Datenschutzaudit

Ein Datenschutzaudit bietet Unternehmen eine strukturierte Bestandsaufnahme ihres aktuellen Datenschutz-Niveaus.
Es zeigt auf, wo Sie stehen, welche Risiken bestehen und welche Maßnahmen sinnvoll und erforderlich sind.

Das Datenschutzaudit eignet sich insbesondere als Einstieg, als Standortbestimmung oder zur Vorbereitung weiterer Schritte.

Ziel des Datenschutzaudits

Ziel des Datenschutzaudits ist es,

  • datenschutzrechtliche Risiken zu identifizieren,
  • bestehende Maßnahmen einzuordnen,
  • Handlungsbedarf strukturiert darzustellen,
  • eine belastbare Entscheidungsgrundlage für die Geschäftsleitung zu schaffen.

Im Fokus steht dabei Angemessenheit und Umsetzbarkeit, nicht formale Vollständigkeit.

Für wen ist ein Datenschutzaudit sinnvoll?

Ein Datenschutzaudit ist insbesondere geeignet für:

  • kleine und mittelständische Unternehmen,
  • Unternehmen ohne benannten Datenschutzbeauftragten,
  • Unternehmen vor organisatorischen oder technischen Veränderungen,
  • Unternehmen nach Wachstum, Umstrukturierung oder IT-Migration,
  • Unternehmen, die bspw. im Rahmen eines sog. Dienstleisteraudits Nachweise liefern müssen
  • Unternehmen mit Unsicherheiten im Umgang mit Datenschutzanforderungen.
Inhalt und Ablauf

Ein Datenschutzaudit umfasst – je nach Bedarf – insbesondere:

  • Analyse der bestehenden Datenschutzorganisation
  • Prüfung ausgewählter Verarbeitungstätigkeiten
  • Bewertung von Informationspflichten, Einwilligungen und Verträgen
  • Überprüfung technischer und organisatorischer Maßnahmen (TOM)
  • Einordnung von Risiken und Prioritäten
  • Schnittstellen zur Informationssicherheit

  • Der Umfang wird vorab klar definiert.

Ergebnis des Datenschutzaudits

Das Ergebnis des Datenschutzaudits ist eine strukturierte Auswertung, bestehend aus:

  • einer verständlichen Zusammenfassung für die Geschäftsleitung,
  • einer Risikoeinschätzung,
  • priorisierten Handlungsempfehlungen,
  • klaren Abgrenzungen zwischen „erforderlich“, „empfohlen“ und „optional“.

Eine Zertifizierung oder ein „Prüfsiegel“ ist nicht Bestandteil des Audits.

Abgrenzung zu anderen Leistungen

Das Datenschutzaudit ist:

  • keine Zertifizierung (z. B. ISO, DSGVO-Siegel),
  • keine dauerhafte Betreuung,
  • keine Übernahme der Funktion des Datenschutzbeauftragten.

Es kann jedoch als Grundlage dienen für:

  • die Benennung eines externen Datenschutzbeauftragten,
  • weiterführende Beratung,
  • organisatorische oder technische Maßnahmen.
Verhältnis zur Tätigkeit als externer DSB

Ein Datenschutzaudit kann unabhängig durchgeführt werden.
Sofern anschließend ein externer Datenschutzbeauftragter benannt wird, kann das Audit als Startpunkt dienen.

Die Unabhängigkeit der Funktion des Datenschutzbeauftragten bleibt dabei gewahrt.

Arbeitsweise

Das Datenschutzaudit erfolgt:

  • strukturiert,
  • nachvollziehbar,
  • unter Berücksichtigung der tatsächlichen Unternehmensrealität,
  • ohne unnötige Bürokratie.

Ziel ist Orientierung und Entscheidungsfähigkeit, nicht die Erzeugung von Formalismus.