EDÖB: Online-Fragebogen für Datenschutz-Folgenabschätzungen

Hinweis: Leider steht der Online-Fragebogen für Datenschutz-Folgenabschätzungen auf der EDÖB-Website inzwischen nicht mehr zur Verfügung.

Screenshot: Online-Fragebogen für Datenschutz-Folgenabschätzung auf der Website des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB)Das Datenschutzrecht sieht unter anderem vor, dass Datenschutz-Folgenabschätzungen erstellt werden müssen. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat nun einen entsprechenden Online-Fragebogen veröffentlicht:

Mit Dutzenden von Fragen wird geprüft, ob, und falls ja, welche Risiken bei einem Projekt zur Bearbeitung von Personendaten vorhanden sind. Im Ergebnis erhält man einen Vergleich von Ist- und Soll-Zustand mit unterstützenden Hinweisen. Die Fragen allein schon geben hilfreiche Denkanstösse für einen verbesserten Datenschutz.

Beim Ergebnis ist zu beachten, dass die Hinweise zum Teil über das geltende Datenschutzrecht hinausgehen. So erscheint beispielsweise der Hinweis, man könne einen unabhängigen Datenschutzverantwortlichen ernennen, doch wird nicht ausdrücklich erwähnt, dass man gemäss dem heutigen Datenschutzgesetz (DSG) in der Schweiz nicht dazu verpflichtet ist.

Datenschutz-Folgenabschätzungen gemäss DSGVO und E-DSG

Regelungen für obligatorische Datenschutz-Folgenabschätzungen finden sich sowohl im Entwurf für das revidierte Datenschutzgesetz in der Schweiz (E-DSG) als auch in der neuen Datenschutz-Grundverordnung (DSGVO) der Europäischen Union (EU).

Art. 35 Abs. 1 DSGVO lautet wie folgt:

«Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.»

Art. 20 Abs. 1 E-DSG lautet wie folgt:

«Der Verantwortliche erstellt vorgängig eine Datenschutz-Folgenabschätzung, wenn eine Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann. Sind mehrere ähnliche Bearbeitungsvorgänge geplant, so kann eine gemeinsame Abschätzung erstellt werden.»

Richtlinien und Whitepaper zu Datenschutz-Folgenabschätzungen

Mit Blick auf die DSGVO hat die Artikel-29-Datenschutzgruppe Richtlinien für Datenschutz-Folgenabschätzungen (Stand: 4. Oktober 2017) veröffentlicht. Beim Forum Privatheit ist das Whitepaper «Datenschutz-Folgenabschätzung» inzwischen in dritter Auflage erhältlich.

Datenschutz-Folgenabschätzung wird in der Praxis auch als DSFA abgekürzt.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Felder mit * sind Pflichtfelder.