Anforderungen an Nachweis der Auskunftserteilung

Artikel von Maximilian Mertin·15. September 2025

Verantwortliche sind gemäß Art. 15 DSGVO verpflichtet, Auskunftsersuchen von betroffenen Personen rechtzeitig und korrekt zu beantworten. Gleichzeitig müssen sie den Grundsatz der Datenminimierung einhalten, der eine übermäßige Speicherung personenbezogener Daten untersagt. Eine vollständige und langfristige Speicherung der erteilten Auskünfte kann daher weder notwendig noch zulässig sein. Stattdessen können technische und organisatorische Maßnahmen den Nachweis ermöglichen, ohne personenbezogene Daten dauerhaft aufzubewahren.

Der Inhalt im Überblick

Alternativen zur vollständigen Speicherung
- Dokumentation und Manipulationsschutz
- Wie werden Auskunft, Nachweis und Anforderungen revisionssicher protokolliert?
Welche Anforderungen gelten für den Auskunftsnachweis?
- Was gilt bei Versand von E-Mails?
- Was gilt bei postalischem Versand?
Löschkonzept und Aufbewahrungsfristen
Wie gelingt ein effizienter Nachweis der Auskunft bei minimaler Datenspeicherung?

Alternativen zur vollständigen Speicherung

Die Auskunftserteilung stellt Organisationen vor vielfältige Anforderungen. Im Fokus stehen Dokumentation und technische Schutzmaßnahmen.

Dokumentation und Manipulationsschutz

Eine generelle Überprüfung der Auskunftspraxis kann durch die Dokumentation von Auskunftsvorlagen, deren Einsatzzeiträumen und dem Verfahren bei Auskunftsersuchen erfolgen. Diese Dokumentation ermöglicht es, die Vollständigkeit und Verständlichkeit der Auskunftserteilung nachzuweisen, ohne die konkreten personenbezogenen Daten zu speichern. Sollte eine betroffene Person die erhaltene Auskunft beanstanden, kann diese im Beschwerdeverfahren vorgelegt werden. Hierüber berichtet die Berliner Beauftragte für Datenschutz und Informationsfreiheit in ihrem aktuellen Tätigkeitsbericht und nennt aus Ihrer Sicht Anforderungen und Umsetzungsmöglichkeiten. Hier erhalten Sie Hinweise, wie sie die typische Fallstricke bei der Erfüllung des Auskunftsrechts vermeiden können.

Um Manipulationen nachträglich zu erkennen, können verschiedene technische Maßnahmen eingesetzt werden:

Digitale Signaturen: Elektronisch erteilte Auskünfte sollten mit einer digitalen Signatur versehen werden, um ihre Authentizität zu gewährleisten.
Spezielle Drucktechniken: Farblaserdrucker können einen kaum sichtbaren, gerätespezifischen Code auf Papier drucken, der die Seriennummer des Druckers enthält.
Physische Schutzmaßnahmen: Seitenzahlen, ungewöhnliches Papier oder spezielle Druckfarben erschweren Fälschungen. Auch manuelle Maßnahmen wie das Stempeln oder Paraphieren einzelner Blätter können Manipulationen vorbeugen.

Wie werden Auskunft, Nachweis und Anforderungen revisionssicher protokolliert?

Der Vorgang der Auskunftserteilung sollte revisionssicher protokolliert werden. Dabei können die beauskunfteten Datenkategorien pseudonymisiert gespeichert werden, um das Risiko einer unbefugten Offenlegung zu minimieren. Ein Ansatz ist die Verwendung einer Einwegfunktion auf eine kleine Untermenge personenbezogener Daten (z. B. Name, E-Mail-Adresse, Postleitzahl). Nach der Auskunftserteilung kann der Datensatz gelöscht werden, während das Pseudonym eine spätere Nachweisführung ermöglicht .

Ein Beispiel: Nach der Erzeugung eines pseudonymisierten Protokolldatensatzes kann die ursprüngliche Auskunft gelöscht werden. Sollte später ein Nachweis erforderlich sein, kann die betroffene Person die relevanten Daten bereitstellen, um den Zusammenhang mit dem pseudonymisierten Datensatz herzustellen. Die Einwegfunktion stellt sicher, dass die Ursprungsdaten nicht zurückgerechnet werden können. Bei erhöhtem Risiko kann zusätzlich ein Zufallswert in die Einwegfunktion integriert und verschlüsselt gespeichert werden. Eine Treuhandstelle könnte diesen entschlüsseln, falls ein Nachweis erforderlich wird.

Welche Anforderungen gelten für den Auskunftsnachweis?

Nachfolgend zeigen wir Ihnen, welche konkreten Anforderungen beim jeweiligen Kommunikationsweg zu beachten sind.

Was gilt bei Versand von E-Mails?

