Zum Hauptinhalt springen
HubSecure
Menü

Blog

Wie Sie ein DSGVO-Audit Ihres Unternehmens an einem Tag durchführen

Ein DSGVO-Audit erfordert keinen Berater und keine wochenlangen Meetings. Diese Schritt-für-Schritt-Anleitung führt Sie durch eine eintägige Selbstbewertung, die Ihre größten Compliance-Lücken aufzeigt und genau sagt, wo Sie zuerst ansetzen sollten.

· Von HubSecure Compliance

Ein formelles DSGVO-Audit durch einen externen Spezialisten ist für viele Unternehmen eine lohnenswerte Investition — aber nicht der einzige Weg, Ihre Compliance-Position zu verstehen. Eine strukturierte Selbstbewertung, ehrlich und systematisch durchgeführt, deckt die meisten wesentlichen Lücken auf und gibt Ihnen eine klare Aktionsliste.

Dieser Leitfaden führt Sie durch ein eintägiges DSGVO-Selbstaudit. Blockieren Sie einen vollen Arbeitstag, arbeiten Sie die Abschnitte der Reihe nach durch und dokumentieren Sie Ihre Antworten.

Vorbereitung: Was Sie benötigen

Blockieren Sie den Tag in Ihrem Kalender. Sammeln Sie folgendes:

  • Ihre aktuelle Datenschutzerklärung (von Ihrer Website)
  • Auftragsverarbeitungsverträge mit Softwareanbietern
  • Ihre aktuelle Datenlöschungsrichtlinie (falls vorhanden)
  • Die letzten 12 Monate Betroffenenanfragen und deren Bearbeitung
  • Ihr Datenpannenregister (falls vorhanden)
  • Mitarbeiterschulungsunterlagen zum Datenschutz

Falls eines dieser Dokumente nicht existiert, notieren Sie das. Das Fehlen selbst ist ein Befund.

Vormittag (9–12 Uhr): Die Datenlandschaft

9:00 — Verzeichnis der Verarbeitungstätigkeiten

Arbeiten Sie jede Kategorie personenbezogener Daten durch, die Ihr Unternehmen verarbeitet. Für jede beantworten Sie:

  • Welche Daten erheben wir?
  • Warum erheben wir sie? (der Zweck)
  • Was ist unsere Rechtsgrundlage?
  • Wo werden sie gespeichert?
  • Wer hat Zugang?
  • Wie lange bewahren wir sie auf?
  • Mit wem teilen wir sie?

Bewertung: Rot wenn Sie diese Fragen für eine Kategorie nicht beantworten können. Gelb wenn Sie ungefähre Antworten haben, aber nichts dokumentiert. Grün wenn Sie dokumentierte, aktuelle Antworten haben.

10:30 — Rechtsgrundlagenbewertung

Für jede Verarbeitungstätigkeit: Ist die Rechtsgrundlage korrekt und dokumentiert?

Häufige Fehler:

  • Einwilligung verwenden, wo eine geeignetere Grundlage gilt
  • Berechtigte Interessen ohne dokumentierten Abwägungstest angeben
  • Besondere Kategorien (Gesundheit, Biometrie) ohne zusätzliche Bedingung nach Artikel 9 verarbeiten

11:00 — Datenschutzerklärung prüfen

Lesen Sie Ihre Datenschutzerklärung, als würden Sie sie zum ersten Mal sehen. Prüfen Sie:

  • Beschreibt sie alle Verarbeitungstätigkeiten korrekt?
  • Nennt sie alle Auftragsverarbeiter und Dritten?
  • Erklärt sie die Rechtsgrundlage für jede Kategorie?
  • Erklärt sie Aufbewahrungsfristen?
  • Erklärt sie, wie Betroffene ihre Rechte ausüben können?
  • Ist sie in verständlicher Sprache verfasst?
  • Ist sie aktuell?

