Änderung des RVOG (Schutz von Daten juristischer Personen durch Bundesorgane)
Eidgenössisches Justiz- und Polizeidepartement EJPD
Bern, 21. Mai 2025
Änderung des Regierungs- und Verwaltungs organisationsgesetzes (Schutz von Daten ju ristischer Personen durch Bundesorgane)
Erläuternder Bericht zur Eröffnung des Vernehmlassungsverfahrens
BJ-D-72B33401/74
Übersicht
Mit der vorliegenden Teilrevision des Regierungs- und Verwaltungs- organisationsgesetzes (RVOG) wird sichergestellt, dass die Bundesorgane auch nach dem 1. September 2028 über genügende Rechtsgrundlagen für den Umgang mit Daten juristischer Personen verfügen.
Ausgangslage
Mit der Totalrevision des Datenschutzgesetzes vom 25. September 2020 (DSG) wurde die Bearbeitung von Daten juristischer Personen vom sachlichen Geltungsbereich des DSG ausgenommen. Die Begriffsbestimmung von Personendaten (Art. 5 Bst. a DSG) wurde auf Daten natürlicher Personen eingeschränkt. Dies hat zur Folge, dass die bun desrechtlichen Grundlagen, welche den Umgang mit Personendaten durch Bundesor gane bereichsspezifisch regeln, nicht mehr für Daten juristischer Personen gelten. Auf grund der verfassungsmässigen Vorgaben bedarf insbesondere die Bekanntgabe von Daten juristischer Personen weiterhin einer Rechtsgrundlage im sektoriellen Recht. Da mit nach Inkrafttreten des DSG keine Rechtslücken entstehen, wurde für Bundesor gane in Artikel 71 DSG eine Übergangsbestimmung geschaffen. Diese sieht vor, dass die bisherigen spezialrechtlichen Datenschutzbestimmungen während fünf Jahren nach Inkrafttreten des DSG, d.h. bis am 31. August 2028, für die Daten juristischer Personen weitergelten.
Mit der Vorlage wird die Übergangsbestimmung von Artikel 71 DSG in das RVOG über führt. Zu diesem Zweck wird im VE-RVOG vorgesehen, dass für Bundesorgane die spezialrechtlichen Bestimmungen zum Schutz von Personendaten auch für Daten ju ristischer Personen gelten, wenn der Spezialerlass selber keine besonderen Bestim mungen zum Schutz von Daten juristischer Personen enthält. Das bedeutet, dass der Begriff der Personendaten in den spezialrechtlichen Bestimmungen zur Datenbearbei tung und -bekanntgabe durch Bundesorgane wie nach früherem Recht auch Daten ju ristischer Personen umfasst. Damit wird eine dauerhafte Auffanglösung geschaffen, die in allen Sachbereichen, in welchen Bundesorgane Daten juristischer Personen bear beiten und bekanntgeben, gleichermassen Anwendung finden kann. Um Rechtsklarheit und -sicherheit zu schaffen, werden zudem die grundrechtlich geschützten Ansprüche, die den juristischen Personen nach Artikel 13 Absatz 2 der Bundesverfassung gegen über datenbearbeitenden Bundesorganen zustehen (namentlich das Auskunfts-, Be richtigungs- und Löschungsrecht), neu ausdrücklich im VE-RVOG geregelt. Überdies werden die Anforderungen, die an die Ausarbeitung von rechtlichen Grundlagen zur Bearbeitung und Bekanntgabe von Daten juristischer Personen gestellt werden, an die entsprechenden Vorgaben des DSG angeglichen. Schliesslich wird eine neue Bestim mung zur Auftragsbearbeitung von Daten juristischer Personen eingeführt.
1.1.2 Auswirkungen auf die bereichsspezifischen Datenschutzbestimmungen ..7
1.1.5 Geltende Regelung zum Umgang mit Daten juristischer Personen
durch Bundesorgane im Regierungs- und
3.2 Erläuterungen zu den Änderungen anderer Bundesgesetze (Anhang) ...31
Erläuternder Bericht
1 Ausgangslage
1.1 Hintergrund
1.1.1 Keine Anwendbarkeit des Datenschutzgesetzes auf Daten juristischer
Personen
Mit der Totalrevision des Datenschutzgesetzes vom 25. September 20201 (DSG) wurde die Bearbeitung von Daten juristischer Personen vom sachlichen Geltungsbereich des DSG ausgenommen. Gemäss Artikel 2 Absatz 1 DSG gilt das Gesetz nur noch für die Daten natürlicher Personen, d.h. für die Daten von Menschen (zum Begriff der juristi schen Personen vgl. Ziff. 1.1.5.1).
