25. September 2023

Liebe Leser*innen,

Wir freuen uns, Sie über die Einführung einer neuen Schwerpunkt-Ausgabe des Jusletters zum Thema Datenschutzrecht zu informieren, die künftig im Jahresrhythmus erscheinen wird.

Der Datenschutz ist gegenwärtig ein brisantes Thema, dessen jüngste Meilensteine zweifellos das Inkrafttreten der Totalrevision des Bundesgesetzes über den Datenschutz per 1. September 2023 sowie die Ankündigung der Ratifizierung der modernisierten Konvention 108 durch die Schweiz sind. Das Thema ist nicht nur deshalb wieder in aller Munde, weil es zahlreiche Fragen der Compliance mit sich bringt, sondern auch, weil es sich direkt aus der zunehmenden und unausweichlichen Digitalisierung der Gesellschaft ergibt und somit neue und spannende Fragestellungen hervorruft. Diese neue Sonderausgabe des Jusletter bietet somit eine willkommene Plattform für den Austausch von sowohl theoretischen als auch praktischen Überlegungen.

Das Auskunftsrecht über persönliche Daten ist ein wichtiger Pfeiler des Datenschutzrechts. Livio di Tria bietet einen detaillierten Überblick über dessen Umrisse unter dem Blickwinkel des revidierten DSG und zieht gleichzeitig Parallelen zum europäischen Recht.

Wie lässt sich das revidierte DSG auf künstliche Intelligenz anwenden? Dieser schwierigen Frage gehen Daniel W. Seiler und Marcel Griesinger nach. Die Autoren untersuchen die Anwendung der neuen Regelung – insbesondere Profiling, Informationspflicht oder automatisierte Einzelentscheidung – auf durch KI erzeugte Datenbearbeitungen.

Das DSG und seine Verordnung verpflichten die für die Verarbeitung Verantwortlichen und ihre Auftragsbearbeiter, angemessene Sicherheitsmassnahmen zu ergreifen, deren Umrisse selten glasklar sind. Pauline Meyer und Ryan Davies stützen sich auf verschiedene Tools und Quellen, um einige besonders nützliche Sicherheitsmassnahmen zu identifizieren.

Die Informationssicherheit beim Bund und der Datenschutz unterstehen jeweils eigenen Gesetzeswerken (ISG und DSG). Sandra Husi-Stämpfli unterzieht die beiden Konzepte einer sorgfältigen Sezierung, um ihre Ergänzbarkeit zu beleuchten und wirksame interdisziplinäre Strategien anzuraten.

Die Revision des DSG brachte eine Reihe neuer Straftatbestände mit sich. Diese Strafbestimmungen stellen das wichtigste repressive Mittel dar. Diese gesetzlichen Neuerungen werfen zahlreiche neue und heikle Fragen auf. Erfreulicherweise haben Joël Pahud und Sébastien Pittet sich mit diesen Fragen auseinandergesetzt.

Während sich die Strafbestimmungen nur auf bestimmte Verstösse beziehen, betreffen die «Aufsichtsbestimmungen» alle potenziellen Gesetzesverstösse. Dank der Revision verfügt der EDÖB nun über neue Befugnisse. Emilie Jacot-Guillarmod und Olaf Thorens stellen das neue Verfahren vor dem EDÖB sowie dessen Befugnisse vor. Sie erläutern insbesondere die Verbindung zwischen diesem Verwaltungsverfahren und einem allfälligen Strafverfahren sowie die Rolle und die Rechte, die der EDÖB in letzterem hat.

Dieses Verfahren vor dem EDÖB ist in drei Phasen unterteilt, nämlich die informellen Vorabklärungen, das formelle Untersuchungsverfahren und schliesslich das Beschwerdeverfahren. Isabelle Oehri und Reto Fanger legen diese Schritte anhand von wertvollen illustrativen Schemata detailliert dar.

Soziale Einrichtungen müssen Personendaten natürlich gesetzeskonform behandeln, aber man muss auch wissen, wie sie behandelt werden. Ursula Uttinger untersucht die für sie geltenden Rechtsvorschriften, insbesondere die Regeln aus dem kantonalen Datenschutzrecht, sowie die wichtigsten Verpflichtungen, die sich daraus ergeben.

Schliesslich beschränkt sich die Datenregulierung nicht mehr nur auf das Recht zum Schutz von Personendaten. Insbesondere in der Europäischen Union gelten zahlreiche Gesetze, die die Verarbeitung von Daten regeln, wie der Data Act, der Digital Markets Act, der Digital Services Act, der Artificial Intelligence Act oder der Data Governance Act. Um sich in dieser Gesetzespyramide zurechtzufinden, stellt Ursula Sury diese verschiedenen Regulierungen vor. Sie geht insbesondere auf den Data Act ein und erläutert seine Beziehung zur DSGVO.

