Datenschutz-Audit: Checkliste & Ablauf für KMU (Selbstcheck)

Inhalt in Kürze

• Ein Datenschutz-Audit ist die systematische Standortbestimmung über alle DSGVO-Bereiche — Pflicht im Sinne der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO und der beste Schutz vor einer Behördenprüfung.
• Die Checkliste deckt sieben Bereiche ab: Dokumentation, Betroffenenrechte, Organisation, IT-Sicherheit, Website, Incident-Management und HR — jeder Punkt mit Cross-Link zum Tiefen-Artikel.
• Der Ablauf ist immer gleich: Scope → Doku-Review → Interviews/Begehung → Technik-Check → Gap-Analyse → priorisierter Maßnahmenplan → Re-Audit.
• Eine Ampel-Bewertung macht den Reifegrad messbar — grün, gelb, rot pro Bereich zeigt sofort, wo Sie vor der nächsten HmbBfDI-Anfrage nachbessern müssen.

Stand: Juni 2026 · Autor: Nils Oehmichen · Lesezeit: 11 Minuten

Sie wollen wissen, wo Ihr Unternehmen beim Datenschutz wirklich steht — bevor es der HmbBfDI, ein Großkunde oder Ihr eigener Auftraggeber im NIS2-Lieferanten-Fragebogen tut. Genau dafür ist ein Datenschutz-Audit da: eine ehrliche Bestandsaufnahme über alle Bereiche, mit klarem Befund und einer Liste, was zu tun ist. Dieser Artikel gibt Ihnen die komplette Audit-Checkliste zum Abarbeiten, den typischen Ablauf eines Audits und eine Ampel-Bewertung, mit der Sie Ihren Reifegrad in einer Stunde grob einschätzen können.

Wozu ein Datenschutz-Audit? Vier gute Gründe

Ein Audit ist kein Selbstzweck. Es gibt vier konkrete Anlässe, bei denen Hamburger KMU bei uns anrufen:

• Standortbestimmung. Sie wollen schlicht wissen, wo Sie stehen — nach einem Jahr DSGVO-Betrieb, nach einem Geschäftsführerwechsel oder weil das Bauchgefühl sagt: „Da war doch was.”
• Vorbereitung auf eine Behördenprüfung. Sie haben gehört, dass der HmbBfDI Ihre Branche prüft, oder Sie wollen schlicht vorbereitet sein, falls die Anfrage kommt.
• Kunden- oder Lieferanten-Audit. Ein Großkunde verlangt vor der Beauftragung den Nachweis Ihrer Datenschutz-Konformität — zunehmend getrieben durch die NIS2-Lieferkettenanforderungen, die auch kleinere Zulieferer treffen.
• Rechenschaftspflicht. Art. 5 Abs. 2 DSGVO verlangt, dass Sie die Einhaltung der Grundsätze nicht nur sicherstellen, sondern auch nachweisen können. Ein dokumentiertes Audit ist genau dieser Nachweis.

Die große Datenschutz-Audit Checkliste

Das Herzstück. Wir gliedern die Prüfung in sieben Bereiche. Arbeiten Sie jeden Punkt durch und notieren Sie ehrlich: vorhanden, lückenhaft oder fehlt komplett. Hinter den meisten Punkten finden Sie einen Link zum Tiefen-Artikel, falls Sie an einer Stelle nachschärfen müssen.

1. Dokumentation — die Pflichtnachweise

Das ist der Bereich, den jede Aufsichtsbehörde zuerst anfordert. Ohne diese Unterlagen ist jedes Audit rot.

• Verzeichnis von Verarbeitungstätigkeiten (VVT). Vollständig, aktuell, alle Prozesse erfasst — nach Art. 30 DSGVO Pflicht ab in der Regel 20 Mitarbeitern, oft auch darunter. Anleitung & Muster zum VVT.
• AVV-Register. Für jeden Dienstleister, der Daten in Ihrem Auftrag verarbeitet (Cloud, Newsletter, Lohnbüro), ein Auftragsverarbeitungsvertrag nach Art. 28 — geprüft und abgelegt.
• Technisch-organisatorische Maßnahmen (TOM). Dokumentiert nach Art. 32 DSGVO, als Anlage zu jeder AVV verlinkt. TOM-Vorlage nach Art. 32.
• Löschkonzept. Definierte Löschfristen pro Datenkategorie, dokumentiert und gelebt — nicht nur auf dem Papier.
• Datenschutz-Folgenabschätzung (DSFA). Für risikoreiche Verarbeitungen (Videoüberwachung, Profiling, große Mengen sensibler Daten) nach Art. 35 durchgeführt.
• Datenschutzerklärung (DSE). Aktuell, vollständig, auf der Website erreichbar — und passend zu den tatsächlich eingesetzten Tools.

