Da­ten­schutz-Fol­gen­ab­schät­zung und Vor­ab­kon­trol­le

Öffentliche Organe sind verpflichtet eine Datenschutz-Folgenabschätzung (DSFA) zu erstellen. Bei neuen Datenbearbeitungen sollen im Voraus die Risiken des Projekts für die Privatsphäre eingeschätzt und minimiert werden. Bei besonderen Risiken ist das Projekt der Datenschutzbeauftragen zur Vorabkontrolle zu unterbreiten.

Was ist eine DSFA?

Mit einer DSFA können Datenschutzrisiken erkannt und bewertet werden. Öffentliche Organe sind verpflichtet, Risiken für die Privatsphäre von Betroffenen zu identifizieren und mit geeigneten Massnahmen zu reduzieren. Die DSFA unterstützt sie bei der Erfüllung dieser Pflicht.

Für die DSFA werden in einem Dokument die Risiken der Bearbeitung von Personendaten für die Grundrechte aufgeführt, bewertet und mit Massnahmen versehen, um die aufgeführten Risiken zu reduzieren.

Wann be­steht die Pflicht zur Er­stel­lung ei­ner DSFA?

  1. Vor jeder beabsichtigten neuen Bearbeitung von Personendaten (zum Beispiel ein neues Digitalisierungsprojekt)
  2. Vor einer wesentlichen Änderung der Bearbeitung von Personendaten (zum Beispiel ein neuer Online-Zugriff einer anderen Behörde

Während der Planung und Einführung der neuen Bearbeitung oder Änderung der Bearbeitung ist periodisch zu überprüfen, ob die Erkennung und Bewertung in der DSFA zu ergänzen oder anzupassen ist und ob die Massnahmen zur Senkung der Risiken nach wie vor angemessen sind.

Wer muss eine DSFA er­stel­len?

Die Pflicht zur Erstellung einer DSFA liegt beim öffentlichen Organ, das für die geplante neue oder wesentlich veränderte Bearbeitung verantwortlich ist. Die DSFA wird von entsprechend geschultem Personal (juristisch, organisatorisch-technisch) erstellt.

Wie wird eine DSFA er­stellt?

Die Datenschutzbeauftragte stellt ein Formular für die DSFA zu Verfügung (siehe auch oben).

Wann be­steht die Pflicht zur Vor­ab­kon­trol­le?

Wenn die beabsichtigte Bearbeitung von Personendaten eines öffentlichen Organs besondere Risiken aufweist, ist eine Vorabkontrolle durch die Datenschutzbeauftragte erforderlich.

Die DSFA wird erstmalig in der Initialisierungsphase eines Projekts durchgeführt. Ergeben sich aus der DSFA besondere Risiken, ist die Datenschutzbeauftragte über die beabsichtigte Bearbeitung von Personendaten zu informieren. Die Information zur Vorabkontrolle kann somit bereits vor der Konzept- oder Planungsphase erfolgen. Die Vorabkontrolle findet in der Konzeptphase statt.

Zu­sam­men­hang zwi­schen DSFA und Vor­ab­kon­trol­le?

Mit der DSFA wird ermittelt, ob eine Vorabkontrolle notwendig ist. Mit der DSFA wird festgestellt, ob eine beabsichtigte Bearbeitung von Personendaten besondere Risikofaktoren aufweist. Bei besonderen Risiken ist eine Vorabkontrolle angezeigt. Wenn zweifelhaft ist, ob besondere Risiken vorliegen und eine Vorabkontrolle erforderlich ist, berät die Datenschutzbeauftragte das öffentliche Organ bei der Entscheidung.

Was ist der In­halt ei­ner Vor­ab­kon­trol­le?

Die Datenschutzbeauftragte prüft die rechtlichen, organisatorischen und technischen Rahmenbedingungen der beabsichtigten Datenbearbeitung. Das Resultat der Vorabkontrolle wird in einem Dokument festgehalten und dem öffentlichen Organ innert angemessener Frist zugestellt.

Wel­che Un­ter­la­gen müs­sen ein­ge­reicht wer­den?

Für die Vorabkontrolle sind der Datenschutzbeauftragten folgende Unterlagen einzureichen:

  1. ISDS-Konzept nach HERMES
  2. Datenschutz-Folgenabschätzung gemäss Formular der Datenschutzbeauftragten
  3. Rechtsgrundlagenanalyse (Darstellung der Rechtsgrundlage enthält Ausführungen zur Einhaltung der Gesetzmässigkeit)

Das Merkblatt Vorabkontrolle enthält weitere Informationen.

Rechts­grund­la­gen

  • § 10 IDG (Gesetz über die Information und den Datenschutz, LS 170.4)
  • § 24 IDV (Verordnung über die Information und den Datenschutz, LS 170.41)