In Kürze

Art. 23 ist die Folgeregelung von Art. 22. Stellt der Verantwortliche im Rahmen einer DSFA fest, dass ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person trotz ergriffener, risikomildernder Massnahmen besteht, so ist eine Konsultation des EDÖB erforderlich. Deren Voraussetzungen, Fristen und Folgen werden aufgelistet und spezifiziert. Der EDÖB überprüft die geplante Datenbearbeitung im Hinblick auf die Einhaltung des DSG. Einwände gegen die geplante Datenbearbeitung äussert der EDÖB in einer Stellungnahme, welche auch Empfehlungen bzgl. möglicher Massnahmen enthält. Diese Stellungnahme wird dem Verantwortlichen übermittelt. Der EDÖB kann seine Kompetenzen gem. Art. 49 und 51 ff. auch nachträglich zur Konsultation gemäss Art. 23 ausüben. Strafbewährt ist eine Verletzung der Pflicht aus Art. 23 jedoch nicht.

I. Allgemeines

A. Überblick

1Art. 23 beschreibt die Voraussetzungen der Konsultation des EDÖB. Dabei handelt es sich um ein Vorgehen, das mit der Datenschutz-Folgenabschätzung (DSFA) aus Art. 22 in einem engen Zusammenhang steht. Stellt der Verantwortliche während einer DSFA fest, dass durch die geplante Datenbearbeitung, trotz der getroffenen Massnahmen, weiterhin ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person besteht, dann muss der EDÖB vorgängig konsultiert werden. Der EDÖB prüft in diesem Fall die Vereinbarkeit der geplanten Datenbearbeitung mit dem Datenschutzrecht sowie den Voraussetzungen für die Informationssicherheit.

Der EDÖB teilt dem Verantwortlichen innert zwei bis drei Monaten sodann seine Einwände mittels Stellungnahme mit. Dabei ist der EDÖB verpflichtet, geeignete Massnahmen vorzuschlagen, um den identifizierten Risiken zu begegnen.

B. Entstehungsgeschichte

2Die Pflicht eine DSFA durchzuführen und den EDÖB zu konsultieren, sofern die geplante Datenbearbeitung trotz ergriffener Massnahmen zu einem hohen Risiko für die betroffenen Personen führt, existierte vor der Totalrevision des DSG nicht. Die Pflicht existierte auch nicht für Bundesbehörden, die gem. Art. 22 aDSG eine DSFA durchführen mussten. Die Europäische Datenschutzkonvention (SEV 108+) verlangt die Einführung dieser Pflicht ebenfalls nicht. In einigen kantonalen Datenschutzgesetzen war die Pflicht jedoch bereits vorgesehen, etwa im Kanton Zürich in Art. 10 IDG oder im Kanton Bern in Art. 17a KDSG.

3Die Möglichkeit bzw. Notwendigkeit der Konsultation fusst jedoch auf europarechtlichen Vorgaben aus dem Jahr 2008. Zu nennen ist vor allem Art. 20 der Richtlinie 95/46/EG, wonach Bearbeitungen, welche mit bestimmten Risiken für Personen, insbesondere die Rechte und Freiheiten betreffend, bereits vorab durch den Datenschutzbeauftragten geprüft werden müssen. Diese Regelung wirkt bis heute in Art. 28 der geltenden Richtlinie 2016/680/EU

fort, welche aufgrund des Schengen-Besitzstandes im Bereich der grenzüberschreitenden Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung auch in der Schweiz umgesetzt werden musste sowie in Art. 36 DSGVO, der vergleichbar umgesetzt wurde.

4Der VE-DSG sah in Art. 16 Abs. 3 VE-DSG eine Benachrichtigung des EDÖB über die Ergebnisse der DSFA in jedem Fall vor. Im Einklang mit der heutigen Regelung, musste der EDÖB dem Verantwortlichen seine Einwände innert einer bestimmten Frist mitteilen. Die Pflicht, den EDÖB in jedem Fall über das Ergebnis einer DSFA zu informieren, wurde in der öffentlichen Vernehmlassung stark kritisiert. Der Bundesrat entschärfte daraufhin die Pflicht mit Art. 21 Abs. 1 E-DSG. Diese abgeschwächte Normierung wurde in die heutige Regelung von Art. 23 Abs. 1 übernommen, indem der EDÖB nur konsultiert werden muss, wenn trotz der ergriffenen Massnahmen weiterhin hohe Risiken für die Persönlichkeit oder für die Grundrechte der betroffenen Person bestehen.

