Das Datenschutzaudit: Definition, Ablauf und Fragenkatalog

Was ist ein Datenschutzaudit?

Der Datenschutzaudit nach Datenschutz-Grundverordnung (DSGVO) bietet für Unternehmen die Möglichkeit, die eigene Datenschutzkonformität freiwillig prüfen zu lassen und nach außen hin durch ein Zertifikat unter Beweis zu stellen. Die DSGVO spricht deshalb in Art. 42 auch allgemein von der Zertifizierung. Unternehmen beauftragen mit dieser Auditierung unabhängige Prüfer und Gutachter. Dieser Auditor überprüft die Datenschutz-Maßnahmen im Betrieb mit einem Fragebogen beziehungsweise Fragenkatalog, das wesentliche Instrument eines DSGVO-Audits – neben Interviews, der Prüfung von Dokumenten und Vor-Ort-Untersuchungen. Um Unternehmen die Möglichkeit zu geben, sich bestmöglich auf den Zertifizierungsprozess vorzubereiten, stellen wir hier wichtige Teile des Fragenkatalogs für den Datenschutzaudit vor.

Warum ist ein Datenschutzaudit sinnvoll?

Ein Audit nach der DSGVO bezeichnet allgemein eine Prüfung, mit der man bestimmte Parameter erfasst, bewertet und daraus entsprechende Konsequenzen ableitet. Mit einem Datenschutzaudit werden also die entsprechenden Bedingungen im Bereich Datenschutz festgestellt, bewertet und im Anschluss daraus ein entsprechendes Datenschutzkonzept entwickelt. Das Audit dient insbesondere dazu, dem Verantwortlichen entsprechende Lücken im Datenschutz aufzuzeigen und ihn dabei zu unterstützen, diese im Nachhinein zu schließen.

Da mit der DSGVO auch die entsprechenden Kompetenzen der Überwachungsbehörden gestärkt wurden und auf die Unternehmen schärfere Nachweis- sowie Dokumentationspflichten zukommen, ist ein individuelles Datenschutzkonzept für jedes Unternehmen unverzichtbar. Das Datenschutzkonzept dokumentiert die entsprechenden datenschutzrechtlichen Maßnahmen im Unternehmen. Es kann sich auf das gesamte Unternehmen und die gesamte datenschutzrechtliche Situation beziehen, es kann aber auch detailliert auf einen einzelnen Prozess abzielen, wie zum Beispiel auf die Verarbeitungstätigkeiten. Um ein Datenschutzkonzept erstellen zu können, ist ein Datenschutzaudit neben einer intelligenten GAP-Analyse durch unsere Software Proliance 360 als erster Schritt in diesem Bearbeitungsprozess unabdingbar – fragen Sie Ihren externen Datenschutzbeauftragten danach!

Wer darf ein Audit nach DSGVO-Vorgaben durchführen?

Ein Datenschutzaudit kann entweder durch interne oder externe Auditoren durchgeführt werden. In beiden Fällen ist entscheidend, dass die verantwortliche Person über fundierte datenschutzrechtliche Kenntnisse verfügt und mit den Anforderungen der DSGVO sowie den relevanten technischen und organisatorischen Maßnahmen vertraut ist.

Interne Auditoren stammen aus dem eigenen Unternehmen. Damit ein internes Audit valide Ergebnisse liefert, muss sichergestellt sein, dass die prüfende Person unabhängig und nicht unmittelbar in die zu bewertenden Prozesse eingebunden ist. Andernfalls kann es zu Interessenkonflikten kommen.

Ein externer Auditor ist eine spezialisierte Datenschutz-Fachkraft, die nicht Teil der Organisation ist. Sie bringt in der Regel eine neutrale Sichtweise sowie umfangreiche Erfahrung aus der Prüfung unterschiedlicher Unternehmen und Branchen mit. Ein externer Auditor kann nicht nur Schwachstellen objektiv identifizieren, sondern auch praxisnahe Empfehlungen zur Verbesserung der Datenschutzorganisation geben.

Sobald ein Datenschutzaudit im Rahmen einer offiziellen Zertifizierung nach Art. 42 DSGVO durchgeführt werden soll, muss der Auditor von einer anerkannten Zertifizierungsstelle zugelassen sein.

Wie wird ein DSGVO-Audit erfasst?

Im Rahmen der Datenschutz-Bestandsaufnahme erfolgt die Erfassung des datenschutzrechtlichen Status quo Ihres Unternehmens anhand eines digitalen oder Präsenz-Datenschutzaudits mittels eines Fragenkatalogs durch geprüfte Datenschutzbeauftragte.

