Bei bestimmten Bearbeitungen von Personendaten ist gemäss Schweizer Datenschutzgesetz (DSG) das davon ausgehende Risiko für Betroffene zu prüfen und ggfs. eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen. Mit unserer Anleitung gelingt Ihnen beides.
Bearbeitungen mit hohem Risiko
Das DSG verlangt, dass eine Datenschutz-Folgenabschätzung durchgeführt werden muss, wenn ein hohes Risiko für die Grundrechte einer betroffenen Person besteht (Art. 22 DSG). Dabei sieht das DSG ein abgestuftes Vorgehen vor:
- Zunächst ist eine Risikovorprüfung (auch Schwellwertanalyse) gem. Art. 22 Abs. 1 und 2 DSG durchzuführen, mittels derer die Risikoschwelle ermittelt wird.
- Ergibt sich aus der Risikovorprüfung, dass die geplante Bearbeitung mit einem «hohen Risiko» verbunden sein könnte, ist eine DSFA zu erstellen.
Risikovorprüfung bzw. Schwellenwertanalyse
Was ist ein hohes Risiko?
Eine klare Definition, was ein hohes Risiko ist, gibt es im DSG nicht. Somit bleibt seine genaue Interpretation der Praxis und künftigen Entscheidungen der Gerichte überlassen. So soll gewährleistet werden, dass neue Technologien und Prozesse individuell bewertet werden können, um dem jeweiligen Kontext gerecht zu werden.
Das Gesetz stellt in Art. 22 Abs. 2 DSG eine Auslegungshilfe bereit. Gemäss dieser Bestimmung kann sich das hohe Risiko aus der Art, dem Umfang, den Umständen, und dem Zweck der Bearbeitung ergeben. Es ist wichtig zu bedenken, dass die DSFA dazu dient, Risiken für die Privatsphäre und die informationelle Selbstbestimmung zu identifizieren. Verantwortliche sollten prüfen, ob die Nutzung der Technologie die Kontrolle über persönliche Daten stark einschränkt und die informationelle Selbstbestimmung des Einzelnen beeinträchtigt.
Unter die Art der Datenbearbeitung, die typischerweise ein hohes Risiko mit sich bringen können, zählt beispielsweise das Profiling. Dies ist insbesondere dann der Fall, wenn die Technologie dazu genutzt wird, wesentliche Persönlichkeitsmerkmale zu bewerten, wie es im «Profiling mit hohem Risiko» gemäss Artikel 5 lit. g DSG beschrieben ist. Ein hohes Risiko liegt insbesondere dann vor, wenn Daten automatisiert bearbeitet und miteinander verknüpft werden, um wesentliche Aspekte einer Person wie Gesundheit, Arbeitsleistung oder wirtschaftliche Lage zu beurteilen. Entscheidend ist hierbei, dass diese Bewertungen automatisiert erfolgen, also ohne menschliches Eingreifen («automatisierte Einzelentscheidungen» im Sinne von Art. 21 DSG) und potenziell schwerwiegende Auswirkungen auf die Betroffenen haben können.
Im Rahmen der Umstände können im konkreten Kontext auch Faktoren wie Subordinationsverhältnisse zwischen dem Verantwortlichen und den Betroffenen eine Rolle spielen.
Ausserdem nennt Art. 22 Abs. 2 lit. a und lit. b DSG absolute Kriterien, bei deren Vorliegen das hohe Risiko von Gesetzes wegen als gegeben gilt (Aufzählung nicht abgeschlossen):
- wenn es sich um eine umfangreiche Bearbeitung besonders schützenswerter Personendaten handelt (etwa Gesundheitsdaten),
- bei systematischer und umfangreicher Überwachung öffentlicher Bereiche.
Durchführung der Risikovorprüfung
Sobald Anzeichen darauf hindeuten, dass eine geplante Datenbearbeitung potenziell ein hohes Risiko bergen könnte, sollten Verantwortliche eine (summarische) Vorprüfung vornehmen. Diese Vorprüfung dient der frühzeitigen Identifikation und Bewertung möglicher Gefahren. Sie ist möglichst frühzeitig, idealerweise bereits während der Projektplanung, durchzuführen – selbst dann, wenn die Details der Datenbearbeitung noch nicht vollständig feststehen. Bei der Anpassung oder Weiterentwicklung bestehender Anwendungen sollte stets ein Abgleich zwischen der bisherigen und der geplanten Datenbearbeitung erfolgen.
Zur Unterstützung empfiehlt es sich, ein Verzeichnis der Bearbeitungstätigkeiten zu erstellen sowie eine systematische Beschreibung der geplanten Bearbeitungsvorgänge und -zwecke, einschliesslich der Geschäftsmodelle sowie weiterer Absichten und Interessen der Projektverantwortlichen.
Die Kriterien der Vorprüfung entsprechen denen einer detaillierten DSFA. Dabei sind folgende Aspekte zu berücksichtigen:
- die Gesamtheit der Bearbeitung (Art, Umfang, Umstände und Zweck der Bearbeitung),
- der betroffene Personenkreis,
- die Art der Daten (z. B. Personendaten oder besonders schützenswerte Personendaten),
- die Anzahl der betroffenen Personen,
- das Ziel des Technologieeinsatzes sowie
- die potenziellen Auswirkungen auf die Rechte der Einzelnen.
Sollte das Ergebnis der Vorprüfung ergeben, dass eine (geplante) Bearbeitung mit einem potentiell hohen Risiko verbunden sein könnte, ist eine DSFA zu erstellen. Sollte das Ergebnis der Vorprüfung nicht eindeutig sein, empfiehlt es sich, trotzdem eine DSFA durchzuführen.
Die Ergebnisse der Vorprüfung, einschliesslich der zugrunde gelegten Beurteilungen, sind sorgfältig zu dokumentieren.
Tipp: Laden Sie sich unsere Checkliste zur Risikovorprüfung inklusive Prüfschema für die Durchführung einer DSFA nach DSG herunter.
Datenschutz-Folgenabschätzung
Die Datenschutz-Folgenabschätzung (DSFA) ist ein zentrales Instrument zur Bewertung und Handhabung von datenschutzrechtlichen Risiken. Sie ist im Kern eine Bewertung der Risiken, die sich aus der Bearbeitung von Personendaten unter Einsatz von Technologien ergeben. Mit der DSFA wird geprüft, wie stark die Rechte der betroffenen Personen durch den Einsatz bestimmter Prozesse und Technologien gefährdet sein könnten, insbesondere im Rahmen grosser Digitalisierungsprojekte. Sie ist nicht nur bei neuen Datenbearbeitungen erforderlich, sondern auch bei der technologischen Weiterentwicklung oder Erweiterung bestehender Projekte, sofern dabei Personendaten bearbeitet werden.
Die DSFA ist von privaten und behördlichen Verantwortlichen dann durchzuführen, wenn eine geplante Datenbearbeitung ein potenziell hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen mit sich bringt (siehe oben).
Durchführung der Datenschutz-Folgenabschätzung (DSFA)
Wenn die Vorprüfung zeigt, dass eine geplante Datenbearbeitung möglicherweise ein «hohes Risiko» für die Betroffenen birgt, ist eine DSFA erforderlich. Diese sollte so früh wie möglich erfolgen, idealerweise bereits in der Planungsphase, um rechtzeitig geeignete Massnahmen zur Risikominderung einleiten zu können. Da zu diesem Zeitpunkt oft noch nicht alle Details der Bearbeitung feststehen, ist es ratsam, verschiedene Varianten auszuarbeiten und während des Prozesses anzupassen.
Gemäss Artikel 22 Abs. 3 DSG muss die DSFA folgende zentrale Elemente umfassen:
Beschreibung der geplanten Bearbeitung
Eine detaillierte Darstellung der Datenbearbeitung ist das Herz der DSFA. Die Risikovorprüfung bildet dabei eine wertvolle Grundlage, da sie bereits wichtige Informationen zu den Bearbeitungsvorgängen und Risiken liefert, die in der DSFA durch konkrete Risikominimierungsmassnahmen ergänzt werden.
Bewertung der Risiken
Eine Identifikation und Analyse potenzieller Risiken für die Persönlichkeits- und Grundrechte der Betroffenen ist der zweite Schritt. Die DSFA umfasst eine Bewertung der Primär- und Sekundärrisiken, die durch die geplante Datenbearbeitung entstehen könnten. Dazu gehören systemische, rechtliche und sicherheitstechnische Risiken.
Bei grenzüberschreitender Datenübermittlung ist eine zusätzliche Prüfung erforderlich, insbesondere wenn die Daten in Länder ohne angemessenes Datenschutzniveau übertragen werden. In solchen Fällen kann das verbleibende Risiko hoch bleiben, da der Verantwortliche oft keine ausreichenden Einflussmöglichkeiten hat.
