12 | 2022
Berichte | Rapports

Astrid Epiney

Datenschutz in der EU und die Schweiz

Datenschutz in der EU und die Schweiz

Zur Bedeutung des Datenschutzrechts der EU fĂŒr die Schweiz

Das Datenschutzrecht in der EU ist mittlerweile sehr differenziert und umfasst sowohl primĂ€r- als auch sekundĂ€rrechtliche Vorgaben, welche auch fĂŒr die Schweiz von Bedeutung sind. Nachfolgend werden die Rechtsgrundlagen in der EU skizziert, bevor die Mechanismen der Implikationen des EU-Rechts fĂŒr die Schweiz aufzeigt werden und auf die von der Rechtsprechung des EuGH bislang erörterten Themata hingewiesen wird. Deutlich wird damit, dass die Schweiz sehr wohl von den Rechtsentwicklungen in der Union durchaus in bedeutender Weise betroffen ist.

La lĂ©gislation applicable Ă  la protection des donnĂ©es dans l’UE est dĂ©sormais trĂšs diversifiĂ©e et comprend des dispositions, tant de droit primaire que de droit dĂ©rivĂ©, qui revĂȘtent Ă©galement une importance pour la Suisse. Le prĂ©sent article esquisse ci-aprĂšs les bases juridiques au sein de l’UE, avant d’illustrer par quels mĂ©canismes le droit de l’UE a des implications pour la Suisse et d’évoquer, enfin, les thĂšmes abordĂ©s jusqu’ici par la jurisprudence de la CJUE. Il apparaĂźt ainsi clairement que la Suisse est bel et bien concernĂ©e de maniĂšre significative par les dĂ©veloppements juridiques au sein de l’Union europĂ©enne.

Astrid Epiney,

Prof. Dr. iur., Institut fĂŒr Europarecht, UniversitĂ€t Freiburg/CH.

Inhaltsverzeichnis

I. Einleitung

II. Datenschutzrecht in der EU im Überblick

1. PrimÀrrecht

2. SekundÀrrecht: die Datenschutzgrundverordnung

III. Implikationen des EU-Datenschutzrechts fĂŒr die Schweiz

IV. Rechtsprechung des EuGH

V. Schluss

I. Einleitung

Die EuropĂ€ische Union ist bereits relativ frĂŒh mit dem Erlass der RL 95/46 im Jahr 1995 im Bereich des Datenschutzes tĂ€tig geworden, und seitdem haben sich die Rechtsgrundlagen nicht nur weiterentwickelt, sondern auch in beachtlicher Form ausdifferenziert. Meilenstein ist hier zweifellos der Erlass der sog. Datenschutzgrundverordnung (VO 2016/679); zu beachten sind aber auch die zahlreichen sektoriellen Regelungen, z.B. im Bereich der polizeilichen Zusammenarbeit oder des SIS. Auch die Rechtsprechung des EuropĂ€ischen Gerichtshofs (EuGH) hat sich mittlerweile in zahlreichen Urteilen mit grundlegenden datenschutzrechtlichen Fragen befasst und mitunter in seiner in ihrer Bedeutung weit ĂŒber die EU hinausreichenden Rechtsprechung eine Reihe grundsĂ€tzlicher Fragen thematisiert und (teilweise) geklĂ€rt.

Die Schweiz ist zwar als Nicht-EU-Mitglied weder an das EU-Recht als solches gebunden, noch entfalten die Urteile des EuGH fĂŒr sie verbindliche Wirkung. Nichtsdestotrotz sind die Rechtsentwicklungen in der Union (auch) in diesem Bereich fĂŒr die Schweiz aus verschiedenen GrĂŒnden von zentraler Bedeutung.

Vor diesem Hintergrund will der vorliegende Beitrag – auf der Grundlage der Skizzierung der Rechtsgrundlagen in der EU (II.) – die Implikationen des EU-Rechts fĂŒr die Schweiz aufzeigen (III.), bevor auf die von der Rechtsprechung des EuGH bislang erörterten Themata hingewiesen wird (IV.) und der Beitrag mit einer kurzen Schlussbemerkung (V.) schliesst.

II. Datenschutzrecht in der EU im Überblick

Im Unionsrecht finden sich den Datenschutz betreffende Regelungen sowohl im PrimĂ€rrecht (1.) als auch im SekundĂ€rrecht (2.). Ausgespart werden soll im Folgenden allerdings eine Erörterung der Kompetenzgrundlagen. Ebenso wenig wird auf einige neuere und zukunftsweisende Tendenzen im SekundĂ€rrecht – wobei es insbesondere um einen allgemeinen Regelungsrahmen fĂŒr Daten (unabhĂ€n|gig davon, ob es sich um Personendaten handelt) sowie um KĂŒnstliche Intelligenz geht – eingegangen; die diesbezĂŒglichen Arbeiten sind noch nicht abgeschlossen, wenn auch die Kommission bereits diverse Initiativen ergriffen hat.

1. PrimÀrrecht

In der Union wird der Persönlichkeitsschutz der Betroffenen (nunmehr) in Art. 7 und 8 GRCh geregelt: WĂ€hrend Art. 7 GRCh das Recht auf Achtung des Privat- und Familienlebens verankert und insoweit Art. 8 EMRK entspricht, enthĂ€lt Art. 8 GRCh das Recht auf Schutz personenbezogener Daten. Der Gerichtshof prĂŒft beide Bestimmungen in der Regel zusammen, und seine bisherige Rechtsprechung illustriert die Bedeutung dieser Grundrechte – die bei der Auslegung des SekundĂ€rrechts zu beachten sind – trefflich.

So prĂŒfte der EuGH verschiedentlich SekundĂ€rrechtsakte am Massstab dieser Grundrechte:

  • –
    In der Rs. C-293/12 erklĂ€rte der EuGH die sog. Vorratsdatenspeicherungs-Richtlinie fĂŒr ungĂŒltig, da der Eingriff nicht erforderlich sei, wobei der EuGH auch die besondere Bedeutung des Schutzes personenbezogener Daten fĂŒr das Grundrecht auf Achtung des Privatlebens betonte und angesichts des Ausmasses und der Schwere des vorgesehenen Eingriffs in diese Grundrechte davon ausgeht, dass der Gestaltungsspielraum des Unionsgesetzgebers eingeschrĂ€nkt sei.
  • –
    Auch in den verb. Rs. C-203/15 und C-658/15 ging es um die Vorratsdatenspeicherung, dies jedoch in Bezug auf eine mitgliedstaatliche Vorschrift. Im Anschluss an sein Urteil in der Rs. C-293/12 hielt der Gerichtshof fest, es stehe nicht mit Art. 15 Abs. 1 RL 2002/58 (Datenschutzrichtlinie im Bereich der elektronischen Kommunikation) in Einklang, zum Zweck der BekÀmpfung von Straftaten eine allgemeine und unterschiedslose Vorratsspeicherung sÀmtlicher Verkehrs- und Standortdaten vorzusehen.
  • –
    In der Rs. C-207/16 betonte der Gerichtshof im Zusammenhang mit der Auslegung des eine BeschrĂ€nkung der Persönlichkeitsrechte ermöglichenden Art. 15 Abs. 1 RL 2002/58, die Verpflichtung, öffentlichen Stellen Zugang zu Daten zu gewĂ€hren, anhand derer die IdentitĂ€t der Inhaber von SIM-Karten, die mit einem gestohlenen Mobiltelefon aktiviert wurden, festgestellt wurde (wie Name, Vorname und ggf. Adresse der Karteninhaber), stelle zwar einen Eingriff in Art. 7 und 8 GRCh dar; dieser lediglich die Ermittlung der IdentitĂ€t betreffende Eingriff wiege aber nicht so schwer, dass er nur zur BekĂ€mpfung schwerer KriminalitĂ€t zulĂ€ssig wĂ€re. Im Umkehrschluss – was der Gerichtshof auch ausdrĂŒcklich betont – können schwere Eingriffe nur durch die BekĂ€mpfung schwerer KriminalitĂ€t gerechtfertigt werden, wobei in Bezug auf die Telekommunikation ein solcher schwerer Eingriff jedenfalls dann vorliege, wenn die Daten SchlĂŒsse auf das Privatleben der Betroffenen erlauben, was wohl bei einem «umfassenden» Zugang zu Daten im Zusammenhang mit dem Mobiltelefon (neben Kommunikationsinhalten wohl auch schon die Ortung) zu bejahen ist.
  • –
    In der Rs. C-362/14 («Safe-Harbor») hielt der Gerichtshof insbesondere fest, auch im Falle der Übermittlung von Daten in einen Drittstaat sei ein hohes Schutzniveau zu gewĂ€hrleisten, das zwar nicht identisch mit demjenigen der RL 95/46 sein, jedoch einen gleichwertigen Schutz bieten mĂŒsse. In den USA könne das Konzept des Safe Harbour kein solches angemessenes Schutzniveau gewĂ€hrleisten.
  • –
    In dem auf Antrag des EuropĂ€ischen Parlaments erstellten Gutachten 1/15 ging es um das geplante Abkommen zwischen Kanada und der EU ĂŒber die Übermittlung und Verarbeitung von FluggastdatensĂ€tzen. Die in dem Abkommen vorgesehene Übermittlung von FluggastdatensĂ€tzen (die recht umfangreiche Informationen ĂŒber die FluggĂ€ste beinhalten) an die zustĂ€ndige kanadische Behörde sowie deren Speicherung und Verwendung (unter Einschluss der Weiterleitung an andere Behörden in Kanada, in der EU oder in Drittstaaten) stelle einen Eingriff in Art. 7 und 8 GRCh dar. Dieser könne grundsĂ€tzlich gerechtfertigt werden, dies allerdings nicht durch die Einwilligung der FluggĂ€ste (haben diese ihre Daten doch lediglich mit Blick auf die Abwicklung ihrer Flugreise bekanntgegeben), sondern durch das Abkommen selbst, das eine gesetzliche Grundlage im Sinne der Art. 8 II und 52 I GRCh darstelle. Auch wĂŒrden im Allgemeinwohl liegende Ziele verfolgt, denn die vorgesehene Datenverarbeitung diene der öffentlichen Sicherheit (BekĂ€mpfung terroristischer AktivitĂ€ten und schwerer grenzĂŒberschreitender KriminalitĂ€t). Der Wesensgehalt der Art. 7 und 8 GRCh sei nicht betroffen, da nur gewisse Aspekte des Privatlebens erfasst wĂŒrden und die Datenverarbeitung nur zur bestimmten, im Abkommen umschriebenen Zwecken erfolgen dĂŒrfe und zudem Regelungen zur Sicherheit, Vertraulichkeit und IntegritĂ€t der Daten vorgesehen seien. Allerdings lasse es das geplante Abkommen auch zu, dass sensible Daten (die im Abkommen definiert sind und z.B. die rassische oder ethnische Herkunft, die Religion oder das Sexualleben erfassen) ĂŒbermittelt und verwendet werden. Eine Massnahme, die auf der Annahme beruht, dass eines dieser sensiblen Merkmale unabhĂ€ngig vom konkreten Verhalten des Betroffenen fĂŒr das Ziel des Schutzes der öffentlichen Sicherheit relevant sein könnte, verstosse jedoch gegen Art. 7, 8 und 21 GRCh (andere Rechtferti|gungsgrĂŒnde seien vorliegend nicht ersichtlich). Weiter sei der Umfang der zu ĂŒbermittelnden Daten teilweise nicht hinreichend bestimmt. Schliesslich formuliert der Gerichtshof eine Reihe von Voraussetzungen, denen das Abkommen Rechnung tragen mĂŒsse, damit die Übermittlung von FluggastdatensĂ€tzen mit Art. 7 und 8 GRCh vereinbar ist, so u.a. in Bezug auf die PrĂ€zision der zu ĂŒbermittelnden Daten, die automatisierte Verarbeitung, die verfahrensrechtlichen GewĂ€hrleistungen, die Speicherung der Daten nach der Ausreise (die nur bei Anhaltspunkten, dass von den Betroffenen eine Gefahr ausgeht, zulĂ€ssig sei), die Weitergabe an EmpfĂ€nger in Drittstaaten (hinreichendes Datenschutzniveau), die Information der Betroffenen und der Einbezug einer unabhĂ€ngigen Kontrollstelle.

