Das neue Datenschutzrecht tritt am 1. September 2023 in Kraft. Neuerungen gibt es nicht nur für Datenbearbeiter und betroffene Personen, sondern auch bezüglich der Aufgaben und Befugnisse des EDÖB, der seine aufsichtsrechtliche Tätigkeit intensivieren und die Anzahl der Untersuchungen erhöhen wird.
Rolle des EDÖB
Die Leiterin, der Leiter des EDÖB, also die oder der Beauftragte, wird in Zukunft vom Parlament gewählt. Bisher erfolgte die Wahl durch den Bundesrat und wurde von der Bundesversammlung lediglich bestätigt. Die neue Regelung verstärkt die Unabhängigkeit des Amtes von der Exekutive und dessen demokratische Legitimation. Er oder sie stellt sein Personal selber an und verfügt über ein eigenes Budget, dessen Entwurf unverändert an die Bundesversammlung weitergeleitet wird.
Wie bisher bleibt der EDÖB als Behörde administrativ der Bundeskanzlei zugeordnet, zumal die Kommunikation zwischen dem Bundesrat und dem EDÖB über den Bundeskanzler erfolgt. Aufgrund einer Leistungsvereinbarung erbringt die Bundeskanzlei für den EDÖB eine Reihe von Dienstleistungen im Bereich der Personaladministration, Finanzen und Büroautomatisation.
Neu stellt der Bundesrat fest, ob die Gesetzgebung eines Drittstaats einen angemessenen Schutz gewährt und somit Daten ohne weitere Massnahmen von der Schweiz ins Ausland bekanntgegeben werden dürfen. Die Liste wird als Anhang zur Datenschutzverordnung geführt.
Können geplante Bearbeitungen von Personendaten ein hohes Risiko für die Persönlichkeit oder die Grundrechte mit sich bringen, muss der private oder behördliche Verantwortliche eine Datenschutz-Folgenabschätzung (DSFA) erstellen. Ergibt sich aus der DSFA, dass mit der Bearbeitung trotz geeigneter Massnahmen weiterhin ein hohes Risiko für die Persönlichkeit oder die Grundrechte der Betroffenen einhergeht, muss sich der Verantwortliche vor deren Durchführung an den EDÖB wenden. Der EDÖB prüft die DSFA und teilt dem Verantwortlichen allfällige Einwände innert zweier Monate mit. Die Stellungnahme des EDÖB stellt keine «Bewilligung» der geplanten Datenbearbeitung dar. Sie ist nicht anfechtbar, aber gebührenpflichtig.
Mit dem revidierten Gesetz erhält der EDÖB neue Aufgaben. Berufs-, Branchen- und Wirtschaftsverbände können eigene Verhaltenskodizes entwickeln und diese dem EDÖB zur Stellungnahme vorlegen. Diese Stellungnahmen werden vom EDÖB veröffentlicht. Ebenso veröffentlicht er eine Liste der von ihm genehmigten, ausgestellten oder anerkannten Standarddatenschutzklauseln. Für seine Stellungnahme zu einem Verhaltenskodex wie auch für die Genehmigung von Standarddatenschutzklauseln und verbindlichen unternehmensinternen Datenschutzvorschriften kann der EDÖB neu Gebühren verlangen.
Neu müssen Verantwortliche Verletzungen der Datensicherheit, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen führen, dem EDÖB melden. Der EDÖB stellt dazu ein Meldeportal auf seiner Webseite zur Verfügung.
Der EDÖB hat als Aufsichtsorgan sicherzustellen, dass Bundesorgane und Privatpersonen die bundesrechtlichen Datenschutzvorschriften, insbesondere das Datenschutzgesetz (DSG), einhalten. Bestehen genügend Anzeichen, dass eine Datenbearbeitung gegen Datenschutzvorschriften verstossen könnte, eröffnet der EDÖB eine Untersuchung; vorbehalten bleibt eine Verletzung der Datenschutzvorschriften von geringfügiger Bedeutung. Im Rahmen der Untersuchung ermittelt der EDÖB, in welcher Art und Weise ein Bundesorgan oder eine private Person (resp. ein privates Unternehmen) Personendaten bearbeitet, die sich auf eine natürliche Person beziehen. Sodann beurteilt er gestützt auf den festgestellten Sachverhalt, ob ein Verstoss gegen Datenschutzvorschriften des Bundes vorliegt.
Mit dem Inkrafttreten des revidierten Datenschutzgesetzes wird die Schweiz die Konvention 108+ des Europarats ratifizieren. Dabei handelt es sich um ein verbindliches multilaterales Instrument im Bereich des Datenschutzes, das ursprünglich von 1981 datiert und nun modernisiert und an die Herausforderungen des digitalen Zeitalters angepasst worden ist. Um den Anforderungen der Konvention 108+ zu genügen, hat der Gesetzgeber die Untersuchungsbefugnisse des EDÖB ausgeweitet. Während dieser bei Datenbearbeitungen durch Privatpersonen bisher nur dann eine Sachverhaltsabklärung eröffnen durfte, wenn die Bearbeitungsmethoden geeignet waren, die Persönlichkeit einer grösseren Anzahl von Personen zu verletzen (Systemfehler), fällt diese Schwelle unter dem revidierten Recht weg.