Tipp: Lesen Sie unseren Ratgeber zur Übermittlung von Personendaten in Ausland.
Schutzmassnahmen
Aus der vorherigen Analyse werden Massnahmen zur Reduzierung der identifizierten Risiken auf ein akzeptables Niveau abgeleitet. Dies kann durch technische, organisatorische oder rechtliche Massnahmen erfolgen, wie z. B. datenschutzfreundliche Voreinstellungen (Privacy by Design und Privacy by Default).
Die Wirksamkeit und Angemessenheit dieser Massnahmen müssen im Rahmen der DSFA dokumentiert und begründet werden.
Vorgehen nach Abschluss der DSFA
Nach der Fertigstellung der Datenschutz-Folgenabschätzung ist das weitere Vorgehen massgeblich davon abhängig, wie die verbleibenden Risiken, sogenannte Nettorisiken, bewertet werden:
Kein hohes Nettorisiko
Fällt das verbleibende Risiko unter die Schwelle eines hohen Risikos, muss der Verantwortliche sicherstellen, dass die geplante Bearbeitung vollständig mit den Anforderungen der Datenschutzgesetzgebung übereinstimmt. Nur dann darf die Bearbeitung umgesetzt werden.
Eine Vorlage der DSFA beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) ist in diesem Fall nicht erforderlich.
Sollten Verantwortliche die DSFA dennoch freiwillig einreichen, ist der EDÖB nicht verpflichtet, diese zu prüfen oder Stellung zu nehmen. Er kann jedoch im Rahmen seiner Beratungstätigkeit auf Anfrage Hinweise zu verbleibenden Risiken geben. Solche Beratungen sind gebührenpflichtig (Art. 59 Abs. 1 lit. e DSG).
Hohes Nettorisiko
Wenn trotz getroffener Massnahmen weiterhin ein hohes Risiko besteht, das nicht reduziert werden kann, ist dies transparent gegenüber den Betroffenen auszuweisen. Dazu gehören auch Risiken, die weder beeinflussbar noch zuverlässig einschätzbar sind.
Die Einwilligung betroffener Personen in eine solche Datenbearbeitung ist nur dann rechtsgültig, wenn sie umfassend über die bestehenden Risiken informiert wurden.
Gemäss Art. 23 Abs. 1 DSG ist der Verantwortliche verpflichtet, die DSFA dem EDÖB zur Stellungnahme vorzulegen. Diese Stellungnahme ist gebührenpflichtig (Art. 59 Abs. 1 lit. c DSG).
Verantwortliche können auf die Konsultation des EDÖB verzichten, wenn sie stattdessen ihren internen Datenschutzberater konsultiert haben. In solchen Fällen kann die DSFA jedoch freiwillig beim EDÖB eingereicht werden.
Fazit
Es ist nicht in jedem Fall und nicht von Beginn an eine umfassende DSFA erforderlich. Dennoch lohnt es sich, bereits im Rahmen der Risikovorprüfung zu dokumentieren, wie der Einsatz einer (neuen) Technologie geplant ist – sowohl für die eigene Übersicht als auch als Grundlage für eine potenziell notwendige DSFA.
Die Vorprüfung bietet die Möglichkeit, auf Basis der angegebenen Parameter ein klares Verständnis der eingesetzten Technologie und ihrer Auswirkungen zu entwickeln. So kann fundiert beurteilt und dokumentiert werden, ob eine vollständige DSFA notwendig ist oder warum darauf verzichtet werden kann. Dieser Ansatz spart nicht nur Ressourcen und Zeit, sondern bietet den Verantwortlichen auch eine erhöhte Sicherheit bei der Planung und Umsetzung der Datenbearbeitung.
Ein wesentlicher Vorteil der DSFA liegt darin, dass sie eine transparente Dokumentation der Analyse sicherheitsbezogener Risiken ermöglicht. Zudem unterstützt sie dabei, diese Risiken durch gezielte Massnahmen auf ein datenschutzrechtlich akzeptables Niveau zu reduzieren.
Das Vorgehen nach Abschluss der DSFA richtet sich nach der Bewertung der Nettorisiken und den gesetzlichen Vorgaben. Während ein geringes Risiko die Realisierung der Bearbeitung ohne weitere Behördenbeteiligung ermöglicht, erfordert ein hohes Restrisiko eine stärkere Transparenz und die Einbindung des EDÖB.
