In Kürze

Diese Bestimmung ist im Hinblick auf die Stärkung der Kompetenzen des EDÖB von entscheidender Bedeutung. Wichtig sind insbesondere die Mitwirkungspflichten der Bundesorgane und privaten Personen im Rahmen der Untersuchung. Neu und ebenfalls bedeutsam ist, dass der EDÖB gegenüber privaten Personen eine Untersuchung eröffnen kann, wenn genügend Anzeichen für einen Verstoss gegen Datenschutzvorschriften bestehen. Unter dem früheren DSG war die Untersuchungskompetenz gegenüber privaten Personen eingeschränkter.

I. Allgemeines

A. Normzweck und Hintergrund

1 Während Art. 4 DSG in allgemeiner Form festhält, dass dem EDÖB die Aufsicht über die Anwendung der bundesrechtlichen Datenschutzvorschriften obliegt, regelt Art. 49 DSG eine der wichtigsten Kompetenzen des EDÖB im Zusammenhang mit dieser Aufsicht, nämlich die Untersuchung von möglichen Datenschutzverletzungen durch Bundesorgane und private Personen.

2 Eines der wichtigsten Ziele der Revision des DSG war es, die Kontrollkompetenzen des EDÖB zu verstärken.

Dies auch deshalb, weil das bisherige DSG hinsichtlich der Kontrolle der Datenbearbeitungen durch private Personen (Art. 29 aDSG) als zahnlos betrachtet wurde.

3 Zudem lagen die bisherigen Untersuchungsbefugnisse des EDÖB unter den internationalen Vorgaben, weshalb befürchtet wurde, dass ohne eine Verstärkung der Untersuchungskompetenzen des EDÖB ein positiver Angemessenheitsbeschluss der EU in Gefahr stehen könnte.

B. Entstehungsgeschichte

4 Im Normkonzept zur Revision des Datenschutzgesetzes wurde die Stärkung der Kompetenzen des EDÖB als eine der Kernforderungen bei der Revision des DSG statuiert und u.a. die Einführung eines Vorabklärungsverfahrens sowie die Verstärkung der Untersuchungsbefugnisse diskutiert.

5 In Art. 41 VE-DSG wurden verschiedene Massnahmen aus dem Normkonzept umgesetzt: So wurden die Untersuchungskompetenzen gegenüber Bundesorganen und privaten Personen, welche bis dahin in Art. 27 und Art. 29 aDSG enthalten waren, in einer Bestimmung zusammengefasst, und das informelle Vorabklärungsverfahren geregelt. Während Art. 29 aDSG gegenüber privaten Personen die Eröffnung von Untersuchungen nur unter eingeschränkten Voraussetzungen erlaubte, sollten diese Einschränkungen künftig gestrichen werden. Dies wurde auch damit begründet, dass die bisherigen Einschränkungen in Art. 29 aDSG die Anforderungen des E-SEV 108 nicht erfüllen würden.

Die neuen Ermittlungsbefugnisse des EDÖB seien zudem ein entscheidendes Element im Hinblick auf Art. 45 der Verordnung (EU) 2016/679, um sicherzustellen, dass die Europäische Kommission den Angemessenheitsbeschluss gegenüber der Schweiz erneuert bzw. aufrechterhält. Art. 41 VE-DSG wurde in der Vernehmlassung rege diskutiert. Während gewisse Vernehmlassungsteilnehmer/-innen die Stärkung der Untersuchungskompetenzen begrüssten, ging dies anderen viel zu weit.

6 Art. 43 E-DSG orientierte sich inhaltlich an Art. 41 VE-DSG. Allerdings wurde auf die Nennung des Vorabklärungsverfahrens verzichtet. Auch wurden die in Art. 41 Abs. 3 VE-DSG explizit genannten Untersuchungsmassnahmen weggelassen bzw. in eine andere Bestimmung kopiert. In der Botschaft zur DSG-Revision wurde wiederum betont, dass die Neuregelung der Untersuchungskompetenzen des EDÖB wichtig sei, weil dessen Überwachungskompetenzen gegenüber dem Privatsektor die Anforderungen des E-SEV 108 aktuell nicht erfüllen würden.