2. SekundÀrrecht: die Datenschutzgrundverordnung

Die 2016 erlassene und seit 2018 massgebliche sog. Datenschutzgrundverordnung (VO 2016/679), welche die aus dem Jahr 1995 stammende Datenschutzrichtlinie RL 95/46 ablöste, fĂŒhrte zu einer grundlegenden Revision der datenschutzrechtlichen Vorgaben in den EU-Mitgliedstaaten, wobei diese auch fĂŒr Drittstaaten relevant sind. Die VO 2016/679 knĂŒpft zwar an die bestehenden Regelungen an, so dass insbesondere auch die bisherige, zur RL 95/46 ergangene Rechtsprechung im Wesentlichen nach wie vor relevant ist; jedoch sind sowohl in struktureller als auch in inhaltlicher Hinsicht durchaus bedeutende Weiterentwicklungen zu konstatieren, die auch Implikationen fĂŒr und in der Schweiz entfalten.

Auch beim Anwendungsbereich – sieht man von der neu geregelten extraterritorialen Anwendung ab – knĂŒpft die VO 2016/679 weitgehend an die RL 95/46 an, so dass sie insbesondere auch in Bezug auf Sachverhalte, die als solche keinerlei grenzĂŒberschreitenden BezĂŒge aufweisen, anwendbar ist und somit umfassend auch Vorgaben fĂŒr das rein innerstaatliche Datenschutzrecht enthĂ€lt, dies z.B. im Zusammenhang mit der Veröffentlichung des Jahreseinkommens von Angestellten der öffentlichen Verwaltung oder betreffend die Verarbeitung öffentlicher Daten durch öffentliche Stellen fĂŒr die Anwendung aufenthaltsrechtlicher Vorschriften und statistische Zwecke.

