-
- Art. 11 OR
- Art. 12 OR
- Art. 50 OR
- Art. 51 OR
- Art. 84 OR
- Art. 143 OR
- Art. 144 OR
- Art. 145 OR
- Art. 146 OR
- Art. 147 OR
- Art. 148 OR
- Art. 149 OR
- Art. 150 OR
- Art. 701 OR
- Art. 715 OR
- Art. 715a OR
- Art. 734f OR
- Art. 785 OR
- Art. 786 OR
- Art. 787 OR
- Art. 788 OR
- Art. 808c OR
- Übergangsbestimmungen zur Aktienrechtsrevision vom 19. Juni 2020
-
- Art. 2 BPR
- Art. 3 BPR
- Art. 4 BPR
- Art. 6 BPR
- Art. 10 BPR
- Art. 10a BPR
- Art. 11 BPR
- Art. 12 BPR
- Art. 13 BPR
- Art. 14 BPR
- Art. 15 BPR
- Art. 16 BPR
- Art. 17 BPR
- Art. 19 BPR
- Art. 20 BPR
- Art. 21 BPR
- Art. 22 BPR
- Art. 23 BPR
- Art. 24 BPR
- Art. 25 BPR
- Art. 26 BPR
- Art. 27 BPR
- Art. 29 BPR
- Art. 30 BPR
- Art. 31 BPR
- Art. 32 BPR
- Art. 32a BPR
- Art. 33 BPR
- Art. 34 BPR
- Art. 35 BPR
- Art. 36 BPR
- Art. 37 BPR
- Art. 38 BPR
- Art. 39 BPR
- Art. 40 BPR
- Art. 41 BPR
- Art. 42 BPR
- Art. 43 BPR
- Art. 44 BPR
- Art. 45 BPR
- Art. 46 BPR
- Art. 47 BPR
- Art. 48 BPR
- Art. 49 BPR
- Art. 50 BPR
- Art. 51 BPR
- Art. 52 BPR
- Art. 53 BPR
- Art. 54 BPR
- Art. 55 BPR
- Art. 56 BPR
- Art. 57 BPR
- Art. 58 BPR
- Art. 59a BPR
- Art. 59b BPR
- Art. 59c BPR
- Art. 62 BPR
- Art. 63 BPR
- Art. 67 BPR
- Art. 67a BPR
- Art. 67b BPR
- Art. 75 BPR
- Art. 75a BPR
- Art. 76 BPR
- Art. 76a BPR
- Art. 90 BPR
-
- Vorb. zu Art. 1 DSG
- Art. 1 DSG
- Art. 2 DSG
- Art. 3 DSG
- Art. 5 lit. f und g DSG
- Art. 6 Abs. 6 und 7 DSG
- Art. 7 DSG
- Art. 10 DSG
- Art. 11 DSG
- Art. 12 DSG
- Art. 14 DSG
- Art. 15 DSG
- Art. 19 DSG
- Art. 20 DSG
- Art. 22 DSG
- Art. 23 DSG
- Art. 25 DSG
- Art. 26 DSG
- Art. 27 DSG
- Art. 31 Abs. 2 lit. e DSG
- Art. 33 DSG
- Art. 34 DSG
- Art. 35 DSG
- Art. 38 DSG
- Art. 39 DSG
- Art. 40 DSG
- Art. 41 DSG
- Art. 42 DSG
- Art. 43 DSG
- Art. 44 DSG
- Art. 44a DSG
- Art. 45 DSG
- Art. 46 DSG
- Art. 47 DSG
- Art. 47a DSG
- Art. 48 DSG
- Art. 49 DSG
- Art. 50 DSG
- Art. 51 DSG
- Art. 54 DSG
- Art. 57 DSG
- Art. 58 DSG
- Art. 60 DSG
- Art. 61 DSG
- Art. 62 DSG
- Art. 63 DSG
- Art. 64 DSG
- Art. 65 DSG
- Art. 66 DSG
- Art. 67 DSG
- Art. 69 DSG
- Art. 72 DSG
- Art. 72a DSG
-
- Art. 2 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 3 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 4 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 5 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 6 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 7 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 8 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 9 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 11 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 12 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 25 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 29 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 32 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 33 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 34 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
BUNDESVERFASSUNG
OBLIGATIONENRECHT
BUNDESGESETZ ÜBER DAS INTERNATIONALE PRIVATRECHT
LUGANO-ÜBEREINKOMMEN
STRAFPROZESSORDNUNG
ZIVILPROZESSORDNUNG
BUNDESGESETZ ÜBER DIE POLITISCHEN RECHTE
ZIVILGESETZBUCH
BUNDESGESETZ ÜBER KARTELLE UND ANDERE WETTBEWERBSBESCHRÄNKUNGEN
BUNDESGESETZ ÜBER INTERNATIONALE RECHTSHILFE IN STRAFSACHEN
DATENSCHUTZGESETZ
BUNDESGESETZ ÜBER SCHULDBETREIBUNG UND KONKURS
SCHWEIZERISCHES STRAFGESETZBUCH
CYBERCRIME CONVENTION
HANDELSREGISTERVERORDNUNG
- In Kürze
- I. Allgemeines
- II. Inhalt
- III. Verletzung der Pflicht zur Durchführung einer DSFA
- IV. Herausforderungen und praktische Relevanz
- V. Vergleich mit dem EU-Recht
- Literaturverzeichnis
- Materialienverzeichnis
In Kürze
