Für Unternehmen gilt es zu verstehen, was Anfragen zur Datenauskunft gemäß der DSGVO für sie bedeuten. In diesem Beitrag zeigt Richard Hartmann, Lead Consultant bei Intargia – a valantic company, wie sich Unternehmensentscheider nachhaltig gegen unberechtigte Vorwürfe wehren können.
Die DSGVO schützt Verbraucher, birgt für Unternehmen jedoch Herausforderungen und Gefahren.
„Hallo, hiermit möchte ich bitte Auskunft über meine Daten gemäß der DSGVO. Mit herzlichen Grüßen, Max Mustermann.“ Viele Unternehmen haben Anfragen wie diese bereits durch kostspielige Erfahrungen kennengelernt. Doch welche Gefahren lauern für die Unternehmen, und was kann man dagegen tun?
Mit dem Auskunftsrecht hat jede Person nicht nur das Recht auf eine Kopie der von ihr verarbeiteten Informationen wie etwa Name, Adresse und Geburtsdatum oder ihrer Bestellhistorie, sondern auch auf Informationen zu internen Aktenvermerken, E-Mails und Chat-Verläufen. Hinzu kommen weitere Informationen über die genauen Zwecke der Datenverarbeitung, die Speicherdauer und die Herkunft der personenbezogenen Daten und weitere Angaben. Die Inanspruchnahme des Auskunftsrechts ist für den Anfragesteller grundsätzlich kostenlos.
Dieses Auskunftsrecht stellt die Unternehmen allerdings vor große Herausforderungen: Wenn ein Nutzer eine Auskunftsanfrage stellt, dann muss beispielsweise zeitnah auch dargelegt werden, an welche Dritte die Daten möglicherweise weitergegeben werden. Bei einem Online-Shop könnten dies zum Beispiel jeder Hosting-Provider, Zahlungs- und Auslieferungsdienstleister sowie viele mehr sein. Spätestens bei erneuter Nachfrage des Betroffenen muss das Unternehmen jeden einzelnen Empfänger nennen. Dass dies sehr aufwendig sein kann, liegt auf der Hand.
Grundsätzlich muss eine Anfrage innerhalb eines Monats erfolgen. Diese Frist lässt sich bei Vorliegen berechtigter Gründe zweimal um jeweils einen Monat verlängern. Über solche Fristverlängerungen ist die betroffene Person unter Angabe der für die Verzögerung verantwortlichen Gründe innerhalb eines Monats nach Eingang des Antrags zu informieren.
Unternehmensrisiken des Auskunftsrechts
Wenn das mit einer Anfrage konfrontierte Unternehmen diese ignoriert, zu spät, unvollständig oder falsch beantwortet, dann kann das nicht nur ein Bußgeld, sondern auch eine Schadensersatzforderung der betroffenen Person nach sich ziehen. Wenn die Person den Vorgang an die Behörde meldet, dann steigt der Aufwand für das Unternehmen noch weiter. Die Behörden reagieren, anders als in den ersten beiden Jahren nach Inkrafttreten der DSGVO, heute sehr schnell und bearbeiten nahezu jede Beschwerde. Der Schaden für die Unternehmen kann sich somit schnell vervielfachen, da das Bußgeld mit der Anzahl der betroffenen Personen zunimmt. Dieses Risiko ist dem Unternehmensmanagement, welches nach datenschutzrechtlichen Grundsätzen verantwortlich ist, oftmals nicht bewusst.
Ohne ausreichend Vorbereitung ist das Behandeln jeder einzelnen Auskunftsanfrage ein mit Risiken verbundener Kraftakt. Der umfangreiche Auskunftsanspruch zieht hohen Aufwand nach sich. Eine falsche Wortwahl kann unnötige Fragen oder teure Klagen mit sich ziehen. Was gilt es also zu beachten?
Zunächst ist es wichtig, dass jeder Mitarbeiter eine Datenschutzanfrage erkennen und an die zuständigen Ansprechpartner weiterleiten kann. Eine Kontaktadresse für Datenschutzanfragen, zum Beispiel „datenschutz@domain.de“ ist durch aus sinnvoll. Diese zentrale Stelle sollte gut vorbereitete, geprüfte Antwortmuster parat haben, womit ein Großteil der Anfragen schnell und richtig beantwortet werden können. Für folgende Fälle sollten Muster in keinem Betroffenenrechte-Management fehlen:
Es ist kein Datensatz des Antragstellers vorhanden,
Beantwortung der Anfrage mit dem vorhandenen Datensatz,
der Antragsteller konnte nicht identifiziert werden,
Benachrichtigung über die Verlängerung der Antwortfrist.