C. Normzweck

5 Gemäss Botschaft wurde die Konsultationspflicht im Rahmen der Totalrevision im Jahr 2020 aufgenommen, «weil sie es dem Beauftragten erlaubt, präventiv und beratend tätig zu sein».

Dies sei für den Verantwortlichen am effizientesten, da potenzielle datenschutzrechtliche Probleme früh erkannt und adressiert werden können. Die Konsultation ermöglicht es dem EDÖB, die erforderlichen Informationen zur Beurteilung einer geplanten Datenbearbeitung mit hohem Risiko zu erhalten und auszuwerten. Dies ist auch dem demokratischen Prozess zuträglich.

6 Der Zweck des Art. 23 liegt ferner darin begründet, bereits vor der Durchführung eines Projekts, welches entsprechende Datenbearbeitungen vorsieht, Lösungen zu entwickeln. Dies dient dazu von vornherein einen hohen Datenschutzstandard zu gewährleisten sowie die Informationssicherheit zu garantieren. Der Gesetzgeber zielt somit auf ein proaktives Verhalten, um von vornherein mögliche Rechtsverletzungen auf ein Minimum zu reduzieren bzw. idealerweise ganz auszuschliessen. Ausserdem dient es dazu, den Verantwortlichen nachträglich – wenn eine Datenbearbeitung bereits begonnen hat – vor zusätzlichem Aufwand und zusätzlichen Kosten zu schützen. Dies erscheint auch vor dem Hintergrund sinnvoll, dass sich nachträgliche Schäden und Verletzungen oftmals nur schwerlich beseitigen lassen.

Insgesamt fügt sich der Artikel somit in den risikobasierten Ansatz des totalrevidierten DSG.

II. Inhalt

A. Adressaten

7Die Adressaten des Art. 23 sind wie in Art. 22 Bundesbehörden und private Verantwortliche. Davon nicht umfasst sind Auftragsbearbeiter. Bezüglich der Rolle dieser Auftragsbearbeiter kann auf die entsprechende Kommentierung in Art. 22 verwiesen werden.

8Bundesbehörden und private Verantwortliche sind somit verpflichtet den EDÖB zu konsultieren, wenn eine geplante Datenbearbeitung trotz der implementierten Massnahmen zu einem hohen Risiko für die Persönlichkeit und Grundrechte der betroffenen Personen führt. Der EDÖB ist demgegenüber verpflichtet die Konsultation gemäss DSG durchzuführen und sich dabei an die geltenden Fristen zu halten (vgl. N. 25).

B. «Geplante» Bearbeitung

9Der Normtext des Art. 23 sieht in Abs. 1 vor, dass die Konsultation des EDÖB bei einer geplanten Bearbeitung mit hohem Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person vorzunehmen ist. Diese Bestimmung gilt nur, wenn vom Verantwortlichen bereits Massnahmen zur Minderung der sich ergebenden Risiken vorgesehen sind und die Datenbearbeitung dennoch ein hohes Risiko birgt.

10Während der Wortlaut vermuten lässt, dass es sich dabei nur um neue, geplante Datenbearbeitungen handeln kann, umfasst dies auch Änderungen bereits bestehender Datenbearbeitungen oder Verfahren (vgl. hierzu die Kommentierung zu Art. 69).

Dies bedeutet, dass der EDÖB jeweils dann zu konsultieren ist, wenn es zu Änderungen im Datenbearbeitungsprozess oder veränderten tatsächlichen oder rechtlichen Umständen kommt. Diese veränderten Umstände müssen jedoch den Schluss nahelegen bzw. deutlich werden lassen, dass es zu einem hohen Risiko i.S.v. Art. 22 kommt. Zudem dürfen die im Rahmen einer erneut durchgeführten oder wiederholten DSFA ergriffenen Massnahmen, nicht ausreichen, um dieses hohe Risiko zu reduzieren. Bezüglich des Begriffs des hohen Risikos kann auf die Ausführungen zu Art. 22 verwiesen werden (Art. 22 N. 12 ff.). Für die Einschätzung, dass der EDÖB auch bei Veränderungen von bestehenden Datenbearbeitungstätigkeiten konsultiert werden muss, spricht, dass die Verantwortlichen in einem derart disruptiven Umfeld, das von schnellen Veränderungen geprägt ist, stets die Gefahren mit in die eigenen Überlegungen und Planung von Datenbearbeitungen mit einbeziehen müssen, um die Rechte der betroffenen Personen nicht zu gefährden oder konkret zu verletzen (vgl. Art. 7).

