dsfa-typische-fehler-bei-erstpruefung

star 872

Katalog typischer Fehler bei der DSFA-Erstpruefung und Gegenmassnahmen. Output: Fehlerkatalog mit Pruefliste für DSB und Verantwortliche samt Beispielen aus Aufsichtspraxis.

Klotzkette By Klotzkette schedule Updated 6/7/2026
play_arrow Run Skill in Manus View GitHub

name: dsfa-typische-fehler-bei-erstpruefung description: "Katalog typischer Fehler bei der DSFA-Erstpruefung und Gegenmassnahmen. Output: Fehlerkatalog mit Prüfliste für DSB und Verantwortliche samt Beispielen aus Aufsichtspraxis."

Typische Fehler bei der DSFA-Erstpruefung

Aktenstart statt Formularstart

Wenn zu Dsfa Typische Fehler Bei Erstpruefung bereits Unterlagen, ein Ordner, ein ZIP, ein PDF-Buendel, E-Mails, Screenshots, Tabellen oder Entwuerfe vorliegen, lies diese zuerst aus. Bilde für Datenschutzrecht eine Arbeitshypothese zu Beteiligten, Rolle des Nutzers, Verfahrensstand, Fristen, Betrags-/Datumslogik, Belegen und naechstem sinnvollen Output. Frage nicht routinemaessig nach Angaben, die sich aus der Akte ergeben.

Starte dann mit einer knappen Rueckmeldung:

Ich habe aus der Akte vorlaeufig erkannt: [...]
Unsicher sind noch: [...]
Als naechsten Schritt schlage ich vor: [...]

Stelle danach hoechstens drei Rueckfragen und nur zu echten Luecken oder Widerspruechen. Wenn keine Akte vorliegt, bitte zuerst um Upload der wichtigsten Unterlagen statt ein langes Interview zu beginnen.

Wann dieses Modul hilft

  • Vor Freigabe einer DSFA durch den Verantwortlichen
  • Bei Audit einer bestehenden DSFA
  • In der Schulung neuer DSB oder Datenschutz-Koordinatoren
  • Bei Aufsichtsanfrage zur Plausibilisierung einer durchgefuehrten DSFA
  • Bei Re-Prüfung nach Art. 35 Abs. 11 DSGVO

Rechtlicher Rahmen

  • Art. 35 DSGVO mit allen Absaetzen.
  • Art. 5 Abs. 2 DSGVO Rechenschaftspflicht.
  • Art. 83 Abs. 4 lit. a DSGVO Bussgeldtatbestand für Verstoesse gegen Art. 35.
  • EDSA-Leitlinien WP 248 rev.01 und einschlaegige Aufsichtsbehoerdenpraxis.

Fehlerkatalog mit Gegenmassnahmen

1. Triage-Phase

  • Trigger-Prüfung ohne dokumentierten Vermerk; nur muendlich. Gegenmassnahme: Triage-Vermerk gemäß Skill dsfa-art-35-dsgvo-trigger-und-anwendungsbereich.
  • Nur Art. 35 Abs. 3 DSGVO geprueft, Generalklausel Abs. 1 uebersehen. Gegenmassnahme: Doppelblick auf Generalklausel und Regelbeispiele.
  • Blacklist der eigenen Landesbehoerde uebersehen. Gegenmassnahme: Skill dsfa-bfdi-und-laender-blacklist.
  • EDSA-Kriterien nicht durchgepruft. Gegenmassnahme: Skill dsfa-edpb-leitlinien-9-19-anwendung.

2. Beschreibung der Verarbeitung

  • Beschreibung floskelhaft, ohne Datenfluss. Gegenmassnahme: Datenflussdiagramm und konkrete Empfaengeraufzaehlung.
  • Drittlandbezug uebersehen, weil EU-Hosting. Gegenmassnahme: Zugriffsbefugnis prüfen, Skill dsfa-für-internationale-datentransfers.
  • Sub-Auftragsverarbeiter nicht gelistet. Gegenmassnahme: vollstaendige AVV-Kette.
  • Aufbewahrungsfristen pauschal. Gegenmassnahme: Loeschkonzept beifuegen.

3. Verhältnismäßigkeit

  • Verhältnismäßigkeitspruefung wird auf Rechtsgrundlage reduziert. Gegenmassnahme: Datenminimierung, Zweckbindung und Speicherbegrenzung separat prüfen.
  • Mildere Mittel nicht erwogen. Gegenmassnahme: Alternativ-Optionen explizit dokumentieren und verwerfen.
  • Betroffenenrechte nicht beschrieben. Gegenmassnahme: Pro Recht eine Zeile, wie es operativ umgesetzt wird.

4. Risikoanalyse

  • Risiko nur für Vertraulichkeit untersucht. Gegenmassnahme: alle Schutzziele SDM durchgehen.
  • Wahrscheinlichkeit ohne Bedrohungsmodell. Gegenmassnahme: Bedrohungsannahmen explizit machen.
  • Schadenschwere aus Sicht des Verantwortlichen statt Betroffener. Gegenmassnahme: Erwaegungsgrund 75 DSGVO als Maßstab.
  • Risikomatrix bleibt für Maßnahmen-Spalte leer. Gegenmassnahme: Pro Risiko mindestens eine Maßnahme zuordnen.

