-
- Art. 3 BV
- Art. 5a BV
- Art. 6 BV
- Art. 10 BV
- Art. 13 BV
- Art. 16 BV
- Art. 17 BV
- Art. 20 BV
- Art. 22 BV
- Art. 26 BV
- Art. 29a BV
- Art. 30 BV
- Art. 31 BV
- Art. 32 BV
- Art. 42 BV
- Art. 43 BV
- Art. 43a BV
- Art. 45 BV
- Art. 51 BV
- Art. 52 BV
- Art. 55 BV
- Art. 56 BV
- Art. 60 BV
- Art. 68 BV
- Art. 69 BV
- Art. 74 BV
- Art. 75b BV
- Art. 77 BV
- Art. 81 BV
- Art. 96 Abs. 1 BV
- Art. 96 Abs. 2 lit. a BV
- Art. 110 BV
- Art. 117a BV
- Art. 118 BV
- Art. 122 BV
- Art. 123a BV
- Art. 123b BV
- Art. 130 BV
- Art. 136 BV
- Art. 164 BV
- Art. 166 BV
- Art. 170 BV
- Art. 176 BV
- Art. 178 BV
- Art. 189 BV
- Art. 191 BV
-
- Art. 11 OR
- Art. 12 OR
- Art. 50 OR
- Art. 51 OR
- Art. 84 OR
- Art. 97 OR
- Art. 98 OR
- Art. 99 OR
- Art. 100 OR
- Art. 143 OR
- Art. 144 OR
- Art. 145 OR
- Art. 146 OR
- Art. 147 OR
- Art. 148 OR
- Art. 149 OR
- Art. 150 OR
- Art. 633 OR
- Art. 701 OR
- Art. 713 OR
- Art. 715 OR
- Art. 715a OR
- Art. 734f OR
- Art. 785 OR
- Art. 786 OR
- Art. 787 OR
- Art. 788 OR
- Art. 808c OR
- Übergangsbestimmungen zur Aktienrechtsrevision vom 19. Juni 2020
-
- Art. 2 BPR
- Art. 3 BPR
- Art. 4 BPR
- Art. 6 BPR
- Art. 10 BPR
- Art. 10a BPR
- Art. 11 BPR
- Art. 12 BPR
- Art. 13 BPR
- Art. 14 BPR
- Art. 15 BPR
- Art. 16 BPR
- Art. 17 BPR
- Art. 19 BPR
- Art. 20 BPR
- Art. 21 BPR
- Art. 22 BPR
- Art. 23 BPR
- Art. 24 BPR
- Art. 25 BPR
- Art. 26 BPR
- Art. 27 BPR
- Art. 29 BPR
- Art. 30 BPR
- Art. 31 BPR
- Art. 32 BPR
- Art. 32a BPR
- Art. 33 BPR
- Art. 34 BPR
- Art. 35 BPR
- Art. 36 BPR
- Art. 37 BPR
- Art. 38 BPR
- Art. 39 BPR
- Art. 40 BPR
- Art. 41 BPR
- Art. 42 BPR
- Art. 43 BPR
- Art. 44 BPR
- Art. 45 BPR
- Art. 46 BPR
- Art. 47 BPR
- Art. 48 BPR
- Art. 49 BPR
- Art. 50 BPR
- Art. 51 BPR
- Art. 52 BPR
- Art. 53 BPR
- Art. 54 BPR
- Art. 55 BPR
- Art. 56 BPR
- Art. 57 BPR
- Art. 58 BPR
- Art. 59a BPR
- Art. 59b BPR
- Art. 59c BPR
- Art. 60 BPR
- Art. 60a BPR
- Art. 62 BPR
- Art. 63 BPR
- Art. 64 BPR
- Art. 67 BPR
- Art. 67a BPR
- Art. 67b BPR
- Art. 73 BPR
- Art. 73a BPR
- Art. 75 BPR
- Art. 75a BPR
- Art. 76 BPR
- Art. 76a BPR
- Art. 90 BPR
-
- Art. 1 IRSG
- Art. 1a IRSG
- Art. 3 Abs. 1 und 2 IRSG
- Art. 8 IRSG
- Art. 8a IRSG
- Art. 11b IRSG
- Art. 16 IRSG
- Art. 17 IRSG
- Art. 17a IRSG
- Art. 32 IRSG
- Art. 35 IRSG
- Art. 47 IRSG
- Art. 54 IRSG
- Art. 55a IRSG
- Art. 63 IRSG
- Art. 67 IRSG
- Art. 67a IRSG
- Art. 74 IRSG
- Art. 74a IRSG
- Art. 80 IRSG
- Art. 80a IRSG
- Art. 80b IRSG
- Art. 80h IRSG
- Art. 80c IRSG
- Art. 80d IRSG
- Art. 80k IRSG
-
- Vorb. zu Art. 1 DSG
- Art. 1 DSG
- Art. 2 DSG
- Art. 3 DSG
- Art. 4 DSG
- Art. 5 lit. c DSG
- Art. 5 lit. d DSG
- Art. 5 lit. f und g DSG
- Art. 6 Abs. 3-5 DSG
- Art. 6 Abs. 6 und 7 DSG
- Art. 7 DSG
- Art. 10 DSG
- Art. 11 DSG
- Art. 12 DSG
- Art. 14 DSG
- Art. 15 DSG
- Art. 18 DSG
- Art. 19 DSG
- Art. 20 DSG
- Art. 22 DSG
- Art. 23 DSG
- Art. 25 DSG
- Art. 26 DSG
- Art. 27 DSG
- Art. 28 DSG
- Art. 29 DSG
- Art. 31 Abs. 2 lit. e DSG
- Art. 33 DSG
- Art. 34 DSG
- Art. 35 DSG
- Art. 38 DSG
- Art. 39 DSG
- Art. 40 DSG
- Art. 41 DSG
- Art. 42 DSG
- Art. 43 DSG
- Art. 44 DSG
- Art. 44a DSG
- Art. 45 DSG
- Art. 46 DSG
- Art. 47 DSG
- Art. 47a DSG
- Art. 48 DSG
- Art. 49 DSG
- Art. 50 DSG
- Art. 51 DSG
- Art. 52 DSG
- Art. 54 DSG
- Art. 55 DSG
- Art. 57 DSG
- Art. 58 DSG
- Art. 60 DSG
- Art. 61 DSG
- Art. 62 DSG
- Art. 63 DSG
- Art. 64 DSG
- Art. 65 DSG
- Art. 66 DSG
- Art. 67 DSG
- Art. 69 DSG
- Art. 72 DSG
- Art. 72a DSG
-
- Art. 2 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 3 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 4 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 5 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 6 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 7 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 8 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 9 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 11 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 12 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 16 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 18 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 25 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 27 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 28 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 29 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 32 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 33 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 34 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
-
- Art. 2 Abs. 1 GwG
- Art. 2 Abs. 2 GwG
- Art. 2 Abs. 3 GwG
- Art. 2a Abs. 1-2 und 4-5 GwG
- Art. 3 GwG
- Art. 7 GwG
- Art. 7a GwG
- Art. 8 GwG
- Art. 8a GwG
- Art. 11 GWG
- Art. 14 GwG
- Art. 15 GwG
- Art. 20 GwG
- Art. 23 GwG
- Art. 24 GwG
- Art. 24a GwG
- Art. 25 GwG
- Art. 26 GwG
- Art. 26a GwG
- Art. 27 GwG
- Art. 28 GwG
- Art. 29 GwG
- Art. 29a GwG
- Art. 29b GwG
- Art. 30 GwG
- Art. 31 GwG
- Art. 31a GwG
- Art. 32 GwG
- Art. 33 GwG
- Art. 34 GwG
- Art. 38 GwG
BUNDESVERFASSUNG
BUNDESGESETZ ÜBER DIE DIREKTE BUNDESSTEUER
OBLIGATIONENRECHT
BUNDESGESETZ ÜBER DAS INTERNATIONALE PRIVATRECHT
LUGANO-ÜBEREINKOMMEN
STRAFPROZESSORDNUNG
ZIVILPROZESSORDNUNG
BUNDESGESETZ ÜBER DIE POLITISCHEN RECHTE
ZIVILGESETZBUCH
BUNDESGESETZ ÜBER KARTELLE UND ANDERE WETTBEWERBSBESCHRÄNKUNGEN
BUNDESGESETZ ÜBER INTERNATIONALE RECHTSHILFE IN STRAFSACHEN
DATENSCHUTZGESETZ
BUNDESGESETZ ÜBER SCHULDBETREIBUNG UND KONKURS
STRAFGESETZBUCH
CYBERCRIME CONVENTION
HANDELSREGISTERVERORDNUNG
MEDIZINPRODUKTEVERORDNUNG
GELDWÄSCHEREIGESETZ
ÖFFENTLICHKEITSGESETZ
BUNDESGESETZ ÜBER DEN INTERNATIONALEN KULTURGÜTERTRANSFER
HEILMITTELGESETZ
STEUERHARMONISIERUNGSGESETZ
- I. Vorbemerkungen
- II. Allgemeines
- III. Voraussetzungen
- IV. Rechtsfolge: Portierung
- V. Modalitäten (Abs. 3 und DSV)
- Literaturverzeichnis
- Materialienverzeichnis
I. Vorbemerkungen
1 Art. 28 DSG enthält das Recht der betroffenen Person auf Herausgabe (Abs. 1) oder Übertragung (Abs. 2) gewisser sie betreffender Daten. Es wird auch als Recht auf Datenportabilität bezeichnet und stellt – neben dem Auskunftsrecht – das zweite Betroffenenrecht im Gefüge des DSG dar. Der darauffolgende Art. 29 DSG ist gemeinsam mit Art. 28 DSG zu lesen und enthält mögliche Einschränkungsgründe.
2 Zur Ausübung von Art. 28 DSG aktivlegitimiert ist die antragstellende natürliche Person, über die ein Verantwortlicher Daten bearbeitet.
