Wann ist eine DSFA nach Schweizer Recht obligatorisch?

Eine Datenschutz-Folgenabschätzung ist gemäss Art. 22 nDSG obligatorisch, wenn eine geplante Datenbearbeitung voraussichtlich ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen mit sich bringt. Ein hohes Risiko liegt typischerweise vor bei Einsatz neuer Technologien, umfangreichem Profiling, systematischer Überwachung oder extensiver Bearbeitung besonders schützenswerter Personendaten.

Was muss eine DSFA gemäss Art. 22 nDSG enthalten?

Eine DSFA muss eine Beschreibung der geplanten Bearbeitungstätigkeit, eine Bewertung der Risiken für die Persönlichkeit und die Grundrechte der betroffenen Personen, die vorgesehenen Massnahmen zur Minderung dieser Risiken und gegebenenfalls eine Beurteilung der Verhältnismässigkeit und Notwendigkeit enthalten. Der Detaillierungsgrad muss dem Risiko angemessen sein.

Muss ein Schweizer KMU den EDÖB vor der Bearbeitung konsultieren?

Nur wenn die DSFA zeigt, dass die geplante Bearbeitung trotz der getroffenen Massnahmen weiterhin ein hohes Risiko mit sich bringt. In diesem Fall verlangt Art. 23 nDSG, dass der Verantwortliche den EDÖB vor Beginn der Bearbeitung konsultiert. Wurde eine Datenschutzberaterin oder ein Datenschutzberater nach Art. 10 nDSG bestellt und konsultiert, kann diese Vorkonsultationspflicht entfallen.

Wie unterscheidet sich die Schweizer DSFA von der DSGVO-DSFA?

Die Grundmethodik ist ähnlich, aber es bestehen wesentliche Unterschiede. Unter dem nDSG gibt es keine obligatorische Konsultation der Aufsichtsbehörde, wenn eine Datenschutzberaterin oder ein Datenschutzberater konsultiert wurde. Das nDSG verlangt auch keine formelle Liste der Bearbeitungen, die einer DSFA-Pflicht unterliegen, und die Sanktionen bei Nichteinhaltung unterscheiden sich erheblich vom DSGVO-Regime.

Was passiert, wenn ein Schweizer Unternehmen eine vorgeschriebene DSFA unterlässt?

Das nDSG sieht keine direkte Busse für das Unterlassen einer DSFA vor. Allerdings schwächt die Bearbeitung von Personendaten ohne vorgeschriebene DSFA die Position der Organisation bei einer EDÖB-Untersuchung erheblich und kann zu verbindlichen Verfügungen zur Einstellung oder Änderung der Bearbeitung führen. Vorsätzliche Verstösse gegen andere nDSG-Bestimmungen können strafrechtliche Bussen bis CHF 250 000 gegen die verantwortlichen natürlichen Personen nach sich ziehen.

DSFA nach nDSG: Vollständiger Leitfaden zur Datenschutz-Folgenabschätzung für Schweizer KMU

Jedes Schweizer Unternehmen, das Personendaten bearbeitet, stellt sich irgendwann die Frage: Brauchen wir eine Datenschutz-Folgenabschätzung? Unter dem neuen Bundesgesetz über den Datenschutz (nDSG) hängt die Antwort vom Risikoniveau ab, das Ihre Bearbeitungstätigkeiten für die betroffenen Personen darstellen. Dieser Leitfaden führt Sie durch die gesetzlichen Anforderungen, die praktische Methodik und die häufigsten Stolpersteine — damit Sie die DSFA mit Zuversicht statt mit Verunsicherung angehen.

Was ist eine Datenschutz-Folgenabschätzung?

Eine Datenschutz-Folgenabschätzung — auf Französisch als Analyse d'impact relative à la protection des données (AIPD) und auf Englisch als Data Protection Impact Assessment (DPIA) bekannt — ist ein strukturierter Prozess, durch den eine Organisation die Datenschutzrisiken einer geplanten Bearbeitungstätigkeit identifiziert, bewertet und mindert, bevor diese beginnt.

Die Pflicht ist in Artikel 22 des neuen Bundesgesetzes über den Datenschutz (nDSG, fedlex.admin.ch) verankert. Im Kern verlangt das Gesetz, dass Sie vor der Bearbeitung nachdenken — nicht erst nachdem ein Vorfall Sie dazu zwingt.

