Ablaufplan für unangekündigte Prüfung der Datenschutzbehörde

Artikel von Dr. Datenschutz·28. August 2025

Die Türklingel läutet. Vor der Tür oder bereits in den Geschäftsräumen stehen Prüfer der Datenschutzbehörde. Unangekündigt. Für viele Unternehmen ist dieses Szenario ein Albtraum. Denn eine unangekündigte Vor-Ort-Prüfung ist ein zentrales Instrument, mit dem die Einhaltung der DSGVO kontrolliert wird. Wie kann im Rahmen eines solchen Ereignisses souverän reagiert werden? Hilfreich kann ein Ablaufplan sein, der zuvor entworfen wurde und dann befolgt werden kann. Die Inhalte, die dabei im Blick behalten werden sollten, behandelt dieser Beitrag.

Der Inhalt im Überblick

Grundsätzliches zu unangekündigten Vor-Ort-Prüfungen
Besser spontan oder vorbereitet reagieren?
Ablauf- bzw. Notfallplan erstellen und vorhalten
Was sollte ein Ablaufplan zumindest beinhalten?
- Phase 1: Vor der Prüfung
- Phase 2: Während der Prüfung
Ablaufplan, mein Freund und Helfer

Grundsätzliches zu unangekündigten Vor-Ort-Prüfungen

Gemäß Art. 58 Abs.1 DSGVO und § 40 Abs. 1, 4 und 5 BDSG dürfen die Datenschutzaufsichtsbehörden Datenschutzüberprüfungen auch unangekündigt durchführen, den Zugang zu allen Grundstücken und Räumlichkeiten bzw. Geschäftsräumen des Unternehmens, inklusive aller Datenverarbeitungsanlagen- und geräten, und allen personenbezogenen Daten und Informationen, die für die Erfüllung ihrer Aufgaben erforderlich sind, verlangen. Vor allem unangekündigt, können diese umfangreichen Befugnisse unvorbereitete Unternehmen vor Herausforderungen stellen.

Weitere Details dazu und inwiefern die Behörden dieses Mittel überhaupt nutzen, wie weit sie dabei gehen dürfen und welche Eckpunkte Unternehmen für die Vorbereitung und bei Kontrollen stets im Blick haben sollten, finden sich auch in einem kürzlich von uns veröffentlichten Beitrag.

Besser spontan oder vorbereitet reagieren?

In der Hektik einer unangekündigten Prüfungssituation kann es zu spontanen und unüberlegten Äußerungen der ersten Ansprechperson oder zu einer unorganisierten Reaktion kommen. Dadurch kann es passieren, dass die Aufsichtsbehörde nicht nur den ursprünglich geplanten Bereich prüft, sondern die Prüfung auf weitere Bereiche ausweitet oder insgesamt umfangreicher gestaltet. Sich im Vorfeld auf eine solche Situation vorzubereiten und nicht spontan zu reagieren, ist also empfehlenswert.

Ablauf- bzw. Notfallplan erstellen und vorhalten

Mit einem für solche Prüfungen vorgesehenen Ablauf- bzw. Notfallplan und anderen Vorbereitungshandlungen können Unsicherheiten weitgehend vermieden werden. Wenn der Plan erstellt ist, sollte er für die Angestellten gut zugänglich vorgehalten und diese auf dessen Einhaltung geschult werden.

Was sollte ein Ablaufplan zumindest beinhalten?

Er sollte der besseren Übersichtlichkeit halber zunächst in zwei Abschnitte bzw. Phasen aufgeteilt werden:

Phase 1: Vor der Prüfung

Benachrichtigungskette: Dokumentieren Sie, wer im Unternehmen – ggfs. auch extern und Vertretungspersonen – bei Ankunft von Personen, die sich als Prüfer einer Datenschutzbehörde zu erkennen geben, auf welchem Wege und von wem zu kontaktieren ist.
Zuständigkeit: Legen Sie im Vorfeld fest, wer die Prüfer empfängt, wer der Haupt-Ansprechpartner im Rahmen der Prüfung sein soll und wer die Prüfung begleitet – oftmals sind das ein Datenschutzbeauftragter als zentraler Ansprechpartner, die Geschäftsführung und der IT-Leiter. Zusätzlich sollten hier Vertretungspersonen benannt werden. Von einer Prüfung wird in der Regel nicht deswegen abgesehen, weil die zuständige Person im Unternehmen krank, im Urlaub oder aus anderen Gründen abwesend ist.
Überprüfung der Prüfereigenschaft (äußerst wichtig!): Es ist nicht auszuschließen, dass sich Unberechtigte unter der Angabe, sie gehörten zur Datenschutzbehörde, mit böswilliger Absicht Zugang zu Daten verschaffen wollen. Daher sollte festgelegt werden, dass zunächst überprüft wird, ob die Personen, die angeben, Prüfer der Datenschutzbehörde zu sein, das auch sind. In dem Zusammenhang sollte aufgeführt werden, welche Überprüfungsmaßnahmen im Mindesten vorgenommen werden müssen und wie bei Zweifeln zu reagieren ist. Beispielsweise:

- Überprüfung der Dienstausweise,
- Abgleich mit den Personalausweisen der Prüfer oder sonstigen Ausweisdokumenten,
- Abgleich mit und Prüfung der schriftlichen Prüfungsmitteilung/-auftrag,
- Webseitenaufruf und Anruf bei der Datenschutzbehörde mit der auf der Webseite angegebenen Telefonnummer verbunden mit der Nachfrage, ob eine Prüfung durch die Personen X und Y jetzt vorgesehen ist – die Telefonnummer und Webseite der Datenschutzaufsicht sollte dafür nicht aus dem von den Prüfern vorgezeigten Schriftstück oder deren Äußerungen entnommen werden.
- Wenn Zweifel bestehen, müssen weitere Nachweise verlangt werden, bis diese ausgeräumt sind. Dieses Vorgehen dürften Prüfer angesichts des damit einhergehenden Datenschutzes als positiv wahrnehmen. Denn wenn unberechtigten Personen Zugang zu personenbezogenen Daten verschafft wird, liegt ein Datenschutzverstoß vor.
Bereitgestellter Raum: Welcher Raum eignet sich in einer Prüfungssituation als separater Besprechungsraum? Notieren Sie das im Ablaufplan, damit dieser am Tag der Prüfung ggfs. zügig für die Prüfer in Anspruch genommen werden kann – notfalls durch Verschieben einer anderen Besprechung.
Protokoll: Legen Sie fest, ob und wer ein eigenes detailliertes Protokoll über den Ablauf der Prüfung anfertigt. Dieses sollte zumindest folgende Fragestellungen beinhalten:
Wer war anwesend? Welche Umstände führten zur Überzeugung, dass es sich bei den eintreffenden Personen tatsächlich um Prüfer der Datenschutzaufsichtsbehörde handelt? Welche Fragen wurden gestellt? Welche Antworten gegeben? Welche Unterlagen/Informationen/Daten/Anlagen/Geräte wurden angesehen bzw. eingesehen, ggfs. kopiert oder ggfs. sogar übergeben? Welche Geräte wurden von den Prüfern selbst bedient?
Dieses Protokoll ist für die Nachbereitung essenziell.

Phase 2: Während der Prüfung

Begleitung: Prüfer sollten zu keinem Zeitpunkt unbegleitet auf dem Grundstück, in den Räumlichkeiten, an Dokumenten, Notizen, Computern oder sonstigen Datenverarbeitungsanlagen des Unternehmens unterwegs sein. Legen Sie eine Begleitperson fest.
Kooperation: Zeigen Sie sich grundsätzlich offen und kooperationsbereit und halten Sie dies auch im Ablaufplan fest. Eine Verweigerung der Mitwirkung hinsichtlich der Aufforderungen der Datenschutzbehörde kann nach Art. 83 Abs. 5 lit. e DSGVO mit einem Bußgeld geahndet werden.
Antworten: Notieren Sie im Ablaufplan, dass die Fragen der Prüfer sachlich und präzise, ohne übereilte Zusagen oder Äußerungen beantwortet werden sollen – ohne Spekulationen. In dem Zusammenhang sollte auch festgelegt werden, dass im Zweifel um Bedenkzeit (z. B. für eine Rücksprache) gebeten wird.

