Datenschutzbehörden verschärfen Gangart: Fragebögen ignorieren wird teuer

Wer offizielle Auskunftsersuchen ignoriert, riskiert empfindliche Strafen – unabhängig vom eigentlichen Datenschutzverstoß.

Rekordbeschwerden und neue Härte

Am 6. Mai 2026 präsentierte Louisa Specht-Riemenschneider, die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), ihren Jahresbericht für 2025. Die Zahlen sprechen eine deutliche Sprache: 11.824 Beschwerden und Anfragen gingen ein – ein Anstieg um 36 Prozent gegenüber dem Vorjahr. Die Behörde reagierte mit einer massiven Ausweitung ihrer Prüftätigkeit: 80 Vor-Ort-Kontrollen und 40 schriftliche Prüfungen fanden in den vergangenen Monaten statt.

Lücken im DSGVO-Verarbeitungsverzeichnis können Ihr Unternehmen bis zu 2 % des Jahresumsatzes kosten. Viele Firmen unterschätzen dieses Risiko – eine kostenlose Excel-Vorlage hilft, die Dokumentationspflicht rechtssicher zu erfüllen. Muster-Verarbeitungsverzeichnis jetzt gratis herunterladen

Doch der Druck kommt nicht nur aus Berlin. Anfang Mai startete der Europäische Datenschutzausschuss (EDPB) seinen koordinierten Durchsetzungsrahmen für 2024/2025. Im Fokus stehen die Transparenz- und Informationspflichten nach den Artikeln 12, 13 und 14 der DSGVO. Unternehmen im gesamten Europäischen Wirtschaftsraum müssen mit standardisierten Fragebögen ihrer nationalen Aufsichtsbehörden rechnen.

Die teure Folge des „Fragebogen-Boykotts"

Wer glaubt, behördliche Auskunftsersuchen einfach ignorieren zu können, irrt gewaltig. Artikel 31 der DSGVO verpflichtet Unternehmen zur Zusammenarbeit mit den Aufsichtsbehörden. Artikel 58(1)(a) ermächtigt die Behörden zudem, die Herausgabe aller für ihre Arbeit erforderlichen Informationen anzuordnen.

Die Aufsichtsbehörden behandeln die Verweigerung der Auskunft inzwischen als eigenständigen Verstoß – unabhängig vom eigentlichen Datenschutzvergehen. Die polnische Behörde UODO verhängte Ende 2024 ein Bußgeld von 5.000 Euro gegen ein Unternehmen, das drei aufeinanderfolgende Auskunftsersuchen ignorierte. Die spanische AEPD wertet die fehlende Reaktion als „Behinderung" ihrer Ermittlungsarbeit und verhängt regelmäßig sofortige Geldstrafen. Sogar Einzelpersonen sind betroffen: Die griechische Datenschutzbehörde belegte einen Freiberufler im Herbst 2024 mit einer Geldbuße von 700 Euro – allein wegen Verstoßes gegen die Kooperationspflicht.

In Deutschland nutzen Landesbehörden wie das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) seit Langem sogenannte Prüfbögen, um die Compliance in bestimmten Branchen zu bewerten – etwa bei Ransomware-Prävention oder Lieferantenmanagement. Wer diese Dokumente nicht zurücksendet, riskiert Zwangsgelder oder formelle Bußgelder.

Vom Tech-Riesen zum Mittelstand

Während in den vergangenen Jahren vor allem Milliardenstrafen gegen globale Technologiekonzerne für Schlagzeilen sorgten, zielen die Behörden nun verstärkt auf kleine und mittlere Unternehmen (KMU). Seit 2018 haben die europäischen Aufsichtsbehörden mehr als 2.800 Bußgelder in Höhe von insgesamt über 7,1 Milliarden Euro verhängt. Mehr als 60 Prozent dieser Summe entfällt auf die Zeit seit Januar 2023 – ein klarer Hinweis auf den verschärften Kurs.

Der BfDI-Bericht bestätigt: Die Behörden gehen systematisch gegen Unternehmen mit einem Jahresumsatz unter 500 Millionen Euro vor. Häufig beginnt die Prüfung mit der Anforderung des Verarbeitungsverzeichs (ROPA). Viele KMU sind auf diese Anfragen nicht vorbereitet – und scheitern bereits an der 72-Stunden-Frist für die Meldung von Datenschutzverstößen. Allein die deutsche Bundesbehörde erließ im vergangenen Jahr 129 formelle Aufsichtsmaßnahmen.

