In Kürze

Verhaltenskodizes sind Verhaltensregelungen, von Berufs-, Branchen- und Wirtschaftsverbänden. Sie haben sich in der Wirtschaft als Teil der «Good Corporate Governance» als Code of Conduct etabliert und sollen jetzt auch auf den Datenschutz ausgeweitet werden. Die datenschutzrechtlichen Vorgaben und Bestimmungen werden durch Verhaltenskodizes sektorenspezifisch konkretisiert. Die Bundesorgane und privaten Verbände sind frei, ihren eigenen Verhaltenskodex auszuarbeiten.

Die Verhaltenskodizes können dem EDÖB vorgelegt werden. Der EDÖB prüft die Vereinbarkeit der Kodizes mit dem DSG. Eine Vorlegung ist nur obligatorisch, wenn der Kodex als Rechtfertigung eines Datenexports nach Art. 12 DSV verwendet werden soll. Sie empfiehlt sich jedoch aus Gründen der Sorgfalts- und Haftpflicht grundsätzlich.

Art. 11 kann mit Art. 40 DSGVO verglichen werden, wo die Anforderungen und rechtlichen Konsequenzen von Verhaltenskodizes bzw. «Verhaltensregeln» (Art. 40 DSGVO) ähnlich sind. Die gemäss Art. 40 DSGVO erstellten Kodizes bieten also einen guten Orientierungspunkt für eine mögliche Umsetzung in der Schweiz. Falls eine Genehmigung des Kodex für die Europäische Union gewünscht ist, sind seine Anforderungen massgebend.

Weiter fördert das Erstellen von Verhaltenskodizes die Internationalisierung von Unternehmen und die Vereinheitlichung des Datenschutzes innerhalb einzelner Branchen. Codes of Conduct wurden auf internationaler wirtschaftlicher Ebene schon länger eingeführt und unterstützen eine länderübergreifende, einheitliche und effiziente Unternehmensführung. Durch einen Verhaltenskodex kann ein Unternehmen unter Umständen also auch internationalen, rechtlichen und branchenspezifischen Anforderungen gerecht werden.

I. Allgemeines

A. Entstehungsgeschichte

1. Codes of Conduct im Unternehmen

1Ein massgebliches Ziel der Totalrevision des DSG war es, Aspekte der Selbstregulierung auszubauen und zu fördern. Während im Art. 11 aDSG lediglich ein Zertifizierungsverfahren (N. 22 f.) vorgesehen war, wird dies im nDSG durch das Instrument der Verhaltenskodizes ergänzt. Diese sollen es Verbänden ermöglichen die Datenschutzgesetzgebung, autonom ihren Bedürfnissen entsprechend, zu konkretisieren. Mit dem Verhaltenskodex wird ein Wirtschafts- und Unternehmensbegriff («Code of Conduct») im Datenschutzrecht eingeführt. Als Teil der Compliance-Kultur und «Corporate Governance»

sind Verhaltenskodizes schon länger in Unternehmen verbreitet. Nun werden sie zur Unterstützung, Konkretisierung und Lenkung von Datenschutzmanagementsystemen gesetzlich vorgesehen und definiert.

2. Best Practices

2Für die Umsetzung des Datenschutzes werden im BBl 2017 sogenannte «Best Practices» für die unternehmensinnere Umsetzung des Datenschutzes erwähnt.

«Best Practices» sind im Umfeld der Corporate Governance schon lange gängig und beschreiben diverse Modelle oder Methoden, um im Unternehmen selbst Vorgehensweisen, Prozesse oder Praktiken systematisch zu optimieren. Ein Ablauf wird standardisiert, um den optimalen Geschäftsablauf zu erreichen. Der Begriff der «guten Praxis» ist zudem ausdrücklich in Art. 58 Abs. 1 lit. g DSG erwähnt, wonach der EDÖB selbst Arbeitsinstrumente zu ihrer Einhaltung ausarbeiten soll.

