Seit dem 1. Januar 2024 muss gemäss Art. 30b GIDA für jede geplante Datenbearbeitung, die ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringt, eine Datenschutz-Folgenabschätzung (DSFA) erstellt werden.

Als Arbeitsinstrument des modernen Datenschutzrechts zielt die DSFA darauf ab, die Rechte der betroffenen Personen in der sozialen Realität der Digitalisierung sicherzustellen. Die DSFA betrifft daher sowohl neue Bearbeitungen von Personendaten als auch die Weiterentwicklung oder Erweiterung einer vorbestehenden Datenbearbeitung.

Zweck einer DSFA ist es, bereits im Vorfeld die mit einem Projekt verbundenen hohen Risiken zu identifizieren, die sich durch ihre Eintrittswahrscheinlichkeit und – aufgrund der Einstufung als «hoch» – durch die Schwere ihrer Auswirkungen auszeichnen.

Die DSFA beschränkt sich nicht nur auf die Voraussehbarkeit und Bewertung hoher Risiken. Ihr praktischer Nutzen liegt vielmehr auch darin, die Herleitung und Analyse systemischer und sicherheitstechnischer Risiken nachvollziehbar zu dokumentieren und durch geeignete Massnahmen auf ein datenschutzrechtlich vertretbares Niveau zu reduzieren

Um die Behörden in diesem Rahmen zu unterstützen, hat unsere Behörde eine Reihe von Dokumenten in diesem Zusammenhang entwickelt, welche frei übernommen werden können.