DSGVO-Auskunftsersuchen (DSAR): So reagieren Sie richtig (2026)

Ein Auskunftsersuchen (Data Subject Access Request, DSAR) ist ein förmlicher Antrag nach Art. 15 der Verordnung (EU) 2016/679 (DSGVO), mit dem eine Person eine Organisation auffordert zu bestätigen, ob diese personenbezogene Daten über sie verarbeitet, und gegebenenfalls eine Kopie dieser Daten bereitzustellen. Von der DSGVO erfasste Organisationen müssen innerhalb eines Kalendermonats nach Eingang des Antrags kostenfrei und in präziser, verständlicher Form antworten.
Hintergründe zur Verordnung insgesamt finden Sie unter Was ist die DSGVO. Den vollständigen Überblick über die Rechte der betroffenen Personen, einschließlich des Rechts auf Löschung und des Widerspruchsrechts, finden Sie unter Betroffenenrechte nach der DSGVO.
Was ist ein DSAR (Recht auf Auskunft), und wer kann ein Auskunftsersuchen stellen?
Ein DSAR ist jede Mitteilung, in beliebiger Form, mit der eine natürliche Person das Auskunftsrecht nach Art. 15 ausübt. Die antragstellende Person muss weder Art. 15 zitieren noch ein von der Organisation bereitgestelltes Formular ausfüllen. Die Frage „Welche Informationen speichern Sie über mich?" stellt bereits ein gültiges DSAR dar.
Das Recht steht ausschließlich natürlichen Personen zu: lebenden Personen, deren personenbezogene Daten verarbeitet werden. Unternehmen und andere juristische Personen können kein DSAR stellen. Verstorbene fallen grundsätzlich nicht in den Anwendungsbereich der DSGVO, wobei mehrere EU-Mitgliedstaaten Nachlassvertretern oder nahen Angehörigen ein Auskunftsrecht einräumen.
Ein Antrag kann direkt oder über eine bevollmächtigte Vertretung gestellt werden, etwa eine Rechtsanwältin, einen Rechtsanwalt oder ein Elternteil, das für ein Kind unter 16 Jahren handelt. Geht ein Antrag über eine Vertretung ein, sollte der Verantwortliche die Vollmacht vor der Offenlegung der Daten prüfen; dieser Schritt verlängert die Ein-Monats-Frist jedoch nicht.
Anträge können mündlich oder schriftlich gestellt werden, per E-Mail, Post oder auf anderem Weg. Art. 12 Abs. 1 verlangt Antworten in klarer und einfacher Sprache; Erwägungsgrund 59 legt Verantwortlichen nahe, die Antragstellung zu erleichtern, auch auf elektronischem Weg. Online-Portale oder eigene E-Mail-Adressen sind bewährte Praxis, aber nicht gesetzlich vorgeschrieben.
Das Recht erstreckt sich auf alle personenbezogenen Daten, die ein Verantwortlicher über die betroffene Person verarbeitet, unabhängig vom Format (elektronisch oder papierbasiert, strukturiert oder unstrukturiert, aktuell oder archiviert), vorbehaltlich der nachfolgend erläuterten Ausnahmen.
Räumlicher und sachlicher Geltungsbereich
Dieser Beitrag behandelt das Auskunftsrecht nach der EU-DSGVO und den Leitlinien des EDSA. Er gilt für Organisationen mit Sitz in der EU/im EWR sowie für Organisationen außerhalb der EU, die Personen in der EU/im EWR Waren oder Dienstleistungen anbieten oder deren Verhalten beobachten (Art. 3 Abs. 2). Das UK-GDPR ist inhaltlich weitgehend identisch; Unterschiede werden an den jeweiligen Stellen angemerkt. Kanadische, US-amerikanische und andere nationale Äquivalente sind nicht Gegenstand dieses Beitrags.
Welche Informationen muss eine Organisation bereitstellen?
Art. 15 Abs. 1 und Abs. 3 verlangen zwei unterschiedliche Dinge: die Bestätigung, dass eine Verarbeitung stattfindet (oder dass keine Daten gespeichert sind), sowie eine Kopie der personenbezogenen Daten zusammen mit ergänzenden Informationen.
Die Kopie der personenbezogenen Daten
Art. 15 Abs. 3 verlangt „eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind": die tatsächlichen Daten, nicht eine bloße Beschreibung. Speichert ein Verantwortlicher einen E-Mail-Verlauf, einen Kontodatensatz, eine Anrufaufzeichnung, ein Videoüberwachungsmaterial oder einen Kreditantrag mit personenbezogenen Daten der antragstellenden Person, hat diese Anspruch auf eine Kopie, sofern keine Ausnahme greift.
Die Leitlinien 01/2022 des EDSA zum Auskunftsrecht (Version 2.1, angenommen am 28. März 2023) bestätigen, dass „Kopie" eine getreue Wiedergabe bedeutet, keine Zusammenfassung und keinen Export im Rahmen der Datenübertragbarkeit. Das Kopierrecht nach Art. 15 und das Recht auf Datenübertragbarkeit nach Art. 20 sind getrennt zu betrachten: Die Datenübertragbarkeit gilt nur, wenn die Rechtsgrundlage Einwilligung oder Vertrag ist und die Verarbeitung automatisiert erfolgt.
