Hände eines Mannes der am Laptop sitzt und Daten überprüft

Datenschutzprüfung: ein praxisorientierter Leitfaden für Unternehmen

Q: Wie unterscheidet sich eine Datenschutzprüfung von einer Datenschutzfolgeabschätzung (DSFA)?

Die Datenschutzprüfung bewertet das gesamte Datenschutzmanagementsystem. Eine DSFA nach Art. 35 DSGVO ist eine projektbezogene Risikoanalyse, die nur für Verarbeitungsvorgänge mit hohem Risiko erforderlich ist.

Q: Brauche ich zwingend einen externen Auditor?

Nein. Die DSGVO schreibt keine externen Prüfer vor. Allerdings erhöhen unabhängige Gutachten die Glaubwürdigkeit gegenüber Aufsichtsbehörden und Geschäftspartnern.

Q: Was bedeutet Scope in Zusammenhang mit Datenschutz?

Der Begriff Scope (deutsch: Geltungsbereich oder Umfang) beschreibt den Anwendungsbereich einer Datenschutzmaßnahme, -richtlinie oder -prüfung. Er definiert also, worauf sich der Datenschutz bezieht – welche Daten, Systeme, Prozesse, Personen, Standorte oder Organisationseinheiten betroffen sind.

Q: Wie lange dauert eine vollständige Datenschutzprüfung?

Je nach Unternehmensgröße und Scope zwei Tage bis mehrere Wochen. Eine typische Dauer bei mittelständischen Unternehmen (200–500 Mitarbeitende) liegt bei 5–7 Präsenztagen plus Berichtserstellung.

Q: Welche Tools unterstützen bei der Durchführung?

Gängige Lösungen sind OneTrust, DataGuard, Microsoft Purview oder Open Source Tools wie Audriga DPIA. Wichtig ist die Anpassung an das eigene Kontroll Framework.

Q: Müssen die Ergebnisse veröffentlicht werden?

Nein. Der Prüfbericht ist ein internes Dokument. Werden Zertifizierungen (z. B. EuroPriSe) angestrebt, kann eine öffentliche Zusammenfassung sinnvoll sein, um Compliance und Transparenz zu demonstrieren.

25. August 2025

Ob KMU oder Konzern – wer in der EU personenbezogene Daten verarbeitet, muss nachweisen können, dass die Verarbeitung rechtmäßig, sicher und transparent erfolgt. Eine systematische Datenschutzprüfung (auch Datenschutz‑Audit oder Privacy Audit genannt) ist das effektivste Instrument, um diese Nachweispflichten zu erfüllen, Risiken frühzeitig zu erkennen und Chancen für Prozessoptimierungen zu nutzen.

Inhaltsverzeichnis:

Was versteht man unter einer Datenschutzprüfung?
Rechtliche Grundlagen und aktuelle Anforderungen
Wann sollte ein Unternehmen eine Datenschutzprüfung durchführen?
Häufige Stolpersteine und Best Practises
Ablauf einer Datenschutzprüfung
Interne vs. Externe Datenschutzprüfung
Empfehlung der Datenschutzexperten
FAQ

Was versteht man unter einer Datenschutzprüfung?

Eine Datenschutzprüfung ist eine strukturierte, periodische Bewertung aller datenschutzrelevanten Prozesse, Systeme und Dienstleister eines Unternehmens. Sie umfasst – abhängig vom Scope – organisatorische, technische und rechtliche Aspekte und prüft, ob die Vorgaben der DSGVO, des BDSG, des TTDSG sowie branchenspezifischer Normen (z. B. ISO 27701, TISAX) eingehalten werden. Das Ergebnis ist ein Prüfbericht mit Risikoeinstufungen und Handlungsempfehlungen.

Rechtliche Grundlagen und aktuelle Anforderungen

DSGVO Art. 24 und 32: Verantwortliche müssen geeignete technische und organisatorische Maßnahmen (TOM) nachweisen.
DSGVO Art. 5 (2) Rechenschaftspflicht: Die Datenschutzprüfung liefert den geforderten Nachweis der Compliance.
BDSG § 38 (1): Unternehmen mit bestimmten Voraussetzungen (i. d. R. ≥ 20 Personen, die regelmäßig automatisiert Daten verarbeiten) benötigen einen Datenschutzbeauftragten, der an Prüfungen mitwirkt.
TTDSG und ePrivacy: Dabei handelt es sich um ergänzende Vorschriften u. a. zu Cookies und Kommunikation.
EU Data Act und AI Act (2024/2025): Neue Pflichten für datenbasierte Dienste und KI‑Systeme sollten im Prüfkatalog berücksichtigt werden, um Frühwarnindikatoren für künftige Compliance‑Anforderungen zu setzen.