Der Beauftragte wird somit ab Inkrafttreten des neuen Rechts die aufsichtsrechtliche Tätigkeit des EDÖB intensivieren und die Anzahl der formellen Untersuchungen schrittweise erhöhen. Die Behörde ist für den Vollzug des neuen Gesetzes mit zusätzlichen Personalressourcen ausgestattet worden und konnte die entsprechenden Rekrutierungen im Frühjahr 2023 erfolgreich abschliessen.
Hinweise auf mögliche Datenschutzverstösse können sich aus der laufenden Aufsichtstätigkeit ergeben oder dem EDÖB von betroffenen Personen oder Dritten, etwa Medienhäusern oder Konsumentenschutzorganisationen, angezeigt werden. Liegen dem EDÖB erste Hinweise auf einen Verstoss gegen Datenschutzvorschriften vor, prüft er zunächst im Rahmen informeller Abklärungen seine Zuständigkeit, ob genügend Anzeichen für einen Verstoss vorliegen und ob es sich um einen Verstoss von mehr als geringfügiger Bedeutung handelt. Dem EDÖB ist es dabei unbenommen, den Verantwortlichen zunächst formlos um die freiwillige Beantwortung von Fragen zu ersuchen, wenn z.B. seine Zuständigkeit unklar ist oder er es für denkbar hält, dass sich infolge der Kontaktaufnahme mit dem Verantwortlichen eine Untersuchung erübrigen könnte. Letzteres ist namentlich der Fall, wenn der Verantwortliche erste Anzeichen für einen Verstoss umgehend entkräften kann oder er aber innert nützlicher Frist freiwillig Massnahmen trifft, um die Einhaltung der Datenschutzvorschriften zu gewährleisten.
Nach bisherigem Recht erfolgte die Abklärung des Sachverhalts und der Frage, ob ein Verstoss gegen Datenschutzvorschriften vorliegt, im Rahmen einer Sachverhaltsabklärung, welche der EDÖB gegebenenfalls mit einer rechtlich nicht durchsetzbaren Empfehlung abschloss, eine bestimmte Datenbearbeitung zu ändern oder einzustellen. Nach neuem Recht richtet sich das Untersuchungsverfahren nach dem Verwaltungsverfahrensgesetz des Bundes (VwVG). Stellt der EDÖB im Verfahren einen Verstoss gegen Datenschutzvorschriften fest, hat er die Kompetenz, eine rechtlich durchsetzbare Verfügung im Sinne von Art. 5 VwVG zu erlassen, welche der Verantwortliche vor Bundesverwaltungsgericht anfechten muss, wenn er sich ihr nicht unterziehen will. Der EDÖB kann verfügen, dass eine Datenbearbeitung angepasst, unterbrochen oder abgebrochen wird oder Personendaten gelöscht werden.
Das revidierte Gesetz enthält zwei spezifische Bestimmungen zur Zusammenarbeit des EDÖB mit schweizerischen und ausländischen Behörden. Schweizer Behörden sind dem EDÖB gegenüber zur Amtshilfe verpflichtet, währenddem sich die Verpflichtung des EDÖB zur Leistung von Amtshilfe auf die schweizerischen Datenschutzbehörden, die Strafverfolgungsbehörden im Zusammenhang mit seinen Anzeigen und die für den Vollzug seiner Massnahmen beigezogenen Bundesbehörden und Polizeiorgane beschränkt.
Die Amtshilfe des EDÖB gegenüber ausländischen Behörden erstreckt sich auf Behörden, die für den Datenschutz zuständig sind. Gegenstand des Austauschs sind Informationen und Personendaten, die von der Behörde für die Erfüllung ihrer gesetzlichen Aufgaben erforderlich sind. Dabei müssen eine ganze Reihe von Voraussetzungen erfüllt sein, so zum Beispiel das Gegenrecht der anderen Behörde, die Geheimniswahrung und die Verwendung der Informationen nur für das fragliche Verfahren.
Wie bisher hat der EDÖB hat – im Unterschied zu den Aufsichtsbehörden in der EU – auch nach neuem Recht keine Sanktionskompetenz. Die nebenstrafrechtlichen Bestimmungen im DSG wurden indessen ausgebaut. Strafbar sind die vorsätzliche Missachtung von Informations-, Auskunfts- und Meldepflichten sowie die vorsätzliche Verletzung von Sorgfaltspflichten. So insbesondere bei der Bekanntgabe von Personendaten ins Ausland, der Auftragsbearbeitung und der Bereitstellung der Datensicherheit. Die Obergrenze der Bussen liegt bei 250'000 Franken, gebüsst wird die verantwortliche natürliche Person. Die Obergrenze für die lediglich subsidiär vorgesehene Büssung juristischer Personen liegt bei 50'000 Franken.
Anlässlich der parlamentarischen Beratungen zum neuen DSG hat der Bundesrat in Aussicht gestellt, die Einführung von verwaltungsstrafrechlichen Sanktionen gegen fehlbare Unternehmen mit Blick auf den Erlass eines neuen Bundesgesetzes zu prüfen.
Letzte Änderung 03.11.2023