Datenschutz-Folgenabschätzung (DSFA)
Eine Datenschutz-Folgenabschätzung dient dazu, eine datenschutzkonforme Bearbeitung von Personendaten zu gewährleisten. Sie ist durchzuführen, wenn Organe beabsichtigen, Daten einer grossen Anzahl Personen mit elektronischen Mitteln zu bearbeiten.
Ablauf einer Datenschutz-Folgenabschätzung
Eine Datenschutz-Folgenabschätzung umfasst folgende Prozessschritte:
- Rechtsgrundlagenanalyse: Gibt Auskunft, ob für eine geplante oder geänderte Datenbearbeitung eine ausreichende Rechtsgrundlage vorliegt (Legalitätsprinzip).
- Schutzbedarfsanalyse: Gibt Auskunft über das Erfordernis einer DSFA.
- Datenschutz-Folgenabschätzung (Risikoanalyse): Anschliessend sind die Risiken der Datenbearbeitung für die Grundrechte der betroffenen Personen zu identifizieren, zu bewerten und geeignete Massnahmen zu treffen, um diese zu eliminieren oder zu minimieren.
- Allenfalls ist zusätzlich ein ISDS-Konzept (Informationssicherheits- und Datenschutzkonzept) zu erstellen und die Datenschutzstelle für eine Vorabkonsultation beizuziehen.
Hier finden Sie eine grafische Darstellung des Ablaufs.
Als Hilfestellung zur Erarbeitung einer DSFA stehen Ihnen die untenstehenden Vorlagen zur Verfügung.