DE

Post von der Datenschutzbehörde – wie reagiere ich?

Zuletzt aktualisiert: 27.02.2026 | Lesezeit: 6 Minuten

Dieser Beitrag dient der allgemeinen Information. Zugunsten der Verständlichkeit orientiert er sich inhaltlich vereinfacht am Regelfall. Er stellt keine Rechtsberatung dar und ersetzt keine individuelle anwaltliche Beratung. Durch die Nutzung der Inhalte kommt kein Mandatsverhältnis zustande. Beiträge geben die Rechtslage zum Aktualisierungsdatum wieder. Spätere Gesetzesänderungen, Rechtsprechung oder Einzelfallumstände können Inhalte überholen. Eine fortlaufende Aktualisierung erfolgt nicht. Maßgeblich ist der Rechtsstand des Aktualisierungsdatums. Haftung für Richtigkeit, Vollständigkeit und Aktualität ist ausgeschlossen, ausgenommen Vorsatz und grobe Fahrlässigkeit.

Ein amtliches Schreiben der Datenschutzaufsicht liegt auf Ihrem Schreibtisch – und plötzlich geht es nicht mehr um Cookie-Banner oder Datenschutzerklärungen, sondern um Ihr Unternehmen, Ihre Verantwortung und möglicherweise um viel Geld. Die meisten Betroffenen wissen in diesem Moment nicht, was genau von ihnen verlangt wird – und vor allem nicht, was sie jetzt besser nicht tun sollten.

Typische Ausgangslage

  • Sie haben ein Anhörungsschreiben der Landesdatenschutzbehörde erhalten und sollen innerhalb einer knappen Frist Stellung nehmen – zu einem Vorwurf, den Sie nicht recht einordnen können.
  • Ein ehemaliger Mitarbeiter oder unzufriedener Kunde hat sich bei der Aufsichtsbehörde beschwert, und nun werden Sie um Auskunft gebeten, wie Sie personenbezogene Daten verarbeiten.
  • Nach einer gemeldeten Datenpanne hat die Behörde Nachfragen – und Sie sind unsicher, wie detailliert Sie antworten müssen, ohne sich selbst zu belasten.
  • Die Aufsichtsbehörde kündigt eine Vor-Ort-Prüfung oder Dokumentenanforderung an, und Sie wissen nicht, welche Unterlagen Sie tatsächlich herausgeben müssen.
  • Es liegt bereits ein Bußgeldbescheid oder eine Verwarnung vor, und Sie fragen sich, ob Sie das einfach akzeptieren oder dagegen vorgehen sollten.
  • Als GmbH-Geschäftsführer fragen Sie sich, ob Sie persönlich haften könnten – zusätzlich zum Unternehmen.

Warum die Situation ernster ist als gedacht

Jede Antwort kann gegen Sie verwendet werden

Das Schreiben der Datenschutzbehörde sieht oft wie eine freundliche Nachfrage aus. Tatsächlich handelt es sich um ein förmliches Verwaltungsverfahren. Was Sie in Ihrer Stellungnahme schreiben – oder weglassen –, wird Grundlage der behördlichen Entscheidung. Eine unbedachte, zu ausführliche oder zu knappe Antwort kann dazu führen, dass die Behörde einen Verstoß als erwiesen betrachtet, den sie ohne Ihre Mitwirkung gar nicht hätte nachweisen können. Gleichzeitig kann Schweigen an der falschen Stelle als mangelnde Kooperationsbereitschaft gewertet werden und die Sanktion verschärfen.

Fristen laufen – oft schneller als erwartet

Behördliche Anhörungsschreiben enthalten Fristen, die eingehalten werden müssen. Wer diese verstreichen lässt, riskiert, dass die Behörde auf Basis der ihr vorliegenden Informationen entscheidet – ohne Ihre Sicht der Dinge gehört zu haben. Fristverlängerungen sind zwar grundsätzlich möglich, aber keineswegs selbstverständlich. Und bei Bußgeldbescheiden gelten eigenständige Rechtsbehelfsfristen, deren Versäumnis endgültig sein kann.

Die DSGVO unterscheidet nicht nach Unternehmensgröße

Viele Selbständige und kleinere Unternehmen gehen davon aus, dass die Aufsichtsbehörden sich nur für große Konzerne interessieren. Das ist ein gefährlicher Irrtum. Gerade Beschwerden von Betroffenen – etwa ehemaligen Mitarbeitern, Kunden oder Geschäftspartnern – führen regelmäßig zu Verfahren gegen kleine und mittlere Unternehmen. Die Behörde ist verpflichtet, jeder Beschwerde nachzugehen. Die möglichen Sanktionen richten sich nach der Schwere des Verstoßes, nicht nach der Größe des Unternehmens.

