1. Zweck

Eine DSFA erfordert und ermöglicht eine frühe Auseinandersetzung mit möglichen datenschutzrechtlichen Risiken einer neuen Datenbearbeitung. Die DSFA dient daher zunächst dazu, (hohe) datenschutzrechtliche Risiken für die betroffenen Personen zu erkennen und zu bewerten. Als weiteres Ziel bezweckt die DSFA die Identifizierung und Implementierung von Massnahmen, mit welchen diese Risiken vermieden oder zumindest verringert werden können.

2. In welchen Fällen ist eine DSFA zu erstellen?

Nicht jede neue Datenbearbeitung durch Bundesorgane erfordert zwingend eine DSFA, sondern das DSG sieht eine solche Pflicht nur dann vor, wenn die geplante Datenbearbeitung, beispielsweise aufgrund der Verwendung neuer Technologien, ihrer Art, ihres Umfangs, ihrer Umstände oder ihrer Zwecke, voraussichtlich ein hohes Risiko für die Persönlichkeitsrechte oder Grundrechte der betroffenen Personen mit sich bringen kann. Der Begriff des hohen Risikos wird an mehreren Stellen im DSG erwähnt (z.B. Profiling mit hohem Risiko, Art. 5 lit. g; Datenschutzvertreter, Art. 14 Abs. 1 lit. d; Meldung von Datensicherheitsverletzungen, Art. 24; Prüfung der Kreditwürdigkeit, Art. 31 Abs. 2 lit. c Ziff. 1). Der unbestimmte Rechtsbegriff des «hohen Risikos» wird weder im DSG noch in der Verordnung über den Datenschutz (DSV) näher umschrieben, weshalb letztlich die Behörden- und Gerichtspraxis bestimmen werden muss, in welchen Fällen ein hohes Risiko vorliegt. Ein hohes Risiko von Gesetzes wegen wird in den folgenden Fällen vermutet (Art. 22 Abs. 2 DSG):

• umfangreiche Bearbeitung besonders schützenswerter Personendaten (z.B. Gesundheits- oder genetische-/biometrische Daten);
• systematische und umfangreiche Bewertung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person auf der Basis automatisierter Datenbearbeitung (z.B. Profiling mit hohem
  Risiko).

Gegenstand einer DSFA müssen nicht zwingend neue Datenbearbeitungen sein, sondern können auch Weiterentwicklungen und Erweiterungen vorbestehender Datenbearbeitungen sein.

Um beurteilen zu können, ob eine DSFA erstellt werden muss, müssen Bundesorgane zuerst eine Schwellenwertanalyse durchführen, bei welcher untersucht wird, ob die «Schwelle» des hohen Risikos erreicht wird (gewisse kantonale Datenschutzgesetze sehen dagegen die Durchführung einer DSFA unabhängig vom Risiko für die betroffenen Personen vor, z.B. § 10 Abs. 1 IDG/ZH). Im Rahmen der Schwellenwertanalyse ist das Risiko für die Grundrechte der betroffenen Person durch die fragliche Bearbeitung abstrakt zu beurteilen, d.h. ohne Berücksichtigung risikomildernder Massnahmen (man spricht von der Ermittlung des «Bruttorisikos»). Falls aus der Schwellenwertanalyse ein hohes (Brutto-)Risiko resultiert, muss eine DSFA durchgeführt werden.

3. Wie ist eine DSFA zu erstellen?

Die DSFA ist «vorgängig» zur Vornahme der geplanten Datenbearbeitung zu erstellen. Demnach muss die DSFA erstellt werden, bevor die Bearbeitung aufgenommen wird, welche ein hohes Risiko für die betroffenen Personen mit sich bringen kann.

Erhält der EDÖB Kenntnis von einer geplanten Bearbeitung und ist er der Auffassung, dass der Verantwortliche vor deren Realisierung eine Vorprüfung und hernach eine DSFA durchführen muss, kann er im Weigerungsfalle gegen die Realisierung der geplanten Bearbeitung aufsichtsrechtlich einschreiten.

Bei Bundesorganen stellt sich ausserdem die Frage, wie eine DSFA zeitlich mit dem Gesetzgebungsverfahren zu koordinieren ist, in dem die Rechtsgrundlagen für die Bearbeitung geschaffen werden sollen. Offenbar soll in den Richtlinien für Bundesratsgeschäfte und im Botschaftsleitfaden vorgesehen werden, dass die Bundesorgane zusammen mit den Erlassentwürfen dem Antrag an den Bundesrat eine DSFA beifügen und deren Resultate in der Botschaft festhalten müssen. Die DSFA wird somit analog zur Regulierungsfolgenabschätzung eingebaut werden müssen.

