DSFA: Das Merkblatt des EDÖB zur Datenschutz-Folgenabschätzung
Dr. Alesch Staehelin
Alesch Staehelin ist Rechtsanwalt in Zürich und als Partner der Kanzlei Uto Legal in den Bereichen «Data, IT/IP & Media» tätig: Er berät in Fragen des Datenschutzes, der IT-Sicherheit, der digitalen Transformation, der neuen Technologien (KI, IoT, VR, AR usw.), der sozialen Medien, des E-Commerce, von ESG, des Urheber-, Unterhaltungs- und Medienrechts, des Marken-, Designund Patentrechts (inkl. Know-how-Schutz) sowie des Wettbewerbsrechts, er entwirft, prüft und verhandelt Verträge aller Art (insbesondere in komplexen, zeitkritischen und grenzüberschreitenden Tech-Deals), er vermittelt in strittigen Projekten, und er führt Gerichts- und Schiedsverfahren. Zuvor leitete Alesch Staehelin seine eigene Kanzlei, und er war über ein Jahrzehnt Partner in einer anderen schweizerischen Anwaltskanzlei sowie Senior Corporate Counsel in diversen Managementfunktionen bei IBM.
Passende Arbeitshilfen
Das Merkblatt des EDÖB richtet sich in erster Linie an private Datenbearbeitungsverantwortliche. Als Arbeitsinstrument des modernen Datenschutzrechts zielt die DSFA darauf ab, die Rechte der Betroffenen in der sozialen Realität der Digitalisierung sicherzustellen. Gegenstand der DSFA sind vorab geplante Personendatenbearbeitungen, womit der Gesetzgeber primär an Grossprojekte der digitalen Transformation gedacht hat. Die DSFA bezweckt die frühzeitige Erkennung hoher Projektrisiken. Diese beziehen sich auf die Eintrittswahrscheinlichkeit und mit deren Quantifizierung als «hoch» die Erheblichkeit deren Auswirkungen an. Nach Art. 22 Abs. 1 und Art. 23 Abs. 1 DSG müssen sich die normrelevanten «hohen Risiken» auf die Persönlichkeits- oder die Grundrechte der betroffenen Personen beziehen. Was bedeutet das? Zur Veranschaulichung folgendes fiktives Beispiel: Ein humanitär tätiger Verein betreibt ein digitales Projekt zur statistischen Bearbeitung von Daten über politisch verfolgte Migrantinnen und Migranten. Im Rahmen einer ersten Einschätzung der Risiken kommt der Verein zu folgenden Ergebnissen: Die geplante Bearbeitung ist mit dem potenziell hohen Risiko für die Privatsphäre und informationelle Selbstbestimmung der davon betroffenen Migrantinnen und Migranten verbunden, dass mit dem datenschutzrechtlichen Bearbeitungszweck unvereinbare Rückschlüsse auf deren private Kontaktdaten möglich werden und in falsche Hände gelangen könnten.
Was ist ein «hohes Risiko»?
Aufgrund seiner Auslegungsbedürftigkeit eröffnet der unbestimmte Gesetzesbegriff des «hohen Risikos» den Bearbeitungsverantwortlichen wie auch der Datenschutzaufsicht des Bundes einen weiten Anwendungsspielraum. Da auch der Verordnungsgeber von jeder begrifflichen Präzisierung abgesehen hat, wird sich diese erst mit der Etablierung der Praxis und Rechtsprechung verdeutlichen. Es sollte nicht übersehen werden, dass der Gesetzgeber in Art. 22 Abs. 2 Auslegungshilfen bereitstellt. Gemäss dieser Bestimmung kann das «hohe Risiko» aus der Art, dem Umfang, den Umständen und dem Zweck der Bearbeitung abgeleitet werden, was auf ein breites Rechtsanwendungsermessen hindeutet.
Risikovorprüfung gemäss DSG
Zeichnet sich ab, dass eine geplante Bearbeitung möglicherweise mit potenziell hohen Risiken verbunden sein könnte, muss der Verantwortliche eine (summarische) Vorprüfung der mit dem Vorhaben verbundenen Gefahren durchführen. Die Vorprüfung ist so früh wie möglich, d.h. bereits bei der Projektplanung vorzunehmen, auch wenn die Einzelheiten der Datenbearbeitung noch nicht definiert sind. Es kann sich deshalb empfehlen, Varianten vorzusehen. Es empfiehlt sich, ein Bearbeitungsverzeichnis sowie eine systematische Beschreibung der Bearbeitungsvorgänge und Zwecke der geplanten Bearbeitungen einschliesslich Geschäftsmodellen und anderen Absichten und Interessen der Projektverantwortlichen zu erstellen. Bei der Erweiterung und Weiterentwicklung vorbestehender Applikationen ist stets ein Ver- gleich der bisherigen mit der geplanten Bearbeitung vorzunehmen. Das Ergebnis der Vorprüfung und die zugrunde gelegten Beurteilungen sind zu dokumentieren. Fällt das Ergebnis noch nicht eindeutig aus, empfiehlt es sich, eine DSFA durchzuführen. Nach Art. 22 Abs. 3 DSG muss eine DSFA eine Beschreibung der geplanten Bearbeitung, eine Bewertung der Risiken sowie die Massnahmen zur Wahrung der Persönlichkeit und Grundrechte der Betroffenen bzw. der primären und sekundären Schutzobjekte enthalten.
