• Kommentare deaktiviert für Auskunftsersuchen nach Art. 15 DSGVO sicher beantworten – auch bei Spam-verdächtigen Massenmails

Auskunftsersuchen nach Art. 15 DSGVO sicher beantworten – auch bei Spam-verdächtigen Massenmails

Als Datenschutzbeauftragter empfehle ich:

Nicht ignorieren – aber niemals auf unbekannte Links klicken oder über Drittportale (Portale wie WIPLE u.a.) antworten.

Behandeln Sie jede Anfrage zunächst als potenziell legitimes Auskunftsersuchen nach Art. 15 DSGVO, bis das Gegenteil feststeht. Gleichzeitig sichern Sie die Integrität Ihrer Systeme (Art. 5 Abs. 1 lit. f, Art. 32 DSGVO).

In 30 Sekunden – das Wichtigste

  • Antwortpflicht: Innerhalb eines Monats reagieren (Art. 12 Abs. 3 DSGVO). Bei Komplexität/Anzahl zulässig: +2 Monate – aber die Verlängerung innerhalb des ersten Monats begründen.
  • Identitätsprüfung: Bei Zweifeln verlangen Sie Nachweise (Art. 12 Abs. 6 DSGVO). Die Monatsfrist beginnt praktisch erst, wenn ausreichende Identifikationsangaben vorliegen (Erwägungsgrund 64).
  • Keine Drittportale: Kommunikation ausschließlich direkt (E-Mail/Brief). Keine Weitergabe über Apps/Portale ohne klare Rechtsgrundlage und Vollmacht (Art. 5 Abs. 1 lit. c,f; Art. 32; Art. 80 DSGVO).
  • Keine Daten gefunden? Erteilen Sie eine Negativauskunft (Bestätigung, dass keine Verarbeitung stattfindet) nach Art. 15 Abs. 1 DSGVO.
  • Exzessive Anfragen: Offensichtlich unbegründete oder übermäßige Anträge können abgelehnt oder kostenpflichtig behandelt werden (Art. 12 Abs. 5 DSGVO).
  • Dokumentation: Reicht in der Praxis: Mailthread + kurzer Aktenvermerk im DSAR-Register (Rechenschaftspflicht, Art. 5 Abs. 2, i. V. m. Art. 24 Abs. 1 DSGVO).

Rechtsgrundlagen im Überblick

  • Art. 15 DSGVO – Recht auf Auskunft
  • Art. 12 DSGVO – Transparente Information, Fristen, Identitätsprüfung, exzessive Anträge
  • Art. 5 DSGVO – Grundsätze (insb. Integrität/Vertraulichkeit, Rechenschaftspflicht)
  • Art. 32 DSGVO – Sicherheit der Verarbeitung („Stand der Technik“)
  • Art. 80 DSGVO – Vertretung der betroffenen Person (Vollmacht)
  • Art. 15 Abs. 4 DSGVO und § 34 BDSG – Grenzen der Auskunft (Rechte Dritter, Geheimnisse, besondere Ausnahmen)

Praxisschema: So gehen Sie bei verdächtigen Auskunftsmails vor

  1. Eingang erfassen & Frist starten. Datum/Uhrzeit notieren, Ticket/DSAR-Nummer vergeben (Art. 12 Abs. 3).
  2. Keinen Link öffnen. Antwort ausschließlich über Ihre offiziellen Kanäle. Drittportale nicht nutzen (Art. 5 Abs. 1 lit. f; Art. 32).
  3. Identität & Kontext abfragen (Art. 12 Abs. 6). Erbitten Sie: vollständigen Namen, Anschrift, die bei Ihnen verwendete E-Mail, konkrete Geschäftsbeziehung (Kundennummer, Rechnungs-/Vorgangsnummer, Datum/Art des Kontakts).
  4. Drittvertreter? Verlangen Sie eine Vollmacht (Art. 80). Ohne Mandatsnachweis keine Datenweitergabe an Dritte.
  5. Systemprüfung. Prüfen Sie nur die relevanten Systeme (Datensparsamkeit, Art. 5 Abs. 1 lit. c). Ergebnis dokumentieren („Treffer/keine Treffer“).
  6. Antwort erteilen.
    • Negativauskunft, falls keine Daten vorhanden (Art. 15 Abs. 1).
    • Teil-/Vollauskunft, falls Daten vorhanden – dabei Rechte Dritter und Sicherheitsinteressen schützen (Art. 15 Abs. 4; § 34 BDSG).
  7. Wiederholungen bündeln. Mehrfache gleichartige Mails derselben Person in kurzer Zeit ⇒ Hinweis auf exzessiv (Art. 12 Abs. 5).
  8. Dokumentieren & abschließen. Mailthread als PDF sichern + Aktenvermerk; DSAR-Register aktualisieren (Art. 5 Abs. 2; Art. 24 Abs. 1).

Mustertexte für Ihre Antworten

A) Erstantwort mit Identitätsprüfung
Betreff: Ihr Auskunftsersuchen nach Art. 15 DSGVO – Identitätsbestätigung
„Vielen Dank für Ihre Anfrage. Zum Schutz personenbezogener Daten und gemäß Art. 12 Abs. 6 DSGVO benötigen wir zur Bearbeitung eine kurze Identitätsbestätigung sowie Angaben zu Ihrer Beziehung zu unserem Unternehmen (vollständiger Name, Anschrift, die bei uns verwendete E-Mail sowie – falls vorhanden – Kundennummer/Vorgangsnummer/Datum des Kontakts).
Aus Sicherheitsgründen nutzen wir keine externen Portale/Links. Wir kommunizieren ausschließlich direkt per E-Mail oder Brief. Die Monatsfrist nach Art. 12 Abs. 3 DSGVO beginnt, sobald uns die notwendigen Informationen vorliegen.“

