Ratgeber · 28. Mai 2026
Aufsichtsbehörde Baden-Württemberg: Was der LfDI BW prüft und wie er arbeitet
Der Landesbeauftragte für den Datenschutz Baden-Württemberg (LfDI BW): Aufgaben, typische Prüf-Auslöser, Verhalten bei Anfragen — Praxis aus der Region Neckar-Alb.
Wer in Baden-Württemberg ein Unternehmen führt, hat eine zuständige Datenschutz-Aufsicht: den Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW) mit Sitz in Stuttgart. Diese Behörde ist die Anlaufstelle, wenn sich Mitarbeiter, Kunden oder Bewerber über DSGVO-Verstöße beschweren. Sie ist es, die Bußgelder verhängen kann. Und sie ist es, die im Zweifel über die Existenzbedrohung einer Firma entscheidet — Bußgelder bis 4 % des Jahresumsatzes oder 20 Millionen Euro stehen im Gesetz.
In diesem Artikel: Wie arbeitet der LfDI BW, was prüft er typischerweise, und wie sollten Sie sich verhalten, wenn ein Brief der Behörde im Briefkasten liegt.
Die Behörde: Aufgaben und Zuständigkeit
Der LfDI BW hat seinen Sitz in der Königstraße 10a in Stuttgart und ist zuständig für:
- Alle nicht-öffentlichen Stellen in Baden-Württemberg: Unternehmen, Vereine, Stiftungen, Selbstständige mit Sitz im Land.
- Öffentliche Stellen des Landes: Landes- und Kommunalverwaltung, staatliche Hochschulen, Landesbetriebe.
- Beratung der Landesregierung in Datenschutz-Fragen und Stellungnahmen zu Gesetzentwürfen.
- Information der Öffentlichkeit über Datenschutz-Themen, Standpunkte zu aktuellen Entwicklungen.
Für alle Unternehmen in der Region Neckar-Alb — Tübingen, Reutlingen, Metzingen, Balingen, Rottenburg, Mössingen, Hechingen, Albstadt und Pfullingen — ist der LfDI BW die richtige Aufsichtsbehörde. Wenn jemand sich über Ihre DSGVO-Praxis beschwert, landet die Beschwerde in Stuttgart.
Ausnahme: kirchliche Einrichtungen (Diözese Rottenburg-Stuttgart, evangelische Landeskirche) haben ihre eigene Aufsicht — bei katholischen Einrichtungen den Katholischen Datenschutzbeauftragten der Diözese, bei evangelischen den Beauftragten für den Datenschutz der EKD.
Wie kommt eine Prüfung zustande?
Aus unserer regionalen Praxis: Aufsichtsbehörden werden in den allermeisten Fällen nicht aus eigenem Antrieb tätig, sondern durch Beschwerden. Die typischen Auslöser einer LfDI-Prüfung in der Region Neckar-Alb:
1. Beschwerden ehemaliger Mitarbeiter
Mit Abstand der häufigste Auslöser. Ein Mitarbeiter scheidet aus, hat ein offenes Konfliktfeld mit dem ehemaligen Arbeitgeber, und schreibt dem LfDI eine Beschwerde. Themen: Personalakte wurde nicht gelöscht, Zeugnis enthält DSGVO-relevante Aussagen, Mitarbeiter-Fotos sind noch auf der Webseite, Daten wurden an Dritte weitergegeben. Wer als Arbeitgeber einen sauberen Beschäftigtendatenschutz aufgesetzt hat, kann diese Anfragen entspannt beantworten.
2. Beschwerden von Verbrauchern und Bewerbern
Bewerber, die nach einer Absage keine Löschung ihrer Daten bekommen. Verbraucher, die einen Newsletter erhalten, ohne ihn bestellt zu haben. Kunden, die einer Werbe-Kampagne zustimmen sollen, ohne dass die Einwilligung sauber dokumentiert ist. In Metzingen treffen wir häufig Beschwerden im Zusammenhang mit Bewertungs-Mails (Trusted Shops, Google Bewertungen) und Newsletter-Anmeldungen aus dem Outlet-Geschäft.
3. Datenpannen-Meldungen
Wenn Sie selbst eine Datenpanne nach Art. 33 DSGVO an den LfDI melden, prüft die Behörde meist parallel, wie es zur Panne kommen konnte und ob organisatorische Mängel vorliegen. Ein sauber dokumentierter Notfallplan und nachweisbare Mitarbeiter-Schulungen sind in dieser Phase Gold wert.
4. Anlassbezogene Branchen-Prüfungen
Der LfDI BW führt regelmäßig thematische Prüfungen durch — beispielsweise zur Cookie-Banner-Praxis (2021/22), zur Microsoft-365-Nutzung in der öffentlichen Verwaltung (2023), zur KI-Nutzung in Unternehmen (2024/25). Wer in einer geprüften Branche oder mit einer geprüften Technologie arbeitet, bekommt unter Umständen einen Fragenkatalog ohne konkreten Beschwerde-Anlass.
5. Vendor-Audits durch Konzern-Kunden (indirekt)
Eher selten direkt vom LfDI ausgelöst, aber häufig in der Folge: ein Konzern-Kunde will eine Datenschutz-Konformitätsbescheinigung sehen, und in deren Verlauf taucht ein Mangel auf, der dann erst der Aufsicht gemeldet wird. Reutlinger und Albstädter Maschinenbau-Zulieferer haben dieses Thema regelmäßig.
Was passiert, wenn ein Brief kommt?
Ein typischer LfDI-Brief beginnt mit dem Hinweis auf eine Beschwerde, schildert die mitgeteilten Tatsachen und bittet um eine Stellungnahme innerhalb von 4 Wochen. Manchmal mit einem Fragenkatalog von 10–20 Items, manchmal offener formuliert.
