Vorabkonsultation

Projekte, welche rechtsetzenden Charakter haben (z.B. Gesetze, Verordnungen), müssen der zuständigen Fachstelle für Datenschutz zur Prüfung vorgelegt werden. Mit diesem Instrument soll sichergestellt werden, dass die verfassungs- und datenschutzrechtlichen Vorgaben berücksichtigt werden. Das Datenschutzgesetz sieht für die Bearbeitung von Vorabkonsultationen eine Frist von sechs Wochen (gemäss Botschaft "längstens zehn Wochen") vor. Die Frist läuft ab dem Zeitpunkt, an dem das Gesuch vollständig eingereicht worden ist. Die Vorabkonsultation schliesst mit einer schriftlichen Beurteilung zuhanden des verantwortlichen öffentlichen Organs ab. Die Fachstelle für Datenschutz kann dabei Empfehlungen aussprechen. 

Wenn eine Bearbeitung von Personendaten zu einem hohen Risiko für die Grundrechte der betroffenen Person führt. Stellt das öffentliche Organ aufgrund einer Datenschutz-Folgenabschätzung ein hohes Risiko einer Datenbearbeitung fest und kann das Risiko mit Massnahmen (beispielsweise technischer oder organisatorischer Natur) nicht reduzieren, muss es das Vorhaben der Fachstelle für Datenschutz zur Vorabkonsultation vorlegen. Ergreift es hingegen Massnahmen, die das Risiko vermeiden oder reduzieren und somit kein hohes Risiko mehr besteht, ist keine Vorabkonsultation erforderlich. In diesen Fällen führt die Fachstelle für Datenschutz keine Vorabkonsultation durch, steht aber gern beratend zur Verfügung.

• (Teil-) automatisierte Entscheidfindung mit Rechtswirkung oder ähnlich bedeutsamer Wirkung für die betroffene Person
• Auftragsdatenbearbeitung / Cloud: Umfangreiche Bearbeitung sensibler Personendaten in einem Land mit nicht angemessenem Datenschutzniveau {Beispiel: Bearbeitung in MS 365, wenn Verschlüsselung und Schlüsselmanagement nicht beim öffentlichen Organ liegen}
• Systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche {Beispiel: Videoüberwachung}
• Systematische Verwendung biometrischer Daten zur Identifikation {Beispiele: Gesichtserkennungssoftware, Fingerabdruckscanning}
• Bearbeitung umfangreicher Bestände an Personendaten durch mehrere Organe verschiedener Behördenebenen mit Abgleichung, Zusammenführung und Verknüpfung von Datensätze {Beispiel: Personenregister}

Das öffentliche Organ reicht der zuständigen Fachstelle für Datenschutz folgende Unterlagen ein:

• Projektbeschrieb mit folgenden Angaben
  • die für das Projekt verantwortliche Stelle
  • die datenbearbeitenden Stellen
  • Art der Daten
  • Zweck und Art der Datenbearbeitung
  • Empfänger der Daten
  • Kreis der betroffenen Personen
  
  
• Darstellung der Rechtslage (Rechtsgrundlagenanalyse)
  • Nennung der geltenden Rechtsgrundlagen 
    
  • ggfs. Angaben zu laufenden Gesetzgebungsprojekten
  • weitere rechtliche Aspekte wie z.B. Aufbewahrungsfristen usw.
  
  
• Bei Auftrags- bzw. Unterauftragsdatenbearbeitung: Vereinbarung(en)
• Beschreibung der organisatorischen und technischen Massnahmen
  • Schutzbedarfsanalyse inkl. Klassifizierung
    
  • Rollen- und Berechtigungskonzept
  • Risikoanalyse und -bewertung
    
  • Massnahmenplan
  • Bewertung der verbleibenden Restrisiken
  • ISD-Konzept inkl. Systembeschrieb, verwendete Technologien, Risikobehandlung
  
  

Das Formular Datenschutz-Folgenabschätzung kann dabei als Hilfsmittel verwendet werden. Je nach Vorhaben kann es auch vorkommen, dass mehrere Vorabkonsultationen nötig sind (z.B. von einzelnen Teilschritten). Wichtig ist in jedem Fall eine frühzeitige Information der Fachstelle über das geplante Vorhaben.

Handelt es sich beim öffentlichen Organ um ein Organ, eine Behörde oder eine Dienststelle einer Gemeinde, selbständigen öffentlich-rechtlichen Gemeindeunternehmen oder Gemeindeverband bzw. Zweckverband, sind die Unterlagen der zuständigen Gemeindefachstelle für Datenschutz einzureichen. 

Die zuständige Fachstelle für Datenschutz 

• prüft die Unterlagen auf ihre Vollständigkeit,
• prüft die vorgesehene Bearbeitung,
• nimmt in einem schriftlichen Bericht Stellung und gibt zuhanden der verantwortlichen Stelle Empfehlungen ab. Dabei kann sie empfehlen, die beabsichtigte Bearbeitung zu ändern oder zu unterlassen.

Das Datenschutzgesetz sieht für die Bearbeitung von Vorabkonsultationen eine Frist von sechs Wochen (gemäss Botschaft "längstens zehn Wochen") vor. Die Frist läuft ab dem Zeitpunkt, an dem das Gesuch vollständig eingereicht worden ist. Die verantwortliche Stelle hat danach Zeit, zu den Empfehlungen eine schriftliche Stellungnahme zu erarbeiten. Nach Erhalt dieser Stellungnahme zeigt sich, ob das Projekt weiterverfolgt werden kann oder ob beim zuständigen Departement Massnahmen beantragt werden müssen.