XV/5054/99/endg. WP22
Gruppe für den Schutz der Rechte von Personen bei
der Verarbeitung personenbezogener Daten
der Verarbeitung personenbezogener Daten
Stellungnahme 5/99
zum
Schutzniveau personenbezogener Daten in der
Schweiz
Angenommen am 7. Juni 1999
Stellungnahme 5/99 zum
Schutzniveau personenbezogener Daten in der
Schweiz
Die Gruppe[1] wurde
darüber unterrichtet, daß die Europäische Kommission einen
Entscheidungsentwurf auf der Grundlage von Artikel 25 Absatz 6 der Richtlinie
95/46/EG erstellt hat, in dem festgestellt wird, daß die Schweiz aufgrund
ihrer internen Gesetzgebung ein angemessenes Schutzniveau im Sinne von Artikel
25 Absatz 2 der besagten Richtlinie gewährleistet.
Um der Europäischen Kommission mit Unterstützung des
durch Artikel 31 der Richtlinie 95/46/EG eingesetzten Ausschusses eine
Stellungnahme zu unterbreiten, hat die Gruppe eine Analyse der in der
Schweiz[2] anwendbaren Bestimmungen
zum Datenschutz durchgeführt.
In dieser Hinsicht muß unterschieden werden zwischen der
bestehenden Rechtslage auf der eidgenössischen Ebene – die dem Gesetz
über den Datenschutz vom 19. Juni 1992 unterliegt, das später
geändert und vervollständigt wurde durch den Beschluß des
Bundesrats vom 14. Juni 1993 – und der bestehenden Lage auf der Ebene der
einzelnen Kantone.
In Anbetracht der Verteilung der Kompetenzen zwischen der
Eidgenossenschaft und den Kantonen gilt das eidgenössische Gesetz für
die in der Gesamtheit des Schweizer Privatsektors durchgeführte
Verarbeitung von personenbezogenen Daten sowie für die von
eidgenössischen öffentlichen Behörden durchgeführte
Verarbeitung; die kantonalen Bestimmungen betreffen ihrerseits die Verarbeitung
von personenbezogenen Daten im öffentlichen Sektor auf kantonaler oder
kommunaler Ebene. Unter die Zuständigkeit der Kantone fällt zum
Beispiel die Verarbeitung, die in den Bereichen Polizei, Schule,
Gesundheitswesen und insbesondere öffentliche Krankenhäuser
durchgeführt wird. Um ganz genau zu sein, muß hervorgehoben werden,
daß die Kantone ebenfalls dazu veranlaßt werden, bestimmte
Verarbeitungen von personenbezogenen Daten in Ausübung des
eidgenössischen Rechts durchzuführen, zum Beispiel für die
Erhebung der eidgenössischen Steuern.
Bevor eidgenössische und kantonale Rechtsnormen in
Betracht gezogen werden, muß zuerst festgestellt werden, daß die
eidgenössischen und kantonalen Normen mit den Normen übereinstimmen
müßten, die sich ergeben aus:
- einerseits dem Übereinkommen des Europarats für den Schutz natürlicher Personen bei der automatisierten Verarbeitung von personenbezogenen Daten (Übereinkommen Nr. 108). Dieses Übereinkommen wurde von der Schweiz am 2. Oktober 1997 ratifiziert und legt internationale Verpflichtungen sowohl für die Eidgenossenschaft als auch für die Kantone fest, ohne direkt anwendbar zu sein;
- andererseits der eidgenössischen Verfassung (geändert durch Volksabstimmung am vergangenen 18. April), wie durch die Rechtsprechung des Bundesgerichts ausgelegt. Dabei muß unterstrichen werden, daß der neue Verfassungstext jeder natürlichen Person das Recht auf Achtung ihrer Privatsphäre verleiht und insbesondere das Recht auf Schutz vor der mißbräuchlichen Verwendung der Daten, die sie betreffen (Artikel 13 über den Schutz der Privatsphäre).
