Auskunftsanspruch DSGVO 2026



Dr. Sener Dincer

Rechtsanwalt

Zuletzt aktualisiert

23. April 2026 • 18 Min Lesezeit

Das Wichtigste in Kürze

Wer muss einen Auskunftsanspruch nach Art. 15 DSGVO erfüllen?: Unternehmen, die Kunden-, Mitarbeiter- oder Bewerberdaten verarbeiten, müssen den Auskunftsanspruch nach Art. 15 DSGVO binnen eines Monats mit vollständiger Auskunft und originalgetreuer Datenkopie erfüllen - ohne Vorwarnung und ohne Begründungspflicht.
Wie hoch sind die Bußgelder bei Auskunftsverstößen?: Verstöße können empfindliche Folgen haben: Bußgelder bis zu 20 Millionen Euro, automatischer Verzug ohne Mahnung und Schadensersatzforderungen, die bei langer Verzögerung fünfstellige Beträge erreichen.
Wann reicht ein Standardprozess bei Auskunftsersuchen nicht aus?: Standardprozesse und Checklisten reichen oft nicht aus - gerade bei Arbeitnehmeranfragen, Schwärzungsfragen und großen Datenbeständen wird eine individuelle rechtliche Prüfung zur Pflicht.

Individuelle Prüfung

Jeder Fall ist speziell. Lassen Sie uns Ihren Sachverhalt unverbindlich prüfen.

Soforthilfe anfragen Artikel weiterlesen

Kaum ein Betroffenenrecht löst in der Praxis so viel Unsicherheit aus wie der Auskunftsanspruch nach der Datenschutz-Grundverordnung. Wer ein formales Auskunftsersuchen erhält, steht unter Zeitdruck und muss wissen, welche Daten herauszugeben sind, welche Fristen gelten und welche Konsequenzen bei Fehlern drohen. Aktuelle Urteile des Europäischen Gerichtshofs und des Bundesgerichtshofs haben den Umfang des Auskunftsrechts erheblich erweitert - und die Risiken bei Verstößen deutlich verschärft. Bei konkretem Handlungsbedarf vertieft unsere Beratung zu DSGVO Abmahnung die rechtliche Umsetzung.

Dieser Ratgeber beantwortet drei Fragen:

Welche Pflichten entstehen bei einem Auskunftsersuchen und wie weit reicht der Anspruch?
Welche Fristen gelten, welche Ausnahmen gibt es und wann darf die Auskunft verweigert werden?
Welche Bußgelder und Schadensersatzrisiken drohen bei verspäteter oder unvollständiger Auskunft?

Was bedeutet der Auskunftsanspruch nach der DSGVO?

Der Auskunftsanspruch gibt jeder betroffenen Person das Recht, von einem Verantwortlichen eine Bestätigung darüber zu verlangen, ob personenbezogene Daten verarbeitet werden - und falls ja, welche Daten das sind und wie sie verarbeitet werden.

Rechtsgrundlage ist Art. 15 der Datenschutz-Grundverordnung, eines der zentralen Betroffenenrechte der europäischen Datenschutzregulierung.

Auskunftsanspruch - kurz erklärt

Der Auskunftsanspruch nach Art. 15 DSGVO ist das Recht jeder natürlichen Person, von jedem Unternehmen oder jeder Behörde zu erfahren, ob und welche personenbezogenen Daten über sie verarbeitet werden. Er ist an keine Voraussetzungen geknüpft und muss nicht begründet werden.

Der Anspruch steht nicht nur Kunden oder Verbrauchern zu.

Jede natürliche Person, deren Daten ein Unternehmen verarbeitet, kann ihn geltend machen - Mitarbeiter, Bewerber, Lieferantenkontakte, Website-Besucher oder Geschäftspartner.

Selbst Geschäftsführerdaten unterliegen dem Schutz der Datenschutz-Grundverordnung, wie ein aktuelles EuGH-Urteil bestätigt hat. Für Unternehmen bedeutet das: Ein Auskunftsersuchen kann aus jeder Richtung kommen, zu jedem Zeitpunkt und ohne Vorwarnung.

Abgrenzung zu verwandten Betroffenenrechten

Der Auskunftsanspruch ist oft der Ausgangspunkt, bevor betroffene Personen weitere Rechte ausüben.

Wer weiß, welche Daten ein Unternehmen speichert, kann anschließend deren Berichtigung, Löschung oder Einschränkung verlangen.

In der Praxis folgt auf ein Auskunftsersuchen häufig ein Löschantrag nach Art. 17 DSGVO oder eine Beschwerde bei der Aufsichtsbehörde. Die Einzelheiten dazu behandelt unser Ratgeber zu Datenschutz-Audit erklärt.

Nach Art. 15 Abs. 1 DSGVO hat die betroffene Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden, und wenn dies der Fall ist, auf Auskunft über diese personenbezogenen Daten und eine Reihe weiterer Informationen.

Während das Auskunftsrecht auf Transparenz über vorhandene Daten zielt, betrifft das Recht auf Datenübertragbarkeit nach Art. 20 DSGVO die Herausgabe der Daten in einem maschinenlesbaren Format. Das Recht auf Berichtigung nach Art. 16 DSGVO setzt dagegen voraus, dass die betroffene Person bereits weiß, welche Daten unrichtig sind - genau diese Information liefert der Auskunftsanspruch. Die Einzelheiten dazu behandelt Hintergrund zu KI-Datenschutz.

Warum der Auskunftsanspruch 2026 besonders relevant ist

Mehrere Entwicklungen haben das Auskunftsrecht in den vergangenen zwei Jahren grundlegend verändert. Die Tragweite des Anspruchs ist heute deutlich größer als bei Inkrafttreten der Datenschutz-Grundverordnung, und die Risiken für Unternehmen sind gestiegen. Die Einzelheiten dazu behandelt Hintergrund zu Geschäftsgeheimnis.

Der Europäische Gerichtshof hat in seinem Urteil vom 4. Mai 2023 (Rs. C-487/21, Österreichische Post) entschieden, dass Art. 15 Abs. 3 DSGVO das Recht auf eine originalgetreue Reproduktion der personenbezogenen Daten gewährt und unter Umständen auch ganze Dokumente oder Datenbankauszüge umfassen kann.

Der Bundesgerichtshof hat in seinem Urteil vom 5. März 2024 (Az. VI ZR 330/21) klargestellt, dass der Umfang des Auskunftsanspruchs nicht auf biografisch bedeutsame Daten beschränkt ist und alle personenbezogenen Daten umfasst, die Gegenstand der Verarbeitung sind.

Parallel dazu hat die Datenschutzkonferenz gemeinsam mit dem Europäischen Datenschutzausschuss im Rahmen der koordinierten Prüfung 2024 insgesamt 1.185 Verantwortliche untersucht und dabei sieben systematische Defizite bei der Umsetzung des Auskunftsrechts identifiziert.