B) Negativauskunft (keine Daten gefunden)
Betreff: Ihr Auskunftsersuchen nach Art. 15 DSGVO – Ergebnis
„Wir haben Ihre Angaben geprüft und können aktuell keine Verarbeitung personenbezogener Daten zu Ihrer Person in unseren Systemen feststellen (Art. 15 Abs. 1 DSGVO). Sollten Sie weitere Anhaltspunkte (abweichende Schreibweise, frühere E-Mail, konkrete Transaktion) haben, prüfen wir dies gern erneut. Sie können sich zudem bei einer Aufsichtsbehörde beschweren (Art. 77 DSGVO).“

C) Vertreter/Drittportal ohne Vollmacht
Betreff: Ihr Auskunftsersuchen – Nachweis der Bevollmächtigung
„Bitte übermitteln Sie eine Vollmacht der betroffenen Person gemäß Art. 80 DSGVO sowie die zur Identifizierung erforderlichen Angaben. Ohne Mandats- und Identitätsnachweis dürfen wir keine personenbezogenen Informationen an Dritte übermitteln (Art. 12 Abs. 6 DSGVO). Alternativ kann sich die betroffene Person direkt an uns wenden.“

D) Exzessive Wiederholungsanfragen
Betreff: Ihr Auskunftsersuchen – Häufigkeit
„Wir haben mehrere gleichartige Anfragen in kurzer Zeit erhalten. Nach Art. 12 Abs. 5 DSGVO behalten wir uns vor, offensichtlich exzessive Anträge abzulehnen bzw. eine angemessene Gebühr zu verlangen. Bitte bündeln Sie Ihr Anliegen in einer Anfrage.“

Oft auftretende Frage zur Dokumentation: Reicht der Mailverkehr?

Ja – wenn er vollständig und nachvollziehbar abgelegt wird und Sie einen kurzen Aktenvermerk ergänzen. Darin sollten stehen: Eingang/Frist, Identitätsprüfung, geprüfte Systeme und Ergebnis, Entscheidung mit Rechtsgrund (z. B. Negativauskunft; Schutz Dritter nach Art. 15 Abs. 4; exzessiv nach Art. 12 Abs. 5), Versanddatum der Antwort, Begründung etwaiger Fristverlängerung.

Best Practice: DSAR-Register für Übersicht/Fristensteuerung (Art. 24 Abs. 1, Art. 5 Abs. 2).

Aufbewahrung: Üblicherweise bis zu drei Jahre nach Abschluss zur Abwehr von Ansprüchen (Regelverjährung, §§ 195, 199 BGB); anschließend löschen/sperren (Art. 5 Abs. 1 lit. e; § 35 BDSG).

Sicherheit & „Stand der Technik“

  • Keine unbekannten Links/Anhänge öffnen; Antworten nur über eigene Kanäle (Art. 32 DSGVO).
  • Minimierungsprinzip: nur erforderliche personenbezogene Daten anfordern/übermitteln (Art. 5 Abs. 1 lit. c).
  • Bei Auskünften sensible Inhalte schwärzen, wenn Rechte Dritter, Geschäftsgeheimnisse oder Sicherheitsinteressen betroffen sind (Art. 15 Abs. 4 DSGVO).
  • Rollenbasierter Zugriff und Vier-Augen-Prinzip bei Auskunftserteilung (Art. 24 Abs. 1, Art. 32).

Sonderfälle

  • Auftragsverarbeiter: Geht die Anfrage beim Auftragsverarbeiter ein, informiert dieser den Verantwortlichen und unterstützt ihn bei der Beantwortung (Art. 28 Abs. 3 lit. e DSGVO).
  • Form der Auskunft: Grundsätzlich unentgeltlich und elektronisch, sofern der Antrag elektronisch gestellt wurde (Art. 12 Abs. 1, Abs. 5; Art. 15 Abs. 3).

Mini-FAQ

Dürfen wir Drittportale (Apps) zur Beantwortung nutzen?
Nur mit tragfähiger Rechtsgrundlage, sauberer AV-Kette und strenger Sicherheitsprüfung. Für einzelne DSAR ist die direkte Kommunikation in der Regel sicherer und datensparsamer.

Was, wenn wir die Identität nicht verifizieren können?
Dann dürfen/müssen Sie die Auskunft bis zur Verifikation zurückstellen (Art. 12 Abs. 6, ErwGr. 64) und dies der anfragenden Person mitteilen.

Können wir Massenmails einfach ignorieren?
Nein. Sie müssen zumindest kurz reagieren (Standard-Erstantwort mit Identitätsprüfung) und den Vorgang dokumentieren. Bei offenkundiger Exzessivität können Sie sich auf Art. 12 Abs. 5 stützen.

Checkliste für Ihre Organisation

  • Standard-Erstantwort mit Identitätsprüfung (oben) als Textbaustein hinterlegen.
  • Interne DSAR-Anlaufstelle (z. B. datenschutz@…) und Weiterleitungsregel setzen.
  • DSAR-Register/Fristenkontrolle etablieren.
  • Zuständigkeiten, Systemliste und Prüfroutine definieren.
  • Vorlagen für Negativauskunft, Teilablehnung, Vollmacht-Anforderung bereitstellen.
  • Aufbewahrungs- und Löschkonzept für DSAR-Akte festlegen.

Fazit: Behandeln Sie verdächtige Auskunftsanfragen professionell, ohne Sicherheitsrisiken einzugehen: Identität verifizieren, nur über eigene Kanäle kommunizieren, Fristen und Grenzen beachten, sauber dokumentieren. So erfüllen Sie Ihre Pflichten aus Art. 12, 15, 24 und 32 DSGVO – und vermeiden Missbrauch durch massenhafte Spam-DSAR.