Gemäss der Botschaft zum nDSG ist eine Datenschutz-Folgenabschätzung (DSFA) ein Instrument, um Risiken zu identifizieren und zu bewerten, welche für die betroffene Person durch den Einsatz bestimmter Datenbearbeitungen entstehen können. Auf der Basis dieser Abschätzung werden Massnahmen zur Risikobewältigung definiert.

Der Gesetzgeber verlangt von Firmen, immer dann eine DSFA durchzuführen, wenn eine Datenbearbeitung ein hohes Risiko für die Grundrechte oder die Persönlichkeit der betroffenen Person mit sich bringen kann. Je umfangreicher die Bearbeitung, je sensibler die bearbeiteten Daten, je umfassender der Bearbeitungszweck, umso eher sei ein hohes Risiko anzunehmen. Gemäss Gesetzgeber liegt unter anderem dann ein hohes Risiko vor, wenn in umfangreicher Form besonders schützenswerte Personendaten bearbeitet werden. Ein hohes Risiko kann auch dann vorliegen, wenn die Verfügungsfreiheit der Betroffenen über ihre Daten stark eingeschränkt wird, grosse Datenmengen bearbeitet werden, Daten in Drittstaaten übermittelt werden oder eine hohe Anzahl Personen auf die Daten zugreifen kann. Auch Datenbearbeitungen unter Einsatz moderner Technologien wie KI können zu einem hohen Risiko führen.

Nicht notwendig ist eine DSFA für Firmen, wenn die Bearbeitung aufgrund einer gesetzlichen Vorgabe erfolgt, wenn das eingesetzte System, Produkt oder die Dienstleistung für die vorgesehene Bearbeitung zertifiziert ist oder wenn ein dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) vorgelegter Verhaltenskodex beachtet wird. Roman Böhni, auf Datenschutzrecht spezialisierter Anwalt, sagt dazu: «Je nach Ausgestaltung der Systemlandschaft und Prozesse kann es für Arztpraxen durchaus notwendig sein, eine DSFA durchzuführen. Der Fokus ist dabei auf die Bearbeitung von Patientendaten und allenfalls auch Daten von Mitarbeitenden zu richten. Ich gehe aber davon aus, dass die durchschnittliche kleinere Arztpraxis, die Personendaten auf internen Systemen bearbeitet, keine solche Folgenabschätzung machen muss. Wie so immer ist jeweils eine Einzelfallabwägung notwendig.»

Muss oder möchte eine Firma eine DSFA durchführen, sieht der konkrete Vorgang in etwa so aus: Man nimmt das bereits existierende Bearbeitungsverzeichnis zur Hand. Nun überlegt man sich pro Prozess, der darin definiert wurde, ob für die Bertoffenen mit der beabsichtigten Bearbeitung ihrer Personendaten ein hohes Risiko einhergeht. Kommt man zum Schluss, dass bezüglich des geprüften Bearbeitungsvorganges kein hohes Risiko besteht, sollte dieses Ergebnis kurz begründet und dokumentiert werden (z.B. direkt im Bearbeitungsverzeichnis).

Strukturierte Risikoanalyse
Resultiert aus der Prüfung hingegen ein hohes Risiko, muss man die DSFA durchführen. Bloss: Was heisst das konkret? Roman Böhni erklärt: «Bei der DSFA handelt es sich um eine strukturierte Risikoanalyse, welche zu dokumentieren ist. Zunächst ist der jeweilige Bearbeitungsvorgang detailliert zu beschreiben. In einem zweiten Schritt sind die für die betroffenen Personen relevanten Risiken zu identifizieren und zu bewerten. In einem dritten Schritt werden bereits umgesetzte sowie noch zu implementierende Massnahmen definiert, welche sich risikomindernd auf den betroffenen Bearbeitungsvorgang auswirken. Schliesslich ist ein allfälliger Handlungsbedarf festzustellen». Die Form der DSFA wird vom Gesetzgeber nicht vorgegeben. Zwar gebe es professionelle Tools, welche bei der Durchführung einer Datenschutz-Folgenabschätzung unterstützen können. In der Regel würden diese die Bedürfnisse einer klassischen Arztpraxis aber übersteigen, so der Anwalt. Sinnvoller sei die Verwendung von auf die jeweiligen Bedürfnisse und Begebenheiten angepassten Vorlagen, welche beispielsweise die Datenschutzbeauftragten mancher Kantone online veröffentlichen.

«Sollte die DSFA ergeben, dass die geplante Datenbearbeitung trotz der geplanten risikomindernden Massnahmen ein hohes Risiko für die betroffenen Personen bedeutet, sind die Unterlagen dem EDÖB zur Konsultation einzureichen», so Roman Böhni. Alternativ zur Meldung an den EDÖB besteht auch die Möglichkeit, eine Datenschutzberaterin oder einen Datenschutzberater zu ernennen und diese Person bezüglich der DSFA zu konsultieren.

«Schliesslich ist es wichtig, die DSFA nicht nur zu erstellen; sie muss auch periodisch daraufhin überprüft werden, ob sich die Risikosituation geändert hat und allenfalls neu oder abweichende Massnahmen zu implementieren sind. In diesem Fall ist das Dokument entsprechend zu aktualisieren», so Roman Böhni.