Die DSFA ist keine einmalige Compliance-Übung. Sie ist ein lebendes Dokument, das überprüft werden muss, wenn sich die Bearbeitungstätigkeit wesentlich ändert: neue Datenkategorien, neue Technologien, neue Empfänger oder ein veränderter Umfang.

Wann ist eine DSFA obligatorisch?

Art. 22 Abs. 1 nDSG bestimmt, dass eine DSFA durchgeführt werden muss, wenn eine geplante Bearbeitung voraussichtlich ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen mit sich bringt. Das Gesetz enthält keine abschliessende Checkliste der Auslöser, aber die folgenden Indikatoren sind in der Schweizer Praxis und in den Leitlinien des EDÖB fest etabliert:

Indikatoren für ein hohes Risiko

Systematisches und extensives Profiling — Art. 21 nDSG befasst sich ausdrücklich mit dem Profiling mit hohem Risiko, also dem Profiling, das eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer Person ermöglicht. Wenn Ihre Bearbeitung ein solches Profiling beinhaltet, ist eine DSFA erforderlich.
Grossangelegte Bearbeitung besonders schützenswerter Personendaten — Gesundheitsdaten, biometrische Daten zur Identifikation, Daten über politische oder religiöse Ansichten, Daten über strafrechtliche Verfahren oder Sanktionen. «Grossangelegte Bearbeitung» wird anhand der Anzahl betroffener Personen, des Datenvolumens, der geografischen Ausdehnung und der Dauer der Bearbeitung beurteilt.
Systematische Überwachung öffentlich zugänglicher Bereiche — Videoüberwachung öffentlicher Räume, WiFi-Tracking im Einzelhandel oder jede Technologie, die Bewegungen und Verhalten von Personen in zugänglichen Bereichen überwacht.
Einsatz neuer Technologien — Künstliche Intelligenz, Machine-Learning-Modelle, automatisierte Entscheidungssysteme, Gesichtserkennung oder andere Technologien, deren Auswirkungen auf betroffene Personen noch nicht vollständig absehbar sind.
Automatisierte Einzelentscheidung — Bearbeitung, die rechtliche Wirkung entfaltet oder eine Person erheblich beeinträchtigt, ohne dass ein bedeutsamer menschlicher Eingriff stattfindet.
Grossangelegter Abgleich oder Zusammenführung von Datensätzen — Zusammenführung von Daten aus mehreren Quellen in einer Weise, die über die vernünftigen Erwartungen der betroffenen Personen hinausgeht.
Bearbeitung von Daten verletzlicher Personen — Arbeitnehmende (Machtungleichgewicht), Kinder, Patientinnen und Patienten oder andere Gruppen, deren Fähigkeit, frei zuzustimmen oder Widerspruch einzulegen, eingeschränkt ist.

Der kumulative Ansatz

Die Schweizer Praxis folgt in der Regel einem kumulativen Ansatz: Je mehr Indikatoren zutreffen, desto wahrscheinlicher ist eine DSFA erforderlich. Ein einzelner Indikator kann ausreichen, wenn das Risiko schwerwiegend ist (beispielsweise grossangelegte biometrische Bearbeitung). Zwei oder mehr Indikatoren zusammen lösen die Pflicht nahezu immer aus.

Ausnahme für gesetzlich vorgeschriebene Bearbeitungen

Art. 22 Abs. 2 nDSG sieht eine Ausnahme vor: Keine DSFA ist erforderlich, wenn die Bearbeitung gesetzlich vorgeschrieben ist und das Gesetz die konkrete Bearbeitungstätigkeit bereits hinreichend detailliert regelt. Diese Ausnahme ist eng auszulegen — allein das Vorhandensein einer Rechtsgrundlage befreit Sie nicht automatisch.

DSFA-Methodik Schritt für Schritt

Das nDSG schreibt keine bestimmte Methodik vor, aber der folgende Ansatz entspricht der Schweizer Praxis und den Empfehlungen der wichtigsten Datenschutzrahmenwerke. Sie können ihn an die Grösse und Komplexität Ihrer Organisation anpassen.

