Unsere Softwarelösung DPMS unterstützt Sie dabei, datenschutzrechtliche Anforderungen systematisch zu erfüllen, Risiken zu minimieren und Ihrer Rechenschaftspflicht zuverlässig nachzukommen. In diesem Beitrag zeigen wir in 10 praxisorientierten Schritten, wie Sie mit unserer Software ein Datenschutzmanagementsystem (DSMS) aufbauen und laufend weiterentwickeln.
Was ist ein Datenschutzmanagementsystem?
Ein Datenschutzmanagementsystem ist der strukturierte organisatorische Rahmen, mit dem ein Unternehmen den Schutz personenbezogener Daten plant, umsetzt, überwacht und fortlaufend verbessert. Es übersetzt die gesetzlichen Anforderungen – insbesondere der DSGVO – in gelebte Prozesse, Verantwortlichkeiten und klare Nachweisketten. Außerdem unterstützt es dabei, Datenschutzrisiken zu erkennen und zu minimieren.
Gleichzeitig wird das Unternehmen oder die Organisation in die Lage versetzt, nachvollziehbar belegen zu können, dass die datenschutzrechtlichen Vorschriften eingehalten werden – sei es gegenüber Kundinnen und Kunden, betroffenen Personen oder Behörden.
Im Folgenden erfahren Sie, wie Sie mit unserer Compliance-Software den Datenschutz in Ihrem Unternehmen oder bei Ihren Mandaten effizient und nachvollziehbar steuern.
Hinweis zur Reihenfolge der Schritte: Dieser Leitfaden bietet Ihnen eine erste Orientierung beim Aufbau eines Datenschutzmanagementsystems. Die Bearbeitung der einzelnen Schritte muss nicht zwingend linear erfolgen – je nach Struktur und Reifegrad Ihrer Organisation können Sie die Module der Software flexibel nutzen und insbesondere auch in einer anderen Reihenfolge bearbeiten. Außerdem können Datensätze aus verschiedenen Modulen an vielen Stellen miteinander verknüpft werden.
Inhalte in diesem Beitrag
2. Verarbeitungstätigkeiten erfassen
3. Dienstleister und Lieferanten managen
4. Informationspflichten gemäß Art. 13 und 14 DSGVO erfüllen
5. Technische und organisatorische Maßnahmen (TOM) dokumentieren
7. Datenschutzverletzungen erkennen und dokumentieren
8. Interne Richtlinien veröffentlichen
1. Organisationsstruktur abbilden
Zu Beginn legen Sie fest, welches Unternehmen und welche organisatorischen Einheiten Ihr Datenschutzmanagementsystem abdecken soll. Nutzen Sie zum Beispiel ein bestehendes Organigramm als Grundlage, um Ihre Fachabteilungen anzulegen.
👉 Umsetzung im DPMS mit dem Modul „Organisation“
- Hinterlegen Sie Unternehmensdaten, Kontaktdaten Ihrer/Ihres Datenschutzbeauftragten, die für Ihr Unternehmen zuständige Aufsichtsbehörde sowie Ihr Corporate Design für Berichte
- Legen Sie Benutzer an, die Sie beim Aufbau und der Pflege Ihres Managementsystems unterstützen
👉 Umsetzung im DPMS mit dem Modul „Beschäftigte“
- Legen Sie die Abteilungen an, die in Ihrem Unternehmen personenbezogene Daten verarbeiten (z. B. HR, Vertrieb, IT, Finanzen, Einkauf, Produktion, Kundenservice)
- Ergänzen Sie optional eine kurze Beschreibung pro Abteilung, um spätere Zuordnungen zu Verarbeitungstätigkeiten, Prozessen oder Systemen zu erleichtern
- Pflegen Sie Beschäftigtendaten inkl. Abteilungszuordnung per manueller Importfunktion oder binden Sie sie automatisiert über eine Schnittstelle ein
2. Verarbeitungstätigkeiten erfassen
Das Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 DSGVO ist das Herzstück Ihres DSMS. Es dokumentiert, welche personenbezogenen Daten verarbeitet werden – durch wen, auf welcher rechtlichen Grundlage, zu welchem Zweck und mit welchen Schutzmaßnahmen.
Praxistipp: Beginnen Sie mit den für Ihr Unternehmen relevantesten Prozesse wie Kundenverwaltung, Lohnabrechnung oder Kommunikationswege. Wichtig ist der Fokus auf den Zweck, nicht auf das eingesetzte System.