C. Konsultation

1. Einführung

11Zunächst setzt Art. 23 voraus, dass der Verantwortliche eine DSFA in Bezug auf eine geplante oder veränderte Datenbearbeitung gem. Art. 22 durchgeführt hat. Kommt der Verantwortliche zum Schluss, dass trotz der vorgesehenen Massnahmen die Datenbearbeitung ein hohes Risiko für die Persönlichkeit oder Grundrechte der betroffenen Person besteht, muss der Verantwortliche den EDÖB konsultieren. Obschon das Gesetz keine Formvorschriften beinhaltet, sollte diese Eingabe allein schon aus Beweisgründen schriftlich erfolgen. Liegt dieses hohe Risiko nicht vor, so kann der Verantwortliche die DSFA dennoch freiwillig dem EDÖB vorlegen.

Obschon dies der Rechts- und Informationssicherheit dienlich ist, dürften private Verantwortliche regelmässig davon absehen (vgl. N. 34 ff.).

12 Die Konsultation muss vor Beginn der betreffenden Datenbearbeitung durchgeführt werden. Erst nach abgeschlossener Konsultation, d.h. nach der erfolgten Stellungnahme durch den EDÖB, darf die Bundesbehörde oder der private Verantwortliche mit der Datenbearbeitung beginnen.

13Drei Punkte bzgl. der Konsultation sind vorgängig zu berücksichtigen:

• Erstens ist die Konsultation für private Verantwortliche kostenpflichtig (siehe Art. 59 Abs. 1 lit. c DSG; Art. 44 DSV). Die jeweiligen Kosten richten sich nach dem Personalaufwand im Einzelfall. Für Bundesorgane entstehen hingegen keine Kosten.

• Zweitens kann sich der EDÖB seinerseits an den Verantwortlichen wenden und eine Evaluierung der Risiken und Konsultation anfordern, sofern er Kenntnis von geplanten Bearbeitungshandlungen erlangt.

• Drittens kann der EDÖB diese Aufforderung mit der Vornahme von Untersuchungshandlungen verbinden (vgl. N. 23).

2. Einzureichende Informationen

14Die Bestimmung in Art. 23 legt fest, in welchen Fällen der EDÖB konsultiert werden muss. Sie definiert jedoch nicht, welche Informationen dem EDÖB für seine Bewertung eingereicht werden müssen. Aufgrund dieser Ausgangslage ist davon auszugehen bzw. wurde bereits angekündigt

, dass der EDÖB selbst schon kurz nach dem Inkrafttreten entsprechende Vorgaben machen wird, an denen sich der Verantwortliche orientieren kann. Der Verantwortliche sollte jedoch zumindest dafür Sorge tragen, dass die im Rahmen der DSFA erstellten Dokumente umfassend vorliegen, sodass es auf dieser Grundlage dem EDÖB überhaupt möglich ist, eine entsprechende Stellungnahme abzugeben. Diese Dokumente sollten also u.a. Angaben über die geplante Bearbeitung – ggf. inkl. des Bearbeitungszwecks –, über die möglichen Risiken für die Persönlichkeit oder die Grundrechte der betroffenen Person sowie über die geplanten technischen und organisatorischen Massnahmen enthalten. Darzulegen ist auch, warum das Risiko trotz der beschriebenen Massnahmen weiterhin als hoch erachtet wird. Dies ist von Bedeutung, da ansonsten keine Konsultation erforderlich wäre.

