Marcus Belke
CEO of 2B Advice GmbH, driving innovation in privacy compliance and risk management and leading the development of Ailance, the next-generation compliance platform.
Eine gute Audit-Vorbereitung bedeutet mehr, als nur eine vollständige Dokumentation bereitzustellen. Sie erfordert klare Verantwortlichkeiten, strukturierte Nachweise und transparente Prozesse. Unternehmen, die diese Strukturen frühzeitig aufbauen, vermeiden Stress während des Audits und stärken gleichzeitig ihre Governance. In diesem Artikel erfahren Sie, wie Prüfer denken, welche Schwachstellen in Datenschutz-Audits häufig auftreten und wie Sie sich strukturiert auf eine Prüfung vorbereiten können.
Was Prüfer typischerweise erwarten
Die prüfenden Stellen (Aufsichtsbehörde, interne Revision, externer Auditor, Kunde/Partner) unterscheiden sich vielleicht im Ton, aber selten in den Kernaussagen. Prüfer suchen belastbare Antworten auf drei Leitfragen:
- Kennt die Organisation ihre Verarbeitung?
„Was verarbeiten wir, warum, wie lange, mit wem, wohin?“ (VVT als Kernnachweis). - Sind die Schutzmaßnahmen risikoadäquat gewählt und wirksam?
Die TOM sind nicht nur „auf Papier“, sondern nachvollziehbar implementiert und überprüft. - Sind Betroffenenrechte und -pflichten operationalisiert?
Auskunft/Löschung, Vorfallmanagement, Informationspflichten, Einwilligungswiderruf müssen als echte Abläufe mit Fristen und Verantwortlichkeiten definiert sein.
Für Aufsichtsbehörden ist zudem zentral, dass Verantwortliche und Auftragsverarbeiter auf Anfrage kooperieren. Das Kooperationsverhalten kann auch bußgeldrelevant werden (Minderungs-/Bemessungskriterium).
Prüfmethoden, die Sie realistisch einplanen sollten
In der Praxis kommt eine Mischung aus Dokumentenprüfung, strukturierten Fragebögen, Interviews und Stichproben zum Einsatz. Dass Aufsichtsbehörden unter anderem Datenschutzüberprüfungen durchführen und Informationen anfordern können, ist im gesetzlichen Befugnisrahmen verankert.
Eine sehr „auditnahe“ Perspektive liefert beispielsweise der Fragebogen des BayLDA: Er fragt explizit nach Datenschutz-Governance, der Einbindung des Datenschutzbeauftragten, VVT, Privacy by Design, Auftragsverarbeitern/AV-Verträgen, Informationspflichten, Betroffenenrechten, dem Einwilligungsnachweis und dem Datenschutzmanagement. Das ist praktisch ein Erwartungskatalog.
Prüfmethodik | Woran Prüfer die Reife erkennen | Typische Nachweise |
Dokumentenreview („Desk Audit“) | Konsistenz: VVT ↔ TOM ↔ DSFA ↔ Verträge ↔ Löschfristen ↔ Informationspflichten | VVT, TOM‑Konzept/Mapping, AV‑Verträge, Löschkonzept, DSFA/Risikoanalyse, Einwilligungsnachweise |
Fragebogen (behördlich/Partneraudit) | Antwortfähigkeit ohne „Ad‑hoc‑Erfindung“; klare Verantwortlichkeiten | Ausgefüllte Fragebögen, Nachweis‑Index je Frage (Beleglink) |
Interviews/Werkstattgespräche | Mitarbeitende kennen Prozess, Eskalation, Fristen; keine widersprüchlichen Aussagen | Rollenmatrix, Schulungsnachweise, Prozesshandbücher, Ticket‑/Workflow‑Beispiele |
Stichproben/Walk‑through | „Show me“: Auskunft, Löschung, Berechtigung, Incident‑Response tatsächlich durchführbar | 1–3 Fallakten pro Prozess (DSAR‑Tickets, Löschläufe, Berechtigungsreview, Incident‑Runbook) |
Technische Evidenz (Demos/Logs) | Wirksamkeit und Nachvollziehbarkeit (z. B. Rollen/Rechte, 2FA, Backup‑Tests) | Berechtigungskonzepte, Protokolle, Backup‑Testprotokolle, MFA‑Rollout‑Nachweise |
Link-Tipp: DSGVO-Fragebogen LDA Bayern
Typische Prüffragen und Beurteilungskriterien
Die folgenden Beispiele sind so formuliert, dass sie sowohl für Behörden- als auch für Kunden- bzw. Zertifizierungsaudits geeignet sind. Sie spiegeln typische Behördenfragen (z. B. Fragebogen des BayLDA) sowie die DSK-Systematik (VVT/DSFA/Betroffenenrechte) wider.
