Wann ist ein Datenschutzaudit empfehlenswert?

Besonders empfehlenswert bei Zweifeln an der DSB-Bestellpflicht, Unsicherheiten zur DSMS-Effektivität, fehlenden bereichsspezifischen Datenschutzmaßnahmen, Anhaltspunkten für IT-Sicherheitsrisiken sowie nach organisatorischen Veränderungen, Fusionen oder Einführung neuer Datenverarbeitungssysteme.

Was sind die sieben Gewährleistungsziele des Standard-Datenschutzmodells?

Datenminimierung, Verfügbarkeit, Integrität, Vertraulichkeit, Transparenz, Nichtverkettung (Zweckbindung) und Intervenierbarkeit (Umsetzung der Betroffenenrechte). Diese übersetzen die DSGVO-Anforderungen in konkrete technische und organisatorische Maßnahmen.

Wie lange dauert ein Datenschutzaudit?

Für KMU bis 500 Mitarbeiter durchschnittlich drei Tage inklusive Vor- und Nachbereitung. Die Phasen: Planung (2-4 Wochen), Vorab-Audit (ca. 2 Wochen), Durchführung (2-8 Wochen) und Berichterstattung (ca. 2 Wochen). Kosten für externe Audits: typischerweise 1.000-3.000 Euro.

Datenschutzaudit: Der umfassende Leitfaden für Unternehmen

Die Durchsetzung der Datenschutz-Grundverordnung (DSGVO) hat sich seit 2018 kontinuierlich verschärft. Laut dem GDPR Fines and Data Breach Survey 2024 der Wirtschaftskanzlei DLA Piper wurden europaweit allein im Jahr 2024 Bußgelder in Höhe von 1,2 Milliarden Euro verhängt – die Gesamtsumme seit Inkrafttreten der Verordnung beläuft sich mittlerweile auf 5,88 Milliarden Euro. In Deutschland liegt das höchste verhängte DSGVO-Bußgeld bei 45 Millionen Euro gegen Vodafone im Jahr 2025. Ein Datenschutzaudit ermöglicht es Unternehmen, Schwachstellen frühzeitig zu identifizieren, Compliance-Risiken zu minimieren und das Vertrauen von Kunden sowie Geschäftspartnern nachhaltig zu stärken.

Was ist ein Datenschutzaudit?

Ein Datenschutzaudit ist eine systematische, unabhängige und dokumentierte Analyse der Datenschutzkonformität eines Unternehmens. Es dient der Überprüfung, ob die Verarbeitung personenbezogener Daten mit den Vorgaben der DSGVO und des Bundesdatenschutzgesetzes (BDSG) im Einklang steht.

Die internationale Norm ISO 19011:2018 „Guidelines for auditing management systems" definiert den Begriff „Audit" als einen systematischen, unabhängigen und dokumentierten Prozess zur Erlangung von Nachweisen. Übertragen auf den Datenschutz bedeutet dies: Ein Audit wird während eines festgelegten Zeitraums mit begrenzten Ressourcen durchgeführt, wobei Prüfkriterien als Referenz für den Auditnachweis dienen und die Ergebnisse objektiv aufzeigen, inwieweit die Anforderungen eingehalten wurden.

Zentrale Prüfbereiche eines Datenschutzaudits

Das Datenschutzaudit umfasst mehrere wesentliche Prüfungsfelder, die gemeinsam ein vollständiges Bild der Datenschutz-Compliance zeichnen. Zunächst werden die Datenschutzrichtlinien und deren konsistente Einhaltung analysiert. Darüber hinaus erfolgt eine eingehende Prüfung der Verarbeitungstätigkeiten und ihrer Dokumentation im Verzeichnis von Verarbeitungstätigkeiten (VVT). Die technischen und organisatorischen Maßnahmen (TOM) gemäß Art. 32 DSGVO bilden einen weiteren Schwerpunkt, ebenso wie die Wirksamkeit des Datenschutzmanagementsystems (DSMS) und die Prozesse zur Gewährleistung der Betroffenenrechte.

Rechtliche Grundlagen und Notwendigkeit

Die DSGVO schreibt ein Datenschutzaudit nicht explizit vor. Allerdings ergibt sich aus der Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO die Notwendigkeit, die Einhaltung der Datenschutzgrundsätze nachweisen zu können. Diese Nachweispflicht lässt sich durch regelmäßige Audits effektiv erfüllen.

