Datenschutz-Folgenabschätzung

Wenn eine geplante Bearbeitung ein hohes Risiko für die betroffenen Personen mit sich bringt, dann ist vorher eine Datenschutz-Folgeabschätzung nötig.

Wenn viele besonders schützenswerte Personendaten bearbeitet werden, dann besteht immer ein hohes Risiko.

Bei einer gesetzlichen Pflicht zu Datenbearbeitungen, wie beispielsweise bei Ärztinnen und Ärzten, ist keine Datenschutz-Folgeabschätzung nötig.

Die Datenschutz-Folgeabschätzung enthält Massnahmen zur Reduktion des Risikos. Bleibt das Risiko trotzdem hoch, muss ein Datenschutzberater oder der EDÖB konsultiert werden.

Wenn keine gesetzliche Pflicht zu einer Datenbearbeitung besteht und eine geplante Bearbeitung ein hohes Risiko für die Persönlichkeit oder Grundrechte der betroffenen Person mit sich bringen kann, dann muss vorgängig eine Datenschutz-Folgeabschätzung vorgenommen werden.

Wenn kein hohes Risiko für die betroffene Person vorliegt, dann kann auf die Erstellung einer Datenschutz-Folgenabschätzung verzichtet werden.

Laut Art. 22 Abs. 2 DSG gilt: Ein hohes Risiko kann sich aus der Art, dem Umfang, den Umständen und dem Zweck der Bearbeitung ergeben. Die Verwendung neuer Technologien erhöht das Risiko.

Ab wann ein Risiko hoch ist, wird bewusst offen gelassen. Wichtig ist, dass eine Einschätzung / Selbstbeurteilung der möglichen Risiken erfolgt und ein angemessenes Risikobewusstsein vorhanden ist.
Die umfangreiche Bearbeitung besonders schützenswerter Personendaten beinhaltet aber immer ein hohes Risiko.

Die Datenschutz-Folgenabschätzung enthält

eine systematische Beschreibung der geplanten Bearbeitung,
den Zweck der Verarbeitung, inklusive einer Bewertung der Notwendigkeit und Verhältnismässigkeit,
eine Bewertung der Risiken für Persönlichkeit, Freiheit und Rechte der betroffenen Personen sowie
die Massnahmen zum Schutz der Persönlichkeit, Freiheit und Rechte einschliesslich Garantien, Sicherheitsvorkehrungen und Verfahren.

Eine einfache Vorlage für eine Datenschutz-Folgenabschätzung wird auf datenrecht.ch unter Downloads angeboten.

Der Datenschutzbeauftragte des Kantons Luzern bietet sowohl das Merkblatt Datenschutz-Folgenabschätzung und Vorabkonsultation für ein besseres Verständnis, als auch die Umsetzungshilfen Formular Schwellwerteanalyse und Formular Datenschutz-Folgenabschätzung an.

Wenn die geplante Bearbeitung trotz der vorgesehenen Massnahmen immer noch ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person zur Folge hat, muss ein Datenschutzberater konsultiert werden. Falls das nicht möglich ist, muss eine Stellungnahme vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) eingeholt werden.