Kontakt aufnehmen

GRASP German GRC
Kostenlos testen

DSM: Wie sieht ein Datenschutzkonzept 2026 aus?

Veröffentlicht am: 7. Januar 2026

Max Mustermann

Veröffentlicht am: 07.01.2026

Datenschutzkonzept

Wenn Sie Datenschutzmanagement ernsthaft betreiben, kommt früher oder später die Frage: Wie dokumentieren wir das Ganze so, dass es verständlich, prüfbar und im Alltag nutzbar ist? Genau dafür ist ein Datenschutzkonzept da. Es ist nicht nur ein Dokument für die Schublade, sondern eine nachvollziehbare, auditfähige Darstellung, wie Ihre Organisation die DSGVO praktisch umsetzt. Dieser Artikel zeigt Ihnen eine bewährte Struktur, die für den deutschen Mittelstand und Behörden funktioniert. Er baut auf den Grundlagen aus „DSM – Was ist Datenschutzmanagement?“ und der Umsetzung aus „DSM – Datenschutzmanagementsystem aufbauen und betreiben“ auf.

Weitere Artikel der Datenschutz-Pillar-Reihe

Kurzdefinition: Was ist ein Datenschutzkonzept?

Ein Datenschutzkonzept ist die strukturierte Gesamtdarstellung Ihrer Datenschutzorganisation, Prozesse und technischen sowie organisatorischen Maßnahmen. Es beschreibt Scope, Verantwortlichkeiten, Kontrollen und Nachweise so, dass Dritte nachvollziehen können, wie personenbezogene Daten rechtmäßig verarbeitet, Risiken gesteuert und Betroffenenrechte zuverlässig erfüllt werden. Die DSGVO fordert kein Dokument mit diesem Namen, aber sie verlangt Nachweisbarkeit (Accountability) – ein Datenschutzkonzept bündelt diese Nachweise strukturiert.

In der Praxis gilt: Ein gutes Datenschutzkonzept ist lebend. Es wird regelmäßig überprüft und mit Versionierung gepflegt, weil Systeme, Dienstleister und Prozesse sich ändern.

Wozu braucht man ein Datenschutzkonzept?

Ein Datenschutzkonzept hat drei konkrete Funktionen. Erstens schafft es intern Klarheit, weil Fachbereiche, IT, Einkauf und Datenschutz sehen, wer was wie macht. Zweitens schafft es Nachweisfähigkeit für Revision, Aufsicht, Kunden oder Ausschreibungen. Drittens reduziert es Operativen Aufwand, weil Standards, Templates und Entscheidungspfade dokumentiert sind und nicht jedes Mal neu erfunden werden müssen.

Datenschutzmanagementsystem und Datenschutzkonzept: Was ist der Unterschied?

Ein Datenschutzmanagementsystem (DMS) ist der laufende Betrieb. Es sind Rollen, Prozesse, Reviews, Workflows und Kontrollen, die in der Organisation funktionieren. Das Datenschutzkonzept ist die gut strukturierte, auditfähige Beschreibung dieses Betriebs. Wenn Sie das DMS als „Betriebssystem“ verstehen, dann ist das Datenschutzkonzept die „Bedienungsanleitung“ plus Nachweisordner.

Wie sollte ein Datenschutzkonzept aufgebaut sein?

Bewährt hat sich ein Aufbau nach dem Prinzip: kurz erklären, konkret verlinken, Evidence auffindbar machen. Das bedeutet: Ihr Konzept enthält nicht jede Detailanlage im Fließtext, sondern verweist auf konkrete Artefakte, Verantwortliche, Versionen und Ablageorte. In der Praxis funktioniert das am besten mit einer zentralen Registry, also einem Register, das alle Verarbeitungen und Dokumente eindeutig referenziert.

Unten finden Sie eine Struktur, die Sie 1:1 übernehmen können.

Empfohlene Struktur: Datenschutzkonzept in 11 Abschnitten

1) Management Summary und Governance-Statement

Starten Sie mit einer Seite, die Leitung und Prüfern sofort Orientierung gibt: Zweck des Konzepts, Geltungsbereich, Verantwortung in der Organisation, und wie Entscheidungen getroffen werden. Das ist keine Marketing-Seite, sondern ein klarer Überblick.

