Auskunftsanfrage nach Art. 15 DSGVO beantworten: Frist & Vorlage

Inhalt in Kürze

• Frist: ein Monat ab Eingang (Art. 12 Abs. 3 DSGVO), verlängerbar um maximal zwei Monate bei nachweisbarer Komplexität.
• Umfang: Bestätigung + Kopie aller Daten + acht Pflichtinformationen (Art. 15 Abs. 1 und 3) — die erste Kopie ist kostenlos.
• Grenzen: Rechte Dritter, Geschäftsgeheimnisse, exzessive Anträge — dann schwärzen oder teilweise ablehnen, nie pauschal verweigern.
• Größtes Risiko: Frist verpassen oder unvollständig antworten — das kostet Schadensersatz und ruft den HmbBfDI auf den Plan.

Stand: Juni 2026 · Autor: Nils Oehmichen · Lesezeit: 8 Minuten

Eine E-Mail trifft ein: „Bitte teilen Sie mir gemäß Art. 15 DSGVO alle Daten mit, die Sie über mich gespeichert haben.” Ein Ex-Mitarbeiter, ein verärgerter Kunde, manchmal ein spezialisierter Anwalt. Ab diesem Moment läuft die Uhr — und die meisten Fehler passieren in den ersten 48 Stunden, weil niemand weiß, was genau jetzt zu tun ist.

Dieser Artikel zeigt Ihnen die Frist, den exakten Umfang der Auskunft, wie Sie die Identität prüfen, wo die Grenzen liegen — und gibt Ihnen eine Antwort-Vorlage, die Sie übernehmen können.

Welche Frist gilt für eine Auskunftsanfrage nach Art. 15 DSGVO?

Die Grundregel steht in Art. 12 Abs. 3 DSGVO: Sie müssen unverzüglich, spätestens aber innerhalb eines Monats ab Eingang der Anfrage antworten. „Unverzüglich” heißt: ohne schuldhaftes Zögern — der Monat ist die Obergrenze, nicht die Wunschfrist.

Die Frist startet mit dem Eingang der Anfrage, nicht erst, wenn jemand sie liest. Eine E-Mail vom Freitagabend läuft ab Samstag. Deshalb ist der erste Schritt immer: Eingangsdatum notieren und die Antwortfrist sofort im Kalender markieren.

Reicht ein Monat nicht, erlaubt Art. 12 Abs. 3 eine einmalige Verlängerung um maximal zwei weitere Monate — aber nur „unter Berücksichtigung der Komplexität und der Anzahl der Anträge”. Personalengpass oder Urlaub des Datenschutzbeauftragten zählen nicht. Wichtig: Die Verlängerungs-Mitteilung muss innerhalb des ersten Monats beim Antragsteller sein, sonst gilt die Frist als versäumt.

Was muss die Auskunft konkret enthalten?

Hier liegt der zweite große Stolperstein: Viele Unternehmen schicken nur einen Datensatz und meinen, die Sache sei erledigt. Art. 15 DSGVO verlangt aber drei Dinge zusammen.

1. Die Bestätigung — Sie müssen mitteilen, ob überhaupt personenbezogene Daten der Person verarbeitet werden (Negativ-Auskunft inklusive).

2. Eine Kopie der Daten — nach Art. 15 Abs. 3 DSGVO eine Kopie aller verarbeiteten personenbezogenen Daten. Der Europäische Gerichtshof legt den Kopie-Begriff weit aus: Er umfasst nicht nur eine Datenliste, sondern auch Auszüge aus Dokumenten und Schriftstücken, soweit das zum Verständnis nötig ist. Interne Vermerke und Bewertungen muss man nach BGH-Rechtsprechung dagegen nicht herausgeben.

3. Die acht Pflichtinformationen aus Art. 15 Abs. 1 — und genau die werden oft vergessen:

• Verarbeitungszwecke — wofür verarbeiten Sie die Daten?
• Kategorien personenbezogener Daten — z. B. Stammdaten, Vertragsdaten, Kommunikationsverlauf.
• Empfänger oder Kategorien von Empfängern — an wen geben Sie Daten weiter, auch Auftragsverarbeiter?
• Geplante Speicherdauer oder die Kriterien dafür.
• Betroffenenrechte — Berichtigung, Löschung, Einschränkung, Widerspruch.
• Beschwerderecht bei der Aufsichtsbehörde (in Hamburg: HmbBfDI).
• Herkunft der Daten, wenn Sie sie nicht direkt beim Betroffenen erhoben haben.
• Automatisierte Entscheidungsfindung inkl. Profiling — falls vorhanden, mit Logik und Tragweite.

Die erste Kopie ist kostenlos (Art. 15 Abs. 3 S. 2 DSGVO). Ein Auskunftsentgelt dürfen Sie nur bei „offenkundig unbegründeten oder exzessiven” Anträgen verlangen — und das ist eine hohe Hürde, keine Standardgebühr.

Wie prüfe ich die Identität des Antragstellers?

