Da­ten­schu­tz-Fol­gen­ab­schät­zu­ng und Vor­ab­kon­trol­le

Öffentliche Organe sind verpflichtet eine Datenschutz-Folgenabschätzung (DSFA) zu erstellen. Bei neuen Datenbearbeitungen sollen im Voraus die Risiken des Projekts für die Privatsphäre eingeschätzt und minimiert werden. Bei besonderen Risiken ist das Projekt der Datenschutzbeauftragen zur Vorabkontrolle zu unterbreiten.

Was ist eine DSFA?

Mit einer DSFA können Datenschutzrisiken erkannt und bewertet werden. Öffentliche Organe sind verpflichtet, Risiken für die Privatsphäre von Betroffenen zu identifizieren und mit geeigneten Massnahmen zu reduzieren. Die DSFA unterstützt sie bei der Erfüllung dieser Pflicht.

Für die DSFA werden in einem Dokument die Risiken der Bearbeitung von Personendaten für die Grundrechte aufgeführt und bewertet. Im Dokument werden Massnahmen definiert, um die Risiken zu reduzieren.

Wann be­steht die Pfli­cht zur Er­stel­lung ei­ner DSFA?

  • Vor jeder beabsichtigten neuen Bearbeitung von Personendaten zum Beispiel für ein neues Digitalisierungsprojekt
  • Vor einer wesentlichen Änderung der Bearbeitung von Personendaten zum Beispiel, wenn ein neuer Online-Zugriff für eine andere Behörde eingerichtet werden soll

Während der Planung und Einführung der neuen Bearbeitung oder Änderung der Bearbeitung ist periodisch zu überprüfen, ob die Erkennung und Bewertung in der DSFA zu ergänzen oder anzupassen ist und ob die Massnahmen zur Reduktion der Risiken noch angemessen sind.

Wer muss eine DSFA er­stel­len?

Die Pflicht zur Erstellung einer DSFA liegt beim öffentlichen Organ, das für die beabsichtigte neue oder wesentlich veränderte Bearbeitung verantwortlich ist. Die DSFA wird von geschultem Personal (juristisch, organisatorisch-technisch) erstellt.

Wie wird eine DSFA er­stel­lt?

Die Datenschutzbeauftragte stellt ein Formular für die DSFA zu Verfügung.

Wann be­steht die Pfli­cht zur Vor­ab­kon­trol­le?

Eine Vorabkontrolle durch die Datenschutzbeauftragte ist erforderlich, wenn die beabsichtigte Bearbeitung von Personendaten eines öffentlichen Organs besondere Risiken für die Grundrechte der betroffenen Personen aufweist.

Wie hän­gen DSFA und Vor­ab­kon­trol­le zu­sam­men?

Mit der DSFA wird erstmalig in der Initialisierungsphase abgeklärt, ob eine beabsichtigte Bearbeitung von Personendaten besondere Risiken aufweist. Werden besondere Risiken festgestellt, dann ist eine Vorabkontrolle erforderlich.

Die Datenschutzbeauftragte kann schon vor der Konzept- oder Planungsphase über die bevorstehende Vorabkontrolle informiert werden. Die Vorabkontrolle findet in der Konzeptphase statt.

Die Datenschutzbeauftragte berät das öffentliche Organ, wenn zweifelhaft ist, ob besondere Risiken vorliegen und eine Vorabkontrolle erforderlich ist.

Was ist der In­halt ei­ner Vor­ab­kon­trol­le?

Die Datenschutzbeauftragte prüft die rechtlichen, organisatorischen und technischen Rahmenbedingungen der beabsichtigten Datenbearbeitung. Das Resultat der Vorabkontrolle wird in einem Dokument festgehalten und dem öffentlichen Organ innert angemessener Frist zugestellt.

Wel­che Un­ter­la­gen müs­sen ein­ge­reicht wer­den?

Für die Vorabkontrolle sind der Datenschutzbeauftragten folgende Unterlagen einzureichen:

  1. Informationssicherheits- und Datenschutz-Konzept (ISDS-Konzept) (nach HERMES)
  2. Datenschutz-Folgenabschätzung (DSFA) gemäss Formular der Datenschutzbeauftragten mit einer detaillierten Beschreibung der Bearbeitung von Personendaten
  3. Rechtsgrundlagenanalyse

Das Merkblatt Vorabkontrolle enthält weitere Informationen.

Rechts­grund­la­gen

  • § 10 IDG (Gesetz über die Information und den Datenschutz, LS 170.4)
  • § 24 IDV (Verordnung über die Information und den Datenschutz, LS 170.41)