Zum Inhalt springen
    Gesetz-Ratgeber LogoGesetz-Ratgeber
    Datenschutz & IT-Recht

    DSGVO-Auskunftsrecht: So fordern Sie Ihre Daten an (Art. 15 DSGVO)

    Datenschutz & IT-Recht
    Aktualisiert: 4 Min. LesezeitVon Redaktion Gesetz-Ratgeber

    Jede Person hat nach der DSGVO das Recht, von Unternehmen und Behörden Auskunft darüber zu verlangen, ob und welche personenbezogenen Daten über sie gespeichert werden. In der Praxis wissen jedoch viele Betroffene nicht, wie sie dieses Recht effektiv durchsetzen. Dieser Ratgeber erklärt, was das Auskunftsrecht umfasst, welche Fristen gelten und wie Sie vorgehen, wenn ein Unternehmen nicht reagiert.

    Auf einen Blick

    1Das Auskunftsrecht nach Art. 15 DSGVO gilt gegenüber allen Verantwortlichen – Unternehmen, Behörden, Vereine
    2Die Auskunft muss grundsätzlich innerhalb eines Monats nach Eingang des Antrags erteilt werden
    3Die erste Kopie der gespeicherten Daten ist kostenfrei – für weitere Kopien darf ein angemessenes Entgelt verlangt werden
    4Der Antrag kann formlos gestellt werden – per E-Mail, Brief oder über ein Online-Formular
    5Verweigert ein Unternehmen die Auskunft, können Sie sich an die zuständige Datenschutzaufsichtsbehörde wenden
    6Das Auskunftsrecht kann in Ausnahmefällen eingeschränkt sein – etwa bei Geschäftsgeheimnissen oder Rechten Dritter

    Rechtsgrundlage und Anwendungsbereich

    Das Auskunftsrecht ist in Art. 15 DSGVO verankert und gehört zu den zentralen Betroffenenrechten der Datenschutz-Grundverordnung. Es verpflichtet jeden Verantwortlichen – also jedes Unternehmen, jede Behörde oder Organisation, die personenbezogene Daten verarbeitet – auf Anfrage mitzuteilen, ob und welche Daten gespeichert sind.

    • Verarbeitungszwecke
    • Kategorien der Daten
    • Empfänger oder Kategorien von Empfängern
    • Geplante Speicherdauer oder Kriterien für die Festlegung
    • Bestehen eines Rechts auf Berichtigung, Löschung oder Einschränkung
    • Beschwerderecht bei einer Aufsichtsbehörde
    • Herkunft der Daten, wenn nicht beim Betroffenen erhoben
    • Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling

    Der Begriff 'personenbezogene Daten' ist weit gefasst: Er umfasst alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu gehören Name, Adresse und E-Mail ebenso wie IP-Adressen, Kundennummern, Gesundheitsdaten oder Bewegungsprofile.

    Tipp
    Formulieren Sie Ihre Anfrage möglichst konkret – zum Beispiel: 'Bitte teilen Sie mir mit, welche Daten Sie im Zusammenhang mit meinem Kundenkonto Nr. XY gespeichert haben.' So vermeiden Sie pauschale Antworten und erhalten gezielt die Informationen, die Sie benötigen.

    So stellen Sie einen Auskunftsantrag

    Ein Auskunftsantrag nach Art. 15 DSGVO ist an keine bestimmte Form gebunden. Sie können den Antrag per E-Mail, Brief, Fax oder – sofern angeboten – über ein Online-Formular des Unternehmens stellen. Eine Begründung müssen Sie nicht angeben.

    1. Identifizieren Sie den Verantwortlichen (Impressum, Datenschutzerklärung)
    2. Formulieren Sie den Antrag formlos mit Bezug auf Art. 15 DSGVO
    3. Geben Sie Ihre Identifizierungsdaten an (Name, E-Mail, Kundennummer)
    4. Senden Sie den Antrag an den Datenschutzbeauftragten oder die allgemeine Kontaktadresse
    5. Setzen Sie eine Frist von einem Monat
    6. Bewahren Sie den Nachweis des Versands auf

    In der Praxis empfiehlt es sich, den Antrag schriftlich zu stellen und eine Bestätigung oder einen Nachweis aufzubewahren. Bei E-Mails genügt in der Regel die Lesebestätigung oder der Sendungsnachweis. Bei einem Brief ist ein Einschreiben mit Rückschein sinnvoll, wenn Sie befürchten, dass das Unternehmen den Zugang bestreiten könnte.

    Beispiel
    Musterformulierung: 'Sehr geehrte Damen und Herren, gemäß Art. 15 DSGVO bitte ich Sie, mir Auskunft über sämtliche zu meiner Person gespeicherten personenbezogenen Daten zu erteilen. Bitte nennen Sie auch die Verarbeitungszwecke, die Empfänger und die geplante Speicherdauer. Ich bitte um Beantwortung innerhalb der gesetzlichen Frist von einem Monat.'