II. Allgemeines
A. Normzweck
3 Der Normzweck von Art. 28 DSG ist bis heute umstritten. Während etwa der Bundesrat im Recht auf Datenportabilität wettbewerbsrechtliche Ziele verwirklicht sieht (dazu N.10), stehen für andere Stimmen in der Literatur konsumentenschutzrechtliche oder datenschutzrechtliche Ziele im Vordergrund.
4 In datenschutzrechtlicher Hinsicht soll das Portabilitätsrecht der betroffenen Person eine selbstbestimmte Datendisposition ermöglichen. Es soll die faktische Ausschliessungsmöglichkeit, die dem Verantwortlichen ohne Portabilitätsrecht zukommen würde, durchbrechen
5 Damit eng verwoben sind allerdings auch wettbewerbsrechtliche Überlegungen. In dieser Hinsicht strebt das Portabilitätsrecht eine allgemeine Wettbewerbsförderung und die Förderung eines freien Datenflusses an. In der Literatur vielfach aufgeführte, weitere Ziele wie die Senkung von Wechselkosten oder Markteintrittsschranken und Verhinderung von Lock-In-Effekten können nach hier vertretener Ansicht hingegen nur eine untergeordnete Rolle spielen: Art. 28 DSG ist nicht auf Fälle beschränkt, in denen ein Lock-In-Effekt existiert oder nur schon existieren kann, und es ist kein Nachweis nötig, dass Markteintrittsschranken existieren oder solche verringert werden.
6 Damit nehmen die wettbewerbsrechtlichen Ziele Abstand von einem klassischen kartellrechtlichen Verständnis und rücken in die Nähe eines «Regulierungsrechts», welches ex ante wirkt.
7 Aufgrund der Breite der möglichen Anwendungsfälle lassen sich die genannten, mitunter sehr unterschiedlichen Ziele, nicht immer leicht vereinbaren. Nach dem Gesagten verfolgt das Recht auf Datenportabilität aber sowohl datenschutzrechtliche als auch wettbewerbsrechtliche Ziele. Indes ist es primär als datenschutzrechtliches Instrument zu betrachten, das auch wettbewerbsrechtliche Ziele verfolgt. Dies ergibt sich systematisch daraus, dass das Portabilitätsrecht nur Personendaten erfasst und einzig von (datenschutzrechtlich) betroffenen Personen ausgeübt werden kann. Entsprechend liegt ein Konnex zur Persönlichkeit der betroffenen Person und ihrer informationellen Selbstbestimmung nahe.
8 Folglich ist das Recht auf Datenportabilität im Datenschutzrecht nicht (wie teils vertreten) systemfremd, sondern «systemschaffend».
9 Gerade mit Blick auf die wenig lineare Entstehungsgeschichte in der Schweiz (dazu sogleich) ist das Recht auf Datenportabilität auch in einem grösseren Kontext zu verstehen: Es handelt sich um ein Instrument der Schweizer Datenpolitik schlechthin und nicht «nur» um ein datenschutzrechtliches Instrument. Das Portabilitätsrecht ist auf grundsätzliche datenpolitische Überlegungen zurückzuführen und soll einen freien Datenfluss im Zeitalter der Datenwirtschaft ermöglichen. In diesem Sinn kann es zwar – wie nun geschehen – datenschutzrechtlich ausgestaltet sein, muss aber nicht notwendigerweise in einer engen Beziehung zum DSG stehen.
B. Entstehungsgeschichte
10 Art. 28 DSG hat keine Entsprechung im aDSG. Es handelt sich um eine genuine Neuerung der Revision, die aus der DSGVO übernommen wurde (dazu N. 12). Dessen Einführung war allerdings bis zuletzt unsicher: Der Bundesrat erachtete eine entsprechende Regelung als «problematisch» und verzichtete darauf, ein Recht auf Datenportabilität im (Vor-)Entwurf einzufügen.
11 In den parlamentarischen Beratungen fügte die SPK-N aber dennoch ein generelles Recht auf Datenportabilität in die Vorlage ein.
C. Rechtsvergleichende Hinweise
12 Das Recht auf Datenportabilität wurde praktisch unverändert aus der DSGVO übernommen, weshalb sich die dortige Regelung in Art. 20 DSGVO für die Schweizer Auslegung heranziehen lässt.
III. Voraussetzungen
A. Personendaten der Betroffenen
13 Art. 28 Abs. 1 DSG sieht zunächst vor, dass die betroffene Person vom Verantwortlichen die Herausgabe «ihrer Personendaten» verlangen kann. Daraus folgt, dass nur Daten, die sich auf eine natürliche Person beziehen, portabel sind (Art. 2 Abs. 1 und Art. 5 lit. a DSG). Somit sind Daten ohne Bezug zur betroffenen Person nicht erfasst, sofern der Verantwortliche die Daten nicht mit ihr verknüpfen kann. Zu nennen sind bspw. anonyme Performance-Metriken bei Software, etwa Angaben zur CPU-Auslastung oder zum Speicherverbrauch auf dem Gerät einer Nutzerin. Verlangt wird also eine Nähe der Daten zur Persönlichkeit der betroffenen Person.
