Eine E-Mail mit der Bitte um Auskunft über die gespeicherten Daten landet schneller im Postfach, als viele Selbständige denken. Manchmal steckt echtes Interesse dahinter, manchmal Verärgerung über eine gekündigte Zusammenarbeit, gelegentlich auch ein Test durch spezialisierte Kanzleien.
Wer das Auskunftsrecht kennt und einen kleinen Ablauf vorbereitet hat, reagiert gelassen statt hektisch. Dieser Beitrag ordnet die wichtigsten Punkte für kleine Unternehmen ein und ersetzt keine verbindliche Rechtsberatung im Einzelfall.
Was das Auskunftsrecht nach Art. 15 DSGVO bedeutet
Artikel 15 der Datenschutz-Grundverordnung gibt jeder Person das Recht zu erfahren, ob und welche personenbezogenen Daten Du über sie verarbeitest. Das gilt für Kundinnen und Kunden genauso wie für Interessenten, Newsletter-Empfänger oder Bewerber.
Die Person darf neben den Daten selbst auch den Kontext dahinter erfahren. Dazu gehören mehrere konkrete Angaben.
- Zwecke: wofür Du die Daten verarbeitest, etwa für Rechnungsstellung oder Newsletter-Versand.
- Kategorien: welche Arten von Daten gespeichert sind, also Kontaktdaten, Vertragsdaten oder Zahlungsinformationen.
- Empfänger: an wen Du die Daten weitergibst, beispielsweise an einen Steuerberater oder einen Newsletter-Dienst.
- Speicherdauer: wie lange die Daten bleiben oder nach welchen Kriterien Du das festlegst.
- Herkunft: woher die Daten stammen, falls Du sie nicht direkt bei der Person erhoben hast.
Auf Wunsch stellst Du zusätzlich eine Kopie der verarbeiteten Daten bereit. Diese Kopie umfasst die tatsächlich gespeicherten Inhalte, nicht Deine internen Notizen oder geschäftlichen Bewertungen.
Der Umfang wirkt auf den ersten Blick groß, betrifft aber bei den meisten kleinen Unternehmen überschaubare Datenmengen aus wenigen Programmen. Wer diese Quellen kennt, hat den schwierigsten Teil bereits hinter sich.
Wann und wie eine Anfrage bei Dir eintrifft
Eine Auskunftsanfrage hat keine vorgeschriebene Form. Sie kommt per E-Mail, über das Kontaktformular, telefonisch oder als Brief. Auch ein formloser Satz wie „Bitte schicken Sie mir, was Sie über mich gespeichert haben" löst die Pflicht aus.
Das macht die Erkennung manchmal knifflig, weil eine Anfrage nicht den Begriff „Auskunftsrecht" enthalten muss. Achte deshalb auf den Kern der Botschaft und behandle jede ernstgemeinte Bitte um Dateneinsicht als Antrag nach Art. 15.
Bevor Du antwortest, klärst Du die Identität der anfragenden Person. Bei begründeten Zweifeln darfst Du zusätzliche Informationen verlangen, etwa eine Bestätigung über die hinterlegte E-Mail-Adresse. Übertreib es dabei nicht, denn ein Ausweis ist nur in Ausnahmefällen nötig und schießt sonst über das Ziel hinaus.
Sehr hilfreich ist eine saubere Übersicht Deiner Datenflüsse. Wenn Du in Deiner Datenschutzerklärung bereits dokumentiert hast, welche Daten Du wofür nutzt, beantwortest Du viele Punkte fast nebenbei.
Fristen einhalten und sauber antworten
Für die Antwort hast Du grundsätzlich einen Monat ab Eingang der Anfrage Zeit. Bei besonders komplexen oder zahlreichen Anträgen darfst Du diese Frist um zwei weitere Monate verlängern, musst die Person aber innerhalb des ersten Monats über die Verzögerung und deren Gründe informieren.
Die erste Auskunft ist kostenlos. Erst bei offensichtlich unbegründeten oder exzessiven Wiederholungsanfragen darfst Du ein angemessenes Entgelt verlangen oder die Bearbeitung ablehnen, was in der Praxis selten vorkommt.
Reagierst Du gar nicht, drohen Beschwerden bei der Aufsichtsbehörde und im Ernstfall ein Bußgeld. Eine zügige, freundliche Antwort kostet Dich meist weniger Zeit als die spätere Klärung eines eskalierten Falls.
Antworte verständlich und in einer übersichtlichen Form. Eine klare E-Mail mit den verlangten Angaben und der Datenkopie als Anhang reicht in den meisten Fällen aus. Wichtig ist, dass Du keine Daten Dritter mitschickst, also keine fremden Namen, Adressen oder Kommunikationsverläufe, die zufällig in denselben Dokumenten stehen.
Behalte im Hinterkopf, dass das Auskunftsrecht oft der erste Schritt ist. Häufig folgt darauf der Wunsch nach Berichtigung oder Löschung. Wie Du Löschanfragen nach dem Recht auf Vergessen sauber abarbeitest, erklärt Dir der eigene Beitrag dazu. Ein durchdachtes Löschkonzept mit klaren Aufbewahrungsfristen hilft Dir, auch diese Anschlussfragen ruhig zu beantworten.
Wie Du Dich auf Anfragen vorbereitest
Souverän wird die Antwort vor allem durch Vorbereitung. Wer erst beim Eingang der ersten Anfrage anfängt, seine Datenablage zu durchsuchen, gerät unnötig unter Druck.
Mit ein paar Bausteinen bist Du für den Ernstfall gerüstet.
- Datenübersicht: Liste die Systeme auf, in denen Kundendaten liegen, also E-Mail-Programm, Buchhaltung, CRM und Newsletter-Tool.
- Antwortvorlage: Bereite eine sachliche E-Mail-Vorlage vor, in der Du nur noch die konkreten Daten ergänzt.
- Zuständigkeit: Lege fest, wer Anfragen entgegennimmt, falls Du im Team arbeitest oder Vertretung brauchst.
- Frist-Notiz: Trage den Eingang jeder Anfrage mit Datum ein, damit die Monatsfrist nicht aus dem Blick gerät.
Diese Vorbereitung lohnt sich doppelt, weil sie Dir auch bei einer Datenpanne und der 72-Stunden-Meldepflicht wertvolle Zeit spart. Wer seine Datenflüsse kennt, handelt in beiden Situationen schneller.
Solltest Du bei einer konkreten Anfrage unsicher sein, etwa bei einem strittigen Fall oder bei sensiblen Gesundheitsdaten, hol Dir frühzeitig fachlichen Rat. Diese Orientierung ersetzt im Zweifel kein Gespräch mit einer Datenschutzbeauftragten oder einer spezialisierten Kanzlei.
Fazit
Eine Auskunftsanfrage ist kein Grund zur Sorge, wenn Du den Ablauf einmal durchdacht hast. Du kennst nun die Inhalte nach Art. 15, die Monatsfrist und die wichtigsten Stolpersteine wie fremde Daten im Anhang.
Mit einer kleinen Datenübersicht und einer Antwortvorlage reagierst Du strategisch und ruhig, statt jede E-Mail als Notfall zu behandeln. So wird aus einer rechtlichen Pflicht ein souveräner Teil Deiner täglichen Arbeit.