Die Fallzahlen steigen ebenfalls: Der Bundesbeauftragte für den Datenschutz meldete für 2024 insgesamt 8.670 Eingänge, darunter Beschwerden und Anfragen; davon entfielen 3.313 auf Beschwerden nach Art. 77 DSGVO.

Welche Pflichten entstehen bei einem Auskunftsersuchen?

Unternehmen müssen ein Auskunftsersuchen innerhalb eines Monats vollständig beantworten, die Identität des Antragstellers prüfen und eine kostenlose Kopie aller verarbeiteten personenbezogenen Daten bereitstellen.

Der Umfang dieser Pflichten ist seit mehreren Grundsatzurteilen deutlich weiter, als viele Verantwortliche annehmen.

Welche Informationen müssen erteilt werden?

Das Gesetz verpflichtet den Verantwortlichen zu einem umfassenden Informationskatalog, der weit über die bloße Nennung der gespeicherten Daten hinausgeht.

Die betroffene Person hat Anspruch auf Auskunft über sämtliche Aspekte der Datenverarbeitung.

Nach Art. 15 Abs. 1 DSGVO umfasst der Auskunftsanspruch unter anderem die Verarbeitungszwecke, die Kategorien personenbezogener Daten, die Empfänger oder Kategorien von Empfängern, die geplante Speicherdauer, das Bestehen von Betroffenenrechten, das Beschwerderecht bei einer Aufsichtsbehörde, die Herkunft der Daten sowie das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling.

Entscheidend ist dabei die Empfängerauskunft. Viele Unternehmen benennen lediglich Empfängerkategorien - etwa “IT-Dienstleister” oder “Marketingpartner”. Das reicht nach aktueller Rechtsprechung nicht mehr aus.

Der Europäische Gerichtshof hat in seinem Urteil vom 12. Januar 2023 (Rs. C-154/21) entschieden, dass Verantwortliche konkrete Empfänger personenbezogener Daten benennen müssen und nicht lediglich Empfängerkategorien, sofern diese Information verfügbar ist.

Für Unternehmen bedeutet das: Wer personenbezogene Daten an Dritte weitergibt, muss dokumentieren, an wen genau die Weitergabe erfolgt ist.

Ein pauschaler Verweis auf “Auftragsverarbeiter” genügt nicht.

Wer Daten durch externe Dienstleister verarbeiten lässt, muss auch deren Verarbeitung in der Auskunft abbilden - mehr dazu im Ratgeber Auftragsverarbeitungsvertrag.

 Wischen

Informationskategorie	Beispiel	Pflicht
Verarbeitungszwecke	Vertragserfüllung, Direktmarketing, Bonitätsprüfung	Ja
Kategorien personenbezogener Daten	Kontaktdaten, Zahlungsdaten, Nutzungsdaten	Ja
Konkrete Empfänger	Name des Steuerberaters, Hosting-Anbieters, Inkassodienstleisters	Ja, soweit verfügbar
Geplante Speicherdauer	10 Jahre (steuerrechtlich), 3 Jahre (Gewährleistung)	Ja, oder Kriterien
Herkunft der Daten	Direkt erhoben, von Auskunftei übermittelt, über Dritte	Ja, wenn nicht direkt erhoben
Automatisierte Entscheidungen	Kredit-Scoring, automatisierte Vorauswahl bei Bewerbungen	Ja, einschl. Logik und Tragweite

Was umfasst das Recht auf Kopie?

Neben der Auskunft über die Verarbeitungsumstände hat die betroffene Person Anspruch auf eine Kopie der tatsächlich verarbeiteten Daten.

Dieses Recht geht nach aktueller Rechtsprechung erheblich weiter als eine bloße Zusammenfassung.

Der Europäische Gerichtshof hat in seinem Urteil vom 26. Oktober 2023 (Rs. C-307/22) klargestellt, dass Betroffene Anspruch auf eine kostenlose Kopie ihrer personenbezogenen Daten haben und dieses Recht unabhängig davon besteht, ob der Betroffene die Informationen zu den in Erwägungsgrund 63 genannten Zwecken anfordert.

Was als “Kopie” gilt, hat der Europäische Gerichtshof in der Entscheidung zur Österreichischen Post konkretisiert: Die Kopie muss eine originalgetreue Reproduktion der Daten sein und alle Merkmale bewahren, die eine effektive Rechtsausübung ermöglichen.

In der Praxis kann das bedeuten, dass nicht nur extrahierte Datensätze herauszugeben sind, sondern unter Umständen ganze Dokumente, E-Mail-Korrespondenz, interne Vermerke oder Auszüge aus Datenbanken.

Für Unternehmen hat diese weite Auslegung erhebliche praktische Konsequenzen. Wer ein Auskunftsersuchen erhält, muss sämtliche Systeme durchsuchen, in denen personenbezogene Daten des Antragstellers gespeichert sein könnten - vom E-Mail-Postfach über Personalverwaltungssysteme bis hin zu Projektmanagement-Tools und Backup-Systemen.

 Wischen

Art der Daten	Muss herausgegeben werden?	Hinweis
Kundenstammdaten (Name, Adresse, E-Mail)	Ja	Kernbereich des Anspruchs
E-Mail-Korrespondenz mit dem Betroffenen	Ja	Auch interne E-Mails, die den Betroffenen betreffen
Interne Vermerke und Gesprächsprotokolle	Ja, mit Schwärzung von Drittdaten	Abwägung mit Rechten Dritter erforderlich
Scoring- und Profiling-Ergebnisse	Ja, einschließlich verwendeter Logik	Art. 15 Abs. 1 lit. h DSGVO
Vom Betroffenen selbst hochgeladene Dateien	Ja	Auch wenn der Betroffene diese Dateien bereits besitzt
Backup-Daten	Grundsätzlich ja	Unverhältnismäßiger Aufwand kein automatischer Ausschlussgrund

Welche Fristen gelten für die Beantwortung?

Die Frist für die Beantwortung eines Auskunftsersuchens beträgt einen Monat ab Eingang der Anfrage.

Diese Frist ist verbindlich und wird von Gerichten konsequent durchgesetzt.

Nach Art. 12 Abs. 3 Satz 1 DSGVO hat der Verantwortliche der betroffenen Person die Informationen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung zu stellen.

Eine Verlängerung um maximal zwei weitere Monate ist nur unter engen Voraussetzungen möglich: Die Komplexität oder die Anzahl der Anträge muss die Verlängerung rechtfertigen, und der Verantwortliche muss die betroffene Person innerhalb des ersten Monats über die Verlängerung und deren Gründe informieren.

Nach Art. 12 Abs. 3 Satz 2 DSGVO kann die Frist um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist, wobei der Verantwortliche die betroffene Person innerhalb eines Monats über die Fristverlängerung und deren Gründe informieren muss.

