Diese und andere konzeptionelle Leistungen können einzeln erbracht oder in einem Handbuch nach Art einer änderungsfreundlichen Lose-Blatt-Sammlung gebündelt werden.

Daher hat sich, wie beim IT-Sicherheitskonzept, ein modularer, hierarchischer Aufbau bewährt. Dabei werden die grundlegenden Datenschutzziele von Vorstand oder Geschäftsführung des Unternehmens verabschiedet und veröffentlicht. Aus ihnen werden die konzeptionellen Vorgaben für Systemarten, Nutzergruppen, Anwendungen und Gefährdungsbereiche abgeleitet. Darüber hinaus werden in Übereinstimmung mit den konzeptionellen Vorgaben die konkreten technischen Einstellungen und Vorgaben dokumentiert. Als Unterstützung bestimmter Nutzergruppen sollten Handlungshilfen oder Informationen zur Verfügung gestellt werden.

Bei der oben gezeigten Organisation sind häufigere Änderungen auf die Dokumente und Vorgaben am Fuß der Pyramide beschränkt. Je höher die Vorgaben in der Pyramide angesiedelt sind, desto geringer ist ihre Änderungshäufigkeit. Die Datenschutzziele werden in der Regel äußerst selten ergänzt, während Systemdokumentationen bei jeder datenschutz- relevanten Änderung angepasst werden müssen.