Allerdings griff der Unionsgesetzgeber bei der Revision der datenschutzrechtlichen Vorgaben nicht mehr auf das Instrument der Richtlinie, sondern – letztlich mit Blick auf eine weitergehende Harmonisierung (vgl. Erw. 9 f. VO 2016/679) – auf dasjenige der Verordnung zurĂŒck. Verordnungen entfalten nach Art. 288 AEUV unmittelbare Geltung in den Mitgliedstaaten, so dass die Bestimmungen der Verordnung als solche in den Mitgliedstaaten anzuwenden sind und somit keiner Umsetzung bedĂŒrfen. Dies impliziert auch, dass die Verordnung Behörden und Einzelne berechtigen und verpflichten kann. Freilich ist damit nicht ausgeschlossen, dass gewisse Bestimmungen der Verordnung der mitgliedstaatlichen DurchfĂŒhrung bedĂŒrfen oder eine solche zumindest sachdienlich sein kann. Denn Verordnungen können Vorgaben sehr unterschiedlicher Art enthalten, so – neben direkt anwendbaren Bestimmungen – auch solche, die es den Mitgliedstaaten aufgeben bzw. erlauben, bestimmte Massnahmen zu ergreifen. Ein Beispiel in der Datenschutzgrundverordnung ist die in Art. 51 ff. DGVO enthaltene Verpflichtung der Mitgliedstaaten, eine oder mehrere unabhĂ€ngige Aufsichtsbehörden vorzusehen, denen bestimmte Befugnisse zukommen mĂŒssen.

Wie bereits die RL 95/46, stellt die VO 2016/679 (wie sich schon aus ihrer Zielsetzung, (auch) den freien Datenverkehr sicherzustellen, ergibt) eine sog. Vollharmonisierung dar, die in ihrem Anwendungsbereich den Schutzstandard abschliessend regelt, so dass auch eine Abweichung «nach oben» nicht zulÀssig ist. Allerdings enthalten verschiedene Bestimmungen der Verordnung die Harmonisierungswirkung der Richtlinie relativierende «Erlaubnisvorbehalte», wonach es den Mitgliedstaaten offensteht, in der betreffenden Frage und im vorgesehenen Ausmass ggf. auch ein erhöhtes Schutzniveau anzulegen bzw. dieses zu spezifizieren. Beispielhaft erwÀhnt seien das Einwilligungsalter bei Kindern, Datenschutz im Zusammenhang mit ArbeitsverhÀltnissen oder gewisse Aspekte der Meldepflicht bei Datenschutzverletzungen.

Die Relevanz bzw. die Bedeutung des abschliessenden Charakters der Verordnung kann – noch mit Bezug auf die RL 95/46 – durch die Rs. C-582/14 illustriert werden. Der Gerichtshof hielt hier zunĂ€chst fest, dass auch eine dynamische IP-Adresse ein personenbezogenes Datum darstelle, |dies soweit der Nutzer anhand von Zusatzinformationen bestimmbar sei und diese Informationen aus tatsĂ€chlicher und rechtlicher Sicht zugĂ€nglich seien. Weiter sehe Art. 7 RL 95/46 eine erschöpfende und abschliessende Liste derjenigen FĂ€lle vor, in denen eine Verarbeitung personenbezogener Daten als rechtmĂ€ssig anzusehen sei, so dass die Mitgliedstaaten weder neue bzw. weitere ZulĂ€ssigkeitsgrĂŒnde einfĂŒhren noch zusĂ€tzliche Bedingungen stellen dĂŒrften, welche die Tragweite einer der in dieser Bestimmung enthaltenen GrundsĂ€tze modifizieren wĂŒrde. Daher sei es nicht mit der RL 95/46 vereinbar, wenn ein Anbieter von Online-Mediendiensten ohne Einwilligung des Nutzers dessen personenbezogene Daten nur verarbeiten dĂŒrfe, um die Inanspruchnahme der Dienstleistungen zu ermöglichen und die Abrechnung sicherzustellen (mit der Folge, dass z.B. eine Verarbeitung zur GewĂ€hrleistung der generellen FunktionsfĂ€higkeit eines Online-Mediendienstes nicht zulĂ€ssig wĂ€re), stehe Art. 7 lit. f RL 95/46 doch einer mitgliedstaatlichen Regelung entgegen, die kategorisch und ganz allgemein die Verarbeitung bestimmter personenbezogener Daten ausschliesse, ohne Raum fĂŒr eine AbwĂ€gung der im konkreten Einzelfall einander gegenĂŒberstehenden Rechte und Interessen zu lassen, so dass ein Mitgliedstaat das Ergebnis der AbwĂ€gung dieser Rechte und Interessen nicht abschliessend vorschreiben dĂŒrfe, ohne es zu ermöglichen, dass das Ergebnis aufgrund besonderer UmstĂ€nde des Einzelfalls anders ausfalle.

