Zum Inhalt springen Zur Navigation springen
Auskunftsrecht nach DSGVO: Was steht Betroffenen zu?

Auskunftsrecht nach DSGVO: Was steht Betroffenen zu?

Artikel von Dr. Datenschutz·18. November 2025

Das Auskunftsrecht nach Art. 15 DSGVO ist ein zentrales Betroffenenrecht. Es ermöglicht Personen, Transparenz über die Verarbeitung ihrer Daten zu erhalten. Dieser Artikel erläutert, welche Informationen Verantwortliche bereitstellen müssen und wie das Auskunftsrecht im Rahmen der DSGVO konkret ausgestaltet ist, um den Datenschutz für Betroffene zu gewährleisten.

Wie ist das Auskunftsrecht aufgebaut?

Gemäß Art. 15 Abs. 1 DSGVO gliedert sich das Auskunftsrecht in zwei Stufen. Betroffene Personen haben das Recht, von Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden.

Falls keine personenbezogenen Daten eines Antragstellers verarbeitet werden, muss der Verantwortliche den Antragsteller darüber informieren; dies wird als „Negativauskunft“ bezeichnet.
Werden hingegen personenbezogene Daten verarbeitet, besteht für die betroffene Person ein grundsätzliches Recht auf Auskunft über genau diese Daten sowie über weiterführende Informationen zu deren Verarbeitung.

Welche Informationen umfasst das Auskunftsrecht konkret?

Wenn eine Verarbeitung stattfindet, hat der Verantwortliche nach Art. 15 Abs. 1 DSGVO zusätzlich zur eigentlichen Datenauskunft eine Reihe von spezifischen Informationen bereitzustellen. Diese dienen dazu, der betroffenen Person ein umfassendes Bild über die Verarbeitung ihrer Daten zu vermitteln und die Wahrnehmung weiterer Rechte zu ermöglichen.

Zu diesen bereitzustellenden Informationen gehören:

  • Verarbeitungszwecke
  • Kategorien personenbezogener Daten, die verarbeitet werden
  • Empfänger bzw. Kategorien von Empfängern, die diese Daten bereits erhalten haben oder künftig erhalten werden
  • geplante Speicherdauer falls möglich, andernfalls die Kriterien für die Festlegung der Speicherdauer
  • Rechte auf Berichtigung, Löschung oder Einschränkung der Verarbeitung
  • Widerspruchsrecht gegen diese Verarbeitung
  • Beschwerderecht für die betroffene Person bei der Aufsichtsbehörde
  • Herkunft der Daten, soweit diese nicht bei der betroffenen Person selbst erhoben wurden
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling mit aussagekräftigen Informationen über die dabei involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen solcher Verfahren

In Bezug auf die Empfänger hat der EuGH festgestellt, dass diese in der Auskunft konkret benannt werden müssen.

In der Vergangenheit wurde von Gerichten zudem immer wieder deutlich gemacht, dass das Auskunftsrecht von dem Betroffenen nicht „missbraucht“ werden darf, um an bestimmte Informationen zu kommen.

Das gilt beim Auskunftsrecht laut DSGVO für Drittländer

Eine besondere Informationspflicht im Rahmen des Auskunftsrechts nach DSGVO ergibt sich, wenn personenbezogene Daten an Empfänger in Drittländern, also Staaten außerhalb der EU und des EWR, übermittelt werden. In diesem Fall erweitert sich der Umfang der Auskunft.

Betroffene Personen haben nach Art. 15 Abs. 2 DSGVO zusätzlich das Recht, über die geeigneten Garantien informiert zu werden, die im Zusammenhang mit der Datenübermittlung getroffen wurden. Dies bezieht sich auf die Schutzmaßnahmen gemäß Art. 46 DSGVO, wie bspw. vereinbarte EU-Standardvertragsklauseln oder verbindliche interne Datenschutzvorschriften (BCR).

