Datenschutzaudit durchführen – Ablauf, Kosten und Checkliste

Inhalt in Kürze

• Ein Datenschutzaudit prüft systematisch, ob Ihr Unternehmen die DSGVO tatsächlich einhält – nicht nur auf dem Papier, sondern in der täglichen Praxis.
• Die Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) verlangt, dass Sie Ihre Datenschutzkonformität nachweisen können. Ein Audit liefert genau diesen Nachweis.
• Typische Kosten für KMU: 2.000 bis 8.000 Euro, abhängig von Unternehmensgröße und Prüftiefe.
• Der Ablauf folgt 6 Schritten – von der Scope-Definition bis zum Maßnahmenplan.
• Jährliche Audits sind keine gesetzliche Pflicht, aber die wirksamste Absicherung gegen Bußgelder und Haftungsrisiken.

---

“Fünf Tage vor der TÜV-Rezertifizierung ISO 9001 kam die E-Mail: Können Sie uns helfen? Zum Glück lag das Wochenende dazwischen. Der Auditor war am Ende begeistert.”

— Nils, Datenschutzberater bei frag.hugo

So sieht der Alltag aus. Viele Unternehmen denken erst an ihr Datenschutzaudit, wenn der Termin drängt. Dabei lässt sich ein Audit strukturiert planen – und bringt weit mehr als nur ein Häkchen auf der Compliance-Liste.

Was ist ein Datenschutzaudit?

Ein Datenschutzaudit ist eine systematische Prüfung aller datenschutzrelevanten Prozesse, Dokumente und technischen Maßnahmen in Ihrem Unternehmen. Das Ziel: Feststellen, ob die Vorgaben der DSGVO und des BDSG tatsächlich eingehalten werden.

Anders als ein internes Review prüft ein externes Audit mit neutralem Blick. Das Ergebnis ist ein Auditbericht mit konkreten Feststellungen – von konform bis kritisch – und einem Maßnahmenplan.

Für die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO ist ein dokumentiertes Audit der stärkste Nachweis gegenüber Aufsichtsbehörden. Kein anderes Dokument zeigt so klar, dass Sie Datenschutz nicht nur versprechen, sondern systematisch überprüfen.

Was wird beim Datenschutzaudit geprüft?

Ein Datenschutzaudit deckt drei Bereiche ab. Die folgende Tabelle zeigt die wichtigsten Prüfpunkte:

Prüfbereich	Typische Prüfpunkte	DSGVO-Bezug
Organisation & Dokumentation	Datenschutzbeauftragter bestellt? Verarbeitungsverzeichnis aktuell? Löschkonzept vorhanden? Schulungen durchgeführt?	Art. 30, Art. 37, Art. 39
Rechtmäßigkeit der Verarbeitung	Rechtsgrundlagen dokumentiert? Einwilligungen korrekt? AVVs vollständig? Informationspflichten erfüllt?	Art. 6, Art. 7, Art. 13/14, Art. 28
Technische & organisatorische Maßnahmen	Zugriffskontrollen, Verschlüsselung, Backup-Konzept, Passwortrichtlinien, Incident-Response-Prozess	Art. 32, Art. 33/34
Betroffenenrechte	Auskunftsprozess, Löschprozess, Reaktionszeiten, Zuständigkeiten	Art. 15–22
Auftragsverarbeitung	AVVs geprüft? Subunternehmer bekannt? TOM-Nachweise der Dienstleister?	Art. 28

Je nach Branche kommen weitere Punkte hinzu – etwa Videoüberwachung, Beschäftigtendatenschutz oder branchenspezifische Anforderungen.

Datenschutzaudit durchführen: Der Ablauf in 6 Schritten

Schritt 1: Scope festlegen

Welche Bereiche, Standorte und Verarbeitungstätigkeiten werden geprüft? Ein Komplettaudit deckt alles ab. Ein Teilaudit konzentriert sich auf kritische Bereiche – etwa die Personalabteilung oder den Webshop. Grundlage ist Ihr Verarbeitungsverzeichnis.

