Datenschutzhandbuch & DSMS für externe DSB und Unternehmen — mit Verfahrensverzeichnis online und kompletter Datenschutz-Verwaltung.
Verarbeitungsverzeichnis, TOMs, Löschkonzept, DSFA, Datenpannen, Schulungen und Audit-PDF — in einem System, mit Vorlagen, die sofort nutzbar sind.
Drei Begriffe für dasselbe Ziel: eine zentrale, lebendige Dokumentation aller DSGVO-Pflichten — Verarbeitungstätigkeiten, technisch-organisatorische Maßnahmen, Datenpannen, Schulungen, Auskunftsersuchen. „Datenschutzhandbuch" betont die schriftliche Dokumentation, „DSMS" (Datenschutz-Management-System) bzw. „DPMS" (Data Privacy Management System) die kontinuierliche, prüfbare Verwaltung. DS-Easy deckt beides ab: Verfahrensverzeichnis online, Maßnahmen-Kataloge, Audit-fähige Berichte — auf einer Plattform.
Die zentralen Pflichten aus DSGVO und BDSG in einem System. Klar gegliedert, mit Bezug zum jeweiligen Artikel.
Erfassung aller Verarbeitungstätigkeiten mit 27 standardisierten Datenkategorien, Verknüpfung zu IT-Geräten, Kontakten und Standorten.
Pro Verfahren oder Auftragsverarbeiter beliebig viele TOMs in den 9 BDSG-Kategorien, mit Wirksamkeits-Status.
DSFA pro Verfahren mit Status, Risikobewertung, Konsultations-Dokumentation. System markiert Verfahren, bei denen DSFA-Indikatoren erfüllt sind.
Mandant als Verantwortlicher (klassische AVV mit externem Dienstleister) und Mandant als Auftragsverarbeiter (vollständiger Muster-AVV als PDF mit allen Pflichtanlagen).
Pro betroffener Person ein Eintrag mit Nachweis-Scan, am zugehörigen Verfahren. Stapel-Upload von unterschriebenen PDFs/Bildern, Widerruf-Erfassung mit Mail-Benachrichtigung an alle DSBs des Mandanten.
Erfassung mit Art, Risiko, Status. 72-Stunden-Frist-Ampel im Dashboard. Aufsichtsbehörden-Meldung und Betroffenen-Information.
Auskunfts-, Berichtigungs-, Löschungs-Anfragen mit 1-Monats-Frist. Phasen-Status (Eingang → Identität geprüft → in Bearbeitung → beantwortet), Fristverlängerung dokumentierbar.
Pro Verfahren Speicherdauer + Rechtsgrundlage. Vorschlag-Picker berechnet aus Datenkategorien die maßgebliche Aufbewahrungspflicht.
Datenschutz-Schulungen pro Mandant oder Standort mit Datum, Thema, Anzahl Teilnehmer, Referent und PDF-Teilnehmerliste.
Pro Mandant ein vollständiges Audit mit automatisch generiertem Bericht. PDF-Export enthält Bilder, alle Module und Schulungs-Nachweise.
Datenschutzerklärungen nach Art. 13/14 (Webseiten-Datenschutzerklärung, Kunden-Informationsblätter) sind bewusst kein Modul dieser Anwendung. Wir empfehlen den Generator der Deutschen Gesellschaft für Datenschutz — ein etablierter, regelmäßig gepflegter Baukasten für Mustertexte.
Vorlagen für 26 Branchen und Maßnahmen in den 9 BDSG/DSGVO-Kategorien — das komplette Spektrum gängiger Verarbeitungstätigkeiten.
Die VVT-Branche pro Mandant steuert, welche Verfahrens-Vorlagen oben mit „Empfohlen"-Badge erscheinen.
Anlage 2 zum BDSG (Stand DSGVO). Jede TOM ist genau einer dieser Kategorien zugeordnet.
Statt jedes Verfahren, jede TOM, jede Löschfrist und jede Adresse von Grund auf zu tippen — wählen Sie aus kuratierten Vorlagen und passen Sie nur das an, was wirklich anders ist.
