Eine Kommentierung von Michael Reinle
Herausgegeben von Thomas Steiner / Anne-Sophie Morand / Daniel Hürlimann
2. Abschnitt:
Untersuchung von Verstössen gegen Datenschutzvorschriften
Art. 49 Untersuchung
1 Der EDÖB eröffnet von Amtes wegen oder auf Anzeige hin eine Untersuchung gegen ein Bundesorgan oder eine private Person, wenn genügend Anzeichen bestehen, dass eine Datenbearbeitung gegen die Datenschutzvorschriften verstossen könnte.
2 Er kann von der Eröffnung einer Untersuchung absehen, wenn die Verletzung der Datenschutzvorschriften von geringfügiger Bedeutung ist.
3 Das Bundesorgan oder die private Person erteilt dem EDÖB alle Auskünfte und stellt ihm alle Unterlagen zur Verfügung, die für die Untersuchung notwendig sind. Das Auskunftsverweigerungsrecht richtet sich nach den Artikeln 16 und 17 des VwVG, sofern Artikel 50 Absatz 2 des vorliegenden Gesetzes nichts anderes bestimmt.
4 Hat die betroffene Person Anzeige erstattet, so informiert der EDÖB sie über die gestützt darauf unternommenen Schritte und das Ergebnis einer allfälligen Untersuchung.
In Kürze
Diese Bestimmung ist im Hinblick auf die Stärkung der Kompetenzen des EDÖB von entscheidender Bedeutung. Wichtig sind insbesondere die Mitwirkungspflichten der Bundesorgane und privaten Personen im Rahmen der Untersuchung. Neu und ebenfalls bedeutsam ist, dass der EDÖB gegenüber privaten Personen eine Untersuchung eröffnen kann, wenn genügend Anzeichen für einen Verstoss gegen Datenschutzvorschriften bestehen. Unter dem früheren DSG war die Untersuchungskompetenz gegenüber privaten Personen eingeschränkter.
I. Allgemeines
A. Normzweck und Hintergrund
1 Während Art. 4 DSG in allgemeiner Form festhält, dass dem EDÖB die Aufsicht über die Anwendung der bundesrechtlichen Datenschutzvorschriften obliegt, regelt Art. 49 DSG eine der wichtigsten Kompetenzen des EDÖB im Zusammenhang mit dieser Aufsicht, nämlich die Untersuchung von möglichen Datenschutzverletzungen durch Bundesorgane und private Personen.
2 Eines der wichtigsten Ziele der Revision des DSG war es, die Kontrollkompetenzen des EDÖB zu verstärken.
3 Zudem lagen die bisherigen Untersuchungsbefugnisse des EDÖB unter den internationalen Vorgaben, weshalb befürchtet wurde, dass ohne eine Verstärkung der Untersuchungskompetenzen des EDÖB ein positiver Angemessenheitsbeschluss der EU in Gefahr stehen könnte.
B. Entstehungsgeschichte
4 Im Normkonzept zur Revision des Datenschutzgesetzes wurde die Stärkung der Kompetenzen des EDÖB als eine der Kernforderungen bei der Revision des DSG statuiert und u.a. die Einführung eines Vorabklärungsverfahrens sowie die Verstärkung der Untersuchungsbefugnisse diskutiert.
5 In Art. 41 VE-DSG wurden verschiedene Massnahmen aus dem Normkonzept umgesetzt: So wurden die Untersuchungskompetenzen gegenüber Bundesorganen und privaten Personen, welche bis dahin in Art. 27 und Art. 29 aDSG enthalten waren, in einer Bestimmung zusammengefasst, und das informelle Vorabklärungsverfahren geregelt. Während Art. 29 aDSG gegenüber privaten Personen die Eröffnung von Untersuchungen nur unter eingeschränkten Voraussetzungen erlaubte, sollten diese Einschränkungen künftig gestrichen werden. Dies wurde auch damit begründet, dass die bisherigen Einschränkungen in Art. 29 aDSG die Anforderungen des E-SEV 108 nicht erfüllen würden.
