Datenschutz-Folgeabschätzung – Auf dem Weg zum nDSG Teil 11

Datenbearbeitungen können für die betroffenen Personen ein Risiko darstellen. Bei besonders risikoreichen Datenbearbeitungen kann es notwendig sein, vorgängig eine Risikoanalyse durchzuführen. Diese Risikoanalyse nennt sich «Datenschutz-Folgeabschätzung» (kurz «DSFA»).

Wann muss ich eine DSFA durchführen?

Das neue Datenschutzgesetz, welches am 1. September 2023 in Kraft getreten ist, schreibt vor, wann eine DSFA durchgeführt werden muss. Die Verantwortliche muss eine DSFA erstellen, «wenn eine Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann».

Der Gesetzgeber hat hierbei an Grossprojekte der digitalen Transformation gedacht. Namentlich wenn neue digitale Systeme in Betrieb genommen werden oder die Funktion bestehender Systeme geändert oder erweitert wird, kann eine entsprechende DSFA notwendig werden. Anknüpfungspunkt ist das «hohe Risiko» für die Betroffenen. Der Begriff des «hohen Risikos» ist aktuell noch nicht ausreichend bestimmt und wird sich mit der Zeit konkretisieren. Wichtig ist, das Risiko einzelfallbezogen zu bewerten. Art, Umfang, die Umstände und der Zweck der Bearbeitungen können unterschiedlich risikomildernd oder -steigernd sein.

Bereits jetzt ist klar: neben dem unscharfen allgemeinen Begriff des hohen Risikos gibt es zwei absolute Gründe, wann eine DSFA durchgeführt werden muss:

• bei der umfangreichen Bearbeitung besonders schützenswerter Personendaten;

• wenn systematisch umfangreiche öffentliche Bereiche überwacht werden.

Der vom Gesetz verfolgte Ansatz hat die Konsequenz, dass vor der Risikoprüfung bereits antizipiert werden muss, ob die Datenbearbeitung ein hohes Risiko mit sich bringt. Der EDÖB sieht die Antwort in einer Vorprüfung. Sprich: wenn die Verantwortliche nicht klar antizipieren kann, ob die geplante Datenbearbeitung ein hohes Risiko mit sich bringen wird, ist eine Vorprüfung durchzuführen. Als Vorprüfung wird eine verkürzte Prüfung der Risken verstanden.

Was umfasst eine DSFA?

Eine DSFA hat zum Ziel, die Risiken der Datenbearbeitung nachvollziehbar aufzuzeigen und zu bewerten, sowie Massnahmen für die Risikominderung festzulegen. Es dient somit als Compliance-Werkzeug. Die DSFA wird in die folgenden drei Punkte gegliedert:

1. Bewertung des Risikos;

2. Prüfung von Massnahmen zur Risikominimierung; und

3. Bewertung des Restrisiko.

Bei der Bewertung des Risikos sind einerseits die Primärrisiken und anderes die Folgerisiken zu analysieren. Als Primärrisiken geltend die Verletzungen der Betroffenen aufgrund einer Datenschutzverletzung. Beispielsweise könnten unbefugte Dritte Zugang zu den Kontakt- und Bankdaten einer Person erhalten. Das Folgerisiko in diesem Beispiel wäre der finanzielle Schaden, der dieser Person durch den Missbrauch der Bankdaten entstehen könnte.

Die Bewertung des Risikos betrifft die Bearbeitung an sich ohne Berücksichtigung allfällig getroffener Massnahmen zur Risikominimierung.

Steht das Risiko fest, werden Massnahmen geprüft, mittels derer dir Risiken minimiert werden können. Besteht bspw. ein Risiko aufgrund einer Datenauslagerung, könnte eine Pseudonymisierung der Personendaten eine wirksame Schutzmassnahme darstellen.

Schliesslich ist das Restrisiko zu bewerten. Es umschreibt das verbleibende Risiko, wenn die Massnahmen gemäss Schritt zwei angewendet werden.

In jedem Fall ist die DSFA dokumentiert aufzubewahren.

Zu beachten ist, dass die DSFA einzelfallbezogen ist. Sie bezieht sich auf eine oder mehrere geplante Datenbearbeitung unter Berücksichtigung der Umstände. Wenn sich die Bearbeitung oder die Umstände verändern, kann es notwendig werden, die DSFA zu überarbeiten.

Die DSFA ist durchgeführt – und jetzt?

Ist die DSFA abgeschlossen, gibt es zwei Szenarien:

1. Ist das Ergebnis, dass selbst mit Einsatz der Schutzmassnahmen ein hohes Restrisiko verbleibt, so hat die Verantwortliche die DSFA dem EDÖB vorzulegen und dessen Stellungnahme einzuholen. Der EDÖB kann sich insbesondere zur Risikobewertung und zu den geplanten Massnahmen äussern. Diese Äusserungen sind nicht direkt verbindlich, jedoch steht dem EDÖB weitere Möglichkeiten offen, wenn seine Bedenken ausser Acht gelassen werden. Hervorzuheben ist, dass ein hohes Restrisiko die geplante Datenbearbeitung nicht per se verbietet. Auch eine Datenbearbeitung mit einem hohen Risiko ist zulässig, sofern die Bestimmungen des Datenschutzgesetzes eingehalten werden.

2. Ergibt die DSFA, dass das Risiko durch die geprüften Massnahmen wirksam minimiert werden kann und folglich nichtmehr als hoch bewertet werden muss, so ist der EDÖB nicht zu konsultieren. Die Datenbearbeitung kann mit den geplanten Massnahmen umgesetzt werden.

Was sind die Konsequenzen im Unterlassungsfall?

Das neue Datenschutzgesetz sieht für gewisse Verstösse Bussen vor. Die Pflicht, eine DSFA durchzuführen, ist nicht strafbewährt. Dennoch solltest Du diese Pflicht nicht unterlassen: Sofern der EDÖB hinweise hat, dass eine DSFA hätte durchgeführt werden müssen, kann er aufsichtsrechtlich einschreiten. In diesem Fall kann er verfügen, dass eine solche DSFA nachgeholt resp. ergänzt werden muss. Im Extremfall kann der EDÖB verfügen, dass die Datenbearbeitung ganz oder teilweise angepasst, unterbrochen oder abgebrochen wird. Hierdurch können massive Mehrkosten für die Verantwortliche entstehen.

Gerne beraten wir Dich betreffend die datenschutzrechtlichen Herausforderungen Deines nächsten Digitalisierungsprojekts.