DSAR steht für Data Subject Access Request, also eine DSGVO-Auskunftsanfrage nach Art. 15. Eine Person verlangt damit von einer Organisation eine Kopie ihrer verarbeiteten Daten samt Metadaten wie Verarbeitungszwecke, Empfänger, Speicherdauer und Herkunft. Im weiteren Sinne deckt der Begriff alle Betroffenenrechte nach Art. 15 bis 22 DSGVO ab, also Auskunft, Berichtigung, Löschung, Einschränkung, Mitteilung, Datenübertragbarkeit und Widerspruch.

Wie lange habe ich Zeit, eine DSAR zu beantworten?

Die Frist beträgt 1 Monat ab Eingang der Anfrage (Art. 12 Abs. 3 DSGVO). Bei besonders komplexen oder umfangreichen Anfragen kann die Frist um weitere 2 Monate verlängert werden, die Verlängerung muss aber innerhalb der ersten Monatsfrist mitgeteilt werden, einschließlich Begründung. Fällt das Fristende auf einen Sonn- oder Feiertag, verlängert sich die Frist auf den nächsten Werktag.

Wie überprüfe ich die Identität einer DSAR-Antragstellerin rechtssicher?

Die Identitätsprüfung muss verhältnismäßig sein. Bei bestehenden Kundenkonten reicht oft die Anmeldung im Portal. Bei E-Mail-Anfragen ohne Account hilft ein Bestätigungslink an die hinterlegte Adresse. Erst bei sensiblen Daten wie Gesundheits- oder Finanzdaten sind Ausweisdaten oder Video-Ident gerechtfertigt. Eine übertriebene Identitätsprüfung ist selbst ein DSGVO-Verstoß. Die Beweislast für die Verhältnismäßigkeit liegt beim Verantwortlichen.

Wann darf ich eine DSAR ablehnen?

Art. 12 Abs. 5 DSGVO erlaubt zwei Ablehnungsgründe: offenkundig unbegründete Anfragen oder exzessive Anfragen, etwa monatlich identische Wiederholungen ohne neue Datenlage. Beide Gründe musst du sauber dokumentieren, die Beweislast liegt bei dir. Daneben gibt es Einschränkungen aus Art. 15 Abs. 4 (Schutz Rechte Dritter) und § 34 BDSG (Forschung, Berufsgeheimnisträger, Geschäftsgeheimnisse). Eine Ablehnung musst du innerhalb der Monatsfrist mit Begründung und Hinweis auf das Beschwerderecht kommunizieren.

Was kostet eine DSAR-Antwort den Verantwortlichen?

Für die antragstellende Person ist die erste Auskunft nach Art. 12 Abs. 5 DSGVO kostenfrei. Eine angemessene Gebühr darfst du nur bei offensichtlich unbegründeten oder exzessiven Anträgen verlangen oder bei Zweitkopien. Aufseiten des Unternehmens kostet eine manuelle DSAR-Bearbeitung oft 8 bis 30 Stunden pro Anfrage, weil Datensilos abgefragt, geschwärzt und dokumentiert werden müssen. Mit automatisierter DSAR-Software lässt sich der Aufwand auf 1 bis 2 Stunden pro Anfrage reduzieren.

Welche Daten muss ich in einer DSAR-Antwort herausgeben?

Alle personenbezogenen Daten der Person aus allen Systemen: CRM, ERP, Marketing-Automation, Support-Tickets, Backups, Logs, Auftragsverarbeiter. Dazu Metadaten nach Art. 15 Abs. 1 DSGVO: Verarbeitungszwecke, Datenkategorien, Empfänger oder Empfängerkategorien, Speicherdauer, Hinweis auf Betroffenenrechte, Herkunft der Daten und automatisierte Entscheidungsfindung. Die Antwort muss in präziser, transparenter, verständlicher und leicht zugänglicher Form erfolgen, kein Juristen-Deutsch, keine ungeordneten Excel-Massendumps.

Wie schütze ich Rechte Dritter bei einer DSAR-Antwort?

Art. 15 Abs. 4 DSGVO verlangt, dass die Auskunft die Rechte und Freiheiten anderer Personen nicht beeinträchtigt. Praktisch heißt das: Namen, Kontaktdaten und Bewertungen Dritter sind zu redigieren, sofern sie nicht in dienstlicher Funktion gehandelt haben. Auch Geschäftsgeheimnisse, Strafregister- oder Ermittlungsdaten Dritter sind zu schwärzen. Die Schwärzung muss dokumentiert werden, der Antragsteller bekommt einen Hinweis, dass redigiert wurde und warum, ohne den geschwärzten Inhalt offenzulegen.

Welche Bußgelder drohen bei DSAR-Verstößen?

Nach Art. 83 DSGVO bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Konzernjahresumsatzes, je nachdem welcher Wert höher ist. Reale Beispiele: Deutsche Wohnen 14,5 Mio Euro (Berlin 2019, mehrfach gerichtlich bestätigt), H&M 35,3 Mio Euro (Hamburg 2020), Spotify 5 Mio Euro (Schweden 2023, weil Antworten in Englisch statt der Sprache der Anfrage erfolgten). Auch die unvollständige oder verspätete Antwort allein kann Bußgelder auslösen, nicht erst der unrechtmäßige Datenumgang dahinter.

Blog/Guides & Praxis

DSGVO-Auskunftsanfrage: Wie du eine DSAR rechtssicher beantwortest

Eine DSAR (Data Subject Access Request) muss innerhalb von 30 Tagen beantwortet werden. Wir zeigen dir den 8-Schritt-Workflow von Identitätsprüfung über Datenextraktion bis zur Redaktion und welche Ablehnungsgründe rechtssicher sind.

Julian Köhn

10. Mai 2026|Lesezeit: 9 Minuten

DSARs (Data Subject Access Requests, deutsch: DSGVO-Auskunftsanfragen nach Art. 15) sind 2026 zur regulatorischen Standardlast für jede datenverarbeitende Organisation geworden. Wer die 30-Tage-Frist verfehlt oder unvollständig antwortet, riskiert nicht nur Beschwerden bei der Aufsichtsbehörde, sondern reale Bußgelder. Die Berliner Beauftragte für Datenschutz hat in den vergangenen Jahren mehrfach Bußgelder im siebenstelligen Bereich verhängt, oft ausgelöst durch unbeantwortete oder unvollständige Auskunftsanfragen.

Dieser Leitfaden zeigt dir den vollständigen Workflow: von der Annahme über die Identitätsprüfung, Datenextraktion und Redaktion bis zur rechtssicheren Antwort oder Ablehnung. Mit konkreten Templates, Fristen-Mathematik und den wichtigsten Bußgeld-Cases.

Was ist eine DSAR? Die Rechtsgrundlagen Art. 15 bis 22 DSGVO

Eine DSAR ist die Aufforderung einer Person, dass eine Organisation ihr Auskunft über die Verarbeitung ihrer personenbezogenen Daten gibt. Die DSGVO bündelt unter dem Oberbegriff der Betroffenenrechte sieben einzelne Ansprüche:

Artikel	Recht	Was die Person verlangen kann
Art. 15	Auskunft	Eine Kopie ihrer verarbeiteten Daten plus Metadaten (Zwecke, Empfänger, Speicherdauer, Herkunft).
Art. 16	Berichtigung	Korrektur falscher oder unvollständiger Daten.
Art. 17	Löschung	Löschung der Daten ("Recht auf Vergessenwerden").
Art. 18	Einschränkung	Sperrung der Verarbeitung statt Löschung.
Art. 19	Mitteilung	Information aller Empfänger über Berichtigung, Löschung oder Einschränkung.
Art. 20	Datenübertragbarkeit	Maschinenlesbarer Export der Daten.
Art. 21	Widerspruch	Stopp der Verarbeitung bei berechtigtem Interesse oder Direktwerbung.

Im Sprachgebrauch deckt "DSAR" alle sieben Rechte ab. Operativ ist die Auskunft nach Art. 15 der mit Abstand häufigste und aufwendigste Fall, weil sie eine vollständige Datensammlung über alle Systeme hinweg erfordert.

Wer muss antworten und in welcher Frist?

Antwortpflichtig ist immer der Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO, also die Stelle, die über Zwecke und Mittel der Verarbeitung entscheidet. Auftragsverarbeiter (z. B. ein SaaS-Anbieter) leiten DSARs an den Verantwortlichen weiter und unterstützen ihn bei der Beantwortung.

