kostenlos starten

Betroffenenanfrage DSGVO: Fristen, Prozess und Pflichten für Unternehmen

Erhält Ihr Unternehmen eine Betroffenenanfrage nach der DSGVO, zählt jede Stunde. Art. 12 Abs. 3 DSGVO gibt Ihnen grundssätzlich einen Monat Zeit – in komplexen Fällen bis zu drei Monate. Doch was müssen Sie in dieser Zeit tun, welche Rechte können Betroffene geltend machen und wie reagieren Sie rechtskonform? Dieser Leitfaden gibt Ihnen einen vollständigen Überblick.

Gemäß Art. 12 Abs. 1 DSGVO ist der Verantwortliche verpflichtet, alle Informationen über Maßnahmen, die er auf Antrag einer betroffenen Person ergreift, in präziser, transparenter, verständlicher und leicht zugänglicher Form zu übermitteln. Diese Transparenzpflicht bildet das Fundament des gesamten Betroffenenrechte-Systems der DSGVO.

Was ist eine Betroffenenanfrage nach der DSGVO?

Eine Betroffenenanfrage (auch: Auskunftsersuchen, Subject Access Request) ist jede Anfrage einer natürlichen Person, die Rechte nach Art. 15–22 DSGVO geltend macht. Die häufigste Form ist das Auskunftsersuchen nach Art. 15 DSGVO – die betroffene Person fragt, welche ihrer personenbezogenen Daten Sie verarbeiten.

Gemäß Art. 15 Abs. 1 DSGVO hat die betroffene Person das Recht, vom Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Ist dies der Fall, so hat sie ein Recht auf Auskunft über diese Daten und auf folgende Informationen: Verarbeitungszwecke, Kategorien, Empfänger, Speicherdauer, Rechte, Herkunft der Daten und ob automatisierte Entscheidungsfindung stattfindet.

Welche Betroffenenrechte gibt es?

Die DSGVO gewährt Betroffenen in Art. 15–22 ein umfassendes Paket an Rechten. Als Unternehmen müssen Sie auf alle diese Anfragen reagieren können:

  • Art. 15 DSGVO – Auskunftsrecht: Überblick und Kopie der verarbeiteten Daten. Details im Artikel Betroffenenrechte DSGVO – Übersicht.
  • Art. 16 DSGVO – Berichtigungsrecht: Korrektur falscher oder unvollständiger Daten.
  • Art. 17 DSGVO – Recht auf Löschung („Recht auf Vergessenwerden“): Löschung unter bestimmten Voraussetzungen. Details: Recht auf Vergessen DSGVO.
  • Art. 18 DSGVO – Recht auf Einschränkung der Verarbeitung: Verarbeitungsstopp in bestimmten Situationen. Details: Einschränkung der Verarbeitung DSGVO.
  • Art. 20 DSGVO – Recht auf Datenübertragbarkeit: Herausgabe der Daten in maschinenlesbarem Format. Details: Datenübertragbarkeit DSGVO.
  • Art. 21 DSGVO – Widerspruchsrecht: Widerspruch gegen Verarbeitung zu Direktmarketingzwecken oder auf Basis berechtigter Interessen. Details: Widerspruch DSGVO Unternehmen.
  • Art. 22 DSGVO – Automatisierte Entscheidungsfindung: Recht auf menschliche Entscheidung bei Profiling.

Eine vollständige Einführung in alle Betroffenenrechte bietet unser Artikel Betroffenenrechte nach DSGVO im Überblick.

Fristen: Wie schnell müssen Sie antworten?

Die Fristregeln sind in Art. 12 Abs. 3 DSGVO klar geregelt:

  • Grundfrist: 1 Monat ab Eingang der Anfrage
  • Verlängerung möglich: Bei Komplexität oder Vielzahl der Anfragen um weitere 2 Monate – aber: Sie müssen den Betroffenen innerhalb des ersten Monats über die Verlängerung informieren
  • Keine Antwort: Fehler mit Bitterfolge – das Landgericht Frankfurt a.M. hat in seinem Urteil vom 20.01.2021 (Az. 2-03 O 404/19) entschieden, dass die Nichtbeantwortung eines DSGVO-Auskunftsersuchens einen immateriellen Schadensersatzanspruch nach Art. 82 DSGVO begründen kann.

Gemäß Art. 12 Abs. 6 DSGVO kann der Verantwortliche bei begründeten Zweifeln zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind. Diese Identitätsprüfung ist in bestimmten Situationen nicht nur erlaubt, sondern geboten – Details dazu: Identitätsprüfung bei Betroffenenanfragen.