Ausschlaggebend für diese Änderung war insbesondere der Blick ins Ausland: In den Datenschutzbestimmungen der Europäischen Union und des Europarates sowie der meisten Länder werden nur die Daten von natürlichen Personen geschützt. Die Anglei chung des schweizerischen Datenschutzrechts hat deshalb zu einer Erleichterung der internationalen Datentransfers geführt, da die Bekanntgabe von Daten juristischer Per sonen aus der Schweiz ins Ausland nicht mehr davon abhängt, ob im Empfängerland ein angemessener Datenschutz gewährleistet wird. Hinzu kam, dass der Datenschutz für juristische Personen in der Praxis in vielen Bereichen eine untergeordnete Rolle gespielt hatte und – insbesondere im privatrechtlichen Bereich – verschiedene andere Gesetze einen Schutz der Persönlichkeit von juristischen Personen und der Vertrau lichkeit ihrer Daten gewährleisten (so unter anderem die Art. 28 ff. des Zivilgesetz buchs2, das Bundesgesetz vom 19. Dezember 19863 gegen den unlauteren Wettbe werb, das Urheberrechtsgesetz vom 9. Oktober 19924 sowie die Bestimmungen zum Schutz von Berufs-, Geschäfts- und Fabrikationsgeheimnissen).5
Botschaft des Bundesrates vom 15. September 2017 zum Bundesgesetz über die Totalrevision des Bundesge setzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz («Botschaft DSG 2017»), BBl 2017 6941, hier: 7011. Siehe insbesondere auch CHRISTIAN DRECHSLER, in: Gabor P. Blechta / David Va sella (Hrsg.), Basler Kommentar zum Datenschutzgesetz, 4. Aufl., 2024 («BSK DSG»), Art. 2 N 5; DERSELBE, Plädoyer für die Abschaffung des Datenschutzes für juristischer Personen, in AJP 1/2016, S. 80 ff.; JULIAN POWELL / MATTHIAS R. SCHÖNBÄCHLER, in: Adrian Bieri / Julian Powell (Hrsg.), Orell Füssli Kommentar zum Da tenschutzgesetz, 2023, («OFK DSG»), Art. 2 N 4; SYLVAIN MÉTILLE / LIVIO DI TRIA, in Philippe Meier / Sylvain Métille (Hrsg.), Commentaire romand. Loi sur la protection des données, 2023 («CR LPD»), Art. 2 N 27; SANDRA HUSI-STÄMPFLI, in: Thomas Steiner / Anne-Sophie Morand / Daniel Hürlimann (Hrsg.), Onlinekommen tar zum Datenschutzgesetz («OK DSG»), Art. 2 N 12 (Version vom 15.08.2023); kritisch JULIEN FRANCEY, in:
1.1.2 Auswirkungen auf die bereichsspezifischen Datenschutzbestimmungen
Mit der Abschaffung der Anwendbarkeit des DSG auf Daten juristischer Personen wurde auch der Begriff der Personendaten geändert: Personendaten sind in Artikel 5 Buchstabe a DSG definiert als «Angaben, die sich auf eine bestimmte oder bestimm bare natürliche Person beziehen». Diese Beschränkung auf Angaben zu natürlichen Personen führte dazu, dass die bundesrechtlichen Grundlagen, welche die Bearbei tung von Personendaten durch Bundesorgane bereichsspezifisch regeln, nicht mehr gelten, wenn Daten juristischer Personen bearbeitet bzw. bekanntgegeben werden. Gemäss dem in Artikel 5 Absatz 1 der Bundesverfassung6 (BV) statuierten Legalitäts prinzips braucht staatliches Handeln aber grundsätzlich eine gesetzliche Grundlage. Dasselbe gilt für die Einschränkung von Grundrechten nach Artikel 36 Absatz 1 BV: Juristische Personen können sich auf das Recht auf informationelle Selbstbestimmung nach Artikel 13 Absatz 2 BV berufen, weshalb die staatliche Bearbeitung und Bekannt gabe ihrer Daten auch vor diesem Hintergrund eine Rechtsgrundlage erfordert (vgl. Ziff. 1.1.3). Die Änderung des Begriffs der Personendaten löste im Bereich des öffent lichen Datenschutzrechts deshalb Rechtsetzungsbedarf aus.
1.1.3 Tragweite des grundrechtlichen Schutzes von Daten juristischer Perso
nen
Gemäss der bundesgerichtlichen Rechtsprechung und der herrschenden Lehre ge währleistet Artikel 13 Absatz 2 BV – als Unterfall des Schutzes der Privatsphäre – das Grundrecht auf informationelle Selbstbestimmung. Das heisst: Jede Person muss grundsätzlich ohne Rücksicht darauf, wie sensibel die fraglichen Informationen tatsäch lich sind, «gegenüber fremder, staatlicher oder privater Bearbeitung von sie betreffen den Informationen bestimmen können […], ob und zu welchem Zweck diese Informati onen über sie bearbeitet werden».7 Artikel 13 Absatz 2 BV bietet damit nicht nur Schutz vor Datenmissbrauch, sondern erfasst (über seinen Wortlaut hinaus) grundsätzlich jede
Yaniv Benhamou / Bertil Cottier (Hrsg.), Petit commentaire Loi sur la protection des données («PC LPD»), 2023, Art. 2 N 14 ff. 6 SR 101
