Ratgeber · 28. Mai 2026
DSGVO Vor-Ort-Audit: Was bei einem Datenschutz-Audit konkret passiert
Ablauf eines DSGVO-Vor-Ort-Audits im KMU: Vorbereitung, Durchführung, Ergebnis-Bericht. Aus der Praxis von über 100 Audits in der Region Neckar-Alb.
Wer zum ersten Mal einen externen Datenschutzbeauftragten beauftragt, hat meistens nur eine vage Vorstellung davon, was bei einem DSGVO-Audit eigentlich passiert. Kommt ein Mann mit Aktenkoffer und Klemmbrett? Wird die ganze Belegschaft befragt? Wie lange dauert es? Und vor allem: Was passiert, wenn etwas gefunden wird?
Wir machen seit 2018 Vor-Ort-Audits in KMU der Region Neckar-Alb — vom 5-Mann-Handwerksbetrieb bis zum mittelständischen Maschinenbauer mit 250 Mitarbeitern. Auf dieser Seite zeigen wir, was in der Praxis konkret passiert.
Vor dem Audit: Was Sie vorbereiten sollten
Die Vorbereitung ist erstaunlich überschaubar. Wir bringen den strukturierten Audit-Fragebogen mit, der über 200 DSGVO-Themen abdeckt — Sie müssen also keine eigene Liste erstellen.
Was Sie vorbereiten sollten, ist die Verfügbarkeit von Ansprechpartnern. Für ein gutes Audit brauchen wir Zugang zu Personen aus jedem datenschutzrelevanten Bereich:
- Geschäftsleitung (15–30 Minuten): strategische Fragen, Branchen-Kontext, geplante Themen
- IT-Verantwortliche (45–60 Minuten): Systeme, Software, Cloud-Dienste, Sicherheit, Backups
- Personalverantwortliche (30–45 Minuten): Bewerbung, Personalakte, Schulung, Zeiterfassung, Werksausweise
- Marketing oder Vertrieb (15–30 Minuten): Website, Newsletter, Tracking, Kundenakquise
- Operativer Leiter (15–30 Minuten): Verfahren, Schichtplanung, Logistik, Videoüberwachung
Bei kleinen Betrieben (5–15 Mitarbeiter) sind das oft 2–3 Personen, die alle Rollen abdecken. Bei mittelständischen Betrieben mit 50–150 Mitarbeitern sind es schnell 6–8 Gesprächspartner über einen Audit-Tag verteilt.
Außerdem hilfreich: ein kurzer Einblick in die zentralen Software-Systeme — ERP, CRM, Lohnbüro, Cloud-Speicher. Nicht im Detail, aber ein Login oder eine Demo-Session pro System.
Phase 1: Walk-through durch den Betrieb
Wir starten typischerweise mit einem Walk-through. Das heißt: eine Stunde mit Ihnen oder einem Vertreter der Geschäftsleitung durch alle Bereiche des Betriebs. Was wir uns dabei ansehen:
- Empfang und Besucherführung: Liegt das Besucherbuch offen? Werden Lieferanten-Pakete sichtbar abgelegt? Wer hat Zutritt?
- Büro-Arbeitsplätze: Bildschirme von außen einsehbar? Aktenstapel mit Personenbezug? Locked-screen-Policy?
- Server- und IT-Räume: Zutritt gesichert? Wer hat einen Schlüssel? Wie sind Backups gelagert?
- Personalbereich: Personalakten in abschließbarem Schrank? Bewerbungs-Mappen sichtbar? Schulungsunterlagen?
- Produktion und Lager: Videoüberwachung mit Hinweisschildern? Werksausweise mit Foto? Zeiterfassung mit oder ohne Biometrie?
- Pausenraum und WLAN: Gast-WLAN sicher abgetrennt? WLAN-Information nach Art. 13 DSGVO sichtbar?
- Werbung und Außenkommunikation: Mitarbeiterfotos auf Webseite? Social-Media-Aktivitäten? Bewertungs-Sammeln?
Das ist die Phase, in der wir die meisten praktischen Befunde aufnehmen. Theoretische DSGVO-Pflichten klären sich später am Schreibtisch — die echten Risiken liegen meistens in der gelebten Praxis vor Ort.
Phase 2: Einzelgespräche mit den Verantwortlichen
Nach dem Walk-through folgen die Einzelgespräche mit den oben genannten Rollen. Jedes Gespräch hat einen vorbereiteten Fragenkatalog, gleichzeitig lassen wir Raum für Themen, die spontan hochkommen.
Beispiel IT-Verantwortliche bei einem Reutlinger Maschinenbauer mit 80 Mitarbeitern: Welche Software ist im Einsatz? Welche AVV-Verträge liegen vor? Wo sind die Daten geographisch gespeichert? Wie laufen Backups? Wer hat administrative Rechte? Wie ist die Mitarbeiter-Schulung in Sachen IT-Sicherheit? Was passiert bei einem Cyber-Angriff? Wie werden Mitarbeiter-Kontos beim Austritt deaktiviert?
