Am 31. August 2023 hat der EDÖB ein Merkblatt zur Vorgehensweise bei der Erstellung einer Datenschutz-Folgenabschätzung (DSFA) nach den Art. 22 und 23 DSG veröffentlicht. Neuerdings besteht aufgrund des Inkrafttreten des revidierten Datenschutzgesetzes (revDSG) am 1. September 2023 die Pflicht für Verantwortliche, eine Risikoeinschätzung insbesondere beim Einsatz von neuen Technologien durchzuführen. Mit dieser Datenschutz-Folgenabschätzung (DSFA) soll ermittelt werden, ob die Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der Betroffenen, genauer für das Recht auf Schutz der Privatsphäre und/oder die informationelle Selbstbestimmung der durch die Personenbearbeitung Betroffenen, mit sich bringt.
Dabei sieht die DSFA ein abgestuftes Vorgehen vor: zunächst ist eine Risikovorprüfung durchzuführen, mittels derer quasi die «Risikoschwelle» definiert wird. Hat die Vorprüfung ergeben, dass die geplante Bearbeitung mit einem «hohen Risiko» verbunden sein könnte, ist dann eine DSFA zu erstellen.
Neben der Tatsache, dass die Durchführung einer DSFA zu den neuen Pflichten des revidierten Schweizer Datenschutzgesetzes gehört, bietet eine DSFA die willkommene Möglichkeit zur eigenen Dokumentation und lässt sich mithilfe der Risikovorprüfung pragmatisch umsetzen. Nicht immer ist der gesamte Dokumentationsaufwand erforderlich. Wir zeigen Ihnen, wie sich die DSFA pragmatisch umsetzen und als Mittel zur Dokumentation nutzen lässt.
Gegenstand und Zweck der DSFA
Dabei ist die DSFA nichts anderes als eine Risikobewertung von (neuen) Technologien in Bezug auf die Bearbeitung von Personendaten.
Mit Hilfe der DSFA wird also ermittelt, wie hoch das Risiko für die Rechte der Betroffenen ist, wenn gewisse (neue) Prozesse und Technologien eingesetzt oder bestehende weiterentwickelt werden, insbesondere im Kontext grosser Digitalisierungsprojekte. Die DSFA ist damit nicht nur im Falle der Verwendung neuer Datenbearbeitungen, sondern auch bei technologischer Weiterentwicklung und Erweiterung bestehender Projekte durchzuführen, wenn und soweit durch die Verwendung von Technologien Personendaten bearbeitet werden.
Das Gute an der DSFA ist, dass diese dabei hilft, Herleitung und Analyse sicherheitstechnischer Risiken transparent zu dokumentieren und mittels geeigneter Massnahme auf ein datenschutzrechtlich akzeptables Niveau zu senken.
Charakterisierung des «hohen Risikos»
Was genau ist jetzt ein «hohes Risiko»? Eine klare Definition gibt es in den Artikeln 22 und 23 revDSG nicht. Jedoch eine «Bewertungshilfe» in Artikel 22 Abs. 2 revDSG, der sogar zwei absolute Kriterien nennt:
- Ein hohes Risiko liegt (immer) dann vor, wenn es sich um eine umfangreiche Bearbeitung besonders schützenswerter Personendaten handelt; oder bei
- Systematischer und umfangreicher Überwachung öffentlicher Bereiche.
Also zum Beispiel, wenn GPS verwendet wird oder ein anderweitiges Tracking-Verfahren zur Anwendung kommt sowie wenn Informationen über Krankheiten oder Beeinträchtigungen einer Person preisgegeben werden.
Und dann ergibt sich das hohe Risiko gemäss der «Bewertungshilfe» des Art. 22 Abs. 2 revDSG «aus der Art, dem Umfang, den Umständen und dem Zweck der Bearbeitung». Was genau heisst das?
Hier hilft es sich zu vergegenwärtigen, dass mit der DSFA Risiken für die Privatsphäre und die informationelle Selbstbestimmung des Einzelnen ermittelt werden sollen. Der «Technologie-Test» sollte also darauf abzielen, festzustellen, ob durch die Verwendung der Technologie beispielsweise die Verfügungsfreiheit der betroffenen Person über ihre Daten stark eingeschränkt wird und der/die Einzelne damit in ihrer informationellen Selbstbestimmung schwer betroffen ist. Oder es wird durch die Technologie möglich, wesentliche Aspekte der Persönlichkeit der Betroffenen zu beurteilen, entsprechend den Kriterien des «Profiling mit hohem Risiko» gemäss Artikel 5 lit. g revDSG.
Das ist beispielsweise dann gegeben, wenn Daten automatisiert bearbeitet und verknüpft werden, so dass damit wesentliche Aspekt einer Person, wie beispielsweise Gesundheit, Arbeitsleistung, wirtschaftliche Lage (siehe Art. 5 lit. f revDSG) beurteilt werden können. Zentral für das hohe Risiko ist dabei, dass diese Bearbeitung und Verknüpfung automatisch, das heisst ohne Bewertung durch eine Person, erfolgt und dies gravierende Folgen für die Betroffenen haben kann. Wichtig ist, dass dabei auch mögliche physische und finanzielle Folgen des Technologieeinsatzes und der damit verbundenen Datenschutzverletzungen mit einzubeziehen sind.
