Behördenpost vom HmbBfDI: Was Sie jetzt tun sollten — und was nicht

Es ist ein Brief mit blauem Hamburg-Wappen oder eine E-Mail mit der Domain datenschutz-hamburg.de als Absender. Der Betreff: „Auskunftsersuchen gemäß Art. 58 DSGVO” oder ähnlich. Oder einfach: „Beschwerdeverfahren”.

Die meisten Geschäftsführer reagieren auf einen solchen Brief mit einem Mix aus Schock, Aktionismus und dem Wunsch, „die Sache schnell vom Tisch zu haben”. Genau das ist gefährlich.

Was der HmbBfDI tatsächlich tun darf

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat seine Befugnisse aus Art. 58 DSGVO und § 40 BDSG. Konkret:

• Auskünfte verlangen — Sie müssen ehrlich antworten
• Vor-Ort-Prüfungen durchführen — mit Voranmeldung, in besonderen Fällen auch ohne
• Anweisungen erteilen — z. B. eine Verarbeitung zu beenden oder Daten zu löschen
• Verwarnungen aussprechen
• Bußgelder verhängen — bis 20 Mio. € oder 4 % des Jahresumsatzes
• Verarbeitungsverbote aussprechen — der schärfste Eingriff

Was er nicht tun darf: Sie unter Druck setzen, ohne Anhörung zu sanktionieren oder ohne Anlass zu „besichtigen”. Sie haben Verfahrensrechte. Aber: Diese Rechte muss man kennen und nutzen können.

Die drei häufigsten Anlässe für eine HmbBfDI-Anfrage

1. Beschwerde durch einen Betroffenen. Ein Kunde, Mitarbeiter oder Bewerber hat sich beim HmbBfDI beschwert. Typische Auslöser:

• „Ich habe Werbung von Firma X bekommen, obwohl ich nie eingewilligt habe.”
• „Ich habe vor zwei Jahren ein Vorstellungsgespräch gehabt, ich vermute meine Daten sind noch gespeichert.”
• „Die Firma hat meiner Auskunftsersuchen nach Art. 15 DSGVO nicht beantwortet.”

2. Branchenschwerpunkt. Der HmbBfDI legt jährlich Prüfschwerpunkte fest. 2026 z. B.:

• Cookie-Banner und Einwilligungsmanagement
• Beschäftigtendatenschutz (E-Mail-Monitoring, Geo-Tracking, Mitarbeiter-Bewertung)
• KI im Personalwesen (HR-Tech-Tools, automatisches CV-Scoring)

3. Eigene Meldung. Sie haben selbst eine Datenpanne nach Art. 33 DSGVO gemeldet. Der HmbBfDI fragt nach: Wie konnte es passieren? Welche Maßnahmen wurden getroffen?

Was Sie SOFORT tun sollten — und was nicht

Sofort tun:

1. Datum der Anfrage notieren und Frist im Kalender markieren — meist 2–4 Wochen
2. Datenschutzbeauftragten informieren — extern oder intern
3. Den Anlass herausfinden — woher kommt die Anfrage? Beschwerde, Audit, Folgefrage?
4. Alle relevanten Unterlagen sichten — VVT, AVV, TOMs, ggf. Schulungsnachweise

Nicht tun:

1. Selbst antworten ohne Datenschutzberatung — das ist der häufigste Fehler. Sie versprechen vielleicht Maßnahmen, die Sie technisch nicht umsetzen können, oder Sie verschweigen versehentlich relevante Punkte, die später als „mangelnde Mitwirkung” ausgelegt werden.
2. Stillschweigen — Wer Fristen verstreichen lässt, signalisiert Verweigerung. Das verschlechtert Ihre Position massiv.
3. Defensive Sprache — „Das ist alles ein Missverständnis” ist eine Phrase, die nicht hilft. Liefern Sie Fakten.
4. Anwalt einschalten als Erstreaktion — bei einer Auskunftsanfrage ist das Overkill und kann den HmbBfDI eskalieren lassen. Erst wenn ein Bußgeldverfahren droht, wird ein Anwalt sinnvoll.

Wie eine gute Antwort aussieht

Wir haben in den letzten zwölf Monaten neun Mandanten durch HmbBfDI-Anfragen begleitet. Eine gute Antwort:

• Beginnt mit einer kurzen Bestätigung, dass die Anfrage angekommen ist
• Geht strukturiert auf jede Einzelfrage ein (am besten als nummerierte Liste)
• Enthält Belege — Screenshots aus dem VVT, Auszüge aus Schulungsnachweisen, AVV-Verträge
• Gibt konkrete Maßnahmen an, die ergriffen wurden, mit Datum
• Bleibt sachlich und vermeidet Rechtfertigungs-Floskeln
• Schließt mit der Bitte um weitere Hinweise, falls die Antwort unzureichend war

Wichtig: Der HmbBfDI ist eine Behörde mit Mitarbeitern. Diese Mitarbeiter sehen täglich Antworten und haben einen sehr guten Eindruck davon, wann ein Unternehmen seine Hausaufgaben macht und wann nicht. Eine professionelle, vollständige Antwort verbessert Ihre Position erheblich.

Wann wird es ernst — und ein Bußgeld droht?

Aus unserer Praxis sind das die Fälle, in denen Bußgelder verhängt werden:

• Wiederholte Verstöße — der HmbBfDI hat Sie schon mehrfach verwarnt
• Mangelnde Mitwirkung — Anfragen werden ignoriert, Fristen verstreichen
• Vorsätzliche Verstöße — Sie wussten von der Pflicht und haben sie bewusst ignoriert
• Schwerwiegende Datenpannen — z. B. Verlust von Gesundheitsdaten ohne Verschlüsselung
• Werbewidersprüche — wenn Sie Newsletter ohne Einwilligung verschicken und Betroffene sich wiederholt beschweren

In allen anderen Fällen — insbesondere bei einmaligen Vorfällen mit transparenter Reaktion — endet das Verfahren in der Regel ohne Bußgeld.

Konkrete Hilfe: So gehen wir vor

Wenn ein Mandant eine HmbBfDI-Anfrage bekommt, läuft das bei uns standardisiert ab:

Tag 1: Anruf, Anfrage durchgehen, Sofortmaßnahmen identifizieren Tag 2–5: Zusammenstellung aller relevanten Unterlagen aus der Hugo-DSB-Plattform Tag 5–10: Erstellung der Antwort, Abstimmung mit Geschäftsführung Tag 10–14: Einreichung der Antwort mit Belegen Tag 14+: Begleitung etwaiger Rückfragen oder Folgefristen

In den letzten zwölf Monaten hatten wir neun HmbBfDI-Verfahren — alle ohne Bußgeld abgeschlossen.

Was Sie jetzt machen sollten

Wenn Sie gerade einen Brief in der Hand halten: 040 57308220-0. Wir machen ein 30-minütiges Erstgespräch, sehen uns die Anfrage an, und besprechen die nächsten Schritte. Auch wenn Sie aktuell keinen externen DSB haben — wir können kurzfristig einspringen.

Wenn Sie noch keinen Brief haben, aber wissen, dass Ihr Datenschutz Lücken hat: Setzen Sie sich vorher hin. Es ist deutlich entspannter, Lücken im Vorfeld zu schließen als unter Behördendruck.