Zu Content springen
Deutsch – Schweiz
Kontaktieren Sie uns
  • Es gibt keine Vorschläge, da das Suchfeld leer ist.

Was bedeutet der «risikobasierte Ansatz» im nDSG?

Im nDSG findet sich keine Definitionen zu den Begriffen «Risiko» und «risikobasierter Ansatz». Allerdings ist die dahingehende Ausrichtung bzw. Intention der Schweizer Gesetzgebung für die Gestaltung des nDSG auch klar ersichtlich.

Gemäss Botschaft zum [Entwurf (E-DSG) für das] Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz (BBI 2017 Seite 6970) gilt [in 1.4 Darstellung des E-DSG; 1.4.1 Leitlinien der Revision], dass die Totalrevision sich an sieben Leitlinien orientiert, auf denen die verschiedenen Neuerungen beruhen. Zitat:

«[...] Eine erste Leitlinie der Revision bildet der risikobasierte Ansatz. Der Revisionsentwurf orientiert sich konsequent an den potenziellen Risiken für die betroffenen Personen, denn die Gefahren für die Privatsphäre der betroffenen Personen hängen weitgehend von den Aktivitäten der verschiedenen Verantwortlichen und Auftragsbearbeiter ab.

Dementsprechend sind beispielsweise die Pflichten von Verantwortlichen, deren Aktivitäten mit einem erhöhten Risiko verbunden sind (z.B. Unternehmen, deren Haupttätigkeit in der Datenbearbeitung besteht), strenger als jene von Verantwortlichen, deren Aktivitäten ein geringeres Risiko darstellen (z.B. Datenbearbeitungen, die auf eine Kundendatei ohne besonders schützenswerte Daten beschränkt sind). [...] »

An diversen Stellen wird in der Botschaft konkretisiert, was «risikobasierter Ansatz» bedeutet, so unter BBI 2017 6941 Seite 7030:

«[...] Die Norm bringt den risikobasierten Ansatz zum Ausdruck. Das Risiko, das mit einer Bearbeitung einhergeht, muss in Beziehung gesetzt werden zu den technischen Möglichkeiten, um dieses zu verringern. Je höher das Risiko, je grösser die Eintrittswahrscheinlichkeit und je umfangreicher die Datenbearbeitung ist, um so höher sind die Anforderungen an die technischen Vorkehren, damit sie im Sinne der vorliegenden Bestimmung als angemessen gelten können. [...]»

Die (neue) Verordnung des nDSG bringt den «risikobasierten Ansatz» deutlich zum Ausdruck. Dort heisst es in Artikel 1 (Grundsätze) DSV:

«1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen.

[...] 3 Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt:

             a. Ursachen des Risikos; [...]

            c. ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; [...]

5 Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen.