Der Zweck des künf­ti­gen DSG ent­spricht dem Zweck des gel­ten­den Rechts (Art. 1 DSG). Das DSG kon­kre­ti­siert auf Geset­zes­ebe­ne das in Arti­kel 13 Absatz 2 BV fest­ge­hal­te­ne Recht auf infor­ma­tio­nel­le Selbst­be­stim­mung im Zusam­men­hang mit Per­so­nen­da­ten, d. h. das Recht der betrof­fe­nen Per­son, grund­sätz­lich selbst zu bestim­men, ob und zu wel­chen Zwecken Daten über sie bear­bei­tet wer­den dür­fen. Die Bestim­mung wird ledig­lich redak­tio­nell geän­dert, indem aus­drück­lich der Schutz auf natür­li­che Per­so­nen beschränkt wird. Die­se Anpas­sung erfolgt auf­grund des geän­der­ten Gel­tungs­be­reichs (sie­he die Erläu­te­run­gen zu Art. 2 E‑DSG).

Der Anwen­dungs­be­reich des DSG wird durch den E‑DSG teil­wei­se erwei­tert, dies ins­be­son­de­re, um den Anfor­de­run­gen des E‑SEV 108 gerecht zu wer­den. So ist vor­ge­se­hen, die Aus­nah­men in Bezug auf hän­gi­ge Zivil­pro­zes­se, Straf­ver­fah­ren, Ver­fah­ren der inter­na­tio­na­len Rechts­hil­fe sowie staats- und ver­wal­tungs­recht­li­che Ver­fah­ren (Art. 2 Abs. 2 Bst. c DSG) und die­je­ni­ge betref­fend öffent­li­che Regi­ster des Pri­vat­rechts­ver­kehrs (Art. 2 Abs. 2 Bst. d DSG) anzu­pas­sen. Zudem ist dar­auf hin­zu­wei­sen, dass der E‑DSG genau wie das bis­he­ri­ge Recht das Daten­schutz­recht im All­ge­mei­nen regelt. Falls die Bear­bei­tung von Per­so­nen­da­ten in den Anwen­dungs­be­reich ande­rer Bun­des­ge­set­ze fällt, gel­ten auf­grund der Lex-spe­cia­lis-Regel (beson­de­re Nor­men gehen der all­ge­mei­nen Norm vor) grund­sätz­lich die bereichs­spe­zi­fi­schen Daten­schutz­nor­men. Abs. 1 Anwen­dung für natür­li­che Personen Das DSG gilt gemäss dem Vor­ent­wurf für die Bear­bei­tung von Daten natür­li­cher Per­so­nen durch pri­va­te Per­so­nen und Bun­des­or­ga­ne. Auf­he­bung des Schut­zes für Daten juri­sti­scher Personen Mit dem E‑DSG wird vor­ge­schla­gen, auf den Schutz von Daten juri­sti­scher Per­so­nen zu ver­zich­ten. In den daten­schutz­recht­li­chen Bestim­mun­gen der Euro­päi­schen Uni­on und des Euro­pa­ra­tes sowie in den ent­spre­chen­den Rege­lun­gen der mei­sten aus­län­di­schen Gesetz­ge­ber ist kein sol­cher Schutz vor­ge­se­hen. Die­ser Schutz ist nur von gerin­ger prak­ti­scher Bedeu­tung, und der Beauf­trag­te hat zu die­sem Bereich noch nie eine Emp­feh­lung abge­ge­ben. Auch bleibt für juri­sti­sche Per­so­nen ein umfas­sen­der Schutz unver­än­dert bestehen, wie er durch die Arti­kel 28 ff. des Zivil­ge­setz­buchs (ZGB) (Per­sön­lich­keits­ver­let­zun­gen wie bei­spiels­wei­se Ruf­schä­di­gung), das UWG, das Urhe­ber­rechts­ge­setz vom 9. Okto­ber 1992 oder durch die Bestim­mun­gen zum Schutz von Berufs‑, Geschäfts- und Fabri­ka­ti­ons­ge­heim­nis­sen sowie Arti­kel 13 BV auf Ver­fas­sungs­ebe­ne gewähr­lei­stet wird. Die Ände­rung erlaubt indes­sen, den Schutz in jenen Berei­chen zu ver­bes­sern, in denen er der­zeit nicht aus­rei­chend umge­setzt wird und dadurch die Glaub­wür­dig­keit des Geset­zes zu erhö­hen. Die­se Lösung hat auch den Vor­teil, dass die Bekannt­ga­ben von Daten juri­sti­scher Per­so­nen ins Aus­land nicht mehr davon abhängt, ob im Emp­fän­ger­land ein ange­mes­se­ner Schutz gewähr­lei­stet ist (Art. 13 E‑DSG). Dies wird vor­aus­sicht­lich zu einer Zunah­me der Bekannt­ga­be ins Aus­land bei­tra­gen. Fest­zu­hal­ten ist auch, dass die mei­sten Exper­tin­nen und Exper­ten, die im Rah­men der RFA zur Revi­si­on des DSG befragt wur­den, sowie die Mehr­heit der Ver­nehm­las­sungs­teil­neh­mer den Ver­zicht auf den Schutz von Daten juri­sti­scher Per­so­nen befür­wor­te­ten. Das­sel­be gilt für das Par­la­ment, das einer Moti­on, wel­che den Schutz von Daten juri­sti­scher Per­so­nen bei­be­hal­ten woll­te, nicht zuge­stimmt hat. Im Bereich der Daten­be­ar­bei­tun­gen durch Bun­des­or­ga­ne hat die Auf­he­bung des Schut­zes von Daten juri­sti­scher Per­so­nen zur Fol­ge, dass die bun­des­recht­li­chen Geset­zes­grund­la­gen, mit denen die Bun­des­or­ga­ne zur Bear­bei­tung von Per­so­nen­da­ten ermäch­tigt wer­den, nicht mehr anwend­bar sind, wenn die­se Daten juri­sti­scher Per­so­nen bear­bei­ten. Nach Arti­kel 5 BV ist die Grund­la­ge staat­li­chen Han­delns jedoch das Recht. Der Geset­zes­ent­wurf führt des­halb im RVOG für die Bun­des­or­ga­ne eine Rei­he von Bestim­mun­gen ein, wel­che deren Umgang mit Daten juri­sti­scher Per­so­nen regeln (vgl. Ziff. 9.2.8). Ausser­dem soll eine Über­gangs­be­stim­mung wäh­rend fünf Jah­ren mög­li­che Rechts­lücken ver­hin­dern (vgl. Art. 66 E‑DSG sowie die Erläu­te­run­gen unter Ziff. 9.1.11). Das Öffent­lich­keits­ge­setz vom 17. Dezem­ber 2004 (BGÖ) räumt allen Per­so­nen das Recht ein, amt­li­che Doku­men­te der Bun­des­be­hör­den ein­zu­se­hen, für die das Öffent­lich­keits­prin­zip gilt. Der neue Gel­tungs­be­reich des E‑DSG hat zur Fol­ge, dass der Zugang zu amt­li­chen Doku­men­ten, die Daten juri­sti­scher Per­so­nen ent­hal­ten, nicht mehr aus Daten­schutz­grün­den ein­ge­schränkt wer­den kann, son­dern nur wenn dadurch Berufs‑, Geschäfts- oder Fabri­ka­ti­ons­ge­heim­nis­se offen­bart wer­den kön­nen (Art. 7 Abs. 1 Bst. g BGÖ) oder wenn das Risi­ko besteht, dass die Pri­vat­sphä­re der juri­sti­schen Per­son beein­träch­tigt wird, bei­spiels­wei­se deren guter Ruf. Um die Rech­te juri­sti­scher Per­so­nen beim Zugang zu amt­li­chen Doku­men­ten zu garan­tie­ren, wenn ein Gesuch sich auf Doku­men­te bezieht, bei denen die Gewäh­rung des Zugangs die Pri­vat­sphä­re der juri­sti­schen Per­son beein­träch­ti­gen könn­te, wer­den im Geset­zes­ent­wurf eini­ge Bestim­mun­gen des BGÖ ange­passt (vgl. Ziff. 9.2.7). Die Auf­he­bung des Schut­zes von Daten juri­sti­scher Per­so­nen bewirkt eben­falls, dass die­se gestützt auf den E‑DSG kein Aus­kunfts­recht mehr gel­tend machen kön­nen. Sie kön­nen aber ihre Ver­fah­rens­rech­te gel­tend machen und gege­be­nen­falls auf­grund des Öffent­lich­keits­ge­set­zes Ein­sicht in öffent­li­che Doku­men­te ver­lan­gen, wenn die­se Infor­ma­tio­nen ent­hal­ten, die sie betref­fen. Abs. 2 Aus­nah­men vom Geltungsbereich Das DSG ist wie bis­her nicht anwend­bar auf Per­so­nen­da­ten, die durch eine natür­li­che Per­son aus­schliess­lich zum per­sön­li­chen Gebrauch bear­bei­tet wer­den (Art. 2 Abs. 2 Bst. a E‑DSG); die redak­tio­nel­le Anpas­sung beinhal­tet kei­ne mate­ri­el­len Ände­run­gen. Eben­falls vom Gel­tungs­be­reich aus­ge­nom­men bleibt die Bear­bei­tung von Per­so­nen­da­ten, die durch die eid­ge­nös­si­schen Räte und die par­la­men­ta­ri­schen Kom­mis­sio­nen im Rah­men ihrer Bera­tun­gen erfolgt (Art. 2 Abs. 2 Bst. b E‑DSG); dies aus den­sel­ben Grün­den wie sie der Bun­des­rat bereits in der Bot­schaft vom 23. März 1988 ange­führt hat. Nach Buch­sta­be c sind die insti­tu­tio­nel­len Begün­stig­ten gemäss Arti­kel 2 Absatz 1 des Gast­staat­ge­set­zes vom 22. Juni 2007 (GSG), die in der Schweiz Immu­ni­tät von der Gerichts­bar­keit genie­ssen, dem E‑DSG nicht unter­stellt. In Bezug auf das IKRK wird damit die aktu­el­le Situa­ti­on bei­be­hal­ten und es wer­den die übri­gen betrof­fe­nen insti­tu­tio­nel­len Begün­stig­ten aus­drück­lich erwähnt. Die­se ande­ren betrof­fe­nen insti­tu­tio­nel­len Begün­stig­ten genie­ssen gestützt auf das Völ­ker­recht und das GSG sel­ber auch Unab­hän­gig­keit und Hand­lungs­frei­heit, damit sie ihre inter­na­tio­na­len Funk­tio­nen erfül­len kön­nen. Von einem Staat kann nicht erwar­tet wer­den, dass er sich in Bezug auf die Daten, die von sei­nen diplo­ma­ti­schen oder kon­su­la­ri­schen Ver­tre­tun­gen bear­bei­tet wer­den, den Regeln des Schwei­zer Rechts unter­wirft. Die Schweiz ist ihrer­seits nicht ver­pflich­tet, in Bezug auf ihr Ver­tre­tungs­netz im Aus­land die aus­län­di­schen Regeln über den Daten­schutz zu beach­ten. Auch von einer inter­na­tio­na­len Orga­ni­sa­ti­on, die defi­ni­ti­ons­ge­mäss Akti­vi­tä­ten in zahl­rei­chen Staa­ten durch­führt, kann nicht ver­langt wer­den, dass sie die Anfor­de­run­gen des natio­na­len Rechts eines jeden Staa­tes, in dem sie tätig ist, befolgt, denn dies wür­de es ihr ver­un­mög­li­chen, die Funk­tio­nen, die ihr kraft ihrer Sta­tu­ten zuge­wie­sen wur­den, zu erfül­len. Abs. 3 Bear­bei­tung von Per­so­nen­da­ten in Verfahren Nach Arti­kel 2 Absatz 3 E‑DSG regelt das anwend­ba­re Ver­fah­rens­recht die Bear­bei­tung von Per­so­nen­da­ten und die Rech­te der betrof­fe­nen Per­so­nen in Gerichts­ver­fah­ren und in Ver­fah­ren nach bun­des­recht­li­chen Ver­fah­rens­ord­nun­gen. Die Norm regelt das Ver­hält­nis des DSG zum Ver­fah­rens­recht und hält als all­ge­mei­nen Grund­satz fest, dass aus­schliess­lich das anwend­ba­re Ver­fah­rens­recht dar­über bestimmt, wie im Rah­men der Ver­fah­ren Per­so­nen­da­ten bear­bei­tet wer­den und wie die Rech­te der betrof­fe­nen Per­so­nen aus­ge­stal­tet sind. Das Ver­fah­rens­recht stellt im Rah­men sei­ner Rege­lun­gen eben­falls den Schutz der Per­sön­lich­keit und der Grund­rech­te aller Betei­lig­ten sicher und gewähr­lei­stet damit einen dem DSG äqui­va­len­ten Schutz. Käme in die­sem Bereich das DSG zur Anwen­dung, bestün­de die Gefahr von Norm­kol­li­sio­nen und Wider­sprü­chen, die das aus­ta­rier­te System der jeweils anwend­ba­ren Ver­fah­rens­ord­nung stö­ren könn­ten. Aus die­sen Grün­den sieht auch Arti­kel 9 Zif­fer 1 Buch­sta­be a E‑SEV 108 eine ent­spre­chen­de Aus­nah­me vor. Mate­ri­ell ent­spricht die Rege­lung im E‑DSG dem gel­ten­den Recht. Unter die Aus­nah­me von Absatz 3 fal­len nach dem Wort­laut zunächst “Gerichts­ver­fah­ren”. Hier­zu zäh­len sämt­li­che Ver­fah­ren vor kan­to­na­len und eid­ge­nös­si­schen Straf‑, Zivil und Ver­wal­tungs­ge­rich­ten, aber auch vor Schieds­ge­rich­ten mit Sitz in der Schweiz. Wei­ter erfasst die Aus­nah­me sämt­li­che Ver­fah­ren nach bun­des­recht­li­chen Ver­fah­rens­ord­nun­gen unab­hän­gig davon, vor wel­cher Behör­de sie statt­fin­den. Zu den bun­des­recht­li­chen Ver­fah­rens­ord­nun­gen gehö­ren nament­lich das Bun­des­ge­richts­ge­setz vom 17. Juni 2005 (BGG), das Ver­wal­tungs­ge­richts­ge­setz vom 17. Juni 2005 (VGG), das Patent­ge­richts­ge­setz vom 20. März 2009, das VwVG, soweit es nicht um das erst­in­stanz­li­che Ver­wal­tungs­ver­fah­ren geht, die Zivil­pro­zess­ord­nung (ZPO), das Bun­des­ge­setz vom 11. April 1889 über Schuld­be­trei­bung und Konkurs(SchKG), die StPO, das VStrR, der Mili­tär­straf­pro­zess vom 23. März 1979 und das IRSG. Anders als das bis­he­ri­ge Recht ver­zich­tet der E‑DSG auf den Begriff des hän­gi­gen Ver­fah­rens, weil ledig­lich im Zivil­pro­zess­recht von Rechts­hän­gig­keit die Rede ist und die­ser Begriff des­halb mit­un­ter zu Abgren­zungs­pro­ble­men führ­te. Mass­ge­bend ist nun, ob ein Ver­fah­ren vor einem Gericht statt­fin­det oder von einer bun­des­recht­li­chen Ver­fah­rens­ord­nung gere­gelt ist. Ein Ver­fah­ren fin­det vor einem Gericht statt, wenn die­ses zum ersten Mal mit einem Fall befasst ist, indem das Ver­fah­ren nach der mass­ge­ben­den Ver­fah­rens­ord­nung ein­ge­lei­tet wur­de. Ein Ver­fah­ren ist durch bun­des­recht­li­che Ver­fah­rens­ord­nun­gen gere­gelt, sobald ein bestimm­ter Sach­ver­halt durch­ein­eBe­hör­de­ent­spre­chend­den­Vor­schrif­tenin­ei­nem­die­ser­Ge­set­ze­be­han­delt wird. Die mass­ge­ben­de Ver­fah­rens­ord­nung bleibt auch nach Abschluss des Ver­fah­rens anwend­bar. Damit die Akten­la­ge nicht nach­träg­lich durch pro­zess­frem­de Instru­men­te ver­än­dert wer­den kann, sieht das Pro­zess­recht eigen­stän­di­ge Ver­fah­ren zur Akten­pfle­ge, zur Akten­ein­sicht und zur Akten­auf­be­wah­rung vor. Wesent­li­ches Abgren­zungs­kri­te­ri­um für die Nicht­an­wend­bar­keit des DSG ist somit zusam­men­fas­send, ob funk­tio­nal betrach­tet ein unmit­tel­ba­rer Zusam­men­hang zu einem (Gerichts-) Ver­fah­ren besteht oder nicht. Ein sol­cher liegt vor, wenn die frag­li­che Bear­bei­tung von Per­so­nen­da­ten kon­kre­te Aus­wir­kun­gen auf die­ses Ver­fah­ren oder des­sen Aus­gang oder die Ver­fah­rens­rech­te der Par­tei­en haben kann. Wenn die Vor­schrift von Absatz 3 zum Tra­gen kommt, regelt aus­schliess­lich das anwend­ba­re Ver­fah­rens­recht die Bear­bei­tung von Per­so­nen­da­ten und die Rech­te der betrof­fe­nen Per­so­nen. Sowohl Daten­be­ar­bei­tun­gen des Gerichts gegen­über den Ver­fah­rens­be­tei­lig­ten als auch Daten­be­ar­bei­tun­gen, wel­che die Betei­lig­ten gegen­über ande­ren Ver­fah­rens­be­tei­lig­ten durch­füh­ren, rich­ten sich nach dem anwend­ba­ren Ver­fah­rens­recht. Dies gilt ins­be­son­de­re für die Rech­te der Par­tei­en zur Kennt­nis­nah­me der ins Ver­fah­ren ein­flie­ssen­den Daten und zur all­fäl­li­gen Berich­ti­gung bestimm­ter Daten sowie für die Daten­be­ar­bei­tung im Rah­men der gericht­li­chen Ver­fah­ren im All­ge­mei­nen. Das bedeu­tet nament­lich, dass die ver­schie­de­nen Rechts­be­hel­fe nach dem DSG weder gegen­über Daten­be­ar­bei­tun­gen des Gerichts im Rah­men des Ver­fah­rens noch gegen­über Daten­be­ar­bei­tun­gen der ande­ren Ver­fah­rens­be­tei­lig­ten zum Tra­gen kom­men. So kön­nen die Ver­fah­rens­be­tei­lig­ten bei­spiels­wei­se kein Aus­kunfts­recht nach dem DSG gel­tend machen, um beim Gericht Akten­ein­sicht zu erhal­ten oder bei ande­ren Ver­fah­rens­be­tei­lig­ten Beweis­mit­tel zu beschaf­fen (vgl. hier­zu Ziff. 9.1.5). Es ist mit ande­ren Wor­ten nicht mög­lich, auf dem Wege des DSG ver­fah­rens­re­le­van­te Hand­lun­gen gegen­über dem Gericht oder unter den Ver­fah­rens­be­tei­lig­ten vor­zu­neh­men, wel­che nach dem frag­li­chen Ver­fah­rens­recht aus­ge­schlos­sen wären oder aber umge­kehrt unter bestimm­ten Vor­aus­set­zun­gen nach bestimm­ten Regeln und Grund­sät­zen zu erfol­gen haben. Auch nach Abschluss des Ver­fah­rens kön­nen die Akten ledig­lich nach den Vor­schrif­ten des Pro­zess­rechts abge­än­dert wer­den (Berich­ti­gung, Erläu­te­rung, Revi­si­on), da die Akten mit dem Ergeb­nis eines Ver­fah­rens über­ein­stim­men müs­sen. Nicht aus­ge­schlos­sen ist dadurch, dass das anwend­ba­re Ver­fah­rens­recht nach Abschluss des Ver­fah­rens das DSG für anwend­bar erklärt (vgl. Art. 99 StPO). Soweit das anwend­ba­re Pro­zess­recht in Bezug auf das Akten­ein­sichts­recht Drit­ter nach Abschluss des Ver­fah­rens kei­ne Vor­schrif­ten ent­hält, soll­te sich die Rechts­an­wen­dung an den Bestim­mun­gen des DSG ori­en­tie­ren. Anders als noch die Ver­nehm­las­sungs­vor­la­ge nimmt der Absatz 3 damit nicht mehr ledig­lich die Daten­be­ar­bei­tun­gen bestimm­ter Insti­tu­tio­nen vom Anwen­dungs­be­reich des DSG aus, was in der Ver­nehm­las­sung erheb­lich kri­ti­siert wur­de. Viel­mehr sind auch Daten­be­ar­bei­tun­gen durch die Par­tei­en erfasst. Zudem wird der Nor­men­kon­flikt auf ande­re Wei­se gelöst, indem die Norm das anwend­ba­re Recht bestimmt. Ins­be­son­de­re für die eid­ge­nös­si­schen Gerich­te bedeu­tet dies im Ergeb­nis jedoch nach wie vor, dass sie vom Anwen­dungs­be­reich des DSG aus­ge­nom­men sind, was Daten­be­ar­bei­tun­gen im Rah­men ihrer Recht­spre­chungs­tä­tig­keit angeht, wodurch der Gewal­ten­tei­lung Rech­nung getra­gen wird. Im Umkehr­schluss ergibt sich aus Arti­kel 2 Absatz 3 jedoch auch, dass das DSG anwend­bar ist auf Daten­be­ar­bei­tun­gen durch die admi­ni­stra­ti­ven Dien­ste von Gerich­ten und Behör­den, wie bei­spiels­wei­se die Bear­bei­tung von Daten über das Per­so­nal. Eben­falls müs­sen die Gerich­te bei der Archi­vie­rung von Beweis­mit­teln und Ent­schei­den die Daten­si­cher­heit gewähr­lei­sten. Dabei bestehen jedoch Aus­nah­men von der Auf­sicht durch den Beauf­trag­ten (vgl. Art. 3 Abs. 2 E‑DSG und die Erläu­te­run­gen). Die Vor­schrift von Arti­kel 2 Absatz 3 E‑DSG gilt nach Satz 2 nicht für erst­in­stanz­li­che Ver­wal­tungs­ver­fah­ren. Die­se Rege­lung aus dem bis­he­ri­gen Recht wird unver­än­dert bei­be­hal­ten. Abs. 4 Öffent­li­che Regi­ster des Privatrechtsverkehrs Die in Arti­kel 2 Absatz 2 Buch­sta­be d DSG vor­ge­se­he­ne Aus­nah­me betref­fend die öffent­li­chen Regi­ster des Pri­vat­rechts­ver­kehrs ist mit den Anfor­de­run­gen von Arti­kel 3 E‑SEV 108 nicht ver­ein­bar. Das künf­ti­ge Über­ein­kom­men sieht näm­lich kei­ne Aus­nah­me für sol­che Regi­ster vor. Das Glei­che gilt für die Ver­ord­nung (EU) 2016/679. Auch wenn es im Inter­es­se der betrof­fe­nen Per­so­nen liegt, dass die öffent­li­chen Regi­ster des Pri­vat­rechts­ver­kehrs die Grund­sät­ze des Daten­schut­zes ein­hal­ten, so besteht doch auch ein öffent­li­ches Inter­es­se an der Füh­rung die­ser Regi­ster und am Zugang dazu (sie­he Erwä­gung 73 der Ver­ord­nung [EU] 2016/679). In einem Urteil vom 9. März 2017 hat­te der Gerichts­hof der Euro­päi­schen Uni­on die Gele­gen­heit, sich zur Abgren­zung zwi­schen dem Daten­schutz und der Öffent­lich­keit eines von den ita­lie­ni­schen Behör­den geführ­ten Han­dels­re­gi­sters zu äussern. In die­ser Rechts­sa­che ver­lang­te ein ehe­ma­li­ger Ver­wal­ter und Liqui­da­tor eines in Kon­kurs gera­te­nen Unter­neh­mens die Löschung bestimm­ter Daten zu sei­ner Per­son aus dem genann­ten Regi­ster. Zur Bei­le­gung die­ser Rechts­strei­tig­keit ersuch­te das ita­lie­ni­sche Kas­sa­ti­ons­ge­richt den Gerichts­hof, zu prü­fen, ob der in Arti­kel 6 Absatz 1 Buch­sta­be e der Richt­li­nie 95/46/EG ver­an­ker­te Grund­satz der Daten­auf­be­wah­rung, wie in der ersten Richt­li­nie 68/151/EWG vor­ge­se­hen, Vor­rang vor dem Regime der Öffent­lich­keit von Han­dels­re­gi­stern haben soll. Nach die­sem Grund­satz wer­den per­sön­li­che Daten nicht län­ger, als es für die Rea­li­sie­rung der Zwecke, für die sie erho­ben oder wei­ter­ver­ar­bei­tet wer­den, erfor­der­lich ist, in einer Form auf­be­wahrt, die die Iden­ti­fi­zie­rung der betrof­fe­nen Per­so­nen ermög­licht. Gemäss dem Gerichts­hof soll die Öffent­lich­keit des Han­dels­re­gi­sters die Rechts­si­cher­heit zwi­schen den Unter­neh­men und Drit­ten gewähr­lei­sten und Letz­te­ren ermög­li­chen, von wesent­li­chen Akti­vi­tä­ten des betref­fen­den Unter­neh­mens und von bestimm­ten Daten zu den ver­tre­tungs­be­rech­tig­ten Per­so­nen Kennt­nis zu erlan­gen. Die Öffent­lich­keit sol­cher Infor­ma­tio­nen ist auch nach der Auf­lö­sung eines Unter­neh­mens gerecht­fer­tigt. Denn es kann sich bei­spiels­wei­se als not­wen­dig erwei­sen, im Hin­blick auf ein mög­li­ches Gerichts­ver­fah­ren die Recht­mä­ssig­keit von Hand­lun­gen eines Unter­neh­mens wäh­rend sei­ner Geschäfts­tä­tig­keit zu über­prü­fen. Gemäss dem Gerichts­hof ver­un­mög­li­chen aber die unter­schied­li­chen Ver­jäh­rungs­re­ge­lun­gen in den Mit­glied­staa­ten die Fest­le­gung einer ein­heit­li­chen Frist ab Auf­lö­sung des Unter­neh­mens, nach deren Ablauf die im Han­dels­re­gi­ster erfass­ten Daten nicht mehr benö­tigt wer­den. Vor die­sem Hin­ter­grund hält der Gerichts­hof fest, dass die Mit­glied­staa­ten nach Arti­kel 6 Absatz 1 Buch­sta­be e der Richt­li­nie 95/46/EG den betrof­fe­nen Per­so­nen bei­spiels­wei­se nicht ein Recht auf Löschung ihrer Per­so­nen­da­ten nach einer bestimm­ten Frist ab Auf­lö­sung des Unter­neh­mens gewähr­lei­sten kön­nen. Wenn die Rechts­si­cher­heit und der Schutz der Inter­es­sen Drit­ter über­wie­gen, ist es den­noch nicht aus­ge­schlos­sen, dass eine Per­son in beson­de­ren und ausser­ge­wöhn­li­chen Situa­tio­nen ein über­wie­gen­des und schüt­zens­wer­tes Inter­es­se dar­an gel­tend machen kann, dass der Zugang zu ihren Per­so­nen­da­ten ein­ge­schränkt wird. Der Gerichts­hof kommt des­halb zum Schluss, dass es den Mit­glied­staa­ten obliegt zu bestim­men, ob die betrof­fe­nen Per­so­nen von der regi­ster­füh­ren­den Behör­de ver­lan­gen kön­nen, im Ein­zel­fall zu prü­fen, ob es auf­grund eines über­wie­gen­den schüt­zens­wer­ten Inter­es­ses aus­nahms­wei­se gerecht­fer­tigt ist, nach Ablauf einer aus­rei­chen­den Frist nach der Auf­lö­sung des betrof­fe­nen Unter­neh­mens den Zugang zu ihren Per­so­nen­da­ten ein­zu­schrän­ken. Zwar stützt sich das Urteil des Gerichts­hofs auf die Richt­li­nie 95/46/EG, die ab Inkraft­tre­ten der Ver­ord­nung (EU) 2016/679 nicht mehr anwend­bar ist, die Erwä­gun­gen die­ses Urteils bewah­ren ihre Gül­tig­keit aber auch für die neue Gesetz­ge­bung. Nach dem in Arti­kel 9 ZGB fest­ge­leg­ten Grund­satz erbrin­gen öffent­li­che Regi­ster für die durch sie bezeug­ten Tat­sa­chen vol­len Beweis, solan­ge nicht die Unrich­tig­keit ihres Inhalts nach­ge­wie­sen ist. Ange­sichts des Zwecks die­ser Regi­ster ist der Bun­des­rat der Ansicht, dass Daten­schutz­grün­de die Öffent­lich­keit der Regi­ster des Pri­vat­rechts­ver­kehrs nicht beein­träch­ti­gen dür­fen. Das­sel­be gilt für die Regi­ster im Bereich des Imma­te­ri­al­gü­ter­rechts: Der Gesetz­ge­ber hat bereits eine Inter­es­sen­ab­wä­gung vor­ge­nom­men und garan­tiert die Öffent­lich­keit die­ser Regi­ster. Nach Ansicht des Bun­des­ra­tes ist es nicht Auf­ga­be des DSG, die Rech­te der betrof­fe­nen Per­so­nen auf die­sem Gebiet zu regeln. Des­halb ist in Absatz 4 eine Ein­schrän­kung zugun­sten der Spe­zi­al­be­stim­mun­gen des Bun­des­rechts vor­zu­se­hen. Die Ände­rung betrifft aus­schliess­lich öffent­li­che Regi­ster des Pri­vat­rechts­ver­kehrs, die von Bun­des­be­hör­den geführt wer­den, d. h. das elek­tro­ni­sche Zivil­stands­re­gi­ster, Zefix, das Luft­fahr­zeug­buch des Bun­des­amts für Zivil­luft­fahrt und die Regi­ster des Eid­ge­nös­si­schen Insti­tuts für Gei­sti­ges Eigen­tum (ins­be­son­de­re das Marken‑, das Patent- und das Design­re­gi­ster). Die öffent­li­chen Regi­ster des Pri­vat­rechts­ver­kehrs, für wel­che die Kan­to­ne zustän­dig sind, unter­ste­hen dem kan­to­na­len Daten­schutz­recht. Dies gilt auch, wenn die­se Daten im Rah­men des Voll­zugs von Bun­des­recht bear­bei­tet wer­den. Aller­dings darf das kan­to­na­le Daten­schutz­recht die kor­rek­te und ein­heit­li­che Anwen­dung des Bun­des­pri­vat­rechts und ins­be­son­de­re den Grund­satz der Öffent­lich­keit der Regi­ster nicht behin­dern. Die Auf­he­bung von Arti­kel 2 Absatz 2 Buch­sta­be d DSG hat daher auf die fol­gen­den kan­to­na­len Regi­ster kei­ne Aus­wir­kun­gen: das Grund­buch, das Schiffs­re­gi­ster, die kan­to­na­len Han­dels­re­gi­ster, die Betrei­bungs- und Kon­kurs­re­gi­ster und das öffent­li­che Regi­ster über die Eigen­tums­vor­be­hal­te. Absatz 4 hat eben­falls kei­ne Aus­wir­kun­gen auf öffent­lich-recht­li­che Regi­ster wie z. B. das Medi­zi­nal­be­ru­fe­re­gi­ster, auf die das betref­fen­de Spe­zi­al­ge­setz anwend­bar ist, sub­si­di­är das DSG. Räum­li­cher Geltungsbereich Im Gegen­satz zur Ver­ord­nung (EU) 2016/679 (Art. 3) ent­hält der E‑DSG kei­ne beson­de­re Bestim­mung zum räum­li­chen Gel­tungs­be­reich des Geset­zes. Nach Auf­fas­sung des Bun­des­ra­tes bie­tet bereits das gel­ten­de Recht die Mög­lich­keit, das DSG weit­ge­hend auf Situa­tio­nen mit inter­na­tio­na­lem Cha­rak­ter anzu­wen­den. Auf­grund der Aus­wir­kungs­theo­rie gilt dies auch für das öffent­li­che Recht. Die Schwie­rig­kei­ten sind weni­ger beim räum­li­chen Gel­tungs­be­reich anzu­sie­deln als bei der Umset­zung und Voll­streckung von Ent­schei­den, ins­be­son­de­re im Bereich des Inter­nets. Der Bun­des­rat hat geprüft, ob die Ver­ant­wort­li­chen und die Auf­trags­be­ar­bei­ter dazu ver­pflich­tet wer­den sol­len, ein Zustel­lungs­do­mi­zil in der Schweiz anzu­ge­ben, um die Voll­streckung von Ent­schei­den, die sie betref­fen, zu erleich­tern. Er hat schliess­lich aus den­sel­ben Grün­den dar­auf ver­zich­tet, die bereits im Bericht vom 11. Dezem­ber 2015 betref­fend die zivil­recht­li­che Ver­ant­wort­lich­keit von Pro­vi­dern dar­ge­stellt wor­den sind. Viel­mehr wäre eine Lösung über bi- oder mul­ti­la­te­ra­le Rechts­hil­fe­ab­kom­men vor­zu­zie­hen, wel­che die direk­te Post­zu­stel­lung von Doku­men­ten ins Aus­land ermög­li­chen. Sol­che Abkom­men bestehen im Bereich des Zivil­rechts bereits mit eini­gen Staa­ten, in denen bekann­te Inter­net­un­ter­neh­men ihren Sitz haben, wie bei­spiels­wei­se Irland oder die Ver­ei­nig­ten Staa­ten. Der Bun­des­rat hat die­sen Stand­punkt im straf­recht­li­chen Bereich in sei­ner Stel­lung­nah­me zur Moti­on Lev­rat 16.4082 “Den Straf­ver­fol­gungs­be­hör­den den Zugang zu Daten von sozia­len Netz­wer­ken erleich­tern” bestä­tigt. Schliess­lich weist er dar­auf hin, dass die Pflicht zur Bezeich­nung eines Zustel­lungs­do­mi­zils im VwVG und im VGG vor­ge­se­hen ist. Der Beauf­trag­te hät­te es vor­ge­zo­gen, wenn die Geset­zes­vor­la­ge eine mit Arti­kel 3 der Ver­ord­nung (EU) 2016/679 ver­gleich­ba­re Vor­schrift ent­hal­ten hät­te und die für die Daten­be­ar­bei­tung Ver­ant­wort­li­chen ver­pflich­tet wor­den wären, eine Ver­tre­tung in der Schweiz zu haben. 

Abs. 1 Auf­sicht durch den Beauf­trag­ten Absatz 1 nennt die zustän­di­ge Auf­sichts­be­hör­de im Bereich des Daten­schut­zes. Er hält den Grund­satz fest, wonach der Beauf­trag­te die Behör­de ist, die für die Über­wa­chung der Ein­hal­tung der Daten­schutz­vor­schrif­ten des Bun­des zustän­dig ist (vgl. Art. 39 ff. E‑DSG). Im deut­schen Geset­zes­text wird aus­schliess­lich der männ­li­che Begriff ver­wen­det, wenn der Beauf­trag­te in der frag­li­chen Bestim­mung als Insti­tu­ti­on ange­spro­chen ist. Dies ist in der Mehr­heit der Geset­zes­be­stim­mun­gen der Fall. Im ersten Abschnitt des 7. Kapi­tels ist hin­ge­gen (mit Aus­nah­me von Art. 42 E‑DSG) von der Per­son der oder des Beauf­trag­ten die Rede. In die­sen Bestim­mun­gen wer­den die männ­li­che und die weib­li­che Form­ver­wen­det. Abs. 2 Aus­nah­men von der Aufsicht Absatz 2 sieht ver­schie­de­ne Aus­nah­men von der Auf­sicht des Beauf­trag­ten vor. Die­se Aus­nah­men lie­gen im Wesent­li­chen dar­in begrün­det, dass die Unter­stel­lung der genann­ten Behör­den unter die Auf­sicht des Beauf­trag­ten die Gewal­ten­tei­lung und die Unab­hän­gig­keit der Justiz beein­träch­ti­gen wür­de. Die Bun­des­ver­samm­lung (Bst. a) und der Bun­des­rat (Bst. b) sind von der Auf­sicht des Beauf­trag­ten aus­ge­nom­men. Soweit die Bear­bei­tung von Per­so­nen­da­ten durch die eid­ge­nös­si­schen Gerich­te unter das DSG fällt, sind sie von der Auf­sicht durch den Beauf­trag­ten aus­ge­nom­men (Bst. c). Die Aus­nah­me ist im Hin­blick dar­auf zu betrach­ten, dass der Beauf­trag­te im E‑DSG neu die Kom­pe­tenz erhält, Ver­fü­gun­gen gegen­über Bun­des­or­ga­nen zu erlas­sen. Dadurch bestün­de gegen­über den eid­ge­nös­si­schen Gerich­ten die Gefahr, dass die Unab­hän­gig­keit der Gerich­te und die Gewal­ten­tei­lung beein­träch­tigt wür­den. Dar­über hin­aus sind nament­lich das Bun­des­ver­wal­tungs­ge­richt und das Bun­des­ge­richt Beschwer­de­instan­zen für Ver­fü­gun­gen des Daten­schutz­be­auf­trag­ten. Daher könn­ten sie dazu auf­ge­ru­fen sein, einen Beschwer­de­ent­scheid in eige­ner Sache zu fäl­len. Um den Anfor­de­run­gen der Richt­li­nie (EU) 2016/680 und dem ESEV 108 gerecht zu wer­den, wird jedes eid­ge­nös­si­sche Gericht eine eige­ne unab­hän­gi­ge Daten­schutz­auf­sicht in die Wege lei­ten. Die­se wird, soweit ange­bracht, ana­log zu jener des Beauf­trag­ten aus­ge­stal­tet sein. Die Ein­rich­tung erfolgt über die Anpas­sung der ent­spre­chen­den Ver­ord­nun­gen der jewei­li­gen eid­ge­nös­si­schen Gerich­te, sobald das revi­dier­te DSG in Kraft getre­ten ist. Nach Buch­sta­be d ist auch die Bun­des­an­walt­schaft von der Auf­sicht durch den Beauf­trag­ten aus­ge­nom­men, soweit sie Per­so­nen­da­ten im Rah­men von Straf­ver­fah­ren bear­bei­tet. Der Auf­sicht des Beauf­trag­ten unter­stellt blei­ben hin­ge­gen die eid­ge­nös­si­schen Poli­zei­be­hör­den, selbst wenn die­se im Auf­trag der Bun­des­an­walt­schaft han­deln. Der Beauf­trag­te wen­det dabei die Daten­schutz­be­stim­mun­gen des anwend­ba­ren Ver­fah­rens­rechts an (vgl. Art. 2 Abs. 3 E‑DSG). Gemäss Buch­sta­be e sind schliess­lich Bun­des­be­hör­den von der Auf­sicht des Beauf­trag­ten aus­ge­nom­men, soweit sie Per­so­nen­da­ten im Rah­men einer recht­spre­chen­den Tätig­keit oder von Ver­fah­ren der inter­na­tio­na­len Rechts­hil­fe in Straf­sa­chen bear­bei­ten. Die­se Aus­nah­me betrifft haupt­säch­lich die Bun­des­an­walt­schaft und das Bun­des­amt für Justiz. Nach der Erklä­rung des Bun­des­ra­tes zu Arti­kel 1 des Euro­päi­schen Über­ein­kom­mens vom 20. April 1959 über die Rechts­hil­fe in Straf­sa­chen ist das Bun­des­amt für Justiz als schwei­ze­ri­sche Justiz­be­hör­de im Sin­ne des Über­ein­kom­mens zu betrach­ten. Die Aus­nah­me ist aller­dings von beschränk­ter Trag­wei­te. Denn der Beauf­trag­te kann die Recht­mä­ssig­keit einer Daten­be­ar­bei­tung über­prü­fen, wenn eine betrof­fe­ne Per­son ihre Rech­te nach Arti­kel 11c E‑IRSG gel­tend macht. 

Bst. a Personendaten Es ist dar­auf hin­zu­wei­sen, dass der E‑DSG grund­sätz­lich den Begriff der Per­so­nen­da­ten ver­wen­det. Inner­halb des­sel­ben Absat­zes wird ins­be­son­de­re im deut­schen Text syn­onym auch der Begriff Daten ver­wen­det, wenn ein­deu­tig ist, dass damit Per­so­nen­da­ten gemeint sind. Der Begriff der Per­so­nen­da­ten wird im Ver­gleich zum bis­he­ri­gen Recht inso­fern ver­än­dert, als das DSG auf juri­sti­sche Per­so­nen nicht mehr anwend­bar ist. Bei Per­so­nen­da­ten han­delt es sich somit um alle Anga­ben, die sich auf eine bestimm­te oder bestimm­ba­re natür­li­che Per­son bezie­hen. Eine natür­li­che Per­son ist bestimm­bar, wenn sie direkt oder indi­rekt iden­ti­fi­ziert wer­den kann, bei­spiels­wei­se über den Hin­weis auf Infor­ma­tio­nen, die sich aus den Umstän­den oder dem Kon­text ablei­ten las­sen (Iden­ti­fi­ka­ti­ons­num­mer, Stand­ort­da­ten, spe­zi­fi­sche Aspek­te, die ihre phy­si­sche, phy­sio­lo­gi­sche, gene­ti­sche, psy­chi­sche, wirt­schaft­li­che, kul­tu­rel­le oder gesell­schaft­li­che Iden­ti­tät betref­fen). Die Iden­ti­fi­zie­rung kann über eine ein­zi­ge Infor­ma­ti­on mög­lich sein (Tele­fon­num­mer, Haus­num­mer, AHV-Num­mer, Fin­ger­ab­drücke) oder über den Abgleich ver­schie­de­ner Infor­ma­tio­nen (Adres­se, Geburts­da­tum, Zivil­stand). Wie auch nach gel­ten­dem Recht reicht die rein theo­re­ti­sche Mög­lich­keit, dass jemand iden­ti­fi­ziert wer­den kann, nicht aus, um anzu­neh­men, eine Per­son sei bestimm­bar. So hält der Bun­des­rat in sei­ner Bot­schaft zum DSG von 1988 fest: “Ist der Auf­wand für die Bestim­mung der betrof­fe­nen Per­so­nen der­art gross, dass nach der all­ge­mei­nen Lebens­er­fah­rung nicht damit gerech­net wer­den muss, dass ein Inter­es­sent die­sen auf sich neh­men wird […], liegt kei­ne Bestimm­bar­keit vor.” Viel­mehr muss die Gesamt­heit der Mit­tel betrach­tet wer­den, die ver­nünf­ti­ger­wei­se ein­ge­setzt wer­den kön­nen, um eine Per­son zu iden­ti­fi­zie­ren. Ob der Ein­satz die­ser Mit­tel ver­nünf­tig ist, muss mit Blick auf die Umstän­de, etwa den zeit­li­chen und finan­zi­el­len Auf­wand für die Iden­ti­fi­zie­rung, beur­teilt wer­den. Dabei sind die zum Zeit­punkt der Bear­bei­tung ver­füg­ba­ren Tech­no­lo­gien und deren Wei­ter­ent­wick­lung zu berück­sich­ti­gen. Das Gesetz gilt nicht für anony­mi­sier­te Daten, wenn eine Iden­ti­fi­zie­rung durch Drit­te unmög­lich ist (die Daten wur­den voll­stän­dig und end­gül­tig anony­mi­siert) oder wenn dies nur mit einem hohen Auf­wand mög­lich wäre, den kein Inter­es­sent auf sich neh­men wür­de. Das gilt eben­falls für pseud­ony­mi­sier­te Daten. Bst. b Betrof­fe­ne Person Betrof­fe­ne Per­so­nen sind natür­li­che Per­so­nen, über die Daten bear­bei­tet wer­den. Die Beschrän­kung auf natür­li­che Per­so­nen ergibt sich aus der Auf­he­bung des Schut­zes für Daten juri­sti­scher Per­so­nen (sie­he die Erläu­te­run­gen zu Art. 2 Abs. 1 E‑DSG unter Ziff. 9.1.2). Bst. c Beson­ders schüt­zens­wer­te Personendaten Zif­fer 1 wird nicht geän­dert. Zif­fer 2 wird ergänzt: Der Begriff der beson­ders schüt­zens­wer­ten Per­so­nen­da­ten wird in Ein­klang mit der Richt­li­nie (EU) 2016/680 (Art. 10) und der Ver­ord­nung (EU) 2016/679 auf die Daten zur eth­ni­schen Her­kunft aus­ge­wei­tet. Der E‑DSG behält den Ver­weis auf die Ras­sen­zu­ge­hö­rig­keit bei. Wie die Euro­päi­sche Uni­on hält auch der Bun­des­rat fest, dass die Ver­wen­dung die­ses Begriffs nicht bedeu­tet, dass er Theo­rien gut­heisst, mit denen ver­sucht wird, die Exi­stenz ver­schie­de­ner mensch­li­cher Ras­sen zu bele­gen. Die Vor­la­ge behält auch den Ver­weis auf die Daten über die Gesund­heit und die Intim­sphä­re bei. Als Daten über die Intim­sphä­re gel­ten nament­lich die Daten über das Sexu­al­le­ben und die sexu­el­le Ori­en­tie­rung der betrof­fe­nen Per­son (sie­he eben­falls das Über­ein­kom­men SEV 108 [Art. 6 Abs. 1], die Richt­li­nie [EU] 2016/680 [Art. 10] und die Ver­ord­nung [EU] 2016/679 [Art. 9]). Je nach Umstän­den kann auch die Geschlechts­iden­ti­tät einer Per­son unter die­sen Begriff (oder unter die Daten über die Gesundheit)fallen. Der Begriff “beson­ders schüt­zens­wer­te Per­so­nen­da­ten” wird ausser­dem auf gene­ti­sche Daten (Ziff. 3) und bio­me­tri­sche Daten, die ein Indi­vi­du­um ein­deu­tig iden­ti­fi­zie­ren (Ziff. 4), aus­ge­wei­tet. Mit die­ser Ände­rung wer­den die Anfor­de­run­gen des E‑SEV 108 (Art. 6 Abs. 1) sowie der Richt­li­nie (EU) 2016/680 (Art. 10) umge­setzt. Die Ver­ord­nung (EU) 2016/679 (Art. 9) sieht eine ähn­li­che Rege­lung vor. Gene­ti­sche Daten sind Infor­ma­tio­nen über das Erb­gut einer Per­son, die durch eine gene­ti­sche Unter­su­chung gewon­nen wer­den; dar­in ein­ge­schlos­sen ist auch das DNA-Pro­fil (Art. 3 Bst. l des Bun­des­ge­set­zes vom 8. Okto­ber 2004 über gene­ti­sche Unter­su­chun­gen beim Men­schen [GUMG]). Unter bio­me­tri­schen Daten sind hier Per­so­nen­da­ten zu ver­ste­hen, die durch ein spe­zi­fi­sches tech­ni­sches Ver­fah­ren zu den phy­si­schen, phy­sio­lo­gi­schen oder ver­hal­tens­ty­pi­schen Merk­ma­len eines Indi­vi­du­ums gewon­nen wer­den und die eine ein­deu­ti­ge Iden­ti­fi­zie­rung der betref­fen­den Per­son ermög­li­chen oder bestä­ti­gen. Es han­delt sich dabei bei­spiels­wei­se um einen digi­ta­len Fin­ger­ab­druck, Gesichts­bil­der, Bil­der der Iris oder Auf­nah­men der Stim­me. Die­se Daten müs­sen zwin­gend auf einem spe­zi­fi­schen tech­ni­schen Ver­fah­ren beru­hen, das die ein­deu­ti­ge Iden­ti­fi­zie­rung oder Authen­ti­fi­zie­rung einer Per­son erlaubt. Dies ist bei­spiels­wei­se grund­sätz­lich nicht der Fall bei gewöhn­li­chen Foto­gra­fien. Bst. d Bearbeiten Der Begriff des Bear­bei­tens bleibt inhalt­lich unver­än­dert. Syn­onym wird häu­fig auch der Begriff der Bear­bei­tung ver­wen­det. Die Liste wur­de jedoch ergänzt um “Spei­chern” und “Löschen” mit dem Ziel, sich dem Wort­laut des Euro­päi­schen Rechts anzu­nä­hern (Art. 2 Bst. b E‑SEV 108, Art. 4 Ziff. 2 der Ver­ord­nung [EU] 2016/679 und Art. 3 Ziff. 2 der Richt­li­nie [EU] 2016/680). Wie im aktu­el­len Recht ist die Liste der mög­li­chen Bear­bei­tungs­vor­gän­ge nicht abschlie­ssend, sodass zahl­rei­che Ope­ra­tio­nen dar­un­ter fal­len kön­nen (Orga­ni­sa­ti­on, Sor­tie­ren, Ver­än­dern, Aus­wer­ten von Daten etc.). Der Begriff “Ver­nich­ten” ist stär­ker als der Begriff “Löschen” und impli­ziert, dass die Daten unwi­der­bring­lich zer­stört wer­den. Wenn die Daten auf Papier vor­han­den sind, ist die­ses zu ver­bren­nen oder zu schred­dern. Schwie­ri­ger gestal­tet sich die Daten­ver­nich­tung bei elek­tro­ni­schen Daten. Wur­den die Daten mit­tels einer CD oder eines USB-Sticks über­mit­telt, muss einer­seits der Daten­trä­ger unbrauch­bar gemacht wer­den und ande­rer­seits sind alle Kopien so zu behan­deln, dass die Daten auch nicht mehr les­bar gemacht wer­den kön­nen. Bei Per­so­nen­da­ten, die im Anhang eines E‑Mails über­mit­telt wur­den, müs­sen auch all­fäl­li­ge Zwi­schen­spei­che­run­gen die­ses E‑Mails ver­nich­tet wer­den. Übli­che Lösch­be­feh­le oder eine rei­ne Umfor­ma­tie­rung stel­len kei­ne Ver­nich­tung, son­dern eine Löschung dar. Anders als das Schwei­zer Recht ver­wen­det die Euro­päi­sche Uni­on den Begriff des Ver­ar­bei­tens statt des Bear­bei­tens. Aus Prak­ti­ka­bi­li­täts­grün­den wur­de dar­auf ver­zich­tet, das Schwei­zer Recht auch in die­ser Hin­sicht anzu­pas­sen, zumal inhalt­lich kein Unter­schied besteht. Bst. f Profiling Der Bun­des­rat schlägt vor, den Begriff “Per­sön­lich­keits­pro­fil”, der in Arti­kel 3 Buch­sta­be d DSG defi­niert ist, auf­zu­he­ben. Der Begriff “Per­sön­lich­keits­pro­fil” ist eine Beson­der­heit unse­rer Gesetz­ge­bung. Weder das euro­päi­sche Recht noch ande­re aus­län­di­sche Gesetz­ge­bun­gen ken­nen die­sen Begriff. Nach dem Inkraft­tre­ten des DSG im Jahr 1992 kam ihm kei­ne gro­sse Bedeu­tung zu, heu­te scheint er durch die Ent­wick­lung neu­er Tech­no­lo­gien über­holt. An sei­ner Stel­le wird im E‑DSG der Begriff des “Pro­filing” ver­wen­det. Der Begriff fin­det sich in Arti­kel 3 Zif­fer 4 der Richt­li­nie (EU) 2016/680 und Arti­kel 4 Zif­fer 4 der Ver­ord­nung (EU) 2016/679. Obwohl die bei­den Begrif­fe Ähn­lich­kei­ten auf­wei­sen, sind sie nicht deckungs­gleich. Das Per­sön­lich­keits­pro­fil ist das Ergeb­nis eines Bear­bei­tungs­pro­zes­ses und erfasst damit etwas Sta­ti­sches. Hin­ge­gen umschreibt das Pro­filing eine bestimm­te Form der Daten­be­ar­bei­tung, mit­hin einen dyna­mi­schen Pro­zess. Dar­über hin­aus ist der Vor­gang des Pro­filings auf einen bestimm­ten Zweck­aus­ge­rich­tet. Der Begriff des Pro­filings wird auf­grund der Stel­lung­nah­men in der Ver­nehm­las­sung inhalt­lich an die euro­päi­sche Ter­mi­no­lo­gie ange­passt und erfasst nun ins­be­son­de­re nur noch die auto­ma­ti­sier­te Bear­bei­tung von Per­so­nen­da­ten. So ist Pro­filing defi­niert als die Bewer­tung bestimm­ter Merk­ma­le einer Per­son auf der Grund­la­ge von auto­ma­ti­siert bear­bei­te­ten Per­so­nen­da­ten, ins­be­son­de­re um die Arbeits­lei­stung, die wirt­schaft­li­chen Ver­hält­nis­se, die Gesund­heit, das Ver­hal­ten, die Inter­es­sen, den Auf­ent­halts­ort oder die Mobi­li­tät zu ana­ly­sie­ren oder vor­her­zu­sa­gen. Die­se Ana­ly­se kann bei­spiels­wei­se erfol­gen, um her­aus­zu­fin­den, ob eine Per­son für eine bestimm­te Tätig­keit geeig­net ist. Ein Pro­filing ist mit ande­ren Wor­ten dadurch gekenn­zeich­net, dass Per­so­nen­da­ten auto­ma­ti­siert aus­ge­wer­tet wer­den, um auf der Grund­la­ge die­ser Aus­wer­tung, eben­falls in auto­ma­ti­sier­ter Wei­se, die Merk­ma­le einer Per­son zu bewer­ten. Ein Pro­filing liegt somit nur vor, wenn der Bewer­tungs­pro­zess voll­stän­dig auto­ma­ti­siert ist. Als auto­ma­ti­sier­te Aus­wer­tung ist jede Aus­wer­tung mit Hil­fe von com­pu­ter­ge­stütz­ten Ana­ly­se­tech­ni­ken zu betrach­ten. Dazu kön­nen auch Algo­rith­men ver­wen­det wer­den, aber deren Ver­wen­dung ist nicht kon­sti­tu­tiv für das Vor­lie­gen eines Pro­filings. Viel­mehr ist ledig­lich ver­langt, dass ein auto­ma­ti­sier­ter Aus­wer­tungs­vor­gang statt­fin­det; liegt hin­ge­gen ledig­lich eine Ansamm­lung von Daten vor, ohne dass die­se aus­ge­wer­tet wer­den, erfolgt noch kein Pro­filing. Die auto­ma­ti­sier­te Bewer­tung erfolgt ins­be­son­de­re, um bestimm­te Ver­hal­tens­wei­sen die­ser Per­son zu ana­ly­sie­ren oder vor­her­zu­sa­gen. Das Gesetz nennt bei­spiel­haft eini­ge Merk­ma­le einer Per­son wie die Arbeits­lei­stung, die wirt­schaft­li­che Lage oder die Gesund­heit. Denk­bar sind aber auch ande­re Merk­ma­le wie die Inter­es­sen, die Ver­trau­ens­wür­dig­keit oder der Auf­ent­halts­ort. Ohne Bedeu­tung ist dabei, ob der Ver­ant­wort­li­che, der das Pro­filing betreibt, dies für eige­ne Zwecke tut oder für einen Drit­ten. Da der Begriff des Per­sön­lich­keits­pro­fils nicht mehr ver­wen­det wird, müs­sen auch die gesetz­li­chen Grund­la­gen ange­passt wer­den, die Bun­des­or­ga­nen die Bear­bei­tung von Per­sön­lich­keits­pro­fi­len erlau­ben (vgl. Ziff. 9.2.2). Daten, wel­che auf­grund eines Pro­filings ent­ste­hen, sind grund­sätz­lich Per­so­nen­da­ten im Sin­ne von Arti­kel 4 Buch­sta­be a E‑DSG. Je nach Gegen­stand kann es sich dabei auch um beson­ders schüt­zens­wer­te Per­so­nen­da­ten han­deln. Bst. g Ver­let­zung der Datensicherheit Anders als der Vor­ent­wurf ent­hält der E‑DSG eine Defi­ni­ti­on der Ver­let­zung der Daten­si­cher­heit, weil sich in der Ver­nehm­las­sung her­aus­stell­te, dass der Begriff zu wenig klar ist. Dem­nach han­delt es sich um eine Ver­let­zung der Daten­si­cher­heit, wenn ein Vor­gang dazu führt, dass Per­so­nen­da­ten ver­lo­ren­ge­hen, gelöscht oder ver­nich­tet, ver­än­dert oder Unbe­fug­ten offen­ge­legt oder zugäng­lich gemacht wer­den. Dies gilt unge­ach­tet davon, ob der Vor­gang mit Absicht geschieht oder nicht, ob er wider­recht­lich ist oder nicht. Der Begriff knüpft an Arti­kel 7 an, wonach der Ver­ant­wort­li­che und der Auf­trags­be­ar­bei­ter tech­ni­sche und orga­ni­sa­to­ri­sche Mass­nah­men ergrei­fen müs­sen, um die Daten­si­cher­heit zu gewähr­lei­sten. Inhalt­lich ent­spricht der Begriff Arti­kel 7 Absatz 2 E‑SEV 108, Arti­kel 3 Zif­fer 11 der Richt­li­nie (EU) 2016/680 und Arti­kel 4 Zif­fer 12 der Ver­ord­nung (EU) 2016/679. Mass­ge­bend ist allei­ne, ob die frag­li­chen Vor­gän­ge gesche­hen. Irrele­vant für das Vor­lie­gen einer Ver­let­zung der Daten­si­cher­heit ist eben­falls, ob ledig­lich die Mög­lich­keit bestand, dass die Per­so­nen­da­ten Unbe­fug­ten offen­ge­legt oder zugäng­lich gemacht wur­den, oder ob ein sol­cher Zugang tat­säch­lich statt­ge­fun­den hat. Geht bei­spiels­wei­se ein Daten­trä­ger ver­lo­ren, lässt sich oft kaum nach­wei­sen, ob die dar­auf gespei­cher­ten Daten tat­säch­lich durch Unbe­fug­te ein­ge­se­hen oder ver­wen­det wur­den. Daher stellt bereits der Ver­lust als sol­ches eine Ver­let­zung der Daten­si­cher­heit dar. Der Umfang und die Bedeu­tung einer Ver­let­zung der Daten­si­cher­heit sind viel­mehr rele­vant für die zu tref­fen­den Mass­nah­men, ins­be­son­de­re die Ein­schät­zung des Risi­kos nach Arti­kel 22 Absatz 1. Bst. i Verantwortlicher Der E‑DSG sieht vor, den Begriff “Inha­ber der Daten­samm­lung” durch “Ver­ant­wort­li­cher” zu erset­zen, damit die glei­che Ter­mi­no­lo­gie wie im E‑SEV 108 (Art. 2 Bst. d), in der Richt­li­nie (EU) 2016/680 (Art. 3 Ziff. 8) und in der Ver­ord­nung (EU) 2016/679 (Art. 4 Ziff. 7) ver­wen­det wird. Abge­se­hen davon, dass der Ver­weis auf die Daten­samm­lung auf­ge­ho­ben wird, ergibt sich hier kei­ne mate­ri­el­le Ände­rung. Der Ver­ant­wort­li­che ist wie der Inha­ber der Daten­samm­lung der­je­ni­ge, der über den Zweck und die Mit­tel (mate­ri­el­le oder auto­ma­ti­sier­te Bear­bei­tung, ver­wen­de­te Soft­ware) der Bear­bei­tung ent­schei­det. Im deut­schen Geset­zes­text wird aus­schliess­lich die männ­li­che Form ver­wen­det, da es sich bei den Ver­ant­wort­li­chen über­wie­gend, aber nicht aus­schliess­lich um juri­sti­sche Per­so­nen­han­delt. Bst. j Auftragsbearbeiter Dabei han­delt es sich um die pri­va­te Per­son oder das Bun­des­or­gan, die oder das im Auf­trag des Ver­ant­wort­li­chen Daten bear­bei­tet. Die­ser Begriff ent­spricht jenem im E‑SEV 108 (Art. 2 Bst. f), in der Richt­li­nie (EU) 2016/680 (Art. 3 Ziff. 9) und in der Ver­ord­nung (EU) 2016/679 (Art. 4 Ziff. 8). Der Ver­trag zwi­schen dem Ver­ant­wort­li­chen und dem Auf­trags­be­ar­bei­ter kann unter­schied­li­cher Art sein. Je nach den Ver­pflich­tun­gen des Auf­trags­be­ar­bei­ters kann es sich um einen Auf­trag (Art. 394 ff. OR), um einen Werk­ver­trag (Art. 363 ff. OR) oder um einen gemisch­ten Ver­trag han­deln. Der Auf­trags­be­ar­bei­ter ist ab dem Zeit­punkt, an dem er sei­ne ver­trag­li­che Tätig­keit im Auf­trag des Ver­ant­wort­li­chen beginnt, kein Drit­ter mehr. Im deut­schen Geset­zes­text wird aus­schliess­lich die männ­li­che Form ver­wen­det, da es sich bei den Auf­trags­be­ar­bei­tern über­wie­gend, aber nicht aus­schliess­lich um juri­sti­sche Per­so­nen­han­delt. Unver­än­der­te Begriffe Die fol­gen­den Begrif­fe blei­ben im Ver­gleich zum gel­ten­den Recht unver­än­dert bzw. erfah­ren ledig­lich redak­tio­nel­le Ände­run­gen: Bekannt­ge­ben (Bst. e) und Bun­des­or­gan (Bst. h). Auf­ge­ho­be­ne Begriffe Neben den Begrif­fen des Per­sön­lich­keits­pro­fils und des Inha­bers der Daten­samm­lung hebt die Vor­la­ge fol­gen­de Begrif­fe auf: 