15 Die DSGVO kann hierbei als Orientierungshilfe dienen, da sie eine Liste der einzureichenden Informationen enthält (vgl. N. 39). Hilfreich kann es auch sein, gemäss dem sog. ISDS-Konzept

vorzugehen. Dieses sieht eine möglichst präzise Beschreibung des Projekts, mitsamt einer Darlegung der Rechtslage sowie der organisatorischen und technischen Massnahmen vor. Bei der Beschreibung des Projekts sind in diesem Rahmen Angaben zu der verantwortlichen und datenbearbeitenden Stelle, dem Zweck und der Art der Datenbearbeitung sowie den Empfängern und betroffenen Personen vorgesehen. Demgegenüber setzt die Beschreibung der organisatorischen und technischen Aspekte eine Darstellung der Anwendungen, Netzwerke, Technologien sowie Rollen und Berechtigungskonzepte voraus. Zu beachten ist, dass in Einzelfällen weitergehende Detailkonzepte oder Massnahmenpläne angefordert werden können.

16Zudem sollten die eingereichten Dokumente strukturiert eingereicht werden und mit dem eigenen Namen sowie einer Kontaktadresse versehen werden. Dies dient der Kommunikation mit dem EDÖB, sofern im Einzelfall Rückfragen aufkommen oder sonstiger Klärungsbedarf besteht.

3. Vorgehen des EDÖB

17Nachdem die entsprechenden Dokumente vollständig eingereicht wurden (vgl. N. 15 ff.), geht der EDÖB für gewöhnlich in drei Schritten (i)–(iii) vor: In einem ersten Schritt werden die eingereichten Informationen gesichtet und überprüft, ob weitere Informationen, Dokumente oder sonstige Angaben zur Klärung erforderlich sind. Ist dies der Fall, werden diese Informationen beim Verantwortlichen angefragt (i). Sodann werden die Unterlagen sorgfältig geprüft und auf ihre Nachvollziehbarkeit und Stichhaltigkeit hin analysiert (ii). In einem dritten Schritt wird das Verfahren abgeschlossen, wobei gegebenenfalls Einwände mitgeteilt und zu ergreifende Massnahmen vorgeschlagen werden (iii). Im Rahmen dieser drei Schritte schätzt der EDÖB ab, ob die vorgeschlagenen Massnahmen ausreichen, um den Schutz der Persönlichkeit und Grundrechte der betroffenen Person zu gewährleisten und das hohe Risiko zu mindern.

18Im ersten Schritt prüft der EDÖB die vom Verantwortlichen eingereichten Informationen und stellt sicher, dass er den Datenbearbeitungsvorgang versteht. Dabei stehen insbesondere die faktische sowie die technische Beschreibung der betreffenden Datenbearbeitung im Vordergrund. Sofern der EDÖB weitere Informationen benötigt, verlangt er diese und fordert gegebenenfalls eine mündliche Besprechung der geplanten Datenbearbeitung mit dem Verantwortlichen ein, um spezifische Fragen zu klären. Hierbei ist zu beachten, dass aus dem Gesetzeswortlaut nicht hervorgeht, ob die Frist für den EDÖB, Stellung zu nehmen, erst nach diesem Schritt zu laufen beginnt oder direkt bei Einreichung des Konsultationsantrags. Gemäss der hier vertretenen Ansicht beginnt die Frist zur Stellungnahme jedoch erst nach vollständiger Einreichung aller vom EDÖB angeforderten Informationen zu laufen. Dies bedeutet, dass die Dauer der Konsultation also länger als diese zwei bis drei Monate dauern kann, je nachdem, welche zusätzlichen Informationen und Unterlagen der EDÖB noch verlangt.

19Auf dieser Grundlage beginnt die eigentliche Überprüfung der betreffenden Datenbearbeitung. In diesem zweiten Schritt prüft der EDÖB insbesondere die Risikobeurteilung und vorgeschlagenen Massnahmen des Verantwortlichen. Diese Beurteilung beinhaltet die Überprüfung der rechtlichen Voraussetzungen, wovon in erster Linie die Einhaltung der Datenschutzgrundsätze umfasst ist. Dazu gehören neben der Verhältnismässigkeit (Stichwort: Datensparsamkeit und Datenvermeidung) u.a. allfällige gesetzliche oder vertragliche Grundlagen oder Rechtfertigungsgründe für die Datenbearbeitung, die Auslagerung der Datenbearbeitung oder Bekanntgabe von Daten ins Ausland, die Datensicherheit sowie die Gewährleistung der Betroffenenrechte wie insbesondere das Auskunftsrecht sowie das Recht auf Berichtigung und Löschung von Daten.

Sowohl die Sensitivität der Daten als auch die involvierten Parteien sowie deren Verantwortlichkeiten sind hierbei zu berücksichtigen. Weitergehend werden die technischen und organisatorischen Massnahmen geprüft. Dies geschieht im Zusammenhang mit den angewandten Technologien und gegebenenfalls den dahinterstehenden Anbietern. Im Zeitalter zunehmender Cyberattacken und Hackerangriffen dient dies der Informationssicherheit.

20Nachdem sich der EDÖB mit diesen Aspekten tiefgehend auseinandergesetzt hat, verfasst er in einem dritten Schritt grundsätzlich eine Stellungnahme zuhanden des Verantwortlichen. In dieser Stellungnahme listet er seine Beobachtungen hinsichtlich der geplanten Datenbearbeitung auf und bietet eine Beurteilung sowohl aus rechtlicher als auch technisch-organisatorischer Perspektive. Kommt er zum Schluss, dass die Datenbearbeitung datenschutzkonform ist, so ergeben sich keine weiteren Voraussetzungen für den Verantwortlichen. Der EDÖB gibt in diesem Fall auch keine Empfehlungen ab. Er kann in einem solchen Fall sogar ganz davon absehen, dem Verantwortlichen eine Stellungnahme zukommen zu lassen. Sofern der EDÖB Einwände erhebt, verbindet er diese mit Vorschlägen für konkrete Massnahmen (vgl. zu den Massnahmen Art. 22 N. 26.). Diese Massnahmen zielen darauf ab, sowohl die Einhaltung des Datenschutzes als auch der Informationssicherheit zu gewährleisten.

In der Regel wird der EDÖB dem Verantwortlichen eine Frist zur Umsetzung dieser Massnahmen setzen.

21 In diesem Rahmen gilt es einen Sonderfall zu beachten: Kommt der EDÖB im Anschluss an die durchgeführte Datenbearbeitung zum Schluss, dass die Massnahmen nicht ausreichend waren oder gar keine Massnahmen existieren, um die identifizierten Risiken zu reduzieren, ist er dazu befugt eine Untersuchung durchzuführen (Art. 49).

Dem EDÖB stehen hierfür alle Verwaltungsmassnahmen nach Art. 51 zur Verfügung. Die Untersuchung kann somit u.a. eine Suspendierung oder gar ein Verbot der Datenbearbeitung zur Folge haben. Obschon davon auszugehen ist, dass der EDÖB i.d.R. formelle Verfügungen nur vereinzelt vornehmen wird, hält ihm das Gesetz diese Möglichkeit explizit offen, wenn Verantwortliche mit den Risiken nicht sachgemäss umgehen.

22 Hervorzuheben ist zudem, dass die Stellungnahme des EDÖB eine unverbindliche Empfehlung darstellt. Sie hat keinen Verfügungscharakter und kann somit keinesfalls als Genehmigung oder gar Bewilligung zur Durchführung der geplanten Datenbearbeitung verstanden werden.

4. Frist

23 Sofern der EDÖB zur Konsultation beigezogen wird, hat er gem. Art. 23 Abs. 2 innert zwei Monaten, gerechnet ab der vollständigen Eingabe an den EDÖB, seine Stellungnahme dem Verantwortlichen mitzuteilen. Der EDÖB kann die Frist um maximal einen Monat verlängern, sofern es sich um eine komplexe Datenbearbeitung handelt. Erhält der Verantwortliche innert dieser Frist keine Mitteilung vom EDÖB, ist davon auszugehen, dass der EDÖB keine Einwände gegen die geplante Datenbearbeitung anbringen wird.

D. Ausnahmen

24Art. 23 sieht einige Ausnahmen von der grundsätzlichen Pflicht zur Konsultation vor. Diese Ausnahmen richten sich nach Abs. 4 und gelten nur für private Verantwortliche. Bundesbehörden sind von den Ausnahmeregelungen somit ausgenommen.

25Abs. 4 hält fest, dass eine Konsultation nicht erforderlich ist, wenn der Verantwortliche einen Datenschutzberater in Bezug auf die geplante Datenbearbeitung konsultiert.