In der Praxis unterschätzen viele Unternehmen die Verbindlichkeit dieser Frist.

Wer die Monatsfrist verstreichen lässt, gerät automatisch in Verzug.

Das Oberlandesgericht Düsseldorf hat in seinem Beschluss vom 2. Dezember 2024 (Az. 16 W 93/23) entschieden, dass nach Ablauf der Monatsfrist gemäß Art. 12 Abs. 3 DSGVO automatisch Verzug eintritt, ohne dass eine Mahnung erforderlich ist.

Das bedeutet: Betroffene können unmittelbar nach Fristablauf gerichtlich gegen das Unternehmen vorgehen.

Eine vorherige Mahnung oder Nachfristsetzung ist nicht erforderlich.

Für die Fristberechnung gelten die allgemeinen Regeln der §§ 186 ff. BGB - der Tag des Eingangs wird nicht mitgezählt, die Frist endet mit Ablauf des gleichen Kalendertags im Folgemonat.



Fristverlängerung richtig kommunizieren

Wer die Zwei-Monats-Verlängerung in Anspruch nehmen will, muss innerhalb des ersten Monats aktiv werden. Eine bloße Nichtstun-Strategie führt zum Verzug. Die Mitteilung an die betroffene Person muss die konkreten Gründe für die Verlängerung benennen - ein pauschaler Verweis auf “hohen Bearbeitungsaufwand” genügt nach herrschender Meinung nicht.

Wie funktioniert die Identitätsprüfung?

Vor der Herausgabe personenbezogener Daten muss ein Unternehmen die Identität der anfragenden Person plausibel prüfen; zusätzliche Informationen darf es nach Art. 12 Abs. 6 DSGVO nur bei begründeten Zweifeln verlangen.

Eine Herausgabe an Unbefugte wäre selbst ein Datenschutzverstoß.

Gleichzeitig darf die Identitätsprüfung nicht als Hürde missbraucht werden, um Auskunftsersuchen zu verzögern oder abzuwehren.

Nach Art. 12 Abs. 6 DSGVO kann der Verantwortliche zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind, wenn er begründete Zweifel an deren Identität hat.

Der entscheidende Punkt: Zusätzliche Identifikation ist nur bei “begründeten Zweifeln” zulässig.

Kommt eine Anfrage über denselben Kanal, über den die Person auch sonst kommuniziert - etwa über die registrierte E-Mail-Adresse eines Kundenkontos -, bestehen in der Regel keine begründeten Zweifel.

Nach der Orientierungshilfe des Landesbeauftragten für Datenschutz Baden-Württemberg müssen Verantwortliche die Identifizierungsmethode risikoorientiert wählen; Ausweiskopien kommen nur in Einzelfällen in Betracht.

Verhältnismäßige Methoden der Identitätsprüfung sind etwa die Verifizierung über ein bestehendes Nutzerkonto, eine Rückfrage an die im System hinterlegte Kontaktadresse, die Nutzung des elektronischen Personalausweises oder ein Videoident-Verfahren.

Die Prüfungstiefe muss dem Schutzbedarf der Daten entsprechen: Bei sensiblen Gesundheitsdaten ist eine strengere Prüfung gerechtfertigt als bei einer einfachen Bestandskundenauskunft.

In welchem Format muss die Auskunft erteilt werden?

Die Auskunft muss in einer klaren, verständlichen Form erfolgen.

Rohdaten, interne Codes oder technische Bezeichnungen reichen nicht aus - der Verantwortliche muss die Daten so aufbereiten, dass die betroffene Person sie nachvollziehen kann.

Die Leitlinien 01/2022 des Europäischen Datenschutzausschusses stellen klar, dass Auskünfte nach der DSGVO in präziser, transparenter, verständlicher und leicht zugänglicher Form in klarer und einfacher Sprache zu erteilen sind. Werden personenbezogene Daten als Codes oder Rohdaten übermittelt, müssen sie je nach Umständen so erläutert oder aufbereitet werden, dass sie für die betroffene Person verständlich sind.

Stellt die betroffene Person den Antrag elektronisch - etwa per E-Mail -, muss die Auskunft ebenfalls in einem gängigen elektronischen Format erfolgen, sofern nichts anderes vereinbart wurde.

Ein Verweis auf eine telefonische Auskunft oder ein persönliches Gespräch genügt nicht, wenn die Person eine schriftliche Kopie verlangt.

In der Praxis empfiehlt sich ein strukturiertes Antwortschreiben, das den Informationskatalog nach Art. 15 Abs. 1 Punkt für Punkt abarbeitet und die Kopie der Daten als Anlage beifügt. So ist die Vollständigkeit der Auskunft nachweisbar, und das Unternehmen kann im Streitfall belegen, dass alle Pflichten erfüllt wurden.

Auch der Europäische Gerichtshof hat bestätigt, dass Betroffene keinen Grund für ihr Auskunftsersuchen angeben müssen - der Verantwortliche muss den guten Glauben des Antragstellers unterstellen.

Darf ein Entgelt verlangt werden?

Die erste Auskunft ist grundsätzlich kostenlos.

Das gilt auch dann, wenn die Zusammenstellung der Daten für das Unternehmen aufwändig ist.

Ein Entgelt darf nur in zwei eng begrenzten Fällen verlangt werden.

Nach Art. 12 Abs. 5 DSGVO kann der Verantwortliche bei offensichtlich unbegründeten oder exzessiven Anträgen ein angemessenes Entgelt verlangen oder sich weigern, aufgrund des Antrags tätig zu werden, wobei der Verantwortliche den Nachweis für den offensichtlich unbegründeten oder exzessiven Charakter des Antrags erbringen muss.

Nach Art. 15 Abs. 3 Satz 2 DSGVO kann der Verantwortliche für alle weiteren Kopien, die die betroffene Person beantragt, ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen.

In der Praxis spielt die Entgeltregelung eine untergeordnete Rolle.

Die Hürde für eine “offensichtlich unbegründete oder exzessive” Anfrage liegt hoch, und die Beweislast trägt das Unternehmen.

Wer ein Entgelt verlangt, ohne diese hohe Schwelle nachweisen zu können, riskiert eine Beschwerde bei der Aufsichtsbehörde.

Welche Folgen drohen bei Verstößen?

Verstöße gegen den Auskunftsanspruch können drei Konsequenzen nach sich ziehen: Bußgelder durch Aufsichtsbehörden, Schadensersatzansprüche betroffener Personen und aufsichtsbehördliche Verfahren infolge von Beschwerden.

Die Risiken sind in den letzten Jahren erheblich gestiegen.

Bußgelder durch Aufsichtsbehörden

Verstöße gegen den Auskunftsanspruch fallen unter die obere Bußgeldstufe der Datenschutz-Grundverordnung.

