I. Normzweck und Entstehungsgeschichte

1 Art. 51 DSG umschreibt die Verwaltungsmassnahmen, welche der EDÖB im Falle einer Verletzung von Datenschutzvorschriften erlassen kann. Die Verfügungskompetenz, die dem EDÖB in Art. 51 DSG eingeräumt wird, stellt ein Novum des neuen Datenschutzgesetzes dar. Mit diesem Ausbau der Befugnisse des EDÖB kommt der Gesetzgeber den Anregungen der Schengen-Evaluatoren von 2014 nach, welche bemängelt hatten, dass der EDÖB unter dem alten Datenschutzgesetz von 1992 (aDSG) lediglich Empfehlungen abgeben konnte.

Auch in der Schengen-Evaluation von 2018 wurde empfohlen, die Durchsetzungsbefugnisse des EDÖB zu stärken, sodass dieser direkt rechtsverbindliche Entscheidungen treffen kann. Mit Art. 51 DSG wird Art. 47 Abs. 2 der Richtlinie (EU) 2016/680, spezifiziert in Art. 58 Abs. 2 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, DSGVO), grösstenteils umgesetzt. Ebenfalls werden damit die Anforderungen von Art. 15 Abs. 2 lit. c des Änderungsprotokolls vom 18. Mai 2018 zum Übereinkommen SEV 108 des Europarats zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten weitgehend erfüllt.

2 Von einem über die Verfügungskompetenz hinausgehenden Ausbau der Sanktionsbefugnisse des EDÖB wurde hingegen in der DSG-Revision trotz diesbezüglicher Empfehlung seitens der Europäischen Union und trotz entsprechender Erwähnung in Art. 15 Abs. 2 lit. c des Änderungsprotokolls vom 18. Mai 2018 zum SEV 108-Übereinkommen abgesehen. Im Gegensatz zu den Datenschutzbehörden verschiedener anderer Länder – so beispielsweise den Aufsichtsbehörden im territorialen Anwendungsbereich der DSGVO

– kann der EDÖB damit insbesondere weiterhin keine Verwaltungssanktionen gegen Bundesorgane verhängen. Bei privaten Personen besteht ebenfalls keine direkte Sanktionsbefugnis des EDÖB, aber immerhin werden hier diverse Pflichtverletzungen im 8. Kapitel des DSG unter Strafe gestellt. Namentlich kann der EDÖB seine Verfügungen von Verwaltungsmassnahmen nach Art. 51 DSG gegen private Personen mit einer Strafandrohung nach Art. 63 DSG versehen. Nach Auffassung des Gesetzgebers entspricht diese zweistufige Ordnung der schweizerischen Rechtstradition besser als eine direkte Sanktionskompetenz des EDÖB und ist wirksam genug.

3 Anders als unter dem neuen Regime hatte der EDÖB nach dem aDSG keine Kompetenz zum Erlass rechtsverbindlicher Massnahmen. Stellte er im Rahmen einer Untersuchung gegen ein Bundesorgan oder eine private Person eine Verletzung von Datenschutzvorschriften fest, konnte er lediglich eine Empfehlung an den Verantwortlichen abgeben, die Datenbearbeitung zu ändern oder zu unterlassen (Art. 27 Abs. 4 aDSG [für Bundesorgane] bzw. Art. 29 Abs. 3 aDSG [für private Personen]). Widersetzte sich der Verantwortliche der Empfehlung des EDÖB, indem er sie formell ablehnte oder faktisch schlicht nicht befolgte, musste der EDÖB seine Empfehlung dem Departement oder der Bundeskanzlei (im öffentlichen Sektor) bzw. direkt dem Bundesverwaltungsgericht (im privaten Sektor) vorlegen, um eine rechtsverbindliche Beurteilung zu erreichen. Die vom Departement oder der Bundeskanzlei in der Folge erlassene Verfügung konnten das betreffende Bundesorgan und – seit der Einführung eines entsprechenden Beschwerderechts mit der DSG-Revision von 2006