Schritt 1 — Die Bearbeitungstätigkeit beschreiben

Beginnen Sie mit einer klaren, umfassenden Beschreibung dessen, was Sie vorhaben:

Welche Personendaten werden Sie erheben? Listen Sie jede Kategorie auf, einschliesslich scheinbar nebensächlicher Daten (Gerätekennungen, IP-Adressen, Zeitstempel).
Von wem werden Sie die Daten erheben? Kunden, Mitarbeitende, Website-Besucher, Datenbroker?
Zu welchem Zweck? Seien Sie präzise. «Marketing» ist kein Zweck — «personalisierte Produktempfehlungen auf Basis der Kaufhistorie» ist einer.
Wie werden Sie die Daten bearbeiten? Manuelle Prüfung, automatisierte Entscheidung, algorithmisches Scoring, KI-Inferenz?
Wer wird Zugang haben? Interne Teams, Auftragsbearbeiter, Partnerorganisationen, Behörden?
Wo werden die Daten gespeichert und übermittelt? Inländische Server, Cloud-Anbieter, grenzüberschreitende Transfers?
Wie lange werden Sie die Daten aufbewahren?

Diese Beschreibung ist das Fundament der gesamten DSFA. Ist sie unvollständig, wird jeder nachfolgende Schritt fehlerhaft sein.

Schritt 2 — Notwendigkeit und Verhältnismässigkeit beurteilen

Bevor Sie Risiken bewerten, prüfen Sie, ob die Bearbeitung notwendig und verhältnismässig zum angegebenen Zweck ist:

Gibt es einen weniger eingreifenden Weg, das gleiche Ziel zu erreichen? Wenn Sie Ihr Geschäftsziel mit weniger Daten, weniger Empfängern oder einer kürzeren Aufbewahrungsfrist erreichen können, sollten Sie dies tun.
Ist der Zweck legitim und spezifisch? Vage Zwecke wie «Geschäftsverbesserung» sind unter dem nDSG unzureichend.
Wird das Prinzip der Datenminimierung eingehalten? Sie sollten nur Daten bearbeiten, die für den angegebenen Zweck tatsächlich notwendig sind.
Haben Sie eine gültige Rechtsgrundlage festgelegt? Einwilligung, überwiegendes Privatinteresse, gesetzliche Pflicht oder Vertragserfüllung — welche trifft zu und ist sie belastbar?

In diesem Schritt stellen viele Organisationen fest, dass sie die Bearbeitungstätigkeit umgestalten können, um das Risiko zu reduzieren, noch bevor sie die Risikobewertungsphase erreichen.

Schritt 3 — Risiken identifizieren und bewerten

Identifizieren Sie für jeden Aspekt der Bearbeitungstätigkeit die potenziellen Risiken für die betroffenen Personen. Risiken lassen sich in mehrere Kategorien einteilen:

Vertraulichkeitsrisiken — unbefugter Zugang, Datenschutzverletzung, versehentliche Offenlegung an falsche Empfänger.

Integritätsrisiken — Datenkorruption, ungenaues Profiling, Entscheidungen auf Grundlage fehlerhafter Daten.

Verfügbarkeitsrisiken — Datenverlust, Unfähigkeit zur Beantwortung von Auskunftsbegehren, Systemausfälle bei wesentlichen Diensten.

Weitergehende Auswirkungsrisiken — Diskriminierung, Reputationsschäden für Einzelpersonen, finanzielle Verluste, Arbeitsplatzverlust, soziale Stigmatisierung, abschreckende Wirkung auf Grundrechte.

Bewerten Sie für jedes identifizierte Risiko:

Eintretenswahrscheinlichkeit — Wie wahrscheinlich ist es, dass dieses Risiko eintritt? Berücksichtigen Sie Ihre bestehenden Sicherheitsmassnahmen, die Bedrohungslandschaft und bisherige Vorfälle.
Schweregrad — Wie schwerwiegend sind die Auswirkungen auf die betroffenen Personen, wenn das Risiko eintritt? Eine Verletzung von Gesundheitsdaten ist weit gravierender als eine Verletzung von Newsletter-Abonnementdaten.

Kombinieren Sie Eintretenswahrscheinlichkeit und Schweregrad zu einer Gesamtrisikobewertung. Eine einfache Matrix (tief/mittel/hoch für jede Dimension) genügt für die meisten KMU-Szenarien.