    Fristen und Antwortpflichten

    Der Verantwortliche muss die Auskunft grundsätzlich innerhalb eines Monats nach Eingang des Antrags erteilen (Art. 12 Abs. 3 DSGVO). Diese Frist kann bei besonders komplexen oder umfangreichen Anfragen um weitere zwei Monate verlängert werden – der Verantwortliche muss Sie jedoch innerhalb des ersten Monats über die Verlängerung und deren Gründe informieren.

    FristDauerVoraussetzung
    Regelfrist1 Monat ab AntragseingangStandardfall
    Verlängerte FristBis zu 3 Monate insgesamtKomplexität oder Vielzahl der Anfragen, Mitteilung erforderlich
    IdentitätsprüfungHemmt die FristBegründete Zweifel an der Identität des Antragstellers

    Die Auskunft muss in einer präzisen, transparenten und leicht zugänglichen Form erfolgen. In der Regel geschieht dies schriftlich oder – auf Wunsch – elektronisch. Mündliche Auskünfte sind nur zulässig, wenn der Betroffene dies ausdrücklich wünscht und seine Identität nachgewiesen ist.

    Warnung
    Reagiert ein Unternehmen gar nicht oder erst nach Ablauf der Frist, liegt ein DSGVO-Verstoß vor. Sie können sich in diesem Fall an die zuständige Datenschutzaufsichtsbehörde wenden – das Verfahren ist für Sie kostenfrei.

    Das könnte Sie auch interessieren

    Recht auf Löschung nach DSGVO – Recht auf Vergessenwerden

    Recht auf Löschung nach Art. 17 DSGVO: Wann müssen Unternehmen Ihre Daten löschen? Fristen, Ausnahmen und Vorgehen.

    Kosten und Format der Auskunft

    Die erste Auskunft ist grundsätzlich kostenfrei (Art. 15 Abs. 3 DSGVO). Der Verantwortliche stellt eine Kopie der verarbeiteten personenbezogenen Daten zur Verfügung. Für weitere Kopien darf ein angemessenes Entgelt auf Basis der Verwaltungskosten verlangt werden.

    • Erste Kopie: kostenfrei
    • Weitere Kopien: angemessenes Entgelt möglich
    • Format: elektronisch bei elektronischer Anfrage (z. B. PDF, CSV)
    • Umfang: Alle personenbezogenen Daten, nicht aber interne Bewertungen, die keine personenbezogenen Daten darstellen

    Bei elektronischer Antragstellung soll die Auskunft grundsätzlich in einem gängigen elektronischen Format erteilt werden (z. B. PDF). Unternehmen sind nicht verpflichtet, komplette Datenbankauszüge oder interne Vermerke im Originalformat herauszugeben – eine strukturierte Zusammenfassung genügt, solange alle Pflichtangaben enthalten sind.

    Identitätsprüfung und Missbrauchsschutz

    Der Verantwortliche darf und muss die Identität des Antragstellers überprüfen, bevor er Daten herausgibt. Dies dient dem Schutz vor unbefugtem Zugriff Dritter auf personenbezogene Daten. Die Art der Identitätsprüfung richtet sich nach dem Kontext und dem Risiko.

    Übliche Methoden sind der Abgleich mit hinterlegten E-Mail-Adressen, die Angabe von Kundennummern oder – bei sensiblen Daten – die Vorlage eines Ausweises. Der Verantwortliche darf jedoch nicht unverhältnismäßig hohe Hürden aufbauen, um das Auskunftsrecht faktisch zu unterlaufen.

    Warnung
    Vorsicht: Manche Unternehmen verlangen ohne sachlichen Grund eine Ausweiskopie, obwohl die Identität bereits über das Kundenkonto eindeutig feststellbar ist. Eine solche Forderung ist grundsätzlich unverhältnismäßig und kann bei der Aufsichtsbehörde gerügt werden.

    Einschränkungen und Ausnahmen

    Das Auskunftsrecht gilt nicht schrankenlos. Art. 15 Abs. 4 DSGVO ordnet an, dass die Auskunft die Rechte und Freiheiten anderer Personen nicht beeinträchtigen darf. Zudem enthalten die nationalen Datenschutzgesetze – in Deutschland insbesondere § 34 BDSG – weitere Einschränkungen.

