Schweizerisches Bundesverwaltungsrecht

Transkript

1 Prof. Dr. Felix Uhlmann Lehrstuhl für Staats- und Verwaltungsrecht sowie Rechtsetzungslehre Universität Zürich Prof. Dr. Felix Uhlmann 1

2 Datenschutz Leseplan: Skript 35 Hintergrund Steuerstreit CH USA (vgl. Folie 15 u. 16) Prof. Dr. Felix Uhlmann 2

3 Datenschutz Datenschutz Bund Kantone Spezialgesetze Datenschutzgesetz - Privatrechtlicher Datenschutz - Öffentlich-rechtlicher Datenschutz - Gemeinsame Bestimmungen Prof. Dr. Felix Uhlmann 3

4 Zweck und Geltungsbereich DSG Art. 1 DSG Zweck Dieses Gesetz bezweckt den Schutz der Persönlichkeit und der Grundrechte von Personen, über die Daten bearbeitet werden. Art. 2 DSG Geltungsbereich 1 Dieses Gesetz gilt für das Bearbeiten von Daten natürlicher und juristischer Personen durch: a. private Personen; b. Bundesorgane. 2 Es ist nicht anwendbar auf: a. Personendaten, die eine natürliche Person ausschliesslich zum persönlichen Gebrauch bearbeitet und nicht an Aussenstehende bekannt gibt; b. Beratungen in den Eidgenössischen Räten und in den parlamentarischen Kommissionen; c. hängige Zivilprozesse, Strafverfahren, Verfahren der internationalen Rechtshilfe sowie staats- und verwaltungsrechtliche Verfahren mit Ausnahme erstinstanzlicher Verwaltungsverfahren; d. öffentliche Register des Privatrechtsverkehrs; e. Personendaten, die das Internationale Komitee vom Roten Kreuz bearbeitet. Prof. Dr. Felix Uhlmann 4

5 Datenschutz: Begriffe Art. 3 DSG Begriffe Die folgenden Ausdrücke bedeuten: a. Personendaten (Daten): alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen; c. besonders schützenswerte Personendaten: Daten über: 1. die religiösen, weltanschaulichen, politischen oder gewerkschaftlichen Ansichten oder Tätigkeiten, 2. die Gesundheit, die Intimsphäre oder die Rassenzugehörigkeit, 3. Massnahmen der sozialen Hilfe, 4. administrative oder strafrechtliche Verfolgungen und Sanktionen; d. Persönlichkeitsprofil: eine Zusammenstellung von Daten, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt; Prof. Dr. Felix Uhlmann 5

6 Datenschutz: Bearbeitungsgrundsätze Art. 4 ff. DSG Allgemein Richtigkeit Sicherheit Grenzüberschreitung Information Treu und Glauben, verhältnismässig, erkennbarer Zweck etc. Angemessene Massnahmen, Berichtigungsrecht Angemessene technische und organisatorische Massnahmen Sicherheit im Ausland Besonders schützenswerte Daten und Persönlichkeitsprofile Prof. Dr. Felix Uhlmann 6

7 Datenschutz im Bereich Privatrecht DSG konkretisiert ZGB (Art l) Art. 12 DSG Persönlichkeitsverletzungen 1 Wer Personendaten bearbeitet, darf dabei die Persönlichkeit der betroffenen Personen nicht widerrechtlich verletzen. 2 Er darf insbesondere nicht: a. Personendaten entgegen den Grundsätzen der Artikel 4, 5 Absatz 1 und 7 Absatz 1 bearbeiten; b. ohne Rechtfertigungsgrund Daten einer Person gegen deren ausdrücklichen Willen bearbeiten; c. ohne Rechtfertigungsgrund besonders schützenswerte Personendaten oder Persönlichkeitsprofile Dritten bekanntgeben. 3 In der Regel liegt keine Persönlichkeitsverletzung vor, wenn die betroffene Person die Daten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt hat. Prof. Dr. Felix Uhlmann 7

