dsgvo-auskunft-antwort - SKILL.md Agent Skill

name: dsgvo-auskunft-antwort description: "DSGVO-Auskunftsantwort an Betroffenen vollständig und rechtskonform gestalten. Art. 15 12 Abs. 3 DSGVO Antwortpflicht. Prüfraster: Antwortinhalt Format Fristen Klarheit Weglassungsgründe Begleitschreiben. Output: vollständiges Auskunftsschreiben. Abgrenzung: nicht für Antragseingang und Prüfung (..."

Betroffenenanfragen – Art. 15–22 DSGVO

Eingaben

Art der Anfrage (Auskunft, Berichtigung, Löschung, Einschränkung, Datenportabilität, Widerspruch, Einwilligungswiderruf)
Eingangsdatum der Anfrage
Name, E-Mail-Adresse oder sonstige Angaben des Antragstellers
Praxisprofil aus CLAUDE.md (Systemliste, Identifikationsstandard, DSB)
Optional: Dokument oder E-Mail der Anfrage

Ablauf

Eingangsklassifikation.

Anfrage-Art bestimmen: Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenportabilität (Art. 20), Widerspruch (Art. 21), Einwilligungswiderruf (Art. 7 Abs. 3)?
Mehrfachanfragen erkennen (häufig: kombinierter Auskunfts- und Löschantrag).
Handelt es sich um ein Auskunftsersuchen nach IFG/UIG statt DSGVO? (Abgrenzung bei öffentlichen Stellen)

Fristberechnung.

Grundfrist: 1 Monat ab Eingang, Art. 12 Abs. 3 Satz 1 DSGVO.
Verlängerung um bis zu 2 Monate möglich bei Komplexität oder Vielzahl von Anfragen, Art. 12 Abs. 3 Satz 2 DSGVO.
Verlängerung erfordert Mitteilung an Betroffenen innerhalb der 1-Monatsfrist mit Begründung.
Fristende berechnen: [Eingangsdatum + 1 Monat] = [Datum]. Verlängerung bis [Datum + 2 Monate].
Wochenenden und Feiertage: § 193 BGB, Art. 3 Abs. 4 EuGH-Verfahrensordnung (natürliches Monatsende).

Identitätsverifikation.

Ist die Identität des Antragstellers ausreichend nachgewiesen?
Standard aus CLAUDE.md anwenden.
Art. 12 Abs. 6 DSGVO: Bei begründeten Zweifeln kann zusätzliche Information angefordert werden – aber keine unverhältnismäßige Identifikationshürde (vgl. EDSA-Leitlinien 01/2022 zu DSAR, Abschn. 3.2).
Identitätsprüfung bei Online-Diensten: Konto-Login-Bestätigung oder sichere Alternative; keine Ausweis-Kopien ohne konkreten Zweck (Daten dürfen nicht für andere Zwecke genutzt werden).

Systemabfrage.

Alle relevanten Systeme aus der Systemliste in CLAUDE.md durchgehen.
Kategorien: CRM, ERP, E-Mail-Archiv, Protokolldateien, Backups, Cloud-Dienste, Sub-AV-Systeme.
Für jeden Treffer: Datenkategorie, Verarbeitungszweck, Rechtsgrundlage, Empfänger, Speicherfrist notieren.
Keine eigenmächtige Löschung vor Abschluss der Prüfung (Dokumentationspflicht Art. 5 Abs. 2 DSGVO).

Ausnahmenprüfung.

§ 34 BDSG (Auskunftsverweigerung, z.B. zur Abwehr von Straftaten, Geschäftsgeheimnisse)
§ 35 BDSG (eingeschränkte Löschung, z.B. gesetzliche Aufbewahrungsfristen)
Art. 17 Abs. 3 DSGVO (kein Löschrecht bei gesetzlicher Aufbewahrungspflicht, Geltendmachung/Verteidigung von Rechtsansprüchen)
Art. 15 Abs. 4 DSGVO (Datenkopie darf Rechte Dritter nicht beeinträchtigen)
Berufsgeheimnisschutz bei Kanzleien / medizinischen Einrichtungen (§ 203 StGB)
Für jede angewandte Ausnahme: konkrete Norm und Begründung dokumentieren.

Antwortentwurf erstellen.

