UPDATES

HOW WE CAN HELP

Compliance

Bussen à la DSGVO nun auch im kantonalen Datenschutzrecht?

Seit Inkrafttreten der DSGVO sind drastische Sanktionen, allen voran hohe Bussen, im Bereich des Datenschutzes Realität geworden. Auch in der Schweiz wurde das Datenschutzrecht angepasst, auf Bundesebene das DSG und in den Kantonen die Datenschutzgesetze, die für kantonale öffentliche Organe gelten. Diese bringen neue, einschneidende Pflichten mit sich. In diesem Text beleuchten wir die Frage, was bei Nichteinhaltung geschieht: Haben auch kantonale öffentliche Organe nun mit schweren Sanktionen und insb. hohen Bussen zu rechnen?

Hohe Bussen bei Verstössen gegen das Datenschutzrecht sind in Europa zur Praxis geworden. Als Beispiel unter mehreren: Im Sommer 2021 sorgte die luxemburgische Datenschutzbehörde für Schlagzeilen, weil sie dem Technologiekonzern Amazon eine Rekord-Busse in der Höhe von 746 Millionen Euro auferlegte.

Auch wenn die DSGVO auf Tätigkeiten von Behörden in der Schweiz in den meisten Fällen nicht anwendbar sein wird (und selbst dann, wenn sie anwendbar sein sollte, ausserhalb des EU-Raums der Vollzug nur beschränkt möglich ist), so führen verschiedene für die Schweiz verbindliche internationale Rechtsinstrumente dazu, dass das schweizerische Datenschutzrecht in weiten Teilen inhaltlich dem Europäischen gleichwertig auszufallen hat (wie wir im Update hier berichteten).

Wie sieht die Situation für kantonale Behörden aus, die Personendaten bearbeiten? Mit welchen Sanktionen haben sie bei einem allfälligen Datenschutzverstoss zu rechnen?

Was die Kantone vorsehen müssen

Fangen wir mit der ersten Frage an: Welche Gesetze sind überhaupt anwendbar? In erster Linie sind das jeweils die kantonalen Datenschutzgesetze des Trägerkantons der Behörde. Dazu sind gewisse Minimalstandards aus Staatsverträgen zu beachten: So etwa die Schengen-Richtlinie 2016/680, die als Pendant der DSGVO dasselbe Datenschutzniveau für die Strafverfolgung und -vollstreckung einführt, das Übereinkommen des Europarats zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (SEV Nr. 108, hiernach «Konvention 108»), sowie das Protokoll zur Änderung der Konvention 108 (SEV Nr. 223). Letzteres ist noch nicht in Kraft getreten, wurde von der Schweiz aber bereits unterzeichnet. Viele Kantone entschieden sich, die Vorgaben der Schengen-Richtlinie gleich für das ganze kantonale Recht zu übernehmen, um unterschiedliche Datenschutzniveaus in verschiedenen Behörden zu verhindern (für eine Darstellung des Zusammenspiels dieser Rechtsgrundlagen sei noch einmal auf unser Update verwiesen).

Was geben diese Minimalstandards im Bereich der Sanktionen vor und wie werden sie in den Kantonen umgesetzt? Art. 10 der Konvention 108 nimmt die unterzeichnenden Staaten in die Pflicht, «geeignete Sanktionen und Rechtsmittel» gegen Datenschutzverstösse zu treffen. Mit dem Änderungsprotokoll werden diese zu «geeignete[n] gerichtliche[n] und aussergerichtliche[n] Sanktionen und Rechtsmitteln[n].» Art. 57 der Schengen-Richtlinie 2016/680 hält fest, dass die Sanktionen «wirksam, verhältnismässig und abschreckend» sein müssen. Bussen als solche werden vom völkerrechtlichen Minimalstandard nicht vorgegeben.

Was in den Kantonen drohen kann

Zwar haben einige kantonale Gesetzgeber Sanktions-Artikel in das kantonale Datenschutzgesetz eingeführt, welche Bussen androhen (vgl. §40 IDG ZH, §51 IDG BS). Die in den soeben zitierten Beispielen jeweils vorgesehenen Sanktionen gelten allerdings nur gegenüber beauftragten Dritten, nicht jedoch für das betreffende öffentliche Organ selbst.

