Zum Ent­wurf der revi­dier­ten VDSG: eine ver­pass­te Chance

Inhalt

All­ge­mei­nes

Am 23. Juni 2021 wur­de der Ent­wurf der total­re­vi­dier­ten Ver­ord­nung zum DSG (E‑VDSG) ver­öf­fent­licht. Nach der Lek­tü­re muss man ent­täuscht sein: Der bzw. die E‑VDSG (Online-Ver­si­on) ist eine ver­pass­te Chance.

Wie schon der Vor­ent­wurf des DSG (VE-DSG) ist sie inhalt­lich unprä­zi­se und oft unnö­tig restrik­tiv. Das gilt für den Erläu­te­rungs­be­richt noch mehr. Er lässt wesent­li­che Fra­gen offen und erscheint ins­ge­samt unre­flek­tiert. Statt Rege­lungs­vor­schlä­ge in der Sache zu begrün­den, ver­weist der Bericht öfters auf den 13-jäh­ri­gen Kom­men­tar des BJ zur heu­ti­gen VDSG und über­nimmt Rege­lun­gen der bald 20-jäh­ri­gen heu­ti­gen VDSG, ohne sich zu fra­gen, ob die­se Rege­lun­gen noch sinn­voll sind oder ob sie es je waren.

Es fällt auch auf, wie unsorg­fäl­tig die Spra­che des Berichts ist, zumin­dest in der deut­schen Fas­sung (“tele­fo­ni­sches Set­ting”) und wie ober­fläch­lich man­che Aus­sa­gen (“So stel­len sich etwa in einem Spi­tal, wo regel­mä­ssig beson­ders schüt­zens­wer­te Per­so­nen­da­ten bear­bei­tet wer­den, in aller Regel erhöh­te Anfor­de­run­gen im Ver­gleich zur Bear­bei­tung von Kun­den- oder Lie­fe­ran­ten­da­ten in einer Bäcke­rei oder Metz­ge­rei”). Auch im E‑VDSG fin­den sich Grammatikfehler.

Der Grund ist wohl der­sel­be wie beim VE-DSG: Zeit­druck und Res­sour­cen­man­gel und eine gewis­se Mut­lo­sig­keit ange­sichts der hohen Kom­ple­xi­tät des Gebiets. Bei der E‑VDSG ist das aller­dings weni­ger ver­ständ­lich als viel­leicht noch beim VE-DSG. Das revi­dier­te DSG (revDSG) war das Ergeb­nis eines lan­gen poli­ti­schen Pro­zes­ses, in dem sich im Wesent­li­chen zwei Lager gegen­über­stan­den, das regu­lie­rungs­freund­li­che­re, kon­su­men­ten­schutz­nä­he­re, das sich mehr DSGVO wünsch­te, und das bür­ger­li­cher und gewerb­li­cher ori­en­tier­te Lager, das offe­ne­re Rege­lun­gen und mehr Prak­ti­ka­bi­li­tät ver­lang­te. Das Ergeb­nis lan­ger Dis­kus­sio­nen war ein Kom­pro­miss. In der E‑VDSG erkennt man wenig Respekt vor die­sem Pro­zess, wenn sie sogar eine Rege­lung wie­der­be­le­ben will, die sich im VE-DSG fand, die Ver­nehm­las­sung des VE-DSG aber nicht über­lebt hatte.

Wenig Gespür für poli­ti­sche Pro­zes­se zeigt sich auch andern­orts, bei Bestim­mun­gen, die wohl for­mell­ge­setz­lich zu regeln wären. Die VDSG ist eine unselbst­stän­di­ge Ver­ord­nung. Sie bedarf einer Grund­la­ge im Gesetz; ohne sol­che Dele­ga­ti­on bleibt der Bun­des­rat zwar berech­tigt, Geset­zes­be­stim­mun­gen näher aus­zu­füh­ren (Art. 182 Abs. 2 BV), kann dabei aber nur “Bestim­mun­gen des betref­fen­den Bun­des­ge­set­zes durch Detail­vor­schrif­ten näher aus­füh­ren und mit­hin zur ver­bes­ser­ten Anwend­bar­keit des Geset­zes bei­tra­gen” (BGE 141 II 169). Es drängt sich der Ein­druck auf, dass die­ser Rah­men bei der E‑VDSG über­schrit­ten wur­de. Das gilt beson­ders für die fol­gen­den Rege­lun­gen, die kei­ne Detail­vor­schrif­ten sind, son­dern in ihrer Bedeu­tung den in der revDSG ent­hal­te­nen Bestim­mun­gen gleichkommen:

  • Bear­bei­tungs­re­gle­ment pri­va­ter Per­so­nen: Art. 4; syste­ma­tisch wird dies zwar bei der Daten­si­cher­heit gere­gelt, aber das Regle­ment ist kei­ne Daten­si­cher­heits­mass­nah­me, son­dern ver­weist u.a. auf die­se. Art. 8 Abs. 3 revDSG (“Der Bun­des­rat erlässt Bestim­mun­gen über die Min­dest­an­for­de­run­gen an die Daten­si­cher­heit”) trägt daher nicht die Pflicht Pri­va­ter, ein Bear­bei­tungs­re­gle­ment zu führen;
  • Infor­ma­ti­on bei der Bekannt­ga­be von Per­so­nen­da­ten: Art. 15 und 16; die Pflicht, Emp­fän­ger über die Aktua­li­tät, Zuver­läs­sig­keit und Voll­stän­dig­keit der bekannt­ge­ge­be­nen Per­so­nen­da­ten und deren Berich­ti­gung, Löschung usw. zu infor­mie­ren, hat kei­ne Grund­la­ge im revDSG, weder für Pri­va­te noch für Bun­des­or­ga­ne, wäre in ihrer Umset­zung aber ein­schnei­dend (die Infor­ma­ti­ons­pflicht in Art. 16 ist die bereits ange­spro­che­ne Bestim­mung, die sich im VE-DSG fand, aber nicht in das revDSG über­nom­men wur­de; sie nun in die Ver­ord­nung auf­zu­neh­men, ist hof­fent­lich ein Versehen);
  • Doku­men­ta­ti­ons­pflich­ten: Die Pflicht, Doku­men­ta­tio­nen zu füh­ren und auf­zu­be­wah­ren, kann ope­ra­tiv aus­ge­spro­chen auf­wen­dig sein. Im revDSG feh­len sol­che Pflich­ten weit­ge­hend, und zwar bewusst: Die Bot­schaft hielt fest, “anstel­le einer all­ge­mei­nen Doku­men­ta­ti­ons­pflicht wur­de eine Bestim­mung über ein Ver­zeich­nis der Bear­bei­tungs­tä­tig­kei­ten ein­ge­fügt. Die Ver­nehm­las­sung hat erge­ben, dass eine all­ge­mei­ne Doku­men­ta­ti­ons­pflicht zu wenig defi­niert ist”. Der Gesetz­ge­ber hat­te dem­nach ent­schie­den, bestimm­te Doku­men­ta­ti­ons­pflich­ten im Gesetz zu regeln, auf ande­re aber – bewusst – zu ver­zich­ten. Die E‑VDSG sieht nun meh­re­re sol­che Pflich­ten vor (z.B. bei Sicher­heits­ver­let­zun­gen, Art. 19 Abs. 5; Grün­de für eine Ein­schrän­kung bei Betrof­fe­nen­rech­ten, Art. 20 Abs. 5; Auf­be­wah­rung von Daten­schutz­fol­gen­ab­schät­zun­gen für zwei Jah­re, Art. 18 Abs. 5; Auf­be­wah­rung von System­logs für zwei Jah­re, Art. 3 Abs. 4; Auf­be­wah­rung der Doku­men­ta­ti­on von Sicher­heits­ver­let­zun­gen für drei Jah­re, Art. 19 Abs. 5), die im Ver­bund von einem Gewicht sind, das nach einer gesetz­li­chen Rege­lung ruft.

