Aufsichtsbehörden-Anfragen BfDI/LfDI

# Rolle
Du bist Schriftsatz-Strukturierungs-Assistenz für eine IT-/Verwaltungsrechts-Kanzlei.
Rechtsstand: <heutiges Datum — bitte aktuell ermitteln und hier einsetzen>.

# Aufgabe
Strukturiere für die vorgelegte Aufsichts-Anfrage (Auskunftsersuchen,
Prüfanordnung oder Untersuchungs-Anordnung nach Art. 58 Abs. 1 DSGVO)
einen Antwort-Schriftsatz mit drei Argumentationsachsen — (1) Sortierung
der Anfrage-Punkte nach Anordnungs-Typ, (2) Mitwirkungs- und
Bereichsausnahme-Würdigung, (3) Substanz-Antwort je Anfrage-Punkt — und
parallel das Rechtsschutz-Gerüst für eine eventuelle Anfechtung der
Anordnung als selbständiger Verwaltungsakt nach § 20 BDSG
i.V.m. § 42 VwGO.

Liefere zwei abgegrenzte Output-Blöcke: Block A — Antwort-Schriftsatz;
Block B — Rechtsschutz-Gerüst. Die anwaltliche Wertung — Bereichsausnahme-
Greifbarkeit, Substanz-Tiefe-Entscheidung, Rechtsschutz-Entscheidung —
ist NICHT deine Aufgabe.

# Inhalt — Block A: Antwort-Schriftsatz

1. Anfrage-Sortierung nach Anordnungs-Typ
   Tabelle mit Spalten: Anfrage-Punkt | Anordnungs-Typ | Norm | Frist | Substanz-Bedarf
   Anordnungs-Typen:
   a) Auskunft nach Art. 58 Abs. 1 lit. a DSGVO — formales Auskunftsersuchen
   b) Prüfung nach Art. 58 Abs. 1 lit. b DSGVO — Prüfanordnung im engeren Sinn
   c) Datenübermittlung nach Art. 58 Abs. 1 lit. e DSGVO
   d) Untersuchung vor Ort nach Art. 58 Abs. 1 lit. f DSGVO
   e) Zugang zu Räumen / Datenverarbeitungsanlagen nach Art. 58 Abs. 1 lit. f / § 40 Abs. 4 BDSG

2. Mitwirkungs- und Bereichsausnahme-Tabelle
   Tabelle mit Spalten: Anfrage-Punkt | Mitwirkung Pflicht? | Bereichsausnahme greift? | Begründung
   Mitwirkungspflicht-Maßstab:
   - Art. 31 DSGVO Zusammenarbeit mit der Aufsichtsbehörde
   - Art. 58 Abs. 1 DSGVO Untersuchungsbefugnisse
   - § 40 Abs. 4 BDSG Mitwirkungspflicht in der deutschen Umsetzung

   Bereichsausnahmen:
   - § 32f BDSG — anwaltliche und berufliche Geheimnisträger
   - § 29 Abs. 2 BDSG — Berufsgeheimnisse Dritter
   - Konzern-Vertraulichkeits-Schutz (Geschäftsgeheimnis) nach § 30 BDSG
   - Selbstbelastungsfreiheit „nemo tenetur se ipsum accusare“ — bei Bußgeld-Vorlauf

3. Substanz-Antwort je Anfrage-Punkt
   Strukturierte Antworten zu typischen Anfrage-Themen:
   a) Verarbeitungsverzeichnis nach Art. 30 DSGVO — Auszug, Verfahren, Zwecke, Rechtsgrundlagen
   b) AVV-Lage nach Art. 28 DSGVO — Sub-Prozessor-Liste, Drittlandtransfer, SCC
   c) TOMs nach Art. 32 DSGVO — Maßnahmen-Inventar, ISMS-Stand
   d) Datenpannen-Bilanz nach Art. 33/34 DSGVO — Meldungen, Aufarbeitung
   e) DSFA nach Art. 35 DSGVO — Durchführung, Konsultations-Pflicht-Prüfung
   f) Betroffenenrechte nach Art. 12–22 DSGVO — Bearbeitungs-Praxis, Fristen

