Zu Content springen
Deutsch – Schweiz
Kontaktieren Sie uns
  • Es gibt keine Vorschläge, da das Suchfeld leer ist.

Was ist eine «Datenschutz-Folgenabschätzung» im Sinne des nDSG?

Auf der Website des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) – abgerufen am 21.08.2023; Link: EDÖB zur DSFA – heisst es zum Thema «Datenschutz-Folgenabschätzung»:

« Private [...] verantwortliche Datenbearbeiter müssen eine Datenschutz-Folgenabschätzung (DSFA) erstellen, wenn bei Personendatenbearbeitungen ein potenziell hohes Risiko für die Persönlichkeit oder die Grundrechte der Betroffenen erkennbar ist.

Die DSFA ist ein Instrument, mit dem verantwortliche Datenbearbeiter datenschutzrechtliche Risiken erfassen, bewerten und behandeln. Die Regelung zur DSFA [im nDSG] ist Ausdruck des risikobasierten Ansatzes im neuen Datenschutzrecht, der auch zur Folge hat, dass die Pflicht zur Erstellung einer DSFA nur bei potenziell hohem Risiko besteht.

Die DSFA umschreibt die geplante Datenbearbeitung, bewertet die Risiken für die Persönlichkeit oder die Grundrechte der betroffenen Personen und zeigt die Massnahmen zu deren Schutz auf. Im Falle einer bereits bestehenden Datenbearbeitung prüft und weist der Verantwortliche deren wesentliche Unterschiede zur geplanten Datenbearbeitung in der DSFA aus.

Ein hohes Risiko kann sich aus der Verwendung neuer Technologien, aus der Art, dem Umfang, den Umständen und dem Zweck der Bearbeitung ergeben. Das Gesetz nennt beispielsweise die umfangreiche Bearbeitung besonders schützenswerter Personendaten und die systematische, umfangreiche Überwachung öffentlicher Bereiche [...]. Bei der Bewertung und Behandlung der Risiken gilt es zu unterscheiden zwischen solchen, die durch risikomindernde Massnahmen beeinflussbar sind, und solchen, die durch Massnahmen nicht oder kaum beeinflussbar sind.

Resultiert aus der DSFA, dass bei der geplanten Datenbearbeitung trotz der vom Verantwortlichen vorgesehenen Massnahmen ein hohes Restrisiko für die Persönlichkeit oder die Grundrechte der Betroffenen bestehenbleibt, so muss eine Stellungnahme des EDÖB eingeholt werden. Eine Ausnahme gilt für private Verantwortliche, wenn sie ihre Datenschutzberaterin oder ihren Datenschutzberater konsultiert haben.

Hinweis: Der EDÖB erarbeitet zurzeit ausführlichere Hinweise zu den Voraussetzungen und zum Inhalt der DSFA, die er im Sommer dieses Jahres [2023] an dieser Stelle zugänglich machen wird.»

Genauere Betrachtung:

Eine Datenschutz-Folgenabschätzung (DSFA) ist nichts anderes als eine strukturierte Risikoanalyse bezogen auf «geplante» Datenbearbeitungsprozesse.

Gemäss nDSG wird der Mindestinhalt einer DSFA in Artikel 22 (Datenschutz-Folgenabschätzung) Absatz 3 nDSG wie folgt festgelegt:

«[...] 3 Die Datenschutz-Folgenabschätzung enthält

  • eine Beschreibung der geplanten Bearbeitung,
  • eine Bewertung der Risiken für die Persönlichkeit oder die Grundrechte der betroffenen Person
  • sowie die Massnahmen zum Schutz der Persönlichkeit und der Grundrechte. [...]»

Wann eine DSFA durchzuführen ist, besagt Artikel 22 Absatz 1 nDSG, wo es heisst:

« 1 Der Verantwortliche erstellt vorgängig eine Datenschutz-Folgenabschätzung, wenn eine Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann. Sind mehrere ähnliche Bearbeitungsvorgänge geplant, so kann eine gemeinsame Abschätzung erstellt werden. [...] »

Was mit einem «hohen Risiko» gemeint ist, ergibt sich aus Artikel 22 Absatz 2 nDSG:

«[...] 2 Das hohe Risiko ergibt sich, insbesondere

  • bei Verwendung neuer Technologien,
  • aus der Art, dem Umfang, den Umständen
  • und dem Zweck der Bearbeitung.

Es liegt namentlich vor:

  1. bei der umfangreichen Bearbeitung besonders schützenswerter Personendaten;
  2. wenn systematisch umfangreiche öffentliche Bereiche überwacht werden. [...]»

Artikel 22 nDSG nennt sogleich in den Absätzen 4 und 5 die möglichen Ausnahmen von der DSFA-Pflicht, die da lauten:

«[...] 4 Von der Erstellung einer Datenschutz-Folgenabschätzung ausgenommen sind private Verantwortliche, wenn sie gesetzlich zur Bearbeitung der Daten verpflichtet sind.

5 Der private Verantwortliche kann von der Erstellung einer Datenschutz-Folgenabschätzung absehen, wenn er ein Systemein Produkt oder eine Dienstleistung einsetzt, das oder die für die vorgesehene Verwendung nach Artikel 13 zertifiziert ist, oder wenn er einen Verhaltenskodex nach Artikel 11 einhält, der die folgenden Voraussetzungen erfüllt:

  1. Der Verhaltenskodex beruht auf einer Datenschutz-Folgenabschätzung.
  2. Er sieht Massnahmen zum Schutz der Persönlichkeit und der Grundrechte der betroffenen Person vor.
  3. Er wurde dem EDÖB vorgelegt.»

Notabene: Das «Bearbeitungsverzeichnis» ist als Basis einer jeden DSFA quasi unverzichtbar, denn darin wird sauber, pointiert und systematisch erfasst, beschrieben und dokumentiert, welche Personendaten über welche aktiven und geplanten Verfahren für welche Zwecke im Unternehmen bearbeitet werden. Das Verzeichnis spielgelt im Wesentlichen den gesamten Lebenszyklus bearbeiteter Personendaten wider, der nach dem PDCA-Prinzip ständig weiterläuft.