Status: Optionales Zusatzmodul · Im internen Test · Beta in Kürze

DSMS ist nicht Teil des Standard-Funktionsumfangs. Das Modul befindet sich derzeit im internen Test und wird in Kürze in den Beta-Zugang aufgenommen. Es ist ein optionales Zusatzmodul und ausschließlich in Verbindung mit einem aktiven LEGALinhouse-Abonnement buchbar — es lässt sich nicht eigenständig nutzen. Wenn Sie DSMS-Funktionen früh einsetzen möchten, sagen Sie uns Bescheid — wir nehmen Sie für die Beta vor und melden uns, sobald das Modul für Sie freigeschaltet ist.

Automatische Pseudonymisierung bei jedem KI-Aufruf

Das DSMS ist durchgehend KI-gestützt — und schützt dabei genau die Daten, um die es im Datenschutz geht. Vor jedem KI-Aufruf werden personenbezogene Daten automatisch maskiert und in der Antwort wieder eingesetzt. Personenbezug verlässt den Mandanten so nicht im Klartext, während die KI trotzdem mit dem Sachverhalt arbeiten kann. Die Pseudonymisierung ist pro Mandant schaltbar und standardmäßig aktiv.

KI als Assistent — Ergebnisse sind Entwürfe

Alle KI-Komponenten im DSMS sind Assistenten: Sie liefern Entwürfe, keine fertigen Rechtsergebnisse. Die fachliche Prüfung und Letztverantwortung verbleiben stets beim qualifizierten Anwender. CEAVEO LEGALinhouse ist ein Workflow- und Produktivitätswerkzeug, kein Rechtsdienstleister (RDG).

Verarbeitungsverzeichnis (Art. 30 DSGVO)

Jedes verantwortliche Unternehmen muss ein Verzeichnis seiner Verarbeitungstätigkeiten führen. Das DSMS-Modul liefert die Struktur dafür: pro Verarbeitungstätigkeit Zweck, Rechtsgrundlage, Kategorien der betroffenen Personen, Kategorien personenbezogener Daten (inkl. besonderer Kategorien nach Art. 9), Empfänger, Drittlandstransfers, Löschfristen und verknüpfte technische und organisatorische Maßnahmen (TOM). Mandantenweite VVT-Defaults, Filter, Versionierung und Export als amtsnahes Art.-30-Muster-PDF, als Vollbericht sowie als CSV-/PDF-Register.

Ein KI-Assistent erstellt VVT-Einträge aus einer freien Beschreibung und schlägt Rechtsgrundlage und Datenkategorien vor (Entwurf zur Prüfung). Vorlagen für typische Verarbeitungstätigkeiten (Personalwesen, Buchhaltung, CRM, Bewerbermanagement, Videoüberwachung) sind enthalten und lassen sich pro Mandant anpassen.

Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

Das Modul führt einen TOM-Katalog über die acht BDSG-Kontrollkategorien — je Maßnahme mit Umsetzungsstand, Prüfintervall und Nachweis. Eine Bibliothek mit 35 Standardmaßnahmen erlaubt die Ein-Klick-Übernahme; jede Maßnahme lässt sich einzelnen Verarbeitungstätigkeiten und Assets zuordnen. So ist auf Knopfdruck belegt, welche Schutzmaßnahmen für welche Verarbeitung gelten.

Vorlagen für typische Verarbeitungstätigkeiten (Personalwesen, Buchhaltung, CRM, Bewerbermanagement, Videoüberwachung) werden enthalten sein und lassen sich pro Mandant anpassen.

Datenschutz-Folgenabschätzung (Art. 35)

Bei voraussichtlich hohem Risiko für die Rechte und Freiheiten betroffener Personen ist eine DSFA verpflichtend. Das Modul führt durch den DSFA-Prozess: Risikobewertung, Beschreibung der Verarbeitung, Bewertung der Notwendigkeit und Verhältnismäßigkeit, Schutzmaßnahmen, Konsultation des Datenschutzbeauftragten. Ergebnis als strukturiertes Dokument, das exportiert und im Audit-Log verankert wird.

Schwellwert-Prüfung

Das Modul hilft bei der Vorprüfung: Anhand der Verarbeitungstätigkeit und der dort hinterlegten Risikoindikatoren (besondere Datenkategorien, Profiling, Überwachung etc.) gibt das System einen Vorschlag, ob eine DSFA voraussichtlich erforderlich ist. Die rechtliche Beurteilung trifft der Datenschutzbeauftragte oder die zuständige Person — der Vorschlag ist kein Ersatz.