Datenschutz Seminare für Einsteiger und Fortgeschrittene

Ein Mann steht an einem Whiteboard und erklärt lächelnd

Die Datenschutzexperten der KEDUA GmbH bietet für Einsteiger und Fortgeschrittene entsprechende Datenschutzseminare an.

Nicht nur gesetzliche Richtlinien, sondern auch umfangreiche branchen- und bereichsspezifische Informationen gilt es beim Thema Datenschutz zu kennen. Vom Grundlagenseminar bis hin zum tief greifenden Aufbauseminar ermöglichen wir Ihnen zahlreiches Datenschutz-Wissen.

zur Seminar-Übersicht

Wann sollte ein Unternehmen eine Datenschutzprüfung durchführen?

Ein Unternehmen sollte eine Datenschutzprüfung in verschiedenen Situationen einplanen, um den gesetzlichen Anforderungen gerecht zu werden und Datenschutzrisiken frühzeitig zu erkennen. Zum einen empfiehlt sich eine regelmäßige Überprüfung – idealerweise alle 12 bis 24 Monate. Der genaue Rhythmus hängt dabei von der jeweiligen Branche, dem individuellen Risikoprofil sowie etwaigen behördlichen Vorgaben ab.

Darüber hinaus sollte auch anlassbezogen geprüft werden, etwa bei der Einführung neuer Prozesse oder Technologien, wie zum Beispiel KI-gestützter Analysetools. Ebenso ist eine Datenschutzprüfung angezeigt bei strukturellen Veränderungen wie Fusionen, dem Outsourcing von Geschäftsbereichen oder dem Wechsel von Dienstleistern. Auch im Fall von Datenpannen oder Beschwerden betroffener Personen muss eine Prüfung umgehend erfolgen.

Nicht zuletzt ist auch eine projektspezifische Prüfung sinnvoll: Vor dem produktiven Start größerer IT-Systeme – dem sogenannten Go Live – empfiehlt sich die Durchführung einer Datenschutzfolgeabschätzung (DSFA). Diese kann in eine umfassendere Datenschutzprüfung eingebettet werden.

Häufige Stolpersteine und Best Practises

Stolperstein	Best Practice
unvollständiges Verzeichnis der Verarbeitungstätigkeiten (VVT)	VVT automatisiert aus Prozess‑ und Systemdokumentation ableiten
„Papier‑Compliance“ ohne technische Prüfung	Kombination aus Dokumenten‑Review und Live‑Tests
einmalige Audit‑Aktion	Audit als kontinuierlichen Verbesserungsprozess etablieren
Silodenken zwischen Datenschutz und IT‑Security	gemeinsame, cross‑funktionale Auditteams bilden
fehlende Sensibilisierung der Mitarbeitenden	rollenspezifische, praxisnahe Schulungen anbieten

Ablauf einer Datenschutzprüfung

Eine Datenschutzprüfung beginnt mit der Festlegung des Prüfungsumfangs und der Zielsetzung durch die zuständige Aufsichtsbehörde oder interne Revision. Anschließend werden relevante Unterlagen wie Verzeichnisse von Verarbeitungstätigkeiten, Datenschutzrichtlinien und technische Maßnahmen angefordert und geprüft.

In Interviews oder Vor-Ort-Begehungen wird die praktische Umsetzung des Datenschutzes bewertet. Die Prüfer analysieren mögliche Datenschutzverstöße oder Schwachstellen und dokumentieren ihre Feststellungen. Abschließend erfolgt eine Bewertung mit Empfehlungen oder Anordnungen zur Behebung festgestellter Mängel.

Vorbereitung: Scope und Verantwortlichkeiten festlegen

Rollen und Zuständigkeiten:

Datenschutzbeauftragter (DSB): fachliche Leitung und Schnittstelle zur Aufsicht
Prozess‑Owner und Fachabteilungen: stellen Informationen bereit, setzen Maßnahmen um
IT‑Security: liefert Systemdokumentationen, Log‑Daten und Testergebnisse
Management: genehmigt Budget und Maßnahmenplan, trägt letztlich die Verantwortung

Umfang definieren:

Prozesse: Kunden‑Onboarding, HR, Marketing‑Automation etc.
Systeme: ERP, CRM, Cloud‑Plattformen, mobile Apps
Dienstleister: Auftragsverarbeiter, Hoster, Call‑Center
Datenkategorien: Personenstammdaten, besondere Kategorien, Log‑Files

Durchführung: Methodik und Tools

Datenerhebung und Dokumentensichtung:

Verzeichnis der Verarbeitungstätigkeiten (VVT)
Verträge zur Auftragsverarbeitung (AVV)
Richtlinien (z. B. Lösch‑ & Berechtigungskonzepte)

Interviews und Begehungen: Fragen Sie Prozessverantwortliche systematisch zu Rechtsgrundlagen, Betroffenenrechten und TOM. Vor‑Ort‑Begehungen decken „lebende“ Prozesse auf, die in der Dokumentation fehlen.

