Die Kompetenzen des EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) im Rahmen des revidierten Datenschutzgesetzes (DSG)
In der Schweiz wacht der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) über die Einhaltung des Datenschutzes von privaten Personen und den Bundesorganen. Ihm wurden im Rahmen des revidierten Datenschutzgesetzes neue Kompetenzen zugesprochen. Nachfolgend wird Ihnen ein kurzer Überblick gegeben, welche Werkzeuge dem EDÖB zur Verfügung stehen und welche Aufgaben er zu erfüllen hat.
Neue Kompetenzen
Das revidierte Datenschutzgesetz (DSG) verleiht dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) erweiterte Kompetenzen und hat insbesondere seine Aufsichtsbefugnisse gestärkt. Unter dem bisherigen Recht konnte die Behörde lediglich Abklärungen vornehmen, Empfehlungen aussprechen und bei Nichtbefolgung oder Ablehnung seiner Empfehlungen den Fall der zuständigen Instanz zur Entscheidung vorlegen. Der EDÖB agierte somit zahnlos. Unter dem neuen DSG wurde er mit deutlich stärkeren Massnahmen ausgestattet, die es ihm erlauben, Verfügungen zu erlassen und damit in verbindlicher und erzwingbarer Weise Regeln aufzustellen sowie Sanktionsmassnahmen auszusprechen.
Untersuchung von Datenschutzverstössen
Eine der wichtigsten Aufgaben und Kompetenzen des EDÖB ist die Untersuchung von potenziellen Datenschutzverletzungen durch Bundesorgane und private Personen.
Der EDÖB kann von Amts wegen oder auf Informationen von Dritten hin eine Untersuchung gegen ein Bundesorgan oder eine private Person einleiten, wenn genügend Anzeichen für einen Verstoss gegen Datenschutzvorschriften vorliegen. Es genügt, dass die Anzeichen die berechtigte Vermutung zulassen, dass eine Datenbearbeitung gegen die Datenschutzvorschriften verstösst. Obwohl keine allzu hohen Anforderungen gestellt werden, wird in der Praxis nicht jede vage Behauptung einer Verletzung genügen. Theoretisch bereits genügen könnte beispielsweise ein Zeitungsbericht über einen Datenverlust, ein genügend bestimmter Kommentar in den sozialen Medien über den Umgang mit Kundendaten oder ein Videobeitrag auf einer Online-Plattform. Für Verantwortliche wird es zukünftig somit wichtig sein, das Narrativ von Beiträgen, insbesondere wenn sie Datenschutzverletzungen betreffen, steuern zu können.
Bei ersten Anzeichen für einen Verstoss gegen Datenschutzbestimmungen, prüft der EDÖB im Rahmen einer informellen Vorabklärung, ob sämtliche Bedingungen für eine Untersuchung erfüllt sind [1]. Dies ist ebenfalls dem effizienten Einsatz der dem EDÖB zur Verfügung stehenden Ressourcen geschuldet.
Liegt ein hinreichendes öffentliches Interesse an einer Untersuchung vor, so soll der EDÖB handeln. Art. 49 DSG ist eine «Kann-Bestimmung», die dem EDÖB einen gewissen Handlungsspielraum bei der Entscheidung lässt, ob er eine Untersuchung einleitet oder darauf verzichtet. Es obliegt dem EDÖB, über die Zweckmässigkeit einer solchen Untersuchung zu entscheiden. Daher besteht weiterhin kein Anspruch eines Anzeigers auf die Durchführung einer formellen Untersuchung. Man darf davon ausgehen, dass der EDÖB bei strukturellen oder sektoriellen Problemen eher zu einer Untersuchung tendieren wird als bei einem kleineren Einzelfall (als potenzielle Verletzung von geringfügiger Bedeutung).