Dass öffentliche Organe keine Bussen bezahlen müssen, kann aus fiskalischer Perspektive nachvollzogen werden: Büsst ein öffentliches Organ das andere, wechselt das Steuergeld von einer staatlichen Kasse in die andere. Die DSGVO, die in den EU-Mitgliedstaaten auch auf deren öffentliche Organe anwendbar ist, sieht ihrerseits auch eine Öffnungsklausel vor, wonach die Mitgliedstaaten im nationalen Recht definieren können, ob Bussen auch für öffentliche Organe gelten oder nicht (Art. 83 Abs. 7 DSGVO). Entsprechend sind in einigen EU-Mitgliedstaaten für öffentliche Behörden ebenfalls keine Bussen vorgesehen.

Kantonale Behörden unterstehen aber der Kontrolle und der Weisungsbefugnis der jeweiligen kantonalen Datenschutzbehörde (vgl. §30 ff. IDG ZH, §37 ff. IDG BS). Diese kann sich Datenbearbeitungen genau ansehen (§35 IDG ZH), Empfehlungen erlassen (§36 IDG ZH) und bei missachteten Empfehlungen auch Verwaltungsmassnahmen verfügen: So kann sie anordnen, dass die Bearbeitung von Personendaten ganz oder teilweise angepasst, unterbrochen oder abgebrochen wird und die Personendaten ganz oder teilweise gelöscht oder vernichtet werden.

Ferner spielt in der Praxis die Sorge über Reputationsschäden eine einigermassen grosse Rolle – diese können sich dann ergeben, wenn Datenschutzverstösse öffentlich bekannt werden, wie dies jüngst die Einwohnergemeinde Rolle schmerzlich erfahren musste.

Tätigkeit der kantonalen Datenschutzbehörden

Zum Zeitpunkt unserer Recherche waren die neusten Tätigkeitsberichte für 2021 der untersuchten Kantone noch nicht verfügbar. Dem Tätigkeitsbericht des Datenschutzbeauftragten Basel Stadt 2017-2019 ist zu entnehmen, dass in den Jahren des Berichtszeitraums je 2-4 Kontrollen durchgeführt wurden (vgl. S. 26 ff. hier). Ganz schlagkräftig ist die Aufsichtsstelle damit noch nicht. Allerdings macht die Kontrollaufgabe auch nur einen kleinen Teil der ca. 600 Stellenprozent starken Behörde aus.

Der damalige Datenschutzbeauftragte Zürich führte mit seinem rund 1000 Stellenprozent starken Team im Jahr 2019 immerhin 30 Kontrollen durch. Das Ziel von 40 Kontrollen pro Jahr konnte aus Ressourcengründen nicht erreicht werden, wie dem Tätigkeitsbericht 2019 (S. 10 hier) zu entnehmen ist. Im Krisenjahr 2020 verlagerten sich die Tätigkeitsschwerpunkte, weshalb die jetzige Datenschutzbeauftragte in diesem Jahr trotz mehr Personalressourcen insgesamt nur 10 Kontrollen durchführen konnte (S. 11 hier).

Furchteinflössende Bussen: nein – aber durchaus ernstzunehmende Sanktionsrisiken

Der gesamteuropäische Trend hin zu einem schlagkräftigeren Datenschutzrecht ist auch in den Kantonen angekommen. So sind dort vielerorts die Pflicht zur Meldung von Datenschutzverstössen oder zur Durchführung von Datenschutz-Folgenabschätzungen bereits Realität. Auch wenn die kantonalen Aufsichtsstellen sich bis anhin noch zurückhalten mit Kontrollen und Sanktionen, so ist jedoch zu erwarten, dass sie diese in den kommenden Jahren ausweiten werden. Für kantonale Behörden heisst das, dass sie gut beraten sind, sich mit den neusten Entwicklungen des Datenschutzrechts auseinanderzusetzen und namentlich dafür zu sorgen, dass organisationsintern Prozesse und Verantwortlichkeiten so definiert sind, dass der Datenschutz im Alltag umgesetzt werden kann und dies auch dann, wenn ihnen keine hohen Bussen drohen.


December 15th, 2021
New Swiss Public Procurement law: Confederation is live, Cantons to follow

The revised Federal Law on Public Procurement came into force on January 1, 2021. Together with the revision of the Intercantonal Agreement on Public Procurement, Swiss public procurement law has thus undergone a complete overhaul for the decade.

What is new?

First and foremost the requirements of the WTO Agreement on Government Procurement (‘GPA 2012‘), which have already been in force internationally since 2014, were transferred into new Federal Law on Public Procurement. This applies to the rules against conflicts of interest and corrupt practices, but also to the newly introduced standards in the area of electronic auctions and the expansion of judicial review. The revision also affects areas that are not related to the multilateral agreement GPA 2012. To name a few, sanction instruments in the revised Federal Law have been standardized and supplemented by the possibility for authorities to issue warnings and suspensions of awarding contracts. As a result of pressure from the cantons, the Law now also provides for a general ban on price negotiations, the so-called bidding rounds. However, the dialogue procedure, which is common in the technology sector and in complex procurements, remains possible.

Nationwide harmonization of procurement standards

A second objective of the revision was to harmonize the federal and cantonal decrees in the area of public procurement law. It is to the credit of the joint commission with the mystery name Aurora that the greatest possible consensus between the cantons and the Confederation has been achieved. The working group also ensured that the revision of the federal law and the Intercantonal Agreement on Public Procurement (‘IVöB 2019’, a concordat) actually took place in lockstep. How well the revised Federal Law and concordat are aligned with each other can easily be seen in a comparison document.

From a practitioner’s point of view, the alignment of the Confederation and the cantons is to be welcomed. Essential aspects of the previous practice of the courts in the field of public procurement law have been incorporated into the two enactments. The greater regulatory depth in the concordat leads to a further smoothing of differences between the individual cantons and thus promotes legal certainty.

Phasing-in of the new rules

It should be noted, however, that the Intercantonal Agreement only comes into force after ratification by at least two cantons. Even then it will only be binding among the respective cantons. For this reason, the new Federal Law is now applicable to public contracts on a federal level, while the previous Intercantonal Agreement of 2001 will still be applicable to cantonal procurements for a certain period of time. As a result, a transitional phase is to be expected, during which the new rules will already apply in some cantons, and the old rules will still apply in others. Thus it will to take some time before Switzerland will have a comprehensive, harmonized public procurement law. Good things come to those who wait.

This article was written with the collaboration of Gian Heimann, law student at the University of Zurich. Thank you, Gian!

February 9th, 2021
Revidiertes Vergaberecht: Bund ist live, Kantone folgen

Am 1. Januar 2021 ist das revidierte Bundesgesetz über das öffentliche Beschaffungswesen (BöB) in Kraft getreten. Zusammen mit der Revision der Interkantonalen Vereinbarung über das öffentliche Beschaffungswesen (IVöB) erfuhr das schweizerische Submissionsrecht damit für das neue Jahrzehnt eine Gesamterneuerung.

Die wichtigsten Neuerungen

Mit der Revision des Bundesgesetzes über das öffentliche Beschaffungswesen (BöB) wurden in erster Linie die international bereits seit 2014 geltenden Vorgaben des WTO-Übereinkommens über das öffentliche Beschaffungswesen (GPA 2012) ins Bundesrecht übertragen. Das gilt für die Regeln gegen Interessenkonflikte und korrupte Praktiken, aber auch für die neu eingeführten Standards im Bereich der elektronischen Auktionen sowie dem Ausbau des Rechtsschutzes. Die Revision betrifft aber auch Gebiete, die nicht im Zusammenhang mit dem multilateralen Abkommen GPA 2012 stehen. So wurden die Sanktionsinstrumente im revidierten BöB systematisiert und durch die Möglichkeit der Behörden, Verwarnungen und Vergabesperren auszusprechen, ergänzt. Auf Druck der Kantone sieht sodann auch das BöB neu ein allgemeines Verbot von sog. Abgebotsrunden, also reinen Preisverhandlungen, vor. Das im technologischen Umfeld und bei komplexen Beschaffungen übliche Dialogverfahren bleibt aber immer noch möglich.

Landesweite Harmonisierung der Vergaberegeln

Ein weiteres Hauptziel der Revisionen bestand darin, die Erlasse des Bundes und der Kantone im Bereich des Submissionsrechts zu harmonisieren. Es ist das Verdienst der paritätischen Kommission mit dem geheimnisvollen Namen Aurora, den grösstmöglichen Konsens zwischen Kantonen und Bund herbeigeführt zu haben. Die Arbeitsgruppe hat zudem dafür gesorgt, dass die Revision des Bundesgesetzes und der Interkantonalen Vereinbarung über das öffentliche Beschaffungswesen (IVöB) tatsächlich im Gleichschritt erfolgte. Wie gut das revidierte BöB und IVöB aufeinander abgestimmt sind, lässt sich in der Gegenüberstellung leicht erkennen. Aus Sicht der Praxis ist die Angleichung von Bund und Kantonen begrüssenswert. Wesentliche Aspekte der bisherigen vergaberechtlichen Gerichtspraxis sind in die beiden Erlasse eingeflossen. Die grössere Regelungsdichte im Konkordat führt zu einer weiteren Glättung der Unterschiede zwischen den einzelnen Kantonen und fördert damit die Rechtssicherheit.