– auch der EDÖB alsdann ebenfalls beim Bundesverwaltungsgericht anfechten. Letztinstanzlich konnten die Entscheide des Bundesverwaltungsgerichts sowohl im öffentlichen wie im privaten Bereich mit Beschwerde in öffentlich-rechtlichen Angelegenheiten an das Bundesgericht weitergezogen werden (Art. 82 lit. a i.V.m. Art. 86 Abs. 1 lit. a BGG). Neben diesem mehrstufigen förmlichen Weg über die Empfehlung und deren allfälligen Weiterzug konnte der EDÖB seinen unverbindlichen Anordnungen durch die Information von Bundesversammlung und Bundesrat sowie durch Veröffentlichung mit entsprechender Reputationswirkung faktischen Nachdruck verleihen (Art. 30 aDSG).

4 In der Praxis unter dem aDSG erliess der EDÖB sowohl im privaten wie insbesondere im öffentlichen Bereich nur wenige Empfehlungen; eine Durchsetzung auf dem Beschwerdeweg erfolgte noch seltener.

Häufig ergriffen die Verantwortlichen bereits im Zuge des Untersuchungsverfahrens mit Hilfe der Beratung des EDÖB (Art. 28 und Art. 31 Abs. 1 lit. a aDSG) die erforderlichen Massnahmen, um die offenbarten Missstände zu beheben. Gab der EDÖB gleichwohl einmal eine Empfehlung ab, wurde diese in der Regel ohne Weiteres befolgt.

5 Nichtsdestotrotz wurde und wird die fehlende Befugnis des EDÖB, selbst griffige Massnahmen und allenfalls auch Sanktionen zu verfügen, in der Lehre und Datenschutzpraxis immer wieder beanstandet.

Auch in der politischen und gesetzgeberischen Auseinandersetzung mit dem aDSG wurden entsprechende Schwachstellen identifiziert und eine mögliche Stärkung der Position des EDÖB diskutiert. Hinsichtlich der konkreten Ausgestaltung dieser stärkeren Position und insbesondere bei der Frage, ob dem EDÖB Sanktionsbefugnisse zukommen sollten, gingen die Ansichten jedoch auseinander. So wurde beispielsweise im Jahr 2014 einer parlamentarischen Initiative, welche die Einführung von Verwaltungssanktionsbefugnissen des EDÖB forderte, keine Folge gegeben. Der mit der DSG-Revision vorgenommene, massvoll zurückhaltende Ausbau der Stellung des EDÖB widerspiegelt das Meinungsbild in Politik, Lehre und Praxis sowie den dargelegten Druck aufgrund internationaler Anforderungen (vgl. vorgängig N. 1 f.).

6 Ob das neu gestaltete Regime mit Verfügungs-, aber ohne direkte Sanktionsbefugnisse des EDÖB eine wirksame Aufsichtstätigkeit sicherstellt, wird die Praxis weisen.

Neben der entsprechenden Kompetenzordnung erfordert eine effektive Beaufsichtigung faktisch auch eine angemessene Ressourcenausstattung des EDÖB. Diesbezüglich wird in der Literatur verschiedentlich Kritik an den als zu knapp eingestuften Mitteln laut, welche den EDÖB trotz einer bereits erfolgten Aufstockung auch in Zukunft zwingen dürften, bei seiner Aufsichtstätigkeit nach dem Opportunitätsprinzip vorzugehen. In dieser Hinsicht ebenfalls kritisch äusserten sich die Schengen-Evaluatoren 2018 und empfahlen, dem EDÖB ausreichende finanzielle und personelle Ressourcen zuzuweisen, damit er alle seine Aufgaben im Schengener Kontext erfüllen könne.

II. Verwaltungsmassnahmen

7 Art. 51 DSG lässt dem EDÖB grossen Handlungsspielraum: Liegt eine Verletzung von Datenschutzvorschriften vor, kann er auf Beseitigung des rechtswidrigen Zustands abzielende Massnahmen verfügen, ist jedoch nicht dazu verpflichtet. Die Aufzählung der Massnahmen ist nicht abschliessend.

Beim Entscheid, ob eine Verfügung zu erlassen ist und, wenn ja, welche, gilt der Grundsatz der Verhältnismässigkeit: Es sind jene Massnahmen anzuordnen, welche erforderlich sind, um die Rechtmässigkeit der Datenbearbeitung im konkreten Einzelfall (wieder) zu gewährleisten. Ausdrückliche Verankerung findet das Verhältnismässigkeitsprinzip auch in Art. 51 Abs. 5 DSG: Wenn das Bundesorgan oder die private Person bereits während der Untersuchung die erforderlichen Massnahmen getroffen hat, um die Einhaltung der Datenschutzvorschriften wiederherzustellen, sieht Art. 51 Abs. 5 DSG vor, dass sich der EDÖB darauf beschränken kann, eine Verwarnung auszusprechen. Ferner sollte es angesichts der Ausgestaltung von Art. 51 DSG als Kann-Bestimmung im Interesse einer einzelfalladäquaten, zielführenden Praxis nach der hier vertretenen Auffassung auch möglich sein, dass sich der EDÖB bei untergeordneten Mängeln darauf beschränkt, den Verantwortlichen im Rahmen seiner Beratungstätigkeit (Art. 58 Abs. 1 lit. a DSG) Hinweise zur Mängelbehebung zu geben, anstatt eine Massnahmenverfügung zu erlassen. Es ist damit zu rechnen, dass der EDÖB schon aus Gründen der Effizienz darauf hinwirken wird, dass Verantwortliche die zur Wiederherstellung der Rechtmässigkeit der Datenbearbeitung erforderlichen Massnahmen ergreifen, ohne dass er zum Erlass einer Verfügung gezwungen ist.

8 Die Verfügungskompetenz des EDÖB gemäss Art. 51 DSG ist inhaltlich sehr breit. Eingeschränkt ist sie nur, aber immerhin dadurch, dass sie von der Verletzung von Datenschutzvorschriften abhängig ist: Der EDÖB kann verfügungsweise selbstredend nichts Anderes oder Weitergehendes anordnen, als die gesetzlichen Datenschutzbestimmungen ohnehin verlangen würden.

9 Die in Art. 51 DSG aufgeführten Massnahmen lassen sich in zwei Kategorien unterteilen

: Abs. 1, 2 und 4 sehen Massnahmen gegen Datenbearbeitungen vor, die Datenschutzvorschriften verletzen. Abs. 3 enthält flankierende Massnahmen bei Verletzungen von Ordnungsvorschriften oder Pflichten gegenüber der betroffenen Person. Der EDÖB kann verfügte Verwaltungsmassnahmen gegen private Personen gegebenenfalls mit einer Strafandrohung gemäss Art. 63 DSG versehen (vgl. vorgängig N. 2).

A. Massnahmen gegen Datenschutzvorschriften verletzende Datenbearbeitungen (Art. 51 Abs. 1, 2 und 4 DSG)

10 Die erste Massnahmenkategorie erfasst datenschutzwidrige Datenbearbeitungen und zielt auf die Wiederherstellung der Einhaltung der verletzten Vorschriften ab. Der EDÖB kann je nach Konstellation die nötigen Anordnungen gemäss Art. 51 Abs. 1, 2 oder 4 DSG verfügen.

11 Im Sinne einer Generalklausel räumt Art. 51 Abs. 1 DSG dem EDÖB bezüglich Datenbearbeitungen, die Datenschutzvorschriften verletzen, die Befugnis ein, eine teilweise oder vollständige Anpassung, Unterbrechung oder Abbrechung sowie die teilweise oder vollständige Löschung oder Vernichtung der betreffenden Personendaten zu verfügen.

12 In Art. 51 Abs. 2 und Abs. 4 DSG werden mit der vorschriftswidrigen Datenbekanntgabe ins Ausland und der unterlassenen Bezeichnung einer schweizerischen Vertretung für ausländische Datenbearbeiter nach Art. 14 DSG überdies zwei spezifische Fälle von datenschutzwidrigen Datenbearbeitungen separat geregelt.

13 Bei einer vorschriftswidrigen Datenbekanntgabe ins Ausland kann der EDÖB deren Aufschub oder Verbot verfügen (Art. 51 Abs. 2 DSG). Hiervon erfasst sind einerseits Verletzungen von Art. 16 und Art. 17 DSG, welche den Datenexport aus der Schweiz regeln, und andererseits Verstösse gegen Bestimmungen betreffend die Bekanntgabe von Personendaten ins Ausland in anderen Bundesgesetzen. Der Einbezug von Verletzungen anderer Bundesgesetze wurde trotz entsprechender Kritik in der Vernehmlassung unverändert belassen. Ihm dürfte praktisch indessen wenig eigenständige Bedeutung zukommen, da solche Datenexporte regelmässig den Grundsatz der Rechtmässigkeit der Datenbearbeitung (Art. 6 Abs. 1 DSG) verletzen und damit auch unter die Generalklausel von Art. 51 Abs. 1 DSG subsumiert werden könnten.

14 Im Falle einer Verletzung von Art. 14 DSG kann der EDÖB die Bezeichnung einer schweizerischen Vertretung durch private Verantwortliche mit Wohnsitz oder Sitz im Ausland verfügungsweise anordnen (Art. 51 Abs. 4 DSG).

B. Flankierende Massnahmen bei Verletzungen von Ordnungsvorschriften oder Pflichten gegenüber betroffenen Personen (Art. 51 Abs. 3 DSG)

15 Die zweite Massnahmenkategorie richtet sich gegen Fälle, in denen Ordnungsvorschriften oder Pflichten gegenüber betroffenen Personen nicht beachtet werden.

Dabei muss es nicht zu einer Datenschutzverletzung gekommen sein. Hierzu enthält Art. 51 Abs. 3 DSG eine nicht abschliessende Liste möglicher Anordnungen. Diese sind jeweils im Zusammenspiel mit Verpflichtungen zu lesen, welche das DSG im zweiten und dritten Kapitel für Bundesorgane und private Personen aufstellt.

16 Bei der Mehrzahl der in Art. 51 Abs. 3 DSG aufgeführten Massnahmen handelt es sich um Informations- und Konsultationsanordnungen, mit denen der Verantwortliche aufgefordert wird, den EDÖB und/oder die von einer Datenbearbeitung betroffenen Personen bezüglich bestimmter Vorgänge zu informieren oder zu konsultieren (Art. 51 Abs. 3 lit. a, c, e, f und g DSG). Im Einzelnen kann der EDÖB Verantwortliche mittels Verfügung dazu auffordern,

• ihm die entsprechenden Klauseln bzw. Garantien vorgängig mitzuteilen, sofern eine Datenbekanntgabe ins Ausland ohne angemessenen Schutz im Sinne von Art. 16 Abs. 1 DSG geplant ist und der Datenschutz mittels vertraglicher Datenschutzklauseln nach Art. 16 Abs. 2 lit. b DSG oder mittels spezifischer Garantien, die das zuständige Bundesorgan erarbeitet hat (Art. 16 Abs. 2 lit. c DSG), gewährleistet werden soll (Art. 51 Abs. 3 lit. a DSG);

• ­ihn gemäss Art. 17 Abs. 2 DSG über Fälle von Datenbekanntgaben ins Ausland zu informieren, welche unter die Ausnahmeregeln von Art. 17 Abs. 1 lit. b Ziff. 2, lit. c und lit. d DSG fallen (Art. 51 Abs. 3 lit. a DSG);

• ­ihren Informationspflichten gegenüber den betroffenen Personen bei der Beschaffung von Personendaten (Art. 19 DSG) und bei automatisierten Einzelentscheidungen (Art. 21 DSG) nachzukommen (Art. 51 Abs. 3 lit. c DSG);

• ­ihn gemäss Art. 23 DSG in Fällen zu konsultieren, in denen eine vorgenommene Datenschutz-Folgenabschätzung trotz vorgesehener Schutzmassnahmen nach wie vor ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen ergibt (Art. 51 Abs. 3 lit. e DSG);

• ­ihm gemäss Art. 24 DSG Verletzungen der Datensicherheit zu melden sowie unter den Voraussetzungen von Art. 24 Abs. 4 und 5 DSG die betroffenen Personen darüber zu informieren (Art. 51 Abs. 3 lit. f DSG);

• ihrer Auskunftspflicht gegenüber den betroffenen Personen gemäss Art. 25 DSG nachzukommen (Art. 51 Abs. 3 lit. g DSG).

