Zuletzt aktualisiert am 7. April 2026

Das Auskunftsrecht aus Art. 15 DSGVO gehört zu den Rechten des Betroffenen nach der DSGVO. Wie weit dieses Recht in der Praxis letztlich gehen soll, gilt rechtlich als umstritten. Nun hat der Europäische Datenschutzausschuss (EDSA; auch „European Data Protection Board“) einen ersten Entwurf einer Leitlinie zu Art. 15 DSGVO und dem Recht auf Auskunft herausgegeben. Auch wenn es sich nur um einen ersten Entwurf handelt, der nun zunächst Gegenstand eines öffentlichen Konsultationsverfahren wird, lässt sich sagen: Der EDSA positioniert sich für eine weite Auslegung für Betroffene.

Erfahren Sie hier die Einzelheiten zum Inhalt dieses Entwurfes einer Leitlinie.

Inhalt des Auskunftsrechts nach Art. 15 DSGVO

Das Recht auf Auskunft soll es dem Betroffenen ermöglichen, Informationen über die Verarbeitung der eigenen personenbezogenen Daten einfach zu erlangen. So soll der Betroffene die Rechtmäßigkeit der Verarbeitung und die Richtigkeit der Daten überprüfen können. Dies dient auch zur Erleichterung der Ausübung anderer Betroffenenrechte.

Stellt der Betroffene eine Anfrage auf Auskunft, muss er dabei jedoch keinen Grund angeben. Der Verantwortliche befindet sich demnach nicht in der Position, die Anfrage abzulehnen, weil der Betroffene damit nicht die Rechtmäßigkeit überprüfen oder andere Rechte geltend machen könnte. Der Verantwortliche hat auf die Anfrage hin Auskunft zu erteilen, es sei denn das Auskunftsersuchen ist offenkundig unbegründet oder als exzessiv anzusehen.

Im Groben kann das Auskunftsrecht inhaltlich in drei Komponenten aufgeteilt werden:

• Die Auskunft, ob Daten über die Person des Betroffenen verarbeitet wurden oder nicht
• Die Zurverfügungstellung der jeweiligen personenbezogenen Daten
• Die Informationen über die Verarbeitung (zB Zweck, Kategorien von Daten und Empfängern, Dauer der Verarbeitung usw)

Inhalt: Auskunft über die Verarbeitung

Der Verantwortliche muss auswerten, ob sich das Auskunftsersuchen tatsächlich auf personenbezogene Daten des Betroffenen bezieht. Zudem ist zu beachten, ob diese überhaupt unter den Anwendungsbereich des Art. 15 DSGVO fallen oder ob im Tätigkeitsbereich des Verantwortlichen speziellere Regelungen eingreifen, die die Auskunft ggf beschränken.

Bezüglich des Formates der Auskunft bestehen keine speziellen Anforderungen. Der Verantwortliche soll die Auskunft über einen angemessenen und für den Betroffenen geeigneten Kanal zur Verfügung stellen. Sofern in der Anfrage nicht anderes deutlich wird, muss der Verantwortliche über alle verarbeiteten Daten Auskunft erteilen. Er muss dabei alle seine Systeme durchsuchen.

Findet der Verantwortliche keine Daten des Betroffenen, hat er auch dies dem Betroffenen mitzuteilen. In diesem Fall oder wenn der Verantwortliche Zweifel an der Identität des Betroffenen hat, kann er weitere Informationen (angemessen in Bezug auf die Kategorie der eventuell betroffenen Daten) zur Identifizierung einfordern.

Reichweite: Zurverfügungstellung der Daten

Weiter behandelt der EDSA die Frage, welche Reichweite das Recht auf Auskunft hat. Hierzu verweist der EDSA auf die Definition von personenbezogenen Daten in Art. 4 I DSGVO.

Neben der Auskunft über alle verarbeiteten Daten, die unter diese Definition fallen, muss der Verantwortliche auch Auskunft über die Form der Verarbeitung und die möglichen Rechte des Betroffenen geben.

Grenzen des Auskunftsrechts nach Art. 15 DSGVO

Der Aufwand, den eine eingeforderte Auskunft erfordert, muss immer verhältnismäßig sein. Zudem dürfen keine Rechte oder Freiheiten Dritter verletzt werden. Das Vorliegen dieser Konstellationen ist dann gegebenenfalls vom Verantwortlichen deutlich zu machen.

Der Verantwortliche darf zudem Anfragen ablehnen, die offensichtlich unbegründet oder exzessiv sind. Dies liegt laut EDSA nur in sehr wenigen, eng zu bestimmenden Fällen tatsächlich vor.

Zudem kann das Auskunftsrecht auch durch nationales Recht (in Deutschland zB dem BDSG) eingeschränkt werden (Art. 23 DSGVO).

