Der Ablauf eines Datenschutzaudits verläuft bei mir in folgenden Schritten:

1. Vorbereitung

• Definition des Audit-Ziels (z. B. interne Kontrolle, Vorbereitung auf Behördenprüfung)
• Bestimmung des Audit-Teams (intern oder extern)
• Festlegung des Audit-Umfangs (welche Abteilungen, Prozesse, Systeme werden geprüft)

2. Erhebung und Analyse

• Erhebung des IST-Zustands:
  • Welche Daten werden verarbeitet?
  • Woher stammen sie?
  • Wer hat Zugriff?
  • Wie lange werden sie gespeichert?
• Überprüfung der Dokumentation:
  • Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO)
  • Auftragsverarbeitungsverträge (AVV)
  • Datenschutzerklärungen
  • Einwilligungen
  • Löschkonzepte
• Technisch-organisatorische Maßnahmen (TOMs):
  • Zugriffsschutz, Verschlüsselung, Backups, etc.
• Interviews mit Verantwortlichen und Mitarbeitern

3. Bewertung und Abgleich

• Vergleich mit den rechtlichen Anforderungen, z. B.:
  • DSGVO
  • BDSG (neu)
  • TDDDG
  • branchenspezifische Vorgaben
• Risikobewertung:
  • Welche Datenschutzrisiken bestehen?
  • Gibt es Datenschutzverletzungen oder Lücken?

4. Empfehlungen und Maßnahmenplan

• Konkrete Handlungsempfehlungen zur Behebung von Mängeln
• Priorisierung der Maßnahmen (z. B. nach Risiko)
• Zeitplan zur Umsetzung
• Optional: Schulungen, Awareness-Maßnahmen

5. Auditbericht

• Zusammenfassung der Erkenntnisse
• Dokumentation der Feststellungen, Bewertungen und Empfehlungen
• Der Bericht dient als Nachweis gegenüber Behörden oder im Haftungsfall