11/2023
Art. 22 Datenschutz-Folgenabschätzung
1. Der Verantwortliche erstellt vorgängig eine Datenschutz-Folgenabschätzung, wenn eine Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann. Sind mehrere ähnliche Bearbeitungsvorgänge geplant, so kann eine gemeinsame Abschätzung erstellt werden.
2. Das hohe Risiko ergibt sich, insbesondere bei Verwendung neuer Technologien, aus der Art, dem Umfang, den Umständen und dem Zweck der Bearbeitung. Es liegt namentlich vor:
a. bei der umfangreichen Bearbeitung besonders schützenswerter Personendaten;
b. wenn systematisch umfangreiche öffentliche Bereiche überwacht werden.
3. Die Datenschutz-Folgenabschätzung enthält eine Beschreibung der geplanten Bearbeitung, eine Bewertung der Risiken für die Persönlichkeit oder die Grundrechte der betroffenen Person sowie die Massnahmen zum Schutz der Persönlichkeit und der Grundrechte.
4. Von der Erstellung einer Datenschutz-Folgenabschätzung ausgenommen sind private Verantwortliche, wenn sie gesetzlich zur Bearbeitung der Daten verpflichtet sind.
5. Der private Verantwortliche kann von der Erstellung einer Datenschutz-Folgenabschätzung absehen, wenn er ein System, ein Produkt oder eine Dienstleistung einsetzt, das oder die für die vorgesehene Verwendung nach Artikel 13 zertifiziert ist, oder wenn er einen Verhaltenskodex nach Artikel 11 einhält, der die folgenden Voraussetzungen erfüllt:
a. Der Verhaltenskodex beruht auf einer Datenschutz-Folgenabschätzung.
b. Er sieht Massnahmen zum Schutz der Persönlichkeit und der Grundrechte der betroffenen Person vor.
c. Er wurde dem EDÖB vorgelegt.
IN KÜRZE
Art. 22 DSG regelt die Voraussetzungen zur Durchführung einer Datenschutz-Folgenabschätzung (DSFA). Der Artikel ist an die Bestimmungen der Art. 35 f. DSGVO angelehnt. Mithilfe der datenschutzrechtlichen Risikoanalyse soll bei einer geplanten Datenbearbeitung, welche voraussichtlich zu hohen Risiken für die Persönlichkeit oder die Grundrechte der betroffenen Personen führt, vorgängig eine Bewertung dieser Risiken vorgenommen werden. Damit sollen vor Beginn der Datenbearbeitung angemessene Massnahmen zur Risikominimierung definiert und ergriffen werden. Ein hohes Risiko liegt gemäss Gesetz insbesondere bei (i) der umfangreichen Bearbeitung besonders schützenswerter Daten (z.B. Gesundheitsdaten) oder (ii) der systematischen umfangreichen Überwachung von öffentlichen Bereichen (z.B. der Installation von Überwachungskameras in einem Park) vor. Die Liste der in Art. 22 genannten hohen Risiken ist jedoch nicht abschliessend. Typischerweise werden sich hohe Risiken durch den Einsatz neuer Technologien und Prozesse ergeben, wie z.B. algorithmische Systeme («Künstliche Intelligenz»), DLT-Systeme oder Big Data Analytics. Die geplante Bearbeitungstätigkeit kann jedoch auch aufgrund anderer Faktoren als hohes Risiko für die Persönlichkeit oder für die Grundrechte der betroffenen Personen eingestuft werden, z.B. weil Kinder betroffen sind, automatisierte Einzelentscheide gefällt oder Personendaten an ein komplexes Netzwerk von Auftragsbearbeitern weitergeben werden. Direkt strafbewehrt ist die Verletzung der Pflicht nach Art. 22 jedoch nicht.
I. ALLGEMEINES
A. Überblick
Das revidierte DSG sieht im Gegensatz zur DSGVO keine allgemeine Rechenschaftspflicht vor. Eingeführt wurde jedoch die Pflicht, eine Datenschutz-Folgenabschätzung (DSFA) für Datenbearbeitungen mit hohen Risiken durchzuführen, was im Endeffekt eine Rechenschaftspflicht für bestimmte Datenbearbeitungen darstellt. Die DSFA ist nicht nur auf Bundesebene, sondern auch in zahlreichen Kantonen gesetzlich verankert. In Zürich findet sich die entsprechende Pflicht beispielsweise in § 10 Abs. 1 IDG, in Verbindung mit einer Vorabkontrolle (vgl. zum Vorabkonsultationsverfahren auf Bundesebene die Kommentierung zu Art. 23).
Die DSFA wird mit der Revision im Schweizer Datenschutzgesetz für alle Verantwortlichen verankert – für private Verantwortliche sowie für Bundesorgane. Aus diesem Grund umfasst der Wortlaut der Bestimmung sowohl hohe Risiken für die Persönlichkeit (für die Datenbearbeitung durch private Verantwortliche) als auch für die Grundrechte (für die Datenbearbeitung durch Bundesorgane) der betroffenen Personen. Die DSFA dient dazu, die potenziellen Risiken einer geplanten Datenbearbeitung frühzeitig zu erkennen, zu bewerten und risikomindernde Massnahmen zu definieren sowie zu implementieren. Diese Schritte müssen vorgenommen werden, bevor mit der geplanten Datenbearbeitung begonnen wird (siehe zum Zweck weitergehend N. 8 ff.). Die Anwendung des Art. 22 ist Ausfluss des risikobasierten Ansatzes des DSG, der in der Umsetzung der Art. 22 und 23 besonders deutlich in Erscheinung tritt.
Der DSFA wird eine steigende Bedeutung zugesprochen. Begründet wird dies vor allem mit der zunehmenden Verbreitung von fortgeschrittenen algorithmischen Systemen oder vergleichbaren neuen Technologien in allen Lebensbereichen, wie z.B. Distributed-Ledger-Technologien oder dem Internet der Dinge. Bei zahlreichen der genannten Anwendungen sind Personendaten betroffen und es ist nicht auszuschliessen, dass die Persönlichkeit oder die Grundrechte der betroffenen Personen beim Einsatz dieser Technologien hohen Risiken ausgesetzt sind. In diesen Fällen wird somit eine DSFA erforderlich. Der oder die Verantwortliche wird dazu angehalten, sich vorgängig analytisch mit der geplanten Datenbearbeitung auseinanderzusetzen.