Die Frist ist hart geregelt:

1 Monat nach Eingang der Anfrage (Art. 12 Abs. 3 Satz 1).
Verlängerung um 2 weitere Monate möglich, wenn die Anfrage komplex oder umfangreich ist. Die Verlängerung muss aber innerhalb der ersten Monatsfrist mitgeteilt werden, einschließlich Begründung.

Die Berechnung folgt dem Ereignistag. Geht die Anfrage am 3. März ein, läuft die Frist am 3. April ab (24 Uhr). Fällt das Fristende auf einen Samstag, Sonntag oder Feiertag, verlängert sich die Frist auf den nächsten Werktag (§ 31 Abs. 3 BGB analog).

Der 8-Schritt-Workflow zur DSAR-Antwort

Die folgende Sequenz hat sich in der Praxis bewährt. Sie deckt sowohl den E-Mail-Eingang einer Privatperson als auch das standardisierte Webformular eines Großkundens ab.

Schritt 1: Annahme und Eingangsbestätigung

Sobald eine Anfrage eingeht, dokumentierst du:

Datum und Uhrzeit des Eingangs (für die Fristberechnung).
Eingangskanal (E-Mail, Webformular, Brief, Telefon, persönlich).
Antragstellende Person und behauptete Identität.
Konkrete Anspruchsart (Auskunft, Löschung, Übertragung).

Sende innerhalb von 72 Stunden eine Eingangsbestätigung. Sie ist zwar nicht gesetzlich vorgeschrieben, schafft aber Vertrauen, dokumentiert deine Reaktionsbereitschaft und reduziert das Risiko von Folge-Beschwerden bei der Aufsichtsbehörde.

Schritt 2: Identitätsprüfung

Bevor du Daten herausgibst, musst du sicherstellen, dass die anfragende Person tatsächlich die Betroffene ist. Andernfalls riskierst du eine eigene DSGVO-Verletzung durch unbefugte Offenlegung.

Die Anforderung an die Identitätsprüfung steigt mit der Sensibilität der Daten und ist verhältnismäßig zu wählen:

Bestehende Kundenkonten: Anmeldung im Kundenportal reicht meist aus.
E-Mail-Anfragen ohne Account: Bestätigungslink an die E-Mail-Adresse, die in den Systemen hinterlegt ist.
Sensible Daten (Gesundheit, Finanzen, Strafregister): Ausweisdaten oder Video-Ident.

Die Aufsichtsbehörden weisen explizit darauf hin: Übertriebene Identitätsprüfung ist selbst ein DSGVO-Verstoß. Du darfst keine Ausweiskopie verlangen, wenn die Identität durch einfachere Mittel zweifelsfrei festzustellen ist.

Schritt 3: Scope-Definition mit der Person

Eine pauschale "Schicken Sie mir alles, was Sie haben" ist zwar zulässig, aber die DSGVO erlaubt dir, beim Antragsteller nachzufragen, welche konkreten Verarbeitungen gemeint sind. Das beschleunigt die Bearbeitung erheblich und reduziert deinen Aufwand.

Beispiel: "Sie haben Auskunft über Ihre Daten verlangt. Damit wir Ihnen schnell und vollständig antworten können, wäre uns eine Eingrenzung hilfreich. Geht es um Ihre Bestellungen, Ihren Newsletter-Account oder allgemein um alle Verarbeitungen?"

Die Frist startet trotzdem mit dem ursprünglichen Eingang, du gewinnst aber Klarheit für die Datensammlung.

Schritt 4: Datenextraktion über alle Systeme

Hier wird es operativ herausfordernd. Du musst alle Systeme abfragen, in denen personenbezogene Daten der Person liegen können:

CRM (Kundenstammdaten, Tickets, Kommunikationshistorie)
ERP (Bestellungen, Rechnungen, Zahlungen)
Marketing-Automation (Newsletter, Tracking, Segmentierung)
Support (Helpdesk-Tickets, Live-Chats)
HR (bei Mitarbeitern oder Bewerbern)
Backups und Archive (oft vergessen)
Logs und Audit-Trails (IP-Adressen, Zugriffszeiten)
Drittanbieter und Auftragsverarbeiter (Cloud-Provider, Payment-Dienstleister)

Wer kein zentrales Verzeichnis von Verarbeitungstätigkeiten (VVT) pflegt, scheitert an dieser Stelle. Das VVT ist nicht nur Pflicht nach Art. 30 DSGVO, sondern operative Voraussetzung für jede DSAR-Antwort.

Schritt 5: Redaktion (Rechte Dritter schützen)

Bevor du Daten herausgibst, musst du Rechte Dritter schützen (Art. 15 Abs. 4 DSGVO). Wenn ein Kundenticket Notizen über andere Kunden enthält, müssen diese geschwärzt werden. Wenn eine E-Mail-Korrespondenz Mitarbeiter namentlich erwähnt, sind deren Namen zu redigieren, sofern sie nicht in dienstlicher Funktion gehandelt haben.

Typische zu redigierende Inhalte:

Namen, E-Mail-Adressen und Telefonnummern Dritter
Interne Bewertungen über andere Personen
Geschäftsgeheimnisse Dritter
Strafregister- oder Ermittlungsdaten

Dokumentation der Redaktion ist Pflicht. Erkläre der antragstellenden Person, dass Inhalte geschwärzt wurden und warum, ohne den geschwärzten Inhalt selbst zu offenbaren.

Schritt 6: Aufbereitung der Antwort

Die Antwort muss laut Art. 12 Abs. 1 DSGVO in präziser, transparenter, verständlicher und leicht zugänglicher Form erfolgen. Übersetzt: Kein Juristen-Deutsch, keine Massen-Excel-Exporte, sondern strukturierte, lesbare Dokumente.

Empfohlene Struktur der Antwort:

Anschreiben mit Bezug zur Anfrage und Hinweis auf die Anlagen.
Übersicht der Verarbeitungszwecke (Art. 15 Abs. 1 lit. a DSGVO).
Kategorien personenbezogener Daten (lit. b).
Empfänger oder Kategorien von Empfängern (lit. c).
Geplante Speicherdauer oder Kriterien (lit. d).
Hinweis auf Rechte (Berichtigung, Löschung, Beschwerde, lit. e und f).
Herkunft der Daten, sofern nicht direkt erhoben (lit. g).
Automatisierte Entscheidungsfindung, falls vorhanden (lit. h).
Anlagen mit den eigentlichen Daten, geordnet nach System.

Die Antwort ist kostenfrei (Art. 12 Abs. 5 Satz 1). Eine angemessene Gebühr darfst du nur bei offensichtlich unbegründeten oder exzessiven Anträgen verlangen, oder bei Zweitkopien.

Schritt 7: Sichere Übermittlung

Die Antwort enthält per Definition personenbezogene Daten und muss entsprechend geschützt übermittelt werden:

Verschlüsselte E-Mail (S/MIME oder PGP), wenn die Person diese Methode unterstützt.
Passwortgeschütztes ZIP mit getrennt übermitteltem Passwort (Mindeststandard).
Sicherer Download-Link mit Ablaufdatum und Authentifizierung.
Postversand mit Einschreiben Rückschein als Fallback.

Eine Antwort per unverschlüsselter E-Mail ist bei sensiblen Daten ein eigenständiger DSGVO-Verstoß.

Schritt 8: Dokumentation und Audit-Trail

Du musst nachweisen können, dass du die Frist eingehalten und die Anfrage vollständig bearbeitet hast. Das verlangt:

Zeitstempel für Eingang, Identitätsprüfung, Antwortversand.
Begründungen für jede Redaktions-Entscheidung.
Versandnachweise (E-Mail-Logs, Einschreibe-Quittung, Download-Bestätigung).
Aufbewahrung der vollständigen Bearbeitungsakte für mindestens drei Jahre, idealerweise bis zur regelmäßigen Verjährung.

Die Aufsichtsbehörden fragen bei einer Beschwerde nicht, ob du fristgerecht geantwortet hast. Sie fragen, ob du nachweisen kannst, fristgerecht geantwortet zu haben. Ohne lückenlosen Audit-Trail verlierst du.

Wann darfst du eine DSAR ablehnen?