Inhaltlich betreffen die wesentlichen Neuerungen der Datenschutzgrundverordnung den Anwendungsbereich, die Rechte der Betroffenen, die Pflichten der Datenverarbeiter sowie Durchsetzung und Sanktionen. In unserem Zusammenhang von besonderer Bedeutung ist die neu in Art. 3 Abs. 2 VO 2016/679 vorgesehene extraterritoriale Anwendung: Danach findet die Verordnung auch auf die Verarbeitung der Daten von Personen («betroffene Personen»), die sich in der Union befinden, Anwendung, wenn die Datenverarbeitung «im Zusammenhang damit steht», dass den Personen Waren oder Dienstleistungen in der Union angeboten werden (unabhĂ€ngig von ZahlungsflĂŒssen) oder dass ihr Verhalten in der Union beobachtet wird. Eine Niederlassung des Datenverarbeiters oder des Auftragsverarbeiters in der Union ist in dieser Konstellation nicht notwendig. Angestrebt wird damit ein umfassenderer Schutz der Persönlichkeitsrechte der sich im Hoheitsgebiet der Union bzw. ihrer Mitgliedstaaten aufhaltenden Personen vor potentiellen Eingriffen durch ausserhalb der Union niedergelassene Datenverarbeiter. Diese neue Bestimmung bringt eine Ausdehnung des Anwendungsbereichs der Datenschutzgrundverordnung auf Personen und Sachverhalte mit sich, die vollumfĂ€nglich ausserhalb des Hoheitsgebiets der Union bzw. ihrer Mitgliedstaaten angesiedelt sind, so dass es insofern um Normen mit extraterritorialer Wirkung geht, was unter gewissen Voraussetzungen – die hier vorliegen dĂŒrften – völkerrechtlich zulĂ€ssig ist.

Diese mit der neuen Bestimmung einhergehende betrĂ€chtliche Ausweitung des Anwendungsbereichs der Datenschutzgrundverordnung – die letztlich impliziert, dass viele Wirtschaftsteilnehmer und öffentliche Stellen in Drittstaaten die Vorgaben der Verordnung bei zahlreichen ihrer Datenverarbeitungen einhalten mĂŒssen – wirft jedoch auch einige Fragen auf, so insbesondere diejenigen nach den genauen Voraussetzungen, bei deren Vorliegen davon ausgegangen werden kann, dass Waren oder Dienstleistungen in der Union angeboten werden, wie der geforderte Zusammenhang ausgestaltet sein muss und was genau unter «Dienstleistungen» zu verstehen ist.

Hingewiesen sei weiter darauf, dass die VO 2016/679 – wie bereits bislang die RL 95/46 – auf die Verarbeitung personenbezogener Daten Anwendung findet, soweit diese «im Rahmen der TĂ€tigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt» (Art. 3 Abs. 1 DGVO), wobei die Verarbeitung selbst nicht in der Union stattfinden muss. Entscheidender AnknĂŒpfungspunkt ist somit einerseits die Niederlassung in der Union, wobei eine feste Einrichtung mit einer gewissen StabilitĂ€t ausreichend sein dĂŒrfte; andererseits muss die Verarbeitung im Rahmen dieser Niederlassung erfolgen, wobei es genĂŒgt, dass die Verarbeitung im Zusammenhang mit einer effektiven und tatsĂ€chlichen TĂ€tigkeit der Niederlassung steht. Die TĂ€tigkeit der Niederlassung kann dabei nur geringfĂŒgig sein und auch der Zusammenhang kann eher lose ausfallen. Die Anforderungen sind daher eher gering, wie auch die Rechtsprechung des EuGH illustriert.

III. Implikationen des EU-Datenschutzrechts fĂŒr die Schweiz

Die Schweiz ist ĂŒber die sog. Schengen- und Dublinassoziierung auch an datenschutzrechtliche Vorgaben des EU-Rechts gebunden, soweit diese in den AnhĂ€ngen der Abkommen entsprechend vermerkt sind, womit die entsprechenden Rechtsakte Teil des sog. Schengen- und Dublin-Be|sitzstands sind. Sowohl die RL 95/46 als auch der Rahmenbeschluss 2008/977 (betreffend die Strafverfolgung) figurieren in den AnhĂ€ngen. Da die erwĂ€hnten Assoziierungsabkommen in den Â«Ăœbernahmemechanismen» eine dynamische Übernahme der Weiterentwicklungen des Schengen- und Dublin-Besitzstands vorsehen, könnte man auf den ersten Blick annehmen, die Schweiz werde im Zuge der Anwendung dieser Mechanismen nach der Übernahme der neuen Rechtsakte in die AnhĂ€nge der genannten Abkommen im Ergebnis auch die Vorgaben der Datenschutzgrundverordnung und der neuen Richtlinie zum Datenschutz bei der Strafverfolgung zu beachten haben.

