Datenschutzaudit laut DSGVO

Datenschutzaudit: Was ist das und warum ist es für mein Unternehmen sinnvoll?

Fachlich geprüft von: Rechtsanwalt Sören Siebert Rechtsanwalt Sören Siebert
(9 Bewertungen, 4.11 von 5)

Das Wichtigste in Kürze

  • Wer personenbezogene Daten verarbeitet, muss die Vorschriften der DSGVO einhalten – das betrifft in Deutschland alle Unternehmen.
  • Mit einem Datenschutzaudit können Firmen überprüfen, ob sie die DSGVO erfüllen und Datenschutzlücken mit geeigneten Maßnahmen nachbessern.
  • Mit einem professionellen Audit schützen sich Unternehmen somit vor hohen DSGVO-Bußgeldern.

Worum geht's?

Als Unternehmen sind Sie gesetzlich verpflichtet, für einen umfassenden Datenschutz zu sorgen, wenn Sie personenbezogene Daten erheben und verarbeiten. Konkret regeln die EU-Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG) diese Pflichten. Um sicherzustellen, dass Ihr Unternehmen in Sachen Datenschutz auf dem neuesten Stand ist, sind regelmäßige Kontrollen wichtig. Möglich macht das ein Datenschutzaudit. Was das genau ist, wer ein solches Audit durchführen darf und wie die Prüfung abläuft, erfahren Sie in diesem Artikel.

1. Was ist ein Datenschutzaudit?

Ein Datenschutzaudit ist eine freiwillige Prüfung auf Basis der Datenschutzgrundverordnung (DSGVO). In der Audit-Prüfung wird kontrolliert, ob ein Unternehmen die Vorgaben der DSGVO erfüllt – etwa hinsichtlich der Erfassung, Speicherung und Übermittlung personenbezogener Daten. Auch das grundlegende Datenschutzkonzept des Unternehmens kann im Firmen-Audit geprüft werden.

Durch Dokumentenprüfungen, Gespräche mit Mitarbeitenden und die Untersuchung verschiedener Systeme und Prozesse lassen sich durch das Audit Schwachstellen hinsichtlich des Datenschutzes aufdecken. Sind diese bekannt, kann das Unternehmen Maßnahmen ergreifen, um die eigene Informationssicherheit und die ihrer Kunden zu erhöhen. Die vom Auditor aufgezeigten Handlungsempfehlungen sollen dann vom (möglicherweise mangelhaften) Ist-Zustand zu einem idealen Soll-Zustand führen.

Ein Datenschutzaudit richtet sich also zum einen an Unternehmen, die wissen möchten, wie es aktuell um ihren Datenschutz steht (Ist-Zustand). Das kann wichtig sein, wenn ein Verkauf des Betriebs bevorsteht oder aufgrund eines Datenschutz-Verstoßes hohe DSGVO-Bußgelder verhängt werden könnten.

Sören Siebert
Sören SiebertRechtsanwalt

Zum anderen können auch Auftragnehmer einer Auftragsverarbeitung ein Audit benötigen – und zwar dann, wenn sie dem Datenschutzverantwortlichen bestätigen müssen, dass sämtliche technische und organisatorische Maßnahmen (TOM) zur Einhaltung der DSGVO ordnungsgemäß umgesetzt werden.

2. Was wird im Datenschutzaudit geprüft?

Im Datenschutzaudit wird geprüft, ob die einzelnen Pflichten der datenschutzverantwortlichen Person und gewünschte Ziele eingehalten werden. Ist das nicht der Fall, werden die mangelhaften Punkte im Anschluss nachgebessert.

Folgende Aspekte und Bereiche der DSGVO spielen beim Datenschutzaudit eine Rolle:

3. Warum ist ein Datenschutzaudit sinnvoll?

Auch wenn ein Datenschutzaudit grundsätzlich freiwillig ist, lohnt es sich für jedes Unternehmen, sobald es personenbezogene Daten erfasst, verarbeitet und übermittelt – und das ist bei sämtlichen Firmen in Deutschland der Fall. Auch kleinere Unternehmen, für die die DSGVO in ihrem Geschäftsalltag eine vermeintlich nur geringe Rolle spielt, können einer unangekündigten Datenschutzprüfung durch die Aufsichtsbehörde unterzogen werden.