Verarbeitet der Verantwortliche große Datenmengen, sieht Erwägungsgrund 63 vor, dass der Verantwortliche „verlangen können [sollte], dass die betroffene Person, bevor ihr die Informationen mitgeteilt werden, präzisiert, auf welche Informationen oder Verarbeitungsvorgänge sich ihr Antrag bezieht". Dies ist ein praktisches Steuerungsinstrument, kein Recht zur Ablehnung oder zur Bedingung einer Einschränkung als Voraussetzung für die Beantwortung.
Ergänzende Informationen nach Art. 15 Abs. 1
| Bestimmung des Art. 15 Abs. 1 | Was der Verantwortliche erläutern muss |
|---|---|
| (a) Verarbeitungszwecke | Warum die Organisation die Daten speichert, aufgeschlüsselt nach dem jeweiligen Zweck |
| (b) Kategorien personenbezogener Daten | Gespeicherte Datenarten: Kontaktdaten, Finanzdaten, Gesundheitsdaten, Standortdaten usw. |
| (c) Empfänger oder Empfängerkategorien | Jeder Dritte, dem Daten offengelegt wurden oder werden; bei Empfängern in Drittländern müssen zusätzlich die Garantien nach Art. 46 benannt werden |
| (d) Geplante Speicherdauer | Der konkrete Zeitraum oder die zu seiner Festlegung herangezogenen Kriterien |
| (e) Rechte auf Berichtigung, Löschung, Einschränkung und Widerspruch | Informationen zu den Rechten der betroffenen Person nach den Art. 16, 17, 18 und 21 |
| (f) Recht auf Beschwerde | Name und Kontaktdaten der zuständigen nationalen Datenschutzbehörde |
| (g) Herkunft der Daten | Wurden die Daten nicht direkt bei der betroffenen Person erhoben, die Quelle, aus der sie stammen |
| (h) Automatisierte Entscheidungsfindung und Profiling | Sofern Art. 22 anwendbar ist, aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen |
Punkt (g) (die Herkunft von Daten Dritter) zählt zu den in Durchsetzungsverfahren am häufigsten festgestellten Mängeln. Hat der Verantwortliche eine Marketingliste gekauft oder Daten von einem Datenhändler bezogen, muss er diese Quelle offenlegen.
Bei Übermittlungen in Drittländer verlangt Punkt (c) die Offenlegung der konkreten Garantie: Standardvertragsklauseln, ein Angemessenheitsbeschluss, verbindliche interne Datenschutzvorschriften oder ein anderer Mechanismus nach Art. 46.
Wie viel Zeit hat eine Organisation zur Beantwortung?
Art. 12 Abs. 3 verlangt eine Antwort unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags. „Eingang" meint den Tag, an dem der Antrag die Organisation erreicht, nicht den Tag, an dem ihn eine Mitarbeiterin oder ein Mitarbeiter liest.
Die Verlängerung um zwei Monate
Art. 12 Abs. 3 erlaubt eine Verlängerung um zwei Monate, wenn der Antrag komplex ist oder der Verantwortliche gleichzeitig zahlreiche Anträge erhalten hat. Komplexität bedeutet, dass die Bearbeitung erheblichen Aufwand über mehrere Systeme hinweg erfordert oder schwierige Fragen zum Umfang oder zu Ausnahmen aufwirft, nicht schlicht, dass der Verantwortliche über große Datenmengen verfügt.
Die Mitteilung über die Verlängerung muss die betroffene Person erreichen, bevor die ursprüngliche Ein-Monats-Frist abläuft; eine im zweiten Monat versandte Mitteilung ist unwirksam. Die Mitteilung muss den konkreten Grund benennen; eine pauschale Berufung auf „Komplexität" ohne nähere Angaben genügt den Leitlinien 01/2022 des EDSA nicht.
| Situation | Frist |
|---|---|
| Standardantrag | 1 Monat ab Eingang |
| Komplexe oder zahlreiche Anträge | 3 Monate ab Eingang, sofern die Verlängerungsmitteilung innerhalb des ersten Monats versandt wurde |
| Verantwortlicher lehnt den Antrag ab | Muss die betroffene Person nach Art. 12 Abs. 4 innerhalb eines Monats informieren, mit Begründung und Hinweis auf Rechtsbehelfe |
Wann die Frist beginnt
Die Frist beginnt mit dem Eingang, nicht mit der Identitätsprüfung. Kann der Verantwortliche die betroffene Person ohne zusätzliche Informationen nicht identifizieren, darf er das für die Identifizierung erforderliche Mindestmaß anfordern; die Frist ist während dieses Zeitraums faktisch ausgesetzt. Verantwortliche dürfen nicht routinemäßig einen amtlichen Lichtbildausweis von jeder antragstellenden Person verlangen, um die Bearbeitung zu verzögern.
Wie muss die Antwort übermittelt werden?
Art. 12 Abs. 3 verlangt eine schriftliche oder anderweitige Übermittlung, gegebenenfalls auch auf elektronischem Weg. Art. 15 Abs. 3 ergänzt, dass die Antwort bei elektronisch gestelltem Antrag in einem gängigen elektronischen Format erfolgen muss, sofern die betroffene Person nichts anderes verlangt. PDF, Word, Excel oder ein sicheres Portal erfüllen diese Anforderung. Ein proprietäres Format, das eine Spezialsoftware voraussetzt, über die die antragstellende Person voraussichtlich nicht verfügt, genügt nicht.