1.000+ vorgefertigte Verarbeitungstätigkeiten aus 26 Branchen — von Patientenakte bis Newsletter-Versand. Klick füllt Name, Beschreibung, Datenkategorien, Flags und Löschkonzept vor.
Die Mandanten-Branche bestimmt automatisch, welche Vorlagen oben mit 'Empfohlen' stehen.
~120 kuratierte TOMs mit drei Textebenen: alltagstauglicher Titel, Laien-Kurzerklärung und Fachbeschreibung. Mehrfach-Auswahl per Checkbox.
Empfohlen-Badge oben bei TOMs, die zu Art-9-Daten, externer Verarbeitung oder Branche passen.
258 kuratierte Software-/Tool-Vorschläge — DATEV, Microsoft 365, Lexware, AWS, Stripe, Salesforce, viele mehr. Auswahl füllt Firmenname, typische Verarbeitungsarten und Drittland-Hinweise vor; ein AVV-Entwurf entsteht in einem Klick.
Mehrsignal-Logik: Verfahrens-Beschreibung + Empfängerkategorien priorisieren passende Dienste.
Aus den gewählten Datenkategorien wird automatisch das Maximum der gesetzlichen Aufbewahrungspflichten berechnet — mit allen Quellen aus BGB, HGB, AO.
Ein Klick füllt Speicherdauer, Rechtsgrundlage und nächste Löschprüfung.
16.480 deutsche PLZ als integrierte Autocomplete — Ort, Bundesland und GPS werden automatisch gesetzt. Die Mandant-Übersicht zeigt Hauptsitz + alle Betriebsstellen als Karte.
Standort-Kartendaten ausschließlich aus europäischen Quellen — kein US-Anbieter im Stack.
Über 25.000 reale Geräte aus echten Quellen — von FortiGate über PowerEdge bis Latitude. Ein Klick setzt Gerätetyp, Hersteller und Modell auf einmal.
Echte, quellenbelegte Modelle statt freiem Raten — alle Felder bleiben frei editierbar.
Verfahren und Auftragsverarbeitungs-Verträge teilen sich viele Felder (Personen, Datenarten, Verarbeitungsvorgänge, Zweck). Wenn Sie einen Knoten anlegen, wird der jeweils andere als Entwurf mit den gemeinsamen Feldern vorbefüllt — Sie ergänzen nur das, was wirklich neu ist.
Beim Anlegen eines Verfahrens fügen Sie passende Software-/Cloud-Dienste aus dem Katalog hinzu. Für jeden Dienst entsteht automatisch ein AVV-Entwurf in der AVV-Übersicht — mit allen gemeinsamen Anlage-1-Feldern bereits ausgefüllt.
Auch der umgekehrte Weg: Beim AVV legen Sie Personen, Datenarten und Zweck fest. Ein Klick „Verfahren aus diesem AVV ableiten" erzeugt das Verarbeitungsverzeichnis-Verfahren als Entwurf — mit denselben Feldern.
Vom Mandanten-Anlegen bis zum unterzeichneten Audit-PDF — in fünf Schritten.
Adresse, Branche und Größe erfassen. Die VVT-Branche bestimmt die Vorlagen-Vorauswahl.
Aus 1.000+ Vorlagen wählen oder eigene erfassen. Datenkategorien werden automatisch gesetzt.
Picker schlagen TOMs und Löschfristen vor. Software-Dienste aus dem 258er-Katalog erzeugen passende AVV-Entwürfe in einem Klick.
Bei einwilligungs-basierten Verfahren: Mustervorlage ausdrucken, unterschreiben lassen, Scans im Stapel hochladen. Pro Person ein Eintrag, Widerruf jederzeit erfassbar.
Klick generiert das komplette Audit-PDF mit Bildern, TOMs, DSFA, Pannen und Schulungen — plus Muster-AV-Verträge.
