Dennis A. Winkler
Themenseite · Art. 15 DSGVO

Auskunftsrecht nach Art. 15 DSGVO

Das Auskunftsrecht ist das wichtigste und in der Praxis am häufigsten ausgeübte Betroffenenrecht der DSGVO. Es bündelt Bestätigungs-, Informations- und Kopieanspruch in einer einzigen Norm – und führt in der Hochschul- und Verwaltungspraxis regelmäßig zu schwierigen Abwägungen: Wie weit reicht der Anspruch in Personalakten, Bewerbungs- und Berufungsverfahren, Studierendenakten? Was darf, was muss geschwärzt werden? Wie identifiziert man die anfragende Person bei rein digitalen Anfragen? Was tun bei seriellen, augenscheinlich missbräuchlichen Anfragen? Diese Seite ordnet die Norm, beschreibt einen belastbaren Bearbeitungsprozess, berücksichtigt die jüngere Rechtsprechung zum Umfang und zu den Grenzen des Auskunftsrechts und grenzt das DSGVO-Auskunftsrecht von konkurrierenden Akteneinsichts- und Informationszugangsrechten ab. Einzelne sehr aktuelle Entscheidungen – insbesondere EuGH C-526/24 (Brillen Rottler) – sind vor ihrer Übernahme in konkrete Bearbeitungs- oder Musterprozesse jeweils am Originaltext zu verifizieren.

Keine Rechtsberatung, kein Ersatz für Einzelfallprüfung: Diese Seite dient der fachlichen Orientierung und kann eine rechtsverbindliche Einzelfallbewertung nicht ersetzen. Sie stellt keine individuelle Rechtsberatung im Sinne des Rechtsdienstleistungsgesetzes (RDG) dar. Für konkrete Fragen wenden Sie sich bitte an die Landesbeauftragte für den Datenschutz Sachsen-Anhalt oder an eine auf Datenschutzrecht spezialisierte Rechtsanwaltskanzlei.

Persönliche fachliche Auffassung: Ich bin hauptberuflich als Datenschutzmanager an einer öffentlichen Hochschule in Sachsen-Anhalt tätig. Die hier veröffentlichten Inhalte geben ausschließlich meine persönliche fachliche Auffassung wieder und stellen keine offizielle Position meines Arbeitgebers dar.

Praxisbeispiele als didaktische Fallgruppen: Die auf dieser Seite enthaltenen Praxisbeispiele sind didaktische Fallgruppen zur Veranschaulichung typischer Konstellationen. Sie ersetzen keine Bewertung des konkreten Einzelfalls; abweichende Sachverhaltsmerkmale können zu einer anderen rechtlichen Würdigung führen.

01

Funktion und Bedeutung des Auskunftsrechts

Das Auskunftsrecht nach Art. 15 DSGVO ist die zentrale Selbstkontroll-Norm der Verordnung. Es soll betroffene Personen in die Lage versetzen, sich der Verarbeitung ihrer personenbezogenen Daten bewusst zu werden und deren Rechtmäßigkeit zu überprüfen (Erwägungsgrund 63 DSGVO). Daraus erst entsteht die Möglichkeit, weitere Rechte – Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Übertragbarkeit (Art. 20), Widerspruch (Art. 21) – substanziell wahrzunehmen.

In der aufsichtsbehördlichen Praxis ist Art. 15 DSGVO das mit Abstand häufigste Beschwerdethema. Die Tätigkeits­berichte der Aufsichtsbehörden 2025 weisen jeweils fünfstellige Beschwerdezahlen aus, mit Schwerpunkten insbesondere in den großen Flächenländern; in der Praxis betreffen die meisten Beschwerden Konstellationen, in denen der Verantwortliche entweder gar nicht, verspätet, unvollständig oder formal unzureichend reagiert hat. Für öffentliche Stellen kommen drei strukturelle Besonderheiten hinzu:

  • Aktenführungspflicht: Hochschulen und Behörden führen umfangreiche, langfristig aufbewahrte Aktenbestände (Personal-, Studierenden-, Forschungs-, Berufungs-, Beihilfe-, Sicherheits-, Datenschutzakten). Auskunftsersuchen treffen auf historisch gewachsene Datenbestände mit gemischter Sensibilität.
  • Drittbetroffenheit: In Berufungs-, Bewerbungs-, Beschwerde- und Mitbestimmungsvorgängen sind regelmäßig Daten Dritter mitverarbeitet (Konkurrentinnen und Konkurrenten, externe Gutachterinnen und Gutachter, Hinweisgebende, Vorgesetzte). Der Auskunftsanspruch der einen kollidiert mit dem Schutz der anderen.
  • Konkurrierende Informationszugangsrechte: Neben dem DSGVO-Auskunftsrecht stehen den Betroffenen häufig parallele Ansprüche zu (Akteneinsicht im Verwaltungs­verfahren nach § 29 VwVfG LSA, Personalaktenrecht nach §§ 84 ff. LBG LSA, Informationszugang nach IZG LSA, fachgesetzliche Akteneinsichts­rechte). Die Anspruchskonkurrenz ist datenschutzrechtlich nicht aufgehoben, sondern ergänzt sie (vgl. Sektion 10).

Art. 15 DSGVO; Erwägungsgrund 63 DSGVO; Tätigkeitsberichte der LfD/LDA-Behörden 2025

02

Tatbestand des Art. 15 DSGVO im Überblick

Art. 15 DSGVO bündelt drei Ansprüche in einer Norm: einen Bestätigungs- und Informationsanspruch (Abs. 1), einen Informationsanspruch zum Drittlandtransfer (Abs. 2) und einen Kopie-Anspruch (Abs. 3), eingeschränkt durch den Ausnahmevorbehalt (Abs. 4 i. V. m. Art. 23 DSGVO und nationalen Schrankenregelungen).

Art. 15 Abs. 1 DSGVO – Bestätigung und Informationen

Die betroffene Person hat das Recht auf Bestätigung, ob sie betreffende personenbezogene Daten verarbeitet werden; ist das der Fall, hat sie zugleich Anspruch auf Auskunft über diese personenbezogenen Daten und folgende Informationen:

  • Verarbeitungszwecke (lit. a),
  • betroffene Datenkategorien (lit. b),
  • Empfänger oder Kategorien von Empfängern, insbesondere bei Drittlandsempfängern (lit. c),
  • geplante Speicherdauer oder Kriterien für deren Festlegung (lit. d),
  • Bestehen der Rechte auf Berichtigung, Löschung, Einschränkung, Widerspruch (lit. e),
  • Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde (lit. f),
  • Herkunft der Daten, soweit nicht bei der betroffenen Person erhoben (lit. g),
  • Bestehen automatisierter Entscheidungsfindung einschließlich Profiling, einschließlich aussagekräftiger Informationen über die involvierte Logik sowie Tragweite und angestrebte Auswirkungen (lit. h).

