Help Center
News
Help Center
News
Sign in
Dokumentieren
Dokumente und RichtlinienFragebögenTechnische- und Organisatorische Massnahmen (TOMs)BerichteVerzeichnis der AssetsFrameworksVerzeichnis der Verarbeitungstätigkeiten (VVT)Verzeichnis der Verarbeitungstätigkeiten als Excel-Datei exportierenLieferantenFolgenabschätzungenDokumentation Ihres berechtigten InteressesMeetings und AktivitätenAufbewahrungs- und Löschfristen Datenerhebungspunkte (DEP)Dokumente zu Lieferanten hinzufügen
Datenschutz-Folgenabschätzung (DPIA)
Folgenabschätzungen durchsuchenDSFA erstellenDSFA bearbeitenDSFA-Detailseite
Assessments
Verarbeitungstätigkeiten (ROPA)
Assets
Internationale Standards & Rahmenwerke
TOMs & Kontrollen
Kategorien & Attribute
Datenerhebungspunkte
Rechtsgrundlage
Berechtigtes Interesse
Dokumente & Richtlinien
Aufbewahrung & Löschung
Datenfluss
Lieferanten
Fragebögen
Verwalten
Prozessrisiko ÜbersichtData flow
Dashboards
KI-Unterstützung & Automatisierung
Projekte
Aufgaben
Besprechungen & Aktivitäten
Workflows & Automatisierungen
Berichte
Reagieren & Lösen
AufgabenProjekteEreignisse und VorfälleBetroffenenrechte
Risikoszenarien & Behandlungen
Vorfälle & Datenpannen
Versionshinweise
Q2 2026
Q1 2026
Q4 2025
Q3 2025
Q2 2025
Q1 2025
Q4 2024
Q3 2024
Q2 2024
Q1 2024
Q4 2023
Q3 2023
Q2 2023
Q1 2023
Q4 2022
Q3 2022
Erste Schritte
Anleitung zum EinstiegFragebögenAufgabenProzessrisiko ÜbersichtIT Einstellungen FrameworksDas Risikomodell für Informationssicherheit / AssetsBetroffenenrechteDownload von ElementenDokumentation Ihres berechtigten InteressesZugang von Gruppen auf ElementeDokumente und RichtlinienTechnische- und Organisatorische Massnahmen (TOMs)Compliance EinstellungenErstellen von passenden Attributen für Ihre BrancheDokumentenliste für das OnboardingDas DatenschutzrisikomodellEreignisse und VorfälleProjekteGruppenverwaltungDokumente zu Lieferanten hinzufügenAnleitung zum Beantworten von Assessments (Fragebögen)Einrichtung der ersten Organisation oder des ersten UnternehmensDatenerhebungspunkte (DEP)Elemente erstellen mittels AIRisko Modelle in Allgemeinen EinstellungenTeilen von ElementenWie kann ein Benutzer die Sprache ändern?Data flowVerzeichnis der Verarbeitungstätigkeiten (VVT)Time machineAssessments erstellen und auswerten Company Widget FeatureVerzeichnis der AssetsLieferantenFolgenabschätzungenOrganisatorische Einheiten erstellenVerzeichnis der Verarbeitungstätigkeiten als Excel-Datei exportierenMeetings und AktivitätenBegriffe der rechtmässigen VerarbeitungAufbewahrungs- und Löschfristen Anlegen von neuen Benutzer:innen und Ändern des Passworts für die AnmeldungBerichteDas ReifegradmodellHinzufügen von Risikoszenarien zu Assets oder Asset-GruppenRelevante RiskoszenarienÜbersicht der Priverion GRC PlattformDokumentenliste für das OnboardingWie kann ein Benutzer die Sprache ändern?Einrichtung der ersten Organisation oder des ersten UnternehmensErstellen von passenden Attributen für Ihre Branche
Benutzerkonto
Teilen und Gruppenfunktionen
Features
Anleitungen & Tipps
Unterstützung erhalten
Einstellungen
Allgemeine Einstellungen
Compliance-Einstellungen
Identitäts- und Zugriffsverwaltung
IT Einstellungen
Risiko Einstellungen

DSFA erstellen

Starten Sie eine neue Datenschutz-Folgenabschätzung mit Risiken, Maßnahmen und Konsultationen.