Gleichzeitig ist zu beachten, dass insbesondere bei algorithmischen Systemen bestimmte Vorgänge kaum nachvollziehbar sind und ihr Potenzial nicht abschliessend definierbar ist (sog. «Black Box» Problematik). Entsprechend lassen sich die bearbeiteten Personendaten und Bearbeitungszwecke im Einzelfall ggf. nicht klar definieren und abgrenzen, zumal oftmals viele Auftragsbearbeiter und andere Dritte zur Bearbeitung der Daten hinzugezogen werden und die den Systemen zugrundliegenden Big Data-Analysen ein noch nicht absehbares Potenzial bieten. So kann es sich bei der DSFA in diesen Fällen durchaus um ein «ambitiöse(s) Unterfangen» handeln, deren Durchführung jedoch umso ernster genommen werden muss. Je besser dies gelingt, desto eher kann ein vertrauenswürdiger und transparenter Einsatz von solchen Technologien gewährleistet werden.
B. Entstehungsgeschichte
Das Schweizer DSG sah vor der Totalrevision keine explizite Pflicht für private Datenbearbeiter vor, eine DSFA durchzuführen. Bundesorgane waren jedoch bereits unter dem alten DSG verpflichtet, dem internen Datenschutzverantwortlichen oder dem EDÖB Projekte zu melden, welche die automatisierte Bearbeitung von Personendaten zum Inhalt hatten (Art. 20 Abs. 2 aVDSG). Diese Meldung war damit verbunden, dass die jeweiligen Bundesbehörden für die geplante Datenbearbeitung ein Informationssicherheits- und Datenschutz-Konzept («ISDS-Konzept») erstellen mussten. Dieses Vorgehen war gemäss Botschaft mit der DSFA vergleichbar.
Für private Verantwortliche wurde die DSFA in Einzelfällen u.U. auf Art. 7 aDSG gestützt. Zudem erforderten die Datenbearbeitungsgrundsätze schon immer, dass die Folgen einer Datenbearbeitung stets mitberücksichtigt werden müssen. Ausserdem verlangte der EDÖB im Rahmen seiner Beratung von privaten Datenbearbeitern in bestimmten Fällen bereits in der Vergangenheit die Vorlage einer DSFA, insbesondere wenn es sich um risikoreiche Datenbearbeitungen handelte. Bedingt wurde die Einfügung der Pflicht zur Durchführung einer DSFA nicht zuletzt durch EU-weite Vorgaben gemäss Art. 8bis E-SEV 108 sowie Art. 27 f. der Richtlinie (EU) 2016/680. Art. 35 f. DSGVO enthält analoge Vorschriften für Verantwortliche, die in den Anwendungsbereich der DSGVO fallen, aber die Schweiz im Rahmen der Rechtssetzung nicht direkt verpflichten.
International baut das Instrument auf einer langjährigen Vorgeschichte auf, die bis in die 1990er Jahre zurückreicht. In diesem Zeitraum wurden sowohl in der EU-Datenschutzrichtlinie (Art. 20, Richtlinie 95/46/EG), welche von der DSGVO abgelöst wurde, als auch im angelsächsischen Raum erste «Privacy Impact Assessments» entwickelt. Weitere EU Mitgliedstaaten wie Frankreich und Deutschland haben aufgrund der Richtlinie 95/46/EG entsprechende Empfehlungen herausgegeben. Diese unverbindlichen Vorgaben zielten darauf ab, mögliche Risiken von vornherein zu minimieren oder wenn möglich auszuschliessen, zumal sich eine solch präventive Ausrichtung stets als einfacher und kostengünstiger erwies, als die Prozesse z.B. nachträglich zu einer Untersuchung durch die kompetente Aufsichtsbehörde anzupassen.
Diese Ziele sollten u.a. durch eine Beschreibung der «Information Flows», den Einbezug von und den Diskurs mit «Stakeholdern» sowie durch Verfassen von Reports erreicht werden. Beispielhaft können zudem die Vorschriften des ehemaligen Bundesdatenschutzgesetzes (aBDSG) in Deutschland genannt werden, das in § 3 Abs. 9 aBDSG einen erhöhten Schutz für besondere Arten von Daten vorsah. Bei diesen besonderen Daten handelte es sich u.a. um Daten über die politische Meinung oder die Gesundheit. Bevor diese Daten von Organisationen bearbeitet werden durften, musste der zuständige Beauftragte für Datenschutz eine sog. «Vorabkontrolle» vornehmen, um den sachgemässen Umgang sicherzustellen (§ 4d Abs. 5 aBDSG).
An all diese Entwicklungen knüpfte der Gesetzgebungsprozess in der Schweiz offenbar an, indem in allen Vorversionen zum totalrevidierten DSG eine DSFA vorgesehen war. Im Vorentwurf waren Art. 22 und der dazugehörige Art. 23 DSG in einem Artikel 16 VE-DSG zusammengefasst. Art. 16 Abs. 3 VE-DSG war jedoch strenger gefasst als die nun geltende Vorschrift. Der Artikel sah vor, dass sowohl das Ergebnis als auch die ergriffenen Massnahmen von jeder DSFA dem EDÖB gemeldet werden müssen. Im E-DSG wurde die Folgenabschätzung sodann in zwei Artikel gefasst und an die Struktur von Art. 35 DSGVO angepasst. Die Liste von Bearbeitungen mit hohem Risiko, welche somit zwingend die Durchführung einer DSFA voraussetzen, umfassten im Entwurf ebenfalls das Profiling (Art. 20 Abs. 2 lit. b E-DSG). Dieser Bearbeitungsprozess wurde im finalen Gesetzestext aufgrund der parlamentarischen Beratungen und im Einklang mit der geltenden Gesetzessystematik jedoch wieder aus der Liste von Datenbearbeitungen mit hohem Risiko gestrichen. Dieser Schritt ist zu begrüssen, zumal in vielen Fällen das Profiling nicht als besonders heikel einzustufen sein wird und eine DSFA somit nicht gerechtfertigt wäre.
Die DSFA wird nunmehr in Art. 22 DSG normiert und ist sowohl auf private Verantwortliche als auch Bundesorgane anwendbar. Damit geht die Gesetzesnorm über die zuvor bestehende Pflicht für Bundesorgane aus Art. 20 Abs. 2 VDSG hinaus und weitet sie aus. Im Rahmen der mit der Totalrevision neu eingeführten Norm fehlt es – mit Ausnahme von Art. 14 DSV zur Aufbewahrungspflicht von zwei Jahren – an weiteren Ausführungsbestimmungen, welche die Umsetzung in der Praxis vereinfachen könnten.
C. Normzweck
Die Einhaltung der Voraussetzungen des Art. 22 dient dazu sicherzustellen, dass eine geplante Datenbearbeitung nicht zu einer Verletzung des DSG führt. Die DSFA soll beim Verantwortlichen ein erhöhtes Bewusstsein für Datenbearbeitungen mit hohem Risiko, wie z.B. beim Einsatz von algorithmischen Systemen («Künstliche Intelligenz») oder Big Data Analytics, bei der Nutzung von Gesichtserkennungssoftware, bei der Einführung einer Patientendatenbank oder im Rahmen von Profiling mit hohem Risiko, schaffen. Es handelt sich mithin um eine «datenschutzrechtliche Selbstbeurteilung» bei besonders risikoreichen Datenbearbeitungen. Art. 22 ist Ausfluss der Datenschutzgrundsätze sowie des Grundsatzes von Datenschutz durch Technik und datenschutzfreundlicher Voreinstellungen (Art. 7). So geht es darum, Risiken in einem ersten Schritt zu erkennen und diese in einem zweiten Schritt analytisch zu bewerten. Der Verantwortliche soll dabei eine Prognose über die möglichen Folgen einer geplanten Datenbearbeitung für die betroffenen Personen machen.
