Datenschutz-Audit nach der DSGVO: Ablauf, Kosten & Umsetzung

Ein Datenschutz-Audit ist eine systematische Überprüfung der Datenschutzorganisation, der Dokumentation sowie der praktischen Umsetzung von Datenschutzmaßnahmen in einem Unternehmen. Das Ziel besteht darin, die Einhaltung der Datenschutz-Grundverordnung (DSGVO) sicherzustellen und mögliche Compliance-Risiken frühzeitig zu identifizieren.
Relevante Rechtsgrundlagen sind insbesondere:

• Art. 5 DSGVO (Rechenschaftspflicht),
• Art. 24 DSGVO (Verantwortung des Verantwortlichen),
• Art. 30 DSGVO (Verzeichnis von Verarbeitungstätigkeiten),
• Art. 32 DSGVO (TOM),
• Art. 35 DSGVO (Datenschutz-Folgenabschätzung)

Ein Datenschutz-Audit ist kein explizit vorgeschriebenes Instrument der DSGVO, ergibt sich jedoch mittelbar aus der Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO.

Ein Datenschutzaudit ist sinnvoll, wenn ein Unternehmen personenbezogene Daten nach der Datenschutz-Grundverordnung (DSGVO) verarbeitet und seine Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO sowie die Anforderungen aus Art. 24, 30 und 32 DSGVO strukturiert überprüfen möchte.

Unabhängig von Größe oder Branche können Unternehmen jederzeit von einer Aufsichtsbehörde geprüft werden. Ein Audit schafft Transparenz über die Dokumentation und Praxis, etwa beim Verzeichnis von Verarbeitungstätigkeiten (VVT), bei Auftragsverarbeitungsverträgen (AVV) oder bei technischen und organisatorischen Maßnahmen (TOM) und hilft, Risiken frühzeitig zu identifizieren.

Folgende Fragen geben eine erste Einschätzung:

• Ist – sofern erforderlich – ein Datenschutzbeauftragter benannt?
• Sind insbesondere Sales und Marketing mit den DSGVO-Vorgaben vertraut?
• Sind IT-Systeme technisch abgesichert (z. B. Firewall, Zugriffskonzepte, Verschlüsselung)?
• Bestehen mit allen IT-Dienstleistern Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO, und wurden die technischen und organisatorischen Maßnahmen (TOM) geprüft?
• Sind alle Verarbeitungstätigkeiten dokumentiert und in ein Sicherheitskonzept eingebunden?
• Sind Büroräume, Archive und Serverumgebungen physisch geschützt?
• Werden personenbezogene Daten nur auf Basis einer gültigen Rechtsgrundlage verarbeitet?
• Werden Einwilligungen – etwa im Marketing – rechtssicher per Double-Opt-in eingeholt?

Wenn mehrere dieser Fragen nicht eindeutig mit „Ja“ beantwortet werden können, ist eine strukturierte Überprüfung der Datenschutzorganisation dringend empfehlenswert.

Ein Datenschutz-Audit kann sowohl intern durch den Datenschutzbeauftragten oder ein Datenschutz-Team als auch extern durch spezialisierte Auditoren durchgeführt werden. Welche Variante sinnvoll ist, hängt von Unternehmensgröße, Risikoprofil und Zielsetzung des Audits ab.

Ein internes Datenschutz-Audit eignet sich für die regelmäßige Selbstkontrolle und die kontinuierliche Verbesserung des Datenschutzmanagements. Ein externes Datenschutz-Audit bietet zusätzliche Unabhängigkeit, Spezialwissen und in der Regel eine höhere Akzeptanz gegenüber Geschäftsführung, Partnern oder Aufsichtsbehörden. In der Praxis hat sich ein Hybrid-Ansatz häufig als am effizientesten erwiesen. Dabei erfolgt zunächst eine interne Vorbereitung und Priorisierung, anschließend eine externe, gezielte Validierung.

Ein internes Audit lohnt sich insbesondere, wenn Sie Ihren Datenschutz als wiederkehrenden Prozess im Unternehmen etablieren möchten, etwa im Rahmen des PDCA-Zyklus („Plan-Do-Check-Act“), einer Methode zur kontinuierlichen Verbesserung durch systematisch wiederkehrende Prüf- und Optimierungsphasen.Es ist oft schneller, günstiger und kann stärker in die Abläufe der Fachbereiche integriert werden.

Typische Anwendungsfälle sind:

• Regelmäßige Reifegrad-Checks im DSMS (z. B. quartalsweise oder jährlich)
• Vorbereitung auf externe Audits / Kontrollen
• Kontinuierliche Pflege von Dokumentation (VVT, TOM, Löschkonzept, DSFA)

Ein Datenschutz-Audit wird häufig von externen Datenschutzbeauftragten (DSB) durchgeführt, um zu Beginn der Zusammenarbeit den aktuellen Stand des Datenschutzmanagements systematisch zu erfassen und konkrete Verbesserungsmaßnahmen abzuleiten, die anschließend schrittweise umgesetzt werden können.

Ein externes Audit ist besonders hilfreich, wenn Sie:

• ein neutrales Gutachten benötigen  (z. B. für Geschäftsführung, Kunden, Partner),
• hohe Risiken vermuten (z. B. viele Systeme, sensible Daten, komplexe Datenflüsse),
• Sonderthemen haben (Cloud, internationale Transfers, umfangreiche Dienstleisterketten),
• nach einem Vorfall einen glaubwürdigen Verbesserungs- und Nachweisprozess brauchen.

Ein Datenschutzaudit schaut nicht nur auf einzelne Dokumente, sondern auf das Zusammenspiel aus Prozessen, Technik und Verantwortlichkeiten. Typische Prüffelder sind:

• Verzeichnis von Verarbeitungstätigkeiten (VVT): Sind alle relevanten Prozesse erfasst, aktuell und nachvollziehbar beschrieben?
• Rechtsgrundlagen & Zwecke: Passt die Rechtsgrundlage zur Verarbeitung. Und ist der Zweck klar abgegrenzt?
• Informationspflichten & Transparenz: Stimmen Datenschutzhinweise, Pflichtinformationen und interne Kommunikationswege?
• Einwilligungen: Wo Einwilligungen genutzt werden: Sind sie wirksam eingeholt, dokumentiert und widerrufbar?
• Betroffenenrechte: Wie werden Auskunft, Löschung, Berichtigung und Co. bearbeitet. Mit klaren Fristen und Verantwortlichkeiten?
• Datenschutz-Folgenabschätzung (DSFA): Wird geprüft, wann eine DSFA nötig ist. Und ob sie sauber durchgeführt und dokumentiert wurde?
• Technische und organisatorische Maßnahmen (TOM): Zugriffskonzepte, Berechtigungen, Verschlüsselung, Backups, Protokollierung. Und ob das Schutzniveau zur Risikolage passt.
• Lösch und Aufbewahrungskonzept: Gibt es klare Regeln, was wie lange gespeichert wird. Und ob diese Regeln technisch umgesetzt werden?
• Auftragsverarbeitung & Dienstleister: AV-Verträge, Weisungsprozesse, Kontrollen. Und ob Dienstleister die vereinbarten Maßnahmen tatsächlich umsetzen.
• Datenübermittlungen (z. B. Drittländer): Welche Transfers gibt es. Und ob passende Garantien und Prüfungen vorliegen.
• Vorfallmanagement: Prozesse für Datenschutzverletzungen, Meldefristen, Zuständigkeiten und Dokumentation.
• Organisation & Governance: Rollen (z. B. Datenschutzbeauftragter), Richtlinien, Schulungen und Nachweise.

Die Kosten für ein Datenschutzaudit hängen von der Größe des Unternehmens, der Anzahl der Verarbeitungstätigkeiten, der Komplexität der IT und dem Prüfungsumfang ab. 

In der Praxis erfolgt die Abrechnung meist auf Basis von Tagessätzen, die häufig zwischen 1.000 und 1.500 Euro pro Tag liegen. Je nach Umfang kann ein Audit 2 bis 5 Tage in Anspruch nehmen.

In der Praxis folgt ein strukturiertes Datenschutz-Audit einem klar definierten Prüfprozess. Das Ziel besteht darin, die Einhaltung der Datenschutz-Grundverordnung (DSGVO), insbesondere der Artikel 5, 24, 30, 32 und 35, systematisch zu überprüfen und Optimierungspotenziale im Datenschutzmanagementsystem (DSMS) zu identifizieren.