Gestaffeltes Inkrafttreten

Zu beachten ist aber, dass die IVöB erst in Kraft tritt, wenn sie von mindestens zwei Kantonen ratifiziert wurde und auch dann nur unter den entsprechenden Kantonen verbindlich ist. Aus diesem Grund gilt jetzt für eine gewisse Zeit für Beschaffungen des Bundes das neue BöB, während für Beschaffungen der Kantone noch immer die alte IVöB aus dem Jahr 2001 anwendbar ist. Mittelfristig ist mit einer Übergangsphase zu rechnen, während der in einzelnen Kantonen bereits die neue IVöB Anwendung findet, in anderen aber noch die alte gilt. Bis die Schweiz ein flächendeckendes, harmonisiertes Vergaberecht haben wird, dürfte es also noch etwas dauern. Bereits die Einführung des IVöB 2001 brauchte nämlich mehrere Jahre. Gut Ding will Weile haben.

Dieser Beitrag wurde verfasst unter Mitarbeit von Gian Heimann, Student Rechtswissenschaften an der Universität Zürich. Danke, Gian!


February 8th, 2021
Datenschutz versus Informationssicherheit – was braucht unsere Organisation?

Stetig zunehmende Anforderungen

Heutzutage kann es sich keine Organisation leisten, den Datenschutz zu ignorieren. Die gesetzlichen Anforderungen nehmen kontinuierlich zu und seit 2018 hat sich mit der Europäischen Datenschutzgrundverordnung (DSGVO/GDPR) ein neuer Goldstandard etabliert, der auch im Bewusstsein der Bürgerinnen und Bürger angekommen ist und von Organisationen mehr verlangt als bisher. Dies führt dazu, dass sich Organisationen gesamtheitlich auf den Datenschutz ausrichten müssen. Dies wiederum erfordert das Definieren von Prozessen und das Zuordnen von Verantwortlichkeiten; Anforderungen, die auch vor den Schweizerischen Datenschutzgesetzen (Bund und kantonale Gesetze) nicht Halt gemacht haben.

Gleichzeitig aber häufen sich, durch Pandemie und Homeoffice verstärkt, Berichte über IT-Sicherheitslücken, Cyberattacken und die Notwendigkeit eines firmen- oder organisationsweiten Informationssicherheitsmanagementsystems («ISMS»).

DSMS vs. ISMS

Worin liegt aber der Unterschied zwischen einem Datenschutz-Managementsystem («DSMS») und einem ISMS? Und wie geht eine Organisation vor, um zu entscheiden, was sie braucht? Ziel der Informationssicherheit ist der Schutz aller für eine Organisation relevanten Informationen vor unberechtigtem Zugriff, Verlust oder unbefugter Veränderung. Ziele sind mitunter die Vertraulichkeit, die Integrität und die Verfügbarkeit – oder in der englischen Terminologie der relevanten ISO-Norm 27001: Confidentiality, Integrity, Availability (C, I, A). Der Datenschutz ist dagegen zugleich enger und weiter als die Informationssicherheit. Enger deswegen, weil er nur Personendaten schützt, also Daten, die sich auf eine bestimmte oder bestimmbare Person beziehen. Weiter ist der Datenschutz deshalb, weil es um mehr als nur die Sicherheit von Personendaten geht. Nebst der Einhaltung grundlegender Prinzipien wie Verhältnismässigkeit, Zweckbindung, Transparenz, Richtigkeit, Rechtmässigkeit und Sicherheit enthalten Datenschutzgesetze meist eine Serie konkreter Pflichten wie etwa Informationspflichten an die betroffene Person, data breach notifications an die zuständige Behörde oder das Vornehmen von Datenschutz-Folgenabschätzungen. Die Informationssicherheit schützt den Informationsbestand einer Organisation als solchen, mit einem besonderen Fokus auf Geschäfts- oder Amtsgeheimnisse. Der Datenschutz hingegen bezweckt primär den Schutz von Privatsphäre und Persönlichkeitsrechten betroffener Personen, wenn Daten über sie bearbeitet werden. Beide Themen überschneiden sich in der Sicherheit von Personendaten:

Lesbarkeit ist relativ.

Wie gelangen wir zu einem Entscheid?

Wo sollte eine Organisation nun ihre Prioritäten legen? Folgende Fragen können dabei Leitplanken geben:

  • Was schreibt das Gesetz vor?