Dabei kommt es darauf an, wie und in welchem Umfang sich die geplante Datenbearbeitung auf die betroffenen Personen auswirkt. Schliesslich zielt die Norm darauf ab, ausgehend von den Ergebnissen der durchgeführten Analyse, angemessene Massnahmen zu entwickeln und zu implementieren, um (i) die identifizierten Risiken der geplanten Datenbearbeitung zu mildern, (ii) langfristige Schlüsse daraus zu ziehen sowie (iii) sich insgesamt datenschutzkonform zu verhalten.
Gelingt dies, bietet die DSFA zudem die Möglichkeit, die Einhaltung von Vorschriften aus dem Datenschutzrecht gegenüber dem EDÖB nachzuweisen und langfristig Kosten zu sparen. In diesem Sinne fordert der Art. 22 vom Verantwortlichen ein selbständiges Weiterdenken und Prüfen der sich ergebenden Risiken in Bezug auf die geplante Datenbearbeitung: Ist die geplante Datenbearbeitung mit den Vorgaben der Datenschutzgesetzgebung im Einklang? Werden die allgemeinen Datenschutzgrundsätze eingehalten? Ist die Datenbearbeitung verhältnismässig? Ist die Datensicherheit durch die geplante Bearbeitung gefährdet? Ergeben sich weitere Risiken für die Persönlichkeit oder Grundrechte der betroffenen Personen? Diesen Fragen ist dabei ungeachtet der Höhe des Risikos nachzugehen, wodurch der Gesetzgeber zu einem Grossteil auf eine «Hands-on-Mentalität» setzt. Dies soll dazu dienen, die mit der Datenbearbeitung zusammenhängenden Risiken auf ein als angemessen empfundenes Niveau zu senken.
Die Dokumentations- und die Aufbewahrungspflicht nach Art. 14 DSV ergänzen die Pflicht eine DSFA bei Datenbearbeitungen mit hohen Risiken durchzuführen. So wird der Verantwortliche verpflichtet, eine durchgeführte DSFA zu dokumentieren und nach Beendigung der Datenbearbeitung während mindestens zwei Jahren aufzubewahren. Dadurch sieht sich der Verantwortliche im Falle einer Untersuchung durch den EDÖB in der Lage, die risikoreiche Datenbearbeitung zu rechtfertigen und aufzuzeigen, wie den hohen Risiken entgegnet wird. Aus dieser Bestimmung geht der Charakter der DSFA als ergänzende Rechenschaftspflicht sowohl gegenüber dem EDÖB als auch gegenüber betroffenen Personen hervor.
II. INHALT
A. Adressaten
Art. 22 adressiert vor allem zwei Akteure: Bundesorgane sowie private Verantwortliche, da es sowohl um eine Risikoeinschätzung der betreffenden Datenbearbeitung in Bezug auf die Persönlichkeit als auch die Grundrechte der betroffenen Personen geht. Bundesorgane hatten bereits im aDSG eine ähnliche Pflicht. Private Verantwortliche wie auch Bundesorgane sind von dieser Pflicht betroffen, wenn sie gem. Art. 3 Abs. 1 in den Anwendungsbereich des DSG fallen. Dies bedeutet, dass auch private Verantwortliche mit Sitz im Ausland dieser Pflicht unterliegen, sofern sich ihre Datenbearbeitungstätigkeit gem. dem Auswirkungsprinzip in der Schweiz auswirkt und die weiteren Voraussetzungen von Art. 22 erfüllt sind (vgl. zum Auswirkungsprinzip ausführlich die Kommentierung zu Art. 3).
Auftragsbearbeiter sind zu Recht nicht von der Pflicht zur Durchführung einer DSFA erfasst, zumal sie die Daten im Auftrag eines Verantwortlichen bearbeiten und der Verantwortliche grundsätzlich über den Zweck und die Mittel einer Datenbearbeitung entscheidet. Die Risikoeinschätzung liegt somit grundsätzlich nicht in ihrer Sphäre. Während im DSG im Gegensatz zu Art. 28 Abs. 3 lit. f DSGVO keine Unterstützungspflicht der Auftragsbearbeiter gegenüber den Verantwortlichen bei der Durchführung einer DSFA verankert ist, kann eine Unterstützungspflicht der Auftragsbearbeiter jedoch auch in ihrem Sinne sein. In der Praxis wird eine entsprechende Pflicht häufig Bestandteil der vertraglichen Abreden zwischen dem Verantwortlichen und dem Auftragsbearbeiter sein. Aus den Datenschutzgrundsätzen in Art. 6 lässt sich jedoch eine Pflicht für Auftragsbearbeitende ableiten, sicherzustellen, dass die ihnen übertragene Datenbearbeitung im Einklang mit den Datenschutzgrundsätzen erfolgt. Trifft dies nicht zu, ist der Verantwortliche darüber in Kenntnis zu setzen, dass die Datenbearbeitungstätigkeit angepasst werden sollte. Gegebenenfalls sollte gar die Durchführung einer DSFA vorgeschlagen werden.
B. Das hohe Risiko
Abs. 2 sieht vor, dass die DSFA in jedem Fall durchzuführen ist, sofern ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person anzunehmen ist. Dementsprechend ist nicht für jede Datenbearbeitung eine DSFA durchzuführen. Dies entspricht dem risikobasierten Ansatz des DSG, wobei vorliegend die Risiken für die betroffenen Personen spezifisch im Vordergrund stehen und nicht Risiken, die sich für die Verantwortlichen ergeben.
Das hohe Risiko ergibt sich aus der Art, dem Umfang und den Umständen sowie dem Zweck der Datenbearbeitung. Diese Kriterien sind vergleichbar mit den Risiken, die im Rahmen der Festlegung von Datensicherheitsmassnahmen gemäss Art. 1 Abs. 3 DSV berücksichtigt werden müssen. In diesem Sinne liegt das hohe Risiko insbesondere dann vor, jedoch nicht ausschliesslich, wenn neue Technologien eingesetzt werden. Je umfangreicher und sensitiver diese Handlungen und Datenbestände sind, desto eher kann vom Vorliegen eines hohen Risikos ausgegangen werden. Die geplante Datenbearbeitung muss u.a. im Hinblick der Einwirkung auf die Identität, Selbstbestimmung oder Würde der betroffenen Person untersucht werden. Das hohe Risiko muss sich nicht effektiv manifestieren: Es geht darum potenzielle Risiken zu erkennen und zu bewerten, die im Rahmen der Datenbearbeitung auftreten könnten.
Gemäss den lit. a und lit. b liegt ein hohes Risiko im Sinne einer Fiktion dann vor, wenn (i) besonders schützenswerte Personendaten umfangreich bearbeitet (z.B., wenn Strafregisterinformationen in einem öffentlichen Register publiziert werden, beim Einsatz von Gesundheitsapplikationen, die Auswertungen der Daten vornehmen und Diagnosen erstellen, oder bei klinischen Versuchen) oder (ii) öffentliche Bereiche umfassend und systematisch überwacht werden (z.B. die Überwachung eines öffentlichen Spielplatzes oder Parks oder die systematische Überwachung der Internetnutzung von Mitarbeitenden). Das Gesetz listet keine weiteren Datenbearbeitungen auf, für welche zwingend eine DSFA durchgeführt werden muss. Im Gegensatz dazu sieht die DSGVO bspw. weitergehend vor, dass Aufsichtsbehörden Listen über Datenbearbeitungen publizieren müssen, welche zwingend einer DSFA bedürfen.
Weder das Profiling mit hohem Risiko noch die automatisierte Einzelentscheidung werden gemäss Wortlaut von Art. 22 Abs. 2 als Datenbearbeitungstätigkeit eingestuft, die zwingend eine DSFA verlangen. Dies erscheint auf den ersten Blick überraschend, zumal das Profiling mit hohem Risiko per Definition ein hohes Risiko für die betroffene Person mit sich bringt und die automatisierten Einzelentscheide zu Rechtsfolgen oder anderen Folgen führen, welche die betroffene Person erheblich beeinträchtigen. Vor diesem Hintergrund ist für ein Profiling mit hohem Risiko stets eine DSFA durchzuführen. Bei automatisierten Entscheiden stellt sich die Lage hingegen anders, komplexer dar, zumal eine DSFA die Datenbearbeitung an sich bewertet, welche bei diesen automatisierten Einzelentscheidungen nicht zwingend heikel ist. Heikel ist hier primär das Ergebnis der Entscheidung, welche in Art. 21 geregelt ist. Eine DSFA ist dennoch durchzuführen, wenn die Datenbearbeitung, die zur automatisierten Einzelentscheidung führt, an sich ein hohes Risiko für die Persönlichkeit oder Grundrechte der betroffenen Person führen könnte.
In der Botschaft werden weitere Datenbearbeitungen aufgeführt, die zu einem hohen Risiko führen könnten, namentlich im Falle der Bearbeitung grosser Datenmengen, der Übermittlung von Daten in Drittstaaten (in diesem Zusammenhang ist auf das sog. Data Transfer Impact Assessment hinzuweisen; vgl. die Kommentierung zu Art. 16 f.) oder sofern eine grosse Vielzahl an Personen auf die Daten zugreifen können. Im Einzelfall ist jedoch stets zu prüfen, ob tatsächlich ein hohes Risiko vorliegt.
Weder das DSG noch die DSV enthalten genauere Vorgaben in Bezug auf die Bestimmung des hohen Risikos. So muss stets anhand der konkret geplanten Datenbearbeitung geprüft werden, ob eine DSFA durchzuführen ist. Als Hilfestellung können dabei die EU-Leitlinien dienen, welche für die Regelung in Art. 35 f. DSGVO neun Kriterien vorsehen, nach welchen die Ermittlung eines hohen Risikos erfolgen kann.
Sobald eine geplante Datenbearbeitung zwei dieser neun Kriterien erfüllt, soll gemäss der Leitlinie die Pflicht bestehen, eine DSFA durchzuführen. Die neun Kriterien lauten wie folgt:
- Bewertung oder Einstufung von Personen oder Persönlichkeitsaspekten mithilfe von Daten;
- Automatisierte Entscheidungsfindung mit Rechtswirkung gegenüber natürlichen Personen oder ähnlich bedeutsamer Wirkung;
- Systematische Überwachung;
- Bearbeitung von vertraulichen oder höchstpersönlichen Daten;
- Datenbearbeitung in grossem Umfang;
- Abgleichen oder Zusammenführen von verschiedenen Datensätzen, sofern nicht damit zu rechnen war;
- Datenbearbeitung von schutzbedürftigen Personen (z.B. Kinder, Arbeitnehmenden oder Patienten);
- Innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen (z.B. künstliche Intelligenz, Big Data Analytics oder Blockchain-basierte Technologien), da deren datenschutzrechtliches Risiko oft noch nicht genau eruiert worden ist; und
- Fälle, in denen die Datenbearbeitung die betroffenen Personen an der Ausübung eines Rechts oder der Nutzung einer Dienstleistung bzw. Durchführung eines Vertrags hindert.
Während die Leitlinien aus der EU in der Schweiz nicht anwendbar sind, können sie aufgrund der vergleichbaren gesetzlichen Voraussetzungen zur Durchführung einer DSFA im Schweizer und EU-Datenschutzrecht beigezogen werden. Es ist zudem nicht auszuschliessen, dass der EDÖB ähnliche Leitlinien publizieren oder die Listen von Datenbearbeitungsvorgängen der verschiedenen EU-Aufsichtsbehörden gem. Art. 35 Abs. 4 DSGVO, welche zwingend eine DSFA verlangen, analog auf die Schweiz anwenden wird. Die Praxis wird in Bezug auf die Beurteilung des hohen Risikos für mehr Rechtssicherheit sorgen.
C. Durchführung der DSFA
1. Einführung
Art. 22 macht klare Vorgaben, in welchen Fällen der Verantwortliche eine DSFA durchführen muss und was bei der Durchführung zu beachten ist. Dazu gehört, dass die Risikobewertung strukturiert durchgeführt und dokumentiert werden muss. Die Dokumentation muss zudem der Konsultation des EDÖB standhalten, wenn trotz der implementierten Massnahmen die Datenbearbeitung weiterhin ein hohes Risiko für die Persönlichkeit oder Grundrechte der betroffenen Personen zur Folge hat (Art. 23 Abs. 1; vgl. hierzu ausführlich die Kommentierung zu Art. 23).
2. Ablauf
Die DSFA ist von dem Verantwortlichen vor Aufnahme einer neuen oder aktualisierten Datenbearbeitungstätigkeit durchzuführen. Dies dient dazu, die Risiken der geplanten Datenbearbeitung vorgängig zu erkennen und entsprechende Massnahmen zu implementieren, bevor es zu Rechtsverletzungen kommt. Dabei gilt: je früher, desto besser. Die einmalige, anfängliche Durchführung des DSFA reicht indes nicht aus. Vielmehr sind auch während des jeweiligen Projekts weitere Durchläufe erforderlich, um zu überprüfen, ob etwaig vorgenommene Anpassungen der Datenbearbeitungen zu einer anderen Einschätzung führen und somit andere Massnahmen sachgemässer oder gar obsolet erscheinen.
Inhaltlich setzt die DSFA drei Schritte voraus, die in Abs. 3 definiert werden. Dies ist, erstens, die Vorbereitungsphase, in welcher die Bearbeitung der Daten möglichst präzise beschrieben wird. Zweitens werden in der Bewertungsphase die Risiken bewertet, um darauf aufbauend in einem dritten Schritt, Massnahmen zum Umgang mit bzw. zur Bewältigung dieser Risiken zu treffen.
Bevor diese drei Schritte ausgeführt werden, sollten private Verantwortliche jedoch prüfen, ob sie gesetzlich zur Datenbearbeitung verpflichtet sind. Sofern eine gesetzliche Bearbeitungspflicht besteht, sind sie von der Pflicht zur Durchführung einer DSFA ausgenommen (Art. 22 Abs. 4). Ausserdem sollte die Bundesbehörde oder der private Verantwortliche zuerst eine Vorabeinschätzung durchführen. Dabei handelt es sich um eine allgemeine, eher oberflächliche Risikoeinschätzung, zur Prüfung, ob potenziell ein hohes Risiko bei der geplanten Datenbearbeitung vorliegen könnte (vgl. zum hohem Risiko N. 12 ff.). Auf diese Weise lässt sich vorab klären, ob eine DSFA überhaupt notwendig ist.
Kommt der Verantwortliche zum Schluss, dass die geplante Datenbearbeitung voraussichtlich nicht zu einem hohen Risiko führen wird, ist keine DSFA erforderlich. Ein solcher Entscheid sollte jedoch zu Beweiszwecken dokumentiert und aufbewahrt werden. Sofern der Verantwortliche jedoch aufgrund dieser Vorabeinschätzung zum Schluss gelangt, dass die betreffende Datenbearbeitung zu einem hohen Risiko führen könnte, ist die DSFA grundsätzlich durchzuführen. Eine Ausnahme liegt nur in den Fällen des Art. 22 Abs. 5 vor.
Die Vorbereitungsphase umfasst eine detaillierte Darstellung der (geplanten) Datenbearbeitungstätigkeit. Das Gesetz legt weder fest, was diese Beschreibung umfassen, noch wie detailliert sie ausfallen muss. Je nach Komplexität der geplanten Datenbearbeitungstätigkeit kann die DSFA somit länger oder kürzer ausfallen. Die Beschreibung sollte jedoch mindestens die Art der bearbeiteten Daten und Kategorien der betroffenen Personen, die Darlegung des verfolgten Zwecks, die Aufbewahrungsdauer, die Bearbeitungsvorgänge, die Empfänger sowie den Ort der Bearbeitung und Aufbewahrung umfassen. Eine vollständige Risikoabschätzung ist andernfalls nicht möglich. Aus dieser Beschreibung sollte hervorgehen, warum welche Personendaten wie bearbeitet werden sollen. Im Rahmen dieser Darstellung ist auf die zugrundeliegenden Technologien und Systeme einzugehen sowie auf relevante Rechtsgrundlagen, damit darauf aufbauend ein möglicher gesetzgeberischer Handlungsbedarf frühzeitig erkannt und umgesetzt werden kann.
Daran schliesst die Bewertungsphase, während der die Notwendigkeit und Verhältnismässigkeit der Datenbearbeitung in Bezug auf die möglichen Risiken in Relation gesetzt werden. Bewertet werden damit die negativen Folgen der Datenbearbeitung für die Persönlichkeit oder Grundrechte der betroffenen Person. Hohe Risken oder negative Auswirkungen der Datenbearbeitung können sich hierbei auf unterschiedliche Weise manifestieren: So kann eine Datenbearbeitung zu einer Rufschädigung führen oder aber die Bearbeitung falscher Daten zur Folge haben, dass fehlerhafte Prognosen oder Diagnosen im medizinischen Umfeld erstellt werden. Vorstellbar sind auch Situationen, in denen eine Person ungerechtfertigt entlassen wird oder Vertrauensverluste gegenüber Behörden, dem privaten Verantwortlichen oder gegenüber Freunden und Familie entstehen. Zudem kann sich die Datenbearbeitung auch finanziell auswirken. Diese und vergleichbare Risiken gilt es in der Bewertungsphase auf ihre Wahrscheinlichkeit und Schwere hin zu analysieren.
Bei der Bewertung der Risiken sind die Datenschutzgrundsätze – vor allem jene der Datenminimierung, des Datenschutzes durch Technik sowie der datenschutzfreundlichen Voreinstellungen – zu beachten (siehe dazu N. 4). Der informationellen Selbstbestimmung der betroffenen Person kommt ebenfalls eine besondere Wichtigkeit zu, nicht jedoch den Interessen des Verantwortlichen. Eine Interessenabwägung im Hinblick auf die zu ergreifenden Massnahmen zwischen den Interessen der betroffenen Person (Datenschutzinteresse, Interesse an der Verfügungsfreiheit über die eigenen Daten) und des Verantwortlichen (Datenbearbeitungsinteresse) darf jedoch zu einem späteren Zeitpunkt erfolgen.
Obschon es sich bei den für die DSFA relevanten Daten nicht zwingend um «besonders schützenswerte» handeln muss, ist die «heikle Natur» der Daten im Rahmen der jeweiligen DSFA und der zu ergreifenden Massnahmen zu berücksichtigen. Entsprechend sind die Anzahl sowie die Sensitivität der Daten in dieser Phase zu berücksichtigen. Die Bewertungsphase umfasst die Einschätzung der Schwere der Risiken und Wahrscheinlichkeit des Eintritts dieser Risiken. Obwohl in dieser Phase ein potenziell hohes Risiko erkannt werden soll, können sich die Risiken auch erst im Anschluss an die Durchführung des DSFA ergeben. In diesem Sinne lassen sich die drei genannten Phasen nicht strikt voneinander abgrenzen.
Nachdem in der Bewertungsphase beurteilt wurde, ob die Bearbeitung der Daten mit einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person einhergeht, werden in der dritten Phase Massnahmen zur Risikoverminderung definiert. Der Verantwortliche muss sich in dieser Phase somit nicht nur im Klaren darüber sein, welche Risiken bestehen, sondern muss eine Entscheidung treffen, wie diesen Risiken entgegengetreten wird. Bei den Massnahmen kann es sich um organisatorische, technische oder rechtliche bzw. vertragliche Massnahmen handeln. Der Verantwortliche muss analysieren, wie die geplante Datenbearbeitungstätigkeit angepasst werden kann, damit das hohe Risiko auf ein angemessenes Mass reduziert wird. Solche Massnahmen können z.B. die Einschränkung der Datenkategorien, die Beschränkung der Zugriffe auf die Daten, die Verschlüsselung von Daten, der Wechsel eines involvierten Auftragsbearbeiters, die Änderung des Bearbeitungsortes, die Aufnahme bestimmter Pflichten in den Verträgen mit Dritten in Bezug auf die Datenbearbeitung, usw. sein. Die Massnahmen müssen aber geeignet sein, die spezifisch identifizierten Risiken zu mindern und können nicht per default, d.h. allgemein in Bezug auf alle Risiken von Datenbearbeitungstätigkeiten, welche eine DSFA erfordern, angewendet werden. Sie müssen einzelfallabhängig definiert werden.
