19.068 Botschaft zur Genehmigung des Protokolls vom 10. Oktober 2018 zur Änderung des Übereinkommens zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten vom 6. Dezember 2019
Sehr geehrte Frau Nationalratspräsidentin Sehr geehrter Herr Ständeratspräsident Sehr geehrte Damen und Herren Mit dieser Botschaft unterbreiten wir Ihnen, mit dem Antrag auf Zustimmung, den Entwurf des Bundesbeschlusses über die Genehmigung des Protokolls vom 10. Oktober 2018 zur Änderung des Übereinkommens vom 28. Januar 1981 zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten.
Wir versichern Sie, sehr geehrte Frau Nationalratspräsidentin, sehr geehrter Herr Ständeratspräsident, sehr geehrte Damen und Herren, unserer vorzüglichen Hochachtung.
6. Dezember 2019
Im Namen des Schweizerischen Bundesrates Der Bundespräsident: Ueli Maurer Der Bundeskanzler: Walter Thurnherr
2019-2836
565
Übersicht Die Vorlage soll es der Schweiz ermöglichen, das Protokoll des Europarats vom 10. Oktober 2018 zur Änderung des Übereinkommens zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (nachfolgend: Änderungsprotokoll) zu ratifizieren. Damit soll ein hohes Schutzniveau für die Privatsphäre gewährleistet und der grenzüberschreitende Datenverkehr nicht nur im öffentlichen Sektor, sondern auch zwischen den wirtschaftlichen Akteuren erleichtert werden.
Ausgangslage Im Jahr 2011 nahm der Europarat die Arbeiten für die Revision des Übereinkommens zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten auf, um die Herausforderungen zu bewältigen, welche die technologischen Entwicklungen und die Zunahme des grenzüberschreitenden Datenverkehrs für den Schutz der Privatsphäre und der Grundrechte der Betroffenen bedeuten.
Diese Arbeiten führten zur Verabschiedung des Änderungsprotokolls durch das Ministerkomitee des Europarates. Die Auflegung zur Unterzeichnung erfolgte am 10. Oktober 2018. Bislang wurde das Änderungsprotokoll von rund 30 Staaten unterzeichnet. Mit Entscheid vom 30. Oktober 2019 hat der Bundesrat den Ständigen Vertreter der Schweiz beim Europarat ermächtigt, das Änderungsprotokoll zu unterzeichnen.
Diese Botschaft folgt auf die Botschaft des Bundesrates vom 15. September 2017 zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz. Im Rahmen dieser Vorlage hat der Bundesrat beschlossen, die Arbeiten vorwegzunehmen, die zur Umsetzung der neuen Anforderungen im Änderungsprotokoll erforderlich sind. Denn er vertrat die Auffassung, dass es im Interesse der Schweiz liegt, das Änderungsprotokoll aus Gründen des Schutzes der Privatsphäre und aus wirtschaftlichen Gründen (Erleichterung des grenzüberschreitenden Datenverkehrs) möglichst rasch zu ratifizieren.
Das Übereinkommen und sein Änderungsprotokoll sollen zu einem universellen Instrument werden.
Inhalt Gemäss dem Änderungsprotokoll werden die Pflichten des Verantwortlichen ausgeweitet. Dieser ist insbesondere verpflichtet, der zuständigen Aufsichtsbehörde bestimmte Datenschutzverletzungen zu melden. Ebenfalls ausgeweitet wird seine Pflicht, den Betroffenen zu informieren. Ausserdem ist im Änderungsprotokoll
die Pflicht des Verantwortlichen vorgesehen, im Vorfeld bestimmter Datenverarbeitungen eine Datenschutz-Folgenabschätzung vorzunehmen und die Grundsätze des Datenschutzes durch Technik und durch datenschutzfreundliche Voreinstellungen anzuwenden.
566
Im Weiteren ist im Änderungsprotokoll ein Ausbau der Rechte der Betroffenen vorgesehen, insbesondere in Bezug auf ihr Auskunftsrecht und bei einer automatisierten Einzelentscheidung.
Die Vertragsstaaten sind ferner verpflichtet, ein Sanktionssystem und ein Rechtsmittelsystem einzurichten und den Aufsichtsbehörden die Befugnis einzuräumen, verbindliche, anfechtbare Entscheidungen zu erlassen.
Schliesslich ist im Änderungsprotokoll ein Evaluationsmechanismus vorgesehen, mit dem das zuständige Organ des Europarates die Wirksamkeit der Massnahmen bewerten kann, die ein Vertragsstaat ergriffen hat, um die Bestimmungen des Übereinkommens umzusetzen. Die Vertragsstaaten können keine Vorbehalte mehr anbringen.
567
BBl 2020
Inhaltsverzeichnis Übersicht
566
1
Ausgangslage 1.1 Ausgangslage auf internationaler Ebene 1.2 Ausgangslage auf nationaler Ebene 1.3 Bedeutung des Übereinkommens 1.3.1 Universelles Instrument 1.3.2 Bedeutung des Übereinkommens bei der Äquivalenzprüfung durch die EU 1.4 Andere Lösungen 1.5 Verlauf und Ergebnis der Verhandlungen zum Änderungsprotokoll 1.6 Verhältnis zur Legislaturplanung und zu den Strategien des Bundesrates 1.6.1 Verhältnis zur Legislaturplanung 1.6.2 Verhältnis zu den Strategien des Bundesrates 1.7 Erledigung parlamentarischer Vorstösse
570 570 571 571 571
2
Vorverfahren, insbesondere Vernehmlassungsverfahren
575
3
Das Änderungsprotokoll in Kürze
576
4
Erläuterungen zu einzelnen Artikeln 4.1 Präambel 4.2 Allgemeine Bestimmungen 4.3 Grundprinzipien des Datenschutzes 4.4 Bekanntgabe von Personendaten ins Ausland 4.5 Aufsichtsbehörden 4.6 Zusammenarbeit und gegenseitige Hilfeleistung 4.7 Übereinkommensausschuss 4.8 Änderungen 4.9 Schlussklauseln 4.10 Anhang des Änderungsprotokolls: Elemente der Geschäftsordnung des Übereinkommensausschusses
577 577 578 579 582 583 584 585 586 586
Erläuterung des Umsetzungserlasses 5.1 Erläuterung des Revisionsentwurfs des Bundesrates vom 15. September 2017 5.1.1 Änderung des Geltungsbereichs 5.1.2 Änderung der Begriffe 5.1.3 Stärkung der allgemeinen Datenschutzgrundsätze 5.1.4 Bekanntgabe von Personendaten ins Ausland 5.1.5 Ausbau der Pflichten des Verantwortlichen
588
5
568
572 573 574 574 574 574 575
587
588 588 588 588 589 589
BBl 2020
5.2
5.1.6 Stärkung der Rechte der betroffenen Personen 5.1.7 Ausbau der Befugnisse und Aufgaben des EDÖB 5.1.8 Stärkung der Zusammenarbeit zwischen den Behörden 5.1.9 Ausbau des Systems der strafrechtlichen Sanktionen Beratungen im Parlament zum E-DSG
590 591 592 592 592
6
Auswirkungen 6.1 Auswirkungen auf den Bund 6.2 Auswirkungen auf die Kantone 6.3 Auswirkungen auf die Volkswirtschaft 6.4 Auswirkungen auf die Gesellschaft 6.5 Weitere Auswirkungen
593 593 593 594 594 594
7
Rechtliche Aspekte 7.1 Verfassungsmässigkeit 7.2 Vereinbarkeit mit internationalen Verpflichtungen der Schweiz 7.3 Erlassform
594 594 595 595
Bundesbeschluss über die Genehmigung des Protokolls vom 10. Oktober 2018 zur Änderung des Übereinkommens zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten
597
Protokoll zur Änderung des Übereinkommens zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten
599
569
BBl 2020
Botschaft 1
Ausgangslage
1.1
Ausgangslage auf internationaler Ebene
Am 28. Januar 1981 hat der Europarat das Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (im Folgenden «Übereinkommen»)1 verabschiedet, das von der Schweiz am 2. Oktober 1997 ratifiziert wurde. Dieses Übereinkommen wurde mit dem Zusatzprotokoll 181 vom 8. November 20012 zum Übereinkommen bezüglich Aufsichtsbehörden und grenzüberschreitende Datenübermittlung (im Folgenden «Zusatzprotokoll») ergänzt, das die Schweiz am 20. Dezember 2007 ratifiziert hat.
Im Jahr 2011 nahm der Europarat die Arbeiten für die Revision des Übereinkommens auf, um der technologischen Entwicklung und den mit der Digitalisierung verbundenen Herausforderungen zu begegnen.
Unter schweizerischer Leitung hat der Beratende Ausschuss des Übereinkommens (im Folgenden «Beratender Ausschuss») am 30. November 2012 einen Entwurf zur Modernisierung des Übereinkommens verabschiedet und diesen dem Ministerkomitee des Europarates (im Folgenden «Ministerkomitee») zur Genehmigung vorgelegt.
Das Ministerkomitee hat einen Ad-hoc-Ausschuss Datenschutz (im Folgenden «CAHDATA») zur Prüfung des Entwurfs eingesetzt. Die Arbeiten des CAHDATA wurden im Juni 2016 mit der Verabschiedung des «Entwurfs zur Modernisierung des Übereinkommens vom Juni 2016» abgeschlossen. Am 18. Mai 2018 führten die Revisionsarbeiten schliesslich zur Verabschiedung des Änderungsprotokolls 223 zum Übereinkommen (im Folgenden «Änderungsprotokoll») 3.
Die Auflegung zur Unterzeichnung erfolgte am 10. Oktober 2018. Bislang wurde das Änderungsprotokoll von 31 Mitgliedstaaten des Europarates4 unterzeichnet, sowie von drei der acht Nichtmitgliedstaaten5 des Europarates, die dem Übereinkommen beigetreten sind. Mit Entscheid vom 30. Oktober 2019 hat der Bundesrat den Ständigen Vertreter der Schweiz beim Europarat ermächtigt, das Änderungsprotokoll zu unterzeichnen. Die ersten Ratifizierungen könnten in verhältnismässig naher Zukunft erfolgen. Denn am 9. April 2019 hat die Europäische Union (EU) die Mitgliedstaaten ausdrücklich ermächtigt, das Änderungsprotokoll in ihrem Interesse zu ratifizieren.
1 2 3 4
5
570
SR 0.235.1 SR 0.235.11 www.coe.int > Europarat > Mehr > Vertragsbüro > Gesamtverzeichnis > Vertrag Nr. 223 Andorra, Belgien, Bulgarien, Deutschland, Estland, Finnland, Frankreich, Griechenland, Irland, Island, Italien, Kroatien, Lettland, Litauen, Luxemburg, Monaco, Niederlande, Norwegen, Österreich, Polen, Portugal, Russische Föderation, San Marino, Schweden, Slowenien, Spanien, Tschechische Republik, Ungarn, Vereinigtes Königreich, Zypern.
Argentinien, Uruguay und Tunesien.
BBl 2020
1.2
Ausgangslage auf nationaler Ebene
Am 15. September 2017 hat der Bundesrat die Botschaft zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz6 verabschiedet. Mit dem Revisionsentwurf sollen zwei Hauptziele erreicht werden: zum einen ein Ausbau der datenschutzrechtlichen Bestimmungen, um der rasanten Entwicklung neuer Technologien zu begegnen, und zum anderen die Berücksichtigung der einschlägigen Reformen des Europarates und der EU.
