Paul ist eine KI und darf dir allgemeine Informationen zu Datenschutz-Themen geben. Was Paul nicht darf: dich individuell rechtlich beraten im Sinne des Rechtsdienstleistungsgesetzes (RDG). Das heißt: Paul erklärt dir Art. 15 DSGVO und was ein Auskunftsantrag enthält. Er schreibt dir kein juristisch geprüftes Schreiben für deinen konkreten Streit mit der Schufa. Für Letzteres brauchst du einen zugelassenen Anwalt. Alles andere im Alltag? Frag einfach Paul.
DSGVO-Auskunftsrecht: Art. 15 in der Praxis
Jedes Unternehmen, das deine Daten verarbeitet, muss dir auf Anfrage sagen, welche Daten es hat, zu welchem Zweck es sie nutzt und an wen es sie weitergibt. Das regelt Art. 15 DSGVO. Dieses Recht gilt gegenüber jedem: Onlineshop, Versicherung, Bank, Vermieter, Arbeitgeber, Social-Media-Plattform.
Was genau bekommst du bei einer Auskunft? Die vollständige Liste der Datenkategorien, die das Unternehmen über dich gespeichert hat. Dazu den Verarbeitungszweck, die Speicherdauer, alle Empfänger (auch Drittländer), die Herkunft der Daten und ob automatisierte Entscheidungen stattfinden. Kurz: ein vollständiges Bild.
Die Frist beträgt einen Monat. Beginnt mit Eingang deines Antrags. Bei komplexen Anfragen darf das Unternehmen um zwei Monate verlängern, muss dich aber innerhalb des ersten Monats darüber informieren. Die Auskunft ist kostenlos. Bei offensichtlich unbegründeten oder exzessiven Anfragen darf eine Gebühr verlangt werden, was in der Praxis selten legitim ist.
Der Antrag muss nicht in bestimmter Form gestellt werden. Eine formlose E-Mail reicht: "Ich beantrage hiermit gemäß Art. 15 DSGVO Auskunft über alle personenbezogenen Daten, die Sie über mich verarbeiten, sowie die in Art. 15 Abs. 1 DSGVO genannten Informationen." Dazu dein vollständiger Name, deine E-Mail-Adresse und ggf. Kundennummer, damit das Unternehmen dich identifizieren kann. Mehr braucht es nicht.
Ignoriert das Unternehmen deinen Antrag oder antwortet es unvollständig, kannst du dich bei der zuständigen Landesdatenschutzbehörde beschweren. Das Verfahren ist kostenlos.
Datenlöschung: Recht auf Vergessenwerden
Art. 17 DSGVO gibt dir das Recht, die Löschung deiner Daten zu verlangen. Voraussetzung: Die Daten sind für den ursprünglichen Zweck nicht mehr nötig, du widerrufst deine Einwilligung, du widersprichst der Verarbeitung nach Art. 21 DSGVO, oder die Verarbeitung war von Anfang an rechtswidrig.
Das klingt absolut, ist es aber nicht. Es gibt Grenzen. Unternehmen müssen bestimmte Daten aufbewahren, weil Gesetze das verlangen. Steuerrechtliche Aufbewahrungspflichten nach der AO betragen 10 Jahre für Buchungsbelege. Handelsrechtlich sind es 6 Jahre für Geschäftsbriefe nach HGB. Diese gesetzlichen Aufbewahrungspflichten gehen dem Löschrecht vor. In dieser Zeit kann das Unternehmen die Verarbeitung einschränken, aber nicht löschen.
Schufa-Einträge sind ein Sonderfall. Die Schufa unterliegt der DSGVO, hat aber eigene Löschfristen. Negative Einträge wie titulierte Forderungen oder Insolvenzverfahren werden 3 Jahre nach Erledigung gelöscht. Läuft die Frist noch, kannst du nicht einfach auf Basis von Art. 17 DSGVO vorzeitige Löschung verlangen. Du kannst aber eine Auskunft nach Art. 15 verlangen und Unrichtigkeiten nach Art. 16 DSGVO korrigieren lassen. Viele Einträge enthalten Fehler.
Bei Suchmaschinen wie Google greift das "Recht auf Vergessenwerden" aus dem EuGH-Urteil von 2014. Du kannst beantragen, dass bestimmte Suchergebnisse zu deinem Namen entfernt werden, wenn dein Interesse an Nichtauffindbarkeit das öffentliche Interesse überwiegt. Das geht über das Formular auf google.com/webmasters/tools/legal-removal-request.
Werbung und Newsletter-Spam stoppen
Unerwünschte Werbung per Telefon, E-Mail oder Fax ist in Deutschland klar geregelt. Das Gesetz gegen unlauteren Wettbewerb (UWG) verbietet in § 7 Abs. 2 die Belästigung durch unaufgeforderte Telefonwerbung gegenüber Verbrauchern ohne vorherige ausdrückliche Einwilligung. Das gleiche gilt für E-Mail-Werbung.
Cold-Calls sind verboten. Punkt. Es reicht nicht, dass du irgendwann mal in einem Gewinnspiel mitgemacht hast oder eine allgemeine AGB-Klausel unterschrieben hast. Die Einwilligung muss ausdrücklich, informiert und für die konkrete Art der Werbung erteilt worden sein. Eine vorangekreuzte Checkbox zählt nicht.
Was kannst du tun, wenn du trotzdem angerufen wirst? Melde den Anruf bei der Bundesnetzagentur über das Online-Formular auf bundesnetzagentur.de. Notiere Datum, Uhrzeit, Nummer und Firmenname. Die Behörde kann Bußgelder bis zu 300.000 Euro verhängen. Zusätzlich kannst du dich in die Robinsonliste des Deutschen Direktmarketing-Verbands (DDV) eintragen. Das ist freiwillig und keine gesetzliche Pflicht für Unternehmen, aber seriöse Firmen halten sich daran.
Bei E-Mail-Newsletter gilt das Double-Opt-In-Verfahren als Standard. Das Unternehmen muss beweisen können, dass du aktiv zugestimmt hast. Hast du einen Newsletter abonniert und willst ihn abbestellen, muss jede E-Mail einen funktionierenden Abmeldelink enthalten. Dieser muss innerhalb von 2 Wochen wirksam sein. Klickt du auf "Abmelden" und bekommst weiter E-Mails, kannst du dich bei der Datenschutzbehörde und der Wettbewerbszentrale beschweren.
Werbebriefe per Post kannst du durch Widerspruch gegenüber dem sendenden Unternehmen stoppen. Das geht auf Basis von Art. 21 DSGVO: Du hast das Recht, der Verarbeitung deiner Daten für Direktmarketingzwecke zu widersprechen. Danach darf das Unternehmen deine Daten dafür nicht mehr nutzen.
Daten-Leak: Was tun, wenn deine Daten geklaut wurden?
Unternehmen, die einen Datenschutzvorfall entdecken, müssen diesen innerhalb von 72 Stunden bei der zuständigen Aufsichtsbehörde melden. Das schreibt Art. 33 DSGVO vor. Wenn der Vorfall voraussichtlich zu hohem Risiko für dich führt, muss dich das Unternehmen nach Art. 34 DSGVO auch direkt informieren. Das passiert in der Praxis nicht immer. Du kannst aber proaktiv nachfragen.
Hast du vom Datenleck durch externe Berichterstattung oder einen Dienst wie HaveIBeenPwned erfahren? Dann kannst du beim betroffenen Unternehmen direkt Auskunft verlangen: Welche Daten von dir waren betroffen, was hat das Unternehmen unternommen, und wurde die Behörde informiert?
Schadenersatz ist möglich. Art. 82 DSGVO gibt dir einen Anspruch gegen das für den Datenschutzverstoß verantwortliche Unternehmen. Wichtig: Der EuGH hat 2023 in mehreren Urteilen (z.B. C-300/21) klargestellt, dass ein immaterieller Schaden, also Stress, Kontrollverlust, Angst vor Identitätsdiebstahl, ausreicht. Du musst keinen konkreten finanziellen Schaden nachweisen. Die Höhe ist aber einzelfallabhängig und liegt häufig zwischen 100 und 5.000 Euro je nach Schwere.
Nach einem Daten-Leak solltest du sofort Passwörter ändern, besonders wenn E-Mail-Adressen oder Passwort-Hashes betroffen sind. Aktiviere Zwei-Faktor-Authentifizierung für alle wichtigen Konten. Beobachte deine Kontobewegungen und hol dir bei deiner Bank ein Sicherheitsgespräch, wenn Kontodaten betroffen sind.
Beschwerde bei der Datenschutz-Behörde
In Deutschland gibt es 18 unabhängige Datenschutzbehörden: eine pro Bundesland plus den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) für Bundesbehörden und Telekommunikation. Zuständig ist in der Regel die Behörde des Bundeslandes, in dem das betreffende Unternehmen seinen Sitz hat.
Die Beschwerde ist kostenlos und formlos möglich. Du brauchst keinen Anwalt. Du schilderst den Vorfall, gibst an gegen welches Unternehmen du dich beschweren willst, und was du bereits unternommen hast. Alle Behörden haben Online-Formulare auf ihren Webseiten. Für Hamburg ist das die Hamburgische Datenschutzbehörde (HmbBfDI). Für Unternehmen mit Sitz in Berlin ist es die BlnBDI.
Sei ehrlich mit deinen Erwartungen. Datenschutzbehörden sind chronisch unterbesetzt. Realistische Bearbeitungsdauer liegt bei 6 bis 12 Monaten, manchmal länger. Du bekommst nicht zwingend eine inhaltliche Rückmeldung zu deiner Beschwerde. Die Behörde entscheidet selbst, ob und wie sie tätig wird. Wenn du schnelleres Ergebnis oder Schadenersatz willst, musst du den Zivilrechtsweg nehmen.
Für EU-weite Beschwerden gegen Unternehmen mit Sitz in einem anderen EU-Land gilt das One-Stop-Shop-Prinzip. Du kannst dich bei deiner lokalen Behörde beschweren, die dann mit der federführenden Behörde im Sitzland des Unternehmens kooperiert.