Technische Tests:

Schwachstellenscans und Penetrationstests: prüfen Angriffsflächen der Systeme
Log‑ und Backup‑Analysen: verifizieren Datensicherungen und Zugriffsprotokolle
Automatisierte Checklisten‑Tools (z. B. OneTrust, DataGuard): standardisieren die Prüfung, sollten aber menschliche Expertise nicht ersetzen

Typische Prüfkriterien und Fragen

Gibt es für jede Verarbeitung eine klare Rechtsgrundlage (Art. 6 DSGVO)?
Werden Betroffenenrechte (Auskunft, Löschung, Datenportabilität) fristgerecht erfüllt?
Liegt ein wirksames Lösch‑ und Archivierungskonzept vor?
Sind Auftragsverarbeiter vertraglich strikt eingebunden und regelmäßig kontrolliert?
Decken die technischen Maßnahmen (Verschlüsselung, MFA, Pseudonymisierung) das Risiko‑Niveau ab?
Werden Daten in Drittstaaten übermittelt und existieren geeignete Garantien (SCCs, BCRs)?
Ist ein Verfahren zur Meldung von Datenpannen etabliert und geprobt?
Wie wird Privacy by Design/Default in Entwicklungs‑ und Beschaffungsprozesse integriert?

Dokumentation und Reporting

Formatieren Sie den Prüfbericht so, dass er sowohl für Fachabteilungen als auch Top‑Management verständlich ist. Ein aussagekräftiger Bericht sollte enthalten:

Management Summary mit Risikomatrix (kritisch, hoch, mittel, niedrig)
Feststellungen: detaillierte Beschreibung der Abweichungen mit Referenz auf Norm/Artikel
Empfehlungen: priorisierte Maßnahmen inkl. Ressourcenschätzung
Evidenzen: Interview‑Protokolle, Test‑Screenshots, Vertrags‑Exzerpte

Nachbereitung: Maßnahmenplan und Wirksamkeitskontrolle

Maßnahmen priorisieren (z. B. mithilfe von Risk‑Scores)
Verantwortliche und Deadlines im Projekt‑ oder Ticket‑System hinterlegen
Wirksamkeitskontrolle spätestens 3–6 Monate nach Umsetzung mit Stichproben und KPI‑Vergleichen (z. B. Zahl offener Betroffenenanfragen, Zeit bis Schließung)
Lessons learned dokumentieren und in Schulungen einfließen lassen

Interne vs. Externe Datenschutzprüfung

Kriterium	Interne Prüfung	Externe Prüfung
Kosten	geringer, da eigene Ressourcen	höher, aber planbar
Neutralität	eingeschränkt	hoch
Know‑how	unternehmensspezifisch	breite Markt‑ und Branchenkenntnis
Akzeptanz der Aufsichtsbehörden	ausreichend bei nachweislicher Unabhängigkeit	sehr hoch

Viele Unternehmen wählen einen hybriden Ansatz: Interne Self‑Assessments im Jahresverlauf und alle zwei Jahre ein unabhängiges externes Audit, um „Betriebsblindheit“ zu vermeiden.

Empfehlung der Datenschutzexperten

Eine professionelle Datenschutzprüfung schafft Transparenz, minimiert Haftungs‑ und Reputationsrisiken und stärkt das Vertrauen von Kunden, Mitarbeitenden und Partnern. Entscheidend sind eine klare Zieldefinition, die Einbindung aller relevanten Stakeholder und die konsequente Umsetzung der Maßnahmen. Wird der Auditzyklus als kontinuierlicher Verbesserungsprozess verstanden, wird Datenschutz vom Compliance‑Kostenfaktor zum echten Wettbewerbsvorteil.

zwei Geschäftsmännerarme die sich die Hand geben — Partnerschaftliche Zusammenarbeit

Sie haben weitere Fragen oder benötigen Hilfe?

Kontakt

Unsere Datenschutz-Experten unterstützen Sie, geben Hilfestellung und bieten maßgeschneiderte, individuelle Lösungen für Ihr Unternehmen. Wir kümmern uns um Ihren Datenschutz – von der einfachen Beratung, bis hin zur Erstellung eines Datenschutz-Managementkonzeptes.

FAQ

Wie unterscheidet sich eine Datenschutzprüfung von einer Datenschutzfolgeabschätzung (DSFA)?

Brauche ich zwingend einen externen Auditor?

Was bedeutet Scope in Zusammenhang mit Datenschutz?

Wie lange dauert eine vollständige Datenschutzprüfung?

Welche Tools unterstützen bei der Durchführung?

Müssen die Ergebnisse veröffentlicht werden?