Leitfaden zur Durchführung von Datenschutz-Folgenabschätzungen
Gstaad Palace
1. Zweck und Grundlage
Dieser Leitfaden (Leitfaden) soll den jeweils zuständigen Mitarbeitenden des Unternehmens Gstaad Palace (nachfolgend Unternehmen) die wichtigsten Grundlagen zur Durchführung einer Datenschutz-Folgenabschätzung (DSFA) vermitteln und sie befähigen, zusammen mit weiteren Massnahmen und Dokumenten, DSFA im Sinne des anwendbaren Datenschutzrechts durchzuführen. Die unterschiedlichen Zuständigkeiten sind in Ziffer 14 dieses Leitfadens im Detail geregelt.
Da das Unternehmen hotelleriebezogene Dienstleistungen sowie gegebenenfalls weitere Dienstleistungen und Waren anbietet und in diesem Zusammenhang Personendaten bearbeitet, orientiert sich der Leitfaden sich an den Anforderungen des geltenden und auch des revidierten schweizerischen Datenschutzgesetzes (DSG) sowie der EU-Datenschutzgrundverordnung (DSGVO), soweit anwendbar
Ergänzend zu diesem Leitfaden muss die zuständige Abteilung für Datenschutz ggf. länderspezifische Regelungen erlassen und diese berücksichtigen.
2. Ziel dieses Leitfadens
Dieser Leitfaden beschreibt was eine DSFA ist und wie sie wann durchgeführt werden muss
3. Geltungsbereich
Dieser Leitfaden gilt für alle Mitarbeitenden des Unternehmens, die Personendaten bearbeiten, potenziell an Datenbearbeitungstätigkeiten beteiligt sind und darum ggf. DSFA durchführen müssen. Die Mitarbeitenden sind im Rahmen ihres Arbeitsverhältnisses verpflichtet, alle geltenden Datenschutzgesetze sowie diesen Leitfaden einzuhalten.
4. Definitionen
Das anwendbare Datenschutzrecht definiert einige wichtige Begriffe.
Relevant ist vor allem der Begriff der Personendaten:
Personendaten Besonders schützenswerte Personendaten
Definition Personendaten sind alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen
Sensitivität
Personendaten der folgenden Kategorien: Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten; Daten über die Gesundheit, die Intimsphäre oder die Zugehörigkeit zu einer Rasse oder Ethnie; genetische Daten; biometrische Daten, die eine natürliche Person eindeutig identifizieren; Daten über verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen; Daten über Massnahmen der sozialen Hilfe
Mit «Personen» sind natürliche Personen und nicht juristische Personen gemeint. Informationen über eine Kontaktperson eines Lieferanten oder bei einem anderen Unternehmen im B2B-Verkehr gelten ebenfalls als Personendaten.
Das anwendbare Datenschutzrecht enthält keine Definition für den Begriff der «DatenschutzFolgenabschätzung» Die DSFA bezweckt die Bewertung der Risiken einer konkreten Datenbearbeitung, bevor diese aufgenommen wird. Gestützt auf die DSFA können sodann auch risikominimierende Massnahmen umgesetzt werden.
5. Was bezweckt eine DSFA?
Eine DSFA ist ein Mittel zur systematischen und umfassenden Analyse von Bearbeitungstätigkeiten sowie zur Ermittlung und Minimierung von Datenschutzrisiken in einem bestimmten Fall. Bei einer DSFA sollten insbesondere die Risiken für die Persönlichkeit oder die Grundrechte der betroffenen Personen berücksichtigt werden. Daher konzentriert sich eine DSFA auf den potenziellen Schaden für die betroffenen Personen oder die Gesellschaft insgesamt, unabhängig davon, ob es sich um einen physischen, materiellen oder immateriellen Schaden handelt.
Um das mit einer Bearbeitungstätigkeit zusammenhängende Risiko zu bewerten, muss eine DSFA sowohl die Wahrscheinlichkeit als auch die Schwere der Auswirkungen auf die betroffenen Personen berücksichtigen. Eine DSFA muss aber nicht zum Schluss kommen, dass alle Risiken beseitigt wurden. Dennoch hilft sie dem Unternehmen zu dokumentieren und zu bewerten, ob die verbleibenden Risiken gerechtfertigt sind und die Bearbeitungstätigkeit daher durchgeführt werden kann.
