-
- Art. 2 BPR
- Art. 3 BPR
- Art. 4 BPR
- Art. 10 BPR
- Art. 10a BPR
- Art. 11 BPR
- Art. 12 BPR
- Art. 16 BPR
- Art. 17 BPR
- Art. 19 BPR
- Art. 20 BPR
- Art. 21 BPR
- Art. 22 BPR
- Art. 23 BPR
- Art. 24 BPR
- Art. 25 BPR
- Art. 26 BPR
- Art. 27 BPR
- Art. 29 BPR
- Art. 30 BPR
- Art. 31 BPR
- Art. 32 BPR
- Art. 32a BPR
- Art. 33 BPR
- Art. 34 BPR
- Art. 40 BPR
- Art. 41 BPR
- Art. 42 BPR
- Art. 43 BPR
- Art. 44 BPR
- Art. 45 BPR
- Art. 46 BPR
- Art. 47 BPR
- Art. 48 BPR
- Art. 49 BPR
- Art. 50 BPR
- Art. 51 BPR
- Art. 58 BPR
- Art. 67 BPR
- Art. 67a BPR
- Art. 67b BPR
- Art. 75a BPR
- Art. 76 BPR
- Art. 76a BPR
- Art. 90 BPR
-
- Vorb. zu Art. 1 DSG
- Art. 1 DSG
- Art. 2 DSG
- Art. 3 DSG
- Art. 5 lit. f und g DSG
- Art. 7 DSG
- Art. 10 DSG
- Art. 14 DSG
- Art. 15 DSG
- Art. 19 DSG
- Art. 20 DSG
- Art. 22 DSG
- Art. 23 DSG
- Art. 25 DSG
- Art. 26 DSG
- Art. 27 DSG
- Art. 33 DSG
- Art. 34 DSG
- Art. 35 DSG
- Art. 40 DSG
- Art. 43 DSG
- Art. 44 DSG
- Art. 44a DSG
- Art. 45 DSG
- Art. 46 DSG
- Art. 47 DSG
- Art. 47a DSG
- Art. 48 DSG
- Art. 49 DSG
- Art. 50 DSG
- Art. 51 DSG
- Art. 57 DSG
- Art. 58 DSG
- Art. 60 DSG
- Art. 61 DSG
- Art. 62 DSG
- Art. 63 DSG
- Art. 64 DSG
- Art. 65 DSG
- Art. 66 DSG
- Art. 67 DSG
- Art. 69 DSG
- Art. 72 DSG
- Art. 72a DSG
BUNDESVERFASSUNG
OBLIGATIONENRECHT
BUNDESGESETZ ÜBER DAS INTERNATIONALE PRIVATRECHT
LUGANO-ÜBEREINKOMMEN
STRAFPROZESSORDNUNG
ZIVILPROZESSORDNUNG
BUNDESGESETZ ÜBER DIE POLITISCHEN RECHTE
ZIVILGESETZBUCH
BUNDESGESETZ ÜBER KARTELLE UND ANDERE WETTBEWERBSBESCHRÄNKUNGEN
BUNDESGESETZ ÜBER INTERNATIONALE RECHTSHILFE IN STRAFSACHEN
DATENSCHUTZGESETZ
BUNDESGESETZ ÜBER SCHULDBETREIBUNG UND KONKURS
In Kürze
Die Einhaltung der Datenschutzvorschriften durch den EDÖB ist eine Rechtspflicht, die sich bereits aus der Eigenschaft des EDÖB als Bundesorgan ergibt. Da für den EDÖB keine externe Datenschutzaufsicht vorgesehen ist, verpflichtet der Gesetzgeber den EDÖB zur Selbstkontrolle: Gemäss Art. 48 DSG muss der EDÖB durch geeignete Kontrollmassnahmen sicherstellen, dass ein rechtskonformer Vollzug gewährleistet wird. Art. 40 DSV konkretisiert, dass der EDÖB für sämtliche seiner automatisierten Datenbearbeitungen ein Bearbeitungsreglement erstellen muss ‒ und zwar unabhängig davon, ob er besonders schützenswerte Personendaten bearbeitet oder ein Profiling durchführt. Damit wird sichergestellt, dass die Einhaltung der Datenschutzvorschriften auch innerhalb des EDÖB kontrolliert wird, was die Glaubwürdigkeit des EDÖB als Aufsichtsbehörde gegenüber Dritten stärkt.
I. Allgemeines
1 Art. 48 DSG richtet sich an den EDÖB ‒ jedoch nicht in seiner Funktion als Aufsichtsbehörde, sondern als Bundesorgan, das Personendaten bearbeitet. Es verpflichtet den EDÖB geeignete Kontrollmassnahmen sicherzustellen, um die Datensicherheit im Besonderen und den rechtskonformen Vollzug der bundesrechtlichen Datenschutzvorschriften im Allgemeinen auch innerhalb seiner Institution zu gewährleisten. Da für den EDÖB als Aufsichtsbehörde keine externe Datenschutzaufsicht vorgesehen ist, verpflichtet der Gesetzgeber mit dieser Bestimmung den EDÖB zur Selbstkontrolle bei der Bearbeitung von Personendaten.