Wie aus seiner Botschaft hervorgeht, hat der Bundesrat beschlossen, die Arbeiten zur Umsetzung der neuen Anforderungen im Änderungsprotokoll im Rahmen des Entwurfs für die Totalrevision des Bundesgesetzes vom 19. Juni 19927 über den Datenschutz (im Folgenden «E-DSG») vorwegzunehmen, damit der E-DSG mit den Anforderungen des Änderungsprotokolls vereinbar ist. Denn der Bundesrat vertrat die Auffassung, dass es im Interesse der Schweiz liegt, das Änderungsprotokoll aus Gründen des Schutzes der Privatsphäre, aus wirtschaftlichen Gründen (Erleichterung des grenzüberschreitenden Datenverkehrs) und zur Erneuerung des Angemessenheitsbeschlusses der Europäischen Kommission vom 26. Juli 20008, mit dem ein angemessenes Niveau des Schutzes personenbezogener Daten in der Schweizer Gesetzgebung anerkannt wurde (siehe Ziff. 1.3.2), möglichst rasch zu ratifizieren.
Der Bundesrat stützte sich in seinem Revisionsentwurf auf den Entwurf zur Modernisierung des Übereinkommens vom Juni 2016, wobei er davon ausging, dass dieser voraussichtlich keine substanziellen Änderungen mehr erfahren würde9. An der endgültigen Fassung des Änderungsprotokolls wurden in der Tat nur zwei geringfügige Änderungen vorgenommen, die keine Änderung des E-DSG erfordern (siehe Ziff. 1. 5).
1.3
Bedeutung des Übereinkommens
1.3.1
Universelles Instrument
Wie das Übereinkommen und sein Zusatzprotokoll soll auch das Änderungsprotokoll zu einem universellen Instrument werden. Bereits das derzeitige Übereinkommen liegt zur Ratifizierung durch Staaten auf, die nicht Mitglied des Europarates sind. Das Interesse von aussereuropäischen Staaten an einer Ratifizierung dieses neuen Übereinkommens wird voraussichtlich weiter zunehmen, weil wie weiter unten ausgeführt wird die Ratifizierung dieses Instruments von der EU als Kriterium für die Erlangung eines Angemessenheitsbeschlusses betrachtet wird. Mit der Ratifizierung des Änderungsprotokolls positioniert sich die Schweiz für die Fest-
6 7 8
9
BBl 2017 6941 SR 235.1 Entscheidung 2000/518/EG der Kommission vom 26. Juli 2000 gemäss der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des Schutzes personenbezogener Daten in der Schweiz, ABl. L 215 vom 25.8.2000, S. 1.
BBl 2017 6965 f., Ziff. 1.2.3.
571
BBl 2020
legung eines universellen Standards, der im digitalen Zeitalter einem echten Bedarf entspricht.
Mit dem Änderungsprotokoll lässt sich das Datenschutzniveau auf internationaler Ebene vereinheitlichen und erhöhen. Dies verstärkt auch den Schutz für die Schweizer Bürgerinnen und Bürger, wenn ihre personenbezogenen Daten grenzüberschreitend verarbeitet werden.
Schliesslich unterstreicht die Schweiz mit der Ratifizierung des Änderungsprotokolls die Bedeutung, die sie den Arbeiten des Europarates im Bereich der Grundrechte und des Datenschutzes beimisst. Im Übrigen hat sie bei den Arbeiten zur Modernisierung des Übereinkommens eine aktive Rolle gespielt (siehe Ziff. 1.5).
Die Ratifizierung ist daher die logische Folge dieser Beteiligung.
1.3.2
Bedeutung des Übereinkommens bei der Äquivalenzprüfung durch die EU
Im Weiteren trägt das Änderungsprotokoll dazu bei, den grenzüberschreitenden Datenverkehr zwischen den Vertragsparteien zu erleichtern. Denn das DSG, der E-DSG, das Übereinkommen und sein Änderungsprotokoll sowie die Verordnung (EU) 2016/67910 sehen im Wesentlichen vor, dass personenbezogene Daten nur an einen Drittstaat übermittelt werden dürfen, wenn die Gesetzgebung dieses Landes ein angemessenes Datenschutzniveau gewährleistet. Ist das Schutzniveau für personenbezogene Daten nicht in angemessener Weise gewährleistet, ist eine Weitergabe von Daten weiterhin möglich, jedoch nur unter bestimmten Bedingungen. Die Ratifizierung des Änderungsprotokolls durch die Schweiz und die Umsetzung dieser neuen Anforderungen sind nicht nur für den öffentlichen Sektor, sondern insbesondere auch für den privaten Sektor von wesentlicher Bedeutung. Denn damit kann der freie Austausch personenbezogener Daten zwischen einem Schweizer Unternehmen und einem Verantwortlichen mit Sitz in einem Drittstaat aufrechterhalten werden, der dem Änderungsprotokoll selbst beigetreten ist. Auf diese Weise wird vermieden, dass die an der Weitergabe von Daten Beteiligten zusätzliche Datenschutzgarantien einführen müssen, was Mehrkosten verursachen könnte und damit den Geschäftsgang erschweren würde. Ratifiziert die Schweiz das Änderungsprotokoll nicht, ist nicht auszuschliessen, dass sich einige Wirtschaftsakteure mit Sitz in einem Vertragsstaat des Übereinkommens vom Schweizer Markt abwenden, weil der grenzüberschreitende Datenverkehr nicht mehr erleichtert würde.
Nach Ansicht des Bundesrates11 stellt die Ratifizierung des Änderungsprotokolls ein zentrales Kriterium der EU dar für den Entscheid, ob der Angemessenheitsbeschluss zugunsten der Schweiz aufrechterhalten werden soll.
10
11
572
Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. L 119 vom 4.5.2016, S. 1.
BBl 2017 6995
BBl 2020
Die Verordnung (EU) 2016/679 sieht nämlich vor, dass die Europäische Kommission gegenüber einem Drittstaat einen Angemessenheitsbeschluss erlassen kann, wenn sie zum Schluss kommt, dass die Gesetzgebung des betreffenden Landes ein angemessenes Schutzniveau sicherstellt. In Bezug auf die Schweiz besteht seit dem 26. Juli 2000 ein solcher Beschluss, der nach Prüfung der Anforderungen in der früheren Richtlinie 95/46/EG12 erlassen wurde. Dieser Angemessenheitsbeschluss ermächtigt Verantwortliche mit Sitz in einem Mitgliedstaat der EU, personenbezogene Daten an einen Verantwortlichen mit Sitz in der Schweiz zu übermitteln, ohne von diesem zusätzliche Datenschutzgarantien zu verlangen. Gemäss Artikel 97 der Verordnung (EU) 2016/679 muss die Europäische Kommission bis am 25. Mai 2020 einen Bericht über die Angemessenheitsbeschlüsse vorlegen, die in Bezug auf verschiedene Drittstaaten, unter anderem die Schweiz, erlassen wurden. Sie plant, bis zu diesem Datum alle bestehenden Angemessenheitsbeschlüsse überprüfen. Die Schweiz wird gleichzeitig wie die anderen Drittstaaten bewertet, mit Ausnahme der USA und von Japan, die kürzlich einen Angemessenheitsbeschluss der EU erhalten haben. Im Frühjahr 2019 hat die Europäische Kommission mit ihrer Überprüfung begonnen. Dabei hat sie die Schweiz aufgefordert, zusätzliche Informationen zur Rechtslage im Zusammenhang mit dem Datenschutz zu liefern. Gemäss Ziffer 105 der Erwägungen in der Verordnung (EU) 2016/679 sollte die Kommission insbesondere den Beitritt des Drittlands zum Übereinkommen und zum dazugehörigen Zusatzprotokoll berücksichtigen. Wie erwähnt, stellt die Ratifizierung des Änderungsprotokolls ebenfalls ein wichtiges Kriterium dar. Darüber hinaus hat die EU ihre Mitgliedsstaaten ermächtigt, das Änderungsprotokoll zu ratifizieren, was zeigt, welche Bedeutung sie diesem neuen Instrument beimisst (siehe Ziff. 1.1).
1.4
Andere Lösungen
Die Schweiz ist Mitglied des Europarates. Sie hat das Übereinkommen 1997 und das dazugehörige Zusatzprotokoll 2007 ratifiziert. Wie in Ziffer 2 ausgeführt wird, haben die Ergebnisse der Vernehmlassung gezeigt, dass die Vernehmlassungsteilnehmenden die Ratifizierung des Änderungsprotokolls durch die Schweiz mehrheitlich befürworten. Würde die Schweiz das Änderungsprotokoll nicht ratifizieren und dessen Anforderungen nicht in das innerstaatliche Recht umsetzen, könnte sie künftig mit vielen europäischen und aussereuropäischen Drittstaaten, die dem Änderungsprotokoll beigetreten sind, nicht mehr ungehindert personenbezogene Daten austauschen.
12
Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl. L 281 vom 23.11.1995, S. 31.
573
BBl 2020
1.5
Verlauf und Ergebnis der Verhandlungen zum Änderungsprotokoll
Der Modernisierungsvorschlag des beratenden Ausschusses wurde durch den Beschluss des Ministerkomitees vom 10. März 2010 und die Entschliessung vom 6. November 2010 der Justizminister der Mitgliedsstaaten des Europarates befürwortet und unterstützt. Am 28. Januar 2011 wurde der Modernisierungsprozess in Brüssel offiziell eingeleitet.
Um grösstmögliche Kohärenz und Kompatibilität zu gewährleisten, haben sowohl der beratende Ausschuss als auch der CAHDATA im Rahmen ihrer jeweiligen Arbeiten den damals laufenden Gesetzgebungsprozess der EU berücksichtigt, insbesondere die Verordnung (EU) 2016/679.
Die letzte Phase der Modernisierungsarbeiten, an der die Schweizer Delegation stark beteiligt war, wurde von der Berichterstattergruppe für rechtliche Zusammenarbeit des Ministerkomitees durchgeführt.
1.6
Verhältnis zur Legislaturplanung und zu den Strategien des Bundesrates
1.6.1
Verhältnis zur Legislaturplanung
Die Vorlage der Ratifizierung des Änderungsprotokolls wurde weder in der Botschaft vom 27. Januar 201613 über die Legislaturplanung 20152019 noch im Bundesbeschluss vom 14. Juni 201614 über die Legislaturplanung 20152019 angekündigt. Hingegen werden die Bestimmungen des Änderungsprotokolls im E-DSG umgesetzt, der in der Botschaft vom 27. Januar 2016 über die Legislaturplanung 20152019 angekündigt wurde.
1.6.2
Verhältnis zu den Strategien des Bundesrates
Der Bundesrat hat wiederholt zum Ausdruck gebracht, dass er die Modernisierung des Übereinkommens unterstützt. Ausserdem hat er dafür plädiert, den Datenschutz im Rahmen seiner Massnahmen zur Stärkung der Menschenrechte auszubauen.
