DSV

Die Norm konkretisiert die Aufbewahrungsdauer der Datenschutz-Folgenabschätzung im Sinne von Artikel 22 nDSG. Diese ist während mindestens 2 Jahren aufzubewahren. Der Grund für die Aufbewahrung der Datenschutz-Folgenabschätzung über die Vornahme der Datenbearbeitung hinaus besteht darin, dass sie ein zentrales datenschutzrechtliches Instrument darstellt. Sie kann insbesondere bei der Abklärung von Verletzungen der Datensicherheit oder der Beurteilung der Strafbarkeit eines Verhaltens von Bedeutung sein. So gibt die Datenschutz-Folgenabschätzung darüber Auskunft, wie die Risiken für die Persönlichkeit oder die Grundrechte bewertet wurden und welche Massnahmen getroffen wurden. Bei Bundesorganen, die grundsätzlich nur gestützt auf Rechtsgrundlagen Daten bearbeiten können, kann es aufgrund der Beständigkeit gewisser Rechtsgrundlagen vorkommen, dass eine Datenschutz-Folgeabschätzung über einen sehr langen Zeitraum aufzubewahren ist.<

Im Falle der Bundesorgane wird weiter zu regeln sein, wie die Datenschutz-Folgenabschätzung zeitlich mit dem Gesetzgebungsverfahren zur Schaffung der Rechtsgrundlagen für die Datenbearbeitung zu koordinieren ist. Es soll vorgesehen werden, dass die Bundesorgane die Datenschutz-Folgenabschätzung zusammen mit den Erlassentwürfen dem Antrag an den Bundesrat beifügen müssen und sie die Resultate der Datenschutz-Folgenabschätzung in der Botschaft des Bundesrats festhalten müssen. Da die Regelung aber nur Weisungscharakter innerhalb der Bundesverwaltung aufweist, ist sie nicht auf Verordnungsstufe zu regeln. Es ist geplant, die Regelung in den Richtlinien für Bundesratsgeschäfte (“roter Ordner”) und im Botschaftsleitfaden umzusetzen.

Für die Umsetzung der Datenschutz-Folgenabschätzung kann der EDÖB von seiner Kompetenz Gebrauch machen, Arbeitsinstrumente als Empfehlungen der guten Praxis zuhanden von Verantwortlichen im Sinne von Artikel 58 Absatz 1 Buchstabe g nDSG zu erarbeiten. Dabei hat er einen gewissen Ermessensspielraum.