Help Center
News
Help Center
News
Sign in
Dokumentieren
Dokumente und RichtlinienFragebögenTechnische- und Organisatorische Massnahmen (TOMs)BerichteVerzeichnis der AssetsFrameworksVerzeichnis der Verarbeitungstätigkeiten (VVT)Verzeichnis der Verarbeitungstätigkeiten als Excel-Datei exportierenLieferantenFolgenabschätzungenDokumentation Ihres berechtigten InteressesMeetings und AktivitätenAufbewahrungs- und Löschfristen Datenerhebungspunkte (DEP)Dokumente zu Lieferanten hinzufügen
Datenschutz-Folgenabschätzung (DPIA)
Assessments
Verarbeitungstätigkeiten (ROPA)
Assets
Internationale Standards & Rahmenwerke
TOMs & Kontrollen
Kategorien & Attribute
Datenerhebungspunkte
Rechtsgrundlage
Berechtigtes Interesse
Dokumente & Richtlinien
Aufbewahrung & Löschung
Datenfluss
Lieferanten
Fragebögen
Verwalten
Prozessrisiko ÜbersichtData flow
Dashboards
KI-Unterstützung & Automatisierung
Projekte
Aufgaben
Besprechungen & Aktivitäten
Workflows & Automatisierungen
Berichte
Reagieren & Lösen
AufgabenProjekteEreignisse und VorfälleBetroffenenrechte
Risikoszenarien & Behandlungen
Vorfälle & Datenpannen
Versionshinweise
Q2 2026
Q1 2026
Q4 2025
Q3 2025
Q2 2025
Q1 2025
Q4 2024
Q3 2024
Q2 2024
Q1 2024
Q4 2023
Q3 2023
Q2 2023
Q1 2023
Q4 2022
Q3 2022
Erste Schritte
Anleitung zum EinstiegFragebögenAufgabenProzessrisiko ÜbersichtIT Einstellungen FrameworksDas Risikomodell für Informationssicherheit / AssetsBetroffenenrechteDownload von ElementenDokumentation Ihres berechtigten InteressesZugang von Gruppen auf ElementeDokumente und RichtlinienTechnische- und Organisatorische Massnahmen (TOMs)Compliance EinstellungenErstellen von passenden Attributen für Ihre BrancheDokumentenliste für das OnboardingDas DatenschutzrisikomodellEreignisse und VorfälleProjekteGruppenverwaltungDokumente zu Lieferanten hinzufügenAnleitung zum Beantworten von Assessments (Fragebögen)Einrichtung der ersten Organisation oder des ersten UnternehmensDatenerhebungspunkte (DEP)Elemente erstellen mittels AIRisko Modelle in Allgemeinen EinstellungenTeilen von ElementenWie kann ein Benutzer die Sprache ändern?Data flowVerzeichnis der Verarbeitungstätigkeiten (VVT)Time machineAssessments erstellen und auswerten Company Widget FeatureVerzeichnis der AssetsLieferantenFolgenabschätzungenOrganisatorische Einheiten erstellenVerzeichnis der Verarbeitungstätigkeiten als Excel-Datei exportierenMeetings und AktivitätenBegriffe der rechtmässigen VerarbeitungAufbewahrungs- und Löschfristen Anlegen von neuen Benutzer:innen und Ändern des Passworts für die AnmeldungBerichteDas ReifegradmodellHinzufügen von Risikoszenarien zu Assets oder Asset-GruppenRelevante RiskoszenarienÜbersicht der Priverion GRC PlattformDokumentenliste für das OnboardingWie kann ein Benutzer die Sprache ändern?Einrichtung der ersten Organisation oder des ersten UnternehmensErstellen von passenden Attributen für Ihre Branche
Benutzerkonto
Teilen und Gruppenfunktionen
Features
Anleitungen & Tipps
Unterstützung erhalten
Einstellungen
Allgemeine Einstellungen
Compliance-Einstellungen
Identitäts- und Zugriffsverwaltung
IT Einstellungen
Risiko Einstellungen

Folgenabschätzungen

Datenschutzbeauftragte, Compliance-Verantwortliche und Risikomanager nutzen den Bereich „Folgenabschätzungen", um jede nach Artikel 35 DSGVO erforderliche DSFA zu erstellen, zu verfolgen und formal abzuzeichnen – von der ersten Bedarfsidentifikation über die Risikobewertung und Behandlungsplanung bis hin zur endgültigen Freigabe.

