SC ShopCompliance
Im App Store öffnen
← Alle Beiträge
DSGVODatenschutzShopifyAuskunftsrecht

Auskunftsrecht nach Art. 15 DSGVO: So reagierst du richtig

16. Juni 2026 · Max Benz

Kunden haben das Recht zu fragen. Art. 15 DSGVO gibt jeder natürlichen Person das Recht zu erfahren, welche personenbezogenen Daten du über sie speicherst und wie du sie verarbeitest. Als Shopify-Händler bist du verpflichtet, innerhalb einer Monatsfrist vollständig und kostenlos zu antworten. Wer schweigt oder verzögert, riskiert Bußgelder bis 20 Millionen Euro sowie Schadensersatzklagen. Das muss nicht sein.

Was sagt Art. 15 DSGVO genau?

Der Gesetzestext ist knapp, die Konsequenzen sind es nicht. Art. 15 Abs. 1 DSGVO gibt betroffenen Personen das Recht, von dir zu erfahren, ob du personenbezogene Daten über sie verarbeitest. Tust du es, musst du darüber hinaus folgende neun Informationen liefern:

  • Verarbeitungszwecke: warum du die Daten erhebst und nutzt
  • Datenkategorien: welche Art von Daten du hast, z. B. Kontaktdaten oder Bestellhistorie
  • Empfänger oder Empfängerkategorien: an wen du die Daten weitergibst, auch in Drittländern
  • Speicherdauer: wie lange du die Daten aufbewahrst oder nach welchen Kriterien die Dauer bestimmt wird
  • Betroffenenrechte: Hinweis auf Recht auf Berichtigung, Löschung, Einschränkung und Widerspruch
  • Beschwerderecht: Recht, sich bei einer Aufsichtsbehörde zu beschweren
  • Datenherkunft: falls die Daten nicht direkt von der betroffenen Person stammen
  • Automatisierte Entscheidungsfindung: einschließlich Profiling nach Art. 22 DSGVO, falls anwendbar

Art. 15 Abs. 2 DSGVO betrifft Drittlandübermittlungen. Wenn du Daten in ein Land außerhalb der EU übermittelst, muss die betroffene Person erfahren, welche geeigneten Garantien du dafür eingesetzt hast, etwa EU-Standardvertragsklauseln.

Art. 15 Abs. 3 DSGVO schreibt vor, dass du eine Kopie der verarbeiteten personenbezogenen Daten zur Verfügung stellst. Nicht eine Zusammenfassung, sondern eine Kopie.

Art. 15 Abs. 4 DSGVO setzt eine Grenze. Das Kopierecht darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen. Dokumente, in denen auch Daten Dritter stehen, musst du nicht vollständig herausgeben.

Was ist die Datenkopie nach Art. 15 Abs. 3 DSGVO?

Viele Händler verwechseln Auskunft und Datenkopie. Das ist teuer. Die Auskunft beantwortet, warum und wie du Daten verarbeitest. Die Datenkopie zeigt, welche konkreten Daten du hast. Beide zusammen sind Pflicht.

Art. 15 Abs. 3 DSGVO verlangt eine Kopie der tatsächlich verarbeiteten personenbezogenen Daten. Du musst nicht jede Rohdatenbanktabelle liefern. Entscheidend ist, dass die betroffene Person erkennen kann, was du über sie gespeichert hast. Gängige und von Behörden akzeptierte Formate:

FormatGeeignet wenn
CSV oder JSONKundendaten aus Shopify-Export, strukturierte Listen
PDFÜbersichtliche Darstellung bei kleinen Datenmengen
Strukturierter HTML-BerichtKomplexe Profile aus mehreren Shopify-Apps

Die erste Datenkopie ist kostenlos. Punkt. Nur bei offenkundig unbegründeten oder exzessiven Folgeanträgen kannst du eine angemessene Gebühr verlangen oder die Bearbeitung ablehnen (Art. 12 Abs. 5 DSGVO). Die Beweislast für den exzessiven Charakter liegt bei dir.