17 Die weiteren in lit. b und d von Art. 51 Abs. 3 DSG aufgelisteten Massnahmen sind Handlungsanordnungen. Mithin kann der EDÖB Verantwortliche mittels Verfügung dazu auffordern,

• die erforderlichen technischen und organisatorischen Massnahmen (TOM) für eine Datenbearbeitung zu treffen, unter Einhaltung der Datenschutzvorschriften (Art. 7 Abs. 1 und 2 DSG) sowie unter Gewährleistung einer angemessenen Datensicherheit nach Art. 8 DSG und den Art. 1 ff. DSV (Art. 51 Abs. 3 lit. b DSG);

• ­datenschutzfreundliche Voreinstellungen gemäss Art. 7 Abs. 3 DSG zu verwenden (Art. 51 Abs. 3 lit. b DSG);

• eine Datenschutz-Folgenabschätzung nach Art. 22 DSG vorzunehmen (Art. 51 Abs. 3 lit. d DSG).

III. Verfahrensrechtliches

A. Allgemeines

18 Die Massnahmen werden durch den EDÖB als Verfügung erlassen

: In verfahrensrechtlicher Hinsicht gelangen bezüglich der Verwaltungsmassnahmen nach Art. 51 DSG grundsätzlich die Bestimmungen des VwVG zur Anwendung (Art. 52 Abs. 1 DSG). Parteistellung kommt dabei gemäss Art. 52 Abs. 2 DSG nur dem Bundesorgan oder der privaten Person zu, gegen das bzw. die eine Untersuchung eröffnet wurde. Nicht Partei sind mithin etwa die von einer Datenbearbeitung betroffenen Personen, selbst wenn die Untersuchung durch ihre Anzeige nach Art. 49 Abs. 1 DSG veranlasst wurde. Der EDÖB eröffnet seine Verfügungen grundsätzlich ausschliesslich den Adressaten. Nur in Fällen von allgemeinem Interesse informiert er die Öffentlichkeit (Art. 57 Abs. 2 DSG). Der EDÖB muss seine Verfügungen ausreichend begründen, damit die Verantwortlichen in der Lage sind, die angeordneten Massnahmen zu evaluieren und umzusetzen oder auch dagegen Beschwerde zu führen. Mit anderen Worten muss Inhalt der Verfügung jeweils eine konkrete Handlungsanweisung sein, welche als solche vollstreckt werden kann. Pauschale Anordnungen, wonach der Verfügungsadressat seine Datenbearbeitung derart anzupassen hat, dass sie die datenschutzrechtlichen Anforderungen des DSG erfüllt, wären mithin nicht präzis genug. Werden nach einer Untersuchung keine Massnahmen angeordnet oder wird lediglich eine Verwarnung im Sinne von Art. 51 Abs. 5 DSG ausgesprochen, ist das Untersuchungsverfahren dennoch durch den EDÖB formell abzuschliessen.

19 Massnahmenverfügungen des EDÖB gemäss Art. 51 DSG können vom Bundesorgan oder der privaten Person, gegen das bzw. die sie sich richten, nach den allgemeinen Regeln der Bundesrechtspflege mit Beschwerde beim Bundesverwaltungsgericht angefochten werden (vgl. Art. 52 Abs. 1 DSG i.V.m. Art. 44 ff. VwVG). Beschwerdeentscheide des Bundesverwaltungsgerichts unterliegen der Beschwerde in öffentlich-rechtlichen Angelegenheiten an das Bundesgericht (Art. 82 lit. a i.V.m. Art. 86 Abs. 1 lit. a BGG). Hier kommt neben dem Verfügungsadressaten auch dem EDÖB eine Beschwerdebefugnis zu (Art. 52 Abs. 3 DSG). Mangels Parteistellung (vgl. Art. 52 Abs. 2 DSG und vorgängig N. 18) sind die betroffenen Personen demgegenüber nicht zur Erhebung von Rechtsmitteln gegen Verfügungen des EDÖB und gegen Beschwerdeentscheide legitimiert.