8 Datenschutz im Bereich Privatrecht Art. 13 DSG Rechtfertigungsgründe 1 Eine Verletzung der Persönlichkeit ist widerrechtlich, wenn sie nicht durch Einwilligung des Verletzten, durch ein überwiegendes privates oder öffentliches Interesse oder durch Gesetz gerechtfertigt ist. 2 Ein überwiegendes Interesse der bearbeitenden Person fällt insbesondere in Betracht, wenn diese: a. in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags Personendaten über ihren Vertragspartner bearbeitet; b. mit einer anderen Person in wirtschaftlichem Wettbewerb steht oder treten will und zu diesem Zweck Personendaten bearbeitet, ohne diese Dritten bekannt zu geben; c. zur Prüfung der Kreditwürdigkeit einer anderen Person weder besonders schützenswerte Personendaten noch Persönlichkeitsprofile bearbeitet und Dritten nur Daten bekannt gibt, die sie für den Abschluss oder die Abwicklung eines Vertrages mit der betroffenen Person benötigen; d. beruflich Personendaten ausschliesslich für die Veröffentlichung im redaktionellen Teil eines periodisch erscheinenden Mediums bearbeitet; e. Personendaten zu nicht personenbezogenen Zwecken insbesondere in der Forschung, Planung und Statistik bearbeitet und die Ergebnisse so veröffentlicht, dass die betroffenen Personen nicht bestimmbar sind; f. Daten über eine Person des öffentlichen Lebens sammelt, sofern sich die Daten auf das Wirken dieser Person in der Öffentlichkeit beziehen. Prof. Dr. Felix Uhlmann 8

9 Datenschutz im Bereich öffentliches Recht Art. 17 DSG Rechtsgrundlagen 1 Organe des Bundes dürfen Personendaten bearbeiten, wenn dafür eine gesetzliche Grundlage besteht. 2 Besonders schützenswerte Personendaten sowie Persönlichkeitsprofile dürfen sie nur bearbeiten, wenn ein Gesetz im formellen Sinn es ausdrücklich vorsieht oder wenn ausnahmsweise: a. es für eine in einem Gesetz im formellen Sinn klar umschriebene Aufgabe unentbehrlich ist; b. der Bundesrat es im Einzelfall bewilligt, weil die Rechte der betroffenen Person nicht gefährdet sind; oder c. die betroffene Person im Einzelfall eingewilligt oder ihre Daten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt hat. Vgl. Art. 19 DSG für die Bekanntgabe von Personendaten Prof. Dr. Felix Uhlmann 9

10 Rechte gegenüber Inhabern von Datensammlungen Einsichtsrecht, Art. 11a Abs. 1 Satz 2 DSG Auskunftsrecht, Art. 8 DSG (vgl. auch Art. 9 und 10 DSG) Recht auf Unterlassung, Beseitigung und Feststellung einer widerrechtlichen Datenbearbeitung, Art. 28a ZGB, Art. 25 Abs. 1 DSG Berichtigung bzw. Bestreitungsvermerk, Art. 5 Abs. 2, Art. 15 Abs. 1 und 2, Art. 25 Abs. 2 und 3 DSG Vernichtung, Art. 15 Abs. 1, Art. 25 Abs. 3 DSG Sperrung der Weitergabe, Art. 15 Abs. 1, Art. 20, Art. 25 Abs. 3 DSG Schadenersatz, Art. 28a ZGB, Art. 264 ZPO, Art. 41 ff. OR, Verantwortlichkeitsgesetz des Bundes Prof. Dr. Felix Uhlmann 10

11 Rechtsschutz Rechtsschutz Öffentlich-rechtliche Datenschutzbestimmungen Privatrechtliche Datenschutzbestimmungen Öffentlich-rechtliches Verfahren, Art. 33 DSG Zivilrechtliches Verfahren, Art. 15 DSG Prof. Dr. Felix Uhlmann 11

12 Rechtsschutz im öffentlich-rechtlichen Bereich Entscheid kt. Gericht betr. bundesrechtlicher Datenschutzvorschriften Verfügung einer Bundesbehörde betr. Datenschutzfrage Streitigkeit über Empfehlung des Datenschutzbeauftragten an Private Empfehlung des Datenschutzbeauftragten an Behörden, die nicht befolgt werden Departement oder Bundeskanzlei Bundesverwaltungsgericht Bundesgericht Prof. Dr. Felix Uhlmann 12

13 Google Street View (BGE 138 II 346 ff.) Prof. Dr. Felix Uhlmann 13

14 Google Street View (BGE 138 II 346 ff.) Analyse 1. Handelt es sich bei den Bildern von Google Street View um Personendaten? 2. Liegt eine Datenbearbeitung vor? 3. Verletzt die Bearbeitung durch Google das Recht am eigenen Bild? 4. Ist die Datenbearbeitung erkennbar? 5. Ist die Datenbearbeitung verhältnismässig? 6. Inwieweit spielen die Interessen der Allgemeinheit eine Rolle? 7. Welche Massnahmen muss Google unternehmen, um die Persönlichkeitsverletzungen zu minimieren? Prof. Dr. Felix Uhlmann 14

