DSGVO · Datenschutz · DSB

DSGVO-Compliance für KMU — mit externem DSB, VVT, TOM und Datenpannen-Prozess

Wir unterstützen Sie bei Verarbeitungsverzeichnis, AV-Verträgen, TOM-Dokumentation, DSFA, Betroffenenanfragen und Datenpannen-Prozessen — strukturiert, pragmatisch und mit klarer Zuständigkeit.

  • Externer DSB ab 249 €/Monat
  • VVT, TOM und AVV strukturiert aufbauen
  • Datenpannen-Prozess für 72h-Meldepflicht
  • DSGVO-Audit und Maßnahmenplan
  • 30-Minuten-Ersteinschätzung
Kostenlosen Termin sichern Kurze Anfrage stellen
Notivia seit 2003· +100 ISMS-Kunden*· +20 Full-Service-Projekte*· Externer DSB ab 249 €/Monat· ★★★★★5.0

* Audit-Erfolg bezogen auf abgeschlossene Full-Service-Zertifizierungs­projekte seit 2019.

Kurz-Check

Diese Seite ist richtig für Sie, wenn …

  • … Sie personenbezogene Daten verarbeiten.
  • … Sie ein Verfahrensverzeichnis (VVT) aufbauen oder pflegen müssen.
  • … Sie einen Datenschutzbeauftragten (DSB) benennen müssen.
  • … Sie auf Auskunftsanfragen oder Datenpannen vorbereitet sein wollen.
  • … Sie wissen möchten, was DSGVO-Compliance kostet und wie lange sie dauert.
Unsere Leistungen für DSGVO

Vier Bausteine. Ein Weg zur Compliance.

Alle Bausteine für prüfbare DSGVO-Compliance — Projekt, externer DSB, Audit und Vorlagen aus einer Hand.

Maximale Begleitung

Full-Service-Begleitung

DSGVO-Umsetzungsprojekt — von VVT bis AVV, vom TOM bis zum Datenschutzkonzept.

Geeignet für Sie, wenn Sie DSGVO-Compliance mit möglichst wenig interner Projektlast erreichen wollen.
  • Verfahrensverzeichnis (Art. 30)
  • TOM-Dokumentation
  • AVV-Portfolio mit Kunden/Dienstleistern
  • Datenschutz-Konzept & Richtlinien
ab €6.900 einmalig
Angebot anfordern
Laufend

Externer Datenschutzbeauftragter (DSB)

DSB-Pflicht prüfen — häufig ab 20 Personen mit regelmäßiger automatisierter Datenverarbeitung. Wir stellen den externen DSB und begleiten Umsetzung, Prüfung und Nachweise.

Geeignet für Sie, wenn Sie einen externen Datenschutzbeauftragten (DSB) brauchen.
  • Bestellung & Meldung an Aufsichtsbehörde
  • Datenschutz-Hotline für Mitarbeiter
  • Jahres-Audit inkl. Bericht
  • Betroffenen-Anfragen-Management
ab €249 / Monat
Beratung anfragen
12 Mo Mindestlaufzeit · 3 Mo Kündigungsfrist
Einmal / jährlich

Internes Audit

Datenschutz-Audit gegen DSGVO-Anforderungen.

Geeignet für Sie, wenn Sie Ihre DSGVO-Reife vor einer möglichen Behördenprüfung verifizieren wollen.
  • Compliance-Check je Fachbereich
  • TOM-Wirksamkeitsprüfung
  • Reifegrad-Score
  • Priorisierte Maßnahmenliste
ab €1.900 einmalig
Audit anfragen
Self-Service

Ready-Kit

Komplett-Paket Vorlagen — für Firmen unter 20 Mitarbeitern ideal.

