Wie erstellt man eine Datenschutz-Folgenabschätzung?

von | Apr 1, 2021 | Ablauf Datenschutzprojekt, Datenschutz Begriffe, Dokumentation

Die formellen Anforderungen an die Durchführung einer Datenschutz-Folgeabschätzung (DSFA) sind im Datenschutzgesetz zu finden. Die methodischen Anforderungen sind nicht explizit geregelt. Hier besteht also ein gewisser Spielraum. Bei der Durchführung einer DSFA unterscheiden wir nicht mehr zwischen der DSGVO und dem DSG, da das schweizerische Gesetz mehrheitlich dem EU-Standard folgt.

Ausgangspunkt ist das Verfahrensverzeichnis

Ausgangspunkt einer DSFA sollte das Verfahrensverzeichnis sein (CH Verzeichnis der Datenverarbeitungen). Ein sauber dokumentiertes Verfahrensverzeichnis erleichtert die Durchführung der DSFA stark. Im «Verzeichnis der Datenverarbeitungen» steckt eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Verarbeitungszwecke, eine Bewertung der Notwendigkeit und die Verhältnismässigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck.

Die im Verfahrensverzeichnis dokumentierten Verarbeitungsvorgänge werden nun dahingehend untersucht, ob das Verfahren ein hohes Risiko für die Rechte und Freiheiten der betroffenen natürlichen Personen mit sich bringt. Als Beurteilungshilfe, ob ein solch hohes Risiko besteht, können die folgenden Kriterien beigezogen werden.

Schwellenwertanalyse

Ergibt die Schwellenwertanalyse, dass der betroffene Verarbeitungsvorgang kein hohes Risiko für die Betroffenen mit sich bringt, ist dieses Ergebnis (am besten gleich im Verfahrensverzeichnis) zu dokumentieren. Die Durchführung einer DSFA ist nicht notwendig.

Ergibt die Schwellenwertanalyse aber, dass der betroffene Verarbeitungsvorgang voraussichtlich ein hohes Risiko für die Betroffenen mit sich bringt, ist dieses Ergebnis zu dokumentieren und die Durchführung der eigentlichen DSFA ist in Angriff zu nehmen.

Beschreibung des Verfahrens

Der Verarbeitungsvorgang Schritt-für-Schritt detailliert zu beschreiben. Für jeden Schritt wird zudem festgehalten, welche IT-Systeme und welche weiteren Ressourcen (z.B. Mitarbeitende, Auftragsverarbeiter) zum Einsatz kommen.

Die relevanten Rechtsgrundlagen

Diese sind in den Datenschutzgesetzen nachzulesen (DSGVO, DSG)

Durchführen der Risikobeurteilung

Nun startet der eigentliche Risikoprozess. Dieser besteht im Wesentlichen aus den folgenden Schritten wie der Risiko-Identifikation, Risiko-Analyse und der Risiko-Bewertung.

Risikosteuerung

Zur Risikosteuerung stehen grundsätzlich die nachfolgenden vier Option zur Verfügung:

  • Risiko-Vermeidung:
    Technische und organisatorische Massnahmen, um Risiken zu vermeiden
  • Risiko-Übertragung:
    Vielleicht müssten Sie dies outsourcen
  • Risiko-Minimierung:
    Vermeiden „riskanter“ Datenverarbeitungen
  • Risiko-Akzeptanz:
    Ein gewisses Restrisiko bleibt. Deshalb sollte ein «Plan B» vorbereitet sein

Genehmigung der DSFA durch die Geschäftsleitung

Nachdem die Risikobeurteilung und Verarbeitungsvorgänge durchgeführt wurden, ist das Resultat an die Geschäftsleitung zu rapportieren und durch diese genehmigen zu lassen.

Risikoüberwachung

Die Umsetzung von zusätzlichen Massnahmen muss sichergestellt werden.

Regelmässige Überprüfung der DSFA

Mit der erfolgreichen Durchführung der DSFA ist die Arbeit nicht getan. Die DSFA unterliegt einem «rollenden» Prozess.

Die Datenschutz-Folgeabschätzung ist mit Mitteln des Prozessmanagementes gut umzusetzen. Wir haben standardisierte Verfahren, die Sie darin unterstützen, strukturiert alle Schritte für eine vollständige DSFA durchzugehen. Gerne stehen wir Ihnen zur Klärung weitergehender Fragen zur Verfügung. Kontaktieren Sie uns unverbindlich