Sie müssen sicher sein, dass die Auskunft an die richtige Person geht — denn eine Auskunft an den Falschen ist selbst eine Datenpanne. Art. 12 Abs. 6 DSGVO erlaubt Ihnen, bei begründeten Zweifeln zusätzliche Informationen zur Identitätsbestätigung anzufordern.

Entscheidend ist die Verhältnismäßigkeit. Schreibt ein langjähriger Kunde von seiner hinterlegten E-Mail-Adresse, ist die Identität oft schon belegt. Kommt die Anfrage von einer unbekannten Adresse, dürfen Sie eine Rückfrage stellen oder einen Abgleich mit Bestandsdaten verlangen.

Wo liegen die Grenzen des Auskunftsanspruchs?

Der Anspruch ist weit, aber nicht grenzenlos. Vier Konstellationen erlauben eine Begrenzung — wichtig: nie pauschal, immer begründet und dokumentiert.

• Rechte und Freiheiten Dritter (Art. 15 Abs. 4 DSGVO). Enthält ein E-Mail-Verlauf Daten anderer Personen, schwärzen Sie diese Stellen, statt die Auskunft komplett zu verweigern.
• Geschäftsgeheimnisse und geistiges Eigentum. Geschützte Betriebsinterna müssen Sie nicht offenlegen — der Anspruch bezieht sich auf personenbezogene Daten, nicht auf Ihre Kalkulation.
• Offenkundig unbegründete oder exzessive Anträge (Art. 12 Abs. 5 DSGVO). Bei klarem Missbrauch — etwa identische Anfragen im Wochentakt — dürfen Sie ein Entgelt verlangen oder ablehnen. Die Beweislast liegt bei Ihnen.
• Berufs- und Amtsgeheimnisse. Soweit gesetzliche Geheimhaltungspflichten greifen, gehen diese vor.

In all diesen Fällen gilt: Sie geben den unbedenklichen Teil heraus und begründen, warum Sie etwas zurückhalten. Eine vollständige Verweigerung mit Verweis auf „Aufwand” oder „interne Daten” hält vor der Aufsichtsbehörde nicht stand.

Was kostet eine falsche Antwort? Das Bußgeld- und Haftungsrisiko

Auskunftsanfragen sind beliebt — weil sie Druck erzeugen. Gerade nach Kündigungen wird Art. 15 strategisch eingesetzt. Und die Gerichte ziehen nach: Das Arbeitsgericht Düsseldorf sprach einem Kläger 10.000 Euro Schadensersatz zu, weil sein Arbeitgeber die Auskunft verspätet und unvollständig erteilt hatte (Dr. Datenschutz).

Die Rechtsprechung ist hier uneinheitlich — andere Gerichte haben Schadensersatz bei bloßer Verspätung abgelehnt, weil „genervt sein” allein keinen ersatzfähigen Schaden begründet. Aber das Risiko bleibt: Schadensersatz nach Art. 82 DSGVO, Bußgeld nach Art. 83 und eine Beschwerde, die beim HmbBfDI landet. Bei einem GmbH-Geschäftsführer mit 15 Mitarbeitern ist das schnell existenziell.

Auskunftsanfrage Schritt für Schritt beantworten

So bearbeiten Sie eine DSAR strukturiert von Eingang bis Dokumentation:

1. Schritt 1 — Eingang und Frist erfassen: Eingangsdatum notieren, Antwortfrist (Eingang + 1 Monat) im Kalender markieren, internen Verantwortlichen benennen.
2. Schritt 2 — Identität prüfen: Verhältnismäßig verifizieren (Art. 12 Abs. 6). Bei Zweifeln gezielt nachfragen, ohne unnötige Hürden aufzubauen.
3. Schritt 3 — Daten in allen Systemen suchen: CRM, E-Mail, Buchhaltung, Backups, Fileserver, Microsoft 365, Bewerber-Tools. Kein System vergessen — eine unvollständige Auskunft ist so riskant wie keine.
4. Schritt 4 — Drittrechte und Grenzen prüfen: Daten Dritter schwärzen, Geschäftsgeheimnisse ausnehmen, Begründung für jede Begrenzung festhalten.
5. Schritt 5 — Strukturierte Antwort erstellen: Bestätigung, Datenkopie und alle acht Pflichtinformationen in einem klar gegliederten Schreiben zusammenführen.
6. Schritt 6 — Fristgerecht zustellen: In Textform (E-Mail genügt), in derselben Sprache wie die Anfrage, vor Ablauf der Monatsfrist.
7. Schritt 7 — Dokumentieren: Anfrage, Identitätsprüfung, durchsuchte Systeme, Antwort und Versanddatum revisionssicher ablegen. Diese Dokumentation ist Ihr Nachweis gegenüber dem HmbBfDI.

Antwort-Vorlage: Die Bausteine für Ihr Schreiben

Eine vollständige Auskunft folgt immer derselben Struktur. Diese Bausteine können Sie als Checkliste für Ihr Antwortschreiben übernehmen:

Sehr geehrte/r [Name],

vielen Dank für Ihre Anfrage vom [Datum] nach Art. 15 DSGVO.

