-
- Art. 2 BPR
- Art. 3 BPR
- Art. 4 BPR
- Art. 10 BPR
- Art. 10a BPR
- Art. 11 BPR
- Art. 12 BPR
- Art. 16 BPR
- Art. 17 BPR
- Art. 19 BPR
- Art. 20 BPR
- Art. 21 BPR
- Art. 22 BPR
- Art. 23 BPR
- Art. 24 BPR
- Art. 25 BPR
- Art. 26 BPR
- Art. 27 BPR
- Art. 29 BPR
- Art. 30 BPR
- Art. 31 BPR
- Art. 32 BPR
- Art. 32a BPR
- Art. 33 BPR
- Art. 34 BPR
- Art. 40 BPR
- Art. 41 BPR
- Art. 42 BPR
- Art. 43 BPR
- Art. 44 BPR
- Art. 45 BPR
- Art. 46 BPR
- Art. 47 BPR
- Art. 48 BPR
- Art. 49 BPR
- Art. 50 BPR
- Art. 51 BPR
- Art. 58 BPR
- Art. 67 BPR
- Art. 67a BPR
- Art. 67b BPR
- Art. 75a BPR
- Art. 76 BPR
- Art. 76a BPR
- Art. 90 BPR
-
- Vorb. zu Art. 1 DSG
- Art. 1 DSG
- Art. 2 DSG
- Art. 3 DSG
- Art. 5 lit. f und g DSG
- Art. 7 DSG
- Art. 10 DSG
- Art. 14 DSG
- Art. 15 DSG
- Art. 19 DSG
- Art. 20 DSG
- Art. 22 DSG
- Art. 23 DSG
- Art. 25 DSG
- Art. 26 DSG
- Art. 27 DSG
- Art. 33 DSG
- Art. 34 DSG
- Art. 35 DSG
- Art. 40 DSG
- Art. 43 DSG
- Art. 44 DSG
- Art. 44a DSG
- Art. 45 DSG
- Art. 46 DSG
- Art. 47 DSG
- Art. 47a DSG
- Art. 48 DSG
- Art. 49 DSG
- Art. 50 DSG
- Art. 51 DSG
- Art. 57 DSG
- Art. 58 DSG
- Art. 60 DSG
- Art. 61 DSG
- Art. 62 DSG
- Art. 63 DSG
- Art. 64 DSG
- Art. 65 DSG
- Art. 66 DSG
- Art. 67 DSG
- Art. 69 DSG
- Art. 72 DSG
- Art. 72a DSG
BUNDESVERFASSUNG
OBLIGATIONENRECHT
BUNDESGESETZ ÜBER DAS INTERNATIONALE PRIVATRECHT
LUGANO-ÜBEREINKOMMEN
STRAFPROZESSORDNUNG
ZIVILPROZESSORDNUNG
BUNDESGESETZ ÜBER DIE POLITISCHEN RECHTE
ZIVILGESETZBUCH
BUNDESGESETZ ÜBER KARTELLE UND ANDERE WETTBEWERBSBESCHRÄNKUNGEN
BUNDESGESETZ ÜBER INTERNATIONALE RECHTSHILFE IN STRAFSACHEN
DATENSCHUTZGESETZ
BUNDESGESETZ ÜBER SCHULDBETREIBUNG UND KONKURS
- In Kürze
- I. Allgemeines
- II. Das Legalitätsprinzip im Datenschutz
- Literaturverzeichnis
- Materialienverzeichnis
In Kürze
Als Grundstein der Datenbearbeitung durch staatliche Organe kommt dem Erfordernis des Rechtssatzes vorrangige Bedeutung zu.
Art. 34 DSG illustriert für die Datenbearbeitung durch Bundesorgane sowohl Art. 5 BV, wonach alles staatliche Handeln einer Grundlage im Recht bedarf, als auch Art. 36 BV, der die Voraussetzungen für Grundrechtseingriffe im Allgemeinen vorgibt; die Bestimmung stellt damit konkretisiertes Verfassungsrecht dar. Die Bearbeitung von Personendaten durch öffentliche Organe stellt einen Eingriff in das Grundrecht auf Schutz der informationellen Selbstbestimmung nach Art. 13 Abs. 2 BV dar; je nach Kontext können zudem verschiedenste weitere Grundrechte betroffen sein. Art. 34 DSG äussert sich schematisch zur erforderlichen Normstufe.