Die Antwort muss den Anforderungen des Art. 12 Abs. 1 genügen: präzise, transparent, verständlich und in klarer und einfacher Sprache. Ein unkommentierter Export roher Datenbankfelder ohne Erläuterung ihrer Bedeutung würde nach den Leitlinien des EDSA voraussichtlich am Erfordernis der Verständlichkeit scheitern, selbst wenn er alle erforderlichen Daten enthält.
Enthalten die Daten besondere Kategorien nach Art. 9 (Gesundheitsdaten, rassische oder ethnische Herkunft, biometrische Daten), stellt die Übermittlung per unverschlüsselter E-Mail oder über ein Portal mit unzureichenden Zugriffskontrollen sowohl eine Verletzung des Schutzes personenbezogener Daten als auch eine mangelhafte DSAR-Antwort dar. Verantwortliche sollten für jede Antwort mit Daten nach Art. 9 eine verschlüsselte Übermittlung verwenden.
Identitätsprüfung: Was Verantwortliche verlangen dürfen und was nicht
Erwägungsgrund 64 sieht vor, dass Verantwortliche „alle vertretbaren Mittel [nutzen sollten], um die Identität einer betroffenen Person, die Auskunft beantragt, zu überprüfen". Eine Identitätsprüfung ist zulässig, muss aber verhältnismäßig sein; Verantwortliche dürfen nicht mehr Informationen anfordern als erforderlich.
Verfügt der Verantwortliche bereits über die E-Mail-Adresse der betroffenen Person und geht der Antrag von dieser Adresse ein, ist das Verlangen eines amtlichen Lichtbildausweises unverhältnismäßig. Wendet sich eine Person erstmals postalisch an eine Organisation und gibt an, Kundin oder Kunde zu sein, ist es angemessen, zur Bestätigung der Identität nach Kontodaten zu fragen.
Verantwortliche sollten nicht:
- routinemäßig beglaubigte Kopien von Reisepass oder Führerschein verlangen, wenn der Antrag von der registrierten E-Mail-Adresse eines bestehenden Kunden stammt.
- eine persönliche Identitätsprüfung verlangen, es sei denn, eine fehlerhafte Offenlegung würde einen ernsthaften Schaden verursachen.
- die Identitätsprüfung als Vorwand nutzen, um die Antwort über die Ein-Monats-Frist hinauszuzögern.
Ablehnung eines DSAR oder Erhebung einer Gebühr
Die Schwelle „offenkundig unbegründet oder exzessiv"
Art. 12 Abs. 5 ist der einzige Grund, um eine Gebühr zu erheben oder die Bearbeitung abzulehnen: Der Antrag muss „offenkundig unbegründet oder exzessiv, insbesondere aufgrund seines häufig wiederkehrenden Charakters" sein. Wiederholung ist ein Indiz, keine hinreichende Bedingung. Eine Person, die sechs Monate nach ihrem ersten DSAR ein zweites stellt (weil eine neue Verarbeitung stattgefunden hat oder die erste Antwort mangelhaft war), stellt keinen wiederkehrenden Antrag im Sinne von Art. 12 Abs. 5.
Die Beweislast liegt beim Verantwortlichen. Art. 12 Abs. 5 stellt ausdrücklich klar: „Der Verantwortliche weist den offenkundig unbegründeten oder exzessiven Charakter des Antrags nach." Aufsichtsbehörden haben wiederholt Organisationen mit Bußgeldern belegt, die DSARs unter vager Berufung auf „Exzessivität" abgelehnt hatten.
Ist die Schwelle erreicht, hat der Verantwortliche zwei Möglichkeiten: eine angemessene, an den Verwaltungskosten orientierte Gebühr zu erheben oder die Bearbeitung abzulehnen. Bei einer Ablehnung gilt das Verfahren nach Art. 12 Abs. 4: Information der betroffenen Person innerhalb eines Monats, Begründung sowie Hinweis auf das Recht, sich bei einer Aufsichtsbehörde zu beschweren und gerichtlichen Rechtsschutz zu suchen.
Gebühren für weitere Kopien
Art. 15 Abs. 3 erlaubt gesondert eine Gebühr für „weitere Kopien, die die betroffene Person beantragt", also für zusätzliche Kopien bereits offengelegter Daten, nicht für neue DSARs zu neu verarbeiteten Daten. Diese Bestimmung ist eng gefasst und selten anwendbar.
Ausnahmen: Wann personenbezogene Daten zurückgehalten werden dürfen
Art. 23 erlaubt es den EU-Mitgliedstaaten, das Auskunftsrecht unter bestimmten Voraussetzungen einzuschränken. Die nationalen Umsetzungsvorschriften unterscheiden sich erheblich.
Häufige Ausnahmekategorien:
Verhütung, Ermittlung und Verfolgung von Straftaten. Die meisten Mitgliedstaaten gestatten es Strafverfolgungs- und Aufsichtsbehörden, Daten zurückzuhalten, wenn die Offenlegung eine Ermittlung beeinträchtigen würde.