Wer ist berechtigt, Auskunft zu verlangen?

Die Auskunft ist nach Art. 15 DSGVO nur der betroffenen Person zu erteilen. Diese kann eine dritte Person mit der Ausübung bevollmächtigen oder gem. Art. 80 DSGVO eine der dort genannten Organisationen mit der Rechtsausübung beauftragen. Der Verantwortliche muss dafür sorgen, dass Daten nicht in die „falschen Hände“ gelangen und ggf. die Identität überprüfen. Werden Auskünfte ohne Berechtigung erteilt, liegt regelmäßig eine Datenpanne nach Art. 33 DSGVO vor.

Das Auskunftsrecht durchsetzen

Nach Art. 12 Abs. 1 DSGVO können die Informationen schriftlich, auf elektronischem Wege oder, auf Verlangen der betroffenen Person, mündlich erteilt werden. Erfolgt die Auskunftserteilung mündlich, muss die Identität der betroffenen Person jedoch in anderer Form nachgewiesen werden.

Wenn die betroffene Person den Antrag auf Auskunftserteilung elektronisch stellt, sind die zur Verfügung zu stellenden Informationen gemäß Art. 15 Abs. 3 DSGVO in einem gängigen elektronischen Format zur Verfügung zu stellen (z. B. als PDF). In Erwägungsgrund 63 zur DSGVO heißt es diesbezüglich, dass der Verantwortliche nach Möglichkeit den Fernzugang zu einem sicheren System bereitstellen können sollte, der der betroffenen Person direkten Zugang zu ihren personenbezogenen Daten ermöglichen würde. In jedem Fall ist bei der Auskunftserteilung darauf zu achten, dass angemessene Sicherheitsanforderungen eingehalten werden.

Welche Fristen gelten für das Auskunftsrecht nach DSGVO?

Wenn eine betroffene Person von ihrem Auskunftsrecht Gebrauch macht, sind ihr die zu erteilenden Informationen gemäß Art. 12 Abs. 3 DSGVO unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung zu stellen. Diese Frist kann in komplexen Fällen um zwei weitere Monate verlängert werden.

Über eine solche Fristverlängerung ist die betroffene Person unter Angabe der für die Verzögerung verantwortlichen Gründe innerhalb eines Monats nach Eingang ihres Antrags zu informieren. Wird die Monatsfrist versäumt, kann unter Umständen ein Anspruch auf Schadensersatz entstehen, wenn der Betroffene aufgrund des Verzuges einen Anwalt zur Durchsetzung seines Anspruchs beauftragt.

Entstehen Kosten für das Recht auf Auskunft?

Nach Art. 15 Abs. 3 DSGVO hat der Verantwortliche der betroffenen Person eine Kopie der personenbezogenen Daten zur Verfügung zu stellen, die Gegenstand der Verarbeitung sind. Gemäß Art. 12 Abs. 5 DSGVO hat der Verantwortliche diese Informationen grundsätzlich kostenlos bereitzustellen.

Verlangt die betroffene Person über die kostenlos zur Verfügung gestellte Kopie hinaus weitere Kopien, kann der Verantwortliche gemäß Art. 15 Abs. 3 DSGVO ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen. Zudem kann der Verantwortliche bei offenkundig unbegründeten oder exzessiven Anträgen einer betroffenen Person gemäß Art. 12 Abs. 5 DSGVO entweder ein angemessenes Entgelt fordern oder die Auskunftserteilung verweigern. Der Verantwortliche muss jedoch nachweisen, dass der Antrag die Kriterien für eine solche Einstufung erfüllt.

Wie oft darf eine Auskunft verlangt werden?

Die einmalige Erteilung einer Auskunft bedeutet nicht, dass der Verantwortliche zukünftig keine weiteren kostenlosen Auskünfte mehr erteilen muss. Die Datenschutz-Grundverordnung sieht hier eine flexible Regelung vor.