7 Art. 43 E-DSG war Gegenstand der parlamentarischen Beratungen. Im Nationalrat konzentrierte sich die Diskussion vor allem auf die Voraussetzungen für die Eröffnung einer Untersuchung. Die Minderheit «Romano» wollte die Mindestanforderungen zur Eröffnung einer Untersuchung anheben.

Begründet wurde dies damit, dass blosse Anzeichen für eine Verletzung von Datenschutzvorschriften den Anforderungen an ein rechtsstaatliches Verfahren nicht genügen würden. Es wurde auch befürchtet, dass der EDÖB bei zu tiefen Anforderungen überlastet werden könnte. Die Mehrheit wollte dagegen dem EDÖB keine «Handschellen» anlegen. Die zuständige Bundesrätin Keller-Sutter wies darauf hin, dass der Vorschlag der Mehrheit – es müssen genügend Anzeichen und nicht bloss Anzeichen für einen Datenschutzverstoss vorliegen – keine materielle Änderung gegenüber Art. 43 E-DSG darstellen würde. Sie äussert sich jedoch kritisch gegenüber einer weiteren Erhöhung der Anforderungen. Der Minderheitsantrag «Romano» würde zu einer gewissen Rechtsunsicherheit in den Verfahren des EDÖB führen. Zudem würden die erhöhten Anforderungen an die Verfahrenseröffnung die Angemessenheit des schweizerischen Datenschutzniveaus in einem für die EU besonders wichtigen Bereich gefährden. Weder die Konvention 108+ noch die EU-Rechtsakte würden eine solche Begrenzung der Ermittlungsbefugnisse der Datenschutz-Aufsichtsbehörden vorsehen. Der Nationalrat folgte der Mehrheitsmeinung.

8 Der Ständerat schloss sich betreffend Art. 43 Abs. 1 E-DSG dem Entscheid des Nationalrates an. Diskutiert wurde im Ständerat primär Art. 43 Abs. 3 E-DSG. Es ging bei der Debatte um den Schutz des Berufsgeheimnisses. Obwohl Art. 43 Abs. 3 E-DSG das Berufsgeheimnis z. B. von Anwälten und Ärzten bereits schützen würde, beantragte die Kommission des Ständerates den Vorbehalt des Berufsgeheimnisses nochmals explizit zu erwähnen.

BR Keller-Sutter verteidigte den Vorschlag des Bundesrates. Sie betonte, dass das Berufsgeheimnis in den anwendbaren Verfahrensgesetzen bereits genügend geschützt sei. Die nochmalige Betonung des Berufsgeheimnisses würde aus Sicht des Bundesrates eher zu Rechtsunsicherheiten führen. Es würde sich die Frage stellen, weshalb andere wichtige Verweigerungsgründe des allgemeinen Verfahrensrechts nicht ebenfalls nochmals ausdrücklich erwähnt werden. Der Ständerat folgte jedoch seiner Kommission. Der Nationalrat hat sich diesem Beschluss des Ständerates angeschlossen.

II. Untersuchung

A. Unterschied zum bisherigen Recht

9 Bis anhin wurden Untersuchungen gegen Bundesorgane sowie private Personen in unterschiedlichen Bestimmungen geregelt (Art. 27 und 29 aDSG). Unterschiedlich waren auch die Anforderungen für die Eröffnung einer Untersuchung. Art. 27 Abs. 2 aDSG sah für die Eröffnung von Untersuchungen gegen Bundesorgane keine besondere Schwelle vor. Nach Art. 29 Abs. 1 aDSG durfte der EDÖB dagegen gegen private Personen nur Untersuchungen eröffnen, wenn die Bearbeitungsmethoden geeignet waren, die Persönlichkeit einer grösseren Anzahl von Personen zu verletzen (Systemfehler), Datensammlungen registriert werden mussten oder eine Informationspflicht nach Art. 6 Abs. 3 aDSG bestand. Diese Anforderungen in Art. 29 Abs. 1 aDSG erfüllten die internationalen Standards jedoch nicht.