6 Art. 43 E-DSG orientierte sich inhaltlich an Art. 41 VE-DSG. Allerdings wurde auf die Nennung des Vorabklärungsverfahrens verzichtet. Auch wurden die in Art. 41 Abs. 3 VE-DSG explizit genannten Untersuchungsmassnahmen weggelassen bzw. in eine andere Bestimmung kopiert. In der Botschaft zur DSG-Revision wurde wiederum betont, dass die Neuregelung der Untersuchungskompetenzen des EDÖB wichtig sei, weil dessen Überwachungskompetenzen gegenüber dem Privatsektor die Anforderungen des E-SEV 108 aktuell nicht erfüllen würden.
7 Art. 43 E-DSG war Gegenstand der parlamentarischen Beratungen. Im Nationalrat konzentrierte sich die Diskussion vor allem auf die Voraussetzungen für die Eröffnung einer Untersuchung. Die Minderheit «Romano» wollte die Mindestanforderungen zur Eröffnung einer Untersuchung anheben.
8 Der Ständerat schloss sich betreffend Art. 43 Abs. 1 E-DSG dem Entscheid des Nationalrates an. Diskutiert wurde im Ständerat primär Art. 43 Abs. 3 E-DSG. Es ging bei der Debatte um den Schutz des Berufsgeheimnisses. Obwohl Art. 43 Abs. 3 E-DSG das Berufsgeheimnis z. B. von Anwälten und Ärzten bereits schützen würde, beantragte die Kommission des Ständerates den Vorbehalt des Berufsgeheimnisses nochmals explizit zu erwähnen.
II. Untersuchung
A. Unterschied zum bisherigen Recht
9 Bis anhin wurden Untersuchungen gegen Bundesorgane sowie private Personen in unterschiedlichen Bestimmungen geregelt (Art. 27 und 29 aDSG). Unterschiedlich waren auch die Anforderungen für die Eröffnung einer Untersuchung. Art. 27 Abs. 2 aDSG sah für die Eröffnung von Untersuchungen gegen Bundesorgane keine besondere Schwelle vor. Nach Art. 29 Abs. 1 aDSG durfte der EDÖB dagegen gegen private Personen nur Untersuchungen eröffnen, wenn die Bearbeitungsmethoden geeignet waren, die Persönlichkeit einer grösseren Anzahl von Personen zu verletzen (Systemfehler), Datensammlungen registriert werden mussten oder eine Informationspflicht nach Art. 6 Abs. 3 aDSG bestand. Diese Anforderungen in Art. 29 Abs. 1 aDSG erfüllten die internationalen Standards jedoch nicht.
10 Neu werden die früheren Anforderungen an die Eröffnung einer Untersuchung gegenüber privaten Personen gestrichen. Zudem gelten einheitliche Regeln für die Eröffnung von Untersuchungen gegen Bundesorgane und private Personen. Dies führt zu einer Stärkung des EDÖB.
B. Eröffnung der Untersuchung (Abs. 1)
11 Nach Art. 49 Abs. 1 DSG eröffnet der EDÖB von Amtes wegen oder auf Anzeige hin eine Untersuchung, wenn genügend Anzeichen bestehen, dass eine Datenbearbeitung gegen die Datenschutzvorschriften verstossen könnte.
12 Die Anzeige kann durch einen Dritten oder durch die betroffene Person erfolgen, d.h. grundsätzlich durch jedermann.
13 Der EDÖB kann auch aktiv werden, wenn in Pressemitteilungen über mögliche Datenschutzverletzungen berichtet wird,
14 Mit Datenschutzvorschriften im Sinne von Art. 4 Abs. 1 DSG sind nicht nur die Vorschriften des DSG gemeint, sondern auch die bereichsspezifischen Datenschutzvorschriften des Bundes.
15 Eine Untersuchung darf nur eröffnet werden, wenn genügend Anzeichen für einen Verstoss gegen Datenschutzvorschriften bestehen. Diese Anforderung wurde vom Parlament eingebracht (siehe N. 7 vorangehend). Aufgrund der parlamentarischen Beratung lassen sich keine allzu klaren Vorgaben dafür finden, was als genügendes Anzeichen zu gelten hat. Eine Minderheit des Nationalrates wollte Art. 43 E-DSG folgendermassen ausgestalten: «Bei begründetem Verdacht eröffnet der Beauftragte von Amtes wegen oder auf begründete Anzeige hin eine Untersuchung gegen ein Bundesorgan oder eine private Person, wenn eindeutige Hinweise bestehen, dass eine Datenbearbeitung gegen die Datenschutzvorschriften verstossen könnte.»
