Ich kann den Vorrednern nur zustimmen.
In der Praxis als eDSB fertige ich einen Entwurf und nutze das dann, um Mindestanforderungen an die Maßnahmen zur Sicherheit und den verbundenen Prozessen zu stellen.
Ebenso wiese ich immer wieder darauf hin, dass der Verantwortliche für die Richtigkeit der Angaben gerade steht und ich da nur Vorschläge mache.
Wenn dann Maßnahmen hinter meinen Vorschlägen zurückbleiben wird auch tatsächlich über Risiken diskutiert und dem Verantwortlichen klarer, was er da tut und wie die Maßnahmen mit seiner Verantwortung für die Sicherheit der Verarbeitung zusammenhängen.
Ziel erreicht.
Für den iDSB, der evtl. nicht auf DSFA-Vorlagensammlungen und vor allem umfangreiche Maßnahmenkataloge zurückgreifen kann und dann evtl. alle Jahre einmal eine DSFA erstellen muss, ist dies wahrscheinlich schon deutlich schwerer umzusetzen.
Hier empfehle ich die Anfangserfassung der erfroderlichen Informationen im PIA-Tool zu machen und den Output später in Word gründlich zu überarbeiten.