Seit Inkrafttreten der DSGVO sind drastische Sanktionen, allen voran hohe Bussen, im Bereich des Datenschutzes Realität geworden. Auch in der Schweiz wurde das Datenschutzrecht angepasst, auf Bundesebene das DSG und in den Kantonen die Datenschutzgesetze, die für kantonale öffentliche Organe gelten. Diese bringen neue, einschneidende Pflichten mit sich. In diesem Text beleuchten wir die Frage, was bei Nichteinhaltung geschieht: Haben auch kantonale öffentliche Organe nun mit schweren Sanktionen und insb. hohen Bussen zu rechnen?
Hohe Bussen bei Verstössen gegen das Datenschutzrecht sind in Europa zur Praxis geworden. Als Beispiel unter mehreren: Im Sommer 2021 sorgte die luxemburgische Datenschutzbehörde für Schlagzeilen, weil sie dem Technologiekonzern Amazon eine Rekord-Busse in der Höhe von 746 Millionen Euro auferlegte.
Auch wenn die DSGVO auf Tätigkeiten von Behörden in der Schweiz in den meisten Fällen nicht anwendbar sein wird (und selbst dann, wenn sie anwendbar sein sollte, ausserhalb des EU-Raums der Vollzug nur beschränkt möglich ist), so führen verschiedene für die Schweiz verbindliche internationale Rechtsinstrumente dazu, dass das schweizerische Datenschutzrecht in weiten Teilen inhaltlich dem Europäischen gleichwertig auszufallen hat (wie wir im Update hier berichteten).
Wie sieht die Situation für kantonale Behörden aus, die Personendaten bearbeiten? Mit welchen Sanktionen haben sie bei einem allfälligen Datenschutzverstoss zu rechnen?
Was die Kantone vorsehen müssen
Fangen wir mit der ersten Frage an: Welche Gesetze sind überhaupt anwendbar? In erster Linie sind das jeweils die kantonalen Datenschutzgesetze des Trägerkantons der Behörde. Dazu sind gewisse Minimalstandards aus Staatsverträgen zu beachten: So etwa die Schengen-Richtlinie 2016/680, die als Pendant der DSGVO dasselbe Datenschutzniveau für die Strafverfolgung und -vollstreckung einführt, das Übereinkommen des Europarats zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (SEV Nr. 108, hiernach «Konvention 108»), sowie das Protokoll zur Änderung der Konvention 108 (SEV Nr. 223). Letzteres ist noch nicht in Kraft getreten, wurde von der Schweiz aber bereits unterzeichnet. Viele Kantone entschieden sich, die Vorgaben der Schengen-Richtlinie gleich für das ganze kantonale Recht zu übernehmen, um unterschiedliche Datenschutzniveaus in verschiedenen Behörden zu verhindern (für eine Darstellung des Zusammenspiels dieser Rechtsgrundlagen sei noch einmal auf unser Update verwiesen).
Was geben diese Minimalstandards im Bereich der Sanktionen vor und wie werden sie in den Kantonen umgesetzt? Art. 10 der Konvention 108 nimmt die unterzeichnenden Staaten in die Pflicht, «geeignete Sanktionen und Rechtsmittel» gegen Datenschutzverstösse zu treffen. Mit dem Änderungsprotokoll werden diese zu «geeignete[n] gerichtliche[n] und aussergerichtliche[n] Sanktionen und Rechtsmitteln[n].» Art. 57 der Schengen-Richtlinie 2016/680 hält fest, dass die Sanktionen «wirksam, verhältnismässig und abschreckend» sein müssen. Bussen als solche werden vom völkerrechtlichen Minimalstandard nicht vorgegeben.
Was in den Kantonen drohen kann
Zwar haben einige kantonale Gesetzgeber Sanktions-Artikel in das kantonale Datenschutzgesetz eingeführt, welche Bussen androhen (vgl. §40 IDG ZH, §51 IDG BS). Die in den soeben zitierten Beispielen jeweils vorgesehenen Sanktionen gelten allerdings nur gegenüber beauftragten Dritten, nicht jedoch für das betreffende öffentliche Organ selbst.