Beim Versand per E-Mail sollten folgende Daten protokolliert werden, um den Nachweis der Zustellung zu erbringen:

Zeitstempel der E-Mail
Message-ID
Sende- und Empfangsserver
Zeitstempel des SMTP-Quittungscodes (250)
Bestätigungsnachricht des SMTP-Servers

Der E-Mail-Server sollte zudem so konfiguriert sein, dass bei Zustellfehlern die vollständige E-Mail zurückgesendet wird. Dies ermöglicht es, die Auskunft erneut zu versenden.

Was gilt bei postalischem Versand?

Für den postalischen Versand per Einschreiben sind folgende Daten relevant:

Datum des Schreibens
Sendungsnummer
Zustellstatus und -datum
Auslieferungsnachweis

Auch normale Briefe können über den Matrixcode der Briefmarke beschränkt nachverfolgt werden. Zustellstatus und voraussichtliches Zustelldatum sollten ebenfalls dokumentiert werden. Diese Maßnahmen gewährleisten, dass der Nachweis der Zustellung auch ohne vollständige Speicherung der Auskunft erbracht werden kann.

Löschkonzept und Aufbewahrungsfristen

Der datenreduzierte Nachweis darf grundsätzlich für drei Jahre ab dem Ende des Jahres, in dem der Auskunftsantrag gestellt wurde, gespeichert werden. Eine zusätzliche Frist von bis zu drei Monaten kann für die Zustellung einer eventuellen Klage berücksichtigt werden. Verantwortliche sollten ein wirksames Löschkonzept implementieren, um die Einhaltung dieser Fristen sicherzustellen.

Die Antragstellenden müssen zudem über die Verarbeitung ihrer Daten zum Zwecke des Auskunftsnachweises informiert werden. Bei Löschanträgen ist es erforderlich, die Gründe für die Vorhaltung des Nachweises in der Löschbestätigung zu erläutern. Dies umfasst auch den Hinweis auf die Möglichkeit, bei einer Aufsichtsbehörde Beschwerde einzulegen oder einen gerichtlichen Rechtsbehelf einzulegen.

Wie gelingt ein effizienter Nachweis der Auskunft bei minimaler Datenspeicherung?

Ein datenminimierender Nachweis der Auskunftserteilung erfordert ein durchdachtes Konzept, das technische und organisatorische Maßnahmen kombiniert. Verantwortliche können nach Ansicht der Aufsichtsbehörde ihrer Rechenschaftspflicht nachkommen, ohne Klardaten oder die vollständige Auskunft langfristig speichern zu müssen. Dies gewährleistet nicht nur die Einhaltung der DSGVO, sondern reduziert auch das Risiko einer unbefugten Offenlegung personenbezogener Daten. Gleichzeitig wird der Grundsatz der Datenminimierung gewahrt, was sowohl rechtlich als auch ethisch von zentraler Bedeutung ist.

- Auskunftsanspruch
  Entgelttransparenz: Datenschutzeinblick in Richtlinie und GesetzFachbeitrag·12. Januar 2026
- Dr. Datenschutz Shortnews im Januar 2026 – KW02News·7. Januar 2026
- Auskunftsrecht nach DSGVO: Was steht Betroffenen zu?Fachbeitrag·18. November 2025
Mehr zum Thema
- Datenminimierung
  Datenschutzerklärung in Apps – Inhalt, Form und der richtige WegFachbeitrag·24. September 2025
- Ist die Frage nach dem Geschlecht beim Ticketkauf zulässig?Urteil·21. Juli 2025
- Top 5 DSGVO-Bußgelder im März 2025News·3. April 2025
Mehr zum Thema
- Pseudonymisierung
  Dr. Datenschutz Shortnews im September 2025 – KW 38News·17. September 2025
- Schutz vor Betroffenenrechten durch faktische Pseudonymität?Fachbeitrag·25. Juni 2025
- Training von KI-Systemen: Chancen und rechtliche GrenzenFachbeitrag·17. April 2025
Mehr zum Thema
- Rechenschaftspflicht
  Datenschutz auf der Webseite – das ist bei CMS wichtigFachbeitrag·25. Februar 2025
- Erfüllung von Auskunftsersuchen per E-MailFachbeitrag·16. Januar 2025
- Datenschutz messbar machen – Reifegrade und KennzahlenFachbeitrag·19. Februar 2024
Mehr zum Thema
- TOM
  Top 5 DSGVO-Bußgelder im Dezember 2025News·5. Januar 2026
- Resilienz des Unternehmens stärken und Abhängigkeiten erkennenFachbeitrag·5. Dezember 2025
- Scan auf Schadsoftware im Unternehmen: Rechtliche ZulässigkeitFachbeitrag·7. November 2025
Mehr zum Thema

Beitrag kommentieren

Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.

Klicken Sie hier, um den Kommentarbereich anzuzeigen. Kommentare verbergen.