Im Erwägungsgrund 63 zur DSGVO wird dazu ausgeführt, dass betroffene Personen ihr Recht auf Auskunftserteilung in angemessenen Abständen wahrnehmen können sollten. Was als „angemessen“ gilt, ist im Einzelfall zu bewerten und hängt von den Umständen der Datenverarbeitung ab.

Kann die Auskunft verweigert werden?

Auskunftsersuchen sind durch den Verantwortlichen nicht in jedem Fall zu beantworten. Neben der Möglichkeit, eine Auskunftserteilung bei unbegründeten oder exzessiven Anträgen zu verweigern, können Verantwortliche, die eine große Menge von Informationen über die betroffene Person verarbeiten, gemäß Erwägungsgrund 63 zur Datenschutz-Grundverordnung verlangen, dass die betroffene Person präzisiert, auf welche Information oder welche Verarbeitungsvorgänge sich ihr Auskunftsersuchen bezieht, bevor eine Auskunftserteilung zu erfolgen hat. Gemäß Art. 15 Abs. 4 DSGVO kann von einer Auskunftserteilung ausnahmsweise auch dann abgesehen werden, wenn dies die Rechte und Freiheiten anderer Personen beeinträchtigen würde.

Weiter kann die Auskunft nach § 34 BDSG verweigert werden, wenn

  • die Daten nur noch aufgrund gesetzlicher Aufbewahrungsvorschriften gespeichert bleiben müssen und eine Auskunft unverhältnismäßig aufwendig wäre (§ 34 Abs. 1 Nr. 2a BDSG),
  • wenn es sich ausschließlich um Archiv- und Protokollierungsdaten handelt und eine Auskunft unverhältnismäßig aufwendig wäre (§ 34 Abs. 1 Nr. 2 b BDSG) oder
  • wenn ein Interesse an Geheimhaltung besteht (§ 34 Abs. 1 i.V.m. § 29 Abs. 1 Satz 2 BDSG).

Die Ablehnungsgründe müssen gemäß § 34 Abs. 2 BDSG dokumentiert werden und der Betroffene informiert, soweit nicht durch die Mitteilung der tatsächlichen und rechtlichen Gründe, auf die die Entscheidung gestützt wird, der mit der Auskunftsverweigerung verfolgte Zweck gefährdet würde.

Allerdings dürfen Auskunftsverlangen nicht pauschal mit der Begründung „zu viel Aufwand“ abgelehnt werden, wie der Bundesfinanzhof entschied.

Das Auskunftsrecht als Eckpfeiler für Transparenz und Datenschutz

Das Auskunftsrecht ist eines der fundamentalsten Rechte für Betroffene im Rahmen der DSGVO. Es schafft die notwendige Transparenz, damit Einzelpersonen nachvollziehen können, welche Daten von wem und zu welchem Zweck verarbeitet werden, und versetzt sie in die Lage, ihre weiteren Datenschutzrechte effektiv wahrzunehmen.

Für Unternehmen stellt die korrekte, vollständige und fristgerechte Beantwortung von Auskunftsersuchen eine fortwährende operative Herausforderung dar. Deshalb empfiehlt es sich für Verantwortliche im Sinne der DSGVO, also insbesondere Unternehmen, rechtzeitig organisatorische Vorkehrungen zu treffen, um Auskunftsersuchen schnell und vollständig beantworten zu können. Die Erfüllung des Auskunftsrechts ist nicht nur eine gesetzliche Pflicht, sondern auch ein häufiger Gegenstand von Beschwerden bei den Aufsichtsbehörden, was seine hohe praktische Relevanz unterstreicht.

Festzuhalten ist, dass Auskunftsersuchen ernst zu nehmen sind, da die unzulässige Weigerung einer Auskunft oder das Aussitzen des Ersuchens zu einem hohen Bußgeld führen kann. Hierbei sind nach Art. 83 Abs. 5 DSGVO Bußgelder bis zu 20 Mio. Euro oder 4 Prozent des weltweiten Jahresumsatzes möglich.