Geeignet für Sie, wenn Sie intern genug Ressourcen haben und selbst umsetzen möchten.
  • Datenschutzerklärung & Cookie-Hinweis
  • AVV-Mustervertrag
  • TOM-Dokumentation-Template
  • VVT-Tabelle vorstrukturiert
ab €390 einmalig · +€49/Mo Plattform
Jetzt bestellen

Zusätzlich für DSGVO

Norm-spezifische Zusatzleistungen — einzeln buchbar

DSFA (Datenschutz-Folgenabschätzung)

Strukturiert nach Art. 35 DSGVO — für risikoreiche Verarbeitungen.

ab €2.490

Datenpannen-Hotline 24h

24/72h-Meldepflicht-Unterstützung nach Art. 33/34.

ab €149/Mo

AVV-Review-Service

Prüfung Ihrer bestehenden Auftragsverarbeitungsverträge.

ab €890
DSB- und Datenschutz-Retainer: 12 Monate Mindestlaufzeit · 3 Monate Kündigungsfrist zum Monatsende · alle Preise netto.
Kostenlose Ersteinschätzung

DSGVO-Check in 30 Minuten

Stand, Lücken, nächster Schritt — realistische Einschätzung Ihrer DSGVO-Compliance, unverbindlich.

Lead Consultant
Lead Consultant
Ihr Ansprechpartner
  • Schnelle Antwort
  • Realistische Zeit- und Kostenangaben
  • Kein Verkaufsdruck, keine Verpflichtung
  • Von Notivia GmbH, Stuttgart — seit 2019
think why NETFORMIC Animus Intelligence Crest Digital Veoma VERDURE
Direkt buchen — am schnellsten
30-Min-Slot selbst wählen
oder schreiben Sie uns

    Kein Spam·Keine Verpflichtung·Schnelle Antwort·DSGVO-konform
    Lieber direkt anrufen? +49 711 35 15 705
    Selbst starten

    Vier Werkzeuge — jetzt sofort nutzbar

    Bevor Sie Kontakt aufnehmen: Kosten kalkulieren, DSGVO-Reife prüfen, Plattform erkunden oder den Leitfaden herunterladen — kostenlos und unverbindlich.

    Kostenloser DSGVO-Check · 3 Min.

    Wie DSGVO-reif ist Ihr Unternehmen?

    10 Fragen zu VVT, AVV, TOMs, Auskunftsrechten und Schulungen. In 3 Minuten Ihren Reifegrad prüfen.

    Check starten

    Oder selbst umsetzen

    Die ISMS-Plattform mit DSGVO-Modul

    Multinorm-ISMS digitalisiert VVT, AVV-Verwaltung, TOMs und Datenpannen-Workflow — ideal für interne Teams, die DSGVO-Anforderungen strukturiert dokumentieren möchten.

    Plattform entdecken
    Leitfaden · PDF

    DSGVO-Leitfaden für den Mittelstand

    Was die Verordnung verlangt, welche Dokumente nötig sind, was bei Datenpannen zu tun ist — verständlich aufbereitet.

    Leitfaden herunterladen
    Die Verordnung in Kürze

    Was muss für die DSGVO umgesetzt werden?

    Acht Bausteine — das ist der Pflichtkanon für DSGVO-Compliance.

    1. Verfahrensverzeichnis (Art. 30)
    2. Auftragsverarbeitungs­verträge AVV (Art. 28)
    3. Technisch-organisatorische Maßnahmen TOM (Art. 32)
    4. Datenschutz-Folgenabschätzung DSFA (Art. 35)
    5. Datenpannen-Meldewesen 72h (Art. 33/34)
    6. Auskunfts- und Löschrechte (Art. 15–22)
    7. Mitarbeiter-Schulung & Awareness
    8. Datenschutzbeauftragter DSB (Art. 37)

    Wir zeigen Ihnen im Erstgespräch, welche Punkte bei Ihnen bereits erfüllt sind.

    Kostenlose Ersteinschätzung buchen
    7 GRUNDSÄTZE

    Die Grundprinzipien der DSGVO

    Art. 5 DSGVO definiert sieben Grundsätze, die bei jeder Verarbeitung personenbezogener Daten einzuhalten sind.

