0345-78282673
KMGIT GmbH
Security

DSGVO-Audit in sieben Schritten: Self-Check-Liste für mittelständische Unternehmen

Wie ein DSGVO-Audit im KMU konkret abläuft — Verarbeitungsverzeichnis, TOM, AV-Verträge, Löschkonzept und eine Self-Check-Liste zum Mitnehmen.

KMGIT Redaktion 6 Min. Lesezeit

Die DSGVO ist seit 2018 in Kraft. Die meisten KMU haben damals eine Erstumsetzung gemacht — eine Datenschutzerklärung, ein paar AV-Verträge, ein Verarbeitungsverzeichnis aus einem Mustertext. Was wir 2026 in der Praxis sehen: viele dieser Initial-Implementierungen sind nie wieder angefasst worden. Neue Tools (Microsoft 365, Slack, HubSpot, Mitarbeiter-Apps) sind hinzugekommen, alte Verträge sind nicht aktualisiert, das Löschkonzept existiert nur auf dem Papier. Eine Aufsichtsbehörde, die ernsthaft prüft, findet in einer Stunde mehr Verstöße als sie aufschreiben kann.

Ein strukturiertes DSGVO-Audit identifiziert diese Lücken und priorisiert die Behebung. Wir führen solche Audits regelmäßig in mittelständischen Unternehmen in Sachsen-Anhalt durch. Dieser Beitrag beschreibt das Vorgehen in sieben Schritten — und schließt mit einer Self-Check-Liste, die Sie sofort einsetzen können.

Schritt 1 — Verarbeitungsverzeichnis prüfen

Art. 30 DSGVO verlangt ein Verzeichnis aller Verarbeitungstätigkeiten. In der Praxis ist das meist eine Excel-Liste oder ein Dokument in der Datenschutz-Software. Was geprüft wird:

  • Vollständigkeit: sind alle aktuell verwendeten IT-Systeme erfasst? Microsoft 365, CRM, ERP, Bewerber-Tools, Mitarbeiter-Chat, Tracking auf der Website.
  • Aktualität: ist die letzte Bearbeitung jünger als ein Jahr? Welche IT-Systeme sind seit der letzten Aktualisierung dazugekommen?
  • Plausibilität: passen die genannten Zwecke und Rechtsgrundlagen zum tatsächlichen Einsatz?
  • Rechtsgrundlagen: Vertrag (Art. 6 Abs. 1 lit. b DSGVO), berechtigtes Interesse (lit. f) oder Einwilligung (lit. a) — die häufigsten in einem KMU.

Häufiger Fund: das Verarbeitungsverzeichnis listet “Outlook” — verwendet wird seit zwei Jahren Microsoft 365 mit Exchange Online, ohne dass der Übergang dokumentiert wurde.

Schritt 2 — Technisch-organisatorische Maßnahmen (TOM)

Art. 32 DSGVO verlangt “angemessene technische und organisatorische Maßnahmen”. Was 2026 als “angemessen” gilt, hat sich gegenüber 2018 verändert. Mindestens gehört dazu:

  • Verschlüsselung ruhender Daten auf Notebooks (BitLocker oder vergleichbar), Servern (Volume-Verschlüsselung) und Backups.
  • MFA für externen Zugriff, idealerweise FIDO2 für privilegierte Konten — siehe unseren Beitrag zu Phishing und MFA.
  • Patch-Management mit dokumentierten SLAs.
  • Berechtigungskonzept auf Basis von Rollen, nicht von Einzelpersonen.
  • Backup nach 3-2-1-Regel mit Air-Gap, siehe unsere Backup-Strategie.
  • Incident-Response-Plan mit definierten Eskalationsstufen.

Diese Maßnahmen müssen nicht nur existieren, sondern dokumentiert sein. Wir empfehlen ein TOM-Dokument von 5–10 Seiten, das einmal jährlich reviewt wird.

Schritt 3 — Auftragsverarbeitungs-Verträge (AVV)

Art. 28 DSGVO verlangt für jeden Auftragsverarbeiter einen schriftlichen AV-Vertrag. In der Praxis fehlen die häufig — oder existieren mit der falschen Rechtsperson. Was zu prüfen ist:

  • AVV mit Microsoft Ireland Operations Ltd. für Microsoft 365 (im Microsoft Trust Center abrufbar).
  • AVV mit Google Ireland Ltd. für Google Workspace.
  • AVV mit dem Hosting-Provider (Hetzner, IONOS, AWS Frankfurt, etc.).
  • AVV mit Newsletter-Tool (CleverReach, Mailchimp, Brevo etc.).
  • AVV mit Lohnabrechnungs-Dienstleister, externem Buchhalter, Steuerberater (sofern als Auftragsverarbeitung organisiert).
  • AVV mit IT-Dienstleister — KMGIT-Kunden bekommen den AVV standardmäßig.

