Datenschutzhandbuch & DSMS für externe DSB und Unternehmen — mit Verfahrensverzeichnis online und umfassender Datenschutz-Verwaltung.
Verarbeitungsverzeichnis, TOMs, Löschkonzept, DSFA, Datenpannen, Schulungen und Audit-PDF — in einem System, mit Vorlagen, die sofort nutzbar sind.
Drei Begriffe für dasselbe Ziel: eine zentrale, lebendige Dokumentation aller DSGVO-Pflichten — Verarbeitungstätigkeiten, technisch-organisatorische Maßnahmen, Datenpannen, Schulungen, Auskunftsersuchen. „Datenschutzhandbuch" betont die schriftliche Dokumentation, „DSMS" (Datenschutz-Management-System) bzw. „DPMS" (Data Privacy Management System) die kontinuierliche, prüfbare Verwaltung. DS-Easy deckt beides ab: Verfahrensverzeichnis online, Maßnahmen-Kataloge, Audit-fähige Berichte — auf einer Plattform.
Die DSGVO trifft Vereine, Einzelunternehmer, Praxen und Konzerne grundsätzlich gleich. Ob Sie einen Datenschutzbeauftragten brauchen oder nicht (siehe weiter unten), die folgenden Pflichten müssen Sie selbst erfüllen — entweder mit DSB oder ohne. Diese App unterstützt Sie bei jeder einzelnen davon.
| Rechtsgrundlage | Pflicht | Für wen sie gilt | So deckt DS-Easy sie ab |
|---|---|---|---|
| Art. 30 DSGVO | Verarbeitungsverzeichnis (VVT) | In der Regel jede Organisation. Die in Art. 30 Abs. 5 vorgesehene Ausnahme erfordert kumulativ: weniger als 250 Beschäftigte, nicht regelmäßige Verarbeitung, kein Risiko für Betroffene und keine Verarbeitung besonderer Kategorien — schon eine regelmäßige Kunden-, Beschäftigten- oder Mitgliederliste lässt die Ausnahme entfallen. | VVT-Modul mit 1.000+ Vorlagen aus 26 Branchen |
| Art. 32 DSGVO | Technisch-organisatorische Maßnahmen (TOMs) | Jeder Verantwortliche und jeder Auftragsverarbeiter — Schutzniveau muss dem Risiko angemessen sein, dokumentiert und nachweisbar. | Über 100 vorgefertigte TOMs pro Verfahren oder AVV |
| Art. 5 Abs. 1 lit. e + Art. 17 | Speicherbegrenzung und Löschkonzept | Jeder Verantwortliche — Daten dürfen nur so lange aufbewahrt werden, wie der Zweck es erfordert; danach Löschpflicht, sofern keine gesetzliche Aufbewahrung greift. | Vorschlag aus Datenkategorien (BGB / HGB / AO) |
| Art. 33/34 DSGVO | Datenpanne — 72 h Meldung an die Aufsicht | Jeder Verantwortliche, sobald eine Panne eintritt — auch wenn sie beim Auftragsverarbeiter passiert. Bei hohem Risiko zusätzlich Information der Betroffenen. | Datenpannen-Modul mit 72-h-Frist-Ampel und Eskalation |
| Art. 15–22 DSGVO | Betroffenenrechte — Auskunft, Berichtigung, Löschung | Jeder Verantwortliche — Anfragen sind unverzüglich, spätestens binnen eines Monats zu beantworten. Identität ist vorher zu prüfen. | Anfragen-Modul mit 1-Monats-Frist und Identitätsprüfung |
| Art. 13/14 DSGVO | Informationspflicht bei der Erhebung | Jeder Verantwortliche — Betroffene müssen bei der Datenerhebung erfahren, wer, was, warum und wie lange verarbeitet. | Pro Verfahren dokumentiert; Textgenerator über externen Partner empfohlen |