Der risikobasierte Ansatz der DSGVO

Die DSGVO basiert auf einem risikobasierten Ansatz, der von Verantwortlichen folgende Fähigkeiten verlangt: die Beurteilung von Risiken anhand objektiver Kriterien, die systematische Identifikation von Verarbeitungsrisiken, die Durchführung einer Risikoanalyse hinsichtlich Eintrittswahrscheinlichkeit und Schwere der Folgen sowie eine qualitative Risikoklassifikation, um dem Management geeignete Risikobehandlungen als Entscheidungsvorlage vorzuschlagen.

Ein Datenschutzaudit hilft dabei, diese Anforderungen strukturiert umzusetzen und die Ergebnisse nachvollziehbar zu dokumentieren. Unternehmen können so einen Fahrlässigkeitsvorwurf bei möglichen DSGVO-Verstößen entkräften und das Bußgeldrisiko senken.

Wann ist ein Datenschutzaudit besonders empfehlenswert?

Ein Audit erweist sich in verschiedenen Situationen als besonders wertvoll. Bei Zweifeln an der Bestellungspflicht eines externen Datenschutzbeauftragten schafft es Klarheit. Ebenso ist es sinnvoll, wenn Unsicherheiten bezüglich der Effektivität des Datenschutzmanagementsystems bestehen oder wenn für einzelne Unternehmensbereiche wie IT, Marketing, Vertrieb oder Personal keine spezifischen Datenschutzmaßnahmen existieren. Bei Anhaltspunkten für mögliche Cyberangriffe oder sonstige IT-Sicherheitsrisiken sowie nach organisatorischen Veränderungen, Fusionen oder der Einführung neuer Datenverarbeitungssysteme ist ein Audit ebenfalls dringend anzuraten.

Arten von Datenschutzaudits

Bestandsaufnahme-Audit (Gap-Analyse)

Diese Auditform dient der Feststellung des aktuellen Datenschutz-Status quo. Im Rahmen der Gap-Analyse werden Lücken im Datenschutzmanagement identifiziert und der Ist-Zustand mit den DSGVO-Anforderungen abgeglichen. Die Gap-Analyse bildet häufig den Ausgangspunkt für die Implementierung eines Datenschutzmanagementsystems – vergleichbar mit einer NIS-2-Gap-Analyse im Bereich der Cybersicherheit.

System-Audit

Beim System-Audit wird die Wirksamkeit eines bestehenden Datenschutzmanagementsystems überprüft. Der Fokus liegt auf der Frage, ob die implementierten Prozesse und Maßnahmen in der Praxis funktionieren und ob kontinuierliche Verbesserungsmechanismen greifen.

Prozess-Audit

Das Prozess-Audit konzentriert sich auf einzelne Datenverarbeitungsprozesse. Es prüft beispielsweise die datenschutzkonforme Anwendung einer bestimmten Software oder die ordnungsgemäße Durchführung von Verarbeitungstätigkeiten in spezifischen Abteilungen.

Audit des Datenschutzbeauftragten

Diese Sonderform zielt auf die wirksame Aufgabenerfüllung des Datenschutzbeauftragten ab. Geprüft werden die regelmäßigen Überwachungen durch den DSB, dessen Risikoeinschätzungen und Beratungsleistungen im Vier-Augen-Prinzip.

Internes versus externes Audit

Merkmal	Internes Audit	Externes Audit
Durchführung	Eigene Mitarbeiter (DSB, IT-Sicherheitsbeauftragte)	Unabhängige Gutachter, Zertifizierungsstellen
Objektivität	Eingeschränkt durch Betriebsblindheit	Hohe Objektivität durch Außenperspektive
Kosten	Geringer, da keine externen Honorare	Höher, aber mit Expertise und Benchmarking
Branchenvergleich	Nicht möglich	Branchenübergreifende Erfahrungen
Akzeptanz	Intern gut, extern eingeschränkt	Hohe externe Glaubwürdigkeit

Der Ablauf eines Datenschutzaudits

Phase 1: Vorbereitung und Zieldefinition

Die Vorbereitungsphase umfasst mehrere kritische Schritte. Zunächst wird der Umfang (Scope) des Audits festgelegt: Soll das gesamte Unternehmen geprüft werden oder nur bestimmte Abteilungen? Die Ziele werden definiert, etwa Vorbereitung auf eine Zertifizierung, Optimierung bestehender Prozesse oder Erfüllung von Kundenanforderungen.