Die App vergleicht laufend Soll und Ist anhand der Stammdaten: fehlt eine DSFA für ein Art-9-Verfahren? Sind alle Verfahren mit Löschprüfung versehen? Ist die 72-Stunden-Frist einer Datenpanne offen? Ein Banner pro Mandant zeigt alle offenen Punkte und lässt sich nach Bestätigung pro Hinweis dauerhaft ausblenden — kein Spam, sondern eine ehrliche Checkliste.
Verwalten Sie beliebig viele Mandanten in einem System — mit klarer Trennung und rollenbasierten Berechtigungen.
Self-managed Portal: pflegen Sie Stammdaten, Verfahren und Schulungen selbst — ohne dass jemand anderes mitliest.
Vom Verein über die Arztpraxis bis zum Handwerksbetrieb oder kleinen Dienstleister: Die zentralen Pflichten gelten unabhängig von der Größe — die verbreitete Annahme, kleine Organisationen seien „befreit", ist ein Irrtum. Genau diese Pflichten deckt das System ab.
„Stelle ich bei einer Vor-Ort-Kontrolle fest, dass das Unternehmen ein umfassendes Datenschutz-Management implementiert hat, ist es im Nachgang oft nicht erforderlich, von den aufsichtsbehördlichen Befugnissen Gebrauch zu machen — oder es ist ausreichend, eine Verwarnung auszusprechen."
Diese Hinweise dienen der allgemeinen Information und sind unverbindlich — keine Rechtsberatung im Einzelfall. Im Zweifelsfall wenden Sie sich an eine Rechtsanwältin oder einen Rechtsanwalt (siehe rechtlicher Hinweis im Seitenfuß).
Wer DSGVO-Pflichten dokumentiert, muss beim eigenen Betrieb dieselben Maßstäbe anlegen. Hier die Schutzmaßnahmen — datenschutzrechtlich beschrieben, technische Detailfragen klären wir auf Anfrage gerne im persönlichen Gespräch.
Der Zugang ist nicht allein mit dem Passwort möglich. Jeder Login verlangt zusätzlich einen zeitlich begrenzten Einmalcode per E-Mail — alternativ lässt sich ein persönliches Sicherheits-Gerät (Sicherheits-Schlüssel oder am Endgerät verankerter Schlüssel) hinterlegen, das den zweiten Faktor phishing-resistent direkt am Gerät bestätigt. Wiederholt fehlgeschlagene Versuche führen zu einer temporären Konto-Sperre.
Sicherheitsrelevante Aktionen — Anmeldungen, Datenänderungen, Datei-Uploads, Exporte, Mandanten-Wechsel — werden lückenlos mit Benutzer, Zeitpunkt, Herkunft und Vorgang protokolliert. Das Protokoll ist auf Datenbankebene gegen nachträgliche Änderung und Löschung gesichert und liefert damit eine belastbare Grundlage für die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO.
Daten verschiedener Mandanten werden technisch sauber voneinander getrennt — auf Datenbank-, Anwendungs- und Datei-Ebene. Jede Anfrage prüft serverseitig die Zugehörigkeit; Versuche, fremde Datensätze über manipulierte Aufrufe einzusehen, werden abgewiesen. Diese Trennung wird vor jedem Update automatisiert über alle Funktionen hinweg geprüft.
Die Übertragung zwischen Browser und Server ist durchgehend transportverschlüsselt. Datenbank und Datei-/Bildspeicher sind nach dem Stand der Technik verschlüsselt. Die zugehörigen Schlüssel verbleiben innerhalb der zertifizierten Hosting-Infrastruktur in Deutschland — kein Zugriff durch Drittanbieter.
Vier klar getrennte Rollen — Administration, externe Datenschutzbeauftragte, Mandant-Selbstpflege und Lesezugriff. Jede Person sieht nur die Mandanten und Module, für die sie explizit freigegeben ist. Konten lassen sich sofort sperren; der Zugang erlischt mit dem nächsten Aufruf. Berechtigungen sind serverseitig verankert (nicht bloß UI-versteckt) und werden vor jedem Update über alle Funktionen hinweg automatisch geprüft.
