Deckt das Modul den gesamten DSGVO-Pflichtenkreis ab?

Ja. Avalon Datenschutz ist ein vollständiges Datenschutzmanagementsystem mit Verarbeitungsverzeichnis und Rechtsgrundlagen (Art. 30, 6/9/10), Folgenabschätzung samt Vorabkonsultation (Art. 35/36), Betroffenenrechten (Art. 12–22), Datenschutzvorfällen mit 72-Stunden-Meldung (Art. 33/34), Auftragsverarbeitung und Drittland-Transfer (Art. 28, 44–49), Einwilligung und Betroffeneninformation (Art. 7, 13/14), Löschkonzept nach DIN 66398 (Art. 17) sowie DSB-Governance und Berichtswesen (Art. 37–39).

Wie stellt Avalon sicher, dass gesetzliche Fristen eingehalten werden?

Betroffenenanfragen werden mit der 1-Monats-Frist und einer Fristenampel geführt; Datenschutzvorfälle starten ab Kenntnisnahme eine harte 72-Stunden-Uhr. Avalon warnt frühzeitig vor, eskaliert bei drohendem Fristablauf und dokumentiert jede Stufe revisionssicher, sodass keine Meldepflicht übersehen wird.

Trifft die KI rechtliche Entscheidungen?

Nein. Die KI arbeitet ausschließlich vorbefüllend und vorschlagend und ist standardmäßig deaktiviert; jeder Workflow funktioniert auch vollständig ohne sie. Bei rechtsfolgenbehafteten Anwendungsfällen bestätigt der bestellte Datenschutzbeauftragte jeden Vorschlag einzeln pro Feld. Jede Ausgabe trägt Begründung und Konfidenz, wird protokolliert und kann jederzeit verworfen werden – die rechtlich verbindliche Entscheidung liegt ausnahmslos beim Menschen.

Wie vermeidet das Modul Doppelpflege mit ISMS, TPRM und AI Governance?

Datenschutz verlinkt statt zu duplizieren: Schutzmaßnahmen nach Art. 32 werden aus dem ISMS übernommen, Auftragsverarbeiter aus dem Auslagerungsmanagement (TPRM) inklusive DORA- und MaRisk-AT-9-Bezug gepflegt, und KI-Systeme mit Personenbezug stoßen automatisch die Folgenabschätzung an. So wird jede Verarbeitung, Schutzmaßnahme und jeder Dienstleister einmal bewertet und konsistent genutzt.

DSGVO 2016/679 · BDSG · DIN 66398 · DORA · MaRisk AT 9 · EU AI Act 2024/1689

Der gesamte DSGVO-Pflichtenkreis – fristgesichert, prüffest, ohne Doppelpflege.

Avalon Datenschutz ist ein vollständiges Datenschutzmanagementsystem (DSMS) auf dem regulatorischen Niveau eines vollregulierten Instituts: Verarbeitungsverzeichnis, Folgenabschätzung, Betroffenenrechte, Datenschutzvorfälle mit 72-Stunden-Uhr, Auftragsverarbeitung samt Drittland-Transferprüfung und Löschkonzept laufen in einem System statt in verteilten Tabellen. Verzahnt mit Prozess-, Risiko- und Auslagerungsmanagement – damit jede Verarbeitung, jede Schutzmaßnahme und jeder Dienstleister einmal bewertet und konsistent genutzt wird.

Demo vereinbaren Alle Module ansehen

Im Kern

Drei Gründe für Avalon Datenschutz

Sämtliche DSGVO-Kernpflichten – Verarbeitungsverzeichnis, Folgenabschätzung, Betroffenenrechte, Meldewesen, Auftragsverarbeitung, Löschung – prüffest und versioniert in einem System statt in verteilten Tabellen.

Gesetzliche Fristen werden automatisch überwacht – die 1-Monats-Frist für Betroffenenanfragen und die 72-Stunden-Uhr für Datenschutzvorfälle mit Vorwarnung und Eskalation, sodass keine Meldepflicht übersehen wird.

Rechtlich verbindliche Entscheidungen bleiben ausschließlich beim bestellten Datenschutzbeauftragten – jede Auskunfts-Entscheidung, Meldepflicht-Feststellung und Folgenabschätzungs-Freigabe wird einzeln und nachvollziehbar gezeichnet.

Fristen-Pflichtenkreis

Ein Pflichtenfluss, eine laufende Uhr, eine Unterschrift

Der gesamte DSGVO-Pflichtenkreis bündelt sich aus sechs Einzelpflichten auf ein System – und mündet in eine laufende 72-Stunden-Uhr, die einzig der bestellte Datenschutzbeauftragte prüffest schließt.