Ein Auditor wird bestimmt – intern oder extern – und ein konkreter Termin vereinbart. Pro Abteilung sollte ein Ansprechpartner benannt werden. Alle relevanten Dokumente sind vorzubereiten: Datenschutzrichtlinien, Verzeichnis von Verarbeitungstätigkeiten, Auftragsverarbeitungsverträge, TOM-Dokumentation und Nachweise über Schulungen.

Die Wahl der Auditmethode ist ebenfalls festzulegen. Zur Auswahl stehen Fragebögen zur Selbstauskunft, persönliche Interviews, Dokumentenprüfungen oder eine Kombination dieser Methoden. Ein Testaudit kann helfen, den Aufwand realistisch einzuschätzen.

Phase 2: Dokumentenprüfung (Desk Audit)

In dieser Phase analysiert der Auditor die vorhandene Datenschutz-Dokumentation und gleicht diese mit den DSGVO-Anforderungen ab. Geprüft werden das Verzeichnis von Verarbeitungstätigkeiten auf Vollständigkeit und Aktualität, Datenschutzerklärungen und Einwilligungstexte, Auftragsverarbeitungsverträge nach Art. 28 DSGVO, technische und organisatorische Maßnahmen, Datenschutz-Folgenabschätzungen sowie Löschkonzepte und Aufbewahrungsfristen.

Phase 3: Vor-Ort-Prüfung und Interviews

Die praktische Durchführung umfasst Interviews mit Schlüsselpersonen aus verschiedenen Abteilungen. Der Auditor führt Stichproben durch, um die tatsächliche Umsetzung der dokumentierten Prozesse zu verifizieren. Technische Systeme und Sicherheitsmaßnahmen werden in Augenschein genommen. Diese Phase dauert je nach Unternehmensgröße zwischen zwei und acht Wochen.

Phase 4: Auswertung und Berichterstattung

Die Ergebnisse werden systematisch ausgewertet und in einem Auditbericht dokumentiert. Dieser enthält eine Zusammenfassung der Prüfungsergebnisse, identifizierte Stärken und Schwachstellen, Bewertung des Reifegrads der Datenschutz-Compliance, konkrete Handlungsempfehlungen mit Priorisierung sowie einen Zeitplan für die Umsetzung von Maßnahmen.

Phase 5: Nachbereitung und Umsetzung

Auf Basis des Auditberichts erstellt das Unternehmen einen Datenschutz-Aktionsplan. Notwendige Anpassungen werden implementiert und dokumentiert. Optional kann ein Follow-up-Audit durchgeführt werden, um den Fortschritt zu überprüfen und die nachhaltige Einhaltung der Datenschutzvorgaben zu sichern.

Das Standard-Datenschutzmodell (SDM) als Auditgrundlage

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat mit dem Standard-Datenschutzmodell eine Methode entwickelt, die für Datenschutzaudits als Referenzrahmen dient. Wie der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) erläutert, übersetzt das SDM die rechtlichen Anforderungen der DSGVO in konkrete technische und organisatorische Maßnahmen. Die aktuelle Version 3.1a wurde im Mai 2024 von der DSK beschlossen und steht auf den Seiten des Landesbeauftragten für Datenschutz Mecklenburg-Vorpommern zum Download bereit.

Die sieben Gewährleistungsziele des SDM

Das SDM transformiert die rechtlichen Anforderungen der DSGVO in sieben Gewährleistungsziele, die als Prüfkriterien für Audits dienen.

Datenminimierung verlangt, dass die Verarbeitung personenbezogener Daten auf das dem Zweck angemessene, erhebliche und notwendige Maß beschränkt wird. Verfügbarkeit bedeutet, dass der Zugriff auf personenbezogene Daten sowie ihre Verarbeitung unverzüglich möglich sein müssen und die ordnungsgemäße Verwendung im vorgesehenen Prozess gesichert ist. Integrität fordert, dass personenbezogene Daten in einer Weise verarbeitet werden, die einen Schutz vor unbeabsichtigtem Verlust oder Schädigung gewährleistet.