Um teure Abmahnungen und die Risiken einer DSGVO-Datenpanne mitsamt empfindlichen Bußgeldern zu vermeiden, ist es für jedes Unternehmen sinnvoll, regelmäßig zu prüfen, ob die Vorgaben der DSGVO eingehalten werden. Ein Datenschutzaudit zeigt, wie der aktuelle Stand beim Datenschutz ist und wo Verbesserungsbedarf besteht. Es dient also als vorbeugende Maßnahme, um Kunden- und Mitarbeiterdaten zu schützen und kostspieligen Abmahnungen und Bußgeldern einen Schritt voraus zu sein.

Sie möchten mehr dazu erfahren, was es für Unternehmen beim Thema DSGVO zu beachten gilt? Ausführliche Informationen finden Sie in unserem Beitrag „Was müssen Unternehmen nach der DSGVO intern alles regeln?“.

Sören Siebert
Sören SiebertRechtsanwalt

4. Wann ist eine Datenschutzprüfung sinnvoll?

Eine Audit-Prüfung hinsichtlich DSGVO-Konformität lohnt sich in jeder Phase Ihres Unternehmens.

Checkliste Datenschutz-Audit
Ob eine Prüfung tatsächlich notwendig ist, können Sie anhand der folgenden Datenschutz-Audit-Checkliste herausfinden:
  • Haben Sie (sofern notwendig) für Ihr Unternehmen bereits einen Datenschutzbeauftragten benannt?
  • Erfasst Ihr Unternehmen nur diejenigen Daten von Mitarbeitern, Kunden und Partnern, zu deren Erhebung es auch befugt ist?
  • Holt Ihr Unternehmen die Einwilligungen zur Datenverarbeitung mittels Double-Opt-In-Verfahren ein?
  • Kennen sich die Abteilungen (Sales, Marketing) mit den Anforderungen der DSGVO aus?
  • Sind Geschäftsräume – insbesondere Serverräume – ausreichend geschützt?
  • Sind Ihre IT-Systeme ausreichend gesichert (z. B. durch Firewall, regelmäßige Datensicherung, Verschlüsselung)?
  • Haben Sie mit Ihren IT-Dienstleistern aktuelle Auftragsverarbeitungen gemäß 28 DSGVO (AV-Verträge) abgeschlossen?
  • Ist die IT-Umgebung ausreichend dokumentiert, um eine Abhängigkeit von Administratoren zu vermeiden?

Wichtig: 

Können Sie all diese Fragen nicht eindeutig mit „Ja“ beantworten, ist es in jedem Fall sinnvoll, für Ihr Unternehmen ein Datenschutzaudit durchzuführen.

5. Wer darf die Datenschutzprüfung durchführen?

Prinzipiell dürfen sowohl interne Mitarbeitende als auch externe Datenschutzauditoren die Datenschutzprüfung durchführen. Interne Beschäftigte müssen eine entsprechende Qualifikation und fachliche Erfahrung vorweisen können.

Oftmals ist es am sinnvollsten, wenn Sie für das Datenschutzaudit in Ihrem Unternehmen einen unabhängigen Gutachter oder Ihren (externen) Datenschutzbeauftragten beauftragen – denn dieser kann Sie auch vor und nach der Audit-Prüfung zu geeigneten Maßnahmen und Handlungsoptionen beraten.

Praxis-Tipp:

Ein externer Datenschutzbeauftragter hat den Vorteil, dass er unbefangen und objektiv auf Ihr Unternehmen blicken kann. Es besteht keine „Betriebsblindheit“ wie bei einem internen Mitarbeiter. Außerdem wird er von den eigenen Mitarbeitenden im Unternehmen anders wahrgenommen und ein neutrales, unbeeinflusstes Ergebnis ist wahrscheinlicher.

In der Regel führen Datenschutzbeauftrage, IT-Sicherheitsbeauftragte oder Datenschutzkoordinatoren eine „externe“ Datenschutzprüfung durch.

Kann ich für mein Unternehmen auch selbst ein Datenschutzaudit durchführen?

Grundsätzlich: Ja – sofern Sie die nötige Qualifikation haben. Aber da die Objektivität während des Firmen-Audits das Maß aller Dinge ist, ist es ratsam, einen externen Datenschutzauditor zu beauftragen. Führen Sie selbst die Audit-Prüfung durch, besteht die Gefahr der Betriebsblindheit. Durch einen externen Datenschutzauditor erhalten Sie hingegen objektive Ergebnisse und können von seiner Beratung auch im Nachhinein profitieren – etwa, wenn es um Maßnahmen zur Nachbesserung des Datenschutzes geht.