| Art. 28 DSGVO | Auftragsverarbeitungsvertrag (AVV) | Jeder Verantwortliche, der externe Dienstleister einsetzt (Cloud, Hosting, Lohnbuchhaltung, Mailprovider, …) — und das ist praktisch jeder. | AVV-Modul beide Perspektiven, 258 Dienste-Vorschläge |
| Art. 7 DSGVO | Nachweis erteilter Einwilligungen | Jeder Verantwortliche, der eine Verarbeitung auf Einwilligung stützt — Nachweis (Wer, Wann, Was) ist Pflicht; Widerruf jederzeit möglich. | Einwilligungs-Register mit Stapel-Upload und Widerruf |
| Art. 35 DSGVO | Datenschutz-Folgenabschätzung (DSFA) | Bei voraussichtlich hohem Risiko (z. B. Videoüberwachung öffentlicher Bereiche, Verarbeitung sensibler Gesundheitsdaten in größerem Umfang, neue Technologien). | DSFA-Flags und Indikator-basierte Hinweise pro Verfahren |
| Art. 5 Abs. 2 DSGVO | Rechenschaftspflicht — Nachweis aller Pflichten | Jeder Verantwortliche — alle obigen Pflichten müssen dokumentiert und auf Anfrage der Aufsicht vorgelegt werden können. | Manipulationsgeschütztes Aktivitäts-Protokoll, Audit-PDF |
| Art. 24 / Art. 32 DSGVO | Sensibilisierung und Schulung der Mitarbeiter | Als Teil der organisatorischen Maßnahmen Sache jedes Verantwortlichen mit Mitarbeitern, die personenbezogene Daten verarbeiten — Schulungen sind regelmäßig durchzuführen und nachweisbar zu dokumentieren. Wo ein DSB bestellt ist, übernimmt er die operative Durchführung nach Art. 39 Abs. 1 lit. b. | Schulungs-Modul mit Teilnehmer-Listen und PDF-Nachweis |
Art. 30 DSGVO
Verarbeitungsverzeichnis (VVT)
In der Regel jede Organisation. Die in Art. 30 Abs. 5 vorgesehene Ausnahme erfordert kumulativ: weniger als 250 Beschäftigte, nicht regelmäßige Verarbeitung, kein Risiko für Betroffene und keine Verarbeitung besonderer Kategorien — schon eine regelmäßige Kunden-, Beschäftigten- oder Mitgliederliste lässt die Ausnahme entfallen.
Im System: VVT-Modul mit 1.000+ Vorlagen aus 26 Branchen
Art. 32 DSGVO
Technisch-organisatorische Maßnahmen (TOMs)
Jeder Verantwortliche und jeder Auftragsverarbeiter — Schutzniveau muss dem Risiko angemessen sein, dokumentiert und nachweisbar.
Im System: Über 100 vorgefertigte TOMs pro Verfahren oder AVV
Art. 5 Abs. 1 lit. e + Art. 17
Speicherbegrenzung und Löschkonzept
Jeder Verantwortliche — Daten dürfen nur so lange aufbewahrt werden, wie der Zweck es erfordert; danach Löschpflicht, sofern keine gesetzliche Aufbewahrung greift.
Im System: Vorschlag aus Datenkategorien (BGB / HGB / AO)
Art. 33/34 DSGVO
Datenpanne — 72 h Meldung an die Aufsicht
Jeder Verantwortliche, sobald eine Panne eintritt — auch wenn sie beim Auftragsverarbeiter passiert. Bei hohem Risiko zusätzlich Information der Betroffenen.
Im System: Datenpannen-Modul mit 72-h-Frist-Ampel und Eskalation
Art. 15–22 DSGVO
Betroffenenrechte — Auskunft, Berichtigung, Löschung
Jeder Verantwortliche — Anfragen sind unverzüglich, spätestens binnen eines Monats zu beantworten. Identität ist vorher zu prüfen.
Im System: Anfragen-Modul mit 1-Monats-Frist und Identitätsprüfung
Art. 13/14 DSGVO
Informationspflicht bei der Erhebung
Jeder Verantwortliche — Betroffene müssen bei der Datenerhebung erfahren, wer, was, warum und wie lange verarbeitet.
