Häufige Fehler bei Datenschutz-Folgenabschätzungen, die SaaS-Teams immer noch machen

Datenschutz-Folgenabschätzungen scheitern meist nicht an fehlenden Vorlagen. Sie scheitern, weil Teams sie als spätes Rechtsdokument behandeln. Nach Artikel 35 DSGVO muss eine DSFA vor einer Verarbeitung stattfinden, die voraussichtlich ein hohes Risiko für Personen schafft. Sie soll Verarbeitung, Notwendigkeit, Verhältnismäßigkeit, Risiken und Maßnahmen dokumentieren.

Der erste Fehler ist ein zu später Start. Wenn Datenmodell, Anbieter, Zugriff, Retention und Produkttexte schon feststehen, wird die DSFA zur nachträglichen Rechtfertigung. Besser ist ein Trigger in der Produktplanung: neue Daten, Profiling, Monitoring, automatisierte Bewertung, neue Anbieter oder geänderte Löschung lösen ein Screening aus.

Der zweite Fehler ist ein uneinheitliches Screening. Teams sollten nicht raten, ob eine DSFA nötig ist. Ein kurzer Fragenkatalog zu sensiblen Daten, großen Datenmengen, systematischer Überwachung, neuen Technologien, neuen Empfängern und unerwarteter Kombination von Daten macht die Entscheidung wiederholbar.

Der dritte Fehler ist eine vage Beschreibung. "Analytics" oder "KI-Funktion" reicht nicht. Die DSFA muss Zweck, Datenkategorien, Betroffene, Systeme, Anbieter, Zugriffsrollen, Retention, Transfers und Nutzerinformationen benennen. Erst dann kann das Risiko sinnvoll bewertet werden.

Der vierte Fehler ist der Sprung direkt zu Security Controls. Verschlüsselung und Zugriffskontrollen sind wichtig, aber eine DSFA fragt auch, ob die Verarbeitung notwendig, verhältnismäßig, fair und transparent ist. Manchmal ist die beste Maßnahme weniger Daten, kürzere Retention oder ein engerer Zweck.

Der fünfte Fehler ist eine Risikobetrachtung nur aus Unternehmenssicht. Die DSFA muss aus Sicht der betroffenen Person fragen: Kann die Verarbeitung sensible Informationen offenlegen, unfair behandeln, falsche Scores erzeugen, unerwartete Überwachung schaffen oder Rechte erschweren?

Der sechste Fehler ist unklare Verantwortung. Eine DSFA braucht einen Owner und konkrete Owner für Maßnahmen. Wer beschränkt Zugriff? Wer ändert Retention? Wer aktualisiert die Datenschutzhinweise? Nicht zugewiesene Maßnahmen sind nur Absichten.

Der siebte Fehler ist das Kopieren alter Bewertungen. Struktur darf wiederverwendet werden, aber Schlussfolgerungen müssen neu geprüft werden, wenn Nutzergruppe, Datensatz, Anbieter, Markt, Zweck oder Risiko anders sind.

Der achte Fehler ist das Ausblenden von Anbietern und Integrationen. Support-Tools, CRM-Syncs, Data Warehouses, Analytics-Pipelines und KI-Anbieter können zentrale Risiken erzeugen, auch wenn die Produktoberfläche harmlos aussieht.

Der neunte Fehler ist ein schwacher Abschluss. Die DSFA muss sagen, ob die Verarbeitung starten darf, welche Maßnahmen vorher erledigt sein müssen, wer Restrisiko akzeptiert und wann die Bewertung überprüft wird.

FAQ

Wozu dient eine DSFA praktisch?

Sie erkennt risikoreiche Verarbeitung vor dem Start, reduziert Risiken für Personen und schafft nachvollziehbare Nachweise.

Wann gilt sie für SaaS-Teams?

Bei hohem Risiko, etwa durch sensible Daten, Profiling, automatisierte Entscheidungen, systematisches Monitoring, KI-Workflows oder unerwartete Datenkombinationen.

Was jetzt zu tun ist

• Ergänzen Sie DSFA-Trigger in Produktplanung, Vendor Intake, Security Review und Launch Readiness.
• Prüfen Sie eine aktuelle risikoreiche Funktion auf Beschreibung, Maßnahmen, Nachweise und Restrisikoentscheidung.
• Weisen Sie für jede offene DSFA-Maßnahme einen Owner zu.