Datenschutz-Folgenabschätzung (DSFA) in der Praxis

Dieser Blogbeitrag ist ein Kurzversion des ausführlichen Blogbeitrags auf datenschutzgesetze.ch Dort finden Sie die Details zu den jeweiligen Punkten und deren konkrete gesetzliche Ausgestaltung.

Die Datenschutz-Folgenabschätzung (DSFA) ist ein entscheidendes Instrument, um den Schutz personenbezogener Daten in Unternehmen und Organisationen sicherzustellen. In diesem Artikel werden die Kernaspekte der DSFA vorgestellt und praktische Empfehlungen zur Durchführung gegeben. Die DSFA, wie im Datenschutzgesetz (DSG) vorgesehen, ist ein proaktiver Ansatz, um Risiken für die Persönlichkeitsrechte und Grundfreiheiten von betroffenen Personen zu identifizieren und zu bewerten. Sie sollte von Beginn an in Projektplanungen einbezogen werden, auch wenn die Details eines Bearbeitungsprozesses noch nicht vollständig definiert sind.

Inhalte und Aufbau einer DSFA

Gemäss Artikel 22 Absatz 3 DSG muss eine DSFA drei Hauptelemente enthalten:

  • Beschreibung der geplanten Bearbeitung: Eine klare Beschreibung des Sachverhalts, der beteiligten Daten, des Zwecks und der Bearbeitungsverfahren ist entscheidend. Informationen zu dahinterstehenden Geschäftsmodellen und Interessen der Projektverantwortlichen sollten ebenfalls erfasst werden.
  • Bewertung der Risiken: Risiken müssen anhand von Kriterien wie der Art, des Umfangs und des Zwecks der Bearbeitung identifiziert und bewertet werden. Auch technologische Aspekte und Schutzmassnahmen sind zu berücksichtigen.
  • Massnahmen zum Schutz: Die DSFA muss geeignete Massnahmen zum Schutz der Persönlichkeitsrechte und Grundfreiheiten der betroffenen Personen vorsehen.

Risikobewertung

Die Risikobewertung erfolgt in drei Stufen:

  • Risikoidentifikation: Hier werden potenzielle Schäden für die betroffenen Personen identifiziert. Dies kann die Verletzung der Privatsphäre, Datenverlust oder Diskriminierung einschliessen.
  • Analyse der Risikoursachen: Die Ursachen für die identifizierten Risiken werden ermittelt, unter Berücksichtigung von Faktoren wie Art, Umfang, Umständen und Zweck der Bearbeitung.
  • Bewertung der Ergebnisse: Die Wirkung der Risiken wird anhand von Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit eingeschätzt.

Massnahmen nach Durchführung einer DSFA

Bei niedrigem Restrisiko sollten Verantwortliche sicherstellen, dass alle rechtlichen Anforderungen erfüllt sind, bevor sie die Bearbeitung beginnen.

Bei hohem Restrisiko ist die Konsultation des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) erforderlich. Dieser hat zwei Monate Zeit, Einwände zur geplanten Bearbeitung vorzubringen. Eine Stellungnahme des EDÖB ist nicht verbindlich, aber seine Empfehlungen sollten sorgfältig geprüft werden.

Alternative zur Konsultation des EDÖB

Eine Alternative zur Konsultation des EDÖB ist die Konsultation eines ernannten Datenschutzberaters (DSB). Dies kann zu schnelleren Ergebnissen führen, da der DSB innerhalb von drei Monaten Stellung nehmen kann.

Fazit

Die DSFA ist ein unverzichtbares Instrument für den Datenschutz in der Praxis. Unternehmen und Organisationen sollten sie aktiv in ihre Prozesse integrieren, um Datenschutzverletzungen zu verhindern und rechtliche Anforderungen zu erfüllen. Bei Unsicherheiten oder Fragen zur DSFA steht professionelle Beratung zur Verfügung, um den Datenschutz effizient und kosteneffektiv zu gewährleisten.