Ihr individueller Auditbericht stellt das eigentliche Kernstück des gesamten Audit-Prozesses dar, denn der Bericht beschreibt die aktuelle, datenschutzrechtliche Unternehmenssituation, den datenschutzrechtlichen Status quo.

Anhand Ihrer Angaben dokumentiert der Auditor, welche Datenschutz-Maßnahmen im Unternehmen bereits Anwendung finden. Darüber hinaus beinhaltet er die perspektivischen Handlungsempfehlungen (eine Art Checkliste) und weitere Schritte, die für eine Optimierung und Umsetzung des Datenschutzes im Sinne der Datenschutzgrundverordnung (DSGVO) notwendig sind. Somit handelt es sich bei Ihrem individuellen Auditbericht um einen entscheidenden Bestandteil Ihres betrieblichen Datenschutzkonzeptes.

So läuft ein Datenschutzaudit ab

Ein professionell durchgeführtes Audit nach DSGVO folgt in der Regel einem klar strukturierten Ablauf, der sich in sechs zentrale Phasen gliedert. Jede Phase trägt dazu bei, die Datenschutzkonformität eines Unternehmens umfassend zu überprüfen und Verbesserungspotenziale aufzudecken.

1. Vorbereitung & Zieldefinition: In diesem Schritt wird festgelegt, welchen Umfang und welches Ziel das Datenschutzaudit verfolgen soll. Dabei kann es sich zum Beispiel um eine interne Prüfung, die Vorbereitung auf eine Zertifizierung oder die Optimierung bestehender Datenschutzprozesse handeln. Auch der organisatorische Rahmen wird in dieser Phase geklärt – etwa, ob das Audit das gesamte Unternehmen oder nur bestimmte Geschäftsbereiche umfasst.
2. Dokumentenprüfung (Desk Audit): Hier analysiert der Auditor die vorhandene Datenschutz-Dokumentation und gleicht diese mit den DSGVO-Anforderungen ab. Dazu zählen unter anderem das Verzeichnis von Verarbeitungstätigkeiten (VVT), Datenschutzrichtlinien, abgeschlossene Auftragsverarbeitungsverträge (AVV), Schulungsnachweise sowie technische und organisatorische Maßnahmen (TOM). 
3. Vor-Ort-Audit & Interviews: Als Nächstes verschaffen sich die Auditoren ein praktisches Bild davon, wie die Datenschutzprozesse im Unternehmen tatsächlich umgesetzt werden. In Gesprächen mit Mitarbeitenden aus unterschiedlichen Abteilungen (z. B. IT, HR, Marketing) wird überprüft, ob die dokumentierten Prozesse auch gelebt werden. Gleichzeitig werden technische Systeme, Zugriffsregelungen, Löschkonzepte oder Maßnahmen bei Datenschutzvorfällen in der Praxis bewertet.
4. Analyse & Bewertung: Anschließend führt der Auditor alle gesammelten Erkenntnisse aus dem Datenschutzaudit zusammen und wertet diese systematisch aus. Etwaige Schwachstellen oder Risiken werden identifiziert und hinsichtlich ihrer Kritikalität bewertet – etwa als gering, mittel oder hoch.
5. Bericht & Handlungsempfehlungen: Das Ergebnis des DSGVO-Audits wird in einem Bericht zusammengefasst. Dieser enthält eine strukturierte Übersicht der Auswertung sowie konkrete Handlungsempfehlungen. Diese Empfehlungen dienen als Leitfaden zur Verbesserung des Datenschutzmanagements im Unternehmen und werden in der Regel nach Priorität und Umsetzungsdringlichkeit geordnet.
6. Nachbereitung & Umsetzung: In der abschließenden Phase liegt der Fokus auf der praktischen Umsetzung der empfohlenen Maßnahmen. Unternehmen erstellen auf Basis des Auditberichts einen Datenschutz-Aktionsplan und setzen notwendige Anpassungen um. Optional kann ein Follow-up-Audit durchgeführt werden, um den Fortschritt zu überprüfen und die nachhaltige Einhaltung der Datenschutzvorgaben zu sichern.

