Das neue, totalrevidierte Bundesgesetz über den Datenschutz (DSG) sieht sowohl für Behörden wie auch für Private bei der Einführung bestimmter neuer Bearbeitungen von Personendaten eine Pflicht zur Durchführung einer sogenannten Datenschutz- Folgenabschätzung (DSFA) vor. Während DSFA für Private grösstenteils neu sind, verpflichtete die bisherige Datenschutzverordnung Bundesorgane im Zusammenhang mit Datensicherheitsmassnahmen bereits unter dem bisherigem Datenschutzgesetz (aDSG), dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) Projekte zur automatisierten Bearbeitung von Daten zu melden, damit «die Erfordernisse des Datenschutzes sogleich berücksichtigt werden» (Art. 20 aDSV). Auch die Datenschutzgesetze diverser Schweizer Kantone kennen bereits ähnliche Vorgaben, die teils explizit als DSFA, teils als «Vorabkontrolle» bezeichnet werden (siehe etwa § 10 IDG/ZH oder Art. 17a KDSG/BE). Bundesorgane müssen nach DSG immer dann eine DSFA durchführen, wenn eine Datenbearbeitung ein hohes Risiko für die Grundrechte der betroffenen Person mit sich bringen kann.
1. Zweck
Eine DSFA erfordert und ermöglicht eine frühe Auseinandersetzung mit möglichen datenschutzrechtlichen Risiken einer neuen Datenbearbeitung. Die DSFA dient daher zunächst dazu, (hohe) datenschutzrechtliche Risiken für die betroffenen Personen zu erkennen und zu bewerten. Als weiteres Ziel bezweckt die DSFA die Identifizierung und Implementierung von Massnahmen, mit welchen diese Risiken vermieden oder zumindest verringert werden können.
2. In welchen Fällen ist eine DSFA zu erstellen?
Nicht jede neue Datenbearbeitung durch Bundesorgane erfordert zwingend eine DSFA, sondern das DSG sieht eine solche Pflicht nur dann vor, wenn die geplante Datenbearbeitung, beispielsweise aufgrund der Verwendung neuer Technologien, ihrer Art, ihres Umfangs, ihrer Umstände oder ihrer Zwecke, voraussichtlich ein hohes Risiko für die Persönlichkeitsrechte oder Grundrechte der betroffenen Personen mit sich bringen kann. Der Begriff des hohen Risikos wird an mehreren Stellen im DSG erwähnt (z.B. Profiling mit hohem Risiko, Art. 5 lit. g; Datenschutzvertreter, Art. 14 Abs. 1 lit. d; Meldung von Datensicherheitsverletzungen, Art. 24; Prüfung der Kreditwürdigkeit, Art. 31 Abs. 2 lit. c Ziff. 1). Der unbestimmte Rechtsbegriff des «hohen Risikos» wird weder im DSG noch in der Verordnung über den Datenschutz (DSV) näher umschrieben, weshalb letztlich die Behörden- und Gerichtspraxis bestimmen werden muss, in welchen Fällen ein hohes Risiko vorliegt. Ein hohes Risiko von Gesetzes wegen wird in den folgenden Fällen vermutet (Art. 22 Abs. 2 DSG):
Gegenstand einer DSFA müssen nicht zwingend neue Datenbearbeitungen sein, sondern können auch Weiterentwicklungen und Erweiterungen vorbestehender Datenbearbeitungen sein.
Um beurteilen zu können, ob eine DSFA erstellt werden muss, müssen Bundesorgane zuerst eine Schwellenwertanalyse durchführen, bei welcher untersucht wird, ob die «Schwelle» des hohen Risikos erreicht wird (gewisse kantonale Datenschutzgesetze sehen dagegen die Durchführung einer DSFA unabhängig vom Risiko für die betroffenen Personen vor, z.B. § 10 Abs. 1 IDG/ZH). Im Rahmen der Schwellenwertanalyse ist das Risiko für die Grundrechte der betroffenen Person durch die fragliche Bearbeitung abstrakt zu beurteilen, d.h. ohne Berücksichtigung risikomildernder Massnahmen (man spricht von der Ermittlung des «Bruttorisikos»). Falls aus der Schwellenwertanalyse ein hohes (Brutto-)Risiko resultiert, muss eine DSFA durchgeführt werden.