Wir bestätigen, dass wir personenbezogene Daten über Sie verarbeiten.
Eine vollständige Kopie dieser Daten finden Sie in der Anlage; Daten
Dritter haben wir aus Schutzgründen geschwärzt.

Zu den Pflichtinformationen nach Art. 15 Abs. 1 DSGVO:
- Zwecke der Verarbeitung: [...]
- Kategorien der Daten: [...]
- Empfänger / Empfängerkategorien: [...]
- Geplante Speicherdauer: [...]
- Ihre Rechte: Berichtigung, Löschung, Einschränkung, Widerspruch
- Beschwerderecht beim HmbBfDI, Ludwig-Erhard-Straße 22, Hamburg
- Herkunft der Daten: [...]
- Automatisierte Entscheidungen: [keine / Beschreibung]

Bei Rückfragen erreichen Sie uns unter [Kontakt].

Mit freundlichen Grüßen
[Verantwortlicher]

Aus der Praxis

Innerhalb von 24 Stunden war der Fall geklärt. Der Mandant konnte datenschutzkonform reagieren, ohne dass die Auskunft zur Stolperfalle wurde. Genau so soll Arbeit mit einem Datenschutzbeauftragten stattfinden — strukturiert, fristgerecht und ohne Panik.

Nils OehmichenExterner Datenschutzbeauftragter bei frag.hugo

Was wir bei Hamburger Mandanten am häufigsten sehen: Die Daten liegen in mehr Systemen, als die Geschäftsführung glaubt. CRM, alte E-Mail-Postfächer, ein Bewerber-Tool, das niemand mehr nutzt. Wer kein sauberes Verzeichnis der Verarbeitungstätigkeiten und kein Löschkonzept hat, sucht bei jeder Anfrage von vorne — und genau dort entstehen die unvollständigen Auskünfte.

Wenn Sie Auskunftsanfragen dauerhaft entspannt bearbeiten wollen, lohnt sich ein Blick auf unsere Tarife für den externen Datenschutzbeauftragten in Hamburg oder die große Datenschutz-Übersicht. Die Plattform Hugo DSB bündelt VVT, DSAR-Portal und Löschkonzept an einem Ort — damit die nächste Anfrage in Minuten statt Tagen erledigt ist.

Häufige Fragen (FAQ)

Welche Frist gilt für die Beantwortung einer Auskunftsanfrage nach Art. 15 DSGVO?

Sie müssen unverzüglich, spätestens innerhalb eines Monats ab Eingang antworten (Art. 12 Abs. 3 DSGVO). Bei Komplexität oder vielen gleichzeitigen Anträgen ist eine einmalige Verlängerung um maximal zwei weitere Monate möglich — die Verlängerung muss aber innerhalb des ersten Monats mitgeteilt und konkret begründet werden.

Was muss eine Auskunft nach Art. 15 DSGVO konkret enthalten?

Erstens die Bestätigung, ob Sie Daten verarbeiten. Zweitens eine Kopie aller gespeicherten personenbezogenen Daten. Drittens die Pflichtinformationen: Verarbeitungszwecke, Datenkategorien, Empfänger, geplante Speicherdauer, Betroffenenrechte, Beschwerderecht, Datenherkunft und ob automatisierte Entscheidungen stattfinden. Die erste Kopie ist kostenlos.

Darf ich vor der Auskunft die Identität des Antragstellers prüfen?

Ja. Bei begründeten Zweifeln an der Identität dürfen Sie nach Art. 12 Abs. 6 DSGVO zusätzliche Informationen anfordern. Die Prüfung muss verhältnismäßig sein — bei einer bekannten Person mit verifizierter E-Mail reicht oft die Adresse aus den Bestandsdaten. Ein pauschaler Ausweis-Upload als Hürde ist unzulässig.

Wann darf ich eine Auskunftsanfrage ablehnen oder begrenzen?

Wenn Rechte und Freiheiten Dritter betroffen sind (Art. 15 Abs. 4), bei Geschäftsgeheimnissen oder geschützten Daten Dritter (dann schwärzen statt herausgeben) und bei offenkundig unbegründeten oder exzessiven Anträgen (Art. 12 Abs. 5). Eine pauschale Ablehnung ist nicht zulässig — Sie müssen Teile herausgeben und die Begrenzung begründen.

Was kostet es, wenn ich eine Auskunftsanfrage zu spät beantworte?

Eine verspätete oder unvollständige Auskunft kann Schadensersatzansprüche nach Art. 82 DSGVO auslösen — Gerichte haben hier vierstellige Beträge zugesprochen. Dazu kommt das Bußgeldrisiko nach Art. 83 DSGVO und eine Beschwerde beim HmbBfDI. Wer dokumentiert fristgerecht antwortet, ist auf der sicheren Seite.

Recherche-Stand: verifiziert am 6. Juni 2026 über dsgvo-gesetz.de (Art. 12 und 15), bfdi.bund.de, datenschutz-hamburg.de und dr-datenschutz.de (ArbG Düsseldorf, 10.000 € Schadensersatz).