Dieser Schluss gilt jedoch nur fĂŒr die Richtlinie zum Datenschutz in der Strafverfolgung (RL 2016/680), nicht hingegen fĂŒr die Datenschutzgrundverordnung: Interessanterweise fehlt in dieser jeglicher Hinweis darauf, dass sie Teil des Schengen-Besitzstandes ist bzw. sein soll, was insofern ĂŒberrascht, als dies bei der RL 95/46 – die ja durch die Datenschutzgrundverordnung aufgehoben wird – der Fall ist. Dies und der Umstand, dass sich im Rahmen von «Schengen» und «Dublin» zahlreiche datenschutzrechtliche Fragen stellen, sprechen – im Gegensatz zur Ansicht des Unionsgesetzgebers – dafĂŒr, dass auch die Verordnung als Teil des Schengen-Besitzstandes hĂ€tte angesehen werden mĂŒssen. Die Frage, ob ein Rechtsakt Teil des Schengen-Besitzstandes ist oder nicht, ist im Übrigen durchaus eine Rechtsfrage, die Gegenstand der gerichtlichen ÜberprĂŒfung durch den EuGH ist bzw. sein kann. Allerdings unterliegt es einigen Zweifeln, ob es zu einem entsprechenden Verfahren kommen wird: Eine Nichtigkeitsklage (Art. 263 AEUV) wĂ€re hier zwar grundsĂ€tzlich denkbar gewesen; die Klagefrist ist aber abgelaufen. DarĂŒber hinaus kann die GĂŒltigkeit eines Rechtsakts auch im Rahmen des Art. 267 AEUV (Vorabentscheidungsverfahren) geprĂŒft werden; hierfĂŒr mĂŒsste jedoch gerade diese Frage fĂŒr die Entscheidung einer bei einem mitgliedstaatlichen Gericht anhĂ€ngigen Streitsache relevant sein, was theoretisch möglich ist, sich aber wohl kaum in absehbarer Zeit realisieren dĂŒrfte (wenn dies auch nicht ausgeschlossen ist). Vor diesem Hintergrund bleibt es in Bezug auf die Schweiz dabei, dass fĂŒr diese nach wie vor die RL 95/46 massgeblich ist, wĂ€hrend in den EU-Mitgliedstaaten die Datenschutzgrundverordnung gilt. Dieses Ergebnis steht in einem gewissen SpannungsverhĂ€ltnis zur Zielsetzung der Schengen- und Dublinassoziierung, im VerhĂ€ltnis zur Schweiz in den betroffenen Bereichen eine möglichst parallele Rechtslage sicherzustellen.

Dieser Befund Ă€ndert jedoch nichts daran, dass die Datenschutzgrundverordnung und die diesbezĂŒgliche Rechtsprechung des EuGH fĂŒr die Schweiz von Bedeutung sind, wobei in erster Linie auf vier Aspekte hinzuweisen ist:

  • –
    Erstens knĂŒpft die Verordnung – trotz aller Neuerungen – in zahlreichen Bereichen an bereits in der RL 95/46 enthaltene Regelungen an. Soweit also z.B. Rechtsprechung des EuGH zu solchen ĂŒbernommenen oder ggf. auch prĂ€zisierten Regelungen ergeht, kann diese durchaus auch fĂŒr die Auslegung der RL 95/46 und damit fĂŒr die Schweiz von Bedeutung sein. Im Einzelfall sind hier aber schwierige Abgrenzungsfragen zu gewĂ€rtigen.
  • –
    Zweitens sind in der Schweiz tÀtige Unternehmen aufgrund des weiten Anwendungsbereichs der Datenschutzgrundverordnung insofern betroffen, als sie sich bei Vorliegen der skizzierten Voraussetzungen der extraterritorialen Anwendung an die Vorgaben der Verordnung zu halten haben.
  • –
    Drittens sind die Vorgaben der VO 2016/679 auch im Zusammenhang mit dem von der Kommission nach Art. 45 VO 2016/679 anzunehmenden «Gleichwertigkeitsbeschluss» – welcher mit Blick auf die Kommunikation von Personendaten aus der EU in einen Drittstaat die Gleichwertigkeit des Datenschutzniveaus in letzterem feststellt – von Bedeutung. Es ist zu erwarten, dass dieser Beschluss in BĂ€lde gefasst werden wird, wobei hier die nach wie vor nicht geklĂ€rten «institutionellen Fragen» zwischen der Schweiz und der EU dazu fĂŒhren könnten, dass dieser Entscheid der Kommission negativ ausfĂ€llt, dies trotz des Umstands, dass die Gleichwertigkeit des Datenschutzniveaus in der Schweiz auf der Grundlage des totalrevidierten Datenschutzgesetzes grundsĂ€tzlich zu bejahen ist. Allerdings gibt es keine Rechtspflicht, einen derartigen Beschluss zu fassen.
  • –
    Schliesslich ist es auch darĂŒber hinaus sinnvoll, im Bereich des Datenschutzrechts die unionsrechtlichen Entwicklungen zumindest zur Kenntnis zu nehmen und in die Betrachtungen einzubeziehen, zumal gewisse Aspekte auch im Rahmen der Revision der Datenschutzkonvention des Europarates – die nach ihren erklĂ€rten Zielsetzungen inhaltlich mit den Entwicklungen auf EU-Ebene |abgestimmt werden sollte und durch die Schweiz ratifiziert wurde – relevant sein dĂŒrften. Hier könnte es gar zu einer Art «Harmonisierung» der in der Union einerseits und in der Schweiz andererseits geltenden rechtlichen Vorgaben aufgrund des Abschlusses eines sowohl fĂŒr die Union als auch fĂŒr die Schweiz verbindlichen völkerrechtlichen Vertrages kommen, dies soweit davon auszugehen ist, dass das Unionsrecht im Ergebnis und zumindest in weiten Teilen insbesondere durch die Datenschutzgrundverordnung die Vorgaben der revidierten Datenschutzkonvention des Europarates umsetzen will. Denn diesfalls wĂ€ren im Ergebnis auch die Datenschutzgrundverordnung (bzw. Teile derselben) sowie die zu ihr ergehende Rechtsprechung fĂŒr die Schweiz relevant, stellt doch die Praxis der Vertragsparteien ein bei der Auslegung eines völkerrechtlichen Vertrages zu berĂŒcksichtigendes Element dar (vgl. Art. 31 Abs. 3 lit. b VRK).