6. Zeitpunkt der Durchführung einer DSFA
Eine DSFA muss von Gesetzes wegen vor der Aufnahme einer Bearbeitungstätigkeit durchgeführt werden, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen führt (siehe Ziff. 7 hiernach)
Sofern eine DSFA für eine Datenbearbeitung notwendig ist, muss diese so früh wie möglich in einem Projekt vorgenommen werden, d.h. insbesondere, bevor das Unternehmen eine Bearbeitungstätigkeit aufnimmt oder anpasst. Idealerweise erfolgt die Durchführung einer DSFA parallel zum Planungs- und Entwicklungsprozess des Projekts
7. Vorprüfung: Muss eine DSFA durchgeführt werden?
Das geltende Datenschutzrecht verlangt nicht bei jeder neuen Bearbeitungstätigkeit oder bei jeder Anpassung einer bestehenden Bearbeitungstätigkeit die Durchführung einer DSFA. In einer ersten Vorprüfung wird daher evaluiert, ob für eine bestimmte Bearbeitungstätigkeit überhaupt eine DSFA durchgeführt werden muss oder nicht.
Eine DSFA ist von Gesetzes wegen durchzuführen, wenn eine Bearbeitung voraussichtlich ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person zur Folge hat
Ob voraussichtlich ein hohes Risiko vorliegt, hängt von mehreren Kriterien ab und lässt sich nicht immer leicht beurteilen. Vergleichsweise klar sind die folgenden zwei gesetzlich vorgesehenen Fälle, in welchen stets zwingend von einem hohen Risiko auszugehen und daher eine DSFA durchzuführen ist:
1. bei der umfangreichen Bearbeitung besonders schützenswerter Personendaten; oder
2. wenn systematisch umfangreiche öffentliche Bereiche überwacht werden (z. B. Videoüberwachung)
In allen anderen Fällen ist die Notwendigkeit einer DSFA weniger klar. So kann sich das hohe Risiko gemäss Gesetz aus den folgenden Aspekten ergeben:
1. der Verwendung neuer Technologien,
2. der Art der Bearbeitung,
3. dem Umfang der Bearbeitung,
4. den Umständen der Bearbeitung, oder
5. dem Zweck der Bearbeitung.
Wichtig: Ob die Bearbeitung tatsächlich ein hohes Risiko darstellt, wird erst nach Durchführung der DSFA eindeutig klar. Stattdessen geht es in der Vorprüfung eher um die übergeordnete Vorfrage: Gibt es Merkmale, die auf ein potenziell hohes Risiko hindeuten?
Viele Datenschutzbehörden haben in Guidelines und Checklisten Beispiele für Bearbeitungen von Personendaten veröffentlicht, deren Merkmale auf ein potenziell hohes Risiko hinweisen. Im Sinne einer Orientierungshilfe sind im Anhang 2 einige Beispiele zusammengefasst, wann eine DSFA erforderlich sein kann
Wichtig: Solche Guidelines und Checklisten sind allgemein formuliert und können nicht alle Facetten des Einzelfalls berücksichtigen – wie dies auch beim vorliegenden Leitfaden der Fall ist. Die Erwähnung einer Datenbearbeitung in Anhang 2 oder anderen Checklisten von Datenschutzbehörden bedeutet nicht, dass diese Arten der Bearbeitung immer mit einem voraussichtlich hohen Risiko verbunden sind – es besteht lediglich die begründete Möglichkeit, dass sie mit einem hohen Risiko verbunden sind, sodass eine DSFA erforderlich ist, um den Grad des Risikos genauer zu bewerten.
