Die generelle Bestandsaufnahmen des Status Quo essentiell und der erste Schritt, um den Anforderungen des DSGVO zu genügen. Dies beinhaltet eine Soll-, Ist-Analyse bzw. eine GAP-Analyse, die die Lücke zwischen dem Soll- und dem Istzustand ermittelt.

Unter anderem gehört die Nennung des Datenschutzbeauftragten z.B. auf der Webseite und die Benennung bei den Aufsichtsbehörden zu den Punkten, die auch bis zum 25.5.2018 vollzogen sein müssten, wenn ein Unternehmen mehr als neun Mitarbeiter mit personenbezogenen Daten betraut.

Desweiteren wird ein Verzeichnis der Verarbeitungstätigkeiten angelegt, welche sich aus dem Art. 30 der DSGVO ergeben. Interne Datenprozesse sind hier ebenfalls aufzuführen. Aus der Erfassung von Kundendaten und /oder Bewerberdaten werden Prozesse ersichtlich und wie, wo und zu welchem Zweck Daten gespeichert und wie und wann diese gelöscht werden und/oder gelöscht werden können.

Es erfolgt eine Datenfolgeabschätzung, welche letztendlich u.a. ersichtlich werden lässt, wie mit den Persönlichkeitsrechten der Betroffenen umgegangen wird, da eine Beschreibung der Datenverarbeitungsvorgänge dokumentiert wurde.