Willkommen im Intric Support Center
Sicherheit & Compliance
DSFA
Schritt-für-Schritt-Anleitung

Schritt-für-Schritt-Anleitung

Diese interaktive Anleitung soll den DSFA-Prozess so einfach und klar wie möglich machen. Der Prozess wird in der Regel in den ersten Projektphasen durchgeführt und lässt auch Zeit für die abschließende Prüfung durch deinen Datenschutzbeauftragten. Der Prozess ist in 6 klare Schritte unterteilt. In jedem Schritt geht es darum, was du tun musst und welches Material du von Intric erhältst, um weiterzukommen.

Die Anleitung wird von Intrics DSFA-Assistent unterstützt, der dich mit unterstützenden Fragen, Diskussionsmaterial und Beispieltexten für jeden Schritt begleitet. Der Assistent ist in der Arena-Bibliothek verfügbar.

Klicke auf einen Schritt, um mehr zu lesen.

Zweck

Damit die DSFA-Arbeit wirksam ist, müssen von Anfang an die richtigen Personen einbezogen werden. Der Datenschutzbeauftragte muss gesetzlich Teil des Prozesses sein. Sowohl die schwedische Datenschutzbehörde (IMY) als auch der EDPB betonen, dass eine frühe Einbindung zu bevorzugen ist.

In diesem Schritt wirst du:

  • Verstehen, welche Vorlage und Struktur für deine Organisation gelten
  • Klare Grenzen setzen für das, was bewertet werden soll
  • Bestehende Dokumentation erfassen
  • Die richtigen Personen von Anfang an einbeziehen

Was du tun musst

Kick-off-Meeting planen
Vereinbare ein Kick-off-Meeting mit deinem Datenschutzbeauftragten (DSB) und anderen relevanten Vertreterinnen und Vertretern deiner Organisation, in Einklang mit deinen bestehenden Prozessen. Dazu können Verantwortliche für Informationssicherheit, IT und Fachbereiche gehören.

Interne Dokumente und Verfahren prüfen
Prüfe, ob ihr eine eigene DSFA-Vorlage habt oder die Vorlage von IMY oder SKR nutzt. In dieser Phase ist es auch sinnvoll, Informationssicherheitsrichtlinien, Dokumentenmanagementpläne und ggf. KI-Richtlinien anzuschauen.

Deinen Zweck definieren
Skizziere, welche Abteilungen Intric nutzen werden, wie viele Nutzer einbezogen sind und was deine Hauptanwendungsfälle und zu lösenden Probleme sind.

Schritt 1 in Intrics DSFA-Assistent abschließen
Unser interaktiver Assistent führt dich durch die Vorbereitungsschritte und hilft dir, die Arbeit zu strukturieren.

Was Intric bereitstellt

Zum Einstieg geben wir dir Zugang zu unserem Basis-Vertragspaket und Sicherheitsmaterial:

  • DSFA-Assistent zur Unterstützung der Vorbereitung
  • Beispiel-Zweckbeschreibungen aus verschiedenen Geschäftsbereichen
  • 🔍 Anhang 1 und 2 – Unterstützungsmaterial für deinen AVV: AVV-Vorlage

Zweck

In diesem Schritt bildest du den vollständigen Datenlebenszyklus ab. Wichtig ist die Unterscheidung zwischen den technischen Funktionen des Systems und deinem konkreten Inhalt.

Was du tun musst

Ein praktischer Ansatz ist eine einfache Übung in drei Teilen:

1. Den Zweck beschreiben
Warum wird das System genutzt und was soll damit erreicht werden?

2. Prozesse und Inhalte beschreiben
Wie läuft der Prozess in Intric ab? Was werden die KI-Assistenten tun, und welche konkreten Dokumente oder Informationstypen werden hochgeladen, um den Zweck zu erfüllen?

3. Personenbezogene Daten identifizieren
Aus den Informationen in Schritt 2 kannst du ableiten und dokumentieren:

  • a) Wessen Daten werden verarbeitet? (Nur Beschäftigte oder auch Kundinnen und Kunden bzw. in deinen Dokumenten erwähnte Personen?)
  • b) Welche Arten personenbezogener Daten sind betroffen? (z. B. Namen, E-Mail-Adressen oder sogar besondere Kategorien wie Gesundheitsdaten oder Gewerkschaftszugehörigkeit?)