20 Hinsichtlich des Vollzugs der angeordneten Verwaltungsmassnahmen kommen zufolge der Verweisung in Art. 52 Abs. 1 DSG ergänzend die Art. 39–43 VwVG zur Anwendung.

21 Anders als noch unter dem aDSG, nach welchem dem Verantwortlichen für den Erlass einer Empfehlung keine Gebühren auferlegt werden durften (vgl. Art. 33 aVDSG), sieht Art. 59 Abs. 1 lit. d DSG nunmehr vor, dass von privaten Personen für die Anordnung von Massnahmen nach Art. 51 DSG eine Gebühr erhoben wird (vgl. auch Art. 44 DSV). Weiterhin keine Gebühr fällt mangels entsprechender gesetzlicher Grundlage für Verfügungen gegen Bundesorgane an (Art. 59 Abs. 1 lit. d DSG e contrario; vgl. Botschaft 2017, S. 7098).

B. Vorsorgliche Massnahmen

22 Im E-DSG von 2017 war vorgesehen, den EDÖB durch einen Absatz im Artikel betreffend das Untersuchungsverfahren ausdrücklich zu ermächtigen, für die Dauer der Untersuchung vorsorgliche Massnahmen anzuordnen und diese durch eine Bundesbehörde oder die kantonalen oder kommunalen Polizeiorgane vollstrecken zu lassen (Art. 44 Abs. 2 E-DSG [2017]).

Nachdem das Parlament diesen Absatz jedoch aus Art. 50 DSG, der finalen Fassung von Art. 44 E-DSG, gestrichen hat, räumt das DSG dem EDÖB nicht mehr direkt die Befugnis ein, für die Dauer seiner Untersuchungen vorsorgliche Anordnung zu treffen. Nunmehr ergibt sich die Kompetenz des EDÖB zum Erlass vorsorglicher Massnahmen nur noch indirekt aus dem Gebührenartikel, der in Art. 59 Abs. 1 lit. d DSG den Erlass vorsorglicher Massnahmen des EDÖB gegenüber privaten Personen für gebührenpflichtig erklärt. Wie bereits unter dem aDSG muss die Anordnung provisorischer oder gar superprovisorischer Massnahmen im Rahmen von datenschutzrechtlichen Untersuchungen aber jedenfalls möglich sein; die Streichung der betreffenden Bestimmung ist als gesetzgeberisches Versehen und nicht als qualifiziertes Schweigen zu deuten.

23 Während der EDÖB unter altem Recht mangels eigener Verfügungskompetenz für den Erlass vorsorglicher Massnahmen an das Bundesverwaltungsgericht gelangen musste (Art. 33 Abs. 2 aDSG), kann er sie neu selbst erlassen.

24 Der unter neuem Recht nicht mehr geltende Art. 33 Abs. 2 aDSG wies indessen genau besehen nicht nur die Zuständigkeit für den Erlass vorsorglicher Massnahmen im Rahmen von datenschutzrechtlichen Untersuchungen dem Bundesverwaltungsgericht zu, sondern regelte darüber hinaus auch Voraussetzungen und Verfahren. In ersterem Kontext verlangte Art. 33 Abs. 2 aDSG, dass den betroffenen Personen ein nicht leicht wiedergutzumachender Schaden droht. Verfahrensrechtlich erklärte die Bestimmung Art. 79-84 BZP für sinngemäss anwendbar.

25 Nach dem Wegfall von Art. 33 Abs. 2 aDSG fehlen nun explizite Voraussetzungs- und Verfahrensregeln für den einstweiligen Rechtsschutz. Im Ergebnis dürfte sich freilich wenig an der inhaltlichen Beurteilung von vorsorglichen Massnahmen in datenschutzrechtlichen Untersuchungen ändern. Das gemäss Art. 52 Abs. 1 DSG auf das Untersuchungsverfahren anwendbare VwVG enthält lediglich Bestimmungen zum Erlass vorsorglicher Massnahmen im Beschwerdeverfahren (vgl. insbesondere Art. 55 und Art. 56 VwVG), nicht aber im vorgelagerten Verwaltungsverfahren. Jedoch ist die Zulässigkeit vorsorglicher Massnahmen im Verwaltungsverfahren anerkannt, ergibt sie sich doch direkt aus dem Gebot der Durchsetzung des materiellen Rechts.