👉 Umsetzung im DPMS mit dem Modul „Verarbeitungstätigkeiten“
- Legen Sie neue Verarbeitungen an oder nutzen Sie systemseitige Vorlagen zur Erstellung Ihres Verzeichnisses
- Automatische Prüfmechanismen zeigen an, wenn Pflichtangaben fehlen
- Führen Sie eine geführte Erforderlichkeitsprüfung durch, bei der Sie Risiken identifizieren und beurteilen, ob eine Datenschutzfolgenabschätzung erforderlich ist
- Für Auftragsverarbeiter nach Art. 28 DSGVO: Wählen Sie aus, ob Sie die Verarbeitung im Auftrag eines Kunden durchführen. So erstellen Sie gleichzeitig Ihr Verzeichnis für Auftragsverarbeitungen
- Für Auftragnehmer: Fügen Sie Dienstleister hinzu, die bei der Verarbeitungstätigkeit eine Rolle spielen (siehe Punkt 3)
3. Dienstleister und Lieferanten managen
Sobald personenbezogene Daten von externen Partnern verarbeitet werden, entsteht ein erhöhter Prüf- und Dokumentationsbedarf – insbesondere bei Auftragsverarbeitungen oder Drittlandtransfers. Sie müssen Ihre Dienstleister vor der Beauftragung prüfen und vertraglich verpflichten, um sicherzustellen, dass sie mit den übermittelten Daten datenschutzkonform umgehen.
👉 Umsetzung im DPMS mit dem Modul „Dienstleister/Lieferanten“
- Pflegen Sie alle Ihre Dienstleister auf einer zentralen Oberfläche
- Hinterlegen Sie Zertifikate und Sicherheitsnachweise von Ihren Lieferanten
- Fügen Sie verbundene Unternehmen (z. B. Muttergesellschaften) oder Unterauftragnehmer Ihrer Lieferanten hinzu und dokumentieren Sie, wie mögliche Drittland-Übermittlungen abgesichert werden
- Führen Sie eine Dienstleister- bzw. Lieferantenbewertung durch
- Holen Sie anhand von Online-Fragebögen Informationen über aktuelle Sicherheitsmaßnahmen Ihrer Dienstleister ein
- Managen Sie den Freigabeprozess und halten Sie die verantwortlichen Personen bei Änderungen auf dem Laufenden
👉 Umsetzung im DPMS mit dem Modul „Datenschutzverträge“
- Schließen Sie Datenschutzverträge wie AV-Verträge und Verträge zur gemeinsamen Verantwortlichkeit digital ab
- Verknüpfen Sie Ihre TOM-Übersicht mit Ihren Datenschutzverträgen, indem Sie sie als Anlage hinzufügen
- Laden Sie Ihren Vertragspartner per E-Mail ein, Ihren Vertrag digital zu unterzeichnen
4. Informationspflichten gemäß Art. 13 und 14 DSGVO erfüllen
Nach Artikel 13 und 14 DSGVO müssen Sie betroffene Personen – zum Beispiel Beschäftigte, Kundinnen und Kunden oder Interessenten, transparent darüber aufklären, inwiefern Ihre Organisation und ggf. weitere Stellen ihre Daten verarbeiten.
Praxistipp: Erstellen Sie modulare Textbausteine für wiederkehrende Anforderungen (Rechtsgrundlagen, Speicherfristen, Kontakt für Auskünfte usw.).
👉 Umsetzung im DPMS mit den Modulen „Verarbeitungstätigkeiten“ und „DS-Informationen“
- Erstellen Sie Datenschutzhinweise automatisch auf Basis Ihrer erfassten Verarbeitungstätigkeiten
- Nutzen Sie vorgefertigte Formulierungen als Ausgangspunkt
- Individualisieren Sie Ihre Informationen nach Bedarf
- Veröffentlichen Sie Ihre Datenschutzinformationen als PDF, per Direktlink oder Website-Integration
5. Risikobehandlung: Technische und organisatorische Maßnahmen (TOM) dokumentieren
Die DSGVO schreibt vor, dass personenbezogene Daten risikobasiert zu schützen sind. Das bedeutet, Sie müssen zunächst während einer Risikoanalyse beurteilen, welchen Schutzbedarf die Daten haben, die Sie verarbeiten. Die Schutzziele umfassen die Vertraulichkeit, Integrität und Verfügbarkeit der Daten. Je nachdem, wie sensibel die personenbezogenen Daten sind, desto besser müssen sie geschützt werden.
In einem Sicherheitskonzept dokumentieren Sie die implementierten und geplanten Schutzmaßnahmen, die sowohl aus technischen Maßnahmen bestehen (zum Beispiel Firewall, Virenschutz, Backup-Lösung) als auch aus organisatorischen (zum Beispiel Mitarbeiterrichtlinien, Schulungen).
Die Bewertung von Risiken ist regelmäßig zu wiederholen, insbesondere bei erheblichen Veränderungen der Datenverarbeitung oder einer neuen Bedrohungslage. Um neuen Risiken zu begegnen, müssen Sie im Zuge der Risikobehandlung womöglich weitere Sicherheitsmaßnahmen ergreifen und dokumentieren.
👉 Umsetzung im DPMS mit dem Modul „TOM“
- Greifen Sie auf eine umfangreiche Maßnahmenbibliothek zurück
- Dokumentieren Sie spezielle TOM bei einzelnen Standorten oder Verarbeitungstätigkeiten
- Generieren Sie mit einem Klick Ihre TOM-Übersicht – zum Beispiel für Verträge zur Auftragsverarbeitung oder Lieferantenaudits
- Greifen Sie bei einer Datenschutzfolgenabschätzung auf Ihre bereits dokumentierten technischen und organisatorischen Maßnahmen zurück
6. Betroffenenrechte erfüllen
Die Artikel 15 bis 22 DSGVO führen verschiedene Rechte auf, die den Betroffenen zustehen. Sie haben unter anderem ein Recht auf Auskunft, Berichtigung und Löschung ihrer personenbezogenen Daten. In Ihrem Unternehmen müssen Sie sicherstellen, dass Betroffenenanfragen strukturiert, fristgerecht und nachvollziehbar bearbeitet werden. Modellieren Sie hierfür entsprechende Prozesse.
Praxis-Tipp: Gehen Sie zweistufig vor, um dem oder der Betroffenen zu signalisieren, dass Sie ihre bzw. seine Anfrage ernst nehmen. Das heißt: Verschicken Sie zunächst eine kurze Eingangsbestätigung und danach eine vollständige Antwort.
Achten Sie ebenfalls darauf, auch Dienstleister oder andere externe Partner einzubinden – insbesondere, wenn es um Lösch- und Korrekturanfragen geht.
👉 Umsetzung im DPMS mit dem Modul „Anfragen“
- Richten Sie ein Online-Formular ein, über das Betroffenenanfragen direkt ins System fließen
- Je nach Betroffenenkategorie unterstützt Sie das System mit den passenden Verarbeitungstätigkeiten – das erleichtert die Datenrecherche
- Pflegen Sie Anfragen aus anderen Kanälen manuell ein, um Ihre Anfragen lückenlos zu dokumentieren.
- Generieren Sie einen Report Ihrer Dokumentation, um Betroffenen Informationen nach Art. 15 DSGVO strukturiert mitzuteilen
👉 Umsetzung im DPMS mit dem Modul „Prozesse“
- Beschreiben und modellieren Sie Ihre Prozesse, um die Schritte für die Beantwortung der Betroffenenanfrage für alle Beteiligten verständlich zu machen (BPMN-Format)
- Legen Sie Zuständigkeiten fest und kommunizieren Sie Ihre Prozesse an alle Beteiligten
7. Datenschutzverletzungen erkennen und dokumentieren
Eine „Datenpanne“ besteht, wenn die Vertraulichkeit, Integrität oder Verfügbarkeit personenbezogener Daten beeinträchtigt ist – zum Beispiel durch Fehlversand von E-Mails oder in Folge eines Phishing- oder Ransomware-Angriffs.
Wenn ein Risiko für die Betroffenen vorliegt, müssen Sie die Datenschutzverletzung der für Ihre Organisation zuständigen Aufsichtsbehörde melden – binnen 72 Stunden. Entscheidend ist also eine schnelle Risikobewertung. Wenn ein hohes Risiko vorliegt, müssen Sie ebenfalls die betroffenen Personen informieren.
Praxistipp für Auftragsverarbeiter: Informieren Sie Auftraggeber, deren Daten Sie verarbeiten, unverzüglich über einen Datenschutzvorfall. Nur so können die Verantwortlichen den Vorfall zeitnah bewerten und fristgerecht melden.