Wenn die beabsichtigte Datenbearbeitung nicht in Anhang 2 oder Checklisten von Datenschutzbehörden beschrieben ist, liegt es am Unternehmen zu entscheiden, ob die Bearbeitung unter Berücksichtigung der Art, des Umfangs, des Kontexts und der Zwecke der Bearbeitung voraussichtlich ein hohes Risiko darstellt. Im Zweifelsfall ist eine DSFA durchzuführen Wichtig ist, die Gründe für oder gegen die Durchführung einer DSFA zu dokumentieren
Frühzeitig vor der Einführung neuer Datenbearbeitungstätigkeiten und -systeme oder neuer Geschäftsprozesse und Dienstleistungen im Zusammenhang mit der Bearbeitung von Personendaten muss der für die Einführung hauptverantwortliche Mitarbeitende die Datenschutzkoordinationsstelle informieren. Die Information muss auch erfolgen, wenn bestehende Prozesse oder Bearbeitungszwecke geändert werden sollen. Im letzteren Fall ist der für die Änderung hauptverantwortliche Mitarbeitende für die Benachrichtigung des Datenschutzkoordinationsstelle zuständig Neue Datenbearbeitungstätigkeiten und -systeme oder Änderungen bestehender Bearbeitungstätigkeiten dürfen nur nach Konsultation und Bewertung durch die Datenschutzkoordinationsstelle durchgeführt werden.
Um sicherzustellen, dass neue Anwendungen und IT-Lösungen im Einklang mit den anwendbaren Datenschutzbestimmungen eingeführt und umgesetzt werden, dürfen die Mitarbeitenden solche Anwendungen und IT-Lösungen auf keinen Fall selbst implementieren.
8. Ablauf einer DSFA
Die Prüfung der Notwendigkeit einer DSFA (siehe Ziff 7 vorangehend) stellt eine Vorprüfung dar und ist somit nicht Bestandteil der eigentlichen DSFA Die Vorprüfung ist jedoch eng mit der Durchführung der DSFA verbunden, weshalb sie in der nachfolgenden Grafik miterwähnt wird.
Im Allgemeinen umfasst die Durchführung einer DSFA die folgenden Schritte:
Kontaktieren der Datenschutzkoordinationsstelle und Ermittlung des Bedarfs nach einer DSFA
Regelmässige Überprüfung der DSFA
Integration der risikominimierenden Massnahmen in die geplante Bearbeitungstätigkeit
Dokumentation der Ergebnisse
Prüfung, ob eine Konsultationspflicht bei der zuständigen Datenschutzbehörde besteht
Beschreibung der Bearbeitungstätigkeit
Bewertung der Notwendigkeit und Verhältnismässigkeit der Bearbeitungstätigkeit
Identifizierung und Bewertung von Risiken
Identifizierung von Massnahmen zur Risikominderung
Inhalt einer DSFA
Eine DSFA wird vom Unternehmen anhand des Fragebogens in Anhang 1 vorgenommen und kann einen einzelnen Bearbeitungsvorgang oder eine Reihe ähnlicher Bearbeitungsvorgänge betreffen Der Fragebogen enthält die erforderlichen Informationen für die Durchführung der DSFA.
Der Fragebogen muss der Datenschutzkoordinationsstelle zur Dokumentation und Genehmigung übergeben werden.
Bearbeitungstätigkeiten dürfen erst nach der Freigabe durch die Datenschutzkoordinationsstelle durchgeführt werden.
Gesellschaften einer Unternehmensgruppe können bei identischen Datenbearbeitungen gemeinsam eine DSFA durchführen, sofern für alle involvierten Gruppengesellschaften bzw. für deren Datenbearbeitung dasselbe anwendbare Recht gilt. Dies ist sorgfältig zu prüfen. Es kann vorkommen, dass für eine Gruppengesellschaft ausschliesslich das DSG anwendbar ist, für andere Gruppengesellschaften aber z.B. die DSGVO. Auch wenn sich dieser Leitfaden sowohl an den Anforderungen der DSG als auch der DSGVO orientiert, kann es leichte Abweichungen geben.
Anhang 1 ist weitestgehend selbsterklärend. Ziff. 2 von Anhang 1 (Notwendigkeit einer DSFA) bezieht sich auf die in Ziff. 7 vorangehend dargestellte Vorprüfung (Zur Erinnerung, selbst wenn die Vorprüfung ergibt, dass keine DSFA durchzuführen ist, muss Anhang 1 mindestens bis zu dieser Ziff. 2 ausgefüllt werden. So kann später nachvollzogen werden, aus welchen Gründen für ein bestimmte Bearbeitung keine DSFA durchgeführt wurde). Nachfolgend wird erläutert, welche Gesichtspunkte betreffend Ziff. 5 Anhang 1 (Identifizierung und Bewertung von Risiken) und Ziff. 6 Anhang 1 (Massnahmen zur Risikominderung) zu beachten sind.