Ob die zentrale Stelle das Heraussuchen und die Zusammenstellung des Datensatzes übernimmt, ist unternehmensindividuell je nach Zuständigkeits- und Zugriffsrechtekonzepten ausgestaltbar.
Muster können nicht jeden Fall lösen. Der unternehmensinterne Ansprechpartner sollte mit den Herausforderungen einer Auskunftsanfrage vertraut sein und diese im Bedarfsfall an einen Experten eskalieren können. In der Regel ist das der Datenschutzbeauftragte, ein Datenschutzberater oder ein Fachanwalt für Datenschutzrecht.
Auskunftsanfragen können instrumentalisiert werden, um andere Interessen zu verfolgen. Dies kann von der Absicht, Aufwand bei einem Unternehmen zu erzeugen, bis hin zu raffinierten verhandlungstaktischen Maschen reichen. Zudem sind systematische Abmahnungen oder gar Abmahnfallen keine Seltenheit. Zur Frage, wann ein Rechtsmissbrauch bei einer anscheinend instrumentalisierten Anfrage vorliegt, ist noch keine klare Linie der Rechtsprechung zu erkennen. Neuere Gerichtsurteile beschäftigen sich hauptsächlich mit exzessiven Anfragen und Rechtsmissbrauch.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Die folgenden Tipps und Tricks können jedem Unternehmen weiterhelfen:
Mit einer datenschutzrechtlich sauber formulierten Empfangsbestätigung, die möglichst unmittelbar nach dem Empfang versandt wird, vermittelt man eine hohe Professionalität und verschreckt Missbrauchsversuche.
Mit der Auskunft der möglichen Empfängerkategorien statt jedes einzelnen Empfängers in der ersten Antwort werden aufwendige Untersuchungen gespart. Bei explizitem Verlangen kann die Antwort der Empfänger nachgereicht werden.
Mit der Prüfung der Identität und Zuordnung des Antragstellers in einem ersten Schritt bereits durch die Mitarbeiter erspart man sich häufig eine längere Korrespondenz mit dem Antragsteller im Nachgang. Eine Identifizierung darf nicht anhand eines Datenabgleichs von allgemein bekannten Informationen, zum Beispiel Name, Geburtstag, Adresse et cetera, durchgeführt werden. Häufig ist stattdessen eine Kombination aus Kunden-/Rechnungsnummern oder der Bestellhistorie mit den Stammdaten angemessener. Sofern der Antragsteller anhand der bereitgestellten Informationen nicht identifiziert werden kann, muss keine Auskunft erfolgen. Im Zweifel sollte der Antragsteller auf ein persönliches Vorstellen verwiesen werden.
Die Antwort auf die Auskunftsanfrage sollte nicht als abgeschlossen bezeichnet werden. Durch die Formulierung einer Rückfrage, ob die Anfrage vollständig beantwortet wurde oder ob Anhaltspunkte zu weiteren verarbeiteten Daten vorliegen, kann man sich absichern, falls die Auskunft unbeabsichtigt unvollständig sein sollte.
Unterlassungserklärungen, Schadensersatzforderungen oder Schuldeingeständnisse sollten in jedem Fall anwaltlich geprüft werden.
Offenkundig unbegründete, wiederholte oder sonstig exzessive Anfragen können abgelehnt oder gegen ein angemessenes Entgelt durchgeführt werden. Der Nachweis für den offenkundig unbegründeten oder exzessiven Charakter des Antrags sollte dokumentiert werden. Wenn ein Unternehmen begründen kann, dass der Betroffene gar nicht seine Daten erfahren will, sondern lediglich Aufwand produzieren möchte, dann kann es gegebenenfalls die Auskunft verweigern. Der entsprechende Nachweis gestaltet sich in der Praxis jedoch recht schwierig. Im Zweifel sollte der Datenschutzbeauftragte oder ein Fachanwalt für Datenschutzrecht hinzugezogen werden.
Richard Hartmann ist als Lead Consultant der Intargia – a valantic company.
(Bild: Intargia)
*Der Autor: Richard Hartmann ist als Lead Consultant der Intargia – a valantic company ständig auf der Suche nach innovativen Ansätzen, die Unternehmen effizienter machen und gleichzeitig deren Schutz gewährleisten. Seine Beratungsfelder bei der Intargia Managementberatung umfassen Datenschutz, IT-Sicherheit, Projektleitung/-management, Digital Transformation Management.
Das Storage-Kompendium zum Thema – kostenfreier Download
Die Zeiten, in denen Backups ausschließlich auf Tape angefertigt wurden, sind vorbei. Heute stellt sich die Situation bezüglich Backup-Medien und -Strategien deutlich vielfältiger dar, was auch zu Unsicherheiten führt.
Backup & Archivierung – gestern, heute und morgen
Storage-Kompendium „Backup & Archivierung“
(Bild: Storage-Insider)
Die Hauptthemen des Kompendiums sind:
Auf dem Weg zur passenden Backup-Strategie
Cloud-Backup und Hybrid-Backup
Tape – der wehrhafte Dinosaurier
Datensicherheit und Storage: Welche gesetzlichen Vorgaben gelten?
:quality(80)/p7i.vogel.de/wcms/b5/ad/b5ade2e50671d986cabb091cc33de39f/0127234511v1.jpeg "Das sind die Gewinner der IT-Awards 2025! (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/2d/69/2d69b27f3f8f5f290f7ae2b3d9123b1b/0127206601v1.jpeg "Storage-Insider verleiht heute die IT-Awards 2025 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/94/d2/94d28e3faac411c22b54d80ea354d2e3/0124559320v1.jpeg "Die digitale Souveränität Europas ist spätestens seit der Wiederwahl von Donald aktueller denn je. (Bild: erstellt durch iTernity GmbH mit Canva)")
:quality(80)/p7i.vogel.de/wcms/ca/b3/cab330ef06324344f47f1715af71ffb8/0121296602v1.jpeg "Das sind die Gewinner der Storage-Insider Readers' Choice Awards 2024. (Bild: Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/c3/22/c32200a1b5fedc6991e9c57ec9d99883/0128183844v1.jpeg "Die lizenzfreie Datensicherungslösung NetBak PC Agent erfasst Dateien, Ordner und komplette Rechnerabbilder. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/2e/66/2e663ffafe56d3cf9aec665b141d23b9/0128869154v1.jpeg "ADN stärkt das Angebot für Backup-Resilienz mit der Ransomeware-Schutzlösung Blocky for Veeam von Grau Data. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ca/0d/ca0da056751c0928e17e875a189fbbd2/0128593304v2.jpeg "Windows Backup for Organizations sichert Einstellungen und Store-Apps Cloud-basiert und bietet die Wiederherstellung bereits im OOBE an. Es ersetzt jedoch kein klassisches Backup. (Bild: © Miha Creative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/da/26/da2626997824d5d980d193b8233fe11c/0128612106v1.jpeg "Bei den defekten Systemdatenträgern, die bei CBL Datenrettung behandelt werden, machen SSDs inzwischen rund 70 Prozent aus. Hier muss sich das Unternehmen auf neue Controller wie die von Maxio Technology einstellen. (Bild: CBL )")
:quality(80)/p7i.vogel.de/wcms/ff/ae/ffae79505e2061f78496f5d81f0e5d9b/0129173380v1.jpeg "Carsten Graf, Vice President Sales EMEA bei Cloudian: „Die Speicherinfrastruktur wird für den Erfolg von KI-Projekten entscheidend sein.“ (Bild: Cloudian)")
:quality(80)/p7i.vogel.de/wcms/60/a8/60a868f9defd2dfc1073ca9ab1aab657/0128019671v1.jpeg "Mit Hilfe von Access-Transparency lassen sich Zugriffe auf Daten nachvollziehen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b2/08/b208ad5fa70e97c32e4eadb028d3e32c/0129096430v1.jpeg "Die Kombination von MongoDB und Voyage AI soll Komplexität und Latenzzeiten beim Produktiveinsatz von KI-Applikationen verringern. (Bild: MongoDB)")
:quality(80)/p7i.vogel.de/wcms/39/80/3980c9237327a6873b114959e09715b9/0128746850v1.jpeg "Dwinitys Blockchain-basierte Cloud zielt auf die vollständige Kontrolle über persönliche Daten ab. Fragmentierte, verschlüsselte Daten werden auf vielen unabhängigen Knoten gespeichert, ohne dass Dwinity oder externe Akteure Zugriff darauf haben. (Bild: © CreativeIMGIdeas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9e/c3/9ec334dbf3696ef4bf61184f8404df74/0128976654v1.jpeg "Acronis Archival Storage ermöglicht MSPs die langfristige Speicherung und Verwaltung selten abgerufener Daten. (Bild: Acronis)")
:quality(80)/p7i.vogel.de/wcms/7a/9f/7a9f3b18cdb823c15080ca2c26512328/0129097007v1.jpeg "MailStore 26.1 ist ab sofort für MailStore Server, MailStore SPE, MailStore Home und MailStore Cloud verfügbar. (Bild: MailStore)")
:quality(80)/p7i.vogel.de/wcms/c5/35/c5358a2cf971e90b1d98ce0e98310fac/0127947160v1.jpeg "Mit der Einführung des TL-R6020Sep-RP will QNAP sein Engagement unterstreichen, Unternehmen in Europa mit skalierbaren und energieeffizienten Speicherlösungen auszustatten. (Bild: © Nicholas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f8/fa/f8fa89663df5bb1651a96992320c3aa7/0128787673v1.jpeg "Die Go-Bindings von go-systemd laufen unter Linux, macOS und Windows. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/2b/de/2bde191234007e59b423fd02e88372b2/0129123282v1.jpeg "„Daten am Netzwerkrand bringen durchaus auch Vorteile“, stellt Tobias Pföhler von StorMagic fest. Voraussetzung hierfür sei jedoch der Einsatz moderner Technologien, wie etwa hyperkonvergenter Infrastrukturen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/76/56/765658635ea06f59c39496f524115953/0128407436v1.jpeg "Magischer Hammer: Die Data Platform von Hammerspace schafft einen gemeinsamen Datenraum für File- und Objektdaten, der auch den NVMe-Speicher von GPU-Servern einschließt. Das soll für die bessere Auslastung der GPUs sorgen. (Bild: © Abul - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/72/ba/72baf93990834223ddfb97f1bc9b0e4c/0128638512v1.jpeg "Eine erste KI-Euphorie bei deutschen Unternehmen ist verflogen, nun geht es mit Fokus auf Sicherheit, Kontrolle und Datensouveränität an die Umsetzung. (Bild: GPT-Image / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/3b/c63b94b4206c2adaca3e0f2190df67bf/0128954806v1.jpeg "Das portable Tool Clear Disk Info hilft bei der Prüfung von Datenträgern auf PCs und Servern. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/de/93/de930dc1200640248353d363ba39ffb2/0128016156v1.jpeg "Distributed Metadata-Management verbessert im Vergleich zu einem zentralisierten Ansatz die Skalierbarkeit, Verfügbarkeit und Leistungsfähigkeit der Metadatenverwaltung. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1a/d0/1ad01f5d7d966c68b9f793b03263e88a/0128871045v1.jpeg "Das „U“ bei der Steckverbindung U.2 steht für „Universal“, da neben Anschlüssen für die Anbindung klassischer SAS- und SATA-Laufwerke ebenso zusätzliche Pins für die Nutzung von vier PCI-Express-Lanes bereitstehen. (Bild: SNIA / Intel)")
:quality(80)/p7i.vogel.de/wcms/32/a6/32a6e74f81cc974aad14a68d317f2531/0128847427v1.jpeg "Der Industriestandard CIFS ermöglicht das Öffnen lokal gespeicherter Dateien von entfernten Computern. (Bild: Midjourney / KI-generiert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1552300/1552323/original.jpg "Cloud-Speicher für Einsteiger – Microsoft OneDrive zusammen mit macOS und iOS nutzen. (©georgejmclittle - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1644500/1644561/original.jpg "Online-Speicher bei Web.de und GMX: So funktioniert die Verwaltung. (© stokkete - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1641800/1641842/original.jpg "All-Flash-Arrays versprechen unschlagbar niedrige Latenzen. (© pozdeevvs - stock.adobe.com)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/68/b9/68b9bb61e8f14/ic-logo-black-green.png "ic-logo-black-green (Impossible Cloud)"){kind=logo}
:quality(80)/images.vogel.de/vogelonline/bdb/1920400/1920434/original.jpg "Entscheider in Politik und Wirtschaft sollten nicht der Versuchung erliegen, den Datenschutz pauschal für Fehlentwicklungen und Probleme verantwortlich zu machen. (mixmagic - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1854300/1854326/original.jpg "Anfang Juni 2021 hat die Europäische Kommission zwei neue Sätze von Standardvertragsklauseln angenommen: einen Satz für Datenübermittlungen zwischen Verantwortlichen und Auftragsverarbeitern und einen Satz für die Übermittlung personenbezogener Daten in Drittländer. (Bernulius - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9c/49/9c49e46689f8ad8c735ee89be888be0d/0122952490v1.jpeg "Christof Gedig, seit 1. Januar 2025 Geschäftsführer DACH bei Cristie Data: „Die Applikation und ihre Daten rücken in den Mittelpunkt.“ (Bild: Cristie Data)")
:quality(80)/p7i.vogel.de/wcms/6c/82/6c8288048c6a47a68bc7a14976194064/0127721008v1.jpeg "Auch im Brauwesen geht nichts mehr ohne Datenmanagement. Die Boston Beer Group etwa sichert die Datenqualität in ihrer Lieferkette mit Hilfe von Syniti. (Bild: Midjourney / KI-generiert)")