3Best Practices sind auch international vertreten; in Art. 4 Abs. 3 der Verordnung über die Datenschutzzertifizierungen (VDSZ) wird auf bestehende internationale Normen verwiesen, welche als Massstab für funktionierende Datenschutzmanagementsysteme statuiert werden. Indirekt wird hier ebenfalls auf gute Praxis und Verhaltenskodizes verwiesen. Neuseeland und Argentinien bezeichnen zudem Verhaltenskodizes als Best Practices.

4Auch in der Schweiz wurde in der Vernehmlassung darüber diskutiert, ob der EDÖB selbst datenschutzrechtliche «Best Practices» erlassen solle, da der EDÖB die Aufgabe hat, Bundesorgane und Private zu beraten und ihnen in diesem Rahmen auch Leitfäden und Arbeitsinstrumente zur Verfügung zu stellen. Diese Vorgaben im Sinne von Best Practices hätten somit auch Verhaltenskodizes beeinflusst. Auch Art. 58 Abs. 1 lit. g DSG kann als Kompetenz zur Ausarbeitung von Leitfäden verstanden werden, die Verhaltenskodizes ähneln.

5In der Vernehmlassung wurde insbesondere von Seiten der Wirtschaft kritisiert, dass der EDÖB seine Exekutiv-Kompetenzen überschreiten würde, da solche Vorgaben indirekt eine ähnliche Wirkung wie ein Gesetz haben.

Deshalb wurde schliesslich darauf verzichtet dem EDÖB diese zusätzlichen Kompetenzen einzuräumen. Stattdessen wird auf die selbst-regulatorischen, individualisierten Massnahmen der Verhaltenskodizes gesetzt, die in der Vernehmlassung breiten Zuspruch fanden. «Best Practices» können sodann im Verhaltenskodex selbst festgehalten werden.

B. Normzweck

6Normzweck und Ziel des Gesetzgebers ist es, einen Orientierungsrahmen sowie Rechtssicherheit für Anspruchsgruppen und Wirtschaftsverbände zu schaffen. Durch eine selbstregulatorische Massnahme kann ein Verband Datenschutzvorgaben konkretisieren und flexibel an neue Datenschutzentwicklungen anpassen.

1. Förderung der Datenschutzkonformität

7Verhaltenskodizes sollen die Datenschutzkonformität auf zwei Ebenen fördern: auf erster Ebene bilden sie einen Rahmen, der Rechtssicherheit für verschiedene Gruppierungen und Wirtschaftsverbände. Datenschutzrechtliche Massnahmen können nun einheitlich geregelt werden. Eine autonome Konkretisierung bietet auch Möglichkeiten für berufsspezifische Anpassungen und Flexibilität gegenüber Datenschutzentwicklungen. Vor allem Letzteres dürfte sich als besonders wichtig erweisen, da der technologische Fortschritt mit rasanter Geschwindigkeit Einzug hält. Natürlich müssen bei diesen Freiheiten immer die Vorgaben des DSG selbst beachtet und eingehalten werden. So kann langfristig das neue Datenschutzgesetz besser umgesetzt werden. Die Adressaten sollen zu gesetzeskonformem Verhalten angehalten werden.

8Auf zweiter Ebene stellt das Gesetz eine Entlastung für den EDÖB dar. So zeichnet sich ab, dass durch die Annahme von Kodizes durch die Verantwortlichen eine Vereinheitlichung der Datenschutzrichtlinien in den einzelnen Branchen stattfinden wird.

Der EDÖB kann bei einer allfälligen Prüfung eines Verantwortlichen auf den bereits genehmigten Kodex abstellen und muss nur noch prüfen, ob dieser auch eingehalten wird. Eine möglicherweise zeitaufwändige Suche und Zusammenstellung von in Reglementen und Statuten verstreuten Datenschutzregelungen ist nun nicht mehr notwendig. Die Zulässigkeitsprüfungen der Datenschutzkonformität sind nicht mehr punktuell und einzelfallorientiert, sondern stützen sich auf ein einheitliches, durch einen Verhaltenskodex festgelegtes, Regelgefüge.

2. Die regulierte Selbstregulierung

9Im Rahmen der Digitalisierung und der globalen Vernetzung erlangen Vermittlungsdienstleister und Netzwerkbetreibende einen immer grösseren Einfluss auf die Datenerhebung und -bearbeitung von Personendaten.

Hinzu kommt, dass der Gesetzgeber in aller Regel erst nachdem eine bestimmte Technologie gesellschaftlich und rechtliche Relevanz erlangt, darauf reagieren kann.

10Die «regulierte Selbstregulierung» baut nun eine Brücke zwischen staatlichen Rechtsnormen (sog. «Hard Law») und privatrechtlichen, sektorspezifischen Leitfäden. Verhaltenskodizes bieten hier ein Paradebespiel.

Verhaltenskodizes sind einerseits gesetzlich vorgesehen und die Vorlage hat bestimmte Rechtsfolgen (N 30 f.), andererseits lässt der Gesetzgeber den Verbänden einen beträchtlichen Gestaltungsspielraum, wie er diese auf das eigene Umfeld zugeschnitten erstellen möchte. Wie das in der Praxis konkret ausgestaltet wird, veranschaulicht das Beispiel des Datenschutzkodizes des Gesamtverbandes der Deutschen Versicherungswirtschaft, der auf der analogen Regelung der DSGVO beruht. Er stellt Regeln auf für den Umgang mit Personendaten in versicherungstypischen Tätigkeiten wie Statistik, Tarifkalkulation und Prämienberechnung auf. Auch die Regeln für die Datenweitergabe an verschiedene Branchenspezifische Personenkategorien, wie Rückversicherer, Vermittler, Konkurrenten, etc. werden genauer definiert. Bei der Bearbeitung von Bonitätsdaten wird hingegen auf das Gesetz verwiesen, ohne weitergehende Regelungen zu erlassen.

11Innerhalb des gesetzlich vorgegebenen Rahmens können sich die Verbände und Bundesorgane selbst orientieren und branchenspezifisch regulieren. Die Kenntnisse und das Bewusstsein für Datenschutz wachsen innerhalb des Unternehmens. Kontextualisierte, präzise Verhaltenskodifikationen führen zu mehr Rechtssicherheit. Auch sollten spezifizierte Normen in der jeweiligen Branche auf mehr Verständnis und Anklang stossen. Unternehmen derartige praxisorientierten Massnahmen zu bieten, ist für ein zeitgemässes, dynamisches und vor allem konformes Datenschutzrecht unumgänglich.

II. Inhalt

A. Verhaltenskodex

1. Ein Verhaltenskodex im Allgemeinen

12Ein Verhaltenskodex ist ein formales Dokument mit einer Zusammenstellung von Normen. Er soll im Unternehmen erwünschtes Verhalten konkret festlegen. Er geniesst in der Unternehmenskultur ein gutes Ansehen und gilt als wichtige Stütze von Good Corporate Governance und wurde zum unverzichtbaren Bestandteil der Unternehmenskultur.

13Ein Verhaltenskodex ist indes kein Bestandteil einer zwingenden Rechtsordnung. Unternehmen entscheiden selbst, ob sie sich einem Kodex des Verbandes anschliessen wollen oder nicht. Es handelt sich um eine Selbstverpflichtung. Sobald das Unternehmen sich verpflichtet hat, ist der Kodex grundsätzlich verbindlich. Wie und ob der Verband die Einhaltung seines Kodex durchsetzen will, bleibt ihm überlassen. Zweck eines solchen Kodex ist es, das Verhalten der Mitarbeitenden und der Führungskräfte zu lenken, sowohl im Unternehmen selbst, wie auch gegenüber aussenstehenden Dritten. Dies wird erreicht, indem alltägliche Handlungen und Verhaltensnormen inner- und ausserhalb des Unternehmens vereinheitlicht und systematisiert vorgegeben werden.

14So schützt ein Verhaltenskodex das Unternehmen von innen sowie nach aussen. Nach aussen werden Mitarbeitende in ihren Entscheidungen abgesichert und das Unternehmen kann sich besser vor externen Angriffen schützen, indem es Rechtskonformität, Compliance und Sorgfalt durch den Verhaltenskodex nachweisen kann.

Intern trägt ein Verhaltenskodex, durch das Festlegen von Standards, bspw. im Bereich Kommunikation, an die sich die Mitarbeiter zu halten haben, zu einer gesunden, förderlichen Unternehmenskultur bei. Dies stärkt das Vertrauen unter den Mitarbeitenden.

15Zur Erstellung eines Verhaltenskodizes im Allgemeinen ist es hilfreich, sich an Leitfragen zu orientieren. Insbesondere folgende Punkte sind zu klären:

• Wie muss ich mich verhalten?

• Was darf ich und was ist verboten?

• Wann muss ich beim Verhalten eines Dritten eingreifen?

• Wer ist meine Ansprechperson, wenn ich Fragen, Zweifel oder Unklarheiten habe?

• Was passiert, wenn ich gegen den Verhaltenskodex verstosse?

16Die geregelten Punkte stellen für die Mitarbeitenden selbst eine wichtige Information zu gewünschten Verhaltensweisen dar. Es ist daher wichtig, einen Verhaltenskodex klar und verständlich zu formulieren und dem Unternehmen anzupassen. Schwerpunkt der entsprechenden Verhaltensvorgaben sind ausserdem die unternehmens- oder branchenspezifischen Risiken des individuellen Unternehmens. Ein gültiger Verhaltenskodex wird regelmässig aktualisiert und von der Geschäftsführung bestätigt.

2. Verhaltenskodizes im Datenschutz

17Verhaltenskodizes im Datenschutz beziehen sich auf die Normen des DSG, führen diese weiter aus und passen sie spezifisch an die betroffene Branche an. Dazu gehören etwa Mustervorlagen für Datenschutzerklärungen, Datenbearbeitungen mit hohem Risiko im Unternehmen oder eine Anleitung zur korrekten Anonymisierung von Daten.

Folgend werden Leitfragen zu möglichen Regelungsbereichen aufgelistet. Diese Fragen sind weder abschliessend noch zwingend. Sie bieten jedoch einen Überblick darüber, was in einem datenschutzspezifischen Verhaltenskodex enthalten sein sollte.

• Sind die Daten, die ich bearbeite, korrekt?

• Wer ist bei dieser Datenbearbeitung betroffen?

• Welche personenbezogenen Daten werden erhoben?

• Welche Daten sind besonders risikoreich?

• Können Datenverschlüsselungen adäquat gewährleistet werden?

• Verfügen die betroffenen Personen über ein Auskunftsrecht?

• Verfügt das Unternehmen über technische und organisatorische Datenschutzmassnahmen?

• Voraussetzungen für eine Übermittlung von Personendaten ins Ausland und die Gewährleistung der schweizerischen datenschutzrechtlichen Garantien

• Verfahrensmodalitäten bei Falle des Konflikts zwischen betroffenen Personen und Verantwortlichen

18Solche Leitfragen können den Verbänden als Ausgangspunkt dienen. Um den individuellen Anforderungen in einer bestimmten Branche gerecht zu werden, bedarf es jedoch genaueren Ausführungen und einer sorgfältigen Dokumentation und Reflexion über die in der jeweiligen Branche alltäglich erhobenen Daten. Zu beachten sind die Bedürfnisse, der dem Verband angehörigen Unternehmen, d.h. der Mitarbeitenden, der Aktionären und Aktionärinnen, der Kundschaft usw.

3. Konkretisierung und Selbstregulierung

19Der Verhaltenskodex nach Art. 11 DSG wendet somit die Normen des Datenschutzgesetzes auf einen konkreten Sachverhalt an. Allgemeine Formulierungen werden konkretisiert, präzisiert und auch für Mitarbeitende verständlich gemacht.

20Er muss dabei mindestens so streng sein wie das DSG, mit allenfalls strengeren, branchenspezifischen Vorgaben.

Präzisierungen nimmt der Verband selbst vor. Damit soll die Selbstregulierung und Eigenverantwortung gefördert werden. Staatliche Eingriffe sollen minimiert werden. Weiter fördert eine selbstregulatorische Autonomie das Verantwortungsbewusstsein der Verantwortlichen.

21Der Staat soll nicht aktiv in die Tätigkeit von einzelnen Branchen oder sonstigen Verbänden eingreifen, sondern überlässt es ihnen selbst, die Generalklauseln des DSG ihren Bedürfnissen entsprechend zu konkretisieren. Dies führt zu Klarheit über die Rechtslage und präzisen Formulierungen.

B. Abgrenzung von der Zertifizierung

22In Art. 13 DSG werden Datenschutzzertifizierungen eingeführt, die die Datenschutzkonformität von Systemen, Produkten und Dienstleistungen eines Unternehmens ausweisen. Die Zertifizierungsstellen agieren hier im Rahmen der Weisungen des EDÖB unabhängig. Der EDÖB kontrolliert somit im Gegensatz zu den Verhaltenskodizes nicht selbst, sondern nimmt nur mittelbar Einfluss, indem er Regelungen zur Anerkennung einer Zertifizierung erlässt (Art. 13 DSG). Als Orientierung dient die VDSZ, welche die Anforderungen für Zertifizierungsstellen ausführt und präzisiert.

23Die Datenschutzzertifizierungen dienen einer punktuellen Evaluierung der Datenschutzkonformität eines Systems oder einzelner Bearbeitungsvorgänge. Verhaltenskodizes hingegen beschreiben alle oder die meisten Vorgaben von Bearbeitungstätigkeiten eines Unternehmens, bzw. wie branchenspezifisch damit umgegangen werden soll. In anderen Worten bieten Verhaltenskodizes einen allgemeinen Orientierungsrahmen, während Datenschutzzertifizierungen die Konformität eines einzelnen Vorgangs bestätigen.

Zertifizierungen sind für die Umsetzung der Datenschutzkonformität in der Praxis entscheidend. Während Verhaltenskodizes das gewünschte Verhalten analog dem Gesetz in der Theorie festlegt, dient die Zertifizierung als Instrument in der Umsetzung der Regeln im Alltag.

24Zertifizierungen und ein Verhaltenskodex schliessen sich also keineswegs aus. So scheint es für ein Unternehmen zielführend, wenn neben einem Verhaltenskodex punktuelle Datenschutzzertifizierungen von qualifizierten Stellen eingeholt werden. Dies gilt vor allem, wenn die konkrete Datenbearbeitung atypisch, neu oder besonders risikoreich für das betroffene Unternehmen scheint.

III. Stellungnahme des EDÖB

25Zur Erstellung eines Kodex, der dem EDÖB zur Überprüfung vorgelegt werden kann, sind Berufs-, Branchen und Wirtschaftsverbände legitimiert, die nach ihren Statuten zur Wahrung der wirtschaftlichen Interessen ihrer Mitglieder befugt sind.

26Einzelne Verantwortliche oder Auftragsbearbeiter können ihre Verhaltenskodizes nicht vorlegen. Dies wird damit begründet, dass Art. 11 DSG eine gewisse Vereinheitlichung innerhalb einzelner Branchen zum Ziel hat.

27Hingegen vorlageberechtigt sind wohl analog zu Art. 89 ZPO Verbände und Organisationen, die eine gewisse nationale oder zumindest regionale Bedeutung haben.

Ein kantonaler Verband wird diese Voraussetzung regelmässig erfüllen.

28Die Rechtsform des Verbandes ist grundsätzlich nicht massgebend.

Jedoch scheiden einzelne Unternehmen, insbesondere Aktiengesellschaften aus, da es ihnen an Mitgliedern fehlt. Aus dem gleichen Grund sind auch Stiftungen nicht vorlageberechtigt. Konsumentenorganisationen und Vereinen betroffener Personen fehlt es an der Voraussetzung, die wirtschaftlichen Interessen ihrer Mitglieder zu vertreten.

29Bundesorgane sind immer vorlageberechtigt. Dies begründet sich durch die zahlreichen gesetzlichen Vorgaben und verschiedenen Aufgaben, die an die unterschiedlichen Organe gestellt werden.

A. Rechtliche Tragweite einer Vorlage

30Nach Art. 11 DSG ist die Vorlage eines Verhaltenskodex für Verbände und Unternehmen grundsätzlich fakultativ.

Dieser Grundsatz wird durch Art. 12 DSV relativiert. Dort wird die Pflicht vorgesehen, dem EDÖB den Kodex zur Genehmigung vorzulegen, falls ein Datenexport durch den Kodex gerechtfertigt werden soll (Art. 12 DSV). Der Grundsatz der Freiwilligkeit, der sowohl bei der Erstellung der Verhaltenskodizes als auch der Vorlegung dieser an den EDÖB gilt, wird nun durch diese Konstellation der ausländischen Datenvermittlung durchbrochen. Dies kann mit einem höheren Sicherheitsstandard begründet werden, der sich durch den weit risikoreicheren internationalen Datenaustausch fast automatisch ergibt. So soll sichergestellt werden, dass der Verhaltenskodex einen ausreichenden Datenschutz gewährleistet. Dies wird unterstrichen durch eine „verbindliche und durchsetzbare“ Verpflichtung des Verantwortlichen oder des Auftragsbearbeiters im Drittstaat, sich an den Verhaltenskodex zu halten (Art. 12 Abs. 3 DSV). Sie wird verbindlich durch Massnahmen, die dem geltenden Recht im jeweiligen Drittstaat genügen wie z.B. eine Verankerung der Kodizes in den Satzungen des Verantwortlichen.

31Eine Vorlage bietet sich unter dem Gesichtspunkt der Sorgfaltspflicht und der Haftpflicht innerhalb der vertretenen Unternehmen als vorteilhaft an. Denn nur eine offizielle amtliche Stellungnahme kann ausreichend belegen, dass der Kodex Datenschutzrechtskonform ist. Ein bestätigter Verhaltenskodex ist ein direkter Nachweis dafür, dass das Unternehmen datenschutzrechtlich klare Regelungen, die dem DSG genügen, verfolgt.

32Da Verhaltenskodizes selbstregulatorische Massnahmen sind, welche auf die jeweiligen Branchen und Berufe, für die sie erstellt wurden, wirken, stellen sie eine Rechtskonkretisierung für die Praxis dar. Es bietet sich somit auch die Möglichkeit, dass sich in einem bestimmten Bereich allgemein anerkannte Verhaltensvorgaben bilden. Dies vereinfacht die Einhaltung des Datenschutzes für Unternehmen erheblich; so hätten sie einen konkreten Leitfaden und Orientierungsmassstab für ihren eigenen Tätigkeitsbereich.

B. Folgen der Stellungnahme

33Der EDÖB ist verpflichtet eine Stellungnahme abzugeben. Die Stellungnahme ist keine Verfügung, sondern ein Realakt und ist somit grundsätzlich nicht verbindlich.

Trotzdem kann eine Bestätigung des EDÖB unterschiedliche Folgen haben.

34Eine positive Stellungnahme ist immer dann zu erwarten, wenn der Kodex die Einhaltung sämtlicher Bestimmungen des DSG vorsieht. Massstab der Stellungnahme ist also das Gesetz.

Der EDÖB kann die Stellungnahme, insbesondere bei fehlender Konkretisierung oder bei inkorrekter Rechtsanwendung, mit Verbesserungsvorschlägen und Empfehlungen versehen. Nach Art. 59 DSG wird bei Privatpersonen für eine Stellungnahme eine Gebühr erhoben. Die Gebühr bemessen sich gem. Art. 44 Abs. 1 und 2 DSV grundsätzlich nach dem Zeitaufwand, wobei der Stundenansatz CHF 150 bis CHF 250, je nach Funktion des ausführenden Personals, beträgt.

35Es kann nach einer positiven Stellungnahme davon ausgegangen werden, dass das dem Kodex entsprechende Verhalten keine Sanktionen oder Verwaltungsmassnahmen nach sich ziehen wird, d.h. dass die dem Kodex entsprechenden Datenbearbeitungen datenschutzkonform sind.