10. Identifizierung und Bewertung von Risiken (Ziff. 5 Anhang 1)
Das Unternehmen muss im Rahmen der DSFA die potenziellen Auswirkungen auf die betroffenen Personen und alle Schäden, die eine beabsichtigte Datenbearbeitung verursachen könnte – ob physisch, emotional oder materiell –, untersuchen, insbesondere, ob die Datenbearbeitung bei den betroffenen Personen zu folgenden Konstellationen führen könnte:
- Unfähigkeit zur Ausübung von Rechten (einschliesslich, aber nicht beschränkt auf Datenschutzrechte);
- Unmöglichkeit des Zugangs zu Dienstleistungen;
- Verlust der Kontrolle über die Verwendung der Personendaten;
- Diskriminierung;
- Identitätsdiebstahl oder Betrug;
- finanzieller Verlust;
- Schädigung des Rufs;
- körperlicher Schaden;
- Verlust der Vertraulichkeit;
- Re-Identifizierung von pseudonymisierten Daten; oder
- jeder andere erhebliche wirtschaftliche oder soziale Nachteil
Die DSFA muss hierbei alle möglichen Risikoquellen berücksichtigen, bei Ereignissen wie unrechtmässigem Zugriff, unerwünschter Änderung und Verschwinden von Daten oder anderen Risikokonstellationen mögliche Auswirkungen auf die Rechte und Freiheiten der betroffenen Personen ermitteln, Bedrohungen, die zu unrechtmässigem Zugriff, unerwünschter Veränderung und das Verschwinden von Daten oder zu anderen Risikokonstellationen führen können, identifizieren und die Eintrittswahrscheinlichkeit und Schwere des Ereignisses bewerten.
Das Risiko bewertet sich nach dem Zusammenfallen der Eintrittswahrscheinlichkeit und Schwere eines bestimmten Ereignisses. Das Unternehmen muss eine objektive Bewertung der Risiken vornehmen. Es ist hilfreich, eine strukturierte Matrix zu verwenden, um über die Wahrscheinlichkeit und den Schweregrad von Risiken nachzudenken:
Schwere des Schadens s chwer
Geringes Risiko Hohes Risiko Hohes Risiko b edeu- tend
Geringes Risiko Mittleres Risiko Hohes Risiko m inimal
Geringes Risiko Geringes Risiko Geringes Risiko entfernt möglich wahrscheinlich Wahrscheinlichkeit eines Schadenseintritts
11. Identifizierung von Risikominderungsmassnahmen (Ziff. 6 Anhang 1)
Für jedes ermittelte Risiko ist die Ursache zu identifizieren und nachher zu eruieren, mit welchen Massnahmen das Risiko minimiert werden kann. Folgende Risikominderungsmassnahmen kommen beispielhaft in Betracht:
- Entscheidung, bestimmte Arten von Daten nicht zu erheben;
- Verringerung des Umfangs der Datenbearbeitung;
- Verkürzung der Aufbewahrungsfristen;
- Implementierung zusätzlicher technische Sicherheitsmassnahmen;
- Schulung des Personals, um sicherzustellen, dass Risiken antizipiert und bewältigt werden;
- Anonymisierung oder Pseudonymisierung von Daten, wo dies möglich ist;
- Erstellung interner Leitlinien oder Prozesse zur Vermeidung von Risiken;
- Verwendung einer anderen Technologie;
- Einführung klarer Vereinbarungen über die gemeinsame Nutzung von Daten bei einer JointController-Konstellation;
- Änderungen an den Datenschutzhinweisen vornehmen;
- den betroffenen Personen gegebenenfalls die Möglichkeit geben, die Datenbearbeitung abzulehnen (Opt-Out); oder
- Einführung neuer Systeme, die den betroffenen Personen bei der Ausübung ihrer Rechte helfen.