    EinschränkungsgrundRechtsgrundlageTypischer Fall
    Rechte DritterArt. 15 Abs. 4 DSGVODaten anderer Personen in Dokumenten
    Geschäftsgeheimnisse§ 34 BDSG i. V. m. Art. 23 DSGVOInterne Scoring-Algorithmen
    Archivzwecke§ 34 Abs. 1 Nr. 1 BDSGReine Archivdaten mit unverhältnismäßigem Aufwand
    Offenkundig unbegründete AnträgeArt. 12 Abs. 5 DSGVOMassenhafte, identische Anfragen ohne erkennbaren Zweck

    In der Praxis relevant sind vor allem Konstellationen, in denen die Auskunft Geschäftsgeheimnisse offenlegen würde, Daten Dritter betroffen sind (z. B. in einem Gesprächsprotokoll) oder die Daten ausschließlich zu Archivzwecken gespeichert werden und die Auskunft einen unverhältnismäßigen Aufwand erfordern würde.

    Durchsetzung – Wenn das Unternehmen nicht reagiert

    Reagiert der Verantwortliche nicht, unvollständig oder verspätet auf Ihren Auskunftsantrag, stehen Ihnen mehrere Rechtsbehelfe zur Verfügung. Der wichtigste ist die Beschwerde bei der zuständigen Datenschutzaufsichtsbehörde (Art. 77 DSGVO). Diese prüft den Fall und kann das Unternehmen zur Auskunft verpflichten oder ein Bußgeld verhängen.

    • Beschwerde bei der Datenschutzaufsichtsbehörde (kostenfrei)
    • Klage vor dem Zivilgericht auf Auskunftserteilung
    • Schadensersatzklage nach Art. 82 DSGVO
    • Einstweiliger Rechtsschutz bei besonderer Eilbedürftigkeit

    Darüber hinaus haben Sie nach Art. 82 DSGVO einen Anspruch auf Schadensersatz, wenn Ihnen durch die Verletzung des Auskunftsrechts ein materieller oder immaterieller Schaden entstanden ist. Deutsche Gerichte haben in den letzten Jahren vermehrt immaterielle Schadensersatzansprüche bei DSGVO-Verstößen zugesprochen – die Höhe variiert je nach Schwere des Verstoßes erheblich.

    Tipp
    Die zuständige Aufsichtsbehörde finden Sie über die Website des Bundesbeauftragten für den Datenschutz (BfDI). In der Regel ist die Behörde des Bundeslandes zuständig, in dem das Unternehmen seinen Sitz hat. Die Beschwerde können Sie online einreichen.

    Fazit: Auskunftsrecht konsequent nutzen

    Das Auskunftsrecht nach Art. 15 DSGVO ist ein mächtiges Werkzeug, um Kontrolle über die eigenen Daten zu behalten. Nutzen Sie es, um festzustellen, welche Daten Unternehmen über Sie speichern, und scheuen Sie sich nicht, bei Nichtbeantwortung die Aufsichtsbehörde einzuschalten. Der Antrag ist formlos, die erste Kopie kostenfrei – und die Unternehmen sind zur Antwort verpflichtet.

    Häufige Fragen

    Weiterführende Ratgeber

    DSGVO-Grundlagen
    Alle Ratgeber zu Datenschutz & IT-Recht
    RG

    Über die Redaktion

    Redaktion Gesetz-Ratgeber

    Redaktionsteam

    Das Redaktionsteam von Gesetz-Ratgeber recherchiert aktuelle Rechtsthemen und bereitet sie verständlich auf. Jeder Artikel durchläuft einen mehrstufigen Qualitätsprozess: Recherche der aktuellen Rechtslage, Abgleich mit Gesetzestexten und Rechtsprechung, verständliche Aufbereitung und abschließende Prüfung. Wir arbeiten unabhängig und finanzieren uns ausschließlich über Werbung und Gastbeiträge – unsere redaktionellen Inhalte sind davon nicht beeinflusst.

    Rechtlicher Hinweis: Dieser Ratgeber dient ausschließlich der allgemeinen Information und ersetzt keine individuelle Rechtsberatung. Trotz sorgfältiger Recherche übernehmen wir keine Haftung für die Richtigkeit, Vollständigkeit und Aktualität der Inhalte. Bei konkreten Rechtsfragen wenden Sie sich bitte an einen Rechtsanwalt. Ausführlicher Hinweis: Disclaimer.

    Weiterführende Beiträge

    Datenschutz & IT-Recht

    Abmahnung wegen Urheberrechtsverletzung im Internet

    Eine Abmahnung wegen einer Urheberrechtsverletzung im Internet gehört zu den häufigsten Rechtsproblemen im digitalen Alltag. Ob Filesharing, die unbefugte Nutzung von Bildern auf der eigenen Website oder das Teilen urheberrechtlich geschützter Inhalte in sozialen Netzwerken – die Folge ist oft ein Anwaltsschreiben mit einer Unterlassungserklärung und einer Kostenforderung. Dieser Ratgeber erklärt, was eine Abmahnung bedeutet, wie Sie richtig reagieren und welche Fehler Sie vermeiden sollten.

    Weiterlesen →