-
- Art. 5a BV
- Art. 6 BV
- Art. 10 BV
- Art. 16 BV
- Art. 17 BV
- Art. 20 BV
- Art. 22 BV
- Art. 29a BV
- Art. 30 BV
- Art. 32 BV
- Art. 42 BV
- Art. 43 BV
- Art. 43a BV
- Art. 55 BV
- Art. 56 BV
- Art. 60 BV
- Art. 68 BV
- Art. 75b BV
- Art. 77 BV
- Art. 96 Abs. 2 lit. a BV
- Art. 110 BV
- Art. 117a BV
- Art. 118 BV
- Art. 123b BV
- Art. 136 BV
- Art. 166 BV
-
- Art. 11 OR
- Art. 12 OR
- Art. 50 OR
- Art. 51 OR
- Art. 84 OR
- Art. 143 OR
- Art. 144 OR
- Art. 145 OR
- Art. 146 OR
- Art. 147 OR
- Art. 148 OR
- Art. 149 OR
- Art. 150 OR
- Art. 701 OR
- Art. 715 OR
- Art. 715a OR
- Art. 734f OR
- Art. 785 OR
- Art. 786 OR
- Art. 787 OR
- Art. 788 OR
- Art. 808c OR
- Übergangsbestimmungen zur Aktienrechtsrevision vom 19. Juni 2020
-
- Art. 2 BPR
- Art. 3 BPR
- Art. 4 BPR
- Art. 6 BPR
- Art. 10 BPR
- Art. 10a BPR
- Art. 11 BPR
- Art. 12 BPR
- Art. 13 BPR
- Art. 14 BPR
- Art. 15 BPR
- Art. 16 BPR
- Art. 17 BPR
- Art. 19 BPR
- Art. 20 BPR
- Art. 21 BPR
- Art. 22 BPR
- Art. 23 BPR
- Art. 24 BPR
- Art. 25 BPR
- Art. 26 BPR
- Art. 27 BPR
- Art. 29 BPR
- Art. 30 BPR
- Art. 31 BPR
- Art. 32 BPR
- Art. 32a BPR
- Art. 33 BPR
- Art. 34 BPR
- Art. 35 BPR
- Art. 36 BPR
- Art. 37 BPR
- Art. 38 BPR
- Art. 39 BPR
- Art. 40 BPR
- Art. 41 BPR
- Art. 42 BPR
- Art. 43 BPR
- Art. 44 BPR
- Art. 45 BPR
- Art. 46 BPR
- Art. 47 BPR
- Art. 48 BPR
- Art. 49 BPR
- Art. 50 BPR
- Art. 51 BPR
- Art. 52 BPR
- Art. 53 BPR
- Art. 54 BPR
- Art. 55 BPR
- Art. 56 BPR
- Art. 57 BPR
- Art. 58 BPR
- Art. 59a BPR
- Art. 59b BPR
- Art. 59c BPR
- Art. 62 BPR
- Art. 63 BPR
- Art. 67 BPR
- Art. 67a BPR
- Art. 67b BPR
- Art. 73 BPR
- Art. 73a BPR
- Art. 75 BPR
- Art. 75a BPR
- Art. 76 BPR
- Art. 76a BPR
- Art. 90 BPR
-
- Vorb. zu Art. 1 DSG
- Art. 1 DSG
- Art. 2 DSG
- Art. 3 DSG
- Art. 5 lit. f und g DSG
- Art. 6 Abs. 6 und 7 DSG
- Art. 7 DSG
- Art. 10 DSG
- Art. 11 DSG
- Art. 12 DSG
- Art. 14 DSG
- Art. 15 DSG
- Art. 19 DSG
- Art. 20 DSG
- Art. 22 DSG
- Art. 23 DSG
- Art. 25 DSG
- Art. 26 DSG
- Art. 27 DSG
- Art. 31 Abs. 2 lit. e DSG
- Art. 33 DSG
- Art. 34 DSG
- Art. 35 DSG
- Art. 38 DSG
- Art. 39 DSG
- Art. 40 DSG
- Art. 41 DSG
- Art. 42 DSG
- Art. 43 DSG
- Art. 44 DSG
- Art. 44a DSG
- Art. 45 DSG
- Art. 46 DSG
- Art. 47 DSG
- Art. 47a DSG
- Art. 48 DSG
- Art. 49 DSG
- Art. 50 DSG
- Art. 51 DSG
- Art. 54 DSG
- Art. 57 DSG
- Art. 58 DSG
- Art. 60 DSG
- Art. 61 DSG
- Art. 62 DSG
- Art. 63 DSG
- Art. 64 DSG
- Art. 65 DSG
- Art. 66 DSG
- Art. 67 DSG
- Art. 69 DSG
- Art. 72 DSG
- Art. 72a DSG
-
