Kowoll Protects Logo +49 7071 770371

Was passiert wann

Vom Erstkontakt zur DSGVO-Konformität — Schritt für Schritt

Vier Phasen über die ersten drei Monate, dann läuft das Thema in Routine. Vor-Ort-Termine in Ihrem Betrieb, Zeitlinie klar definiert, jeder Schritt mit konkretem Ergebnis.

Vor-Ort-Quickcheck starten +49 7071 770371

BvD- und dsb-GROUP-Mitglied · BAFA-förderqualifiziert · seit 2018 mit 100+ Kunden ohne ein einziges Bußgeld

  • Mitglied im BvD e.V. — Berufsverband der Datenschutzbeauftragten
  • Mitglied dsb-GROUP e.V.
  • BMWi — Bundesministerium für Wirtschaft und Energie
  • EU-RACT zertifiziert

Phase 0: Der kostenlose Vor-Ort-Quickcheck

Bevor wir überhaupt über einen DSB-Vertrag sprechen, kommen wir einmal in Ihren Betrieb — kostenlos und unverbindlich. Dauer: rund eine Stunde. Vorbereitung Ihrerseits: kaum nötig, ein kurzer Hinweis an die Geschäftsleitung, die Personalabteilung und IT, dass wir vorbeikommen, reicht.

Während des Quickchecks gehen wir mit Ihnen durch alle datenschutzrelevanten Bereiche: Welche Personen-Daten verarbeiten Sie? Wer hat Zugriff? Wo werden sie gespeichert? Welche externen Dienstleister sind beteiligt? Gibt es eine Website mit Cookies, Tracking, Newsletter? Wie laufen Bewerbungsverfahren ab? Ist eine Videoüberwachung im Einsatz? Wie ist die Schichtplanung organisiert?

Am Ende der Stunde haben Sie eine ehrliche Einschätzung: liegen Sie im grünen Bereich, haben Sie ein paar überschaubare Lücken, oder gibt es echten Handlungsbedarf? Sie bekommen binnen 48 Stunden eine schriftliche Kurzanalyse plus ein Angebot — Festpreis pro Monat, konkret auf Ihren Fall zugeschnitten. Entscheidung anschließend bei Ihnen, keine Verpflichtung.

Phase 1: Woche 1 — Vollständiges Erst-Audit

Sobald Sie unser Angebot annehmen, planen wir einen halb- oder ganztägigen Audit-Termin bei Ihnen vor Ort. Bei kleinen Betrieben (bis ~15 Mitarbeiter) reicht ein halber Tag, bei mittelständischen Industriebetrieben mit mehreren Abteilungen wird es schnell ein ganzer Tag. Mehrtage-Audits sind die Ausnahme — wir versuchen, kompakt zu bleiben.

Was wir mitbringen: einen strukturierten Fragebogen mit über 200 Items, der die DSGVO-Pflichten nach Kapitel und Branche aufschlüsselt. Was Sie bereitstellen sollten: Zugang zu allen relevanten Bereichen (IT, Personal, Marketing, Vertrieb, Produktion), Ansprechpartner aus jedem Bereich (15–30 Minuten pro Person), sowie Einblick in die zentralen Software-Systeme (ERP, CRM, Lohnbüro, Cloud-Speicher).

Spätestens am Ende der Woche bekommen Sie einen schriftlichen Audit-Bericht. Darin: alle identifizierten DSGVO-Risiken nach Ampelsystem (rot/gelb/grün), priorisierte Maßnahmenliste mit Aufwandsschätzung pro Punkt, vorgeschlagener Zeitplan für die nächsten 8 Wochen. Bei Tübinger Mandanten ist das Dokument oft am Audit-Tag selbst fertig; bei Albstadt oder Balingen kommt es ein bis zwei Werktage später per E-Mail.

Phase 2: Wochen 2 bis 4 — Schwere Lücken schließen

In den drei Wochen nach dem Audit arbeiten wir die Top-Themen ab. Was genau passiert, hängt vom Audit-Ergebnis ab — typische Maßnahmen aus unserer regionalen Praxis:

  • Verarbeitungsverzeichnis nach Art. 30 DSGVO anlegen, basierend auf den im Audit erfassten Prozessen.
  • AVV-Verträge mit den wichtigsten Dienstleistern abschließen oder aktualisieren (IT-Hoster, Lohnbüro, Cloud-Software, externe Buchhaltung).
  • Datenschutzerklärung auf Ihrer Website auf den Stand 2026 bringen, Cookie-Consent prüfen, TTDSG-Konformität herstellen.
  • Mitarbeiter-Schulung ansetzen — meist als 90-minütiger Termin vor Ort mit dem gesamten Team.
  • Beschäftigtendatenschutz-Themen aufarbeiten: Videoüberwachung mit Rechtsgrundlage, Zeiterfassung mit Information, Personalakten ordnen.
  • Notfallplan für Datenpannen schriftlich festlegen, inkl. 72-Stunden-Meldepfad an den LfDI BW.