Die neue, gegenüber der Vorgängerversion derselben Norm entflochtene Bestimmung zur gesetzlichen Grundlage reflektiert die gesteigerte Bedeutung, die der korrekten rechtsatzmässigen Abstützung von Datenbearbeitungen durch staatliche Organe im Zeitalter digitaler Bearbeitung grosser Datenmengen zukommt.
I. Allgemeines
A. Vorbemerkungen
1Als gesetzliche Grundlage gilt eine von einem zuständigen staatlichen Organ erlassene, generell-abstrakte Norm.
2Die Terminologie im Zusammenhang mit dem Legalitätsprinzip weist eine gewisse Heterogenität auf. Im Folgenden wird für das Erfordernis einer generell-abstrakten Regelung, in Art. 34 DSG als «gesetzliche Grundlage» bezeichnet, auch der allgemeine Begriff des Rechtssatzes verwendet. Ferner wird das von der Legislative erlassene Recht mit dem Begriff der «Gesetzesform» oder mit «Gesetz im formellen Sinn» umschrieben. Erlasse unterer Stufe gelten als «Gesetze im materiellen Sinn» , wie dies auch in Art. 34 Abs. 3 DSG zum Ausdruck kommt.
B. Normzweck und Hintergrund
3Art. 34 DSG konkretisiert für das Datenschutzrecht das, was für staatliches Handeln ohnehin gilt: nebst dem allgemeinen Legalitätsprinzip von Art. 5 Abs. 1 BV, wonach das Recht Grundlage und Schranke staatlichen Handelns bildet, erfordert Art. 36 Abs. 1 BV für Grundrechtseingriffe eine gesetzliche Grundlage.
C. Entstehungsgeschichte
4Bereits der bundesrätliche Entwurf für das erste Datenschutzgesetz des Bundes aus dem Jahre 1988 enthielt eine Bestimmung, die der hier kommentierten in den Grundzügen glich; namentlich wurde bereits unterschieden zwischen der Bearbeitung gewöhnlicher Personendaten und solchen mit höherem Schutzbedarf in der Form von besonders schützenswerten Personendaten und Persönlichkeitsprofilen.
5Die neue Norm nimmt eine strukturelle Entflechtung vor; sie unterscheidet nebst dem gleichbleibenden Grundprinzip (Abs. 1) klar zwischen dem Erfordernis der Gesetzesform (Abs. 2), Sachverhalten mit herabgesetzter Normstufe (Abs. 3) und Situationen, in denen gänzlich vom Erfordernis eines Rechtssatzes abgewichen werden kann (Abs 4).
II. Das Legalitätsprinzip im Datenschutz
A. Rolle und Funktionen des Legalitätsprinzips allgemein
1. Gesetzliche Grundlage als Voraussetzung für Grundrechtseingriffe und Grundsatz staatlichen Handelns
6Bei der Bearbeitung von Personendaten durch staatliche Behörden finden Eingriffe in grundrechtlich geschützte Positionen statt: In erster Linie geht es um Art. 13 BV und namentlich dessen Abs. 2 (Grundrecht auf «informationelle Selbstbestimmung»)
7In Art. 36 Abs. 1 sieht die Bundesverfassung vor, dass Einschränkungen von Grundrechten einer gesetzlichen Grundlage bedürfen; schwerwiegende Einschränkungen sind in Gesetzesform vorzusehen, sofern nicht ein Fall «ernster, unmittelbarer und nicht anders abwendbarer Gefahr» vorliegt. Ferner haben Grundrechtseinschränkungen der Umsetzung eines öffentlichen Interesses zu dienen und verhältnismässig zu erfolgen; der Kerngehalt des Grundrechts muss gewahrt bleiben (vgl. Kriterien von Art. 36 BV).
