Risiko

Datenschutz-Folgenabschätzung (DSFA): Wann ist sie Pflicht und wie führe ich sie durch?

ComplianceCore Editorial··8 min read

Eine Datenschutz-Folgenabschätzung (DSFA) ist nach Art. 22 DSG Pflicht, wenn eine geplante Datenverarbeitung voraussichtlich ein hohes Risiko für die Persönlichkeit oder die Grundrechte der Betroffenen darstellt. Drei Situationen lösen die Pflicht typischerweise aus: die grossflächige Bearbeitung besonders schützenswerter Daten, die systematische Überwachung öffentlicher Bereiche und Hochrisiko-Profiling. Die DSFA muss vor Beginn der Verarbeitung durchgeführt werden.

Art. 22

Rechtsgrundlage DSFA im revDSG

3

Hauptauslöser für DSFA-Pflicht

3 Mt.

EDÖB-Konsultationsfrist (falls nötig)

Wann ist eine DSFA Pflicht?

Art. 22 Abs. 2 DSG nennt drei Hauptauslöser. Trifft einer davon zu, ist die DSFA vor Beginn der Verarbeitung durchzuführen.

1

Grossflächige Bearbeitung besonders schützenswerter Personendaten

Besonders schützenswert: religiöse/politische Ansichten, Gesundheit, Intimsphäre, Rasse/Ethnie, genetische und biometrische Daten, Massnahmen der sozialen Hilfe, strafrechtliche Verfolgungen. «Grossflächig» orientiert sich an Anzahl Betroffener, Dauer und Umfang — kein fixer Grenzwert.

2

Systematische Überwachung grosser Teile öffentlicher Bereiche

Stadtweite Videoüberwachung, flächendeckendes WLAN-Tracking in Einkaufszentren, automatisierte Kennzeichenerfassung im öffentlichen Raum.

3

Profiling mit hohem Risiko (Art. 5 lit. f DSG)

Wenn aus automatisierten Datenverarbeitungen Schlüsse gezogen werden, die eine Person wesentlich betreffen. Beispiele: automatisierte Kreditentscheidungen, algorithmisches Personalscreening, verhaltensbasiertes Versicherungspricing.

ℹ️

Ausnahmen: Keine DSFA nötig bei Verarbeitung auf Basis eines anerkannten Verhaltenskodex (Art. 11 DSG) oder mit einem zertifizierten System (Art. 13 DSG). In der Praxis selten anwendbar.

DSFA durchführen: 7 Schritte

1

Trigger-Prüfung

Liegt ein Hochrisiko-Szenario vor? Besonders schützenswerte Daten in grossem Massstab, systematische Überwachung öffentlicher Räume oder Profiling mit hohem Risiko?

2

Verarbeitung beschreiben (Art. 14 Abs. 2 DSV)

Zweck und Art der Datenbearbeitung, Kategorien betroffener Personen, Empfänger, Aufbewahrungsdauer, eingesetzte Technologien, geografische Ausdehnung.

3

Risikobeurteilung

Für jedes Risiko (unbefugter Zugriff, Datenpanne, Missbrauch, Auslandübermittlung): Wahrscheinlichkeit × Schwere = Risikoniveau (gering / mittel / hoch).

4

Massnahmen definieren

Technisch: Verschlüsselung, Zugangskontrolle, Pseudonymisierung. Organisatorisch: Schulungen, AVV, Zugangsprotokolle, Löschkonzept. Rechtlich: Einwilligungen, Informationspflichten.

5

Restrisiko beurteilen

Verbleibt nach Massnahmen ein hohes Restrisiko? Wenn ja → Schritt 6 (EDÖB-Konsultation). Wenn nein → DSFA abschliessen und Verarbeitung starten.

6

EDÖB-Konsultation (falls nötig, Art. 23 DSG)

Bei nicht eliminierbarem hohem Restrisiko: EDÖB konsultieren. Empfehlung innerhalb 3 Monaten. Verarbeitung darf in dieser Zeit nicht starten.

7

Dokumentieren und aktualisieren

DSFA schriftlich festhalten und aufbewahren. Bei wesentlichen Änderungen (neuer Anbieter, neue Datenkategorien, neue Zwecke) aktualisieren.