Sammeln Sie alle AVVs in einem zentralen Ordner. Die Aufsichtsbehörde wird im Prüfungsfall die Liste anfordern.

Schritt 4 — Drittland-Transfers (Schrems II)

Seit dem Schrems-II-Urteil ist die Übermittlung personenbezogener Daten in Drittländer (insbesondere USA) ein eigenes Prüffeld. Wer Microsoft 365, Google Workspace, Slack, HubSpot oder Tools mit US-Mutterkonzern einsetzt, muss prüfen:

  • Liegt eine Adäquanz-Entscheidung der EU-Kommission vor? Für die USA gilt das EU-US Data Privacy Framework seit dem 10.07.2023.
  • Ist der Anbieter im DPF zertifiziert? Liste prüfbar unter dataprivacyframework.gov.
  • Sind ergänzende Maßnahmen (zusätzliche Verschlüsselung, EU-Datenresidenz) getroffen?

Mehr zu Schrems II und Microsoft 365 in unserem Beitrag zu M365 für Steuerkanzleien — die Logik gilt analog für alle KMU.

Schritt 5 — Lösch- und Aufbewahrungskonzept

Die DSGVO verlangt, personenbezogene Daten nur so lange zu speichern, wie sie für den Zweck erforderlich sind (Art. 5 Abs. 1 lit. e DSGVO). Gleichzeitig gelten steuerliche Aufbewahrungsfristen (10 Jahre nach § 147 AO und § 257 HGB). Das Spannungsfeld muss aktiv aufgelöst werden.

Ein praktikables Lösch- und Aufbewahrungskonzept beschreibt für jede Datenkategorie:

  • Speicherort (System, Datenbank-Tabelle, Akten-Ordner).
  • Aufbewahrungsdauer mit Bezug zur Rechtsgrundlage.
  • Lösch-Verfahren (manuell, automatisch, kombiniert).
  • Verantwortlichkeit (welche Rolle löscht).
  • Dokumentation des Löschvorgangs (insbesondere bei Kunden- und Bewerber-Daten).

Häufiger Fund: das CRM hat 2018er-Daten, weil “nie jemand etwas gelöscht hat”. Allein das ist ein Verstoß gegen Art. 5 DSGVO.

Schritt 6 — Betroffenenrechte

Art. 12 bis 22 DSGVO geben Betroffenen umfangreiche Rechte: Auskunft, Berichtigung, Löschung, Datenübertragbarkeit, Widerspruch. Ein KMU muss in der Lage sein, diese Anfragen innerhalb von 30 Tagen (Art. 12 Abs. 3 DSGVO) zu beantworten.

Was zu prüfen ist:

  • Existiert ein Prozess für eingehende Anfragen? Wer nimmt sie entgegen, wer dokumentiert, wer antwortet?
  • Kann ein Auskunftsersuchen technisch erfüllt werden? Wenn Kundendaten in 12 Systemen liegen, ist ein vollständiger Auskunfts-Auszug ohne Vorarbeit nicht möglich.
  • Wird der Antwort-Brief mustermäßig geprüft? Mit Verweis auf die konkrete Rechtsgrundlage, Auflistung der Datenkategorien, Empfänger und Speicherdauer.

In den letzten 18 Monaten ist die Zahl der Auskunftsersuchen — auch missbräuchlich gestellte als Druckmittel im Streitfall — deutlich gestiegen. Wer hier nicht antwortet, riskiert Bußgelder.

Schritt 7 — Datenpannen-Meldewesen

Art. 33 DSGVO verlangt die Meldung einer Datenpanne an die zuständige Aufsichtsbehörde innerhalb von 72 Stunden. Für KMU in Sachsen-Anhalt ist das der Landesbeauftragte für den Datenschutz Sachsen-Anhalt.

Was vorbereitet sein muss:

  • Eskalations-Pfad: wer entscheidet, ob eine Datenpanne vorliegt?
  • Vorbereitete Melde-Vorlage für die Behörde.
  • Dokumentation aller Vorfälle — auch derer, die nicht meldepflichtig waren.
  • Mitteilung an Betroffene bei hohem Risiko (Art. 34 DSGVO).

