Datenschutz-Audit: Vom Prüfungsruf zum belegbaren Nachweis in 2 Werktagen

Ein Datenschutz-Audit prüft, ob eine Organisation die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO operativ erfüllt. Geprüft werden technische und organisatorische Maßnahmen nach Art. 32 DSGVO, das Verarbeitungsverzeichnis nach Art. 30 DSGVO, der Meldepfad bei Datenpannen nach Art. 33 DSGVO sowie die Wirksamkeit der internen Verantwortlichkeitsstruktur nach Art. 24 DSGVO. Aufsichtsbehörden, Konzernmütter und B2B-Kunden nutzen Audits als Filter, bevor Verträge geschlossen oder verlängert werden.

Dieser Beitrag beschreibt den Ablauf eines Datenschutz-Audits aus Sicht der Geschäftsleitung und des Datenschutzbeauftragten. Sie erfahren, welche Nachweise vorbereitet sein müssen, wie Sie typische Findings vor dem Audit selbst schließen und an welchen Stellen die Compliance-Plattform und Officer-as-a-Service von CIVAC den Vorbereitungsaufwand verkürzt. Der Anspruch: der Prüfer ruft an, der Nachweis liegt bereit.

Ein Datenschutz-Audit ist eine strukturierte Überprüfung, ob die Verarbeitung personenbezogener Daten den Vorgaben der DSGVO und des BDSG entspricht. Geprüft wird nicht der gute Wille, sondern die nachweisbare Umsetzung. Auditoren orientieren sich an Art. 5 DSGVO (Grundsätze), Art. 24 DSGVO (Verantwortlichkeit), Art. 28 DSGVO (Auftragsverarbeitung), Art. 30 DSGVO (Verzeichnis), Art. 32 DSGVO (Sicherheit) und den Betroffenenrechten nach Art. 12 bis 22 DSGVO.

In der Praxis arbeiten Auditoren Stichprobenlisten ab: Sie wählen drei bis fünf Verarbeitungstätigkeiten, ziehen die zugehörigen Rechtsgrundlagen, Löschkonzepte, AV-Verträge und TOM-Beschreibungen und prüfen, ob die Dokumentation mit der gelebten Praxis übereinstimmt. Findet sich eine Lücke, weitet sich der Test aus. Eine zweite, getrennt geprüfte Spur ist die Reaktionsfähigkeit: Wie schnell wurde die letzte Betroffenenanfrage beantwortet, wie lange dauerte die letzte Sicherheitsvorfall-Meldung, wer hat sie gezeichnet?

Der externe Auditor erwartet keine Perfektion, sondern Konsistenz. Eine ehrlich gepflegte Mängelliste mit Maßnahmenplan ist belastbarer als eine geglättete Dokumentation ohne Tickets. Mehr dazu im Profil des externen Datenschutzbeauftragten, der die Audit-Vorbereitung üblicherweise federführend steuert.

Drei Audit-Typen treten in der Praxis auf. Erstens das interne Audit, durchgeführt vom Datenschutzbeauftragten oder einer Revisionsfunktion. Es dient der Selbstkontrolle und liefert die Datenbasis für den jährlichen Tätigkeitsbericht des DSB. Zweitens das externe Audit, ausgelöst durch Mutterkonzern, Investor, Versicherer oder Zertifizierungsstelle. Drittens das Audit durch die Aufsichtsbehörde nach Art. 58 Abs. 1 lit. b DSGVO, üblicherweise nach Beschwerde oder Datenpanne.

Die Anforderungen unterscheiden sich in Tiefe, nicht in Methodik. Ein internes Audit darf agiler bleiben, ein externes verlangt formelle Berichte, ein behördliches Audit endet mit einem rechtsmittelfähigen Bescheid. Bußgelder nach Art. 83 DSGVO reichen bis 20 Mio. Euro oder 4 Prozent des weltweiten Jahresumsatzes, je nachdem welcher Wert höher ist. Allein die Reputationswirkung wiegt in B2B-Beziehungen meist schwerer.

Ein häufig unterschätzter Auslöser sind Kunden-Audits aus der Lieferkette. Banken, Versicherer und KRITIS-Betreiber prüfen ihre Dienstleister inzwischen jährlich, häufig mit Fragebögen von 80 bis 200 Items. Wer die Antworten nicht aus einem zentralen Workspace ziehen kann, verliert Vertriebszeit. Eine Bestellurkunde des DSB, hinterlegt im Auditordner, beendet die Diskussion über Zuständigkeit in der ersten Minute.

Der Kern eines Datenschutz-Audits ist die Beweisführung. Folgende Dokumente sind regelhaft Pflicht: aktuelles Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO, schriftliche Bestellung des Datenschutzbeauftragten samt Meldung an die Aufsichtsbehörde nach Art. 37 Abs. 7 DSGVO, AV-Verträge nach Art. 28 DSGVO mit allen Dienstleistern, dokumentierte technische und organisatorische Maßnahmen nach Art. 32 DSGVO, ein Datenpannen-Protokoll mit Meldepfad innerhalb von 72 Stunden nach Art. 33 DSGVO und eine Schulungsdokumentation nach Art. 39 Abs. 1 lit. b DSGVO.

Hinzu kommen rollenspezifische Belege: Datenschutz-Folgenabschätzungen nach Art. 35 DSGVO für Hochrisiko-Verarbeitungen, das Löschkonzept nach Art. 17 DSGVO, das Berechtigungskonzept und die Protokollierung administrativer Zugriffe. Wer Daten in Drittländer überträgt, hält Standardvertragsklauseln nach Art. 46 DSGVO und ein dokumentiertes Transfer-Impact-Assessment bereit.

Im CIVAC-Workspace liegen diese Nachweise gebündelt, versioniert und mit Erinnerungen versehen. 37 einsatzbereite Audit-Vorlagen decken die typischen Stichprobenfelder ab. Bestellurkunde, unterschrieben, abgelegt, belegbar. Der Auditor zieht die Stichprobe, der Workspace liefert das Dokument, der Termin endet in einer Stunde statt in drei.

Aus der Audit-Praxis kristallisieren sich sieben wiederkehrende Findings heraus. Erstens das Verarbeitungsverzeichnis, das den realen Tool-Stack nicht abbildet, weil neue SaaS-Werkzeuge ohne Datenschutzfreigabe eingeführt wurden. Zweitens AV-Verträge mit US-Anbietern, die das Transfer-Impact-Assessment nicht dokumentieren. Drittens unklare Rollen zwischen IT, HR und DSB bei Mitarbeiter-Daten. Viertens veraltete TOM-Beschreibungen, die noch auf ISO/IEC 27001:2013 referenzieren statt auf ISO/IEC 27001:2022.

Fünftens fehlende Protokolle zu Betroffenenanfragen, sechstens Schulungen, die nur per E-Mail-Versand ohne Teilnahme-Nachweis erfolgten, siebtens kein dokumentierter 72-Stunden-Meldepfad bei Datenpannen. Jedes dieser Findings lässt sich vor dem Audit schließen, wenn die Vorlaufzeit dafür eingeplant wird.

Die Methode: eine Vor-Audit-Begehung, drei Wochen vor dem eigentlichen Termin. Der DSB zieht zehn zufällige Stichproben aus dem Verzeichnis, prüft die zugehörigen Belege und legt eine Maßnahmenliste mit Verantwortlichen und Zieldaten an. Schließen Sie die Top-5-Findings, dokumentieren Sie den Rest mit Plan. Auditoren werten konsequente Selbstprüfung als reife Governance.

Art. 33 DSGVO verpflichtet Verantwortliche, eine Datenpanne binnen 72 Stunden nach Kenntnis an die Aufsichtsbehörde zu melden. Frist läuft ab Kenntnis. Auditoren prüfen diesen Pfad besonders gründlich, weil er sich nicht im Nachhinein erfinden lässt. Sie fragen: Wer entscheidet, ob meldepflichtig? Wer fertigt den Erstbericht? Welche Felder enthält das Meldeformular der zuständigen Behörde? Wie wurde die letzte Beinahe-Panne dokumentiert?

Ein belastbarer Pfad besteht aus vier Elementen: einer schriftlichen Eskalationsmatrix mit benannten Vertretern, einem Bewertungsraster zur Risikoklassifizierung der Panne, einem Vorlagensatz für die Behördenmeldung und einem internen Ticket-System, das jede Statusänderung mit Zeitstempel protokolliert. Ohne Zeitstempel kein Nachweis.

Bei mehreren Beauftragten-Rollen, etwa Datenschutz und Informationssicherheit, muss der Meldepfad mit dem NIS-2-Meldepfad verzahnt sein, der 24 Stunden Frühwarnung und 72 Stunden Folgemeldung vorsieht. CIVAC bildet beide Pfade im selben Workspace ab, damit die Berichtslinien sich nicht widersprechen. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen, je nachdem ob Kapazität oder Methodik fehlt.

Ein durchschnittliches externes Datenschutz-Audit für ein Unternehmen mit 150 bis 500 Mitarbeitern dauert 1,5 bis 3 Audit-Tage, bestehend aus Aktenstudium, Stichproben-Interviews und Begehung. Die klassische Vorbereitung beansprucht 2 bis 6 Wochen verteilte Arbeitszeit, vor allem für das Zusammensuchen von AV-Verträgen, TOM-Beschreibungen und Schulungsnachweisen.