- Nach Ansicht der Gruppe gewährleistet das eidgenössische
Gesetz über den Datenschutz ein angemessenes Schutzniveau.
In ihrer am 24. Juli 1998 angenommenen Arbeitsunterlage über die Übertragung personenbezogener Daten an Drittländer[3] hat die Gruppe die Forderungen der Richtlinie erläutert und die konkreten Elemente aufgezählt, die bei der Bewertung des adäquaten Schutzniveaus berücksichtigt werden müßten. Bei Betrachtung einer Entsprechungstabelle zwischen den Forderungen der Richtlinie und den Bestimmungen des eidgenössischen Gesetzes[4] wird ersichtlich, daß das eidgenössische Gesetz, das für die automatisierte und manuelle Verarbeitung von Daten gilt, alle in der vorgenannten Arbeitsunterlage aufgezählten Grundsätze vorsieht, sowohl die Grundsätze des Schutzes natürlicher Personen als auch die Mechanismen, die eine effektive Anwendung der Grundprinzipien gewährleisten sollen.
Einige Anmerkungen müssen allerdings zum Grundsatz der Transparenz und des Schutzes empfindlicher Daten gemacht werden.
Es ist anzumerken, daß der Grundsatz der Transparenz ausdrücklich für den besonderen Fall der systematischen Erhebung von Daten durch ein eidgenössisches Organ vorgesehen ist. Aber im allgemeinen ergibt sich dieser Grundsatz aus der Regel des guten Glaubens, die in Artikel 4 Absatz 2 des Gesetzes enthalten ist[5].
Das Gesetz sieht zwar nicht das Verbot der Verarbeitung empfindlicher Daten vor, stellt aber spezifische Bedingungen für ihre Verarbeitung, sowie im übrigen für die Persönlichkeitsprofile, die denselben Schutzregeln unterworfen sind: Artikel 17 verfügt, daß diese Daten nur von eidgenössischen Organen verarbeitet werden können, wenn ein Gesetz dies ausdrücklich vorsieht oder ausnahmsweise wenn eine in einem Gesetz festgelegte Aufgabe es unbedingt erfordert, wenn der Bundesrat es gestattet hat, wenn die Person zugestimmt hat oder die Daten öffentlich zugänglich gemacht hat. Was den Privatsektor betrifft, so unterwirft Artikel 13 Absatz 1 die Verarbeitung aller Daten der Einwilligung der Person, einem ausschlaggebenden öffentlichen oder privaten Interesse oder einer gesetzlichen Genehmigung; Artikel 12 verbietet die Weitergabe empfindlicher Daten an Dritte ohne ausreichende Begründung. Schließlich wird der Schutz empfindlicher Daten durch Artikel 35 des Gesetzes verstärkt, der Strafmaßnahmen gegen jeden vorsieht, der eine Diskretionspflicht verletzt, indem er unerlaubt solche Daten preisgibt. - Die Lage auf der Ebene der
Kantone ist schwieriger zu
erfassen[6].