14 Damit unterliegen Daten, die sich auf juristische Personen beziehen, nicht dem Portabilitätsrecht. Ebenfalls nicht erfasst sind Daten, die ein Verantwortlicher nachträglich anonymisiert.
15 Wie die lateinischen Sprachfassungen deutlich machen, müssen sich die Daten auf die antragstellende Person beziehen. Nichts ableiten lässt sich hingegen aus der uneindeutigen Formulierung in der deutschen Sprachfassung («ihrer Personendaten»), die auch ein anderes, weitergreifendes Verständnis zulassen würde.
16 Umstritten ist allerdings, wie es sich für Daten verhält, die sich auch auf Dritte beziehen, bspw. Fotos, auf welchen mehrere Personen abgebildet sind. Da die Einschränkungsgründe des Datenportabilitätsrechts in Art. 29 Abs. 1 i. V. m. Art. 26 Abs. 1 lit. b DSG auf überwiegende Interessen Dritter verweisen, ist davon auszugehen, dass Personendaten, die sich auch auf Dritte beziehen, dem Portabilitätsrecht unterliegen können.
17 Somit ist wie folgt vorzugehen, um zu ermitteln, ob bestimmte Daten dem Portabilitätsrecht unterliegen: In einem ersten Schritt muss der Verantwortliche abklären, ob im Allgemeinen die Voraussetzungen von Art. 28 DSG erfüllt sind, insb. ob die in Frage stehenden Personendaten von der betroffenen Person bekanntgegeben wurden.
B. Bekanntgegebene Daten
18 Das Recht auf Datenportabilität ist beschränkt auf Daten, die die betroffene Person dem Verantwortlichen «bekanntgegeben» hat. Das Merkmal der Bekanntgabe ist nicht i. S. d. Legaldefinition in Art. 5 lit. e DSG zu verstehen.
19 Bekanntgegeben sind gemäss Art. 20 Abs. 1 lit. a DSV zunächst Daten, die eine betroffene Person dem Verantwortlichen wissentlich und willentlich zur Verfügung stellt (sog. Stammdaten; auch «provided data»). Erfasst sind alle direkt und bewusst bekanntgegebenen Daten, bspw. Adressdaten, die im Rahmen einer Onlinebestellung eingegeben werden oder Daten, die anlässlich einer Registrierung auf einer Plattform oder auf einem Anamnesebogen im Spital zu hinterlegen sind.
20 Weiter gelten Daten als bekanntgegeben, wenn ein Verantwortlicher sie über die betroffene Person und ihr Verhalten im Rahmen der Nutzung eines Dienstes oder Geräts erhoben hat (Art. 20 Abs. 1 lit. b DSV). Solche beobachteten Daten (auch «observed data») werden – wissentlich oder unwissentlich – von der betroffenen Person indirekt bei der Nutzung eines Dienstes oder Gerätes erzeugt.
21 Nicht erfasst sind abgeleitete Daten (auch «derived data»), d.h. Daten, die der Verantwortliche durch eigene Auswertung von Daten erzeugt (Art. 20 Abs. 2 DSV). Da diese eine eigenständige Leistung des Verantwortlichen darstellen, sind sie von einer Portierung ausgenommen.
22 Die Abgrenzung zwischen beobachteten und abgeleiteten Daten ist im Einzelfall vorzunehmen und dürfte nicht immer einfach sein. So bedeutet bspw. im Gesundheitsbereich beobachten zumeist auch messen, und einer einfachen Messung liegt rasch eine komplexe Technologie zugrunde, die nach wissenschaftlichen Methoden vorgeht.
C. Automatisierte Bearbeitung
23 Eine weitere Einschränkung liegt darin, dass nur Daten dem Recht auf Datenportabilität unterliegen, die der Verantwortliche automatisiert bearbeitet (Art. 28 Abs. 1 lit. a DSG). Dies soll primär Daten ausschliessen, die in Papierform aufbewahrt werden.
24 Erfasst werden nur elektronisch bearbeitete Daten.
25 Den Verantwortlichen trifft keine Pflicht, in Papierform oder sonst wie analog aufbewahrte Daten zu digitalisieren. Werden Daten allerdings nur teilweise automatisiert bearbeitet, kann der Verantwortliche im Einzelfall zur Portierung dieser Daten verpflichtet sein, weil die Einschränkung nicht von ausschliesslich automatisierter Bearbeitung spricht.
D. Einwilligung oder unmittelbarer Zusammenhang mit Vertrag
26 Als weitere Voraussetzung sieht Art. 28 DSG eine Einschränkung vor auf Daten, die mit der Einwilligung der betroffenen Person oder in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags zwischen dem Verantwortlichen und der betroffenen Person bearbeitet werden (Abs. 1 lit. b). Diese Voraussetzung nimmt Bezug auf die Rechtfertigungsgründe für eine Datenbearbeitung in Art. 31 DSG und wurde tel quel aus der DSGVO übernommen.
27 Allerdings basiert die DSGVO auf dem Prinzip des Verbots mit Erlaubnisvorbehalt. In der Schweiz sind Datenbearbeitungen Privater demgegenüber grundsätzlich zulässig, solange die Persönlichkeit der betroffenen Person nicht widerrechtlich verletzt wird (Erlaubnis mit Verbotsvorbehalt).
28 Eine Auslegung nach dem Wortlaut würde somit bedeuten, dass nur Datenbearbeitungen dem Portabilitätsrecht unterliegen, wenn sie sich auf die Rechtfertigungsgründe der Einwilligung (Art. 31 Abs. 1 Variante 1 DSG) oder des überwiegenden Interesses aufgrund eines unmittelbaren Zusammenhangs mit einem Vertrag (Art. 31 Abs. 2 lit. a DSG) stützen können. Damit würde zwar sichergestellt, dass Datenbearbeitungen gestützt auf eine gesetzliche Verpflichtung nicht vom Recht auf Datenportabilität umfasst wären. Allerdings ist kein Grund ersichtlich, weshalb Datenbearbeitungen, die keinen Rechtfertigungsgrund benötigen, von einer Portierung ausgeschlossen sein sollten.
29 Es wird daher in der Literatur von einer gesetzgeberischen Nachlässigkeit ausgegangen und mit Blick auf den Normzweck für ein weitergehendes Verständnis plädiert.
30 Im Umkehrschluss bedeutet dies, dass Datenbearbeitungen, die sich auf einen anderen Rechtfertigungsgrund stützen, nicht dem Recht auf Datenportabilität unterliegen. Relevant ist dies namentlich, wenn eine gesetzliche Grundlage für die Datenbearbeitung existiert (Art. 31 Abs. 1 Variante 3 DSG). Während die DSGVO einen ausdrücklichen Ausschluss von Verarbeitungen in Wahrnehmung öffentlicher Aufgaben vorsieht (Art. 20 Abs. 3 Satz 2 DSGVO), ist dies unter dem DSG nicht der Fall. Dennoch macht bereits die Einschränkung in Art. 28 Abs. 1 lit. b DSG deutlich, dass Datenbearbeitungen, die sich auf eine gesetzliche Grundlage stützen, grundsätzlich ausgeschlossen sind.
IV. Rechtsfolge: Portierung
31 Sind die unter III. genannten Voraussetzungen kumulativ erfüllt, kann die betroffene Person die Herausgabe der Daten an sie (Abs. 1) oder eine Übertragung an einen anderen Verantwortlichen verlangen (Abs. 2). Sowohl die Herausgabe als auch die Übertragung der Daten muss in einem gängigen elektronischen Format erfolgen (dazu N. 38 ff.).
32 Durch die Ausübung des Portabilitätsrechts ändert sich das Rechtsverhältnis der betroffenen Person zum Verantwortlichen nicht. Weder gilt eine einmal erteilte Einwilligung als widerrufen, noch ändert sich etwas an einem allfälligen Vertragsverhältnis zwischen den Parteien.
A. An die betroffene Person (Datenherausgabe; Abs. 1)
33 Unter dem Grundtatbestand von Art. 28 Abs. 1 DSG gibt der Verantwortliche die Daten an die betroffene Person heraus. Diese kann die Daten anschliessend für ihren rein persönlichen Gebrauch verwenden (etwa eine Fotosammlung nunmehr lokal auf ihrem Computer speichern) oder sie eigenständig an einen Dritten ihrer Wahl übertragen.
B. An einen Verantwortlichen (Datenübertragung; Abs. 2)
34 Nach Art. 28 Abs. 2 DSG ist auf Antrag der betroffenen Person auch eine direkte Übertragung an Dritte (in Art. 28 als ein «anderer Verantwortlicher» bezeichnet) möglich. Dazu müssen zunächst ebenfalls sämtliche Voraussetzungen nach Abs. 1 erfüllt sein. Zusätzlich darf die Übertragung aber auch keinen unverhältnismässigen Aufwand erfordern. Abs. 2 wird Genüge getan, wenn der Dritte die Daten direkt beim passivlegitimierten Verantwortlichen holen kann, etwa weil ihm dieser über eine Programmierschnittstelle (API) den Zugang gewährt.
35 Art. 21 Abs. 3 DSV konkretisiert, dass ein unverhältnismässiger Aufwand vorliegt, wenn die Übertragung technisch nicht möglich ist. Eine solche Unmöglichkeit dürfte indes kaum je vorliegen, da die Datenherausgabe an die betroffene Person in technischer Hinsicht weder einfacher noch komplexer ist als die Datenübertragung an einen anderen Verantwortlichen.
36 Freilich ist ein Dritter nicht dazu verpflichtet, die Daten entgegenzunehmen oder für die technische Durchführbarkeit der Übertragung zu sorgen.