Die theoretischen Höchstgrenzen sind erheblich, und auch in der Praxis werden zunehmend empfindliche Beträge verhängt.

Nach Art. 83 Abs. 5 lit. b DSGVO können Verstöße gegen die Rechte der betroffenen Personen gemäß den Artikeln 12 bis 22 mit Geldbußen von bis zu 20 Millionen Euro oder bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs geahndet werden, je nachdem, welcher Betrag höher ist.

Diese Höchstgrenzen kommen in der Praxis selten zum Tragen, doch die tatsächlich verhängten Bußgelder steigen spürbar.

Ein häufiger Auslöser für Bußgeldverfahren ist eine Beschwerde bei der zuständigen Aufsichtsbehörde; daneben können auch Meldungen von Datenschutzverletzungen und behördliche Prüfungen zu Sanktionen führen.

Wenn ein Betroffener keine oder eine unvollständige Auskunft erhält, liegt die Hürde für eine Beschwerde niedrig - ein formloser Brief oder eine E-Mail an die Behörde genügt.

Im Juni 2025 verhängte der BfDI gegen die Vodafone GmbH Bußgelder in einer Gesamthöhe von 45 Millionen Euro. Davon entfielen 30 Millionen Euro auf Sicherheitsmängel im Authentifizierungsprozess bei der Nutzung des Onlineportals in Verbindung mit der Kundenhotline, was unter anderem den unbefugten Abruf von eSIM-Profilen ermöglichte.

Auch für mittlere Unternehmen sind die Summen relevant.

Die Hamburger Datenschutzaufsicht verhängte Ende 2024 ein Bußgeld von 900.000 Euro gegen ein Inkassounternehmen wegen systematischer Verstöße gegen Löschpflichten; in der zugrunde liegenden Schwerpunktprüfung standen neben Löschkonzepten auch Prozesse zur Erteilung von Datenauskünften im Fokus.

Schadensersatz nach der DSGVO

Neben Bußgeldern drohen individuelle Schadensersatzansprüche betroffener Personen. Die Rechtsprechung zu Art. 82 DSGVO hat sich in den letzten zwei Jahren dynamisch entwickelt, wobei der Bundesgerichtshof und das Bundesarbeitsgericht unterschiedliche Maßstäbe anlegen.

Der Europäische Gerichtshof hat in seinem Urteil vom 11. April 2024 (Rs. C-741/21) entschieden, dass Schadensersatz nach Art. 82 DSGVO drei kumulative Voraussetzungen erfordert: einen Verstoß gegen die Verordnung, einen materiellen oder immateriellen Schaden und einen Kausalzusammenhang zwischen Verstoß und Schaden.

Der Bundesgerichtshof hat in seinem Urteil vom 18. November 2024 (Az. VI ZR 10/24) klargestellt, dass bereits ein kurzfristiger, vorübergehender Kontrollverlust über personenbezogene Daten einen immateriellen Schaden nach Art. 82 DSGVO begründen kann, ohne dass zusätzliche negative Folgen nachgewiesen werden müssen.

Die Beträge, die deutsche Gerichte bei verspäteter Auskunft zusprechen, sind zwar einzeln überschaubar, summieren sich aber bei systematischen Defiziten schnell.

Das Arbeitsgericht Oldenburg hat in seinem Urteil vom 9. Februar 2023 (Az. 3 Ca 150/21) einem Arbeitnehmer 10.000 Euro immateriellen Schadensersatz zugesprochen, weil der Arbeitgeber das Auskunftsersuchen über 20 Monate hinweg nicht vollständig beantwortet hatte.

Das Bundesarbeitsgericht verfolgt allerdings eine engere Linie als der Bundesgerichtshof.

Das Bundesarbeitsgericht hat in seinem Urteil vom 20. Februar 2025 (Az. 8 AZR 61/24) entschieden, dass bloße Besorgnis über einen möglichen Datenmissbrauch ohne objektiv nachweisbare, konkrete Anhaltspunkte nicht für immateriellen Schadensersatz nach Art. 82 DSGVO genügt.

Die folgende Übersicht zeigt die unterschiedlichen Maßstäbe der obersten Gerichte:

 Wischen

Gericht	Engere Linie (BAG)	Weitere Linie (BGH)
Schwelle für Schaden	Konkrete Anhaltspunkte für Missbrauch erforderlich	Kurzfristiger Kontrollverlust genügt
Nachweis weiterer Folgen	Ja, bloße Besorgnis reicht nicht	Nein, keine zusätzlichen negativen Folgen nötig
Typischer Kontext	Arbeitnehmer-Auskunftsersuchen	Verbraucher-Klagen (z.B. Datenlecks)

Für Unternehmen bedeutet diese divergierende Rechtsprechung: Das Risiko hängt davon ab, vor welchem Gericht ein Fall verhandelt wird. Bei Arbeitnehmer-Auskunftsersuchen gelten tendenziell höhere Hürden, doch auch dort sind erhebliche Beträge bei langer Verzögerung möglich.

Automatischer Verzug und seine Folgen

Die praktisch wichtigste Konsequenz einer Fristversäumung ist der automatische Verzugseintritt ohne Mahnung.

Das OLG Düsseldorf entschied am 2. Dezember 2024 (Az. 16 W 93/23), dass Verantwortliche nach Ablauf der Monatsfrist automatisch in Verzug geraten.

Für Unternehmen bedeutet der automatische Verzug, dass ab dem Tag nach Fristablauf Verzugsschäden geltend gemacht werden können.

Es gibt keine Karenzzeit und keine Möglichkeit, den Verzug durch eine nachträgliche Reaktion rückwirkend zu heilen.

Wer die Monatsfrist verpasst, steht sofort im Risiko - auch wenn die Auskunft nur wenige Tage verspätet erfolgt.

Beschwerde bei der Aufsichtsbehörde

Die Beschwerde bei der zuständigen Datenschutzaufsichtsbehörde ist für betroffene Personen der niedrigschwelligste Weg, ihr Auskunftsrecht durchzusetzen.

Im Gegensatz zu einer Klage fallen keine Gerichtskosten an, und die Beschwerde kann formlos erfolgen.

Nach Art. 77 Abs. 1 DSGVO hat jede betroffene Person das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die Verordnung verstößt.

In der Praxis nutzen betroffene Personen häufig zunächst die Drohung mit einer Beschwerde, um Unternehmen zur Auskunft zu bewegen. Bleibt die Auskunft dennoch aus, folgt die formale Beschwerde.

Die Aufsichtsbehörde prüft den Sachverhalt, fordert das Unternehmen zur Stellungnahme auf und kann Maßnahmen anordnen - von einer Verwarnung bis hin zum Bußgeld.