Shopify bietet in den Shop-Einstellungen eine Funktion zur Datenexport-Anfrage. Damit generierst du eine maschinenlesbare ZIP-Datei mit Kundendaten. Für Daten aus Apps und Drittanbieter-Tools reicht das jedoch nicht, denn Shopify kennt nur seine eigenen Tabellen.

Welche Daten verarbeitet ein Shopify-Shop typischerweise?

Mehr als du denkst. Als Shopify-Händler verarbeitest du nicht nur das, was du aktiv einträgst. Jede App, jedes Pixel und jeder Support-Chat hinterlässt Daten.

Sechs Datenkategorien im Shopify-Shop, die bei Art. 15 DSGVO auskunftspflichtig sind

Ein typischer Shopify-Shop verarbeitet Daten aus mindestens sechs Kategorien – alle sind bei einer Auskunftsanfrage nach Art. 15 DSGVO relevant.

Shopify-Kerndaten: Name, E-Mail-Adresse, Lieferadresse und Telefonnummer sind Standard. Dazu kommt die Bestellhistorie mit Produkten, Mengen, Preisen und Lieferstatus. Zahlungsdaten werden in der Regel tokenisiert und sind nicht als Klardaten bei dir gespeichert. Kunden-Tags und interne Notizen gehören ebenfalls dazu.

Daten aus Apps und Drittanbieter-Tools: E-Mail-Marketing-Tools wie Klaviyo oder Mailchimp speichern Öffnungsraten, Klickprofile und Segmentzugehörigkeit. Bewertungstools wie Trustpilot oder Yotpo halten Bewertungen und Fotos fest. Support-Systeme wie Gorgias oder Zendesk führen den gesamten Ticket-Verlauf. Analyse- und Tracking-Systeme erzeugen pseudonymisierte Nutzerprofile, die unter Umständen mit Kundenkennungen verknüpft sind. Retouren-Tools speichern Rückgabegründe und Rückerstattungsstatus.

Ohne ein aktuelles Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO weißt du im Auskunftsfall nicht, wo alle Daten liegen. Eine Auskunftsanfrage lässt dir maximal einen Monat Zeit. Dann ist keine Zeit für Systemrecherche. Hast du die Datenkarte schon, hast du kein Problem.

shopcompliance.net unterstützt dich dabei, die DSGVO-Dokumentation strukturiert zu führen und eingehende Auskunftsanfragen zu verwalten.

shopcompliance.net automatisiert EU-Compliance-Pflichten für Shopify-Shops ohne Theme-Code

shopcompliance.net automatisiert DSGVO-Pflichten für Shopify-Shops, einschließlich der Dokumentation für Auskunftsanfragen.

Welche Fristen gelten für die Auskunftserteilung?

Grundfrist: ein Monat. Die Frist beginnt mit dem Tag des Antragseingangs, nicht mit dem Tag, an dem du ihn liest oder bearbeitest. Eine Anfrage am 1. Juni muss bis zum 1. Juli beantwortet sein. Nicht bis zum nächsten Werktag danach.

Verlängerung ist möglich, aber begrenzt. Bei komplexen oder sehr umfangreichen Anfragen kannst du die Frist um zwei weitere Monate verlängern. Du musst die betroffene Person jedoch innerhalb des ersten Monats über die Verlängerung und die Gründe informieren. Schweigen gilt nicht als Verlängerung.

Ablehnung und Nichtzuständigkeit folgen der gleichen Frist. Wenn du die Auskunft ablehnst oder keine Daten zu der Person hast, teile das innerhalb eines Monats schriftlich mit. Sonst gilt Schweigen als Verletzung.

Richte eine dedizierte E-Mail-Adresse ein (z. B. datenschutz@deinshop.de) und protokolliere jede Anfrage mit Eingangsdatum. Das klingt aufwändig, dauert aber drei Minuten und schützt dich vor Fristversäumnissen.

