Textvorlagen

Lade … Profil

← Zurück zur Vorlagen-Übersicht

Hinweis. Diese Vorlage ist eine allgemeine Hilfestellung. Sie ersetzt keine einzelfallbezogene Prüfung. Vor dem Versand ist die konkrete Situation mit Ihrem Datenschutzbeauftragten abzustimmen.

TPL-009 · v1.0 · Stand: 30.5.2026 · Freigegeben durch DSB · Review-Zyklus 12 Monate · Status freigegeben

DSAR-Auskunftserteilung (positiver Bescheid, Standardfall)

Anlass
Betroffenenrechte
Empfänger
Betroffene Person
Absender
Verantwortliche/r
Kanal
E-Mail, Brief
Rechtsregime
DSGVO
Schwierigkeit
mittel
Schlagwörter
dsar, art-15, auskunft, betroffenenrechte
Rechtsgrundlage
  • Art. 15 DSGVO (Auskunftsrecht der betroffenen Person)

Anwendungsbereich

Vollständige inhaltliche Antwort auf ein Auskunftsersuchen nach Art. 15 DSGVO im Standardfall (Identität feststeht, Anfrage ist weder offensichtlich unbegründet noch exzessiv).

Voraussetzungen

  • Identität der anfragenden Person ist verifiziert.
  • Vollständige Recherche im VVT und in allen relevanten Systemen ist abgeschlossen (auch Backups und Archive nicht vergessen, wenn dort noch separate Datenbestände existieren).
  • Drittinteressen sind geprüft — bei Rohdaten, die auch Dritte identifizieren, ist eine geschwärzte Fassung vorbereitet (Art. 15 Abs. 4: Auskunft darf Rechte Dritter nicht beeinträchtigen).
  • Die Monatsfrist ist eingehalten oder eine TPL-005-Mitteilung ist vorab ergangen.
  • Bei umfangreicher Datenbasis: Anlage mit den konkreten Daten als separate Datei vorbereitet (CSV, PDF), nicht in den E-Mail-Body.

Variablen

PlatzhalterBeschreibung
{anrede}Anrede
{name_betroffener}Nachname bei persönlicher Anrede (optional)
{aktenzeichen}Aktenzeichen
{stichtag}Stichtag der Auskunft
{verarbeitungszwecke}Zwecke der Verarbeitung
{datenkategorien}Kategorien personenbezogener Daten
{empfaenger}Empfänger oder Empfängerkategorien
{speicherdauer}Speicherdauer oder Kriterien
{rechte_hinweis}Standard-Rechtebelehrung
{konkrete_daten}Konkrete Daten oder Verweis auf Anlage
{kontakt_dsb}DSB-Kontakt
{unterzeichner}Unterzeichnende Person
{verantwortlicher}Verantwortliche Stelle

Vorlagentext

{anrede} {name_betroffener},

wir nehmen Bezug auf Ihre Anfrage mit dem Aktenzeichen {aktenzeichen}. Nachfolgend übermitteln wir Ihnen die nach Art. 15 DSGVO geschuldete Auskunft mit Stand vom {stichtag}.

Verarbeitungszwecke (Art. 15 Abs. 1 lit. a DSGVO):

{verarbeitungszwecke}

Kategorien personenbezogener Daten (Art. 15 Abs. 1 lit. b DSGVO):

{datenkategorien}

Empfänger oder Empfängerkategorien (Art. 15 Abs. 1 lit. c DSGVO):

{empfaenger}

Speicherdauer (Art. 15 Abs. 1 lit. d DSGVO):

{speicherdauer}

Konkrete bei uns gespeicherte Daten zu Ihrer Person (Art. 15 Abs. 3 DSGVO):

{konkrete_daten}

Ihre weiteren Rechte:

{rechte_hinweis}

Für Rückfragen erreichen Sie uns unter {kontakt_dsb}. Bitte beziehen Sie sich auf das Aktenzeichen {aktenzeichen}.

Mit freundlichen Grüßen

{unterzeichner} {verantwortlicher}

Verbotene Inhalte

Folgendes darf NICHT in die Auskunft aufgenommen werden:

  • Daten Dritter. Wenn in den Rohdaten andere Personen identifizierbar sind (Mitarbeitende, Familienangehörige, andere Kunden), sind diese vor Übermittlung zu schwärzen. Art. 15 Abs. 4 ist nicht optional.
  • Geschäftsgeheimnisse. Sofern die Auskunft Geschäfts- oder Betriebsgeheimnisse berühren würde (Algorithmen, Berechnungsformeln, interne Bewertungsvermerke), sind sie zu schwärzen. Eine vollständige Verweigerung wegen Geschäftsgeheimnis-Verdacht ist NICHT zulässig — nur die konkret betroffenen Teile.
  • Unaufgeforderte Werbung. Keine Newsletter-Verweise, kein Cross-Sell, keine Marketing-Disclaimer.
  • Interne Bewertungsvermerke ohne Prüfung. Mitarbeiter-Notizen über die betroffene Person („schwieriger Kunde”, „beschwert sich häufig”) sind grundsätzlich Teil der Auskunft. Vor Weitergabe DSB konsultieren — manchmal sind sie wegen Drittinteressen schwärzbar.
  • Beschönigungen bei Speicherdauer. „Wir speichern Daten, solange wir sie benötigen” ist keine Auskunft. Konkrete Fristen oder Kriterien sind erforderlich.
  • Verschleierung bei Drittlandstransfer. Wenn Daten in ein Drittland übermittelt werden (auch via SaaS-Subprozessor), muss dies hier benannt werden.

Beispiel einer fehlerhaften Formulierung (nicht verwenden):

„Wir verarbeiten Ihre Daten zu den üblichen Zwecken. Eine Übermittlung an Dritte findet nur statt, soweit dies erforderlich ist. Die Speicherdauer richtet sich nach den gesetzlichen Vorgaben.”

Begründung: drei Floskeln, drei Verstöße — Zwecke unkonkret, Empfänger-Frage ausgewichen, Speicherdauer auf Pauschalverweis gestellt. Aufsichtsbehörden werten das als Nicht-Erfüllung.

Versandhinweise

  • Verschlüsselung: Wenn die Auskunft sensible Daten enthält (Art. 9: Gesundheit, Religion, Gewerkschaft, Sexualleben etc.) oder Finanzdaten umfasst, Ende-zu-Ende-verschlüsselt versenden. Andernfalls ausdrücklicher Hinweis auf die Risiken.
  • Anlagen: Konkrete Datenkopie idealerweise als verschlüsseltes PDF oder CSV-Anhang. Im Mail-Body nur die Struktur (was wird wo erläutert) und Hinweise.
  • Versandprotokoll: Versandzeitpunkt dokumentieren — die Auskunft startet keine Frist, aber der Versandnachweis schützt vor „Wir haben nichts erhalten”-Beschwerden.
  • Bestätigungswunsch: Bei brieflichem Versand Einschreiben mit Rückschein erwägen, wenn der Anlass die Aufsichts-Sphäre erreicht.

Aufbewahrung

  • Versendete Fassung inkl. aller Anlagen im DSAR-Vorgangsordner unter dem Aktenzeichen.
  • Eintrag im DSAR-Logbuch: Versanddatum, Stichtag der Daten, Bearbeiter, ggf. Schwärzungs-Begründung.
  • Aufbewahrung: 3 Jahre nach Erledigung des Vorgangs.

Changelog

VersionDatumÄnderungAutor
1.02026-05-30ErstfassungFS/CS