Ablaufplan, mein Freund und Helfer

Eine Vor-Ort-Prüfung durch die Datenschutzbehörde ist zweifellos eine Herausforderung. Wer die rechtlichen Rahmenbedingungen kennt, aktuelle Dokumentation und technische Vorkehrungen zum Datenschutz vorweisen kann und die Zusammenarbeit z. B. mithilfe eines vorab erarbeiteten detaillierten Ablaufplans professionell gestaltet, kann einer Prüfung souverän begegnen und das Vertrauen von Behörden und Kunden stärken.

- Aufsichtsbehörde
  Top 5 DSGVO-Bußgelder im November 2025News·1. Dezember 2025
- Irish High Court stoppt vorläufig DPC-Maßnahmen gegen TikTokNews·19. November 2025
- Kommt bald der Angemessenheitsbeschluss für Brasilien?News·13. November 2025
Mehr zum Thema
- BDSG
  Auskunftsrecht nach DSGVO: Was steht Betroffenen zu?Fachbeitrag·18. November 2025
- Das Führungszeugnis – Was müssen Arbeitgeber beachten?Fachbeitrag·7. Oktober 2025
- Datenschutz und Recht im Verein: Anforderungen und SchulungenFachbeitrag·23. September 2025
Mehr zum Thema
- Bußgeld
  Datenschutz – Jahresrückblick 2025 – Teil 1Fachbeitrag·16. Dezember 2025
- Top 5 DSGVO-Bußgelder im November 2025News·1. Dezember 2025
- Verhängung von DSGVO-Bußgelder gegen BehördenFachbeitrag·12. November 2025
Mehr zum Thema
- Datenschutzbeauftragter
  Kostenloses Webinar zur Rolle des DatenschutzbeauftragtenNews·1. Oktober 2025
- ISO 27701: Risikobeurteilung und RisikobehandlungFachbeitrag·29. September 2025
- Datenschutz und Recht im Verein: Anforderungen und SchulungenFachbeitrag·23. September 2025
Mehr zum Thema
- personenbezogene Daten
  Was ist Datenschutz? Begriff und GeschichteFachbeitrag·2. Dezember 2025
- „Hey Copilot, buche mir ein Hotelzimmer“ – Copilot Actions bald im EWR verfügbar?News·23. Oktober 2025
- Informationspflicht bei Internetrecherche über Prozessgegner?Urteil·19. September 2025
Mehr zum Thema
- Unternehmen
  Übermittlung von Positivdaten an SCHUFA nach VertragsschlussUrteil·17. November 2025
- Automatisierter Abfallgebührenbescheid: Ein DSGVO-Verstoß?Urteil·30. Oktober 2025
- Datenschutz & DSGVO: Fotos von Veranstaltungen veröffentlichenFachbeitrag·28. Oktober 2025
Mehr zum Thema

Beitrag kommentieren

Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.

Klicken Sie hier, um den Kommentarbereich anzuzeigen. Kommentare verbergen.

„Auf welcher Basis wurde zur Überzeugung der Datenschutzaufsicht-Prüfereigenschaft gelangt?“ Könnte der Satz bitte näher erläutert werden? Ich werde leider nicht so richtig schlau daraus…
Dankeschön!

N.W. am 12. September 2025, 16:10 Uhr

Antworten
- Vielen Dank für den Hinweis. Wir haben den Satz leicht abgeändert, um ihn verständlicher zu machen. Jedenfalls ist gemeint, dass festgehalten werden sollte, welche konkreten Umstände, vorgenommene Maßnahmen (z. B. Anruf mit Nachfrage bei der Datenschutzbehörde) und sonstigen Informationen zur Überzeugung geführt haben, dass die Person, die behauptet, sie sei von der Datenschutzaufsichtsbehörde, tatsächlich dieser angehört.
  
  Dr. Datenschutz am 18. September 2025, 10:46 Uhr
  
  Antworten