Datenschutz-Folgenabschätzung

Private und behördliche verantwortliche Datenbearbeiter müssen eine Datenschutz-Folgenabschätzung (DSFA) erstellen, wenn bei Personendatenbearbeitungen ein potenziell hohes Risiko für die Persönlichkeit oder die Grundrechte der Betroffenen erkennbar ist.

Die DSFA ist ein Instrument, mit dem verantwortliche Datenbearbeiter datenschutzrechtliche Risiken erfassen, bewerten und behandeln. Die Regelung zur DSFA im totalrevidierten Datenschutzgesetz des Bundes ist Ausdruck des risikobasierten Ansatzes im neuen Datenschutzrecht, der auch zur Folge hat, dass die Pflicht zur Erstellung einer DSFA nur bei potenziell hohem Risiko besteht.

Die DSFA umschreibt die geplante Datenbearbeitung, bewertet die Risiken für die Persönlichkeit oder die Grundrechte der betroffenen Personen und zeigt die Massnahmen zu deren Schutz auf. Im Falle einer bereits bestehenden Datenbearbeitung prüft und weist der Verantwortliche deren wesentliche Unterschiede zur geplanten Datenbearbeitung in der DSFA aus. 

Ein hohes Risiko kann sich aus der Verwendung neuer Technologien, aus der Art, dem Umfang, den Umständen und dem Zweck der Bearbeitung ergeben. Das Gesetz nennt beispielsweise die umfangreiche Bearbeitung besonders schützenswerter Personendaten und die systematische, umfangreiche Überwachung öffentlicher Bereiche (vgl. Art. 22 DSG). Bei der Bewertung und Behandlung der Risiken gilt es zu unterscheiden zwischen solchen, die durch risikomindernde Massnahmen beeinflussbar sind, und solchen, die durch Massnahmen nicht oder kaum beeinflussbar sind.  

Resultiert aus der DSFA, dass bei der geplanten Datenbearbeitung trotz der vom Verantwortlichen vorgesehenen Massnahmen ein hohes Restrisiko für die Persönlichkeit oder die Grundrechte der Betroffenen bestehen bleibt, so muss eine Stellungnahme des EDÖB eingeholt werden. Eine Ausnahme gilt für private Verantwortliche, wenn sie ihre Datenschutzberaterin oder ihren Datenschutzberater konsultiert haben.