Führt der EDÖB eine Untersuchung durch, sind sowohl die betroffenen Parteien als auch mögliche Dritte grundsätzlich zur Mitwirkung verpflichtet. Um sicherzustellen, dass die Aufsichtstätigkeit auch dann wirksam ausgeführt werden kann, wenn die zur Mitwirkung verpflichteten Personen ihren Pflichten nicht nachkommen, ist der EDÖB mit bestimmten Ermittlungs- und Eingriffsbefugnissen ausgestattet (vgl. Art. 50 DSG). Zwar hatte der EDÖB bereits unter dem alten Recht im Rahmen von Sachverhaltsabklärungen die Befugnis, Akten anzufordern, Auskünfte einzuholen und sich Datenbearbeitungen vorführen zu lassen, konnte diese Massnahmen aber nicht selber durchsetzen. Neu hat der EDÖB die direkte Befugnis, prozessuale Anordnungen zu erlassen, um die erforderlichen Informationen zu beschaffen, beispielsweise den Zugang zu Räumlichkeiten oder Anlagen oder Zeugeneinvernahmen anzuordnen.
Ergreifung von Verwaltungsmassnahmen
Bei festgestellten Verletzungen von Datenschutzvorschriften kann der EDÖB verfügen, dass die Datenbearbeitung ganz oder teilweise angepasst, unterbrochen oder abgebrochen wird. Auch die Löschung oder Vernichtung von Personendaten kann angeordnet werden.[2] Die Anordnung von Verwaltungsmassnahmen liegt im Ermessen des EDÖB, was bedeutet, dass er nicht gesetzlich verpflichtet ist, solche Massnahmen zu ergreifen. Bei der Entscheidung, ob und in welchem Umfang eine Verfügung erlassen werden soll, ist der Grundsatz der Verhältnismässigkeit zu beachten. Es sollen nur Massnahmen angeordnet werden, die erforderlich sind, um die Rechtmässigkeit der Datenbearbeitung im spezifischen Einzelfall zu gewährleisten. Vor der Erlassung einer Verfügung muss er zunächst mildere Massnahmen in Betracht ziehen, wie z.B. die Beratung der Verantwortlichen darüber, wie das Fehlverhalten behoben werden kann, oder das Aussprechen einer Verwarnung.
Keine Bussen und Strafantragsrecht
Im Gegensatz zu europäischen Datenschutzbehörden besitzt der EDÖB weiterhin keine direkten Sanktionsbefugnisse im Sinne von Erteilung von Bussen. Entsprechende datenschutzrechtlich vorgesehene Sanktionen (vgl. Art. 60 ff. DSG) werden durch kantonale Strafverfolgungsbehörden verhängt. Der EDÖB kann Anzeige erstatten und im Verfahren die Rechte einer Privatklägerschaft wahrnehmen, jedoch steht ihm kein Strafantragsrecht (Antrag auf Strafverfolgung) zu. Die Delikte gemäss Art. 60 ff. DSG sind Strafantragsdelikte (Antrag notwendig für Beginn Strafverfolgung). Der EDÖB kann folglich deren Verfolgung nicht aufgrund des Antragserfordernisses nicht auslösen.
Weitere Aufgaben
Art. 58 DSG überträgt dem EDÖB zahlreiche weitere Aufgaben. Der Katalog ist nicht abschliessend und dient insbesondere dazu, die Beratungs- und Informationsaktivitäten des EDÖB zu konkretisieren. Auf die wichtigsten wird nachfolgend kurz eingegangen.
a. Konsultation bei Datenschutz-Folgenabschätzungen
Wenn geplante Bearbeitungen von Personendaten ein potenziell hohes Risiko für die Persönlichkeitsrechte oder die Grundrechte von Einzelpersonen mit sich bringen können, ist der private oder behördliche Verantwortliche verpflichtet, eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen.[3] Sollte die DSFA ergeben, dass trotz angemessener Massnahmen weiterhin ein hohes Risiko für die Persönlichkeitsrechte oder die Grundrechte der Betroffenen besteht, muss der Verantwortliche vor der Durchführung der Bearbeitung den EDÖB konsultieren. Der EDÖB überprüft die DSFA, insbesondere, ob die vorgeschlagenen Massnahmen zum Schutz der Grundrechte und Persönlichkeit der betroffenen Personen ausreichend sind. Die Vorabkonsultation erfolgt innerhalb von zwei Monaten und schliesst mit einer Stellungnahme aus rechtlicher, organisatorischer und technischer Sicht des EDÖB ab. Bei Einwänden gegen die geplante Datenbearbeitung werden geeignete Massnahmen vorgeschlagen, die zur Verbesserung des Datenschutzes führen. Die Stellungnahme des EDÖB stellt keine Bewilligung für die geplante Datenbearbeitung dar. Sie ist nicht anfechtbar, jedoch mit Gebühren verbunden.[4]
b. Schulung und Beratung von Verantwortlichen/Beratung betroffener Personen
Der EDÖB informiert, schult und berät Datenschutzverantwortliche in allen Fragen des Datenschutzes. Die Beratung der privaten Personen ist im Gegensatz zur Beratung von Bundesorganen kostenpflichtig. Ob man sich betreffend Umsetzung des Datenschutzes von der Aufsichtsbehörde beraten lassen sollte, muss dabei jeder Verantwortliche selbst entscheiden. Ratsam ist eher, Unterstützung von unabhängigen Anwälten oder Beratern einzuholen.
Überdies kann der EDÖB auch betroffene Personen beraten, wie sie ihre Rechte wahrnehmen können (in der Regel mit einer Standardantwort bzw. in Form eines Merkblatts auf der Website). Diese Beratung erfolgt kostenlos und soll der aussergerichtlichen Durchsetzung des Datenschutzrechts dienen.
c. Aufgaben im Zusammenhang mit der Datenbekanntgabe ins Ausland
Der freie Verkehr von Personendaten aus der Schweiz in ein anderes Land ist grundsätzlich zulässig, wenn das Datenschutzniveau im Empfängerland angemessen ist. Fehlt ein entsprechendes Datenschutzniveau im Empfängerland, kann eine Datenübertragung dennoch zulässig sein, wenn der Datenschutz auf andere Weise gewährleistet wird. Hierfür kommen insbesondere vertragliche Klauseln zum Einsatz. Diese vertraglichen Klauseln müssen vor dem Datentransfer ins Ausland dem EDÖB mitgeteilt werden. In der Praxis üblicher ist die Verwendung von Standarddatenschutzklauseln, welche der EDÖB bereits vorgehend genehmigt hat. Eine Liste der Klauseln ist in der Infothek des EDÖB verfügbar.[5]
Stärkung der Aufsichtsbehörde?
Wie aufgezeigt, stärkt das revidierte DSG die Stellung des EDÖB als Aufsichtsbehörde. Die ihm zugewiesenen Tätigkeiten sind jedoch umfassend und müssen mit begrenzten Ressourcen erbracht werden. Es wird deshalb spannend sein, welche Praxis der EDÖB verfolgen wird, um dem Datenschutz in der Schweiz (weiter) zum Durchbruch zu verhelfen. Gerade die Aufarbeitung und Untersuchung der verschiedenen Sicherheitsvorfälle bei Dienstleistern des Bundes (Xplain AG sowie Concevis AG) wird sich dabei als wichtiger Meilenstein herausstellen. Der EDÖB wird hier beweisen müssen, dass die neue Stärke verhältnismässig genutzt wird.
[1] Merkblatt EDÖB betreffend die Untersuchung von Verstössen gegen Datenschutzvorschriften durch den EDÖB, Stand September 2023.
[2] Vgl. Art. 51 Abs. 1 DSG.
[3] Siehe Beitrag Datenschutz-Folgeabschätzung, Ausgabe Juni 2023
[4] Vgl. Art. 23 DSG; www.edoeb.admin.ch/ edoeb/de/home/datenschutz/grundlagen/ rolle-edoeb.html.
[5] Vgl. Art. 23 DSG; www.edoeb.admin.ch/ edoeb/de/home/datenschutz/grundlagen/ rolle-edoeb.html.