Nationale Sicherheit und Nachrichtendienste. In den nationalen Umsetzungsgesetzen durchgängig vorgesehen.
Anwaltliches Vertrauensverhältnis. Kommunikation zwischen Mandantin bzw. Mandant und Anwältin bzw. Anwalt sowie Vorbereitungshandlungen für gerichtliche Verfahren dürfen zurückgehalten werden, sofern das jeweilige nationale Recht diese Ausnahme vorsieht.
Vertrauliche Geschäftsinformationen und Geschäftsgeheimnisse. Eine Einschränkung darf nur insoweit gelten, wie sie zum Schutz von Informationen erforderlich ist, die der Organisation selbst gehören, nicht der betroffenen Person.
Beschäftigung und Verhandlungen. Mehrere Mitgliedstaaten gestatten das Zurückhalten von Informationen, wenn dadurch die Management- oder Verhandlungsstrategie des Arbeitgebers offengelegt würde.
Ausnahmen beschränken, welche Daten offengelegt werden, nicht ob die Organisation überhaupt antworten muss. Selbst wenn eine Ausnahme für einen Teil der Daten gilt, muss die Organisation fristgerecht antworten, bestätigen, dass sie Daten speichert, alles offenlegen, was nicht ausgenommen ist, und der betroffenen Person mitteilen, dass und warum bestimmte Daten zurückgehalten wurden.
Ausnahmen im Vereinigten Königreich
Das UK-GDPR enthält über die Schedules 2 bis 4 und Part 4 des Data Protection Act 2018 einen umfassenderen Ausnahmenkatalog, darunter eine Ausnahme für Management-Prognosen und -Planungen, sofern die Offenlegung die Geschäftsführung beeinträchtigen würde.
Daten Dritter: Schwärzung statt Ablehnung
Enthalten die über die antragstellende Person gespeicherten Daten auch personenbezogene Daten anderer Personen (häufig bei arbeitsrechtlichen Streitigkeiten, Verbraucherbeschwerden und Gesundheitsakten), ist nach Art. 15 und den Leitlinien 01/2022 des EDSA eine gezielte Schwärzung der richtige Ansatz, nicht eine pauschale Ablehnung.
Der Verantwortliche muss die eigenen personenbezogenen Daten der betroffenen Person bereitstellen und dabei die personenbezogenen Daten Dritter schwärzen, sofern deren Offenlegung die Rechte dieser Dritten verletzen würde. Dabei sind folgende Faktoren zu berücksichtigen:
- Ob die dritte Person der Offenlegung zugestimmt hat.
- Ob die antragstellende Person die Identität der dritten Person bereits kennt (ist die dritte Person etwa die in einer Leistungsbeurteilung genannte Führungskraft der antragstellenden Person, ist deren Name in diesem Dokument nicht vor Offenlegung geschützt).
- Ob es unter Berücksichtigung aller Umstände zumutbar ist, die Informationen ohne Zustimmung der dritten Person bereitzustellen.
- Ob die Informationen über die dritte Person so eng mit den Daten der antragstellenden Person verwoben sind, dass eine wirksame Schwärzung nicht möglich ist.
Aufsichtsbehörden haben es durchgängig abgelehnt, den Schutz von Daten Dritter als pauschale Rechtfertigung für das Zurückhalten ganzer Dokumente heranzuziehen, wenn eine gezielte Schwärzung möglich ist.
Häufige Fehler bei der Beantwortung von DSARs
Fristversäumnis ohne gültige Verlängerung. Verantwortliche, die die Ein-Monats-Frist als bloße Zielvorgabe statt als rechtliche Verpflichtung behandeln, riskieren Bußgelder und Durchsetzungsverfahren.
Unvollständige Antworten. Das Übersehen von Archiv- oder Backup-Systemen, Offline-Akten oder von Auftragsverarbeitern gespeicherten Daten ist ein wiederkehrender Mangel. Die Antwort muss sämtliche personenbezogenen Daten erfassen, die der Verantwortliche in jeglichem Format speichert.
Übermäßige Identitätsanforderungen. Das Verlangen eines amtlichen Lichtbildausweises von bestehenden Kunden über bekannte Kanäle verzögert die Antwort und kann selbst einen Verstoß gegen die DSGVO darstellen.
Fehlende Angabe der Herkunft von Daten Dritter. Art. 15 Abs. 1 lit. g wird systematisch ausgelassen. Stammen Daten von einem Datenhändler, einem Empfehlungspartner oder einer öffentlichen Quelle, muss dies offengelegt werden.
Schwärzung der eigenen Daten der antragstellenden Person. Ein Verantwortlicher darf die personenbezogenen Daten der antragstellenden Person nicht mit der Begründung schwärzen, dass sie auch zusammen mit Daten Dritter erscheinen.
Ablehnung unter Berufung auf „offenkundige Unbegründetheit" ohne Nachweis. Eine Ablehnung, weil der Antrag unbequem ist, im Zusammenhang mit einem Rechtsstreit steht oder erheblichen Aufwand erfordert, erreicht nicht die Schwelle des Art. 12 Abs. 5.