Diese Aufzählung ist nicht abschliessend
Es ist in Ziff. 6 Anhang 1 jeweils zu dokumentieren, ob eine Massnahme das Risiko verringern oder beseitigen würde. Das Unternehmen kann hierbei die Kosten und den Nutzen jeder Massnahme berücksichtigen, um zu entscheiden, ob sie angemessen ist oder nicht. Diese Überlegungen sind ebenfalls zu dokumentieren
12. Konsultation der zuständigen Datenschutzbehörde
Das Unternehmen lässt das Resultat der DSFA zuerst durch die Datenschutzkoordinationsstelle genehmigen, bevor es die zuständigen Datenschutzbehörden konsultiert
Die Datenschutzkoordinationsstelle entscheidet, ob eine Konsultation der zuständigen Datenschutzbehörde erforderlich ist. Im Allgemeinen muss eine Konsultation der zuständigen Datenschutzbehörde dann erfolgen, wenn sich aus der DSFA ergibt, dass die geplante Bearbeitung trotz der vorgesehenen Massnahmen noch ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person zur Folge hat
Gegebenenfalls kann die Datenschutzkoordinationsstelle die Meinung der betroffenen Personen oder ihrer Vertreter zu der geplanten Bearbeitung einholen. Die Datenschutzkoordinationsstelle entscheidet darüber, wie und wann eine solche Konsultation durchgeführt werden muss.
13. Regelmässige Überprüfung der DSFA
Das Unternehmen bzw. die zuständigen Mitarbeitenden müssen die DSFA regelmässig oder auf Anfrage der Datenschutzkoordinationsstelle überprüfen. Eine DSFA muss wiederholt werden, wenn sich die Art, der Umfang, der Kontext oder die Zwecke der Bearbeitungstätigkeit wesentlich ändern
Die Datenschutzkoordinationsstelle kann in einer Richtlinie die Periodizität für eine regelmässige Überprüfung von DSFA festlegen oder nach eigenem Ermessen vom Unternehmen verlangen, alle oder bestimmte DSFA zu überprüfen.
14. Zuständigkeiten
14.1 Geschäftsleitung
Die Geschäftsleitung legt den übergreifenden Rahmen für die Durchführung von DSFA fest. Sie ernennt eine (oder mehrere) datenschutzverantwortliche Person(en) – die Datenschutzkoordinationsstelle –, die als leitende, beratende und kontrollierende Instanz für die Durchführung von DSFA dient
14.2 Vorgesetzte
Die Vorgesetzten aller Stufen sind in ihren Verantwortungsbereichen für die Durchsetzung und Einhaltung der datenschutzrechtlichen Bestimmungen verantwortlich. Sie sorgen in Zusammenarbeit mit der Datenschutzkoordinationsstelle für die Schulung und Sensibilisierung ihrer Mitarbeitenden. Sie nehmen eine Vorbildfunktion wahr und fördern die Motivation der Mitarbeitenden, Massnahmen zum Datenschutz einzuhalten.
14.3 Mitarbeitende
Jeder Mitarbeitende hat dafür Sorge zu tragen, dass die Datenschutzkoordinationsstelle frühzeitig in die Planung von zukünftigen Bearbeitungstätigkeiten involviert wird In ihrem Verantwortungsbereich sind sie dafür verantwortlich, der Datenschutzkoordinationsstelle alle Informationen gemäss Anhang 1 zur Verfügung zu stellen. Mitarbeitende haben die Anweisungen der Datenschutzkoordinationsstelle zu befolgen.
14.4 Datenschutzkoordinationsstelle
Das Unternehmen hat eine Datenschutzkoordinationsstelle benannt. Die Datenschutzkoordinationsstelle ist die zentrale Anlaufstelle für Fragen des Datenschutzes und der Datensicherheit sowie die beratende Stelle, bei der Durchführung von DSFA. Sie kann via fbm@palace.ch oder Telefon unter 861 kontaktiert werden.
Die Datenschutzkoordinationsstelle ist dafür verantwortlich, dass DSFA gesetzeskonform durchgeführt und durchgeführte DSFA dokumentiert werden, um die Standards für die Rechenschaftspflicht zu erfüllen. Sie sorgt dafür, dass die Dokumentation zu erfolgten Meldungen während mindestens zwei Jahren aufbewahrt wird
Schweiz: Erfüllt die Datenschutzkoordinationsstelle die Anforderungen von Art. 10 Abs. 3 DSG, so kann das Unternehmen von einer Konsultation des EDÖB absehen nach Art. 23 Abs. 4 DSG absehen.