Ein strukturiertes Datenschutzaudit ist weit mehr als nur eine Momentaufnahme – es ist ein wirkungsvolles Instrument zur nachhaltigen Verbesserung des Datenschutzmanagements in Unternehmen. Durch die systematische Prüfung der Prozesse, technischen Maßnahmen und organisatorischen Abläufe lassen sich Risiken frühzeitig erkennen und beheben, bevor es zu Datenschutzverstößen oder behördlichen Sanktionen kommt. Unternehmen, die regelmäßig DSGVO-Audits durchführen, stärken ihre Rechtskonformität und das Vertrauen ihrer Kunden, Geschäftspartner und Mitarbeitenden.

Wie wird ein Datenschutzaudit von datenschutzexperte.de durchgeführt?

Ein DSGVO-Audit kann in verschiedener Weise durchgeführt werden. In der altmodischeren Form wurde es unter einem hohen Einsatz von entsprechendem Personal erarbeitet, nahm viel Zeit in Anspruch und lenkte das Unternehmen von seinen eigentlichen Aufgaben ab. Die innovative Form ist das digitalisierte Audit. Wir bieten ein solches Datenschutzaudit für Ihr Unternehmen an – durchgeführt von unseren unabhängigen Experten:

Ein digitalisiertes DSGVO-Audit hat viele Vorteile:

• eine ortsunabhängige Durchführung der Bestandsaufnahme mithilfe digitaler Fragebögen
• zeitsparende, telefonische Rückfragen unsererseits zu den Angaben in den Fragebögen
• kostengünstige Alternative zum Präsenz-Audit

Der größte Vorteil des digitalen Datenschutzaudits besteht letztlich darin, dass es ohne großen personellen oder zeitlichen Aufwand durchgeführt werden kann. Die alltäglichen Arbeitsabläufe in dem Unternehmen werden möglichst wenig gestört.

Sie wünschen eine persönlichere Beratung? Alternativ zu unserer digitalen Bestandsaufnahme bietet datenschutzexperte.de die Datenschutz-Bestandsaufnahme direkt vor Ort an. Ein Präsenz-Audit nach DSGVO lohnt sich insbesondere aufgrund von:

• Erfassung des Datenschutz-Zustandes des Unternehmens direkt vor Ort
• Persönliche Vor-Ort-Betreuung durch Ihren externen Datenschutzbeauftragten von datenschutzexperte.de

Die einzelnen Komponenten des Datenschutzaudit-Berichts

Einhergehend mit unserer innovativen Datenschutz-Software Proliance 360 stellen wir Ihrem Unternehmen einen externen Datenschutzbeauftragten. Zu Beginn unserer Zusammenarbeit wird neben der intelligenten GAP-Analyse das DSGVO-Audit durchgeführt – je nach Wunsch Digital oder Vor-Ort. Sowohl bei der Analyse als auch beim Audit werden der Ist-Zustand Ihres Unternehmens-Datenschutzes erfasst und Handlungsempfehlungen abgeleitet. Das Datenschutzaudit dient als persönlicher Orientierungsleitfaden für Rückfragen, die sich vielleicht im Laufe der GAP-Analyse ergeben haben.

Der für Ihr Unternehmen zuständige Datenschutzexperte wird als Auditor detailliert alle Prozesse, Abläufe, Tools usw. mit Ihnen durchgehen und nach datenschutzrechtlichen Aspekten bewerten. Als Ergebnis des DSGVO-Audits erstellt Ihr Datenschutzbeauftragter von datenschutzexperte.de eine entsprechende Dokumentation aller aufgenommenen Unternehmensinformationen und Prozesse.

Der Auditbericht umfasst hierbei alle relevanten Unternehmensbereiche, in denen personenbezogene Daten erfasst und verarbeitet werden. Hierzu zählen unter anderem die Bereiche:

• Personal
• Finanzen
• Einkauf
• Vertrieb
• IT

Zudem werden Fragen geklärt, wie: Bestehen bereits Auftragsverarbeitungsverträge mit externen Dienstleistern oder sind eventuell zusätzliche datenschutzrechtliche Dokumente erforderlich? Sind alle Mitarbeiter umfassend für das Thema Datenschutz sensibilisiert und hinreichend durch Mitarbeiterschulungen geschult?

Darüber hinaus erfolgt im Rahmen des Datenschutzaudits eine erste Bewertung der technischen und organisatorischen Maßnahmen des Unternehmens (TOM). Diese Maßnahmen sind gewissermaßen als Schutzmechanismen personenbezogener Daten im Unternehmen zu werten. Zu den im Rahmen des Auditprozesses erfassten Aspekten zählen unter anderem Zutrittskontrolle, Zugangskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle sowie das Trennungsgebot.