2. Betroffenenrechte — sind Sie auskunftsfähig?

Hier scheitern viele KMU nicht an fehlender Doku, sondern an fehlenden Prozessen.

• Auskunftsprozess. Wer bearbeitet eine Auskunftsanfrage nach Art. 15? Gibt es einen definierten Ablauf? Auskunftsanfrage richtig beantworten.
• DSAR-Portal oder Eingangskanal. Eine klare Anlaufstelle für Betroffenenanfragen — eine E-Mail-Adresse, ein Formular, ein Portal.
• Fristen im Griff. Ein Monat für die Beantwortung (Art. 12 Abs. 3), Verlängerung um zwei weitere Monate nur in begründeten Fällen — und der Fristenlauf wird tatsächlich überwacht.
• Weitere Rechte abgedeckt. Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch sind prozessual berücksichtigt.

3. Organisation — Rollen und Verpflichtungen

• Datenschutzbeauftragter bestellt und gemeldet. Wenn pflichtig (ab in der Regel 20 Personen mit Datenverarbeitung) — bestellt, qualifiziert und beim HmbBfDI online gemeldet. Wann ist ein DSB Pflicht?
• Mitarbeiter auf Vertraulichkeit verpflichtet. Verpflichtung auf das Datengeheimnis nach Art. 28/29, dokumentiert pro Person.
• Schulungen durchgeführt und nachgewiesen. Regelmäßige Datenschutz-Sensibilisierung — mit Teilnahmenachweis, nicht nur als gut gemeinte Absicht.

4. IT-Sicherheit — die technische Basis

• Multi-Faktor-Authentifizierung (MFA). Auf allen externen Zugängen, E-Mail und Cloud-Diensten aktiviert. MFA im Unternehmen einführen.
• Backup-Konzept. Regelmäßige, getestete Backups nach 3-2-1-Regel, mindestens eine Kopie offline oder unveränderbar.
• Patch-Management. Updates für Betriebssysteme, Anwendungen und Firmware werden zeitnah eingespielt.
• IT-Sicherheitskonzept. Dokumentierte Sicherheitsarchitektur, idealerweise an BSI-Grundschutz orientiert.
• Microsoft 365 datenschutzkonform konfiguriert. Wer M365 nutzt, hat Drittlandtransfer, Telemetrie und Berechtigungen im Griff.

5. Website — der öffentlich sichtbare Teil

• Cookie-Banner rechtssicher. Opt-in für nicht-notwendige Cookies, granulare Auswahl, kein Dark Pattern — nach TTDSG/TDDDG. Cookie-Banner rechtssicher aufsetzen.
• Datenschutzerklärung passt zur Realität. Alle eingesetzten Tools (Analytics, Fonts, Maps, Tracking-Pixel) sind genannt und korrekt beschrieben.

6. Incident-Management — der Ernstfall

• Datenpannen-Prozess steht. Jeder im Haus weiß, was bei einem Vorfall zu tun ist — und die 72-Stunden-Meldefrist nach Art. 33 ist eingeplant. Datenpanne: 72-Stunden-Frist.
• Notfallplan vorhanden. Kontaktketten, Verantwortlichkeiten und ein Muster für die Behördenmeldung liegen griffbereit — nicht erst im Schadensfall gesucht.

7. HR & Beschäftigtendatenschutz

• Beschäftigtendatenschutz geregelt. Klar, welche Mitarbeiterdaten zu welchem Zweck verarbeitet werden — und welche Grenzen für den Arbeitgeber gelten.
• Bewerberdaten korrekt behandelt. Aufbewahrung und Löschung nach Abschluss des Verfahrens geregelt.
• Videoüberwachung DSGVO-konform. Falls eingesetzt: Rechtsgrundlage, Hinweisschilder, Löschfristen und eine DSFA für die Kamera-Bereiche.

Der Ablauf eines Datenschutz-Audits

Ob Sie selbst auditieren oder einen externen Auditor holen — der Ablauf folgt immer demselben Muster. So gehen wir bei einem Mandanten-Audit vor:

1. Scope festlegen. Welche Standorte, Bereiche und Verarbeitungen werden geprüft? Ein Hamburger Maschinenbauer mit Vertrieb in Bergedorf und Lager in Harburg braucht einen anderen Scope als eine reine Bürodienstleistung in Eppendorf.
2. Doku-Review. Durchsicht aller Unterlagen aus Bereich 1 — VVT, AVV-Register, TOMs, Löschkonzept, DSFA, Datenschutzerklärung. Hier zeigt sich schnell, ob ein Datenschutz-Managementsystem gelebt oder nur behauptet wird.
3. Interviews & Begehung. Gespräche mit Geschäftsführung, IT und den Fachabteilungen. Oft kommt erst hier heraus, dass eine Schatten-IT existiert oder die Marketing-Abteilung ein Tool nutzt, von dem niemand wusste.
4. Technik-Check. MFA, Backup, Patch-Stand, Berechtigungskonzept, M365-Konfiguration — die TOMs aus Bereich 4 werden gegen die Realität geprüft.
5. Gap-Analyse. Soll-Ist-Abgleich: Wo klafft eine Lücke zwischen DSGVO-Anforderung und gelebter Praxis? Jede Lücke wird mit einem Risiko bewertet.
6. Maßnahmenplan & Priorisierung. Aus den Lücken wird eine To-do-Liste — sortiert nach Risiko und Aufwand. Was die größte Wirkung bei kleinstem Aufwand bringt, kommt zuerst.
7. Re-Audit. Nach Umsetzung wird kontrolliert, ob die Maßnahmen greifen. Idealerweise jährlich wiederholt — Datenschutz ist kein Projekt, sondern ein Kreislauf.

Reifegrad messbar machen — die Ampel-Bewertung

Eine reine Ja/Nein-Liste sagt wenig. Aussagekräftiger ist eine Ampel-Bewertung pro Bereich, wie sie auch das Datenschutz-Reifegradmodell des Bitkom vorschlägt. So sehen Sie auf einen Blick, wo der Hebel sitzt:

Bewerten Sie jeden der sieben Checklisten-Bereiche mit einer Farbe. Drei oder mehr rote Bereiche heißt: akuter Handlungsbedarf, eine Behördenprüfung würde aktuell schmerzhaft. Überwiegend grün mit ein, zwei gelben Punkten ist ein gesunder Stand, an dem man kontinuierlich feilt.

Was die HmbBfDI-Prüfung typischerweise verlangt

Wer für die Aufsichtsbehörde übt, sollte wissen, wie sie prüft. In Deutschland läuft eine Datenschutzprüfung in den meisten Fällen schriftlich an: Die Behörde verschickt einen Fragebogen mit Dokumentenanforderung und einer Antwortfrist von oft zwei bis vier Wochen. Unangekündigte Vor-Ort-Prüfungen sind möglich, aber bei KMU die Ausnahme.

Typisch angefordert werden:

• Verzeichnis von Verarbeitungstätigkeiten — fast immer der erste Punkt.
• Technisch-organisatorische Maßnahmen nach Art. 32.
• Nachweis der DSB-Bestellung und die Meldung an die Behörde.
• Ausgewählte Auftragsverarbeitungsverträge mit Dienstleistern.
• Löschkonzept und Nachweis gelebter Löschpraxis.
• Datenschutzerklärung und Cookie-Einwilligung der Website.

Das ist exakt die Reihenfolge unserer Checkliste — kein Zufall. Wer das Audit gemacht hat, zieht die Antworten aus der Schublade. Was Sie tun sollten, wenn der Brief tatsächlich im Kasten liegt, steht im Detail in unserem Leitfaden HmbBfDI-Anfrage bekommen — was tun?.

Audit mit System: Hugo DSB als Werkzeug, externer DSB als Auditor

Ein Audit ist nur so gut wie die Daten, auf die es zugreift. Wer VVT, AVV, TOMs und Löschkonzept in verstreuten Word-Dateien pflegt, verbringt das halbe Audit mit Suchen. Unsere Plattform Hugo DSB hält all diese Bausteine an einem Ort — VVT mit 400+ Vorlagen, AVV-Bibliothek, TOM-Modul, Löschkonzept, Datenpannen-Wizard mit 72-Stunden-Tracker und DSAR-Portal. Ein Audit wird damit zum Klicken durch Module statt zur Aktenschlacht.

Den objektiven Blick liefert der externe Datenschutzbeauftragte. Als TÜV-zertifizierter DSB (ISO/IEC 17024) kennt Nils Oehmichen die Prüflogik der Behörden und die Erwartungen von Kunden-Audits — und sieht die blinden Flecken, die der eigenen Mannschaft durch Betriebsblindheit entgehen.

Aus der Praxis

Fünf Tage vor der TÜV-Rezertifizierung ISO 9001 kam die E-Mail: Können Sie uns helfen? Der Auditor war am Ende begeistert. Genau dafür ist ein Audit da — nicht um Häkchen zu sammeln, sondern um vor der echten Prüfung zu wissen, wo man steht, und die Lücken in Ruhe zu schließen.