Adressierung korrekt (Name, Adresse aus Anfrage).
Positiv-Auskunft oder begründete Ablehnung/Einschränkung.
Bei Auskunft: vollständige Informationen nach Art. 15 Abs. 1 DSGVO (alle 9 Ziffern) + ggf. Datenkopie Art. 15 Abs. 3 DSGVO.
Hinweis auf Beschwerderecht bei Aufsichtsbehörde (Art. 77 DSGVO) in jedem Ablehnungsschreiben.
Hinweis auf Klagerecht Art. 79 DSGVO.
Keine Gebühren für Erstauskunft; bei offenkundig unbegründeten oder exzessiven Folgeanfragen: angemessenes Entgelt oder Ablehnung nach Art. 12 Abs. 5 DSGVO.

Dokumentation.

Eingang, Frist, Bearbeitungsschritte, Ausnahmen, Ergebnis im Datenschutzregister erfassen.
Art. 5 Abs. 2 DSGVO (Rechenschaftspflicht).

Quellen und Zitierweise

Verbindlich nach ../../references/zitierweise.md.

Art. 12 Abs. 3, 4, 5, 6 DSGVO (Fristen, Kosten, Identitätsprüfung)
Art. 15 DSGVO (Auskunftsrecht, Inhalt)
Art. 16 DSGVO (Berichtigung)
Art. 17 DSGVO (Löschung, Ausnahmen)
Art. 18 DSGVO (Einschränkung)
Art. 20 DSGVO (Datenportabilität)
Art. 21 DSGVO (Widerspruch)
Art. 77 DSGVO (Beschwerderecht Aufsichtsbehörde)
§§ 34, 35 BDSG (Auskunfts- und Löscheinschränkungen)
Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.
Kamlah, in: Plath, DSGVO/BDSG, 3. Aufl. 2021, Art. 15 Rn. 1 ff.
Dix, in: Simitis/Hornung/Spiecker, Datenschutzrecht, 1. Aufl. 2019, Art. 15 Rn. 1 ff.
Quellenregel: Literatur nur mit Nutzerquelle oder lizenziertem Live-Zugriff; keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen.

Beispiel (Auskunftsanfrage)

Sachverhalt: Frau M. stellt am 03.06.2024 per E-Mail eine Auskunftsanfrage gemäß Art. 15 DSGVO und bittet zusätzlich um Herausgabe einer Datenkopie (Art. 15 Abs. 3 DSGVO). Kein Kundenkonto, Identität nur per E-Mail bekannt.

Frist: Grundfrist endet am 03.07.2024. Verlängerung (Art. 12 Abs. 3 Satz 2 DSGVO) bis 03.09.2024 möglich; Mitteilung an Frau M. spätestens 03.07.2024 erforderlich.

Identität: E-Mail-Adresse allein reicht bei reinen Newsletter-Abonnenten aus, wenn keine weiteren personenbezogenen Daten verarbeitet werden. Vgl. EDSA-Leitlinien 01/2022, Abschn. 3.2: Verhältnismäßigkeit der Verifikation.

Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.

Ausnahmen: § 34 BDSG: keine einschlägigen Tatbestände. Art. 17 Abs. 3 DSGVO: nicht relevant (kein Löschantrag). Keine weiteren Ausnahmen erkennbar.

Antwortentwurf-Auszug:

Sehr geehrte Frau M., vielen Dank für Ihre Anfrage vom 03.06.2024. Gemäß Art. 15 Abs. 1 DSGVO teilen wir Ihnen mit, dass wir folgende personenbezogene Daten über Sie verarbeiten: [Auflistung]. Die Verarbeitung erfolgt zu folgenden Zwecken: [Zwecke], auf Grundlage von [Rechtsgrundlagen]. Im Übrigen stehen Ihnen die in Art. 16–21 DSGVO genannten Rechte zu. Sollten Sie mit unserer Antwort nicht zufrieden sein, steht Ihnen das Beschwerderecht bei der zuständigen Aufsichtsbehörde ([LfDI/BfDI]) gemäß Art. 77 DSGVO sowie das Klagerecht nach Art. 79 DSGVO zu.

Risiken / typische Fehler

Fristversäumnis: Art. 12 Abs. 4 DSGVO – Untätigkeit gilt als Ablehnung, eröffnet Klagerecht Art. 79 DSGVO und Beschwerde Art. 77 DSGVO. Fristmitteilung bei Verlängerung ist eigenständige Pflicht.
Unvollständige Systemabfrage: Art. 5 Abs. 2 DSGVO (Rechenschaftspflicht) verpflichtet zu nachweisbarer vollständiger Prüfung. Backup-Systeme und Archive werden häufig vergessen.
Übermäßige Identitätshürde: Passverlangen ohne Anlass verletzt Art. 12 Abs. 6 DSGVO; EDSA warnt vor übermäßiger Identifizierung als faktischem Abwehrmittel.
§ 34 BDSG-Ausnahmen ohne Dokumentation: Ausnahme muss einzelfallbezogen begründet sein; pauschale Verweigerung "wegen Geschäftsgeheimnisse" ist nicht ausreichend.
Datenkopie-Format: Art. 15 Abs. 3 DSGVO verlangt keine bestimmte Form; ein "strukturiertes, maschinenlesbares Format" ist bei Art. 20 DSGVO (Portabilität) vorgeschrieben, nicht bei Art. 15 Abs. 3 DSGVO – Verwechslung vermeiden.
Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.