37 Kein unverhältnismässiger Aufwand lässt sich aus den Kosten ableiten, welche für den Verantwortlichen anfallen.
C. Datenformat
38 Art. 28 DSG sieht die Herausgabe oder Übertragung in einem gängigen elektronischen Format vor. Dabei soll es sich um Datenformate handeln, die es ermöglichen, dass die Daten mit verhältnismässigem Aufwand übertragen und von der betroffenen Person oder einem anderen Verantwortlichen weiterverwendet werden (siehe Art. 21 Abs. 1 DSV).
39 Da diese Konkretisierung kaum hilfreich ist, ist die Bestimmung in Art. 20 DSGVO heranzuziehen, auch wenn sich der Schweizer Wortlaut eher an demjenigen des Auskunftsrechts in Art. 15 Abs. 3 DSGVO orientierte.
1. Gängig
40 Gängig ist ein Format, wenn es in der jeweiligen Branche für die betreffende Art der Daten und im relevanten geografischen Gebiet verbreitet ist.
41 Davon auszunehmen sind jedoch proprietäre Formate, welche zwar möglicherweise verbreitet, aber nur zu hohen Kosten lizenzierbar sind.
42 Die Gängigkeit ist aus der Perspektive des passivlegitimierten Verantwortlichen zu beurteilen: Eine DICOM-Datei (für Digital Imaging and Communications in Medicine, mit der Dateiendung .dcm) kann für eine Patientin ungewöhnlich sein, ist aber in der Radiologie gängig.
2. Elektronisch
43 Ein elektronisches Format entspricht in der Sache der Maschinenlesbarkeit unter der DSGVO. Dort wird die Maschinenlesbarkeit als ein eigentliches «Formerfordernis» für die digitale Gesellschaft betrachtet, da erst diese eine maschinelle Verarbeitung von Informationen durch Computer ermögliche.
44 Punktuell kann die Schweizer Regelung jedoch enger sein als die Maschinenlesbarkeit. Während unter der DSGVO bisweilen diskutiert wird, ob Computerausdrucke wegen der technischen Möglichkeit zur automatisierten Texterkennung (sog. optical character recognition; OCR) als maschinenlesbar gelten sollen, sind diese unter dem DSG klarerweise nicht als ein elektronisches Format einzustufen.
3. Kein Interoperabilitätserfordernis
45 Aus den Vorgaben zum Datenformat ergibt sich kein Interoperabilitätserfordernis.
46 Art. 21 Abs. 2 DSV stellt in diesem Sinn klar, dass mit dem Portabilitätsrecht keine Pflicht für den Verantwortlichen besteht, technisch kompatible Datenbearbeitungssysteme zu übernehmen oder beizubehalten. Diese Pflicht gibt es selbstredend auch nicht für Dritte, die die portierten Daten gar nicht erst übernehmen müssen. Auch eine Pflicht zur Schaffung einer Interoperabilität zwischen Systemen ergibt sich aus den Vorgaben des DSG und der DSV nicht.
47 Das BJ regt in seinen Erläuterungen zudem an, dass die übermittelten Informationen in interoperablen Formaten mit geeigneten und verständlichen Metadaten genau beschrieben werden sollen, damit sie sinnvoll in ein neues System übernommen werden können.
V. Modalitäten (Abs. 3 und DSV)
48 Art. 28 Abs. 3 DSG sieht vor, dass der Verantwortliche die Personendaten grundsätzlich kostenlos portieren muss. Zudem konkretisiert Art. 22 DSV Frist, Zuständigkeit und weitere Modalitäten. Art. 22 DSV beschränkt sich indes darauf, sinngemäss auf die Modalitäten des Auskunftsrechts zu verweisen, ohne sich inhaltlich mit dem Recht auf Datenportabilität zu befassen. Im Grundsatz kann daher auf die Ausführungen zum Auskunftsrecht verwiesen werden.
A. Form und Frist
49 Art. 22 i. V. m. Art. 16 Abs. 1 DSV verlangt von der betroffenen Person ein schriftliches Gesuch. Darin hat sich die Person zu identifizieren (Art. 22 i. V. m. Art. 16 Abs. 5 DSV). Möglich ist dies etwa, indem sie ihrem Gesuch eine Ausweiskopie beilegt. Häufiger dürfte die Identifizierung aber dadurch erfolgen, dass die betroffene Person das Gesuch direkt von ihrem (eingeloggten) Account beim Verantwortlichen aus stellt.
50 Die Portierung muss innert 30 Tagen seit Eingang des Gesuchs erfolgen (Art. 22 i. V. m. Art. 18 Abs. 1 DSV). Kann die Portierung nicht innert dieser Frist erfolgen, muss der Verantwortliche die betroffene Person darüber informieren und mitteilen, innert welcher Frist die Portierung erfolgen kann (Art. 22 i. V. m. Art. 18 Abs. 2 DSV). Auch eine mögliche Einschränkung ist innert derselben Frist mitzuteilen (Art. 22 i. V. m. Art. 18 Abs. 3 DSV).
51 Ein kontinuierlicher oder periodischer Datenfluss ist nicht geschuldet. Auch ein unbeschränkter Datenzugang für die betroffene Person oder den anderen Verantwortlichen (etwa durch einen Zugang auf eine Schnittstelle) muss der Verantwortliche nicht gewähren.