| Themenblock | Typische Prüffrage | Beurteilungskriterium (was „gut“ heißt) | Typische Nachweise |
|---|---|---|---|
| Governance | „Ist Datenschutz Chefsache, sind Verantwortlichkeiten geregelt?“ | Zuständigkeiten sind dokumentiert und im Alltag wirksam | Datenschutzleitlinie, Rollen/RACI, DSB Einbindungskonzept |
| Verarbeitungstransparenz | „Gibt es ein VVT, ist es vollständig und aktuell?“ | VVT deckt reale Verarbeitungen ab, inkl. Empfänger, Löschfristen, TOM‑Beschreibung | VVT + Change‑Prozess/Review‑Protokoll |
| Auftragsverarbeitung | „Sind alle Auftragsverarbeiter erfasst und AV‑Verträge Art. 28 abgeschlossen?“ | Vollständige Vendor‑Liste; AV‑Verträge mit Mindestinhalt; Kontrollmechanismus | Vendor‑Register, AV‑Verträge, TOM‑Prüfung Dienstleister |
| Betroffenenrechte | „Können Sie Auskunft binnen Frist liefern?“ | Prozess & Organisation sichern fristgerechte, verständliche Auskunft | DSAR‑Prozess, Musterantworten, Ticket‑Beispiele |
| Löschung | „Wie stellen Sie Löschfristen je Datenart sicher?“ | Datenlöschkonzeption je Datenart; begründete Fristen; dokumentierte Löschläufe | Löschkonzept, Löschprotokolle, Ausnahme-/Sperrregeln |
| Risiko/DSFA | „Bei welchen Vorgängen führen Sie eine DSFA durch?“ | DSFA vor Start; Entscheidung pro Vorgang dokumentiert; Maßnahmen leiten sich ab | DSFA‑Berichte, Schwellwertanalyse, Maßnahmenplan |
| Einwilligungen | „Können Sie Einwilligungen nachweisen und Widerruf ermöglichen?“ | Nachweisbarkeit, Informiertheit, Widerrufsmechanismus | Consent‑Register, UI‑Screenshots, Protokolle |
Häufige Schwächen in Audits
Die folgenden Schwächen sind keine „theoretischen Fehler“, sondern typische Bruchstellen zwischen Papier-Compliance und Alltag. Die Beispiele orientieren sich bewusst an behördlichen Prüffragen und Good-Practice-Katalogen (z. B. TOM-Checklisten), da Prüfer genau dort nachhaken, wo die Umsetzung oft lückenhaft ist.
Technische Mängel
Ein häufiger Audit-Befund ist nicht „keine TOM“, sondern TOM ohne Wirksamkeitsbezug: Es existiert zwar ein PDF mit Schlagworten, jedoch gibt es keine belastbare Evidenz dafür, dass Maßnahmen umgesetzt, getestet und risikogerecht ausgewählt wurden. Der Maßstab „regelmäßig überprüfen/bewerten“ ist zwar explizit adressiert, ohne konkrete Beschreibung ist er jedoch praktisch nicht erfüllbar.
Konkrete, oft beanstandete technische Beispiele:
- Schwache Authentisierung: kein (oder inkonsistenter) 2FA-Einsatz in hochriskanten Bereichen, fehlende Sperren bei Fehlversuchen, Passwörter werden geteilt/aufgeschrieben, unzureichende Admin-Passwortstandards.
- Unreifes Rollen-/Rechtekonzept: fehlende Rollenprofile, keine regelmäßige Überprüfung, „Funktionspostfächer“ und Sammelaccounts ohne Rechenschaftspflicht.
- Backup/Recovery als blinder Fleck: kein schriftliches Backup-Konzept, keine Restore-Tests, keine 3-2-1-Strategie, potenziell durch Ransomware verschlüsselbare Backups, fehlender oder ungetesteter Notfallplan.
- Mobile/Remote-Risiken: fehlende Gerätevollverschlüsselung, mangelndes MDM, unsichere App-Quellen, keine klare Verlustfall-Kette.
Organisatorische Mängel
Hier scheitern Organisationen oft an Zuständigkeiten und Steuerung, nicht an Rechtswissen.
- Die DSB/Datenschutzfunktion wird zu spät eingebunden. Projekte starten und Systeme gehen live, während der Datenschutz „nachgezogen“ wird. Dies kollidiert jedoch mit der Erwartung, Datenschutzbelange bereits zu Beginn bzw. bei Änderungen von Prozessen zu berücksichtigen (Privacy by Design in der Auditfragelogik).