Prozess: Betroffenenanfrage Schritt für Schritt

  1. Anfrage empfangen und klassifizieren: Welches Recht wird geltend gemacht? Auskunft, Löschung, Widerspruch? Zugang intern registrieren und Frist setzen.
  2. Identität prüfen: Bei begründeten Zweifeln zusätzliche Identitätsangaben anfordern (Art. 12 Abs. 6 DSGVO). Mehr dazu: Identitätsprüfung Betroffenenanfrage.
  3. Daten zusammenstellen: Alle Systeme durchsuchen, in denen Daten des Betroffenen gespeichert sein könnten (CRM, E-Mail-Server, Buchhaltung, Logdaten).
  4. Antwort verfassen: Strukturiert, vollständig, für den Betroffenen verständlich. Ein Muster-Antwortschreiben finden Sie hier: Musterschreiben Auskunft DSGVO.
  5. Dokumentieren: Den gesamten Vorgang dokumentieren (Art. 5 Abs. 2 DSGVO – Rechenschaftspflicht). Details: Betroffenenanfrage Dokumentation.

Beachten Sie: Wenn Sie eine Auskunft ablehnen müssen oder wollen, sind ebenfalls strenge DSGVO-Regeln zu beachten. Wann das möglich ist, erklärt unser Artikel Auskunft verweigern DSGVO.

Kosten: Darf ich für die Auskunft Geld verlangen?

Gemäß Art. 12 Abs. 5 DSGVO werden alle Informationen und Maßnahmen unentgeltlich zur Verfügung gestellt. Ausnahmen gelten nur bei offenkundig unbegründeten oder übermäßigen Anfragen – dann dürfen Sie entweder ein angemessenes Entgelt verlangen oder die Anfrage ablehnen. Die Beweislast liegt beim Verantwortlichen. Mehr zu Ablehnungsmöglichkeiten: Auskunft verweigern DSGVO.

Für das Recht auf Datenübertragbarkeit nach Art. 20 DSGVO gelten besondere Regeln: Datenübertragbarkeit DSGVO erklärt.

Rechtsprechung: Was sagen die Gerichte?

Die deutsche Rechtsprechung zu Betroffenenanfragen hat sich in den letzten Jahren erheblich konkretisiert:

BGH, Az. VI ZR 576/19, 15.09.2020: Der Bundesgerichtshof hat klargestellt, dass das Auskunftsrecht nach Art. 15 DSGVO weit auszulegen ist. Ein Betroffener kann grundsätzlich Auskunft über alle verarbeiteten personenbezogenen Daten verlangen, einschließlich interner Vermerke, sofern diese eine Aussage über seine Person enthalten.

LAG Baden-Württemberg, Az. 12 Sa 37/20, 25.02.2021: Das Landesarbeitsgericht hat entschieden, dass Arbeitgeber auf DSGVO-Auskunftsanfragen von Arbeitnehmern auch Informationen aus E-Mails herausgeben müssen, soweit diese personenbezogene Daten enthalten. Die Prüfpflicht ist umfassend.

VG Ansbach, Az. AN 14 K 18.01838: Wird eine Betroffenenanfrage unzureichend beantwortet oder gar nicht bearbeitet, drohen nicht nur Schadensersatzansprüche, sondern auch Maßnahmen der Aufsichtsbehörde.

Cross-Cluster-Link zum Recht auf Löschung: Das in Art. 17 DSGVO verankerte Recht auf Löschung ist eng mit dem Thema Datenlöschung verbunden – Details zum unternehmensinternen Löschkonzept: Löschkonzept DSGVO.

Alle Betroffenenrechte im Überblick: Ihre Anlaufstellen

Dieser Hub-Artikel fasst alle relevanten Betroffenenrechte zusammen. Die detaillierten Artikel zu den einzelnen Rechten:

Betroffenenanfragen können mit einem datenschutzkonformen System automatisch bearbeitet werden: Betroffenenanfragen automatisch bearbeiten oder PRIVACY-RESPONDER entdecken.

Häufige Fragen

Wie lange hat ein Unternehmen Zeit, auf eine DSGVO-Betroffenenanfrage zu antworten?

Gemäß Art. 12 Abs. 3 DSGVO haben Sie grundssätzlich einen Monat Zeit zu antworten. Bei Komplexität oder vielen gleichzeitigen Anfragen kann die Frist um weitere zwei Monate verlängert werden – aber der Betroffene muss innerhalb des ersten Monats über die Verlängerung informiert werden.

Muss eine Betroffenenanfrage schriftlich gestellt werden?

