Ratgeber · 28. Mai 2026
Datenschutz-Vor-Ort-Audit vorbereiten: Checkliste für KMU
So bereiten Sie sich auf einen Datenschutz-Vor-Ort-Audit vor: konkrete Checkliste, häufige Versäumnisse und realistischer Zeitplan.
Ein Datenschutz-Vor-Ort-Audit ist die wirksamste Methode, um den IST-Stand des Datenschutz-Systems ehrlich zu prüfen. Wer den Audit-Tag gut vorbereitet, spart Zeit, Geld und vermeidet Folge-Termine. Wer unvorbereitet ist, verliert einen Tag und bekommt am Ende eine Mängelliste, die nichts taugt — weil die Hälfte der Befunde an fehlender Doku liegt und nicht an echten Lücken.
Was ein Vor-Ort-Audit überhaupt ist
Es gibt zwei Audit-Typen, die in der Region häufig verwechselt werden:
- Eigenaudit: Vom Unternehmen selbst oder vom externen DSB durchgeführt. Freiwillig, vertraulich, dient der eigenen Standortbestimmung. Ergebnis: schriftliche Empfehlungs-Liste an die Geschäftsführung.
- Aufsichts-Audit: Vom LfDI BW angeordnet. Pflicht-Termin, der Audit-Bericht geht in die Akten der Aufsicht. Ergebnis: Maßnahmen-Anordnung oder Bußgeld.
Dieser Artikel beschreibt die Vorbereitung auf den Eigenaudit — also die Audit-Variante, die der Datenschutzbeauftragte (intern oder extern) jährlich durchführt. Mehr zur Aufsichts-Variante unter DSGVO Vor-Ort-Audit — was passiert.
Realistischer Zeitplan eines Audit-Tags
Ein typischer Eigenaudit in einem 20- bis 50-Mann-Betrieb folgt diesem Muster:
| Block | Dauer | Inhalt |
|---|---|---|
| Einstieg | 30 Min. | Gespräch mit Geschäftsführung, Veränderungen seit letztem Audit, Schwerpunktthemen |
| Doku-Sichtung | 90 Min. | VVT, AVVs, TOMs, Schulungs-Doku, Notfallplan, Löschkonzept, Datenschutzerklärung |
| Rundgang | 60 Min. | Räume, Schränke, Drucker, Bildschirme, Pausenraum (Stichprobe Clean Desk) |
| Mitarbeiter-Interviews | 60 Min. | 3–5 Mitarbeiter aus HR, Vertrieb, IT, Buchhaltung — was wissen sie wirklich? |
| IT-Check | 30 Min. | Logs, Zugriffsrechte, Backup-Status, USB-Politik, Update-Stand |
| Abschluss-Gespräch | 30 Min. | Erste Befunde, Prioritäten, Folge-Termine |
Insgesamt also 4 bis 6 Stunden. Wer schlecht vorbereitet ist, braucht den ganzen Tag und kommt trotzdem nicht durch.
Sieben Dokumente, die griffbereit liegen müssen
Das ist der Kern jeder Vorbereitung. Wer diese sieben Dokumente in einem Ordner (digital oder Papier) hat, kommt durch den Audit schnell:
1. Verarbeitungsverzeichnis (VVT) nach Art. 30 DSGVO
Das VVT listet alle Verarbeitungstätigkeiten — von Bewerbungs-Mailbox über Lohnbuchhaltung bis Cookie-Tracking. Pro Tätigkeit: Zweck, Datenarten, Empfänger, Speicherfristen, TOMs.
2. Auftragsverarbeitungs-Verträge (AVV)
Eine vollständige Liste aller AVV — typisch 8 bis 25 Verträge in einem KMU. Wichtig: Steuerberater, Lohnbüro, IT-Dienstleister, Cloud-Tools, Newsletter-Tool, Cookie-Tool.
3. Technische und organisatorische Maßnahmen (TOMs)
Schriftliche Beschreibung der TOMs — Zugriffskontrolle, Verschlüsselung, Backup-Konzept, Berechtigungs-Konzept, USB-Politik, Bildschirm-Sperre.
4. Datenschutzerklärung (Website)
Aktuelle Version mit allen Tracking-Tools, Drittland-Transfers, Cookie-Banner-Verweisen.
5. Schulungs-Dokumentation
Teilnehmer-Listen, Schulungs-Agenden, Test-Bögen der letzten 12 Monate. Mindestens eine Schulung pro Jahr für alle Mitarbeiter mit Datenkontakt.
6. Notfallplan für Datenpannen
A4-Seite mit Eskalations-Reihenfolge, Telefonnummern, Mindest-Inhalt der Meldung. Plus Dokumentation aller Datenpannen der letzten 24 Monate.
7. Löschkonzept
Schriftliche Festlegung der Aufbewahrungs- und Löschfristen pro Datenkategorie. Inkl. Routine für Mitarbeiter-Austritt, Kunden-Inaktivität, Bewerber-Daten.
Häufige Versäumnisse, die Audit-Tage versauen
Aus über 100 Audits in der Region wiederholen sich folgende Muster:
1. AVV in Outlook-Ordnern verstreut. Verträge liegen einzeln in Mail-Anhängen, statt zentral im DSB-Ordner. Der Auditor muss eine Stunde suchen, statt 5 Minuten zu prüfen.
2. VVT in zwei Versionen. Eine alte Word-Datei und eine neue Excel-Tabelle existieren parallel — niemand weiß, welche aktuell ist. Hier ist Klarheit Pflicht.
3. Schulungs-Doku ohne Unterschriften. Schulung wurde gemacht, aber die Teilnehmer haben nicht unterschrieben. Beweiswert: null.
4. Datenschutzerklärung von 2021. Wenn das TTDSG (2021) oder die Schrems-II-Anpassung (2020) nicht eingearbeitet ist, ist die Datenschutzerklärung formal veraltet.
5. Notfallplan nur im Kopf des Chefs. Wenn der Chef in Urlaub ist und eine Panne passiert, weiß niemand was. Notfallplan muss schriftlich, im Backup, an mehreren Stellen sein.
6. Löschkonzept fehlt komplett. “Wir löschen, wenn wir es nicht mehr brauchen” ist kein Konzept. Aufbewahrungsfristen müssen pro Datenkategorie definiert sein.
7. TOMs als Marketing-Liste. “Wir haben Antivirus und Firewall” reicht nicht. Die TOMs müssen die konkreten Maßnahmen mit Zuständigkeiten und Prüfintervallen beschreiben.
Vorbereitung der Mitarbeiter-Interviews
Das ist der Teil, den die meisten Geschäftsführer übersehen. Im Audit werden 3 bis 5 Mitarbeiter befragt — typisch aus HR, Vertrieb, IT und Buchhaltung. Gefragt wird zum Beispiel:
- Was ist eine Datenpanne? An wen melden Sie das?
- Wer darf in die Personalakte? Wo liegt die?
- Wenn ein Kunde anruft und seine Daten löschen will — was tun Sie?
- Welche Cloud-Tools sind freigegeben? Welche nicht?
- Wer hat Zugang zu den Bewerbungs-Mails?
Diese Fragen sollten die Mitarbeiter ohne Vorwarnung beantworten können. Wenn nicht — Schulungslücke. Wir empfehlen, einen kurzen “Fragen-Spickzettel” vor dem Audit zu verteilen, damit niemand kalt erwischt wird. Mehr zu Schulungs-Standards unter Mitarbeiter-Datenschutz-Schulung bzw. der entsprechenden Seite auf der Kosten-Seite.
Was am Audit-Tag selbst hilft
Konkrete Tipps für den Termin:
- Geschäftsführer am Start dabei — wenigstens die ersten 30 Minuten. Das setzt das Signal, dass Datenschutz ernst genommen wird.
- Konferenzraum oder Büro reserviert — der Auditor braucht Tisch, Strom, WLAN, ggf. Drucker.
- Mitarbeiter-Termine geblockt — die zu interviewenden Mitarbeiter sollten am Audit-Tag erreichbar sein.
- Doku-Ordner griffbereit — physisch oder als gemeinsamer Cloud-Ordner. Idealerweise mit Inhaltsverzeichnis.
- Snacks und Wasser — ein 6-Stunden-Audit ohne Versorgung wird unangenehm. Kein Witz.