10 Neu werden die früheren Anforderungen an die Eröffnung einer Untersuchung gegenüber privaten Personen gestrichen. Zudem gelten einheitliche Regeln für die Eröffnung von Untersuchungen gegen Bundesorgane und private Personen. Dies führt zu einer Stärkung des EDÖB.

B. Eröffnung der Untersuchung (Abs. 1)

11 Nach Art. 49 Abs. 1 DSG eröffnet der EDÖB von Amtes wegen oder auf Anzeige hin eine Untersuchung, wenn genügend Anzeichen bestehen, dass eine Datenbearbeitung gegen die Datenschutzvorschriften verstossen könnte.

12 Die Anzeige kann durch einen Dritten oder durch die betroffene Person erfolgen, d.h. grundsätzlich durch jedermann.

Die Person, die Anzeige erstattet, hat im Verfahren jedoch keine Parteistellung (Art. 52 Abs. 2 DSG e contrario). Die Anzeige kann auch anonym erfolgen. Da der EDÖB neu nur bei genügenden Anzeichen für eine Datenschutzverletzung eine Untersuchung einleiten muss, kann sich eine anonyme Anzeige negativ auf diesen Entscheid auswirken. Ob eine Anzeige z.B. durch eine Person mit einem engen Bezug zur angezeigten Datenbearbeitung erfolgt oder nicht, ist bei dieser Beurteilung somit durchaus relevant.

13 Der EDÖB kann auch aktiv werden, wenn in Pressemitteilungen über mögliche Datenschutzverletzungen berichtet wird,

was bereits heutiger Praxis entspricht.

14 Mit Datenschutzvorschriften im Sinne von Art. 4 Abs. 1 DSG sind nicht nur die Vorschriften des DSG gemeint, sondern auch die bereichsspezifischen Datenschutzvorschriften des Bundes.

Erfasst sind damit datenschutzrelevante Bestimmungen in anderen Bundeserlassen sowie auch datenschutzrechtsspezifische völkerrechtliche Verträge. Diese Erweiterung über das DSG hinaus ist primär für Bundesorgane relevant.

15 Eine Untersuchung darf nur eröffnet werden, wenn genügend Anzeichen für einen Verstoss gegen Datenschutzvorschriften bestehen. Diese Anforderung wurde vom Parlament eingebracht (siehe N. 7 vorangehend). Aufgrund der parlamentarischen Beratung lassen sich keine allzu klaren Vorgaben dafür finden, was als genügendes Anzeichen zu gelten hat. Eine Minderheit des Nationalrates wollte Art. 43 E-DSG folgendermassen ausgestalten: «Bei begründetem Verdacht eröffnet der Beauftragte von Amtes wegen oder auf begründete Anzeige hin eine Untersuchung gegen ein Bundesorgan oder eine private Person, wenn eindeutige Hinweise bestehen, dass eine Datenbearbeitung gegen die Datenschutzvorschriften verstossen könnte.»

Diese verschärften Anforderungen – insbesondere die Anforderung, dass eindeutige Hinweise vorliegen müssen – wurden aber abgelehnt. Bei genügenden Anzeichen muss es sich damit weder um eindeutige Hinweise noch um einen begründeten Verdacht im Sinne des Strafprozessrechts handeln. Gemäss BR Keller-Sutter soll es sich bei genügenden Anzeichen im Vergleich zum Vorschlag des Bundesrates, welcher einfach von Anzeichen sprach, nicht um eine materielle Änderung handeln. Auch der Bundesrat wollte letztlich nicht, dass der EDÖB seine Ressourcen mit pauschalen Untersuchungen erschöpft. Es muss sich um Anzeichen handeln, welche den Einsatz der Ressourcen des EDÖB rechtfertigen. Die parlamentarische Beratung und insbesondere die Voten der Mehrheit zeigen, dass man dem EDÖB hierbei einen Ermessensspielraum gewähren wollte.

