-
- Art. 3 BV
- Art. 5a BV
- Art. 6 BV
- Art. 10 BV
- Art. 16 BV
- Art. 17 BV
- Art. 20 BV
- Art. 22 BV
- Art. 29a BV
- Art. 30 BV
- Art. 32 BV
- Art. 42 BV
- Art. 43 BV
- Art. 43a BV
- Art. 55 BV
- Art. 56 BV
- Art. 60 BV
- Art. 68 BV
- Art. 75b BV
- Art. 77 BV
- Art. 96 Abs. 2 lit. a BV
- Art. 110 BV
- Art. 117a BV
- Art. 118 BV
- Art. 123b BV
- Art. 136 BV
- Art. 166 BV
-
- Art. 11 OR
- Art. 12 OR
- Art. 50 OR
- Art. 51 OR
- Art. 84 OR
- Art. 97 OR
- Art. 98 OR
- Art. 99 OR
- Art. 100 OR
- Art. 143 OR
- Art. 144 OR
- Art. 145 OR
- Art. 146 OR
- Art. 147 OR
- Art. 148 OR
- Art. 149 OR
- Art. 150 OR
- Art. 701 OR
- Art. 715 OR
- Art. 715a OR
- Art. 734f OR
- Art. 785 OR
- Art. 786 OR
- Art. 787 OR
- Art. 788 OR
- Art. 808c OR
- Übergangsbestimmungen zur Aktienrechtsrevision vom 19. Juni 2020
-
- Art. 2 BPR
- Art. 3 BPR
- Art. 4 BPR
- Art. 6 BPR
- Art. 10 BPR
- Art. 10a BPR
- Art. 11 BPR
- Art. 12 BPR
- Art. 13 BPR
- Art. 14 BPR
- Art. 15 BPR
- Art. 16 BPR
- Art. 17 BPR
- Art. 19 BPR
- Art. 20 BPR
- Art. 21 BPR
- Art. 22 BPR
- Art. 23 BPR
- Art. 24 BPR
- Art. 25 BPR
- Art. 26 BPR
- Art. 27 BPR
- Art. 29 BPR
- Art. 30 BPR
- Art. 31 BPR
- Art. 32 BPR
- Art. 32a BPR
- Art. 33 BPR
- Art. 34 BPR
- Art. 35 BPR
- Art. 36 BPR
- Art. 37 BPR
- Art. 38 BPR
- Art. 39 BPR
- Art. 40 BPR
- Art. 41 BPR
- Art. 42 BPR
- Art. 43 BPR
- Art. 44 BPR
- Art. 45 BPR
- Art. 46 BPR
- Art. 47 BPR
- Art. 48 BPR
- Art. 49 BPR
- Art. 50 BPR
- Art. 51 BPR
- Art. 52 BPR
- Art. 53 BPR
- Art. 54 BPR
- Art. 55 BPR
- Art. 56 BPR
- Art. 57 BPR
- Art. 58 BPR
- Art. 59a BPR
- Art. 59b BPR
- Art. 59c BPR
- Art. 62 BPR
- Art. 63 BPR
- Art. 67 BPR
- Art. 67a BPR
- Art. 67b BPR
- Art. 73 BPR
- Art. 73a BPR
- Art. 75 BPR
- Art. 75a BPR
- Art. 76 BPR
- Art. 76a BPR
- Art. 90 BPR
-
- Vorb. zu Art. 1 DSG
- Art. 1 DSG
- Art. 2 DSG
- Art. 3 DSG
- Art. 5 lit. d DSG
- Art. 5 lit. f und g DSG
- Art. 6 Abs. 3-5 DSG
- Art. 6 Abs. 6 und 7 DSG
- Art. 7 DSG
- Art. 10 DSG
- Art. 11 DSG
- Art. 12 DSG
- Art. 14 DSG
- Art. 15 DSG
- Art. 19 DSG
- Art. 20 DSG
- Art. 22 DSG
- Art. 23 DSG
- Art. 25 DSG
- Art. 26 DSG
- Art. 27 DSG
- Art. 31 Abs. 2 lit. e DSG
- Art. 33 DSG
- Art. 34 DSG
- Art. 35 DSG
- Art. 38 DSG
- Art. 39 DSG
- Art. 40 DSG
- Art. 41 DSG
- Art. 42 DSG
- Art. 43 DSG
- Art. 44 DSG
- Art. 44a DSG
- Art. 45 DSG
- Art. 46 DSG
- Art. 47 DSG
- Art. 47a DSG
- Art. 48 DSG
- Art. 49 DSG
- Art. 50 DSG
- Art. 51 DSG
- Art. 54 DSG
- Art. 57 DSG
- Art. 58 DSG
- Art. 60 DSG
- Art. 61 DSG
- Art. 62 DSG
- Art. 63 DSG
- Art. 64 DSG
- Art. 65 DSG
- Art. 66 DSG
- Art. 67 DSG
- Art. 69 DSG
- Art. 72 DSG
- Art. 72a DSG
-
- Art. 2 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 3 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 4 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 5 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 6 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 7 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 8 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 9 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 11 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 12 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 25 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 29 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 32 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 33 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 34 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
