gdpr-audit-prep
von alirezarezvanigdpr-audit-prep hilft Teams, ihre DSGVO-Bereitschaft vor Audits oder Due Diligence gezielt zu prüfen. Der Skill nutzt sechs DPO-Fragen mit Artikelbezug zu RoPA, Rechtsgrundlage, DPIA, Datenübermittlungen, Datenschutzverletzungen, Aufbewahrung und Nachweislücken.
Dieser Skill erreicht 73/100 Punkte. Damit ist er für die Aufnahme ins Verzeichnis geeignet: ein fokussierter Prompt zur Vorbereitung auf DSGVO-Audits, der Agenten eine klarere Prüfstruktur bietet als ein generischer Compliance-Prompt. Nutzer des Verzeichnisses sollten ihn als schlanke DPO-ähnliche Checkliste verstehen, um die DSGVO-Bereitschaft unter Druck zu testen – nicht als vollständiges Auditsystem mit unterstützenden Vorlagen, Skripten oder Rechtsquellen.
- Klarer Trigger und klare Einsatzfälle: Der Befehl `/cs:gdpr-audit-prep <scope>` ist ausdrücklich mit jährlichen DSGVO-Prüfungen, Reaktionen auf Datenschutzverletzungen, der Vorbereitung auf DPA-Untersuchungen und Due-Diligence-Prüfungen bei Übernahmen verknüpft.
- Operativ nützlicher Kern: Der Skill basiert auf sechs DPO-Fragen mit Artikelbezug, darunter Article 30 RoPA, Article 6 lawful basis, DPIA-Auslöser sowie die verletzungsbezogenen Articles 33-34.
- Guter Hebel für Agenten bei der Prüfung: Das Format mit zwingenden Fragen hilft einem Agenten, fehlende Compliance-Nachweise gezielt zu hinterfragen, statt nur allgemeine DSGVO-Kommentare zu liefern.
- Es gibt keine ergänzenden Dateien, Referenzen, Skripte, Vorlagen oder Installationshinweise; Nutzer erhalten lediglich den SKILL.md-Workflow.
- Die Repository-Hinweise deuten darauf hin, dass es über die checklistenartige Befragung hinaus nur begrenzte praktische Umsetzungsdetails gibt. Für Teams, die ein vollständiges DSGVO-Audit-Paket benötigen, kann das zu wenig sein.
Überblick über den gdpr-audit-prep skill
Was gdpr-audit-prep leistet
gdpr-audit-prep ist ein Compliance-Review-Skill, mit dem sich die DSGVO-Bereitschaft anhand von sechs DPO-typischen, artikelbezogenen Fragen gezielt auf Belastbarkeit prüfen lässt. Der Skill ist darauf ausgelegt, einen AI assistant dazu zu bringen, Datenschutznachweise kritisch zu hinterfragen, statt nur eine unverbindliche Checkliste zu erzeugen. Der Kernnutzen ist klar: Vor einem Audit, einer Reaktion auf eine Datenschutzverletzung, einer DPA-Abstimmung, einer DPIA, einer RoPA-Aktualisierung oder einer Prüfung im Rahmen einer Akquisition hilft der Skill dabei, fehlende Aufzeichnungen, schwache Angaben zur Rechtsgrundlage, undokumentierte Übermittlungen, veraltete Aufbewahrungsregeln und lückenhafte Verfahren für Betroffenenrechte sichtbar zu machen.
Am besten geeignet für Compliance-Review-Teams
Der gdpr-audit-prep skill eignet sich besonders für Privacy Leads, Legal-Ops-Teams, DPO-Support, Security- und Compliance-Manager sowie Startup-Betreiber, die sich auf eine DSGVO-Prüfung vorbereiten. Besonders hilfreich ist er, wenn bereits einige Unterlagen vorhanden sind – etwa RoPA, DPIA, Datenschutzhinweis, DPA-Liste, Transfer Impact Assessment, Aufbewahrungsplan oder Breach Log –, aber vor der Weitergabe an Rechtsberatung, Auditoren, Käufer oder eine Aufsichtsbehörde noch eine strukturierte kritische Prüfung nötig ist.
Was ihn von einem allgemeinen DSGVO-Prompt unterscheidet
Ein allgemeiner Prompt kann DSGVO-Pflichten zusammenfassen. gdpr-audit-prep ist enger gefasst und für die operative Prüfung nützlicher: Der Skill stellt zwingende Fragen, die konkreten DSGVO-Artikeln zugeordnet sind, mit Fokus auf Verzeichnisse nach Artikel 30, Rechtsgrundlagen nach Artikel 6, DPIA-Auslöser, internationale Übermittlungen, Meldung von Datenschutzverletzungen und Qualität der Nachweise. Der Wert liegt nicht darin, dass der Skill „DSGVO macht“, sondern darin, offenzulegen, ob die behauptete Compliance-Position durch datierte, spezifische und prüfbare Dokumentation verteidigt werden kann.