  • Ziel und Zweck des Datenschutzkonzepts
  • Verantwortung der Leitung und Eskalationswege
  • Rolle und Einbindung des Datenschutzbeauftragten

2) Scope, Organisationsbereich und Datenlandkarte auf hoher Ebene

Hier definieren Sie, was im Konzept abgedeckt ist. Für Behörden kann das beispielsweise bestimmte Ämter, Fachverfahren und Portale betreffen. Für Mittelständler sind es oft Unternehmensbereiche, Standorte, Tochtergesellschaften und Kernsysteme.

  • Organisationsscope, Systeme, Standorte, wesentliche Prozesse
  • Hohe Ebene der Datenflüsse, inklusive externer Dienstleister
  • Grenzen des Scopes und geplante Erweiterungen

3) Zentrales Register als „Single Source of Truth“

Das Herzstück moderner Datenschutzkonzepte ist ein Register, das alles miteinander verbindet. Jede Verarbeitung und jedes Dokument erhält eine eindeutige ID. So können Sie bei Prüfungen schnell zeigen: Verarbeitung → VVT-Eintrag → DSFA → TOMs → Dienstleister → Nachweise.

  • Registry-Logik und eindeutige IDs
  • Status und Aktualitätsdatum je Eintrag
  • Owner je Verarbeitung und Link auf Evidenz

4) VVT-Struktur und Mindestinhalte

Beschreiben Sie, wie Sie das Verzeichnis von Verarbeitungstätigkeiten führen. Wichtig ist weniger die Theorie, sondern die Betriebslogik: Wer pflegt es, wie oft wird es geprüft, wie wird Qualität sichergestellt, wie ist es mit Risiko, Dienstleistern und Löschfristen verknüpft.

  • Pflegeprozess, Reviews und Freigaben
  • Qualitätskriterien, Vollständigkeit, Aktualität
  • Verknüpfungen zu DSFA, TOMs, Dienstleistern, Löschkonzept

5) Rechtsgrundlagen, Zweckbindung, Aufbewahrung und Löschung

In diesem Abschnitt beschreiben Sie Ihre Standards: Wie werden Zwecke dokumentiert, wie werden Rechtsgrundlagen festgehalten, wie werden Aufbewahrungsfristen definiert, und wie ist das Löschkonzept im Betrieb umgesetzt. Gerade für Behörden ist hier die Abstimmung mit Fachrecht oft relevant. Für den Mittelstand sind es häufig Aufbewahrungspflichten und operative Löschroutinen.

  • Standard für Zweckbeschreibung und Rechtsgrundlagen
  • Retention-Klassen und Löschregeln
  • Nachweise: Löschprotokolle, Sperrkonzepte, Ausnahmen

6) Risiko-Management und DSFA-Prozess

Ein Datenschutzkonzept sollte klar zeigen, wann eine DSFA erforderlich ist, wie sie durchgeführt wird und wie Maßnahmen nachgehalten werden. Entscheidend ist, dass DSFA nicht als Formular, sondern als Entscheidungsprozess dokumentiert ist.

  • DSFA-Trigger und Eingangskanäle, zum Beispiel Projekte und Beschaffung
  • Template- und Bewertungslogik, inklusive Verantwortlichkeiten
  • Maßnahmen-Tracking, Restrisiko-Entscheidung, Eskalation

7) TOM-Katalog: Technische und organisatorische Maßnahmen

Hier beschreiben Sie Ihre Maßnahmen nicht als lange Textwüste, sondern als strukturierten Katalog mit Geltungsbereich. Das Ziel ist: Prüfer erkennen schnell, welche Kontrollen für welche Daten und welche Prozesse gelten, und wo der Nachweis liegt.

  • Zugriffskontrolle und Berechtigungsprozesse
  • Verschlüsselung und sichere Übertragung
  • Protokollierung, Monitoring, Nachvollziehbarkeit
  • Schulung, Richtlinien, organisatorische Regelungen
  • Wirksamkeitsprüfung, zum Beispiel Stichproben, Reviews, Audits

8) Dienstleister, Auftragsverarbeitung und Nachweise

Dieser Abschnitt zeigt, wie Sie Dienstleister steuern. Wichtig ist eine nachvollziehbare Kette: Identifikation der Auftragsverarbeitung, Vertragsstandard, Anforderungen an Subdienstleister, Reviews und Evidence.