C. Verzicht auf Untersuchung (Abs. 2)

16 Nach Art. 49 Abs. 2 DSG kann der EDÖB auf eine formelle Untersuchung verzichten, wenn die Verletzung der Datenschutzvorschriften von geringfügiger Bedeutung ist. Gemäss Botschaft wäre dies z.B. der Fall, wenn ein Sport- oder Kulturverein sämtlichen Mitgliedern eine E-Mail-Nachricht sendet, ohne die Identität der Empfängerinnen und Empfänger zu verbergen.

Absatz 2 kann gemäss Botschaft auch zur Anwendung gelangen, wenn der EDÖB der Auffassung ist, dass die Beratung des Verantwortlichen ausreicht, um eine an sich kaum problematische Situation zu beseitigen.

17 Gemäss Rosenthal soll ein Verzicht auch möglich sein, wenn bei Data-Breach-Meldungen klar ist, dass die Verletzung nicht gravierend ist oder der Verantwortliche die Sache im Griff hat.

18 Gegen einen Verzicht spricht dagegen, falls die fraglichen Datenbearbeitungen eine grössere Anzahl von Personen betreffen und demnach ein allgemeines Interesse der Öffentlichkeit besteht.

19 Der EDÖB soll handeln, wenn in seinen Augen ein ausreichendes öffentliches Interesse für eine Untersuchung vorliegt. Er soll dagegen auf eine Untersuchung verzichten, wenn nur die Privatsphäre einer Einzelperson betroffen ist.

In letzterem Fall hat die betroffene Person die Möglichkeit, bei einem Zivilgericht gegen die private Person Klage zu erheben oder den Beschluss des Bundesorgans bei der zuständigen Beschwerdestelle anzufechten.

20 Art. 49 Abs. 1 i.V.m. Abs. 2 DSG ist eine «Kann-Bestimmung», welche dem EDÖB einen gewissen Handlungsspielraum bei der Entscheidung offen lässt, ob er eine Untersuchung eröffnet oder darauf verzichtet.

Diesen Spielraum hat das Parlament dem EDÖB belassen (siehe N. 7 vorangehend). Es obliegt dem EDÖB, über die Zweckmässigkeit einer solchen Untersuchung zu befinden. Es besteht somit weiterhin kein Anspruch des Anzeigers auf Durchführung einer formellen Untersuchung.

21 Der EDÖB hat bereits klargestellt, dass er wie bis anhin informelle Kontaktnahmen, d.h. Vorabklärungen, durchführen werde.

Sollte sich bei diesen informellen Kontaktnahmen zeigen, dass der Verantwortliche Mängel, auf welche er aufmerksam gemacht wurde, anerkennt und innert nützlicher Frist behebt, werde der EDÖB auf die Eröffnung einer formellen Untersuchung verzichten. Aufgrund der beschränkten Ressourcen des EDÖB sei generell davon auszugehen, dass er bei der Behandlung von Anzeigen auch nach Inkrafttreten des neuen DSG nach Massgabe des Opportunitätsprinzips Prioritäten setzen werde.

D. Mitwirkungspflichten (Abs. 3)

22 Art. 49 Abs. 3 DSG regelt die Mitwirkungspflichten der privaten Person und des Bundesorgans bei einer formellen Untersuchung des EDÖB, wobei mehrheitlich die Regelungen nach den Art. 27 Abs. 3 und 29 Abs. 2 aDSG übernommen wurden.

23 Die Verfahrenspartei hat dem EDÖB sämtliche Auskünfte zu erteilen und alle Unterlagen zur Verfügung zu stellen, welche dieser für die Untersuchung benötigt.

Zu mehr, als zu Auskünften und der Herausgabe von Unterlagen, ist eine Partei nach Art. 49 Abs. 3 DSG nicht verpflichtet. Die Mitwirkung kann formlos verlangt werden. Weitere Massnahmen in der Untersuchung sind in Art. 50 und 52 DSG geregelt.