Neue Rechtsprechung verschärft Haftung

Der Europäische Gerichtshof (EuGH) hat die rechtlichen Grundlagen für Bußgelder weiter gestärkt. Im Fall einer Berliner Immobiliengesellschaft (C-807/21) stellte das Gericht klar: Behörden können Bußgelder direkt gegen das Unternehmen als juristische Person verhängen – ohne einen schuldhaften Geschäftsführer identifizieren zu müssen. Das beseitigte ein erhebliches Hindernis für deutsche Behörden.

Achtung: Diese EU-KI-Pflichten gelten bereits seit August 2024 – ist Ihr Unternehmen vorbereitet? Viele Firmen unterschätzen die neuen Anforderungen des AI Acts – ein kostenloser Leitfaden zeigt, was jetzt zu tun ist. Umsetzungsleitfaden zum EU AI Act kostenlos sichern

Ein weiteres Urteil vom Februar 2025 (C-383/23) bestätigte: Die Definition des „Unternehmens" für die Berechnung von Bußgeldobergrenzen folgt dem EU-Wettbewerbsrecht. Das bedeutet: Selbst ein geringfügiger Verstoß – wie das Ignorieren eines Prüfbogens – kann ein Bußgeld auf Basis des weltweiten Jahresumsatzes des gesamten Konzerns nach sich ziehen.

Die höchsten Strafen der Jahre 2025/2026 umfassen eine 45-Millionen-Euro-Buße gegen einen Telekommunikationsriesen wegen mangelnder Überwachung seiner Partneragenturen. Doch die Behörden betonen: Gute Zusammenarbeit kann strafmildernd wirken. Die EDPB-Leitlinien zur Bußgeldberechnung erkennen die proaktive Umsetzung technischer und organisatorischer Maßnahmen sowie eine transparente Reaktion auf Behördenanfragen ausdrücklich als Grund für eine Strafminderung an.

Automatisierte Aufsicht: Die neue Normalität

Die Zunahme schriftlicher Prüfungen ist Teil einer Strategie, die Aufsichtsfunktionen zu industrialisieren. Der BfDI hat kürzlich „ReguLab" eingeführt – eine spezialisierte Beratungseinheit für Künstliche Intelligenz – und entwickelt einen „Datenbarometer", um Datenschutzstandards branchenübergreifend zu messen. Diese Werkzeuge erlauben es den Behörden, Nachzügler effizient zu identifizieren und gezielt Fragebögen an risikoreiche Branchen zu versenden.

Der automatisierte Charakter dieser Erstprüfungen führt dazu, dass Schweigen von den Systemen der Behörden oft als mangelnde Compliance-Reife interpretiert wird. Unternehmen, die kein dokumentiertes Datenschutz-Managementsystem vorweisen können, werden priorisiert für Vor-Ort-Kontrollen. Compliance-Experten raten daher: Die Kosten für einen externen Datenschutzbeauftragten – zwischen 3.000 und 8.000 Euro jährlich für mittelständische Firmen – sind eine sinnvolle Versicherung gegen die deutlich höheren Kosten eines Kooperationsverstoßes.

Ausblick: Neue Regeln ab August 2026

Die regulatorische Landschaft wird sich weiter verschärfen. Am 2. August 2026 tritt der EU AI Act für Hochrisiko-Systeme vollständig in Kraft – und bringt eine zweite Strafebene mit sich. Bußgelder von bis zu 35 Millionen Euro oder 7 Prozent des globalen Umsatzes sind möglich und übertreffen damit die DSGVO-Maximalstrafen.

Der „AI Omnibus"-Deal, den das Europäische Parlament und der Rat am 7. Mai 2026 vereinbarten, zielt darauf ab, Übergänge zu vereinfachen, verschärft aber gleichzeitig die Transparenzanforderungen für KI-generierte Inhalte. Die Botschaft der Behörden ist klar: Lücken in der Dokumentation werden nicht länger als Entschuldigung für operative Fehler akzeptiert – insbesondere dann nicht, wenn der Fehler mit der Weigerung beginnt, einen einfachen Compliance-Fragebogen zu beantworten.

de | wirtschaft | 69296308 |