CĂ©dric Akeret
Der vorliegende Beitrag beabsichtigt â in aller KĂŒrze und ohne Anspruch auf VollstĂ€ndigkeit â die markantesten Unterschiede und Parallelen zwischen den Gesetzeslagen der EuropĂ€ischen Union und der Schweiz im Hinblick auf die vom EuGH im Vorabentscheidungsverfahren zur Rechtssache C-252/21 (Facebook/Bundeskartellamt) beurteilten Bestimmungen der DSGVO hervorzuheben sowie die potentiellen Auswirkungen dieser Entscheidung auf die Anwendung des revidierten Datenschutzgesetzes (DSG) in der Schweiz aufzuzeigen.&cbr;
Le prĂ©sent article a pour but de mettre en Ă©vidence â de maniĂšre succincte et non exhaustive â les diffĂ©rences et les similitudes les plus notables entre les lĂ©gislations de lâUnion europĂ©enne et de la Suisse au regard des dispositions du RGPD examinĂ©es par la CJUE dans le cadre de la procĂ©dure prĂ©judicielle relative Ă lâaffaire C-252/21 (Facebook/Bundeskartellamt). De plus, cet article se propose de montrer les rĂ©percussions potentielles de cette dĂ©cision sur lâapplication de la version rĂ©visĂ©e de la loi sur la protection des donnĂ©es (LPD) en Suisse.
CĂ©dric Akeret,
MLaw, Jurist, Rickenbach b. Wil, Datenschutzberater, ehem. wissenschaftlicher Mitarbeiter am Lehrstuhl fĂŒr Wirtschafts-, Wettbewerbs- und ImmaterialgĂŒterrecht (Prof.â Picht), UniversitĂ€t ZĂŒrich.
I. Einleitende Bemerkungen zum revidierten Datenschutzgesetz (DSG)
II. Analoge Ăbernahme oder sinngemĂ€sse Beachtung bei der Auslegung?
1. Verschiedene AnsÀtze der DSGVO und des DSG
2. Potentielle Bedeutung des EuGH-Entscheids in der Rs.â C-252/21 fĂŒr die Auslegung von parallelen DSG-Bestimmungen
III. Fazit
Am 1.â September 2023 trat das revidierte Datenschutzgesetz (DSG) in der Schweiz in Kraft. Nebst dem Umstand, dass das bis dahin geltende Datenschutzgesetz aus dem Jahre 1992 lĂ€ngst nicht mehr zeitgemĂ€sse Bestimmungen enthielt, welche es zu ersetzen galt, damit der Schutz von Personendaten auf ein dem aktuellen Stand der Technik entsprechendes Schutzniveau angehoben werden konnte, war eine Totalrevision auch fĂŒr Angleichungen an den europĂ€ischen Standard unabdingbar und von zentralem Interesse fĂŒr den Wirtschaftsstandort Schweiz. Ohne eine Anerkennung der Schweiz als sog. «Drittstaat mit angemessenem Datenschutzniveau» nach Art.â 45 DSGVO wĂ€re ein freier Datenverkehr zwischen der Schweiz und der EU nur noch unter erschwerten Bedingungen â bspw. durch die Implementierung von durch das EU-Recht vorgegebenen Standardvertragsklauseln in einschlĂ€gige VertrĂ€ge â möglich gewesen. Vor diesem Hintergrund erstaunt keinesfalls, dass die konkrete Ausgestaltung des revidierten DSG mit derjenigen der DSGVO in weiten ZĂŒgen ĂŒbereinstimmt. Doch nicht nur die Ăhnlichkeit der Gesetzestexte deutet auf eine Notwendigkeit der BerĂŒcksichtigung eines EuGH-Urteils zur Auslegung der DSGVO fĂŒr die Auslegung des DSG hin. Vielmehr ist auch der rĂ€umliche Anwendungsbereich der DSGVO nach Art.â 3 Abs.â 2, wonach u. U. auch Verantwortliche mit Sitz in der Schweiz die Bestimmungen der DSGVO einzuhalten haben, Kriterium dafĂŒr, dass EU-Literatur und Rechtsprechung zur DSGVO fĂŒr die Schweiz massgebend sein können. Dies legt es nahe, die ergangene Entscheidung des EuGH auch aus |Schweizer Sicht zu analysieren und zentrale Aspekte der Beurteilung auf die Anwendung des DSG zu ĂŒbertragen.
