LAWINFO

Datenschutzrecht

QR Code

Datenschutz-Folgenabschätzung (DSFA)

Rechtsgebiet:
Datenschutzrecht
Stichworte:
Datenschutz, Datenschutzrecht
Autor:
Bürgi Nägeli Rechtsanwälte
Herausgeber:
Verlag:
LAWMEDIA AG

Die Datenschutz-Folgenabschätzung (DSFA) charakterisiert sich wie folgt:

  • Definition
    • Datenschutz-Folgenabschätzung (DSFA)   =   Pflicht zur Erstellung einer Datenschutz-Folgenabschätzung (DSFA), wenn bei Personendatenbearbeitungen ein potenziell hohes Risiko für die Persönlichkeit oder die Grundrechte der Betroffenen erkennbar ist.
  • Grundlagen
    • nDSG 22
    • nDSG 23
    • nDSV 10
    • nDSV 14
  • Zielpersonen
    • nDSG 22 verlangt eine institutionalisierte Beurteilung der Datenbearbeitung für
      • private Verantwortliche und
      • Auftragsbearbeiter.
  • Datenbearbeitungsvorhaben
    • Gegenstand des Vorhabens
      • Plant ein Verantwortlicher hat eine „DSFA“ in Betracht zu ziehen, wenn er plant eine:
        • neue Datenbearbeitung;
        • wesentliche Änderung eines bestehenden Bearbeitungsprozesses.
    • Beispiele
      • Einführung einer neuen Softwareapplikation
      • Einsatz einer neuen Online-Plattform
      • Auslagerung einer bisher lokalen Anwendung an einen Cloud-Anbieter
      • wesentliche Umgestaltung eines Unternehmensprozesses
  • Zeitpunkt der DSFA-Erstellung
    • Vorgängige Erstellung der DSFA
      • Eine „DSFA“ ist vorgängig zu erstellen (vgl. nDSG 22), wenn die Datenbearbeitung mit sich bringen kann:
        • ein hohes Risiko für die Persönlichkeit oder
        • die Grundrechte der betroffenen Person.
    • Prognose
      • Die Prognose des datenschutzrechtlichen Risikos setzt voraus:
        • eine analytische Auseinandersetzung mit dem Bearbeitungsvorhaben (vgl. Botschaft nDSG, S. 7059 f.).
  • Umfangreiche Datenbearbeitung?
    • Bereiche
      • Eine DSFA wird gefordert bei
        • a) einer umfangreichen Bearbeitung besonders schützenswerter Personendaten und
        • b) einer systematischen umfangreichen Überwachung öffentlicher Bereiche.
    • Werte
      • Für die Bearbeitung müssen bezüglich betroffener Personen berücksichtigt werden:
        • die Selbstbestimmung
        • die Identität
        • die Würde.
  • Hohes Risiko?
    • Einstufung als hohes Risiko
      • Von einem hohen Risiko muss ausgegangen werden, wenn
        • die spezifischen Eigenschaften der geplanten Datenbearbeitung darauf schliessen lassen,
          • dass die Verfügungsfreiheit der betroffenen Person über ihre Daten in hohem Masse
            • eingeschränkt wird oder
            • werden kann
      • (vgl. Botschaft nDSG, S. 7060).
  • Inhalt
    • Generell
      • Die „DSFA“ soll im Wesentlichen folgenden Inhalt aufweisen
