Eine Prüfung durch die Datenschutzbehörde ist kein Zufallsereignis. Die Behörden arbeiten mit klaren Prüfkatalogen. Wer diese kennt, kann sich vorbereiten. Wer sie nicht kennt, ist im Ernstfall schutzlos.
Die Frage ist nicht ob ein Unternehmen geprüft wird, sondern wann und wie gut es vorbereitet ist. Aufsichtsbehörden prüfen anlassbezogen auf Beschwerde hin, aber auch proaktiv. Die österreichische Datenschutzbehörde hat für ihre Schwerpunktprüfung 2026 die Sicherheit der Verarbeitung nach Art. 32 DSGVO explizit zum Prüfungsgegenstand erklärt. Andere EU-Aufsichtsbehörden veröffentlichen eigene Prüfkataloge.
Dieser Beitrag zeigt die zehn wichtigsten Prüfbereiche. Nicht als abstrakte Checkliste, sondern mit den konkreten Fragen, die Behörden stellen — und den typischen Schwachstellen, die ich in der Beratungspraxis immer wieder antreffe.
Hinweis zur österreichischen Schwerpunktprüfung 2026: Die Datenschutzbehörde hat für 2026 ausdrücklich technische und organisatorische Maßnahmen (Art. 32 DSGVO) als Prüfungsschwerpunkt benannt. Unternehmen, die hier Lücken haben, müssen mit gezielten Nachfragen rechnen.
Die 10 Prüfbereiche im Überblick
Prüfbereich 01 · Art. 30 DSGVO
Verzeichnis der Verarbeitungstätigkeiten
Dies ist oft der erste Prüfpunkt überhaupt. Das Verzeichnis ist die Grundlage jeder weiteren Prüfhandlung. Fehlt es oder ist es erkennbar veraltet, entsteht sofort weiterer Prüfungsbedarf.
Die Behörde möchte konkret wissen:
Das häufigste Problem: Das Verzeichnis wurde einmalig erstellt und seitdem nie aktualisiert. Neue Software, neue Prozesse, neue Dienstleister fehlen. Die Behörde erkennt das sofort.
Prüfbereich 02 · Art. 32 DSGVO
Technische und organisatorische Maßnahmen
Hier liegt aktuell ein besonderer Fokus vieler Aufsichtsbehörden. Die TOMs beschreiben, wie ein Unternehmen seine Daten technisch und organisatorisch schützt. Geprüft werden konkret:
Viele Unternehmen haben TOMs auf Papier. Die Behörde prüft jedoch, ob diese auch gelebt werden. Ein dokumentiertes Passwortkonzept, das niemand kennt, ist keine ausreichende Maßnahme.
Prüfbereich 03 · Art. 28 DSGVO
Auftragsverarbeitungsverträge
Fast jedes Unternehmen nutzt externe Dienstleister, die personenbezogene Daten verarbeiten. Ohne schriftlichen Auftragsverarbeitungsvertrag (AVV) fehlt die gesetzlich vorgeschriebene Grundlage.
Typische Dienstleister, für die ein AVV erforderlich ist:
Die Behörde prüft: Gibt es AVVs? Sind sie vollständig? Und werden die Dienstleister tatsächlich kontrolliert? Letzteres wird am häufigsten vernachlässigt.
Prüfbereich 04 · Art. 6 DSGVO
Rechtsgrundlagen der Datenverarbeitung
Jede Datenverarbeitung braucht eine rechtliche Grundlage. Die Behörde fragt konkret: Warum dürfen Sie diese Daten überhaupt verarbeiten?
Die häufigsten Rechtsgrundlagen nach Art. 6 DSGVO sind Einwilligung, Vertragserfüllung, gesetzliche Verpflichtung und berechtigtes Interesse. Das klingt einfach. In der Praxis können viele Unternehmen die Rechtsgrundlage für ihre eigenen Verarbeitungstätigkeiten nicht sauber benennen oder dokumentieren. Das berechtigte Interesse ist besonders fehleranfällig: Es erfordert eine nachvollziehbare Abwägung, die dokumentiert sein muss.