Vertraulichkeit stellt sicher, dass nur Befugte Zugang zu personenbezogenen Daten haben. Transparenz ermöglicht es Betroffenen und Aufsichtsbehörden, die Datenverarbeitung nachzuvollziehen. Nichtverkettung gewährleistet, dass Daten nur für den Zweck verarbeitet werden, für den sie erhoben wurden. Intervenierbarkeit sichert die Umsetzung der Betroffenenrechte auf Auskunft, Berichtigung, Löschung und Einschränkung.

Praktische Anwendung des SDM im Audit

Für die praktische Anwendung stehen Excel-basierte Audit-Tools zur Verfügung, die über 300 Kontrollfragen aus zehn Bausteinen umfassen. Diese orientieren sich an den Maßnahmenkatalogen des SDM: Aufbewahren, Planen und Spezifizieren, Dokumentieren, Protokollieren, Trennen, Löschen und Vernichten, Berichtigen, Einschränken der Verarbeitung sowie Zugriffe regeln.

Der IT-Planungsrat empfiehlt seit 2020 die Anwendung des SDM für sämtliche öffentlichen Verwaltungen Deutschlands. Das BSI IT-Grundschutz-Kompendium verweist im Datenschutzbaustein CON.2 ebenfalls auf das SDM – eine systematische Herangehensweise, die auch bei der BSI IT-Grundschutz-Modellierung angewendet wird.

Checkliste für das Datenschutzaudit

Datenschutzorganisation

Im Bereich der Datenschutzorganisation ist zu klären, ob ein Datenschutzbeauftragter bestellt wurde, sofern die gesetzlichen Voraussetzungen erfüllt sind. Die Kontaktdaten des DSB müssen veröffentlicht und der Aufsichtsbehörde gemeldet sein. Der DSB sollte regelmäßig an Fortbildungen teilnehmen und Zugang zu allen relevanten Unternehmensbereichen haben. Ein Datenschutz-Organigramm mit definierten Verantwortlichkeiten sowie ein Eskalationsprozess bei Datenschutzvorfällen sollten existieren.

Verarbeitungstätigkeiten

Hinsichtlich der Verarbeitungstätigkeiten muss geprüft werden, ob ein vollständiges Verzeichnis von Verarbeitungstätigkeiten geführt wird, das alle vorgeschriebenen Angaben nach Art. 30 DSGVO enthält. Für jede Verarbeitung sollte eine dokumentierte Rechtsgrundlage vorliegen, und Betroffene müssen entsprechend den Vorgaben der Art. 13 und 14 DSGVO informiert werden. Die Datenminimierung ist umgesetzt, und Löschfristen sind definiert und werden eingehalten. Besondere Aufmerksamkeit verdienen dabei Verfahren wie Anonymisierung und Pseudonymisierung personenbezogener Daten sowie deren Integration in das ISMS.

Technische und organisatorische Maßnahmen

Bei den technischen und organisatorischen Maßnahmen (TOM) sind wirksame Zugangskontrollen zu physischen Räumen und IT-Systemen zu prüfen. Verschlüsselung sollte für sensible Daten bei Speicherung und Übertragung implementiert sein. Es müssen regelmäßige Backups mit dokumentierten Wiederherstellungstests erfolgen, und Netzwerke sollten segmentiert sein. Sicherheitsupdates sind zeitnah einzuspielen, und Protokollierung sowie Monitoring kritischer Systeme müssen gewährleistet sein.

Auftragsverarbeitung

Im Bereich der Auftragsverarbeitung ist festzustellen, ob alle Auftragsverarbeiter identifiziert und dokumentiert sind. Mit jedem Auftragsverarbeiter muss ein Vertrag nach Art. 28 DSGVO geschlossen sein. Die TOM der Auftragsverarbeiter sind zu prüfen, und bei Subunternehmen müssen entsprechende Genehmigungen vorliegen.

Betroffenenrechte

Bezüglich der Betroffenenrechte sind Prozesse zur Bearbeitung von Auskunftsersuchen, Berichtigungsanfragen, Löschanfragen und Widersprüchen zu prüfen. Die Fristen nach Art. 12 DSGVO (ein Monat) müssen eingehalten werden, und ein Verfahren zur Identitätsprüfung bei Anfragen sollte existieren.

