DATENMASKE
DSGVO-PRAXIS

Akteneinsicht und Schwärzung: Pflichten und Praxis

Datenmaske Redaktion·

Die Akteneinsicht ist ein grundlegendes Recht in Deutschland. Bürger, Journalisten und Organisationen können bei Behörden die Einsicht in amtliche Dokumente beantragen. Doch mit der Einsichtspflicht kommt die Schwärzungspflicht: Bevor Dokumente herausgegeben werden, müssen personenbezogene Daten Dritter geschwärzt werden. Dieser Leitfaden erläutert die rechtlichen Grundlagen und zeigt, wie der Prozess in der Praxis funktioniert.

Was ist Akteneinsicht?

Akteneinsicht (auch: Einsicht in amtliche Akten) gewährt Bürgern das Recht, behördliche Dokumente einzusehen. Die Rechtsgrundlage hängt vom Kontext ab:

  • Informationsfreiheitsgesetz (IFG): Gewährt jedermann Zugang zu amtlichen Informationen der Bundesbehörden. Ähnliche Gesetze existieren auf Landesebene (LIFG).
  • Art. 15 DSGVO: Gewährt betroffenen Personen das Recht, Auskunft über die sie betreffenden personenbezogenen Daten zu erhalten.
  • Verwaltungsverfahrensgesetz (VwVfG): Regelt die Akteneinsicht in laufende Verwaltungsverfahren.
  • Sozialgesetzbuch (SGB): Regelt die Akteneinsicht im Sozialrecht.

Warum müssen Behörden Dokumente schwärzen?

Behörden dürfen bei der Akteneinsicht nicht einfach alle Dokumente ungefiltert herausgeben. Sie müssen die Rechte Dritter schützen — insbesondere deren Recht auf informationelle Selbstbestimmung. Die Schwärzungspflicht ergibt sich aus:

  • Art. 5 DSGVO (Datenminimierung): Nur die Daten verarbeiten, die für den Zweck erforderlich sind
  • Art. 32 DSGVO (Technisch-organisatorische Maßnahmen): Angemessene Maßnahmen zum Datenschutz
  • IFG § 5: Schutz von personenbezogenen Daten bei der Informationserteilung

Die Landesbeauftragte fuer den Datenschutz Niedersachsen (LfD Niedersachsen) stellt dazu klar: 'Oftmals wird ein Textabschnitt nur optisch verdeckt und kann weiterhin gelesen werden.' Echte Schwaerzung muss den Text physisch entfernen.

IFG und Informationsfreiheit

Das Informationsfreiheitsgesetz (IFG) des Bundes gewährt jedermann — auch ohne eigenes Interesse — einen Anspruch auf Zugang zu amtlichen Informationen. Seit September 2025 gilt auch in Österreich ein neues Informationsfreiheitsgesetz, das die Schwärzungspflicht für österreichische Behörden verschärft.

  • Bei IFG-Anträgen müssen Behörden insbesondere schwärzen:
  • Namen von Privatpersonen
  • Kontaktdaten (E-Mail, Telefon, Adresse)
  • Sozialversicherungsnummern und Geburtsdaten
  • Gesundheitsdaten
  • Steuerliche Verhältnisse
  • Betriebs- und Geschäftsgeheimnisse Dritter

Welche Daten müssen bei Akteneinsicht geschwärzt werden?

Die folgende Übersicht zeigt die häufigsten Datenarten und ihre Schwärzungspflicht bei Akteneinsicht:

  • Immer schwärzen:
  • Namen und Kontaktdaten von Privatpersonen, die nicht Antragsteller sind
  • Sozialversicherungsnummern
  • Gesundheitsdaten und ärztliche Befunde
  • Bankverbindungen (IBAN, BIC)
  • Kreditkartennummern
  • Daten Minderjähriger
  • Informationen über strafrechtliche Verfahren Dritter
  • Kontextabhängig schwärzen:
  • Namen von Behördenmitarbeitern (je nach Rolle und Kontext)
  • Interne Vermerke und Stellungnahmen
  • Aktenzeichen mit Personenbezug
  • Nicht schwärzen:
  • Namen von Amtsträgern in ihrer offiziellen Funktion
  • Öffentlich zugängliche Informationen
  • Eigene Daten des Antragstellers

Der manuelle Prozess — und warum er nicht ausreicht

In der Praxis schwärzen viele Behörden Dokumente noch manuell. Das bedeutet: Ein Mitarbeiter liest das Dokument, identifiziert personenbezogene Daten und schwärzt diese einzeln. Bei Dokumentmengen von Hunderten oder Tausenden Seiten ist dieser Prozess:

  • Zeitaufwändig: Stunden oder Tage pro Antrag
  • Fehleranfällig: Daten werden übersehen, besonders in langen Dokumenten
  • Inkonsistent: Verschiedene Mitarbeiter schwärzen unterschiedlich
  • Teuer: Personalkosten für die manuelle Bearbeitung

Die Landesbeauftragte fuer den Datenschutz Niedersachsen weist darauf hin, dass es 'keine Tests von unabhaengigen Institutionen oder Empfehlungen der Datenschutzbehoerden' fuer Schwaerzungswerkzeuge gibt. Automatisierung kann hier Abhilfe schaffen.

Schwärzung automatisieren — Best Practice

Moderne Schwärzungswerkzeuge können den Prozess deutlich beschleunigen:

  1. Dokument hochladen: PDF in das Tool laden
  2. Automatische Erkennung: Das Tool identifiziert personenbezogene Daten mittels Regex-Mustern und NER (Named Entity Recognition)
  3. Menschliche Prüfung: Ein Mitarbeiter prüft die Vorschläge und bestätigt oder lehnt sie ab
  4. Export: Das geschwärzte Dokument wird exportiert
  5. Protokollierung: Ein Audit-Log dokumentiert den gesamten Vorgang

Datenmaske wurde für genau diesen Workflow entwickelt: automatische Erkennung, menschliche Prüfung, irreversible Schwärzung und vollständige Protokollierung — alle Daten auf EU-Servern verarbeitet.

Metadaten nicht vergessen

Ein häufiges Problem bei der Akteneinsicht: Das Dokument wird korrekt geschwärzt, aber die Metadaten des PDFs enthalten weiterhin personenbezogene Daten. Dies kann betreffen:

  • PDF-Eigenschaften (Autor, Erstelldatum)
  • Kommentare und Anmerkungen
  • Lesezeichen (Bookmarks) — der AstraZeneca-Fall zeigte, dass Bookmarks geschwärzte Texte offenlegen können
  • Versteckte Ebenen und Anhänge

Ein vollständiger Schwärzungsprozess muss auch die Metadaten bereinigen.

Zuletzt aktualisiert: 13. Mai 2026

Haufige Fragen

Was bedeutet Akteneinsicht?

Akteneinsicht gewährt Bürgern das Recht, behördliche Dokumente einzusehen. Rechtsgrundlagen sind das Informationsfreiheitsgesetz (IFG), Art. 15 DSGVO und das Verwaltungsverfahrensgesetz (VwVfG). Die Behörde muss personenbezogene Daten Dritter vor der Herausgabe schwärzen.

Welche Daten müssen bei Akteneinsicht geschwärzt werden?

Alle personenbezogenen Daten Dritter: Namen, Kontaktdaten, Sozialversicherungsnummern, Bankverbindungen, Gesundheitsdaten und Daten Minderjähriger. Eigene Daten des Antragstellers werden nicht geschwärzt.

Ist das bloße Verdecken von Text ausreichend?

Nein. Die Landesbeauftragte fuer den Datenschutz Niedersachsen stellt klar: 'Oftmals wird ein Textabschnitt nur optisch verdeckt und kann weiterhin gelesen werden.' Echte Schwaerzung muss den Text irreversibel aus dem PDF entfernen.

Wie können Behörden die Schwärzung automatisieren?

Automatische Schwärzungswerkzeuge erkennen personenbezogene Daten mittels Regex-Mustern und Named Entity Recognition (NER). Ein Mitarbeiter prüft die Vorschläge, bestätigt oder lehnt sie ab, und das Tool exportiert das irreversibel geschwärzte PDF mit Audit-Log.

Warum müssen auch Metadaten geschwärzt werden?

PDF-Metadaten können personenbezogene Daten enthalten: Autorennamen, Kommentare, Lesezeichen (Bookmarks). Im AstraZeneca-Fall offenbarten Bookmarks geschwärzte Texte. Ein vollständiger Schwärzungsprozess bereinigt auch die Metadaten.

Weitere Artikel

Welche Daten müssen geschwärzt werden? DSGVO-Übersicht

Daten, die nach DSGVO geschwärzt werden müssen: personenbezogene Daten, rechtliche Grundlagen und automatische Erkennung.

Kann man geschwärzte PDFs wieder sichtbar machen?

Können geschwärzte PDFs wieder sichtbar gemacht werden? Echte vs. falsche Schwärzung, wie man es prüft und warum irreversible Schwärzung wichtig ist.

DSGVO-Dokumentencheck für KMU: In 3 Schritten compliant

So führen kleine Unternehmen einen DSGVO-Dokumentencheck durch: Welche Dokumente geprüft werden müssen, welche Daten geschwärzt werden müssen und wie Sie den Prozess automatisieren.

Schwarzung testen — kostenlos.

Laden Sie ein PDF hoch und prufen Sie automatisch auf personenbezogene Daten. Keine Anmeldung notig.