Das mit Medienmitteilung vom Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) am 18. Juli 2023 veröffentlichte Merkblatt betreffend die Untersuchung von Verstössen gegen die Datenschutzvorschriften soll einen kurzen Überblick über das Instrument der Untersuchung vermitteln und fasst die ausführlichen Darlegungen des EDÖB zu den Art. 49–53 des in gut zwei Wochen in Kraft tretenden Bundesgesetzes über den Datenschutz (Datenschutzgesetz, DSG; SR 235.1) zusammen. Was sie zu den Untersuchungen des EDÖB sowie den möglichen Massnahmen zu wissen brauchen, hat Ihnen HÄRTING in diesem Beitrag kurz zusammengefasst.
Aufsichtstätigkeit des EDÖB im Bereich des Datenschutzes
Als Aufsichtsorgan im Bereich des Datenschutzes hat der EDÖB dafür zu sorgen, dass sich sowohl Bundesorgane als auch Privatpersonen an die bundesrechtlichen Datenschutzvorschriften halten. Im Rahmen seiner Aufsichtstätigkeit kann der EDÖB Verstösse gegen solche Datenschutzvorschriften untersuchen (vgl. Art. 49 ff. nDSG) und unter Umständen die Massnahmen zur Durchsetzung der Vorschriften anordnen (vgl. Art. 51 nDSG).
Untersuchung durch den EDÖB kurz erklärt
Die Untersuchung im Allgemeinen
Gemäss Art. 49 Abs. 1 nDSG eröffnet der EDÖB von Amtes wegen (namentlich durch Wahrnehmungen im Zuge seiner Aufsichts- und Beratungstätigkeit) oder auf Anzeige hin (durch Informationen von Betroffenen oder Dritten) eine Untersuchung gegen Bundesorgane oder auch private Personen (natürliche oder juristische Personen), wenn genügend Anzeichen bestehen, dass eine Datenbearbeitung gegen Datenschutzvorschriften verstossen könnte. Der Begriff der «Datenbearbeitung» ist weit zu verstehen und dahingehend, dass Anzeichen dafür bestehen, dass die Verantwortlichen Ordnungsvorschriften oder Pflichten gegenüber Betroffenen missachten. «Genügende Anzeichen» werden dann bestehen, wenn mit einer gewissen Wahrscheinlichkeit angenommen werden kann, dass die Datenbearbeitung gegen die Datenschutzvorschriften verstossen könnte. Als förmliches Verwaltungsverfahren dient die Untersuchung dabei der Erhebung und Feststellung des rechtserheblichen Sachverhalts.
Vorabklärung
Aufgrund erster Hinweise auf einen Verstoss gegen datenschutzrechtliche Vorschriften prüft der EDÖB im Rahmen einer informellen Vorabklärung, ob die Voraussetzungen für die Eröffnung einer Untersuchung gegeben sind. Bei der Vorabklärung handelt es sich um ein formloses Verfahren, weshalb wir uns noch nicht in einem formellen Verwaltungsverfahren befinden. Gegenstand einer Vorabklärung könnte namentlich Abklärungen sein, ob der EDÖB überhaupt zuständig ist oder gegen wen sich eine Untersuchung denn richten müsste. Sodann geht es darum, aus öffentlich zugänglichen Quellen, den Verantwortlichen selber, von betroffenen Personen oder auch von Dritten Informationen hinsichtlich des mutmasslichen Verstosses gegen die Datenschutzvorschriften zu erhalten. Da es sich in diesem Stadium eben gerade nicht um ein formelles Verwaltungsverfahren handelt, treffen den Verantwortlichen keine Mitwirkungspflichten. Eine gewisse freiwillige Mitwirkung des Verantwortlichen kann jedoch angezeigt sein, um die Eröffnung einer formellen Untersuchung durch den EDÖB zu verhindern. Denn liefert der Verantwortliche im Rahmen der Vorabklärung freiwillig schlüssige Argumente, dass gerade kein Verstoss vorliegt, erübrigt sich gemäss EDÖB «in aller Regel die Eröffnung einer Untersuchung».
Untersuchung
Nach bisherigem Recht bestand eine Pflicht, eine Untersuchung zu eröffnen bei Verstössen durch Bundesorgane oder durch private Personen, wenn eine grössere Anzahl von Personen betroffen war. Gemäss nDSG eröffnet der EDÖB eine Untersuchung, wenn die Verletzung der Datenschutzvorschriften nicht von geringfügiger Bedeutung ist (vgl. Art. 49 Abs. 2 nDSG). Die Pflicht zur Eröffnung einer Untersuchung somit bei geringfügiger Verletzungsintensität, also in Fällen, in denen die allfällige Verletzung der Privatsphäre oder informationellen Selbstbestimmung der potentiell betroffenen Personen von so geringfügiger Intensität ist, dass von der Eröffnung einer Untersuchung abgesehen werden kann. Dem EDÖB kommt aufgrund des unbestimmten Bergriffs ein gewisser Ermessensspielraum zu.