Nein – Art. 12 DSGVO schreibt keine bestimmte Form vor. Eine Anfrage per E-Mail, Brief, Telefon oder sogar mündlich ist grundsätzlich gültig. Allerdings sollten Sie für die Dokumentation (Art. 5 Abs. 2 DSGVO) auf eine Schriftform hinwirken.

Was passiert, wenn ein Unternehmen eine Betroffenenanfrage ignoriert?

Die Konsequenzen sind erheblich: Schadensersatzanspruch nach Art. 82 DSGVO (auch immateriell), Bußgeld der Aufsichtsbehörde nach Art. 83 DSGVO (bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes), Beschwerde beim Datenschutzbeauftragten und negatives Presse-Echo.

Dürfen Unternehmen die Identität des Antragstellers prüfen?

Ja – Art. 12 Abs. 6 DSGVO erlaubt bei begründeten Zweifeln an der Identität die Anforderung zusätzlicher Informationen. Dies darf aber nicht dazu missbraucht werden, Anfragen zu blockieren. Mehr Details: Identitätsprüfung Betroffenenanfrage.

Gilt die DSGVO auch für Betroffenenanfragen von Mitarbeitern?

Ja – Mitarbeiter sind ebenfalls betroffene Personen. Sie können alle Rechte nach Art. 15–22 DSGVO geltend machen, auch im laufenden Arbeitsverhaltnis. Das LAG Baden-Württemberg hat bestätigt, dass auch E-Mail-Kommunikation mit dem Arbeitnehmer im Auskunftsumfang enthalten ist (Az. 12 Sa 37/20).

Datenschutzbeauftragter und Betroffenenanfragen

Wenn Ihr Unternehmen einen Datenschutzbeauftragten (DSB) hat, sollte er bei der Bearbeitung von Betroffenenanfragen einbezogen werden. Der DSB kann bei der Klassifizierung der Anfragen helfen, die rechtliche Einschätzung zu Ausnahmesituationen geben und den Prozess überwachen. Gemäß Art. 39 Abs. 1 lit. a DSGVO zählt die Beratung bei der Erfüllung von Betroffenenrechten zu den Kernaufgaben des DSBs.

Mehr zum Thema: Datenschutzbeauftragter Aufgaben nach DSGVO.

Betroffenenanfragen in der Praxis: Häufige Szenarien

Welche Anfragen kommen in Unternehmen am häufigsten vor?

  • Auskunft von ehemaligen Mitarbeitern: Arbeitnehmer verlangen nach Beendigung des Arbeitsverhältnisses Auskunft über ihre Personaldaten. Besonders heikel: E-Mails und interne Beurteilungen.
  • Auskunft von Kunden: Online-Shop-Betreiber erhalten regelmäßig Anfragen zu gespeicherten Bestelldaten, Nutzerprofilen und Trackingdaten.
  • Löschanfragen von Newsletter-Abonnenten: Nach Art. 17 DSGVO müssen Daten gelöscht werden, wenn die Einwilligung widerrufen wird. Das betrifft auch Backup-Systeme.
  • Widerspruch gegen Profiling: Betroffene widersprechen der Nutzung ihrer Daten für personalisierte Werbung nach Art. 21 Abs. 2 DSGVO – dieser Widerspruch ist absolut.
  • Datenübertragbarkeitsanfragen: Kunden wollen ihre Daten zu einem anderen Anbieter portieren. Art. 20 DSGVO gibt ihnen dieses Recht, wenn die Verarbeitung auf Einwilligung oder Vertrag basiert.

Technische Umsetzung: Betroffenenanfragen automatisieren

Für Unternehmen ab einer bestimmten Größe ist die manuelle Bearbeitung von Betroffenenanfragen zeitaufwendig und fehleranfällig. Dedizierte Software-Lösungen wie der PRIVACY-RESPONDER von PLANIT PRIMA automatisieren den gesamten Prozess: Eingang, Klassifizierung, Identitätsprüfung, Datenabfrage aus verschiedenen Systemen und Antwort an den Betroffenen. Mehr: Betroffenenanfragen auf Knopfdruck beantworten.

Erfahren Sie mehr über die automatisierte Bearbeitung: Betroffenenanfragen automatisch bearbeiten.