Wir wünschen Ihnen eine spannende Lektüre!

Frédéric Erard, Célian Hirsch und Sandra Husi-Stämpfli
Mitherausgeber der Schwerpunkt-Ausgabe Datenschutzrecht

Beiträge

Naviguer dans l’incertitude : les défis pratiques liés à l’exercice du droit d’accès

Romain de Wolff

Abstract

Der vorliegende Beitrag befasst sich mit dem neu gefassten Auskunftsrecht über die eigenen persönlichen Daten. Er verfolgt ein tieferes Verständnis der Auswirkungen des Auskunftsrechts im Schweizer Recht, indem er die bedeutenden Änderungen des Gesetzgebers und ihre Auswirkungen in der Praxis hervorhebt. Aufgrund des fehlenden Rückblicks auf die neue Schweizer Datenschutzgesetzgebung stützt sich dieser Beitrag auf das europäische Recht, um eine rechtsvergleichende Perspektive zu bieten. (xf)

Spannungsfeld Künstliche Intelligenz (KI) und Datenschutzrecht

Daniel W. Seiler

Marcel Griesinger

Abstract

In der aktuellen Phase der digitalen Transformation rückt die Schnittstelle zwischen Künstlicher Intelligenz (KI) und Datenschutzrecht zunehmend in den Fokus der juristischen Diskussion. Der vorliegende Artikel von Marcel Griesinger und Daniel Seiler analysiert das neue Datenschutzgesetz (DSG) unter besonderer Berücksichtigung seiner Auswirkungen auf die KI-Landschaft. Durch eine sorgfältige Untersuchung der aktualisierten gesetzlichen Bestimmungen und ihrer Anwendungen im Bereich der KI beleuchtet der Artikel die Herausforderungen und Chancen, die sich aus dieser rechtlichen Neuerung ergeben. Konkrete Beispiele illustrieren, wie die neuen Bestimmungen in der Praxis umgesetzt werden könnten, und bieten so eine solide Grundlage für die Navigation durch die neu gestaltete Rechtslandschaft.

Portée pratique du caractère approprié des mesures de sécurité des données sous la LPD

Pauline Meyer

Ryan Davies

Abstract

Die Datensicherheit ist ein zentraler Aspekt des Datenschutzes. Verantwortliche für die Datenverarbeitung und Auftragsbearbeiter müssen geeignete Massnahmen ergreifen, um Verletzungen der Datensicherheit zu vermeiden. Welche Massnahmen «geeignet» sind, hängt von den spezifischen Risiken der jeweiligen Datenverarbeitung ab, aber einige Massnahmen dürften in einer Vielzahl von Fällen sinnvoll sein. Die Autoren des vorliegenden Beitrags kombinieren verschiedene Quellen, um zu verstehen, ob bestimmte Massnahmen besonders nützlich und empfehlenswert für die Praxis der für die Verarbeitung Verantwortlichen und der Auftragsverarbeiter sind. (xf)

Informationssicherheits- und Datenschutzgesetz: Chance auf ein neues Zeitalter

Sandra Husi-Stämpfli

Abstract

Informationssicherheit und Datenschutz: Wie spielen diese beiden Disziplinen zusammen? Die Autorin beleuchtet in ihrem Beitrag – mit Blick auf die Bundesverwaltung, welche Hauptadressatin des ISG ist – die Wechselwirkungen der beiden Konzepte. In einem ersten Schritt werden dazu Begrifflichkeiten geklärt: Was sind Informationen, was Daten – und was «Personendaten»? Danach widmet sich die Autorin den in den beiden Gesetzen verankerten Zielen, Geltungsbereichen und Mechanismen, um dann abschliessend aufzuzeigen, wie Informationssicherheit und Datenschutz nutzenstiftend umgesetzt werden können.

Les infractions pénales de la loi sur la protection des données

Joël Pahud

Sébastien Pittet

Abstract

Mit der Verabschiedung des neuen Datenschutzgesetzes (DSG) hat der Gesetzgeber die strafrechtlichen Sanktionen bei Verstössen gegen die Datenschutzbestimmungen erheblich verschärft. Der vorliegende Beitrag gibt einen Überblick über die verschiedenen Straftatbestände des DSG und vertieft einige Fragen im Zusammenhang mit der Schweigepflicht, der Bekanntgabe von Daten ins Ausland und der Bestimmung der für die Verletzung verantwortlichen Person. (xf)

Les nouveaux pouvoirs du PFPDT et son rôle dans la poursuite pénale en vertu de la LPD