Art. 22 DSG regelt die Voraussetzungen zur Durchführung einer Datenschutz-Folgenabschätzung (DSFA). Der Artikel ist an die Bestimmungen der Art. 35 f. DSGVO angelehnt. Mithilfe der datenschutzrechtlichen Risikoanalyse soll bei einer geplanten Datenbearbeitung, welche voraussichtlich zu hohen Risiken für die Persönlichkeit oder die Grundrechte der betroffenen Personen führt, vorgängig eine Bewertung dieser Risiken vorgenommen werden. Damit sollen vor Beginn der Datenbearbeitung angemessene Massnahmen zur Risikominimierung definiert und ergriffen werden. Ein hohes Risiko liegt gemäss Gesetz insbesondere bei (i) der umfangreichen Bearbeitung besonders schützenswerter Daten (z.B. Gesundheitsdaten) oder (ii) der systematischen umfangreichen Überwachung von öffentlichen Bereichen (z.B. der Installation von Überwachungskameras in einem Park) vor. Die Liste der in Art. 22 genannten hohen Risiken ist jedoch nicht abschliessend. Typischerweise werden sich hohe Risiken durch den Einsatz neuer Technologien und Prozesse ergeben, wie z.B. algorithmische Systeme («Künstliche Intelligenz»), DLT-Systeme oder Big Data Analytics. Die geplante Bearbeitungstätigkeit kann jedoch auch aufgrund anderer Faktoren als hohes Risiko für die Persönlichkeit oder für die Grundrechte der betroffenen Personen eingestuft werden, z.B. weil Kinder betroffen sind, automatisierte Einzelentscheide gefällt oder Personendaten an ein komplexes Netzwerk von Auftragsbearbeitern weitergeben werden. Direkt strafbewehrt ist die Verletzung der Pflicht nach Art. 22 jedoch nicht.
I. Allgemeines
A. Überblick
1Das revidierte DSG sieht im Gegensatz zur DSGVO keine allgemeine Rechenschaftspflicht vor. Eingeführt wurde jedoch die Pflicht, eine Datenschutz-Folgenabschätzung (DSFA) für Datenbearbeitungen mit hohen Risiken durchzuführen, was im Endeffekt eine Rechenschaftspflicht für bestimmte Datenbearbeitungen darstellt. Die DSFA ist nicht nur auf Bundesebene, sondern auch in zahlreichen Kantonen gesetzlich verankert. In Zürich findet sich die entsprechende Pflicht beispielsweise in § 10 Abs. 1 IDG, in Verbindung mit einer Vorabkontrolle (vgl. zum Vorabkonsultationsverfahren auf Bundesebene die Kommentierung zu Art. 23).
2Die DSFA wird mit der Revision im Schweizer Datenschutzgesetz für alle Verantwortlichen verankert – für private Verantwortliche sowie für Bundesorgane. Aus diesem Grund umfasst der Wortlaut der Bestimmung sowohl hohe Risiken für die Persönlichkeit (für die Datenbearbeitung durch private Verantwortliche) als auch für die Grundrechte (für die Datenbearbeitung durch Bundesorgane) der betroffenen Personen. Die DSFA dient dazu, die potenziellen Risiken einer geplanten Datenbearbeitung frühzeitig zu erkennen, zu bewerten und risikomindernde Massnahmen zu definieren sowie zu implementieren. Diese Schritte müssen vorgenommen werden, bevor mit der geplanten Datenbearbeitung begonnen wird (siehe zum Zweck weitergehend N. 8 ff.). Die Anwendung des Art. 22 ist Ausfluss des risikobasierten Ansatzes des DSG, der in der Umsetzung der Art. 22 und 23 besonders deutlich in Erscheinung tritt.
3Der DSFA wird eine steigende Bedeutung zugesprochen. Begründet wird dies vor allem mit der zunehmenden Verbreitung von fortgeschrittenen algorithmischen Systemen
B. Entstehungsgeschichte
4Das Schweizer DSG sah vor der Totalrevision keine explizite Pflicht für private Datenbearbeiter vor, eine DSFA durchzuführen. Bundesorgane waren jedoch bereits unter dem alten DSG verpflichtet, dem internen Datenschutzverantwortlichen oder dem EDÖB Projekte zu melden, welche die automatisierte Bearbeitung von Personendaten zum Inhalt hatten (Art. 20 Abs. 2 aVDSG). Diese Meldung war damit verbunden, dass die jeweiligen Bundesbehörden für die geplante Datenbearbeitung ein Informationssicherheits- und Datenschutz-Konzept («ISDS-Konzept») erstellen mussten. Dieses Vorgehen war gemäss Botschaft mit der DSFA vergleichbar.
5International baut das Instrument auf einer langjährigen Vorgeschichte auf, die bis in die 1990er Jahre zurückreicht.
