Ausgangslage

Seit dem 1. September 2023 wird die Durchführung einer sogenannten «Datenschutz-Folgenabschätzung» (nachfolgend «DSFA») gemäss Artikel 22 Absatz 1 (Datenschutz-Folgenabschätzung) DSG dann zur Pflicht,

«1 [...] wenn eine Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann. [...].»

In Artikel 22 Absatz 2 Buchstaben a und b DSG werden die zwei gesetzlichen Fälle beschrieben, die eine DSFA grundsätzlich erforderlich machen:

«[...] 2 Das hohe Risiko ergibt sich, insbesondere bei Verwendung neuer Technologien, aus der Art, dem Umfang, den Umständen und dem Zweck der Bearbeitung. Es liegt namentlich vor:

1. bei der umfangreichen Bearbeitung besonders schützenswerter Personendaten;
2. wenn systematisch umfangreiche öffentliche Bereiche überwacht werden. [...]»

Eine DSFA gehört zu den Grundarbeitsmitteln im modernen Datenschutzrecht und kann in der Realität unseres Digitalisierungszeitalters zu einem wichtigen Schutzmechanismus für die Rechte und Freiheiten betroffener Personen werden. Der Einsatz einer DSFA ist die Selbstbeurteilung eines Verantwortlichen über eigene risikobehaftete Bearbeitungstätigkeiten im Zusammenhang mit besonders schutzbedürftigen Personendaten.

Bevor das Thema «DSFA» für einen Verantwortlichen relevant wird, kann er zunächst etliche Ausnahmen (auf die wir an anderer Stelle eingehen) prüfen, um festzustellen, ob das Erfordernis für eine DSFA trägt.

Andererseits sind Verantwortliche im Rahmen eines risikobasierten Ansatzes dazu angehalten, die eigenen Bearbeitungstätigkeiten dennoch zu hinterfragen, insbesondere wenn besonders schützenswerte Personendaten involviert sind.

In der Praxis werden die zahlreichen Ausnahmen wohl dazu führen, dass das Erfordernis für eine DSFA nur selten zum Tragen kommt. Aber selbst, wenn die Ausnahmen nicht greifen, kann man in einem ersten Schritt über eine sogenannte «Schwellenwertanalyse», d. h. über eine «Vorab-Risikoanalyse» prüfen, ob die (hoch angesetzte) «Schwelle», die ein «hohes Risiko» für die Rechte und Freiheiten betroffener Personen darstellt, überschritten wird.

Eine «Schwellenwertanalyse» geht im Vergleich zu einer DSFA viel weniger in die Tiefe und ist auch nicht dazu gedacht, Risiken eingehend zu analysieren, sondern bietet eine Vorauswahl der Bearbeitungsprozesse von Personendaten, die ggf. einer DSFA unterzogen werden müssen. Das ist für Unternehmen, die von dem DSFA-Thema betroffen sind oder werden könnten von hoher praktischer Relevanz, denn die Durchführung einer DSFA erfordert meist einen erheblichen Zeit- und ggf. hohen Kostenaufwand. Zudem zeigt die Praxis, dass die Durchführung einer «Schwellenwertanalyse» in den meisten Fällen dazu führt, die geprüften Bearbeitungsprozesse als nicht hoch risikobelastet zu bewerten. Hinweis: Auch wenn die «Schwellenwertanalyse» kein hohes Risiko für die betreffenden Bearbeitungsprozesse vorweist, sind Verantwortliche nicht von der Pflicht befreit, grundsätzlich Massnahmen zur Gewährleistung der Datensicherheit umgesetzt zu haben.

In Artikel 23 Absatz 1 (Konsultation mit dem EDÖB) DSG konkretisiert der Gesetzgeber den Fokus einer DSFA, nämlich dass sie sich primär auf «...[eine] geplante Bearbeitung [von Personendaten]...» ausrichtet, und sich ausserdem mehrheitlich auf sehr umfangreiche und grosse digitale Transformationsprojekte bezieht. Dabei geht es nicht unbedingt um neue bzw. neuartige Bearbeitungsprozesse von Personendaten, sondern es sind auch Weiterentwicklungen sowie Erweiterungen existierender Bearbeitungsprozesse von Personendaten angesprochen.

Kernelement der DSFA ist ihre Frühwarnfunktion, denn bei der Durchführung wird schnell erkannt, wo die wesentlichen Projektrisiken liegen, und mit welcher (berechneten) Wahrscheinlichkeit sie eintreten können. Werden die identifizierten Datenschutzrisiken als «hoch» bewertet, liefert die DSFA dazu Ausführungen, um die Bedeutsamkeit sowie die Folgen eines Risikoeintritts für betroffene Personen darzustellen.