Auch in seinen Antworten auf verschiedene parlamentarische Vorstösse hat er erklärt, dass er die Arbeiten des Europarates zur Modernisierung des Übereinkommens unterstützt.15 Schliesslich stimmen die im Änderungsprotokoll vorgesehenen Mass-
13 14 15
574
BBl 2016 1105 BBl 2016 5183 Siehe die Stellungnahme des Bundesrates zur Interpellation Eichenberger 13.4209 «US-Swiss Safe Harbor Framework. Wiederherstellung des Vertrauens beim Datenaustausch mit den USA» und seine Antwort auf die Anfrage Gross 13.1072 «Uno-Pakt über bürgerliche und politische Rechte. Integration des Datenschutzes».
BBl 2020
nahmen mit den Zielen überein, die der Bundesrat im Rahmen des E-DSG16 und seiner Strategie «Digitale Schweiz» verfolgt 17.
1.7
Erledigung parlamentarischer Vorstösse
Die parlamentarischen Vorstösse, die der Bundesrat zur Abschreibung beantragt, sind in seiner Botschaft vom 15. September 201718 aufgeführt.
2
Vorverfahren, insbesondere Vernehmlassungsverfahren
Der Bundesrat hat das Vernehmlassungsverfahren zum E-DSG und zum Entwurf zur Modernisierung des Übereinkommens vom Juni 2016 gleichzeitig durchgeführt, vom 21. Dezember 2016 bis zum 4. April 2017. Gemäss der Zusammenfassung der Ergebnisse des Bundesamtes für Justiz vom 10. August 201719, die der Bundesrat am 15. September 2017 zur Kenntnis genommen hat, hat eine Mehrheit der Teilnehmer die Bestrebungen befürwortet, das schweizerische Datenschutzrecht mit den europäischen Vorgaben zu harmonisieren, soweit dies erforderlich ist, damit die Schweiz von der EU und den Drittstaaten weiterhin als Staat mit einem angemessenen Datenschutzniveau anerkannt wird (Ziff. 3.2 des Berichts). Nur wenige Teilnehmer kritisieren, dass der Geltungsbereich des neuen Übereinkommens ausgebaut wird, und vertreten die Auffassung, dass eine Ratifizierung des neuen Übereinkommens überflüssig sei, da der E-DSG die Reform der EU bereits berücksichtige (Ziff. 5.2 des Berichts). Dieser Kritik kann nicht gefolgt werden. Wie in Ziffer 1.3.2 dargelegt, sind die Ratifizierung des Änderungsprotokolls und die Umsetzung seiner Anforderungen in das nationale Recht miteinander verbundene Kriterien, auf deren Grundlage die EU beschliessen wird, den Angemessenheitsbeschluss zugunsten der Schweiz aufrechtzuerhalten. Weiter würde sich die Schweiz, wenn sie das Änderungsprotokoll nicht ratifiziert, langfristig die Möglichkeit entgehen lassen, Personendaten ungehindert mit einer Vielzahl europäischer und aussereuropäischer Drittstaaten auszutauschen, die dem Änderungsprotokoll beigetreten sind.
Am Entwurf zur Modernisierung des Übereinkommens vom Juni 2016 wurden zwei geringfügige Änderungen vorgenommen.
Die erste Änderung ermöglicht es, in bestimmten Fällen die Pflicht des Verantwortlichen einzuschränken, gegenüber der Aufsichtsbehörde nachzuweisen, dass er die Datenschutzanforderungen erfüllt, insbesondere bei Datenverarbeitungstätigkeiten zum Zwecke der nationalen Sicherheit und der Landesverteidigung (Art. 12 des Änderungsprotokolls / Art. 10 Abs. 1 und Art. 11 Abs. 3 des neuen Übereinkom16 17 18 19
Siehe den Bericht des Bundesrates vom 9. Dezember 2011 über die Evaluation des Bundesgesetzes über den Datenschutz, BBl 2012 335.
www.bakom.admin.ch > Digitale Schweiz und Internet > Digitale Schweiz BBl 2017 6941, 7007 www.admin.ch > Bundesrecht > Vernehmlassungen > Abgeschlossene Vernehmlassungen > 2016 > EJPD
575
BBl 2020
mens). Diese Änderung erfordert keine Anpassung des E-DSG. Denn es handelt sich um eine Kann-Bestimmung, die gegebenenfalls in den sektoriellen Bundesgesetzen umgesetzt werden kann.
Die zweite Änderung schafft die Möglichkeit, unter bestimmten Bedingungen ausnahmsweise vom Grundsatz des freien Datenverkehrs zwischen Vertragsparteien abzuweichen, insbesondere wenn eine tatsächliche und ernste Gefahr besteht, dass die Weitergabe an eine andere Vertragspartei zu einer Umgehung der Bestimmungen des Änderungsprotokolls führen könnte oder wenn eine Vertragspartei verpflichtet ist, harmonisierte gemeinsame Schutzvorschriften von Staaten zu befolgen, die einer regionalen internationalen Organisation angehören, wie die Mitgliedstaaten der EU (Art. 17 des Änderungsprotokolls / Art. 14 Abs. 1 des neuen Übereinkommens). Da es sich um eine Ausnahmebestimmung handelt, muss sie restriktiv ausgelegt werden. Eine Vertragspartei kann sich nur in einem Sonderfall Fall darauf berufen, in dem eine tatsächliche und ernste Gefahr besteht. Diese Ausnahme findet sich teilweise auch im geltenden Übereinkommen (Art. 12 Abs. 3 Bst. b). Sie macht keine Anpassung der Artikel 13 und 14 E-DSG erforderlich.
Diese geringfügigen Änderungen erforderten kein neues Vernehmlassungsverfahren, zumal keine neuen Erkenntnisse zu erwarten waren, weil die Positionen der interessierten Kreise bekannt sind (Art. 3a Abs. 1 Bst. b des Vernehmlassungsgesetzes vom 18. März 200520).
3
Das Änderungsprotokoll in Kürze
Mit dem Änderungsprotokoll wird das Übereinkommen modernisiert, um den neuen Herausforderungen an den Schutz der Privatsphäre zu begegnen, die mit der Nutzung neuer Technologien und immer umfangreicherer Datenströme einhergehen. Im Änderungsprotokoll ist auch vorgesehen, die Bestimmungen des Zusatzprotokolls unter Vorbehalt von Änderungen in das neue Übereinkommen aufzunehmen. Das Zusatzprotokoll wird mit Inkrafttreten des Änderungsprotokolls aufgehoben. Letzteres enthält Bestimmungen, die nicht direkt anwendbar sind und daher gegebenenfalls in innerstaatliches Recht übertragen werden müssen.
Grundsätzlich entspricht das Änderungsprotokoll den Datenschutzgrundsätzen, die im Rahmen der Reform der EU vorgesehen sind, wobei es aber weniger detailliert ist. Es gilt für alle Datenverarbeitungen, die der Gerichtsbarkeit der Vertragsparteien unterstehen, sowohl im öffentlichen als auch im privaten Sektor. Vom Geltungsbereich ausgeschlossen sind nur Datenverarbeitungen, die zur Ausübung persönlicher Tätigkeiten vorgenommen werden.
Das Änderungsprotokoll erweitert die Pflichten des Verantwortlichen. Dieser ist insbesondere verpflichtet, der zuständigen Aufsichtsbehörde bestimmte Datenschutzverletzungen zu melden (Art. 9 des Änderungsprotokolls). Seine Pflicht, den Betroffenen zu informieren, wird ebenfalls ausgeweitet, insbesondere in Bezug auf die mitzuteilenden Informationen (Art. 10 des Änderungsprotokolls). Ausserdem ist im Änderungsprotokoll die Pflicht des Verantwortlichen vorgesehen, im Vorfeld be20
576
SR 172.061
BBl 2020
stimmter Datenverarbeitungen eine Datenschutz-Folgenabschätzung vorzunehmen und die Datenschutzgrundsätze Datenschutz durch Technik und Datenschutz durch datenschutzfreundliche Voreinstellungen anzuwenden (Art. 12 des Änderungsprotokolls).
Das Änderungsprotokoll sieht auch einen Ausbau der Rechte der Betroffenen vor, insbesondere in Bezug auf ihr Auskunftsrecht und im Fall einer automatisierten Einzelentscheidung (Art. 11 des Änderungsprotokolls).
Die Vertragsparteien sind ferner verpflichtet, ein Sanktionssystem und ein Rechtsmittelsystem einzurichten (Art. 15 des Änderungsprotokolls) und den Aufsichtsbehörden die Befugnis einzuräumen, verbindliche, anfechtbare Entscheidungen zu erlassen (Art. 19 des Änderungsprotokolls).
Das Änderungsprotokoll verpflichtet jede Vertragspartei, in ihrem innerstaatlichen Recht die notwendigen Massnahmen zu ergreifen, um den Bestimmungen dieses Erlasses Wirkung zu verleihen. Diese Massnahmen müssen bei der Ratifizierung des neuen Übereinkommens in Kraft treten (Art. 6 des Änderungsprotokolls). Die Vertragsparteien können keine Vorbehalte mehr anbringen. Schliesslich ist ein Evaluationsmechanismus vorgesehen, mit dem das zuständige Organ des Europarates die Wirksamkeit der Massnahmen bewerten kann, die eine Vertragspartei ergriffen hat, um die Bestimmungen des Übereinkommens umzusetzen (Art. 6 und 29 des Änderungsprotokolls).
Das Änderungsprotokoll enthält Bestimmungen, die nicht direkt anwendbar sind.
Das geltende Recht erfüllt bestimmte Anforderungen nicht vollständig. Daher müssen sie in das Bundesrecht übertragen werden, was durch den E-DSG umgesetzt wird.
4
Erläuterungen zu einzelnen Artikeln
Die vorliegende Botschaft enthält keine Erläuterungen zu den Bestimmungen des Änderungsprotokolls, welche die Systematik oder die Überschriften von Kapiteln des Übereinkommens (Art. 5, 16, 18, 20 und 27 des Änderungsprotokolls) oder die Verweise auf bestimmte Artikel (Art. 13, 26 und 35 des Änderungsprotokolls) verändern.
4.1 Art. 1
Präambel (Änderung der Präambel)
In der Präambel wird festgehalten, dass eines der Hauptziele des neuen Übereinkommens darin besteht, die Kontrolle über personenbezogene Daten zu verstärken.
Erwähnt wird daher die persönliche Entscheidungsfreiheit auf der Grundlage des Rechts jedes Einzelnen, selbst über seine personenbezogenen Daten und die Verarbeitung solcher Daten zu bestimmen.
577
BBl 2020
Ausserdem verweist die Präambel darauf, dass das Recht auf den Schutz personenbezogener Daten in Bezug auf dessen gesellschaftliche Rolle zu betrachten ist und dass es mit anderen Menschenrechten und Grundfreiheiten, einschliesslich der freien Meinungsäusserung, in Einklang zu bringen ist. Das Recht auf den Schutz personenbezogener Daten sollte in der Regel auch kein Hindernis für den Zugang der Bürgerinnen und Bürger zu amtlichen Dokumenten darstellen.
Anschliessend wird in der Präambel betont, dass die Weitergabe von Daten für die Gesellschaft von grosser Bedeutung ist. Das neue Übereinkommen legt einen Rahmen fest, dank dem Betroffene ihre Rechte wahrnehmen können, ohne dass Innovationen, der soziale und wirtschaftliche Fortschritt oder der Schutz der öffentlichen Sicherheit beeinträchtigt werden.