6An all diese Entwicklungen knüpfte der Gesetzgebungsprozess in der Schweiz offenbar an, indem in allen Vorversionen zum totalrevidierten DSG eine DSFA vorgesehen war. Im Vorentwurf waren Art. 22 und der dazugehörige Art. 23 DSG in einem Artikel 16 VE-DSG zusammengefasst. Art. 16 Abs. 3 VE-DSG war jedoch strenger gefasst als die nun geltende Vorschrift. Der Artikel sah vor, dass sowohl das Ergebnis als auch die ergriffenen Massnahmen von jeder DSFA dem EDÖB gemeldet werden müssen. Im E-DSG wurde die Folgenabschätzung sodann in zwei Artikel gefasst und an die Struktur von Art. 35 DSGVO angepasst. Die Liste von Bearbeitungen mit hohem Risiko, welche somit zwingend die Durchführung einer DSFA voraussetzen, umfassten im Entwurf ebenfalls das Profiling (Art. 20 Abs. 2 lit. b E-DSG). Dieser Bearbeitungsprozess wurde im finalen Gesetzestext aufgrund der parlamentarischen Beratungen und im Einklang mit der geltenden Gesetzessystematik jedoch wieder aus der Liste von Datenbearbeitungen mit hohem Risiko gestrichen. Dieser Schritt ist zu begrüssen, zumal in vielen Fällen das Profiling nicht als besonders heikel einzustufen sein wird und eine DSFA somit nicht gerechtfertigt wäre.
7Die DSFA wird nunmehr in Art. 22 DSG normiert und ist sowohl auf private Verantwortliche als auch Bundesorgane anwendbar.
C. Normzweck
8Die Einhaltung der Voraussetzungen des Art. 22 dient dazu sicherzustellen, dass eine geplante Datenbearbeitung nicht zu einer Verletzung des DSG führt. Die DSFA soll beim Verantwortlichen ein erhöhtes Bewusstsein für Datenbearbeitungen mit hohem Risiko, wie z.B. beim Einsatz von algorithmischen Systemen («Künstliche Intelligenz») oder Big Data Analytics, bei der Nutzung von Gesichtserkennungssoftware, bei der Einführung einer Patientendatenbank oder im Rahmen von Profiling mit hohem Risiko, schaffen. Es handelt sich mithin um eine «datenschutzrechtliche Selbstbeurteilung»
9Die Dokumentations- und die Aufbewahrungspflicht nach Art. 14 DSV ergänzen die Pflicht eine DSFA bei Datenbearbeitungen mit hohen Risiken durchzuführen. So wird der Verantwortliche verpflichtet, eine durchgeführte DSFA zu dokumentieren und nach Beendigung der Datenbearbeitung während mindestens zwei Jahren aufzubewahren. Dadurch sieht sich der Verantwortliche im Falle einer Untersuchung durch den EDÖB in der Lage, die risikoreiche Datenbearbeitung zu rechtfertigen und aufzuzeigen, wie den hohen Risiken entgegnet wird. Aus dieser Bestimmung geht der Charakter der DSFA als ergänzende Rechenschaftspflicht sowohl gegenüber dem EDÖB als auch gegenüber betroffenen Personen hervor.
II. Inhalt
A. Adressaten
10Art. 22 adressiert vor allem zwei Akteure: Bundesorgane sowie private Verantwortliche,
11Auftragsbearbeiter sind zu Recht nicht von der Pflicht zur Durchführung einer DSFA erfasst, zumal sie die Daten im Auftrag eines Verantwortlichen bearbeiten und der Verantwortliche grundsätzlich über den Zweck und die Mittel einer Datenbearbeitung entscheidet. Die Risikoeinschätzung liegt somit grundsätzlich nicht in ihrer Sphäre. Während im DSG im Gegensatz zu Art. 28 Abs. 3 lit. f DSGVO keine Unterstützungspflicht der Auftragsbearbeiter gegenüber den Verantwortlichen bei der Durchführung einer DSFA verankert ist, kann eine Unterstützungspflicht der Auftragsbearbeiter jedoch auch in ihrem Sinne sein. In der Praxis wird eine entsprechende Pflicht häufig Bestandteil der vertraglichen Abreden zwischen dem Verantwortlichen und dem Auftragsbearbeiter sein. Aus den Datenschutzgrundsätzen in Art. 6 lässt sich jedoch eine Pflicht für Auftragsbearbeitende ableiten, sicherzustellen, dass die ihnen übertragene Datenbearbeitung im Einklang mit den Datenschutzgrundsätzen erfolgt. Trifft dies nicht zu, ist der Verantwortliche darüber in Kenntnis zu setzen, dass die Datenbearbeitungstätigkeit angepasst werden sollte. Gegebenenfalls sollte gar die Durchführung einer DSFA vorgeschlagen werden.
B. Das hohe Risiko
12Abs. 2 sieht vor, dass die DSFA in jedem Fall durchzuführen ist, sofern ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person anzunehmen ist. Dementsprechend ist nicht für jede Datenbearbeitung eine DSFA durchzuführen. Dies entspricht dem risikobasierten Ansatz des DSG, wobei vorliegend die Risiken für die betroffenen Personen spezifisch im Vordergrund stehen und nicht Risiken, die sich für die Verantwortlichen ergeben.
