Nach der Benennung des DSB (siehe Kapitel 1) und der Klärung der Datenschutzorganisation (siehe Kapitel 2) gilt es sicherzustellen, dass die Verarbeitungen von personenbezogenen Daten im Unternehmen datenschutzkonform ausgestaltet sind. Dies kann am besten mittels Durchführung einer Schwachstellenanalyse und der Erstellung eines Berichts mit einem Maßnahmenplan in zwei Phasen umgesetzt werden. Im Rahmen der ersten Phase werden in einer Schwachstellenanalyse die datenschutzrechtliche Organisation im Unternehmen analysiert und Prozesse und Abläufe identifiziert, bei denen datenschutzrechtliche Vorschriften zu beachten sind (A.). In der zweiten Phase werden in einem Datenschutzbericht der Erfüllungsgrad datenschutzrechtlicher Standards dokumentiert und Maßnahmen zur Beseitigung von datenschutzrechtlichen Defiziten aufgezeigt (B.).
