Dieser Satz fällt häufiger, als man denkt. Nicht beim Empfang. Nicht im Meeting mit der IT. Sondern hinter verschlossener Tür, beim Geschäftsführer.
Ich höre ihn seit Jahren. Drei, vier Mandate fallen mir spontan ein, wo der Unternehmer genau so angefangen hat. Datenschutz? Bürokratie. Geldverbrennung. Bremse fürs Geschäft. Die Mitarbeiter mussten ihn regelrecht dazu drängen, sich das Thema überhaupt einmal anzuschauen.
Und dann passiert etwas Erstaunliches.
Aber der Reihe nach.
Viele Unternehmer glauben, Datenschutz sei Sache der IT-Abteilung oder des Datenschutzbeauftragten. Das ist ein gefährlicher Irrtum.
Nach Art. 83 DSGVO drohen Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes. Nach § 38 BDSG muss ab 20 Mitarbeitenden, die regelmäßig personenbezogene Daten verarbeiten, ein Datenschutzbeauftragter bestellt werden. Fehlt er, haftet die Geschäftsführung.
Und seit NIS2 ist die Lage noch verschärft. Das NIS2-Umsetzungsgesetz verlangt, dass die Geschäftsleitung Cybersicherheits-Maßnahmen persönlich genehmigt und überwacht. Die Teilnahme an Schulungen ist Pflicht.
Die persönliche Haftung der Geschäftsführung ist seit NIS2 nicht mehr delegierbar. Weder an den IT-Leiter noch an den Datenschutzbeauftragten. Bei Verstößen haftet die Geschäftsführung mit dem Privatvermögen.
Das bedeutet konkret: Wenn Ihr Unternehmen einen meldepflichtigen Datenschutzvorfall hat und die Behörde feststellt, dass kein angemessenes Schutzniveau bestand – dann zeigt der Finger auf Sie persönlich. Nicht auf Ihre IT.
Ein Datenschutz-Audit klingt nach Bürokratie. In der Praxis ist es ein strukturiertes Gespräch mit den Menschen, die Ihr Unternehmen am besten kennen.
Wir starten immer gleich: 140 Fragen, verteilt auf die Fachabteilungen. Personal. Buchhaltung. IT. Vertrieb. Geschäftsführung. Jede Abteilung beantwortet ihren Teil. Kein Roman – konkrete Fragen, konkrete Antworten.
| Phase | Inhalt | Dauer |
|---|---|---|
| 1. Kick-off | Vorstellung, Zieldefinition, Terminplanung mit der Geschäftsführung | 1–2 Stunden |
| 2. Fragebogen | 140 Fragen an Fachabteilungen (Personal, IT, Buchhaltung, Vertrieb) | 2–3 Wochen |
| 3. Interviews | Vertiefende Gespräche mit Abteilungsleitern bei offenen Punkten | 1–2 Tage |
| 4. Analyse | Auswertung, Risikobewertung, Abgleich mit DSGVO-Anforderungen | 1 Woche |
| 5. Bericht | Schriftlicher Auditbericht mit konkretem Maßnahmenplan | Lieferung |
| 6. Nachbesprechung | Präsentation der Ergebnisse bei der Geschäftsleitung | 2–3 Stunden |
Die Nachbesprechung führen wir bewusst immer mit der Geschäftsleitung durch. Nicht mit der IT. Nicht mit dem Assistenten. Mit den Entscheidern selbst.
Warum? Weil dort die Entscheidungen fallen. Und weil genau dort das passiert, wofür sich der ganze Aufwand lohnt.
In der Nachbesprechung sitzt dann der Geschäftsführer, der vor sechs Wochen noch gesagt hat: Datenschutz interessiert mich nicht. Vor ihm liegt ein 30-seitiger Bericht. Und plötzlich wird es still.
Es kam häufig vor, dass es dann ein Aha-Erlebnis war. Die Geschäftsleitung sagte: Das war mir so gar nicht bewusst. Ich dachte, Datenschutz ist dafür da, um mich zu ärgern.
Nils OehmichenDatenschutzberater bei frag.hugo
2018 wurde ich von einem Industrieunternehmen gerufen. Mittelständler, produzierendes Gewerbe. Der Geschäftsführer war skeptisch. Sehr skeptisch. Für ihn war Datenschutz ein notwendiges Übel, das seine Mitarbeiter ihm aufgedrückt hatten.
Wir haben das Audit durchgeführt. Die 140 Fragen. Die Interviews. Den Bericht. Und dann die Nachbesprechung.
Ein Jahr später rief er mich an. Nicht wegen eines Problems. Er wollte sich bedanken. Seine Worte: "Mensch, das ist toll, dass wir das angegangen sind. Wir haben viele Prozesse hinterfragt, viel verändert."
Der Datenschutz hatte ihm geholfen, sein eigenes Unternehmen besser zu verstehen. Wo fließen welche Daten? Wer hat auf was Zugriff? Welche Prozesse sind redundant? Welche Verträge mit Dienstleistern sind lückenhaft?
Aus dem Skeptiker wurde ein Überzeugter. Datenschutz wurde zur Chefsache.
Ein Datenschutz-Audit ist kein Selbstzweck. Und es geht um weit mehr als DSGVO-Konformität.
Übrigens: Wie schnell ein fehlendes Sicherheitskonzept zum echten Problem wird, zeigt das Thema Microsoft 365 gehackt. Ein Datenschutz-Audit hätte dort viele der Schwachstellen vorab identifiziert.
Sie wollen wissen, wo Ihr Unternehmen steht? Dann gibt es zwei sinnvolle Einstiegspunkte:
Schnellcheck Ihrer Website: Unser Hugo Check scannt Ihre Website automatisch auf DSGVO-Verstöße – kostenlos und in wenigen Minuten. Das gibt Ihnen einen ersten Eindruck, wie es um Ihren Datenschutz steht.
Persönliches Erstgespräch: In 30 Minuten besprechen wir, ob ein Audit für Ihr Unternehmen sinnvoll ist und wie der Ablauf konkret aussehen würde. Kostenlos und unverbindlich. Termin buchen.
Sie suchen eine dauerhafte Betreuung? Dann ist unser Angebot als externer Datenschutzbeauftragter der richtige Einstieg. Das Audit ist dort bereits im ersten Monat enthalten.
Schauen Sie auch gern auf unsere Referenzen – dort sehen Sie, welche Unternehmen uns bereits vertrauen.
Ein Datenschutz-Audit prüft systematisch, ob Ihr Unternehmen die Anforderungen der DSGVO und des BDSG erfüllt. Dazu gehören: Verarbeitungsverzeichnis, technische und organisatorische Maßnahmen (TOM), Auftragsverarbeitungsverträge, Mitarbeiterschulungen, Betroffenenrechte, Löschkonzept und Datenschutzerklärungen. Wir prüfen alle Abteilungen – von der IT über Personal bis zur Buchhaltung.
Von der Beauftragung bis zum fertigen Bericht rechnen Sie mit vier bis sechs Wochen. Der größte Zeitblock entfällt auf das Ausfüllen der Fragebögen durch Ihre Fachabteilungen. Die eigentliche Analyse und Berichtserstellung dauert etwa eine Woche.
Die Kosten hängen von der Unternehmensgröße und Branche ab. Für ein mittelständisches Unternehmen mit 20 bis 100 Mitarbeitenden bewegen sich die Kosten typischerweise im niedrigen vierstelligen Bereich. Als Kunde unseres externen Datenschutzbeauftragten ist das Erst-Audit bereits inklusive.
Formal gibt es keine gesetzliche Pflicht für ein Audit an sich. Aber: Die DSGVO verlangt, dass Sie die Wirksamkeit Ihrer Datenschutzmaßnahmen regelmäßig überprüfen (Art. 32 Abs. 1 lit. d DSGVO). Ein Audit ist der sauberste Weg, das nachzuweisen. In der Praxis empfehlen wir ein Erst-Audit bei Beginn der Zusammenarbeit und danach jährliche Folge-Audits.
Ja, und das spart Zeit. Sammeln Sie vorab Ihre bestehenden Datenschutz-Dokumente: Verarbeitungsverzeichnis, Datenschutzerklärung, Auftragsverarbeitungsverträge, Einwilligungserklärungen und technische Dokumentation. Je vollständiger Ihre Unterlagen, desto schneller geht die Bestandsaufnahme. Aber keine Sorge – wenn noch nichts davon existiert, starten wir bei null. Das ist häufiger der Fall, als Sie denken.
Inhaltsverzeichnis
Vermeiden Sie die typischen DSGVO-Fallen: Von fehlenden Verarbeitungsverzeichnissen bis zu unsicheren Auftragsverarbeitungsverträgen – unsere Checkliste für den Mittelstand.
WeiterlesenNeue Datenschutzgesetze, IT-Sicherheitsrichtlinien und Branchenstandards Februar 2026 - Februar 2026: Neue Datenschutzgesetze, IT-Sicherheitsrichtlinien und Bra
WeiterlesenGastbeitrag: CutToFame Datenschutz Recht am eigenen Bild KI & Regulatorik Dein Gesicht ist dein Kapital – und gleichzeitig ein personenbezogenes Datum....
Weiterlesen Über den Autor
Datenschutzberater & Geschäftsführer
Nils ist zertifizierter Datenschutzbeauftragter und Geschäftsführer der frag.hugo Informationssicherheit GmbH. Er berät mittelständische Unternehmen zu DSGVO, NIS2 und IT-Sicherheit – praxisnah und verständlich.
Vereinbaren Sie ein unverbindliches Erstgespräch mit unseren Experten. Wir beraten Sie persönlich zu Datenschutz, NIS2 und IT-Sicherheit.