- Art. 2 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 3 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 4 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 5 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 6 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 7 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 8 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 9 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 11 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 12 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 25 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 29 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 32 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 33 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 34 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
BUNDESVERFASSUNG
OBLIGATIONENRECHT
BUNDESGESETZ ÜBER DAS INTERNATIONALE PRIVATRECHT
LUGANO-ÜBEREINKOMMEN
STRAFPROZESSORDNUNG
ZIVILPROZESSORDNUNG
BUNDESGESETZ ÜBER DIE POLITISCHEN RECHTE
ZIVILGESETZBUCH
BUNDESGESETZ ÜBER KARTELLE UND ANDERE WETTBEWERBSBESCHRÄNKUNGEN
BUNDESGESETZ ÜBER INTERNATIONALE RECHTSHILFE IN STRAFSACHEN
DATENSCHUTZGESETZ
BUNDESGESETZ ÜBER SCHULDBETREIBUNG UND KONKURS
SCHWEIZERISCHES STRAFGESETZBUCH
CYBERCRIME CONVENTION
HANDELSREGISTERVERORDNUNG
- In Kürze
- I. Allgemeines
- II. Inhalt
- III. Stellungnahme des EDÖB
- IV. Selbstregulierung nach Art. 40 DSGVO
- Literaturverzeichnis
- Materialienverzeichnis
In Kürze
Verhaltenskodizes sind Verhaltensregelungen, von Berufs-, Branchen- und Wirtschaftsverbänden. Sie haben sich in der Wirtschaft als Teil der «Good Corporate Governance» als Code of Conduct etabliert und sollen jetzt auch auf den Datenschutz ausgeweitet werden. Die datenschutzrechtlichen Vorgaben und Bestimmungen werden durch Verhaltenskodizes sektorenspezifisch konkretisiert. Die Bundesorgane und privaten Verbände sind frei, ihren eigenen Verhaltenskodex auszuarbeiten.
Die Verhaltenskodizes können dem EDÖB vorgelegt werden. Der EDÖB prüft die Vereinbarkeit der Kodizes mit dem DSG. Eine Vorlegung ist nur obligatorisch, wenn der Kodex als Rechtfertigung eines Datenexports nach Art. 12 DSV verwendet werden soll. Sie empfiehlt sich jedoch aus Gründen der Sorgfalts- und Haftpflicht grundsätzlich.
Art. 11 kann mit Art. 40 DSGVO verglichen werden, wo die Anforderungen und rechtlichen Konsequenzen von Verhaltenskodizes bzw. «Verhaltensregeln» (Art. 40 DSGVO) ähnlich sind. Die gemäss Art. 40 DSGVO erstellten Kodizes bieten also einen guten Orientierungspunkt für eine mögliche Umsetzung in der Schweiz. Falls eine Genehmigung des Kodex für die Europäische Union gewünscht ist, sind seine Anforderungen massgebend.
Weiter fördert das Erstellen von Verhaltenskodizes die Internationalisierung von Unternehmen und die Vereinheitlichung des Datenschutzes innerhalb einzelner Branchen. Codes of Conduct wurden auf internationaler wirtschaftlicher Ebene schon länger eingeführt und unterstützen eine länderübergreifende, einheitliche und effiziente Unternehmensführung. Durch einen Verhaltenskodex kann ein Unternehmen unter Umständen also auch internationalen, rechtlichen und branchenspezifischen Anforderungen gerecht werden.
I. Allgemeines
A. Entstehungsgeschichte
1. Codes of Conduct im Unternehmen
1Ein massgebliches Ziel der Totalrevision des DSG war es, Aspekte der Selbstregulierung auszubauen und zu fördern. Während im Art. 11 aDSG lediglich ein Zertifizierungsverfahren (N. 22 f.) vorgesehen war, wird dies im nDSG durch das Instrument der Verhaltenskodizes ergänzt. Diese sollen es Verbänden ermöglichen die Datenschutzgesetzgebung, autonom ihren Bedürfnissen entsprechend, zu konkretisieren. Mit dem Verhaltenskodex wird ein Wirtschafts- und Unternehmensbegriff («Code of Conduct») im Datenschutzrecht eingeführt. Als Teil der Compliance-Kultur und «Corporate Governance»
2. Best Practices
2Für die Umsetzung des Datenschutzes werden im BBl 2017 sogenannte «Best Practices» für die unternehmensinnere Umsetzung des Datenschutzes erwähnt.
3Best Practices sind auch international vertreten; in Art. 4 Abs. 3 der Verordnung über die Datenschutzzertifizierungen (VDSZ) wird auf bestehende internationale Normen verwiesen, welche als Massstab für funktionierende Datenschutzmanagementsysteme statuiert werden. Indirekt wird hier ebenfalls auf gute Praxis und Verhaltenskodizes verwiesen. Neuseeland und Argentinien bezeichnen zudem Verhaltenskodizes als Best Practices.
4Auch in der Schweiz wurde in der Vernehmlassung darüber diskutiert, ob der EDÖB selbst datenschutzrechtliche «Best Practices» erlassen solle, da der EDÖB die Aufgabe hat, Bundesorgane und Private zu beraten und ihnen in diesem Rahmen auch Leitfäden und Arbeitsinstrumente zur Verfügung zu stellen. Diese Vorgaben im Sinne von Best Practices hätten somit auch Verhaltenskodizes beeinflusst. Auch Art. 58 Abs. 1 lit. g DSG kann als Kompetenz zur Ausarbeitung von Leitfäden verstanden werden, die Verhaltenskodizes ähneln.
5In der Vernehmlassung wurde insbesondere von Seiten der Wirtschaft kritisiert, dass der EDÖB seine Exekutiv-Kompetenzen überschreiten würde, da solche Vorgaben indirekt eine ähnliche Wirkung wie ein Gesetz haben.
B. Normzweck
6Normzweck und Ziel des Gesetzgebers ist es, einen Orientierungsrahmen sowie Rechtssicherheit für Anspruchsgruppen und Wirtschaftsverbände zu schaffen. Durch eine selbstregulatorische Massnahme kann ein Verband Datenschutzvorgaben konkretisieren und flexibel an neue Datenschutzentwicklungen anpassen.
1. Förderung der Datenschutzkonformität
7Verhaltenskodizes sollen die Datenschutzkonformität auf zwei Ebenen fördern: auf erster Ebene bilden sie einen Rahmen, der Rechtssicherheit für verschiedene Gruppierungen und Wirtschaftsverbände. Datenschutzrechtliche Massnahmen können nun einheitlich geregelt werden. Eine autonome Konkretisierung bietet auch Möglichkeiten für berufsspezifische Anpassungen und Flexibilität gegenüber Datenschutzentwicklungen. Vor allem Letzteres dürfte sich als besonders wichtig erweisen, da der technologische Fortschritt mit rasanter Geschwindigkeit Einzug hält. Natürlich müssen bei diesen Freiheiten immer die Vorgaben des DSG selbst beachtet und eingehalten werden. So kann langfristig das neue Datenschutzgesetz besser umgesetzt werden. Die Adressaten sollen zu gesetzeskonformem Verhalten angehalten werden.
