Da­ten­schutz-Fol­gen­ab­schät­zung und Vor­ab­kon­trol­le

Mit einer DSFA können Datenschutzrisiken erkannt und bewertet werden. Öffentliche Organe sind verpflichtet, Risiken für die Privatsphäre von Betroffenen zu identifizieren und mit geeigneten Massnahmen zu reduzieren. Die DSFA unterstützt sie bei der Erfüllung dieser Pflicht.

Für die DSFA werden in einem Dokument die Risiken der Bearbeitung von Personendaten für die Grundrechte aufgeführt, bewertet und mit Massnahmen versehen, um die aufgeführten Risiken zu reduzieren.

1. Vor jeder beabsichtigten neuen Bearbeitung von Personendaten (zum Beispiel ein neues Digitalisierungsprojekt)
2. Vor einer wesentlichen Änderung der Bearbeitung von Personendaten (zum Beispiel ein neuer Online-Zugriff einer anderen Behörde

Während der Planung und Einführung der neuen Bearbeitung oder Änderung der Bearbeitung ist periodisch zu überprüfen, ob die Erkennung und Bewertung in der DSFA zu ergänzen oder anzupassen ist und ob die Massnahmen zur Senkung der Risiken nach wie vor angemessen sind.

Die Pflicht zur Erstellung einer DSFA liegt beim öffentlichen Organ, das für die geplante neue oder wesentlich veränderte Bearbeitung verantwortlich ist. Die DSFA wird von entsprechend geschultem Personal (juristisch, organisatorisch-technisch) erstellt.

Die Datenschutzbeauftragte stellt ein Formular für die DSFA zu Verfügung (siehe auch oben).

Wenn die beabsichtigte Bearbeitung von Personendaten eines öffentlichen Organs besondere Risiken aufweist, ist eine Vorabkontrolle durch die Datenschutzbeauftragte erforderlich.

Die DSFA wird erstmalig in der Initialisierungsphase eines Projekts durchgeführt. Ergeben sich aus der DSFA besondere Risiken, ist die Datenschutzbeauftragte über die beabsichtigte Bearbeitung von Personendaten zu informieren. Die Information zur Vorabkontrolle kann somit bereits vor der Konzept- oder Planungsphase erfolgen. Die Vorabkontrolle findet in der Konzeptphase statt.

Mit der DSFA wird ermittelt, ob eine Vorabkontrolle notwendig ist. Mit der DSFA wird festgestellt, ob eine beabsichtigte Bearbeitung von Personendaten besondere Risikofaktoren aufweist. Bei besonderen Risiken ist eine Vorabkontrolle angezeigt. Wenn zweifelhaft ist, ob besondere Risiken vorliegen und eine Vorabkontrolle erforderlich ist, berät die Datenschutzbeauftragte das öffentliche Organ bei der Entscheidung.

Die Datenschutzbeauftragte prüft die rechtlichen, organisatorischen und technischen Rahmenbedingungen der beabsichtigten Datenbearbeitung. Das Resultat der Vorabkontrolle wird in einem Dokument festgehalten und dem öffentlichen Organ innert angemessener Frist zugestellt.

Für die Vorabkontrolle sind der Datenschutzbeauftragten folgende Unterlagen einzureichen:

1. ISDS-Konzept nach HERMES
2. Datenschutz-Folgenabschätzung gemäss Formular der Datenschutzbeauftragten
3. Rechtsgrundlagenanalyse (Darstellung der Rechtsgrundlage enthält Ausführungen zur Einhaltung der Gesetzmässigkeit)

Das Merkblatt Vorabkontrolle enthält weitere Informationen.

• § 10 IDG (Gesetz über die Information und den Datenschutz, LS 170.4)
• § 24 IDV (Verordnung über die Information und den Datenschutz, LS 170.41)