Bei der Eröffnung einer Untersuchung handelt es sich um eine verwaltungsinterne Handlung, welche dadurch nicht anfechtbar ist. Das von der Untersuchung betroffene Bundesorgan oder die betroffene private Person wird mittels Eröffnungsschreiben über die Untersuchung informiert. Gleichzeitig wird in der Regel ein Fragebogen versendet, um die zur Klärung des Sachverhalts erforderlichen Auskünfte und Unterlagen einzuverlangen. Das Untersuchungsverfahren ist im Gegensatz zur Vorabklärung ein förmliches Verwaltungsverfahren, das sich nach dem Verwaltungsverfahrensgesetz des Bundes (VwVG) richtet. Aufgrund dessen ist der Verantwortliche als Verfahrenspartei verpflichtet, an der Feststellung des Sachverhalts mitzuwirken. So trifft ihn grundsätzlich eine Auskunfts- und Editionspflicht, wobei unter gewissen Voraussetzungen aber auch ein Auskunftsverweigerungsrecht besteht. Kommt der Verantwortliche seinen Mitwirkungspflichten pflichtwidrig nicht nach, kann der EDÖB gestützt auf Art. 50 nDSG auch prozessuale Anordnung wie den Zugang zu Räumlichkeiten anordnen.
Abschluss des Untersuchungsverfahrens und allfällige Anordnung von Massnahmen
Falls sich im Rahmen des Untersuchungsverfahrens die Annahme eines Verstosses gegen Datenschutzvorschriften nicht erhärtet, stellt der EDÖB das Verfahren ein bzw. schreibt es wegen Gegenstandslosigkeit ab.
Kann der EDÖB hingegen ein Verstoss gegen Datenschutzvorschriften nachweisen, hat er die Möglichkeit Verwaltungsmassnahmen nach Art. 51 nDSG zu erlassen. Diese unterteilen sich in zwei Kategorien:
- Massnahmen bei Verletzung von Datenschutzvorschriften:
Liegt eine Verletzung von Datenschutzvorschriften vor, kann der EDÖB verfügen, dass die Bearbeitung ganz oder teilweise angepasst, unterbrochen oder abgebrochen wird und die Personendaten ganz oder teilweise gelöscht oder vernichtet werden (vgl. Art. 51 Abs. 1 DSG). Bei Datenübermittlungen ins Ausland kann er die Bekanntgabe ins Ausland aufschieben oder untersagen, wenn sie gegen die Voraussetzungen nach Art. 16 und 17 DSG oder gegen Bestimmungen betreffend die Bekanntgabe von Personendaten ins Ausland in anderen Bundesgesetzen verstösst (vgl. Art. 51 Abs. 2 DSG).
- Massnahmen bei Nichtbeachtung von Ordnungsvorschriften oder Rechte der betroffenen Person:
Der EDÖB kann z. B. verfügen, dass das Bundesorgan oder die private Person eine Datenschutz-Folgenabschätzung nach Art. 22 DSG vorzunehmen hat (vgl. Art. 51 Abs. 3 Bst. d DSG). Oder er kann verfügen, dass der betroffenen Person die ihr zustehenden Auskünfte nach Art. 25 DSG erteilt werden, wenn sich die private Person oder das Bundesorgan weigert, diese Auskünfte zu erteilen (vgl. Art. 51 Abs. 3 Bst. g DSG).
Falls während der Untersuchung durch das Bundesorgan oder die private Person der rechtmässige Zustand wiederhergestellt wird, kann der EDÖB auch lediglich eine Verwarnung aussprechen (vgl. Art. 51 Abs. 5 DSG).
Darüber hinaus sieht das nDSG einen Katalog von Strafbestimmungen in Art. 60 ff. nDSG vor, worüber sie in unserem Beitrag «Neues Schweizer Datenschutzgesetz: Verschärfte Strafbestimmungen» mehr lesen können.
Quellen (Links, Zitation von Büchern)
- Medienmitteilung des EDÖB vom 18.07.2023
- Merkblatt betreffend die Untersuchung von Verstössen gegen Datenschutzvorschriften durch den EDÖB
- Untersuchung von Verstössen gegen Datenschutzvorschriften durch den EDÖB (Analyse Art. 49 ff.)