Für eine öffentliche Organisation ist Ausgangspunkt aller Überlegungen das Gesetz: Besteht ein Gesetz, das gewisse Pflichten enthält, so muss dieses umgesetzt werden. Der Handlungsspielraum reduziert sich vom «ob» der Umsetzung auf das «wie». Zumindest in der Schweiz und in Europa bestehen im Datenschutz überall Gesetze – diese unterscheiden sich aber sowohl in ihrer Strenge als auch im Risiko von Sanktionen, wenn der Datenschutz nicht eingehalten wird.

  • Haben wir eine andere Verpflichtung, etwa aus einem Vertrag, ein ISMS einzuführen (oder eine Zertifizierung zu erlangen) oder gewisse Datenschutzstandards nachzuweisen?

Auch ein Vertragspartner kann ein Interesse daran haben, gewisse Standards vorzuschreiben oder deren Einführung bis zu einem vertraglich bestimmten Zeitpunkt zu verlangen. Auch eine vertragliche Pflicht kann das Vorgehen in diesem Thema beeinflussen und vorantreiben.

  • Wie sieht die Risikolage aus?

In ihrer konkreten Ausgestaltung beruhen sowohl der Datenschutz als auch die Informationssicherheit auf Risikoabschätzungen; diese können zur Erkenntnis führen, dass auch ohne formelle gesetzliche Verpflichtung die Einführung gewisser Prozesse oder Standards sinnvoll sein kann.

Bestehen besondere Risiken, denen die Organisation ausgesetzt ist, und wie gross sind die Nachteile, die entstehen, wenn sich ein solches Risiko materialisiert? Im Datenschutz sind nebst Reputationsrisiken zunehmend auch Sanktionen der Aufsichtsbehörden einzukalkulieren. Auch in der Informationssicherheit sind Reputationsrisiken zu beachten, dazu kommen aber auch konkrete politische Erpressbarkeit, Risiken für öffentliche Güter (wie etwa der Verlust von Leben bei einem Cyberangriff auf die IT-Infrastruktur eines öffentlichen Spitals oder der Zusammenbruch der Stromversorgung bei einem Angriff auf ein Elektrizitätsunternehmen) oder im kommerziellen Kontext wirtschaftliche Nachteile bei der Verletzung von Geschäftsgeheimnissen.

  • Welche Ressourcen sind intern vorhanden? In welchem Umfang können externe Ressourcen dazugenommen werden?

Beschränkte Ressourcen personeller oder finanzieller Natur können das Vorgehen ebenso beeinflussen und die Organisation dazu verpflichten, den Blick auf das Wesentliche zu legen: Wo drohen uns grössere Nachteile, wenn wir es nicht implementieren, im Datenschutz oder in der Informationssicherheit? Der Aufbau einer internen Compliance kann dann entsprechend den verfügbaren Ressouren organisiert werden (der Einwand, es seien überhaupt keine Ressourcen vorhanden, wird aber natürlich einen schweren Stand haben).

In jedem Falle: kontinuierlich und interdisziplinär

Gestützt auf diese Fragenkomplexe kann dann ein vorläufiger Entscheid gefällt werden: was soll implementiert werden, bis wann und in welcher Reihenfolge. Entscheidet sich eine Organisation, mit dem Datenschutz zu beginnen und vorerst ein DSMS einzuführen, können bestimmte Werkzeuge aus dem Bereich ISMS einbezogen werden (so etwa Schutzbedarfsanalysen). Dies kann die spätere Ausweitung auf Aspekte der Informationssicherheit vereinfachen. Nimmt man im Gegensatz die Informationssicherheit zum Ausgangspunkt, so bestehen verschiedene Möglichkeiten, den Datenschutz in einem zweiten Schritt zu ergänzen. Wird etwa die ISO-Norm 27001 für die Informationssicherheit verwendet, kann mithilfe der neueren Norm ISO 27701 ein bestehendes ISMS um den Datenschutz nach DSGVO ausgebaut werden.

Ob man mit einem ISMS oder einem DSMS beginnt: In jedem Falle beruht gutes Risikomanagement auf einer kontinuierlichen Evaluation, Anpassung und Verbesserung. Es empfiehlt sich zudem, ein Datenschutz-Management-System unter Einbezug einer Fachperson der Informationssicherheit aufzubauen und umgekehrt. Nebst einer besseren Risikoeinschätzung erlaubt ein solcher interdisziplinärer Ansatz eine bessere Implementierung und erleichtert die spätere Erweiterung, wenn das DSMS mit Informationssicherheit ergänzt werden soll oder umgekehrt.

January 11th, 2021