Verhaltenskodex

Gemäss Artikel 11 des Datenschutzgesetzes (DSG) können Berufs-, Branchen- und Wirtschaftsverbände sowie Bundesorgane ihren eigenen Verhaltenskodex erstellen und diesen dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zur Stellungnahme vorlegen. Die Stellungnahmen werden veröffentlicht. Sie können Einwände sowie Änderungs- oder Präzisierungsvorschläge enthalten. Eine positive Stellungnahme des EDÖB bedeutet die gesetzliche Vermutung, dass das im Kodex festgelegte Verhalten eines Verbands oder Organs datenschutzkonform ist. Unter bestimmten Voraussetzungen kann der private Verantwortliche mit einer positiven Stellungnahme auch auf die Erstellung einer Datenschutz-Folgenabschätzung verzichten oder den geeigneten Schutz für die Bekanntgabe von Personendaten ins Ausland gewährleisten.

Was ist ein Verhaltenskodex?

Verhaltenskodizes sorgen für die praxisgerechte Umsetzung der Gesetzesgrundlagen. Sie tragen zur richtigen Umsetzung des DSG bei, indem sie die Besonderheiten und Bedürfnisse der unterschiedlichen Bereiche berücksichtigen, in denen Daten bearbeitet werden. 

In Verhaltenskodizes werden gewisser Begriffe wie hohes Risiko (Art. 22 DSG) oder die Ausgestaltung bestimmter Pflichten wie die Informationspflicht (Art. 19–21 DSG) oder die Pflicht zur Erstellung einer Datenschutz-Folgenabschätzung (Art. 22 DSG) präzisiert und Massnahmen zur Gewährleistung des Schutzes der Persönlichkeit und der Grundrechte der betroffenen Person getroffen. Ausserdem sollen Kodizes gezieltere Lösungen definieren zu bestimmten Themen, die heute zahlreiche Fragen aufwerfen, beispielsweise die Videoüberwachung, das Cloud-Computing oder soziale Netzwerke. 

Wer kann einen Verhaltenskodex erstellen und an wen richtet sich dieser?

Einen Verhaltenskodex erstellen können im öffentlichen Bereich Bundesorgane und im privaten Bereich Berufs-, Branchen- und Wirtschaftsverbände, die nach ihren Statuten zur Wahrung der wirtschaftlichen Interessen ihrer Mitglieder befugt sind. Ein Verantwortlicher oder ein Auftragsbearbeiter allein kann keinen Verhaltenskodex erstellen und verabschieden. 

Involvierte haben mit Verhaltenskodizes die Möglichkeit, selbst aktiv zu werden, indem sie sich an der Regulierung eines Bereichs beteiligen und abgestimmte sowie breit akzeptierte Branchenlösungen fördern. Es steht allen Akteuren eines Bereichs frei, sich einem Kodex anzuschliessen oder nicht. Verhaltenskodizes sind nicht automatisch für alle Mitglieder der Verbände oder Organe, die sie ausgearbeitet haben, verpflichtend. 

Ist das Vorlegen eines Verhaltenskodex zwingend?

Nein. Verbände und Organe nach Art. 11 Absatz 1 DSG können ihren Verhaltenskodex dem EDÖB vorlegen, sind aber nicht dazu verpflichtet. 

Welche Auswirkungen hat ein Verhaltenskodex?

Ein Verhaltenskodex hilft, das Vertrauen der von der Datenbearbeitung betroffenen Personen zu stärken und das Risiko künftiger Verstösse gegen das DSG zu minimieren. Aus juristischer Sicht entsteht mit einem Verhaltenskodex die gesetzliche Vermutung, dass das im Kodex festgelegte Verhalten datenschutzkonform ist. Wenn die Verantwortlichen einen Verhaltenskodex einhalten, können sie nicht nur auf die Ausarbeitung eigener Hilfestellungen und Richtlinien für die Anwendung des neuen DSG verzichten, sondern unter bestimmten Bedingungen auch von einer Datenschutz-Folgenabschätzung für private Verantwortliche absehen (Art. 22 Abs. 5 DSG).

Wenn bestimmte Bedingungen erfüllt sind, gilt der Verhaltenskodex auch als Garantie für die Bekanntgabe von Daten aus der Schweiz in Drittländer, wenn er geeigneten Datenschutz gewährleistet, vorab dem EDÖB zur Genehmigung vorgelegt wird und mit einer verbindlichen und durchsetzbaren Verpflichtung des Verantwortlichen oder des Auftragsbearbeiters im Drittstaat verbunden wird, die darin enthaltenen Massnahmen anzuwenden (Art. 16 Abs. 3 DSG und Art. 12 Datenschutzverordnung [DSV]). 

Weder das DSG noch die DSV enthalten Bestimmungen zu Form und Inhalt von Verhaltenskodizes. Sollen Letztere als Garantien für die Bekanntgabe von Daten in Drittländer gelten, liefern die vom Europäischen Datenschutzausschuss (EDSA) verabschiedeten Leitlinien als Vergleichsdokument und Hilfestellung nützliche Informationen zum notwendigem Inhalt (EDSA, Leitlinien 04/2021  über Verhaltensregeln als Instrument für Übermittlungen). 