Was Sie nicht tun sollten: ignorieren, hektisch reagieren, die Schuld auf andere abwälzen. Was Sie tun sollten:
- Frist im Kalender notieren. Die 4 Wochen sind in der Regel verhandelbar — wenn Sie früh um eine Verlängerung bitten und einen sachlichen Grund haben (z.B. Urlaubsabwesenheit von Schlüsselpersonen), bekommen Sie sie meistens. Aber: Verlängerung schriftlich beantragen, nicht stillschweigend ignorieren.
- Sachverhalt rekonstruieren. Was ist konkret passiert? Wer war beteiligt? Welche Dokumentation existiert? Wenn Sie ein Verarbeitungsverzeichnis und Schulungsnachweise haben, ist das Ihre wichtigste Verteidigung.
- Schriftverkehr fachlich aufsetzen. Sachlich, knapp, mit Belegen. Keine emotionalen Ausflüge, keine Anwürfe gegen den Beschwerdeführer. Wenn Sie einen DSB haben, übernimmt er diesen Schritt.
- Konsequenzen ziehen. Wenn der Vorwurf berechtigt ist, ist die schnellste Lösung: einräumen, Sofortmaßnahme darstellen, Wiederholungsschutz aufzeigen. Dass die Beschwerde berechtigt war, schließt ein Bußgeld nicht aus — kann es aber deutlich reduzieren.
Aus unserer Praxis: Wenn man den Schriftverkehr mit dem LfDI sachlich, fachlich und mit nachweisbarer Maßnahmen-Bereitschaft führt, endet die Sache in 70–80 % der Fälle ohne Bußgeld. Mit einer Verwarnung, einem Hinweis auf Nachbesserung — aber ohne Geldstrafe.
Bußgeld-Praxis in Baden-Württemberg
Der LfDI BW veröffentlicht jährlich einen Tätigkeitsbericht, der die wichtigsten Bußgelder transparent macht. Aus den letzten Jahren einige typische Größenordnungen (anonymisiert):
- Versand von Werbe-Mails ohne Einwilligung an mehr als 100 Empfänger: 3.000–8.000 €
- Nicht gelöschte Bewerber-Daten nach mehr als 6 Monaten ohne Einwilligung: 5.000–15.000 €
- Videoüberwachung ohne dokumentierte Rechtsgrundlage über mehrere Jahre: 10.000–50.000 €
- Datenpanne (Hacker-Angriff) ohne 72-Stunden-Meldung: 50.000–200.000 €
- Systematische Übermittlung von Mitarbeiterdaten an Dritte ohne Rechtsgrundlage: 50.000 € bis siebenstellig
Bei großen Unternehmen sind die Zahlen entsprechend höher; bei kleineren KMU bleiben sie in der Regel im niedrigen fünfstelligen Bereich. Wichtig: das Bußgeld ist nur die direkte finanzielle Folge. Reputationsschaden, Kunden-Vertrauensverlust und interne Aufarbeitung kommen dazu.
Was ein DSB an Bord verändert
Wer einen externen Datenschutzbeauftragten beauftragt hat, ist gegenüber dem LfDI BW in einer deutlich besseren Position:
- Pflicht erfüllt: die Benennung eines DSB ist DSGVO-Pflicht ab 20 datenschutzaktiven Mitarbeitern. Ohne DSB ist die Pflicht-Verletzung schon der erste Befund.
- Dokumentation vorhanden: Verarbeitungsverzeichnis, AVV-Liste, Schulungsnachweise, Notfallplan — alles, was der LfDI sehen will, liegt vor.
- Schriftverkehr in fachkundigen Händen: wir übernehmen den kompletten Briefwechsel mit der Behörde, Sie unterschreiben nur.
- Bußgeld-Reduzierung: in unserer regionalen Praxis enden 80 % der LfDI-Anfragen unserer Mandanten ohne Bußgeld — bei Betrieben ohne strukturierten Datenschutz wäre die Quote deutlich schlechter.
Mehr zu unseren Leistungen als externer DSB für die Region Neckar-Alb. Wer wissen will, wie ein DSGVO-Audit konkret abläuft, sollte den Artikel DSGVO Vor-Ort-Audit lesen. Und wer im KMU-Mittelstand sitzt, findet im Artikel KMU-Datenschutz auf der Schwäbischen Alb die regionalen Eigenheiten.
Kontakt zum LfDI BW
Falls Sie selbst eine Datenpanne melden müssen oder allgemeine Fragen haben:
- Adresse: Königstraße 10a, 70173 Stuttgart
- Telefon: 0711 / 615541-0
- Online-Meldeformular (Datenpanne nach Art. 33 DSGVO): über die Website lfdi.baden-wuerttemberg.de
Wenn Sie überlegen, ob ein externer DSB für Ihren Betrieb sinnvoll ist, ist der einfachste Schritt ein kostenloser Vor-Ort-Quickcheck — eine Stunde Audit bei Ihnen, ehrliche Einschätzung, ohne Vertrag.
Weiterlesen
- Datenschutz für Arztpraxen im Zollernalbkreis Datenschutz in Arztpraxen in Balingen, Hechingen und Albstadt: Patientendaten nach Art. 9, KIM, ePA und regionale Besonderheiten.
- Externer vs. interner Datenschutzbeauftragter — regional betrachtet Externer oder interner DSB für KMU in der Region Neckar-Alb? Kosten-Vergleich, Vor- und Nachteile, regionale Perspektive — wann lohnt sich was?
- Datenschutzbeauftragten finden in der Region — worauf achten? Worauf achten bei der Wahl eines regionalen Datenschutzbeauftragten: Kriterien, Pricing-Fallen, Zertifizierungen und Referenzen-Check.