Risikovorprüfung gemäss Art. 22 Abs. 1 und 2 revDSG
Da wir nun ungefähr wissen, wie das Risiko zu definieren ist, kommen wir zum praktischen Vorgehen:
-
Vorprüfung:
Hier sollte man auf Basis gewisser «Schwellenwerte» vorgehen und dokumentieren, ob und inwiefern sich angesichts Umfang der Bearbeitung, Art der Daten, Zahl der Betroffenen und generell angesichts des geplanten Einsatzes der Technologie ein Risiko mit Blick auf die oben ausgeführten Rechte der Betroffenen ergeben könnte:
- Die Kriterien im Rahmen der Vorprüfung sind die gleichen wie die der detaillierten DSFA, also wenn man sich die Gesamtheit der Bearbeitung (siehe oben, Kriterien der Art, Umfang, Umstände und Zweck der Bearbeitung) anschaut, welcher Personenkreis und was für Daten (z.B. Personendaten oder besonders schützenswerte Personendaten) sind davon betroffen, wie viele Leute betrifft es, was ist das Ziel des Technologieeinsatzes und welche Folgen ergeben sich daraus für die Einzelnen bzw. deren Rechte.
- Entsteht für diese beispielsweise ein Kontrollverlust in Bezug auf ihre Daten, oder laufen diese Gefahr, dass durch den Einsatz der Technologie wesentliche Aspekte ihrer Persönlichkeit automatisch so gefiltert und bewertet werden, dass sie anschliessend Nachteile erfahren (siehe oben zur Erklärung, was «hohes Risiko» bedeutet).
-
Komplette DSFA:
Wenn die Vorprüfung ergibt, dass eine geplante Bearbeitung mit einem «hohen Risiko» für die Betroffenen verbunden sein könnte, muss eine DSFA erstellt werden; und zwar am besten schon im Stadium der Projektplanung zum / im Vorfeld des Einsatzes der Technologie.
Gemäss Artikel 22 Abs. 3 revDSG muss diese eine Beschreibung der geplanten Bearbeitung enthalten, eine Bewertung der Risiken, sowie die Massnahmen zur Wahrung der Persönlichkeit und Grundrechte der Betroffenen. Man sieht also, dass sich die Vorprüfung lohnt, weil auf deren Basis die Bearbeitungsvorgänge und das Risiko bereits dokumentiert wurden, nun kommen noch Risikominimierungsmassnahmen hinzu. Dies kann zum Beispiel ein Massnahmenkatalog sein, welcher beim Technikeinsatz parallel ebenfalls datenschutzfreundliche Voreinstellungen beachtet, im Sinne des Data Protection by Design und by Default. Wichtig ist dabei, dass anhand dieser Massnahmen befürchtete „hohe Bruttorisiken“ auf ein angemessen tieferes Niveau gesenkt werden. Ist dies nicht möglich, so lässt der EDÖB es auch zu, dass eine riskante Datenbearbeitung auch nach dem Ergreifen der Schutzmassnahmen immer noch die Schwelle des «hohen Risikos» überschreitet. Allerdings muss die Bearbeitung der Personendaten mit den Vorgaben der Datenschutzgesetzgebung als Ganzes vereinbar und für die Betroffenen zumutbar und somit insgesamt vertretbar sein. Was nach viel Bewertungsspielraum klingt, bietet eine Chance.
Vorgehen nach Fertigstellung der DSFA
Wenn nach der Fertigstellung der DSFA das Nettorisiko als nicht hoch eingestuft wird, muss der Verantwortliche trotzdem prüfen, ob die geplante Bearbeitung mit allen Vorgaben der DSG vereinbar ist. Die DSFA muss aber nicht dem EDÖB vorgelegt werden.
Anders verhält es sich, wenn das Nettorisiko als hoch bewertet wird. Die Restrisiken müssen hierbei vom Verantwortlichen den Betroffenen offengelegt werden und gemäss Art. 23 Abs. 1 DSG muss die DSFA dem EDÖB vorgelegt werden. Von der Konsultation des EDÖB kann abgesehen werden, wenn der Datenschutzberater die Voraussetzungen gemäss Art. 10 DSG erfüllt und dabei insbesondere dessen Kontaktdaten dem EDÖB gemeldet wurden.
Fazit
Mit seinem Merkblatt stellt der EDÖB klar, dass es nicht immer und von Anfang an einer detaillierten DSFA bedarf. Aber es lohnt sich, im Rahmen der Vorprüfung bereits zu dokumentieren, wie der Einsatz von (neuer) Technologie erfolgt, sowohl für die eigene Dokumentation, also auch mit Blick auf eine etwaige vollumfassende DSFA. Im Rahmen der Vorprüfung kann man sich anhand der aufgezeigten Parameter ein generelles Bild von der betreffenden Technologie und deren Wirkungsweise machen und sauber abschätzen sowie dokumentieren, ob es nun eine vollumfängliche DSFA braucht, oder warum dies eben nicht veranlasst werden muss. Dies spart Ressourcen und Nerven und schafft dennoch Sicherheit für die Verantwortlichen.
Quellen
Ausführungen des EDÖB zur Datenschutz-Folgenabschätzung, abrufbar unter: https://www.edoeb.admin.ch/edoeb/de/home/datenschutz/grundlagen/dsfa.html#context-sidebar (letzter Abruf: 05.09.2023).