Details für die Praxis

Der Text des Entwurfs des EDSA ist online einsehbar. Alle hier aufgeworfenen Themen behandelt der EDSA darin in aller Ausführlichkeit.

Bei Fragen zum Auskunftsrecht und dessen Umsetzung hilft Ihnen unser Team an Experten gerne weiter!

Praktische Herausforderungen bei Auskunftsanfragen

In der Praxis stellt die Bearbeitung von Auskunftsanfragen nach Art. 15 DSGVO viele Unternehmen vor erhebliche Herausforderungen. Eine der größten Schwierigkeiten besteht darin, alle Systeme zu identifizieren, in denen personenbezogene Daten des Anfragenden gespeichert sein könnten. Neben den offensichtlichen Systemen wie CRM, ERP oder Personalverwaltung können auch E-Mail-Postfächer, Backup-Systeme, Cloud-Dienste und sogar Papierdokumente betroffen sein.

Die Frist für die Beantwortung einer Auskunftsanfrage beträgt grundsätzlich einen Monat ab Eingang der Anfrage (Art. 12 Abs. 3 DSGVO). In besonders komplexen Fällen kann diese Frist um zwei weitere Monate verlängert werden, wobei der Betroffene innerhalb des ersten Monats über die Verlängerung und deren Gründe informiert werden muss. Unternehmen sollten interne Prozesse etablieren, die eine fristgerechte Bearbeitung sicherstellen.

Identitätsprüfung des Anfragenden

Bevor ein Unternehmen Auskunft erteilt, muss es sicherstellen, dass die Anfrage tatsächlich von der betroffenen Person stammt. Eine Auskunftserteilung an eine unbefugte Person würde selbst eine Datenschutzverletzung darstellen. Die Art der Identitätsprüfung muss verhältnismäßig sein und richtet sich nach den Umständen des Einzelfalls.

Bei bestehenden Kundenbeziehungen kann die Identität häufig über bekannte Kommunikationskanäle verifiziert werden, etwa indem die Antwort an die hinterlegte E-Mail-Adresse gesendet wird. Bei unbekannten Anfragenden kann eine Kopie des Personalausweises angefordert werden, wobei nicht benötigte Daten (etwa die Ausweisnummer) geschwärzt werden dürfen. Das Unternehmen darf die Auskunft verweigern, wenn die Identität nicht zweifelsfrei festgestellt werden kann.

Format und Umfang der Auskunft

Der EDSA stellt in seiner Leitlinie klar, dass die Auskunft in einem gängigen elektronischen Format zu erteilen ist, wenn die Anfrage elektronisch gestellt wurde. Die Auskunft muss vollständig sein und alle verarbeiteten personenbezogenen Daten umfassen, einschließlich der Informationen über die Herkunft der Daten, die Empfänger sowie die geplante Speicherdauer.

In der Praxis hat sich bewährt, die Auskunft in einem strukturierten Format bereitzustellen, das für den Betroffenen leicht verständlich ist. Eine tabellarische Übersicht der verarbeiteten Daten, ergänzt um Erläuterungen zu den einzelnen Verarbeitungszwecken, erleichtert dem Betroffenen die Überprüfung. Bei umfangreichen Datenbeständen kann es sinnvoll sein, die Auskunft in thematische Abschnitte zu gliedern.

Kosten und Missbrauchsschutz

Die Auskunft nach Art. 15 DSGVO ist grundsätzlich kostenlos zu erteilen. Erst bei offensichtlich unbegründeten oder exzessiven Anfragen darf der Verantwortliche ein angemessenes Entgelt verlangen oder die Anfrage ablehnen. Die Beweislast für die Unbegründetheit oder Exzessivität liegt dabei beim Verantwortlichen.

In der Praxis wird das Auskunftsrecht zunehmend auch zweckentfremdet, etwa um Druck auf Unternehmen auszuüben oder um Informationen für Klageverfahren zu erlangen. Der EDSA stellt in seiner Leitlinie jedoch klar, dass das Motiv des Anfragenden grundsätzlich unerheblich ist. Unternehmen sollten daher ein effizientes Verfahren zur Bearbeitung von Auskunftsanfragen etablieren und dieses in ihrem Datenschutz-Managementsystem dokumentieren. Die Beratung durch einen erfahrenen Datenschutzbeauftragten hilft, die Anforderungen rechtssicher umzusetzen.

Das Recht auf eine Kopie der Daten

Art. 15 Abs. 3 DSGVO gewährt dem Betroffenen das Recht auf eine Kopie der verarbeiteten personenbezogenen Daten. Der EuGH hat in mehreren Entscheidungen klargestellt, dass dieses Recht weit auszulegen ist. Die Kopie muss eine originalgetreue und verständliche Reproduktion aller verarbeiteten Daten enthalten, nicht lediglich eine Zusammenfassung oder Übersicht.

