Datenschutz-Folgenabschätzung (DSFA)

Eine Datenschutz-Folgenabschätzung dient dazu, eine datenschutzkonforme Bearbeitung von Personendaten zu gewährleisten. Sie ist durchzuführen, wenn Organe beabsichtigen, Daten einer grösseren Anzahl Personen mit elektronischen Mitteln zu bearbeiten.

Ablauf einer Datenschutz-Folgenabschätzung

Eine Datenschutz-Folgenabschätzung (DSFA) umfasst folgende Prozessschritte und Dokumente:
 

Initialisierungsphase
 

  1. Erstellen der Rechtsgrundlagenanalyse
    Gibt Auskunft, ob für eine geplante oder geänderte Datenbearbeitung ausreichende Rechtsgrundlagen vorliegen oder ob neue geschaffen werden müssen (Legalitätsprinzip). Die Rechtsgrundlagenanalyse muss vom zuständigen Rechtsdienst erstellt werden.

 

  1. Erstellen der Schutzbedarfsanalyse
    Gibt Auskunft über die Art der bearbeiteten Personendaten und legt den Grundstein für die Anforderungen an den Datenschutz und die Informationssicherheit. Mit ihrer Hilfe kann auch beurteilt werden, ob für eine geplante Datenbearbeitung eine DSFA – Risikoanalyse und ein ISDS-Konzept erstellt werden müssen (siehe Konzeptphase).

 

Konzeptphase

 

  1. Erstellen der DSFA – Risikoanalyse
    Gibt Auskunft über die Risiken der Datenbearbeitung für die Grundrechte der betroffenen Personen. Die Risiken werden identifiziert und bewertet. Es werden geeignete Massnahmen festgelegt, um die Risiken zu eliminieren oder zu minimieren. Die DSFA – Risikoanalyse muss von der zuständigen Amtsleiterin oder dem zuständigen Amtsleiter unterzeichnet werden (in den Gemeinden: der Amtsleitung entsprechende Funktion).

 

  1. Soweit notwendig - Erstellen eines Informationssicherheits- und Datenschutzkonzepts (ISDS-Konzept)
    Gibt Auskunft über die Details der Datenbearbeitung, die Fachanwendung, mit der die Datenbearbeitung betrieben werden soll und über die ICT-Umgebung, in der die Datenbearbeitung stattfindet. Sie dient zudem der detaillierten Dokumentation der technischen und organisatorischen Massnahmen zur Eliminierung oder Minimierung von Datenschutz- und Informationssicherheitsrisiken.

 

Die Behörde legt der Datenschutzstelle die erstellten Dokumente zur Vorabkonsultation vor, soweit dies erforderlich ist (siehe Vorabkonsultation).

Ablauf einer Datenschutz-Folgenabschätzung (DSFA) - Version 2023-09-20

Einbettung der Datenschutz-Folgenabschätzung (DSFA) in ein Projektvorhaben

Projektablauf

Die Datenschutzstelle, das AIO sowie der CISO haben ihre jeweiligen Prozesse aufeinander abgestimmt. Damit sollen Redundanzen möglichst vermieden werden. Der Gesamtprozess sieht wie folgt aus:

Gesamtprozess im Zusammenspiel von DATS, AIO(IT) und CISO

Projektablauf: Koordination DSFA mit IT/Kontrollen CISO

Verhältnis DSFA-Risikoanalyse zu ISDS-Konzept

Grafik bezüglich Beziehung der DSFA-Risikoanalyse mit dem ISDS-Konzept

Verhältnis DSFA-Risikoanalyse zu ISDS-Konzept

Vorlagen

Hilfsmittel für die Durchführung einer Datenschutz-Folgenabschätzung (DSFA) und Vorabkonsultation finden Sie nachfolgend:

Kontakt

Datenschutzstelle

Kontaktformular
Seestrasse 2, Postfach
6301 Zug