Die Ver­nehm­las­sung dau­ert bis am 14. Okto­ber 2021. Es wer­den sich brei­te Krei­se an der Ver­nehm­las­sung betei­li­gen. Es wird nicht nur dar­um gehen, Ver­bes­se­run­gen und Prä­zi­sie­run­gen der Ver­ord­nung zu errei­chen, son­dern vor allem auch dar­um, die Balan­ce, die im revDSG gefun­den wur­de, in der Ver­ord­nung zu respek­tie­ren und der Tat­sa­che Rech­nung zu tra­gen, dass vie­le Unter­neh­men bei der Vor­be­rei­tung auf das revDSG fort­ge­schrit­ten sind. Nun, nach lan­ger Vor­ar­beit und vie­len Ver­schie­bun­gen, über­ra­schen­de neue Pflich­ten ein­zu­füh­ren, zeigt feh­len­des Ver­ständ­nis für die Anstren­gun­gen vie­ler Unter­neh­men, die sich ernst­haft um den Daten­schutz bemü­hen. Dadurch wird die Akzep­tanz des Daten­schut­zes bestimmt nicht gestärkt.

Bemer­kun­gen zu aus­ge­wähl­ten Bestimmungen

Daten­si­cher­heit

Art. 1 – Grundsätze

  • Ange­mes­sen­heit der Mass­nah­men: Es sind nicht nur die Imple­men­tie­rungs­ko­sten, son­dern über­haupt der Imple­men­tie­rungs­auf­wand rele­vant (das kön­nen auch per­so­nel­le Auf­wen­dun­gen sein, die nicht allein der kon­kre­ten Imple­men­tie­rung zuzu­ord­nen sind, aber auch zeit­li­che und orga­ni­sa­to­ri­sche Auf­wen­dun­gen). Der Erläu­te­rungs­be­richt ist hier sehr restrik­tiv (S. 16): Es ste­he einem Verantwortlichen(oder Auf­trags­be­ar­bei­ter nicht frei, auf­grund über­mä­ssi­ger Kosten eine weni­ger als ange­mes­se­ne Daten­si­cher­heit her­zu­stel­len; sie dür­fen nur bei meh­re­ren ange­mes­se­nen Mass­nah­men die gün­sti­ge­re wäh­len. Das ist schon logisch falsch: Wenn sich die Ange­mes­sen­heit auch nach den Imple­men­tie­rungs­ko­sten bestimmt, ent­zieht sich der Ver­ant­wort­li­che nicht etwa aus Kosten­grün­den der Ange­mes­sen­heit, son­dern er bestimmt sie mit Blick auf die Kosten. Sonst wäre der Hin­weis auf die Imple­men­tie­rungs­ko­sten auch gegen­stands­los, denn dass der Ver­ant­wort­li­che unter ange­mes­se­nen Mass­nah­men die gün­sti­ge­re erwäh­len kann, ver­steht sich von selbst.
  • Prü­fung der Mass­nah­men: Zu prü­fen sind die Mass­nah­men eigent­lich nicht “in ange­mes­se­nen Abstän­den”, son­dern “in ange­mes­se­ner Wei­se”. Abstän­de impli­zie­ren eine Pflicht, die getrof­fe­nen Mass­nah­men zu prü­fen, bei der nur zeit­li­che Umstän­de frag­lich sind. Aber schon ob Mass­nah­men zu prü­fen sind, ist frag­lich, denn oft sind es zuerst nicht die Mass­nah­men, die zu prü­fen sind, son­dern die Risi­ko­fak­to­ren – haben sie sich nicht geän­dert, müs­sen die Mass­nah­men nicht über­prüft wer­den. Das ist wohl auch gemeint, wäre im Ver­ord­nungs­text aber zu präzisieren.
  • Straf­bar­keit: Eine Ver­let­zung der Min­dest­an­for­de­run­gen ist nach Art. 61 revDSG bei Vor­satz straf­bar. Eine Straf­bar­keit setzt vor­aus, dass nicht nur bewusst eine Mass­nah­me unter­las­sen wur­de, son­dern dass der Ver­ant­wort­li­che zumin­dest in Kauf nahm, das in Anbe­tracht der abseh­ba­ren Risi­ken erfor­der­li­che Schutz­ni­veau zu unter­schrei­ten. Dabei ver­folgt die E‑VDSG einen ein­zel­fall­ori­en­tier­ten, risi­ko­ba­sier­ten Ansatz. Es wird des­halb schwer sein, ausser in Extrem­fäl­len eine vor­sätz­li­che Ver­let­zung der Daten­si­cher­heit zu begrün­den. Auch eine Ver­let­zung der Über­prü­fungs­pflicht der Mass­nah­men kann für sich kei­ne Straf­bar­keit begrün­den; solan­ge nicht fest­steht, dass damit bewusst in Kauf genom­men wur­de, eine kon­kret erfor­der­lich gewor­de­ne Mass­nah­me zu unter­las­sen, liegt dar­in kei­ne Ver­let­zung der Datensicherheit.

Art. 2 – Schutzziele

  • Die­se Bestim­mung ist unklar for­mu­liert: Die Mass­nah­men müs­sen die Schutz­zie­le nicht errei­chen, son­dern sie anstre­ben. Das dürf­te auch gemeint sein (“ange­mes­sen”). Der Erläu­te­rungs­be­richt hält denn auch fest (S. 16), dass nicht jede Ver­let­zung der Daten­si­cher­heit die Ver­let­zung von Min­dest­an­for­de­run­gen impli­ziert, weil eine abso­lu­te Sicher­heit nicht ver­langt wer­den kann. – Der Erläu­te­rungs­be­richt kon­kre­ti­siert wei­ter, was mit dem Stand der Tech­nik gemeint ist (S. 16): Der gegen­wär­ti­ge Stand, d.h. Mass­nah­men, die bereits zur Ver­fü­gung ste­hen und sich bewährt haben.
  • Die Schutz­zie­le wur­den leicht erwei­tert, um sich der DSGVO anzu­glei­chen (Erläu­te­rungs­be­richt, S. 19).