Die Kostenstruktur teilt sich in drei Blöcke: interne Vorbereitungszeit (typisch 40 bis 120 Personenstunden), Audit-Gebühren der prüfenden Stelle (3.000 bis 15.000 Euro je nach Tiefe) und Nachbereitung der Findings (10 bis 40 Personenstunden). Wer einen externen Datenschutzbeauftragten bestellt, lagert den Großteil der Vorbereitungszeit aus und erhält gleichzeitig eine zweite Meinung aus Audit-Erfahrung.

Die CIVAC-SLA von 2 Werktagen bezieht sich auf die Bestellung und den initialen Workspace-Aufbau, nicht auf das Audit selbst. Sie verkürzt die Phase zwischen Audit-Ankündigung und vollständigem Nachweisbestand. Wer in einer laufenden Vertragsverhandlung steht und einen Kunden-Audit-Fragebogen über 120 Items vor sich hat, gewinnt mit dieser SLA spürbar Zeit. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software.

Der Audit-Bericht endet nicht das Verfahren, er beginnt es. Findings werden klassifiziert nach Major, Minor und Observation. Major-Findings verlangen einen schriftlichen Maßnahmenplan binnen 14 Tagen, üblicherweise mit Umsetzungsfristen zwischen 30 und 90 Tagen. Minor-Findings landen in der nächsten Quartalsplanung. Observations werden in der Risikodokumentation vermerkt, ohne dass sofortige Maßnahmen entstehen.

Die Geschäftsleitung sollte den Maßnahmenplan formell zur Kenntnis nehmen und die Verantwortlichkeiten in einer Berichtslinie an den Datenschutzbeauftragten verankern. Der DSB führt die Wiedervorlage, prüft nach Ablauf der Fristen die Umsetzung und legt das Ergebnis im nächsten Tätigkeitsbericht ab. Ohne diese Schleife verliert das Audit seine Funktion und wird zur reinen Formalie.

Im Workspace lässt sich der Maßnahmenplan als verknüpfte Aufgabenkette führen, mit automatischen Erinnerungen vor Fristablauf und einer Eskalation an die Geschäftsleitung bei Verzug. Diese Spur ist beim nächsten Audit Gold wert: Sie zeigt dem Prüfer, dass das Vorjahres-Audit wirksam geworden ist. Audit-fest, dokumentiert, § 32-DSGVO-fest.

Datenschutz und Informationssicherheit überschneiden sich vor allem an den TOM. Wer ein ISO/IEC 27001:2022 ISMS betreibt, deckt einen Großteil der nach Art. 32 DSGVO geforderten Maßnahmen bereits über die 93 Controls von Annex A ab. Der Datenschutz-Auditor erkennt diese Doppelnutzung an, sofern die Zuordnung in einer Mapping-Tabelle dokumentiert ist.

In der Praxis lohnt sich ein integriertes Audit-Programm: Ein gemeinsamer Audit-Plan, getrennte Audit-Tage, gemeinsame Nachweise. Der Informationssicherheitsbeauftragte (ISB) liefert die TOM-Beschreibung, der DSB ergänzt die datenschutzrechtliche Bewertung, das Audit prüft beide Seiten in einer Iteration.

Für KRITIS- und NIS-2-betroffene Unternehmen wird dieser integrierte Ansatz schrittweise zur Pflichtübung, weil die Meldepfade und Berichtslinien sich überlappen. Etwa 29.500 Unternehmen in Deutschland fallen unter NIS-2. Wer Datenschutz und Informationssicherheit nicht zusammendenkt, doppelt die Vorbereitungszeit ohne Mehrwert. CIVAC führt beide Rollen im selben Workspace, mit gemeinsamen Audit-Vorlagen und einer durchgängigen Berichtslinie an die Geschäftsleitung.

Wer in den nächsten drei Monaten ein Datenschutz-Audit erwartet, entscheidet jetzt zwischen zwei Pfaden. Pfad eins: Sie haben einen internen DSB mit Kapazität und benötigen nur die Methodik. Lizenzieren Sie den CIVAC-Workspace für Ihre internen Beauftragten, ziehen Sie die 37 Audit-Vorlagen und arbeiten Sie die Vor-Audit-Begehung in drei Wochen ab. Pfad zwei: Ihr DSB-Stuhl ist unbesetzt oder überlastet. Lassen Sie unsere Beauftragten bestellen, mit Bestellurkunde und Meldung an die Aufsichtsbehörde innerhalb von 2 Werktagen.

In beiden Fällen liegt der Nutzen in der Verkürzung der Vorbereitungszeit und in der Wiederverwendung der Nachweise für Kunden-Audits, Versicherungs-Audits und Konzern-Reviews. Die FAQ-Seite beantwortet die häufigsten kommerziellen Fragen, der Rollenüberblick zeigt, welche weiteren Beauftragten Sie aus demselben Workspace bestellen können.

Wenn Sie konkret werden möchten, schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular. Eine Antwort zur Machbarkeit und zum nächsten Schritt erhalten Sie innerhalb eines Werktags. Aus dem Lesen einen Auftrag machen.