24 Nach Art. 49 Abs. 3 DSG müssen die Bundesorgane und die private Person mitwirken. Wie nach bisherigem Recht kann der EDÖB auch die hauptverantwortlichen Datenbearbeiter/-innen beim betreffenden Bundesorgan oder der betreffenden privaten Person sowie andere Mitarbeitende, Auftragsbearbeiter, Hilfspersonen sowie Dritte, welche an der zu untersuchenden Datenbearbeitung beteiligt sind oder darüber sachdienliche Auskünfte erteilen können, zur Mitwirkung verpflichten.

25 Die Mitwirkungspflichten nach Art. 49 Abs. 3 DSG können sich auf Informationen zu einem konkreten Fall beziehen, aber auch grundsätzlicher Natur sein.

Sie beziehen sich auf alle Unterlagen, welche für die Beurteilung durch den EDÖB relevant sein können.

26 Damit sich die zur Mitwirkung verpflichteten Personen nicht selbst belasten müssen, bestehen auch bei der Untersuchung durch den EDÖB Auskunftsverweigerungsrechte.

Die Auskunftsverweigerungsrechte richten sich nach Art. 16 und 17 VwVG.

27 Art. 16 Abs. 1 VwVG verweist betreffend Zeugnisverweigerungsrecht auf Art. 42 Abs. 1 und 3 des Bundesgesetzes vom 4. Dezember 1947 über den Bundeszivilprozess. Nach Art. 42 Abs. 1 und 3 Bundeszivilprozessgesetz können die befragten Personen das Zeugnis verweigern, wenn die Beantwortung der Frage sie der Gefahr der strafgerichtlichen Verfolgung aussetzen kann. Dabei geht es um Personen, die einer gesetzlichen Geheimhaltungspflicht nach Art. 321, 321bis und 321ter StGB unterliegen. Dies führt dazu, dass Ärztinnen und Ärzte sich weigern können, dem EDÖB Personendaten über ihre Patientinnen und Patienten zu liefern, falls die Patientinnen und Patienten dieser Herausgabe nicht zustimmen.

Dasselbe gilt für die Rechtsanwältinnen und Rechtsanwälte und ihre Kundschaft. Art. 90 DSGVO sieht ebenfalls die Möglichkeit vor, solche Verweigerungsrechte im nationalen Recht zu etablieren.

28 Vorbehalten bleibt eine abweichende Regelung in Art. 50 Abs. 2 DSG. Dieser hält einzig fest, dass das Berufsgeheimnis vorbehalten bleibt. Dieser Vorbehalt wurde in der parlamentarischen Beratung eingefügt (siehe N. 8 vorangehend). Es handelt sich dabei um eine Betonung, welche an sich nicht erforderlich gewesen wäre, da gesetzliche Berufsgeheimnisse bereits über das VwVG berücksichtigt werden.

Der Vorbehalt der Berufsgeheimnisse galt bereits unter bisherigem Recht. Das Berufsgeheimnis kann dem EDÖB allerdings nur entgegengehalten werden, wenn die durch das Berufsgeheimnis geschützte Person die mitwirkungspflichtige Person nicht von der Geheimhaltungspflicht entbindet.

29 Amtsgeheimnisse können dem EDÖB nicht entgegen gehalten werden.

30 Die zur Mitwirkung verpflichteten Personen können sich auch nicht auf Geschäfts- und Fabrikationsgeheimnisse oder vertragliche Geheimhaltungspflichten berufen.

31 Bei informellen Vorabklärungen vor Eröffnung einer formellen Untersuchung müssen private Personen dem EDÖB keine Auskunft erteilen.

Art. 49 Abs. 3 DSG gilt erst nach Eröffnung eines formellen Verfahrens. Es kann jedoch für die Verantwortlichen sinnvoll sein, mit dem EDÖB freiwillig zu kooperieren, falls die Möglichkeit besteht, die Angelegenheit dadurch ohne ein formelles Verfahren zu klären.