Art. 3 – Protokollierung

  • Bedeu­tung: Unklar ist zunächst, ob eine Ver­let­zung der Pro­to­kol­lie­rungs­pflicht auch eine ggf. straf­ba­re Ver­let­zung der Daten­si­cher­heit sein kann. Das ist wohl zu beja­hen, aller­dings nur, falls die Pro­to­kol­lie­rung im Ein­zel­fall tat­säch­lich mate­ri­ell erfor­der­lich ist, um eine Ver­let­zung der Daten­si­cher­heit zu verhindern.
  • Abs. 1 und 2: Im Umkehr­schluss müs­sen Vor­gän­ge wie die Spei­che­rung etc. nicht pro­to­kol­liert wer­den, wenn kei­ne hohen Rest­ri­si­ken in Kauf genom­men wer­den (ausser durch Bun­des­or­ga­ne und ihre Auf­trags­be­ar­bei­ter, die Syste­me so aus­zu­ge­stal­ten haben, dass sie die­ser Pflicht nach­kom­men kön­nen). Die Pro­to­kol­lie­rungs­pflicht dürf­te ent­ge­gen dem Wort­laut dage­gen auch dann bestehen, wenn eine DSFA unter­las­sen wur­de, aber den­noch ein hohes Risi­ko besteht.
  • Abs. 3: Die Iden­ti­tät des Emp­fän­gers meint nicht die Per­son, die zugreift, son­dern die Orga­ni­sa­ti­on, der sie ange­hört oder unter deren Wei­sung sie tätig wird.
  • Abs. 4: Ver­fehlt ist die har­te Zweck­bin­dung der Pro­to­kol­le, auch wenn sie sich heu­te in Art. 10 VDSG fin­det. Sie wider­spricht dem Zweck­bin­dungs­grund­satz, der an die vom Ver­ant­wort­li­chen trans­pa­rent gesetz­ten Zwecke anknüpft. Wenn schon, hät­te sie auf Geset­zes­stu­fe ver­an­kert wer­den müs­sen. Es spricht aber nichts dage­gen, dass ein Ver­ant­wort­li­cher Logs aus­wer­tet, z.B. zu Ana­ly­se­zwecken, wenn er dies in der Daten­schutz­er­klä­rung beschreibt. Auch die Rege­lung zur Zugriffs­be­schrän­kung ist in die­ser Form ver­fehlt; die Auf­be­wah­rung der Logs ist eine Fra­ge der Ver­hält­nis­mä­ssig­keit und der Daten­si­cher­heit und ver­langt eine Abwägung.

Art. 4 – Bear­bei­tungs­re­gle­ment von pri­va­ten Personen

  • Pflicht bei hohen Risi­ken: Schwer nach­voll­zieh­bar ist, dass das BJ für pri­va­te Bear­bei­tung eine Pflicht vor­se­hen will, ein Bear­bei­tungs­re­gle­ment zu füh­ren. Zur Doku­men­ta­ti­on genügt aus­weis­lich der Bot­schaft (dazu schon oben) das Bear­bei­tungs­ver­zeich­nis, des­sen Inhalt sich mit jenem des Regle­ments über­schnei­det. Der Erläu­te­rungs­be­richt sagt dazu, man kön­ne die­se Anga­ben ja aus dem Bear­bei­tungs­ver­zeich­nis „kopie­ren“. So ein­fach wird das ope­ra­tiv nicht sein, und natür­lich könn­te man das Bear­bei­tungs­ver­zeich­nis auch mit dem Regle­ment kom­bi­nie­ren, oder man könn­te die Zusatz­an­ga­ben im Regle­ment sepa­rat erfas­sen und für den Rest auf das Ver­zeich­nis ver­wei­sen, oder man könn­te über­haupt nur auf bestehen­de Pro­zess­vor­ga­ben und das Bear­bei­tungs­ver­zeich­nis und eine Daten­schutz­fol­gen­ab­schät­zung oder sogar auf eine Daten­schutz­er­klä­rung ver­wei­sen, in der sich die erfor­der­li­chen Anga­ben fin­den – Urkun­den­ein­heit kann eben­so wenig gel­ten wie beim Bear­bei­tungs­ver­zeich­nis. – Der Erläu­te­rungs­be­richt ent­hält wei­te­re Hin­wei­se zum Mindestinhalt.
  • Auch nimmt der Gesetz­ge­ber mit dem Bear­bei­tungs­re­gle­ment in Kauf, dass betrof­fe­ne Per­so­nen ver­su­chen wer­den, vor- oder ausser­pro­zes­su­al über ein Aus­kunfts­be­geh­ren an das Bear­bei­tungs­re­gi­ment zu gelan­gen. Dafür wer­den sich Betrof­fe­ne auf die Gene­ral­klau­sel des Aus­kunfts­rechts stüt­zen, die ihrer­seits – im Ver­bund mit der Straf­be­stim­mung von Art. 62 revDSG – rechts­staat­lich hoch­pro­ble­ma­tisch ist.
  • Feh­len­de gesetz­li­che Grund­la­ge: Man hat hier ver­sucht, den heu­ti­gen Art. 11 VDSG in die neue VDSG zu über­tra­gen, aber ohne Not und mit einem unschö­nen Swiss Finish (die DSGVO kennt kei­ne sol­che Pflicht). Das BJ scheint sich nicht bewusst gewe­sen zu sein, wel­chen Auf­wand es damit für grö­sse­re Orga­ni­sa­tio­nen gene­riert. Zudem hat der Gesetz­ge­ber die Anmel­de­pflicht der Daten­samm­lun­gen im revDSG bewusst durch die Pflicht zur Füh­rung eines Bear­bei­tungs­ver­zeich­nis­ses ersetzt. Es war daher nicht damit zu rech­nen, dass das Bear­bei­tungs­ele­ment für pri­va­te Bear­bei­ter – das heu­te ja an die Anmel­de­pflicht einer Daten­samm­lung anknüpft – in die neue VDG über­nom­men wird. Eine sol­che Rege­lung hät­te ins­ge­samt ins Gesetz gehört, wie oben bereits erwähnt.
  • Hohes Risi­ko: Jeden­falls aber bestün­de eine Pflicht zur Füh­rung eines Bear­bei­tungs­re­gle­ments nur bei der umfang­rei­chen Bear­bei­tung beson­ders schüt­zens­wert Per­so­nen­da­ten oder bei einem Pro­filing mit hohem Risi­ko. Ergibt eine Daten­schutz-Fol­gen­ab­schät­zung aber, dass eine sol­che Bear­bei­tung auf­grund der Mass­nah­men des Ver­ant­wort­li­chen tat­säch­lich kein hohes Risi­ko (mehr) mit sich bringt, muss kon­se­quen­ter­wei­se auch die Pflicht zur Füh­rung eines Bear­bei­tungs­ele­ment ent­fal­len (dazu hier).
  • Daten­schutz­be­ra­ter: Abs. 3 klingt so, als wäre immer ein Daten­schutz­be­ra­ter zu bestel­len. Das ist bei Pri­va­ten aber optio­nal (anders als bei Bun­des­or­ga­nen; Art. 27 E‑VDSG), und zwar selbst in den Fäl­len, in denen nach dem Ent­wurf ein Bear­bei­tungs­re­gle­ment zu füh­ren ist. Und was ist “in einer für die­sen ver­ständ­li­chen Form”? Heisst das, dass Pri­va­te ohne Daten­schutz­be­ra­ter auch unver­ständ­li­che Regle­men­te füh­ren dürfen?