8Auf zweiter Ebene stellt das Gesetz eine Entlastung für den EDÖB dar. So zeichnet sich ab, dass durch die Annahme von Kodizes durch die Verantwortlichen eine Vereinheitlichung der Datenschutzrichtlinien in den einzelnen Branchen stattfinden wird.
2. Die regulierte Selbstregulierung
9Im Rahmen der Digitalisierung und der globalen Vernetzung erlangen Vermittlungsdienstleister und Netzwerkbetreibende einen immer grösseren Einfluss auf die Datenerhebung und -bearbeitung von Personendaten.
10Die «regulierte Selbstregulierung» baut nun eine Brücke zwischen staatlichen Rechtsnormen (sog. «Hard Law») und privatrechtlichen, sektorspezifischen Leitfäden. Verhaltenskodizes bieten hier ein Paradebespiel.
11Innerhalb des gesetzlich vorgegebenen Rahmens können sich die Verbände und Bundesorgane selbst orientieren und branchenspezifisch regulieren. Die Kenntnisse und das Bewusstsein für Datenschutz wachsen innerhalb des Unternehmens. Kontextualisierte, präzise Verhaltenskodifikationen führen zu mehr Rechtssicherheit. Auch sollten spezifizierte Normen in der jeweiligen Branche auf mehr Verständnis und Anklang stossen. Unternehmen derartige praxisorientierten Massnahmen zu bieten, ist für ein zeitgemässes, dynamisches und vor allem konformes Datenschutzrecht unumgänglich.
II. Inhalt
A. Verhaltenskodex
1. Ein Verhaltenskodex im Allgemeinen
12Ein Verhaltenskodex ist ein formales Dokument mit einer Zusammenstellung von Normen. Er soll im Unternehmen erwünschtes Verhalten konkret festlegen. Er geniesst in der Unternehmenskultur ein gutes Ansehen und gilt als wichtige Stütze von Good Corporate Governance und wurde zum unverzichtbaren Bestandteil der Unternehmenskultur.
13Ein Verhaltenskodex ist indes kein Bestandteil einer zwingenden Rechtsordnung. Unternehmen entscheiden selbst, ob sie sich einem Kodex des Verbandes anschliessen wollen oder nicht. Es handelt sich um eine Selbstverpflichtung. Sobald das Unternehmen sich verpflichtet hat, ist der Kodex grundsätzlich verbindlich. Wie und ob der Verband die Einhaltung seines Kodex durchsetzen will, bleibt ihm überlassen. Zweck eines solchen Kodex ist es, das Verhalten der Mitarbeitenden und der Führungskräfte zu lenken, sowohl im Unternehmen selbst, wie auch gegenüber aussenstehenden Dritten. Dies wird erreicht, indem alltägliche Handlungen und Verhaltensnormen inner- und ausserhalb des Unternehmens vereinheitlicht und systematisiert vorgegeben werden.
14So schützt ein Verhaltenskodex das Unternehmen von innen sowie nach aussen. Nach aussen werden Mitarbeitende in ihren Entscheidungen abgesichert und das Unternehmen kann sich besser vor externen Angriffen schützen, indem es Rechtskonformität, Compliance und Sorgfalt durch den Verhaltenskodex nachweisen kann.
15Zur Erstellung eines Verhaltenskodizes im Allgemeinen ist es hilfreich, sich an Leitfragen zu orientieren. Insbesondere folgende Punkte sind zu klären:
Wie muss ich mich verhalten?
Was darf ich und was ist verboten?
Wann muss ich beim Verhalten eines Dritten eingreifen?
Wer ist meine Ansprechperson, wenn ich Fragen, Zweifel oder Unklarheiten habe?
Was passiert, wenn ich gegen den Verhaltenskodex verstosse?
16Die geregelten Punkte stellen für die Mitarbeitenden selbst eine wichtige Information zu gewünschten Verhaltensweisen dar. Es ist daher wichtig, einen Verhaltenskodex klar und verständlich zu formulieren und dem Unternehmen anzupassen. Schwerpunkt der entsprechenden Verhaltensvorgaben sind ausserdem die unternehmens- oder branchenspezifischen Risiken des individuellen Unternehmens. Ein gültiger Verhaltenskodex wird regelmässig aktualisiert und von der Geschäftsführung bestätigt.
2. Verhaltenskodizes im Datenschutz
17Verhaltenskodizes im Datenschutz beziehen sich auf die Normen des DSG, führen diese weiter aus und passen sie spezifisch an die betroffene Branche an. Dazu gehören etwa Mustervorlagen für Datenschutzerklärungen, Datenbearbeitungen mit hohem Risiko im Unternehmen oder eine Anleitung zur korrekten Anonymisierung von Daten.
Sind die Daten, die ich bearbeite, korrekt?
Wer ist bei dieser Datenbearbeitung betroffen?
Welche personenbezogenen Daten werden erhoben?
Welche Daten sind besonders risikoreich?
Können Datenverschlüsselungen adäquat gewährleistet werden?
Verfügen die betroffenen Personen über ein Auskunftsrecht?
Verfügt das Unternehmen über technische und organisatorische Datenschutzmassnahmen?
Voraussetzungen für eine Übermittlung von Personendaten ins Ausland und die Gewährleistung der schweizerischen datenschutzrechtlichen Garantien
Verfahrensmodalitäten bei Falle des Konflikts zwischen betroffenen Personen und Verantwortlichen
18Solche Leitfragen können den Verbänden als Ausgangspunkt dienen. Um den individuellen Anforderungen in einer bestimmten Branche gerecht zu werden, bedarf es jedoch genaueren Ausführungen und einer sorgfältigen Dokumentation und Reflexion über die in der jeweiligen Branche alltäglich erhobenen Daten. Zu beachten sind die Bedürfnisse, der dem Verband angehörigen Unternehmen, d.h. der Mitarbeitenden, der Aktionären und Aktionärinnen, der Kundschaft usw.
3. Konkretisierung und Selbstregulierung
19Der Verhaltenskodex nach Art. 11 DSG wendet somit die Normen des Datenschutzgesetzes auf einen konkreten Sachverhalt an. Allgemeine Formulierungen werden konkretisiert, präzisiert und auch für Mitarbeitende verständlich gemacht.
20Er muss dabei mindestens so streng sein wie das DSG, mit allenfalls strengeren, branchenspezifischen Vorgaben.
21Der Staat soll nicht aktiv in die Tätigkeit von einzelnen Branchen oder sonstigen Verbänden eingreifen, sondern überlässt es ihnen selbst, die Generalklauseln des DSG ihren Bedürfnissen entsprechend zu konkretisieren. Dies führt zu Klarheit über die Rechtslage und präzisen Formulierungen.
B. Abgrenzung von der Zertifizierung
22In Art. 13 DSG werden Datenschutzzertifizierungen eingeführt, die die Datenschutzkonformität von Systemen, Produkten und Dienstleistungen eines Unternehmens ausweisen. Die Zertifizierungsstellen agieren hier im Rahmen der Weisungen des EDÖB unabhängig. Der EDÖB kontrolliert somit im Gegensatz zu den Verhaltenskodizes nicht selbst, sondern nimmt nur mittelbar Einfluss, indem er Regelungen zur Anerkennung einer Zertifizierung erlässt (Art. 13 DSG). Als Orientierung dient die VDSZ, welche die Anforderungen für Zertifizierungsstellen ausführt und präzisiert.
23Die Datenschutzzertifizierungen dienen einer punktuellen Evaluierung der Datenschutzkonformität eines Systems oder einzelner Bearbeitungsvorgänge. Verhaltenskodizes hingegen beschreiben alle oder die meisten Vorgaben von Bearbeitungstätigkeiten eines Unternehmens, bzw. wie branchenspezifisch damit umgegangen werden soll. In anderen Worten bieten Verhaltenskodizes einen allgemeinen Orientierungsrahmen, während Datenschutzzertifizierungen die Konformität eines einzelnen Vorgangs bestätigen.
24Zertifizierungen und ein Verhaltenskodex schliessen sich also keineswegs aus. So scheint es für ein Unternehmen zielführend, wenn neben einem Verhaltenskodex punktuelle Datenschutzzertifizierungen von qualifizierten Stellen eingeholt werden. Dies gilt vor allem, wenn die konkrete Datenbearbeitung atypisch, neu oder besonders risikoreich für das betroffene Unternehmen scheint.
III. Stellungnahme des EDÖB
25Zur Erstellung eines Kodex, der dem EDÖB zur Überprüfung vorgelegt werden kann, sind Berufs-, Branchen und Wirtschaftsverbände legitimiert, die nach ihren Statuten zur Wahrung der wirtschaftlichen Interessen ihrer Mitglieder befugt sind.
26Einzelne Verantwortliche oder Auftragsbearbeiter können ihre Verhaltenskodizes nicht vorlegen. Dies wird damit begründet, dass Art. 11 DSG eine gewisse Vereinheitlichung innerhalb einzelner Branchen zum Ziel hat.
27Hingegen vorlageberechtigt sind wohl analog zu Art. 89 ZPO Verbände und Organisationen, die eine gewisse nationale oder zumindest regionale Bedeutung haben.
28Die Rechtsform des Verbandes ist grundsätzlich nicht massgebend.
29Bundesorgane sind immer vorlageberechtigt. Dies begründet sich durch die zahlreichen gesetzlichen Vorgaben und verschiedenen Aufgaben, die an die unterschiedlichen Organe gestellt werden.
A. Rechtliche Tragweite einer Vorlage
30Nach Art. 11 DSG ist die Vorlage eines Verhaltenskodex für Verbände und Unternehmen grundsätzlich fakultativ.
31Eine Vorlage bietet sich unter dem Gesichtspunkt der Sorgfaltspflicht und der Haftpflicht innerhalb der vertretenen Unternehmen als vorteilhaft an. Denn nur eine offizielle amtliche Stellungnahme kann ausreichend belegen, dass der Kodex Datenschutzrechtskonform ist. Ein bestätigter Verhaltenskodex ist ein direkter Nachweis dafür, dass das Unternehmen datenschutzrechtlich klare Regelungen, die dem DSG genügen, verfolgt.
32Da Verhaltenskodizes selbstregulatorische Massnahmen sind, welche auf die jeweiligen Branchen und Berufe, für die sie erstellt wurden, wirken, stellen sie eine Rechtskonkretisierung für die Praxis dar. Es bietet sich somit auch die Möglichkeit, dass sich in einem bestimmten Bereich allgemein anerkannte Verhaltensvorgaben bilden. Dies vereinfacht die Einhaltung des Datenschutzes für Unternehmen erheblich; so hätten sie einen konkreten Leitfaden und Orientierungsmassstab für ihren eigenen Tätigkeitsbereich.
B. Folgen der Stellungnahme
33Der EDÖB ist verpflichtet eine Stellungnahme abzugeben. Die Stellungnahme ist keine Verfügung, sondern ein Realakt und ist somit grundsätzlich nicht verbindlich.
