PDF:
Kommentierung zu
Vorb. zu Art. 1 DSG

Eine Kommentierung von Sandra Husi-Stämpfli

Herausgegeben von Thomas Steiner / Anne-Sophie Morand / Daniel Hürlimann

In Kürze

Das Datenschutzrecht hat seinen Ursprung in den (antiken) Berufsgeheimnissen, wie sie erstmals von Hippokrates entwickelt wurden: Es galt, Informationen über Patientinnen und Patienten geheim zu halten. Aus diesem Konzept entwickelten sich mit dem zunehmenden technischen Fortschritt, der damit verbundenen Komplexität und Globalisierung des Informationsaustausches ab 1970 die ersten datenschutzrechtlichen Gesamt-Kodifikationen– zuerst in einzelnen Ländern, dann nach und nach auch grenzüberschreitend durch internationale Organisationen und schliesslich durch die Europäische Gemeinschaft. Das erste Datenschutzgesetz der Schweiz trat 1992 in Kraft, das totalrevidierte (neue) Datenschutzgesetz am 1. September 2023.

I. Der hippokratische Eid als erstes Berufsgeheimnis

1 Die erste kodifizierte Regelung zum Schutz von Personendaten lässt sich bereits in der Zeit zwischen 460 und 370 v. Chr. ansiedeln: Mit dem hippokratischen Eid verpflichten sich Ärztinnen und Ärzte bis heute, Informationen über ihre Patientinnen und Patienten geheim zu halten. Es folgten diverse Berufsgeheimnisse, wie das Hebammen-Geheimnis, das Beichtgeheimnis oder das Anwaltsgeheimnis

.

II. 20. Jahrhundert: Das Datenschutzrecht hält Einzug in die Rechtsordnungen

2 Die ursprünglich berufsbezogenen Vorgaben zum Schutz personenbezogener Informationen wie z.B. das Arztgeheimnis, das Hebammengeheimnis oder auch das Anwaltsgeheimnis basieren auf der Überzeugung, dass Verletzungen unmittelbar festgestellt und die verantwortlichen Personen auch ohne weitere Mühen zur Rechenschaft gezogen werden können.

3 Dieses Konzept der klaren Verantwortlichkeiten wurde vom technischen Fortschritt, der damit verbundenen Komplexität und zunehmenden Globalisierung des Informationsaustausches bereits im letzten Jahrhundert überholt. So ergaben sich in den 70er Jahren des letzten Jahrhunderts erste Fragen zum Umgang mit «automatisierten» Datenbearbeitungen, d.h. dem Einsatz von Computern und den damit verbundenen Verantwortlichkeiten und Herausforderungen für die Datensicherheit – plötzlich war es bspw. nicht mehr «nur» der Arzt, der eine handschriftliche Notiz in der physischen Patientenakte erstellte – die Daten wurden auf einem PC gespeichert, der allenfalls von einem externen IT-Unternehmen gewartet wurde usw. Die damit verbundenen neuen Herausforderungen läuteten um 1970 die Schaffung der ersten datenschutzrechtlichen Gesamt-Kodifikationen ein – zuerst in einzelnen Ländern, dann nach und nach auch grenzüberschreitend durch internationale Organisationen und schliesslich durch die Europäische Gemeinschaft.

4 Beispiele:

  • 1973: Schweden

    .

  • 1977: Bundesrepublik Deutschland

    .

  • 1978: Österreich

    und Frankreich
    .

  • 1980: OECD Leitlinien für den Schutz des Persönlichkeitsbereichs und den grenzüberschreitenden Verkehr personenbezogener Daten

    .

  • 1981: Europaratskonvention zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten

    .

  • 1995: EU-Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr

    .

  • 2000: EU-Grundrechtecharta (EU-GRC) mit Art. 8 «Schutz der personenbezogenen Daten».

In der Schweiz begann die Kodifikations-Bewegung sowohl auf kantonaler wie auch auf Bundes-Ebene in den 1970er Jahren und mündete schliesslich im Jahr 1992 im Datenschutzgesetz des Bundes.

III. 21. Jahrhundert: Datenschutz und Digitalisierung

5 Noch aus einer Zeit stammend, in der «automatisierte Datenbearbeitungen» die Ausnahme waren, konnte das DSG den Anforderungen der digitalisierten Welt je länger je weniger genügen. Die Revision des DSG war dabei erheblich von der Datenschutzrevision in der EU geprägt:

A. Impuls: Datenschutzrevision in der EU

6 Die Europäische Union lancierte im Jahr 2012 die Beratungen über das moderne Datenschutzrecht. Nach intensiven Verhandlungen verabschiedeten das Europäische Parlament und der Rat der Europäischen Union im Jahr 2016 schliesslich die EU-Datenschutzgrundverordnung (DSGVO)

und die Richtlinie 2016/680
.