Aber: Es ist möglich, dass der interne Datenschutzbeauftragte Ihres Unternehmens vorab eine Einschätzung über die Einhaltung der DSGVO abgibt, die dann von einem externen Datenschutzauditor im Rahmen des Audits geprüft wird.

Prüft ein externer Datenschutzbeauftragter immer vor Ort?

Ein Datenschutzaudit muss nicht zwangsläufig vor Ort in Ihrem Unternehmen stattfinden – es gibt auch die Möglichkeit, das Firmen-Audit remote durchzuführen. Sie erhalten den Fragenkatalog dann digital und dokumentieren alle Informationen zum Thema Datenschutz gemeinsam mit dem Auditor in (Video-)Telefonaten.

Eine Remote-Audit hat klare Vorteile: Der Auditor muss nicht persönlich zu Ihrem Unternehmen kommen, wodurch Sie Kosten sparen. Auch der Zeitaufwand kann geringer ausfallen, da sich Online-Termine oftmals meist flexibler gestalten lassen. Wichtig ist in jedem Fall eine stabile Internet-Verbindung, um einen unkomplizierten und sicheren Datenaustausch zu ermöglichen.

Jetzt Beratung anfordern

Welches Audit passt für Ihr Unternehmen?

Ob ein Vor-Ort-Audit oder ein Remote-Audit sinnvoller ist, hängt unter anderem von der Größe und dem Standort Ihres Unternehmens ab. Gern beraten Sie die Datenschutzexperten der Kanzlei SiebertLexow in einem persönlichen Gespräch.

Jetzt Beratung anfordern

6. Wie läuft eine DSGVO-Datenschutzprüfung ab?

Führen Sie ein Firmen-Audit in Ihrem Betrieb durch, werden die Prozesse aller Abteilung auf ihren Umgang mit personenbezogenen Daten untersucht. Damit diese Untersuchung möglichst reibungsfrei abläuft, sind einige Schritte notwendig. So sollte das Audit im ersten Schritt gut vorbereitet und geplant werden.

Grundsätzlich setzt sich die Audit-Prüfung aus vier Phasen zusammen:

DSGVO Audit

1. Planung des Datenschutzaudits

Bevor das Datenschutzaudit startet, müssen Sie planen, wann, wo und was überhaupt auditiert werden soll. Auch wenn es trivial klingen mag: Bestimmen Sie zunächst einen Auditor, der die Prüfung durchführen soll und stimmen Sie mit diesem einen passenden Termin ab. Benennen Sie, wer am Audit teilnehmen soll und legen Sie einen entsprechenden Ort fest.

Jetzt zum DSGVO-Audit informieren

Praxis-Tipp:

Erstellen Sie gemeinsam mit dem Auditor einen Auditplan, in dem der Umfang der DSGVO-Prüfung und die zu prüfenden Abteilungen (z. B. Einkauf, Sales, Personal, Finanzen, IT) festgehalten werden. Planen Sie den zeitlichen Ablauf und briefen Sie die Teilnehmer, worum es im Audit geht. So können sich alle Abteilungen vorbereiten. Außerdem ist es sinnvoll, einen Mitarbeitenden aus jeder Abteilung zum Ansprechpartner zu benennen.

Jetzt zum DSGVO-Audit informieren

2. Vorbereitung des Firmen-Audits

Um einzuschätzen, wie lange das Firmen-Audit dauert, kann es sinnvoll sein, in der Vorbereitungsphase ein Testaudit mit einem Beispiel-Fragebogen durchzuführen. So wissen Sie, welchen Zeitaufwand Sie am Tag der Prüfung tatsächlich einberechnen müssen. Zeigen sich bereits beim Testaudit Fehlerquellen und Schwachstellen, können Sie diese bis zum richtigen Datenschutzaudit beseitigen.

Erarbeiten Sie – bzw. der Datenschutzauditor – eine Audit-Checkliste (Fragenkatalog), die alle Punkte umfasst, die im Audit geprüft werden sollen. Sollte es neue Urteile in Sachen Datenschutz geben oder hat sich die Rechtsprechung geändert, ist es sinnvoll, auch diese im Audit zu besprechen.