Aber eine DSFA hat noch einen anderen, nicht selten unterschätzten «praktischen» Wert: Der Zweck einer DSFA liegt nicht nur in der Vorhersehbarkeit und Bewertung von kritischen Projektrisiken. Als Grundarbeitsmittel bietet sie ebenso den praktischen Vorteil einer gesamtheitlichen Dokumentierung, über die Ursprünge und Analysen systemischer und sicherheitsbezogener Risiken festgehalten werden, um, aus Datenschutzperspektive, angemessene Schutzmassnahmen zu erkennen und zur Risikominimierung implementieren zu können.

Wichtige Hinweise:

• Adressat einer (ggf. durchzuführenden) DSFA ist der Verantwortliche. Keine Pflicht zur Durchführung einer DSFA besteht für Auftragsbearbeiter, jedoch werden diese in der Praxis regelmässig dazu verpflichtet, den Verantwortlichen, für den sie tätig sind, bei der Durchführung seiner DSFA zu unterstützen, beispielsweise indem sie notwendige Informationen bereitstellen.
• Eine DSFA ist grundsätzlich immer im Vorfeld durchzuführen, d. h. vor Erhebung oder anderweitiger Bearbeitung von Personendaten. Der Bezug auf bestehende Bearbeitungen, die vom Verantwortlichen noch unter dem alten DSG erfasst wurden, bedeutet, dass das Erfordernis zur Durchführung einer DSFA entfällt, wenn die Bearbeitungszwecke sich nicht ändern und keine neuen Personendaten aufgenommen werden.

Zur besseren Orientierung für diesen Beitrag werden die beiden wesentlichen mit der DSFA verbundenen Artikel (22 und 23) des DSG nachfolgend abgebildet:

Artikel 22 (Datenschutz-Folgenabschätzung) DSG

1 Der Verantwortliche erstellt vorgängig eine Datenschutz-Folgenabschätzung, wenn eine Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann. Sind mehrere ähnliche Bearbeitungsvorgänge geplant, so kann eine gemeinsame Abschätzung erstellt werden.

2 Das hohe Risiko ergibt sich, insbesondere bei Verwendung neuer Technologien, aus der Art, dem Umfang, den Umständen und dem Zweck der Bearbeitung. Es liegt namentlich vor:

1. bei der umfangreichen Bearbeitung besonders schützenswerter Personendaten;
2. wenn systematisch umfangreiche öffentliche Bereiche überwacht werden.

3 Die Datenschutz-Folgenabschätzung enthält eine Beschreibung der geplanten Bearbeitung, eine Bewertung der Risiken für die Persönlichkeit oder die Grundrechte der betroffenen Person sowie die Massnahmen zum Schutz der Persönlichkeit und der Grundrechte.

4 Von der Erstellung einer Datenschutz-Folgenabschätzung ausgenommen sind private Verantwortliche, wenn sie gesetzlich zur Bearbeitung der Daten verpflichtet sind.

5 Der private Verantwortliche kann von der Erstellung einer Datenschutz-Folgenabschätzung absehen, wenn er ein System, ein Produkt oder eine Dienstleistung einsetzt, das oder die für die vorgesehene Verwendung nach Artikel 13 zertifiziert ist, oder wenn er einen Verhaltenskodex nach Artikel 11 einhält, der die folgenden Voraussetzungen erfüllt:

1. Der Verhaltenskodex beruht auf einer Datenschutz-Folgenabschätzung.
2. Er sieht Massnahmen zum Schutz der Persönlichkeit und der Grundrechte der betroffenen Person vor.
3. Er wurde dem EDÖB vorgelegt.

Artikel 23 (Konsultation des EDÖB) DSB

1 Ergibt sich aus der Datenschutz-Folgenabschätzung, dass die geplante Bearbeitung trotz der vom Verantwortlichen vorgesehenen Massnahmen noch ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person zur Folge hat, so holt er vorgängig die Stellungnahme des EDÖB ein.

2 Der EDÖB teilt dem Verantwortlichen innerhalb von zwei Monaten seine Einwände gegen die geplante Bearbeitung mit. Diese Frist kann um einen Monat verlängert werden, wenn es sich um eine komplexe Datenbearbeitung handelt.

