DSGVO-Praxis

DSGVO-Auskunftsanfrage: So schwärzen Sie Dokumente richtig

Schritt-für-Schritt-Anleitung zur rechtskonformen Bearbeitung von Auskunftsersuchen nach Art. 15 DSGVO

Was ist eine DSGVO-Auskunftsanfrage?

Art. 15 DSGVO gibt jeder Person das Recht, Auskunft über ihre gespeicherten Daten zu erhalten

Das Auskunftsrecht nach Art. 15 der Datenschutz-Grundverordnung (DSGVO) ist eines der zentralen Betroffenenrechte. Es ermöglicht jeder natürlichen Person, von einem Unternehmen oder einer Organisation zu erfahren, ob und welche personenbezogenen Daten über sie verarbeitet werden.

Eine Auskunftsanfrage kann formlos erfolgen – per E-Mail, Brief oder sogar mündlich. Der Verantwortliche muss daraufhin folgende Informationen bereitstellen:

  • Verarbeitungszwecke: Warum werden die Daten verarbeitet?
  • Kategorien personenbezogener Daten: Welche Arten von Daten sind betroffen?
  • Empfänger: An wen wurden die Daten weitergegeben?
  • Speicherdauer: Wie lange werden die Daten aufbewahrt?
  • Kopie der Daten: Eine vollständige Kopie aller gespeicherten personenbezogenen Daten

Die Antwort muss innerhalb eines Monats nach Eingang der Anfrage erfolgen. Bei besonders umfangreichen oder komplexen Anfragen kann die Frist um weitere zwei Monate verlängert werden – allerdings muss die betroffene Person innerhalb des ersten Monats über die Verlängerung und deren Gründe informiert werden.

Wer ist betroffen? Jedes Unternehmen, jede Behörde und jede Organisation, die personenbezogene Daten verarbeitet. Von der Anwaltskanzlei über die Personalabteilung bis zum Gesundheitsdienstleister – niemand ist von dieser Pflicht ausgenommen.

Warum müssen Dokumente geschwärzt werden?

Art. 15 Abs. 4 DSGVO: Die Rechte Dritter dürfen nicht beeinträchtigt werden

Bei der Beantwortung einer Auskunftsanfrage stehen Unternehmen vor einem Dilemma: Sie müssen der anfragenden Person eine vollständige Kopie ihrer Daten bereitstellen – gleichzeitig dürfen sie dabei keine personenbezogenen Daten Dritter offenlegen.

Art. 15 Abs. 4 DSGVO stellt klar:

„Das Recht auf Erhalt einer Kopie [...] darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.“

In der Praxis bedeutet das: Dokumente, die neben den Daten der anfragenden Person auch Informationen über Dritte enthalten, müssen vor der Herausgabe sorgfältig geschwärzt werden. Dazu gehören:

  • Drittdaten in Personalakten: Namen von Vorgesetzten, Kolleginnen und Kollegen in Beurteilungen oder Gesprächsprotokollen
  • E-Mail-Korrespondenz: Kontaktdaten und Inhalte von anderen Beteiligten in CC oder im Mailtext
  • Interne Vermerke: Einschätzungen und Notizen, die Rückschlüsse auf andere Personen zulassen
  • Geschäftsgeheimnisse: Vertrauliche Informationen wie Preiskalkulationen, Strategiedokumente oder interne Bewertungen

Die Herausforderung: Wird zu wenig geschwärzt, liegt ein Datenschutzverstoß vor, weil Drittdaten unbefugt offengelegt werden. Wird zu viel geschwärzt, wird das Auskunftsrecht der anfragenden Person unzulässig eingeschränkt. Die richtige Balance zu finden erfordert Sorgfalt und klare Prozesse.

Schritt für Schritt: Auskunftsanfrage bearbeiten

So bearbeiten Sie eine DSGVO-Auskunftsanfrage strukturiert und fristgerecht

1

Anfrage prüfen und Identität verifizieren

Bevor Sie Daten herausgeben, müssen Sie sicherstellen, dass die Anfrage tatsächlich von der betroffenen Person stammt. Verlangen Sie bei Zweifeln einen geeigneten Identitätsnachweis – etwa eine Kopie des Ausweises (mit geschwärzten nicht relevanten Daten) oder eine Verifizierung über den bei Ihnen hinterlegten Kommunikationskanal.

Wichtig: Die Identitätsprüfung darf nicht unverhältnismäßig sein. Wenn die Person über ihre bekannte E-Mail-Adresse anfrägt, reicht dies in der Regel als Nachweis aus.

