Art. 34 DSG

PDF:

Kommentierung zu

Art. 34 DSG

Eine Kommentierung von Esther Zysset

Herausgegeben von Thomas Steiner / Anne-Sophie Morand / Daniel Hürlimann

defriten

Art. 34 Rechtsgrundlagen

¹ Bundesorgane dürfen Personendaten nur bearbeiten, wenn dafür eine gesetzliche Grundlage besteht.

² Eine Grundlage in einem Gesetz im formellen Sinn ist in folgenden Fällen erforderlich:

a. Es handelt sich um die Bearbeitung von besonders schützenswerten Personendaten.

b. Es handelt sich um ein Profiling.

c. Der Bearbeitungszweck oder die Art und Weise der Datenbearbeitung können zu einem schwerwiegenden Eingriff in die Grundrechte der betroffenen Person führen.

³ Für die Bearbeitung von Personendaten nach Absatz 2 Buchstaben a und b ist eine Grundlage in einem Gesetz im materiellen Sinn ausreichend, wenn die folgenden Voraussetzungen erfüllt sind:

a. Die Bearbeitung ist für eine in einem Gesetz im formellen Sinn festgelegte Aufgabe unentbehrlich.

b. Der Bearbeitungszweck birgt für die Grundrechte der betroffenen Person keine besonderen Risiken.

⁴ In Abweichung von den Absätzen 1–3 dürfen Bundesorgane Personendaten bearbeiten, wenn eine der folgenden Voraussetzungen erfüllt ist:

a. Der Bundesrat hat die Bearbeitung bewilligt, weil er die Rechte der betroffenen Person für nicht gefährdet hält.

b. Die betroffene Person hat im Einzelfall in die Bearbeitung eingewilligt oder hat ihre Personendaten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt.

c. Die Bearbeitung ist notwendig, um das Leben oder die körperliche Unversehrtheit der betroffenen Person oder eines Dritten zu schützen, und es ist nicht möglich, innerhalb einer angemessenen Frist die Einwilligung der betroffenen Person einzuholen.

In Kürze

Als Grundstein der Datenbearbeitung durch staatliche Organe kommt dem Erfordernis des Rechtssatzes vorrangige Bedeutung zu.

Art. 34 DSG illustriert für die Datenbearbeitung durch Bundesorgane sowohl Art. 5 BV, wonach alles staatliche Handeln einer Grundlage im Recht bedarf, als auch Art. 36 BV, der die Voraussetzungen für Grundrechtseingriffe im Allgemeinen vorgibt; die Bestimmung stellt damit konkretisiertes Verfassungsrecht dar. Die Bearbeitung von Personendaten durch öffentliche Organe stellt einen Eingriff in das Grundrecht auf Schutz der informationellen Selbstbestimmung nach Art. 13 Abs. 2 BV dar; je nach Kontext können zudem verschiedenste weitere Grundrechte betroffen sein. Art. 34 DSG äussert sich schematisch zur erforderlichen Normstufe.

Die neue, gegenüber der Vorgängerversion derselben Norm entflochtene Bestimmung zur gesetzlichen Grundlage reflektiert die gesteigerte Bedeutung, die der korrekten rechtsatzmässigen Abstützung von Datenbearbeitungen durch staatliche Organe im Zeitalter digitaler Bearbeitung grosser Datenmengen zukommt.

I. Allgemeines

A. Vorbemerkungen

1Als gesetzliche Grundlage gilt eine von einem zuständigen staatlichen Organ erlassene, generell-abstrakte Norm.

Im Detail legt das anwendbare Recht fest, welchen Anforderungen eine gesetzliche Grundlage zu entsprechen hat. Auf Bundesebene finden sich Vorgaben dazu etwa in der Bundesverfassung (Art. 164 BV) oder im Parlamentsgesetz (z.B. Art. 22 ParlG). Die Norm, die im Einzelfall als gesetzliche Grundlage dient, kann dem nationalen oder internationalen Recht entstammen.

2Die Terminologie im Zusammenhang mit dem Legalitätsprinzip weist eine gewisse Heterogenität auf. Im Folgenden wird für das Erfordernis einer generell-abstrakten Regelung, in Art. 34 DSG als «gesetzliche Grundlage» bezeichnet, auch der allgemeine Begriff des Rechtssatzes verwendet. Ferner wird das von der Legislative erlassene Recht mit dem Begriff der «Gesetzesform» oder mit «Gesetz im formellen Sinn» umschrieben. Erlasse unterer Stufe gelten als «Gesetze im materiellen Sinn» , wie dies auch in Art. 34 Abs. 3 DSG zum Ausdruck kommt.

B. Normzweck und Hintergrund

3Art. 34 DSG konkretisiert für das Datenschutzrecht das, was für staatliches Handeln ohnehin gilt: nebst dem allgemeinen Legalitätsprinzip von Art. 5 Abs. 1 BV, wonach das Recht Grundlage und Schranke staatlichen Handelns bildet, erfordert Art. 36 Abs. 1 BV für Grundrechtseingriffe eine gesetzliche Grundlage.

Art. 34 DSG macht schematische Vorgaben zur Normstufe für verschiedene Arten von Datenbearbeitung – und damit für verschiedene Grundrechtseingriffe, allen voran Eingriffe in das Grundrecht auf informationelle Selbstbestimmung (Art. 13 Abs. 2 BV).

C. Entstehungsgeschichte

4Bereits der bundesrätliche Entwurf für das erste Datenschutzgesetz des Bundes aus dem Jahre 1988 enthielt eine Bestimmung, die der hier kommentierten in den Grundzügen glich; namentlich wurde bereits unterschieden zwischen der Bearbeitung gewöhnlicher Personendaten und solchen mit höherem Schutzbedarf in der Form von besonders schützenswerten Personendaten und Persönlichkeitsprofilen.

Die in einer zwischenzeitlichen Revision modifizierte Vorgängerbestimmung Art. 17 aDSG sah das Grundprinzip der gesetzlichen Grundlage vor und statuierte daneben Ausnahmen, deren Tragweite wenig klar war und entsprechend zu Kritik Anlass gab.

5Die neue Norm nimmt eine strukturelle Entflechtung vor; sie unterscheidet nebst dem gleichbleibenden Grundprinzip (Abs. 1) klar zwischen dem Erfordernis der Gesetzesform (Abs. 2), Sachverhalten mit herabgesetzter Normstufe (Abs. 3) und Situationen, in denen gänzlich vom Erfordernis eines Rechtssatzes abgewichen werden kann (Abs 4).

II. Das Legalitätsprinzip im Datenschutz

A. Rolle und Funktionen des Legalitätsprinzips allgemein

1. Gesetzliche Grundlage als Voraussetzung für Grundrechtseingriffe und Grundsatz staatlichen Handelns

6Bei der Bearbeitung von Personendaten durch staatliche Behörden finden Eingriffe in grundrechtlich geschützte Positionen statt: In erster Linie geht es um Art. 13 BV und namentlich dessen Abs. 2 (Grundrecht auf «informationelle Selbstbestimmung»)

sowie Art. 8 EMRK und Art. 17 UNO-Pakt II. Geschützt ist nicht nur, entgegen der Formulierung von Art. 13 Abs. 2 BV, der Schutz vor Missbrauch persönlicher Daten, sondern die Privatsphäre, insofern sie auch Daten über die entsprechende Person beinhaltet. Ferner können jeweils – erst recht mit zunehmender Digitalisierung, in der jede Staatstätigkeit mit Datenbearbeitung einhergeht – verschiedenste weitere Grundrechte tangiert sein, u.a. das Recht auf persönliche Freiheit (Art. 10 Abs. 2 BV) oder die Meinungsäusserungsfreiheit (Art. 16 BV).

7In Art. 36 Abs. 1 sieht die Bundesverfassung vor, dass Einschränkungen von Grundrechten einer gesetzlichen Grundlage bedürfen; schwerwiegende Einschränkungen sind in Gesetzesform vorzusehen, sofern nicht ein Fall «ernster, unmittelbarer und nicht anders abwendbarer Gefahr» vorliegt. Ferner haben Grundrechtseinschränkungen der Umsetzung eines öffentlichen Interesses zu dienen und verhältnismässig zu erfolgen; der Kerngehalt des Grundrechts muss gewahrt bleiben (vgl. Kriterien von Art. 36 BV).

8In seiner Rolle als Grundsatz staatlichen Handelns sieht Art. 5 Abs. 1 BV vor, dass das staatliche Handeln einer Grundlage im Recht bedarf und es gleichzeitig das Recht ist, dass jedem staatlichen Handeln Grenzen setzt («Schranken», in den Worten der Verfassungsgeberin). Die Verwaltung – in der Terminologie des DSG das «Bundesorgan» – darf also erst handeln, wenn dafür eine gesetzliche Grundlage besteht, und darf nur so weit gehen, wie das Handeln durch die entsprechende Grundlage abgedeckt ist. Dies gilt ungeachtet der Rechtsnatur des staatlichen Handelns, auch wenn die Erfordernisse des Legalitätsprinzips je nach Situation und Risikolage verschiedene Ausprägungen erfahren.

2. Normstufe und Normdichte

9Art. 36 Abs. 1 BV deutet bereits an, dass der erforderliche Rechtssatz bei schwerwiegenden Einschränkungen von Grundrechten erhöhten Anforderungen genügen muss. Je schwerwiegender der Grundrechtseingriff, desto höher sind die Anforderungen an die Normstufe und die Normdichte.

Schwerwiegende Einschränkungen müssen im Gesetz selbst d.h. in einem Gesetz im formellen Sinne vorgesehen sein (Normstufe) und dem Bestimmtheitsgebot (Normdichte) genügend Rechnung tragen. Im Minimum müssen Rechtsnormen jeweils «so präzise formuliert sein, dass die Rechtsunterworfenen ihr Verhalten danach ausrichten und die Folgen eines bestimmten Verhaltens mit einem den Umständen entsprechenden Grad an Gewissheit erkennen können». In welchem Fall welche Beschaffenheit der Rechtsnorm genügt, ist oftmals nicht leicht zu beantworten und hängt stark vom Einzelfall ab. In den Worten von Tschannen/Müller/Kern: Das Legalitätsprinzip ist «von unangenehmer Uferlosigkeit». Für das Bundesrecht gibt Art. 164 BV immerhin eine exemplarische Themenliste vor, zu der die grundlegenden Bestimmungen als wichtige rechtssetzende Bestimmungen gelten und daher in einem Gesetz im formellen Sinne zu regeln sind; es sind dies:

Ausübung politischer Rechte;

Einschränkungen verfassungsmässiger Rechte;

Rechte und Pflichten von Personen;

Kreis der Abgabepflichtigen sowie der Gegenstand und die Bemessung von Abgaben;

Aufgaben und Leistungen des Bundes;

Verpflichtungen der Kantone bei der Umsetzung und beim Vollzug des Bundesrechts;

Organisation und Verfahren der Bundesbehörden.

10 Die Lehre schlägt ihrerseits folgende Kriterien für die Umschreibung der Wichtigkeit eines Regelungsgegenstands vor:

Intensität des Eingriffs;

Anzahl der von einer Regelung betroffene Personen oder der geregelten Lebenssachverhalte;

finanzielle Bedeutung;

Bedeutung für die politische Willensbildung, die Organisation staatlicher Institutionen oder das Verfahren und
Brisanz bzw. Akzeptierbarkeit der Thematik.

11 Das Bedürfnis nach Flexibilität und rascher Anpassung oder besonderen Fachkenntnissen sprechen dagegen eher für Regelungen auf tieferer Normstufe.

12 Diese allgemeinen Vorgaben der Bundesverfassung sind bei der Ausgestaltung von gesetzlichen Grundlagen gemäss Art. 34 DSG mit zu beachten. Art. 34 DSG gibt für bestimmte typisierte Situationen des Datenschutzes die erforderliche Normstufe, nicht aber die Normdichte vor (siehe zur Normdichte infra N. 18-19).

Für den hier interessierenden Zusammenhang des Datenschutzes stehen aus den obenzitierten Katalogen u.a. die Einschränkung verfassungsmässiger Rechte bzw. die Intensität von Grundrechtseingriffen sowie Bestimmungen über die «Rechte und Pflichten von Personen» im Vordergrund. Mit zunehmender Digitalisierung spielt aber auch die Brisanz der Themen als Kriterium für die Gesetzesform verstärkt mit, was sich zurzeit etwa beim Einsatz künstlicher Intelligenz oder konkreter der Gesichtserkennung im öffentlichen Raum zeigt.

13 Sollen Rechtssetzungsbefugnisse von der Legislative an die Exekutive delegiert werden, so kommen auch im Datenschutz die von der Rechtsprechung und Lehre entwickelten allgemeinen Voraussetzungen der Gesetzesdelegation zum Tragen. So darf die Gesetzesdelegation durch das entsprechende Recht nicht ausgeschlossen sein (vgl. dazu Art. 164 Abs. 1 BV); die Delegationsnorm muss in einem Erlass auf Gesetzesstufe enthalten sein; die Delegation hat sich auf eine bestimmte Materie zu beschränken und die Grundzüge dieser Materie sind bereits im Gesetz aufzuführen.

B. Erfordernis des Rechtssatzes gemäss Art. 34 DSG

1. Grundprinzip Abs. 1

14 Mit dem grundsätzlichen Erfordernis eines Rechtssatzes untersteht die Datenbearbeitung durch Bundesorgane einem Verbot mit Erlaubnisvorbehalt; dies im Gegensatz zur Datenbearbeitung durch Private.

Das Erfordernis gilt ungeachtet der Art der Datenbearbeitung (siehe dazu die Legaldefinition des Bearbeitens in Art. 5 lit. d DSG; zum Sonderfall der Bekanntgabe siehe Art. 36 DSG). Art. 34 DSG gibt dabei lediglich das Grundprinzip vor; er kann nicht selbst als unmittelbare gesetzliche Grundlage beigezogen werden. Darüber hinaus macht Abs. 1 keine Aussage dazu, auf welcher Normstufe der Rechtssatz anzusiedeln ist oder welche Normdichte diese aufweisen muss.

15 Aus der Systematik des DSG ergibt sich im Übrigen, dass die restlichen allgemeinen Vorgaben des Gesetzes, insbesondere die Datenbearbeitungsgrundsätze von Art. 6 DSG sowie die Vorgaben zur Sicherheit gemäss Art. 8 DSG, kumulativ zur Anwendung kommen.

Damit befreit die Existenz einer gesetzlichen Grundlage etwa nicht von der Pflicht, den Verhältnismässigkeitsgrundsatz zu beachten und nur die für die Erfüllung der öffentlichen Aufgabe effektiv erforderlichen Daten zu bearbeiten.

16 Der Gesetzestext von Art. 34 DSG bezieht sich auf die Bearbeitung von Personendaten durch Bundesorgane. Zur Definition des Bundesorgans bringt Art. 5 lit. i DSG zum Ausdruck, dass damit nicht nur die organisatorisch zugeordneten Einheiten der Verwaltung und der öffentlichen Anstalten des Bundes erfasst werden, sondern auch Private, sofern sie mit der Erfüllung öffentlicher Aufgaben des Bundes betraut sind (siehe dazu dort).

17 Ungeachtet der Hinweise zur Normstufe in Abs. 2-4 ist in der gesetzgeberischen Praxis oftmals nicht vollends klar, wie die Normdichte der gesetzlichen Grundlage auszusehen hat. Dieses Problem äussert sich etwa bei der Frage, ob eine allgemeine («mittelbare») gesetzliche Grundlage genügt («Das Amt X erfüllt die gesetzliche Aufgabe Y»)

oder ob es einer auf eine bestimmte Datenbearbeitung zugeschnittene, spezifischen Rechtsgrundlage bedarf («Zur Abwicklung der Gesuche um Fördergelder bearbeitet das Amt X folgende Personendaten: …», etc.).

18 Zur Frage der Beschaffenheit der gesetzlichen Grundlage hat das Bundesamt für Justiz einen Gesetzgebungsleitfaden verfasst, der spezifische Vorgaben für gesetzliche Grundlagen im Bereich des Datenschutzes bereithält.

Vor dem Hintergrund der Funktionen des Legalitätsprinzips (siehe dazu infra N. 43 ff.) und dem Postulat, dass die Bürgerin ihr Verhalten nach der entsprechenden Norm richten können soll, sind folgende Elemente zu regeln:

Welche Behörde (wer)

bearbeitet welche Kategorien von Personendaten (was),

zu welchem Zweck (warum) und
in welcher Art und Weise (wie)?

Wem werden Personendaten allenfalls bekanntgegeben (wem) und

auf welche Weise (wie)?

19 Aufzuführen unter was ist namentlich, ob auch besonders schützenswerte Personendaten bearbeitet werden und wenn ja, welche Kategorien (vgl. Art. 5 lit. c DSG), wohingegen die genauen Attribute bei genügender Normdichte auf Gesetzesstufe in einer Verordnung ausgeführt werden können. Je gewichtiger der Grundrechtseingriff, desto detaillierter und präziser muss die gesetzliche Grundlage formuliert sein,

obwohl angesichts der raschen Entwicklung der Informations- und Kommunikationstechnologien eine gewisse Flexibilität in der Formulierung und eine damit einhergehende Vagheit manchmal in Kauf zu nehmen sein wird. Zum wie der Bearbeitung gehören auch Angaben zur Aufbewahrungsdauer und Löschung der Personendaten.

20 Insofern als dass damit der Rechtssatz gegenüber den betroffenen Personen die vom Gesetz geforderte Transparenz herstellt, entfällt die Informationspflicht nach Art. 19 DSG (vgl. Art. 20 Abs. 1 lit. b DSG).

21 In den jeweiligen Sachgesetzen können Sonderregeln vorgesehen werden, die den Vorgaben des DSG als lex specialis vorgehen und zumindest theoretisch auch nach unten davon abweichen können. Das Bundesgericht und die Lehre gehen davon aus, dass die allgemeinen datenschutzrechtlichen Grundsätze in solchen Fällen aber nach wie vor zu beachten sind.

2. Gesetzesform für Fälle nach Abs. 2

22 Der zweite Absatz verlangt die Gesetzesform (Gesetz im formellen Sinn) für Fälle, bei denen die Datenbearbeitung zu einem gewichtigen Eingriff in die Grundrechte der betroffenen Personen führen kann. Wo es sich bei der Bearbeitung von besonders schützenswerten Personendaten (lit. a) und beim Profiling (lit. b) um Konzepte und Begriffe handelt, die im DSG definiert werden,

sieht Abs. 2 zudem eine allgemeine Klausel vor, die dann greift, wenn entweder der Bearbeitungszweck oder die Art und Weise der Datenbearbeitung zu einem schwerwiegenden Eingriff in die Grundrechte der betroffenen Personen führen können (lit. c). Das Erfordernis der Gesetzesform für Datenbearbeitungen mit grosser Grundrechtsrelevanz ergibt sich aber bereits aus Art. 36 Abs. 1 BV ungeachtet dessen, welchem Buchstaben von Abs. 2 ein Sachverhalt zugeordnet wird.

23 Die beiden in lit. c genannten Parameter des Ziels und der Art und Weise der Bearbeitung sind dabei die Hauptelemente, die zur Evaluation des Eingriffs in das entsprechende Grundrecht beigezogen werden. Angesichts des grundrechtlichen Kontexts sind sie nicht abschliessend.

24 Ist es nicht möglich, die Datenbearbeitung auf eine genügend präzise, detaillierte Rechtsgrundlage abzustützen, so bestätigt die Rechtsprechung, dass eine besonders strenge Handhabung etwa der Verhältnismässigkeitsprüfung eine gewisse Kompensationswirkung entfalten kann.

3. Materiellrechtliche gesetzliche Grundlage für Fälle nach Abs. 3

25 Abs. 3 sieht für die Bearbeitung besonders schützenswerter Personendaten und Profiling die Möglichkeit einer herabgesetzten Normstufe vor, sofern zwei Voraussetzungen kumulativ erfüllt sind: Die Bearbeitung ist unentbehrlich für eine formell-gesetzlich festgelegte Aufgabe; und der Bearbeitungszweck birgt für die Grundrechte der betroffenen Person keine besonderen Risiken.

26 Aufgrund des verfassungsrechtlichen Rahmens ist auch hier wiederum denkbar – auch wenn die Beispiele selten sein dürften –, dass sich Abweichungen aufdrängen, die von Abs. 3 nicht konkret enumeriert werden: So könnte beispielsweise die gesellschaftliche Brisanz einer Thematik dazu führen, dass für entsprechende Datenbearbeitungen dennoch die Gesetzesform verlangt werden muss; es mithin die Art und Weise einer Datenbearbeitung ist, statt des von Abs. 3 erwähnten Zwecks, die zur Erhöhung der Normstufe Anlass gibt.

a. Unentbehrlichkeit für eine im Gesetz umschriebene Aufgabe (lit. a)

27 Was die Formulierung von Abs. 3 lit. a anbelangt, so fällt gegenüber der Vorversion (Art. 17 Abs. 2 lit. a aDSG) auf, dass man sich neu nicht mehr lediglich «ausnahmsweise» auf die verringerte Normstufe abstellen können soll. In der früheren Version liess sich die Haltung vertreten, es handle sich nur um punktuelle Ausnahmebearbeitungen von Daten in Situationen, in denen normalerweise zur Erfüllung der entsprechenden gesetzlichen Aufgabe keine derartige Bearbeitung erforderlich sei.

Die aktuelle Formulierung weicht davon deutlich ab, indem sie auf die Voraussetzung verzichtet, dass eine Ausnahmesituation vorzuliegen habe. Entsprechend ist davon auszugehen, dass auch die auf Dauer angelegte Bearbeitung von besonders schützenswerten Personendaten und Persönlichkeitsprofilen auf Verordnungsbasis möglich ist, wenn die beiden Voraussetzungen von Abs. 3 erfüllt sind.

b. Bearbeitungszweck birgt für die Grundrechte der betroffenen Person keine besonderen Risiken (lit. b)

28 Abs. 3 lit. b kommt für jene Bearbeitungen in Frage, die in eine Zwischenkategorie fallen: Zwar handelt es sich um Bearbeitungsarten, die typischerweise zu einem schwerwiegenden Grundrechtseingriff führen würden (weshalb Abs. 2 für sie im Normalfall eine formell-gesetzliche Grundlage verlangt), aber im konkreten Fall birgt der Zweck der Bearbeitung für die Grundrechte der betroffenen Personen keine besonderen Risiken. Gemeint sind damit gemäss Botschaft des Bundesrats insbesondere besonders schützenswerte Daten, die im Rahmen von Bundesrats-, Departements- und Amtsgeschäften bearbeitet werden; erwähnt werden Beschwerdeentscheide, Staatshaftungsfälle oder Bundespersonalgeschäfte.

Zudem hat die formell-gesetzliche Grundlage die Natur der Aufgaben, für die die Bearbeitung von Personendaten nötig ist, genügend zu konkretisieren.

29 Die Formulierung in Abs. 3 lit b mag erstaunen, da nur auf den «Bearbeitungszweck» Bezug genommen, ohne die bislang in Abs. 2 lit c erwähnte «Art und Weise der Datenbearbeitung» mit einzuschliessen. Es ist davon auszugehen, dass der Gesetzgeber damit primär in Erinnerung rufen wollte, dass Datenbearbeitungen, die bereits schon aufgrund ihres Zwecks grundrechtlich heikel erscheinen, in jedem Fall einer Grundlage in Gesetzesform bedürfen, auch wenn die Art und Weise der Bearbeitung im Einzelfall wenig eigene Risiken mit sich bringen.

4. Abs. 4: Sammelbecken für Ausnahmen von den Erfordernissen von Abs. 1-3

30 Abs. 4 nimmt drei idealtypische Situationen (die als Alternativen verfasst sind

) vom Erfordernis eines Rechtssatzes aus:

Die Bewilligung der Bearbeitung durch die Exekutive (hier Bundesrat), wobei auch hier die Bewilligung auf dem Erfordernis basieren muss, dass die Rechte der betroffenen Personen voraussichtlich nicht gefährdet sind (lit. a);

Die Einwilligung durch die betroffene Person im Einzelfall bzw. die voraussetzungslose Freigabe von Personendaten durch dieselbe (lit. b) oder

Das dringliche, übergeordnete Interesse in der Form des Schutzes des Lebens oder der körperlichen Unversehrtheit der betroffenen Person oder eines Dritten in einer Situation, die das Einholen einer Einwilligung nicht möglich macht (lit. c).

31 Wo Abs. 3 die Anforderungen an die gesetzliche Grundlage lediglich reduziert, so sieht Abs. 4 für gewisse Fälle dem Wortlaut nach vor, dass kein Rechtssatz, weder ein Gesetz noch ein Rechtssatz materieller Natur, erforderlich ist.

Insofern, als nun explizit von jeglichem Erfordernis eines Rechtssatzes Abstand genommen wird, stellt diese Bestimmung formell gesehen gegenüber Vorversionen derselben Bestimmung im DSG die grösste Neuerung dar. Für die Sachverhalte gemäss lit. a und b, die beide in der Vorgängerversion bereits zu finden waren, erfolgt dabei eine willkommene Klärung; aus dem Wortlaut der Vorgängernorm konnte nicht mit Sicherheit abgelesen werden, ob ein gänzlicher Verzicht auf eine Rechtsgrundlage intendiert war oder nicht.

a. Bundesrätliche Bewilligung (lit. a)

32 Gemäss lit. a bewilligt der Bundesrat eine Bearbeitung, weil er die Rechte der betroffenen Person «für nicht gefährdet hält». Wo in der Vorgängerversion noch explizit davon die Rede war, dass diese Bewilligung auf den Einzelfall beschränkt sei, fehlt dieser Zusatz in der aktuellen Formulierung. Gemäss Botschaft soll sich an der Norm trotz des Formulierungsunterschieds aber nichts ändern;

dies ergibt sich bei genauerer Betrachtung ebenfalls aus dem Kontext. Dabei ist die Bewilligung als Form des Beschlusses in Gegenüberstellung zur generell-abstrakten Regelung zu sehen. Letztere erfolgt in Form einer bundesrätlichen Verordnung (Art. 182 Abs. 1 BV), mithin einer materiellrechtlichen Rechtsgrundlage, die entweder gesetzesvollziehend oder gesetzesvertretend ausfällt (und im zweiten Fall einer Ermächtigung durch ein Gesetz bedarf). Der von Abs. 4 lit. a anvisierte Fall des Handelns ohne Rechtssatz ist daher zwingend für den Einzelfall konzipiert.

33 In gleichem Masse wie in der Vorversion schleierhaft erscheint die Formulierung, wonach die «Rechte der betroffenen Person nicht gefährdet» sein sollen. Diese Formulierung weicht von der Wortwahl in Abs. 3 lit. b ab, wo davon die Rede ist, dass der Bearbeitungszweck «für die Grundrechte der betroffenen Person keine besonderen Risiken [birgt]». Dennoch ist angesichts der Tatsache, dass jede Datenbearbeitung durch öffentliche Organe einen Grundrechtseingriff darstellt, davon auszugehen, dass auch mit der in Abs. 4 verwendeten Formel dasselbe gemeint ist wie in Abs. 3 lit. b, nämlich dass von einem geringen Grundrechtseingriff auszugehen ist.

b. Einwilligung (lit. b)

34 In lit. b substituiert die Einwilligung die gesetzliche Grundlage. Im Falle der voraussetzungslosen Freigabe der Daten wird die Einwilligung vermutet;

in diesem Falle ist eine wissentliche und willentliche Veröffentlichung durch die betroffene Person vorausgesetzt. Siehe zur Einwilligung allgemein Art. 6 Abs. 6 und 7 DSG sowie zur Frage der Einwilligung als gültiger Ersatz einer gesetzlichen Grundlage sogleich infra N. 42 ff.

c. Datenschutzrechtliche Polizeiklausel (lit. c)

35 Lit. c nimmt den Schutz dringender, übergeordneter Interessen ins Visier, konkretisiert in der Form des Schutzes des Lebens oder der körperlichen Unversehrtheit der betroffenen Person oder eines Dritten. Voraussetzung ist, dass es nicht möglich ist, innert angemessener Frist die Einwilligung der entsprechenden Person einzuholen, was etwa dann der Fall ist, wenn sich diese nicht in ansprechbarem Zustand befindet (Koma o.ä.) oder unauffindbar ist. Es handelt sich bei dieser Norm um einen datenschutzrechtlich spezifizierten Fall «polizeilicher Interessen».

Insofern fügt sie sich ohne Weiteres in das Schema von Art. 36 Abs. 1 BV ein, der «Fälle ernster, unmittelbarer und nicht anders abwendbarer Gefahr» vom Erfordernis der gesetzlichen Grundlage ausnimmt. Nicht explizit verschriftlicht, aber im Wesen der Polizeiklausel inhärent ist das Erfordernis, dass es sich um einen Einzelfall handeln muss, womit z.B. polizeiliche oder nachrichtendienstliche Datenbearbeitung im Rahmen wiederkehrender Gefährdungssituationen nicht alleine basierend auf Abs. 4 lit. c erfolgen dürfen.

5. Kasuistik zur Eingriffsintensität und zu den Anforderungen an die Norm

36 Die Bearbeitung von Amtshilfedaten, die sich auf Geschäftsbeziehungen oder Bankverbindungen beziehen, setzt nach Art. 17 Abs. 2 aDSG keine Grundlage in Gesetzesform voraus. Der Eingriff in Verfassungsrechte im Zusammenhang mit den bei Amtshilfe zu erhebenden Daten wiegt dabei in aller Regeln nicht besonders schwer, sodass die Anforderungen an die Bestimmtheit der Norm ebenfalls «nicht übermässig hoch» sind (BGE 148 II 349 E. 5.3.3-5.3.4).

37 Die gesetzliche Grundlage, die den Einsatz von Funkwasserzählern durch die kommunale Wasserversorgung vorsieht, hat explizit vorzusehen, dass die erfassten Stundenwerte während X Tagen auf dem Wasserzähler gespeichert und in regelmässigen Intervallen per Funk ausgesendet werden (BGE 147 I 346 E. 5.4.1).

38 Wenn bei der automatisierten Fahrzeugfahndung nebst dem Kontrollschild und damit der Identität des Halters auch Zeitpunkt, Standort, Fahrtrichtung und Identität weiterer Fahrzeuginsassen in Erfahrung gebracht wird, so bewegt sich diese Datenbearbeitung im Rahmen einer «konventionellen Identitätsfeststellung», womit es sich noch nicht um einen schweren Grundrechtseingriff handelt. Dies ändert sich jedoch mit der Zusammenführung und dem automatischen Abgleich dieser Daten mit anderen Datensätzen (die Rede ist von einer «seriellen und simultanen Verarbeitung grosser und komplexer Datensätze innert Sekundenbruchteilen») und der nachfolgenden behördlichen Nutzung bedeutend; die Eingriffsintensität nimmt «erheblich» zu, u.a. aufgrund der Gefahr, dass Personen zu Unrecht in Verdacht geraten (BGE 146 I 11 E. 3.2).

39 Der Eintrag in eine von der FINMA geführte Watchlist, die als Vorstufe zu möglichen Einschränkungen der Erwerbstätigkeit im Bereich des Finanzmarkts dient und in der Summe zu einem eigentlichen Persönlichkeitsprofil führt, stellt einen schweren Eingriff in Art. 13 Abs. 2 BV dar und setzt eine Grundlage in Gesetzesform voraus (BGE 143 I 253 E. 4).

40 Stellt ein Polizeigesetz die technische Überwachung allgemein zugänglicher Orte unter die Schlagworte der «Wahrung der öffentlichen Ordnung und Sicherheit», so ist diese Zweckangabe ungenügend und erlaubt es insbesondere nicht, die gesetzliche Grundlage auf ihre Verhältnismässigkeit (insb. Zweck-Mittel-Relation) zu prüfen. (BGE 136 I 87 E. 8.3-8.4).

41 Die genügende Bestimmtheit einer Norm kann sich auch aus dem Geflecht an anwendbaren Normen ergeben: Wenn eingewendet wird, Art. 91 Abs. 5 SchKG verfüge über eine ungenügende Normdichte für die Bekanntgabe von Daten, die besonders schützenswerte Personendaten und/oder Persönlichkeitsprofile enthalten, so ist dem entgegenzuhalten, dass die Vorschrift nur im Rahmen des Pfändungsvollzugs zur Anwendung gelangt. Damit sind Zweck und Umfang der Datenbearbeitung genügend präzise definiert. (BGE 124 III 170 E. 3a)).

6. Exkurs: Die Einwilligung «im Einzelfall» (Abs. 4 lit. b)

42 Im öffentlichen Datenschutzrecht ist oftmals nicht klar, in welchem Umfang eine Einwilligung die gesetzliche Grundlage ersetzen kann. Besonders akut stellt sich die Frage der Einwilligung dort, wo es um schwerwiegende Eingriffe in Grundrechtspositionen geht; im Vordergrund steht dabei der Grundrechtsverzicht bzw. die Einwilligung in besonders schwere Grundrechtseingriffe.

Am anderen Ende des Eingriffsspektrums können sich jedoch genauso sehr Fragezeichen ergeben, etwa wenn es um den Versand eines Newsletters durch eine öffentliche Behörde oder das Einholen einer Referenz in einem Rekrutierungsverfahren geht. Art. 34 DSG sieht unter Abs. 4 lit. b die Einwilligung als Substitut des Rechtssatzes vor, dasselbe gilt auch für Art. 36 Abs. 2 lit. b DSG in Bezug auf die Bekanntgabe von Personendaten. In beiden Fällen ist die Einwilligung an den Einzelfall gebunden, ansonsten aber nicht an die Voraussetzung geknüpft, dass es sich um einen Sachverhalt geringer oder fehlender Gefährdung handelt. Im Gegensatz zur Einwilligung im privaten Datenschutzrecht (siehe dazu Art. 6 Abs. 6 und 7 DSG) reicht es im öffentlichen Recht nicht aus, wenn eine Einwilligung freiwillig und aufgeklärt erfolgt. Zusätzlich muss die Einwilligung im konkreten Fall geeignet sein, die im Spiel stehenden Funktionen des Legalitätsprinzips zu übernehmen. Über diese inhaltlichen Anforderungen hinaus ist die Einwilligung im öffentlichen Recht an keine Form gebunden.

43 Bundesgericht und Lehre sind sich einig, dass das Legalitätsprinzip zwei Arten von Funktionen erfüllt. Zum einen werden damit demokratische Anliegen verfolgt; dazu gehören die Sicherung der Vorherrschaft des Volkswillens einerseits und die Gewaltenteilung andererseits. Zum andern erfüllt es rechtsstaatliche Funktionen; In diesem Zusammenhang sichert es den Schutz des Einzelnen vor staatlicher Willkür, die Gleichbehandlung sowie die Vorhersehbarkeit staatlichen Handelns.

44 Unter gewissen Voraussetzungen kann eine Einwilligung die rechtsstaatlichen Funktionen des Schutzes vor Willkür und der Vorhersehbarkeit staatlichen Handelns durchaus ersetzen. Dafür hat im Zeitpunkt der Einwilligung deren Tragweite erkennbar zu sein und es muss sich um einen Kontext handeln, bei dem die Freiwilligkeit der Einwilligung nach Treu und Glauben angenommen werden kann.

45 Aus der rechtsstaatlichen Funktion der Gleichbehandlung ergibt sich jedoch eine erste Restriktion: Sobald es um das Einräumen von Rechten oder die Auferlegung von Pflichten geht, kann die Einwilligung nur dann, wenn lediglich einzelne Personen betroffen sind, als Ersatz für einen Rechtssatz operationalisiert werden. Dort, wo demokratische Anliegen im Vordergrund stehen, vermag die Einwilligung dann bereits funktional keine Kompensationsleistung mehr zu erbringen.

46 Entsprechend ist je nach Sachverhalt unter Rückgriff auf die in Frage stehenden Anliegen des Legalitätsprinzips und der Kriterien für das Erfordernis der Gesetzesform (siehe dazu supra N. 9-10) zu prüfen, ob sich ein Verzicht auf eine gesetzliche Grundlage und eine Abstützung auf die Einwilligung rechtfertigen lässt.

47 Für Datenbearbeitungen durch Bundesorgane grenzt Art. 34 Abs. 4 lit. b DSG die Zulässigkeit ab, indem es die Einwilligung auf den Einzelfall beschränkt. Dabei ist angesichts des Gesagten davon auszugehen, dass es sich um eine sowohl in sachlicher als auch in zeitlicher Hinsicht, ferner für die Einführung von Rechten und Pflichten auch in persönlicher Hinsicht, stark beschränkte Anzahl Situationen handeln muss.

48 Die Frage lässt sich daher trotz der schematischen Vorgabe des DSG in Bezug auf Grundrechtseingriffe letztlich erst im Konkreten unter Einbezug der in Frage stehenden Anliegen zuverlässig beantworten. So wird der obenerwähnte Newsletter einer Behörde auch bei einer sehr grossen Anzahl Empfängerinnen und Empfänger und auch mit einer zeitlich unbeschränkten Periodizität aufgrund einer Einwilligung versandt werden können, wohingegen der Einsatz von Gesichtserkennungssystemen selbst in einem örtlich, zeitlich und personell eng abgegrenzten Bereich aufgrund der Intensität des Grundrechtseingriffs der betroffenen Personen und der gesellschaftlichen Brisanz der verwendeten Technologie nicht auf Basis der Einwilligung im Einzelfall zulässig sein dürfte.

Literaturverzeichnis

Ballenegger Sarah, Kommentierung zu Art. 17 DSG, in: Maurer-Lambrou Urs/Blechta Gabor-Paul (Hrsg.), Datenschutzgesetz/Öffentlichkeitsgesetz, 3. Aufl., Basel 2014.

Dubey Jacques, Kommentierung zu Art. 5 BV, in: Martenet Vincent/Dubey Jacques (Hrsg.), Commentaire romand Constitution fédérale, Basel 2021.

Epiney Astrid/Posse Samah, Kommentierung zu Art. 34 DSG, in: Meier Philippe/Métille Sylvain (Hrsg.), Commentaire romand, Loi sur la protection des données, Basel 2023 (Publikation zum Zeitpunkt der Abgabe der vorliegenden Kommentierung bevorstehend).

Epiney Astrid, Staatliche Überwachung versus Rechtsstaat: Wege aus dem Dilemma?, AJP 2016, S. 1503-1515.

Häfelin Ulrich/Müller Georg/Uhlmann Felix, Allgemeines Verwaltungsrecht, 8. Aufl. Zürich/St. Gallen 2020.

Häner Isabelle, Die Einwilligung der betroffenen Person als Surrogat der gesetzlichen Grundlage bei individuell-konkreten Staatshandlungen, ZBl 103 (2002), S. 57-76.

Mund Claudia, Kommentierung zu Art. 34 DSG, in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Datenschutzgesetz, Stämpflis Handkommentar, 2. Aufl., Bern 2023.

Rosenthal David/Jöhri Yvonne, Handkommentar zum Datenschutzgesetz sowie weiteren, ausgewählten Bestimmungen, Zürich 2008.

Tschannen Pierre, Staatsrecht der Schweizerischen Eidgenossenschaft, 5. Aufl. Bern 2021.

Tschannen Pierre/Müller Markus/Kern Markus, Allgemeines Verwaltungsrecht, 5. Aufl. Bern 2022.

Waldmann Bernhard/Bickel Jürg, Datenbearbeitung durch Bundesorgane, in: Belser Eva Maria/Epiney Astrid/Waldmann Bernhard (Hrsg.), Datenschutzrecht, Grundlagen und öffentliches Recht, Bern 2011, S. 639-764.

Waldmann Bernhard/Oeschger Magnus, Datenbearbeitung durch kantonale Organe, in: Belser Eva Maria/Epiney Astrid/Waldmann Bernhard (Hrsg.), Datenschutzrecht, Grundlagen und öffentliches Recht, Bern 2011, S. 765-894.

Wyss Martin Philipp, Öffentliche Interessen – Interessen der Öffentlichkeit?, Bern 2001.

Materialienverzeichnis

Bundesamt für Justiz, Gesetzgebungsleitfaden, Leitfaden für die Ausarbeitung von Erlassen des Bundes, 4. Aufl. 2019, abrufbar unter https://www.bj.admin.ch/bj/de/home/staat/legistik/hauptinstrumente.html, besucht am 21.2.2023 (zit. Gesetzgebungsleitfaden).

Botschaft zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz vom 15.9.2017, BBl 2017 S. 6941 ff., abrufbar https://www.fedlex.admin.ch/eli/fga/2017/2057/de, besucht am 31.3.2023 (zit. Botschaft 2017).

Botschaft zum Bundesgesetz über den Datenschutz (DSG) vom 23.3.1988, BBl 1988 II S. 413 ff., abrufbar unter https://www.fedlex.admin.ch/eli/fga/1988/2_413_421_353/de, besucht am 31.3.2023 (zit. Botschaft 1988).

Fussnoten

Siehe dazu Tschannen/Müller/Kern, N. 20, 289.
Für einen Fall im kantonalen Kontext BGer 2C_136/2020; BGer 2C_137/2020 vom 5.11.2021 E. 5.2.
CR-Epiney/Posse, Art. 34 DSG N. 30; SHK-Mund, Art. 34 DSG N. 6 mit dem wichtigen Hinweis, dass interne Verwaltungsverordnungen, Merkblätter, Rundschreiben etc. nicht genügen; BSK-Ballenegger, Art. 17 aDSG N. 6; Waldmann/Bickel, N. 44.
Siehe zur Begrifflichkeit Tschannen, N. 1573-1579, hier hinsichtlich der materiellrechtlichen gesetzlichen Grundlage abweichend verwendet.
CR-Epiney/Posse, Art. 34 DSG N. 3.
Botschaft 1988, S. 521.
Siehe zur Entstehungsgeschichte auch CR-Epiney/Posse, Art. 34 DSG N. 10-11.
BGE 147 I 346 E. 5.3.1; BGE 146 I 11 E. 3.1.1; BGE 143 I 253 E. 3.2; CR-Epiney/Posse, Art. 34 DSG N. 2; BSK-Ballenegger, Art. 17 aDSG N. 15.
Zur Rolle der Rechtsprechung des EGMR zu Art. 8 EMRK hinsichtlich der Beschaffenheit der gesetzlichen Grundlage nach Art. 34 DSG siehe CR-Epiney/Posse, Art. 34 DSG N. 13-16.
BGE 144 I 126 E. 4.1; Rosenthal/Jöhri, Art. 17 aDSG N. 30.
BGE 146 I 11 E. 3.2; zum Konnex zwischen der persönlichen Freiheit und Art. 13 BV siehe BGE 127 I 6 E. 5a.
CR-Dubey, Art. 5 BV N. 30-31.
BGE 147 I 450 E. 3.2.1 (im Zusammenhang mit Grundrechtseingriffen); Tschannen, N. 1582.
BGE 147 I 450 E. 3.2.1.
Tschannen/Müller/Kern, N. 387.
Je leicht unterschiedlich zusammengefasst bei Tschannen/Müller/Kern, N. 390 und Häfelin/Müller/Uhlmann, N. 354. Siehe ferner auch BSK-Ballenegger, Art. 17 aDSG N. 10.
Tschannen/Müller/Kern, N. 401; Häfelin/Müller/Uhlmann, N. 359-363.
So im Zusammenhang mit Abs. 2 auch SHK-Mund, Art. 34 DSG N. 9.
Art. 164 Abs. 1 lit. b BV.
Art. 164 Abs. 1 lit. c BV.
Ähnlich Waldmann/Bickel, N. 45.
BGE 128 I 113 E. 3c; BGE 118 Ia 245 E. 3b.
CR-Epiney/Posse, Art. 34 DSG N. 7; Rosenthal/Jöhri, Art. 17 aDSG N. 4.
BSK-Ballenegger, Art. 17 aDSG N. 3.
CR-Epiney/Posse, Art. 34 DSG N. 3, 32.
CR-Epiney/Posse, Art. 34 DSG N. 6, leiten dies aus der analogen Anwendung von Art. 30 Abs. 2 DSG ab. Dazu ferner Waldmann/Bickel, N. 46.
Für die Verhältnismässigkeit ergibt sich dies bereits aus Art. 36 BV; BGE 147 I 346 E. 5.5; BGE 136 I 87 E. 8.3; ferner auch SHK-Mund, Art. 34 DSG N. 3. Zur Wechselwirkung zwischen der gesetzlichen Grundlage und den anderen Voraussetzungen von Art. 36 BV siehe infra N. 23.
Für diesen konkreten Fall hält Art. 34 Abs. 3 lit. a DSG im Übrigen Hinweise zur Normstufe bereit und lässt für die Umschreibung der Datenbearbeitung eine Verordnung genügen, wenn die Bearbeitung für eine im Gesetz im formellen Sinne festgelegte Aufgabe «unentbehrlich» ist.
Zu dieser Problematik Waldmann/Bickel, N. 46; zur Normdichte Tschannen, N. 1582.
Gesetzgebungsleitfaden, S. 215-222. Im Zuge der Revision des DSG wurden zudem weitere Dokumente erstellt, die die Auswirkungen des DSG auf die Erarbeitung von Rechtsgrundlagen aufzeigen, so z.B. das Dokument Gesetzgebungsleitfaden Datenschutz, Auswirkungen des neuen Datenschutzgesetzes auf die Erarbeitung von Rechtsgrundlagen, August 2022; Totalrevision des Datenschutzgesetzes (DSG), Übersicht zu den wichtigsten Änderungen für die Erarbeitung der Rechtsgrundlagen betreffend Datenbearbeitungen durch Bundesorgane, Oktober 2022; abrufbar unter https://www.bj.admin.ch/bj/de/home/staat/legistik/hauptinstrumente.html, zuletzt konsultiert am 21.2.2023.
Gesetzgebungsleitfaden, S. 217-219; ferner BSK-Ballenegger, Art. 17 aDSG N. 19.
Gesetzgebungsleitfaden, S. 218.
CR-Epiney/Posse, Art. 34 DSG N. 39; Rosenthal/Jöhri, Art. 17 aDSG N. 25.
CR-Epiney/Posse, Art. 34 DSG N. 41.
BGE 142 II 268 E. 6.3-6.4.2; BGE 126 II 126 E. 5b); CR-Epiney/Posse, Art. 34 DSG N. 33-34; Rosenthal/Jöhri, Art. 17aDSG N. 5.
Beim Profiling umfasst das Erfordernis der Gesetzesform sowohl das normale Profiling gemäss Art. 5 lit. f als auch das Profiling mit hohem Risiko gemäss Art. 5 lit. g DSG. So auch SHK-Mund, Art. 34 DSG N. 13.
Diese Bestimmung wurde in der Gesetzesrevision mit dem Ziel aufgenommen, Schutzlücken zu verhindern, die dadurch hätten entstehen können, dass in gewissen Spezialgesetzen Bestimmungen zum veralteten Begriff des «Persönlichkeitsprofils» ersatzlos aufgehoben wurden; Botschaft 2017, S. 7079.
CR-Epiney/Posse, Art. 34 DSG N. 49; BSK-Ballenegger, Art. 17 aDSG N. 20; Waldmann/Bickel, N. 51.
CR-Epiney/Posse, Art. 34 DSG N. 51, 53. 56; für konkrete Überlegungen zur Intensität der Grundrechtseingriffe im Zusammenhang mit Videoüberwachung vgl. Rosenthal/Jöhri, Art. 17 aDSG N. 41.
BGE 147 I 450 E. 3.2.1. Prozedurale, bzw. technisch-organisatorische Vorkehrungen zum Schutz der Daten werden dabei im Prüfschema von Art. 36 BV im Rahmen der Prüfung der Verhältnismässigkeit, spezifisch der Erforderlichkeit und Angemessenheit, berücksichtigt, vgl. Epiney, S. 1511 (mit Verweis auf EuGH, Digital Rights Ireland, ECLI: EU: C: 2014:238, C-293/12, 8.4.2014). Diese Kompensationswirkung untersteht wie im Text erwähnt der Voraussetzung, dass es nicht möglich ist, gesetzlich präzisere Grundlagen zu formulieren. Zur Tatsache, dass eine bestehende gesetzliche Grundlage sehr wohl auf ihre Verhältnismässigkeit zu prüfen ist, vgl. supra N. 15.
Dass die beiden Voraussetzungen kumulativ gelten, ergibt sich aus der Formulierung «wenn die folgenden Voraussetzungen erfüllt sind».
Siehe Kriterien für die Gesetzesform supra N. 9-10. Dieser Gedanke findet sich auch bei CR-Epiney/Posse, Art. 34 DSG N. 58.
So bei Rosenthal/Jöhri, Art. 17 aDSG N. 76.
Botschaft 2017, S. 7080.
Botschaft 2017, S. 7080.
So auch die Botschaft 2017, S. 7081.
Gemäss Abs. 4 dürfen Personendaten «[i]n Abweichung von den Absätzen 1-3» bearbeitet werden.
Zuvor sah Art. 17 Abs. 2 aDSG die Bewilligung durch den Bundesrat sowie die Einwilligung bzw. das Zugänglichmachen (Art. 34 Abs. 4 lit. a und b der aktuellen Fassung des DSG) nur für besonders schützenswerte Personendaten und Persönlichkeitsprofile vor, womit sich die Frage, ob dennoch eine Grundlage in einer Verordnung erforderlich ist, mit grösserer Dringlichkeit stellte als in der aktuellen, breiter formulierten Ausnahmebestimmung von Abs. 4. So forderte denn auch die Botschaft 1988 S. 468, dass ein Rechtssatz nach Art. 17 Abs. 1 aDSG dennoch mindestens vorzuliegen habe; dasselbe auch bei BSK-Ballenegger, Art. 17 DSG N. 25. In der aktuellen Fassung von Art. 34 Abs. 4 DSG, die auf Abs. 3 folgt, der gerade spezifiziert, wann eine materiellrechtliche Grundlage ausreicht, lässt sich dieses Erfordernis einer materiellrechtlichen gesetzlichen Grundlage sowohl von der Systematik als auch vom Wortlaut der Bestimmung her nicht mehr vertreten.
Botschaft 2017 S. 7081.
Für den Fall des Handelns der Exekutive mittels Verordnung siehe Tschannen/Müller/Kern, N. 320-321.
Wobei damit die Frage nach generell-konkreten Allgemeinverfügungen nicht beantwortet ist.
CR-Epiney/Posse, Art. 34 DSG N. 72.
Dasselbe auch bei CR-Epiney/Posse, Art. 34 DSG N. 78: «forme de consentement spécifique»; Waldmann/Bickel, N. 53: «Präzisierung der Einwilligungsklausel».
Rosenthal/Jöhri, Art. 17 aDSG N. 82.
Waldmann/Bickel, N. 54; zu den polizeilichen Interessen Wyss, Öffentliche Interessen, S. 279-293, N. 185-217. Diese Ausnahme wurde formell als Anpassung an die gegenständlichen Bestimmungen der Richtlinie (EU) 2016/680 und der Verordnung (EU) 2016/679 deklariert; vgl. Botschaft 2017 S. 7081. Ferner CR-Epiney/Posse, Art. 34 DSG N. 80.
So auch SHK-Mund, Art. 34 DSG N. 29-30.
Häner, S. 72-73.
Waldmann/Oeschger, N. 43-44.
Waldmann/Bickel, N. 53.
Häner, S. 74.
Häner, S. 73-74.
Für sprechende Beispiele siehe zudem SHK-Mund, Art. 34 DSG N. 27.

Kommentar drucken

DOI (Digital Object Identifier)

10.17176/20230816-145546-0

https://doi.org/10.17176/20230816-145546-0

Creative Commons Lizenz

Onlinekommentar.ch, Kommentierung zu Art. 34 DSG ist lizenziert unter einer Creative Commons Namensnennung 4.0 International Lizenz.