Rechtliche Grundlage

Art. 12 Abs. 5 DSGVO erlaubt die Ablehnung eines Auskunftsantrags als "exzessiv" — auch bei Erstantrag, wenn außergewöhnliche Umstände einen Rechtsmissbrauch belegen. Die Hürde ist hoch; das Auskunftsrecht ist ein fundamentales Recht, Ausnahmen sind eng auszulegen.

Zweistufiges Prüfschema vor Ablehnung

Beide Stufen müssen kumulativ dokumentiert sein, bevor eine Ablehnung erfolgt:

Stufe	Inhalt	Dokumentationsanforderung
Objektives Element	Umstände, die auf künstliches Herbeiführen der Situation hindeuten	Zeitachse (Datenerhebung → Anfrage), Art der Datenerhebung, Kommunikationsmuster
Subjektives Element	Missbräuchliche Absicht, Verfahren zu instrumentalisieren (Ziel: Schadensersatz Art. 82 DSGVO)	Indizien aus Gesamtschau: Formulierungsmuster, sofortige Schadensersatzdrohung, öffentliche Serienaktivität

Nicht ausreichend allein:

Frühere Anfragen derselben Person
Öffentlich dokumentiertes massenhaftes Vorgehen dieser Person ohne Einzelfallbezug
Geltendmachung von Art. 82 DSGVO-Schadensersatz als solche

Formulierungsbausteine

Ablehnungsschreiben (Missbrauch dokumentiert):

Sehr geehrte·r [Name], Ihren Antrag auf Auskunft gemäß Art. 15 DSGVO vom [DATUM] lehnen wir gemäß Art. 12 Abs. 5 Satz 2 Alt. 2 DSGVO als offenkundig exzessiv ab. Im Einzelnen stützen wir die Ablehnung auf folgende dokumentierte Umstände:

[Objektives Element – z.B.: Ihre Anmeldung für unseren Newsletter erfolgte am [DATUM], d.h. [N] Tage vor Eingang Ihres Auskunftsantrags, ohne erkennbares Informationsinteresse.]

[Subjektives Element – z.B.: Ihr Schreiben enthält bereits bei Antragstellung die Ankündigung von Schadensersatzforderungen nach Art. 82 DSGVO, was in der Gesamtschau auf eine instrumentalisierende Nutzung des Auskunftsrechts hindeutet.]

Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.

Sie haben das Recht, gegen diese Entscheidung Beschwerde bei [zuständige Aufsichtsbehörde] gemäß Art. 77 DSGVO oder Klage gemäß Art. 79 DSGVO zu erheben.

Internes Dokumentationsprotokoll (Pflicht vor Ablehnung):

Datum der Ablehnung: [DATUM]
Antragsdatum: [DATUM]
Datum der Datenerhebung: [DATUM]
Abstand Datenerhebung → Antrag: [N] Tage

Objektives Element (Belege):
- [Nachweis 1: z.B. Newsletter-Anmeldedaten]
- [Nachweis 2: z.B. Screenshot/E-Mail]

Subjektives Element (Belege):
- [Nachweis: z.B. Wortlaut des Antragsschreibens, sofortige Schadensersatzankündigung]

Gesamtwürdigung: [Begründung in eigenen Worten]
Verantwortlich (DSB-Freigabe): [Name, Datum]

Schadensersatzrisiko bei unberechtigter Ablehnung

Eine Ablehnung ohne vollständigen zweistufigen Nachweis ist ein eigenständiger DSGVO-Verstoß.
Dieser Verstoß löst einen eigenständigen Schadensersatzanspruch nach Art. 82 DSGVO aus — auch wenn die zugrundeliegende Datenverarbeitung vollständig DSGVO-konform war.
Der bloße Verstoß genügt nicht automatisch; die betroffene Person muss einen konkreten materiellen oder immateriellen Schaden darlegen (z.B. Kontrollverlust, Ungewissheit über Datenverarbeitung). Kein verschuldensunabhängiges Haftungsregime.
Eigenverschulden der betroffenen Person (wenn ihr eigenes Verhalten die entscheidende Schadensursache ist) schließt den Anspruch aus.