Eine Datenschutz-Folgenabschätzung (DSFA) zu erstellen, ist eine der wichtigsten Nachweise, die Ihre Organisation erbringen kann, wenn ein neues Projekt, ein Tool oder ein Prozess voraussichtlich ein hohes Risiko für die personenbezogenen Daten der Betroffenen birgt. Auf dieser Seite öffnen Datenschutzbeauftragte, Privacy-Programm-Manager und Compliance-Verantwortliche eine brandneue DSFA, geben ihr eine Identität und beginnen zu dokumentieren, warum die Bewertung notwendig ist und was die Verarbeitung tatsächlich umfasst. Von diesem einzigen Ausgangspunkt aus lässt sich die DSFA später um Risiken, Maßnahmen, Konsultationen, Behandlungspläne und Prüf-Workflows erweitern.

Im Gesamtbild von DPMS steht eine DSFA fast nie für sich allein. Sie liegt typischerweise an der Schnittstelle zwischen einem Verarbeitungsverzeichnis (VVT/ROPA), den beteiligten Assets und Lieferanten, Stakeholder-Fragebögen, internen Konsultationen und — wenn das Restrisiko es erfordert — der Aufsichtsbehörde. Auf dieser Seite beginnt diese Dokumentationsspur.

So öffnen Sie diese Seite

Sie erreichen die Seite über das DSFA-Modul:

  • Öffnen Sie in der linken Seitenleiste DSFA — die DSFA-Übersicht wird angezeigt.
  • Klicken Sie oben rechts in der Aktionsleiste der Übersicht auf Erstellen.
  • Wählen Sie im erscheinenden Dropdown den Eintrag DSFA erstellen.

Diese Seite steht allen Benutzern zur Verfügung, die in Ihrem Unternehmen DSFAs anlegen oder bearbeiten dürfen. Fehlen Ihnen diese Rechte, sehen Sie stattdessen eine "Zugriff verweigert"-Meldung — und der Erstellen-Button in der Übersicht ist gar nicht erst sichtbar.

Screenshot

Was Sie sehen

Die Seite verwendet das Standard-Erstellungslayout von DPMS. Ganz oben steht der Seitentitel — bei einem neuen Datensatz lautet er DSFA erstellen, beim Bearbeiten eines vorhandenen Datensatzes wechselt er zu Allgemein bearbeiten. Links neben dem Titel führt ein Pfeil zurück dorthin, wo Sie hergekommen sind — meist die DSFA-Übersicht.

Am linken Rand verläuft ein Tab-Streifen, das Rückgrat der gesamten DSFA-Erfahrung: Allgemein, Interessenabwägung, Aufgaben, Assessments, Assets, Standards, Schwellenwert, Risikoszenarien, Umgesetzte TOMs, Aktuelles Risiko bestimmen, Vorgeschlagene TOMs, Element kopieren, Zugriff verwalten, Workflow-Übersicht, Behandlungsplan, Behandlungsplan ansehen, Frist anzeigen und Szenario unter Schwellenwert hinzufügen. Bei einer brandneuen DSFA ist nur der Tab "Allgemein" aktiv — alle anderen Tabs sind ausgegraut, bis Sie den Tab "Allgemein" einmal speichern und die DSFA eine eigene Datensatz-Kennung erhält.

Der Hauptbereich rechts zeigt das Formular des aktiven Tabs. Im Tab "Allgemein" finden Sie oben einen Status-Indikator und die Auswahl der verantwortlichen Personen, dann das Feld Name, die Organisationseinheit, eine Mehrfachauswahl Klassifizierung, eine Suche für verknüpfte ROPAs und schließlich zwei große Rich-Text-Felder für die Narrative Notwendigkeit der DSFA feststellen und Beschreibung der Verarbeitung. Bei mehrsprachigen Feldern erscheinen ein kleiner KI-Assistent-Button und ein Übersetzungsindikator.

Ein Speichern-Button am unteren Rand sichert Ihre Eingaben. Nach dem ersten erfolgreichen Speichern leitet die Plattform Sie auf die DSFA-Detailseite weiter, sodass Sie den neuen Datensatz im Kontext sehen — und alle weiteren Tabs verfügbar werden.

Arbeiten mit dieser Seite

Eine brandneue DSFA von Grund auf anlegen

Der häufigste Anwendungsfall: Ein Projekt wurde Ihnen übergeben, das die "DSFA erforderlich"-Kriterien Ihres Unternehmens erfüllt, und Sie müssen die Akte eröffnen.

  • Status festlegen. Oben im Tab "Allgemein" sehen Sie einen farbigen Status-Indikator. Neue Datensätze stehen standardmäßig auf Entwurf — fast immer der richtige Startpunkt. Belassen Sie es bei "Entwurf", bis die Bewertung wirklich abgeschlossen ist. Klicken Sie auf den Indikator, um einen anderen Status zu wählen (z. B. einen kundenspezifischen Status, den Ihr Compliance-Team angelegt hat). Wichtig: Auf dieser Erstellungsseite wird der Status nur vorgemerkt — er wird erst beim Klick auf Speichern in die Datenbank geschrieben. (Auf der späteren Detailseite speichert der Status sofort — das Verhalten ist dort anders.)
  • Verantwortliche Personen zuweisen. Neben dem Status-Indikator finden Sie die Auswahl für verantwortliche Personen. Wählen Sie eine oder mehrere Kollegen aus dem Firmenverzeichnis. Damit erscheint die DSFA auf deren Dashboards und in deren Benachrichtigungen. Mindestens eine verantwortliche Person ist dringend zu empfehlen — andernfalls trägt offiziell niemand die Akte.
  • Geben Sie der DSFA einen aussagekräftigen Namen. Tragen Sie im Feld Name etwas Beschreibendes ein, z. B. DSFA – HR Analytics 2026 oder DSFA – Kunden-Treueprogramm. Dieser Name erscheint in der Übersichtsliste und in Querverweisen aus ROPA-, Asset-, Lieferanten- und anderen Bildschirmen. Das Feld ist mehrsprachig: Der KI-Übersetzen-Button neben dem Feld bietet — falls KI konfiguriert ist — an, den Namen in alle weiteren aktiven Sprachen Ihres Unternehmens zu übersetzen.
  • Verankern Sie die DSFA in einer Organisationseinheit. Wählen Sie die Abteilung oder Geschäftseinheit, die für die Verarbeitung verantwortlich ist — Personalwesen, Marketing, IT etc. In dieser Auswahl können Sie auch eine neue Einheit direkt anlegen. Die meisten Berichte und Dashboards filtern nach Organisationseinheit; eine DSFA ohne Zuordnung ist später schwer wiederzufinden.
  • Mit Klassifizierungen versehen. Die Mehrfachauswahl Klassifizierung greift auf die Tag-Liste DSFA-Klassifizierungen zu, die Ihr Compliance-Team pflegt. Typische Tags sind etwa "Hohes Risiko", "KI", "Drittstaatentransfer" oder "Daten Minderjähriger". Verwenden Sie alle zutreffenden Tags — sie steuern, wie die DSFA in der Übersicht gruppiert und gefiltert wird.
  • ROPA verknüpfen. Verwenden Sie die Suche Verknüpftes ROPA, um die DSFA mit einer oder mehreren Verarbeitungstätigkeiten aus Ihrem ROPA-Modul zu verbinden. Eine DSFA beschreibt fast immer die Risiken einer bestimmten Verarbeitungstätigkeit, und die Verknüpfung hier hält beide Datensätze für Audit- und Reportingzwecke verbunden. Mehrere Berichte und die Querverweis-Anzeigen auf ROPA-Detailseiten hängen von diesem Feld ab.
  • Notwendigkeit der DSFA festhalten. Erläutern Sie im Rich-Text-Bereich Notwendigkeit der DSFA feststellen, warum Sie diese Bewertung eröffnet haben. Das ist Ihre Vorab-Begründung: welche Kriterien aus Art. 35 Abs. 3 DSGVO greifen, welche der neun WP29-Kriterien erfüllt sind, der Projektkontext, wer die DSFA angefordert hat. Auditoren und Aufsichtsbehörden lesen diesen Abschnitt zuerst — formulieren Sie ihn klar und konkret.
  • Verarbeitung beschreiben. Im Rich-Text-Bereich Beschreibung der Verarbeitung füllen Sie die systematische Beschreibung gemäß Art. 35 Abs. 7 lit. a DSGVO aus — welche Daten erhoben werden, von wem, mit welchen Mitteln, zu welchen Zwecken, wer Zugriff hat, Speicherfristen und Weitergaben. Der KI-Assistent kann Ihnen einen ersten Entwurf erstellen, sofern KI aktiviert ist.
  • Klicken Sie auf Speichern. Die Plattform legt den Datensatz an und leitet Sie auf die Detailseite der DSFA unter einer neuen URL weiter. Ab jetzt sind alle weiteren Tabs aktiv und Sie können die Bewertung schrittweise vervollständigen.