3 Hat der EDÖB Einwände gegen die geplante Bearbeitung, so schlägt er dem Verantwortlichen geeignete Massnahmen vor.

4 Der private Verantwortliche kann von der Konsultation des EDÖB absehen, wenn er die Datenschutzberaterin oder den Datenschutzberater nach Artikel 10 konsultiert hat.

Das «Schutzziel» einer DSFA

Wir blicken kurz auf Artikel 22 Absatz 1 DSG und Artikel 23 Absatz 1 DSG:

Artikel 22 (Datenschutz-Folgenabschätzung) DSG

«1 Der Verantwortliche erstellt vorgängig eine Datenschutz-Folgenabschätzung, wenn eine Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann. Sind mehrere ähnliche Bearbeitungsvorgänge geplant, so kann eine gemeinsame Abschätzung erstellt werden. [...]»

Artikel 23 (Konsultation des EDÖB) DSG

«1 Ergibt sich aus der Datenschutz-Folgenabschätzung, dass die geplante Bearbeitung trotz der vom Verantwortlichen vorgesehenen Massnahmen noch ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person zur Folge hat, so holt er vorgängig die Stellungnahme des EDÖB ein. [...]»

Beide Einführungs-Absätze in diesen Artikeln bringen die Kategorisierung eines «hohen Risikos» in direkte Verbindung mit einer entsprechenden Beeinträchtigung der «Persönlichkeit oder der Grundrechte betroffener Personen».

Demnach definiert der Gesetzgeber den Schutz dieser «Persönlichkeitsrechte» als das Kernanliegen des Datenschutzes, mit primärem Fokus auf die Rechte betroffener Personen auf deren Privatsphäre und informationelle Selbstbestimmung. Über eine DSFA soll diese Zielsetzung sichergestellt werden. Im Übrigen wird beim Aspekt des Schutzes der «informationellen Selbstbestimmung» bereits in der Botschaft zum Datenschutzgesetzt (BBI 2017) ein «hohes Risiko» angenommen, wenn die spezifischen Eigenschaften einer geplanten Bearbeitung von Personendaten dazu führen, dass die Freiheiten betroffener Personen, nämlich über die Nutzung und den Verbleib ihrer Personendaten selbst bestimmen zu können, dadurch in einem hohen Masse eingeschränkt werden würden.

Ausnahmen von der Pflicht

In den folgenden Fällen kann von der Durchführung einer DSFA abgesehen werden:

• Der Verantwortliche ist gemäss Artikel 22 Absatz 4 DSG gesetzlich zur Bearbeitung betroffener Personendaten verpflichtet, d. h. der Gesetzgeber nimmt hier quasi die Risikoabwägung vorweg. (Beispiele: Bekämpfung von Geldwäscherei und Terrorismusfinanzierung; arbeitsrechtliche Rechtsgrundlagen; Bearbeitungen durch Schweizer Behörden etc.)
• Der Verantwortliche setzt ein System, ein Produkt oder eine Dienstleistung ein, wofür nach Artikel 13 DSG eine Zertifizierung gemäss der «Verordnung über Datenschutzzertifizierungen» (VDSZ) vorliegt, in der die entsprechenden Bearbeitungen mit eingeschlossen sind, die ansonsten einer DSFA unterzogen werden müssten.
• Der Verantwortliche hat gemäss Artikel 11 DSG einen Verhaltenskodex implementiert, den er auch einhält. Zur Gültigkeit dieser Ausnahme müssen gewisse Voraussetzungen erfüllt sein:

1.) die Basis des Verhaltenskodex ist eine bereits durchgeführte DSFA für die betreffenden Bearbeitungen;

2.) der Schutz der Persönlichkeit und der Grundrechte betroffener Personen ist durch entsprechende Massnahmen gesichert;

3.) der Verhaltenskodex wurde dem EDÖB vorgelegt.

• Für bereits in der Vergangenheit durchgeführte DSFAs bedarf es keiner Neubeurteilung, wenn die Risikosituation unverändert bleibt, d. h., wenn keine davon völlig abweichenden bzw. neuen Risikokonstellationen aufgetreten sind. Hier geht es um die «Ähnlichkeit» des Risikoprofils von geplanten Bearbeitungen mit bereits in der Vergangenheit bewerteten Bearbeitungen. Es gilt hier also zu beurteilen, ob Art, Umfang, Umstände und Zweck der Bearbeitungen sich ähneln bzw. ob das Risikoumfeld unverändert bleibt; ist das der Fall, muss keine DSFA durchgeführt werden.