Werden Personendaten ins Ausland transferiert, unterliegt die Übermittlung einer eigenen Prüfung, die in die DSFA zu integrieren ist. Besonders wenn die Exportstaaten über kein angemessenes Datenschutzniveau verfügen können in diesem Kontext potenziell hohe Risiken auftreten, die der Verantwortliche mangels faktischer oder rechtlicher Einflussmöglichkeiten nicht nachweisbar beeinflussen kann, sodass das in der DSFA auszuweisende Restrisiko hoch bleibt. Dies kann etwa der Fall sein, wenn aufgrund faktischer Handlungsmöglichkeiten fremder Behörden unter fremdem Recht potenzielle Persönlichkeits- und Grundrechtsverletzungen drohen und der Bearbeitungsverantwortliche dieses Risiko weder mittels privatautonomer Vertragsgestaltung noch der Inanspruchnahme des Rechtswegs rechtssicher beeinflussen kann und er die Eintrittswahrscheinlichkeit und Schwere der drohenden Verletzung demzufolge auch nach Planung und Ausweisung entsprechender Mass- nahmen in der DSFA nicht verlässlich einzuschätzen vermag.
Was gilt nach Fertigstellung der DSFA?
Je nach Bewertung des ausgewiesenen sog. Nettorisikos ist weiter wie folgt vorzugehen: Auch wenn das verbleibende Nettorisiko geringer als «hoch» ausfällt, muss der Verantwortliche prüfen, ob die geplante Bearbeitung mit sämtlichen Vorgaben der Datenschutzgesetzgebung vereinbar ist. Nur wenn diese Grundbedingung erfüllt ist, darf das Bearbeitungsvorhaben realisiert werden. Oder: Der Verantwortliche muss die DSFA dem EDÖB nicht vorlegen.
Bestehen hinreichende Anzeichen dafür, dass Umstände eingetreten sein könnten, wonach eine bestehende oder weiterentwickelte Bearbeitung mit zusätzlichen, insgesamt als hoch einzuschätzenden Risiken verbunden sein könnte, muss der Verantwortliche je nach Umständen eine DSFA erstmals erstellen, oder eine solche – falls vorbestehend – aktualisieren. Auslöser für ein solches Tätigwerden können Expertenberichte, Beschwerden von Betroffenen, Medienberichte, abgewehrte oder ohne schädigende Absicht erfolgte Cyberattacken oder eine sonstige Verletzung der Datensicherheit sein. Weist die neue oder aktualisierte DSFA ein hohes Restrisiko aus, muss der Verantwortliche diese dem EDÖB inklusive eines Vergleichs der bisherigen und der zu erweiternden Applikationen zur Stellungnahme vorlegen. Ist es im Zuge der bestehenden Bearbeitung von Personendaten zu einer gegenüber dem EDÖB meldepflichtigen Verletzung der Datensicherheit mit hohen Risiken für die Betroffenen i.S.v. Art. 24 DSG gekommen, muss der Verantwortliche rechtzeitig die nötigen Massnahmen ergreifen, um den rechtmässigen Zustand wiederherzustellen und die Betroffenen über die eingetretenen oder drohenden Verletzungen ihrer Persönlichkeit oder Grundrechte zu informieren.
Stellungnahme des EDÖB nach Vorlage der DSFA und mögliche aufsichtsrechtliche Massnahmen
Der EDÖB prüft, ob die ihm vorliegende DSFA die ausgewiesenen hohen Nettorisiken verständlich, nachvollziehbar und vollständig ausweist und herleitet. Weiter prüft er, ob die geplante Bearbeitung unter Berücksichtigung der auszuweisenden Risiken mit den Vorgaben der Datenschutzgesetzgebung als Ganzes vereinbar ist, indem sie sich hinsichtlich des geplanten Umfangs und der Intensität als für die Betroffenen zumutbar und somit insgesamt als vertretbar erweist. Weigert sich ein Verantwortlicher, wichtige Einwände und Anregungen des EDÖB zu befolgen, kann Letzterer eine Untersuchung eröffnen und angeregte Ergänzungen oder Änderungen bis hin zum Verbot der Bearbeitung zu gegebener Zeit formell verfügen. Dabei respektiert der EDÖB den Ermessensspielraum, der den fach- und branchenkundigen Verantwortlichen bei der Bewertung von Bearbeitungsrisiken zukommt. Ein formelles Tätigwerden des EDÖB ist insbesondere angezeigt, wenn die Inkaufnahme eines Risikos namentlich aufgrund der Eintrittswahrscheinlichkeit und Schwere der Persönlichkeitsverletzungen nicht zumutbar ist und sich die geplante Bearbeitung demzufolge daten- schutzrechtlich als unzulässig erweist.