In der Praxis besonders aufwendig sind regelmäßig die Empfängerangaben: Nach der EuGH-Rechtsprechung (Urteil v. 12.01.2023 – C-154/21, Österreichische Post) ist die betroffene Person grundsätzlich über die konkreten Empfänger zu informieren, soweit diese bestimmt sind oder bestimmt werden können; nur wenn dies noch nicht möglich ist, kann sich die Auskunft auf Empfängerkategorien beschränken. Weiterhin häufig aufwendig sind die Herkunftsangaben bei komplexen Datenflüssen und die Erläuterung der Logik bei KI-gestützten oder regelbasierten Auswahl- bzw. Bewertungsverfahren.

Art. 15 Abs. 2 DSGVO – Drittlandtransfer

Werden die personenbezogenen Daten an ein Drittland oder an eine internationale Organisation übermittelt, hat die betroffene Person das Recht, über die geeigneten Garantien gemäß Art. 46 DSGVO im Zusammenhang mit der Übermittlung unterrichtet zu werden (Angemessenheits­beschluss, Standardvertragsklauseln, BCR u. a.). Die Auskunft muss erkennen lassen, welche Transfermechanik zum Einsatz kommt und auf welche Garantie sie gestützt ist. Vertiefend siehe Themenseite Drittlandstransfer.

Art. 15 Abs. 3 DSGVO – Kopie

Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. Der EuGH hat in Österreichische Datenschutzbehörde / CRIF (Urteil v. 04.05.2023, C-487/21) klargestellt, dass die „Kopie" eine originalgetreue und verständliche Reproduktion der personenbezogenen Daten meint; je nach Verarbeitung kann das die Wiedergabe ganzer Dokumente oder Auszüge aus Datenbanken erfordern, sofern dies zum Verständnis erforderlich ist. Eine vollständige Akteneinsicht im Sinne des Verwaltungsverfahrensrechts wird damit nicht gewährt; der Anspruch bleibt auf die personenbezogenen Daten der anfragenden Person beschränkt. Für jede weitere Kopie kann ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangt werden (Art. 15 Abs. 3 Satz 2 DSGVO).

Art. 15 Abs. 4 DSGVO – Schranke zugunsten Dritter

Das Recht auf Erhalt einer Kopie nach Abs. 3 darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen. Diese Norm verlangt eine Einzelfall­abwägung zwischen dem Auskunftsinteresse der anfragenden Person und den Geheim- und Persönlichkeitsschutz­interessen Dritter (Erwägungsgrund 63 Satz 5). In der Hochschul- und Verwaltungspraxis ist Abs. 4 der Hebel für Schwärzungen und auszugsweise Auskünfte (siehe Sektion 5). Daneben können nationale Schranken gemäß Art. 23 DSGVO greifen; für öffentliche Stellen Sachsen-Anhalts ist insbesondere § 11 DSAG LSA (Beschränkung des Auskunftsrechts nach Art. 15 DSGVO) maßgeblich (für Bundes­behörden korrespondierend §§ 29, 32–37 BDSG), ergänzt um fachgesetzliche Geheimhaltungs- und Strafverfolgungs­vorbehalte.

Art. 15 Abs. 1–4 DSGVO; Art. 12 Abs. 3, 5 DSGVO; Erwägungsgrund 63 DSGVO; EuGH, Urteil v. 12.01.2023 – C-154/21 (Österreichische Post); EuGH, Urteil v. 04.05.2023 – C-487/21 (CRIF); § 11 DSAG LSA

03

Identitätsprüfung und Eingang der Anfrage

Vor jeder Auskunftserteilung steht die Frage, wer die Anfrage stellt. Art. 12 Abs. 6 DSGVO erlaubt dem Verantwortlichen, bei begründeten Zweifeln an der Identität zusätzliche Informationen zur Bestätigung anzufordern. Der Maßstab ist verhältnismäßig: weder darf die Identitätsprüfung als faktische Hürde missbraucht werden, noch darf der Verantwortliche personenbezogene Daten an Unberechtigte herausgeben. Erwägungsgrund 64 DSGVO verlangt ausdrücklich, dass die Identität der anfragenden Person mit „angemessenen Maßnahmen" überprüft wird, insbesondere im Online-Kontext.

Praxisleitlinien zur Identitätsprüfung

  • Anknüpfung an bestehende Beziehung: Stammt die Anfrage von einer Person, die der Verantwortliche kennt (z. B. eingeschriebene Studierende, aktuelle Beschäftigte, gemeldete Forschungsteilnehmer), reicht häufig die Identifikation über bekannte Merkmale aus (Matrikelnummer, Personalnummer, dienstliche E-Mail-Adresse, Hochschul-Account-Login).
  • Anfragen ohne erkennbare Beziehung: Bei Anfragen über externe E-Mail-Adressen, freie Webformulare oder Anwaltsvertretung ohne Vollmacht ist eine zusätzliche Identitätsprüfung sachgerecht – etwa Vorlage einer Ausweiskopie (Schwärzung nicht benötigter Felder zulässig und empfohlen), gegengezeichnete Anschriftenbestätigung, dienstliche Rückrufnummer.
  • Vertretung durch Rechtsbeistände: Rechtsanwältinnen und Rechtsanwälte legitimieren sich gegenüber Behörden in der Regel durch ihre Berufsstellung und eine Vollmacht. Die Vollmacht muss eindeutig auf das Auskunftsverlangen bezogen sein; eine pauschale „Vollmacht in allen Angelegenheiten" reicht für die Herausgabe besonderer Datenkategorien (Art. 9 DSGVO) regelmäßig nicht aus.
  • Identitätsprüfung darf nicht zur Schikane werden: Wiederholte und kumulative Identifikations­anforderungen, das Beharren auf postalischer Form trotz vorliegender dienstlicher Authentifizierung oder die Anforderung mehrfacher Originalunterlagen können selbst einen Verstoß gegen die Rechte aus Art. 12 DSGVO darstellen (so auch EDSA, Leitlinien 01/2022 zu den Betroffenenrechten, dort Abschnitt zur Identifizierung).
  • Dokumentation: Welche Identifikations­merkmale in welcher Form geprüft wurden, gehört in die Vorgangsakte. Bei späteren Auseinandersetzungen vor Aufsichts- oder Gerichtsbehörden ist das die wesentliche Verteidigungslinie.