Mehr zum Thema DSGVO
Informieren Sie sich über unsere praxisnahen Webinare
  • »DSGVO und Künstliche Intelligenz«
  • »Microsoft 365 sicher gestalten«
  • »Bewerber- und Beschäftigtendatenschutz«
  • »Auftragsverarbeitung in der Praxis«
  • »IT-Notfall Ransomware«
  • »DSGVO-konformes Löschen«
  • »ISMS: Informationssicherheit mit System«
Webinare entdecken
Mit dem Code „Webinar2026B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2026.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.

  • Vielen Dank für diesen guten Beitrag, der das Thema kompakt und einfach zusammenfasst. Weiter so!

  • Äußerst informativ und hilfreich. Mehr davon, auch zu Art. 14; 33 DSGVO

    Patrick van der Elburg

  • Welche Daten darf ein Unternehmen (sinnvoll) abfragen, um dem Auskunftsersuchen nachkommen zu können? Beispiel: ich bin mit einer E-Mail Adresse bei einer Online Händler-Plattform registriert, von dem ich Auskunft verlange da ein Datenleck bekannt wurde. Für diese Adresse habe ich per E-Mail von dieser Adresse aus um Auskunft gebeten. Ob ich da je was gekauft habe, mal egal. Der Shop antwortet nun, er benötige erst einmal eine Vielzahl von Daten, um dem Auskunftsbegehren nachkommen zu können:

    „Vor- und Nachnamen
    Geburtsdatum
    E-Mail-Adresse, die du bei einem Kauf mit XYZ verwendet hast
    die XYZ-Rechnungsnummer zu einer deiner Bestellungen
    den Namen eines Händlers, bei dem du eine Bestellung getätigt hast
    den genauen Rechnungsbetrag einer deiner Bestellungen
    deine Rechnungsadresse (solltest du das Produkt MMM genutzt haben)

    Solltest du innerhalb der letzten 24 Monate umgezogen sein, bitten wir dich uns zwecks Prüfung deine alte und neue Meldeanschrift mitzuteilen.

    Bitte beachte, dass wir aus Sicherheitsgründen deinen Datenauszug verschlüsselt übermitteln. Damit du den Sicherheitscode zur Entschlüsselung des Datenauszugs erhalten kannst, benötigen wir des Weiteren eine aktuelle Handynummer.“

    Ich verstehe, dass man sicherstellen muss, dass die Auskunftsdaten zur richtigen Person und an die richtige Person erfolgen, aber da wird ja mehr abgefragt als die vermutlich jemals über mich gespeichert hatten. Ist das Zielsetzung der Auskunftserteilung, dass man erstmal mehr preisgeben muss, als man sonst mitgeteilt bekommen hätte?

    Sollte man es versuchen mit Name, Geburtsdatum und beim Rest sagen: weiß ich nicht?

    mfg
    derbo73

  • Was ist, wenn jmd behauptet er hätte eine Anfrage gestellt und diese ist nirgendwo zu finden?

    • Die Beweislast für das Erheben des Auskunftsanspruch liegt grundsätzlich beim Betroffenen. Kann dieser den Beweis erbringen, liegt der Ball beim Verantwortlichen. Spätestens bei der Nachfrage des Betroffenen sollte der Verantwortliche jedoch reagieren, denn zumindest in dieser Nachfrage liegt ein Auskunftsersuchen.