7 Statt vieler: BGE 146 I 11 E. 3.1.1 sowie BGE 144 I 126 E. 4.1, beide m.w.H.
staatliche Bearbeitung (insbesondere die Beschaffung, Verwendung, Aufbewahrung oder Bekanntgabe) von personenbezogenen Daten.8
Wie erwähnt (vgl. Ziff. 1.1.2) können sich auch juristische Personen auf das Recht auf informationelle Selbstbestimmung berufen.9 Deshalb muss sich jede Bearbeitung oder Bekanntgabe von Daten juristischer Personen auf eine gesetzliche Grundlage stützen können, die der Schwere des jeweiligen Eingriffs Rechnung trägt (Art. 36 Abs. 1 BV).10
Aus dem verfassungsmässigen Datenschutz in Artikel 13 Absatz 2 BV werden ausser dem verschiedene Ansprüche abgeleitet, denen grundrechtlicher Charakter zugespro chen wird. Dazu gehört insbesondere das Recht einer Person auf Auskunft über sie betreffende Daten sowie das Recht auf Berichtigung oder Löschung ihrer Daten. Diese Ansprüche stehen auch juristischen Personen zu. Insbesondere das Auskunftsrecht ist ein zentraler Bestandteil des Rechts auf informationelle Selbstbestimmung, welches die Verwirklichung weiterer datenschutzrechtlicher Ansprüche erst erlaubt.11
Die vorangehenden Ausführungen zeigen, dass juristische Personen trotz des geän derten Geltungsbereichs des DSG weiterhin einen Anspruch auf Schutz ihrer Daten haben. Die aus Artikel 13 Absatz 2 BV abgeleiteten Grundrechtsansprüche bleiben be stehen.
1.1.4 Übergangslösung im DSG
Im Rahmen der Totalrevision des DSG wurde der vorangehend geschilderte Rechtset zungsbedarf zwar erkannt, konnte aus zeitlichen und praktischen Gründen aber nur teil
8 Vgl. insbesondere RAINER J. SCHWEIZER / LEA STRIEGEL, in: Bernhard Ehrenzeller / Patricia Egli / Peter Hettich et al. (Hrsg.), St. Galler Kommentar zur Bundesverfassung («SGK BV»), 4. Aufl., 2023, Art. 13 N 79 und 85; GIOVANNI BIAGGINI, Orell Füssli Kommentar zur Bundesverfassung, 2. Aufl., 2017 («OFK BV»), Art. 13 N 11; OLI VER DIGGELMANN, in: Bernhard Waldmann / Eva Maria Belser / Astrid Epiney (Hrsg.), Basler Kommentar zur Bundesverfassung, 2015 («BSK BV»), Art. 13 N 33; JULIEN FRANCEY, PC LPD, Art. 2 N 18 f., alle m.w.H. Vgl. RAINER J. SCHWEIZER / LEA STRIEGEL, SGK BV, Art. 13 N 83 f.; GIOVANNI BIAGGINI, OFK BV, Art. 13 N 3 und 12; OLIVER DIGGELMANN, BSK BV, Art. 13 N 8, 33; JULIEN FRANCEY, PC LPD, Art. 2 N 18 f. mit Hinweis auf BGE 141 I 201 E. 4.1. Siehe dazu auch die Botschaft DSG 2017, BBl 2017 6941, hier: 6972 mit Verweis auf BGE 137 II 371 E. 6. 10 GIOVANNI BIAGGINI, OFK BV, Art. 13 N 15. Ebenso: JULIEN FRANCEY, PC LPD, Art. 2 N 18 ff.
11 RAINER J. SCHWEIZER / LEA STRIEGEL, SGK BV, Art. 13 N 100 f. m.w.H.; GIOVANNI BIAGGINI, OFK BV, Art. 13 N 13.
Siehe dazu auch SYLVAIN MÉTILLE / LIVIO DI TRIA, CR LPD, Art. 2 N 31.
weise berücksichtigt werden: In den Artikeln 57r ff. des Regierungs- und Verwaltungs organisationsgesetzes vom 21. März 199712 (RVOG) wurde eine Reihe von Bestimmun gen eingeführt, die den Umgang mit Daten juristischer Personen durch Bundesorgane regeln (siehe sogleich Ziff. 1.1.5). Nebstdem wurde in der damaligen Botschaft des Bun desrates angekündigt, dass sämtliche bereichsspezifischen Datenschutzbestimmungen nach dem Inkrafttreten des DSG überprüft und möglichst einheitlich an die neuen Vor gaben der Artikel 57r ff. RVOG angepasst werden.13
Damit in der Zwischenzeit keine Rechtslücken entstehen, wurde in Artikel 71 DSG für die Bundesorgane eine Übergangsbestimmung eingeführt. Diese Bestimmung sieht vor, dass die bisherigen spezialrechtlichen Datenschutzvorschriften ‒ die sowohl in Geset zen im formellen als auch im materiellen Sinn enthalten sein können ‒ während fünf Jahren nach Inkrafttreten des DSG, d.h. bis am 31. August 2028, für die Daten juristi scher Personen weiter gelten. Insbesondere können sich die Bundesorgane während dieser Zeit für die Bekanntgabe von Daten juristischer Personen auf die bisherigen Rechtsgrundlagen zur Bekanntgabe von Personendaten stützen.
1.1.5 Geltende Regelung zum Umgang mit Daten juristischer Personen durch
Bundesorgane im Regierungs- und Verwaltungsorganisationsgesetz
1.1.5.1 Konzept und Begriffe
Wie vorangehend erläutert (vgl. Ziff. 1.1.1 und 1.1.3), benötigen Bundesorgane nicht nur für die Bearbeitung bzw. Bekanntgabe von Personendaten, sondern auch von Da ten juristischer Personen ausreichende Rechtsgrundlagen. Da die Vorgaben des DSG (namentlich die besonderen Bestimmungen zur Datenbearbeitung durch Bundesor gane in den Art. 33 ff. DSG) für die Daten von juristischen Personen nicht mehr gelten, wurde in den Artikeln 57r – 57t RVOG ein allgemeiner Rechtsrahmen geschaffen. Wie beim DSG handelt es sich auch bei diesen Bestimmungen des RVOG um eine Quer schnittsregelung, die – unter Vorbehalt von spezialgesetzlichen Abweichungen – be reichsübergreifend in allen Konstellationen, in denen Daten juristischer Personen durch Bundesorgane bearbeitet werden, zu beachten sind.
