Ein grundsätzliches Datenschutzprojekt, welches die Einhaltung des Datenschutzes im gesamten Unternehmen zum Ziel hat, sollte mit einer ersten GAP-Analyse starten bei der festgestellt wird, welche Dokumente, Richtlinien, Prozesse etc. bereits vorhanden sind. Anhand dieser Erstanalyse können die Lücken identifiziert werden und ein Projektplan entworfen werden. Zuerst sind dabei die Basisdokumente und Prozesse zu schaffen.

Die GAP-Analyse und die Feststellung des Ist-Standes wird dabei mithilfe von Workshops, Interviews und einer Dokumentensichtung und Prüfung durchgeführt.

• Erstellung und Abschluss der notwendigen Auftragsverarbeitungsverträge
• Erstellung und Abschluss der notwendigen Verträge zur Übertragung von personenbezogenen Daten innerhalb einer Unternehmensgruppe
• Erstellung eines Datenschutzhandbuchs mit allen notwendigen Richtlinien und Prozesse sowie der Governance Struktur. Die Struktur enthält die Verantwortlichkeit der jeweiligen Positionen im Unternehmen.
• Erstellung des Verzeichnisses der Verarbeitungstätigkeiten
• Feststellung des Risikos der Datenverarbeitung für die Rechte und Freiheiten der betroffenen Personen (Datenschutzfolgenabschätzung)
• Erstellung eines Risikobehandlungsplans mit technischen und organisatorischen Massnahmen
• Erstellung und Implementierung eines Prüfkonzepts, um die fortlaufende Verbesserung des Datenschutzniveaus zu gewährleisten (PDCA-Zyklus).

In der Praxis bietet es sich dabei an, bereits zu Beginn des Projekts eine Softwarelösung zur Erstellung der notwendigen Dokumentation und Prozesse einzusetzen. Dadurch werden die Kosten der Umsetzung durch den geringeren Projektaufwand reduziert.