{"id":336,"date":"2021-12-15T19:24:26","date_gmt":"2021-12-15T19:24:26","guid":{"rendered":"https:\/\/publicsector.ch\/bussen-a-la-dsgvo-nun-auch-im-kantonalen-datenschutzrecht-336"},"modified":"2024-04-29T08:19:27","modified_gmt":"2024-04-29T08:19:27","slug":"bussen-a-la-dsgvo-nun-auch-im-kantonalen-datenschutzrecht-336","status":"publish","type":"post","link":"https:\/\/publicsector.ch\/en\/bussen-a-la-dsgvo-nun-auch-im-kantonalen-datenschutzrecht-336\/","title":{"rendered":"Bussen \u00e0 la DSGVO nun auch im kantonalen Datenschutzrecht?"},"content":{"rendered":"

Seit Inkrafttreten der DSGVO sind drastische Sanktionen, allen voran hohe Bussen, im Bereich des Datenschutzes Realit\u00e4t geworden. Auch in der Schweiz wurde das Datenschutzrecht angepasst, auf Bundesebene das DSG und in den Kantonen die Datenschutzgesetze, die f\u00fcr kantonale \u00f6ffentliche Organe gelten. Diese bringen neue, einschneidende Pflichten mit sich. In diesem Text beleuchten wir die Frage, was bei Nichteinhaltung geschieht: Haben auch kantonale \u00f6ffentliche Organe nun mit schweren Sanktionen und insb. hohen Bussen zu rechnen?<\/em><\/p>\n

Hohe Bussen bei Verst\u00f6ssen gegen das Datenschutzrecht sind in Europa zur Praxis geworden. Als Beispiel unter mehreren: Im Sommer 2021 sorgte die luxemburgische Datenschutzbeh\u00f6rde f\u00fcr Schlagzeilen, weil sie dem Technologiekonzern Amazon eine Rekord-Busse in der H\u00f6he von 746 Millionen Euro auferlegte<\/a>. <\/p>\n

Auch wenn die DSGVO auf T\u00e4tigkeiten von Beh\u00f6rden in der Schweiz in den meisten F\u00e4llen nicht anwendbar sein wird (und selbst dann, wenn sie anwendbar sein sollte, ausserhalb des EU-Raums der Vollzug nur beschr\u00e4nkt m\u00f6glich ist), so f\u00fchren verschiedene f\u00fcr die Schweiz verbindliche internationale Rechtsinstrumente dazu, dass das schweizerische Datenschutzrecht in weiten Teilen inhaltlich dem Europ\u00e4ischen gleichwertig auszufallen hat (wie wir im Update hier berichteten).<\/p>\n

Wie sieht die Situation f\u00fcr kantonale Beh\u00f6rden aus, die Personendaten bearbeiten? Mit welchen Sanktionen haben sie bei einem allf\u00e4lligen Datenschutzverstoss zu rechnen?<\/p>\n

Was die Kantone vorsehen m\u00fcssen<\/strong><\/h2>\n

Fangen wir mit der ersten Frage an: Welche Gesetze sind \u00fcberhaupt anwendbar? In erster Linie sind das jeweils die kantonalen Datenschutzgesetze des Tr\u00e4gerkantons der Beh\u00f6rde. Dazu sind gewisse Minimalstandards aus Staatsvertr\u00e4gen zu beachten: So etwa die Schengen-Richtlinie 2016\/680, die als Pendant der DSGVO dasselbe Datenschutzniveau f\u00fcr die Strafverfolgung und -vollstreckung einf\u00fchrt, das \u00dcbereinkommen des Europarats zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (SEV Nr. 108, hiernach \u00abKonvention 108\u00bb), sowie das Protokoll zur \u00c4nderung der Konvention 108 (SEV Nr. 223). Letzteres ist noch nicht in Kraft getreten, wurde von der Schweiz aber bereits unterzeichnet. Viele Kantone entschieden sich, die Vorgaben der Schengen-Richtlinie gleich f\u00fcr das ganze kantonale Recht zu \u00fcbernehmen, um unterschiedliche Datenschutzniveaus in verschiedenen Beh\u00f6rden zu verhindern (f\u00fcr eine Darstellung des Zusammenspiels dieser Rechtsgrundlagen sei noch einmal auf unser Update verwiesen). <\/p>\n