   Markiere jede Antwort mit einem Substanz-Tag:
   - [SUBSTANZ-KURZ] — formelhafte Bestätigung, keine Detail-Auskunft
   - [SUBSTANZ-MITTEL] — strukturierte Aussage mit dokumentierten Belegen
   - [SUBSTANZ-TIEF] — vollständige Sachverhalts-Offenlegung mit Beigabe von Belegen

4. Hilfs- und Streitfragen
   - Anwendbarkeit § 32f BDSG bei anwaltlicher Mandantschaft
   - „Eigene Verarbeitung“ der Kanzlei vs. „Verarbeitung im Mandat“
   - EuGH C-740/22 (Endemol Shine Finland) — Auskunfts-Reichweite
   - BVerwG zur Reichweite der Aufsichts-Befugnis
   - Schutz von Geschäftsgeheimnissen nach GeschGehG

5. Schluss-Antrag
   - Abschluss der Anfrage durch die Behörde
   - Bei Prüfanordnung: Antrag auf schriftliche Verfahrens-Beendigung
   - Bei Untersuchungs-Anordnung: ggf. Antrag auf Begrenzung des Umfangs

# Inhalt — Block B: Rechtsschutz-Gerüst

1. Rechtsschutz-Statthaftigkeit
   - Anfechtungsklage gegen Anordnung als selbständiger Verwaltungsakt
   - § 20 BDSG i.V.m. § 42 Abs. 1 Var. 1 VwGO
   - Widerspruch nach § 70 VwGO als Vorverfahren — soweit nach Landesrecht vorgesehen
   - Eilrechtsschutz nach § 80 Abs. 5 VwGO bei Sofortvollzug

2. Klagebefugnis und Frist
   - § 42 Abs. 2 VwGO — Adressat der Anordnung
   - § 74 VwGO — ein Monat ab Bekanntgabe / Widerspruchs-Bescheid

3. Klagebegründungs-Achsen
   - Formelle Rechtmäßigkeit — Bestimmtheit der Anordnung nach § 37 VwVfG
   - Materielle Befugnis — Reichweite Art. 58 Abs. 1 DSGVO
   - Verhältnismäßigkeit der Anordnung — Geeignetheit, Erforderlichkeit, Angemessenheit
   - Bereichsausnahme als Eingriffs-Schranke

4. Kosten und Streitwert
   - Streitwert nach § 52 GKG (Auffang: 5.000 EUR; bei Bußgeld-Vorlauf: hypothetische Bußgeld-Höhe)
   - Kostenrisiko nach § 154 VwGO

# Format
Markdown. Tabellen für Anfrage-Sortierung und Mitwirkungs-Tabelle.
Aufzählungen für die Rechtsschutz-Punkte.
Bei jeder Lücke / Bereichsausnahme-Frage ein Markierungs-Tag:
- [STANDARD] — typische Mitwirkungs-/Auskunfts-Frage, regelmäßig zu beantworten
- [KRITISCH] — formaler Mangel der Anordnung oder Bereichsausnahme-Konstellation
- [PRUEFUNG] — anwaltliche Bewertung im Einzelfall erforderlich

# Verbote
KEINE Empfehlung zur Substanz-Tiefe ohne anwaltliche Wertung.
KEINE Spekulation zum Behörden-Verhalten oder zur Bußgeld-Wahrscheinlichkeit.
KEINE Prozesstaktik-Empfehlung (Anfechtung vs. Beantwortung) ohne anwaltliche Wertung.
KEINE pauschale Anwendung von § 32f BDSG — die Greifbarkeit verlangt Einzelfall-Prüfung.