8In seiner Rolle als Grundsatz staatlichen Handelns sieht Art. 5 Abs. 1 BV vor, dass das staatliche Handeln einer Grundlage im Recht bedarf und es gleichzeitig das Recht ist, dass jedem staatlichen Handeln Grenzen setzt («Schranken», in den Worten der Verfassungsgeberin). Die Verwaltung – in der Terminologie des DSG das «Bundesorgan» – darf also erst handeln, wenn dafür eine gesetzliche Grundlage besteht, und darf nur so weit gehen, wie das Handeln durch die entsprechende Grundlage abgedeckt ist. Dies gilt ungeachtet der Rechtsnatur des staatlichen Handelns, auch wenn die Erfordernisse des Legalitätsprinzips je nach Situation und Risikolage verschiedene Ausprägungen erfahren.
2. Normstufe und Normdichte
9Art. 36 Abs. 1 BV deutet bereits an, dass der erforderliche Rechtssatz bei schwerwiegenden Einschränkungen von Grundrechten erhöhten Anforderungen genügen muss. Je schwerwiegender der Grundrechtseingriff, desto höher sind die Anforderungen an die Normstufe und die Normdichte.
Ausübung politischer Rechte;
Einschränkungen verfassungsmässiger Rechte;
Rechte und Pflichten von Personen;
Kreis der Abgabepflichtigen sowie der Gegenstand und die Bemessung von Abgaben;
Aufgaben und Leistungen des Bundes;
Verpflichtungen der Kantone bei der Umsetzung und beim Vollzug des Bundesrechts;
Organisation und Verfahren der Bundesbehörden.
10 Die Lehre schlägt ihrerseits folgende Kriterien für die Umschreibung der Wichtigkeit eines Regelungsgegenstands vor:
Intensität des Eingriffs;
Anzahl der von einer Regelung betroffene Personen oder der geregelten Lebenssachverhalte;
finanzielle Bedeutung;
Bedeutung für die politische Willensbildung, die Organisation staatlicher Institutionen oder das Verfahren und
Brisanz bzw. Akzeptierbarkeit der Thematik.
11 Das Bedürfnis nach Flexibilität und rascher Anpassung oder besonderen Fachkenntnissen sprechen dagegen eher für Regelungen auf tieferer Normstufe.
12 Diese allgemeinen Vorgaben der Bundesverfassung sind bei der Ausgestaltung von gesetzlichen Grundlagen gemäss Art. 34 DSG mit zu beachten. Art. 34 DSG gibt für bestimmte typisierte Situationen des Datenschutzes die erforderliche Normstufe, nicht aber die Normdichte vor (siehe zur Normdichte infra N. 18-19).
13 Sollen Rechtssetzungsbefugnisse von der Legislative an die Exekutive delegiert werden, so kommen auch im Datenschutz die von der Rechtsprechung und Lehre entwickelten allgemeinen Voraussetzungen der Gesetzesdelegation zum Tragen. So darf die Gesetzesdelegation durch das entsprechende Recht nicht ausgeschlossen sein (vgl. dazu Art. 164 Abs. 1 BV); die Delegationsnorm muss in einem Erlass auf Gesetzesstufe enthalten sein; die Delegation hat sich auf eine bestimmte Materie zu beschränken und die Grundzüge dieser Materie sind bereits im Gesetz aufzuführen.
B. Erfordernis des Rechtssatzes gemäss Art. 34 DSG
1. Grundprinzip Abs. 1
14 Mit dem grundsätzlichen Erfordernis eines Rechtssatzes untersteht die Datenbearbeitung durch Bundesorgane einem Verbot mit Erlaubnisvorbehalt; dies im Gegensatz zur Datenbearbeitung durch Private.
15 Aus der Systematik des DSG ergibt sich im Übrigen, dass die restlichen allgemeinen Vorgaben des Gesetzes, insbesondere die Datenbearbeitungsgrundsätze von Art. 6 DSG sowie die Vorgaben zur Sicherheit gemäss Art. 8 DSG, kumulativ zur Anwendung kommen.
16 Der Gesetzestext von Art. 34 DSG bezieht sich auf die Bearbeitung von Personendaten durch Bundesorgane. Zur Definition des Bundesorgans bringt Art. 5 lit. i DSG zum Ausdruck, dass damit nicht nur die organisatorisch zugeordneten Einheiten der Verwaltung und der öffentlichen Anstalten des Bundes erfasst werden, sondern auch Private, sofern sie mit der Erfüllung öffentlicher Aufgaben des Bundes betraut sind (siehe dazu dort).