Für den Erlass vorsorglicher Massnahmen durch den EDÖB im Untersuchungsverfahren ist vorab vorausgesetzt, dass ein nicht leicht wiedergutzumachender Nachteil zu erwarten ist. Anders als noch unter dem aDSG muss dieser nach der hier vertretenen Auffassung nicht zwingend den von der Datenbearbeitung betroffenen Personen drohen, auch wenn er in der Praxis wohl regelmässig bei ihnen anzusiedeln sein wird. Weiter muss eine entsprechende Dringlichkeit für den sofortigen Erlass bestehen und dieser muss zur Wahrung überwiegender öffentlicher oder privater Interessen geeignet, erforderlich und aufgrund der gesamten Umstände verhältnismässig erscheinen. Als einstweilige Anordnungen dürfen vorsorgliche Massnahmen den schlussendlich zu regelnden Zustand weder präjudizieren noch verunmöglichen. Im Zeitpunkt, zu dem provisorische Anordnungen zur Diskussion stehen, ist der Ausgang der datenschutzrechtlichen Untersuchung meist noch ungewiss und es kann lediglich eine summarische Prüfung der Sach- und Rechtslage erfolgen. Entsprechend ist zwar im Zuge der Prüfung von vorsorglichen Massnahmen eine Hauptsachenprognose anzustellen, aber diese steht einer provisorischen Anordnung nur dann im Wege, wenn sie eindeutig negativ ausfällt.

26 Inhaltlich dürften sich die Anordnungen am Katalog der Verwaltungsmassnahmen nach Art. 51 DSG orientieren. Häufig wird es darum gehen, mittels provisorischer Anordnungen potentiell datenschutzwidrige Datenbearbeitung für die Dauer des Verfahrens zu untersagen, um zusätzlichen Schaden zu vermeiden, der aus der unveränderten Fortführung der betreffenden Bearbeitung während einer mitunter komplexen und langwierigen Untersuchung resultieren könnte.

Literaturverzeichnis

Baeriswyl Bruno, Kommentierung zu Art. 51 DSG, in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Datenschutzgesetz, Stämpflis Handkommentar, 2. Aufl., Bern 2023.

Baeriswyl Bruno, Der «grosse Bruder» DSGVO und das revDSG: Ein vergleichender Überblick, SZW 2021, S. 8–15 (zit. Baeriswyl DSGVO-Vergleich).

Baeriswyl Bruno, Souveräner Rechtsschutz ist notwendig, digma 2017, S. 38–42 (zit. Baeriswyl Souveräner Datenschutz).

Baeriswyl Bruno, Kommentierung zu Art. 27 aDSG, in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Datenschutzgesetz, Stämpflis Handkommentar, Bern 2015.

Baeriswyl Bruno, Kommentierung zu Art. 29 aDSG, in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Datenschutzgesetz, Stämpflis Handkommentar, Bern 2015.

Brunner Stephan C., Mit rostiger Flinte unterwegs in virtuellen Welten? Leitgedanken zur künftigen Entwicklung des schweizerischen Datenschutzrechts, Jusletter 4.4.2011.

Huber René, Kommentierung zu Art. 27 aDSG, in: Maurer-Lambrou Urs/Blechta Gabor-Paul (Hrsg.), Datenschutzgesetz/Öffentlichkeitsgesetz, Basler Kommentar, 3. Aufl., Basel 2014.

Huber René, Kommentierung zu Art. 29 aDSG, in: Maurer-Lambrou Urs/Blechta Gabor-Paul (Hrsg.), Datenschutzgesetz/Öffentlichkeitsgesetz, Basler Kommentar, 3. Aufl., Basel 2014.

Huber René, Die Teilrevision des Eidg. Datenschutzgesetzes – ungenügende Pinselrenovation, recht 2006, S. 205–221.

Kugelmann Dieter/Buchmann Antonia, Kommentierung zu Art. 58 DSGVO, in: Schwartmann Rolf/Jaspers Andreas/Thüsing Gregor/Kugelmann Dieter (Hrsg.), Heidelberger Kommentar DS-GVO/BDSG, Heidelberg 2018.

