Der richtige Umgang mit DSGVO-Auskunftsersuchen

Rechtliche Anforderungen, strategische Risiken und Best Practices für den Umgang mit Art. 15 DSGVO

Der Auskunftsanspruch nach Art. 15 DSGVO ist eines der zentralen Betroffenenrechte im Datenschutzrecht. Ursprünglich geschaffen, um Transparenz über die Verarbeitung personenbezogener Daten herzustellen, hat sich seine praktische Bedeutung in den vergangenen Jahren immer mehr gewandelt. Unternehmen sehen sich heute einer rapide steigenden Zahl von strategisch motivierten Auskunftsersuchen gegenüber – häufig rechtlich anspruchsvoll und mit erheblichem organisatorischem Aufwand verbunden. Die Adressaten solcher Ansprüche stellen sich daher zunehmend die Frage: Wie gehen wir rechtssicher, effizient und zugleich strategisch klug mit Auskunftsersuchen um?

Vom Schutzrecht zum strategischen Hebel

Die Praxis zeigt: Der DSGVO-Auskunftsanspruch wird längst nicht mehr nur zur Überprüfung der Datenverarbeitung genutzt. Vielmehr dient er in unterschiedlichen Konstellationen als taktisches Mittel, etwa:

• durch datenschutzrechtlich versierte Einzelpersonen („Datenschutz-Enthusiasten“),
• im Nachgang von Datenpannen oder Cyberangriffen,
• nach medial begleiteten Skandalen, oder
• gezielt im Rahmen rechtlicher Auseinandersetzungen, wie im Arbeits- oder Insolvenzrecht.

Durch KI-gestützte Tools und standardisierte Musterschreiben ist die Hemmschwelle zur Antragstellung erheblich gesunken. Der Auskunftsanspruch ist damit faktisch zu einem Jedermannsrecht geworden – mit erheblichen Folgen für Unternehmen.

Wer darf was – und wie weit reicht der Anspruch?

Bereits die formalen Grundlagen sind komplexer, als es auf den ersten Blick erscheint:

• Auskunft verlangen kann nicht nur die betroffene Person selbst, sondern auch ein Vertreter.
• Verpflichtet zur Auskunft ist zwar nur der Verantwortliche, den Auftragsverarbeiter treffen aber Unterstützungspflichten.
• Der Anspruch umfasst gegenwärtige Datenverarbeitungen.
• Die Frist zur Erteilung der Auskunft bzw. Herausgabe von Datenkopien beträgt grundsätzlich einen Monat, kann aber unter bestimmten Voraussetzungen verlängert werden.
• Die Auskunft ist regelmäßig kostenlos, es sei denn, es handelt sich um einen offenkundig unbegründeten oder exzessiven Antrag.

Schon an dieser Stelle wird deutlich: Fehler in der Einordnung können schnell zu Fristversäumnissen, unvollständigen Auskünften oder unnötigen Eskalationen mit Datenschutzaufsichtsbehörden führen.

Exzessiv, rechtsmissbräuchlich – aber wann genau?

Besonders konfliktträchtig ist die Abgrenzung zwischen zulässigen Auskunftsersuchen und solchen, die als exzessiv oder rechtsmissbräuchlich einzustufen sind. Die DSGVO selbst lässt hier Spielräume, die durch Rechtsprechung und Leitlinien weiter konturiert werden:

• Häufige Wiederholungen,
• bewusst undifferenzierte oder extrem weit gefasste Anträge oder
• eine erkennbare Zweckentfremdung des Auskunftsrechts (z. B. zur Schädigung oder „Erpressung“).

Diese können unter Umständen eine Einschränkung oder Verweigerung der Auskunft rechtfertigen. Die Beweislast hierfür liegt jedoch beim Unternehmen – ein erhebliches Risiko, insbesondere ohne saubere Dokumentation und klare Strategie.

Aktuelle gesetzgeberische Entwicklungen auf EU-Ebene, wie das Digital Omnibus-Paket der EU-Kommission vom 19. November 2025, deuten zwar auf eine mögliche Stärkung der Verteidigungsmöglichkeiten für Unternehmen in diesem Zusammenhang hin, doch bleibt die praktische Anwendung auch künftig hochgradig einzelfallabhängig.

Use Case Arbeitsrecht: Auskunft als Druckmittel

In arbeitsrechtlichen Konstellationen hat der DSGVO-Auskunftsanspruch eine besondere Sprengkraft. Typische Problemfelder sind:

• der Umfang von Auskünften zu E-Mail-Postfächern, Chatverläufen oder internen Vermerken,
• der Umgang mit vertraulichen Beurteilungen, sowie
• die Frage nach Schwärzungen und dem Schutz von Rechten Dritter.

Nicht selten wird der Auskunftsanspruch gezielt als Druckmittel in Kündigungsschutzverfahren eingesetzt. Zwar ist ein Verzicht auf das Auskunftsrecht grundsätzlich möglich – nach neuster Rechtsprechung im Rahmen eines arbeitsrechtlichen Vergleichs –, doch erfordert dies rechtliche Präzision und ein klares Verständnis der datenschutzrechtlichen Rahmenbedingungen.

Use Case Insolvenzrecht: Datenmengen, Beweisfunktion, Konflikte

Auch im Insolvenzrecht wirft der Auskunftsanspruch erhebliche Fragen auf. Mit dem Übergang des Verwaltungs- und Verfügungsrechts auf den Insolvenzverwalter wird dieser grundsätzlich datenschutzrechtlich Verantwortlicher. Für den Insolvenzverwalter ergeben sich dann verschiedene praktische Probleme:

• große Datenmengen,
• personenbezogene Daten als Beweismittel in laufenden Verfahren, sowie
• Auskunftsansprüche ehemaliger Organmitglieder oder Prozessgegner.

Gerade hier zeigt sich, dass Datenschutz, Prozessstrategie und wirtschaftliche Interessen untrennbar miteinander verwoben sind und nicht selten rechtsmissbräuchliche Auskunftsersuchen gegenüber Insolvenzverwaltern gestellt werden.

Best Practice: Warum der Umgang mit DSGVO-Auskunftsersuchen strategische Entscheidungen erfordert

In der Praxis wird der DSGVO-Auskunftsanspruch häufig als rein operatives Datenschutzthema behandelt. Tatsächlich handelt es sich jedoch um einen rechtlich wie strategisch hochsensiblen Vorgang, bei dem bereits frühe Weichenstellungen den weiteren Verlauf maßgeblich beeinflussen.

Vorprüfung: Gibt es formelle oder materielle Angriffspunkte?

Nicht jeder Antrag ist vollumfänglich zu erfüllen. Eine sorgfältige Vorprüfung ist unerlässlich und umfasst unter anderem folgende Fragen:

• Ist der Antrag hinreichend bestimmt oder bewusst sehr weit und undifferenziert formuliert?
• Liegen Anhaltspunkte für eine exzessive oder rechtsmissbräuchliche Nutzung des Auskunftsrechts vor?
• Stehen der Auskunftserteilung Ausschlussgründe entgegen?
• In welchem Umfang sollten Schwärzungen vorgenommen werden?
• Sind die gesetzlichen Fristen korrekt in Gang gesetzt oder bestehen Zweifel an Identität oder Vertretungsbefugnis des Antragstellers?

Formelle Mängel oder Unklarheiten können – richtig adressiert – nicht nur Zeit verschaffen, sondern auch den Rahmen der Auskunft sachgerecht begrenzen. Fehler in dieser Phase lassen sich später kaum korrigieren.

Fristenmanagement: Mehr als nur ein Kalendereintrag

Die Monatsfrist des Art. 12 DSGVO wirkt auf den ersten Blick klar. In der Praxis stellen sich jedoch zahlreiche Fragen:

• Ist eine Fristverlängerung sachlich gerechtfertigt und wie muss sie begründet werden?
• Wann liegt eine „komplexe“ Anfrage vor?
• Welche Folgen hat eine unzureichend kommunizierte oder verspätete Verlängerung?

Ein professionelles Fristenmanagement ist nicht nur formale Pflicht, sondern häufig entscheidend für die Verteidigungsposition gegenüber Datenschutzaufsichtsbehörden oder Gerichten.

Inhaltliche Ausgestaltung: Wie viel ist zu viel?

Der wohl sensibelste Punkt ist der Umfang der Auskunft. Unternehmen bewegen sich hier regelmäßig in einem Spannungsfeld zwischen:

• den Transparenzpflichten gegenüber der betroffenen Person, und
• dem Schutz geheimhaltungsbedürftigen Informationen von Geschäftsgeheimnissen,
• Rechten und personenbezogenen Daten Dritter,
• sowie eigenen prozessualen Interessen.

Fragen wie Schwärzungen, die Herausgabe von E-Mail-Inhalten, internen Bewertungen oder vollständigen Datenkopien sind rechtlich hochumstritten und stets einzelfallabhängig. Eine zu weitgehende Auskunft kann irreversible Nachteile haben – eine zu restriktive Auskunft ebenso.

Absender: Eigene Antwort oder Antwort durch externe Rechtsberater?

Eine der oft unterschätzten Fragen lautet: Wer sollte auf ein Auskunftsbegehren antworten?

• Interne Beantwortung kann sinnvoll sein bei klar begrenzten, sachlich formulierten Anträgen ohne erkennbare Konfliktlage.
• Externe Beantwortung durch Rechtsanwälte bietet sich insbesondere an, wenn:
• der Antrag im Zusammenhang mit arbeitsrechtlichen, insolvenzrechtlichen oder sonstigen streitigen Verfahren steht,
• ein rechtsmissbräuchlicher oder taktischer Hintergrund naheliegt,
• geheimhaltungsbedürftiger Informationen wie Geschäftsgeheimnisse oder Rechte Dritter betroffen sind, oder
• eine spätere gerichtliche oder behördliche Überprüfung realistisch erscheint.

Dabei geht es nicht nur um rechtliche Absicherung, sondern auch um Signalwirkung: Wer antwortet, in welchem Ton und mit welchem Umfang, wird vom Antragsteller regelmäßig genau gelesen und strategisch eingeordnet.

Ton und Kommunikation: Sachlich, defensiv oder kooperativ?

Auch der Tonfall der Antwort ist kein Nebenaspekt. Je nach Kontext kann angezeigt sein:

• ein bewusst neutral-sachlicher Stil, um Eskalationen zu vermeiden,
• ein klar strukturierter, rechtlich präziser Ton, um Grenzen aufzuzeigen,
• oder – in bestimmten Konstellationen – eine bewusst kooperative Kommunikation, um Folgeanträge oder Beschwerden zu vermeiden.

Ein unbedachter Ton kann Auskunftsersuchen unnötig verschärfen oder als Einladung für weitere Forderungen verstanden werden.

Dokumentation und Nachweisfähigkeit

Unabhängig vom konkreten Vorgehen gilt: Jede Entscheidung muss dokumentierbar sein. Im Streitfall trägt das Unternehmen regelmäßig die Darlegungs- und Beweislast dafür, warum eine Auskunft eingeschränkt, verzögert oder verweigert wurde. Fehlende Dokumentation wird dabei schnell zum eigenen Risiko.

Fazit: Vielschichtig, riskant – und immer ein Einzelfall

Der DSGVO-Auskunftsanspruch ist längst kein rein datenschutzrechtliches Randthema mehr. Er berührt Compliance, Litigation-Strategie, HR-Prozesse und Unternehmenskommunikation gleichermaßen. Für Unternehmen bedeutet das: Jedes Auskunftsersuchen verlangt eine individuelle Bewertung, rechtliches Fingerspitzengefühl und strategische Erfahrung. Pauschale Antworten oder rein operative Lösungen greifen regelmäßig zu kurz.

Gerade weil jeder Fall anders gelagert ist, zeigt die Praxis: Wer versucht, Auskunftsersuchen ausschließlich intern und schematisch zu behandeln, läuft Gefahr, rechtlich angreifbar zu werden oder strategisch unnötige Nachteile zu erleiden.