Informationen für Bundesorgane

Das neue Datenschutzrecht sieht einige besonderen Anforderungen für Bundesorgane vor. Verschiedene Dokumente mit allgemeinen oder spezifischen Ausführungen werden den Bundesorganen zur Verfügung gestellt. Diese sollen insbesondere bei der Ausarbeitung von Rechtsgrundlagen zur Datenbearbeitung nützlich sein.

Dokumentation zur Datenschutz-Folgenabschätzung (DSFA)

Zu den neuen Aufgaben der Bundesorgane gehört unter anderem, dass eine Datenschutz-Folgenabschätzung durchgeführt werden muss, wenn eine geplante Bearbeitung ein hohes Risiko für die Grundrechte der betroffenen Person mit sich bringen kann.

DSFA-Richtlinien

Die am 28. Juni 2023 angenommenen "Richtlinien des Bundesrates für die Risikovorprüfung und die Datenschutz-Folgenabschätzung bei Datenbearbeitungen durch die Bundesverwaltung" (DSFA-Richtlinien) regeln die Einbettung einer DSFA in das Rechtsetzungsverfahren des Bundes sowie die Koordination mit der Projektmanagementmethode HERMES. Die Richtlinien sind am 1. September 2023 in Kraft getreten, zeitgleich mit dem neuen Datenschutzrecht (Bundesgesetz über den Datenschutz (DSG) vom 25. September 2022, sowie der Verordnung über den Datenschutz (DSV) und der Verordnung über die Datenschutzzertifizierungen ((VDSZ), beide vom 31. August 2022).

Die Richtlinien gelten für die Verwaltungseinheiten der zentralen Bundesverwaltung nach Artikel 7 der Regierungs- und Verwaltungsorganisationsverordnung (RVOV).

Die Verwaltungseinheiten der dezentralen Bundesverwaltung (nach Art. 7a RVOV) unterliegen ebenso wie die mit einer öffentlichen Aufgabe des Bundes betrauten Personen zwar nicht den DSFA-Richtlinien, sind aber gleichwohl zur Einhaltung des Datenschutzgesetzes verpflichtet, wenn sie mit öffentlichen Aufgaben des Bundes betraut sind (vgl. Art. 5 Bst. i des neuen DSG, in dem ein Bundesorgan als "Behörde oder Dienststelle des Bundes oder Person, die mit öffentlichen Aufgaben des Bundes betraut ist" definiert ist). Die verschiedenen Organe müssen eine DSFA durchführen, wenn die Voraussetzungen nach Artikel 22 des neuen DSG erfüllt sind. Dabei bleibt es ihnen vorbehalten, auf die Bestimmungen der DSFA-Richtlinien zurückzugreifen. Dies kann insbesondere bei Anwendung der HERMES Methode von grossem Nutzen sein, da die darin vorgesehenen Koordinationsnormen Doppelspurigkeiten verhindern können. Tatsächlich sind einige Elemente von HERMES integraler Bestandteil der DSFA. Zudem enthalten die unten aufgeführten Begleitdokumente des BJ weitere nützliche und praktische Informationen zur Durchführung der DSFA.

Private Datenbearbeiter können, da sie wie die Bundesorgane dem neuen DSG unterliegen und verpflichtet sind, bei Erfüllung der gesetzlichen Voraussetzungen eine DSFA durchzuführen, die auf dieser Website zur Verfügung gestellten Hilfsmittel bei Bedarf ebenfalls nutzen.

Mithilfe dieses Instruments kann die zuständige Verwaltungseinheit die Art, den Umfang, die Umstände und den Zweck der geplanten Bearbeitung bestimmen und dabei das Risiko für die Grundrechte der betroffenen Personen bewerten.

Die DSFA-Richtlinien regeln die Einbettung einer DSFA in das Rechtsetzungsverfahren des Bundes sowie die Koordination mit der Projektmanagementmethode HERMES:

• Koordination mit dem Rechtsetzungsverfahren (Ziff. 4.1 DSFA-Richtlinien):
   
  Wird ein Rechtsetzungsverfahren durchgeführt, d. h. wenn die Bearbeitung von Personendaten einen neuen Erlass oder die Änderung eines Erlasses (Gesetz, Verordnung) erfordert, so ist das vollständig ausgefüllte Instrument für die Risikovorprüfung den Unterlagen zur Ämterkonsultation beizulegen. Bei mehreren Ämterkonsultationen, insbesondere aufgrund eines Vernehmlassungsverfahrens (Art. 3 Abs. 1 und 2 Vernehmlassungsgesetz, VlG), muss die Risikovorprüfung noch vor der ersten Ämterkonsultation, oder spätestens vor der Ämterkonsultation, die der Eröffnung des Vernehmlassungsverfahrens vorausgeht, durchgeführt werden. Ergibt sich nach der Risikovorprüfung die Notwendigkeit einer DSFA, so müssen statt dem ausgefüllten Instrument für die Risikoprüfung die Ergebnisse der DSFA den Unterlagen zur Ämterkonsultation beigelegt werden.
  
