Stand am 30.09.20.
- Text des revDSG gemäss Schlussabstimmung; einzelne Hervorhebungen hinzugefügt
- Artikel jeweils mit den entsprechenden Text der Botschaft; ohne Angabe der Seitenzahlen, allgemeine Ausführungen und die Botschaft zu entfallenen Artikeln (z.B. betr. Daten Verstorbener oder bestimmter Übergangsbestimmungen)
- Eine Fassung des revDSG ohne Auszüge der Botschaft findet sich hier.
- Texte automatisiert konvertiert – wir danken für Hinweise auf Fehler
- Vgl. auch Gegenüberstellung der heutigen Fassung, des Entwurfs des Bundesrats und der revidierten Fassung und Botschaft im Original
Botschaft zum Ingress
Der Bundesrat erachtet es als angemessen, Artikel 97 Absatz 1 BV im Ingress einzufügen. Dieser weist dem Bund die Kompetenz zu, den Schutz der Konsumentinnen und Konsumenten zu regeln. Der E‑DSG enthält nämlich einige Bestimmungen, die insbesondere die Transparenz der Datenbearbeitung, die Kontrolle durch die betroffenen Personen und das Aufsichtssystem des Beauftragten verbessern. Dadurch sind die Konsumentinnen und Konsumenten besser geschützt.
1. Kapitel: Zweck und Geltungsbereich sowie Aufsichtsbehörde des Bundes
Art. 1 Zweck
Dieses Gesetz bezweckt den Schutz der Persönlichkeit und der Grundrechte von natürlichen Personen, über die Personendaten bearbeitet werden.
Bot Art. 1 Zweck (Zählg. gem. Entwurf)
Der Zweck des künftigen DSG entspricht dem Zweck des geltenden Rechts (Art. 1 DSG). Das DSG konkretisiert auf Gesetzesebene das in Artikel 13 Absatz 2 BV festgehaltene Recht auf informationelle Selbstbestimmung im Zusammenhang mit Personendaten, d. h. das Recht der betroffenen Person, grundsätzlich selbst zu bestimmen, ob und zu welchen Zwecken Daten über sie bearbeitet werden dürfen. Die Bestimmung wird lediglich redaktionell geändert, indem ausdrücklich der Schutz auf natürliche Personen beschränkt wird. Diese Anpassung erfolgt aufgrund des geänderten Geltungsbereichs (siehe die Erläuterungen zu Art. 2 E‑DSG).
Art. 2 Persönlicher und sachlicher Geltungsbereich
1 Dieses Gesetz gilt für die Bearbeitung von Personendaten natürlicher Personen durch:
2 Es ist nicht anwendbar auf:
3 Das anwendbare Verfahrensrecht regelt die Bearbeitung von Personendaten und die Rechte der betroffenen Personen in Gerichtsverfahren und in Verfahren nach bundesrechtlichen Verfahrensordnungen. Auf erstinstanzliche Verwaltungsverfahren sind die Bestimmungen dieses Gesetzes anwendbar.
4 Die öffentlichen Register des Privatrechtsverkehrs, insbesondere der Zugang zu diesen Registern und die Rechte der betroffenen Personen, werden durch die Spezialbestimmungen des anwendbaren Bundesrechts geregelt. Enthalten die Spezialbestimmungen keine Regelung, so ist dieses Gesetz anwendbar.
Bot Art. 2 Geltungsbereich (Zählg. gem. Entwurf)
Der Anwendungsbereich des DSG wird durch den E‑DSG teilweise erweitert, dies insbesondere, um den Anforderungen des E‑SEV 108 gerecht zu werden. So ist vorgesehen, die Ausnahmen in Bezug auf hängige Zivilprozesse, Strafverfahren, Verfahren der internationalen Rechtshilfe sowie staats- und verwaltungsrechtliche Verfahren (Art. 2 Abs. 2 Bst. c DSG) und diejenige betreffend öffentliche Register des Privatrechtsverkehrs (Art. 2 Abs. 2 Bst. d DSG) anzupassen. Zudem ist darauf hinzuweisen, dass der E‑DSG genau wie das bisherige Recht das Datenschutzrecht im Allgemeinen regelt. Falls die Bearbeitung von Personendaten in den Anwendungsbereich anderer Bundesgesetze fällt, gelten aufgrund der Lex-specialis-Regel (besondere Normen gehen der allgemeinen Norm vor) grundsätzlich die bereichsspezifischen Datenschutznormen.
Abs. 1 Anwendung für natürliche Personen
Das DSG gilt gemäss dem Vorentwurf für die Bearbeitung von Daten natürlicher Personen durch private Personen und Bundesorgane.
Aufhebung des Schutzes für Daten juristischer Personen
Mit dem E‑DSG wird vorgeschlagen, auf den Schutz von Daten juristischer Personen zu verzichten. In den datenschutzrechtlichen Bestimmungen der Europäischen Union und des Europarates sowie in den entsprechenden Regelungen der meisten ausländischen Gesetzgeber ist kein solcher Schutz vorgesehen. Dieser Schutz ist nur von geringer praktischer Bedeutung, und der Beauftragte hat zu diesem Bereich noch nie eine Empfehlung abgegeben. Auch bleibt für juristische Personen ein umfassender Schutz unverändert bestehen, wie er durch die Artikel 28 ff. des Zivilgesetzbuchs (ZGB) (Persönlichkeitsverletzungen wie beispielsweise Rufschädigung), das UWG, das Urheberrechtsgesetz vom 9. Oktober 1992 oder durch die Bestimmungen zum Schutz von Berufs‑, Geschäfts- und Fabrikationsgeheimnissen sowie Artikel 13 BV auf Verfassungsebene gewährleistet wird. Die Änderung erlaubt indessen, den Schutz in jenen Bereichen zu verbessern, in denen er derzeit nicht ausreichend umgesetzt wird und dadurch die Glaubwürdigkeit des Gesetzes zu erhöhen. Diese Lösung hat auch den Vorteil, dass die Bekanntgaben von Daten juristischer Personen ins Ausland nicht mehr davon abhängt, ob im Empfängerland ein angemessener Schutz gewährleistet ist (Art. 13 E‑DSG). Dies wird voraussichtlich zu einer Zunahme der Bekanntgabe ins Ausland beitragen. Festzuhalten ist auch, dass die meisten Expertinnen und Experten, die im Rahmen der RFA zur Revision des DSG befragt wurden, sowie die Mehrheit der Vernehmlassungsteilnehmer den Verzicht auf den Schutz von Daten juristischer Personen befürworteten. Dasselbe gilt für das Parlament, das einer Motion, welche den Schutz von Daten juristischer Personen beibehalten wollte, nicht zugestimmt hat.
Im Bereich der Datenbearbeitungen durch Bundesorgane hat die Aufhebung des Schutzes von Daten juristischer Personen zur Folge, dass die bundesrechtlichen Gesetzesgrundlagen, mit denen die Bundesorgane zur Bearbeitung von Personendaten ermächtigt werden, nicht mehr anwendbar sind, wenn diese Daten juristischer Personen bearbeiten. Nach Artikel 5 BV ist die Grundlage staatlichen Handelns jedoch das Recht. Der Gesetzesentwurf führt deshalb im RVOG für die Bundesorgane eine Reihe von Bestimmungen ein, welche deren Umgang mit Daten juristischer Personen regeln (vgl. Ziff. 9.2.8). Ausserdem soll eine Übergangsbestimmung während fünf Jahren mögliche Rechtslücken verhindern (vgl. Art. 66 E‑DSG sowie die Erläuterungen unter Ziff. 9.1.11).
Das Öffentlichkeitsgesetz vom 17. Dezember 2004 (BGÖ) räumt allen Personen das Recht ein, amtliche Dokumente der Bundesbehörden einzusehen, für die das Öffentlichkeitsprinzip gilt. Der neue Geltungsbereich des E‑DSG hat zur Folge, dass der Zugang zu amtlichen Dokumenten, die Daten juristischer Personen enthalten, nicht mehr aus Datenschutzgründen eingeschränkt werden kann, sondern nur wenn dadurch Berufs‑, Geschäfts- oder Fabrikationsgeheimnisse offenbart werden können (Art. 7 Abs. 1 Bst. g BGÖ) oder wenn das Risiko besteht, dass die Privatsphäre der juristischen Person beeinträchtigt wird, beispielsweise deren guter Ruf. Um die Rechte juristischer Personen beim Zugang zu amtlichen Dokumenten zu garantieren, wenn ein Gesuch sich auf Dokumente bezieht, bei denen die Gewährung des Zugangs die Privatsphäre der juristischen Person beeinträchtigen könnte, werden im Gesetzesentwurf einige Bestimmungen des BGÖ angepasst (vgl. Ziff. 9.2.7).
Die Aufhebung des Schutzes von Daten juristischer Personen bewirkt ebenfalls, dass diese gestützt auf den E‑DSG kein Auskunftsrecht mehr geltend machen können. Sie können aber ihre Verfahrensrechte geltend machen und gegebenenfalls aufgrund des Öffentlichkeitsgesetzes Einsicht in öffentliche Dokumente verlangen, wenn diese Informationen enthalten, die sie betreffen.
Abs. 2 Ausnahmen vom Geltungsbereich
Das DSG ist wie bisher nicht anwendbar auf Personendaten, die durch eine natürliche Person ausschliesslich zum persönlichen Gebrauch bearbeitet werden (Art. 2 Abs. 2 Bst. a E‑DSG); die redaktionelle Anpassung beinhaltet keine materiellen Änderungen.
Ebenfalls vom Geltungsbereich ausgenommen bleibt die Bearbeitung von Personendaten, die durch die eidgenössischen Räte und die parlamentarischen Kommissionen im Rahmen ihrer Beratungen erfolgt (Art. 2 Abs. 2 Bst. b E‑DSG); dies aus denselben Gründen wie sie der Bundesrat bereits in der Botschaft vom 23. März 1988 angeführt hat.
Nach Buchstabe c sind die institutionellen Begünstigten gemäss Artikel 2 Absatz 1 des Gaststaatgesetzes vom 22. Juni 2007 (GSG), die in der Schweiz Immunität von der Gerichtsbarkeit geniessen, dem E‑DSG nicht unterstellt. In Bezug auf das IKRK wird damit die aktuelle Situation beibehalten und es werden die übrigen betroffenen institutionellen Begünstigten ausdrücklich erwähnt. Diese anderen betroffenen institutionellen Begünstigten geniessen gestützt auf das Völkerrecht und das GSG selber auch Unabhängigkeit und Handlungsfreiheit, damit sie ihre internationalen Funktionen erfüllen können. Von einem Staat kann nicht erwartet werden, dass er sich in Bezug auf die Daten, die von seinen diplomatischen oder konsularischen Vertretungen bearbeitet werden, den Regeln des Schweizer Rechts unterwirft. Die Schweiz ist ihrerseits nicht verpflichtet, in Bezug auf ihr Vertretungsnetz im Ausland die ausländischen Regeln über den Datenschutz zu beachten. Auch von einer internationalen Organisation, die definitionsgemäss Aktivitäten in zahlreichen Staaten durchführt, kann nicht verlangt werden, dass sie die Anforderungen des nationalen Rechts eines jeden Staates, in dem sie tätig ist, befolgt, denn dies würde es ihr verunmöglichen, die Funktionen, die ihr kraft ihrer Statuten zugewiesen wurden, zu erfüllen.
Abs. 3 Bearbeitung von Personendaten in Verfahren
Nach Artikel 2 Absatz 3 E‑DSG regelt das anwendbare Verfahrensrecht die Bearbeitung von Personendaten und die Rechte der betroffenen Personen in Gerichtsverfahren und in Verfahren nach bundesrechtlichen Verfahrensordnungen. Die Norm regelt das Verhältnis des DSG zum Verfahrensrecht und hält als allgemeinen Grundsatz fest, dass ausschliesslich das anwendbare Verfahrensrecht darüber bestimmt, wie im Rahmen der Verfahren Personendaten bearbeitet werden und wie die Rechte der betroffenen Personen ausgestaltet sind. Das Verfahrensrecht stellt im Rahmen seiner Regelungen ebenfalls den Schutz der Persönlichkeit und der Grundrechte aller Beteiligten sicher und gewährleistet damit einen dem DSG äquivalenten Schutz. Käme in diesem Bereich das DSG zur Anwendung, bestünde die Gefahr von Normkollisionen und Widersprüchen, die das austarierte System der jeweils anwendbaren Verfahrensordnung stören könnten. Aus diesen Gründen sieht auch Artikel 9 Ziffer 1 Buchstabe a E‑SEV 108 eine entsprechende Ausnahme vor. Materiell entspricht die Regelung im E‑DSG dem geltenden Recht.
Unter die Ausnahme von Absatz 3 fallen nach dem Wortlaut zunächst “Gerichtsverfahren”. Hierzu zählen sämtliche Verfahren vor kantonalen und eidgenössischen Straf‑, Zivil und Verwaltungsgerichten, aber auch vor Schiedsgerichten mit Sitz in der Schweiz. Weiter erfasst die Ausnahme sämtliche Verfahren nach bundesrechtlichen Verfahrensordnungen unabhängig davon, vor welcher Behörde sie stattfinden. Zu den bundesrechtlichen Verfahrensordnungen gehören namentlich das Bundesgerichtsgesetz vom 17. Juni 2005 (BGG), das Verwaltungsgerichtsgesetz vom 17. Juni 2005 (VGG), das Patentgerichtsgesetz vom 20. März 2009, das VwVG, soweit es nicht um das erstinstanzliche Verwaltungsverfahren geht, die Zivilprozessordnung (ZPO), das Bundesgesetz vom 11. April 1889 über Schuldbetreibung und Konkurs(SchKG), die StPO, das VStrR, der Militärstrafprozess vom 23. März 1979 und das IRSG.
Anders als das bisherige Recht verzichtet der E‑DSG auf den Begriff des hängigen Verfahrens, weil lediglich im Zivilprozessrecht von Rechtshängigkeit die Rede ist und dieser Begriff deshalb mitunter zu Abgrenzungsproblemen führte. Massgebend ist nun, ob ein Verfahren vor einem Gericht stattfindet oder von einer bundesrechtlichen Verfahrensordnung geregelt ist. Ein Verfahren findet vor einem Gericht statt, wenn dieses zum ersten Mal mit einem Fall befasst ist, indem das Verfahren nach der massgebenden Verfahrensordnung eingeleitet wurde. Ein Verfahren ist durch bundesrechtliche Verfahrensordnungen geregelt, sobald ein bestimmter Sachverhalt durcheineBehördeentsprechenddenVorschriftenineinemdieserGesetzebehandelt wird. Die massgebende Verfahrensordnung bleibt auch nach Abschluss des Verfahrens anwendbar. Damit die Aktenlage nicht nachträglich durch prozessfremde Instrumente verändert werden kann, sieht das Prozessrecht eigenständige Verfahren zur Aktenpflege, zur Akteneinsicht und zur Aktenaufbewahrung vor. Wesentliches Abgrenzungskriterium für die Nichtanwendbarkeit des DSG ist somit zusammenfassend, ob funktional betrachtet ein unmittelbarer Zusammenhang zu einem (Gerichts-) Verfahren besteht oder nicht. Ein solcher liegt vor, wenn die fragliche Bearbeitung von Personendaten konkrete Auswirkungen auf dieses Verfahren oder dessen Ausgang oder die Verfahrensrechte der Parteien haben kann.
Wenn die Vorschrift von Absatz 3 zum Tragen kommt, regelt ausschliesslich das anwendbare Verfahrensrecht die Bearbeitung von Personendaten und die Rechte der betroffenen Personen. Sowohl Datenbearbeitungen des Gerichts gegenüber den Verfahrensbeteiligten als auch Datenbearbeitungen, welche die Beteiligten gegenüber anderen Verfahrensbeteiligten durchführen, richten sich nach dem anwendbaren Verfahrensrecht. Dies gilt insbesondere für die Rechte der Parteien zur Kenntnisnahme der ins Verfahren einfliessenden Daten und zur allfälligen Berichtigung bestimmter Daten sowie für die Datenbearbeitung im Rahmen der gerichtlichen Verfahren im Allgemeinen. Das bedeutet namentlich, dass die verschiedenen Rechtsbehelfe nach dem DSG weder gegenüber Datenbearbeitungen des Gerichts im Rahmen des Verfahrens noch gegenüber Datenbearbeitungen der anderen Verfahrensbeteiligten zum Tragen kommen. So können die Verfahrensbeteiligten beispielsweise kein Auskunftsrecht nach dem DSG geltend machen, um beim Gericht Akteneinsicht zu erhalten oder bei anderen Verfahrensbeteiligten Beweismittel zu beschaffen (vgl. hierzu Ziff. 9.1.5). Es ist mit anderen Worten nicht möglich, auf dem Wege des DSG verfahrensrelevante Handlungen gegenüber dem Gericht oder unter den Verfahrensbeteiligten vorzunehmen, welche nach dem fraglichen Verfahrensrecht ausgeschlossen wären oder aber umgekehrt unter bestimmten Voraussetzungen nach bestimmten Regeln und Grundsätzen zu erfolgen haben. Auch nach Abschluss des Verfahrens können die Akten lediglich nach den Vorschriften des Prozessrechts abgeändert werden (Berichtigung, Erläuterung, Revision), da die Akten mit dem Ergebnis eines Verfahrens übereinstimmen müssen. Nicht ausgeschlossen ist dadurch, dass das anwendbare Verfahrensrecht nach Abschluss des Verfahrens das DSG für anwendbar erklärt (vgl. Art. 99 StPO). Soweit das anwendbare Prozessrecht in Bezug auf das Akteneinsichtsrecht Dritter nach Abschluss des Verfahrens keine Vorschriften enthält, sollte sich die Rechtsanwendung an den Bestimmungen des DSG orientieren.
Anders als noch die Vernehmlassungsvorlage nimmt der Absatz 3 damit nicht mehr lediglich die Datenbearbeitungen bestimmter Institutionen vom Anwendungsbereich des DSG aus, was in der Vernehmlassung erheblich kritisiert wurde. Vielmehr sind auch Datenbearbeitungen durch die Parteien erfasst. Zudem wird der Normenkonflikt auf andere Weise gelöst, indem die Norm das anwendbare Recht bestimmt. Insbesondere für die eidgenössischen Gerichte bedeutet dies im Ergebnis jedoch nach wie vor, dass sie vom Anwendungsbereich des DSG ausgenommen sind, was Datenbearbeitungen im Rahmen ihrer Rechtsprechungstätigkeit angeht, wodurch der Gewaltenteilung Rechnung getragen wird.
Im Umkehrschluss ergibt sich aus Artikel 2 Absatz 3 jedoch auch, dass das DSG anwendbar ist auf Datenbearbeitungen durch die administrativen Dienste von Gerichten und Behörden, wie beispielsweise die Bearbeitung von Daten über das Personal. Ebenfalls müssen die Gerichte bei der Archivierung von Beweismitteln und Entscheiden die Datensicherheit gewährleisten. Dabei bestehen jedoch Ausnahmen von der Aufsicht durch den Beauftragten (vgl. Art. 3 Abs. 2 E‑DSG und die Erläuterungen).
Die Vorschrift von Artikel 2 Absatz 3 E‑DSG gilt nach Satz 2 nicht für erstinstanzliche Verwaltungsverfahren. Diese Regelung aus dem bisherigen Recht wird unverändert beibehalten.
Abs. 4 Öffentliche Register des Privatrechtsverkehrs
Die in Artikel 2 Absatz 2 Buchstabe d DSG vorgesehene Ausnahme betreffend die öffentlichen Register des Privatrechtsverkehrs ist mit den Anforderungen von Artikel 3 E‑SEV 108 nicht vereinbar. Das künftige Übereinkommen sieht nämlich keine Ausnahme für solche Register vor. Das Gleiche gilt für die Verordnung (EU) 2016/679.
Auch wenn es im Interesse der betroffenen Personen liegt, dass die öffentlichen Register des Privatrechtsverkehrs die Grundsätze des Datenschutzes einhalten, so besteht doch auch ein öffentliches Interesse an der Führung dieser Register und am Zugang dazu (siehe Erwägung 73 der Verordnung [EU] 2016/679). In einem Urteil vom 9. März 2017 hatte der Gerichtshof der Europäischen Union die Gelegenheit, sich zur Abgrenzung zwischen dem Datenschutz und der Öffentlichkeit eines von den italienischen Behörden geführten Handelsregisters zu äussern. In dieser Rechtssache verlangte ein ehemaliger Verwalter und Liquidator eines in Konkurs geratenen Unternehmens die Löschung bestimmter Daten zu seiner Person aus dem genannten Register. Zur Beilegung dieser Rechtsstreitigkeit ersuchte das italienische Kassationsgericht den Gerichtshof, zu prüfen, ob der in Artikel 6 Absatz 1 Buchstabe e der Richtlinie 95/46/EG verankerte Grundsatz der Datenaufbewahrung, wie in der ersten Richtlinie 68/151/EWG vorgesehen, Vorrang vor dem Regime der Öffentlichkeit von Handelsregistern haben soll. Nach diesem Grundsatz werden persönliche Daten nicht länger, als es für die Realisierung der Zwecke, für die sie erhoben oder weiterverarbeitet werden, erforderlich ist, in einer Form aufbewahrt, die die Identifizierung der betroffenen Personen ermöglicht.
Gemäss dem Gerichtshof soll die Öffentlichkeit des Handelsregisters die Rechtssicherheit zwischen den Unternehmen und Dritten gewährleisten und Letzteren ermöglichen, von wesentlichen Aktivitäten des betreffenden Unternehmens und von bestimmten Daten zu den vertretungsberechtigten Personen Kenntnis zu erlangen. Die Öffentlichkeit solcher Informationen ist auch nach der Auflösung eines Unternehmens gerechtfertigt. Denn es kann sich beispielsweise als notwendig erweisen, im Hinblick auf ein mögliches Gerichtsverfahren die Rechtmässigkeit von Handlungen eines Unternehmens während seiner Geschäftstätigkeit zu überprüfen. Gemäss dem Gerichtshof verunmöglichen aber die unterschiedlichen Verjährungsregelungen in den Mitgliedstaaten die Festlegung einer einheitlichen Frist ab Auflösung des Unternehmens, nach deren Ablauf die im Handelsregister erfassten Daten nicht mehr benötigt werden. Vor diesem Hintergrund hält der Gerichtshof fest, dass die Mitgliedstaaten nach Artikel 6 Absatz 1 Buchstabe e der Richtlinie 95/46/EG den betroffenen Personen beispielsweise nicht ein Recht auf Löschung ihrer Personendaten nach einer bestimmten Frist ab Auflösung des Unternehmens gewährleisten können. Wenn die Rechtssicherheit und der Schutz der Interessen Dritter überwiegen, ist es dennoch nicht ausgeschlossen, dass eine Person in besonderen und aussergewöhnlichen Situationen ein überwiegendes und schützenswertes Interesse daran geltend machen kann, dass der Zugang zu ihren Personendaten eingeschränkt wird. Der Gerichtshof kommt deshalb zum Schluss, dass es den Mitgliedstaaten obliegt zu bestimmen, ob die betroffenen Personen von der registerführenden Behörde verlangen können, im Einzelfall zu prüfen, ob es aufgrund eines überwiegenden schützenswerten Interesses ausnahmsweise gerechtfertigt ist, nach Ablauf einer ausreichenden Frist nach der Auflösung des betroffenen Unternehmens den Zugang zu ihren Personendaten einzuschränken. Zwar stützt sich das Urteil des Gerichtshofs auf die Richtlinie 95/46/EG, die ab Inkrafttreten der Verordnung (EU) 2016/679 nicht mehr anwendbar ist, die Erwägungen dieses Urteils bewahren ihre Gültigkeit aber auch für die neue Gesetzgebung.
Nach dem in Artikel 9 ZGB festgelegten Grundsatz erbringen öffentliche Register für die durch sie bezeugten Tatsachen vollen Beweis, solange nicht die Unrichtigkeit ihres Inhalts nachgewiesen ist. Angesichts des Zwecks dieser Register ist der Bundesrat der Ansicht, dass Datenschutzgründe die Öffentlichkeit der Register des Privatrechtsverkehrs nicht beeinträchtigen dürfen. Dasselbe gilt für die Register im Bereich des Immaterialgüterrechts: Der Gesetzgeber hat bereits eine Interessenabwägung vorgenommen und garantiert die Öffentlichkeit dieser Register. Nach Ansicht des Bundesrates ist es nicht Aufgabe des DSG, die Rechte der betroffenen Personen auf diesem Gebiet zu regeln. Deshalb ist in Absatz 4 eine Einschränkung zugunsten der Spezialbestimmungen des Bundesrechts vorzusehen. Die Änderung betrifft ausschliesslich öffentliche Register des Privatrechtsverkehrs, die von Bundesbehörden geführt werden, d. h. das elektronische Zivilstandsregister, Zefix, das Luftfahrzeugbuch des Bundesamts für Zivilluftfahrt und die Register des Eidgenössischen Instituts für Geistiges Eigentum (insbesondere das Marken‑, das Patent- und das Designregister).
Die öffentlichen Register des Privatrechtsverkehrs, für welche die Kantone zuständig sind, unterstehen dem kantonalen Datenschutzrecht. Dies gilt auch, wenn diese Daten im Rahmen des Vollzugs von Bundesrecht bearbeitet werden. Allerdings darf das kantonale Datenschutzrecht die korrekte und einheitliche Anwendung des Bundesprivatrechts und insbesondere den Grundsatz der Öffentlichkeit der Register nicht behindern. Die Aufhebung von Artikel 2 Absatz 2 Buchstabe d DSG hat daher auf die folgenden kantonalen Register keine Auswirkungen: das Grundbuch, das Schiffsregister, die kantonalen Handelsregister, die Betreibungs- und Konkursregister und das öffentliche Register über die Eigentumsvorbehalte. Absatz 4 hat ebenfalls keine Auswirkungen auf öffentlich-rechtliche Register wie z. B. das Medizinalberuferegister, auf die das betreffende Spezialgesetz anwendbar ist, subsidiär das DSG.
Räumlicher Geltungsbereich
Im Gegensatz zur Verordnung (EU) 2016/679 (Art. 3) enthält der E‑DSG keine besondere Bestimmung zum räumlichen Geltungsbereich des Gesetzes. Nach Auffassung des Bundesrates bietet bereits das geltende Recht die Möglichkeit, das DSG weitgehend auf Situationen mit internationalem Charakter anzuwenden. Aufgrund der Auswirkungstheorie gilt dies auch für das öffentliche Recht. Die Schwierigkeiten sind weniger beim räumlichen Geltungsbereich anzusiedeln als bei der Umsetzung und Vollstreckung von Entscheiden, insbesondere im Bereich des Internets. Der Bundesrat hat geprüft, ob die Verantwortlichen und die Auftragsbearbeiter dazu verpflichtet werden sollen, ein Zustellungsdomizil in der Schweiz anzugeben, um die Vollstreckung von Entscheiden, die sie betreffen, zu erleichtern. Er hat schliesslich aus denselben Gründen darauf verzichtet, die bereits im Bericht vom 11. Dezember 2015 betreffend die zivilrechtliche Verantwortlichkeit von Providern dargestellt worden sind. Vielmehr wäre eine Lösung über bi- oder multilaterale Rechtshilfeabkommen vorzuziehen, welche die direkte Postzustellung von Dokumenten ins Ausland ermöglichen. Solche Abkommen bestehen im Bereich des Zivilrechts bereits mit einigen Staaten, in denen bekannte Internetunternehmen ihren Sitz haben, wie beispielsweise Irland oder die Vereinigten Staaten. Der Bundesrat hat diesen Standpunkt im strafrechtlichen Bereich in seiner Stellungnahme zur Motion Levrat 16.4082 “Den Strafverfolgungsbehörden den Zugang zu Daten von sozialen Netzwerken erleichtern” bestätigt. Schliesslich weist er darauf hin, dass die Pflicht zur Bezeichnung eines Zustellungsdomizils im VwVG und im VGG vorgesehen ist.
Der Beauftragte hätte es vorgezogen, wenn die Gesetzesvorlage eine mit Artikel 3 der Verordnung (EU) 2016/679 vergleichbare Vorschrift enthalten hätte und die für die Datenbearbeitung Verantwortlichen verpflichtet worden wären, eine Vertretung in der Schweiz zu haben.
Art. 3 Räumlicher Geltungsbereich
1 Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
2 Für privatrechtliche Ansprüche gilt das Bundesgesetz vom 18. Dezember 1987 über das Internationale Privatrecht. Vorbehalten bleiben zudem die Bestimmungen zum räumlichen Geltungsbereich des Strafgesetzbuchs.
Art. 4 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
1 Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) beaufsichtigt die Anwendung der bundesrechtlichen Datenschutzvorschriften.
2 Von der Aufsicht durch den EDÖB sind ausgenommen:
Bot Art. 3 Eidgenössischer Datenschutz und Öffentlichkeitsbeauftragter (Zählg. gem. Entwurf)
Abs. 1 Aufsicht durch den Beauftragten
Absatz 1 nennt die zuständige Aufsichtsbehörde im Bereich des Datenschutzes. Er hält den Grundsatz fest, wonach der Beauftragte die Behörde ist, die für die Überwachung der Einhaltung der Datenschutzvorschriften des Bundes zuständig ist (vgl. Art. 39 ff. E‑DSG).
Im deutschen Gesetzestext wird ausschliesslich der männliche Begriff verwendet, wenn der Beauftragte in der fraglichen Bestimmung als Institution angesprochen ist. Dies ist in der Mehrheit der Gesetzesbestimmungen der Fall. Im ersten Abschnitt des 7. Kapitels ist hingegen (mit Ausnahme von Art. 42 E‑DSG) von der Person der oder des Beauftragten die Rede. In diesen Bestimmungen werden die männliche und die weibliche Formverwendet.
Abs. 2 Ausnahmen von der Aufsicht
Absatz 2 sieht verschiedene Ausnahmen von der Aufsicht des Beauftragten vor. Diese Ausnahmen liegen im Wesentlichen darin begründet, dass die Unterstellung der genannten Behörden unter die Aufsicht des Beauftragten die Gewaltenteilung und die Unabhängigkeit der Justiz beeinträchtigen würde.
Die Bundesversammlung (Bst. a) und der Bundesrat (Bst. b) sind von der Aufsicht des Beauftragten ausgenommen.
Soweit die Bearbeitung von Personendaten durch die eidgenössischen Gerichte unter das DSG fällt, sind sie von der Aufsicht durch den Beauftragten ausgenommen (Bst. c). Die Ausnahme ist im Hinblick darauf zu betrachten, dass der Beauftragte im E‑DSG neu die Kompetenz erhält, Verfügungen gegenüber Bundesorganen zu erlassen. Dadurch bestünde gegenüber den eidgenössischen Gerichten die Gefahr, dass die Unabhängigkeit der Gerichte und die Gewaltenteilung beeinträchtigt würden. Darüber hinaus sind namentlich das Bundesverwaltungsgericht und das Bundesgericht Beschwerdeinstanzen für Verfügungen des Datenschutzbeauftragten. Daher könnten sie dazu aufgerufen sein, einen Beschwerdeentscheid in eigener Sache zu fällen. Um den Anforderungen der Richtlinie (EU) 2016/680 und dem ESEV 108 gerecht zu werden, wird jedes eidgenössische Gericht eine eigene unabhängige Datenschutzaufsicht in die Wege leiten. Diese wird, soweit angebracht, analog zu jener des Beauftragten ausgestaltet sein. Die Einrichtung erfolgt über die Anpassung der entsprechenden Verordnungen der jeweiligen eidgenössischen Gerichte, sobald das revidierte DSG in Kraft getreten ist.
Nach Buchstabe d ist auch die Bundesanwaltschaft von der Aufsicht durch den Beauftragten ausgenommen, soweit sie Personendaten im Rahmen von Strafverfahren bearbeitet. Der Aufsicht des Beauftragten unterstellt bleiben hingegen die eidgenössischen Polizeibehörden, selbst wenn diese im Auftrag der Bundesanwaltschaft handeln. Der Beauftragte wendet dabei die Datenschutzbestimmungen des anwendbaren Verfahrensrechts an (vgl. Art. 2 Abs. 3 E‑DSG).
Gemäss Buchstabe e sind schliesslich Bundesbehörden von der Aufsicht des Beauftragten ausgenommen, soweit sie Personendaten im Rahmen einer rechtsprechenden Tätigkeit oder von Verfahren der internationalen Rechtshilfe in Strafsachen bearbeiten. Diese Ausnahme betrifft hauptsächlich die Bundesanwaltschaft und das Bundesamt für Justiz. Nach der Erklärung des Bundesrates zu Artikel 1 des Europäischen Übereinkommens vom 20. April 1959 über die Rechtshilfe in Strafsachen ist das Bundesamt für Justiz als schweizerische Justizbehörde im Sinne des Übereinkommens zu betrachten. Die Ausnahme ist allerdings von beschränkter Tragweite. Denn der Beauftragte kann die Rechtmässigkeit einer Datenbearbeitung überprüfen, wenn eine betroffene Person ihre Rechte nach Artikel 11c E‑IRSG geltend macht.
2. Kapitel: Allgemeine Bestimmungen
1. Abschnitt: Begriffe und Grundsätze
Art. 5 Begriffe
In diesem Gesetz bedeuten:
Bot Art. 4 Begriffe (Zählg. gem. Entwurf)
Es ist darauf hinzuweisen, dass der E‑DSG grundsätzlich den Begriff der Personendaten verwendet. Innerhalb desselben Absatzes wird insbesondere im deutschen Text synonym auch der Begriff Daten verwendet, wenn eindeutig ist, dass damit Personendaten gemeint sind.
Der Begriff der Personendaten wird im Vergleich zum bisherigen Recht insofern verändert, als das DSG auf juristische Personen nicht mehr anwendbar ist. Bei Personendaten handelt es sich somit um alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Eine natürliche Person ist bestimmbar, wenn sie direkt oder indirekt identifiziert werden kann, beispielsweise über den Hinweis auf Informationen, die sich aus den Umständen oder dem Kontext ableiten lassen (Identifikationsnummer, Standortdaten, spezifische Aspekte, die ihre physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder gesellschaftliche Identität betreffen). Die Identifizierung kann über eine einzige Information möglich sein (Telefonnummer, Hausnummer, AHV-Nummer, Fingerabdrücke) oder über den Abgleich verschiedener Informationen (Adresse, Geburtsdatum, Zivilstand). Wie auch nach geltendem Recht reicht die rein theoretische Möglichkeit, dass jemand identifiziert werden kann, nicht aus, um anzunehmen, eine Person sei bestimmbar. So hält der Bundesrat in seiner Botschaft zum DSG von 1988 fest:
“Ist der Aufwand für die Bestimmung der betroffenen Personen derart gross, dass nach der allgemeinen Lebenserfahrung nicht damit gerechnet werden muss, dass ein Interessent diesen auf sich nehmen wird […], liegt keine Bestimmbarkeit vor.”
Vielmehr muss die Gesamtheit der Mittel betrachtet werden, die vernünftigerweise eingesetzt werden können, um eine Person zu identifizieren. Ob der Einsatz dieser Mittel vernünftig ist, muss mit Blick auf die Umstände, etwa den zeitlichen und finanziellen Aufwand für die Identifizierung, beurteilt werden. Dabei sind die zum Zeitpunkt der Bearbeitung verfügbaren Technologien und deren Weiterentwicklung zu berücksichtigen.
Das Gesetz gilt nicht für anonymisierte Daten, wenn eine Identifizierung durch Dritte unmöglich ist (die Daten wurden vollständig und endgültig anonymisiert) oder wenn dies nur mit einem hohen Aufwand möglich wäre, den kein Interessent auf sich nehmen würde. Das gilt ebenfalls für pseudonymisierte Daten.
Bst. b Betroffene Person
Betroffene Personen sind natürliche Personen, über die Daten bearbeitet werden. Die Beschränkung auf natürliche Personen ergibt sich aus der Aufhebung des Schutzes für Daten juristischer Personen (siehe die Erläuterungen zu Art. 2 Abs. 1 E‑DSG unter Ziff. 9.1.2).
Bst. c Besonders schützenswerte Personendaten
Ziffer 1 wird nicht geändert.
Ziffer 2 wird ergänzt: Der Begriff der besonders schützenswerten Personendaten wird in Einklang mit der Richtlinie (EU) 2016/680 (Art. 10) und der Verordnung (EU) 2016/679 auf die Daten zur ethnischen Herkunft ausgeweitet. Der E‑DSG behält den Verweis auf die Rassenzugehörigkeit bei. Wie die Europäische Union hält auch der Bundesrat fest, dass die Verwendung dieses Begriffs nicht bedeutet, dass er Theorien gutheisst, mit denen versucht wird, die Existenz verschiedener menschlicher Rassen zu belegen. Die Vorlage behält auch den Verweis auf die Daten über die Gesundheit und die Intimsphäre bei. Als Daten über die Intimsphäre gelten namentlich die Daten über das Sexualleben und die sexuelle Orientierung der betroffenen Person (siehe ebenfalls das Übereinkommen SEV 108 [Art. 6 Abs. 1], die Richtlinie [EU] 2016/680 [Art. 10] und die Verordnung [EU] 2016/679 [Art. 9]). Je nach Umständen kann auch die Geschlechtsidentität einer Person unter diesen Begriff (oder unter die Daten über die Gesundheit)fallen.
Der Begriff “besonders schützenswerte Personendaten” wird ausserdem auf genetische Daten (Ziff. 3) und biometrische Daten, die ein Individuum eindeutig identifizieren (Ziff. 4), ausgeweitet. Mit dieser Änderung werden die Anforderungen des E‑SEV 108 (Art. 6 Abs. 1) sowie der Richtlinie (EU) 2016/680 (Art. 10) umgesetzt. Die Verordnung (EU) 2016/679 (Art. 9) sieht eine ähnliche Regelung vor.
Genetische Daten sind Informationen über das Erbgut einer Person, die durch eine genetische Untersuchung gewonnen werden; darin eingeschlossen ist auch das DNA-Profil (Art. 3 Bst. l des Bundesgesetzes vom 8. Oktober 2004 über genetische Untersuchungen beim Menschen [GUMG]).
Unter biometrischen Daten sind hier Personendaten zu verstehen, die durch ein spezifisches technisches Verfahren zu den physischen, physiologischen oder verhaltenstypischen Merkmalen eines Individuums gewonnen werden und die eine eindeutige Identifizierung der betreffenden Person ermöglichen oder bestätigen. Es handelt sich dabei beispielsweise um einen digitalen Fingerabdruck, Gesichtsbilder, Bilder der Iris oder Aufnahmen der Stimme. Diese Daten müssen zwingend auf einem spezifischen technischen Verfahren beruhen, das die eindeutige Identifizierung oder Authentifizierung einer Person erlaubt. Dies ist beispielsweise grundsätzlich nicht der Fall bei gewöhnlichen Fotografien.
Bst. d Bearbeiten
Der Begriff des Bearbeitens bleibt inhaltlich unverändert. Synonym wird häufig auch der Begriff der Bearbeitung verwendet. Die Liste wurde jedoch ergänzt um “Speichern” und “Löschen” mit dem Ziel, sich dem Wortlaut des Europäischen Rechts anzunähern (Art. 2 Bst. b E‑SEV 108, Art. 4 Ziff. 2 der Verordnung [EU] 2016/679 und Art. 3 Ziff. 2 der Richtlinie [EU] 2016/680). Wie im aktuellen Recht ist die Liste der möglichen Bearbeitungsvorgänge nicht abschliessend, sodass zahlreiche Operationen darunter fallen können (Organisation, Sortieren, Verändern, Auswerten von Daten etc.). Der Begriff “Vernichten” ist stärker als der Begriff “Löschen” und impliziert, dass die Daten unwiderbringlich zerstört werden. Wenn die Daten auf Papier vorhanden sind, ist dieses zu verbrennen oder zu schreddern. Schwieriger gestaltet sich die Datenvernichtung bei elektronischen Daten. Wurden die Daten mittels einer CD oder eines USB-Sticks übermittelt, muss einerseits der Datenträger unbrauchbar gemacht werden und andererseits sind alle Kopien so zu behandeln, dass die Daten auch nicht mehr lesbar gemacht werden können. Bei Personendaten, die im Anhang eines E‑Mails übermittelt wurden, müssen auch allfällige Zwischenspeicherungen dieses E‑Mails vernichtet werden. Übliche Löschbefehle oder eine reine Umformatierung stellen keine Vernichtung, sondern eine Löschung dar. Anders als das Schweizer Recht verwendet die Europäische Union den Begriff des Verarbeitens statt des Bearbeitens. Aus Praktikabilitätsgründen wurde darauf verzichtet, das Schweizer Recht auch in dieser Hinsicht anzupassen, zumal inhaltlich kein Unterschied besteht.
Bst. f Profiling
Der Bundesrat schlägt vor, den Begriff “Persönlichkeitsprofil”, der in Artikel 3 Buchstabe d DSG definiert ist, aufzuheben. Der Begriff “Persönlichkeitsprofil” ist eine Besonderheit unserer Gesetzgebung. Weder das europäische Recht noch andere ausländische Gesetzgebungen kennen diesen Begriff. Nach dem Inkrafttreten des DSG im Jahr 1992 kam ihm keine grosse Bedeutung zu, heute scheint er durch die Entwicklung neuer Technologien überholt. An seiner Stelle wird im E‑DSG der Begriff des “Profiling” verwendet. Der Begriff findet sich in Artikel 3 Ziffer 4 der Richtlinie (EU) 2016/680 und Artikel 4 Ziffer 4 der Verordnung (EU) 2016/679. Obwohl die beiden Begriffe Ähnlichkeiten aufweisen, sind sie nicht deckungsgleich. Das Persönlichkeitsprofil ist das Ergebnis eines Bearbeitungsprozesses und erfasst damit etwas Statisches. Hingegen umschreibt das Profiling eine bestimmte Form der Datenbearbeitung, mithin einen dynamischen Prozess. Darüber hinaus ist der Vorgang des Profilings auf einen bestimmten Zweckausgerichtet.
Der Begriff des Profilings wird aufgrund der Stellungnahmen in der Vernehmlassung inhaltlich an die europäische Terminologie angepasst und erfasst nun insbesondere nur noch die automatisierte Bearbeitung von Personendaten. So ist Profiling definiert als die Bewertung bestimmter Merkmale einer Person auf der Grundlage von automatisiert bearbeiteten Personendaten, insbesondere um die Arbeitsleistung, die wirtschaftlichen Verhältnisse, die Gesundheit, das Verhalten, die Interessen, den Aufenthaltsort oder die Mobilität zu analysieren oder vorherzusagen. Diese Analyse kann beispielsweise erfolgen, um herauszufinden, ob eine Person für eine bestimmte Tätigkeit geeignet ist. Ein Profiling ist mit anderen Worten dadurch gekennzeichnet, dass Personendaten automatisiert ausgewertet werden, um auf der Grundlage dieser Auswertung, ebenfalls in automatisierter Weise, die Merkmale einer Person zu bewerten. Ein Profiling liegt somit nur vor, wenn der Bewertungsprozess vollständig automatisiert ist. Als automatisierte Auswertung ist jede Auswertung mit Hilfe von computergestützten Analysetechniken zu betrachten. Dazu können auch Algorithmen verwendet werden, aber deren Verwendung ist nicht konstitutiv für das Vorliegen eines Profilings. Vielmehr ist lediglich verlangt, dass ein automatisierter Auswertungsvorgang stattfindet; liegt hingegen lediglich eine Ansammlung von Daten vor, ohne dass diese ausgewertet werden, erfolgt noch kein Profiling. Die automatisierte Bewertung erfolgt insbesondere, um bestimmte Verhaltensweisen dieser Person zu analysieren oder vorherzusagen. Das Gesetz nennt beispielhaft einige Merkmale einer Person wie die Arbeitsleistung, die wirtschaftliche Lage oder die Gesundheit. Denkbar sind aber auch andere Merkmale wie die Interessen, die Vertrauenswürdigkeit oder der Aufenthaltsort. Ohne Bedeutung ist dabei, ob der Verantwortliche, der das Profiling betreibt, dies für eigene Zwecke tut oder für einen Dritten.
Da der Begriff des Persönlichkeitsprofils nicht mehr verwendet wird, müssen auch die gesetzlichen Grundlagen angepasst werden, die Bundesorganen die Bearbeitung von Persönlichkeitsprofilen erlauben (vgl. Ziff. 9.2.2).
Daten, welche aufgrund eines Profilings entstehen, sind grundsätzlich Personendaten im Sinne von Artikel 4 Buchstabe a E‑DSG. Je nach Gegenstand kann es sich dabei auch um besonders schützenswerte Personendaten handeln.
