Datenschutz-Folgenabschätzung und Vorabkontrolle
Öffentliche Organe sind verpflichtet eine Datenschutz-Folgenabschätzung (DSFA) zu erstellen. Bei neuen Datenbearbeitungen sollen im Voraus die Risiken des Projekts für die Privatsphäre eingeschätzt und minimiert werden. Bei besonderen Risiken ist das Projekt der Datenschutzbeauftragen zur Vorabkontrolle zu unterbreiten.
Was ist eine DSFA?
Mit einer DSFA können Datenschutzrisiken erkannt und bewertet werden. Öffentliche Organe sind verpflichtet, Risiken für die Privatsphäre von Betroffenen zu identifizieren und mit geeigneten Massnahmen zu reduzieren. Die DSFA unterstützt sie bei der Erfüllung dieser Pflicht.
Für die DSFA werden in einem Dokument die Risiken der Bearbeitung von Personendaten für die Grundrechte aufgeführt und bewertet. Im Dokument werden Massnahmen definiert, um die Risiken zu reduzieren.
Wann besteht die Pflicht zur Erstellung einer DSFA?
- Vor jeder beabsichtigten neuen Bearbeitung von Personendaten zum Beispiel für ein neues Digitalisierungsprojekt
- Vor einer wesentlichen Änderung der Bearbeitung von Personendaten zum Beispiel, wenn ein neuer Online-Zugriff für eine andere Behörde eingerichtet werden soll
Während der Planung und Einführung der neuen Bearbeitung oder Änderung der Bearbeitung ist periodisch zu überprüfen, ob die Erkennung und Bewertung in der DSFA zu ergänzen oder anzupassen ist und ob die Massnahmen zur Reduktion der Risiken noch angemessen sind.
Wer muss eine DSFA erstellen?
Die Pflicht zur Erstellung einer DSFA liegt beim öffentlichen Organ, das für die beabsichtigte neue oder wesentlich veränderte Bearbeitung verantwortlich ist. Die DSFA wird von geschultem Personal (juristisch, organisatorisch-technisch) erstellt.
Wie wird eine DSFA erstellt?
Die Datenschutzbeauftragte stellt ein Formular für die DSFA zu Verfügung.
Wann besteht die Pflicht zur Vorabkontrolle?
Eine Vorabkontrolle durch die Datenschutzbeauftragte ist erforderlich, wenn die beabsichtigte Bearbeitung von Personendaten eines öffentlichen Organs besondere Risiken für die Grundrechte der betroffenen Personen aufweist.
Wie hängen DSFA und Vorabkontrolle zusammen?
Mit der DSFA wird erstmalig in der Initialisierungsphase abgeklärt, ob eine beabsichtigte Bearbeitung von Personendaten besondere Risiken aufweist. Werden besondere Risiken festgestellt, dann ist eine Vorabkontrolle erforderlich.
Die Datenschutzbeauftragte kann schon vor der Konzept- oder Planungsphase über die bevorstehende Vorabkontrolle informiert werden. Die Vorabkontrolle findet in der Konzeptphase statt.
Die Datenschutzbeauftragte berät das öffentliche Organ, wenn zweifelhaft ist, ob besondere Risiken vorliegen und eine Vorabkontrolle erforderlich ist.
Was ist der Inhalt einer Vorabkontrolle?
Die Datenschutzbeauftragte prüft die rechtlichen, organisatorischen und technischen Rahmenbedingungen der beabsichtigten Datenbearbeitung. Das Resultat der Vorabkontrolle wird in einem Dokument festgehalten und dem öffentlichen Organ innert angemessener Frist zugestellt.
Welche Unterlagen müssen eingereicht werden?
Für die Vorabkontrolle sind der Datenschutzbeauftragten folgende Unterlagen einzureichen:
- Informationssicherheits- und Datenschutz-Konzept (ISDS-Konzept) (nach HERMES)
- Datenschutz-Folgenabschätzung (DSFA) gemäss Formular der Datenschutzbeauftragten mit einer detaillierten Beschreibung der Bearbeitung von Personendaten
- Rechtsgrundlagenanalyse
Das Merkblatt Vorabkontrolle enthält weitere Informationen.