3. Wie ist eine DSFA zu erstellen?
Die DSFA ist «vorgängig» zur Vornahme der geplanten Datenbearbeitung zu erstellen. Demnach muss die DSFA erstellt werden, bevor die Bearbeitung aufgenommen wird, welche ein hohes Risiko für die betroffenen Personen mit sich bringen kann.
Erhält der EDÖB Kenntnis von einer geplanten Bearbeitung und ist er der Auffassung, dass der Verantwortliche vor deren Realisierung eine Vorprüfung und hernach eine DSFA durchführen muss, kann er im Weigerungsfalle gegen die Realisierung der geplanten Bearbeitung aufsichtsrechtlich einschreiten.
Bei Bundesorganen stellt sich ausserdem die Frage, wie eine DSFA zeitlich mit dem Gesetzgebungsverfahren zu koordinieren ist, in dem die Rechtsgrundlagen für die Bearbeitung geschaffen werden sollen. Offenbar soll in den Richtlinien für Bundesratsgeschäfte und im Botschaftsleitfaden vorgesehen werden, dass die Bundesorgane zusammen mit den Erlassentwürfen dem Antrag an den Bundesrat eine DSFA beifügen und deren Resultate in der Botschaft festhalten müssen. Die DSFA wird somit analog zur Regulierungsfolgenabschätzung eingebaut werden müssen.
Eine DSFA (inkl. Bruttorisiko-Schwellenwertanalyse) erfolgt in mehreren Schritten und sieht in der Regel wie folgt aus:
Gemäss Art. 22 Abs. 3 DSG muss eine DSFA mindestens folgende Elemente enthalten:
4. Konsequenzen einer DSFA
Das Hauptergebnis einer DSFA besteht in einer Beurteilung des verbleibenden Risikos der Datenbearbeitung für die Grundrechte der betroffenen Personen unter Berücksichtigung der geplanten risikomindernden Massnahmen («Nettorisiko» oder auch «Restrisiko»). Abhängig von der Höhe dieses Nettorisikos ergibt sich aus der DSFA als weitere Konsequenz, ob das Bundesorgan bezüglich der geplanten Datenbearbeitung vorab den EDÖB konsultieren muss oder nicht. Ist das Nettorisiko einer beabsichtigten Datenbearbeitung für die Grundrechte der betroffenen Personen (weiterhin) hoch, hat das Bundesorgan eine Stellungnahme des EDÖB einzuholen (Art. 23 DSG). Die Stellungnahme des EDÖB ist gebührenpflichtig (Art. 59 Bst. c DSG).
Gleichzeitig bedeutet ein weiterhin hohes Nettorisiko nicht zwingend, dass die geplante Datenbearbeitung unzulässig ist. Bleibt trotz der vom verantwortlichen Bundesorgan vorgesehenen Massnahmen ein hohes Risiko für die Grundrechte der betroffenen Person bestehen, kann es jedoch schwierig sein zu begründen, dass die Datenbearbeitungsgrundsätze dennoch eingehalten werden.
Die Stellungnahme des EDÖB hat empfehlenden Charakter und stellt deshalb keine Genehmigung oder Bewilligung der geplanten Durchführung dar. Hat der EDÖB Einwände gegen die geplante Bearbeitung, schlägt er dem Verantwortlichen geeignete Massnahmen vor, sofern solche die festgestellten Risiken zu senken vermögen (Art. 23 Abs. 3 DSG).
Der EDÖB hat im August 2023 ein Merkblatt zur DSFA veröffentlicht, welches Hinweise zu den Voraussetzungen und zum Inhalt der DSFA enthält.