Webserver, Datenbank und Datei-/Bildspeicher liegen in einem nach internationalen Standards zertifizierten Rechenzentrum in Deutschland (EU). Auch die Standort-Karten und Geo-Daten werden ausschließlich aus europäischen Quellen geladen — kein US-Anbieter im Stack, kein internationaler Datentransfer im Regelbetrieb.
Automatische tägliche Sicherungen erfüllen die Verfügbarkeits-Anforderung aus Art. 32 Abs. 1 lit. b DSGVO. Zusätzlich lässt sich jeder Mandant einzeln vollständig exportieren — Stammdaten, Verfahren, AVVs, Schulungen und zugehörige Dateien — etwa für Auskunftsersuchen, einen DSB-Wechsel oder die Eigenarchivierung.
Betrieb auf dedizierter Serverinfrastruktur, nicht in geteilter Multi-Tenant-Cloud. Andere Kunden des Hosting-Anbieters teilen sich nicht denselben physischen Server. Mehrere Anwendungsinstanzen laufen redundant hinter einem vorgelagerten Schutz-Layer mit automatischen Transportzertifikaten und Begrenzung verdächtiger Anfrage-Spitzen.
Schutz auf mehreren Ebenen: Begrenzung verdächtiger Zugriffsmuster, vorgelagerte Filter gegen automatisierten Verkehr, technische Schutzmaßnahmen gegen Einschleusung schädlicher Inhalte und strikte serverseitige Validierung aller Eingaben. Auffälligkeiten lösen eine sofortige Benachrichtigung des Betriebs-Teams aus.
Anwendungsfehler, Antwort-Verhalten, Auslastung und Datenbank-Erreichbarkeit werden laufend überwacht. Kritische Ereignisse — auffällige Login-Versuche, fehlerhafte Server-Antworten, Engpässe bei der Verfügbarkeit — alarmieren das Betriebs-Team automatisch, auch außerhalb der Geschäftszeiten.
Vor jeder Veröffentlichung einer neuen Version durchläuft das System eine automatisierte Sicherheits-Test-Suite: Berechtigungen werden über alle Funktionen hinweg geprüft, Mandanten-Trennung sowohl auf Daten- als auch auf Datei-Ebene wird getestet, manipulierte Anfragen werden gezielt provoziert. Ergänzend werden bei größeren Releases gesonderte Pentests beauftragt.
Wir setzen weder Werbe-Tracker noch Drittanbieter-Analysewerkzeuge ein. Die Anwendung lädt ausschließlich eigene Ressourcen — Ihre Mandanten geben mit der bloßen Nutzung keine Daten an Dritte weiter. Auch deshalb braucht die App keinen Cookie-Banner.
Während der Beta-Phase bis 01.09.2026 sind alle Funktionen für Beta-Tester kostenlos. Danach gelten folgende Preise.
Alle Preise netto (Brutto-Werte in Klammern, 19% MwSt., gültig in Deutschland) · pro Mandant im System, unabhängig von der Anzahl User-Accounts · inkl. großzügigem Speicher
Gültig bis 31.12.2026 · 5 Jahre Preisgarantie
Gleicher Funktionsumfang, ohne Preisgarantie
Bis dahin gilt für alle neuen Kunden der Frühbucher-Tarif mit 5-Jahres-Preisgarantie.
Individualangebot je nach Mandanten-Zahl
Oder direkt an dsms@hres-development.de
Jahresabos verlängern sich automatisch um ein weiteres Jahr, sofern sie nicht mit 4-wöchiger Frist vor Ablauf gekündigt werden. Frühbucher-Konditionen gelten auch über Verlängerungen — für maximal 5 Jahre. Alle Angaben in EUR. Stand 05/2026.
Ein paar Eindrücke aus der Anwendung. Klicken Sie auf ein Bild für die Vollansicht.