Zuerst sollte das Ziel des Audits definiert werden. Das übliche Ziel eines Datenschutz-Audits ist es, die gesetzliche Konformität in Hinblick auf die rechtlichen Vorgaben nachzuweisen. Aber auch weitere Ziele sind denkbar, wie eine Attestierung des Datenschutzmanagements nach ISAE 3000 (siehe Kapitel 8.1). Der Auditor muss die erforderlichen Ressourcen, die für das Audit benötigt werden, definieren. Des Weiteren sammelt der Auditor Informationen über den Auditee, um dessen Geschäftsfeld und die damit verbundenen Datenrisiken grob abschätzen zu können. Mit diesen Informationen kann der Auditor den Scope des Audits einschätzen. Bereits bei der Planung sollte der Auditteamleiter sein Team entsprechend den benötigten Qualifikationen zusammensetzen. Das Ergebnis der Planung ist ein Auditprogramm, das zeigt, wer wann und wo während des Audits involviert sein muss, welche Anforderungen betrachtet werden und wie lange das Audit dauert.