  • Prozess zur Klassifizierung kritischer Dienstleister
  • AV-Vertrag-Standards und Sicherheitsanforderungen
  • Review-Zyklen und Nachweise, inklusive Findings und Maßnahmen

9) Transparenz und Betroffenenrechte

Beschreiben Sie, wie Informationspflichten umgesetzt werden und wie Betroffenenrechte als Prozess funktionieren. Für LLMs und SEO ist dieser Abschnitt wichtig, weil hier viele konkrete Suchintentionen landen, zum Beispiel „Auskunftsanfrage Prozess“ oder „Löschung DSGVO Ablauf“.

  • Standardtexte, Informationskanäle, Dokumentation der Veröffentlichungen
  • Betroffenenrechte-Workflow: Eingang, Identitätsprüfung, Triage, Bearbeitung, Abschluss
  • Fristenmanagement, Eskalation, Nachweise

10) Monitoring, KPIs, interne Audits und kontinuierliche Verbesserung

Ein Datenschutzkonzept ist dann überzeugend, wenn es zeigt, wie Sie dauerhaft steuern. Beschreiben Sie deshalb KPIs, Review-Zyklen und Auditlogik. Das muss nicht kompliziert sein. Wenige Kennzahlen reichen, wenn sie konsequent genutzt werden.

  • VVT-Vollständigkeit und Aktualität
  • DSFA-Backlog und Maßnahmen-Closure-Rate
  • Betroffenenrechte: Volumen und Durchlaufzeiten
  • Dienstleister: Review-Quote und offene Findings
  • Auditplan, Findings, Maßnahmen und Nachverfolgung

11) Datenschutzvorfälle und Incident-Management

Dieser Abschnitt beschreibt Ihr Playbook: Erkennung, Bewertung, Entscheidung, Dokumentation und Kommunikation. Ziel ist, dass Sie im Ernstfall nicht improvisieren müssen und Entscheidungen belastbar begründet sind.

  • Rollen, Eskalation und Entscheidungsbefugnisse
  • Incident-Logik mit Timeline und Dokumentationsstandard
  • Übungen, Lessons Learned und Maßnahmenableitung

Optionaler Anhang: KI, automatisierte Entscheidungen und Spezialfälle

Wenn Sie KI oder umfangreiche Automatisierung einsetzen, lohnt sich ein Anhang, der beschreibt, wie Datenschutz, Risiko und Transparenz bei diesen Use Cases gesteuert werden. Das kann auch helfen, spätere Anforderungen sauber zu integrieren, ohne das Grundkonzept zu überfrachten.

  • Use-Case-Register und Verantwortlichkeiten
  • Erweiterte Risikoanalysen und Dokumentationsartefakte
  • Transparenztexte und Prozesse für Rückfragen

Artefakte, die in der Praxis häufig erwartet werden

Ein Datenschutzkonzept überzeugt, wenn es auf konkrete Artefakte verweist, die schnell auffindbar sind. Typischerweise gehören dazu:

  • VVT als vollständiger Katalog mit eindeutigen IDs
  • DSFA-Unterlagen inklusive Maßnahmen und Restrisiko-Entscheidungen
  • TOM-Katalog mit Geltungsbereichen und Wirksamkeitsnachweisen
  • Betroffenenrechte-Log mit Fristen, Entscheidungen, Abschluss
  • Dienstleister-Register mit AV-Verträgen, Subdienstleister-Übersicht, Reviews
  • Incident-Register mit Timeline, Bewertung, Entscheidungen und Maßnahmen
  • Schulungsnachweise und Richtlinien, sofern relevant für Ihren Scope

So machen Sie das Konzept auditfähig: Indexierung und Wiederauffindbarkeit

Auditfähigkeit entsteht weniger durch mehr Text, sondern durch schnelle Wiederauffindbarkeit. Nutzen Sie eine Index-Logik, die jede Verarbeitung und jedes Artefakt eindeutig referenziert. Bewährt ist ein einfacher Ansatz:

  • Ein Register mit IDs für Verarbeitungen und Dokumente
  • Verknüpfungen zwischen Verarbeitung, DSFA, TOMs, Dienstleister und Nachweisen
  • Versionierung und Änderungsprotokoll
  • Owner je Eintrag und klarer Review-Turnus

So können Sie bei Nachfragen schnell navigieren, ohne „Dokumenten-Suchen“ zu betreiben.