11:30 — Auftragsverarbeiterregister

Listen Sie jedes Unternehmen auf, das personenbezogene Daten in Ihrem Namen verarbeitet. Für jedes:

  • Ist ein unterzeichneter Auftragsverarbeitungsvertrag vorhanden?
  • Ist der AVV aktuell?
  • Enthält er die Pflichtklauseln nach Artikel 28 DSGVO?

Mittagspause: Bewertung und Priorisierung

Überprüfen Sie Ihre Roten Befunde vom Vormittag. Priorisieren Sie nach:

  1. Regulatorisches Risiko: Lücken bei Einwilligung, Rechtsgrundlage und AVVs ziehen die höchsten Bußgelder an
  2. Operatives Risiko: Lücken, die eine Reaktion auf Pannen oder Betroffenenanfragen verhindern würden
  3. Volumen: Lücken, die viele Personen betreffen, werden regulatorisch schwerer gewichtet

Schreiben Sie Ihre fünf dringendsten Maßnahmen auf.

Nachmittag (13–17 Uhr): Die operativen Kontrollen

13:00 — Betroffenenrechtsprozess

Testen Sie Ihren Prozess. Fragen Sie sich: Wenn ein Kunde uns heute eine Auskunftsanfrage schickte, was würde passieren?

  • Gibt es einen dedizierten Kanal für diese Anfragen?
  • Gibt es einen dokumentierten Prozess?
  • Wer ist für die Beantwortung zuständig?
  • Können wir alle Daten einer Person in allen Systemen lokalisieren?
  • Können wir Daten aus allen Systemen auf Löschantrag hin löschen?

14:00 — Datenpannen-Reaktion

Wenn wir morgen einen unbefugten Datenzugriff entdecken würden, was täten wir?

  • Haben wir ein schriftliches Reaktionsverfahren?
  • Weiß jeder Mitarbeiter, wie er eine vermutete Panne meldet?
  • Gibt es eine benannte verantwortliche Person?
  • Haben wir ein Pannenregister?

14:30 — Datenspeicherung

Ziehen Sie eine Stichprobe Ihrer Daten — Kundendaten von vor zwei Jahren, Daten ehemaliger Mitarbeiter, inaktive Interessentenlisten.

  • Sollten diese Daten noch gespeichert sein?
  • Gibt es definierte Aufbewahrungsfristen für jede Kategorie?
  • Wird die Aufbewahrung automatisch oder manuell durchgesetzt?

15:00 — Zugangskontrollen

  • Ist der Zugang zu personenbezogenen Daten auf die Bedürftigen beschränkt?
  • Wurden Konten ehemaliger Mitarbeiter deaktiviert?
  • Ist Mehrfaktor-Authentifizierung für Systeme mit personenbezogenen Daten erzwungen?

15:30 — Schulung

  • Haben alle Mitarbeiter, die personenbezogene Daten verarbeiten, in den letzten 12 Monaten eine DSGVO-Schulung erhalten?
  • Werden individuelle Teilnahmenachweise geführt?

16:00 — Grenzüberschreitende Übermittlungen

Wenn Sie Software nutzen, die Daten außerhalb der EU/des EWR überträgt:

  • Gibt es für jede Übermittlung einen Rechtsmechanismus?
  • Ist für US-Übermittlungen eine Transfer-Folgenabschätzung vorhanden?

Tagesende: Das Auditergebnis

Bis 17 Uhr sollten Sie haben:

  1. Eine Rot/Gelb/Grün-Bewertung über alle Abschnitte
  2. Eine priorisierte Liste der dringendsten Lücken
  3. Ein Verständnis, ob die Lücken systemisch oder operativ sind

Systemische Lücken — kein VVT, kein Pannenverfahren, keine AVVs — müssen zuerst angegangen werden. Operative Lücken sind in der Regel schneller zu beheben.

Was mit den Ergebnissen zu tun ist

Das Auditergebnis ist eine Aktionsliste, kein Bericht zum Ablegen. Weisen Sie jedem Roten Befund einen Verantwortlichen und eine Frist zu. Das Unternehmen, das dieses Audit durchführt und auf die Ergebnisse reagiert, ist wesentlich besser aufgestellt als eines, das die Selbstbewertung nie vornimmt.