Was geben diese Minimalstandards im Bereich der Sanktionen vor und wie werden sie in den Kantonen umgesetzt? Art. 10 der Konvention 108<\/a> nimmt die unterzeichnenden Staaten in die Pflicht, \u00abgeeignete Sanktionen und Rechtsmittel\u00bb gegen Datenschutzverst\u00f6sse zu treffen. Mit dem \u00c4nderungsprotokoll werden diese zu \u00abgeeignete[n] gerichtliche[n] und aussergerichtliche[n] Sanktionen und Rechtsmitteln[n].\u00bb<\/a> Art. 57 der Schengen-Richtlinie 2016\/680<\/a> h\u00e4lt fest, dass die Sanktionen \u00abwirksam, verh\u00e4ltnism\u00e4ssig und abschreckend\u00bb sein m\u00fcssen. Bussen als solche werden vom v\u00f6lkerrechtlichen Minimalstandard nicht vorgegeben.<\/p>\n

Was in den Kantonen drohen kann<\/strong><\/h2>\n

Zwar haben einige kantonale Gesetzgeber Sanktions-Artikel in das kantonale Datenschutzgesetz eingef\u00fchrt, welche Bussen androhen (vgl. \u00a740 IDG ZH<\/a>, \u00a751 IDG BS<\/a>). Die in den soeben zitierten Beispielen jeweils vorgesehenen Sanktionen gelten allerdings nur gegen\u00fcber beauftragten Dritten, nicht jedoch f\u00fcr das betreffende \u00f6ffentliche Organ selbst.<\/p>\n

Dass \u00f6ffentliche Organe keine Bussen bezahlen m\u00fcssen, kann aus fiskalischer Perspektive nachvollzogen werden: B\u00fcsst ein \u00f6ffentliches Organ das andere, wechselt das Steuergeld von einer staatlichen Kasse in die andere. Die DSGVO, die in den EU-Mitgliedstaaten auch auf deren \u00f6ffentliche Organe anwendbar ist, sieht ihrerseits auch eine \u00d6ffnungsklausel vor, wonach die Mitgliedstaaten im nationalen Recht definieren k\u00f6nnen, ob Bussen auch f\u00fcr \u00f6ffentliche Organe gelten oder nicht (Art. 83 Abs. 7 DSGVO). Entsprechend sind in einigen EU-Mitgliedstaaten f\u00fcr \u00f6ffentliche Beh\u00f6rden ebenfalls keine Bussen vorgesehen.<\/p>\n

Kantonale Beh\u00f6rden unterstehen aber der Kontrolle und der Weisungsbefugnis der jeweiligen kantonalen Datenschutzbeh\u00f6rde (vgl. \u00a730 ff. IDG ZH, \u00a737 ff. IDG BS). Diese kann sich Datenbearbeitungen genau ansehen (\u00a735 IDG ZH), Empfehlungen erlassen (\u00a736 IDG ZH) und bei missachteten Empfehlungen auch Verwaltungsmassnahmen verf\u00fcgen: So kann sie anordnen, dass die Bearbeitung von Personendaten ganz oder teilweise angepasst, unterbrochen oder abgebrochen wird und die Personendaten ganz oder teilweise gel\u00f6scht oder vernichtet werden.<\/p>\n

Ferner spielt in der Praxis die Sorge \u00fcber Reputationssch\u00e4den eine einigermassen grosse Rolle \u2013 diese k\u00f6nnen sich dann ergeben, wenn Datenschutzverst\u00f6sse \u00f6ffentlich bekannt werden, wie dies j\u00fcngst die Einwohnergemeinde Rolle<\/a> schmerzlich erfahren musste.<\/p>\n