Schliesslich wird in der Präambel die Bedeutung der internationalen Zusammenarbeit zwischen den Aufsichtsbehörden der Vertragsparteien des neuen Übereinkommens anerkannt.
4.2 Art. 2
Allgemeine Bestimmungen (Änderung von Art. 1 des Übereinkommens; Gegenstand und Zweck)
Artikel 2 des Änderungsprotokolls legt den Schwerpunkt auf die Frage, wer geschützt werden soll: Es sind die natürlichen Personen, die bei der manuellen oder automatischen Verarbeitung ihrer personenbezogenen Daten geschützt werden müssen.
Art. 3
(Änderung von Art. 2 des Übereinkommens; Begriffsbestimmungen)
Artikel 3 des Änderungsprotokolls hebt die Begriffe «automatisierte Datei» und «automatisierte Verarbeitung» auf. Stattdessen definiert er den Begriff «Datenverarbeitung». Der Begriff «Inhaber der Datensammlung» wird durch den Begriff «Verantwortlicher» ersetzt. Das Änderungsprotokoll führt auch die Begriffe «Empfänger» und «Auftragsverarbeiter» ein.
Art. 4
(Änderung von Art. 3 des Übereinkommens; Geltungsbereich)
Artikel 4 des Änderungsprotokolls erweitert den Geltungsbereich des neuen Übereinkommens auf die nicht automatisierte Verarbeitung personenbezogener Daten.
Hingegen ist das neue Übereinkommen auf die Datenverarbeitung, die von einer natürlichen Person zur Ausübung ausschliesslich persönlicher oder familiärer Tätigkeiten vorgenommen wird, nicht mehr anwendbar (Art. 3 Abs. 2 des neuen Übereinkommens). Die Absätze 36 des Übereinkommens werden aufgehoben, da die Vertragsparteien nicht mehr die Möglichkeit haben, Erklärungen abzugeben (siehe Art. 38 des Änderungsprotokolls).
578
BBl 2020
4.3 Art. 6
Grundprinzipien des Datenschutzes (Änderung von Art. 4 des Übereinkommens; Pflichten der Vertragsparteien)
Artikel 6 Absatz 2 ändert Artikel 4 Absatz 2 des Übereinkommens insofern, als er bestimmt, dass jede Vertragspartei nicht nur die neuen Anforderungen des Änderungsprotokolls in ihrem innerstaatlichen Recht umsetzen muss, sondern dass auch die gesetzgeberischen Massnahmen getroffen worden und in Kraft getreten sein müssen, wenn der betreffende Staat das Änderungsprotokoll ratifiziert. Wie aus Artikel 4 Absätze 2 und 3 des neuen Übereinkommens hervorgeht, ist diese Massnahme darauf ausgerichtet, dass das zuständige Organ des Europarates, d. h. der Übereinkommensausschuss (siehe Art. 27 ff. des Änderungsprotokolls), überprüfen kann, ob alle erforderlichen Massnahmen getroffen wurden, und sicherstellen kann, dass die Vertragspartei die eingegangenen Verpflichtungen einhält und in ihrem innerstaatlichen Recht ein angemessenes Niveau des Schutzes personenbezogener Daten gewährleistet. Der Übereinkommensausschuss kann auch eine Bewertung der Gesetzgebung der Vertragspartei vornehmen (Art. 4 Abs. 3 Bst. a des neuen Übereinkommens).
Art. 7
(Änderung von Art. 5 des Übereinkommens [und seiner Überschrift]; Rechtmässigkeit der Datenverarbeitung und Qualität der Daten)
Artikel 7 des Änderungsprotokolls beinhaltet verschiedene Änderungen von Artikel 5 des Übereinkommens, der fortan die Rechtmässigkeit der Datenverarbeitung und die Qualität der Daten regelt.
Das Änderungsprotokoll führt das Verhältnismässigkeitsprinzip genauer aus. Gemäss dem neuen Artikel 5 Absatz 1 muss jede Datenverarbeitung in Bezug auf den verfolgten rechtmässigen Zweck verhältnismässig sein und in allen Phasen der Verarbeitung auf das unbedingt Notwendige beschränkt sein.
Der Grundsatz der Rechtmässigkeit der Verarbeitung wird konkretisiert (Art. 5 Abs. 2 des neuen Übereinkommens). Die Rechtmässigkeit einer Verarbeitung ergibt sich entweder aus der Einwilligung des Betroffenen oder aus einer rechtmässigen, gesetzlich geregelten Grundlage, beispielsweise wenn die Verarbeitung erforderlich ist für den Abschluss oder die Erfüllung eines Vertrags, bei dem der Betroffene eine Vertragspartei ist, oder zum Schutz anderer übergeordneter Interessen. Das Änderungsprotokoll führt auch den Begriff Einwilligung genauer aus. Die Einwilligung des Betroffenen in die Verarbeitung seiner Daten ist nur rechtsgültig, wenn er der Datenverarbeitung freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich zustimmt.
Das Änderungsprotokoll führt den Grundsatz der Zweckbindung näher aus (Art. 5 Abs. 4 Bst. b des neuen Übereinkommens). Personenbezogene Daten müssen für eindeutige, festgelegte und rechtmässige Zwecke erhoben werden. Die derzeitige Anforderung, dass der Zweck einer Verarbeitung mit dem ursprünglichen Zweck der Erhebung vereinbar bleiben muss, gilt weiterhin. Gemäss Präzisierung im Änderungsprotokoll ist diese Anforderung vorbehaltlich geeigneter Datenschutzgarantien 579
BBl 2020
bei einer Weiterverarbeitung für Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke erfüllt.
Die übrigen Grundsätze, die im neuen Artikel 5 Absätze 3 und 4 vorgesehen sind, bleiben unverändert.
Art. 8
(Änderung von Art. 6 des Übereinkommens; Besondere Arten von Daten)
Das Änderungsprotokoll erweitert den Katalog der besonders schützenswerten Daten. Nach dem neuen Artikel 6 Absatz 1 ist die Verarbeitung von genetischen Daten oder von biometrischen Daten, anhand derer eine Person eindeutig identifizierbar ist, künftig nur erlaubt, wenn in einer gesetzlichen Grundlage angemessene Garantien vorgesehen sind. Der Begriff «personenbezogene Daten über Strafurteile» wird durch den Begriff «personenbezogene Daten bezüglich Straftaten, Strafverfahren und Strafurteilen und damit zusammenhängenden Sicherungsmassnahmen» ersetzt. Schliesslich sind in Artikel 6 zusätzlich zu Daten über politische Meinungen auch Daten über die Gewerkschaftszugehörigkeit erwähnt.
Art. 9
(Änderung von Art. 7 des Übereinkommens; Datensicherung)
Der in Artikel 7 Absatz 1 des neuen Übereinkommens festgelegte Grundsatz der Datensicherung bleibt im Wesentlichen unverändert. In Artikel 7 Absatz 2 führt das Änderungsprotokoll hingegen eine neue Bestimmung für Verletzungen des Datenschutzes ein. Diese Bestimmung verpflichtet die Vertragsparteien, für den Verantwortlichen die Pflicht vorzusehen, Verletzungen des Datenschutzes, die einen schweren Eingriff in die Rechte und Grundfreiheiten von Betroffenen darstellen können, unverzüglich der zuständigen Aufsichtsbehörde zu melden.
Art. 10
(Einführung eines neuen Art. 8; Transparenz der Verarbeitung)
Das Änderungsprotokoll führt einen neuen Artikel 8 ein, der die Informationspflicht des Verantwortlichen regelt. Diese Bestimmung ersetzt Artikel 8 Buchstabe a des Übereinkommens.
Gemäss dem neuen Artikel 8 ist der Verantwortliche verpflichtet, den Betroffenen über alle ihn betreffenden Datenverarbeitungen in Kenntnis zu setzen. Der Verantwortliche teilt dem Betroffenen Folgendes mit: seine Identität, die Rechtsgrundlage und den Zweck der Datenverarbeitung, die Arten der verarbeiteten Daten, gegebenenfalls die Empfänger oder Kategorien von Empfängern sowie die Mittel zur Ausübung der in Artikel 9 des neuen Übereinkommens dargelegten Rechte. Die Informationspflicht entfällt, wenn der Betroffene bereits über diese Informationen verfügt (Art. 8 Abs. 2), wenn die Verarbeitung ausdrücklich gesetzlich vorgeschrieben ist oder wenn sich die Information als unmöglich erweist oder mit unverhältnismässig hohem Aufwand verbunden ist (Art. 8 Abs. 3).
580
BBl 2020
Art. 11
(Ersatz von Art. 8 des Übereinkommens durch Art. 9 und Änderung; Rechte des Betroffenen)
Das Änderungsprotokoll stärkt die Rechte der betroffenen Personen. Der neue Artikel 9 sieht vor, dass der Betroffene das Recht hat, nicht einer ausschliesslich auf einer automatisierten Datenverarbeitung beruhenden Entscheidung unterworfen zu werden, ohne dass er seinen Standpunkt geltend machen kann, es sei denn, die Entscheidung ist gesetzlich vorgesehen (Art. 9 Abs. 1 Bst. a und 2). Er hat auch das Recht, auf Antrag Kenntnis über die der Datenverarbeitung zugrundeliegenden Überlegungen zu erlangen (Art. 9 Abs. 1 Bst. c), und jederzeit gegen die Verarbeitung von ihn betreffenden personenbezogenen Daten Widerspruch einzulegen, sofern der Verantwortliche nicht nachweisen kann, dass berechtigte Gründe für die Verarbeitung bestehen (Art. 9 Abs. 1 Bst. d). Bei der Ausübung seiner Rechte muss der Betroffene unabhängig von seiner Staatsangehörigkeit oder seinem Wohnsitz die Hilfe einer Aufsichtsbehörde in Anspruch nehmen können (Art. 9 Abs. 1 Bst. h).
Das Auskunftsrecht der betroffenen Personen wird ausgebaut. Gemäss Artikel 9 Absatz 1 Buchstabe b hat der Betroffene das Recht, nicht nur eine Bestätigung über die Verarbeitung von ihn betreffenden Daten und die Mitteilung über die verarbeiteten Daten in verständlicher Form, sondern auch alle verfügbaren Informationen über den Ursprung und die Aufbewahrungsfrist der Daten sowie alle sonstigen Informationen zu erhalten, zu deren Bereitstellung der Verantwortliche nach Artikel 8 Absatz 1 des neuen Übereinkommens verpflichtet ist.
Art. 12
(Einführung eines neuen Art. 10; Zusätzliche Verpflichtungen)
Das Änderungsprotokoll führt einen neuen Artikel 10 ein, der die Pflichten des Verantwortlichen erweitert. Gemäss Artikel 10 Absatz 1 müssen die Vertragsparteien für den Verantwortlichen die Pflicht vorsehen, die Anforderungen des neuen Übereinkommens einzuhalten und dies gegenüber der zuständigen Aufsichtsbehörde nachweisen zu können. Ausserdem müssen die Vertragsparteien für den Verantwortlichen die Pflicht vorsehen, die wahrscheinlichen Auswirkungen der beabsichtigten Datenverarbeitung auf die Rechte und Grundfreiheiten der Betroffenen zu untersuchen (Art. 10 Abs. 2) sowie unter Berücksichtigung der Art der Verarbeitung und gegebenenfalls der Grösse des Verantwortlichen die Grundsätze des Datenschutzes durch Technik und des Datenschutzes durch datenschutzfreundliche Voreinstellungen anzuwenden (Art. 10 Abs. 3 und 4).