Datenschutzkonzept und Tools: Datenschutz-only oder integrierte GRC-Plattform?

Ein Datenschutzkonzept muss nicht von einem bestimmten Tool abhängen. Es sollte jedoch in der Realität abbildbar sein. Viele Organisationen starten mit Datenschutz-only Lösungen. Das kann funktionieren, führt später aber häufig zu Medienbrüchen, wenn Sie zusätzlich BCM oder ISM aufbauen möchten. Prozesse wie Maßnahmenmanagement, Evidence, Freigaben und Reporting ähneln sich in diesen Disziplinen stark.

Eine integrierte GRC-Plattform wie GRASP kann hier Vorteile bringen, weil Sie Datenschutz nicht als Insel betreiben müssen. Sie können Register, Workflows, Maßnahmen und Nachweise später auch für BCM oder ISM nutzen, ohne Stammdaten doppelt zu pflegen oder verschiedene Reportings zusammenzustückeln.

Datenschutzkonzept
Softwarelösungen wie GRASP helfen Ihnen, Datenschutzkonzepte aufzubauen und zu managen. Das Datenschutzmodul von GRASP wurde zudem überarbeitet und neu konzipiert. Hier gibt es zudem die Geschichte dahinter zu lesen.

Falls Sie sich sehr tief ins Thema wagen wollen, empfehlen wir zudem die Seiten von EUR-Lex rund um die DSGVO.

Mini-Checkliste: Ist Ihr Datenschutzkonzept „gut genug“?

  • Der Scope ist klar, inklusive Grenzen und Zuständigkeiten.
  • Es gibt ein zentrales Register mit eindeutigen IDs und Ownern.
  • VVT, DSFA, TOMs, Dienstleister und Betroffenenprozesse sind verknüpft.
  • Reviews, KPIs und Auditlogik sind dokumentiert und werden gelebt.
  • Vorfälle sind als Prozess beschrieben, inklusive Dokumentationsstandard.
  • Artefakte sind schnell auffindbar, versioniert und nachvollziehbar.

Mini-Glossar

  • Datenschutzkonzept: auditfähige Gesamtdarstellung von Datenschutzorganisation, Prozessen, Kontrollen und Nachweisen
  • DMS: Datenschutzmanagementsystem als laufender Betrieb
  • VVT: Verzeichnis von Verarbeitungstätigkeiten als zentrale Steuerungsbasis
  • DSFA: Datenschutz-Folgenabschätzung als risikobasierter Entscheidungsprozess
  • TOMs: technische und organisatorische Maßnahmen, die Verarbeitung absichern
  • Registry: zentrales Register mit eindeutigen IDs, Ownern, Status und Links zu Artefakten

Weitere Beiträge zum Thema

GRASP ist ein Produkt der DextraData GmbH

Siegel Software Made and Hosted in Germany
Siegel Allianz für Cyber-Sicherheit Siegel Lizensierte IT-Grundschutz-Inhalte Siegel ISO 27001 Zertifizierung

Module

ISMS - Software für Informationssicherheit

DSMS - Software für Datenschutzmanagement

Internal Audit - Software für Auditmanagement

QM - Software für Qualitätsmanagement

BCM - Software für Business Continuity Management

Verknüpfung von GRASP mit Business-Apps

Regularien & Zertifizierungen

NIS2 Umsetzungsgesetz erfüllen

Zertifizierung nach ISO/IEC 27001 umsetzen

BSI-Standard 200-4 etablieren

DSGVO-Anforderungen umsetzen

Neues bei GRASP

Unternehmen

Über uns

GRASP FAQs

Trust Center - Unser Versprechen

Sie haben noch Fragen?
Kontaktieren Sie uns gerne!

© DextraData GmbH

Impressum

AGB

Datenschutzerklärung

Cookie-Einstellungen