---
name: gdpr-fine-parallel
description: "Koordiniert parallele DSGVO-Bußgeldverfahren mit Internal Investigations – Aufsichtsbehörden-Kommunikation, Selbstbelastungsschutz, Kooperation im Internal Investigations Praxis."
---

# Parallele DSGVO-Bußgeldverfahren

## Arbeitsweg

- Rolle, Ziel und gewünschtes Arbeitsprodukt klären: Wer handelt, welche Entscheidung steht an, welche Frist läuft und welcher Output wird gebraucht?
- Fristen und Eilrisiken zuerst markieren: die im Fachgebiet einschlägigen Verfahrens-, materiellen und Anmeldefristen vorab markieren und nicht aus Modellwissen finalisieren (insbesondere Widerspruch 1 Monat, Klage 1 Monat, Verjährung §§ 195, 199 BGB / spezialgesetzlich).
- Tragende Normen verifizieren: DSGVO Art. 5, 6, 7, 9, 12-22, 25, 28, 30, 32, 33-34, 35, 51-58, 77-83, BDSG §§ 22-25, 26, 30; StPO §§ 53, 97, 102, 110, 136, 137, 152, 153a, BGB §§ 280, 626, BRAO § 43a, GwG, AntiDopG, HinSchG; StPO; HinSchG — Fundstellen über gesetze-im-internet.de, dejure.org, openJur, BVerfG-/BGH-/EuGH-Datenbank live prüfen; keine Modellwissen-Zitate.
- Zuständige Stelle bestimmen und Adressaten richtig wählen: Mandant, Gegner, zuständige Behörde oder Gericht, Sachverständige, ggf. EU-/internationale Stelle (siehe Skill-Detail).
- Dokumente und Beweismittel sammeln und auf Lücken prüfen: Verwaltungsakte, Vertragsurkunden, Schriftsätze, Bescheide, Protokolle, Sachverständigengutachten und externe Beweismittel des Fachgebiets — fehlende Belege durch Akteneinsicht oder Rückfrage beim Mandanten beschaffen, Live-Check für tagesaktuelle Normänderungen und Verwaltungspraxis.

## Rechtlicher Rahmen

DSGVO-Verstöße können Bußgelder bis 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes auslösen (Art. 83 DSGVO, [eur-lex.europa.eu](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679)). Die Datenschutzaufsichtsbehörden der Länder (z. B. BayLDA, HmbBfDI, BfDI) führen eigene Verfahren und können parallel zu einer Internal Investigation Untersuchungen einleiten. Der Konflikt zwischen kooperativer Behördenstrategie und Selbstbelastungsschutz ist besonders scharf, weil die DSGVO einerseits Kooperation honoriert (Art. 83 Abs. 2 DSGVO), aber keine formelle Kronzeugenregel kennt.

## Ziel dieses Skills

Dieser Skill koordiniert die parallele Führung von Internal Investigation und DSGVO-Aufsichtsverfahren und minimiert das Risiko, dass die Untersuchungsergebnisse das behördliche Verfahren unkontrolliert beeinflussen.

## Arbeitsprogramm

### 1. Parallelität identifizieren
- Liegt bereits eine Beschwerde bei der Datenschutzbehörde vor?
- Hat die Behörde von Amts wegen Ermittlungen eingeleitet (Art. 57 Abs. 1 lit. a DSGVO)?
- Ist eine Datenpanne gemeldet worden (Art. 33 DSGVO), die nun zum Ausgangspunkt einer Untersuchung wird?
- Timeline: wann wurde welche Behörde auf welchem Weg informiert?

### 2. Selbstbelastungsschutz (nemo tenetur) im DSGVO-Verfahren
- Unternehmen: kein formelles nemo-tenetur-Recht, aber Verhältnismäßigkeitsgrundsatz und Verfahrensrechte.
- Stellungnahmen gegenüber Aufsichtsbehörde können in späteren Bußgeldverfahren verwendet werden.
- Vorsicht: übermäßige Selbstoffenbarung kann eigene Interessen schädigen; Abstimmung mit Anwalt zwingend.
- EuGH-Rechtsprechung: Kooperationspflicht hat Grenzen bei der Offenbarung von Informationen, die strafbar sind.

