Eine Datenschutz-Folgenabschätzung (DSFA) ist ein Verfahren, bei dem die Auswirkungen einer geplanten Datenverarbeitung auf den Datenschutz von Betroffenen bewertet werden. Eine DSFA ist insbesondere dann erforderlich, wenn die geplante Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten von Betroffenen darstellt.

Im Folgenden sind die wichtigsten Schritte beschrieben, die bei einer DSFA beachtet werden sollten:

Identifikation des Zwecks und der Umstände der geplanten Datenverarbeitung: Zunächst muss der Zweck und der Kontext der geplanten Datenverarbeitung klar definiert werden. Dazu gehört auch die Art der zu verarbeitenden Daten und die Zielgruppe, die von der Verarbeitung betroffen sein wird.
Analyse des Risikos für den Datenschutz: Anschließend wird das Risiko für den Datenschutz der Betroffenen bewertet. Dazu werden mögliche Auswirkungen der geplanten Verarbeitung auf die Rechte und Freiheiten der Betroffenen untersucht.
Überlegungen zur Risikominderung: Im nächsten Schritt werden Maßnahmen erörtert, die dazu beitragen können, das Risiko für den Datenschutz der Betroffenen zu minimieren. Dazu gehören zum Beispiel technische oder organisatorische Maßnahmen, die die Daten schützen oder den Zugriff auf sie beschränken.
Entscheidung über die Durchführung der Datenverarbeitung: Auf Basis der Ergebnisse der DSFA wird entschieden, ob die geplante Datenverarbeitung durchgeführt werden kann oder ob sie angepasst oder abgelehnt werden muss.
Dokumentation und Überwachung: Zum Abschluss der DSFA werden die Ergebnisse dokumentiert und es wird überwacht, ob die getroffenen Maßnahmen zur Risikominderung auch tatsächlich umgesetzt werden.

Eine DSFA sollte von einer Person oder einem Team durchgeführt werden, das über die erforderliche Fachkompetenz im Bereich Datenschutz verfügt. Es ist wichtig, dass die DSFA regelmäßig überprüft und angepasst wird, wenn sich die Umstände ändern.

Neu im revDSG muss nun auch bei einem hohem Risiko, welches sich aus einem Profiling oder Bearbeitung von besonders schützenswerten Daten ergibt, auch der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) gemäss Art. 23 revDSG hinzugezogen werden. Der EDÖB kann Einwände zu der DSFA bringen, aber auch Massnahmen zur Modifizierung vorschlagen.

Auf den Kontakt zum EDÖB kann verzichtet werden, wenn ein interner oder externer Datenschutzbeauftragter, wie die Gesellschaft für Datenschutz mbH einen stellt, konsultiert wird.

Brauchen Sie Unterstützung bei der
Anpassung an das neue Gesetz?

Verstehen und Implementieren von Datenschutzrichtlinien kann komplex sein. Als Ihr Datenschutzberater stehen wir Ihnen gerne zur Seite. Wir helfen Ihnen, sich effizient auf das neue Datenschutzgesetz vorzubereiten und sicherzustellen, dass Ihre Prozesse und Systeme den neuesten Anforderungen entsprechen. Kontaktieren Sie uns noch heute, um den Übergang so reibungslos und konform wie möglich zu gestalten.

Jetzt kostenfreie Beratung vereinbaren

Wie läuft eine Datenschutz-Folgenabschätzung ab?

Brauchen Sie Unterstützung bei der
Anpassung an das neue Gesetz?

Diese Themen könnten Sie auch interessieren

Das revidierte Datenschutzgesetz: Ein Podcast-Gespräch mit Experten

Cyberbedrohungen in der Schweiz: Eine wachsende Gefahr und wie Unternehmen sich schützen können

Herausforderungen und Chancen der Cloud-Nutzung im öffentlichen Sektor: Ein Blick auf den Kanton Zürich

Swiss-U.S. Data Privacy Framework: Der neue Gamechanger für sicheren Datenaustausch zwischen der Schweiz und den USA – Was das Data Privacy Framework für dein Unternehmen bedeutet

Effiziente Sicherheit: Erfüllen Sie mit ISO 27001 die NIS2-Anforderungen

Datenschutzbeauftragter: Revolutionäre Pläne der Bundesregierung zur Erhöhung der Benennungsschwelle auf 50 Mitarbeitende

Datenschutz und Künstliche Intelligenz: Neue Entwicklungen und Diskussionspunkte

Eine Neue Ära der Informationssicherheit: Einführung in das neue Datenschutzgesetz der Schweiz

5 Schritte zur Berechnung von Datenschutz Bussgelder: Ein Leitfaden für Schweizer Unternehmen

Welche sind die 5 grössten Fehler bei der Auswahl eines Datenschutzbeauftragten?