Werden die zur Identifizierung angeforderten Daten nicht übermittelt oder reichen sie nicht aus, kann der Verantwortliche nach Art. 12 Abs. 2 Satz 2 DSGVO die Anfrage zurückweisen – allerdings nur, wenn er nachweisen kann, dass er die anfragende Person nicht identifizieren kann. Auch dies ist zu dokumentieren. Art. 12 Abs. 2, 6 DSGVO; Erwägungsgrund 64 DSGVO; EDSA, Leitlinien 01/2022 zu den Betroffenenrechten (Auskunft), Version 2.0 (28.03.2023)

04

Umfang der Auskunft und Anspruch auf Kopie

Welche Daten konkret von der Auskunft erfasst sind, ist eine der schwierigsten Fragen der Praxis. Der EuGH hat in mehreren Urteilen den Umfang weit ausgelegt:

  • EuGH, Urteil v. 04.05.2023 – C-487/21 (Österreichische Datenschutzbehörde / CRIF): Die „Kopie" nach Art. 15 Abs. 3 DSGVO ist eine originalgetreue und verständliche Reproduktion der verarbeiteten personenbezogenen Daten. Wo Dokumentauszüge oder ganze Datensätze erforderlich sind, um den Datensatz verständlich zu machen, hat der Verantwortliche diese zur Verfügung zu stellen.
  • EuGH, Urteil v. 22.06.2023 – C-579/21 (Pankki S): Auch Protokoll- und Logdaten über Zugriffe von Beschäftigten auf den Kundenstammsatz gehören zum Auskunftsumfang, soweit sie sich auf die anfragende Person beziehen. Der Anspruch erstreckt sich nicht auf die Identität der zugreifenden Beschäftigten als solche, jedoch auf die Tatsache, dass ein Zugriff stattgefunden hat, und auf dessen Zeitpunkt und Zweck.
  • EuGH, Urteil v. 26.10.2023 – C-307/22 (FT, Patientenakte): Auch Patientenakten und vergleichbare umfangreiche Dokumentationen können Gegenstand des Kopie-Anspruchs sein; entgegenstehende Kostengründe rechtfertigen für die erste Kopie kein Entgelt.
  • EuGH, Urteil v. 07.12.2023 – C-634/21 (SCHUFA): Bei automatisierten Einzelentscheidungen schließt Art. 15 Abs. 1 lit. h DSGVO „aussagekräftige Informationen über die involvierte Logik" ein. Die betroffene Person muss nachvollziehen können, welche Faktoren mit welchem Gewicht in die Entscheidung eingegangen sind – ohne dass dabei Geschäftsgeheimnisse vollständig offenzulegen wären.
  • BAG, Urteil v. 27.04.2021 – 2 AZR 342/20: Im Beschäftigungsverhältnis schuldet der Arbeitgeber eine hinreichend bestimmte Auskunft; ein unbestimmter Generalantrag („alle Daten") kann zur Stufenklage führen. Das Gericht hat zugleich die Pflicht des Verantwortlichen betont, die Auskunft selbst zu strukturieren – die anfragende Person muss nicht von vornherein wissen, welche Daten konkret verarbeitet werden.

Was nicht zum Auskunftsumfang gehört

  • Daten anderer Personen: Der Auskunftsanspruch erstreckt sich nur auf personenbezogene Daten der anfragenden Person. Daten Dritter sind grundsätzlich zu schwärzen oder zu entfernen, soweit sie ohne den Personenbezug zur anfragenden Person keinen Informationsmehrwert haben.
  • Interne Vermerke ohne Personenbezug: Reine Verwaltungs- und Organisationsdaten ohne Bezug zur anfragenden Person (z. B. allgemeine Verfahrens­anweisungen) sind nicht erfasst.
  • Anonyme Aggregate: Statistische Auswertungen, in die die Daten der anfragenden Person lediglich anonymisiert eingehen, sind in der Regel kein Gegenstand des Anspruchs.
  • Wertende rechtliche Beurteilungen: Ob rein interne rechtliche Bewertungen (juristische Würdigungen, Rechtsmeinungen, Vermerksentwürfe ohne Außenwirkung) selbst als personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO auskunftspflichtig sind, ist in der Literatur umstritten und höchstrichterlich noch nicht abschließend konsolidiert. Der BGH neigt im Urteil v. 06.02.2024 – VI ZR 15/23 dazu, rein wertende Anteile vom Auskunftsumfang auszunehmen. Jedenfalls die zugrunde liegenden Tatsachen und personenbezogenen Bezüge der betroffenen Person bleiben vom Auskunftsanspruch erfasst. Die Abgrenzung ist im Einzelfall zu treffen.

Art. 4 Nr. 1, Art. 15 Abs. 1, 3 DSGVO; EuGH-Rechtsprechung wie oben; BAG, Urteil v. 27.04.2021 – 2 AZR 342/20; BGH, Urteil v. 06.02.2024 – VI ZR 15/23

05

Schwärzungen, Drittinteressen und Ausnahmen

Art. 15 Abs. 4 DSGVO i. V. m. Erwägungs­grund 63 Satz 5 verlangt eine Abwägung zwischen dem Auskunftsinteresse der anfragenden Person und den Rechten und Freiheiten Dritter. In der Praxis öffentlicher Stellen sind insbesondere folgende Konstellationen ausabwägungs­relevant:

  • Drittnamen und Drittäußerungen: Namen anderer Beschäftigter, Studierender, Patientinnen, Patienten, Hinweisgeber und externer Gutachterinnen sind regelmäßig zu schwärzen, soweit ihre Nennung nicht für das Verständnis des Datensatzes der anfragenden Person zwingend erforderlich ist. Bei wertenden Aussagen Dritter kommt eine pseudonymisierte Wiedergabe in Betracht („Vorgesetzter A bemerkte…"), wenn der Inhalt der Aussage datenschutzrechtlich für die anfragende Person relevant ist.
  • Geschäfts- und Betriebsgeheimnisse: Auch im öffentlichen Sektor relevant – etwa bei Vergabe­verfahren, Sicherheits­dienstleistungen oder Forschungs­kooperationen. Erwägungsgrund 63 nennt ausdrücklich Geschäftsgeheimnisse, geistiges Eigentum und urheberrechtlich geschützte Software­quellcodes als Schutzgüter; die Abwägung darf jedoch nicht dazu führen, dass „der betroffenen Person alle Auskünfte verweigert werden" (Satz 6).
  • Strafverfolgungs- und Sicherheits­interessen: Für öffentliche Stellen Sachsen-Anhalts ist insbesondere § 11 DSAG LSA als Auskunftsbeschränkungsnorm (Beschränkung des Auskunftsrechts nach Art. 15 DSGVO) einschlägig (für Bundesbehörden korrespondierend §§ 29, 32–37 BDSG), ergänzt um fachgesetzliche Vorschriften (z. B. SOG LSA, § 199 StPO, Verfassungsschutzgesetz LSA): Sie sehen Auskunfts­beschränkungen vor, wenn die Auskunft die öffentliche Sicherheit, laufende Ermittlungen oder die Erfüllung gesetzlicher Geheimhaltungspflichten gefährden würde.
  • Vertrauliche Beratungs- und Gremien­vorgänge: In Berufungs­kommissionen, Prüfungs­ausschüssen und vergleichbaren Gremien werden vergleichende Bewertungen vorgenommen, die nicht ohne weiteres offenzulegen sind. Eine vollständige Offenlegung der Voten über Mitbewerberinnen und Mitbewerber oder der ungeschwärzten Gutachten ist nach Art. 15 Abs. 4 DSGVO i. V. m. Erwägungs­grund 63 regelmäßig auf das für den Rechtsschutz zwingend Erforderliche zu beschränken (näher: Themenseite Beschäftigtendatenschutz).
  • Berufs- und Amtsgeheimnisse: Sozial-, Steuer-, Beratungs- und ärztliche Geheimnisse werden durch die jeweiligen Fachvorschriften erfasst – insbesondere § 203 StGB (Verletzung von Privatgeheimnissen), §§ 67 d–84 SGB X (Sozialdatenschutz), § 30 AO (Steuergeheimnis) – ergänzt durch landesrechtliche Auskunftsbeschränkungen (§ 11 DSAG LSA).

Drei Schichten der Schwärzungsentscheidung

  1. Personenbezug der konkreten Information. Bezieht sich die Information auf die anfragende Person? Falls nein, ist sie nicht Gegenstand des Auskunftsanspruchs und kann entfernt werden.
  2. Berührung von Drittinteressen. Ist die Information zugleich personenbezogen für eine andere Person oder enthält sie Geheimnisse Dritter? Falls ja, folgt die Abwägung nach Art. 15 Abs. 4 DSGVO.
  3. Greift eine nationale Schranke? Sind § 11 DSAG LSA oder fachgesetzliche Auskunftsbeschränkungen einschlägig? Falls ja, ist die Auskunft entsprechend zu reduzieren; die Reduzierung ist gegenüber der betroffenen Person nachvollziehbar zu begründen (Art. 12 Abs. 4 DSGVO).

Eine pauschale Verweigerung mit Verweis auf „Drittrechte" ist nach EuGH-Rechtsprechung unzulässig. Erforderlich ist eine konkret begründete, dokumentierte Einzelfall­abwägung. Art. 12 Abs. 4, Art. 15 Abs. 4, Art. 23 DSGVO; Erwägungsgrund 63 DSGVO; § 11 DSAG LSA; § 203 StGB; §§ 67 d–84 SGB X; § 30 AO

06

Frist, Form und Format der Auskunft

Art. 12 Abs. 3 DSGVO setzt die Regelfrist von einem Monat ab Eingang der Anfrage; sie kann um zwei weitere Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl der Anträge erforderlich ist – die Verlängerung ist der betroffenen Person innerhalb eines Monats nach Antragseingang mitsamt Begründung mitzuteilen. Wird auf den Antrag nicht reagiert, ist die betroffene Person ebenfalls innerhalb eines Monats über die Gründe und über das Recht auf Beschwerde bei der Aufsichtsbehörde zu informieren (Art. 12 Abs. 4 DSGVO).

Form der Anfrage: Art. 12 Abs. 1 DSGVO sieht keine Formvorschrift vor; der Antrag kann schriftlich, elektronisch oder mündlich erfolgen. In der Praxis empfehlen sich – unbeschadet der Formfreiheit – dokumentierbare Eingangswege, die zugleich die Identifikation erleichtern (zentrale Funktionspostfächer, Online-Formulare mit Authentifizierung, Eingangsstempel bei Papier­anträgen).

Format der Auskunft: Erfolgt die Anfrage elektronisch, sind die Informationen nach Möglichkeit ebenfalls in elektronischer Form bereitzustellen (Art. 12 Abs. 3 Satz 4 DSGVO). Eine andere, von der anfragenden Person ausdrücklich gewünschte Form ist zu berücksichtigen. Für die Kopie nach Abs. 3 ist ein gängiges elektronisches Format zu wählen – PDF mit Textebene oder strukturierte Daten (CSV, JSON) je nach Datenart sind regelmäßig sachgerecht.

Entgelt: Die erste Kopie ist unentgeltlich. Für weitere Kopien kann ein angemessenes Entgelt auf Grundlage der Verwaltungskosten verlangt werden (Art. 15 Abs. 3 Satz 2 DSGVO); der EuGH hat dies im Patientenakten-Urteil C-307/22 klargestellt. Bei offenkundig unbegründeten oder exzessiven Anträgen sieht Art. 12 Abs. 5 DSGVO zusätzlich die Möglichkeit eines angemessenen Entgelts oder der Ablehnung vor (näher Sektion 8). Art. 12 Abs. 1, 3, 4, 5 DSGVO; Art. 15 Abs. 3 DSGVO; EuGH, Urteil v. 26.10.2023 – C-307/22

07

Prozessgestaltung in vier Schritten

Ein belastbarer Bearbeitungsprozess strukturiert die Auskunftserteilung in vier Phasen. Die Methodik folgt dem Vorschlag von K. Benedikt (privacyXperts, 20. Mai 2026) und entspricht der gängigen Aufsichts­praxis:

  1. Eingang und Identifizierung Zentrale Eingangsadresse (Funktionspostfach, Online-Formular), automatisierte Eingangsbestätigung mit Fristnotiz, Identitätsprüfung nach Art. 12 Abs. 6 DSGVO; bei Zweifeln gezielte Nachforderung weiterer Identifikations­merkmale; klare Eskalationsregeln bei nicht identifizierbaren Personen. Art. 12 Abs. 2, 3, 6 DSGVO
  2. Datenermittlung Systematische Abfrage aller Stellen, in denen personenbezogene Daten der anfragenden Person verarbeitet werden (Fachverfahren, E-Mail-Postfächer, Backups, Schnittstellen zu Auftragsverarbeitern, Personal-, Studierenden-, Forschungs-, Berufungsakten); standardisierte Suchanweisung an die jeweils zuständigen Stellen; klare Rückmeldefrist intern (in der Regel 5–10 Werktage). Die Vollständigkeit der Auskunft hängt entscheidend davon ab, dass das Verarbeitungsverzeichnis nach Art. 30 DSGVO aktuell ist. Art. 5 Abs. 2, Art. 30 DSGVO
  3. Prüfung und Aufbereitung Schwärzung von Drittdaten und geschützten Inhalten (siehe Sektion 5); Aufbereitung in lesbarer Form; Strukturierung der Begleitinformationen nach Art. 15 Abs. 1 lit. a–h DSGVO; Zusammenstellung der Begründung für jede Beschränkung der Auskunft; Vier-Augen-Prinzip bei sensiblen Vorgängen empfohlen. Art. 12 Abs. 4, Art. 15 Abs. 1, 4 DSGVO
  4. Auskunft und Dokumentation Fristgerechte Übermittlung in der vereinbarten oder angefragten Form; Hinweis auf das Recht der Beschwerde bei der Aufsichtsbehörde; revisionssichere Dokumentation des gesamten Vorgangs (Eingang, Identifikation, Datenermittlung, Abwägungs­entscheidungen, übermittelte Inhalte, Versanddatum). Die Dokumentation ist regelmäßiger Verteidigungsanker bei späteren Beschwerden oder Klagen. Art. 5 Abs. 2, Art. 12 Abs. 3, Art. 77 DSGVO

Praktisch bewährt haben sich zudem standardisierte Vorlagen für Antwortschreiben (Bestätigung positiv, Bestätigung negativ („Negativauskunft"), Fristverlängerung, teilweise Auskunftserteilung mit Schwärzungsbegründung, Zurückweisung wegen Identitäts­zweifel, Zurückweisung wegen Exzessivität), eine automatisierte Fristen­überwachung (Kalender­erinnerung 21 Tage nach Eingang) und regelmäßige Schulungen der Beschäftigten, die mit Datenermittlung befasst sind.

08

Missbrauch und exzessiver Antrag

Mit zunehmender Bekanntheit des Auskunftsrechts hat sich – zunächst in den Tätigkeitsberichten der Aufsichts­behörden, inzwischen auch in der Rechtsprechung – ein Vorgehensmuster gezeigt, das in der Praxis als „DSGVO-Hopping" beschrieben wird: serielle Auskunftsanfragen ohne erkennbares Informationsinteresse, die ausschließlich darauf abzielen, bei verspäteter, unvollständiger oder ausbleibender Beantwortung einen immateriellen Schadensersatzanspruch nach Art. 82 DSGVO geltend zu machen. Das Phänomen ist die DSGVO-Parallele zum arbeitsrechtlichen „AGG-Hopper" (vgl. BAG, Urteil v. 5. Juni 2025 – 8 AZR 117/24).

EuGH, Urteil v. 19. März 2026 – C-526/24 (Brillen Rottler)

Der Sachverhalt: Eine in Österreich wohnhafte Person hatte sich bei dem Optikerunternehmen Brillen Rottler (Arnsberg) zum Newsletter angemeldet und wenige Tage später einen Auskunftsantrag nach Art. 15 DSGVO gestellt; nach Zurückweisung als missbräuchlich verlangte sie 1.000 € immateriellen Schadensersatz. Das AG Arnsberg legte dem EuGH die Frage vor, ob bereits der erste Antrag als exzessiv im Sinne des Art. 12 Abs. 5 DSGVO eingestuft werden könne.

Der EuGH hat im Urteil vom 19. März 2026 drei Kernaussagen getroffen:

  • Auch ein erster Antrag kann exzessiv sein. Art. 12 Abs. 5 DSGVO setzt nicht voraus, dass bereits frühere Anträge gestellt wurden; schon der erstmalige Antrag kann als exzessiv gelten, wenn er missbräuchlich ist.
  • Missbrauch bei sachfremdem Zweck. Ein Auskunftsantrag ist missbräuchlich, wenn er ausschließlich darauf abzielt, anschließend Schadensersatz wegen eines angeblichen DSGVO-Verstoßes zu fordern; das eigentliche Auskunfts- und Kontrollinteresse fehlt.
  • Beweislast beim Verantwortlichen. Wer den Antrag wegen Missbrauchs zurückweist, muss diesen nachweisen; objektive Indizien (systematisches Vorgehen gegenüber mehreren Verantwortlichen, sehr kurze Zeitspanne zwischen Datenerhebung und Antrag, vorgeschaltete Schadens­ersatz­forderung, fehlendes erkennbares Datenschutzinteresse, dokumentierte Muster aus Medien- oder Anwaltsberichten) sind zulässige Beweismittel.

Rechtsfolge: Die Zurückweisung eines tatsächlich missbräuchlichen Antrags stellt keinen Verstoß gegen die DSGVO dar und löst keinen Schadensersatzanspruch nach Art. 82 DSGVO aus (zugleich Bestätigung der seit C-300/21 / Österreichische Post entwickelten Linie zum Erfordernis eines tatsächlichen Verstoßes und nachgewiesenen Schadens). EuGH, Urteil v. 19.03.2026 – C-526/24 (Brillen Rottler); EuGH, Urteil v. 04.05.2023 – C-300/21 (Österreichische Post)

Praxisleitlinie: Verweigern oder Auskunft erteilen?

Drei Konstellationen sind zu unterscheiden:

  • Klassischer Missbrauch (Verweigerung möglich): Serienanmeldungen mit unmittelbar nachfolgender Schadensersatz­forderung, kein erkennbares Datenschutzinteresse, dokumentierte Muster aus Anwalts- oder Medienberichten. Hier ist die Zurückweisung nach Art. 12 Abs. 5 DSGVO unter sorgfältiger Dokumentation der Indizien zulässig.
  • Grauzone (Einzelfallprüfung): Wiederholte Anfragen ohne externe Belegmuster, unklare Motive, einzelne Indizien für strategisches Vorgehen. Hier empfiehlt sich eine vertiefte Prüfung; im Zweifel Auskunft erteilen und Vorgang dokumentieren – der Aufwand der Auskunftserteilung ist regelmäßig geringer als der eines Schadensersatzprozesses.
  • Legitimes Anliegen (Auskunft erteilen): Konkretes Interesse an der Datenverarbeitung, erstmalige Anfrage, nachvollziehbarer Anlass (z. B. nach Vertragsende, im Vorfeld einer Beschwerde, bei laufendem Verwaltungsverfahren). Auskunft ist im vollen Umfang zu erteilen.

In der Hochschulpraxis sind klassische Missbrauchsfälle seltener als in B2C-Konstellationen: Studierende, Beschäftigte und Forschende stehen regelmäßig in einer fortbestehenden Rechtsbeziehung zur Hochschule und haben ein nachvollziehbares Auskunfts­interesse. Vorsicht ist vor allem dort geboten, wo Auskunftsanfragen verfahrenstaktisch im Vorfeld arbeits- oder prüfungsrechtlicher Streitigkeiten gestellt werden; auch hier ist die Auskunft jedoch grundsätzlich zu erteilen, da Verfahrenstaktik allein keinen Missbrauch begründet. Vertiefend zu den Begriffen siehe Glossareintrag DSGVO-Hopping und Exzessiver Antrag (Art. 12 Abs. 5 DSGVO).

09

Sonderkonstellationen an Hochschulen

Hochschulen verarbeiten in ungewöhnlicher Tiefe und Breite personenbezogene Daten – über Statusgruppen, Lebensphasen und Verwaltungsverfahren hinweg. Die folgenden fünf Konstellationen treten in der Praxis am häufigsten auf und erfordern jeweils eine spezifische Bearbeitungslogik:

Studierendendaten

Auskunftsersuchen von Studierenden

Studierende fragen typischerweise nach den in der Hochschule über sie geführten Daten – Stammdaten, Immatrikulations­historie, Prüfungs­leistungen, Studien­verläufe, BAföG-relevante Bescheinigungen, Disziplinar­vorgänge. Identifikation regelmäßig über Matrikelnummer und Hochschul-Account. Datenermittlung erstreckt sich auf das Campus-Management-System (HISinOne, CampusOnline o. ä.), das Prüfungsverwaltungs­modul, ggf. das Lernmanagement­system und die Akten der Prüfungsausschüsse. Schwärzungen typischerweise gering; relevant nur bei Disziplinar­vorgängen mit Drittbeteiligung.

Bewerbungsverfahren

Auskunftsersuchen abgelehnter Bewerberinnen und Bewerber

Nach Ablehnung einer Bewerbung kommen Auskunftsanfragen häufig in Vorbereitung einer AGG-Entschädigungs­klage oder einer Konkurrentenklage. Hier kollidiert das Auskunftsinteresse mit der Vertraulichkeit der vergleichenden Bewertungen, der Identität externer Gutachterinnen und Gutachter und den Persönlichkeits­rechten der erfolgreichen Mitbewerber. Auch hier gilt: Vollständige Offenlegung der Voten aller Bewerbenden ist nach Art. 15 Abs. 4 DSGVO i. V. m. Erwägungsgrund 63 regelmäßig auf das für den Rechtsschutz zwingend Erforderliche zu beschränken; in der Praxis sind gestaffelte Auskünfte mit Pseudonymisierung der Mitbewerber und teilweisen Schwärzungen externer Gutachten empfehlenswert. Zur vertiefenden Darstellung siehe Themenseite Beschäftigtendatenschutz, Bewerbermanagement. Hinweis: BAG, Urteil v. 5. Juni 2025 – 8 AZR 117/24, schärft die Informationspflichten im Bewerbungsverfahren (Pflicht zur Information über Internet- und Hintergrund­recherchen).

Berufungsverfahren

Auskunftsersuchen unterlegener Bewerbender im Berufungsverfahren

Berufungsverfahren auf Professuren weisen ein eigenes Komplexitäts­profil auf: Berufungs­kommissionen, Fakultäts­räte und Senat als Gremien; externe Gutachterinnen und Gutachter regelmäßig aus dem Drittland; vertrauliche vergleichende Voten. Auskunftsersuchen unterlegener Bewerbender sind im Lichte des Schutzes der Gutachten­vertraulichkeit (auch ein konstitutives Element der Wissenschafts­freiheit nach Art. 5 Abs. 3 GG) und der Persönlichkeits­rechte erfolgreicher Mitbewerber zu beurteilen. Die Identität externer Gutachterinnen und Gutachter ist in der Regel besonders schutzwürdig und nur dann offenzulegen, wenn die Auskunft ohne diese Information ihren Zweck verfehlen würde; die hochschul­rechtliche Begründung wird in Sachsen-Anhalt regelmäßig über §§ 35, 36 HSG LSA in Verbindung mit den Berufungs­ordnungen geführt.

Personalakten

Auskunftsersuchen aktiver und ehemaliger Beschäftigter

Beschäftigte haben neben dem Auskunftsrecht aus Art. 15 DSGVO ein individuelles Einsichtsrecht in die eigene Personalakte: für Beamtinnen und Beamte des Landes nach §§ 84 ff. LBG LSA (Personalaktenrecht; das Einsichtsrecht selbst ist landesbeamtenrechtlich ausgestaltet), für Tarif­be­schäftigte des Landes über § 26 Abs. 1 DSAG LSA in Verbindung mit dem TV-L und der entsprechenden Anwendung der beamtenrechtlichen Personalakten­vorschriften. § 83 BetrVG (Einsichtsrecht des Arbeitnehmers in seine Personalakte) gilt im öffentlichen Dienst des Landes nach § 130 BetrVG nicht unmittelbar, wird aber als Strukturparallele für die Verfahrensgestaltung herangezogen; § 110 BPersVG (Übergangsvorschriften nach der Neufassung 2021) ist für Landeshochschulen ohnehin nicht einschlägig. Mitwirkungs- und Mitbestimmungsrechte der Personalvertretung in personellen Angelegenheiten folgen aus dem PersVG LSA (insbesondere §§ 65 ff. PersVG LSA — Beteiligungstat­bestände; § 71 PersVG LSA regelt nicht die Akteneinsicht, sondern die Mitbestimmung in personellen Einzelmaßnahmen); eine Akteneinsicht der Personalvertretung in eine konkrete Personalakte setzt grundsätzlich die Zustimmung der betroffenen Person voraus. In der Praxis empfehlen sich kombinierte Bearbeitungen: Die Anfrage wird sowohl auf der personalakten­rechtlichen als auch auf der datenschutzrechtlichen Schiene beantwortet, mit klarer Kennzeichnung, welche Ansprüche auf welcher Rechtsgrundlage erfüllt werden. Vertiefend siehe Themenseite Beschäftigtendatenschutz, Personalaktenführung.

Forschungsdaten

Auskunftsersuchen von Forschungsteilnehmenden

Bei der Verarbeitung personenbezogener Daten zu wissenschaftlichen oder historischen Forschungs­zwecken (Art. 89 DSGVO i. V. m. § 27 DSAG LSA) kann der Auskunftsanspruch nach Art. 15 DSGVO beschränkt sein: Nach § 27 Abs. 5 Satz 1 DSAG LSA besteht der Anspruch nicht, soweit die Inanspruchnahme dieses Rechts voraussichtlich die Verwirklichung der wissenschaftlichen oder historischen Forschungs­zwecke oder der statistischen Zwecke unmöglich macht oder ernsthaft beeinträchtigt und der Ausschluss dieses Rechts für die Erfüllung der Zwecke notwendig ist (zugleich Umsetzung der Öffnungsklausel Art. 89 Abs. 2 DSGVO). Das Ergebnis der Abwägung und dessen Begründung sind nach § 27 Abs. 5 Satz 2 DSAG LSA aktenkundig zu dokumentieren — ein praxisrelevanter Schritt, der bei Aufsichtsverfahren regelmäßig geprüft wird. In der Praxis betrifft das vor allem pseudonymisierte Datensätze, bei denen die Re-Identifizierung nur über getrennt gehaltene Zuordnungs­schlüssel (§ 27 Abs. 1 Sätze 2 und 3 DSAG LSA) möglich wäre. Soweit der Personenbezug noch herstellbar ist, ist die Auskunft im Grundsatz zu erteilen; die Forschungs­dokumentation muss die Fähigkeit zur Identitäts­zuordnung im Rahmen der Auskunfts­bearbeitung berücksichtigen.

10

Abgrenzung zu anderen Auskunfts- und Akteneinsichtsrechten

Das DSGVO-Auskunftsrecht steht neben, nicht statt der fachgesetzlichen Akteneinsichts- und Informationszugangs­rechte. Wer eine Auskunfts- oder Einsichts­anfrage bearbeitet, muss daher zuerst klären, welche Rechtsgrundlage(n) die anfragende Person geltend macht oder geltend machen könnte:

Anspruch Rechtsgrundlage Anwendungsbereich Spezifika
DSGVO-Auskunft Art. 15 DSGVO Personenbezogene Daten der anfragenden Person bei jedem Verantwortlichen Bestätigung, Information, Kopie; Schranke nach Abs. 4 zugunsten Dritter; Frist 1 Monat (+ 2)
Akteneinsicht im Verwaltungsverfahren § 29 VwVfG LSA Beteiligte eines konkreten Verwaltungsverfahrens Bezogen auf die Verfahrensakte; Ermessen bzgl. Zeit, Ort, Umfang; keine Pflicht zur Übermittlung von Kopien außerhalb des Verfahrenszwecks
Personalakten­einsicht (Beamte) §§ 84 ff. LBG LSA Beamtinnen und Beamte des Landes Umfasst die gesamte Personalakte inkl. Beihilfe- und Versorgungsakten; Einsicht regelmäßig vor Ort; weiterführende Rechte bei Bewertungen
Personalakten­einsicht (Tarifbeschäftigte) §§ 84 ff. LBG LSA entsprechend i. V. m. § 26 Abs. 1 DSAG LSA und TV-L Tarifbeschäftigte des Landes Vergleichbar mit Beamtenpersonalakte; ergänzt durch tarifrechtliche Vorgaben. § 83 BetrVG (Individualrecht des Arbeitnehmers auf Einsicht in die eigene Personalakte) gilt nach § 130 BetrVG im öffentlichen Dienst des Landes nicht unmittelbar; als Strukturparallele für die Verfahrensgestaltung verwertbar.
Informationszugang IZG LSA (in Sachsen-Anhalt) / IFG (Bund) Amtliche Informationen öffentlicher Stellen gegenüber jedermann Kein Erfordernis eines persönlichen Betroffenseins; eigene Ausnahme- und Versagungs­gründe; keine Pflicht zur Übermittlung personenbezogener Daten Dritter ohne deren Einwilligung
Prüfungsrechtliche Einsichtsrechte HSG LSA i. V. m. der jeweiligen Prüfungs-, Studien- und Promotionsordnung der Hochschule Studierende, Promovierende, Habilitierende Einsicht in Prüfungsunterlagen nach Bekanntgabe der Bewertung; Pflicht zur Begründung im Einzelfall. Die konkrete Norm und Frist ergibt sich aus der jeweils einschlägigen Prüfungs- oder Promotionsordnung; ergänzend gelten die allgemeinen verwaltungs­verfahrensrechtlichen Grundsätze.

Konsequenz für die Praxis: Die Ansprüche sind eigenständig. Eine erfüllte DSGVO-Auskunft macht eine spätere Akteneinsicht nach § 29 VwVfG LSA nicht entbehrlich – und umgekehrt. In der Hochschulpraxis empfiehlt sich, die Anfrage im Zweifel als DSGVO-Auskunftsanfrage zu klassifizieren und gleichzeitig zu prüfen, ob daneben fachgesetzliche Rechte greifen. Eine Rückfrage bei der anfragenden Person über die beabsichtigte Rechtsgrundlage ist zulässig und in unklaren Fällen sinnvoll; die Frist nach Art. 12 Abs. 3 DSGVO läuft jedoch ab Eingang der Anfrage weiter. Art. 15 DSGVO; § 29 VwVfG LSA; §§ 84 ff. LBG LSA; § 26 Abs. 1 DSAG LSA; §§ 65 ff. PersVG LSA (Beteiligung der Personalvertretung); IZG LSA; HSG LSA