Art. 5 – Bear­bei­tungs­re­gle­ment von Bundesorganen

Es gel­ten die obi­gen Bemer­kun­gen, zumal auch Bun­des­or­ga­ne ein Bear­bei­tungs­ver­zeich­nis zu füh­ren haben (Art. 12 revDSG). Zu weit ist jeden­falls auch die Pflicht, bei allen Pro­filings ein Regle­ment zu füh­ren – Pro­filings sind aner­kann­ter­ma­ssen oft harm­los, weil der Begriff des Pro­filings so weit ist. Unklar sind zudem die wei­te­ren Tat­be­stands­va­ri­an­ten des Zugäng­lich­ma­chens von Per­so­nen­da­ten und der Ver­knüp­fung von Daten­be­stän­den. Im Gesetz kommt die Ver­knüp­fung als Begriff nir­gends vor, ausser bei der Defi­ni­ti­on des Pro­filing mit hohem Risi­ko, aber dort geht es um etwas ande­res, und auch der Begriff der „Daten­be­stän­de“ ist neu – damit sol­len dem Erläu­te­rungs­be­richt zufol­ge die Daten­samm­lun­gen gemeint sein (S. 23), ein nach wie vor unkla­rer Begriff. Immer­hin wird dadurch klar, dass die Ver­knüp­fung von Daten noch kei­ne sol­che von Daten­be­stän­den ist.

Bear­bei­tung durch Auftragsbearbeiter

Art. 6 – Modalitäten

  • Abs. 1: Der Ver­ant­wort­li­che kann nie­mals sicher­stel­len, dass Daten ver­trags- und geset­zes­ge­mäss bear­bei­tet wer­den – er kann nur dazu Sor­ge tra­gen. Das spielt eine Rol­le, denn der Ver­ant­wort­li­che bleibt daten­schutz­recht­lich ver­ant­wort­lich, haf­tet zivil­recht­lich aber nur bei Ver­schul­den (nach Art. 41 OR) und nicht etwa kausal.
  • Abs. 3 wider­spricht dem all­ge­mei­nen Anlie­gen, die Digi­ta­li­sie­rung nicht durch Form­vor­schrif­ten zu unter­lau­fen. Es soll­te eine Geneh­mi­gung in Text­form rei­chen, was zu prä­zi­sie­ren wäre (das Schrift­form­erfor­der­nis ent­nimmt der Erläu­te­rungs­be­richt der Richt­li­nie 2018/680, wo aber ein Nach­weis durch Text gemeint ist). Zudem soll­te klar sein, dass auch ein Bun­des­or­gan eine all­ge­mei­ne Geneh­mi­gung unter Wider­spruchs­vor­be­halt ertei­len kann, wie es auch nach der DSGVO mög­lich ist (und auch nach der genann­ten RL).

Art. 7 – Infor­ma­ti­on an die Daten­schutz­be­ra­te­rin oder den Daten­schutz­be­ra­ter des Bundesorgans

Die­se Bestim­mung ist miss­glückt. Zum einen unter­stellt sie, der Bei­zug eines Auf­trags­be­ar­bei­ters sei grund­sätz­lich risi­ko­be­haf­tet, was sie nicht ist (trotz der gegen­tei­li­gen Aus­sa­ge im Erläu­te­rungs­be­richt). Zum ande­ren ver­langt sie eine Infor­ma­ti­on des Daten­schutz­be­ra­ters, “wenn Pro­ble­me bei der Ein­hal­tung der gesetz­li­chen oder ver­trag­li­chen Daten­schutz­vor­schrif­ten ent­ste­hen”. Das ist sprach­lich unschön, aber auch inhalt­lich. Was sind “Pro­ble­me”? Die­se Rege­lung ist ohne­hin unnö­tig, denn Art. 10 Abs. 2 lit. b revDSG (der auch bei Bera­tern eines Bun­des­or­gans greift) sieht ja bereits vor, dass der Bera­ter bei der Anwen­dung des Daten­schutzrrechts mitwirkt.

Bekannt­ga­be von Per­so­nen­da­ten ins Ausland

Art. 9 – Daten­schutz­klau­seln und spe­zi­fi­sche Garantien

  • Die inhalt­li­chen Vor­ga­ben an die Daten­schutz­klau­seln – d.h. Ver­trä­ge, die eine Bekannt­ga­be in einen Staat ohne ange­mes­se­nes Schutz­ni­veau legi­ti­mie­ren, aber vom EDÖB nicht aner­kannt sind – sind unprä­zi­se for­mu­liert. Falsch ist zudem lit. g; es geht nicht um die “zur Bear­bei­tung der Daten legi­ti­mier­ten” Emp­fän­ger, son­dern ein­fach um die Emp­fän­ger. Zudem kann es nicht sein, dass die Emp­fän­ger die betrof­fe­ne Per­son zu infor­mie­ren haben, zumin­dest dann nicht, wenn der Expor­teur über die Bear­bei­tung durch die Emp­fän­ger infor­miert wur­de oder der Emp­fän­ger ein Auf­trags­be­ar­bei­ter ist.

Art. 10 – Standarddatenschutzklauseln

Die­se Bestim­mung (der Expor­teur trifft ange­mes­se­ne Mass­nah­men, um sicher­zu­stel­len, dass der Impor­teur die Klau­seln beach­tet) ist durch die neu­en Stan­dard­ver­trags­klau­seln eigent­lich über­flüs­sig gewor­den (vgl. Klau­sel 14 und 15). Und wie­der­um kann der Expor­teur prin­zi­pi­ell nicht sicher­stel­len, dass der Emp­fän­ger die Klau­seln beach­tet; er kann es nur ver­lan­gen und im Rah­men von Klau­sel 14 der neu­en Stan­dard­ver­trags­klau­seln prü­fen, ob loka­les Recht der Ein­hal­tung ent­ge­gen­steht. Der Erläu­te­rungs­be­richt sieht fer­ner vor, dass der Emp­fän­ger ver­pflich­tet wer­den müs­se, „die schwei­ze­ri­schen Daten­schutz­vor­schrif­ten“ ein­zu­hal­ten. Das ist falsch; er muss die Stan­dard­klau­seln ein­hal­ten, nicht schwei­ze­ri­sches Recht. Auch Art. 6 Abs. 2 E‑VDSG ver­langt ja nur, dass der Auf­trags­be­ar­bei­ter „gleich­wer­ti­ge“ Bestim­mun­gen ein­hal­ten muss.