Wichtige Grenzen bei der Einführung
Dieser Skill ersetzt weder Rechtsberatung noch einen DPO oder ein vollständiges DSGVO-Auditprogramm. Er wird außerdem als einzelne SKILL.md ohne mitgelieferte Skripte, Referenzen oder Hilfsressourcen bereitgestellt. Nutzer sollten daher ein Prompt-Workflow-Asset erwarten, keinen automatisierten Evidence Scanner. Am besten funktioniert der Skill, wenn Sie einen konkreten Prüfungsumfang und passende Dokumente bereitstellen. Schwach ist er, wenn er lediglich mit „check GDPR compliance“ beauftragt wird, ohne Verarbeitungstätigkeit, Geografie, Anbieterlisten oder Audit-Ziel zu nennen.
So verwenden Sie den gdpr-audit-prep skill
gdpr-audit-prep installieren und Repository-Pfad finden
Für einen Claude-Skills-Workflow installieren Sie den Skill über den Repository-Pfad:
npx skills add alirezarezvani/claude-skills --skill gdpr-audit-prep
Der Upstream-Pfad lautet compliance-os/skills/gdpr-audit-prep in alirezarezvani/claude-skills. Beginnen Sie mit SKILL.md; für diesen Skill gibt es keine separate README.md, keine rules/, references/, resources/ und keine Skripte, die geprüft werden müssten. Das macht die Installation unkompliziert, bedeutet aber auch, dass Ihr eigenes Evidence Pack und die Formulierung des Prompts den größten Teil der Ergebnisqualität bestimmen.
Welche Eingaben der Skill vor der Prüfung braucht
Für eine starke gdpr-audit-prep usage sollten Sie dem Assistenten einen klar definierten Scope und die Nachweise geben, die kritisch geprüft werden sollen. Nützliche Eingaben sind zum Beispiel:
- Name der Verarbeitungstätigkeit, Rolle als Verantwortlicher/Auftragsverarbeiter, Länder, betroffene Personen und Datenkategorien
- RoPA-Auszug mit Datum der letzten Aktualisierung
- Rechtsgrundlage je Zweck, einschließlich etwaiger Legitimate Interests Assessment
- DPIA oder Begründung, warum keine durchgeführt wurde
- Liste von Anbietern/Subprozessoren, SCCs, Übermittlungsmechanismus und Hinweise zu Transfer-Risiken
- Aufbewahrungsplan und Löschkontrollen
- Breach Log oder Kontext zur Incident Response
- Datenschutzhinweis, DSAR-Verfahren und Einwilligungsnachweise, sofern relevant
Ein schwacher Prompt wäre: „Check if we are GDPR compliant.“
Ein stärkerer Prompt wäre: „Use gdpr-audit-prep for Compliance Review of our EU customer analytics processing. We are controller, use Mixpanel and AWS, process account IDs, usage events, IP addresses, and support metadata. Review the attached RoPA extract, LIA, DPA list, retention schedule, and privacy notice. Identify audit-facing gaps by GDPR Article, evidence needed, and owner-ready remediation questions.“
Praktischer Workflow für vollständige Prompts
Setzen Sie den Skill vor dem formellen Review-Meeting ein, nicht erst nachdem Entscheidungen bereits feststehen. Ein sinnvoller Ablauf ist:
- Definieren Sie den exakten Scope: jährliches Audit, Artikel-30-Aktualisierung, High-Risk Launch, Breach Readiness, DPA-Untersuchung oder M&A Due Diligence.
- Fügen Sie die relevanten Unterlagen ein oder hängen Sie sie an, statt aus dem Gedächtnis heraus prüfen zu lassen.
- Fordern Sie den Skill auf, jede DPO-Prüffrage mit folgenden Feldern zu beantworten:
finding,GDPR Article,evidence seen,evidence missing,riskundnext action. - Trennen Sie Fakten von Annahmen. Wenn das Modell etwas ableitet, verlangen Sie eine klare Kennzeichnung als Schlussfolgerung.
- Überführen Sie die erste Ausgabe in einen Remediation Tracker mit Verantwortlichem, Fälligkeitsdatum, Nachweislink und Audit-Status.
Tipps für bessere Ergebnisqualität
Bitten Sie um eine kritische Gegenprüfung, nicht um Beruhigung. Formulierungen wie „challenge our evidence“, „act as a DPO before supervisory authority engagement“ und „do not accept undocumented claims“ führen in der Regel zu besseren Ergebnissen als „summarize compliance“. Wenn Sie mehrere Verarbeitungstätigkeiten haben, führen Sie gdpr-audit-prep für jede davon separat aus; Rechtsgrundlage nach Artikel 6, Aufbewahrung, Übermittlungen und DPIA-Logik unterscheiden sich häufig je nach Zweck.
FAQ zum gdpr-audit-prep skill
Ist gdpr-audit-prep für Einsteiger geeignet?
Ja, sofern Einsteiger Zugriff auf echte Datenschutzunterlagen haben und die Verarbeitungstätigkeit verstehen. Die Struktur mit sechs Fragen erleichtert den Einstieg in die DSGVO-Prüfung, ersetzt aber keine vollständige Einführung in alle DSGVO-Konzepte. Einsteiger sollten die Ergebnisse mit juristischer oder datenschutzfachlicher Prüfung abgleichen, bevor sie externe Aussagen treffen.
Wann sollte ich gdpr-audit-prep nicht verwenden?
Verwenden Sie den Skill nicht als alleinige Grundlage für Rechtsauslegung, Kommunikation mit Aufsichtsbehörden, Entscheidungen zur Meldung von Datenschutzverletzungen oder die finale DPIA-Freigabe. Ebenfalls ungeeignet ist er für breit angelegtes Privacy-Programmdesign, Cookie-Banner-Implementierung, reine CCPA-Prüfungen oder automatisiertes Codebase Scanning. Nutzen Sie ihn, wenn die Aufgabe in der Vorbereitung eines DSGVO-Audits und der kritischen Prüfung von Nachweisen besteht.
Worin unterscheidet sich das von einer Datenschutz-Checkliste?
Eine Checkliste fragt, ob ein Element vorhanden ist. Der Ansatz des gdpr-audit-prep guide fragt, ob dieses Element belastbar ist: datiert, artikelbezogen, einem konkreten Verarbeitungszweck zugeordnet und durch Aufzeichnungen belegt. Dieser Unterschied ist wichtig, weil viele DSGVO-Auditprobleme nicht in völlig fehlenden Dokumenten bestehen, sondern in veralteten RoPAs, vermischten Rechtsgrundlagen, unbelegten berechtigten Interessen oder undokumentierten grenzüberschreitenden Übermittlungen.
Funktioniert der Skill für Auftragsverarbeiter und Verantwortliche?
Ja, aber Sie müssen angeben, welche Rolle gilt. Die Anforderungen nach Artikel 30 unterscheiden sich für Verantwortliche und Auftragsverarbeiter, und auch die erwarteten Nachweise zu Verträgen, Subprozessoren, Weisungen und gemeinsamen Verantwortlichkeiten ändern sich erheblich. Wenn Ihre Organisation beide Rollen einnimmt, trennen Sie die Prüfung nach Verarbeitungsbeziehung.
So verbessern Sie den gdpr-audit-prep skill
gdpr-audit-prep mit besseren Evidence Packs verbessern
Der schnellste Weg zu besseren gdpr-audit-prep-Ergebnissen ist ein Evidence Pack, bevor Sie Schlussfolgerungen anfordern. Nennen Sie Dateinamen, Daten, Dokumentenverantwortliche und bekannte Lücken. Beispiel: „RoPA updated 2024-11-02, LIA draft missing balancing test, SCCs signed with vendor but no TIA, retention rule says 24 months but deletion job not evidenced.“ So kann der Assistent Audit-Feststellungen besser von fehlendem Kontext unterscheiden.
Auf typische Fehlermuster achten
Das wichtigste Fehlermuster ist, vage Compliance-Formulierungen zu akzeptieren. Hinterfragen Sie Ausgaben, die „ensure appropriate measures“ sagen, ohne den konkreten Nachweis, Artikel, Control oder fehlenden Beleg zu benennen. Ein weiteres Fehlermuster besteht darin, Zwecke zusammenzuwerfen: Ein einziger Produkt-Workflow kann Kontoerstellung, Abrechnung, Analytics, Betrugsprävention und Support umfassen – jeweils mit anderer Rechtsgrundlage und Aufbewahrungslogik.
Von Fragen zu konkreter Remediation iterieren
Bitten Sie nach dem ersten Durchlauf um eine zweite Prüfung, die Findings in einen Maßnahmenplan überführt. Ein nützlicher Follow-up-Prompt ist: „Turn the unresolved gdpr-audit-prep findings into a remediation table with priority, GDPR Article, required evidence, accountable team, suggested due date, and what would satisfy an auditor.“ Dadurch wird der Skill für den Compliance Review deutlich operativer.
Lokalen Policy-Kontext vor dem finalen Einsatz ergänzen
Für den produktiven Einsatz sollten Sie den Skill an die Risikobereitschaft und Dokumentationsstandards Ihrer Organisation anpassen. Ergänzen Sie Ihr RoPA-Template, DPIA-Schwellenwerte, Breach-Eskalationsrichtlinie, Kriterien für Vendor Reviews, Methode für Transfer Assessments und Retention Taxonomy. Der Skill wird verlässlicher, wenn er gegen Ihr tatsächliches Compliance-Betriebsmodell prüft statt gegen generische DSGVO-Erwartungen.
