Informationen für Bundesorgane

Das neue Datenschutzrecht sieht einige besonderen Anforderungen für Bundesorgane vor. Verschiedene Dokumente mit allgemeinen oder spezifischen Ausführungen werden den Bundesorganen zur Verfügung gestellt. Diese sollen insbesondere bei der Ausarbeitung von Rechtsgrundlagen zur Datenbearbeitung nützlich sein.

© Talaj / Creative #: 1133677917

Allgemeine Dokumentation

Ein Gesetzgebungsleitfaden zum Datenschutz zeigt die Auswirkungen des neuen Datenschutzgesetzes auf die Erarbeitung von Rechtsgrundlagen. Der Leitfaden enthält unter anderem eine Checkliste mit den Fragen, die bei der Erarbeitung von Rechtsgrundlagen für die Bearbeitung von Personendaten zu beantworten sind:

In einem allgemeinen Dokument werden die wichtigsten Änderungen des neuen Datenschutzgesetzes im Hinblick auf die Erarbeitung von Rechtsgrundlagen zur Datenbearbeitung erläutert:

Dokumentation zur Datenschutz-Folgenabschätzung (DSFA)

Zu den neuen Aufgaben der Bundesorgane gehört unter anderem, dass eine Datenschutz-Folgenabschätzung durchgeführt werden muss, wenn eine geplante Bearbeitung ein hohes Risiko für die Grundrechte der betroffenen Person mit sich bringen kann.

DSFA-Richtlinien

Die am 28. Juni 2023 angenommenen "Richtlinien des Bundesrates für die Risikovorprüfung und die Datenschutz-Folgenabschätzung bei Datenbearbeitungen durch die Bundesverwaltung" (DSFA-Richtlinien) regeln die Einbettung einer DSFA in das Rechtsetzungsverfahren des Bundes sowie die Koordination mit der Projektmanagementmethode HERMES. Die Richtlinien sind am 1. September 2023 in Kraft getreten, zeitgleich mit dem neuen Datenschutzrecht (Bundesgesetz über den Datenschutz (DSG) vom 25. September 2022, sowie der Verordnung über den Datenschutz (DSV) und der Verordnung über die Datenschutzzertifizierungen ((VDSZ), beide vom 31. August 2022).

Die Richtlinien gelten für die Verwaltungseinheiten der zentralen Bundesverwaltung nach Artikel 7 der Regierungs- und Verwaltungsorganisationsverordnung (RVOV).

Die Verwaltungseinheiten der dezentralen Bundesverwaltung (nach Art. 7a RVOV) unterliegen ebenso wie die mit einer öffentlichen Aufgabe des Bundes betrauten Personen zwar nicht den DSFA-Richtlinien, sind aber gleichwohl zur Einhaltung des Datenschutzgesetzes verpflichtet, wenn sie mit öffentlichen Aufgaben des Bundes betraut sind (vgl. Art. 5 Bst. i des neuen DSG, in dem ein Bundesorgan als "Behörde oder Dienststelle des Bundes oder Person, die mit öffentlichen Aufgaben des Bundes betraut ist" definiert ist). Die verschiedenen Organe müssen eine DSFA durchführen, wenn die Voraussetzungen nach Artikel 22 des neuen DSG erfüllt sind. Dabei bleibt es ihnen vorbehalten, auf die Bestimmungen der DSFA-Richtlinien zurückzugreifen. Dies kann insbesondere bei Anwendung der HERMES Methode von grossem Nutzen sein, da die darin vorgesehenen Koordinationsnormen Doppelspurigkeiten verhindern können. Tatsächlich sind einige Elemente von HERMES integraler Bestandteil der DSFA. Zudem enthalten die unten aufgeführten Begleitdokumente des BJ weitere nützliche und praktische Informationen zur Durchführung der DSFA.

Private Datenbearbeiter können, da sie wie die Bundesorgane dem neuen DSG unterliegen und verpflichtet sind, bei Erfüllung der gesetzlichen Voraussetzungen eine DSFA durchzuführen, die auf dieser Website zur Verfügung gestellten Hilfsmittel bei Bedarf ebenfalls nutzen.

Risikovorprüfung

Um festzustellen, ob eine DSFA erforderlich ist, muss die zuständige Verwaltungseinheit bestimmen, ob die geplante Bearbeitung von Personendaten ein hohes Risiko für die Grundrechte der betroffenen Person mit sich bringen kann, insbesondere für ihr Recht auf informationelle Selbstbestimmung und ihr Recht auf Privatsphäre. Von einem hohen Risiko ist auszugehen, wenn die geplante Bearbeitung dazu führen könnte, dass die Freiheit der betroffenen Person, über ihre Personendaten zu verfügen, in erheblichem Masse eingeschränkt wird. Zur Bewertung des Risikos hat das Bundesamt für Justiz ein Instrument zur Risikovorprüfung entwickelt, das unter folgendem Link heruntergeladen werden kann:

Mithilfe dieses Instruments kann die zuständige Verwaltungseinheit die Art, den Umfang, die Umstände und den Zweck der geplanten Bearbeitung bestimmen und dabei das Risiko für die Grundrechte der betroffenen Personen bewerten.

Die DSFA-Richtlinien regeln die Einbettung einer DSFA in das Rechtsetzungsverfahren des Bundes sowie die Koordination mit der Projektmanagementmethode HERMES:

  • Koordination mit dem Rechtsetzungsverfahren (Ziff. 4.1 DSFA-Richtlinien):
     
    Wird ein Rechtsetzungsverfahren durchgeführt, d. h. wenn die Bearbeitung von Personendaten einen neuen Erlass oder die Änderung eines Erlasses (Gesetz, Verordnung) erfordert, so ist das vollständig ausgefüllte Instrument für die Risikovorprüfung den Unterlagen zur Ämterkonsultation beizulegen. Bei mehreren Ämterkonsultationen, insbesondere aufgrund eines Vernehmlassungsverfahrens (Art. 3 Abs. 1 und 2 Vernehmlassungsgesetz, VlG), muss die Risikovorprüfung noch vor der ersten Ämterkonsultation, oder spätestens vor der Ämterkonsultation, die der Eröffnung des Vernehmlassungsverfahrens vorausgeht, durchgeführt werden. Ergibt sich nach der Risikovorprüfung die Notwendigkeit einer DSFA, so müssen statt dem ausgefüllten Instrument für die Risikoprüfung die Ergebnisse der DSFA den Unterlagen zur Ämterkonsultation beigelegt werden.

  • Koordination mit HERMES (Ziff. 5.1 DSFA-Richtlinien):
     
    Wird ein Projekt nach HERMES durchgeführt, ist die Risikovorprüfung zur selben Zeit wie die Rechtsgrundlage- und die Schutzbedarfsanalyse vorzunehmen. Die Risikovorprüfung wird mit dem Instrument für Risikovorprüfung durchgeführt. Es ist geplant, die Risikovorprüfung in die Schutzbedarfsanalyse zu integrieren, so dass zukünftig nur ein Dokument ausgefüllt werden muss, um das mit der Datenbearbeitung zusammenhängende Risiko zu analysieren.

Datenschutz-Folgenabschätzung (DSFA)

Wenn ein hohes Risiko für die Grundrechte der betroffenen Person besteht, führt die zuständige Verwaltungseinheit eine DSFA durch. Ein Leitfaden zur Durchführung der DSFA kann unter folgendem Link heruntergeladen werden:

Der DSFA-Leitfaden enthält nützliche Informationen zur Durchführung der DSFA und den Elementen, die sie enthalten muss. Für Umsetzungsfragen bezüglich der DFSA sowie die Aufsicht ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte zuständig. Das BJ macht diesbezüglich keine Beratung.

Die DSFA-Richtlinien regeln die Einbettung einer DSFA in das Rechtsetzungsverfahren des Bundes sowie die Koordination mit der Projektmanagementmethode HERMES:

  • Koordination mit dem Rechtsetzungsverfahren (Ziff. 4.2 DSFA-Richtlinien):
     
    Wird ein Rechtsetzungsverfahren durchgeführt, d. h. wenn die Bearbeitung von Personendaten einen neuen Erlass oder die Änderung eines Erlasses (Gesetz, Verordnung) erfordert, so sind die Ergebnisse aus der DSFA den Unterlagen zur Ämterkonsultation beizulegen. Bei mehreren Ämterkonsultationen, insbesondere aufgrund eines Vernehmlassungsverfahrens (Art. 3 Abs. 1 und 2 Vernehmlassungsgesetz, VlG), muss die DSFA noch vor der ersten Ämterkonsultation, oder spätestens vor der Ämterkonsultation, die der Eröffnung des Vernehmlassungsverfahrens vorausgeht, durchgeführt werden.

    Die Ergebnisse umfassen insbesondere die festgestellten Risiken, die vorgesehenen Massnahmen sowie die verbleibenden Restrisiken.
     
    Falls die geplante Bearbeitung von Personendaten ein Rechtsetzungsverfahren erfordert und auch im Rahmen eines Projekts nach HERMES (siehe unten) erfolgt, so können die Ergebnisse entweder in einem eigenen Dokument (erste Variante) oder als Auszug aus dem vom NCSC erarbeiteten Dokument dem ISB-Dokument (zweite Variante) beigelegt werden.
     
  • Koordination mit HERMES (Ziff. 5.2 DSFA-Richtlinien):
     
    Wird ein Projekt nach HERMES durchgeführt (ohne Rechtsetzungsverfahren) und hat die Risikovorprüfung oder die Schutzbedarfsanalyse ergeben, dass ein hohes Risiko für die Grundrechte der betroffenen Person besteht, so liegt ein erhöhter Schutzbedarf im Sinne der Schutzbedarfsanalyse nach den Sicherheitsverfahren der Bundesverwaltung vor.
     
    Im Rahmen eines Projekts nach HERMES kann die DSFA auf zwei verschiedene Arten dokumentiert werden:

    • entweder in verschiedenen Dokumenten (Ziff. 5.2 Abs. 5 DSFA-Richtlinien), nämlich: die Rechtsgrundlagenanalyse und die Instrumente, die bei Vorliegen eines erhöhten Schutzbedarfs erstellt werden (Ziff. 5.2 Abs. 3 DSFA-Richtlinien) und einem zusätzlichen Dokument in dem die Risiken bewertet werden, die noch nicht mittels der Instrumente, die bei Vorliegen eines erhöhten Schutzbedarfs erstellt werden, bewertet wurden (Ziff. 5.2 Abs. 4 DSFA-Richtlinien);
       
    • oder in dem vom NCSC erarbeiteten Dokument, welche enthält: die Rechtsgrundlagenanalyse und die Instrumente, die bei Vorliegen eines erhöhten Schutzbedarfs erstellt werden, sowie die Bewertung der Risiken, die noch nicht mittels der Instrumente, die bei Vorliegen eines erhöhten Schutzbedarfs erstellten werden, beurteilt wurden (Ziff. 5.2 Abs. 3, 4 und 5 DSFA-Richtlinien).

Letzte Änderung 03.06.2024

Zum Seitenanfang