### 3. Koordination Internal Investigation und Aufsichtsverfahren
- Paralleluntersuchung muss dieselben Fakten klären, aber unterschiedliche Adressaten bedienen.
- Internal Investigation: vollständige Sachverhaltsaufklärung für das Unternehmen.
- Aufsichtsverfahren: kontrollierte Kommunikation, keine Vorwegnahme von Ergebnissen ohne Strategie.
- Kein vollständiger Untersuchungsbericht an Aufsichtsbehörde ohne Privilegierungsanalyse.

### 4. Art. 83 DSGVO – Bußgeldbemessung und Kooperationsanreize
- Art. 83 Abs. 2 lit. f DSGVO: Zusammenarbeit mit der Aufsichtsbehörde zur Abhilfe des Verstoßes ist strafmildernder Faktor.
- Proaktive Meldung nach Art. 33 DSGVO vor Behördenentdeckung: Kooperationsbonus.
- Art. 83 Abs. 2 lit. c: Kategorie personenbezogener Daten und Schwere des Schadens als Erschwernis.
- Gegenmaßnahmen und Remediation bereits während der Untersuchung einleiten.

### 5. Grenzüberschreitende Verfahren (One-Stop-Shop)
- Art. 56 DSGVO: federführende Aufsichtsbehörde ist die des Hauptsitzes des Unternehmens (One-Stop-Shop).
- Art. 60 DSGVO: Kohärenzverfahren zwischen Aufsichtsbehörden; Europäischer Datenschutzausschuss (EDSA).
- Bei mehreren betroffenen Mitgliedstaaten: koordinierte Strategie für alle nationalen Behörden.

### 6. Betroffenenrechte im Parallelverfahren
- Betroffene können Auskunftsrecht (Art. 15 DSGVO) geltend machen – auch zu Untersuchungsdokumenten.
- § 29 BDSG: Einschränkung des Auskunftsrechts während laufender Untersuchung.
- Kein Recht auf Akteneinsicht im Aufsichtsverfahren für Betroffene, aber Recht auf Stellungnahme.
- Koordination: keine widersprüchlichen Aussagen gegenüber Betroffenen und Behörde.

### 7. DSGVO-Compliance-Remediation
- Unmittelbare Behebung des Verstoßes (Art. 83 Abs. 2 lit. f DSGVO honoriert dies ausdrücklich).
- Datenschutz-Folgenabschätzung (Art. 35 DSGVO) für betroffene Prozesse.
- Verfahrensverzeichnis (Art. 30 DSGVO) aktualisieren.
- Schulung und Awareness-Programm.
- DSB mit ausreichenden Ressourcen ausstatten (Art. 38 Abs. 2 DSGVO).

## Red-Team-Fragen

- Gibt es Stellungnahmen gegenüber der Datenschutzbehörde, die im Bußgeldverfahren gegen das Unternehmen verwendet werden könnten?
- Wurde die Kooperation mit der Behörde als Bußgeld-mildernder Faktor bewusst eingesetzt?
- Sind alle Betroffenen-Rechts-Anfragen (Art. 15 DSGVO) korrekt beantwortet – und sind die Antworten konsistent mit den Behördenaussagen?
- Hat das Unternehmen die Datenpanne rechtzeitig gemeldet (Art. 33: 72 Stunden), oder liegt eine Verletzung der Meldepflicht vor?
- Wurde die federführende Aufsichtsbehörde (One-Stop-Shop, Art. 56) korrekt identifiziert?
- Sind die Remediation-Maßnahmen bereits eingeleitet und dokumentiert?

## Normenregister

| Norm | Inhalt | Quelle |
|---|---|---|
| Art. 83 DSGVO | Bußgelder | [eur-lex.europa.eu](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679) |
| Art. 33 DSGVO | Datenpannenmeldung | [eur-lex.europa.eu](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679) |
| Art. 56 DSGVO | One-Stop-Shop | [eur-lex.europa.eu](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679) |
| § 29 BDSG | Einschränkung Auskunftsrecht | [gesetze-im-internet.de](https://www.gesetze-im-internet.de/bdsg_2018/__29.html) |

## Ausgabeformate

- **Parallelverfahren-Koordinationsplan** (Investigation × Aufsichtsverfahren)
- **Behördenkommunikations-Strategie** (kontrollierte Offenbarung)
- **Bußgeldbemessungs-Analyse** (Art. 83 Faktoren)
- **Remediation-Nachweis** für Aufsichtsbehörde
- **Art.-15-Anfragen-Antwortprotokoll**

Rechtsprechungszitate nur mit Gericht, Datum, Aktenzeichen und frei prüfbarer Quelle.