In der Praxis bedeutet dies, dass Unternehmen unter Umständen umfangreiche Datenauszüge erstellen müssen, die alle Systeme und Datenbanken umfassen, in denen Daten des Betroffenen gespeichert sind. Dies kann insbesondere bei langjährigen Kundenbeziehungen oder komplexen IT-Landschaften einen erheblichen Aufwand verursachen. Automatisierte Export-Funktionen in den eingesetzten IT-Systemen können hier eine wichtige Arbeitserleichterung darstellen.

Das Auskunftsrecht im Arbeitsverhältnis

Eine besondere Brisanz entfaltet das Auskunftsrecht nach Art. 15 DSGVO im Arbeitsverhältnis. Arbeitnehmer nutzen das Auskunftsrecht zunehmend, um sich einen Überblick über die vom Arbeitgeber verarbeiteten Daten zu verschaffen, insbesondere im Zusammenhang mit arbeitsrechtlichen Streitigkeiten. Die Arbeitsgerichte haben das Auskunftsrecht dabei grundsätzlich weit ausgelegt und Arbeitgebern vollständige Auskunftspflichten auferlegt.

Für Arbeitgeber ist es daher wichtig, jederzeit einen vollständigen Überblick über die verarbeiteten Beschäftigtendaten zu haben. Dies umfasst nicht nur die Personalakte im engeren Sinne, sondern auch E-Mail-Korrespondenz, Bewertungen, Protokolle von Mitarbeitergesprächen und Zeiterfassungsdaten. Ein strukturiertes Datenschutz-Management im Personalbereich ist daher wichtig.

Automatisierte Auskunftsprozesse implementieren

Angesichts der zunehmenden Zahl von Auskunftsanfragen empfiehlt es sich, den Auskunftsprozess weitgehend zu automatisieren. Viele moderne CRM- und ERP-Systeme bieten bereits Funktionen zur automatisierten Erstellung von Datenauskünften. Diese Funktionen sollten von Unternehmen aktiv genutzt und in den unternehmensinternen Auskunftsprozess integriert werden.

Ein automatisierter Auskunftsprozess umfasst idealerweise eine standardisierte Eingabe der Anfrage, eine automatische Suche in allen relevanten Systemen, eine Zusammenstellung der gefundenen Daten in einem einheitlichen Format sowie eine Qualitätskontrolle durch den Datenschutzbeauftragten vor der Übermittlung an den Betroffenen. Durch diese Standardisierung können Unternehmen die Bearbeitungszeit erheblich verkürzen und gleichzeitig die Qualität und Vollständigkeit der Auskunft sicherstellen.

Auskunftsrecht und Geschäftsgeheimnisse

Ein in der Praxis häufig auftretendes Spannungsfeld betrifft das Verhältnis zwischen dem Auskunftsrecht des Betroffenen und dem Schutz von Geschäftsgeheimnissen des Verantwortlichen. Art. 15 Abs. 4 DSGVO bestimmt, dass das Recht auf Erhalt einer Kopie die Rechte und Freiheiten anderer Personen nicht beeinträchtigen darf. Hierunter können auch Geschäftsgeheimnisse fallen, etwa wenn die Auskunft Rückschlüsse auf interne Bewertungsalgorithmen oder Scoring-Verfahren ermöglichen würde.

Der EDSA stellt in seiner Leitlinie jedoch klar, dass Geschäftsgeheimnisse nicht pauschal als Grund für die Verweigerung der Auskunft herangezogen werden können. Vielmehr muss der Verantwortliche im Einzelfall abwägen, ob und in welchem Umfang die Auskunft eingeschränkt werden kann. Eine vollständige Verweigerung der Auskunft unter Berufung auf Geschäftsgeheimnisse ist nur in Ausnahmefällen zulässig und bedarf einer sorgfältigen Begründung.

Zusammenfassung und praktische Empfehlung

Das Auskunftsrecht nach Art. 15 DSGVO ist eines der zentralen Betroffenenrechte und stellt Unternehmen vor erhebliche organisatorische und technische Herausforderungen. Die Leitlinie des EDSA bestätigt eine weite Auslegung des Auskunftsrechts zugunsten der Betroffenen. Unternehmen sollten standardisierte Prozesse für die Bearbeitung von Auskunftsanfragen etablieren, ihre IT-Systeme für automatisierte Datenexporte vorbereiten und ihre Mitarbeiter in der korrekten Handhabung von Anfragen schulen. Ein erfahrener Datenschutzbeauftragter kann bei der Implementierung dieser Prozesse wertvolle Unterstützung leisten.

Datenschutz für Ihr Unternehmen

• DSGVO-Beratung
• Verarbeitungsverzeichnis
• TOM Datenschutz
• Datenschutz-Schulung

Erstberatung anfragen