    Rechtmäßigkeit

    Jede Verarbeitung braucht eine Rechtsgrundlage (Einwilligung, Vertrag, berechtigtes Interesse etc.).

    Zweckbindung

    Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden.

    Datenminimierung

    Nur die Daten erheben, die für den jeweiligen Zweck tatsächlich erforderlich sind.

    Richtigkeit

    Personenbezogene Daten müssen sachlich richtig und auf dem neuesten Stand sein.

    Speicherbegrenzung

    Daten nur so lange speichern, wie es für den Verarbeitungszweck notwendig ist.

    Integrität & Vertraulichkeit

    Angemessene technische und organisatorische Maßnahmen zum Schutz der Daten.

    Rechenschaftspflicht

    Der Verantwortliche muss die Einhaltung aller Grundsätze nachweisen können.

    BETROFFENENRECHTE

    Rechte der betroffenen Personen

    Die DSGVO gibt Betroffenen umfassende Kontrolle über ihre personenbezogenen Daten.

    Auskunft

    Art. 15 — Recht auf Information über gespeicherte Daten

    Berichtigung

    Art. 16 — Recht auf Korrektur unrichtiger Daten

    Löschung

    Art. 17 — „Recht auf Vergessenwerden“

    Einschränkung

    Art. 18 — Einschränkung der Verarbeitung

    Datenübertragbarkeit

    Art. 20 — Daten in maschinenlesbarem Format erhalten

    Widerspruch

    Art. 21 — Widerspruch gegen bestimmte Verarbeitungen

    Kein Profiling

    Art. 22 — Schutz vor automatisierten Entscheidungen

    Information

    Art. 13/14 — Informationspflicht bei Datenerhebung

    KERNANFORDERUNGEN

    Was die DSGVO von Ihnen verlangt

    Die wichtigsten organisatorischen und technischen Pflichten

    Verarbeitungsverzeichnis (Art. 30)

    Vollständiges Verzeichnis aller Verarbeitungstätigkeiten mit Zweck, Rechtsgrundlage, Kategorien und Löschfristen.

    Datenschutz-Folgenabschätzung (Art. 35)

    Risikoanalyse für Verarbeitungen mit hohem Risiko für die Rechte und Freiheiten natürlicher Personen.

    Datenschutzbeauftragter (Art. 37–39)

    Benennung eines DSB bei systematischer Überwachung, Verarbeitung besonderer Kategorien oder öffentlichen Stellen.

    Meldepflicht bei Datenpannen (Art. 33/34)

    Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden. Benachrichtigung Betroffener bei hohem Risiko.

    Auftragsverarbeitung (Art. 28)

    Vertragliche Regelungen mit allen Dienstleistern, die personenbezogene Daten in Ihrem Auftrag verarbeiten.

    Technische & organisatorische Maßnahmen (Art. 32)

    Verschlüsselung, Pseudonymisierung, Zugriffskontrolle, Belastbarkeit der Systeme, regelmäßige Tests.

    Drittlandtransfer (Art. 44–49)

    Besondere Garantien für Datenübermittlungen außerhalb des EWR: SCCs, Angemessenheitsbeschluss, BCRs.

    Privacy by Design & Default (Art. 25)

    Datenschutz bereits bei der Konzeption von Systemen berücksichtigen und datenschutzfreundliche Voreinstellungen wählen.

    Bis zu €20 Mio. / 4 %

    Für schwerwiegende Verstöße (Grundsätze, Betroffenenrechte, Drittlandtransfer): bis zu €20 Mio. oder 4 % des weltweiten Jahresumsatzes.

    Bis zu €10 Mio. / 2 %

    Für organisatorische Verstöße (Verarbeitungsverzeichnis, DSB, Meldepflichten): bis zu €10 Mio. oder 2 % des Jahresumsatzes.

