In Kürze

Die Einhaltung der Datenschutzvorschriften durch den EDÖB ist eine Rechtspflicht, die sich bereits aus der Eigenschaft des EDÖB als Bundesorgan ergibt. Da für den EDÖB keine externe Datenschutzaufsicht vorgesehen ist, verpflichtet der Gesetzgeber den EDÖB zur Selbstkontrolle: Gemäss Art. 48 DSG muss der EDÖB durch geeignete Kontrollmassnahmen sicherstellen, dass ein rechtskonformer Vollzug gewährleistet wird. Art. 40 DSV konkretisiert, dass der EDÖB für sämtliche seiner automatisierten Datenbearbeitungen ein Bearbeitungsreglement erstellen muss ‒ und zwar unabhängig davon, ob er besonders schützenswerte Personendaten bearbeitet oder ein Profiling durchführt. Damit wird sichergestellt, dass die Einhaltung der Datenschutzvorschriften auch innerhalb des EDÖB kontrolliert wird, was die Glaubwürdigkeit des EDÖB als Aufsichtsbehörde gegenüber Dritten stärkt.

I. Allgemeines

1 Art. 48 DSG richtet sich an den EDÖB ‒ jedoch nicht in seiner Funktion als Aufsichtsbehörde, sondern als Bundesorgan, das Personendaten bearbeitet. Es verpflichtet den EDÖB geeignete Kontrollmassnahmen sicherzustellen, um die Datensicherheit im Besonderen und den rechtskonformen Vollzug der bundesrechtlichen Datenschutzvorschriften im Allgemeinen auch innerhalb seiner Institution zu gewährleisten. Da für den EDÖB als Aufsichtsbehörde keine externe Datenschutzaufsicht vorgesehen ist, verpflichtet der Gesetzgeber mit dieser Bestimmung den EDÖB zur Selbstkontrolle bei der Bearbeitung von Personendaten.

2 Der EDÖB bearbeitet Personendaten, inklusive besonders schützenswerte Personendaten, zu folgenden Zwecken (Art. 39 DSV):

• zur Ausübung seiner Aufsichtstätigkeiten (lit. a),

• zur Ausübung seiner Beratungstätigkeiten (lit. b),

• zur Zusammenarbeit mit anderen Behörden (lit. c),

• zur Aufgabenerfüllung im Rahmen der Strafbestimmungen des DSG (lit. d),

• zur Erfüllung seiner Aufgaben gemäss dem Öffentlichkeitsgesetz (lit. e-g),

• zur Information der parlamentarischen Aufsicht (lit. h), zur Information der Öffentlichkeit (lit. i) und zur Ausübung seiner Schulungstätigkeiten (lit. j).

Der EDÖB bearbeitet Personendaten sowohl in seiner Funktion als Datenschutzbeauftragter wie auch als Öffentlichkeitsbeauftragter. Konkret führt er insbesondere eine Geschäftsverwaltung (Art. 57h RVOG), ein Personaladministrationssystem, eine Liste der Datenschutzberater (Art. 10 Abs. 3 lit. d DSG; Art. 10 Abs. 4 DSG i.V.m. Art. 27 Abs. 2 DSV), das Verzeichnis der Bearbeitungstätigkeiten der Bundesorgane (Art. 12 Abs. 4 DSG) sowie ein Meldeportal für Verletzungen der Datensicherheit (Art. 24 DSG).

Der EDÖB dürfte namentlich im Rahmen seiner gesetzlichen Aufgaben insbesondere Personendaten seiner Mitarbeitenden, Personendaten von anderen Bundesangestellten, sowie Daten von Dritten, inklusive Daten juristischer Personen (Art. 57r RVOG) bearbeiten.