- Es gibt kein belastbares Datenschutzmanagement, sondern lediglich Einzelmaßnahmen, die nicht in einem System zusammengeführt werden, das die Umsetzung, den Nachweis und die Aktualisierung strukturiert. Genau diese Fähigkeit, „Sicherstellen und Nachweis erbringen“ (risikobasiert), ist Kern der Verantwortlichkeitslogik.
- Die Dienstleistersteuerung ist formal, aber nicht inhaltlich: AV-Verträge existieren, aber es gibt keine vollständige Dienstleisterübersicht, keine Transparenz über Subprozessoren und keine wiederkehrende Prüfung der technischen und organisatorischen Maßnahmen. Prüfer fragen genau nach „Übersicht“ und „Mindestinhalt Art. 28“.
Häufige Schwächen in Audits
Audit-Stress entsteht selten durch einzelne Fragen, sondern meist durch ungeordnetes Suchen, widersprüchliche Aussagen und unklare Rollenverteilung. Stressvermeidung ist deshalb in erster Linie eine Frage der Organisation.
Vor dem Audit
Ein wirksamer Hebel ist das sogenannte „Evidence-Mapping“: Jede Prüfanforderung erhält vorab einen klaren Nachweis („Single Source of Truth“) und eine verantwortliche Rolle. So vermeiden Sie ein hektisches Zusammenstellen während der Prüfung.
Als Minimalstandard sollten Sie vor dem Termin Folgendes sicherstellen:
- Single Point of Contact (SPoC) für die Prüferkommunikation (verhindert Parallel-Chats und divergierende Aussagen).
- Rollenklärung: Wer beantwortet „Policy“, wer „IT-Detail“, wer „HR-Prozesse“, wer „Legal/Verträge“.
- Führen Sie ein Mock-Audit mit fünf bis zehn Kernfragen (VVT, DSAR, Löschung, AV, TOM, DSFA) als Trockenübung durch.
Dass Kooperation und strukturiertes Vorgehen nicht nur „Soft Skills“ sind, zeigt sich daran, dass Kooperationsverhalten bei Aufsichtsmaßnahmen und Bußgeldbemessung berücksichtigt werden kann.
Während des Audits
Die praxiserprobte Kommunikationsregel lautet: „Antwort + Beleg + Kontext“.
- Die Antwort sollte kurz, sachlich und prüfbar sein.
- Der Beleg muss sofort verlinkbar im Audit-Ordner sein (nicht „reicht jemand nach“ als Standardmodus).
- Kontext: Abgrenzung, falls der Scope nicht gilt (z. B. „gilt nur für System X, nicht für Y“).
Für Behördenkontakte ist außerdem wichtig, dass Verantwortliche und Auftragsverarbeiter auf Anfrage zusammenarbeiten.
Nach dem Audit
Die Nachphase entscheidet, ob das Audit „teuer“ wird:
- Findings-Triage (High/Medium/Low) nach Risiko für Betroffene und Eintrittswahrscheinlichkeit; inhaltlich konsistent mit risikobasierten Anforderungen und DSFA-Logik.
- Es wird ein Maßnahmenplan mit Verantwortlichem, Termin und Nachweisform erstellt. Die DSK empfiehlt für Umsetzungsprojekte ausdrücklich ein koordiniertes Vorgehen und die Information der Geschäftsleitung als Startpunkt.
- Closure-Nachweise: Jede Maßnahme endet nicht mit „umgesetzt“, sondern mit „nachweisbar umgesetzt“ (z. B. Screenshot, Protokoll, Testreport).
Audit‑Check im Überblick
Prüfpunkte | Verantwortliche Rolle | Nachweisform | Priorität |
Audit‑Scope, Systeme, Standorte, Zeitraum definiert | Management / Datenschutzkoordination | Audit‑Readme + Scope‑Dokument | Hoch |
Single Point of Contact (SPoC) + Kommunikationsregeln festgelegt | Datenschutzkoordination | Rollenblatt + Kommunikationsplan | Hoch |
Datenschutz‑Rollen/RACI inkl. DSB‑Einbindung klar | Management / DSB | RACI, Organigramm, Einbindungsprozess | Hoch |
VVT vollständig, aktuell, versioniert | Prozessverantwortliche + DSB | Master‑VVT + Änderungslog | Hoch |
VVT enthält Löschfristen/‑kriterien je Datenkategorie | Prozessverantwortliche | VVT‑Felder + Verweise aufs Löschkonzept | Hoch |
VVT enthält TOM‑Referenzen / allgemeine TOM‑Beschreibung | IT‑Security + DSB | VVT‑Eintrag + TOM‑Dokumentlink | Hoch |
TOM‑Nachweis: Risiko→Maßnahme‑Mapping vorhanden | IT‑Security + DSB | TOM‑Matrix/Mapping | Hoch |
Authentisierung: Passwortpolicy + 2FA für Hochrisiko | IT‑Security | Policy + System‑Einstellungen/Reports | Hoch |
Rollen-/Rechtekonzept dokumentiert und überprüft | IT‑Security / IT‑Ops | Rollenmodell + Review‑Protokoll | Hoch |
Backup‑Konzept schriftlich + Restore‑Tests | IT‑Ops / BCM | Backup‑Konzept + Testprotokolle | Hoch |
Notfall-/BCM‑Plan vorhanden und geübt | BCM / IT‑Ops | Notfallplan + Übungsprotokolle | Mittel |
Vendor‑Register vollständig (alle Auftragsverarbeiter) | Einkauf/Vendor Mgmt + DSB | Dienstleisterliste | Hoch |
AV‑Verträge mit Mindestinhalt (Art. 28) für alle AV | Legal + DSB | AV‑Verträge + Annex | Hoch |
Subprozessor‑Transparenz + Freigabeprozess | Vendor Mgmt + Legal | Subprozessorliste + Freigaben | Mittel |
Informationspflicht‑Texte (Art. 13/14) je Kernprozess | Legal/Marketing + DSB | Datenschutzhinweise + Versionierung | Hoch |
DSAR‑Prozess (Intake, Ident, Datensuche, Antwort) | Customer Service / DSB | Prozessbeschreibung + Ticketbeispiele | Hoch |
Auskunftsfristen/Fristenmonitoring operationalisiert | DSB / Fachbereiche | Fristen‑SLA + Workflow | Hoch |
Löschkonzept je Datenart (Zweck, Dauer, Voraussetzungen) | Records Mgmt / DSB | Löschkonzeption | Hoch |
Löschläufe nachweisbar (Protokolle/Reports) | IT‑Ops / Fachbereiche | Löschprotokolle | Hoch |
Verfahren für Löschbegehren nach Art. 17 | DSB / Service | Prozess + Fallakte | Hoch |
Schwellwertanalyse: DSFA ja/nein je High‑Risk‑Vorgang | DSB + Prozessowner | Schwellwertanalyse‑Dokument | Hoch |
DSFA durchgeführt vor Inbetriebnahme (wo erforderlich) | DSB + Projektleitung | DSFA‑Bericht + Maßnahmenplan | Hoch |
Einwilligungs‑Nachweis + Widerrufsmechanismus | Marketing/Produkt + DSB | Consent‑Register + Logs/UI‑Nachweise | Hoch |
Schulung/Sensibilisierung (Phishing, Datenweitergabe) | HR + IT‑Security | Schulungsplan + Teilnahmeprotokolle | Mittel |
Request‑Log fürs Audit (Fragen, Antworten, Belege, Fristen) | Audit‑SPoC | Audit‑Log (z. B. Tabelle/Ticket) | Hoch |
Maßnahmenplan nach Audit (Owner, Termin, Beleg) | Management / DSB | Maßnahmenplan + Closure‑Nachweise | Hoch |
Audit-Ready mit 2B Advice und Ailance
Audit-Fähigkeit entsteht nicht erst, wenn eine Prüfung angekündigt wird. Sie ist das Ergebnis klarer Strukturen, transparenter Prozesse und nachvollziehbarer Nachweise im Datenschutz.
Unternehmen, die Datenschutz strategisch organisieren, profitieren doppelt: Sie bestehen Audits souveräner und stärken gleichzeitig ihre Governance sowie das Vertrauen von Kunden und Partnern.
Wenn Sie wissen möchten, wie gut Ihr Unternehmen auf ein Datenschutz-Audit vorbereitet ist, lohnt sich ein strukturierter Blick auf die eigenen Prozesse.
Erfahren Sie mehr über unsere Lösungen für Datenschutz- und Compliance-Management mit Ailance und nehmen Sie Kontakt mit unseren Experten auf.
Marcus Belke ist CEO von 2B Advice sowie Jurist und IT-Experte für Datenschutz und digitale Compliance. Er schreibt regelmäßig über KI-Governance, DSGVO-Compliance und Risikomanagement. Mehr über ihn erfahren Sie auf seiner Autorenprofil-Seite.
German 
English 
Italian 
French