Im System: Pro Verfahren dokumentiert; Textgenerator über externen Partner empfohlen
Art. 28 DSGVO
Auftragsverarbeitungsvertrag (AVV)
Jeder Verantwortliche, der externe Dienstleister einsetzt (Cloud, Hosting, Lohnbuchhaltung, Mailprovider, …) — und das ist praktisch jeder.
Im System: AVV-Modul beide Perspektiven, 258 Dienste-Vorschläge
Art. 7 DSGVO
Nachweis erteilter Einwilligungen
Jeder Verantwortliche, der eine Verarbeitung auf Einwilligung stützt — Nachweis (Wer, Wann, Was) ist Pflicht; Widerruf jederzeit möglich.
Im System: Einwilligungs-Register mit Stapel-Upload und Widerruf
Art. 35 DSGVO
Datenschutz-Folgenabschätzung (DSFA)
Bei voraussichtlich hohem Risiko (z. B. Videoüberwachung öffentlicher Bereiche, Verarbeitung sensibler Gesundheitsdaten in größerem Umfang, neue Technologien).
Im System: DSFA-Flags und Indikator-basierte Hinweise pro Verfahren
Art. 5 Abs. 2 DSGVO
Rechenschaftspflicht — Nachweis aller Pflichten
Jeder Verantwortliche — alle obigen Pflichten müssen dokumentiert und auf Anfrage der Aufsicht vorgelegt werden können.
Im System: Manipulationsgeschütztes Aktivitäts-Protokoll, Audit-PDF
Art. 24 / Art. 32 DSGVO
Sensibilisierung und Schulung der Mitarbeiter
Als Teil der organisatorischen Maßnahmen Sache jedes Verantwortlichen mit Mitarbeitern, die personenbezogene Daten verarbeiten — Schulungen sind regelmäßig durchzuführen und nachweisbar zu dokumentieren. Wo ein DSB bestellt ist, übernimmt er die operative Durchführung nach Art. 39 Abs. 1 lit. b.
Im System: Schulungs-Modul mit Teilnehmer-Listen und PDF-Nachweis
Die Bestellpflicht ergibt sich aus DSGVO und BDSG. Es genügt, wenn einer der folgenden Punkte zutrifft. Liegt kein Trigger vor, besteht keine Pflicht zur Bestellung — die übrigen Pflichten aus der ersten Tabelle bleiben jedoch in jedem Fall bestehen.
§ 38 Abs. 1 S. 1 BDSG
Mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt
Beispiele: Typisch in Büros mit etwa 20+ Personen, die regelmäßig E-Mails schreiben, CRM nutzen oder Personalakten pflegen — viele mittelständische Unternehmen erreichen die Schwelle.
Für Sie relevant, wenn: Gezählt werden alle Personen, die regelmäßig mit der automatisierten Verarbeitung befasst sind, einschließlich Teilzeitkräfte und Werkstudenten. Maßgeblich ist die Kopfzahl, nicht Vollzeitäquivalente. Im Einzelfall (etwa bei freien Mitarbeitern) ist die Einordnung streitig; im Zweifel rechtlich beraten lassen.
Art. 37 Abs. 1 lit. b DSGVO
Kerntätigkeit ist die umfangreiche, regelmäßige und systematische Überwachung von Personen
Beispiele: Sicherheits- und Bewachungsdienste, Detekteien, Online-Tracking-Dienstleister, Telematik-Anbieter, große Plattformen mit Nutzerverhalten-Analyse.
Für Sie relevant, wenn: Ab dem ersten Verfahren mit systematischer Überwachung als zentralem Geschäftszweck — die Mitarbeiterzahl ist hier irrelevant.
