Datenschutz & Compliance

Datenschutzbehörde kündigt Prüfung an: Wie der Ablauf wirklich ist

7 Min. Lesezeit
Kurze Antwort

Eine Datenschutzbehördenprüfung läuft in der Regel über Fragebogen und Dokumentenanforderungen ab. Wer VVT, TOMs, Datenschutzerklärungen und AVVs vollständig vorlegen kann und kooperativ antwortet, demonstriert Compliance-Bereitschaft — das wirkt sich positiv auf den Ausgang aus.

Eine Behördenprüfung ist kein automatisches Bußgeld — aber gute Vorbereitung und kooperatives Verhalten entscheiden darüber, wie das Verfahren endet.
Fehler in der Kommunikation mit Aufsichtsbehörden können die Situation erheblich verschlimmern: Unvollständige Antworten wirken wie Vertuschung. Widersprüchliche Angaben untergraben die Glaubwürdigkeit. Verpasste Fristen können als Nicht-Kooperation gewertet werden. Und: Keine Kommunikation ohne vorherige Abstimmung mit dem DSB oder einem Anwalt.

Aufsichtsbehörden prüfen aus verschiedenen Anlässen: Beschwerde eines Betroffenen, der seine Rechte wahrnehmen will. Eigene anlasslose Prüfungen, bei denen bestimmte Branchen oder Themen systematisch untersucht werden. Hinweise von Whistleblowern oder aus Medienberichten. Nachfolgeprüfungen nach früheren Verstößen.

Die Ankündigung einer Prüfung erfolgt in der Regel schriftlich — per Brief oder E-Mail an die im Impressum genannte Adresse oder direkt an den bestellten Datenschutzbeauftragten. Sie enthält meist eine Beschreibung des Anlasses oder des Prüfthemas sowie eine erste Aufforderung zur Stellungnahme oder Dokumentenvorlage. Ab diesem Zeitpunkt beginnt das Verfahren formal.

  1. Ankündigung und Fragebogen erhalten

    Die Ankündigung sorgfältig lesen. Was ist der Anlass? Welche Dokumente werden konkret angefordert? Welche Frist gilt? Alles dokumentieren. Die Behörde ist Ihr Ansprechpartner — nicht ein Gegner, den es zu umgehen gilt.

  2. Internes Team zusammenstellen

    Datenschutzbeauftragter, Geschäftsführung und ggf. externer Datenschutz- oder IT-Rechtsanwalt müssen von Beginn an eingebunden sein. Keine Kommunikation mit der Behörde ohne Abstimmung in diesem Kreis.

  3. Dokumente zusammenstellen

    Verzeichnis von Verarbeitungstätigkeiten (VVT), technische und organisatorische Maßnahmen (TOMs), Datenschutzerklärungen, Auftragsverarbeitungsverträge (AVVs), Einwilligungsnachweise, Incident-Response-Dokumentation — alles was relevant ist, vollständig und aktuell bereitstellen.

  4. Antwort sorgfältig formulieren

    Vollständig, klar und widerspruchsfrei. Jede Aussage muss durch Dokumente belegbar sein. Wenn etwas nicht vorhanden ist, ehrlich kommunizieren und ggf. erklären, welche Maßnahmen eingeleitet wurden. Behörden schätzen Transparenz mehr als perfekte Dokumentation.

  5. Frist einhalten

    Fristen der Aufsichtsbehörde sind absolut einzuhalten. Falls die Frist nicht realistisch ist, sofort Fristverlängerung beantragen — begründet und proaktiv. Behörden gewähren Fristverlängerungen in der Regel, wenn der Antrag zeitnah und plausibel begründet gestellt wird.

  6. Weitere Kommunikation mit der Behörde

    Rückfragen der Behörde vollständig und zeitnah beantworten. Den Kommunikationskanal beibehalten, den die Behörde gewählt hat. Bei persönlichen Terminen oder Begehungen: DSB und ggf. Anwalt dabei.

  7. Abhilfemaßnahmen bei festgestellten Verstößen

    Wenn die Behörde Verstöße feststellt und Abhilfemaßnahmen fordert, diese unverzüglich umsetzen und den Nachweis der Umsetzung an die Behörde übermitteln. Das zeigt Compliance-Bereitschaft und kann die Sanktion erheblich mildern.

