In Kürze

Da die Bearbeitung von Personendaten zunehmend nicht nur von mehreren Bundesstellen gemeinsam erfolgt, sondern auch gemeinsam mit kantonalen oder kommunalen Stellen oder sogar Privaten, bedarf es klarer Regelungen der Verantwortlichkeiten. Art. 33 DSG ermächtigt den Bundesrat, die Verantwortlichkeiten in diesen Konstellationen zu definieren.

I. Allgemeines

A. Entstehungsgeschichte

1 Die Vorgängerbestimmung in Art. 16 aDSG wurde mit der Datenschutzrevision aufgeteilt. Art. 16 Abs. 1 aDSG, welcher die allgemeine Verantwortlichkeit regelte, wurde in Art. 5 lit. j überführt. Art. 16 Abs. 2 aDSG, welcher die Verantwortlichkeit bei mehreren involvierten Datenbearbeiterinnen und -bearbeitern regelte, wurde in Art. 33 DSG übernommen.

B. Normzweck

2 Art. 5 lit. j DSG definiert, wer unter den Begriff des oder der Verantwortlichen zu subsumieren ist (dazu OK-Hofmann zu Art. 5 lit. j DSG): Anknüpfungspunkt ist dabei die Entscheidungshoheit über Zweck und Mittel der Datenbearbeitungsvorgänge

. Welchem Bundesorgan diese Entscheidungshoheit zukommt, ergibt sich aus den jeweiligen Spezialgesetzen, die als Rechtsgrundlage für die Datenbearbeitungen dienen.

3 Da die Bearbeitung von Personendaten zunehmend nicht nur von mehreren Bundesstellen gemeinsam erfolgt, sondern auch die föderalen Ebenen übergreifende Datenbearbeitungsvorgänge zum Alltag gehören und sogar private Personen auf gemeinsame Informationsbestände zugreifen können, bedarf es einer klaren Regelung der Verantwortlichkeiten. Andernfalls droht das Risiko, dass zwar viele Stellen die fraglichen Personendaten bearbeiten, sich aber niemand verantwortlich fühlt

.

II. Kein Verantwortungs-Vakuum

4 Art. 33 DSG ermächtigt den Bundesrat, die Verantwortlichkeiten für die Einhaltung der datenschutzrechtlichen Vorgaben wie auch der damit verbundenen Kontrollen zu regeln, wenn mehrere Bundesorgane, oder Bundesorgane und kantonale oder private Dritte gemeinsam an Datenbearbeitungsvorgängen beteiligt sind. Diese Regelung erfolgt nicht in der DSV, sondern in der jeweiligen Spezialgesetzgebung bzw. in den dazugehörigen Ausführungsverordnungen. So hält Art. 33 DSG explizit fest, dass der Bundesrat die Kontrollverfahren und die Verantwortung bei der gemeinsamen Bearbeitung von Personendaten regelt.

III. Geteilte Verantwortung

5Bei der gemeinsamen Bearbeitung von Personendaten sind drei Konstellationen denkbar:

• Ein Spezialgesetz oder der Bundesrat kann in einer Verordnung einem Bundesorgan die alleinige Verantwortung für die gemeinsame Datenbearbeitung zuschreiben (Art. 5 lit. j DSG).

• Aus einem Spezialgesetz oder einer Verordnung lässt sich ein Über- bzw. Unterordnungsverhältnis bei der gemeinsamen Datenbearbeitung herauslesen, welches sich in einer Haupt- und einer Nebenverantwortung niederschlägt. Ein Beispiel hierfür ist die Auftragsdatenbearbeitung (Art. 5 lit. k DSG).

• Aus einem Spezialgesetz oder einer Verordnung kann sich eine parallele Verantwortlichkeit für die gemeinsame Datenbearbeitung ergeben (Art. 33 DSG), die durch eine klare Arbeitsteilung im Spezialgesetz oder der Verordnung ausdifferenziert werden muss.

IV. Kontrollverfahren

6Der Begriff des Kontrollverfahrens ist als Aufsicht über die Datenbearbeitungen zu verstehen.

In der ersten Konstellation der alleinigen Verantwortung wie auch im Falle einer klaren Haupt- und Nebenverantwortung findet eine einseitige Kontrolle des alleinigen Verantwortlichen bzw. des Hauptverantwortlichen gegenüber denjenigen statt, die an der gemeinsamen Datenbearbeitung beteiligt sind. In der zweiten Konstellation der parallelen Verantwortung für die gemeinsame Datenbearbeitung müssen naturgemäss wechselseitige Kontrollverfahren eingerichtet werden. Die Einzelheiten hinsichtlich des Umfangs, der Art und Weise wie auch der Regelmässigkeit der Kontrollverfahren sind im Spezialgesetz oder der Verordnung zu regeln.

V. Regelungsregime

7Bei der gemeinsamen Datenbearbeitung von Bundesorganen mit kantonalen Organen und privaten Personen kommen unterschiedliche Regelungsregime zur Anwendung. Für Bundesorgane gelten die besonderen Bestimmungen zur Datenbearbeitung gemäss Art. 33 ff. DSG, für private Personen kommen die besonderen Bestimmungen in Art. 30 ff. DSG zur Anwendung und für kantonale Organe gilt das kantonale Recht. Auch wenn es sich um eine gemeinsame Datenbearbeitung handelt, ist immer klar zu unterscheiden, welcher Akteur an welche Verpflichtungen gebunden ist.

VI. Haftungsfragen

8Die Haftung von Bundesorganen, kantonalen Organen und privaten Personen richtet sich nach unterschiedlichen Normen: Für Bundesorgane nach dem Verantwortlichkeitsgesetz (VGG), für kantonale Organe nach den kantonalen Verantwortlichkeitsgesetzen und für private Personen nach dem Zivilrecht.

Inwiefern ein Verantwortlicher im Aussenverhältnis für den gesamten Schaden haften kann, der durch die gemeinsame Datenbearbeitung verursacht wurde (vgl. Solidarhaftung), ist unklar. Offen ist auch, inwieweit einem Verantwortlichen fremde Pflichtverletzungen aufgrund der Verpflichtung zur Kontrolle angerechnet werden können.

Die Autorin gibt in dieser Kommentierung ihre persönliche Einschätzung wieder.

Literaturverzeichnis

Mund Claudia, Kommentierung zu Art. 33 DSG, in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Datenschutzgesetz, Stämpflis Handkommentar, 2. Aufl., Bern 2023.

Rudin Beat, Kommentierung zu Art. 5 DSG, in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Datenschutzgesetz, Stämpflis Handkommentar, 2. Aufl., Bern 2023.

Ballenberger Sara, Kommentierung zu Art. 16 DSG, in: Maurer-Lambrou Urs/Blechta Gabor-Paul (Hrsg.), Datenschutzgesetz / Öffentlichkeitsgesetz, Basler Kommentar, 3. Aufl., Basel 2014