Art. 37 Abs. 1 lit. c DSGVO
Kerntätigkeit ist die umfangreiche Verarbeitung besonderer Kategorien (Art. 9) oder Straf-Daten (Art. 10)
Beispiele: Kliniken, MVZ, Pflegeeinrichtungen, größere Praxisgruppen, ambulante Pflegedienste und Sozialdienste mit hohem Patienten- bzw. Klientenvolumen. Außerdem Auskunfteien, die Strafurteile verarbeiten.
Für Sie relevant, wenn: Maßgeblich ist die Tatbestandsschwelle der Umfänglichkeit. Nach den Leitlinien des Europäischen Datenschutzausschusses (EDSA, WP 243) ist die einzelne Arzt- oder Therapeutenpraxis in der Regel nicht erfasst — dort greift bei 20+ Beschäftigten meist § 38 BDSG. Bei größeren Strukturen (Klinik, MVZ, Pflegeheim) ist die Pflicht regelmäßig zu bejahen.
Art. 37 Abs. 1 lit. a DSGVO
Öffentliche Stellen und Behörden
Beispiele: Behörden, Schulen, Hochschulen, kommunale Verwaltungen, öffentlich-rechtliche Anstalten.
Für Sie relevant, wenn: Immer — unabhängig von Größe und Verarbeitungsart.
Ob interner oder externer DSB — die App unterstützt bei der Führung des Verarbeitungsverzeichnisses, der Dokumentation von TOMs, der Koordination von Datenpannen und Betroffenenanfragen, der Schulungs-Nachweise und der Erstellung des jährlichen Tätigkeitsberichts nach Art. 39 DSGVO.
Sie als Verantwortlicher sehen den Stand jederzeit transparent. Bei einer Aufsichts-Anfrage steht das Audit-PDF zum Export bereit.
Jetzt kostenlos registrierenAuch ohne DSB-Pflicht müssen Sie alle Pflichten aus der oberen Matrix selbst erfüllen. Die App stellt Vorlagen, Picker und Reminder bereit, um Sie dabei zu unterstützen — VVT aus Vorlage, TOMs aus Katalog, Löschkonzept aus Datenkategorien, AVV aus 258 Dienste-Vorschlägen. Die juristische Verantwortung im Einzelfall bleibt bei Ihnen; im Zweifel begleitet Sie eine Anwältin/ein Anwalt oder eine externe DSB.
Sollten Sie später einen DSB benötigen — etwa nach Wachstum auf 20+ Beschäftigte — erinnert die App proaktiv daran (siehe Hinweis unten).
Jetzt kostenlos registrierenDie zentralen Pflichten aus DSGVO und BDSG in einem System. Klar gegliedert, mit Bezug zum jeweiligen Artikel.
Erfassung aller Verarbeitungstätigkeiten mit 55 standardisierten Datenarten in 13 thematischen Gruppen, Verknüpfung zu IT-Geräten, Kontakten und Standorten.
Pro Verfahren oder Auftragsverarbeiter beliebig viele TOMs in den 9 BDSG-Kategorien, mit Wirksamkeits-Status.
DSFA pro Verfahren mit Status, Risikobewertung, Konsultations-Dokumentation. System markiert Verfahren, bei denen DSFA-Indikatoren erfüllt sind.
Mandant als Verantwortlicher (klassische AVV mit externem Dienstleister) und Mandant als Auftragsverarbeiter (Muster-AVV als PDF mit § 1–17, Anlage 1 zu Unterauftragnehmern und Anlage 2 zu TOMs im BDSG-Schema).
Pro betroffener Person ein Eintrag mit Nachweis-Scan, am zugehörigen Verfahren. Stapel-Upload von unterschriebenen PDFs/Bildern, Widerruf-Erfassung mit Mail-Benachrichtigung an alle DSBs des Mandanten.
Erfassung mit Art, Risiko, Status. 72-Stunden-Frist-Ampel im Dashboard. Aufsichtsbehörden-Meldung und Betroffenen-Information.
Auskunfts-, Berichtigungs-, Löschungs-Anfragen mit 1-Monats-Frist. Phasen-Status (Eingang → Identität geprüft → in Bearbeitung → beantwortet), Fristverlängerung dokumentierbar.
Pro Verfahren Speicherdauer + Rechtsgrundlage. Vorschlag-Picker berechnet aus Datenkategorien die maßgebliche Aufbewahrungspflicht.
Datenschutz-Schulungen pro Mandant oder Standort mit Datum, Thema, Anzahl Teilnehmer, Referent und PDF-Teilnehmerliste.
DSB-Benennung strukturiert dokumentieren (Datum, Name, Kontakt, optional als App-User). Mandant kann externen DSB per Self-Service einladen — kryptographischer Token mit 14-Tage-TTL, kein Admin-Eingriff.
Pro Mandant ein vollständiges Audit mit automatisch generiertem Bericht. PDF-Export enthält Bilder, alle Module und Schulungs-Nachweise.
Webseiten-Datenschutzerklärungen nach Art. 13/14 sind bewusst kein Modul dieser Anwendung. Wir empfehlen den Generator der Deutschen Gesellschaft für Datenschutz — ein etablierter, regelmäßig gepflegter Baukasten für Mustertexte.
Vorlagen für 26 Branchen und Maßnahmen in den 9 BDSG/DSGVO-Kategorien — das komplette Spektrum gängiger Verarbeitungstätigkeiten.
Die VVT-Branche pro Mandant steuert, welche Verfahrens-Vorlagen oben mit „Empfohlen"-Badge erscheinen.
Anlage 2 zum BDSG (Stand DSGVO). Jede TOM ist genau einer dieser Kategorien zugeordnet.
Statt jedes Verfahren, jede TOM, jede Löschfrist und jede Adresse von Grund auf zu tippen — wählen Sie aus kuratierten Vorlagen und passen Sie nur das an, was wirklich anders ist.
1.000+ vorgefertigte Verarbeitungstätigkeiten aus 26 Branchen — von Patientenakte bis Newsletter-Versand. Klick füllt Name, Beschreibung, Datenkategorien, Flags und Löschkonzept vor.
Die Mandanten-Branche bestimmt automatisch, welche Vorlagen oben mit 'Empfohlen' stehen.
Über 100 kuratierte TOMs mit drei Textebenen: alltagstauglicher Titel, Laien-Kurzerklärung und Fachbeschreibung. Mehrfach-Auswahl per Checkbox.
Empfohlen-Badge oben bei TOMs, die zu Art-9-Daten, externer Verarbeitung oder Branche passen.
260 kuratierte Software-/Tool-Vorschläge — DATEV, Microsoft 365, Lexware, AWS, Stripe, Salesforce, viele mehr. Auswahl füllt Firmenname, typische Verarbeitungsarten und Drittland-Hinweise vor; ein AVV-Entwurf entsteht in einem Klick.
Mehrsignal-Logik: Verfahrens-Beschreibung + Empfängerkategorien priorisieren passende Dienste.
Aus den gewählten Datenkategorien wird automatisch das Maximum der gesetzlichen Aufbewahrungspflichten berechnet — mit allen Quellen aus BGB, HGB, AO.
Ein Klick füllt Speicherdauer, Rechtsgrundlage und nächste Löschprüfung.
16.480 deutsche PLZ als integrierte Autocomplete — Ort, Bundesland und GPS werden automatisch gesetzt. Die Mandant-Übersicht zeigt Hauptsitz + alle Betriebsstellen als Karte.
Karten- und Geodaten werden bevorzugt aus europäischen Quellen geladen.
Über 25.000 reale Geräte aus echten Quellen — von FortiGate über PowerEdge bis Latitude. Ein Klick setzt Gerätetyp, Hersteller und Modell auf einmal.
Echte, quellenbelegte Modelle statt freiem Raten — alle Felder bleiben frei editierbar.
Tippen Sie z. B. 'Friseur' — der Picker schlägt automatisch die Branche 'Handwerk' vor und filtert auf die 40 passenden Verfahrens-Vorlagen. Über 150 Berufs-Stichwörter mit Synonym-Mapping (Yogalehrer, Tankstelle, Reisebüro, …) eingepflegt.