  • Verzeichnis von Verarbeitungstätigkeiten (VVT) — vollständig und aktuell
  • Technische und organisatorische Maßnahmen (TOMs) — schriftlich dokumentiert
  • Datenschutzerklärungen — für alle relevanten Kanäle (Website, App, interne Verarbeitung)
  • Auftragsverarbeitungsverträge (AVVs) mit allen relevanten Dienstleistern
  • Einwilligungsnachweise — wie und wann Einwilligungen eingeholt wurden
  • Dokumentation von Datenpannen (auch nicht gemeldete)
  • Bestellungsurkunde des Datenschutzbeauftragten (falls bestellt)
  • Datenschutz-Folgenabschätzungen für hochriskante Verarbeitungen
Kooperativ und transparent zu sein ist keine Schwäche — es ist Strategie. Aufsichtsbehörden haben nach DSGVO die Möglichkeit, bei nachgewiesener Compliance-Bereitschaft auf Sanktionen zu verzichten oder sie zu mildern. Ein Unternehmen, das vollständige Dokumentation vorlegt, Fehler offen kommuniziert und Abhilfemaßnahmen bereits eingeleitet hat, wird anders behandelt als eines, das mauert oder unvollständige Antworten liefert.

Nach Abschluss der Prüfung gibt die Behörde eine Rückmeldung. Mögliche Ausgänge: Einstellung des Verfahrens ohne Beanstandung — das Unternehmen ist nachweislich compliant. Verwarnung ohne Bußgeld — Verstöße wurden festgestellt, aber die Behörde sieht von einer Geldbuße ab, oft weil das Unternehmen kooperativ war und Abhilfemaßnahmen eingeleitet hat. Anordnung — die Behörde verpflichtet zur Umsetzung bestimmter Maßnahmen innerhalb einer Frist. Bußgeld — bei schwerwiegenden oder wiederholten Verstößen. Alle Entscheidungen der Behörde sind schriftlich und mit Rechtsbehelfsbelehrung — Widerspruch und Klage sind möglich.

Wir prüfen Ihre Datenschutzdokumentation auf Vollständigkeit und Prüfungsreife — bevor es die Behörde tut.

Datenschutz-Dokumentation prüfen lassen

Häufige Fragen

Muss ich bei einer Datenschutzbehörden-Prüfung alles offenlegen?
Ja, im Rahmen der Anforderungen der Behörde. Aufsichtsbehörden haben nach Art. 58 DSGVO weitreichende Untersuchungsbefugnisse, einschließlich des Rechts auf Zugang zu allen relevanten Informationen. Unvollständige Antworten können als erschwerend gewertet werden.
Kann eine Datenschutzbehörden-Prüfung ohne Vorwarnung stattfinden?
Ja, anlasslose Prüfungen können ohne vorherige Ankündigung erfolgen. In der Praxis werden die meisten Prüfungen jedoch angekündigt. Deshalb ist es wichtig, die Dokumentation dauerhaft aktuell zu halten — nicht erst wenn eine Prüfung angekündigt wird.
Was ist das schlimmstmögliche Ergebnis einer Behördenprüfung?
Ein Bußgeld nach Art. 83 DSGVO — bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes, je nachdem was höher ist. In der Praxis sind Bußgelder für KMU deutlich niedriger, aber auch vier- oder fünfstellige Beträge sind schmerzhaft. Kooperation und Compliance-Bereitschaft reduzieren das Bußgeldrisiko nachweislich.
Brauche ich einen Anwalt bei einer Datenschutzbehörden-Prüfung?
Nicht zwingend, aber empfehlenswert — besonders wenn der Anlass der Prüfung unklar ist oder wenn bereits Verstöße bekannt sind. Ein Datenschutzanwalt kennt das Verfahren, formuliert Antworten rechtssicher und kann Fristen und Verfahrensrechte wahrnehmen.

War dieser Artikel hilfreich?

Verwandte Artikel
Datenschutz & Compliance
Betroffenenanfrage korrekt beantworten: Fristen und Inhalt
6 Min. Lesezeit
Datenschutz & Compliance
Datenschutzbeauftragter: intern oder extern bestellen – was passt für Ihr Unternehmen?
8 Min. Lesezeit
Datenschutz & Compliance
DSGVO-Abmahnung erhalten: Was jetzt sofort zu tun ist
7 Min. Lesezeit

Haben Sie weitere Fragen?

Unser Team hilft Ihnen persönlich und direkt weiter.

← Zur Kategorie Kontakt aufnehmen