Praxisbeispiele

DSFA nötig: Biometrisches Zeiterfassungssystem (300 Mitarbeitende)

Biometrische Daten sind besonders schützenswert. 300 Mitarbeitende ist ein relevanter Massstab. → DSFA-Pflicht. Massnahmen: Verschlüsselte Template-Speicherung (nicht Rohdaten), Zweckbindung ausschliesslich Zeiterfassung, freiwillige PIN-Alternative, Löschkonzept bei Austritt.

Keine DSFA nötig: Standard-HR-Software (Treuhandbüro, 15 Mitarbeitende)

Zwar werden Gesundheitsdaten (Krankmeldungen) bearbeitet — aber nicht im grossflächigen Massstab. Kein automatisiertes Profiling, keine Überwachung öffentlicher Räume. → Keine DSFA erforderlich. Aber: Privacy-by-Design-Prüfung und AVV mit dem Anbieter bleiben Pflicht.

Entscheidungsbaum: Brauche ich eine DSFA?

?Besonders schützenswerte Daten (Gesundheit, Biometrie etc.) in grossem Massstab?
JA → DSFA PFLICHT ✓
NEIN → Intensität prüfen; wahrscheinlich keine DSFA
?Systematische Überwachung öffentlicher Räume?
JA → DSFA PFLICHT ✓
?Automatisierte Entscheidungen mit wesentlichen Auswirkungen (Profiling mit hohem Risiko)?
JA → DSFA PFLICHT ✓
Keiner der obigen Punkte → Wahrscheinlich keine DSFA erforderlich. Privacy by Design + VVT bleiben Pflicht!

Häufige Fragen

Unterscheidet sich die DSFA im revDSG von der DPIA in der DSGVO?+
Im Wesentlichen sind beide Instrumente vergleichbar. Der Hauptunterschied: Das revDSG setzt die Schwelle höher — «hohes Risiko» statt «wahrscheinliches Risiko» bei der DSGVO. Unternehmen mit bestehenden DSGVO-DPIAs können diese als Grundlage nutzen — mit Anpassungen für den Schweizer Rechtsrahmen.
Muss die DSFA intern durchgeführt werden?+
Nein. Beide Optionen sind möglich. Die Verantwortung liegt beim Verantwortlichen, unabhängig davon, wer die DSFA durchführt. Externe Datenschutzberater können wertvolle Perspektiven einbringen — insbesondere bei KI-Systemen oder komplexen Technologien.
Was passiert, wenn ich eine Verarbeitung ohne erforderliche DSFA starte?+
Das Unterlassen einer erforderlichen DSFA ist ein Datenschutzverstoss. Sie erhöht das Risiko, dass andere strafbewehrte Verstösse schwerwiegender beurteilt werden. Zudem kann der EDÖB die nachträgliche Durchführung verfügen.
Gilt die DSFA-Pflicht auch für Bestandsprojekte vor 2023?+
Das revDSG sieht keine rückwirkende DSFA-Pflicht für laufende Verarbeitungen vor. Empfohlen wird dennoch, Hochrisikoverarbeitungen anlässlich von grösseren Änderungen oder zyklisch zu überprüfen.
Muss der EDÖB immer konsultiert werden?+
Nein. Die EDÖB-Konsultation nach Art. 23 DSG ist nur erforderlich, wenn nach der DSFA ein verbleibendes hohes Risiko nicht eliminiert werden kann. Bei erfolgreichen Massnahmen zur Risikominimierung gibt es keine Konsultationspflicht.

DSFA strukturiert durchführen

ComplianceCore stellt DSFA-Templates bereit, die Sie Schritt für Schritt durch die Risikobeurteilung führen — direkt verknüpft mit Ihren VVT-Einträgen.

Jetzt Beta-Zugang sichern →

This content is for informational purposes only and does not constitute legal advice.

Related Articles

Pflichten

Privacy by Design & Privacy by Default: Praktische Umsetzung für KMU

Read article →
Risiko

Bussen und persönliche Haftung unter dem revDSG: Was Geschäftsführer wissen müssen

Read article →
Praxis

Datenschutzberater nach revDSG: Braucht mein Unternehmen einen?

Read article →