36Auch kann von einer Datenschutzfolgeabschätzung (DSFA) abgesehen werden, falls der EDÖB eine positive Stellungnahme abgibt und der Verhaltenskodex auf einer noch aktuellen DSFA beruht, welche die Persönlichkeits- und Grundrechte der betroffenen Person schützt (Art. 22 Abs. 5 lit. a und b DSG). Ein genehmigter Verhaltenskodex stellt eine Alternative bzw. eine Ausnahme der Pflicht zur Erstellung einer Folgeabschätzung dar. Für Risikoanalysen eines Unternehmens bietet es sich an, DSFAs und Verhaltenskodizes zu koppeln, um ein allfälliges datenschutzrechtliches Risiko möglichst zu minimieren.

37Fraglich sind nun die Folgen einer fehlerhaften Stellungnahme. Der oder die Private befindet sich hier im Glauben, dass der eigene Verhaltenskodex datenschutzkonform ist. Bearbeitungen gestützt darauf also keine Verwaltungsmassnahmen oder Sanktionen nach sich ziehen werden. Wenn die private Person aufgrund von falschen Auskünften den Datenschutz dennoch verletzt, riskiert sie unter Umständen trotzdem Sanktionen. Denn die Voraussetzungen für einen gültigen Vertrauensschutz sind streng. Zu dessen Annahme braucht es insbesondere genügend konkretisierte Formulierungen im Kodex und der eingetretene Sachverhalt muss kongruent zum Vorgesehenen sein.

38Art. 11 sieht keine Regelung für den Fall vor, dass verschiedene Verbände für die gleichen oder sich überschneidende Sachverhalte unterschiedliche Regelungen in ihren Kodizes festlegen. Sofern die konkurrierenden Entwürfe die oben genannten Voraussetzungen für sich genommen erfüllen, wird der EDÖB die Kodizes mit einer positiven Stellungnahme versehen..

Allerdings ist er frei in seiner Stellungnahme auf Widersprüche hinzuweisen, da die Vereinheitlichung der Datenschutzregeln im Normzweck enthalten ist.

39So kann es zur Situation kommen, dass ein Verantwortlicher, der Mitglied in verschiedenen Verbänden ist, sich zur Einhaltung sich widersprechender Verhaltenskodizes verpflichtet. Da der EDÖB nur eine positive Stellungnahme abgeben wird, wenn die gesetzlichen Vorgaben des DSG erfüllt sind, wird er dadurch nicht in Konflikt mit dem Gesetz kommen. Dennoch empfiehlt es sich, sich nur einem Verhaltenskodex anzuschliessen, um die unternehmensinternen Datenschutzgrundsätze stringent zu halten.

IV. Selbstregulierung nach Art. 40 DSGVO

40Auch die DSGVO kennt eine Norm zur Selbstregulierung und Konkretisierung des Datenschutzes. In Art. 40 DSGVO wird von der „Ausarbeitung von Verhaltensregeln“ gesprochen, welche von Verbänden oder gleichartigen Vereinen erstellt werden. Auch hier wird auf selbstregulatorische Massnahmen der Unternehmen gesetzt. Die Regeln sind zur Ergänzung und nicht als Ersatz zu Gesetzesvorschriften zu betrachten.

41Die Anforderungen an und Rechtsfolgen von Verhaltenskodizes und jene der Verhaltensregeln sind ähnlich. So werden auch Verhaltensregeln einer Aufsichtsbehörde zur Stellungnahme vorgelegt, welche ebenfalls publiziert wird. Der Verantwortliche muss nach den allgemeinen Rechenschaftspflichten gem. Art. 5 Abs. 2 DSGVO die datenschutzrechtlichen Prinzipien einhalten und dies auch nachweisen können. Das Verfassen von Verhaltensregeln erleichtert dieses Vorhaben. Art. 40 DSGVO präzisiert die Vorgaben für Verhaltensregeln genauer (Abs. 2 lit. a–k) und sieht verschiedenartige Verfahren vor, um für sicheren Datenschutz innerhalb aller Mitgliedstaaten zu sorgen, auch durch Durchführungsrechtsakte von der Kommission.

42Auch die DSGVO verspricht Unternehmen Vorteile und Nachweiserleichterungen, wenn sie sich genehmigten Verhaltensregeln freiwillig unterwerfen.

