01/2024 – Fachartikel Swiss Infosec AG
Das Bundesgesetz über den Datenschutz vom 25. September 2020 («DSG») verpflichtet Verantwortliche eine Datenschutz-Folgenabschätzung («DSFA») durchzuführen, wenn eine geplante Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte mit sich bringen kann. Diese Pflicht wurde mit der Revision des DSG eingeführt und ist seit dem 1. September 2023 in Kraft. Kommentar zu Art. 22 DSG «Datenschutz-Folgenabschätzung» – Swiss Infosec AG
Das Ziel einer DSFA ist es, Datenschutzrisiken zu erkennen, die Risiken zu bewerten und Massnahmen zur Reduktion dieser Risiken zu treffen.
Eine Ausnahme von dieser Pflicht besteht gemäss Art. 69 DSG einzig für Datenbearbeitungen, die vor Inkrafttreten des DSG begonnen wurden, sofern der Bearbeitungszweck unverändert bleibt und keine neuen Daten beschafft werden. Mit anderen Worten: es muss keine DSFA durchgeführt werden bei Bearbeitungen, welche vor dem Inkrafttreten des DSG begonnen wurden und ohne jegliche Veränderung über den 1. September 2023 hinaus weiterlaufen. Bei den übrigen Bearbeitungen ist das Vorliegen eines allfällig hohen Risikos abzuklären.
In eine ähnliche Richtung zielt das Bearbeitungsreglement. Dem risikobasierten Ansatz der Datensicherheitsvorgaben folgend, muss ein Bearbeitungsreglement immer dann erstellt werden, wenn ein erhöhtes Risiko vorliegt. Im Gegensatz zu einer DSFA sollen jedoch keine Risiken identifiziert und geeignete Massnahmen zur Risikoreduktion ermittelt werden, sondern die Datenschutzkonformität an sich soll mittels entsprechender Dokumentation nachgewiesen werden. Folglich wird praktisch jede Bearbeitung, welche ein Bearbeitungsreglement erfordert, auch einer DSFA zu unterziehen sein.
Die Verordnung über den Datenschutz vom 31. August 2022 («DSV») verpflichtet den privaten Verantwortlichen und seinen Auftragsbearbeiter ein Bearbeitungsreglement für automatisierte Bearbeitungen zu erstellen, wenn dieser (Art. 5 DSV):
- besonders schützenswerte Personendaten in grossem Umfang bearbeitet; oder
- ein Profiling mit hohem Risiko durchführt.
Bei automatisierten Bearbeitungen durch ein Bundesorgan ist ein Bearbeitungsreglement zu erstellen, wenn (Art. 6 DSV):
- besonders schützenswerte Personendaten bearbeitet werden;
- ein Profiling durchgeführt wird;
- der Bearbeitungszweck oder die Art und Weise der Datenbearbeitung zu einem schwerwiegenden Eingriff in die Grundrechte der betroffenen Person führt;
- Personendaten Kantonen, ausländischen Behörden, internationalen Organisationen oder privaten Personen zugänglich gemacht werden; oder
- mit anderen Bundesorganen zusammen ein Informationssystem betrieben oder Datenbestände bewirtschaftet werden.
Der Begriff «automatisiert» wird zwar weder im Gesetz noch in der Verordnung definiert, gemeint ist aber schlichtweg die «computergestützte Bearbeitung», die heutzutage für die allermeisten Anwendungen und Bearbeitungsvorgänge nicht mehr wegzudenken ist.
Ein Bearbeitungsreglement zeigt auf, welche Massnahmen getroffen werden, um die obengenannten automatisierten Datenbearbeitungen datenschutzkonform zu betreiben. Es soll die notwendige Transparenz im Zusammenhang mit der Bearbeitung von Daten schaffen, die Grundsätze der Datenbearbeitung regeln und enthält Angaben zur Systemarchitektur, zum Datenbearbeitungs- und Kontrollverfahren, zur internen Organisation sowie zu den Massnahmen zur Gewährleistung der Datensicherheit. Das Bearbeitungsreglement ist regelmässig zu aktualisieren.
Die Pflicht zur Erstellung eines Bearbeitungsreglements wurde aus dem alten Datenschutzrecht übernommen. Neu gilt diese explizit auch für Auftragsbearbeiter, die separate Reglemente zu erstellen haben. Die Tragweite der Pflicht zur Führung eines Bearbeitungsreglements dürfte grösser sein, als man auf den ersten Blick vermuten könnte. Schliesslich hat der Bundesrat diese Regelung in der Datenschutzverordnung ausdrücklich als Mindestanforderung der Datensicherheit bezeichnet, weshalb bei einem Verstoss strafrechtliche Sanktionen drohen.
Haben Sie noch Fragen? Gerne beantworten wir diese und unterstützen Sie bei der Einhaltung von Schweizer Datenschutz und DSGVO.
Kontaktieren Sie uns und erfahren Sie in einem unverbindlichen Beratungsgespräch, was unsere Spezialistinnen und Spezialisten für Sie tun können: +41 41 984 12 12, infosec@infosec.ch
Swiss Infosec AG; 03.01.2024
Kompetenzzentrum Datenschutz