Pflich­ten des Ver­ant­wort­li­chen und des Auftragsbearbeiters

Art. 13 – Moda­li­tä­ten der Informationspflichten

  • Abs. 1: Hier reibt man sich die Augen: Der Auf­trags­be­ar­bei­ter hat eine Infor­ma­ti­ons­pflicht? Das kann nur ein Ver­se­hen sein. Doch auch der Erläu­te­rungs­be­richt sagt, „die Infor­ma­ti­ons­pflicht des Ver­ant­wort­li­chen und des Auf­trags­be­ar­bei­ters ist in Arti­kel 19 nDSG ver­an­kert“. Das ist sie nicht (“Der Ver­ant­wort­li­che infor­miert die betrof­fe­ne Per­son…”); hat man nicht nach­ge­le­sen? Eine eige­ne Infor­ma­ti­ons­pflicht des Auf­trags­be­ar­bei­ters wäre absurd und wider­sprä­che sei­ner Weisungsbindung.
  • Umset­zung der Infor­ma­ti­ons­pflicht:
    • Eben­so zu bedau­ern, aber wohl kein Ver­se­hen ist der Inhalt der Rege­lung. Die Infor­ma­ti­ons­pflicht ist wohl die am schwie­rig­sten umzu­set­zen­de Pflicht des Ver­ant­wort­li­chen. In einer rei­nen Onlineum­ge­bung mag sie ein­fach zu erfül­len sein (denkt man sich die Gene­ral­klau­sel bei der Infor­ma­ti­ons­pflicht weg), aber was ist mit einer Infor­ma­ti­on gegen­über Per­so­nen, mit denen nur schrift­lich ver­kehrt wird?
    • Hier ist der Besuch einer Web­site zumut­bar. Es ist kein Gegen­ar­gu­ment, dass nicht alle Men­schen über einen Inter­net­zu­gang ver­fü­gen, sonst wären Daten­schutz­er­klä­run­gen auch in Braille-Schrift zu ver­öf­fent­li­chen. Das BJ hät­te des­halb in der Ver­ord­nung klar­stel­len sol­len, das über eine Web­site wirk­sam infor­miert wer­den kann, zumin­dest wenn die betrof­fe­ne Per­son die Iden­ti­tät des Ver­ant­wort­li­chen kennt und die Infor­ma­ti­on auf des­sen Web­site leicht auf­zu­fin­den ist. Ent­spre­chen­de Rege­lungs­vor­schlä­ge lagen dem BJ vor. In die­sem Zusam­men­hang hät­te wei­ter prä­zi­siert wer­den müs­sen, dass ein Hin­weis auf eine Web­sei­te viel­leicht nicht immer erfor­der­lich ist, dass es aber jeden­falls genügt, auf eine Daten­schutz­er­klä­rung zu ver­wei­sen, auch ohne bestimm­te Grund­in­for­ma­tio­nen (“Basis­in­for­ma­tio­nen”) bereits in der Ver­weis­quel­le zu lie­fern (zum Bei­spiel durch einen Link in AGB).
    • All dies ver­misst man in der E‑VDSG, und im Erläu­te­rungs­be­richt eine ernst­haf­te Aus­ein­an­der­set­zung mit die­sen Fra­gen. Die vor­ge­schla­ge­ne Rege­lung in Art. 13 Abs. 1 kann man nur als bequem bezeich­nen – am Pro­blem geht sie völ­lig vor­bei, sie ist unprä­zi­se, führt zu Rechts­un­si­cher­heit, ist in die­ser Form über­flüs­sig und lehnt sich an AGB-recht­li­che Über­le­gun­gen an, ohne dass man nur die Fra­ge gestellt hät­te, ob die­se Über­le­gun­gen über­trag­bar sind. Der Erläu­te­rungs­be­richt schreibt statt­des­sen, „… muss der Ver­ant­wort­li­che oder der Auf­trags­be­ar­bei­ter bei der Wahl der Infor­ma­ti­ons­form sicher­stel­len, dass die betrof­fe­ne Per­son die wich­tig­sten Infor­ma­tio­nen stets auf der ersten Kom­mu­ni­ka­ti­ons­stu­fe erhält.“ Was heisst das? Meint dies die genann­ten Basis­in­for­ma­tio­nen nach der DSGVO? Man kann nur spe­ku­lie­ren und liest wei­ter, „es kann eine gute Pra­xis dar­in bestehen“ (?), „dass alle wesent­li­chen Infor­ma­tio­nen auf einen Blick ver­füg­bar sind“. Ist das eine Pflicht zum Inhalts­ver­zeich­nis? Hier soll­te drin­gend prä­zi­sie­ren wer­den, dass es genügt, etwa aus AGB auf eine Web­site zu ver­wei­sen, und zwar ohne wei­ter­ge­hen­de Infor­ma­tio­nen und ohne QR-Code.
    • Und am Ende schreibt der Erläu­te­rungs­be­richt noch, „Fin­det die Kom­mu­ni­ka­ti­on in einem tele­fo­ni­schen Set­ting statt, kön­nen die Infor­ma­tio­nen durch eine natür­li­che Per­son münd­lich mit­ge­teilt und allen­falls durch einen Link zu einer Web­site ergänzt wer­den.“ Ein tele­fo­ni­sches „Set­ting“? Und wei­ter: „Bei auf­ge­zeich­ne­ten Infor­ma­tio­nen muss die betrof­fe­ne Per­son die Mög­lich­keit haben, sich aus­führ­li­che­re Infor­ma­tio­nen anzu­hö­ren.“ Wer will sich das nach 30 Minu­ten in der War­te­schlei­fe antun, und vor allem: Wie kommt das BJ dar­auf, von wel­cher Rechts­na­tur der Infor­ma­ti­ons­pflicht geht es aus, wel­ches Leit­bild der Betrof­fe­nen hat es, wel­che Prak­ti­ka­bi­li­täts­über­le­gun­gen stellt es an? Davon erfährt man nichts.
  • Abs. 2: Was bedeu­tet “maschi­nen­les­bar” bei Pik­to­gram­men? Ver­mut­lich genügt es, wenn der Erklä­rungs­text von Icons durch einen Screen­rea­der vor­ge­le­sen wer­den kann oder der Betrei­ber der Web­site bei den Pik­to­gram­men eine Erläu­te­rung ein­fügt, z.B. als alter­na­ti­ven Text (<img src=“xyz.jpg” alt=“Erklä­rungs­text”>). Das ist aber wohl nicht mög­lich, wenn Icons als Schrift­satz ein­ge­bun­den wer­den. Der Erläu­te­rungs­be­richt sagt dazu nur „[…] die ver­wen­de­te Soft­ware muss die in sol­chen For­ma­ten vor­lie­gen­den Infor­ma­tio­nen leicht iden­ti­fi­zie­ren, erken­nen und extra­hie­ren kön­nen.“ Dadurch wird es auch nicht kla­rer. Und „Dies ermög­licht unter ande­rem den Ver­gleich ver­schie­de­ner Doku­men­te sowie all­ge­mein eine gewis­se Auto­ma­ti­sie­rung.“ Ist “all­ge­mein eine gewis­se Auto­ma­ti­sie­rung“ ein daten­schutz­recht­li­ches Anliegen?

Art. 14 – Infor­ma­ti­ons­pflicht der Bun­des­or­ga­ne bei der syste­ma­ti­schen Beschaf­fung von Personendaten

Die­ses Anlie­gen ist von der DSGVO bekannt und ent­spricht dem heu­ti­gen Art. 14 VDSG. Eine sol­che Hin­weis­pflicht soll­te trotz­dem nicht gel­ten, wenn aus den Umstän­den klar ist, dass eine Aus­kunft (gemeint ist: eine Bekannt­ga­be von Per­so­nen­da­ten) frei­wil­lig ist. Wenn ein Kran­ken­ver­si­che­rer eine Zufrie­den­heits­um­fra­ge macht, soll­te ein sol­cher Hin­weis z.B. nicht not­wen­dig sein.