C. Verzicht auf Untersuchung (Abs. 2)
16 Nach Art. 49 Abs. 2 DSG kann der EDÖB auf eine formelle Untersuchung verzichten, wenn die Verletzung der Datenschutzvorschriften von geringfügiger Bedeutung ist. Gemäss Botschaft wäre dies z.B. der Fall, wenn ein Sport- oder Kulturverein sämtlichen Mitgliedern eine E-Mail-Nachricht sendet, ohne die Identität der Empfängerinnen und Empfänger zu verbergen.
17 Gemäss Rosenthal soll ein Verzicht auch möglich sein, wenn bei Data-Breach-Meldungen klar ist, dass die Verletzung nicht gravierend ist oder der Verantwortliche die Sache im Griff hat.
18 Gegen einen Verzicht spricht dagegen, falls die fraglichen Datenbearbeitungen eine grössere Anzahl von Personen betreffen und demnach ein allgemeines Interesse der Öffentlichkeit besteht.
19 Der EDÖB soll handeln, wenn in seinen Augen ein ausreichendes öffentliches Interesse für eine Untersuchung vorliegt. Er soll dagegen auf eine Untersuchung verzichten, wenn nur die Privatsphäre einer Einzelperson betroffen ist.
20 Art. 49 Abs. 1 i.V.m. Abs. 2 DSG ist eine «Kann-Bestimmung», welche dem EDÖB einen gewissen Handlungsspielraum bei der Entscheidung offen lässt, ob er eine Untersuchung eröffnet oder darauf verzichtet.
21 Der EDÖB hat bereits klargestellt, dass er wie bis anhin informelle Kontaktnahmen, d.h. Vorabklärungen, durchführen werde.
D. Mitwirkungspflichten (Abs. 3)
22 Art. 49 Abs. 3 DSG regelt die Mitwirkungspflichten der privaten Person und des Bundesorgans bei einer formellen Untersuchung des EDÖB, wobei mehrheitlich die Regelungen nach den Art. 27 Abs. 3 und 29 Abs. 2 aDSG übernommen wurden.
23 Die Verfahrenspartei hat dem EDÖB sämtliche Auskünfte zu erteilen und alle Unterlagen zur Verfügung zu stellen, welche dieser für die Untersuchung benötigt.
24 Nach Art. 49 Abs. 3 DSG müssen die Bundesorgane und die private Person mitwirken. Wie nach bisherigem Recht kann der EDÖB auch die hauptverantwortlichen Datenbearbeiter/-innen beim betreffenden Bundesorgan oder der betreffenden privaten Person sowie andere Mitarbeitende, Auftragsbearbeiter, Hilfspersonen sowie Dritte, welche an der zu untersuchenden Datenbearbeitung beteiligt sind oder darüber sachdienliche Auskünfte erteilen können, zur Mitwirkung verpflichten.
25 Die Mitwirkungspflichten nach Art. 49 Abs. 3 DSG können sich auf Informationen zu einem konkreten Fall beziehen, aber auch grundsätzlicher Natur sein.
26 Damit sich die zur Mitwirkung verpflichteten Personen nicht selbst belasten müssen, bestehen auch bei der Untersuchung durch den EDÖB Auskunftsverweigerungsrechte.
27 Art. 16 Abs. 1 VwVG verweist betreffend Zeugnisverweigerungsrecht auf Art. 42 Abs. 1 und 3 des Bundesgesetzes vom 4. Dezember 1947 über den Bundeszivilprozess. Nach Art. 42 Abs. 1 und 3 Bundeszivilprozessgesetz können die befragten Personen das Zeugnis verweigern, wenn die Beantwortung der Frage sie der Gefahr der strafgerichtlichen Verfolgung aussetzen kann. Dabei geht es um Personen, die einer gesetzlichen Geheimhaltungspflicht nach Art. 321, 321bis und 321ter StGB unterliegen. Dies führt dazu, dass Ärztinnen und Ärzte sich weigern können, dem EDÖB Personendaten über ihre Patientinnen und Patienten zu liefern, falls die Patientinnen und Patienten dieser Herausgabe nicht zustimmen.
