Wenn die Türklingel läutet und plötzlich Prüfer der Datenschutzaufsicht vor der Tür stehen, ist die Überraschung groß. Für viele Handwerksbetriebe ist dieses Szenario ein Albtraum, doch es gehört zur Realität. Mit der richtigen Vorbereitung und einem Ablaufplan verlaufen solche Prüfungen jedoch reibungslos.
Vor-Ort-Kontrollen, auch unangekündigt, sind ein zentrales Instrument, mit dem die Behörden die Einhaltung der Datenschutz-Grundverordnung (DSGVO) überprüfen. Die Rechtsgrundlagen dafür sind Art. 58 Abs. 1 DSGVO sowie § 40 BDSG. Diese Gesetze räumen den Aufsichtsbehörden weitreichende Befugnisse ein, die vom Zugang zu Geschäftsräumen über die Einsicht in Datenverarbeitungsanlagen bis hin zur Prüfung sämtlicher relevanter Unterlagen reichen. Dies wird durch aktuelle Rechtsprechung, wie das Urteil des Verwaltungsgerichts Ansbach vom 12. Juni 2024, ergänzt. Das Urteil stellt klar, dass die Aufsichtsbehörden bei Verstößen sogar verpflichtet sind, aktiv einzugreifen und Abhilfemaßnahmen zu ergreifen.
„Gerade weil diese Prüfungen unangekündigt stattfinden können, entsteht im Betrieb schnell eine hektische Situation. Unüberlegte Aussagen, unklare Zuständigkeiten oder fehlende Unterlagen können den Umfang der Kontrolle unnötig ausweiten und den Eindruck mangelnder Compliance hinterlassen“, sagt Alexander Petto, Beauftragter für Innovation und Technologie Themenschwerpunkt Digitalisierung (DIGI–BIT) bei der Handwerkskammer des Saarlandes (HWK).
Ablaufplan schafft Sicherheit
Er rät daher, sich nicht auf Spontanität zu verlassen, sondern vorbereitet zu sein. „Ein klarer Ablaufplan, den alle Beschäftigten kennen und im Zweifel befolgen können, schafft die notwendige Sicherheit. Darin sollte geregelt sein, wer bei Ankunft der Prüfer informiert wird, wer als Ansprechpartner fungiert und wer die Kontrolle begleitet“, so Petto. Ebenso gehört dazu die Überprüfung der Identität der Prüfer, um sich gegen Social Engineering abzusichern. Am verlässlichsten ist dabei ein offizieller Rückruf bei der Behörde über die auf der Webseite angegebenen Kontaktdaten. Keine Sorge. Echte Prüfer haben Verständnis für solch eine Maßnahme. „Außerdem empfiehlt es sich, einen Raum für Besprechungen vorzuhalten und während der gesamten Prüfung ein eigenes Protokoll zu führen, in dem festgehalten wird, wer anwesend war, welche Fragen gestellt, welche Dokumente vorgelegt und welche Systeme geprüft wurden“, empfiehlt der Digi-BIT.
Während der Prüfung selbst ist es entscheidend, dass die Prüfer nicht unbeaufsichtigt agieren, sondern stets von einer verantwortlichen Person begleitet werden. Ebenso wichtig ist eine kooperative Grundhaltung. Wer die Mitwirkung verweigert, riskiert nach Art. 83 Abs. 5 lit. e DSGVO ein Bußgeld. Antworten auf Fragen sollten sachlich und präzise gegeben werden, ohne Spekulationen oder vorschnelle Zusagen. Besteht Unsicherheit, ist es vollkommen legitim, um Bedenkzeit oder Rücksprache zu bitten.
Von zentraler Bedeutung bleibt darüber hinaus die Aktualität der Dokumentation. Verzeichnisse von Verarbeitungstätigkeiten, Auftragsverarbeitungsverträge, Löschkonzepte und die technischen, wie organisatorischen Maßnahmen müssen nicht nur vorliegen, sondern auch dem gelebten Alltag entsprechen. Besonders kritisch sehen die Aufsichtsbehörden, wenn Dokumentationen zwar vorhanden, in der Praxis aber nicht umgesetzt werden.
Eine unangekündigte Vor-Ort-Prüfung ist zweifellos eine Herausforderung, doch sie muss nicht im Chaos enden. „Betriebe, die ihre Verantwortlichkeiten klar geregelt haben, ihre Unterlagen regelmäßig aktualisieren und einen klaren Ablaufplan bereithalten, können souverän reagieren und eine Prüfung professionell begleiten“, sagt Petto. Damit lassen sich nicht nur mögliche Bußgelder vermeiden, sondern auch Vertrauen gegenüber Kunden, Partnern und der Behörde aufbauen. Wer vorbereitet ist, dem kann selbst ein unerwarteter Besuch der Datenschutzaufsicht wenig anhaben.
Die folgende Übersicht hilft bei der Erstellung eines Ablaufplans für den Fall einer Datenschutzprüfung. Digi-BIT Alexander Petto unterstützt Sie bei der Vorbereitung.
| Thema | Inhalte (Kurzfassung) | |
| Vor der Prüfung | Benachrichtigungskette | Festlegen, wer bei Prüfungsankunft informiert wird (intern/extern). |
| Zuständigkeit | Ansprechpartner bestimmen: Empfang, Hauptansprechperson, Begleitperson. | |
| Überprüfung der Prüfereigenschaft | Dienstausweise prüfen, Ausweise vergleichen, Auftrag lesen, Rückruf bei Behörde mit offizieller Nummer. | |
| Bereitgestellter Raum | Geeigneten Besprechungsraum vorsehen, ggf. andere Termine verschieben. | |
| Protokoll | Dokumentieren: Anwesende, Identitätsprüfung, gestellte Fragen, Antworten, vorgelegte Unterlagen, Geräte. | |
| Während der Prüfung | Begleitung | Prüfer niemals unbegleitet lassen; Begleitperson festlegen. |
| Kooperation | Offene Haltung bewahren, Mitwirkung im Ablaufplan festhalten. | |
| Antworten | Sachlich und präzise antworten; keine Zusagen, bei Unsicherheit Bedenkzeit erbitten. |
Ansprechpartner
Alexander Petto
Beauftragter für Innovation und Technologie Themenschwerpunkt Digitalisierung (DIGI–BIT)
Telefon 0681 5809-141
a.petto@hwk-saarland.de