Schritt 4 — Massnahmen zur Risikominderung festlegen

Definieren Sie für jedes als mittel oder hoch bewertete Risiko konkrete Massnahmen zur Risikominderung. Diese sollten sowohl technischer als auch organisatorischer Natur sein:

Technische Massnahmen:

Verschlüsselung im Ruhezustand und bei der Übertragung
Pseudonymisierung oder Anonymisierung, wo möglich
Zugangskontrollen und rollenbasierte Berechtigungen
Automatisierte Protokollierung und Überwachung
Werkzeuge zur Verhinderung von Datenverlust
Regelmässige Sicherheitstests und Schwachstellenanalysen

Organisatorische Massnahmen:

Datenschutzschulung für alle an der Bearbeitung beteiligten Mitarbeitenden
Klare Auftragsbearbeitungsverträge mit allen Auftragsbearbeitern
Verfahren zur Reaktion auf Vorfälle
Regelmässige Audits und Überprüfungen
Bestellung einer Datenschutzberaterin oder eines Datenschutzberaters (Art. 10 nDSG)
Aufbewahrungspläne mit automatisierter Löschung

Nachdem Sie die Massnahmen definiert haben, bewerten Sie das Restrisiko neu. Bleibt das Restrisiko hoch, müssen Sie allenfalls den EDÖB konsultieren (siehe unten) oder die Bearbeitungstätigkeit grundlegend überdenken.

Schritt 5 — Dokumentieren und genehmigen

Dokumentieren Sie die gesamte DSFA in einem strukturierten Format. Ihre Dokumentation sollte umfassen:

Die Beschreibung der Bearbeitungstätigkeit
Die Beurteilung der Notwendigkeit und Verhältnismässigkeit
Die Risikobewertung mit Eintretenswahrscheinlichkeit und Schweregrad
Die Massnahmen zur Risikominderung und deren erwartete Wirkung
Die Bewertung des Restrisikos
Die Entscheidung: fortfahren, modifizieren oder Bearbeitung einstellen
Name und Funktion der genehmigenden Person
Datum der Beurteilung und geplantes Überprüfungsdatum

Diese Dokumentation wird dem EDÖB nicht automatisch vorgelegt — muss aber auf Verlangen verfügbar sein und dient als Nachweis Ihrer Compliance-Bemühungen.

Profiling mit hohem Risiko nach Art. 21 nDSG

Art. 21 nDSG führt ein Konzept ein, das in der DSGVO nicht existiert: das Profiling mit hohem Risiko (profilage présentant un risque élevé / high-risk profiling). Damit ist ein Profiling gemeint, das die Beurteilung wesentlicher Aspekte der Persönlichkeit einer Person ermöglicht — etwa die Kombination von Datenpunkten zur Bewertung ihres Gesundheitszustands, ihrer wirtschaftlichen Lage, ihrer Zuverlässigkeit oder ihrer Verhaltensmuster.

Profiling mit hohem Risiko erfordert entweder die ausdrückliche Einwilligung der betroffenen Person oder eine Rechtfertigung durch Gesetz oder überwiegendes Privatinteresse. Es ist zudem einer der deutlichsten Auslöser einer DSFA-Pflicht.

Gängige Beispiele im KMU-Kontext:

Kreditscoring von Kunden auf Basis mehrerer Datenquellen
Mitarbeiter-Leistungsanalysen, die Produktivitätsdaten, Kommunikationsmuster und Anwesenheitsaufzeichnungen kombinieren
Kundensegmentierungs-Engines, die sensitive Attribute (Gesundheitsinteresse, politische Neigung, finanzielle Belastung) aus Surf- oder Kaufverhalten ableiten
KI-basierte Rekrutierungstools, die Kandidaten auf Verhaltens- oder Persönlichkeitsmerkmale bewerten

Wenn Ihre Organisation eine Form von Profiling betreibt, führen Sie eine Schwellenanalyse durch, um festzustellen, ob es die Stufe «hohes Risiko» erreicht — und dokumentieren Sie Ihre Schlussfolgerung in jedem Fall.

