Übersicht

Neue Pflicht zur Durchführung von Datenschutz-Folgenabschätzungen – gilt auch für Behörden

Bieri Adrian, in: bratschiLETTER Öff.-Recht September 2023

Das neue, totalrevidierte Bundesgesetz über den Datenschutz (DSG) sieht sowohl für Behörden wie auch für Private bei der Einführung bestimmter neuer Bearbeitungen von Personendaten eine Pflicht zur Durchführung einer sogenannten Datenschutz- Folgenabschätzung (DSFA) vor. Während DSFA für Private grösstenteils neu sind, verpflichtete die bisherige Datenschutzverordnung Bundesorgane im Zusammenhang mit Datensicherheitsmassnahmen bereits unter dem bisherigem Datenschutzgesetz (aDSG), dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) Projekte zur automatisierten Bearbeitung von Daten zu melden, damit «die Erfordernisse des Datenschutzes sogleich berücksichtigt werden» (Art. 20 aDSV). Auch die Datenschutzgesetze diverser Schweizer Kantone kennen bereits ähnliche Vorgaben, die teils explizit als DSFA, teils als «Vorabkontrolle» bezeichnet werden (siehe etwa § 10 IDG/ZH oder Art. 17a KDSG/BE). Bundesorgane müssen nach DSG immer dann eine DSFA durchführen, wenn eine Datenbearbeitung ein hohes Risiko für die Grundrechte der betroffenen Person mit sich bringen kann.

1. Zweck

Eine DSFA erfordert und ermöglicht eine frühe Auseinandersetzung mit möglichen datenschutzrechtlichen Risiken einer neuen Datenbearbeitung. Die DSFA dient daher zunächst dazu, (hohe) datenschutzrechtliche Risiken für die betroffenen Personen zu erkennen und zu bewerten. Als weiteres Ziel bezweckt die DSFA die Identifizierung und Implementierung von Massnahmen, mit welchen diese Risiken vermieden oder zumindest verringert werden können.

 

2. In welchen Fällen ist eine DSFA zu erstellen?

Nicht jede neue Datenbearbeitung durch Bundesorgane erfordert zwingend eine DSFA, sondern das DSG sieht eine solche Pflicht nur dann vor, wenn die geplante Datenbearbeitung, beispielsweise aufgrund der Verwendung neuer Technologien, ihrer Art, ihres Umfangs, ihrer Umstände oder ihrer Zwecke, voraussichtlich ein hohes Risiko für die Persönlichkeitsrechte oder Grundrechte der betroffenen Personen mit sich bringen kann. Der Begriff des hohen Risikos wird an mehreren Stellen im DSG erwähnt (z.B. Profiling mit hohem Risiko, Art. 5 lit. g; Datenschutzvertreter, Art. 14 Abs. 1 lit. d; Meldung von Datensicherheitsverletzungen, Art. 24; Prüfung der Kreditwürdigkeit, Art. 31 Abs. 2 lit. c Ziff. 1). Der unbestimmte Rechtsbegriff des «hohen Risikos» wird weder im DSG noch in der Verordnung über den Datenschutz (DSV) näher umschrieben, weshalb letztlich die Behörden- und Gerichtspraxis bestimmen werden muss, in welchen Fällen ein hohes Risiko vorliegt. Ein hohes Risiko von Gesetzes wegen wird in den folgenden Fällen vermutet (Art. 22 Abs. 2 DSG):

  • umfangreiche Bearbeitung besonders schützenswerter Personendaten (z.B. Gesundheits- oder genetische-/biometrische Daten);
  • systematische und umfangreiche Bewertung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person auf der Basis automatisierter Datenbearbeitung (z.B. Profiling mit hohem
    Risiko).

Gegenstand einer DSFA müssen nicht zwingend neue Datenbearbeitungen sein, sondern können auch Weiterentwicklungen und Erweiterungen vorbestehender Datenbearbeitungen sein.