Bst. g Verletzung der Datensicherheit
Anders als der Vorentwurf enthält der E‑DSG eine Definition der Verletzung der Datensicherheit, weil sich in der Vernehmlassung herausstellte, dass der Begriff zu wenig klar ist. Demnach handelt es sich um eine Verletzung der Datensicherheit, wenn ein Vorgang dazu führt, dass Personendaten verlorengehen, gelöscht oder vernichtet, verändert oder Unbefugten offengelegt oder zugänglich gemacht werden. Dies gilt ungeachtet davon, ob der Vorgang mit Absicht geschieht oder nicht, ob er widerrechtlich ist oder nicht. Der Begriff knüpft an Artikel 7 an, wonach der Verantwortliche und der Auftragsbearbeiter technische und organisatorische Massnahmen ergreifen müssen, um die Datensicherheit zu gewährleisten. Inhaltlich entspricht der Begriff Artikel 7 Absatz 2 E‑SEV 108, Artikel 3 Ziffer 11 der Richtlinie (EU) 2016/680 und Artikel 4 Ziffer 12 der Verordnung (EU) 2016/679.
Massgebend ist alleine, ob die fraglichen Vorgänge geschehen. Irrelevant für das Vorliegen einer Verletzung der Datensicherheit ist ebenfalls, ob lediglich die Möglichkeit bestand, dass die Personendaten Unbefugten offengelegt oder zugänglich gemacht wurden, oder ob ein solcher Zugang tatsächlich stattgefunden hat. Geht beispielsweise ein Datenträger verloren, lässt sich oft kaum nachweisen, ob die darauf gespeicherten Daten tatsächlich durch Unbefugte eingesehen oder verwendet wurden. Daher stellt bereits der Verlust als solches eine Verletzung der Datensicherheit dar. Der Umfang und die Bedeutung einer Verletzung der Datensicherheit sind vielmehr relevant für die zu treffenden Massnahmen, insbesondere die Einschätzung des Risikos nach Artikel 22 Absatz 1.
Bst. i Verantwortlicher
Der E‑DSG sieht vor, den Begriff “Inhaber der Datensammlung” durch “Verantwortlicher” zu ersetzen, damit die gleiche Terminologie wie im E‑SEV 108 (Art. 2 Bst. d), in der Richtlinie (EU) 2016/680 (Art. 3 Ziff. 8) und in der Verordnung (EU) 2016/679 (Art. 4 Ziff. 7) verwendet wird. Abgesehen davon, dass der Verweis auf die Datensammlung aufgehoben wird, ergibt sich hier keine materielle Änderung. Der Verantwortliche ist wie der Inhaber der Datensammlung derjenige, der über den Zweck und die Mittel (materielle oder automatisierte Bearbeitung, verwendete Software) der Bearbeitung entscheidet. Im deutschen Gesetzestext wird ausschliesslich die männliche Form verwendet, da es sich bei den Verantwortlichen überwiegend, aber nicht ausschliesslich um juristische Personenhandelt.
Bst. j Auftragsbearbeiter
Dabei handelt es sich um die private Person oder das Bundesorgan, die oder das im Auftrag des Verantwortlichen Daten bearbeitet. Dieser Begriff entspricht jenem im E‑SEV 108 (Art. 2 Bst. f), in der Richtlinie (EU) 2016/680 (Art. 3 Ziff. 9) und in der Verordnung (EU) 2016/679 (Art. 4 Ziff. 8).
Der Vertrag zwischen dem Verantwortlichen und dem Auftragsbearbeiter kann unterschiedlicher Art sein. Je nach den Verpflichtungen des Auftragsbearbeiters kann es sich um einen Auftrag (Art. 394 ff. OR), um einen Werkvertrag (Art. 363 ff. OR) oder um einen gemischten Vertrag handeln. Der Auftragsbearbeiter ist ab dem Zeitpunkt, an dem er seine vertragliche Tätigkeit im Auftrag des Verantwortlichen beginnt, kein Dritter mehr.
Im deutschen Gesetzestext wird ausschliesslich die männliche Form verwendet, da es sich bei den Auftragsbearbeitern überwiegend, aber nicht ausschliesslich um juristische Personenhandelt.
Unveränderte Begriffe
Die folgenden Begriffe bleiben im Vergleich zum geltenden Recht unverändert bzw. erfahren lediglich redaktionelle Änderungen: Bekanntgeben (Bst. e) und Bundesorgan (Bst. h).
Aufgehobene Begriffe
Neben den Begriffen des Persönlichkeitsprofils und des Inhabers der Datensammlung hebt die Vorlage folgende Begriffe auf:
- Datensammlung: Der E‑DSG sieht vor, auf diesen Begriff zu verzichten. Dies entspricht der Lösung im E‑SEV 108, in dem stattdessen der Begriff – Bearbeiten von Daten verwendet wird. Dank den neuen Technologien können Daten heute wie eine Datensammlung genutzt werden, auch wenn sie nicht zentral gespeichert sind. Ein anschauliches Beispiel ist das Profiling, bei dem auf verschiedene Quellen zugegriffen wird, die keine Datensammlungen darstellen, um anhand der erhobenen Daten bestimmte Merkmale einer Person zu beurteilen. Nach dem derzeitigen Recht fallen solche Aktivitäten nicht unter die Gesetzesbestimmungen, die das Bestehen einer Datensammlung voraussetzen – wie beispielsweise das Auskunftsrecht (Art. 8 DSG) oder die Informationspflicht (Art. 14 DSG) –, während gerade in diesem Zusammenhang mehr Transparenz erforderlich ist. Im Übrigen weist der Bundesrat darauf hin, dass ein Teil der Lehre den Begriff Datensammlung sehr weit auslegt. Dabei besteht das entscheidende Kriterium darin, dass die Zuweisung von Daten zu einer Person keinen unverhältnismässigen Aufwand verursachen darf. Gesetz im formellen Sinn: Der E‑DSG sieht vor, auf diese Begriffsdefinition zu verzichten, da sie nicht nötig ist.
- Gesetz im formellen Sinn: Der E‑DSG sieht vor, auf diese Begriffsdefinition zu verzichten, da sie nicht nötig ist.
Art. 6 Grundsätze
1 Personendaten müssen rechtmässig bearbeitet werden.
2 Die Bearbeitung muss nach Treu und Glauben erfolgen und verhältnismässig sein.
3 Personendaten dürfen nur zu einem bestimmten und für die betroffene Person erkennbaren Zweck beschafft werden; sie dürfen nur so bearbeitet werden, dass es mit diesem Zweck vereinbar ist.
4 Sie werden vernichtet oder anonymisiert, sobald sie zum Zweck der Bearbeitung nicht mehr erforderlich sind.
5 Wer Personendaten bearbeitet, muss sich über deren Richtigkeit vergewissern. Sie oder er muss alle angemessenen Massnahmen treffen, damit die Daten berichtigt, gelöscht oder vernichtet werden, die im Hinblick auf den Zweck ihrer Beschaffung oder Bearbeitung unrichtig oder unvollständig sind. Die Angemessenheit der Massnahmen hängt namentlich ab von der Art und dem Umfang der Bearbeitung sowie vom Risiko, das die Bearbeitung für die Persönlichkeit und Grundrechte der betroffenen Personen mit sich bringt.
6 Ist die Einwilligung der betroffenen Person erforderlich, so ist diese Einwilligung nur gültig, wenn sie für eine oder mehrere bestimmte Bearbeitungen nach angemessener Information freiwillig erteilt wird.
7 Die Einwilligung muss ausdrücklich erfolgen für:
Bot Art. 5 Grundsätze (Zählg. gem. Entwurf)
Die französische Version von Absatz 2 erfährt eine redaktionelle Änderung.
Gemäss dem Grundsatz der Verhältnismässigkeit dürfen nur Daten bearbeitet werden, die für den Zweck der Bearbeitung geeignet und nötig sind. Zudem muss ein angemessenes Verhältnis zwischen dem Zweck und dem verwendeten Mittel bestehen, und die Rechte der betroffenen Personen sind soweit wie möglich zu wahren (Grundsatz der Verhältnismässigkeit im engeren Sinn). Die Grundsätze der Datenvermeidung und der Datensparsamkeit sind beide Ausdruck davon. Der erste impliziert, dass diese Option zu bevorzugen ist, wenn der Zweck der Bearbeitung erreicht werden kann, ohne dass neue Daten beschafft werden. Der zweite verlangt, dass nur Daten bearbeitet werden, die für den verfolgten Zweck absolut notwendig sind. Diese beiden Grundsätze sind bereits bei der Planung neuer Systeme zu beachten. Somit überschneiden sie sich teilweise mit den Grundsätzen des Datenschutzes durch Technik und durch datenschutzfreundliche Voreinstellungen (siehe Erläuterungen zu Art. 6 E‑DSG).
Abs. 3 Zweckbindung und Erkennbarkeit
Absatz 3 vereinigt die Grundsätze der Zweckbindung und der Erkennbarkeit, die gegenwärtig in den Absätzen 3 und 4 des Gesetzes enthalten sind. Damit das Bundesrecht besser mit dem Wortlaut des E‑SEV 108 übereinstimmt (Art. 5 Abs. 4 Bst. b), ist im E‑DSG vorgesehen, dass Daten nur zu einem bestimmten und für die betroffene Person erkennbaren Zweck beschafft werden dürfen. Diese neue Formulierung hat im Vergleich zum geltenden Recht keine materiellen Änderungen zur Folge. Sowohl die Beschaffung der Daten als auch der Zweck ihrer Bearbeitung müssen erkennbar sein. Dies ist grundsätzlich der Fall, wenn die betroffene Person informiert wird, die Bearbeitung gesetzlich vorgesehen oder aus den Umständen klar ersichtlich ist. Die Bestimmtheit des Zwecks bedingt, dass vage, nicht definierte oder unpräzise Bearbeitungszwecke nicht genügen. Diese Eigenschaft wird nach den Umständen beurteilt, wobei ein Ausgleich zwischen den Interessen der betroffenen Personen und denen des Verantwortlichen bzw. des Auftragsbearbeiters und der Gesellschaft erfolgen muss.
Absatz 3 hält fest, dass Daten nur in einer Weise bearbeitet werden dürfen, die mit dem anfänglichen Zweck zu vereinbaren ist. Diese neue Formulierung ermöglicht eine terminologische Annäherung des Gesetzes an den E‑SEV 108 (Art. 5 Abs. 4 Bst. b). Sie bringt jedoch keine wesentlichen Änderungen mit sich: Wie bereits heute ist eine Weiterbearbeitung nicht zulässig, wenn die betroffene Person dies berechtigterweise als unerwartet, unangebracht oder beanstandbar erachten kann (siehe auch Ziffer 47 des erläuternden Berichts zum E‑SEV 108 vom CAHDATA). Dabei sind etwa folgende Fälle denkbar:
- die Weiterverwendung von Adressen zu Werbezwecken, die beim Unterschriftensammeln für eine politische Kampagne erfasst wurden;
- die Beschaffung und Analyse von Daten über Konsumgewohnheiten (zu anderen Zwecken als zur Betrugsbekämpfung) gestützt auf Zahlungen, die mit einer Kredit- oder Kundenkarte getätigt wurden, ohne Einwilligung der betroffenen Person;
- das Sammeln und Benutzen von E‑Mail-Adressen, welche die betroffene Person zu einem bestimmten Zweck über das Internet bekannt gegeben hat, um später Spamnachrichten zu versenden; die Beschaffung von IP-Adressen von Anschlussinhabern, die Raubkopien zum Herunterladen anbieten, durch ein Privatunternehmen. Übermittelt die betroffene Person ihre Adresse dagegen im Hinblick auf den Erhalt einer Kundenkarte oder für eine Bestellung (online oder nicht), so liegt die Weiterbenutzung dieser Adresse durch das betreffende Unternehmen zu Werbezwecken im Rahmen einer anfänglich erkennbaren Zweckbestimmung und kann mithin als mit dem anfänglichen Zweck vereinbar angesehen werden. Ist die Änderung des anfänglichen Zwecks gesetzlich vorgesehen, wird sie durch eine Gesetzesänderung verlangt oder ist sie durch einen anderen Rechtfertigungsgrund legitimiert (z. B. durch die Einwilligung der betroffenen Person), so gilt die Weiterbearbeitung ebenfalls als mit dem anfänglichen Zweck vereinbar.
Abs. 4 Dauer der Aufbewahrung der Personendaten
Gemäss Absatz 4 müssen Daten vernichtet oder anonymisiert werden, sobald sie zum Zweck der Bearbeitung nicht mehr erforderlich sind. Dies entspricht den Anforderungen des E‑SEV 108 (Art. 5 Abs. 4 Bst. e, vgl. ebenfalls Ziffer 51 des Entwurfs des erläuternden Berichts zum E‑SEV 108 vom CAHDATA), der Richtlinie (EU) 2016/680 (Art. 4 Abs. 1 Bst. e) und der Verordnung (EU) 2016/679 (Art. 5 Abs. 1 Bst. e). Die Verpflichtung ergibt sich implizit auch aus dem allgemeinen Verhältnismässigkeitsgrundsatz, der in Absatz 2 der Bestimmung festgehalten ist. Der Bundesrat hält es indes für wichtig, diese Verpflichtung im Hinblick auf die technologische Entwicklung und die beinahe unbegrenzten Speichermöglichkeiten noch ausdrücklich festzuhalten. Die Einhaltung dieser Verpflichtung bedingt, dass der Verantwortliche Aufbewahrungsfristen festlegt. Vorbehalten bleiben spezielle Regelungen, die besondere Aufbewahrungsfristenvorsehen.
Abs. 5 Richtigkeit
Artikel 5 Absatz 5 E‑DSG übernimmt den Grundsatz der Richtigkeit der Daten, der gegenwärtig in Artikel 5 DSG enthalten ist. Auf diese Weise werden die wichtigsten Datenschutzgrundsätze in einer einzigen Bestimmung zusammengefasst, wie dies auch in Artikel 5 E‑SEV 108, in Artikel 4 der Richtlinie (EU) 2016/680 und in Artikel 5 der Verordnung (EU) 2016/679 der Fall ist. Im französischen Text wird der Begriff “correctes” durch “exactes” ersetzt; auf Deutsch und Italienisch stimmt die verwendete Terminologie bereits jetzt überein.
Der Absatz hält fest, dass jede Person, die Daten bearbeitet, sich über deren Richtigkeit zu vergewissern hat. Sie hat alle angemessenen Massnahmen zu treffen, damit die Daten, die im Hinblick auf den Zweck ihrer Beschaffung oder Bearbeitung unrichtig oder unvollständig sind, berichtigt, gelöscht oder vernichtet werden. Daten, die nicht korrigiert oder ergänzt werden können, sind zu löschen oder zu vernichten. Der Umfang dieser Vergewisserungspflicht ist im Einzelfall zu bestimmen. Er hängt insbesondere vom Zweck und Umfang der Bearbeitung sowie von der Art der bearbeiteten Daten ab. Je nach Fall kann diese Pflicht bedeuten, dass die Daten aktuell gehalten werden.
Bestimmte gesetzliche Pflichten können der Berichtigung, der Löschung oder der Aktualisierung der Daten entgegenstehen. Zudem sind der Grundsatz der Richtigkeit und die damit verbundenen Pflichten in Bezug auf die Tätigkeit von Archiven, Museen, Bibliotheken und anderen Gedächtnisinstitutionen differenziert zu betrachten. Die Aufgabe solcher Institutionen ist es namentlich, Dokumente (auch digitale) aller Art zu sammeln, zu erschliessen, zu erhalten und zu vermitteln (vgl. Art. 2 Abs. 1 des Nationalbibliotheksgesetzes vom 18. Dezember 1992). Die fraglichen Dokumente als solche dürfen dabei nicht verändert werden, weil dies dem Zweck der Archivierung zuwiderlaufen würde. Denn Archive sollen mit Hilfe von Dokumenten eine Momentaufnahme der Vergangenheit erlauben, deren “Richtigkeit” sichalleindaraufbezieht,dassdiefraglichenDokumenteoriginalgetreuwiedergegeben werden. Archive geben mit anderen Worten wieder, wie etwas in der Vergangenheit war, unabhängig davon, ob dies aus aktueller Perspektive noch als zutreffend erachtet wird. An dieser spezifischen Tätigkeit besteht ein erhebliches öffentliches Interesse (diesbezüglich siehe Art. 28 Abs. 1 Bst. b und 37 Abs. 5 E‑DSG sowie die entsprechenden Erläuterungen unter Ziff. 9.1.6 und9.1.7).
Abs. 6 Einwilligung
Sofern eine Einwilligung der betroffenen Person erforderlich ist, ist eine solche gemäss Absatz 6 nur gültig, wenn sie für eine oder mehrere bestimmte Bearbeitungen nach angemessener Information freiwillig und eindeutig erfolgt. Die betroffene Person drückt damit ihre Zustimmung zu einer Verletzung der Persönlichkeit aus, die vorliegend durch eine Datenbearbeitung erfolgt.
Die etwas geänderte Formulierung ermöglicht eine terminologische Annäherung an den E‑SEV 108 (Art. 5 Abs. 2), um dessen Anforderungen gerecht zu werden. Daraus folgt indessen keine grundsätzliche Änderung der aktuellen Rechtslage. Wie bereits nach dem bestehenden Recht muss für eine gültige Einwilligung die Bearbeitung, insbesondere deren Umfang und Zweck, hinreichend bestimmt sein. Dabei kann auch in mehrere gleichgelagerte oder verschiedene Bearbeitungen eingewilligt werden. Ebenso ist möglich, dass der Bearbeitungszweck verschiedene Bearbeitungen erfordert. So kann beispielsweise die Heilbehandlung bei einer Ärztin oder einem Arzt den Austausch mit vor- oder nachbehandelnden Fachpersonen und Diensten erfordern, ebenso die Bearbeitung zu Abrechnungszwecken oder Abklärungen mit Versicherungen. Die Einwilligung muss den Zweck der Bearbeitung abdecken, für den sie als Rechtfertigungsgrund dient. Werden die Daten noch zu weiteren Zwecken bearbeitet, in die nicht eingewilligt wurde, muss diese Bearbeitung durch andere Gründe gerechtfertigt sein. Die Einwilligung muss darüber hinaus eindeutig sein. Demnach muss aus der Erklärung der betroffenen Person deren Wille zweifelsfrei hervorgehen. Dies hängt von den konkreten Umständen des Einzelfalls ab. Gemäss dem Verhältnismässigkeitsgrundsatz muss die Zustimmung umso eindeutiger sein, je sensibler die fraglichen Personendaten sind. Die Einwilligung kann nach wie vor formfrei erfolgen und ist damit insbesondere nicht an eine schriftliche Erklärung gebunden. Eine eindeutige Einwilligung im Sinne von Absatz 6 kann auch durch eine stillschweigende Willenserklärung erfolgen (vgl. Art. 1 OR). Eine solche liegt vor, wenn sich die Willensäusserung nicht aus der Erklärung selbst ergibt, sondern durch ein Verhalten, das aufgrund der Umstände, in denen es erfolgt, als eindeutiger Ausdruck des Willens verstanden werden kann. Dies ist der Fall bei sogenanntem konkludentem (schlüssigem) Verhalten, bei dem die erklärende Person ihren Willen äussert, indem sie ihn durch eine entsprechende Handlung deutlich macht, z. B. indem sie ihre vertragliche Pflicht erfüllt. Es muss mithin eine Willensäusserung erfolgen, sodass grundsätzlich blosses Schweigen oder Untätigkeit nicht als gültige Einwilligung in eine Persönlichkeitsverletzung gelten kann. Vorbehalten bleibt Artikel 6 OR, wenn die Parteien Schweigen als Zustimmung vereinbart haben.
Gemäss dem zweiten Satz von Absatz 6 muss die Einwilligung ausdrücklich erfolgen, wenn es um die Bearbeitung besonders schützenswerter Personendaten und das Profiling geht. An die Einwilligung für das Profiling werden ebenfalls erhöhte Anforderungen gestellt, wie dies bereits im geltenden Recht für die Bearbeitung von Persönlichkeitsprofilen der Fall ist. “Ausdrücklich” ist eine erhöhte Anforderung an die “eindeutige” Einwilligung gemäss Satz 1 dieser Bestimmung. Die Tragweite dieser Anforderung ist bereits im aktuellen Recht teilweise umstritten. Der Bundesrat sieht indes keinen Anlass, von der aktuellen Rechtslage abzuweichen. Zur Klärung der Begrifflichkeiten werden allerdings in der französischen und italienischen Version des Textes die Begriffe “explicite” und “esplicito” durch die Begriffe “exprès” und “espresso” ersetzt und damit an die Terminologie von Artikel 1 OR angepasst. Der deutsche Text erfährt keine Änderung. Eine Willenserklärung ist “ausdrücklich”, wenn sie durch geschriebene oder gesprochene Worte oder ein Zeichen erfolgt und der geäusserte Willen aus den verwendeten Worten oder dem Zeichen unmittelbar hervorgeht. Die Willensäusserung als solche muss durch die Art und Weise, in der sie erfolgt, bereits Klarheit über den Willen schaffen. Dies ist insbesondere möglich durch das Ankreuzen eines Kästchens, die aktive Auswahl bestimmter technischer Parameter für die Dienste eines Informationsverarbeitungsunternehmens oder anderweitige Erklärungen. Dasselbe gilt für die nonverbale Äusserung mittels eines im konkreten Kontext klaren Zeichens oder einer entsprechenden Bewegung, was namentlich im Rahmen eines ärztlichen Behandlungsverhältnisses häufig der Fall sein kann. Beispiele hierfür sind das zustimmende Kopfnicken oder das Öffnen des Mundes zur Entnahme von Wangenschleimhaut im Anschluss an die klare Aufklärung. Wo eine ausdrückliche Einwilligung erforderlich ist, kann diese nicht stillschweigend gegeben werden.
Art. 7 Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen
1 Der Verantwortliche ist verpflichtet, die Datenbearbeitung technisch und organisatorisch so auszugestalten, dass die Datenschutzvorschriften eingehalten werden, insbesondere die Grundsätze nach Artikel 6. Er berücksichtigt dies ab der Planung.
2 Die technischen und organisatorischen Massnahmen müssen insbesondere dem Stand der Technik, der Art und dem Umfang der Datenbearbeitung sowie dem Risiko, das die Bearbeitung für die Persönlichkeit oder die Grundrechte der betroffenen Personen mit sich bringt, angemessen sein.
3 Der Verantwortliche ist verpflichtet, mittels geeigneter Voreinstellungen sicherzustellen, dass die Bearbeitung der Personendaten auf das für den Verwendungszweck nötige Mindestmass beschränkt ist, soweit die betroffene Person nicht etwas anderes bestimmt.
Bot Art. 6 Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen (Zählg. gem. Entwurf)
Artikel 6 E‑DSG führt die Pflicht zum Datenschutz durch Technik sowie durch datenschutzfreundliche Voreinstellungen ein. Weil diese Pflichten eng mit den Datenschutzgrundsätzen zusammenhängen, wurden sie in die allgemeinen Datenschutzbestimmungen überführt. Die Norm setzt die Anforderungen von Artikel 8 Ziffer 3 E‑SEV 108 sowie von Artikel 20 Absatz 1 der Richtlinie (EU) 2016/680 um. Der Artikel 25 der Verordnung (EU) 2016/679 enthält eine ähnliche Regelung.
Abs. 1 Datenschutz durch Technik
Absatz 1 verlangt vom Verantwortlichen, ab dem Zeitpunkt der Planung eine Datenbearbeitung so auszugestalten, dass durch die getroffenen Vorkehren die Datenschutzvorschriften umgesetzt werden. Damit wird neu die Pflicht zum sogenannten “Datenschutz durch Technik”(Privacy by Design) eingeführt. Die Grundidee des technikgestützten Datenschutzes besteht darin, dass sich Technik und Recht gegenseitig ergänzen. So kann datenschutzfreundliche Technik den Bedarf nach rechtlichen Regeln (oder Verhaltenskodizes) reduzieren, indem technische Vorkehren den Verstoss gegen Datenschutzvorschriften verunmöglichen oder zumindest die Gefahr erheblich verringern. Zugleich sind datenschutzfreundliche Technologien unabdingbar für die praktische Umsetzung der Datenschutzvorschriften. Denn Datenbearbeitung ist in vieler Hinsicht bereits allgegenwärtig und wird tendenziell weiter zunehmen (Ubiquitous Computing). Dies sorgt für kaum überblickbare Datenmengen, die im Einklang mit den Datenschutzregeln bearbeitet werden müssen, wofür technische Vorkehren zentral sind. Insgesamt zielt der technikgestützte Datenschutz nicht auf eine bestimmte Technologie. Vielmehr geht es darum, Systeme zur Datenbearbeitung technisch und organisatorisch so auszugestalten, dass sie insbesondere den Grundsätzen nach Artikel 5 E‑DSG entsprechen. Die gesetzlichen Anforderungen für eine datenschutzkonforme Bearbeitung werden mit anderen Worten bereits so im System verwirklicht, dass dieses die Gefahr von Verstössen gegen Datenschutzvorschriften reduziert oder ausschliesst. So kann beispielsweise dafür gesorgt werden, dass Daten in regelmässigen Abständen gelöscht oder standardmässig anonymisiert werden. Besonders bedeutsam für den technikgestützten Datenschutz ist dabei die sogenannte Datenminimierung, welche sich bereits aus den allgemeinen Grundsätzen nach Artikel 5 E‑DSG ergibt. Entsprechend dem Konzept der Datenminimierung wird eine Datenbearbeitung bereits von Beginn weg so angelegt, dass möglichst wenige Daten anfallen und bearbeitet werden oder dass Daten zumindest nur möglichst kurze Zeit aufbewahrt werden.
Die Bundesorgane müssen schon heute den von ihnen bezeichneten Datenschutzverantwortlichen oder, falls kein solcher besteht, dem Beauftragten unverzüglich alle Projekte zur automatisierten Bearbeitung von Personendaten melden, damit die Erfordernisse des Datenschutzes bereits bei der Planung berücksichtigt werden (Art. 20 VDSG).
Abs. 2 Angemessenheit der Vorkehren
Absatz 2 präzisiert die Anforderungen an die Vorkehren nach Absatz 1. Diese müssen insbesondere nach dem Stand der Technik, der Art und dem Umfang der Datenbearbeitung sowie der Eintrittswahrscheinlichkeit und Schwere der Risiken, welche die fragliche Bearbeitung für die Persönlichkeit und Grundrechte der betroffenen Person mit sich bringt, angemessen sein. Die vorliegende Bestimmung bezieht sich auf Datenbearbeitungen durch private Bearbeiter und Bundesorgane, sodass von Risiken für die Persönlichkeit und die Grundrechte die Rede ist.
Die Norm bringt den risikobasierten Ansatz zum Ausdruck. Das Risiko, das mit einer Bearbeitung einhergeht, muss in Beziehung gesetzt werden zu den technischen Möglichkeiten, um dieses zu verringern. Je höher das Risiko, je grösser die Eintrittswahrscheinlichkeit und je umfangreicher die Datenbearbeitung ist, umso höher sind die Anforderungen an die technischen Vorkehren, damit sie im Sinne der vorliegenden Bestimmung als angemessen gelten können.
Abs. 3 Datenschutzfreundliche Voreinstellungen
Gemäss Absatz 3 ist der Verantwortliche verpflichtet, mittels geeigneter Voreinstellungen dafür zu sorgen, dass grundsätzlich nur so wenige Personendaten bearbeitet werden, wie im Hinblick auf den Verwendungszweck möglich ist, soweit die betroffene Person nicht etwas anderes bestimmt. Dies führt neu die Pflicht zur Verwendung datenschutzfreundlicher Voreinstellungen (Privacy by Default) ein. Bei Voreinstellungen handelt es sich um jene Einstellungen, insbesondere von Software, die standardmässig zur Anwendung kommen, d.h. falls keine abweichende Eingabe durch den Nutzer erfolgt. Diese Standardeinstellungen können werkseitig vorliegen oder entsprechend programmiert werden, wie dies zum Beispiel der Fall ist, wenn ein bestimmter Drucker als Standarddrucker definiert wird. Im Zusammenhang mit einer Datenbearbeitung bedeutet dies, dass der fragliche Bearbeitungsvorgang standardmässig möglichst datenschutzfreundlich eingerichtet ist, ausser die betroffene Person würde diese vorgegebenen Einstellungen verändern. Beispielsweise wäre es denkbar, dass eine Website grundsätzlich Einkäufe erlaubt, ohne dass dafür ein Benutzerprofil erstellt werden muss. Die Kunden müssen lediglich minimale Angaben wie Namen und Adresse machen. Falls die Kunden aber von weiteren Diensten dieser Website profitieren möchten, zum Beispiel vom Zugriff auf ihre gesamten Einkäufe in der Vergangenheit oder dem Anlegen von Listen mit Einkaufswünschen, müssen sie ein Benutzerprofil anlegen, wodurch auch eine umfassendere Bearbeitung ihrer Personendaten erfolgt. Dies macht den engen Zusammenhang mit der Verwendung datenschutzfreundlicher Technik und dem Grundsatz der Datenminimierung deutlich. So gehören entsprechende Voreinstellungen regelmässig zur datenschutzfreundlichen Ausgestaltung eines gesamten Systems. Spezifisch an datenschutzfreundlichen Voreinstellungen sind jedoch die Einflussmöglichkeiten der betroffenen Person. Während diese das System als solches kaum beeinflussen kann, geben ihr datenschutzfreundliche Voreinstellungen allenfalls die Möglichkeit, eine andere Wahl zu treffen. Sie hängen daher eng mit der Einwilligung der betroffenen Person zusammen (vgl. Art. 5 Abs. 6 E‑DSG). So erlauben es datenschutzfreundliche Voreinstellungen der betroffenen Person, einer bestimmten Datenbearbeitung zuzustimmen.
Der Grundsatz des Datenschutzes mittels Voreinstellungen spielt im öffentlichen Sektor eine untergeordnete Rolle, da die Datenbearbeitung dort weniger auf der Einwilligung der betroffenen Person beruht als auf gesetzlichen Pflichten.
Der Verantwortliche kann insbesondere durch die Zertifizierung oder eine Datenschutz-Folgenabschätzung aufzeigen, dass er den Verpflichtungen dieser Bestimmung nachkommt.
Art. 8 Datensicherheit
1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2 Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3 Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
Bot Art. 7 Datensicherheit (Zählg. gem. Entwurf)
Artikel 7 E‑DSG übernimmt Artikel 7 DSG mit einigen Änderungen. Die Pflicht, die Datensicherheit sicherzustellen, ist eine Anforderung des E‑SEV 108 (Art. 7) und der Richtlinie (EU) 2016/680 (Art. 29). Die Verordnung (EU) 2016/679 (Art. 32) enthält eine ähnliche Regelung. Der Verantwortliche und der Auftragsbearbeiter müssen durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit gewährleisten. Darin kommt der risikobasierte Ansatz zum Ausdruck. Je grösser das Risiko einer Verletzung der Datensicherheit, umso höher sind die Anforderungen an die zu treffenden Massnahmen.
Absatz 2 bestimmt das Ziel dieser Massnahmen. Diese sollen es erlauben, Verletzungen der Datensicherheit zu vermeiden, d.h. jede Verletzung der Sicherheit, die ungeachtet der Absicht oder der Widerrechtlichkeit dazu führt, dass Personendaten verlorengehen, gelöscht, vernichtet oder verändert werden oder Unbefugten offengelegt oder zugänglich gemacht werden (Art. 4 Bst. g E‑DSG). Solche Vorkehren können beispielsweise sein: die Pseudonymisierung von Personendaten, Massnahmen zur Wahrung der Vertraulichkeit und Verfügbarkeit des Systems oder dessen Dienste, die Entwicklung von Verfahren, mit denen regelmässig geprüft, analysiert und bewertet werden kann, ob die getroffenen Sicherheitsvorkehren wirksam sind.
Datenschutz und Datensicherheit stehen zwar in einer Wechselwirkung, sind aber voneinander abzugrenzen. Beim Datenschutz geht es um den Persönlichkeitsschutz des Einzelnen. Die Datensicherheit zielt hingegen generell auf die bei einem Verantwortlichen oder Auftragsbearbeiter vorhandenen Daten ab und umfasst den allgemeinen technischen und organisatorischen Rahmen der Datenbearbeitung. Demnach ist individueller Datenschutz nur möglich, wenn zugleich allgemeine technische Vorkehrungen zur Datensicherheit getroffen werden. Daraus ergibt sich auch die Abgrenzung der Pflicht zur Datensicherheit nach Artikel 7 E‑DSG zum Datenschutz durch Technik nach Artikel 6 Absatz 1 E‑DSG. Artikel 7 verpflichtet sowohl den Verantwortlichen als auch den Auftragsbearbeiter dazu, für ihre Systeme eine geeignete Sicherheitsarchitektur vorzusehen und sie z. B. gegen Schadsoftware oder Datenverlust zu schützen. Artikel 6 Absatz 1 zielt hingegen darauf ab, mit technischen Mitteln die Einhaltung von Datenschutzvorschriften sicherzustellen, z. B. dass die Datenbearbeitung verhältnismässig bleibt. Dabei können einzelne Massnahmen wie beispielsweise die Anonymisierung von Daten für beide Pflichten bedeutsam sein.
Absatz 3 verpflichtet den Bundesrat, Mindestanforderungen an die Datensicherheit zu definieren.
Art. 9 Bearbeitung durch Auftragsbearbeiter
1 Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:
2 Der Verantwortliche muss sich insbesondere vergewissern, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten.
3 Der Auftragsbearbeiter darf die Bearbeitung nur mit vorgängiger Genehmigung des Verantwortlichen einem Dritten übertragen.
4 Er kann dieselben Rechtfertigungsgründe geltend machen wie der Verantwortliche.
Bot Art. 8 Bearbeitung durch Auftragsbearbeiter (Zählg. gem. Entwurf)
Artikel 8 übernimmt im Wesentlichen den geltenden Artikel 10a DSG (Datenbearbeitung durch Dritte). In den Absätzen 1, 2 und 4 erfolgen terminologische Änderungen, die infolge der neuen Begriffe (Auftragsbearbeiter, Verantwortlicher) erforderlich sind. Wie nach bisherigen Recht lässt sich insbesondere festhalten, dass die Auftragsbearbeitung für Personendaten, die durch Artikel 321 StGB geschützt sind (z. B. Daten, die unter das Artzgeheimnis fallen), durch die Vorschrift in Artikel 8 Absatz1BuchstabebE-DSGnichtausgeschlossenist,wenndieDrittenalsHilfspersonen im Sinne von Artikel 321 Ziff. 1 Abs. 1 StGB zu qualifizieren sind. Sind die übrigen Voraussetzungen der Auftragsbearbeitung erfüllt, so ist diese damit zulässig, ohne dass die betroffene Person zusätzlich ihre Einwilligung dazu geben müsste. Absatz 1 begründet eine Sorgfaltspflicht für den Verantwortlichen, bei der Auftragsbearbeitung die Rechte der betroffenen Person zu wahren. Der Verantwortliche muss aktiv sicherstellen, dass der Auftragsbearbeiter das Gesetz im selben Umfang einhält, wie er selbst es tut. Das betrifft insbesondere die Einhaltung der allgemeinen Grundsätze, der Regeln betreffend die Datensicherheit, die in Absatz 2 ausdrücklich erwähnt werden, sowie der Regeln betreffend die Bekanntgabe ins Ausland. Der Verantwortliche muss analog wie bei Artikel 55 OR Verstösse gegen das DSG verhindern. Er ist daher verpflichtet, seinen Auftragsbearbeiter sorgfältig auszuwählen, ihn angemessen zu instruieren und soweit als nötig zu überwachen. Absatz 3 ist neu und sieht vor, dass der Auftragsbearbeiter die Bearbeitung nur mit vorgängiger Genehmigung des Verantwortlichen einem Dritten übertragen darf. Im Privatsektor ist die Genehmigung an keine besondere Form gebunden. Der Auftragsbearbeiter muss jedoch nachweisen, dass die Genehmigung vorliegt. Es liegt somit in seinem Interesse, dies zu dokumentieren. Im öffentlichen Sektor hat die Genehmigung hingegen schriftlich zu erfolgen. Es handelt sich um eine Anforderung der Richtlinie (EU) 2016/680 (Art. 22 Abs. 2). Der Bundesrat wird dies in einer Verordnung festlegen. Sowohl im privaten als auch im öffentlichen Sektor kann die Genehmigung spezifischer oder allgemeiner Art sein. In letzterem Fall informiert der Auftragsbearbeiter den Verantwortlichen über jede Änderung (Hinzuziehung oder Ersetzung anderer Auftragsbearbeiter),damit er Einspruch gegen diese Änderungen erheben kann.
Die Datenbearbeitung innerhalb der gleichen juristischen Person (Filiale, Verwaltungseinheit, Mitarbeitende) stellt grundsätzlich keine Bearbeitung durch Auftragsbearbeiter dar. Werden Daten in einer sogenannten Cloud aufbewahrt, handelt es sich dabei grundsätzlich um einen Anwendungsfall der Auftragsbearbeitung, welche die entsprechenden Voraussetzungen erfüllen muss. Falls hierfür Daten ins Ausland bekanntgegeben werden, müssen zudem die Voraussetzungen der Artikel 13 und 14 vorliegen.
Art. 10 Datenschutzberaterin oder ‑berater
1 Private Verantwortliche können eine Datenschutzberaterin oder einen Datenschutzberater ernennen.
2 Die Datenschutzberaterin oder der Datenschutzberater ist Anlaufstelle für die betroffenen Personen und für die Behörden, die in der Schweiz für den Datenschutz zuständig sind. Sie oder er hat namentlich folgende Aufgaben:
3 Private Verantwortliche können von der Ausnahme nach Artikel 23 Absatz 4 Gebrauch machen, wenn die folgenden Voraussetzungen erfüllt sind:
4 Der Bundesrat regelt die Ernennung von Datenschutzberaterinnen und Datenschutzberatern durch die Bundesorgane.
Bot Art. 9 Datenschutzberaterin ‑berater (Zählg. gem. Entwurf)
Artikel 9 regelt die interne Datenschutzberaterin oder den internen Datenschutzberater. Das bisherige Recht verwendet auf Deutsch den Begriff des Datenschutzverantwortlichen, auf Italienisch responsabile, während auf Französisch vom conseiller die Rede ist (Art. 11a Abs. 5 Bst. e DSG). Um Verwechslungen mit dem Verantwortlichen nach Artikel 4 Buchstabe i E‑DSG bzw. mit dem responsabile nach Artikel 4 Buchstabe j E‑DSG zu vermeiden, führt der E‑DSG auf Deutsch und Italienisch den Begriff der Datenschutzberaterin und des Datenschutzberaters bzw. des consulente per la protezione dei dati ein. Dadurch ist die Terminologie in allen drei Sprachen einheitlich.
Die Datenschutzberaterin oder der Datenschutzberater überwacht die Einhaltung der Datenschutzvorschriften innerhalb eines Unternehmens und berät den Verantwortlichen in Datenschutzbelangen. Der Verantwortliche trägt jedoch allein die Verantwortung dafür, dass die Personendaten datenschutzkonform bearbeitet werden.
Die Bestimmung wird aufgrund der Vernehmlassung in den E‑DSG eingefügt. Sie hat ergeben, dass eine ausdrückliche Erwähnung der Datenschutzberaterin oder des Datenschutzberaters im Gesetz erwünscht ist. Der E‑DSG geht indes weniger weit als das europäische Recht, das in gewissen Fällen eine Pflicht zur Ernennung einer Datenschutzberaterin oder eines Datenschutzberaters vorsieht. Diese Lösung hätte auch der Beauftragte bevorzugt. Nach dem E‑DSG bleibt es hingegen den Unternehmen überlassen, ob sie eine Datenschutzberaterin oder einen Datenschutzberater ernennen wollen, während Bundesorgane grundsätzlich verpflichtet sind, einen solchen einzusetzen.
Abs. 1 und 2 Ernennung
Private Verantwortliche können grundsätzlich jederzeit eine Datenschutzberaterin oder einen Datenschutzberater ernennen, wie dies in Absatz 1 festgehalten ist. Das Gesetz sieht jedoch in Bezug auf die Datenschutz-Folgenabschätzung Erleichterungen vor für Verantwortliche, die eine solche Beraterin oder einen solchen Berater ernannt haben.
Absatz 2 definiert die Voraussetzungen, die erfüllt sein müssen, damit diese Erleichterungen zur Anwendung kommen können (Bst. a). Dabei übernimmt der E‑DSG weitgehend geltendes Recht (vgl. Art. 12a f. VDSG).
Der Verantwortliche kann eine Mitarbeiterin oder einen Mitarbeiter oder eine Drittperson zur Datenschutzberaterin oder zum Datenschutzberater ernennen. Nach Buchstabe a muss die Person ihre Funktion jedoch fachlich unabhängig ausüben; sie oder er ist gegenüber dem Verantwortlichen nicht weisungsgebunden. Handelt es sich um eine Mitarbeiterin oder einen Mitarbeiter, muss die hierarchische Einordnung innerhalb des Unternehmens sicherstellen, dass die Datenschutzberaterin oder der Datenschutzberater unabhängig bleibt. Grundsätzlich sollte sie oder er direkt der Geschäftsleitung des Verantwortlichen unterstellt sein.
Buchstabe b konkretisiert die Unabhängigkeit der Datenschutzberaterin oder des Datenschutzberaters weiter. Demnach dürfen diese Personen keine Tätigkeiten übernehmen, die mit ihren Aufgaben unvereinbar sind. Dies könnte beispielsweise der Fall sein, wenn die Datenschutzberaterin oder der Datenschutzberater Mitglied der Geschäftsleitung ist, Funktionen in Bereichen der Personalführung oder der Informationssystemverwaltung ausübt oder zu einer Dienststelle gehört, die selbst besonders schützenswerte Personendaten bearbeitet. Hingegen ist es z. B. denkbar, die Aufgabe der Datenschutzberaterin oder des Datenschutzberaters zu kumulieren mit derjenigen des Informationssicherheitsbeauftragten.
Nach Buchstabe c muss die Datenschutzberaterin oder der Datenschutzberater schliesslich über die erforderlichen Fachkenntnisse verfügen, um diese Aufgabe zu übernehmen. So ist für diese Tätigkeit Fachwissen sowohl im Bereich der Datenschutzgesetzgebung als auch über technische Standards zur Datensicherheit erforderlich.
Die Datenschutzberaterin oder der Datenschutzberater ist sowohl für die betroffene Person als auch für den Beauftragten ein wichtiger Ansprechpartner in Bezug auf die Datenbearbeitungen, welche das fragliche Unternehmen vornimmt. Nach Buchstabe d muss der Verantwortliche die Kontaktdaten der Datenschutzberaterin oder des Datenschutzberaters daher veröffentlichen und dem Beauftragten mitteilen. Eine analoge Pflicht ist in der Verordnung auch für Bundesorgane vorzusehen.
Abs. 3 Datenschutzberaterin ‑berater von Bundesorganen
Absatz 3 verpflichtet den Bundesrat, Regeln zur Bestellung der Datenschutzberaterin oder des Datenschutzberaters durch die Bundesorgane zu erlassen. Diese befinden sich auch nach bisherigen Recht überwiegend in der Verordnung.
Die Bundesorgane sind im Schengen-Bereich aufgrund von Artikel 32 der Richtlinie (EU) 2016/680 dazu verpflichtet, eine Datenschutzberaterin oder einen Datenschutzberater zu ernennen.
Art. 11 Verhaltenskodizes
1 Berufs‑, Branchen- und Wirtschaftsverbände, die nach ihren Statuten zur Wahrung der wirtschaftlichen Interessen ihrer Mitglieder befugt sind, sowie Bundesorgane können dem EDÖB Verhaltenskodizes vorlegen.
2 Dieser nimmt zu den Verhaltenskodizes Stellung und veröffentlicht seine Stellungnahmen.
Bot Art. 10 Verhaltenskodizes (Zählg. gem. Entwurf)
Der Bundesrat möchte die Erarbeitung von Verhaltenskodizes fördern. Diese entsprechen einem Bedürfnis, das die Regulierungsfolgenabschätzung (vgl. Ziff. 1.8) angesichts des allgemeinen Charakters der Gesetzgebung und ihres äusserst umfassenden persönlichen und sachlichen Geltungsbereichs ergeben hat. In solchen Kodizes können einzelne Begriffe wie das hohe Risiko (Art. 20 E‑DSG) oder die Modalitäten von Pflichten wie der Informationspflicht (Art. 17 – 19 E‑DSG) und der Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung (Art. 20 E‑DSG) präzisiert werden. Ausserdem sollen präzisere Lösungen gefunden werden in Bereichen, die heute zahlreiche Fragen aufwerfen, beispielsweise bei der Videoüberwachung, dem Cloud Computing oder sozialen Netzwerken.