Checkliste für Ihre Betroffenenanfrage

Damit Ihre Anfrage schnell und korrekt bearbeitet werden kann, sollten Sie folgende Punkte beachten:

  • Klare Identifizierung: Geben Sie Name, Adresse und weitere Identifizierungsmerkmale an, damit das Unternehmen Sie eindeutig zuordnen kann.
  • Konkretes Begehren: Formulieren Sie klar, welches Recht Sie geltend machen: Auskunft, Löschung, Berichtigung, Einschränkung, Widerspruch oder Datenübertragbarkeit.
  • Schriftliche Form: Eine schriftliche Anfrage (per Post oder E-Mail) ist empfehlenswert, da Sie so einen Nachweis über Datum und Inhalt Ihrer Anfrage haben.
  • Frist notieren: Notieren Sie das Datum Ihrer Anfrage. Der Verantwortliche muss spätestens nach einem Monat antworten.
  • Datenschutzbehörde als Backup: Erhalten Sie keine oder eine unzureichende Antwort, können Sie Beschwerde bei der zuständigen Datenschutzbehörde einreichen.

Handeln Sie rechtzeitig: Die Monatsfrist beginnt mit Eingang Ihrer vollständigen Anfrage. Bei unvollständigen Angaben darf der Verantwortliche zusätzliche Informationen zur Identifizierung anfordern, was die Frist verzögern kann.

Weiterführende Quellen

Weitere Beiträge

Betroffenenanfrage DSGVO: Fristen, Prozess und Pflichten für Unternehmen

Erhält Ihr Unternehmen eine Betroffenenanfrage nach der DSGVO, zählt jede Stunde. Art. 12 Abs.

Warum ChatGPT falsche juristische Antworten gibt – und wie man das verhindert

Das Problem betrifft nicht nur ChatGPT, sondern alle großen Sprachmodelle wie Claude oder Microsoft

Verjährung bei Datenschutzverletzungen: Fristen nach BGB und DSGVO

Unter Verjährung bei Datenschutzverletzungen versteht man den Zeitraum, nach dessen Ablauf Ansprüche aus einer

DSGVO und „Blacklists“: Welche Dienste kritisch sein können und was Unternehmen beachten sollten 

Viele Unternehmen stellen sich eine zentrale Frage: Gibt es eine offizielle Liste mit Tools oder

blog DSGVO Auskunftsersuchen Rechtsmissbrauch

EuGH-Urteil C-526/24 – DSGVO-Hopping rechtssicher abwehren

Zusammenfassung für Eilige Der Europäische Gerichtshof (EuGH) hat am 19. März 2026 im Urteil

Haftung von Datenschutzbeauftragten nach DSGVO und BDSG

Was Datenschutzbeauftragte und Unternehmen wissen müssen Datenschutzbeauftragte (DSB) tragen eine zentrale Verantwortung im Unternehmen:

Anonymisierung – Die Datenschutz Super Kraft

Die Verarbeitung personenbezogener Daten löst hohe regulatorische Anforderungen und damit verbundenen Risiken für betroffene

Zukunft der Datenschutz-Software: Vom Datengrab zum Compliance-Workflow

Eine zunehmende Zahl an Unternehmen setzt auf Datenschutz-Software und wiegt sich in der vermeintlichen

Akteneinsicht 2.0: Wie Software zur Dokumentenaufbereitung die öffentliche Verwaltung vom „Schwärzungs-Burnout“ befreit 

Moderne Verwaltung steht unter Dauerstrom. Zwischen Digitalisierungsdruck und dem Ruf nach maximaler Transparenz klafft

// PRIMA Newsletter

Datenschutz effizient und sicher umsetzen. 

Melden Sie sich an für regelmäßige Updates.

  • Wichtige Neuerungen im Datenschutz
  • Pragmatische Tipps für die Praxis
  • Best-Practice zum Senken der Compliance-Kosten
  • Exklusive Einladungen zu Webinaren
Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Sie können hierzu den Abmeldelink in den Newslettern nutzen oder sich an mail@planitprima.com wenden. Nähere Informationen finden Sie in unserer Datenschutzerklärung
Linkedin Instagram Youtube

PLANIT // TECH GmbH

Jungfernstieg 1
20095 Hamburg
Deutschland

 

mail@planitprima.com
Tel: +49 (0) 40 609 44 190
Fax: +49 (0) 40 609 44 199

PLANIT // PRIMA

Online-Schulungen
// PRIMA-Tour

Changelog

Downloads

Datenschutz-Management-Software

DSGVO Audit

DSGVO Audit Bericht

DSGVO Audit Software
DSGVO-Software
DSGVO-Tool

 

Kooperationen
Downloads
Datenschutzorganisation

KI-Verordnung

Datenschutz-Software Whitelabel

Kostenlos registrieren
©PLANIT // TECH GmbH 2024 | | Nutzungsbedingungen | Datenschutzerklärung | Impressum

©PLANIT // TECH GmbH 2024