Um beurteilen zu können, ob eine DSFA erstellt werden muss, müssen Bundesorgane zuerst eine Schwellenwertanalyse durchführen, bei welcher untersucht wird, ob die «Schwelle» des hohen Risikos erreicht wird (gewisse kantonale Datenschutzgesetze sehen dagegen die Durchführung einer DSFA unabhängig vom Risiko für die betroffenen Personen vor, z.B. § 10 Abs. 1 IDG/ZH). Im Rahmen der Schwellenwertanalyse ist das Risiko für die Grundrechte der betroffenen Person durch die fragliche Bearbeitung abstrakt zu beurteilen, d.h. ohne Berücksichtigung risikomildernder Massnahmen (man spricht von der Ermittlung des «Bruttorisikos»). Falls aus der Schwellenwertanalyse ein hohes (Brutto-)Risiko resultiert, muss eine DSFA durchgeführt werden.

 

3. Wie ist eine DSFA zu erstellen?

Die DSFA ist «vorgängig» zur Vornahme der geplanten Datenbearbeitung zu erstellen. Demnach muss die DSFA erstellt werden, bevor die Bearbeitung aufgenommen wird, welche ein hohes Risiko für die betroffenen Personen mit sich bringen kann.

Erhält der EDÖB Kenntnis von einer geplanten Bearbeitung und ist er der Auffassung, dass der Verantwortliche vor deren Realisierung eine Vorprüfung und hernach eine DSFA durchführen muss, kann er im Weigerungsfalle gegen die Realisierung der geplanten Bearbeitung aufsichtsrechtlich einschreiten.

Bei Bundesorganen stellt sich ausserdem die Frage, wie eine DSFA zeitlich mit dem Gesetzgebungsverfahren zu koordinieren ist, in dem die Rechtsgrundlagen für die Bearbeitung geschaffen werden sollen. Offenbar soll in den Richtlinien für Bundesratsgeschäfte und im Botschaftsleitfaden vorgesehen werden, dass die Bundesorgane zusammen mit den Erlassentwürfen dem Antrag an den Bundesrat eine DSFA beifügen und deren Resultate in der Botschaft festhalten müssen. Die DSFA wird somit analog zur Regulierungsfolgenabschätzung eingebaut werden müssen.

Eine DSFA (inkl. Bruttorisiko-Schwellenwertanalyse) erfolgt in mehreren Schritten und sieht in der Regel wie folgt aus:

  • Sachverhaltsklärung – Beschreibung der geplanten Datenbearbeitung    
    Hier wird detailliert beschrieben, welche Daten zu welchem Zweck und auf welcher gesetzlichen Grundlage (Legalitätsprinzip) bearbeitet werden sollen. Dabei sind auch alle an der Datenbearbeitung beteiligte Dritte und eingesetzten Technologien zu identifizieren (inkl. Klärung der Frage von Auslandsdatenbekanntgaben).
  • Notwendigkeit einer DSFA klären – Bewertung des Bruttorisikos            
    Risiken für die betroffenen Personen werden identifiziert und bewertet. Basierend auf diesen Informationen muss das Bundesorgan das Bruttorisiko für die Grundrechte der betroffenen Personen ermitteln und damit klären, ob die Bearbeitung hohe Risiken für die betroffenen Personen zur Folge hat und ob, abhängig vom ermittelten Bruttorisiko, eine DSFA durchzuführen ist oder nicht.
  • Durchführung der DSFA – Bestimmung geeigneter Massnahmen zur Risikominimierung und Bewertung des Nettorisikos:           
    Basierend auf den ersten beiden Schritten werden geeignete Massnahmen (technische und organisatorische Massnahmen, «TOM») zur Reduzierung der ermittelten Risiken identifiziert. Es wird eine Nettorisiko-Analyse durchgeführt. Die Ergebnisse der DSFA sowie die beschlossenen risikomindernden Massnahmen werden dokumentiert. Sollte auch die Nettorisiko-Analyse immer noch ein hohes Risiko für die Grundrechte der betroffenen Personen ergeben, muss das zuständige Bundesorgan den EDÖB konsultieren.
  • Umsetzung – Implementierung der beschlossenen risikomindernden Massnahmen: Einführung der im Rahmen der DSFA beschlossenen risikomindernden Massnahmen.
  • Monitoring – Beratung und Überprüfung durch den Datenschutzberater: Der Datenschutzberater des Bundesorgans hat das Bundesorgan bei der Erstellung der DSFA zu beraten und deren Ausführung zu überprüfen (Art. 26 Abs. 2 lit. a Ziff. 2 DSV). Sollten sich die Risiken für die betroffenen Personen mit der Zeit ändern, muss das Bundesorgan die risikomindernden Massnahmen aktualisieren und, falls erforderlich, die bisherige DSFA neu durchführen.