3 Der EDÖB selbst untersteht keiner externen Datenschutzaufsicht, darum wird er zur Selbstkontrolle verpflichtet.

Die Bestimmung in Art. 48 DSG verdeutlicht, dass auch der EDÖB als Aufsichtsbehörde im Bereich des Datenschutzes nicht über dem Datenschutzrecht steht und die Einhaltung der Vorschriften auch innerhalb seiner eigenen Behörde sicherstellen muss. Eine externe Kontrolle des EDÖB würde seine Unabhängigkeit gemessen am eher geringen Risiko des Datenmissbrauchs auf unverhältnismässige Weise beschränken.

4 Als Bundesorgan ist der EDÖB neben den allgemeinen Bestimmungen in Art. 5-13 und 16-29 an die besonderen Bestimmungen zur Datenbearbeitung durch Bundesorgane gemäss Art. 33 ff. DSG gebunden.

Art. 48 DSG sieht vor, dass der EDÖB für die Einhaltung dieser Verpflichtungen geeignete Kontrollmassnahmen vorsehen muss. Diese Verpflichtung zur Selbstkontrolle ist dem Umstand geschuldet, dass eine entsprechende externe Datenschutzaufsicht für den EDÖB fehlt. Die primären Verpflichtungen unterscheiden sich somit nicht von denjenigen anderer Bundesorgane; Art. 48 DSG betrifft lediglich die Verpflichtungen des EDÖB zur Kontrolle hinsichtlich der Einhaltung dieser primären Verpflichtungen. Der EDÖB hat insbesondere all diejenigen Kontrollmassnahmen zu ergreifen, die er üblicherweise im Rahmen seiner Aufsichtstätigkeit gegenüber anderen Bundesorganen durchführt, soweit diese sich auch bei der Selbstkontrolle als geeignet erweisen. Damit wird die Glaubwürdigkeit des EDÖB in seiner Aufsichtstätigkeit gegenüber Bundesorganen und Privaten gestärkt.

5 Die Bestimmung in Art. 48 DSG zur Selbstkontrolle des EDÖB wurde mit der Totalrevision vom 25. September 2020 (Inkrafttreten am 1. September 2023) ins Bundesgesetz über den Datenschutz aufgenommen.

II. Kontrollmassnahmen

A. Datensicherheit im Besonderen

6 Art. 48 DSG verpflichtet den EDÖB dazu, geeignete Kontrollmassnahmen einzurichten, um die Datensicherheit innerhalb seiner eigenen Institution zu garantieren. Als Verletzung der Datensicherheit gilt gemäss Art. 5 lit. h DSG «eine Verletzung der Sicherheit, die dazu führt, dass Personendaten unbeabsichtigt oder widerrechtlich verlorengehen, gelöscht, vernichtet oder verändert werden oder Unbefugten offengelegt oder zugänglich gemacht werden».

7 Die Verpflichtung zur Gewährleistung der Datensicherheit für den EDÖB ergibt sich in allgemeiner Weise bereits aus Art. 8 DSG.

Verantwortliche und Auftragsbearbeiter müssen entsprechend dieser Bestimmung durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit gewährleisten. Die eingerichteten Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit nicht nur nachträglich festzustellen, sondern präventiv zu vermeiden. Die Datensicherheit wird in der DSV konkretisiert. Insbesondere Art. 3 DSV nennt eine Reihe von technischen und organisatorischen Massnahmen, um die Ziele der Datensicherheit nach Art. 2 DSV zu erreichen, wie beispielsweise die Zugriffs-, Zugangs-, Benutzer-, Eingabe- und Bekanntgabe-Kontrolle. Das Bearbeitungsreglement für Bundesorgane gemäss Art. 6 DSV dient ebenfalls als ein Mittel zur Sicherstellung der Datensicherheit.

8 Der Bundesrat hat vor diesem Hintergrund in Art. 40 DSV die Verpflichtung des EDÖB zur Selbstkontrolle konkretisiert.

Der EDÖB muss für sämtliche automatisierten Bearbeitungen ein Bearbeitungsreglement erstellen ‒ und zwar unabhängig davon, ob etwa besonders schützenswerte Personendaten bearbeitet werden, ein Profiling durchgeführt wird oder der Bearbeitungszweck oder die Art und Weise der Datenbearbeitung zu einem schwerwiegenden Eingriff in die Grundrechte der betroffenen Person führen können. Art. 40 DSV erklärt nämlich Art. 6 Abs. 1 DSV und die darin enthaltenen Voraussetzungen für die Erstellung eines Bearbeitungsreglements im Fall des EDÖB für nicht anwendbar.