Der Bereich „Folgenabschätzungen" ist der zentrale Arbeitsbereich für die Verwaltung von Datenschutz-Folgenabschätzungen (DSFA) in DPMS. Wenn Ihre Organisation eine Verarbeitungstätigkeit plant oder bereits durchführt, bei der ein hohes Risiko für die Rechte und Freiheiten betroffener Personen besteht, dokumentieren Sie hier die rechtliche Begründung, bewerten die Risikoszenarien, erfassen die eingesetzten Schutzmaßnahmen und holen die formale Genehmigung ein. Der Bereich wird täglich von DSBs genutzt, die DSFAs durch ihren Lebenszyklus steuern, von Risikomanagern, die Eintrittswahrscheinlichkeit und Schwere bewerten, sowie von Compliance-Verantwortlichen und Prüfern, die eine lückenlose Nachweiskette benötigen. DSFAs in DPMS stehen nicht isoliert: Sie beziehen Kontext aus dem Verzeichnis der Verarbeitungstätigkeiten (VVT), verweisen auf das Asset-Register für die betroffenen Systeme, nutzen die Risikoeinstellungen für Bewertungsschwellenwerte und speisen Ergebnisse in den Workflow-Bereich für strukturierte Prüf- und Freigabeprozesse ein.

Wo Sie den Bereich finden

Navigieren Sie in der linken Seitenleiste zum Abschnitt Datenschutz und klicken Sie auf Folgenabschätzungen.

Sie benötigen mindestens Lesezugriff auf Folgenabschätzungen, um die Liste sehen zu können. Benutzer mit vollständigem Lesezugriff sehen alle DSFAs; Benutzer mit eingeschränktem Eigentümerzugriff sehen nur die ihnen zugewiesenen Datensätze. Wenn Sie eine „403 Forbidden"-Seite sehen, wenden Sie sich an Ihren DPMS-Administrator und bitten Sie um die entsprechenden Zugriffsrechte.

Was Sie sehen

Der Bereich besteht aus zwei Hauptbereichen: der Indexliste (dem Ausgangspunkt) und der Detailansicht (wo die eigentliche Arbeit stattfindet).

In der Indexliste sehen Sie eine Tabelle aller DSFA-Datensätze. Über der Tabelle befindet sich eine Reihe von Statusfilter-Tabs – Alle, Aktiv, Entwurf, Inaktiv und Überprüfung –, mit denen Sie die Liste sofort auf die gewünschte Lebenszyklusphase einschränken können. Eine Suchleiste ermöglicht die schnelle Suche nach einer bestimmten DSFA anhand des Namens, und Spaltenfilter ermöglichen die Eingrenzung nach Klassifizierung, Risikobewertung oder Organisationseinheit. In der oberen rechten Ecke befinden sich eine Schaltfläche Erstellen für neue DSFAs sowie Export-Schaltflächen (XLSX und JSON) zum Herunterladen der aktuell gefilterten Liste.

Wenn Sie einen DSFA-Datensatz öffnen, teilt sich das Layout in einen einklappbaren linken Navigationsbaum und einen Hauptinhaltsbereich auf. Der Navigationsbaum listet alle Abschnitte der DSFA auf – Allgemein, Konsultation, Interessenabwägung, Aufgaben, Assessments, Assets, Risiko (mit eigenem Untermenü) und Workflows. Eine fixierte Kopfzeile verläuft über dem Inhaltsbereich und bleibt sichtbar, egal wie weit Sie scrollen; sie zeigt die verantwortliche Person, den Status, die Priorität und die wichtigsten Aktionsschaltflächen.

So arbeiten Sie in diesem Bereich

Eine neue DSFA anlegen

Wenn Ihre Organisation eine Verarbeitungstätigkeit identifiziert, die eine formale Folgenabschätzung erfordert – etwa ein KI-gestütztes Recruiting-Tool, ein groß angelegtes Gesundheitsdatenprogramm oder die systematische Überwachung von Mitarbeitenden –, beginnen Sie hier.