Folgende Elemente gehen jedoch aus der Studie, die auf Antrag der Dienststellen der Kommission[7] durchgeführt wurde und die sich besonders auf die Gesetzgebung mehrerer Kantone und die von dem eidgenössischen Datenschutzbeauftragten gelieferten Angaben konzentriert, hervor:
- Die von den Kantonen angenommenen Gesetzesvorschriften beruhen im wesentlichen auf dem Übereinkommen 108; diese Feststellung steht selbstverständlich in Übereinstimmung mit den Verpflichtungen der Schweiz, die sich aus ihrer Ratifizierung des Übereinkommens ergeben;
- die Verarbeitung personenbezogener Daten muß den allgemeinen Grundsätzen entsprechen, die sich aus der Rechtsprechung des Bundesgerichts insbesondere betreffend Artikel 4 der eidgenössischen Verfassung (Gleichbehandlung) und betreffend die persönliche Freiheit ergeben, die einen Mindeststandard hinsichtlich des Datenschutzes festgelegt (insbesondere was die Grundsätze der Qualität dieser Daten betrifft - besonders Rechtmäßigkeit, guter Glauben, Zweckbestimmung, Verhältnismäßigkeit oder Genauigkeit der Daten), das Zugriffsrecht, das Recht auf Berichtigung oder Vernichtung der Daten. Diese Rechtsprechung müßte auf der Grundlage des neuen vorgenannten Verfassungstextes wahrscheinlich bestätigt oder gar bekräftigt werden;
- wenn die Verarbeitung personenbezogener Daten durch kantonale Organe, die in Ausführung des eidgenössischen Rechts vorgenommen wird, nicht den kantonalen Bestimmungen über den Datenschutz unterliegt, wird sie durch das eidgenössische Gesetz geregelt. Darüber hinaus müssen sich die Kantone für diese Verarbeitung ein Organ geben, das mit der Einhaltung des Datenschutzes beauftragt ist und mit denselben Kompetenzen ausgestattet ist wie der eidgenössische Datenschutzbeauftragte. Dies ist insbesondere der Fall bei der Verarbeitung von Daten zum Zweck der Sozialversicherung, der Datenverarbeitung in den Bereichen Ausländer- oder Asylrecht, der eidgenössischen Steuern oder der Statistik;
- bestimmte Datenverarbeitungen unterliegen spezifischen Normen der Vertraulichkeit, wie zum Beispiel die Verarbeitung medizinischer Daten in den öffentlichen Krankenhäusern, die der ärztlichen Schweigepflicht unterliegt.
Abschließend empfiehlt die Gruppe der Kommission
und dem durch Artikel 31 der Richtlinie 95/46/EG eingesetzten Ausschuß
festzustellen, daß die Schweiz ein angemessenes Schutzniveau
gemäß Artikel 25 Absatz 6 dieser Richtlinie
gewährleistet.
Brüssel, den 7. Juni 1999
Für die Gruppe
Peter HUSTINX
Vorsitzender
[1] Eingesetzt durch Artikel 29
der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24.
Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung
personenbezogener Daten und zum freien Datenverkehr, ABl. L 281 vom 23. November
1995, S. 31. Abrufbar unter folgender Adresse:
http://www.europa.eu.int/comm/dg15/fr/media/dataprot/index.htm.
[2] Um über bestimmte
Punkte genauere Informationen zu erhalten, hat der Vorsitzende der Gruppe am 15.
März 1999 ein Schreiben an den eidgenössischen Datenschutzbeauftragten
gerichtet. Dieser hat am 24. März 1999 geantwortet. Darüber hinaus
haben zwischen dem Sekretariat der Gruppe und dem eidgenössischen
Datenschutzbeauftragten informelle Kontakte stattgefunden.
[3 ]Verfügbar auf der in
Fußnote 1 genannten Website.
[4 ]Dokument 5007/99,
erhältlich bei den Dienststellen der Europäischen Kommission,
Generaldirektion XV "Binnenmarkt und Finanzdienstleistungen",
Referat E1 "Freier Verkehr von Informationen, Datenschutz", Rue de la Loi
200, B - 1049 Brüssel.
[5] Diese Auslegung wurde von
dem eidgenössischen Datenschutzbeauftragten im Rahmen der informellen
Kontakte mit dem Sekretariat der Gruppe bestätigt.
[6 ]Man stellt fest, daß
von den 26 Kantonen der Eidgenossenschaft:
- 17 über eine Gesetzgebung hinsichtlich des Datenschutzes verfügen (...), wovon drei eine Bestimmung über den Datenschutz in ihre Kantonalverfassung aufgenommen haben;
- 4 Regierungsrichtlinien angenommen haben, wovon zwei ebenfalls eine Bestimmung in ihre Kantonalverfassung aufgenommen haben; einer verfügt über einen Gesetzesentwurf;
- die anderen Kantone haben keine spezifische kantonale Regelung (drei davon entwickeln derzeit einen Gesetzesentwurf).
[7 ]Verfügbar
bei den Dienststellen der Europäischen Kommission; siehe Adresse in
Fußnote 4.