Art. 14
(Ersatz von Art. 9 des Übereinkommens durch Art. 11 und Änderung; Ausnahmen und Einschränkungen)
Wie das Übereinkommen sieht auch der neue Artikel 11 vor, dass die Grundprinzipien des Datenschutzes nicht eingeschränkt werden dürfen, ausser in Bezug auf gewisse Bestimmungen und unter der Voraussetzung, dass eine solche Einschränkung gesetzlich vorgesehen ist und einer notwendigen und verhältnismässigen Massnahme zum Schutz bestimmter Interessen entspricht, die in Artikel 11 Absatz 1 aufgeführt sind. Das Änderungsprotokoll erweitert den Katalog der schutzwürdigen Interessen: Es erwähnt auch die Landesverteidigung, wichtige wirtschaftliche und finanzielle Interessen des Staates (und nicht mehr nur die Währungsinteressen), die 581
BBl 2020
Unparteilichkeit und Unabhängigkeit der Justiz, die Ermittlung und Verfolgung von Straftaten und die Strafvollstreckung (und nicht mehr nur die Bekämpfung von Straftaten) sowie sonstige wichtige Ziele des allgemeinen öffentlichen Interesses.
Artikel 11 Absatz 2 des neuen Übereinkommens ist neu und sieht vor, dass in Bezug auf die Datenverarbeitung zu Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken unter bestimmten Voraussetzungen Anwendungsbeschränkungen der Artikel 8 und 9 festgelegt werden können. Schliesslich werden die Vertragsparteien auch ermächtigt, im Hinblick auf Verarbeitungstätigkeiten für Zwecke der nationalen Sicherheit und der Landesverteidigung bestimmte spezifische Ausnahmen vorzusehen (Art. 14 Abs. 3 des neuen Übereinkommens).
Art. 15
(Ersatz von Art. 10 des Übereinkommens durch Art. 12 und Änderung; Sanktionen und Rechtsmittel)
Der Anwendungsbereich des neuen Artikels 12 wird erweitert: Die Vertragsparteien sind verpflichtet, geeignete gerichtliche und aussergerichtliche Sanktionen und Rechtsmittel festzulegen.
4.4 Art. 17
Bekanntgabe von Personendaten ins Ausland (Ersatz von Art. 12 des Übereinkommens durch Art. 14 und Änderung; Grenzüberschreitender Verkehr personenbezogener Daten)
Gemäss Artikel 17 des Änderungsprotokolls wird Artikel 12 des Übereinkommens zu Artikel 14 und Artikel 2 des Zusatzprotokolls wird mit einer Reihe von Änderungen aufgenommen.
Der erste Satz von Artikel 14 Absatz 1 des neuen Übereinkommens entspricht Artikel 12 Absatz 2 des derzeitigen Übereinkommens, der den freien Datenverkehr zwischen den Vertragsparteien gewährleistet. Artikel 17 des Änderungsprotokolls schränkt diesen Grundsatz ein, indem er vorsieht, dass jede Vertragspartei in bestimmten Fällen die Weitergabe von Daten an einen Empfänger, welcher der Hoheitsgewalt einer anderen Vertragspartei untersteht, verbieten oder von einer besonderen Genehmigung abhängig machen kann, beispielsweise wenn eine Vertragspartei durch harmonisierte gemeinsame Schutzvorschriften von Staaten, die einer regionalen internationalen Organisation angehören, gebunden ist (zweiter und dritter Satz von Art. 14 Abs. 1 des neuen Übereinkommens).
Der Grundsatz, wonach Personendaten nur an einen Drittstaat weitergegeben werden dürfen, wenn ein angemessenes Schutzniveau gewährleistet ist, bleibt im Vergleich zum gegenwärtigen Übereinkommen unverändert. In Artikel 14 Absatz 3 wird genauer ausgeführt, dass ein angemessenes Schutzniveau durch das Recht dieses Staates sichergestellt werden kann, einschliesslich der anwendbaren völkerrechtlichen Verträge oder Übereinkünfte, oder durch Ad-hoc-Garantien oder genehmigte standardisierte Garantien, die von den an der Weitergabe beteiligten Personen angenommen worden sind und umgesetzt werden. Gemäss dem Änderungsprotokoll 582
BBl 2020
müssen die Vertragsparteien auch vorsehen, dass die Aufsichtsbehörde von der Person, welche die Daten weitergibt, verlangen kann, dass sie alle sachdienlichen Informationen hinsichtlich der Weitergabe von Daten zur Verfügung stellt (Art. 14 Abs. 5 des neuen Übereinkommens). Sie kann vom Verantwortlichen auch verlangen, die Wirksamkeit der getroffenen Garantien nachzuweisen, und sie ist berechtigt, gegebenenfalls die Datenweitergabe zu verbieten oder auszusetzen (Art. 14 Abs. 6 des neuen Übereinkommens).
Mit Artikel 17 des Änderungsprotokolls werden die in Artikel 2 Absatz 2 des Zusatzprotokolls vorgesehenen Ausnahmen in den Artikel 14 Absatz 4 des neuen Übereinkommens aufgenommen. Künftig können personenbezogene Daten trotz des Fehlens eines angemessenen Datenschutzniveaus in einen Drittstaat weitergegeben werden, nicht nur, wenn dies aufgrund überwiegender Interessen, einschliesslich jener des Betroffenen, erforderlich ist, sondern auch wenn der Betroffene ausdrücklich, für den konkreten Fall und freiwillig eingewilligt hat, nachdem er über die Gefahren aufgeklärt wurde, die bei Fehlen geeigneter Garantien entstehen können (Art. 14 Abs. 4 Bst. a), oder wenn diese Datenweitergabe in einer demokratischen Gesellschaft im Hinblick auf die Meinungsfreiheit eine notwendige und verhältnismässige Massnahme darstellt (Art. 14 Abs. 4 Bst. d).
4.5 Art. 19
Aufsichtsbehörden (Einführung eines neuen Art. 15; Aufsichtsbehörden)
Mit Artikel 19 des Änderungsprotokolls werden die Bestimmungen von Artikel 1 des Zusatzprotokolls mit einer Reihe von Änderungen in Artikel 15 des neuen Übereinkommens aufgenommen.
Wie bisher haben die Aufsichtsbehörden Untersuchungs- und Einwirkungsbefugnisse und können gerichtliche Schritte einleiten. Gemäss dem neuen Artikel 15 Absatz 2 Buchstabe c und 9 sind sie künftig befugt, anfechtbare Entscheidungen zu treffen, und sie können insbesondere verwaltungsrechtliche Sanktionen verhängen.
Nicht zuständig sind die Aufsichtsbehörden lediglich für Verarbeitungen, die von Organen im Rahmen ihrer gerichtlichen Tätigkeit vorgenommen werden (Art. 15 Abs. 10 des neuen Übereinkommens).
Mit Artikel 19 des Änderungsprotokolls werden den Aufsichtsbehörden neue Aufgaben verliehen. Sie sind namentlich dafür zuständig, zum einen das öffentliche Bewusstsein für den Datenschutz (Art. 15 Abs. 2 Bst. e Ziff. I und II des neuen Übereinkommens) und zum anderen das Bewusstsein bei den Verantwortlichen und den Auftragsverarbeitern für ihre Pflichten (Art. 15 Abs. 2 Bst. e Ziff. III des neuen Übereinkommens) zu fördern.
Nach Artikel 15 Absatz 3 des neuen Übereinkommens werden die zuständigen Aufsichtsbehörden bei allen Vorschlägen für Rechts- und Verwaltungsvorschriften, die die Verarbeitung personenbezogener Daten vorsehen, zu Rate gezogen.
In Artikel 19 des Änderungsprotokolls ist im Weiteren das Recht des Betroffenen festgelegt, an die Aufsichtsbehörde zu gelangen (Art. 1 Abs. 2 Bst. b des Zusatzpro583
BBl 2020
tokolls). Artikel 15 Absatz 4 des neuen Übereinkommens sieht nun vor, dass sich die Aufsichtsbehörde mit Anträgen und Beschwerden von Betroffenen zu befassen und sie über den Fortgang auf dem Laufenden zu halten hat.
Wie bisher muss die Unabhängigkeit der Aufsichtsbehörden gewährleistet werden (Art. 15 Abs. 5 des neuen Übereinkommens). Nach Artikel 19 des Änderungsprotokolls müssen die Vertragsparteien künftig auch sicherstellen, dass die Aufsichtsbehörden mit den zur wirksamen Erfüllung ihrer Aufgaben und Wahrnehmung ihrer Befugnisse nötigen Ressourcen ausgestattet werden (Art. 15 Abs. 6 des neuen Übereinkommens).
4.6 Art. 21
Zusammenarbeit und gegenseitige Hilfeleistung (Ersatz von Art. 13 des Übereinkommens durch Art. 16 und Änderung; Benennung von Aufsichtsbehörden)
Artikel 16 Absatz 1 des neuen Übereinkommens sieht vor, dass die Vertragsparteien sich verpflichten, zusammenzuarbeiten und einander Hilfe zu leisten. Die Verpflichtung, eine oder mehrere Aufsichtsbehörden zu benennen, bleibt unverändert.
Art. 22
(Einführung eines neuen Art. 17; Formen der Zusammenarbeit)
Mit Artikel 22 des Änderungsprotokolls wird ein neuer Artikel 17 eingeführt, der die verschiedenen Formen der Zusammenarbeit nicht abschliessend regelt. So ist insbesondere vorgesehen, dass die Aufsichtsbehörden einander durch den Austausch notwendiger Informationen Hilfe leisten und dass sie ihre Untersuchungen abstimmen oder sie gemeinsame Massnahmen durchführen. Sie bilden auch ein Netzwerk, um ihre Zusammenarbeit zu organisieren.
Art. 23
(Ersatz von Art. 14 des Übereinkommens durch Art. 18 und Änderung; Unterstützung von Betroffenen)
Artikel 23 des Änderungsprotokolls gewährleistet die Unterstützung von Betroffenen, ungeachtet ihres Wohnorts oder ihrer Staatsangehörigkeit. Wie bisher kann ein Betroffener mit Wohnsitz in einer anderen Vertragspartei seine Rechte direkt im Staat ausüben, in dem seine personenbezogenen Daten verarbeitet werden, oder indirekt durch die von diesem Staat benannte Aufsichtsbehörde.
Art. 24
(Ersatz von Art. 15 des Übereinkommens durch Art. 19 und Änderung; Garantien)
Wie im geltenden Recht ist im neuen Artikel 19 Absatz 1 vorgesehen, dass bei gegenseitiger Hilfeleistung zwischen Aufsichtsbehörden diese den Grundsatz der Spezialität beachten müssen, d. h. dass sie übermittelte Auskünfte nur zu den Zwecken verwenden dürfen, die dem Antrag oder Ersuchen um Unterstützung zugrunde liegen. Im Weiteren ist es den Aufsichtsbehörden nicht erlaubt, im Namen eines
584
BBl 2020
Betroffenen von sich aus und ohne dessen ausdrückliche Genehmigung einen Antrag auf Unterstützung zu stellen (Art. 19 Abs. 2).