Art. 12 Abs. 5 Satz 2 DSGVO erlaubt zwei Ablehnungsgründe:

1. Offenkundig unbegründete Anfrage. Beispiel: Die anfragende Person verlangt Auskunft über Daten, die nachweislich nicht existieren oder nicht von dir verarbeitet werden.

2. Exzessive Anfrage. Beispiel: Eine Person stellt monatlich identische Auskunftsanfragen ohne erkennbare Veränderung der Datenlage. Hier kannst du eine angemessene Gebühr verlangen oder die wiederholte Bearbeitung verweigern.

Wichtig: Die Beweislast für "unbegründet" oder "exzessiv" liegt bei dir. Eine Ablehnung ohne saubere Dokumentation der Begründung wird vor Aufsichtsbehörden in der Regel kassiert.

Weitere Einschränkungen ergeben sich aus:

Art. 15 Abs. 4 (Rechte Dritter, siehe Schritt 5)
§ 34 BDSG (Ausnahmen bei wissenschaftlicher Forschung, Berufsgeheimnisträgern, Geschäftsgeheimnissen)
§ 29 Abs. 1 BDSG (Geltendmachung rechtlicher Ansprüche)

In keinem Fall darfst du ohne Begründung ignorieren. Auch eine Ablehnung muss innerhalb der Monatsfrist mitgeteilt werden, samt Hinweis auf das Beschwerderecht bei der Aufsichtsbehörde.

Bußgeld-Cases: Was passiert bei Verstößen?

Drei reale Beispiele, die das Risiko illustrieren:

Deutsche Wohnen, Berlin (2019, bestätigt 2024). Die Berliner Beauftragte für Datenschutz verhängte 14,5 Millionen Euro gegen die Deutsche Wohnen wegen unrechtmäßiger Datenspeicherung und unzureichender Antwort auf Auskunftsanfragen. Das Verfahren zog sich bis 2024 hin und wurde mehrfach gerichtlich geprüft. Der Fall ist Lehrstück dafür, dass DSAR-Verstöße keine Bagatelle sind.

H&M, Hamburg (2020). Der Hamburgische Beauftragte für Datenschutz verhängte 35,3 Millionen Euro gegen H&M wegen umfassender Mitarbeiterüberwachung. Auslöser waren Auskunftsanfragen von Mitarbeitenden, die offenlegten, wie umfangreich personenbezogene Daten gesammelt wurden, ohne dass dies erkennbar war.

Spotify, Schweden (2023). Die schwedische Datenschutzbehörde verhängte 5 Millionen Euro gegen Spotify, weil die Antworten auf DSARs unvollständig und in englischer Sprache erfolgten, obwohl die Antragsteller schwedischsprachig waren. Lehre: Die Antwort muss in der Sprache der Anfrage erfolgen.

Die Bußgeld-Höhe richtet sich nach Art. 83 DSGVO und kann bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Konzernjahresumsatzes betragen, je nachdem welcher Wert höher ist.

Templates und Vorlagen

Brauchbare Vorlagen findest du nicht bei Tool-Anbietern (auch nicht bei uns), sondern bei den Aufsichtsbehörden:

BfDI Mustertexte zum Auskunftsrecht
DSK Kurzpapiere (insbesondere Nr. 6)
EDPB Guidelines 01/2022 zum Auskunftsrecht (englisch, sehr detailliert)

Hüte dich vor generischen Templates aus Marketing-Whitepapers. Sie sind oft veraltet, decken nicht die nationalen Besonderheiten ab oder enthalten unwirksame Klauseln.

Wo manuelles DSAR-Management scheitert

Die Praxis zeigt: Mit Excel und E-Mail-Verteilern verfehlst du die Frist. Drei typische Bruchstellen:

Datensilos. Der CRM-Admin, der ERP-Verantwortliche und der Marketing-Lead arbeiten getrennt. Eine DSAR an alle drei zu koordinieren kostet zwei Wochen, wenn keiner einen klaren Workflow hat. Genau deshalb sind die versteckten Kosten manueller Compliance bei DSARs überdurchschnittlich hoch.

Backups vergessen. Daten in Backup-Systemen sind oft schwer zugänglich. Wer Backups nicht ins DSAR-Inventar einbezieht, riskiert eine unvollständige Antwort, die später als Verstoß qualifiziert wird.