Versand unverschlüsselter besonderer Kategorien personenbezogener Daten. Die Übermittlung von Daten nach Art. 9 per unverschlüsselter E-Mail verbindet einen DSAR-Verstoß mit einer Verletzung des Schutzes personenbezogener Daten.
Ignorieren mündlicher Anträge. Art. 12 Abs. 1 lässt mündliche Anträge zu. Verantwortliche, die DSARs nur schriftlich oder über ein Online-Formular akzeptieren, riskieren, berechtigte Anträge zu übersehen; Mitarbeitende mit Kundenkontakt müssen geschult werden, solche Anträge zu erkennen und weiterzuleiten.
Ein Schritt-für-Schritt-Workflow zur Beantwortung eines DSAR
Schritt 1: Den Antrag erkennen. Schulen Sie alle Mitarbeitenden mit Kunden-, Beschäftigten- oder Publikumskontakt darin, DSARs unabhängig von der verwendeten Formulierung zu erkennen. Erfassen Sie das Eingangsdatum sofort.
Schritt 2: Die betroffene Person identifizieren. Prüfen Sie, ob die Person anhand der vorliegenden Angaben identifiziert werden kann. Falls nicht, fordern Sie nur das für die Identifizierung unbedingt erforderliche Mindestmaß an zusätzlichen Informationen an. Dokumentieren Sie, warum dies erforderlich ist.
Schritt 3: Die Frist starten. Erfassen Sie das Eingangsdatum. Setzen Sie eine interne Frist von 28 Tagen, um vor Ablauf der verbindlichen Ein-Monats-Frist noch Vorbereitungszeit zu haben.
Schritt 4: Alle Systeme durchsuchen. Durchsuchen Sie sämtliche Datenbanken, E-Mail-Archive, Papierakten sowie Aufzeichnungen, die Auftragsverarbeiter in Ihrem Auftrag speichern. Die Suche muss umfassend sein.
Schritt 5: Ausnahmen und Daten Dritter prüfen. Gleichen Sie die aufgefundenen Daten mit den anwendbaren nationalen Ausnahmen nach Art. 23 ab. Prüfen Sie bei Aufzeichnungen, die auch personenbezogene Daten Dritter enthalten, ob eine gezielte Schwärzung möglich ist.
Schritt 6: Eine Verlängerung erwägen. Ist der Antrag tatsächlich komplex oder haben Sie gleichzeitig zahlreiche Anträge erhalten, dokumentieren Sie die Entscheidung zur Verlängerung und versenden Sie die Verlängerungsmitteilung vor Ablauf der Ein-Monats-Frist.
Schritt 7: Die Antwort vorbereiten. Stellen Sie die Datenkopie sowie alle ergänzenden Informationen nach Art. 15 Abs. 1 lit. a bis h zusammen. Verwenden Sie bei elektronisch gestelltem Antrag ein gängiges elektronisches Format.
Schritt 8: Sicher übermitteln. Verwenden Sie bei Daten nach Art. 9 eine verschlüsselte Übermittlung. Dokumentieren Sie, was, wann und in welchem Format versandt wurde.
Schritt 9: Den Vorgang dokumentieren. Führen Sie im Einklang mit dem Rechenschaftsgrundsatz nach Art. 5 Abs. 2 ein DSAR-Protokoll: Eingangsdatum, Schritte der Identitätsprüfung, Suchmethodik, offengelegte Daten, angewandte Ausnahmen, gegebenenfalls Verlängerungsmitteilung sowie das Datum der Antwort.
Schritt 10: Folgeanfragen bearbeiten. Behandeln Sie jede Nachfrage zur Vollständigkeit oder jeden Antrag zu neu entstandenen Daten als eigenständigen Vorgang.
Das britische Äquivalent: Auskunftsersuchen nach dem UK-GDPR
Nach dem Brexit übernahm das Vereinigte Königreich die DSGVO als „UK-GDPR" über den European Union (Withdrawal) Act 2018, ergänzt durch den Data Protection Act 2018. Die Ein-Monats-Frist, der Umfang der bereitzustellenden Informationen, die Gebührenregeln und die Ablehnungsgründe wurden im britischen Recht vollständig übernommen.
Wesentliche Unterschiede:
- Die Durchsetzung obliegt der ICO und nicht einer EU-Aufsichtsbehörde. Für Übermittlungen aus der EU ins Vereinigte Königreich nach dem Brexit ist ein Angemessenheitsbeschluss (von der Europäischen Kommission am 28. Juni 2021 erlassen) oder eine geeignete Garantie erforderlich.
- Die Schedules 2 bis 4 des Data Protection Act 2018 enthalten zusätzliche britische Ausnahmen: Management-Prognosen, Verhandlungen sowie erweiterte Ausnahmen für die Strafverfolgung.
- Organisationen, die sowohl in der EU als auch im Vereinigten Königreich tätig sind, können parallelen Pflichten unterliegen: Ein DSAR einer in der EU ansässigen Person unterliegt der EU-DSGVO; ein DSAR einer im Vereinigten Königreich ansässigen Person unterliegt dem UK-GDPR.
Ausführliche Hinweise der ICO finden Sie unter ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/individual-rights/right-of-access/.
DSARs im Beschäftigungskontext
Kaum ein anderes Verhältnis erzeugt so viele DSARs wie das Arbeitsverhältnis, insbesondere wenn es endet oder kürzlich beendet wurde.