Die Verpflichtung zur Verschwiegenheit ist künftig in Artikel 15 Absatz 8 des neuen Übereinkommens vorgesehen.
Art. 25
(Ersatz von Art. 16 des Übereinkommens durch Art. 20 und Änderung; Ablehnung von Ersuchen)
Durch Artikel 25 des Änderungsprotokolls werden lediglich redaktionelle Änderungen vorgenommen.
4.7 Art. 28
Übereinkommensausschuss (Ersatz von Art. 18 des Übereinkommens durch Art. 22 und Änderung; Zusammensetzung des Ausschusses)
Artikel 28 des Änderungsprotokolls ergänzt den neuen Artikel 22 des Übereinkommens mit einer Bestimmung über die Vertretung und die finanzielle Beteiligung von Vertragsparteien, die nicht Mitglied des Europarates sind.
Art. 29
(Ersatz von Art. 19 des Übereinkommens durch Art. 23 und Änderung; Aufgaben des Ausschusses)
Der in den Artikeln 18 ff. des Übereinkommens vorgesehene Beratende Ausschuss wird durch einen Übereinkommensausschuss ersetzt. In Artikel 29 des Änderungsprotokolls werden ihm neue Aufgaben übertragen. Um die Anwendung des neuen Übereinkommens zu erleichtern oder zu verbessern, kann der Übereinkommensausschuss nun Empfehlungen abgeben, statt nur Vorschläge zu unterbreiten (Art. 23 Bst. a). Er hat auch die Aufgabe, vor jedem neuen Beitritt zum Übereinkommen eine Stellungnahme für das Ministerkomitee zum Schutzniveau für personenbezogene Daten zu erarbeiten, das der Beitrittskandidat gewährleistet (Art. 23 Bst. e). Schliesslich überprüft er die Durchführung des neuen Übereinkommens durch die Vertragsparteien und empfiehlt gegebenenfalls Massnahmen für eine überprüfte Vertragspartei (Art. 23 Bst. h).
Art. 30
(Ersatz von Art. 20 des Übereinkommens durch Art. 24 und Änderung; Verfahren)
Artikel 30 des Änderungsprotokolls sieht vor, dass die Abstimmungsmodalitäten im Übereinkommensausschuss in den Elementen der Geschäftsordnung festgelegt werden, die sich im Anhang des Änderungsprotokolls finden (siehe Ziff. 4.10).
Gemäss dem neuen Absatz 4 von Artikel 24 hat der Übereinkommensausschuss auch die Aufgabe, in seiner Geschäftsordnung auf der Grundlage objektiver Kriterien die Verfahren für die Bewertung und Überprüfung nach Artikel 4 Absatz 3 und 23 Buchstaben e, f und h des neuen Übereinkommens festzulegen.
585
BBl 2020
4.8 Art. 31
Änderungen (Ersatz von Art. 21 des Übereinkommens durch Art. 25 und Änderung; Änderungen)
Die hauptsächliche Änderung von Artikel 25 des neuen Übereinkommens besteht in der Einführung eines Absatz 7. Grundsätzlich tritt jede Änderung innerhalb von 30 Tagen nach dem Tag in Kraft, an dem alle Vertragsparteien dem Europarat mitgeteilt haben, dass sie die Änderung gutheissen. Gemäss Absatz 7 kann das Ministerkomitee jedoch unter bestimmten Bedingungen beschliessen, das Inkrafttreten geringfügiger Änderungen um drei Jahre zu verschieben, sofern keine Vertragspartei einen Einwand notifiziert.
4.9 Art. 32
Schlussklauseln (Ersatz von Art. 22 des Übereinkommens durch Art. 26 und Änderung; Inkrafttreten)
Das neue Übereinkommen kann von der EU unterzeichnet werden.
Art. 33
(Ersatz von Art. 23 des Übereinkommens durch Art. 27 und Änderung; Beitritt von Nichtmitgliedstaaten oder internationalen Organisationen)
Das Änderungsprotokoll sieht vor, dass das neue Übereinkommen nicht nur von Drittstaaten, sondern auch von internationalen Organisationen unterzeichnet werden kann. Gegebenenfalls überprüft der Übereinkommensausschuss das Datenschutzniveau, das vom Bewerberstaat bzw. von der Organisation gewährleistet wird.
Art. 34
(Ersatz von Art. 24 des Übereinkommens durch Art. 28 und Änderung; Räumlicher Geltungsbereich)
Da das Änderungsprotokoll zur Unterzeichnung durch die EU aufliegt, wird in Artikel 34 der räumliche Geltungsbereich geändert, indem vorgesehen wird, dass die EU oder eine sonstige internationale Organisation einzelne oder mehrere Hoheitsgebiete bezeichnen kann, auf die das neue Übereinkommen Anwendung findet.
Art. 36
Unterzeichnung, Ratifikation und Beitritt
Diese Bestimmung regelt den Beitritt zum Änderungsprotokoll. Sie sieht insbesondere vor, dass jeder Vertragsstaat des Übereinkommens dem Änderungsprotokoll beitreten kann. Drittstaaten können nicht Vertragspartei des Übereinkommens werden, ohne gleichzeitig dem Änderungsprotokoll beizutreten (Art. 36 Abs. 2 des Änderungsprotokolls).
586
BBl 2020
Art. 37
Inkrafttreten
Nach Artikel 37 Absatz 1 tritt das Änderungsprotokoll in Kraft, wenn es von allen Vertragsparteien des Übereinkommens ratifiziert wurde, oder nach einem Zeitraum von fünf Jahren, nachdem es für die Staaten, die das Protokoll ratifiziert haben, zur Unterzeichnung aufgelegt wurde, sofern dem Protokoll mindestens 38 Vertragsparteien angehören. Mit Inkrafttreten des Änderungsprotokolls wird das Zusatzprotokoll aufgehoben (Art. 37 Abs. 4).
Art. 38
Erklärungen im Zusammenhang mit dem Übereinkommen
Diese Bestimmung sieht vor, dass mit Inkrafttreten des Änderungsprotokolls die Erklärungen der Vertragsparteien nach Artikel 3 des Übereinkommens unwirksam werden.
Bei ihrer Ratifizierung des Übereinkommens hat die Schweiz zwei Erklärungen abgegeben, zum einen zur Anwendung des Übereinkommens auf die Bearbeitung von Daten juristischer Personen und auf Datensammlungen, die nicht automatisiert bearbeitet werden, und zum anderen zur Nichtanwendung des Übereinkommens auf Daten, die von den eidgenössischen Räten im Rahmen von Beratungen und vom Internationalen Komitee vom Roten Kreuz bearbeitet werden, sowie auf Daten, die eine natürliche Person ausschliesslich zum persönlichen Gebrauch bearbeitet. Die Unwirksamkeit dieser Erklärungen ist nicht problematisch. Denn der Geltungsbereich des E-DSG entspricht dem Geltungsbereich des neuen Übereinkommens (siehe Ziff. 5.11).
Art. 39
Vorbehalte
Die Vertragsparteien können keine Vorbehalte mehr anbringen. Unter Berücksichtigung der Ausnahmen oder Einschränkungen, die bei der Umsetzung gewisser Bestimmungen zugelassen sind, räumt das Änderungsprotokoll den Vertragsparteien dennoch einen gewissen Handlungsspielraum ein.
Art. 40
Notifikationen
Diese Bestimmung sieht vor, dass das Sekretariat des Europarates den Mitgliedstaaten des Europarates und jeder anderen Vertragspartei des Übereinkommens jeden weiteren Beitritt zum Änderungsprotokoll und den Zeitpunkt seines Inkrafttretens notifiziert.
4.10
Anhang des Änderungsprotokolls: Elemente der Geschäftsordnung des Übereinkommensausschusses
Im Anhang des Änderungsprotokolls sind die Elemente festgelegt, die in die Geschäftsordnung des Übereinkommensausschusses aufzunehmen sind, insbesondere die Stimmberechtigung jeder Vertragspartei und die Mehrheiten, mit denen Beschlüsse des Übereinkommensausschusses verabschiedet werden können.
587
BBl 2020
5
Erläuterung des Umsetzungserlasses
5.1
Erläuterung des Revisionsentwurfs des Bundesrates vom 15. September 201721
5.1.1
Änderung des Geltungsbereichs
Artikel 1 E-DSG gleicht sich dem Wortlaut des neuen Artikels 3 des Übereinkommens an: Er gilt nicht mehr für die Bearbeitung von Daten juristischer Personen.
Das künftige DSG regelt weiterhin die Bearbeitung von Personendaten durch private Personen oder Bundesorgane (Art. 2 Abs. 1 E-DSG). Die in Artikel 2 Absatz 2 vorgesehenen Ausnahmen, insbesondere in Bezug auf die eidgenössischen Räte und bestimmte Verfahren, sind mit den Anforderungen des neuen Übereinkommens vereinbar.
5.1.2
Änderung der Begriffe
Die Terminologie des E-DSG richtet sich weitgehend nach den Begriffen im neuen Übereinkommen. Im E-DSG wird der Begriff «Inhaber der Datensammlung» durch den Begriff «Verantwortlicher» ersetzt (Art. 4 Bst. i E-DSG), ausserdem wird der Begriff «Auftragsbearbeiter» definiert (Art. 4 Bst. j E-DSG).
Entsprechend den Anpassungen, die durch Artikel 8 des Änderungsprotokolls an Artikel 6 des Übereinkommens vorgenommen wurden, sieht der E-DSG eine Erweiterung des Katalogs der besonders schützenswerten Personendaten vor (Art. 4 Bst. c E-DSG). Ausdrücklich erwähnt werden die «Daten über die Zugehörigkeit zu einer Ethnie» (Art. 4 Bst. c Ziff. 2 E-DSG). Ausserdem sind die «genetischen Daten» (Art. 4 Bst. c Ziff. 3 E-DSG) und die «biometrischen Daten, die eine natürliche Person eindeutig identifizieren» (Art. 4 Bst. c Ziff. 4 E-DSG) nun im Katalog der besonders schützenswerten Personendaten enthalten.
5.1.3
Stärkung der allgemeinen Datenschutzgrundsätze
Die Anpassungen, die durch Artikel 7 des Änderungsprotokolls an Artikel 5 des Übereinkommens (Rechtmässigkeit der Datenverarbeitung und Qualität der Daten) vorgenommen wurden, werden in Artikel 5 E-DSG umgesetzt. Nach Artikel 5 Absatz 3 E-DSG dürfen Personendaten nur zu einem bestimmten und für die betroffene Person erkennbaren Zweck beschafft werden. Ausserdem ist in Absatz 3 vorgesehen, dass Personendaten nur so bearbeitet werden dürfen, dass es mit dem ursprünglichen Zweck vereinbar ist. Gemäss Artikel 5 Absatz 4 E-DSG müssen Personendaten anonymisiert werden, sobald sie zum Zweck der Bearbeitung nicht mehr erforderlich sind.