DSGVO-Pflichten

VVT · Art. 30Verarbeitungsverzeichnis

DSFA · Art. 35Folgenabschätzung

TOM · Art. 32Schutzmaßnahmen

Betroffene · Art. 12–22Betroffenenrechte

Breach · Art. 33/34Datenschutzvorfall

AVV/Drittland · Art. 28/44ffAuftragsverarbeitung

Sammel-Schiene

Ein DSMS statt sechs Tabellenv3 · freigegeben

72-Stunden-UhrSkala 72h → 0h

31:12 h verbleibend

Kenntnis14.05. 09:00

Behörde +72h17.05. 09:00

DSAR-MonatsfristEingang +1 Monat

−7 Tage−3 Tage−1 Tag

Signatur-Feld

gezeichnet: DSB (Art. 37)1/1 bestellt

KI-Entwurf · wartet auf Mensch

Audit: Single-Signer — nur der bestellte DSB zeichnet prüffest.

Beispieldaten · Illustration

Belegt: DSGVO — Verarbeitungsverzeichnis Art. 30, Folgenabschätzung Art. 35, Vorabkonsultation der Aufsichtsbehörde Art. 36, technische und organisatorische Maßnahmen Art. 32, Betroffenenrechte Art. 12–22 (Frist Eingang + 1 Monat), Datenschutzvorfall Art. 33/34 (Frist Kenntnis + 72 Stunden), Auftragsverarbeitung Art. 28 und Drittland-Transfer Art. 44 ff., Datenschutzbeauftragter Art. 37. Avalon unterstützt die Erfüllung; die Verantwortung verbleibt beim Kunden.

Funktionsumfang

Was das Datenschutz-Modul im Detail leistet

Verarbeitungsverzeichnis und Rechtsgrundlagen (Art. 30, 6/9/10)
Führen Sie ein versioniertes Verzeichnis der Verarbeitungstätigkeiten – getrennt nach Verantwortlichem und Auftragsverarbeiter –, verknüpfen Sie es mit Ihren Prozessen und Datenkategorien und hinterlegen Sie je Verarbeitung eine belegte Rechtsgrundlage. Eine Freigabe ist erst möglich, wenn eine gültige Rechtsgrundlage vorliegt – bei berechtigtem Interesse mit dokumentierter Abwägung, bei besonderen Datenkategorien mit dem erforderlichen Zusatztatbestand nach Art. 9.
Datenschutz-Folgenabschätzung mit Schwellwertanalyse (Art. 35/36)
Vom strukturierten Schwellwert-Check über die Folgenabschätzung mit Risikobewertung bis zur Vorabkonsultation der Aufsichtsbehörde bei verbleibend hohem Risiko – vollständig dokumentiert und freigabepflichtig. KI-Systeme mit Personenbezug lösen die Schwellwertprüfung automatisch aus, ohne eine zweite Klassifizierung zu erzwingen.
Betroffenenrechte mit Fristensteuerung (Art. 12–22)
Auskunft, Berichtigung, Löschung, Einschränkung, Übertragbarkeit, Widerspruch und Entscheidungen nach Art. 22 laufen in einem Posteingang mit Fristenampel – mit Identitätsprüfung vor jeder Offenlegung und finaler Entscheidung durch den Datenschutzbeauftragten.
Datenschutzvorfälle mit 72-Stunden-Uhr (Art. 33/34)
Ein revisionssicheres Vorfallsregister mit hartem Countdown ab Kenntnisnahme führt die Meldepflicht-Bewertung gegenüber Aufsichtsbehörde und Betroffenen. Parallel meldepflichtige IKT-Vorfälle und aus dem Auslagerungsmanagement eingespeiste Dienstleister-Vorfälle sind berücksichtigt.
Auftragsverarbeitung und Drittland-Transfer (Art. 28, 44–49)
Auftragsverarbeitungs-Verträge werden direkt mit den Dienstleistern und Vereinbarungen des Auslagerungsmanagements verknüpft, ein Klauselcheck prüft die Pflichtinhalte nach Art. 28 Abs. 3, und für Drittland-Transfers führt eine Transfer-Folgenabschätzung (Schrems II) den gewählten Mechanismus und etwaige Zusatzmaßnahmen bis zum belegten Verdikt.
Löschkonzept, Einwilligung und Betroffeneninformation (Art. 7, 13/14, 17)
Löschklassen und -regeln nach DIN 66398 mit Aufbewahrungs-Konfliktbehandlung (HGB, AO, GwG – Sperrung statt Löschung), revisionssicheres Einwilligungs- und Widerrufsmanagement sowie versionierte Datenschutzhinweise, deren Pflichtelemente vor Veröffentlichung geprüft werden.
Technische Schutzmaßnahmen ohne Doppelpflege (Art. 32)
Technisch-organisatorische Maßnahmen nach Art. 32 werden auf die Sollmaßnahmen des ISMS abgebildet, statt sie erneut zu erfassen – die Wirksamkeit wird aus dem ISMS übernommen, nicht doppelt gepflegt. So bewerten Sie einmal und nutzen die Schutzmaßnahmen für Datenschutz und Informationssicherheit konsistent.
DSB-Governance, Audits und Berichtswesen (Art. 37–39)
Bestellung und Unabhängigkeit des Datenschutzbeauftragten, Schulungskampagnen mit Nachweisführung, Datenschutz-Audits mit Findings und Maßnahmenverfolgung sowie Management- und Aufsichtsberichte – inklusive eines rollenbasierten Rechtemodells und einer lückenlosen Auditspur über jede Entscheidung.