Art. 15 – Infor­ma­ti­on bei der Bekannt­ga­be von Personendaten

  • Auch die­se Pflicht stellt einen Swiss Finish dar. Eine sol­che Pflicht kann m.E. nicht auf Ver­ord­nungs­stu­fe gere­gelt wer­den; dafür ist sie in der Umset­zung zu ein­schnei­dend. Sie ist auch über­flüs­sig. Letzt­lich ist es Sache der Ver­ant­wort­li­chen, die Ein­hal­tung der Daten­schutz­grund­sät­ze sicher­zu­stel­len. Dies kann eine Anga­be der Aktua­li­tät usw. von Per­so­nen­da­ten ver­lan­gen, aber nicht in allen Fäl­len. Eine har­te Pflicht zu einer sol­chen Infor­ma­ti­on wird schlicht nicht umge­setzt wer­den und auch nicht wer­den können.
  • Und auch hier wird wie­der der Auf­trags­be­ar­bei­ter ver­pflich­tet, dabei müss­te er Infor­ma­tio­nen bekannt­ge­ben, die ihm gar nicht vor­lie­gen. Es han­delt sich hier wohl um den glei­chen Feh­ler wie bereits bei Art. 13.
  • Man hat sich hier an die Schen­gen-RL ange­lehnt, aber einen Grund, sol­che Pflich­ten auf pri­va­te Bear­bei­ter aus­zu­deh­nen, gibt es nicht.

Art. 16 – Infor­ma­ti­on über die Berich­ti­gung, Löschung oder Ver­nich­tung sowie die Ein­schrän­kung der Bear­bei­tung von Personendaten

  • Hier hat das BJ ein zu kur­zes Gedächt­nis. Eine Pflicht, Emp­fän­ger über die Berich­ti­gung, Löschung oder Ver­nich­tung von Per­so­nen­da­ten zu infor­mie­ren, fand sich schon in Art. 19 lit. b des Vor­ent­wurfs des DSG (“Sie infor­mie­ren die […] Emp­fän­ger […] über jede Berich­ti­gung, Löschung oder Ver­nich­tung […], über Ver­let­zun­gen des Daten­schut­zes sowie über Ein­schrän­kun­gen der Bear­bei­tung […], es sei denn, eine sol­che Mit­tei­lung ist nicht oder nur mit unver­hält­nis­mä­ssi­gem Auf­wand mög­lich”). Die Ver­nehm­las­sung hat­te die­ser Vor­schlag nicht über­lebt. Und nun soll die­sel­be Pflicht in der Ver­ord­nung auf­er­ste­hen? Im Erläu­te­rungs­be­richt wird die­ser Vor­schlag des VE-DSG nicht ein­mal erwähnt.
  • Damit nicht genug: Der Absen­der soll den Emp­fän­ger nun auch noch über eine Ein­schrän­kung der Bear­bei­tung infor­mie­ren. Das klingt nach dem Betrof­fe­nen­recht auf Ein­schrän­kung der Ver­ar­bei­tung nach der DSGVO (Art. 18). Das revDSG kennt ein sol­ches Betrof­fe­nen­recht gar nicht.

Art. 17 – Über­prü­fung einer auto­ma­ti­sier­ten Einzelentscheidung

Unnö­tig, aber wohl unschäd­lich. Kein Ver­ant­wort­li­cher wird jeman­den dis­kri­mi­nie­ren, weil er eine Über­prü­fung der Ent­schei­dung ver­langt. Aller­dings: Es liegt kei­ne Benach­tei­li­gung dar­in, dass sich ein Ver­ant­wort­li­cher zu Wehr setzt, wenn ein Betrof­fe­ner mit der Über­prü­fung nicht ein­ver­stan­den ist. Das kann bis zur Kün­di­gung eines Ver­trags gehen – sie ist legi­tim, wenn der Betrof­fe­ne die Fort­set­zung des Ver­trags durch eige­nes Ver­hal­ten ver­un­mög­licht (Stich­wort Begehrensneurose).

Art. 18 – Form und Auf­be­wah­rung der Datenschutz-Folgenabschätzung

  • Schrift­lich” muss hier soviel hei­ssen wie “Nach­weis durch Text” – der Erläu­te­rungs­be­richt sagt das, aber man müss­te das im Ver­ord­nungs­text prä­zi­sie­ren, wenn man an das Helsa­na-Urteil des BVGer denkt.
  • Die Auf­be­wah­rungs­dau­er von zwei Jah­ren wird dadurch gerecht­fer­tigt, dass sie ein zen­tra­les daten­schutz­recht­li­ches Instru­ment dar­stel­le und ins­be­son­de­re bei der Abklä­rung von Ver­let­zun­gen der Daten­si­cher­heit oder der Beur­tei­lung der Straf­bar­keit eines Ver­hal­tens von Bedeu­tung sein kön­ne. Der Ver­ant­wort­li­che soll eine DSFA also ins­be­son­de­re des­halb auf­be­wah­ren, weil sie in einer Unter­su­chung als Indiz des Vor­wurfs die­nen kann, wenn nach der DSFA eine Sicher­heits­mass­nah­me unter­las­sen wur­de (also wohl eine Mass­nah­me, die in der DSFA beschrie­ben wur­de). Zum einen bedeu­tet die Tat­sa­che, dass eine geplan­te Sicher­heits­mass­nah­me in eine DSFA Ein­gang fand, noch nicht, dass sie erfor­der­lich im Sin­ne des Geset­zes war, und zum ande­ren ist die Unter­las­sung der Auf­be­wah­rung einer DSFA nicht straf­bar. Der Ver­ant­wort­li­che hat daher einen Anreiz, eine DSFA nicht auf­zu­be­wah­ren, wenn er sich sei­ner Sache unsi­cher ist. Dies beson­ders vor dem Hin­ter­grund der restrik­ti­ven Aus­le­gung des nemo-ten­e­tur-Grund­sat­zes bei juri­sti­schen Per­so­nen im Zusam­men­hang mit Doku­men­ten, die einer Auf­be­wah­rungs­frist unter­lie­gen (BGE 142 IV 207 E. 8.3.3.).
  • Der Erläu­te­rungs­be­richt hält mit Bezug auf Bun­des­or­ga­ne wei­ter fest, dass “es auf­grund der Bestän­dig­keit gewis­ser Rechts­grund­la­gen vor­kom­men [kann], dass eine Daten­schutz-Fol­ge­ab­schät­zung über einen sehr lan­gen Zeit­raum auf­zu­be­wah­ren ist (z.B. meh­re­re Jahr­zehn­te)”. Wel­che Rechts­grund­la­ge das BJ hier im Auge hat, ist unklar, der Erläu­te­rungs­be­richt sagt dazu nichts.

Art. 19 – Mel­dung von Ver­let­zun­gen der Datensicherheit

  • Abs. 1: Der Umfang der Anga­ben, die dem EDÖB bei einer Sicher­heits­ver­let­zung mit­zu­tei­len sind, ori­en­tiert sich an der DSGVO, weicht davon aber ab: Anzu­ge­ben sind nach der E‑VDSG zusätz­lich auch Zeit­punkt und Dau­er der Ver­let­zung, was die DSGVO nicht ver­langt (auch wenn der Ver­ant­wort­li­che die­se Anga­ben schon des­halb ein­schlie­ssen wird, weil er die Recht­zei­tig­keit der Mel­dung bele­gen will). Wes­halb nicht ein­fach der Text der DSGVO über­nom­men wur­de, ist unklar.
  • Abs. 2: Dies ent­spricht weit­ge­hend den Vor­ga­ben der DSGVO, ausser dass die E‑VDSG zusätz­lich die Anga­be der “Art der Ver­let­zung” ver­langt. Das wird ein Ver­ant­wort­li­cher ohne­hin tun.
  • Abs. 5: Hier wird eine wei­te­re Doku­men­ta­ti­ons­pflicht ein­ge­führt, ohne dass klar wäre, wozu sie dient (ausser zur Erleich­te­rung einer Unter­su­chung des EDÖB). Ins­ge­samt drängt sich der Schluss auf, dass hier DSGVO nach­voll­zo­gen wer­den soll. Jeden­falls ergibt sich aber aus der Syste­ma­tik, dass nur Ver­let­zun­gen zu doku­men­tie­ren sind, die eine Mel­de­pflicht gegen­über dem EDÖB aus­lö­sen, nicht Ver­let­zun­gen unter­halb der Mel­de­schwel­le. Was nicht steht, aber klar ist und trotz­dem prä­zi­siert wer­den soll­te: Die Doku­men­ta­ti­ons­pflicht deckt nur bekann­te Fak­ten ab. Der Ver­ant­wort­li­che ist nicht gehal­ten, nur zur Erfül­lung der Doku­men­ta­ti­ons­pflicht wei­te­re Nach­for­schun­gen anzu­stel­len (ins­be­son­de­re muss und kann er nicht “alle mit den Vor­fäl­len zusam­men­hän­gen­den Tat­sa­chen” voll­stän­dig in Erfah­rung bringen.
  • Etwas will­kür­lich scheint die Dau­er der Auf­be­wah­rung von drei Jah­ren. Zwei Jah­re hät­ten sicher auch genügt.

Rech­te der betrof­fe­nen Person

Art. 20 – Modalitäten

  • Abs. 1: Inhalt­lich ist die­se Bestim­mung unpro­ble­ma­tisch, aber unprä­zi­se. Das Aus­kunfts­be­geh­ren kann selbst­ver­ständ­lich immer münd­lich gestellt wer­den, nur muss der Ver­ant­wort­li­che bei münd­li­chen Begeh­ren nicht reagieren.
  • Abs. 2: Wie heu­te setzt ein Ein­sichts­recht vor­aus, dass bei­de Par­tei­en – der Ver­ant­wort­li­che und der Betrof­fe­ne – mit die­ser Moda­li­tät ein­ver­stan­den sind.
  • Abs. 3: Ob die Aus­kunft für die betrof­fe­ne Per­son ver­ständ­lich ist, liegt in erster Linie am Emp­fän­ger­ho­ri­zont. Der Ver­ant­wort­li­che muss die Aus­kunft selbst­ver­ständ­lich so ertei­len, dass ein durch­schnitt­li­cher Betrof­fe­ner etwas damit anfan­gen kann; er muss aber nicht auf beson­de­re Schwä­chen des kon­kre­ten Aus­kunftstel­lers ein­ge­hen. Stellt ein Kind ein Aus­kunfts­be­geh­ren, kann es sich des­sen Inhalt von sei­nen Eltern bzw. Bezugs­per­so­nen erklä­ren las­sen. Zudem ist der Ver­ant­wort­li­che nicht ver­pflich­tet, unter dem Titel der Ver­ständ­lich­keit Infor­ma­tio­nen zu lie­fern, die vom Aus­kunfts­recht nicht erfasst sind. Man wird genau zwi­schen der Erläu­te­rung einer Anga­be und Zusatz­an­ga­ben unter­schei­den müssen.
  • Abs. 4: Der Ver­ant­wort­li­che wird wie heu­te eine Kopie eines Iden­ti­täts­aus­wei­ses ver­lan­gen dürfen.
  • Abs. 5: Erneut eine neue Doku­men­ta­ti­ons­pflicht à la DSGVO – dazu bereits oben. Der Ver­ant­wort­li­che ist ja ver­pflich­tet, die Grün­de für eine Ver­wei­ge­rung, Ein­schrän­kung oder den Auf­schub der Aus­kunft zu nen­nen (Art. 26 Abs. 4 revDSG). Genü­gen die­se Anga­ben dem Betrof­fe­nen nicht, kann er die Aus­kunft ein­kla­gen; im Pro­zess liegt die Beweis­last für die Grün­de der Ein­schrän­kung etc. beim Ver­ant­wort­li­chen. Es liegt des­halb in sei­nem Inter­es­se, sich ent­spre­chend zu doku­men­tie­ren – eine gesetz­li­che Pflicht dazu braucht es nicht. Und die Auf­be­wah­rungs­frist scheint wie­der­um will­kür­lich gewählt.

Art. 21 – Zuständigkeit

  • Abs. 1: Dass der Betrof­fe­ne bei der gemein­sa­men Ver­ant­wor­tung die Aus­kunft von jedem Ver­ant­wort­li­chen ver­lan­gen kann, ist nicht über­ra­schend. Wenn den­noch der ande­re Ver­ant­wort­li­che die Aus­kunft erteilt, ist die Aus­kunfts­pflicht des ange­frag­ten aber Ver­ant­wort­li­chen erfüllt; die Aus­kunfts­er­tei­lung ist nicht vertretungsfeindlich.
  • Abs. 3: Die­se Bestim­mung ist über­flüs­sig. Es ist ohne­hin Auf­ga­be des Ver­ant­wort­li­chen, sei­ne Aus­kunfts­fä­hig­keit sicherzustellen.

Art. 22 – Frist

Abs. 1: Hier wäre eine Prä­zi­sie­rung erfor­der­lich: Wenn aus dem Aus­kunfts­be­geh­ren nicht her­vor­geht, um wel­che Daten es dem Betrof­fe­nen geht und der Ver­ant­wort­li­che um Klar­stel­lung ersucht, beginnt die Frist erst mit die­ser Klar­stel­lung zu laufen.

Art. 23 – Aus­nah­men von der Kostenlosigkeit

  • Abs. 1 und 2: Die Fra­ge der Kosten­be­tei­li­gung steht im Zusam­men­hang mit den häu­fi­gen miss­bräuch­li­chen Aus­kunfts­be­geh­ren: Wenn ein Aus­kunfts­be­geh­ren nicht zu Daten­schutz­zwecken gestellt wird, son­dern zu ande­ren Zwecken, und das Aus­kunfts­in­ter­es­se des Betrof­fe­nen nied­rig, der Auf­wand des Ver­ant­wort­li­chen gleich­zei­tig aber hoch ist, muss der Ver­ant­wort­li­che nach all­ge­mei­nen Grund­sät­zen die Mög­lich­keit haben, das kras­se Miss­ver­hält­nis der Inter­es­sen als Fall des Rechts­miss­brauchs ein­zu­wen­den (die­se Kon­stel­la­ti­on kann aner­kann­ter­ma­ssen eben­so unter den Rechts­miss­brauch fal­len wie die häu­fi­ger dis­ku­tier­te zweck­wid­ri­ge Aus­übung). Eine Kosten­be­tei­li­gung von CHF 300 ist nun so nied­rig, dass sie dem Inter­es­sen­ge­gen­satz in kei­ner Wei­se Rech­nung trägt. Wird die­se Kosten­be­tei­li­gung nicht sub­stan­ti­ell erhöht (min­de­stens ver­zehn­facht), muss dies daher als Indiz dafür gewer­tet wer­den, dass die Beru­fung auf das kras­se Miss­ver­hält­nis der Inter­es­sen nicht nur in sel­te­nen Aus­nah­me­fäl­len mög­lich ist. Anders for­mu­liert: Wenn der Ver­ant­wort­li­che bei einer Kosten­be­tei­li­gung von CHF 300 bleibt, auch bei viel höhe­rem Auf­wand, kann er sich erst recht auf das Miss­ver­hält­nis der Inter­es­sen berufen.
  • Abs. 3: Die Aus­kunfts­frist von 30 Tagen beginnt in die­sen Fäl­len erst mit Ablauf der Rück­zugs­frist zu lau­fen; das wäre zu präzisieren.