Dein internes technisches Setup beschreiben
Da Intric die externe Plattform und Infrastruktur (Server, KI-Modelle usw.) bereitstellt, musst du in der Regel nur die Technologie beschreiben, die ihr intern für die Nutzung einsetzt. Dazu gehören meist:

  • Identität und Anmeldung: Deine SSO-Lösung (z. B. Microsoft Entra ID oder Google Workspace), integriert zur Steuerung von Zugriff und Berechtigungen
  • Clients und Hardware: z. B. dass auf das System über die verwalteten Computer oder Mobilgeräte der Organisation zugegriffen wird
  • Netzwerk: z. B. ob eine Anforderung besteht, im Netz der Organisation oder per VPN zu sein, um sich anzumelden

Was Intric bereitstellt

Wir füllen die technischen Details zum System und unserer Infrastruktur aus. Du erhältst von uns fertige Texte zu:

  • Beispielformulierungen für Zweck und Ziele aus früheren DSFAs
  • Systemüberblick und Datenfluss: Fertige Beschreibungen und Flussdiagramme, die zeigen, wie das System Nutzer, Suchanfragen und Dokumente verarbeitet
🔍 Systemarchitektur und technische Übersicht: Systemarchitektur und technische Übersicht
  • Geografische Speicherung: Wir legen genau fest, in welchem Land und in welchen Rechenzentren deine Daten gespeichert werden
  • Liste der Unterauftragsverarbeiter: Eine vollständige Liste unserer Unterauftragsverarbeiter, wo sie sitzen, welche Daten sie verarbeiten und warum
🔍 AVV und Liste der Unterauftragsverarbeiter: AVV-Vorlage

Zweck

In diesem Schritt geht es darum, formell sicherzustellen, dass du eine Rechtsgrundlage für die Verarbeitung hast und die wesentlichen Datenschutzgrundsätze erfüllt sind:

  • Die Verarbeitung ist verhältnismäßig zum Zweck
  • Daten werden nur für diesen spezifischen Zweck genutzt
  • Daten werden minimiert und gemäß deinen Regeln aufbewahrt
  • Betroffenenrechte können erfüllt werden

Das ist oft einfacher, als es klingt – du hast vermutlich bereits ähnliche rechtliche Bewertungen vorgenommen und eine Rechtsgrundlage für deine anderen IT-Werkzeuge oder bestehenden Workflows. Es geht meist darum, dich mit deinem Datenschutzbeauftragten abzustimmen, damit du dieselbe Argumentation auf deine Intric-Nutzung anwenden kannst.

Was du tun musst

Rechtsgrundlage dokumentieren
Für jede Art der Verarbeitung (z. B. Anmeldung vs. Dokumenteninhalt) musst du eine Rechtsgrundlage nach der DSGVO angeben (z. B. Öffentliches Interesse oder Berechtigtes Interesse).

Aufbewahrungs- und Löschregeln definieren (Speicherminimierung)
Lege fest, wie lange Daten aufbewahrt werden und wer für die Entfernung alter Dokumente verantwortlich ist.

Verfahren für Betroffenenrechte definieren
Beschreibe deinen internen Prozess, wie ein Nutzer eine Kopie seiner Daten, Berichtigung oder Löschung beantragen kann.

Was Intric bereitstellt

Wir zeigen, dass die Plattform die Anforderungen der DSGVO technisch erfüllt:

  • Technische Maßnahmen zur Minimierung: Wir beschreiben, wie unsere Plattform rollenbasierte Zugriffskontrolle (RBAC) unterstützt, sodass Nutzer nur Daten sehen, zu denen sie berechtigt sind
🔍 RBAC und Zugriffskontrolle: Rollenbasierte Zugriffskontrolle (RBAC)
  • Technische Unterstützung für Betroffenenrechte: Anleitungen, wie du Nutzerdaten exportierst oder eine vollständige Löschung der Nutzerhistorie in der Plattform durchführst
🔍 Datenverarbeitung: Export, Löschung und automatische Löschung: Datenverarbeitung: Export, Löschung und automatische Löschung
  • Technische Unterstützung für die Löschung: Anleitungen, wie du die Plattform so konfigurierst, dass Daten (z. B. Assistenten-Verlauf) automatisch nach einer festgelegten Frist entfernt werden
🔍 Aufbewahrung und Löschung konfigurieren: Datenverarbeitung: Export, Löschung und automatische Löschung
  • Informationen zu internationalen Übermittlungen: Wir klären, ob Daten (z. B. bei KI-Verarbeitung) die EU/den EWR verlassen, in welche Länder, und welche rechtlichen Übermittlungsmechanismen (z. B. SCCs) und Garantien gelten

Zweck

Die DSGVO verlangt, dass Risiken bevor das System in Betrieb genommen wird bewertet werden. Wichtig: Risiken hängen unmittelbar damit zusammen, wie du das System nutzt und welche Art von Informationen du verarbeitest.

Konzentriere dich bei der Risikobewertung auf die Auswirkungen auf Betroffene (nicht auf Betriebsrisiken für deine Organisation). Risiken lassen sich grob danach gruppieren, wie sie die Rechte und die Datensicherheit von Personen betreffen:

  • Unbefugter Zugriff oder Offenlegung (Vertraulichkeit): Eine unberechtigte Person erlangt Zugang zu personenbezogenen Daten, z. B. durch fehlerhafte Berechtigungen oder einen Datenschutzverstoß
  • Zweckentfremdung und Missbrauch: Das System oder die Daten werden für etwas anderes als den ursprünglich vorgesehenen Zweck genutzt
  • Verlust oder Manipulation von Daten (Integrität und Verfügbarkeit): Daten werden versehentlich gelöscht, gehen verloren oder werden so verändert, dass sie unrichtig werden
  • Auftragsverarbeiterbezogene Risiken: Risiken, die damit zusammenhängen, wie die Plattform und ihre Unterauftragsverarbeiter mit Daten umgehen

Was du tun musst

Betriebsrisiken identifizieren
Konzentriere dich auf Risiken, die mit der Art, wie du das System nutzt, zusammenhängen. Zum Beispiel:

  • (Kategorie: Verlust oder Manipulation von Daten) Das Risiko, dass sensible Dokumente versehentlich hochgeladen werden
  • (Kategorie: Unbefugter Zugriff oder Offenlegung) Das Risiko, dass Nutzer zu breiten Zugriff auf Dokumente haben, die sie nicht sehen sollten
  • (Kategorie: Zweckentfremdung und Missbrauch) Das Risiko der Zweckentfremdung (das System wird für falsche Zwecke genutzt)

Eintrittswahrscheinlichkeit und Schwere bewerten
Bewerte jedes identifizierte Risiko auf einer Skala (oft 1–5).

Was Intric bereitstellt

Wir unterstützen dich bei den technischen auftragsverarbeiterbezogenen Risiken:

  • Beispiel-Betriebsrisiken aus früheren DSFAs: Wir stellen fertige Risikobeschreibungen für Szenarien bereit, die auf deine Organisation zutreffen können
  • Beispiel-Auftragsverarbeiterrisiken aus früheren DSFAs: Wir stellen fertige Risikobeschreibungen für Szenarien wie einen Datenschutzverstoß auf unserer Seite oder Risiken im Zusammenhang mit internationalen Übermittlungen bereit
  • Zertifizierungen und Beispiel-Verfahrensbeschreibungen: ISO 27001, Lieferantenkontrollprozess usw.
🔍 Zertifizierungen sowie technische und organisatorische Maßnahmen: Intrics TOMs

Zweck

In diesem Schritt definierst du Maßnahmen, um die im vorherigen Schritt identifizierten Risiken auf ein akzeptables Niveau zu reduzieren. Diese gliedern sich in technische, organisatorische und vertragliche Schutzmaßnahmen („TOMs“ – technische und organisatorische Maßnahmen), sowohl intern in deiner Organisation als auch extern mit uns als Auftragsverarbeiter.

Ein zentraler Teil dieser Arbeit ist, dass Endnutzer ausreichend geschult und informiert werden – eine Voraussetzung dafür, dass du die interne Einhaltung deiner Verfahren sicherstellen kannst.

Was du tun musst

Deine internen Maßnahmen definieren
Beschreibe, wie du die identifizierten Risiken adressieren wirst. Das kann technisch sein (z. B. „Wir aktivieren MFA“) oder organisatorisch (z. B. „Wir schaffen eine klare Richtlinie, was hochgeladen werden darf“).

Verantwortung und Fristen zuweisen
Für jede Maßnahme muss jemand in deiner Organisation verantwortlich sein.

Restrisiko bewerten
Berechne das Risikoniveau nach Umsetzung deiner Maßnahmen neu. Ist das Risiko noch zu hoch?

Was Intric bereitstellt

Wir stellen die Lösungen für die technischen Risiken bereit:

  • Beispiel-TOMs für deine Organisation basierend auf früheren DSFAs
  • Schulungsmaterial: Unterstützungsmaterial für deine Administratoren und Nutzer, damit sie das System von Anfang an sicher nutzen können
  • Intrics technische und organisatorische Maßnahmen: Eine vollständige technische Liste der von uns angewandten Schutzmaßnahmen, sowohl technisch als auch organisatorisch
🔍 Intrics TOMs: Technische und organisatorische Maßnahmen
  • Best Practices und technische Optionen: Wir leiten dich an, wie du das System konfigurierst (z. B. wie du Workspaces sicher trennst), um deine identifizierten Betriebsrisiken zu adressieren
  • Vertragliche Garantien: Anforderungen und Verpflichtungen, die uns in unserem AVV und in den AVVs mit unseren Unterauftragsverarbeitern rechtlich binden

Zweck

Im letzten Schritt wird die DSFA formell geprüft, genehmigt und in der Organisation verankert, bevor das System live geht.

Was du tun musst

Prüfung durch den DSB
Dein Datenschutzbeauftragter muss das Dokument prüfen, schriftliche Empfehlungen abgeben und die Bewertung genehmigen.

Formale Entscheidung
Projektleitung oder fachliche Verantwortung trifft eine formale Entscheidung (Ja/Nein), ob das System auf Basis der Risiken eingeführt werden darf.

Nutzer informieren
Informiere die Nutzer über die Schlussfolgerungen der DSFA und die Verfahren, die sie einhalten müssen.

Was Intric bereitstellt

Damit du vor dem Start sicher sein kannst:

  • Prüfung der Auftragsverarbeiter-Fakten: Wir können deinen DSFA-Entwurf prüfen und bestätigen, dass unsere Systemarchitektur oder technischen Grenzen nicht missverstanden wurden