T\u00e4tigkeit der kantonalen Datenschutzbeh\u00f6rden<\/strong><\/h2>\n

Zum Zeitpunkt unserer Recherche waren die neusten T\u00e4tigkeitsberichte f\u00fcr 2021 der untersuchten Kantone noch nicht verf\u00fcgbar. Dem T\u00e4tigkeitsbericht des Datenschutzbeauftragten Basel Stadt 2017-2019 ist zu entnehmen, dass in den Jahren des Berichtszeitraums je 2-4 Kontrollen durchgef\u00fchrt wurden (vgl. S. 26 ff. hier<\/a>). Ganz schlagkr\u00e4ftig ist die Aufsichtsstelle damit noch nicht. Allerdings macht die Kontrollaufgabe auch nur einen kleinen Teil der ca. 600 Stellenprozent starken Beh\u00f6rde aus.<\/p>\n

Der damalige Datenschutzbeauftragte Z\u00fcrich f\u00fchrte mit seinem rund 1000 Stellenprozent starken Team im Jahr 2019 immerhin 30 Kontrollen durch. Das Ziel von 40 Kontrollen pro Jahr konnte aus Ressourcengr\u00fcnden nicht erreicht werden, wie dem T\u00e4tigkeitsbericht 2019 (S. 10 hier<\/a>) zu entnehmen ist. Im Krisenjahr 2020 verlagerten sich die T\u00e4tigkeitsschwerpunkte, weshalb die jetzige Datenschutzbeauftragte in diesem Jahr trotz mehr Personalressourcen insgesamt nur 10 Kontrollen durchf\u00fchren konnte (S. 11 hier<\/a>).<\/p>\n

Furchteinfl\u00f6ssende Bussen: nein \u2013 aber durchaus ernstzunehmende Sanktionsrisiken<\/strong><\/h2>\n

Der gesamteurop\u00e4ische Trend hin zu einem schlagkr\u00e4ftigeren Datenschutzrecht ist auch in den Kantonen angekommen. So sind dort vielerorts die Pflicht zur Meldung von Datenschutzverst\u00f6ssen oder zur Durchf\u00fchrung von Datenschutz-Folgenabsch\u00e4tzungen bereits Realit\u00e4t. Auch wenn die kantonalen Aufsichtsstellen sich bis anhin noch zur\u00fcckhalten mit Kontrollen und Sanktionen, so ist jedoch zu erwarten, dass sie diese in den kommenden Jahren ausweiten werden. F\u00fcr kantonale Beh\u00f6rden heisst das, dass sie gut beraten sind, sich mit den neusten Entwicklungen des Datenschutzrechts auseinanderzusetzen und namentlich daf\u00fcr zu sorgen, dass organisationsintern Prozesse und Verantwortlichkeiten so definiert sind, dass der Datenschutz im Alltag umgesetzt werden kann und dies auch dann, wenn ihnen keine hohen Bussen drohen.<\/p>\n

<\/p>\n","protected":false},"excerpt":{"rendered":"

Seit Inkrafttreten der DSGVO sind drastische Sanktionen, allen voran hohe Bussen, im Bereich des Datenschutzes Realit\u00e4t geworden. Auch in der Schweiz wurde das Datenschutzrecht angepasst, auf Bundesebene das DSG und [\u2026]<\/p>\n","protected":false},"author":7,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[22],"tags":[42,43,44,45,40,46],"class_list":["post-336","post","type-post","status-publish","format-standard","hentry","category-compliance","tag-bussen","tag-compliance","tag-datenschutzrecht","tag-dsgvo","tag-kantonales-recht","tag-kantone"],"_links":{"self":[{"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/posts\/336","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/users\/7"}],"replies":[{"embeddable":true,"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/comments?post=336"}],"version-history":[{"count":1,"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/posts\/336\/revisions"}],"predecessor-version":[{"id":348450,"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/posts\/336\/revisions\/348450"}],"wp:attachment":[{"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/media?parent=336"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/categories?post=336"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/tags?post=336"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}