E-Mail

digitalkonform@krm.swiss

Newsletter

Jetzt abonnieren

ANGEBOT ANFORDERN

Datenschutz-Folgenabschätzungen: Ein Buch mit sieben Siegeln?

von | 17.9.2025 | Datenschutz | 0 Kommentare

Datenschutz-Folgenabschätzungen sind umfassende, meist komplexe Risikoanalysen, welche vom aktuellen Datenschutzrecht gefordert werden. Hier eine kompakte Übersicht zu Anforderungen und Ablauf einer Datenschutz-Folgenabschätzung (DSFA) nach Schweizer Recht (Datenschutzgesetz, DSG 2023; insbesondere Art. 22–24 DSG).

Gerne unterstützen wir Sie bei der Durchführung der DSFA.

Anfrage für eine DSFA-Unterstützung

Wann ist eine DSFA erforderlich?

Eine DSFA muss durchgeführt werden, wenn eine geplante Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen mit sich bringen kann. Typische Fälle:

  • systematische, umfangreiche Bearbeitung besonders schützenswerter Personendaten (z. B. Gesundheitsdaten, genetische Daten),
  • umfangreiche Überwachung öffentlicher Bereiche,
  • Profiling mit hohem Risiko.

Inhalt / Anforderungen an eine DSFA

Die DSFA muss mindestens enthalten:

  1. Beschreibung des geplanten Bearbeitungsvorgangs
    – Zweck, Mittel, Datenkategorien, betroffene Personengruppen.
  2. Bewertung der Risiken
    – Art, Wahrscheinlichkeit und Schwere möglicher Beeinträchtigungen für die betroffenen Personen.
  3. Geplante Massnahmen zur Risikobegrenzung
    – technische und organisatorische Massnahmen (TOM), Pseudonymisierung, Zugriffsbeschränkungen, Datensparsamkeit etc.
  4. Ergebnis
    – Einschätzung, ob die Restrisiken akzeptabel sind.

Ablauf einer DSFA

  1. Prüfung der Pflicht: Feststellen, ob die Bearbeitung voraussichtlich ein hohes Risiko mit sich bringt.
  2. Durchführung der Analyse: Erstellen der DSFA mit den oben genannten Inhalten.
  3. Einbezug von Fachleuten: Datensicherheitsbeauftragte, IT, allenfalls Rechtsberatung.
  4. Dokumentation: Die DSFA muss schriftlich vorliegen und aufbewahrt werden.
  5. Aktualisierung: Bei wesentlichen Änderungen des Bearbeitungsvorgangs ist die DSFA zu überprüfen und ggf. anzupassen.
  6. Meldung an den EDÖB:
    • Wenn trotz Massnahmen ein hohes Restrisiko bleibt, ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) vor Beginn der Bearbeitung zu konsultieren.

Pflichten des Verantwortlichen

  • Verantwortlich für Durchführung und Dokumentation ist immer die verantwortliche Stelle (z. B. Unternehmen, Behörde).
  • Delegation an Auftragsbearbeiter ist möglich, die Verantwortung bleibt aber beim Verantwortlichen.
  • Nachweisbarkeit ist entscheidend (Rechenschaftspflicht).

 

Präsentation Datenschutz-Dienstleistungen des krm

 

0 Kommentare

Einen Kommentar abschicken

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Ähnliche Beiträge

Visita Treuhand AG erfolgreich zertifiziert

Visita Treuhand AG erfolgreich zertifiziert

Okt. 22, 2024 |

Anfang Oktober 2024 durfte das krm die Visita Treuhand AG, Abacus Bronze Partner, erfolgreich zertifizieren. Die Visita Treuhand AG unterstützt seit über 40 Jahren Unternehmen in den Bereichen der finanzwirtschaftlichen und steuerrechtlichen Führung sowie der...

mehr lesen
Zur Übersicht