        • eine Beschreibung der geplanten Bearbeitung
        • eine Bewertung der Risiken dieser Bearbeitung für
          • die Persönlichkeit oder
          • die Grundrechte der betroffenen Person
        • eine Auflistung von technischen und organisatorischen Massnahmen, die diese Risiken zu mindern (vgl. nDSG 22 Abs. 3).
    • Mehrere Bearbeitungsvorgänge
      • Werden mehrere ähnliche Bearbeitungsvorgänge geplant, sollte eine gemeinsame Abschätzung vorgenommen werden (vgl. nDSG 22 Abs. 1).
  • Beschreibung
    • Bearbeitungsvorgänge
      • Zur Beschreibung können die verschiedenen Bearbeitungsvorgänge (z. B. die verwendete Technologie, die wesentliche Architektur, die Datenflüsse), der Zweck der Bearbeitung oder die Aufbewahrungsdauer aufgeführt werden.51
  • Schutzbedarf- und Risikoanalyse
    • Generell
      • Aus der Informationssicherheit bekannten Schutzbedarfs- und Risikoanalyse bewertet die DSFA die festgestellten Risiken, grundsätzlich nach
        • Schadensausmass;
        • Eintrittswahrscheinlichkeit;
        •  jedoch nicht mit Blick auf die Interessen des Verantwortlichen, sondern auf die informationelle Selbstbestimmung der betroffenen Personen
      • Vgl. hiezu DSV 1 Abs. 3 lit. d
    • Risikominderung
      • Für eine Risikominderung trifft der Verantwortliche verschiedene technische und organisatorische Massnahmen,
        • listet diese auf und
        • beschreibt diese.
      • Die „DSFA“ sollte zu folgendem Ergebnis gelangen:
        • Neubewertung der Risiken
          • nach Anwendung der vorzukehrenden Massnahmen.
    • Umsetzung bei greifenden Massnahmen
      • Werden die vorgesehenen Massnahmen dazu führen, dass das mit der DSFA festgestellte Risiko gemindert wird,
        • darf der Verantwortliche das Bearbeitungsvorhaben umsetzen.
    • EDÖB-Einbezug bei hohen Risiken trotz Massnahmen
      • Ergibt sich aus der DSFA, dass die geplante Bearbeitung trotz den vorgesehenen Massnahmen immer noch ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person zur Folge hat,
        • so holt er vorgängig die Stellungnahme des EDÖB ein (nDSG 23 Abs. 1).
    • EDÖB-Einbezug
      • Der EDÖB untersucht das Vorhaben anhand der DSFA.
      • Er teilt dem Verantwortlichen innerhalb von zwei bzw. drei Monaten mit:
        • Allfällige Einwände gegen die geplante Bearbeitung;
        • geeignete Massnahmen.
    • EDÖB-Nichtmiteinbeziehung
      • Private Verantwortliche können von der Konsultation des EDÖB absehen,
        • wenn sie den bezeichneten Datenschutzberater nach nDSG10 konsultiert haben (nDSG 23 Abs. 4).
  • Aufbewahrungsdauer
    • Die DSFA ist mindestens zwei Jahre aufzubewahren (nDSV 14).

Die Details von nDSG 22

Art. 22 nDSG   Datenschutz-Folgenabschätzung

1 Der Verantwortliche erstellt vorgängig eine Datenschutz-Folgenabschätzung, wenn eine Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann. Sind mehrere ähnliche Bearbeitungsvorgänge geplant, so kann eine gemeinsame Abschätzung erstellt werden.

2 Das hohe Risiko ergibt sich, insbesondere bei Verwendung neuer Technologien, aus der Art, dem Umfang, den Umständen und dem Zweck der Bearbeitung. Es liegt namentlich vor:

  1. bei der umfangreichen Bearbeitung besonders schützenswerter Personendaten;
  2. wenn systematisch umfangreiche öffentliche Bereiche überwacht werden.

3 Die Datenschutz-Folgenabschätzung enthält eine Beschreibung der geplanten Bearbeitung, eine Bewertung der Risiken für die Persönlichkeit oder die Grundrechte der betroffenen Person sowie die Massnahmen zum Schutz der Persönlichkeit und der Grundrechte.

4 Von der Erstellung einer Datenschutz-Folgenabschätzung ausgenommen sind private Verantwortliche, wenn sie gesetzlich zur Bearbeitung der Daten verpflichtet sind.

5 Der private Verantwortliche kann von der Erstellung einer Datenschutz-Folgenabschätzung absehen, wenn er ein System, ein Produkt oder eine Dienstleistung einsetzt, das oder die für die vorgesehene Verwendung nach Artikel 13 zertifiziert ist, oder wenn er einen Verhaltenskodex nach Artikel 11 einhält, der die folgenden Voraussetzungen erfüllt:

  1. Der Verhaltenskodex beruht auf einer Datenschutz-Folgenabschätzung.
  2. Er sieht Massnahmen zum Schutz der Persönlichkeit und der Grundrechte der betroffenen Person vor.
  3. Er wurde dem EDÖB vorgelegt.

Art. 23 nDSG   Konsultation des EDÖB

1 Ergibt sich aus der Datenschutz-Folgenabschätzung, dass die geplante Bearbeitung trotz der vom Verantwortlichen vorgesehenen Massnahmen noch ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person zur Folge hat, so holt er vorgängig die Stellungnahme des EDÖB ein.

2 Der EDÖB teilt dem Verantwortlichen innerhalb von zwei Monaten seine Einwände gegen die geplante Bearbeitung mit. Diese Frist kann um einen Monat verlängert werden, wenn es sich um eine komplexe Datenbearbeitung handelt.

3 Hat der EDÖB Einwände gegen die geplante Bearbeitung, so schlägt er dem Verantwortlichen geeignete Massnahmen vor.

4 Der private Verantwortliche kann von der Konsultation des EDÖB absehen, wenn er die Datenschutzberaterin oder den Datenschutzberater nach Artikel 10 konsultiert hat.

Art. 10 DSV   Standarddatenschutzklauseln

1 Gibt der Verantwortliche oder der Auftragsbearbeiter Personendaten mittels Standarddatenschutzklauseln nach Artikel 16 Absatz 2 Buchstabe d DSG ins Ausland bekannt, so trifft er angemessene Massnahmen, um sicherzustellen, dass die Empfängerin oder der Empfänger diese beachtet.

2 Der EDÖB veröffentlicht eine Liste von Standarddatenschutzklauseln, die er genehmigt, ausgestellt oder anerkannt hat. Er teilt das Ergebnis der Prüfung der Standarddatenschutzklauseln, die ihm unterbreitet werden, innerhalb von 90 Tagen mit.

Art. 14 DSV   Aufbewahrung der Datenschutz-Folgenabschätzung

Der Verantwortliche muss die Datenschutz-Folgenabschätzung nach Beendigung der Datenbearbeitung mindestens zwei Jahren aufbewahren.

Literatur

  • SCHÖNBÄCHLER MATTHIAS R., Zum neuen Schweizer Datenschutzrecht, in: ZBJV 159 (2023) S. 187 ff.

Links

    Kontakt

    Bürgi Nägeli Rechtsanwälte

    Kontakt / Help

    Bürgi Nägeli Rechtsanwälte

    Anrede

    Ihr Vorname*

    Ihr Nachname*

    Firma

    Telefonnummer*

    Betreff (Interessen- / Streitgegenstand)*

    * = Pflichtfelder

    Datenschutzerklärung | Privacy

    Eine Kopie der Mitteilung geht an die im Feld "E-Mail" angegebene E-Mail-Adresse.

    Vorbehalt / Disclaimer

    Diese allgemeine Information erfolgt ohne jede Gewähr und ersetzt eine Individualberatung im konkreten Einzelfall nicht. Jede Handlung, die der Leser bzw. Nutzer aufgrund der vorstehenden allgemeinen Information vornimmt, geschieht von ihm ausschliesslich in eigenem Namen, auf eigene Rechnung und auf eigenes Risiko.

    Urheber- und Verlagsrechte

    Alle in dieser Web-Information veröffentlichten Beiträge sind urheberrechtlich geschützt. Das gilt auch für die veröffentlichten Gerichtsentscheide und Leitsätze, soweit sie von den Autoren oder den Redaktoren erarbeitet oder redigiert worden sind. Der Rechtschutz gilt auch gegenüber Datenbanken und ähnlichen Einrichtungen. Kein Teil dieser Web-Information darf ohne schriftliche Genehmigung des Verlages in irgendeiner Form – sämtliche technische und digitale Verfahren – reproduziert werden.