Ein Rechtsstreit begründet keine Ausnahme. Ein drohendes oder laufendes arbeitsgerichtliches Verfahren macht ein DSAR nicht offenkundig unbegründet oder exzessiv. Aufsichtsbehörden und die ICO haben dies durchgängig bestätigt. Die Ablehnung eines arbeitsrechtlichen DSAR mit Verweis auf einen zu erwartenden Rechtsstreit wird nahezu sicher eine zusätzliche Beschwerde bei der Aufsichtsbehörde nach sich ziehen.
Geschäftliche Vertraulichkeit ist eng gefasst. Unterlagen zum Leistungsmanagement, Abmahnungsvermerke und Besprechungsprotokolle enthalten eigene personenbezogene Daten der oder des Beschäftigten und müssen offengelegt werden. Der Verantwortliche kann Bewertungen über andere Beschäftigte schwärzen, nicht jedoch die eigenen Daten der antragstellenden Person.
Das anwaltliche Vertrauensverhältnis gilt nur für bestimmte Dokumente. Hat eine Arbeitsrechtsanwältin oder ein Arbeitsrechtsanwalt die Organisation im Hinblick auf einen bevorstehenden Rechtsstreit beraten, dürfen diese vertraulichen Kommunikationen zurückgehalten werden. Erfasst sind nur diese konkreten Dokumente, nicht ganze Kategorien von Personalakten.
Referenzen und Bewerbungsgesprächsnotizen sind personenbezogene Daten. Arbeitszeugnisse und Bewertungsbögen aus Vorstellungsgesprächen sind personenbezogene Daten der oder des Beschäftigten und müssen in der Regel offengelegt werden, vorbehaltlich einer gezielten Schwärzung von Informationen über andere Personen.
DSARs und automatisierte Entscheidungsfindung
Setzt der Verantwortliche automatisierte Entscheidungsfindung oder Profiling mit rechtlicher oder ähnlich erheblicher Wirkung ein, muss die DSAR-Antwort nach Art. 15 Abs. 1 lit. h „aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person" enthalten.
Die Leitlinien 06/2022 des EDSA zur automatisierten Entscheidungsfindung stellen klar, dass „aussagekräftige Informationen über die Logik" nicht den gesamten Algorithmus oder Quellcode umfassen müssen, jedoch über eine vage Beschreibung hinausgehen müssen. Die betroffene Person hat Anspruch darauf zu verstehen, welche Eingabedaten verwendet wurden, was der Algorithmus damit macht, welches Ergebnis in ihrem konkreten Fall erzielt wurde und welche Folgen dieses Ergebnis nach sich zieht.
Dies gilt bei Bonitätsprüfungen, Versicherungsrisikobewertungen, automatisierter Bewerbervorauswahl und Inhaltsmoderation. Eine Kreditablehnung aufgrund einer automatisierten Bewertung ohne aussagekräftige Erläuterung des Modells verstößt sowohl gegen Art. 15 Abs. 1 lit. h als auch gegen das Recht auf menschliches Eingreifen nach Art. 22 Abs. 3.
Durchsetzung von DSARs: Was Aufsichtsbehörden bereits getan haben
Wiederkehrende Durchsetzungsschwerpunkte der im EDSA vertretenen Aufsichtsbehörden:
Finanzdienstleistungen. Banken und Versicherer wurden wegen unvollständiger Antworten mit Bußgeldern belegt, insbesondere weil sie Daten aus Altsystemen oder bei Auftragsverarbeitern gespeicherte Daten nicht offengelegt haben.
Gesundheitswesen. Krankenhäuser und Krankenversicherer wurden wegen Fristversäumnissen und wegen der Ablehnung der Offenlegung von Akten aufgrund klinischer Daten Dritter sanktioniert, obwohl eine Schwärzung möglich gewesen wäre.
Technologieunternehmen. Große Plattformen gerieten wegen Antworten in nicht maschinenlesbaren proprietären Formaten in die Kritik, die es betroffenen Personen unmöglich machten, ihre Daten zu verstehen.
Arbeitgeber. Arbeitgeber, die DSARs ohne Nachweis unter Berufung auf einen „Rechtsstreit" oder „Exzessivität" ablehnen, erhalten durchgängig negative Entscheidungen.
Der EDSA veröffentlicht ein zentrales Register der Durchsetzungsmaßnahmen unter edpb.europa.eu/about-edpb/who-we-are/members_en sowie über die Websites der einzelnen nationalen Aufsichtsbehörden.
Wie sich das Auskunftsrecht zu anderen Rechten nach der DSGVO verhält
Das Auskunftsrecht geht der Ausübung anderer Rechte in der Regel voraus. Eine betroffene Person, die noch nicht weiß, welche Daten gespeichert sind, stellt häufig zunächst ein DSAR und entscheidet anhand der offengelegten Informationen, ob sie Berichtigung nach Art. 16, Löschung nach Art. 17 (siehe Recht auf Vergessenwerden nach der DSGVO), Einschränkung nach Art. 18 oder Widerspruch nach Art. 21 beantragt.