Diese Gespräche dauern in der Regel 45 bis 60 Minuten pro Person. Wir machen Notizen, kein Audio-Mitschnitt — alles, was wir aufnehmen, ist im Audit-Bericht später transparent dokumentiert.
Phase 3: Dokumenten-Sichtung
Während oder nach den Gesprächen schauen wir uns die zentralen Dokumente an:
- Bestehendes Verarbeitungsverzeichnis (wenn vorhanden)
- Datenschutzerklärung auf der Website
- AVV-Verträge mit den wichtigsten Dienstleistern
- Betriebsvereinbarungen zu Datenschutz-Themen (Videoüberwachung, Zeiterfassung, IT-Nutzung)
- Schulungsnachweise und Verpflichtungserklärungen der Mitarbeiter
- Notfallplan für Datenpannen
- ISO-Zertifikate oder andere Datenschutz-Audits
Das ist die Phase, in der Lücken sichtbar werden. Bei den meisten Erst-Audits in der Region Neckar-Alb stoßen wir auf 2–3 fehlende AVV-Verträge, ein veraltetes Verarbeitungsverzeichnis oder eine Datenschutzerklärung, die seit 2020 nicht mehr aktualisiert wurde.
Phase 4: Ergebnis-Bericht
Spätestens eine Woche nach dem Audit-Tag liefern wir den schriftlichen Audit-Bericht. Inhalt:
- Executive Summary (1 Seite) für die Geschäftsführung — was steht im grünen, gelben, roten Bereich?
- Bestandsaufnahme aller datenschutzrelevanten Verarbeitungen (Grundlage für das Verarbeitungsverzeichnis)
- Detaillierte Befundliste mit Ampelbewertung pro Punkt: rot (akutes Risiko), gelb (mittelfristig anzugehen), grün (im Soll)
- Priorisierte Maßnahmenliste: was sollten Sie in den nächsten 4, 8, 12 Wochen angehen?
- Aufwand-Schätzung pro Punkt — entweder von uns übernommen (im Festpreis enthalten) oder von Ihrem Team
- Empfohlene nächste Schritte und Zeitplan
Der Bericht ist im Schnitt 20–35 Seiten lang, je nach Betriebsgröße. Bei Audits in Tübingen, Reutlingen oder Pfullingen liefern wir den Bericht oft schon am Audit-Tag selbst; bei weiter entfernten Standorten wie Albstadt einen bis zwei Werktage später.
Was nach dem Audit-Bericht passiert
Sie haben drei Möglichkeiten:
- Sie übernehmen die Maßnahmen selbst — der Audit-Bericht ist Ihre Roadmap, wir sind nicht weiter involviert.
- Sie starten ein DSB-Mandat — wir übernehmen die kritischen Maßnahmen, schulen das Team, betreuen laufend.
- Sie kombinieren — bestimmte Themen machen Sie selbst, bei anderen lassen Sie uns unterstützen.
Die Variante 2 wählen rund 80 % unserer Audit-Mandanten in der Region. Mehr zu unseren Leistungen und unserem Ablauf.
Was ein Vor-Ort-Audit kostet
Im Rahmen eines DSB-Mandats ist der jährliche Audit-Tag im monatlichen Festpreis enthalten — ohne Aufschlag. Wenn Sie nur einen einmaligen Audit ohne laufende Betreuung wollen, vereinbaren wir einen Festpreis vorab, abhängig von Größe und Komplexität des Betriebs.
Der kostenlose Vor-Ort-Quickcheck ist eine Kurzversion des Audits — eine Stunde vor Ort, schriftliche Kurzanalyse innerhalb von 48 Stunden, keine Kosten, keine Verpflichtung. Wer in einer der 9 Städte unserer Region sitzt, kann den Quickcheck unverbindlich buchen.
Wenn Sie tieferes Interesse haben, was die Aufsichtsbehörde in Baden-Württemberg tut und wie sie auf Audits reagiert, lesen Sie unseren Artikel Aufsichtsbehörde Baden-Württemberg. Und wer im KMU-Mittelstand der Region sitzt: der Artikel KMU-Datenschutz auf der Schwäbischen Alb ist die praxisnahe Begleit-Lektüre.
Weiterlesen
- Aufsichtsbehörde Baden-Württemberg: Was der LfDI BW prüft und wie er arbeitet Der Landesbeauftragte für den Datenschutz Baden-Württemberg (LfDI BW): Aufgaben, typische Prüf-Auslöser, Verhalten bei Anfragen — Praxis aus der Region Neckar-Alb.
- Datenschutz für Arztpraxen im Zollernalbkreis Datenschutz in Arztpraxen in Balingen, Hechingen und Albstadt: Patientendaten nach Art. 9, KIM, ePA und regionale Besonderheiten.
- Externer vs. interner Datenschutzbeauftragter — regional betrachtet Externer oder interner DSB für KMU in der Region Neckar-Alb? Kosten-Vergleich, Vor- und Nachteile, regionale Perspektive — wann lohnt sich was?