Konsequenz für die Antwortformulierung

Empfehlung: Im Zweifel Auskunft vollständig und fristgerecht erteilen. Ablehnung nur bei lückenlos dokumentiertem zweistufigen Nachweis und nach DSB-Freigabe. Alternativ: Auskunft erteilen und Gebühr nach Art. 12 Abs. 5 Satz 2 Alt. 1 DSGVO erheben (ebenfalls nur bei dokumentiertem Exzess).

Perspektive betroffene Person: Anfragen sollen erkennbar dem Zweck der Transparenz dienen. Schadensersatz nach Art. 82 DSGVO ist auch bei reiner Auskunftsverletzung möglich — konkreten Schaden (Kontrollverlust, Ungewissheit) in Klage- oder Beschwerdeschrift substantiiert darlegen.

Querverweise

datenschutzrecht/skills/dsgvo-auskunft/SKILL.md — Abschnitt "Rechtsmissbrauch" mit vollständigem Prüfschema und Indizien-Checkliste

Ergänzende Rechtsprechung (Aktualitäten)

Quellen / Updates

Aktuelle Rechtsprechung (v14.2 — Ergaenzung)

Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.

Triage zu Beginn

Wer fragt aus? Mitarbeiter (§§ 34/35 BDSG prüfen) / Kunde / Vertragspartner / unbekannte Person
Identitätsverifizierung erforderlich (Zweifel? Art. 12 Abs. 6 DSGVO → Nachweise anfordern)?
Fristberechnung: Eingang [DATUM] → Ablauf 1 Monat: [DATUM]; Verlängerung möglich bis [DATUM]?
Ausnahmetatbestände (§§ 34, 35 BDSG; Rechte Dritter Art. 15 Abs. 4; Geschäftsgeheimnisse)?

Output-Template — Auskunftsantwort formal

Adressat: Betroffene Person — Tonfall: verständlich-erklärend

[ORGANISATION, ADRESSE]
[DATUM]

Betreff: Auskunft nach Art. 15 DSGVO — Ihr Ersuchen vom [DATUM]
Unser Zeichen: [AZ]

Sehr geehrte/r Frau/Herr [NAME BETROFFENE PERSON],

wir erteilen Ihnen hiermit Auskunft über die Verarbeitung Ihrer
personenbezogenen Daten gemäß Art. 15 DSGVO:

1. Verarbeitungszwecke (Art. 15 Abs. 1 lit. a): [ZWECKE]
2. Datenkategorien (Art. 15 Abs. 1 lit. b): [KATEGORIEN]
3. Empfänger (Art. 15 Abs. 1 lit. c): [EMPFAENGER]
4. Speicherdauer (Art. 15 Abs. 1 lit. d): [FRIST/KRITERIEN]
5. Rechte (Art. 15 Abs. 1 lit. e): Berichtigung, Löschung, Einschränkung,
 Widerspruch, Beschwerde bei [AUFSICHTSBEHOERDE].
6. Herkunft der Daten (Art. 15 Abs. 1 lit. g): [HERKUNFT]
7. Automatisierte Entscheidungen (Art. 15 Abs. 1 lit. h): [ja/nein]

Datenkopie gemäß Art. 15 Abs. 3 DSGVO: [ANLAGE / Ablehnung mit Begruendung]

[Ggf. Ausnahmen: § 34 BDSG / § 35 BDSG / Art. 15 Abs. 4 DSGVO: [BEGRUENDUNG]]

Mit freundlichen Grüßen
[NAME, FUNKTION, DSB-KONTAKT]

Ausformulierungspflicht und Formatstandard. Das Endprodukt wird in vollständigen, ausformulierten Sätzen geliefert — keine Stichwortskelette, keine leeren Klauselrümpfe, keine reinen Aufzählungen. Klauseln stehen als ausformulierte Rechtsfolgen-Sätze; Platzhalter wie [Name der Mandantin] werden klar markiert, der umgebende Text bleibt vollständig.

Schriftbild: Wenn ein Schriftsatz, Vertrag, Memo, Beschluss, Vermerk oder sonstiges Enddokument als DOCX, PDF oder formatierter Text ausgegeben wird, ist Times New Roman 11 pt als Grundschrift zu verwenden. Überschriften bleiben in derselben Schrift und dürfen nur fett oder abgestuft sein. Bei reiner Markdown- oder Chat-Ausgabe wird dieser Formatwunsch als Exporthinweis aufgenommen.

Nummerierung: Gliederung ausschließlich dezimal (1, 1.1, 1.1.1 und so weiter). Keine römischen Ziffern, keine Buchstaben- oder Mischgliederung.