BUNDESVERFASSUNG
OBLIGATIONENRECHT
BUNDESGESETZ ÜBER DAS INTERNATIONALE PRIVATRECHT
LUGANO-ÜBEREINKOMMEN
STRAFPROZESSORDNUNG
ZIVILPROZESSORDNUNG
BUNDESGESETZ ÜBER DIE POLITISCHEN RECHTE
ZIVILGESETZBUCH
BUNDESGESETZ ÜBER KARTELLE UND ANDERE WETTBEWERBSBESCHRÄNKUNGEN
BUNDESGESETZ ÜBER INTERNATIONALE RECHTSHILFE IN STRAFSACHEN
DATENSCHUTZGESETZ
BUNDESGESETZ ÜBER SCHULDBETREIBUNG UND KONKURS
SCHWEIZERISCHES STRAFGESETZBUCH
CYBERCRIME CONVENTION
HANDELSREGISTERVERORDNUNG
MEDIZINPRODUKTEVERORDNUNG
GELDWÄSCHEREIGESETZ
In Kürze
Diese Bestimmung ist im Hinblick auf die Stärkung der Kompetenzen des EDÖB von entscheidender Bedeutung. Wichtig sind insbesondere die Mitwirkungspflichten der Bundesorgane und privaten Personen im Rahmen der Untersuchung. Neu und ebenfalls bedeutsam ist, dass der EDÖB gegenüber privaten Personen eine Untersuchung eröffnen kann, wenn genügend Anzeichen für einen Verstoss gegen Datenschutzvorschriften bestehen. Unter dem früheren DSG war die Untersuchungskompetenz gegenüber privaten Personen eingeschränkter.
I. Allgemeines
A. Normzweck und Hintergrund
1 Während Art. 4 DSG in allgemeiner Form festhält, dass dem EDÖB die Aufsicht über die Anwendung der bundesrechtlichen Datenschutzvorschriften obliegt, regelt Art. 49 DSG eine der wichtigsten Kompetenzen des EDÖB im Zusammenhang mit dieser Aufsicht, nämlich die Untersuchung von möglichen Datenschutzverletzungen durch Bundesorgane und private Personen.
2 Eines der wichtigsten Ziele der Revision des DSG war es, die Kontrollkompetenzen des EDÖB zu verstärken.
3 Zudem lagen die bisherigen Untersuchungsbefugnisse des EDÖB unter den internationalen Vorgaben, weshalb befürchtet wurde, dass ohne eine Verstärkung der Untersuchungskompetenzen des EDÖB ein positiver Angemessenheitsbeschluss der EU in Gefahr stehen könnte.
B. Entstehungsgeschichte
4 Im Normkonzept zur Revision des Datenschutzgesetzes wurde die Stärkung der Kompetenzen des EDÖB als eine der Kernforderungen bei der Revision des DSG statuiert und u.a. die Einführung eines Vorabklärungsverfahrens sowie die Verstärkung der Untersuchungsbefugnisse diskutiert.
5 In Art. 41 VE-DSG wurden verschiedene Massnahmen aus dem Normkonzept umgesetzt: So wurden die Untersuchungskompetenzen gegenüber Bundesorganen und privaten Personen, welche bis dahin in Art. 27 und Art. 29 aDSG enthalten waren, in einer Bestimmung zusammengefasst, und das informelle Vorabklärungsverfahren geregelt. Während Art. 29 aDSG gegenüber privaten Personen die Eröffnung von Untersuchungen nur unter eingeschränkten Voraussetzungen erlaubte, sollten diese Einschränkungen künftig gestrichen werden. Dies wurde auch damit begründet, dass die bisherigen Einschränkungen in Art. 29 aDSG die Anforderungen des E-SEV 108 nicht erfüllen würden.
