Zurück

Auskunft und Löschbegehren

DSGVO Basiswissen

DSGVO-Auskunft und Löschbegehren: Welche Pflichten Unternehmen haben, welche Fristen gelten und warum eine kurze E-Mail schnell zum komplexen Datenschutzprozess wird.

Inhaltsverzeichnis
Inhaltsverzeichnis

Zurück

Auskunft- und Löschbegehren – eine kurze E-Mail bedeutet vielleicht viele Stunden Arbeit

Kennen Sie das? Es ist Freitag. Draußen scheint die Sonne, ein abwechslungsreiches Wochenende gemeinsam mit guten Freunden steht bevor, die Kolleginnen und Kollegen in ihrer Abteilung sind zur Abwechslung alle freundlich und entspannt, der Kaffee in Ihrer Lieblingstasse ist genauso, wie Sie ihn gerne haben. Einer dieser raren Augenblicke, an denen man zufrieden alles im Griff hat und das Universum vielleicht doch kein so übler Ort zu sein scheint. Und dann ist sie da. Diese eine E-Mail. Betreff: „Auskunft nach DSGVO“ oder etwas knapper: „Bitte löschen Sie alle meine Daten.“ Zwei Sätze, höflich formuliert, vielleicht mit einem freundlichen „Vielen Dank im Voraus“. Für die betroffene Person eine Sache von drei Minuten. Für das Unternehmen potenziell der Startschuss für mehrere Stunden, manchmal Tage, strukturierter Detektivarbeit.

Auskunfts- und Löschbegehren gehören zu den Rechten, die die DSGVO besonders sichtbar gemacht haben. Sie sind niedrigschwellig, leicht auszuüben und bewusst so gestaltet. Genau das ist ihre Stärke – und gleichzeitig die Ursache dafür, dass sie in der Praxis häufig unterschätzt werden. Denn was auf den ersten Blick wie eine einfache Verwaltungsaufgabe wirkt, entpuppt sich schnell als komplexe Mischung aus Recht, Technik, Organisation und gesunder Menschenkenntnis.

Warum diese Anfragen so relevant sind

Das Auskunftsrecht und das Recht auf Löschung sind Ausdruck eines Grundgedankens, der der DSGVO zugrunde liegt: Personen sollen wieder Kontrolle über ihre Daten bekommen. Nicht abstrakt, sondern ganz konkret. Wer verarbeitet was? Warum? Wie lange? Und was passiert mit den Informationen, die im Laufe einer Kunden-, Mitarbeiter- oder Geschäftsbeziehung angefallen sind?

Für die betroffene Person ist das oft kein theoretisches Thema. Es geht um Bewerbungsunterlagen, Gesundheitsdaten, Gesprächsnotizen, Vertragsdetails, interne Bewertungen oder schlicht um die Frage, ob „man“ irgendwo gespeichert ist, ohne es zu wissen. Diese Perspektive gerät im Unternehmensalltag gerne in den Hintergrund, zwischen CRM-System, Ticketsystem und E-Mail-Archiv.

Genau hier liegt die Brisanz: Auskunfts- und Löschbegehren sind kein bürokratisches Ritual, sondern ein direkter Blick hinter die Kulissen der eigenen Datenverarbeitung. Und dieser Blick kann für Unternehmen unbequem werden – vor allem, wenn Prozesse über Jahre gewachsen sind und niemand mehr so genau weiß, wo überall Daten liegen.

Die kurze E-Mail und das lange Echo im Unternehmen

In der Theorie ist alles klar geregelt. In der Praxis beginnt nach Eingang eines Begehrens häufig eine Art interner Staffellauf. Wer ist zuständig? Welche Systeme sind betroffen? Gibt es Daten in der Buchhaltung, im Marketing, im Support, in alten E-Mail-Postfächern oder auf dem gemeinsamen Netzlaufwerk mit dem vielsagenden Namen „Alt_2018_final_neu“?

Auskunft bedeutet nicht, einmal im Kundenstamm nachzusehen und das Ergebnis weiterzuleiten. Auskunft bedeutet, alle personenbezogenen Daten zusammenzutragen, die verarbeitet werden – strukturiert oder unstrukturiert, automatisiert oder manuell. Und zwar so, dass die betroffene Person sie verstehen kann.

Der größte Aufwand steckt dabei oft nicht in der Frage ob Daten vorhanden sind, sondern wo. Moderne Unternehmen nutzen eine Vielzahl von Tools: ERP, CRM, HR-Software, Newsletter-Systeme, Cloud-Dienste, Kollaborationstools. Hinzu kommen E-Mails, Chatverläufe, Protokolle, handschriftliche Notizen, gescannte Dokumente. All das kann personenbezogene Daten enthalten. Und all das fällt grundsätzlich unter das Auskunftsrecht.