Fragebogen beim Datenschutzaudit – was sind die Inhalte?

Bei Datenschutzzertifizierungen können inhaltlich unterschiedliche Schwerpunkte gesetzt werden. Je nachdem, ob es um die Datenschutzkonformität bei einem bestimmten Projekt oder die Einhaltung des Datenschutzes insgesamt geht, werden die Fragen ausgewählt. Zertifizierungsstellen setzen für den Datenschutzaudit-Fragenkatalog häufig eine Software ein, die ein Muster des DSGVO-Audits bereithält, aber dennoch genug Spielraum für individuelle Abweichungen bei den Fragen für das einzelne Unternehmen bietet.

Bei einem allgemeinen Datenschutzaudit zur Feststellung des im Unternehmen bestehenden Datenschutzstandards werden grob die im Folgenden gelisteten Kategorien abgefragt.

• Personal
• Finanzen
• Einkauf
• Vertrieb
• IT

Welche Fragen dabei konkret auf Sie zukommen, zeigen wir im Folgenden auf. Die Übersicht des Fragenkatalogs für das Datenschutzaudit können Sie als Checkliste verwenden. So erhalten Sie bereits jetzt einen Einblick in Ihre Datenschutz-Maßnahmen.

I. Fragen zur Erfassung des Unternehmens

• Haben Sie ein Organigramm des Unternehmens oder der Unternehmensgruppe?
• Welche Produkte oder Dienstleistungen erbringt Ihr Unternehmen?
• Wo befinden sich sämtliche Standorte Ihres Unternehmens bzw. an welchen Standorten finden Datenverarbeitungen statt?
• Befinden sich Standorte des Unternehmens außerhalb der EU oder des Europäischen Wirtschaftsraumes („EWR“)?

II. Datenschutzdokumentation

• Existiert ein Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO?
• Wie ist das Verzeichnis dokumentiert?
• Haben Sie eine Liste aller Dienstleister, die für Sie im Rahmen einer Auftragsverarbeitung tätig sind?
• Falls die Liste der Auftragsverarbeiter unvollständig ist oder nicht existiert, haben Sie eine Liste der Unternehmen und Dienstleister, die für Sie Datenverarbeitungen vornehmen?
• Ist das Unternehmen auf das Erfordernis einer Datenschutz-Folgenabschätzung  vorbereitet?
• Wurde ein Datenschutzmanagementsystem installiert, um sicherzustellen und nachweisen zu können, dass die Verarbeitung gemäß den Vorgaben der DSGVO erfolgt?

III.  Datenschutzorganisation

Ein besonderer Fokus beim Datenschutzaudit liegt in der Datenschutzorganisation. Hier kann der Fragebogen sehr ausführlich werden. Wir haben die wichtigsten Fragen herausgegriffen.

• Ist im Unternehmen ein Datenschutzbeauftragter bestellt?
• Gibt es eine eigene Datenschutzleitlinie?
• Wie ist organisatorisch sichergestellt, dass vor jeder Verarbeitung von personenbezogenen Daten geprüft wird, ob die geplante Verarbeitung zulässig ist?
• Besteht ein Prozess für die Durchführung und Dokumentation von Datenschutz-Folgenabschätzungen?
• Gibt es im Unternehmen ein aktuelles Rollen- und Rechtekonzept?
• Besteht ein standardisierter Prozess beim Onboarding und Offboarding von Mitarbeitern?
• Ist die private Nutzung von Internetzugang, E-Mail-Postfach, dienstlichem Telefon und ggf. weiteren dienstlichen Geräten klar geregelt?
• Wie werden Betroffene über ihre Rechte informiert?
• Welcher Prozess ist für die Bewältigung einer Datenschutzpanne vorgesehen?

IV. Datensicherheit

• Wie ist der Zugang zu personenbezogenen Daten geregelt?
• Besteht ein IT-Sicherheitskonzept?
• Besteht ein externer Zugriff auf einzelne oder alle Systeme im Netzwerk (z. B. für Home-Office, E-Mail-Abruf oder Fernwartung)?
• Wie wird die Einhaltung aktueller technischer Standards gewährleistet?
• Werden aktuelle Checklisten zur Auswahl von technischen und organisatorischen Maßnahmen mit einer risikoorientierten Betrachtungsweise auf Basis von Art, Umfang sowie den Zwecken der Verarbeitung und der unterschiedlichen Eintrittswahrscheinlichkeit sowie Schwere der Risiken für die Rechte und Freiheiten geführt?
• Wie ist die Löschung von Daten geregelt?
• Wie wurde sichergestellt, dass datenschutzrechtliche Belange bei Beginn oder Änderung eines jeden Verarbeitungsprozesses im Unternehmen berücksichtigt werden – Beachtung des Privacy by Design nach Art. 25 DSGVO?

