VVT, DSFA/DPIA und DSMS technisch strukturieren

VVT: Was technisch wirklich hilft

• Systeme/Services klar benennen (nicht „IT“)
• Datenkategorien & Zweckbindung präzise
• Empfänger/Transfers (inkl. Drittland) nachvollziehbar
• Technische Kontrollen referenzieren (TOM-ID, Policy, CA Rule)

DSFA/DPIA: Trigger & Vorgehen

Wenn hohe Risiken wahrscheinlich sind (z. B. umfangreiche Überwachung, Profiling, besondere Kategorien), wird eine DSFA notwendig.

• Beschreibung der Verarbeitung + Datenflüsse
• Notwendigkeit/Verhältnismäßigkeit
• Risikobewertung (Eintritt x Impact)
• Maßnahmen & Residual Risk + Entscheidung

DSMS als „Betrieb“ statt Projekt

• Rollen: Verantwortlicher, IT, DSB, Fachbereiche
• Workflows: Request → Assessment → Freigabe → Review
• Kennzahlen: offene DSFA, AVV-Status, Löschfristen-Compliance
• Review-Zyklen: jährlich/bei Change

Evidence: Was man ablegen sollte

• Datenflussdiagramm (Text reicht – wenn klar)
• Entscheidungsprotokolle (warum DSFA ja/nein)
• Kontrolltests (z. B. Zugriff, Protokollierung, Löschung)
• Anpassungen nach Vorfall / Change