21
588
BBl 2017 7193 7206
BBl 2020
Wie das geltende Recht sieht der E-DSG spezifische Regeln für die Bearbeitung besonders schützenswerter Personendaten vor. Die Anforderungen bezüglich der Einwilligung werden beibehalten (Art. 5 Abs. 6 E-DSG).
5.1.4
Bekanntgabe von Personendaten ins Ausland
Gemäss Artikel 13 Absatz 1 E-DSG dürfen Personendaten ins Ausland bekanntgegeben werden, wenn der Bundesrat festgestellt hat, dass die Gesetzgebung des betreffenden Staates einen angemessenen Schutz gewährleistet. Liegt kein Entscheid des Bundesrates vor, dürfen nach Artikel 13 Absatz 2 E-DSG Personendaten ins Ausland bekanntgegeben werden, wenn ein geeigneter Datenschutz gewährleistet wird durch einen völkerrechtlichen Vertrag (Bst. a) oder durch andere Garantien (Bst. b bis e), die in gewissen Fällen vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) genehmigt werden müssen, wie dies im neuen Artikel 14 Absatz 3 Buchstabe b des Übereinkommens vorgesehen ist (Art. 17 des Änderungsprotokolls).
Artikel 14 E-DSG sieht mehrere Ausnahmen vor, wenn der Staat, in den die Daten bekanntgegeben werden sollen, kein angemessenes Datenschutzniveau gewährleistet. Bei einigen dieser Ausnahmen (Art. 14 Abs. 1 Bst. b Ziff. 2 sowie c und d E-DSG) ist der EDÖB gemäss Artikel 14 Absatz 2 E-DSG ermächtigt, vom Verantwortlichen oder vom Auftragsbearbeiter Informationen über die erfolgte Bekanntgabe von Personendaten anzufordern, wie dies im neuen Artikel 14 Absatz 5 und 6 des Übereinkommens verlangt wird (Art. 17 des Änderungsprotokolls).
5.1.5
Ausbau der Pflichten des Verantwortlichen
Informationspflicht bei der Beschaffung von Personendaten Gemäss den Anforderungen im neuen Artikel 8 des Übereinkommens (Art. 10 des Änderungsprotokolls) erweitert Artikel 17 E-DSG die Informationspflicht von privaten Verantwortlichen auf jegliche Beschaffung von Personendaten, einschliesslich der Beschaffung von «nicht besonders schützenswerten» Daten, wie dies bereits bei Bundesorganen der Fall ist. Die Informationspflicht gilt unabhängig davon, ob die Daten bei den betroffenen Personen oder bei Dritten beschafft werden (Abs. 1).
Nach Artikel 17 Absatz 2 E-DSG muss der Verantwortliche der betroffenen Person diejenigen Informationen mitteilen, die erforderlich sind, damit sie ihre Rechte nach diesem Gesetz geltend machen kann und eine transparente Datenbearbeitung gewährleistet ist. Diese Informationen umfassen mindestens die Identität und die Kontaktdaten des Verantwortlichen (Bst. a), den Bearbeitungszweck (Bst. b) und gegebenenfalls die Empfängerinnen und Empfänger oder die Kategorien von Empfängerinnen und Empfängern, denen Personendaten bekanntgegeben werden (Bst. c).
Werden die Personendaten nicht bei der betroffenen Person beschafft, teilt der Verantwortliche ihr zudem die Kategorien der bearbeiteten Personendaten mit (Art. 17 Abs. 3 E-DSG).
589
BBl 2020
Die Ausnahmen von der Informationspflicht und die Einschränkungen sind in Artikel 18 E-DSG geregelt und entsprechen den Anforderungen in Artikel 11 des neuen Übereinkommens (Art. 14 des Änderungsprotokolls).
Informationspflicht bei einer automatisierten Einzelentscheidung Gemäss den Anforderungen im neuen Artikel 9 Absatz 1 Buchstabe a des Übereinkommens (Art. 11 des Änderungsprotokolls) wird mit Artikel 19 E-DSG die Pflicht des Verantwortlichen eingeführt, die betroffene Person über eine sie betreffende automatisierte Einzelentscheidung in Kenntnis zu setzen. Nach Artikel 19 Absatz 2 E-DSG muss der Verantwortliche der betroffenen Person auf Antrag auch die Möglichkeit geben, ihren Standpunkt darzulegen. Sie muss sich zum Ergebnis der Entscheidung äussern können und sich bei Bedarf erkundigen können, wie die Entscheidung zustande gekommen ist. Darüber hinaus kann die betroffene Person verlangen, dass die Entscheidung von einer natürlichen Person überprüft wird (Art. 19 Abs. 2 E-DSG). In Artikel 19 Absatz 3 E-DSG sind gewisse Ausnahmen vorgesehen.
Datenschutz-Folgenabschätzung Gemäss den Anforderungen im neuen Artikel 10 Absatz 2 des Übereinkommens (Art. 12 des Änderungsprotokolls) wird in Artikel 20 E-DSG die Pflicht des Verantwortlichen eingeführt, eine Datenschutz-Folgenabschätzung zu erstellen, wenn er eine Datenbearbeitung plant, die ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann.
Artikel 10 Absatz 3 des neuen Übereinkommens wird in Artikel 6 E-DSG umgesetzt, der die Grundsätze des Datenschutzes durch Technik und des Datenschutzes durch datenschutzfreundliche Voreinstellungen einführt.
Meldung von Verletzungen der Datensicherheit Gemäss den Anforderungen im neuen Artikel 7 Absatz 2 des Übereinkommens (Art. 9 des Änderungsprotokolls) ist in Artikel 22 E-DSG vorgesehen, dass der Verantwortliche dem EDÖB so rasch als möglich eine Verletzung der Datensicherheit meldet, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt (Abs. 1 und 2). Vorbehältlich bestimmter Ausnahmen muss der Verantwortliche auch die betroffene Person informieren, wenn es zu ihrem Schutz erforderlich ist oder der EDÖB es verlangt (Art. 22 Abs. 4 E-DSG).
5.1.6
Stärkung der Rechte der betroffenen Personen
Gemäss den Anforderungen im neuen Artikel 9 des Übereinkommens (Art. 11 des Änderungsprotokolls) werden die Rechte der betroffenen Personen gestärkt.
Nach Artikel 23 Absatz 1 E-DSG kann jede Person vom Verantwortlichen kostenlos Auskunft darüber verlangen, ob Personendaten über sie bearbeitet werden. Sie erhält diejenigen Informationen, die erforderlich sind, damit sie ihre Rechte geltend machen kann und eine transparente Datenbearbeitung gewährleistet ist. In jedem Fall 590
BBl 2020
werden ihr folgende Informationen mitgeteilt: die Identität des Verantwortlichen, die bearbeiteten Personendaten, die Aufbewahrungsdauer der Personendaten, die verfügbaren Angaben über die Herkunft der Personendaten und gegebenenfalls das Vorliegen einer automatisierten Einzelentscheidung sowie die Empfängerinnen und Empfänger oder die Kategorien von Empfängerinnen und Empfängern, denen Personendaten bekanntgegeben werden (Art. 23 Abs. 2 E-DSG). Die Einschränkungen sind in Artikel 24 E-DSG geregelt und sind mit den Anforderungen in Artikel 11 des neuen Übereinkommens vereinbar.
Im E-DSG wird das derzeitige System der Rechtsansprüche gegenüber privaten Verantwortlichen weitgehend beibehalten (siehe Art. 26 bis 28 E-DSG). Im Wesentlichen werden redaktionelle Änderungen vorgenommen, um die Bestimmungen genauer auszuführen. Das Recht auf Löschung der Daten ist in Artikel 28 Absatz 2 Buchstabe c E-DSG ausdrücklich festgehalten. Das Widerspruchsrecht, das in gleicher Weise wie im geltenden Recht ausgestaltet ist, ergibt sich aus Artikel 26 Absatz 2 Buchstabe b E-DSG (in Verbindung mit Art. 27 und 28 E-DSG). Die Rechtsansprüche gegenüber den Bundesorganen sind in den Artikeln 33 und 37 E-DSG geregelt und werden nicht wesentlich geändert.
5.1.7
Ausbau der Befugnisse und Aufgaben des EDÖB
Gemäss den Anforderungen im neuen Artikel 15 des Übereinkommens (Art. 19 des Änderungsprotokolls) werden die Befugnisse des EDÖB gestärkt.
Kommt die private Person oder das Bundesorgan, gegen die bzw. das eine Untersuchung eröffnet wurde, den Mitwirkungspflichten nicht nach, kann der EDÖB insbesondere den Zugang zu allen Auskünften und Unterlagen, die für die Untersuchung erforderlich sind, den Zugang zu Räumlichkeiten und Anlagen sowie Zeugeneinvernahmen und Begutachtungen durch Sachverständige anordnen (Art. 44 Abs. 1 E-DSG).
Liegt eine Verletzung von Datenschutzvorschriften vor, kann der EDÖB verschiedene verbindliche Massnahmen ergreifen (Art. 45 E-DSG). Er kann insbesondere verfügen, dass die Bearbeitung unterbrochen, angepasst oder abgebrochen wird und dass die Personendaten gelöscht oder vernichtet werden. Ausserdem kann er die Bekanntgabe von Daten ins Ausland aufschieben oder untersagen (Art. 45 Abs. 2).
Er kann auch anordnen, dass der Verantwortliche bestimmte im E-DSG vorgesehene Pflichten erfüllt (Art. 45 Abs. 3). Stellt der EDÖB fest, dass seine Verfügung missachtet wird, kann er dies unter bestimmten Voraussetzungen den Strafverfolgungsbehörden melden, die ein Verfahren wegen Missachten von Verfügungen eröffnen müssen (Art. 57 E-DSG).
Der EDÖB verfügt weiterhin über ein Beschwerderecht vor den eidgenössischen Gerichten (Art. 46 Abs. 3 E-DSG).
Die betroffene Person ist nicht Partei in einer vom EDÖB eröffneten Untersuchung.
Hat der EDÖB im Anschluss an eine Anzeige der betroffenen Person eine Untersuchung eröffnet, ist er allerdings verpflichtet, sie über die gestützt darauf unternommenen Schritte zu informieren.
591
BBl 2020
Der EDÖB nimmt darüber hinaus weitere neue Aufgaben wahr: Beispielsweise schult und berät er Bundesorgane und private Personen und sensibilisiert die Bevölkerung, insbesondere schutzbedürftige Personen, in Bezug auf den Datenschutz (Art. 52 Abs. 1 Bst. a und c E-DSG).
Um den neuen Artikel 18 des Übereinkommens (Art. 23 des Änderungsprotokolls) umzusetzen, festigt Artikel 52 Absatz 1 Buchstabe d E-DSG die Praxis des EDÖB betreffend die Beratung von betroffenen Personen, indem er vorsieht, dass der EDÖB betroffenen Personen auf Anfrage Auskunft darüber erteilt, wie sie ihre Rechte ausüben können.
5.1.8
Stärkung der Zusammenarbeit zwischen den Behörden
Gemäss den Anforderungen im neuen Artikel 17 des Übereinkommens (Art. 22 des Änderungsprotokolls) werden die Vorschriften zur Amtshilfe zwischen dem EDÖB und schweizerischen Behörden sowie zwischen dem EDÖB und ausländischen Behörden, die für den Datenschutz zuständig sind, verstärkt (Art. 48 und 49 E-DSG).