9 Art. 40 DSV nennt neben der Verpflichtung zur Erstellung eines Bearbeitungsreglements keine weiteren Massnahmen im Rahmen der Selbstkontrolle des EDÖB.

In den Erläuterungen zu Art. 40 DSV hält das Bundesamt für Justiz fest, dass der EDÖB wie die anderen Bundesorgane auch entsprechende interne Prozesse vorsehen muss, die das Bearbeitungsreglement umsetzen und die Einhaltung überprüfen. Die gesetzliche Bestimmung in Art. 48 DSG spricht jedoch in allgemeinerer Weise von «geeigneten Kontrollmassnahmen, insbesondere in Bezug auf die Datensicherheit» Die Erstellung, Umsetzung, Überprüfung sowie regelmässige Anpassung des Bearbeitungsreglements gemäss Art. 40 DSV entbindet den EDÖB folglich nicht von seiner generelleren Verpflichtung gemäss Art. 48 DSG weitergehende Kontrollmassnahmen vorzusehen, sofern diese als geeignet und angemessen beurteilt werden.

B. Rechtskonformer Vollzug der Datenschutzvorschriften im Allgemeinen

10 Art. 48 DSG verpflichtet den EDÖB Kontrollmassnahmen einzurichten, die den rechtskonformen Vollzug der bundesrechtlichen Datenschutzvorschriften sicherstellen. Diese Verpflichtung geht über die Erstellung und Umsetzung eines Bearbeitungsreglements im Sinne von Art. 40 DSV hinaus. Sie verlangt insbesondere, dass die geplanten Datenbearbeitungen regelmässig auf ihre Konformität mit den bundesrechtlichen Datenschutzvorschriften geprüft werden.

Gerade im Rahmen des internen Kontrollsystems (IKS) sollte der EDÖB weitere Massnahmen vorsehen, um die Einhaltung der DSG-Vorgaben sicherzustellen.

11 Im Gegensatz zur Pflicht, ein Bearbeitungsreglement zu erstellen, sind jedoch darüber hinaus gehende Kontrollmassnahmen nur verlangt, sofern diese einerseits geeignet sind, die Einhaltung der Datenschutzvorschriften sicherzustellen und anderseits zum Datenmissbrauchsrisiko und der Gefährdung der Grundrechte der betroffenen Person in einem angemessenen Verhältnis stehen. Konkret darf die Verpflichtung des EDÖB nicht dazu führen, dass seine gesetzlichen Aufgaben im Rahmen der Aufsicht und Beratung verunmöglicht oder unverhältnismässig erschwert werden. Dies gesagt, kann der EDÖB die notwendigen personellen Ressourcen, die im Rahmen der Selbstkontrolle anfallen, im Rahmen seines Budgetantrags berücksichtigen.

Die vertretene Auffassung widerspiegelt die persönliche Meinung der Autorenschaft und bindet nicht das Bundesamt für Justiz.

Literaturverzeichnis

Baeriswyl Bruno, Kommentierung zu Art. 48 DSG, in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Datenschutzgesetz, Stämpflis Handkommentar, 2. Aufl., Bern 2023.

Petermann Büttler Judith, Kommentierung zu Art. 48 DSG, in: Bieri Adrian/Powell Julian (Hrsg.), Datenschutzgesetz, Orell Füssli Kommentar, Zürich 2023.

Materialienverzeichnis

Botschaft des Bundesrates vom 15.9.2017 zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz (BBl 2017 S. 6941).

Erläuternder Bericht des BJ zur Datenschutzverordnung DSV vom 31. 8.2022.