IV. Rechtsprechung des EuGH

Die Rechtsprechung des EuGH hatte sich mittlerweile in zahlreichen Urteilen mit Fragen des Datenschutzes zu befassen. Die Problemstellungen sind dabei mitunter parallel wie in der Schweiz gelagert, so dass die Urteile – abgesehen von den unter III. erwĂ€hnten Aspekten – auch ganz grundsĂ€tzlich eine gewisse Aufmerksamkeit verdienen. Es ist hier nicht der Ort, diese Rechtsprechung im Einzelnen darzustellen und zu bewerten; allerdings vermag die folgende Auflistung mit den zentralen Stichworten der Urteile die Vielfalt der von der Rechtsprechung erörterten Fragen zu illustrieren:

  • –
    EuGH vom 20. Mai 2003, C-465/00, C-138/01 und C-139/01, «Österreichischer Rundfunk»: Veröffentlichung des Einkommens von öffentlichen Angestellten;
  • –
    EuGH vom 16. Dezember 2008, C-542/06, «Huber»: Datenbearbeitung fĂŒr aufenthaltsrechtliche und statistische Zwecke;
  • –
    EuGH vom 9. MĂ€rz 2010, C-518/07, «Kommission/Deutschland»; EuGH vom 16. Oktober 2012, C-614/10, «Kommission/Österreich»; EuGH vom 8. April 2014, C-288/12, «Kommission/Ungarn»: UnabhĂ€ngigkeit der Aufsichtsbehörden;
  • –
    EuGH vom 8. April 2014, C-293/12, «Digital Rights Ireland»; EuGH vom 21. Dezember 2016, C-203/15 und C-658/15, «Tele2 Sverige»; EuGH vom 6. Oktober 2020, C-511/18 u.a., «La Quadrature du cercle»; EuGH vom 2. MÀrz 2021, C-746/18, «H K»; EuGH vom 6. Oktober 2020, C-623/17, «Privacy International»: Vorratsdatenspeicherung;
  • –
    EuGH vom 13. Mai 2014, C-131/12, «Google Spain»; EuGH vom 24. September 2019, C-136/17, «GC/CNIL»; EuGH vom 24. September 2019, C-507/17, «Google/CNIL»: «Recht auf Vergessen»;
  • –
    EuGH vom 11. Demeber 2014, C-212/13, «Rynes»; EuGH vom 11. Dezember 2019, C-708/18, «TK»: VideoĂŒberwachung;
  • –
    EuGH vom 1. Oktober 2015, C-201/14, «Bara»; EuGH vom 2. Oktober 2018, C-207/16, «Ministerio Fiscal»: Bekanntgabe von Personendaten;
  • –
    EuGH vom 1. Oktober 2015, C-230/14, «Weltimmo»: Voraussetzungen einer Niederlassung;
  • –
    EuGH vom 6. Oktober 2015, C-362/14, «Schrems»; EuGH vom 16. Juli 2020, C-311/18, «Schrems II»: DatenĂŒbermittlung in die USA;
  • –
    EuGH vom 19. Oktober 2016, C-582/14, «Breyer»: IP-Adresse als Personendatum, UnzulÀssigkeit strengerer Datenschutzanforderungen;
  • –
    Gutachten 1/15 vom 26. Juli 2017: Verarbeitung von FluggastdatensÀtzen;
  • –
    EuGH vom 20. Dezember 2017, C-434/16, «Nowak»: Personendatum bei PrĂŒfungen;
  • –
    EuGH vom 5. Juni 2018, C-210/16, «Wirtschaftsakademie»; EuGH vom 10. Juli 2018, C-25/17, «Zeugen Jehovas»; EuGH vom 29. Juli 2019, C-40/17, «Fashion ID»: Begriff des Verantwortlichen;
  • –
    EuGH vom 14. Februar 2019, C-345/17, «Buivids»: journalistische TÀtigkeit;
  • –
    EuGH vom 1. Oktober 2019, C-673/17, «Planet49»; EuGH vom 11. November 2020, C-61/19, «Orange Romania»: Rechte Einzelner;
  • –
    EuGH vom 15. Juni 2021, C-645/19, «Facebook Ireland»: ZustÀndigkeit der Aufsichtsbehörde.
  • –
    EuGH vom 22. Juni 2021, C-439/19, «Latvijas Republikas Saeima»: Datenbank ĂŒber Verstösse gegen Verkehrsregeln.