15. Sanktionen
Verstösse gegen diesen Leitfaden können disziplinarische Massnahmen, sowie zivil- und/oder strafrechtliche Verfahren nach sich ziehen.
16. Schlussbestimmungen
16.1 Änderungen und Ergänzungen
Dieser Leitfaden kann nur schriftlich durch einen Beschluss der Geschäftsleitung abgeändert, ergänzt oder aufgehoben werden. Als Änderung oder Ergänzung ist jegliche Hinzufügung, Streichung oder Modifikation einzelner Bestimmungen zu qualifizieren. Ausgenommen hiervon sind Berichtigungen formeller Art.
16.2 Ergänzende Dokumente
Dieser Leitfaden ist die Grundlage für die Durchführung einer DSFA Aufbauend darauf können weitere Dokumente entwickelt werden, die im Zusammenhang mit der Bearbeitung von Personendaten erforderlich sind, insbesondere benutzer- oder abteilungsspezifische Leitfäden.
16.3 Integrierte Bestimmungen
Die folgenden Anhänge sind Bestandteil dieses Leitfadens:
Anhang 1: DSFA-Fragebogen
Anhang 2: Beispiele
Im Falle von Widersprüchen ist dieser Leitfaden massgebend.
16.4 Sonstiges
Dieser Leitfaden ist allen Mitarbeitenden über das bestehende Weisungswesen des Unternehmens oder über andere Kanäle gemäss Entscheidung der Datenschutzkoordinationsstelle zugänglich.
Änderungen oder Ergänzungen zu diesem Leitfaden treten im Moment der Veröffentlichung auf https://issuu.com/gstaadpalace/docs/leitfaden_datenschutz-folgenabsch_tzung_de_11.01.?fr=sNWM1ZjY5Mjg5ODA in Kraft.
16.5 Datum des Inkrafttretens
Dieser Leitfaden tritt am Montag, 13. Januar 2025 in Kraft.
Anhang 1
DSFA-Fragebogen
1. Angaben zum Verantwortlichen oder den Verantwortlichen (für jede Bearbeitung ausfüllen)
Name des oder den Verantwortlichen
Name und Kontakt des oder der Datenschutzbeauftragten (sofern vorhanden)
Name der Kontaktperson(en) des oder der für die Bearbeitung Verantwortlichen
2. Vorprüfung: gesetzliche Pflicht zur Durchführung einer DSFA? (für jede Bearbeitung ausfüllen)
Erläutern Sie in groben Zügen, was Ihr Projekt erreichen soll und welche Art der Datenbearbeitung es beinhaltet. Beschreiben Sie, ob die Bearbeitung voraussichtlich ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person zur Folge hat, unter Berücksichtigung der Art, des Umfangs, des Kontexts und der Zwecke der Bearbeitung. Im Zweifelsfall ist eine DSFA durchzuführen. Wenn Sie sich auf Beispiele aus Guidelines, Checklisten oder Anhang 2 stützen, beschreiben Sie inwiefern sich die konkrete Bearbeitung von den hinzugezogenen Beispielen unterscheiden oder ähnlich sind. Wichtig ist, die Gründe für oder gegen die Durchführung einer DSFA zu dokumentieren, auch dann, wenn Sie zum Schluss kommen, dass keine DSFA durchgeführt werden muss.
3. Beschreiben Sie die Datenbearbeitung (ab hier nur ausfüllen, wenn eine DSFA durchgeführt werden muss)
Beschreiben Sie die Art der Datenbearbeitung (Der Grossteil der hier gefragten Informationen sollte aus dem Verzeichnis über die Bearbeitungstätigkeiten entnommen werden können):
Worum geht es bei der Datenbearbeitung stichwortartig? Welche Arten von Datenbearbeitungen werden durchgeführt (Erhebung, Bekanntgabe, Aufbewahrung, Löschung etc.)?
Welche Bearbeitungen, die als wahrscheinlich risikoreich eingestuft wurden, werden vorgenommen?
Aus welcher Quelle stammen die Daten?
Werden die Daten mit Dritten geteilt und wenn ja, mit welchen? Bitte fügen Sie Diagramme oder andere Datenflussdokumentationen bei.