15 Steuerstreit CH - USA Prof. Dr. Felix Uhlmann 15

16 Steuerstreit CH - USA Auszug aus Musterverfügung vom 13. Juli 2013 "1.4 Personendaten von Mitarbeitenden und Dritten: a. Es dürfen nur Personendaten von (ehemaligen und gegenwärtigen) Mitarbeitenden herausgegeben werden, die innerhalb der Bank Geschäftsbeziehungen nach Ziffer 1.1 organisiert, betreut oder überwacht haben, sowie von Dritten, die für solche Geschäftsbeziehungen in ähnlicher Weise tätig waren. b. Personendaten von (ehemaligen und gegenwärtigen) Mitarbeitenden und Dritten dürfen nur herausgegeben werden, wenn die betroffenen Personen mindestens 20 Tage vor der geplanten Herausgabe an die US-Behörden über Umfang und Art der Daten sowie über den Zeitraum, aus dem die Daten stammen, informiert werden. c. Sollen Daten entgegen dem Willen einer betroffenen Person herausgeben werden, weist die Gesuchstellerin die Person auf ihr Klagerecht nach Artikel 15 Datenschutzgesetz hin. Sie übermittelt Personendaten, welche diese Person betreffen, frühestens zehn Tage nach erfolgter Mitteilung, wenn keine Klage betreffend Verbot der Datenbekanntgabe anhängig gemacht wird, oder nachdem die Klage rechtskräftig abgewiesen wurde." Wie werden die Gerichte entscheiden? Vergleichen Sie den Fall insbesondere mit BGE 138 II 346 ff. (Google Street View) Prof. Dr. Felix Uhlmann 16

17 Datenschutz: Bekanntgabe ins Ausland Art. 6 DSG Grenzüberschreitende Bekanntgabe 1 Personendaten dürfen nicht ins Ausland bekannt gegeben werden, wenn dadurch die Persönlichkeit der betroffenen Personen schwerwiegend gefährdet würde, namentlich weil eine Gesetzgebung fehlt, die einen angemessenen Schutz gewährleistet. 2 Fehlt eine Gesetzgebung, die einen angemessenen Schutz gewährleistet, so können Personendaten ins Ausland nur bekannt gegeben werden, wenn: a. hinreichende Garantien, insbesondere durch Vertrag, einen angemessenen Schutz im Ausland gewährleisten; b. die betroffene Person im Einzelfall eingewilligt hat; c. die Bearbeitung in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags steht und es sich um Personendaten des Vertragspartners handelt; d. die Bekanntgabe im Einzelfall entweder für die Wahrung eines überwiegenden öffentlichen Interesses oder für die Feststellung, Ausübung oder Durchsetzung von Rechtsansprüchen vor Gericht unerlässlich ist; Prof. Dr. Felix Uhlmann 17

18 Datenschutz: Bekanntgabe ins Ausland Art. 6 DSG Grenzüberschreitende Bekanntgabe e. die Bekanntgabe im Einzelfall erforderlich ist, um das Leben oder die körperliche Integrität der betroffenen Person zu schützen; f. die betroffene Person die Daten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt hat; g. die Bekanntgabe innerhalb derselben juristischen Person oder Gesellschaft oder zwischen juristischen Personen oder Gesellschaften, die einer einheitlichen Leitung unterstehen, stattfindet, sofern die Beteiligten Datenschutzregeln unterstehen, welche einen angemessenen Schutz gewährleisten. 3 Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (Beauftragte, Art. 26) muss über die Garantien nach Absatz 2 Buchstabe a und die Datenschutzregeln nach Absatz 2 Buchstabe g informiert werden. Der Bundesrat regelt die Einzelheiten dieser Informationspflicht. Prof. Dr. Felix Uhlmann 18

19 Zulässigkeit des Datentransfers CH-USA Datentransfer CH- Unternehmen Keine besonderen Vorkehren US- Unternehmen CH- Unternehmen Vertrag Prüfung EDÖB US- Unternehmen CH- Unternehmen Zertifikation des US- Unternehmens US- Unternehmen Prof. Dr. Felix Uhlmann 19