3. Durchführung des Datenschutzaudits

Ist der Tag der Audit-Prüfung gekommen, arbeitet der Datenschutzauditor den erstellten Fragenkatalog ab.

Audit-Prüfung
Er prüft die besprochenen Punkte, die wesentlich vier Bereiche umfassen:
  • Allgemeiner Datenschutz: z. B. Erhebung und Verarbeitung der personenbezogenen Daten, Informationspflicht gemäß DSGVO
  • Datenverarbeitung: z. B. Zugriffsrechte auf die erfassten Daten, verwendete Programme und Software, eingesetzte Tools
  • Datenweitergabe: z. B. Übermittlung der personenbezogenen Daten innerhalb des Unternehmens und an Dritte wie Auftragsverarbeiter, Verbundunternehmen, Steuerberater
  • Informationssicherheit: z. B. technische Maßnahmen, die zur Sicherung der Daten eingesetzt werden, Wahrung der Betroffenenrechte gemäß DSGVO

 

Bei der Durcharbeitung des Fragenkatalogs geht es darum, ehrlich und so präzise wie möglich zu antworten – denn die Datenschutzbehörden sehen pauschale Antworten nicht gern. Es muss exakt deutlich werden, welche Maßnahmen Sie in Ihrem Unternehmen ergreifen, um die Daten von Kunden, Partnern und Mitarbeitenden zu schützen – beispielsweise, indem Sie Datenträger mit personenbezogenen Daten verschlüsseln.

Alle Punkte, die der Auditor prüft, müssen dokumentiert werden. Nur so können Sie im Nachgang den Ablauf des Datenschutzaudits jederzeit wieder nachvollziehen. Eine transparente Kommunikation ist in dieser Phase also besonders wichtig.

4. Nachbereitung des Firmen-Audits

Im Anschluss an das Audit erstellt der Auditor einen Prüfbericht – den sogenannten Auditbericht. Dieser enthält detailliert, was geprüft wurde und fasst die Ergebnisse zusammen. Gibt es in Ihrem Unternehmen Schwachstellen bezüglich des Datenschutzes, werden diese in der Nachbereitungsphase besprochen. Sie erhalten Handlungsempfehlungen, wie Sie mit geeigneten Maßnahmen nachbessern und Sicherheitslücken schließen können.

Jetzt zum DSGVO-Audit informieren

Gut zu wissen:

In fast jedem Datenschutzaudit werden zumindest minimale Schwachstellen und Defizite aufgedeckt. Die DSGVO ist ein komplexes Thema und Fehler passieren schnell, ohne dass sich Geschäftsführung und Mitarbeitende darüber bewusst sind. Daher ist es wichtig, mit allen Beschäftigten im Unternehmen darüber zu sprechen, wie diese Fehler schnellstmöglich behoben werden können. Das könnte z. B. für die Personalabteilung bedeuten, dass Bewerberdaten nach einer gewissen Zeit gelöscht werden müssen.

Jetzt zum DSGVO-Audit informieren

7. Nach dem Datenschutzaudit: Empfehlungen umsetzen

Nach dem Firmen-Audit können Sie anhand der erstellen Maßnahmenliste konkrete Schritte entwickeln, um die Datensicherheit in Ihrem Unternehmen zu erhöhen und sämtliche Datenschutzvorgaben der DSGVO umzusetzen. Je präziser die erarbeiteten Vorschläge, desto leichter ist deren Umsetzung.

Ein erster Schritt könnte sein, im Unternehmen einen Datenschutzbeauftragten zu benennen, sofern dies noch nicht erfolgt ist. Ein externer Datenschutzauditor unterstützt Sie auch nach dem Audit bei der Umsetzung der Maßnahmen und steht Ihnen als Ansprechpartner zur Seite, wenn Fragen auftauchen.

Es ist wichtig, dass auch nach dem Audit sämtliche Prozesse, die die Datenerhebung, -verarbeitung und -übermittlung beinhalten, dokumentiert werden. Diese Datenschutzdokumentation ist gesetzlich vorgeschrieben. Entscheiden Sie sich, für das Audit einen externen Datenschutzauditor zu beauftragen, kann dieser für die Dokumentation automatisierte Tools und Programme verwenden. So ist eine fehlerfreie Dokumentation sichergestellt.

Jetzt Unternehmen DSGVO-konform machen

Sie möchten Ihr Unternehmen DSGVO-konform machen?

Die Kanzlei Siebert Lexow unterstützt Sie bei Ihrem Datenschutzaudit. Wir prüfen Ihr Unternehmen schnell, sicher und professionell auf mögliche Schwachstellen beim Datenschutz. So können Sie sich ganz auf Ihr Kerngeschäft konzentrieren.

Jetzt Unternehmen DSGVO-konform machen

8. FAQ: Häufig gestellte Fragen

Was versteht man unter einem Datenschutzaudit?

Ein Datenschutzaudit befasst sich mit den Datenschutzprozessen in Unternehmen und prüft diese hinsichtlich der Regelungen der DSGVO. Zeigt das Audit Schwachstellen, Mängel oder andere Fehlerquellen, können diese im Nachhinein behoben werden. Dazu werden zielführende Maßnahmen entwickelt, mit denen sich die Datensicherheit im Unternehmen langfristig verbessern lässt.

Was wird im Datenschutzaudit geprüft?

Im Datenschutzaudit werden sämtliche Prozesse innerhalb des Unternehmens geprüft, die sich mit der Erhebung, Verarbeitung und Übermittlung personenbezogener Daten befassen. Es geht um den allgemeinen Datenschutz (z. B. Organisation, Informationspflichten, Verarbeitungsverzeichnis), die Datenverarbeitung (Zugangskontrolle, Umgang mit personenbezogenen Daten) sowie um die Sicherheit der Daten (durch technische und organisatorische Schutzmaßnahmen).

Was kostet ein Datenschutzaudit?

Die Kosten für ein externes Datenschutzaudit richten sich nach der Größe des Unternehmens. Für KMU bis 150 Mitarbeiter können Kosten von 1.000 bis 3.000 Euro entstehen. Bei größeren Betrieben mit komplexeren Unternehmensstrukturen kann ein Datenschutzaudit auch deutlich teurer werden. Für eine einzelne datenschutzrechtliche Beratung fallen (je nach Unternehmen) zwischen 120 Euro und 450 Euro pro Stunde an.

 

 

Sophie Suske
Sophie Suske, M.A.
Legal Writerin, freiberuflich

Sophie Suske hat einen Masterabschluss in Sprach- und Kommunikationswissenschaften. Angefangen in der juristischen Redaktion eines Legal Tech Start Ups bereichert sie seit 2022 mit ihrer Expertise das Redaktionsteam von eRecht24 als freie Legal Writerin. Ihre inhaltlichen Schwerpunkte liegen dabei im Datenschutz, E-Commerce- und Markenrecht.

Rechtsanwalt Sören Siebert
Sören Siebert
Rechtsanwalt und Gründer von eRecht24

Rechtsanwalt Sören Siebert ist Gründer von eRecht24 und Inhaber der Kanzlei Siebert Lexow. Mit 20 Jahren Erfahrung im Internetrecht, Datenschutz und ECommerce sowie mit mehr als 10.000 veröffentlichten Beiträgen und Artikeln weist Rechtsanwalt Sören Siebert nicht nur hervorragende Fach-Expertise vor, sondern hat auch das richtige Gespür für seine Leser, Mandanten, Kunden und Partner, wenn es um rechtssichere Lösungen im Online-Marketing und B2B / B2C Dienstleistungen sowie Online-Shops geht. Neben den zahlreichen Beiträgen auf eRecht24.de hat Sören Siebert u.a. auch diverse Ebooks und Ratgeber zum Thema Internetrecht publiziert und weiß ganz genau, worauf es Unternehmern, Agenturen und Webdesignern im täglichen Business mit Kunden ankommt: Komplexe rechtliche Vorgaben leicht verständlich und mit praktischer Handlungsanleitung für rechtssichere Webseiten umsetzen.

Ich möchte mit eRecht24 chatten!
Datenschutzhinweis: Ihre Daten und Ihre Chateingaben werden in unserem Chat-Tool Brevo verarbeitet, sobald Sie zustimmen, den Chat mit uns zu beginnen. Sie können Ihre Zustimmung jederzeit zurücknehmen. Details hierzu entnehmen Sie unserer Datenschutzerklärung.
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details