Im Rahmen der koordinierten Prüfung 2024 haben europäische Datenschutzbehörden gezielt die Umsetzung des Auskunftsrechts bei über tausend Verantwortlichen überprüft und dabei systematische Defizite festgestellt.

Sonderfälle und häufige Fehler

Die Praxis zeigt wiederkehrende Problemkonstellationen, die den Auskunftsanspruch für Unternehmen besonders schwierig machen. Viele Fehler entstehen aus verbreiteten Fehlvorstellungen über den Umfang des Anspruchs oder aus fehlenden internen Prozessen.

Auskunftsersuchen von Arbeitnehmern

Auskunftsersuchen von Beschäftigten gehören zu den häufigsten und zugleich komplexesten Fallkonstellationen.

Arbeitnehmer haben das volle Auskunftsrecht nach der Datenschutz-Grundverordnung - unabhängig davon, ob das Arbeitsverhältnis noch besteht, bereits gekündigt wurde oder ein arbeitsrechtlicher Streit läuft.

Das Bundesarbeitsgericht hat mit Urteil vom 20. Juni 2024 (Az. 8 AZR 124/23) entschieden, dass Arbeitnehmer auch nach Beendigung des Arbeitsverhältnisses ihren Auskunftsanspruch nach Art. 15 DSGVO geltend machen können.

In der Praxis stehen HR-Abteilungen vor der Herausforderung, umfangreiche Datenbestände zu durchsuchen: Personalakte, E-Mail-Korrespondenz, Bewertungen, Zeiterfassung, Gehaltsabrechnungen und interne Kommunikation können personenbezogene Daten des Arbeitnehmers enthalten. Besonders aufwändig wird es, wenn das Beschäftigungsverhältnis über viele Jahre bestand.

Das Arbeitsgericht Heilbronn hat in seinem Urteil vom 27. März 2025 (Az. 8 Ca 123/24) entschieden, dass bei großen Datenmengen der Verantwortliche Präzisierung verlangen kann und dem Betroffenen bei unkonkretem Begehren keine allumfassende Auskunft, sondern nur allgemeine Angaben schuldet.

Das heißt: Auch wenn ein Unternehmen den Arbeitnehmer um Eingrenzung bittet, entbindet eine fehlende Antwort nicht von der Auskunftspflicht.

Die Bitte um Präzisierung kann jedoch die Frist angemessen verlängern.

Schwärzung von Drittdaten

Enthält eine Auskunft personenbezogene Daten Dritter - etwa Namen anderer Mitarbeiter in internen E-Mails, Bewertungen durch Vorgesetzte oder Hinweise von Kollegen -, stehen sich zwei Rechte gegenüber: das Auskunftsrecht des Antragstellers und der Datenschutz der dritten Personen.

Nach Art. 15 Abs. 4 DSGVO darf das Recht auf Erhalt einer Kopie die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.

Die Lösung liegt in der selektiven Schwärzung: Namen, Kontaktdaten oder identifizierende Merkmale Dritter werden unkenntlich gemacht, die personenbezogenen Daten des Antragstellers bleiben sichtbar.

In der Praxis erfordert das eine sorgfältige Einzelfallprüfung.

Geschäftsgeheimnisse können ebenfalls ein Grund für Schwärzungen sein, doch die Hürde liegt hoch: Das Unternehmen muss darlegen, warum die Offenlegung ein konkretes Geschäftsgeheimnis gefährden würde.

Wichtig: Die Schwärzung muss dokumentiert werden.

Aufsichtsbehörden und Gerichte prüfen, ob die Abwägung zwischen dem Auskunftsrecht und den Rechten Dritter nachvollziehbar vorgenommen wurde.

Ein pauschaler Verweis auf “Drittschutz” ohne Einzelfallprüfung wird nicht akzeptiert.

Wiederholte und missbräuchliche Anfragen

Eine der häufigsten Fragen in der Praxis lautet: Muss ein Unternehmen dasselbe Auskunftsersuchen beantworten, wenn es zum wiederholten Mal gestellt wird? Die Antwort ist differenziert.

Nach Art. 12 Abs. 5 DSGVO kann der Verantwortliche die Auskunft nur verweigern, wenn der Antrag offenkundig unbegründet oder exzessiv ist, wobei die Beweislast für den exzessiven Charakter beim Unternehmen liegt.

Nach Art. 12 Abs. 5 Satz 2 DSGVO kann der Verantwortliche bei offensichtlich unbegründeten oder exzessiven Anträgen, insbesondere im Fall von häufiger Wiederholung, ein angemessenes Entgelt verlangen oder sich weigern, aufgrund des Antrags tätig zu werden.

Die Beweislast für den “exzessiven” Charakter liegt vollständig beim Unternehmen.

Ein Antrag gilt nicht automatisch als exzessiv, nur weil er wiederholt gestellt wird.

Es müssen zusätzliche Umstände hinzukommen - etwa eine erkennbar schikanöse Absicht oder eine Häufigkeit, die den normalen Geschäftsbetrieb erheblich beeinträchtigt.

In der Praxis gelingt dieser Nachweis selten.

Auskunftsersuchen können auch zur Vorbereitung von Schadensersatzforderungen genutzt werden; belastbare Primärstatistiken zu einem flächendeckenden Wachstum solcher Fälle liegen jedoch nicht vor.

Auch diese Anfragen können nicht pauschal als missbräuchlich abgelehnt werden.

Unternehmen sollten sie stattdessen fristgerecht und vollständig beantworten - und damit die Grundlage für Schadensersatzforderungen entziehen.

Auskunft gegenüber Behörden

Auch öffentliche Stellen unterliegen dem Auskunftsanspruch.

Besonderheiten bestehen jedoch beim Rechtsweg: Klagen gegen Bundesbehörden müssen vor den Verwaltungsgerichten erhoben werden, für Auskunftsklagen gegen Finanzämter gelten die Fristen der Finanzgerichtsordnung.

Der Bundesfinanzhof hat in seinem Urteil vom 6. Mai 2025 (Az. IX R 2/23) entschieden, dass Auskunftsklagen gegen Finanzbehörden als Verpflichtungsklagen nach § 40 FGO zu erheben sind und den Fristen der §§ 47, 55 FGO unterliegen.

Für Unternehmen ist dieser Sonderfall relevant, wenn sie selbst Betroffene sind - etwa wenn ein Finanzamt personenbezogene Daten des Geschäftsführers oder des Unternehmens verarbeitet und die Auskunft darüber verweigert.

Verzicht auf den Auskunftsanspruch

Der Auskunftsanspruch ist ein disponibles Individualrecht nach Art. 15 DSGVO.

Ein genereller Vorabverzicht - etwa durch eine Klausel im Arbeitsvertrag oder in Allgemeinen Geschäftsbedingungen - ist unwirksam.

Unter engen Voraussetzungen ist jedoch ein nachträglicher Verzicht möglich.