2 Der EDÖB bearbeitet Personendaten, inklusive besonders schützenswerte Personendaten, zu folgenden Zwecken (Art. 39 DSV):
zur Ausübung seiner Aufsichtstätigkeiten (lit. a),
zur Ausübung seiner Beratungstätigkeiten (lit. b),
zur Zusammenarbeit mit anderen Behörden (lit. c),
zur Aufgabenerfüllung im Rahmen der Strafbestimmungen des DSG (lit. d),
zur Erfüllung seiner Aufgaben gemäss dem Öffentlichkeitsgesetz (lit. e-g),
zur Information der parlamentarischen Aufsicht (lit. h), zur Information der Öffentlichkeit (lit. i) und zur Ausübung seiner Schulungstätigkeiten (lit. j).
Der EDÖB bearbeitet Personendaten sowohl in seiner Funktion als Datenschutzbeauftragter wie auch als Öffentlichkeitsbeauftragter. Konkret führt er insbesondere eine Geschäftsverwaltung (Art. 57h RVOG), ein Personaladministrationssystem, eine Liste der Datenschutzberater (Art. 10 Abs. 3 lit. d DSG; Art. 10 Abs. 4 DSG i.V.m. Art. 27 Abs. 2 DSV), das Verzeichnis der Bearbeitungstätigkeiten der Bundesorgane (Art. 12 Abs. 4 DSG) sowie ein Meldeportal für Verletzungen der Datensicherheit (Art. 24 DSG).
3 Der EDÖB selbst untersteht keiner externen Datenschutzaufsicht, darum wird er zur Selbstkontrolle verpflichtet.
4 Als Bundesorgan ist der EDÖB neben den allgemeinen Bestimmungen in Art. 5-13 und 16-29 an die besonderen Bestimmungen zur Datenbearbeitung durch Bundesorgane gemäss Art. 33 ff. DSG gebunden.
5 Die Bestimmung in Art. 48 DSG zur Selbstkontrolle des EDÖB wurde mit der Totalrevision vom 25. September 2020 (Inkrafttreten am 1. September 2023) ins Bundesgesetz über den Datenschutz aufgenommen.
II. Kontrollmassnahmen
A. Datensicherheit im Besonderen
6 Art. 48 DSG verpflichtet den EDÖB dazu, geeignete Kontrollmassnahmen einzurichten, um die Datensicherheit innerhalb seiner eigenen Institution zu garantieren. Als Verletzung der Datensicherheit gilt gemäss Art. 5 lit. h DSG «eine Verletzung der Sicherheit, die dazu führt, dass Personendaten unbeabsichtigt oder widerrechtlich verlorengehen, gelöscht, vernichtet oder verändert werden oder Unbefugten offengelegt oder zugänglich gemacht werden».
7 Die Verpflichtung zur Gewährleistung der Datensicherheit für den EDÖB ergibt sich in allgemeiner Weise bereits aus Art. 8 DSG.
8 Der Bundesrat hat vor diesem Hintergrund in Art. 40 DSV die Verpflichtung des EDÖB zur Selbstkontrolle konkretisiert.
9 Art. 40 DSV nennt neben der Verpflichtung zur Erstellung eines Bearbeitungsreglements keine weiteren Massnahmen im Rahmen der Selbstkontrolle des EDÖB.
B. Rechtskonformer Vollzug der Datenschutzvorschriften im Allgemeinen
10 Art. 48 DSG verpflichtet den EDÖB Kontrollmassnahmen einzurichten, die den rechtskonformen Vollzug der bundesrechtlichen Datenschutzvorschriften sicherstellen. Diese Verpflichtung geht über die Erstellung und Umsetzung eines Bearbeitungsreglements im Sinne von Art. 40 DSV hinaus. Sie verlangt insbesondere, dass die geplanten Datenbearbeitungen regelmässig auf ihre Konformität mit den bundesrechtlichen Datenschutzvorschriften geprüft werden.
11 Im Gegensatz zur Pflicht, ein Bearbeitungsreglement zu erstellen, sind jedoch darüber hinaus gehende Kontrollmassnahmen nur verlangt, sofern diese einerseits geeignet sind, die Einhaltung der Datenschutzvorschriften sicherzustellen und anderseits zum Datenmissbrauchsrisiko und der Gefährdung der Grundrechte der betroffenen Person in einem angemessenen Verhältnis stehen. Konkret darf die Verpflichtung des EDÖB nicht dazu führen, dass seine gesetzlichen Aufgaben im Rahmen der Aufsicht und Beratung verunmöglicht oder unverhältnismässig erschwert werden. Dies gesagt, kann der EDÖB die notwendigen personellen Ressourcen, die im Rahmen der Selbstkontrolle anfallen, im Rahmen seines Budgetantrags berücksichtigen.
Die vertretene Auffassung widerspiegelt die persönliche Meinung der Autorenschaft und bindet nicht das Bundesamt für Justiz.
Literaturverzeichnis
Baeriswyl Bruno, Kommentierung zu Art. 48 DSG, in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Datenschutzgesetz, Stämpflis Handkommentar, 2. Aufl., Bern 2023.
Petermann Büttler Judith, Kommentierung zu Art. 48 DSG, in: Bieri Adrian/Powell Julian (Hrsg.), Datenschutzgesetz, Orell Füssli Kommentar, Zürich 2023.
Materialienverzeichnis
Botschaft des Bundesrates vom 15.9.2017 zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz (BBl 2017 S. 6941).
Erläuternder Bericht des BJ zur Datenschutzverordnung DSV vom 31. 8.2022.