Die Arti­kel-29-Daten­schutz­grup­pe hat ein auf den 28. Novem­ber 2017 datier­tes Arbeits­pa­pier (Working Paper 254) ver­öf­fent­licht, das sich zu den Kri­te­ri­en der Ange­mes­sen­heits­prü­fung i.S.v. Art. 45 DSGVO äussert. Es ersetzt das Working Paper 12 “Trans­fers of per­so­nal data to third coun­tries : App­ly­ing Arti­cles 25 and 26 of the EU data pro­tec­tion direc­tive” von 1998.

Der Mas­stab der Ange­mes­sen­heit wird von der Char­ta der Grund­rech­te, der DSGVO und der ERK 108 vor­ge­ge­ben:

The ‘core’ of data pro­tec­tion ‘con­tent’ princi­ples and ‘procedural/enforcement’ requi­re­ments, which could be seen as a mini­mum requi­re­ment for pro­tec­tion to be ade­qua­te, are deri­ved from the EU Char­ter of Fun­da­men­tal Rights and the GDPR. In addi­ti­on, con­si­de­ra­ti­on should also be given to other inter­na­tio­nal agree­ments on data pro­tec­tion, e.g. Con­ven­ti­on 108.

Das 2. Kapi­tel des WP 254 äussert sich zum Ver­fah­ren des Ange­mes­sen­heits­be­schlus­ses, das 3. Kapi­tel näher zu den dabei zu prü­fen­den Kri­te­ri­en. Dar­aus wird – in Über­ein­stim­mug mit dem Schrems-Urteil – deut­lich, dass die Ange­mes­sen­heit an Grund­sät­zen zu mes­sen ist, nicht an Ein­zel­hei­ten des natio­na­len Rechts. Die Sor­ge um die Ange­mes­sen­heit des revi­dier­ten schwei­ze­ri­schen DSG ist daher unbe­grün­det.

Inhaltliche Kriterien

Kon­zep­tio­nel­le Grund­la­gen: Es müs­sen die grund­le­gen­den Kon­zep­te (Per­so­nen­da­ten, Daten­ver­ar­bei­tung, Con­trol­ler, Pro­ces­sor, Daten­emp­fän­ger, sen­si­ti­ve Daten) vor­han­den sein.

Grund­sät­ze der Daten­ver­ar­bei­tung: Das anwend­ba­re Recht muss die Grund­sät­ze der Daten­ver­ar­bei­tung vor­ge­ben. Mit Blick auf das schwei­ze­ri­sche Recht ist die Vor­ga­be der Recht­mä­ssig­keit inter­es­sant:

The legi­ti­ma­te bases, under which per­so­nal data may be law­ful­ly, fair­ly and legi­ti­mate­ly pro­ces­sed should be set out in a suf­fi­ci­ent­ly clear man­ner. The European frame­work ack­now­led­ges several such legi­ti­ma­te grounds inclu­ding for examp­le, pro­vi­si­ons in natio­nal law, the con­sent of the data sub­ject, per­for­mance of a con­tract or legi­ti­ma­te inte­rest of the data con­trol­ler or of a third par­ty which does not overri­de the inte­rests of the indi­vi­du­al.

Damit dürf­te das schwei­ze­ri­sche Recht über­ein­stim­men. Sol­che “Legi­ti­ma­te grounds” wer­den zwar nicht für jede Daten­be­ar­bei­tung ver­langt, im Ergeb­nis aber für sehr vie­le und sicher für alle kri­ti­schen Bear­bei­tun­gen; dass das schwei­ze­ri­sche Recht den Recht­mä­ssig­keits­grund­satz kennt und wirk­sam umsetzt, soll­te daher nicht frag­lich sein.

Betrof­fe­nen­rech­te: Das anwend­ba­re Recht muss betrof­fe­nen Per­so­nen Rech­te auf Aus­kunft, Berich­ti­gung, Löschung und Wider­spruch ein­räu­men.

Onward Trans­fer: Das anwend­ba­re Recht ist nur ange­mes­sen, wenn es die Wei­ter­lei­tung von Daten (“onward trans­fer”) unter die Vor­aus­set­zung stellt, dass die Daten im Emp­fän­ger­staat durch das dor­ti­ge Recht oder ver­trag­li­che Ver­ein­ba­run­gen wie­der­um ange­mes­sen geschützt sind (wobei klar ist, dass punk­tu­el­le Aus­nah­men bspw. für die Wei­ter­lei­tung mit Ein­wil­li­gung der betrof­fe­nen Per­so­nen erlaubt blei­ben).

Beson­de­re Regeln: Im bestimm­ten Fäl­len muss das anwend­ba­re Recht beson­de­re Anfor­de­run­gen vor­se­hen. Das gilt für sen­si­ti­ve Daten, das Wider­spruchs­recht bei Direkt­mar­ke­ting und auto­ma­ti­sier­te Ein­zel­ent­schei­dun­gen.

Rechtsdurchsetzung

Auf­sichts­be­hör­den: Die Ein­hal­tung des Daten­schutz­rechts muss von einer oder meh­re­ren unab­hä­gi­gen Auf­sichts­be­hör­den geprüft und durch­ge­setzt wer­den.

The super­vi­so­ry aut­ho­ri­ty shall act with com­ple­te inde­pen­dence and impar­tia­li­ty in per­forming its duties and exer­ci­s­ing its powers and in doing so shall neit­her seek nor accept inst­ruc­tions. In that con­text, the super­vi­so­ry aut­ho­ri­ty should have all the necessa­ry and avail­ab­le powers and mis­si­ons to ensu­re com­pli­an­ce with data pro­tec­tion rights and pro­mo­te awa­reness. Con­si­de­ra­ti­on should also be given to the staff and bud­get of the super­vi­so­ry aut­ho­ri­ty. The super­vi­so­ry aut­ho­ri­ty shall also be able, on its own initia­ti­ve, to con­duct inve­sti­ga­ti­ons.

Durch­set­zung: Das anwend­ba­re Recht muss die Durch­set­zung sichern. Dazu gehö­ren auch effek­ti­ve und abschrecken­de Sank­tio­nen, wobei kei­ne Vor­ga­ben für die kon­kre­te Aus­ge­stal­tung des Sank­ti­ons­sy­stems bestehen:

The exi­stence of effec­tive and dissua­si­ve sanc­tions can play an important role in ensu­ring respect for rules, as of cour­se can systems of direct veri­fi­ca­ti­on by aut­ho­ri­ties, audi­tors, or inde­pen­dent data pro­tec­tion offi­ci­als.

Accoun­ta­bi­li­ty: Das anwend­ba­re Recht muss die Ver­ant­wort­li­chen “und/oder” die Auf­trags­ver­ar­bei­ter dazu ver­pflich­ten, die Ein­hal­tung des Daten­schutz­rechts nach­wei­sen zu kön­nen:

Such mea­su­res may inclu­de for examp­le data pro­tec­tion impact assess­ments, the kee­ping of records or log files of data pro­ces­sing activi­ties for an appro­pria­te peri­od of time, the desi­gna­ti­on of a data pro­tec­tion offi­cer or data pro­tec­tion by design and by default.

Rechts­schutz: Die betrof­fe­nen Per­so­nen müs­sen Rechts­schutz in Anspruch neh­men und Scha­den­er­satz ver­lan­gen kön­nen (wobei die Art des ersatz­fä­hi­gen Scha­dens nicht umschrie­ben ist; es ist also nicht not­wen­dig, wie die DSGVO auch für imma­te­ri­el­le “Schä­den” Ersatz vor­zu­se­hen).

Posted by David Vasella

RA Dr. David Vasella ist Rechtsanwalt bei FRORIEP. Er ist auf IT-, Datenschutz- und Immaterialgüterrecht spezialisiert und ist Lehrbeauftragter der Universität Zürich. Er ist Gründer von swissblawg.