Das DSG bestimmt nicht, ob die Durchführung einer DSFA nur einmalig oder regelmässig erfolgen muss. Dies hängt von der Datenbearbeitungstätigkeit ab: Ist sie einmalig, reicht eine einmalig durchgeführte DSFA aus. Wird die Datenbearbeitung jedoch über einen längeren Zeitraum hinweg ausgeführt und ergeben sich aufgrund veränderter Umstände neue oder höhere Risiken, sollte die DSFA wiederholt werden. Grundsätzlich sollte die DSFA jedoch in etwa alle drei Jahre wiederholt werden. Ob sich diese Empfehlung angesichts schnell voranschreitender und immer umfassenderer technologischer Neuerungen langfristig bewährt, bleibt abzuwarten, erscheint aus derzeitiger Perspektive jedoch eher unwahrscheinlich.
Zeitlich ist zudem noch die Aufbewahrungsfrist zu beachten. Gemäss Art. 14 DSV ist die erforderliche Dokumentation der DSFA für zwei Jahre aufzubewahren. Die Frist beginnt mit dem Ende der Datenbearbeitung zu laufen.
3. Durchführung einer gemeinsamen DSFA
Der Verantwortliche hat das Recht bei mehreren vergleichbaren Datenbearbeitungsvorgängen eine gemeinsame DSFA durchzuführen. Dies gilt jedoch nur dann, wenn sowohl die Risiken als auch die Gegenmassnahmen ähnlich sind. Diese Möglichkeit dient dazu, den Aufwand und die Kosten für den Verantwortlichen zu reduzieren. Ob dieses Recht tatsächlich zu einer Entlastung der Verantwortlichen führen wird, ist jedoch zweifelhaft; es sei denn eine bestimmte Bearbeitungsplattform oder Anwendung wird in verschiedenen Sektoren oder Projekten eingesetzt.
4. Organisation
Die Durchführung einer DSFA obliegt nicht nur einer bestimmten Person, Stelle oder Abteilung beim Verantwortlichen. Wie jede andere Risikoanalyse handelt es sich um einen Prozess, an dem mehrere Personen, Stellen und Abteilungen übergreifend beteiligt werden müssen. Innerhalb eines Unternehmens werden für die DSFA üblicherweise die Projektleitung, die IT-Abteilung und/oder der Chief Information Security Officer, die Datenschutzstelle oder der Datenschutzberater, die Rechtsabteilung, die Risiko- und Compliance-Abteilung sowie andere Schlüsselpersonen beigezogen. Jede beteiligte Person ist für bestimmte Schritte der DSFA essenziell. So ist die Projektleitung für die Vorbereitungsphase besonders wichtig, weil sie die (geplante) Datenbearbeitung am besten beschreiben kann. Der Datenschutz- und Rechtsabteilung obliegt es, die Risiken gemäss Datenschutz und anwendbarem Recht zu beurteilen.
Andere Abteilungen sind für die Bestimmung der risikomindernden Massnahmen von besonderer Relevanz. Auftragsbearbeiter, die bei dem geplanten Datenbearbeitungsvorgang eingesetzt werden, sollten im Rahmen der DSFA auch mit einbezogen werden. Wie bei jedem Projekt ist es besonders bedeutsam, dass eine Person, Stelle oder Abteilung die Leitung der DSFA übernimmt und den Überblick über den gesamten Prozess behält. Diese Leitung übernimmt in der Regel die Datenschutzberaterin oder die Projektleiterin auf operativer Ebene. Auftragsbearbeiter, die bei dem geplanten Datenbearbeitungsvorgang eingesetzt werden, sollten im Rahmen der DSFA miteinbezogen werden.
Aus Sicht des Verantwortlichen ist es deshalb sinnvoll eine Stelle oder Abteilung zu definieren, welche die rechtlichen Anforderungen an eine DSFA kennt und über die notwendigen Fachkenntnisse zur Durchführung einer DSFA verfügt. Dies ist in der Regel die für den Datenschutz zuständige Stelle oder Abteilung. Je nach Fokus oder Businessmodell der Verantwortlichen, kann es hilfreich sein, eine Vorlage inkl. Anleitung für die Durchführung einer DSFA zu erstellen, auf die im Einzelfall zurückgegriffen werden kann. Auf diese Weise werden die rechtlichen Anforderungen eingehalten, ohne dass bestimmte Aspekte vergessen gehen.
D. Ausnahmen
Neben der allgemeinen Pflicht zur Durchführung einer DSFA in Fällen, in denen eine Datenbearbeitung zu einem hohen Risiko für die betroffenen Personen führt, definieren Abs. 4 und 5 einige Ausnahmen.
Art. 22 Abs. 4 sieht vor, dass private Verantwortliche in Einzelfällen von der Pflicht zur Durchführung der DSFA ausgenommen sein können, sofern sie gesetzlich zur Bearbeitung der Daten verpflichtet sind. Im Gesetzgebungsprozess wurde diese Ausnahme damit begründet, dass mögliche Risiken in diesen Fällen bereits abgewogen wurden und somit kein weitergehender Bedarf zur Durchführung einer DSFA besteht.
Zu Recht wird jedoch darauf hingewiesen, dass sich der Ausnahmetatbestand einzig auf die Frage der Zulässigkeit der Datenbearbeitung bezieht, nicht auf die Art und Weise der jeweiligen Bearbeitung von Daten. So ist die DSGVO in dieser Hinsicht strenger und verlangt, dass die im Rahmen der Gesetzgebung durchgeführte Risikoanalyse sich auf die konkrete Bearbeitungstätigkeit beziehen muss, damit die Ausnahme greift (vgl. N. 40). Darüber hinaus sind auch diejenigen Fälle zu beachten, in denen die Bearbeitung von Daten nicht ausschliesslich zur Erfüllung der jeweiligen gesetzlichen Pflicht erfolgt. Gesetzliche Pflichten zur Bearbeitung von Daten durch Private finden sich z.B. im Bundesgesetz über die Bekämpfung der Geldwäscherei und der Terrorismusfinanzierung (Art. 30 GwG) oder die Weitergabe von Mitarbeiterdaten durch einen Arbeitgeber zur Erfüllung sozialversicherungsrechtlicher Pflichten (Art. 84 KVG). Es liegt auf der Hand, dass Bundesbehörden von dieser Ausnahmeregelung nicht umfasst sind: Sie dürfen Daten stets nur gestützt auf eine gesetzliche Grundlage bearbeiten.