Datenschutzvorfälle

Für Datenschutzvorfälle muss ein dokumentierter Prozess zur Erkennung und Meldung von Datenpannen bestehen. Die 72-Stunden-Meldefrist an die Aufsichtsbehörde ist zu beachten, und Vorlagen für die Meldung an Behörden und Betroffene sollten vorbereitet sein. Datenschutzvorfälle sind zu dokumentieren, und regelmäßige Schulungen für Mitarbeiter zur Erkennung von Vorfällen sollten stattfinden.

Synergien zwischen Datenschutzaudit und Informationssicherheit

DSGVO und ISO 27001 optimal verbinden

Datenschutz und Informationssicherheit sind eng miteinander verzahnt. Ein integrierter Ansatz spart Ressourcen und erhöht die Effektivität beider Managementsysteme. Die technischen und organisatorischen Maßnahmen der DSGVO überschneiden sich in vielen Bereichen mit den Controls der ISO 27001.

Unternehmen, die bereits über ein ISO 27001-zertifiziertes ISMS verfügen, können dieses als Grundlage für das Datenschutzaudit nutzen. Die Erweiterung um ISO 27701 (Privacy Information Management System) schließt die verbleibenden Lücken und schafft ein integriertes Management für Informationssicherheit und Datenschutz.

Die Rolle des Informationssicherheitsbeauftragten

Ein externer Informationssicherheitsbeauftragter kann wertvolle Unterstützung bei der Vorbereitung und Durchführung von Datenschutzaudits leisten, insbesondere wenn es um die Bewertung technischer Sicherheitsmaßnahmen geht. Der ISB koordiniert dabei mit dem Datenschutzbeauftragten und stellt sicher, dass Informationssicherheit und Datenschutz Hand in Hand arbeiten.

Zertifizierungsmöglichkeiten

ISO 27701 – Datenschutz-Managementsystem

Die ISO/IEC 27701:2019 ist eine Erweiterung der ISO 27001 um Datenschutzaspekte. Sie wurde im August 2019 veröffentlicht und kann nur zusammen mit ISO 27001 zertifiziert werden. Die Norm beschreibt ein Privacy Information Management System (PIMS), das sowohl Verantwortliche als auch Auftragsverarbeiter verwenden können.

Die Zertifizierung nach ISO 27701 bietet erhöhte Datensicherheit durch ein zertifiziertes System, einen Wettbewerbsvorteil durch Nachweis internationaler Standards, die Integration von Datenschutzmaßnahmen in bestehende ISMS sowie eine systematische Identifikation und Steuerung von Datenschutzrisiken.

Es ist zu beachten, dass eine ISO 27701-Zertifizierung keine Zertifizierung im Sinne von Art. 42 DSGVO darstellt, da hierfür eine Akkreditierung nach ISO 17065 erforderlich wäre. Die ISO 27701 kann jedoch eine solide Grundlage für ein DSGVO-Audit bilden.

Weitere relevante Standards

Neben der ISO 27701 existieren weitere Standards, die für Datenschutzaudits relevant sein können. Die ISO 27001 definiert Anforderungen an Informationssicherheits-Managementsysteme und bildet die Grundlage für ISO 27701. Die ISO 27002 enthält Umsetzungsempfehlungen für Sicherheitsmaßnahmen. Die ISO 19011 bietet einen Leitfaden zur Auditierung von Managementsystemen, der auf Datenschutzaudits übertragen werden kann.

Kosten und Aufwand eines Datenschutzaudits

Faktoren, die den Aufwand beeinflussen

Der Aufwand für ein Datenschutzaudit variiert erheblich je nach Unternehmensgröße und Komplexität der Datenverarbeitung, Anzahl der zu prüfenden Abteilungen und Standorte, dem Vorhandensein und Reifegrad eines Datenschutzmanagementsystems sowie der Art des Audits (intern/extern, Erstaudit/Rezertifizierung). Ähnliche Faktoren beeinflussen auch die Kosten für einen externen ISB.

Realistische Zeitplanung

Für kleine und mittelständische Unternehmen bis etwa 500 Mitarbeiter sind durchschnittlich drei Tage für ein Audit inklusive Vor- und Nachbereitung einzuplanen. Die einzelnen Phasen verteilen sich typischerweise wie folgt: Planung benötigt zwei bis vier Wochen, ein Vorab-Audit etwa zwei Wochen, die Durchführung zwei bis acht Wochen und die Berichterstattung weitere zwei Wochen.

Kostenrahmen

Für kleine und mittelgroße Unternehmen liegen die Kosten für ein externes Datenschutzaudit typischerweise zwischen 1.000 und 3.000 Euro. Mit zunehmender Komplexität steigen die Gebühren entsprechend. Die Investition relativiert sich im Vergleich zu potenziellen Bußgeldern – laut DLA Piper stieg die durchschnittliche Bußgeldhöhe von 500.000 Euro im Jahr 2019 auf 2,8 Millionen Euro im Jahr 2023.

Aktuelle Entwicklungen und Ausblick 2025

Verschärfte Durchsetzung

Die Datenschutzbehörden in Europa verfolgen weiterhin eine klare Linie bei der Durchsetzung. Laut DLA Piper GDPR Survey werden täglich europaweit durchschnittlich 363 Datenschutzverletzungen gemeldet – Tendenz steigend. Die Fokussierung auf Governance und Unternehmensführung nimmt zu: Die niederländische Datenschutzbehörde prüft bereits, ob Geschäftsführer persönlich für DSGVO-Verstöße haftbar gemacht werden können.

Im Bericht der Europäischen Kommission zur Anwendung der DSGVO (COM(2024) 357) wird zudem betont, dass Zertifizierungsmechanismen und regelmäßige Audits als kosteneffiziente Instrumente zur Einhaltung der Vorschriften an Bedeutung gewinnen. Die Kommission hebt hervor, dass Unternehmen zunehmend auf standardisierte Prüfverfahren setzen sollten, um ihre Compliance nachweisen zu können.

Neue regulatorische Anforderungen

Mit dem Jahr 2025 treten zusätzliche Regelwerke in Kraft, die Auswirkungen auf Datenschutzaudits haben. Die EU KI-Verordnung (AI Act) enthält spezifische Vorgaben für den Einsatz von Künstlicher Intelligenz. Die NIS-2-Richtlinie stärkt die allgemeine Cybersicherheit, und der Data Act regelt den Umgang mit Nicht-Personendaten. Diese neuen Anforderungen sollten in künftigen Datenschutzaudits berücksichtigt werden.

Die Überschneidungen zwischen DSGVO und NIS-2 sind dabei besonders relevant: Beide Regelwerke fordern technische und organisatorische Maßnahmen zum Schutz von Daten und Systemen. Unternehmen, die von NIS-2 betroffen sind, sollten ihr Datenschutzaudit entsprechend erweitern.

Empfohlene Audit-Frequenz

Die regelmäßige Durchführung von Datenschutzaudits sollte Teil der Unternehmensroutine sein. Ein jährliches Audit wird allgemein empfohlen, bei hohem Risikoprofil oder nach wesentlichen Änderungen auch häufiger. Anlassbezogene Audits sind nach Datenpannen, bei Einführung neuer Systeme oder nach Gesetzesänderungen durchzuführen.

Das Datenschutzaudit als strategische Investition

Das Datenschutzaudit ist weit mehr als eine Pflichtübung – es ist ein strategisches Instrument zur Sicherung der Unternehmens-Compliance und des Kundenvertrauens. Durch die systematische Prüfung von Prozessen, technischen Maßnahmen und organisatorischen Abläufen lassen sich Risiken frühzeitig erkennen und beheben, bevor es zu Datenschutzverstößen oder behördlichen Sanktionen kommt.

Die Kosten präventiver Maßnahmen sind minimal im Vergleich zu potenziellen Bußgeldern, Schadensersatzforderungen und Reputationsschäden. Unternehmen, die regelmäßig Datenschutzaudits durchführen, stärken nicht nur ihre Rechtskonformität, sondern positionieren sich auch als vertrauenswürdige Partner im digitalen Geschäftsverkehr.

Professionelle Datenschutzaudits

DSGVO-TOM: Technisch-organisatorische Maßnahmen auditieren
ISO 27001: Integriertes ISMS-Audit