34Eine positive Stellungnahme ist immer dann zu erwarten, wenn der Kodex die Einhaltung sämtlicher Bestimmungen des DSG vorsieht. Massstab der Stellungnahme ist also das Gesetz.
35Es kann nach einer positiven Stellungnahme davon ausgegangen werden, dass das dem Kodex entsprechende Verhalten keine Sanktionen oder Verwaltungsmassnahmen nach sich ziehen wird, d.h. dass die dem Kodex entsprechenden Datenbearbeitungen datenschutzkonform sind.
36Auch kann von einer Datenschutzfolgeabschätzung (DSFA) abgesehen werden, falls der EDÖB eine positive Stellungnahme abgibt und der Verhaltenskodex auf einer noch aktuellen DSFA beruht, welche die Persönlichkeits- und Grundrechte der betroffenen Person schützt (Art. 22 Abs. 5 lit. a und b DSG). Ein genehmigter Verhaltenskodex stellt eine Alternative bzw. eine Ausnahme der Pflicht zur Erstellung einer Folgeabschätzung dar. Für Risikoanalysen eines Unternehmens bietet es sich an, DSFAs und Verhaltenskodizes zu koppeln, um ein allfälliges datenschutzrechtliches Risiko möglichst zu minimieren.
37Fraglich sind nun die Folgen einer fehlerhaften Stellungnahme. Der oder die Private befindet sich hier im Glauben, dass der eigene Verhaltenskodex datenschutzkonform ist. Bearbeitungen gestützt darauf also keine Verwaltungsmassnahmen oder Sanktionen nach sich ziehen werden. Wenn die private Person aufgrund von falschen Auskünften den Datenschutz dennoch verletzt, riskiert sie unter Umständen trotzdem Sanktionen. Denn die Voraussetzungen für einen gültigen Vertrauensschutz sind streng. Zu dessen Annahme braucht es insbesondere genügend konkretisierte Formulierungen im Kodex und der eingetretene Sachverhalt muss kongruent zum Vorgesehenen sein.
38Art. 11 sieht keine Regelung für den Fall vor, dass verschiedene Verbände für die gleichen oder sich überschneidende Sachverhalte unterschiedliche Regelungen in ihren Kodizes festlegen. Sofern die konkurrierenden Entwürfe die oben genannten Voraussetzungen für sich genommen erfüllen, wird der EDÖB die Kodizes mit einer positiven Stellungnahme versehen..
39So kann es zur Situation kommen, dass ein Verantwortlicher, der Mitglied in verschiedenen Verbänden ist, sich zur Einhaltung sich widersprechender Verhaltenskodizes verpflichtet. Da der EDÖB nur eine positive Stellungnahme abgeben wird, wenn die gesetzlichen Vorgaben des DSG erfüllt sind, wird er dadurch nicht in Konflikt mit dem Gesetz kommen. Dennoch empfiehlt es sich, sich nur einem Verhaltenskodex anzuschliessen, um die unternehmensinternen Datenschutzgrundsätze stringent zu halten.
IV. Selbstregulierung nach Art. 40 DSGVO
40Auch die DSGVO kennt eine Norm zur Selbstregulierung und Konkretisierung des Datenschutzes. In Art. 40 DSGVO wird von der „Ausarbeitung von Verhaltensregeln“ gesprochen, welche von Verbänden oder gleichartigen Vereinen erstellt werden. Auch hier wird auf selbstregulatorische Massnahmen der Unternehmen gesetzt. Die Regeln sind zur Ergänzung und nicht als Ersatz zu Gesetzesvorschriften zu betrachten.
