DSGVO-Auskunftsanfragen mit KI zu beantworten kann die Bearbeitungszeit einer Art-15-Anfrage von mehreren Arbeitstagen auf wenige Stunden reduzieren. Komfort ist hier nur die halbe Wahrheit. Wer die Monatsfrist des Art. 12 Abs. 3 DSGVO reisst, riskiert Bussgelder nach Art. 83 DSGVO von bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes. Wie Sie KI im Prozess sinnvoll einsetzen, welche Schritte weiterhin dem Menschen gehören und wo die haeufigsten Fehler lauern, steht unten.
Was Art. 15 DSGVO fordert
Nach Art. 15 Abs. 1 DSGVO hat jede betroffene Person das Recht, von einem Verantwortlichen Auskunft darueber zu verlangen, ob personenbezogene Daten über sie verarbeitet werden. Wenn ja, muss der Verantwortliche eine Reihe von Informationen mitteilen:
- Welche Kategorien personenbezogener Daten werden verarbeitet?
- Zu welchen Zwecken erfolgt die Verarbeitung?
- An welche Empfänger wurden oder werden die Daten weitergegeben?
- Wie lange werden die Daten gespeichert?
- Welche Rechte hat die betroffene Person?
- Woher stammen die Daten, wenn sie nicht direkt erhoben wurden?
- Findet automatisierte Entscheidungsfindung statt?
Zusaetzlich verlangt Art. 15 Abs. 3 DSGVO eine Kopie der verarbeiteten Daten. Diese Kopie ist der aufwaendigste Teil, weil die Daten aus unterschiedlichsten Systemen (CRM, E-Mail, Buchhaltung, Support-Tickets, Logfiles) zusammengetragen werden müssen.
Die Frist beginnt mit Eingang der Anfrage und beträgt einen Monat. Sie kann um zwei weitere Monate verlaengert werden, wenn der Umfang der Anfrage es erfordert. Die Verlaengerung muss aber innerhalb der ersten Frist begruendet mitgeteilt werden. Wer schweigt, haftet.
Wo KI konkret helfen kann
Datenquellen systematisch durchsuchen
Das größte Problem bei einer Auskunftsanfrage ist die Menge an Systemen, in denen Daten liegen können. Ein typisches KMU hat E-Mails, CRM, Buchhaltung, Support-System, Zeiterfassung, Backups und manchmal noch ein halbes Dutzend Spezial-Tools. Eine KI-gestuetzte Suche kann alle diese Quellen parallel durchsuchen, wenn Sie einen Workflow eingerichtet haben. Der typische Aufbau:
- Anfrage geht beim Datenschutzbeauftragten ein.
- Ein n8n-Workflow startet parallele Queries in allen relevanten Systemen: "Finde alle Datensaetze, bei denen Name, E-Mail oder Telefonnummer des Anfragenden vorkommen."
- Die Ergebnisse werden in einem strukturierten Format (JSON) gesammelt.
- Claude oder ein anderes Sprachmodell fasst die Fundstellen in einem verstaendlichen Fliesstext zusammen.
- Der Datenschutzbeauftragte prueft und gibt frei.
Dieser Schritt, der früher einen halben bis ganzen Arbeitstag gekostet hat, dauert mit einem eingerichteten Workflow rund 30 Minuten Rechenzeit plus 30 bis 60 Minuten menschliche Prüfung.
Antworten strukturieren
Art. 15 DSGVO verlangt einen Auskunftstext, der die Pflichtangaben enthält. Viele Unternehmen nutzen eine Vorlage, die aber für jede Anfrage individualisiert werden muss. Eine KI kann aus der Vorlage plus den gefundenen Daten einen massgeschneiderten Entwurf erzeugen. Sie formuliert, welche Daten gefunden wurden, zu welchen Zwecken sie verarbeitet werden und welche Empfaenger-Kategorien betroffen sind.
Die KI sollte nie frei formulieren, sondern nur die Vorlage fuellen. Alles andere erhöht das Risiko, dass sie juristische Fehler einbaut.
Loeschfristen automatisch prüfen
Im Rahmen der Auskunft muss auch mitgeteilt werden, wie lange die Daten gespeichert werden. Wenn Sie Ihre Aufbewahrungsfristen in einer Datenbank oder einer strukturierten Tabelle pflegen, kann die KI diese Information automatisch abrufen und in den Auskunftstext uebernehmen. Beispiel: Rechnungen sieben Jahre (Steuerrecht), Angebote zwei Jahre (gesetzliche Verjaehrung), Marketing-Einwilligungen bis zum Widerruf.
Was weiterhin beim Menschen bleiben muss
Drei Dinge dürfen Sie nicht an eine KI delegieren.
Identifikation des Anfragenden
Nach Art. 12 Abs. 6 DSGVO darf der Verantwortliche zusätzliche Informationen zur Identifikation verlangen, wenn begruendete Zweifel an der Identitaet bestehen. Wer einem Unbefugten Daten herausgibt, begeht einen Verstoss nach Art. 32 DSGVO. Die Identifikation muss ein Mensch prüfen, mit Augenmass: Keine uebertriebenen Huerden für berechtigte Anfragen, aber auch keine leichtfertige Herausgabe.
Schwaerzung von Drittdaten
Wenn ein Mitarbeiter Auskunft über alle E-Mails verlangt, in denen er erwähnt wird, enthalten diese E-Mails fast immer Daten Dritter: Kollegen, Kunden, Geschaeftspartner. Diese Drittdaten müssen geschwaerzt werden, soweit sie nicht für den Kontext zwingend sind. Eine KI kann das nicht zuverlaessig, weil die Abwaegung zwischen Auskunftsrecht des einen und Schutzrecht des anderen juristisch ist. Das Bundesarbeitsgericht und das BVerfG haben dazu Urteile gefaellt, die im Einzelfall zu beruecksichtigen sind. Diese Abwaegung bleibt beim Datenschutzbeauftragten oder einem qualifizierten Mitarbeiter.
Die Freigabe
Die letzte Freigabe der Auskunftsantwort muss bei einem Menschen liegen, der verantwortlich ist. Das ist in der Regel der Datenschutzbeauftragte oder die Geschaeftsfuehrung. Automatisierte Versendung ohne Freigabe schafft ein unnoetiges Haftungsrisiko.
Typische Fehler und wie Sie sie vermeiden
| Fehler | Konsequenz | Vermeidung |
|---|---|---|
| Frist uebersehen | Bussgeld, Beschwerde bei der Aufsichtsbehoerde | Ticketing-System mit Fristenueberwachung |
| Unvollstaendige Auskunft | Nachforderungen, Vertrauensverlust | Vollstaendigkeits-Checkliste vor Versand |
| Drittdaten nicht geschwaerzt | Verstoss gegen Art. 32 DSGVO | Manuelle Prüfung durch Datenschutzbeauftragten |
| Identitaet nicht geprüft | Datenweitergabe an Unbefugte | Klarer Identifikationsprozess |
| Fehlende Dokumentation | Verstoss gegen Rechenschaftspflicht | Alle Schritte im DSMS protokollieren |
Besonders haeufig ist der Fehler, dass Unternehmen nur die offensichtlichen Systeme (CRM, E-Mail) durchsuchen und Schattendatenquellen wie Excel-Listen auf Fileservern, Whatsapp-Chats von Vertriebsmitarbeitern oder Backups vergessen. Diese Quellen müssen in der Auskunft genannt werden, sonst ist sie unvollstaendig.
Technische Umsetzung im KMU
Für ein KMU mit 20 bis 200 Mitarbeitern ist der folgende Aufbau praxistauglich:
- Zentrale Anfragestelle. Eine feste E-Mail-Adresse (z.B. datenschutz@ihr-unternehmen.de), die direkt an den Datenschutzbeauftragten geht.
- Ticketing-System. Eine einfache Lösung wie OTRS, Zammad oder Jira Service Management, in der jede Anfrage mit Frist eingetragen wird.
- Such-Workflow. Ein n8n-Workflow, der die wichtigsten Datenquellen nach Namen, E-Mail und Telefonnummer durchsucht.
- KI-Entwurf. Claude oder ein anderes Sprachmodell erstellt aus den Fundstellen einen ersten Textentwurf.
- Menschliche Prüfung. Der Datenschutzbeauftragte prueft den Entwurf, ergänzt, schwaerzt Drittdaten und gibt frei.
- Versand und Dokumentation. Die Antwort geht raus, der komplette Vorgang wird im DSMS abgelegt.
Die Kosten für ein solches Setup liegen bei rund 100 bis 200 EUR im Monat (inklusive KI-API-Kosten und Ticketing-System), plus einmalig 5 bis 10 Entwicklertage für die Einrichtung. Gegenueber einem einzigen verpassten Bussgeld amortisiert sich das sofort.
Was die Aufsichtsbehoerden aktuell sagen
Die deutschen Aufsichtsbehoerden haben seit Inkrafttreten der DSGVO mehrfach deutlich gemacht, dass Art. 15 DSGVO ein zentrales Betroffenenrecht ist. Nichtbeantwortung, unvollstaendige oder verspaetete Beantwortung taucht regelmäßig als Beanstandung in den Taetigkeitsberichten der Landesdatenschutzbeauftragten auf. Zusaetzlich zu den Bussgeldern nach Art. 83 DSGVO werden auch Zivilklagen auf immateriellen Schadensersatz nach Art. 82 DSGVO haeufiger, nachdem der Europaeische Gerichtshof die Huerden dafuer abgesenkt hat.
Wer Compliance-Themen systematisch aufbauen will, findet im [Artikel zu EU AI Act und DSGVO](PH0 weiterfuehrende Informationen. Für Mitarbeiterschulungen zum Thema Datenschutz und KI empfehlen wir unseren [Digitalisierungsmanager-Kurs](PH1 der neben technischen Inhalten auch regulatorische Grundlagen vermittelt. Für Firmenkunden ist die Schulung über das [Qualifizierungschancengesetz](PH2 förderfähig.
Haeufige Fragen
Darf ich einen Cloud-KI-Dienst zum Durchsuchen personenbezogener Daten einsetzen?
Ja, wenn die Rahmenbedingungen stimmen. Sie brauchen einen Auftragsverarbeitungsvertrag mit dem Anbieter, eine Rechtsgrundlage für die Verarbeitung (meist Art. 6 Abs. 1 lit. c DSGVO wegen rechtlicher Verpflichtung) und Datenhaltung in der EU oder unter einem Angemessenheitsbeschluss. Anthropic und OpenAI bieten für Business-Konten entsprechende Regelungen an. Sensible Daten können alternativ über ein lokal betriebenes Sprachmodell (z.B. Llama oder Mistral auf eigener Hardware) verarbeitet werden.
Wie lange darf ich für die Antwort brauchen?
Die Grundfrist beträgt einen Monat ab Eingang der Anfrage. Sie kann um zwei weitere Monate verlaengert werden, wenn der Umfang es erfordert. Die Verlaengerung muss dem Anfragenden innerhalb der ersten Frist mit Begruendung mitgeteilt werden. Wer die Frist ohne Mitteilung reisst, riskiert Beschwerden bei der Aufsichtsbehoerde und Bussgelder.
Muss ich wirklich eine Kopie aller Daten herausgeben?
Ja. Art. 15 Abs. 3 DSGVO verlangt eine Kopie der verarbeiteten personenbezogenen Daten. Das bedeutet nicht zwingend ein Export aller Datensaetze, sondern eine Darstellung, aus der die betroffene Person die verarbeiteten Informationen nachvollziehen kann. Der Europaeische Gerichtshof hat in mehreren Urteilen klargestellt, dass der Begriff "Kopie" nicht eng auszulegen ist, aber auch nicht zwingend alle Rohdaten umfassen muss.
Was ist mit E-Mails, in denen der Anfragende nur erwähnt wird?
Diese E-Mails fallen grundsätzlich unter die Auskunftspflicht, weil sie personenbezogene Daten enthalten. Sie müssen aber Drittdaten schwaerzen, bevor Sie die E-Mails herausgeben. Der Aufwand dafuer ist hoch, was zur Fristverlaengerung berechtigen kann. Dokumentieren Sie die Schwaerzung sauber, damit Sie im Streitfall belegen können, warum einzelne Stellen unleserlich gemacht wurden.
Was passiert, wenn ich eine Anfrage versehentlich ignoriere?
Im Regelfall wird sich der Anfragende erneut melden oder direkt die Aufsichtsbehoerde einschalten. Die Behörde wird Sie dann schriftlich auffordern, die Anfrage zu bearbeiten, und Ihnen je nach Schwere eine Verwarnung oder ein Bussgeld auferlegen. Wer strukturell Anfragen ignoriert, muss mit erheblichen Sanktionen rechnen. Auch Zivilklagen auf Schadensersatz sind möglich.
Lohnt sich der Aufwand für ein kleines Unternehmen?
Ja. Die Fallzahlen steigen, Betroffene werden informierter, und eine einzige verpatzte Anfrage kann teurer werden als ein professionelles Setup. Für ein Unternehmen ab zehn Mitarbeitern empfehlen wir ein strukturiertes Vorgehen, auch ohne komplexe KI-Loesung. Ab etwa 50 Mitarbeitern rechnet sich die Investition in einen KI-gestuetzten Workflow deutlich.
Bereit für deinen nächsten Karriereschritt?
Lass dich kostenlos beraten. Wir finden die passende Weiterbildung und Förderung für dich.