Das Oberverwaltungsgericht Saarland hat in seiner Entscheidung vom 13. Mai 2025 (Az. 2 A 165/24) festgestellt, dass Betroffene den Auskunftsanspruch im Rahmen eines arbeitsgerichtlichen Vergleichs wirksam verzichten können, sofern der Verzicht explizit, dokumentiert und auf vergangene Verarbeitungen beschränkt ist.

Das bedeutet: In einem Vergleich nach Beendigung eines Arbeitsverhältnisses kann der Auskunftsanspruch einvernehmlich ausgeschlossen werden - allerdings nur für bereits erfolgte Verarbeitungen und nur, wenn der Verzicht klar und eindeutig formuliert ist.

Für zukünftige Datenverarbeitungen bleibt der Anspruch bestehen.

Die sechs häufigsten Fehlvorstellungen

Viele Verstöße gegen den Auskunftsanspruch beruhen nicht auf böser Absicht, sondern auf verbreiteten Fehlvorstellungen. Die folgenden sechs Irrtümer begegnen in der Praxis besonders häufig.

“Wir haben genug Zeit.” Die Monatsfrist nach Art. 12 Abs. 3 DSGVO beginnt am Tag nach dem Eingang und ist verbindlich.

Wer die Monatsfrist verstreichen lässt, kann nach Art. 12 Abs. 3 DSGVO und § 286 Abs. 2 BGB ohne Mahnung in Verzug geraten.
Eine Fristverlängerung muss aktiv kommuniziert und begründet werden.
“Diese Anfrage ist offensichtlich unbegründet, also antworten wir nicht.” Die Beweislast für den unbegründeten Charakter liegt beim Unternehmen. Pauschale Behauptungen genügen nicht. Im Zweifel ist die Auskunft zu erteilen.
“Die erste Auskunft ist kostenlos, aber für den Aufwand stellen wir etwas in Rechnung.” Ein Entgelt ist nur bei exzessiven oder unbegründeten Anfragen zulässig. Die Zusammenstellung der Daten ist Sache des Verantwortlichen - unabhängig vom Aufwand.
“Wir verlangen grundsätzlich eine Ausweiskopie zur Identifikation.” Eine pauschale Ausweiskopie-Anforderung ist unverhältnismäßig und kann selbst einen Datenschutzverstoß darstellen. Identitätsprüfung ist nur bei begründeten Zweifeln zulässig.
“Der Betroffene weiß doch, welche Daten wir haben.” Ob die betroffene Person die Daten bereits kennt, ist irrelevant. Das Auskunftsrecht besteht unabhängig von der Kenntnis des Betroffenen.
“Bei verspäteter Auskunft passiert nichts Ernstes.” Gerichte sprechen zunehmend Schadensersatz bei verspäteter Auskunft zu.
Zusätzlich drohen Bußgelder und aufsichtsbehördliche Verfahren.

Praxis-Tipps: So beantworten Sie ein Auskunftsersuchen richtig

Wer auf ein Auskunftsersuchen vorbereitet ist, spart Zeit, vermeidet kostspielige Fehler und nimmt Schadensersatzforderungen von Anfang an die Grundlage. Die folgende Checkliste fasst die wichtigsten Schritte zusammen.

Eingang dokumentieren und Frist notieren. Halten Sie den Tag des Eingangs schriftlich fest. Die Monatsfrist beginnt am folgenden Tag zu laufen. Tragen Sie das Fristende in einen gemeinsamen Kalender ein, auf den alle Beteiligten Zugriff haben.
Identität prüfen, aber verhältnismäßig. Prüfen Sie, ob begründete Zweifel an der Identität bestehen. Kommt die Anfrage über einen bekannten Kanal, genügt eine einfache Rückbestätigung. Fordern Sie eine Ausweiskopie nur an, wenn die Anfrage über einen unbekannten Kanal kommt und sensible Daten betroffen sind.
Alle Systeme durchsuchen. Personenbezogene Daten können in verschiedenen Systemen gespeichert sein: E-Mail, Personalverwaltung, Buchhaltung, Projektmanagement-Tools, Kundendatenbanken, Backup-Systeme. Erstellen Sie vorab eine Liste aller relevanten Systeme.
Informationskatalog vollständig abarbeiten. Stellen Sie sicher, dass alle Informationen nach Art. 15 Abs. 1 abgedeckt sind: Verarbeitungszwecke, Datenkategorien, konkrete Empfänger, Speicherdauer, Betroffenenrechte, Beschwerderecht, Herkunft der Daten und automatisierte Entscheidungsfindung.
Kopie bereitstellen, nicht nur zusammenfassen. Die Kopie muss eine originalgetreue Reproduktion der verarbeiteten Daten sein. Eine bloße Zusammenfassung genügt nach aktueller Rechtsprechung nicht.
Drittdaten sorgfältig schwärzen. Identifizieren Sie personenbezogene Daten Dritter und schwärzen Sie diese. Dokumentieren Sie die Abwägung, warum welche Stellen geschwärzt wurden.
Antwort schriftlich und nachweisbar übermitteln. Versenden Sie die Auskunft in dem Format, das die betroffene Person angefragt hat. Dokumentieren Sie den Versand mit Zeitstempel.
Fristverlängerung nur mit Begründung. Wenn die Auskunft innerhalb eines Monats nicht möglich ist, informieren Sie die betroffene Person innerhalb der Frist über die Verlängerung und benennen Sie die konkreten Gründe.
Prozess für die Zukunft standardisieren. Legen Sie ein internes Verfahren fest: Wer nimmt Auskunftsersuchen entgegen? Wer koordiniert die Datenrecherche? Wer prüft und versendet die Antwort? Ein dokumentierter Prozess verkürzt die Bearbeitungszeit bei zukünftigen Anfragen erheblich.

 Wischen

Schritt	Zeitrahmen	Verantwortlich
Eingang dokumentieren, Frist notieren	Tag 1	Empfänger des Ersuchens
Identität prüfen	Tag 1-3	Datenschutzverantwortlicher
Systeme durchsuchen, Daten zusammenstellen	Tag 3-14	Fachabteilungen + IT
Drittdaten schwärzen, Abwägung dokumentieren	Tag 14-21	Datenschutzverantwortlicher
Antwort erstellen, prüfen, versenden	Tag 21-28	Datenschutzverantwortlicher + Geschäftsführung
Falls nötig: Fristverlängerung kommunizieren	Vor Tag 30	Datenschutzverantwortlicher

Wer sich bei der Beantwortung eines Auskunftsersuchens unsicher ist - etwa weil es um umfangreiche Datenbestände, Arbeitnehmeranfragen oder den Verdacht missbräuchlicher Absichten geht -, sollte frühzeitig anwaltlichen Rat einholen. Eine datenschutzrechtliche Beratung hilft, Fehler zu vermeiden und die eigene Position abzusichern.