Erster Schritt: Eine Schwellenwertanalyse

Wenn ein Verantwortlicher feststellt, dass eine geplante Bearbeitung von Personendaten möglicherweise ein potenziell hohes Risiko darstellt, muss er zumindest eine zusammenfassende Vorprüfung durchführen, bei der die mit dem Bearbeitungsvorhaben verbundenen Gefahren berücksichtigt werden. Eine solche Vorprüfung wird auch mit dem bereits genannten Begriff «Schwellenwertanalyse» bezeichnet.

Die «Schwellenwertanalyse» ist schon ab Beginn von Projektplanungen vorzunehmen, selbst wenn Einzelheiten eines Bearbeitungsprozesses noch nicht klar und vollständig definiert sind. Es empfiehlt sich daher, den jeweils betroffenen Bearbeitungsprozess in das Bearbeitungsverzeichnis aufzunehmen und dort eine systematische Beschreibung der Bearbeitungsvorgänge und Zwecke geplanter Bearbeitungen darzustellen, einschliesslich Beschreibungen zu dahinterstehenden Geschäftsmodellen und anderen Absichten und Interessen der Projektverantwortlichen. Ebenso ist bei Erweiterungen und Weiterentwicklung bestehender Applikationen und Systeme stets ein Vergleich der dort bisher getätigten Bearbeitungen mit neuen bzw. zusätzlich geplanten Bearbeitungen vorzunehmen.

Das Ergebnis der «Schwellenwertanalyse» inklusive zugrunde gelegter Beurteilungen ist zu dokumentieren. Hinweis: Wenn die Risikobewertung einer «Schwellenwertanalyse» nicht eindeutig ausfällt, d. h., wenn eine «klare Verneinung» für ein hohes Risiko nicht möglich ist, sollte der Verantwortliche in diesem Fall dennoch eine DSFA durchführen.

Inhalte und Aufbau einer DSFA

In Artikel 22 Absatz 3 DSG werden drei Inhalte beschrieben, zu denen eine DSFA Stellung zu nehmen hat:

«[...] 3 Die Datenschutz-Folgenabschätzung enthält

• [1] eine Beschreibung der geplanten Bearbeitung,
• [2] eine Bewertung der Risiken für die Persönlichkeit oder die Grundrechte der betroffenen Person sowie
• [3] die Massnahmen zum Schutz der Persönlichkeit und der Grundrechte. [...]»

Zu [1] – Beschreibung

Eine Beurteilung der geprüften Datenbearbeitungsrisiken ist nur möglich, wenn konkrete Beschreibungen des Sachverhalts vorliegen. Gerade hier zeigt sich, wie wichtig ein Bearbeitungsverzeichnis ist, auf das man zurückgreifen kann, da dort die grundlegenden Angaben zu einzelnen Bearbeitungsverfahren, Datenarten und Bearbeitungszwecken etc. enthalten sind (bzw. sein sollten). Selbstverständlich müssen die Beschreibungen um relevante Aspekte ergänzt werden, beispielsweise wenn angewandte Technologien und die Auswahl besonderer Schutzmassnahmen das jeweilige Risikoprofil einer Datenbearbeitung (erheblich) beeinflussen (können). Die Beschreibung bereits implementierter Schutzmassnahmen für die Rechte und Freiheiten betroffener Personen sind im Übrigen an erster Stelle aufzuführen; wenn Teile dieser Beschreibungen unvollständig bzw. zu unspezifisch sind, sind sie in der DSFA ergänzend «aufzuarbeiten».

Beim Detaillierungsgrad der Beschreibungen, der immer wieder zu Verständnisproblemen bei Verantwortlichen führt, kann man sich an der «Aussagekraft» in Verbindung mit der «Praktikabilität» orientieren. Die Angaben in der Beschreibung müssen genau genug sein, um sich ein klares Bild über die identifizierten Risiken, die Plausibilität ihrer Bewertung sowie die getroffenen Schutzmassnahmen machen zu können.

Zu [2] – Risikobewertung

Zwar gibt es zu den Begriffen «Risiko», «hohes Risiko» und «Risikobewertung» im DSG keine Legaldefinitionen. Allerdings liefert die Verordnung zum DSG (DSV) – bereits im 1. Kapitel (Allgemeine Bestimmungen) und gleich im 1. Abschnitt (Datensicherheit) – in Artikel 1 (Grundsätze) DSV eine wesentliche und hilfreiche Leitlinie zum Verständnis, was grundsätzlich zu bewerten und zu berücksichtigen ist, wobei konkrete Risikoeinstufungen und -bewertungen immer, und bewusst, im individuellen Wertungsermessen bleiben (sollen), weil sie stets einzelfallbezogen, d. h. den spezifischen Umständen beim Verantwortlichen entsprechend betrachtet werden müssen.