Redaktion unter Zeitdruck. Wer am 29. Tag der Frist noch Schwärzungen vornimmt, übersieht Daten Dritter. Das wiederum ist ein eigener Verstoß mit eigener Bußgeldgefahr.

Wie Kopexa DSAR-Management automatisiert

Wir haben dafür eine eigene DSAR-Software entwickelt:

Zentrale Eingangsbox für DSARs aus allen Kanälen, mit automatischem 30-Tage-Timer.
Identitätsprüfung integriert, mit Eskalation bei sensiblen Daten.
Datenextraktion über Konnektoren zu CRM, ERP, Marketing und Cloud-Providern.
Redaktions-Workflow mit Audit-Trail jeder Schwärzungs-Entscheidung.
Versand über sichere Download-Links mit Authentifizierung.
Lückenloser Audit-Trail für jede Frist, Aktion und Begründung.

DSAR-Management ist nur ein Teil deiner DSGVO-Pflichten. Wenn du dein gesamtes DSGVO-Pflichtenheft im Blick behalten willst, brauchst du ein integriertes Tooling. Auch der Vorfall-Workflow für Datenschutzpannen sollte direkt mit DSAR koppeln, weil eine bestätigte Datenpanne oft DSARs auslöst.

Fazit: DSAR ist Pflicht, nicht Kür

Die DSGVO gibt dir vier Wochen, um eine vollständige, lesbare und nachweisbare Auskunft zu liefern. Die Bußgeld-Praxis der letzten Jahre zeigt, dass die Aufsichtsbehörden das ernst nehmen. Eine einzige unbeantwortete DSAR genügt, um eine Beschwerde auszulösen, die in einem Bußgeldverfahren münden kann.

Der hier beschriebene 8-Schritt-Workflow ist die operative Mindestanforderung. Wer ihn manuell fährt, verliert irgendwann die Frist. Wer ihn in einer integrierten Plattform abbildet, hat DSARs als Routine im Griff und kann sich auf die Arbeit konzentrieren, die Compliance eigentlich produktiv macht: Risikomanagement, Awareness, Lieferantenkontrolle.

Wenn du sehen willst, wie der Workflow konkret aussieht, vereinbare einen Demo-Termin oder schau dir die DSAR-Software direkt an.