13Das hohe Risiko ergibt sich aus der Art, dem Umfang und den Umständen sowie dem Zweck der Datenbearbeitung. Diese Kriterien sind vergleichbar mit den Risiken, die im Rahmen der Festlegung von Datensicherheitsmassnahmen gemäss Art. 1 Abs. 3 DSV berücksichtigt werden müssen. In diesem Sinne liegt das hohe Risiko insbesondere dann vor, jedoch nicht ausschliesslich, wenn neue Technologien eingesetzt werden. Je umfangreicher und sensitiver diese Handlungen und Datenbestände sind, desto eher kann vom Vorliegen eines hohen Risikos ausgegangen werden. Die geplante Datenbearbeitung muss u.a. im Hinblick der Einwirkung auf die Identität, Selbstbestimmung oder Würde der betroffenen Person untersucht werden. Das hohe Risiko muss sich nicht effektiv manifestieren: Es geht darum potenzielle Risiken zu erkennen und zu bewerten, die im Rahmen der Datenbearbeitung auftreten könnten.
14Gemäss den lit. a und lit. b liegt ein hohes Risiko im Sinne einer Fiktion dann vor, wenn (i) besonders schützenswerte Personendaten umfangreich bearbeitet (z.B., wenn Strafregisterinformationen in einem öffentlichen Register publiziert werden, beim Einsatz von Gesundheitsapplikationen, die Auswertungen der Daten vornehmen und Diagnosen erstellen, oder bei klinischen Versuchen) oder (ii) öffentliche Bereiche umfassend und systematisch überwacht werden (z.B. die Überwachung eines öffentlichen Spielplatzes oder Parks oder die systematische Überwachung der Internetnutzung von Mitarbeitenden). Das Gesetz listet keine weiteren Datenbearbeitungen auf, für welche zwingend eine DSFA durchgeführt werden muss. Im Gegensatz dazu sieht die DSGVO bspw. weitergehend vor, dass Aufsichtsbehörden Listen über Datenbearbeitungen publizieren müssen, welche zwingend einer DSFA bedürfen.
15 Weder das Profiling mit hohem Risiko noch die automatisierte Einzelentscheidung werden gemäss Wortlaut von Art. 22 Abs. 2 als Datenbearbeitungstätigkeit eingestuft, die zwingend eine DSFA verlangen. Dies erscheint auf den ersten Blick überraschend, zumal das Profiling mit hohem Risiko per Definition ein hohes Risiko für die betroffene Person mit sich bringt und die automatisierten Einzelentscheide zu Rechtsfolgen oder anderen Folgen führen, welche die betroffene Person erheblich beeinträchtigen. Vor diesem Hintergrund ist für ein Profiling mit hohem Risiko stets eine DSFA durchzuführen. Bei automatisierten Entscheiden stellt sich die Lage hingegen anders, komplexer dar, zumal eine DSFA die Datenbearbeitung an sich bewertet, welche bei diesen automatisierten Einzelentscheidungen nicht zwingend heikel ist. Heikel ist hier primär das Ergebnis der Entscheidung, welche in Art. 21 geregelt ist. Eine DSFA ist dennoch durchzuführen, wenn die Datenbearbeitung, die zur automatisierten Einzelentscheidung führt, an sich ein hohes Risiko für die Persönlichkeit oder Grundrechte der betroffenen Person führen könnte.
16 In der Botschaft werden weitere Datenbearbeitungen aufgeführt, die zu einem hohen Risiko führen könnten, namentlich im Falle der Bearbeitung grosser Datenmengen, der Übermittlung von Daten in Drittstaaten (in diesem Zusammenhang ist auf das sog. Data Transfer Impact Assessment hinzuweisen; vgl. die Kommentierung zu Art. 16 f.) oder sofern eine grosse Vielzahl an Personen auf die Daten zugreifen können.
17Weder das DSG noch die DSV enthalten genauere Vorgaben in Bezug auf die Bestimmung des hohen Risikos. So muss stets anhand der konkret geplanten Datenbearbeitung geprüft werden, ob eine DSFA durchzuführen ist. Als Hilfestellung können dabei die EU-Leitlinien dienen, welche für die Regelung in Art. 35 f. DSGVO neun Kriterien vorsehen, nach welchen die Ermittlung eines hohen Risikos erfolgen kann.
Bewertung oder Einstufung von Personen oder Persönlichkeitsaspekten mithilfe von Daten;
Automatisierte Entscheidungsfindung mit Rechtswirkung gegenüber natürlichen Personen oder ähnlich bedeutsamer Wirkung;
Systematische Überwachung;
Bearbeitung von vertraulichen oder höchstpersönlichen Daten;
Datenbearbeitung in grossem Umfang;
Abgleichen oder Zusammenführen von verschiedenen Datensätzen, sofern nicht damit zu rechnen war;
Datenbearbeitung von schutzbedürftigen Personen (z.B. Kinder, Arbeitnehmenden oder Patienten);
Innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen (z.B. künstliche Intelligenz, Big Data Analytics oder Blockchain-basierte Technologien), da deren datenschutzrechtliches Risiko oft noch nicht genau eruiert worden ist; und
Fälle, in denen die Datenbearbeitung die betroffenen Personen an der Ausübung eines Rechts oder der Nutzung einer Dienstleistung bzw. Durchführung eines Vertrags hindert.
Während die Leitlinien aus der EU in der Schweiz nicht anwendbar sind, können sie aufgrund der vergleichbaren gesetzlichen Voraussetzungen zur Durchführung einer DSFA im Schweizer und EU-Datenschutzrecht beigezogen werden. Es ist zudem nicht auszuschliessen, dass der EDÖB ähnliche Leitlinien publizieren oder die Listen von Datenbearbeitungsvorgängen der verschiedenen EU-Aufsichtsbehörden gem. Art. 35 Abs. 4 DSGVO, welche zwingend eine DSFA verlangen, analog auf die Schweiz anwenden wird. Die Praxis wird in Bezug auf die Beurteilung des hohen Risikos für mehr Rechtssicherheit sorgen.
C. Durchführung der DSFA
1. Einführung
18Art. 22 macht klare Vorgaben, in welchen Fällen der Verantwortliche eine DSFA durchführen muss und was bei der Durchführung zu beachten ist. Dazu gehört, dass die Risikobewertung strukturiert durchgeführt
2. Ablauf
19Die DSFA ist von dem Verantwortlichen vor Aufnahme einer neuen oder aktualisierten Datenbearbeitungstätigkeit durchzuführen. Dies dient dazu, die Risiken der geplanten Datenbearbeitung vorgängig zu erkennen und entsprechende Massnahmen zu implementieren, bevor es zu Rechtsverletzungen kommt.
20Inhaltlich setzt die DSFA drei Schritte voraus, die in Abs. 3 definiert werden. Dies ist, erstens, die Vorbereitungsphase, in welcher die Bearbeitung der Daten möglichst präzise beschrieben wird. Zweitens werden in der Bewertungsphase die Risiken bewertet, um darauf aufbauend in einem dritten Schritt, Massnahmen zum Umgang mit bzw. zur Bewältigung dieser Risiken zu treffen.
21 Bevor diese drei Schritte ausgeführt werden, sollten private Verantwortliche jedoch prüfen, ob sie gesetzlich zur Datenbearbeitung verpflichtet sind. Sofern eine gesetzliche Bearbeitungspflicht besteht, sind sie von der Pflicht zur Durchführung einer DSFA ausgenommen (Art. 22 Abs. 4). Ausserdem sollte die Bundesbehörde oder der private Verantwortliche zuerst eine Vorabeinschätzung durchführen. Dabei handelt es sich um eine allgemeine, eher oberflächliche Risikoeinschätzung, zur Prüfung, ob potenziell ein hohes Risiko bei der geplanten Datenbearbeitung vorliegen könnte (vgl. zum hohem Risiko N. 12 ff.). Auf diese Weise lässt sich vorab klären, ob eine DSFA überhaupt notwendig ist.
22 Die Vorbereitungsphase umfasst eine detaillierte Darstellung der (geplanten) Datenbearbeitungstätigkeit. Das Gesetz legt weder fest, was diese Beschreibung umfassen, noch wie detailliert sie ausfallen muss. Je nach Komplexität der geplanten Datenbearbeitungstätigkeit kann die DSFA somit länger oder kürzer ausfallen. Die Beschreibung sollte jedoch mindestens die Art der bearbeiteten Daten und Kategorien der betroffenen Personen, die Darlegung des verfolgten Zwecks, die Aufbewahrungsdauer, die Bearbeitungsvorgänge, die Empfänger sowie den Ort der Bearbeitung und Aufbewahrung umfassen. Eine vollständige Risikoabschätzung ist andernfalls nicht möglich. Aus dieser Beschreibung sollte hervorgehen, warum welche Personendaten wie bearbeitet werden sollen. Im Rahmen dieser Darstellung ist auf die zugrundeliegenden Technologien und Systeme einzugehen sowie auf relevante Rechtsgrundlagen, damit darauf aufbauend ein möglicher gesetzgeberischer Handlungsbedarf frühzeitig erkannt und umgesetzt werden kann.
23 Daran schliesst die Bewertungsphase, während der die Notwendigkeit und Verhältnismässigkeit der Datenbearbeitung in Bezug auf die möglichen Risiken in Relation gesetzt werden. Bewertet werden damit die negativen Folgen der Datenbearbeitung für die Persönlichkeit oder Grundrechte der betroffenen Person. Hohe Risken oder negative Auswirkungen der Datenbearbeitung können sich hierbei auf unterschiedliche Weise manifestieren: So kann eine Datenbearbeitung zu einer Rufschädigung führen oder aber die Bearbeitung falscher Daten zur Folge haben, dass fehlerhafte Prognosen oder Diagnosen im medizinischen Umfeld erstellt werden. Vorstellbar sind auch Situationen, in denen eine Person ungerechtfertigt entlassen wird oder Vertrauensverluste gegenüber Behörden, dem privaten Verantwortlichen oder gegenüber Freunden und Familie entstehen. Zudem kann sich die Datenbearbeitung auch finanziell auswirken.