AVV-Prüfung (Art. 28 DSGVO)

KMU sind oft gleichzeitig Auftraggeber von AVV (gegenüber Dienstleistern) und Auftragnehmer (gegenüber Geschäftskunden). Das Modul verwaltet beide Seiten — und prüft mit:

  • KI-Import des AVV-PDF: Verarbeiter-Stammdaten und Garantien werden ausgelesen und das Formular vorbefüllt — manuelles Abtippen entfällt.
  • 28-Punkte-KI-Prüfung: Klauselextraktion und Risikohinweise gegen die Pflichtbestandteile aus Art. 28 — als Entwurf neben der Bewertung durch die zuständige Person.
  • Eingehende AVV (Sie als Auftragsverarbeiter): AVV mit Mandanten verknüpft, TOM, Sub-Auftragsverarbeiter-Listen, Konditionen.
  • Ausgehende AVV (Sie als Auftraggeber): AVV mit Dienstleistern, Prüfung der TOM, Sub-Auftragsverarbeiter-Genehmigungen.
  • Verknüpfung mit der Vertragsverwaltung — jede AVV ist gleichzeitig ein Vertrag mit Laufzeit und Kündigung.
  • Sub-Auftragsverarbeiter-Tracking — Änderungen werden mit Informationspflicht und Widerspruchsrecht abgebildet.

Betroffenenrechte (Art. 12–22 DSGVO)

Auskunfts-, Berichtigungs-, Löschungs- und Widerspruchsanfragen sind nicht selten — und müssen innerhalb eines Monats beantwortet werden. Ein KI-Assistent erfasst die Anfrage aus Text oder Dokument, klassifiziert die Anfrageart und erkennt die anfragende Person. Ein Identitätsprüfungs-Gate sichert die Auskunft ab. Auf das Verarbeitungsverzeichnis gestützt entsteht ein KI-Antwortentwurf, der sich als versandfertiger Brief nach DIN 5008 materialisieren lässt. Das Modul setzt automatisch die 30-Tage-Frist und dokumentiert die Bearbeitung; anonymisierte Statistik zeigt der Geschäftsleitung Anzahl und Bearbeitungsdauer.

Vorfallmanagement (Art. 33, 34 DSGVO)

Ein Datenschutzvorfall muss innerhalb von 72 Stunden an die Aufsichtsbehörde gemeldet werden, wenn nicht offensichtlich kein Risiko besteht. Eine KI-Schnelllösung unterstützt die Erfassung: Klassifizierung, Risikobewertung, Empfehlung zur Meldepflicht und ein Maßnahmen-Leitfaden — alles als Entwurf. Eine 72-Stunden-Uhr läuft automatisch mit. Die Meldung an die Aufsichtsbehörde (Art. 33) und die Benachrichtigung betroffener Personen (Art. 34) entstehen als versandfertige Briefe. Alle Schritte sind im Audit-Log nachvollziehbar.

Stammdaten, Import & Export

Damit das System schnell produktiv wird, bringt es editierbare Kataloge mit: Betroffenen- und Datenkategorien, 131 deutsche Löschfristen nach HGB/AO, Zwecke, Rechtsgrundlagen und TOM. Hinzu kommen Register für Verarbeiter, Software, IT-Assets und Standorte. Eine Excel-Importvorlage und vorbefüllte Branchen-Vorlagen beschleunigen die Ersterfassung; eine Staging-Prüfung kontrolliert die Daten vor der Übernahme, eine KI-Vollständigkeitsbewertung markiert Lücken je Datensatz, und ein dublettenfreier Rund-um-Export gibt den gesamten Bestand wieder heraus.

Audit-Trail über das gesamte DSMS

Datenschutz-Compliance besteht nicht aus dem einmaligen Anlegen eines Verzeichnisses — sie besteht aus dem Nachweis, dass es lebt. Das Modul protokolliert jede Änderung am Verzeichnis, jede DSFA-Revision, jede AVV-Verlängerung, jede Betroffenenanfrage, jeden Vorfall. Bei einer Prüfung der Aufsichtsbehörde liefert das System auf Knopfdruck den vollständigen Nachweis — keine Last-Minute-Excel-Rekonstruktion.

Verfügbarkeit & Preismodell

Das DSMS ist ein optionales Modul von LEGALinhouse und nur in Verbindung mit einem aktiven LEGALinhouse-Abonnement buchbar — nicht eigenständig. Es wird wie ein weiteres inhouse-Produkt abgerechnet: als Aufschlag auf Ihren Monatsbeitrag, bei gemeinsamem KI-Guthaben über alle gebuchten Produkte. KI-Aktionen laufen modellneutral und unter der Bill-on-Success-Garantie (Abrechnung nur bei erfolgreichem Ergebnis). Die konkreten Konditionen erhalten Beta-Kunden vor dem Start.

Datenschutz als geschlossene Leistung? Auf Wunsch ergänzen ein externer Datenschutzbeauftragter oder eine Datenschutzberatung das DSMS-Werkzeug — vorgestellt auf privacyinhouse.de, dem Datenschutz-Angebot der CEAVEO-Gruppe.

DSMS schon in der Beta nutzen? Wenn Sie auf eines der oben beschriebenen Module angewiesen sind, sagen Sie uns Bescheid. Wir nehmen Sie für die Beta vor und melden uns, sobald das Modul für Sie freigeschaltet ist.