Artikel 1 (Grundsätze( DSV

«1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen.

2 Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt:

1. Art der bearbeiteten Daten;
2. Zweck, Art, Umfang und Umstände der Bearbeitung.

3 Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt:

1. Ursachen des Risikos;
2. hauptsächliche Gefahren;
3. ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern;
4. Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen.

4 Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt:

1. Stand der Technik;
2. Implementierungskosten.

5 Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen.»

Eine Risikobewertung findet über drei Bewertungsstufen statt:

1. Risikoidentifikation
2. Analyse der Risikoursachen
3. Bewertung der Ergebnisse aus 1. und 2.

Zu 1. – Risikoidentifikation

Hier geht es um die Identifizierung physischer, materieller und immaterieller Schäden, die aufgrund einer Bearbeitung entstehen können und sich (bei Realisierung) deutlich bzw. stark «schädigend» auf die Persönlichkeit oder die Grundrechte betroffener Personen auswirken. Dazu einige Beispiele:

• Die Privatsphäre einer betroffenen Person wird verletzt.
• Betroffene Personen verlieren die Kontrolle über die Ausübung ihrer Rechte.
• Betroffene Personen verlieren die Verfügungsfreiheit über ihre Personendaten.
• Die Autonomie von betroffenen Personen wird eingeschränkt.
• Der Schaden führt zu einer Diskriminierung der betroffenen Personen.
• Das Recht auf das eigene Wort und Bild von betroffenen Personen wird verletzt.
• Der Schaden führt zu einem Identitätsdiebstahl, und die Identität betroffener Personen wird für betrügerische Zwecke verwendet.
• Der Ruf betroffener Personen wird geschädigt.
• Die physische Integrität betroffener Personen wird verletzt.
• Die Menschenwürde betroffener Personen wird verletzt.
• Es entsteht ein finanzieller und materieller Schaden für betroffene Personen.
• Leib und Leben betroffener Personen geraten in Gefahr.

Zu 2. – Risikoanalyse

Bei der Risikoanalyse geht es um die Ursachenfeststellung der potenziellen Schadensereignisse, die bei der Risikoidentifikation aufgedeckt wurden. Im Gesetz werden hierzu vier Ursachen genannt:

Art, Umfang, Umstände und Zweck der Bearbeitung

Artikel 22 Absatz 2 Satz 1 DSG

«[...] 2 Das hohe Risiko ergibt sich, insbesondere bei Verwendung neuer Technologien, aus der Art, dem Umfang, den Umständen und dem Zweck der Bearbeitung. [...]»

Artikel 1 Absatz 2 Buchstabe b DSV

«[...] 2 Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: [...]

1. Zweck, Art, Umfang und Umstände der Bearbeitung. [...]»

Artikel 1 Absatz 3 Buchstabe a DSV

«[...] 3 Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt:

1. Ursachen des Risikos; [...]»

Bei der «Art» einer Bearbeitung wird auf Artikel 5 Buchstabe d DSG Bezug genommen, wo der Begriff definiert ist:

«[...] d. Bearbeiten: jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten von Daten; [...]»

Ergänzend hierzu ist, falls zutreffend, auch Artikel 5 Buchstabe g DSG zu berücksichtigen, wo die spezielle Art des «Profiling mit hohem Risiko» definiert wird:

«[...] g. Profiling mit hohem Risiko: Profiling, das ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringt, indem es zu einer Verknüpfung von Daten führt, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt; [...]»

Beim «Umfang» ist eine quantitative Auslegung gemeint, d. h. hier geht es um

• die Anzahl potenziell betroffener Personen,
• um das Volumen sowie die Vielfalt von bearbeiteten Personendaten,
• um die Bearbeitungs- und Aufbewahrungsdauer von Personendaten,
• um die Häufigkeit der Bearbeitung sowie
• um die geographische Reichweite der Bearbeitung.

Bei Festlegung der «Umstände» wird ermittelt, welche Schutzmassnahmen bei identifizierten Risiken bestehen und wie wirksam diese sind. Hier werden auch weitere relevante Aspekte berücksichtigt, beispielsweise

• ob Personendaten in einen «Drittstaat», h. in einen Staat ohne ein (aus Sicht durch die Schweizer Datenschutzrechtsbrille) angemessenes Datenschutzniveau übermittelt werden,
• ob ein grosse Anzahl von Personen oder Instanzen Zugriff auf involvierte Personendaten haben,
• ob Cloud-Dienste genutzt werden oder
• ob automatisierte Entscheidungsfindungen durchgeführt werden.