43Im Gegensatz zur Schweiz kann eine Verhaltensregel, die dem Europäischen Datenschutzausschuss durch die nationale Aufsichtsbehörde vorgelegt (Art. 63 DSGVO) und von diesen bestätigt wurde, auch auf Unionsebene Wirkung entfalten.

Durch eine Allgemeingültigkeitserklärung können Verhaltensregeln für unionsweit gültig erklärt werden (Art. 40 Abs. 9 DSGVO). Ein Verhaltenskodex, der sich nur am DSG orientiert und nur dem EDÖB vorgelegt wurde, hat keine Garantie auf länderübergreifende Datenschutzkonformität. Es erscheint vorteilhaft, dass in der Union tätige (Schweizerische) Verbände ihre Kodizes auch den zuständigen Stellen in der EU vorlegen oder dass Verantwortliche bereits genehmigte Verhaltensregeln übernehmen. Dadurch wird Marktzugang erleichtert, gleichzeitig führt dies zu einer Effizienzsteigerung, da weniger Zeit und Ressourcen für bürokratische und regulatorische Prozesse aufgewendet werden müssen. Zudem entsteht eine Harmonisierung der Standards, was insbesondere Unternehmen, die sowohl in der Schweiz als auch in der EU tätig sind, zugutekommt.

Literaturverzeichnis

Amacher Michel/Hajdini Lorian, Straf- und Strafprozessrecht/Geheime Überwachungsmassnahmen im digitalen Zeitalter, in: Alexandra Dal Molin-Kränzlin/Anne Mirjam Schneuwly/Jasna Stojanovic (Hrsg.), Digitalisierung - Gesellschaft - Recht, Zürich/St. Gallen 2019, S. 386.

Baeriswyl Bruno, Geschichten aus dem Wilden Westen - Der Datenschutz im privatrechtlichen Bereich geht seine eigenen Wege: Der Grundrechtsschutz bleibt auf der Strecke., digma 2011, S. 140 ff.

Drittenbass Joel, Regulierung von autonomen Robotern, Zürich 2021, S. 309 ff.

Gasser Dominik/Rickli Brigitte, Schweizerische Zivilprozessordnung (ZPO), Kurzkommentar, Zürich et al. 2014.

Kasper Gabriel, People Analytics in privatrechtlichen Arbeitsverhältnissen, Zürich 2021, S. 315 ff.

Kühling Jürgen/Buchner Benedikt (Hrsg.), Datenschutzgrundverordnung BDSG, München 2020.

Kunz Laura, Kommentierung zu Art. 11 DSG in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Stämpflis Handkommentar zum DSG, 2. Aufl., Zürich/Basel, 2023.

Lepperhoff Niels, Kommentierung zu Art. 40 DS-GVO in: Gola/Heckmann (Hrsg.), Datenschutz-Grundverordnung – Bundesdatenschutzgesetz, 3. Aufl., Königswinter et al. 2022.

Paal Boris P./Pauly Daniel A., Datenschutzgrundverordnung, Beck’sche Kompakt-Kommentare, 3. Auf., München 2021.

Portmann Wolfgang/Meier Anne (Hrsg.), Jahrbuch des Schweizerischen Arbeitsrechts 2021, Bern 2021, S. 57 ff. (zit. JAR 2021).

Richter Julia, Soft Law als Brückenbauer zwischen Wirtschaft und dem Schutz der Gesundheit?, Archiv des Völkerrechts 2014/52, S. 545 ff.

Rosenthal David, Das neue Datenschutzgesetz, Jusletter 16.11.2020; Stirnimann Sonja, Der Verhaltenskodex aus praxistauglicher Perspektive, EF 10/22 2022, S. 460 ff.

Rothkegel Tobias, Verhaltensregeln und Zertifizierungen, in: Moos Flemming/Schefzig Jens/Arning Marian Alexander (Hrsg.), Praxishandbuch DSGVO, Frankfurt am Main 2021, S. 879 ff.

Wind Christian, Leitfaden Compliance, Zürich et al. 2018, S. 111 ff.

Materialienverzeichnis

Botschaft vom 15.9.2017 zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz, BBl 2017 6941 ff.