DSGVO-Audit selbst gemacht: Die 12 Punkte, die wir bei jedem KMU zuerst prüfen

In den vergangenen Jahren haben wir bei mehreren Dutzend KMU in Bayern IT-Security-Audits durchgeführt. Ein Teil dieser Audits umfasste auch eine Überprüfung der DSGVO-Umsetzung — nicht als Rechtsberatung, sondern als technische und organisatorische Bestandsaufnahme. Dabei haben sich immer wieder dieselben zwölf Punkte als die kritischsten erwiesen: die Stellen, wo Unternehmen regelmäßig Lücken haben, oft ohne es zu wissen.

Diese Liste teilen wir hier. Nicht als Ersatz für eine professionelle DSGVO-Beratung, sondern als Orientierung für Geschäftsführer, die eine erste Einschätzung ihres eigenen Status wollen.

Die 12 Punkte, die wir bei jedem KMU zuerst prüfen

1. Verarbeitungsverzeichnis vorhanden und aktuell? Das Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) ist Pflicht für Unternehmen mit mehr als 250 Mitarbeitern — aber auch für kleinere Betriebe empfohlen, wenn regelmäßig sensible Daten verarbeitet werden. Wir finden es bei etwa der Hälfte der geprüften Unternehmen entweder gar nicht oder in einem Stand von 2018, der die seither eingeführten Tools und Prozesse nicht abbildet.

2. Auftragsverarbeitungsverträge (AVV) mit allen relevanten Dienstleistern? Cloud-Dienste, E-Mail-Newsletter-Software, Steuerberater-Tools, Buchhaltungssoftware als SaaS — all das sind potenzielle Auftragsverarbeiter. Viele Unternehmen haben AVVs mit ihrem Hauptdienstleister, aber nicht mit den zwölf anderen Tools, die sich über die Jahre angesammelt haben.

3. Datenschutzerklärung der Website vollständig und aktuell? Das klingt trivial, ist es aber nicht. Wir prüfen konkret: Werden alle eingesetzten Tracking-Tools genannt? Gibt es eine Rechtsgrundlage für jeden Verarbeitungszweck? Ist die Datenschutzerklärung nach dem letzten Relaunch aktualisiert worden? In einem von drei Fällen: nein.

4. Einwilligungen nachweisbar dokumentiert? Wer Newsletter verschickt, Cookies außerhalb der technisch notwendigen Kategorie setzt oder Formulardaten für Werbezwecke nutzt, braucht dokumentierte Einwilligungen. "Der hat damals zugestimmt" reicht nicht — es braucht ein Protokoll mit Zeitstempel, Inhaltsversion und Widerrufsmöglichkeit.

5. Zugriffsrechte im Active Directory oder der Benutzerverwaltung aktuell? Wir finden in fast jedem Audit ehemalige Mitarbeitende mit aktiven Konten. Manchmal mit Admin-Rechten. Manchmal haben diese Konten Zugriff auf Kundendaten. Das ist ein DSGVO-Problem und ein IT-Sicherheitsproblem gleichzeitig.

6. Backup-Konzept DSGVO-konform? Backups enthalten oft personenbezogene Daten. Die Frage ist: Wie lange werden sie aufbewahrt? Wo liegen sie — insbesondere bei Cloud-Backups: in welchem Land? Sind sie verschlüsselt? Werden Löschanfragen in Backups nachgezogen? Dieser letzte Punkt ist technisch anspruchsvoll und wird meistens nicht umgesetzt.

7. Datenschutzbeauftragter benannt, wenn erforderlich? Ab 20 Mitarbeitenden, die regelmäßig mit personenbezogenen Daten arbeiten, ist ein betrieblicher Datenschutzbeauftragter Pflicht. In Bayern können sich kleine Unternehmen an den LDA Bayern wenden, um zu klären, ob die Pflicht gilt. Wir erleben, dass viele Unternehmen die Schwelle falsch einschätzen — in beide Richtungen.

8. Technische und organisatorische Maßnahmen (TOMs) dokumentiert? Die TOMs beschreiben, wie das Unternehmen personenbezogene Daten technisch schützt: Verschlüsselung, Zugriffskontrollen, Pseudonymisierung, physische Sicherheit der Server, Mitarbeiterschulungen. Dieses Dokument muss existieren und muss die Realität abbilden — nicht was man gerne hätte, sondern was tatsächlich umgesetzt ist.

9. Meldepflicht bei Datenpannen bekannt und geübt? Art. 33 DSGVO verpflichtet zur Meldung von Datenschutzverletzungen innerhalb von 72 Stunden an die Aufsichtsbehörde. Wir fragen: Wer im Unternehmen weiß, was eine meldepflichtige Verletzung ist? Wer trifft die Entscheidung? Wer meldet? Meistens gibt es auf keine dieser Fragen eine klare Antwort.

10. Mitarbeiter geschult und Schulung dokumentiert? Phishing-Mails öffnet niemand absichtlich — aber wer die Signale nicht kennt, klickt trotzdem. DSGVO-Schulungen für neue Mitarbeiter und regelmäßige Auffrischungen sind keine Nice-to-haves, sondern Teil der TOMs. Die Schulung muss dokumentiert sein.

11. Löschkonzept vorhanden? Daten, die nicht mehr benötigt werden, müssen gelöscht werden. Das klingt einfach. In der Praxis bedeutet es: Jemand muss definieren, welche Daten wann gelöscht werden, wer das tut, und wie der Nachweis erfolgt. Ohne Konzept passiert entweder zu früh (Daten weg, die noch gebraucht werden) oder zu spät (Daten stehen herum, die längst hätten gelöscht sein müssen).

12. Dienstleister-Transfers außerhalb der EU geprüft? Cloud-Services mit Servern in den USA, Analytics-Tools mit US-Muttergesellschaft, Support-Tickets, die über US-Systeme laufen — all das ist ein Drittlandtransfer. Seit Schrems II ist das ein sensibles Thema. Die Frage ist nicht, ob US-Dienste genutzt werden dürfen (oft ja, mit den richtigen Schutzmaßnahmen), sondern ob das bewusst geprüft und dokumentiert ist.

Was der nächste Schritt ist

Diese Liste ist kein vollständiges DSGVO-Audit — sie ist ein erster Filter, um schnell einzuschätzen, wo die größten Lücken sind. Wenn mehr als vier dieser Punkte unklar oder offen sind, ist eine strukturierte Überprüfung sinnvoll.

Wir bieten DSGVO-technische Audits als Teil unserer IT-Security-Beratung an — mit Fokus auf die technischen und organisatorischen Maßnahmen, nicht auf Rechtsberatung. Für rechtliche Bewertungen empfehlen wir immer eine ergänzende Einschätzung durch einen Datenschutzjuristen. Was uns von IT-Consulting-Projekten unterscheidet: Wir schreiben keine Berichte, die in der Schublade landen, sondern begleiten die Umsetzung.

---