2

Relevante Dokumente sammeln

Durchsuchen Sie systematisch alle Systeme, in denen personenbezogene Daten der anfragenden Person gespeichert sein könnten:

  • Personalakte und HR-Systeme
  • E-Mail-Postfächer und Archiv
  • CRM- und ERP-Systeme
  • Papierakten und gescannte Dokumente
  • Protokolle, Vermerke und interne Notizen
  • Backups und Archivierungssysteme
3

Drittdaten identifizieren

Gehen Sie jedes Dokument sorgfältig durch und markieren Sie alle Stellen, die personenbezogene Daten Dritter oder schützenswerte Geschäftsgeheimnisse enthalten. Erstellen Sie eine Checkliste:

  • Namen, Kontaktdaten und Unterschriften dritter Personen
  • Bewertungen und Einschätzungen über Dritte
  • Interne Kalkulationen und vertrauliche Geschäftszahlen
  • Informationen, die Rückschlüsse auf die Identität Dritter ermöglichen
4

Schwärzen – automatisch oder manuell

Nun erfolgt die eigentliche Schwärzung. Dabei ist entscheidend, dass die Schwärzung permanent und unwiderruflich ist. Zwei Ansätze stehen zur Verfügung:

Manuelle Schwärzung: Jedes Dokument wird einzeln geprüft und die relevanten Stellen werden manuell geschwärzt. Bei umfangreichen Anfragen mit Hunderten von Seiten ein zeitintensiver Prozess.

Automatische Schwärzung: Spezialisierte Software wie Docuflair Schwärzung erkennt personenbezogene Daten automatisch und schwärzt sie permanent. Das reduziert den Zeitaufwand drastisch und minimiert das Risiko menschlicher Fehler.

5

Qualitätskontrolle

Vor der Herausgabe ist eine gründliche Qualitätskontrolle unerlässlich:

  • Vollständigkeit prüfen: Sind alle Daten der anfragenden Person enthalten?
  • Schwärzung verifizieren: Sind alle Drittdaten zuverlässig geschwärzt?
  • Permanenz testen: Lassen sich geschwärzte Stellen durch Markieren, Kopieren oder mit spezieller Software wiederherstellen?
  • Lesbarkeit sicherstellen: Sind die nicht geschwärzten Inhalte noch verständlich und zusammenhängend?
6

Fristgerecht antworten

Stellen Sie der betroffenen Person die aufbereiteten Unterlagen in einem gängigen elektronischen Format (z. B. PDF) zur Verfügung. Dokumentieren Sie den gesamten Vorgang – wann die Anfrage einging, welche Schritte unternommen wurden und wann die Antwort versandt wurde. Diese Dokumentation dient als Nachweis gegenüber Aufsichtsbehörden.

Typische Fehler bei der Schwärzung

Diese Fehler kosten Unternehmen Bußgelder und Vertrauen

Fehler 1: Nicht-permanente Schwärzung

Der häufigste und schwerwiegendste Fehler: Schwärzungen, die sich rückgängig machen lassen. Wer in einem PDF-Editor einen schwarzen Balken über Text legt, entfernt die Daten nicht – sie bleiben im Dokument gespeichert. Per Copy-Paste, durch Markieren des Textes oder mit einfachen PDF-Tools lassen sich die „geschwärzten“ Informationen oft mühelos wiederherstellen.

Die Lösung: Nur pixelbasierte Schwärzung, bei der die Originaldaten unwiderruflich durch schwarze Pixel ersetzt werden, ist rechtssicher. Professionelle Schwärzungssoftware stellt dies automatisch sicher.

Fehler 2: Drittdaten übersehen

In umfangreichen Dokumenten werden Drittdaten schnell übersehen – besonders in Fußzeilen, Kopfzeilen, Metadaten, Dateinamen oder eingebetteten Kommentaren. Auch indirekte Bezüge („der zuständige Sachbearbeiter“, „die betreuende Kollegin“) können in Kombination mit dem Kontext eine Identifizierung ermöglichen.

Fehler 3: Fristversäumnis

Die Monatsfrist beginnt mit Eingang der Anfrage – nicht mit deren Bestätigung oder Bearbeitung. Unternehmen, die keine etablierten Prozesse haben, verlieren wertvolle Tage durch unklare Zuständigkeiten und manuelle Bearbeitung. Bei Fristversäumnis kann die betroffene Person Beschwerde bei der Aufsichtsbehörde einreichen.

Bußgelder und Konsequenzen

Die finanziellen und rechtlichen Risiken bei fehlerhafter Bearbeitung

Verstöße gegen die DSGVO werden von den Aufsichtsbehörden konsequent verfolgt. Bei fehlerhafter Bearbeitung von Auskunftsanfragen drohen empfindliche Sanktionen:

  • Bußgelder bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist (Art. 83 Abs. 5 DSGVO)
  • Meldepflichtiger Datenschutzvorfall: Die unbeabsichtigte Offenlegung von Drittdaten durch mangelhafte Schwärzung ist ein Datenschutzvorfall nach Art. 33 DSGVO, der innerhalb von 72 Stunden der Aufsichtsbehörde gemeldet werden muss
  • Schadensersatzansprüche: Betroffene Dritte, deren Daten unrechtmäßig offengelegt wurden, können Schadensersatz nach Art. 82 DSGVO geltend machen
  • Reputationsschaden: Datenschutzvorfälle werden zunehmend öffentlich – das Vertrauen von Kunden, Mitarbeitern und Geschäftspartnern steht auf dem Spiel

In der Praxis haben europäische Aufsichtsbehörden bereits zahlreiche Bußgelder wegen Verstößen gegen das Auskunftsrecht verhängt. Häufige Gründe: unvollständige Auskünfte, verspätete Antworten und die Offenlegung von Drittdaten durch fehlerhafte Schwärzung.

Automatische vs. manuelle Schwärzung

Warum automatisierte Schwärzung den Unterschied macht

Bei der Bearbeitung von Auskunftsanfragen zeigt sich der Unterschied zwischen manueller und automatischer Schwärzung besonders deutlich:

Zeitaufwand im Vergleich

Manuelle Schwärzung: Durchschnittlich 5 Minuten pro Seite. Bei einer Personalakte mit 200 Seiten bedeutet das über 16 Stunden reine Bearbeitungszeit – ohne Qualitätskontrolle.

Automatische Schwärzung: Durchschnittlich 5 Sekunden pro Seite. Dieselbe 200-seitige Akte ist in weniger als 17 Minuten bearbeitet. Die Fehlerquote sinkt dabei signifikant, da die Software konsequent alle Vorkommen eines erkannten Musters schwärzt.

Fehlerquote

Studien zeigen, dass bei manueller Schwärzung die Fehlerquote bei bis zu 15 % liegt – das bedeutet, dass in jedem siebten Dokument potenziell Drittdaten übersehen werden. Automatische Schwärzungssoftware reduziert diese Quote auf unter 1 %, da sie systematisch und konsistent arbeitet.

Kosteneffizienz

Rechnet man Personalkosten, Fehlerkorrektur und potenzielle Bußgelder zusammen, ist automatische Schwärzung nicht nur schneller und sicherer, sondern auch deutlich kosteneffizienter. Besonders für Unternehmen, die regelmäßig Auskunftsanfragen bearbeiten, amortisiert sich die Investition in professionelle Schwärzungssoftware innerhalb weniger Monate.

Docuflair bietet mit dem Modul Docuflair Schwärzung eine professionelle Lösung, die personenbezogene Daten automatisch erkennt und permanent schwärzt – DSGVO-konform und revisionssicher.

DSGVO-konforme Schwärzung in Sekunden

Erleben Sie in einer persönlichen Demo, wie Docuflair Auskunftsanfragen automatisiert und rechtssicher bearbeitet.

Kostenlose Demo anfordern Persönlich beraten lassen

Häufig gestellte Fragen

Antworten auf die wichtigsten Fragen zur DSGVO-Auskunftsanfrage und Schwärzung

Wie lange habe ich Zeit, eine DSGVO-Auskunftsanfrage zu beantworten?

Nach Art. 12 Abs. 3 DSGVO müssen Sie innerhalb eines Monats nach Eingang der Anfrage antworten. In besonders komplexen Fällen kann die Frist um weitere zwei Monate verlängert werden, wobei Sie die betroffene Person innerhalb des ersten Monats über die Verlängerung und deren Gründe informieren müssen.

Welche Daten müssen bei einer Auskunftsanfrage geschwärzt werden?

Geschwärzt werden müssen alle personenbezogenen Daten Dritter (z. B. Namen, Kontaktdaten anderer Personen), Geschäftsgeheimnisse sowie Informationen, deren Offenlegung die Rechte und Freiheiten anderer Personen beeinträchtigen würde. Die Daten der anfragenden Person selbst dürfen nicht geschwärzt werden.

Ist eine Schwärzung per Textmarker oder PDF-Overlay rechtssicher?

Nein. Oberflächliche Schwärzungen per Textmarker, PDF-Overlay oder einfacher schwarzer Balken sind nicht rechtssicher. Die darunter liegenden Daten können oft durch Kopieren, Markieren oder spezielle Software wiederhergestellt werden. Nur eine permanente, pixelbasierte Schwärzung, bei der die Originaldaten unwiederbringlich entfernt werden, ist DSGVO-konform.

Welche Bußgelder drohen bei fehlerhafter Bearbeitung einer Auskunftsanfrage?

Verstöße gegen das Auskunftsrecht nach Art. 15 DSGVO können mit Bußgeldern von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes geahndet werden. Auch die unbeabsichtigte Offenlegung von Drittdaten durch fehlerhafte Schwärzung stellt einen meldepflichtigen Datenschutzvorfall dar.

In 15 Min. live erleben

Unverbindlich & kostenlos
Demo starten