Auch hier hilft ein Notfallplan — siehe unseren Beitrag zum Notfallplan IT-Ausfall in der Kanzlei, der sich auch auf KMU übertragen lässt.

Self-Check-Liste

Diese Liste sollten Sie selbst beantworten können — wenn nein, ist ein DSGVO-Audit überfällig:

  1. Wann wurde das Verarbeitungsverzeichnis zuletzt aktualisiert?
  2. Existiert ein aktuelles TOM-Dokument, das die heute eingesetzten Systeme abdeckt?
  3. Liegt ein AVV mit jedem aktiven IT-Dienstleister, Cloud-Anbieter und Marketing-Tool vor?
  4. Ist jeder Auftragsverarbeiter, der US-Daten verarbeitet, im DPF zertifiziert?
  5. Gibt es ein dokumentiertes Lösch- und Aufbewahrungskonzept?
  6. Wer im Unternehmen ist für Betroffenenanfragen zuständig — und ist diese Person erreichbar?
  7. Wer entscheidet bei einer Datenpanne, ob eine Meldung an die Behörde erfolgt?
  8. Wann fand die letzte Mitarbeiter-Schulung zu Datenschutz statt?
  9. Sind Backups DSGVO-konform (Verschlüsselung, EU-Standort, AV-Vertrag, Lösch-Konzept)?
  10. Existiert eine aktuelle, datenschutzkonforme Datenschutzerklärung auf der Website — siehe Datenschutzerklärung?

Eine ehrliche “Nein”-Antwort bei drei oder mehr Fragen rechtfertigt ein strukturiertes Audit.

Was ein DSGVO-Audit kostet

Wir kalkulieren ein DSGVO-Audit für ein KMU mit 20–50 Mitarbeitern typischerweise mit 8–15 Beratertagen, verteilt über 6–8 Wochen. Die Bandbreite ergibt sich aus der Komplexität der IT-Landschaft und der Vollständigkeit der bestehenden Dokumentation. Bei umfassend dokumentierten Unternehmen wird das Audit zur Plausibilitätsprüfung, bei “leeren” Unternehmen zur Erstaufnahme.

Das Ergebnis ist ein priorisierter Maßnahmenkatalog mit konkreten Umsetzungs-Empfehlungen. Der Audit-Bericht hat typischerweise 30–50 Seiten und dient gleichzeitig als Rechenschafts-Dokumentation gegenüber der Aufsichtsbehörde.

Beratung anfragen

Wir führen DSGVO-Audits für KMU und Steuerkanzleien in Sachsen-Anhalt mit einem strukturierten Vorgehen durch — von der Verarbeitungs-Inventur über die TOM-Bewertung bis zum konkreten Maßnahmen-Plan. Sprechen Sie uns an, wenn Sie einen DSGVO-Audit beauftragen oder Ihre bestehende Dokumentation auf Aktualität prüfen lassen möchten.

#DSGVO #Audit #Datenschutz #TOM

Weiter lesen

Weiterführende Artikel

Security

Phishing-Awareness im Mittelstand: Was 2026 wirklich gegen KI-Phishing hilft

KI-Phishing, MFA-Bypass via Reverse-Proxy und OAuth-Phishing — wie ein Mittelständler ein wirksames Awareness-Konzept aufbaut, was nach Klick zu tun ist.

Artikel lesen Security

Backup-Strategie 3-2-1 in der Praxis: Konkrete Umsetzung für eine 8-Plätze-Kanzlei

Wie die 3-2-1-Backup-Regel in einer kleinen Steuerkanzlei konkret aussieht — NAS, Cloud-Backup, Offline-Quartalsbackup, RPO/RTO und Restore-Tests.

Artikel lesen Security

Ransomware-Schutz für KMU: Anatomie eines Angriffs und drei Linien der Verteidigung

Wie Ransomware-Angriffe auf KMU 2026 ablaufen, welche Eintrittsvektoren wir in der Praxis sehen und welche drei Verteidigungslinien wirklich Schutz bieten.

Artikel lesen

Sie haben Fragen?

Persönliche Beratung statt Hotline-Wartemusik.

Rufen Sie uns an oder schreiben Sie kurz — wir melden uns innerhalb eines Arbeitstages mit einer konkreten Einschätzung.

Seit 2008 im Saalekreis · DATEV-erprobt · §203-AVV-Standard.

Beratung anfragen Antivirenlösungen & Security

Können wir Ihnen helfen?

Der IT-Dienstleister für Steuerberater

Anrufen Kontakt