Sobald ersichtlich ist, dass die Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringt, muss eine Datenschutz-Folgenabschätzung eingeleitet werden.
Beispiel:
- Einführung einer neuen Software, CRM, oder mobile Apps
Es soll insbesondere die Grundsätze der Verhältnismässigkeit und der Datenminimierung verwirklicht und sichergestellt werden, dass die beabsichtigte Datenbearbeitung von Beginn weg an Prinzipien von «privacy by design» und «privacy by default» ausgerichtet ist (vgl. Art. 7 DSG).
Die Pflicht zur Erstellung von Datenschutz-Folgenabschätzungen (DSFA)
Der genaue Wortlaut ist:
- Der Verantwortliche erstellt vorgängig eine Datenschutz-Folgenabschätzung, wenn eine Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann. Sind mehrere ähnliche Bearbeitungsvorgänge geplant, so kann eine gemeinsame Abschätzung erstellt werden.
- Das hohe Risiko ergibt sich, insbesondere bei Verwendung neuer Technologien, aus der Art, dem Umfang, den Umständen und dem Zweck der Bearbeitung. Es liegt namentlich vor:
a. bei der umfangreichen Bearbeitung besonders schützenswerter Personendaten;
b. wenn systematisch umfangreiche öffentliche Bereiche überwacht werden.
- Die Datenschutz-Folgenabschätzung enthält eine Beschreibung der geplanten Bearbeitung, eine Bewertung der Risiken für die Persönlichkeit oder die Grundrechte der betroffenen Person sowie die Massnahmen zum Schutz der Persönlichkeit und der Grundrechte.
- Von der Erstellung einer Datenschutz-Folgenabschätzung ausgenommen sind private Verantwortliche, wenn sie gesetzlich zur Bearbeitung der Daten verpflichtet sind.
- Der private Verantwortliche kann von der Erstellung einer Datenschutz-Folgenabschätzung absehen, wenn er ein System, Produkt oder eine Dienstleistung einsetzt, das oder die für die vorgesehene Verwendung nach Artikel 13 zertifiziert ist oder wenn er einen Verhaltenskodex nach Artikel 11 einhält, der die folgenden Voraussetzungen erfüllt:
a. Der Verhaltenskodex beruht auf einer Datenschutz-Folgenabschätzung.
b. Er sieht Massnahmen zum Schutz der Persönlichkeit und der Grundrechte der betroffenen Person vor.
c. Er wurde dem EDÖB vorgelegt.