Bei der Darstellung der «Zwecke» von Bearbeitungen ist zu konstatieren, dass je umfassender der jeweilige Bearbeitungszweck ist, um so höher ein potenziell hohes Risiko anzunehmen ist. Hierbei ist massgebend, ob eine geplante Bearbeitung von Personendaten direkte bzw. reale Auswirkungen auf die Persönlichkeit und Grundrechte betroffener Personen hat oder ob der Zweck keine konkreten schadhaften Folgen für betroffene Personen verursacht, beispielsweise wenn Personendaten (anonymisiert) nur zur reinen Wissensgewinnung analysiert werden.

Zu 3. – Risikobewertung

Die Risikobewertung hat zum Ziel, die Wirkung analysierter Risiken einzuschätzen und stützt sich dabei auf die bis hierhin durchgeführte Ursachenanalyse. Artikel 1 Absatz 3 Buchstabe d DSV benennt die zwei Parameter, die einer Bewertung als Bemessungsfaktoren zugrunde liegen müssen:

«[...] 3 Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: [...]

4. Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. [...]»

Hinweis: Eine rein quantitative Bewertung ist oft wegen fehlender Statistiken (beispielsweise mangels historischer Schadensdaten) nicht möglich; der Gesetzgeber verlangt aber auch auch keine «absolute» Zahl. Demnach ist eine «semi-quantitative» Bewertung, d. h. eine Bewertung, die «qualitative» Aspekte, (die durchaus iterativ definiert werden können), mit «quantitativen» Ergebnissen verbindet, nicht nur zulässig, sondern sogar sinnvoll; Risiken in Bezug auf die Verletzung der Persönlichkeit und der Grundrechte betroffener Personen haben nicht selten eine sehr schwer messbare immaterielle Schadensdimension.

Mit Hilfe einer «Risikomatrix» werden die Dimensionen

«[Eintritts-]Wahrscheinlichkeit» und

«Schwere einer [potenziellen] Verletzung [bzw. des Schadens]»

auf einer drei- oder mehrstufigen Skala gegenübergestellt.

Es folgt die Abbildung einer beispielhaften (und typischen) Risikomatrix:

Massnahmen nach Durchführung einer DSFA

In Abhängigkeit von den Bewertungen, die für identifizierte Risiken «berechnet» wurden, ist Folgendes für die Massnahmen nach Durchführung einer DSFA zu beachten:

Wenn das «Restrisiko» nicht hoch ist

Wenn das Restrisiko nicht «hoch» ausfällt, hat der Verantwortliche dennoch zu prüfen, ob die geplante Bearbeitung mit allen Anforderungen der Datenschutz-Rechtsprechung vereinbar ist. Das mag selbstverständlich klingen, ist aber erfahrungsgemäss ein nicht selten übersehener Punkt, weil man geneigt ist, sich zu sehr an der Risikobewertung zu orientieren und dabei die rechtlichen Rahmenbedingungen, die grundsätzlich zu erfüllen sind, ggf. aus den Augen verliert. Erst nach (nochmaliger) Sicherstellung der Erfüllung aller rechtlichen Anforderungen ist, selbst bei niedrigem Restrisiko, die Bearbeitung der Personendaten «zulässig».

Eine DSFA mit «niedrigem» bzw. «nicht hohem» Restrisiko muss der Verantwortlich dem EDÖB nicht vorlegen.

Hinweise:

• Sollte der Verantwortliche seine DSFA dem EDÖB freiwillig vorlegen, ist der EDÖB grundsätzlich weder zu einer substanziellen Stellungnahme noch zu einer aktiven Reaktion darauf verpflichtet; man kann davon ausgehen, dass der EDÖB in solchen Fällen in seiner beratenden Funktion ggf. nur punktuell gewisse Aspekte zu dargestellten Restrisiken kommentiert.
• Es ist zu beachten, dass der EDÖB gemäss Artikel 29 Absatz 1 Buchstabe e DSG dazu verpflichtet ist, für seine Beratungstätigkeit eine Gebühr zu erheben. In diesem Fall würde eine Stellungnahme zur freiwillig eingereichten DSFA einer «Beratung in Fragen des Datenschutzes» Die Höhe der Gebühr wird vom Bundesrat bestimmt; bisher liegen keine konkreten Zahlen über die mögliche Höhe solcher Gebühren vor. Der EDÖB bietet eine allgemeine Stellungnahme auf seiner Website, die über folgenden Link abgerufen werden kann: EDÖB zu Gebührenerhebungen

