Das Merkblatt des EDÖB richtet sich hauptsächlich an private Datenverantwortliche, aber dient auch als Auslegungshilfe für Bundesorgane. Es gibt Richtlinien für die Risikovorprüfung und DSFA bei Datenbearbeitungen durch die Bundesverwaltung, die auch von privaten Verantwortlichen genutzt werden können.

Ab dem 1. September 2023 gilt gemäss Art. 22 und 23 des revidierten Datenschutzgesetzes (DSG), dass bei hohen Bearbeitungsrisiken eine Datenschutz-Folgenabschätzung (DSFA) erstellt werden muss. Dies gilt insbesondere für grosse Digitalisierungsprojekte, kann aber auch Weiterentwicklungen bestehender Datenbearbeitungen umfassen.

Die DSFA zielt darauf ab, hohe Projektrisiken frühzeitig zu erkennen und zu bewerten. Sie bezieht sich auf die Eintrittswahrscheinlichkeit und die Erheblichkeit der Auswirkungen. Ihr Nutzen liegt darin, systemische und sicherheitstechnische Risiken zu dokumentieren und durch geeignete Massnahmen auf ein datenschutzrechtlich vertretbares Niveau zu senken.

Die DSFA schützt vor allem die Persönlichkeits- und Grundrechte der betroffenen Personen, insbesondere die Privatsphäre und die informationelle Selbstbestimmung. Bei rechtswidriger...