6 Art. 43 E-DSG orientierte sich inhaltlich an Art. 41 VE-DSG. Allerdings wurde auf die Nennung des Vorabklärungsverfahrens verzichtet. Auch wurden die in Art. 41 Abs. 3 VE-DSG explizit genannten Untersuchungsmassnahmen weggelassen bzw. in eine andere Bestimmung kopiert. In der Botschaft zur DSG-Revision wurde wiederum betont, dass die Neuregelung der Untersuchungskompetenzen des EDÖB wichtig sei, weil dessen Überwachungskompetenzen gegenüber dem Privatsektor die Anforderungen des E-SEV 108 aktuell nicht erfüllen würden.
7 Art. 43 E-DSG war Gegenstand der parlamentarischen Beratungen. Im Nationalrat konzentrierte sich die Diskussion vor allem auf die Voraussetzungen für die Eröffnung einer Untersuchung. Die Minderheit «Romano» wollte die Mindestanforderungen zur Eröffnung einer Untersuchung anheben.
8 Der Ständerat schloss sich betreffend Art. 43 Abs. 1 E-DSG dem Entscheid des Nationalrates an. Diskutiert wurde im Ständerat primär Art. 43 Abs. 3 E-DSG. Es ging bei der Debatte um den Schutz des Berufsgeheimnisses. Obwohl Art. 43 Abs. 3 E-DSG das Berufsgeheimnis z. B. von Anwälten und Ärzten bereits schützen würde, beantragte die Kommission des Ständerates den Vorbehalt des Berufsgeheimnisses nochmals explizit zu erwähnen.
II. Untersuchung
A. Unterschied zum bisherigen Recht
9 Bis anhin wurden Untersuchungen gegen Bundesorgane sowie private Personen in unterschiedlichen Bestimmungen geregelt (Art. 27 und 29 aDSG). Unterschiedlich waren auch die Anforderungen für die Eröffnung einer Untersuchung. Art. 27 Abs. 2 aDSG sah für die Eröffnung von Untersuchungen gegen Bundesorgane keine besondere Schwelle vor. Nach Art. 29 Abs. 1 aDSG durfte der EDÖB dagegen gegen private Personen nur Untersuchungen eröffnen, wenn die Bearbeitungsmethoden geeignet waren, die Persönlichkeit einer grösseren Anzahl von Personen zu verletzen (Systemfehler), Datensammlungen registriert werden mussten oder eine Informationspflicht nach Art. 6 Abs. 3 aDSG bestand. Diese Anforderungen in Art. 29 Abs. 1 aDSG erfüllten die internationalen Standards jedoch nicht.
10 Neu werden die früheren Anforderungen an die Eröffnung einer Untersuchung gegenüber privaten Personen gestrichen. Zudem gelten einheitliche Regeln für die Eröffnung von Untersuchungen gegen Bundesorgane und private Personen. Dies führt zu einer Stärkung des EDÖB.
B. Eröffnung der Untersuchung (Abs. 1)
11 Nach Art. 49 Abs. 1 DSG eröffnet der EDÖB von Amtes wegen oder auf Anzeige hin eine Untersuchung, wenn genügend Anzeichen bestehen, dass eine Datenbearbeitung gegen die Datenschutzvorschriften verstossen könnte.
12 Die Anzeige kann durch einen Dritten oder durch die betroffene Person erfolgen, d.h. grundsätzlich durch jedermann.
13 Der EDÖB kann auch aktiv werden, wenn in Pressemitteilungen über mögliche Datenschutzverletzungen berichtet wird,
14 Mit Datenschutzvorschriften im Sinne von Art. 4 Abs. 1 DSG sind nicht nur die Vorschriften des DSG gemeint, sondern auch die bereichsspezifischen Datenschutzvorschriften des Bundes.
15 Eine Untersuchung darf nur eröffnet werden, wenn genügend Anzeichen für einen Verstoss gegen Datenschutzvorschriften bestehen. Diese Anforderung wurde vom Parlament eingebracht (siehe N. 7 vorangehend). Aufgrund der parlamentarischen Beratung lassen sich keine allzu klaren Vorgaben dafür finden, was als genügendes Anzeichen zu gelten hat. Eine Minderheit des Nationalrates wollte Art. 43 E-DSG folgendermassen ausgestalten: «Bei begründetem Verdacht eröffnet der Beauftragte von Amtes wegen oder auf begründete Anzeige hin eine Untersuchung gegen ein Bundesorgan oder eine private Person, wenn eindeutige Hinweise bestehen, dass eine Datenbearbeitung gegen die Datenschutzvorschriften verstossen könnte.»