👉 Umsetzung im DPMS mit dem Modul „Datenschutzverletzungen“
- Beschreiben Sie Zeitpunkt der Datenschutzverletzung, Art, Ursache, Umfang und getroffene Sofortmaßnahmen
- Wählen Sie die betroffenen Verarbeitungstätigkeiten aus, um die betroffenen Datenarten und Personengruppen abzuleiten
- Dokumentieren Sie Ihre durchgeführte Risikobewertung anhand einer Risikomatrix
- Behalten Sie die 72-Stunden-Frist im Blick: DPMS unterstützt Sie bei der Einhaltung der Meldefrist an die Aufsichtsbehörde
8. Interne Richtlinien veröffentlichen
Datenschutz lebt vom Bewusstsein der Mitarbeitenden. Klare Vorgaben, leicht verfügbare Informationen und eine saubere Dokumentation der Kenntnisnahme sind zentrale Komponenten eines belastbaren DSMS. Mit einer zentralen Intranet-Oberfläche können Sie Vorgaben, Kontaktwege und Meldeprozesse sichtbar und aktuell halten.
👉 Umsetzung im DPMS mit dem Modul „Dokumente“
- Erstellen Sie im integrierten Editor neue Richtlinien oder laden Sie bereits erstellte Dokumente hoch
- Definieren Sie Rollen, um Verantwortlichkeiten festzulegen
- Lenken Sie Ihre Dokumente digital, indem Sie Freigabe, Versionierung und Review-Termine steuern
👉 Umsetzung im DPMS mit dem Modul „Intranet“
- Veröffentlichen Sie Richtlinien, Leitlinien oder Verhaltensregeln im Intranet
- Verfolgen Sie die Kenntnisnahme digital
- Stellen Sie ein Online-Formular zur Verfügung, über das Mitarbeitende Datenschutzverletzungen intern melden können
9. Mitarbeitende schulen und sensibilisieren
Regelmäßige Datenschutzschulungen sind die Voraussetzung für gelebtes Datenschutzbewusstsein. Sie sind elementar, um Datenschutzverletzungen vorzubeugen. Indem Sie Ihre Mitarbeitenden involvieren, bekommen Sie außerdem neue Denkanstöße für die Weiterentwicklung Ihres Datenschutzmanagementsystems.
👉 Umsetzung im DPMS mit dem Modul „Schulungen“
- Erstellen Sie eigene Online-Mitarbeiterschulungen inkl. Abschlusstest oder nutzen Sie sofort nutzbare Datenschutzschulungen aus unserem Schulungsangebot
- Stellen Sie Schulungen im „Intranet“ zur Verfügung
- Verschicken Sie automatisiert die Teilnahmezertifikate
- Nutzen Sie die automatische Erinnerungsfunktion
10. Managementsystem bewerten und verbessern
Ein Datenschutzmanagementsystem aufzubauen ist keine einmalige Maßnahme, sondern mit einem kontinuierlichen Verbesserungsprozess verbunden. Um Ihre Datenschutzorganisation langfristig wirksam und sicher zu gestalten, sollten Sie regelmäßig überprüfen, wie gut die rechtlichen Anforderungen umgesetzt sind. Orientierung bieten standardisierte Anforderungskataloge – zum Beispiel auf Basis des Standard-Datenschutzmodells (SDM), der VdS 10010-Richtline oder der ISO/IEC 27701.
Anhand dieser Kataloge können Sie bewerten: Welche Anforderungen sind vollständig erfüllt? Wo bestehen Umsetzungsdefizite? Welche Maßnahmen wurden bereits umgesetzt – und welche sind noch offen? Ziel ist es, Fortschritte messbar zu machen und Verbesserungspotenziale gezielt zu identifizieren.
👉 Umsetzung im DPMS mit dem Modul „Managementsysteme“ und „Maßnahmen“
- Legen Sie eigene Kataloge an oder importieren Sie vorkonfigurierte Kataloge aus unseren Zusatzinhalten
- Verwalten Sie Maßnahmen sowie verantwortliche Personen und Fristen zur Umsetzung
- Erstellen Sie Online-Fragebögen (Selbst-Audits) für die Zusammenarbeit mit Kolleginnen und Kollegen oder externen Partnern
- Integrieren Sie weitere Managementsysteme, zum Beispiel für den Aufbau eines Informationssicherheitsmanagementsystems
👉 Ausblick: Mit dem in Kürze erscheinenden Modul „Interne Audits“ können Sie Ihr Managementsystem systematisch prüfen und weiterentwickeln (erscheint in Kürze).