Aus der Botschaft ergibt sich diesbezüglich, dass der Datenschutzberater tatsächlich aktiv in die DSFA involviert sein muss. Er muss also in der Lage gewesen sein, sich zu den Massnahmen und Risiken umfassend zu äussern. Im Hinblick auf diesen Umstand erscheint es sinnvoll, den Ablauf einer DSFA sowie die Kompetenzen und die Hinzuziehung des Datenschutzberaters in internen Richtlinien oder Weisungen abschliessend zu regeln.

26Gemäss Botschaft soll die Ausnahme den Verwaltungsaufwand seitens der privaten Verantwortlichen reduzieren.

Aus ökonomischer Sicht ist diese Ausnahme zu begrüssen. Dies gilt vor allem deshalb, da so aus der Perspektive der privaten Verantwortlichen Verzögerungen, zusätzliche Kosten und potenziell negative Folgen aufgrund der Konsultation des EDÖB vermieden werden können. Zwar hatte sich der EDÖB im Rahmen der Vernehmlassung gegen diese Ausnahme ausgesprochen, jedoch wurde sie am Ende dennoch in den Gesetzestext integriert.

27Die Ausnahme ist zudem als Anreiz für private Verantwortliche zu deuten.

So bietet die Regelung ihnen einen sehr spezifischen Grund einen Datenschutzberater zu ernennen. Dieser Anreiz ist wichtig, denn im Gegensatz zu Art. 37 DSGVO ist die Ernennung eines Datenschutzberaters gemäss dem DSG stets freiwillig.

28Die Ausnahme greift indes nur, wenn die Voraussetzungen von Art. 10 Abs. 3 erfüllt sind. Dementsprechend muss der Datenschutzberater fachlich unabhängig und weisungsungebunden, frei von Interessenskonflikten sein und über die erforderlichen Fachkenntnisse verfügen (vgl. ausführlich zu diesen Voraussetzungen die Kommentierung zu Art. 10). Der Verantwortliche muss hingegen die Kontaktdaten des Datenschutzberaters veröffentlichen und diese dem EDÖB mitteilen. Diese Ausnahme erinnert an die unter Art. 11a Abs. 5 lit. e aDSG geltende Ausnahme zur Pflicht zur Anmeldung von Datensammlungen, welche ersatzlos aus dem DSG gestrichen wurde. Private Verantwortliche sind mit diesen Voraussetzungen somit bereits bestens vertraut.

29Private Verantwortliche, die Geschäftsmodelle oder Technologien entwickeln oder einsetzen, welche potenziell zu hohen Risiken für betroffene Personen führen, werden erfahrungsgemäss einen Datenschutzberater ernennen und von dieser Ausnahme Gebrauch machen. Damit wird es ihnen ermöglicht, die Konsultation des EDÖB zu vermeiden. Dies ist umso mehr anzunehmen, als international tätige private Verantwortliche in solchen Branchen ohnehin bereits aufgrund der DSGVO verpflichtet sind, einen Datenschutzverantwortlichen zu ernennen.

III. Verletzung der Pflicht zur Konsultation des EDÖB

30 Für den Fall, dass ein Verantwortlicher trotz Pflicht gem. Art. 23 den EDÖB nicht vorab konsultiert, sieht Art. 51 Abs. 3 lit. e vor, dass der EDÖB unter Strafandrohung verfügen kann, dass der Verantwortliche ihn vorgängig konsultiert. Im Gegensatz dazu haben betroffene Personen jedoch keinen Anspruch, die Konsultation des EDÖB klageweise durchzusetzen.

31 Stellt der EDÖB im Rahmen einer Untersuchung fest, dass eine Datenbearbeitung zu einem hohen Risiko führt, kann er verfügen, dass die Datenbearbeitung angepasst, suspendiert oder vollständig abgebrochen wird. Dies gilt so lange, bis eine DSFA durchgeführt und der EDÖB konsultiert wurde (Art. 51 Abs. 1 i.V.m. Art. 49 f). Dieser Schritt kann zu erheblichen Verzögerungen und damit hohen Kosten und zusätzlichen Aufwand für den Verantwortlichen führen. Da die Ergebnisse einer Untersuchung zudem vom EDÖB veröffentlicht werden können (Art. 57 Abs 2), sind in solchen Fällen zudem Reputationsrisiken zu erwarten.

32 Die Verletzung der Pflicht zur Konsultation des EDÖB wird jedoch nicht eigenständig einer Busse unterstellt. Dies erscheint folgerichtig, zumal es sich um eine Sorgfaltspflicht handelt und der EDÖB entsprechende Kompetenzen hat (vgl. hierzu die Ausführungen in Art. 22 N. 37). In der EU ist in diesen Fällen eine Busse vorgesehen.

IV. Herausforderungen und praktische Relevanz

33 Die praktische Relevanz von Art. 23 bleibt abzuwarten. So werden sich zumindest private Verantwortliche der Pflicht weitestgehend zu entziehen versuchen, indem sie die geplante Datenbearbeitung so lange anpassen, bis sie im Rahmen der getroffenen Massnahmen nicht mehr zu einem hohen Risiko für die betroffenen Personen führt.

Es ist somit davon auszugehen, dass der EDÖB nur in Ausnahmefällen konsultiert wird. Dafür gibt es weitere Gründe: Einerseits werden private Verantwortliche nicht bis zu drei Monaten warten wollen, bis sie eine Einschätzung ihrer Datenbearbeitung erhalten und mit ihrem Projekt fortfahren können. Zumal davon auszugehen ist, dass diese Frist erst beginnt, wenn der EDÖB alle aus seiner Sicht notwendigen Informationen vom Verantwortlichen erhalten hat. Dies könnte in Einzelfällen dazu führen, dass Projekte deutlich länger unterbrochen werden müssen. Bei den Vorhaben kann es sich dann auch um geschäftsrelevante Vorgänge und Tatsachen handeln, welche, sobald sie dem EDÖB vorgelegt werden, in die Öffentlichkeit gelangen könnten. Letzteres etwa, weil der EDÖB in seinem Tätigkeitsbericht über die DSFA berichten muss oder aufgrund eines Öffentlichkeitsgesuches nach BGÖ dazu verpflichtet wird, gewisse Informationen offenzulegen. Dem kann nicht in jedem Fall entgegnet werden, dass der EDÖB sich zur Verschwiegenheit verpflichtet. Schliesslich ist die Konsultation des EDÖB gem. Art. 59 Abs. 1 lit. c DSG gemäss Zeitaufwand des EDÖB für private Verantwortliche kostenpflichtig und richtet sich nach einem Stundensatz von CHF 150-250 (Art. 44 Abs. 2 DSV), was im Rahmen von komplexen Datenbearbeitungsprozessen ein nicht zu unterschätzender Kostenpunkt sein dürfte. Die Gebühren können bis auf das Doppelte erhöht werden, wenn die Konsultation des EDÖB kommerziell weiterverwendet werden kann (Art. 44 Abs. 3 und 4 DSV). Diese Kosten kommen zu den eigenen Kosten hinzu, die eine DSFA bei einem privaten Verantwortlichen ohnehin schon auslöst.

34In Fällen, in denen eine Datenbearbeitung in der Öffentlichkeit steht und der EDÖB aufgrund dessen bzw. dem damit einhergehenden politischen Druck z.B. eine Anfrage gegenüber dem Verantwortlichen stellt oder eine Untersuchung durchführt, dürften private Verantwortliche wie auch schon in der Vergangenheit zur Durchführung einer DSFA mittels Verfügung verpflichtet werden (vgl. Art. 51 Abs. 2 lit. d und Art. 49). Solche Anordnungen werden vermutlich auch eine Pflicht zur Konsultation des EDÖB für diesen bestimmten Datenbearbeitungsprozess vorsehen.

V. Vergleich mit dem EU-Recht

35Die DSGVO sieht in Art. 36 Abs. 1 die Pflicht vor, die zuständige Aufsichtsbehörde zu konsultieren, sofern eine Datenbearbeitung trotz ergriffener Massnahmen zu hohen Risiken für die betroffenen Personen führen könnte.

In dieser Hinsicht ist die Regelung mit Art. 23 Abs. 1 DSG identisch.

