In einem Satz. Eine DSGVO-Prüfung umfasst die systematische Überprüfung der Compliance über die acht Säulen — Rechtsgrundlagen, Verzeichnis, Betroffenenrechte, Sicherheit (Art. 32), Datenpannen, DSFA, Auftragsverarbeitung und internationale Transfers — und sollte vor einer BfDI- oder LfDI-Inspektion mit dokumentierten Nachweisen abgeschlossen sein, da die Aufsichtsbehörden 2026 zunehmend KI, Tracking und Beschäftigtendaten priorisieren.
Der BfDI hat im Tätigkeitsbericht 2024 (veröffentlicht Mai 2025) die Schwerpunkte für die kommenden Inspektionsjahre angekündigt: KI-Tools im Beschäftigtenkontext, Cookie-Compliance, internationale Datenübermittlung nach Schrems II und Datenpannen-Meldedisziplin. Die LfDI haben länderspezifische Schwerpunkte.
Eine interne Prüfung sollte mindestens jährlich erfolgen, idealerweise quartalsweise auf Schwerpunktthemen. Die Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO macht dokumentierte Prüfungsnachweise selbst zum Compliance-Element.
Für strukturelle Compliance siehe DSGVO Checkliste. Für Behördenkontext BfDI.
Wichtige Punkte
- DSGVO-Prüfung deckt 8 Säulen mit ca. 60 Prüfpunkten ab — jährlich vollständig, quartalsweise Stichproben.
- BfDI-Schwerpunkte 2026: KI im HR-Kontext, Tracking, Schrems-II-Konformität, Meldedisziplin.
- Dokumentationsspur für jeden Prüfpunkt — wer hat wann was geprüft, mit welchem Ergebnis.
- Inspektion-Vorbereitung: 6 Kernunterlagen müssen jederzeit binnen 48h vorliegen.
- Nicht-Compliance-Funde sind weniger problematisch als nicht-dokumentierte Nicht-Compliance.
1. Die acht Säulen der DSGVO-Prüfung
| Säule | Kernartikel | Prüfpunkte |
|---|---|---|
| Rechtsgrundlagen | Art. 6, 9 | 7 |
| Verzeichnis VVT | Art. 30 | 8 |
| Betroffenenrechte | Art. 12-22 | 10 |
| Sicherheit TOMs | Art. 32 | 12 |
| Datenpannen | Art. 33-34 | 5 |
| DSFA | Art. 35-36 | 6 |
| Auftragsverarbeitung | Art. 28 | 7 |
| Internationale Transfers | Art. 44-49 | 5 |
Total: ca. 60 Prüfpunkte für eine vollständige interne Prüfung.
2. Säule 1 — Rechtsgrundlagen-Inventar
- [ ] Jede Verarbeitung im VVT hat dokumentierte Rechtsgrundlage (Art. 6 Abs. 1 a-f)
- [ ] Bei besonderen Kategorien zusätzlich Art. 9 Abs. 2-Grundlage
- [ ] Einwilligungsnachweise zeitstempelbar und versioniert
- [ ] Berechtigte-Interesse-Abwägung dokumentiert (berechtigtes Interesse DSGVO)
- [ ] §26 BDSG-Verarbeitungen separat ausgewiesen
- [ ] Rechtsgrundlagen-Wechsel dokumentiert
- [ ] Bei mehreren Rechtsgrundlagen pro Verarbeitung: Hierarchie definiert
3. Säule 2 — Verzeichnis der Verarbeitungstätigkeiten
- [ ] VVT existiert und ist aktuell (max. 6 Monate)
- [ ] Alle Pflichtinhalte nach Art. 30 Abs. 1 (bzw. 2 für AV)
- [ ] Aktualisierungsprozess dokumentiert
- [ ] Verantwortliche pro Verarbeitung benannt
- [ ] Datenkategorien granular
- [ ] Speicherfristen oder Löschkonzept-Verweis
- [ ] TOM-Verweis
- [ ] Empfänger inkl. Subunternehmer
Detail: Verzeichnis Verarbeitungstätigkeiten.
4. Säule 3 — Betroffenenrechte
- [ ] Auskunftsprozess dokumentiert (Auskunftsrecht DSGVO)
- [ ] Identitätsprüfung-Verfahren
- [ ] Löschprozess inkl. Backup-Berücksichtigung
- [ ] Berichtigungsmechanismus
- [ ] Widerspruchsbehandlung (Art. 21)
- [ ] Einschränkung der Verarbeitung (Art. 18)
- [ ] Datenübertragbarkeit (Art. 20)
- [ ] Schulung Customer Service
- [ ] Eskalationsweg zum DSB
- [ ] Fristen-Tracker (1 Monat, verlängerbar)
5. Säule 4 — Sicherheit (Art. 32)
- [ ] Pseudonymisierungs-/Verschlüsselungskonzept
- [ ] Zutrittskontrolle dokumentiert
- [ ] Zugangs-/Zugriffskontrolle (RBAC)
- [ ] Weitergabekontrolle (Transport-Verschlüsselung)
- [ ] Eingabekontrolle (Logging)
- [ ] Verfügbarkeitskontrolle (Backup, BCM)
- [ ] Trennungskontrolle (Mandantentrennung)
- [ ] Auftragskontrolle (siehe Säule 7)
- [ ] Risikobewertung TOMs
- [ ] Penetrationstests letzte 12 Monate
- [ ] Schulungsnachweise
- [ ] Notfallübung im Berichtszeitraum
Detail: DSGVO Artikel 32 Sicherheit.
