DSGVO-Auskunftsanfragen mit KI zu beantworten kann die Bearbeitungszeit einer Art-15-Anfrage von mehreren Arbeitstagen auf wenige Stunden reduzieren. Komfort ist hier nur die halbe Wahrheit. Wer die Monatsfrist des Art. 12 Abs. 3 DSGVO reisst, riskiert Bussgelder nach Art. 83 DSGVO von bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes. Wie Sie KI im Prozess sinnvoll einsetzen, welche Schritte weiterhin dem Menschen gehoeren und wo die haeufigsten Fehler lauern, steht unten.
Was Art. 15 DSGVO fordert
Nach Art. 15 Abs. 1 DSGVO hat jede betroffene Person das Recht, von einem Verantwortlichen Auskunft darueber zu verlangen, ob personenbezogene Daten ueber sie verarbeitet werden. Wenn ja, muss der Verantwortliche eine Reihe von Informationen mitteilen:
- Welche Kategorien personenbezogener Daten werden verarbeitet?
- Zu welchen Zwecken erfolgt die Verarbeitung?
- An welche Empfaenger wurden oder werden die Daten weitergegeben?
- Wie lange werden die Daten gespeichert?
- Welche Rechte hat die betroffene Person?
- Woher stammen die Daten, wenn sie nicht direkt erhoben wurden?
- Findet automatisierte Entscheidungsfindung statt?
Zusaetzlich verlangt Art. 15 Abs. 3 DSGVO eine Kopie der verarbeiteten Daten. Diese Kopie ist der aufwaendigste Teil, weil die Daten aus unterschiedlichsten Systemen (CRM, E-Mail, Buchhaltung, Support-Tickets, Logfiles) zusammengetragen werden muessen.
Die Frist beginnt mit Eingang der Anfrage und betraegt einen Monat. Sie kann um zwei weitere Monate verlaengert werden, wenn der Umfang der Anfrage es erfordert. Die Verlaengerung muss aber innerhalb der ersten Frist begruendet mitgeteilt werden. Wer schweigt, haftet.
Wo KI konkret helfen kann
Datenquellen systematisch durchsuchen
Das groesste Problem bei einer Auskunftsanfrage ist die Menge an Systemen, in denen Daten liegen koennen. Ein typisches KMU hat E-Mails, CRM, Buchhaltung, Support-System, Zeiterfassung, Backups und manchmal noch ein halbes Dutzend Spezial-Tools. Eine KI-gestuetzte Suche kann alle diese Quellen parallel durchsuchen, wenn Sie einen Workflow eingerichtet haben. Der typische Aufbau:
- Anfrage geht beim Datenschutzbeauftragten ein.
- Ein n8n-Workflow startet parallele Queries in allen relevanten Systemen: "Finde alle Datensaetze, bei denen Name, E-Mail oder Telefonnummer des Anfragenden vorkommen."
- Die Ergebnisse werden in einem strukturierten Format (JSON) gesammelt.
- Claude oder ein anderes Sprachmodell fasst die Fundstellen in einem verstaendlichen Fliesstext zusammen.
- Der Datenschutzbeauftragte prueft und gibt frei.
Dieser Schritt, der frueher einen halben bis ganzen Arbeitstag gekostet hat, dauert mit einem eingerichteten Workflow rund 30 Minuten Rechenzeit plus 30 bis 60 Minuten menschliche Pruefung.
Antworten strukturieren
Art. 15 DSGVO verlangt einen Auskunftstext, der die Pflichtangaben enthaelt. Viele Unternehmen nutzen eine Vorlage, die aber fuer jede Anfrage individualisiert werden muss. Eine KI kann aus der Vorlage plus den gefundenen Daten einen massgeschneiderten Entwurf erzeugen. Sie formuliert, welche Daten gefunden wurden, zu welchen Zwecken sie verarbeitet werden und welche Empfaenger-Kategorien betroffen sind.
Die KI sollte nie frei formulieren, sondern nur die Vorlage fuellen. Alles andere erhoeht das Risiko, dass sie juristische Fehler einbaut.
Loeschfristen automatisch pruefen
Im Rahmen der Auskunft muss auch mitgeteilt werden, wie lange die Daten gespeichert werden. Wenn Sie Ihre Aufbewahrungsfristen in einer Datenbank oder einer strukturierten Tabelle pflegen, kann die KI diese Information automatisch abrufen und in den Auskunftstext uebernehmen. Beispiel: Rechnungen sieben Jahre (Steuerrecht), Angebote zwei Jahre (gesetzliche Verjaehrung), Marketing-Einwilligungen bis zum Widerruf.