Beispiele unter dem Branchen-Select machen sichtbar, welche Berufe in welche Branche gehören.
Verfahren und Auftragsverarbeitungs-Verträge teilen sich viele Felder (Personen, Datenarten, Verarbeitungsvorgänge, Zweck). Wenn Sie einen Knoten anlegen, wird der jeweils andere als Entwurf mit den gemeinsamen Feldern vorbefüllt — Sie ergänzen nur das, was wirklich neu ist.
Beim Anlegen eines Verfahrens fügen Sie passende Software-/Cloud-Dienste aus dem Katalog hinzu. Für jeden Dienst entsteht automatisch ein AVV-Entwurf in der AVV-Übersicht — mit allen gemeinsamen Anlage-1-Feldern bereits ausgefüllt.
Auch der umgekehrte Weg: Beim AVV legen Sie Personen, Datenarten und Zweck fest. Ein Klick „Verfahren aus diesem AVV ableiten" erzeugt das Verarbeitungsverzeichnis-Verfahren als Entwurf — mit denselben Feldern.
Der jeweils andere Knoten wird nicht nur einmal vorbefüllt — er bleibt über die Lebenszeit hinweg sichtbar verbunden. Ändert sich etwas auf einer Seite, sieht die andere es; bei Abweichungen schlägt das System einen Sync mit zwei Klicks vor.
TOMs des Auftragsverarbeiters (Art. 28 Anlage 2) sind am Verfahren sichtbar — kein doppeltes Pflegen, kein „TOMs vergessen"-Eindruck.
Zielland, Mechanismus (SCC, BCR, Angemessenheit), SCC-Modul und TIA-Anlage sind im Verfahren-Edit als geerbt sichtbar.
Weichen Datenkategorien, Personengruppen oder Verarbeitungsarten zwischen Verfahren und AVV ab, erscheint ein Banner mit Sync-Buttons in beide Richtungen.
Vom Mandanten-Anlegen bis zum unterzeichneten Audit-PDF — in fünf Schritten.
Adresse, Branche und Größe erfassen. Die VVT-Branche bestimmt die Vorlagen-Vorauswahl.
Aus 1.000+ Vorlagen wählen oder eigene erfassen. Datenkategorien werden automatisch gesetzt.
Picker schlagen TOMs und Löschfristen vor. Egal ob Sie beim Verfahren oder AVV starten — der jeweils andere Knoten wird als Entwurf mit gemeinsamen Feldern befüllt. Das System warnt bei späterer Drift.
Bei einwilligungs-basierten Verfahren: Mustervorlage ausdrucken, unterschreiben lassen, Scans im Stapel hochladen. Pro Person ein Eintrag, Widerruf jederzeit erfassbar.
Klick generiert das komplette Audit-PDF mit Bildern, TOMs, DSFA, Pannen und Schulungen — plus Muster-AV-Verträge.
Die App vergleicht laufend Soll und Ist anhand der Stammdaten: fehlt eine DSFA für ein Art-9-Verfahren? Sind alle Verfahren mit Löschprüfung versehen? Ist die 72-Stunden-Frist einer Datenpanne offen? Ein Banner pro Mandant zeigt alle offenen Punkte und lässt sich nach Bestätigung pro Hinweis dauerhaft ausblenden — kein Spam, sondern eine ehrliche Checkliste.
Verwalten Sie beliebig viele Mandanten in einem System — mit klarer Trennung und rollenbasierten Berechtigungen.
Unternehmen mit eigenem, ausgebildetem DSB-Mitarbeiter — ein Mandant, viele Abteilungen, hohe Anforderungen an Nachweis und Kontrolle.
Self-managed Portal: pflegen Sie Stammdaten, Verfahren und Schulungen selbst — ohne dass jemand anderes mitliest.