36Vergleichbar mit Art. 23 Abs. 2 DSG hat die kompetente Aufsichtsbehörde gem. Art. 36 Abs. 2 DSGVO dem Verantwortlichen sowie gegebenenfalls den involvierten Auftragsbearbeitern Einwände gegen die geplante Datenbearbeitung innert acht Wochen mitzuteilen. Solche Einwände können sich dadurch ergeben, dass die Aufsichtsbehörde zum Schluss kommt, dass der Verantwortliche «das Risiko nicht ausreichend ermittelt oder nicht ausreichend eingedämmt hat». Die Frist kann hingegen um sechs Wochen und nicht nur einen Monat seit Eingang des Antrages verlängert werden. Eine solche Fristverlängerung muss dem Verantwortlichen innert eines Monats mitgeteilt werden und zudem eine Begründung erhalten. Die Aufsichtsbehörde kann diese Fristen aussetzen, bis sie die notwendigen Informationen gem. Art. 36 Abs. 3 DSGVO erhalten hat. Die Regelungen in der EU sind entsprechend ausführlicher als in der Schweiz und erscheinen sinnvoll, zumal sie den Prozess und auch die Pflichten der Aufsichtsbehörden in Bezug auf die Fristen detaillierter regeln.

37Sofern die Aufsichtsbehörde Einwände hat, muss sie dem Verantwortlichen und gegebenenfalls den involvierten Auftragsbearbeitern schriftliche Empfehlungen übermitteln, was der Schweizer Regelung sehr ähnelt, wobei in der Schweiz der Empfänger der Stellungnahme grundsätzlich der Verantwortliche ist. Der Aufsichtsbehörde steht weitergehend ausdrücklich noch das Recht zu, ihre weiteren Befugnisse aus Art. 58 DSGVO auszuüben. Im DSG wird dies nicht explizit erwähnt.

38Während Art. 23 DSG keine näheren Bestimmungen darüber enthält, welche Informationen die Verantwortlichen dem EDÖB im Rahmen der Konsultation liefern müssen, enthält Art. 36 Abs. 3 DSGVO eine Liste der zu erteilenden Informationen: Angaben zu den Zuständigkeiten des Verantwortlichen, gemeinsamen Verantwortlichen und gegebenenfalls den Auftragsbearbeitern, Zwecke und Mittel der geplanten Datenbearbeitung, die zum Schutz der Rechte und Freiheiten der betroffenen Personen [gem. DSGVO] vorgesehenen Massnahmen und Garantien, gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten, die Datenschutz-Folgenabschätzung an sich sowie alle sonstigen von der Aufsichtsbehörde angeforderten Informationen.

39Art. 36 Abs. 4 und 5 DSGVO regeln dann bestimmte Rechte und Pflichten der Mitgliedstaaten sowie zusätzliche Vorgaben, welche die Mitgliedstaaten in ihrem lokalen Recht vorsehen können.

40 Die Verletzung der Pflicht zur Konsultation der Aufsichtsbehörde ist ebenso wie die Pflicht zur Durchführung einer DSFA in der DSGVO strafbewährt. So sieht die DSGVO für die Verletzung der Pflicht zur Konsultation Bussen bis zu € 10 Mio. oder bis zu 2% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres vor (Art. 83 Abs. 4 lit. a DSGVO). Dies steht im Gegensatz zum DSG, das für diese Fälle keine Busse vorsieht (vgl. N. 33).

Literaturverzeichnis

Blonski Dominika, Kommentierung zu Art. 23 DSG, in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Stämpflis Handkommentar zum DSG, 2. Aufl., Zürich/Basel, 2023.

Kasper Gabriel, People Analytics in privatrechtlichen Arbeitsverhältnissen: Vorschläge zur wirksameren Durchsetzung des Datenschutzrechts, Zürich 2021.

Lobsiger Adrian, Hohes Risiko – kein Killerargument gegen Vorhaben der digitalen Transformation, SJZ 2023, S. 311–319.

Rosenthal David, Das neue Datenschutzgesetz, Jusletter 16. November 2020.

Kühling Jürgen/Buchner Benedikt, Datenschutz-Grundverordnung BDSG, Kommentar, 3. Aufl., München, 2020.

Materialienverzeichnis

Botschaft vom 15. September 2017 zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz, BBl 2017, S. 6941 ff., abrufbar unter: https://fedlex.data.admin.ch/eli/fga/2017/2057, besucht am 5.6.2023.