11

KI-generierte Anfragen und neue Praxis

Aufsichtsbehörden berichten seit etwa 2024 von einem deutlichen Anstieg KI-generierter Auskunftsersuchen. Die Senkung der formalen Hemmschwelle durch frei verfügbare generative KI-Werkzeuge führt dazu, dass Auskunftsanfragen in juristisch sauberer, aber inhaltlich teils standardisierter Form auch von Personen gestellt werden, die ohne KI-Hilfe keinen vergleichbar formulierten Antrag verfasst hätten. Für die Bearbeitung im Verantwortlichen ergeben sich daraus drei Folgerungen:

  • KI-Generierung ist kein Missbrauchsindiz an sich. Die Tatsache, dass ein Antrag mit Hilfe eines Sprachmodells formuliert wurde, macht ihn weder rechtlich noch faktisch zu einem missbräuchlichen Antrag. Auskunftsersuchen sind formfrei; die Anfertigung über eine generative KI ist nichts grundsätzlich anderes als die Anfertigung mit Hilfe eines Anwaltsformulars oder einer Verbraucher­organisation.
  • Kritische Prüfung der formalen Standardisierung. KI-generierte Anfragen enthalten regelmäßig allgemeine juristische Versatzstücke (vollständige Aufzählung aller Art. 15-Unterpunkte, pauschale Verweise auf EuGH-Rechtsprechung). Sie sind so zu behandeln wie jede andere Anfrage; der Verantwortliche muss prüfen, was die anfragende Person tatsächlich wissen möchte und die Auskunft darauf substantiieren – nicht jeden standardisierten Unterpunkt mechanisch abarbeiten.
  • Indizielle Bedeutung im Missbrauchskontext. Erst wenn eine KI-generierte Anfrage zusätzlich indizgestützte Missbrauchsmerkmale aufweist (Serienanmeldungen bei vielen Verantwortlichen mit identischem Textmuster, sehr kurze Zeitspanne nach Datenerhebung, vorgeschaltete Schadensersatz­forderung), kann sie im Rahmen der Gesamtwürdigung nach EuGH C-526/24 berücksichtigt werden. KI-Generierung allein genügt dafür nicht.

Hochschulkontext: Innerhalb der Hochschule ist mit KI-generierten Anfragen vor allem aus dem studentischen Bereich zu rechnen. Hier ist die Bearbeitung durchgängig im Sinne der DSGVO unproblematisch; der häufigste Konfliktpunkt ist erfahrungsgemäß die unklare oder zu breite Formulierung. Praxisempfehlung: aktive Konkretisierung durch Rückfrage anstelle einer pauschalen Vollantwort. Art. 12 Abs. 1, 5 DSGVO; EuGH, Urteil v. 19.03.2026 – C-526/24 (Brillen Rottler); Tätigkeitsberichte der LfD/LDA-Behörden 2024–2025

12

Wiederkehrende Stolperfallen

Aus der aufsichtsbehördlichen und gerichtlichen Praxis kristallisieren sich neun wiederkehrende Fehlerquellen:

  1. Fristbeginn falsch berechnet: Die Monatsfrist beginnt mit Eingang der Anfrage beim Verantwortlichen, nicht erst nach Identitätsklärung. Wer die Identitätsprüfung als Pufferzone benutzt, riskiert die Fristversäumung.
  2. Verzögerte interne Datenermittlung: Die meisten Fristverletzungen entstehen nicht im Datenschutzreferat, sondern in den fachlichen Stellen, die zur Datenermittlung beitragen. Standardisierte interne Anforderungen mit klarer Rückmeldefrist (5–10 Werktage) sind hier die wirksamste Gegenmaßnahme.
  3. Empfängerangaben nur abstrakt: Nach EuGH C-154/21 sind die konkreten Empfänger zu benennen, soweit diese bestimmt sind oder bestimmt werden können; nur wenn dies (noch) nicht möglich ist, genügt die Angabe von Empfängerkategorien. Pauschalangaben wie „IT-Dienstleister" reichen daher häufig nicht aus – vorbehaltlich des Nachweises, dass eine konkrete Benennung im Einzelfall nicht möglich war.
  4. Pauschale Verweigerung mit Drittinteressen: Eine pauschale Verweigerung mit Verweis auf nicht näher bezeichnete „Drittrechte" ist unzulässig. Erforderlich ist eine konkrete, dokumentierte Einzelfallabwägung; vgl. EuGH C-307/22.
  5. Vergessen der Begründungspflicht bei Beschränkungen: Wer die Auskunft teilweise verweigert, schuldet eine Begründung nach Art. 12 Abs. 4 DSGVO. Eine kommentarlose Auskunfts­erteilung mit Schwärzungen erfüllt die Pflicht nicht.
  6. Kein Hinweis auf Beschwerderecht: Bei jeder (auch teilweisen) Ablehnung muss der Hinweis auf das Beschwerde­recht bei der Aufsichtsbehörde nicht fehlen (Art. 12 Abs. 4 DSGVO).
  7. Kein dokumentierter Bearbeitungsvorgang: Was nicht dokumentiert ist, lässt sich gegenüber der Aufsichtsbehörde nicht verteidigen. Die Rechenschafts­pflicht aus Art. 5 Abs. 2 DSGVO greift auch bei der Auskunftserteilung.
  8. Verwechslung von Auskunft und Akteneinsicht: Die DSGVO-Auskunft ist kein umfassendes Akteneinsichtsrecht. Wer pauschal die ganze Akte kopiert, kann Drittinteressen verletzen; wer keinerlei Kopien herausgibt, verletzt Art. 15 Abs. 3 DSGVO.
  9. Reflex-Verweigerung wegen vermeintlichen Missbrauchs: Die Schwelle des Art. 12 Abs. 5 DSGVO ist hoch und liegt beim Verantwortlichen; sie ist nur bei dokumentierbarer Indizienlage erreicht. Im Zweifel Auskunft erteilen.

Art. 5 Abs. 2, Art. 12, 15 DSGVO; einschlägige EuGH- und BGH-Rechtsprechung

13

Vertiefende Quellen

Rechtsquellen

Rechtsprechung

Aufsichtspraxis und Leitlinien

Querverweise auf eigene Themenseiten

Stand: Q2/2026 · letzte inhaltliche Pflege; rechtsprechungsbezogene Aussagen sind dynamisch und vor produktiver Nutzung an aktuellen Primärquellen zu prüfen.

Weitere Themenseiten zu Datenschutz, KI-Verordnung und Informationssicherheit.

Zur Themenübersicht

Fragen zu dieser Seite?

Hinweise, Fehlerkorrekturen oder Anregungen zur Erweiterung dieser Seite nehme ich gerne entgegen.

kontakt@dennisawinkler.de