GRUNDLAGEN
1.5
Allgemeine Rechtsquellen
Wenn jemand Personendaten bearbeitet, kommt Datenschutzrecht zum Zug. Es stellt sich aber die Frage, um welches Datenschutzrecht, oder konkreter: um welches Datenschutzgesetz es sich dabei handelt.
Es gibt einen europäischen Überbau und zwar die Europaratskonvention 108 oder – jetzt in der modernisierten Version – die Europaratskonvention 108+. Nach der Ratifikation gelten die Anforderungen der Europaratskonvention 108+ für Bund und Kantone. Der zweite Überbau besteht aus Rechtserlassen der EU. Nun ist die Schweiz ja nicht Mitglied der Europäischen Union, aber über das Schengen-Assoziierungsabkommen gilt für öffentliche Organe mindestens im Bereich der polizeilichen und justiziellen Zusammenarbeit die Richtlinie 2016/680 der EU.
Zudem gibt es noch die «berühmte» Datenschutzgrundverordnung 2016/679 (kurz: DSGVO). Sie gilt nicht direkt für Behörden und Unternehmen in der Schweiz, aber weil die EU-Kommission darüber entscheiden muss, ob die Schweiz ein angemessenes Datenschutzniveau hat, sind die Bestimmungen der DSGVO als Massstab für diese Angemessenheit nicht unbeachtlich. Ausserdem gilt die DSGVO in ganz wenigen Fällen auch direkt für Schweizer Unternehmen oder Behörden. Dann nämlich, wenn sie eines der folgenden Kriterien erfüllen:
- Sie haben eine Niederlassung in einem EU-Staat.
- Sie bieten Waren oder Dienstleistungen an Personen in der EU an.
- Sie überwachen das Verhalten von Personen in der EU.
Was gilt in der Schweiz?
Und damit kommen wir zur Frage, was denn innerhalb der Schweiz gilt. Der Bund ist zuständig, Recht zu setzen, wenn ihm die Bundesverfassung eine entsprechende Rechtsetzungskompetenz einräumt. Das wurde zwar generell für den Datenschutz beantragt, 1977 im Nationalrat aber abgelehnt. Darum hat der Bund bis heute keine umfassende Rechtsetzungskompetenz im Bereich des Datenschutzes. Er ist nur dort zuständig, wo er eine Rechtsetzungskompetenz aus einer anderen Verfassungsbestimmung ableiten kann.
Das ist erstens im Zivilrecht und Zivilprozessrecht der Fall. Darum darf er die Datenbearbeitung durch Privatpersonen gesetzlich regeln. Zweitens ist er überall dort zum Regeln der Datenbearbeitung zuständig, wo die Verfassung ihm einen Aufgabenbereich zuordnet. Wenn er die Sozialversicherungen (wie z. B. die AHV oder IV) regeln darf, dann gehören dazu auch die Regeln für das Datenbearbeiten durch die Sozialversicherungen. Der Bund darf folglich diese zwei Bereiche, also das Datenbearbeiten durch Bundesorgane und das Datenbearbeiten durch Private (Privatpersonen/private Unternehmen) regeln.
Dies hat der Bund getan, indem er das Bundesgesetz über den Datenschutz erlassen hat.
Für alle anderen Bereiche sind die Kantone zuständig. Die Kantone dürfen bzw. müssen eigene Datenschutzgesetze erlassen für das Datenbearbeiten durch ihre kantonalen und kommunalen öffentlichen Organe. Das klingt im ersten Moment möglicherweise nach einem föderalistischen Wirrwarr. Die Schengen-Assoziierung der Schweiz hat aber dafür gesorgt, dass diese Regelungen im öffentlich-rechtlichen Bereich ziemlich harmonisiert wurden.
Je nach Datenbearbeiter:in – andere Gesetze
Zusammenfassend kann man sagen: Nach der Person, welche die Datenbearbeitung vornimmt, bestimmt sich, welches Datenschutzgesetz anwendbar ist. Bearbeiten Privatpersonen oder Bundesorgane Personendaten, gilt für sie das Bundesdatenschutzgesetz. Bearbeiten kantonale oder kommunale öffentliche Organe Personendaten, gilt für sie das jeweilige Datenschutzgesetz oder Informations- und Datenschutzgesetz ihres Kantons. Mit anderen Worten: Für Sie als Mitarbeiter:in einer öffentlichen Behörde oder eines öffentlichen Organs des Kantons Basel-Stadt, wie etwa die Universität, gilt immer das Informations- und Datenschutzgesetz des Kantons Basel-Stadt (kurz: IDG).
Doch gibt das IDG die Antwort darauf, ob eine bestimmte Datenbearbeiterin oder ein bestimmter Datenbearbeiter Personendaten erheben, weitergeben usw. darf? Dies erfahren Sie im nächsten Kapitel.
Lizenz
Universität Basel