52 Wie das Auskunftsrecht kann somit auch das Recht auf Datenportabilität grundsätzlich in jeder Form gewährt werden. Möglich ist etwa der postalische Versand eines USB-Sticks oder der elektronische Versand per E-Mail.
B. Zuständigkeit
53 Der Anspruch auf Datenportabilität richtet sich gegen den Verantwortlichen, auch wenn die Daten bei einem Auftragsbearbeiter gespeichert sind.
C. Kostenlosigkeit
54 Der Verantwortliche hat die Daten kostenlos herauszugeben oder zu übertragen (Art. 28 Abs. 3 DSG). Ausnahmsweise ist eine Beteiligung von bis zu CHF 300 zulässig, wenn die Portierung mit einem unverhältnismässigen Aufwand verbunden ist (Art. 22 i. V. m. Art. 19 Abs. 1 und 2 DSV).
Bemerkung:
Struktur und Inhalt dieser Kommentierung orientieren sich an der Dissertation des Autors zum Recht auf Datenportabilität. In den Fussnoten wird nur dann spezifisch darauf verwiesen, wenn sich darin vertiefende Ausführungen finden.
Literaturverzeichnis
Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Datenschutzgesetz (DSG), 2. Aufl., Bern 2023 (zit.: SHK-Autor/in, Art. … DSG N. ...).
Benhamou Yaniv/Cottier Bertil (Hrsg.), Petit commentaire LPD, Loi sur la protection des données, Basel 2023 (zit.: PC-Autor/in, Art. … DSG N. ...).
Berners-Lee Tim, Long Live the Web, Scientific American 2010, 80–85.
Bieri Adrian/Powell Julian (Hrsg.), Orell Füssli Kommentar zum Schweizerischen Datenschutzgesetz mit weiteren Erlassen, Zürich 2023 (zit.: OFK-Autor/in, Art. … DSG N. ...).
Bieri Adrian/Powell Julian, Die Totalrevision des Bundesgesetzes über den Datenschutz, Jusletter 16.11.2020.
Brorsen Hans/Falk Richard, Die «Maschinenlesbarkeit» von Informationen, Unter der Haube der EU-Digitalregulierung, MMR 2025, 7–12.
Cattaneo Gianni, Legge federale sulla protezione dei dati (nLPD) e Ordinanza sulla protezione dei dati (nOPDa): struttura, principi e obblighi nel settore privato, in: Bernasconi Giorgio A./Pasucci Paola (Hrsg.), Protezione dei dati personali: orizzonte 2023, Introduzione alle nuove norme di livello federale e cantonale, Basel 2024, 3–67.
Drepper Johannes/Schlünder Irene/Buckow Karoline, Praktische Umsetzbarkeit der Datenportabilität im Bereich der medizinischen Forschung, in: Stiftung Datenschutz, Praktische Umsetzung des Rechts auf Datenübertragbarkeit, Rechtliche, technische und verbraucherbezogene Implikationen, 3. Aufl., Leipzig 2018, 178–196.
Ehmann Eugen/Selmayr Martin (Hrsg.), Beck’scher Kurz-Kommentar zur Datenschutz-Grundverordnung, 3. Aufl., München 2024 (zit.: KUKO-Autor/in, Art. … DSGVO N. ...).
Ehrenzeller Bernhard/Schindler Benjamin/Schweizer Rainer J. (Hrsg.), St. Galler Kommentar zur schweizerischen Bundesverfassung, 4. Aufl., Zürich et al. 2023 (zit.: SGK-Autor/in, Art. 13 BV N. ...).
Engels Barbara, Data portability among online platforms, Internet Policy Review 2/2016, 1–17.
Expertengruppe zur Zukunft der Datenbearbeitung und Datensicherheit, Bericht vom 17.8.2018, <https://perma.cc/YB65-ECG9> (zit.: Expertengruppe Zukunft).
Fix Alexander Daniel, Das Recht auf Datenportabilität, Art. 20 DSGVO als Schnittstelle zwischen Wettbewerbsförderung und Datenschutz, Berlin 2022.
Götzinger Lena/Vasella David, Datenportabilität und ihre Umsetzung, SZW 2021, 40–51.
Kratz Alexander, Datenportabilität und «Walled Gardens», InTeR 2019, 26–31.
Krause Peter, Datenportabilität, Pflichten für Verantwortliche im Rahmen des Rechts auf Datenübertragbarkeit (Teil 2), PinG 2019, 13–20.
Landolt Robin, Datenkooperationen, Der unternehmensübergreifende Zugang zu Daten im Spannungsfeld zwischen Datenschutz und Wettbewerbsförderung, Zürich 2024.
Laux Christian, Das Recht auf Datenportabilität, digma 2019, 166–170.
Mahon Pascal, Le droit à l’intégrité numérique : réelle innovation ou simple évolution du droit ? Le point de vue du droit constitutionnel, in: Guillaume Florence/Mahon Pascal (Hrsg.), Le droit à l’intégrité numérique, Basel 2021, 43–63.