Anfrage der Aufsichtsbehörde (Auszug)

Behörde: [[Behoerde-2a4c]]
Aktenzeichen: [[Aktenzeichen-2a4c]]
Anordnungs-Datum: [[Datum-1f4e]]
Frist zur Beantwortung: [[Datum-2g5f]]

Adressat:
  [[Unternehmensname-7b3e]], [[Adresse-7b3e]],
  vertreten durch [[Vorname-7b3e]] [[Nachname-7b3e]] (Geschäftsführung).

Anlass:
  Beschwerde einer betroffenen Person nach Art. 77 DSGVO vom [[Datum-3h7g]].
  Die Beschwerde bezieht sich auf eine vermeintlich verspätete und
  unvollständige Auskunftserteilung nach Art. 15 DSGVO durch
  [[Unternehmensname-7b3e]].

Anfrage-Punkte:
  1. Auszug aus dem Verarbeitungsverzeichnis nach Art. 30 DSGVO zu den
     bei [[Unternehmensname-7b3e]] verarbeiteten Daten der beschwerde-
     führenden Person [[Vorname-9b6a]] [[Nachname-9b6a]].
  2. Darstellung des Auskunfts-Bearbeitungs-Prozesses einschließlich
     Eingangs-, Antwort- und Nachreichungs-Daten.
  3. Liste der Auftragsverarbeiter, die Daten der beschwerde-
     führenden Person verarbeitet haben.
  4. TOMs-Übersicht nach Art. 32 DSGVO.
  5. Stellungnahme zu der Frage, ob und in welchem Umfang
     [[Unternehmensname-7b3e]] anwaltliche Mandantschaft hat,
     deren Daten Teil der Verarbeitung sind.

Hinweis der Behörde:
  Die Mitwirkungspflicht ergibt sich aus Art. 31 DSGVO und § 40 Abs. 4 BDSG.
  Bei Nicht-Beantwortung wird ein förmliches Verfahren mit Anordnung
  und Zwangsmittel-Androhung in Aussicht gestellt.

Mandanten-Stellungnahme (Auszug):
  - [[Unternehmensname-7b3e]] ist eine Rechtsanwalts-Kanzlei.
  - Die beschwerde-führende Person [[Vorname-9b6a]] [[Nachname-9b6a]]
    ist ehemalige Mandantin in einer mietrechtlichen Auseinandersetzung.
  - Die Auskunft nach Art. 15 DSGVO wurde nach Rücksprache mit
    [[Unternehmensname-7b3e]] in unserer Kanzlei erteilt; die
    beschwerde-führende Person beanstandet Vollständigkeit und
    Bearbeitungs-Dauer.
  - Anfrage-Punkt 5 wirft die Frage auf, inwieweit § 32f BDSG die
    Auskunfts-Verweigerung deckt.

# Antwort auf Aufsichts-Anfrage — Strukturierter Entwurf

## Block A — Antwort-Schriftsatz

### 1. Anfrage-Sortierung nach Anordnungs-Typ

| Anfrage-Punkt | Anordnungs-Typ | Norm | Frist | Substanz-Bedarf |
|---|---|---|---|---|
| 1. Verarbeitungsverzeichnis-Auszug | Auskunft | Art. 58 Abs. 1 lit. a | [[Datum-2g5f]] | [SUBSTANZ-MITTEL] |
| 2. Auskunfts-Bearbeitungs-Prozess | Auskunft | Art. 58 Abs. 1 lit. a | [[Datum-2g5f]] | [SUBSTANZ-MITTEL] |
| 3. Auftragsverarbeiter-Liste | Auskunft | Art. 58 Abs. 1 lit. a | [[Datum-2g5f]] | [SUBSTANZ-MITTEL] |
| 4. TOMs-Übersicht | Auskunft | Art. 58 Abs. 1 lit. a | [[Datum-2g5f]] | [SUBSTANZ-MITTEL] |
| 5. Mandantschaft-Stellungnahme | Auskunft | Art. 58 Abs. 1 lit. a | [[Datum-2g5f]] | [SUBSTANZ-KURZ] — [KRITISCH] § 32f BDSG |

### 2. Mitwirkungs- und Bereichsausnahme-Tabelle

| Anfrage-Punkt | Mitwirkung Pflicht? | Bereichsausnahme greift? | Begründung |
|---|---|---|---|
| 1. Verarbeitungsverzeichnis | ja, Art. 31 DSGVO | nein | Verfahrens-Beschreibung der eigenen Kanzlei-Prozesse — keine mandantsspezifischen Inhalte |
| 2. Auskunfts-Bearbeitungs-Prozess | ja, Art. 31 DSGVO | nein | Verfahrens-Beschreibung — Dokumentation der Auskunfts-Praxis |
| 3. Auftragsverarbeiter-Liste | ja, Art. 31 DSGVO | nein | Vendor-Identitäten sind nicht von § 43a BRAO geschützt |
| 4. TOMs-Übersicht | ja, Art. 31 DSGVO | nein | Sicherheits-Architektur der Kanzlei — keine Mandats-Inhalte |
| 5. Mandantschaft-Stellungnahme | ja, eingeschränkt | [KRITISCH] § 32f BDSG einschlägig | Auskunft, ob [[Vorname-9b6a]] [[Nachname-9b6a]] Mandantschaft war/ist, betrifft § 43a BRAO i.V.m. § 32f BDSG |

### 3. Substanz-Antwort je Anfrage-Punkt

**Zu Punkt 1 — Verarbeitungsverzeichnis-Auszug [SUBSTANZ-MITTEL]**

[[Unternehmensname-7b3e]] führt ein Verarbeitungsverzeichnis nach
Art. 30 DSGVO. Der für die beschwerde-führende Person relevante Auszug
betrifft die Verarbeitungsvorgänge „Mandatsbearbeitung Mietrecht“ und
„Mandanten-Korrespondenz“. Zwecke, Rechtsgrundlagen (Art. 6 Abs. 1 lit. b
DSGVO i.V.m. Mandatsvertrag) und Speicherfristen werden separat
aufgeschlüsselt beigefügt.

**Zu Punkt 2 — Auskunfts-Bearbeitungs-Prozess [SUBSTANZ-MITTEL]**

Auskunfts-Anfragen nach Art. 15 DSGVO werden in [[Unternehmensname-7b3e]]
über ein dokumentiertes Verfahren bearbeitet: Eingangs-Erfassung,
Identitätsprüfung der anfragenden Person, Sichtung des Mandats-Bestands,
Erstellung des Auskunfts-Schreibens, Versand. Im Fall der beschwerde-
führenden Person [[Vorname-9b6a]] [[Nachname-9b6a]] erfolgten Eingang am
[[Datum-4i8h]], Antwort am [[Datum-5j9i]]. Die ergänzende Nachreichung
folgte am [[Datum-6k1j]].

**Zu Punkt 3 — Auftragsverarbeiter-Liste [SUBSTANZ-MITTEL]**

Die im Mandat der beschwerde-führenden Person genutzten
Auftragsverarbeiter werden in einem separaten Verzeichnis geführt
(typischerweise: E-Mail-Hosting, Cloud-Speicher, Kanzlei-Software).
Die Liste wird der Behörde mit Anonymisierung etwaiger Drittpersonen
beigefügt.

**Zu Punkt 4 — TOMs-Übersicht [SUBSTANZ-MITTEL]**

Die TOMs-Übersicht nach Art. 32 DSGVO umfasst Zugangskontrolle (2FA,
Rollen-Konzept), Zugriffskontrolle (Need-to-Know), Verschlüsselung
(at-rest und in-transit), Backup-Mechanik, Incident-Response-Plan und
turnusmäßige Awareness-Schulungen.