5.1.9
Ausbau des Systems der strafrechtlichen Sanktionen
Zur Umsetzung von Artikel 12 des Übereinkommens (Art. 15 des Änderungsprotokolls) erweitert der E-DSG das System der strafrechtlichen Sanktionen. Er umschreibt die Verletzung bestimmter im E-DSG vorgesehener Pflichten als Straftat (Art. 5456 E-DSG) und führt eine Strafbestimmung für die Missachtung einer Verfügung des EDÖB ein (Art. 57 E-DSG). Der EDÖB kann Straftaten bei der zuständigen Strafverfolgungsbehörde zur Anzeige bringen (Art. 59 Abs. 2 E-DSG).
5.2
Beratungen im Parlament zum E-DSG
Der E-DSG, welchen der Nationalrat in der Herbstsession 2019 angenommen hat22, ist vorbehaltlich der nachfolgenden Punkte mit den Anforderungen des Änderungsprotokolls vereinbar.
Der Nationalrat hat beschlossen, den Begriff der «Daten über gewerkschaftliche Ansichten oder Tätigkeiten» aus dem Katalog der besonders schützenswerten Personendaten zu streichen (Art. 4 Bst. c Ziff. 1 E-DSG). Dagegen werden in Artikel 8 des Änderungsprotokolls die Daten über die Gewerkschaftszugehörigkeit zusätzlich zu den Daten über politische Meinungen in den Katalog der besonders schützenswerten Personendaten aufgenommen (Art. 6 des neuen Übereinkommens).
Des Weiteren hat der Nationalrat eine neue Ausnahme von der Informationspflicht vorgesehen (Art. 18 Abs. 1 Bst. e E-DSG), welche den Anforderungen der Artikel 10 und 14 des Änderungsprotokolls (Art. 8 und 11 des neuen Übereinkommens) nicht 22
592
www.parlament.ch > 17.059; Entwurf 3
BBl 2020
entspricht. Gemäss der vom Nationalrat beschlossenen Anpassung entfällt die Informationspflicht des Verantwortlichen, wenn die Information einen unverhältnismässigen Aufwand erfordert, ungeachtet dessen, ob die Daten bei der betroffenen Person beschafft worden sind oder nicht.
Der Nationalrat hat ferner Artikel 23 Absatz 2 E-DSG zum Auskunftsrecht so geändert, dass der Katalog mit den der betroffenen Person mitzuteilenden Angaben abschliessend formuliert ist. Artikel 11 Absatz 2 des Änderungsprotokolls sieht dagegen einen weitergehenden Anspruch für die betroffene Person vor, denn der Verantwortliche kann verpflichtet sein, weitere Information zu erteilen, um Transparenz sicherzustellen (Art. 9 Abs. 1 Bst. b des neuen Übereinkommens).
Schliesslich hat der Nationalrat den in Artikel 55 Buchstabe c E-DSG vorgesehenen Straftatbestand bei Verletzung der Mindestanforderungen an die Datensicherheit gestrichen. Der Grundsatz der Datensicherheit und die Schaffung eines geeigneten Sanktionensystems bei Verletzungen von Bestimmungen des neuen Übereinkommens sind aber zwei grundlegende Anforderungen der Artikel 9 und 15 des Änderungsprotokolls (Art. 7 und 12 des neuen Übereinkommens).
6
Auswirkungen
6.1
Auswirkungen auf den Bund
Mit dem E-DSG sollen zwei Hauptziele erreicht werden: zum einen die Stärkung des Datenschutzrechts, um der Entwicklung neuer Technologien zu begegnen, und zum anderen die Berücksichtigung der einschlägigen Reformen auf europäischer Ebene, insbesondere des Änderungsprotokolls. Die finanziellen und personellen Auswirkungen des E-DSG auf den Bund sind in der Botschaft des Bundesrates vom 15. September 2017 dargelegt (Ziff. 11.1). Es ist jedoch nicht möglich, die finanziellen Auswirkungen abzuschätzen, die direkt mit der Umsetzung des Änderungsprotokolls verbunden sind. Denn einige gesetzgeberische Massnahmen (beispielsweise die Übertragung von Entscheidungsbefugnissen an den EDÖB) ergeben sich sowohl aus dem Änderungsprotokoll als auch aus Reformen der EU, insbesondere aus der Richtlinie (EU) 2016/68023.
6.2
Auswirkungen auf die Kantone
Die Ratifizierung des Änderungsprotokolls durch die Schweiz ist auch für die Kantone verbindlich. Die Bestimmungen dieses Rechtsakts müssen, soweit erforderlich, gemäss der im innerstaatlichen Recht vorgesehenen verfassungsmässigen Kompetenzverteilung umgesetzt werden.
23
Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates, ABl. L 119 vom 4.5.2016, S. 89.
593
BBl 2020
6.3
Auswirkungen auf die Volkswirtschaft
Mit der Ratifizierung des Änderungsprotokolls und der Umsetzung seiner neuen Anforderungen im Bundesrecht kann die Schweiz den grenzüberschreitenden Datenverkehr mit dem Ausland, insbesondere im privaten Sektor, weiterhin gewährleisten (siehe Ziff. 1.3.2).
Für weitere Informationen ist auf die Erläuterungen in der Botschaft des Bundesrates vom 15. September 2017 zu verweisen (siehe Ziff. 11.4).
6.4
Auswirkungen auf die Gesellschaft
Mit der Ratifizierung des Änderungsprotokolls durch die Schweiz und der Umsetzung seiner neuen Anforderungen im Bundesrecht wird der Schutz der Konsumentinnen und Konsumenten sowie von schutzbedürftigen Personen verbessert, vor allem im Hinblick auf die gesellschaftlichen Herausforderungen, die mit den neuen Technologien verbunden sind. Durch die Ratifizierung dieses neuen Übereinkommens gewährleistet die Schweiz für ihre Bevölkerung einen hohen Schutz der Privatsphäre, ebenso wie die meisten europäischen Staaten und eine Reihe von Staaten, die nicht Mitglied des Europarates sind.
Es ergeben sich keine direkten Auswirkungen auf die Gesundheit.
6.5
Weitere Auswirkungen
Es sind keine Auswirkungen auf die Gleichstellung von Mann und Frau oder auf die Umwelt zu erwarten.
7
Rechtliche Aspekte
7.1
Verfassungsmässigkeit
Der Entwurf des Bundesbeschlusses zur Genehmigung des Änderungsprotokolls stützt sich auf Artikel 54 Absatz 1 der Bundesverfassung (BV)24, gemäss dem die auswärtigen Angelegenheiten Sache des Bundes sind. Nach Artikel 184 Absatz 2 BV ist der Bundesrat befugt, völkerrechtliche Verträge zu unterzeichnen und zu ratifizieren. Gemäss Artikel 166 Absatz 2 BV werden solche Verträge von der Bundesversammlung genehmigt, ausser wenn für deren Abschluss auf Grund von Gesetz oder völkerrechtlichem Vertrag der Bundesrat zuständig ist (siehe auch Art. 24 Abs. 2 des Parlamentsgesetzes vom 13. Dezember 200225 [ParlG] und Art. 7a Abs. 1 des Regierungs- und Verwaltungsorganisationsgesetzes vom 21. März 199726 24 25 26
594
SR 101 SR 171.10 SR 172.010
BBl 2020
[RVOG]). Im vorliegenden Fall verfügt der Bundesrat über keine durch Gesetz oder Vertrag übertragene Befugnis. Artikel 36 Absatz 5 DSG ist nicht anwendbar. Zwar überträgt diese Bestimmung dem Bundesrat die Befugnis, völkerrechtliche Verträge über den Datenschutz abzuschliessen, wenn sie den Grundsätzen des DSG entsprechen. Gemäss den parlamentarischen Beratungen27 ist Artikel 36 Absatz 5 DSG jedoch eng auszulegen. Die Bestimmung überträgt dem Bundesrat keine allgemeine Befugnis, völkerrechtliche Verträge im Bereich des Datenschutzes abzuschliessen, sondern nur Verträge von beschränkter Tragweite. Artikel 7a Absatz 3 RVOG listet nicht abschliessend auf, was mit völkerrechtlichen Verträgen von beschränkter Tragweite gemeint ist, während Absatz 4 dieser Bestimmung beispielhaft Verträge aufführt, die nicht als völkerrechtliche Verträge von beschränkter Tragweite gelten.
Das Änderungsprotokoll entspricht einem völkerrechtlichen Vertrag, welcher die Voraussetzung gemäss Artikel 141 Absatz 1 Buchstabe d Ziffer 3 BV erfüllt (siehe Ziff. 7.3). Gemäss dieser Bestimmung untersteht ein völkerrechtlicher Vertrag dem Referendum, wenn er wichtige rechtsetzende Bestimmungen enthält oder wenn dessen Umsetzung den Erlass von Bundesgesetzen erfordert. Als rechtsetzend gelten nach Artikel 22 Absatz 4 ParlG Bestimmungen, die in unmittelbar verbindlicher und generell-abstrakter Weise Pflichten auferlegen, Rechte verleihen oder Zuständigkeiten festlegen. Als wichtige rechtsetzende Bestimmungen gelten ebenfalls jene Bestimmungen, welche nach innerstaatlichem Recht im Lichte von Artikel 164 Absatz 1 BV in der Form des Bundesgesetzes zu erlassen sind. Die Ratifizierung des Änderungsprotokolls bringt verschiedene gesetzgeberische Anpassungen mit sich.
Vor diesem Hintergrund ergibt sich, dass dieser völkerrechtliche Vertrag nicht von beschränkter Tragweite ist (Art. 7a Abs. 4 Bst. a RVOG). Daher ist es Sache der Bundesversammlung, darüber zu befinden.
7.2
Vereinbarkeit mit internationalen Verpflichtungen der Schweiz
Der Entwurf für einen Bundesbeschluss ist mit den internationalen Verpflichtungen der Schweiz vereinbar, insbesondere mit der Richtlinie (EU) 2016/680, welche eine Weiterentwicklung des Schengen-Besitzstands im Bereich des Datenschutzes ist.
Das Änderungsprotokoll entspricht den datenschutzrechtlichen Grundsätzen dieses Rechtsakts, auch wenn sie weniger detailliert ist.
7.3
Erlassform
Nach Artikel 141 Absatz 1 Buchstabe d Ziffer 3 BV unterstehen völkerrechtliche Verträge dem Referendum, wenn sie wichtige rechtsetzende Bestimmungen enthalten oder wenn deren Umsetzung den Erlass von Bundesgesetzen erfordert (Ziff. 3).
27
Siehe Amtl. Bull. 1990 S 161; vgl. ausserdem Jöhri Yvonne, Kommentar zu Artikel 36 Absatz 5 DSG, in: Rosenthal/Jöhri (Hrsg.), Handkommentar zum Datenschutzgesetz, Zürich/Basel/Genf 2008, N 4244.
595
BBl 2020
Das Änderungsprotokoll enthält wichtige Bestimmungen, deren Umsetzung eine Änderung der Bundesgesetzgebung im Bereich des Datenschutzes erfordert. Daher ist der Bundesbeschluss zur Genehmigung des Änderungsprotokolls dem Referendum zu unterstellen.
596