Im Unterschied zur DSGVO, nach welcher die Datenverarbeitung grundsĂ€tzlich verboten ist (Verbotsprinzip), jedoch bei Vorliegen eines Erlaubnistatbestandes rechtmĂ€ssig werden kann (vgl. Art.â 6 Abs.â 1 DSGVO), ist die Datenbearbeitung nach dem DSG im Grundsatz erlaubt, sofern diese rechtmĂ€ssig erfolgt (vgl. Art.â 6 Abs.â 1). Doch selbst wenn nach dem DSG bei einer Datenbearbeitung die GrundsĂ€tze nicht eingehalten werden, ist diese bei Vorliegen eines Rechtfertigungsgrundes â z. B. einer Einwilligung nach Art.â 31 Abs.â 1 DSG â wiederum rechtmĂ€ssig. Wenn nun nach der DSGVO RechtfertigungsgrĂŒnde gemĂ€ss Art.â 6 Abs.â 1 bzw. Art.â 9 Abs.â 2 DSGVO bereits auf einer ersten Stufe zu prĂŒfen sind, haben diese nach dem Schweizer Datenschutzrecht hingegen erst auf einer nachgeordneten Stufe, und erst bei einer grundsĂ€tzlich unrechtmĂ€ssigen bzw. persönlichkeitsverletzenden Datenbearbeitung vorzuliegen. Nur wenn also die Persönlichkeitsverletzung als widerrechtlich zu werten ist, weil gerade kein Rechtfertigungsgrund vorliegt, ist die Datenbearbeitung unrechtmĂ€ssig und damit verboten.
Initiiert durch das Vorabentscheidungsersuchen des OLG DĂŒsseldorf vom 22.â April 2021 befasste sich der EuGH in seinem Entscheid vom 4.â Juli 2023 mit der Auslegung einzelner Bestimmungen der DSGVO, insbesondere zu Art.â 6 und Art.â 9 DSGVO. Das DSG unterscheidet hinsichtlich der RechtfertigungsgrĂŒnde â im Unterschied zur DSGVO â aber nicht zwischen der Bearbeitung von «regulĂ€ren» Personendaten und besonders schĂŒtzenswerten Personendaten. Dennoch finden sich im 5.â Kapitel, insbesondere in Art.â 31 DSG, dem Wortlaut und Sinngehalt nach Ă€hnliche Bestimmungen wie in Art.â 6 und Art.â 9 DSGVO. Obwohl eine Unterscheidung zwischen der Bearbeitung von regulĂ€ren und besonders schĂŒtzenswerten Personendaten hinsichtlich der RechtfertigungsgrĂŒnde im DSG fehlt, hat eine Ăbernahme der Auslegung des EuGH zu Art.â 9 Abs.â 1 DSGVO, dass die VerknĂŒpfung von solchen personenbezogenen Daten mit den bereits erhobenen Daten im Benutzerkonto als Verarbeitung besonderer Kategorien personenbezogener Daten anzusehen ist, Tragweite. Denn wenn die VerknĂŒpfung von Personendaten mit Daten, welche nach Artâ 5 lit.â c DSG als besonders schĂŒtzenswert gelten, darin resultiert, dass die Gesamtheit der Daten als besonders schĂŒtzenswert zu beurteilen ist, fĂŒhrt dies zu einem notwendigerweise anderen Umgang mit den Daten bei deren Erhebung sowie zu umfangreicheren Pflichten des Verantwortlichen.
Als RechtfertigungsgrĂŒnde nennt Art.â 31 DSG die Einwilligung der betroffenen Person, ein ĂŒberwiegendes öffentliches oder privates Interesse sowie durch den Verantwortlichen einzuhaltende Gesetzesbestimmungen. Anders als in der DSGVO (vgl. Art.â 6) sind dies die einzigen explizit genannten RechtfertigungsgrĂŒnde. Der Schweizer Gesetzgeber konkretisiert jedoch das ĂŒberwiegende Interesse des Verantwortlichen nicht abschliessend in Art.â 31 Abs.â 2 lit.â a â f DSG und lĂ€sst so Raum fĂŒr weitere, die Interessen der betroffenen Person am Schutz der Persönlichkeit ĂŒberwiegende, Interessen des Verantwortlichen als RechtfertigungsgrĂŒnde. Eine InteressenabwĂ€gung im Einzelfall ist damit unumgĂ€nglich. Art.â 6 DSGVO hingegen wurde als abschliessende AufzĂ€hlung formuliert, sodass kein Spielraum fĂŒr weitere RechtfertigungsgrĂŒnde besteht. Dies verstĂ€rkt die Notwendigkeit zusĂ€tzlich, die Rechtsprechung zur Auslegung der DSGVO auch fĂŒr die Auslegung des DSG zu beachten.