Beschreiben Sie den Umfang der Bearbeitung:
Wie viele Daten werden bearbeitet und wie oft?
Wie lange werden die Daten aufbewahrt?
Wie viele Personen sind von der Bearbeitungstätigkeit betroffen?
Werden auch Personendaten aus anderen Jurisdiktionen bearbeitet (z.B. aus der EU) und wenn ja, welche Länder sind betroffen?
Beschreiben Sie den Kontext der Bearbeitung:
Welcher Natur ist das Verhältnis zwischen dem Unternehmen und den betroffenen Personen? Welche Kontrolle haben die betroffenen Personen über die Datenbearbeitung?
Was sind die vernünftigen Erwartungen der betroffenen Personen? Müssen die betroffenen Personen diese Art von Datenbearbeitungen vernünftigerweise erwarten?
Werden Personendaten von Kindern oder anderen besonders schutzbedürftigen Personen bearbeitet?
Gab es frühere Bedenken gegen diese Art der Bearbeitung oder gibt es Bedenken bezüglich allfälliger Sicherheitsmängel?
Ist die Bearbeitungstätigkeit in irgendeiner Weise neu?
Was ist der aktuelle Stand der Technik in diesem Bereich?
Hat sich das Unternehmen (oder allfällige Subunternehmer) einem genehmigten Verhaltenskodex oder einem Zertifizierungssystem angeschlossen (sobald ein solches von den Datenschutzbehörden genehmigt wurde)?
Gibt es aktuelle Themen von öffentlichem Interesse im Zusammenhang mit der geplanten Datenbearbeitung, die berücksichtigt werden sollten?
Beschreiben Sie den Zweck der Bearbeitung:
Was soll mit der Bearbeitungstätigkeit erreicht werden?
Was ist die beabsichtigte Wirkung auf die betroffenen Personen?
Was sind die Vorteile der Bearbeitung?
4. Bewertung der Notwendigkeit und Verhältnismässigkeit
Beschreiben Sie insbesondere die Massnahmen zur Einhaltung der datenschutzrechtlichen Vorschriften und zur Wahrung der Verhältnismässigkeit der Bearbeitungstätigkeit:
Wie wird die Einhaltung der Datenbearbeitungsgrundsätze sichergestellt (Rechtmässigkeit der Datenbearbeitung, Treu und Glauben bei der Datenbearbeitung, Zweckbindungsgebot, Verhältnismässigkeitsgrundsatz, Datenrichtigkeit, Datensicherheit)?
DSG: Falls die Datenbearbeitungsrundsätze nicht eingehalten werden: Welcher Rechtfertigungsgrund nach Art. 31 DSG ist anwendbar?
DSGVO: Welche rechtliche Grundlage im Sinne von Art. 6 DSGVO (Einwilligung, Gesetz, berechtigtes Interesse, Erfüllung einer vertraglichen Pflicht) ist für die Datenbearbeitung einschlägig?
Erreicht die Bearbeitung tatsächlich ihren Zweck?
Gibt es eine andere Möglichkeit, um das gleiche Ergebnis zu erzielen?
Wie werden sog. Function Creeps, d.h. schleichende Funktionserweiterungen bei Software / Applikationen, vermieden oder überwacht?
Wie werden die Datenqualität und die Datenminimierung sichergestellt?
Welche Informationen werden den betroffenen Personen zur Verfügung gestellt?
Wie wird sichergestellt, dass die betroffenen Personen ihre Rechte ausüben können (z.B. das Auskunftsrecht)?
Welche technischen und organisatorischen Massnahmen werden zum Schutz der Personendaten umgesetzt?
Welche Massnahmen werden ergriffen, um sicherzustellen, dass ggf. eingesetzte Auftragsbearbeiter die datenschutzrechtlichen Vorschriften einhalten?
Welche Garantien werden eingesetzt, um sicherzustellen, dass Personendaten, die ins Ausland bekanntgegeben werden, ein angemessenes Datenschutzniveau geniessen?
5. Identifizierung
und
Bewertung von Risiken
Beschreibung der Risiken und Auswirkungen auf die betroffenen Personen
Gegebenenfalls sind damit verbundene Compliance- und Unternehmensrisiken einzubeziehen.