Auskunft heißt auch: eine Kopie der Daten

Ein besonders unterschätzter Punkt ist das Recht auf eine Kopie der personenbezogenen Daten. Viele denken bei Auskunft an eine Art Zusammenfassung oder Bericht. Tatsächlich geht es aber darum, der betroffenen Person die Daten selbst zur Verfügung zu stellen – nicht nur eine Beschreibung.

Das ist der Moment, in dem der Aufwand exponentiell steigt. Denn Daten liegen selten so vor, dass man sie per Knopfdruck exportieren und verschicken kann. Oft müssen sie zusammengeführt, geprüft, teilweise geschwärzt oder kontextualisiert werden. Interne Vermerke können Informationen über Dritte enthalten, E-Mails ganze Gesprächsverläufe. Was darf herausgegeben werden? Was muss geschützt werden? Und wie stellt man sicher, dass man nicht aus Versehen mehr preisgibt als erlaubt?

Gerade hier zeigt sich, dass Auskunftsbegehren keine reine IT-Frage sind. Es geht um Abwägungen, um den Schutz der Rechte anderer Personen und um die Kunst, Transparenz herzustellen, ohne neue Datenschutzprobleme zu schaffen. Ein Balanceakt, der Erfahrung erfordert.

Löschbegehren: Wunsch, Anspruch und Wirklichkeit

Mindestens genauso häufig wie Auskunftsanfragen sind Löschbegehren. „Bitte löschen Sie alle meine Daten“ klingt eindeutig. Ist es aber nicht. Denn das Recht auf Löschung ist kein Recht auf sofortiges Vergessen um jeden Preis.

Die DSGVO kennt eine Reihe von Ausnahmen, und die sind alles andere als exotisch. Gesetzliche Aufbewahrungsfristen sind das bekannteste Beispiel. Steuer- und handelsrechtliche Vorgaben zwingen Unternehmen dazu, bestimmte Unterlagen über Jahre aufzubewahren – Rechnungen, Buchungsbelege, Verträge. Diese Daten dürfen und müssen sogar gespeichert bleiben, auch wenn die betroffene Person ihre Löschung verlangt.

Das führt in der Praxis oft zu Missverständnissen. Betroffene erwarten eine vollständige Löschung, Unternehmen befürchten einen Rechtsverstoß, wenn sie dem nicht nachkommen. Die Lösung liegt in einer sauberen Differenzierung: Daten, die nicht mehr benötigt werden und keiner Aufbewahrungspflicht unterliegen, sind zu löschen. Daten, die aus rechtlichen Gründen gespeichert bleiben müssen, sind zu sperren oder in ihrer Verarbeitung einzuschränken.

Auch das erfordert Wissen und Fingerspitzengefühl. Ein pauschales „Geht nicht, wir müssen alles behalten“ ist ebenso falsch wie ein übereifriges Löschen ohne Blick auf gesetzliche Pflichten. Beides kann für die betroffene Person problematisch sein – und für das Unternehmen erst recht.

Typische Stolpersteine im Unternehmensalltag

In vielen Organisationen scheitern Auskunfts- und Löschbegehren nicht am guten Willen, sondern an fehlender Struktur. Es gibt keine klare Zuständigkeit, keine Übersicht über Systeme, keine dokumentierten Prozesse. Die Anfrage landet im Kundenservice, wird weitergeleitet, versandet zwischendurch und taucht Wochen später wieder auf – mit dem Hinweis, dass die Frist bald abläuft.

Hinzu kommt, dass Fristen in der DSGVO keine freundlichen Empfehlungen sind. Ein Monat klingt großzügig, ist aber schnell vorbei, wenn erst einmal recherchiert werden muss. Verlängerungen sind möglich, müssen aber begründet und kommuniziert werden. Auch das will gelernt sein.

Ein weiterer Klassiker: die Angst, etwas falsch zu machen. Aus Sorge vor Fehlern wird zu wenig herausgegeben oder gar nicht reagiert. Aus Sicht der betroffenen Person wirkt das wie Ignoranz oder Verschleppung. Vertrauen geht verloren, Beschwerden bei Aufsichtsbehörden werden wahrscheinlicher. Dabei wäre Offenheit oft der bessere Weg.

Die Perspektive der Betroffenen nicht vergessen

Bei aller organisatorischen und rechtlichen Komplexität lohnt es sich, die Perspektive der betroffenen Person einzunehmen. Für sie ist das Auskunfts- oder Löschbegehren oft der einzige Hebel, um Klarheit zu bekommen. Es geht um Transparenz, Selbstbestimmung und manchmal auch um das Gefühl, ernst genommen zu werden.

Eine saubere, verständliche Auskunft signalisiert: Wir wissen, was wir tun, und wir respektieren Ihre Rechte. Eine differenzierte Antwort auf ein Löschbegehren zeigt: Wir löschen, wo wir dürfen, und erklären nachvollziehbar, wo wir es nicht können. Das ist kein Risiko, sondern eine Chance, Vertrauen aufzubauen.