    SYNERGIE

    ISO 27001 als starke Grundlage für DSGVO

    ISO 27001 ist eine starke Grundlage für DSGVO — ersetzt Datenschutz-Compliance aber nicht. Viele Bausteine wie Risikomanagement, Zugriffskontrolle, Lieferantenmanagement, Incident Management, Business Continuity und interne Audits lassen sich für die technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO nutzen. DSGVO ergänzt jedoch spezifische Anforderungen wie Verarbeitungsverzeichnis, AV-Verträge, Betroffenenrechte, DSFA, Rechtsgrundlagen, Informationspflichten und DSB-Pflichten. Je nach Scope und bestehender Umsetzung können ISO-27001-Bausteine etwa 40–60 % der technischen und organisatorischen DSGVO-Nachweise vorbereiten.

    DSGVO AnforderungISO 27001 Abdeckung
    Art. 32 TOM ISO 27001 Anhang A (93 Controls)
    Art. 35 DSFA / Risikobewertung ISO 27001 Kl. 6.1 Risikomanagement
    Art. 33/34 Meldepflichten ISO 27001 A.5.24–A.5.28
    Art. 28 Auftragsverarbeitung ISO 27001 A.5.19–A.5.23
    Art. 25 Privacy by Design ISO 27001 A.8.25–A.8.31
    Art. 5(2) Rechenschaftspflicht ISO 27001 Kl. 7.5 + Kl. 9 Dokumentation
    40–60 %
    Vorbereitung der technischen und organisatorischen DSGVO-Nachweise durch ISO 27001 — abhängig von Scope und Umsetzung
    UNSERE LÖSUNG

    DSGVO umsetzen mit iso-easy

    1

    Bestandsaufnahme

    Alle Verarbeitungstätigkeiten erfassen, Rechtsgrundlagen prüfen und Risiken bewerten.

    2

    Gap-Analyse

    Bestehende Maßnahmen gegen DSGVO-Anforderungen abgleichen und Handlungsbedarf identifizieren.

    3

    Maßnahmen umsetzen

    TOM implementieren, Prozesse aufsetzen, Dokumentation erstellen und Mitarbeiter schulen.

    4

    Dauerhaft compliant

    Laufende Überwachung, regelmäßige Audits und kontinuierliche Verbesserung im PDCA-Zyklus.

    Verarbeitungsverzeichnis DSFA-Vorlagen AV-Vertragsverwaltung Betroffenenrechte-Workflow TOM-Dokumentation Datenpannen-Meldung

    Oder selbst umsetzen

    Die ISMS-Plattform für DSGVO — und 8 weitere Normen

    Digitalisieren Sie Verarbeitungsverzeichnis, TOMs, Betroffenenrechte und Datenschutz-Folgenabschätzung in einem Multinorm-ISMS — ideal für Teams mit internen Ressourcen, die VVT, TOM, AVV und Datenpannen-Workflows digital pflegen möchten.

    • Multinorm-ISMS
    • KI-Copilot & Vorlagen
    • Audit-Lotse
    • 30 Tage kostenlos testen