Drei Mitarbeiter-Fragen, die fast immer schief gehen
Aus den Mitarbeiter-Interviews der letzten Jahre haben sich drei Fragen herauskristallisiert, die in fast jedem Audit zur Lücke führen. Wer seine Mitarbeiter im Vorfeld auf diese drei Themen sensibilisiert, hebt das Audit-Ergebnis spürbar:
Frage 1: “Wenn ein Kunde anruft und seine Daten löschen will — was tun Sie?” Die richtige Antwort: identifizieren, Anliegen schriftlich aufnehmen, an DSB oder Geschäftsführung weiterleiten, innerhalb 30 Tagen reagieren. Die typische Antwort in unvorbereiteten Praxen: “Da müsste ich erst mal nachfragen.” Das reicht nicht — die Mitarbeiter sollten wissen, dass eine Lösch-Anfrage eine Frist auslöst.
Frage 2: “Welche Cloud-Tools sind bei Ihnen freigegeben?” Die richtige Antwort: eine Liste, die der Mitarbeiter im Kopf hat oder auf einem Spickzettel. Die typische Antwort: “Wir nutzen halt, was praktisch ist.” Das ist eine Schatten-IT-Beichte — und in jedem dritten Audit der Anlass für eine Cloud-Inventur.
Frage 3: “Was ist eine Datenpanne — und an wen melden Sie das?” Die richtige Antwort: jede Verletzung der Vertraulichkeit, Integrität oder Verfügbarkeit ist meldepflichtig — Eskalation an DSB oder Geschäftsführung. Wer hier zögert oder nur “Datenklau” antwortet, hat eine Schulungs-Lücke.
Was nach dem Audit passiert
Im Anschluss an den Audit-Tag erstellt der DSB einen schriftlichen Audit-Bericht. Typischer Inhalt:
- Befunde nach Kategorien (Doku, IT-Sicherheit, Mitarbeiter, Prozesse)
- Bewertung pro Befund (kritisch / hoch / mittel / niedrig)
- Konkrete Maßnahmen-Empfehlungen mit Frist-Vorschlag
- Risiko-Bewertung im Gesamtkontext
Bei Kowoll-Mandaten erfolgt nach 4 bis 8 Wochen ein Nachprüfungs-Termin, in dem die Umsetzung der kritischen Maßnahmen geprüft wird. Das gehört zum Festpreis.
Was ein Audit in der Region kostet
Wenn der Audit als externe Einzelleistung gebucht wird (nicht im DSB-Mandat):
| Größe | Audit-Dauer | Festpreis |
|---|---|---|
| Bis 15 MA | 4 Stunden | 580–780 € |
| 15–50 MA | 6 Stunden | 780–1.200 € |
| 50–150 MA | 8 Stunden (zwei Tage) | 1.400–2.200 € |
Bei laufendem DSB-Mandat ist ein Jahresaudit im Festpreis enthalten — typisch zwischen 90 und 680 € pro Monat je nach Betriebsgröße. Mehr unter Leistungen und im Vergleich extern vs. intern regional.
Was Sie konkret tun sollten
Wenn Sie überlegen, einen Audit für Ihr Unternehmen anzusetzen, empfehlen wir:
- Vorbereitungs-Phase planen: Mindestens 2 Wochen vorher die sieben Dokumente sichten, Lücken identifizieren und vor dem Audit-Termin nachreichen.
- Termin in der ersten Jahreshälfte legen: Audit im Q1 oder Q2 gibt Zeit für Korrekturmaßnahmen vor dem Q4-Stress.
- Audit-Tag wirklich freischaufeln: Wer parallel Tagesgeschäft macht, verschwendet 30 % der Audit-Zeit.
Für eine konkrete Audit-Anfrage in der Region rufen Sie unter +49 7071 770371 an oder nutzen Sie das Kontaktformular. Wir kommen vor Ort in alle Standorte der Region. Mehr zur regionalen Verfügbarkeit auch im FAQ und in den Branchenseiten unter Branchen.
Weiterlesen
- Aufsichtsbehörde Baden-Württemberg: Was der LfDI BW prüft und wie er arbeitet Der Landesbeauftragte für den Datenschutz Baden-Württemberg (LfDI BW): Aufgaben, typische Prüf-Auslöser, Verhalten bei Anfragen — Praxis aus der Region Neckar-Alb.
- Datenschutz für Arztpraxen im Zollernalbkreis Datenschutz in Arztpraxen in Balingen, Hechingen und Albstadt: Patientendaten nach Art. 9, KIM, ePA und regionale Besonderheiten.
- Externer vs. interner Datenschutzbeauftragter — regional betrachtet Externer oder interner DSB für KMU in der Region Neckar-Alb? Kosten-Vergleich, Vor- und Nachteile, regionale Perspektive — wann lohnt sich was?