C. Verzicht auf Untersuchung (Abs. 2)
16 Nach Art. 49 Abs. 2 DSG kann der EDÖB auf eine formelle Untersuchung verzichten, wenn die Verletzung der Datenschutzvorschriften von geringfügiger Bedeutung ist. Gemäss Botschaft wäre dies z.B. der Fall, wenn ein Sport- oder Kulturverein sämtlichen Mitgliedern eine E-Mail-Nachricht sendet, ohne die Identität der Empfängerinnen und Empfänger zu verbergen.
17 Gemäss Rosenthal soll ein Verzicht auch möglich sein, wenn bei Data-Breach-Meldungen klar ist, dass die Verletzung nicht gravierend ist oder der Verantwortliche die Sache im Griff hat.
18 Gegen einen Verzicht spricht dagegen, falls die fraglichen Datenbearbeitungen eine grössere Anzahl von Personen betreffen und demnach ein allgemeines Interesse der Öffentlichkeit besteht.
19 Der EDÖB soll handeln, wenn in seinen Augen ein ausreichendes öffentliches Interesse für eine Untersuchung vorliegt. Er soll dagegen auf eine Untersuchung verzichten, wenn nur die Privatsphäre einer Einzelperson betroffen ist.
20 Art. 49 Abs. 1 i.V.m. Abs. 2 DSG ist eine «Kann-Bestimmung», welche dem EDÖB einen gewissen Handlungsspielraum bei der Entscheidung offen lässt, ob er eine Untersuchung eröffnet oder darauf verzichtet.
21 Der EDÖB hat bereits klargestellt, dass er wie bis anhin informelle Kontaktnahmen, d.h. Vorabklärungen, durchführen werde.
D. Mitwirkungspflichten (Abs. 3)
22 Art. 49 Abs. 3 DSG regelt die Mitwirkungspflichten der privaten Person und des Bundesorgans bei einer formellen Untersuchung des EDÖB, wobei mehrheitlich die Regelungen nach den Art. 27 Abs. 3 und 29 Abs. 2 aDSG übernommen wurden.
23 Die Verfahrenspartei hat dem EDÖB sämtliche Auskünfte zu erteilen und alle Unterlagen zur Verfügung zu stellen, welche dieser für die Untersuchung benötigt.
24 Nach Art. 49 Abs. 3 DSG müssen die Bundesorgane und die private Person mitwirken. Wie nach bisherigem Recht kann der EDÖB auch die hauptverantwortlichen Datenbearbeiter/-innen beim betreffenden Bundesorgan oder der betreffenden privaten Person sowie andere Mitarbeitende, Auftragsbearbeiter, Hilfspersonen sowie Dritte, welche an der zu untersuchenden Datenbearbeitung beteiligt sind oder darüber sachdienliche Auskünfte erteilen können, zur Mitwirkung verpflichten.
25 Die Mitwirkungspflichten nach Art. 49 Abs. 3 DSG können sich auf Informationen zu einem konkreten Fall beziehen, aber auch grundsätzlicher Natur sein.
26 Damit sich die zur Mitwirkung verpflichteten Personen nicht selbst belasten müssen, bestehen auch bei der Untersuchung durch den EDÖB Auskunftsverweigerungsrechte.
27 Art. 16 Abs. 1 VwVG verweist betreffend Zeugnisverweigerungsrecht auf Art. 42 Abs. 1 und 3 des Bundesgesetzes vom 4. Dezember 1947 über den Bundeszivilprozess. Nach Art. 42 Abs. 1 und 3 Bundeszivilprozessgesetz können die befragten Personen das Zeugnis verweigern, wenn die Beantwortung der Frage sie der Gefahr der strafgerichtlichen Verfolgung aussetzen kann. Dabei geht es um Personen, die einer gesetzlichen Geheimhaltungspflicht nach Art. 321, 321bis und 321ter StGB unterliegen. Dies führt dazu, dass Ärztinnen und Ärzte sich weigern können, dem EDÖB Personendaten über ihre Patientinnen und Patienten zu liefern, falls die Patientinnen und Patienten dieser Herausgabe nicht zustimmen.
28 Vorbehalten bleibt eine abweichende Regelung in Art. 50 Abs. 2 DSG. Dieser hält einzig fest, dass das Berufsgeheimnis vorbehalten bleibt. Dieser Vorbehalt wurde in der parlamentarischen Beratung eingefügt (siehe N. 8 vorangehend). Es handelt sich dabei um eine Betonung, welche an sich nicht erforderlich gewesen wäre, da gesetzliche Berufsgeheimnisse bereits über das VwVG berücksichtigt werden.