Dass öffentliche Organe keine Bussen bezahlen müssen, kann aus fiskalischer Perspektive nachvollzogen werden: Büsst ein öffentliches Organ das andere, wechselt das Steuergeld von einer staatlichen Kasse in die andere. Die DSGVO, die in den EU-Mitgliedstaaten auch auf deren öffentliche Organe anwendbar ist, sieht ihrerseits auch eine Öffnungsklausel vor, wonach die Mitgliedstaaten im nationalen Recht definieren können, ob Bussen auch für öffentliche Organe gelten oder nicht (Art. 83 Abs. 7 DSGVO). Entsprechend sind in einigen EU-Mitgliedstaaten für öffentliche Behörden ebenfalls keine Bussen vorgesehen.
Kantonale Behörden unterstehen aber der Kontrolle und der Weisungsbefugnis der jeweiligen kantonalen Datenschutzbehörde (vgl. §30 ff. IDG ZH, §37 ff. IDG BS). Diese kann sich Datenbearbeitungen genau ansehen (§35 IDG ZH), Empfehlungen erlassen (§36 IDG ZH) und bei missachteten Empfehlungen auch Verwaltungsmassnahmen verfügen: So kann sie anordnen, dass die Bearbeitung von Personendaten ganz oder teilweise angepasst, unterbrochen oder abgebrochen wird und die Personendaten ganz oder teilweise gelöscht oder vernichtet werden.
Ferner spielt in der Praxis die Sorge über Reputationsschäden eine einigermassen grosse Rolle – diese können sich dann ergeben, wenn Datenschutzverstösse öffentlich bekannt werden, wie dies jüngst die Einwohnergemeinde Rolle schmerzlich erfahren musste.
Tätigkeit der kantonalen Datenschutzbehörden
Zum Zeitpunkt unserer Recherche waren die neusten Tätigkeitsberichte für 2021 der untersuchten Kantone noch nicht verfügbar. Dem Tätigkeitsbericht des Datenschutzbeauftragten Basel Stadt 2017-2019 ist zu entnehmen, dass in den Jahren des Berichtszeitraums je 2-4 Kontrollen durchgeführt wurden (vgl. S. 26 ff. hier). Ganz schlagkräftig ist die Aufsichtsstelle damit noch nicht. Allerdings macht die Kontrollaufgabe auch nur einen kleinen Teil der ca. 600 Stellenprozent starken Behörde aus.
Der damalige Datenschutzbeauftragte Zürich führte mit seinem rund 1000 Stellenprozent starken Team im Jahr 2019 immerhin 30 Kontrollen durch. Das Ziel von 40 Kontrollen pro Jahr konnte aus Ressourcengründen nicht erreicht werden, wie dem Tätigkeitsbericht 2019 (S. 10 hier) zu entnehmen ist. Im Krisenjahr 2020 verlagerten sich die Tätigkeitsschwerpunkte, weshalb die jetzige Datenschutzbeauftragte in diesem Jahr trotz mehr Personalressourcen insgesamt nur 10 Kontrollen durchführen konnte (S. 11 hier).
Furchteinflössende Bussen: nein – aber durchaus ernstzunehmende Sanktionsrisiken
Der gesamteuropäische Trend hin zu einem schlagkräftigeren Datenschutzrecht ist auch in den Kantonen angekommen. So sind dort vielerorts die Pflicht zur Meldung von Datenschutzverstössen oder zur Durchführung von Datenschutz-Folgenabschätzungen bereits Realität. Auch wenn die kantonalen Aufsichtsstellen sich bis anhin noch zurückhalten mit Kontrollen und Sanktionen, so ist jedoch zu erwarten, dass sie diese in den kommenden Jahren ausweiten werden. Für kantonale Behörden heisst das, dass sie gut beraten sind, sich mit den neusten Entwicklungen des Datenschutzrechts auseinanderzusetzen und namentlich dafür zu sorgen, dass organisationsintern Prozesse und Verantwortlichkeiten so definiert sind, dass der Datenschutz im Alltag umgesetzt werden kann und dies auch dann, wenn ihnen keine hohen Bussen drohen.