28 Vorbehalten bleibt eine abweichende Regelung in Art. 50 Abs. 2 DSG. Dieser hält einzig fest, dass das Berufsgeheimnis vorbehalten bleibt. Dieser Vorbehalt wurde in der parlamentarischen Beratung eingefügt (siehe N. 8 vorangehend). Es handelt sich dabei um eine Betonung, welche an sich nicht erforderlich gewesen wäre, da gesetzliche Berufsgeheimnisse bereits über das VwVG berücksichtigt werden.
29 Amtsgeheimnisse können dem EDÖB nicht entgegen gehalten werden.
30 Die zur Mitwirkung verpflichteten Personen können sich auch nicht auf Geschäfts- und Fabrikationsgeheimnisse oder vertragliche Geheimhaltungspflichten berufen.
31 Bei informellen Vorabklärungen vor Eröffnung einer formellen Untersuchung müssen private Personen dem EDÖB keine Auskunft erteilen.
32 Dabei gilt es zu beachten, dass Unterlagen, welche dem EDÖB im Zusammenhang mit einer informellen Vorabklärung geliefert werden, dem Öffentlichkeitsgesetz unterliegen. Die informelle Vorabklärung fällt nicht unter Art. 3 BGÖ. Der EDÖB kann nach eigener Aussage auch keine Einschränkung oder Verweigerung der Einsicht durch Dritte nach Art. 7 BGÖ zusichern. Besonders vertrauliche Informationen sowie z.B. auch Personendaten von Dritten sind daher vor der Herausgabe zu bearbeiten. Zudem kann es sich empfehlen, bei besonders vertraulichen Informationen, z.B. Informationen über Datensicherheitsmassnahmen, die Informationen nicht schriftlich an den EDÖB zu liefern, sondern ihm die Informationen vor Ort bei einem Augenschein mündlich vorzutragen oder ihm z.B. anlässlich einer Videokonferenz mit geteiltem Bildschirm zu zeigen.
E. Information der betroffenen Person (Abs. 4)
33 Die betroffene Person ist nicht Verfahrenspartei (Art. 52 Abs. 2 DSG e contrario). Dies gilt auch dann, wenn die betroffene Person Anzeige erstattet hat. Die betroffene Person hat daher keinen Anspruch auf Akteneinsicht.
34 Nach Art. 49 Abs. 4 DSG muss der EDÖB die betroffene Person, sofern sie Anzeige erstattet hat, immerhin über sein weiteres Vorgehen und das Ergebnis einer allfälligen Untersuchung informieren.
35 Die betroffene Person kann sodann ihre Rechte mit den anwendbaren Rechtsmitteln geltend machen, d. h. sie kann bei einem Zivilgericht Klage erheben, wenn der Verantwortliche eine private Person ist, oder sie kann gegen den Entscheid des verantwortlichen Bundesorgans Beschwerde erheben.
Literatur
Rudin Beat, Kommentierung zu Art. 2 DSG, in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Datenschutzgesetz, Stämpflis Handkommentar, 2. Aufl., Bern 2022.
Baeriswyl Bruno, Kommentierung zu Art. 27 und Art. 29 DSG, in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Datenschutzgesetz, Stämpflis Handkommentar, 2. Aufl., Bern 2022.
Waldmann Bernhard/Oeschger Magnus, in: Belser Eva Maria/Epiney Astrid/Waldmann Bernhard, Datenschutzrecht – Grundlagen und öffentliches Recht, Bern 2011.
Bieri Adrian/Powell Julian, Die Totalrevision des Bundesgesetzes über den Datenschutz - Übersicht der wichtigsten Neuerungen für Unternehmen, Jusletter vom 16.11.2020.
Huber René, Kommentierung zu Art. 27 und Art. 29 DSG, in: Maurer-Lambrou Urs/Blechta Gabor-Paul (Hrsg.), Datenschutzgesetz/Öffentlichkeitsgesetz, Basler Kommentar, 3. Aufl., Basel 2014.