29 Amtsgeheimnisse können dem EDÖB nicht entgegen gehalten werden.
30 Die zur Mitwirkung verpflichteten Personen können sich auch nicht auf Geschäfts- und Fabrikationsgeheimnisse oder vertragliche Geheimhaltungspflichten berufen.
31 Bei informellen Vorabklärungen vor Eröffnung einer formellen Untersuchung müssen private Personen dem EDÖB keine Auskunft erteilen.
32 Dabei gilt es zu beachten, dass Unterlagen, welche dem EDÖB im Zusammenhang mit einer informellen Vorabklärung geliefert werden, dem Öffentlichkeitsgesetz unterliegen. Die informelle Vorabklärung fällt nicht unter Art. 3 BGÖ. Der EDÖB kann nach eigener Aussage auch keine Einschränkung oder Verweigerung der Einsicht durch Dritte nach Art. 7 BGÖ zusichern. Besonders vertrauliche Informationen sowie z.B. auch Personendaten von Dritten sind daher vor der Herausgabe zu bearbeiten. Zudem kann es sich empfehlen, bei besonders vertraulichen Informationen, z.B. Informationen über Datensicherheitsmassnahmen, die Informationen nicht schriftlich an den EDÖB zu liefern, sondern ihm die Informationen vor Ort bei einem Augenschein mündlich vorzutragen oder ihm z.B. anlässlich einer Videokonferenz mit geteiltem Bildschirm zu zeigen.
E. Information der betroffenen Person (Abs. 4)
33 Die betroffene Person ist nicht Verfahrenspartei (Art. 52 Abs. 2 DSG e contrario). Dies gilt auch dann, wenn die betroffene Person Anzeige erstattet hat. Die betroffene Person hat daher keinen Anspruch auf Akteneinsicht.
34 Nach Art. 49 Abs. 4 DSG muss der EDÖB die betroffene Person, sofern sie Anzeige erstattet hat, immerhin über sein weiteres Vorgehen und das Ergebnis einer allfälligen Untersuchung informieren.
35 Die betroffene Person kann sodann ihre Rechte mit den anwendbaren Rechtsmitteln geltend machen, d. h. sie kann bei einem Zivilgericht Klage erheben, wenn der Verantwortliche eine private Person ist, oder sie kann gegen den Entscheid des verantwortlichen Bundesorgans Beschwerde erheben.
Literatur
Rudin Beat, Kommentierung zu Art. 2 DSG, in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Datenschutzgesetz, Stämpflis Handkommentar, 2. Aufl., Bern 2022.
Baeriswyl Bruno, Kommentierung zu Art. 27 und Art. 29 DSG, in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Datenschutzgesetz, Stämpflis Handkommentar, 2. Aufl., Bern 2022.
Waldmann Bernhard/Oeschger Magnus, in: Belser Eva Maria/Epiney Astrid/Waldmann Bernhard, Datenschutzrecht – Grundlagen und öffentliches Recht, Bern 2011.
Bieri Adrian/Powell Julian, Die Totalrevision des Bundesgesetzes über den Datenschutz - Übersicht der wichtigsten Neuerungen für Unternehmen, Jusletter vom 16.11.2020.
Huber René, Kommentierung zu Art. 27 und Art. 29 DSG, in: Maurer-Lambrou Urs/Blechta Gabor-Paul (Hrsg.), Datenschutzgesetz/Öffentlichkeitsgesetz, Basler Kommentar, 3. Aufl., Basel 2014.
Reudt-Demont Janine/Gordon Clara-Ann/Egli Luisa, Das revidierte Datenschutzgesetz, LSR 2021, S. 264–269.
Jöhri Yvonne, Kommentierung zu Art. 27 DSG, in: Rosenthal David/Jöhri Yvonne (Hrsg.), Handkommentar zum Datenschutzgesetz sowie weiteren, ausgewählten Bestimmungen, Zürich 2008.
Rosenthal David, Kommentierung zu Art. 29 DSG, in: Rosenthal David/Jöhri Yvonne (Hrsg.), Handkommentar zum Datenschutzgesetz sowie weiteren, ausgewählten Bestimmungen, Zürich 2008.
Rosenthal David, Das neue Datenschutzgesetz, Jusletter vom 16.11.2020.
Materialien
Botschaft zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz vom 15.9.2017, BBI 2017 S. 6941 ff., abrufbar unter https://fedlex.data.admin.ch/filestore/fedlex.data.admin.ch/eli/fga/2017/2057/de/pdf-x/fedlex-data-admin-ch-eli-fga-2017-2057-de-pdf-x.pdf, besucht am 30.3.2023.