Später einen DSB beauftragen? Geht jederzeit:
Vom Verein über die Arztpraxis bis zum Handwerksbetrieb oder kleinen Dienstleister: Die zentralen Pflichten gelten unabhängig von der Größe — die verbreitete Annahme, kleine Organisationen seien „befreit", ist ein Irrtum. Genau diese Pflichten deckt das System ab.
„Stelle ich bei einer Vor-Ort-Kontrolle fest, dass das Unternehmen ein umfassendes Datenschutz-Management implementiert hat, ist es im Nachgang oft nicht erforderlich, von den aufsichtsbehördlichen Befugnissen Gebrauch zu machen — oder es ist ausreichend, eine Verwarnung auszusprechen."
Diese Hinweise dienen der allgemeinen Information und sind unverbindlich — keine Rechtsberatung im Einzelfall. Im Zweifelsfall wenden Sie sich an eine Rechtsanwältin oder einen Rechtsanwalt (siehe rechtlicher Hinweis im Seitenfuß).
Wer DSGVO-Pflichten dokumentiert, muss beim eigenen Betrieb dieselben Maßstäbe anlegen. Hier die Schutzmaßnahmen — datenschutzrechtlich beschrieben, technische Detailfragen klären wir auf Anfrage gerne im persönlichen Gespräch.
Der Zugang ist nicht allein mit dem Passwort möglich. Jeder Login verlangt zusätzlich einen zeitlich begrenzten Einmalcode per E-Mail — alternativ lässt sich ein persönliches Sicherheits-Gerät (Sicherheits-Schlüssel oder am Endgerät verankerter Schlüssel) hinterlegen, das den zweiten Faktor phishing-resistent direkt am Gerät bestätigt. Wiederholt fehlgeschlagene Versuche führen zu einer temporären Konto-Sperre.
Sicherheitsrelevante Aktionen — Anmeldungen, Datenänderungen, Datei-Uploads, Exporte, Mandanten-Wechsel — werden lückenlos mit Benutzer, Zeitpunkt, Herkunft und Vorgang protokolliert. Das Protokoll ist auf Datenbankebene gegen nachträgliche Änderung und Löschung abgesichert und unterstützt damit die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO.
Daten verschiedener Mandanten werden technisch sauber voneinander getrennt — auf Datenbank-, Anwendungs- und Datei-Ebene. Jede Anfrage prüft serverseitig die Zugehörigkeit; Versuche, fremde Datensätze über manipulierte Aufrufe einzusehen, werden abgewiesen. Diese Trennung wird vor jedem Update automatisiert über die zentralen Funktionen geprüft.
Die Übertragung zwischen Browser und Server ist durchgehend transportverschlüsselt (TLS). Datenbank und Datei-/Bildspeicher liegen ausschließlich auf der zertifizierten Hosting-Infrastruktur in Deutschland; der Zugriff ist auf den Anwendungs-Server beschränkt — kein Zugriff durch Drittanbieter, keine Replikation in andere Länder.
Verträge, Datenpannen-Dokumentation, DSFA-Anlagen und Schulungs-Listen werden zusätzlich zur Transport- und Speicher-Verschlüsselung auf Anwendungs-Ebene verschlüsselt abgelegt. Im Datei-/Bildspeicher liegen damit ausschließlich verschlüsselte Inhalte; der Schlüssel wird davon getrennt verwaltet. Downloads laufen über einen Proxy, der die Datei serverseitig entschlüsselt und nur dem berechtigten Nutzer ausliefert.
Drei klar getrennte Rollen — Administration, Datenschutzbeauftragte und Mandant — ergänzt um einen Selbstpflege-Schalter pro Mandant, der entscheidet, ob die Mandant-Rolle dort schreibend oder nur lesend arbeitet. Jede Person sieht nur die Mandanten und Module, für die sie explizit freigegeben ist. Konten lassen sich sofort sperren; der Zugang erlischt mit dem nächsten Aufruf. Berechtigungen sind serverseitig verankert (nicht bloß UI-versteckt) und werden vor jedem Update über die zentralen Funktionen automatisch geprüft.