Die Rolle der Datenschutzberaterin oder des Datenschutzberaters (Art. 10 nDSG)

Art. 10 nDSG ermöglicht es Organisationen, freiwillig eine Datenschutzberaterin oder einen Datenschutzberater (conseiller à la protection des données / data protection adviser) zu bestellen. Im Gegensatz zum obligatorischen Datenschutzbeauftragten der DSGVO für bestimmte Organisationen ist diese Funktion unter dem nDSG freiwillig — bringt aber einen erheblichen verfahrensrechtlichen Vorteil mit sich.

Wenn Sie eine Datenschutzberaterin oder einen Datenschutzberater bestellt haben, die oder der die Unabhängigkeits- und Kompetenzanforderungen von Art. 10 nDSG erfüllt, und Sie diese Person im Rahmen der DSFA konsultieren, sind Sie von der Pflicht zur Vorkonsultation des EDÖB gemäss Art. 23 nDSG befreit — selbst wenn das Restrisiko hoch bleibt.

Dies ist ein starker Anreiz für Schweizer KMU. Die Bestellung einer Datenschutzberaterin oder eines Datenschutzberaters — intern oder extern — kann Ihren DSFA-Prozess erheblich vereinfachen und die Verzögerungen sowie den administrativen Aufwand einer formellen EDÖB-Konsultation vermeiden.

Die beratende Person muss:

Fachlich qualifiziert sein im Datenschutzrecht und in der Datenschutzpraxis
Die Funktion unabhängig ausüben
Keine Weisungen bezüglich der Ausübung dieser Funktion erhalten
Zugang zu allen relevanten Bearbeitungstätigkeiten und Informationen haben

Unterschiede zwischen der DSFA nach nDSG und nach DSGVO

Schweizer Organisationen, die grenzüberschreitend tätig sind — oder ihre Praxis mit EU-Pendants vergleichen — sollten die wesentlichen Unterschiede kennen:

Aspekt	nDSG (Schweiz)	DSGVO (EU/EWR)
Rechtsgrundlage	Art. 22 nDSG	Art. 35 DSGVO
Auslöser	Hohes Risiko für die Persönlichkeit oder die Grundrechte	Hohes Risiko für die Rechte und Freiheiten
Obligatorische Behördenkonsultation	Nur wenn das Restrisiko hoch bleibt UND keine Datenschutzberaterin/kein Datenschutzberater konsultiert wurde (Art. 23 nDSG)	Obligatorisch bei hohem Restrisiko (Art. 36 DSGVO)
Befreiung via Beraterin/Berater	Ja — Bestellung und Konsultation einer Art.-10-Beraterin befreit von der EDÖB-Konsultation	Keine vergleichbare Befreiung
Liste der DSFA-pflichtigen Bearbeitungen	Keine obligatorische Liste des EDÖB	Aufsichtsbehörden müssen Listen veröffentlichen (Art. 35(4) DSGVO)
Sanktionen bei Nichteinhaltung	Keine direkte Busse für fehlende DSFA; strafrechtliche Bussen bis CHF 250 000 für andere nDSG-Verstösse	Verwaltungsrechtliche Bussen bis 10 Mio. EUR oder 2 % des weltweiten Umsatzes
Sanktionsziel	Verantwortliche natürliche Person	Juristische Person (Unternehmen)

Der praktisch bedeutsamste Unterschied ist die Befreiung über die Datenschutzberaterin. In der DSGVO-Welt löst ein hohes Restrisiko immer eine obligatorische Konsultation der Aufsichtsbehörde aus. Unter dem nDSG können Sie dies vollständig vermeiden, indem Sie eine qualifizierte Datenschutzberaterin einbeziehen.

Konsultation des EDÖB (Art. 23 nDSG)

Wenn Ihre DSFA ergibt, dass die geplante Bearbeitung trotz der umgesetzten Massnahmen weiterhin ein hohes Risiko mit sich bringt, und Sie keine Datenschutzberaterin gemäss Art. 10 nDSG konsultiert haben, müssen Sie den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) vor Aufnahme der Bearbeitung konsultieren.

