Eine Kommentierung von Sandra Husi-Stämpfli
Herausgegeben von Thomas Steiner / Anne-Sophie Morand / Daniel Hürlimann
6. Kapitel:
Besondere Bestimmungen zur Datenbearbeitung durch Bundesorgane
Art. 33 Kontrolle und Verantwortung bei gemeinsamer Bearbeitung von Personendaten
Der Bundesrat regelt die Kontrollverfahren und die Verantwortung für den Datenschutz, wenn ein Bundesorgan Personendaten zusammen mit anderen Bundesorganen, mit kantonalen Organen oder mit privaten Personen bearbeitet.
In Kürze
Da die Bearbeitung von Personendaten zunehmend nicht nur von mehreren Bundesstellen gemeinsam erfolgt, sondern auch gemeinsam mit kantonalen oder kommunalen Stellen oder sogar Privaten, bedarf es klarer Regelungen der Verantwortlichkeiten. Art. 33 DSG ermächtigt den Bundesrat, die Verantwortlichkeiten in diesen Konstellationen zu definieren.
I. Allgemeines
A. Entstehungsgeschichte
1 Die Vorgängerbestimmung in Art. 16 aDSG wurde mit der Datenschutzrevision aufgeteilt. Art. 16 Abs. 1 aDSG, welcher die allgemeine Verantwortlichkeit regelte, wurde in Art. 5 lit. j überführt. Art. 16 Abs. 2 aDSG, welcher die Verantwortlichkeit bei mehreren involvierten Datenbearbeiterinnen und -bearbeitern regelte, wurde in Art. 33 DSG übernommen.
B. Normzweck
2 Art. 5 lit. j DSG definiert, wer unter den Begriff des oder der Verantwortlichen zu subsumieren ist (dazu OK-Hofmann zu Art. 5 lit. j DSG): Anknüpfungspunkt ist dabei die Entscheidungshoheit über Zweck und Mittel der Datenbearbeitungsvorgänge
3 Da die Bearbeitung von Personendaten zunehmend nicht nur von mehreren Bundesstellen gemeinsam erfolgt, sondern auch die föderalen Ebenen übergreifende Datenbearbeitungsvorgänge zum Alltag gehören und sogar private Personen auf gemeinsame Informationsbestände zugreifen können, bedarf es einer klaren Regelung der Verantwortlichkeiten. Andernfalls droht das Risiko, dass zwar viele Stellen die fraglichen Personendaten bearbeiten, sich aber niemand verantwortlich fühlt
II. Kein Verantwortungs-Vakuum
4 Art. 33 DSG ermächtigt den Bundesrat, die Verantwortlichkeiten für die Einhaltung der datenschutzrechtlichen Vorgaben wie auch der damit verbundenen Kontrollen zu regeln, wenn mehrere Bundesorgane, oder Bundesorgane und kantonale oder private Dritte gemeinsam an Datenbearbeitungsvorgängen beteiligt sind. Diese Regelung erfolgt nicht in der DSV, sondern in der jeweiligen Spezialgesetzgebung bzw. in den dazugehörigen Ausführungsverordnungen. So hält Art. 33 DSG explizit fest, dass der Bundesrat die Kontrollverfahren und die Verantwortung bei der gemeinsamen Bearbeitung von Personendaten regelt.
III. Geteilte Verantwortung
5Bei der gemeinsamen Bearbeitung von Personendaten sind drei Konstellationen denkbar:
Ein Spezialgesetz oder der Bundesrat kann in einer Verordnung einem Bundesorgan die alleinige Verantwortung für die gemeinsame Datenbearbeitung zuschreiben (Art. 5 lit. j DSG).
Aus einem Spezialgesetz oder einer Verordnung lässt sich ein Über- bzw. Unterordnungsverhältnis bei der gemeinsamen Datenbearbeitung herauslesen, welches sich in einer Haupt- und einer Nebenverantwortung niederschlägt. Ein Beispiel hierfür ist die Auftragsdatenbearbeitung (Art. 5 lit. k DSG).
Aus einem Spezialgesetz oder einer Verordnung kann sich eine parallele Verantwortlichkeit für die gemeinsame Datenbearbeitung ergeben (Art. 33 DSG), die durch eine klare Arbeitsteilung im Spezialgesetz oder der Verordnung ausdifferenziert werden muss.
IV. Kontrollverfahren
6Der Begriff des Kontrollverfahrens ist als Aufsicht über die Datenbearbeitungen zu verstehen.
V. Regelungsregime
7Bei der gemeinsamen Datenbearbeitung von Bundesorganen mit kantonalen Organen und privaten Personen kommen unterschiedliche Regelungsregime zur Anwendung. Für Bundesorgane gelten die besonderen Bestimmungen zur Datenbearbeitung gemäss Art. 33 ff. DSG, für private Personen kommen die besonderen Bestimmungen in Art. 30 ff. DSG zur Anwendung und für kantonale Organe gilt das kantonale Recht. Auch wenn es sich um eine gemeinsame Datenbearbeitung handelt, ist immer klar zu unterscheiden, welcher Akteur an welche Verpflichtungen gebunden ist.
VI. Haftungsfragen
8Die Haftung von Bundesorganen, kantonalen Organen und privaten Personen richtet sich nach unterschiedlichen Normen: Für Bundesorgane nach dem Verantwortlichkeitsgesetz (VGG), für kantonale Organe nach den kantonalen Verantwortlichkeitsgesetzen und für private Personen nach dem Zivilrecht.
Die Autorin gibt in dieser Kommentierung ihre persönliche Einschätzung wieder.
Literaturverzeichnis
Mund Claudia, Kommentierung zu Art. 33 DSG, in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Datenschutzgesetz, Stämpflis Handkommentar, 2. Aufl., Bern 2023.
Rudin Beat, Kommentierung zu Art. 5 DSG, in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Datenschutzgesetz, Stämpflis Handkommentar, 2. Aufl., Bern 2023.
Ballenberger Sara, Kommentierung zu Art. 16 DSG, in: Maurer-Lambrou Urs/Blechta Gabor-Paul (Hrsg.), Datenschutzgesetz / Öffentlichkeitsgesetz, Basler Kommentar, 3. Aufl., Basel 2014
Fussnoten
- SHK-Rudin, Art. 5 N. 62.
- SHK-Mund, Art. 33 N. 2 ff. sowie N. 11; BSK-Ballenegger, Art. 16 N. 15.
- SHK-Mund, Art. 33 N. 8.
- SHK-Mund, Art. 33 N. 10.
Kommentar drucken
DOI (Digital Object Identifier)
Creative Commons Lizenz
Onlinekommentar.ch, Kommentierung zu Art. 33 DSG ist lizenziert unter einer Creative Commons Namensnennung 4.0 International Lizenz.