1 Der Verantwortliche erstellt vorgängig eine Datenschutz-Folgenabschätzung, wenn eine Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann. Sind mehrere ähnliche Bearbeitungs-vorgänge geplant, so kann eine gemeinsame Abschätzung erstellt werden.
2 Das hohe Risiko ergibt sich aus der Art, dem Umfang, den Umständen und dem Zweck der Bearbeitung. Es liegt namentlich vor:
a. bei der umfangreichen Bearbeitung besonders schützenswerter Personendaten;
b. bei einem Profiling;
c. wenn systematisch umfangreiche öffentliche Bereiche überwacht werden.
3 Die Datenschutz-Folgenabschätzung enthält eine Beschreibung der geplanten Bearbeitung, eine Bewertung der Risiken für die Persönlichkeit oder die Grundrechte der betroffenen Person sowie die Massnahmen zum Schutz der Persönlichkeit und der Grundrechte.
4 Von der Erstellung einer Datenschutz-Folgenabschätzung ausgenommen sind Datenbearbeitungen durch Private, die zur Erfüllung einer gesetzlichen Pflicht des Verantwortlichen erfolgen.
5 Der private Verantwortliche kann von der Erstellung einer Datenschutz-Folgen-abschätzung absehen, wenn er nach Artikel 12 zertifiziert ist oder einen Verhaltens-kodex nach Artikel 10 einhält, der die folgenden Voraussetzungen erfüllt:
a. Der Verhaltenskodex beruht auf einer Datenschutz-Folgenabschätzung.
b. Er sieht Massnahmen zum Schutz der Persönlichkeit oder der Grundrechte der betroffenen Person vor.
c. Er wurde dem Beauftragten vorgelegt.


Version des Entwurfs (BBl 2017 7193), der Gegenstand Botschaft vom 15. September 2017 (BBl 2017 6941) war.