Reudt-Demont Janine/Gordon Clara-Ann/Egli Luisa, Das revidierte Datenschutzgesetz: Wichtigste Neuigkeiten mit Fokus auf Gesundheitsdaten, LSR 2021, S. 264–269.

Rosenthal David, Das neue Datenschutzgesetz, Jusletter 16.11.2020 (zit. Rosenthal nDSG).

Rosenthal David, Der Entwurf für ein neues Datenschutzgesetz: Was uns erwartet und was noch zu korrigieren ist, Jusletter 27.11.2017 (zit. Rosenthal E-DSG).

Rosenthal David, Kommentierung zu Art. 29 aDSG, in: Rosenthal David/Jöhri Yvonne (Hrsg.), Handkommentar zum Datenschutzgesetz sowie weiteren, ausgewählten Bestimmungen, Zürich 2008.

Rudin Beat, Verpasste Chance und Handlungsbedarf: Ein Blick auf die Datenschutzrechts-Reform(en) und die Wirksamkeit der Datenschutzaufsicht, digma 2020, S. 180–187.

Selmayr Martin, Kommentierung zu Art. 58 DSGVO, in: Ehmann Eugen/Selmayr Martin (Hrsg.), Datenschutz-Grundverordnung, München 2017.

Thür Hanspeter, Rolle der Datenschutzbeauftragten: Aufgabe und Instrumente der Datenschutzbehörde im Wandel, digma 2003, S. 80–82.

Walter Jean-Philippe, «Vingt ans de législation sur la protection des données, rétrospectives et perspectives» – L’évolution du droit de la protection des données: perspectives, Jusletter 25.6.2012.

Materialienverzeichnis

Bericht des Bundesrates über die Evaluation des Bundesgesetzes über den Datenschutz vom 9.12.2011, BBl 2012 S. 335 ff., abrufbar unter https://www.fedlex.admin.ch/filestore/fedlex.data.admin.ch/eli/fga/2012/86/de/pdf-a/fedlex-data-admin-ch-eli-fga-2012-86-de-pdf-a.pdf, besucht am 28.6.2023.

Botschaft zur Genehmigung des Protokolls vom 10.10.2018 zur Änderung des Übereinkommens zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten vom 6.12.2019, BBl 2020 S. 565 ff., abrufbar unter https://www.fedlex.admin.ch/filestore/fedlex.data.admin.ch/eli/fga/2020/60/de/pdf-a/fedlex-data-admin-ch-eli-fga-2020-60-de-pdf-a.pdf, besucht am 28.6.2023.

Botschaft zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz vom 15.9.2017, BBl 2017 S. 641 ff., abrufbar unter https://www.fedlex.admin.ch/filestore/fedlex.data.admin.ch/eli/fga/2017/2057/de/pdf-a/fedlex-data-admin-ch-eli-fga-2017-2057-de-pdf-a.pdf, besucht am 28.6.2023.

Bundesgesetz über den Datenschutz, Änderung vom 24.3.2006, BBl 2006 S. 3547 ff., abrufbar unter https://www.fedlex.admin.ch/filestore/fedlex.data.admin.ch/eli/fga/2006/373/de/pdf-a/fedlex-data-admin-ch-eli-fga-2006-373-de-pdf-a.pdf, besucht am 28.6.2023.

Durchführungsbeschluss 7281/19 des Rates der Europäischen Union zur Festlegung einer Empfehlung zur Beseitigung der 2018 bei der Evaluierung der Anwendung des Schengen-Besitzstands im Bereich des Datenschutzes durch die Schweiz festgestellten Mängel vom 8.3.2019, abrufbar unter https://data.consilium.europa.eu/doc/document/ST-7281-2019-INIT/de/pdf, besucht am 28.6.2023.

Normkonzept zur Revision des Datenschutzgesetzes – Bericht der Begleitgruppe Revision DSG vom 29.10.2014, abrufbar unter https://www.newsd.admin.ch/newsd/message/attachments/75506.pdf, besucht am 28.6.2023.