Regulatorik im Detail

Welche Rahmenwerke das Datenschutz-Modul abbildet

DSGVO 2016/679
BDSG
DIN 66398
DORA
MaRisk AT 9
EU AI Act 2024/1689

DSGVO (Verordnung (EU) 2016/679): Der gesamte Pflichtenkreis ist als durchgängiger Workflow verankert: Verarbeitungsverzeichnis und Rechtsgrundlagen (Art. 30, 6/9/10), Folgenabschätzung und Vorabkonsultation (Art. 35/36), Betroffenenrechte mit Fristensteuerung (Art. 12–22), Datenschutzvorfälle mit 72-Stunden-Meldung (Art. 33/34), Auftragsverarbeitung und Drittland-Transfer (Art. 28, 44–49), Einwilligung und Information (Art. 7, 13/14), Löschung (Art. 17) sowie DSB-Stellung und Aufgaben (Art. 37–39).
BDSG (u. a. § 26, § 31): Nationale Konkretisierungen lassen sich als ergänzende Rechtsgrundlage je Verarbeitung hinterlegen – etwa der Beschäftigtendatenschutz nach § 26 oder die Vorgaben zum Scoring nach § 31. Datenschutz operationalisiert diese Normen, ohne einen eigenen Normen-Bestand zu duplizieren; die Rechtsquellen verbleiben in der Hoheit der Compliance-Funktion.
DIN 66398 (Löschkonzept): Das Löschkonzept folgt der Methodik der DIN 66398 mit Löschklassen, Aufbewahrungsfristen und definierten Löschregeln. Aufbewahrungspflichten nach § 257 HGB, § 147 AO und dem GwG werden als Konflikt erkannt und über Sperrung statt Löschung aufgelöst – nachvollziehbar dokumentiert.
DORA und MaRisk AT 9: Auftragsverarbeiter sind häufig zugleich IKT-Drittparteien oder sonstige Auslagerungen. Datenschutz verbindet die Auftragsverarbeitungs-Schicht (Art. 28) mit dem Auslagerungsmanagement, sodass IKT-Dienstleister im DORA-Register und nicht-IKT-Auslagerungen nach MaRisk AT 9 aus einer Quelle gepflegt werden – ohne getrennte Erfassung der Dienstleisterdaten.
EU AI Act (Verordnung 2024/1689, Art. 9–15): Die KI-Schicht des Moduls ist nach den Anforderungen des EU AI Act dokumentiert: Transparenz, menschliche Aufsicht und Risikomanagement sind verankert. KI-Systeme mit Personenbezug stoßen automatisch die Schwellwertprüfung der Folgenabschätzung an; die rechtlich verbindliche Bewertung trifft stets der Datenschutzbeauftragte.

Avalon unterstützt die Umsetzung dieser Rahmenwerke. Die Konformität bleibt in der Verantwortung Ihrer Organisation.

KI-Plattform

KI mit Kontrolle: vorschlagen ja, rechtlich entscheiden nie

Human-in-the-Loop: Bei rechtsfolgenbehafteten Fällen bestätigt der Datenschutzbeauftragte jeden Vorschlag einzeln pro Feld – die verbindliche Entscheidung trifft immer der Mensch.
Technisch erzwungene Grenze: KI-Funktionen können niemals selbst eine Auskunfts-, Meldepflicht- oder Freigabe-Entscheidung schreiben; Vorschläge außerhalb der hinterlegten Methodik werden automatisch verworfen.
Auch ohne KI voll nutzbar und Audit-Trail: jeder Workflow läuft auch ohne KI vollständig, die KI ist standardmäßig aus; jede KI-Ausgabe trägt Begründung und Konfidenz und ist lückenlos protokolliert.

