Was versteht man eigentlich unter einer Datenschutz-Folgenabschätzung (DSFA)?

von | Apr 1, 2021 | Datenschutz Begriffe, Dokumentation, Inhalte

Wie die DSGVO, so auch mit dem neuen Schweizer Datenschutzgesetz (DSG) wird unter bestimmten Voraussetzungen die Durchführung einer Datenschutz-Folgenabschätzung (DSFA) verlangt. Es gilt abzuklären, ob eine DSFA gemäss DSGVO oder DSG zur Anwendung kommt. Die rechtlichen, technischen und organisatorischen Massnahmen für die Datensicherheit sind zu prüfen, um die Konformität sicherzustellen.

Die DSFA ist eigentlich eine klassische Risikobewertung in Bezug auf die Verarbeitung personenbezogener Daten im Unternehmen. Dieses Risiko bezieht sich auf den Schaden, den der Betroffene erleiden kann, wenn unsere Verarbeitung mangelhaft ist. So könnte die Person diskriminiert werden oder ihre Kreditwürdigkeit verlieren oder Rufschädigung erfahren, weil bekannt würde, dass sie bei einer nicht anerkannten Religionsgemeinschaft ist. Aber auch jenes Risiko, wenn z.B. Kreditkartendaten „verloren“ gehen und dadurch finanzieller Schaden entsteht.

Datenschutz-Folgenabschätzungen gemäss DSG

Im DSG lautet die Regelung, wie folgt:

«Der Verantwortliche erstellt vorgängig eine Datenschutz-Folgenabschätzung, wenn eine Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann. Sind mehrere ähnliche Bearbeitungsvorgänge geplant, so kann eine gemeinsame Abschätzung erstellt werden.»

Die Durchführung einer DSFA ist obligatorisch wenn …

  • im Rahmen einer beabsichtigten Datenverarbeitung ein hohes Risiko für die Freiheit und Rechte der betroffenen natürlichen Person zu erwarten ist;
  • der Verarbeitungsvorgang noch nicht Gegenstand einer DSFA war
  • der Verarbeitungsvorgang nicht auf einer gesetzlichen Grundlage basiert, bei deren Erlass bereits eine allgemeine Folgenabschätzung erfolgt ist.

Die Durchführung einer DSFA ist nicht erforderlich wenn …

  • die Verarbeitung „wahrscheinlich kein hohes Risiko mit sich bringt“
  • eine ähnliche DSFA bereits vorhanden ist
  • die Verarbeitung auf einer Rechtsgrundlage beruht oder in der Liste der Verarbeitungsvorgänge aufgeführt ist, für die keine DSFA erforderlich ist.
  • Datenbearbeitungen durch Private erfolgen, die zur Erfüllung einer gesetzlichen Pflicht des Verantwortlichen sind.
  • Der private Verantwortliche kann von der Erstellung einer Datenschutz-Folgenabschätzung absehen, wenn er entsprechend zertifiziert ist oder einen Verhaltenskodex einhält, der die folgenden Voraussetzungen erfüllt: Der Verhaltenskodex beruht auf einer Datenschutz-Folgenabschätzung, sieht Massnahmen zum Schutz der Persönlichkeit oder der Grundrechte der betroffenen Person vor und wurde dem Beauftragten (EDÖB) vorgelegt.

 

mehr …

Datenschutzhilfe unterstützt Sie in der Umsetzung Ihres Datenschutzprojektes oder begleitet auf Zeit Ihre Datenschutzverantwortlichen in den Themen Projektleitung und –begleitung, Prozess und Organisation, Recht und IT. Gerne stehen wir Ihnen zur Klärung weitergehender Fragen zur Verfügung. Kontaktieren Sie uns unverbindlich