Für den Begriff der «Bundesorgane», auf welche die Artikel 57r ff. RVOG Anwendung finden, ist auf die Legaldefinition in Artikel 5 Buchstabe i DSG abzustellen (siehe auch Art. 57j RVOG). Als Bundesorgane gelten demnach alle Behörden oder Dienststellen des Bundes (einschliesslich der dezentralisierten Verwaltungseinheiten) sowie Perso nen, die mit öffentlichen Aufgaben des Bundes betraut sind.14 Auch der Begriff des Auftragsbearbeiters ergibt sich aus dem DSG (siehe Art. 5 Bst. k DSG). Auslegungs bedürftig sind ferner die Begriffe der «Daten (juristischer Personen)» und der «juristi schen Personen»:
12 SR 172.010 Vgl. Botschaft DSG 2017, BBl 2017 6941, hier: 7108.
14 Vgl. Botschaft DSG 2017, BBl 2017 6941, hier: 7119.
• Daten (juristischer Personen): Analog zum Begriff der Personendaten (Art. 5 Bst. a DSG) gelten als Daten juristischer Personen alle Angaben, die sich auf eine be stimmte oder bestimmbare juristische Person beziehen. Dazu können beispiels weise die Firma, Kontakt- und Adressangaben, Zahlungsangaben, Angaben zur Or ganisation, Rechtsform und Geschäftstätigkeit, Angaben zur finanziellen Situation und zu Geschäftsergebnissen, Angaben zu Subventionsbeiträgen, Angaben zu Un tersuchungsmassnahmen oder Sanktionen sowie Jahresberichte gehören. Ist die ju ristische Person nicht mindestens bestimmbar (zum Beispiel, weil ihre Daten anony misiert wurden), so sind die Vorschriften in den Artikeln 57r ff. RVOG nicht anwend bar.
• Juristische Personen: sind primär alle körperschaftlich organisierten Personenver bindungen sowie die einem besonderen Zweck gewidmeten, selbstständigen An stalten mit Rechtspersönlichkeit. Dazu gehören der Verein (Art. 60 ff. des Zivilge setzbuches15 [ZGB]), die Stiftung (Art. 80 ff. ZGB), die Aktiengesellschaft (Art. 620 ff. des Obligationenrechts16 [OR]), die Kommanditaktiengesellschaft (Art. 764 ff. OR), die Gesellschaft mit beschränkter Haftung (Art. 772 ff. OR), die Genossenschaft (Art. 828 ff. OR) sowie die privatrechtlichen Körperschaften des kantonalen Rechts und die öffentlich-rechtlichen Anstalten und Körperschaften der Kantone und des Bundes. In der Lehre zum alten Datenschutzgesetz wurde der Begriff der juristi schen Personen zudem in einem erweiterten Sinn verstanden. Über den Wortlaut des Gesetzes hinaus wurden auch Personengesellschaften, die zwar keine eigene Persönlichkeit im rechtlichen Sinne haben, aber partei- und prozessfähig sind (wie Kollektivgesellschaften [Art. 552 ff. OR], Kommanditgesellschaften [Art. 594 ff. OR] und Stockwerkeigentümergesellschaften [Art. 712l ZGB]), dazu gezählt. Dieses weite Verständnis des Begriffs der juristischen Personen liegt auch den Arti keln 57r ff. RVOG zugrunde. Nicht erfasst sind dagegen Personenverbindungen, die nach schweizerischem Recht keinerlei Elemente einer Rechtspersönlichkeit aufwei sen, wie z.B. einfache Gesellschaften oder Erbengemeinschaften.17
1.1.5.2 Rechtsgrundlage für die Bearbeitung von Daten juristischer Personen
(Art. 57r RVOG)
Der geltende Artikel 57r Absatz 1 RVOG schafft für die Bearbeitung18 von Daten juris tischer Personen durch Bundesorgane eine allgemeine, direkt anwendbare gesetzliche
15 SR 210 16 SR 220 Zum Ganzen: DAVID ROSENTHAL / YVONNE JÖHRI, in: Handkommentar zum Datenschutzgesetz, 2008 («HK DSG»), Art. 2 N 6 ff.; BEAT RUDIN, in: Bruno Baeriswyl / Kurt Pärli / Dominika Blonski (Hrsg.), Stämpfli Hand kommentar zum Datenschutzgesetz, 2. Aufl., 2023 («SHK DSG»), Art. 2 N 12; CHRISTIAN DRECHSLER, BSK DSG, Art. 2 N 5; JULIEN FRANCEY, PC LPD, Art. 2 N 12 f. Bereits in der Botschaft des Bundesrates vom 23. März 1988 zum Bundesgesetz über den Datenschutz («Botschaft DSG 1988») wurde der Begriff der juristischen Per sonen im oben dargelegten erweiterten Sinn verstanden (BBl 1988 II 413, hier: 438). 18 Analog zu Artikel 5 Buchstabe d DSG bedeutet Bearbeitung jeder Umgang mit Daten juristischer Personen, un
abhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Speichern, Aufbewah ren, Verwenden, Verändern, Archivieren, Löschen oder Vernichten von Daten. Für die Bekanntgabe von Daten juristischer Personen gilt dagegen Artikel 57s RVOG (siehe Ziff. 1.1.5.3). 10/49
Grundlage. Demnach dürfen Bundesorgane Daten juristischer Personen, einschliess lich besonders schützenswerter Daten19, bearbeiten: (a) soweit dies für die Erfüllung ihrer Aufgaben erforderlich ist und (b) die Aufgabe in einem Gesetz im formellen Sinn umschrieben ist. Eine Verordnungsbestimmung oder eine lediglich implizit abzule sende Aufgabe genügen nicht. Die Aufgabe muss klar erkennbar und hinreichend be stimmt sein.20
Sind die Vorgaben von Artikel 57r Absatz 1 RVOG erfüllt, so ist keine spezialgesetzli che Ermächtigung mehr erforderlich, weder auf Gesetzes- noch auf Verordnungsstufe. Dies gilt sowohl für die Bearbeitung von «gewöhnlichen» Daten juristischer Personen als auch von besonders schützenswerten Daten. Artikel 57r RVOG umfasst grundsätz lich alle möglichen Bearbeitungsarten. Etwas anders gilt jedoch, wenn der Zweck oder die Art und Weise der Datenbearbeitung zu einem derart schwerwiegenden Eingriff in die Grundrechte der betroffenen juristischen Person führen, dass Artikel 57r RVOG die Anforderungen des Legalitätsprinzips gemäss Artikel 5 Absatz 1 und Artikel 36 Ab satz 1 BV an die Normdichte nicht mehr erfüllt. In einem solchen Fall ist eine ausdrück liche Regelung im jeweiligen Sacherlass nötig. Dies kann beispielsweise der Fall sein, wenn die Form der Datenbeschaffung (insbesondere die geheime Beschaffung) oder die Anwendung neuer Technologien eine Eingriffsintensität erreicht, welche eine er höhte Normbestimmtheit erfordert.
1.1.5.3 Anforderungen an die Rechtsgrundlagen für die Bekanntgabe von Daten
juristischer Personen (Art. 57s RVOG)
Für die Bekanntgabe21 von Daten juristischer Personen hält Artikel 57s Absatz 1 RVOG fest, dass diese in einer spezialgesetzlichen Grundlage vorgesehen werden muss. An ders als Artikel 57r RVOG betreffend die Bearbeitung von Daten juristischer Personen stellt Artikel 57s RVOG damit keine Rechtsgrundlage für spezifische Datenbekanntga ben durch Bundesorgane dar. Stattdessen gilt hier das Prinzip der Spezialermächti gung. Analog zu Artikel 36 DSG (Bekanntgabe von Personendaten) regelt Artikel 57s RVOG die Frage, gestützt auf welche gesetzlichen Grundlagen ein Bundesorgan Daten juristischer Personen bekanntgeben darf, und legt die Voraussetzungen fest, unter wel chen dies ausnahmsweise ohne gesetzliche Grundlage erfolgen kann.22
Als besonders schützenswerte Daten juristischer Personen gelten gemäss Artikel 57r Absatz 2 RVOG Daten über verwaltungs- und strafrechtliche Verfolgungen und Sanktionen (Bst. a) sowie Daten über Berufs-, Ge schäfts- und Fabrikationsgeheimnisse (Bst. b).
20 Zum Ganzen vgl. auch Botschaft DSG 2017, BBl 2017 6941, hier: 7118 f.
Analog zu Artikel 5 Buchstabe e DSG bedeutet «Bekanntgabe» das Übermitteln oder Zugänglichmachen von Daten juristischer Personen.
22 Zum Ganzen: Botschaft DSG 2017, BBl 2017 6941, hier: 7119 f.
Grundsätzlich dürfen Bundesorgane Daten juristischer Personen nur bekanntgeben, wenn eine gesetzliche Grundlage dies vorsieht (Art. 57s Abs. 1 RVOG). Die Rechts grundlage kann in einem völkerrechtlichen Vertrag, einem Gesetz im formellen Sinn oder in einer Verordnung enthalten sein. Während für die Bekanntgabe von «gewöhn lichen» Daten juristischer Personen in der Regel eine Verordnungsbestimmung genügt, ist bei besonders schützenswerten Daten eine Grundlage in einem Gesetz im formellen Sinn erforderlich (Art. 57s Abs. 2 RVOG).
Artikel 57s Absatz 3 RVOG zählt abschliessend auf, in welchen Fällen eine Bekannt gabe von «gewöhnlichen» oder von besonders schützenswerten Daten juristischer Personen im Einzelfall ohne Rechtsgrundlage zulässig ist. Dabei handelt es sich um dieselben Ausnahmen wie in Artikel 36 Absatz 2 Buchstaben a, b und e DSG betref fend die Bekanntgabe von Personendaten.