Reudt-Demont Janine/Gordon Clara-Ann/Egli Luisa, Das revidierte Datenschutzgesetz, LSR 2021, S. 264–269.
Jöhri Yvonne, Kommentierung zu Art. 27 DSG, in: Rosenthal David/Jöhri Yvonne (Hrsg.), Handkommentar zum Datenschutzgesetz sowie weiteren, ausgewählten Bestimmungen, Zürich 2008.
Rosenthal David, Kommentierung zu Art. 29 DSG, in: Rosenthal David/Jöhri Yvonne (Hrsg.), Handkommentar zum Datenschutzgesetz sowie weiteren, ausgewählten Bestimmungen, Zürich 2008.
Rosenthal David, Das neue Datenschutzgesetz, Jusletter vom 16.11.2020.
Materialien
Botschaft zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz vom 15.9.2017, BBI 2017 S. 6941 ff., abrufbar unter https://fedlex.data.admin.ch/filestore/fedlex.data.admin.ch/eli/fga/2017/2057/de/pdf-x/fedlex-data-admin-ch-eli-fga-2017-2057-de-pdf-x.pdf, besucht am 30.3.2023.
Fussnoten
- BJ, Normkonzept zur Revision des Datenschutzgesetzes, Bericht der Begleitgruppe Revision DSG vom 29.10.2014, S. 9 f.
- BJ, Erläuternder Bericht zum Vorentwurf für das Bundesgesetz über die Totalrevision des Datenschutzgesetzes und die Änderung weiterer Erlasse zum Datenschutz vom 21.12.2016, S. 77 f.
- BJ, Normkonzept zur Revision des Datenschutzgesetzes, Bericht der Begleitgruppe Revision DSG vom 29.10.2014, S. 41 ff.
- BJ, Erläuternder Bericht zum Vorentwurf für das Bundesgesetz über die Totalrevision des Datenschutzgesetzes und die Änderung weiterer Erlasse zum Datenschutz vom 21.12.2016, S. 77.
- BJ, Erläuternder Bericht zum Vorentwurf für das Bundesgesetz über die Totalrevision des Datenschutzgesetzes und die Änderung weiterer Erlasse zum Datenschutz vom 21.12.2016, S. 78.
- BJ, Vorentwurf für das Bundesgesetz über die Totalrevision des Datenschutzgesetzes und die Änderung weiterer Erlasse zum Datenschutz – Zusammenfassung der Ergebnisse des Vernehmlassungsverfahrens vom 10.8.2017, S. 45 ff.
- Botschaft 2017, S. 7090.
- Votum Romano, AB 2019 NR S. 1821.
- Votum Wermuth, AB 2019 NR S. 1820; Votum Flach, AB 2019 NR S. 1821.
- Votum Keller-Sutter, AB 2019 BR S. 1823.
- Votum Keller-Sutter, AB 2019 BR S. 1824.
- AB 2019 NR S. 1828.
- Votum Fässler, AB 2019 SR S. 1247.
- Votum Keller-Sutter, AB 2019 BR S. 1247.
- AB 2019 SR S. 1247.
- AB 2020 NR S. 154.
- Botschaft 2017, S. 7090.
- Bieri/Powell, Jusletter 16.11.2020, Rz. 27; Reudt-Demont/Gordon/Egli, S. 268 f.; siehe auch EDÖB, Das neue Datenschutzgesetz aus Sicht des EDÖB, 9.2.2021, S. 7.
- Jöhri, Art. 27 DSG N. 6.
- BSK-Huber, Art. 27 DSG N. 6; Jöhri, Art. 27 DSG N.6.
- Rosenthal, Jusletter 16.11.2020, Rz. 182.
- Siehe z.B. die Vorabklärungen in Sachen Mitto AG, welche durch Pressemitteilungen ausgelöst wurden, EDÖB, Pressemitteilung vom 20.3.2023.
- BSK-Huber, Art. 27 DSG N. 5; Jöhri, Art. 27 DSG N.5; SHK-Baeriswyl, Art. 27 DSG N. 15.
- Siehe hierzu SHK-Rudin, Art. 2 DSG N. 6.
- AB 2019 NR S. 1828.
- AB 2019 NR S. 1828.