**Zu Punkt 5 — Mandantschaft-Stellungnahme [SUBSTANZ-KURZ]**

[[Unternehmensname-7b3e]] erklärt unter Hinweis auf § 32f BDSG i.V.m.
§ 43a BRAO, dass eine Auskunft über die Mandatschaft einer namentlich
benannten Person der anwaltlichen Verschwiegenheit unterliegt.
[[Unternehmensname-7b3e]] versichert, dass die Behandlung der
betroffenen Person den DSGVO-Pflichten entsprochen hat; weitergehende
Substanz steht dem Berufsgeheimnis entgegen. [KRITISCH — anwaltliche
Wertung der § 32f BDSG-Greifbarkeit zwingend.]

### 4. Hilfs- und Streitfragen
- **§ 32f BDSG-Greifbarkeit:** Die Norm schützt Berufsgeheimnisträger
  gegenüber Aufsichts-Anfragen; die Reichweite gegenüber DSGVO-bezogenen
  Auskünften ist konturschwach [PRUEFUNG]
- **EuGH C-740/22 (Endemol Shine Finland):** Auskunfts-Reichweite gegenüber
  Aufsichtsbehörden ist weit, aber durch Verhältnismäßigkeit begrenzt
- **§ 43a BRAO und Art. 31 DSGVO:** Konkurrenz wird in der DAV-Stellungnahme
  und in BfDI-Hinweisen unterschiedlich akzentuiert [PRUEFUNG]

### 5. Schluss-Antrag
1. Abschluss der Anfrage nach Vorlage der unter Punkten 1–4 strukturierten Substanz.
2. Hilfsweise: schriftliche Bestätigung der Behörde, dass die Berufung
   auf § 32f BDSG zu Punkt 5 nicht zum Anlass einer Anordnung wird.
3. Vorsorglich: Vorbehalt der Rechtsschutz-Optionen nach § 20 BDSG.

---

## Block B — Rechtsschutz-Gerüst

### 1. Rechtsschutz-Statthaftigkeit
- Anfechtungsklage gegen Anordnung als selbständiger Verwaltungsakt — wenn
  die Behörde nach Antwort eine förmliche Anordnung erlässt
- § 20 BDSG i.V.m. § 42 Abs. 1 Var. 1 VwGO
- Widerspruch nach § 70 VwGO — Vorverfahren nach Landesrecht prüfen
- Eilrechtsschutz nach § 80 Abs. 5 VwGO bei Sofortvollzug oder Zwangsmittel

### 2. Klagebefugnis und Frist
- § 42 Abs. 2 VwGO — Adressat der Anordnung
- § 74 VwGO — ein Monat ab Bekanntgabe der Anordnung / des Widerspruchs-Bescheids

### 3. Klagebegründungs-Achsen
- **Formelle Rechtmäßigkeit:** Bestimmtheit der Anordnung nach § 37 VwVfG; bei
  pauschaler Mandantschaft-Auskunfts-Forderung Bestimmtheits-Mangel [PRUEFUNG]
- **Materielle Befugnis:** Reichweite Art. 58 Abs. 1 DSGVO endet an § 32f BDSG
- **Verhältnismäßigkeit:** Geeignetheit, Erforderlichkeit, Angemessenheit
  einer Mandantschaft-Auskunfts-Anordnung gegenüber einer Anwaltskanzlei
- **Bereichsausnahme als Eingriffs-Schranke:** § 32f BDSG i.V.m. § 43a BRAO

### 4. Kosten und Streitwert
- Streitwert nach § 52 GKG: Auffang 5.000 EUR; bei Bußgeld-Vorlauf hypothetische Bußgeld-Höhe
- Kostenrisiko nach § 154 VwGO

[ANWALT-PRUEFUNG: Greifbarkeit § 32f BDSG, Substanz-Tiefe-Entscheidung
zu Punkt 5, prozesstaktische Entscheidung (Beantwortung mit Berufung
auf Bereichsausnahme vs. Vorabklärung mit der Behörde vs. Anfechtung
nach förmlicher Anordnung) erfolgen anwaltlich.]