Klicken Sie auf der Indexseite oben rechts auf Erstellen. Ein kleines Menü öffnet sich; wählen Sie Folgenabschätzung erstellen. Sie gelangen zum allgemeinen Erstellungsformular.

Geben Sie einen Namen ein – dies ist das einzige Pflichtfeld, seien Sie daher beschreibend (zum Beispiel „KI-gestützte Bewerbungsauswahl – Recruiting"). Wählen Sie die Organisationseinheit, die für die Verarbeitung verantwortlich ist, und wählen Sie optional eine oder mehrere Klassifizierungstags, um die DSFA später leichter filtern zu können. Das wichtigste optionale Feld ist Verknüpftes VVT: Nutzen Sie das durchsuchbare Dropdown, um diese DSFA mit dem entsprechenden Eintrag im Verzeichnis der Verarbeitungstätigkeiten zu verbinden. Dadurch entsteht eine nachvollziehbare Verbindung zwischen Ihrem Verarbeitungsregister und der formalen Bewertung – etwas, das Prüfer erwarten werden. Lassen Sie den Status vorerst auf „Entwurf".

Füllen Sie in den beiden Langtextfeldern – Notwendigkeit der DSFA und Beschreibung der Verarbeitung – die Begründung aus, warum diese Verarbeitung Artikel 35 DSGVO auslöst, und beschreiben Sie, was die Verarbeitung konkret umfasst. Wenn in Ihrer Organisation KI-Zugangsdaten konfiguriert sind, können Sie die Schaltfläche KI in der fixierten Kopfzeile nutzen, um einen Entwurfstext generieren zu lassen und ihn anschließend zu verfeinern.

Klicken Sie auf Speichern. DPMS leitet Sie zur Detailansicht der neuen DSFA weiter, Registerkarte „Allgemein". Von hier aus können Sie alle weiteren Abschnitte befüllen.

Eine bestehende DSFA prüfen und weiterleiten

Vor einer Prüfung oder einem geplanten Überprüfungszyklus müssen Compliance-Verantwortliche typischerweise eine Reihe von DSFAs durcharbeiten, den Inhalt prüfen und sie auf den Status „Aktiv" setzen.

Beginnen Sie auf der Indexseite und klicken Sie auf den Tab Überprüfung, um die Liste auf DSFAs im formalen Überprüfungsstatus einzuschränken. Klicken Sie auf eine Zeile, um die Detailansicht zu öffnen.

Arbeiten Sie die Tabs im linken Navigationsbaum durch. Auf der Registerkarte Allgemein überprüfen Sie Name, verknüpftes VVT und Beschreibung der Verarbeitung. Wenn Sie über Bearbeitungsrechte verfügen und den Beschreibungstext aktualisieren möchten, klicken Sie direkt in den Textblock „Notwendigkeit der DSFA" oder „Beschreibung der Verarbeitung" – diese werden ohne separates Formular als Inline-Rich-Text-Editoren aktiviert. Prüfen Sie auf der Registerkarte Interessenabwägung, ob der Text zur berechtigten Interessenabwägung vollständig ist, sofern die Verarbeitung auf dieser Rechtsgrundlage beruht.

Sehen Sie sich anschließend das Risikobild an. Klicken Sie im linken Navigationsbaum auf Risiko und arbeiten Sie die standardspezifischen Unter-Tabs durch, die erscheinen. Der Unter-Tab Risikoszenarien listet die identifizierten Bedrohungspfade auf; der Unter-Tab Umgesetzte TOMs zeigt, welche technischen und organisatorischen Maßnahmen angewendet wurden; der Unter-Tab Aktuelles Risiko zeigt den Restrisikwert nach Anwendung dieser Maßnahmen.

Wenn das Restrisiko akzeptabel ist und der Workflow abgeschlossen wurde, ändern Sie in der fixierten Kopfzeile das Status-Dropdown von „Überprüfung" auf „Aktiv". DPMS speichert die Änderung sofort. Die DSFA ist nun formal aktiv und erscheint als genehmigter Nachweis in Prüfungsexporten.