Das Auskunftsrecht unterscheidet sich vom Recht auf Datenübertragbarkeit nach Art. 20. Die Datenübertragbarkeit gilt nur, wenn die Rechtsgrundlage Einwilligung oder Vertrag ist und die Verarbeitung automatisiert erfolgt; sie verlangt Daten in einem strukturierten, maschinenlesbaren Format. Das Kopierrecht nach Art. 15 gilt unabhängig von der Rechtsgrundlage, stellt jedoch geringere Anforderungen an das Format.
Ein DSAR ist zudem kein Antrag auf Informationsfreiheit. Informationsfreiheitsgesetze und vergleichbare Regelungen gewähren Rechte auf Informationen, die Behörden über ihre öffentlichen Aufgaben speichern. Ein DSAR gewährt Rechte auf personenbezogene Daten der konkreten antragstellenden Person. Beide Rechte können gleichzeitig entstehen, wenn sich eine betroffene Person an eine Behörde wendet, und viele Stellen des öffentlichen Sektors bearbeiten sie parallel.
Haftungsausschluss: Dieser Beitrag bietet allgemeine rechtliche Informationen zum Auskunftsrecht nach der DSGVO (Art. 15) und zu Auskunftsersuchen. Er stellt keine Rechtsberatung dar und ersetzt nicht die Beratung durch eine in Ihrer Rechtsordnung zugelassene Rechtsanwältin oder einen zugelassenen Rechtsanwalt. Das DSGVO-Recht und seine Auslegung durch Aufsichtsbehörden und Gerichte entwickeln sich fortlaufend weiter; die Angaben in diesem Beitrag wurden mit Stand Juni 2026 geprüft. Wenn Sie in einer Organisation für die Einhaltung der DSAR-Vorgaben verantwortlich sind oder Ihre Rechte als betroffene Person ausüben möchten, wenden Sie sich an eine Fachperson für Datenschutz oder eine im jeweiligen EU-Mitgliedstaat oder im Vereinigten Königreich zugelassene Rechtsanwältin bzw. einen zugelassenen Rechtsanwalt.
Frequently Asked Questions
Wie viel Zeit hat man zur Beantwortung eines DSAR?
Art. 12 Abs. 3 verlangt eine Antwort unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags. Eine Verlängerung um bis zu zwei weitere Monate ist zulässig, wenn der Antrag komplex ist oder gleichzeitig zahlreiche Anträge eingegangen sind, sofern der Verantwortliche die betroffene Person vor Ablauf der ursprünglichen Ein-Monats-Frist informiert. Das Versäumen der Ein-Monats-Frist ohne gültige Verlängerung stellt einen Verstoß gegen die DSGVO dar.
Darf man für ein Auskunftsersuchen eine Gebühr verlangen?
Grundsätzlich nein. Die einzige Ausnahme nach Art. 12 Abs. 5 besteht, wenn ein Antrag offenkundig unbegründet oder exzessiv ist; in diesem Fall darf der Verantwortliche eine angemessene, an den Verwaltungskosten orientierte Gebühr erheben oder den Antrag ablehnen. Die Beweislast dafür, dass diese Schwelle erreicht ist, liegt beim Verantwortlichen. Art. 15 Abs. 3 erlaubt gesondert eine Gebühr für zusätzliche Kopien bereits offengelegter Daten, jedoch nicht für neue DSAR-Anträge.
Darf man ein DSAR ablehnen?
Ja, unter engen Voraussetzungen. Art. 12 Abs. 5 erlaubt eine Ablehnung nur, wenn der Antrag offenkundig unbegründet oder exzessiv ist; die Beweislast liegt beim Verantwortlichen. Art. 23 erlaubt es den EU-Mitgliedstaaten, das Auskunftsrecht aus Gründen der nationalen Sicherheit, strafrechtlicher Ermittlungen oder des anwaltlichen Vertrauensverhältnisses einzuschränken. Bei einer Ablehnung muss der Verantwortliche die betroffene Person innerhalb eines Monats informieren, die Gründe angeben und erläutern, wie sie sich bei einer Aufsichtsbehörde beschweren und gerichtlichen Rechtsschutz suchen kann.
Was ist der Unterschied zwischen einem DSAR und dem Recht auf Vergessenwerden?
Ein DSAR nach Art. 15 ist ein Antrag auf eine Kopie personenbezogener Daten und auf Informationen darüber, wie diese verarbeitet werden. Das Recht auf Vergessenwerden (Recht auf Löschung) nach Art. 17 ist ein Antrag auf Löschung, der unter einer von sechs festgelegten Voraussetzungen möglich ist. Es handelt sich um getrennte Rechte mit eigenen Voraussetzungen und Verfahren. In der Praxis stellen viele Personen zunächst ein DSAR, um zu verstehen, welche Daten vorhanden sind, bevor sie über einen Löschungsantrag entscheiden. Näheres finden Sie unter [Recht auf Vergessenwerden nach der DSGVO](/world-laws/world-data-privacy-laws/eu-data-privacy-laws/gdpr-right-to-be-forgotten/).
Muss ein DSAR schriftlich gestellt werden?
Nein. Art. 12 Abs. 1 sieht vor, dass Informationen auf Verlangen der betroffenen Person mündlich erteilt werden können, und mündliche Anträge sind gültig. Verantwortliche, die DSARs nur über ein förmliches schriftliches Formular oder ein Online-Portal akzeptieren, riskieren, mündlich per Telefon oder persönlich gestellte Anträge zu übersehen. Mitarbeitende mit Kundenkontakt sollten geschult werden, mündliche DSARs zu erkennen und weiterzuleiten.
Was passiert, wenn eine Organisation nicht auf ein DSAR antwortet?
Wird die geltende Frist nicht eingehalten, liegt ein Verstoß gegen Art. 12 Abs. 3 vor. Die betroffene Person kann bei der zuständigen Aufsichtsbehörde ihres EU-Mitgliedstaats Beschwerde einlegen. Aufsichtsbehörden können nach Art. 83 Bußgelder verhängen; bei Verstößen gegen Art. 12 oder Art. 15 können Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes verhängt werden, je nachdem, welcher Betrag höher ist.
Erfasst ein DSAR auch Daten, die bei Auftragsverarbeitern der Organisation gespeichert sind?
Ja. Der Verantwortliche ist für alle von ihm verarbeiteten personenbezogenen Daten zuständig, einschließlich Daten, die in seinem Auftrag von Auftragsverarbeitern wie Cloud-Anbietern, Lohndienstleistern oder Marketingplattformen verarbeitet werden. Der Verantwortliche muss Auftragsverarbeiter im Rahmen der nach Art. 28 vorgeschriebenen Auftragsverarbeitungsverträge zur Mitwirkung bei DSAR-Recherchen anweisen. Die betroffene Person stellt das DSAR beim Verantwortlichen; dieser ist dafür verantwortlich, die Daten von den Auftragsverarbeitern einzuholen und in die Antwort aufzunehmen.
Darf ein Arbeitgeber ein arbeitsrechtliches DSAR wegen eines laufenden Rechtsstreits ablehnen?
Nein. Die Beteiligung an einem arbeitsgerichtlichen Verfahren macht ein DSAR nicht offenkundig unbegründet oder exzessiv im Sinne von Art. 12 Abs. 5. Aufsichtsbehörden und die ICO haben dies durchgängig bestätigt. Das anwaltliche Vertrauensverhältnis kann für bestimmte vertrauliche Kommunikationen gelten, rechtfertigt aber nicht die Ablehnung oder Verzögerung des DSAR insgesamt.
In welchem Format muss die Antwort auf ein DSAR erfolgen?
Art. 15 Abs. 3 verlangt, dass die Antwort bei elektronisch gestelltem Antrag in einem gängigen elektronischen Format erfolgt, sofern die betroffene Person nichts anderes verlangt. PDF, Word, Excel und der Zugang über ein sicheres Portal sind allesamt zulässig. Die Antwort muss zudem den Anforderungen des Art. 12 Abs. 1 genügen: präzise, transparent, verständlich und in klarer und einfacher Sprache.
Gilt die DSGVO-DSAR-Pflicht auch für Organisationen außerhalb der EU?
Ja, für Organisationen, die von Art. 3 Abs. 2 erfasst werden. Die DSGVO gilt für Organisationen außerhalb der EU, die Personen in der EU/im EWR Waren oder Dienstleistungen anbieten oder deren Verhalten beobachten. Ein US-Unternehmen, das an Kunden in der EU verkauft, oder ein weltweit tätiges Unternehmen, dessen App den Standort von Nutzerinnen und Nutzern in der EU erfasst, muss auf DSARs dieser Personen reagieren. Solche Organisationen müssen zudem, sofern keine Ausnahme greift, eine Vertretung in der EU nach Art. 27 benennen.
Sources and References
- Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (DSGVO), Art. 15 (Recht auf Auskunft der betroffenen Person)(eur-lex.europa.eu).gov
- Verordnung (EU) 2016/679, Art. 12 (Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person)(eur-lex.europa.eu).gov
- Verordnung (EU) 2016/679, Erwägungsgrund 63 (Recht auf Auskunft über personenbezogene Daten)(eur-lex.europa.eu).gov
- Verordnung (EU) 2016/679, Erwägungsgrund 64 (Identitätsprüfung bei Auskunftsersuchen)(eur-lex.europa.eu).gov
- Europäischer Datenschutzausschuss, Leitlinien 01/2022 zu den Rechten der betroffenen Person, Recht auf Auskunft, Version 2.1, angenommen am 28. März 2023(edpb.europa.eu).gov
- Europäischer Datenschutzausschuss, Leitlinien 06/2022 zur Anwendung von Art. 65 Abs. 1 lit. a DSGVO (automatisierte Entscheidungsfindung im Einzelfall und Profiling)(edpb.europa.eu).gov
- Information Commissioner's Office (Vereinigtes Königreich), Leitfaden zum Auskunftsrecht nach dem UK-GDPR(ico.org.uk).gov
- Irische Datenschutzbehörde (Data Protection Commission), Recht auf Auskunft nach Art. 15 DSGVO(dataprotection.ie).gov
- Europäische Kommission, Angemessenheitsbeschluss für das Vereinigte Königreich vom 28. Juni 2021(ec.europa.eu).gov
- European Union (Withdrawal) Act 2018 (Vereinigtes Königreich) und Data Protection Act 2018, Schedule 2 (Ausnahmen vom Auskunftsrecht)(legislation.gov.uk).gov