Eine direkte Parallele besteht hinsichtlich des «offensichtlich öffentlich Machens» gem. Art.â 9 Abs.â 2 lit.â e DSGVO bzw. Art.â 30 Abs.â 3 DSG. Anders als der europĂ€ische Gesetzgeber hat der schweizerische jedoch darauf verzichtet, die Bearbeitung allgemein zugĂ€nglich gemachter Personendaten auf die Rechtfertigungsebene zu heben, vielmehr entfĂ€llt nach ihm die Qualifikation als Persönlichkeitsverletzung als solche und damit letztlich auch die SchutzwĂŒrdigkeit der Personendaten. Eine Bearbeitung wissentlich und willentlich allgemein zugĂ€nglich gemachter Daten ist somit â in der Regel â rechtmĂ€ssig, sofern die betroffene Person die Bearbeitung nicht ausdrĂŒcklich untersagt hat. Obschon der DSG-Bestimmung das Merkmal der «Offensichtlichkeit» fehlt, drĂ€ngt sich zumindest fĂŒr die Auslegung der Einschub eines solchen, zusĂ€tzlichen objektiven Elements analog DSGVO auf, da es fĂŒr die Datenbearbeiter und letztlich auch fĂŒr die Gerichte in der Praxis kaum je möglich sein wird, das subjektive Element des Wissens und Willens abschliessend zu beurteilen. Die Offensichtlichkeit schafft dahingehend Klarheit und bietet ein greifbares objektives Kriterium, an welches die Beurteilung einer Persönlichkeitsverletzung und damit letztlich auch die RechtmĂ€ssigkeit einer Datenbearbeitung angeknĂŒpft werden kann. Dennoch darf die AbschwĂ€chung des subjektiven Tatbestandsele|ments nicht zu einer Ausweitung des Anwendungsbereiches von Art.â 30 Abs.â 3 DSG fĂŒhren, weshalb eine die Auslegung der objektiven Tatbestandsmerkmale von Art.â 30 Abs.â 3 DSG unter Einschluss der Offensichtlichkeit restriktiv zu erfolgen hat. Insofern muss also auch nach der Schweizer Bestimmung fĂŒr einen Dritten objektiv erkennbar sein, dass die Daten offensichtlich allgemein zugĂ€nglich gemacht wurden. Die blosse BetĂ€tigung einer SchaltflĂ€che, bei welcher der Nutzer im Einzelnen noch nicht abzuschĂ€tzen vermag, wie sich dies auf seine Personendaten im Detail auswirkt, kann â in Ăbereinstimmung mit der Auslegung von Art.â 9 Abs.â 2 lit.â e DSGVO â auch nach dem DSG nicht als allgemeines ZugĂ€nglichmachen gewertet werden. Vielmehr bedarf es auch hier einer erkennbaren WillensbetĂ€tigung im Sinne der Offensichtlichkeit.
Sehr Ă€hnlich sind auch die Bestimmungen Art.â 6 Abs.â 1 lit.â b DSGVO und Art.â 31 Abs.â 2 lit.â a DSG. Beide sollen als RechtfertigungsgrĂŒnde â bzw. nach DSG als Konkretisierung des Rechtfertigungsgrundes der privaten Interessen â fĂŒr Datenbearbeitungen dienen, welche in Zusammenhang zu einem VertragsverhĂ€ltnis erfolgen. Im Gegensatz zur DSGVO, welche explizit Erforderlichkeit fĂŒr die ErfĂŒllung eines Vertrages voraussetzt, braucht es nach Art.â 31 Abs.â 2 lit.â a DSG lediglich einen Konnex zum Abschluss oder zur Abwicklung eines Vertrages. Dieser muss dennoch auch nach Schweizer Datenschutzrecht hinsichtlich eines konkreten Vertrages bestehen. Erforderlichkeit wird jedoch erst bei PrĂŒfung der VerhĂ€ltnismĂ€ssigkeit im Rahmen einer wertenden InteressenabwĂ€gung zwischen den Interessen der betroffenen Person und denjenigen der Datenbearbeiterin relevant. Wenn nun der EuGH ausfĂŒhrt, dass Erforderlichkeit fĂŒr die ErfĂŒllung eines Vertrages nur dann vorliegt, wenn die Datenbearbeitung letztlich konstitutiv fĂŒr den Vertrag ist, lĂ€sst sich dies nach der hier vertretenen Auffassung nicht auf die Parallelbestimmung im DSG ĂŒbertragen. Vielmehr bildet der Umstand, dass die Datenbearbeitung fĂŒr den Abschluss oder die Abwicklung eines Vertrages konstitutiv ist, ein Argument fĂŒr die Gewichtung der u. U. gegenlĂ€ufigen Interessen der betroffenen Person und der Datenbearbeiterin. Dennoch bedarf es vor dem Hintergrund des Grundsatzes der Datenminimierung (Art.â 5 Abs.â 1 lit.â c DSGVO), der in der Schweiz dem Grundsatz der VerhĂ€ltnismĂ€ssigkeit entspricht (Art.â 6 Abs.â 2 DSG), und der Zweckbindung folglich â wie der EuGH anmerkte â auch in der Schweiz fĂŒr die rechtfertigende Wirkung einer objektiven Notwendigkeit der Datenbearbeitung fĂŒr den Abschluss bzw. die Abwicklung eines Vertrages. Die Datenbearbeitung selbst braucht jedoch nicht konstitutiv fĂŒr den Hauptgegenstand des Vertrages zu sein.