Webserver, Datenbank und Datei-/Bildspeicher liegen in einem nach internationalen Standards zertifizierten Rechenzentrum in Deutschland (EU). Standort-Karten und Geo-Daten werden bevorzugt aus europäischen Quellen geladen; ein routinemäßiger Datentransfer in Drittländer findet im Regelbetrieb nicht statt.
Tägliche, automatisch zeitgesteuerte Datenbank-Sicherungen tragen zur Verfügbarkeits-Anforderung aus Art. 32 Abs. 1 lit. b DSGVO bei. Zusätzlich lässt sich jeder Mandant einzeln exportieren — Stammdaten, Verfahren, AVVs, Schulungen und zugehörige Dateien — etwa für Auskunftsersuchen, einen DSB-Wechsel oder die Eigenarchivierung.
Betrieb auf eigener, vom übrigen Hosting-Bestand isolierter Server-Infrastruktur — keine geteilte Multi-Tenant-Anwendung mit anderen Kunden. Mehrere Anwendungsinstanzen verteilen die Last hinter einem vorgelagerten Schutz-Layer mit automatischen Transportzertifikaten und Begrenzung verdächtiger Anfrage-Spitzen.
Schutz auf mehreren Ebenen: Begrenzung verdächtiger Zugriffsmuster, vorgelagerte Filter gegen automatisierten Verkehr, technische Schutzmaßnahmen gegen Einschleusung schädlicher Inhalte und strikte serverseitige Validierung aller Eingaben. Auffälligkeiten lösen eine sofortige Benachrichtigung des Betriebs-Teams aus.
Anwendungsfehler, Antwort-Verhalten, Auslastung und Datenbank-Erreichbarkeit werden laufend überwacht. Kritische Ereignisse — auffällige Login-Versuche, fehlerhafte Server-Antworten, Engpässe bei der Verfügbarkeit — alarmieren das Betriebs-Team automatisch, auch außerhalb der Geschäftszeiten.
Vor jeder Veröffentlichung einer neuen Version durchläuft das System eine automatisierte Sicherheits-Test-Suite: Berechtigungen werden über die zentralen Funktionen geprüft, Mandanten-Trennung sowohl auf Daten- als auch auf Datei-Ebene wird getestet, manipulierte Anfragen werden gezielt provoziert. Ergänzend werden bei größeren Releases gesonderte Pentests beauftragt.
Wir setzen weder Werbe-Tracker noch Drittanbieter-Analysewerkzeuge ein. Die Anwendung lädt ihre Ressourcen aus der eigenen Infrastruktur — Ihre Mandanten geben mit der bloßen Nutzung keine Daten an Dritte weiter. Cookies werden nur eingesetzt, soweit sie technisch erforderlich sind (z. B. für die Login-Session).
Während der Beta-Phase bis 01.09.2026 sind alle Funktionen für Beta-Tester kostenlos. Danach gelten folgende Preise.
Alle Preise netto (Brutto-Werte in Klammern, 19% MwSt., gültig in Deutschland) · pro Mandant im System, unabhängig von der Anzahl User-Accounts · inkl. großzügigem Speicher
Gültig bis 31.12.2026 · 5 Jahre Preisgarantie
Gleicher Funktionsumfang, ohne Preisgarantie
Bis dahin gilt für alle neuen Kunden der Frühbucher-Tarif mit 5-Jahres-Preisgarantie.
Individualangebot je nach Mandanten-Zahl
Oder direkt an dsms@hres-development.de
Jahresabos verlängern sich automatisch um ein weiteres Jahr, sofern sie nicht mit 4-wöchiger Frist vor Ablauf gekündigt werden. Frühbucher-Konditionen gelten auch über Verlängerungen — für maximal 5 Jahre. Alle Angaben in EUR. Stand 05/2026.
Ein paar Eindrücke aus der Anwendung. Klicken Sie auf ein Bild für die Vollansicht.