Datenschutzaudit
Datenschutzaudit
Ein Datenschutzaudit ist die strukturierte Prüfung der technischen und organisatorischen Maßnahmen (TOM) sowie der vertraglichen und prozessualen Umsetzung der Datenschutz-Grundverordnung in einem Unternehmen oder bei einem Auftragsverarbeiter. Im DACH-Einkauf ist das Datenschutzaudit der Hauptkontroll-Mechanismus, mit dem ein Auftraggeber sein Audit-Recht aus Artikel 28 Absatz 3 Buchstabe h DSGVO gegenüber Lieferanten ausübt, die personenbezogene Daten verarbeiten; ohne durchgeführtes Audit gilt der [[auftragsverarbeitungsvertrag-avv]] als formelle Hülle, die in einer Aufsichtsbehörden-Prüfung schwerlich Bestand hat.
Detaillierte Erklärung
Drei Säulen prägen jedes Datenschutzaudit. Erstens die TOM-Prüfung nach Artikel 32 DSGVO: vorzulegen sind Verschlüsselung, Pseudonymisierung, Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit der Verarbeitungssysteme, Wiederherstellbarkeit nach Zwischenfall und ein Verfahren zur regelmäßigen Wirksamkeitsprüfung; das BSI hat im IT-Grundschutz-Kompendium (Edition 2023) konkrete Bausteine wie CON.2 Datenschutz, ORP.4 Identitäts- und Berechtigungsmanagement und SYS.1.5 Virtualisierung definiert. Zweitens die AVV-Compliance-Prüfung nach Artikel 28 DSGVO: prüft das Vorliegen schriftlicher Auftragsverarbeitungsverträge, dokumentierte Subunternehmer-Listen, Weisungsdokumentation, Unterauftragsverarbeiter-Genehmigungen und EU-Standardvertragsklauseln (SCC) für Drittland-Transfers nach Artikel 44 DSGVO. Drittens die organisatorische Reife: Verarbeitungsverzeichnis nach Artikel 30 DSGVO, Datenschutzfolgenabschätzung nach Artikel 35 DSGVO, Meldung von Datenschutzverletzungen nach Artikel 33 DSGVO innerhalb von 72 Stunden, Schulungspflichten und Datenschutzbeauftragten-Bestellung nach Artikel 37 DSGVO. Anerkannte Audit-Schemes sind ISO 27701:2019 (Datenschutz-Erweiterung zu ISO 27001, veröffentlicht im August 2019, akkreditierte Zertifizierung über DAkkS-Stellen wie TÜV Rheinland, DQS, datenschutz cert), BSI IT-Grundschutz (Drei-Stufen-Modell Basis, Standard, Kern), der IDW Prüfungsstandard PS 980 zur Wirksamkeit von Compliance-Management-Systemen sowie IDW PS 860.1 zur Wirksamkeit eines Datenschutz-Management-Systems. Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) sowie die Konferenz der unabhängigen Datenschutzaufsichtsbehörden (DSK) liefern den Standard-Datenschutzmodell (SDM) Version 3.0 vom 24.04.2022, das als methodischer Rahmen für interne Audits anerkannt ist. Bußgelder regelt Artikel 83 DSGVO: bis zu 10 Mio. EUR oder 2 Prozent des weltweiten Konzernumsatzes bei Verstößen gegen Artikel 28 oder 32 DSGVO, bis zu 20 Mio. EUR oder 4 Prozent bei Verstößen gegen die Betroffenenrechte; in 2024 verhängten deutsche Aufsichtsbehörden Bußgelder über etwa 89 Mio. EUR.
Praxisbeispiel (konkretes Einkaufsszenario)
Ein baden-württembergischer Mittelständler mit 280 Mitarbeitern und 54 Mio. EUR Umsatz stellt im Februar 2025 fest, dass sein wichtigster Logistikdienstleister mit Sitz in Polen personenbezogene Daten von Disponenten und Empfängern verarbeitet, der AVV jedoch zuletzt 2019 unterschrieben wurde und seitdem zwei neue Sub-Auftragsverarbeiter in Indien hinzugekommen sind. Die Datenschutzbeauftragte beauftragt im April 2025 ein Remote-Audit nach ISO 27701-Methodik beim Logistiker, geschätzter Aufwand 4,5 Personentage, Kosten 11.700 EUR. Das Audit deckt drei Befunde auf. Erstens fehlen die EU-Standardvertragsklauseln 2021/914 für den Subunternehmer in Bangalore, was einen Verstoß gegen Artikel 44 DSGVO darstellt. Zweitens werden Disponenten-Logins ohne Multi-Faktor-Authentisierung verwendet, was die TOM-Anforderung Vertraulichkeit nach Artikel 32 Absatz 1 Buchstabe b DSGVO verletzt. Drittens existiert kein dokumentiertes Lösch-Konzept für Tracking-Daten älter als 6 Monate. Der Logistiker erhält 90 Tage zur Behebung; er ergänzt die SCC, aktiviert MFA in 6 Wochen und führt eine Lösch-Routine ein. Im Oktober 2025 folgt ein Re-Audit, das die Wirksamkeit der Maßnahmen bestätigt. Der Auditbericht wird Teil der jährlichen [[compliance-risikobewertung-einkauf]] und reduziert das Lieferanten-Datenschutzrisiko von Stufe rot auf gelb.
Typische Fehler & Verhandlungskontext
Drei Fehler treten regelmäßig auf. Erstens werden Datenschutzaudits als reine Fragebogen-Übungen verstanden; Artikel 28 Absatz 3 Buchstabe h DSGVO verlangt einen wirksamen Kontrollmechanismus, ein 30-Frage-Fragebogen ohne Vor-Ort- oder Remote-Verifikation reicht der Aufsichtsbehörde nicht und bedeutet eine Pflichtverletzung des Verantwortlichen. Zweitens wird die Subunternehmer-Kette bei Tier-2 nicht mehr geprüft; Artikel 28 Absatz 4 DSGVO macht den Auftragsverarbeiter aber für seine Sub-Auftragsverarbeiter haftbar, der Verantwortliche muss die Genehmigung explizit erteilen, generelle Genehmigungen mit nachträglicher Information sind nur unter strengen Bedingungen wirksam. Drittens wird der Audit-Bericht nicht in einem strukturierten Lieferantenrisiko-Register gepflegt; ohne nachgelagerte Mängelbeseitigung verliert das Audit seine Wirksamkeit, die Aufsichtsbehörde fordert in Prüfungen die Schließung des Maßnahmen-Loops nach. In der Verhandlung mit Lieferanten ist im AVV das Audit-Recht zu konkretisieren: Frequenz mindestens alle 24 Monate, Rechte zur Stichprobe ohne Vorankündigung bei Auffälligkeiten, Anerkennung von ISO 27701- oder C5-Berichten als Audit-Substitut auf Basis einer Gegenseitigkeitsklausel, Tragung der Audit-Kosten durch den Auftragsverarbeiter bei festgestellten erheblichen Mängeln. Eine Schadenersatz-Pauschale pro festgestelltem Datenschutzverstoß im Rahmen von 2.500 bis 10.000 EUR ist in DACH-Lieferantenverträgen verbreitet und schafft den ökonomischen Anreiz für laufende Konformität.
Verwandte Begriffe
[[auftragsverarbeitungsvertrag-avv]], [[compliance-risikobewertung-einkauf]], [[code-of-conduct-lieferanten]], [[sanktionslistenpruefung]], [[funktionstrennung-im-einkauf]], [[whistleblower-system]]