17 Ungeachtet der Hinweise zur Normstufe in Abs. 2-4 ist in der gesetzgeberischen Praxis oftmals nicht vollends klar, wie die Normdichte der gesetzlichen Grundlage auszusehen hat. Dieses Problem äussert sich etwa bei der Frage, ob eine allgemeine («mittelbare») gesetzliche Grundlage genügt («Das Amt X erfüllt die gesetzliche Aufgabe Y»)
18 Zur Frage der Beschaffenheit der gesetzlichen Grundlage hat das Bundesamt für Justiz einen Gesetzgebungsleitfaden verfasst, der spezifische Vorgaben für gesetzliche Grundlagen im Bereich des Datenschutzes bereithält.
Welche Behörde (wer)
bearbeitet welche Kategorien von Personendaten (was),
zu welchem Zweck (warum) und
in welcher Art und Weise (wie)?
Wem werden Personendaten allenfalls bekanntgegeben (wem) und
auf welche Weise (wie)?
19 Aufzuführen unter was ist namentlich, ob auch besonders schützenswerte Personendaten bearbeitet werden und wenn ja, welche Kategorien (vgl. Art. 5 lit. c DSG), wohingegen die genauen Attribute bei genügender Normdichte auf Gesetzesstufe in einer Verordnung ausgeführt werden können. Je gewichtiger der Grundrechtseingriff, desto detaillierter und präziser muss die gesetzliche Grundlage formuliert sein,
20 Insofern als dass damit der Rechtssatz gegenüber den betroffenen Personen die vom Gesetz geforderte Transparenz herstellt, entfällt die Informationspflicht nach Art. 19 DSG (vgl. Art. 20 Abs. 1 lit. b DSG).
21 In den jeweiligen Sachgesetzen können Sonderregeln vorgesehen werden, die den Vorgaben des DSG als lex specialis vorgehen und zumindest theoretisch auch nach unten davon abweichen können. Das Bundesgericht und die Lehre gehen davon aus, dass die allgemeinen datenschutzrechtlichen Grundsätze in solchen Fällen aber nach wie vor zu beachten sind.
2. Gesetzesform für Fälle nach Abs. 2
22 Der zweite Absatz verlangt die Gesetzesform (Gesetz im formellen Sinn) für Fälle, bei denen die Datenbearbeitung zu einem gewichtigen Eingriff in die Grundrechte der betroffenen Personen führen kann. Wo es sich bei der Bearbeitung von besonders schützenswerten Personendaten (lit. a) und beim Profiling (lit. b) um Konzepte und Begriffe handelt, die im DSG definiert werden,
23 Die beiden in lit. c genannten Parameter des Ziels und der Art und Weise der Bearbeitung sind dabei die Hauptelemente, die zur Evaluation des Eingriffs in das entsprechende Grundrecht beigezogen werden. Angesichts des grundrechtlichen Kontexts sind sie nicht abschliessend.
24 Ist es nicht möglich, die Datenbearbeitung auf eine genügend präzise, detaillierte Rechtsgrundlage abzustützen, so bestätigt die Rechtsprechung, dass eine besonders strenge Handhabung etwa der Verhältnismässigkeitsprüfung eine gewisse Kompensationswirkung entfalten kann.
3. Materiellrechtliche gesetzliche Grundlage für Fälle nach Abs. 3
25 Abs. 3 sieht für die Bearbeitung besonders schützenswerter Personendaten und Profiling die Möglichkeit einer herabgesetzten Normstufe vor, sofern zwei Voraussetzungen kumulativ erfüllt sind: Die Bearbeitung ist unentbehrlich für eine formell-gesetzlich festgelegte Aufgabe; und der Bearbeitungszweck birgt für die Grundrechte der betroffenen Person keine besonderen Risiken.
26 Aufgrund des verfassungsrechtlichen Rahmens ist auch hier wiederum denkbar – auch wenn die Beispiele selten sein dürften –, dass sich Abweichungen aufdrängen, die von Abs. 3 nicht konkret enumeriert werden: So könnte beispielsweise die gesellschaftliche Brisanz einer Thematik dazu führen, dass für entsprechende Datenbearbeitungen dennoch die Gesetzesform verlangt werden muss; es mithin die Art und Weise einer Datenbearbeitung ist, statt des von Abs. 3 erwähnten Zwecks, die zur Erhöhung der Normstufe Anlass gibt.
a. Unentbehrlichkeit für eine im Gesetz umschriebene Aufgabe (lit. a)
27 Was die Formulierung von Abs. 3 lit. a anbelangt, so fällt gegenüber der Vorversion (Art. 17 Abs. 2 lit. a aDSG) auf, dass man sich neu nicht mehr lediglich «ausnahmsweise» auf die verringerte Normstufe abstellen können soll. In der früheren Version liess sich die Haltung vertreten, es handle sich nur um punktuelle Ausnahmebearbeitungen von Daten in Situationen, in denen normalerweise zur Erfüllung der entsprechenden gesetzlichen Aufgabe keine derartige Bearbeitung erforderlich sei.
b. Bearbeitungszweck birgt für die Grundrechte der betroffenen Person keine besonderen Risiken (lit. b)
28 Abs. 3 lit. b kommt für jene Bearbeitungen in Frage, die in eine Zwischenkategorie fallen: Zwar handelt es sich um Bearbeitungsarten, die typischerweise zu einem schwerwiegenden Grundrechtseingriff führen würden (weshalb Abs. 2 für sie im Normalfall eine formell-gesetzliche Grundlage verlangt), aber im konkreten Fall birgt der Zweck der Bearbeitung für die Grundrechte der betroffenen Personen keine besonderen Risiken. Gemeint sind damit gemäss Botschaft des Bundesrats insbesondere besonders schützenswerte Daten, die im Rahmen von Bundesrats-, Departements- und Amtsgeschäften bearbeitet werden; erwähnt werden Beschwerdeentscheide, Staatshaftungsfälle oder Bundespersonalgeschäfte.
29 Die Formulierung in Abs. 3 lit b mag erstaunen, da nur auf den «Bearbeitungszweck» Bezug genommen, ohne die bislang in Abs. 2 lit c erwähnte «Art und Weise der Datenbearbeitung» mit einzuschliessen. Es ist davon auszugehen, dass der Gesetzgeber damit primär in Erinnerung rufen wollte, dass Datenbearbeitungen, die bereits schon aufgrund ihres Zwecks grundrechtlich heikel erscheinen, in jedem Fall einer Grundlage in Gesetzesform bedürfen, auch wenn die Art und Weise der Bearbeitung im Einzelfall wenig eigene Risiken mit sich bringen.
4. Abs. 4: Sammelbecken für Ausnahmen von den Erfordernissen von Abs. 1-3
30 Abs. 4 nimmt drei idealtypische Situationen (die als Alternativen verfasst sind
Die Bewilligung der Bearbeitung durch die Exekutive (hier Bundesrat), wobei auch hier die Bewilligung auf dem Erfordernis basieren muss, dass die Rechte der betroffenen Personen voraussichtlich nicht gefährdet sind (lit. a);
Die Einwilligung durch die betroffene Person im Einzelfall bzw. die voraussetzungslose Freigabe von Personendaten durch dieselbe (lit. b) oder
Das dringliche, übergeordnete Interesse in der Form des Schutzes des Lebens oder der körperlichen Unversehrtheit der betroffenen Person oder eines Dritten in einer Situation, die das Einholen einer Einwilligung nicht möglich macht (lit. c).
31 Wo Abs. 3 die Anforderungen an die gesetzliche Grundlage lediglich reduziert, so sieht Abs. 4 für gewisse Fälle dem Wortlaut nach vor, dass kein Rechtssatz, weder ein Gesetz noch ein Rechtssatz materieller Natur, erforderlich ist.
a. Bundesrätliche Bewilligung (lit. a)
32 Gemäss lit. a bewilligt der Bundesrat eine Bearbeitung, weil er die Rechte der betroffenen Person «für nicht gefährdet hält». Wo in der Vorgängerversion noch explizit davon die Rede war, dass diese Bewilligung auf den Einzelfall beschränkt sei, fehlt dieser Zusatz in der aktuellen Formulierung. Gemäss Botschaft soll sich an der Norm trotz des Formulierungsunterschieds aber nichts ändern;
33 In gleichem Masse wie in der Vorversion schleierhaft erscheint die Formulierung, wonach die «Rechte der betroffenen Person nicht gefährdet» sein sollen. Diese Formulierung weicht von der Wortwahl in Abs. 3 lit. b ab, wo davon die Rede ist, dass der Bearbeitungszweck «für die Grundrechte der betroffenen Person keine besonderen Risiken [birgt]». Dennoch ist angesichts der Tatsache, dass jede Datenbearbeitung durch öffentliche Organe einen Grundrechtseingriff darstellt, davon auszugehen, dass auch mit der in Abs. 4 verwendeten Formel dasselbe gemeint ist wie in Abs. 3 lit. b, nämlich dass von einem geringen Grundrechtseingriff auszugehen ist.
b. Einwilligung (lit. b)
34 In lit. b substituiert die Einwilligung die gesetzliche Grundlage. Im Falle der voraussetzungslosen Freigabe der Daten wird die Einwilligung vermutet;
c. Datenschutzrechtliche Polizeiklausel (lit. c)
35 Lit. c nimmt den Schutz dringender, übergeordneter Interessen ins Visier, konkretisiert in der Form des Schutzes des Lebens oder der körperlichen Unversehrtheit der betroffenen Person oder eines Dritten. Voraussetzung ist, dass es nicht möglich ist, innert angemessener Frist die Einwilligung der entsprechenden Person einzuholen, was etwa dann der Fall ist, wenn sich diese nicht in ansprechbarem Zustand befindet (Koma o.ä.) oder unauffindbar ist. Es handelt sich bei dieser Norm um einen datenschutzrechtlich spezifizierten Fall «polizeilicher Interessen».
5. Kasuistik zur Eingriffsintensität und zu den Anforderungen an die Norm
36 Die Bearbeitung von Amtshilfedaten, die sich auf Geschäftsbeziehungen oder Bankverbindungen beziehen, setzt nach Art. 17 Abs. 2 aDSG keine Grundlage in Gesetzesform voraus. Der Eingriff in Verfassungsrechte im Zusammenhang mit den bei Amtshilfe zu erhebenden Daten wiegt dabei in aller Regeln nicht besonders schwer, sodass die Anforderungen an die Bestimmtheit der Norm ebenfalls «nicht übermässig hoch» sind (BGE 148 II 349 E. 5.3.3-5.3.4).
37 Die gesetzliche Grundlage, die den Einsatz von Funkwasserzählern durch die kommunale Wasserversorgung vorsieht, hat explizit vorzusehen, dass die erfassten Stundenwerte während X Tagen auf dem Wasserzähler gespeichert und in regelmässigen Intervallen per Funk ausgesendet werden (BGE 147 I 346 E. 5.4.1).
38 Wenn bei der automatisierten Fahrzeugfahndung nebst dem Kontrollschild und damit der Identität des Halters auch Zeitpunkt, Standort, Fahrtrichtung und Identität weiterer Fahrzeuginsassen in Erfahrung gebracht wird, so bewegt sich diese Datenbearbeitung im Rahmen einer «konventionellen Identitätsfeststellung», womit es sich noch nicht um einen schweren Grundrechtseingriff handelt. Dies ändert sich jedoch mit der Zusammenführung und dem automatischen Abgleich dieser Daten mit anderen Datensätzen (die Rede ist von einer «seriellen und simultanen Verarbeitung grosser und komplexer Datensätze innert Sekundenbruchteilen») und der nachfolgenden behördlichen Nutzung bedeutend; die Eingriffsintensität nimmt «erheblich» zu, u.a. aufgrund der Gefahr, dass Personen zu Unrecht in Verdacht geraten (BGE 146 I 11 E. 3.2).
39 Der Eintrag in eine von der FINMA geführte Watchlist, die als Vorstufe zu möglichen Einschränkungen der Erwerbstätigkeit im Bereich des Finanzmarkts dient und in der Summe zu einem eigentlichen Persönlichkeitsprofil führt, stellt einen schweren Eingriff in Art. 13 Abs. 2 BV dar und setzt eine Grundlage in Gesetzesform voraus (BGE 143 I 253 E. 4).
40 Stellt ein Polizeigesetz die technische Überwachung allgemein zugänglicher Orte unter die Schlagworte der «Wahrung der öffentlichen Ordnung und Sicherheit», so ist diese Zweckangabe ungenügend und erlaubt es insbesondere nicht, die gesetzliche Grundlage auf ihre Verhältnismässigkeit (insb. Zweck-Mittel-Relation) zu prüfen. (BGE 136 I 87 E. 8.3-8.4).
41 Die genügende Bestimmtheit einer Norm kann sich auch aus dem Geflecht an anwendbaren Normen ergeben: Wenn eingewendet wird, Art. 91 Abs. 5 SchKG verfüge über eine ungenügende Normdichte für die Bekanntgabe von Daten, die besonders schützenswerte Personendaten und/oder Persönlichkeitsprofile enthalten, so ist dem entgegenzuhalten, dass die Vorschrift nur im Rahmen des Pfändungsvollzugs zur Anwendung gelangt. Damit sind Zweck und Umfang der Datenbearbeitung genügend präzise definiert. (BGE 124 III 170 E. 3a)).
6. Exkurs: Die Einwilligung «im Einzelfall» (Abs. 4 lit. b)
42 Im öffentlichen Datenschutzrecht ist oftmals nicht klar, in welchem Umfang eine Einwilligung die gesetzliche Grundlage ersetzen kann. Besonders akut stellt sich die Frage der Einwilligung dort, wo es um schwerwiegende Eingriffe in Grundrechtspositionen geht; im Vordergrund steht dabei der Grundrechtsverzicht bzw. die Einwilligung in besonders schwere Grundrechtseingriffe.
43 Bundesgericht und Lehre sind sich einig, dass das Legalitätsprinzip zwei Arten von Funktionen erfüllt. Zum einen werden damit demokratische Anliegen verfolgt; dazu gehören die Sicherung der Vorherrschaft des Volkswillens einerseits und die Gewaltenteilung andererseits. Zum andern erfüllt es rechtsstaatliche Funktionen; In diesem Zusammenhang sichert es den Schutz des Einzelnen vor staatlicher Willkür, die Gleichbehandlung sowie die Vorhersehbarkeit staatlichen Handelns.
44 Unter gewissen Voraussetzungen kann eine Einwilligung die rechtsstaatlichen Funktionen des Schutzes vor Willkür und der Vorhersehbarkeit staatlichen Handelns durchaus ersetzen. Dafür hat im Zeitpunkt der Einwilligung deren Tragweite erkennbar zu sein und es muss sich um einen Kontext handeln, bei dem die Freiwilligkeit der Einwilligung nach Treu und Glauben angenommen werden kann.
45 Aus der rechtsstaatlichen Funktion der Gleichbehandlung ergibt sich jedoch eine erste Restriktion: Sobald es um das Einräumen von Rechten oder die Auferlegung von Pflichten geht, kann die Einwilligung nur dann, wenn lediglich einzelne Personen betroffen sind, als Ersatz für einen Rechtssatz operationalisiert werden. Dort, wo demokratische Anliegen im Vordergrund stehen, vermag die Einwilligung dann bereits funktional keine Kompensationsleistung mehr zu erbringen.
46 Entsprechend ist je nach Sachverhalt unter Rückgriff auf die in Frage stehenden Anliegen des Legalitätsprinzips und der Kriterien für das Erfordernis der Gesetzesform (siehe dazu supra N. 9-10) zu prüfen, ob sich ein Verzicht auf eine gesetzliche Grundlage und eine Abstützung auf die Einwilligung rechtfertigen lässt.
47 Für Datenbearbeitungen durch Bundesorgane grenzt Art. 34 Abs. 4 lit. b DSG die Zulässigkeit ab, indem es die Einwilligung auf den Einzelfall beschränkt. Dabei ist angesichts des Gesagten davon auszugehen, dass es sich um eine sowohl in sachlicher als auch in zeitlicher Hinsicht, ferner für die Einführung von Rechten und Pflichten auch in persönlicher Hinsicht, stark beschränkte Anzahl Situationen handeln muss.
48 Die Frage lässt sich daher trotz der schematischen Vorgabe des DSG in Bezug auf Grundrechtseingriffe letztlich erst im Konkreten unter Einbezug der in Frage stehenden Anliegen zuverlässig beantworten. So wird der obenerwähnte Newsletter einer Behörde auch bei einer sehr grossen Anzahl Empfängerinnen und Empfänger und auch mit einer zeitlich unbeschränkten Periodizität aufgrund einer Einwilligung versandt werden können, wohingegen der Einsatz von Gesichtserkennungssystemen selbst in einem örtlich, zeitlich und personell eng abgegrenzten Bereich aufgrund der Intensität des Grundrechtseingriffs der betroffenen Personen und der gesellschaftlichen Brisanz der verwendeten Technologie nicht auf Basis der Einwilligung im Einzelfall zulässig sein dürfte.
Literaturverzeichnis
Ballenegger Sarah, Kommentierung zu Art. 17 DSG, in: Maurer-Lambrou Urs/Blechta Gabor-Paul (Hrsg.), Datenschutzgesetz/Öffentlichkeitsgesetz, 3. Aufl., Basel 2014.
Dubey Jacques, Kommentierung zu Art. 5 BV, in: Martenet Vincent/Dubey Jacques (Hrsg.), Commentaire romand Constitution fédérale, Basel 2021.
Epiney Astrid/Posse Samah, Kommentierung zu Art. 34 DSG, in: Meier Philippe/Métille Sylvain (Hrsg.), Commentaire romand, Loi sur la protection des données, Basel 2023 (Publikation zum Zeitpunkt der Abgabe der vorliegenden Kommentierung bevorstehend).
Epiney Astrid, Staatliche Überwachung versus Rechtsstaat: Wege aus dem Dilemma?, AJP 2016, S. 1503-1515.
Häfelin Ulrich/Müller Georg/Uhlmann Felix, Allgemeines Verwaltungsrecht, 8. Aufl. Zürich/St. Gallen 2020.
Häner Isabelle, Die Einwilligung der betroffenen Person als Surrogat der gesetzlichen Grundlage bei individuell-konkreten Staatshandlungen, ZBl 103 (2002), S. 57-76.
Mund Claudia, Kommentierung zu Art. 34 DSG, in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Datenschutzgesetz, Stämpflis Handkommentar, 2. Aufl., Bern 2023.
Rosenthal David/Jöhri Yvonne, Handkommentar zum Datenschutzgesetz sowie weiteren, ausgewählten Bestimmungen, Zürich 2008.
Tschannen Pierre, Staatsrecht der Schweizerischen Eidgenossenschaft, 5. Aufl. Bern 2021.
Tschannen Pierre/Müller Markus/Kern Markus, Allgemeines Verwaltungsrecht, 5. Aufl. Bern 2022.
Waldmann Bernhard/Bickel Jürg, Datenbearbeitung durch Bundesorgane, in: Belser Eva Maria/Epiney Astrid/Waldmann Bernhard (Hrsg.), Datenschutzrecht, Grundlagen und öffentliches Recht, Bern 2011, S. 639-764.
Waldmann Bernhard/Oeschger Magnus, Datenbearbeitung durch kantonale Organe, in: Belser Eva Maria/Epiney Astrid/Waldmann Bernhard (Hrsg.), Datenschutzrecht, Grundlagen und öffentliches Recht, Bern 2011, S. 765-894.
Wyss Martin Philipp, Öffentliche Interessen – Interessen der Öffentlichkeit?, Bern 2001.
Materialienverzeichnis
Bundesamt für Justiz, Gesetzgebungsleitfaden, Leitfaden für die Ausarbeitung von Erlassen des Bundes, 4. Aufl. 2019, abrufbar unter https://www.bj.admin.ch/bj/de/home/staat/legistik/hauptinstrumente.html, besucht am 21.2.2023 (zit. Gesetzgebungsleitfaden).
Botschaft zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz vom 15.9.2017, BBl 2017 S. 6941 ff., abrufbar https://www.fedlex.admin.ch/eli/fga/2017/2057/de, besucht am 31.3.2023 (zit. Botschaft 2017).
Botschaft zum Bundesgesetz über den Datenschutz (DSG) vom 23.3.1988, BBl 1988 II S. 413 ff., abrufbar unter https://www.fedlex.admin.ch/eli/fga/1988/2_413_421_353/de, besucht am 31.3.2023 (zit. Botschaft 1988).