Mit Art. 22 DSG wird neu die Pflicht zur Erstellung von Datenschutz-Folgenabschätzungen eingeführt. Die Datenschutz-Folgenabschätzung wird durch den Verantwortlichen einer Datenbearbeitung vorgenommen und dient der Erkennung und Beurteilung von Risiken, welche für die betroffene Person durch den Einsatz bestimmter Datenbearbeitungen entstehen können. Basierend auf dieser Abschätzung sollen angemessene Massnahmen definiert werden, um Risiken für die betroffene Person zu minimieren. Eine solche Abschätzung ist daher auch für den Verantwortlichen vorteilhaft, weil sie ihm erlaubt, allfällige datenschutzrechtliche Probleme präventiv anzugehen und dadurch nicht zuletzt Kosten zu sparen.
Der Verantwortliche muss nach Art. 22 Abs. 1 DSG eine Datenschutz-Folgenabschätzung durchführen, wenn die vorgesehene Datenbearbeitung voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt. Der Verantwortliche ist mit anderen Worten dazu verpflichtet, eine Prognose über die Folgen einer geplanten Datenbearbeitung für die betroffene Person anzufertigen. Von einem hohen Risiko ist prinzipiell dann auszugehen, wenn die geplante Datenbearbeitung die Verfügungsfreiheit der betroffenen Person über ihre Daten voraussichtlich in einem hohen Masse einschränkt. Wie aus Abs. 2 hervorgeht, kann sich dieses Risiko im Inhalt der Daten (z.B. bei besonders schützenswerten Daten) sowie in der Art, dem Umfang, den Umständen, dem Zweck ihrer Bearbeitung oder in der Verwendung neuer Technologien manifestieren. Je umfangreicher die Bearbeitung, je sensibler die bearbeiteten Daten und je umfassender der Bearbeitungszweck, umso eher ist ein hohes Risiko anzunehmen. Dem Verantwortlichen ist es erlaubt, eine gemeinsame Abschätzung für mehrere ähnliche Bearbeitungsvorgänge zu erstellen. Insbesondere kommen dafür Bearbeitungsvorgänge in Frage, die einen gemeinsamen Zweck haben.
Art. 22 Abs. 3 DSG betrifft den Inhalt einer Datenschutz-Folgenabschätzung. In der Datenschutz-Folgenabschätzung muss zunächst die geplante Bearbeitung dargelegt werden. So müssen etwa die verschiedenen Bearbeitungsvorgänge (z.B. die verwendete Technologie), der Zweck der Bearbeitung oder die Aufbewahrungsdauer aufgeführt werden. Zudem muss aufgezeigt werden, welche Risiken die fraglichen Bearbeitungsvorgänge für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen können. Es handelt sich hierbei um eine vertiefte Untersuchung im Verhältnis zur Risikobewertung, bei welcher die Notwendigkeit einer Datenschutz-Folgenabschätzung bestimmt wird. Darzustellen ist, inwiefern ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person von der Bearbeitung bzw. dem Bearbeitungsvorgang ausgeht und wie dieses Risiko zu bewerten ist. Schliesslich muss erkennbar gemacht werden, mit welchen Massnahmen diese Risiken bewältigt werden sollen. Massgebend sind dafür speziell die Bearbeitungsgrundsätze nach Art. 6 DSG. Auch die Pflicht zum Datenschutz durch Technik und durch datenschutzfreundliche Voreinstellungen (Art. 7 DSG) ist unter Umständen von Relevanz. Im Rahmen der Erstellung des Massnahmenkatalogs darf auch eine Abwägung zwischen den Interessen der betroffenen Person und denjenigen des Verantwortlichen erfolgen. Diese Interessenabwägung ist in der Datenschutz-Folgenabschätzung ebenfalls aufzuführen und entsprechend zu begründen.
Verantwortliche, die Daten in Erfüllung einer gesetzlichen Pflicht bearbeiten, müssen keine Datenschutz-Folgenabschätzung erstellen, soweit die Bearbeitung ausschliesslich auf dieser Pflicht beruht (Art. 22 Abs. 4 DSG). Verantwortliche können zudem von der Erstellung einer Datenschutz-Folgenabschätzung absehen, wenn sie sich einer Zertifizierung nach Art. 13 DSG unterzogen haben.
Die Zertifizierung muss dabei auch die fragliche Bearbeitung miteinschliessen, welche durch die Datenschutz-Folgenabschätzung zu untersuchen wäre. Darüber hinaus kann von einer Datenschutz-Folgenabschätzung abgesehen werden, wenn ein Verhaltenskodex eingehalten wird, welcher die Voraussetzungen von Art. 22 Abs. 5 DSG erfüllt. Es handelt sich dabei um einen Verhaltenskodex nach Art. 11 DSG, welcher durch bestimmte Berufs,- Branchen- oder Wirtschaftsverbände sowie Bundesorgane erlassen werden kann. Ein solcher Kodex muss erstens auf einer Datenschutz-Folgenabschätzung beruhen, in der die fragliche Bearbeitung untersucht wurde (Art. 22 Abs. 5 lit. a DSG). Er muss zweitens Massnahmen zum Schutz der Persönlichkeit oder der Grundrechte der betroffenen Person vorsehen (lit. b). Drittens muss der Verhaltenskodex dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) vorgelegt worden sein (lit. c).
Wenn sich aus der Datenschutz-Folgenabschätzung ergibt, dass die geplante Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person zur Folge hätte, wenn der Verantwortliche keine Massnahmen treffen würde, muss der Verantwortliche gemäss Art. 23 Abs. 1 DSG vorgängig eine Stellungnahme des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragtes einholen. Gemäss Abs. 2 hat der EDÖB dann zwei Monate Zeit, um dem Verantwortlichen seine Einwände gegen die geplante Bearbeitung mitzuteilen. In Ausnahmefällen kann diese Frist um einen Monat verlängert werden. Erhält der Verantwortliche keine fristgerechte Nachricht vom Datenschutzbeauftragten, kann davon ausgegangen werden, dass dieser keine Einwände gegen die vorgeschlagenen Massnahmen hat. Kommt der Beauftragte aber zum Schluss, dass die geplante Bearbeitung in der vorgeschlagenen Form gegen datenschutzrechtliche Vorschriften verstossen würde, schlägt er dem Verantwortlichen geeignete Massnahmen vor, um die festgestellten Probleme zu beheben (Abs. 3). Der private Verantwortliche kann von der Konsultation des Beauftragten absehen, wenn er einen Datenschutzberater nach Art. 10 DSG eingesetzt und diesen hinsichtlich der Datenschutz-Folgenabschätzung konsultiert hat (Abs. 4).