Wie prüfst du die Identität des Antragstellers?

Vor der Herausgabe kommt die Verifikation. Art. 12 Abs. 6 DSGVO erlaubt dir, bei begründeten Zweifeln an der Identität weitere Informationen zu verlangen. Das ist kein Hindernis, sondern Schutz für beide Seiten.

Kunden-Login-Verifikation funktioniert dann, wenn der Antragsteller sich in sein Kundenkonto einloggen und die Anfrage dort stellen kann. Schafft er das, ist die Identität ausreichend gesichert.

Zwei-Faktor-Verfahren per E-Mail sind sinnvoll bei Anfragen über externe Kanäle. Du schickst einen Bestätigungscode an die im Shop hinterlegte Adresse. Kann die Person den Code bestätigen, stimmt die Identität.

Ausweiskopie ist zulässig, aber unverhältnismäßig bei Standardanfragen. Setze sie nur ein, wenn du konkrete Zweifel hast.

Rückfragen bei unspezifischen Anfragen sind erlaubt. Wenn jemand schreibt: “Ich will meine Daten”, ohne Namen oder E-Mail-Adresse zu nennen, darfst du um Präzisierung bitten.

Unzulässig ist, die Identitätsprüfung als Verzögerungstaktik zu nutzen. Betroffene haben ein starkes Recht. Du hast eine Pflicht. Beides muss nebeneinander funktionieren.

Wann darf die Auskunft verweigert oder eingeschränkt werden?

Das Auskunftsrecht hat Grenzen. Vier Situationen, in denen eine Verweigerung oder Einschränkung zulässig ist:

Exzessive Anträge: Dieselbe Person stellt wiederholt identische Anfragen in kurzen Abständen, ohne neue Gründe zu benennen. Du kannst eine Gebühr verlangen oder ablehnen. Die Beweislast liegt bei dir. Dokumentiere alles.

Rechte Dritter: Die Auskunft würde Daten anderer Personen offenbaren, z. B. interne Teamkommunikation über Kunden, in der Mitarbeitende erwähnt werden. Du kannst schwärzen. Eine vollständige Verweigerung ist nur letztes Mittel.

Geschäfts- und Betriebsgeheimnisse: Interne Preiskalkulationen oder Algorithmen, die sich aus den Daten ableiten lassen, musst du nicht offenlegen. Der Verhältnismäßigkeitsgrundsatz gilt.

Sonderregelungen: § 34 BDSG schränkt das Auskunftsrecht für bestimmte Verarbeitungszwecke ein, z. B. im Kreditwesen. Für typische Shopify-Shops spielt das selten eine Rolle.

Wenn du einschränkst oder ablehnst, musst du das immer schriftlich begründen. Ohne Begründung ist die Ablehnung selbst ein Verstoß.

Schritt-für-Schritt: So bearbeitest du eine Auskunftsanfrage

Die folgende Grafik zeigt den vollständigen Prozess von der eingehenden Anfrage bis zur Dokumentation.

6-Schritte-Prozess für rechtssichere Auskunft nach Art. 15 DSGVO für Shopify-Händler

Alle sechs Schritte müssen dokumentiert sein, besonders Schritt 6 sichert dich ab, wenn die Aufsichtsbehörde fragt.

Schritt 1: Anfrage als Auskunftsbegehren erkennen

Nicht jede Anfrage kommt mit dem Betreff “Art. 15 DSGVO”. Kunden schreiben manchmal: “Welche Daten habt ihr von mir?” oder “Ich hätte gerne eine Übersicht.” Das reicht. Jede solche Nachricht ist sofort als formelles Auskunftsbegehren zu behandeln. Protokolliere Datum und Kanal sofort.

Schritt 2: Identität verifizieren

Stelle sicher, dass du Daten an die richtige Person herausgibst. Kunden-Login oder E-Mail-Verifikation reichen in den meisten Fällen. Dokumentiere die Verifikationsmethode.

