Unangekündigte Vor-Ort-Datenschutzkontrolle: So reagieren Sie richtig

Unangekündigte Vor-Ort-Datenschutzkontrolle: So reagieren Sie richtig

Die Vorgehensweise im Fall der Vor-Ort-Kontrolle der Aufsichtsbehörde ohne Vorankündigung

Am 17.07.2025 teilte der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern (LfDI MV) auf seiner Homepage mit, dass er verstärkt unangekündigte Kontrollen vor Ort insbesondere bei öffentlichen Stellen wegen der gestiegenen Anzahl der gemeldeten Datenpannen durchgeführt hatte. 

Ist das erlaubt?

Die Vor-Ort-Kontrolle der Aufsichtsbehörden basieren auf Art. 58 Abs. 1 DSGVO (u. a. Zurverfügungstellung der Informationen seitens der Verantwortlichen/Auftragsverarbeiter, Datenschutzüberprüfungen, Zugang zu Räumlichkeiten der Verantwortlichen/Auftragsverarbeiter). Es ist darauf hinzuweisen, dass sich bei Verantwortlichen sowohl um öffentliche Einrichtungen als auch Privatunternehmen handelt.

Vorgehensweise im Fall der Vor-Ort-Kontrolle der Aufsichtsbehörde

So reagieren Sie bei einer unangekündigten Kontrolle: Bewahren Sie Ruhe und handeln Sie professionell. Eine kooperative Haltung wirkt sich positiv auf mögliche Konsequenzen aus.

1. Prüfen Sie die Ausweise der Kontrolleure

Ausweiskontrolle: Die Mitarbeiter der Aufsichtsbehörde müssen Ihre Ausweise vorlegen, welche seitens der kontrollierten Einrichtung zu überprüfen sind. Es ist empfehlenswert, die Rücksprache via Telefon mit der zuständigen Datenschutzbehörde bezüglich der Prüfung (Prüfumfang) und der Auditoren zu halten (Bitte die auf der Homepage der Datenschutzbehörde angegebene Telefonnummer verwenden).

Dies ergibt sich aus Art. 33 DSGVO, wonach die verarbeiteten personenbezogenen Daten vor Zugriffen unberechtigter Dritten zu schützen sind. Aus diesem Grund muss die Identität der Auditoren überprüft werde. Lassen Sie sich nicht unter Druck setzen, da ansonsten die Gefahr des Datenschutzverstoßes besteht!

2. Benachrichtigen Sie sofort Ihren Datenschutzbeauftragten, den Rechtsvertreter und die Geschäftsführung

Benachrichtigung: Im Fall der Vor-Ort-Kontrolle sind der Datenschutzbeauftragte, der Rechtsvertreter sowie die Geschäftsleitung unverzüglich zu informieren. Im Fall deren Abwesenheit sind die Abwesenheitsvertreter heranzuziehen

3. Prozesse und Richtlinien klar definiert haben

Interne Richtlinien: Es wäre empfehlenswert, die Vorgehensweise im Fall der Vor-Ort-Kontrolle intern (bspw. im Notfallkonzept) festzulegen.

4. Gegenstand der Überprüfung klären

Prüfungsumfang: Es muss geklärt werden, was genau der Gegenstand der Überprüfung ist (Empfehlenswert ist auch die diesbezügliche Rücksprache mit der Datenschutzbehörde). Laut der Mitteilung des LfDI MV kann eine Vor-Ort-Kontrolle folgende Maßnahmen umfassen: Kontrolle von Zugangskontrollen, Datenschutz- oder Sicherheitskonzepten, Verfahrensverzeichnissen, Auftragsverarbeitungsverträgen, IT-Systeme, sowie Netzwerke. Dazu können noch die Inspektion der Räumlichkeiten sowie die Befragung der Beschäftigten dazu kommen.

5. Durchführung des Audits mit den wesentlichen Ansprechpartner:innen

Begleitung: Die Auditoren sollen im Laufe der Prüfung von den oben genannten Ansprechpartnern des geprüften Unternehmens begleitet werden. Beantworten Sie Fragen wahrheitsgemäß, aber überlegt. Sie dürfen um Bedenkzeit bitten oder Rücksprache mit Ihrem Datenschutzbeauftragten halten.

6. Nutzen Sie einen separaten Raum

Raum: Es ist empfehlenswert, einen Besprechungsraum für das Audit als Rückzugsort für alle Beteiligten zu belegen. 

7. Dokumentation des Auditablaufs

Dokumentation: Der Auditablauf ist zu dokumentieren. Wenn die Behörde Mängel feststellt, sollten Sie umgehend handeln. Setzen Sie die geforderten Maßnahmen schnell um und dokumentieren Sie alle Schritte sorgfältig. Achten Sie auch darauf, die Dokumentation den Ansprechpartnern zu übermitteln.

Welche Konsequenzen drohen bei Verstößen?

Die Behörden können verschiedene Maßnahmen ergreifen. Verwarnungen sind dabei das mildeste Mittel. Bei schwerwiegenden Verstößen drohen Bußgelder, deren Höhe sich nach der Schwere des Verstoßes und Ihrer Reaktion richtet.

Verwarnung: Bei kleineren Verstößen können Sie eine schriftliche Aufforderung zur Behebung erhalten.

Anordnung: Liegen konkrete Mängel vor, erhalten Sie eine Frist zur Umsetzung bestimmter Maßnahmen.

Bußgeld: Werden schwerwiegende Verstöße festgestellt drohen finanzielle Sanktionen bis 20 Mio. € oder 4% des Jahresumsatzes. 

Vorbeugende Maßnahmen schützen Sie vor bösen Überraschungen

Ein gut vorbereitetes Unternehmen minimiert die Risiken einer Datenschutzkontrolle. Prüfen Sie z.B. regelmäßig:

• Ist Ihr Verzeichnis der Verarbeitungstätigkeiten aktuell?
• Haben Sie alle erforderlichen Auftragsverarbeitungsverträge abgeschlossen?
• Sind Ihre technischen und organisatorischen Maßnahmen dokumentiert?
• Haben Sie einen Prozess für Datenpannen etabliert?
• Steht das Notfallkonzept?

Besonders wichtig: Bei einer Datenpanne müssen Sie innerhalb von 72 Stunden eine Meldung an die zuständige Aufsichtsbehörde machen, wenn ein Risiko für die Rechte und Freiheiten der betroffenen Personen besteht.

Wie steht es um Ihre Prozesse?

Überprüfen Sie mit Ihrem Ansprechpartner oder Ihrer Ansprechpartnerin, ob alle Prozesse für den Fall einer Datenschutzkontrolle klar definiert sind. Eine gute Vorbereitung zahlt sich aus: Sie vermeiden Bußgelder und gewinnen Sicherheit im Umgang mit den Behörden.

Wir können es nur immer wieder betonen: Datenschutz ist kein einmaliges Projekt, sondern ein fortlaufender Prozess. Regelmäßige Überprüfungen Ihrer Maßnahmen und Dokumentationen schützen Sie vor unangenehmen Überraschungen bei einer Kontrolle.

Bei Fragen oder unterstützungsbedarf stehen wir Ihnen gerne zur Verfügung. Sprechen Sie uns gerne an!