Mätzler Samuel, Das Recht auf Datenportabilität, Eine rechtsvergleichende Untersuchung von Art. 28 DSG anhand dreier Datenökosysteme, Zürich 2026.
Meier Philippe/Métille Sylvain (Hrsg.), Loi fédérale sur la protection des données, Commentaire Romand, Basel 2023 (zit.: CR-Autor/in, Art. … DSG N. ...).
Métille Sylvain, Loi fédérale sur la protection des données révisée : principes généraux et nouveautés, in: Défago Valérie/Dunand Jean-Philippe/Mahon Pascal/Posse-Ousmane Samah/Raedler David (Hrsg.), La protection des données dans les relations de travail à la lumière de la nouvelle loi fédérale sur la protection des données, Genf et al. 2024, 3–47.
Rosenthal David, Das neue Datenschutzgesetz, Jusletter 16.11.2020.
Schweitzer Heike, Datenzugang in der Datenökonomie: Eckpfeiler einer neuen Informationsordnung, GRUR 2019, 569–579.
Sperlich Tim, Informationelle Selbstbestimmung zwischen Wettbewerbs- und Datenschutzrecht, Eine Analyse und Beurteilung der Wechselwirkungen zwischen dem Wettbewerbs- und Datenschutzrecht, Berlin 2021.
Steiner Thomas, Zwischen Autonomie und Angleichung, Eine Analyse zur Anwendung des neuen DSG im Lichte der DSGVO, in: Widmer Michael (Hrsg.), Datenschutz, Rechtliche Schnittstellen, Zürich 2023, 51–138.
Steiner Thomas/Morand Anne-Sophie/Hürlimann Daniel (Hrsg.), Onlinekommentar zum Bundesgesetz über den Datenschutz, Version vom 31.7.2023 (zit.: OK-Autor/in, Art. … DSG N. ...).
Swire Peter P./Lagos Yianni, Why the Right to Data Portability Likely Reduces Consumer Welfare: Antitrust and Privacy Critique, Maryland Law Review 2013, 335–380.
Swiss Data Alliance, Leitlinie zur Umsetzung der Datenübertragbarkeit in der Schweiz, Version 1.0 vom 20.8.2020.
Thouvenin Florent, Informationelle Selbstbestimmung: Intuition, Illusion, Implosion, ZSR Beiheft 2023.
Thouvenin Florent/Weber Rolf H./Früh Alfred, Elemente einer Datenpolitik, Zürich et al. 2019.
Vasella David/Blechta Gabor-Paul (Hrsg.), Basler Kommentar zum Datenschutzgesetz und Öffentlichkeitsgesetz, 4. Aufl., Basel 2024 (zit.: BSK-Autor/in, Art. … DSG N. ...).
Weber Rolf H./Thouvenin Florent, Gutachten zur Möglichkeit der Einführung eines Datenportabilitätsrechts im schweizerischen Recht und zur Rechtslage bei Personal Information Management Systems (PIMS) vom 22.12.2017.
Wolff Heinrich Amadeus/Brink Stefan/von Ungern-Sternberg Antje (Hrsg.), BeckOK Datenschutzrecht, 53. Aufl., München 2025 (zit.: BeckOK DSR-Autor/in, Art. … DSGVO N. ...).
Ziegler Noémi/Vasella David, Informationelle Selbstbestimmung, Was leistet das Datenschutzrecht für die Selbstbestimmung der Betroffenen?, digma 2019, 158–164.
Materialienverzeichnis
Artikel 29-Datenschutzgruppe, Leitlinien zum Recht auf Datenübertragbarkeit, WP 242 rev.01, zuletzt überarbeitet und angenommen am 5.4.2017.
Botschaft zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz vom 15.9.2017, BBl 2017 6941 ff. (zit.: Botschaft DSG 2017).
Bundesamt für Justiz, Erläuternder Bericht zum Vorentwurf für das Bundesgesetz über die Totalrevision des Datenschutzgesetzes und die Änderung weiterer Erlasse zum Datenschutz vom 21.12.2016 (zit.: BJ, Erläuternder Bericht VE-DSG).
Bundesamt für Justiz, Erläuternder Bericht Verordnung über den Datenschutz (Datenschutzverordnung, DSV) vom 31.8.2022 (zit.: BJ, Erläuternder Bericht DSV).
Bundesamt für Kommunikation, «Massnahmen für eine zukunftsorientierte Datenpolitik der Schweiz», Medienmitteilung vom 9.5.2018, <https://perma.cc/VJE24KLZ> (zit.: BAKOM, Medienmitteilung vom 9.5.2018).
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter, Das neue Datenschutzgesetz aus Sicht des EDÖB vom 9.2.2021 (zit.: EDÖB).
Fahne 17.059, Datenschutzgesetz, Teilrevision und Änderung weiterer Erlasse zum Datenschutz, Entwurf 3 Herbstsession 2019, Beschluss Nationalrat, <https://perma.cc/JQL2-XP5J> (zit.: Fahne 17.059, Beschluss Nationalrat).