Datenschutz-
Folgeabschätzung
Bringt eine Bearbeitung von Personendaten ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich, hat der Verantwortliche vorgängig eine Datenschutz-Folgenabschätzung zu erstellen.
Um zu beurteilen, ob ein hohes Risiko vorliegt, muss immer die Art, der Umfang, die Umstände sowie der Zweck der Bearbeitung geprüft werden. Eine solche Prüfung ist insbesondere bei der Verwendung neuer Technologien vorzunehmen. Ein hohes Risiko liegt namentlich in folgenden Fällen vor:
- Bei einer umfangreichen Bearbeitung besonders schützenswerter Personendaten;
- wenn systematisch umfangreiche öffentliche Bereiche überwacht werden.
Eine Datenschutz-Folgenabschätzung hat sich mit folgenden Inhalten zu befassen:
- Beschreibung der geplanten Bearbeitung;
- Bewertung der Risiken für die Persönlichkeit oder die Grundrechte der betroffenen Person;
- Massnahmen zum Schutz der Persönlichkeit und der Grundrechte.
Ergibt sich aus der Datenschutz-Folgenabschätzung, dass die geplante Bearbeitung trotz der vom Verantwortlichen vorgesehenen Massnahmen noch ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person zur Folge hat, so hat der Verantwortliche vorgängig die Stellungnahme des EDÖB einzuholen.
Der private Verantwortliche kann von der Konsultation des EDÖB absehen, wenn er eine Datenschutzberaterin oder einen Datenschutzberater ernennt hat und diese konsultiert hat.
Eine Datenschutz-Folgenabschätzung ist mindestens 2 Jahre aufzubewahren.
Plant ein Verantwortlicher mehrere ähnliche Bearbeitungsvorgänge, so kann eine gemeinsame Datenschutz-Folgenabschätzung erstellt werden.
Keine Datenschutz-Folgenabschätzung ist vorzunehmen, wenn ein Verantwortlicher zur Bearbeitung der Daten gesetzlich verpflichtet ist.
Auf eine Datenschutz-Folgenabschätzung darf zudem verzichtet werden, wenn:
- Ein System, Produkt oder eine Dienstleistung eingesetzt wird, das oder die für die vorgesehene Verwendung zertifiziert ist.
- Der Verantwortliche hält einen Verhaltenskodex ein, der folgende Voraussetzungen erfüllt:
- Der Verhaltenskodex beruht auf einer Datenschutz-Folgenabschätzung.
- Er sieht Massnahmen zum Schutz der Persönlichkeit und der Grundrechte der betroffenen Person vor.
- Er wurde dem EDÖB vorgelegt.
Zertifizierungen:
Die Hersteller von Datenbearbeitungssystemen oder -programmen sowie die Verantwortlichen und Auftragsbearbeiter können ihre Systeme, Produkte und Dienstleistungen einer Bewertung durch anerkannte unabhängige Zertifizierungsstellen unterziehen.
Der Bundesrat erlässt Vorschriften über die Anerkennung von Zertifizierungsverfahren und die Einführung eines Datenschutz-Qualitätszeichens.
Beispiel:
- Profiling mit hohem Risiko
Weitere Informationen: