Auskunftsrecht der DSGVO

Das Telefon klingelte in meinem Büro. Auf dem Display erschien der Name eines Datenschutzbeauftragten eines mittelständischen Unternehmens, mit dem ich regelmäßig in Kontakt stehe.

„Wir haben ein Problem mit den Auskunftsersuchen. Die Datenschutzaufsicht war bei uns im Haus und hat kritisiert, dass unsere Prozesse nicht sauber dokumentiert sind. Wir haben zwar ein Verfahren, aber es gibt keine zentrale Übersicht. Zudem dauert es manchmal zu lange, bis wir eine Anfrage beantworten. Was sollen wir tun?“

Ein klassischer Fall, wie er derzeit in vielen Unternehmen vorkommt. Denn der Europäische Datenschutzausschuss (EDSA) hat im Januar 2025 in seinem Koordinierten Durchsetzungsrahmen (CEF) 2024 festgestellt, dass viele Unternehmen Schwierigkeiten mit der Umsetzung des Rechts auf Auskunft (Artikel 15 DSGVO) haben.

Ich erklärte meinem Anrufer:

„Sie sind nicht allein. Der EDSA hat 1.185 Verantwortliche in der EU überprüft, darunter 116 in Deutschland. Die Ergebnisse zeigen, dass viele Unternehmen genau mit den gleichen Problemen kämpfen wie Sie.“

---

Die DSGVO gibt Betroffenen das Recht, von Unternehmen eine Auskunft darüber zu erhalten, welche personenbezogenen Daten von ihnen verarbeitet werden. In der Theorie ist das einfach – in der Praxis aber häufig mit erheblichen Herausforderungen verbunden.

Laut dem aktuellen EDSA-Bericht 2024 sind dies die häufigsten Probleme:

Viele Unternehmen haben keinen zentralen Prozess, um eingehende Anfragen zu erfassen. Das bedeutet: Es gibt keine verlässlichen Zahlen darüber, wie viele Auskunftsersuchen eingehen, wie lange deren Bearbeitung dauert oder ob sie korrekt beantwortet wurden.

➡ Folge: Wenn die Datenschutzaufsicht eine Kontrolle durchführt, kann das Unternehmen nicht nachweisen, dass es das Auskunftsrecht korrekt umsetzt.

➡ Beispiel: Ein Unternehmen erhält Anfragen per E-Mail, Telefon oder über Webformulare. Da keine zentrale Erfassung existiert, kann es passieren, dass manche Anfragen nicht bearbeitet oder Fristen übersehen werden.

---

In vielen Unternehmen landen Auskunftsanfragen bei verschiedenen Abteilungen – etwa in der IT, im Kundenservice oder in der Personalabteilung. Ohne klare Zuständigkeiten und einheitliche Prozesse kann es passieren, dass eine Anfrage liegen bleibt oder falsch beantwortet wird.

➡ Folge: Unterschiedliche Abteilungen interpretieren die Anforderungen unterschiedlich, was zu Fehlern oder unvollständigen Antworten führt.

➡ Beispiel: Ein Kunde stellt eine Anfrage über ein Kontaktformular. Der Kundenservice leitet sie an die IT weiter, die nicht sicher ist, welche Daten herausgegeben werden müssen. Am Ende erhält der Kunde eine unvollständige Antwort, was zu Beschwerden oder sogar rechtlichen Konsequenzen führen kann.

---

Viele Unternehmen erhalten nur wenige Auskunftsersuchen pro Jahr. Das führt dazu, dass sich keine Routine entwickelt und Mitarbeitende nicht ausreichend geschult sind.

➡ Folge: Mitarbeitende sind unsicher, wie sie reagieren sollen, oder benötigen unverhältnismäßig viel Zeit, um die richtigen Daten zusammenzustellen.

➡ Beispiel: Ein Unternehmen erhält seine erste Auskunftsanfrage seit Jahren. Die zuständigen Mitarbeitenden sind sich nicht sicher, welche Daten enthalten sein müssen, und benötigen Wochen, um eine Antwort zu formulieren.

---

Laut EDSA-Bericht sind viele Unternehmen nicht mit den offiziellen Leitlinien zum Auskunftsrecht vertraut, insbesondere mit den EDSA-Leitlinien 01/2022. Diese enthalten wichtige Details zur korrekten Umsetzung, zum Beispiel:

✔ Welche Informationen müssen bereitgestellt werden?

✔ In welcher Form muss die Antwort erfolgen?

✔ Welche Fristen gelten?

➡ Folge: Unternehmen antworten unvollständig oder fehlerhaft und riskieren Beschwerden bei der Datenschutzbehörde.

➡ Beispiel: Eine Firma gibt einem Kunden nur eine Kopie seiner Stammdaten, vergisst aber, auch die Verarbeitungszwecke, Empfänger oder Aufbewahrungsfristen offenzulegen. Das kann eine unzureichende Auskunft darstellen.

---

Nachdem ich meinem Anrufer die Probleme erläutert hatte, kam die entscheidende Frage:

„Was müssen wir konkret tun, um das besser zu organisieren?“

Hier sind die fünf wichtigsten Maßnahmen, die ich ihm empfahl:

---

Unternehmen sollten eine zentrale Plattform oder ein Tool nutzen, um alle eingehenden Auskunftsanfragen zu erfassen und zu verfolgen.

✔ Automatische Dokumentation aller Anfragen

✔ Erfassung von Bearbeitungsfristen

✔ Statusverfolgung jeder Anfrage

➡ Vorteil: Wenn die Datenschutzaufsicht eine Prüfung durchführt, kann das Unternehmen nachweisen, dass alle Anfragen korrekt bearbeitet wurden.

---

Ein festgelegter Prozess mit definierten Rollen sorgt dafür, dass jede Anfrage schnell und korrekt bearbeitet wird.

✔ Wer prüft die Anfrage?

✔ Wer stellt die Daten zusammen?

✔ Wer gibt die finale Antwort?

➡ Vorteil: Anfragen werden nicht mehr zwischen Abteilungen hin- und hergeschoben.

---

Ein zentrales Datenschutz-Management-System erleichtert die Bearbeitung von Anfragen erheblich.

✔ Automatisierte Workflows für Datenschutzanfragen

✔ Einheitliche und vollständige Antworten

✔ Nachweisbare Einhaltung der Fristen

➡ Vorteil: Ein solches Tool entlastet Mitarbeitende und stellt sicher, dass alle Anforderungen der DSGVO eingehalten werden.

---

Mitarbeitende sollten regelmäßig zu den Anforderungen des Auskunftsrechts geschult werden.

✔ Einführung von Standardantworten und Checklisten

✔ Simulation von Auskunftsanfragen zur Übung

✔ Sensibilisierung für Fristen und Dokumentationspflichten

➡ Vorteil: Selbst bei wenigen Anfragen pro Jahr sind die Verantwortlichen sicher im Umgang mit den Anforderungen.

---

Einmal eingeführte Prozesse sollten regelmäßig überprüft werden:

✔ Wie viele Anfragen wurden gestellt?

✔ Wie lange dauerte die Bearbeitung?

✔ Gab es Beschwerden oder Probleme?

➡ Vorteil: Unternehmen können ihre Prozesse kontinuierlich verbessern und frühzeitig auf Probleme reagieren.

---

Mein Gesprächspartner am Telefon klang nachdenklich, aber entschlossen:

„Das klingt nach einer Menge Arbeit. Aber wenn wir das jetzt strukturiert angehen, vermeiden wir größere Probleme in der Zukunft.“

Genau darum geht es: Unternehmen müssen sich aktiv mit der Umsetzung des Auskunftsrechts befassen, statt erst zu reagieren, wenn eine Beschwerde oder eine Prüfung der Datenschutzbehörde ins Haus steht.

Wer frühzeitig klare Prozesse, ein geeignetes Tool und gut geschulte Mitarbeitende einführt, wird nicht nur den rechtlichen Anforderungen gerecht, sondern stärkt auch das Vertrauen seiner Kunden.

Denn Datenschutz ist längst nicht nur ein Compliance-Thema – er ist auch ein entscheidender Faktor für den guten Ruf eines Unternehmens. 🚀