Wahrscheinlichkeit eines Schadenseintritts
Schwere des Schadens
Gesamtrisiko entfernt möglich wahrscheinlich m inimal b edeutend s chwer n iedrig m ittel h och
6. Massnahmen zur Risikominderung
Zusätzliche Massnahmen, die ergriffen werden können, um die in Ziffer 5 als mittleres oder hohes Risiko eingestuften Risiken zu verringern oder zu beseitigen
Risiko
Technische oder organisatorische Massnahmen zur Verringerung oder Beseitigung der bestehenden Risiken
Auswirkungen auf das Risiko
Verbleibendes Risiko Massnahme genehmigt
7. Genehmigung und Dokumentation der Ergebnisse der DSFA
Name/Funktion/Datum
Bemerkung
Massnahmen genehmigt durch:
Restrisiken genehmigt durch:
Zuständige Person der Datenschutzkoordinationsstelle:
Integrieren Sie die Massnahmen in den Projektplan
Wenn trotz der getroffenen Massnahmen ein hohes Restrisiko besteht, muss die zuständige Datenschutzbehörde vor der Umsetzung der Bearbeitungstätigkeit konsultiert werden.
Die Datenschutzkoordinationsstelle trägt zur Einhaltung der Vorschriften und zur Umsetzung der Massnahmen aus Ziffer 6 bei und gibt eine Empfehlung zur Durchführung der Bearbeitungstätigkeit ab
Zusammenfassung der Empfehlungen der Datenschutzkoordinationsstelle:
Empfehlung der Datenschutzkoordinationstelle angenommen oder abgelehnt von:
Kommentare:
Die Antworten aus der Konsultation der zuständigen Datenschutzbehörde wurden überprüft von:
Kommentare:
Diese DSFA wird laufend überprüft durch:
Wenn die Empfehlungen abgelehnt werden, müssen die Gründe dafür angegeben werden.
Die Datenschutzkoordinationsstelle sollte auch die laufende Einhaltung der DSFA überprüfen.
Anhang 2
Beispiele zur Frage der Erforderlichkeit der Durchführung einer DSFA
Die in diesem Anhang aufgeführte Liste stellt einen Zusammenzug der Beispiele aus verschiedenen Guidelines dar, ohne jegwelchen Anspruch auf Vollständigkeit In jedem Fall ist im Einzelfall zu prüfen, ob die für die konkrete Datenbearbeitung zuständigen Behörden eine eigene Liste veröffentlicht haben. Die Hinzuzug von Beispielen zur Beurteilung, ob eine DSFA durchgeführt werden muss oder nicht, ist unter der Ziff. 2 des Anhangs 1 zu dokumentieren
Beispiel
Entscheidungen über den Zugang einer betroffenen Person zu einem Produkt oder einer Dienstleistung, die in irgendeinem Umfang auf einer automatisierten Einzelentscheidung (einschliesslich Profiling) beruhen oder die Bearbeitung besonders schützenswerter Personendaten beinhalten.
Der Einsatz innovativer Technologien wie KI, intelligenter Verkehrssysteme, intelligenter Technologien (Smartwatches oder Wearables) oder Marktforschung, bei der Neuro-Messungen wie die Analyse emotionaler Reaktionen eingesetzt werden.
Der Einsatz eines Kamerasystems zur Überwachung des Kundenverhaltens in Ladenlokalen durch ein intelligentes Videoanalysesystem, um Kunden zu erkennen und ihnen auf der Grundlage des vorhandenen Profils massgeschneiderte Dienstleistungen anzubieten.
Systematische Überwachung der Aktivitäten der Mitarbeitenden, einschliesslich der Überwachung des Arbeitsplatzes, der Internetaktivitäten usw.
Das Sammeln von öffentlichen Social-Media-Daten zur Erstellung von Profilen. Ja
Eine E-Commerce-Website, auf der Anzeigen für bestimmte Produkte oder Dienstleistungen geschaltet werden, die auf der Grundlage der auf derselben Website angesehenen oder gekauften Artikel ausgewählt werden
Ein Online-Magazin, das eine Mailingliste verwendet, um eine allgemeine tägliche Zusammenfassung (der wichtigsten Neuigkeiten) an seine Abonnenten zu senden
Nein
erforderlich?
Nein