Whitepaper zum NIS2 Gesetz
DSGVO-Auskunftsrecht: Pflichten, Prozess und Best Practices für Unternehmen
'%3e%3cpath%20d='M26.6667%2020.022L30%2023.3553V26.6886H21.6667V36.6886L20%2038.3553L18.3333%2036.6886V26.6886H10V23.3553L13.3333%2020.022V8.35531H11.6667V5.02197H28.3333V8.35531H26.6667V20.022Z'%20fill='%230AA971'/%3e%3c/g%3e%3c/svg%3e)
Das wichtigste auf einen Blick
- Das Auskunftsrecht nach Art. 15 DSGVO zählt zu den stärksten Betroffenenrechten.
- Unternehmen müssen mitteilen, welche Daten sie verarbeiten, zu welchem Zweck und wie lange diese gespeichert werden.
- Die Frist zur Beantwortung liegt bei maximal einem Monat.
- Fehlerhafte oder verspätete Antworten können zu Bußgeldern führen.
- Jede Organisation, die personenbezogene Daten verarbeitet, ist verpflichtet, Auskunftsersuchen rechtssicher abzuwickeln.
- Best Practices sind: klare Prozesse, Identitätsprüfung, strukturierte Datenquellen und automatisierte Workflows.
Einleitung
Das Auskunftsrecht nach der DSGVO ist für viele Unternehmen der ultimative Stresstest für die eigene Datenlandschaft. Betroffene Personen haben das Recht zu erfahren, welche Daten über sie gespeichert sind, warum diese verarbeitet werden und an wen sie weitergegeben wurden.
Klingt einfach, bedeutet in der Praxis aber oft viel Aufwand – insbesondere für Organisationen mit vielen Systemen, unstrukturierten Datenbeständen oder fehlenden Prozessen. Die Einhaltung der knappen Monatsfrist wird so schnell zur Mammutaufgabe.
Damit du das Auskunftsersuchen effizient, korrekt und fristgerecht erfüllen kannst, schauen wir uns die Grundlagen, Pflichten und Best Practices im Detail an.
Inhaltsverzeichnis:
Was ist das Auskunftsrecht nach der DSGVO?
Das Auskunftsrecht nach Art. 15 DSGVO gibt Betroffenen das Recht, umfassende Transparenz über die Verarbeitung ihrer personenbezogenen Daten zu erhalten.
- Ziel: Transparenz schaffen und die Kontrolle über die eigenen Daten ermöglichen.
- Kern des Rechts: Das Recht zu wissen, dass Daten verarbeitet werden, wie sie verarbeitet werden und welche Daten konkret vorliegen.
Whitepaper zum NIS2 Gesetz
Warum das Auskunftsrecht so wichtig ist
Das Auskunftsrecht ist der Hebel, den Betroffene nutzen, um ihre Rechte (wie Löschung oder Berichtigung) durchzusetzen. Für Unternehmen hat die Einhaltung strategische Bedeutung:
- Stärkung der Betroffenenrechte: Nutzerinnen und Nutzer behalten Kontrolle über ihre Daten.
- Transparenzpflicht für Unternehmen: Nachvollziehbare Datenverarbeitung.
- Früherkennung von Fehlern: Falsche oder veraltete Daten (Art. 5) können korrigiert werden, bevor es zu Folgeproblemen kommt.
- Reduzierung des Missbrauchsrisikos: Klare Dokumentation der Verarbeitung.
- Verpflichtende Frist: Die enge Monatsfrist macht Prozesse unumgänglich.
Die rechtliche Basis: Relevante DSGVO-Artikel
| Artikel | Inhalt |
| Art. 15 | Kern des Auskunftsrechts: Umfang, Datenkopie, Transparenz der Verarbeitungsvorgänge. |
| Art. 12 | Regeln für die Bearbeitung: Form (elektronisch), Frist (ein Monat), Verständlichkeit der Sprache. |
| Art. 5 | Grundsätze der Datenverarbeitung: Das Recht dient der Prüfung der Grundsätze (Transparenz, Zweckbindung, Datenminimierung). |
| Art. 13/14 | Informationspflichten: Die Auskunft muss die Informationen enthalten, über die du den Betroffenen ohnehin informieren musst. |
| Art. 30 | Verzeichnis der Verarbeitungstätigkeiten (VVT): Dient als zentrale Nachweisquelle zur Beantwortung der Auskunft. |
Wer ist betroffen?
Das Recht gilt grundsätzlich für jede natürliche Person, deren Daten verarbeitet werden.
Dazu zählen:
- Kundinnen und Kunden
- Nutzerinnen und Nutzer (auch wenn sie keinen Kauf getätigt haben)
- Mitarbeitende
- Bewerbende
- Lieferanten-Ansprechpartner
- Website-Besuchende (sofern personenbezogene Daten wie IPs, Tracking-IDs erfasst wurden)
Unternehmen jeder Größe müssen Auskunftsersuchen erfüllen – auch Start-ups.
Die zwei Komponenten: Auskunft und Datenkopie
Die Antwort auf ein Auskunftsersuchen besteht aus zwei Hauptteilen.
Mindestumfang nach Art. 15: Die Auskunft
Die Antwort muss unter anderem folgende Informationen enthalten (die Meta-Informationen zur Verarbeitung):
- Welche Daten verarbeitet werden: Name, Kontaktinfos, Nutzungsdaten, Vertragsdaten etc.
- Zu welchen Zwecken die Daten verarbeitet werden (z. B. Vertragsdurchführung, Marketing, Sicherheit).
- Rechtsgrundlagen (Einwilligung, Vertragserfüllung, berechtigtes Interesse usw.).
- Empfänger oder Kategorien von Empfängern (z. B. Dienstleister, Cloud-Anbieter, Partner).
- Speicherdauer bzw. Kriterien (Löschfristen, gesetzliche Aufbewahrungsfristen).
- Betroffenenrechte (Berichtigung, Löschung, Einschränkung, Widerspruch).
- Herkunft der Daten (Falls nicht direkt bei der Person erhoben).
- Bestehen einer automatisierten Entscheidungsfindung inkl. Profiling.
Die Kopie der Daten
Auf Wunsch muss zusätzlich eine kostenlose Kopie aller personenbezogenen Daten bereitgestellt werden. Diese muss in einem gängigen, strukturierten und maschinenlesbaren Format übergeben werden (soweit technisch möglich).
Beispiele für typische Anfragen
| Szenario | Anfragebeispiel |
| Kundin möchte wissen, welche Daten gespeichert sind | "Bitte senden Sie mir eine Übersicht aller Daten, die Sie von mir verarbeiten, und welche Dienstleister diese erhalten haben." |
| Bewerber möchte Datenkopie | "Ich fordere eine Kopie aller über mich gespeicherten Bewerbungsunterlagen und die Information über die geplante Löschfrist." |
| Nutzer eines SaaS-Tools | "Welche Tracking-Daten werden von mir erfasst? Ich möchte eine Kopie der gesammelten Nutzungsdaten." |
| Mitarbeitender | "Welche Daten liegen aus meinem Arbeitsverhältnis vor (Leistungsbeurteilungen, Gesundheitsdaten etc.)?" |
7 Best Practices: So wickelst du DSR (Data Subject Requests)-Anfragen effizient ab
Die manuelle Bearbeitung bindet wertvolle Ressourcen. Effizienz und Sicherheit sind nur durch Strukturierung und Automatisierung möglich.
1. Zentrales Verarbeitungsverzeichnis (VVT) pflegen
Das VVT (Art. 30) ist die Blaupause für die Beantwortung: Es listet alle Systeme, Zwecke, Rechtsgrundlagen und Empfänger. Ohne ein aktuelles VVT wird jede Auskunft zur Suche im Heuhaufen.
2. Standardprozess und Rollen definieren
Lege fest, wer im Unternehmen (DPO, IT, Rechtsabteilung, Fachbereich) für die Annahme, Bearbeitung, Datenextraktion, Freigabe und Dokumentation verantwortlich ist.
3. Identitätsprüfung durchführen
Prüfe die Identität des Anfragenden stets vor der Herausgabe sensibler Daten, um Missbrauch zu verhindern (z. B. per Postident, E-Mail-Verifizierung oder Zugang über das Kundenkonto).
4. Zentrale Datenquellen konsolidieren
Identifiziere, welche Systeme (CRM, HR-System, Logfiles, Supporttools) personenbezogene Daten speichern, und schaffe eine technische Möglichkeit, diese Daten schnell zusammenzuführen.
5. Datenbereitstellung automatisieren
Nutze Tools, die eine automatisierte Datenextraktion aus verschiedenen Quellen ermöglichen und die Antwortvorlagen (Auskunftsteil) automatisch befüllen.
