DSGVO-Auskunftsanfragen mit KI zu beantworten kann die Bearbeitungszeit einer Art-15-Anfrage von mehreren Arbeitstagen auf wenige Stunden reduzieren. Das ist nicht nur eine Komfortfrage, sondern ein rechtlicher Hebel: Wer die Monatsfrist des Art. 12 Abs. 3 DSGVO reißt, riskiert Bußgelder nach Art. 83 DSGVO von bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes. Dieser Beitrag zeigt Ihnen, wie Sie KI im Prozess sinnvoll einsetzen, welche Schritte weiterhin dem Menschen gehören und wo die häufigsten Fehler lauern.
Das Wichtigste in Kürze
- Art. 15 DSGVO verpflichtet jedes Unternehmen zur Auskunft über gespeicherte personenbezogene Daten eines Betroffenen.
- Die Frist beträgt einen Monat, verlängerbar auf drei Monate bei komplexen Anfragen.
- KI kann Datenquellen durchsuchen, Inhalte strukturieren und einen Antwort-Entwurf erstellen.
- Die Identifikation des Anfragenden und die Schwärzung von Drittdaten müssen weiterhin ein Mensch prüfen.
- Bußgelder bei Nichtbeantwortung können bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes erreichen.
- Eine saubere Dokumentation jeder Anfrage ist Pflicht und dient der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO.
Was Art. 15 DSGVO fordert
Nach Art. 15 Abs. 1 DSGVO hat jede betroffene Person das Recht, von einem Verantwortlichen Auskunft darüber zu verlangen, ob personenbezogene Daten über sie verarbeitet werden. Wenn ja, muss der Verantwortliche eine Reihe von Informationen mitteilen:
- Welche Kategorien personenbezogener Daten werden verarbeitet?
- Zu welchen Zwecken erfolgt die Verarbeitung?
- An welche Empfänger wurden oder werden die Daten weitergegeben?
- Wie lange werden die Daten gespeichert?
- Welche Rechte hat die betroffene Person?
- Woher stammen die Daten, wenn sie nicht direkt erhoben wurden?
- Findet automatisierte Entscheidungsfindung statt?
Zusätzlich verlangt Art. 15 Abs. 3 DSGVO eine Kopie der verarbeiteten Daten. Diese Kopie ist der aufwändigste Teil, weil die Daten aus unterschiedlichsten Systemen (CRM, E-Mail, Buchhaltung, Support-Tickets, Logfiles) zusammengetragen werden müssen.
Die Frist beginnt mit Eingang der Anfrage und beträgt einen Monat. Sie kann um zwei weitere Monate verlängert werden, wenn der Umfang der Anfrage es erfordert. Die Verlängerung muss aber innerhalb der ersten Frist begründet mitgeteilt werden. Wer schweigt, haftet.
Wo KI konkret helfen kann
Datenquellen systematisch durchsuchen
Das größte Problem bei einer Auskunftsanfrage ist die Menge an Systemen, in denen Daten liegen können. Ein typisches KMU hat E-Mails, CRM, Buchhaltung, Support-System, Zeiterfassung, Backups und manchmal noch ein halbes Dutzend Spezial-Tools. Eine KI-gestützte Suche kann alle diese Quellen parallel durchsuchen, wenn Sie einen Workflow eingerichtet haben. Der typische Aufbau:
- Anfrage geht beim Datenschutzbeauftragten ein.
- Ein n8n-Workflow startet parallele Queries in allen relevanten Systemen: "Finde alle Datensätze, bei denen Name, E-Mail oder Telefonnummer des Anfragenden vorkommen."
- Die Ergebnisse werden in einem strukturierten Format (JSON) gesammelt.
- Claude oder ein anderes Sprachmodell fasst die Fundstellen in einem verständlichen Fließtext zusammen.
- Der Datenschutzbeauftragte prüft und gibt frei.
Dieser Schritt, der früher einen halben bis ganzen Arbeitstag gekostet hat, dauert mit einem eingerichteten Workflow rund 30 Minuten Rechenzeit plus 30 bis 60 Minuten menschliche Prüfung.
Antworten strukturieren
Art. 15 DSGVO verlangt einen Auskunftstext, der die Pflichtangaben enthält. Viele Unternehmen nutzen eine Vorlage, die aber für jede Anfrage individualisiert werden muss. Eine KI kann aus der Vorlage plus den gefundenen Daten einen maßgeschneiderten Entwurf erzeugen. Sie formuliert, welche Daten gefunden wurden, zu welchen Zwecken sie verarbeitet werden und welche Empfänger-Kategorien betroffen sind.
Wichtig: Die KI sollte nie frei formulieren, sondern nur die Vorlage füllen. Alles andere erhöht das Risiko, dass sie juristische Fehler einbaut.
Löschfristen automatisch prüfen
Im Rahmen der Auskunft muss auch mitgeteilt werden, wie lange die Daten gespeichert werden. Wenn Sie Ihre Aufbewahrungsfristen in einer Datenbank oder einer strukturierten Tabelle pflegen, kann die KI diese Information automatisch abrufen und in den Auskunftstext übernehmen. Beispiel: Rechnungen sieben Jahre (Steuerrecht), Angebote zwei Jahre (gesetzliche Verjährung), Marketing-Einwilligungen bis zum Widerruf.
Was weiterhin beim Menschen bleiben muss
Drei Dinge dürfen Sie nicht an eine KI delegieren.
Identifikation des Anfragenden
Nach Art. 12 Abs. 6 DSGVO darf der Verantwortliche zusätzliche Informationen zur Identifikation verlangen, wenn begründete Zweifel an der Identität bestehen. Wer einem Unbefugten Daten herausgibt, begeht einen Verstoß nach Art. 32 DSGVO. Die Identifikation muss ein Mensch prüfen, mit Augenmaß: Keine übertriebenen Hürden für berechtigte Anfragen, aber auch keine leichtfertige Herausgabe.
Schwärzung von Drittdaten
Wenn ein Mitarbeiter Auskunft über alle E-Mails verlangt, in denen er erwähnt wird, enthalten diese E-Mails fast immer Daten Dritter: Kollegen, Kunden, Geschäftspartner. Diese Drittdaten müssen geschwärzt werden, soweit sie nicht für den Kontext zwingend sind. Eine KI kann das nicht zuverlässig, weil die Abwägung zwischen Auskunftsrecht des einen und Schutzrecht des anderen juristisch ist. Das Bundesarbeitsgericht und das BVerfG haben dazu Urteile gefällt, die im Einzelfall zu berücksichtigen sind. Diese Abwägung bleibt beim Datenschutzbeauftragten oder einem qualifizierten Mitarbeiter.
Die Freigabe
Die letzte Freigabe der Auskunftsantwort muss bei einem Menschen liegen, der verantwortlich ist. Das ist in der Regel der Datenschutzbeauftragte oder die Geschäftsführung. Automatisierte Versendung ohne Freigabe schafft ein unnötiges Haftungsrisiko.
Typische Fehler und wie Sie sie vermeiden
| Fehler | Konsequenz | Vermeidung |
|---|---|---|
| Frist übersehen | Bußgeld, Beschwerde bei der Aufsichtsbehörde | Ticketing-System mit Fristenüberwachung |
| Unvollständige Auskunft | Nachforderungen, Vertrauensverlust | Vollständigkeits-Checkliste vor Versand |
| Drittdaten nicht geschwärzt | Verstoß gegen Art. 32 DSGVO | Manuelle Prüfung durch Datenschutzbeauftragten |
| Identität nicht geprüft | Datenweitergabe an Unbefugte | Klarer Identifikationsprozess |
| Fehlende Dokumentation | Verstoß gegen Rechenschaftspflicht | Alle Schritte im DSMS protokollieren |
Besonders häufig ist der Fehler, dass Unternehmen nur die offensichtlichen Systeme (CRM, E-Mail) durchsuchen und Schattendatenquellen wie Excel-Listen auf Fileservern, Whatsapp-Chats von Vertriebsmitarbeitern oder Backups vergessen. Diese Quellen müssen in der Auskunft genannt werden, sonst ist sie unvollständig.
Technische Umsetzung im KMU
Für ein KMU mit 20 bis 200 Mitarbeitern ist der folgende Aufbau praxistauglich:
- Zentrale Anfragestelle. Eine feste E-Mail-Adresse (z.B. datenschutz@ihr-unternehmen.de), die direkt an den Datenschutzbeauftragten geht.
- Ticketing-System. Eine einfache Lösung wie OTRS, Zammad oder Jira Service Management, in der jede Anfrage mit Frist eingetragen wird.
- Such-Workflow. Ein n8n-Workflow, der die wichtigsten Datenquellen nach Namen, E-Mail und Telefonnummer durchsucht.
- KI-Entwurf. Claude oder ein anderes Sprachmodell erstellt aus den Fundstellen einen ersten Textentwurf.
- Menschliche Prüfung. Der Datenschutzbeauftragte prüft den Entwurf, ergänzt, schwärzt Drittdaten und gibt frei.
- Versand und Dokumentation. Die Antwort geht raus, der komplette Vorgang wird im DSMS abgelegt.
Die Kosten für ein solches Setup liegen bei rund 100 bis 200 EUR im Monat (inklusive KI-API-Kosten und Ticketing-System), plus einmalig 5 bis 10 Entwicklertage für die Einrichtung. Gegenüber einem einzigen verpassten Bußgeld amortisiert sich das sofort.
Was die Aufsichtsbehörden aktuell sagen
Die deutschen Aufsichtsbehörden haben seit Inkrafttreten der DSGVO mehrfach deutlich gemacht, dass Art. 15 DSGVO ein zentrales Betroffenenrecht ist. Nichtbeantwortung, unvollständige oder verspätete Beantwortung taucht regelmäßig als Beanstandung in den Tätigkeitsberichten der Landesdatenschutzbeauftragten auf. Zusätzlich zu den Bußgeldern nach Art. 83 DSGVO werden auch Zivilklagen auf immateriellen Schadensersatz nach Art. 82 DSGVO häufiger, nachdem der Europäische Gerichtshof die Hürden dafür abgesenkt hat.
Wer Compliance-Themen systematisch aufbauen will, findet im [Artikel zu EU AI Act und DSGVO](PH0 weiterführende Informationen. Für Mitarbeiterschulungen zum Thema Datenschutz und KI empfehlen wir unseren [Digitalisierungsmanager-Kurs](PH1 der neben technischen Inhalten auch regulatorische Grundlagen vermittelt. Für Firmenkunden ist die Schulung über das [Qualifizierungschancengesetz](PH2 förderfähig.
Häufige Fragen
Darf ich einen Cloud-KI-Dienst zum Durchsuchen personenbezogener Daten einsetzen?
Ja, wenn die Rahmenbedingungen stimmen. Sie brauchen einen Auftragsverarbeitungsvertrag mit dem Anbieter, eine Rechtsgrundlage für die Verarbeitung (meist Art. 6 Abs. 1 lit. c DSGVO wegen rechtlicher Verpflichtung) und Datenhaltung in der EU oder unter einem Angemessenheitsbeschluss. Anthropic und OpenAI bieten für Business-Konten entsprechende Regelungen an. Sensible Daten können alternativ über ein lokal betriebenes Sprachmodell (z.B. Llama oder Mistral auf eigener Hardware) verarbeitet werden.
Wie lange darf ich für die Antwort brauchen?
Die Grundfrist beträgt einen Monat ab Eingang der Anfrage. Sie kann um zwei weitere Monate verlängert werden, wenn der Umfang es erfordert. Die Verlängerung muss dem Anfragenden innerhalb der ersten Frist mit Begründung mitgeteilt werden. Wer die Frist ohne Mitteilung reißt, riskiert Beschwerden bei der Aufsichtsbehörde und Bußgelder.
Muss ich wirklich eine Kopie aller Daten herausgeben?
Ja. Art. 15 Abs. 3 DSGVO verlangt eine Kopie der verarbeiteten personenbezogenen Daten. Das bedeutet nicht zwingend ein Export aller Datensätze, sondern eine Darstellung, aus der die betroffene Person die verarbeiteten Informationen nachvollziehen kann. Der Europäische Gerichtshof hat in mehreren Urteilen klargestellt, dass der Begriff "Kopie" nicht eng auszulegen ist, aber auch nicht zwingend alle Rohdaten umfassen muss.
Was ist mit E-Mails, in denen der Anfragende nur erwähnt wird?
Diese E-Mails fallen grundsätzlich unter die Auskunftspflicht, weil sie personenbezogene Daten enthalten. Sie müssen aber Drittdaten schwärzen, bevor Sie die E-Mails herausgeben. Der Aufwand dafür ist hoch, was zur Fristverlängerung berechtigen kann. Dokumentieren Sie die Schwärzung sauber, damit Sie im Streitfall belegen können, warum einzelne Stellen unleserlich gemacht wurden.
Was passiert, wenn ich eine Anfrage versehentlich ignoriere?
Im Regelfall wird sich der Anfragende erneut melden oder direkt die Aufsichtsbehörde einschalten. Die Behörde wird Sie dann schriftlich auffordern, die Anfrage zu bearbeiten, und Ihnen je nach Schwere eine Verwarnung oder ein Bußgeld auferlegen. Wer strukturell Anfragen ignoriert, muss mit erheblichen Sanktionen rechnen. Auch Zivilklagen auf Schadensersatz sind möglich.
Lohnt sich der Aufwand für ein kleines Unternehmen?
Ja. Die Fallzahlen steigen, Betroffene werden informierter, und eine einzige verpatzte Anfrage kann teurer werden als ein professionelles Setup. Für ein Unternehmen ab zehn Mitarbeitern empfehlen wir ein strukturiertes Vorgehen, auch ohne komplexe KI-Lösung. Ab etwa 50 Mitarbeitern rechnet sich die Investition in einen KI-gestützten Workflow deutlich.
Fazit
DSGVO-Auskunftsanfragen mit KI zu beantworten ist ein sinnvoller Weg, um die Bearbeitungszeit zu verkürzen und Fristen sicher einzuhalten. Die KI übernimmt die Datensuche und Strukturierung, der Mensch prüft, schwärzt und gibt frei. Wer sein Datenschutz-Team in diese Richtung qualifizieren will, findet im Digitalisierungsmanager-Kurs von SkillSprinters das passende Format. Für Firmenkunden ist die Weiterbildung über das Qualifizierungschancengesetz förderfähig.
Bereit für deinen nächsten Karriereschritt?
Lass dich kostenlos beraten. Wir finden die passende Weiterbildung und Förderung für dich.