24Bei der Bewertung der Risiken sind die Datenschutzgrundsätze – vor allem jene der Datenminimierung, des Datenschutzes durch Technik sowie der datenschutzfreundlichen Voreinstellungen – zu beachten (siehe dazu N. 4). Der informationellen Selbstbestimmung der betroffenen Person kommt ebenfalls eine besondere Wichtigkeit zu, nicht jedoch den Interessen des Verantwortlichen.
25Nachdem in der Bewertungsphase beurteilt wurde, ob die Bearbeitung der Daten mit einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person einhergeht,
26 Das DSG bestimmt nicht, ob die Durchführung einer DSFA nur einmalig oder regelmässig erfolgen muss. Dies hängt von der Datenbearbeitungstätigkeit ab: Ist sie einmalig, reicht eine einmalig durchgeführte DSFA aus. Wird die Datenbearbeitung jedoch über einen längeren Zeitraum hinweg ausgeführt und ergeben sich aufgrund veränderter Umstände neue oder höhere Risiken, sollte die DSFA wiederholt werden. Grundsätzlich sollte die DSFA jedoch in etwa alle drei Jahre wiederholt werden.
27 Zeitlich ist zudem noch die Aufbewahrungsfrist zu beachten. Gemäss Art. 14 DSV ist die erforderliche Dokumentation der DSFA für zwei Jahre aufzubewahren. Die Frist beginnt mit dem Ende der Datenbearbeitung zu laufen.
3. Durchführung einer gemeinsamen DSFA
28 Der Verantwortliche hat das Recht bei mehreren vergleichbaren Datenbearbeitungsvorgängen eine gemeinsame DSFA durchzuführen.
4. Organisation
29 Die Durchführung einer DSFA obliegt nicht nur einer bestimmten Person, Stelle oder Abteilung beim Verantwortlichen. Wie jede andere Risikoanalyse handelt es sich um einen Prozess, an dem mehrere Personen, Stellen und Abteilungen übergreifend beteiligt werden müssen. Innerhalb eines Unternehmens werden für die DSFA üblicherweise die Projektleitung, die IT-Abteilung und/oder der Chief Information Security Officer, die Datenschutzstelle oder der Datenschutzberater, die Rechtsabteilung, die Risiko- und Compliance-Abteilung sowie andere Schlüsselpersonen beigezogen. Jede beteiligte Person ist für bestimmte Schritte der DSFA essenziell. So ist die Projektleitung für die Vorbereitungsphase besonders wichtig, weil sie die (geplante) Datenbearbeitung am besten beschreiben kann. Der Datenschutz- und Rechtsabteilung obliegt es, die Risiken gemäss Datenschutz und anwendbarem Recht zu beurteilen.
30 Aus Sicht des Verantwortlichen ist es deshalb sinnvoll eine Stelle oder Abteilung zu definieren, welche die rechtlichen Anforderungen an eine DSFA kennt und über die notwendigen Fachkenntnisse zur Durchführung einer DSFA verfügt. Dies ist in der Regel die für den Datenschutz zuständige Stelle oder Abteilung. Je nach Fokus oder Businessmodell der Verantwortlichen, kann es hilfreich sein, eine Vorlage inkl. Anleitung für die Durchführung einer DSFA zu erstellen, auf die im Einzelfall zurückgegriffen werden kann. Auf diese Weise werden die rechtlichen Anforderungen eingehalten, ohne dass bestimmte Aspekte vergessen gehen.
D. Ausnahmen
31Neben der allgemeinen Pflicht zur Durchführung einer DSFA in Fällen, in denen eine Datenbearbeitung zu einem hohen Risiko für die betroffenen Personen führt, definieren Abs. 4 und 5 einige Ausnahmen.
32Art. 22 Abs. 4 sieht vor, dass private Verantwortliche in Einzelfällen von der Pflicht zur Durchführung der DSFA ausgenommen sein können, sofern sie gesetzlich zur Bearbeitung der Daten verpflichtet sind. Im Gesetzgebungsprozess wurde diese Ausnahme damit begründet, dass mögliche Risiken in diesen Fällen bereits abgewogen wurden und somit kein weitergehender Bedarf zur Durchführung einer DSFA besteht.
33Art. 22 Abs. 5 sieht sodann eine weitere Ausnahme vor. Demzufolge können private Verantwortliche von der Erstellung der DSFA absehen, wenn bestimmte Voraussetzungen in Bezug auf die Zertifizierung einer Datenbearbeitung oder die Einhaltung genehmigter Verhaltenskodizes erfüllt sind. Diese Ausnahmen gelten nicht für Bundesbehörden. Zum einen ist dies der Fall, wenn der Verantwortliche ein System, Produkt oder eine Dienstleistung einsetzt, welche(s) für die Verwendung nach Art. 13 zertifiziert ist (siehe hierzu ausführlich die Kommentierung zu Art. 13 DSG). Zum anderen entfällt die Pflicht in den Fällen, in denen der Verantwortliche einen Verhaltenskodex i.S.v. Art. 11 einhält, (i) der auf einer DSFA beruht, (ii) spezifische Massnahmen zum Schutz der Persönlichkeit und der Grundrechte der betroffenen Personen trifft und (iii) dem EDÖB vorgelegt wurde.