👉 Ausblick: Ab September 2026 dürfen wir Ihnen offiziell den Anforderungskatalog für die DIN EN ISO/IEC 27701:2026-02 zur Verfügung stellen.
Datenschutz-Software für Unternehmen und externe Berater
Unsere Compliance-Software unterstützt Sie beim Aufbau Ihres Datenschutzmanagementsystems. Vorlagen, Praxisbeispiele und automatisierte Kontrollfunktionen erleichtern die Umsetzung der Anforderung. Unternehmensgruppen oder externe Berater profitieren außerdem von der durchdachten Mandantenfähigkeit des Systems.
Für Unternehmen: Unsere Software erleichtert den Start ins Datenschutzmanagement – mit vorkonfigurierten Vorlagen, auswählbaren technischen und organisatorischen Maßnahmen und sofort nutzbaren Anforderungskatalogen – zum Beispiel VdS 10010.
Für externe Berater: Sie beraten mehrere Mandanten? Dank unserer Mandantenfähigkeit behalten Sie den Überblick und sorgen für konsistente Umsetzungen der Datenschutzanforderungen – inklusive Wiederverwendbarkeit von Elementen, benutzerdefinierten Berechtigungen und zentralem Vorlagenmanagement.
DPMS jetzt kostenfrei testen oder Beratungstermin buchen
Machen Sie Ihr Unternehmen jetzt fit in Sachen Informationssicherheit!
Testen Sie unsere Compliance-Software 14 Tage kostenlos oder vereinbaren Sie einen unverbindlichen Demo-Termin, falls Sie sich für unser Paket „DPMS-Server“ interessieren.
👉 Beratungstermin zum DPMS-Server vereinbaren
👉 Kostenlose Testphase für Unternehmen
👉 Kostenlose Testphase für externe Berater
Broschüre: DSMS aufbauen
Sie nutzen DPMS bereits und möchten Ihrem Team, Ihren Mandanten oder Interessenten unseren Leitfaden zur Verfügung stellen?
Mit unserer Broschüre „In 10 Schritten ein DSMS aufbauen“ erhalten Sie ein professionell gestaltetes PDF-Dokument, das von unseren Mediengestaltern individuell an Ihre Corporate Identity angepasst wird. Sie können die Broschüre digital verwenden oder drucken lassen und als Booklet weitergeben.
Fragen & Antworten
Sie haben noch Fragen? Hier finden Sie Antworten auf häufig gestellte Fragen.
Ein Datenschutzmanagementsystem (DSMS) konzentriert sich auf die Einhaltung der datenschutzrechtlichen Anforderungen gemäß DSGVO, insbesondere im Umgang mit personenbezogenen Daten. Ein Informationssicherheitsmanagementsystem (ISMS) hingegen hat einen breiteren Fokus auf die gesamte Informationssicherheit im Unternehmen (inkl. technischer Systeme, Verfügbarkeiten etc.). Beide Systeme können im DPMS abgebildet werden und sich sinnvoll ergänzen. Sie überschneiden sich aber nicht vollständig.
Die Einrichtung eines „Managementsystems“ wird in der DSGVO nicht als Pflichtwort verwendet, allerdings erfordert die Rechenschaftspflicht eine strukturierte und durchgehende Umsetzung, die sich praktisch nur mit einem DSMS erfüllen lässt. Vor allem bei steigender Unternehmensgröße und Datenkomplexität wird ein DSMS faktisch unverzichtbar.
Nein – unsere Compliance-Software DPMS ist so konzipiert, dass Sie den Aufbau eines Managementsystems eigenständig umsetzen können. Gleichzeitig kann die Zusammenarbeit mit externen Datenschutzbeauftragten oder spezialisierten Beraterinnen und Beratern problemlos integriert werden – etwa durch Benutzerrollen, gemeinsame Maßnahmenplanung oder Auditfunktionen.
Die Dauer hängt von Ihrem Ausgangszustand, der Unternehmensgröße und der Datenverarbeitungskomplexität ab. Erste sichtbare Fortschritte – etwa ein vollständiges Verzeichnis von Verarbeitungstätigkeiten, oder die Dokumentation der Sicherheitsmaßnahmen – sind oft schon nach wenigen Wochen möglich.
Unsere Managementsoftware erinnert Sie an terminierte Aufgaben wie Dokumentenaktualisierungen, Schulungen oder Vertragsüberprüfungen. Gleichzeitig ermöglichen Review- und Audit-Funktionen eine kontinuierliche Pflege und Anpassung des Systems.