Indem der Bundesrat den interessierten Kreisen ermöglicht, selbst aktiv zu werden und zur Regulierung der einzelnen Bereiche beizutragen, möchte er konzertierte und breit abgestützte Branchenlösungen fördern. Zur Förderung der Selbstregulierung schlägt er zudem vor, dass Verantwortliche, die Verhaltenskodizes einhalten, unter bestimmten Voraussetzungen auf die Durchführung einer Datenschutz-Folgenabschätzung verzichten können (Art. 20 Abs. 5 E‑DSG).
Die Förderung der Einführung von Verhaltenskodizes durch die Staaten und die Aufsichtsbehörden ist auch in der Verordnung (EU) 2016/679 (Art. 40 und 57 Abs. 1 Bst. m)vorgesehen.
Im privaten Sektor müssen die Verhaltenskodizes von Berufs- oder Wirtschaftsverbänden stammen, die nach ihren Statuten zur Wahrung der wirtschaftlichen Interessen ihrer Mitglieder befugt sind. Einzelne Verantwortliche oder Auftragsbearbeiter können dem Beauftragten keine Verhaltenskodizes vorlegen, da die Verhaltenskodizes eine gewisse Vereinheitlichung innerhalb einer bestimmten Branche zum Ziel haben. Im öffentlichen Sektor können Verhaltenskodizes hingegen von einem einzelnen Bundesorgan stammen. Dies rechtfertigt sich insbesondere aufgrund der zahlreichen gesetzlichen Grundlagen und der Vielfalt der Aufgaben der verschiedenen Organe.
Absatz 1 sieht vor, dass die Verhaltenskodizes dem Beauftragten vorgelegt werden können. Dieser nimmt dazu Stellung (Abs. 2). Die Frist, innerhalb der er Stellung nehmen muss, hängt von den Umständen des Einzelfalls ab.
Die Stellungnahme stellt keine Verfügung dar. Die interessierten Kreise können somit aus einer positiven Stellungnahme bzw. einem Verzicht auf eine Stellungnahme keine Rechte ableiten. Dennoch kann bei einer positiven Stellungnahme des Beauftragten davon ausgegangen werden, dass ein dem Verhaltenskodex entsprechendes Verhalten keine Verwaltungsmassnahmen nach sich zieht. Der Beauftragte veröffentlicht seine Stellungnahme, und zwar unabhängig davon, ob er den vorgelegten Verhaltenskodex positiv oder negativ beurteilt.
Der Beauftragte hätte es vorgezogen, wenn die Verbände dazu verpflichtet worden wären, ihm die Kodizes zur Genehmigung vorzulegen. Der Bundesrat hat aufgrund der Vernehmlassungsergebnisse darauf verzichtet, aber auch weil der Beauftragte auf dem Wege einer Verfügung hätte darüber entscheiden müssen, was zusätzliche Kosten nach sich gezogen hätte.
Art. 12 Verzeichnis der Bearbeitungstätigkeiten
1 Die Verantwortlichen und Auftragsbearbeiter führen je ein Verzeichnis ihrer Bearbeitungstätigkeiten.
2 Das Verzeichnis des Verantwortlichen enthält mindestens:
3 Das Verzeichnis des Auftragsbearbeiters enthält Angaben zur Identität des Auftragsbearbeiters und des Verantwortlichen, zu den Kategorien von Bearbeitungen, die im Auftrag des Verantwortlichen durchgeführt werden, sowie die Angaben nach Absatz 2 Buchstaben f und g.
4 Die Bundesorgane melden ihre Verzeichnisse dem EDÖB.
5 Der Bundesrat sieht Ausnahmen für Unternehmen vor, die weniger als 250 Mitarbeiterinnen und Mitarbeiter beschäftigen und deren Datenbearbeitung ein geringes Risiko von Verletzungen der Persönlichkeit der betroffenen Personen mit sich bringt.
Bot Art. 11 Verzeichnis der Bearbeitungstätigkeiten (Zählg. gem. Entwurf)
Der E‑DSG sieht anstelle der Dokumentationspflicht im Vorentwurf die Pflicht vor, ein Verzeichnis der Bearbeitungstätigkeiten zu führen. Die Vernehmlassung hat ergeben, dass zu wenig deutlich wurde, was die Dokumentationspflicht umfasst. Zudem wird das Verzeichnis der Bearbeitungstätigkeiten neu bei den allgemeinen Datenschutzbestimmungen eingeordnet. Dies verdeutlicht den engen Zusammenhang mit den Datenschutzgrundsätzen. Die Pflicht zur Führung eines Verzeichnisses ersetzt die Meldepflicht von Datensammlungen nach dem bisherigen Recht. Die Richtlinie (EU) 2016/680 sieht in Artikel 24 ein solches Verzeichnis vor; die Verordnung (EU) 2016/679 enthält in Artikel 30 eine analoge Vorschrift.
Die Pflicht zur Führung eines Verzeichnisses obliegt nach Absatz 1 dem Verantwortlichen und dem Auftragsbearbeiter.
Absatz 2 zählt die Mindestangaben auf, die das Verzeichnis enthalten muss. Dazu gehören zunächst die Identität (der Name) des Verantwortlichen (Bst. a) und der Bearbeitungszweck (Bst. b). Anzugeben ist weiter eine Beschreibung der Kategorien betroffener Personen und der Kategorien bearbeiteter Personendaten (Bst. c). Mit Kategorien betroffener Personen sind typisierte Gruppen gemeint, die bestimmte gemeinsame Merkmale haben, wie z. B. “Konsumenten”, “Armeeangehörige” oder “Arbeitnehmer”. Die Kategorien bearbeiteter Personendaten bezeichnet die Art der bearbeiteten Daten, z. B. besonders schützenswerte Personendaten. Aufgeführt werden müssen ebenfalls die Kategorien von Empfängern (Bst. d), denen gegebenenfalls die Personendaten bekanntgegeben werden. Auch hier sind wiederum typisierte Gruppen mit gemeinsamen Merkmalen gemeint, wie z. B. “Aufsichtsbehörden”. Nach Buchstabe e muss das Verzeichnis die Aufbewahrungsdauer der Personendaten enthalten. Da sich die Aufbewahrungsdauer gemäss Artikel 5 Absatz 4 nach dem Verwendungszweck richtet, lässt sich die Aufbewahrungsdauer mitunter nicht exakt festlegen, was durch die Wendung “wenn möglich” ausgedrückt wird. Sind genaue Angaben nicht möglich, muss das Verzeichnis zumindest die Kriterien enthalten, nach denen diese Dauer festgelegt wird. Gemäss Buchstabe f muss das Verzeichnis schliesslich eine allgemeine Beschreibung der Massnahmen zur Gewährleistung der Datensicherheit nach Artikel 7 enthalten, soweit dies möglich ist. Durch die Beschreibung soll das Verzeichnis erlauben, Mängel in den Sicherheitsvorkehren aufzuzeigen. Die Wendung “wenn möglich” macht deutlich, dass die Beschreibung nur erfolgen soll, wenn die Vorkehrungen hinreichend konkret umschrieben werden können. Befinden sich diese Empfänger im Ausland, muss aus dem Verzeichnis auch hervorgehen, ob grundsätzlich die Voraussetzungen für Bekanntgabe ins Ausland erfüllt sind. Deswegen ist nach Buchstabe g der Staat anzugeben sowie die Garantien nach Artikel 13 Absatz2.
Die Aufzählung in Absatz 2 macht deutlich, dass das Verzeichnis eine generelle Beschreibung der Bearbeitungstätigkeit ist, aus der sich Art und Umfang einer Bearbeitung ergibt. Hingegen ist das Verzeichnis kein Journal sämtlicher Datenbearbeitungen des Verantwortlichen oder des Auftragsbearbeiters, in dem protokollartig einzelne Handlungen aufgeführt werden. Das Verzeichnis ist mithin eine schriftliche Darstellung der wesentlichen Informationen zu allen Datenbearbeitungen eines Verantwortlichen oder Auftragsbearbeiters. Es lässt damit wesentliche Rückschlüsse darauf zu, ob eine Datenbearbeitung dem Grundsatz nach datenschutzkonform ausgestaltet ist oder nicht. Darüber hinaus korrelieren die Mindestangaben des Verzeichnisses in Absatz 2 in vieler Hinsicht mit den Angaben, welche die betroffene Person aufgrund der Informationspflicht und des Auskunftsrechts erhalten muss.
Absatz 3 enthält eine verkürzte Liste von Mindestangaben des Auftragsbearbeiters. Dieser muss insbesondere die Kategorien von Bearbeitungen aufführen, die im Auftrag jedes Verantwortlichen durchgeführt werden. Das Verzeichnis des Auftragsbearbeiters enthält zudem die Identität der Verantwortlichen, für die er tätig ist. Nach Absatz 4 melden die Bundesorgane ihre Verzeichnisse dem Beauftragten. Dieser führt nach Artikel 50 ein Register der Bearbeitungstätigkeiten der Bundesorgane. Dieses wird veröffentlicht. Für Bundesorgane werden sich damit grundsätzlich keine Änderungen im Verhältnis zum bisherigen Recht ergeben. Denn sie müssen bereits jetzt ein Bearbeitungsreglement erarbeiten sowie eine Anmeldung der Datensammlung beim Beauftragten vornehmen.
Absatz 5 gibt dem Bundesrat die Möglichkeit, für Unternehmen, die weniger als 50 Mitarbeiterinnen und Mitarbeiter beschäftigen, Ausnahmen von der Pflicht, ein Verzeichnis zu führen, vorzusehen. Dies dient insbesondere dazu, kleine und mittlere Unternehmen zu entlasten. Hierbei wird der Bundesrat jedoch nicht alleine auf die Grösse eines Unternehmens abstellen, sondern auch berücksichtigen, welche Risiken mit einer Datenbearbeitung einhergehen.
Art. 13 Zertifizierung
1 Die Hersteller von Datenbearbeitungssystemen oder programmen sowie die Verantwortlichen und Auftragsbearbeiter können ihre Systeme, Produkte und Dienstleistungen einer Bewertung durch anerkannte unabhängige Zertifizierungsstellen unterziehen.
2 Der Bundesrat erlässt Vorschriften über die Anerkennung von Zertifizierungsverfahren und die Einführung eines Datenschutz-Qualitätszeichens. Er berücksichtigt dabei das internationale Recht und die international anerkannten technischen Normen.
Bot Art. 12 Zertifizierung (Zählg. gem. Entwurf)
Artikel 12 E‑DSG regelt die fakultative Zertifizierung, die gegenwärtig in Artikel 11 DSG geregelt ist. Neben Datenbearbeitungssystemen (Verfahren, Organisation) und Produkten (Programme, Systeme), ist es künftig auch möglich, bestimmte Dienstleistungen zu zertifizieren.
Zertifizierte Verantwortliche sind von der Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung entbunden (Art. 20 Abs. 5 E‑DSG).
Das Akkreditierungsverfahren für unabhängige Zertifizierungsstellen durch die schweizerische Akkreditierungsstelle, mit der auch der Beauftragte assoziiert ist, bleibt unverändert. Der Beauftragte hätte es vorgezogen, wenn für Bearbeitungen mit hohem Risiko eine Zertifizierungspflicht eingeführt worden wäre. Der Bundesrat hat darauf verzichtet, weil es sich dabei nicht um eine Anforderung des europäischen Rechts handelt.
2. Abschnitt: Datenbearbeitung durch private Verantwortliche mit Sitz oder Wohnsitz im Ausland
Art. 14 Vertretung
1 Private Verantwortliche mit Sitz oder Wohnsitz im Ausland bezeichnen eine Vertretung in der Schweiz, wenn sie Personendaten von Personen in der Schweiz bearbeiten und die Datenbearbeitung die folgenden Voraussetzungen erfüllt:
2 Die Vertretung dient als Anlaufstelle für die betroffenen Personen und den EDÖB.
3 Der Verantwortliche veröffentlicht den Namen und die Adresse der Vertretung.
Art. 15 Pflichten der Vertretung
1 Die Vertretung führt ein Verzeichnis der Bearbeitungstätigkeiten des Verantwortlichen, das die Angaben nach Artikel 12 Absatz 2 enthält.
2 Auf Anfrage teilt sie dem EDÖB die im Verzeichnis enthaltenen Angaben mit.
3 Auf Anfrage erteilt sie der betroffenen Person Auskünfte darüber, wie sie ihre Rechte ausüben kann.
3. Abschnitt: Bekanntgabe von Personendaten ins Ausland
Art. 16 Grundsätze
1 Personendaten dürfen ins Ausland bekanntgegeben werden, wenn der Bundesrat festgestellt hat, dass die Gesetzgebung des betreffenden Staates oder das internationale Organ einen angemessenen Schutz gewährleistet.
2 Liegt kein Entscheid des Bundesrates nach Absatz 1 vor, so dürfen Personendaten ins Ausland bekanntgegeben werden, wenn ein geeigneter Datenschutz gewährleistet wird durch:
3 Der Bundesrat kann andere geeignete Garantien im Sinne von Absatz 2 vorsehen
Bot Art. 13 Grundsätze (Zählg. gem. Entwurf)
Diese Bestimmung entspricht den Anforderungen von Artikel 12 E‑SEV 108, wonach Daten grundsätzlich nur ins Ausland übermittelt werden dürfen, wenn ein angemessenes Datenschutzniveau besteht (Abs. 2). Artikel 12 Absatz 3 E‑SEV 108 definiert die Fälle, in denen diese Voraussetzung erfüllt ist. Durch die Regelung in Artikel 13 E‑DSG erfolgt auch eine Angleichung an das Recht der Europäischen Union (Art. 45 ff. der Verordnung [EU] 2016/679).
Die Bestimmungen zur Bekanntgabe von Personendaten ins Ausland sind unter Berücksichtigung der Ergebnisse des Vernehmlassungsverfahrens teilweise überarbeitet worden. Der Grundsatz, wonach Personendaten nicht ins Ausland bekannt gegeben werden dürfen, wenn dadurch die Persönlichkeit der betroffenen Personen schwerwiegend gefährdet würde, wird aufgehoben, da er in Bezug auf die Systematik der Regelung eine Rechtsunsicherheit schafft. Die Terminologie betreffend die Bekanntgabe von Personendaten ins Ausland auf der Grundlage geeigneter Garantien wird an jene der Verordnung (EU) 2016/679 angepasst. Die Ausnahmen im Zusammenhang mit der Bekanntgabe von Personendaten in einen Staat, dessen Gesetzgebung keinen angemessenen Datenschutz bietet, werden zudem leicht gelockert. Schliesslich werden lediglich die durch den E‑SEV 108 geforderten Pflichten zur Information des Beauftragten und zur Einholung seiner Genehmigung beibehalten.
Abs. 1 Feststellung per Entscheid des Bundesrats
Gemäss Absatz 1 dürfen Daten ins Ausland bekannt gegeben werden, wenn der Bundesrat festgestellt hat, dass die Gesetzgebung des betreffenden Staates oder das internationale Organ einen angemessenen Schutz gewährleistet. Diese Bestimmung überträgt dem Bundesrat ausdrücklich die Zuständigkeit, die Angemessenheit der ausländischen Gesetzgebung im Bereich des Datenschutzes zu prüfen.
Die aktuelle Situation ist unbefriedigend, weil es dem Inhaber einer Datensammlung, der Daten bekannt geben will, obliegt zu prüfen, ob die Gesetzgebung des betreffenden Staates einen angemessenen Schutzgewährleistet. Gegebenenfalls hat er die Liste des Beauftragten mit den Staaten, die diese Anforderung erfüllen, beizuziehen (Art. 7VDSG). Um eine einheitliche Anwendung von Artikel 13 sicherzustellen, wird die Angemessenheit der ausländischen Gesetzgebung in Zukunft durch den Bundesrat geprüft. Bei seiner Prüfung muss der Bundesrat nicht nur untersuchen, ob der ausländische Staat über eine Gesetzgebung verfügt, die materiell den Anforderungen des E‑SEV 108 genügt, sondern auch wie diese Gesetzgebung angewendet wird. Der Bundesrat kann auch prüfen, ob der durch ein internationales Organ garantierte Datenschutz angemessen ist. Der Begriff “internationales Organ” bezieht sich auf alle internationalen Institutionen, seien dies Organisationen oder Gerichte.
Das Ergebnis dieser Prüfung wird in einer Verordnung des Bundesrates veröffentlicht, die in die Amtliche Sammlung aufgenommen wird. In der künftigen Verordnung wird präzisiert werden, dass der Bundesrat die Situation periodisch evaluieren und dass der Beauftragte auf seiner Website eine Liste der Staaten oder internationalen Organe veröffentlichen wird, die gemäss der Feststellung des Bundesrates einen angemessenen Datenschutz gewährleisten.
Die Verordnung ist als Positiv-Liste konzipiert und enthält eine Aufzählung jener Staaten, die über eine Gesetzgebung verfügen, aufgrund welcher ein angemessener Schutz sichergestellt ist. Wenn ein ausländischer Staat nicht in der Verordnung des Bundesrates enthalten ist, kann dies zwei Ursachen haben: Entweder wurde die Gesetzgebung des fraglichen Staates noch nicht geprüft oder der Bundesrat ist zum Schluss gekommen, dass die Gesetzgebung des Staates den Anforderungen der Gewährleistung eines angemessenen Schutzes nicht entspricht. Mit der Revision wird die Feststellung des Bundesrates für die Verantwortlichen, die eine Bekanntgabe von Daten ins Ausland vorsehen, ein gesetzlich verbindliches Kriterium, während die bisherige Liste des Beauftragten lediglich als Hilfsmittel gedacht war, das diesen zur Verfügung gestellt wurde. Diese Lösung dient der Rechtssicherheit.
Für seine Prüfung kann sich der Bundesrat auf die verfügbaren Quellen stützen, namentlich die Evaluationen, die im Rahmen des Übereinkommens SEV 108 oder durch die Europäische Union durchgeführt werden. Es wäre auch denkbar, mit ausländischen Behörden zusammenzuarbeiten und sich deren Evaluationsprozess anzuschliessen.
Wenn der Bundesrat feststellt, dass die Gesetzgebung eines Staates oder ein internationales Organ einen angemessenen Schutz gewährleistet, ist der freie Verkehr von Personendaten aus der Schweiz in diesen Staat oder zu diesem Organ sowohl durch private Verantwortliche als auch durch Bundesorgane zulässig.
Abs. 2 Kein Entscheid des Bundesrates
Liegt kein Entscheid des Bundesrates nach Absatz 1 vor, sieht Absatz 2 vor, dass Personendaten ins Ausland bekannt gegeben werden können, wenn ein geeigneter Datenschutz gewährleistet wird.
Nach Buchstabe a kann ein geeigneter Schutz durch einen völkerrechtlichen Vertrag gewährleistet werden. Unter “völkerrechtlicher Vertrag” ist nicht nur ein internationales Datenschutzübereinkommen wie das Übereinkommen SEV 108 und sein Zusatzprotokoll zu verstehen, dem der Empfängerstaat angehört und dessen Anforderungen von der Vertragspartei im innerstaatlichen Recht umgesetzt worden sind, sondern auch jedes andere internationale Abkommen, das einen Datenaustausch zwischen den Vertragsparteien vorsieht und materiell den Anforderungen des Übereinkommens SEV 108 entspricht. Dabei kann es sich auch um einen Staatsvertrag handeln, den der Bundesrat im Rahmen von Artikel 61 Buchstabe b E‑DSG abgeschlossen hat.
Absatz 2 Buchstaben b – d entspricht den Anforderungen von Artikel 12 Absatz 3 Buchstabe b E‑SEV 108. Dieser sieht vor, dass ein angemessenes Datenschutzniveau durch genehmigte Ad-hoc und standardisierte Garantien gewährleistet werden kann, die auf rechtlich bindenden und durchsetzbaren Instrumenten beruhen, welche durch die mit der Bekanntgabe und Weiterbearbeitung der Daten befassten Personen vereinbart und umgesetzt werden. In Artikel 46 der Verordnung (EU) 2016/679 und in Artikel 37 der Richtlinie (EU) 2016/680 sind entsprechende Regelungen vorgesehen.
Bst. b Datenschutzklauseln in einem Vertrag
Nach Absatz 2 Buchstabe b dürfen Personendaten ins Ausland bekannt gegeben werden, wenn der Verantwortliche und der Vertragspartner in ihrem Vertrag Datenschutzklauseln vereinbart haben. Der Begriff “Datenschutzklauseln” entspricht der Terminologie von Artikel 46 Absatz 3 Buchstabe a der Verordnung (EU) 2016/679. Die Klauseln müssen dem Beauftragten vorgängig mitgeteilt werden. Sobald der Verantwortliche dieser Pflicht nachgekommen ist, dürfen die Personendaten ins Ausland bekanntgegeben werden. Gegebenenfalls muss der Beauftragte eine Untersuchung eröffnen, um festzustellen, ob die Klauseln den Anforderungen genügen. Wie es heute bereits der Fall ist, ist es Sache des Verantwortlichen, nachzuweisen, dass er alle erforderlichen Massnahmen getroffen hat, um sich zu vergewissern, dass ein geeigneter Schutz besteht und dass der Empfänger die vertraglichen Datenschutzklauseln einhält. Im Gegensatz zu den Standarddatenschutzklauseln (siehe Bst. d) gelten die Datenschutzklauseln in einem Vertrag nur für die Bekanntgabe, die im entsprechenden Vertrag vorgesehen ist.
Bst. c Spezifische Garantien
Im öffentlichen Sektor kann ein Bundesorgan, das einem ausländischen Staat die Zusage für die Zusammenarbeit erteilt, die Zusage an spezifische Garantien für den Bereich des Datenschutzes knüpfen. Dabei kann es sich beispielsweise um entsprechende Vereinbarungen mit dem fraglichen ausländischen Staatsorgan handeln. Das Bundesorgan muss sie dem Beauftragten vorgängig mitteilen. Sobald der Verantwortliche dieser Pflicht nachgekommen ist, dürfen die Personendaten ins Ausland bekanntgegeben werden.
Bst. d Standarddatenschutzklauseln
Nach Absatz 2 Buchstabe d können Daten gestützt auf Standarddatenschutzklauseln ins Ausland bekannt gegeben werden. Die Bestimmung übernimmt die Terminologie von Artikel 46 Absatz 2 Buchstaben c und d der Verordnung (EU) 2016/679. Die Standardklauseln können von Privaten, interessierten Kreisen oder Bundesorganen erarbeitet oder vom Beauftragten ausgestellt oder anerkannt werden. Auch die Bundesorgane können auf diese Art von Garantien zurückgreifen. Der Begriff der “Standarddatenschutzklausel” betrifft beispielsweise standardisierte Vertragsklauseln, die in den Vertrag zwischen dem Verantwortlichen und dem Empfänger eingefügt werden. Es kann sich auch um einen von Privaten erarbeiteten Verhaltenskodex handeln, dem sich Privatpersonen freiwillig unterstellen können.
Im ersten Fall müssen die Standarddatenschutzklauseln vorgängig vom Beauftragten genehmigt werden. Diese Bedingung stellt gegenüber dem geltenden Recht, wonach der Beauftragte lediglich informiert werden muss ( Art. 6 Abs. 3 DSG), eine Verschärfung dar. Sie entspricht der Anforderung von Artikel 12 Absatz 2 Buchstabe b E‑SEV 108. Der Verantwortliche darf gestützt auf die Standarddatenschutzklauseln keine Daten ins Ausland bekannt geben, bis er vom Beauftragten eine entsprechende beschwerdefähige Verfügung (Art. 5 VwVG”>Art. 5 VwVG) erhalten hat. Während der Dauer des Verfahrens kann er sich auf Artikel 13 Absatz 2 Buchstaben b oder c stützen. Die Frist, innerhalb der der Verantwortliche eine Verfügung erlassen muss, wird durch die Ordnungsfristenverordnung vom 25. Mai 2011 (OrFV) geregelt. Gemäss Artikel 4 OrFV hängt die Frist, innerhalb der eine Behörde ihren Entscheid fällt, von der Komplexität des Entscheids ab, wobei die maximale Frist drei Monate beträgt. Im zweiten Fall kann der Verantwortliche auch auf Standarddatenschutzklauseln zurückgreifen, die der Beauftrage ausgestellt oder anerkannt hat, beispielsweise Musterverträge.
Beschliesst ein Verantwortlicher, Daten gestützt auf Standarddatenschutzklauseln im Sinne von Absatz 2 Buchstabe d ins Ausland bekannt zu geben, wird vermutet, dass er alle notwendigen Massnahmen getroffen hat, um sich eines angemessenen Schutzes zu vergewissern. Allerdings befreit ihn diese Vermutung nicht von der Haftung für Nachteile, die sich aus einer Verletzung dieser Klauseln insbesondere durch den Empfänger der Daten ergeben können. In der künftigen Verordnung ist daher die Pflicht des Beauftragten vorzusehen, eine Liste der ausgestellten oder anerkannten Standarddatenschutzklauseln zu veröffentlichen, wie es im Übrigen im geltenden Recht vorgesehen ist (Art. 6 Abs. 3 VDSG).
Bst. e Verbindliche unternehmensinterne Datenschutzvorschriften
Nach Absatz 2 Buchstabe e kann die Bekanntgabe von Daten ins Ausland auch gestützt auf verbindliche unternehmensinterne Datenschutzvorschriften erfolgen, die vorgängig durch den Beauftragten oder durch eine ausländische Behörde, die für den Datenschutz zuständig ist, genehmigt wurden. Diese Bestimmung ersetzt Artikel 6 Absatz 2 Buchstabe g DSG. Absatz 2 Buchstabe e nähert sich dem Recht der Europäischen Union an, das in Artikel 47 der Verordnung (EU) 2016/679 vorsieht, dass Daten gestützt auf vorgängig von der Datenschutzaufsichtsbehörde genehmigte, verbindliche interne Datenschutzvorschriften zwischen den Mitgliedern einer Unternehmensgruppe übermittelt werden können. Die Genehmigung verbindlicher unternehmensinterner Vorschriften ist in Artikel 57 Absatz 1 Buchstabe s der Verordnung (EU) 2016/679 festgehalten. Absatz 2 Buchstabe e stellt insofern eine Verschärfung des geltenden Rechts dar, als die verbindlichen unternehmensinternen Datenschutzvorschriften neu genehmigt werden müssen. Der Verantwortliche darf gestützt auf die verbindlichen unternehmensinternen Datenschutzvorschriften keine Daten ins Ausland bekannt geben, bis er vom Beauftragten eine entsprechende beschwerdefähige Verfügung Art. 5 VwVG”>Art. 5 VwVG) erhalten hat. Während der Dauer des Verfahrens kann er sich auf Artikel 13 Absatz 2 Buchstaben b oder c stützen.
Zur Berücksichtigung der Bedürfnisse von Unternehmensgruppen, die sich über mehrere Länder erstrecken, sieht Absatz 2 Buchstabe e vor, dass ein Unternehmen mit Sitz in der Schweiz, das zu einer solchen Gruppe gehört, auch verbindliche Datenschutzvorschriften befolgen kann, die durch eine ausländische Behörde genehmigt wurden, die für den Datenschutz zuständig ist und die einem Staat angehört, der einen angemessenen Schutz gewährleistet.
Die in Absatz 2 Buchstabe e erwähnten Instrumente müssen in dem Sinne “verbindlich” sein, als alle Gesellschaften, die zur selben Unternehmensgruppe gehören, die Vorschriften einzuhalten und anzuwenden haben. Diese Normen präzisieren mindestens die fragliche Datenbekanntgabe, die Kategorien bekannt gegebener Daten, den Zweck der Bearbeitung, die Kategorien betroffener Personen und die Empfängerstaaten. Ausserdem müssen die Normen die Rechte der betroffenen Personen regeln und auch Angaben über die Mechanismen enthalten, die innerhalb der Unternehmensgruppe eingerichtet worden sind, um ihre Einhaltung zu überprüfen. Gegebenenfalls kann der Bundesrat in der Ausführungsverordnung Kriterien definieren, welche die verbindlichen unternehmensinternen Vorschriften erfüllen müssen.
Abs. 3 Rechtsetzungsdelegation
In dieser Bestimmung wird der Bundesrat ermächtigt, andere geeignete Garantien nach Absatz 2 vorzusehen. Denn es ist nicht ausgeschlossen, dass andere Systeme entwickelt werden wie beispielsweise Selbstzertifizierungsregelungen gemäss dem Modell des Swiss-US Privacy Shield (siehe Art. 46 Abs. 2 Bst. f der Verordnung [EU] 2016/679).
Art. 17 Ausnahmen
1 Abweichend von Artikel 16 Absätze 1 und 2 dürfen in den folgenden Fällen Personendaten ins Ausland bekanntgegeben werden:
2 Der Verantwortliche oder der Auftragsbearbeiter informiert den EDÖB auf Anfrage über die Bekanntgabe von Personendaten nach Absatz 1 Buchstaben b Ziffer 2, c und d.
Bot Art. 14 Ausnahmen (Zählg. gem. Entwurf)
Abs. 1
In Anlehnung an das geltende Recht (Art. 6 Abs. 2 DSG) regelt Artikel 14 Absatz 1 E‑DSG die Fälle, in denen Daten ins Ausland bekannt gegeben werden können, obwohl im Ausland ein angemessener Schutz fehlt. Er entspricht im Wesentlichen Artikel 12 Absatz 4 E‑SEV 108 und Artikel 49 der Verordnung (EU) 2016/679. Die Richtlinie (EU) 2016/680 enthält eine entsprechende Regelung in Artikel 38.
Buchstabe a entspricht Artikel 6 Absatz 2 Buchstabe b DSG, wobei die betroffene Person ausdrücklich einwilligen muss und der Ausdruck “im Einzelfall” gestrichen wird. Die ausdrückliche Einwilligung ist eine Anforderung des E‑SEV 108 (Art. 12 Abs. 4 Bst. a). Diesbezüglich kann auf die Erläuterungen zu Artikel 5 Absatz 6 EDSG verwiesen werden. Die betroffene Person muss insbesondere den Namen des Drittstaats kennen (Art. 17 Abs. 4 E‑DSG) und über die Risiken der Bekanntgabe im Zusammenhang mit dem Datenschutzniveau im ausländischen Staat informiert werden. Was den Ausdruck “im Einzelfall” betrifft, ist der Bundesrat der Auffassung, dass er gestrichen werden kann. Wie aus Artikel 5 Absatz 6 E‑DSG hervorgeht, willigt die betroffene Person für eine oder mehrere bestimmte Bearbeitungen ein. Die Präzisierung “im Einzelfall” ist somit überflüssig.
Buchstabe b entspricht Artikel 6 Absatz 2 Buchstabe c DSG unter dem Vorbehalt, dass Personendaten ins Ausland bekannt gegeben werden dürfen, wenn die Bekanntgabe in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags zwischen dem Verantwortlichen und der betroffenen Person oder zwischen dem Verantwortlichen und seinem Vertragspartner im Interesse der betroffenen Person steht. Artikel 49 Absatz 1 der Verordnung (EU) 2016/679 sieht eine analoge Bestimmung vor.
Buchstabe c Ziffer 1 entspricht Artikel 6 Absatz 2 Buchstabe d erster Satzteil DSG. Der Ausdruck “unerlässlich” wird in Anlehnung an die europäischen Rechtsakte im Einleitungssatz durch “notwendig” ersetzt. Das Vorliegen eines überwiegenden öffentlichen Interesses muss unter den konkreten Umständen nachgewiesen werden. Ein rein hypothetisches Interesse genügt nicht. Unter der “Wahrung eines überwiegenden öffentlichen Interesses” ist beispielsweise die innere Sicherheit der Schweiz oder eines Drittstaates zu verstehen. Aufgrund dieser Bestimmung dürfen Personendaten auch aus humanitären Gründen ins Ausland bekannt gegeben werden, beispielsweise wenn der Verantwortliche sie bekannt gibt, um bei der Suche nach Personen zu helfen, die in einem Konfliktgebiet vermisst werden oder in einer Region, in der eine Naturkatastrophe stattgefunden hat.
Buchstabe c Ziffer 2 entspricht Artikel 6 Absatz 2 Buchstabe d zweiter Satzteil DSG, ausser dass der Ausdruck “vor Gericht”, der als zu eng befunden wird, durch “vor einem Gericht oder einer anderen zuständigen ausländischen Behörde” ersetzt wird.
In Buchstabe d wird präzisiert, dass die Bekanntgabe auch zulässig ist, wenn sie notwendig ist, um das Leben oder die körperliche Unversehrtheit der betroffenen Person oder eines Dritten zu schützen, soweit es nicht möglich ist, die Einwilligung der betroffenen Person innert angemessener Frist einzuholen. Dies kann der Fall sein, weil diese körperlich nicht dazu in der Lage ist oder weil sie mit Hilfe der üblichen Kommunikationsmittel nicht erreichbar ist.
Buchstabe e entspricht Artikel 6 Absatz 2 Buchstabe f DSG.
Buchstabe f ist eine neue Bestimmung. Sie präzisiert, dass die Anforderung eines angemessenen Schutzes nicht anwendbar ist, wenn die ins Ausland bekannt zu gebenden Daten aus einem gesetzlich geregelten öffentlichen Register stammen und bestimmte gesetzliche Voraussetzungen erfüllt sind. Artikel 49 Absatz 1 Buchstabe g der Verordnung (EU) 2016/679 verfolgt dieselbe Stossrichtung: Er sieht vor, dass die Bekanntgabe von Daten aus einem Register trotz des Fehlens eines angemessenen Schutzes zulässig ist, wenn das Register gemäss dem Recht der Europäischen Union oder der Mitgliedstaaten zur Information der Öffentlichkeit bestimmt ist und bestimmte gesetzliche Voraussetzungen erfüllt sind.
Abs. 2
Gemäss dieser Bestimmung kann der Beauftragte den Verantwortlichen oder den Auftragsbearbeiter anfragen, ihm die nach Absatz 1 Buchstaben b Ziffer 2, c und d erfolgten Bekanntgaben von Personendaten mitzuteilen. Die Bestimmung entspricht den Anforderungen von Artikel 12 Absatz 5 E‑SEV 108. Der vorletzte Satz von Artikel 49 Absatz 1 der Verordnung (EU) 2016/679 geht weiter als diese Bestimmung, denn er sieht vor, dass die Verantwortlichen die Aufsichtsbehörde von selbst über die nach Artikel 47 erfolgten Übermittlungen von Personendaten in Kenntnis setzen.
Art. 18 Veröffentlichung von Personendaten in elektronischer Form
Werden Personendaten zur Information der Öffentlichkeit mittels automatisierter Informations- und Kommunikationsdienste allgemein zugänglich gemacht, so gilt dies nicht als Bekanntgabe ins Ausland, auch wenn die Daten vom Ausland aus zugänglich sind.
Bot Art. 15 Veröffentlichung von Personendaten in elektronischer Form (Zählg. gem. Entwurf)
Diese Bestimmung übernimmt den Inhalt von Artikel 5 VDSG. Sie regelt die Veröffentlichung von Personendaten über das Internet oder andere Informations- und Kommunikationsdienste zwecks Information der Öffentlichkeit. So ist es möglich, im Ausland – auch in Staaten, die nicht einen angemessenen Datenschutz gewährleisten – im Internet Informationen mit oder ohne Personendaten abzurufen. Die Veröffentlichung von Personendaten im Internet zwecks Information der Öffentlichkeit wird, wie beispielsweise im Falle der Medien, nicht als Bekanntgabe von Personendaten ins Auslandbetrachtet.
3. Kapitel: Pflichten des Verantwortlichen und des Auftragsbearbeiters
Art. 19 Informationspflicht bei der Beschaffung von Personendaten
1 Der Verantwortliche informiert die betroffene Person angemessen über die Beschaffung von Personendaten; diese Informationspflicht gilt auch, wenn die Daten nicht bei der betroffenen Person beschafft werden.
2 Er teilt der betroffenen Person bei der Beschaffung diejenigen Informationen mit, die erforderlich sind, damit sie ihre Rechte nach diesem Gesetz geltend machen kann und eine transparente Datenbearbeitung gewährleistet ist; er teilt ihr mindestens mit:
3 Werden die Daten nicht bei der betroffenen Person beschafft, so teilt er ihr zudem die Kategorien der bearbeiteten Personendaten mit.
4 Werden die Personendaten ins Ausland bekanntgegeben, so teilt er der betroffenen Person auch den Staat oder das internationale Organ und gegebenenfalls die Garantien nach Artikel 16 Absatz 2 oder die Anwendung einer Ausnahme nach Artikel 17 mit.
5 Werden die Daten nicht bei der betroffenen Person beschafft, so teilt er ihr die Informationen nach den Absätzen 2 – 4 spätestens einen Monat, nachdem er die Daten erhalten hat, mit. Gibt der Verantwortliche die Personendaten vor Ablauf dieser Frist bekannt, so informiert er die betroffene Person spätestens im Zeitpunkt der Bekanntgabe.
Bot Art. 17 Informationspflicht bei der Beschaffung von Personendaten (Zählg. gem. Entwurf)
In Artikel 17 E‑DSG wird neu die Informationspflicht bei der Beschaffung von Daten geregelt. Die Artikel 14, 18 und 18a DSG werden damit in einer Norm zusammengeführt. Dadurch werden Doppelspurigkeiten vermieden und es gilt eine einheitliche Regelung für die Datenbearbeitung durch Bundesorgane und private Verantwortliche. Die Bestimmung entspricht den Anforderungen von Artikel 7E‑SEV 108 sowie Artikel 13 der Richtlinie (EU) 2016/680. Die Artikel 13 f. der Verordnung (EU) 2016/679 enthalten eine ähnliche Regelung.
Die Informationspflicht verbessert die Transparenz bei der Datenbearbeitung, die ein zentrales Ziel der Revision ist. Denn regelmässig kann die betroffene Person ohne entsprechende Informationen nicht erkennen, dass Daten über sie bearbeitet werden. Zugleich kann die betroffene Person ihre Rechte gemäss dem DSG nur wahrnehmen, wenn ihr eine Datenbearbeitung bekannt ist. Durch die verbesserte Transparenz bei der Datenbearbeitung werden daher auch die Rechte der betroffenen Person gestärkt, was ebenfalls ein zentrales Anliegen der Revision ist. Schliesslich dient die Informationspflicht der Sensibilisierung der Bevölkerung für den Datenschutz, die mit der Revision ebenso angestrebt wird.
Abs. 1 Grundsatz
Gemäss Absatz 1 muss der Verantwortliche die betroffene Person über die Beschaffung von Personendaten informieren. Dies gilt auch, wenn die Daten nicht bei der betroffenen Person beschafft werden.
Der E‑DSG legt nicht fest, auf welche Weise die Information erfolgen muss. Der Verantwortliche muss aber sicherstellen, dass die betroffene Person die Information tatsächlich zur Kenntnis nehmen kann. Sicherzustellen ist damit die Möglichkeit, sich in einfach zugänglicher Weise zu informieren, nicht aber, dass sich die betroffene Person im konkreten Fall wirklich informiert. Diese Möglichkeit, Informationen zur Kenntnis zu nehmen, hängt wesentlich davon ab, ob die Daten bei der betroffenen Person beschafft werden oder nicht.
So kann eine allgemeine Information genügen, wenn die Personendaten bei der betroffenen Person beschafft werden (zu allgemeinen Geschäftsbedingungen vgl. Art. 18 Abs. 1). Denkbar sind in diesem Fall eine Datenschutzerklärung auf einer Website, aber gegebenenfalls auch Symbole oder Piktogramme, soweit sie die nötigen Informationen wiedergeben. Wird eine allgemeine Form gewählt, muss die Information leicht zugänglich, vollständig und genügend sichtbar gemacht sein. Auch ein mehrstufiger Zugang ist möglich, der beispielsweise auf einer ersten Stufe eine Übersicht enthält, die auf einer zweiten Stufe Zugang zu detaillierten Informationen gibt. Nicht ausreichend ist hingegen, wenn einfach eine Kontaktperson angegeben wird. Die betroffene Person soll die Informationen erhalten, ohne dass sie zuerst danach fragenmuss.
Werden die Daten hingegen nicht bei der betroffenen Person beschafft, muss der Verantwortliche prüfen, wie die Information erfolgen muss, damit die betroffene Person tatsächlich von ihr Kenntnis nehmen kann. Gegebenenfalls reicht es in diesem Fall nicht aus, lediglich Informationen zur Verfügung zu stellen, sondern die betroffene Person muss aktiv informiert werden, sei dies in einer geeigneten allgemeinen Form oder durch individuelle Information. So wird beispielsweise eine Person, die nie Bücher kauft, kaum die Website eines Online-Buchhändlers besuchen und dessen Datenschutzerklärung lesen. Dementsprechend wird sie aufgrund dieser allgemeinen Erklärung auch nicht erfahren, dass der Online-Buchhändler Daten über sie bearbeitet, weil sie gar nicht damit rechnet. Die Informationspflicht soll damit grundsätzlich auch verhindern, dass ohne Wissen der betroffenen Person Daten über sie bearbeitet werden; vorbehalten bleiben die Ausnahmen in Artikel 18.
Die Information ist zwar keinem Formerfordernis unterworfen, aber es ist insgesamt eine Form zu wählen, welche dem Zweck einer transparenten Datenbearbeitung gerecht wird. Aus Beweisgründen ist es zudem empfehlenswert, die Information zu dokumentieren oder schriftlich zu geben. Auch muss die Information verständlich abgefasst sein, sodass sie tatsächlich dem Zweck einer transparenten Datenbearbeitung dient.
Abs. 2 Mitzuteilende Informationen
Der Einleitungssatz von Absatz 2 legt den Grundsatz fest, an dem sich der Verantwortliche bei der Mitteilung von Informationen orientieren muss. Demnach muss er der betroffenen Person diejenigen Informationen mitteilen, die erforderlich sind, um ihre Rechte nach dem Gesetz geltend zu machen und eine transparente Datenbearbeitung zu gewährleisten. Die Buchstaben a – c konkretisieren diesen Grundsatz durch Mindestangaben, welche der betroffenen Person in jedem Fall mitgeteilt werden müssen. Dabei handelt es sich nach Buchstabe a um die Identität, d.h. den Namen, und die Kontaktdaten des Verantwortlichen und nach Buchstabe b den Bearbeitungszweck. Gegebenenfalls sind zudem nach Buchstabe c die Empfänger oder die Kategorien von Empfängern anzugeben, denen die Personendaten bekanntgegeben werden. Dabei besteht ein Wahlreicht auf Seiten des Verantwortlichen, ob er die Empfänger oder lediglich die Kategorien von Empfängern angeben möchte. Wie auch in der Europäischen Union (vgl. Art. 4 Ziff. 9 der Verordnung [EU] 2016/679) gehören auch Auftragsbearbeiter zu den Empfängern im Sinne der Bestimmung. Will der Verantwortliche deren Identität jedoch nicht offenlegen, kann er sich mit der Angabe der Kategorie begnügen. Der Beauftragte hätte bevorzugt, wenn darüber hinaus auch die Rechtsgrundlage der Bearbeitung mitgeteilt hätte werden müssen.
Durch die Kombination aus einer allgemeinen Vorschrift, welche die grundsätzlichen Anforderungen an die zu übermittelnden Informationen enthält, und spezifischen Mindestangaben lässt sich die Informationspflicht flexibel handhaben. Entsprechend der Art der bearbeiteten Daten, der Natur und dem Umfang der fraglichen Datenbearbeitung muss der Verantwortliche verstärkt informieren oder nicht. So kann es beispielsweise auch nötig sein, über die Dauer der Bearbeitung, oder die Anonymisierung von Daten zu informieren. Diese Flexibilität ist erforderlich, weil das DSG auf eine Vielzahl unterschiedlicher Datenbearbeitungen anwendbar ist. Zugleich wird durch eine flexible Regelung sichergestellt, dass die Verantwortlichen keine unnötigen Informationen übermitteln müssen und die betroffenen Personen nur erforderliche Informationen erhalten. Ebenfalls erlaubt dies den Verantwortlichen, die Informationspflicht für ihre spezifische Branche in Verhaltenskodizes zu konkretisieren.
Abs. 3 Kategorien der Personendaten
Nur wenn die Daten nicht bei der betroffenen Person beschafft werden, muss der Verantwortliche nach Absatz 3 der betroffenen Person zudem mitteilen, welche Kategorien von Personendaten er bearbeitet. Diese Einschränkung ergibt sich aus der Annahme, dass der betroffenen Person zumindest die Kategorien von Daten oder sogar die Daten bekannt sein dürften, wenn diese bei ihr beschafft werden. Wenn die Daten nicht bei der betroffenen Person beschafft werden, hat diese keine Möglichkeit zu erfahren, welche Kategorien von Daten über sie bearbeitet werden, und muss daher entsprechend informiert werden.
Abs. 4 Bekanntgabe ins Ausland
Werden die Personendaten ins Ausland bekanntgegeben, muss der Verantwortliche die betroffene Person auch über den Staat informieren, in den die Daten gelangen. Falls dieser Staat keinen angemessenen Schutz gewährleistet und der Verantwortliche auf Garantien nach Artikel 13 Absatz 2 zurückgreift, muss er der betroffenen Person auch diese Garantien mitteilen. Dasselbe gilt, wenn die Bekanntgabe aufgrund einer Ausnahme nach Artikel 14 erfolgt.
Abs. 5 Zeitpunkt der Information
Werden die Daten bei der betroffenen Person beschafft, muss sie in diesem Zeitpunkt informiert werden. Dies ergibt sich aus Absatz 2.
Absatz 5 regelt den Zeitpunkt der Information, wenn die Daten nicht bei der betroffenen Person beschafft werden. Die Bestimmung legt dafür eine maximale Frist von einem Monat fest, innerhalb der die Information erfolgen muss. Satz 2 enthält eine kürzere Frist für den Fall, dass der Verantwortliche die Personendaten vor Ablauf dieser einmonatigen Frist an Empfänger bekanntgibt. Dann muss die betroffene Person spätestens zum Zeitpunkt der Bekanntgabe informiert werden.
Zusammenfassend gilt damit eine grundsätzliche Frist von einem Monat, nachdem der Verantwortliche die Daten erhalten hat. Diese Frist gilt unabhängig davon, wofür die Personendaten verwendet werden. Eine kürzere Frist gilt nur, wenn der Verantwortliche die Personendaten an Empfänger bekanntgibt.
Art. 20 Ausnahmen von der Informationspflicht und Einschränkungen
1 Die Informationspflicht nach Artikel 19 entfällt, wenn eine der folgenden Voraussetzungen erfüllt ist:
2 Werden die Personendaten nicht bei der betroffenen Person beschafft, so entfällt die Informationspflicht zudem, wenn eine der folgenden Voraussetzungen erfüllt ist:
3 Der Verantwortliche kann die Mitteilung der Informationen in den folgenden Fällen einschränken, aufschieben oder darauf verzichten:
4 Unternehmen, die zum selben Konzern gehören, gelten nicht als Dritte im Sinne von Absatz 3 Buchstabe c Ziffer 2.
Bot Art. 18 Ausnahmen von der Informationspflicht und Einschränkungen (Zählg. gem. Entwurf)
Artikel 18 E‑DSG regelt, unter welchen Umständen die Informationspflicht gänzlich entfällt (Abs. 1 und 2), und wann die Information eingeschränkt werden kann, obschon grundsätzlich die Pflicht zur Information besteht (Abs. 3). Die beiden Konstellationen sind klar voneinander abzugrenzen. Die Vorschrift übernimmt dabei teilweise geltendes Recht (Art. 9, Art. 14 Abs. 4 und 5, sowie 18b DSG), das der Klarheit halber in einer Bestimmung zusammengeführt wird.
Abs. 1 Allgemeine Ausnahmen von der Informationspflicht
Absatz 1 legt einige Konstellationen fest, in denen die Informationspflicht gänzlich entfällt und der Verantwortliche die betroffene Person demnach gar nicht informieren muss. Nach Buchstabe a ist der Verantwortliche von der Informationspflicht entbunden, wenn die betroffene Person bereits über die Informationen nach Artikel 17 verfügt. Davon ist in verschiedenen Fällen auszugehen. Zunächst ist es möglich, dass die betroffene Person zu einem früheren Zeitpunkt bereits informiert wurde und sich die Informationen, welche übermittelt werden müssen, in der Zwischenzeit nicht geändert haben. Grundsätzlich ist ebenfalls davon auszugehen, dass die betroffene Person die Informationen bereits erhalten hat, um in eine Datenbearbeitung einzuwilligen. Denn eine gültige Einwilligung ist nur möglich, wenn die betroffene Person angemessen informiert wurde. Die dafür notwendigen Informationen entsprechen denjenigen, die nach Artikel 17 mitzuteilen sind oder gehen sogar darüber hinaus. Regelmässig erfolgt die Einwilligung mittels Allgemeiner Geschäftsbedingungen (AGB). Diese können damit grundsätzlich ebenfalls dazu dienen, die betroffene Person zu informieren, soweit sie die erforderlichen Informationen enthalten. Wenn die betroffene Person die Daten selbst, ohne Dazutun des Verantwortlichen zugänglich gemacht hat, gilt sie grundsätzlich ebenfalls als über die Datenbeschaffung informiert (z. B. Zustellung von Bewerbungsunterlagen).
Nach Buchstabe b entfällt die Informationspflicht, wenn die Bearbeitung im Gesetz vorgesehen ist. Darunter können sowohl Bearbeitungen durch die Bundesorgane als auch durch die Privaten fallen. Bundesorgane können Daten ohnehin nur bearbeiten, wenn eine gesetzliche Grundlage besteht. Dieser lassen sich regelmässig auch die entsprechenden Informationen entnehmen. Dasselbe gilt für Private, die durch das Gesetz zur Bearbeitung bestimmter Daten verpflichtet werden, wie dies z. B. betreffend die Geldwäscherei der Fall ist.
Nach Buchstabe c ist der private Verantwortliche von der Informationspflicht entbunden, wenn er einer gesetzlichen Geheimhaltungspflicht untersteht. Damit wird ein möglicher Normkonflikt dahingehend geregelt, dass grundsätzlich die Geheimhaltungspflicht der Informationspflichtvorgeht.
Nach Buchstabe d entfällt die Informationspflicht schliesslich, wenn die Voraussetzungen von Artikel 25 erfüllt sind. Dieser Artikel regelt die Einschränkung des Auskunftsrechts in Bezug auf periodisch erscheinende Medien. Ein analoges Medienprivileg ist aus denselben Gründen auch für die Informationspflicht erforderlich, um der besonderen Funktion der Medien ausreichend gerecht zu werden.
Abs. 2 Spezifische Einschränkung
Absatz 2 sieht eine spezifische Einschränkung der Informationspflicht für Fälle vor, in denen Daten nicht bei der betroffenen Person beschafft werden. Die Informationspflicht ihr gegenüber entfällt, wenn die Information nicht möglich ist (Bst. a) oder unverhältnismässigen Aufwand erfordert (Bst. b).
Die Information ist nicht möglich, wenn die betroffene Person gar nicht identifiziert werden kann, z. B. weil es sich um das Foto eines Unbekannten handelt. Dabei reicht allerdings nicht aus, dass lediglich vermutet wird, die Identifikation sei unmöglich. Vielmehr sind Nachforschungen in einem verhältnismässigen Umfang erforderlich. Der Aufwand für die Information der betroffenen Person ist unverhältnismässig, wenn der zu betreibende Aufwand im Verhältnis zum Informationszugewinn der betroffenen Person sachlich nicht gerechtfertigt erscheint. Zu berücksichtigen ist insbesondere, ob eine sehr grosse Anzahl von Personen betroffen sind. So kann die Information beispielsweise mit einem unverhältnismässigen Aufwand verbunden sein, wenn Personendaten ausschliesslich zu Archivzwecken im öffentlichen Interesse bearbeitet werden. Es wäre regelmässig mit einem extrem hohen Aufwand verbunden, sämtliche betroffenen Personen zu informieren, und deren Interesse an der Information dürfte sich oft in Grenzen halten, z. B. weil die fraglichen Daten sehr alt sind.
Diese Ausnahme ist eng auszulegen. Der Verantwortliche darf sich nicht mit der Vermutung begnügen, die Information sei unmöglich oder nur mit unverhältnismässigem Aufwand zu bewerkstelligen. Vielmehr hat er grundsätzlich sämtliche Vorkehren zu treffen, die unter den gegebenen Umständen von ihm erwartet werden können, um der Informationspflicht nachzukommen. Erst wenn diese erfolglos bleiben, darf der Verantwortliche davon ausgehen, die Information sei unmöglich.
Abs. 3 Einschränkung der Information
Absatz 3 legt fest, unter welchen Voraussetzungen der Verantwortliche auf die Mitteilung von Informationen verzichten, diese einschränken oder aufschieben kann. Im Gegensatz zu den Absätzen 1 und 2 erfasst Absatz 3 damit Konstellationen, in denen eine Interessenabwägung erfolgt. Teilweise wird danach unterschieden, ob es sich beim Verantwortlichen um ein Bundesorgan oder einen Privaten handelt. Aufgrund der Interessenabwägung hat der Verantwortliche die Information entsprechend auszugestalten, d. h. je nach dem muss er deren Mitteilung einschränken, aufschieben oder ganz darauf verzichten. Die Aufzählung der verschiedenen Ausnahmen ist abschliessend und die Bestimmung ist prinzipiell restriktiv auszulegen. Die Information sollte nur soweit beschränkt werden, als dies wirklich unerlässlich ist. Dabei müssen der Grund für die Beschränkung der Informationspflicht und das Interesse an einer transparenten Datenbearbeitung zueinander in Beziehung gesetzt werden. Grundsätzlich sollte die für die betroffene Person günstigste Lösung gewählt werden, welche eine transparente Datenbearbeitung unter den gegebenen Umständen soweit als möglich gewährleistet.
Bst. a
Nach Buchstabe a kann jeder Verantwortliche die Mitteilung der Informationen einschränken, aufschieben oder darauf verzichten, wenn dies wegen überwiegender Interessen Dritter erforderlich ist. Dabei stehen Konstellationen im Vordergrund, bei denen die betroffene Person durch die Information über die Datenbearbeitung auch Informationen über Drittpersonen erhält und dadurch die Interessen dieser Drittpersonen beeinträchtigt werden können.
Bst. b
Gemäss Buchstabe b kann jeder Verantwortliche die Mitteilung der Informationen einschränken, aufschieben oder darauf verzichten, wenn die Information den Zweck der Datenbearbeitung vereitelt. Diese Ausnahme ist eng auszulegen. Der Verantwortliche kann sich nur darauf berufen, wenn die Information der betroffenen Person völlig ausschliesst, zugleich den Zweck der Bearbeitung zu verwirklichen. Werden mit einer Bearbeitung mehrere Zwecke verfolgt, ist der zentrale Zweck massgebend. Dabei muss es sich um einen Zweck handeln, dem eine erhebliche Bedeutung zukommt, die eine solch weitgehende Einschränkung der Informationspflicht rechtfertigt. Zu denken ist beispielsweise an investigativen Journalismus, der nicht unter die Ausnahme in Artikel 18 Absatz 1 Buchstabe d E‑DSG fällt. So könnte eine Journalistin oder ein Journalist, die oder der für einen Dokumentarfilm an der Aufdeckung eines politischen Skandals arbeitet, durch die Informationspflicht daran gehindert werden, den in Frage stehenden Sachverhalt ungestört zu ermitteln. An einer solchen Tätigkeit besteht auch ein erhebliches öffentliches Interesse, das eine weitgehende Einschränkung der Informationspflicht rechtfertigt. Ebenfalls denkbar ist, dass in unmittelbarem Zusammenhang mit einem Verfahren mit hohem Streitwert Daten bearbeitet werden, die erst im Laufe des Prozesses eingesetzt werden sollen. Auch in diesem Fall würde durch die frühzeitige Preisgabe der Daten deren Bearbeitungszweck vollumfänglich vereitelt. Zudem handelt es sich hier um eine Bearbeitung, welche sowohl für den Verantwortlichen als auch für die betroffene Person einen Einzelfall darstellt, weil bei beiden davon auszugehen ist, dass sie nicht alltäglich in solche Gerichtsverfahren involviert sind. In beiden Beispielen besteht ein gewichtiges Interesse an der Datenbearbeitung und die Gefahr, dass der Bearbeitungszweck durch die Informationspflicht gänzlich vereitelt wird, ist unmittelbar und konkret. Schliesslich ist es in beiden Fällen so, dass die betroffene Person spätestens im Zeitpunkt der Publikation der fraglichen Daten bzw. der Verwendung im Gerichtsprozess von der Datenbearbeitung erfährt.
Entsprechend der systematischen Einordnung in Absatz 3 bleibt die Informationspflicht grundsätzlich bestehen. Der Verantwortliche darf die Information lediglich so weit einschränken, aufschieben oder darauf verzichten, als sie unmittelbar den Zweck der Bearbeitung vereitelt. Dabei muss der Verantwortliche diejenige Massnahme treffen, welche aus Sicht der betroffenen Person die mildeste ist und ihren Anspruch auf transparente Datenbearbeitung so wenig einschränkt, wie im Hinblick auf die Gründe für die Einschränkung der Information möglich ist.
Abzugrenzen ist die Ausnahme nach Buchstabe b schliesslich von derjenigen nach Buchstabe c. Buchstabe b ist eng auszulegen und kann nur dort zur Anwendung kommen, wo die Information der betroffenen Person den Bearbeitungszweck gänzlich vereiteln würde. Hingegen kann sich der Verantwortliche nicht auf Buchstabe b berufen, wenn es für ihn lediglich angenehmer oder praktischer wäre, auf die Information zu verzichten. Ebenfalls könnte sich ein Verantwortlicher nicht systematisch, für seine gesamte Bearbeitungstätigkeit auf die Ausnahme berufen. Schliesslich fallen auch rein wirtschaftliche Interessen (z. B. Verwendung der Daten zu Werbezwecken) grundsätzlich nicht in den Anwendungsbereich des Buchstaben b. Gegebenenfalls können solche weniger gewichtige Interessen des Verantwortlichen indes unter Buchstabe c fallen.
Bst. c
Der private Verantwortliche kann nach Absatz 3, Buchstabe c die Mitteilung von Informationen einschränken, aufschieben oder darauf verzichten, wenn eigene überwiegende Interessen es erfordern und er die Daten nicht Dritten bekannt gibt. Ein solches überwiegendes Interesse ist nicht leichthin anzunehmen. Das Interesse der betroffenen Person, über eine bestimmte Datenbearbeitung informiert zu werden, um ihre Rechte geltend machen zu können, ist sorgfältig abzuwägen gegenüber allfälligen Interessen des Verantwortlichen. Von Bedeutung kann dabei sein, welche Art von Daten auf welche Weise bearbeitet werden, wie gross die Gefahr einer Persönlichkeitsverletzung ist, welchem Zweck die Datenbearbeitung dient und in welchem Umfang die Information der betroffenen Person diesem Zweck entgegenstehen kann, sowie welche Bedeutung diesem Zweck mit Blick auf die Tätigkeit des Verantwortlichen zukommt.
Bst. d
Ein Bundesorgan kann nach Absatz 3, Buchstabe d die Mitteilung einschränken, aufschieben oder darauf verzichten, wenn es wegen überwiegender öffentlicher Interessen erforderlich ist (Ziff. 1). Als überwiegendes öffentliches Interesse gilt insbesondere die innere oder äussere Sicherheit der Eidgenossenschaft. Der Begriff der äusseren Sicherheit schliesst nebst der Beachtung von völkerrechtlichen Verpflichtungen auch die Pflege guter Beziehungen zum Ausland ein. Das Bundesorgan kann die Mitteilung ebenfalls einschränken, aufschieben oder darauf verzichten, wenn dadurch Ermittlungen, Untersuchungen oder behördliche oder gerichtliche Verfahren gefährdet werden können (Ziff. 2). Auf diese Weise soll sichergestellt werden, dass nicht über den Umweg des DSG die Vorschriften zum rechtlichen Gehör etc. nach den Verfahrensgesetzen umgangen werden können.
Art. 21 Informationspflicht bei einer automatisierten Einzelentscheidung
1 Der Verantwortliche informiert die betroffene Person über eine Entscheidung, die ausschliesslich auf einer automatisierten Bearbeitung beruht und die für sie mit einer Rechtsfolge verbunden ist oder sie erheblich beeinträchtigt (automatisierte Einzelentscheidung).
2 Er gibt der betroffenen Person auf Antrag die Möglichkeit, ihren Standpunkt darzulegen. Die betroffene Person kann verlangen, dass die automatisierte Einzelentscheidung von einer natürlichen Person überprüft wird.
3 Die Absätze 1 und 2 gelten nicht, wenn:
4 Ergeht die automatisierte Einzelentscheidung durch ein Bundesorgan, so muss es die Entscheidung entsprechend kennzeichnen. Absatz 2 ist nicht anwendbar, wenn die betroffene Person nach Artikel 30 Absatz 2 des Verwaltungsverfahrensgesetzes vom 20. Dezember 1968 (VwVG) oder nach einem anderen Bundesgesetz vor dem Entscheid nicht angehört werden muss.
Bot Art. 19 Informationspflicht bei einer automatisierten Einzelentscheidung (Zählg. gem. Entwurf)
Nach Artikel 19 E‑DSG besteht eine Informationspflicht bei einer automatisierten Einzelentscheidung. Dies entspricht den Anforderungen von Artikel 8 Buchstabe a E‑SEV 108 sowie Artikel 11 der Richtlinie (EU) 2016/680. Artikel 22 der Verordnung (EU) 2016/679 enthält eine ähnliche Bestimmung. Die Einführung dieses neuen Begriffs erfolgt, weil aufgrund der technologischen Entwicklung solche Entscheidungen immer häufiger auftreten werden.
Abs. 1 Information
Nach Absatz 1 muss der Verantwortliche die betroffene Person informieren über eine Entscheidung, die ausschliesslich auf einer automatisierten Bearbeitung, einschliesslich Profiling, beruht und für die betroffene Person mit einer Rechtsfolge verbunden ist oder sie erheblich beeinträchtigt.
Der Bundesrat wird in der Verordnung falls erforderlich präzisieren, wann eine Entscheidung vorliegt, die ausschliesslich auf einer automatisierten Bearbeitung beruht. Dies ist der Fall, wenn keine inhaltliche Bewertung und darauf gestützte Entscheidung durch eine natürliche Person stattgefunden hat. Das heisst, die inhaltliche Beurteilung des Sachverhalts, auf dem die Entscheidung beruht, erfolgte ohne Dazutun einer natürlichen Person. Darüber hinaus wird auch der Entscheid, der auf der Basis dieser Sachverhaltsbeurteilung ergeht, nicht von einer natürlichen Person getroffen. Eine automatisierte Einzelentscheidung kann selbst dann vorliegen, wenn sie anschliessend durch eine natürliche Person mitgeteilt wird, falls diese die automatisch gefällte Entscheidung nicht mehr beeinflussen kann. Massgebend ist somit, inwieweit eine natürliche Person eine inhaltliche Prüfung vornehmen und darauf aufbauend die endgültige Entscheidung fällen kann. Erforderlich ist allerdings, dass die Entscheidung eine gewisse Komplexität aufweist. Reine Wenn-Dann- Entscheidungen sind vom Begriff nicht erfasst, wie dies z. B. bei einem Bancomatbezug der Fall ist (angefragter Geldbetrag wird ausgegeben, wenn Kontodeckung genügend).
Die betroffene Person muss nicht über jede automatisierte Einzelentscheidung informiert werden. Vielmehr ist dies nur erforderlich, wenn die Entscheidung mit einer Rechtsfolge für die betroffene Person verbunden ist oder sie erheblich beeinträchtigt. Die Entscheidung ist mit einer Rechtsfolge verbunden, wenn sie unmittelbare, rechtlich vorgesehene Konsequenzen für die betroffene Person nach sich zieht. Dies ist im privatrechtlichen Bereich namentlich bei Abschluss eines Vertrags oder dessen Kündigung der Fall. Dabei ist eine differenzierte Betrachtung nötig. So hat der Abschluss eines Versicherungsvertrags eine Rechtsfolge für die betroffene Person. Wird hingegen der betroffenen Person anschliessend in regelmässigen Abständen eine Prämienrechnung zugestellt, ist nicht jede einzelne Prämienrechnung für sich eine weitere Einzelentscheidung mit Rechtsfolge, weil sich die Rechnungsstellung aus dem Vertragsabschluss ergibt. Nicht mit einer Rechtsfolge verbunden ist ebenfalls, wenn mit der betroffenen Person kein Vertrag zustande kommt. Im öffentlichrechtlichen Bereich liegt eine Rechtsfolge insbesondere vor, wenn Verfügungen aufgrund einer automatisierten Einzelentscheidung ergehen, so z. B. eine automatisierte Steuerveranlagung.
Eine erhebliche Beeinträchtigung der betroffenen Person ist anzunehmen, wenn diese auf nachhaltige Weise z. B. in ihren wirtschaftlichen oder persönlichen Belangen eingeschränkt ist. Eine blosse Belästigung reicht dafür nicht aus. Massgebend sind die konkreten Umstände des Einzelfalls. Zu berücksichtigen ist insbesondere, wie bedeutsam das fragliche Gut für die betroffene Person ist, wie dauerhaft sich die Entscheidung auswirkt und ob allenfalls Alternativen zugänglich sind. Je nach den konkreten Auswirkungen kann ein nicht abgeschlossener Vertrag daher eine erhebliche Beeinträchtigung darstellen oder nicht. Eine erhebliche Beeinträchtigung kann auch vorliegen, wenn medizinische Leistungen auf der Basis automatisierter Entscheidungen zugeteilt werden.
Der Verantwortliche muss die betroffene Person auch über ein Profiling informieren, wenn dieses zu einer Entscheidung führt, die für die betroffene Person mit einer Rechtsfolge verbunden ist oder sie erheblich beeinträchtigt. So ist beispielsweise möglich, dass die betroffene Person ausschliesslich aufgrund eines negativen Kreditscorings keinen Kreditkartenvertrag abschliessen kann. Insbesondere dieses Beispiel zeigt auch die Problematik automatisierter Einzelentscheidungen auf. So kann ein negatives Kreditscoring durchaus die tatsächlichen finanziellen Verhältnisse einer Person wiederspiegeln. Ebenso ist aber möglich, dass dieses Kreditscoring auf falschen oder veralteten Daten beruht, welche den tatsächlichen finanziellen Verhältnissen der betroffenen Person völlig widersprechen. Die automatisierte Entscheidung führt in diesem Fall für sie zu einer ungerechtfertigten Beeinträchtigung.
Abs. 2 Darstellung des Standpunktes
Der Verantwortliche muss der betroffenen Person nach Absatz 2 die Möglichkeit geben, ihren Standpunkt darzulegen, wenn sie dies verlangt. Sie soll insbesondere die Gelegenheit erhalten, ihre Ansicht zum Ergebnis der Entscheidung zu äussern und gegebenenfalls nachzufragen, wie die Entscheidung zustande gekommen ist. Dadurch soll unter anderem verhindert werden, dass die Datenbearbeitung auf unvollständigen, veralteten oder unzutreffenden Daten beruht. Dies liegt auch im Interesse des Verantwortlichen, weil unzutreffende automatisierte Einzelentscheidungen auch für ihn negative Konsequenzen nach sich ziehen können, beispielsweise indem ein Vertrag mit einer Person nicht abgeschlossen wird, weil sie zu Unrecht als nicht kreditwürdig eingestuft wurde. Die Vertragsfreiheit bleibt dadurch unberührt.
Das Gesetz legt nicht fest, wann die betroffene Person informiert werden muss und wann sie Gelegenheit erhält, ihren Standpunkt darzulegen. Dementsprechend kann dies vor oder nach der Entscheidung erfolgen. Somit ist die Information und Anhörung beispielsweise auch möglich, indem der betroffenen Person eine automatisiert erfolgte Verfügung zugestellt wird, die entsprechend gekennzeichnet ist, und sie anschliessend die Möglichkeit erhält, sich im Rahmen des rechtlichen Gehörs oder durch Einlegen eines Rechtsmittels zu äussern. Dieses darf für die betroffene Person allerdings nicht mit so hohen Kosten (z. B. Verfahrenskosten) verbunden sein, dass sie deswegen davon absieht.
Abs. 3 Ausnahmen
Die Pflicht zur Information und Anhörung entfällt gemäss Absatz 3, wenn die automatisierte Einzelentscheidung in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen steht, soweit ihrem Begehren stattgegeben wird (Bst. a). In einem solchen Fall ist davon auszugehen, dass die betroffene Person kein Interesse mehr an der Information hat. Dem Begehren der betroffenen Person wird stattgegeben, wenn der Vertragsabschluss genau zu den Konditionen erfolgt, wie sie z. B. in der Offerte dargestellt wurden oder wie sie die betroffene Person verlangt hatte. So wird beispielsweise ihrem Begehren stattgegeben, wenn ein Leasingvertrag zum im Angebot aufgeführten Zins abgeschlossen wird; anderes gilt, wenn der Leasingvertrag zwar abgeschlossen wird, aber aufgrund eines schlechten Kreditratings der betroffenen Person zu einem weniger vorteilhaften Zins als im Angebot genannt. Abzustellen ist dabei darauf, ob gesamthaft den Begehren der betroffenen Person stattgegeben wurde. Es reicht nicht aus, wenn dies nur in Bezug auf einzelne Elemente der Fall ist.
Die Pflicht zur Information und Anhörung entfällt ebenfalls, wenn die betroffene Person ausdrücklich eingewilligt hat, dass eine Entscheidung automatisiert erfolgt (Bst. b). Diese Ausnahme ist folgerichtig, weil die betroffene Person bereits informiert werden muss, um rechtsgültig einzuwilligen.
Abs. 4 Einzelentscheidungen durch Bundesorgane
Absatz 4 betrifft automatisierte Einzelentscheidungen, die durch ein Bundesorgan ergehen. Dabei handelt es sich grundsätzlich um Verfügungen. Gemäss Absatz 4 muss das Bundesorgan diese als automatisierte Einzelentscheidungen kennzeichnen, damit die betroffene Person erkennen kann, dass der Entscheid nicht durch eine natürliche Person bearbeitet wurde. Gegen Verfügungen steht der betroffenen Person grundsätzlich ein Rechtsmittel zur Verfügung, in dem die betroffene Person ihren Standpunkt darlegen kann und eine natürliche Person den Entscheid überprüft. Die Rechte nach Artikel 19 Absatz 2 E‑DSG werden mit anderen Worten bereits durch den Rechtsweg gewährleistet. Deswegen sieht Satz 2 der Bestimmung vor, dass Absatz 2 von Artikel 19 nicht gilt, wenn die betroffene Person ein Rechtsmittel ergreifen kann.
Art. 22 Datenschutz-Folgenabschätzung
1 Der Verantwortliche erstellt vorgängig eine Datenschutz-Folgenabschätzung, wenn eine Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann. Sind mehrere ähnliche Bearbeitungsvorgänge geplant, so kann eine gemeinsame Abschätzung erstellt werden.
2 Das hohe Risiko ergibt sich, insbesondere bei Verwendung neuer Technologien, aus der Art, dem Umfang, den Umständen und dem Zweck der Bearbeitung. Es liegt namentlich vor:
3 Die Datenschutz-Folgenabschätzung enthält eine Beschreibung der geplanten Bearbeitung, eine Bewertung der Risiken für die Persönlichkeit oder die Grundrechte der betroffenen Person sowie die Massnahmen zum Schutz der Persönlichkeit und der Grundrechte.
4 Von der Erstellung einer Datenschutz-Folgenabschätzung ausgenommen sind private Verantwortliche, wenn sie gesetzlich zur Bearbeitung der Daten verpflichtet sind.
5 Der private Verantwortliche kann von der Erstellung einer Datenschutz-Folgenabschätzung absehen, wenn er ein System, Produkt oder eine Dienstleistung einsetzt, das oder die für die vorgesehene Verwendung nach Artikel 13 zertifiziert ist oder wenn er einen Verhaltenskodex nach Artikel 11 einhält, der die folgenden Voraussetzungen erfüllt:
Bot Art. 20 Datenschutz-Folgenabschätzung (Zählg. gem. Entwurf)
Artikel 20 E‑DSG führt neu die Pflicht zum Erstellen einer Datenschutz-Folgenabschätzung ein. Diese Bestimmung verwirklicht die Anforderungen von Artikel 8 Absatz 2 E‑SEV 108 sowie von Artikel 27 f. der Richtlinie (EU) 2016/680. Die Artikel 35 f. der Verordnung (EU) 2016/679 enthalten ähnliche Vorschriften.
Begriff und Funktion der Datenschutz-Folgenabschätzung ergeben sich aus Artikel 20 Absatz 3. Eine Datenschutz-Folgenabschätzung ist ein Instrument, um Risiken zu erkennen und zu bewerten, welche für die betroffene Person durch den Einsatz bestimmter Datenbearbeitungen entstehen können. Auf der Basis dieser Abschätzung sollen gegebenenfalls angemessene Massnahmen definiert werden, um diese Risiken für die betroffene Person zu bewältigen. Eine solche Abschätzung ist daher auch für den Verantwortlichen vorteilhaft, weil sie ihm erlaubt, allfällige datenschutzrechtliche Probleme präventiv anzugehen und dadurch nicht zuletzt Kosten zu sparen.
Die Bundesorgane sind bereits heute verpflichtet, dem Datenschutzverantwortlichen oder, falls kein solcher besteht, dem Beauftragten Projekte zur automatisierten Bearbeitung von Daten zu melden (Art. 20 Abs. 2 VDSG). Das Vorgehen gemäss der Projektmanagementmethode Hermes dürfte den Anforderungen einer Datenschutz-Folgenabschätzung weitgehendentsprechen.
Abs. 1 und 2 Gründe für die Datenschutz-Folgenabschätzung
Nach Absatz 1 muss der Verantwortliche eine Datenschutz-Folgenabschätzung durchführen, wenn die vorgesehene Datenbearbeitung voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt. Die vorliegende Bestimmung gilt sowohl für private Verantwortliche als auch für Bundesorgane, weshalb nicht nur von einem Risiko für die Persönlichkeit der betroffenen Person, sondern auch für deren Grundrechte die Rede ist. Der Verantwortliche ist demnach verpflichtet, eine Prognose darüber zu machen, welche Folgen eine geplante Datenbearbeitung für die betroffene Person hat. Massgebend ist hierfür insbesondere, auf welche Weise und in welchem Umfang sich eine Bearbeitung auf die Persönlichkeit oder die Grundrechte der betroffenen Person auswirkt.
Bei der Konkretisierung dieses Risikos stehen das Recht auf informationelle Selbstbestimmung sowie das Recht auf Privatsphäre im Vordergrund. Diese schützen sowohl die Autonomie des Einzelnen als auch dessen Würde und Identität. In Bezug auf Daten bedeutet Autonomie insbesondere, selbständig über die persönlichen Daten verfügen zu können und nicht annehmen zu müssen, dass diese sich in unbekannter Menge in den Händen einer Vielzahl von Drittpersonen befinden, welche darüber unbeschränkt verfügen können. Denn Daten sind eng mit der Identität einer Person verbunden. Wer Daten über eine Person hat und sie miteinander in Verbindung bringt, kann ein sehr intimes und umfassendes Bild einer Person erhalten, welches sie freiwillig vielleicht lediglich besonders nahestehenden Personen offenbaren würde. Dies ist nicht nur in Bezug auf die Verfügungsfreiheit problematisch. Vielmehr können Informationen über eine andere Person deren Beziehungen zur Umwelt vielfältig beeinflussen, gegebenenfalls ohne dass die betroffene Person die Gründe kennt (z. B. Stigmatisierung wegen einer Krankheit, Einschränkungen bei Vertragsabschlüssen wegen einer Bonitätseinschätzung etc.). Die betroffene Person kann sich auch dazu gezwungen fühlen, ihr Verhalten zu ändern, beispielsweise weil sie weiss, dass ihr Verhalten überwacht wird. Schliesslich können solche Informationen auch zu Missbrauch einladen, der die Würde des Einzelnen empfindlich treffen kann.
Zur Evaluation des Risikos sind die informationelle Selbstbestimmung und das Recht auf Privatsphäre in Beziehung zu setzen zur fraglichen Datenbearbeitung. Die Bearbeitung muss mit anderen Worten im Hinblick auf die Selbstbestimmung, die Identität und die Würde einer betroffenen Person betrachtet werden. Von einem hohen Risiko ist grundsätzlich auszugehen, wenn die spezifischen Eigenschaften der geplanten Datenbearbeitung darauf schliessen lassen, dass die Verfügungsfreiheit der betroffenen Person über ihre Daten in hohem Masse eingeschränkt wird oder werden kann. Das hohe Risiko kann sich beispielsweise ergeben aus der Art der bearbeiteten Daten bzw. deren Inhalt (z. B. besonders schützenswerte Daten), der Art und dem Zweck der Datenbearbeitung (z. B. Profiling), der Menge an bearbeiteten Daten, der Übermittlung in Drittstaaten (z. B. wenn die ausländische Gesetzgebung keinen angemessenen Schutz gewährleistet) oder wenn eine grosse oder gar unbegrenzte Anzahl Personen auf die Daten zugreifenkönnen.
Absatz 2 konkretisiert dies weiterund hält fest, dass sich das hohe Risiko aus der Art, dem Umfang, den Umständen und dem Zweck der Bearbeitung ergibt. Je umfangreicher die Bearbeitung, je sensibler die bearbeiteten Daten, je umfassender der Bearbeitungszweck, umso eher ist ein hohes Risiko anzunehmen. Beispielhaft zählt die Bestimmung zwei Fälle auf, in denen ein hohes Risiko vorliegt. Nach Buchstabe a liegt ein solches vor, wenn in umfangreicher Form besonders schützenswerte Personendaten bearbeitet werden, wie dies beispielsweise bei medizinischen Forschungsprojekten der Fall sein kann. Nach Buchstabe b besteht bei einem Profiling ebenfalls ein hohes Risiko. Dasselbe kann gelten im Falle von Entscheidungen, die ausschliesslich auf einer automatisierten Bearbeitung, einschliesslich Profiling, beruhen und für die betroffene Person mit einer Rechtsfolge verbunden sind oder sie erheblich beeinträchtigen. Solche Entscheidungen können gegebenenfalls für die betroffene Person mit erheblichen Folgen verbunden sein. In solchen Fällen ist ebenfalls eine Datenschutz-Folgenabschätzung erforderlich. Nach Buchstabe c besteht schliesslich ein hohes Risiko, wenn systematisch umfangreiche öffentliche Bereiche überwacht werden. Zu denken ist beispielsweise an die Überwachung einer Bahnhofshalle.
Satz 2 von Absatz 1 erlaubt es dem Verantwortlichen, eine gemeinsame Abschätzung zu erstellen, wenn er mehrere ähnliche Bearbeitungsvorgänge plant. Gemeint sind damit insbesondere Bearbeitungsvorgänge, die einen übergreifenden gemeinsamen Zweck haben. Dementsprechend müssen nicht einzelne Bearbeitungsschritte einer Bearbeitungsplattform separat untersucht werden, sondern die Datenschutz-Folgenabschätzung kann die gesamte Bearbeitungsplattform erfassen.
Abs. 3 Inhalt der Datenschutz-Folgenabschätzung
Nach Absatz 3 muss in der Datenschutz-Folgenabschätzung zunächst die geplante Bearbeitung dargelegt werden. So müssen beispielsweise die verschiedenen Bearbeitungsvorgänge (z. B. die verwendete Technologie), der Zweck der Bearbeitung oder die Aufbewahrungsdauer aufgeführt werden. Im Weiteren muss gemäss Absatz 3 aufgezeigt werden, welche Risiken für die Persönlichkeit oder die Grundrechte der betroffenen Person die fraglichen Bearbeitungsvorgänge mit sich bringen können. Es handelt sich hier um eine Vertiefung der Risikobewertung, die bereits im Hinblick auf die Notwendigkeit einer Datenschutz-Folgenabschätzung vorzunehmen ist. So ist darzustellen, in welcher Hinsicht von der fraglichen Datenbearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person ausgeht und wie dieses Risiko zu bewerten ist. Schliesslich muss die Datenschutz-Folgenabschätzung nach Absatz 3 erläutern, mit welchen Massnahmen diese Risiken bewältigt werden sollen. Massgebend dafür sind insbesondere die Grundsätze nach Artikel 5 E‑DSG, aber auch die Pflicht zum Datenschutz durch Technik und durch datenschutzfreundliche Voreinstellungen (privacy by design/by default; Art. 6 EDSG) können relevant sein. Bei diesen Massnahmen darf auch eine Abwägung zwischen den Interessen der betroffenen Person und denjenigen des Verantwortlichen erfolgen. Diese Interessenabwägung ist in der Datenschutz-Folgenabschätzung ebenfalls aufzuführen und entsprechend zu begründen.
Abs. 4 Ausnahmen für gesetzliche Pflichten
Nach Absatz 4 müssen private Verantwortliche, die Daten in Erfüllung einer gesetzlichen Pflicht bearbeiten, keine Datenschutz-Folgenabschätzung erstellen. Dabei ist beispielsweise an die Bearbeitung von Daten zur Bekämpfung von Terrorismus oder Geldwäscherei zu denken. Werden Daten aufgrund einer gesetzlichen Verpflichtung lediglich für solche Zwecke bearbeitet, ist davon auszugehen, dass der Gesetzgeber allfällige Risiken für die betroffene Person im Vergleich zum Bearbeitungszweck abgewogen und gegebenenfalls entsprechende Vorschriften erlassen hat.
Nicht erfasst von Absatz 4 sind hingegen Bearbeitungen von Privaten, die nicht ausschliesslich zur Erfüllung einer gesetzlichen Pflicht erfolgen. Hierfür muss eine Datenschutz-Folgenabschätzung erstellt werden.
Abs. 5 Ausnahmen
Private Verantwortliche können von der Erstellung einer Datenschutz-Folgenabschätzung absehen, wenn sie sich einer Zertifizierung nach Artikel 12 unterzogen haben. Die Zertifizierung muss sich auf die fragliche Bearbeitung einschliessen, die mittels der Datenschutz-Folgenabschätzung zu prüfen wäre. Der Beauftragte hätte bevorzugt, wenn sich die Ausnahme lediglich auf die Zertifizierung beschränken würde.
Darüber hinaus können sie davon absehen, wenn sie einen Verhaltenskodex einhalten, der die Voraussetzungen von Absatz 5 Buchstaben a – c erfüllt. Es handelt sich dabei um einen Verhaltenskodex nach Artikel 10. Dieser muss auf einer Datenschutz-Folgenabschätzung beruhen, in der die fragliche Bearbeitung untersucht wurde (Bst. a). Der Verhaltenskodex muss Massnahmen zum Schutz der Persönlichkeit oder der Grundrechte der betroffenen Person vorsehen (Bst. b). Darüber hinaus muss der Verhaltenskodex dem Beauftragten vorgelegt worden sein (Bst. c). So ist beispielsweise denkbar, dass eine Standesorganisation für Anwälte eine Plattform zur Verwaltung von Klientendaten entwickeln lässt, hierfür eine Datenschutz-Folgenabschätzung vornimmt und aufgrund deren Ergebnis einen Verhaltenskodex entwickelt. Hält nun ein privater Verantwortlicher diesen Kodex ein, wenn er die Plattform verwendet, ist er von der Erstellung einer Datenschutz-Folgenabschätzung entbunden.
Der Beauftragte hätte es bevorzugt, wenn diese Ausnahme auf den Fall der Zertifizierung begrenzt worden wäre.
Art. 23 Konsultation des EDÖB
1 Ergibt sich aus der Datenschutz-Folgenabschätzung, dass die geplante Bearbeitung trotz der vom Verantwortlichen vorgesehenen Massnahmen noch ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person zur Folge hat, so holt er vorgängig die Stellungnahme des EDÖB ein.
2 Der EDÖB teilt dem Verantwortlichen innerhalb von zwei Monaten seine Einwände gegen die geplante Bearbeitung mit. Diese Frist kann um einen Monat verlängert werden, wenn es sich um eine komplexe Datenbearbeitung handelt.
3 Hat der EDÖB Einwände gegen die geplante Bearbeitung, so schlägt er dem Verantwortlichen geeignete Massnahmen vor.
4 Der private Verantwortliche kann von der Konsultation des EDÖB absehen, wenn er die Datenschutzberaterin oder den Datenschutzberater nach Artikel 10 konsultiert hat.
Bot Art. 21 Konsultation des Beauftragten (Zählg. gem. Entwurf)
Anders als in der Vernehmlassungsvorlage wird die Mitteilung des Ergebnisses einer Datenschutz-Folgenabschätzung an den Beauftragten im E‑DSG in einer separaten Bestimmung geregelt.
Abs. 1 Konsultationspflicht
Nach Absatz 1 muss der Verantwortliche vorgängig die Stellungnahme des Beauftragten einholen, wenn sich aus der Datenschutz-Folgenabschätzung ergibt, dass die geplante Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person zur Folge hätte, wenn der Verantwortliche keine Massnahmen träfe. Diese Konsultation wird durch den E‑SEV 108 nicht vorgeschrieben, aber sie entspricht den europäischen Regelungen (Art. 28 der Richtlinie [EU] 2016/680 und Art. 36 der Verordnung [EU] 2016/679). Sie wird namentlich in den E‑DSG aufgenommen, weil sie dem Beauftragten erlaubt, präventiv und beratend tätig zu sein. Dies ist nicht zuletzt auch für den Verantwortlichen effizienter, da mögliche datenschutzrechtliche Schwierigkeiten bereits in einem frühen Stadium der Datenbearbeitung behoben werden können.
Abs. 2 und 3 Einwände des Beauftragten
Gemäss Absatz 2 hat der Beauftragte zwei Monate Zeit, um dem Verantwortlichen seine Einwände gegen die geplante Bearbeitung mitzuteilen. In besonders komplexen Fällen kann diese Frist um einen Monat verlängert werden. Erhält der Verantwortliche innerhalb der Zweimonatsfrist keine Nachricht vom Beauftragten, kann er grundsätzlich davon ausgehen, dass der Beauftragte keine Einwände gegen die vorgeschlagenen Massnahmen hat.
Nachdem er über eine Datenschutz-Folgenabschätzung benachrichtigt worden ist, überprüft der Beauftragte, ob die vorgeschlagenen Massnahmen zum Schutz der Grundrechte und der Persönlichkeit der betroffenen Person ausreichend sind. Kommt er zum Schluss, dass die geplante Bearbeitung in der vorgeschlagenen Form gegen die Datenschutzvorschriften verstossen würde, schlägt er dem Verantwortlichen geeignete Massnahmen vor, um die festgestellten Risiken einzudämmen.
Dem Datenschutzbeauftragten bleibt es indes unbenommen, zu einem späteren Zeitpunkt eine Untersuchung zu eröffnen, wenn die Voraussetzungen nach Artikel 43 E‑DSG erfüllt sind. Dies kann insbesondere der Fall sein, wenn im Rahmen der Datenschutz-Folgenabschätzung die Risiken nicht korrekt eingeschätzt wurden und sich dementsprechend auch die fraglichen Massnahmen nicht als zielgenau oder als nicht ausreichenderweisen.
Abs. 4 Konsultation der Datenschutzberaterin oder des Datenschutzberaters
Der private Verantwortliche kann von der Konsultation des Beauftragten absehen, wenn er einen Datenschutzberater nach Artikel 9 E‑DSG eingesetzt und diesen in Bezug auf die Datenschutz-Folgenabschätzung konsultiert hat. Der Datenschutzberater muss sich tatsächlich mit der Datenschutz-Folgenabschätzung auseinandergesetzt haben. Das heisst, es reicht für die Privilegierung nicht aus, dass der Verantwortliche lediglich einen Datenschutzberater ernennt. Vielmehr muss dieser aktiv in die Erarbeitung der Datenschutz-Folgenabschätzung involviert sein. So muss er insbesondere die Risikobewertung und die vorgeschlagenen Massnahmen zur Bewältigung dieser Risiken prüfen. Die Bestimmung soll Unternehmen entlasten und ihnen zugleich einen Anreiz geben, einen Datenschutzberater einzusetzen.
Eine solche Ausnahme wurde auf europäischer Ebene zwar diskutiert, aber schliesslich in der Verordnung (EU) 2016/679 nicht vorgesehen. Dem Bundesrat erscheint es sinnvoll, in diesem Punkt weitergehende Erleichterungen vorzusehen, insbesondere um den Verwaltungsaufwand zu reduzieren. Der Beauftragte hätte es vorgezogen, wenn diese Vorschrift nicht in den Entwurf aufgenommen worden wäre.
Art. 24 Meldung von Verletzungen der Datensicherheit
1 Der Verantwortliche meldet dem EDÖB so rasch als möglich eine Verletzung der Datensicherheit, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt.
2 In der Meldung nennt er mindestens die Art der Verletzung der Datensicherheit, deren Folgen und die ergriffenen oder vorgesehenen Massnahmen.
3 Der Auftragsbearbeiter meldet dem Verantwortlichen so rasch als möglich eine Verletzung der Datensicherheit.
4 Der Verantwortliche informiert die betroffene Person, wenn es zu ihrem Schutz erforderlich ist oder der EDÖB es verlangt.
5 Er kann die Information an die betroffene Person einschränken, aufschieben oder darauf verzichten, wenn:
6 Eine Meldung, die aufgrund dieses Artikels erfolgt, darf in einem Strafverfahren gegen die meldepflichtige Person nur mit deren Einverständnis verwendet werden.
Bot Art. 22 Meldung von Verletzungen der Datensicherheit (Zählg. gem. Entwurf)
Artikel 22 E‑DSG führt die Pflicht zur Meldung von Verletzungen der Datensicherheit ein. Diese Bestimmung verwirklicht die Anforderungen von Artikel 7 Absatz 2 E‑SEV 108 sowie der Artikel 30 f. der Richtlinie (EU) 2016/680. Die Artikel 33 f. der Verordnung (EU) 2016/679 enthalten eine ähnliche Regelung.
Abs. 1 Begriff und Grundsatz
Nach Absatz 1 meldet der Verantwortliche dem Datenschutzbeauftragen so rasch als möglich eine Verletzung der Datensicherheit, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt. Die vorliegende Bestimmung gilt sowohl für private Verantwortliche als auch für Bundesorgane, weshalb nicht nur von einem Risiko für die Persönlichkeit der betroffenen Person, sondern auch für deren Grundrechte die Rede ist.
Die Verletzung der Datensicherheit ist in Artikel 4 Buchstabe g E‑DSG definiert. Demnach handelt es sich dabei um eine Verletzung der Sicherheit, die, ungeachtet der Absicht oder der Widerrechtlichkeit, dazu führt, dass Personendaten verlorengehen, gelöscht oder vernichtet, verändert oder Unbefugten offengelegt oder zugänglich gemacht werden. Die Verletzung kann durch Dritte erfolgen, aber auch durch Mitarbeiter, die ihre Kompetenzen missbrauchen oder fahrlässig handeln. Durch eine Verletzung der Datensicherheit kann die betroffene Person die Kontrolle über ihre Daten verlieren, oder diese Daten werden missbraucht. Darüber hinaus kann sie auch zu einer Verletzung der Persönlichkeit der betroffenen Person führen, zum Beispiel indem geheime Informationen über sie bekannt werden. Dementsprechend gilt nach Artikel 26 Absatz 2 Buchstabe a E‑DSG eine Verletzung der Datensicherheit als Persönlichkeitsverletzung.
Auf diese Gefährdungen kann die betroffene Person nur reagieren, wenn sie von der Verletzung der Datensicherheit weiss. Daher muss der Verantwortliche prinzipiell eine unbefugte Bearbeitung melden, wobei die Meldung zunächst an den Beauftragten geht und nur unter den Voraussetzungen von Absatz 4 an die betroffene Person. Die Meldung hat ab dem Zeitpunkt der Kenntnisnahme so rasch als möglich zu erfolgen. Der Verantwortliche muss grundsätzlich schnell handeln, aber die Bestimmung gibt einen gewissen Ermessensspielraum. Massgebend ist dabei unter anderem das Ausmass der Gefährdung der betroffenen Person. Je erheblicher die Gefährdung, je grösser die Anzahl der betroffenen Personen, umso schneller muss der Verantwortliche handeln.
Die Meldung an den Beauftragten ist jedoch nur nötig, wenn die Verletzung der Datensicherheit voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt. Dies soll verhindern, dass selbst unbedeutende Verletzungen gemeldet werden müssen. Der Verantwortliche muss dafür eine Prognose in Bezug auf die möglichen Auswirkungen der Verletzung für die betroffene Person stellen.
Abs. 2 Inhalt der Meldung
Absatz 2 enthält die Mindestanforderungen an eine Meldung an den Beauftragten. Der Verantwortliche muss zunächst die Art der Verletzung der Datensicherheit nennen, soweit ihm dies möglich ist. Dabei lassen sich vier Arten der Verletzung unterscheiden: die Vernichtung oder Löschung, der Verlust, die Veränderung und die Bekanntgabe von Daten an Unbefugte. Ebenfalls muss er die Folgen der Verletzung der Datensicherheit soweit als möglich umschreiben. Hierbei stehen die Folgen für die betroffene Person im Vordergrund; gemeint sind nicht diejenigen für den Verantwortlichen selbst. Schliesslich muss der Verantwortliche angeben, welche Massnahmen er aufgrund der Verletzung ergriffen hat bzw. welche Massnahmen er für die Zukunft vorschlägt. Dabei geht es um Massnahmen, welche die Verletzung beseitigen oder deren Folgen mildern. Insgesamt soll die Meldung dem Beauftragten erlauben, möglichst zeitnah und wirksam zu intervenieren.
Abs. 3 Meldung durch den Auftragsbearbeiter
Eine Verletzung der Datensicherheit kann auch beim Auftragsbearbeiter auftreten. Daher ist dieser nach Absatz 3 verpflichtet, dem Verantwortlichen so rasch als möglich jede unbefugte Datenbearbeitung zu melden. Es ist am Verantwortlichen, anschliessend eine Risikoabschätzung vorzunehmen und darüber zu entscheiden, inwieweit eine Meldepflicht gegenüber dem Beauftragten und der betroffenen Person besteht.
Abs. 4 Information an die betroffene Person
Grundsätzlich muss die betroffene Person nicht benachrichtigt werden. Gemäss Absatz 4 muss sie jedoch über die Verletzung der Datensicherheit informiert werden, wenn es zu ihrem Schutz erforderlich ist oder wenn der Beauftragte es verlangt. Dabei besteht ein gewisser Ermessensspielraum. Bedeutsam ist insbesondere, ob durch die Information die Risiken für die Persönlichkeit oder die Grundrechte der betroffenen Person reduziert werden können. Dies ist insbesondere der Fall, wenn die betroffene Person entsprechende Vorkehren zu ihrem Schutz treffen muss, zum Beispiel indem sie ihre Zugangsdaten oder Passwörterändert.
Abs. 5 Einschränkung der Pflicht zur Information der betroffenen Person
Der Verantwortliche kann nach Absatz 5 die Information an die betroffenen Person einschränken, aufschieben oder darauf verzichten, wenn einer der Gründe von Artikel 24 Absatz 1 Buchstabe b oder Absatz 2 Buchstabe b E‑DSG vorliegt oder eine gesetzliche Geheimhaltungspflicht dies verbietet (Bst. a.). Nach Absatz 5 Buchstabe b ist die Einschränkung ebenfalls zulässig, wenn die Information unmöglich ist oder einen unverhältnismässigen Aufwand erfordert. Eine Information ist unmöglich, wenn der Verantwortliche gar nicht weiss, welche Personen von der Verletzung der Datensicherheit betroffen sind, beispielsweise weil die Logfiles, aus denen dies ersichtlich wäre, nicht mehr vorhanden sind. Ein unverhältnismässiger Aufwand würde beispielsweise vorliegen, wenn bei einer grossen Anzahl Betroffener diese einzeln informiert werden müssten und die dadurch verursachten Kosten im Verhältnis zum Informationsgewinn für die betroffene Person unverhältnismässig erschienen. Insbesondere in solchen Konstellationen kann Absatz 5 Buchstabe c zur Anwendung kommen, der dem Verantwortlichen erlaubt, die betroffenen Personen durch eine öffentliche Bekanntmachung zu informieren, wenn sie dadurch auf vergleichbare Weise informiert werden. Dies ist der Fall, wenn die Information der betroffenen Person durch eine individuelle Information nicht substantiell verbessert wird.
Abs. 6 Einverständnis des Meldepflichtigen
Die Meldepflicht nach Artikel 22 E‑DSG kann in Konflikt geraten mit dem Grundsatz, dass sich niemand selbst belasten muss. Absatz 6 sieht für diese Konstellation vor, dass eine Meldung, die in Erfüllung der Meldepflicht nach Artikel 22 E‑DSG erfolgt, in einem Strafverfahren gegen den Meldepflichtigen nur verwendet werden darf, wenn dieser damit einverstanden ist. Die Bestimmung erfasst sowohl Verantwortliche als auch Auftragsbearbeiter, die eine Verletzung der Datensicherheit melden.
Das 4. Kapitel regelt die Rechte der betroffenen Person. Spezifische Ansprüche gegenüber den privaten Verantwortlichen sind im 5. Kapitel festgelegt, solche gegenüber Bundesorganen im 6. Kapitel.
4. Kapitel: Rechte der betroffenen Person
Art. 25 Auskunftsrecht
1 Jede Person kann vom Verantwortlichen Auskunft darüber verlangen, ob Personendaten über sie bearbeitet werden.
2 Die betroffene Person erhält diejenigen Informationen, die erforderlich sind, damit sie ihre Rechte nach diesem Gesetz geltend machen kann und eine transparente Datenbearbeitung gewährleistet ist. In jedem Fall werden ihr folgende Informationen mitgeteilt:
3 Personendaten über die Gesundheit können der betroffenen Person mit ihrer Einwilligung durch eine von ihr bezeichnete Gesundheitsfachperson mitgeteilt werden.
4 Lässt der Verantwortliche Personendaten von einem Auftragsbearbeiter bearbeiten, so bleibt er auskunftspflichtig.
5 Niemand kann im Voraus auf das Auskunftsrecht verzichten.
6 Der Verantwortliche muss kostenlos Auskunft erteilen. Der Bundesrat kann Ausnahmen vorsehen, namentlich wenn der Aufwand unverhältnismässig ist.
7 Die Auskunft wird in der Regel innerhalb von 30 Tagen erteilt.
Bot Art. 23 Auskunftsrecht (Zählg. gem. Entwurf)
Das Auskunftsrecht ergänzt die Informationspflicht des Verantwortlichen und bildet die zentrale Grundlage dafür, dass die betroffene Person ihre Rechte nach diesem Gesetz überhaupt wahrnehmen kann. Das Auskunftsrecht ist ein subjektives höchstpersönliches Recht, das auch urteilsfähige handlungsunfähige Personen selbständig, ohne Zustimmung ihres gesetzlichen Vertreters, geltend machen können. Aus dem Charakter des höchstpersönlichen Rechts ergibt sich auch, dass niemand im Voraus auf das Auskunftsrecht verzichten kann (Art. 23 Abs. 5 E‑DSG).
Abs. 1 Grundsatz
Nach Absatz 1 kann jede Person vom Verantwortlichen kostenlos Auskunft darüber verlangen, ob Daten über sie bearbeitet werden. Die Bestimmung bleibt, abgesehen von redaktionellen Anpassungen, unverändert im Verhältnis zum bisherigen Recht.
Abs. 2 Mitzuteilende Informationen
Absatz 2 hält fest, dass die betroffene Person aufgrund eines Auskunftsbegehrens diejenigen Informationen erhält, die ihr auch aufgrund der Informationspflicht mitgeteilt werden müssen (vgl. Art. 17 Abs. 2 E‑DSG). Dabei handelt es sich grundsätzlich um diejenigen Informationen, die erforderlich sind, damit die betroffene Person ihre Rechte nach dem Gesetz geltend machen kann und damit eine transparente Datenbearbeitung gewährleistet ist. Dies verdeutlicht den engen Zusammenhang von Auskunftsrecht und Informationspflicht. Zugleich wird auf diese Weise der zentrale Zweck des Auskunftsrechts hervorgehoben, wie ihn auch das Bundesgericht festgehalten hat, nämlich der betroffenen Person zu ermöglichen, ihre Rechte im Bereich des Datenschutzes geltend zu machen. Die Präzisierung erfolgt vor dem Hintergrund der zahlreichen Stellungnahmen in der Vernehmlassung sowie in der Lehre, die kritisieren, dass das Auskunftsrecht häufig zu anderen, datenschutzfremden Zwecken verwendet werde. Angesprochen sind insbesondere Fälle, in denen das Auskunftsrecht ausschliesslich zur Beschaffung von Beweismitteln für Zivilprozesse benutzt wird, die in keinem Zusammenhang mit dem Datenschutz stehen. Dadurch wird die Beschaffung von Beweismitteln, die zugleich als Personaldaten nach dem DSG zu bezeichnen sind, in einer Form ermöglicht, wie sie im geltenden Verfahrensrecht nicht vorgesehen ist. Andere Beweismittel, die keine Personendaten darstellen, sind hingegen auf den üblichen prozessrechtlichen Wegen zu beschaffen. Daraus ergeben sich sachlich nicht gerechtfertigte Unterschiede in der Beweismittelbeschaffung.
Die Buchstaben a bis g enthalten eine Liste der Informationen, welche der betroffenen Person in jedem Fall mitzuteilen sind. Die nicht abschliessende Aufzählung erfasst grundsätzlich sämtliche Informationen, die der Verantwortliche der betroffenen Person mitteilen muss. Subsidiär erlaubt die Generalklausel im Einleitungssatz, gegebenenfalls weitere Informationen zu verlangen, wenn diese für die betroffene Person erforderlich sind, um ihre Rechte nach diesem Gesetz geltend zu machen und eine transparente Datenbearbeitung zu gewährleisten. Wenn er grosse Datenmengen über die betroffene Person bearbeitet, kann der Auskunftspflichtige gegebenenfalls verlangen, dass die betroffene Person präzisiert, auf welche Informationen oder welche Bearbeitungsvorgänge sich ihr Auskunftsgesuch bezieht. In jedem Fall erhält die betroffene Person zunächst Auskunft über die Identität und die Kontaktdaten des Verantwortlichen (Bst. a). Je nachdem wird sie diese Informationen bereits haben (z. B. aufgrund der Informationspflicht) und sie werden ihr bestätigt. Denkbar ist aber auch, dass die betroffene Person erst in diesem Zeitpunkt von einem Verantwortlichen erfährt, z. B. wenn es mehrere Verantwortliche gibt. Darüber hinaus müssen ihr die bearbeiteten Personendaten (Bst. b) und der Bearbeitungszweck (Bst. c) mitgeteilt werden. Ebenso erhält die betroffene Person Auskunft darüber, wie lange die Daten aufbewahrt werden, oder, wenn dies nicht möglich ist, nach welchen Kriterien sich die Aufbewahrungsdauer richtet (Bst. d). Diese Informationen erlauben ihr insbesondere nachzuvollziehen, ob der Verantwortliche die Daten entsprechend den Grundsätzen in Artikel 5 E‑DSG bearbeitet. Da die Aufbewahrungsdauer aufgrund der Informationspflicht regelmässig nicht mitgeteilt werden muss, soll die betroffene Person sie im Rahmen des Auskunftsrechts in jedem Fall erhalten. Ebenfalls erhält die betroffene Person die verfügbaren Angaben über die Herkunft der Daten, soweit sie nicht bei ihr erhoben wurden (Bst. e). Gegebenenfalls wird der betroffenen Person mitgeteilt, ob eine automatisierte Einzelentscheidung vorliegt (Bst. f). In diesem Fall erhält sie ebenfalls Informationen über die Logik, auf der die Entscheidung beruht. Dabei müssen nicht unbedingt die Algorithmen mitgeteilt werden, die Grundlage der Entscheidung sind, weil es sich dabei regelmässig um Geschäftsgeheimnisse handelt. Vielmehr müssen die Grundannahmen der Algorithmus-Logik genannt werden, auf der die automatisierte Einzelentscheidung beruht. Das bedeutet beispielsweise, dass die betroffene Person Auskunft darüber erhält, dass sie aufgrund eines negativen Scoring-Resultats einen Vertrag zu schlechteren Konditionen abschliessen kann, als dies offeriert wurde. Darüber hinaus muss sie aber auch über die Menge und die Art der für das Scoring herangezogenen Informationen sowie deren Gewichtung informiert werden. Schliesslich erhält die betroffenen Person Informationen über die Empfänger oder die Kategorien von Empfängern, denen die Personendaten bekanntgegeben werden (Bst. g). Falls die Empfänger sich im Ausland befinden, nennt der Auskunftspflichtige zudem den Staat, in den die Daten bekanntgegeben werden, sowie gegebenenfalls die Garantien nach Artikel 13 Absatz 2 E‑DSG oder die Anwendung einer Ausnahme nach Artikel 14 E‑DSG.
Abs. 3 und 4
Aus dem geltenden Recht unverändert übernommen wurde Absatz 3, wonach der Verantwortliche Informationen über die Gesundheit der betroffenen Person durch eine von dieser bezeichneten Gesundheitsfachperson mitteilen kann. Die Gesundheitsfachperson muss die Qualifikationen haben, die im fraglichen Fall erforderlich sind. Vorgesehen ist aber neu die Einwilligung der betroffenen Person, dass ihr die Daten über eine andere Person mitgeteilt werden. Dies verbessert die Wahlmöglichkeiten der betroffenen Person. Ebenfalls wird der Kreis der möglichen Personen erweitert, indem von einer Gesundheitsfachperson die Rede ist. Beide Ergänzungen erfolgen aufgrund der Vernehmlassung.
Satz 1 von Absatz 4 bleibt unverändert. Demnach ist grundsätzlich stets der Verantwortliche auskunftspflichtig, selbst wenn er die Bearbeitung an einen Auftragsbearbeiter delegiert. Richtet die betroffene Person ein Auskunftsgesuch versehentlich an den Auftragsbearbeiter, muss dieser ihr den Verantwortlichen nennen oder das Gesuch entsprechend weiterleiten. Der Auftragsbearbeiter muss in einem solchen Fall nicht selbst Auskunft geben, aber er darf die betroffene Person bei der Ausübung ihres Auskunftsrechts auch nicht behindern. Satz 2 der Bestimmung wird hingegen gestrichen.
Abs. 5
Diese Bestimmung entspricht dem bisherigen Artikel 8 Absatz 6 DSG.
Abs. 6
Absatz 6 gibt dem Bundesrat die Möglichkeit, in der Verordnung Ausnahmen von der Kostenlosigkeit vorzusehen. Diese Möglichkeit besteht schon im bisherigen Recht (vgl. Art. 2 VDSG). In der Vernehmlassungsvorlage wurde sie gestrichen, was erheblich kritisiert wurde, unter anderem mit der Begründung, dass Ausnahmen von der Kostenlosigkeit eine Möglichkeit seien, um Missbräuchen des Auskunftsrechts vorzubeugen. Aufgrund der Kritik in der Vernehmlassung wird diese Vorschrift nun beibehalten. Der Bundesrat wird dabei der Tatsache Rechnung tragen, dass gewisse Auskunftsersuchen für den Verantwortlichen mit einem grossen Aufwand verbunden sind.
Art. 26 Einschränkungen des Auskunftsrechts
1 Der Verantwortliche kann die Auskunft verweigern, einschränken oder aufschieben, wenn:
2 Darüber hinaus ist es in den folgenden Fällen möglich, die Auskunft zu verweigern, einzuschränken oder aufzuschieben:
3 Unternehmen, die zum selben Konzern gehören, gelten nicht als Dritte im Sinne von Absatz 2 Buchstabe a Ziffer 2.
4 Der Verantwortliche muss angeben, weshalb er die Auskunft verweigert, einschränkt oder aufschiebt.
Bot Art. 24 Einschränkungen des Auskunftsrechts (Zählg. gem. Entwurf)
Artikel 24 regelt die Einschränkungen des Auskunftsrechts. Sie wurden mit wenigen redaktionellen Anpassungen unverändert aus dem bisherigen Recht übernommen.
Abs. 1 Bst. c
Neu ist lediglich Artikel 24 Absatz 1 Buchstabe c. Demnach kann der Verantwortliche die Auskunft verweigern, einschränken oder aufschieben, wenn das Auskunftsgesuch offensichtlich unbegründet oder querulatorisch ist. Die Bestimmung wurde aufgrund der Vernehmlassung aufgenommen. Sie orientiert sich inhaltlich an Artikel 12 Absatz 5 der Verordnung (EU) 2016/679, verwendet aber die schweizerische Terminologie, wie sie z. B. in Artikel 108 BGG sowie in Artikel 132 und 253 ZPO zu finden ist. Es handelt sich hierbei um eine schwere Grundrechtsbeschränkung, weshalb sie im Gesetz selbst und nicht in der Verordnung vorzusehen ist.
Die Ausnahme nach Absatz 1 Buchstabe c ist eng auszulegen. Dies gilt in zweifacher Hinsicht. Einerseits darf der Verantwortliche nicht leichthin annehmen, ein Auskunftsgesuch sei offensichtlich unbegründet oder aber querulatorisch. Andererseits hat er selbst für den Fall, dass ein solches Gesuch vorliegt, die für die betroffene Person günstigste Lösung zu wählen. Er muss daher soweit als möglich die Auskunft lediglich einschränken, darf sie allenfalls aufschieben und kann sie nur in den absolut eindeutigen, offensichtlichen, Fällen verweigern. In jedem Fall hat er die betroffene Person über die Verweigerung, die Einschränkung oder den Aufschub der Auskunft zu informieren (vgl. Abs. 3).
Das Auskunftsrecht kann ohne Nachweis eines Interesses und ohne eine Begründung geltend gemacht werden. Auch blosse Neugier reicht aus. Dies wird verdeutlicht durch die Bezugnahme auf eine transparente Datenbearbeitung in Artikel 23 Absatz 2 E‑DSG. Der Verantwortliche darf daher grundsätzlich keine Begründung eines Auskunftsgesuchs fordern. Das Bundesgericht hielt jedoch fest, dass der Auskunftspflichtige eine Begründung für das Auskunftsbegehren verlangen kann, wenn im konkreten Fall eine Rechs missbräuchliche Nutzung des Auskunftsrechts in Frage steht. Als möglicherweise rechtsmissbräuchlich erachtete das Bundesgericht insbesondere die Verwendung des Auskunftsrechts zu datenschutzwidrigen Zwecken, beispielsweise um sich die Kosten einer Beweisbeschaffung zu sparen, oder um eine mögliche Gegenpartei auszuforschen. Bringt die betroffene Person, welche Auskunft verlangt, anschliessend einen Grund vor, der sich bereits ohne vertiefte Prüfung und ohne Zweifel als haltlos erweist, darf der Verantwortliche das Auskunftsrecht einschränken. Nur unter diesen Umständen kann ein offensichtlich unbegründetes Auskunftsgesuch vorliegen. Es muss mit anderen Worten offenkundig sein, dass das Auskunftsgesuch aus Gründen gestellt wurde, die mit seinem Zweck nach dem DSG nichts zu tun haben, oder dass dies in anderweitiger (z. B. betrügerischer) Absicht geschehen ist. Bestehen Zweifel, ob es sich um einen solchen Fall handelt, liegt kein offensichtlich unbegründetes Gesuch vor.
Querulatorisch sind Auskunftsgesuche, die beispielsweise ohne plausible Begründung häufig wiederholt werden, oder die sich an einen Verantwortlichen richten, von dem die Gesuchstellerin oder der Gesuchsteller bereits weiss, dass er keine Daten über sie oder ihn bearbeiten. Auch von einem querulatorischen Gesuch darf der Verantwortliche nicht leichthin ausgehen.
Insgesamt darf der Verantwortliche von der Einschränkung nach Absatz 1 Buchstabe c nicht bereits dann Gebrauch machen, wenn er lediglich seine eigenen Interessen wahren möchte. Hierfür müssen die Voraussetzungen nach Artikel 24 Absatz 2 Buchstabe a erfüllt sein. Vielmehr soll die Bestimmung in Absatz 1 Buchstabe c dem Verantwortlichen den vernünftigen Umgang mit Auskunftsgesuchen erlauben, die offensichtlich völlig losgelöst vom Zweck erfolgen, dem das Auskunftsrecht dient.
Der Beauftragte ist der Ansicht, dass die in Artikel 24 Absatz 1 Buchstabe c E‑DSG vorgesehene Ausnahme vom Auskunftsrecht mit dem Übereinkommen SEV 108 nicht vereinbar ist.
Abs. 3
Falls der Verantwortliche die Auskunft verweigert, einschränkt oder aufschiebt, muss er dies mitteilen und gemäss Absatz 3 entsprechend begründen. Als Gründe kommen grundsätzlich nur die Voraussetzungen nach den Absätzen 1 und 2 in Frage. Bundesorgane müssen in diesem Fall eine anfechtbare Verfügung erlassen. Private Verantwortliche unterliegen hingegen keinen Formvorschriften. Aus Beweisgründen sollte die Begründung der betroffenen Person jedoch schriftlich zugestellt werden.
Auf der Basis der Begründung muss die betroffene Person überprüfen können, ob die Auskunft zu Recht verweigert, eingeschränkt oder aufgeschoben worden ist. Die Anforderungen an die Begründung können jedoch nicht allzu hoch sein, falls sie mit dem Grund für die Auskunftsverweigerung kollidieren.
Art. 27 Einschränkungen des Auskunftsrechts für Medien
1 Werden Personendaten ausschliesslich zur Veröffentlichung im redaktionellen Teil eines periodisch erscheinenden Mediums bearbeitet, so kann der Verantwortliche aus einem der folgenden Gründe die Auskunft verweigern, einschränken oder aufschieben:
2 Medienschaffende können die Auskunft zudem verweigern, einschränken oder aufschieben, wenn ihnen die Personendaten ausschliesslich als persönliches Arbeitsinstrument dienen.
Bot Art. 25 Einschränkungen des Auskunftsrechts für Medienschaffende (Zählg. gem. Entwurf)
Artikel 25 E‑DSG übernimmt den aktuellen Artikel 10 DSG betreffend die Einschränkung des Auskunftsrechts für Medienschaffende. Es erfolgen keine materiellen Änderungen. Das Kriterium der Veröffentlichung im redaktionellen Teil eines Mediums bleibt bestehen. Dies bedeutet, dass alleine Daten darunter fallen, welche gesammelt werden im Hinblick auf die Publikation einer journalistischen Arbeit in jenem Teil eines Mediums, das für redaktionelle Beiträge reserviert ist. Darüber hinaus muss es sich um ein periodisch erscheinendes Medium handeln. Darunter fallen insbesondere Zeitungen, Zeitschriften, Radio und Fernsehsendungen, Presseagenturen und Online-Newsdienste, die kontinuierlich und mit einer dem Publikum bekannten Regelmässigkeit aktualisiert werden.
Das 5. Kapitel regelt spezifische Ansprüche gegenüber privaten Verantwortlichen. Die Vorschriften zum Bearbeiten von Personendaten durch private Personen konkretisieren den Schutz der Persönlichkeit nach Artikel 28 ZGB in Bezug auf den Datenschutz und dienen damit der Verwirklichung der informationellen Selbstbestimmung unter Privaten (siehe Art. 35 Abs. 1 und 3 BV). Die drei Bestimmungen dieses Abschnitts sind gemeinsam zu lesen: Artikel 26 E‑DSG konkretisiert Persönlichkeitsverletzungen im Bereich des Datenschutzes, Artikel 27 E‑DSG definiert spezifische Rechtfertigungsgründe und Artikel 28 E‑DSG regelt die Rechtsansprüche, die aufgrund einer Persönlichkeitsverletzung durch Datenbearbeitung geltend gemacht werden können. Der vorliegende Entwurf behält die bestehende Regelung weitgehend bei. Es wurden jedoch einige redaktionelle Änderungen vorgenommen mit dem Ziel, die Bestimmungen insgesamt klarer und zugänglicher zu machen.
Die Evaluation hat zudem ergeben, dass die betroffenen Personen insbesondere im privaten Sektor ihre Rechte kaum wahrnehmen. Dies wird hauptsächlich auf die Kostenrisiken eines Prozesses zurückgeführt, welche durch Anpassungen bei der Kostenregelung im Zivilprozess aufgefangen werden sollen (vgl. Ziff. 9.2.15).
Art. 28 Recht auf Datenherausgabe und ‑übertragung
1 Jede Person kann vom Verantwortlichen die Herausgabe ihrer Personendaten, die sie ihm bekanntgegeben hat, in einem gängigen elektronischen Format verlangen, wenn:
2 Die betroffene Person kann zudem vom Verantwortlichen verlangen, dass er ihre Personendaten einem anderen Verantwortlichen überträgt, wenn die Voraussetzungen nach Absatz 1 erfüllt sind und dies keinen unverhältnismässigen Aufwand erfordert.
3 Der Verantwortliche muss die Personendaten kostenlos her-ausgeben oder übertragen. Der Bundesrat kann Ausnahmen vorsehen, namentlich wenn der Aufwand unverhältnismässig ist.
Art. 29 Einschränkungen des Rechts auf Datenherausgabe und ‑übertragung
1 Der Verantwortliche kann die Herausgabe oder Übertragung der Personendaten aus den in Artikel 26 Absätze 1 und 2 aufgeführten Gründen verweigern, einschränken oder aufschieben.
2 Der Verantwortliche muss angeben, weshalb er die Herausgabe oder Übertragung verweigert, einschränkt oder aufschiebt.
5. Kapitel: Besondere Bestimmungen zur Datenbearbeitung durch private Personen
Art. 30 Persönlichkeitsverletzungen
1 Wer Personendaten bearbeitet, darf die Persönlichkeit der betroffenen Personen nicht widerrechtlich verletzen.
2 Eine Persönlichkeitsverletzung liegt insbesondere vor, wenn:
3 In der Regel liegt keine Persönlichkeitsverletzung vor, wenn die betroffene Person die Personendaten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt hat.
Bot Art. 26 Persönlichkeitsverletzungen (Zählg. gem. Entwurf)
Der Begriff der Persönlichkeitsverletzung ist in Artikel 28 ZGB nicht definiert. Artikel 26 des Entwurfs konkretisiert diesen Begriff für Verletzungen der Persönlichkeit durch die Bearbeitung von Personendaten.
Abs. 1 Grundsatz
Absatz 1 hält fest, dass durch eine Datenbearbeitung die Persönlichkeit der betroffenen Person nicht widerrechtlich verletzt werden darf. Der Wortlaut bleibt unverändert. Das individuelle Verfügungsrecht über personenbezogene Daten, welches durch die informationelle Selbstbestimmung geschützt ist, wird durch Datenbearbeitungen rasch empfindlich eingeschränkt. Die Einhaltung der Grundsätze der Datenbearbeitung durch private Verantwortliche ist daher zentral zum Schutz der Persönlichkeit der betroffenen Person, zumal die private Bearbeitung einen grossen Anteil der Datenbearbeitungsvorgänge überhauptausmacht.
Abs. 2 Fälle von Persönlichkeitsverletzungen
Absatz 2 nimmt unter anderem Bezug auf die Einhaltung der Grundsätze der Datenbearbeitung und sieht vor, dass namentlich in drei Konstellationen eine Persönlichkeitsverletzung vorliegt.
Nach Buchstabe a liegt eine Persönlichkeitsverletzung vor, wenn Daten entgegen den Grundsätzen der Artikel 5 und 7 E‑DSG bearbeitet werden.
Persönlichkeitsverletzend ist nach Buchstabe b zudem, wenn Daten entgegen der ausdrücklichen Willenserklärung der betroffenen Person bearbeitet werden. Diese Bestimmung gibt der betroffenen Person mithin das Recht, einem bestimmten Verantwortlichen explizit eine bestimmte Datenbearbeitung zu verbieten, ohne dass hierfür spezifische Voraussetzungen erfüllt sein müssten (Opting-out). Diese Möglichkeit bestand bereits nach dem bisherigen Recht und wird auch durch Artikel 8 Buchstabe d E‑SEV 108 verlangt. Eine Willenserklärung ist “ausdrücklich”, wenn sie durch geschriebene oder gesprochene Worte oder ein Zeichen erfolgt und der geäusserte Willen aus den verwendeten Worten oder dem Zeichen unmittelbar hervorgeht. Demnach muss die betroffene Person in Worten oder Zeichen unmittelbar zum Ausdruck bringen, dass sie mit einer bestimmten Datenbearbeitung nicht einverstanden ist. Die Willensäusserung als solche muss durch die Art und Weise, in der sie erfolgt, bereits Klarheit über den Willen schaffen. Im vorliegenden Fall müsste die betroffene Person beispielsweise eine Dienstleistung, die mit einer Datenbearbeitung einhergeht, kündigen oder gegenüber einem Verantwortlichen eine mündliche oder schriftliche Erklärung abgeben, dass sie nicht will, dass er Daten über sie bearbeitet. Demgegenüber ist eine “stillschweigende” Willenserklärung im vorliegenden Fall nicht ausreichend (vgl. die Erläuterungen zu Artikel 5 Absatz 6 E‑DSG in Ziff. 9.1.3.1). So wäre es beispielsweise nicht ausreichend, dass die betroffene Person eine Dienstleistung, die mit einer Datenbearbeitung einhergeht, nicht mehr benutzt.
Nach Buchstabe c liegt ebenfalls eine Persönlichkeitsverletzung vor, wenn besonders schützenswerte Daten an Dritte bekanntgegeben werden.
Die Aufzählung ist nicht abschliessend. Das heisst, eine Persönlichkeitsverletzung durch die Bearbeitung von Daten kann auch auf anderem Wege als durch die Verwirklichung dieser drei Tatbestände erfolgen. In Buchstaben b und c wurde die Bezugnahme auf den Rechtfertigungsgrund entfernt, wie dies bei der Revision im Jahre 2003 bereits für Buchstabe a erfolgte. Auch dies dient lediglich der Klarheit und entspricht Artikel 28 ZGB, in dem die Verletzung der Persönlichkeit und die Rechtfertigungsgründe ebenfalls in zwei Teilbestimmungen behandelt werden. Im E‑DSG werden die Rechtfertigungsgründe nun ausschliesslich in Artikel 27 geregelt.
Abs. 3 Keine Persönlichkeitsverletzung
Nach Absatz 3 liegt hingegen in der Regel keine Persönlichkeitsverletzung vor, wenn die betroffene Person die Daten allgemein zugänglich gemacht und deren Bearbeitung nicht ausdrücklich untersagt hat (zur Ausdrücklichkeit vgl. den Kommentar oben zu Absatz 2 Buchstabe b). Diese Regelung, die identisch aus dem bisherigen Recht übernommen wurde, ist folgerichtig. Denn die individuelle Verfügungsfreiheit über personenbezogene Daten wird unter diesen Umständen prinzipiell nicht verletzt. Durch die Formulierung “in der Regel” wird ausgedrückt, dass es sich dabei um eine gesetzliche Vermutung und keine unumstössliche Fiktion handelt. Der betroffenen Person steht dadurch der Nachweis offen, dass im Einzelfall dennoch eine Persönlichkeitsverletzung vorliegen kann. Diese Möglichkeit ist sachgerecht und wichtig, weil die Abgrenzung zwischen Öffentlichkeit und Privatheit zunehmend schwierig ist.
Art. 31 Rechtfertigungsgründe
1 Eine Persönlichkeitsverletzung ist widerrechtlich, wenn sie nicht durch Einwilligung der betroffenen Person, durch ein überwiegendes privates oder öffentliches Interesse oder durch Gesetz gerechtfertigt ist.
2 Ein überwiegendes Interesse des Verantwortlichen fällt insbesondere in folgenden Fällen in Betracht:
Bot Art. 27 Rechtfertigungsgründe (Zählg. gem. Entwurf)
Artikel 27 konkretisiert die Rechtfertigungsgründe für persönlichkeitsverletzende Datenbearbeitungen. Die Norm bleibt abgesehen von kleineren Änderungen unverändert.
Abs. 1 Grundsatz
Absatz 1 hält den Grundsatz fest, wonach jede Persönlichkeitsverletzung – d. h. jede persönlichkeitsverletzende Datenbearbeitung – grundsätzlich widerrechtlich ist, ausser sie wäre durch Einwilligung der betroffenen Person, durch Gesetz oder ein überwiegendes privates oder öffentliches Interesse gerechtfertigt. Diese Bestimmung entspricht Artikel 28 Absatz 2 ZGB. Falls die Einwilligung der betroffenen Person oder ein gesetzlicher Rechtfertigungsgrund vorliegt, erfolgt grundsätzlich keine Interessenabwägung und die Abwägungsgründe nach Absatz 2 kommen nicht zum Zug. Zu den gesetzlichen Rechtfertigungsgründen gehören beispielsweise Bearbeitungs- oder Abklärungspflichten (z. B. Art. 28 ff. des Bundesgesetzes vom 23. März 2001 über den Konsumkredit, Art. 3 ff. des Geldwäschereigesetzes vom 10. Oktober 1997) oder Aufbewahrungspflichten. Hingegen erfordert ein überwiegendes privates oder öffentliches Interesse eine Abwägung der sich gegenüberstehenden Interessen. Auf Seiten der betroffenen Person besteht u. a. das Interesse an der Wahrung ihrer Verfügungsfreiheit über ihre Daten. Auf Seiten des Verantwortlichen liegt ein Interesse an der Datenbearbeitung vor. Absatz 2 enthält in einer beispielhaften Aufzählung Bearbeitungen, bei welchen ein überwiegendes Interesse des Verantwortlichen in Betracht kommt. Nur wenn das Interesse an der Datenbearbeitung überwiegt gegenüber dem Interesse der betroffenen Person, ist die Persönlichkeitsverletzung gerechtfertigt.
Abs. 2 Überwiegende Interessen des Verantwortlichen
Absatz 2 konkretisiert, wann ein überwiegendes Interesse des Verantwortlichen in Betracht fällt. Die Formulierung, die unverändert beibehalten wurde, macht deutlich, dass es sich dabei nicht um absolute Rechtfertigungsgründe handelt. Massgebend ist vielmehr wie im bisherigen Recht letztlich die Interessenabwägung im Einzelfall. Anders als im bisherigen Recht ist nicht mehr von der bearbeitenden Person, sondern vom Verantwortlichen die Rede. Die Anpassung erfolgt aufgrund der Einführung des Begriffs des Verantwortlichen. Die Rechtfertigungsgründe nach Artikel 27 Absatz 2 sind auf Personen zugeschnitten, die als Verantwortliche über Zweck und Mittel der Datenbearbeitung entscheiden können. Andere Beklagte können Rechtfertigungsgründe nach Absatz 1 geltend machen. Aufgrund von Artikel 8 Absatz 4 E‑DSG kann der Auftragsbearbeiter dieselben Rechtfertigungsgründe geltend machen wie der Verantwortliche. Auch die Passivlegitimation bleibt von der Änderung unbeeinflusst.
Die aufgeführten Gründe entsprechen weitgehend dem bisherigen Recht. Die Aufzählung ist nicht abschliessend, sodass auch andere Gründe, als die hier aufgeführten, als überwiegendes Interesse des Verantwortlichen herangezogen werden können. Die Aufzählung führt verschiedene Zwecke auf, welche die Bearbeitung von Daten rechtfertigen und gegenüber dem Interesse der betroffenen Person überwiegen können. Im Wesentlichen erfasst der Katalog drei Gruppen von Datenbearbeitungen: solche für bestimmte wirtschaftliche Tätigkeiten, solche für die Medien und Datenbearbeitungen zu nicht personenbezogenen Zwecken wie der Forschung. Bei einzelnen Bearbeitungszwecken reicht der angegebene Zweck alleine nicht aus, um die Persönlichkeitsverletzung zu rechtfertigen. Vielmehr muss die Bearbeitung zusätzlich bestimmte Voraussetzungen erfüllen, damit der Rechtfertigungsgrund des überwiegenden Interesses überhaupt geltend gemacht werden kann. Dies gilt namentlich in Bezug auf die Buchstaben b, c, e und f. In diesen Fällen ist zunächst zu prüfen, ob die fragliche Bearbeitung die spezifischen Voraussetzungen erfüllt, bevor die Interessen des konkreten Einzelfalls gegeneinander abgewogen werden. Sind diese spezifischen Voraussetzungen nicht gegeben, ist die Datenbearbeitung nur gerechtfertigt, wenn ein Rechtfertigungsgrund nach Absatz 1 vorliegt. Kommentiert werden nachfolgend nur die Buchstaben c und e, bei denen der Gesetzestext geändert wurde.
Abs. 2 Bst. c Prüfung der Kreditwürdigkeit
In Bezug auf die Tätigkeit von Wirtschaftsauskunftsdiensten ist zunächst auf das kürzlich ergangene Urteil des Bundesverwaltungsgerichts A‑4232/2015 vom 18. April 2017 (Moneyhouse) hinzuweisen. Die Moneyhouse AG ist ein Wirtschaftsauskunftsdienst und bezieht Daten in elektronischer Form von diversen öffentlichen privaten Quellen. Diese Vielzahl von Personendaten wird auf www.moneyhouse.ch publiziert und dazu verwendet, um verschiedene Dienstleistungen anzubieten, insbesondere eine Firmen und Personensuche. Während dieser Dienst für das Publikum nach erfolgter Registrierung kostenlos ist, werden zusätzlich zahlungspflichtig für sogenannte “Premium User” Bonitäts- und Zahlweiseabonnemente, Details zu Zahlungsstörungen, Betreibungs‑, Grundbuch‑, Wirtschafts- und Steuerauskünfte sowie Dienstleistungen betreffend Firmenportraits angeboten. Für Zusatzangebote und um auf Daten natürlicher Personen, die nicht im Handelsregister oder in einem elektronischen Telefonverzeichnis eingetragen sind, zuzugreifen, müssen Interessensnachweise erbracht werden. Bezüglich der kostenpflichtigen Premiumabonnemente kam das Bundesverwaltungsgericht zum Schluss, dass die Moneyhouse AG dabei teilweise ein biografisches Bild von Personen erstellt. Das Bundesverwaltungsgericht hielt fest, dass bei dieser Ausgangslage die Bearbeitung eines Persönlichkeitsprofils zu bejahen sei, weshalb der Rechtfertigungsgrund der Kreditüberprüfung nach Artikel 13 Absatz 2 Buchstabe c DSG nicht zur Anwendung gelange. Für das Bundesverwaltungsgericht war als Rechtfertigungsgrund weder eine gesetzliche Grundlage ersichtlich noch konnte eine explizite Einwilligung der betroffenen Personen in die Erstellung eines Persönlichkeitsprofils belegt werden. Schliesslich ergab auch eine gesamthafte Interessenabwägung, dass das Interesse der betroffenen Personen an der Wahrung ihrer Persönlichkeitsrechte überwiegt. Im Ergebnis stellte das Bundesverwaltungsgericht eine rechtswidrige Bearbeitung von Persönlichkeitsprofilen fest und wies die Moneyhouse AG an, für solche Datenbearbeitungen die ausdrückliche Einwilligung der betroffenen Personen einzuholen, andernfalls die entsprechenden Daten, insoweit zu löschen seien, als sich Rückschlüsse auf wesentliche Teilaspekte der Persönlichkeit ziehen lassen. Zudem verpflichtete das Gericht die Moneyhouse AG zu einer jährlichen Überprüfung ihres Datenbestands auf dessen Richtigkeit hin im Verhältnis von 5 % zu den auf der Plattform getätigten Abfragen. Darüber hinaus wird der Bundesrat im Rahmen des Berichts für das Postulat Schwaab 16.3682 “Die Tätigkeiten von Wirtschaftsauskunfteien einschränken” spezifische Massnahmen in Bezug auf Wirtschaftsauskunftsdienste prüfen.
Der E‑DSG trägt allerdings gewissen Anliegen in Bezug auf die Tätigkeit von Wirtschaftsauskunftsdiensten bereits Rechnung. So müssen vier Voraussetzungen erfüllt sein, damit die Prüfung der Kreditwürdigkeit als überwiegendes Interesse gelten kann. Die Bestimmung wird im Verhältnis zum bisherigen Recht leicht verschärft, insbesondere um dem hohen Risiko Rechnung zu tragen, das mit dieser Art der Datenbearbeitung einhergeht.
Die Ziffern 1 und 2 entsprechen dem geltenden Recht, wobei der Begriff des Persönlichkeitsprofils durch jenen des Profilings ersetzt wird. Ebenfalls unzulässig bleibt die Bearbeitung besonders schützenswerter Personendaten. Darunter fällt auch die Bearbeitung von Daten über strafrechtliche Verfolgungen und Sanktionen. Dies ist folgerichtig, da Dritte auch keine Einsicht in das Strafregister erhalten können. Das DSG soll, anders als von verschiedenen Vernehmlassungsteilnehmern angeregt, keine darüber hinausgehenden Rechte für Wirtschaftsauskunftsdienste enthalten.
Die Ziffern 3 und 4 wurden neu hinzugefügt.
Ziffer 3 setzt voraus, dass die Daten nicht älter als fünf Jahre sein dürfen. Eine solche Verstärkung wurde von verschiedenen Vernehmlassungsteilnehmern angeregt und erscheint berechtigt im Hinblick auf die Tragweite einer Kreditauskunft für die betroffene Person. Auch das Bundesverwaltungsgericht hielt fest, dass an die inhaltliche Qualität und damit auch an die Richtigkeit der bearbeiteten Daten umso höhere Anforderungen zu stellen sind, je grösser das Risiko einer Persönlichkeitsverletzung ist. Die sehr niedrige Überprüfungsquote von 5 Prozent, welche das Bundesverwaltungsgericht der Moneyhouse AG auferlegt, zeigt zugleich die Schwierigkeiten auf, solche Datenbanken aktuell zu halten. Daher erachtet der Bundesrat eine generelle Regelung über die Dauer, während der Daten verwendet werden dürfen, als sinnvoll. Eine solche Einschränkung lässt sich insbesondere auch mit entsprechenden technischen Vorkehren (privacy by design, vgl. Art. 6 E‑DSG und die Erläuterungen dazu) umsetzen, beispielsweise indem Daten nach Ablauf einer bestimmten Dauer automatisch gelöscht werden. Die Aufbewahrungsdauer von fünf Jahren stellt darauf ab, dass private Dritte gemäss Artikel 8a Absatz 4 SchKG lediglich bis fünf Jahre nach Abschluss des Verfahrens Einsicht in das Betreibungsregister erhalten können. Hier sollen die Rechte von Wirtschaftsauskunftsdiensten nicht weitergehen.
Ziffer 4 setzt voraus, dass die betroffene Person volljährig ist. Diese Voraussetzung wird eingefügt, um den Schutz von Minderjährigen zu verbessern, was eines der Ziele der Revision ist. Die Tragweite dieser Änderung dürfte sich aufgrund der beschränkten Handlungsfähigkeit minderjähriger Personen in Grenzen halten.
Abs. 2 Bst. e Bearbeitung für Forschung, Planung oder Statistik
Leicht verschärft wird der Rechtfertigungsgrund der Bearbeitung zu nicht personenbezogenen Zwecken, insbesondere in der Forschung, Planung oder Statistik, in Buchstabe e. Die Verwendung von Daten zu diesen Zwecken ist neu nur zulässig, wenn die Voraussetzungen der Ziffern 1 – 3 erfüllt sind. Durch diese Regelung soll der Schutz besonders schützenswerter Personendaten verstärkt werden. Dies erfolgt insbesondere mit Blick auf die Möglichkeiten von Big Data und die zunehmende Digitalisierung des Alltags, die auch dazu führt, dass eine immer grössere Anzahl besonders schützenswerter Personendaten bearbeitet wird.
Nach Ziffer 1 müssen die Daten anonymisiert werden, sobald der Bearbeitungszweck es erlaubt. Wenn es zur Datenbearbeitung für Forschung, Planung oder Statistik nicht mehr erforderlich ist, über personenbezogene Daten zu verfügen, müssen diese anonymisiert werden. Diese Voraussetzung ist ebenfalls erfüllt, wenn die Weitergabe in pseudonymisierter Form erfolgt und der Schlüssel bei der weitergebenden Person verbleibt (faktische Anonymisierung).
Dies ergibt sich grundsätzlich bereits aus der Vorschrift in Artikel 5 Absatz 4 E‑DSG. Ein Verstoss gegen dieselbe führt gemäss Artikel 26 Absatz 2 Buchstabe a E‑DSG zu einer Persönlichkeitsverletzung, die sich durch einen der Gründe in Artikel 27 E‑DSG rechtfertigen lässt. Durch die Vorschrift in Artikel 27 Absatz 2 Buchstabe e Ziffer 1 E‑DSG ist es nun nicht mehr möglich, einen Verstoss gegen Artikel 5 Absatz 4 E‑DSG mit der Bearbeitung zu Zwecken der Forschung, Planung oder Statistik zu rechtfertigen, ausser es gilt einer der Rechtfertigungsgründe nach Artikel 27 Absatz 1 E‑DSG.
Wenn Dritten besonders schützenswerte Personendaten bekannt gegeben werden, muss dies so erfolgen, dass die betroffenen Personen nicht bestimmbar sind (Ziff. 2). Die Bekanntgabe besonders schützenswerter Personendaten an Dritte führt gemäss Artikel 26 Absatz 2 Buchstabe c E‑DSG zu einer Persönlichkeitsverletzung, die sich durch einen der Gründe in Artikel 27 rechtfertigen lässt. Die Vorschrift in Ziffer 2 schliesst es nunmehr aus, die Bekanntgabe nicht anonymisierter, besonders schützenswerter Personendaten zu rechtfertigen mit der Begründung, diese erfolge zur Bearbeitung zu Zwecken der Forschung, Planung oder Statistik.
Schliesslich dürfen wie bisher die Ergebnisse nur so veröffentlicht werden, dass die betroffenen Personen nicht bestimmbar sind (Ziff. 3).
Art. 32 Rechtsansprüche
1 Die betroffene Person kann verlangen, dass unrichtige Personendaten berichtigt werden, es sei denn:
2 Klagen zum Schutz der Persönlichkeit richten sich nach den Artikeln 28, 28 a sowie 28g – 28l des Zivilgesetzbuchs. Die klagende Partei kann insbesondere verlangen, dass:
3 Kann weder die Richtigkeit noch die Unrichtigkeit der betreffenden Personendaten festgestellt werden, so kann die klagende Partei verlangen, dass ein Bestreitungsvermerk angebracht wird.
4 Die klagende Partei kann zudem verlangen, dass die Berichtigung, die Löschung oder die Vernichtung, das Verbot der Bearbeitung oder der Bekanntgabe an Dritte, der Bestreitungsvermerk oder das Urteil Dritten mitgeteilt oder veröffentlicht wird.
Bot Art. 28 Rechtsansprüche (Zählg. gem. Entwurf)
Artikel 28 regelt die Rechtsansprüche, welche die betroffene Person gegenüber privaten Personen geltend machen kann.
Abs. 1 Berichtigung
Absatz 1 hält fest, dass jede Person die Berichtigung unrichtiger Personendaten verlangen kann. Dieser Anspruch ist bislang in Artikel 5 Absatz 2 DSG enthalten. Er wird im E‑DSG mit allen anderen Rechtsansprüchen in einer Bestimmung zusammengeführt. Die Berichtigung kann bedeuten, dass die fehlenden Daten ergänzt oder die falschen Daten gelöscht und gegebenenfalls durch neue, richtige Daten ersetzt werden.
Wie aus dem separaten Absatz deutlich wird, besteht der Berichtigungsanspruch unabhängig von einer Persönlichkeitsverletzung nach Artikel 26 E‑DSG. Ebenfalls können die Rechtfertigungsgründe von Artikel 27 E‑DSG nicht geltend gemacht werden. Vielmehr sieht Absatz 1 zwei eigenständige Ausnahmen vor, die eine Berichtigung ausschliessen.
Nach Buchstabe a ist die Berichtigung unrichtiger Daten ausgeschlossen, wenn eine gesetzliche Vorschrift die Änderung der Personendaten ausschliesst. Zu denken ist hierbei an gesetzliche Bearbeitungs- und Aufbewahrungspflichten, nach denen private Verantwortliche Daten unverändert belassen müssen.
Buchstabe b erlaubt eine Interessenabwägung in Bezug auf Daten Archivbeständen, die ausschliesslich zu diesem Zweck bearbeitet werden und bei denen ein überwiegendes öffentliches Interesse daran besteht, dass die Daten unverändert bestehen bleiben. Diese Ausnahme erfasst beispielsweise private Bibliotheken.
Abs. 2 Klagen
Absatz 2 enthält die Verweisung auf die Klagen nach Artikel 28 ff. ZGB, welche bereits im bisherigen Recht besteht. Analog zu Artikel 28a Absatz 1 ZGB hält dieser Absatz zudem einzelne spezifische Ansprüche fest, welche die betroffene Person geltend machen kann. Der Klarheit halber sind diese im Entwurf neu mit einer Aufzählung besser hervorgehoben. Diese Aufzählung konkretisiert insbesondere die Unterlassungs- und Beseitigungsklage nach Artikel 28a Absatz 1 Ziffer 1 und 2 ZGB in Bezug auf den Datenschutz. Nach Buchstabe a kann die betroffene Person verlangen, dass die Datenbearbeitung verboten wird. Nach Buchstabe b kann sie beantragen, dass die Bekanntgabe von Daten an Dritte untersagt wird. Gemäss Buchstabe c kann sie schliesslich die Löschung oder Vernichtung von Daten verlangen.
Obschon es sich implizit bereits aus dem bisherigen Recht ergibt, wird im E‑DSG ausdrücklich ein Recht auf Löschung formuliert. Es entspricht den Anforderungen von Artikel 8 Buchstabe e E‑SEV 108. Der Artikel 17 der Verordnung (EU) 2016/679 enthält eine ähnliche Regelung. Dieses Recht auf Löschung entspricht im Bereich des Datenschutzes dem “Recht auf Vergessenwerden”, wie es generell aus dem zivilrechtlichen Persönlichkeitsschutz abgeleitet wird. Demnach wäre auch in der Schweiz beispielsweise ein ähnlicher Entscheid möglich, wie ihn der Europäische Gerichtshof gegenüber Google gefällt hat. Ein solches Recht auf Vergessenwerden gilt indessen nicht absolut. Vielmehr wird in der Rechtsprechung zum Persönlichkeitsschutz grundsätzlich das Interesse der betroffenen Person abgewogen gegen die Meinungs- und Informationsfreiheit, aus denen sich regelmässig ein überwiegendes Interesse am Fortbestehen bzw. an der Verwendung der Information ergibt. Ein solches Interesse kann beispielsweise bestehen bei Archiven oder Bibliotheken, deren Aufgabe es ist, Dokumente unverändert zu sammeln, zu erschliessen, zu erhalten und zu vermitteln. Besteht ein überwiegendes Interesse, ist die Persönlichkeitsverletzung gerechtfertigt und ein allfälliger Anspruch auf Löschung entfällt. Die notwendige Interessenabwägung im Einzelfall ist aufgrund von Artikel 28 Absatz 2 E‑DSG sowie der Verweisung auf die Klagen nach Artikel 28 f. ZGB möglich und erforderlich, so dass keine spezifischen Vorbehalte in den Gesetzestext eingefügt werden müssen. Der Beauftragte hätte es vorgezogen, wenn ausdrücklich ein Auslistungsrecht (“Recht auf Vergessenwerden”) eingefügt worden wäre.
Abs. 3 Bestreitungsvermerk
Absatz 3 enthält den so genannten Bestreitungsvermerk, der unverändert aus dem bisherigen Recht übernommen wird. Demnach kann bei Daten ein entsprechender Vermerk angebracht werden, wenn weder die Richtigkeit noch die Unrichtigkeit der Daten festgestellt werden kann. Die Bestimmung ist vor dem Hintergrund zu betrachten, dass sich die Unrichtigkeit von Tatsachenbehauptungen, gerade wenn sie mit Werturteilen verknüpft sind, mitunter nicht ausreichend nachweisen lässt. Die betroffene Person erhält auf diese Weise zumindest einen teilweisen Rechtsschutz.
Abs. 4 Mitteilung an Dritte oder Veröffentlichung
Absatz 4 sieht wie das bisherige Recht vor, dass das Urteil, die Berichtigung, die Löschung oder Vernichtung, das Verbot der Bearbeitung bzw. der Bekanntgabe an Dritte oder der Bestreitungsvermerk Dritten mitgeteilt wird oder veröffentlicht wird. Diese Regelung konkretisiert Artikel 28a Absatz 2 ZGB im Bereich des Datenschutzes.
Aufgehoben wird hingegen die Bestimmung betreffend das vereinfachte Verfahren für Auskunftsbegehren. Diese Regelung ist mit Einführung der ZPO obsolet geworden, weil sämtliche Vorschriften zu zivilrechtlichen Verfahren nun in der ZPO enthalten sind. Diese regelt das anwendbare Verfahren (Art. 243 Abs. 2 Bst. d E‑ZPO) sowie den Gerichtsstand (Art. 20 Bst. d E‑ZPO).
6. Kapitel: Besondere Bestimmungen zur Datenbearbeitung durch Bundesorgane
Art. 33 Kontrolle und Verantwortung bei gemeinsamer Bearbeitung von Personendaten
Der Bundesrat regelt die Kontrollverfahren und die Verantwortung für den Datenschutz, wenn ein Bundesorgan Personendaten zusammen mit anderen Bundesorganen, mit kantonalen Organen oder mit privaten Personen bearbeitet.
Bot Art. 29 Kontrolle und Verantwortung bei gemeinsamer Bearbeitung von Personendaten (Zählg. gem. Entwurf)
Im Vergleich zu Artikel 16 DSG erfährt Artikel 29 E‑DSG wenige Änderungen.
Artikel 16 Absatz 1 DSG wird aufgehoben. Die Verantwortlichkeit des Bundesorgans, das Personendaten bearbeitet oder bearbeiten lässt, ergibt sich aus der Definition des Begriffs “Verantwortlicher” (Art. 4 Bst. i E‑DSG).
Mit Artikel 29 E‑DSG wird ferner aus redaktionellen Gründen der Ausdruck “besonders regeln” von Artikel 16 Absatz 2 DSG weggelassen. Darüber hinaus soll der Bundesrat nicht nur die Möglichkeit haben, besondere Regeln über die Kontrolle und Verantwortung für den Datenschutz zu erlassen, wenn Bundesorgane Daten zusammen mit anderen Behörden oder Privatpersonen bearbeiten, sondern dazu verpflichtet sein. Mit dieser Änderung wird Artikel 21 der Richtlinie (EU) 2016/680 umgesetzt. Artikel 26 der Verordnung (EU) 2016/679 sieht eine analoge Regelung vor.
Art. 34 Rechtsgrundlagen
1 Bundesorgane dürfen Personendaten nur bearbeiten, wenn dafür eine gesetzliche Grundlage besteht.
2 Eine Grundlage in einem Gesetz im formellen Sinn ist in folgenden Fällen erforderlich:
3 Für die Bearbeitung von Personendaten nach Absatz 2 Buchstaben a und b ist eine Grundlage in einem Gesetz im materiellen Sinn ausreichend, wenn die folgenden Voraussetzungen erfüllt sind:
4 In Abweichung von den Absätzen 1 – 3 dürfen Bundesorgane Personendaten bearbeiten, wenn eine der folgenden Voraussetzungen erfüllt ist:
Bot Art. 30 Rechtsgrundlagen (Zählg. gem. Entwurf)
Um der Kritik in der Lehre betreffend die Abgrenzung der Ausnahmen in Artikel 17 Absatz 2 DSG und Artikel 19 Absatz 2 DSG Rechnung zu tragen, regelt der E‑DSG in Artikel 30 Absatz 2 die gesetzliche Grundlage für bestimmte Datenbearbeitungen. In Absatz 4 sind die Ausnahmen zu den Anforderungen an die gesetzliche Grundlage vorgesehen.
Abs. 1 Gesetzliche Grundlage
Absatz 1 übernimmt den Grundsatz von Artikel 17 Absatz 1 DSG, wonach die Bundesorgane Personendaten unter Vorbehalt bestimmter Ausnahmen nur bearbeiten dürfen, wenn hierfür eine gesetzliche Grundlage vorliegt.
Abs. 2 Grundlage in Gesetz im formellen Sinn
Wie nach geltendem Recht schreibt Absatz 2 Buchstabe a vor, dass für die Bearbeitung besonders schützenswerter Daten eine Grundlage in einem Gesetz im formellen Sinn erforderlich ist.
Nach Absatz 2 Buchstabe b sind die Bundesorgane ausschliesslich dann zum Profiling im Sinne von Artikel 4 Buchstabe f E‑DSG befugt, wenn dies in einer Grundlage in einem Gesetz im formellen Sinn vorgesehen ist. Die Bestimmung ersetzt insofern Artikel 17 Absatz 2 DSG, nach welchem Persönlichkeitsprofile nur bearbeitet werden dürfen, wenn ein Gesetz im formellen Sinn es ausdrücklich vorsieht. Aufgrund des Risikos eines Eingriffs in die Grundrechte der betroffenen Personen ist der Bundesrat der Meinung, dass die Rechtsgrundlage für das Profiling auf derselben Stufe bestehen muss wie im Fall der Bearbeitung besonders schützenswerter Daten. Wie in den Erläuterungen zu Absatz 3 dargelegt wird, gilt die Anforderung einer Grundlage in einem Gesetz im formellen Sinn für derartige Datenbearbeitungen nicht absolut. Es wird folglich dem Gesetzgeber obliegen, in jedem Bereich zu bestimmen, ob eine formell-gesetzliche Grundlage in einem bereichsspezifischen Gesetz geschaffen werden muss oder ob eine Grundlage in einem Gesetz im materiellen Sinn genügt. Es ist denkbar, dass ein Profiling in bestimmten Fällen keine besonderen Risiken für die Grundrechte der betroffenen Person birgt.
Nach Absatz 2 Buchstabe c ist eine Grundlage in einem Gesetz im formellen Sinn erforderlich, wenn der Bearbeitungszweck oder die Art und Weise der Datenbearbeitung zu einem schwerwiegenden Eingriff in die Grundrechte der betroffenen Person führen kann. Dieser Fall ist in Artikel 17 Absatz 2 DSG nicht ausdrücklich festgehalten. Es handelt sich aber nicht um eine neue Anforderung, denn nach Artikel 36 Absatz 1 BV bedürfen schwerwiegende Einschränkungen von Grundrechten einer gesetzlichen Grundlage in einem Gesetz im formellen Sinn. Buchstabe c ist jedoch notwendig, da in mehreren Bundesgesetzen der Begriff “Persönlichkeitsprofil” und die entsprechenden Gesetzesgrundlagen aufgehoben werden. Denn aus Sicht des Bundesrates darf die Aufhebung des Begriffs “Persönlichkeitsprofil” nicht dazu führen, dass die Anforderungen an die Stufe der gesetzlichen Grundlage gesenkt werden.
Ein schwerwiegender Eingriff in die Grundrechte der betroffenen Person kann sich aus dem Zweck der Bearbeitung von Personendaten ergeben (erster Anwendungsfall von Bst. c). Denn in bestimmten Bereichen müssen die Bundesorgane eventuell bestimmte Personendaten bearbeiten, damit sie beispielsweise die Gefährlichkeit, das Potenzial für eine Funktion, die Eignung für die Erfüllung einer gesetzlichen Pflicht oder die Lebensführung einer Person beurteilen können. Je nach Zweck, den das Bundesorgan mit der Bearbeitung verfolgt, kann diese – unabhängig von der Art der bearbeiteten Daten – die Grundrechte der betroffenen Person in schwerwiegender Weise einschränken. Wenn dies zutrifft, ist es gerechtfertigt, dass für die Bearbeitung der Personendaten auf der gleichen Stufe eine gesetzliche Grundlage bestehen muss wie für die Bearbeitung besonders schützenswerter Personendaten.
Ein schwerwiegender Eingriff in die Grundrechte der betroffenen Person kann sich ausserdem aus der Art und Weise der Datenbearbeitung ergeben (zweiter Anwendungsfall von Bst. c). Dies trifft insbesondere auf automatisierte Einzelentscheidungen nach Artikel 19 Absatz 1 E‑DSG zu. Zwar birgt nicht jede automatisierte Einzelentscheidung ein schwerwiegendes Risiko für die Grundrechte der betroffenen Person, sodass für gewisse solcher Entscheidungen auch eine Grundlage in einem Gesetz im materiellen Sinn genügen kann. Eine Ermächtigung durch ein Gesetz im formellen Sinn ist grundsätzlich dann erforderlich, wenn die automatisierte Einzelentscheidung auf der Grundlage besonders schützenswerter Personendaten erfolgt. Damit wird auch den Anforderungen von Artikel 11 der Richtlinie (EU) 2016/680 Rechnung getragen.
Abs. 3 Ausnahmen von der Anforderung einer Grundlage in einem Gesetz im formellen Sinn
Diese Bestimmung ermächtigt den Bundesrat, für die Bearbeitung besonders schützenswerter Personendaten und das Profiling eine Grundlage in einem Gesetz im materiellen Sinn zu erlassen, wenn zwei Voraussetzungen kumulativ erfüllt sind. Nach Buchstabe a muss die Bearbeitung unentbehrlich sein für eine in einem Gesetz im formellen Sinn festgelegte Aufgabe. Damit diese Voraussetzung erfüllt ist, muss auf Gesetzesebene die Natur der Aufgaben, welche die Bearbeitung von Personendaten erfordern, ausreichend konkretisiert sein. Die zweite Voraussetzung (Absatz 3 Buchstabe b) ist neu. Sie hat den Vorteil, dass sie die Tragweite von Absatz 3 auf präzisere Weise einschränkt als die aktuelle Regelung in Artikel 17 Absatz 2 Buchstabe a DSG. Letztere ist nur ausnahmsweise anwendbar, was auch dazu führen kann, dass der Ermessensspielraum dazu genutzt wird, Ausnahmefälle anzunehmen, wo gar keine vorliegen.
Die Senkung der Anforderungen an die Stufe der Gesetzesgrundlage ist insbesondere für besonders schützenswerte Personendaten angebracht, die ausnahmsweise in Bundesrats‑, Departements- und Amtsgeschäften bearbeitet werden (z. B. Beschwerdeentscheide; Staatshaftungsfälle; Bundespersonalgeschäfte). Auch dies erfordert, streng genommen, nach dem geltenden Artikel 17 Absatz 1 DSG eine formell-gesetzliche Grundlage. Indessen soll nach Artikel 30 Absatz 3 E‑DSG eine Grundlage in einem Gesetz im materiellen Sinn genügen, wenn die Bearbeitung für die Erfüllung einer formell-gesetzlich vorgesehenen Aufgabe unentbehrlich ist und der Bearbeitungszweck für die Grundrechte der betroffenen Person keine besonderen Risiken birgt. Soweit diese Kriterien erfüllt sind und der Zugriff auf diese Daten stark eingeschränkt ist, wird künftig eine Grundlage in einem Gesetz im materiellen Sinn grundsätzlich genügen.
Abs. 4 Ausnahmen
Gemäss Absatz 4 kann von der Anforderung der gesetzlichen Grundlage (Abs. 1 – 3) abgewichen werden, wenn eine der Voraussetzungen nach den Buchstaben a bis c erfüllt ist.
Buchstabe a regelt den Entscheid des Bundesrates, der dem Bundesorgan ausnahmsweise erlaubt, Personendaten ohne gesetzliche Grundlage zu bearbeiten. Buchstabe a entspricht der Ausnahme nach Artikel 17 Absatz 2 Buchstabe b DSG.
Gemäss Buchstabe b können Bundesorgane Personendaten ohne gesetzliche Grundlage bearbeiten, wenn die betroffene Person im Einzelfall ihre Einwilligung gemäss Artikel 5 Absatz 6 E‑DSG gibt oder wenn sie ihre Personendaten allgemein zugänglich gemacht und die Bearbeitung nicht ausdrücklich untersagt hat. Diese Bestimmung entspricht im Wesentlichen der Ausnahme nach Artikel 17 Absatz 2 Buchstabe c DSG.
Buchstabe c ist eine neue Ausnahme, die in Artikel 17 Absatz 2 DSG nicht enthalten ist. Sie entspricht Artikel 10 Buchstabe b der Richtlinie (EU) 2016/680 und Artikel 6 Absatz 1 Buchstabe d der Verordnung (EU) 2016/679. Demnach ist die Bearbeitung ebenfalls zulässig, wenn sie notwendig ist, um das Leben oder die körperliche Unversehrtheit der betroffenen Person oder eines Dritten zu schützen, wenn es nicht möglich ist, die Einwilligung der betroffenen Person innert angemessener Frist einzuholen.
Art. 35 Automatisierte Datenbearbeitung im Rahmen von Pilotversuchen
1 Der Bundesrat kann vor Inkrafttreten eines Gesetzes im formellen Sinn die automatisierte Bearbeitung von besonders schützenswerten Personendaten oder andere Datenbearbeitungen nach Artikel 34 Absatz 2 Buchstaben b und c bewilligen, wenn:
2 Er holt vorgängig die Stellungnahme des EDÖB ein.
3 Das zuständige Bundesorgan legt dem Bundesrat spätestens zwei Jahre nach der Aufnahme des Pilotversuchs einen Evaluationsbericht vor. Es schlägt darin die Fortführung oder die Einstellung der Bearbeitung vor.
4 Die automatisierte Datenbearbeitung muss in jedem Fall abgebrochen werden, wenn innerhalb von fünf Jahren nach Aufnahme des Pilotversuchs kein Gesetz im formellen Sinn in Kraft getreten ist, das die erforderliche Rechtsgrundlage enthält.
Bot Art. 31 Automatisierte Datenbearbeitung im Rahmen von Pilotversuchen (Zählg. gem. Entwurf)
Die vorliegenden Änderungen des aktuellen Artikels 17a DSG sollen nicht die Voraussetzungen abschwächen, unter denen ein Bundesorgan vor Inkrafttreten eines Gesetzes im formellen Sinn im Rahmen eines Pilotversuchs Daten automatisiert bearbeiten kann. Es soll lediglich die Regelungsdichte reduziert werden. Denn seit dem Inkrafttreten dieser Norm haben die Bundesorgane nur selten darauf zurückgegriffen. Gewisse Bestimmungen von Artikel 17a DSG können zudem in die künftigen Ausführungsverordnung aufgenommen werden.
Abgesehen davon, dass der Begriff “Persönlichkeitsprofile” durch “andere Datenbearbeitungen nach Artikel 30 Absatz 2 Buchstaben b und c” ersetzt wird, stimmen die Voraussetzungen nach den Absätzen 1 und 2 mit jenen von Artikel 17a Absatz 1 DSG weitgehend überein. Ausserdem wird in Buchstabe c präzisiert, dass eine Testphase “insbesondere aus technischen Gründen” erforderlich ist. Diese Änderung ist durch die Aufhebung von Artikel 17a Absatz 2 DSG begründet, der die Fälle aufzählt, in denen die praktische Umsetzung einer Datenbearbeitung zwingend eine Testphase erfordern kann. Aus den hiervor aufgeführten Gründen können diese Fälle in einer Ausführungsverordnung geregelt werden.
Die Absätze 3 und 4 bleiben, von der Aufhebung des Begriffs “Persönlichkeitsprofile” und einigen redaktionellen Änderungen abgesehen, im Vergleich zum geltenden Recht unverändert.
Art. 36 Bekanntgabe von Personendaten
1 Bundesorgane dürfen Personendaten nur bekanntgeben, wenn dafür eine gesetzliche Grundlage nach Artikel 34 Absätze 1 – 3 besteht.
2 Sie dürfen Personendaten in Abweichung von Absatz 1 im Einzelfall bekanntgeben, wenn eine der folgenden Voraussetzungen erfüllt ist:
3 Die Bundesorgane dürfen Personendaten darüber hinaus im Rahmen der behördlichen Information der Öffentlichkeit von Amtes wegen oder gestützt auf das Öffentlichkeitsgesetz vom 17. Dezember 2004 bekanntgeben, wenn:
4 Sie dürfen Name, Vorname, Adresse und Geburtsdatum einer Person auf Anfrage auch bekanntgeben, wenn die Voraussetzungen nach Absatz 1 oder 2 nicht erfüllt sind.
5 Sie dürfen Personendaten mittels automatisierter Informations- und Kommunikationsdienste allgemein zugänglich machen, wenn eine Rechtsgrundlage die Veröffentlichung dieser Daten vorsieht oder wenn sie Daten gestützt auf Absatz 3 bekanntgeben. Besteht kein öffentliches Interesse mehr daran, die Daten allgemein zugänglich zu machen, so werden die betreffenden Daten aus dem automatisierten Informations- und Kommunikationsdienst gelöscht.
6 Die Bundesorgane lehnen die Bekanntgabe ab, schränken sie ein oder verbinden sie mit Auflagen, wenn:
Bot Art. Art. 32 Bekanntgabe von Personendaten (Zählg. gem. Entwurf)
Artikel 32 E‑DSG behält den Grundsatz von Artikel 19 DSG bei, wonach Bundesorgane Personendaten im Prinzip nur bekannt geben dürfen, wenn dafür eine Rechtsgrundlage besteht. Er präzisiert aber, dass der Begriff der Rechtsgrundlage dem Begriff nach Artikel 30 Absätze 1 – 3 E‑DSG entspricht. Aus dieser Präzisierung folgt, dass Artikel 32 nicht auf die in Artikel 30 Absatz 4 vorgesehenen Ausnahmen verweist. Dementsprechend sind die Fälle, in denen Bundesorgane befugt sind, Personendaten ohne gesetzliche Grundlage bekannt zu geben, in Artikel 32 Absatz 2 Buchstaben a – e E‑DSG abschliessend aufgezählt. Mit dieser Änderung wird der Kritik in der Lehre betreffend die Abgrenzung der Ausnahmen in Artikel 17 Absatz 2 DSG und Artikel 19 Absatz 2 DSG Rechnung getragen.
Der Begriff der “Personendaten” in Absatz 1 umfasst auch besonders schützenswerte Personendaten. Verlangt Artikel 30 für die Bearbeitung einer bestimmten Kategorie von Personendaten (besonders schützenswerte Personendaten) oder bestimmte Bearbeitungen (Profiling, Bearbeitungen nach Art. 30 Abs. 2 Bst. c) eine Grundlage in einem Gesetz im formellen Sinn, so gilt dies auch betreffend die Vorschriften für die Bekanntgabe der fraglichen Personendaten. Die Bekanntgabe von Personendaten ist an sich ein besonders sensibler Vorgang, sodass in diesem Bereich nicht unerheblich sein kann, auf welche Weise die bekanntgegebenen Daten gewonnen werden. Erfolgt daher eine Bekanntgabe im Nachgang zu einer der besonders heiklen Bearbeitungsarten, ist dies in einem Gesetz im formellen Sinn vorzusehen. Die Ausnahmen von Absatz 2 gelten auch, wenn ein Bundesorgan beabsichtigt, diese Art von Daten bekannt zu geben.
Die Ausnahme nach Absatz 2 Buchstabe a wird erweitert. Bisher durften Bundesorgane Daten im Einzelfall ohne gesetzliche Grundlage bekannt geben, wenn die Bekanntgabe der Daten für den Empfänger zur Erfüllung einer gesetzlichen Aufgabe unentbehrlich war. Neu dürfen sie es auch dann tun, wenn dies für sie selbst zur Erfüllung einer gesetzlichen Aufgabe unentbehrlich ist.
Buchstabe c ist eine neue Ausnahme, die in Artikel 19 Absatz 1 DSG nicht vorgesehen ist. Sie wird auch in den Artikel 30 Absatz 4 Buchstabe c E‑DSG eingefügt.
Artikel 32 Absatz 3 E‑DSG entspricht mit Ausnahme einer punktuellen Änderung Artikel 19 Absatz 1DSG. Mit einer Anpassung des Wortlauts von Artikel 32 Absatz 3 soll die Koordination zwischen BGÖ und DSG verbessert werden. Dabei ist bezüglich der Voraussetzung des überwiegenden öffentlichen Interesses an der Datenbekanntgabe (Art. 32 Abs. 3 Bst. b E‑DSG) klarzustellen, dass diese Voraussetzung nicht nur zusätzlich (alternativ), sondern auch selbstständig zu Artikel 32 Absätze 1 und 2 gilt. Vorgeschlagen wird, im Einleitungssatz von Artikel 32 Absatz 3 E‑DSG den Ausdruck “auch” (für den es in der französischen Version keine Entsprechung gibt) durch ein “darüber hinaus/en outre” zu ersetzen, um deutlich zu machen, dass die Rechtsgrundlage nach Absatz 3 zu denen in den Absätzen 1 und 2 dazukommt.
Artikel 32 Absatz 4 bleibt im Vergleich zu Artikel 19 Absatz 2 DSG unverändert. Die Erläuterungen in der Botschaft des Bundesrates vom 23. März 1988 behalten ihre Gültigkeit.
Dagegen wird die gesetzliche Grundlage für “Abrufverfahren” (Art. 19 Abs. 3 DSG) bei Bundesorganen aufgehoben, weil sie im digitalen Zeitalter überholt erscheint. Diese Änderung führt nicht zu einer Schwächung des Schutzes der Personendaten, denn die Bekanntgabe muss immer im Rahmen der gesetzlichen Datenschutzvorschriften erfolgen. Die Anpassungen der bereichsspezifischen Datenschutzbestimmungen, die sich aus der Aufhebung von Artikel 19 Absatz 3 ergeben, erfolgen kontinuierlich im Rahmen von Revision der jeweiligen Erlasse.
Die Absätze 5 und 6 entsprechen den Absätzen 3 und 4 von Artikel 19 DSG.
Art. 37 Widerspruch gegen die Bekanntgabe von Personendaten
1 Die betroffene Person, die ein schutzwürdiges Interesse glaubhaft macht, kann gegen die Bekanntgabe bestimmter Personendaten durch das verantwortliche Bundesorgan Widerspruch einlegen.
2 Das Bundesorgan weist das Begehren ab, wenn eine der folgenden Voraussetzungen erfüllt ist:
3 Artikel 36 Absatz 3 bleibt vorbehalten.
Bot Art. 33 Widerspruch gegen die Bekanntgabe von Personendaten (Zählg. gem. Entwurf)
Diese Bestimmung bleibt, von einigen redaktionellen Änderungen abgesehen, im Vergleich zum geltenden Recht (Artikel 20 DSG) unverändert. In der deutschen Fassung wird der Ausdruck “Sperrung der Bekanntgabe” in Anlehnung an die europäische Terminologie durch “Widerspruch gegen die Bekanntgabe” ersetzt.
Nach der Ansicht des Beauftragten müsste sich das Recht auf Widerspruch nicht nur auf die Datenbekanntgabe, sondern auch auf die Datenbearbeitung beziehen.
Art. 37 Widerspruch gegen die Bekanntgabe von Personendaten
2 Das Bundesorgan weist das Begehren ab, wenn eine der folgenden Voraussetzungen erfüllt ist:
3 Artikel 36 Absatz 3 bleibt vorbehalten.
Art. 38 Angebot von Unterlagen an das Bundesarchiv
1 In Übereinstimmung mit dem Archivierungsgesetz vom 26. Juni 1998 bieten die Bundesorgane dem Bundesarchiv alle Personendaten an, die sie nicht mehr ständig benötigen.
2 Sie vernichten die vom Bundesarchiv als nicht archivwürdig bezeichneten Personendaten, es sei denn:
Bot Art. 34 Angebot von Unterlagen an das Bundesarchiv (Zählg. gem. Entwurf)
Diese Bestimmung entspricht Artikel 21 DSG. Sie bleibt materiell unverändert.
Art. 39 Datenbearbeitungen für nicht personenbezogene Zwecke
1 Bundesorgane dürfen Personendaten für nicht personenbezogene Zwecke, insbesondere für Forschung, Planung oder Statistik, bearbeiten, wenn:
2 Die Artikel 6 Absatz 3, 34 Absatz 2 sowie Absatz 1 sind nicht anwendbar.
Bot Art. 35 Bearbeiten für Forschung, Planung und Statistik Diese Bestimmung entspricht weitgehend Artikel 22DSG. (Zählg. gem. Entwurf)
Darüber hinaus wird in Absatz 1 ein neuer Buchstabe b eingefügt, wonach Bundesorgane privaten Dritten besonders schützenswerte Personendaten so bekannt geben müssen, dass die betroffene Person nicht bestimmbar ist. Dies soll den Schutz besonders schützenswerter Personendaten stärken. Diese Voraussetzung ist ebenfalls erfüllt, wenn die Weitergabe in pseudonymisierter Form erfolgt und der Schlüssel bei der weitergebenden Person verbleibt (faktische Anonymisierung).
Absatz 2 wird zudem betreffend die Verweisungen auf die Artikel 5 Absatz 3, 30 Absatz 2 und 32 Absatz 1 E‑DSG geändert.
Art. 40 Privatrechtliche Tätigkeit von Bundesorganen
Handelt ein Bundesorgan privatrechtlich, so gelten die Bestimmungen für die Datenbearbeitung durch private Personen.
Bot Art. 36 Privatrechtliche Tätigkeit von Bundesorganen (Zählg. gem. Entwurf)
Diese Bestimmung entspricht Artikel 23 Absatz 1 DSG. Artikel 23 Absatz 2 DSG kann aufgehoben werden, da im E‑DSG für private Personen und Bundesorgane dasselbe Aufsichtssystem vorgesehen ist.
Art. 41 Ansprüche und Verfahren
1 Wer ein schutzwürdiges Interesse hat, kann vom verantwortlichen Bundesorgan verlangen, dass es:
2 Die Gesuchstellerin oder der Gesuchsteller kann insbesondere verlangen, dass das Bundesorgan:
3 Statt die Personendaten zu löschen oder zu vernichten, schränkt das Bundesorgan die Bearbeitung ein, wenn:
4 Kann weder die Richtigkeit noch die Unrichtigkeit der betreffenden Personendaten festgestellt werden, so bringt das Bundesorgan bei den Daten einen Bestreitungsvermerk an.
5 Die Berichtigung, Löschung oder Vernichtung von Personendaten kann nicht verlangt werden in Bezug auf die Bestände öffentlich zugänglicher Bibliotheken, Bildungseinrichtungen, Museen, Archive oder anderer öffentlicher Gedächtnisinstitutionen. Macht die Gesuchstellerin oder der Gesuchsteller ein überwiegendes Interesse glaubhaft, so kann sie oder er verlangen, dass die Institution den Zugang zu den umstrittenen Daten beschränkt. Die Absätze 3 und 4 sind nicht anwendbar.
6 Das Verfahren richtet sich nach dem VwVG. Die Ausnahmen nach den Artikeln 2 und 3 VwVG sind nicht anwendbar.
Bot Art. 37 Ansprüche und Verfahren (Zählg. gem. Entwurf)
Im Vergleich mit Artikel 25 DSG erfährt Artikel 37 E‑DSG einige Änderungen, die nachfolgend erklärt werden.
Abs. 1 Begehren
Diese Bestimmung regelt die Begehren, die die betroffenen Personen an Bundesorgane richten können. Im Vergleich mit Artikel 25 Absatz 1 DSG wird sie nicht geändert.
Abs. 2 Weitere Begehren
Heute ergibt sich der Anspruch der betroffenen Person, die Löschung ihrer Daten zu verlangen, implizit aus Artikel 25 DSG. Um die Anforderungen von Artikel 8 Buchstabe e E‑SEV 108 und von Artikel 16 der Richtlinie (EU) 2016/680 zu berücksichtigen, wird dieser Anspruch nun ausdrücklich in Artikel 37 Absatz 2 Buchstaben a und b genannt. Artikel 17 der Verordnung (EU) 2016/679 sieht seinerseits das Recht der betroffenen Person vor, unter bestimmten Bedingungen die Löschung der sie betreffenden Daten zu verlangen (“Recht auf Vergessenwerden”). Derselbe Anspruch wird in Artikel 28 E‑DSG eingeführt, sodass die Regelung gegenüber privaten und öffentlichen Verantwortlichen übereinstimmt (vgl. Ziff. 9.1.6). An der konkreten Rechtslage ändert sich indessen nichts.
In Absatz 2 Buchstabe a wird im Vergleich zu Artikel 25 Absatz 3 Buchstabe 3 DSG der letzte Teilsatz betreffend die Sperrung der Bekanntgabe an Dritte gelöscht, weil der Widerspruch gegen die Bekanntgabe von Daten abschliessend durch Artikel 33 E‑DSG geregelt ist. Der Widerspruch nach Artikel 33 E‑DSG ist nicht an die widerrechtliche Bearbeitung gebunden, was bei den Ansprüchen nach Artikel 37 der Fall ist.
Beibehalten wird allerdings in Buchstabe b dieser Bestimmung die Möglichkeit, dass die betroffene Person vom Bundesorgan verlangen kann, den Entscheid über den Widerspruch gegen die Bekanntgabe nach Artikel 33 zu veröffentlichen. Artikel 33 sieht dies nicht vor, aber es erscheint sinnvoll, dass die betroffene Person dies zumindest im Falle der widerrechtlichen Bekanntgabe verlangen kann.
Abs. 3 Einschränkung der Bearbeitung
In Absatz 3 ist eine Massnahme vorgesehen, die weniger radikal ist als die Löschung oder Vernichtung der bestrittenen Personendaten: die Einschränkung der Bearbeitung.
Diese Regelung entspricht Artikel 16 Absatz 3 der Richtlinie (EU) 2016/680, nach dem der Verantwortliche die Bearbeitung einschränken kann, anstatt die bestrittenen Daten zu löschen, wenn die betroffene Person die Richtigkeit der Daten bestreitet und die Richtigkeit oder Unrichtigkeit nicht festgestellt werden kann oder wenn Daten für Beweiszwecke weiter aufbewahrt werden müssen.
Artikel 18 der Verordnung (EU) 2016/679 geht weiter, da die betroffene Person gemäss dieser Bestimmung einen Anspruch hat, die Einschränkung der Bearbeitung zu verlangen.
Im E‑SEV 108 hingegen ist die Einschränkung der Bearbeitung nicht enthalten.
Absatz 3 ist in dem Sinne auszulegen, dass die Daten weiter bearbeitet werden dürfen, jedoch nur zu bestimmten Zwecken. Es geht nicht darum, jegliche Art der Datenbearbeitung auszuschliessen. Gemäss dem Erwägungsgrund 47 der Richtlinie (EU) 2016/680 ist die Einschränkung der Bearbeitung so zu verstehen, dass das Bundesorgan die betreffenden Daten nur zu dem Zweck bearbeiten darf, der ihrer Löschung entgegenstand. Absatz 3 sieht dafür vier Konstellationen vor.
Nach Absatz 3 Buchstabe a muss das Bundesorgan die Bearbeitung der Personendaten einschränken, wenn die betroffene Person die Richtigkeit der Personendaten bestreitet und weder deren Richtigkeit noch Unrichtigkeit festgestellt werden kann. In diesem Fall bedeutet die Einschränkung der Bearbeitung, dass das Bundesorgan die bestrittenen Daten ausschliesslich zum Zweck bearbeiten darf, deren Richtigkeit oder Unrichtigkeit festzustellen. Sobald die Richtigkeit der Daten feststeht, darf das Bundesorgan die Bearbeitung ohne Einschränkungen fortsetzen. Erweisen sich die Personendaten jedoch als unrichtig, so muss das Bundesorgan sie löschen oder vernichten, sofern im betreffenden Fall nicht Buchstabe b oder c anwendbar ist.
Absatz 3 Buchstabe b schreibt vor, dass das Bundesorgan die Bearbeitung einschränken muss, wenn überwiegende Interessen eines Dritten dies erfordern, zum Beispiel wenn die Löschung oder Vernichtung bestimmter Daten eine dritte Person daran hindern könnte, ihre Rechte vor Gericht auszuüben. Das bedeutet, dass die Daten weiter bearbeitet werden dürfen, jedoch nur, damit der betroffene Dritte seine Rechte ausüben kann. Jede Bearbeitung zu einem anderen Zweck ist ausgeschlossen.
Nach Absatz 3 Buchstabe c muss das Bundesorgan die bestrittenen Daten nicht löschen oder vernichten, wenn dies ein überwiegendes öffentliches Interesse, namentlich die innere oder äussere Sicherheit der Schweiz, gefährden könnte.
Absatz 3 Buchstabe d schliesslich hält fest, dass das Bundesorgan die Daten nicht löschen oder vernichten muss, wenn dies eine Ermittlung, Untersuchung oder ein behördliches oder gerichtliches Verfahren gefährden kann. In diesem Fall darf das Bundesorgan die Personendaten weiterhin bearbeiten, jedoch ausschliesslich zu dem Zweck, der ihrer Löschung entgegenstand, d. h. zur Fortsetzung einer Ermittlung, einer Untersuchung oder eines Verfahrens.
Die Einschränkung der Bearbeitung bedeutet, dass die bestrittenen Daten gekennzeichnet werden, damit ihre künftige Bearbeitung ausschliesslich zum Zweck erfolgt, der ihrer Löschung oder Vernichtung entgegenstand. Die Kennzeichnung muss klar sein. Sie kann in der Praxis bedeuten, dass die bestrittenen Daten vorübergehend in ein anderes Bearbeitungssystem verschoben werden oder dass den Benutzerinnen und Benutzern der Zugriff auf die Daten verunmöglicht wird. In Systemen für eine automatisierte Datenbearbeitung sollte die Einschränkung der Bearbeitung grundsätzlich mit technischen Mitteln gewährleistet werden, sodass die Daten nicht zu anderen Zwecken als jenen nach Absatz 3 weiter bearbeitet oder verändert werden können.
Abs. 4 Bestreitungsvermerk
Diese Bestimmung enthält den sogenannten Bestreitungsvermerk, der unverändert aus dem bisherigen Recht (Art. 25 Abs. 2 DSG) übernommen wurde. Demnach kann bei Daten ein entsprechender Vermerk angebracht werden, wenn weder die Richtigkeit noch die Unrichtigkeit der Daten endgültig festgestellt werden kann.
Abs. 5 Bestände öffentlicher Gedächtnisinstitutionen
Nach Absatz 5 kann die Berichtigung, Löschung oder Vernichtung von Daten nicht verlangt werden in Bezug auf die Bestände von öffentlich zugänglichen Bibliotheken, Bildungseinrichtungen, Museen, Archiven oder anderen öffentlichen Gedächtnisinstitutionen. Die Ausnahme hat insofern eine beschränkte Tragweite, als viele dieser Institutionen unter das kantonale Datenschutzrecht fallen. Die Bestimmung bezieht sich auf öffentliche Institutionen, deren Tätigkeit insbesondere darin besteht, Dokumente aller Art (auch digitale) zu sammeln, zu erschliessen, zu erhalten und zu vermitteln. Diesem spezifischen Bearbeitungszweck würde eine Berichtigung, Löschung oder Vernichtung entgegenstehen, soweit sie sich auf die Archivbestände solcher Institutionen bezieht. Auch der Bestreitungsvermerk nach Absatz 4 dieses Artikels kommt nicht zur Anwendung. Denn diese Bestände sollen mittels Dokumenten einen Moment in der Vergangenheit abbilden, was nur möglich ist, wenn diese Dokumente originalgetreu und damit unverändert im Archiv enthalten sind. Daran besteht ein erhebliches öffentliches Interesse, das sich aus der Informationsfreiheit (Art. 16 Abs. 3 BV) ergibt.
Der zweite Satz in Absatz 5 ermöglicht es jedoch der betroffenen Person, zu verlangen, dass die fragliche Institution den Zugang zu den umstrittenen Daten beschränkt. Hierfür muss die betroffene Person jedoch ein überwiegendes Interesse glaubhaft machen. Diese Ausnahme ist insbesondere im Hinblick auf die zunehmende Tendenz zu betrachten, umfangreiche Bestände öffentlich zugänglicher Gedächtnisinstitutionen für jedermann im Internet zugänglich zu machen. Dadurch reduziert sich der Aufwand für gezielte Recherchen, während gleichzeitig der Kreis der Personen, die auf den fraglichen Bestand zugreifen können, erheblich erweitert wird. Das Gesetz muss daher für solche Fälle eine differenzierte Interessenabwägung erlauben. Dabei stehen sich das öffentliche Interesse an einem unverfälschten und uneingeschränkten Zugang zu Dokumenten und das Interesse der betroffenen Person gegenüber, dass unwahre oder persönlichkeitsverletzende Informationen über sie nicht allgemein zugänglich sind. Wie sich aus Satz 1 von Absatz 5 ergibt, geht in Bezug auf Archive und ähnliche Institutionen das öffentliche Interesse am freien und unverfälschten Zugang grundsätzlich vor. Ein überwiegendes Interesse der betroffenen Person ist hingegen nur anzunehmen, wenn ihr aufgrund des freien Zugangs erhebliche persönliche Nachteile erwachsen, die sie auch in der Zukunft wesentlich einschränken können (z. B. in ihrem beruflichen Fortkommen). Diese Nachteile sind zudem in Beziehung zu setzen zum archivarischen Wert der umstrittenen Daten, der sich beispielsweise aus der historischen Bedeutung, der Art oder dem Inhalt des Dokuments ergeben kann. Ein überwiegendes Interesse auf Seiten der betroffenen Person ist namentlich dann anzunehmen, wenn der archivarische Wert der Daten und damit auch die Bedeutung des uneingeschränkten öffentlichen Zugangs als gering erscheint im Verhältnis zu den erheblichen Einschränkungen der betroffenen Person. In diesem Fall kann die betroffene Person verlangen, dass die Institution den Zugang zu den umstrittenen Daten beschränkt. Die Beschränkung ist im Einzelfall so auszugestalten, dass sie im Hinblick auf die in Frage stehenden Interessen verhältnismässig erscheint. So kann es häufig bereits ausreichen, dass ein Dokument nicht im Internet, sondern nur in physischen Archiven zugänglich ist. In Einzelfallen wäre auch denkbar, den Zugang zu einem Dokument lediglich Personen zu gewähren, die ihn für ihre wissenschaftliche oder journalistische Tätigkeitbenötigen.
Nicht unter Absatz 5 fallen hingegen Datenbearbeitungen solcher Institutionen, die nicht im Zusammenhang mit den Beständen stehen und zu anderen Zwecken erfolgen, wie beispielsweise Benutzerkonten der Bibliotheken oder Personaldossiers. Für diese Bearbeitungen stehen der betroffenen Person die Ansprüche in Artikel 37 uneingeschränkt offen.
Art. 42 Verfahren im Falle der Bekanntgabe von amtlichen Dokumenten, die Personendaten enthalten
Ist ein Verfahren betreffend den Zugang zu amtlichen Dokumenten, die Personendaten enthalten, im Sinne des Öffentlichkeitsgesetzes vom 17. Dezember 2004 hängig, so kann die betroffene Person in diesem Verfahren diejenigen Rechte geltend machen, die ihr nach Artikel 41 des vorliegenden Gesetzes bezogen auf diejenigen Dokumente zustehen, die Gegenstand des Zugangsverfahrens sind.
Bot Art. 38 Verfahren im Falle der Bekanntgabe von amtlichen Dokumenten, die Personendatenenthalten (Zählg. gem. Entwurf)
Diese Bestimmung entspricht Artikel 25 DSG. Sie bleibt materiell unverändert.
7. Kapitel: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
1. Abschnitt: Organisation
Art. 43 Wahl und Stellung
1 Die Vereinigte Bundesversammlung wählt die Leiterin oder den Leiter des EDÖB (die oder der Beauftragte).
2 Wählbar ist, wer in eidgenössischen Angelegenheiten stimmberechtigt ist.
3 Das Arbeitsverhältnis der oder des Beauftragten richtet sich, soweit dieses Gesetz nichts anderes vorsieht, nach dem Bundespersonalgesetz vom 24. März 2000 (BPG).
4 Die oder der Beauftragte übt ihre oder seine Funktion unabhängig aus, ohne Weisungen einer Behörde oder eines Dritten einzuholen oder entgegenzunehmen. Sie oder er ist administrativ der Bundeskanzlei zugeordnet.
5 Sie oder er verfügt über ein ständiges Sekretariat und ein eigenes Budget. Sie oder er stellt sein Personal an.
6 Sie oder er untersteht nicht dem Beurteilungssystem nach Artikel 4 Absatz 3 BPG.
Bot Art. 39 Ernennung und Stellung (Zählg. gem. Entwurf)
Das Ernennungsverfahren der oder des Beauftragten bleibt nach Absatz 1 unverändert, weil es mit den Anforderungen der Richtlinie (EU) 2016/680 und des E‑SEV 108 übereinstimmt. Der E‑SEV 108 enthält keine Bestimmung zum Modus für die Wahl oder Ernennung der Aufsichtsbehörde. Artikel 43 der Richtlinie (EU) 2016/680 verpflichtet die Schengen-Staaten zur Regelung des Ernennungsverfahrens, lässt ihnen jedoch die Wahl zwischen einer Ernennung durch das Parlament, die Regierung, das Staatsoberhaupt oder durch eine unabhängige Stelle. In Artikel 53 der Verordnung (EU) 2016/679 ist für die Mitgliedstaaten der Europäischen Union dieselbe Lösung vorgesehen.
Der Bundesrat hat den Vorschlag verschiedener Vernehmlassungsteilnehmer, eine Wahl durch das Parlament einzuführen, geprüft. Aus folgenden Gründen ist er zum Schluss gekommen, dass diese Änderung nicht angemessen ist. Das aktuelle Verfahren bietet hinreichende Garantien für die Unabhängigkeit der oder des Beauftragten gegenüber der Exekutive. Denn die Bundesversammlung kann die Zustimmung zur Ernennung des Bundesrates verweigern. Der Bundesrat ist auch nicht überzeugt, dass eine Wahl durch das Parlament die Unabhängigkeit der oder des Beauftragten stärken würde. Denn sie könnte durch Interessengruppen beeinflusst werden. Ausserdem bietet die Ernennung durch den Bundesrat unter Vorbehalt der Genehmigung durch das Parlament die Möglichkeit, dass die oder der Beauftragte administrativ weiterhin der Bundeskanzlei angegliedert bleiben kann. Das wäre bei einer Wahl durch das Parlament nicht mehr möglich. Sollte die oder der Beauftragte nicht mehr Teil der Bundesverwaltung sein, ist nicht ausgeschlossen, dass es für sie oder ihn schwieriger wäre, die Aufsicht über die Bundesorgane wahrzunehmen und sie bei einer Untersuchung zur Mitwirkung zu bewegen. Wenn die oder der Beauftragte durch das Parlament gewählt würde, müsste sie oder er schliesslich auch finanziell unabhängig sein, so wie beispielsweise die Eidgenössische Finanzkontrolle.
Abs. 3 Stellung
Absatz 3 erster Satz konkretisiert die Unabhängigkeit der oder des Beauftragten mit der Präzisierung, dass sie oder er keine Weisungen einer Behörde oder eines Dritten einholen oder erhalten darf. Diese Änderung berücksichtigt die Anforderungen von Artikel 12Absatz 4 E‑SEV 108 und von Artikel 42 Absätze 1 und 2 der Richtlinie (EU) 2016/680, der denselben Wortlaut hat wie Artikel 52 Absätze 1 und 2 der Verordnung (EU) 2016/679.
Abs. 2, 4 und 5
Diese Bestimmungen bleiben im Verhältnis zum aktuellen Recht (Art. 26 Abs. 2, 4 und 5 DSG) materiell unverändert.
Der Beauftragte ist der Ansicht, dass die Regelung seines Budgets aufgrund seiner Aufsichtsfunktion der Regelung für die Eidgenössische Finanzkontrolle anzugleichen wäre.
Art. 44 Amtsdauer, Wiederwahl und Beendigung der Amtsdauer
1 Die Amtsdauer der oder des Beauftragten beträgt vier Jahre und kann zwei Mal erneuert werden. Sie beginnt am 1. Januar nach Beginn der Legislaturperiode des Nationalrates.
2 Die oder der Beauftragte kann die Bundesversammlung unter Einhaltung einer Frist von sechs Monaten um Entlassung auf ein Monatsende ersuchen.
3 Die Vereinigte Bundesversammlung kann die Beauftragte oder den Beauftragten vor Ablauf der Amtsdauer des Amtes entheben, wenn diese oder dieser:
Bot Art. 40 Wiederernennung und Beendigung der Amtsdauer (Zählg. gem. Entwurf)
Gegenwärtig kann die oder der Beauftragte für eine unbeschränkte Zahl von Amtsdauern wiedergewählt werden. Dieser Grundsatz wird in Absatz 1 zur Umsetzung der Anforderungen von Artikel 44 Absatz 1 Buchstabe e der Richtlinie (EU) 2016/680 geändert. Dieser sieht vor, dass die Schengen-Staaten regeln müssen, ob und wenn ja wie oft das Mitglied oder die Mitglieder der Aufsichtsbehörde wiederernannt werden können. Gemäss dieser Bestimmung haben die Schengen-Staaten also die Wahl, ob und wie oft eine Wiederernennung der Aufsichtsbehörde möglich ist. Artikel 54 Absatz 1 Buchstabe e der Verordnung (EU) 2016/679 enthält eine ähnliche Regelung.
Entsprechend dem Handlungsspielraum, den Artikel 44 der Richtlinie (EU) 2016/680 gewährt, schlägt der Bundesrat vor, dass die oder der Beauftragte zwei Mal wiederernannt werden kann. Diese bzw. dieser kann daher für höchstens zwölf Jahre im Amt bleiben. Durch diese Massnahme soll die Unabhängigkeit der oder des Beauftragten als Behörde gestärkt werden. Sie oder er soll nicht aus Furcht, nicht wiedergewählt zu werden, in der Erfüllung des gesetzlichen Auftrags zurückgehalten werden. Wenn die oder der Beauftragte während der Amtsdauer das Pensionsalter erreicht, endet das Arbeitsverhältnis automatisch bei Erreichen des Alters nach Artikel 21 des Bundesgesetzes vom 20. Dezember 1946 über die Alters- und Hinterlassenenversicherung (AHVG) (Art. 10 Abs. 1 des Bundespersonalgesetzes vom 24. März 2000 (BPG)in Verbindung mit Art. 14 Abs. 1 BPG). Die Absätze 2, 3 und 4 bleiben im Verhältnis zu Artikel 26a DSG materiell unverändert.
Art. 45 Budget
Der EDÖB reicht den Entwurf seines Budgets jährlich über die Bundeskanzlei dem Bundesrat ein. Dieser leitet ihn unverändert an die Bundesversammlung weiter.
Art. 46 Unvereinbarkeit
Die oder der Beauftragte darf weder der Bundesversammlung noch dem Bundesrat angehören und in keinem Arbeitsverhältnis mit dem Bund stehen.
Art. 47 Nebenbeschäftigung
1 Die oder der Beauftragte darf keine Nebenbeschäftigung ausüben.
2 Die Vereinigte Bundesversammlung kann der oder dem Beauftragten gestatten, eine Nebenbeschäftigung auszuüben, wenn dadurch die Ausübung der Funktion sowie die Unabhängigkeit und das Ansehen des EDÖB nicht beeinträchtigt werden. Der Entscheid wird veröffentlicht.
Bot Art. 41 Nebenbeschäftigung (Zählg. gem. Entwurf)
In Artikel 41 werden die Voraussetzungen für die Ausübung einer Nebenbeschäftigung durch die Beauftragte oder den Beauftragten verschärft. Mit dieser Bestimmung werden die Anforderungen von Artikel 42 Absatz 3 der Richtlinie (EU) 2016/680 umgesetzt, die denselben Wortlaut hat wie Artikel 52 Absatz 3 der Verordnung (EU) 2016/679. Die Bestimmung gilt nur für die oder den Beauftragen. Die Stellvertreterin oder der Stellvertreter sowie das Sekretariat unterstehen dem BPG.
Nach Artikel 26b DSG ist lediglich vorgesehen, dass der Bundesrat der oder dem Beauftragten gestatten kann, eine andere Beschäftigung auszuüben, wenn dadurch deren oder dessen Unabhängigkeit und Ansehen nicht beeinträchtigt werden. Artikel 41 Absatz 1 erster Satz hält hingegen den Grundsatz fest, wonach die oder der Beauftragte keine zusätzliche Erwerbstätigkeit ausüben darf. Der zweite Satz präzisiert, dass sie oder er auch kein Amt der Eidgenossenschaft oder eines Kantons bekleiden darf. Der Begriff des Kantons ist in einem weiten Sinne zu verstehen und erfasst auch die Gemeinden, Bezirke, Kreise und Körperschaften des öffentlichen Rechts. Absatz 1, zweiter Satz schreibt darüber hinaus vor, dass die oder der Beauftragte auch nicht als Mitglied der Geschäftsleitung, des Verwaltungsrats, oder der Aufsichts- oder Revisionsstelle eines Handelsunternehmens tätig sein darf. Dies gilt unabhängig davon, ob eine solche Tätigkeit vergütet würde oder nicht.
Absatz 2 beschränkt die Tragweite von Absatz 1. Er sieht vor, dass der Bundesrat der oder dem Beauftragten unter bestimmten Voraussetzungen erlauben kann, eine Nebenbeschäftigung auszuüben. Der Entscheid des Bundesrates wird veröffentlicht.
Art. 48 Selbstkontrolle des EDÖB
Der EDÖB stellt durch geeignete Kontrollmassnahmen, insbesondere in Bezug auf die Datensicherheit, sicher, dass der rechtskonforme Vollzug der bundesrechtlichen Datenschutzvorschriften innerhalb seiner Behörde gewährleistet ist.
Bot Art. 42 Selbstkontrolle des Beauftragten (Zählg. gem. Entwurf)
Diese Bestimmung verpflichtet den Beauftragten, geeignete Kontrollmassnahmen zu treffen, insbesondere in Bezug auf die Sicherheit der Personendaten und den rechtskonformen Vollzug der bundesrechtlichen Datenschutzvorschriften. Der Bundesrat wird die zu ergreifenden Massnahmen in der künftigen Verordnung konkretisieren.
2. Abschnitt: Untersuchung von Verstössen gegen Datenschutzvorschriften
Art. 49 Untersuchung
1 Der EDÖB eröffnet von Amtes wegen oder auf Anzeige hin eine Untersuchung gegen ein Bundesorgan oder eine private Person, wenn genügend Anzeichen bestehen, dass eine Datenbearbeitung gegen die Datenschutzvorschriften verstossen könnte.
2 Er kann von der Eröffnung einer Untersuchung absehen, wenn die Verletzung der Datenschutzvorschriften von geringfügiger Bedeutung ist.
3 Das Bundesorgan oder die private Person erteilt dem EDÖB alle Auskünfte und stellt ihm alle Unterlagen zur Verfügung, die für die Untersuchung notwendig sind. Das Auskunftsverweigerungsrecht richtet sich nach den Artikeln 16 und 17 des VwVG, sofern Artikel 50 Absatz 2 des vorliegenden Gesetzes nichts anderes bestimmt.
4 Hat die betroffene Person Anzeige erstattet, so informiert der EDÖB sie über die gestützt darauf unternommenen Schritte und das Ergebnis einer allfälligen Untersuchung.
Bot Art. 43 Untersuchung (Zählg. gem. Entwurf)
Nach geltendem Recht unterscheidet sich das Verfahren je nachdem, ob es die Aufsichtstätigkeit des Beauftragten im privaten Sektor oder im öffentlichen Sektor betrifft. Während Artikel 27 DSG dem Beauftragten die Aufgabe überträgt, die Datenbearbeitung durch Bundesorgane zu überwachen, bestimmt Artikel 29 Absatz 1 Buchstaben a – c DSG, dass dieser eine Untersuchung gegen eine Privatperson eröffnet, wenn Bearbeitungsmethoden geeignet sind, die Persönlichkeit einer größeren Anzahl von Personen zu verletzen, Datensammlungen gemäss Artikel 11a DSG registriert werden müssen oder eine Informationspflicht nach Artikel 6 Absatz 3 besteht. Die Überwachungskompetenzen des Beauftragten gegenüber dem Privatsektor erfüllen derzeit nicht die Anforderungen des E‑SEV 108. So sieht deren Artikel 12keine Begrenzung der Ermittlungs- und Eingriffsbefugnisse der Aufsichtsbehörde gegenüber den Verantwortlichen vor.
Abs. 1 Eröffnung der Untersuchung
Gemäss Artikel 43 Absatz 1 E‑DSG eröffnet der Beauftragte von Amtes wegen oder auf Anzeige hin eine Untersuchung, wenn Anzeichen bestehen, dass eine Datenbearbeitung gegen die Datenschutzvorschriften verstossen könnte. Die Anzeige kann durch einen Dritten oder durch die betroffene Person erfolgen. Die Person, die Anzeige erstattet, hat im Verfahren jedoch keine Parteistellung (Art. 46 Abs. 2 e contrario). Falls hingegen die betroffene Person Anzeige erstattet hat, muss der Beauftragte sie über sein weiteres Vorgehen und das Ergebnis einer allfälligen Untersuchung informieren (Abs. 4). Die betroffene Person muss ihre Rechte mit den anwendbaren Rechtsmitteln geltend machen, d. h. sie kann bei einem Zivilgericht Klage erheben, wenn der Verantwortliche eine private Person ist, oder sie kann gegen den Entscheid des verantwortlichen Bundesorgans Beschwerde erheben. Dies entspricht dem geltenden Recht.
Abs. 2 Verzicht auf die Eröffnung einer Untersuchung
Der Beauftragte kann von der Eröffnung einer Untersuchung absehen, wenn die Verletzung der Datenschutzvorschriften von geringfügiger Bedeutung ist. Das wäre etwa der Fall, wenn ein Sport- oder Kulturverein allen seinen Mitgliedern eine E‑Mail-Nachricht sendet, ohne die Identität der Empfängerinnen und Empfänger zu verbergen. Absatz 2 kann auch zur Anwendung gelangen, wenn der Beauftragte der Auffassung ist, dass die Beratung des Verantwortlichen ausreicht, um eine an sich kaum problematische Situation zu beseitigen.
Abs. 3 Mitwirkungspflichten
Absatz 3 regelt die Mitwirkungspflichten der privaten Person und des Bundesorgans, indem die Regelung nach den Artikeln 27 Absatz 3 und 29 Absatz 2 DSG übernommen wird. Die Verfahrenspartei hat dem Beauftragten sämtliche Auskünfte zu erteilen und alle Unterlagen zur Verfügung zu stellen, welche dieser für die Untersuchung benötigt. In Absatz 3 zweiter Satz ist festgehalten, dass sich das Auskunfts- verweigerungsrecht nach den Artikeln 16 und 17 VwVG richtet. Artikel 16 Absatz 1 VwVG verweist auf Artikel 42 Absätze 1 und 3 des Bundesgesetzes vom 4. Dezember 1947 über den Bundeszivilprozess. Nach dieser Bestimmung können die befragten Personen das Zeugnis verweigern, wenn die Beantwortung der Frage sie der Gefahr der strafgerichtlichen Verfolgung aussetzen kann. Dabei geht es um die Personen, die die Geheimnisse nach den Artikeln 321, 321 und 321StGB wahren müssen. So können Ärztinnen und Ärzte beispielsweise verweigern, dem Beauftragten Personendaten über ihre Patientinnen und Patienten zu liefern, falls diese dem nicht zustimmen. Dasselbe gilt für die Rechtsanwältinnen und Rechtsanwälte und ihre Kundschaft. Artikel 90 der Verordnung (EU) 2016/679 sieht ebenfalls vor, dass die Mitgliedstaaten die Befugnisse der Aufsichtsbehörden gegenüber den Verantwortlichen oder den Auftragsbearbeitern, die nach innerstaatlichem Recht dem Berufsgeheimnis oder einer gleichwertigen Geheimhaltungspflicht unterliegen, regeln.
Art. 50 Befugnisse
1 Kommt das Bundesorgan oder die private Person den Mitwirkungspflichten nicht nach, so kann der EDÖB im Rahmen der Untersuchung insbesondere Folgendes anordnen:
2 Das Berufsgeheimnis bleibt vorbehalten.
3 Zum Vollzug der Massnahmen nach Absatz 1 kann der EDÖB andere Bundesbehörden sowie die kantonalen oder kommunalen Polizeiorgane beiziehen.
Bot Art. 44 Befugnisse (Zählg. gem. Entwurf)
Diese Bestimmung erfüllt die Anforderungen von Artikel 12Absatz 2 Buchstabe a E‑SEV 108, wonach die Aufsichtsbehörde über Ermittlungs- und Eingriffsbefugnisse verfügen muss. Auch Artikel 47 Absatz 1 der Richtlinie (EU) 2016/680 bestimmt, dass die Schengen-Staaten wirksame Untersuchungsbefugnisse für die Aufsichtsbehörde vorzusehen haben, namentlich die Befugnis, vom Verantwortlichen Zugang zu allen Daten, die verarbeitet werden, und zu allen für die Erfüllung ihrer Aufgaben notwendigen Informationen zu erhalten. Die Verordnung (EU) 2016/679 wiederum sieht in Artikel 58 Absatz 1 Buchstaben e und f eine analoge Regelung vor.
Abs. 1 Untersuchungsmassnahmen
Die Massnahmen nach Absatz 1 dürfen nur angeordnet werden, wenn eine Untersuchung eröffnet worden ist und soweit die private Person oder das Bundesorgan ihren Mitwirkungspflichten nicht nachkommen. Der Beauftragte kann die Massnahmen nach den Buchstaben a – d mit anderen Worten nur anordnen, wenn er vergeblich versucht hat, die Mitwirkung des Verantwortlichen einzuholen.
Der Katalog der Massnahmen nach Absatz 1 gleicht jenem nach Artikel 12 VwVG. Es handelt sich um eine nicht abschliessende Liste. Der Beauftragte ist unter anderem befugt, Zugang zu allen Auskünften, Unterlagen, Bearbeitungsverzeichnissen und Personendaten verlangen, die für die Untersuchung erforderlich sind (Bst. a) oder Zugang zu Räumlichkeiten und Anlagen zu verlangen (Bst. b). Wie alle Bundesbehörden muss er die geltenden Rechtsvorschriften beachten, namentlich jene zum Datenschutz und zur Wahrung von Fabrikations- und Geschäftsgeheimnissen. Er untersteht ausserdem dem Amtsgeheimnis nach Artikel 22 BPG. Folglich ist die vertrauliche Behandlung der Personendaten gewährleistet, zu denen er in Ausübung seiner Aufsichtsaufgaben Zugang erhält , namentlich wenn er die Person, die Anzeigeerstattet hat, über das Ergebnis einer allfälligen Untersuchung informiert (Art. 43 Abs. 4) oder wenn er seinen Tätigkeitsbericht nach Artikel 51 E‑DSG veröffentlicht.
Abs. 2 Vorsorgliche Massnahmen
Diese Bestimmung verleiht dem Beauftragten die Befugnis, für die Dauer der Untersuchung vorsorgliche Massnahmen anzuordnen und sie durch eine Bundesbehörde oder die kantonalen oder kommunalen Polizeiorgane vollstrecken zu lassen. Der aktuell geltende Artikel 33 Absatz 2 DSG sieht vor, dass der Beauftragte dem Präsidenten der für den Datenschutz zuständigen Abteilung des Bundesverwaltungsgerichts vorsorgliche Massnahmen beantragen kann, wenn er bei einer Untersuchung gegen eine private Person oder gegen ein Bundesorgan feststellt, dass den betroffenen Personen ein nicht leicht wiedergutzumachender Nachteil droht. Da Artikel 45 E‑DSG dem Beauftragten Verfügungskompetenzen erteilt, braucht es das Bundesverwaltungsgericht für die Anordnung vorsorglicher Massnahmen nicht mehr und die entsprechende Bestimmung kann demzufolge gestrichen werden. Das Verfahren für Beschwerden gegen vorsorgliche Massnahmen richtet sich nach Artikel 44 ff. VwVG. Die aufschiebende Wirkung der Beschwerde wird durch Artikel 55 VwVG geregelt.
Die neuen Untersuchungsbefugnisse des Beauftragten sind im Hinblick auf Artikel 45 der Verordnung (EU) 2016/679 ein entscheidendes Element, um sicherzustellen, dass die Europäische Kommission den Angemessenheitsbeschluss gegenüber der Schweiz erneuert bzw. aufrechterhält.
Art. 51 Verwaltungsmassnahmen
1 Liegt eine Verletzung von Datenschutzvorschriften vor, so kann der EDÖB verfügen, dass die Bearbeitung ganz oder teilweise angepasst, unterbrochen oder abgebrochen wird und die Personendaten ganz oder teilweise gelöscht oder vernichtet werden.
2 Er kann die Bekanntgabe ins Ausland aufschieben oder untersagen, wenn sie gegen die Voraussetzungen nach Artikel 16 oder 17 oder gegen Bestimmungen betreffend die Bekanntgabe von Personendaten ins Ausland in anderen Bundesgesetzen verstösst.
3 Er kann namentlich anordnen, dass das Bundesorgan oder die private Person:
4 Er kann auch anordnen, dass der private Verantwortliche mit Sitz oder Wohnsitz im Ausland eine Vertretung nach Artikel 14 bezeichnet.
5 Hat das Bundesorgan oder die private Person während der Untersuchung die erforderlichen Massnahmen getroffen, um die Einhaltung der Datenschutzvorschriften wiederherzustellen, so kann der EDÖB sich darauf beschränken, eine Verwarnung auszusprechen.
Bot Art. 45 Verwaltungsmassnahmen (Zählg. gem. Entwurf)
Artikel 45 E‑DSG setzt Artikel 47 Absatz 2 der Richtlinie (EU) 2016/680 um und erfüllt die Empfehlungen der Schengen-Evaluatoren, dem Beauftragten Verfügungskompetenzen zu erteilen. Artikel 58 Absatz 2 der Verordnung (EU) 2016/679 zählt alle Massnahmekompetenzen auf, über welche die Aufsichtsbehörde verfügen sollte. Neben den Massnahmen gemäss Artikel 47 Absatz 2 der Richtlinie (EU) 2016/680 sind dies laut Verordnung namentlich das Verhängen von Verwaltungsbussen (Art. 58 Abs. 2 Bst. i) und die Anordnung, die Übermittlung von Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation auszusetzen (Bst. j).
Artikel 45 E‑DSG entspricht weitgehend den Anforderungen von Artikel 12Absatz 2 Buchstabe c und Absatz 6 E‑SEV108.
Allerdings schlägt der Bundesrat vor, dem Beauftragten keine Kompetenz zu geben, Verwaltungssanktionen auszusprechen, sondern ihm vielmehr die Kompetenz zu verleihen, bestimmte Verwaltungsmassnahmen anzuordnen, deren Missachtung strafrechtlich geahndet werden kann (Art. 57 E‑DSG).
Artikel 45 E‑DSG lässt dem Beauftragten einen grossen Handlungsspielraum. Denn es handelt sich um eine Kann-Bestimmung und er ist nicht verpflichtet, Verwaltungsmassnahmen zu ergreifen. Die Bestimmung umfasst zwei Kategorien von Massnahmen.
Die erste Kategorie besteht aus einer Reihe von Massnahmen gegen Datenbearbeitungen, die gegen die Datenschutzvorschriften verstossen (Abs. 1, 2 und 4). Die Massnahmen reichen von einer einfachen Verwarnung (Abs. 4) über die Verfügung, Personendaten zu vernichten (Abs. 1) bis hin zum Verbot, Personendaten ins Ausland bekannt zu geben (Abs. 2). Grundsatz dieser Regelung ist die Wahrung der Verhältnismässigkeit. So kann der Beauftragte, anstatt den Abbruch der Bearbeitung anzuordnen, deren Änderung anordnen und die Massnahme nur auf den problematischen Teil der Bearbeitung beschränken. Wenn die Partei des Untersuchungsverfahrens während der Untersuchung die erforderlichen Massnahmen getroffen hat, um die Einhaltung der Datenschutzvorschriften wiederherzustellen, kann der Beauftragte sich auch darauf beschränken, eine Verwarnung auszusprechen (Abs. 4).
Die zweite Massnahmenkategorie betrifft die Fälle, in denen Ordnungsvorschriften oder Pflichten gegenüber der betroffenen Person nicht beachtet werden (Abs. 3). Der Beauftragte kann unter anderem verfügen, dass das Bundesorgan oder die private Person eine Datenschutz-Folgenabschätzung nach Artikel 20 vornimmt (Bst. d) oder der betroffenen Person die Auskünfte nach Artikel 23 erteilt (Bst. g). Die Liste unter Absatz 3 ist nichtabschliessend.
Der Beauftragte informiert ausschliesslich die Parteien des Untersuchungsverfahrens über seinen Entscheid. Gegebenenfalls informiert er gemäss Artikel 51 Abs. 2 E‑DSG die Öffentlichkeit. Die ergriffene Massnahme muss ausreichend begründet werden. Der Verantwortliche muss insbesondere in der Lage sein, zu bestimmen, welche Datenbearbeitungen unter den Beschluss des Beauftragten fallen. Die beteiligten Parteien sind berechtigt, gemäss den allgemeinen Bestimmungen über die Bundesrechtspflege Beschwerde zu erheben (vgl. Art. 46). Gegebenenfalls kann der Beauftragte die gegenüber dem Verantwortlichen verfügte Massnahme mit einer Strafdrohung versehen (Art. 57).
Art. 52 Verfahren
1 Das Untersuchungsverfahren sowie Verfügungen nach den Artikeln 50 und 51 richten sich nach dem VwVG.
2 Partei ist nur das Bundesorgan oder die private Person, gegen das oder die eine Untersuchung eröffnet wurde.
3 Der EDÖB kann Beschwerdeentscheide des Bundesverwaltungsgerichts anfechten.
Bot Art. 46 Verfahren (Zählg. gem. Entwurf)
Nach Absatz 1 unterstehen das Untersuchungsverfahren sowie jenes zum Erlass der Massnahmen nach den Artikeln 44 und 45 dem Verwaltungsverfahrensgesetz. Die private Person oder das Bundesorgan, die oder das in der Untersuchung Partei ist, hat Anspruch auf Gewährung des rechtlichen Gehörs (Art. 29 ff. VwVG).
Absatz 2 präzisiert, dass nur das Bundesorgan oder die private Person, gegen das bzw. die eine Untersuchung eröffnet wurde, Verfahrenspartei sein kann. Dementsprechend können lediglich diese gegen Verfügungen und Massnahmen, die der Beauftragte gegen sie ergriffen hat, Beschwerde erheben. Die betroffene Person ist nicht Partei, auch wenn der Beauftragte die Untersuchung auf deren Anzeige hin eröffnet hat. Möchte sie Rechtsansprüche gegen einen privaten Verantwortlichen geltend machen, muss sie dies gemäss Artikel 28 E‑DSG tun, d. h. vor dem zuständigen Zivilgericht. Im öffentlichen Sektor muss die betroffene Person gegen das verantwortliche Bundesorgan vorgehen (Art. 37), indem sie dessen Entscheid bei der zuständigen Beschwerdeinstanz anficht. Dies bleibt unverändert zum geltenden Recht.
Nach Absatz 3 kann der Beauftragte Beschwerdeentscheide des Bundesverwaltungsgerichts anfechten, wie er dies bereits aktuell gemäss Artikel 27 Absatz 6 und 29 Absatz 4 DSG tun kann.
Art. 53 Koordination
1 Bundesverwaltungsbehörden, die nach einem anderen Bundesgesetz private Personen oder Organisationen ausserhalb der Bundesverwaltung beaufsichtigen, laden den EDÖB zur Stellungnahme ein, bevor sie eine Verfügung erlassen, die Fragen des Datenschutzes betrifft.
2 Führt der EDÖB gegen die gleiche Partei eine eigene Untersuchung durch, so koordinieren die beiden Behörden ihre Verfahren.
Bot Art. 47 Koordination (Zählg. gem. Entwurf)
Gewisse Bundesbehörden beaufsichtigen Private oder ausserhalb der Bundesverwaltung stehende Organisationen. Dies ist etwa der Fall des Bundesamts für Gesundheit in Bezug auf die Krankenversicherungen oder der Eidgenössischen Finanzmarktaufsicht (FINMA) in Bezug auf die Banken oder andere Finanzdienstleisterinnen. Der Begriff “Organisationen ausserhalb der Bundesverwaltung” entspricht der in Artikel 1 Absatz 2 Buchstabe e VwVG verwendeten Bezeichnung.
Im Rahmen eines Aufsichtsverfahrens, das allenfalls zu einem Entscheid der zuständigen Behörde führen kann, können sich datenschutzrechtliche Fragen stellen. Um dieser Problematik Rechnung zu tragen, sieht Absatz 1 vor, dass die Aufsichtsbehörde den Beauftragten zur Stellungnahme einlädt. Hat der Beauftragte ebenfalls ein Verfahren nach Artikel 43 E‑DSG gegen die selbe Partei eröffnet, müssen sich die Aufsichtsbehörde und der Beauftragte auf zwei Ebenen koordinieren (Abs. 2): Einerseits zur Abklärung, ob die beiden Verfahren parallel geführt werden können oder ob eines der Verfahren suspendiert oder eingestellt werden soll und andererseits für den Inhalt ihres jeweiligen Entscheids, falls die Verfahren parallel geführt werden. Im Fall von Kompetenzkonflikten entscheidet der Bundesrat (Art. 9 Abs. 3 VwVG). Die Koordination muss auf einfache und schnelle Weise sichergestellt werden. Die betroffenen Einheiten müssen über den Ausgang dieser Koordination und die anwendbare Gesetzgebung informiert werden, damit sie möglichst schnell über ihre Rechte und Pflichten im Klaren sind.
3. Abschnitt: Amtshilfe
Art. 54 Amtshilfe zwischen schweizerischen Behörden
1 Bundesbehörden und kantonale Behörden geben dem EDÖB die Informationen und Personendaten bekannt, die für die Erfüllung seiner gesetzlichen Aufgaben erforderlich sind.
2 Der EDÖB gibt den folgenden Behörden die Informationen und Personendaten bekannt, die für die Erfüllung ihrer gesetzlichen Aufgaben erforderlich sind:
Bot Art. 48 Amtshilfe zwischen schweizerischen Behörden (Zählg. gem. Entwurf)
Diese neue Bestimmung regelt die Amtshilfe zwischen dem Beauftragten sowie den Behörden des Bundes und der Kantone. Der derzeit geltende Artikel 31 Absatz 1 Buchstabe c DSG beschränkt sich darauf, den Beauftragten zur Zusammenarbeit mit den Schweizer Datenschutzbehörden zu verpflichten.
In Absatz 1 des neuen Artikels wird der Grundsatz festgelegt, dass die schweizerischen und kantonalen Behörden dem Beauftragten die Informationen und persönlichen Daten mitzuteilen haben, welche für die Erfüllung seiner gesetzlichen Aufgaben erforderlich sind. Es handelt sich um eine Standardbestimmung zur Amtshilfe, die sich auch in vielen anderen Bundesgesetzen findet.
Absatz 2 bestimmt, dass der Beauftragte Informationen und Daten den für den Datenschutz zuständigen kantonalen Behörden (Bst. a), den zuständigen Strafbehörden, falls es um die Anzeige einer Straftat gemäss Artikel 59 Absatz 2 E‑DSG geht (Bst. b), und den Bundesbehörden sowie den kantonalen und kommunalen Polizeibehörden für den Vollzug der Massnahmen gemäss den Artikeln 44 Absatz 2 und 45 E‑DSG (Bst. c) bekannt zu geben hat.
Die in den Absätzen 1 und 2 genannte Bekanntgabe von Informationen kann spontan oder auf Anfrage erfolgen.
Art. 55 Amtshilfe gegenüber ausländischen Behörden
1 Der EDÖB kann mit ausländischen Behörden, die für den Datenschutz zuständig sind, für die Erfüllung ihrer jeweiligen gesetzlich vorgesehenen Aufgaben im Bereich des Datenschutzes Informationen oder Personendaten austauschen, wenn folgende Voraussetzungen erfüllt sind:
2 Um sein Amtshilfegesuch zu begründen oder um dem Ersuchen einer Behörde Folge zu leisten, kann der EDÖB insbesondere folgende Angaben machen:
3 Bevor der EDÖB einer ausländischen Behörde Informationen bekanntgibt, die ein Berufsgeheimnis, Geschäfts- oder Fabrikationsgeheimnisse enthalten können, informiert er die betroffenen natürlichen oder juristischen Personen, die Trägerinnen dieser Geheimnisse sind, und lädt sie zur Stellungnahme ein, es sei denn, dies ist nicht möglich oder erfordert einen unverhältnismässigen Aufwand.
Bot Art. 49 Amtshilfe gegenüber ausländischen Behörden (Zählg. gem. Entwurf)
Diese neue Bestimmung regelt die Amtshilfe zwischen dem Beauftragten und den ausländischen Datenschutzbehörden. Der derzeit geltende Artikel 31 Absatz 1 Buchstabe c DSG beschränkt sich darauf, den Beauftragten zur Zusammenarbeit mit den ausländischen Datenschutzbehörden zu verpflichten.
Die neue Bestimmung überträgt Artikel 50 der Richtlinie (EU) 2016/680 ins Schweizer Recht. Sie erfüllt zudem die Anforderungen von Artikel 15 und 16 E‑SEV 108. Die Verordnung (EU) 2016/679 sieht in Artikel 61 eine analoge Regelung vor.
Der Beauftragte hätte eine Ergänzung der Bestimmung befürwortet, wonach er ermächtigt würde, die Modalitäten der Zusammenarbeit mit den ausländischen Datenschutzbehörden im Rahmen einer Vereinbarung zu regeln. Der Bundesrat zieht es dagegen vor, sich an die Kompetenzdelegation gemäss Artikel 61 E‑DSG zu halten.
Abs. 1 Voraussetzungen
Gemäss dieser Bestimmung kann der Beauftragte unter bestimmten Voraussetzungen (Bst. a – e) mit ausländischen Behörden, die für den Datenschutz zuständig sind, für die Erfüllung ihrer jeweiligen gesetzlich vorgesehenen Aufgaben im Bereich des Datenschutzes Informationen oder Personendaten austauschen.
Nach der ersten Voraussetzung (Bst. a) muss zwischen der Schweiz und dem ausländischen Staat die Gegenseitigkeit der Amtshilfe im Datenschutzbereich sichergestellt sein. Zweitens dürfen die ausgetauschten Informationen und Personendaten nach dem Spezialitätsgrundsatz nur für das fragliche Datenschutzverfahren verwendet werden, das dem Amtshilfeersuchen zugrunde liegt (Bst. b). Wenn die Daten anschliessend in einem Strafverfahren verwendet werden sollen, gelten die Grundsätze der internationalen Rechtshilfe in Strafsachen. Die dritte und die vierte Voraussetzung gewährleisten die Wahrung der Berufsgeheimnisse sowie der Geschäfts- und Fabrikationsgeheimnisse (Bst. c) und verbieten, dass die Informationen und Personendaten ohne vorgängige Genehmigung der Behörde, die sie übermittelt hat, bekannt gegeben werden (Bst. d). Schliesslich muss die empfangende Behörde die Auflagen und Einschränkungen der Behörde einhalten, die ihr die Informationen und Personendaten übermittelt hat (Bst. e).
Der Beauftragte kann das Amtshilfeersuchen einer ausländischen Behörde beispielsweise ablehnen, wenn die Voraussetzungen von Artikel 13 E‑DSG nicht eingehalten sind oder wenn einer der in Artikel 32 Absatz 6 E‑DSG vorgesehenen Gründe einer Bekanntgabe von Personendaten entgegensteht.
Abs. 2 Bekanntgabe von Personendaten
Absatz 2 Buchstaben a – g bestimmt, welche Informationen der Beauftragte der ausländischen Behörde bekannt geben darf, um sein Amtshilfegesuch zu begründen oder dem Ersuchen einer ausländischen Behörde Folge zu leisten. Um die Identität der betroffenen Personen weiterleiten zu dürfen, benötigt der Beauftragte die Einwilligung jeder einzelnen Person (Bst. c). Für die Einwilligung gelten die Anforderungen von Artikel 5 Absatz 6 E‑DSG (Abs. 2 Bst. c Ziff. 1). Ohne Einwilligung darf die Identität nur bekannt gegeben werden, wenn dies für die Erfüllung der gesetzlichen Aufgaben des Beauftragten oder der ausländischen Behörde unentbehrlich ist (Abs. 2 Bst. c Ziff. 2). Diese Voraussetzungen entsprechen jenen nach Artikel 32 Absatz 2 Buchstaben a und b E‑DSG.
Abs. 3 Stellungnahme
Bevor der Beauftragte in einem Amtshilfeverfahren einer ausländischen Behörde, die für den Datenschutz zuständig ist, Informationen bekannt gibt, die Berufs‑, Geschäfts- oder Fabrikationsgeheimnisse enthalten können, informiert er die betroffenen Personen und lädt sie zur Stellungnahme ein. Von dieser Pflicht ist er jedoch entbunden, wenn die Information nicht möglich ist oder einen unverhältnismässigen Aufwanderfordert.
4. Abschnitt: Andere Aufgaben des EDÖB
Art. 56 Register
Der EDÖB führt ein Register der Bearbeitungstätigkeiten der Bundesorgane. Das Register wird veröffentlicht.
Bot Art. 50 Register (Zählg. gem. Entwurf)
Die Bestimmung sieht vor, dass der Beauftragte ein Register der ihm von den Bundesorganen gemeldeten Datenbearbeitungstätigkeiten (Art. 11 Abs. 4) führt. Dieses Register soll wie heute veröffentlicht werden.
Art. 57 Information
1 Der EDÖB erstattet der Bundesversammlung jährlich Bericht über seine Tätigkeit. Er übermittelt ihn gleichzeitig dem Bundesrat. Der Bericht wird veröffentlicht.
2 In Fällen von allgemeinem Interesse informiert der EDÖB die Öffentlichkeit über seine Feststellungen und Verfügungen.
Bot Art. 51 Information (Zählg. gem. Entwurf)
Abgesehen davon, dass der Beauftragte der Bundesversammlung und dem Bundesrat neu jährlich einen Tätigkeitsbericht unterbreiten muss, entspricht Absatz 1 dem geltenden Artikel 30 Absatz 1 DSG.
Absatz 2 verstärkt die aktive Information durch den Beauftragten. Dieser informiert die Öffentlichkeit über seine Feststellungen und Verfügungen, wenn ein allgemeines öffentliches Interesse dafür besteht. Artikel 30 Absatz 2 zweiter Satz DSG wird aufgehoben. Als unabhängige Instanz muss der Beauftragte selbst bestimmen können, worüber er die Öffentlichkeit informiert. Daten müssen anonymisiert werden, es sei denn, es besteht ein überwiegendes öffentliches Interesse an deren Bekanntgabe (Art. 32 Abs. 3 und 5 E‑DSG). Zudem gelten die Voraussetzungen von Artikel 32 Absatz 6E-DSG.
Die Pflicht der Aufsichtsbehörde zur Erstellung eines Tätigkeitsberichts ist in Artikel 49 der Richtlinie (EU) 2016/680 und in Artikel 12 Absatz 5E‑SEV 108 vorgesehen. Die Verordnung (EU) 2016/679 enthält in Artikel 59 eine analoge Regelung.
Art. 58 Weitere Aufgaben
1 Der EDÖB nimmt darüber hinaus insbesondere folgende Aufgaben wahr:
Dezember 2004 oder andere Bundesgesetze übertragenen Aufgaben wahr.
2 Er kann auch Bundesorgane beraten, die gemäss den Artikeln 2 und 4 nicht seiner Aufsicht unterstehen. Die Bundesorgane können ihm Akteneinsicht gewähren.
3 Der EDÖB ist befugt, gegenüber den ausländischen Behörden, die für den Datenschutz zuständig sind, zu erklären, dass im Bereich des Datenschutzes in der Schweiz die direkte Zustellung zulässig ist, sofern der Schweiz Gegenrecht gewährt wird.
Bot Art. 52 Weitere Aufgaben (Zählg. gem. Entwurf)
Um Artikel 46 Absatz 1 Buchstaben d und e der Richtlinie (EU) 2016/680 umzusetzen, wird die Liste der Kompetenzen des Beauftragten gegenüber dem geltenden Recht (Art. 31 DSG) ergänzt. Die neuen Aufgaben entsprechen zudem den Anforderungen von Artikel 12Ziffer 2 Buchstabe e E‑SEV 108. Nach Absatz 1 hat der Beauftragte insbesondere die Aufgabe, die Bundesorgane sowie private Personen in Datenschutzfragen zu informieren, zu schulen und zu beraten. Hierzu gehören auch entsprechende Informationsveranstaltungen oder Weiterbildungen, namentlich für Verantwortliche im öffentlichen Sektor (Bst. a). Eine weitere Aufgabe besteht darin, die Öffentlichkeit, insbesondere schutzbedürftige Personen wie Minderjährige oder ältere Menschen, für den Datenschutz zu sensibilisieren (Bst. c). Ausserdem erteilt er auf Anfrage den betroffenen Personen Auskunft, wie sie ihre Rechte ausüben können (Bst. d).
Gemäss Buchstabe e muss der Beauftragte zu sämtlichen Vorlagen über Erlasse und Massnahmen des Bundes, welche die Datenbearbeitung betreffen, konsultiert werden und nicht nur zu jenen, welche den Datenschutz in erheblichem Masse betreffen. Diese Änderung entspricht der aktuellen Praxis.
In Buchstabe g ist vorgesehen, dass der Beauftragte ausserdem Leitfäden und Arbeitsinstrumente zuhanden der Verantwortlichen, Auftragsbearbeiter und betroffenen Personen erarbeitet. Diese Aufgabe nimmt er heute bereits im Rahmen seiner Beratungstätigkeit wahr (Art. 28, 30 und 31 DSG). Es wird ferner präzisiert, dass er die Besonderheiten der einzelnen Datenbearbeitungsbereiche berücksichtigt sowie das erhöhte Schutzbedürfnis besonders verletzlicher Personen wie Minderjähriger, Behinderter oder älterer Menschen.
Absatz 2 entspricht Artikel 31 Absatz 2 DSG.
Aufhebung von Art. 33 DSG
Diese Bestimmung kann aufgehoben werden. Absatz 1, wonach der Rechtsschutz sich nach den allgemeinen Bestimmungen über die Bundesrechtspflege richtet, hat lediglich deklaratorische Bedeutung. Absatz 2 wiederum ist aufgrund von Artikel 44 Absatz 2 E‑DSG überflüssig.
5. Abschnitt: Gebühren
Art. 59
1 Der EDÖB erhebt von privaten Personen Gebühren für:
2 Der Bundesrat legt die Höhe der Gebühren fest.
3 Er kann festlegen, in welchen Fällen es möglich ist, auf die Erhebung einer Gebühr zu verzichten oder sie zu reduzieren.
Bot Art. 53 (Zählg. gem. Entwurf)
Nach Artikel 33 Absatz 1 VDSG wird für die Gutachten des Beauftragten für private Personen eine Gebühr erhoben. Die Bestimmungen der Allgemeinen Gebührenverordnung vom 8. September 2004 (AllgGebV) sind anwendbar.
Gemäss Absatz 1 wird auf Gesetzesstufe der Grundsatz verankert, wonach der Beauftragte für bestimmte Dienstleistungen gegenüber privaten Personen eine Gebühr erheben muss. Darunter fallen die Stellungnahme zu einem Verhaltenskodex (Bst. a), die Genehmigung von Standarddatenschutzklauseln und verbindlichen unternehmensinternen Datenschutzvorschriften (Bst. b), die Konsultation aufgrund einer Datenschutz-Folgenabschätzung (Bst. c), die Massnahmen nach Artikel 44 Absatz 2 und 45 E‑DSG (Bst. d) sowie Beratungen in Fragen des Datenschutzes (Bst. e). Im Umkehrschluss ergibt sich aus Absatz 1, dass für eine Untersuchung, die ohne Anordnung von vorsorglichen Massnahmen oder Verwaltungsmassnahmen abgeschlossen wird, keine Gebühr erhobenwird.
In Absatz 2 wird der Bundesrat beauftragt, die Höhe der Gebühren zu bestimmen. Entsprechend den Anforderungen von Artikel 46a Absatz 1 RVOG darf er ausschliesslich für die Verrichtungen nach Artikel 53 Absatz 1 E‑DSG Gebühren erheben. Zudem muss er die Höhe der Gebühren so festlegen, dass sie die Kosten für die Verrichtungen decken (Kostendeckungsprinzip). Es ist also nicht vorgesehen, die gesamte Tätigkeit des Beauftragten durch Gebühren zu finanzieren. Es sollen ausschliesslich die Kosten für die Verrichtungen nach Absatz 1 gedeckt werden. Bei der Regelung des Tarifs kann der Bundesrat je nach Dienstleistung einen Pauschaltarif oder einen Stundenansatz festlegen.
Nach Absatz 3 kann der Bundesrat darüber hinaus die Fälle festlegen, in denen es möglich ist, auf die Erhebung einer Gebühr zu verzichten oder sie zu reduzieren. So kann auf eine Gebührenerhebung beispielsweise verzichtet werden, wenn an der Dienstleistung ein überwiegendes öffentliches Interesse besteht und sie zur Beachtung des Datenschutzes beiträgt. Artikel 3 Absatz 2 Buchstabe a AllgGebV enthält eine ähnliche Lösung. Der Beauftragte kann die Gebühr auch stunden, herabsetzen oder erlassen, wenn es sich beim Verantwortlichen oder Auftragsbearbeiter um eine natürliche Person oder ein kleines oder mittleres Unternehmen handelt.
Gebühren werden nur gegenüber privaten Personen erhoben. In Bezug auf die Beratung der Kantonsbehörden ist Artikel 3 Absatz 1 AllgGebV anwendbar: Die Bundesverwaltung erhebt keine Gebühren von interkantonalen Organen, Kantonen und Gemeinden, soweit diese Gegenrecht gewähren. Die Dienstleistungen für Organe des Bundes und der Kantone werden kostenlos erbracht.
Aufgrund zahlreicher kritischer Stellungnahmen zum Vorentwurf hat der Bundesrat die Strafbestimmungen grundlegend überarbeitet.
In der Vernehmlassung wurde (unter Hinweis auf die Verordnung [EU] 2016/679) die Einführung von finanziellen Verwaltungssanktionen gefordert. Finanzielle Verwaltungssanktionen mit strafendem Charakter sind in der Schweiz aber eine Ausnahme. Sie gehören klassischerweise in Bereiche, in denen Unternehmen einer verwaltungsrechtlichen Aufsicht unterstehen, weil sie eine wirtschaftliche Aktivität ausüben, für die sie eine Konzession oder Bewilligung benötigen oder für die sie staatliche Subventionen erhalten (z. B. im Postwesen oder für Geldspiele). Sie wurden ausserdem im Kartellrecht eingeführt, als es im StGB noch keine Unternehmensstrafbarkeit gab. Solche finanziellen Verwaltungssanktionen haben Strafcharakter, weshalb gewisse strafprozessuale Garantien einzuhalten sind. Das grundsätzlich anwendbare Verwaltungsverfahren regelt diese Fragen jedoch nicht. Es geht bei solchen Sanktionen zudem um eine direkte Zurechnung fremden Verschuldens an ein Unternehmen. Dies hat der Gesetzgeber mit der Unternehmensstrafbarkeit nach Artikel 102 StGB aber abgelehnt: Die Verantwortlichkeit nach Artikel 102 StGB ist keine Kausal- oder Gefährdungshaftung, sondern verlangt ein spezifisches Organisationsverschulden. Mit der Einführung von pönalen Verwaltungssanktionen im DSG würde dieser strafrechtliche Grundsatzentscheid durch die Hintertür des Verwaltungsrechts stark relativiert.
Im Bereich des Datenschutzes wären solche Verwaltungssanktionen zudem besonders heikel. Der persönliche Geltungsbereich des DSG ist deutlich breiter als derjenige von Gesetzen in Bereichen, in denen klassischerweise finanzielle Verwaltungssanktionen zu finden sind und in denen die wirtschaftliche Tätigkeit durch Unternehmen ausgeübt wird. Das DSG richtet sich zwar auch an Grossunternehmen, erfasst aber ebenso KMU und natürliche Personen. Weil kein kodifiziertes Prozessrecht für Verwaltungssanktionen mit pönalem Charakter existiert, bestünde unter anderem die Gefahr, dass die verfahrensrechtliche Stellung von natürlichen Personen ausgehöhlt würde. Dies gilt insbesondere, weil zwischen juristischen und natürlichen Personen im Nebenstrafrecht verfahrensrechtliche Unterschiede bestehen. Zusammenfassend würde die Einführung von finanziellen Verwaltungssanktionen im DSG damit eine grosse Rechtsunsicherheit erzeugen, was (nicht nur im Bereich des Datenschutzes) kaum vertretbar ist.
Der Bundesrat will deshalb an etablierte Strukturen mit gefestigter Praxis anknüpfen. In der Schweiz wird die Einhaltung grundlegender verwaltungsrechtlicher Pflichten mit dem Verwaltungsstrafrecht bzw. dem Nebenstrafrecht sichergestellt. Normadressaten sind natürliche Personen. Obschon die verwaltungsrechtliche Pflicht dem Unternehmen obliegt, wird ihre Verletzung den Leitungspersonen zugerechnet (vgl. Art. 29 StGB und Art. 6 VStR). Die in der Vernehmlassung geäusserte Sorge, dass jeder beliebige Angestellte eines Unternehmens bestraft werden könnte, erweist sich deshalb als unbegründet. Die Sanktionierung mit strafrechtlichen Mitteln bedeutet auch, dass Gewinne, die aus DSG-Straftaten stammen, und Deliktswerkzeuge somit nach den Bestimmungen des StGB eingezogen werden können (Art. 69 ff. StGB). Der Beauftragte soll zudem nicht strafrechtliche Sanktionen aussprechen, weil sonst die Organisation des Beauftragten grundlegend verändert und deutlich ausgebaut werden müsste. Der Bundesrat zieht daher das bestehende Strafverfolgungssystemvor.
Das strafrechtliche Dispositiv des DSG muss im Vergleich zum geltenden Recht verstärkt werden. Die Sanktionen müssen abschreckend sein, wie vom E‑SEV 108 (Art. 10) und der Richtlinie (EU) 2016/680 (Art. 57) verlangt. Ein zu mildes Strafsystem kann zur Folge haben, dass die EU die schweizerische Regelung als nicht mehr angemessen erachtet. Das vorgeschlagene Sanktionensystem sieht in den Grundzügen nun wie folgt aus:
- Auf die Pönalisierung von fahrlässigen Pflichtverletzungen wird in Übereinstimmung mit den jüngsten Entscheiden des Parlaments verzichtet (vgl. z. B. den Entwurf zum Geldspielgesetz). Der Beauftragte hätte dagegen bevorzugt, dass auch die Fahrlässigkeit strafbarwäre.
- Die verwaltungsrechtlichen Pflichten wurden konkretisiert und die Pönalisierung auf wesentliche Pflichtenbeschränkt.
- Zur Kompensation erhält der Beauftragte die Kompetenz, die Einhaltung der DSG-Pflichten zu verfügen und mit einer Ungehorsams-Strafdrohung zu verbinden. Dieses Modell ist im Nebenstrafrecht weit verbreitet (z. B. im Bundesgesetz vom 22. Juni 2007 über die Eidgenössische Finanzmarktaufsicht [FINMAG]) und entspricht dem Mechanismus von Artikel 292 StGB. Falls erforderlich, kann sich der Beauftragte in kantonalen Strafverfahren als Privatklägerbeteiligen.
- Die Bussenobergrenze wird vom Bundesrat auf maximal 250 000 Franken festgelegt. Die Erhöhung erfolgt insbesondere um das schweizerische Recht der Verordnung (EU) 2016/679 anzunähern. Es wäre jedoch fragwürdig, die Bussenobergrenze gegen natürliche Personen noch höher anzusetzen mit der Begründung, Unternehmen würden durch tiefe Bussen nicht abgeschreckt. Die Strafbestimmungen des E‑DSG richten sich primär an natürliche Personen, hier insb. an Leitungspersonen (vgl. Artikel 29 StGB und Artikel 6 VStrR). Es ist anzumerken, dass etwa im FINMAG fahrlässige Pflichtverletzungen mit Busse bis zu 250 000 Franken bedroht sind (Art. 44 ff. FINMAG), das Missachten einer Verfügung jedoch mit Busse bis zu 100 000 Franken (Art. 48 FINMAG). Der Beauftragte ist dagegen der Ansicht, die Bussen seien nicht ausreichend abschreckend, namentlich was deren Höhebetrifft.
- Die Verletzung der beruflichen Schweigepflicht ist wie bisher eine Übertretung.
- Soweit Daten durch ein Unternehmen bearbeitet werden, obliegen die aus dem DSG abgeleiteten Pflichten in der Regel dessen Leitungspersonen. Diese sind gesetzlich verpflichtet, die Einhaltung dieser Pflichten im Unternehmen sicherzustellen. Die Verletzung von Pflichten oder der Ungehorsam gegen eine Verfügung des Beauftragten, die sich an das Unternehmen richtet, werden daher in Anwendung von Art. 29 StGB und Art. 6 VStR den Leitungspersonen im Unternehmen und nicht den bloss ausführenden Mitarbeitern angelastet.
- Soweit die Busse 50 000 Franken nicht übersteigt, können Unternehmen in Anwendung von Art. 7 VStrR direkt gebüsst werden. Dies trägt auch der in der Vernehmlassung vorgebrachten Kritik Rechnung.
8. Kapitel: Strafbestimmungen
Art. 60 Verletzung von Informations‑, Auskunfts- und Mitwirkungspflichten
1 Mit Busse bis zu 250 000 Franken werden private Personen auf Antrag bestraft:
2 Mit Busse bis zu 250 000 Franken werden private Personen bestraft, die unter Verstoss gegen Artikel 49 Absatz 3 dem EDÖB im Rahmen einer Untersuchung vorsätzlich falsche Auskünfte erteilen oder vorsätzlich die Mitwirkung verweigern.
Bot Art. 54 Verletzung von Informations‑, Auskunfts- und Mitwirkungspflichten (Zählg. gem. Entwurf)
Artikel 54 E‑DSG übernimmt Artikel 34 DSG, mit Ausnahme von Artikel 34 Absatz 2 Buchstabe a DSG, weil die dort geregelten Pflichten im E‑DSG nicht mehr enthalten sind. Im Gegenzug bezieht sich die Norm aber auch auf die neue Informationspflicht bei einer automatisierten Einzelentscheidung (Art. 19 E‑DSG).
Absatz 1 Buchstabe a umfasst das vorsätzliche Erteilen einer falschen Auskunft, aber auch das vorsätzliche Erteilen einer unvollständigen Auskunft, während der Eindruck erweckt wird, dass die Auskunft vollständig sei. Das gänzliche Verweigern einer Auskunft ist dagegen nicht nach Buchstabe a, sondern gegebenenfalls nach Buchstabe b strafbar. Die private Person, welche wahrheitswidrig vorgibt, über keine Informationen zur betroffenen Person zu verfügen, macht sich indessen nach Absatz 1 Buchstabe a strafbar.
Absatz 1 Buchstabe b kommt in Fällen zur Anwendung, in welchen eine private Person es vollständig unterlässt, die betroffene Person nach den Artikeln 17 Absatz 1 und 19 Absatz 1 zu informieren oder ihr die Angaben nach Artikel 17 Absatz 2 zu liefern. Nicht strafbar ist dagegen die private Person welche unter Berufung auf Artikel 18 oder 25 behauptet, dass sie nicht zur Information verpflichtet sei. In einem solchen Fall weiss die betroffene Person nämlich, dass eine Datenbearbeitung stattfindet. Sie ist deshalb in der Lage, ihre Rechte geltend zu machen und ein zivilrechtliches Verfahren einzuleiten, in welchem darüber entschieden werden kann, ob die Verweigerung oder Einschränkung des Auskunftsrechts oder der Informationspflicht gerechtfertigt ist. Absatz 2 übernimmt Art. 34 Absatz 2 Buchstabe b DSG, welcher das Erteilen falscher Auskünfte oder die Verweigerung der Mitwirkung im Rahmen einer Untersuchung des Beauftragten für strafbar erklärt.
Die Verletzung dieser Pflichten soll weiterhin eine Übertretung sein, aber die dafür vorgesehene Bussenobergrenze ist deutlich anzuheben und auf 250 000 Franken zu erhöhen. Die tatsächliche Strafe wird unter Berücksichtigung der wirtschaftlichen Lage des Täters (Art. 106 Abs. 3 StGB in Verbindung mit Art. 47 StGB) festgelegt. In Bagatellfällen kann anstelle der verantwortlichen Person das Unternehmen zur Bezahlung der Busse verurteilt werden. Ferner kann gemäss Artikel 52 StGB bei geringfügigen Fällen von einer Strafverfolgung oder Bestrafung abgesehen werden.
Art. 61 Verletzung von Sorgfaltspflichten
Mit Busse bis zu 250 000 Franken werden private Personen auf Antrag bestraft, die vorsätzlich:
Bot Art. 55 Verletzung von Sorgfaltspflichten (Zählg. gem. Entwurf)
Diese Bestimmung ist neu. Sie ist notwendig, weil der E‑DSG neue elementare Pflichten vorsieht, die von den geltenden Strafbestimmungen nicht abgedeckt werden. Ein wirksamer Schutz der Persönlichkeit der betroffenen Personen ist dann möglich, wenn die Verantwortlichen und die Auftragsbearbeiter ihren Pflichten gerecht werden. Um sie zur Einhaltung des DSG anzuhalten, schlägt der Bundesrat diese Ergänzung der Strafbestimmungen vor.
Die Bestimmung dürfte sich ihrer Natur nach primär an Personen mit Weisungsbefugnissen richten, weil die Entscheidkompetenz für die Erfüllung dieser Pflichten eine Leitungsaufgabe ist (vgl. auch Art. 29 StGB).
Art. 62 Verletzung der beruflichen Schweigepflicht
1 Wer geheime Personendaten vorsätzlich offenbart, von denen sie oder er bei der Ausübung ihres oder seines Berufes, der die Kenntnis solcher Daten erfordert, Kenntnis erlangt hat, wird auf Antrag mit Busse bis zu 250 000 Franken bestraft.
2 Gleich wird bestraft, wer vorsätzlich geheime Personendaten offenbart, von denen sie oder er bei der Tätigkeit für eine geheimhaltungspflichtige Person oder während der Ausbildung bei dieser Kenntnis erlangt hat.
3 Das Offenbaren geheimer Personendaten ist auch nach Beendigung der Berufsausübung oder der Ausbildung strafbar.
Bot Art. 56 Verletzung der beruflichen Schweigepflicht (Zählg. gem. Entwurf)
Seit Inkrafttreten des DSG hat sich die Informations- und Kommunikationstechnologie immens weiter entwickelt und deren Bedeutung hat markant zugenommen. Nicht zuletzt aufgrund der massenhaften Verbreitung von Smartphones werden immer mehr Daten von immer mehr Menschen auf immer mehr Systemen gespeichert und bearbeitet. Vor diesem Hintergrund ist es angezeigt, den Geheimnisschutz auf alle Arten von Personendaten auszudehnen. Massgebend ist, dass es sich um geheime Daten handelt. Dies entspricht Artikel 320 und 321 StGB, die ebenfalls alleine darauf abstellen, ob die fragliche Information geheim ist oder nicht. Es gilt somit der materielle Geheimnisbegriff des Strafrechts. Ein strafrechtlich geschütztes Geheimnis liegt dann vor, wenn die Tatsache nicht allgemein bekannt oder zugänglich ist, wenn der Geheimnisherr ein schutzwürdiges Interesse an der beschränkten Bekanntheit hat und er auch den Willen dazu hat. Nicht jede Offenbarung von Personendaten erfüllt damit diesen Tatbestand. Der Begriff “offenbaren” entspricht demjenigen bei Artikeln 320 und 321 StGB und schafft hinsichtlich der Tathandlung Kohärenz. Mit Artikel 56 werden Lücken geschlossen, die durch den eingeschränkten Täterkreis der Artikel 320 und 321 StGB (Sonderdelikte) entstehen. Artikel 56 E‑DSG sieht deshalb eine Schweigepflicht auch für Personen vor, die nicht unter Artikel 320 oder 321 StGB fallen. Die Verletzung der beruflichen Schweigepflicht ist eine Übertretung (Antragsdelikt) und wird mit einer Busse von bis zu 250 000 Franken bestraft.
Absatz 2 erweitert die Strafbarkeit auf Hilfspersonen (Auftragsdatenbearbeiter) und Auszubildende. Die Erweiterung entspricht dem geltenden DSG und in der Sache auch der Regelung in Artikel 321 StGB (“Hilfspersonen”). Der Bundesrat hat dem Parlament mit der Verabschiedung der Botschaft zum Informationssicherheitsgesetzeine entsprechende Änderung von Artikel 320 StGB vorgeschlagen.
Die Offenbarung kann durch die Einwilligung des Berechtigten gerechtfertigt sein. Die allgemeinen Regeln und die im Rahmen von Artikel 321 Ziffer 2 StGB von Rechtsprechung und Dogmatik entwickelten Grundsätze gelten sinngemäss.
In der Praxis können sich Konkurrenzfragen insb. hinsichtlich Artikel 320 StGB (Bundesbeamte) und Art. 321 StGB (Anwälte, Ärzte etc.) stellen. Allerdings ist dies bereits im aktuellen Recht der Fall, weshalb dieser Umstand keine besonderen Probleme bieten sollte.
Art. 63 Missachten von Verfügungen
Bot Art. 57 Missachten von Verfügungen (Zählg. gem. Entwurf)
Artikel 57 hat der Bundesrat nach der Vernehmlassung neu eingefügt. Analoge Bestimmungen sind im Nebenstrafrecht des Bundes weit verbreitet. Der Artikel dient einerseits als Kompensation für den Wegfall von zahlreichen Strafbestimmungen im Vergleich zum VE-DSG. Andererseits werden mit dieser Bestimmung die Fragen in Bezug auf den Grundsatz nulla poena sine lege, wie sie in der Vernehmlassung häufig vorgebracht wurden, berücksichtigt. Dieselben Fragen hätten sich auch im Zusammenhang mit Verwaltungssanktionen gestellt, weil diese strafrechtlichen Charakter haben. Die vorliegende Lösung erlaubt es, die entsprechenden Bestimmungen des E‑DSG weiterhin in einer hinreichend allgemeinen Form auszugestalten, ohne zugleich in Konflikt mit den strafrechtlichen Anforderungen an die Präzision einer gesetzlichen Regelung zu geraten. Ausserdem erleichtert dieses Modell die Arbeit der zuständigen Strafverfolgungsbehörden und trägt damit den Bedenken Rechnung, die in der Vernehmlassung teilweise geäussert wurden.
Der Beauftragte hat mit Artikel 57 E‑DSG die Möglichkeit, die Einhaltung von Pflichten nach dem E‑DSG zu verfügen (siehe Art. 45 Abs. 3 E‑DSG) und mit einer Strafandrohung zu verbinden. Ein Vorteil dieses Modells ist, dass die Pflicht in der Verfügung soweit konkretisiert werden kann, dass für den Adressaten kein Zweifel besteht, was er zu tun oder zu lassen hat. Dies erleichtert auch die Arbeit der kantonalen Strafverfolgungsbehörde, die im Falle der Missachtung auf Anzeige des Beauftragten hin den Sachverhalt ermitteln und ein Urteil fällen bzw. einen Strafbefehl erlassen muss.
Wenn sich die Verfügung des Beauftragten an ein Unternehmen richtet, tritt die Strafbarkeit kraft Artikel 29 StGB bei einer Leitungsperson ein: Die strafbegründende Pflicht, die dem Unternehmen obliegt, wird der natürlichen Person zugerechnet. Dies trägt auch der in der Vernehmlassung teilweise vorgebrachten Kritik Rechnung.
Art. 64 Widerhandlungen in Geschäftsbetrieben
1 Für Widerhandlungen in Geschäftsbetrieben sind die Artikel 6 und 7 des Bundesgesetzes vom 22. März 1974 über das Verwaltungsstrafrecht (VStrR) anwendbar.
2 Fällt eine Busse von höchstens 50 000 Franken in Betracht und würde die Ermittlung der nach Artikel 6 VStrR strafbaren Personen Untersuchungsmassnahmen bedingen, die im Hinblick auf die verwirkte Strafe unverhältnismässig wären, so kann die Behörde von einer Verfolgung dieser Personen absehen und an ihrer Stelle den Geschäftsbetrieb (Art. 7 VStrR) zur Bezahlung der Busse verurteilen.
Bot Art. 58 Widerhandlungen in Geschäftsbetrieben (Zählg. gem. Entwurf)
Mit Artikel 58 werden Artikel 6 und 7 des Bundesgesetzes vom 22. März 1974 über das Verwaltungsstrafrecht (VStrR) übernommen. Eine ausdrückliche Verweisung ist erforderlich, weil das VStrR in der Sache grundsätzlich nicht anwendbar ist.
Artikel 6 Absatz 2 VStrR ermöglicht die Geschäftsherrenhaftung auch im Bereich des DSG. Die Pflichten des DSG dürften sich nämlich regelmässig an den Geschäftsherrn richten. Artikel 6 Absatz 2 VStrR erfüllt damit eine ähnliche Funktion wie Artikel 29 StGB und adressiert eine strafrechtliche Verantwortung an die Leitungsebene des Unternehmens, also an Führungspersonen, die Entscheidungs- und Weisungsbefugnisse haben. Dies ermöglicht eine sachgerechte Zuweisung der strafrechtlichen Verantwortung in Unternehmen.
Der Bussenbetrag, bis zu dessen Obergrenze es möglich ist, nach Artikel 7 VStrR ein Unternehmen an Stelle einer natürlichen Person zur Bezahlung einer Busse zu verurteilen, wird auf 50000 Franken erhöht. Diese Anpassung ist erforderlich, weil die Bussenobergrenze im DSG nicht bei 10 000 Franken liegt (Art. 106 Abs. 1 StGB), sondern bei 250 000 Franken.
Art. 65 Zuständigkeit
1 Die Verfolgung und die Beurteilung strafbarer Handlungen obliegen den Kantonen.
2 Der EDÖB kann bei der zuständigen Strafverfolgungsbehörde Anzeige erstatten und im Verfahren die Rechte einer Privatklägerschaft wahrnehmen.
Bot Art. 59 Zuständigkeit (Zählg. gem. Entwurf)
Die Verfolgung und Beurteilung der strafbaren Handlungen obliegt wie heute grundsätzlich den Kantonen.
Der Beauftragte hat ein Anzeigerecht und kann sich im kantonalen Strafverfahren als Privatkläger beteiligen (Art. 118 ff. StPO). Er kann somit Einstellungsverfügungen anfechten und Rechtsmittel gegen kantonale Urteile ergreifen, wenn dies im Interesse einer einheitlichen Anwendung des DSG geboten scheint. Gegen Strafbefehle und das Strafmass kann er hingegen kein Rechtsmittel ergreifen, was hinsichtlich seiner Aufgaben aber auch nicht erforderlich scheint.
Art. 66 Verfolgungsverjährung
Die Strafverfolgung verjährt nach fünf Jahren.
Bot Art. 60 Verfolgungsverjährung (Zählg. gem. Entwurf)
Die Verjährungsfrist für Übertretungen beträgt nach Artikel 109 StGB drei Jahre. Datenschutzuntersuchungen erfordern technologisches Wissen und können aufwendig sein. Damit Strafverfahren im Datenschutzbereich somit nicht an zu kurzen Verjährungsfristen scheitern, sieht der Bundesrat eine Erhöhung auf fünf Jahre vor.
9. Kapitel: Abschluss von Staatsverträgen
Art. 67
Der Bundesrat kann Staatsverträge abschliessen betreffend:
Bot Art. 61 (Zählg. gem. Entwurf)
Diese Bestimmung ersetzt Artikel 36 Absatz 5 DSG, der unter Berücksichtigung der geltenden Grundsätze in Bezug auf die Kompetenzdelegation zu unbestimmt ist. Gemäss Artikel 61 E‑DSG kann der Bundesrat in zwei Fällen Staatsverträge mit einem oder mehreren Völkerrechtssubjekten (Staat, internationale Organisation) abschliessen. Nach Buchstabe a kann der Bundesrat Staatsverträge abschliessen, welche die internationale Zusammenarbeit zwischen Datenschutzbehörden betreffen. Diese Bestimmung bezieht sich etwa auf Kooperationsabkommen nach dem Modell des Abkommens vom 17. Mai 2013 zwischen der Schweizerischen Eidgenossenschaft und der Europäischen Union über die Zusammenarbeit bei der Anwendung ihres Wettbewerbsrechts. Nach Buchstabe b kann der Bundesrat ausserdem Staatsverträge über die gegenseitige Anerkennung eines angemessenen Schutzniveaus für die grenzüberschreitende Bekanntgabe von Daten abschliessen.
Die übrigen Absätze von Artikel 36 DSG werden aufgehoben. Die Absätze 1 und 4 sind insofern überflüssig, als die Praxis, ausdrücklich festzuhalten, dass der Bundesrat Ausführungsbestimmungen erlassen muss, aufgegeben wurde. Absatz 3, wonach der Bundesrat für die Auskunftserteilung durch diplomatische und konsularische Vertretungen der Schweiz im Ausland Abweichungen von den Artikeln 8 und 9 vorsehen kann, kann ebenfalls aufgehoben werden. Absatz 6 wiederum ist obsolet, da der Bundesrat seine Kompetenz, zu regeln, wie Datensammlungen zu sichern sind, deren Daten im Kriegs- oder Krisenfall zu einer Gefährdung von Leib und Leben der betroffenen Personen führen können, nie wahrgenommen hat.
Aufhebung von Art. 37 DSG
Die Vernehmlassung hat ergeben, dass Artikel 37 DSG überflüssig ist und aufgehoben werden muss. Heute verfügen sämtliche Kantone über Datenschutzvorschriften, die im Hinblick auf die Anforderungen des Übereinkommens SEV 108 und des entsprechenden Zusatzprotokolls einen angemessenen Schutz gewährleisten.
10. Kapitel: Schlussbestimmungen
Art. 68 Aufhebung und Änderung anderer Erlasse
Die Aufhebung und die Änderung anderer Erlasse werden im Anhang 1 geregelt.
Bot Art. 62 Aufhebung und Änderung anderer Erlasse (Zählg. gem. Entwurf)
Die Aufhebung und Änderung anderer Erlasse wird unter Ziffer 9.2 kommentiert.
Art. 69 Übergangsbestimmungen betreffend laufende Bearbeitungen
Bot Art. 64 Übergangsbestimmungen betreffend Bearbeitungen (Zählg. gem. Entwurf)
Artikel 64 enthält verschiedene Übergangsregeln betreffend Bearbeitungen.
Abs. 1
Absatz 1 betrifft Datenbearbeitungen, die im Zeitpunkt des Inkrafttretens dieses Gesetzes abgeschlossen sind. Hierbei handelt es sich um Datenbearbeitungen, die vollständig nach altem Recht erfolgt sind und die nach dem Inkrafttreten auch nicht mehr fortdauern. Solche Bearbeitungen richten sich weiterhin vollständig nach dem bisherigen Recht. So können beispielsweise abgeschlossene Bearbeitungen, die nach bisherigem Recht rechtmässig sind, nicht durch Inkrafttreten des neuen Rechts widerrechtlich werden. Dies gilt jedoch nicht für das Auskunftsrecht (Art. 23 – 25); nach Inkrafttreten des neuen Rechts richtet sich dieses ausschliesslich nach neuem Recht, und zwar auch bezüglich Daten und Datenbearbeitungen, die vollständig nach altem Recht erfolgt sind.
Abs. 2
Absatz 2 betrifft Datenbearbeitungen, die nach bisherigem Recht begonnen wurden und nach Inkrafttreten des Gesetzes fortdauern, bei denen aber das neue Recht die Voraussetzungen verschärft hat. Zu denken ist beispielsweise an den Fall, dass nach neuem Recht eine Persönlichkeitsverletzung vorliegt, weil die Anforderungen an den Rechtfertigungsgrund geändert wurden. Solche Bearbeitungen dürfen grundsätzlich während 2 Jahren ohne weitere Anpassungen fortgeführt werden. In dieser Zeit muss der Verantwortliche dafür sorgen, dass diese Bearbeitungen in einen rechtmässigen Zustand nach neuem Recht übergeführt werden.
Absatz 2 betrifft dabei nicht die Pflichten nach den Artikeln 6, 20 und 21, die durch den Absatz 3 erfasst werden.
Abs. 3
Absatz 3 betrifft Datenbearbeitungen, die nach bisherigem Recht begonnen wurden und nach Inkrafttreten des Gesetzes fortdauern. Für solche Bearbeitungen gelten die Artikel 6, 20 und 21 nicht, wenn der Bearbeitungszweck unverändert bleibt und keine neuen Daten beschafft werden. In diesem Fall dürfen die Bearbeitungen weitergeführt werden, ohne dass sie den Anforderungen von Artikel 6 genügen. Ebenfalls muss für diese Bearbeitungen nicht nachträglich eine Datenschutz-Folgeabschätzung erstellt werden. Diese Regelung liegt insbesondere darin begründet, dass die Pflichten in Artikel 6 und 20 f. primär im Vorfeld einer Datenbearbeitung zu erfüllen sind. Die Verantwortlichen sollen nicht dazu verpflichtet werden, diese Pflichten nachträglich und damit rückwirkend zu erfüllen.
Sind die Voraussetzungen von Absatz 3 nicht erfüllt, gelten die Pflichten nach Artikel 6, 20 und 21 auch für Bearbeitungen, die nach bisherigem Recht begonnen wurden und nach Inkrafttreten des Gesetzes fortdauern. Mit Ausnahme des Anwendungsbereichs der Richtlinie (EU) 2016/680 treten diese Bestimmungen allerdings erst zwei Jahre nach Inkrafttreten des Gesetzes in Kraft, sodass eine zweijährige Übergangsfrist besteht, um diese Pflichten zu erfüllen.
Abs. 4
Absatz 4 betrifft alle Datenbearbeitungen, die nicht unter die Absätze 1 bis 3 fallen. Dazu gehören insbesondere Datenbearbeitungen, die erst nach Inkrafttreten des Gesetzes begonnen wurden, aber auch solche, die sowohl nach bisherigem als auch nach neuem Recht rechtmässig sind. Für diese Datenbearbeitungen gilt das neue Recht ab dem Zeitpunkt des Inkrafttretens der fraglichen Bestimmungen.
Art. 70 Übergangsbestimmung betreffend laufende Verfahren
Dieses Gesetz gilt nicht für Untersuchungen des EDÖB, die im Zeitpunkt des Inkrafttretens hängig sind; es ist ebenfalls nicht anwendbar auf hängige Beschwerden gegen erstinstanzliche Entscheide, die vor seinem Inkrafttreten ergangen sind. Diese Fälle unterstehen dem bisherigen Recht.
Bot Art. 65 Übergangsbestimmung betreffend laufende Verfahren (Zählg. gem. Entwurf)
Zur Gewährleistung der Rechtssicherheit und Einhaltung des Grundsatzes von Treu und Glauben schreibt diese Bestimmung vor, dass Untersuchungen des Beauftragten, die im Zeitpunkt des Inkrafttretens des künftigen DSG hängig sind, sowie Beschwerden gegen hängige erstinstanzliche Entscheide dem bisherigen Recht unterstehen. Dies betrifft sowohl die materiellen Datenschutzvorschriften als auch die Befugnisse des Beauftragten und die weiteren anwendbaren Verfahrensvorschriften.
Art. 71 Übergangsbestimmung betreffend Daten juristischer Personen
Für Bundesorgane finden Vorschriften in anderen Bundeserlassen, die sich auf Personendaten beziehen, während fünf Jahren nach Inkrafttreten dieses Gesetzes weiter Anwendung auf Daten juristischer Personen. Insbesondere können Bundesorgane während fünf Jahren nach Inkrafttreten dieses Gesetzes Daten juristischer Personen nach Artikel 57s Absätze 1 und 2 des Regierungs- und Verwaltungsorganisationsgesetzes vom 21. März 1997 weiterhin bekanntgeben, wenn sie gestützt auf eine Rechtsgrundlage zur Bekanntgabe von Personendaten ermächtigt sind.
Bot Art. 66 Übergangsbestimmung betreffend Daten juristischer Personen (Zählg. gem. Entwurf)
Die Aufhebung des Schutzes der Daten juristischer Personen im E‑DSG sowie die Beschränkung des Begriffs der Personendaten in Artikel 4 Buchstabe a E‑DSG auf Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen, hat verschiedene Auswirkungen auf die Datenbearbeitung durch Bundesorgane. Insbesondere führt diese Neuerung dazu, dass die bundesrechtlichen Gesetzesgrundlagen, mit denen Bundesorgane zur Bearbeitung und Bekanntgabe von Personendaten ermächtigt werden, inskünftig nicht mehr anwendbar sind, wenn Daten juristischer Personen bearbeitet bzw. bekannt gegeben werden. Aufgrund des in Artikel 5 Absatz 1 BV verankerten Legalitätsprinzips bedarf jedoch jedes staatliche Handeln – und damit auch jede staatliche Datenbearbeitung bzw. Datenbekanntgabe – einer gesetzlichen Grundlage (vgl. auch Artikel 13 Abs 2, Artikel 27 und Artikel 36 BV). Der Gesetzesentwurf führt deshalb im RVOG für die Bundesorgane eine Reihe von Bestimmungen ein, welche deren Umgang mit Daten juristischer Personen regeln (vgl. Ziff. 9.2.8). Zu erwähnen sind insbesondere Artikel 57r E‑RVOG, welcher eine allgemeine gesetzliche Grundlage für die Bearbeitung von Daten juristischer Personen durch Bundesorgane schafft, sowie Artikel 57s E‑RVOG, welcher – analog zu Artikel 32 E‑DSG betreffend die Bekanntgabe von Personendaten – die Anforderungen an die Rechtsgrundlagen für die Bekanntgabe von Daten juristischer Personen enthält. Anders als Artikel 57r E‑RVOG stellt Artikel 57s E‑RVOG damit keine gesetzliche Grundlage für spezifische Datenbekanntgaben durch Bundesorgane dar, weshalb sich eine Bekanntgabe von Daten juristischer Personen auch inskünftig immer auf eine spezialgesetzliche Rechtsgrundlage stützen können muss. Eine Anpassung sämtlicher bisheriger Rechtsgrundlagen (welche aufgrund der Anpassungen im E‑DSG grösstenteils nur noch auf natürliche Personen anwendbar sein werden) wäre im Rahmen dieser Vorlage nicht zweckmässig, würden der Gesetzesentwurf und die Botschaft dadurch doch erheblich verlängert. Dem Bundesrat erscheint es daher zielführender, die spezialgesetzlichen Datenschutzbestimmungen nach den parlamentarischen Beratungen dieser Vorlage gründlich durchzusehen und zu prüfen, welche Vorschriften, die sich heute auf den Umgang von Bundesorganen mit Daten juristischer Personen beziehen, weiterhin beibehalten werden sollen oder angepasst bzw. aufgehoben werden müssen. Damit in der Zwischenzeit keine Rechtslücken entstehen, wird für Bundesorgane in Artikel 66 E‑DSG eine Übergangsbestimmung eingeführt, welche die Weitergeltung solcher spezialgesetzlicher Bundesvorschriften (sowohl in Gesetzen im formellen als auch im materiellen Sinn) betreffend die Daten juristischer Personen während fünf Jahren nach Inkrafttreten des E‑DSG für Bundesorgane vorsieht. Insbesondere sollen sich Bundesorgane während dieser Zeit für die Bekanntgabe von Daten juristischer Personen auf die bisherigen Rechtsgrundlagen zur Bekanntgabe von Personendaten stützenkönnen.
Nur ganz vereinzelt, wo dies aus Gründen der Praktikabilität und der Rechtssicherheit bereits heute angezeigt ist, werden spezialgesetzliche Bestimmungen im Rahmen dieser Vorlage betreffend die Daten juristischer Personen überprüft und angepasst. Dies betrifft die folgenden Erlasse:
- das BGÖ (vgl. Ziff. 9.2.7: Art. 3 Abs. 2, 9, 11, 12 Abs. 2 und 3, 15 Abs. 2 Bst. b);
- das RVOG (vgl. Ziff. 9.2.8: Art. 57h, 57h, 57i, 57j, 57k Einleitungssatz, 57l Sachüberschrift und Einleitungssatz, 57r, 57s und57t);
- das Revisionsaufsichtsgesetz vom 16. Dezember 2005 (vgl. Ziff. 9.2.12: Art. 15b);
- das Bundesstatistikgesetz vom 9. Oktober 1992 (vgl. Ziff. 9.2.24: Art. 5 Abs. 2 Bst. a und Abs. 4 Bst. a, 14 Abs. 1, 14a Abs. 1, 15 Abs. 1, Art. 16 Abs. 1 und 19 Abs. 2);
- das Bundesgesetz vom 17. Juni 2005 gegen die Schwarzarbeit (vgl. Ziff. 9.2.56: Art. 17 Sachüberschrift, Abs. 1, 2 und 4 sowie Art. 17a);
- das Nationalbankgesetz vom 3. Oktober 2003 (vgl. Ziff. 9.2.66: Art. 16 Abs. 5 und Art. 49a);
- das Bundesgesetz vom 19. März 1976 über die internationale Entwicklungszusammenarbeit und humanitäre Hilfe (vgl. Ziff. 9.2.69: Art. 13a Abs. 1);
- das Energiegesetz vom 30. September 2016 (vgl. Ziff. 13.7: Art. 56 Abs. 1, 58 Sachüberschrift, Abs. 1 und 3 sowie Art. 59 Sachüberschrift, Abs. 1 und 2) sowie das durch das Energiegesetz vom 30. September 2016 zu ändernde Stromversorgungsgesetz(vgl. Ziff. 13.7: Art. 17c Abs. 1 und 27 Abs. 1)
Art. 72 Übergangsbestimmung betreffend die Wahl und die Beendigung der Amtsdauer der oder des Beauftragten
Die Wahl der oder des Beauftragten sowie die Beendigung ihrer oder seiner Amtsdauer unterstehen bis zum Ende der Legislaturperiode, in der dieses Gesetz in Kraft tritt, dem bisherigen Recht.
Art. 73 Koordination
Die Koordination mit anderen Erlassen wird im Anhang 2 geregelt.
Art. 74 Referendum und Inkrafttreten
1 Dieses Gesetz untersteht dem fakultativen Referendum.
2 Der Bundesrat bestimmt das Inkrafttreten.