Schritt 3: Daten in allen Systemen identifizieren

Beginne mit Shopify. Dann prüfe alle verbundenen Tools: E-Mail-Marketing, Support-System, Analyse-Tools, App-Integrationen. Nutze den Shopify-Admin unter Kunden > Kundenprofil für den Basis-Export. Danach jedes weitere System systematisch.

Schritt 4: Datenkopie und Auskunft zusammenstellen

Du brauchst zwei Dokumente: das Auskunftsschreiben mit den Informationen nach Art. 15 Abs. 1 DSGVO und die Datenkopie mit den tatsächlichen Daten nach Art. 15 Abs. 3 DSGVO. Das Muster im nächsten Abschnitt liefert dir die Grundstruktur für das Auskunftsschreiben.

Schritt 5: Fristgerecht senden

Die Antwort muss innerhalb eines Monats raus. Bevorzuge den Kanal, über den die Anfrage gestellt wurde. Elektronische Anfrage, elektronische Antwort. Achte auf sichere Übertragung, besonders bei größeren Datenpaketen.

Schritt 6: Dokumentieren

Speichere Anfrage, Identitätsprüfung, erteilte Auskunft und Versanddatum. Das ist dein Nachweis, wenn eine Aufsichtsbehörde fragt.

Mustertext für die Auskunftsantwort

Dieses Muster ist ein Ausgangspunkt. Passe es an deine Situation an und lass es im Zweifel von einem Datenschutzanwalt prüfen.

Betreff: Ihre Anfrage auf Auskunft gemäß Art. 15 DSGVO

Sehr geehrte/r [Name],

wir bestätigen den Eingang Ihrer Anfrage vom [Datum] und erteilen Ihnen gemäß Art. 15 DSGVO folgende Auskunft.

Verarbeitete personenbezogene Daten: [konkrete Daten auflisten, z. B. Name, E-Mail, Adresse, Bestellhistorie]

Verarbeitungszwecke: Wir verarbeiten Ihre Daten zur Abwicklung Ihrer Bestellungen, zur Kommunikation mit Ihnen, zur Erfüllung gesetzlicher Aufbewahrungspflichten und gegebenenfalls für E-Mail-Marketing, sofern Sie eingewilligt haben.

Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Verpflichtung), Art. 6 Abs. 1 lit. a DSGVO (Einwilligung für Newsletter).

Empfänger Ihrer Daten: [Zahlungsdienstleister, Versanddienstleister, E-Mail-Marketing-Tool etc.]. Diese Dienstleister sind vertraglich zur Einhaltung der DSGVO verpflichtet.

Speicherdauer: Bestelldaten werden gemäß steuerlicher Aufbewahrungspflicht zehn Jahre gespeichert. Newsletter-Daten bleiben gespeichert, bis Sie Ihre Einwilligung widerrufen.

Übermittlung in Drittländer: [Falls zutreffend: Wir nutzen [Tool], das Daten in die USA übermittelt. Grundlage sind EU-Standardvertragsklauseln.] [Falls nicht: Eine Übermittlung in Drittländer findet nicht statt.]

Ihre weiteren Rechte: Sie haben das Recht auf Berichtigung (Art. 16 DSGVO), Löschung (Art. 17 DSGVO), Einschränkung (Art. 18 DSGVO), Datenübertragbarkeit (Art. 20 DSGVO) und Widerspruch (Art. 21 DSGVO). Zusätzlich können Sie sich bei der zuständigen Datenschutzaufsichtsbehörde beschweren.

Datenkopie: Anbei finden Sie eine Kopie Ihrer gespeicherten personenbezogenen Daten gemäß Art. 15 Abs. 3 DSGVO.

Mit freundlichen Grüßen, [Name, Unternehmen]

Sanktionen bei Verstößen gegen Art. 15 DSGVO

Die Zahlen sind eindeutig. Die DSGVO sieht bei Verstößen gegen Art. 15 Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes vor, je nachdem, welcher Betrag höher ist.