Prüfbereich 05 · Art. 13 / 14 DSGVO
Datenschutzerklärung
Besonders Webseiten werden häufig kontrolliert. Die Behörde prüft Vollständigkeit, Aktualität und Transparenz der Datenschutzerklärung nach den Informationspflichten aus Art. 13 und Art. 14 DSGVO.
Typische Mängel: Die Datenschutzerklärung wurde beim Website-Launch erstellt und seitdem nie angepasst. Neue Cookies, neue Analyse-Tools, neue Zahlungsdienstleister fehlen. Oder die Erklärung ist so allgemein gehalten, dass sie die tatsächlichen Datenverarbeitungen des Unternehmens nicht widerspiegelt. Eine generisch eingekaufte Mustererklärung, die nicht zum Unternehmen passt, ist für die Behörde kein ausreichender Nachweis.
Eine veraltete Datenschutzerklärung ist nicht nur ein Formfehler. Sie zeigt der Behörde, dass das Unternehmen seine eigenen Verarbeitungstätigkeiten nicht im Blick hat. Aus der Beratungspraxis von Alexander Kroes
Prüfbereich 06 · Art. 5 DSGVO
Löschkonzept
Das Löschkonzept ist ein klassischer Schwachpunkt. Die Behörde fragt:
Viele Unternehmen sammeln Daten auf unbestimmte Zeit, ohne nachvollziehbares Konzept. Der Grundsatz der Speicherbegrenzung nach Art. 5 Abs. 1 lit. e DSGVO ist in der Praxis einer der am häufigsten verletzten Grundsätze.
Prüfbereich 07 · Art. 15–22 DSGVO
Betroffenenrechte
Die DSGVO gibt betroffenen Personen umfangreiche Rechte: Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch. Die Behörde prüft, ob das Unternehmen diese Rechte auch tatsächlich umsetzen kann.
Konkrete Prüffragen: Können Auskunftsanfragen vollständig und fristgerecht bearbeitet werden? Gibt es einen definierten Prozess für Löschungsanfragen? Werden die gesetzlichen Fristen von maximal einem Monat eingehalten? Besonders Beschwerden von Betroffenen, die ihre Rechte nicht durchsetzen konnten, führen regelmäßig zu vertieften Prüfungen durch die Behörde.
Prüfbereich 08 · Art. 33 / 34 DSGVO
Datenschutzverletzungen und Meldeprozesse
Data Breaches passieren. Die Frage ist nicht ob, sondern ob das Unternehmen damit richtig umgeht. Die Behörde prüft:
Ein wichtiger Hinweis aus der Praxis: Fehlende Dokumentation ist hier oft problematischer als der Vorfall selbst. Wer einen Breach meldet und einen nachvollziehbaren Prozess vorweisen kann, wird anders behandelt als wer einen Vorfall verschleigt oder chaotisch reagiert.
Prüfbereich 09 · Art. 35 DSGVO
Datenschutz-Folgenabschätzung
Bei Verarbeitungen, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen, ist eine Datenschutz-Folgenabschätzung (DSFA) gesetzlich vorgeschrieben.
Die Behörde prüft: Wurde überhaupt geprüft, ob eine DSFA erforderlich ist? Falls ja: Ist die Risikoanalyse nachvollziehbar dokumentiert? Wurden konkrete Maßnahmen zur Risikominimierung definiert und umgesetzt? Typische Verarbeitungen, die eine DSFA erfordern können, sind umfangreiche Videoüberwachung, systematische Mitarbeiterüberwachung oder die Verarbeitung besonderer Datenkategorien (Gesundheitsdaten, biometrische Daten) in großem Umfang.