III. Verletzung der Pflicht zur Durchführung einer DSFA
34 Führt ein Verantwortlicher keine DSFA durch, obwohl gemäss Art. 22 eine entsprechende Pflicht bestünde, ist Art. 51 Abs. 3 lit. d zu beachten. Diesem Artikel zufolge kann der EDÖB unter Strafandrohung verfügen, dass der Verantwortliche eine DSFA vornehmen muss. Im Gegensatz dazu haben betroffene Personen jedoch keinen Anspruch, die Durchführung einer DSFA klageweise durchzusetzen.
35 Stellt der EDÖB im Rahmen einer Untersuchung fest, dass eine Datenbearbeitung zu einem hohen Risiko führt, kann er verfügen, dass die Datenbearbeitung angepasst, suspendiert oder ganz abgebrochen wird, bis eine DSFA durchgeführt wurde (Art. 51 Abs. 1 i.V.m. Art. 49 f). Dies kann zu erheblichen Verzögerungen beim Verantwortlichen führen, was wiederum hohe Kosten und zusätzlichen Aufwand für den Verantwortlichen mit sich bringt. Da die Ergebnisse einer Untersuchung vom EDÖB zudem veröffentlicht werden können (Art. 57 Abs. 2), bestehen zudem erhebliche Reputationsrisiken für den Verantwortlichen.
36 Die Verletzung der Pflicht zur Durchführung einer DSFA wird nicht eigenständig einer Busse unterstellt. Diese Regelung erscheint vor dem Hintergrund, dass es sich bei dieser Pflicht primär um eine Sorgfaltspflicht (bestehend aus einer Dokumentations- und Rechenschaftspflicht) handelt, sinnvoll. In der EU wird dies hingegen anders gehandhabt (vgl. N. 40 ff.). Es ist jedoch davon auszugehen, dass Verantwortliche ihre Pflichten gemäss DSG dennoch einhalten werden. Zum einen da Behörden bereits unter dem aDSG eine solche Pflicht berücksichtigen mussten. Zum anderen führten auch private Verantwortliche, insbesondere Konzerne, vor Inkrafttreten des totalrevidierten DSG ebenfalls DSFAs durch, z.B. weil die betreffende Datenbearbeitung unter die DSGVO fiel oder der EDÖB dies verlangt hatte.
IV. Herausforderungen und praktische Relevanz
37 Mit dem Inkrafttreten des neu gefassten Art. 22 zeigt sich, dass die normativen Voraussetzungen für eine DSFA einen hohen Komplexitätsgrad aufweisen. Dies gilt insbesondere bei der Umsetzung durch kleine und mittlere Unternehmen (KMU), denen in der Schweiz eine wirtschaftliche nicht zu unterschätzende Bedeutung zukommt. Für sie dürfte es sich als herausfordernd erweisen, die einzelnen Schritte im Einklang mit Art. 22 durchzuführen. Dies gilt insbesondere für die Vorbereitungs- sowie die Massnahmenphase (siehe dazu N. 18 ff.), welche sich allein schon aufgrund der notwendigen analytischen Vorgehensweise als zeitaufwendig gestalten. Dies dürfte in Einzelfällen erhebliche Kosten generieren. Es ist entsprechend davon auszugehen, dass der Bedarf an Vorlagen, Beratung und Hilfestellungen seitens des EDÖB zeitnah in hohem Masse zunehmen wird.
38 Mit dem zunehmenden Einsatz von algorithmischen Systemen und anderen Anwendungen (siehe N. 2) wird auch die DSFA an Bedeutung gewinnen. Verantwortliche müssen im Einzelfall genau abwägen, welche Risiken angemessen erscheinen und ob sich der Einsatz solcher Systeme lohnt. Diese analytische Herangehensweise vor dem eigentlichen Projektstart dürfte vor allem für grosse Unternehmen nicht neu sein, zumal bereits vor der Totalrevision entsprechende Privacy Impact Assessments durchgeführt wurden (siehe N. 4 f. und 35) und sie auf EU-Ebene durch die DSGVO vergleichbare Pflichten kennen dürften.
39Die DSFA macht zudem deutlich, dass sich im Bereich neuer disruptiver Technologien die verschiedenen Rechtsbereiche überschneiden und eine zunehmende Vermengung von rechtlichen Fragen und solcher bzgl. der eingesetzten Technologie zu beobachten ist. Ein Beispiel für diese Entwicklung sind die Diskussionen rund um den Artificial Intelligence Act («AI Act»).
V. Vergleich mit dem EU-Recht
40 Im Allgemeinen ist die Durchführung der DSFA gemäss dem DSG mit den EU-weiten Vorgaben der DSGVO vergleichbar. Gleichzeitig sind Art. 22 f. DSG weniger strikt ausgestaltet als Art. 35 f. DSGVO.
41 Die lit. a bis d von Art. 35 Abs. 7 regeln vergleichbare Schritte wie Art. 22 DSG, welche berücksichtigt werden müssen, wenn eine DSFA durchgeführt wird. So ist die vorbereitende Phase mit lit. a vergleichbar, die Phase der Bewertung mit den lit. b und c sowie die Phase der Implementierung der Massnahmen mit lit. d.