- Votum Keller-Sutter, AB 2019 BR S. 1823.
- Votum Keller-Sutter, AB 2019 BR S. 1824.
- Votum Wermuth, AB 2019 NR S. 1820; Votum Flach, AB 2019 NR S. 1821.
- Botschaft 2017, S. 7090.
- Botschaft 2017, S. 7090.
- Rosenthal, Jusletter 16.11.2020, Rz. 182.
- BJ, Erläuternder Bericht zum Vorentwurf für das Bundesgesetz über die Totalrevision des Datenschutzgesetzes und die Änderung weiterer Erlasse zum Datenschutz vom 21.12.2016, S. 78.
- BJ, Erläuternder Bericht zum Vorentwurf für das Bundesgesetz über die Totalrevision des Datenschutzgesetzes und die Änderung weiterer Erlasse zum Datenschutz vom 21.12.2016, S. 78; siehe bereits unter 27a DSG; Waldmann/Oeschger, § 15 N. 14; SHK-Baeriswyl, Art. 27 DSG N. 21; Jöhri, Art. 27 DSG N. 6.
- BJ, Erläuternder Bericht zum Vorentwurf für das Bundesgesetz über die Totalrevision des Datenschutzgesetzes und die Änderung weiterer Erlasse zum Datenschutz vom 21.12.2016, S. 78.
- BJ, Erläuternder Bericht zum Vorentwurf für das Bundesgesetz über die Totalrevision des Datenschutzgesetzes und die Änderung weiterer Erlasse zum Datenschutz vom 21.12.2016, S. 78.
- BJ, Erläuternder Bericht zum Vorentwurf für das Bundesgesetz über die Totalrevision des Datenschutzgesetzes und die Änderung weiterer Erlasse zum Datenschutz vom 21.12.2016, S. 78.
- Zum bisherigen Recht Waldmann/Oeschger, § 15 N. 14; BSK-Huber, Art. 27 DSG N. 6a; Rosenthal, Art. 29 DSG N. 10.
- EDÖB, Das neue Datenschutzgesetz aus Sicht des EDÖB, 9.2.2021, S. 7.
- Siehe auch EDÖB, 28. Tätigkeitsbericht 2020/21, S. 25 f.
- Botschaft 2017, S. 7090.
- Botschaft 2017, S. 7090.
- Rosenthal, Jusletter 16.11.2020, Rz. 184.
- BSK-Huber, Art. 27 DSG N. 9; Jöhri, Art. 27 DSG N. 8; Rosenthal, Art. 29 DSG N. 14.
- BSK-Huber, Art. 27 DSG N. 9; Jöhri, Art. 27 DSG N. 9.
- z.B. Datenflussschemata, organisatorische und technische Massnahmen zur Datensicherheit, Prozessdokumen-, Art. 29 DSG N. 16 m.w.Bsp.; siehe auch BSK-Huber,, Art. 29 DSG N. 21; SHK-Baeriswyl, Art. 27 DSG N. 26.
- Jöhri, Art. 27 DSG N. 10.
- Botschaft 2017, S. 7091.
- Botschaft 2017, S. 7091.
- Siehe auch Votum Keller-Sutter, AB 2019 BR S. 1247.
- SHK-Baeriswyl, Art. 27 DSG N. 33; Jöhri, Art. 27 DSG N. 11.
- Jöhri, Art. 27 DSG N. 11.
- Waldmann/Oeschger, § 15 N. 26; BSK-Huber, Art. 27 DSG N. 11; SHK-Baeriswyl, Art. 27 DSG N. 30; Jöhri, Art. 27 DSG N. 11.
- SHK-Baeriswyl, Art. 29 DSG N. 36; Rosenthal, Art. 29 DSG N. 17.
- Rosenthal, Jusletter 16.11.2020, Rz. 184; zur Praxis des EDÖB unter bisherigem Recht BSK-Huber, Art. 29, Art. 29 DSG N. 13.
- Botschaft 2017, S. 7090.
Kommentar drucken
DOI (Digital Object Identifier)
Creative Commons Lizenz
Onlinekommentar.ch, Kommentierung zu Art. 49 DSG ist lizenziert unter einer Creative Commons Namensnennung 4.0 International Lizenz.