Auskunft nach Artikel 15 DSGVO

Hintergrund für Unternehmen

Die Datenschutzbehörde (DSB) Österreich hat im Oktober 2025 entschieden, dass das Unternehmen CRIF einer betroffenen Person keine vollständige Auskunft nach Artikel 15 DSGVO erteilt hat. Zwar wurden allgemeine Datenkategorien und Score-Werte offengelegt, doch fehlten konkrete Kopien der verarbeiteten personenbezogenen Daten sowie verständliche Informationen über Herkunft, Empfänger und Zwecke der Verarbeitung.
Damit hat CRIF laut DSB gegen die Transparenzpflichten aus Artikel 12 DSGVO und gegen den Auskunftsanspruch nach Artikel 15 DSGVO verstoßen.

Was wurde entschieden?

Die DSB stellte klar: Eine bloße Auflistung von Datenfeldern oder Kategorien erfüllt den Anspruch auf Auskunft nicht.
Betroffene haben das Recht,

• vollständige Kopien der sie betreffenden personenbezogenen Daten zu erhalten (Art. 15 Abs. 3 DSGVO),

• konkrete Informationen über Herkunft, Empfänger und Verarbeitungszwecke zu bekommen,

• und zu erfahren, ob ihre Daten automatisiert verarbeitet oder bewertet werden.

Die Behörde betonte, dass nur eine verständliche und transparente Darstellung es Betroffenen ermöglicht, die Rechtmäßigkeit der Verarbeitung zu prüfen und ggf. ihre Rechte wahrzunehmen. CRIF wurde daher verpflichtet, innerhalb von vier Wochen eine vollständige, nachvollziehbare Auskunft nachzuliefern.

Ergänzend dazu: Gerichtsurteil zur Empfängerliste

Ein Gericht stellte in einem weiteren Verfahren klar, dass Artikel 15 DSGVO einen Verantwortlichen nicht zwingt, eine Liste der konkreten Empfänger zu liefern, wenn diese aufgrund fehlender Dokumentation nicht eindeutig identifizierbar sind. In solchen Fällen genügt es, alle potenziellen oder typischen Empfängergruppen anzugeben – etwa „Dienstleister für IT-Betrieb“, „Logistikunternehmen“ oder „Zahlungsdienstleister“.
Wichtig ist dabei, dass diese Gruppen verständlich beschrieben werden, damit Betroffene nachvollziehen können, wer theoretisch Zugriff auf ihre Daten haben kann.

Für Unternehmen bedeutet das: Wer Empfänger nicht einzeln nachweisen kann, sollte zumindest klare Kategorien verwenden und offenlegen, welche Arten von Dritten typischerweise Zugriff auf personenbezogene Daten erhalten.

Bedeutung für Unternehmen

Die Entscheidung betrifft nicht nur Auskunfteien, sondern alle datenverarbeitenden Unternehmen.
Wer Auskunftsersuchen beantwortet, muss sicherstellen, dass:

• die Angaben vollständig und aktuell sind,

• die Herkunft der Daten (z. B. von Dritten, öffentlichen Quellen, Kundendatenbanken) nachvollziehbar angegeben wird,

• Empfänger oder Empfängerkategorien beschrieben werden, auch wenn Einzelangaben fehlen,

• und die Auskunft in klarer Sprache erfolgt.

Unvollständige oder schwer verständliche Antworten können zu Beschwerden, Prüfungen und Auflagen durch die Datenschutzbehörde führen.

So reagieren Unternehmen richtig

1) Auskunftsprozess überprüfen

• Standardtexte und Vorlagen anpassen – einfache, verständliche Sprache verwenden.

• Prüfen, ob alle betroffenen Systeme (CRM, Newsletter, HR, Cloud-Dienste etc.) in der Auskunft berücksichtigt werden.

• Dokumentieren, woher Daten stammen und an wen sie weitergegeben werden.

2) Datenkopien bereitstellen

• Stellen Sie reale Kopien bereit – etwa Screenshots, PDF-Export oder CSV-Dateien mit personenbezogenen Daten.

• Nur Daten ausschließen, die Rechte anderer Personen verletzen oder Geschäftsgeheimnisse offenbaren würden – und dies kurz begründen.

3) Fristen und Form

• Antwortfrist: ein Monat ab Eingang des Ersuchens (Art. 12 Abs. 3 DSGVO).

• Auskunft kann elektronisch oder postalisch erfolgen, je nach Wunsch der betroffenen Person.

• Alle Mitteilungen müssen verständlich, präzise und kostenlos sein.

4) Beispiel für eine verständliche Auskunft

„Wir verarbeiten folgende Daten: Name, Anschrift, Kundennummer, E-Mail-Adresse, Bestellhistorie.
Ihre Daten wurden an unseren Versanddienstleister zur Zustellung weitergegeben.
Sie stammen aus Ihrer Online-Bestellung vom 12. Mai 2025.
Eine Weitergabe an Drittländer erfolgt nicht.“

So erkennen Betroffene sofort, welche Daten betroffen sind, wofür sie genutzt werden und an wen sie übermittelt wurden.

Empfehlung

Unternehmen sollten ihre Prozesse zur Betroffenen-Auskunft regelmäßig prüfen und dokumentieren. Eine vollständige und klare Auskunft schafft Vertrauen, reduziert Beschwerden und zeigt Datenschutzkompetenz. Wer Unterstützung bei der Formulierung oder Prozessgestaltung benötigt, sollte sich frühzeitig beraten lassen.

Quellenangabe: Österreichische Datenschutzbehörde (DSB)

Sind Sie sicher, ob Ihr Unternehmen oder Ihre Behörde im Hinblick auf Datenschutz und Datensicherheit optimal aufgestellt ist?

Lassen Sie sich unverbindlich von einem Datenschutzbeauftragten beraten.

Kontakt aufnehmen

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

• Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
• Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter. Alles zu IT-Betrieb, IT-Sicherheit und Administration von Websites
• Tragbarer Tresor für die Reise zum Schutz von Wertsachen
• Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
• Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
• Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
• Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
• Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen

Dieser Absatz enthält Affiliatelinks/Werbelinks