prozesse für den Umgang mit Auskunftsanfragen nach Art. 15 DSGVO festlegen. Dazu gehört etwa eine zentrale Anlaufstelle für Betroffenenanfragen, die Dokumentation der Anfrage sowie feste Abläufe zur Zusammenstellung der personenbezogenen Daten aus verschiedenen Systemen. Solche technischen und organisatorischen Maßnahmen helfen, Auskunftsanfragen fristgerecht zu bearbeiten und Datenschutzverstöße zu vermeiden.

7. Muster für eine Datenauskunft nach DSGVO

Im Folgenden finden Sie ein Muster für eine Datenauskunft nach Art. 15 DSGVO. Dieses können Sie kostenlos downloaden, anpassen und für Ihr Unternehmen verwenden.

Jetzt Muster herunterladen

8. FAQ zu Art. 15 DSGVO

Was besagt das Auskunftsrecht des DSGVO Art. 15?

Art. 15 DSGVO gibt betroffenen Personen das Recht zu erfahren, ob und welche personenbezogenen Daten ein Unternehmen über sie verarbeitet. Zudem können Betroffene Auskunft über Zwecke der Verarbeitung, Speicherdauer und Empfänger der Daten verlangen.

Was besagt Artikel 15 der DSGVO?

Artikel 15 der Datenschutz-Grundverordnung regelt das sogenannte Auskunftsrecht. Unternehmen müssen Betroffenen auf Anfrage mitteilen, welche personenbezogenen Daten über sie gespeichert sind und eine Kopie dieser Daten zur Verfügung stellen.

Welche Frist gilt bzgl. des Auskunftsrechts (Art. 15)?

Unternehmen müssen Auskunftsanfragen grundsätzlich unverzüglich, spätestens jedoch innerhalb eines Monats beantworten. In komplexen Fällen kann die Frist um zwei weitere Monate verlängert werden.

Was passiert, wenn man der Auskunftspflicht nicht nachkommt?

Erfüllt ein Unternehmen eine Auskunftsanfrage nicht, können Betroffene Beschwerde bei der Datenschutzaufsichtsbehörde einlegen oder Klage erheben. Zudem können Datenschutzverstöße zu erheblichen DSGVO-Bußgeldern führen.

Was ist eine Datenkopie nach Art. 15 DSGVO?

Nach Art. 15 DSGVO müssen Unternehmen Betroffenen eine Kopie der personenbezogenen Daten bereitstellen, die sie über diese Person gespeichert haben. Die erste Kopie muss kostenlos zur Verfügung gestellt werden.

 

 

Mehr Details zur Datenschutzgrundverordnung - DSGVO

 

eRecht24 Praxis Guide
Rechtssichere Webseiten:
Alles, was Sie wissen müssen
In unserem Guide erklären wir Ihnen in 12 Schritten, wie Sie eine Website rechtssicher erstellen - von der Wahl des Domainnamens über Impressum und Datenschutzerklärung bis hin zu E-Mail- und Newslettermarketing.
Guide jetzt kostenfrei herunterladen!

Name: Bitte Name angeben.

E-Mail-Adresse: Bitte korrekte E-Mail-Adresse angeben.

Ja, bitte senden Sie mir den kostenfreien Guide zu. Ich bin damit einverstanden, dass eRecht24 mir regelmäßig aktuelle Rechts-Updates, Praxistipps und Angebote aus den Bereichen Datenschutz und Internetrecht per E-Mail zusendet. Ich kann jederzeit form- und kostenlos widersprechen. Näheres entnehmen Sie unserer Datenschutzerklärung.
Vielen Dank!
Wir nehmen es mit dem Schutz Ihrer Daten genau und halten uns an die rechtlichen Vorgaben des Double-Opt-In. Bitte bestätigen Sie zuerst Ihre E-Mail-Adresse. Dann stellen wir Ihnen den Guide kostenfrei zur Verfügung.
Tipp: In unseren Premium-Paketen stehen Ihnen mehr als 10 praktische Guides mit Handlungsempfehlungen und passenden Generatoren und Tools zu verschiedenen Themen (Datenschutz, Urheberrecht, Marketing & Co.) kostenfrei zur Verfügung. Die Premium Praxis Guides werden sie regelmäßig aktualisiert, damit Sie stets auf dem neuesten Stand sind.
Caroline Schmidt
Caroline Schmidt, B.A.
SEO-/SEA-Managerin (IHK) & Online-Redakteurin

Caroline Schmidt hat Medienbildung studiert und ein einjähriges Volontariat in der Online-Redaktion eines Berliner Legal-Tech-Unternehmens absolviert. Sie ist seit über fünf Jahren als Legal Writerin tätig und hat in verschiedenen Rechtsbereichen, darunter dem Arbeitsrecht, Schreiberfahrungen gesammelt. Seit 2022 ist sie als Legal Writerin und SEO-Redakteurin Teil des eRecht24-Redaktionsteams.

Rechtsanwalt Lev Lexow
Lev Lexow
Rechtsanwalt in der Kanzlei Siebert Lexow

Lev Lexow ist ein auf Datenschutz und Internetrecht spezialisierter Rechtsanwalt, Autor und Inhaber der Kanzlei Siebert Lexow. Im Zuge der DSGVO ließ sich Lev Lexow zum TÜV-zertifizierten Datenschutzberauftragten sowie Auditor ausbilden und vertieft seither seine Kenntnisse und Expertise im Datenschutzrecht. Als Head of Legal unterstützt und berät er eRecht24 in allen datenschutzrechtlichen Fragen und veröffentlicht regelmäßig praktische Ratgeber und Anleitungen für unsere Nutzer. Lev Lexow publizierte zudem eine Vielzahl an Kommentaren und Interviews und hält regelmäßig Webinare und Vorträge, insbesondere zum Dauerthema DSGVO.

Ich möchte mit eRecht24 chatten!
Datenschutzhinweis: Ihre Daten und Ihre Chateingaben werden in unserem Chat-Tool Brevo verarbeitet, sobald Sie zustimmen, den Chat mit uns zu beginnen. Sie können Ihre Zustimmung jederzeit zurücknehmen. Details hierzu entnehmen Sie unserer Datenschutzerklärung.
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details