Und noch eine letzte Parallele sei angesprochen: Auch das DSG kennt den Rechtfertigungsgrund der Einwilligung (Art.â 31 Abs.â 1 DSG). Eine solche ist nach Art.â 6 Abs.â 6 DSG jedoch nur gĂŒltig, wenn sie â wie auch nach der DSGVO (Art.â 4 Ziff.â 11) â informiert und freiwillig, in Bezug auf einen oder mehrere bestimmte FĂ€lle (Bearbeitungen) abgegeben wurde. Freiwilligkeit liegt nach dem DSG dann vor, wenn die Abgabe einer WillenserklĂ€rung ohne Druck erfolgt, also die Entscheidung fĂŒr oder gegen die Bearbeitung möglich bleiben muss. Ob nun die Abgabe einer Einwilligung in Datenbearbeitungen gegenĂŒber einem marktbeherrschenden Verantwortlichen deren Freiwilligkeit ausschliesst (wie dies der EuGH in seiner Entscheidung zu beurteilen hatte), muss letztlich auch in der Schweiz einer ĂberprĂŒfung im Einzelfall unterliegen. Auch bei dieser EinzelfallprĂŒfung kann es sich auswirken, dass eine freiwillige und informierte Einwilligung in die Datenbearbeitung nach schweizerischem Recht grundsĂ€tzlich nur bei einer unrechtmĂ€ssigen bzw. persönlichkeitsverletzenden Datenbearbeitung durch den marktbeherrschenden Verantwortlichen vorzuliegen braucht.
Wie und in welchem Umfang die AusfĂŒhrungen des EuGH zur Auslegung der Bestimmungen der DSGVO detailliert Eingang in die Schweizer Rechtsprechungspraxis finden werden, ist abzuwarten. WĂŒnschenswert wĂ€re es, denn nun, da auch die Schweiz wieder ein dem EU-Datenschutzstandard entsprechendes Datenschutzgesetz kennt und damit durchaus ein wohlwollender Angemessenheitsbeschluss der EU Kommission hinsichtlich des schweizerischen Datenschutzniveaus erwartet werden darf, wenn die Auslegung des DSG zu derjenigen der DSGVO parallel gefĂŒhrt werden (was keine vollstĂ€ndige IdentitĂ€t verlangt), da sonst die Schweiz Gefahr lĂ€uft, das mit der Totalrevision angestrebte Ziel der Anpassung an den EU-Standard letztlich doch wieder zu verfehlen.
Das Urteil des EuGH i. S. Facebook-DatenzusammenfĂŒhrungspraktiken hat erhebliche Relevanz auch fĂŒr die Schweiz. Zwar basiert das DSG nicht, wie die DSGVO, auf dem Verbotsprinzip. Die DSG-Revision hat das Gesetz aber noch paralleler zur DSGVO ausgestaltet und so liegt eine Ausstrahlungswirkung der gerichtlichen Konkretisierungen von DSGVO-TatbestĂ€nden auf das DSG nahe. Der Beitrag erlĂ€utert dies nĂ€her im Hinblick auf die Einwilligung und verschiedene gesetzliche RechtfertigungstatbestĂ€nde der DSGVO.&cbr;
Résumé
LâarrĂȘt de la CJUE concernant les pratiques de fusion des donnĂ©es de Facebook est Ă©galement trĂšs pertinent pour la Suisse. Si la LPD ne repose pas, commele RGPD, sur le principe dâinterdiction, la rĂ©vision de la LPD vise toutefois Ă aligner encore plus la loi sur ce rĂšglement. De ce fait, il est envisageable que les dĂ©cisions judiciaires basĂ©es sur le RGPD aient des rĂ©percussions sur la LPD. Cet article dĂ©taille cette question, notamment en ce qui concerne le consentement et diffĂ©rents fondements juridiques du RGPD.