DSGVO-Compliance ohne Aktenberg und ohne externe Datenschutzberater im Dauereinsatz

Pflege Datenschutzrichtlinien, Acceptable-Use-Policies, Auftragsverarbeitungsverträge und interne Anweisungen mit vollständiger Versions-Kontrolle. Jede neue Version ist sofort aktiv und löst einen Bestätigungs-Workflow aus: Mitarbeitende müssen die neue Version genau einmal akzeptieren, der Acceptance-Record enthält Zeitstempel, IP-Adresse und Geräte-Hash als Nachweis. Das System verhindert doppelte Bestätigungen und zeigt pro Richtlinie und Version, wer bestätigt hat und wer noch aussteht. Bei einem Datenschutz-Audit exportierst du die Acceptance-Nachweise für alle Richtlinien auf Knopfdruck als PDF. Richtlinien werden mit Soft-Delete archiviert, Versionshistorie bleibt vollständig erhalten. Der eingebaute KI-Helfer schlägt auf Wunsch Gliederungs-Vorlagen vor, die rechtliche Ausgestaltung und finale Formulierungen prüft dein Datenschutzbeauftragter.

Betroffenenanfragen (DSAR: Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit) werden strukturiert erfasst mit Name, E-Mail, Anfrage-Typ und Eingangs-Datum. Die Antwort-Frist von 30 Tagen nach Art. 12 DSGVO setzt die Datenbank automatisch auf Basis des Eingangs-Datums, kein manuelles Kalkulieren. Das Modul zeigt offene Anfragen nach Fälligkeit sortiert, überfällige Anfragen werden farblich hervorgehoben. Interne Notizen und Status-Übergänge (offen, in Bearbeitung, abgeschlossen, abgelehnt) werden im Workflow festgehalten und sind nachvollziehbar. Pro Anfrage kannst du einen Daten-Export-Job anstoßen, der die relevanten Daten des Betroffenen aus dem System zusammenstellt. Alle Schritte landen im Audit-Trail, Datenschutzbehörden-Anfragen sind damit vollständig dokumentiert.

Das Verarbeitungsverzeichnis (VVT) ist pro Modul vorstrukturiert angelegt: Für jede Verarbeitungstätigkeit sind Zweck, Rechtsgrundlage, betroffene Personen-Kategorien, Daten-Kategorien, Empfänger, Drittland-Übermittlungen und Löschfristen hinterlegt. Die Einträge sind bearbeitbar und werden bei Änderungen versioniert. Da eine Verarbeitungstätigkeit je Modul genau einmal angelegt ist und per VVT-Code eindeutig identifiziert wird, gibt es keine Dopplungen und keine Inkonsistenzen zwischen Modul-Dokumentation und dem Verzeichnis. Auf Knopfdruck exportierst du das vollständige Verzeichnis als PDF oder CSV für deine zuständige Datenschutzbehörde oder für externe Datenschutzprüfungen. Änderungshistorie dokumentiert, wer wann welchen Eintrag bearbeitet hat, der Audit-Trail ist lückenlos.

Datenschutz-Folgenabschätzungen (DSFA nach Art. 35 DSGVO) werden im ISMS-Modul erstellt und gepflegt. Das Compliance-Modul spiegelt diesen Status als read-only Ansicht: Du siehst Prozessname, Datenkategorien, Zwecke, Rechtsgrundlage, Risiko-Stufe und Genehmigungs-Status aller DSFA auf einen Blick. Keine Doppelpflege, kein Export-Import-Hin-und-her. Wenn im ISMS eine DSFA auf 'genehmigt' gesetzt wird, ist der Status im Compliance-Modul sofort sichtbar. Diese zentrale Sicht hilft Datenschutzbeauftragten, den Gesamtstatus der DSFA-Pflicht schnell zu beurteilen, ohne zwischen Modulen hin- und herzuwechseln. Schreibzugriff auf DSFA-Einträge erfolgt ausschließlich im ISMS-Modul, was versehentliche Änderungen im Compliance-Kontext ausschließt.

Alle Compliance-Daten sind hart nach Mandant getrennt: Row-Level Security auf Postgres-Ebene stellt sicher, dass kein Datensatz eines Mandanten für einen anderen sichtbar ist. Account-ID kommt ausschließlich aus dem JWT-Claim, nicht aus Client-Parametern, Mass-Assignment ist auf Schema-Ebene ausgeschlossen. Richtlinien-Acceptances sind zusätzlich per Composite-Fremdschlüssel strukturell abgesichert: Ein Cross-Tenant-Acceptance ist technisch unmöglich und wirft einen Datenbank-Fehler. Soft-Delete bewahrt alle Datensätze im Audit-Trail, gelöschte Richtlinien und Anfragen sind damit rekonstruierbar. Für Datenschutzprüfungen durch Behörden oder DSB ist der gesamte Compliance-Bestand mit Zeitstempeln, Nutzer-IDs und Status-Verläufen export-fertig.

Das Dashboard des Compliance-Moduls zeigt auf einen Blick, wo der Handlungsbedarf liegt: Wie viele Richtlinien sind aktiv und haben noch ausstehende Bestätigungen? Wie viele Betroffenenanfragen sind offen, und welche laufen in weniger als 7 Tagen ab? Wie viele VVT-Einträge sind vollständig gepflegt? Der eingebaute KI-Helfer beantwortet Fragen zum DSGVO-Compliance-Stand direkt im Chat, zum Beispiel 'Welche Richtlinien haben noch nicht alle Bestätigungen erhalten?' oder 'Welche DSAR-Anfragen sind überfällig?'. Alle Tabellen bieten Filter nach Status, Typ und Suchbegriff sowie Pagination für große Datenmengen. Ergebnisse sind ohne externe Tools direkt exportierbar, der Datenschutzbeauftragte braucht keinen System-Zugriff für periodische Berichte.