Eine DSFA (inkl. Bruttorisiko-Schwellenwertanalyse) erfolgt in mehreren Schritten und sieht in der Regel wie folgt aus:

• Sachverhaltsklärung – Beschreibung der geplanten Datenbearbeitung    
  Hier wird detailliert beschrieben, welche Daten zu welchem Zweck und auf welcher gesetzlichen Grundlage (Legalitätsprinzip) bearbeitet werden sollen. Dabei sind auch alle an der Datenbearbeitung beteiligte Dritte und eingesetzten Technologien zu identifizieren (inkl. Klärung der Frage von Auslandsdatenbekanntgaben).
• Notwendigkeit einer DSFA klären – Bewertung des Bruttorisikos            
  Risiken für die betroffenen Personen werden identifiziert und bewertet. Basierend auf diesen Informationen muss das Bundesorgan das Bruttorisiko für die Grundrechte der betroffenen Personen ermitteln und damit klären, ob die Bearbeitung hohe Risiken für die betroffenen Personen zur Folge hat und ob, abhängig vom ermittelten Bruttorisiko, eine DSFA durchzuführen ist oder nicht.
• Durchführung der DSFA – Bestimmung geeigneter Massnahmen zur Risikominimierung und Bewertung des Nettorisikos:           
  Basierend auf den ersten beiden Schritten werden geeignete Massnahmen (technische und organisatorische Massnahmen, «TOM») zur Reduzierung der ermittelten Risiken identifiziert. Es wird eine Nettorisiko-Analyse durchgeführt. Die Ergebnisse der DSFA sowie die beschlossenen risikomindernden Massnahmen werden dokumentiert. Sollte auch die Nettorisiko-Analyse immer noch ein hohes Risiko für die Grundrechte der betroffenen Personen ergeben, muss das zuständige Bundesorgan den EDÖB konsultieren.
• Umsetzung – Implementierung der beschlossenen risikomindernden Massnahmen: Einführung der im Rahmen der DSFA beschlossenen risikomindernden Massnahmen.
• Monitoring – Beratung und Überprüfung durch den Datenschutzberater: Der Datenschutzberater des Bundesorgans hat das Bundesorgan bei der Erstellung der DSFA zu beraten und deren Ausführung zu überprüfen (Art. 26 Abs. 2 lit. a Ziff. 2 DSV). Sollten sich die Risiken für die betroffenen Personen mit der Zeit ändern, muss das Bundesorgan die risikomindernden Massnahmen aktualisieren und, falls erforderlich, die bisherige DSFA neu durchführen.

Gemäss Art. 22 Abs. 3 DSG muss eine DSFA mindestens folgende Elemente enthalten:

• eine Beschreibung der geplanten Bearbeitung;
• eine Bewertung der Risiken für die Grundrechte der betroffenen Person; sowie
• die Massnahmen zum Schutz der Grundrechte der betroffenen Person.

4. Konsequenzen einer DSFA

Das Hauptergebnis einer DSFA besteht in einer Beurteilung des verbleibenden Risikos der Datenbearbeitung für die Grundrechte der betroffenen Personen unter Berücksichtigung der geplanten risikomindernden Massnahmen («Nettorisiko» oder auch «Restrisiko»). Abhängig von der Höhe dieses Nettorisikos ergibt sich aus der DSFA als weitere Konsequenz, ob das Bundesorgan bezüglich der geplanten Datenbearbeitung vorab den EDÖB konsultieren muss oder nicht. Ist das Nettorisiko einer beabsichtigten Datenbearbeitung für die Grundrechte der betroffenen Personen (weiterhin) hoch, hat das Bundesorgan eine Stellungnahme des EDÖB einzuholen (Art. 23 DSG). Die Stellungnahme des EDÖB ist gebührenpflichtig (Art. 59 Bst. c DSG).

Gleichzeitig bedeutet ein weiterhin hohes Nettorisiko nicht zwingend, dass die geplante Datenbearbeitung unzulässig ist. Bleibt trotz der vom verantwortlichen Bundesorgan vorgesehenen Massnahmen ein hohes Risiko für die Grundrechte der betroffenen Person bestehen, kann es jedoch schwierig sein zu begründen, dass die Datenbearbeitungsgrundsätze dennoch eingehalten werden.

Die Stellungnahme des EDÖB hat empfehlenden Charakter und stellt deshalb keine Genehmigung oder Bewilligung der geplanten Durchführung dar. Hat der EDÖB Einwände gegen die geplante Bearbeitung, schlägt er dem Verantwortlichen geeignete Massnahmen vor, sofern solche die festgestellten Risiken zu senken vermögen (Art. 23 Abs. 3 DSG).

Der EDÖB hat im August 2023 ein Merkblatt zur DSFA veröffentlicht, welches Hinweise zu den Voraussetzungen und zum Inhalt der DSFA enthält.