  • Der Auftragsdatenverarbeiter weigert sich mir eine Kopie der von ihm verarbeiteten personenbezogenen Daten zukommen zu lassen. Er weigert sich sich auch eine Kopie der nicht bei mir erhobenen Daten zur Verfügung zu stellen. Ein Kinderarzt hatte im März 2020 dem Gutachter (Verarbeiter) eine Stellungnahme zukommen lassen. Als Vater bin ich mit meinem Sohn verknüpft. Bis zum 27.09.2021 hatte ich Sorgerecht. Wie ich jedoch herausgefunden habe weicht die Stellungnahme des Arztes von dem Inhalt des Datenverarbeiter ab. Ich habe den Datenverarbeiter um Auskunft gemäß Art 15. DSGVO für mich und meinen Sohn gestellt. Nun beruft sich der Datenverarbeiter darauf, dass ich seit dem 27.09.2021 kein Sorgerecht habe, und er mir keine Auskunft erteilen will. Der Verarbeiter beruft sich auf das Berufsgeheimnis und das ich kein Sorgerecht mehr habe. Wie sieht die rechtliche Grundlage aus?

    • Leider sind wir nicht befugt, Ihnen im Rahmen dieses Blogs eine Rechtsberatung zukommen zu lassen. Welche Rechte Sie im Einzelfall haben, sollten Sie mit einem Rechtsanwalt besprechen.

    • Hallo Frank, es ist unerheblich ob man Sorgerecht hat. Die Daten wurden erhoben und sind Auskunftspflichtig. Da Sie aber (möglicherweise) schon einen Beweis für eine falsche Verarbeitung haben, macht eine Datenauskunft eigendlich keinen Sinn. Beauftragen Sie einen Datenschutzfachmann.

  • „Innerhalb“ verlangt den Genitiv. Also heißt es „innerhalb welches Zeitraums“. Der Dativ nach „innerhalb“ wird nur ausnahmsweise eingesetzt, wenn der Genitiv im Plural nicht erkennbar ist oder wenn die Präposition „von“ eingeschoben wird, da letztere den, dreimal dürfen Sie raten, Dativ verlangt. Also ginge auch noch „innerhalb von welchem Zeitraum“ (Autsch!) – doch wer so redete, der zeigte bereits, dass er Deutsch nicht flüssig spricht und auch nur nach Gehör schreibt. Aber da Sie ja mir nichts glauben müssen, glauben Sie vielleicht Quellen, die irgendwas mit „Wiki“ im Namen führen: mediawiki.ids-mannheim.de/VarGra/index.php/Innerhalb

  • Ich würde gerne einen Auskunft nach Art. 15 der DSGVO bei einer Filiale eines Händlers persönlich abgeben. Der offiziell zuständige DSB des Unternehmens sitzt nicht in dieser Filiale.
    Kann ich mein Auskunftsersuchen dort überhaupt abgeben? Sind Mitarbeiter einer Filiale verpflichtet, diese anzunehmen? Kann ich mir die Annahme schriftlich bestätigen lassen, muss ein Mitarbeiter eine Bestätigung ausstellen? Kann ich direkt die Identifizierung durch Sichtung meines Personalausweises verlangen und mit bestätigen lassen, um Rückfragen zur Identifizierung vorzubeugen?

    • Grundsätzlich ist die verantwortliche Stelle, d.h. das Unternehmen, das Ihre Daten verarbeitet, zur Beantwortung Ihres Auskunftsanspruchs verpflichtet und hat hierfür bis zu einem Monat Zeit. Der Weg zur Geltendmachung ist in der Regel in der Datenschutzerklärung des Unternehmens angegeben. Üblicherweise ist hier eine E-Mail-Adresse hinterlegt, mit der Sie Ihr Ersuchen direkt an die im Unternehmen intern zuständige Stelle übermitteln können.

  • Was kann/soll man tun wenn die erhaltenen Daten nicht mit den eigenen Aufzeichnungen übereinstimmen? Also ich z.B. nachweislich 15 Bestellungen bei einem Anbieter getätigt habe, er mir aber in der Aufstellung nur 11 nennt? Und es handelt sich bei den fehlenden nicht um einen Zeitraum der vor den anderen liegt, sondern mittendrin einfach fehlt?
    Das lässt doch Zweifel aufkommen am ordnungsgemäßen Umgang mit den Daten

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.