Emilie Jacot-Guillarmod

Olaf Thorens

Abstract

Das neue Bundesgesetz über den Datenschutz verleiht dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zahlreiche neue Befugnisse, darunter das Recht, verbindliche Verwaltungsverfügungen zu erlassen. Ausserdem wird das System der strafrechtlichen Sanktionen bei Verstössen gestärkt. Zwar bleibt die Verfolgung solcher Verstösse in der Zuständigkeit der Strafbehörden und nicht des EDÖB, doch kann der EDÖB bis zu einem gewissen Grad in das Strafverfahren eingreifen und könnte zum Informationsaustausch mit den Strafbehörden aufgefordert werden. Die Autoren geben einen Überblick über den neuen Rechtsrahmen und analysieren die wichtigsten praktischen Fragen im Zusammenhang mit den neuen Befugnissen des EDÖB und seiner Rolle in der Strafverfolgung. (xf)

Die Untersuchung von Datenschutzverstössen durch den EDÖB

Isabelle Oehri

Reto Fanger

Abstract

Zentrale Pfeiler eines wirksamen Gesetzes bilden die umfassende Überwachung seiner Einhaltung sowie seine griffige Durchsetzung. Hierfür erforderlich ist eine starke Aufsichtsbehörde, die über umfassende Aufsichts- und Eingriffsbefugnisse sowie entsprechende Instrumente und Verfahren verfügt. Die Autoren stellen die Untersuchungsbefugnisse des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten bei mutmasslichen Verstössen gegen Datenschutzvorschriften nach dem revidierten Datenschutzgesetz vor, welches seit dem 1. September 2023 in Kraft ist und erhöhte Anforderungen an die Bearbeitung von Personendaten stellt. Sie beleuchten dabei die Vorabklärung und Eröffnung einer Untersuchung, das Untersuchungsverfahren, das Rechtsmittelverfahren und weitere verfahrensrechtliche Aspekte.

Datenschutz und soziale Einrichtungen

Ursula Uttinger

Abstract

«Aufgeschreckt» durch die Revision des Bundesgesetzes über den Datenschutz (DSG) haben auch viele soziale Einrichtungen sich vertieft mit dem Datenschutz auseinandergesetzt. Doch für die meisten dieser Institutionen ist nicht nur das Bundesgesetz relevant, sondern auch die kantonale Datenschutzgesetzgebung.

EU-Digitalstrategie – eine Übersicht

Ursula Sury

Abstract

Angesichts der exponentiellen Datenflut hat die Europäische Union die Initiative «Digitale Dekade» ins Leben gerufen, um das verborgene Potenzial dieser Daten zu entfalten und gleichzeitig eine effektive Regulierung sicherzustellen. Die vorliegende Analyse beginnt mit einem umfassenden Überblick über die neuesten Verordnungen, die sich mit der Datenregulierung befassen. Im weiteren Verlauf wird ein besonderes Augenmerk auf den Data Act gelegt, eine zentrale Säule der europäischen Datenregulierung.

Aus dem Bundesgericht

Beitrag zu Hass im Abstimmungskampf zum Covid-Gesetz: Meinungsvielfalt verletzt

Jurius

Abstract

BGer – Radio Télévision Suisse (RTS) hat mit einem Beitrag zu Hass im Abstimmungskampf zum Covid-Gesetz das Gebot der Meinungsvielfalt verletzt. Das Bundesgericht weist die Beschwerde der Schweizerischen Radio- und Fernsehgesellschaft (SRG) gegen einen Entscheid der Unabhängigen Beschwerdeinstanz für Radio und Fernsehen (UBI) ab. (Urteil 2C_859/2022)

Nouvelle terrasse pour la Bavaria à Lausanne

Jurius

Abstract

BGer – Die Bavaria in Lausanne darf eine zweite Terrasse errichten. Das Bundesgericht weist die Beschwerde eines Nachbarn gegen das Projekt der berühmten Brauerei ab. Der Beschwerdeführer hatte eine Verletzung der Bestimmungen über Lärmbelästigung geltend gemacht. (Urteil 1C_464/2022) (cs)

Aus dem Bundesverwaltungsgericht

Journalist erhält Zugang zu Daten über 5G-Antennen

Jurius

Abstract

BVGer – Die Telekommunikations-Unternehmen Sunrise, Salt Mobile und Swisscom sind mit einer Beschwerde gegen die Bekanntgabe von Informationen der Betriebsdaten von 5G-Antennen an einen Journalisten abgeblitzt. Das Bundesverwaltungsgericht sieht keine rechtlichen Hindernisse, die gegen eine Einsicht sprechen. (Urteil A-516/2022)

Neubeurteilung Leistungsaufträge für Rennbahnklinik in Muttenz BL

Jurius

Abstract

BVGer – Die Regierungen beider Basel müssen die in den gemeinsamen Spitallisten verfügten Leistungsaufträge für die Rennbahnklinik in Muttenz BL neu beurteilen und begründen. Das Bundesverwaltungsgericht hat damit einer Beschwerde des betroffenen Spitals vollumfänglich entsprochen. (Urteil C-2947/2021)