Was ist der Inhalt eines Verhaltenskodex?

Das DSG enthält keine Bestimmungen zum Inhalt eines Verhaltenskodex. Die DSV jedoch macht gewisse inhaltliche Vorgaben im Zusammenhang mit der Bekanntgabe von Daten ins Ausland. Ein Verhaltenskodex soll zur ordnungsgemässen Umsetzung des DSG beitragen und dabei den Besonderheiten und spezifischen Bedürfnissen der unterschiedlichen Bereiche, in denen Daten bearbeitet werden, Rechnung tragen. Er enthält in der Regel eine Beschreibung des Verhaltens jener, die ihm unterstehen. Dieses Verhalten entspricht der besten  Praxis des betroffenen Bereichs. Ein Verhaltenskodex kann ausführlich oder relativ offen sein und sich nur auf einzelne Aspekte des DSG beschränken. Im zweiten Fall haben die Unternehmen, die ihn einhalten, mehr Handlungsspielraum. Der Verhaltenskodex kann sich auf verschiedene Bearbeitungen beziehen oder umfassender sein. Er muss jedoch dazu beitragen, dass der betroffene Bereich die Bestimmungen des DSG einhält und darf nicht einfach nur den Inhalt des Gesetzes wiederholen. 

Angesichts dieser Ziele sollte der Verhaltenskodex das DSG eher konkretisieren und sich auf die spezifischen datenschutzrechtlichen Probleme im jeweiligen Bereich konzentrieren, indem er konkrete Lösungen vorschlägt, idealerweise anhand von Beispielen bester Praxis, die befolgt werden muss. Ein Verhaltenskodex könnte beispielsweise den Begriff «hohes Risiko» (Art. 22 DSG) oder die Ausgestaltung bestimmter Pflichten wie die Informationspflicht (Art. 19–21 DSG) oder die Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung (Art. 22 DSG) konkretisieren. Er kann auch die Umsetzung des DSG präzisieren, zum Beispiel konkretisieren, wie Daten in einem bestimmten Bereich ausreichend pseudonymisiert oder anonymisiert werden können; spezifische Sicherheitsmassnahmen festlegen; angemessene Aufbewahrungsdauern vorsehen; Mechanismen einrichten, die betroffenen Personen die Ausübung ihrer Rechte ermöglichen; die nötigen Kriterien festlegen, mit denen sichergestellt wird, dass der Grundsatz der Datenminimierung eingehalten wird; Garantien schaffen für Daten, die von Dritten beschafft werden, oder für die Bekanntgabe von Personendaten in ein Land, das keinen geeigneten Datenschutz gewährleistet. 

Da weder das DSG noch die DSV Bestimmungen zu Form und Inhalt des Verhaltenskodex enthalten, liefert Artikel 40 der neuen Datenschutz-Grundverordnung (DSGVO) der EU als Vergleichsdokument und Hilfestellung eine Reihe von Elementen, die in Verhaltenskodizes enthalten sein können. Weiter enthalten die vom Europäischen Datenschutzausschuss (EDSA) verabschiedeten Leitlinien nützliche Informationen zum Thema (EDSA, Leitlinien 1/2019  über Verhaltensregeln und Überwachungsstellen gemäss der Verordnung (EU) 2016/679). 

Muss ein Verhaltenskodex vom EDÖB genehmigt werden?

Gemäss DSG muss der Verhaltenskodex nicht genehmigt werden. Er kann jedoch dem EDÖB zur Stellungnahme vorgelegt werden. Privatpersonen müssen hierfür eine Gebühr entrichten. Die Fristen für die Stellungnahme unterscheiden sich je nach Fall. Der EDÖB prüft, ob der Verhaltenskodex mit dem DSG konform ist. Die Stellungnahme des EDÖB stellt keine Verfügung dar. Daher können die Betroffenen weder aus einer positiven Stellungnahme noch aus dem Fehlen einer Stellungnahme Rechte ableiten. Wenn der EDÖB jedoch eine positive Stellungnahme abgibt, können Unternehmen, die den Verhaltenskodex einhalten, davon ausgehen, dass ihr Verhalten später nicht Verwaltungsmassnahmen nach sich zieht. Die Stellungnahmen werden vom EDÖB veröffentlicht, unabhängig davon, ob sie positiv oder negativ ausfallen. Der Verhaltenskodex kann dem EDÖB bei jeder Aktualisierung erneut vorgelegt werden. 

Wird ein Verhaltenskodex als Garantie für die Bekanntgabe von Personendaten ins Ausland verwendet, so muss dieser ebenso wie Standarddatenschutzklauseln und verbindliche unternehmensinterne Datenschutzvorschriften, die einen geeigneten Datenschutz gewährleisten, vorgängig vom EDÖB genehmigt werden (Art. 16 Abs. 3 DSG und Art. 12 DSV).