Öffentliche Organe sind verpflichtet eine Datenschutz-Folgenabschätzung (DSFA) zu erstellen. Bei neuen Datenbearbeitungen sollen im Voraus die Risiken des Projekts für die Privatsphäre eingeschätzt und minimiert werden. Bei besonderen Risiken ist das Projekt der Datenschutzbeauftragen zur Vorabkontrolle zu unterbreiten.
Mit einer DSFA können Datenschutzrisiken erkannt und bewertet werden. Öffentliche Organe sind verpflichtet, Risiken für die Privatsphäre von Betroffenen zu identifizieren und mit geeigneten Massnahmen zu reduzieren. Die DSFA unterstützt sie bei der Erfüllung dieser Pflicht.
Für die DSFA werden in einem Dokument die Risiken der Bearbeitung von Personendaten für die Grundrechte aufgeführt, bewertet und mit Massnahmen versehen, um die aufgeführten Risiken zu reduzieren.
Während der Planung und Einführung der neuen Bearbeitung oder Änderung der Bearbeitung ist periodisch zu überprüfen, ob die Erkennung und Bewertung in der DSFA zu ergänzen oder anzupassen ist und ob die Massnahmen zur Senkung der Risiken nach wie vor angemessen sind.
Die Pflicht zur Erstellung einer DSFA liegt beim öffentlichen Organ, das für die geplante neue oder wesentlich veränderte Bearbeitung verantwortlich ist. Die DSFA wird von entsprechend geschultem Personal (juristisch, organisatorisch-technisch) erstellt.
Die Datenschutzbeauftragte stellt ein Formular für die DSFA zu Verfügung (siehe auch oben).
Wenn die beabsichtigte Bearbeitung von Personendaten eines öffentlichen Organs besondere Risiken aufweist, ist eine Vorabkontrolle durch die Datenschutzbeauftragte erforderlich.
Die DSFA wird erstmalig in der Initialisierungsphase eines Projekts durchgeführt. Ergeben sich aus der DSFA besondere Risiken, ist die Datenschutzbeauftragte über die beabsichtigte Bearbeitung von Personendaten zu informieren. Die Information zur Vorabkontrolle kann somit bereits vor der Konzept- oder Planungsphase erfolgen. Die Vorabkontrolle findet in der Konzeptphase statt.
Mit der DSFA wird ermittelt, ob eine Vorabkontrolle notwendig ist. Mit der DSFA wird festgestellt, ob eine beabsichtigte Bearbeitung von Personendaten besondere Risikofaktoren aufweist. Bei besonderen Risiken ist eine Vorabkontrolle angezeigt. Wenn zweifelhaft ist, ob besondere Risiken vorliegen und eine Vorabkontrolle erforderlich ist, berät die Datenschutzbeauftragte das öffentliche Organ bei der Entscheidung.
Die Datenschutzbeauftragte prüft die rechtlichen, organisatorischen und technischen Rahmenbedingungen der beabsichtigten Datenbearbeitung. Das Resultat der Vorabkontrolle wird in einem Dokument festgehalten und dem öffentlichen Organ innert angemessener Frist zugestellt.
Für die Vorabkontrolle sind der Datenschutzbeauftragten folgende Unterlagen einzureichen:
Das Merkblatt Vorabkontrolle enthält weitere Informationen.