• Daten­samm­lung: Der E‑DSG sieht vor, auf die­sen Begriff zu ver­zich­ten. Dies ent­spricht der Lösung im E‑SEV 108, in dem statt­des­sen der Begriff – Bear­bei­ten von Daten ver­wen­det wird. Dank den neu­en Tech­no­lo­gien kön­nen Daten heu­te wie eine Daten­samm­lung genutzt wer­den, auch wenn sie nicht zen­tral gespei­chert sind. Ein anschau­li­ches Bei­spiel ist das Pro­filing, bei dem auf ver­schie­de­ne Quel­len zuge­grif­fen wird, die kei­ne Daten­samm­lun­gen dar­stel­len, um anhand der erho­be­nen Daten bestimm­te Merk­ma­le einer Per­son zu beur­tei­len. Nach dem der­zei­ti­gen Recht fal­len sol­che Akti­vi­tä­ten nicht unter die Geset­zes­be­stim­mun­gen, die das Bestehen einer Daten­samm­lung vor­aus­set­zen – wie bei­spiels­wei­se das Aus­kunfts­recht (Art. 8 DSG) oder die Infor­ma­ti­ons­pflicht (Art. 14 DSG) –, wäh­rend gera­de in die­sem Zusam­men­hang mehr Trans­pa­renz erfor­der­lich ist. Im Übri­gen weist der Bun­des­rat dar­auf hin, dass ein Teil der Leh­re den Begriff Daten­samm­lung sehr weit aus­legt. Dabei besteht das ent­schei­den­de Kri­te­ri­um dar­in, dass die Zuwei­sung von Daten zu einer Per­son kei­nen unver­hält­nis­mä­ssi­gen Auf­wand ver­ur­sa­chen darf. Gesetz im for­mel­len Sinn: Der E‑DSG sieht vor, auf die­se Begriffs­de­fi­ni­ti­on zu ver­zich­ten, da sie nicht nötig ist.
• Gesetz im for­mel­len Sinn: Der E‑DSG sieht vor, auf die­se Begriffs­de­fi­ni­ti­on zu ver­zich­ten, da sie nicht nötig ist.

Abs. 2 Recht­mä­ssig­keit und Verhältnismässigkeit Die fran­zö­si­sche Ver­si­on von Absatz 2 erfährt eine redak­tio­nel­le Ände­rung. Gemäss dem Grund­satz der Ver­hält­nis­mä­ssig­keit dür­fen nur Daten bear­bei­tet wer­den, die für den Zweck der Bear­bei­tung geeig­net und nötig sind. Zudem muss ein ange­mes­se­nes Ver­hält­nis zwi­schen dem Zweck und dem ver­wen­de­ten Mit­tel bestehen, und die Rech­te der betrof­fe­nen Per­so­nen sind soweit wie mög­lich zu wah­ren (Grund­satz der Ver­hält­nis­mä­ssig­keit im enge­ren Sinn). Die Grund­sät­ze der Daten­ver­mei­dung und der Daten­spar­sam­keit sind bei­de Aus­druck davon. Der erste impli­ziert, dass die­se Opti­on zu bevor­zu­gen ist, wenn der Zweck der Bear­bei­tung erreicht wer­den kann, ohne dass neue Daten beschafft wer­den. Der zwei­te ver­langt, dass nur Daten bear­bei­tet wer­den, die für den ver­folg­ten Zweck abso­lut not­wen­dig sind. Die­se bei­den Grund­sät­ze sind ber eits bei der Pla­nung neu­er Syste­me zu beach­ten. Somit über­schnei­den sie sich teil­wei­se mit den Grund­sät­zen des Daten­schut­zes durch Tech­nik und durch daten­schutz­freund­li­che Vor­ein­stel­lun­gen (sie­he Erläu­te­run­gen zu Art. 6 E‑DSG). Abs. 3 Zweck­bin­dung und Erkennbarkeit Absatz 3 ver­ei­nigt die Grund­sät­ze der Zweck­bin­dung und der Erkenn­bar­keit, die gegen­wär­tig in den Absät­zen 3 und 4 des Geset­zes ent­hal­ten sind. Damit das Bun­des­recht bes­ser mit dem Wort­laut des E‑SEV 108 über­ein­stimmt (Art. 5 Abs. 4 Bst. b), ist im E‑DSG vor­ge­se­hen, dass Daten nur zu einem bestimm­ten und für die betrof­fe­ne Per­son erkenn­ba­ren Zweck beschafft wer­den dür­fen. Die­se neue For­mu­lie­rung hat im Ver­gleich zum gel­ten­den Recht kei­ne mate­ri­el­len Ände­run­gen zur Fol­ge. Sowohl die Beschaf­fung der Daten als auch der Zweck ihrer Bear­bei­tung müs­sen erkenn­bar sein. Dies ist grund­sätz­lich der Fall, wenn die betrof­fe­ne Per­son infor­miert wird, die Bear­bei­tung gesetz­lich vor­ge­se­hen oder aus den Umstän­den klar ersicht­lich ist. Die Bestimmt­heit des Zwecks bedingt, dass vage, nicht defi­nier­te oder unprä­zi­se Bear­bei­tungs­zwecke nicht genü­gen. Die­se Eigen­schaft wird nach den Umstän­den beur­teilt, wobei ein Aus­gleich zwi­schen den Inter­es­sen der betrof­fe­nen Per­so­nen und denen des Ver­ant­wort­li­chen bzw. des Auf­trags­be­ar­bei­ters und der Gesell­schaft erfol­gen muss. Absatz 3 hält fest, dass Daten nur in einer Wei­se bear­bei­tet wer­den dür­fen, die mit dem anfäng­li­chen Zweck zu ver­ein­ba­ren ist. Die­se neue For­mu­lie­rung ermög­licht eine ter­mi­no­lo­gi­sche Annä­he­rung des Geset­zes an den E‑SEV 108 (Art. 5 Abs. 4 Bst. b). Sie bringt jedoch kei­ne wesent­li­chen Ände­run­gen mit sich: Wie bereits heu­te ist eine Wei­ter­be­ar­bei­tung nicht zuläs­sig, wenn die betrof­fe­ne Per­son dies berech­tig­ter­wei­se als uner­war­tet, unan­ge­bracht oder bean­stand­bar erach­ten kann (sie­he auch Zif­fer 47 des erläu­tern­den Berichts zum E‑SEV 108 vom CAHDATA). Dabei sind etwa fol­gen­de Fäl­le denkbar: 

• die Wei­ter­ver­wen­dung von Adres­sen zu Wer­be­zwecken, die beim Unter­schrif­ten­sam­meln für eine poli­ti­sche Kam­pa­gne erfasst wurden;
• die Beschaf­fung und Ana­ly­se von Daten über Kon­sum­ge­wohn­hei­ten (zu ande­ren Zwecken als zur Betrugs­be­kämp­fung) gestützt auf Zah­lun­gen, die mit einer Kre­dit- oder Kun­den­kar­te getä­tigt wur­den, ohne Ein­wil­li­gung der betrof­fe­nen Person;
• das Sam­meln und Benut­zen von E‑Mail-Adres­sen, wel­che die betrof­fe­ne Per­son zu einem bestimm­ten Zweck über das Inter­net bekannt gege­ben hat, um spä­ter Spam­nach­rich­ten zu ver­sen­den; die Beschaf­fung von IP-Adres­sen von Anschluss­in­ha­bern, die Raub­ko­pien zum Her­un­ter­la­den anbie­ten, durch ein Pri­vat­un­ter­neh­men. Über­mit­telt die betrof­fe­ne Per­son ihre Adres­se dage­gen im Hin­blick auf den Erhalt einer Kun­den­kar­te oder für eine Bestel­lung (online oder nicht), so liegt die Wei­ter­be­nut­zung die­ser Adres­se durch das betref­fen­de Unter­neh­men zu Wer­be­zwecken im Rah­men einer anfäng­lich erkenn­ba­ren Zweck­be­stim­mung und kann mit­hin als mit dem anfäng­li­chen Zweck ver­ein­bar ange­se­hen wer­den. Ist die Ände­rung des anfäng­li­chen Zwecks gesetz­lich vor­ge­se­hen, wird sie durch eine Geset­zes­än­de­rung ver­langt oder ist sie durch einen ande­ren Recht­fer­ti­gungs­grund legi­ti­miert (z. B. durch die Ein­wil­li­gung der betrof­fe­nen Per­son), so gilt die Wei­ter­be­ar­bei­tung eben­falls als mit dem anfäng­li­chen Zweck vereinbar.

Abs. 4 Dau­er der Auf­be­wah­rung der Personendaten Gemäss Absatz 4 müs­sen Daten ver­nich­tet oder anony­mi­siert wer­den, sobald sie zum Zweck der Bear­bei­tung nicht mehr erfor­der­lich sind. Dies ent­spricht den Anfor­de­run­gen des E‑SEV 108 (Art. 5 Abs. 4 Bst. e, vgl. eben­falls Zif­fer 51 des Ent­wurfs des erläu­tern­den Berichts zum E‑SEV 108 vom CAHDATA), der Richt­li­nie (EU) 2016/680 (Art. 4 Abs. 1 Bst. e) und der Ver­ord­nung (EU) 2016/679 (Art. 5 Abs. 1 Bst. e). Die Ver­pflich­tung ergibt sich impli­zit auch aus dem all­ge­mei­nen Ver­hält­nis­mä­ssig­keits­grund­satz, der in Absatz 2 der Bestim­mung fest­ge­hal­ten ist. Der Bun­des­rat hält es indes für wich­tig, die­se Ver­pflich­tung im Hin­blick auf die tech­no­lo­gi­sche Ent­wick­lung und die bei­na­he unbe­grenz­ten Spei­cher­mög­lich­kei­ten noch aus­drück­lich fest­zu­hal­ten. Die Ein­hal­tung die­ser Ver­pflich­tung bedingt, dass der Ver­ant­wort­li­che Auf­be­wah­rungs­fri­sten fest­legt. Vor­be­hal­ten blei­ben spe­zi­el­le Rege­lun­gen, die beson­de­re Auf­be­wah­rungs­fri­sten­vor­se­hen. Abs. 5 Richtigkeit Arti­kel 5 Absatz 5 E‑DSG über­nimmt den Grund­satz der Rich­tig­keit der Daten, der gegen­wär­tig in Arti­kel 5 DSG ent­hal­ten ist. Auf die­se Wei­se wer­den die wich­tig­sten Daten­schutz­grund­sät­ze in einer ein­zi­gen Bestim­mung zusam­men­ge­fasst, wie dies auch in Arti­kel 5 E‑SEV 108, in Arti­kel 4 der Richt­li­nie (EU) 2016/680 und in Arti­kel 5 der Ver­ord­nung (EU) 2016/679 der Fall ist. Im fran­zö­si­schen Text wird der Begriff “cor­rec­tes” durch “exac­tes” ersetzt; auf Deutsch und Ita­lie­nisch stimmt die ver­wen­de­te Ter­mi­no­lo­gie bereits jetzt über­ein. Der Absatz hält fest, dass jede Per­son, die Daten bear­bei­tet, sich über deren Rich­tig­keit zu ver­ge­wis­sern hat. Sie hat alle ange­mes­se­nen Mass­nah­men zu tref­fen, damit die Daten, die im Hin­blick auf den Zweck ihrer Beschaf­fung oder Bear­bei­tung unrich­tig oder unvoll­stän­dig sind, berich­tigt, gelöscht oder ver­nich­tet wer­den. Daten, die nicht kor­ri­giert oder ergänzt wer­den kön­nen, sind zu löschen oder zu ver­nich­ten. Der Umfang die­ser Ver­ge­wis­se­rungs­pflicht ist im Ein­zel­fall zu bestim­men. Er hängt ins­be­son­de­re vom Zweck und Umfang der Bear­bei­tung sowie von der Art der bear­bei­te­ten Daten ab. Je nach Fall kann die­se Pflicht bedeu­ten, dass die Daten aktu­ell gehal­ten wer­den. Bestimm­te gesetz­li­che Pflich­ten kön­nen der Berich­ti­gung, der Löschung oder der Aktua­li­sie­rung der Daten ent­ge­gen­ste­hen. Zudem sind der Grund­satz der Rich­tig­keit und die damit ver­bun­de­nen Pflich­ten in Bezug auf die Tätig­keit von Archi­ven, Muse­en, Biblio­the­ken und ande­ren Gedächt­nis­in­sti­tu­tio­nen dif­fe­ren­ziert zu betrach­ten. Die Auf­ga­be sol­cher Insti­tu­tio­nen ist es nament­lich, Doku­men­te (auch digi­ta­le) aller Art zu sam­meln, zu erschlie­ssen, zu erhal­ten und zu ver­mit­teln (vgl. Art. 2 Abs. 1 des Natio­nal­bi­blio­theks­ge­set­zes vom 18. Dezem­ber 1992). Die frag­li­chen Doku­men­te als sol­che dür­fen dabei nicht ver­än­dert wer­den, weil dies dem Zweck der Archi­vie­rung zuwi­der­lau­fen wür­de. Denn Archi­ve sol­len mit Hil­fe von Doku­men­ten eine Moment­auf­nah­me der Ver­gan­gen­heit erlau­ben, deren “Rich­tig­keit” sichalleindaraufbezieht,dassdiefraglichenDokumenteoriginalgetreuwiedergegeben wer­den. Archi­ve geben mit ande­ren Wor­ten wie­der, wie etwas in der Ver­gan­gen­heit war, unab­hän­gig davon, ob dies aus aktu­el­ler Per­spek­ti­ve noch als zutref­fend erach­tet wird. An die­ser spe­zi­fi­schen Tätig­keit besteht ein erheb­li­ches öffent­li­ches Inter­es­se (dies­be­züg­lich sie­he Art. 28 Abs. 1 Bst. b und 37 Abs. 5 E‑DSG sowie die ent­spre­chen­den Erläu­te­run­gen unter Ziff. 9.1.6 und9.1.7). Abs. 6 Einwilligung Sofern eine Ein­wil­li­gung der betrof­fe­nen Per­son erfor­der­lich ist, ist eine sol­che gemäss Absatz 6 nur gül­tig, wenn sie für eine oder meh­re­re bestimm­te Bear­bei­tun­gen nach ange­mes­se­ner Infor­ma­ti­on frei­wil­lig und ein­deu­tig erfolgt. Die betrof­fe­ne Per­son drückt damit ihre Zustim­mung zu einer Ver­let­zung der Per­sön­lich­keit aus, die vor­lie­gend durch eine Daten­be­ar­bei­tung erfolgt. Die etwas geän­der­te For­mu­lie­rung ermög­licht eine ter­mi­no­lo­gi­sche Annä­he­rung an den E‑SEV 108 (Art. 5 Abs. 2), um des­sen Anfor­de­run­gen gerecht zu wer­den. Dar­aus folgt indes­sen kei­ne grund­sätz­li­che Ände­rung der aktu­el­len Rechts­la­ge. Wie bereits nach dem bestehen­den Recht muss für eine gül­ti­ge Ein­wil­li­gung die Bear­bei­tung, ins­be­son­de­re deren Umfang und Zweck, hin­rei­chend bestimmt sein. Dabei kann auch in meh­re­re gleich­ge­la­ger­te oder ver­schie­de­ne Bear­bei­tun­gen ein­ge­wil­ligt wer­den. Eben­so ist mög­lich, dass der Bear­bei­tungs­zweck ver­schie­de­ne Bear­bei­tun­gen erfor­dert. So kann bei­spiels­wei­se die Heil­be­hand­lung bei einer Ärz­tin oder einem Arzt den Aus­tausch mit vor- oder nach­be­han­deln­den Fach­per­so­nen und Dien­sten erfor­dern, eben­so die Bear­bei­tung zu Abrech­nungs­zwecken oder Abklä­run­gen mit Ver­si­che­run­gen. Die Ein­wil­li­gung muss den Zweck der Bear­bei­tung abdecken, für den sie als Recht­fer­ti­gungs­grund dient. Wer­den die Daten noch zu wei­te­ren Zwecken bear­bei­tet, in die nicht ein­ge­wil­ligt wur­de, muss die­se Bear­bei­tung durch ande­re Grün­de gerecht­fer­tigt sein. Die Ein­wil­li­gung muss dar­über hin­aus ein­deu­tig sein. Dem­nach muss aus der Erklä­rung der betrof­fe­nen Per­son deren Wil­le zwei­fels­frei her­vor­ge­hen. Dies hängt von den kon­kre­ten Umstän­den des Ein­zel­falls ab. Gemäss dem Ver­hält­nis­mä­ssig­keits­grund­satz muss die Zustim­mung umso ein­deu­ti­ger sein, je sen­si­bler die frag­li­chen Per­so­nen­da­ten sind. Die Ein­wil­li­gung kann nach wie vor form­frei erfol­gen und ist damit ins­be­son­de­re nicht an eine schrift­li­che Erklä­rung gebun­den. Eine ein­deu­ti­ge Ein­wil­li­gung im Sin­ne von Absatz 6 kann auch durch eine still­schwei­gen­de Wil­lens­er­klä­rung erfol­gen (vgl. Art. 1 OR). Eine sol­che liegt vor, wenn sich die Wil­lens­äu­sse­rung nicht aus der Erklä­rung selbst ergibt, son­dern durch ein Ver­hal­ten, das auf­grund der Umstän­de, in denen es erfolgt, als ein­deu­ti­ger Aus­druck des Wil­lens ver­stan­den wer­den kann. Dies ist der Fall bei soge­nann­tem kon­klu­den­tem (schlüs­si­gem) Ver­hal­ten, bei dem die erklä­ren­de Per­son ihren Wil­len äussert, indem sie ihn durch eine ent­spre­chen­de Hand­lung deut­lich macht, z. B. indem sie ihre ver­trag­li­che Pflicht erfüllt. Es muss mit­hin eine Wil­lens­äu­sse­rung erfol­gen, sodass grund­sätz­lich blo­sses Schwei­gen oder Untä­tig­keit nicht als gül­ti­ge Ein­wil­li­gung in eine Per­sön­lich­keits­ver­let­zung gel­ten kann. Vor­be­hal­ten bleibt Arti­kel 6 OR, wenn die Par­tei­en Schwei­gen als Zustim­mung ver­ein­bart haben. Gemäss dem zwei­ten Satz von Absatz 6 muss die Ein­wil­li­gung aus­drück­lich erfol­gen, wenn es um die Bear­bei­tung beson­ders schüt­zens­wer­ter Per­so­nen­da­ten und das Pro­filing geht. An die Ein­wil­li­gung für das Pro­filing wer­den eben­falls erhöh­te Anfor­de­run­gen gestellt, wie dies bereits im gel­ten­den Recht für die Bear­bei­tung von Per­sön­lich­keits­pro­fi­len der Fall ist. “Aus­drück­lich” ist eine erhöh­te Anfor­de­rung an die “ein­deu­ti­ge” Ein­wil­li­gung gemäss Satz 1 die­ser Bestim­mung. Die Trag­wei­te die­ser Anfor­de­rung ist bereits im aktu­el­len Recht teil­wei­se umstrit­ten. Der Bun­des­rat sieht indes kei­nen Anlass, von der aktu­el­len Rechts­la­ge abzu­wei­chen. Zur Klä­rung der Begriff­lich­kei­ten wer­den aller­dings in der fran­zö­si­schen und ita­lie­ni­schen Ver­si­on des Tex­tes die Begrif­fe “expli­ci­te” und “espli­ci­to” durch die Begrif­fe “exprès” und “espres­so” ersetzt und damit an die Ter­mi­no­lo­gie von Arti­kel 1 OR ange­passt. Der deut­sche Text erfährt kei­ne Ände­rung. Eine Wil­lens­er­klä­rung ist “aus­drück­lich”, wenn sie durch geschrie­be­ne oder gespro­che­ne Wor­te oder ein Zei­chen erfolgt und der geäu­sser­te Wil­len aus den ver­wen­de­ten Wor­ten oder dem Zei­chen unmit­tel­bar her­vor­geht. Die Wil­lens­äu­sse­rung als sol­che muss durch die Art und Wei­se, in der sie erfolgt, bereits Klar­heit über den Wil­len schaf­fen. Dies ist ins­be­son­de­re mög­lich durch das Ankreu­zen eines Käst­chens, die akti­ve Aus­wahl bestimm­ter tech­ni­scher Para­me­ter für die Dien­ste eines Infor­ma­ti­ons­ver­ar­bei­tungs­un­ter­neh­mens oder ander­wei­ti­ge Erklä­run­gen. Das­sel­be gilt für die non­ver­ba­le Äusse­rung mit­tels eines im kon­kre­ten Kon­text kla­ren Zei­chens oder einer ent­spre­chen­den Bewe­gung, was nament­lich im Rah­men eines ärzt­li­chen Behand­lungs­ver­hält­nis­ses häu­fig der Fall sein kann. Bei­spie­le hier­für sind das zustim­men­de Kopf­nicken oder das Öff­nen des Mun­des zur Ent­nah­me von Wan­gen­schleim­haut im Anschluss an die kla­re Auf­klä­rung. Wo eine aus­drück­li­che Ein­wil­li­gung erfor­der­lich ist, kann die­se nicht still­schwei­gend gege­ben werden. 

Arti­kel 6 E‑DSG führt die Pflicht zum Daten­schutz durch Tech­nik sowie durch daten­schutz­freund­li­che Vor­ein­stel­lun­gen ein. Weil die­se Pflich­ten eng mit den Daten­schutz­grund­sät­zen zusam­men­hän­gen, wur­den sie in die all­ge­mei­nen Daten­schutz­be­stim­mun­gen über­führt. Die Norm setzt die Anfor­de­run­gen von Arti­kel 8 Zif­fer 3 E‑SEV 108 sowie von Arti­kel 20 Absatz 1 der Richt­li­nie (EU) 2016/680 um. Der Arti­kel 25 der Ver­ord­nung (EU) 2016/679 ent­hält eine ähn­li­che Rege­lung. Abs. 1 Daten­schutz durch Technik Absatz 1 ver­langt vom Ver­ant­wort­li­chen, ab dem Zeit­punkt der Pla­nung eine Daten­be­ar­bei­tung so aus­zu­ge­stal­ten, dass durch die getrof­fe­nen Vor­keh­ren die Daten­schutz­vor­schrif­ten umge­setzt wer­den. Damit wird neu die Pflicht zum soge­nann­ten “Daten­schutz durch Technik”(Privacy by Design) ein­ge­führt. Die Grund­idee des tech­nik­ge­stütz­ten Daten­schut­zes besteht dar­in, dass sich Tech­nik und Recht gegen­sei­tig ergän­zen. So kann daten­schutz­freund­li­che Tech­nik den Bedarf nach recht­li­chen Regeln (oder Ver­hal­tens­ko­di­zes) redu­zie­ren, indem tech­ni­sche Vor­keh­ren den Ver­stoss gegen Daten­schutz­vor­schrif­ten ver­un­mög­li­chen oder zumin­dest die Gefahr erheb­lich ver­rin­gern. Zugleich sind daten­schutz­freund­li­che Tech­no­lo­gien unab­ding­bar für die prak­ti­sche Umset­zung der Daten­schutz­vor­schrif­ten. Denn Daten­be­ar­bei­tung ist in vie­ler Hin­sicht bereits all­ge­gen­wär­tig und wird ten­den­zi­ell wei­ter zuneh­men (Ubi­qui­tous Com­pu­ting). Dies sorgt für kaum über­blick­ba­re Daten­men­gen, die im Ein­klang mit den Daten­schutz­re­geln bear­bei­tet wer­den müs­sen, wofür tech­ni­sche Vor­keh­ren zen­tral sind. Ins­ge­samt zielt der tech­nik­ge­stütz­te Daten­schutz nicht auf eine bestimm­te Tech­no­lo­gie. Viel­mehr geht es dar­um, Syste­me zur Daten­be­ar­bei­tung tech­nisch und orga­ni­sa­to­risch so aus­zu­ge­stal­ten, dass sie ins­be­son­de­re den Grund­sät­zen nach Arti­kel 5 E‑DSG ent­spre­chen. Die gesetz­li­chen Anfor­de­run­gen für eine daten­schutz­kon­for­me Bear­bei­tung wer­den mit ande­ren Wor­ten bereits so im System ver­wirk­licht, dass die­ses die Gefahr von Ver­stö­ssen gegen Daten­schutz­vor­schrif­ten redu­ziert oder aus­schliesst. So kann bei­spiels­wei­se dafür gesorgt wer­den, dass Daten in regel­mä­ssi­gen Abstän­den gelöscht oder stan­dard­mä­ssig anony­mi­siert wer­den. Beson­ders bedeut­sam für den tech­nik­ge­stütz­ten Daten­schutz ist dabei die soge­nann­te Daten­mi­ni­mie­rung, wel­che sich bereits aus den all­ge­mei­nen Grund­sät­zen nach Arti­kel 5 E‑DSG ergibt. Ent­spre­chend dem Kon­zept der Daten­mi­ni­mie­rung wird eine Daten­be­ar­bei­tung bereits von Beginn weg so ange­legt, dass mög­lichst weni­ge Daten anfal­len und bear­bei­tet wer­den oder dass Daten zumin­dest nur mög­lichst kur­ze Zeit auf­be­wahrt wer­den. Die Bun­des­or­ga­ne müs­sen schon heu­te den von ihnen bezeich­ne­ten Daten­schutz­ver­ant­wort­li­chen oder, falls kein sol­cher besteht, dem Beauf­trag­ten unver­züg­lich alle Pro­jek­te zur auto­ma­ti­sier­ten Bear­bei­tung von Per­so­nen­da­ten mel­den, damit die Erfor­der­nis­se des Daten­schut­zes bereits bei der Pla­nung berück­sich­tigt wer­den (Art. 20 VDSG). Abs. 2 Ange­mes­sen­heit der Vorkehren Absatz 2 prä­zi­siert die Anfor­de­run­gen an die Vor­keh­ren nach Absatz 1. Die­se müs­sen ins­be­son­de­re nach dem Stand der Tech­nik, der Art und dem Umfang der Daten­be­ar­bei­tung sowie der Ein­tritts­wahr­schein­lich­keit und Schwe­re der Risi­ken, wel­che die frag­li­che Bear­bei­tung für die Per­sön­lich­keit und Grund­rech­te der betrof­fe­nen Per­son mit sich bringt, ange­mes­sen sein. Die vor­lie­gen­de Bestim­mung bezieht sich auf Daten­be­ar­bei­tun­gen durch pri­va­te Bear­bei­ter und Bun­des­or­ga­ne, sodass von Risi­ken für die Per­sön­lich­keit und die Grund­rech­te die Rede ist. Die Norm bringt den risi­ko­ba­sier­ten Ansatz zum Aus­druck. Das Risi­ko, das mit einer Bear­bei­tung ein­her­geht, muss in Bezie­hung gesetzt wer­den zu den tech­ni­schen Mög­lich­kei­ten, um die­ses zu ver­rin­gern. Je höher das Risi­ko, je grö­sser die Ein­tritts­wahr­schein­lich­keit und je umfang­rei­cher die Daten­be­ar­bei­tung ist, umso höher sind die Anfor­de­run­gen an die tech­ni­schen Vor­keh­ren, damit sie im Sin­ne der vor­lie­gen­den Bestim­mung als ange­mes­sen gel­ten kön­nen. Abs. 3 Daten­schutz­freund­li­che Voreinstellungen Gemäss Absatz 3 ist der Ver­ant­wort­li­che ver­pflich­tet, mit­tels geeig­ne­ter Vor­ein­stel­lun­gen dafür zu sor­gen, dass grund­sätz­lich nur so weni­ge Per­so­nen­da­ten bear­bei­tet wer­den, wie im Hin­blick auf den Ver­wen­dungs­zweck mög­lich ist, soweit die betrof­fe­ne Per­son nicht etwas ande­res bestimmt. Dies führt neu die Pflicht zur Ver­wen­dung daten­schutz­freund­li­cher Vor­ein­stel­lun­gen (Pri­va­cy by Default) ein. Bei Vor­ein­stel­lun­gen han­delt es sich um jene Ein­stel­lun­gen, ins­be­son­de­re von Soft­ware, die stan­dard­mä­ssig zur Anwen­dung kom­men, d.h. falls kei­ne abwei­chen­de Ein­ga­be durch den Nut­zer erfolgt. Die­se Stan­dard­ein­stel­lun­gen kön­nen werk­sei­tig vor­lie­gen oder ent­spre­chend pro­gram­miert wer­den, wie dies zum Bei­spiel der Fall ist, wenn ein bestimm­ter Drucker als Stan­dard­drucker defi­niert wird. Im Zusam­men­hang mit einer Daten­be­ar­bei­tung bedeu­tet dies, dass der frag­li­che Bear­bei­tungs­vor­gang stan­dard­mä­ssig mög­lichst daten­schutz­freund­lich ein­ge­rich­tet ist, ausser die betrof­fe­ne Per­son wür­de die­se vor­ge­ge­be­nen Ein­stel­lun­gen ver­än­dern. Bei­spiels­wei­se wäre es denk­bar, dass eine Web­site grund­sätz­lich Ein­käu­fe erlaubt, ohne dass dafür ein Benut­zer­pro­fil erstellt wer­den muss. Die Kun­den müs­sen ledig­lich mini­ma­le Anga­ben wie Namen und Adres­se machen. Falls die Kun­den aber von wei­te­ren Dien­sten die­ser Web­site pro­fi­tie­ren möch­ten, zum Bei­spiel vom Zugriff auf ihre gesam­ten Ein­käu­fe in der Ver­gan­gen­heit oder dem Anle­gen von Listen mit Ein­kaufs­wün­schen, müs­sen sie ein Benut­zer­pro­fil anle­gen, wodurch auch eine umfas­sen­de­re Bear­bei­tung ihrer Per­so­nen­da­ten erfolgt. Dies macht den engen Zusam­men­hang mit der Ver­wen­dung daten­schutz­freund­li­cher Tech­nik und dem Grund­satz der Daten­mi­ni­mie­rung deut­lich. So gehö­ren ent­spre­chen­de Vor­ein­stel­lun­gen regel­mä­ssig zur daten­schutz­freund­li­chen Aus­ge­stal­tung eines gesam­ten Systems. Spe­zi­fisch an daten­schutz­freund­li­chen Vor­ein­stel­lun­gen sind jedoch die Ein­fluss­mög­lich­kei­ten der betrof­fe­nen Per­son. Wäh­rend die­se das System als sol­ches kaum beein­flus­sen kann, geben ihr daten­schutz­freund­li­che Vor­ein­stel­lun­gen allen­falls die Mög­lich­keit, eine ande­re Wahl zu tref­fen. Sie hän­gen daher eng mit der Ein­wil­li­gung der betrof­fe­nen Per­son zusam­men (vgl. Art. 5 Abs. 6 E‑DSG). So erlau­ben es daten­schutz­freund­li­che Vor­ein­stel­lun­gen der betrof­fe­nen Per­son, einer bestimm­ten Daten­be­ar­bei­tung zuzu­stim­men. Der Grund­satz des Daten­schut­zes mit­tels Vor­ein­stel­lun­gen spielt im öffent­li­chen Sek­tor eine unter­ge­ord­ne­te Rol­le, da die Daten­be­ar­bei­tung dort weni­ger auf der Ein­wil­li­gung der betrof­fe­nen Per­son beruht als auf gesetz­li­chen Pflich­ten. Der Ver­ant­wort­li­che kann ins­be­son­de­re durch die Zer­ti­fi­zie­rung oder eine Daten­schutz-Fol­gen­ab­schät­zung auf­zei­gen, dass er den Ver­pflich­tun­gen die­ser Bestim­mung nachkommt. 

Arti­kel 7 E‑DSG über­nimmt Arti­kel 7 DSG mit eini­gen Ände­run­gen. Die Pflicht, die Daten­si­cher­heit sicher­zu­stel­len, ist eine Anfor­de­rung des E‑SEV 108 (Art. 7) und der Richt­li­nie (EU) 2016/680 (Art. 29). Die Ver­ord­nung (EU) 2016/679 (Art. 32) ent­hält eine ähn­li­che Rege­lung. Der Ver­ant­wort­li­che und der Auf­trags­be­ar­bei­ter müs­sen durch geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Mass­nah­men eine dem Risi­ko ange­mes­se­ne Daten­si­cher­heit gewähr­lei­sten. Dar­in kommt der risi­ko­ba­sier­te Ansatz zum Aus­druck. Je grö­sser das Risi­ko einer Ver­let­zung der Daten­si­cher­heit, umso höher sind die Anfor­de­run­gen an die zu tref­fen­den Mass­nah­men. Absatz 2 bestimmt das Ziel die­ser Mass­nah­men. Die­se sol­len es erlau­ben, Ver­let­zun­gen der Daten­si­cher­heit zu ver­mei­den, d.h. jede Ver­let­zung der Sicher­heit, die unge­ach­tet der Absicht oder der Wider­recht­lich­keit dazu führt, dass Per­so­nen­da­ten ver­lo­ren­ge­hen, gelöscht, ver­nich­tet oder ver­än­dert wer­den oder Unbe­fug­ten offen­ge­legt oder zugäng­lich gemacht wer­den (Art. 4 Bst. g E‑DSG). Sol­che Vor­keh­ren kön­nen bei­spiels­wei­se sein: die Pseud­ony­mi­sie­rung von Per­so­nen­da­ten, Mass­nah­men zur Wah­rung der Ver­trau­lich­keit und Ver­füg­bar­keit des Systems oder des­sen Dien­ste, die Ent­wick­lung von Ver­fah­ren, mit denen regel­mä­ssig geprüft, ana­ly­siert und bewer­tet wer­den kann, ob die getrof­fe­nen Sicher­heits­vor­keh­ren wirk­sam sind. Daten­schutz und Daten­si­cher­heit ste­hen zwar in einer Wech­sel­wir­kung, sind aber von­ein­an­der abzu­gren­zen. Beim Daten­schutz geht es um den Per­sön­lich­keits­schutz des Ein­zel­nen. Die Daten­si­cher­heit zielt hin­ge­gen gene­rell auf die bei einem Ver­ant­wort­li­chen oder Auf­trags­be­ar­bei­ter vor­han­de­nen Daten ab und umfasst den all­ge­mei­nen tech­ni­schen und orga­ni­sa­to­ri­schen Rah­men der Daten­be­ar­bei­tung. Dem­nach ist indi­vi­du­el­ler Daten­schutz nur mög­lich, wenn zugleich all­ge­mei­ne tech­ni­sche Vor­keh­run­gen zur Daten­si­cher­heit getrof­fen wer­den. Dar­aus ergibt sich auch die Abgren­zung der Pflicht zur Daten­si­cher­heit nach Arti­kel 7 E‑DSG zum Daten­schutz durch Tech­nik nach Arti­kel 6 Absatz 1 E‑DSG. Arti­kel 7 ver­pflich­tet sowohl den Ver­ant­wort­li­chen als auch den Auf­trags­be­ar­bei­ter dazu, für ihre Syste­me eine geeig­ne­te Sicher­heits­ar­chi­tek­tur vor­zu­se­hen und sie z. B. gegen Schad­soft­ware oder Daten­ver­lust zu schüt­zen. Arti­kel 6 Absatz 1 zielt hin­ge­gen dar­auf ab, mit tech­ni­schen Mit­teln die Ein­hal­tung von Daten­schutz­vor­schrif­ten sicher­zu­stel­len, z. B. dass die Daten­be­ar­bei­tung ver­hält­nis­mä­ssig bleibt. Dabei kön­nen ein­zel­ne Mass­nah­men wie bei­spiels­wei­se die Anony­mi­sie­rung von Daten für bei­de Pflich­ten bedeut­sam sein. Absatz 3 ver­pflich­tet den Bun­des­rat, Min­dest­an­for­de­run­gen an die Daten­si­cher­heit zu definieren. 

Arti­kel 8 über­nimmt im Wesent­li­chen den gel­ten­den Arti­kel 10a DSG (Daten­be­ar­bei­tung durch Drit­te). In den Absät­zen 1, 2 und 4 erfol­gen ter­mi­no­lo­gi­sche Ände­run­gen, die infol­ge der neu­en Begrif­fe (Auf­trags­be­ar­bei­ter, Ver­ant­wort­li­cher) erfor­der­lich sind. Wie nach bis­he­ri­gen Recht lässt sich ins­be­son­de­re fest­hal­ten, dass die Auf­trags­be­ar­bei­tung für Per­so­nen­da­ten, die durch Arti­kel 321 StGB geschützt sind (z. B. Daten, die unter das Art­z­ge­heim­nis fal­len), durch die Vor­schrift in Arti­kel 8 Absatz1BuchstabebE-DSGnichtausgeschlossenist,wenndieDrittenalsHilfspersonen im Sin­ne von Arti­kel 321 Ziff. 1 Abs. 1 StGB zu qua­li­fi­zie­ren sind. Sind die übri­gen Vor­aus­set­zun­gen der Auf­trags­be­ar­bei­tung erfüllt, so ist die­se damit zuläs­sig, ohne dass die betrof­fe­ne Per­son zusätz­lich ihre Ein­wil­li­gung dazu geben müss­te. Absatz 1 begrün­det eine Sorg­falts­pflicht für den Ver­ant­wort­li­chen, bei der Auf­trags­be­ar­bei­tung die Rech­te der betrof­fe­nen Per­son zu wah­ren. Der Ver­ant­wort­li­che muss aktiv sicher­stel­len, dass der Auf­trags­be­ar­bei­ter das Gesetz im sel­ben Umfang ein­hält, wie er selbst es tut. Das betrifft ins­be­son­de­re die Ein­hal­tung der all­ge­mei­nen Grund­sät­ze, der Regeln betref­fend die Daten­si­cher­heit, die in Absatz 2 aus­drück­lich erwähnt wer­den, sowie der Regeln betref­fend die Bekannt­ga­be ins Aus­land. Der Ver­ant­wort­li­che muss ana­log wie bei Arti­kel 55 OR Ver­stö­sse gegen das DSG ver­hin­dern. Er ist daher ver­pflich­tet, sei­nen Auf­trags­be­ar­bei­ter sorg­fäl­tig aus­zu­wäh­len, ihn ange­mes­sen zu instru­ie­ren und soweit als nötig zu über­wa­chen. Absatz 3 ist neu und sieht vor, dass der Auf­trags­be­ar­bei­ter die Bear­bei­tung nur mit vor­gän­gi­ger Geneh­mi­gung des Ver­ant­wort­li­chen einem Drit­ten über­tra­gen darf. Im Pri­vat­sek­tor ist die Geneh­mi­gung an kei­ne beson­de­re Form gebun­den. Der Auf­trags­be­ar­bei­ter muss jedoch nach­wei­sen, dass die Geneh­mi­gung vor­liegt. Es liegt somit in sei­nem Inter­es­se, dies zu doku­men­tie­ren. Im öffent­li­chen Sek­tor hat die Geneh­mi­gung hin­ge­gen schrift­lich zu erfol­gen. Es han­delt sich um eine Anfor­de­rung der Richt­li­nie (EU) 2016/680 (Art. 22 Abs. 2). Der Bun­des­rat wird dies in einer Ver­ord­nung fest­le­gen. Sowohl im pri­va­ten als auch im öffent­li­chen Sek­tor kann die Geneh­mi­gung spe­zi­fi­scher oder all­ge­mei­ner Art sein. In letz­te­rem Fall infor­miert der Auf­trags­be­ar­bei­ter den Ver­ant­wort­li­chen über jede Ände­rung (Hin­zu­zie­hung oder Erset­zung ande­rer Auftragsbearbeiter),damit er Ein­spruch gegen die­se Ände­run­gen erhe­ben kann. Die Daten­be­ar­bei­tung inner­halb der glei­chen juri­sti­schen Per­son (Filia­le, Ver­wal­tungs­ein­heit, Mit­ar­bei­ten­de) stellt grund­sätz­lich kei­ne Bear­bei­tung durch Auf­trags­be­ar­bei­ter dar. Wer­den Daten in einer soge­nann­ten Cloud auf­be­wahrt, han­delt es sich dabei grund­sätz­lich um einen Anwen­dungs­fall der Auf­trags­be­ar­bei­tung, wel­che die ent­spre­chen­den Vor­aus­set­zun­gen erfül­len muss. Falls hier­für Daten ins Aus­land bekannt­ge­ge­ben wer­den, müs­sen zudem die Vor­aus­set­zun­gen der Arti­kel 13 und 14 vorliegen. 

Arti­kel 9 regelt die inter­ne Daten­schutz­be­ra­te­rin oder den inter­nen Daten­schutz­be­ra­ter. Das bis­he­ri­ge Recht ver­wen­det auf Deutsch den Begriff des Daten­schutz­ver­ant­wort­li­chen, auf Ita­lie­nisch responsa­bi­le, wäh­rend auf Fran­zö­sisch vom con­seil­ler die Rede ist (Art. 11a Abs. 5 Bst. e DSG). Um Ver­wechs­lun­gen mit dem Ver­ant­wort­li­chen nach Arti­kel 4 Buch­sta­be i E‑DSG bzw. mit dem responsa­bi­le nach Arti­kel 4 Buch­sta­be j E‑DSG zu ver­mei­den, führt der E‑DSG auf Deutsch und Ita­lie­nisch den Begriff der Daten­schutz­be­ra­te­rin und des Daten­schutz­be­ra­ters bzw. des con­su­len­te per la pro­te­zio­ne dei dati ein. Dadurch ist die Ter­mi­no­lo­gie in allen drei Spra­chen ein­heit­lich. Die Daten­schutz­be­ra­te­rin oder der Daten­schutz­be­ra­ter über­wacht die Ein­hal­tung der Daten­schutz­vor­schrif­ten inner­halb eines Unter­neh­mens und berät den Ver­ant­wort­li­chen in Daten­schutz­be­lan­gen. Der Ver­ant­wort­li­che trägt jedoch allein die Ver­ant­wor­tung dafür, dass die Per­so­nen­da­ten daten­schutz­kon­form bear­bei­tet wer­den. Die Bestim­mung wird auf­grund der Ver­nehm­las­sung in den E‑DSG ein­ge­fügt. Sie hat erge­ben, dass eine aus­drück­li­che Erwäh­nung der Daten­schutz­be­ra­te­rin oder des Daten­schutz­be­ra­ters im Gesetz erwünscht ist. Der E‑DSG geht indes weni­ger weit als das euro­päi­sche Recht, das in gewis­sen Fäl­len eine Pflicht zur Ernen­nung einer Daten­schutz­be­ra­te­rin oder eines Daten­schutz­be­ra­ters vor­sieht. Die­se Lösung hät­te auch der Beauf­trag­te bevor­zugt. Nach dem E‑DSG bleibt es hin­ge­gen den Unter­neh­men über­las­sen, ob sie eine Daten­schutz­be­ra­te­rin oder einen Daten­schutz­be­ra­ter ernen­nen wol­len, wäh­rend Bun­des­or­ga­ne grund­sätz­lich ver­pflich­tet sind, einen sol­chen ein­zu­set­zen. Abs. 1 und 2 Ernennung Pri­va­te Ver­ant­wort­li­che kön­nen grund­sätz­lich jeder­zeit eine Daten­schutz­be­ra­te­rin oder einen Daten­schutz­be­ra­ter ernen­nen, wie dies in Absatz 1 fest­ge­hal­ten ist. Das Gesetz sieht jedoch in Bezug auf die Daten­schutz-Fol­gen­ab­schät­zung Erleich­te­run­gen vor für Ver­ant­wort­li­che, die eine sol­che Bera­te­rin oder einen sol­chen Bera­ter ernannt haben. Absatz 2 defi­niert die Vor­aus­set­zun­gen, die erfüllt sein müs­sen, damit die­se Erleich­te­run­gen zur Anwen­dung kom­men kön­nen (Bst. a). Dabei über­nimmt der E‑DSG weit­ge­hend gel­ten­des Recht (vgl. Art. 12a f. VDSG). Der Ver­ant­wort­li­che kann eine Mit­ar­be ite­rin oder einen Mit­ar­bei­ter oder eine Dritt­per­son zur Daten­schutz­be­ra­te­rin oder zum Daten­schutz­be­ra­ter ernen­nen. Nach Buch­sta­be a muss die Per­son ihre Funk­ti­on jedoch fach­lich unab­hän­gig aus­üben; sie oder er ist gegen­über dem Ver­ant­wort­li­chen nicht wei­sungs­ge­bun­den. Han­delt es sich um eine Mit­ar­bei­te­rin oder einen Mit­ar­bei­ter, muss die hier­ar­chi­sche Ein­ord­nung inner­halb des Unter­neh­mens sicher­stel­len, dass die Daten­schutz­be­ra­te­rin oder der Daten­schutz­be­ra­ter unab­hän­gig bleibt. Grund­sätz­lich soll­te sie oder er direkt der Geschäfts­lei­tung des Ver­ant­wort­li­chen unter­stellt sein. Buch­sta­be b kon­kre­ti­siert die Unab­hän­gig­keit der Daten­schutz­be­ra­te­rin oder des Daten­schutz­be­ra­ters wei­ter. Dem­nach dür­fen die­se Per­so­nen kei­ne Tätig­kei­ten über­neh­men, die mit ihren Auf­ga­ben unver­ein­bar sind. Dies könn­te bei­spiels­wei­se der Fall sein, wenn die Daten­schutz­be­ra­te­rin oder der Daten­schutz­be­ra­ter Mit­glied der Geschäfts­lei­tung ist, Funk­tio­nen in Berei­chen der Per­so­nal­füh­rung oder der Infor­ma­ti­ons­sy­stem­ver­wal­tung aus­übt oder zu einer Dienst­stel­le gehört, die selbst beson­ders schüt­zens­wer­te Per­so­nen­da­ten bear­bei­tet. Hin­ge­gen ist es z. B. denk­bar, die Auf­ga­be der Daten­schutz­be­ra­te­rin oder des Daten­schutz­be­ra­ters zu kumu­lie­ren mit der­je­ni­gen des Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ten. Nach Buch­sta­be c muss die Daten­schutz­be­ra­te­rin oder der Daten­schutz­be­ra­ter schliess­lich über die erfor­der­li­chen Fach­kennt­nis­se ver­fü­gen, um die­se Auf­ga­be zu über­neh­men. So ist für die­se Tätig­keit Fach­wis­sen sowohl im Bereich der Daten­schutz­ge­setz­ge­bung als auch über tech­ni­sche Stan­dards zur Daten­si­cher­heit erfor­der­lich. Die Daten­schutz­be­ra­te­rin oder der Daten­schutz­be­ra­ter ist sowohl für die betrof­fe­ne Per­son als auch für den Beauf­trag­ten ein wich­ti­ger Ansprech­part­ner in Bezug auf die Daten­be­ar­bei­tun­gen, wel­che das frag­li­che Unter­neh­men vor­nimmt. Nach Buch­sta­be d muss der Ver­ant­wort­li­che die Kon­takt­da­ten der Daten­schutz­be­ra­te­rin oder des Daten­schutz­be­ra­ters daher ver­öf­fent­li­chen und dem Beauf­trag­ten mit­tei­len. Eine ana­lo­ge Pflicht ist in der Ver­ord­nung auch für Bun­des­or­ga­ne vor­zu­se­hen. Abs. 3 Daten­schutz­be­ra­te­rin ‑bera­ter von Bundesorganen Absatz 3 ver­pflich­tet den Bun­des­rat, Regeln zur Bestel­lung der Daten­schutz­be­ra­te­rin oder des Daten­schutz­be­ra­ters durch die Bun­des­or­ga­ne zu erlas­sen. Die­se befin­den sich auch nach bis­he­ri­gen Recht über­wie­gend in der Ver­ord­nung. Die Bun­des­or­ga­ne sind im Schen­gen-Bereich auf­grund von Arti­kel 32 der Richt­li­nie (EU) 2016/680 dazu ver­pflich­tet, eine Daten­schutz­be­ra­te­rin oder einen Daten­schutz­be­ra­ter zu ernennen. 

Der Bun­des­rat möch­te die Erar­bei­tung von Ver­hal­tens­ko­di­zes för­dern. Die­se ent­spre­chen einem Bedürf­nis, das die Regu­lie­rungs­fol­gen­ab­schät­zung (vgl. Ziff. 1.8) ange­sichts des all­ge­mei­nen Cha­rak­ters der Gesetz­ge­bung und ihres äusserst umfas­sen­den per­sön­li­chen und sach­li­chen Gel­tungs­be­reichs erge­ben hat. In sol­chen Kodi­zes kön­nen ein­zel­ne Begrif­fe wie das hohe Risi­ko (Art. 20 E‑DSG) oder die Moda­li­tä­ten von Pflich­ten wie der Infor­ma­ti­ons­pflicht (Art. 17 – 19 E‑DSG) und der Pflicht zur Durch­füh­rung einer Daten­schutz-Fol­gen­ab­schät­zung (Art. 20 E‑DSG) prä­zi­siert wer­den. Ausser­dem sol­len prä­zi­se­re Lösun­gen gefun­den wer­den in Berei­chen, die heu­te zahl­rei­che Fra­gen auf­wer­fen, bei­spiels­wei­se bei der Video­über­wa­chung, dem Cloud Com­pu­ting oder sozia­len Netz­wer­ken. Indem der Bun­des­rat den inter­es­sier­ten Krei­sen ermög­licht, selbst aktiv zu wer­den und zur Regu­lie­rung der ein­zel­nen Berei­che bei­zu­tra­gen, möch­te er kon­zer­tier­te und breit abge­stütz­te Bran­chen­lö­sun­gen för­dern. Zur För­de­rung der Selbst­re­gu­lie­rung schlägt er zudem vor, dass Ver­ant­wort­li­che, die Ver­hal­tens­ko­di­zes ein­hal­ten, unter bestimm­ten Vor­aus­set­zun­gen auf die Durch­füh­rung einer Daten­schutz-Fol­gen­ab­schät­zung ver­zich­ten kön­nen (Art. 20 Abs. 5 E‑DSG). Die För­de­rung der Ein­füh­rung von Ver­hal­tens­ko­di­zes durch die Staa­ten und die Auf­sichts­be­hör­den ist auch in der Ver­ord­nung (EU) 2016/679 (Art. 40 und 57 Abs. 1 Bst. m)vorgesehen. Im pri­va­ten Sek­tor müs­sen die Ver­hal­tens­ko­di­zes von Berufs- oder Wirt­schafts­ver­bän­den stam­men, die nach ihren Sta­tu­ten zur Wah­rung der wirt­schaft­li­chen Inter­es­sen ihrer Mit­glie­der befugt sind. Ein­zel­ne Ver­ant­wort­li­che oder Auf­trags­be­ar­bei­ter kön­nen dem Beauf­trag­ten kei­ne Ver­hal­tens­ko­di­zes vor­le­gen, da die Ver­hal­tens­ko­di­zes eine gewis­se Ver­ein­heit­li­chung inner­halb einer bestimm­ten Bran­che zum Ziel haben. Im öffent­li­chen Sek­tor kön­nen Ver­hal­tens­ko­di­zes hin­ge­gen von einem ein­zel­nen Bun­des­or­gan stam­men. Dies recht­fer­tigt sich ins­be­son­de­re auf­grund der zahl­rei­chen gesetz­li­chen Grund­la­gen und der Viel­falt der Auf­ga­ben der ver­schie­de­nen Orga­ne. Absatz 1 sieht vor, dass die Ver­hal­tens­ko­di­zes dem Beauf­trag­ten vor­ge­legt wer­den kön­nen. Die­ser nimmt dazu Stel­lung (Abs. 2). Die Frist, inner­halb der er Stel­lung neh­men muss, hängt von den Umstän­den des Ein­zel­falls ab. Die Stel­lung­nah­me stellt kei­ne Ver­fü­gung dar. Die inter­es­sier­ten Krei­se kön­nen somit aus einer posi­ti­ven Stel­lung­nah­me bzw. einem Ver­zicht auf eine Stel­lung­nah­me kei­ne Rech­te ablei­ten. Den­noch kann bei einer posi­ti­ven Stel­lung­nah­me des Beauf­trag­ten davon aus­ge­gan­gen wer­den, dass ein dem Ver­hal­tens­ko­dex ent­spre­chen­des Ver­hal­ten kei­ne Ver­wal­tungs­mass­nah­men nach sich zieht. Der Beauf­trag­te ver­öf­fent­licht sei­ne Stel­lung­nah­me, und zwar unab­hän­gig davon, ob er den vor­ge­leg­ten Ver­hal­tens­ko­dex posi­tiv oder nega­tiv beur­teilt. Der Beauf­trag­te hät­te es vor­ge­zo­gen, wenn die Ver­bän­de dazu ver­pflich­tet wor­den wären, ihm die Kodi­zes zur Geneh­mi­gung vor­zu­le­gen. Der Bun­des­rat hat auf­grund der Ver­nehm­las­sungs­er­geb­nis­se dar­auf ver­zich­tet, aber auch weil der Beauf­trag­te auf dem Wege einer Ver­fü­gung hät­te dar­über ent­schei­den müs­sen, was zusätz­li­che Kosten nach sich gezo­gen hätte. 

Der E‑DSG sieht anstel­le der Doku­men­ta­ti­ons­pflicht im Vor­ent­wurf die Pflicht vor, ein Ver­zeich­nis der Bear­bei­tungs­tä­tig­kei­ten zu füh­ren. Die Ver­nehm­las­sung hat erge­ben, dass zu wenig deut­lich wur­de, was die Doku­men­ta­ti­ons­pflicht umfasst. Zudem wird das Ver­zeich­nis der Bear­bei­tungs­tä­tig­kei­ten neu bei den all­ge­mei­nen Daten­schutz­be­stim­mun­gen ein­ge­ord­net. Dies ver­deut­licht den engen Zusam­men­hang mit den Daten­schutz­grund­sät­zen. Die Pflicht zur Füh­rung eines Ver­zeich­nis­ses ersetzt die Mel­de­pflicht von Daten­samm­lun­gen nach dem bis­he­ri­gen Recht. Die Richt­li­nie (EU) 2016/680 sieht in Arti­kel 24 ein sol­ches Ver­zeich­nis vor; die Ver­ord­nung (EU) 2016/679 ent­hält in Arti­kel 30 eine ana­lo­ge Vor­schrift. Die Pflicht zur Füh­rung eines Ver­zeich­nis­ses obliegt nach Absatz 1 dem Ver­ant­wort­li­chen und dem Auf­trags­be­ar­bei­ter. Absatz 2 zählt die Min­destan­ga­ben auf, die das Ver­zeich­nis ent­hal­ten muss. Dazu gehö­ren zunächst die Iden­ti­tät (der Name) des Ver­ant­wort­li­chen (Bst. a) und der Bear­bei­tungs­zweck (Bst. b). Anzu­ge­ben ist wei­ter eine Beschrei­bung der Kate­go­rien betrof­fe­ner Per­so­nen und der Kate­go­rien bear­bei­te­ter Per­so­nen­da­ten (Bst. c). Mit Kate­go­rien betrof­fe­ner Per­so­nen sind typi­sier­te Grup­pen gemeint, die bestimm­te gemein­sa­me Merk­ma­le haben, wie z. B. “Kon­su­men­ten”, “Armee­an­ge­hö­ri­ge” oder “Arbeit­neh­mer”. Die Kate­go­rien bear­bei­te­ter Per­so­nen­da­ten bezeich­net die Art der bear­bei­te­ten Daten, z. B. beson­ders schüt­zens­wer­te Per­so­nen­da­ten. Auf­ge­führt wer­den müs­sen eben­falls die Kate­go­rien von Emp­fän­gern (Bst. d), denen gege­be­nen­falls die Per­so­nen­da­ten bekannt­ge­ge­ben wer­den. Auch hier sind wie­der­um typi­sier­te Grup­pen mit gemein­sa­men Merk­ma­len gemeint, wie z. B. “Auf­sichts­be­hör­den”. Nach Buch­sta­be e muss das Ver­zeich­nis die Auf­be­wah­rungs­dau­er der Per­so­nen­da­ten ent­hal­ten. Da sich die Auf­be­wah­rungs­dau­er gemäss Arti­kel 5 Absatz 4 nach dem Ver­wen­dungs­zweck rich­tet, lässt sich die Auf­be­wah­rungs­dau­er mit­un­ter nicht exakt fest­le­gen, was durch die Wen­dung “wenn mög­lich” aus­ge­drückt wird. Sind genaue Anga­ben nicht mög­lich, muss das Ver­zeich­nis zumin­dest die Kri­te­ri­en ent­hal­ten, nach denen die­se Dau­er fest­ge­legt wird. Gemäss Buch­sta­be f muss das Ver­zeich­nis schliess­lich eine all­ge­mei­ne Beschrei­bung der Mass­nah­men zur Gewähr­lei­stung der Daten­si­cher­heit nach Arti­kel 7 ent­hal­ten, soweit dies mög­lich ist. Durch die Beschrei­bung soll das Ver­zeich­nis erlau­ben, Män­gel in den Sicher­heits­vor­keh­ren auf­zu­zei­gen. Die Wen­dung “wenn mög­lich” macht deut­lich, dass die Beschrei­bung nur erfol­gen soll, wenn die Vor­keh­run­gen hin­rei­chend kon­kret umschrie­ben wer­den kön­nen. Befin­den sich die­se Emp­fän­ger im Aus­land, muss aus dem Ver­zeich­nis auch her­vor­ge­hen, ob grund­sätz­lich die Vor­aus­set­zun­gen für Bekannt­ga­be ins Aus­land erfüllt sind. Des­we­gen ist nach Buch­sta­be g der Staat anzu­ge­ben sowie die Garan­tien nach Arti­kel 13 Absatz2. Die Auf­zäh­lung in Absatz 2 macht deut­lich, dass das Ver­zeich­nis eine gene­rel­le Beschrei­bung der Bear­bei­tungs­tä­tig­keit ist, aus der sich Art und Umfang einer Bear­bei­tung ergibt. Hin­ge­gen ist das Ver­zeich­nis kein Jour­nal sämt­li­cher Daten­be­ar­bei­tun­gen des Ver­ant­wort­li­chen oder des Auf­trags­be­ar­bei­ters, in dem pro­to­kol­l­ar­tig ein­zel­ne Hand­lun­gen auf­ge­führt wer­den. Das Ver­zeich­nis ist mit­hin eine schrift­li­che Dar­stel­lung der wesent­li­chen Infor­ma­tio­nen zu allen Daten­be­ar­bei­tun­gen eines Ver­ant­wort­li­chen oder Auf­trags­be­ar­bei­ters. Es lässt damit wesent­li­che Rück­schlüs­se dar­auf zu, ob eine Daten­be­ar­bei­tung dem Grund­satz nach daten­schutz­kon­form aus­ge­stal­tet ist oder nicht. Dar­über hin­aus kor­re­lie­ren die Min­destan­ga­ben des Ver­zeich­nis­ses in Absatz 2 in vie­ler Hin­sicht mit den Anga­ben, wel­che die betrof­fe­ne Per­son auf­grund der Infor­ma­ti­ons­pflicht und des Aus­kunfts­rechts erhal­ten muss. Absatz 3 ent­hält eine ver­kürz­te Liste von Min­destan­ga­ben des Auf­trags­be­ar­bei­ters. Die­ser muss ins­be­son­de­re die Kate­go­rien von Bear­bei­tun­gen auf­füh­ren, die im Auf­trag jedes Ver­ant­wort­li­chen durch­ge­führt wer­den. Das Ver­zeich­nis des Auf­trags­be­ar­bei­ters ent­hält zudem die Iden­ti­tät der Ver­ant­wort­li­chen, für die er tätig ist. Nach Absatz 4 mel­den die Bun­des­or­ga­ne ihre Ver­zeich­nis­se dem Beauf­trag­ten. Die­ser führt nach Arti­kel 50 ein Regi­ster der Bear­bei­tungs­tä­tig­kei­ten der Bun­des­or­ga­ne. Die­ses wird ver­öf­fent­licht. Für Bun­des­or­ga­ne wer­den sich damit grund­sätz­lich kei­ne Ände­run­gen im Ver­hält­nis zum bis­he­ri­gen Recht erge­ben. Denn sie müs­sen bereits jetzt ein Bear­bei­tungs­re­gle­ment erar­bei­ten sowie eine Anmel­dung der Daten­samm­lung beim Beauf­trag­ten vor­neh­men. Absatz 5 gibt dem Bun­des­rat die Mög­lich­keit, für Unter­neh­men, die weni­ger als 50 Mit­ar­bei­te­rin­nen und Mit­ar­bei­ter beschäf­ti­gen, Aus­nah­men von der Pflicht, ein Ver­zeich­nis zu füh­ren, vor­zu­se­hen. Dies dient ins­be­son­de­re dazu, klei­ne und mitt­le­re Unter­neh­men zu ent­la­sten. Hier­bei wird der Bun­des­rat jedoch nicht allei­ne auf die Grö­sse eines Unter­neh­mens abstel­len, son­dern auch berück­sich­ti­gen, wel­che Risi­ken mit einer Daten­be­ar­bei­tung einhergehen. 

Arti­kel 12 E‑DSG regelt die fakul­ta­ti­ve Zer­ti­fi­zie­rung, die gegen­wär­tig in Arti­kel 11 DSG gere­gelt ist. Neben Daten­be­ar­bei­tungs­sy­ste­men (Ver­fah­ren, Orga­ni­sa­ti­on) und Pro­duk­ten (Pro­gram­me, Syste­me), ist es künf­tig auch mög­lich, bestimm­te Dienst­lei­stun­gen zu zer­ti­fi­zie­ren. Zer­ti­fi­zier­te Ver­ant­wort­li­che sind von der Pflicht zur Durch­füh­rung einer Daten­schutz-Fol­gen­ab­schät­zung ent­bun­den (Art. 20 Abs. 5 E‑DSG). Das Akkre­di­tie­rungs­ver­fah­ren für unab­hän­gi­ge Zer­ti­fi­zie­rungs­stel­len durch die schwei­ze­ri­sche Akkre­di­tie­rungs­stel­le, mit der auch der Beauf­trag­te asso­zi­iert ist, bleibt unver­än­dert. Der Beauf­trag­te hät­te es vor­ge­zo­gen, wenn für Bear­bei­tun­gen mit hohem Risi­ko eine Zer­ti­fi­zie­rungs­pflicht ein­ge­führt wor­den wäre. Der Bun­des­rat hat dar­auf ver­zich­tet, weil es sich dabei nicht um eine Anfor­de­rung des euro­päi­schen Rechts handelt. 

Die­se Bestim­mung ent­spricht den Anfor­de­run­gen von Arti­kel 12 E‑SEV 108, wonach Daten grund­sätz­lich nur ins Aus­land über­mit­telt wer­den dür­fen, wenn ein ange­mes­se­nes Daten­schutz­ni­veau besteht (Abs. 2). Arti­kel 12 Absatz 3 E‑SEV 108 defi­niert die Fäl­le, in denen die­se Vor­aus­set­zung erfüllt ist. Durch die Rege­lung in Arti­kel 13 E‑DSG erfolgt auch eine Anglei­chung an das Recht der Euro­päi­schen Uni­on (Art. 45 ff. der Ver­ord­nung [EU] 2016/679). Die Bestim­mun­gen zur Bekannt­ga­be von Per­so­nen­da­ten ins Aus­land sind unter Berück­sich­ti­gung der Ergeb­nis­se des Ver­nehm­las­sungs­ver­fah­rens teil­wei­se über­ar­bei­tet wor­den. Der Grund­satz, wonach Per­so­nen­da­ten nicht ins Aus­land bekannt gege­ben wer­den dür­fen, wenn dadurch die Per­sön­lich­keit der betrof­fe­nen Per­so­nen schwer­wie­gend gefähr­det wür­de, wird auf­ge­ho­ben, da er in Bezug auf die Syste­ma­tik der Rege­lung eine Rechts­un­si­cher­heit schafft. Die Ter­mi­no­lo­gie betref­fend die Bekannt­ga­be von Per­so­nen­da­ten ins Aus­land auf der Grund­la­ge geeig­ne­ter Garan­tien wird an jene der Ver­ord­nung (EU) 2016/679 ange­passt. Die Aus­nah­men im Zusam­men­hang mit der Bekannt­ga­be von Per­so­nen­da­ten in einen Staat, des­sen Gesetz­ge­bung kei­nen ange­mes­se­nen Daten­schutz bie­tet, wer­den zudem leicht gelockert. Schliess­lich wer­den ledig­lich die durch den E‑SEV 108 gefor­der­ten Pflich­ten zur Infor­ma­ti­on des Beauf­trag­ten und zur Ein­ho­lung sei­ner Geneh­mi­gung bei­be­hal­ten. Abs. 1 Fest­stel­lung per Ent­scheid des Bundesrats Gemäss Absatz 1 dür­fen Daten ins Aus­land bekannt gege­ben wer­den, wenn der Bun­des­rat fest­ge­stellt hat, dass die Gesetz­ge­bung des betref­fen­den Staa­tes oder das inter­na­tio­na­le Organ einen ange­mes­se­nen Schutz gewähr­lei­stet. Die­se Bestim­mung über­trägt dem Bun­des­rat aus­drück­lich die Zustän­dig­keit, die Ange­mes­sen­heit der aus­län­di­schen Gesetz­ge­bung im Bereich des Daten­schut­zes zu prü­fen. Die aktu­el­le Situa­ti­on ist unbe­frie­di­gend, weil es dem Inha­ber einer Daten­samm­lung, der Daten bekannt geben will, obliegt zu prü­fen, ob die Gesetz­ge­bung des betref­fen­den Staa­tes einen ange­mes­se­nen Schutz­ge­währ­lei­stet. Gege­be­nen­falls hat er die Liste des Beauf­trag­ten mit den Staa­ten, die die­se Anfor­de­rung erfül­len, bei­zu­zie­hen (Art. 7VDSG). Um eine ein­heit­li­che Anwen­dung von Arti­kel 13 sicher­zu­stel­len, wird die Ange­mes­sen­heit der aus­län­di­schen Gesetz­ge­bung in Zukunft durch den Bun­des­rat geprüft. Bei sei­ner Prü­fung muss der Bun­des­rat nicht nur unter­su­chen, ob der aus­län­di­sche Staat über eine Gesetz­ge­bung ver­fügt, die mate­ri­ell den Anfor­de­run­gen des E‑SEV 108 genügt, son­dern auch wie die­se Gesetz­ge­bung ange­wen­det wird. Der Bun­des­rat kann auch prü­fen, ob der durch ein inter­na­tio­na­les Organ garan­tier­te Daten­schutz ange­mes­sen ist. Der Begriff “inter­na­tio­na­les Organ” bezieht sich auf alle inter­na­tio­na­len Insti­tu­tio­nen, sei­en dies Orga­ni­sa­tio­nen oder Gerich­te. Das Ergeb­nis die­ser Prü­fung wird in einer Ver­ord­nung des Bun­des­ra­tes ver­öf­fent­licht, die in die Amt­li­che Samm­lung auf­ge­nom­men wird. In der künf­ti­gen Ver­ord­nung wird prä­zi­siert wer­den, dass der Bun­des­rat die Situa­ti­on peri­odisch eva­lu­ie­ren und dass der Beauf­trag­te auf sei­ner Web­site eine Liste der Staa­ten oder inter­na­tio­na­len Orga­ne ver­öf­fent­li­chen wird, die gemäss der Fest­stel­lung des Bun­des­ra­tes einen ange­mes­se­nen Daten­schutz gewähr­lei­sten. Die Ver­ord­nung ist als Posi­tiv-Liste kon­zi­piert und ent­hält eine Auf­zäh­lung jener Staa­ten, die über eine Gesetz­ge­bung ver­fü­gen, auf­grund wel­cher ein ange­mes­se­ner Schutz sicher­ge­stellt ist. Wenn ein aus­län­di­scher Staat nicht in der Ver­ord­nung des Bun­des­ra­tes ent­hal­ten ist, kann dies zwei Ursa­chen haben: Ent­we­der wur­de die Gesetz­ge­bung des frag­li­chen Staa­tes noch nicht geprüft oder der Bun­des­rat ist zum Schluss gekom­men, dass die Gesetz­ge­bung des Staa­tes den Anfor­de­run­gen der Gewähr­lei­stung eines ange­mes­se­nen Schut­zes nicht ent­spricht. Mit der Revi­si­on wird die Fest­stel­lung des Bun­des­ra­tes für die Ver­ant­wort­li­chen, die eine Bekannt­ga­be von Daten ins Aus­land vor­se­hen, ein gesetz­lich ver­bind­li­ches Kri­te­ri­um, wäh­rend die bis­he­ri­ge Liste des Beauf­trag­ten ledig­lich als Hilfs­mit­tel gedacht war, das die­sen zur Ver­fü­gung gestellt wur­de. Die­se Lösung dient der Rechts­si­cher­heit. Für sei­ne Prü­fung kann sich der Bun­des­rat auf die ver­füg­ba­ren Quel­len stüt­zen, nament­lich die Eva­lua­tio­nen, die im Rah­men des Über­ein­kom­mens SEV 108 oder durch die Euro­päi­sche Uni­on durch­ge­führt wer­den. Es wäre auch denk­bar, mit aus­län­di­schen Behör­den zusam­men­zu­ar­bei­ten und sich deren Eva­lua­ti­ons­pro­zess anzu­schlie­ssen. Wenn der Bun­des­rat fest­stellt, dass die Gesetz­ge­bung eines Staa­tes oder ein inter­na­tio­na­les Organ einen ange­mes­se­nen Schutz gewähr­lei­stet, ist der freie Ver­kehr von Per­so­nen­da­ten aus der Schweiz in die­sen Staat oder zu die­sem Organ sowohl durch pri­va­te Ver­ant­wort­li­che als auch durch Bun­des­or­ga­ne zuläs­sig. Abs. 2 Kein Ent­scheid des Bundesrates Liegt kein Ent­scheid des Bun­des­ra­tes nach Absatz 1 vor, sieht Absatz 2 vor, dass Per­so­nen­da­ten ins Aus­land bekannt gege­ben wer­den kön­nen, wenn ein geeig­ne­ter Daten­schutz gewähr­lei­stet wird. Nach Buch­sta­be a kann ein geeig­ne­ter Schutz durch einen völ­ker­recht­li­chen Ver­trag gewähr­lei­stet wer­den. Unter “völ­ker­recht­li­cher Ver­trag” ist nicht nur ein inter­na­tio­na­les Daten­schutz­über­ein­kom­men wie das Über­ein­kom­men SEV 108 und sein Zusatz­pro­to­koll zu ver­ste­hen, dem der Emp­fän­ger­staat ange­hört und des­sen Anfor­de­run­gen von der Ver­trags­par­tei im inner­staat­li­chen Recht umge­setzt wor­den sind, son­dern auch jedes ande­re inter­na­tio­na­le Abkom­men, das einen Daten­aus­tausch zwi­schen den Ver­trags­par­tei­en vor­sieht und mate­ri­ell den Anfor­de­run­gen des Über­ein­kom­mens SEV 108 ent­spricht. Dabei kann es sich auch um einen Staats­ver­trag han­deln, den der Bun­des­rat im Rah­men von Arti­kel 61 Buch­sta­be b E‑DSG abge­schlos­sen hat. Absatz 2 Buch­sta­ben b – d ent­spricht den Anfor­de­run­gen von Arti­kel 12 Absatz 3 Buch­sta­be b E‑SEV 108. Die­ser sieht vor, dass ein ange­mes­se­nes Daten­schutz­ni­veau durch geneh­mig­te Ad-hoc und stan­dar­di­sier­te Garan­tien gewähr­lei­stet wer­den kann, die auf recht­lich bin­den­den und durch­setz­ba­ren Instru­men­ten beru­hen, wel­che durch die mit der Bekannt­ga­be und Wei­ter­be­ar­bei­tung der Daten befass­ten Per­so­nen ver­ein­bart und umge­setzt wer­den. In Arti­kel 46 der Ver­ord­nung (EU) 2016/679 und in Arti­kel 37 der Richt­li­nie (EU) 2016/680 sind ent­spre­chen­de Rege­lun­gen vor­ge­se­hen. Bst. b Daten­schutz­klau­seln in einem Vertrag Nach Absatz 2 Buch­sta­be b dür­fen Per­so­nen­da­ten ins Aus­land bekannt gege­ben wer­den, wenn der Ver­ant­wort­li­che und der Ver­trags­part­ner in ihrem Ver­trag Daten­schutz­klau­seln ver­ein­bart haben. Der Begriff “Daten­schutz­klau­seln” ent­spricht der Ter­mi­no­lo­gie von Arti­kel 46 Absatz 3 Buch­sta­be a der Ver­ord­nung (EU) 2016/679. Die Klau­seln müs­sen dem Beauf­trag­ten vor­gän­gig mit­ge­teilt wer­den. Sobald der Ver­ant­wort­li­che die­ser Pflicht nach­ge­kom­men ist, dür­fen die Per­so­nen­da­ten ins Aus­land bekannt­ge­ge­ben wer­den. Gege­be­nen­falls muss der Beauf­trag­te eine Unter­su­chung eröff­nen, um fest­zu­stel­len, ob die Klau­seln den Anfor­de­run­gen genü­gen. Wie es heu­te bereits der Fall ist, ist es Sache des Ver­ant­wort­li­chen, nach­zu­wei­sen, dass er alle erfor­der­li­chen Mass­nah­men getrof­fen hat, um sich zu ver­ge­wis­sern, dass ein geeig­ne­ter Schutz besteht und dass der Emp­fän­ger die ver­trag­li­chen Daten­schutz­klau­seln ein­hält. Im Gegen­satz zu den Stan­dard­da­ten­schutz­klau­seln (sie­he Bst. d) gel­ten die Daten­schutz­klau­seln in einem Ver­trag nur für die Bekannt­ga­be, die im ent­spre­chen­den Ver­trag vor­ge­se­hen ist. Bst. c Spe­zi­fi­sche Garantien Im öffent­li­chen Sek­tor kann ein Bun­des­or­gan, das einem aus­län­di­schen Staat die Zusa­ge für die Zusam­men­ar­beit erteilt, die Zusa­ge an spe­zi­fi­sche Garan­tien für den Bereich des Daten­schut­zes knüp­fen. Dabei kann es sich bei­spiels­wei­se um ent­spre­chen­de Ver­ein­ba­run­gen mit dem frag­li­chen aus­län­di­schen Staats­or­gan han­deln. Das Bun­des­or­gan muss sie dem Beauf­trag­ten vor­gän­gig mit­tei­len. Sobald der Ver­ant­wort­li­che die­ser Pflicht nach­ge­kom­men ist, dür­fen die Per­so­nen­da­ten ins Aus­land bekannt­ge­ge­ben wer­den. Bst. d Standarddatenschutzklauseln Nach Absatz 2 Buch­sta­be d kön­nen Daten gestützt auf Stan­dard­da­ten­schutz­klau­seln ins Aus­land bekannt gege­ben wer­den. Die Bestim­mung über­nimmt die Ter­mi­no­lo­gie von Arti­kel 46 Absatz 2 Buch­sta­ben c und d der Ver­ord­nung (EU) 2016/679. Die Stan­dard­klau­seln kön­nen von Pri­va­ten, inter­es­sier­ten Krei­sen oder Bun­des­or­ga­nen erar­bei­tet oder vom Beauf­trag­ten aus­ge­stellt oder aner­kannt wer­den. Auch die Bun­des­or­ga­ne kön­nen auf die­se Art von Garan­tien zurück­grei­fen. Der Begriff der “Stan­dard­da­ten­schutz­klau­sel” betrifft bei­spiels­wei­se stan­dar­di­sier­te Ver­trags­klau­seln, die in den Ver­trag zwi­schen dem Ver­ant­wort­li­chen und dem Emp­fän­ger ein­ge­fügt wer­den. Es kann sich auch um einen von Pri­va­ten erar­bei­te­ten Ver­hal­tens­ko­dex han­deln, dem sich Pri­vat­per­so­nen frei­wil­lig unter­stel­len kön­nen. Im ersten Fall müs­sen die Stan­dard­da­ten­schutz­klau­seln vor­gän­gig vom Beauf­trag­ten geneh­migt wer­den. Die­se Bedin­gung stellt gegen­über dem gel­ten­den Recht, wonach der Beauf­trag­te ledig­lich infor­miert wer­den muss ( Art. 6 Abs. 3 DSG), eine Ver­schär­fung dar. Sie ent­spricht der Anfor­de­rung von Arti­kel 12 Absatz 2 Buch­sta­be b E‑SEV 108. Der Ver­ant­wort­li­che darf gestützt auf die Stan­dard­da­ten­schutz­klau­seln kei­ne Daten ins Aus­land bekannt geben, bis er vom Beauf­trag­ten eine ent­spre­chen­de beschwer­de­fä­hi­ge Ver­fü­gung (Art. 5 VwVG”>Art. 5 VwVG) erhal­ten hat. Wäh­rend der Dau­er des Ver­fah­rens kann er sich auf Arti­kel 13 Absatz 2 Buch­sta­ben b oder c stüt­zen. Die Frist, inner­halb der der Ver­ant­wort­li­che eine Ver­fü­gung erlas­sen muss, wird durch die Ord­nungs­fri­sten­ver­ord­nung vom 25. Mai 2011 (OrFV) gere­gelt. Gemäss Arti­kel 4 OrFV hängt die Frist, inner­halb der eine Behör­de ihren Ent­scheid fällt, von der Kom­ple­xi­tät des Ent­scheids ab, wobei die maxi­ma­le Frist drei Mona­te beträgt. Im zwei­ten Fall kann der Ver­ant­wort­li­che auch auf Stan­dard­da­ten­schutz­klau­seln zurück­grei­fen, die der Beauf­tra­ge aus­ge­stellt oder aner­kannt hat, bei­spiels­wei­se Muster­ver­trä­ge. Beschliesst ein Ver­ant­wort­li­cher, Daten gestützt auf Stan­dard­da­ten­schutz­klau­seln im Sin­ne von Absatz 2 Buch­sta­be d ins Aus­land bekannt zu geben, wird ver­mu­tet, dass er alle not­wen­di­gen Mass­nah­men getrof­fen hat, um sich eines ange­mes­se­nen Schut­zes zu ver­ge­wis­sern. Aller­dings befreit ihn die­se Ver­mu­tung nicht von der Haf­tung für Nach­tei­le, die sich aus einer Ver­let­zung die­ser Klau­seln ins­be­son­de­re durch den Emp­fän­ger der Daten erge­ben kön­nen. In der künf­ti­gen Ver­ord­nung ist daher die Pflicht des Beauf­trag­ten vor­zu­se­hen, eine Liste der aus­ge­stell­ten oder aner­kann­ten Stan­dard­da­ten­schutz­klau­seln zu ver­öf­fent­li­chen, wie es im Übri­gen im gel­ten­den Recht vor­ge­se­hen ist (Art. 6 Abs. 3 VDSG). Bst. e Ver­bind­li­che unter­neh­mens­in­ter­ne Datenschutzvorschriften Nach Absatz 2 Buch­sta­be e kann die Bekannt­ga­be von Daten ins Aus­land auch gestützt auf ver­bind­li­che unter­neh­mens­in­ter­ne Daten­schutz­vor­schrif­ten erfol­gen, die vor­gän­gig durch den Beauf­trag­ten oder durch eine aus­län­di­sche Behör­de, die für den Daten­schutz zustän­dig ist, geneh­migt wur­den. Die­se Bestim­mung ersetzt Arti­kel 6 Absatz 2 Buch­sta­be g DSG. Absatz 2 Buch­sta­be e nähert sich dem Recht der Euro­päi­schen Uni­on an, das in Arti­kel 47 der Ver­ord­nung (EU) 2016/679 vor­sieht, dass Daten gestützt auf vor­gän­gig von der Daten­schutz­auf­sichts­be­hör­de geneh­mig­te, ver­bind­li­che inter­ne Daten­schutz­vor­schrif­ten zwi­schen den Mit­glie­dern einer Unter­neh­mens­grup­pe über­mit­telt wer­den kön­nen. Die Geneh­mi­gung ver­bind­li­cher unter­neh­mens­in­ter­ner Vor­schrif­ten ist in Arti­kel 57 Absatz 1 Buch­sta­be s der Ver­ord­nung (EU) 2016/679 fest­ge­hal­ten. Absatz 2 Buch­sta­be e stellt inso­fern eine Ver­schär­fung des gel­ten­den Rechts dar, als die ver­bind­li­chen unter­neh­mens­in­ter­nen Daten­schutz­vor­schrif­ten neu geneh­migt wer­den müs­sen. Der Ver­ant­wort­li­che darf gestützt auf die ver­bind­li­chen unter­neh­mens­in­ter­nen Daten­schutz­vor­schrif­ten kei­ne Daten ins Aus­land bekannt geben, bis er vom Beauf­trag­ten eine ent­spre­chen­de beschwer­de­fä­hi­ge Ver­fü­gung Art. 5 VwVG”>Art. 5 VwVG) erhal­ten hat. Wäh­rend der Dau­er des Ver­fah­rens kann er sich auf Arti­kel 13 Absatz 2 Buch­sta­ben b oder c stüt­zen. Zur Berück­sich­ti­gung der Bedürf­nis­se von Unter­neh­mens­grup­pen, die sich über meh­re­re Län­der erstrecken, sieht Absatz 2 Buch­sta­be e vor, dass ein Unter­neh­men mit Sitz in der Schweiz, das zu einer sol­chen Grup­pe gehört, auch ver­bind­li­che Daten­schutz­vor­schrif­ten befol­gen kann, die durch eine aus­län­di­sche Behör­de geneh­migt wur­den, die für den Daten­schutz zustän­dig ist und die einem Staat ange­hört, der einen ange­mes­se­nen Schutz gewähr­lei­stet. Die in Absatz 2 Buch­sta­be e erwähn­ten Instru­men­te müs­sen in dem Sin­ne “ver­bind­lich” sein, als alle Gesell­schaf­ten, die zur sel­ben Unter­neh­mens­grup­pe gehö­ren, die Vor­schrif­ten ein­zu­hal­ten und anzu­wen­den haben. Die­se Nor­men prä­zi­sie­ren min­de­stens die frag­li­che Daten­be­kannt­ga­be, die Kate­go­rien bekannt gege­be­ner Daten, den Zweck der Bear­bei­tung, die Kate­go­rien betrof­fe­ner Per­so­nen und die Emp­fän­ger­staa­ten. Ausser­dem müs­sen die Nor­men die Rech­te der betrof­fe­nen Per­so­nen regeln und auch Anga­ben über die Mecha­nis­men ent­hal­ten, die inner­halb der Unter­neh­mens­grup­pe ein­ge­rich­tet wor­den sind, um ihre Ein­hal­tung zu über­prü­fen. Gege­be­nen­falls kann der Bun­des­rat in der Aus­füh­rungs­ver­ord­nung Kri­te­ri­en defi­nie­ren, wel­che die ver­bind­li­chen unter­neh­mens­in­ter­nen Vor­schrif­ten erfül­len müs­sen. Abs. 3 Rechtsetzungsdelegation In die­ser Bestim­mung wird der Bun­des­rat ermäch­tigt, ande­re geeig­ne­te Garan­tien nach Absatz 2 vor­zu­se­hen. Denn es ist nicht aus­ge­schlos­sen, dass ande­re Syste­me ent­wickelt wer­den wie bei­spiels­wei­se Selbst­zer­ti­fi­zie­rungs­re­ge­lun­gen gemäss dem Modell des Swiss-US P riva­cy Shield (sie­he Art. 46 Abs. 2 Bst. f der Ver­ord­nung [EU] 2016/679).

Abs. 1 In Anleh­nung an das gel­ten­de Recht (Art. 6 Abs. 2 DSG) regelt Arti­kel 14 Absatz 1 E‑DSG die Fäl­le, in denen Daten ins Aus­land bekannt gege­ben wer­den kön­nen, obwohl im Aus­land ein ange­mes­se­ner Schutz fehlt. Er ent­spricht im Wesent­li­chen Arti­kel 12 Absatz 4 E‑SEV 108 und Arti­kel 49 der Ver­ord­nung (EU) 2016/679. Die Richt­li­nie (EU) 2016/680 ent­hält eine ent­spre­chen­de Rege­lung in Arti­kel 38. Buch­sta­be a ent­spricht Arti­kel 6 Absatz 2 Buch­sta­be b DSG, wobei die betrof­fe­ne Per­son aus­drück­lich ein­wil­li­gen muss und der Aus­druck “im Ein­zel­fall” gestri­chen wird. Die aus­drück­li­che Ein­wil­li­gung ist eine Anfor­de­rung des E‑SEV 108 (Art. 12 Abs. 4 Bst. a). Dies­be­züg­lich kann auf die Erläu­te­run­gen zu Arti­kel 5 Absatz 6 EDSG ver­wie­sen wer­den. Die betrof­fe­ne Per­son muss ins­be­son­de­re den Namen des Dritt­staats ken­nen (Art. 17 Abs. 4 E‑DSG) und über die Risi­ken der Bekannt­ga­be im Zusam­men­hang mit dem Daten­schutz­ni­veau im aus­län­di­schen Staat infor­miert wer­den. Was den Aus­druck “im Ein­zel­fall” betrifft, ist der Bun­des­rat der Auf­fas­sung, dass er gestri­chen wer­den kann. Wie aus Arti­kel 5 Absatz 6 E‑DSG her­vor­geht, wil­ligt die betrof­fe­ne Per­son für eine oder meh­re­re bestimm­te Bear­bei­tun­gen ein. Die Prä­zi­sie­rung “im Ein­zel­fall” ist somit über­flüs­sig. Buch­sta­be b ent­spricht Arti­kel 6 Absatz 2 Buch­sta­be c DSG unter dem Vor­be­halt, dass Per­so­nen­da­ten ins Aus­land bekannt gege­ben wer­den dür­fen, wenn die Bekannt­ga­be in unmit­tel­ba­rem Zusam­men­hang mit dem Abschluss oder der Abwick­lung eines Ver­trags zwi­schen dem Ver­ant­wort­li­chen und der betrof­fe­nen Per­son oder zwi­schen dem Ver­ant­wort­li­chen und sei­nem Ver­trags­part­ner im Inter­es­se der betrof­fe­nen Per­son steht. Arti­kel 49 Absatz 1 der Ver­ord­nung (EU) 2016/679 sieht eine ana­lo­ge Bestim­mung vor. Buch­sta­be c Zif­fer 1 ent­spricht Arti­kel 6 Absatz 2 Buch­sta­be d erster Satz­teil DSG. Der Aus­druck “uner­läss­lich” wird in Anleh­nung an die euro­päi­schen Rechts­ak­te im Ein­lei­tungs­satz durch “not­wen­dig” ersetzt. Das Vor­lie­gen eines über­wie­gen­den öffent­li­chen Inter­es­ses muss unter den kon­kre­ten Umstän­den nach­ge­wie­sen wer­den. Ein rein hypo­the­ti­sches Inter­es­se genügt nicht. Unter der “Wah­rung eines über­wie­gen­den öffent­li­chen Inter­es­ses” ist bei­spiels­wei­se die inne­re Sicher­heit der Schweiz oder eines Dritt­staa­tes zu ver­ste­hen. Auf­grund die­ser Bestim­mung dür­fen Per­so­nen­da­ten auch aus huma­ni­tä­ren Grün­den ins Aus­land bekannt gege­ben wer­den, bei­spiels­wei­se wenn der Ver­ant­wort­li­che sie bekannt gibt, um bei der Suche nach Per­so­nen zu hel­fen, die in einem Kon­flikt­ge­biet ver­misst wer­den oder in einer Regi­on, in der eine Natur­ka­ta­stro­phe statt­ge­fun­den hat. Buch­sta­be c Zif­fer 2 ent­spricht Arti­kel 6 Absatz 2 Buch­sta­be d zwei­ter Satz­teil DSG, ausser dass der Aus­druck “vor Gericht”, der als zu eng befun­den wird, durch “vor einem Gericht oder einer ande­ren zustän­di­gen aus­län­di­schen Behör­de” ersetzt wird. In Buch­sta­be d wird prä­zi­siert, dass die Bekannt­ga­be auch zuläs­sig ist, wenn sie not­wen­dig ist, um das Leben oder die kör­per­li­che Unver­sehrt­heit der betrof­fe­nen Per­son oder eines Drit­ten zu schüt­zen, soweit es nicht mög­lich ist, die Ein­wil­li­gung der betrof­fe­nen Per­son innert ange­mes­se­ner Frist ein­zu­ho­len. Dies kann der Fall sein, weil die­se kör­per­lich nicht dazu in der Lage ist oder weil sie mit Hil­fe der übli­chen Kom­mu­ni­ka­ti­ons­mit­tel nicht erreich­bar ist. Buch­sta­be e ent­spricht Arti­kel 6 Absatz 2 Buch­sta­be f DSG. Buch­sta­be f ist eine neue Bestim­mung. Sie prä­zi­siert, dass die Anfor­de­rung eines ange­mes­se­nen Schut­zes nicht anwend­bar ist, wenn die ins Aus­land bekannt zu geben­den Daten aus einem gesetz­lich gere­gel­ten öffent­li­chen Regi­ster stam­men und bestimm­te gesetz­li­che Vor­aus­set­zun­gen erfüllt sind. Arti­kel 49 Absatz 1 Buch­sta­be g der Ver­ord­nung (EU) 2016/679 ver­folgt die­sel­be Stoss­rich­tung: Er sieht vor, dass die Bekannt­ga­be von Daten aus einem Regi­ster trotz des Feh­lens eines ange­mes­se­nen Schut­zes zuläs­sig ist, wenn das Regi­ster gemäss dem Recht der Euro­päi­schen Uni­on oder der Mit­glied­staa­ten zur Infor­ma­ti­on der Öffent­lich­keit bestimmt ist und bestimm­te gesetz­li­che Vor­aus­set­zun­gen erfüllt sind. Abs. 2 Gemäss die­ser Bestim­mung kann der Beauf­trag­te den Ver­ant­wort­li­chen oder den Auf­trags­be­ar­bei­ter anfra­gen, ihm die nach Absatz 1 Buch­sta­ben b Zif­fer 2, c und d erfolg­ten Bekannt­ga­ben von Per­so­nen­da­ten mit­zu­tei­len. Die Bestim­mung ent­spricht den Anfor­de­run­gen von Arti­kel 12 Absatz 5 E‑SEV 108. Der vor­letz­te Satz von Arti­kel 49 Absatz 1 der Ver­ord­nung (EU) 2016/679 geht wei­ter als die­se Bestim­mung, denn er sieht vor, dass die Ver­ant­wort­li­chen die Auf­sichts­be­hör­de von selbst über die nach Arti­kel 47 erfolg­ten Über­mitt­lun­gen von Per­so­nen­da­ten in Kennt­nis setzen. 

Die­se Bestim­mung über­nimmt den Inhalt von Arti­kel 5 VDSG. Sie regelt die Ver­öf­fent­li­chung von Per­so­nen­da­ten über das Inter­net oder ande­re Infor­ma­ti­ons- und Kom­mu­ni­ka­ti­ons­dien­ste zwecks Infor­ma­ti­on der Öffent­lich­keit. So ist es mög­lich, im Aus­land – auch in Staa­ten, die nicht einen ange­mes­se­nen Daten­schutz gewähr­lei­sten – im Inter­net Infor­ma­tio­nen mit oder ohne Per­so­nen­da­ten abzu­ru­fen. Die Ver­öf­fent­li­chung von Per­so­nen­da­ten im Inter­net zwecks Infor­ma­ti­on der Öffent­lich­keit wird, wie bei­spiels­wei­se im Fal­le der Medi­en, nicht als Bekannt­ga­be von Per­so­nen­da­ten ins Auslandbetrachtet. 

In Arti­kel 17 E‑DSG wird neu die Infor­ma­ti­ons­pflicht bei der Beschaf­fung von Daten gere­gelt. Die Arti­kel 14, 18 und 18a DSG wer­den damit in einer Norm zusam­men­ge­führt. Dadurch wer­den Dop­pel­spu­rig­kei­ten ver­mie­den und es gilt eine ein­heit­li­che Rege­lung für die Daten­be­ar­bei­tung durch Bun­des­or­ga­ne und pri­va­te Ver­ant­wort­li­che. Die Bestim­mung ent­spricht den Anfor­de­run­gen von Arti­kel 7E‑SEV 108 sowie Arti­kel 13 der Richt­li­nie (EU) 2016/680. Die Arti­kel 13 f. der Ver­ord­nung (EU) 2016/679 ent­hal­ten eine ähn­li­che Rege­lung. Die Infor­ma­ti­ons­pflicht ver­bes­sert die Trans­pa­renz bei der Daten­be­ar­bei­tung, die ein zen­tra­les Ziel der Revi­si­on ist. Denn regel­mä­ssig kann die betrof­fe­ne Per­son ohne ent­spre­chen­de Infor­ma­tio­nen nicht erken­nen, dass Daten über sie bear­bei­tet wer­den. Zugleich kann die betrof­fe­ne Per­son ihre Rech­te gemäss dem DSG nur wahr­neh­men, wenn ihr eine Daten­be­ar­bei­tung bekannt ist. Durch die ver­bes­ser­te Trans­pa­renz bei der Daten­be­ar­bei­tung wer­den daher auch die Rech­te der betrof­fe­nen Per­son gestärkt, was eben­falls ein zen­tra­les Anlie­gen der Revi­si­on ist. Schliess­lich dient die Infor­ma­ti­ons­pflicht der Sen­si­bi­li­sie­rung der Bevöl­ke­rung für den Daten­schutz, die mit der Revi­si­on eben­so ange­strebt wird. Abs. 1 Grundsatz Gemäss Absatz 1 muss der Ver­ant­wort­li­che die betrof­fe­ne Per­son über die Beschaf­fung von Per­so­nen­da­ten infor­mie­ren. Dies gilt auch, wenn die Daten nicht bei der betrof­fe­nen Per­son beschafft wer­den. Der E‑DSG legt nicht fest, auf wel­che Wei­se die Infor­ma­ti­on erfol­gen muss. Der Ver­ant­wort­li­che muss aber sicher­stel­len, dass die betrof­fe­ne Per­son die Infor­ma­ti­on tat­säch­lich zur Kennt­nis neh­men kann. Sicher­zu­stel­len ist damit die Mög­lich­keit, sich in ein­fach zugäng­li­cher Wei­se zu infor­mie­ren, nicht aber, dass sich die betrof­fe­ne Per­son im kon­kre­ten Fall wirk­lich infor­miert. Die­se Mög­lich­keit, Infor­ma­tio­nen zur Kennt­nis zu neh­men, hängt wesent­lich davon ab, ob die Daten bei der betrof­fe­nen Per­son beschafft wer­den oder nicht. So kann eine all­ge­mei­ne Infor­ma­ti­on genü­gen, wenn die Per­so­nen­da­ten bei der betrof­fe­nen Per­son beschafft wer­den (zu all­ge­mei­nen Geschäfts­be­din­gun­gen vgl. Art. 18 Abs. 1). Denk­bar sind in die­sem Fall eine Daten­schutz­er­klä­rung auf einer Web­site, aber gege­be­nen­falls auch Sym­bo­le oder Pik­to­gram­me, soweit sie die nöti­gen Infor­ma­tio­nen wie­der­ge­ben. Wird eine all­ge­mei­ne Form gewählt, muss die Infor­ma­ti­on leicht zugäng­lich, voll­stän­dig und genü­gend sicht­bar gemacht sein. Auch ein mehr­stu­fi­ger Zugang ist mög­lich, der bei­spiels­wei­se auf einer ersten Stu­fe eine Über­sicht ent­hält, die auf einer zwei­ten Stu­fe Zugang zu detail­lier­ten Infor­ma­tio­nen gibt. Nicht aus­rei­chend ist hin­ge­gen, wenn ein­fach eine Kon­takt­per­son ange­ge­ben wird. Die betrof­fe­ne Per­son soll die Infor­ma­tio­nen erhal­ten, ohne dass sie zuerst danach fra­gen­muss. Wer­den die Daten hin­ge­gen nicht bei der betrof­fe­nen Per­son beschafft, muss der Ver­ant­wort­li­che prü­fen, wie die Infor­ma­ti­on erfol­gen muss, damit die betrof­fe­ne Per­son tat­säch­lich von ihr Kennt­nis neh­men kann. Gege­be­nen­falls reicht es in die­sem Fall nicht aus, ledig­lich Infor­ma­tio­nen zur Ver­fü­gung zu stel­len, son­dern die betrof­fe­ne Per­son muss aktiv infor­miert wer­den, sei dies in einer geeig­ne­ten all­ge­mei­nen Form oder durch indi­vi­du­el­le Infor­ma­ti­on. So wird bei­spiels­wei­se eine Per­son, die nie Bücher kauft, kaum die Web­site eines Online-Buch­händ­lers besu­chen und des­sen Daten­schutz­er­klä­rung lesen. Dem­entspre­chend wird sie auf­grund die­ser all­ge­mei­nen Erklä­rung auch nicht erfah­ren, dass der Online-Buch­händ­ler Daten über sie bear­bei­tet, weil sie gar nicht damit rech­net. Die Infor­ma­ti­ons­pflicht soll damit grund­sätz­lich auch ver­hin­dern, dass ohne Wis­sen der betrof­fe­nen Per­son Daten über sie bear­bei­tet wer­den; vor­be­hal­ten blei­ben die Aus­nah­men in Arti­kel 18. Die Infor­ma­ti­on ist zwar kei­nem Form­erfor­der­nis unter­wor­fen, aber es ist ins­ge­samt eine Form zu wäh­len, wel­che dem Zweck einer trans­pa­ren­ten Daten­be­ar­bei­tung gerecht wird. Aus Beweis­grün­den ist es zudem emp­feh­lens­wert, die Infor­ma­ti­on zu doku­men­tie­ren oder schrift­lich zu geben. Auch muss die Infor­ma­ti­on ver­ständ­lich abge­fasst sein, sodass sie tat­säch­lich dem Zweck einer trans­pa­ren­ten Daten­be­ar­bei­tung dient. Abs. 2 Mit­zu­tei­len­de Informationen Der Ein­lei­tungs­satz von Absatz 2 legt den Grund­satz fest, an dem sich der Ver­ant­wort­li­che bei der Mit­tei­lung von Infor­ma­tio­nen ori­en­tie­ren muss. Dem­nach muss er der betrof­fe­nen Per­son die­je­ni­gen Infor­ma­tio­nen mit­tei­len, die erfor­der­lich sind, um ihre Rech­te nach dem Gesetz gel­tend zu machen und eine trans­pa­ren­te Daten­be­ar­bei­tung zu gewähr­lei­sten. Die Buch­sta­ben a – c kon­kre­ti­sie­ren die­sen Grund­satz durch Min­destan­ga­ben, wel­che der betrof­fe­nen Per­son in jedem Fall mit­ge­teilt wer­den müs­sen. Dabei han­delt es sich nach Buch­sta­be a um die Iden­ti­tät, d.h. den Namen, und die Kon­takt­da­ten des Ver­ant­wort­li­chen und nach Buch­sta­be b den Bear­bei­tungs­zweck. Gege­be­nen­falls sind zudem nach Buch­sta­be c die Emp­fän­ger oder die Kate­go­rien von Emp­fän­gern anzu­ge­ben, denen die Per­so­nen­da­ten bekannt­ge­ge­ben wer­den. Dabei besteht ein Wahl­reicht auf Sei­ten des Ver­ant­wort­li­chen, ob er die Emp­fän­ger oder ledig­lich die Kate­go­rien von Emp­fän­gern ange­ben möch­te. Wie auch in der Euro­päi­schen Uni­on (vgl. Art. 4 Ziff. 9 der Ver­ord­nung [EU] 2016/679) gehö­ren auch Auf­trags­be­ar­bei­ter zu den Emp­fän­gern im Sin­ne der Bestim­mung. Will der Ver­ant­wort­li­che deren Iden­ti­tät jedoch nicht offen­le­gen, kann er sich mit der Anga­be der Kate­go­rie begnü­gen. Der Beauf­trag­te hät­te bevor­zugt, wenn dar­über hin­aus auch die Rechts­grund­la­ge der Bear­bei­tung mit­ge­teilt hät­te wer­den müs­sen. Durch die Kom­bi­na­ti­on aus einer a llge­mei­nen Vor­schrift, wel­che die grund­sätz­li­chen Anfor­de­run­gen an die zu über­mit­teln­den Infor­ma­tio­nen ent­hält, und spe­zi­fi­schen Min­destan­ga­ben lässt sich die Infor­ma­ti­ons­pflicht fle­xi­bel hand­ha­ben. Ent­spre­chend der Art der bear­bei­te­ten Daten, der Natur und dem Umfang der frag­li­chen Daten­be­ar­bei­tung muss der Ver­ant­wort­li­che ver­stärkt infor­mie­ren oder nicht. So kann es bei­spiels­wei­se auch nötig sein, über die Dau­er der Bear­bei­tung, oder die Anony­mi­sie­rung von Daten zu infor­mie­ren. Die­se Fle­xi­bi­li­tät ist erfor­der­lich, weil das DSG auf eine Viel­zahl unter­schied­li­cher Daten­be­ar­bei­tun­gen anwend­bar ist. Zugleich wird durch eine fle­xi­ble Rege­lung sicher­ge­stellt, dass die Ver­ant­wort­li­chen kei­ne unnö­ti­gen Infor­ma­tio­nen über­mit­teln müs­sen und die betrof­fe­nen Per­so­nen nur erfor­der­li­che Infor­ma­tio­nen erhal­ten. Eben­falls erlaubt dies den Ver­ant­wort­li­chen, die Infor­ma­ti­ons­pflicht für ihre spe­zi­fi­sche Bran­che in Ver­hal­tens­ko­di­zes zu kon­kre­ti­sie­ren. Abs. 3 Kate­go­rien der Personendaten Nur wenn die Daten nicht bei der betrof­fe­nen Per­son beschafft wer­den, muss der Ver­ant­wort­li­che nach Absatz 3 der betrof­fe­nen Per­son zudem mit­tei­len, wel­che Kate­go­rien von Per­so­nen­da­ten er bear­bei­tet. Die­se Ein­schrän­kung ergibt sich aus der Annah­me, dass der betrof­fe­nen Per­son zumin­dest die Kate­go­rien von Daten oder sogar die Daten bekannt sein dürf­ten, wenn die­se bei ihr beschafft wer­den. Wenn die Daten nicht bei der betrof­fe­nen Per­son beschafft wer­den, hat die­se kei­ne Mög­lich­keit zu erfah­ren, wel­che Kate­go­rien von Daten über sie bear­bei­tet wer­den, und muss daher ent­spre­chend infor­miert wer­den. Abs. 4 Bekannt­ga­be ins Ausland Wer­den die Per­so­nen­da­ten ins Aus­land bekannt­ge­ge­ben, muss der Ver­ant­wort­li­che die betrof­fe­ne Per­son auch über den Staat infor­mie­ren, in den die Daten gelan­gen. Falls die­ser Staat kei­nen ange­mes­se­nen Schutz gewähr­lei­stet und der Ver­ant­wort­li­che auf Garan­tien nach Arti­kel 13 Absatz 2 zurück­greift, muss er der betrof­fe­nen Per­son auch die­se Garan­tien mit­tei­len. Das­sel­be gilt, wenn die Bekannt­ga­be auf­grund einer Aus­nah­me nach Arti­kel 14 erfolgt. Abs. 5 Zeit­punkt der Information Wer­den die Daten bei der betrof­fe­nen Per­son beschafft, muss sie in die­sem Zeit­punkt infor­miert wer­den. Dies ergibt sich aus Absatz 2. Absatz 5 regelt den Zeit­punkt der Infor­ma­ti­on, wenn die Daten nicht bei der betrof­fe­nen Per­son beschafft wer­den. Die Bestim­mung legt dafür eine maxi­ma­le Frist von einem Monat fest, inner­halb der die Infor­ma­ti­on erfol­gen muss. Satz 2 ent­hält eine kür­ze­re Frist für den Fall, dass der Ver­ant­wort­li­che die Per­so­nen­da­ten vor Ablauf die­ser ein­mo­na­ti­gen Frist an Emp­fän­ger bekannt­gibt. Dann muss die betrof­fe­ne Per­son spä­te­stens zum Zeit­punkt der Bekannt­ga­be infor­miert wer­den. Zusam­men­fas­send gilt damit eine grund­sätz­li­che Frist von einem Monat, nach­dem der Ver­ant­wort­li­che die Daten erhal­ten hat. Die­se Frist gilt unab­hän­gig davon, wofür die Per­so­nen­da­ten ver­wen­det wer­den. Eine kür­ze­re Frist gilt nur, wenn der Ver­ant­wort­li­che die Per­so­nen­da­ten an Emp­fän­ger bekanntgibt. 

Arti­kel 18 E‑DSG regelt, unter wel­chen Umstän­den die Infor­ma­ti­ons­pflicht gänz­lich ent­fällt (Abs. 1 und 2), und wann die Infor­ma­ti­on ein­ge­schränkt wer­den kann, obschon grund­sätz­lich die Pflicht zur Infor­ma­ti­on besteht (Abs. 3). Die bei­den Kon­stel­la­tio­nen sind klar von­ein­an­der abzu­gren­zen. Die Vor­schrift über­nimmt dabei teil­wei­se gel­ten­des Recht (Art. 9, Art. 14 Abs. 4 und 5, sowie 18b DSG), das der Klar­heit hal­ber in einer Bestim­mung zusam­men­ge­führt wird. Abs. 1 All­ge­mei­ne Aus­nah­men von der Informationspflicht Absatz 1 legt eini­ge Kon­stel­la­tio­nen fest, in denen die Infor­ma­ti­ons­pflicht gänz­lich ent­fällt und der Ver­ant­wort­li­che die betrof­fe­ne Per­son dem­nach gar nicht infor­mie­ren muss. Nach Buch­sta­be a ist der Ver­ant­wort­li­che von der Infor­ma­ti­ons­pflicht ent­bun­den, wenn die betrof­fe­ne Per­son bereits über die Infor­ma­tio­nen nach Arti­kel 17 ver­fügt. Davon ist in ver­schie­de­nen Fäl­len aus­zu­ge­hen. Zunächst ist es mög­lich, dass die betrof­fe­ne Per­son zu einem frü­he­ren Zeit­punkt bereits infor­miert wur­de und sich die Infor­ma­tio­nen, wel­che über­mit­telt wer­den müs­sen, in der Zwi­schen­zeit nicht geän­dert haben. Grund­sätz­lich ist eben­falls davon aus­zu­ge­hen, dass die betrof­fe­ne Per­son die Infor­ma­tio­nen bereits erhal­ten hat, um in eine Daten­be­ar­bei­tung ein­zu­wil­li­gen. Denn eine gül­ti­ge Ein­wil­li­gung ist nur mög­lich, wenn die betrof­fe­ne Per­son ange­mes­sen infor­miert wur­de. Die dafür not­wen­di­gen Infor­ma­tio­nen ent­spre­chen den­je­ni­gen, die nach Arti­kel 17 mit­zu­tei­len sind oder gehen sogar dar­über hin­aus. Regel­mä­ssig erfolgt die Ein­wil­li­gung mit­tels All­ge­mei­ner Geschäfts­be­din­gun­gen (AGB). Die­se kön­nen damit grund­sätz­lich eben­falls dazu die­nen, die betrof­fe­ne Per­son zu infor­mie­ren, soweit sie die erfor­der­li­chen Infor­ma­tio­nen ent­hal­ten. Wenn die betrof­fe­ne Per­son die Daten selbst, ohne Dazu­tun des Ver­ant­wort­li­chen zugäng­lich gemacht hat, gilt sie grund­sätz­lich eben­falls als über die Daten­be­schaf­fung infor­miert (z. B. Zustel­lung von Bewer­bungs­un­ter­la­gen). Nach Buch­sta­be b ent­fällt die Infor­ma­ti­ons­pflicht, wenn die Bear­bei­tung im Gesetz vor­ge­se­hen ist. Dar­un­ter kön­nen sowohl Bear­bei­tun­gen durch die Bun­des­or­ga­ne als auch durch die Pri­va­ten fal­len. Bun­des­or­ga­ne kön­nen Daten ohne­hin nur bear­bei­ten, wenn eine gesetz­li­che Grund­la­ge besteht. Die­ser las­sen sich regel­mä­ssig auch die ent­spre­chen­den Infor­ma­tio­nen ent­neh­men. Das­sel­be gilt für Pri­va­te, die durch das Gesetz zur Bear­bei­tung bestimm­ter Daten ver­pflich­tet wer­den, wie dies z. B. betref­fend die Geld­wä­sche­rei der Fall ist. Nach Buch­sta­be c ist der pri­va­te Ver­ant­wort­li­che von der Infor­ma­ti­ons­pflicht ent­bun­den, wenn er einer gesetz­li­chen Geheim­hal­tungs­pflicht unter­steht. Damit wird ein mög­li­cher Norm­kon­flikt dahin­ge­hend gere­gelt, dass grund­sätz­lich die Geheim­hal­tungs­pflicht der Infor­ma­ti­ons­pflicht­vor­geht. Nach Buch­sta­be d ent­fällt die Infor­ma­ti­ons­pflicht schliess­lich, wenn die Vor­aus­set­zun­gen von Arti­kel 25 erfüllt sind. Die­ser Arti­kel regelt die Ein­schrän­kung des Aus­kunfts­rechts in Bezug auf peri­odisch erschei­nen­de Medi­en. Ein ana­lo­ges Medi­en­pri­vi­leg ist aus den­sel­ben Grün­den auch für die Infor­ma­ti­ons­pflicht erfor­der­lich, um der beson­de­ren Funk­ti­on der Medi­en aus­rei­chend gerecht zu wer­den. Abs. 2 Spe­zi­fi­sche Einschränkung Absatz 2 sieht eine spe­zi­fi­sche Ein­schrän­kung der Infor­ma­ti­ons­pflicht für Fäl­le vor, in denen Daten nicht bei der betrof­fe­nen Per­son beschafft wer­den. Die Infor­ma­ti­ons­pflicht ihr gegen­über ent­fällt, wenn die Infor­ma­ti­on nicht mög­lich ist (Bst. a) oder unver­hält­nis­mä­ssi­gen Auf­wand erfor­dert (Bst. b). Die Infor­ma­ti­on ist nicht mög­lich, wenn die betrof­fe­ne Per­son gar nicht iden­ti­fi­ziert wer­den kann, z. B. weil es sich um das Foto eines Unbe­kann­ten han­delt. Dabei reicht aller­dings nicht aus, dass ledig­lich ver­mu­tet wird, die Iden­ti­fi­ka­ti­on sei unmög­lich. Viel­mehr sind Nach­for­schun­gen in einem ver­hält­nis­mä­ssi­gen Umfang erfor­der­lich. Der Auf­wand für die Infor­ma­ti­on der betrof­fe­nen Per­son ist unver­hält­nis­mä­ssig, wenn der zu betrei­ben­de Auf­wand im Ver­hält­nis zum Infor­ma­ti­ons­zu­ge­winn der betrof­fe­nen Per­son sach­lich nicht gerecht­fer­tigt erscheint. Zu berück­sich­ti­gen ist ins­be­son­de­re, ob eine sehr gro­sse Anzahl von Per­so­nen betrof­fen sind. So kann die Infor­ma­ti­on bei­spiels­wei­se mit einem unver­hält­nis­mä­ssi­gen Auf­wand ver­bun­den sein, wenn Per­so­nen­da­ten aus­schliess­lich zu Archiv­zwecken im öffent­li­chen Inter­es­se bear­bei­tet wer­den. Es wäre regel­mä­ssig mit einem extrem hohen Auf­wand ver­bun­den, sämt­li­che betrof­fe­nen Per­so­nen zu infor­mie­ren, und deren Inter­es­se an der Infor­ma­ti­on dürf­te sich oft in Gren­zen hal­ten, z. B. weil die frag­li­chen Daten sehr alt sind. Die­se Aus­nah­me ist eng aus­zu­le­gen. Der Ver­ant­wort­li­che darf sich nicht mit der Ver­mu­tung begnü­gen, die Infor­ma­ti­on sei unmög­lich oder nur mit unver­hält­nis­mä­ssi­gem Auf­wand zu bewerk­stel­li­gen. Viel­mehr hat er grund­sätz­lich sämt­li­che Vor­keh­ren zu tref­fen, die unter den gege­be­nen Umstän­den von ihm erwar­tet wer­den kön­nen, um der Infor­ma­ti­ons­pflicht nach­zu­kom­men. Erst wenn die­se erfolg­los blei­ben, darf der Ver­ant­wort­li­che davon aus­ge­hen, die Infor­ma­ti­on sei unmög­lich. Abs. 3 Ein­schrän­kung der Information Absatz 3 legt fest, unter wel­chen Vor­aus­set­zun­gen der Ver­ant­wort­li­che auf die Mit­tei­lung von Infor­ma­tio­nen ver­zich­ten, die­se ein­schrän­ken oder auf­schie­ben kann. Im Gegen­satz zu den Absät­zen 1 und 2 erfasst Absatz 3 damit Kon­stel­la­tio­nen, in denen eine Inter­es­sen­ab­wä­gung erfolgt. Teil­wei­se wird danach unter­schie­den, ob es sich beim Ver­ant­wort­li­chen um ein Bun­des­or­gan oder einen Pri­va­ten han­delt. Auf­grund der Inter­es­sen­ab­wä­gung hat der Ver­ant­wort­li­che die Infor­ma­ti­on ent­spre­chend aus­zu­ge­stal­ten, d. h. je nach dem muss er deren Mit­tei­lung ein­schrän­ken, auf­schie­ben oder ganz dar­auf ver­zich­ten. Die Auf­zäh­lung der ver­schie­de­nen Aus­nah­men ist abschlie­ssend und die Bestim­mung ist prin­zi­pi­ell restrik­tiv aus­zu­le­gen. Die Infor­ma­ti­on soll­te nur soweit beschränkt wer­den, als dies wirk­lich uner­läss­lich ist. Dabei müs­sen der Grund für die Beschrän­kung der Infor­ma­ti­ons­pflicht und das Inter­es­se an einer trans­pa­ren­ten Daten­be­ar­bei­tung zuein­an­der in Bezie­hung gesetzt wer­den. Grund­sätz­lich soll­te die für die betrof­fe­ne Per­son gün­stig­ste Lösung gewählt wer­den, wel­che eine trans­pa­ren­te Daten­be­ar­bei­tung unter den gege­be­nen Umstän­den soweit als mög­lich gewähr­lei­stet. Bst. a Nach Buch­sta­be a kann jeder Ver­ant­wort­li­che die Mit­tei­lung der Infor­ma­tio­nen ein­schrän­ken, auf­schie­ben oder dar­auf ver­zich­ten, wenn dies wegen über­wie­gen­der Inter­es­sen Drit­ter erfor­der­lich ist. Dabei ste­hen Kon­stel­la­tio­nen im Vor­der­grund, bei denen die betrof­fe­ne Per­son durch die Infor­ma­ti­on über die Daten­be­ar­bei­tung auch Infor­ma­tio­nen über Dritt­per­so­nen erhält und dadurch die Inter­es­sen die­ser Dritt­per­so­nen beein­träch­tigt wer­den kön­nen. Bst. b Gemäss Buch­sta­be b kann jeder Ver­ant­wort­li­che die Mit­tei­lung der Infor­ma­tio­nen ein­schrän­ken, auf­schie­ben oder dar­auf ver­zich­ten, wenn die Infor­ma­ti­on den Zweck der Daten­be­ar­bei­tung ver­ei­telt. Die­se Aus­nah­me ist eng aus­zu­le­gen. Der Ver­ant­wort­li­che kann sich nur dar­auf beru­fen, wenn die Infor­ma­ti­on der betrof­fe­nen Per­son völ­lig aus­schliesst, zugleich den Zweck der Bear­bei­tung zu ver­wirk­li­chen. Wer­den mit einer Bear­bei­tung meh­re­re Zwecke ver­folgt, ist der zen­tra­le Zweck mass­ge­bend. Dabei muss es sich um einen Zweck han­deln, dem eine erheb­li­che Bedeu­tung zukommt, die eine solch weit­ge­hen­de Ein­schrän­kung der Infor­ma­ti­ons­pflicht recht­fer­tigt. Zu den­ken ist bei­spiels­wei­se an inve­sti­ga­ti­ven Jour­na­lis­mus, der nicht unter die Aus­nah­me in Arti­kel 18 Absatz 1 Buch­sta­be d E‑DSG fällt. So könn­te eine Jour­na­li­stin oder ein Jour­na­list, die oder der für einen Doku­men­tar­film an der Auf­deckung eines poli­ti­schen Skan­dals arbei­tet, durch die Infor­ma­ti­ons­pflicht dar­an gehin­dert wer­den, den in Fra­ge ste­hen­den Sach­ver­halt unge­stört zu ermit­teln. An einer sol­chen Tätig­keit besteht auch ein erheb­li­ches öffent­li­ches Inter­es­se, das eine weit­ge­hen­de Ein­schrän­kung der Infor­ma­ti­ons­pflicht recht­fer­tigt. Eben­falls denk­bar ist, dass in unmit­tel­ba­rem Zusam­men­hang mit einem Ver­fah­ren mit hohem Streit­wert Daten bear­bei­tet wer­den, die erst im Lau­fe des Pro­zes­ses ein­ge­setzt wer­den sol­len. Auch in die­sem Fall wür­de durch die früh­zei­ti­ge Preis­ga­be der Daten deren Bear­bei­tungs­zweck voll­um­fäng­lich ver­ei­telt. Zudem han­delt es sich hier um eine Bear­bei­tung, wel­che sowohl für den Ver­ant­wort­li­chen als auch für die betrof­fe­ne Per­son einen Ein­zel­fall dar­stellt, weil bei bei­den davon aus­zu­ge­hen ist, dass sie nicht all­täg­lich in sol­che Gerichts­ver­fah­ren invol­viert sind. In bei­den Bei­spie­len besteht ein gewich­ti­ges Inter­es­se an der Daten­be­ar­bei­tung und die Gefahr, dass der Bear­bei­tungs­zweck durch die Infor­ma­ti­ons­pflicht gänz­lich ver­ei­telt wird, ist unmit­tel­bar und kon­kret. Schliess­lich ist es in bei­den Fäl­len so, dass die betrof­fe­ne Per­son spä­te­stens im Zeit­punkt der Publi­ka­ti­on der frag­li­chen Daten bzw. der Ver­wen­dung im Gerichts­pro­zess von der Daten­be­ar­bei­tung erfährt. Ent­spre­chend der syste­ma­ti­schen Ein­ord­nung in Absatz 3 bleibt die Infor­ma­ti­ons­pflicht grund­sätz­lich bestehen. Der Ver­ant­wort­li­che darf die Infor­ma­ti­on ledig­lich so weit ein­schrän­ken, auf­schie­ben oder dar­auf ver­zich­ten, als sie unmit­tel­bar den Zweck der Bear­bei­tung ver­ei­telt. Dabei muss der Ver­ant­wort­li­che die­je­ni­ge Mass­nah­me tref­fen, wel­che aus Sicht der betrof­fe­nen Per­son die mil­de­ste ist und ihren Anspruch auf trans­pa­ren­te Daten­be­ar­bei­tung so wenig ein­schränkt, wie im Hin­blick auf die Grün­de für die Ein­schrän­kung der Infor­ma­ti­on mög­lich ist. Abzu­gren­zen ist die Aus­nah­me nach Buch­sta­be b schliess­lich von der­je­ni­gen nach Buch­sta­be c. Buch­sta­be b ist eng aus­zu­le­gen und kann nur dort zur Anwen­dung kom­men, wo die Infor­ma­ti­on der betrof­fe­nen Per­son den Bear­bei­tungs­zweck gänz­lich ver­ei­teln wür­de. Hin­ge­gen kann sich der Ver­ant­wort­li­che nicht auf Buch­sta­be b beru­fen, wenn es für ihn ledig­lich ange­neh­mer oder prak­ti­scher wäre, auf die Infor­ma­ti­on zu ver­zich­ten. Eben­falls könn­te sich ein Ver­ant­wort­li­cher nicht syste­ma­tisch, für sei­ne gesam­te Bear­bei­tungs­tä­tig­keit auf die Aus­nah­me beru­fen. Schliess­lich fal­len auch rein wirt­schaft­li­che Inter­es­sen (z. B. Ver­wen­dung der Daten zu Wer­be­zwecken) grund­sätz­lich nicht in den Anwen­dungs­be­reich des Buch­sta­ben b. Gege­be­nen­falls kön­nen sol­che weni­ger gewich­ti­ge Inter­es­sen des Ver­ant­wort­li­chen indes unter Buch­sta­be c fal­len. Bst. c Der pri­va­te Ver­ant­wort­li­che kann nach Absatz 3, Buch­sta­be c die Mit­tei­lung von Infor­ma­tio­nen ein­schrän­ken, auf­schie­ben oder dar­auf ver­zich­ten, wenn eige­ne über­wie­gen­de Inter­es­sen es erfor­dern und er die Daten nicht Drit­ten bekannt gibt. Ein sol­ches über­wie­gen­des Inter­es­se ist nicht leicht­hin anzu­neh­men. Das Inter­es­se der betrof­fe­nen Per­son, über eine bestimm­te Daten­be­ar­bei­tung infor­miert zu wer­den, um ihre Rech­te gel­tend machen zu kön­nen, ist sorg­fäl­tig abzu­wä­gen gegen­über all­fäl­li­gen Inter­es­sen des Ver­ant­wort­li­chen. Von Bedeu­tung kann dabei sein, wel­che Art von Daten auf wel­che Wei­se bear­bei­tet wer­den, wie gross die Gefahr einer Per­sön­lich­keits­ver­let­zung ist, wel­chem Zweck die Daten­be arbei­tung dient und in wel­chem Umfang die Infor­ma­ti­on der betrof­fe­nen Per­son die­sem Zweck ent­ge­gen­ste­hen kann, sowie wel­che Bedeu­tung die­sem Zweck mit Blick auf die Tätig­keit des Ver­ant­wort­li­chen zukommt. Bst. d Ein Bun­des­or­gan kann nach Absatz 3, Buch­sta­be d die Mit­tei­lung ein­schrän­ken, auf­schie­ben oder dar­auf ver­zich­ten, wenn es wegen über­wie­gen­der öffent­li­cher Inter­es­sen erfor­der­lich ist (Ziff. 1). Als über­wie­gen­des öffent­li­ches Inter­es­se gilt ins­be­son­de­re die inne­re oder äusse­re Sicher­heit der Eid­ge­nos­sen­schaft. Der Begriff der äusse­ren Sicher­heit schliesst nebst der Beach­tung von völ­ker­recht­li­chen Ver­pflich­tun­gen auch die Pfle­ge guter Bezie­hun­gen zum Aus­land ein. Das Bun­des­or­gan kann die Mit­tei­lung eben­falls ein­schrän­ken, auf­schie­ben oder dar­auf ver­zich­ten, wenn dadurch Ermitt­lun­gen, Unter­su­chun­gen oder behörd­li­che oder gericht­li­che Ver­fah­ren gefähr­det wer­den kön­nen (Ziff. 2). Auf die­se Wei­se soll sicher­ge­stellt wer­den, dass nicht über den Umweg des DSG die Vor­schrif­ten zum recht­li­chen Gehör etc. nach den Ver­fah­rens­ge­set­zen umgan­gen wer­den können. 

Nach Arti­kel 19 E‑DSG besteht eine Infor­ma­ti­ons­pflicht bei einer auto­ma­ti­sier­ten Ein­zel­ent­schei­dung. Dies ent­spricht den Anfor­de­run­gen von Arti­kel 8 Buch­sta­be a E‑SEV 108 sowie Arti­kel 11 der Richt­li­nie (EU) 2016/680. Arti­kel 22 der Ver­ord­nung (EU) 2016/679 ent­hält eine ähn­li­che Bestim­mung. Die Ein­füh­rung die­ses neu­en Begriffs erfolgt, weil auf­grund der tech­no­lo­gi­schen Ent­wick­lung sol­che Ent­schei­dun­gen immer häu­fi­ger auf­tre­ten wer­den. Abs. 1 Information Nach Absatz 1 muss der Ver­ant­wort­li­che die betrof­fe­ne Per­son infor­mie­ren über eine Ent­schei­dung, die aus­schliess­lich auf einer auto­ma­ti­sier­ten Bear­bei­tung, ein­schliess­lich Pro­filing, beruht und für die betrof­fe­ne Per­son mit einer Rechts­fol­ge ver­bun­den ist oder sie erheb­lich beein­träch­tigt. Der Bun­des­rat wird in der Ver­ord­nung falls erfor­der­lich prä­zi­sie­ren, wann eine Ent­schei­dung vor­liegt, die aus­schliess­lich auf einer auto­ma­ti­sier­ten Bear­bei­tung beruht. Dies ist der Fall, wenn kei­ne inhalt­li­che Bewer­tung und dar­auf gestütz­te Ent­schei­dung durch eine natür­li­che Per­son statt­ge­fun­den hat. Das heisst, die inhalt­li­che Beur­tei­lung des Sach­ver­halts, auf dem die Ent­schei­dung beruht, erfolg­te ohne Dazu­tun einer natür­li­chen Per­son. Dar­über hin­aus wird auch der Ent­scheid, der auf der Basis die­ser Sach­ver­halts­be­ur­tei­lung ergeht, nicht von einer natür­li­chen Per­son getrof­fen. Eine auto­ma­ti­sier­te Ein­zel­ent­schei­dung kann selbst dann vor­lie­gen, wenn sie anschlie­ssend durch eine natür­li­che Per­son mit­ge­teilt wird, falls die­se die auto­ma­tisch gefäll­te Ent­schei­dung nicht mehr beein­flus­sen kann. Mass­ge­bend ist somit, inwie­weit eine natür­li­che Per­son eine inhalt­li­che Prü­fung vor­neh­men und dar­auf auf­bau­end die end­gül­ti­ge Ent­schei­dung fäl­len kann. Erfor­der­lich ist aller­dings, dass die Ent­schei­dung eine gewis­se Kom­ple­xi­tät auf­weist. Rei­ne Wenn-Dann- Ent­schei­dun­gen sind vom Begriff nicht erfasst, wie dies z. B. bei einem Ban­co­mat­be­zug der Fall ist (ange­frag­ter Geld­be­trag wird aus­ge­ge­ben, wenn Kon­to­deckung genü­gend). Die betrof­fe­ne Per­son muss nicht über jede auto­ma­ti­sier­te Ein­zel­ent­schei­dung infor­miert wer­den. Viel­mehr ist dies nur erfor­der­lich, wenn die Ent­schei­dung mit einer Rechts­fol­ge für die betrof­fe­ne Per­son ver­bun­den ist oder sie erheb­lich beein­träch­tigt. Die Ent­schei­dung ist mit einer Rechts­fol­ge ver­bun­den, wenn sie unmit­tel­ba­re, recht­lich vor­ge­se­he­ne Kon­se­quen­zen für die betrof­fe­ne Per­son nach sich zieht. Dies ist im pri­vat­recht­li­chen Bereich nament­lich bei Abschluss eines Ver­trags oder des­sen Kün­di­gung der Fall. Dabei ist eine dif­fe­ren­zier­te Betrach­tung nötig. So hat der Abschluss eines Ver­si­che­rungs­ver­trags eine Rechts­fol­ge für die betrof­fe­ne Per­son. Wird hin­ge­gen der betrof­fe­nen Per­son anschlie­ssend in regel­mä­ssi­gen Abstän­den eine Prä­mi­en­rech­nung zuge­stellt, ist nicht jede ein­zel­ne Prä­mi­en­rech­nung für sich eine wei­te­re Ein­zel­ent­schei­dung mit Rechts­fol­ge, weil sich die Rech­nungs­stel­lung aus dem Ver­trags­ab­schluss ergibt. Nicht mit einer Rechts­fol­ge ver­bun­den ist eben­falls, wenn mit der betrof­fe­nen Per­son kein Ver­trag zustan­de kommt. Im öffent­lich­recht­li­chen Bereich liegt eine Rechts­fol­ge ins­be­son­de­re vor, wenn Ver­fü­gun­gen auf­grund einer auto­ma­ti­sier­ten Ein­zel­ent­schei­dung erge­hen, so z. B. eine auto­ma­ti­sier­te Steu­er­ver­an­la­gung. Eine erheb­li­che Beein­träch­ti­gung der betrof­fe­nen Per­son ist anzu­neh­men, wenn die­se auf nach­hal­ti­ge Wei­se z. B. in ihren wirt­schaft­li­chen oder per­sön­li­chen Belan­gen ein­ge­schränkt ist. Eine blo­sse Belä­sti­gung reicht dafür nicht aus. Mass­ge­bend sind die kon­kre­ten Umstän­de des Ein­zel­falls. Zu berück­sich­ti­gen ist ins­be­son­de­re, wie bedeut­sam das frag­li­che Gut für die betrof­fe­ne Per­son ist, wie dau­er­haft sich die Ent­schei­dung aus­wirkt und ob allen­falls Alter­na­ti­ven zugäng­lich sind. Je nach den kon­kre­ten Aus­wir­kun­gen kann ein nicht abge­schlos­se­ner Ver­trag daher eine erheb­li­che Beein­träch­ti­gung dar­stel­len oder nicht. Eine erheb­li­che Beein­träch­ti­gung kann auch vor­lie­gen, wenn medi­zi­ni­sche Lei­stun­gen auf der Basis auto­ma­ti­sier­ter Ent­schei­dun­gen zuge­teilt wer­den. Der Ver­ant­wort­li­che muss die betrof­fe­ne Per­son auch über ein Pro­filing infor­mie­ren, wenn die­ses zu einer Ent­schei­dung führt, die für die betrof­fe­ne Per­son mit einer Rechts­fol­ge ver­bun­den ist oder sie erheb­lich beein­träch­tigt. So ist bei­spiels­wei­se mög­lich, dass die betrof­fe­ne Per­son aus­schliess­lich auf­grund eines nega­ti­ven Kre­dit­sco­rings kei­nen Kre­dit­kar­ten­ver­trag abschlie­ssen kann. Ins­be­son­de­re die­ses Bei­spiel zeigt auch die Pro­ble­ma­tik auto­ma­ti­sier­ter Ein­zel­ent­schei­dun­gen auf. So kann ein nega­ti­ves Kre­dit­sco­ring durch­aus die tat­säch­li­chen finan­zi­el­len Ver­hält­nis­se einer Per­son wie­der­spie­geln. Eben­so ist aber mög­lich, dass die­ses Kre­dit­sco­ring auf fal­schen oder ver­al­te­ten Daten beruht, wel­che den tat­säch­li­chen finan­zi­el­len Ver­hält­nis­sen der betrof­fe­nen Per­son völ­lig wider­spre­chen. Die auto­ma­ti­sier­te Ent­schei­dung führt in die­sem Fall für sie zu einer unge­recht­fer­tig­ten Beein­träch­ti­gung. Abs. 2 Dar­stel­lung des Standpunktes Der Ver­ant­wort­li­che muss der betrof­fe­nen Per­son nach Absatz 2 die Mög­lich­keit geben, ihren Stand­punkt dar­zu­le­gen, wenn sie dies ver­langt. Sie soll ins­be­son­de­re die Gele­gen­heit erhal­ten, ihre Ansicht zum Ergeb­nis der Ent­schei­dung zu äussern und gege­be­nen­falls nach­zu­fra­gen, wie die Ent­schei­dung zustan­de gekom­men ist. Dadurch soll unter ande­rem ver­hin­dert wer­den, dass die Daten­be­ar­bei­tung auf unvoll­stän­di­gen, ver­al­te­ten oder unzu­tref­fen­den Daten beruht. Dies liegt auch im Inter­es­se des Ver­ant­wort­li­chen, weil unzu­tref­fen­de auto­ma­ti­sier­te Ein­zel­ent­schei­dun­gen auch für ihn nega­ti­ve Kon­se­quen­zen nach sich zie­hen kön­nen, bei­spiels­wei­se indem ein Ver­trag mit einer Per­son nicht abge­schlos­sen wird, weil sie zu Unrecht als nicht kre­dit­wür­dig ein­ge­stuft wur­de. Die Ver­trags­frei­heit bleibt dadurch unbe­rührt. Das Gesetz legt nicht fest, wann die betrof­fe­ne Per­son infor­miert wer­den muss und wann sie Gele­gen­heit erhält, ihren Stand­punkt dar­zu­le­gen. Dem­entspre­chend kann dies vor oder nach der Ent­schei­dung erfol­gen. Somit ist die Infor­ma­ti­on und Anhö­rung bei­spiels­wei­se auch mög­lich, indem der betrof­fe­nen Per­son eine auto­ma­ti­siert erfolg­te Ver­fü­gung zuge­stellt wird, die ent­spre­chend gekenn­zeich­net ist, und sie anschlie­ssend die Mög­lich­keit erhält, sich im Rah­men des recht­li­chen Gehörs oder durch Ein­le­gen eines Rechts­mit­tels zu äussern. Die­ses darf für die betrof­fe­ne Per­son aller­dings nicht mit so hohen Kosten (z. B. Ver­fah­rens­ko­sten) ver­bun­den sein, dass sie des­we­gen davon absieht. Abs. 3 Ausnahmen Die Pflicht zur Infor­ma­ti­on und Anhö­rung ent­fällt gemäss Absatz 3, wenn die auto­ma­ti­sier­te Ein­zel­ent­schei­dung in unmit­tel­ba­rem Zusam­men­hang mit dem Abschluss oder der Abwick­lung eines Ver­trags zwi­schen der betrof­fe­nen Per­son und dem Ver­ant­wort­li­chen steht, soweit ihrem Begeh­ren statt­ge­ge­ben wird (Bst. a). In einem sol­chen Fall ist davon aus­zu­ge­hen, dass die betrof­fe­ne Per­son kein Inter­es­se mehr an der Infor­ma­ti­on hat. Dem Begeh­ren der betrof­fe­nen Per­son wird statt­ge­ge­ben, wenn der Ver­trags­ab­schluss genau zu den Kon­di­tio­nen erfolgt, wie sie z. B. in der Offer­te dar­ge­stellt wur­den oder wie sie die betrof­fe­ne Per­son ver­langt hat­te. So wird bei­spiels­wei­se ihrem Begeh­ren statt­ge­ge­ben, wenn ein Lea­sing­ver­trag zum im Ange­bot auf­ge­führ­ten Zins abge­schlos­sen wird; ande­res gilt, wenn der Lea­sing­ver­trag zwar abge­schlos­sen wird, aber auf­grund eines schlech­ten Kre­dit­ra­tings der betrof­fe­nen Per­son zu einem weni­ger vor­teil­haf­ten Zins als im Ange­bot genannt. Abzu­stel­len ist dabei dar­auf, ob gesamt­haft den Begeh­ren der betrof­fe­nen Per­son statt­ge­ge­ben wur­de. Es reicht nicht aus, wenn dies nur in Bezug auf ein­zel­ne Ele­men­te der Fall ist. Die Pflicht zur Infor­ma­ti­on und Anhö­rung ent­fällt eben­falls, wenn die betrof­fe­ne Per­son aus­drück­lich ein­ge­wil­ligt hat, dass eine Ent­schei­dung auto­ma­ti­siert erfolgt (Bst. b). Die­se Aus­nah­me ist fol­ge­rich­tig, weil die betrof­fe­ne Per­son bereits infor­miert wer­den muss, um rechts­gül­tig ein­zu­wil­li­gen. Abs. 4 Ein­zel­ent­schei­dun­gen durch Bundesorgane Absatz 4 betrifft auto­ma­ti­sier­te Ein­zel­ent­schei­dun­gen, die durch ein Bun­des­or­gan erge­hen. Dabei han­delt es sich grund­sätz­lich um Ver­fü­gun­gen. Gemäss Absatz 4 muss das Bun­des­or­gan die­se als auto­ma­ti­sier­te Ein­zel­ent­schei­dun­gen kenn­zeich­nen, damit die betrof­fe­ne Per­son erken­nen kann, dass der Ent­scheid nicht durch eine natür­li­che Per­son bear­bei­tet wur­de. Gegen Ver­fü­gun­gen steht der betrof­fe­nen Per­son grund­sätz­lich ein Rechts­mit­tel zur Ver­fü­gung, in dem die betrof­fe­ne Per­son ihren Stand­punkt dar­le­gen kann und eine natür­li­che Per­son den Ent­scheid über­prüft. Die Rech­te nach Arti­kel 19 Absatz 2 E‑DSG wer­den mit ande­ren Wor­ten bereits durch den Rechts­weg gewähr­lei­stet. Des­we­gen sieht Satz 2 der Bestim­mung vor, dass Absatz 2 von Arti­kel 19 nicht gilt, wenn die betrof­fe­ne Per­son ein Rechts­mit­tel ergrei­fen kann. 

Arti­kel 20 E‑DSG führt neu die Pflicht zum Erstel­len einer Daten­schutz-Fol­gen­ab­schät­zung ein. Die­se Bestim­mung ver­wirk­licht die Anfor­de­run­gen von Arti­kel 8 Absatz 2 E‑SEV 108 sowie von Arti­kel 27 f. der Richt­li­nie (EU) 2016/680. Die Arti­kel 35 f. der Ver­ord­nung (EU) 2016/679 ent­hal­ten ähn­li­che Vor­schrif­ten. Begriff und Funk­ti­on der Daten­schutz-Fol­gen­ab­schät­zung erge­ben sich aus Arti­kel 20 Absatz 3. Eine Daten­schutz-Fol­gen­ab­schät­zung ist ein Instru­ment, um Risi­ken zu erken­nen und zu bewer­ten, wel­che für die betrof­fe­ne Per­son durch den Ein­satz bestimm­ter Daten­be­ar­bei­tun­gen ent­ste­hen kön­nen. Auf der Basis die­ser Abschät­zung sol­len gege­be­nen­falls ange­mes­se­ne Mass­nah­men defi­niert wer­den, um die­se Risi­ken für die betrof­fe­ne Per­son zu bewäl­ti­gen. Eine sol­che Abschät­zung ist daher auch für den Ver­ant­wort­li­chen vor­teil­haft, weil sie ihm erlaubt, all­fäl­li­ge daten­schutz­recht­li­che Pro­ble­me prä­ven­tiv anzu­ge­hen und dadurch nicht zuletzt Kosten zu spa­ren. Die Bun­des­or­ga­ne sind bereits heu­te ver­pflich­tet, dem Daten­schutz­ver­ant­wort­li­chen oder, falls kein sol­cher besteht, dem Beauf­trag­ten Pro­jek­te zur auto­ma­ti­sier­ten Bear­bei­tung von Daten zu mel­den (Art. 20 Abs. 2 VDSG). Das Vor­ge­hen gemäss der Pro­jekt­ma­nage­ment­me­tho­de Her­mes dürf­te den Anfor­de­run­gen einer Daten­schutz-Fol­gen­ab­schät­zung weit­ge­hendent­spre­chen. Abs. 1 und 2 Grün­de für die Datenschutz-Folgenabschätzung Nach Absatz 1 muss der Ver­ant­wort­li­che eine Daten­schutz-Fol­gen­ab­schät­zung durch­füh­ren, wenn die vor­ge­se­he­ne Daten­be­ar­bei­tung vor­aus­sicht­lich zu einem hohen Risi­ko für die Per­sön­lich­keit oder die Grund­rech­te der betrof­fe­nen Per­son führt. Die vor­lie­gen­de Bestim­mung gilt sowohl für pri­va­te Ver­ant­wort­li­che als auch für Bun­des­or­ga­ne, wes­halb nicht nur von einem Risi­ko für die Per­sön­lich­keit der betrof­fe­nen Per­son, son­dern auch für deren Grund­rech­te die Rede ist. Der Ver­ant­wort­li­che ist dem­nach ver­pflich­tet, eine Pro­gno­se dar­über zu machen, wel­che Fol­gen eine geplan­te Daten­be­ar­bei­tung für die betrof­fe­ne Per­son hat. Mass­ge­bend ist hier­für ins­be­son­de­re, auf wel­che Wei­se und in wel­chem Umfang sich eine Bear­bei­tung auf die Per­sön­lich­keit oder die Grund­rech­te der betrof­fe­nen Per­son aus­wirkt. Bei der Kon­kre­ti­sie­rung die­ses Risi­kos ste­hen das Recht auf infor­ma­tio­nel­le Selbst­be­stim­mung sowie das Recht auf Pri­vat­sphä­re im Vor­der­grund. Die­se schüt­zen sowohl die Auto­no­mie des Ein­zel­nen als auch des­sen Wür­de und Id enti­tät. In Bezug auf Daten bedeu­tet Auto­no­mie ins­be­son­de­re, selb­stän­dig über die per­sön­li­chen Daten ver­fü­gen zu kön­nen und nicht anneh­men zu müs­sen, dass die­se sich in unbe­kann­ter Men­ge in den Hän­den einer Viel­zahl von Dritt­per­so­nen befin­den, wel­che dar­über unbe­schränkt ver­fü­gen kön­nen. Denn Daten sind eng mit der Iden­ti­tät einer Per­son ver­bun­den. Wer Daten über eine Per­son hat und sie mit­ein­an­der in Ver­bin­dung bringt, kann ein sehr inti­mes und umfas­sen­des Bild einer Per­son erhal­ten, wel­ches sie frei­wil­lig viel­leicht ledig­lich beson­ders nahe­ste­hen­den Per­so­nen offen­ba­ren wür­de. Dies ist nicht nur in Bezug auf die Ver­fü­gungs­frei­heit pro­ble­ma­tisch. Viel­mehr kön­nen Infor­ma­tio­nen über eine ande­re Per­son deren Bezie­hun­gen zur Umwelt viel­fäl­tig beein­flus­sen, gege­be­nen­falls ohne dass die betrof­fe­ne Per­son die Grün­de kennt (z. B. Stig­ma­ti­sie­rung wegen einer Krank­heit, Ein­schrän­kun­gen bei Ver­trags­ab­schlüs­sen wegen einer Boni­täts­ein­schät­zung etc.). Die betrof­fe­ne Per­son kann sich auch dazu gezwun­gen füh­len, ihr Ver­hal­ten zu ändern, bei­spiels­wei­se weil sie weiss, dass ihr Ver­hal­ten über­wacht wird. Schliess­lich kön­nen sol­che Infor­ma­tio­nen auch zu Miss­brauch ein­la­den, der die Wür­de des Ein­zel­nen emp­find­lich tref­fen kann. Zur Eva­lua­ti­on des Risi­kos sind die infor­ma­tio­nel­le Selbst­be­stim­mung und das Recht auf Pri­vat­sphä­re in Bezie­hung zu set­zen zur frag­li­chen Daten­be­ar­bei­tung. Die Bear­bei­tung muss mit ande­ren Wor­ten im Hin­blick auf die Selbst­be­stim­mung, die Iden­ti­tät und die Wür­de einer betrof­fe­nen Per­son betrach­tet wer­den. Von einem hohen Risi­ko ist grund­sätz­lich aus­zu­ge­hen, wenn die spe­zi­fi­schen Eigen­schaf­ten der geplan­ten Daten­be­ar­bei­tung dar­auf schlie­ssen las­sen, dass die Ver­fü­gungs­frei­heit der betrof­fe­nen Per­son über ihre Daten in hohem Mas­se ein­ge­schränkt wird oder wer­den kann. Das hohe Risi­ko kann sich bei­spiels­wei­se erge­ben aus der Art der bear­bei­te­ten Daten bzw. deren Inhalt (z. B. beson­ders schüt­zens­wer­te Daten), der Art und dem Zweck der Daten­be­ar­bei­tung (z. B. Pro­filing), der Men­ge an bear­bei­te­ten Daten, der Über­mitt­lung in Dritt­staa­ten (z. B. wenn die aus­län­di­sche Gesetz­ge­bung kei­nen ange­mes­se­nen Schutz gewähr­lei­stet) oder wenn eine gro­sse oder gar unbe­grenz­te Anzahl Per­so­nen auf die Daten zugrei­fen­kön­nen. Absatz 2 kon­kre­ti­siert dies wei­terund hält fest, dass sich das hohe Risi­ko aus der Art, dem Umfang, den Umstän­den und dem Zweck der Bear­bei­tung ergibt. Je umfang­rei­cher die Bear­bei­tung, je sen­si­bler die bear­bei­te­ten Daten, je umfas­sen­der der Bear­bei­tungs­zweck, umso eher ist ein hohes Risi­ko anzu­neh­men. Bei­spiel­haft zählt die Bestim­mung zwei Fäl­le auf, in denen ein hohes Risi­ko vor­liegt. Nach Buch­sta­be a liegt ein sol­ches vor, wenn in umfang­rei­cher Form beson­ders schüt­zens­wer­te Per­so­nen­da­ten bear­bei­tet wer­den, wie dies bei­spiels­wei­se bei medi­zi­ni­schen For­schungs­pro­jek­ten der Fall sein kann. Nach Buch­sta­be b besteht bei einem Pro­filing eben­falls ein hohes Risi­ko. Das­sel­be kann gel­ten im Fal­le von Ent­schei­dun­gen, die aus­schliess­lich auf einer auto­ma­ti­sier­ten Bear­bei­tung, ein­schliess­lich Pro­filing, beru­hen und für die betrof­fe­ne Per­son mit einer Rechts­fol­ge ver­bun­den sind oder sie erheb­lich beein­träch­ti­gen. Sol­che Ent­schei­dun­gen kön­nen gege­be­nen­falls für die betrof­fe­ne Per­son mit erheb­li­chen Fol­gen ver­bun­den sein. In sol­chen Fäl­len ist eben­falls eine Daten­schutz-Fol­gen­ab­schät­zung erfor­der­lich. Nach Buch­sta­be c besteht schliess­lich ein hohes Risi­ko, wenn syste­ma­tisch umfang­rei­che öffent­li­che Berei­che über­wacht wer­den. Zu den­ken ist bei­spiels­wei­se an die Über­wa­chung einer Bahn­hofs­hal­le. Satz 2 von Absatz 1 erlaubt es dem Ver­ant­wort­li­chen, eine gemein­sa­me Abschät­zung zu erstel­len, wenn er meh­re­re ähn­li­che Bear­bei­tungs­vor­gän­ge plant. Gemeint sind damit ins­be­son­de­re Bear­bei­tungs­vor­gän­ge, die einen über­grei­fen­den gemein­sa­men Zweck haben. Dem­entspre­chend müs­sen nicht ein­zel­ne Bear­bei­tungs­schrit­te einer Bear­bei­tungs­platt­form sepa­rat unter­sucht wer­den, son­dern die Daten­schutz-Fol­gen­ab­schät­zung kann die gesam­te Bear­bei­tungs­platt­form erfas­sen. Abs. 3 Inhalt der Datenschutz-Folgenabschätzung Nach Absatz 3 muss in der Daten­schutz-Fol­gen­ab­schät­zung zunächst die geplan­te Bear­bei­tung dar­ge­legt wer­den. So müs­sen bei­spiels­wei­se die ver­schie­de­nen Bear­bei­tungs­vor­gän­ge (z. B. die ver­wen­de­te Tech­no­lo­gie), der Zweck der Bear­bei­tung oder die Auf­be­wah­rungs­dau­er auf­ge­führt wer­den. Im Wei­te­ren muss gemäss Absatz 3 auf­ge­zeigt wer­den, wel­che Risi­ken für die Per­sön­lich­keit oder die Grund­rech­te der betrof­fe­nen Per­son die frag­li­chen Bear­bei­tungs­vor­gän­ge mit sich brin­gen kön­nen. Es han­delt sich hier um eine Ver­tie­fung der Risi­ko­be­wer­tung, die bereits im Hin­blick auf die Not­wen­dig­keit einer Daten­schutz-Fol­gen­ab­schät­zung vor­zu­neh­men ist. So ist dar­zu­stel­len, in wel­cher Hin­sicht von der frag­li­chen Daten­be­ar­bei­tung ein hohes Risi­ko für die Per­sön­lich­keit oder die Grund­rech­te der betrof­fe­nen Per­son aus­geht und wie die­ses Risi­ko zu bewer­ten ist. Schliess­lich muss die Daten­schutz-Fol­gen­ab­schät­zung nach Absatz 3 erläu­tern, mit wel­chen Mass­nah­men die­se Risi­ken bewäl­tigt wer­den sol­len. Mass­ge­bend dafür sind ins­be­son­de­re die Grund­sät­ze nach Arti­kel 5 E‑DSG, aber auch die Pflicht zum Daten­schutz durch Tech­nik und durch daten­schutz­freund­li­che Vor­ein­stel­lun­gen (pri­va­cy by design/by default; Art. 6 EDSG) kön­nen rele­vant sein. Bei die­sen Mass­nah­men darf auch eine Abwä­gung zwi­schen den Inter­es­sen der betrof­fe­nen Per­son und den­je­ni­gen des Ver­ant­wort­li­chen erfol­gen. Die­se Inter­es­sen­ab­wä­gung ist in der Daten­schutz-Fol­gen­ab­schät­zung eben­falls auf­zu­füh­ren und ent­spre­chend zu begrün­den. Abs. 4 Aus­nah­men für gesetz­li­che Pflichten Nach Absatz 4 müs­sen pri­va­te Ver­ant­wort­li­che, die Daten in Erfül­lung einer gesetz­li­chen Pflicht bear­bei­ten, kei­ne Daten­schutz-Fol­gen­ab­schät­zung erstel­len. Dabei ist bei­spiels­wei­se an die Bear­bei­tung von Daten zur Bekämp­fung von Ter­ro­ris­mus oder Geld­wä­sche­rei zu den­ken. Wer­den Daten auf­grund einer gesetz­li­chen Ver­pflich­tung ledig­lich für sol­che Zwecke bear­bei­tet, ist davon aus­zu­ge­hen, dass der Gesetz­ge­ber all­fäl­li­ge Risi­ken für die betrof­fe­ne Per­son im Ver­gleich zum Bear­bei­tungs­zweck abge­wo­gen und gege­be­nen­falls ent­spre­chen­de Vor­schrif­ten erlas­sen hat. Nicht erfasst von Absatz 4 sind hin­ge­gen Bear­bei­tun­gen von Pri­va­ten, die nicht aus­schliess­lich zur Erfül­lung einer gesetz­li­chen Pflicht erfol­gen. Hier­für muss eine Daten­schutz-Fol­gen­ab­schät­zung erstellt wer­den. Abs. 5 Ausnahmen Pri­va­te Ver­ant­wort­li­che kön­nen von der Erstel­lung einer Daten­schutz-Fol­gen­ab­schät­zung abse­hen, wenn sie sich einer Zer­ti­fi­zie­rung nach Arti­kel 12 unter­zo­gen haben. Die Zer­ti­fi­zie­rung muss sich auf die frag­li­che Bear­bei­tung ein­schlie­ssen, die mit­tels der Daten­schutz-Fol­gen­ab­schät­zung zu prü­fen wäre. Der Beauf­trag­te hät­te bevor­zugt, wenn sich die Aus­nah­me ledig­lich auf die Zer­ti­fi­zie­rung beschrän­ken wür­de. Dar­über hin­aus kön­nen sie davon abse­hen, wenn sie einen Ver­hal­tens­ko­dex ein­hal­ten, der die Vor­aus­set­zun­gen von Absatz 5 Buch­sta­ben a – c erfüllt. Es han­delt sich dabei um einen Ver­hal­tens­ko­dex nach Arti­kel 10. Die­ser muss auf einer Daten­schutz-Fol­gen­ab­schät­zung beru­hen, in der die frag­li­che Bear­bei­tung unter­sucht wur­de (Bst. a). Der Ver­hal­tens­ko­dex muss Mass­nah­men zum Schutz der Per­sön­lich­keit oder der Grund­rech­te der betrof­fe­nen Per­son vor­se­hen (Bst. b). Dar­über hin­aus muss der Ver­hal­tens­ko­dex dem Beauf­trag­ten vor­ge­legt wor­den sein (Bst. c). So ist bei­spiels­wei­se denk­bar, dass eine Stan­des­or­ga­ni­sa­ti­on für Anwäl­te eine Platt­form zur Ver­wal­tung von Kli­en­ten­da­ten ent­wickeln lässt, hier­für eine Daten­schutz-Fol­gen­ab­schät­zung vor­nimmt und auf­grund deren Ergeb­nis einen Ver­hal­tens­ko­dex ent­wickelt. Hält nun ein pri­va­ter Ver­ant­wort­li­cher die­sen Kodex ein, wenn er die Platt­form ver­wen­det, ist er von der Erstel­lung einer Daten­schutz-Fol­gen­ab­schät­zung ent­bun­den. Der Beauf­trag­te hät­te es bevor­zugt, wenn die­se Aus­nah­me auf den Fall der Zer­ti­fi­zie­rung begrenzt wor­den wäre. 

Anders als in der Ver­nehm­las­sungs­vor­la­ge wird die Mit­tei­lung des Ergeb­nis­ses einer Daten­schutz-Fol­gen­ab­schät­zung an den Beauf­trag­ten im E‑DSG in einer sepa­ra­ten Bestim­mung gere­gelt. Abs. 1 Konsultationspflicht Nach Absatz 1 muss der Ver­ant­wort­li­che vor­gän­gig die Stel­lung­nah­me des Beauf­trag­ten ein­ho­len, wenn sich aus der Daten­schutz-Fol­gen­ab­schät­zung ergibt, dass die geplan­te Bear­bei­tung ein hohes Risi­ko für die Per­sön­lich­keit oder die Grund­rech­te der betrof­fe­nen Per­son zur Fol­ge hät­te, wenn der Ver­ant­wort­li­che kei­ne Mass­nah­men trä­fe. Die­se Kon­sul­ta­ti­on wird durch den E‑SEV 108 nicht vor­ge­schrie­ben, aber sie ent­spricht den euro­päi­schen Rege­lun­gen (Art. 28 der Richt­li­nie [EU] 2016/680 und Art. 36 der Ver­ord­nung [EU] 2016/679). Sie wird nament­lich in den E‑DSG auf­ge­nom­men, weil sie dem Beauf­trag­ten erlaubt, prä­ven­tiv und bera­tend tätig zu sein. Dies ist nicht zuletzt auch für den Ver­ant­wort­li­chen effi­zi­en­ter, da mög­li­che daten­schutz­recht­li­che Schwie­rig­kei­ten bereits in einem frü­hen Sta­di­um der Daten­be­ar­bei­tung beho­ben wer­den kön­nen. Abs. 2 und 3 Ein­wän­de des Beauftragten Gemäss Absatz 2 hat der Beauf­trag­te zwei Mona­te Zeit, um dem Ver­ant­wort­li­chen sei­ne Ein­wän­de gegen die geplan­te Bear­bei­tung mit­zu­tei­len. In beson­ders kom­ple­xen Fäl­len kann die­se Frist um einen Monat ver­län­gert wer­den. Erhält der Ver­ant­wort­li­che inner­halb der Zwei­mo­nats­frist kei­ne Nach­richt vom Beauf­trag­ten, kann er grund­sätz­lich davon aus­ge­hen, dass der Beauf­trag­te kei­ne Ein­wän­de gegen die vor­ge­schla­ge­nen Mass­nah­men hat. Nach­dem er über eine Daten­schutz-Fol­gen­ab­schät­zung benach­rich­tigt wor­den ist, über­prüft der Beauf­trag­te, ob die vor­ge­schla­ge­nen Mass­nah­men zum Schutz der Grund­rech­te und der Per­sön­lich­keit der betrof­fe­nen Per­son aus­rei­chend sind. Kommt er zum Schluss, dass die geplan­te Bear­bei­tung in der vor­ge­schla­ge­nen Form gegen die Daten­schutz­vor­schrif­ten ver­sto­ssen wür­de, schlägt er dem Ver­ant­wort­li­chen geeig­ne­te Mass­nah­men vor, um die fest­ge­stell­ten Risi­ken ein­zu­däm­men. Dem Daten­schutz­be­auf­trag­ten bleibt es indes unbe­nom­men, zu einem spä­te­ren Zeit­punkt eine Unter­su­chung zu eröff­nen, wenn die Vor­aus­set­zun­gen nach Arti­kel 43 E‑DSG erfüllt sind. Dies kann ins­be­son­de­re der Fall sein, wenn im Rah­men der Daten­schutz-Fol­gen­ab­schät­zung die Risi­ken nicht kor­rekt ein­ge­schätzt wur­den und sich dem­entspre­chend auch die frag­li­chen Mass­nah­men nicht als ziel­ge­nau oder als nicht aus­rei­chen­der­wei­sen. Abs. 4 Kon­sul­ta­ti­on der Daten­schutz­be­ra­te­rin oder des Datenschutzberaters Der pri­va­te Ver­ant­wort­li­che kann von der Kon­sul­ta­ti­on des Beauf­trag­ten abse­hen, wenn er einen Daten­schutz­be­ra­ter nach Arti­kel 9 E‑DSG ein­ge­setzt und die­sen in Bezug auf die Daten­schutz-Fol­gen­ab­schät­zung kon­sul­tiert hat. Der Daten­schutz­be­ra­ter muss sich tat­säch­lich mit der Daten­schutz-Fol­gen­ab­schät­zung aus­ein­an­der­ge­setzt haben. Das heisst, es reicht für die Pri­vi­le­gie­rung nicht aus, dass der Ver­ant­wort­li­che ledig­lich einen Daten­schutz­be­ra­ter ernennt. Viel­mehr muss die­ser aktiv in die Erar­bei­tung der Daten­schutz-Fol­gen­ab­schät­zung invol­viert sein. So muss er ins­be­son­de­re die Risi­ko­be­wer­tung und die vor­ge­schla­ge­nen Mass­nah­men zur Bewäl­ti­gung die­ser Risi­ken prü­fen. Die Bestim­mung soll Unter­neh­men ent­la­sten und ihnen zugleich einen Anreiz geben, einen Daten­schutz­be­ra­ter ein­zu­set­zen. Eine sol­che Aus­nah­me wur­de auf euro­päi­scher Ebe­ne zwar dis­ku­tiert, aber schliess­lich in der Ver­ord­nung (EU) 2016/679 nicht vor­ge­se­hen. Dem Bun­des­rat erscheint es sinn­voll, in die­sem Punkt wei­ter­ge­hen­de Erleich­te­run­gen vor­zu­se­hen, ins­be­son­de­re um den Ver­wal­tungs­auf­wand zu redu­zie­ren. Der Beauf­trag­te hät­te es vor­ge­zo­gen, wenn die­se Vor­schrift nicht in den Ent­wurf auf­ge­nom­men wor­den wäre. 

Arti­kel 22 E‑DSG führt die Pflicht zur Mel­dung von Ver­let­zun­gen der Daten­si­cher­heit ein. Die­se Bestim­mung ver­wirk­licht die Anfor­de­run­gen von Arti­kel 7 Absatz 2 E‑SEV 108 sowie der Arti­kel 30 f. der Richt­li­nie (EU) 2016/680. Die Arti­kel 33 f. der Ver­ord­nung (EU) 2016/679 ent­hal­ten eine ähn­li­che Rege­lung. Abs. 1 Begriff und Grundsatz Nach Absatz 1 mel­det der Ver­ant­wort­li­che dem Daten­schutz­be­auf­tra­gen so rasch als mög­lich eine Ver­let­zung der Daten­si­cher­heit, die vor­aus­sicht­lich zu einem hohen Risi­ko für die Per­sön­lich­keit oder die Grund­rech­te der betrof­fe­nen Per­son führt. Die vor­lie­gen­de Bestim­mung gilt sowohl für pri­va­te Ver­ant­wort­li­che als auch für Bun­des­or­ga­ne, wes­halb nicht nur von einem Risi­ko für die Per­sön­lich­keit der betrof­fe­nen Per­son, son­dern auch für deren Grund­rech­te die Rede ist. Die Ver­let­zung der Daten­si­cher­heit ist in Arti­kel 4 Buch­sta­be g E‑DSG defi­niert. Dem­nach han­delt es sich dabei um eine Ver­let­zung der Sicher­heit, die, unge­ach­tet der Absicht oder der Wider­recht­lich­keit, dazu führt, dass Per­so­nen­da­ten ver­lo­ren­ge­hen, gelöscht oder ver­nich­tet, ver­än­dert oder Unbe­fug­ten offen­ge­legt oder zugäng­lich gemacht wer­den. Die Ver­let­zung kann durch Drit­te erfol­gen, aber auch durch Mit­ar­bei­ter, die ihre Kom­pe­ten­zen miss­brau­chen oder fahr­läs­sig han­deln. Durch eine Ver­let­zung der Daten­si­cher­heit kann die betrof­fe­ne Per­son die Kon­trol­le über ihre Daten ver­lie­ren, oder die­se Daten wer­den miss­braucht. Dar­über hin­aus kann sie auch zu einer Ver­let­zung der Per­sön­lich­keit der betrof­fe­nen Per­son füh­ren, zum Bei­spiel indem gehei­me Infor­ma­tio­nen über sie bekannt wer­den. Dem­entsprec hend gilt nach Arti­kel 26 Absatz 2 Buch­sta­be a E‑DSG eine Ver­let­zung der Daten­si­cher­heit als Per­sön­lich­keits­ver­let­zung. Auf die­se Gefähr­dun­gen kann die betrof­fe­ne Per­son nur reagie­ren, wenn sie von der Ver­let­zung der Daten­si­cher­heit weiss. Daher muss der Ver­ant­wort­li­che prin­zi­pi­ell eine unbe­fug­te Bear­bei­tung mel­den, wobei die Mel­dung zunächst an den Beauf­trag­ten geht und nur unter den Vor­aus­set­zun­gen von Absatz 4 an die betrof­fe­ne Per­son. Die Mel­dung hat ab dem Zeit­punkt der Kennt­nis­nah­me so rasch als mög­lich zu erfol­gen. Der Ver­ant­wort­li­che muss grund­sätz­lich schnell han­deln, aber die Bestim­mung gibt einen gewis­sen Ermes­sens­spiel­raum. Mass­ge­bend ist dabei unter ande­rem das Aus­mass der Gefähr­dung der betrof­fe­nen Per­son. Je erheb­li­cher die Gefähr­dung, je grö­sser die Anzahl der betrof­fe­nen Per­so­nen, umso schnel­ler muss der Ver­ant­wort­li­che han­deln. Die Mel­dung an den Beauf­trag­ten ist jedoch nur nötig, wenn die Ver­let­zung der Daten­si­cher­heit vor­aus­sicht­lich zu einem hohen Risi­ko für die Per­sön­lich­keit oder die Grund­rech­te der betrof­fe­nen Per­son führt. Dies soll ver­hin­dern, dass selbst unbe­deu­ten­de Ver­let­zun­gen gemel­det wer­den müs­sen. Der Ver­ant­wort­li­che muss dafür eine Pro­gno­se in Bezug auf die mög­li­chen Aus­wir­kun­gen der Ver­let­zung für die betrof­fe­ne Per­son stel­len. Abs. 2 Inhalt der Meldung Absatz 2 ent­hält die Min­dest­an­for­de­run­gen an eine Mel­dung an den Beauf­trag­ten. Der Ver­ant­wort­li­che muss zunächst die Art der Ver­let­zung der Daten­si­cher­heit nen­nen, soweit ihm dies mög­lich ist. Dabei las­sen sich vier Arten der Ver­let­zung unter­schei­den: die Ver­nich­tung oder Löschung, der Ver­lust, die Ver­än­de­rung und die Bekannt­ga­be von Daten an Unbe­fug­te. Eben­falls muss er die Fol­gen der Ver­let­zung der Daten­si­cher­heit soweit als mög­lich umschrei­ben. Hier­bei ste­hen die Fol­gen für die betrof­fe­ne Per­son im Vor­der­grund; gemeint sind nicht die­je­ni­gen für den Ver­ant­wort­li­chen selbst. Schliess­lich muss der Ver­ant­wort­li­che ange­ben, wel­che Mass­nah­men er auf­grund der Ver­let­zung ergrif­fen hat bzw. wel­che Mass­nah­men er für die Zukunft vor­schlägt. Dabei geht es um Mass­nah­men, wel­che die Ver­let­zung besei­ti­gen oder deren Fol­gen mil­dern. Ins­ge­samt soll die Mel­dung dem Beauf­trag­ten erlau­ben, mög­lichst zeit­nah und wirk­sam zu inter­ve­nie­ren. Abs. 3 Mel­dung durch den Auftragsbearbeiter Eine Ver­let­zung der Daten­si­cher­heit kann auch beim Auf­trags­be­ar­bei­ter auf­tre­ten. Daher ist die­ser nach Absatz 3 ver­pflich­tet, dem Ver­ant­wort­li­chen so rasch als mög­lich jede unbe­fug­te Daten­be­ar­bei­tung zu mel­den. Es ist am Ver­ant­wort­li­chen, anschlie­ssend eine Risi­ko­ab­schät­zung vor­zu­neh­men und dar­über zu ent­schei­den, inwie­weit eine Mel­de­pflicht gegen­über dem Beauf­trag­ten und der betrof­fe­nen Per­son besteht. Abs. 4 Infor­ma­ti­on an die betrof­fe­ne Person Grund­sätz­lich muss die betrof­fe­ne Per­son nicht benach­rich­tigt wer­den. Gemäss Absatz 4 muss sie jedoch über die Ver­let­zung der Daten­si­cher­heit infor­miert wer­den, wenn es zu ihrem Schutz erfor­der­lich ist oder wenn der Beauf­trag­te es ver­langt. Dabei besteht ein gewis­ser Ermes­sens­spiel­raum. Bedeut­sam ist ins­be­son­de­re, ob durch die Infor­ma­ti­on die Risi­ken für die Per­sön­lich­keit oder die Grund­rech­te der betrof­fe­nen Per­son redu­ziert wer­den kön­nen. Dies ist ins­be­son­de­re der Fall, wenn die betrof­fe­ne Per­son ent­spre­chen­de Vor­keh­ren zu ihrem Schutz tref­fen muss, zum Bei­spiel indem sie ihre Zugangs­da­ten oder Pass­wör­te­rän­dert. Abs. 5 Ein­schrän­kung der Pflicht zur Infor­ma­ti­on der betrof­fe­nen Person Der Ver­ant­wort­li­che kann nach Absatz 5 die Infor­ma­ti­on an die betrof­fe­nen Per­son ein­schrän­ken, auf­schie­ben oder dar­auf ver­zich­ten, wenn einer der Grün­de von Arti­kel 24 Absatz 1 Buch­sta­be b oder Absatz 2 Buch­sta­be b E‑DSG vor­liegt oder eine gesetz­li­che Geheim­hal­tungs­pflicht dies ver­bie­tet (Bst. a.). Nach Absatz 5 Buch­sta­be b ist die Ein­schrän­kung eben­falls zuläs­sig, wenn die Infor­ma­ti­on unmög­lich ist oder einen unver­hält­nis­mä­ssi­gen Auf­wand erfor­dert. Eine Infor­ma­ti­on ist unmög­lich, wenn der Ver­ant­wort­li­che gar nicht weiss, wel­che Per­so­nen von der Ver­let­zung der Daten­si­cher­heit betrof­fen sind, bei­spiels­wei­se weil die Log­files, aus denen dies ersicht­lich wäre, nicht mehr vor­han­den sind. Ein unver­hält­nis­mä­ssi­ger Auf­wand wür­de bei­spiels­wei­se vor­lie­gen, wenn bei einer gro­ssen Anzahl Betrof­fe­ner die­se ein­zeln infor­miert wer­den müss­ten und die dadurch ver­ur­sach­ten Kosten im Ver­hält­nis zum Infor­ma­ti­ons­ge­winn für die betrof­fe­ne Per­son unver­hält­nis­mä­ssig erschie­nen. Ins­be­son­de­re in sol­chen Kon­stel­la­tio­nen kann Absatz 5 Buch­sta­be c zur Anwen­dung kom­men, der dem Ver­ant­wort­li­chen erlaubt, die betrof­fe­nen Per­so­nen durch eine öffent­li­che Bekannt­ma­chung zu infor­mie­ren, wenn sie dadurch auf ver­gleich­ba­re Wei­se infor­miert wer­den. Dies ist der Fall, wenn die Infor­ma­ti­on der betrof­fe­nen Per­son durch eine indi­vi­du­el­le Infor­ma­ti­on nicht sub­stan­ti­ell ver­bes­sert wird. Abs. 6 Ein­ver­ständ­nis des Meldepflichtigen Die Mel­de­pflicht nach Arti­kel 22 E‑DSG kann in Kon­flikt gera­ten mit dem Grund­satz, dass sich nie­mand selbst bela­sten muss. Absatz 6 sieht für die­se Kon­stel­la­ti­on vor, dass eine Mel­dung, die in Erfül­lung der Mel­de­pflicht nach Arti­kel 22 E‑DSG erfolgt, in einem Straf­ver­fah­ren gegen den Mel­de­pflich­ti­gen nur ver­wen­det wer­den darf, wenn die­ser damit ein­ver­stan­den ist. Die Bestim­mung erfasst sowohl Ver­ant­wort­li­che als auch Auf­trags­be­ar­bei­ter, die eine Ver­let­zung der Daten­si­cher­heit mel­den. Das 4. Kapi­tel regelt die Rech­te der betrof­fe­nen Per­son. Spe­zi­fi­sche Ansprü­che gegen­über den pri­va­ten Ver­ant­wort­li­chen sind im 5. Kapi­tel fest­ge­legt, sol­che gegen­über Bun­des­or­ga­nen im 6. Kapitel. 

Das Aus­kunfts­recht ergänzt die Infor­ma­ti­ons­pflicht des Ver­ant­wort­li­chen und bil­det die zen­tra­le Grund­la­ge dafür, dass die betrof­fe­ne Per­son ihre Rech­te nach die­sem Gesetz über­haupt wahr­neh­men kann. Das Aus­kunfts­recht ist ein sub­jek­ti­ves höchst­per­sön­li­ches Recht, das auch urteils­fä­hi­ge hand­lungs­un­fä­hi­ge Per­so­nen selb­stän­dig, ohne Zustim­mung ihres gesetz­li­chen Ver­tre­ters, gel­tend machen kön­nen. Aus dem Cha­rak­ter des höchst­per­sön­li­chen Rechts ergibt sich auch, dass nie­mand im Vor­aus auf das Aus­kunfts­recht ver­zich­ten kann (Art. 23 Abs. 5 E‑DSG). Abs. 1 Grundsatz Nach Absatz 1 kann jede Per­son vom Ver­ant­wort­li­chen kosten­los Aus­kunft dar­über ver­lan­gen, ob Daten über sie bear­bei­tet wer­den. Die Bestim­mung bleibt, abge­se­hen von redak­tio­nel­len Anpas­sun­gen, unver­än­dert im Ver­hält­nis zum bis­he­ri­gen Recht. Abs. 2 Mit­zu­tei­len­de Informationen Absatz 2 hält fest, dass die betrof­fe­ne Per­son auf­grund eines Aus­kunfts­be­geh­rens die­je­ni­gen Infor­ma­tio­nen erhält, die ihr auch auf­grund der Infor­ma­ti­ons­pflicht mit­ge­teilt wer­den müs­sen (vgl. Art. 17 Abs. 2 E‑DSG). Dabei han­delt es sich grund­sätz­lich um die­je­ni­gen Infor­ma­tio­nen, die erfor­der­lich sind, damit die betrof­fe­ne Per­son ihre Rech­te nach dem Gesetz gel­tend machen kann und damit eine trans­pa­ren­te Daten­be­ar­bei­tung gewähr­lei­stet ist. Dies ver­deut­licht den engen Zusam­men­hang von Aus­kunfts­recht und Infor­ma­ti­ons­pflicht. Zugleich wird auf die­se Wei­se der zen­tra­le Zweck des Aus­kunfts­rechts her­vor­ge­ho­ben, wie ihn auch das Bun­des­ge­richt fest­ge­hal­ten hat, näm­lich der betrof­fe­nen Per­son zu ermög­li­chen, ihre Rech­te im Bereich des Daten­schut­zes gel­tend zu machen. Die Prä­zi­sie­rung erfolgt vor dem Hin­ter­grund der zahl­rei­chen Stel­lung­nah­men in der Ver­nehm­las­sung sowie in der Leh­re, die kri­ti­sie­ren, dass das Aus­kunfts­recht häu­fig zu ande­ren, daten­schutz­frem­den Zwecken ver­wen­det wer­de. Ange­spro­chen sind ins­be­son­de­re Fäl­le, in denen das Aus­kunfts­recht aus­schliess­lich zur Beschaf­fung von Beweis­mit­teln für Zivil­pro­zes­se benutzt wird, die in kei­nem Zusam­men­hang mit dem Daten­schutz ste­hen. Dadurch wird die Beschaf­fung von Beweis­mit­teln, die zugleich als Per­so­nal­da­ten nach dem DSG zu bezeich­nen sind, in einer Form ermög­licht, wie sie im gel­ten­den Ver­fah­rens­recht nicht vor­ge­se­hen ist. Ande­re Beweis­mit­tel, die kei­ne Per­so­nen­da­ten dar­stel­len, sind hin­ge­gen auf den übli­chen pro­zess­recht­li­chen Wegen zu beschaf­fen. Dar­aus erge­ben sich sach­lich nicht gerecht­fer­tig­te Unter­schie­de in der Beweis­mit­tel­be­schaf­fung. Die Buch­sta­ben a bis g ent­hal­ten eine Liste der Infor­ma­tio­nen, wel­che der betrof­fe­nen Per­son in jedem Fall mit­zu­tei­len sind. Die nicht abschlie­ssen­de Auf­zäh­lung erfasst grund­sätz­lich sämt­li­che Infor­ma­tio­nen, die der Ver­ant­wort­li­che der betrof­fe­nen Per­son mit­tei­len muss. Sub­si­di­är erlaubt die Gene­ral­klau­sel im Ein­lei­tungs­satz, gege­be­nen­falls wei­te­re Infor­ma­tio­nen zu ver­lan­gen, wenn die­se für die betrof­fe­ne Per­son erfor­der­lich sind, um ihre Rech­te nach die­sem Gesetz gel­tend zu machen und eine trans­pa­ren­te Daten­be­ar­bei­tung zu gewähr­lei­sten. Wenn er gro­sse Daten­men­gen über die betrof­fe­ne Per­son bear­bei­tet, kann der Aus­kunfts­pflich­ti­ge gege­be­nen­falls ver­lan­gen, dass die betrof­fe­ne Per­son prä­zi­siert, auf wel­che Infor­ma­tio­nen oder wel­che Bear­bei­tungs­vor­gän­ge sich ihr Aus­kunfts­ge­such bezieht. In jedem Fall erhält die betrof­fe­ne Per­son zunächst Aus­kunft über die Iden­ti­tät und die Kon­takt­da­ten des Ver­ant­wort­li­chen (Bst. a). Je nach­dem wird sie die­se Infor­ma­tio­nen bereits haben (z. B. auf­grund der Infor­ma­ti­ons­pflicht) und sie wer­den ihr bestä­tigt. Denk­bar ist aber auch, dass die betrof­fe­ne Per­son erst in die­sem Zeit­punkt von einem Ver­ant­wort­li­chen erfährt, z. B. wenn es meh­re­re Ver­ant­wort­li­che gibt. Dar­über hin­aus müs­sen ihr die bear­bei­te­ten Per­so­nen­da­ten (Bst. b) und der Bear­bei­tungs­zweck (Bst. c) mit­ge­teilt wer­den. Eben­so erhält die betrof­fe­ne Per­son Aus­kunft dar­über, wie lan­ge die Daten auf­be­wahrt wer­den, oder, wenn dies nicht mög­lich ist, nach wel­chen Kri­te­ri­en sich die Auf­be­wah­rungs­dau­er rich­tet (Bst. d). Die­se Infor­ma­tio­nen erlau­ben ihr ins­be­son­de­re nach­zu­voll­zie­hen, ob der Ver­ant­wort­li­che die Daten ent­spre­chend den Grund­sät­zen in Arti­kel 5 E‑DSG bear­bei­tet. Da die Auf­be­wah­rungs­dau­er auf­grund der Infor­ma­ti­ons­pflicht regel­mä­ssig nicht mit­ge­teilt wer­den muss, soll die betrof­fe­ne Per­son sie im Rah­men des Aus­kunfts­rechts in jedem Fall erhal­ten. Eben­falls erhält die betrof­fe­ne Per­son die ver­füg­ba­ren Anga­ben über die Her­kunft der Daten, soweit sie nicht bei ihr erho­ben wur­den (Bst. e). Gege­be­nen­falls wird der betrof­fe­nen Per­son mit­ge­teilt, ob eine auto­ma­ti­sier­te Ein­zel­ent­schei­dung vor­liegt (Bst. f). In die­sem Fall erhält sie eben­falls Infor­ma­tio­nen über die Logik, auf der die Ent­schei­dung beruht. Dabei müs­sen nicht unbe­dingt die Algo­rith­men mit­ge­teilt wer­den, die Grund­la­ge der Ent­schei­dung sind, weil es sich dabei regel­mä­ssig um Geschäfts­ge­heim­nis­se han­delt. Viel­mehr müs­sen die Grund­an­nah­men der Algo­rith­mus-Logik genannt wer­den, auf der die auto­ma­ti­sier­te Ein­zel­ent­schei­dung beruht. Das bedeu­tet bei­spiels­wei­se, dass die betrof­fe­ne Per­son Aus­kunft dar­über erhält, dass sie auf­grund eines nega­ti­ven Sco­ring-Resul­tats einen Ver­trag zu schlech­te­ren Kon­di­tio­nen abschlie­ssen kann, als dies offe­riert wur­de. Dar­über hin­aus muss sie aber auch über die Men­ge und die Art der für das Sco­ring her­an­ge­zo­ge­nen Infor­ma­tio­nen sowie deren Gewich­tung infor­miert wer­den. Schliess­lich erhält die betrof­fe­nen Per­son Infor­ma­tio­nen über die Emp­fän­ger oder die Kate­go­rien von Emp­fän­gern, denen die Per­so­nen­da­ten bekannt­ge­ge­ben wer­den (Bst. g). Falls die Emp­fän­ger sich im Aus­land befin­den, nennt der Aus­kunfts­pflich­ti­ge zudem den Staat, in den die Daten bekannt­ge­ge­ben wer­den, sowie gege­be­nen­falls die Garan­tien nach Arti­kel 13 Absatz 2 E‑DSG oder die Anwen­dung einer Aus­nah­me nach Arti­kel 14 E‑DSG. Abs. 3 und 4 Aus dem gel­ten­den Recht unver­än­dert über­nom­men wur­de Absatz 3, wonach der Ver­ant­wort­li­che Infor­ma­tio­nen über die Gesund­heit der betrof­fe­nen Per­son durch eine von die­ser bezeich­ne­ten Gesund­heits­fach­per­son mit­tei­len kann. Die Gesund­heits­fach­per­son muss die Qua­li­fi­ka­tio­nen haben, die im frag­li­chen Fall erfor­der­lich sind. Vor­ge­se­hen ist aber neu die Ein­wil­li­gung der betrof­fe­nen Per­son, dass ihr die Daten über eine ande­re Per­son mit­ge­teilt wer­den. Dies ver­bes­sert die Wahl­mög­lich­kei­ten der betrof­fe­nen Per­son. Eben­falls wird der Kreis der mög­li­chen Per­so­nen erwei­tert, indem von einer Gesund­heits­fach­per­son die Rede ist. Bei­de Ergän­zun­gen erfol­gen auf­grund der Ver­nehm­las­sung. Satz 1 von Absatz 4 bleibt unver­än­dert. Dem­nach ist grund­sätz­lich stets der Ver­ant­wort­li­che aus­kunfts­pflich­tig, selbst wenn er die Bear­bei­tung an einen Auf­trags­be­ar­bei­ter dele­giert. Rich­tet die betrof­fe­ne Per­son ein Aus­kunfts­ge­such ver­se­hent­lich an den Auf­trags­be­ar­bei­ter, muss die­ser ihr den Ver­ant­wort­li­chen nen­nen oder das Gesuch ent­spre­chend wei­ter­lei­ten. Der Auf­trags­be­ar­bei­ter muss in einem sol­chen Fall nicht selbst Aus­kunft geben, aber er darf die betrof­fe­ne Per­son bei der Aus­übung ihres Aus­kunfts­rechts auch nicht behin­dern. Satz 2 der Bestim­mung wird hin­ge­gen gestri­chen. Abs. 5 Die­se Bestim­mung ent­spricht dem bis­he­ri­gen Arti­kel 8 Absatz 6 DSG. Abs. 6 Absatz 6 gibt dem Bun­des­rat die Mög­lich­keit, in der Ver­ord­nung Aus­nah­men von der Kosten­lo­sig­keit vor­zu­se­hen. Die­se Mög­lich­keit besteht schon im bis­he­ri­gen Recht (vgl. Art. 2 VDSG). In der Ver­nehm­las­sungs­vor­la­ge wur­de sie gestri­chen, was erheb­lich kri­ti­siert wur­de, unter ande­rem mit der Begrün­dung, dass Aus­nah­men von der Kosten­lo­sig­keit eine Mög­lich­keit sei­en, um Miss­bräu­chen des Aus­kunfts­rechts vor­zu­beu­gen. Auf­grund der Kri­tik in der Ver­nehm­las­sung wird die­se Vor­schrift nun bei­be­hal­ten. Der Bun­des­rat wird dabei der Tat­sa­che Rech­nung tra­gen, dass gewis­se Aus­kunfts­er­su­chen für den Ver­ant­wort­li­chen mit einem gro­ssen Auf­wand ver­bun­den sind. 

Arti­kel 24 regelt die Ein­schrän­kun­gen des Aus­kunfts­rechts. Sie wur­den mit weni­gen redak­tio­nel­len Anpas­sun­gen unver­än­dert aus dem bis­he­ri­gen Recht über­nom­men. Abs. 1 Bst. c Neu ist ledig­lich Arti­kel 24 Absatz 1 Buch­sta­be c. Dem­nach kann der Ver­ant­wort­li­che die Aus­kunft ver­wei­gern, ein­schrän­ken oder auf­schie­ben, wenn das Aus­kunfts­ge­such offen­sicht­lich unbe­grün­det oder que­ru­la­to­risch ist. Die Bestim­mung wur­de auf­grund der Ver­nehm­las­sung auf­ge­nom­men. Sie ori­en­tiert sich inhalt­lich an Arti­kel 12 Absatz 5 der Ver­ord­nung (EU) 2016/679, ver­wen­det aber die schwei­ze­ri­sche Ter­mi­no­lo­gie, wie sie z. B. in Arti­kel 108 BGG sowie in Arti­kel 132 und 253 ZPO zu fin­den ist. Es han­delt sich hier­bei um eine schwe­re Grund­rechts­be­schrän­kung, wes­halb sie im Gesetz selbst und nicht in der Ver­ord­nung vor­zu­se­hen ist. Die Aus­nah­me nach Absatz 1 Buch­sta­be c ist eng aus­zu­le­gen. Dies gilt in zwei­fa­cher Hin­sicht. Einer­seits darf der Ver­ant­wort­li­che nicht leicht­hin anneh­men, ein Aus­kunfts­ge­such sei offen­sicht­lich unbe­grün­det oder aber que­ru­la­to­risch. Ande­rer­seits hat er selbst für den Fall, dass ein sol­ches Gesuch vor­liegt, die für die betrof­fe­ne Per­son gün­stig­ste Lösung zu wäh­len. Er muss daher soweit als mög­lich die Aus­kunft ledig­lich ein­schrän­ken, darf sie allen­falls auf­schie­ben und kann sie nur in den abso­lut ein­deu­ti­gen, offen­sicht­li­chen, Fäl­len ver­wei­gern. In jedem Fall hat er die betrof­fe­ne Per­son über die Ver­wei­ge­rung, die Ein­schrän­kung oder den Auf­schub der Aus­kunft zu infor­mie­ren (vgl. Abs. 3). Das Aus­kunfts­recht kann ohne Nach­weis eines Inter­es­ses und ohne eine Begrün­dung gel­tend gemacht wer­den. Auch blo­sse Neu­gier reicht aus. Dies wird ver­deut­licht durch die Bezug­nah­me auf eine trans­pa­ren­te Daten­be­ar­bei­tung in Arti­kel 23 Absatz 2 E‑DSG. Der Ver­ant­wort­li­che darf daher grund­sätz­lich kei­ne Begrün­dung eines Aus­kunfts­ge­suchs for­dern. Das Bun­des­ge­richt hielt jedoch fest, dass der Aus­kunfts­pflich­ti­ge eine Begrün­dung für das Aus­kunfts­be­geh­ren ver­lan­gen kann, wenn im kon­kre­ten Fall eine Rechs miss­bräuch­li­che Nut­zung des Aus­kunfts­rechts in Fra­ge steht. Als mög­li­cher­wei­se rechts­miss­bräuch­lich erach­te­te das Bun­des­ge­richt ins­be­son­de­re die Ver­wen­dung des Aus­kunfts­rechts zu daten­schutz­wid­ri­gen Zwecken, bei­spiels­wei­se um sich die Kosten einer Beweis­be­schaf­fung zu spa­ren, oder um eine mög­li­che Gegen­par­tei aus­zu­for­schen. Bringt die betrof­fe­ne Per­son, wel­che Aus­kunft ver­langt, anschlie­ssend einen Grund vor, der sich bereits ohne ver­tief­te Prü­fung und ohne Zwei­fel als halt­los erweist, darf der Ver­ant­wort­li­che das Aus­kunfts­recht ein­schrän­ken. Nur unter die­sen Umstän­den kann ein offen­sicht­lich unbe­grün­de­tes Aus­kunfts­ge­such vor­lie­gen. Es muss mit ande­ren Wor­ten offen­kun­dig sein, dass das Aus­kunfts­ge­such aus Grün­den gestellt wur­de, die mit sei­nem Zweck nach dem DSG nichts zu tun haben, oder dass dies in ander­wei­ti­ger (z. B. betrü­ge­ri­scher) Absicht gesche­hen ist. Bestehen Zwei­fel, ob es sich um einen sol­chen Fall han­delt, liegt kein offen­sicht­lich unbe­grün­de­tes Gesuch vor. Que­ru­la­to­risch sind Aus­kunfts­ge­su­che, die bei­spiels­wei­se ohne plau­si­ble Begrün­dung häu­fig wie­der­holt wer­den, oder die sich an einen Ver­ant­wort­li­chen rich­ten, von dem die Gesuch­stel­le­rin oder der Gesuch­stel­ler bereits weiss, dass er kei­ne Daten über sie oder ihn bear­bei­ten. Auch von einem que­ru­la­to­ri­schen Gesuch darf der Ver­ant­wort­li­che nicht leicht­hin aus­ge­hen. Ins­ge­samt darf der Ver­ant­wort­li­che von der Ein­schrän­kung nach Absatz 1 Buch­sta­be c nicht bereits dann Gebrauch machen, wenn er ledig­lich sei­ne eige­nen Inter­es­sen wah­ren möch­te. Hier­für müs­sen die Vor­aus­set­zun­gen nach Arti­kel 24 Absatz 2 Buch­sta­be a erfüllt sein. Viel­mehr soll die Bestim­mung in Absatz 1 Buch­sta­be c dem Ver­ant­wort­li­chen den ver­nünf­ti­gen Umgang mit Aus­kunfts­ge­su­chen erlau­ben, die offen­sicht­lich völ­lig los­ge­löst vom Zweck erfol­gen, dem das Aus­kunfts­recht dient. Der Beauf­trag­te ist der Ansicht, dass die in Arti­kel 24 Absatz 1 Buch­sta­be c E‑DSG vor­ge­se­he­ne Aus­nah­me vom Aus­kunfts­recht mit dem Über­ein­kom­men SEV 108 nicht ver­ein­bar ist. Abs. 3 Falls der Ver­ant­wort­li­che die Aus­kunft ver­wei­gert, ein­schränkt oder auf­schiebt, muss er dies mit­tei­len und gemäss Absatz 3 ent­spre­chend begrün­den. Als Grün­de kom­men grund­sätz­lich nur die Vor­aus­set­zun­gen nach den Absät­zen 1 und 2 in Fra­ge. Bun­des­or­ga­ne müs­sen in die­sem Fall eine anfecht­ba­re Ver­fü­gung erlas­sen. Pri­va­te Ver­ant­wort­li­che unter­lie­gen hin­ge­gen kei­nen Form­vor­schrif­ten. Aus Beweis­grün­den soll­te die Begrün­dung der betrof­fe­nen Per­son jedoch schrift­lich zuge­stellt wer­den. Auf der Basis der Begrün­dung muss die betrof­fe­ne Per­son über­prü­fen kön­nen, ob die Aus­kunft zu Recht ver­wei­gert, ein­ge­schränkt oder auf­ge­scho­ben wor­den ist. Die Anfor­de­run­gen an die Begrün­dung kön­nen jedoch nicht all­zu hoch sein, falls sie mit dem Grund für die Aus­kunfts­ver­wei­ge­rung kollidieren. 

Arti­kel 25 E‑DSG über­nimmt den aktu­el­len Arti­kel 10 DSG betref­fend die Ein­schrän­kung des Aus­kunfts­rechts für Medi­en­schaf­fen­de. Es erfol­gen kei­ne mate­ri­el­len Ände­run­gen. Das Kri­te­ri­um der Ver­öf­fent­li­chung im redak­tio­nel­len Teil eines Medi­ums bleibt bestehen. Dies bedeu­tet, dass allei­ne Daten dar­un­ter fal­len, wel­che gesam­melt wer­den im Hin­blick auf die Publi­ka­ti­on einer jour­na­li­sti­schen Arbeit in jenem Teil eines Medi­ums, das für redak­tio­nel­le Bei­trä­ge reser­viert ist. Dar­über hin­aus muss es sich um ein peri­odisch erschei­nen­des Medi­um han­deln. Dar­un­ter fal­len ins­be­son­de­re Zei­tun­gen, Zeit­schrif­ten, Radio und Fern­seh­sen­dun­gen, Pres­se­agen­tu­ren und Online-News­dien­ste, die kon­ti­nu­ier­lich und mit einer dem Publi­kum bekann­ten Regel­mä­ssig­keit aktua­li­siert wer­den. Das 5. Kapi­tel regelt spe­zi­fi­sche Ansprü­che gegen­über pri­va­ten Ver­ant­wort­li­chen. Die Vor­schrif­ten zum Bear­bei­ten von Per­so­nen­da­ten durch pri­va­te Per­so­nen kon­kre­ti­sie­ren den Schutz der Per­sön­lich­keit nach Arti­kel 28 ZGB in Bezug auf den Daten­schutz und die­nen damit der Ver­wirk­li­chung der infor­ma­tio­nel­len Selbst­be­stim­mung unter Pri­va­ten (sie­he Art. 35 Abs. 1 und 3 BV). Die drei Bestim­mun­gen die­ses Abschnitts sind gemein­sam zu lesen: Arti­kel 26 E‑DSG kon­kre­ti­siert Per­sön­lich­keits­ver­let­zun­gen im Bereich des Daten­schut­zes, Arti­kel 27 E‑DSG defi­niert spe­zi­fi­sche Recht­fer­ti­gungs­grün­de und Arti­kel 28 E‑DSG regelt die Rechts­an­sprü­che, die auf­grund einer Per­sön­lich­keits­ver­let­zung durch Daten­be­ar­bei­tung gel­tend gemacht wer­den kön­nen. Der vor­lie­gen­de Ent­wurf behält die bestehen­de Rege­lung weit­ge­hend bei. Es wur­den jedoch eini­ge redak­tio­nel­le Ände­run­gen vor­ge­nom­men mit dem Ziel, die Bestim­mun­gen ins­ge­samt kla­rer und zugäng­li­cher zu machen. Die Eva­lua­ti­on hat zudem erge­ben, dass die betrof­fe­nen Per­so­nen ins­be­son­de­re im pri­va­ten Sek­tor ihre Rech­te kaum wahr­neh­men. Dies wird haupt­säch­lich auf die Kosten­ri­si­ken eines Pro­zes­ses zurück­ge­führt, wel­che durch Anpas­sun­gen bei der Kosten­re­ge­lung im Zivil­pro­zess auf­ge­fan­gen wer­den sol­len (vgl. Ziff. 9.2.15).

Der Begriff der Per­sön­lich­keits­ver­let­zung ist in Arti­kel 28 ZGB nicht defi­niert. Arti­kel 26 des Ent­wurfs kon­kre­ti­siert die­sen Begriff für Ver­let­zun­gen der Per­sön­lich­keit durch die Bear­bei­tung von Per­so­nen­da­ten. Abs. 1 Grundsatz Absatz 1 hält fest, dass durch eine Daten­be­ar­bei­tung die Per­sön­lich­keit der betrof­fe­nen Per­son nicht wider­recht­lich ver­letzt wer­den darf. Der Wort­laut bleibt unver­än­dert. Das indi­vi­du­el­le Ver­fü­gungs­recht über per­so­nen­be­zo­ge­ne Daten, wel­ches durch die infor­ma­tio­nel­le Selbst­be­stim­mung geschützt ist, wird durch Daten­be­ar­bei­tun­gen rasch emp­find­lich ein­ge­schränkt. Die Ein­hal­tung der Grund­sät­ze der Daten­be­ar­bei­tung durch pri­va­te Ver­ant­wort­li­che ist daher zen­tral zum Schutz der Per­sön­lich­keit der betrof­fe­nen Per­son, zumal die pri­va­te Bear­bei­tung einen gro­ssen Anteil der Daten­be­ar­bei­tungs­vor­gän­ge über­haupt­aus­macht. Abs. 2 Fäl­le von Persönlichkeitsverletzungen Absatz 2 nimmt unter ande­rem Bezug auf die Ein­hal­tung der Grund­sät­ze der Daten­be­ar­bei­tung und sieht vor, dass nament­lich in drei Kon­stel­la­tio­nen eine Per­sön­lich­keits­ver­let­zung vor­liegt. Nach Buch­sta­be a liegt eine Per­sön­lich­keits­ver­let­zung vor, wenn Daten ent­ge­gen den Grund­sät­zen der Arti­kel 5 und 7 E‑DSG bear­bei­tet wer­den. Per­sön­lich­keits­ver­let­zend ist nach Buch­sta­be b zudem, wenn Daten ent­ge­gen der aus­drück­li­chen Wil­lens­er­klä­rung der betrof­fe­nen Per­son bear­bei­tet wer­den. Die­se Bestim­mung gibt der betrof­fe­nen Per­son mit­hin das Recht, einem bestimm­ten Ver­ant­wort­li­chen expli­zit eine bestimm­te Daten­be­ar­bei­tung zu ver­bie­ten, ohne dass hier­für spe­zi­fi­sche Vor­aus­set­zun­gen erfüllt sein müss­ten (Opting-out). Die­se Mög­lich­keit bestand bereits nach dem bis­he­ri­gen Recht und wird auch durch Arti­kel 8 Buch­sta­be d E‑SEV 108 ver­langt. Eine Wil­lens­er­klä­rung ist “aus­drück­lich”, wenn sie durch geschrie­be­ne oder gespro­che­ne Wor­te oder ein Zei­chen erfolgt und der geäu­sser­te Wil­len aus den ver­wen­de­ten Wor­ten oder dem Zei­chen unmit­tel­bar her­vor­geht. Dem­nach muss die betrof­fe­ne Per­son in Wor­ten oder Zei­chen unmit­tel­bar zum Aus­druck brin­gen, dass sie mit einer bestimm­ten Daten­be­ar­bei­tung nicht ein­ver­stan­den ist. Die Wil­lens­äu­sse­rung als sol­che muss durch die Art und Wei­se, in der sie erfolgt, bereits Klar­heit über den Wil­len schaf­fen. Im vor­lie­gen­den Fall müss­te die betrof­fe­ne Per­son bei­spiels­wei­se eine Dienst­lei­stung, die mit einer Daten­be­ar­bei­tung ein­her­geht, kün­di­gen oder gegen­über einem Ver­ant­wort­li­chen eine münd­li­che oder schrift­li­che Erklä­rung abge­ben, dass sie nicht will, dass er Daten über sie bear­bei­tet. Dem­ge­gen­über ist eine “still­schwei­gen­de” Wil­lens­er­klä­rung im vor­lie­gen­den Fall nicht aus­rei­chend (vgl. die Erläu­te­run­gen zu Arti­kel 5 Absatz 6 E‑DSG in Ziff. 9.1.3.1). So wäre es bei­spiels­wei­se nicht aus­rei­chend, dass die betrof­fe­ne Per­son eine Dienst­lei­stung, die mit einer Daten­be­ar­bei­tung ein­her­geht, nicht mehr benutzt. Nach Buch­sta­be c liegt eben­falls eine Per­sön­lich­keits­ver­let­zung vor, wenn beson­ders schüt­zens­wer­te Daten an Drit­te bekannt­ge­ge­ben wer­den. Die Auf­zäh­lung ist nicht abschlie­ssend. Das heisst, eine Per­sön­lich­keits­ver­let­zung durch die Bear­bei­tung von Daten kann auch auf ande­rem Wege als durch die Ver­wirk­li­chung die­ser drei Tat­be­stän­de erfol­gen. In Buch­sta­ben b und c wur­de die Bezug­nah­me auf den Recht­fer­ti­gungs­grund ent­fernt, wie dies bei der Revi­si­on im Jah­re 2003 bereits für Buch­sta­be a erfolg­te. Auch dies dient ledig­lich der Klar­heit und ent­spricht Arti­kel 28 ZGB, in dem die Ver­let­zung der Per­sön­lich­keit und die Recht­fer­ti­gungs­grün­de eben­falls in zwei Teil­be­stim­mun­gen behan­delt wer­den. Im E‑DSG wer­den die Recht­fer­ti­gungs­grün­de nun aus­schliess­lich in Arti­kel 27 gere­gelt. Abs. 3 Kei­ne Persönlichkeitsverletzung Nach Absatz 3 liegt hin­ge­gen in der Regel kei­ne Per­sön­lich­keits­ver­let­zung vor, wenn die betrof­fe­ne Per­son die Daten all­ge­mein zugäng­lich gemacht und deren Bear­bei­tung nicht aus­drück­lich unter­sagt hat (zur Aus­drück­lich­keit vgl. den Kom­men­tar oben zu Absatz 2 Buch­sta­be b). Die­se Rege­lung, die iden­tisch aus dem bis­he­ri­gen Recht über­nom­men wur­de, ist fol­ge­rich­tig. Denn die indi­vi­du­el­le Ver­fü­gungs­frei­heit über per­so­nen­be­zo­ge­ne Daten wird unter die­sen Umstän­den prin­zi­pi­ell nicht ver­letzt. Durch die For­mu­lie­rung “in der Regel” wird aus­ge­drückt, das s es sich dabei um eine gesetz­li­che Ver­mu­tung und kei­ne unum­stöss­li­che Fik­ti­on han­delt. Der betrof­fe­nen Per­son steht dadurch der Nach­weis offen, dass im Ein­zel­fall den­noch eine Per­sön­lich­keits­ver­let­zung vor­lie­gen kann. Die­se Mög­lich­keit ist sach­ge­recht und wich­tig, weil die Abgren­zung zwi­schen Öffent­lich­keit und Pri­vat­heit zuneh­mend schwie­rig ist. 

Arti­kel 27 kon­kre­ti­siert die Recht­fer­ti­gungs­grün­de für per­sön­lich­keits­ver­let­zen­de Daten­be­ar­bei­tun­gen. Die Norm bleibt abge­se­hen von klei­ne­ren Ände­run­gen unver­än­dert. Abs. 1 Grundsatz Absatz 1 hält den Grund­satz fest, wonach jede Per­sön­lich­keits­ver­let­zung – d. h. jede per­sön­lich­keits­ver­let­zen­de Daten­be­ar­bei­tung – grund­sätz­lich wider­recht­lich ist, ausser sie wäre durch Ein­wil­li­gung der betrof­fe­nen Per­son, durch Gesetz oder ein über­wie­gen­des pri­va­tes oder öffent­li­ches Inter­es­se gerecht­fer­tigt. Die­se Bestim­mung ent­spricht Arti­kel 28 Absatz 2 ZGB. Falls die Ein­wil­li­gung der betrof­fe­nen Per­son oder ein gesetz­li­cher Recht­fer­ti­gungs­grund vor­liegt, erfolgt grund­sätz­lich kei­ne Inter­es­sen­ab­wä­gung und die Abwä­gungs­grün­de nach Absatz 2 kom­men nicht zum Zug. Zu den gesetz­li­chen Recht­fer­ti­gungs­grün­den gehö­ren bei­spiels­wei­se Bear­bei­tungs- oder Abklä­rungs­pflich­ten (z. B. Art. 28 ff. des Bun­des­ge­set­zes vom 23. März 2001 über den Kon­sum­kre­dit, Art. 3 ff. des Geld­wä­sche­rei­ge­set­zes vom 10. Okto­ber 1997) oder Auf­be­wah­rungs­pflich­ten. Hin­ge­gen erfor­dert ein über­wie­gen­des pri­va­tes oder öffent­li­ches Inter­es­se eine Abwä­gung der sich gegen­über­ste­hen­den Inter­es­sen. Auf Sei­ten der betrof­fe­nen Per­son besteht u. a. das Inter­es­se an der Wah­rung ihrer Ver­fü­gungs­frei­heit über ihre Daten. Auf Sei­ten des Ver­ant­wort­li­chen liegt ein Inter­es­se an der Daten­be­ar­bei­tung vor. Absatz 2 ent­hält in einer bei­spiel­haf­ten Auf­zäh­lung Bear­bei­tun­gen, bei wel­chen ein über­wie­gen­des Inter­es­se des Ver­ant­wort­li­chen in Betracht kommt. Nur wenn das Inter­es­se an der Daten­be­ar­bei­tung über­wiegt gegen­über dem Inter­es­se der betrof­fe­nen Per­son, ist die Per­sön­lich­keits­ver­let­zung gerecht­fer­tigt. Abs. 2 Über­wie­gen­de Inter­es­sen des Verantwortlichen Absatz 2 kon­kre­ti­siert, wann ein über­wie­gen­des Inter­es­se des Ver­ant­wort­li­chen in Betracht fällt. Die For­mu­lie­rung, die unver­än­dert bei­be­hal­ten wur­de, macht deut­lich, dass es sich dabei nicht um abso­lu­te Recht­fer­ti­gungs­grün­de han­delt. Mass­ge­bend ist viel­mehr wie im bis­he­ri­gen Recht letzt­lich die Inter­es­sen­ab­wä­gung im Ein­zel­fall. Anders als im bis­he­ri­gen Recht ist nicht mehr von der bear­bei­ten­den Per­son, son­dern vom Ver­ant­wort­li­chen die Rede. Die Anpas­sung erfolgt auf­grund der Ein­füh­rung des Begriffs des Ver­ant­wort­li­chen. Die Recht­fer­ti­gungs­grün­de nach Arti­kel 27 Absatz 2 sind auf Per­so­nen zuge­schnit­ten, die als Ver­ant­wort­li­che über Zweck und Mit­tel der Daten­be­ar­bei­tung ent­schei­den kön­nen. Ande­re Beklag­te kön­nen Recht­fer­ti­gungs­grün­de nach Absatz 1 gel­tend machen. Auf­grund von Arti­kel 8 Absatz 4 E‑DSG kann der Auf­trags­be­ar­bei­ter die­sel­ben Recht­fer­ti­gungs­grün­de gel­tend machen wie der Ver­ant­wort­li­che. Auch die Pas­siv­le­gi­ti­ma­ti­on bleibt von der Ände­rung unbe­ein­flusst. Die auf­ge­führ­ten Grün­de ent­spre­chen weit­ge­hend dem bis­he­ri­gen Recht. Die Auf­zäh­lung ist nicht abschlie­ssend, sodass auch ande­re Grün­de, als die hier auf­ge­führ­ten, als über­wie­gen­des Inter­es­se des Ver­ant­wort­li­chen her­an­ge­zo­gen wer­den kön­nen. Die Auf­zäh­lung führt ver­schie­de­ne Zwecke auf, wel­che die Bear­bei­tung von Daten recht­fer­ti­gen und gegen­über dem Inter­es­se der betrof­fe­nen Per­son über­wie­gen kön­nen. Im Wesent­li­chen erfasst der Kata­log drei Grup­pen von Daten­be­ar­bei­tun­gen: sol­che für bestimm­te wirt­schaft­li­che Tätig­kei­ten, sol­che für die Medi­en und Daten­be­ar­bei­tun­gen zu nicht per­so­nen­be­zo­ge­nen Zwecken wie der For­schung. Bei ein­zel­nen Bear­bei­tungs­zwecken reicht der ange­ge­be­ne Zweck allei­ne nicht aus, um die Per­sön­lich­keits­ver­let­zung zu recht­fer­ti­gen. Viel­mehr muss die Bear­bei­tung zusätz­lich bestimm­te Vor­aus­set­zun­gen erfül­len, damit der Recht­fer­ti­gungs­grund des über­wie­gen­den Inter­es­ses über­haupt gel­tend gemacht wer­den kann. Dies gilt nament­lich in Bezug auf die Buch­sta­ben b, c, e und f. In die­sen Fäl­len ist zunächst zu prü­fen, ob die frag­li­che Bear­bei­tung die spe­zi­fi­schen Vor­aus­set­zun­gen erfüllt, bevor die Inter­es­sen des kon­kre­ten Ein­zel­falls gegen­ein­an­der abge­wo­gen wer­den. Sind die­se spe­zi­fi­schen Vor­aus­set­zun­gen nicht gege­ben, ist die Daten­be­ar­bei­tung nur gerecht­fer­tigt, wenn ein Recht­fer­ti­gungs­grund nach Absatz 1 vor­liegt. Kom­men­tiert wer­den nach­fol­gend nur die Buch­sta­ben c und e, bei denen der Geset­zes­text geän­dert wur­de. Abs. 2 Bst. c Prü­fung der Kreditwürdigkeit In Bezug auf die Tätig­keit von Wirt­schafts­aus­kunfts­dien­sten ist zunächst auf das kürz­lich ergan­ge­ne Urteil des Bun­des­ver­wal­tungs­ge­richts A‑4232/2015 vom 18. April 2017 (Money­hou­se) hin­zu­wei­sen. Die Money­hou­se AG ist ein Wirt­schafts­aus­kunfts­dienst und bezieht Daten in elek­tro­ni­scher Form von diver­sen öffent­li­chen pri­va­ten Quel­len. Die­se Viel­zahl von Per­so­nen­da­ten wird auf www.moneyhouse.ch publi­ziert und dazu ver­wen­det, um ver­schie­de­ne Dienst­lei­stun­gen anzu­bie­ten, ins­be­son­de­re eine Fir­men und Per­so­nen­su­che. Wäh­rend die­ser Dienst für das Publi­kum nach erfolg­ter Regi­strie­rung kosten­los ist, wer­den zusätz­lich zah­lungs­pflich­tig für soge­nann­te “Pre­mi­um User” Boni­täts- und Zahl­wei­se­abon­ne­men­te, Details zu Zah­lungs­stö­run­gen, Betreibungs‑, Grundbuch‑, Wirt­schafts- und Steu­er­aus­künf­te sowie Dienst­lei­stun­gen betref­fend Fir­men­por­traits ange­bo­ten. Für Zusatz­an­ge­bo­te und um auf Daten natür­li­cher Per­so­nen, die nicht im Han­dels­re­gi­ster oder in einem elek­tro­ni­schen Tele­fon­ver­zeich­nis ein­ge­tra­gen sind, zuzu­grei­fen, müs­sen Inter­es­sens­nach­wei­se erbracht wer­den. Bezüg­lich der kosten­pflich­ti­gen Pre­mi­um­abon­ne­men­te kam das Bun­des­ver­wal­tungs­ge­richt zum Schluss, dass die Money­hou­se AG dabei teil­wei­se ein bio­gra­fi­sches Bild von Per­so­nen erstellt. Das Bun­des­ver­wal­tungs­ge­richt hielt fest, dass bei die­ser Aus­gangs­la­ge die Bear­bei­tung eines Per­sön­lich­keits­pro­fils zu beja­hen sei, wes­halb der Recht­fer­ti­gungs­grund der Kre­dit­über­prü­fung nach Arti­kel 13 Absatz 2 Buch­sta­be c DSG nicht zur Anwen­dung gelan­ge. Für das Bun­des­ver­wal­tungs­ge­richt war als Recht­fer­ti­gungs­grund weder eine gesetz­li­che Grund­la­ge ersicht­lich noch konn­te eine expli­zi­te Ein­wil­li­gung der betrof­fe­nen Per­so­nen in die Erstel­lung eines Per­sön­lich­keits­pro­fils belegt wer­den. Schliess­lich ergab auch eine gesamt­haf­te Inter­es­sen­ab­wä­gung, dass das Inter­es­se der betrof­fe­nen Per­so­nen an der Wah­rung ihrer Per­sön­lich­keits­rech­te über­wiegt. Im Ergeb­nis stell­te das Bun­des­ver­wal­tungs­ge­richt eine rechts­wid­ri­ge Bear­bei­tung von Per­sön­lich­keits­pro­fi­len fest und wies die Money­hou­se AG an, für sol­che Daten­be­ar­bei­tun­gen die aus­drück­li­che Ein­wil­li­gung der betrof­fe­nen Per­so­nen ein­zu­ho­len, andern­falls die ent­spre­chen­den Daten, inso­weit zu löschen sei­en, als sich Rück­schlüs­se auf wesent­li­che Teil­aspek­te der Per­sön­lich­keit zie­hen las­sen. Zudem ver­pflich­te­te das Gericht die Money­hou­se AG zu einer jähr­li­chen Über­prü­fung ihres Daten­be­stands auf des­sen Rich­tig­keit hin im Ver­hält­nis von 5 % zu den auf der Platt­form getä­tig­ten Abfra­gen. Dar­über hin­aus wird der Bun­des­rat im Rah­men des Berichts für das Postu­lat Schwa­ab 16.3682 “Die Tätig­kei­ten von Wirt­schafts­aus­kunf­tei­en ein­schrän­ken” spe­zi­fi­sche Mass­nah­men in Bezug auf Wirt­schafts­aus­kunfts­dien­ste prü­fen. Der E‑DSG trägt aller­dings gewis­sen Anlie­gen in Bezug auf die Tätig­keit von Wirt­schafts­aus­kunfts­dien­sten bereits Rech­nung. So müs­sen vier Vor­aus­set­zun­gen erfüllt sein, damit die Prü­fung der Kre­dit­wür­dig­keit als über­wie­gen­des Inter­es­se gel­ten kann. Die Bestim­mung wird im Ver­hält­nis zum bis­he­ri­gen Recht leicht ver­schärft, ins­be­son­de­re um dem hohen Risi­ko Rech­nung zu tra­gen, das mit die­ser Art der Daten­be­ar­bei­tung ein­her­geht. Die Zif­fern 1 und 2 ent­spre­chen dem gel­ten­den Recht, wobei der Begriff des Per­sön­lich­keits­pro­fils durch jenen des Pro­filings ersetzt wird. Eben­falls unzu­läs­sig bleibt die Bear­bei­tung beson­ders schüt­zens­wer­ter Per­so­nen­da­ten. Dar­un­ter fällt auch die Bear­bei­tung von Daten über straf­recht­li­che Ver­fol­gun­gen und Sank­tio­nen. Dies ist fol­ge­rich­tig, da Drit­te auch kei­ne Ein­sicht in das Straf­re­gi­ster erhal­ten kön­nen. Das DSG soll, anders als von ver­schie­de­nen Ver­nehm­las­sungs­teil­neh­mern ange­regt, kei­ne dar­über hin­aus­ge­hen­den Rech­te für Wirt­schafts­aus­kunfts­dien­ste ent­hal­ten. Die Zif­fern 3 und 4 wur­den neu hin­zu­ge­fügt. Zif­fer 3 setzt vor­aus, dass die Daten nicht älter als fünf Jah­re sein dür­fen. Eine sol­che Ver­stär­kung wur­de von ver­schie­de­nen Ver­nehm­las­sungs­teil­neh­mern ange­regt und erscheint berech­tigt im Hin­blick auf die Trag­wei­te einer Kre­dit­aus­kunft für die betrof­fe­ne Per­son. Auch das Bun­des­ver­wal­tungs­ge­richt hielt fest, dass an die inhalt­li­che Qua­li­tät und damit auch an die Rich­tig­keit der bear­bei­te­ten Daten umso höhe­re Anfor­de­run­gen zu stel­len sind, je grö­sser das Risi­ko einer Per­sön­lich­keits­ver­let­zung ist. Die sehr nied­ri­ge Über­prü­fungs­quo­te von 5 Pro­zent, wel­che das Bun­des­ver­wal­tungs­ge­richt der Money­hou­se AG auf­er­legt, zeigt zugleich die Schwie­rig­kei­ten auf, sol­che Daten­ban­ken aktu­ell zu hal­ten. Daher erach­tet der Bun­des­rat eine gene­rel­le Rege­lung über die Dau­er, wäh­rend der Daten ver­wen­det wer­den dür­fen, als sinn­voll. Eine sol­che Ein­schrän­kung lässt sich ins­be­son­de­re auch mit ent­spre­chen­den tech­ni­schen Vor­keh­ren (pri­va­cy by design, vgl. Art. 6 E‑DSG und die Erläu­te­run­gen dazu) umset­zen, bei­spiels­wei­se indem Daten nach Ablauf einer bestimm­ten Dau­er auto­ma­tisch gelöscht wer­den. Die Auf­be­wah­rungs­dau­er von fünf Jah­ren stellt dar­auf ab, dass pri­va­te Drit­te gemäss Arti­kel 8a Absatz 4 SchKG ledig­lich bis fünf Jah­re nach Abschluss des Ver­fah­rens Ein­sicht in das Betrei­bungs­re­gi­ster erhal­ten kön­nen. Hier sol­len die Rech­te von Wirt­schafts­aus­kunfts­dien­sten nicht wei­ter­ge­hen. Zif­fer 4 setzt vor­aus, dass die betrof­fe­ne Per­son voll­jäh­rig ist. Die­se Vor­aus­set­zung wird ein­ge­fügt, um den Schutz von Min­der­jäh­ri­gen zu ver­bes­sern, was eines der Zie­le der Revi­si­on ist. Die Trag­wei­te die­ser Ände­rung dürf­te sich auf­grund der beschränk­ten Hand­lungs­fä­hig­keit min­der­jäh­ri­ger Per­so­nen in Gren­zen hal­ten. Abs. 2 Bst. e Bear­bei­tung für For­schung, Pla­nung oder Statistik Leicht ver­schärft wird der Recht­fer­ti­gungs­grund der Bear­bei­tung zu nicht per­so­nen­be­zo­ge­nen Zwecken, ins­be­son­de­re in der For­schung, Pla­nung oder Sta­ti­stik, in Buch­sta­be e. Die Ver­wen­dung von Daten zu die­sen Zwecken ist neu nur zuläs­sig, wenn die Vor­aus­set­zun­gen der Zif­fern 1 – 3 erfüllt sind. Durch die­se Rege­lung soll der Schutz beson­ders schüt­zens­wer­ter Per­so­nen­da­ten ver­stärkt wer­den. Dies erfolgt ins­be­son­de­re mit Blick auf die Mög­lich­kei­ten von Big Data und die zuneh­men­de Digi­ta­li­sie­rung des All­tags, die auch dazu führt, dass eine immer grö­sse­re Anzahl beson­ders schüt­zens­wer­ter Per­so­nen­da­ten bear­bei­tet wird. Nach Zif­fer 1 müs­sen die Daten anony­mi­siert wer­den, sobald der Bear­bei­tungs­zweck es erlaubt. Wenn es zur Daten­be­ar­bei­tung für For­schung, Pla­nung oder Sta­ti­stik nicht mehr erfor­der­lich ist, über per­so­nen­be­zo­ge­ne Daten zu ver­fü­gen, müs­sen die­se anony­mi­siert wer­den. Die­se Vor­aus­set­zung ist eben­falls erfüllt, wenn die Wei­ter­ga­be in pseud­ony­mi­sier­ter Form erfolgt und der Schlüs­sel bei der wei­ter­ge­ben­den Per­son ver­bleibt (fak­ti­sche Anony­mi­sie­rung). Dies ergibt sich grund­sätz­lich bereits aus der Vor­schrift in Arti­kel 5 Absatz 4 E‑DSG. Ein Ver­stoss gegen die­sel­be führt gemäss Arti­kel 26 Absatz 2 Buch­sta­be a E‑DSG zu einer Per­sön­lich­keits­ver­let­zung, die sich durch einen der Grün­de in Arti­kel 27 E‑DSG recht­fer­ti­gen lässt. Durch die Vor­schrift in Arti­kel 27 Absatz 2 Buch­sta­be e Zif­fer 1 E‑DSG ist es nun nicht mehr mög­lich, einen Ver­stoss gegen Arti­kel 5 Absatz 4 E‑DSG mit der Bear­bei­tung zu Zwecken der For­schung, Pla­nung oder Sta­ti­stik zu recht­fer­ti­gen, ausser es gilt einer der Recht­fer­ti­gungs­grün­de nach Arti­kel 27 Absatz 1 E‑DSG. Wenn Drit­ten beson­ders schüt­zens­wer­te Per­so­nen­da­ten bekannt gege­ben wer­den, muss dies so erfol­gen, dass die betrof­fe­nen Per­so­nen nicht bestimm­bar sind (Ziff. 2). Die Bekannt­ga­be beson­ders schüt­zens­wer­ter Per­so­nen­da­ten an Drit­te führt gemäss Arti­kel 26 Absatz 2 Buch­sta­be c E‑DSG zu einer Per­sön­lich­keits­ver­let­zung, die sich durch einen der Grün­de in Arti­kel 27 recht­fer­ti­gen lässt. Die Vor­schrift in Zif­fer 2 schliesst es nun­mehr aus, die Bekannt­ga­be nicht anony­mi­sier­ter, beson­ders schüt­zens­wer­ter Per­so­nen­da­ten zu recht­fer­ti­gen mit der Begrün­dung, die­se erfol­ge zur Bear­bei­tung zu Zwecken der For­schung, Pla­nung oder Sta­ti­stik. Schliess­lich dür­fen wie bis­her die Ergeb­nis­se nur so ver­öf­fent­licht wer­den, dass die betrof­fe­nen Per­so­nen nicht bestimm­bar sind (Ziff. 3). 

Arti­kel 28 regelt die Rechts­an­sprü­che, wel­che die betrof­fe­ne Per­son gegen­über pri­va­ten Per­so­nen gel­tend machen kann. Abs. 1 Berichtigung Absatz 1 hält fest, dass jede Per­son die Berich­ti­gung unrich­ti­ger Per­so­nen­da­ten ver­lan­gen kann. Die­ser Anspruch ist bis­lang in Arti­kel 5 Absatz 2 DSG ent­hal­ten. Er wird im E‑DSG mit allen ande­ren Rechts­an­sprü­chen in einer Bestim­mung zusam­men­ge­führt. Die Berich­ti­gung kann bedeu­ten, dass die feh­len­den Daten ergänzt oder die fal­schen Daten gelöscht und gege­be­nen­falls durch neue, rich­ti­ge Daten ersetzt wer­den. Wie aus dem sepa­ra­ten Absatz deut­lich wird, besteht der Berich­ti­gungs­an­spruch unab­hän­gig von einer Per­sön­lich­keits­ver­let­zung nach Arti­kel 26 E‑DSG. Eben­falls kön­nen die Recht­fer­ti­gungs­grün­de von Arti­kel 27 E‑DSG nicht gel­tend gemacht wer­den. Viel­mehr sieht Absatz 1 zwei eigen­stän­di­ge Aus­nah­men vor, die eine Berich­ti­gung aus­schlie­ssen. Nach Buch­sta­be a ist die Berich­ti­gung unrich­ti­ger Daten aus­ge­schlos­sen, wenn eine gesetz­li­che Vor­schrift die Ände­rung der Per­so­nen­da­ten aus­schliesst. Zu den­ken ist hier­bei an gesetz­li­che Bear­bei­tungs- und Auf­be­wah­rungs­pflich­ten, nach denen pri­va­te Ver­ant­wort­li­che Daten unver­än­dert belas­sen müs­sen. Buch­sta­be b erlaubt eine Inter­es­sen­ab­wä­gung in Bezug auf Daten Archiv­be­stän­den, die aus­schliess­lich zu die­sem Zweck bear­bei­tet wer­den und bei denen ein über­wie­gen­des öffent­li­ches Inter­es­se dar­an besteht, dass die Daten unver­än­dert bestehen blei­ben. Die­se Aus­nah­me erfasst bei­spiels­wei­se pri­va­te Biblio­the­ken. Abs. 2 Klagen Absatz 2 ent­hält die Ver­wei­sung auf die Kla­gen nach Arti­kel 28 ff. ZGB, wel­che bereits im bis­he­ri­gen Recht besteht. Ana­log zu Arti­kel 28a Absatz 1 ZGB hält die­ser Absatz zudem ein­zel­ne spe­zi­fi­sche Ansprü­che fest, wel­che die betrof­fe­ne Per­son gel­tend machen kann. Der Klar­heit hal­ber sind die­se im Ent­wurf neu mit einer Auf­zäh­lung bes­ser her­vor­ge­ho­ben. Die­se Auf­zäh­lung kon­kre­ti­siert ins­be­son­de­re die Unter­las­sungs- und Besei­ti­gungs­kla­ge nach Arti­kel 28a Absatz 1 Zif­fer 1 und 2 ZGB in Bezug auf den Daten­schutz. Nach Buch­sta­be a kann die betrof­fe­ne Per­son ver­lan­gen, dass die Daten­be­ar­bei­tung ver­bo­ten wird. Nach Buch­sta­be b kann sie bean­tra­gen, dass die Bekannt­ga­be von Daten an Drit­te unter­sagt wird. Gemäss Buch­sta­be c kann sie schliess­lich die Löschung oder Ver­nich­tung von Daten ver­lan­gen. Obschon es sich impli­zit bereits aus dem bis­he­ri­gen Recht ergibt, wird im E‑DSG aus­drück­lich ein Recht auf Löschung for­mu­liert. Es ent­spricht den Anfor­de­run­gen von Arti­kel 8 Buch­sta­be e E‑SEV 108. Der Arti­kel 17 der Ver­ord­nung (EU) 2016/679 ent­hält eine ähn­li­che Rege­lung. Die­ses Recht auf Löschung ent­spricht im Bereich des Daten­schut­zes dem “Recht auf Ver­ges­sen­wer­den”, wie es gene­rell aus dem zivil­recht­li­chen Per­sön­lich­keits­schutz abge­lei­tet wird. Dem­nach wäre auch in der Schweiz bei­spiels­wei­se ein ähn­li­cher Ent­scheid mög­lich, wie ihn der Euro­päi­sche Gerichts­hof gegen­über Goog­le gefällt hat. Ein sol­ches Recht auf Ver­ges­sen­wer­den gilt indes­sen nicht abso­lut. Viel­mehr wird in der Recht­spre­chung zum Per­sön­lich­keits­schutz grund­sätz­lich das Inter­es­se der betrof­fe­nen Per­son abge­wo­gen gegen die Mei­nungs- und Infor­ma­ti­ons­frei­heit, aus denen sich regel­mä­ssig ein über­wie­gen­des Inter­es­se am Fort­be­stehen bzw. an der Ver­wen­dung der Infor­ma­ti­on ergibt. Ein sol­ches Inter­es­se kann bei­spiels­wei­se bestehen bei Archi­ven oder Biblio­the­ken, deren Auf­ga­be es ist, Doku­men­te unver­än­dert zu sam­meln, zu erschlie­ssen, zu erhal­ten und zu ver­mit­teln. Besteht ein über­wie­gen­des Inter­es­se, ist die Per­sön­lich­keits­ver­let­zung gerecht­fer­tigt und ein all­fäl­li­ger Anspruch auf Löschung ent­fällt. Die not­wen­di­ge Inter­es­sen­ab­wä­gung im Ein­zel­fall ist auf­grund von Arti­kel 28 Absatz 2 E‑DSG sowie der Ver­wei­sung auf die Kla­gen nach Arti­kel 28 f. ZGB mög­lich und erfor­der­lich, so dass kei­ne spe­zi­fi­schen Vor­be­hal­te in den Geset­zes­text ein­ge­fügt wer­den müs­sen. Der Beauf­trag­te hät­te es vor­ge­zo­gen, wenn aus­drück­lich ein Aus­li­stungs­recht (“Recht auf Ver­ges­sen­wer­den”) ein­ge­fügt wor­den wäre. Abs. 3 Bestreitungsvermerk Absatz 3 ent­hält den so genann­ten Bestrei­tungs­ver­merk, der unver­än­dert aus dem bis­he­ri­gen Recht über­nom­men wird. Dem­nach kann bei Daten ein ent­spre­chen­der Ver­merk ange­bracht wer­den, wenn weder die Rich­tig­keit noch die Unrich­tig­keit der Daten fest­ge­stellt wer­den kann. Die Bestim­mung ist vor dem Hin­ter­grund zu betrach­ten, dass sich die Unrich­tig­keit von Tat­sa­chen­be­haup­tun­gen, gera­de wenn sie mit Wert­ur­tei­len ver­knüpft sind, mit­un­ter nicht aus­rei­chend nach­wei­sen lässt. Die betrof­fe­ne Per­son erhält auf die­se Wei­se zumin­dest einen teil­wei­sen Rechts­schutz. Abs. 4 Mit­tei­lung an Drit­te oder Veröffentlichung Absatz 4 sieht wie das bis­he­ri­ge Recht vor, dass das Urteil, die Berich­ti­gung, die Löschung oder Ver­nich­tung, das Ver­bot der Bear­bei­tung bzw. der Bekannt­ga­be an Drit­te oder der Bestrei­tungs­ver­merk Drit­ten mit­ge­teilt wird oder ver­öf­fent­licht wird. Die­se Rege­lung kon­kre­ti­siert Arti­kel 28a Absatz 2 ZGB im Bereich des Daten­schut­zes. Auf­ge­ho­ben wird hin­ge­gen die Bestim­mung betref­fend das ver­ein­fach­te Ver­fah­ren für Aus­kunfts­be­geh­ren. Die­se Rege­lung ist mit Ein­füh­rung der ZPO obso­let gewor­den, weil sämt­li­che Vor­schrif­ten zu zivil­recht­li­chen Ver­fah­ren nun in der ZPO ent­hal­ten sind. Die­se regelt das anwend­ba­re Ver­fah­ren (Art. 243 Abs. 2 Bst. d E‑ZPO) sowie den Gerichts­stand (Art. 20 Bst. d E‑ZPO).

Im Ver­gleich zu Arti­kel 16 DSG erfährt Arti­kel 29 E‑DSG weni­ge Ände­run­gen. Arti­kel 16 Absatz 1 DSG wird auf­ge­ho­ben. Die Ver­ant­wort­lich­keit des Bun­des­or­gans, das Per­so­nen­da­ten bear­bei­tet oder bear­bei­ten lässt, ergibt sich aus der Defi­ni­ti­on des Begriffs “Ver­ant­wort­li­cher” (Art. 4 Bst. i E‑DSG). Mit Arti­kel 29 E‑DSG wird fer­ner aus redak­tio­nel­len Grün­den der Aus­druck “beson­ders regeln” von Arti­kel 16 Absatz 2 DSG weg­ge­las­sen. Dar­über hin­aus soll der Bun­des­rat nicht nur die Mög­lich­keit haben, beson­de­re Regeln über die Kon­trol­le und Ver­ant­wor­tung für den Daten­schutz zu erlas­sen, wenn Bun­des­or­ga­ne Daten zusam­men mit ande­ren Behör­den oder Pri­vat­per­so­nen bear­bei­ten, son­dern dazu ver­pflich­tet sein. Mit die­ser Ände­rung wird Arti­kel 21 der Richt­li­nie (EU) 2016/680 umge­setzt. Arti­kel 26 der Ver­ord­nung (EU) 2016/679 sieht eine ana­lo­ge Rege­lung vor. 

Um der Kri­tik in der Leh­re betref­fend die Abgren­zung der Aus­nah­men in Arti­kel 17 Absatz 2 DSG und Arti­kel 19 Absatz 2 DSG Rech­nung zu tra­gen, regelt der E‑DSG in Arti­kel 30 Absatz 2 die gesetz­li­che Grund­la­ge für bestimm­te Daten­be­ar­bei­tun­gen. In Absatz 4 sind die Aus­nah­men zu den Anfor­de­run­gen an die gesetz­li­che Grund­la­ge vor­ge­se­hen. Abs. 1 Gesetz­li­che Grundlage Absatz 1 über­nimmt den Grund­satz von Arti­kel 17 Absatz 1 DSG, wonach die Bun­des­or­ga­ne Per­so­nen­da­ten unter Vor­be­halt bestimm­ter Aus­nah­men nur bear­bei­ten dür­fen, wenn hier­für eine gesetz­li­che Grund­la­ge vor­liegt. Abs. 2 Grund­la­ge in Gesetz im for­mel­len Sinn Wie nach gel­ten­dem Recht schreibt Absatz 2 Buch­sta­be a vor, dass für die Bear­bei­tung beson­ders schüt­zens­wer­ter Daten eine Grund­la­ge in einem Gesetz im for­mel­len Sinn erfor­der­lich ist. Nach Absatz 2 Buch­sta­be b sind die Bun­des­or­ga­ne aus­schliess­lich dann zum Pro­filing im Sin­ne von Arti­kel 4 Buch­sta­be f E‑DSG befugt, wenn dies in einer Grund­la­ge in einem Gesetz im for­mel­len Sinn vor­ge­se­hen ist. Die Bestim­mung ersetzt inso­fern Arti­kel 17 Absatz 2 DSG, nach wel­chem Per­sön­lich­keits­pro­fi­le nur bear­bei­tet wer­den dür­fen, wenn ein Gesetz im for­mel­len Sinn es aus­drück­lich vor­sieht. Auf­grund des Risi­kos eines Ein­griffs in die Grund­rech­te der betrof­fe­nen Per­so­nen ist der Bun­des­rat der Mei­nung, dass die Rechts­grund­la­ge für das Pro­filing auf der­sel­ben Stu­fe bestehen muss wie im Fall der Bear­bei­tung beson­ders schüt­zens­wer­ter Daten. Wie in den Erläu­te­run­gen zu Absatz 3 dar­ge­legt wird, gilt die Anfor­de­rung einer Grund­la­ge in einem Gesetz im for­mel­len Sinn für der­ar­ti­ge Daten­be­ar­bei­tun­gen nicht abso­lut. Es wird folg­lich dem Gesetz­ge­ber oblie­gen, in jedem Bereich zu bestim­men, ob eine for­mell-gesetz­li­che Grund­la­ge in einem bereichs­spe­zi­fi­schen Gesetz geschaf­fen wer­den muss oder ob eine Grund­la­ge in einem Gesetz im mate­ri­el­len Sinn genügt. Es ist denk­bar, dass ein Pro­filing in bestimm­ten Fäl­len kei­ne beson­de­ren Risi­ken für die Grund­rech­te der betrof­fe­nen Per­son birgt. Nach Absatz 2 Buch­sta­be c ist eine Grund­la­ge in einem Gesetz im for­mel­len Sinn erfor­der­lich, wenn der Bear­bei­tungs­zweck oder die Art und Wei­se der Daten­be­ar­bei­tung zu einem schwer­wie­gen­den Ein­griff in die Grund­rech­te der betrof­fe­nen Per­son füh­ren kann. Die­ser Fall ist in Arti­kel 17 Absatz 2 DSG nicht aus­drück­lich fest­ge­hal­ten. Es han­delt sich aber nicht um eine neue Anfor­de­rung, denn nach Arti­kel 36 Absatz 1 BV bedür­fen schwer­wie­gen­de Ein­schrän­kun­gen von Grund­rech­ten einer gesetz­li­chen Grund­la­ge in einem Gesetz im for­mel­len Sinn. Buch­sta­be c ist jedoch not­wen­dig, da in meh­re­ren Bun­des­ge­set­zen der Begriff “Per­sön­lich­keits­pro­fil” und die ent­spre­chen­den Geset­zes­grund­la­gen auf­ge­ho­ben wer­den. Denn aus Sicht des Bun­des­ra­tes darf die Auf­he­bung des Begriffs “Per­sön­lich­keits­pro­fil” nicht dazu füh­ren, dass die Anfor­de­run­gen an die Stu­fe der gesetz­li­chen Grund­la­ge gesenkt wer­den. Ein schwer­wie­gen­der Ein­griff in die Grund­rech­te der betrof­fe­nen Per­son kann sich aus dem Zweck der Bear­bei­tung von Per­so­nen­da­ten erge­ben (erster Anwen­dungs­fall von Bst. c). Denn in bestimm­ten Berei­chen müs­sen die Bun­des­or­ga­ne even­tu­ell bestimm­te Per­so­nen­da­ten bear­bei­ten, damit sie bei­spiels­wei­se die Gefähr­lich­keit, das Poten­zi­al für eine Funk­ti­on, die Eig­nung für die Erfül­lung einer gesetz­li­chen Pflicht oder die Lebens­füh­rung einer Per­son beur­tei­len kön­nen. Je nach Zweck, den das Bun­des­or­gan mit der Bear­bei­tung ver­folgt, kann die­se – unab­hän­gig von der Art der bear­bei­te­ten Daten – die Grund­rech­te der betrof­fe­nen Per­son in schwer­wie­gen­der Wei­se ein­schrän­ken. Wenn dies zutrifft, ist es gerecht­fer­tigt, dass für die Bear­bei­tung der Per­so­nen­da­ten auf der glei­chen Stu­fe eine gesetz­li­che Grund­la­ge bestehen muss wie für die Bear­bei­tung beson­ders schüt­zens­wer­ter Per­so­nen­da­ten. Ein schwer­wie­gen­der Ein­griff in die Grund­rech­te der betrof­fe­nen Per­son kann sich ausser­dem aus der Art und Wei­se der Daten­be­ar­bei­tung erge­ben (zwei­ter Anwen­dungs­fall von Bst. c). Dies trifft ins­be­son­de­re auf auto­ma­ti­sier­te Ein­zel­ent­schei­dun­gen nach Arti­kel 19 Absatz 1 E‑DSG zu. Zwar birgt nicht jede auto­ma­ti­sier­te Ein­zel­ent­schei­dung ein schwer­wie­gen­des Risi­ko für die Grund­rech­te der betrof­fe­nen Per­son, sodass für gewis­se sol­cher Ent­schei­dun­gen auch eine Grund­la­ge in einem Gesetz im mate­ri­el­len Sinn genü­gen kann. Eine Ermäch­ti­gung durch ein Gesetz im for­mel­len Sinn ist grund­sätz­lich dann erfor­der­lich, wenn die auto­ma­ti­sier­te Ein­zel­ent­schei­dung auf der Grund­la­ge beson­ders schüt­zens­wer­ter Per­so­nen­da­ten erfolgt. Damit wird auch den Anfor­de­run­gen von Arti­kel 11 der Richt­li­nie (EU) 2016/680 Rech­nung getra­gen. Abs. 3 Aus­nah­men von der Anfor­de­rung einer Grund­la­ge in einem Gesetz im for­mel­len Sinn Die­se Bestim­mung ermäch­tigt den Bun­des­rat, für die Bear­bei­tung beson­ders schüt­zens­wer­ter Per­so­nen­da­ten und das Pro­filing eine Grund­la­ge in einem Gesetz im mate­ri­el­len Sinn zu erlas­sen, wenn zwei Vor­aus­set­zun­gen kumu­la­tiv erfüllt sind. Nach Buch­sta­be a muss die Bear­bei­tung unent­behr­lich sein für eine in einem Gesetz im for­mel­len Sinn fest­ge­leg­te Auf­ga­be. Damit die­se Vor­aus­set­zung erfüllt ist, muss auf Geset­zes­ebe­ne die Natur der Auf­ga­ben, wel­che die Bear­bei­tung von Per­so­nen­da­ten erfor­dern, aus­rei­chend kon­kre­ti­siert sein. Die zwei­te Vor­aus­set­zung (Absatz 3 Buch­sta­be b) ist neu. Sie hat den Vor­teil, dass sie die Trag­wei­te von Absatz 3 auf prä­zi­se­re Wei­se ein­schränkt als die aktu­el­le Rege­lung in Arti­kel 17 Absatz 2 Buch­sta­be a DSG. Letz­te­re ist nur aus­nahms­wei­se anwend­bar, was auch dazu füh­ren kann, dass der Ermes­sens­spiel­raum dazu genutzt wird, Aus­nah­me­fäl­le anzu­neh­men, wo gar kei­ne vor­lie­gen. Die Sen­kung der Anfor­de­run­gen an die Stu­fe der Geset­zes­grund­la­ge ist ins­be­son­de­re für beson­ders schüt­zens­wer­te Per­so­nen­da­ten ange­bracht, die aus­nahms­wei­se in Bundesrats‑, Depar­te­ments- und Amts­ge­schäf­ten bear­bei­tet wer­den (z. B. Beschwer­de­ent­schei­de; Staats­haf­tungs­fäl­le; Bun­des­per­so­nal­ge­schäf­te). Auch dies erfor­dert, streng genom­men, nach dem gel­ten­den Arti­kel 17 Absatz 1 DSG eine for­mell-gesetz­li­che Grund­la­ge. Indes­sen soll nach Arti­kel 30 Absatz 3 E‑DSG eine Grund­la­ge in einem Gesetz im mate­ri­el­len Sinn genü­gen, wenn die Bear­bei­tung für die Erfül­lung einer for­mell-gesetz­lich vor­ge­se­he­nen Auf­ga­be unent­behr­lich ist und der Bear­bei­tungs­zweck für die Grund­rech­te der betrof­fe­nen Per­son kei­ne beson­de­ren Risi­ken birgt. Soweit die­se Kri­te­ri­en erfüllt sind und der Zugriff auf die­se Daten stark ein­ge­schränkt ist, wird künf­tig eine Grund­la­ge in einem Gesetz im mate­ri­el­len Sinn grund­sätz­lich genü­gen. Abs. 4 Ausnahmen Gemäss Absatz 4 kann von der Anfor­de­rung der gesetz­li­chen Grund­la­ge (Abs. 1 – 3) abge­wi­chen wer­den, wenn eine der Vor­aus­set­zun­gen nach den Buch­sta­ben a bis c erfüllt ist. Buch­sta­be a regelt den Ent­scheid des Bun­des­ra­tes, der dem Bun­des­or­gan aus­nahms­wei­se erlaubt, Per­so­nen­da­ten ohne gesetz­li­che Grund­la­ge zu bear­bei­ten. Buch­sta­be a ent­spricht der Aus­nah­me nach Arti­kel 17 Absatz 2 Buch­sta­be b DSG. Gemäss Buch­sta­be b kön­nen Bun­des­or­ga­ne Per­so­nen­da­ten ohne gesetz­li­che Grund­la­ge bear­bei­ten, wenn die betrof­fe­ne Per­son im Ein­zel­fall ihre Ein­wil­li­gung gemäss Arti­kel 5 Absatz 6 E‑DSG gibt oder wenn sie ihre Per­so­nen­da­ten all­ge­mein zugäng­lich gemacht und die Bear­bei­tung nicht aus­drück­lich unter­sagt hat. Die­se Bestim­mung ent­spricht im Wesent­li­chen der Aus­nah­me nach Arti­kel 17 Absatz 2 Buch­sta­be c DSG. Buch­sta­be c ist eine neue Aus­nah­me, die in Arti­kel 17 Absatz 2 DSG nicht ent­hal­ten ist. Sie ent­spricht Arti­kel 10 Buch­sta­be b der Richt­li­nie (EU) 2016/680 und Arti­kel 6 Absatz 1 Buch­sta­be d der Ver­ord­nung (EU) 2016/679. Dem­nach ist die Bear­bei­tung eben­falls zuläs­sig, wenn sie not­wen­dig ist, um das Leben oder die kör­per­li­che Unver­sehrt­heit der betrof­fe­nen Per­son oder eines Drit­ten zu schüt­zen, wenn es nicht mög­lich ist, die Ein­wil­li­gung der betrof­fe­nen Per­son innert ange­mes­se­ner Frist einzuholen. 

Die vor­lie­gen­den Ände­run­gen des aktu­el­len Arti­kels 17a DSG sol­len nicht die Vor­aus­set­zun­gen abschwä­chen, unter denen ein Bun­des­or­gan vor Inkraft­tre­ten eines Geset­zes im for­mel­len Sinn im Rah­men eines Pilot­ver­suchs Daten auto­ma­ti­siert bear­bei­ten kann. Es soll ledig­lich die Rege­lungs­dich­te redu­ziert wer­den. Denn seit dem Inkraft­tre­ten die­ser Norm haben die Bun­des­or­ga­ne nur sel­ten dar­auf zurück­ge­grif­fen. Gewis­se Bestim­mun­gen von Arti­kel 17a DSG kön­nen zudem in die künf­ti­gen Aus­füh­rungs­ver­ord­nung auf­ge­nom­men wer­den. Abge­se­hen davon, dass der Begriff “Per­sön­lich­keits­pro­fi­le” durch “ande­re Daten­be­ar­bei­tun­gen nach Arti­kel 30 Absatz 2 Buch­sta­ben b und c” ersetzt wird, stim­men die Vor­aus­set­zun­gen nach den Absät­zen 1 und 2 mit jenen von Arti­kel 17a Absatz 1 DSG weit­ge­hend über­ein. Ausser­dem wird in Buch­sta­be c prä­zi­siert, dass eine Test­pha­se “ins­be­son­de­re aus tech­ni­schen Grün­den” erfor­der­lich ist. Die­se Ände­rung ist durch die Auf­he­bung von Arti­kel 17a Absatz 2 DSG begrün­det, der die Fäl­le auf­zählt, in denen die prak­ti­sche Umset­zung einer Daten­be­ar­bei­tung zwin­gend eine Test­pha­se erfor­dern kann. Aus den hier­vor auf­ge­führ­ten Grün­den kön­nen die­se Fäl­le in einer Aus­füh­rungs­ver­ord­nung gere­gelt wer­den. Die Absät­ze 3 und 4 blei­ben, von der Auf­he­bung des Begriffs “Per­sön­lich­keits­pro­fi­le” und eini­gen redak­tio­nel­len Ände­run­gen abge­se­hen, im Ver­gleich zum gel­ten­den Recht unverändert. 

Die­se Bestim­mung bleibt, von eini­gen redak­tio­nel­len Ände­run­gen abge­se­hen, im Ver­gleich zum gel­ten­den Recht (Arti­kel 20 DSG) unver­än­dert. In der deut­schen Fas­sung wird der Aus­druck “Sper­rung der Bekannt­ga­be” in Anleh­nung an die euro­päi­sche Ter­mi­no­lo­gie durch “Wider­spruch gegen die Bekannt­ga­be” ersetzt. Nach der Ansicht des Beauf­trag­ten müss­te sich das Recht auf Wider­spruch nicht nur auf die Daten­be­kannt­ga­be, son­dern auch auf die Daten­be­ar­bei­tung beziehen. 

Die­se Bestim­mung ent­spricht Arti­kel 21 DSG. Sie bleibt mate­ri­ell unverändert. 

Dar­über hin­aus wird in Absatz 1 ein neu­er Buch­sta­be b ein­ge­fügt, wonach Bun­des­or­ga­ne pri­va­ten Drit­ten beson­ders schüt­zens­wer­te Per­so­nen­da­ten so bekannt geben müs­sen, dass die betrof­fe­ne Per­son nicht bestimm­bar ist. Dies soll den Schutz beson­ders schüt­zens­wer­ter Per­so­nen­da­ten stär­ken. Die­se Vor­aus­set­zung ist eben­falls erfüllt, wenn die Wei­ter­ga­be in pseud­ony­mi­sier­ter Form erfolgt und der Schlüs­sel bei der wei­ter­ge­ben­den Per­son ver­bleibt (fak­ti­sche Anony­mi­sie­rung). Absatz 2 wird zudem betref­fend die Ver­wei­sun­gen auf die Arti­kel 5 Absatz 3, 30 Absatz 2 und 32 Absatz 1 E‑DSG geändert. 

Die­se Bestim­mung ent­spricht Arti­kel 23 Absatz 1 DSG. Arti­kel 23 Absatz 2 DSG kann auf­ge­ho­ben wer­den, da im E‑DSG für pri­va­te Per­so­nen und Bun­des­or­ga­ne das­sel­be Auf­sichts­sy­stem vor­ge­se­hen ist. 

Im Ver­gleich mit Arti­kel 25 DSG erfährt Arti­kel 37 E‑DSG eini­ge Ände­run­gen, die nach­fol­gend erklärt wer­den. Abs. 1 Begehren Die­se Bestim­mung regelt die Begeh­ren, die die betrof­fe­nen Per­so­nen an Bun­des­or­ga­ne rich­ten kön­nen. Im Ver­gleich mit Arti­kel 25 Absatz 1 DSG wird sie nicht geän­dert. Abs. 2 Wei­te­re Begehren Heu­te ergibt sich der Anspruch der betrof­fe­nen Per­son, die Löschung ihrer Daten zu ver­lan­gen, impli­zit aus Arti­kel 25 DSG. Um die Anfor­de­run­gen von Arti­kel 8 Buch­sta­be e E‑SEV 108 und von Arti­kel 16 der Richt­li­nie (EU) 2016/680 zu berück­sich­ti­gen, wird die­ser Anspruch nun aus­drück­lich in Arti­kel 37 Absatz 2 Buch­sta­ben a und b genannt. Arti­kel 17 der Ver­ord­nung (EU) 2016/679 sieht sei­ner­seits das Recht der betrof­fe­nen Per­son vor, unter bestimm­ten Bedin­gun­gen die Löschung der sie betref­fen­den Daten zu ver­lan­gen (“Recht auf Ver­ges­sen­wer­den”). Der­sel­be Anspruch wird in Arti­kel 28 E‑DSG ein­ge­führt, sodass die Rege­lung gegen­über pri­va­ten und öffent­li­chen Ver­ant­wort­li­chen über­ein­stimmt (vgl. Ziff. 9.1.6). An der kon­kre­ten Rechts­la­ge ändert sich indes­sen nichts. In Absatz 2 Buch­sta­be a wird im Ver­gleich zu Arti­kel 25 Absatz 3 Buch­sta­be 3 DSG der letz­te Teil­satz betref­fend die Sper­rung der Bekannt­ga­be an Drit­te gelöscht, weil der Wider­spruch gegen die Bekannt­ga­be von Daten abschlie­ssend durch Arti­kel 33 E‑DSG gere­gelt ist. Der Wider­spruch nach Arti­kel 33 E‑DSG ist nicht an die wider­recht­li­che Bear­bei­tung gebun­den, was bei den Ansprü­chen nach Arti­kel 37 der Fall ist. Bei­be­hal­ten wird aller­dings in Buch­sta­be b die­ser Bestim­mung die Mög­lich­keit, dass die betrof­fe­ne Per­son vom Bun­des­or­gan ver­lan­gen kann, den Ent­scheid über den Wider­spruch gegen die Bekannt­ga­be nach Arti­kel 33 zu ver­öf­fent­li­chen. Arti­kel 33 sieht dies nicht vor, aber es erscheint sinn­voll, dass die betrof­fe­ne Per­son dies zumin­dest im Fal­le der wider­recht­li­chen Bekannt­ga­be ver­lan­gen kann. Abs. 3 Ein­schrän­kung der Bearbeitung In Absatz 3 ist eine Mass­nah­me vor­ge­se­hen, die weni­ger radi­kal ist als die Löschung oder Ver­nich­tung der bestrit­te­nen Per­so­nen­da­ten: die Ein­schrän­kung der Bear­bei­tung. Die­se Rege­lung ent­spricht Arti­kel 16 Absatz 3 der Richt­li­nie (EU) 2016/680, nach dem der Ver­ant­wort­li­che die Bear­bei­tung ein­schrän­ken kann, anstatt die bestrit­te­nen Daten zu löschen, wenn die betrof­fe­ne Per­son die Rich­tig­keit der Daten bestrei­tet und die Rich­tig­keit oder Unrich­tig­keit nicht fest­ge­stellt wer­den kann oder wenn Daten für Beweis­zwecke wei­ter auf­be­wahrt wer­den müs­sen. Arti­kel 18 der Ver­ord­nung (EU) 2016/679 geht wei­ter, da die betrof­fe­ne Per­son gemäss die­ser Bestim­mung einen Anspruch hat, die Ein­schrän­kung der Bear­bei­tung zu ver­lan­gen. Im E‑SEV 108 hin­ge­gen ist die Ein­schrän­kung der Bear­bei­tung nicht ent­hal­ten. Absatz 3 ist in dem Sin­ne aus­zu­le­gen, dass die Daten wei­ter bear­bei­tet wer­den dür­fen, jedoch nur zu bestimm­ten Zwecken. Es geht nicht dar­um, jeg­li­che Art der Daten­be­ar­bei­tung aus­zu­schlie­ssen. Gemäss dem Erwä­gungs­grund 47 der Richt­li­nie (EU) 2016/680 ist die Ein­schrän­kung der Bear­bei­tung so zu ver­ste­hen, dass das Bun­des­or­gan die betref­fen­den Daten nur zu dem Zweck bear­bei­ten darf, der ihrer Löschung ent­ge­gen­stand. Absatz 3 sieht dafür vier Kon­stel­la­tio­nen vor. Nach Absatz 3 Buch­sta­be a muss das Bun­des­or­gan die Bear­bei­tung der Per­so­nen­da­ten ein­schrän­ken, wenn die betrof­fe­ne Per­son die Rich­tig­keit der Per­so­nen­da­ten bestrei­tet und weder deren Rich­tig­keit noch Unrich­tig­keit fest­ge­stellt wer­den kann. In die­sem Fall bedeu­tet die Ein­schrän­kung der Bear­bei­tung, dass das Bun­des­or­gan die bestrit­te­nen Daten aus­schliess­lich zum Zweck bear­bei­ten darf, deren Rich­tig­keit oder Unrich­tig­keit fest­zu­stel­len. Sobald die Rich­tig­keit der Daten fest­steht, darf das Bun­des­or­gan die Bear­bei­tung ohne Ein­schrän­kun­gen fort­set­zen. Erwei­sen sich die Per­so­nen­da­ten jedoch als unrich­tig, so muss das Bun­des­or­gan sie löschen oder ver­nich­ten, sofern im betref­fen­den Fall nicht Buch­sta­be b oder c anwend­bar ist. Absatz 3 Buch­sta­be b schreibt vor, dass das Bun­des­or­gan die Bear­bei­tung ein­schrän­ken muss, wenn über­wie­gen­de Inter­es­sen eines Drit­ten dies erfor­dern, zum Bei­spiel wenn die Löschung oder Ver­nich­tung bestimm­ter Daten eine drit­te Per­son dar­an hin­dern könn­te, ihre Rech­te vor Gericht aus­zu­üben. Das bedeu­tet, dass die Daten wei­ter bear­bei­tet wer­den dür­fen, jedoch nur, damit der betrof­fe­ne Drit­te sei­ne Rech­te aus­üben kann. Jede Bear­bei­tung zu einem ande­ren Zweck ist aus­ge­schlos­sen. Nach Absatz 3 Buch­sta­be c muss das Bun­des­or­gan die bestrit­te­nen Daten nicht löschen oder ver­nich­ten, wenn dies ein über­wie­gen­des öffent­li­ches Inter­es­se, nament­lich die inne­re oder äusse­re Sicher­heit der Schweiz, gefähr­den könn­te. Absatz 3 Buch­sta­be d schliess­lich hält fest, dass das Bun­des­or­gan die Daten nicht löschen oder ver­nich­ten muss, wenn dies eine Ermitt­lung, Unter­su­chung oder ein behörd­li­ches oder gericht­li­ches Ver­fah­ren gefähr­den kann. In die­sem Fall darf das Bun­des­or­gan die Per­so­nen­da­ten wei­ter­hin bear­bei­ten, jedoch aus­schliess­lich zu dem Zweck, der ihrer Löschung ent­ge­gen­stand, d. h. zur Fort­set­zung einer Ermitt­lung, einer Unter­su­chung oder eines Ver­fah­rens. Die Ein­schrän­kung der Bear­bei­tung bedeu­tet, dass die bestrit­te­nen Daten gekenn­zeich­net wer­den, damit ihre künf­ti­ge Bear­bei­tung aus­schliess­lich zum Zweck erfolgt, der ihrer Löschung oder Ver­nich­tung ent­ge­gen­stand. Die Kenn­zeich­nung muss klar sein. Sie kann in der Pra­xis bedeu­ten, dass die bestrit­te­nen Daten vor­über­ge­hend in ein ande­res Bear­bei­tungs­sy­stem ver­scho­ben wer­den oder dass den Benut­ze­rin­nen und Benut­zern der Zugriff auf die Daten ver­un­mög­licht wird. In Syste­men für eine auto­ma­ti­sier­te Daten­be­ar­bei­tung soll­te die Ein­schrän­kung der Bear­bei­tung grund­sätz­lich mit tech­ni­schen Mit­teln gewähr­lei­stet wer­den, sodass die Daten nicht zu ande­ren Zwecken als jenen nach Absatz 3 wei­ter bear­bei­tet oder ver­än­dert wer­den kön­nen. Abs. 4 Bestreitungsvermerk Die­se Bestim­mung ent­hält den soge­nann­ten Bestrei­tungs­ver­merk, der unver­än­dert aus dem bis­he­ri­gen Recht (Art. 25 Abs. 2 DSG) über­nom­men wur­de. Dem­nach kann bei Daten ein ent­spre­chen­der Ver­merk ange­bracht wer­den, wenn weder die Rich­tig­keit noch die Unrich­tig­keit der Daten end­gül­tig fest­ge­stellt wer­den kann. Abs. 5 Bestän­de öffent­li­cher Gedächtnisinstitutionen Nach Absatz 5 kann die Berich­ti­gung, Löschung oder Ver­nich­tung von Daten nicht ver­langt wer­den in Bezug auf die Bestän­de von öffent­lich zugäng­li­chen Biblio­the­ken, Bil­dungs­ein­rich­tun­gen, Muse­en, Archi­ven oder ande­ren öffent­li­chen Gedächt­nis­in­sti­tu­tio­nen. Die Aus­nah­me hat inso­fern eine beschränk­te Trag­wei­te, als vie­le die­ser Insti­tu­tio­nen unter das kan­to­na­le Daten­schutz­recht fal­len. Die Bestim­mung bezieht sich auf öffent­li­che Insti­tu­tio­nen, deren Tätig­keit ins­be­son­de­re dar­in besteht, Doku­men­te aller Art (auch digi­ta­le) zu sam­meln, zu erschlie­ssen, zu erhal­ten und zu ver­mit­teln. Die­sem spe­zi­fi­schen Bear­bei­tungs­zweck wür­de eine Berich­ti­gung, Löschung oder Ver­nich­tung ent­ge­gen­ste­hen, soweit sie sich auf die Archiv­be­stän­de sol­cher Insti­tu­tio­nen bezieht. Auch der Bestrei­tungs­ver­merk nach Absatz 4 die­ses Arti­kels kommt nicht zur Anwen­dung. Denn die­se Bestän­de sol­len mit­tels Doku­men­ten einen Moment in der Ver­gan­gen­heit abbil­den, was nur mög­lich ist, wenn die­se Doku­men­te ori­gi­nal­ge­treu und damit unver­än­dert im Archiv ent­hal­ten sind. Dar­an besteht ein erheb­li­ches öffent­li­ches Inter­es­se, das sich aus der Infor­ma­ti­ons­frei­heit (Art. 16 Abs. 3 BV) ergibt. Der zwei­te Satz in Absatz 5 ermög­licht es jedoch der betrof­fe­nen Per­son, zu ver­lan­gen, dass die frag­li­che Insti­tu­ti­on den Zugang zu den umstrit­te­nen Daten beschränkt. Hier­für muss die betrof­fe­ne Per­son jedoch ein über­wie­gen­des Inter­es­se glaub­haft machen. Die­se Aus­nah­me ist ins­be­son­de­re im Hin­blick auf die zuneh­men­de Ten­denz zu betrach­ten, umfang­rei­che Bestän­de öffent­lich zugäng­li­cher Gedächt­nis­in­sti­tu­tio­nen für jeder­mann im Inter­net zugäng­lich zu machen. Dadurch redu­ziert sich der Auf­wand für geziel­te Recher­chen, wäh­rend gleich­zei­tig der Kreis der Per­so­nen, die auf den frag­li­chen Bestand zugrei­fen kön­nen, erheb­lich erwei­tert wird. Das Gesetz muss daher für sol­che Fäl­le eine dif­fe­ren­zier­te Inter­es­sen­ab­wä­gung erlau­ben. Dabei ste­hen sich das öffent­li­che Inter­es­se an einem unver­fälsch­ten und unein­ge­schränk­ten Zugang zu Doku­men­ten und das Inter­es­se der betrof­fe­nen Per­son gegen­über, dass unwah­re oder per­sön­lich­keits­ver­let­zen­de Infor­ma­tio­nen über sie nicht all­ge­mein zugäng­lich sind. Wie sich aus Satz 1 von Absatz 5 ergibt, geht in Bezug auf Archi­ve und ähn­li­che Insti­tu­tio­nen das öffent­li­che Inter­es­se am frei­en und unver­fälsch­ten Zugang grund­sätz­lich vor. Ein über­wie­gen­des Inter­es­se der betrof­fe­nen Per­son ist hin­ge­gen nur anzu­neh­men, wenn ihr auf­grund des frei­en Zugangs erheb­li­che per­sön­li­che Nach­tei­le erwach­sen, die sie auch in der Zukunft wesent­lich ein­schrän­ken kön­nen (z. B. in ihrem beruf­li­chen Fort­kom­men). Die­se Nach­tei­le sind zudem in Bezie­hung zu set­zen zum archi­va­ri­schen Wert der umstrit­te­nen Daten, der sich bei­spiels­wei­se aus der histo­ri­schen Bedeu­tung, der Art oder dem Inhalt des Doku­ments erge­ben kann. Ein über­wie­gen­des Inter­es­se auf Sei­ten der betrof­fe­nen Per­son ist nament­lich dann anzu­neh­men, wenn der archi­va­ri­sche Wert der Daten und damit auch die Bedeu­tung des unein­ge­schränk­ten öffent­li­chen Zugangs als gering erscheint im Ver­hält­nis zu den erheb­li­chen Ein­schrän­kun­gen der betrof­fe­nen Per­son. In die­sem Fall kann die betrof­fe­ne Per­son ver­lan­gen, dass die Insti­tu­ti­on den Zugang zu den umstrit­te­nen Daten beschränkt. Die Beschrän­kung ist im Ein­zel­fall so aus­zu­ge­stal­ten, dass sie im Hin­blick auf die in Fra­ge ste­hen­den Inter­es­sen ver­hält­nis­mä­ssig erscheint. So kann es häu­fig bereits aus­rei­chen, dass ein Doku­ment nicht im Inter­net, son­dern nur in phy­si­schen Archi­ven zugäng­lich ist. In Ein­zel­fal­len wäre auch denk­bar, den Zugang zu einem Doku­ment ledig­lich Per­so­nen zu gewäh­ren, die ihn für ihre wis­sen­schaft­li­che oder jour­na­li­sti­sche Tätig­keit­be­nö­ti­gen. Nicht unter Absatz 5 fal­len hin­ge­gen Daten­be­ar­bei­tun­gen sol­cher Insti­tu­tio­nen, die nicht im Zusam­men­hang mit den Bestän­den ste­hen und zu ande­ren Zwecken erfol­gen, wie bei­spiels­wei­se Benut­zer­kon­ten der Biblio­the­ken oder Per­so­nal­dos­siers. Für die­se Bear­bei­tun­gen ste­hen der betrof­fe­nen Per­son die Ansprü­che in Arti­kel 37 unein­ge­schränkt offen. 

Die­se Bestim­mung ent­spricht Arti­kel 25 DSG. Sie bleibt mate­ri­ell unverändert. 

Abs. 1 Ernennungsverfahren Das Ernen­nungs­ver­fah­ren der oder des Beauf­trag­ten bleibt nach Absatz 1 unver­än­dert, weil es mit den Anfor­de­run­gen der Richt­li­nie (EU) 2016/680 und des E‑SEV 108 über­ein­stimmt. Der E‑SEV 108 ent­hält kei­ne Bestim­mung zum Modus für die Wahl oder Ernen­nung der Auf­sichts­be­hör­de. Arti­kel 43 der Richt­li­nie (EU) 2016/680 ver­pflich­tet die Schen­gen-Staa­ten zur Rege­lung des Ernen­nungs­ver­fah­rens, lässt ihnen jedoch die Wahl zwi­schen einer Ernen­nung durch das Par­la­ment, die Regie­rung, das Staats­ober­haupt oder durch eine unab­hän­gi­ge Stel­le. In Arti­kel 53 der Ver­ord­nung (EU) 2016/679 ist für die Mit­glied­staa­ten der Euro­päi­schen Uni­on die­sel­be Lösung vor­ge­se­hen. Der Bun­des­rat hat den Vor­schlag ver­schie­de­ner Ver­nehm­las­sungs­teil­neh­mer, eine Wahl durch das Par­la­ment ein­zu­füh­ren, geprüft. Aus fol­gen­den Grün­den ist er zum Schluss gekom­men, dass die­se Ände­rung nicht ange­mes­sen ist. Das aktu­el­le Ver­fah­ren bie­tet hin­rei­chen­de Garan­tien für die Unab­hän­gig­keit der oder des Beauf­trag­ten gegen­über der Exe­ku­ti­ve. Denn die Bun­des­ver­samm­lung kann die Zustim­mung zur Ernen­nung des Bun­des­ra­tes ver­wei­gern. Der Bun­des­rat ist auch nicht über­zeugt, dass eine Wahl durch das Par­la­ment die Unab­hän­gig­keit der oder des Beauf­trag­ten stär­ken wür­de. Denn sie könn­te durch Inter­es­sen­grup­pen beein­flusst wer­den. Ausser­dem bie­tet die Ernen­nung durch den Bun­des­rat unter Vor­be­halt der Geneh­mi­gung durch das Par­la­ment die Mög­lich­keit, dass die oder der Beauf­trag­te admi­ni­stra­tiv wei­ter­hin der Bun­des­kanz­lei ange­glie­dert blei­ben kann. Das wäre bei einer Wahl durch das Par­la­ment nicht mehr mög­lich. Soll­te die oder der Beauf­trag­te nicht mehr Teil der Bun­des­ver­wal­tung sein, ist nicht aus­ge­schlos­sen, dass es für sie oder ihn schwie­ri­ger wäre, die Auf­sicht über die Bun­des­or­ga­ne wahr­zu­neh­men und sie bei einer Unter­su­chung zur Mit­wir­kung zu bewe­gen. Wenn die oder der Beauf­trag­te durch das Par­la­ment gewählt wür­de, müss­te sie oder er schliess­lich auch finan­zi­ell unab­hän­gig sein, so wie bei­spiels­wei­se die Eid­ge­nös­si­sche Finanz­kon­trol­le. Abs. 3 Stellung Absatz 3 erster Satz kon­kre­ti­siert die Unab­hän­gig­keit der oder des Beauf­trag­ten mit der Prä­zi­sie­rung, dass sie oder er kei­ne Wei­sun­gen einer Behör­de oder eines Drit­ten ein­ho­len oder erhal­ten darf. Die­se Ände­rung berück­sich­tigt die Anfor­de­run­gen von Arti­kel 12Absatz 4 E‑SEV 108 und von Arti­kel 42 Absät­ze 1 und 2 der Richt­li­nie (EU) 2016/680, der den­sel­ben Wort­laut hat wie Arti­kel 52 Absät­ze 1 und 2 der Ver­ord­nung (EU) 2016/679. Abs. 2, 4 und 5 Die­se Bestim­mun­gen blei­ben im Ver­hält­nis zum aktu­el­len Recht (Art. 26 Abs. 2, 4 und 5 DSG) mate­ri­ell unver­än­dert. Der Beauf­trag­te ist der Ansicht, dass die Rege­lung sei­nes Bud­gets auf­grund sei­ner Auf­sichts­funk­ti­on der Rege­lung für die Eid­ge­nös­si­sche Finanz­kon­trol­le anzu­glei­chen wäre. 

Gegen­wär­tig kann die oder der Beauf­trag­te für eine unbe­schränk­te Zahl von Amts­dau­ern wie­der­ge­wählt wer­den. Die­ser Grund­satz wird in Absatz 1 zur Umset­zung der Anfor­de­run­gen von Arti­kel 44 Absatz 1 Buch­sta­be e der Richt­li­nie (EU) 2016/680 geän­dert. Die­ser sieht vor, dass die Schen­gen-Staa­ten regeln müs­sen, ob und wenn ja wie oft das Mit­glied oder die Mit­glie­der der Auf­sichts­be­hör­de wie­derernannt wer­den kön­nen. Gemäss die­ser Bestim­mung haben die Schen­gen-Staa­ten also die Wahl, ob und wie oft eine Wie­der­ernen­nung der Auf­sichts­be­hör­de mög­lich ist. Arti­kel 54 Absatz 1 Buch­sta­be e der Ver­ord­nung (EU) 2016/679 ent­hält eine ähn­li­che Rege­lung. Ent­spre­chend dem Hand­lungs­spiel­raum, den Arti­kel 44 der Richt­li­nie (EU) 2016/680 gewährt, schlägt der Bun­des­rat vor, dass die oder der Beauf­trag­te zwei Mal wie­derernannt wer­den kann. Die­se bzw. die­ser kann daher für höch­stens zwölf Jah­re im Amt blei­ben. Durch die­se Mass­nah­me soll die Unab­hän­gig­keit der oder des Beauf­trag­ten als Behör­de gestärkt wer­den. Sie oder er soll nicht aus Furcht, nicht wie­der­ge­wählt zu wer­den, in der Erfül­lung des gesetz­li­chen Auf­trags zurück­ge­hal­ten wer­den. Wenn die oder der Beauf­trag­te wäh­rend der Amts­dau­er das Pen­si­ons­al­ter erreicht, endet das Arbeits­ver­hält­nis auto­ma­tisch bei Errei­chen des Alters nach Arti­kel 21 des Bun­des­ge­set­zes vom 20. Dezem­ber 1946 über die Alters- und Hin­ter­las­se­nen­ver­si­che­rung (AHVG) (Art. 10 Abs. 1 des Bun­des­per­so­nal­ge­set­zes vom 24. März 2000 (BPG)in Ver­bin­dung mit Art. 14 Abs. 1 BPG). Die Absät­ze 2, 3 und 4 blei­ben im Ver­hält­nis zu Arti­kel 26a DSG mate­ri­ell unverändert. 

In Arti­kel 41 wer­den die Vor­aus­set­zun­gen für die Aus­übung einer Neben­be­schäf­ti­gung durch die Beauf­trag­te oder den Beauf­trag­ten ver­schärft. Mit die­ser Bestim­mung wer­den die Anfor­de­run­gen von Arti­kel 42 Absatz 3 der Richt­li­nie (EU) 2016/680 umge­setzt, die den­sel­ben Wort­laut hat wie Arti­kel 52 Absatz 3 der Ver­ord­nung (EU) 2016/679. Die Bestim­mung gilt nur für die oder den Beauf­tra­gen. Die Stell­ver­tre­te­rin oder der Stell­ver­tre­ter sowie das Sekre­ta­ri­at unter­ste­hen dem BPG. Nach Arti­kel 26b DSG ist ledig­lich vor­ge­se­hen, dass der Bun­des­rat der oder dem Beauf­trag­ten gestat­ten kann, eine ande­re Beschäf­ti­gung aus­zu­üben, wenn dadurch deren oder des­sen Unab­hän­gig­keit und Anse­hen nicht beein­träch­tigt wer­den. Arti­kel 41 Absatz 1 erster Satz hält hin­ge­gen den Grund­satz fest, wonach die oder der Beauf­trag­te kei­ne zusätz­li­che Erwerbs­tä­tig­keit aus­üben darf. Der zwei­te Satz prä­zi­siert, dass sie oder er auch kein Amt der Eid­ge­nos­sen­schaft oder eines Kan­tons beklei­den darf. Der Begriff des Kan­tons ist in einem wei­ten Sin­ne zu ver­ste­hen und erfasst auch die Gemein­den, Bezir­ke, Krei­se und Kör­per­schaf­ten des öffent­li­chen Rechts. Absatz 1, zwei­ter Satz schreibt dar­über hin­aus vor, dass die oder der Beauf­trag­te auch nicht als Mit­glied der Geschäfts­lei­tung, des Ver­wal­tungs­rats, oder der Auf­sichts- oder Revi­si­ons­stel­le eines Han­dels­un­ter­neh­mens tätig sein darf. Dies gilt unab­hän­gig davon, ob eine sol­che Tätig­keit ver­gü­tet wür­de oder nicht. Absatz 2 beschränkt die Trag­wei­te von Absatz 1. Er sieht vor, dass der Bun­des­rat der oder dem Beauf­trag­ten unter bestimm­ten Vor­aus­set­zun­gen erlau­ben kann, eine Neben­be­schäf­ti­gung aus­zu­üben. Der Ent­scheid des Bun­des­ra­tes wird veröffentlicht. 

Die­se Bestim­mung ver­pflich­tet den Beauf­trag­ten, geeig­ne­te Kon­troll­mass­nah­men zu tref­fen, ins­be­son­de­re in Bezug auf die Sicher­heit der Per­so­nen­da­ten und den rechts­kon­for­men Voll­zug der bun­des­recht­li­chen Daten­schutz­vor­schrif­ten. Der Bun­des­rat wird die zu ergrei­fen­den Mass­nah­men in der künf­ti­gen Ver­ord­nung konkretisieren. 

Nach gel­ten­dem Recht unter­schei­det sich das Ver­fah­ren je nach­dem, ob es die Auf­sichts­tä­tig­keit des Beauf­trag­ten im pri­va­ten Sek­tor oder im öffent­li­chen Sek­tor betrifft. Wäh­rend Arti­kel 27 DSG dem Beauf­trag­ten die Auf­ga­be über­trägt, die Daten­be­ar­bei­tung durch Bun­des­or­ga­ne zu über­wa­chen, bestimmt Arti­kel 29 Absatz 1 Buch­sta­ben a – c DSG, dass die­ser eine Unter­su­chung gegen eine Pri­vat­per­son eröff­net, wenn Bear­bei­tungs­me­tho­den geeig­net sind, die Per­sön­lich­keit einer grö­ße­ren Anzahl von Per­so­nen zu ver­let­zen, Daten­samm­lun­gen gemäss Arti­kel 11a DSG regi­striert wer­den müs­sen oder eine Infor­ma­ti­ons­pflicht nach Arti­kel 6 Absatz 3 besteht. Die Über­wa­chungs­kom­pe­ten­zen des Beauf­trag­ten gegen­über dem Pri­vat­sek­tor erfül­len der­zeit nicht die Anfor­de­run­gen des E‑SEV 108. So sieht deren Arti­kel 12keine Begren­zung der Ermitt­lungs- und Ein­griffs­be­fug­nis­se der Auf­sichts­be­hör­de gegen­über den Ver­ant­wort­li­chen vor. Abs. 1 Eröff­nung der Untersuchung Gemäss Arti­kel 43 Absatz 1 E‑DSG eröff­net der Beauf­trag­te von Amtes wegen oder auf Anzei­ge hin eine Unter­su­chung, wenn Anzei­chen bestehen, dass eine Daten­be­ar­bei­tung gegen die Daten­schutz­vor­schrif­ten ver­sto­ssen könn­te. Die Anzei­ge kann durch einen Drit­ten oder durch die betrof­fe­ne Per­son erfol­gen. Die Per­son, die Anzei­ge erstat­tet, hat im Ver­fah­ren jedoch kei­ne Par­tei­stel­lung (Art. 46 Abs. 2 e con­tra­rio). Falls hin­ge­gen die betrof­fe­ne Per­son Anzei­ge erstat­tet hat, muss der Beauf­trag­te sie über sein wei­te­res Vor­ge­hen und das Ergeb­nis einer all­fäl­li­gen Unter­su­chung infor­mie­ren (Abs. 4). Die betrof­fe­ne Per­son muss ihre Rech­te mit den anwend­ba­ren Rechts­mit­teln gel­tend machen, d. h. sie kann bei einem Zivil­ge­richt Kla­ge erhe­ben, wenn der Ver­ant­wort­li­che eine pri­va­te Per­son ist, oder sie kann gegen den Ent­scheid des ver­ant­wort­li­chen Bun­des­or­gans Beschwer­de erhe­ben. Dies ent­spricht dem gel­ten­den Recht. Abs. 2 Ver­zicht auf die Eröff­nung einer Untersuchung Der Beauf­trag­te kann von der Eröff­nung einer Unter­su­chung abse­hen, wenn die Ver­let­zung der Daten­schutz­vor­schrif­ten von gering­fü­gi­ger Bedeu­tung ist. Das wäre etwa der Fall, wenn ein Sport- oder Kul­tur­ver­ein allen sei­nen Mit­glie­dern eine E‑Mail-Nach­richt sen­det, ohne die Iden­ti­tät der Emp­fän­ge­rin­nen und Emp­fän­ger zu ver­ber­gen. Absatz 2 kann auch zur Anwen­dung gelan­gen, wenn der Beauf­trag­te der Auf­fas­sung ist, dass die Bera­tung des Ver­ant­wort­li­chen aus­reicht, um eine an sich kaum pro­ble­ma­ti­sche Situa­ti­on zu besei­ti­gen. Abs. 3 Mitwirkungspflichten Absatz 3 regelt die Mit­wir­kungs­pflich­ten der pri­va­ten Per­son und des Bun­des­or­gans, indem die Rege­lung nach den Arti­keln 27 Absatz 3 und 29 Absatz 2 DSG über­nom­men wird. Die Ver­fah­ren­s­par­tei hat dem Beauf­trag­ten sämt­li­che Aus­künf­te zu ertei­len und alle Unter­la­gen zur Ver­fü­gung zu stel­len, wel­che die­ser für die Unter­su­chung benö­tigt. In Absatz 3 zwei­ter Satz ist fest­ge­hal­ten, dass sich das Aus­kunfts- ver­wei­ge­rungs­recht nach den Arti­keln 16 und 17 VwVG rich­tet. Arti­kel 16 Absatz 1 VwVG ver­weist auf Arti­kel 42 Absät­ze 1 und 3 des Bun­des­ge­set­zes vom 4. Dezem­ber 1947 über den Bun­des­zi­vil­pro­zess. Nach die­ser Bestim­mung kön­nen die befrag­ten Per­so­nen das Zeug­nis ver­wei­gern, wenn die Beant­wor­tung der Fra­ge sie der Gefahr der straf­ge­richt­li­chen Ver­fol­gung aus­set­zen kann. Dabei geht es um die Per­so­nen, die die Geheim­nis­se nach den Arti­keln 321, 321 und 321StGB wah­ren müs­sen. So kön­nen Ärz­tin­nen und Ärz­te bei­spiels­wei­se ver­wei­gern, dem Beauf­trag­ten Per­so­nen­da­ten über ihre Pati­en­tin­nen und Pati­en­ten zu lie­fern, falls die­se dem nicht zustim­men. Das­sel­be gilt für die Rechts­an­wäl­tin­nen und Rechts­an­wäl­te und ihre Kund­schaft. Arti­kel 90 der Ver­ord­nung (EU) 2016/679 sieht eben­falls vor, dass die Mit­glied­staa­ten die Befug­nis­se der Auf­sichts­be­hör­den gegen­über den Ver­ant­wort­li­chen oder den Auf­trags­be­ar­bei­tern, die nach inner­staat­li­chem Recht dem Berufs­ge­heim­nis oder einer gleich­wer­ti­gen Geheim­hal­tungs­pflicht unter­lie­gen, regeln. 

Die­se Bestim­mung erfüllt die Anfor­de­run­gen von Arti­kel 12Absatz 2 Buch­sta­be a E‑SEV 108, wonach die Auf­sichts­be­hör­de über Ermitt­lungs- und Ein­griffs­be­fug­nis­se ver­fü­gen muss. Auch Arti­kel 47 Absatz 1 der Richt­li­nie (EU) 2016/680 bestimmt, dass die Schen­gen-Staa­ten wirk­sa­me Unter­su­chungs­be­fug­nis­se für die Auf­sichts­be­hör­de vor­zu­se­hen haben, nament­lich die Befug­nis, vom Ver­ant­wort­li­chen Zugang zu allen Daten, die ver­ar­bei­tet wer­den, und zu allen für die Erfül­lung ihrer Auf­ga­ben not­wen­di­gen Infor­ma­tio­nen zu erhal­ten. Die Ver­ord­nung (EU) 2016/679 wie­der­um sieht in Arti­kel 58 Absatz 1 Buch­sta­ben e und f eine ana­lo­ge Rege­lung vor. Abs. 1 Untersuchungsmassnahmen Die Mass­nah­men nach Absatz 1 dür­fen nur ange­ord­net wer­den, wenn eine Unter­su­chung eröff­net wor­den ist und soweit die pri­va­te Per­son oder das Bun­des­or­gan ihren Mit­wir­kungs­pflich­ten nicht nach­kom­men. Der Beauf­trag­te kann die Mass­nah­men nach den Buch­sta­ben a – d mit ande­ren Wor­ten nur anord­nen, wenn er ver­geb­lich ver­sucht hat, die Mit­wir­kung des Ver­ant­wort­li­chen ein­zu­ho­len. Der Kata­log der Mass­nah­men nach Absatz 1 gleicht jenem nach Arti­kel 12 VwVG. Es han­delt sich um eine nicht abschlie­ssen­de Liste. Der Beauf­trag­te ist unter ande­rem befugt, Zugang zu allen Aus­künf­ten, Unter­la­gen, Bear­bei­tungs­ver­zeich­nis­sen und Per­so­nen­da­ten ver­lan­gen, die für die Unter­su­chung erfor­der­lich sind (Bst. a) oder Zugang zu Räum­lich­kei­ten und Anla­gen zu ver­lan­gen (Bst. b). Wie alle Bun­des­be­hör­den muss er die gel­ten­den Rechts­vor­schrif­ten beach­ten, nament­lich jene zum Daten­schutz und zur Wah­rung von Fabri­ka­ti­ons- und Geschäfts­ge­heim­nis­sen. Er unter­steht ausser­dem dem Amts­ge­heim­nis nach Arti­kel 22 BPG. Folg­lich ist die ver­trau­li­che Behand­lung der Per­so­nen­da­ten gewähr­lei­stet, zu denen er in Aus­übung sei­ner Auf­sichts­auf­ga­ben Zugang erhält , nament­lich wenn er die Per­son, die Anzei­ge­er­stat­tet hat, über das Ergeb­nis einer all­fäl­li­gen Unter­su­chung infor­miert (Art. 43 Abs. 4) oder wenn er sei­nen Tätig­keits­be­richt nach Arti­kel 51 E‑DSG ver­öf­fent­licht. Abs. 2 Vor­sorg­li­che Massnahmen Die­se Bestim­mung ver­leiht dem Beauf­trag­ten die Befug­nis, für die Dau­er der Unter­su­chung vor­sorg­li­che Mass­nah­men anzu­ord­nen und sie durch eine Bun­des­be­hör­de oder die kan­to­na­len oder kom­mu­na­len Poli­zei­or­ga­ne voll­strecken zu las­sen. Der aktu­ell gel­ten­de Arti­kel 33 Absatz 2 DSG sieht vor, dass der Beauf­trag­te dem Prä­si­den­ten der für den Daten­schutz zustän­di­gen Abtei­lung des Bun­des­ver­wal­tungs­ge­richts vor­sorg­li­che Mass­nah­men bean­tra­gen kann, wenn er bei einer Unter­su­chung gegen eine pri­va­te Per­son oder gegen ein Bun­des­or­gan fest­stellt, dass den betrof­fe­nen Per­so­nen ein nicht leicht wie­der­gut­zu­ma­chen­der Nach­teil droht. Da Arti­kel 45 E‑DSG dem Beauf­trag­ten Ver­fü­gungs­kom­pe­ten­zen erteilt, braucht es das Bun­des­ver­wal­tungs­ge­richt für die Anord­nung vor­sorg­li­cher Mass­nah­men nicht mehr und die ent­spre­chen­de Bestim­mung kann dem­zu­fol­ge gestri­chen wer­den. Das Ver­fah­ren für Beschwer­den gegen vor­sorg­li­che Mass­nah­men rich­tet sich nach Arti­kel 44 ff. VwVG. Die auf­schie­ben­de Wir­kung der Beschwer­de wird durch Arti­kel 55 VwVG gere­gelt. Die neu­en Unter­su­chungs­be­fug­nis­se des Beauf­trag­ten sind im Hin­blick auf Arti­kel 45 der Ver­ord­nung (EU) 2016/679 ein ent­schei­den­des Ele­ment, um sicher­zu­stel­len, dass die Euro­päi­sche Kom­mis­si­on den Ange­mes­sen­heits­be­schluss gegen­über der Schweiz erneu­ert bzw. aufrechterhält. 

Arti­kel 45 E‑DSG setzt Arti­kel 47 Absatz 2 der Richt­li­nie (EU) 2016/680 um und erfüllt die Emp­feh­lun­gen der Schen­gen-Eva­lua­to­ren, dem Beauf­trag­ten Ver­fü­gungs­kom­pe­ten­zen zu ertei­len. Arti­kel 58 Absatz 2 der Ver­ord­nung (EU) 2016/679 zählt alle Mass­nah­me­kom­pe­ten­zen auf, über wel­che die Auf­sichts­be­hör­de ver­fü­gen soll­te. Neben den Mass­nah­men gemäss Arti­kel 47 Absatz 2 der Richt­li­nie (EU) 2016/680 sind dies laut Ver­ord­nung nament­lich das Ver­hän­gen von Ver­wal­tungs­bus­sen (Art. 58 Abs. 2 Bst. i) und die Anord­nung, die Über­mitt­lung von Daten an einen Emp­fän­ger in einem Dritt­land oder an eine inter­na­tio­na­le Orga­ni­sa­ti­on aus­zu­set­zen (Bst. j). Arti­kel 45 E‑DSG ent­spricht weit­ge­hend den Anfor­de­run­gen von Arti­kel 12Absatz 2 Buch­sta­be c und Absatz 6 E‑SEV108. Aller­dings schlägt der Bun­des­rat vor, dem Beauf­trag­ten kei­ne Kom­pe­tenz zu geben, Ver­wal­tungs­sank­tio­nen aus­zu­spre­chen, son­dern ihm viel­mehr die Kom­pe­tenz zu ver­lei­hen, bestimm­te Ver­wal­tungs­mass­nah­men anzu­ord­nen, deren Miss­ach­tung straf­recht­lich geahn­det wer­den kann (Art. 57 E‑DSG). Arti­kel 45 E‑DSG lässt dem Beauf­trag­ten einen gro­ssen Hand­lungs­spiel­raum. Denn es han­delt sich um eine Kann-Bestim­mung und er ist nicht ver­pflich­tet, Ver­wal­tungs­mass­nah­men zu ergrei­fen. Die Bestim­mung umfasst zwei Kate­go­rien von Mass­nah­men. Die erste Kate­go­rie besteht aus einer Rei­he von Mass­nah­men gegen Daten­be­ar­bei­tun­gen, die gegen die Daten­schutz­vor­schrif­ten ver­sto­ssen (Abs. 1, 2 und 4). Die Mass­nah­men rei­chen von einer ein­fa­chen Ver­war­nung (Abs. 4) über die Ver­fü­gung, Per­so­nen­da­ten zu ver­nich­ten (Abs. 1) bis hin zum Ver­bot, Per­so­nen­da­ten ins Aus­land bekannt zu geben (Abs. 2). Grund­satz die­ser Rege­lung ist die Wah­rung der Ver­hält­nis­mä­ssig­keit. So kann der Beauf­trag­te, anstatt den Abbruch der Bear­bei­tung anzu­ord­nen, deren Ände­rung anord­nen und die Mass­nah­me nur auf den pro­ble­ma­ti­schen Teil der Bear­bei­tung beschrän­ken. Wenn die Par­tei des Unter­su­chungs­ver­fah­rens wäh­rend der Unter­su­chung die erfor­der­li­chen Mass­nah­men getrof­fen hat, um die Ein­hal­tung der Daten­schutz­vor­schrif­ten wie­der­her­zu­stel­len, kann der Beauf­trag­te sich auch dar­auf beschrän­ken, eine Ver­war­nung aus­zu­spre­chen (Abs. 4). Die zwei­te Mass­nah­men­ka­te­go­rie betrifft die Fäl­le, in denen Ord­nungs­vor­schrif­ten oder Pflich­ten gegen­über der betrof­fe­nen Per­son nicht beach­tet wer­den (Abs. 3). Der Beauf­trag­te kann unter ande­rem ver­fü­gen, dass das Bun­des­or­gan oder die pri­va­te Per­son eine Daten­schutz-Fol­gen­ab­schät­zung nach Arti­kel 20 vor­nimmt (Bst. d) oder der betrof­fe­nen Per­son die Aus­künf­te nach Arti­kel 23 erteilt (Bst. g). Die Liste unter Absatz 3 ist nicht­ab­schlie­ssend. Der Beauf­trag­te infor­miert aus­schliess­lich die Par­tei­en des Unter­su­chungs­ver­fah­rens über sei­nen Ent­scheid. Gege­be­nen­falls infor­miert er gemäss Arti­kel 51 Abs. 2 E‑DSG die Öffent­lich­keit. Die ergrif­fe­ne Mass­nah­me muss aus­rei­chend begrün­det wer­den. Der Ver­ant­wort­li­che muss ins­be­son­de­re in der Lage sein, zu bestim­men, wel­che Daten­be­ar­bei­tun­gen unter den Beschluss des Beauf­trag­ten fal­len. Die betei­lig­ten Par­tei­en sind berech­tigt, gemäss den all­ge­mei­nen Bestim­mun­gen über die Bun­des­rechts­pfle­ge Beschwer­de zu erhe­ben (vgl. Art. 46). Gege­be­nen­falls kann der Beauf­trag­te die gegen­über dem Ver­ant­wort­li­chen ver­füg­te Mass­nah­me mit einer Straf­dro­hung ver­se­hen (Art. 57). 

Nach Absatz 1 unter­ste­hen das Unter­su­chungs­ver­fah­ren sowie jenes zum Erlass der Mass­nah­men nach den Arti­keln 44 und 45 dem Ver­wal­tungs­ver­fah­rens­ge­setz. Die pri­va­te Per­son oder das Bun­des­or­gan, die oder das in der Unter­su­chung Par­tei ist, hat Anspruch auf Gewäh­rung des recht­li­chen Gehörs (Art. 29 ff. VwVG). Absatz 2 prä­zi­siert, dass nur das Bun­des­or­gan oder die pri­va­te Per­son, gegen das bzw. die eine Unter­su­chung eröff­net wur­de, Ver­fah­ren­s­par­tei sein kann. Dem­entspre­chend kön­nen ledig­lich die­se gegen Ver­fü­gun­gen und Mass­nah­men, die der Beauf­trag­te gegen sie ergrif­fen hat, Beschwer­de erhe­ben. Die betrof­fe­ne Per­son ist nicht Par­tei, auch wenn der Beauf­trag­te die Unter­su­chung auf deren Anzei­ge hin eröff­net hat. Möch­te sie Rechts­an­sprü­che gegen einen pri­va­ten Ver­ant­wort­li­chen gel­tend machen, muss sie dies gemäss Arti­kel 28 E‑DSG tun, d. h. vor dem zustän­di­gen Zivil­ge­richt. Im öffent­li­chen Sek­tor muss die betrof­fe­ne Per­son gegen das ver­ant­wort­li­che Bun­des­or­gan vor­ge­hen (Art. 37), indem sie des­sen Ent­scheid bei der zustän­di­gen Beschwer­de­instanz anficht. Dies bleibt unver­än­dert zum gel­ten­den Recht. Nach Absatz 3 kann der Beauf­trag­te Beschwer­de­ent­schei­de des Bun­des­ver­wal­tungs­ge­richts anfech­ten, wie er dies bereits aktu­ell gemäss Arti­kel 27 Absatz 6 und 29 Absatz 4 DSG tun kann. 

Gewis­se Bun­des­be­hör­den beauf­sich­ti­gen Pri­va­te oder ausser­halb der Bun­des­ver­wal­tung ste­hen­de Orga­ni­sa­tio­nen. Dies ist etwa der Fall des Bun­des­amts für Gesund­heit in Bezug auf die Kran­ken­ver­si­che­run­gen oder der Eid­ge­nös­si­schen Finanz­markt­auf­sicht (FINMA) in Bezug auf die Ban­ken oder ande­re Finanz­dienst­lei­ste­rin­nen. Der Begriff “Orga­ni­sa­tio­nen ausser­halb der Bun­des­ver­wal­tung” ent­spricht der in Arti­kel 1 Absatz 2 Buch­sta­be e VwVG ver­wen­de­ten Bezeich­nung. Im Rah­men eines Auf­sichts­ver­fah­rens, das allen­falls zu einem Ent­scheid der zustän­di­gen Behör­de füh­ren kann, kön­nen sich daten­schutz­recht­li­che Fra­gen stel­len. Um die­ser Pro­ble­ma­tik Rech­nung zu tra­gen, sieht Absatz 1 vor, dass die Auf­sichts­be­hör­de den Beauf­trag­ten zur Stel­lung­nah­me ein­lädt. Hat der Beauf­trag­te eben­falls ein Ver­fah­ren nach Arti­kel 43 E‑DSG gegen die sel­be Par­tei eröff­net, müs­sen sich die Auf­sichts­be­hör­de und der Beauf­trag­te auf zwei Ebe­nen koor­di­nie­ren (Abs. 2): Einer­seits zur Abklä­rung, ob die bei­den Ver­fah­ren par­al­lel geführt wer­den kön­nen oder ob eines der Ver­fah­ren sus­pen­diert oder ein­ge­stellt wer­den soll und ande­rer­seits für den Inhalt ihres jewei­li­gen Ent­scheids, falls die Ver­fah­ren par­al­lel geführt wer­den. Im Fall von Kom­pe­tenz­kon­flik­ten ent­schei­det der Bun­des­rat (Art. 9 Abs. 3 VwVG). Die Koor­di­na­ti­on muss auf ein­fa­che und schnel­le Wei­se sicher­ge­stellt wer­den. Die betrof­fe­nen Ein­hei­ten müs­sen über den Aus­gang die­ser Koor­di­na­ti­on und die anwend­ba­re Gesetz­ge­bung infor­miert wer­den, damit sie mög­lichst schnell über ihre Rech­te und Pflich­ten im Kla­ren sind. 

D iese neue Bestim­mung regelt die Amts­hil­fe zwi­schen dem Beauf­trag­ten sowie den Behör­den des Bun­des und der Kan­to­ne. Der der­zeit gel­ten­de Arti­kel 31 Absatz 1 Buch­sta­be c DSG beschränkt sich dar­auf, den Beauf­trag­ten zur Zusam­men­ar­beit mit den Schwei­zer Daten­schutz­be­hör­den zu ver­pflich­ten. In Absatz 1 des neu­en Arti­kels wird der Grund­satz fest­ge­legt, dass die schwei­ze­ri­schen und kan­to­na­len Behör­den dem Beauf­trag­ten die Infor­ma­tio­nen und per­sön­li­chen Daten mit­zu­tei­len haben, wel­che für die Erfül­lung sei­ner gesetz­li­chen Auf­ga­ben erfor­der­lich sind. Es han­delt sich um eine Stan­dard­be­stim­mung zur Amts­hil­fe, die sich auch in vie­len ande­ren Bun­des­ge­set­zen fin­det. Absatz 2 bestimmt, dass der Beauf­trag­te Infor­ma­tio­nen und Daten den für den Daten­schutz zustän­di­gen kan­to­na­len Behör­den (Bst. a), den zustän­di­gen Straf­be­hör­den, falls es um die Anzei­ge einer Straf­tat gemäss Arti­kel 59 Absatz 2 E‑DSG geht (Bst. b), und den Bun­des­be­hör­den sowie den kan­to­na­len und kom­mu­na­len Poli­zei­be­hör­den für den Voll­zug der Mass­nah­men gemäss den Arti­keln 44 Absatz 2 und 45 E‑DSG (Bst. c) bekannt zu geben hat. Die in den Absät­zen 1 und 2 genann­te Bekannt­ga­be von Infor­ma­tio­nen kann spon­tan oder auf Anfra­ge erfolgen. 

Die­se neue Bestim­mung regelt die Amts­hil­fe zwi­schen dem Beauf­trag­ten und den aus­län­di­schen Daten­schutz­be­hör­den. Der der­zeit gel­ten­de Arti­kel 31 Absatz 1 Buch­sta­be c DSG beschränkt sich dar­auf, den Beauf­trag­ten zur Zusam­men­ar­beit mit den aus­län­di­schen Daten­schutz­be­hör­den zu ver­pflich­ten. Die neue Bestim­mung über­trägt Arti­kel 50 der Richt­li­nie (EU) 2016/680 ins Schwei­zer Recht. Sie erfüllt zudem die Anfor­de­run­gen von Arti­kel 15 und 16 E‑SEV 108. Die Ver­ord­nung (EU) 2016/679 sieht in Arti­kel 61 eine ana­lo­ge Rege­lung vor. Der Beauf­trag­te hät­te eine Ergän­zung der Bestim­mung befür­wor­tet, wonach er ermäch­tigt wür­de, die Moda­li­tä­ten der Zusam­men­ar­beit mit den aus­län­di­schen Daten­schutz­be­hör­den im Rah­men einer Ver­ein­ba­rung zu regeln. Der Bun­des­rat zieht es dage­gen vor, sich an die Kom­pe­tenz­de­le­ga­ti­on gemäss Arti­kel 61 E‑DSG zu hal­ten. Abs. 1 Voraussetzungen Gemäss die­ser Bestim­mung kann der Beauf­trag­te unter bestimm­ten Vor­aus­set­zun­gen (Bst. a – e) mit aus­län­di­schen Behör­den, die für den Daten­schutz zustän­dig sind, für die Erfül­lung ihrer jewei­li­gen gesetz­lich vor­ge­se­he­nen Auf­ga­ben im Bereich des Daten­schut­zes Infor­ma­tio­nen oder Per­so­nen­da­ten aus­tau­schen. Nach der ersten Vor­aus­set­zung (Bst. a) muss zwi­schen der Schweiz und dem aus­län­di­schen Staat die Gegen­sei­tig­keit der Amts­hil­fe im Daten­schutz­be­reich sicher­ge­stellt sein. Zwei­tens dür­fen die aus­ge­tausch­ten Infor­ma­tio­nen und Per­so­nen­da­ten nach dem Spe­zia­li­täts­grund­satz nur für das frag­li­che Daten­schutz­ver­fah­ren ver­wen­det wer­den, das dem Amts­hil­fe­er­su­chen zugrun­de liegt (Bst. b). Wenn die Daten anschlie­ssend in einem Straf­ver­fah­ren ver­wen­det wer­den sol­len, gel­ten die Grund­sät­ze der inter­na­tio­na­len Rechts­hil­fe in Straf­sa­chen. Die drit­te und die vier­te Vor­aus­set­zung gewähr­lei­sten die Wah­rung der Berufs­ge­heim­nis­se sowie der Geschäfts- und Fabri­ka­ti­ons­ge­heim­nis­se (Bst. c) und ver­bie­ten, dass die Infor­ma­tio­nen und Per­so­nen­da­ten ohne vor­gän­gi­ge Geneh­mi­gung der Behör­de, die sie über­mit­telt hat, bekannt gege­ben wer­den (Bst. d). Schliess­lich muss die emp­fan­gen­de Behör­de die Auf­la­gen und Ein­schrän­kun­gen der Behör­de ein­hal­ten, die ihr die Infor­ma­tio­nen und Per­so­nen­da­ten über­mit­telt hat (Bst. e). Der Beauf­trag­te kann das Amts­hil­fe­er­su­chen einer aus­län­di­schen Behör­de bei­spiels­wei­se ableh­nen, wenn die Vor­aus­set­zun­gen von Arti­kel 13 E‑DSG nicht ein­ge­hal­ten sind oder wenn einer der in Arti­kel 32 Absatz 6 E‑DSG vor­ge­se­he­nen Grün­de einer Bekannt­ga­be von Per­so­nen­da­ten ent­ge­gen­steht. Abs. 2 Bekannt­ga­be von Personendaten Absatz 2 Buch­sta­ben a – g bestimmt, wel­che Infor­ma­tio­nen der Beauf­trag­te der aus­län­di­schen Behör­de bekannt geben darf, um sein Amts­hil­fe­ge­such zu begrün­den oder dem Ersu­chen einer aus­län­di­schen Behör­de Fol­ge zu lei­sten. Um die Iden­ti­tät der betrof­fe­nen Per­so­nen wei­ter­lei­ten zu dür­fen, benö­tigt der Beauf­trag­te die Ein­wil­li­gung jeder ein­zel­nen Per­son (Bst. c). Für die Ein­wil­li­gung gel­ten die Anfor­de­run­gen von Arti­kel 5 Absatz 6 E‑DSG (Abs. 2 Bst. c Ziff. 1). Ohne Ein­wil­li­gung darf die Iden­ti­tät nur bekannt gege­ben wer­den, wenn dies für die Erfül­lung der gesetz­li­chen Auf­ga­ben des Beauf­trag­ten oder der aus­län­di­schen Behör­de unent­behr­lich ist (Abs. 2 Bst. c Ziff. 2). Die­se Vor­aus­set­zun­gen ent­spre­chen jenen nach Arti­kel 32 Absatz 2 Buch­sta­ben a und b E‑DSG. Abs. 3 Stellungnahme Bevor der Beauf­trag­te in einem Amts­hil­fe­ver­fah­ren einer aus­län­di­schen Behör­de, die für den Daten­schutz zustän­dig ist, Infor­ma­tio­nen bekannt gibt, die Berufs‑, Geschäfts- oder Fabri­ka­ti­ons­ge­heim­nis­se ent­hal­ten kön­nen, infor­miert er die betrof­fe­nen Per­so­nen und lädt sie zur Stel­lung­nah­me ein. Von die­ser Pflicht ist er jedoch ent­bun­den, wenn die Infor­ma­ti­on nicht mög­lich ist oder einen unver­hält­nis­mä­ssi­gen Aufwanderfordert. 

Die Bestim­mung sieht vor, dass der Beauf­trag­te ein Regi­ster der ihm von den Bun­des­or­ga­nen gemel­de­ten Daten­be­ar­bei­tungs­tä­tig­kei­ten (Art. 11 Abs. 4) führt. Die­ses Regi­ster soll wie heu­te ver­öf­fent­licht werden. 

Abge­se­hen davon, dass der Beauf­trag­te der Bun­des­ver­samm­lung und dem Bun­des­rat neu jähr­lich einen Tätig­keits­be­richt unter­brei­ten muss, ent­spricht Absatz 1 dem gel­ten­den Arti­kel 30 Absatz 1 DSG. Absatz 2 ver­stärkt die akti­ve Infor­ma­ti­on durch den Beauf­trag­ten. Die­ser infor­miert die Öffent­lich­keit über sei­ne Fest­stel­lun­gen und Ver­fü­gun­gen, wenn ein all­ge­mei­nes öffent­li­ches Inter­es­se dafür besteht. Arti­kel 30 Absatz 2 zwei­ter Satz DSG wird auf­ge­ho­ben. Als unab­hän­gi­ge Instanz muss der Beauf­trag­te selbst bestim­men kön­nen, wor­über er die Öffent­lich­keit infor­miert. Daten müs­sen anony­mi­siert wer­den, es sei denn, es besteht ein über­wie­gen­des öffent­li­ches Inter­es­se an deren Bekannt­ga­be (Art. 32 Abs. 3 und 5 E‑DSG). Zudem gel­ten die Vor­aus­set­zun­gen von Arti­kel 32 Absatz 6E-DSG. Die Pflicht der Auf­sichts­be­hör­de zur Erstel­lung eines Tätig­keits­be­richts ist in Arti­kel 49 der Richt­li­nie (EU) 2016/680 und in Arti­kel 12 Absatz 5E‑SEV 108 vor­ge­se­hen. Die Ver­ord­nung (EU) 2016/679 ent­hält in Arti­kel 59 eine ana­lo­ge Regelung. 

Um Arti­kel 46 Absatz 1 Buch­sta­ben d und e der Richt­li­nie (EU) 2016/680 umzu­set­zen, wird die Liste der Kom­pe­ten­zen des Beauf­trag­ten gegen­über dem gel­ten­den Recht (Art. 31 DSG) ergänzt. Die neu­en Auf­ga­ben ent­spre­chen zudem den Anfor­de­run­gen von Arti­kel 12Ziffer 2 Buch­sta­be e E‑SEV 108. Nach Absatz 1 hat der Beauf­trag­te ins­be­son­de­re die Auf­ga­be, die Bun­des­or­ga­ne sowie pri­va­te Per­so­nen in Daten­schutz­fra­gen zu infor­mie­ren, zu schu­len und zu bera­ten. Hier­zu gehö­ren auch ent­spre­chen­de Infor­ma­ti­ons­ver­an­stal­tun­gen oder Wei­ter­bil­dun­gen, nament­lich für Ver­ant­wort­li­che im öffent­li­chen Sek­tor (Bst. a). Eine wei­te­re Auf­ga­be besteht dar­in, die Öffent­lich­keit, ins­be­son­de­re schutz­be­dürf­ti­ge Per­so­nen wie Min­der­jäh­ri­ge oder älte­re Men­schen, für den Daten­schutz zu sen­si­bi­li­sie­ren (Bst. c). Ausser­dem erteilt er auf Anfra­ge den betrof­fe­nen Per­so­nen Aus­kunft, wie sie ihre Rech­te aus­üben kön­nen (Bst. d). Gemäss Buch­sta­be e muss der Beauf­trag­te zu sämt­li­chen Vor­la­gen über Erlas­se und Mass­nah­men des Bun­des, wel­che die Daten­be­ar­bei­tung betref­fen, kon­sul­tiert wer­den und nicht nur zu jenen, wel­che den Daten­schutz in erheb­li­chem Mas­se betref­fen. Die­se Ände­rung ent­spricht der aktu­el­len Pra­xis. In Buch­sta­be g ist vor­ge­se­hen, dass der Beauf­trag­te ausser­dem Leit­fä­den und Arbeits­in­stru­men­te zuhan­den der Ver­ant­wort­li­chen, Auf­trags­be­ar­bei­ter und betrof­fe­nen Per­so­nen erar­bei­tet. Die­se Auf­ga­be nimmt er heu­te bereits im Rah­men sei­ner Bera­tungs­tä­tig­keit wahr (Art. 28, 30 und 31 DSG). Es wird fer­ner prä­zi­siert, dass er die Beson­der­hei­ten der ein­zel­nen Daten­be­ar­bei­tungs­be­rei­che berück­sich­tigt sowie das erhöh­te Schutz­be­dürf­nis beson­ders ver­letz­li­cher Per­so­nen wie Min­der­jäh­ri­ger, Behin­der­ter oder älte­rer Men­schen. Absatz 2 ent­spricht Arti­kel 31 Absatz 2 DSG. Auf­he­bung von Art. 33 DSG Die­se Bestim­mung kann auf­ge­ho­ben wer­den. Absatz 1, wonach der Rechts­schutz sich nach den all­ge­mei­nen Bestim­mun­gen über die Bun­des­rechts­pfle­ge rich­tet, hat ledig­lich dekla­ra­to­ri­sche Bedeu­tung. Absatz 2 wie­der­um ist auf­grund von Arti­kel 44 Absatz 2 E‑DSG überflüssig. 

Nach Arti­kel 33 Absatz 1 VDSG wird für die Gut­ach­ten des Beauf­trag­ten für pri­va­te Per­so­nen eine Gebühr erho­ben. Die Bestim­mun­gen der All­ge­mei­nen Gebüh­ren­ver­ord­nung vom 8. Sep­tem­ber 2004 (Allg­GebV) sind anwend­bar. Gemäss Absatz 1 wird auf Geset­zes­stu­fe der Grund­satz ver­an­kert, wonach der Beauf­trag­te für bestimm­te Dienst­lei­stun­gen gegen­über pri­va­ten Per­so­nen eine Gebühr erhe­ben muss. Dar­un­ter fal­len die Stel­lung­nah­me zu einem Ver­hal­tens­ko­dex (Bst. a), die Geneh­mi­gung von Stan­dard­da­ten­schutz­klau­seln und ver­bind­li­chen unter­neh­mens­in­ter­nen Daten­schutz­vor­schrif­ten (Bst. b), die Kon­sul­ta­ti­on auf­grund einer Daten­schutz-Fol­gen­ab­schät­zung (Bst. c), die Mass­nah­men nach Arti­kel 44 Absatz 2 und 45 E‑DSG (Bst. d) sowie Bera­tun­gen in Fra­gen des Daten­schut­zes (Bst. e). Im Umkehr­schluss ergibt sich aus Absatz 1, dass für eine Unter­su­chung, die ohne Anord­nung von vor­sorg­li­chen Mass­nah­men oder Ver­wal­tungs­mass­nah­men abge­schlos­sen wird, kei­ne Gebühr erho­ben­wird. In Absatz 2 wird der Bun­des­rat beauf­tragt, die Höhe der Gebüh­ren zu bestim­men. Ent­spre­chend den Anfor­de­run­gen von Arti­kel 46a Absatz 1 RVOG darf er aus­schliess­lich für die Ver­rich­tun­gen nach Arti­kel 53 Absatz 1 E‑DSG Gebüh­ren erhe­ben. Zudem muss er die Höhe der Gebüh­ren so fest­le­gen, dass sie die Kosten für die Ver­rich­tun­gen decken (Kosten­deckungs­prin­zip). Es ist also nicht vor­ge­se­hen, die gesam­te Tätig­keit des Beauf­trag­ten durch Gebüh­ren zu finan­zie­ren. Es sol­len aus­schliess­lich die Kosten für die Ver­rich­tun­gen nach Absatz 1 gedeckt wer­den. Bei der Rege­lung des Tarifs kann der Bun­des­rat je nach Dienst­lei­stung einen Pau­schal­ta­rif oder einen Stun­den­an­satz fest­le­gen. Nach Absatz 3 kann der Bun­des­rat dar­über hin­aus die Fäl­le fest­le­gen, in denen es mög­lich ist, auf die Erhe­bung einer Gebühr zu ver­zich­ten oder sie zu redu­zie­ren. So kann auf eine Gebüh­ren­er­he­bung bei­spiels­wei­se ver­zich­tet wer­den, wenn an der Dienst­lei­stung ein über­wie­gen­des öffent­li­ches Inter­es­se besteht und sie zur Beach­tung des Daten­schut­zes bei­trägt. Arti­kel 3 Absatz 2 Buch­sta­be a Allg­GebV ent­hält eine ähn­li­che Lösung. Der Beauf­trag­te kann die Gebühr auch stun­den, her­ab­set­zen oder erlas­sen, wenn es sich beim Ver­ant­wort­li­chen oder Auf­trags­be­ar­bei­ter um eine natür­li­che Per­son oder ein klei­nes oder mitt­le­res Unter­neh­men han­delt. Gebüh­ren wer­den nur gegen­über pri­va­ten Per­so­nen erho­ben. In Bezug auf die Bera­tung der Kan­tons­be­hör­den ist Arti­kel 3 Absatz 1 Allg­GebV anwend­bar: Die Bun­des­ver­wal­tung erhebt kei­ne Gebüh­ren von inter­kan­to­na­len Orga­nen, Kan­to­nen und Gemein­den, soweit die­se Gegen­recht gewäh­ren. Die Dienst­lei­stun­gen für Orga­ne des Bun­des und der Kan­to­ne wer­den kosten­los erbracht. Auf­grund zahl­rei­cher kri­ti­scher Stel­lung­nah­men zum Vor­ent­wurf hat der Bun­des­rat die Straf­be­stim­mun­gen grund­le­gend über­ar­bei­tet. In der Ver­nehm­las­sung wur­de (unter Hin­weis auf die Ver­ord­nung [EU] 2016/679) die Ein­füh­rung von finan­zi­el­len Ver­wal­tungs­sank­tio­nen gefor­dert. Finan­zi­el­le Ver­wal­tungs­sank­tio­nen mit stra­fen­dem Cha­rak­ter sind in der Schweiz aber eine Aus­nah­me. Sie gehö­ren klas­si­scher­wei­se in Berei­che, in denen Unter­neh­men einer ver­wal­tungs­recht­li­chen Auf­sicht unter­ste­hen, weil sie eine wirt­schaft­li­che Akti­vi­tät aus­üben, für die sie eine Kon­zes­si­on oder Bewil­li­gung benö­ti­gen oder für die sie staat­li­che Sub­ven­tio­nen erhal­ten (z. B. im Post­we­sen oder für Geld­spie­le). Sie wur­den ausser­dem im Kar­tell­recht ein­ge­führt, als es im StGB noch kei­ne Unter­neh­mens­straf­bar­keit gab. Sol­che finan­zi­el­len Ver­wal­tungs­sank­tio­nen haben Straf­cha­rak­ter, wes­halb gewis­se straf­pro­zes­sua­le Garan­tien ein­zu­hal­ten sind. Das grund­sätz­lich anwend­ba­re Ver­wal­tungs­ver­fah­ren regelt die­se Fra­gen jedoch nicht. Es geht bei sol­chen Sank­tio­nen zudem um eine direk­te Zurech­nung frem­den Ver­schul­dens an ein Unter­neh­men. Dies hat der Gesetz­ge­ber mit der Unter­neh­mens­straf­bar­keit nach Arti­kel 102 StGB aber abge­lehnt: Die Ver­ant­wort­lich­keit nach Arti­kel 102 StGB ist kei­ne Kau­sal- oder Gefähr­dungs­haf­tung, son­dern ver­langt ein spe­zi­fi­sches Orga­ni­sa­ti­ons­ver­schul­den. Mit der Ein­füh­rung von pöna­len Ver­wal­tungs­sank­tio­nen im DSG wür­de die­ser straf­recht­li­che Grund­satz­ent­scheid durch die Hin­ter­tür des Ver­wal­tungs­rechts stark rela­ti­viert. Im Bereich des Daten­schut­zes wären sol­che Ver­wal­tungs­sank­tio­nen zudem beson­ders hei­kel. Der per­sön­li­che Gel­tungs­be­reich des DSG ist deut­lich brei­ter als der­je­ni­ge von Geset­zen in Berei­chen, in denen klas­si­scher­wei­se finan­zi­el­le Ver­wal­tungs­sank­tio­nen zu fin­den sind und in denen die wirt­schaft­li­che Tätig­keit durch Unter­neh­men aus­ge­übt wird. Das DSG rich­tet sich zwar auch an Gross­un­ter­neh­men, erfasst aber eben­so KMU und natür­li­che Per­so­nen. Weil kein kodi­fi­zier­tes Pro­zess­recht für Ver­wal­tungs­sank­tio­nen mit pöna­lem Cha­rak­ter exi­stiert, bestün­de unter ande­rem die Gefahr, dass die ver­fah­rens­recht­li­che Stel­lung von natür­li­chen Per­so­nen aus­ge­höhlt wür­de. Dies gilt ins­be­son­de­re, weil zwi­schen juri­sti­schen und natür­li­chen Per­so­nen im Neben­straf­recht ver­fah­rens­recht­li­che Unter­schie­de bestehen. Zusam­men­fas­send wür­de die Ein­füh­rung von finan­zi­el­len Ver­wal­tungs­sank­tio­nen im DSG damit eine gro­sse Rechts­un­si­cher­heit erzeu­gen, was (nicht nur im Bereich des Daten­schut­zes) kaum ver­tret­bar ist. Der Bun­des­rat will des­halb an eta­blier­te Struk­tu­ren mit gefe­stig­ter Pra­xis anknüp­fen. In der Schweiz wird die Ein­hal­tung grund­le­gen­der ver­wal­tungs­recht­li­cher Pflich­ten mit dem Ver­wal­tungs­straf­recht bzw. dem Neben­straf­recht sicher­ge­stellt. Normadres­sa­ten sind natür­li­che Per­so­nen. Obschon die ver­wal­tungs­recht­li­che Pflicht dem Unter­neh­men obliegt, wird ihre Ver­let­zung den Lei­tungs­per­so­nen zuge­rech­net (vgl. Art. 29 StGB und Art. 6 VStR). Die in der Ver­nehm­las­sung geäu­sser­te Sor­ge, dass jeder belie­bi­ge Ange­stell­te eines Unter­neh­mens bestraft wer­den könn­te, erweist sich des­halb als unbe­grün­det. Die Sank­tio­nie­rung mit straf­recht­li­chen Mit­teln bedeu­tet auch, dass Gewin­ne, die aus DSG-Straf­ta­ten stam­men, und Delikts­werk­zeu­ge somit nach den Bestim­mun­gen des StGB ein­ge­zo­gen wer­den kön­nen (Art. 69 ff. StGB). Der Beauf­trag­te soll zudem nicht straf­recht­li­che Sank­tio­nen aus­spre­chen, weil sonst die Orga­ni­sa­ti­on des Beauf­trag­ten grund­le­gend ver­än­dert und deut­lich aus­ge­baut wer­den müss­te. Der Bun­des­rat zieht daher das bestehen­de Straf­ver­fol­gungs­sy­stem­vor. Das straf­recht­li­che Dis­po­si­tiv des DSG muss im Ver­gleich zum gel­ten­den Recht ver­stärkt wer­den. Die Sank­tio­nen müs­sen abschreckend sein, wie vom E‑SEV 108 (Art. 10) und der Richt­li­nie (EU) 2016/680 (Art. 57) ver­langt. Ein zu mil­des Straf­sy­stem kann zur Fol­ge haben, dass die EU die schwei­ze­ri­sche Rege­lung als nicht mehr ange­mes­sen erach­tet. Das vor­ge­schla­ge­ne Sank­tio­nen­sy­stem sieht in den Grund­zü­gen nun wie folgt aus: 

• Auf die Pöna­li­sie­rung von fahr­läs­si­gen Pflicht­ver­let­zun­gen wird in Über­ein­stim­mung mit den jüng­sten Ent­schei­den des Par­la­ments ver­zich­tet (vgl. z. B. den Ent­wurf zum Geld­spiel­ge­setz). Der Beauf­trag­te hät­te dage­gen bevor­zugt, dass auch die Fahr­läs­sig­keit strafbarwäre.
• Die ver­wal­tungs­recht­li­chen Pflich­ten wur­den kon­kre­ti­siert und die Pöna­li­sie­rung auf wesent­li­che Pflichtenbeschränkt.
• Zur Kom­pen­sa­ti­on erhält der Beauf­trag­te die Kom­pe­tenz, die Ein­hal­tung der DSG-Pflich­ten zu ver­fü­gen und mit einer Unge­hor­sams-Straf­dro­hung zu ver­bin­den. Die­ses Modell ist im Neben­straf­recht weit ver­brei­tet (z. B. im Bun­des­ge­setz vom 22. Juni 2007 über die Eid­ge­nös­si­sche Finanz­markt­auf­sicht [FINMAG]) und ent­spricht dem Mecha­nis­mus von Arti­kel 292 StGB. Falls erfor­der­lich, kann sich der Beauf­trag­te in kan­to­na­len Straf­ver­fah­ren als Privatklägerbeteiligen.
• Die Bus­sen­ober­gren­ze wird vom Bun­des­rat auf maxi­mal 250 000 Fran­ken fest­ge­legt. Die Erhö­hung erfolgt ins­be­son­de­re um das schwei­ze­ri­sche Recht der Ver­ord­nung (EU) 2016/679 anzu­nä­hern. Es wäre jedoch frag­wür­dig, die Bus­sen­ober­gren­ze gegen natür­li­che Per­so­nen noch höher anzu­set­zen mit der Begrün­dung, Unter­neh­men wür­den durch tie­fe Bus­sen nicht abge­schreckt. Die Straf­be­stim­mun­gen des E‑DSG rich­ten sich pri­mär an natür­li­che Per­so­nen, hier insb. an Lei­tungs­per­so­nen (vgl. Arti­kel 29 StGB und Arti­kel 6 VStrR). Es ist anzu­mer­ken, dass etwa im FINMAG fahr­läs­si­ge Pflicht­ver­let­zun­gen mit Bus­se bis zu 250 000 Fran­ken bedroht sind (Art. 44 ff. FINMAG), das Miss­ach­ten einer Ver­fü­gung jedoch mit Bus­se bis zu 100 000 Fran­ken (Art. 48 FINMAG). Der Beauf­trag­te ist dage­gen der Ansicht, die Bus­sen sei­en nicht aus­rei­chend abschreckend, nament­lich was deren Höhebetrifft.
• Die Ver­let­zung der beruf­li­chen Schwei­ge­pflicht ist wie bis­her eine Übertretung.
• Soweit Daten durch ein Unter­neh­men bear­bei­tet wer­den, oblie­gen die aus dem DSG abge­lei­te­ten Pflich­ten in der Regel des­sen Lei­tungs­per­so­nen. Die­se sind gesetz­lich ver­pflich­tet, die Ein­hal­tung die­ser Pflich­ten im Unter­neh­men sicher­zu­stel­len. Die Ver­let­zung von Pflich­ten oder der Unge­hor­sam gegen eine Ver­fü­gung des Beauf­trag­ten, die sich an das Unter­neh­men rich­tet, wer­den daher in Anwen­dung von Art. 29 StGB und Art. 6 VStR den Lei­tungs­per­so­nen im Unter­neh­men und nicht den bloss aus­füh­ren­den Mit­ar­bei­tern angelastet.
• Soweit die Bus­se 50 000 Fran­ken nicht über­steigt, kön­nen Unter­neh­men in Anwen­dung von Art. 7 VStrR direkt gebüsst wer­den. Dies trägt auch der in der Ver­nehm­las­sung vor­ge­brach­ten Kri­tik Rechnung.

Arti­kel 54 E‑DSG über­nimmt Arti­kel 34 DSG, mit Aus­nah­me von Arti­kel 34 Absatz 2 Buch­sta­be a DSG, weil die dort gere­gel­ten Pflich­ten im E‑DSG nicht mehr ent­hal­ten sind. Im Gegen­zug bezieht sich die Norm aber auch auf die neue Infor­ma­ti­ons­pflicht bei einer auto­ma­ti­sier­ten Ein­zel­ent­schei­dung (Art. 19 E‑DSG). Absatz 1 Buch­sta­be a umfasst das vor­sätz­li­che Ertei­len einer fal­schen Aus­kunft, aber auch das vor­sätz­li­che Ertei­len einer unvoll­stän­di­gen Aus­kunft, wäh­rend der Ein­druck erweckt wird, dass die Aus­kunft voll­stän­dig sei. Das gänz­li­che Ver­wei­gern einer Aus­kunft ist dage­gen nicht nach Buch­sta­be a, son­dern gege­be­nen­falls nach Buch­sta­be b straf­bar. Die pri­va­te Per­son, wel­che wahr­heits­wid­rig vor­gibt, über kei­ne Infor­ma­tio­nen zur betrof­fe­nen Per­son zu ver­fü­gen, macht sich indes­sen nach Absatz 1 Buch­sta­be a straf­bar. Absatz 1 Buch­sta­be b kommt in Fäl­len zur Anwen­dung, in wel­chen eine pri­va­te Per­son es voll­stän­dig unter­lässt, die betrof­fe­ne Per­son nach den Arti­keln 17 Absatz 1 und 19 Absatz 1 zu infor­mie­ren oder ihr die Anga­ben nach Arti­kel 17 Absatz 2 zu lie­fern. Nicht straf­bar ist dage­gen die pri­va­te Per­son wel­che unter Beru­fung auf Arti­kel 18 oder 25 behaup­tet, dass sie nicht zur Infor­ma­ti­on ver­pflich­tet sei. In einem sol­chen Fall weiss die betrof­fe­ne Per­son näm­lich, dass eine Daten­be­ar­bei­tung statt­fin­det. Sie ist des­halb in der Lage, ihre Rech­te gel­tend zu machen und ein zivil­recht­li­ches Ver­fah­ren ein­zu­lei­ten, in wel­chem dar­über ent­schie­den wer­den kann, ob die Ver­wei­ge­rung oder Ein­schrän­kung des Aus­kunfts­rechts oder der Infor­ma­ti­ons­pflicht gerecht­fer­tigt ist. Absatz 2 über­nimmt Art. 34 Absatz 2 Buch­sta­be b DSG, wel­cher das Ertei­len fal­scher Aus­künf­te oder die Ver­wei­ge­rung der Mit­wir­kung im Rah­men einer Unter­su­chung des Beauf­trag­ten für straf­bar erklärt. Die Ver­let­zung die­ser Pflich­ten soll wei­ter­hin eine Über­tre­tung sein, aber die dafür vor­ge­se­he­ne Bus­sen­ober­gren­ze ist deut­lich anzu­he­ben und auf 250 000 Fran­ken zu erhö­hen. Die tat­säch­li­che Stra­fe wird unter Berück­sich­ti­gung der wirt­schaft­li­chen Lage des Täters (Art. 106 Abs. 3 StGB in Ver­bin­dung mit Art. 47 StGB) fest­ge­legt. In Baga­tell­fäl­len kann anstel­le der ver­ant­wort­li­chen Per­son das Unter­neh­men zur Bezah­lung der Bus­se ver­ur­teilt wer­den. Fer­ner kann gemäss Arti­kel 52 StGB bei gering­fü­gi­gen Fäl­len von einer Straf­ver­fol­gung oder Bestra­fung abge­se­hen werden. 

Die­se Bestim­mung ist neu. Sie ist not­wen­dig, weil der E‑DSG neue ele­men­ta­re Pflich­ten vor­sieht, die von den gel­ten­den Straf­be­stim­mun­gen nicht abge­deckt wer­den. Ein wirk­sa­mer Schutz der Per­sön­lich­keit der betrof­fe­nen Per­so­nen ist dann mög­lich, wenn die Ver­ant­wort­li­chen und die Auf­trags­be­ar­bei­ter ihren Pflich­ten gerecht wer­den. Um sie zur Ein­hal­tung des DSG anzu­hal­ten, schlägt der Bun­des­rat die­se Ergän­zung der Straf­be­stim­mun­gen vor. Die Bestim­mung dürf­te sich ihrer Natur nach pri­mär an Per­so­nen mit Wei­sungs­be­fug­nis­sen rich­ten, weil die Ent­scheid­kom­pe­tenz für die Erfül­lung die­ser Pflich­ten eine Lei­tungs­auf­ga­be ist (vgl. auch Art. 29 StGB).

Seit Inkraft­tre­ten des DSG hat sich die Infor­ma­ti­ons- und Kom­mu­ni­ka­ti­ons­tech­no­lo­gie immens wei­ter ent­wickelt und deren Bedeu­tung hat mar­kant zuge­nom­men. Nicht zuletzt auf­grund der mas­sen­haf­ten Ver­brei­tung von Smart­pho­nes wer­den immer mehr Daten von immer mehr Men­schen auf immer mehr Syste­men gespei­chert und bear­bei­tet. Vor die­sem Hin­ter­grund ist es ange­zeigt, den Geheim­nis­schutz auf alle Arten von Per­so­nen­da­ten aus­zu­deh­nen. Mass­ge­bend ist, dass es sich um gehei­me Daten han­delt. Dies ent­spricht Arti­kel 320 und 321 StGB, die eben­falls allei­ne dar­auf abstel­len, ob die frag­li­che Infor­ma­ti­on geheim ist oder nicht. Es gilt somit der mate­ri­el­le Geheim­nis­be­griff des Straf­rechts. Ein straf­recht­lich geschütz­tes Geheim­nis liegt dann vor , wenn die Tat­sa­che nicht all­ge­mein bekannt oder zugäng­lich ist, wenn der Geheim­nis­herr ein schutz­wür­di­ges Inter­es­se an der beschränk­ten Bekannt­heit hat und er auch den Wil­len dazu hat. Nicht jede Offen­ba­rung von Per­so­nen­da­ten erfüllt damit die­sen Tat­be­stand. Der Begriff “offen­ba­ren” ent­spricht dem­je­ni­gen bei Arti­keln 320 und 321 StGB und schafft hin­sicht­lich der Tat­hand­lung Kohä­renz. Mit Arti­kel 56 wer­den Lücken geschlos­sen, die durch den ein­ge­schränk­ten Täter­kreis der Arti­kel 320 und 321 StGB (Son­der­de­lik­te) ent­ste­hen. Arti­kel 56 E‑DSG sieht des­halb eine Schwei­ge­pflicht auch für Per­so­nen vor, die nicht unter Arti­kel 320 oder 321 StGB fal­len. Die Ver­let­zung der beruf­li­chen Schwei­ge­pflicht ist eine Über­tre­tung (Antrags­de­likt) und wird mit einer Bus­se von bis zu 250 000 Fran­ken bestraft. Absatz 2 erwei­tert die Straf­bar­keit auf Hilfs­per­so­nen (Auf­trags­da­ten­be­ar­bei­ter) und Aus­zu­bil­den­de. Die Erwei­te­rung ent­spricht dem gel­ten­den DSG und in der Sache auch der Rege­lung in Arti­kel 321 StGB (“Hilfs­per­so­nen”). Der Bun­des­rat hat dem Par­la­ment mit der Ver­ab­schie­dung der Bot­schaft zum Infor­ma­ti­ons­si­cher­heits­ge­setz­eine ent­spre­chen­de Ände­rung von Arti­kel 320 StGB vor­ge­schla­gen. Die Offen­ba­rung kann durch die Ein­wil­li­gung des Berech­tig­ten gerecht­fer­tigt sein. Die all­ge­mei­nen Regeln und die im Rah­men von Arti­kel 321 Zif­fer 2 StGB von Recht­spre­chung und Dog­ma­tik ent­wickel­ten Grund­sät­ze gel­ten sinn­ge­mäss. In der Pra­xis kön­nen sich Kon­kur­renz­fra­gen insb. hin­sicht­lich Arti­kel 320 StGB (Bun­des­be­am­te) und Art. 321 StGB (Anwäl­te, Ärz­te etc.) stel­len. Aller­dings ist dies bereits im aktu­el­len Recht der Fall, wes­halb die­ser Umstand kei­ne beson­de­ren Pro­ble­me bie­ten sollte. 

Arti­kel 57 hat der Bun­des­rat nach der Ver­nehm­las­sung neu ein­ge­fügt. Ana­lo­ge Bestim­mun­gen sind im Neben­straf­recht des Bun­des weit ver­brei­tet. Der Arti­kel dient einer­seits als Kom­pen­sa­ti­on für den Weg­fall von zahl­rei­chen Straf­be­stim­mun­gen im Ver­gleich zum VE-DSG. Ande­rer­seits wer­den mit die­ser Bestim­mung die Fra­gen in Bezug auf den Grund­satz nul­la poe­na sine lege, wie sie in der Ver­nehm­las­sung häu­fig vor­ge­bracht wur­den, berück­sich­tigt. Die­sel­ben Fra­gen hät­ten sich auch im Zusam­men­hang mit Ver­wal­tungs­sank­tio­nen gestellt, weil die­se straf­recht­li­chen Cha­rak­ter haben. Die vor­lie­gen­de Lösung erlaubt es, die ent­spre­chen­den Bestim­mun­gen des E‑DSG wei­ter­hin in einer hin­rei­chend all­ge­mei­nen Form aus­zu­ge­stal­ten, ohne zugleich in Kon­flikt mit den straf­recht­li­chen Anfor­de­run­gen an die Prä­zi­si­on einer gesetz­li­chen Rege­lung zu gera­ten. Ausser­dem erleich­tert die­ses Modell die Arbeit der zustän­di­gen Straf­ver­fol­gungs­be­hör­den und trägt damit den Beden­ken Rech­nung, die in der Ver­nehm­las­sung teil­wei­se geäu­ssert wur­den. Der Beauf­trag­te hat mit Arti­kel 57 E‑DSG die Mög­lich­keit, die Ein­hal­tung von Pflich­ten nach dem E‑DSG zu ver­fü­gen (sie­he Art. 45 Abs. 3 E‑DSG) und mit einer Straf­an­dro­hung zu ver­bin­den. Ein Vor­teil die­ses Modells ist, dass die Pflicht in der Ver­fü­gung soweit kon­kre­ti­siert wer­den kann, dass für den Adres­sa­ten kein Zwei­fel besteht, was er zu tun oder zu las­sen hat. Dies erleich­tert auch die Arbeit der kan­to­na­len Straf­ver­fol­gungs­be­hör­de, die im Fal­le der Miss­ach­tung auf Anzei­ge des Beauf­trag­ten hin den Sach­ver­halt ermit­teln und ein Urteil fäl­len bzw. einen Straf­be­fehl erlas­sen muss. Wenn sich die Ver­fü­gung des Beauf­trag­ten an ein Unter­neh­men rich­tet, tritt die Straf­bar­keit kraft Arti­kel 29 StGB bei einer Lei­tungs­per­son ein: Die straf­be­grün­den­de Pflicht, die dem Unter­neh­men obliegt, wird der natür­li­chen Per­son zuge­rech­net. Dies trägt auch der in der Ver­nehm­las­sung teil­wei­se vor­ge­brach­ten Kri­tik Rechnung. 

Mit Arti­kel 58 wer­den Arti­kel 6 und 7 des Bun­des­ge­set­zes vom 22. März 1974 über das Ver­wal­tungs­straf­recht (VStrR) über­nom­men. Eine aus­drück­li­che Ver­wei­sung ist erfor­der­lich, weil das VStrR in der Sache grund­sätz­lich nicht anwend­bar ist. Arti­kel 6 Absatz 2 VStrR ermög­licht die Geschäfts­her­ren­haf­tung auch im Bereich des DSG. Die Pflich­ten des DSG dürf­ten sich näm­lich regel­mä­ssig an den Geschäfts­herrn rich­ten. Arti­kel 6 Absatz 2 VStrR erfüllt damit eine ähn­li­che Funk­ti­on wie Arti­kel 29 StGB und adres­siert eine straf­recht­li­che Ver­ant­wor­tung an die Lei­tungs­ebe­ne des Unter­neh­mens, also an Füh­rungs­per­so­nen, die Ent­schei­dungs- und Wei­sungs­be­fug­nis­se haben. Dies ermög­licht eine sach­ge­rech­te Zuwei­sung der straf­recht­li­chen Ver­ant­wor­tung in Unter­neh­men. Der Bus­sen­be­trag, bis zu des­sen Ober­gren­ze es mög­lich ist, nach Arti­kel 7 VStrR ein Unter­neh­men an Stel­le einer natür­li­chen Per­son zur Bezah­lung einer Bus­se zu ver­ur­tei­len, wird auf 50000 Fran­ken erhöht. Die­se Anpas­sung ist erfor­der­lich, weil die Bus­sen­ober­gren­ze im DSG nicht bei 10 000 Fran­ken liegt (Art. 106 Abs. 1 StGB), son­dern bei 250 000 Franken. 

Die Ver­fol­gung und Beur­tei­lung der straf­ba­ren Hand­lun­gen obliegt wie heu­te grund­sätz­lich den Kan­to­nen. Der Beauf­trag­te hat ein Anzei­ge­recht und kann sich im kan­to­na­len Straf­ver­fah­ren als Pri­vat­klä­ger betei­li­gen (Art. 118 ff. StPO). Er kann somit Ein­stel­lungs­ver­fü­gun­gen anfech­ten und Rechts­mit­tel gegen kan­to­na­le Urtei­le ergrei­fen, wenn dies im Inter­es­se einer ein­heit­li­chen Anwen­dung des DSG gebo­ten scheint. Gegen Straf­be­feh­le und das Straf­mass kann er hin­ge­gen kein Rechts­mit­tel ergrei­fen, was hin­sicht­lich sei­ner Auf­ga­ben aber auch nicht erfor­der­lich scheint. 

Die Ver­jäh­rungs­frist für Über­tre­tun­gen beträgt nach Arti­kel 109 StGB drei Jah­re. Daten­schutz­un­ter­su­chun­gen erfor­dern tech­no­lo­gi­sches Wis­sen und kön­nen auf­wen­dig sein. Damit Straf­ver­fah­ren im Daten­schutz­be­reich somit nicht an zu kur­zen Ver­jäh­rungs­fri­sten schei­tern, sieht der Bun­des­rat eine Erhö­hung auf fünf Jah­re vor. 

Die­se Bestim­mung ersetzt Arti­kel 36 Absatz 5 DSG, der unter Berück­sich­ti­gung der gel­ten­den Grund­sät­ze in Bezug auf die Kom­pe­tenz­de­le­ga­ti­on zu unbe­stimmt ist. Gemäss Arti­kel 61 E‑DSG kann der Bun­des­rat in zwei Fäl­len Staats­ver­trä­ge mit einem oder meh­re­ren Völ­ker­rechts­sub­jek­ten (Staat, inter­na­tio­na­le Orga­ni­sa­ti­on) abschlie­ssen. Nach Buch­sta­be a kann der Bun­des­rat Staats­ver­trä­ge abschlie­ssen, wel­che die inter­na­tio­na­le Zusam­men­ar­beit zwi­schen Daten­schutz­be­hör­den betref­fen. Die­se Bestim­mung bezieht sich etwa auf Koope­ra­ti­ons­ab­kom­men nach dem Modell des Abkom­mens vom 17. Mai 2013 zwi­schen der Schwei­ze­ri­schen Eid­ge­nos­sen­schaft und der Euro­päi­schen Uni­on über die Zusam­men­ar­beit bei der Anwen­dung ihres Wett­be­werbs­rechts. Nach Buch­sta­be b kann der Bun­des­rat ausser­dem Staats­ver­trä­ge über die gegen­sei­ti­ge Aner­ken­nung eines ange­mes­se­nen Schutz­ni­veaus für die grenz­über­schrei­ten­de Bekannt­ga­be von Daten abschlie­ssen. Die übri­gen Absät­ze von Arti­kel 36 DSG wer­den auf­ge­ho­ben. Die Absät­ze 1 und 4 sind inso­fern über­flüs­sig, als die Pra­xis, aus­drück­lich fest­zu­hal­ten, dass der Bun­des­rat Aus­füh­rungs­be­stim­mun­gen erlas­sen muss, auf­ge­ge­ben wur­de. Absatz 3, wonach der Bun­des­rat für die Aus­kunfts­er­tei­lung durch diplo­ma­ti­sche und kon­su­la­ri­sche Ver­tre­tun­gen der Schweiz im Aus­land Abwei­chun­gen von den Arti­keln 8 und 9 vor­se­hen kann, kann eben­falls auf­ge­ho­ben wer­den. Absatz 6 wie­der­um ist obso­let, da der Bun­des­rat sei­ne Kom­pe­tenz, zu regeln, wie Daten­samm­lun­gen zu sichern sind, deren Daten im Kriegs- oder Kri­sen­fall zu einer Gefähr­dung von Leib und Leben der betrof­fe­nen Per­so­nen füh­ren kön­nen, nie wahr­ge­nom­men hat. Auf­he­bung von Art. 37 DSG Die Ver­nehm­las­sung hat erge­ben, dass Arti­kel 37 DSG über­flüs­sig ist und auf­ge­ho­ben wer­den muss. Heu­te ver­fü­gen sämt­li­che Kan­to­ne über Daten­schutz­vor­schrif­ten, die im Hin­blick auf die Anfor­de­run­gen des Über­ein­kom­mens SEV 108 und des ent­spre­chen­den Zusatz­pro­to­kolls einen ange­mes­se­nen Schutz gewährleisten. 

Die Auf­he­bung und Ände­rung ande­rer Erlas­se wird unter Zif­fer 9.2 kommentiert. 

Arti­kel 64 ent­hält ver­schie­de­ne Über­gangs­re­geln betref­fend Bear­bei­tun­gen. Abs. 1 Absatz 1 betrifft Daten­be­ar­bei­tun­gen, die im Zeit­punkt des Inkraft­tre­tens die­ses Geset­zes abge­schlos­sen sind. Hier­bei han­delt es sich um Daten­be­ar­bei­tun­gen, die voll­stän­dig nach altem Recht erfolgt sind und die nach dem Inkraft­tre­ten auch nicht mehr fort­dau­ern. Sol­che Bear­bei­tun­gen rich­ten sich wei­ter­hin voll­stän­dig nach dem bis­he­ri­gen Recht. So kön­nen bei­spiels­wei­se abge­schlos­se­ne Bear­bei­tun­gen, die nach bis­he­ri­gem Recht recht­mä­ssig sind, nicht durch Inkraft­tre­ten des neu­en Rechts wider­recht­lich wer­den. Dies gilt jedoch nicht für das Aus­kunfts­recht (Art. 23 – 25); nach Inkraft­tre­ten des neu­en Rechts rich­tet sich die­ses aus­schliess­lich nach neu­em Recht, und zwar auch bezüg­lich Daten und Daten­be­ar­bei­tun­gen, die voll­stän­dig nach altem Recht erfolgt sind. Abs. 2 Absatz 2 betrifft Daten­be­ar­bei­tun­gen, die nach bis­he­ri­gem Recht begon­nen wur­den und nach Inkraft­tre­ten des Geset­zes fort­dau­ern, bei denen aber das neue Recht die Vor­aus­set­zun­gen ver­schärft hat. Zu den­ken ist bei­spiels­wei­se an den Fall, dass nach neu­em Recht eine Per­sön­lich­keits­ver­let­zung vor­liegt, weil die Anfor­de­run­gen an den Recht­fer­ti­gungs­grund geän­dert wur­den. Sol­che Bear­bei­tun­gen dür­fen grund­sätz­lich wäh­rend 2 Jah­ren ohne wei­te­re Anpas­sun­gen fort­ge­führt wer­den. In die­ser Zeit muss der Ver­ant­wort­li­che dafür sor­gen, dass die­se Bear­bei­tun­gen in einen recht­mä­ssi­gen Zustand nach neu­em Recht über­ge­führt wer­den. Absatz 2 betrifft dabei nicht die Pflich­ten nach den Arti­keln 6, 20 und 21, die durch den Absatz 3 erfasst wer­den. Abs. 3 Absatz 3 betrifft Daten­be­ar­bei­tun­gen, die nach bis­he­ri­gem Recht begon­nen wur­den und nach Inkraft­tre­ten des Geset­zes fort­dau­ern. Für sol­che Bear­bei­tun­gen gel­ten die Arti­kel 6, 20 und 21 nicht, wenn der Bear­bei­tungs­zweck unver­än­dert bleibt und kei­ne neu­en Daten beschafft wer­den. In die­sem Fall dür­fen die Bear­bei­tun­gen wei­ter­ge­führt wer­den, ohne dass sie den Anfor­de­run­gen von Arti­kel 6 genü­gen. Eben­falls muss für die­se Bear­bei­tun­gen nicht nach­träg­lich eine Daten­schutz-Fol­ge­ab­schät­zung erstellt wer­den. Die­se Rege­lung liegt ins­be­son­de­re dar­in begrün­det, dass die Pflich­ten in Arti­kel 6 und 20 f. pri­mär im Vor­feld einer Daten­be­ar­bei­tung zu erfül­len sind. Die Ver­ant­wort­li­chen sol­len nicht dazu ver­pflich­tet wer­den, die­se Pflich­ten nach­träg­lich und damit rück­wir­kend zu erfül­len. Sind die Vor­aus­set­zun­gen von Absatz 3 nicht erfüllt, gel­ten die Pflich­ten nach Arti­kel 6, 20 und 21 auch für Bear­bei­tun­gen, die nach bis­he­ri­gem Recht begon­nen wur­den und nach Inkraft­tre­ten des Geset­zes fort­dau­ern. Mit Aus­nah­me des Anwen­dungs­be­reichs der Richt­li­nie (EU) 2016/680 tre­ten die­se Bestim­mun­gen aller­dings erst zwei Jah­re nach Inkraft­tre­ten des Geset­zes in Kraft, sodass eine zwei­jäh­ri­ge Über­gangs­frist besteht, um die­se Pflich­ten zu erfül­len. Abs. 4 Absatz 4 betrifft alle Daten­be­ar­bei­tun­gen, die nicht unter die Absät­ze 1 bis 3 fal­len. Dazu gehö­ren ins­be­son­de­re Daten­be­ar­bei­tun­gen, die erst nach Inkraft­tre­ten des Geset­zes begon­nen wur­den, aber auch sol­che, die sowohl nach bis­he­ri­gem als auch nach neu­em Recht recht­mä­ssig sind. Für die­se Daten­be­ar­bei­tun­gen gilt das neue Recht ab dem Zeit­punkt des Inkraft­tre­tens der frag­li­chen Bestimmungen. 

Zur Gewähr­lei­stung der Rechts­si­cher­heit und Ein­hal­tung des Grund­sat­zes von Treu und Glau­ben schreibt die­se Bestim­mung vor, dass Unter­su­chun­gen des Beauf­trag­ten, die im Zeit­punkt des Inkraft­tre­tens des künf­ti­gen DSG hän­gig sind, sowie Beschwer­den gegen hän­gi­ge erst­in­stanz­li­che Ent­schei­de dem bis­he­ri­gen Recht unter­ste­hen. Dies betrifft sowohl die mate­ri­el­len Daten­schutz­vor­schrif­ten als auch die Befug­nis­se des Beauf­trag­ten und die wei­te­ren anwend­ba­ren Verfahrensvorschriften. 

Die Auf­he­bung des Schut­zes der Daten juri­sti­scher Per­so­nen im E‑DSG sowie die Beschrän­kung des Begriffs der Per­so­nen­da­ten in Arti­kel 4 Buch­sta­be a E‑DSG auf Anga­ben, die sich auf eine bestimm­te oder bestimm­ba­re natür­li­che Per­son bezie­hen, hat ver­schie­de­ne Aus­wir­kun­gen auf die Daten­be­ar­bei­tung durch Bun­des­or­ga­ne. Ins­be­son­de­re führt die­se Neue­rung dazu, dass die bun­des­recht­li­chen Geset­zes­grund­la­gen, mit denen Bun­des­or­ga­ne zur Bear­bei­tung und Bekannt­ga­be von Per­so­nen­da­ten ermäch­tigt wer­den, ins­künf­tig nicht mehr anwend­bar sind, wenn Daten juri­sti­scher Per­so­nen bear­bei­tet bzw. bekannt gege­ben wer­den. Auf­grund des in Arti­kel 5 Absatz 1 BV ver­an­ker­ten Lega­li­täts­prin­zips bedarf jedoch jedes staat­li­che Han­deln – und damit auch jede staat­li­che Daten­be­ar­bei­tung bzw. Daten­be­kannt­ga­be – einer gesetz­li­chen Grund­la­ge (vgl. auch Arti­kel 13 Abs 2, Arti­kel 27 und Arti­kel 36 BV). Der Geset­zes­ent­wurf führt des­halb im RVOG für die Bun­des­or­ga­ne eine Rei­he von Bestim­mun­gen ein, wel­che deren Umgang mit Daten juri­sti­scher Per­so­nen regeln (vgl. Ziff. 9.2.8). Zu erwäh­nen sind ins­be­son­de­re Arti­kel 57r E‑RVOG, wel­cher eine all­ge­mei­ne gesetz­li­che Grund­la­ge für die Bear­bei­tung von Daten juri­sti­scher Per­so­nen durch Bun­des­or­ga­ne schafft, sowie Arti­kel 57s E‑RVOG, wel­cher – ana­log zu Arti­kel 32 E‑DSG betref­fend die Bekannt­ga­be von Per­so­nen­da­ten – die Anfor­de­run­gen an die Rechts­grund­la­gen für die Bekannt­ga­be von Daten juri­sti­scher Per­so­nen ent­hält. Anders als Arti­kel 57r E‑RVOG stellt Arti­kel 57s E‑RVOG damit kei­ne gesetz­li­che Grund­la­ge für spe­zi­fi­sche Daten­be­kannt­ga­ben durch Bun­des­or­ga­ne dar, wes­halb sich eine Bekannt­ga­be von Daten juri­sti­scher Per­so­nen auch ins­künf­tig immer auf eine spe­zi­al­ge­setz­li­che Rechts­grund­la­ge stüt­zen kön­nen muss. Eine Anpas­sung sämt­li­cher bis­he­ri­ger Rechts­grund­la­gen (wel­che auf­grund der Anpas­sun­gen im E‑DSG gröss­ten­teils nur noch auf natür­li­che Per­so­nen anwend­bar sein wer­den) wäre im Rah­men die­ser Vor­la­ge nicht zweck­mä­ssig, wür­den der Geset­zes­ent­wurf und die Bot­schaft dadurch doch erheb­lich ver­län­gert. Dem Bun­des­rat erscheint es daher ziel­füh­ren­der, die spe­zi­al­ge­setz­li­chen Daten­schutz­be­stim­mun­gen nach den par­la­men­ta­ri­schen Bera­tun­gen die­ser Vor­la­ge gründ­lich durch­zu­se­hen und zu prü­fen, wel­che Vor­schrif­ten, die sich heu­te auf den Umgang von Bun­des­or­ga­nen mit Daten juri­sti­scher Per­so­nen bezie­hen, wei­ter­hin bei­be­hal­ten wer­den sol­len oder ange­passt bzw. auf­ge­ho­ben wer­den müs­sen. Damit in der Zwi­schen­zeit kei­ne Rechts­lücken ent­ste­hen, wird für Bun­des­or­ga­ne in Arti­kel 66 E‑DSG eine Über­gangs­be­stim­mung ein­ge­führt, wel­che die Wei­ter­gel­tung sol­cher spe­zi­al­ge­setz­li­cher Bun­des­vor­schrif­ten (sowohl in Geset­zen im for­mel­len als auch im mate­ri­el­len Sinn) betref­fend die Daten juri­sti­scher Per­so­nen wäh­rend fünf Jah­ren nach Inkraft­tre­ten des E‑DSG für Bun­des­or­ga­ne vor­sieht. Ins­be­son­de­re sol­len sich Bun­des­or­ga­ne wäh­rend die­ser Zeit für die Bekannt­ga­be von Daten juri­sti­scher Per­so­nen auf die bis­he­ri­gen Rechts­grund­la­gen zur Bekannt­ga­be von Per­so­nen­da­ten stüt­zen­kön­nen. Nur ganz ver­ein­zelt, wo dies aus Grün­den der Prak­ti­ka­bi­li­tät und der Rechts­si­cher­heit bereits heu­te ange­zeigt ist, wer­den spe­zi­al­ge­setz­li­che Bestim­mun­gen im Rah­men die­ser Vor­la­ge betref­fend die Daten juri­sti­scher Per­so­nen über­prüft und ange­passt. Dies betrifft die fol­gen­den Erlasse: 

• das BGÖ (vgl. Ziff. 9.2.7: Art. 3 Abs. 2, 9, 11, 12 Abs. 2 und 3, 15 Abs. 2 Bst. b);
• das RVOG (vgl. Ziff. 9.2.8: Art. 57h, 57h, 57i, 57j, 57k Ein­lei­tungs­satz, 57l Sach­über­schrift und Ein­lei­tungs­satz, 57r, 57s und57t);
• das Revi­si­ons­auf­sichts­ge­setz vom 16. Dezem­ber 2005 (vgl. Ziff. 9.2.12: Art. 15b);
• das Bun­des­sta­ti­stik­ge­setz vom 9. Okto­ber 1992 (vgl. Ziff. 9.2.24: Art. 5 Abs. 2 Bst. a und Abs. 4 Bst. a, 14 Abs. 1, 14a Abs. 1, 15 Abs. 1, Art. 16 Abs. 1 und 19 Abs. 2);
• das Bun­des­ge­setz vom 17. Juni 2005 gegen die Schwarz­ar­beit (vgl. Ziff. 9.2.56: Art. 17 Sach­über­schrift, Abs. 1, 2 und 4 sowie Art. 17a);
• das Natio­nal­bank­ge­setz vom 3. Okto­ber 2003 (vgl. Ziff. 9.2.66: Art. 16 Abs. 5 und Art. 49a);
• das Bun­des­ge­setz vom 19. März 1976 über die inter­na­tio­na­le Ent­wick­lungs­zu­sam­men­ar­beit und huma­ni­tä­re Hil­fe (vgl. Ziff. 9.2.69: Art. 13a Abs. 1);
• das Ener­gie­ge­setz vom 30. Sep­tem­ber 2016 (vgl. Ziff. 13.7: Art. 56 Abs. 1, 58 Sach­über­schrift, Abs. 1 und 3 sowie Art. 59 Sach­über­schrift, Abs. 1 und 2) sowie das durch das Ener­gie­ge­setz vom 30. Sep­tem­ber 2016 zu ändern­de Stromversorgungsgesetz(vgl. Ziff. 13.7: Art. 17c Abs. 1 und 27 Abs. 1)