Art. 22 Abs. 5 sieht sodann eine weitere Ausnahme vor. Demzufolge können private Verantwortliche von der Erstellung der DSFA absehen, wenn bestimmte Voraussetzungen in Bezug auf die Zertifizierung einer Datenbearbeitung oder die Einhaltung genehmigter Verhaltenskodizes erfüllt sind. Diese Ausnahmen gelten nicht für Bundesbehörden. Zum einen ist dies der Fall, wenn der Verantwortliche ein System, Produkt oder eine Dienstleistung einsetzt, welche(s) für die Verwendung nach Art. 13 zertifiziert ist (siehe hierzu ausführlich die Kommentierung zu Art. 13 DSG). Zum anderen entfällt die Pflicht in den Fällen, in denen der Verantwortliche einen Verhaltenskodex i.S.v. Art. 11 einhält, (i) der auf einer DSFA beruht, (ii) spezifische Massnahmen zum Schutz der Persönlichkeit und der Grundrechte der betroffenen Personen trifft und (iii) dem EDÖB vorgelegt wurde.
Derzeit existieren keine solchen Verhaltenskodizes in der Schweiz. Vorstellbar sind solche jedoch für Branchen, in denen die Branchenteilnehmerinnen eng zusammenarbeiten und standardisierte Prozesse gemeinsam entwickeln, wie z.B. bei Banken und Versicherungen, in Technologie- oder Medienunternehmen oder in der Werbebranche. In der EU richtet sich die Erarbeitung vergleichbarer Verhaltenskodizes bzw. – regeln nach Art. 40 DSGVO, wobei aktuell u.a. der EU Cloud Code of Conduct, welcher als harmonisierter Verhaltenskodex für die Cloud-Industrie innerhalb der EU dient, bekannt ist.
III. VERLETZUNG DER PFLICHT ZUR DURCHFÜHRUNG EINER DSFA
Führt ein Verantwortlicher keine DSFA durch, obwohl gemäss Art. 22 eine entsprechende Pflicht bestünde, ist Art. 51 Abs. 3 lit. d zu beachten. Diesem Artikel zufolge kann der EDÖB unter Strafandrohung verfügen, dass der Verantwortliche eine DSFA vornehmen muss. Im Gegensatz dazu haben betroffene Personen jedoch keinen Anspruch, die Durchführung einer DSFA klageweise durchzusetzen.
Stellt der EDÖB im Rahmen einer Untersuchung fest, dass eine Datenbearbeitung zu einem hohen Risiko führt, kann er verfügen, dass die Datenbearbeitung angepasst, suspendiert oder ganz abgebrochen wird, bis eine DSFA durchgeführt wurde (Art. 51 Abs. 1 i.V.m. Art. 49 f). Dies kann zu erheblichen Verzögerungen beim Verantwortlichen führen, was wiederum hohe Kosten und zusätzlichen Aufwand für den Verantwortlichen mit sich bringt. Da die Ergebnisse einer Untersuchung vom EDÖB zudem veröffentlicht werden können (Art. 57 Abs. 2), bestehen zudem erhebliche Reputationsrisiken für den Verantwortlichen.
Die Verletzung der Pflicht zur Durchführung einer DSFA wird nicht eigenständig einer Busse unterstellt. Diese Regelung erscheint vor dem Hintergrund, dass es sich bei dieser Pflicht primär um eine Sorgfaltspflicht (bestehend aus einer Dokumentations- und Rechenschaftspflicht) handelt, sinnvoll. In der EU wird dies hingegen anders gehandhabt. Es ist jedoch davon auszugehen, dass Verantwortliche ihre Pflichten gemäss DSG dennoch einhalten werden. Zum einen da Behörden bereits unter dem aDSG eine solche Pflicht berücksichtigen mussten. Zum anderen führten auch private Verantwortliche, insbesondere Konzerne, vor Inkrafttreten des totalrevidierten DSG ebenfalls DSFAs durch, z.B. weil die betreffende Datenbearbeitung unter die DSGVO fiel oder der EDÖB dies verlangt hatte.
IV. HERAUSFORDERUNGEN UND PRAKTISCHE RELEVANZ
Mit dem Inkrafttreten des neu gefassten Art. 22 zeigt sich, dass die normativen Voraussetzungen für eine DSFA einen hohen Komplexitätsgrad aufweisen. Dies gilt insbesondere bei der Umsetzung durch kleine und mittlere Unternehmen (KMU), denen in der Schweiz eine wirtschaftliche nicht zu unterschätzende Bedeutung zukommt. Für sie dürfte es sich als herausfordernd erweisen, die einzelnen Schritte im Einklang mit Art. 22 durchzuführen. Dies gilt insbesondere für die Vorbereitungs- sowie die Massnahmenphase, welche sich allein schon aufgrund der notwendigen analytischen Vorgehensweise als zeitaufwendig gestalten. Dies dürfte in Einzelfällen erhebliche Kosten generieren. Es ist entsprechend davon auszugehen, dass der Bedarf an Vorlagen, Beratung und Hilfestellungen seitens des EDÖB zeitnah in hohem Masse zunehmen wird. In dieser Hinsicht ist die Pflicht der europäischen Aufsichtsbehörden Listen zu publizieren, in denen definiert wird, wann eine DSFA zwingend notwendig ist, als Schritt in diese Richtung zu beurteilen (Art. 35 Abs. 4 DSGVO).
Mit dem zunehmenden Einsatz von algorithmischen Systemen und anderen Anwendungen wird auch die DSFA an Bedeutung gewinnen. Verantwortliche müssen im Einzelfall genau abwägen, welche Risiken angemessen erscheinen und ob sich der Einsatz solcher Systeme lohnt. Diese analytische Herangehensweise vor dem eigentlichen Projektstart dürfte vor allem für grosse Unternehmen nicht neu sein, zumal bereits vor der Totalrevision entsprechende Privacy Impact Assessments durchgeführt wurden und sie auf EU-Ebene durch die DSGVO vergleichbare Pflichten kennen dürften.
Die DSFA macht zudem deutlich, dass sich im Bereich neuer disruptiver Technologien die verschiedenen Rechtsbereiche überschneiden und eine zunehmende Vermengung von rechtlichen Fragen und solcher bzgl. der eingesetzten Technologie zu beobachten ist. Ein Beispiel für diese Entwicklung sind die Diskussionen rund um den Artificial Intelligence Act («AI Act»). Vergleichbar mit der DSFA nach Art. 22 DSG, liegt dem zuletzt diskutierten Text ein stark risikobasierter Ansatz zugrunde, wonach zwischen einem begrenzten, hohen und inakzeptablem Risiko differenziert wird. So ist vor allem bei hochriskanten Anwendungen, die im Anhang III des AI Acts definiert werden, nach Art. 43 AI Act ein Konformitätsbewertungsverfahren durchzuführen, das sich u.a. nach Anhang VI richtet. Diese Vorgaben sind wie die DSFA gemäss dem DSG als präventiver, fortlaufender Prozess zu verstehen, der sowohl rechtliche als auch technische Aspekte beinhaltet sowie weitergehend der Transparenz und damit dem Vertrauen der Nutzerinnen dient.
V. VERGLEICH MIT DEM EU-RECHT
Im Allgemeinen ist die Durchführung der DSFA gemäss dem DSG mit den EU-weiten Vorgaben der DSGVO vergleichbar. Gleichzeitig sind Art. 22 f. DSG weniger strikt ausgestaltet als Art. 35 f. DSGVO. In der EU ist eine DSFA etwa auch durchzuführen, wenn eine Datenbearbeitung zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führen kann. Im Gegensatz zu Art. 22 DSG sieht Art. 35 Abs. 3 lit. a DSGVO zudem eine DSFA explizit für automatisierte Einzelentscheide vor.
Die lit. a bis d von Art. 35 Abs. 7 regeln vergleichbare Schritte wie Art. 22 DSG, welche berücksichtigt werden müssen, wenn eine DSFA durchgeführt wird. So ist die vorbereitende Phase mit lit. a vergleichbar, die Phase der Bewertung mit den lit. b und c sowie die Phase der Implementierung der Massnahmen mit lit. d. Obschon in der Schweiz ebenfalls davon auszugehen ist, dass eine DSFA im Rahmen der Datenbearbeitung aufgrund veränderter Umstände gegebenenfalls nochmals durchgeführt werden muss, sieht dies Art. 35 Abs. 11 DSGVO in bestimmten Fällen sogar explizit vor.
Während Art. 35 Abs. 2 DSGVO eine Pflicht zur Konsultation des Datenschutzbeauftragten («Data Protection Officer») beinhaltet, jedenfalls sofern ein solcher ernannt wurde, sieht Art. 35 Abs. 9 DSGVO sogar vor, dass der Verantwortliche bei der Durchführung der DSFA die betroffenen Personen konsultieren kann. Eine solche Bestimmung enthält das DSG nicht. Die Konsultation des Datenschutzbeauftragten hat auf die DSFA inhaltlich keinen Einfluss, zumal die Rolle des Datenschutzbeauftragten nicht konkretisiert wird. Die Einholung des Standpunktes der betroffenen Personen hingegen hat die Transparenz seitens des Verantwortlichen sowie die Selbstbestimmung der betroffenen Personen zum Ziel. Diese Konsultationen verstärken den Sinn und Zweck der DSFA, indem nochmals aufgezeigt wird, dass die zu beurteilenden Risiken, solche der Datenbearbeitung für die betroffenen Personen und somit nicht in erster Linie Risiken für den Verantwortlichen sind.
Anders als in der Schweiz schreibt Art. 35 Abs. 4 DSGVO den Aufsichtsbehörden vor, eine Liste über die Verarbeitungsvorgänge zu führen, bei denen eine DSFA in jedem Fall durchzuführen ist (sog. Positivlisten). Dem Grunde nach statuiert der europäische Verordnungsgeber damit eine faktische Pflicht zur Durchführung einer DSFA in den von den Aufsichtsbehörden definierten Fällen. Ausserdem werden Aufsichtsbehörden ermächtigt fakultativ auch Listen von Datenbearbeitungstätigkeiten zu führen, für die keine DSFA erforderlich ist (sog. Negativlisten; Art. 35 Abs. 5 DSGVO). Diese Listen unterstehen dem Kohärenzverfahren, wenn sie «Verarbeitungstätigkeiten umfassen, die mit dem Angebot von Waren oder Dienstleistungen für betroffene Personen oder der Beobachtung des Verhaltens dieser Personen in mehreren Mitgliedstaaten im Zusammenhang stehen oder die den freien Verkehr personenbezogener Daten innerhalb der Union erheblich beeinträchtigen könnten» (Art. 35 Abs. 6 DSGV). Eine Pflicht zur Führung von Positiv- oder Negativlisten sieht das DSG nicht vor, obschon dies der Rechtssicherheit zuträglich wäre.
Während Art. 22 Abs. Abs. 5 DSG explizit besagt, dass eine DSFA nicht durchgeführt werden muss, wenn ein Verhaltenskodex gem. Art. 11 DSG eingehalten wird und die zusätzlichen Voraussetzungen nach Abs. 5 erfüllt sind, sind solche Verhaltensregeln gemäss DSGVO nur im Rahmen der Beurteilung der Auswirkungen der betreffenden Datenbearbeitung in der DSFA zu berücksichtigen. Sie entbinden den Verantwortlichen jedoch nicht von der Pflicht, eine DSFA durchzuführen, wenn diese gesetzlich zwingend erforderlich ist.
Schliesslich sieht Art. 35 Abs. 10 DSGVO, ähnlich wie Art. 22 Abs. 4 DSG, vor, dass keine DSFA durchgeführt werden muss, wenn eine Datenbearbeitung auf einer gesetzlichen Grundlage beruht. Die Ausnahme in der DSGVO ist jedoch enger gefasst: Die Ausnahme greift nur, wenn eine DSFA im Rahmen des Erlasses der Rechtsgrundlage durchgeführt wurde und die Rechtsgrundlage den konkreten Bearbeitungsvorgang bzw. die konkreten Bearbeitungsvorgänge regeln. Die praktische Bedeutung dürfte sich somit in Grenzen halten. Ausserdem besteht eine Ausnahme gem. Art. 35 Abs. 10 DSGVO, sofern die Datenbearbeitung in Erfüllung von öffentlichen Interessen oder in Ausübung öffentlicher Gewalt ausgeführt wird.
Die DSGVO sieht für die Verletzung der Pflicht zur Durchführung einer DSFA Bussen bis zu € 10 Mio. oder bis zu 2% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres vor (Art. 83 Abs. 4 lit. a DSGVO). Diese Busse steht im Gegensatz zum DSG, das für eine solche Verletzung keine Busse vorsieht (vgl. N. 35).
Zur einfacheren Lesbarkeit wurden die Quellen- und Literaturverweise entfernt.
Rehana C. Harasgama/Dario Haux, Kommentierung zu Art. 22 DSG, in: Thomas Steiner/Anne-Sophie Morand/Daniel Hürlimann (Hrsg.), Onlinekommentar zum Bundesgesetz über den Datenschutz – Version: 20.08.2023: https://onlinekommentar.ch/de/kommentare/dsg22 (besucht am 25. Oktober 2023),