Wenn ein Kunde, Bewerber oder Mitarbeiter Auskunft über seine Daten verlangt, muss dein Betrieb in der Regel innerhalb eines Monats antworten. KI hilft beim Formulieren und Strukturieren des Antwortschreibens, übernimmt aber nicht das Zusammensuchen der tatsächlichen Daten und nicht die rechtliche Beurteilung. Für kleine Betriebe heißt das: die Schreibarbeit wird leichter, die Verantwortung bleibt im Haus.
Eine Mail mit dem Betreff "Auskunft über meine gespeicherten Daten" landet im Posteingang einer kleinen Hausverwaltung. Der Mieter beruft sich auf die DSGVO und will wissen, was über ihn gespeichert ist. Im ersten Moment kommt der Reflex, das einfach in ChatGPT zu kippen und ein Antwortschreiben generieren zu lassen. Damit baut man sich ein Problem statt einer Lösung. Wo KI bei solchen Anfragen wirklich Arbeit abnimmt und wo sie nichts verloren hat, ist im Alltag oft unklar.
Was ein Auskunftsersuchen überhaupt ist
Das Auskunftsrecht steht in Artikel 15 der Datenschutz-Grundverordnung. Jede Person darf erfahren, ob ein Betrieb personenbezogene Daten über sie verarbeitet, und wenn ja, welche. Sie kann zusätzlich eine Kopie dieser Daten verlangen. Das gilt für Kunden, für Bewerber, für aktuelle und ehemalige Mitarbeiter und im Beispiel oben eben auch für Mieter. Niemand muss einen Grund nennen.
Die Anfrage ist in den meisten Fällen kostenlos zu beantworten und muss in der Regel innerhalb eines Monats erledigt sein. In begründeten Fällen, etwa bei sehr umfangreichen oder vielen gleichzeitigen Anfragen, lässt sich die Frist verlängern. Das ist aber die Ausnahme und sollte der anfragenden Person mitgeteilt werden. Wichtig ist auch, vor der Auskunft die Identität des Anfragenden zu prüfen. Sonst gehen am Ende sensible Daten an jemanden, der sich nur als der echte Betroffene ausgibt.
Inhaltlich muss die Auskunft vollständig und verständlich sein. Dazu gehört, welche Daten gespeichert sind, woher sie stammen, zu welchem Zweck sie verarbeitet werden, an wen sie weitergegeben wurden und wie lange sie aufbewahrt werden. Eine Liste aus kryptischen Datenbankfeldern reicht nicht. Die Person soll am Ende verstehen, was über sie bekannt ist. Das ist keine Rechtsberatung von uns, das ist der Kern dessen, was Aufsichtsbehörden erwarten.
Warum kleine Betriebe vor solchen Mails erschrecken
In großen Unternehmen gibt es Datenschutzabteilungen, Vorlagen und eingespielte Abläufe. In einer Schreinerei, einem kleinen Onlineshop oder einer Praxis sitzt am Ende oft der Inhaber selbst da und weiß nicht, wo er anfangen soll. Die Frist tickt, die Formulierung wirkt einschüchternd, und es schwingt die Angst mit, etwas falsch zu machen und ein Bußgeld zu riskieren.
Diese Angst ist der Grund, warum so viele Betriebe gar nicht oder zu spät reagieren. Eine ignorierte Anfrage ist aber das schlechteste, was passieren kann. Wer dagegen weiß, dass die Aufgabe aus zwei sehr unterschiedlichen Teilen besteht, geht das Ganze ruhiger an. Der eine Teil ist Schreibarbeit und Struktur. Der andere ist das Zusammentragen und die Beurteilung der tatsächlichen Daten. Nur einer dieser beiden Teile lässt sich an eine KI auslagern.
In unseren DigiMan-Kursen sehen wir, dass die meisten KMU bei genau dieser Trennung aufatmen. Sobald klar ist, dass die KI ein Werkzeug für den Text ist und nicht der Sachbearbeiter, der die Datenbank durchsucht, verliert das Thema seinen Schrecken. Die Verantwortung bleibt wo sie hingehört, im Betrieb, aber die lästige Formulierungsarbeit wird leichter.
Wo KI tatsächlich Arbeit abnimmt
KI ist stark beim Sprachlichen. Ein Sprachmodell formuliert dir aus deinen Stichpunkten ein höfliches, klar gegliedertes Antwortschreiben. Du gibst ihm vor, welche Datenkategorien du speicherst und zu welchem Zweck, und bekommst eine verständliche Fassung zurück, die auch ein Laie versteht. Damit erfüllst du die Anforderung, dass die Auskunft nicht nur korrekt, sondern auch nachvollziehbar sein muss.
Genauso nützlich ist die KI beim Aufbau einer wiederverwendbaren Vorlage. Du lässt dir ein Musterschreiben für Auskunftsersuchen erstellen, mit Platzhaltern für Datum, Frist und die einzelnen Datenkategorien. Diese Vorlage liegt dann in der Schublade und ist beim nächsten Mal sofort einsatzbereit. Auch eine interne Checkliste, was alles in eine Auskunft gehört, ist eine dankbare Aufgabe für ein Sprachmodell. So vergisst du keinen Punkt wie Speicherdauer oder Empfänger.
Und wenn eine Anfrage schwer verständlich ist, hilft KI beim Einordnen. Manche Leute schreiben verschachtelte Mails, in denen unklar bleibt, was sie eigentlich wollen. Ein Sprachmodell kann dir die Anfrage in einfache Worte fassen und dir sagen, welche Rechte hier vermutlich geltend gemacht werden. Das ersetzt keine fachliche Prüfung, aber es spart dir den ersten Verständnisaufwand.
Die Grenze: was KI nicht darf und nicht kann
Hier liegt der wichtigste Punkt. Die KI darf nicht die tatsächlichen Daten zusammensuchen und nicht entscheiden, was am Ende rausgeht. Sie kennt deine Systeme nicht. Sie weiß nicht, dass in deinem alten Buchhaltungsprogramm noch eine Rechnungsadresse liegt oder dass im E-Mail-Postfach ein Beschwerdevorgang archiviert ist. Wenn du sie zwingst, die Auskunft inhaltlich zu erstellen, erfindet sie plausibel klingende Angaben. Das ist im Datenschutzkontext brandgefährlich.
Genauso wenig kann ein Sprachmodell beurteilen, ob etwas geschwärzt werden muss. In einer Auskunft dürfen die Rechte Dritter nicht verletzt werden. Wenn in einem Vorgang auch Daten einer anderen Person stehen, etwa der Name eines Zeugen oder eines anderen Kunden, muss das im Zweifel unkenntlich gemacht werden. Diese Abwägung ist fachliche und rechtliche Arbeit, die ein Mensch leisten muss, der den Vorgang kennt.
Die härteste Regel betrifft die Daten selbst. Lade niemals echte personenbezogene Daten in ein öffentliches KI-Tool, um dir die Auskunft "fertig machen" zu lassen. Weder die Daten des Anfragenden noch die irgendeiner anderen Person. Du gibst sie damit an einen Dienstleister außer Haus und hast keine Kontrolle mehr darüber. Wer hier unsicher ist, holt sich Rat beim Datenschutzbeauftragten oder bei einer fachkundigen Stelle. Das ist keine Schwäche, das ist die saubere Vorgehensweise.
Ein praktikabler Ablauf für den Betrieb
Sobald eine Anfrage eingeht, notierst du als erstes die Frist und prüfst die Identität des Anfragenden. Bei einem Kunden eines Onlineshops kann das die Bestätigung über die hinterlegte E-Mail-Adresse sein, bei einem Mieter der Verwaltung ein anderer Nachweis. Erst danach geht es weiter. Dieser Schritt schützt dich davor, Daten an die Falschen zu schicken.
Im zweiten Schritt trägst du die tatsächlichen Daten zusammen, und zwar in allen Systemen. Das macht ein Mensch, der weiß, wo überall etwas liegt: im Warenwirtschaftssystem, in der Buchhaltung, im Mailpostfach, in der Kundendatei. Erst wenn diese Sammlung steht, kommt die KI ins Spiel. Du nutzt sie für das Anschreiben und die verständliche Struktur, und du arbeitest dabei mit Platzhaltern statt mit den tatsächlichen Daten. Die konkreten Angaben setzt du erst im fertigen Dokument händisch ein.
Vor dem Versand prüfst du noch einmal fachlich: Ist die Auskunft vollständig, sind alle Datenkategorien und die Speicherdauer drin, und sind die Rechte Dritter geschützt? Die fertige Vorlage hebst du auf. Beim Onlineshop aus dem Anfang heißt das: das nächste Auskunftsersuchen ist in einer halben Stunde erledigt statt in einem halben Tag, weil das Gerüst schon steht und nur die Daten neu eingetragen werden müssen. So wird aus einer einmaligen Schrecksekunde ein Routinevorgang.
Häufige Fragen
Was ist ein Auskunftsersuchen nach DSGVO?
Es ist die Ausübung des Auskunftsrechts nach Artikel 15 DSGVO. Eine Person verlangt zu erfahren, ob und welche personenbezogenen Daten ein Betrieb über sie verarbeitet, und kann eine Kopie dieser Daten anfordern. Das Recht steht Kunden, Bewerbern, Mitarbeitern und anderen Betroffenen zu, ohne dass sie einen Grund nennen müssen.
Darf KI die Auskunft erstellen?
KI darf das Antwortschreiben formulieren und strukturieren, aber sie darf nicht die tatsächlichen Daten zusammensuchen oder entscheiden, was rausgeht. Ein Sprachmodell kennt deine Systeme nicht und würde Angaben erfinden. Das Zusammentragen der Daten und die rechtliche Beurteilung, etwa ob etwas geschwärzt werden muss, bleiben Aufgabe eines Menschen im Betrieb.
Welche Frist gilt für ein Auskunftsersuchen?
In der Regel muss die Auskunft innerhalb eines Monats erteilt werden. In begründeten Fällen, etwa bei sehr umfangreichen oder vielen gleichzeitigen Anfragen, lässt sich die Frist verlängern. Das sollte der anfragenden Person aber rechtzeitig mitgeteilt werden. Die Auskunft ist in den meisten Fällen kostenlos.
Darf ich Kundendaten in ein KI-Tool geben, um zu antworten?
Nein. Lade niemals echte personenbezogene Daten in ein öffentliches KI-Tool, weder die des Anfragenden noch die anderer Personen. Du gibst die Daten damit außer Haus und verlierst die Kontrolle. Nutze die KI nur mit Platzhaltern für das Anschreiben und setze die echten Angaben erst im fertigen Dokument händisch ein. Bei Unsicherheit hole fachkundigen Rat ein.
Mehr über KI im Mittelstand lernen?
Im kostenlosen KI-Schnupperkurs zeigen wir in fünf Lektionen, wie kleine und mittlere Firmen KI praktisch im Arbeitsalltag einsetzen. Vollkurs Digitalisierungsmanager mit Bildungsgutschein. Förderwege: Bildungsgutschein, QCG und AFBG im Vergleich.
Zuletzt aktualisiert: 21.06.2026. Stand der Recherche: 21.06.2026.