Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) in der Schweiz spielt eine entscheidende Rolle im Bereich des Datenschutzes. Der EDÖB ist für zwei Bereiche zuständig: für das Bundesgesetz über den Datenschutz (DSG) und für das Bundesgesetz über das Öffentlichkeitsprinzip in der Verwaltung (Öffentlichkeitsgesetz, BGÖ). In diesem Artikel werden die Rolle und die Aufgaben des EDÖB im Bereich Datenschutz näher beleuchtet.
Organisation des EDÖB
Administrativ zugeordnet ist der EDÖB als Behörde der Bundeskanzlei. Der Leiter des EDÖB wird (seit Inkrafttreten des neuen Datenschutzgesetztes) von der Vereinigten Bundesversammlung gewählt. Dies soll sowohl die Unabhängigkeit des Amts von der Exekutive verstärken als auch dessen demokratische Legitimation. Denn der Leiter des EDÖB übt seine Funktion unabhängig und weisungsfrei aus.
Die Amtsdauer der Leitungsperson beträgt vier Jahre und kann höchstens zweimal erneuert werden. Die Vereinigte Bundesversammlung kann den Beauftragten nur dann vor Ablauf der Amtsdauer entlassen, wenn dieser vorsätzlich oder grob fahrlässig Amtspflichten schwer verletzt hat oder die Fähigkeit, das Amt auszuüben, auf Dauer verloren hat. Die Gerichtskommission ist zuständig für die Vorbereitung der Amtsenthebung. Die Geschäftsprüfungskommissionen und die Finanzdelegation bringen Feststellungen, welche die fachliche oder persönliche Eignung der oder des Beauftragten ernsthaft in Frage stellen, der Gerichtskommission zur Kenntnis.
Rolle und Aufgaben des EDÖB
Gemäss Art. 4 DSG beaufsichtigt der EDÖB die Anwendung der bundesrechtlichen Datenschutzvorschriften und hat somit sicherzustellen, dass Bundesorgane und Privatpersonen (dazu zählen neben natürlichen Personen auch Privatunternehmen, Freelancer und (Solo-)Selbständige), diese Bestimmungen einhalten.
Der EDÖB nimmt generelle Aufgaben im Zusammenhang mit dem Datenschutz wahr und informiert, schult und berät für die Datenbearbeitung Verantwortliche in Fragen des Datenschutzes, erteilt betroffenen Personen auf Anfrage Auskunft darüber, wie sie ihre Rechte ausüben können und sensibilisiert die Bevölkerung in Bezug auf den Datenschutz.
Der EDÖB hat gem. Art. 49 DSG die Möglichkeit von Amts wegen oder auf Anzeige hin eine Untersuchung zu eröffnen, wenn genügend Anzeichen bestehen, dass eine Datenbearbeitung gegen die Datenschutzvorschriften verstossen könnte. Er kann nur dann von einer Untersuchung absehen, wenn die vermeintliche Verletzung der Datenschutzvorschriften von geringfügiger Bedeutung ist.
Eröffnet der EDÖB eine Untersuchung, sind diesem alle Auskünfte zu erteilen und alle Unterlagen zur Verfügung zu stellen, die für die weitere Untersuchung notwendig sind. Diese Mitwirkungspflichten ergeben sich aus Art. 49 Abs. 3 DSG.
Verweigert das Bundesorgan oder die Privatperson die Kooperation, kann der EDÖB gem. Art. 50 DSG sowohl den Zugang zu allen Auskünften und Unterlagen als auch zu den Geschäftsräumlichkeiten und Anlagen anordnen. Des Weiteren können Begutachtungen durch Sachverständige eingeholt und Zeugen einvernommen werden.
Zum Vollzug dieser Massnahmen kann der EDÖB die Polizeiorgane hinzuziehen.
Hat eine betroffene Person Anzeige erstattet, hat der EDÖB diese über die unternommenen Schritte und das Ergebnis der Untersuchung zu informieren.
Ergibt die Untersuchung, dass ein Verstoss gegen Datenschutzvorschriften vorliegt, kann der EDÖB gem. Art. 51 DSG die ganze oder teilweise Anpassung, Unterbrechung oder Abbrechung der Bearbeitung sowie die Löschung oder Vernichtung der Daten verfügen. Er kann zudem die Bekanntgabe ins Ausland aufschieben oder untersagen, wenn gegen Art. 16 oder 17 DSG verstossen wird.
Weitere Befugnisse ergeben sich aus Art. 61 Abs. 3 lit a-g DSG. Beispielsweise kann der EDÖB anordnen, dass der Verantwortliche eine Datenschutz-Folgenabschätzung (DSFA) vorzunehmen hat oder der betroffenen Person Auskunft darüber erteilt muss, ob Personendaten über sie verarbeitet werden.
Seinerseits hat der EDÖB jährlich einen Bericht über seine Tätigkeit zu erstellen und diesen an den Bundesrat zu übermitteln. Dieser Bericht ist öffentlich zugänglich.
Meldung von Datenpannen
Der Verantwortliche muss dem EDÖB eine Verletzung der Datensicherheit so rasch als möglich melden, wenn diese ein hohes Risiko für die Betroffenen darstellt. Die Meldung durch den Verantwortlichen kann mittels Online-Formular erfolgen.
Betroffene haben die Möglichkeit, Verstösse gegen die Datenschutzvorschriften auf der Website des EDÖB online anzuzeigen. Liegen genügend Anzeichen für einen Verstoss gegen etwaigen Datenschutzbestimmungen vor, hat der EDÖB sodann eine Untersuchung im Sinne des Art. 49 DSG zu eröffnen.
Verhängung von Bussgeldern
Sanktionen werden von den kantonalen Staatsanwaltschaften und somit in einem Strafverfahren verhängt. Geldbussen können auch gegen einzelne Personen verhängt werden und nicht – wie im Rahmen der DSGVO – nur gegen Unternehmen. Demnach können natürliche Personen mit Geldbussen bis zu 250.000 Franken bestraft werden, wenn sie gegen Informations-, Auskunfts- oder Mitwirkungspflichten verstossen oder ihre Sorgfaltspflichten verletzen, indem sie z.B. Daten, ohne die gesetzlichen Anforderungen zu erfüllen, ins Ausland übermitteln.
Fazit
Das neue Datenschutzrecht kommt mit neuen Aufgaben und Befugnissen für den EDÖB, der die aufsichtsrechtliche Tätigkeit intensivieren und die Anzahl der Untersuchungen erhöhen wird.
Wie auch in der Vergangenheit, hat der EDÖB nach neuem Datenschutzrecht jedoch keine Sanktionskompetenz. Im Vergleich dazu können die Aufsichtsbehörden der EU-Mitgliedstaaten Bussen und Sanktionen verhängen, wenn ein Unternehmen die Bestimmungen nicht einhält (bis zu 4% des weltweiten Gesamtjahresumsatzes eines Unternehmens oder 20 Millionen Euro).
Inwiefern dieses fehlende Druckmittel des EDÖB die Durchsetzung der Datenschutzvorschriften erschwert, wird sich erst noch zeigen müssen. Gerade in Bezug auf internationale Konzerne lehrt die Erfahrung der Aufsichtsbehörden in der EU jedoch, dass oftmals erst gehandelt wird, wenn Bussgelder drohen bzw. verhängt werden.