Der Ablauf lässt sich in fünf aufeinander aufbauende Schritte gliedern:

1. Audit-Vorbereitung

   In der Vorbereitungsphase legen Sie den Prüfumfang (Scope), die Zielsetzung sowie die betroffenen Organisationseinheiten fest. Entscheidend ist die Abgrenzung:

   • Unternehmensweites Datenschutz-Audit
   • Bereichs- oder prozessbezogenes Audit
   • Dienstleister bzw. Auftragsverarbeiter-Audit

   Zudem legen Sie fest:

   • Welche Verarbeitungstätigkeiten geprüft werden.
   • Welche Verantwortlichen (z. B. Fachbereich, IT, HR, Marketing) einbezogen werden.
   • Ob das Audit als Interview, Selbstauskunft (Fragebogen) oder Mischform durchgeführt wird.

   Auch die Wahl der Dokumentationsmethode ist relevant. Während Word- oder Excel-Lösungen häufig Medienbrüche verursachen, ermöglicht eine spezialisierte Software für Datenschutz-Audit seine strukturierte Maßnahmenverfolgung und eine revisionssichere Dokumentation.

2. IST-Analyse

   Die IST-Analyse bildet den Kern des Datenschutz-Audits. Dabei wird geprüft, ob die datenschutzrechtlichen Anforderungen sowohl formal dokumentiert als auch in der Praxis umgesetzt sind. Relevante Prüfbereiche sind unter anderem:

   • Vollständigkeit des Verzeichnisses von Verarbeitungstätigkeiten (Art. 30 DSGVO)
   • Wirksamkeit der technischen und organisatorischen Maßnahmen (Art. 32 DSGVO).
   • Durchführung von Datenschutz-Folgenabschätzungen (Art. 35 DSGVO).
   • Einhaltung der Transparenzpflichten (Art. 13/14 DSGVO).
   • Dokumentierte Risikobewertungen
   • Vorliegen von Auftragsverarbeitungsverträgen

   Typische Datenschutz Audit Fragen in dieser Phase sind:

   • Wurden für alle Abteilungen VTs dokumentiert?
   • Sind diese VTs vollständig?
   • Erfüllen die VTs die Anforderungen der DSGVO?
   • Sind interne Zuständigkeiten für VTs geklärt?
   • Gibt es einen regelmäßigen Überprüfungszyklus?

3. Analyse und Bewertung

   Nach der IST-Analyse erfolgt eine strukturierte Auswertung der Ergebnisse. Das Ziel besteht darin, Abweichungen zwischen Soll- und Ist-Zustand, sogenannte Gaps, zu identifizieren und datenschutzrechtliche Risiken zu bewerten. Dabei werden insbesondere folgende Aspekte betrachtet:

   • potenzielle Bußgeldrisiken nach Art. 83 DSGVO,
   • unzureichende technische Schutzmaßnahmen,
   • fehlende oder unvollständige Dokumentationen,
   • organisatorische Schwachstellen.

   Je nach Umfang des Datenschutz-Audits kann diese Analyse auf High-Level-Ebene erfolgen oder einzelne Fachbereiche detailliert betrachten. Das Ergebnis ist ein Maßnahmenkatalog, der klar beschreibt, welche Verbesserungen erforderlich sind und warum.

4. Maßnahmenumsetzung

   Um nach dem Datenschutz-Audit Verbesserungen vorzunehmen, sollten Sie die erforderlichen Maßnahmen zunächst nach ihrem datenschutztechnischen Risiko priorisieren: Formulieren Sie als erstes den Soll-Zustand, den Sie erreichen möchten, und leiten davon geeignete Maßnahmen ab.

   • Beseitigen Sie so schnell wie möglich etwaige Bußgeldrisiken.
   • Priorisieren Sie sensible Daten (Art. 9) vor weniger sensiblen Daten.
   • Beheben Sie Probleme bei der Verarbeitung externer Daten, bevor Sie sich um interne kümmern, solange kein gegenteiliger Priorisierungsgrund vorliegt.
   • Stellen Sie sicher, dass Sie gegebenenfalls erforderliche Auftragsverarbeitungsverträge abgeschlossen haben und diese auch vorlegen können, wenn eine Behörde diese anfragt.