6. Fristen überwachen und dokumentieren
Die Antwort muss innerhalb eines Monats erfolgen. Nutze Workflows, um diese Frist zu überwachen und die gesamte Kommunikation (Anfrage, Identitätsprüfung, Antwort) zu dokumentieren (Pflicht!).
7. Rechtssichere Antwortvorlagen erstellen
Nutze Vorlagen, die alle 8 Punkte des Art. 15 konsistent abdecken, um keine Informationen zu vergessen.
Die Konsequenzen bei fehlerhafter Bearbeitung (Haftung & Audits)
Die missbräuchliche oder fehlerhafte Abwicklung von Auskunftsersuchen zieht weitreichende Konsequenzen nach sich:
- Bußgelder nach Art. 83 der DSGVO: Verstöße gegen die Betroffenenrechte werden hart geahndet.
- Schadensersatzforderungen Betroffener bei Verstoß.
- Vertrauensverlust: Verzögerungen oder unvollständige Antworten signalisieren mangelnde Kontrolle über die eigenen Daten.
- Negative Auswirkungen auf Audits (z. B. ISO 27001, NIS2): Ein ineffizienter oder fehlerhafter DSR-Prozess gilt als Mangel in der Governance und der IT-Sicherheit.
- Erhöhte Risiken bei Datenpannen: Fehler im Auskunftsprozess deuten auf generelle Dateninkonsistenzen hin.
Auskunftsersuchen sind daher nicht nur ein Datenschutz-Thema, sondern betreffen Governance, Compliance und IT-Sicherheit.
Fazit
Das Auskunftsrecht ist eines der zentralen Instrumente der DSGVO und für Unternehmen ohne zentrale Datenverwaltung oft eine Herausforderung. Mit klaren Prozessen, einem aktuellen VVT und der richtigen technischen Unterstützung lassen sich Anfragen jedoch sicher, effizient und fristgerecht erfüllen.
Wer das Auskunftsrecht sauber umsetzt, nutzt es als Chance: Du reduzierst rechtliche Risiken, stärkst das Vertrauen der Betroffenen und verbesserst deine Compliance insgesamt.
Die manuelle Bearbeitung kostet wertvolle Zeit. Automatisierung ist die einzige skalierbare Lösung, um die Bearbeitungszeit von Wochen auf Tage zu reduzieren und Audit-sicher zu sein.
FAQ
Wie schnell muss ich antworten?
Innerhalb eines Monats nach Eingang der Anfrage. In Ausnahmefällen (hohe Komplexität oder Anzahl) ist eine Verlängerung auf drei Monate möglich, muss aber innerhalb der Monatsfrist begründet werden.
Kann ich eine Anfrage ablehnen?
Ja, z. B. bei offenkundig unbegründeten, exzessiven oder missbräuchlichen Anfragen. Dies ist aber nur in engen Grenzen erlaubt und muss ebenfalls fristgerecht begründet werden.
Wie gebe ich die Datenkopie korrekt heraus?
Elektronisch, strukturiert und maschinenlesbar – sofern möglich. Die Übermittlung sollte über einen sicheren Kanal erfolgen, da es sich um sensible personenbezogene Daten handelt.
Muss ich auch Dateien in den Backups durchsuchen?
Nein. Wenn Daten nur noch in Backups gespeichert sind (was dem Zweck der Wiederherstellung dient), musst du diese nicht aktiv durchsuchen. Du musst aber kommunizieren, dass sie dort inaktiv liegen und nach Ablauf der Backup-Zyklen gelöscht werden.
Wichtiger Hinweis: Der Inhalt dieses Artikels dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar. Die hier bereitgestellten Informationen können eine individuelle Rechtsberatung durch (je nach Anwendungsfall) einen Datenschutzbeauftragten oder Rechtsanwalt nicht ersetzen. Wir übernehmen keine Gewähr für die Aktualität, Vollständigkeit und Richtigkeit der bereitgestellten Informationen. Jegliche Handlungen, die auf Grundlage der in diesem Artikel enthaltenen Informationen vorgenommen werden, erfolgen auf eigenes Risiko. Wir empfehlen, bei rechtlichen Fragen oder Problemen stets (je nach Anwendungsfall) einen Datenschutzbeauftragten oder Rechtsanwalt zu konsultieren.