Was ist eine Datenschutz-Folgenabschätzung (DSFA)
Eine Datenschutz-Folgenabschätzung ist im Grunde nichts anderes als eine strukturierte Risikoanalyse. Ziel ist es, dass sich die Verantwortlichen die Risiken, welche eine Datenbearbeitung mit sich bringen können, vergegenwärtigen und diese angemessen berücksichtigen.
Wann muss eine DSFA gemacht werden?
Du bist gesetzlich immer dann dazu verpflichtet, eine DSFA durchzuführen, wenn die Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen mit sich bringen kann. Ein hohes Risiko besteht insbesondere bei der Verwendung neuer Technologien, wenn du sehr viele besonders schützenswerte Personendaten bearbeitest oder systematisch öffentliche Bereiche überwachst.
Wie kann eine DSFA gemacht werden?
Grundsätzlich gibt es verschiedene Möglichkeiten, wie an eine DSFA herangegangen werden kann. Dies hängt unter anderem von der Grösse deines Unternehmens ab. Wichtig ist, dass du zuerst eine Datenschutz-Risikoanalyse erstellst und dir anschliessend Gedanken zur Risikosteuerung machst. Berücksichtige bei der Risikoanalyse folgende Aspekte:
- Identifiziere sämtliche Datenschutz-Risiken, welche beim betreffenden Verarbeitungsprozess eintreten können.
- Analysiere die Risiken und trage sie in eine Matrix ein. Dabei solltest du das Schadenpotenzial und die Eintrittswahrscheinlichkeit beurteilen.
- Bewerte das Risiko.
Wenn du die Risikobeurteilung abgeschlossen hast, frage dich, wie du auf diese Risiken einwirken kannst. Du hast folgende Möglichkeiten:
- Du vermeidest das Risiko, indem du riskante Aktivitäten unterlässt.
- Du überträgst das Risiko auf ein Partnerunternehmen (Versicherung, Auslagerung).
- Du minimierst das Risiko, indem du mit flankierenden Massnahmen das Schadenpotenzial oder die Eintrittswahrscheinlichkeit senkst.
Als Beispiel hierfür siehe auch das Merkblatt des Kantons St.Gallen: Merkblatt Datenschutz-Folgenabschätzung (sg.ch)
Ergibt sich aus der Datenschutz-Folgenabschätzung, dass die geplante Bearbeitung trotz der vorgesehenen Massnahmen ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person zur Folge hat, so muss vorgängig die Stellungnahme des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten EDÖB eingeholt werden.
Von der Erstellung einer Datenschutz-Folgenabschätzung kann abgesehen werden, wenn ein System, ein Produkt oder eine Dienstleistung eingesetzt wird, das oder die für die vorgesehene Verwendung von einer anerkannten unabhängigen Zertifizierungsstellen zertifiziert wurde.
Weiter können Mitglieder eines Berufs-, Branchen- oder Wirtschaftsverbands von einer Datenschutz-Folgenabschätzung absehen, wenn der Verband einen Verhaltenskodex erstellt und diesen dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) vorlegt.
Wichtig zu wissen
Mit der Erstellung einer DSFA ist die Arbeit noch nicht getan. Du musst sicherstellen, dass auch die Umsetzung planmässig erfolgt. Ausserdem solltest du deine DSFA in regelmässigen Abständen überprüfen. So stellst du sicher, dass du auch bei sich ändernden Rahmenbedingungen zeitnah und angemessen reagieren kannst. Diesen Prozess solltest du dokumentieren, sodass du im Bedarfsfall aufzeigen kannst, wie reagiert wurde.