DSGVO-Auskunft und Löschung in der Praxis: So setzt Du Art. 15 und Art. 17 rechtssicher und effizient um

Viele Unternehmen kassieren Bußgelder nicht wegen Hackerangriffen, sondern wegen schlecht gemanagter Auskunfts- und Löschbegehren. Du kannst das vermeiden. In diesem Leitfaden zeige ich Dir einen klaren, praxistauglichen Prozess mit Mustersätzen und Checklisten. Diesen kannst du sofort umsetzen – auch ohne Großkanzlei und mit schlanken Mitteln.

Warum Auskunfts- und Löschbegehren Dich sofort betreffen

Betroffene haben das Recht auf Auskunft nach Art. 15 DSGVO und das Recht auf Löschung nach Art. 17 DSGVO. Wenn Du nicht fristgerecht, vollständig und verständlich antwortest, riskierst Du Bußgelder und Schadenersatzansprüche. Die Frist beträgt in der Regel einen Monat. Mit einem standardisierten Prozess, klaren Rollen und vorbereiteten Textbausteinen reduzierst Du Risiken und vermeidest Stau in der Bearbeitung. Aktuelle Entwicklungen verstärken den Druck. Der Europäische Datenschutzausschuss (EDSA) betont die internationale Zusammenarbeit von Aufsichtsbehörden. Das lässt eine konsequentere Durchsetzung erwarten (EDSA-Report, 02/2026). Diese Entwicklung forciert eine frist- und nachweisfeste Bearbeitung noch mehr.

Der Rechtsrahmen in Kürze – was Du wirklich wissen musst

Recht auf Auskunft

Das Recht auf Auskunft nach Art. 15 DSGVO umfasst u. a.:

  • die Zwecke der Verarbeitung,
  • die Datenkategorien,
  • die Empfänger,
  • die Speicherdauer,
  • die Herkunft der Daten,
  • die Betroffenenrechte,
  • Informationen zur automatisierten Entscheidungsfindung

Zusätzlich umfasst es eine Kopie der personenbezogenen Daten.

Recht auf Löschung

Das Recht auf Löschung nach Art. 17 DSGVO greift bei bestimmten Voraussetzungen. Beispielsweise, wenn der Zweck entfallen ist, eine Einwilligung widerrufen wurde oder die Verarbeitung unrechtmäßig war. Ausnahmen sind etwa gesetzliche Aufbewahrungsfristen oder die Geltendmachung von Rechtsansprüchen.

Was Du sonst beachten musst

Die formalen Anforderungen nach Art. 12 DSGVO folgen gewissen Regeln:

  • Verständlich und einfache Sprache
  • Gängiges Format
  • Unentgeltliche Auskunft

Außerdem musst Du die Fristen einhalten und begründete Verlängerungen transparent machen. Die Identifizierung nach Art. 11 DSGVO stellt die Nicht-Herausgabe von Daten an Unbefugte sicher. Du darfst in begründeten Fällen einen angemessenen Identitätsnachweis verlangen. Ältere, aber weiterhin hilfreiche Einordnungen zeigen den Trend zu strikter Anwendung. Der EuGH (C34/21, 03/2023) betont die strikte Erfüllung der nationalen Regeln im Beschäftigtenkontext der DSGVO-Anforderungen. Damit rückt die Basis in Art. 6 DSGVO schärfer in den Vordergrund. Die EDSA-Entscheidungen zu Meta (05/2023) unterstreichen die Durchsetzungsbereitschaft der Behörden.

Was die Praxis herausfordert – und wie Du sie stabilisierst

Die meisten Fehler passieren an drei Stellen.

  1. Die Identifizierung scheitert, weil die Anforderungen entweder zu locker oder zu streng sind.
  2. Antworten werden zu spät oder unvollständig versendet, weil die Datenlandkarte fehlt und interne Zuarbeiten haken. 
  3. Die Dokumentation ist unzureichend, sodass Nachweise gegenüber Behörden und Gerichten fehlen. Mit einer klaren Pipeline, definierten Ansprechpartnern, einer gepflegten Datenlandkarte und guten Vorlagen sicherst Du die Qualität und hältst die Frist.

Aktuelle Orientierungspunkte, die Deine Prozesse beeinflussen

Der EDSA hebt die internationale Kooperation der Aufsichtsbehörden hervor. Diese Entwicklung spricht für mehr grenzüberschreitende Konsistenz und damit für eine strengere Erwartung an Fristen, Vollständigkeit und Nachweise. Du solltest daher Deine Prozessdokumentation auditfest gestalten. In Großbritannien erwartet die Datenschutzaufsicht (ICO) 2026 aktualisierte Leitfäden zur Bearbeitung von Beschwerden und zu Subject Access Requests (SARs). Auch wenn UK rechtlich eigenständig ist, geben diese Leitfäden einen praxistauglichen Standard für Kommunikation, Fristenmanagement und Eskalation, der sich erfahrungsgemäß gut adaptieren lässt. Diese Orientierung hilft Dir, Deine Standard Operating Procedures so zu gestalten, dass Du zukünftige Erwartungen bereits heute erfüllst.

Risiken und Chancen – klare Ausgangsbasis für Dein Management

Es besteht ein erhebliches Risiko, die Monatsfrist zu überschreiten, wenn keine zentrale Steuerung und Datenlandkarte vorhanden sind. Die Folge können Bußgelder und gerichtliche Auseinandersetzungen sein. Ein unvollständiger Inhalt der Auskunft führt zu Nachfragen, Beschwerden und Mehrarbeit. Dies gilt insbesondere für Empfängerlisten, Speicherdauern und die Datenkopie. Eine zu strenge oder zu lasche Identprüfung gefährdet entweder den Datenschutz oder die zügige Bearbeitung. Du solltest daher risikobasiert und verhältnismäßig vorgehen. Ein gelebtes Löschkonzept verschafft Dir erhebliche Vorteile. Du reduzierst Altlasten, verbesserst die Datenqualität und beschleunigst Löschbegehren, weil Du klare Fristen und systematische Routinen bereits etabliert hast.

Der 10-Schritte-Prozess für Auskunfts- und Löschbegehren

  1. Du kanalisiert Anfragen über eine zentrale Adresse oder ein Webformular, damit keine Anfrage verloren geht und alles lückenlos dokumentiert ist.
  2.  Du prüfst die Identität risikobasiert und verlangst nur die minimal notwendigen Nachweise, um Missbrauch zu verhindern und die Betroffenen nicht zu überfordern.
  3. Du klärst den Umfang der Anfrage und bittest die betroffene Person um Präzisierung, wenn der Antrag unbestimmt ist, damit Du zielgenau suchen kannst.
  4. Du bestätigst den Eingang mit der regulären Monatsfrist und kündigst eine mögliche, begründete Verlängerung an, wenn die Anfrage komplex ist.
  5. Du startest die Dateninventur anhand einer gepflegten Datenlandkarte und beziehst die Auftragsverarbeiter mit klaren Rückmeldefristen ein.
  6. Du sichtest die Daten und nimmst eine rechtliche Bewertung vor, insbesondere zu Rechten Dritter, Betriebsgeheimnissen und etwaigen Ausnahmen von Auskunft oder Löschung.
  7. Du bereitest die Auskunft verständlich auf und legst eine maschinenlesbare Datenkopie bei; bei Löschbegehren planst und dokumentierst Du die Löschung, Sperrung oder Anonymisierung pro System.
  8. Du informierst relevante Empfänger und Auftragsverarbeiter über die notwendigen Maßnahmen und dokumentierst die Umsetzung nachvollziehbar.
  9. Du versendest die Antwort über einen sicheren Kanal, achtest auf klare Sprache und erläuterst die getroffenen Maßnahmen sowie etwaige Einschränkungen transparent.
  10. Du dokumentierst den gesamten Vorgang einschließlich Fristen, Entscheidungen und Belegen und leitest “Lessons Learned” in die Aktualisierung von Löschkonzept, Datenlandkarte und Vorlagen ein.

Dein standardisierter Prozess in der Praxis: klare Parameter, die funktionieren

  • Du richtest einen standardisierten Eingangskanal (privacy@… oder ein Webformular) ein, um Anfragen strukturiert zu erfassen und zuzuordnen.
  • Du hältst die Ein-Monats-Frist ein und begründest eine Verlängerung um bis zu zwei Monate, wenn die Komplexität oder die Anzahl der Anfragen dies erfordert.
  • Du führst eine verhältnismäßige Identitätsprüfung durch, um unbefugte Auskünfte zu verhindern, ohne legitime Anfragen unnötig zu verzögern.
  • Du stellst die Datenkopie in einem gängigen, maschinenlesbaren Format bereit, beispielsweise als CSV oder JSON, und erklärst dieses Format kurz in Deiner Antwort.
  • Du wählst einen sicheren Versandkanal, wie PGP/S-MIME-verschlüsselte E-Mails, ein Portal mit Zwei-Faktor-Authentifizierung oder den eingeschriebenen Brief.
  • Du protokollierst jeden Schritt mit Ticket-ID, Zeitstempeln, involvierten Systemen, rechtlichen Entscheidungen und Rückmeldungen von Auftragsverarbeitern.
  • Du etablierst ein Vier-Augen-Prinzip für heikle Abwägungen, damit Du konsistent und belastbar entscheidest.

Mustersätze, die Dir die Kommunikation erleichtern

Eingangsbestätigung:

“Wir bestätigen den Eingang Deiner Anfrage nach Art. 15/17 DSGVO. Wir prüfen Deine Identität und den Umfang des Anliegens. Wir werden Dir innerhalb eines Monats eine Antwort zusenden und melden uns bei Rückfragen.”

Identitätsnachweis erbeten:

“Um Deine personenbezogenen Daten zu schützen, benötigen wir einen kurzen Identitätsnachweis. Bitte nutze den folgenden sicheren Upload-Link. Wir verwenden den Nachweis ausschließlich zur Identifizierung und löschen ihn anschließend.”

Präzisierung erbeten:

“Damit wir Deine Anfrage zielgenau bearbeiten können, benötigen wir eine Präzisierung zu Zeitraum, Kommunikationskanälen oder betroffenen Produkten. Eine genauere Eingrenzung beschleunigt die Bearbeitung und erhöht die Vollständigkeit der Auskunft.”

Fristverlängerung:

“Aufgrund des Umfangs und der Einbindung mehrerer Systeme benötigen wir zusätzliche Zeit. Wir verlängern die Frist gemäß Art. 12 Abs. 3 DSGVO um bis zu zwei Monate und informieren Dich über den Fortgang.”

Auskunft versendet:

“Anbei findest Du Deine Auskunft nach Art. 15 DSGVO. Wir haben die Informationen in klarer Struktur zusammengefasst und eine maschinenlesbare Datenkopie beigelegt. Wenn Du Rückfragen hast, melde Dich gern.”

Löschung umgesetzt oder eingeschränkt:

“Wir haben Deine Daten in den genannten Systemen gelöscht. In einzelnen Systemen bestehen gesetzliche Aufbewahrungsfristen, sodass wir die Daten derzeit sperren müssen. Wir löschen diese Daten nach Ablauf der Fristen automatisch und informieren Dich auf Wunsch über den Zeitpunkt.”

Löschkonzept: fünf Bausteine, die Anfragen dramatisch vereinfachen

  1. Du definierst Datenklassen und Aufbewahrungsfristen pro Kategorie und hältst diese Vorgaben in leicht zugänglichen Richtlinien fest.
  2. Du pflegst ein System-Mapping, das produktive Systeme, Protokollierungen und Backups umfasst, damit keine Dateninseln übersehen werden.
  3. Du hinterlegst technische Routinen für Löschung, Sperrung und Anonymisierung und dokumentierst die Umsetzung nachvollziehbar.
  4. Du ordnest Rollen und Verantwortlichkeiten klar zu, damit Fachbereich, IT und Datenschutzbeauftragte zielgerichtet zusammenarbeiten.
  5. Du aktivierst Erinnerungen und Kontrollen, damit Löschfristen nicht verpuffen und Maßnahmen tatsächlich greifen.

FAQ: Antworten auf die häufigsten Praxisfragen

Gehören E-Mails zur Datenkopie, wenn sie personenbezogene Daten der betroffenen Person enthalten?

Ja, E-Mails gehören grundsätzlich zur Datenkopie, solange personenbezogene Daten der betroffenen Person enthalten sind. Du solltest Rechte Dritter prüfen und Drittdaten bei Bedarf schwärzen. •

Darfst Du die Auskunft verweigern, wenn die Anfrage sehr umfangreich ist?

Du darfst eine Auskunft nur ausnahmsweise verweigern, etwa bei offenkundig unbegründeten oder exzessiven Anträgen, oder wenn gesetzliche Ausnahmen greifen. Du musst eine Verweigerung begründen und sorgfältig dokumentieren. 

Wie interpretierst Du “unverzüglich, spätestens innerhalb eines Monats”?

Du beginnst die Bearbeitung umgehend und kommunizierst transparent. Bei Komplexität kündigst Du rechtzeitig eine begründete Verlängerung an und hältst die betroffene Person auf dem Laufenden.

Musst Du Daten bei Auftragsverarbeitern einholen?

Ja, Du bleibst als Verantwortlicher in der Pflicht. Du forderst die notwendigen Informationen oder Löschbestätigungen fristgerecht an und hältst vertraglich vereinbarte Reaktionszeiten ein. 

Darfst Du Gebühren verlangen?

Du darfst Gebühren nur erheben, wenn die Anfrage offenkundig unbegründet oder exzessiv ist. Du begründest und dokumentierst diese Entscheidung sorgfältig.

Fazit: Mit Prozess, Datenlandkarte und Vorlagen bleibst Du frist- und rechtssicher

Du brauchst keine überbordenden Strukturen, sondern Klarheit und Konsequenz. Ein zentraler Eingangskanal, eine verhältnismäßige Identitätsprüfung, eine aktuelle Datenlandkarte, klare Verantwortlichkeiten und erprobte Textbausteine sichern die fristgerechte und vollständige Bearbeitung. So erfüllst Du Art. 15 und 17 DSGVO sicher, effizient und auditfest.