Gemäss Art. 22 Abs. 3 DSG muss eine DSFA mindestens folgende Elemente enthalten:

  • eine Beschreibung der geplanten Bearbeitung;
  • eine Bewertung der Risiken für die Grundrechte der betroffenen Person; sowie
  • die Massnahmen zum Schutz der Grundrechte der betroffenen Person.

 

4. Konsequenzen einer DSFA

Das Hauptergebnis einer DSFA besteht in einer Beurteilung des verbleibenden Risikos der Datenbearbeitung für die Grundrechte der betroffenen Personen unter Berücksichtigung der geplanten risikomindernden Massnahmen («Nettorisiko» oder auch «Restrisiko»). Abhängig von der Höhe dieses Nettorisikos ergibt sich aus der DSFA als weitere Konsequenz, ob das Bundesorgan bezüglich der geplanten Datenbearbeitung vorab den EDÖB konsultieren muss oder nicht. Ist das Nettorisiko einer beabsichtigten Datenbearbeitung für die Grundrechte der betroffenen Personen (weiterhin) hoch, hat das Bundesorgan eine Stellungnahme des EDÖB einzuholen (Art. 23 DSG). Die Stellungnahme des EDÖB ist gebührenpflichtig (Art. 59 Bst. c DSG).

Gleichzeitig bedeutet ein weiterhin hohes Nettorisiko nicht zwingend, dass die geplante Datenbearbeitung unzulässig ist. Bleibt trotz der vom verantwortlichen Bundesorgan vorgesehenen Massnahmen ein hohes Risiko für die Grundrechte der betroffenen Person bestehen, kann es jedoch schwierig sein zu begründen, dass die Datenbearbeitungsgrundsätze dennoch eingehalten werden.

Die Stellungnahme des EDÖB hat empfehlenden Charakter und stellt deshalb keine Genehmigung oder Bewilligung der geplanten Durchführung dar. Hat der EDÖB Einwände gegen die geplante Bearbeitung, schlägt er dem Verantwortlichen geeignete Massnahmen vor, sofern solche die festgestellten Risiken zu senken vermögen (Art. 23 Abs. 3 DSG).

Der EDÖB hat im August 2023 ein Merkblatt zur DSFA veröffentlicht, welches Hinweise zu den Voraussetzungen und zum Inhalt der DSFA enthält.

Autoren

Bieri Adrian
Adrian Bieri
Rechtsanwalt, Partner
Leitung Immaterialgüter, Technologie und Datenschutz
Zürich
Zum Profil

Mehr zum Thema

bratschiBLOG

öff-recht blog: Was bedeutet die «omissio medio» (Auslassung der Mitte)? – Oder: Erleichterungen bei der Anfechtung von Rückweisungsentscheiden

Wenn ein Gericht als Vorinstanz des Bundesgerichts, das Bundesverwaltungsgericht oder ein oberes kantonales Gericht, z.B. das kantonale Verwaltungsgericht,...
Präsentation

Staatshaftung bei Verletzungen der Datensicherheit

Unsere Standorte

Zum Kontaktformular