V. Schluss

Auch im Bereich des Datenschutzes ist die Schweiz – trotz der fehlenden «formellen» Bindung an die Datenschutzgrundverordnung – in vielfĂ€ltiger Weise von der Rechtsentwicklung in der Union (sowohl in Bezug auf die Gesetzgebung als auch die Rechtsprechung) betroffen. Schon aufgrund der bedeutenden DatenflĂŒsse zwischen der Union und der Schweiz sowie der Perspektive bzw. der Notwendigkeit eines neuen «Gleichwertigkeitsbeschlusses» der EuropĂ€ischen Kommission lohnt sich somit das Verfolgen der Rechtslage in der Union. Der Bundesgesetzgeber hat denn |auch mit der Totalrevision des Datenschutzgesetzes diesem Befund Rechnung getragen. Insofern und vor dem Hintergrund der «Harmonisierung durch Völkerrecht» ist damit zu rechnen, dass sich die Entwicklungen in der Schweiz und der EU auch in Zukunft weitgehend parallel gestalten wer&cbr;den, was freilich nichts daran Ă€ndert, dass es in (möglicherweise bedeutenden) Einzelbereichen – wie z.B. bei den Sanktionen – ins Gewicht fallende Unterschiede gibt bzw. geben kann.

Zusammenfassung

Das Datenschutzrecht der EU ist sehr ausdifferenziert, sowohl in Bezug auf die Rechtsetzung als auch die Rechtsprechung. Von besonderer Bedeutung sind im PrimĂ€rrecht die Vorgaben der Grundrechtecharta, welche der Datenbearbeitung Grenzen setzen und durch den EU-Gesetzgeber und den nationalen Gesetzgeber (letzterer bei der DurchfĂŒhrung des EU-Rechts) zu beachten sind, sowie die Datenschutzgrundverordnung. Die Schweiz ist – trotz ihres Status als Nicht-EU-Mitglied – zwar nicht an diese rechtlichen Vorgaben gebunden; jedoch sind diese aufgrund verschiedener Mechanismen auch fĂŒr die und in der Schweiz von grosser Bedeutung. Insofern ist es zentral, die Rechtsentwicklungen in der EU auch in diesem Gebiet aufmerksam zu verfolgen und ihre Relevanz fĂŒr die Schweiz zu analysieren.&cbr;

Résumé

Le droit de l’UE en matiĂšre de protection des donnĂ©es est trĂšs diversifiĂ©, tant au niveau de la lĂ©gislation que de la jurisprudence. Dans le droit primaire, les dispositions de la Charte des droits fondamentaux, qui fixent des limites au traitement des donnĂ©es et doivent ĂȘtre respectĂ©es aussi bien par le lĂ©gislateur de l’UE que par le lĂ©gislateur national (lorsque ce dernier met en Ɠuvre le droit de l’UE), ainsi que le RĂšglement gĂ©nĂ©ral sur la protection des donnĂ©es, revĂȘtent une importance particuliĂšre. Bien que la Suisse ne soit pas tenue de respecter ces dispositions juridiques, celles-ci sont d’une grande portĂ©e aussi bien pour la Suisse qu’en Suisse en raison de divers mĂ©canismes – et ce malgrĂ© son statut de pays non membre de l’UE. Il est donc essentiel de suivre attentivement les dĂ©veloppements juridiques en cours au sein de l’UE dans ce domaine et d’analyser leur pertinence pour la Suisse.