Prüfbereich 10 · Gesamtorganisation
Datenschutzorganisation
Dieser Bereich wird häufig unterschätzt, weil er weniger technisch wirkt. Dabei betrachtet die Behörde hier das gesamte Datenschutzmanagement des Unternehmens:
Eine schlecht organisierte Datenschutzstruktur signalisiert der Behörde, dass Datenschutz im Unternehmen keinen echten Stellenwert hat. Das erhöht die Wahrscheinlichkeit einer vertieften Prüfung.
Was Steuerberater und Steuerkanzleien besonders betrifft
Bei Steuerkanzleien liegen die drei sensibelsten Prüfbereiche meist in denselben Bereichen. Das hat einen einfachen Grund: Kanzleien verarbeiten große Mengen besonders sensibler Finanzdaten — und das über lange Zeiträume, mit vielen Schnittstellen nach außen.
Besondere Sensibilität: Steuerkanzleien verarbeiten regelmäßig Einkommensdaten, Vermögensverhältnisse, Bankverbindungen und in manchen Fällen auch Gesundheitskosten als steuerrelevante Informationen. Das erhöht das Schadenpotenzial im Falle einer Datenschutzverletzung erheblich — und damit auch das behördliche Interesse.
Zugriffsschutz auf Mandantendaten
Wer darf auf welche Mandantenakte zugreifen? Werden Berechtigungen geprüft, wenn Mitarbeiter das Unternehmen verlassen? Sind Homeoffice-Zugriffe auf Kanzleisoftware und DATEV-Systeme gesichert? Sind mobile Geräte bei Verlust oder Diebstahl remote löschbar? Diese Fragen stehen bei Kanzleiprüfungen regelmäßig am Anfang.
Auftragsverarbeitung durch IT-Dienstleister
Steuerkanzleien arbeiten fast immer mit externen IT-Firmen zusammen: für Software-Support, Cloud-Lösungen, Lohnabrechnungssysteme, externe Supportfirmen. Für jeden dieser Dienstleister, der Zugriff auf personenbezogene Daten hat, ist ein AVV erforderlich. Fehlt dieser, entsteht ein unmittelbarer Rechtsverstoß. Die Behörde fragt nicht nur nach dem Vorhandensein, sondern auch nach der Qualität dieser Verträge.
Mitarbeiterschulungen
Datenschutz in Kanzleien scheitert häufig nicht an technischen Lücken, sondern an ungeschulten Mitarbeitern. Der falsch adressierte E-Mail-Anhang mit Steuerbescheiden. Die unverschlüsselte Excel-Datei mit Mandantendaten auf einem USB-Stick. Das Gespräch über Mandantenangelegenheiten im öffentlichen Raum. Aufsichtsbehörden erwarten nachweisbare, regelmäßige Schulungen — nicht einmalige Belehrungen beim Eintritt.
Praxishinweis für Steuerkanzleien: Ein externer Datenschutzbeauftragter mit Erfahrung im Kanzleiumfeld kennt die typischen Prüfpunkte aus der Behördenpraxis. Er kann nicht nur die Dokumentation aufbauen, sondern auch realistische Szenarien für Mitarbeiterschulungen entwickeln — mit konkreten Kanzleisituationen statt abstrakter DSGVO-Paragrafenlektüre.
Was Sie jetzt tun können
Dieser Überblick zeigt: Eine Behördenprüfung lässt sich vorbereiten. Wer die zehn Prüfbereiche kennt und systematisch abarbeitet, kann einer Prüfung mit deutlich mehr Ruhe entgegenblicken.
Der wichtigste erste Schritt ist eine ehrliche Bestandsaufnahme. Nicht eine interne Selbsteinschätzung, sondern ein strukturierter Blick von außen. Genau das liefert das kostenlose Mini Audit: ein 60-minütiges Gespräch mit einem zertifizierten Datenschutzbeauftragten, das zeigt, wo die drei größten Lücken liegen — und was als erstes angegangen werden sollte.