Fazit

Das Recht auf Auskunft gehört zu den am häufigsten geltend gemachten Betroffenenrechten und ist regelmäßig Gegenstand von Beschwerden und behördlichen Maßnahmen.

Die Rechtsprechung hat den Umfang des Anspruchs erheblich erweitert, die Fristen sind eng und der automatische Verzugseintritt nimmt Unternehmen jede Pufferzeit. Gleichzeitig steigen die Schadensersatzrisiken und die Aktivität der Aufsichtsbehörden.

Wer einen standardisierten Prozess für Auskunftsersuchen etabliert, die Fristen zuverlässig überwacht und die Mitarbeiter in den relevanten Abteilungen sensibilisiert, reduziert das Risiko erheblich. Die Investition in klare interne Abläufe lohnt sich - nicht nur wegen der drohenden Konsequenzen, sondern weil ein sauber beantwortetes Auskunftsersuchen den häufigsten Auslöser für Beschwerden und Schadensersatzforderungen von vornherein beseitigt.

Wer frühzeitig rechtlichen Rat einholt, vermeidet typische Fehler und verbessert die eigene Ausgangslage.

Antworten auf einen Blick

Häufige Fragen

Die häufigsten Fragen zum Thema, kompakt beantwortet. Für die vollständige Einordnung bleiben die Abschnitte oben maßgeblich.

Was ist der Auskunftsanspruch nach der DSGVO?

Der Auskunftsanspruch nach Art. 15 DSGVO gibt jeder natürlichen Person das Recht, von einem Verantwortlichen zu erfahren, ob und welche personenbezogenen Daten über sie verarbeitet werden. Der Anspruch steht Kunden, Mitarbeitern, Bewerbern, Website-Besuchern und Geschäftspartnern zu, ist an keine Voraussetzungen geknüpft und muss nicht begründet werden. Neben der Bestätigung umfasst er einen detaillierten Informationskatalog: Verarbeitungszwecke, Datenkategorien, konkrete Empfänger, Speicherdauer, Betroffenenrechte und automatisierte Entscheidungsfindung. Der BGH hat am 5. März 2024 klargestellt, dass der Umfang nicht auf biografisch bedeutsame Daten beschränkt ist, sondern alle verarbeiteten personenbezogenen Daten umfasst.

Welche Frist gilt für die Beantwortung eines Auskunftsersuchens?

Die Frist beträgt einen Monat ab Eingang der Anfrage gemäß Art. 12 Abs. 3 DSGVO. Eine Verlängerung um maximal zwei weitere Monate ist nur bei hoher Komplexität oder vielen gleichzeitigen Anträgen zulässig und muss innerhalb des ersten Monats mitgeteilt werden. Das OLG Düsseldorf hat am 2. Dezember 2024 entschieden, dass nach Fristablauf automatisch Verzug eintritt, ohne dass eine Mahnung erforderlich ist. Betroffene können unmittelbar nach Fristablauf gerichtlich vorgehen. Für die Fristberechnung gelten die §§ 186 ff. BGB: Der Eingangstag wird nicht mitgezählt, die Frist endet mit Ablauf des gleichen Kalendertags im Folgemonat.

Welche Daten müssen bei einem Auskunftsersuchen herausgegeben werden?

Der Verantwortliche muss über sämtliche verarbeiteten personenbezogenen Daten Auskunft erteilen, einschließlich Verarbeitungszwecke, Datenkategorien, konkrete Empfänger, Speicherdauer, Herkunft der Daten und automatisierte Entscheidungsfindung. Der EuGH hat am 12. Januar 2023 (Rs. C-154/21) entschieden, dass konkrete Empfänger benannt werden müssen, nicht nur Empfängerkategorien. Zusätzlich besteht ein Recht auf eine originalgetreue Kopie der verarbeiteten Daten, das nach dem EuGH-Urteil vom 4. Mai 2023 ganze Dokumente, E-Mail-Korrespondenz, interne Vermerke und Datenbankauszüge umfassen kann. Eine bloße Zusammenfassung genügt nach aktueller Rechtsprechung nicht mehr.

Was umfasst das Recht auf Kopie nach Art. 15 Abs. 3 DSGVO?

Das Recht auf Kopie umfasst eine originalgetreue Reproduktion aller verarbeiteten personenbezogenen Daten. Der EuGH hat am 4. Mai 2023 (Rs. C-487/21, Österreichische Post) entschieden, dass die Kopie alle Merkmale bewahren muss, die eine effektive Rechtsausübung ermöglichen. In der Praxis können dazu Kundenstammdaten, E-Mail-Korrespondenz, interne Vermerke, Scoring-Ergebnisse und sogar Backup-Daten gehören. Der EuGH hat am 26. Oktober 2023 (Rs. C-307/22) klargestellt, dass die erste Kopie kostenlos ist. Bei Drittdaten in Dokumenten müssen die Daten der dritten Personen nach Art. 15 Abs. 4 DSGVO geschwärzt werden, um deren Rechte zu schützen.

Welche Bußgelder drohen bei Verstößen gegen den Auskunftsanspruch?

Verstöße gegen den Auskunftsanspruch fallen unter die obere Bußgeldstufe: bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes nach Art. 83 Abs. 5 lit. b DSGVO. Im Juni 2025 verhängte die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) gegen die Vodafone GmbH Bußgelder in Höhe von insgesamt 45 Millionen Euro; davon entfielen 30 Millionen Euro auf Sicherheitsmängel beim Authentifizierungsprozess beim kombinierten Einsatz des Onlineportals "MeinVodafone" und der Vodafone-Hotline. Der häufigste Auslöser für Bußgeldverfahren ist eine Beschwerde bei der Aufsichtsbehörde, die formlos per E-Mail eingereicht werden kann. Die Fallzahlen steigen: Der BfDI verzeichnete 2024 insgesamt 8.670 Beschwerden und Anfragen; allein die Beschwerden nach Art. 77 DSGVO stiegen von 2.513 im Jahr 2023 auf 3.313 im Jahr 2024.

Wann besteht ein Schadensersatzanspruch bei verspäteter Auskunft?

Schadensersatz nach Art. 82 DSGVO erfordert drei kumulative Voraussetzungen: einen DSGVO-Verstoß, einen materiellen oder immateriellen Schaden und einen Kausalzusammenhang. Der BGH hat am 18. November 2024 (Az. VI ZR 10/24) entschieden, dass bereits ein kurzfristiger Kontrollverlust über personenbezogene Daten einen immateriellen Schaden begründen kann. Das Arbeitsgericht Oldenburg hat einem Arbeitnehmer 10.000 Euro Schadensersatz zugesprochen, weil die Auskunft über 20 Monate ausstand. Das Bundesarbeitsgericht verfolgt allerdings eine engere Linie: Bloße Besorgnis ohne konkrete Anhaltspunkte genügt im Arbeitsrecht nicht. Entscheidend ist, vor welchem Gericht der Fall verhandelt wird.