41Die Anforderungen an und Rechtsfolgen von Verhaltenskodizes und jene der Verhaltensregeln sind ähnlich. So werden auch Verhaltensregeln einer Aufsichtsbehörde zur Stellungnahme vorgelegt, welche ebenfalls publiziert wird. Der Verantwortliche muss nach den allgemeinen Rechenschaftspflichten gem. Art. 5 Abs. 2 DSGVO die datenschutzrechtlichen Prinzipien einhalten und dies auch nachweisen können. Das Verfassen von Verhaltensregeln erleichtert dieses Vorhaben. Art. 40 DSGVO präzisiert die Vorgaben für Verhaltensregeln genauer (Abs. 2 lit. a–k) und sieht verschiedenartige Verfahren vor, um für sicheren Datenschutz innerhalb aller Mitgliedstaaten zu sorgen, auch durch Durchführungsrechtsakte von der Kommission.
42Auch die DSGVO verspricht Unternehmen Vorteile und Nachweiserleichterungen, wenn sie sich genehmigten Verhaltensregeln freiwillig unterwerfen.
43Im Gegensatz zur Schweiz kann eine Verhaltensregel, die dem Europäischen Datenschutzausschuss durch die nationale Aufsichtsbehörde vorgelegt (Art. 63 DSGVO) und von diesen bestätigt wurde, auch auf Unionsebene Wirkung entfalten.
Literaturverzeichnis
Amacher Michel/Hajdini Lorian, Straf- und Strafprozessrecht/Geheime Überwachungsmassnahmen im digitalen Zeitalter, in: Alexandra Dal Molin-Kränzlin/Anne Mirjam Schneuwly/Jasna Stojanovic (Hrsg.), Digitalisierung - Gesellschaft - Recht, Zürich/St. Gallen 2019, S. 386.
Baeriswyl Bruno, Geschichten aus dem Wilden Westen - Der Datenschutz im privatrechtlichen Bereich geht seine eigenen Wege: Der Grundrechtsschutz bleibt auf der Strecke., digma 2011, S. 140 ff.
Drittenbass Joel, Regulierung von autonomen Robotern, Zürich 2021, S. 309 ff.
Gasser Dominik/Rickli Brigitte, Schweizerische Zivilprozessordnung (ZPO), Kurzkommentar, Zürich et al. 2014.
Kasper Gabriel, People Analytics in privatrechtlichen Arbeitsverhältnissen, Zürich 2021, S. 315 ff.
Kühling Jürgen/Buchner Benedikt (Hrsg.), Datenschutzgrundverordnung BDSG, München 2020.
Kunz Laura, Kommentierung zu Art. 11 DSG in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Stämpflis Handkommentar zum DSG, 2. Aufl., Zürich/Basel, 2023.
Lepperhoff Niels, Kommentierung zu Art. 40 DS-GVO in: Gola/Heckmann (Hrsg.), Datenschutz-Grundverordnung – Bundesdatenschutzgesetz, 3. Aufl., Königswinter et al. 2022.
Paal Boris P./Pauly Daniel A., Datenschutzgrundverordnung, Beck’sche Kompakt-Kommentare, 3. Auf., München 2021.
Portmann Wolfgang/Meier Anne (Hrsg.), Jahrbuch des Schweizerischen Arbeitsrechts 2021, Bern 2021, S. 57 ff. (zit. JAR 2021).
Richter Julia, Soft Law als Brückenbauer zwischen Wirtschaft und dem Schutz der Gesundheit?, Archiv des Völkerrechts 2014/52, S. 545 ff.
Rosenthal David, Das neue Datenschutzgesetz, Jusletter 16.11.2020; Stirnimann Sonja, Der Verhaltenskodex aus praxistauglicher Perspektive, EF 10/22 2022, S. 460 ff.
Rothkegel Tobias, Verhaltensregeln und Zertifizierungen, in: Moos Flemming/Schefzig Jens/Arning Marian Alexander (Hrsg.), Praxishandbuch DSGVO, Frankfurt am Main 2021, S. 879 ff.
Wind Christian, Leitfaden Compliance, Zürich et al. 2018, S. 111 ff.
Materialienverzeichnis
Botschaft vom 15.9.2017 zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz, BBl 2017 6941 ff.