Was einzureichen ist

Art. 23 nDSG verlangt, dass Sie die DSFA dem EDÖB vorlegen. In der Praxis bedeutet dies:

Die vollständige DSFA-Dokumentation (Beschreibung, Risikobewertung, Massnahmen, Restrisiko)
Eine Erläuterung, warum das Restrisiko nicht weiter reduziert werden konnte
Ihr geplanter Zeitplan für den Beginn der Bearbeitung

Die Antwort des EDÖB

Der EDÖB hat zwei Monate Zeit für eine Stellungnahme (bei komplexen Fällen einmal um einen Monat verlängerbar). Der EDÖB kann:

Keine Einwände erheben — Sie dürfen fortfahren
Änderungen an der Bearbeitung oder zusätzliche Schutzmassnahmen vorschlagen
Empfehlen, die Bearbeitung aufzugeben oder grundlegend umzugestalten

Wichtig: Die Stellungnahme des EDÖB gemäss Art. 23 ist eine Empfehlung, keine verbindliche Verfügung in diesem Stadium. Allerdings erhöht das Ignorieren der EDÖB-Empfehlungen Ihr rechtliches Risiko erheblich, falls später Probleme auftreten.

Häufige Bearbeitungstätigkeiten, die eine DSFA erfordern

Hier sind konkrete Beispiele von Bearbeitungstätigkeiten, die für ein Schweizer KMU typischerweise eine DSFA erfordern:

Künstliche Intelligenz und maschinelles Lernen

Wenn Sie KI-Tools einsetzen, die Personendaten bearbeiten — sei es für Chatbots im Kundendienst, prädiktive Analysen, Inhaltspersonalisierung oder automatisierte Empfehlungen — ist eine DSFA nahezu sicher erforderlich. Die Intransparenz von KI-Modellen, das Potenzial für Verzerrungen und die Schwierigkeit, automatisierte Entscheidungen gegenüber betroffenen Personen zu erklären, tragen alle zum hohen Risiko bei.

Überwachung von Mitarbeitenden

Die Überwachung von E-Mails, Internetnutzung, Standort oder Produktivität der Mitarbeitenden durch Softwaretools schafft ein Szenario mit hohem Risiko aufgrund des Machtungleichgewichts in Arbeitsverhältnissen. Das Schweizer Arbeitsrecht (Art. 328b OR) stellt zusätzliche Anforderungen. Die DSFA muss prüfen, ob die Überwachung verhältnismässig ist und ob weniger eingreifende Alternativen bestehen.

Kundenprofiling im grossen Massstab

Das Erstellen umfassender Kundenprofile durch Kombination von Kaufhistorie, Surfverhalten, Social-Media-Daten, Treueprogrammdaten und Drittanbieter-Datenquellen ist ein klassisches Beispiel für Bearbeitung mit hohem Risiko. Je mehr Datenpunkte Sie kombinieren und je granularer das resultierende Profil ist, desto höher ist das Risiko.

Bearbeitung biometrischer Daten

Fingerabdruckscanner für die Gebäudezugangskontrolle, Gesichtserkennung für Sicherheitszwecke oder Spracherkennung zur Authentifizierung — all das beinhaltet biometrische Daten, eine Kategorie besonders schützenswerter Personendaten gemäss Art. 5 Bst. c nDSG. Jede systematische biometrische Bearbeitung ist ein starker DSFA-Auslöser.

Bearbeitung von Gesundheitsdaten

HR-Systeme, die Arztzeugnisse von Mitarbeitenden bearbeiten, Versicherungsplattformen, Wellness-Apps oder jedes System, das medizinische Daten verarbeitet, müssen einer DSFA unterzogen werden, wenn die Bearbeitung grossangelegte oder systematische Züge trägt.

Videoüberwachung

Wenn Ihr Unternehmen Videokameras in Bereichen betreibt, die dem Publikum, den Mitarbeitenden oder der Kundschaft zugänglich sind, ist eine DSFA erforderlich. Dies umfasst nicht nur herkömmliche Videoüberwachung, sondern auch intelligente Kameras mit Analysefunktionen (Personenzählung, Heatmapping, Verhaltensanalyse).