Sanktionen bei Verstößen gegen Art. 15 DSGVO: Bußgeld bis 20 Mio. EUR, Schadensersatz 100-1.000 EUR und ein Praxisbeispiel aus Belgien

Die Zahlen aus der europäischen Aufsichtspraxis zeigen: Das Bußgeldrisiko übersteigt die Kosten eines sauberen Prozesses um ein Vielfaches.

Aus der europäischen Aufsichtspraxis sind konkrete Fälle bekannt. Ein belgischer Online-Händler erhielt 150.000 Euro Bußgeld, weil er Auskunftsanfragen nicht fristgerecht beantwortet hatte. Eine finnische Fitness-App zahlte 856.000 Euro, weil sie Anfragen vollständig ignorierte. Mehrere deutsche Unternehmen bekamen fünfstellige Bußgelder, weil Datenkopien unvollständig oder zu spät geliefert wurden.

Neben Bußgeldern drohen Schadensersatzklagen nach Art. 82 DSGVO. Betroffene können Entschädigung verlangen, ohne einen konkreten materiellen Schaden nachweisen zu müssen. Europäische Gerichte sprachen 2024 und 2025 Schadensersatz zwischen 100 und 1.000 Euro pro Verstoß zu.

Rechne kurz nach. Ein gut geführter Auskunftsprozess kostet dich vielleicht zwei Stunden im Jahr. Ein Bußgeldverfahren kostet dich weit mehr.

FAQ

Muss ich auf eine mündliche Auskunftsanfrage reagieren?

Eine mündliche Anfrage löst dieselben Pflichten aus wie eine schriftliche. Du kannst verlangen, dass die anfragende Person die Anfrage schriftlich bestätigt, um die Identität zu prüfen und die Frist klar zu dokumentieren. Ablehnen darfst du nicht.

Was ist, wenn jemand meinen gesamten E-Mail-Verlauf als Datenkopie verlangt?

Art. 15 Abs. 3 DSGVO verlangt eine Kopie der personenbezogenen Daten, nicht aller Dokumente, in denen diese vorkommen. Du musst keinen vollständigen E-Mail-Thread herausgeben, wenn er Daten Dritter enthält. Liefere die Daten in strukturierter Form und schwärze Informationen anderer Personen, wenn du Dokumente beifügst.

Kann ich für eine Datenkopie Geld verlangen?

Die erste Datenkopie ist kostenlos. Nur wenn die Person weitere Kopien verlangt oder Anfragen eindeutig exzessiv sind, darfst du eine angemessene Gebühr erheben. Die Beweislast für den exzessiven Charakter liegt immer bei dir.

Was passiert, wenn meine Auskunft unvollständig ist?

Eine unvollständige Auskunft gilt als Verstoß gegen Art. 15 DSGVO. Die betroffene Person kann sich bei der Datenschutzbehörde beschweren, du riskierst ein Bußgeldverfahren. Fällt dir nach der Auskunftserteilung auf, dass Daten fehlen, schick eine Ergänzung und dokumentiere das.

Gilt Art. 15 DSGVO auch für B2B-Kunden?

Art. 15 DSGVO schützt natürliche Personen, keine Unternehmen als solche. Ist dein B2B-Kontakt ein Einzelunternehmer, ein Freelancer oder eine natürliche Person, deren Kontaktdaten du im CRM führst, gilt das Auskunftsrecht für diese Person. Das Unternehmen hat kein eigenes Auskunftsrecht nach DSGVO.

EU-Pflichten automatisch im Shop erfüllen

ShopCompliance ermittelt per Quiz, welche Pflichten für dich gelten, und spielt sie automatisch an deinen Produkten aus. Kostenlos starten.

Module & Preise ansehen

Dieser Beitrag dient der allgemeinen Information und ersetzt keine Rechtsberatung. Für deinen Einzelfall wende dich bitte an eine Rechtsanwältin oder einen Rechtsanwalt.