Beachten Sie: Bei dieser unvollständigen Checkliste handelt es sich lediglich um einen Einblick in den Fragebogen für den Datenschutzaudit. So wissen Unternehmer, welche Fragen auf sie zukommen.

Audit nach der DSGVO – was ist sein Ergebnis?

Im Anschluss an das digitale Datenschutzaudit (oder das Präsenz-Audit) wird ein dokumentierter sowie umfangreich recherchierter Prüfungs-Bericht erstellt. Er beschreibt die aktuelle datenschutzrechtliche Situation im Unternehmen, den datenschutzrechtlichen Status quo.

Basierend auf den im Audit erfassten Informationen erstellt datenschutzexperte.de erste Handlungsempfehlungen für Ihr Unternehmen. Welche Anforderungen müssen beim Datenschutz noch erfüllt werden? Der Bericht ist dementsprechend die Grundlage für die nachfolgende Schließung von Datenschutzlücken und die Erstellung bzw. Weiterentwicklung von Datenschutzkonzepten.

Ihr individueller Auditbericht ist ein bedeutender Nachweis Ihrer Datenschutzaktivitäten. Da im Rahmen der DSGVO weitgehende Nachweis- und Dokumentationspflichten bestehen, wird ein fundiertes Datenschutzkonzept und die Dokumentation der datenschutzrechtlichen Maßnahmen für jedes Unternehmen unverzichtbar. Der Bericht Ihres Datenschutzaudits stellt dabei einen wichtigen Baustein im Rahmen dieser Dokumentation dar; er ist quasi der „Ausgangspunkt“ für ein Unternehmen auf dem Weg zum korrekten Datenschutz.

Wie ein DSGVO-Audit Ihre Mitarbeiter für den Datenschutz mobilisiert

Wenn eine Optimierung des Datenschutzes in einem Unternehmen erreicht werden soll, müssen alle Mitarbeiter an einem Strang ziehen. Werden die Arbeitnehmer im Unternehmen nicht von der Bedeutung des Datenschutzes auch im täglichen Betriebsablauf überzeugt, können entsprechende Datenschutzmaßnahmen nicht greifen – denn der Arbeitgeber ist in der Verantwortung und muss seine Mitarbeiter entsprechend verpflichten.

Neben der Mitarbeiterschulung ist das Datenschutzaudit eine hervorragende Gelegenheit, die Aufmerksamkeit auf datenschutzrechtliche Belange zu lenken. Viele Mitarbeiter sind außerdem begeistert, wenn ihre Meinung im Diskussionsprozess über datenschutzrechtliche Problemstellungen zählt. Vielfach gelingt es über einen Audit nach DSGVO-Bestimmungen, auch jene Mitarbeiter für Datenschutz zu sensibilisieren, die sich bisher mit der Materie wenig auskennen und sich auch nicht dafür interessieren.

Es wird ein Maximum an Interaktion zwischen den verschiedenen Fachbereichen und auch an Effektivität erreicht. Da verschiedene Abteilungen miteinander interagieren, entstehen viele neue Ideen und Rückmeldungen, die wiederum in neue Konzepte im Bereich Datenschutz einfließen können. Es wird so auch eine stärkere Wahrnehmung von datenschutzrechtlichen Problemstellungen erreicht.

Mit dem Fragenkatalog ist der DSGVO-Audit keine Zauberei

Jedes Unternehmen kann sich auf einen Datenschutzaudit gemäß der Datenschutz-Grundverordnung und der entsprechenden Fragen einfach vorbereiten.

Prinzipiell sind die Datenschutzanforderungen der DSGVO abzuarbeiten, denn der Fragenkatalog für den Datenschutzaudit orientiert sich eng an deren wesentlichen Vorgaben und Bereichen. Jedes Unternehmen, welches die Datenschutz-Grundverordnung und ihre Regelungen ernst nimmt, wird per se entsprechende Antworten für den Fragebogen bereithalten.

Begreifen Sie den Audit nach DSGVO in erster Linie als Selbstoptimierungsprozess mit Feststellung des Status Quos beim Datenschutz in Ihrem Unternehmen. Dann sind auch die Kosten für den Datenschutzaudit gut investiert.