6. Säule 5 — Datenpannen-Management
- [ ] Meldekette dokumentiert (intern + an Aufsicht)
- [ ] 72-Stunden-Frist eingehalten in dokumentierten Vorfällen
- [ ] Datenpannen-Register geführt (auch nicht meldepflichtige)
- [ ] Risikobewertungs-Schema
- [ ] Betroffenen-Benachrichtigungs-Schwellenwert
- [ ] Mitarbeiter-Schulung zur Erkennung
Detail: Datenpanne melden DSGVO.
7. Säule 6 — DSFA
- [ ] DSFA-Schwellenwert-Test pro Verarbeitung
- [ ] Bei “Hoch-Risiko”-Verarbeitungen DSFA durchgeführt
- [ ] DSB konsultiert (Art. 35 Abs. 2)
- [ ] Bei Restrisiko: vorherige Konsultation der Aufsicht (Art. 36)
- [ ] DSFAs dokumentiert und aktualisiert
- [ ] KI-spezifische DSFA bei AI-Tools (2026-Schwerpunkt)
Detail: Datenschutz-Folgenabschätzung.
8. Säule 7 — Auftragsverarbeitung
- [ ] AVV mit jedem Auftragsverarbeiter
- [ ] AVV-Inventar aktuell
- [ ] Subunternehmer-Listen nachverfolgt
- [ ] TOM-Anlagen konkret
- [ ] Audit-Berichte oder Zertifikate vorhanden
- [ ] Drittlands-Subunternehmer extra dokumentiert
- [ ] Schrems-II-TIA durchgeführt bei US-Anbietern
Detail: Auftragsverarbeitungsvertrag AVV.
9. Säule 8 — Internationale Transfers
- [ ] Drittlands-Transfer-Inventar
- [ ] EU-US Data Privacy Framework geprüft bei US-Empfängern
- [ ] SCC (2021er-Version) wo erforderlich
- [ ] TIA (Transfer Impact Assessment) dokumentiert
- [ ] Zusätzliche Maßnahmen bei TIA-Risiken
Detail: Internationale Datenübermittlung DSGVO.
10. BfDI-/LfDI-Inspektion — die 6 Kernunterlagen
Diese sollten jederzeit binnen 48h verfügbar sein:
| Unterlage | Quelle |
|---|---|
| Verzeichnis Verarbeitungstätigkeiten | DSB |
| TOMs-Dokumentation | IT/CISO |
| AVV-Inventar | Einkauf/DSB |
| Datenpannen-Register | DSB |
| DSFA-Dokumente | DSB |
| Schulungsnachweise | HR/DSB |
11. BfDI-Schwerpunkte 2026
Aus dem Tätigkeitsbericht 2024 abgeleitete Prioritäten:
- KI im Beschäftigtenkontext — siehe Datenschutz KI Tools
- Cookie-Compliance — siehe TTDSG Cookie Banner
- Schrems-II-Drittlandstransfer
- Datenpannen-Meldedisziplin
- Health-Daten und Forschung
12. Sanktionen — Größte deutsche DSGVO-Fälle
| Jahr | Unternehmen | Sanktion | Aufsicht |
|---|---|---|---|
| 2019 | Deutsche Wohnen | 14,5 Mio. € | BfDI Berlin |
| 2019 | 1&1 | 9,55 Mio. € | BfDI |
| 2020 | H&M | 35,3 Mio. € | HmbBfDI |
| 2022 | Vodafone Deutschland | Mehrere Verfahren | BfDI |
| 2023 | Volkswagen | 1,1 Mio. € | LfDI NI |
| 2024 | Verschiedene | <500k € pro Fall | LfDI |
13. Prüfungs-Rhythmus
| Tiefe | Frequenz |
|---|---|
| Vollständige interne Prüfung | Jährlich |
| Stichproben-Audit | Quartalsweise |
| Datenpannen-Drill | Halbjährlich |
| AVV-Review | Halbjährlich |
| TOM-Review | Jährlich |
| DSFA-Aktualisierung | Bei wesentlicher Änderung |
14. Werkzeuge
Legiscope führt einen automatisierten Compliance-Score über alle 60 Prüfpunkte und generiert die 6 Kernunterlagen für Aufsichtskontrollen auf Knopfdruck.
Weitere Leitfäden: DSGVO Checkliste, BfDI, DSGVO Bußgelder.
Fazit
Eine DSGVO-Prüfung ist kein Selbstzweck — sie ist das Audit-Trail, das die Rechenschaftspflicht erfüllt. Aufsichtsbehörden bestrafen weniger das Fehlen perfekter Compliance als das Fehlen dokumentierter Compliance-Bemühungen.
FAQ
Wie oft muss eine DSGVO-Prüfung erfolgen?
Mindestens jährlich vollständig, idealerweise quartalsweise Stichproben auf wechselnde Schwerpunkte. Bei wesentlichen Änderungen anlassbezogen.
Wer führt eine DSGVO-Prüfung durch?
Intern der DSB; bei größeren Organisationen Internal Audit oder externe Datenschutz-Auditoren. Bei Zertifizierung externe akkreditierte Stelle.
Was kostet eine externe DSGVO-Prüfung?
KMU 5-15k €, Mittelstand 15-50k €, Konzern 50k €+ — abhängig von Scope und Komplexität.
Wie kündigt sich eine BfDI-Inspektion an?
Meist schriftlich mit 2-4 Wochen Vorlauf und konkretem Anlassbezug. Anlasslose Vor-Ort-Kontrollen sind selten, aber möglich nach Art. 58 Abs. 1 lit. f DSGVO.
Welche Unterlagen muss ich bei einer Inspektion vorhalten?
Die 6 Kernunterlagen: VVT, TOMs, AVV-Inventar, Datenpannen-Register, DSFAs, Schulungsnachweise. Je nach Anlass weitere themenspezifische Dokumente.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial