Datenschutzauditor

Ein Audit ist eine systematische und unabhängige Untersuchung, um festzustellen, ob die Ergebnisse den geplanten Anforderungen entsprechen und ob diese wirkungsvoll umgesetzt und geeignet sind, die fokussierten Ziele zu erreichen. Audits werden in unterschiedlichsten Bereichen des Wirtschaftslebens durchgeführt, z. B. in den Bereichen Umwelt, Qualitätsmanagement oder Informationsmanagement.

Im Datenschutz bedeutet dies demnach, inwiefern gesetzliche Datenschutzanforderungen eingehalten werden. Dies kann so aussehen, dass beispielsweise gezielte Arbeitsbereiche oder Arbeitsabläufe begutachtet werden, der Stand der IT-Sicherheit überprüft sowie Wirtschaftlichkeit und Wirksamkeit des internen Kontrollsystems dokumentiert werden.
Die Auditierung beim Verantwortlichen kann u. a. aus der Rechenschaftspflicht in Artikel 5 Abs. 2 DSGVO abgeleitet werden. Zudem lässt sich nahezu jeder Verantwortliche die Möglichkeit zur Durchführung eines Datenschutzaudits im Auftragsverarbeitungsvertrag mit seinen Dienstleistern einräumen.


Der Datenschutzauditor hat eigenständig oder gemeinsam mit seinem Auftraggeber die Möglichkeit Ziele oder Bereiche festzulegen, die einer näheren Prüfung unterzogen werden sollen. Dies kann unter anderem sein:

  • Allgemeine Datenschutzrichtlinien oder spezielle Betriebsvereinbarungen mit Bezug zum Datenschutz, z. B. Betriebsvereinbarung zum Homeoffice, zu Bring Your Own Device (BYOD) oder zum Mobile Device Management (MDM)
  • Stichprobenartige Überprüfung eines Auftragsverarbeiters oder von geschlossenen Auftragsverarbeitungsverträgen nach Art. 28 DSGVO
  • Datenschutzprozesse, wie der Umgang mit Betroffenenanfragen sowie Maßnahmen und der Ablauf bei möglichen Datenpannen oder auch schlicht Kontrollen ausgewählter Verzeichnisse von Verarbeitungstätigkeiten
  • Schulungsstand der Mitarbeiter
  • Technisch und organisatorische Maßnahmen (TOM) Inhouse oder bei Auftragnehmern

Durch den vereinbarten Leistungsumfang werden Zielsetzung und Aufgaben des Audits von vornherein deutlich.
Bei einem Datenschutzaudit nimmt nicht nur der Auditor selbst teil, sondern auch Zuständige aus betroffenen Bereichen. Nach sorgfältiger Prüfung, werden die Ergebnisse sowie Vorgehensweisen in einem Prüfbericht zusammengefasst.
Dieser Prüfbericht kann als Nachweis für entsprechende Umsetzung und Einhaltung der Datenschutzanforderungen gegenüber Aufsichtsbehörden oder Auftraggebern herangezogen werden.
Mithilfe von regelmäßigen Auditierungen kann nicht nur Vertrauen bei Kunden geschaffen, sondern auch potenzielle Vergehen frühzeitig erkannt und die Eintrittswahrscheinlichkeit erheblich reduziert werden.