32 Dabei gilt es zu beachten, dass Unterlagen, welche dem EDÖB im Zusammenhang mit einer informellen Vorabklärung geliefert werden, dem Öffentlichkeitsgesetz unterliegen. Die informelle Vorabklärung fällt nicht unter Art. 3 BGÖ. Der EDÖB kann nach eigener Aussage auch keine Einschränkung oder Verweigerung der Einsicht durch Dritte nach Art. 7 BGÖ zusichern. Besonders vertrauliche Informationen sowie z.B. auch Personendaten von Dritten sind daher vor der Herausgabe zu bearbeiten. Zudem kann es sich empfehlen, bei besonders vertraulichen Informationen, z.B. Informationen über Datensicherheitsmassnahmen, die Informationen nicht schriftlich an den EDÖB zu liefern, sondern ihm die Informationen vor Ort bei einem Augenschein mündlich vorzutragen oder ihm z.B. anlässlich einer Videokonferenz mit geteiltem Bildschirm zu zeigen.

E. Information der betroffenen Person (Abs. 4)

33 Die betroffene Person ist nicht Verfahrenspartei (Art. 52 Abs. 2 DSG e contrario). Dies gilt auch dann, wenn die betroffene Person Anzeige erstattet hat. Die betroffene Person hat daher keinen Anspruch auf Akteneinsicht.

34 Nach Art. 49 Abs. 4 DSG muss der EDÖB die betroffene Person, sofern sie Anzeige erstattet hat, immerhin über sein weiteres Vorgehen und das Ergebnis einer allfälligen Untersuchung informieren.

35 Die betroffene Person kann sodann ihre Rechte mit den anwendbaren Rechtsmitteln geltend machen, d. h. sie kann bei einem Zivilgericht Klage erheben, wenn der Verantwortliche eine private Person ist, oder sie kann gegen den Entscheid des verantwortlichen Bundesorgans Beschwerde erheben.

Literatur

Rudin Beat, Kommentierung zu Art. 2 DSG, in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Datenschutzgesetz, Stämpflis Handkommentar, 2. Aufl., Bern 2022.

Baeriswyl Bruno, Kommentierung zu Art. 27 und Art. 29 DSG, in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Datenschutzgesetz, Stämpflis Handkommentar, 2. Aufl., Bern 2022.

Waldmann Bernhard/Oeschger Magnus, in: Belser Eva Maria/Epiney Astrid/Waldmann Bernhard, Datenschutzrecht – Grundlagen und öffentliches Recht, Bern 2011.

Bieri Adrian/Powell Julian, Die Totalrevision des Bundesgesetzes über den Datenschutz - Übersicht der wichtigsten Neuerungen für Unternehmen, Jusletter vom 16.11.2020.

Huber René, Kommentierung zu Art. 27 und Art. 29 DSG, in: Maurer-Lambrou Urs/Blechta Gabor-Paul (Hrsg.), Datenschutzgesetz/Öffentlichkeitsgesetz, Basler Kommentar, 3. Aufl., Basel 2014.

Reudt-Demont Janine/Gordon Clara-Ann/Egli Luisa, Das revidierte Datenschutzgesetz, LSR 2021, S. 264–269.

Jöhri Yvonne, Kommentierung zu Art. 27 DSG, in: Rosenthal David/Jöhri Yvonne (Hrsg.), Handkommentar zum Datenschutzgesetz sowie weiteren, ausgewählten Bestimmungen, Zürich 2008.

Rosenthal David, Kommentierung zu Art. 29 DSG, in: Rosenthal David/Jöhri Yvonne (Hrsg.), Handkommentar zum Datenschutzgesetz sowie weiteren, ausgewählten Bestimmungen, Zürich 2008.

Rosenthal David, Das neue Datenschutzgesetz, Jusletter vom 16.11.2020.

Materialien

Botschaft zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz vom 15.9.2017, BBI 2017 S. 6941 ff., abrufbar unter https://fedlex.data.admin.ch/filestore/fedlex.data.admin.ch/eli/fga/2017/2057/de/pdf-x/fedlex-data-admin-ch-eli-fga-2017-2057-de-pdf-x.pdf, besucht am 30.3.2023.