Zertifizierter DSB | >7 Erfahrung | 424+ Kunden
039183223971
info@globeriadatenschutz.de
Kostenlosen Termin
Zertifizierter DSB | >7 Erfahrung | 424+ Kunden
039183223971
info@globeriadatenschutz.de
Kostenlosen Termin
View Categories

Welche Dokumente und Informationen werden für ein Datenschutz-Audit benötigt?

Geschätzte Lesezeit: 1 min lesen

Ein Datenschutz-Audit überprüft, ob ein Unternehmen die Anforderungen der Datenschutz-Grundverordnung (DSGVO) einhält. Damit der Auditor ein vollständiges Bild der Datenschutzorganisation erhält, müssen bestimmte Dokumente und Informationen zur Verfügung gestellt werden. Diese Unterlagen bilden die Grundlage für die Bewertung der Datenschutzkonformität und der technischen sowie organisatorischen Maßnahmen.

1. Verzeichnis von Verarbeitungstätigkeiten (VVT) – 

Art. 30 DSGVO

Das Verzeichnis von Verarbeitungstätigkeiten ist Pflicht für nahezu alle Unternehmen. Es enthält detaillierte Informationen darüber:

  • welche personenbezogenen Daten verarbeitet werden,
  • zu welchem Zweck,
  • auf welcher Rechtsgrundlage,
  • wer Empfänger dieser Daten sind,
  • wie lange sie gespeichert werden,
  • und welche technischen und organisatorischen Maßnahmen (TOMs) angewendet werden.

Ein vollständiges und aktuelles VVT zeigt, dass Ihr Unternehmen strukturiert mit personenbezogenen Daten umgeht.

2. Datenschutzrichtlinien & interne Anweisungen

Interne Datenschutzrichtlinien und Arbeitsanweisungen belegen, wie Datenschutz im Unternehmen umgesetzt wird. Dazu zählen:

  • allgemeine Datenschutzrichtlinie,
  • Anweisungen zur Datenverarbeitung am Arbeitsplatz,
  • Vorgaben zur Nutzung von E-Mail, Internet und mobilen Geräten,
  • Schulungsrichtlinien für Mitarbeiter.

Diese Dokumente zeigen, ob und wie Mitarbeiter über datenschutzkonformes Verhalten informiert und angeleitet werden.

3. Einwilligungen und Informationspflichten – 

Art. 6, 7, 13, 14 DSGVO

Wenn personenbezogene Daten auf Grundlage einer Einwilligung verarbeitet werden, müssen entsprechende Nachweise vorhanden sein:

  • Text der Einwilligungserklärung,
  • Zeitpunkt der Einholung,
  • Widerrufsmöglichkeiten.

Zudem muss nachgewiesen werden, dass Betroffene ordnungsgemäß über die Datenverarbeitung informiert wurden – z. B. durch:

  • Datenschutzerklärungen auf der Website,
  • Informationsblätter bei Bewerbungen, Newsletter-Anmeldungen oder Kontaktformularen.

4. Verträge zur Auftragsverarbeitung (AVV) – 

Art. 28 DSGVO

Wird die Verarbeitung personenbezogener Daten an externe Dienstleister ausgelagert (z. B. IT-Support, Hosting, Newsletter-Versand), ist ein Auftragsverarbeitungsvertrag (AVV) erforderlich.

Benötigt werden:

  • alle bestehenden AV-Verträge,
  • eine Übersicht über die eingesetzten Auftragsverarbeiter,
  • ggf. technische Maßnahmen dieser Dienstleister (z. B. ISO-Zertifizierungen, Subunternehmerlisten).

5. Technische und organisatorische Maßnahmen (TOMs) – 

Art. 32 DSGVO

Diese Dokumentation beschreibt, wie personenbezogene Daten technisch und organisatorisch geschützt werden. Dazu zählen:

  • Zugriffs- und Zutrittskontrollen,
  • Verschlüsselungstechniken,
  • Backup- und Wiederherstellungskonzepte,
  • IT-Sicherheitsmaßnahmen (Firewall, VPN, Virenschutz),
  • Datenschutz bei der Entwicklung neuer Software (Privacy by Design).

Die TOMs sind ein Kernelement der Auditbewertung.

6. Meldeverfahren für Datenschutzverstöße – 

Art. 33, 34 DSGVO

Das Unternehmen sollte dokumentieren, wie mit Datenpannen oder Datenschutzverletzungen umgegangen wird:

  • internes Verfahren zur Meldung von Vorfällen,
  • Ablauf der internen Eskalation,
  • Meldeformulare für Mitarbeiter,
  • Nachweis über ggf. erfolgte Meldungen an die Aufsichtsbehörde und an Betroffene.

7. Schulungsnachweise & Sensibilisierung

Nachweise über durchgeführte Datenschutzschulungen sind ebenfalls relevant:

  • Teilnehmerlisten,
  • Schulungsinhalte,
  • Frequenz der Wiederholungen.

Dies belegt, ob das Bewusstsein für Datenschutz im Unternehmen aktiv gefördert wird.

8. Datenschutz-Folgenabschätzungen (DSFA) – 

Art. 35 DSGVO

Falls risikobehaftete Verarbeitungen stattfinden (z. B. Videoüberwachung, automatisierte Profilbildung), muss eine Datenschutz-Folgenabschätzung durchgeführt und dokumentiert worden sein. Diese umfasst:

  • Bewertung der Risiken,
  • geplante Schutzmaßnahmen,
  • Einbindung des Datenschutzbeauftragten.

Fazit: Gute Vorbereitung sichert Audit-Erfolg

Ein Datenschutz-Audit ist nur so effektiv wie die Qualität der bereitgestellten Informationen. Eine vollständige, aktuelle und strukturierte Dokumentation hilft, DSGVO-Konformität nachzuweisen und Risiken zu minimieren. Unternehmen, die diese Unterlagen systematisch pflegen, sind besser auf Prüfungen durch Aufsichtsbehörden vorbereitet.

Tipp:

GloberiaDatenschutz.de unterstützt Sie nicht nur beim Audit, sondern auch bei der Erstellung und Pflege aller notwendigen Datenschutz-Dokumente.

📧 info@globeriadatenschutz.de | 📞 +49 391 83223971

Globeria Datenschutz zeichnet sich als einer der führenden Anbieter von DSGVO-Dienstleistungen in Deutschland aus und bietet umfassende Lösungen durch zertifizierte Datenschutzbeauftragte (DSB). Unser Leistungsspektrum umfasst sämtliche Anforderungen der DSGVO-Compliance und stellt sicher, dass Ihr Unternehmen alle gesetzlichen Vorgaben effizient erfüllt. Vertrauen Sie auf unsere Expertise für herausragenden Datenschutz und professionelles Datenschutzmanagement.

Wir betreuen Kunden in Berlin, Frankfurt, München, Magdeburg, Sachsen-Anhalt, Hamburg und bundesweit in ganz Deutschland, einschließlich der erweiterten DACH-Region.
039183223971
info@globeriadatenschutz.de
Arbeitszeiten: Montag-Freitag, 09:00-17:00
© 2025 Globeria Consulting GmbH. Alle Rechte vorbehalten.