   Für jede Maßnahme sollten klare Verantwortlichkeiten und Fristen definiert werden. Die Integration in einen kontinuierlichen Verbesserungsprozess – etwa im Rahmen des PDCA-Zyklus – stellt sicher, dass das Datenschutz Audit nicht als einmalige Prüfung, sondern als Bestandteil einer nachhaltigen Compliance-Strategie verstanden wird.

5. Dokumentation und Überprüfung

   Im fünften Schritt eines Datenschutz-Audits werden der Prüfprozess und die Ergebnisse dokumentiert. Der Auditbericht dient der internen Auswertung, unterstützt die Prävention datenschutzrechtlicher Verstöße und kann gegenüber Aufsichtsbehörden als Nachweis der Rechenschaftspflicht gemäß DSGVO herangezogen werden. Im Falle eines Verstoßes kann eine strukturierte Dokumentation das Bußgeldrisiko reduzieren. Ein transparenter Auditbericht stärkt zudem das Vertrauen in die Sicherheit der Datenverarbeitung.

Die DSGVO nennt kein fixes Audit-Intervall, erwartet im Rahmen der Rechenschaftspflicht und eines risikobasierten Datenschutzmanagements aber eine regelmäßige Überprüfung der Datenschutzmaßnahmen. In der Praxis ist mindestens ein jährliches Datenschutz-Audit sinnvoll, zusätzlich sollte ein Audit immer dann durchgeführt werden, wenn sich die Verarbeitung, die Systeme oder die Risiken wesentlich verändern.

Ein gutes Audit-Intervall hängt von verschiedenen Faktoren ab: Datenarten, Anzahl der Prozesse, IT-Landschaft, Anzahl der Dienstleister, Reifegrad und Vorfällen.

Bewährte Faustregeln:

• Mindestens jährlich: Gesamtcheck (Organisation + Kernprozesse)
• Quartalsweise / halbjährlich: Stichproben-Checks (z. B. neue Tools, neue Dienstleister, neue Prozesse)
• Anlassbezogen (sofort/zeitnah), wenn:
  • neue Systeme/Tools eingeführt werden (z. B. HR, CRM, Tracking)
  • neue Dienstleister starten oder AV-Verträge geändert werden
  • Datenpannen auftreten
  • neue Verarbeitungstätigkeiten dazukommen
  • Prozesse stark skaliert werden (neue Standorte/Einheiten)

Ein Datenschutz-Audit sollte nicht als einmalige Maßnahme verstanden werden. In der Praxis wird es idealerweise in einen kontinuierlichen Verbesserungsprozess eingebettet, der häufig nach dem sogenannten PDCA-Zyklus (Plan–Do–Check–Act) erfolgt.

• Plan: Festlegung von Datenschutz-Zielen und Prüfbereichen
• Do: Umsetzung definierter Maßnahmen
• Check: Durchführung des Datenschutz-Audits
• Act: Anpassung und Optimierung auf Basis der Ergebnisse

So wird das Datenschutz-Audit zu einem festen Bestandteil eines strukturierten Datenschutzmanagementsystems (DSMS) und unterstützt die Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO nachhaltig.

Der Einsatz einer Datenschutz-Audit-Software ist sinnvoll, wenn die manuelle Prüfung mit Word oder Excel fehleranfällig, unübersichtlich oder zeitaufwendig wird. Dies ist beispielsweise bei vielen Verarbeitungstätigkeiten, mehreren Standorten oder komplexen Prozessen der Fall. Die Software hilft dabei, Audit-Fragen strukturiert zu erfassen, IST-Analysen systematisch durchzuführen, Ergebnisse revisionssicher zu dokumentieren und Maßnahmen nachzuverfolgen.

In solchen Fällen unterstützt eine spezialisierte Lösung dabei, die Rechenschaftspflicht gemäß DSGVO (z. B. Art. 5, 24, 30 und 32) effizienter, nachvollziehbarer und auditfest zu erfüllen. caralegal bietet mit seiner Audit-Software eine Plattform, die strukturierte Prüfpfade, automatische Checklisten, aussagekräftige Reports und integrierte Nachweise bereitstellt. Die Software eignet sich besonders für mittelständische und größere Unternehmen.