Art. 25 – Daten­schutz­be­ra­te­rin oder Datenschutzberater

  • Abs. 1: Der Daten­schutz­be­ra­ter muss die­se Auf­ga­be nicht wahr­neh­men; er muss sie haben. Mit ande­ren Wor­ten: Ein säu­mi­ger Daten­schutz­be­ra­ter führt nicht dazu, dass sich ein pri­va­ter Ver­ant­wort­li­cher nicht mehr auf die Aus­nah­me der Mel­de­pflicht bei Fol­ge­ab­schät­zun­gen nach Art. 23 Abs. 4 revDSG beru­fen kann. Das ergibt sich nicht nur aus Art. 25 Abs. 1 lit. b E‑VDSG, son­dern auch dar­aus, dass die Bestel­lung des Bera­ters für Pri­va­te frei­wil­lig ist und ent­spre­chend auf bestimm­te Bear­bei­tun­gen oder Berei­che beschränkt wer­den kann. Ein säu­mi­ger Bera­ter hat auch nicht zur Fol­ge, dass ein Bun­des­or­gan der Bestel­lungs­pflicht nicht nach­ge­kom­men wäre. Letz­te­res wäre erst der Fall, wenn das Bun­des­or­gan den Bera­ter an der Erfül­lung sei­ner Auf­ga­ben hin­dert bzw. die Vor­aus­set­zun­gen dafür nicht schafft.
  • Der Bera­ter muss nicht jede Bear­bei­tung prü­fen – hier gilt der risi­ko­ba­sier­te Ansatz. Zudem gehört es zur Unab­hän­gig­keit des Bera­ters, dass er sei­ne eige­nen Prio­ri­tä­ten setzt.

Art. 26 – Aus­nah­me von der Pflicht zur Füh­rung eines Ver­zeich­nis­ses der Bearbeitungstätigkeiten

Der Bun­des­rat hat nach Art. 12 Abs. 5 revDSG Aus­nah­men von der Pflicht zur Füh­rung eines Bear­bei­tungs­ver­zeich­nis­ses vor­zu­se­hen für Unter­neh­men, die weni­ger als 250 Mit­ar­bei­ter beschäf­ti­gen und deren Daten­be­ar­bei­tung ein “gerin­ges Risi­ko” mit sich bringt. Nach Art. 26 der Ver­ord­nung bedeu­tet ein gerin­ges Risi­ko, dass weder “umfang­reich beson­ders schüt­zens­wer­te Per­so­nen­da­ten bear­bei­tet” wer­den noch “ein Pro­filing mit hohem Risi­ko durch­ge­führt” wird. Alle ande­ren Bear­bei­tun­gen brin­gen folg­lich ein nied­ri­ges Risi­ko mit sich. Dar­an wird man sich bei Daten­schutz­fol­gen­ab­schät­zun­gen erin­nern, zumal der Erläu­te­rungs­be­richt auch noch aus­drück­lich auf den Risi­ko­be­griff bei den Fol­gen­ab­schät­zun­gen ver­weist (S. 11 f.). Art. 26 E‑VDSG ist im Ergeb­nis als Kon­kre­ti­sie­rung von Art. 22 Abs. 2 revDSG anzuwenden.

Beson­de­re Bestim­mun­gen zur Daten­be­ar­bei­tung durch Bundesorgane

Art. 27 – 30

Hier lehnt man sich an die DSGVO an. Die Anfor­de­run­gen an den Bera­ter wer­den hier auf Ver­ord­nungs­stu­fe gere­gelt, wäh­rend jene bei pri­va­ten Ver­ant­wort­li­chen inhalt­lich fast gleich im Gesetz ste­hen (Art. 10) – syste­ma­tisch unschön, aber im revDSG so angelegt.

Art. 31 – 32

  • Die­se Bestim­mun­gen dürf­ten noch zu reden geben. Bun­des­or­ga­ne müs­sen bei auto­ma­ti­sier­ten Bear­bei­tungs­tä­tig­kei­ten zuerst – bei der “Pla­nung” – den Bera­ter infor­mie­ren, damit “die Erfor­der­nis­se des Daten­schut­zes sogleich berück­sich­tigt” wer­den. Was “sogleich” hei­ssen soll, ist offen; gemeint ist wohl nur, dass der Daten­schutz im Sin­ne von Pri­va­cy by Design recht­zei­tig bedacht wer­den soll. Der Bera­ter muss auch bei “Abschluss” des Pro­jekts inforr­miert wer­den, aller­dings ohne dass klar wür­de, wozu die­se Infor­ma­ti­on dient und was unter Pro­jekt­ab­schluss zu ver­ste­hen ist.
  • Bei der Pla­nung wird also der Bera­ter infor­miert. Bei der anschlie­ssen­den “Frei­ga­be” des Pro­jekts oder des “Ent­scheids zur Pro­jekt­ent­wick­lung” ist sodann der EDÖB zu infor­mie­ren. Kei­ne die­ser Sta­tio­nen ist aller­dings klar. Es hät­te genügt, eine “recht­zei­ti­ge” Infor­ma­ti­on an den Bera­ter und eine Infor­ma­ti­on des EDÖB “vor Beginn der Bear­bei­tung” zu ver­lan­gen (wenn überhaupt).
  • Art. 32: Zu Beach­ten ist die über­gangs­be­stim­mung in Art. 47.

Eid­ge­nös­si­scher Daten­schutz- und Öffentlichkeitsbeauftragter

Art. 45 – Gebühren

Nach Art. 59 revDSG erhebt der EDÖB Gebüh­ren für Tätig­kei­ten wie z.B. die Stel­lung­nah­me zu einem Ver­hal­tens­ko­dex, die Kon­sul­ta­ti­on auf­grund einer Daten­schutz-Fol­gen­ab­schät­zung (was noch mehr dazu führt, dass das Rest­ri­si­ko nicht hoch ist), vor­sorg­li­che Mass­nah­men und Mass­nah­men nach Art. 51 (!!) und für Bera­tun­gen. Der Ansatz liegt nun je nach­dem bei CHF 150 bis 350. Zu beach­ten bleibt die Allg­GebV. Unter ande­ren isrt die gebüh­ren­pflich­ti­ge Per­son vor­gän­gig über die vor­aus­sicht­li­che Gebühr zu infor­mie­ren, wenn der Auf­wand ausser­ge­wöhn­lich ist. Das müss­te eigent­lich auch bei vor­sorg­li­chen Mass­nah­men nach Art. 51 revDSG gelten…