Später die Interessenabwägung ergänzen

Die meisten Teams formulieren die Verhältnismäßigkeitsanalyse zunächst in einem separaten Dokument und fügen sie ein, sobald sie ausgereift ist.

  • Öffnen Sie aus der DSFA-Übersicht die gewünschte DSFA und klicken Sie im Detail-Header auf Bearbeiten. Sie landen wieder auf dieser Seite, mit dem bestehenden Datensatz geladen.
  • Wechseln Sie links auf den Tab Interessenabwägung.
  • Fügen Sie Ihre Verhältnismäßigkeitsanalyse in das Rich-Text-Feld ein. Wenn Ihr Unternehmen mehrere Sprachen verwendet, erstellen Sie mit dem KI-Übersetzen-Button die deutsche, französische usw. Fassung in einem Klick.
  • Klicken Sie auf Speichern. Die Seite bleibt auf demselben Tab, und der Titel lautet jetzt Interessenabwägung bearbeiten.

Risikobewertung einrichten

Die Risikobewertungs-Strecke (Schwellenwert, Risikoszenarien, Umgesetzte TOMs, Aktuelles Risiko bestimmen, Vorgeschlagene TOMs, Behandlungsplan) ist erst dann sinnvoll, wenn mindestens ein Standard mit der DSFA verknüpft wurde. Überspringen Sie den Schritt "Standards", erscheinen diese Tabs leer oder wenig hilfreich.

  • Öffnen Sie den Tab Standards und wählen Sie einen oder mehrere Risikostandards (z. B. den Datenschutzrisiko-Standard Ihres Unternehmens oder ein ISO-27005-basiertes Modell). Speichern Sie.
  • Gehen Sie die Tabs in dieser Reihenfolge durch:
  • Schwellenwert — legen Sie fest, ab welchem Risikoniveau ein Risiko für diese DSFA nicht mehr akzeptabel ist.
  • Risikoszenarien — verknüpfen Sie passende Szenarien aus Ihrer Szenariobibliothek (was bei der Verarbeitung schiefgehen könnte).
  • Umgesetzte TOMs — kennzeichnen Sie, welche technischen und organisatorischen Maßnahmen bereits vorhanden sind.
  • Aktuelles Risiko bestimmen — bewerten Sie Eintrittswahrscheinlichkeit und Schaden je Szenario; die Plattform zeigt das resultierende aktuelle Risikoniveau in einer farbigen Leiste an.
  • Vorgeschlagene TOMs — wählen Sie aus den Maßnahmen aus, die das System für noch über dem Schwellenwert liegende Szenarien vorschlägt.
  • Behandlungsplan — verfassen Sie den formalen Plan, speichern Sie ihn zwischen und finalisieren Sie ihn anschließend. Behandlungsplan ansehen zeigt den veröffentlichten Plan an, Frist anzeigen lässt Sie die Umsetzungsfrist setzen oder aktualisieren.

Aufgaben, Assessments, Assets und weiteren Kontext verknüpfen

Sobald die DSFA existiert, lassen sich über die Verknüpfungstabs (Aufgaben, Assessments, Assets) weitere DPMS-Inhalte anbinden:

  • Über Aufgaben delegieren Sie konkrete To-dos, die sich aus der Bewertung ergeben ("Datenschutzhinweis aktualisieren", "Konsultation mit Betriebsrat einplanen" etc.).
  • Über Assessments hängen Sie Stakeholder-Fragebögen an, die Sie versendet haben oder noch versenden möchten. Nach dem Speichern fragt DPMS gegebenenfalls, ob das Risiko der DSFA auf Basis der neuesten Antworten neu berechnet werden soll.
  • Über Assets verknüpfen Sie die IT-Systeme, Anwendungen und Datenbanken, die an der Verarbeitung beteiligt sind.

Klicken Sie im jeweiligen Tab auf die Header-Aktion, um Einträge aus dem entsprechenden Index auszuwählen, und speichern Sie.

Prüf- oder Revalidierungs-Workflow auslösen

Wenn die DSFA fertig entworfen ist und formell geprüft oder regelmäßig revalidiert werden soll:

  • Öffnen Sie den Tab Workflow-Übersicht.
  • Wählen Sie eine Workflow-Vorlage (z. B. DSFA-Jahresprüfung), konfigurieren Sie Prüfer und Auslöser und speichern Sie.
  • Anschließend zeigt der Tab Übersicht den aktuellen Schritt des aktiven Workflows. Während ein Workflow läuft, erscheint neben Speichern zusätzlich der Button Workflow abbrechen — verwenden Sie ihn nur, wenn Sie die laufende Prüfung wirklich abbrechen müssen. Die DSFA selbst bleibt bestehen; lediglich der Workflow stoppt.

Sichtbarkeit der DSFA einschränken

Wenn die DSFA sensible Themen abdeckt (z. B. eine HR-Untersuchung), öffnen Sie den Tab Zugriff verwalten. Dort wählen Sie, welche Zielgruppen und Einzelpersonen den Datensatz lesen oder bearbeiten dürfen. Beim Speichern wird die Zugriffsliste geschrieben und Sie kehren auf die DSFA-Detailseite zurück. Achtung: Konkret zugewiesene Zielgruppen überschreiben die Standard-Zugriffsregeln — Kollegen, die die DSFA bisher sehen konnten, verlieren möglicherweise den Zugriff.

Feldreferenz

  • Status — Lebenszyklusphase der DSFA. Neue Datensätze stehen standardmäßig auf Entwurf. Das Dropdown listet alle konfigurierten Status, einschließlich kundenspezifischer Werte. Auf dieser Seite werden Statusänderungen erst beim Klick auf Speichern übernommen.
  • Verantwortliche Personen — Ein oder mehrere Benutzerkonten, denen diese DSFA gehört. Steuert Benachrichtigungen, Dashboards und die Rolle "verantwortlich" im RASCI-Modell.
  • Name (Pflichtfeld) — Anzeigename der DSFA, mehrsprachig. Halten Sie ihn kurz und wiedererkennbar; er erscheint in Listen und Querverweisen überall.
  • Organisationseinheit — Abteilung oder Geschäftseinheit, die für die Verarbeitung verantwortlich ist. Sie können hier auch eine neue Einheit anlegen. Wird intensiv von Berichten und Filtern genutzt.
  • Klassifizierung — Mehrfachauswahl aus der Tag-Liste DSFA-Klassifizierungen (z. B. "Hohes Risiko", "KI"). Dient zur Gruppierung und Filterung. Die Auswahl ist leer, solange Ihr Compliance-Team keine Tags angelegt hat.
  • Verknüpftes ROPA — Die Verarbeitungstätigkeit(en), die diese DSFA abdeckt. Verknüpfungen hier machen die DSFA von ROPA-Detailseiten aus sichtbar und speisen mehrere Berichte.
  • Notwendigkeit der DSFA feststellen — Mehrsprachiges Rich-Text-Narrativ, das begründet, warum die DSFA ausgelöst wurde (Kriterien aus Art. 35 Abs. 3 DSGVO, Projektkontext, Anforderer).
  • Beschreibung der Verarbeitung — Die systematische Beschreibung gemäß Art. 35 Abs. 7 lit. a DSGVO — Daten, Quellen, Zwecke, Empfänger, Speicherfristen, Übermittlungen.

