Datenschutzfolgeabschätzung (DSFA)

Von | 1. Juli 2023
0 Kommentare

Vorab kann es vielleicht so versuchen, teilweise so aufzudröseln:

  • Gemäss § 10 Abs. 1 IDG ist «bei einer beabsichtigten Bearbeitung von Personendaten» eine DSFA durchzuführen. Das bedeutet also, die DSFA ist vor Aufnahme der Bearbeitung durchzuführen; also (a) vor neuen Bearbeitungen oder (b) vor Änderungen von bestehenden Bearbeitungen, welche neue/andere Risiken mit sich bringen.
  • Eine Vorabkontrolle ist hingegen nur erforderlich, wenn die Bearbeitung «besondere Risiken für die Grundrechte der betroffenen Personen» mit sich bringt (§ 10 Abs. 2 IDG).
  • Eine Vorlage der DSB ZH für eine DSFA findet sich hier: https://docs.datenschutz.ch/u/d/publikationen/formulare-merkblaetter/formular_dsfa.docx

Abgrenzung zwischen DSFA und Informationssicherheit

Wie Du weisst, könnte man sagen, dass Informationssicherheit (je nach Perspektive) gewissermassen auch Teil des Datenschutzes ist. So verlangt ja § 7 IDG auch angemessene organisatorische und technische Massnahmen zur Informationssicherheit
Die Schutzbedarfsfeststellung, die Du erwähnst, dient ja der Informationssicherheit und ist dort ein (Teil)Instrument, um Risiken zu erkennen und einzuschätzen
Im Rahmen der DSFA sind Risiken zu bezeichnen, zu analysieren, zu bewerten und (mittels Massnahmen) zu adressieren; um dies zu tun ist eine Schutzbedarfsfeststellung wiederum sinnvoll.
Wenn die DSFA zur Vorabkontrolle eingereicht werden muss (also bei hohen Risiken) fragt die DSB ZH in ihrem Merkblatt Ziff. 7 gewisse «Unterlagen im Rahmen eines Informationssicherheits- und Datenschutzkonzepts (ISDS-Konzept)»; hier spielt mE auch die Schutzbedarfsfeststellung/-analyse wieder rein …

Von ChatGPT:

Antwort von Chat GPT in Bing dazu:

Die Datenschutzfolgeabschätzung (DSFA) und die Schutzbedarfsfeststellung sind zwei unterschiedliche Konzepte. Die DSFA ist eine Methode zur Bewertung der Risiken für die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten1Die Schutzbedarfsfeststellung hingegen ist ein Verfahren zur Ermittlung des Schutzbedarfs von IT-Systemen und Daten2Sie dient dazu, den Schutzbedarf von IT-Systemen und Daten zu ermitteln und darauf basierend geeignete Schutzmassnahmen zu definieren2.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.