Wenn das Restrisiko «hoch» ist

Bei einem verbleibenden «hohen» Restrisiko für die Persönlichkeit und Grundrechte betroffener Personen muss der Verantwortliche eine Stellungnahme vom EDÖB einholen, bevor die geplante Bearbeitung von diesbezüglichen Personendaten vorgenommen werden darf, es sei denn, der Verantwortliche schränkt die Bearbeitung entsprechend ein oder setzt sie aus.

Bei der Konsultation mit dem EDÖB hat dieser zwei Monate Zeit, dem Verantwortlichen Einwände zur geplanten Bearbeitung bzw. zu bestimmten Bearbeitungsaspekten mitzuteilen. (Wenn es sich um sehr komplexe Bearbeitungsprozesse handelt, kann der EDÖB die Frist um einen Monat verlängern). Der Wortlaut des hierzu passenden Artikels 23 (Konsultation des EDÖB) DSG gibt (selbsterklärenden) Aufschluss über den Prozess:

«1 Ergibt sich aus der Datenschutz-Folgenabschätzung, dass die geplante Bearbeitung trotz der vom Verantwortlichen vorgesehenen Massnahmen noch ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person zur Folge hat, so holt er vorgängig die Stellungnahme des EDÖB ein.

2 Der EDÖB teilt dem Verantwortlichen innerhalb von zwei Monaten seine Einwände gegen die geplante Bearbeitung mit. Diese Frist kann um einen Monat verlängert werden, wenn es sich um eine komplexe Datenbearbeitung handelt.

3 Hat der EDÖB Einwände gegen die geplante Bearbeitung, so schlägt er dem Verantwortlichen geeignete Massnahmen vor.

4 Der private Verantwortliche kann von der Konsultation des EDÖB absehen, wenn er die Datenschutzberaterin oder den Datenschutzberater nach Artikel 10 konsultiert hat.

Zwar handelt es sich bei der Stellungnahme des EDÖB um «Vorschläge», die man auch als unverbindliche Empfehlungen betrachten kann. Aber die Verfügungskompetenz, einen Erlass zum Aussetzen einer Bearbeitung von Personendaten mit hohem Risiko für betroffene Personen durchzusetzen, ist nicht zu unterschätzen. Verantwortliche dürfen davon ausgehen, dass der EDÖB keine Einwände gegen die in der DSFA vorgeschlagenen bzw. geplanten Schutzmassnahmen hat, wenn er (EDÖB) sich nicht innerhalb der ihm zustehenden Fristen zurückmeldet.

Hinweis: Der EDÖB kann, (nachdem eine geplante Bearbeitung bereits angestossen wurde), jederzeit eine Untersuchung beim Verantwortlichen vornehmen, beispielsweise wenn sich herausstellt, dass sich vorher unterschätze Risiken aufgrund fehlender oder mangelnder Schutzmassnahmen realisiert haben. Das wird in Artikel 49 Absatz 1 (Untersuchung) DSG deutlich:

«1 Der EDÖB eröffnet von Amtes wegen oder auf Anzeige hin eine Untersuchung gegen [...] eine private Person, wenn genügend Anzeichen bestehen, dass eine Datenbearbeitung gegen die Datenschutzvorschriften verstossen könnte. [...]»

Wie die Praxis wohl aussehen wird: Die Entscheidung bleibt im Ermessen des jeweiligen Verantwortlichen, ob dem EDÖB eine DSFA zur Konsultation vorgelegt wird. Es gibt unter Umständen (nachvollziehbare) Gründe, warum Verantwortliche von einer Konsultation absehen, beispielsweise weil sie nicht bis zu drei Monate warten wollen, bis der EDÖB seine Stellungnahme vorlegt, (oder auch nicht). Wenn Verantwortliche darauf verzichten, den EDÖB bei einer DSFA mit bleibend «hohem» Restrisiko zu konsultieren und die geplante Bearbeitung betroffener Personendaten dennoch vornehmen, tragen sie auch die sich daraus ggf. materialisierenden Risiken von Haftungsansprüchen und Reputationsverlust.