  
• Koordination mit HERMES (Ziff. 5.1 DSFA-Richtlinien):
   
  Wird ein Projekt nach HERMES durchgeführt, kann die Risikovorprüfung entweder mit dem Instrument für die Risikovorprüfung oder im Rahmen der Schutzbedarfsanalyse durchgeführt werden. In letzterem Fall ist es möglich, anstelle des Instruments für die Risikovorprüfung lediglich einen Auszug aus der Schutzbedarfsanalyse den Unterlagen beizulegen. Damit soll vermieden werden, dass mehrere Dokumente ausgefüllt werden müssen, um das mit der Datenbearbeitung zusammenhängende Risiko zu analysieren.

Der DSFA-Leitfaden enthält nützliche Informationen zur Durchführung der DSFA und den Elementen, die sie enthalten muss. Für Umsetzungsfragen bezüglich der DFSA sowie die Aufsicht ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte zuständig. Das BJ macht diesbezüglich keine Beratung.

Die DSFA-Richtlinien regeln die Einbettung einer DSFA in das Rechtsetzungsverfahren des Bundes sowie die Koordination mit der Projektmanagementmethode HERMES:

• Koordination mit dem Rechtsetzungsverfahren (Ziff. 4.2 DSFA-Richtlinien):
   
  Wird ein Rechtsetzungsverfahren durchgeführt, d. h. wenn die Bearbeitung von Personendaten einen neuen Erlass oder die Änderung eines Erlasses (Gesetz, Verordnung) erfordert, so sind die Ergebnisse aus der DSFA den Unterlagen zur Ämterkonsultation beizulegen. Bei mehreren Ämterkonsultationen, insbesondere aufgrund eines Vernehmlassungsverfahrens (Art. 3 Abs. 1 und 2 Vernehmlassungsgesetz, VlG), muss die DSFA noch vor der ersten Ämterkonsultation, oder spätestens vor der Ämterkonsultation, die der Eröffnung des Vernehmlassungsverfahrens vorausgeht, durchgeführt werden.
  
  Die Ergebnisse umfassen insbesondere die festgestellten Risiken, die vorgesehenen Massnahmen sowie die verbleibenden Restrisiken.
   
  Falls die geplante Bearbeitung von Personendaten ein Rechtsetzungsverfahren erfordert und auch im Rahmen eines Projekts nach HERMES (siehe unten) erfolgt, so können die Ergebnisse entweder in einem eigenen Dokument (erste Variante) oder als Auszug aus dem vom NCSC erarbeiteten Dokument dem ISB-Dokument (zweite Variante) beigelegt werden.
   
  
• Koordination mit HERMES (Ziff. 5.2 DSFA-Richtlinien):
   
  Wird ein Projekt nach HERMES durchgeführt (ohne Rechtsetzungsverfahren) und hat die Risikovorprüfung oder die Schutzbedarfsanalyse ergeben, dass ein hohes Risiko für die Grundrechte der betroffenen Person besteht, so liegt ein erhöhter Schutzbedarf im Sinne der Schutzbedarfsanalyse nach den Sicherheitsverfahren der Bundesverwaltung vor.
   
  Im Rahmen eines Projekts nach HERMES kann die DSFA auf zwei verschiedene Arten dokumentiert werden:
  
  
  • entweder in verschiedenen Dokumenten (Ziff. 5.2 Abs. 5 DSFA-Richtlinien), nämlich: die Rechtsgrundlagenanalyse und die Instrumente, die bei Vorliegen eines erhöhten Schutzbedarfs erstellt werden (Ziff. 5.2 Abs. 3 DSFA-Richtlinien) und einem zusätzlichen Dokument in dem die Risiken bewertet werden, die noch nicht mittels der Instrumente, die bei Vorliegen eines erhöhten Schutzbedarfs erstellt werden, bewertet wurden (Ziff. 5.2 Abs. 4 DSFA-Richtlinien);
     
    
  • oder in dem vom NCSC erarbeiteten Dokument, welche enthält: die Rechtsgrundlagenanalyse und die Instrumente, die bei Vorliegen eines erhöhten Schutzbedarfs erstellt werden, sowie die Bewertung der Risiken, die noch nicht mittels der Instrumente, die bei Vorliegen eines erhöhten Schutzbedarfs erstellten werden, beurteilt wurden (Ziff. 5.2 Abs. 3, 4 und 5 DSFA-Richtlinien).