Schritt 2: Dokumentenprüfung (Desk Audit)

Der Auditor sichtet vorab alle relevanten Unterlagen: Verarbeitungsverzeichnis, Datenschutzkonzept, TOMs, AVVs, Löschkonzept, Datenschutzerklärung, Schulungsnachweise. Fehlende Dokumente werden bereits hier als Abweichung notiert.

Schritt 3: Interviews und Vor-Ort-Prüfung

Der Auditor spricht mit Schlüsselpersonen: Geschäftsführung, IT-Leitung, Personalabteilung, Marketing. Ziel ist der Abgleich zwischen dokumentierter Theorie und gelebter Praxis. Werden Löschfristen wirklich eingehalten? Kennen Mitarbeitende den Meldeprozess bei Datenpannen?

Schritt 4: Technische Prüfung

Stichproben bei IT-Systemen: Zugriffsrechte, Verschlüsselung, Protokollierung, Backup-Tests. Hier zeigt sich, ob die TOMs nur auf dem Papier stehen oder tatsächlich umgesetzt sind.

Schritt 5: Auditbericht erstellen

Alle Feststellungen werden in einem Bericht dokumentiert – mit Bewertung (konform, Empfehlung, Abweichung, kritische Abweichung) und Nachweisfotos oder Screenshots. Der Bericht ist Ihr zentraler Nachweis für die Rechenschaftspflicht.

Schritt 6: Maßnahmenplan und Nachverfolgung

Aus den Feststellungen entsteht ein priorisierter Maßnahmenplan. Kritische Abweichungen werden sofort behoben. Empfehlungen fließen in die nächste Planungsperiode ein. Ein Follow-up nach 3–6 Monaten prüft die Umsetzung.

Was kostet ein Datenschutzaudit?

Die Kosten hängen von drei Faktoren ab: Unternehmensgröße, Prüfumfang und Komplexität der Datenverarbeitung.

Richtwerte für KMU:

• Kleines Unternehmen (5–20 Mitarbeitende): 2.000–4.000 Euro
• Mittleres Unternehmen (20–100 Mitarbeitende): 4.000–8.000 Euro
• Teilaudit (einzelner Bereich): ab 1.500 Euro
• Tagessatz externer Auditoren: 1.000–1.500 Euro

Die BAFA-Förderung kann bis zu 80 % der Beratungskosten übernehmen. Für KMU bedeutet das: Ein Audit für 4.000 Euro kostet Sie nach Förderung nur 800 Euro Eigenanteil.

Gemessen an möglichen DSGVO-Bußgeldern ist ein Audit eine der günstigsten Investitionen in Ihre Compliance.

Checkliste: Vorbereitung aufs Datenschutzaudit

Mit dieser Checkliste stellen Sie sicher, dass alle Unterlagen bereitliegen, bevor der Auditor kommt:

Dokumentation

• Verarbeitungsverzeichnis aktuell und vollständig
• Datenschutzkonzept bzw. Datenschutzrichtlinie vorhanden
• Technisch-organisatorische Maßnahmen (TOMs) dokumentiert
• Löschkonzept mit Fristen erstellt
• Datenschutz-Folgenabschätzungen durchgeführt (falls erforderlich)

Verträge und Rechtsgrundlagen

• Auftragsverarbeitungsverträge (AVVs) für alle Dienstleister
• Einwilligungserklärungen korrekt und nachweisbar
• Rechtsgrundlagen je Verarbeitungstätigkeit dokumentiert
• Datenschutzerklärung auf Website aktuell

Organisation und Prozesse

• Datenschutzbeauftragter bestellt und gemeldet
• Meldeprozess für Datenpannen definiert und bekannt
• Prozess für Betroffenenanfragen etabliert
• Mitarbeiterschulungen durchgeführt und dokumentiert
• Zuständigkeiten klar geregelt

Technik

• Zugriffsrechte nach Minimalprinzip vergeben
• Verschlüsselung für mobile Geräte und E-Mail
• Backup-Konzept getestet
• Protokollierung aktiv

Nutzen Sie unseren kostenlosen Datenschutz-Check, um vorab eine Selbsteinschätzung durchzuführen.

Wann brauchen Sie ein externes Audit?

Nicht jedes Unternehmen muss zwingend einen externen Auditor beauftragen. Aber es gibt Situationen, in denen ein internes Review nicht ausreicht:

• Kundenanforderung: Großkunden oder öffentliche Auftraggeber verlangen einen unabhängigen Nachweis.
• Zertifizierung: Für ISO 27001 oder ISO 27701 ist ein externes Audit Voraussetzung.
• Nach einer Datenpanne: Die Aufsichtsbehörde erwartet konkrete Nachbesserung – ein externes Audit dokumentiert diese glaubwürdig.
• Erstmalige Prüfung: Wer noch nie geprüft hat, profitiert vom neutralen Blick eines externen Auditors.
• Geschäftsführerhaftung: Wer als Geschäftsführer das Datenschutzrisiko tragen muss, sollte auf unabhängige Bewertung setzen. Mehr dazu unter Datenschutz als Chefsache.

Ein externer Datenschutzbeauftragter kann das Audit entweder selbst durchführen oder als Ansprechpartner für den Auditor bereitstehen.

Häufige Schwachstellen, die Audits aufdecken

Aus unserer Praxis: Diese Punkte fallen bei fast jedem Erstaudit auf.

1. Verarbeitungsverzeichnis unvollständig – Neue Tools werden eingeführt, aber nicht ins Verzeichnis aufgenommen.
2. AVVs fehlen oder sind veraltet – Besonders bei SaaS-Diensten, die „mal schnell” gebucht wurden.
3. Löschfristen nicht umgesetzt – Das Konzept existiert, aber gelöscht wird nichts.
4. Schulungen nicht dokumentiert – Mitarbeitende wurden mündlich informiert, aber es gibt keinen Nachweis.
5. Zugriffsrechte zu weit gefasst – Alle haben Zugriff auf alles.
6. Kein Meldeprozess für Datenpannen – Im Ernstfall weiß niemand, wen man anrufen soll.

Laut BfDI ist ein regelmäßiges Audit das beste Mittel, um solche Lücken frühzeitig zu schließen.

Datenschutzaudit in Hamburg durchführen lassen

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) gehört zu den aktivsten Aufsichtsbehörden in Deutschland. Hamburger Unternehmen, die ein aktuelles Auditprotokoll vorlegen können, stehen bei Anfragen oder Prüfungen deutlich besser da. Wir führen Datenschutzaudits für KMU in Hamburg und der Metropolregion durch — vor Ort oder remote. Als externer Datenschutzbeauftragter in Hamburg kennen wir die Schwerpunkte des HmbBfDI und bereiten Ihr Unternehmen gezielt darauf vor.

Häufige Fragen (FAQ)

Was ist ein Datenschutzaudit und wann brauche ich eins?

Ein Datenschutzaudit ist eine systematische Prüfung, ob Ihr Unternehmen die DSGVO-Anforderungen erfüllt. Sie brauchen eins, wenn Sie Ihren Datenschutz-Status erstmals erfassen wollen, nach wesentlichen Änderungen oder zur regelmäßigen Überprüfung – mindestens einmal jährlich.

Was kostet ein Datenschutzaudit für ein KMU?

Ein externes Datenschutzaudit kostet für KMU typischerweise zwischen 2.000 und 8.000 Euro, abhängig von Unternehmensgröße und Komplexität der Datenverarbeitung. Interne Audits verursachen vor allem Personalkosten für Vorbereitung und Durchführung.

Wie läuft ein Datenschutzaudit ab?

In 6 Schritten: Planung und Scope-Definition, Dokumentenprüfung, Interviews mit Verantwortlichen, technische Prüfung der Systeme, Bewertung und Risikoanalyse, Abschlussbericht mit Maßnahmenplan.

Kann ich ein Datenschutzaudit selbst durchführen?

Grundsätzlich ja, aber die Objektivität leidet. Für ein erstes Screening eignet sich eine interne Prüfung anhand einer Checkliste. Für eine belastbare Bewertung empfiehlt sich ein externes Audit durch einen unabhängigen Datenschutzberater.

Welche Schwachstellen finden Datenschutzaudits am häufigsten?

Die häufigsten Befunde sind: unvollständiges Verarbeitungsverzeichnis, fehlende oder veraltete Auftragsverarbeitungsverträge, mangelhafte TOM-Dokumentation, fehlende Löschfristen und unzureichende Mitarbeiterschulungen.