Konsultation mit dem/der Datenschutzberater(in)

Verantwortliche haben die Möglichkeit, die Vorlage ihrer DSFA zur Stellungnahme beim EDÖB zu umgehen, indem sie ihre(n) ernannte(n) Datenschutzberater(in) [DSB] konsultieren.

Das ergibt sich aus Artikel 23 Absatz 4 DSB, wo es heisst:

«[...] 4 Der private Verantwortliche kann von der Konsultation des EDÖB absehen, wenn er die Datenschutzberaterin oder den Datenschutzberater nach Artikel 10 konsultiert hat.»

Wie bereits erwähnt, hat der EDÖB bis zu drei Monate Zeit, zu einer vorgelegten DSFA Stellung zu nehmen. Die Konsultation mit dem DSB bringt hier bereits den Vorteil einer wesentlich kürzeren Wartefrist für eine Stellungnahme. Zusätzlich wird im DSG nicht vorgeschrieben, dass die Umsetzung von Empfehlungen eines DSB (nach einer Konsultation) vorgeschrieben ist. Auch hier gilt: wenn Verantwortliche darauf verzichten, die Empfehlungen ihres DSB bei einer DSFA mit bleibend «hohem» Restrisiko zu ignorieren, und die geplante Bearbeitung betroffener Personendaten dennoch vornehmen, tragen sie auch die sich daraus ggf. materialisierenden Risiken von Haftungsansprüchen und Reputationsverlust.

Illustration über das wesentlichen Ablaufschema einer DSFA

Beispiele typischer Konstellationen, die «hohes» Risikopotenzial für die Rechte und Freiheiten betroffener Personen haben können

• Ein Unternehmen verliert eine externe Festplatte mit sensiblen Kundendaten.
• Ein Hacker erlangt Zugriff auf die Kundendatenbank eines Online-Shops und stiehlt persönliche Informationen.
• Ein Unternehmen speichert Kundendaten unverschlüsselt auf einem unsicheren Server.
• Ein Unternehmen verwendet unsichere Cloud-Dienste zur Speicherung von Kundendaten.
• Ein Unternehmen gibt Kundendaten an einen externen Dienstleister weiter, ohne einen Vertrag zur Auftragsbearbeitung abgeschlossen zu haben.
• Ein Unternehmen nutzt die Daten von Bewerbern für andere Zwecke als die Bewerbungsabwicklung.
• Ein Unternehmen führt keine regelmässigen Sicherheitsüberprüfungen seiner IT-Systeme durch und ermöglicht dadurch einen Datenzugriff durch Unbefugte.
• Ein Unternehmen übermittelt Kundendaten in einen unsicheren «Drittstaat» ohne angemessene Datenschutzvorkehrungen.
• Ein Unternehmen gibt die persönlichen Daten seiner Kunden an eine ausländische Regierung weiter, ohne die betroffenen Personen vor Weitergabe zu informieren bzw. deren Zustimmung einzuholen.
• Ein Unternehmen führt keine regelmässigen Schulungen zum Datenschutz für seine Mitarbeitenden durch.
• Eine Bank verliert aufgrund eines Datenlecks in ihrem System versehentlich Kundendaten, darunter Namen, Adressen und Kontoinformationen.
• Ein Krankenhaus gibt versehentlich medizinische Daten von Patienten an falsche Personen weiter.

Setzen Sie sich für weitere Informationen zu diesem Thema gerne jederzeit mit uns in Verbindung. Wir beraten Sie auch gerne unverbindlich in einem ersten Gespräch, z. B. mittels MS Teams, über pragmatische und unkomplizierte Lösungsmöglichkeiten, die Ihren Datenschutz wesentlich erleichtern und definitiv Aufwand und Kosten sparen.

Wenn Sie sich aufgrund der Art und des Umfangs Ihrer (geplanten) Bearbeitungsprozesse unsicher fühlen, ob die Durchführung einer DSFA notwendig wird, oder wenn eine DSFA durchzuführen ist, Sie aber nicht wissen, wie man damit effizient und praktikabel umgeht, melden Sie sich gerne für ein unverbindliches Gespräch. Da wir bereits einiges an Erfahrung bei der Durchführung von Schwellenwertanalysen und DSFAs gesammelt haben, können wir Ihnen effektiv und gezielt bei Vorbereitungen, Ablaufplanungen und Strukturierungen zur Seite stehen. Das Erstgespräch mit uns ist für Interessenten oft ein hilfreicher Orientierungsantrieb und «beruhigender» Wegweiser.

Bitte kontaktieren Sie uns über: