Pflicht zur Benennung einer Vertretung nach Artikel 14 DSG

Zweck der Vertretung

Gemäss Art. 14 Abs. 2 DSG dient die Vertretung als Anlaufstelle sowohl für die betroffenen Personen als auch für den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB). Für Letzteren gilt die Vertretung als Zustellungsdomizil, sofern sich der Verantwortliche nicht durch eine Anwältin oder einen Anwalt in der Schweiz vertreten lässt. In diesem Fall besteht an der Geschäftsadresse der Anwältin oder des Anwalts ein Zustellungsdomizil (BGE 143 III 28, E. 2.2.1).

Gesetzliche Voraussetzungen der Benennungspflicht

Private Verantwortliche müssen eine Vertretung in der Schweiz benennen, wenn die Voraussetzungen nach Art. 14 Abs. 1 DSG kumulativ erfüllt sind:

• Die Bearbeitung steht im Zusammenhang mit dem Angebot von Waren und Dienstleistungen oder der Beobachtung des Verhaltens von Personen in der Schweiz;
• Es handelt sich um eine umfangreiche Bearbeitung, wobei mit umfangreich eine Datenbearbeitung gemeint ist, bei der Personendaten nicht bloss vereinzelt bearbeitet werden;
• Es handelt sich um eine regelmässige Bearbeitung, sprich Daten werden nicht nur gelegentlich oder nur für eine beschränkte Zeitdauer bearbeitet;
• Die Bearbeitung bringt ein hohes Risiko für die Persönlichkeit der betroffenen Personen mit sich. Das hohe Risiko kann sich insbesondere aus der Menge und der Art der bearbeiteten Daten (namentlich bei besonders schützenswerten Personendaten), dem Zweck der Datenbearbeitung, der Art und Weise der Datenbearbeitung (z.B. beim Einsatz neuer Technologien), einer allfälligen Datenbekanntgabe ins Ausland sowie der Zugriffsberechtigung auf die Daten (z.B. bei Zugriffen durch eine grosse oder gar unbegrenzte Anzahl Personen) ergeben.

Verantwortliche, welche die gesetzlichen Voraussetzungen der Vertretungspflicht nach Art. 14 DSG nicht oder noch nicht erfüllen, können eine solche Vertretung freiwillig resp. vorsorglich benennen.

Gesetzliches Kriterium des «hohen Risikos»

Der Gesetzgeber des DSG verwendet in einer Vielzahl von Bestimmungen die Begrifflichkeit des «hohen Risikos». Bei der Auslegung dieser Terminologie gilt es den unterschiedlichen Zwecken dieser Bestimmungen gebührende Beachtung zu schenken:

Bei der Prüfung des «hohen Risikos» im Kontext der Datenschutz-Folgenabschätzung nach den Art. 22 und 23 DSG sind die datenschutzrelevanten Auswirkungen punktueller Bearbeitungen von Personendaten zu analysieren, welche ein Verantwortlicher konkret plant. Demgegenüber muss sich das zur Bestimmung der Vertretungspflicht eines privaten Unternehmens nach Art. 14 DSG herangezogene «hohe Risiko» auf die Gesamtheit aller bereits bestehenden oder geplanten Datenbearbeitungen beziehen, mit denen das fragliche Unternehmen auf die Persönlichkeit von Einwohnerinnen und Einwohner der Schweiz einwirkt oder einzuwirken plant.

Für die Beurteilung der Vertretungspflicht nach Art. 14 DSG beurteilt der EDÖB das potenzielle «Brutto-Risiko», welches sich aus dieser Gesamtheit von datenschutzrelevanten Datenbearbeitungen ergibt. Damit ist gemeint, dass das «hohe Risiko» nach Art. 14 DSG ohne Berücksichtigung von Massnahmen zu ermitteln ist, die das verantwortliche private Unternehmen zur Senkung von datenschutzrelevanten Risiken trifft oder zu treffen beabsichtigt.

Führt die Prüfung des «hohen Risikos» nach Art. 14 DSG zum Schluss, dass für die betroffenen Personen in der Schweiz ein solches Risiko besteht, und sind die weiteren Voraussetzungen nach dieser Bestimmung erfüllt, muss der Verantwortliche in der Schweiz eine Vertretung benennen.

Benennung der Vertretung

Art. 14 Abs. 3 DSG bestimmt, dass Verantwortliche den Namen und die Adresse der Vertretung veröffentlichen, z.B. in einer Datenschutzerklärung. Weil die Vertretung neben den Betroffenen auch für den EDÖB als Anlaufstelle dient (Art. 14 Abs. 2 DSG), kann sie dem EDÖB freiwillig mitgeteilt werden. Verantwortliche, die über das entsprechende Portal des EDÖB Datenschutzberaterinnen und -berater ernannt haben, können diese Informationen mit dem Vermerk «Vertretung» über dieses Portal erfassen. Alternativ ist eine freiwillige Meldung an den EDÖB über das Kontaktformular möglich.

Durchsetzung der Vertretungspflicht

Im Rahmen von Art. 51 Abs. 4 DSG kann der EDÖB die Pflicht zu deren Benennung mittels Verfügung anordnen. Zum Gegenstand seiner Verfügung kann er nicht nur die schriftliche Mitteilung des Namens und der Adresse an seine Aufsichtsbehörde, sondern auch die akzessorische Pflicht machen, diese Informationen zu veröffentlichen und für jedermann einfach auffindbar und dauerhaft zugänglich zu halten.