Die formellen Anforderungen an die Durchführung einer Datenschutz-Folgeabschätzung (DSFA) sind im Datenschutzgesetz zu finden. Die methodischen Anforderungen sind nicht explizit geregelt. Hier besteht also ein gewisser Spielraum. Bei der Durchführung einer DSFA unterscheiden wir nicht mehr zwischen der DSGVO und dem DSG, da das schweizerische Gesetz mehrheitlich dem EU-Standard folgt.
Ausgangspunkt ist das Verfahrensverzeichnis
Ausgangspunkt einer DSFA sollte das Verfahrensverzeichnis sein (CH Verzeichnis der Datenverarbeitungen). Ein sauber dokumentiertes Verfahrensverzeichnis erleichtert die Durchführung der DSFA stark. Im «Verzeichnis der Datenverarbeitungen» steckt eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Verarbeitungszwecke, eine Bewertung der Notwendigkeit und die Verhältnismässigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck.
Die im Verfahrensverzeichnis dokumentierten Verarbeitungsvorgänge werden nun dahingehend untersucht, ob das Verfahren ein hohes Risiko für die Rechte und Freiheiten der betroffenen natürlichen Personen mit sich bringt. Als Beurteilungshilfe, ob ein solch hohes Risiko besteht, können die folgenden Kriterien beigezogen werden.
Schwellenwertanalyse
Ergibt die Schwellenwertanalyse, dass der betroffene Verarbeitungsvorgang kein hohes Risiko für die Betroffenen mit sich bringt, ist dieses Ergebnis (am besten gleich im Verfahrensverzeichnis) zu dokumentieren. Die Durchführung einer DSFA ist nicht notwendig.
Ergibt die Schwellenwertanalyse aber, dass der betroffene Verarbeitungsvorgang voraussichtlich ein hohes Risiko für die Betroffenen mit sich bringt, ist dieses Ergebnis zu dokumentieren und die Durchführung der eigentlichen DSFA ist in Angriff zu nehmen.
Beschreibung des Verfahrens
Der Verarbeitungsvorgang Schritt-für-Schritt detailliert zu beschreiben. Für jeden Schritt wird zudem festgehalten, welche IT-Systeme und welche weiteren Ressourcen (z.B. Mitarbeitende, Auftragsverarbeiter) zum Einsatz kommen.
Die relevanten Rechtsgrundlagen
Diese sind in den Datenschutzgesetzen nachzulesen (DSGVO, DSG)
Durchführen der Risikobeurteilung
Nun startet der eigentliche Risikoprozess. Dieser besteht im Wesentlichen aus den folgenden Schritten wie der Risiko-Identifikation, Risiko-Analyse und der Risiko-Bewertung.
Risikosteuerung
Zur Risikosteuerung stehen grundsätzlich die nachfolgenden vier Option zur Verfügung:
- Risiko-Vermeidung:
Technische und organisatorische Massnahmen, um Risiken zu vermeiden - Risiko-Übertragung:
Vielleicht müssten Sie dies outsourcen - Risiko-Minimierung:
Vermeiden „riskanter“ Datenverarbeitungen - Risiko-Akzeptanz:
Ein gewisses Restrisiko bleibt. Deshalb sollte ein «Plan B» vorbereitet sein
Genehmigung der DSFA durch die Geschäftsleitung
Nachdem die Risikobeurteilung und Verarbeitungsvorgänge durchgeführt wurden, ist das Resultat an die Geschäftsleitung zu rapportieren und durch diese genehmigen zu lassen.
Risikoüberwachung
Die Umsetzung von zusätzlichen Massnahmen muss sichergestellt werden.
Regelmässige Überprüfung der DSFA
Mit der erfolgreichen Durchführung der DSFA ist die Arbeit nicht getan. Die DSFA unterliegt einem «rollenden» Prozess.
Die Datenschutz-Folgeabschätzung ist mit Mitteln des Prozessmanagementes gut umzusetzen. Wir haben standardisierte Verfahren, die Sie darin unterstützen, strukturiert alle Schritte für eine vollständige DSFA durchzugehen. Gerne stehen wir Ihnen zur Klärung weitergehender Fragen zur Verfügung. Kontaktieren Sie uns unverbindlich