Cookie-Banner und Tracking
Seit der Novellierung durch das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) gilt in Deutschland: Für das Setzen von nicht-technisch-notwendigen Cookies brauchst du die ausdrückliche Einwilligung des Nutzers. Die frühere Regelung nach dem TTDSG wurde durch § 25 TDDDG ersetzt, inhaltlich änderte sich nichts Wesentliches.
Technisch notwendige Cookies, also Cookies die für den Betrieb der Seite unbedingt gebraucht werden (z.B. Warenkorb, Login-Session), dürfen ohne Einwilligung gesetzt werden. Analytics-Tools wie Google Analytics 4, Werbe-Tracking, Social-Media-Pixel: alles Opt-In. Der Nutzer muss aktiv zustimmen, eine vorangekreuzte Box reicht nicht.
Wenn du als Nutzer einen Cookie-Banner siehst und ihn ablehnst: Du hast das Recht, alle nicht-notwendigen Cookies abzulehnen. Eine Website darf dir dann nicht wichtige Funktionen verweigern, die nicht von den abgelehnten Cookies abhängen. Viele Consent-Management-Plattformen sind darauf ausgelegt, die Ablehnung möglichst unbequem zu machen. Das ist rechtlich zweifelhaft und wird von Datenschutzbehörden kritisch beobachtet.
Eine cookie-freie Alternative ist Plausible Analytics, ein europäischer Anbieter mit Server in der EU. Paul selbst nutzt Plausible. Es werden keine personenbezogenen Daten erhoben, kein Consent-Banner nötig.
Häufige Fragen direkt an Paul stellen
Klick auf eine Frage — Paul öffnet sich und beantwortet sie sofort.
Häufige Fragen
Wie verlange ich DSGVO-Auskunft von einem Unternehmen? ▼
Formlos per E-Mail: "Ich beantrage gemäß Art. 15 DSGVO Auskunft über alle personenbezogenen Daten, die Sie über mich verarbeiten."
Das Unternehmen hat 1 Monat Zeit zu antworten. Die Auskunft ist kostenlos. Dazu deinen vollen Namen und eine Kundennummer angeben, damit das Unternehmen dich identifizieren kann. Antwortet es nicht oder unvollständig, ist eine Beschwerde bei der Datenschutzbehörde der nächste Schritt.
Ich bekomme Werbeanrufe, obwohl ich das nicht will — was kann ich tun? ▼
Cold-Calls ohne ausdrückliche Einwilligung sind nach § 7 Abs. 2 Nr. 2 UWG verboten. Melde den Anruf bei der Bundesnetzagentur (bundesnetzagentur.de/telefonmissbrauch). Notiere Datum, Uhrzeit und Nummer. Zusätzlich kannst du dich in die Robinsonliste des DDV eintragen.
Bußgelder für unerlaubte Werbeanrufe reichen bis zu 300.000 Euro.
Meine Daten waren in einem Daten-Leak — habe ich Anspruch auf Schadenersatz? ▼
Ja, möglicherweise. Art. 82 DSGVO gibt dir einen Schadenersatzanspruch, auch für immaterielle Schäden. Der EuGH hat 2023 klargestellt, dass Kontrollverlust über deine Daten allein als Schaden zählt. Du musst keinen finanziellen Schaden nachweisen.
Die Praxis: Viele Klagen wurden erfolgreich, aber mit überschaubaren Beträgen abgeschlossen (100 bis 5.000 Euro). Ein Anwalt kann einschätzen, ob sich der Fall für dich lohnt.
Wie lange darf die Schufa meine Daten speichern? ▼
Negative Einträge (z.B. nicht bezahlte Forderungen) speichert die Schufa 3 Jahre nach Begleichung. Kreditanfragen bleiben 12 Monate. Bonitätsrelevante Vertragsdaten werden nach Vertragsende gelöscht.
Du hast nach Art. 15 DSGVO das Recht auf eine kostenlose Eigenauskunft einmal pro Jahr: schufa.de/meineSchufa. Prüfe die Einträge auf Fehler. Falsche Einträge kannst du nach Art. 16 DSGVO korrigieren lassen.
Muss ich einen Cookie-Banner akzeptieren, um eine Website zu nutzen? ▼
Nein. Technisch notwendige Cookies dürfen ohne Einwilligung gesetzt werden. Für alle anderen Cookies ist nach § 25 TDDDG deine ausdrückliche Einwilligung (Opt-In) nötig.
Du darfst ablehnen. Eine Website darf dir grundlegende Funktionen nicht verweigern, weil du Tracking-Cookies abgelehnt hast. Ein Cookie-Banner, der "Alles akzeptieren" prominent zeigt und "Ablehnen" versteckt, ist rechtlich angreifbar.
Verwandte Themen
Paul kennt noch mehr Themen, die dich betreffen könnten.
Deine Datenschutz-Frage ist konkret?
Paul antwortet in unter 10 Sekunden. Kostenlos, auf Deutsch, DSGVO-konform. Server in Deutschland.
Direkt fragen →5 Fragen täglich gratis. Kein Konto nötig.