Nils OehmichenExterner Datenschutzbeauftragter bei frag.hugo

Das ist der Punkt: Ein Audit unter Zeitdruck ist Stress, ein Audit als ruhige jährliche Routine ist Souveränität. Die meisten unserer Hamburger Mandanten — vom Drei-Personen-Betrieb bis zum Mittelständler mit 200 Mitarbeitern — fahren genau diesen Rhythmus: einmal im Jahr durch die Checkliste, Lücken priorisieren, abarbeiten, fertig.

Fazit / Ihr nächster Schritt

Ein Datenschutz-Audit ist die ehrlichste Antwort auf die Frage „Wie gut sind wir wirklich aufgestellt?”. Die Checkliste oben gibt Ihnen den Rahmen, die Ampel-Bewertung macht den Reifegrad sichtbar, und der Sieben-Schritte-Ablauf zeigt, wie ein systematisches Audit läuft. Starten Sie mit einem Selbstcheck — und holen Sie sich für die belastbare Bewertung den externen Blick dazu, besonders vor einer Behörden- oder Kundenprüfung.

Häufige Fragen (FAQ)

Was ist ein Datenschutz-Audit?

Ein Datenschutz-Audit ist eine systematische Prüfung, ob ein Unternehmen die DSGVO und das BDSG einhält. Geprüft werden Dokumentation (VVT, TOMs, AVV, Löschkonzept), Betroffenenrechte, Organisation, IT-Sicherheit, Website und der Umgang mit Datenpannen. Ergebnis ist eine Standortbestimmung mit Gap-Analyse und einem priorisierten Maßnahmenplan. Es dient der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO.

Wie oft sollte ein Datenschutz-Audit durchgeführt werden?

In der Praxis hat sich ein jährliches Datenschutz-Audit etabliert — zusätzlich anlassbezogen nach größeren Änderungen wie einem neuen IT-System, einem Dienstleisterwechsel, einer Datenpanne oder vor einem Kunden-Audit. Die regelmäßige Überprüfung ist Teil der Rechenschaftspflicht und in Art. 32 Abs. 1 lit. d DSGVO für die technisch-organisatorischen Maßnahmen ausdrücklich gefordert.

Was prüft die Datenschutz-Aufsichtsbehörde bei einer Kontrolle?

Die Aufsichtsbehörde — in Hamburg der HmbBfDI — verschickt meist zunächst einen schriftlichen Fragebogen und fordert Dokumente an: das Verzeichnis von Verarbeitungstätigkeiten, die technisch-organisatorischen Maßnahmen, die Bestellung des Datenschutzbeauftragten, Auftragsverarbeitungsverträge, das Löschkonzept und die Datenschutzerklärung. Antwortfristen liegen oft bei zwei bis vier Wochen. Wer ein gepflegtes Audit-Ergebnis vorlegen kann, ist sofort auskunftsfähig.

Kann ich ein Datenschutz-Audit selbst durchführen?

Ja, ein interner Selbstcheck über die Checkliste in diesem Artikel deckt die meisten Lücken auf und ist eine gute Standortbestimmung. Für die Bewertung von Risiken, eine belastbare Gap-Analyse und die rechtssichere Priorisierung empfiehlt sich ein externer Auditor — etwa ein TÜV-zertifizierter Datenschutzbeauftragter. Vor einer Behördenprüfung oder einem Kunden-Audit ist ein externer Blick fast immer die bessere Wahl.

Was ist der Unterschied zwischen einem Selbstcheck und einem externen Audit?

Ein Selbstcheck ist die eigene Bestandsaufnahme anhand einer Checkliste — schnell, kostenlos, aber mit dem blinden Fleck der Betriebsblindheit. Ein externes Audit bringt einen geschulten, unabhängigen Auditor ins Haus, der Dokumente prüft, Interviews führt, die Technik checkt und eine objektive Reifegrad-Bewertung mit Maßnahmenplan liefert. Externe Ergebnisse haben gegenüber Behörden und Kunden mehr Gewicht.

Wie lange dauert ein Datenschutz-Audit für ein KMU?

Für ein KMU mit 20 bis 100 Mitarbeitern dauert ein gründliches Audit je nach Ausgangslage und Komplexität in der Regel ein bis drei Tage für Doku-Review, Interviews und Technik-Check, plus Aufbereitung von Gap-Analyse und Maßnahmenplan. Ein reiner Selbstcheck über die Checkliste ist an einem konzentrierten Vormittag machbar, deckt aber nur die Oberfläche ab.

Recherche-Stand: verifiziert am 6. Juni 2026 über dsgvo-gesetz.de (Art. 5, Art. 32 DSGVO), bitkom.org (Datenschutz-Reifegradmodell) und datenschutz-hamburg.de (HmbBfDI-Prüfpraxis).