Häufige Fragen

Was ist eine DSAR?: DSAR steht für Data Subject Access Request, also eine DSGVO-Auskunftsanfrage nach Art. 15. Eine Person verlangt damit von einer Organisation eine Kopie ihrer verarbeiteten Daten samt Metadaten wie Verarbeitungszwecke, Empfänger, Speicherdauer und Herkunft. Im weiteren Sinne deckt der Begriff alle Betroffenenrechte nach Art. 15 bis 22 DSGVO ab, also Auskunft, Berichtigung, Löschung, Einschränkung, Mitteilung, Datenübertragbarkeit und Widerspruch.
Wie lange habe ich Zeit, eine DSAR zu beantworten?: Die Frist beträgt 1 Monat ab Eingang der Anfrage (Art. 12 Abs. 3 DSGVO). Bei besonders komplexen oder umfangreichen Anfragen kann die Frist um weitere 2 Monate verlängert werden, die Verlängerung muss aber innerhalb der ersten Monatsfrist mitgeteilt werden, einschließlich Begründung. Fällt das Fristende auf einen Sonn- oder Feiertag, verlängert sich die Frist auf den nächsten Werktag.
Wie überprüfe ich die Identität einer DSAR-Antragstellerin rechtssicher?: Die Identitätsprüfung muss verhältnismäßig sein. Bei bestehenden Kundenkonten reicht oft die Anmeldung im Portal. Bei E-Mail-Anfragen ohne Account hilft ein Bestätigungslink an die hinterlegte Adresse. Erst bei sensiblen Daten wie Gesundheits- oder Finanzdaten sind Ausweisdaten oder Video-Ident gerechtfertigt. Eine übertriebene Identitätsprüfung ist selbst ein DSGVO-Verstoß. Die Beweislast für die Verhältnismäßigkeit liegt beim Verantwortlichen.
Wann darf ich eine DSAR ablehnen?: Art. 12 Abs. 5 DSGVO erlaubt zwei Ablehnungsgründe: offenkundig unbegründete Anfragen oder exzessive Anfragen, etwa monatlich identische Wiederholungen ohne neue Datenlage. Beide Gründe musst du sauber dokumentieren, die Beweislast liegt bei dir. Daneben gibt es Einschränkungen aus Art. 15 Abs. 4 (Schutz Rechte Dritter) und § 34 BDSG (Forschung, Berufsgeheimnisträger, Geschäftsgeheimnisse). Eine Ablehnung musst du innerhalb der Monatsfrist mit Begründung und Hinweis auf das Beschwerderecht kommunizieren.
Was kostet eine DSAR-Antwort den Verantwortlichen?: Für die antragstellende Person ist die erste Auskunft nach Art. 12 Abs. 5 DSGVO kostenfrei. Eine angemessene Gebühr darfst du nur bei offensichtlich unbegründeten oder exzessiven Anträgen verlangen oder bei Zweitkopien. Aufseiten des Unternehmens kostet eine manuelle DSAR-Bearbeitung oft 8 bis 30 Stunden pro Anfrage, weil Datensilos abgefragt, geschwärzt und dokumentiert werden müssen. Mit automatisierter DSAR-Software lässt sich der Aufwand auf 1 bis 2 Stunden pro Anfrage reduzieren.
Welche Daten muss ich in einer DSAR-Antwort herausgeben?: Alle personenbezogenen Daten der Person aus allen Systemen: CRM, ERP, Marketing-Automation, Support-Tickets, Backups, Logs, Auftragsverarbeiter. Dazu Metadaten nach Art. 15 Abs. 1 DSGVO: Verarbeitungszwecke, Datenkategorien, Empfänger oder Empfängerkategorien, Speicherdauer, Hinweis auf Betroffenenrechte, Herkunft der Daten und automatisierte Entscheidungsfindung. Die Antwort muss in präziser, transparenter, verständlicher und leicht zugänglicher Form erfolgen, kein Juristen-Deutsch, keine ungeordneten Excel-Massendumps.
Wie schütze ich Rechte Dritter bei einer DSAR-Antwort?: Art. 15 Abs. 4 DSGVO verlangt, dass die Auskunft die Rechte und Freiheiten anderer Personen nicht beeinträchtigt. Praktisch heißt das: Namen, Kontaktdaten und Bewertungen Dritter sind zu redigieren, sofern sie nicht in dienstlicher Funktion gehandelt haben. Auch Geschäftsgeheimnisse, Strafregister- oder Ermittlungsdaten Dritter sind zu schwärzen. Die Schwärzung muss dokumentiert werden, der Antragsteller bekommt einen Hinweis, dass redigiert wurde und warum, ohne den geschwärzten Inhalt offenzulegen.
Welche Bußgelder drohen bei DSAR-Verstößen?: Nach Art. 83 DSGVO bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Konzernjahresumsatzes, je nachdem welcher Wert höher ist. Reale Beispiele: Deutsche Wohnen 14,5 Mio Euro (Berlin 2019, mehrfach gerichtlich bestätigt), H&M 35,3 Mio Euro (Hamburg 2020), Spotify 5 Mio Euro (Schweden 2023, weil Antworten in Englisch statt der Sprache der Anfrage erfolgten). Auch die unvollständige oder verspätete Antwort allein kann Bußgelder auslösen, nicht erst der unrechtmäßige Datenumgang dahinter.

Quellen

Art. 15 DSGVO: Auskunftsrecht der betroffenen Person [Abgerufen am 10. Mai 2026]
Art. 12 DSGVO: Transparente Information [Abgerufen am 10. Mai 2026]
Datenschutzkonferenz: Kurzpapier Nr. 6 zum Auskunftsrecht — Datenschutzkonferenz [Abgerufen am 10. Mai 2026]
BlnBDI Tätigkeitsbericht 2024: Deutsche Wohnen 14,5 Mio EUR — Berliner Beauftragte für Datenschutz [Abgerufen am 10. Mai 2026]
EDPB Guidelines 01/2022 on the data subject right of access — European Data Protection Board [Abgerufen am 10. Mai 2026]