Während dieser drei Wochen sind wir typischerweise einmal pro Woche per Telefon-Termin mit Ihnen in Kontakt — kurze Statusrunde, Klärung offener Punkte, nächste Schritte. Vor-Ort-Termine nur bei Bedarf, meistens reicht der Audit-Termin plus die Schulung.

Phase 3: Monat 2 — Stabilisierung

Nach den ersten vier Wochen sind die schweren Themen meist im Griff. Im zweiten Monat geht es um Feinschliff und Stabilisierung: alle Mitarbeiter haben die Schulung absolviert und schriftlich auf das Datengeheimnis verpflichtet. Das Verarbeitungsverzeichnis ist vollständig und liegt in einer Form vor, die Sie selbst pflegen können. Die AVV-Verträge sind aktualisiert oder neu abgeschlossen. Die Website-Konformität ist hergestellt.

Was jetzt zusätzlich passiert: wir definieren mit Ihnen die Rhythmik der laufenden Betreuung. Wie oft wollen wir uns sehen — monatlich, quartalsweise, halbjährlich? Welche Person in Ihrem Betrieb ist intern verantwortlich für Datenschutz-Fragen und unser direkter Ansprechpartner? Wie wollen Sie informiert werden, wenn DSGVO-Änderungen Ihre Branche betreffen? Wir haben für die meisten Mandanten ein Hybrid-Modell: Quartals-Termin vor Ort, dazwischen Video-Calls oder kurze Telefon-Updates.

Spätestens am Ende von Monat 2 sind Sie offiziell DSGVO-konform aufgestellt. Wenn eine Aufsichtsbehörden-Anfrage in dieser Phase kommt — was selten, aber nicht ausgeschlossen ist — bekommen Sie nicht nur eine Antwort, sondern eine gute Antwort.

Phase 4: Ab Monat 3 — Laufende Betreuung im Rhythmus

Ab dem dritten Monat läuft Datenschutz für Sie in Routine. Was konkret passiert:

  • Regelmäßige Termine nach Ihrem gewünschten Rhythmus (monatlich bis halbjährlich), Mischung aus Video-Call und Vor-Ort-Termin.
  • Quartalsweise Newsletter mit branchenspezifischen DSGVO-Updates — was hat sich geändert, was betrifft Sie konkret?
  • Jährliches Folge-Audit vor Ort — kompakte Variante, 2–3 Stunden, mit schriftlichem Bericht.
  • Jahresbericht für Ihre Geschäftsführung — Stand, Maßnahmen, offene Punkte, Planung fürs nächste Jahr.
  • 24-Stunden-Notfall-Hotline für Datenpannen, Cyber-Vorfälle oder LfDI-Anfragen.
  • Operative Unterstützung bei Betroffenenanfragen, neuen Software-Einführungen, geplanten Marketing-Aktionen.

Das ist der Punkt, an dem die meisten unserer Mandanten merken: der Festpreis pro Monat ist nicht eine Versicherungs-Police, die man hofft nie zu brauchen — sondern echte Operationszeit, die kontinuierlich Wert liefert. Mehr zu den enthaltenen Leistungen unter Leistungen.

Zeitlinie auf einen Blick

Phase Was passiert Vor Ort?
Phase 0 (Erstkontakt)Vor-Ort-Quickcheck, schriftliche Kurzanalyse + AngebotJa, 1 h
Phase 1 (Woche 1)Erst-Audit vor Ort, Audit-Bericht, MaßnahmenlisteJa, halb- bis ganztägig
Phase 2 (Wochen 2–4)VVT, AVVs, Website, Schulung, BeschäftigtendatenschutzJa, Schulung vor Ort
Phase 3 (Monat 2)Stabilisierung, Rhythmik definieren, Doku finalisierenOptional
Phase 4 (ab Monat 3)Laufende Betreuung im definierten Rhythmus, Jahres-AuditMindestens 1× pro Quartal oder Jahr

Mehr zu den enthaltenen Leistungen: Leistungen-Übersicht. Mehr zur Person: Über Thomas Kowoll. Häufige Fragen: FAQ.