Für Verantwortliche in der Europäischen Union, die Datenverarbeitungen mit einem hohen Risiko für die Rechte und Freiheiten der betroffenen Personen vornehmen, ist das Thema „Datenschutz-Folgenabschätzung“ (DSFA) bereits seit Jahren geläufig. Mittels der DSFA sollen datenschutzrechtliche Risiken erkannt, bewertet und durch Festlegung geeigneter Maßnahmen abgesenkt werden.
Mit dem revidierten Schweizer Datenschutzgesetz gilt die Pflicht zur Durchführung einer DSFA seit dem 01.09.2023 nun auch für Verantwortliche in der Schweiz. Zur Vereinfachung der Umsetzung dieser Vorgabe hat der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) im August 2023 ein Merkblatt veröffentlicht (abrufbar unter folgendem Link). Die wesentlichen Punkte stellen wir nachfolgend dar:
Wann ist eine DSFA durchzuführen?
Gemäß Art. 22 DSG erstellt der Verantwortliche „vorgängig eine Datenschutz-Folgenabschätzung, wenn eine Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen mit sich bringen kann. […] Das hohe Risiko ergibt sich, insbesondere bei Verwendung neuer Technologien, aus der Art, dem Umfang, den Umständen und dem Zweck der Bearbeitung.“ Als Regelbeispiele für die Erforderlichkeit einer Datenschutz-Folgenabschätzung werden die „umfangreiche Bearbeitung besonders schützenswerter Personendaten“ sowie die „systematisch umfangreiche Überwachung öffentlicher Bereiche“ genannt.
Hieraus ergibt sich, dass der Verantwortliche vor Beginn der Datenbearbeitung eine Risikoanalyse vornehmen und prüfen muss, ob die Datenbearbeitung ein hohes Risiko für die Betroffenen mit sich bringt. Das Ergebnis der Analyse und die zugrunde liegenden Erwägungen sind zu dokumentieren. Ergibt diese Analyse, dass von einem hohen Risiko auszugehen ist, muss die DSFA vor Beginn der Bearbeitungstätigkeit durchgeführt werden.
Ausnahmen gelten unter anderem für Datenbearbeitungen, zu denen der Verantwortliche gesetzlich verpflichtet ist und bei dem Einsatz von Systemen, die von einer anerkannten Zertifizierungsstelle zertifiziert worden sind.
Was muss die DSFA beinhalten?
Die DSFA muss nach Art. 22 Abs. 3 DSG eine Beschreibung der geplanten Bearbeitung, eine Bewertung der Risiken für die Persönlichkeit oder die Grundrechte der betroffenen Person sowie Maßnahmen zum Schutz der Persönlichkeit und Grundrechte enthalten.
Wie eine solche Bewertung der Risiken erfolgen und eine DSFA nachvollziehbar aufgebaut werden kann, hat der EDÖB ausführlich in dem oben verlinkten Dokument erläutert. Verantwortlichen ist demnach zu empfehlen, sich an dem Merkblatt zu orientieren.
Welche Folgen können resultieren?
Ergibt die DSFA, dass trotz der bereits getroffenen technischen und organisatorischen Maßnahmen ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person verbleibt, ist nach Art. 23 Abs. 1 DSG der EDÖB zu konsultieren und dessen Stellungnahme zu dem geplanten Vorgehen einzuholen.
Von der Konsultationspflicht ausgenommen sind Verantwortliche, die einen Datenschutzberater bestellt und diesen in die DSFA einbezogen haben. Weitere Voraussetzungen hierfür sind, dass der Datenschutzberater seine Funktion fachlich unabhängig und weisungsungebunden ausübt, über die erforderlichen Fachkenntnisse verfügt und dass die Kontaktdaten des Datenschutzberaters veröffentlicht und beim EDÖB gemeldet wurde.
Diese Ausnahme von der Konsultationspflicht stellt einen erheblichen Vorteil für Verantwortliche dar, die einen Datenschutzberater benannt haben, denn bei Nichtdurchführung einer nach den o.g. Kriterien erforderlichen DSFA oder einer unterlassenen Konsultation kann der EDÖB unter anderem die Datenbearbeitung untersagen.
Fazit
Aus den vorstehenden Ausführungen wird eines besonders deutlich: Die Regelungen zur DSFA im revidierten Schweizer DSG orientieren sich sehr stark an den entsprechenden Regelungen in Art. 35 DSGVO. Dies hat für Verantwortliche den Vorteil, dass zum einen bei der Risikoanalyse, zum anderen bei der tatsächlichen Durchführung der DSFA auf bereits vorhandene Stellungnahmen und Veröffentlichungen zu Art. 35 DSGVO zurückgegriffen werden kann. Verantwortliche, die neben dem DSG auch dem Anwendungsbereich der DSGVO unterfallen, dürften mit der neuen Schweizer Regelung demgemäß keine besonderen Schwierigkeiten haben.