42 Während Art. 35 Abs. 2 DSGVO eine Pflicht zur Konsultation des Datenschutzbeauftragten («Data Protection Officer») beinhaltet, jedenfalls sofern ein solcher ernannt wurde, sieht Art. 35 Abs. 9 DSGVO sogar vor, dass der Verantwortliche bei der Durchführung der DSFA die betroffenen Personen konsultieren kann. Eine solche Bestimmung enthält das DSG nicht. Die Konsultation des Datenschutzbeauftragten hat auf die DSFA inhaltlich keinen Einfluss, zumal die Rolle des Datenschutzbeauftragten nicht konkretisiert wird.
43 Anders als in der Schweiz schreibt Art. 35 Abs. 4 DSGVO den Aufsichtsbehörden vor, eine Liste über die Verarbeitungsvorgänge zu führen, bei denen eine DSFA in jedem Fall durchzuführen ist (sog. Positivlisten).
44 Während Art. 22 Abs. Abs. 5 DSG explizit besagt, dass eine DSFA nicht durchgeführt werden muss, wenn ein Verhaltenskodex gem. Art. 11 DSG eingehalten wird und die zusätzlichen Voraussetzungen nach Abs. 5 erfüllt sind, sind solche Verhaltensregeln gemäss DSGVO nur im Rahmen der Beurteilung der Auswirkungen der betreffenden Datenbearbeitung in der DSFA zu berücksichtigen. Sie entbinden den Verantwortlichen jedoch nicht von der Pflicht, eine DSFA durchzuführen, wenn diese gesetzlich zwingend erforderlich ist.
45 Schliesslich sieht Art. 35 Abs. 10 DSGVO, ähnlich wie Art. 22 Abs. 4 DSG, vor, dass keine DSFA durchgeführt werden muss, wenn eine Datenbearbeitung auf einer gesetzlichen Grundlage beruht. Die Ausnahme in der DSGVO ist jedoch enger gefasst: Die Ausnahme greift nur, wenn eine DSFA im Rahmen des Erlasses der Rechtsgrundlage durchgeführt wurde und die Rechtsgrundlage den konkreten Bearbeitungsvorgang bzw. die konkreten Bearbeitungsvorgänge regeln. Die praktische Bedeutung dürfte sich somit in Grenzen halten.
46Die DSGVO sieht für die Verletzung der Pflicht zur Durchführung einer DSFA Bussen bis zu € 10 Mio. oder bis zu 2% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres vor (Art. 83 Abs. 4 lit. a DSGVO). Diese Busse steht im Gegensatz zum DSG, das für eine solche Verletzung keine Busse vorsieht (vgl. N. 35).
Literaturverzeichnis
Baeriswyl Bruno, Der «grosse Bruder» DSGVO und das revDSG: Ein vergleichender Überblick, S. 8–15.
Blonski Dominika, Kommentierung zu Art. 22 DSG, in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Stämpflis Handkommentar zum DSG, 2. Aufl., Zürich/Basel, 2023
Blonski Dominika, DSFA und Vorabkonsultation, digma 2020, S. 28–32.
Früh Alfred/Haux Dario, Foundations of Artificial Intelligence and Machine Learning, Weizenbaum Series 29, DOI: 10.34669/WI.WS/29.
Klaus Samuel, KI trifft Datenschutz – Risiken und Lösungsansätze, in: Epiney Astrid/Rovelli Sophia, Künstliche Intelligenz und Datenschutz, Zürich 2021, S. 81–95.
Lobsiger Adrian, Hohes Risiko – kein Killerargument gegen Vorhaben der digitalen Transformation, SJZ 2023, S. 311–319.
Pfaffinger Monika, Das Recht auf informationellen Systemschutz. Plädoyer für einen Paradigmenwechsel im Datenschutzrecht, Habil., Baden-Baden 2022.
Rosenthal David, Das neue Datenschutzgesetz, Jusletter 16. November 2020.
Schönbächler Matthias R., Zum neuen Schweizer Datenschutzrecht, ZBJV 2023, S. 171–195.
Schürmann Kathrin, Datenschutz-Folgenabschätzung beim Einsatz Künstlicher Intelligenz: Bewertung und Minimierung der Risiken, ZD 2022, S. 316–321.
Vasella David, Widersprüche im Datenschutzrecht, digma 2020, S. 174–179.
Vasella David/Sievers Jacqueline, Der «Swiss Finish» im Vorentwurf des DSG, digma 2017, S. 44–49.
Widmer Michael, Datenschutz-Folgenabschätzung, digma 2017, S. 224–231.
Kühling Jürgen/Benedikt Buchner, Datenschutz-Grundverordnung BDSG, Kommentar, 3. Aufl., München, 2020.
Rosenthal David/Gubler Seraina, Die Strafbestimmungen des neuen DSG, SZW/RSDA 2021, S. 52–64.
Materialienverzeichnis
Botschaft vom 15. September 2017 zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz, BBl 2017, S. 6941 ff., abrufbar unter: https://fedlex.data.admin.ch/eli/fga/2017/2057, besucht am 5.6.2023.