  • Die DSGVO regelt hauptsächlich den Schutz von Daten, die im Rahmen des europäischen Binnenmarktes bearbeitet werden, gilt aber auch für den öffentlichen Sektor. Sie trat am 25. Mai 2018 in Kraft.

  • Die Richtlinie 2016/680 ist darauf ausgerichtet, personenbezogene Daten zu schützen, die zum Zweck der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschliesslich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, bearbeitet werden. Die Richtlinie 2016/680 ist auf den Wortlaut der DSGVO abgestimmt, um im gesamten EU-Raum ein einheitliches Basisvokabular bezüglich der allgemeinen Grundsätze zu erreichen. Sie trat am 5. Mai 2016 in Kraft.

B. Der Schweizer Weg zu einem modernen Datenschutzgesetz

7 Am 9. Dezember 2011 hiess der Bundesrat einen Bericht über die Evaluation des DSG

gut und beauftragte das Eidgenössische Justiz- und Polizeidepartement (EJPD), unter Berücksichtigung der Ergebnisse der Evaluation und der laufenden Entwicklungen in der EU und beim Europarat gesetzgeberische Massnahmen zur Stärkung des Datenschutzes zu prüfen. Dem Bundesrat stellte sich damals die Frage, inwieweit die Transparenz über Datenbearbeitungen erhöht werden müsse und die betroffenen Personen für die neuen Risiken stärker zu sensibilisieren seien. Insbesondere sollte bei der Überprüfung des gesetzlichen Handlungsbedarfs auch dem Umstand Rechnung getragen werden, dass Minderjährige besonders schutzbedürftig seien, was die Bearbeitung ihrer Daten angehe. Gleichzeitig betonte der Bundesrat aber auch, dass bei der Prüfung gesetzgeberischer Massnahmen auch dem Umstand Rechnung getragen werden müsse, dass datenschutzrechtliche Massnahmen mit anderen Interessen kollidieren können. Es seien daher neben dem Persönlichkeitsschutz auch die Interessen der Wirtschaft, das Recht auf Meinungs- und Informationsfreiheit sowie weitere private und öffentliche Interessen einzubeziehen
. Diese Arbeiten erfolgten unter Einbezug einer Begleitgruppe, welche bis 2014 den gesetzgeberischen Handlungsbedarf definierte
.

8 Nachdem der Bundesrat am 1. April 2015 den Bericht der Begleitgruppe zur Kenntnis genommen hatte, beauftragte er das EJPD, bis spätestens Ende August 2016 einen Vorentwurf für eine Revision des DSG zu erarbeiten. Dieser Vorentwurf zu einer Totalrevision des DSG und zur Änderung weiterer Erlasse zum Datenschutz in die Vernehmlassung wurde am 21. Dezember 2016 in die Vernehmlassung geschickt.

9 Der Bundesrat verabschiedete am 15. September 2017 schliesslich die Botschaft zum «neuen» Datenschutzgesetz. Ziel des Bundesrates war es, «den Datenschutz an das Internet-Zeitalter an(zu)passen und die Stellung der Bürgerinnen und Bürger (zu) stärken». Zugleich sollte das Schweizer Datenschutzniveau jenem der EU angeglichen werden, um den für die freie Datenübermittlung zwischen Schweizer Unternehmen und jenen der EU wichtigen Angemessenheitsbeschluss zu erhalten.

10 Die parlamentarischen Beratungen waren schwierig

, es bestanden teilweise fundamental divergierende Auffassungen, wie weit das neue Datenschutzrecht gehen sollte. Gleichzeitig drängte aber die Zeit: Einzelne Bestimmungen des neuen Datenschutzrechts waren «schengen-relevant» und mussten innert zwei Jahren seit dem Inkrafttreten des entsprechenden Schengen-Rechts umgesetzt werden. Das Parlament entschied daher, die Vorlage aufzuteilen: Das sogenannte «Schengen-Datenschutzgesetz» wurde am 28. September 2018 verabschiedet und am 1. März 2019 in Kraft gesetzt.
Es wurde mit dem Inkrafttreten des neuen Datenschutzgesetzes wieder aufgehoben bzw. in das Datenschutzgesetz re-integriert. Das «Schengen-Datenschutzgesetz» regelte die Bearbeitung von Personendaten durch Bundesorgane zum Zweck der Verhütung, Aufklärung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschliesslich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit.

11 In einer zweiten Etappe wurde dann jene Aspekte der Datenschutzrevision beraten, die nicht-schengen-relevant waren und stark von der DSGVO beeinflusst waren. Dazu zählten insbesondere die Neuerungen für das Bearbeiten von Personendaten durch Privatpersonen (i.e. primär Unternehmen). Im Zentrum der Diskussionen standen dabei die folgenden Themenbereiche:

  • Die Stärkung der Rechte der betroffenen Personen: Erweiterung des Auskunftsrechts (OK-Steiger zu Art. 25 DSG) und Einführung eines Rechts auf Datenportabilität (siehe dazu OK-Kommentierung zu Art. 28 DSG).

  • Erweiterung der Pflichten der für die Datenbearbeitung Verantwortlichen und der Auftragsverarbeiter: Einführung des Grundsatzes von privacy by design and default (OK-Klaus zu Art. 7 DSG) sowie der Pflicht, bei bestimmten Formen von Datenbearbeitungen eine Datenschutz-Folgenabschätzung durchzuführen (OK-Harasgama zu Art. 22 DSG) und Verletzungen des Schutzes der betroffenen Personen an die Aufsichtsbehörde zu melden (OK-de la Cruz zu Art. 24 DSG).

  • Einführung eines Sanktionenkatalogs (OK-Gassmann zu Art. 60 ff. DSG) und die Stärkung der Kompetenzen des EDÖB (OK-Reinle zu Art. 49 DSG; OK-Fanger/Oehri zu Art. 50 DSG).

12 Schliesslich konnte nach drei Jahren am 25. September 2020 das revidierte Datenschutzgesetz verabschiedet werden. Das Referendum verstrich ungenutzt, weshalb das Gesetz am 1. September 2023 gemeinsam mit der ebenfalls totalrevidierten Ausführungsverordnung (DSV) in Kraft getreten ist.

Die Autorin gibt in dieser Kommentierung ihre persönliche Einschätzung wieder.

Literaturverzeichnis

Husi-Stämpfli Sandra, Kommentierung zur Entstehungsgeschichte des DSG, in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Datenschutzgesetz, Stämpflis Handkommentar, 2. Auflage, Bern 2023.

Fussnoten

  • Ausführlich dazu SHK-Husi-Stämpfli, Entstehungsgeschichte, N. 1 ff.
  • Datalag (SFS 1973:289), der ursprüngliche Text findet sich auf Schwedisch unter https://www.riksdagen.se/sv/dokument-och-lagar/dokument/svensk-forfattningssamling/datalag-1973289_sfs-1973-289/.
  • Gesetz vom 27.1.1977 zum Schutz vor Missbrauch personenbezogener Daten bei der Datenverarbeitung, abrufbar unter https://www.bgbl.de/xaver/bgbl/start.xav?start=//*%5B@attr_id=%27bgbl177i0201.pdf%27%5D#__bgbl__%2F%2F*%5B%40attr_id%3D%27bgbl177007.pdf%27%5D__1687018047260.
  • Bundesgesetz vom 18.10.1978 über den Schutz personenbezogener Daten, abrufbar unter https://www.ris.bka.gv.at/Dokumente/BgblPdf/1978_565_0/1978_565_0.pdf.
  • Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, abrufbar unter https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000000886460.
  • Abrufbar unter https://www.oecd.org/digital/ieconomy/15589558.pdf.
  • Übereinkommen vom 28.1.1981 zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten, SR 0.235.1.
  • Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl. L 281 vom 23.11.1995, S. 3.
  • Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, DSGVO), ABl. L 119 vom 4.5.2016, S. 1.
  • Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates, ABl. L 119 vom 4.5.2016, S. 89.
  • Bericht des Bundesrates vom 9.12.2011 über die Evaluation des Bundesgesetzes über den Datenschutz, BBl 2012 S. 335.
  • Medienmitteilung des Bundesrates vom 9.12.2011, Den Datenschutz stärken; Der Bundesrat heisst den Bericht über die Evaluation des Datenschutzgesetzes gut, abrufbar unter https://www.bj.admin.ch/bj/de/home/aktuell/mm.msg-id-42596.html.
  • Bericht der Begleitgruppe Revision DSG, 29.10.2014, abrufbar unter https://www.bj.admin.ch/dam/bj/de/data/staat/gesetzgebung/datenschutzstaerkung/ber-normkonzept-d.pdf.download.pdf/ber-normkonzept-d.pdf.
  • Botschaft DSG, S. 6970.
  • Ausführlich SHK-Husi-Stämpfli, Entstehungsgeschichte, N. 11 ff.
  • AS 2019 639.

Kommentar drucken

DOI (Digital Object Identifier)

10.17176/20230731-074757-0

Creative Commons Lizenz

Onlinekommentar.ch, Kommentierung zu Vorb. zu Art. 1 DSG ist lizenziert unter einer Creative Commons Namensnennung 4.0 International Lizenz.

Creative Commons