5. Maßnahmen

  • TOM-Konzept fehlt oder ist generisch. Gegenmassnahme: konkrete Maßnahmen mit Verantwortlichen und Fristen.
  • Vertragliche Maßnahmen (AVV, SCC) nicht referenziert. Gegenmassnahme: Verweis auf konkrete Vertragsversion und Datum.
  • KI-Spezifika fehlen. Gegenmassnahme: Skill dsfa-für-ki-systeme-schnittstelle-art-26-kivo.
  • Stand der Technik nicht begruendet. Gegenmassnahme: BSI- oder ENISA-Referenz beifuegen.

6. Restrisiko

  • Restrisiko wird kuenstlich kleingerechnet, um Art. 36 zu vermeiden. Gegenmassnahme: Ehrliche Bewertung; bei spaeterem Vorfall verdoppelter Vorwurf.
  • Restrisiko ohne Begruendung pauschal als gering bewertet. Gegenmassnahme: pro Szenario Begruendung.
  • Vorab-Konsultation Art. 36 als Option statt Pflicht behandelt. Gegenmassnahme: Skill dsfa-restrisiko-und-art-36-konsultation.

7. Konsultation und Freigabe

  • DSB-Anhörung nur muendlich oder gar nicht. Gegenmassnahme: schriftliche Stellungnahme, datiert und unterzeichnet.
  • Stakeholder-Konsultation Art. 35 Abs. 9 nicht erwogen. Gegenmassnahme: Skill dsfa-stakeholder-konsultation-art-35-9.
  • Freigabe ohne Datum oder durch Unbefugten. Gegenmassnahme: definierter Eskalations- und Freigabeprozess.
  • Verarbeitung wird vor Antwort der Aufsicht aufgenommen. Gegenmassnahme: Projektplan an Frist 8 Wochen ankoppeln.

8. Dokumentation und Update

  • DSFA wird einmal erstellt und nie aktualisiert. Gegenmassnahme: Skill dsfa-update-bei-aenderungen-und-revision.
  • Versionen werden ueberschrieben. Gegenmassnahme: Versionshistorie als Pflichtfeld.
  • Aktenzeichen oder Aufbewahrungsfrist fehlt. Gegenmassnahme: Skill dsfa-dokumentation-und-rechenschaftspflicht-art-5-ii.
  • Verweis im Verarbeitungsverzeichnis Art. 30 fehlt. Gegenmassnahme: Doppelnachweis VV plus DSFA.

Prüfliste vor Freigabe

DSFA-FREIGABE-PRUEFLISTE [DATUM]

Verarbeitung: [BEZEICHNUNG]
Pruefer: [NAME, ROLLE]

A. Triage
[ ] Triage-Vermerk schriftlich vorhanden
[ ] Blacklist-Abgleich dokumentiert
[ ] WP-248-Kriterien gepruet

B. Beschreibung
[ ] Datenfluss konkret beschrieben
[ ] Drittlandbezug geprueft
[ ] Sub-AV-Kette vollstaendig
[ ] Aufbewahrungsfristen konkret

C. Verhaeltnismaessigkeit
[ ] Datenminimierung
[ ] Zweckbindung
[ ] Speicherbegrenzung
[ ] Mildere Mittel erwogen
[ ] Betroffenenrechte operativ

D. Risikoanalyse
[ ] Alle Schutzziele gepruet
[ ] Wahrscheinlichkeit begruendet
[ ] Schadenschwere aus Sicht Betroffener
[ ] Risikomatrix vor und nach Massnahmen

E. Massnahmen
[ ] TOM konkret mit Eigentuemer und Frist
[ ] Vertragliche Massnahmen referenziert
[ ] KI-Spezifika beruecksichtigt

F. Restrisiko
[ ] Bewertung begruendet
[ ] Art. 36 gepruet

G. Konsultation
[ ] DSB schriftlich angehoert
[ ] Stakeholder-Konsultation Art. 35 Abs. 9 erwogen
[ ] Freigabe durch befugte Person

H. Dokumentation
[ ] Aktenzeichen vergeben
[ ] Versionshistorie gefuehrt
[ ] Verweis im VV Art. 30

Freigabeempfehlung: ja / nachzubessern / nein
Unterschrift Pruefer: ____________________

Quellen Stand 06/2026

  • Art. 35, 36, 5 Abs. 2, 83 Abs. 4 lit. a DSGVO
  • EDSA-Leitlinien WP 248 rev.01
  • BfDI- und Landesbehoerden-Prüfberichte (live abzurufen)
  • Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe verifizieren
  • Literatur: Kommentar- und Aufsatzfundstellen nur bei eigener Quelle
Install via CLI
npx skills add https://github.com/Klotzkette/claude-fuer-deutsches-recht --skill dsfa-typische-fehler-bei-erstpruefung
Repository Details
star Stars 872
call_split Forks 114
navigation Branch main
article Path SKILL.md
Occupations
Paralegals And Legal Assistants 232011
More from Creator
Klotzkette
Klotzkette Explore all skills →