Persönliche Haftung des Geschäftsführers

Was viele nicht wissen: Ein Bußgeld trifft nicht nur das Unternehmen. Die Frage, ob auch die Geschäftsführung oder verantwortliche Personen persönlich belangt werden können, ist komplex und hängt von vielen Faktoren ab. Wer als Geschäftsführer bei Datenschutzverstößen die Verantwortung trägt, sollte die persönlichen Risiken kennen – bevor eine Stellungnahme abgegeben wird.

Achtung: Keine vorschnelle Stellungnahme abgeben

Die häufigsten Fehler passieren in den ersten Tagen nach Erhalt des Schreibens. Wer ohne anwaltliche Prüfung antwortet, liefert der Behörde möglicherweise genau die Informationen, die sie für ein Bußgeld benötigt. Auch interne „Sofortmaßnahmen" – etwa das hastige Löschen von Daten oder das Ändern von Prozessen – können als Beweismittelvernichtung oder Eingeständnis gewertet werden.

Worum es bei Post von der Datenschutzbehörde wirklich geht

Verschiedene Verfahrensarten mit unterschiedlichen Folgen

Nicht jedes Schreiben der Aufsichtsbehörde bedeutet dasselbe. Es kann sich um eine bloße Anfrage, eine förmliche Anhörung, eine Anordnung oder bereits um einen Bußgeldbescheid handeln. Jede Verfahrensart erfordert eine andere Reaktion. Was wie eine harmlose Bitte um Information aussieht, kann der erste Schritt in einem Verfahren sein, das mit einem empfindlichen Bußgeld endet. Umgekehrt gibt es Konstellationen, in denen eine durchdachte Stellungnahme das Verfahren frühzeitig beenden kann.

Zusammenspiel von Datenschutzrecht und anderen Rechtsgebieten

Behördliche Datenschutzverfahren stehen selten isoliert. Häufig berühren sie gleichzeitig arbeitsrechtliche Fragen (etwa beim Beschäftigtendatenschutz), vertragliche Pflichten gegenüber Kunden oder Dienstleistern oder sogar wettbewerbsrechtliche Aspekte. Wer nur den datenschutzrechtlichen Aspekt betrachtet, übersieht möglicherweise, dass die Stellungnahme Auswirkungen auf ganz andere Rechtsbeziehungen hat.

Gut zu wissen

Die Aufsichtsbehörde kann im Rahmen ihrer Befugnisse nicht nur Bußgelder verhängen, sondern auch Verarbeitungsverbote aussprechen oder die Löschung von Datenbeständen anordnen. Solche Maßnahmen können den laufenden Geschäftsbetrieb unmittelbar und gravierend beeinträchtigen – unter Umständen stärker als ein Bußgeld.

Dokumentation entscheidet über den Ausgang

In Datenschutzverfahren trifft das Unternehmen eine weitreichende Rechenschaftspflicht. Die Behörde erwartet, dass Sie nachweisen können, wie und warum Sie Daten verarbeiten – nicht umgekehrt. Fehlen ein Verarbeitungsverzeichnis, dokumentierte Einwilligungen oder eine nachvollziehbare Datenschutzorganisation, wird die Verteidigung deutlich schwieriger. Welche Dokumentation im konkreten Fall entscheidend ist und wie Lücken bewertet werden, lässt sich nur anhand der spezifischen Situation beurteilen.

Wie die Kanzlei Sie unterstützt

Wenn Sie Post von der Datenschutzbehörde erhalten haben, zählt eine fundierte Einschätzung der Lage – bevor Sie antworten. Schildern Sie Ihren Fall über Kontakt. Sie erhalten eine erste Einschätzung, ob und wie anwaltliche Unterstützung in Ihrer Situation sinnvoll ist. Diese kostenlose Ersteinschätzung ist keine Rechtsberatung und keine eingehende Sachverhaltsprüfung, sondern dient dazu, gemeinsam zu klären, ob eine Zusammenarbeit in Betracht kommt. Die Kanzlei ist im Raum Kiel ansässig und betreut Mandanten bundesweit. Nach Mandatierung erfolgt die weitere Betreuung auf Wunsch z. B. per Videocall– unabhängig davon, wo in Deutschland sich Ihr Unternehmenssitz befindet oder welche Landesbehörde das Verfahren führt.

Weiterführende Themen

  • Datenschutzrecht – Überblick für Unternehmen & DSGVO-Grundlagen
  • Bußgeld & Sanktionen nach der DSGVO
  • Datenpanne & Meldepflicht
  • Haftung bei Datenschutzverstößen
  • Datenschutzbeauftragter – Pflicht & Bestellung

Schreiben der Datenschutzbehörde erhalten? Handeln Sie jetzt – aber richtig.

Schildern Sie Ihren Fall über Kontakt. Sie erhalten eine erste Einschätzung, ob und wie anwaltliche Unterstützung in Ihrer Situation sinnvoll ist – kostenlos und unverbindlich. Bundesweit erreichbar, Kanzlei im Raum Kiel.