-
- Art. 3 BV
- Art. 5a BV
- Art. 6 BV
- Art. 10 BV
- Art. 16 BV
- Art. 17 BV
- Art. 20 BV
- Art. 22 BV
- Art. 29a BV
- Art. 30 BV
- Art. 32 BV
- Art. 42 BV
- Art. 43 BV
- Art. 43a BV
- Art. 55 BV
- Art. 56 BV
- Art. 60 BV
- Art. 68 BV
- Art. 75b BV
- Art. 77 BV
- Art. 96 Abs. 2 lit. a BV
- Art. 110 BV
- Art. 117a BV
- Art. 118 BV
- Art. 123b BV
- Art. 136 BV
- Art. 166 BV
-
- Art. 11 OR
- Art. 12 OR
- Art. 50 OR
- Art. 51 OR
- Art. 84 OR
- Art. 97 OR
- Art. 98 OR
- Art. 99 OR
- Art. 100 OR
- Art. 143 OR
- Art. 144 OR
- Art. 145 OR
- Art. 146 OR
- Art. 147 OR
- Art. 148 OR
- Art. 149 OR
- Art. 150 OR
- Art. 701 OR
- Art. 715 OR
- Art. 715a OR
- Art. 734f OR
- Art. 785 OR
- Art. 786 OR
- Art. 787 OR
- Art. 788 OR
- Art. 808c OR
- Übergangsbestimmungen zur Aktienrechtsrevision vom 19. Juni 2020
-
- Art. 2 BPR
- Art. 3 BPR
- Art. 4 BPR
- Art. 6 BPR
- Art. 10 BPR
- Art. 10a BPR
- Art. 11 BPR
- Art. 12 BPR
- Art. 13 BPR
- Art. 14 BPR
- Art. 15 BPR
- Art. 16 BPR
- Art. 17 BPR
- Art. 19 BPR
- Art. 20 BPR
- Art. 21 BPR
- Art. 22 BPR
- Art. 23 BPR
- Art. 24 BPR
- Art. 25 BPR
- Art. 26 BPR
- Art. 27 BPR
- Art. 29 BPR
- Art. 30 BPR
- Art. 31 BPR
- Art. 32 BPR
- Art. 32a BPR
- Art. 33 BPR
- Art. 34 BPR
- Art. 35 BPR
- Art. 36 BPR
- Art. 37 BPR
- Art. 38 BPR
- Art. 39 BPR
- Art. 40 BPR
- Art. 41 BPR
- Art. 42 BPR
- Art. 43 BPR
- Art. 44 BPR
- Art. 45 BPR
- Art. 46 BPR
- Art. 47 BPR
- Art. 48 BPR
- Art. 49 BPR
- Art. 50 BPR
- Art. 51 BPR
- Art. 52 BPR
- Art. 53 BPR
- Art. 54 BPR
- Art. 55 BPR
- Art. 56 BPR
- Art. 57 BPR
- Art. 58 BPR
- Art. 59a BPR
- Art. 59b BPR
- Art. 59c BPR
- Art. 62 BPR
- Art. 63 BPR
- Art. 67 BPR
- Art. 67a BPR
- Art. 67b BPR
- Art. 73 BPR
- Art. 73a BPR
- Art. 75 BPR
- Art. 75a BPR
- Art. 76 BPR
- Art. 76a BPR
- Art. 90 BPR
-
- Vorb. zu Art. 1 DSG
- Art. 1 DSG
- Art. 2 DSG
- Art. 3 DSG
- Art. 5 lit. d DSG
- Art. 5 lit. f und g DSG
- Art. 6 Abs. 3-5 DSG
- Art. 6 Abs. 6 und 7 DSG
- Art. 7 DSG
- Art. 10 DSG
- Art. 11 DSG
- Art. 12 DSG
- Art. 14 DSG
- Art. 15 DSG
- Art. 19 DSG
- Art. 20 DSG
- Art. 22 DSG
- Art. 23 DSG
- Art. 25 DSG
- Art. 26 DSG
- Art. 27 DSG
- Art. 31 Abs. 2 lit. e DSG
- Art. 33 DSG
- Art. 34 DSG
- Art. 35 DSG
- Art. 38 DSG
- Art. 39 DSG
- Art. 40 DSG
- Art. 41 DSG
- Art. 42 DSG
- Art. 43 DSG
- Art. 44 DSG
- Art. 44a DSG
- Art. 45 DSG
- Art. 46 DSG
- Art. 47 DSG
- Art. 47a DSG
- Art. 48 DSG
- Art. 49 DSG
- Art. 50 DSG
- Art. 51 DSG
- Art. 54 DSG
- Art. 57 DSG
- Art. 58 DSG
- Art. 60 DSG
- Art. 61 DSG
- Art. 62 DSG
- Art. 63 DSG
- Art. 64 DSG
- Art. 65 DSG
- Art. 66 DSG
- Art. 67 DSG
- Art. 69 DSG
- Art. 72 DSG
- Art. 72a DSG
-
- Art. 2 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 3 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 4 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 5 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 6 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 7 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 8 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 9 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 11 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 12 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 25 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 29 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 32 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 33 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 34 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
BUNDESVERFASSUNG
OBLIGATIONENRECHT
BUNDESGESETZ ÜBER DAS INTERNATIONALE PRIVATRECHT
LUGANO-ÜBEREINKOMMEN
STRAFPROZESSORDNUNG
ZIVILPROZESSORDNUNG
BUNDESGESETZ ÜBER DIE POLITISCHEN RECHTE
ZIVILGESETZBUCH
BUNDESGESETZ ÜBER KARTELLE UND ANDERE WETTBEWERBSBESCHRÄNKUNGEN
BUNDESGESETZ ÜBER INTERNATIONALE RECHTSHILFE IN STRAFSACHEN
DATENSCHUTZGESETZ
BUNDESGESETZ ÜBER SCHULDBETREIBUNG UND KONKURS
SCHWEIZERISCHES STRAFGESETZBUCH
CYBERCRIME CONVENTION
HANDELSREGISTERVERORDNUNG
MEDIZINPRODUKTEVERORDNUNG
GELDWÄSCHEREIGESETZ
- In Kürze
- I. Allgemeines
- II. Inhalt
- III. Verletzung der Pflicht zur Konsultation des EDÖB
- IV. Herausforderungen und praktische Relevanz
- V. Vergleich mit dem EU-Recht
- Literaturverzeichnis
- Materialienverzeichnis
In Kürze
Art. 23 ist die Folgeregelung von Art. 22. Stellt der Verantwortliche im Rahmen einer DSFA fest, dass ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person trotz ergriffener, risikomildernder Massnahmen besteht, so ist eine Konsultation des EDÖB erforderlich. Deren Voraussetzungen, Fristen und Folgen werden aufgelistet und spezifiziert. Der EDÖB überprüft die geplante Datenbearbeitung im Hinblick auf die Einhaltung des DSG. Einwände gegen die geplante Datenbearbeitung äussert der EDÖB in einer Stellungnahme, welche auch Empfehlungen bzgl. möglicher Massnahmen enthält. Diese Stellungnahme wird dem Verantwortlichen übermittelt. Der EDÖB kann seine Kompetenzen gem. Art. 49 und 51 ff. auch nachträglich zur Konsultation gemäss Art. 23 ausüben. Strafbewährt ist eine Verletzung der Pflicht aus Art. 23 jedoch nicht.
I. Allgemeines
A. Überblick
1Art. 23 beschreibt die Voraussetzungen der Konsultation des EDÖB. Dabei handelt es sich um ein Vorgehen, das mit der Datenschutz-Folgenabschätzung (DSFA) aus Art. 22 in einem engen Zusammenhang steht. Stellt der Verantwortliche während einer DSFA fest, dass durch die geplante Datenbearbeitung, trotz der getroffenen Massnahmen, weiterhin ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person besteht, dann muss der EDÖB vorgängig konsultiert werden. Der EDÖB prüft in diesem Fall die Vereinbarkeit der geplanten Datenbearbeitung mit dem Datenschutzrecht sowie den Voraussetzungen für die Informationssicherheit.
B. Entstehungsgeschichte
2Die Pflicht eine DSFA durchzuführen und den EDÖB zu konsultieren, sofern die geplante Datenbearbeitung trotz ergriffener Massnahmen zu einem hohen Risiko für die betroffenen Personen führt, existierte vor der Totalrevision des DSG nicht. Die Pflicht existierte auch nicht für Bundesbehörden, die gem. Art. 22 aDSG eine DSFA durchführen mussten. Die Europäische Datenschutzkonvention (SEV 108+) verlangt die Einführung dieser Pflicht ebenfalls nicht. In einigen kantonalen Datenschutzgesetzen war die Pflicht jedoch bereits vorgesehen, etwa im Kanton Zürich in Art. 10 IDG oder im Kanton Bern in Art. 17a KDSG.
3Die Möglichkeit bzw. Notwendigkeit der Konsultation fusst jedoch auf europarechtlichen Vorgaben aus dem Jahr 2008. Zu nennen ist vor allem Art. 20 der Richtlinie 95/46/EG, wonach Bearbeitungen, welche mit bestimmten Risiken für Personen, insbesondere die Rechte und Freiheiten betreffend, bereits vorab durch den Datenschutzbeauftragten geprüft werden müssen. Diese Regelung wirkt bis heute in Art. 28 der geltenden Richtlinie 2016/680/EU
4Der VE-DSG sah in Art. 16 Abs. 3 VE-DSG eine Benachrichtigung des EDÖB über die Ergebnisse der DSFA in jedem Fall vor. Im Einklang mit der heutigen Regelung, musste der EDÖB dem Verantwortlichen seine Einwände innert einer bestimmten Frist mitteilen. Die Pflicht, den EDÖB in jedem Fall über das Ergebnis einer DSFA zu informieren, wurde in der öffentlichen Vernehmlassung stark kritisiert. Der Bundesrat entschärfte daraufhin die Pflicht mit Art. 21 Abs. 1 E-DSG. Diese abgeschwächte Normierung wurde in die heutige Regelung von Art. 23 Abs. 1 übernommen, indem der EDÖB nur konsultiert werden muss, wenn trotz der ergriffenen Massnahmen weiterhin hohe Risiken für die Persönlichkeit oder für die Grundrechte der betroffenen Person bestehen.
C. Normzweck
5 Gemäss Botschaft wurde die Konsultationspflicht im Rahmen der Totalrevision im Jahr 2020 aufgenommen, «weil sie es dem Beauftragten erlaubt, präventiv und beratend tätig zu sein».
6 Der Zweck des Art. 23 liegt ferner darin begründet, bereits vor der Durchführung eines Projekts, welches entsprechende Datenbearbeitungen vorsieht, Lösungen zu entwickeln. Dies dient dazu von vornherein einen hohen Datenschutzstandard zu gewährleisten sowie die Informationssicherheit zu garantieren. Der Gesetzgeber zielt somit auf ein proaktives Verhalten, um von vornherein mögliche Rechtsverletzungen auf ein Minimum zu reduzieren bzw. idealerweise ganz auszuschliessen. Ausserdem dient es dazu, den Verantwortlichen nachträglich – wenn eine Datenbearbeitung bereits begonnen hat – vor zusätzlichem Aufwand und zusätzlichen Kosten zu schützen. Dies erscheint auch vor dem Hintergrund sinnvoll, dass sich nachträgliche Schäden und Verletzungen oftmals nur schwerlich beseitigen lassen.
II. Inhalt
A. Adressaten
7Die Adressaten des Art. 23 sind wie in Art. 22 Bundesbehörden und private Verantwortliche. Davon nicht umfasst sind Auftragsbearbeiter. Bezüglich der Rolle dieser Auftragsbearbeiter kann auf die entsprechende Kommentierung in Art. 22 verwiesen werden.
8Bundesbehörden und private Verantwortliche sind somit verpflichtet den EDÖB zu konsultieren, wenn eine geplante Datenbearbeitung trotz der implementierten Massnahmen zu einem hohen Risiko für die Persönlichkeit und Grundrechte der betroffenen Personen führt. Der EDÖB ist demgegenüber verpflichtet die Konsultation gemäss DSG durchzuführen und sich dabei an die geltenden Fristen zu halten (vgl. N. 25).
B. «Geplante» Bearbeitung
9Der Normtext des Art. 23 sieht in Abs. 1 vor, dass die Konsultation des EDÖB bei einer geplanten Bearbeitung mit hohem Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person vorzunehmen ist. Diese Bestimmung gilt nur, wenn vom Verantwortlichen bereits Massnahmen zur Minderung der sich ergebenden Risiken vorgesehen sind und die Datenbearbeitung dennoch ein hohes Risiko birgt.
10Während der Wortlaut vermuten lässt, dass es sich dabei nur um neue, geplante Datenbearbeitungen handeln kann, umfasst dies auch Änderungen bereits bestehender Datenbearbeitungen oder Verfahren (vgl. hierzu die Kommentierung zu Art. 69).
C. Konsultation
1. Einführung
11Zunächst setzt Art. 23 voraus, dass der Verantwortliche eine DSFA in Bezug auf eine geplante oder veränderte Datenbearbeitung gem. Art. 22 durchgeführt hat. Kommt der Verantwortliche zum Schluss, dass trotz der vorgesehenen Massnahmen die Datenbearbeitung ein hohes Risiko für die Persönlichkeit oder Grundrechte der betroffenen Person besteht, muss der Verantwortliche den EDÖB konsultieren. Obschon das Gesetz keine Formvorschriften beinhaltet, sollte diese Eingabe allein schon aus Beweisgründen schriftlich erfolgen. Liegt dieses hohe Risiko nicht vor, so kann der Verantwortliche die DSFA dennoch freiwillig dem EDÖB vorlegen.
12 Die Konsultation muss vor Beginn der betreffenden Datenbearbeitung durchgeführt werden. Erst nach abgeschlossener Konsultation, d.h. nach der erfolgten Stellungnahme durch den EDÖB, darf die Bundesbehörde oder der private Verantwortliche mit der Datenbearbeitung beginnen.
13Drei Punkte bzgl. der Konsultation sind vorgängig zu berücksichtigen:
Erstens ist die Konsultation für private Verantwortliche kostenpflichtig (siehe Art. 59 Abs. 1 lit. c DSG; Art. 44 DSV). Die jeweiligen Kosten richten sich nach dem Personalaufwand im Einzelfall. Für Bundesorgane entstehen hingegen keine Kosten.
Zweitens kann sich der EDÖB seinerseits an den Verantwortlichen wenden und eine Evaluierung der Risiken und Konsultation anfordern, sofern er Kenntnis von geplanten Bearbeitungshandlungen erlangt.
Lobsiger, S. 316.
Drittens kann der EDÖB diese Aufforderung mit der Vornahme von Untersuchungshandlungen verbinden (vgl. N. 23).
Lobsiger, S. 316.
2. Einzureichende Informationen
14Die Bestimmung in Art. 23 legt fest, in welchen Fällen der EDÖB konsultiert werden muss. Sie definiert jedoch nicht, welche Informationen dem EDÖB für seine Bewertung eingereicht werden müssen. Aufgrund dieser Ausgangslage ist davon auszugehen bzw. wurde bereits angekündigt
15 Die DSGVO kann hierbei als Orientierungshilfe dienen, da sie eine Liste der einzureichenden Informationen enthält (vgl. N. 39). Hilfreich kann es auch sein, gemäss dem sog. ISDS-Konzept
16Zudem sollten die eingereichten Dokumente strukturiert eingereicht werden und mit dem eigenen Namen sowie einer Kontaktadresse versehen werden. Dies dient der Kommunikation mit dem EDÖB, sofern im Einzelfall Rückfragen aufkommen oder sonstiger Klärungsbedarf besteht.
3. Vorgehen des EDÖB
17Nachdem die entsprechenden Dokumente vollständig eingereicht wurden (vgl. N. 15 ff.), geht der EDÖB für gewöhnlich in drei Schritten (i)–(iii) vor: In einem ersten Schritt werden die eingereichten Informationen gesichtet und überprüft, ob weitere Informationen, Dokumente oder sonstige Angaben zur Klärung erforderlich sind. Ist dies der Fall, werden diese Informationen beim Verantwortlichen angefragt (i). Sodann werden die Unterlagen sorgfältig geprüft und auf ihre Nachvollziehbarkeit und Stichhaltigkeit hin analysiert (ii). In einem dritten Schritt wird das Verfahren abgeschlossen, wobei gegebenenfalls Einwände mitgeteilt und zu ergreifende Massnahmen vorgeschlagen werden (iii). Im Rahmen dieser drei Schritte schätzt der EDÖB ab, ob die vorgeschlagenen Massnahmen ausreichen, um den Schutz der Persönlichkeit und Grundrechte der betroffenen Person zu gewährleisten und das hohe Risiko zu mindern.
18Im ersten Schritt prüft der EDÖB die vom Verantwortlichen eingereichten Informationen und stellt sicher, dass er den Datenbearbeitungsvorgang versteht. Dabei stehen insbesondere die faktische sowie die technische Beschreibung der betreffenden Datenbearbeitung im Vordergrund. Sofern der EDÖB weitere Informationen benötigt, verlangt er diese und fordert gegebenenfalls eine mündliche Besprechung der geplanten Datenbearbeitung mit dem Verantwortlichen ein, um spezifische Fragen zu klären. Hierbei ist zu beachten, dass aus dem Gesetzeswortlaut nicht hervorgeht, ob die Frist für den EDÖB, Stellung zu nehmen, erst nach diesem Schritt zu laufen beginnt oder direkt bei Einreichung des Konsultationsantrags. Gemäss der hier vertretenen Ansicht beginnt die Frist zur Stellungnahme jedoch erst nach vollständiger Einreichung aller vom EDÖB angeforderten Informationen zu laufen. Dies bedeutet, dass die Dauer der Konsultation also länger als diese zwei bis drei Monate dauern kann, je nachdem, welche zusätzlichen Informationen und Unterlagen der EDÖB noch verlangt.
19Auf dieser Grundlage beginnt die eigentliche Überprüfung der betreffenden Datenbearbeitung. In diesem zweiten Schritt prüft der EDÖB insbesondere die Risikobeurteilung und vorgeschlagenen Massnahmen des Verantwortlichen. Diese Beurteilung beinhaltet die Überprüfung der rechtlichen Voraussetzungen, wovon in erster Linie die Einhaltung der Datenschutzgrundsätze umfasst ist. Dazu gehören neben der Verhältnismässigkeit (Stichwort: Datensparsamkeit und Datenvermeidung) u.a. allfällige gesetzliche oder vertragliche Grundlagen oder Rechtfertigungsgründe für die Datenbearbeitung, die Auslagerung der Datenbearbeitung oder Bekanntgabe von Daten ins Ausland, die Datensicherheit sowie die Gewährleistung der Betroffenenrechte wie insbesondere das Auskunftsrecht sowie das Recht auf Berichtigung und Löschung von Daten.
20Nachdem sich der EDÖB mit diesen Aspekten tiefgehend auseinandergesetzt hat, verfasst er in einem dritten Schritt grundsätzlich eine Stellungnahme zuhanden des Verantwortlichen. In dieser Stellungnahme listet er seine Beobachtungen hinsichtlich der geplanten Datenbearbeitung auf und bietet eine Beurteilung sowohl aus rechtlicher als auch technisch-organisatorischer Perspektive. Kommt er zum Schluss, dass die Datenbearbeitung datenschutzkonform ist, so ergeben sich keine weiteren Voraussetzungen für den Verantwortlichen. Der EDÖB gibt in diesem Fall auch keine Empfehlungen ab. Er kann in einem solchen Fall sogar ganz davon absehen, dem Verantwortlichen eine Stellungnahme zukommen zu lassen. Sofern der EDÖB Einwände erhebt, verbindet er diese mit Vorschlägen für konkrete Massnahmen (vgl. zu den Massnahmen Art. 22 N. 26.). Diese Massnahmen zielen darauf ab, sowohl die Einhaltung des Datenschutzes als auch der Informationssicherheit zu gewährleisten.
21 In diesem Rahmen gilt es einen Sonderfall zu beachten: Kommt der EDÖB im Anschluss an die durchgeführte Datenbearbeitung zum Schluss, dass die Massnahmen nicht ausreichend waren oder gar keine Massnahmen existieren, um die identifizierten Risiken zu reduzieren, ist er dazu befugt eine Untersuchung durchzuführen (Art. 49).
22 Hervorzuheben ist zudem, dass die Stellungnahme des EDÖB eine unverbindliche Empfehlung darstellt. Sie hat keinen Verfügungscharakter und kann somit keinesfalls als Genehmigung oder gar Bewilligung zur Durchführung der geplanten Datenbearbeitung verstanden werden.
4. Frist
23 Sofern der EDÖB zur Konsultation beigezogen wird, hat er gem. Art. 23 Abs. 2 innert zwei Monaten, gerechnet ab der vollständigen Eingabe an den EDÖB, seine Stellungnahme dem Verantwortlichen mitzuteilen. Der EDÖB kann die Frist um maximal einen Monat verlängern, sofern es sich um eine komplexe Datenbearbeitung handelt. Erhält der Verantwortliche innert dieser Frist keine Mitteilung vom EDÖB, ist davon auszugehen, dass der EDÖB keine Einwände gegen die geplante Datenbearbeitung anbringen wird.
D. Ausnahmen
24Art. 23 sieht einige Ausnahmen von der grundsätzlichen Pflicht zur Konsultation vor. Diese Ausnahmen richten sich nach Abs. 4 und gelten nur für private Verantwortliche. Bundesbehörden sind von den Ausnahmeregelungen somit ausgenommen.
25Abs. 4 hält fest, dass eine Konsultation nicht erforderlich ist, wenn der Verantwortliche einen Datenschutzberater in Bezug auf die geplante Datenbearbeitung konsultiert.
26Gemäss Botschaft soll die Ausnahme den Verwaltungsaufwand seitens der privaten Verantwortlichen reduzieren.
27Die Ausnahme ist zudem als Anreiz für private Verantwortliche zu deuten.
28Die Ausnahme greift indes nur, wenn die Voraussetzungen von Art. 10 Abs. 3 erfüllt sind. Dementsprechend muss der Datenschutzberater fachlich unabhängig und weisungsungebunden, frei von Interessenskonflikten sein und über die erforderlichen Fachkenntnisse verfügen (vgl. ausführlich zu diesen Voraussetzungen die Kommentierung zu Art. 10). Der Verantwortliche muss hingegen die Kontaktdaten des Datenschutzberaters veröffentlichen und diese dem EDÖB mitteilen. Diese Ausnahme erinnert an die unter Art. 11a Abs. 5 lit. e aDSG geltende Ausnahme zur Pflicht zur Anmeldung von Datensammlungen, welche ersatzlos aus dem DSG gestrichen wurde. Private Verantwortliche sind mit diesen Voraussetzungen somit bereits bestens vertraut.
29Private Verantwortliche, die Geschäftsmodelle oder Technologien entwickeln oder einsetzen, welche potenziell zu hohen Risiken für betroffene Personen führen, werden erfahrungsgemäss einen Datenschutzberater ernennen und von dieser Ausnahme Gebrauch machen. Damit wird es ihnen ermöglicht, die Konsultation des EDÖB zu vermeiden. Dies ist umso mehr anzunehmen, als international tätige private Verantwortliche in solchen Branchen ohnehin bereits aufgrund der DSGVO verpflichtet sind, einen Datenschutzverantwortlichen zu ernennen.
III. Verletzung der Pflicht zur Konsultation des EDÖB
30 Für den Fall, dass ein Verantwortlicher trotz Pflicht gem. Art. 23 den EDÖB nicht vorab konsultiert, sieht Art. 51 Abs. 3 lit. e vor, dass der EDÖB unter Strafandrohung verfügen kann, dass der Verantwortliche ihn vorgängig konsultiert. Im Gegensatz dazu haben betroffene Personen jedoch keinen Anspruch, die Konsultation des EDÖB klageweise durchzusetzen.
31 Stellt der EDÖB im Rahmen einer Untersuchung fest, dass eine Datenbearbeitung zu einem hohen Risiko führt, kann er verfügen, dass die Datenbearbeitung angepasst, suspendiert oder vollständig abgebrochen wird. Dies gilt so lange, bis eine DSFA durchgeführt und der EDÖB konsultiert wurde (Art. 51 Abs. 1 i.V.m. Art. 49 f). Dieser Schritt kann zu erheblichen Verzögerungen und damit hohen Kosten und zusätzlichen Aufwand für den Verantwortlichen führen. Da die Ergebnisse einer Untersuchung zudem vom EDÖB veröffentlicht werden können (Art. 57 Abs 2), sind in solchen Fällen zudem Reputationsrisiken zu erwarten.
32 Die Verletzung der Pflicht zur Konsultation des EDÖB wird jedoch nicht eigenständig einer Busse unterstellt. Dies erscheint folgerichtig, zumal es sich um eine Sorgfaltspflicht handelt und der EDÖB entsprechende Kompetenzen hat (vgl. hierzu die Ausführungen in Art. 22 N. 37). In der EU ist in diesen Fällen eine Busse vorgesehen.
IV. Herausforderungen und praktische Relevanz
33 Die praktische Relevanz von Art. 23 bleibt abzuwarten. So werden sich zumindest private Verantwortliche der Pflicht weitestgehend zu entziehen versuchen, indem sie die geplante Datenbearbeitung so lange anpassen, bis sie im Rahmen der getroffenen Massnahmen nicht mehr zu einem hohen Risiko für die betroffenen Personen führt.
34In Fällen, in denen eine Datenbearbeitung in der Öffentlichkeit steht und der EDÖB aufgrund dessen bzw. dem damit einhergehenden politischen Druck z.B. eine Anfrage gegenüber dem Verantwortlichen stellt oder eine Untersuchung durchführt, dürften private Verantwortliche wie auch schon in der Vergangenheit zur Durchführung einer DSFA mittels Verfügung verpflichtet werden (vgl. Art. 51 Abs. 2 lit. d und Art. 49). Solche Anordnungen werden vermutlich auch eine Pflicht zur Konsultation des EDÖB für diesen bestimmten Datenbearbeitungsprozess vorsehen.
V. Vergleich mit dem EU-Recht
35Die DSGVO sieht in Art. 36 Abs. 1 die Pflicht vor, die zuständige Aufsichtsbehörde zu konsultieren, sofern eine Datenbearbeitung trotz ergriffener Massnahmen zu hohen Risiken für die betroffenen Personen führen könnte.
36Vergleichbar mit Art. 23 Abs. 2 DSG hat die kompetente Aufsichtsbehörde gem. Art. 36 Abs. 2 DSGVO dem Verantwortlichen sowie gegebenenfalls den involvierten Auftragsbearbeitern Einwände gegen die geplante Datenbearbeitung innert acht Wochen mitzuteilen. Solche Einwände können sich dadurch ergeben, dass die Aufsichtsbehörde zum Schluss kommt, dass der Verantwortliche «das Risiko nicht ausreichend ermittelt oder nicht ausreichend eingedämmt hat». Die Frist kann hingegen um sechs Wochen und nicht nur einen Monat seit Eingang des Antrages verlängert werden. Eine solche Fristverlängerung muss dem Verantwortlichen innert eines Monats mitgeteilt werden und zudem eine Begründung erhalten. Die Aufsichtsbehörde kann diese Fristen aussetzen, bis sie die notwendigen Informationen gem. Art. 36 Abs. 3 DSGVO erhalten hat. Die Regelungen in der EU sind entsprechend ausführlicher als in der Schweiz und erscheinen sinnvoll, zumal sie den Prozess und auch die Pflichten der Aufsichtsbehörden in Bezug auf die Fristen detaillierter regeln.
37Sofern die Aufsichtsbehörde Einwände hat, muss sie dem Verantwortlichen und gegebenenfalls den involvierten Auftragsbearbeitern schriftliche Empfehlungen übermitteln, was der Schweizer Regelung sehr ähnelt, wobei in der Schweiz der Empfänger der Stellungnahme grundsätzlich der Verantwortliche ist. Der Aufsichtsbehörde steht weitergehend ausdrücklich noch das Recht zu, ihre weiteren Befugnisse aus Art. 58 DSGVO auszuüben. Im DSG wird dies nicht explizit erwähnt.
38Während Art. 23 DSG keine näheren Bestimmungen darüber enthält, welche Informationen die Verantwortlichen dem EDÖB im Rahmen der Konsultation liefern müssen, enthält Art. 36 Abs. 3 DSGVO eine Liste der zu erteilenden Informationen: Angaben zu den Zuständigkeiten des Verantwortlichen, gemeinsamen Verantwortlichen und gegebenenfalls den Auftragsbearbeitern, Zwecke und Mittel der geplanten Datenbearbeitung, die zum Schutz der Rechte und Freiheiten der betroffenen Personen [gem. DSGVO] vorgesehenen Massnahmen und Garantien, gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten, die Datenschutz-Folgenabschätzung an sich sowie alle sonstigen von der Aufsichtsbehörde angeforderten Informationen.
39Art. 36 Abs. 4 und 5 DSGVO regeln dann bestimmte Rechte und Pflichten der Mitgliedstaaten sowie zusätzliche Vorgaben, welche die Mitgliedstaaten in ihrem lokalen Recht vorsehen können.
40 Die Verletzung der Pflicht zur Konsultation der Aufsichtsbehörde ist ebenso wie die Pflicht zur Durchführung einer DSFA in der DSGVO strafbewährt. So sieht die DSGVO für die Verletzung der Pflicht zur Konsultation Bussen bis zu € 10 Mio. oder bis zu 2% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres vor (Art. 83 Abs. 4 lit. a DSGVO). Dies steht im Gegensatz zum DSG, das für diese Fälle keine Busse vorsieht (vgl. N. 33).
Literaturverzeichnis
Blonski Dominika, Kommentierung zu Art. 23 DSG, in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Stämpflis Handkommentar zum DSG, 2. Aufl., Zürich/Basel, 2023.
Kasper Gabriel, People Analytics in privatrechtlichen Arbeitsverhältnissen: Vorschläge zur wirksameren Durchsetzung des Datenschutzrechts, Zürich 2021.
Lobsiger Adrian, Hohes Risiko – kein Killerargument gegen Vorhaben der digitalen Transformation, SJZ 2023, S. 311–319.
Rosenthal David, Das neue Datenschutzgesetz, Jusletter 16. November 2020.
Kühling Jürgen/Buchner Benedikt, Datenschutz-Grundverordnung BDSG, Kommentar, 3. Aufl., München, 2020.
Materialienverzeichnis
Botschaft vom 15. September 2017 zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz, BBl 2017, S. 6941 ff., abrufbar unter: https://fedlex.data.admin.ch/eli/fga/2017/2057, besucht am 5.6.2023.