Achtung: Die Änderung des Status-Dropdowns ist eine direkte Datensatzaktualisierung – sie schließt keinen Workflow ab und löst keinen neuen aus. Beenden Sie immer zuerst den formalen Prüfzyklus im Tab Workflows, bevor Sie eine DSFA auf „Aktiv" setzen.

Mit Risikoszenarien und TOMs arbeiten

Risikomanager steigen typischerweise in eine DSFA ein, nachdem der DSB den Grunddatensatz angelegt hat, und müssen das Risiko im Detail bewerten.

Öffnen Sie die DSFA-Detailansicht und klicken Sie im linken Navigationsbaum auf Risiko. Wenn das Untermenü keine aufklappbaren Einträge zeigt, wurden für diese DSFA noch keine Risikstandards verknüpft – wechseln Sie in die Bearbeitungsansicht, fügen Sie einen Standard im entsprechenden Abschnitt hinzu und kehren Sie dann zurück.

Sobald ein Standard verknüpft ist, klicken Sie auf seinen Namen im Untermenü, um die Unter-Tabs aufzuklappen. Beginnen Sie mit Risikoszenarien: Hier können Sie bestehende Szenarien aus dem Risikoszenario-Register verknüpfen oder neue erstellen. Jedes Szenario erfasst eine spezifische Bedrohung (beispielsweise „Datenpanne über einen Auftragsverarbeiter") mit einer Eintrittswahrscheinlichkeit und einem Schweregrad. Die Kombination ergibt einen Risikoscore gemäß dem in den Risikoeinstellungen konfigurierten Schwellenwert.

Wechseln Sie zu Umgesetzte TOMs, um zu erfassen, welche Schutzmaßnahmen bereits implementiert sind. Sie können bestehende TOMs aus dem TOM-Register verknüpfen (etwa einen Auftragsverarbeitungsvertrag oder eine Verschlüsselungsrichtlinie) oder mit der Aktion Alle relevanten TOMs umsetzen Maßnahmen in einem Schritt zuweisen – diese Option ist nur verfügbar, wenn kein Hintergrund-Risikoneuberechnungsjob läuft. Nachdem Sie TOMs verknüpft haben, wechseln Sie zu Aktuelles Risiko, um den aktualisierten Restsikrowert zu sehen. Liegt er unter dem Akzeptanzschwellenwert, ist die Arbeit für diesen Standard abgeschlossen. Falls nicht, wechseln Sie zu Behandlungsoptionen, um eine Behandlungsstrategie zu wählen (Mindern, Akzeptieren, Übertragen oder Vermeiden), und dokumentieren Sie die Details im Unter-Tab Behandlungsplan.

Einen formalen Prüf- und Freigabe-Workflow durchführen

Wenn eine DSFA zur formalen Genehmigung bereit ist – beispielsweise bevor eine neue Verarbeitungstätigkeit startet –, starten Sie einen Workflow, um Prüfer zuzuweisen, Genehmigungen einzuholen und einen dokumentierten Prüfpfad zu erstellen.

Öffnen Sie die DSFA-Detailansicht und klicken Sie im linken Navigationsbaum auf Workflows. Der Unter-Tab Übersicht zeigt alle mit dieser DSFA verknüpften Workflow-Instanzen. Um einen neuen Zyklus zu starten, wechseln Sie in die Bearbeitungsansicht (klicken Sie auf Bearbeiten in der fixierten Kopfzeile) und verwenden Sie den Workflow-Auslöser-Bereich, um eine Workflow-Vorlage auszuwählen und die Prüfung zu starten. Dafür benötigen Sie die Workflow-Zuweisung-Berechtigung.

Sobald der Workflow läuft, erhalten Prüfer E-Mail-Benachrichtigungen mit einem direkten Link zum Unter-Tab Erforderliche Aktion der DSFA, wo sie nur die Schritte sehen, die ihre Eingabe erfordern – beispielsweise eine Schaltfläche zur Genehmigung oder Ablehnung der DSFA in dieser Phase.

Als DSB oder Compliance-Verantwortlicher, der den Prozess überwacht, können Sie den Fortschritt im Tab Workflows verfolgen: Die Tabelle zeigt jede Workflow-Instanz, ihren aktuellen Status, die zugewiesenen Prüfer und das Datum der letzten Aktualisierung.

Änderungen mit dem Aktivitätsprotokoll nachverfolgen

Prüfer und DSBs müssen häufig nicht nur nachweisen, was eine DSFA aktuell enthält, sondern auch, was sich wann geändert hat. Jede DSFA verfügt über einen vollständigen integrierten Prüfpfad.

Öffnen Sie die DSFA-Detailansicht und klicken Sie auf das Uhr-Symbol (Aktivitätsprotokoll) oben rechts im Inhaltsbereich – es befindet sich direkt neben der Breadcrumb-Zeile. Ein Panel gleitet von rechts ein und zeigt eine zeitgestempelte Liste aller an diesem Datensatz vorgenommenen Änderungen: Feldbearbeitungen, Statusübergänge, Änderungen der verantwortlichen Person und den Namen des Benutzers, der jede Änderung vorgenommen hat. Sie können die relevanten Einträge für Ihren Prüfbericht kopieren oder als Screenshot sichern. Schließen Sie das Panel durch Klicken auf das X oder durch Klicken außerhalb des Panels.

Tipp: Die Schaltfläche für das Aktivitätsprotokoll ist bei DSFAs ausgeblendet, die mit einer anderen Organisation geteilt wurden oder im Konsultationsmodus betrachtet werden. Wenn Sie sie nicht finden können, prüfen Sie, ob es sich um einen geteilten Datensatz handelt.

Feldreferenz

Name — Der beschreibende Titel der DSFA. Pflichtfeld. Unterstützt mehrere Sprachen; DPMS kann bei konfigurierter KI automatisch übersetzen.

Organisationseinheit — Die für die Verarbeitungstätigkeit verantwortliche Geschäftseinheit. Optional, aber für Filterung und Reporting empfohlen. Eine neue Einheit kann direkt im Dropdown angelegt werden.

Klassifizierung — Eine oder mehrere Tags zur Kategorisierung der DSFA (z. B. „KI-Verarbeitung", „Gesundheitsdaten"). Optional; Tags werden in den Compliance-Einstellungen verwaltet.

Verknüpftes VVT — Ein oder mehrere Einträge aus dem Verzeichnis der Verarbeitungstätigkeiten, die die zu bewertende Verarbeitung beschreiben. Optional im Formular, aber dringend empfohlen: Ohne diese Verknüpfung fehlt in Prüfungsexporten der nachvollziehbare Zusammenhang zwischen Verarbeitungsregister und DSFA.

Notwendigkeit der DSFA — Ein Freitextfeld zur Begründung, warum diese Verarbeitung die Schwelle für eine formale DSFA nach Artikel 35 DSGVO erfüllt. Auf Formularebene optional, aber für eine rechtlich vollständige DSFA unverzichtbar. Unterstützt Rich-Text und KI-gestützte Texterstellung.

Beschreibung der Verarbeitung — Ein Freitextfeld, das beschreibt, was die Verarbeitung konkret umfasst: Datenkategorien, betroffene Personen, Zwecke, Empfänger und Übermittlungen. Unterstützt Rich-Text und KI-gestützte Texterstellung.

Verantwortliche Person(en) — Die für diese DSFA zuständigen DPMS-Benutzer. Wird in der fixierten Kopfzeile verwaltet. Optional; mehrere Personen können zugewiesen werden.

Status — Die Lebenszyklusphase: Entwurf, Aktiv, Inaktiv, Überprüfung oder ein in den Compliance-Einstellungen konfigurierter benutzerdefinierter Status. Standardmäßig „Entwurf" bei der Erstellung eines neuen Datensatzes (oder der erste konfigurierte benutzerdefinierte Status).

Priorität — Die Dringlichkeitsstufe für diese DSFA. Wird in der fixierten Kopfzeile verwaltet. Optional; nur sichtbar, wenn Prioritäten in Ihrer Konfiguration aktiviert sind.

Verknüpfung mit anderen DPMS-Bereichen

DSFAs befinden sich am Schnittpunkt mehrerer DPMS-Module. Das Feld Verknüpftes VVT verbindet jede DSFA mit dem Verarbeitungsregister, sodass ein Klick von beiden Seiten zum jeweils anderen Datensatz führt. Der Tab Assets verknüpft mit dem Asset-Register und dokumentiert, welche Systeme im Scope sind. Die Risiko-Unter-Tabs sind mit dem Risikoeinstellungen-Modul verbunden – Schwellenwerte, Wahrscheinlichkeitsskalen und Schweregradskalen stammen von dort. Der Tab Workflows setzt voraus, dass im Workflow-Einstellungen-Modul Workflow-Vorlagen konfiguriert wurden; ohne Vorlagen kann kein Prüfzyklus gestartet werden.

Sobald eine DSFA auf „Aktiv" gesetzt ist, steht sie als Nachweis in Prüfungsberichten und im Compliance-Dashboard zur Verfügung. Risikobewertungen aus DSFAs fließen in die Gesamtrisikoübersicht der Organisation ein. Wenn Sie eine DSFA mit einem VVT-Eintrag verknüpfen, zeigt die Detailansicht des VVT die verknüpfte DSFA in ihrem eigenen Abschnitt „Verknüpfte DSFAs". Nach Abschluss einer DSFA empfiehlt sich als nächster Schritt: Stellen Sie sicher, dass der Behandlungsplan dokumentiert und Verantwortlichen zugewiesen ist, verknüpfen oder erstellen Sie relevante Aufgaben zur Nachverfolgung der Maßnahmen, und bestätigen Sie, dass die Konsultationsprozess-Datensätze vollständig sind, sofern eine Konsultation mit einer Aufsichtsbehörde oder einem Stakeholder erforderlich war.

Tipps und häufige Fallstricke

Achtung: Wenn Sie den Status-Dropdown manuell auf „Aktiv" setzen, umgehen Sie den Workflow. Schließen Sie immer zuerst den formalen Genehmigungszyklus im Tab „Workflows" ab – dann erst aktualisieren Sie den Status.
Tipp: Verknüpfen Sie immer mindestens einen VVT-Eintrag, bevor Sie eine DSFA auf „Aktiv" setzen. Das Namensfeld ist ein Pflichtfeld, das verknüpfte VVT ist optional – Prüfer werden jedoch erwarten, dass der Zusammenhang zwischen Verarbeitungsregister und formaler Bewertung nachweisbar ist.
  • Leerer Risiko-Tab? Wenn der Risiko-Bereich keine Untermenüs zeigt, wurde für diese DSFA noch kein Risikostandard hinterlegt. Wechseln Sie in die Bearbeitungsansicht, fügen Sie einen Standard hinzu und kehren Sie dann zum Risiko-Tab zurück.
  • Schaltfläche „Umgesetzte TOMs" oder „Bearbeiten" ausgegraut? Möglicherweise läuft gerade ein Hintergrund-Risikoneuberechnungsjob. Warten Sie einige Minuten und laden Sie die Seite neu – die Steuerelemente werden automatisch wieder aktiviert, sobald der Job abgeschlossen ist.
  • Die ‹ ›-Navigationspfeile verwenden den Filter, den Sie beim Öffnen des Datensatzes hatten. Wenn Sie von einer nach „Entwurf" gefilterten Liste gekommen sind, blättern die Pfeile nur durch Entwurfs-Datensätze. Wenn jemand den Filter in einem anderen Tab ändert, kann sich die Reihenfolge unerwartet verschieben.
  • Benutzerdefinierte Status müssen zuerst eingerichtet werden. Wenn das Status-Dropdown nur Entwurf, Aktiv, Inaktiv und Überprüfung anzeigt, wurden noch keine benutzerdefinierten Status konfiguriert. Gehen Sie zu Compliance-Einstellungen → Status und legen Sie diese dort an.
  • Die Import-Option erfordert eine spezifische Berechtigung. Die Option Importieren im Erstellen-Menü ist nur für Benutzer sichtbar, die über die Import-Berechtigung für DSFAs verfügen. Wenn eine Kollegin oder ein Kollege diese Option nicht sieht, sollte ein Administrator die Rollenzuweisung prüfen.


Was this article helpful?

German
Powered by Product Fruits