Wie diese Seite mit dem Rest von DPMS zusammenhängt

Diese Seite ist der erste Schritt eines langen Workflows:

  • Eingehend: Der Button Erstellen in der DSFA-Übersicht führt für neue Datensätze hierher. Der Button Bearbeiten auf jeder DSFA-Detailseite (sowie die diversen Verknüpfungen "Interessenabwägung bearbeiten", "Risikoszenarien bearbeiten" usw.) bringt Sie mit vorgeladenem Modell und passend ausgewähltem Tab hierher zurück. Wenn Sie aus dem Datenfluss der Assessments stammen, ist die Zurück-Schaltfläche schlau genug, Sie zu jenem Ausgangsbildschirm zurückzuführen — nicht in die DSFA-Liste.
  • Ausgehend: Sobald Sie eine brandneue DSFA speichern, werden Sie auf deren Detailseite (/dpia/detail/...) weitergeleitet. Von dort aus springen Sie in verknüpfte ROPAs, Aufgaben, Assets, Lieferanten, Behandlungspläne und Workflow-Status.
  • Abhängigkeiten: KI-Funktionen (KI-Assistent, automatische Übersetzung) funktionieren nur, wenn Ihr Administrator KI-Zugangsdaten an anderer Stelle konfiguriert hat. Organisationseinheiten, Klassifizierungs-Tags, Workflows und Zielgruppen müssen in den jeweiligen Einstellungsbereichen gepflegt werden — sonst sind die zugehörigen Auswahlfelder auf dieser Seite leer.

Nach dem Speichern des Tabs "Allgemein" sind die typischen nächsten Schritte: ROPA und Assets verknüpfen, zugehörige Assessments anhängen, Interessenabwägung formulieren, einen Standard verknüpfen und die Risikobewertung durchführen, den Behandlungsplan erstellen und schließlich einen Prüf-Workflow auslösen.

Tipps & häufige Stolperfallen

Achtung: Bei einer brandneuen DSFA sind alle Tabs außer "Allgemein" bewusst gesperrt. Die Plattform zwingt Sie, den Tab "Allgemein" zuerst zu speichern, damit die DSFA eine Datensatz-Kennung erhält — erst danach werden Interessenabwägung, Aufgaben, Standards und der Rest freigeschaltet. Wenn der Rest des Bildschirms "kaputt" oder unklickbar wirkt, füllen Sie zuerst "Allgemein" aus und speichern.
Tipp: Verknüpfen Sie immer einen Standard, bevor Sie die Risikoarbeit beginnen. Schwellenwert, Risikoszenarien, Umgesetzte TOMs, Aktuelles Risiko bestimmen, Vorgeschlagene TOMs und Behandlungsplan hängen alle vom gewählten Standard ab. Ohne ihn sind diese Tabs leer oder wenig sinnvoll.
  • Verknüpftes ROPA ist mehr als Zierde. Mehrere Berichte und Anzeigeelemente auf ROPA-Detailseiten hängen davon ab. Eine DSFA ohne verknüpftes ROPA erscheint nicht im Bereich "DSFAs zu dieser Verarbeitung" der entsprechenden ROPA.
  • Statusänderungen werden hier nicht automatisch gespeichert. Auf dieser Erstellungsseite wird die Änderung des Status oben in "Allgemein" lediglich vorgemerkt — übernommen wird sie erst beim Klick auf Speichern. (Auf der DSFA-Detailseite ist das Verhalten anders: Dort werden Statusänderungen sofort übernommen.) Verlassen Sie die Seite nicht in der Annahme, die Änderung sei bereits gespeichert.
  • Automatische Übersetzungen laufen im Hintergrund. Wenn Sie ein mehrsprachiges Feld nur in der Standardsprache bearbeiten und speichern, kann der Übersetzungsindikator ein paar Sekunden "übersetzt" anzeigen, bis die anderssprachigen Versionen asynchron aktualisiert sind. Wundern Sie sich nicht, wenn die übersetzten Texte erst auftauchen, nachdem Sie schon auf die Detailseite weitergeleitet wurden.
  • Zugriff verwalten überschreibt Standardregeln. Werden auf dem Tab "Zugriff verwalten" konkrete Zielgruppen zugewiesen, sehen Kollegen, die die DSFA zuvor sehen konnten, sie unter Umständen nicht mehr. Sprechen Sie sich vor dem Einschränken des Zugriffs mit der Rolle der betroffenen Person ab.
  • Einen Workflow abzubrechen ist nicht dasselbe, wie die DSFA abzubrechen. Der Button Workflow abbrechen stoppt nur die laufende Prüfung oder Revalidierung — die DSFA bleibt bestehen, und Sie können später über "Workflow-Übersicht" einen neuen Workflow auslösen.


Was this article helpful?

German
Powered by Product Fruits