Praktische DSFA-Vorlage für KMU

Sie brauchen keinen kostspieligen Beratungsauftrag, um eine rechtsgültige DSFA zu erstellen. Hier ist eine praxistaugliche Vorlagenstruktur, die alle gesetzlichen Anforderungen abdeckt:

Abschnitt 1: Überblick über die Bearbeitung

Name der Bearbeitungstätigkeit und Referenznummer
Identität des Verantwortlichen und Kontaktangaben
Datenschutzberaterin/Datenschutzberater (falls bestellt) und Kontaktangaben
Datum der Beurteilung und geplantes Überprüfungsdatum

Abschnitt 2: Beschreibung der Bearbeitung

Kategorien der bearbeiteten Personendaten
Kategorien betroffener Personen
Bearbeitungszwecke
Rechtsgrundlage der Bearbeitung
Datenempfänger und Auftragsbearbeiter
Internationale Datenübermittlungen
Aufbewahrungsfristen
Eingesetzte Technologien

Abschnitt 3: Notwendigkeit und Verhältnismässigkeit

Warum die Bearbeitung für den angegebenen Zweck notwendig ist
Ob weniger eingreifende Alternativen geprüft wurden
Vorhandene Massnahmen zur Datenminimierung
Wie betroffene Personen informiert werden

Abschnitt 4: Risikobewertung

Risikoidentifikation (jedes Risiko auflisten)
Eintretenswahrscheinlichkeit (tief/mittel/hoch) für jedes Risiko
Schweregrad (tief/mittel/hoch) für jedes Risiko
Gesamtrisikobewertung für jedes Risiko

Abschnitt 5: Massnahmen zur Risikominderung

Technische Massnahmen (Verschlüsselung, Zugangskontrollen, Pseudonymisierung usw.)
Organisatorische Massnahmen (Schulung, Richtlinien, Verträge, Audits)
Erwartete Risikoreduktion pro Massnahme

Abschnitt 6: Restrisiko

Restrisikoniveau nach Umsetzung der Massnahmen
Entscheidung: fortfahren / modifizieren / EDÖB konsultieren / einstellen
Begründung der Entscheidung

Abschnitt 7: Genehmigung

Name und Funktion der genehmigenden Person
Datum der Genehmigung
Geplanter Überprüfungszyklus

Mit einem Tool wie PrivaGuard können Sie diesen gesamten Prozess digital abwickeln — von der initialen Risikoidentifikation über die Dokumentation bis hin zu regelmässigen Überprüfungen — ohne mit Tabellen und E-Mail-Ketten zu jonglieren.

Dokumentation und Aufbewahrung

Das nDSG legt nicht fest, wie lange die DSFA-Dokumentation aufbewahrt werden muss. Die bewährte Praxis sieht vor, sie während der gesamten Dauer der Bearbeitungstätigkeit und für einen angemessenen Zeitraum nach deren Beendigung aufzubewahren — mindestens für die massgebliche Verjährungsfrist für Datenschutzansprüche.

Ihre DSFA-Dokumentation sollte:

Versioniert sein — verfolgen Sie Änderungen über die Zeit, insbesondere bei Modifikationen der Bearbeitungstätigkeit
Zugänglich sein — der EDÖB kann sie jederzeit im Rahmen einer Untersuchung anfordern
Mit Ihrem Bearbeitungsverzeichnis verknüpft sein — Ihre DSFA sollte auf den entsprechenden Eintrag im Bearbeitungsverzeichnis (Art. 12 nDSG) verweisen
Regelmässig überprüft werden — mindestens jährlich oder bei jeder wesentlichen Änderung

Was passiert, wenn Sie eine vorgeschriebene DSFA unterlassen?

Das nDSG sieht keine spezifische Busse für das Unterlassen einer DSFA vor. Dies führt manchmal dazu, dass Organisationen die Pflicht unterschätzen. Das wäre ein Fehler. Hier die Gründe:

1. Untersuchungsbefugnisse des EDÖB. Der EDÖB kann eine Untersuchung zu jeder Bearbeitungstätigkeit eröffnen. Ergibt die Untersuchung, dass eine DSFA hätte durchgeführt werden müssen, kann der EDÖB verbindliche Verfügungen zur Änderung oder Einstellung der Bearbeitung erlassen. Die Missachtung einer EDÖB-Verfügung ist ein Straftatbestand.

2. Strafrechtliche Haftung für andere Verstösse. Auch wenn die fehlende DSFA selbst keine Busse nach sich zieht, kann die Bearbeitungstätigkeit, die sie hätte bewerten sollen, gegen andere nDSG-Bestimmungen verstossen — etwa unzureichende Sicherheitsmassnahmen (Art. 8), fehlende Information der betroffenen Personen (Art. 19) oder rechtswidrige grenzüberschreitende Übermittlungen (Art. 16–17). Diese Verstösse können strafrechtliche Bussen von bis zu CHF 250 000 gegen die verantwortliche natürliche Person nach sich ziehen.

3. Reputationsschaden. Im Falle einer Datenschutzverletzung oder einer öffentlichen Beschwerde ist das Fehlen einer DSFA ein klarer Indikator für Fahrlässigkeit, der den Reputationsschaden verstärken und das Vertrauen von Kunden, Partnern und Regulatoren untergraben kann.

4. Zivilrechtliche Haftung. Betroffene Personen, die durch eine rechtswidrige Bearbeitung Schaden erleiden, können zivilrechtliche Klagen einreichen. Das Fehlen einer DSFA schwächt Ihre Verteidigung und kann als Beweis dafür gewertet werden, dass die Organisation keine angemessenen Schritte zum Schutz der Personendaten unternommen hat.

DSFA in Ihr Compliance-Programm integrieren

Eine DSFA sollte nicht isoliert existieren. Um ihren Wert zu maximieren, integrieren Sie sie in Ihr übergreifendes Datenschutz-Compliance-Programm:

Verknüpfen Sie DSFAs mit Ihrem Bearbeitungsverzeichnis. Jede Bearbeitungstätigkeit in Ihrem Verzeichnis (Art. 12 nDSG), die ein hohes Risiko aufweist, sollte eine entsprechende DSFA haben. Das Bearbeitungsverzeichnis von PrivaGuard macht diesen Querverweis unkompliziert.
Integrieren Sie DSFAs in die Projektsteuerung. Für jedes neue Projekt, Produkt oder jede Technologie, die Personendaten betrifft, sollte ein DSFA-Prüfpunkt im Projektplan vorgesehen sein — idealerweise vor der Beschaffung oder Entwicklung.
Schulen Sie Ihre Teams. Stellen Sie sicher, dass Produktverantwortliche, IT-Mitarbeitende und Geschäftsleitende verstehen, wann eine DSFA notwendig ist und an wen sie sich wenden müssen. Ein einfacher interner Entscheidungsbaum kann das Risiko von Versäumnissen reduzieren.
Nutzen Sie Ihre DSFA zur Verbesserung der Datenschutzerklärung. Die in einer DSFA dokumentierten Risiken und Massnahmen fliessen direkt in die Transparenzinformationen ein, die Sie betroffenen Personen bereitstellen.
Planen Sie Überprüfungen. Setzen Sie Kalendererinnerungen, um jede aktive DSFA mindestens jährlich zu überprüfen. Technologische, regulatorische oder geschäftliche Veränderungen können das Risikoprofil erheblich verschieben.

Fazit

Datenschutz-Folgenabschätzungen nach Art. 22 nDSG sind keine bürokratischen Hürden — sie sind praktische Instrumente, die Schweizer Organisationen dabei helfen, Personendaten verantwortungsvoll und nachweisbar korrekt zu bearbeiten. Für KMU kann eine gut durchgeführte DSFA kostspielige Vorfälle verhindern, Ihre Position gegenüber dem EDÖB stärken und das Vertrauen von Kunden und Mitarbeitenden aufbauen.

Die Grundprinzipien sind klar: Identifizieren Sie Bearbeitungen mit hohem Risiko frühzeitig, bewerten Sie Risiken ehrlich, setzen Sie verhältnismässige Massnahmen um, dokumentieren Sie alles und überprüfen Sie regelmässig. Bleibt das Restrisiko hoch, konsultieren Sie eine Datenschutzberaterin oder wenden Sie sich an den EDÖB, bevor Sie fortfahren.

Mit PrivaGuard können Schweizer KMU ihre DSFAs zusammen mit Bearbeitungsverzeichnissen, Datenschutzerklärungen und Einwilligungsmanagement verwalten — alles auf einer in der Schweiz gehosteten Plattform, die speziell für die nDSG-Compliance konzipiert wurde. Starten Sie Ihre kostenlose Compliance-Prüfung mit PrivaScan, um festzustellen, wo Ihre Organisation heute steht.