Wie KI mit Kontrolle bei Avalon funktioniert

Häufige Fragen zum Datenschutz-Modul

Deckt das Modul den gesamten DSGVO-Pflichtenkreis ab?: Ja. Avalon Datenschutz ist ein vollständiges Datenschutzmanagementsystem mit Verarbeitungsverzeichnis und Rechtsgrundlagen (Art. 30, 6/9/10), Folgenabschätzung samt Vorabkonsultation (Art. 35/36), Betroffenenrechten (Art. 12–22), Datenschutzvorfällen mit 72-Stunden-Meldung (Art. 33/34), Auftragsverarbeitung und Drittland-Transfer (Art. 28, 44–49), Einwilligung und Betroffeneninformation (Art. 7, 13/14), Löschkonzept nach DIN 66398 (Art. 17) sowie DSB-Governance und Berichtswesen (Art. 37–39).
Wie stellt Avalon sicher, dass gesetzliche Fristen eingehalten werden?: Betroffenenanfragen werden mit der 1-Monats-Frist und einer Fristenampel geführt; Datenschutzvorfälle starten ab Kenntnisnahme eine harte 72-Stunden-Uhr. Avalon warnt frühzeitig vor, eskaliert bei drohendem Fristablauf und dokumentiert jede Stufe revisionssicher, sodass keine Meldepflicht übersehen wird.
Trifft die KI rechtliche Entscheidungen?: Nein. Die KI arbeitet ausschließlich vorbefüllend und vorschlagend und ist standardmäßig deaktiviert; jeder Workflow funktioniert auch vollständig ohne sie. Bei rechtsfolgenbehafteten Anwendungsfällen bestätigt der bestellte Datenschutzbeauftragte jeden Vorschlag einzeln pro Feld. Jede Ausgabe trägt Begründung und Konfidenz, wird protokolliert und kann jederzeit verworfen werden – die rechtlich verbindliche Entscheidung liegt ausnahmslos beim Menschen.
Wie vermeidet das Modul Doppelpflege mit ISMS, TPRM und AI Governance?: Datenschutz verlinkt statt zu duplizieren: Schutzmaßnahmen nach Art. 32 werden aus dem ISMS übernommen, Auftragsverarbeiter aus dem Auslagerungsmanagement (TPRM) inklusive DORA- und MaRisk-AT-9-Bezug gepflegt, und KI-Systeme mit Personenbezug stoßen automatisch die Folgenabschätzung an. So wird jede Verarbeitung, Schutzmaßnahme und jeder Dienstleister einmal bewertet und konsistent genutzt.

Module

Welches Modul passt zu Ihrem nächsten Schritt?

Wir zeigen Ihnen Avalon entlang Ihrer aktuellen Fragestellung – konkret, in Ihrem Kontext, ohne Standard-Sales-Demo.

On-Premise
Human-in-the-Loop
EU-AI-Act-konform by Design

Kostenlosen Demo-Termin vereinbaren Angebot anfragen

On-Premise · Ihre Daten verlassen das Haus nicht

Der gesamte DSGVO-Pflichtenkreis – fristgesichert, prüffest, ohne Doppelpflege.

Drei Gründe für Avalon Datenschutz

Ein Pflichtenfluss, eine laufende Uhr, eine Unterschrift

Was das Datenschutz-Modul im Detail leistet

Verarbeitungsverzeichnis und Rechtsgrundlagen (Art. 30, 6/9/10)

Datenschutz-Folgenabschätzung mit Schwellwertanalyse (Art. 35/36)

Betroffenenrechte mit Fristensteuerung (Art. 12–22)

Datenschutzvorfälle mit 72-Stunden-Uhr (Art. 33/34)

Auftragsverarbeitung und Drittland-Transfer (Art. 28, 44–49)

Löschkonzept, Einwilligung und Betroffeneninformation (Art. 7, 13/14, 17)

Technische Schutzmaßnahmen ohne Doppelpflege (Art. 32)

DSB-Governance, Audits und Berichtswesen (Art. 37–39)

Welche Rahmenwerke das Datenschutz-Modul abbildet

KI mit Kontrolle: vorschlagen ja, rechtlich entscheiden nie

Häufige Fragen zum Datenschutz-Modul

Welches Modul passt zu Ihrem nächsten Schritt?