Warum Erfahrung hier Gold wert ist

Spätestens an dieser Stelle wird klar: Auskunfts- und Löschbegehren sind kein Nebenbei-Thema. Sie berühren zentrale Fragen der Datenverarbeitung, der IT-Landschaft und der internen Organisation. Fehler passieren nicht aus Böswilligkeit, sondern aus Unkenntnis oder Überforderung.

Ein erfahrener Datenschutzbeauftragter kann hier den Unterschied machen. Nicht als Paragraphenreiter, sondern als Übersetzer zwischen Recht, Technik und Praxis. Er oder sie hilft dabei, Prozesse aufzusetzen, Zuständigkeiten zu klären und im konkreten Fall die richtigen Entscheidungen zu treffen. Vor allem aber sorgt Erfahrung dafür, dass man nicht jedes Begehren wie einen Ausnahmezustand behandelt, sondern als das, was es ist: Teil des normalen Datenschutz-Alltags.

Gerade für kleinere und mittlere Unternehmen ist das entlastend. Statt bei jeder Anfrage neu zu überlegen, gibt es klare Abläufe und eine verlässliche Einschätzung. Für größere Organisationen gilt das umso mehr, wenn viele Systeme und Abteilungen beteiligt sind.

Datenschutz als gestaltbare Aufgabe

Auskunfts- und Löschbegehren zeigen sehr deutlich, dass Datenschutz mehr ist als Dokumentation. Es geht um Entscheidungen, Abwägungen und Kommunikation. Wer hier nur reagiert, ist ständig unter Druck. Wer gestaltet, behält die Kontrolle.

Das bedeutet nicht, dass alles einfach wird. Aber es bedeutet, dass eine kurze E-Mail nicht jedes Mal zum internen Großprojekt werden muss. Mit klaren Prozessen, realistischer Erwartungshaltung und fachlicher Unterstützung lassen sich auch komplexe Anfragen souverän bearbeiten.

Fazit: Zwei Sätze mit großer Wirkung

Eine kurze E-Mail kann vieles sein: höflich, sachlich, unscheinbar. Im Datenschutz ist sie oft der Beginn einer intensiven Auseinandersetzung mit den eigenen Datenbeständen. Auskunfts- und Löschbegehren sind kein Ärgernis, sondern ein Stresstest für die eigene Datenkultur.

Wer versteht, dass Löschung nicht automatisch alles bedeutet und Auskunft mehr ist als ein kurzer Blick ins System, ist bereits auf einem guten Weg. Und wer anerkennt, dass diese Themen Erfahrung erfordern, spart am Ende Zeit, Nerven und Risiken.

Oder anders gesagt: Die E-Mail ist schnell geschrieben. Was danach kommt, sollte gut vorbereitet sein.

Sie benötigen Unterstützung?

Wir von legalweb.io unterstützen Unternehmen bei der Einhaltung datenschutzrechtlicher Vorgaben und der Umsetzung rechtskonformer Lösungen. Darüber hinaus bieten wir Expertise zu aktuellen Themen wie NIS2IT-Sicherheitsanforderungen und organisatorischen Datenschutzmaßnahmen.

In einem kostenlosen Erstgespräch klären wir Ihre konkrete Situation und zeigen die nächsten Schritte auf.

Kostenloses Erstgespräch vereinbaren

Ähnliche Beiträge

Datenschutzfolgenabschätzung (DSFA)

Datenschutzfolgeabschätzung nach DSGVO: Warum die DSFA kein Bürokratiemonster ist, sondern ein notwendiger Realitätscheck.

Datenschutzbeauftragte (DPO)

Datenschutzbeauftragter nach DSGVO: Wann ein DPO Pflicht ist, warum er kein Verhinderer ist und wie Unternehmen von Erfahrung, Risikomanagement und Praxisnähe profitieren.

Verzeichnis der Verarbeitungstätigkeiten (VVT)

VVT in der Praxis: Wie das Verzeichnis der Verarbeitungstätigkeiten Transparenz schafft und bei Auskünften, Löschung und Vorfällen hilft.

Datenschutzverletzung

Datenschutzverletzung nach DSGVO: Wann besteht Meldepflicht, wann müssen Betroffene informiert werden und welche Rolle spielen TOM und Incident-Prozesse?

legalweb

.io

Themen
Consent Manager
DSGVO-konforme Website
Externe Datenschutzbeauftragte für Unternehmen
AGB Generator
Microlearning/ Mitarbeiterschulung
Google Consent Mode
IAB TCF Framework
legal web

Support

Impressum

AGB

Datenschutz

Bayerhamerstraße 14, 5020 Salzburg - Österreich | [email protected]