Audit-Vorbereitung Aufsichtsbehörde: 10-Punkte-Checkliste
TL;DR
- 10-Punkte-Vorbereitung für Aufsichtsbehörden-Audit (DSGVO, BSI, BfJ, BaFin)
- Doku-Mindeststand: VVT, AVV-Liste, TOM-Beschreibung, DSFA-Register, Schulungsnachweise
- Kommunikations-Disziplin: Zentraler Ansprechpartner + Sprachregelung + Eskalations-Plan
- Reaktionsfrist: Aufsichts-Fragebogen typisch 14–30 Tage
- Schulung Mitarbeiter: Auskunfts-Disziplin + Verschwiegenheit
Hauptartikel: Hauptartikel: DSGVO-Bußgeldverfahren — der vollständige Pillar-Artikel zum Thema.
1. Doku-Sammlung griffbereit
VVT, AVV, DSFA, TOM, Schulungs-Logbuch, Datenpannen-Logbuch, IRP, Audit-Berichte. Digital + Papier.
2. Compliance-Officer als Single Point of Contact
Eine Person koordiniert alle Audit-Anfragen. Verhindert Widersprüche.
3. Anwaltliche Begleitung
Bei Vor-Ort-Audit: Anwalt anwesend. Verfahrensrechte sichern.
4. Mitarbeiter-Vorbereitung
Schulung 'Was sage ich bei Audit?': Wahrheit, aber keine Selbstbelastung. Bei Unsicherheit: 'Ich weiß nicht, der Compliance-Officer kann antworten'.
5. Räumliche Vorbereitung
Konferenzraum mit Beamer/Bildschirm, WiFi für Auditor, Kaffee/Wasser.
6. Geschäftsführung anwesend?
Meist nicht erforderlich, aber bei kritischen Themen sinnvoll.
7. Kommunikations-Stil
Sachlich, kooperativ, präzise. Nicht defensiv, nicht aggressiv. Kooperation reduziert Bußgeld 30-60%.
8. Mitarbeiter-Begleitung im Audit
Bei Mitarbeiter-Anhörung: Compliance-Officer anwesend (rechtlich erlaubt).
9. Dokumentation des Audits
Eigenes Protokoll führen. Welche Fragen? Welche Doku übergeben? Wann was gesagt?
10. Nachbereitung
Innerhalb 14 Tagen: Lessons Learned, Maßnahmen-Plan, ggf. proaktive Mitteilung an AB.
Häufig gestellte Fragen
Was muss ich tun, wenn die Aufsichtsbehörde anruft?
Sofort-Maßnahmen in 24-48h: 1) Anruf nicht selbst entgegennehmen — an Compliance-Officer oder Anwalt weiterleiten. 2) Schriftliche Anfrage anfordern (was, warum, Frist). 3) Notiz-Protokoll des Telefonats — exakter Wortlaut wenn möglich. 4) Anwalts-Beratung anfragen (auch wenn keine Klage angedroht — präventiv). 5) Internes Compliance-Team alarmieren — Beweis-Sicherung relevanter Dokumente. 6) Geschäftsführung informieren — Ad-hoc-Meeting binnen 24h. Häufigster Fehler: spontane mündliche Auskünfte am Telefon — können verbindlich werden. Goldene Regel: 'Wir antworten gerne schriftlich nach Beratung.'
Welche Dokumente sollten griffbereit sein?
Audit-Doku-Pakete je Compliance-Bereich: DSGVO: VVT, AVVs, DSFAs, TOM-Konzept, Schulungs-Logbuch, Datenpannen-Logbuch, DSB-Bestellung. NIS2: ISMS-Policies, Risikoregister, IRP, BCM-Plan, Asset-Inventory, Patch-Logs, Lieferanten-Audits. AI Act: KI-Inventar, AI-Literacy-Schulungs-Nachweise, FRIAs (ab 12/2027), AUP. HinSchG: Meldestellen-Bestellung, Verfahrensordnung, Audit-Bericht § 22, Vertraulichkeits-Konzept. AGG: Beschwerdestelle-Doku, Auswahl-Score-Sheets, Bias-Tests. Format: digital + Papier (manche Aufsichts-Behörden verlangen Papier-Kopien). Aktualisiert auf <90 Tage Stand. Aufbewahrung: 6-10 Jahre nach Vorgangs-Abschluss.
Wie kann ich Bußgeld-Reduktion durch Kooperation erreichen?
Praxis-Reduktions-Hebel (Art. 83 Abs. 2 DSGVO): 1) Selbst-Anzeige vor AB-Anfrage — Reduktion 30-60%. 2) Kooperative Sachaufklärung (alle Unterlagen freiwillig) — 20-40%. 3) Sofortige Korrektive Maßnahmen (z.B. Lücke schließen, Schulung nachholen) — 20-30%. 4) Existenz-Bedrohung-Argument (Art. 83 Abs. 2 lit. k) — 10-50% bei nachweisbar wirtschaftlicher Schwierigkeit. 5) Erstmaligkeit + keine Vorstrafen — 10-20%. Maximal-Reduktion bei kooperativer Linie: 60-80% der ursprünglichen Bußgeld-Forderung. Achtung: nur unter anwaltlicher Begleitung — selbstverschuldete Aussagen können nachteilig wirken.
Soll ich bei Vor-Ort-Audit MA-Interviews zulassen?
Rechtlich verpflichtend: Aufsichtsbehörde darf nach § 40 BDSG / § 51 ECG MA befragen. Praktisch zu beachten: 1) MA vor Audit-Termin schulen ('Was sagen Sie bei Befragung?' — Wahrheit, aber keine Selbst-Belastung). 2) Compliance-Officer / Anwalt darf bei Befragung anwesend sein (Recht des MA + des Arbeitgebers). 3) Befragung im neutralen Raum — nicht in Anwesenheit Vorgesetzter (Schutz vor Druck). 4) Befragungs-Protokoll vom MA prüfen + signieren lassen. 5) Bei sensitiven Antworten: 'Ich weiß nicht, der Compliance-Officer kann antworten.' Kritisch: keine 'Coaching'-Vorbereitung mit Vorgaben — kann Strafvereitelung sein. Statt: realistische Schulung zu Verhaltens-Standards.
Quellen
- Verordnung (EU) 2016/679 (DSGVO), Art. 58 (Befugnisse Aufsichtsbehörden), Art. 83 (Bußgelder + Zumessungskriterien), eur-lex.europa.eu (DSGVO)
- BDSG § 40 (Datenschutzkontrolle), gesetze-im-internet.de/bdsg/__40
- EDPB Leitlinien 04/2022 zur Berechnung von Geldbußen, edpb.europa.eu (Stand: 02.05.2026)
- BSI-Gesetz 2025 (BSIG), § 40 (Aufsichts-Befugnisse BSI), gesetze-im-internet.de/bsig_2025
- Hinweisgeberschutzgesetz (HinSchG), HinSchGOWiZustV (BfJ-Bußgeldzuständigkeit seit 09.04.2025)