Wie funktioniert die Identitätsprüfung beim Auskunftsersuchen?

Nach Art. 12 Abs. 6 DSGVO darf der Verantwortliche zusätzliche Identifikation nur bei begründeten Zweifeln verlangen. Kommt eine Anfrage über den bekannten Kommunikationskanal, etwa die registrierte E-Mail-Adresse eines Kundenkontos, bestehen in der Regel keine begründeten Zweifel. Das LfDI Baden-Württemberg rät, Identitätsprüfungen risikobasiert und verhältnismäßig durchzuführen; Ausweiskopien kommen nur in Einzelfällen in Betracht und unterliegen strengen Sicherheits- und Zweckbindungsanforderungen. Verhältnismäßige Methoden sind Verifizierung über ein Nutzerkonto, Rückfrage an die hinterlegte Kontaktadresse oder ein Videoident-Verfahren. Die Prüfungstiefe muss dem Schutzbedarf der Daten entsprechen.

Was gilt bei Auskunftsersuchen von Arbeitnehmern?

Arbeitnehmer haben das volle Auskunftsrecht nach Art. 15 DSGVO, unabhängig davon, ob das Arbeitsverhältnis noch besteht oder bereits gekündigt wurde. Auch nach Beendigung des Arbeitsverhältnisses bleibt das Auskunftsrecht nach Art. 15 DSGVO bestehen. Bei gerichtlicher Geltendmachung muss der Antrag auf eine Datenkopie hinreichend bestimmt sein. HR-Abteilungen müssen umfangreiche Datenbestände durchsuchen: Personalakte, E-Mail-Korrespondenz, Bewertungen, Zeiterfassung und Gehaltsabrechnungen. Bei großen Datenbeständen kann eine Präzisierung verlangt werden; bleibt das Begehren unkonkret, schuldet der Verantwortliche keine allumfassende Suche, muss aber die allgemeinen Angaben nach Art. 15 DSGVO weiterhin erteilen. Drittdaten in internen Dokumenten sind sorgfältig zu schwärzen.

Muss ein wiederholtes Auskunftsersuchen beantwortet werden?

Ja, wiederholte Auskunftsersuchen sind grundsätzlich zulässig. Der BGH hat am 5. März 2024 (Az. VI ZR 330/21) klargestellt, dass der Verantwortliche nicht allein aufgrund der Wiederholung die Auskunft verweigern darf. Nur bei offensichtlich unbegründeten oder exzessiven Anträgen darf nach Art. 12 Abs. 5 DSGVO ein angemessenes Entgelt verlangt oder die Bearbeitung abgelehnt werden. Die Beweislast für den exzessiven Charakter liegt vollständig beim Unternehmen. Zusätzliche Umstände wie erkennbar schikanöse Absicht oder eine Häufigkeit, die den Geschäftsbetrieb erheblich beeinträchtigt, müssen nachgewiesen werden. In der Praxis gelingt dieser Nachweis selten.

Darf für die Auskunft ein Entgelt verlangt werden?

Die erste Auskunft ist grundsätzlich kostenlos, unabhängig vom Aufwand der Zusammenstellung. Ein Entgelt ist nach Art. 12 Abs. 5 DSGVO nur bei offensichtlich unbegründeten oder exzessiven Anträgen zulässig. Für weitere Kopien kann nach Art. 15 Abs. 3 Satz 2 DSGVO ein angemessenes Entgelt auf Basis der Verwaltungskosten verlangt werden. Die Hürde für eine exzessive Anfrage liegt hoch und die Beweislast trägt das Unternehmen. Der EuGH hat am 26. Oktober 2023 (Rs. C-307/22) bestätigt, dass das Recht auf eine kostenlose Kopie unabhängig davon besteht, zu welchem Zweck der Betroffene die Informationen anfordert. Wer unberechtigt Entgelt verlangt, riskiert eine Beschwerde bei der Aufsichtsbehörde.

Noch offene Fragen?

Wir prüfen Ihre Auskunftspflichten und helfen bei der fristgerechten Beantwortung.

Jetzt Beratung anfragen

Beliebte Ratgeber

Zwei Fäuste prallen von beiden Seiten gegen ein schwebendes gläsernes Copyright-Zeichen, das an den Kontaktstellen bricht

Markenrecht

Auskunftsanspruch DSGVO 2026

Das Wichtigste in Kürze

Individuelle Prüfung

Was bedeutet der Auskunftsanspruch nach der DSGVO?

Auskunftsanspruch - kurz erklärt

Abgrenzung zu verwandten Betroffenenrechten

Warum der Auskunftsanspruch 2026 besonders relevant ist

Welche Pflichten entstehen bei einem Auskunftsersuchen?

Welche Informationen müssen erteilt werden?

Was umfasst das Recht auf Kopie?

Welche Fristen gelten für die Beantwortung?

Fristverlängerung richtig kommunizieren

Wie funktioniert die Identitätsprüfung?

In welchem Format muss die Auskunft erteilt werden?

Darf ein Entgelt verlangt werden?

Welche Folgen drohen bei Verstößen?

Bußgelder durch Aufsichtsbehörden

Schadensersatz nach der DSGVO

Automatischer Verzug und seine Folgen

Beschwerde bei der Aufsichtsbehörde

Sonderfälle und häufige Fehler

Auskunftsersuchen von Arbeitnehmern

Schwärzung von Drittdaten

Wiederholte und missbräuchliche Anfragen

Auskunft gegenüber Behörden

Verzicht auf den Auskunftsanspruch

Die sechs häufigsten Fehlvorstellungen

Praxis-Tipps: So beantworten Sie ein Auskunftsersuchen richtig

Fazit

Häufige Fragen

Was ist der Auskunftsanspruch nach der DSGVO?

Welche Frist gilt für die Beantwortung eines Auskunftsersuchens?

Welche Daten müssen bei einem Auskunftsersuchen herausgegeben werden?

Was umfasst das Recht auf Kopie nach Art. 15 Abs. 3 DSGVO?

Welche Bußgelder drohen bei Verstößen gegen den Auskunftsanspruch?

Wann besteht ein Schadensersatzanspruch bei verspäteter Auskunft?

Wie funktioniert die Identitätsprüfung beim Auskunftsersuchen?

Was gilt bei Auskunftsersuchen von Arbeitnehmern?

Muss ein wiederholtes Auskunftsersuchen beantwortet werden?

Darf für die Auskunft ein Entgelt verlangt werden?

Bösgläubige Markenanmeldung abwehren

E-Commerce Compliance für Online-Händler

Gesellschaftsvertrag GmbH richtig gestalten

GPSR Compliance für Online-Händler

Dr. Sener Dincer

Kostenlos beraten