Was weiterhin beim Menschen bleiben muss
Drei Dinge duerfen Sie nicht an eine KI delegieren.
Identifikation des Anfragenden
Nach Art. 12 Abs. 6 DSGVO darf der Verantwortliche zusaetzliche Informationen zur Identifikation verlangen, wenn begruendete Zweifel an der Identitaet bestehen. Wer einem Unbefugten Daten herausgibt, begeht einen Verstoss nach Art. 32 DSGVO. Die Identifikation muss ein Mensch pruefen, mit Augenmass: Keine uebertriebenen Huerden fuer berechtigte Anfragen, aber auch keine leichtfertige Herausgabe.
Schwaerzung von Drittdaten
Wenn ein Mitarbeiter Auskunft ueber alle E-Mails verlangt, in denen er erwaehnt wird, enthalten diese E-Mails fast immer Daten Dritter: Kollegen, Kunden, Geschaeftspartner. Diese Drittdaten muessen geschwaerzt werden, soweit sie nicht fuer den Kontext zwingend sind. Eine KI kann das nicht zuverlaessig, weil die Abwaegung zwischen Auskunftsrecht des einen und Schutzrecht des anderen juristisch ist. Das Bundesarbeitsgericht und das BVerfG haben dazu Urteile gefaellt, die im Einzelfall zu beruecksichtigen sind. Diese Abwaegung bleibt beim Datenschutzbeauftragten oder einem qualifizierten Mitarbeiter.
Die Freigabe
Die letzte Freigabe der Auskunftsantwort muss bei einem Menschen liegen, der verantwortlich ist. Das ist in der Regel der Datenschutzbeauftragte oder die Geschaeftsfuehrung. Automatisierte Versendung ohne Freigabe schafft ein unnoetiges Haftungsrisiko.
Typische Fehler und wie Sie sie vermeiden
| Fehler | Konsequenz | Vermeidung |
|---|---|---|
| Frist uebersehen | Bussgeld, Beschwerde bei der Aufsichtsbehoerde | Ticketing-System mit Fristenueberwachung |
| Unvollstaendige Auskunft | Nachforderungen, Vertrauensverlust | Vollstaendigkeits-Checkliste vor Versand |
| Drittdaten nicht geschwaerzt | Verstoss gegen Art. 32 DSGVO | Manuelle Pruefung durch Datenschutzbeauftragten |
| Identitaet nicht geprueft | Datenweitergabe an Unbefugte | Klarer Identifikationsprozess |
| Fehlende Dokumentation | Verstoss gegen Rechenschaftspflicht | Alle Schritte im DSMS protokollieren |
Besonders haeufig ist der Fehler, dass Unternehmen nur die offensichtlichen Systeme (CRM, E-Mail) durchsuchen und Schattendatenquellen wie Excel-Listen auf Fileservern, Whatsapp-Chats von Vertriebsmitarbeitern oder Backups vergessen. Diese Quellen muessen in der Auskunft genannt werden, sonst ist sie unvollstaendig.
Technische Umsetzung im KMU
Fuer ein KMU mit 20 bis 200 Mitarbeitern ist der folgende Aufbau praxistauglich:
- Zentrale Anfragestelle. Eine feste E-Mail-Adresse (z.B. datenschutz@ihr-unternehmen.de), die direkt an den Datenschutzbeauftragten geht.
- Ticketing-System. Eine einfache Loesung wie OTRS, Zammad oder Jira Service Management, in der jede Anfrage mit Frist eingetragen wird.
- Such-Workflow. Ein n8n-Workflow, der die wichtigsten Datenquellen nach Namen, E-Mail und Telefonnummer durchsucht.
- KI-Entwurf. Claude oder ein anderes Sprachmodell erstellt aus den Fundstellen einen ersten Textentwurf.
- Menschliche Pruefung. Der Datenschutzbeauftragte prueft den Entwurf, ergaenzt, schwaerzt Drittdaten und gibt frei.
- Versand und Dokumentation. Die Antwort geht raus, der komplette Vorgang wird im DSMS abgelegt.
Die Kosten fuer ein solches Setup liegen bei rund 100 bis 200 EUR im Monat (inklusive KI-API-Kosten und Ticketing-System), plus einmalig 5 bis 10 Entwicklertage fuer die Einrichtung. Gegenueber einem einzigen verpassten Bussgeld amortisiert sich das sofort.
Was die Aufsichtsbehoerden aktuell sagen
Die deutschen Aufsichtsbehoerden haben seit Inkrafttreten der DSGVO mehrfach deutlich gemacht, dass Art. 15 DSGVO ein zentrales Betroffenenrecht ist. Nichtbeantwortung, unvollstaendige oder verspaetete Beantwortung taucht regelmaessig als Beanstandung in den Taetigkeitsberichten der Landesdatenschutzbeauftragten auf. Zusaetzlich zu den Bussgeldern nach Art. 83 DSGVO werden auch Zivilklagen auf immateriellen Schadensersatz nach Art. 82 DSGVO haeufiger, nachdem der Europaeische Gerichtshof die Huerden dafuer abgesenkt hat.
Wer Compliance-Themen systematisch aufbauen will, findet im [Artikel zu EU AI Act und DSGVO](PH0 weiterfuehrende Informationen. Fuer Mitarbeiterschulungen zum Thema Datenschutz und KI empfehlen wir unseren [Digitalisierungsmanager-Kurs](PH1 der neben technischen Inhalten auch regulatorische Grundlagen vermittelt. Fuer Firmenkunden ist die Schulung ueber das [Qualifizierungschancengesetz](PH2 foerderfaehig.
Haeufige Fragen
Darf ich einen Cloud-KI-Dienst zum Durchsuchen personenbezogener Daten einsetzen?
Ja, wenn die Rahmenbedingungen stimmen. Sie brauchen einen Auftragsverarbeitungsvertrag mit dem Anbieter, eine Rechtsgrundlage fuer die Verarbeitung (meist Art. 6 Abs. 1 lit. c DSGVO wegen rechtlicher Verpflichtung) und Datenhaltung in der EU oder unter einem Angemessenheitsbeschluss. Anthropic und OpenAI bieten fuer Business-Konten entsprechende Regelungen an. Sensible Daten koennen alternativ ueber ein lokal betriebenes Sprachmodell (z.B. Llama oder Mistral auf eigener Hardware) verarbeitet werden.
Wie lange darf ich fuer die Antwort brauchen?
Die Grundfrist betraegt einen Monat ab Eingang der Anfrage. Sie kann um zwei weitere Monate verlaengert werden, wenn der Umfang es erfordert. Die Verlaengerung muss dem Anfragenden innerhalb der ersten Frist mit Begruendung mitgeteilt werden. Wer die Frist ohne Mitteilung reisst, riskiert Beschwerden bei der Aufsichtsbehoerde und Bussgelder.
Muss ich wirklich eine Kopie aller Daten herausgeben?
Ja. Art. 15 Abs. 3 DSGVO verlangt eine Kopie der verarbeiteten personenbezogenen Daten. Das bedeutet nicht zwingend ein Export aller Datensaetze, sondern eine Darstellung, aus der die betroffene Person die verarbeiteten Informationen nachvollziehen kann. Der Europaeische Gerichtshof hat in mehreren Urteilen klargestellt, dass der Begriff "Kopie" nicht eng auszulegen ist, aber auch nicht zwingend alle Rohdaten umfassen muss.
Was ist mit E-Mails, in denen der Anfragende nur erwaehnt wird?
Diese E-Mails fallen grundsaetzlich unter die Auskunftspflicht, weil sie personenbezogene Daten enthalten. Sie muessen aber Drittdaten schwaerzen, bevor Sie die E-Mails herausgeben. Der Aufwand dafuer ist hoch, was zur Fristverlaengerung berechtigen kann. Dokumentieren Sie die Schwaerzung sauber, damit Sie im Streitfall belegen koennen, warum einzelne Stellen unleserlich gemacht wurden.
Was passiert, wenn ich eine Anfrage versehentlich ignoriere?
Im Regelfall wird sich der Anfragende erneut melden oder direkt die Aufsichtsbehoerde einschalten. Die Behoerde wird Sie dann schriftlich auffordern, die Anfrage zu bearbeiten, und Ihnen je nach Schwere eine Verwarnung oder ein Bussgeld auferlegen. Wer strukturell Anfragen ignoriert, muss mit erheblichen Sanktionen rechnen. Auch Zivilklagen auf Schadensersatz sind moeglich.
Lohnt sich der Aufwand fuer ein kleines Unternehmen?
Ja. Die Fallzahlen steigen, Betroffene werden informierter, und eine einzige verpatzte Anfrage kann teurer werden als ein professionelles Setup. Fuer ein Unternehmen ab zehn Mitarbeitern empfehlen wir ein strukturiertes Vorgehen, auch ohne komplexe KI-Loesung. Ab etwa 50 Mitarbeitern rechnet sich die Investition in einen KI-gestuetzten Workflow deutlich.
Bereit für deinen nächsten Karriereschritt?
Lass dich kostenlos beraten. Wir finden die passende Weiterbildung und Förderung für dich.