Risiko-Radar nach EDÖB Anhang A: Datenschutz-Risiken systematisch bewerten

«Brauchen wir eine Datenschutz-Folgenabschätzung?» Diese Frage ist eine der häufigsten — und die Antwort ist meistens: «Wahrscheinlich nicht, aber Anhang A des EDÖB-Leitfadens hilft, das systematisch zu prüfen.» Anhang A ist das praktische Werkzeug, das im DSG selbst keine grosse Rolle spielt, im Praxis-Alltag aber Gold wert ist.

Was Anhang A leistet

Der EDÖB hat in seinem Leitfaden zur Datenschutz-Folgenabschätzung (DSFA) einen Anhang A publiziert, der eine strukturierte Methodik beschreibt, um Datenschutz-Risiken zu bewerten. Die Methode kombiniert vier Dimensionen zu einem Gesamt-Score und gibt damit eine objektive Grundlage für die Entscheidung «DSFA ja oder nein».

Wichtig: Anhang A ist keine Pflicht, aber eine Empfehlung. Wer ihn benutzt, hat einen verteidigbaren Risikobewertungs-Prozess. Wer eigene Methoden anwendet, muss sie ähnlich strukturiert dokumentieren können.

Die vier Risiko-Dimensionen

1. Auswirkung der Beeinträchtigung

Wie schwer wäre der Schaden für eine betroffene Person, wenn etwas schiefgeht? Skala typischerweise:

• Niedrig — geringer Aufwand zur Wiederherstellung (z.B. Newsletter-Spam)
• Mittel — spürbare Beeinträchtigung (z.B. unerwünschte Werbung)
• Hoch — substantielle Beeinträchtigung (z.B. unfaire Kreditentscheidung)
• Sehr hoch — irreparabel (z.B. öffentliche Bekanntmachung sensitiver Gesundheitsdaten)

2. Wahrscheinlichkeit

Wie wahrscheinlich tritt der Schaden ein? Skala:

• Sehr unwahrscheinlich — z.B. bei sehr starken Sicherheitsmassnahmen
• Unwahrscheinlich — Standard-Sicherheit, wenig Angriffsfläche
• Möglich — durchschnittliches Risiko
• Wahrscheinlich — Schwachstellen bekannt, Mitigation unklar
• Sehr wahrscheinlich — keine Schutzmassnahmen, hohe Angriffsfläche

3. Anzahl Betroffener

Wie viele Personen wären betroffen? Skala:

• Wenige (< 100)
• Mittel (100-10'000)
• Viele (> 10'000)

4. Besondere Schutzbedürftigkeit

Sind besonders schutzbedürftige Personen betroffen? (z.B. Kinder, Patienten, Mitarbeitende mit Asymmetrie zur Verarbeitenden Stelle)

• Nein — übliche erwachsene Nutzer
• Ja — Kinder, Patienten, Angestellte oder Personen in vulnerablen Situationen

Risiko-Score berechnen

Der Score wird typischerweise als Multiplikation oder Aggregation der vier Dimensionen gebildet. Ein einfaches Modell:

Risiko = Auswirkung × Wahrscheinlichkeit × Anzahl-Faktor × Schutzbedürftigkeits-Faktor

Mit:

• Auswirkung: 1-4
• Wahrscheinlichkeit: 1-5
• Anzahl: 1 (wenige), 2 (mittel), 3 (viele)
• Schutzbedürftigkeit: 1 (nein), 2 (ja)

Schwellenwerte:

• Score 1-12: Niedriges Risiko, keine DSFA nötig
• Score 13-30: Mittleres Risiko, DSFA empfehlenswert
• Score 31-120: Hohes Risiko, DSFA Pflicht

Beispiel: KMU-Webshop mit Standard-Marketing

Setup: Schweizer Webshop, ca. 5'000 monatliche Besucher, Google Analytics, Meta Pixel, Newsletter via Brevo.

Auswirkung: 1 (niedrig) — bei Cookie-Tracking-Datenleak wäre die individuelle Beeinträchtigung gering.

Wahrscheinlichkeit: 2 (unwahrscheinlich) — die Tools sind etablierte Anbieter mit guter Sicherheit.

Anzahl: 1 (wenige) — pro Monat sind nur ein Bruchteil aktiv getrackt.

Schutzbedürftigkeit: 1 (nein) — Standardnutzer.

Score: 1 × 2 × 1 × 1 = 2 → Niedriges Risiko, keine DSFA nötig.

Beispiel: Online-Plattform mit Profiling

Setup: SaaS-Plattform, automatische Tarifberechnung basierend auf Nutzerverhalten und demografischen Daten, 50'000 Nutzer.

Auswirkung: 3 (hoch) — falsche Tarif-Bestimmung kann finanzielle Nachteile bringen.

Wahrscheinlichkeit: 3 (möglich) — Algorithmen können bias enthalten, wurde nicht getestet.

Anzahl: 3 (viele) — über 10'000 Personen.

Schutzbedürftigkeit: 1 (nein) — geschäftliche Kunden.

Score: 3 × 3 × 3 × 1 = 27 → Mittleres Risiko, DSFA empfehlenswert. Bei höherer Wahrscheinlichkeit Pflicht.

Wann der EDÖB konsultiert werden muss

Wenn die DSFA ergibt, dass das Risiko nicht hinreichend reduziert werden kann, ist der EDÖB vorgängig zu konsultieren (Art. 23 DSG). In der Praxis ist das selten der Fall — meist findet man Mitigationen, die das Risiko ausreichend abfedern.

Mögliche Mitigationen:

• Datensparsamkeit — weniger Daten erheben
• Anonymisierung/Pseudonymisierung — Daten so verarbeiten, dass keine Identifikation möglich ist
• Einwilligung — explizite Zustimmung als zusätzliche Legitimation
• Transparenz — Betroffene informieren und Wahlmöglichkeit geben
• Sicherheitsmassnahmen — Verschlüsselung, Zugangskontrollen, Logging

Aiara und der Risiko-Radar

In der Aiara Phase 3 (geplant für 2026) wird der Risiko-Radar als integrierte Funktion verfügbar sein. Schweizer KMU können dann pro Domain und pro genutztem Tool eine schnelle Bewertung vornehmen — basierend auf den vier Dimensionen, mit automatischen Empfehlungen für Mitigationen. Wer Risiko-Radar regelmässig nutzt, dokumentiert seine Risikobewertung systematisch und kann bei einer EDÖB-Stichprobe sofort eine begründete Beurteilung vorzeigen.

Bis dahin gilt: Nehmen Sie Anhang A ernst, machen Sie eine schriftliche Bewertung pro relevantem Datenverarbeitungs-Vorgang, und dokumentieren Sie das Ergebnis mit Datum und Verantwortlichen. Das ist auch ohne Tool in einer halben Stunde gemacht.