    ab €149

    / Monat · alle Normen

    Plattform entdecken
    FAQ

    Häufige Fragen zur DSGVO

    Für wen gilt die DSGVO?
    Für jedes Unternehmen, das personenbezogene Daten von Personen im EWR verarbeitet — unabhängig von Standort oder Größe. Das betrifft praktisch alle Unternehmen: Kundendaten, Mitarbeiterdaten, Website-Besucher, Newsletter-Empfänger etc.
    Brauche ich einen Datenschutzbeauftragten?
    In Deutschland ja, wenn mindestens 20 Personen regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, oder wenn besondere Kategorien von Daten verarbeitet werden, oder bei öffentlichen Stellen. In der EU variieren die nationalen Schwellenwerte.
    Was ist ein Verarbeitungsverzeichnis?
    Ein zentrales Dokument, das alle Verarbeitungstätigkeiten auflistet: welche Daten werden für welchen Zweck auf welcher Rechtsgrundlage verarbeitet, wer hat Zugriff, wie lange werden sie gespeichert und welche TOM gelten. Es ist die Grundlage jeder DSGVO-Compliance.
    Was muss ich bei einer Datenpanne tun?
    Innerhalb von 72 Stunden die zuständige Aufsichtsbehörde informieren (Art. 33). Wenn ein hohes Risiko für die betroffenen Personen besteht, müssen auch diese unverzüglich benachrichtigt werden (Art. 34). Dokumentieren Sie jeden Vorfall — auch wenn keine Meldepflicht besteht.
    Hilft ISO 27001 bei der DSGVO-Compliance?
    Ja, sehr. ISO 27001 deckt ca. 65 % der DSGVO-Anforderungen ab — insbesondere die technischen und organisatorischen Maßnahmen (Art. 32). Die datenschutzspezifischen Aspekte (Verarbeitungsverzeichnis, Betroffenenrechte, DSFA) müssen ergänzt werden. Zusammen bilden sie ein starkes Compliance-Fundament.
    Kann ich DSGVO und ISO 27001 zusammen umsetzen?
    Ja, das empfehlen wir. Unser Multinorm-ISMS integriert Datenschutz und Informationssicherheit in einem System. Sie bauen einmal Ihr ISMS auf und erfüllen damit die technischen Maßnahmen der DSGVO und die Anforderungen von ISO 27001 — ohne doppelten Aufwand.
    Wie viel interne Arbeit fällt bei uns wirklich an?
    Klassische DSGVO-Erstaufstellung verschlingt 30–50 Personentage interne Zeit (VVT erstellen, AVVs prüfen, TOMs dokumentieren, Schulungen). Mit unserer Vorgehensweise + ISMS-Plattform reduzieren wir das auf 10–20 Personentage — weil wir VVT-Vorlagen, AVV-Muster und TOM-Templates weitgehend für Sie aufsetzen.
    Brauchen wir einen Datenschutzbeauftragten (DSB)?
    Ja, wenn: Sie eine Behörde sind, oder wenn Ihre Kerntätigkeit umfangreiche regelmäßige Verarbeitung betroffener Daten ist (z. B. Tracking, Profiling), oder wenn Sie besondere Datenkategorien verarbeiten (Gesundheit, Religion etc.). In Deutschland zusätzlich: ab 20 Mitarbeitenden, die regelmäßig automatisiert mit personenbezogenen Daten arbeiten. Wir übernehmen die DSB-Funktion gerne als Externer DSB ab €249/Monat.
    Was passiert bei einer Datenpanne?
    Sie haben 72 Stunden ab Kenntnisnahme Zeit, um die Aufsichtsbehörde zu informieren (Art. 33). Bei hohem Risiko für Betroffene: Information aller Betroffenen erforderlich (Art. 34). Mit unserer ISMS-Plattform haben Sie einen vorbereiteten Datenpannen-Workflow inkl. Meldevorlage und Risiko-Bewertung — reduziert das Fristen-Risiko erheblich.
    Wie hoch sind die Strafen bei DSGVO-Verstößen?
    Die DSGVO sieht je nach Verstoß Bußgelder bis zu 10 Mio. € oder 2 % bzw. bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes vor (Art. 83 DSGVO). Entscheidend sind Art, Schwere, Dauer, Fahrlässigkeit und getroffene Maßnahmen.
    Reicht uns ISO 27001 für DSGVO?
    ISO 27001 deckt etwa 40–50 % der DSGVO-Anforderungen ab (TOMs, Sicherheit, Risikomanagement). DSGVO ergänzt aber spezifische Anforderungen wie Verfahrensverzeichnis, AVVs, Auskunftsrechte, Datenpannen-Meldewesen und DSB-Pflicht — abhängig von Scope und bestehender Umsetzung.