Artikel 57s Absätze 4 und 5 RVOG enthalten schliesslich analog zu Artikel 36 Ab sätze 3 und 5 DSG eine Sonderregelung zur Bekanntgabe von Daten juristischer Per sonen im Rahmen der behördlichen Information der Öffentlichkeit.
1.1.5.4 Rechte der juristischen Personen (Art. 57t RVOG)
Für die Rechte, welche juristische Personen gegenüber Bundesorganen im Zusam menhang mit der Bearbeitung bzw. Bekanntgabe ihrer Daten geltend machen können, verweist Artikel 57t RVOG auf das anwendbare Verfahrensrecht. So können juristische Personen in einem erstinstanzlichen Verwaltungsverfahren nach Artikel 26 ff. des Ver waltungsverfahrensgesetzes vom 20. Dezember 196823 (VwVG) die Akten einsehen, ihren Anspruch auf rechtliches Gehör nach Artikel 29 ff. VwVG geltend machen und gegebenenfalls gegen die Verfügung des zuständigen Bundesorgans Beschwerde er heben. Die juristischen Personen können auch Artikel 25a VwVG anrufen, wonach jede Person, die ein schutzwürdiges Interesse hat, vom Bundesorgan verlangen kann, dass es eine beschwerdefähige Verfügung erlässt. Auf diese Weise können juristische Per sonen indirekt über das Verfahrensrecht ihre Daten berichtigen oder löschen lassen.24
1.2 Handlungsbedarf und Ziele
Mit dem vorliegenden Rechtsetzungsprojekt soll in erster Linie sichergestellt werden, dass keine Rechtslücken entstehen, wenn die Übergangsfrist von Artikel 71 DSG ab läuft (vgl. Ziff. 1.1.4). Da die Daten juristischer Personen vom Geltungsbereich des DSG bzw. vom Begriff der Personendaten ausgenommen wurden, können sich die Bundesorgane nach Ablauf der Übergangsfrist nicht mehr auf die rechtlichen Grundla gen zur Bearbeitung und Bekanntgabe von Personendaten in den Spezialerlassen be rufen.
23 SR 172.021 Zum Ganzen: Botschaft DSG 2017, BBl 2017 6941, hier: 7120.
Zweitens sollen mit der Vorlage die grundrechtlich geschützten Ansprüche, die den juristischen Personen nach Artikel 13 Absatz 2 BV gegenüber datenbearbeitenden Bundesorganen zustehen (namentlich das Auskunfts-, Berichtigungs- und Löschungs recht) ausdrücklich geregelt und auf Gesetzesstufe konkretisiert werden. Dies schafft Rechtsklarheit und stärkt die Stellung der juristischen Personen. Der bisherige Verweis in Artikel 57t RVOG auf das anwendbare Verfahrensrecht ist aus verfassungsrechtli cher Sicht problematisch. Er birgt insbesondere den Nachteil, dass die Datenschutz rechte nur im Rahmen von laufenden Verfahren geltend gemacht werden können. Aus serdem werden damit die Grundrechtsansprüche der juristischen Personen im RVOG nicht hinreichend präzisiert. Im Übrigen hat die Bestimmung zu Umsetzungsschwierig keiten geführt. Ein zentraler Bestandteil des Rechts auf informationelle Selbstbestim mung ist namentlich das Auskunftsrecht. Juristische Personen sollen auch ausserhalb von Verwaltungsverfahren prüfen können, ob Bundesorgane ihre Daten rechtmässig bearbeiten. Zu denken ist beispielsweise an die Datenbeschaffung durch den Nach richtendienst des Bundes. Schliesslich bildet das Auskunftsrecht häufig die Grundlage für die Wahrnehmung weiterer Rechtsansprüche betroffener Personen.25 Stellen juris tische Personen fest, dass ihre Daten durch Bundesorgane widerrechtlich bearbeitet werden, sollen sie dagegen (gerichtlich) vorgehen und etwa die Berichtigung oder Lö schung ihrer Daten verlangen können.
Drittens will die Vorlage die Anforderungen, welche das RVOG an allfällige bereichs spezifische Rechtsgrundlagen für die Datenbearbeitung und -bekanntgabe durch Bun desorgane stellt, soweit als möglich den entsprechenden Vorschriften des DSG anglei chen. Dies betrifft namentlich die bisherigen Artikel 57r und 57s RVOG. Die beiden Bestimmungen sollen angepasst werden, um die Kohärenz mit den besonderen Best immungen des DSG zur Bearbeitung von Personendaten durch Bundesorgane (Art. 34 ff. DSG) zu verbessern. Es ist insbesondere zu verhindern, dass für die Bearbeitung oder Bekanntgabe von Daten juristischer Personen strengere Anforderungen gelten als an die Bearbeitung oder Bekanntgabe von Personendaten gestellt werden.
Abgesehen von den vorangehend geschilderten Anpassungen sollen vorliegend aber keine allgemeinen Bestimmungen geschaffen werden, die den Schutz von Daten juris tischer Personen dem Schutz von Personendaten angleichen. So ist es nicht Ziel des Rechtsetzungsprojekts, einen Schutz für juristische Personen zu schaffen, der mit demjenigen für Daten natürlicher Personen gemäss totalrevidiertem DSG identisch ist. Es gilt daran zu erinnern, dass die meisten Expertinnen und Experten, die im Rahmen der Regulierungsfolgenabschätzung zur Totalrevision des DSG befragt worden sind, sowie die Mehrheit der damaligen Vernehmlassungsteilnehmenden ein tieferes Schutzniveau für die Daten juristischer Personen befürwortet haben.26 Auch das Par lament hat sich zweimal für die Abschaffung der Anwendbarkeit des DSG auf Daten juristischer Personen ausgesprochen: Im September 2016 bzw. im Februar 2017 hat
MARTIN STEIGER, OK DSG, Art. 25 N 3 (Version vom 28.08.2023).
26 Vgl. dazu die Botschaft DSG 2017, BBl 2017 6941, hier: 7011.
es die Motion Béglé 16.337927 abgelehnt, welche die Daten juristischer Personen wei terhin dem Schutz des DSG unterstellen wollte. Ebenso wurde im Rahmen der Bera tung der Totalrevision des DSG der Minderheitsantrag Rutz abgelehnt, der den bishe rigen sachlichen Geltungsbereich des DSG beibehalten wollte.28
Da die Übergangsbestimmung in Artikel 71 DSG durch eine bereichsübergreifende Be stimmung im RVOG abgelöst wird (siehe dazu Ziff. 2.1.1 und 3.1), ist sichergestellt, dass sich die vorhandenen Rechtsgrundlagen zur Bearbeitung und Bekanntgabe von Personendaten durch Bundesorgane auch zukünftig auf Daten juristischer Personen beziehen. Eine umfassende Anpassung der Rechtsgrundlagen im sektoriellen Recht, die die Bundesorgane zur Bearbeitung oder Bekanntgabe von Personendaten ermäch tigen, erübrigt sich deshalb (vgl. auch Ziff. 1.3). Punktuell sind allerdings Anpassungen im sektoriellen Recht notwendig (siehe Ziff. 2.1.2). Im Übrigen steht es dem Gesetzge ber frei, die Bearbeitung und Bekanntgabe von Daten juristischer Personen auch ins künftig spezialgesetzlich zu regeln, falls dies in einem spezifischen Sachbereich not wendig ist.
Das vorliegende Rechtsetzungsvorhaben betrifft nur den Schutz von Daten juristischer Personen bei der Bearbeitung durch Bundesorgane. Das horizontale Verhältnis zwi schen Privaten, d.h. die Bearbeitung von Daten juristischer Personen durch private Personen, wird mit dem Gesetzgebungsprojekt nicht tangiert. Den privaten Datenbear beitenden sollen deshalb auch keine neuen Pflichten auferlegt werden.
1.3 Geprüfte Alternativen
In der Botschaft zur Totalrevision des DSG hatte der Bundesrat ursprünglich vorgese hen, dass sämtliche spezialgesetzlichen Datenschutzbestimmungen daraufhin geprüft werden, ob sie den Umgang von Bundesorganen mit Daten juristischer Personen be treffen und weiterhin beibehalten werden sollen oder ob sie angepasst bzw. aufgeho ben werden müssen.29 Ziel war es insbesondere, die spezialgesetzlichen Bestimmun gen an die neuen Vorgaben der Artikel 57r ff. RVOG anzupassen. Eine Umfrage im Jahr 2023 innerhalb der Bundesverwaltung zeigte allerdings, dass dieses Vorgehen nicht zweckmässig ist: Die meisten der befragten Bundesorgane bearbeiten Daten ju ristischer Personen und geben solche Daten bekannt. Dabei lassen sich – wenn über haupt – nur wenige Muster oder Gemeinsamkeiten erkennen. Insbesondere die Zwe cke der Datenbekanntgaben sind wenig einheitlich. Eine Schaffung von massgeschnei derten sektoriellen Rechtsgrundlagen betreffend Daten juristischer Personen in einem einzigen und umfassenden Rechtsetzungsprojekt würde deshalb zu einem unverhält nismässig hohen Aufwand führen und wäre in der von Artikel 71 DSG gesetzten Über gangsfrist von fünf Jahren kaum zu realisieren. Ausserdem kommt hinzu, dass bei die sem Vorgehen die Gefahr von Rechtslücken erhöht ist, sodass die Bundesorgane 27 Motion Béglé 16.3379 «Förderung der Schweiz als universeller virtueller Datentresor». Vgl. dazu die Debatte und Abstimmung im Nationalrat vom 24. September 2019: AB 2019 N 1783 ff. und 1791.
29 Vgl. die Botschaft DSG 2017, BBl 2017 6941, hier: 7108.
– schlimmstenfalls – ab dem 1. September 2028 keine (oder nur noch gewisse) Daten juristischer Personen bekanntgeben dürften. Vor diesem Hintergrund hat sich der Bun desrat dafür entschieden, im RVOG eine dauerhafte Auffanglösung zu schaffen, die in allen Sachbereichen, in welchen Bundesorgane Daten juristischer Personen bearbei ten und bekanntgeben, gleichermassen Anwendung finden kann (siehe Ziff. 2.1.1 und 3.1).
1.4 Verhältnis zur Legislaturplanung und zur Finanzplanung sowie zu Strate
gien des Bundesrates
Die Vorlage ist weder in der Botschaft vom 24. Januar 202430 zur Legislaturplanung 2023–2027 noch im Bundesbeschluss vom 6. Juni 202431 über die Legislaturplanung 2023–2027 angekündigt. Die Änderungen der Artikel 57r ff. RVOG sind dennoch not wendig, damit die Bundesorgane auch nach Ablauf der Übergangsfrist von Artikel 71 DSG über eine genügende Rechtsgrundlage für die Bearbeitung und Bekanntgabe von Daten juristischer Personen verfügen (vgl. Ziff. 1.2). Die Anpassungen müssen deshalb bis am 1. September 2028 in Kraft treten.2 Grundzüge der Vorlage
2.1 Beantragte Neuregelung
2.1.1 Änderung des Regierungs- und Verwaltungsorganisationsgesetzes
Die Artikel 57r ff. RVOG bilden einen allgemeinen Rechtsrahmen für die Bearbeitung und Bekanntgabe von Daten juristischer Personen durch Bundesorgane. Dieser Rechtsrahmen wird mit dem vorliegenden Vorentwurf zur Änderung des RVOG (VE- RVOG) im Wesentlichen in vier Punkten angepasst bzw. ergänzt:
• Verhältnis zum bereichsspezifischen Datenschutzrecht: Die Übergangsbestimmung von Artikel 71 DSG wird in das RVOG überführt. Im Unterschied zu Artikel 71 DSG wird auf eine zeitliche Befristung verzichtet. Artikel 57sbis Absatz 1 VE-RVOG sieht für Bundesorgane vor, dass die Bestimmungen zum Schutz von Personendaten in einem Spezialerlass auch für Daten juristischer Personen gelten, sofern der Erlass keine Bestimmungen zum Schutz von Daten juristischer Personen enthält. Mit an deren Worten: In den Bestimmungen zur Datenbearbeitung und -bekanntgabe durch Bundesorgane umfasst der Begriff der Personendaten wie nach früherem Recht auch Daten juristischer Personen (vgl. Art. 3 Bst. a und b aDSG). Bundesorgane sollen Daten juristischer Personen demnach weiterhin so bearbeiten und bekannt geben können, wie sie es bislang unter dem Titel «Personendaten» tun durften. Ins besondere können Bundesorgane Daten juristischer Personen weiterhin bearbeiten und bekanntgeben, wenn sie gestützt auf eine Rechtsgrundlage zur Bearbeitung und Bekanntgabe von Personendaten ermächtigt sind.
30 BBl 2024 525
31 BBl 2024 1440
• Konkretisierung des informationellen Selbstbestimmungsrechts nach Artikel 13 Ab satz 2 BV: Die Rechte, welche den juristischen Personen, deren Daten bearbeitet werden, von Verfassungs wegen zukommen, werden in den Artikeln 57t – 57w VE- RVOG ausdrücklich geregelt. Dies betrifft insbesondere das Auskunfts-, Berichti gungs- und Löschungsrecht. Die Bestimmungen orientieren sich an den daten schutzrechtlichen Ansprüchen natürlicher Personen gemäss den Artikeln 25 f. und 41 f. DSG. Das Verhältnis zum bundesrechtlichen Verfahrensrecht wird in Artikel 57x VE-RVOG geregelt.
• Vereinheitlichung der Anforderungen an die (bereichsspezifischen) Rechtsgrundla gen für die Datenbearbeitung und -bekanntgabe durch Bundesorgane: Die Anforde rungen, die an die Ausarbeitung von rechtlichen Grundlagen zur Bearbeitung und Bekanntgabe von Daten juristischer Personen gestellt werden, sollen der Rechts einheit und -klarheit halber möglichst parallel zu den Artikeln 34 ff. DSG ausgestaltet werden. Insbesondere sollen keine strengeren Vorgaben als an die Bearbeitung und Bekanntgabe von Personendaten gestellt werden. Dazu sind Anpassungen der Ar tikel 57r und 57s RVOG erforderlich. Artikel 57r VE-RVOG soll nicht mehr als direkte Grundlage für die Bearbeitung von Daten juristischer Personen dienen (vgl. zur gel tenden Rechtslage Ziff. 1.1.5.2). Stattdessen soll – entsprechend Artikel 34 DSG für die Bearbeitung von Personendaten durch Bundesorgane – wieder das Prinzip der Spezialermächtigung gelten. Wie bei der Bearbeitung von Daten natürlicher Perso nen bedarf auch die Bearbeitung von Daten juristischer Personen nicht immer eine formell-gesetzliche Grundlage. Unter gewissen Bedingungen genügt sogar für die Bearbeitung von besonders schützenswerten Daten juristischer Personen eine Ver ordnungsbestimmung. Analog zum DSG werden ausserdem drei Spezialbestim mungen für die automatisierte Datenbearbeitung im Rahmen von Pilotversuchen, das Angebot von Unterlagen an das Bundesarchiv sowie das Bearbeiten von Daten zu nicht personenbezogenen Zwecken vorgesehen (siehe dazu die neuen Art. 57rbis, 57squater und 57squinquies VE-RVOG).
• Auftragsbearbeitung: Schliesslich wird in Artikel 57ster VE-RVOG neu die Übertra gung der Bearbeitung von Daten juristischer Personen durch ein Bundesorgan an einen Auftragsbearbeiter geregelt. Auch diese Bestimmung orientiert sich weitge hend an den Vorschriften für Personendaten (vgl. Art. 9 DSG).
2.1.2 Änderungen anderer Bundesgesetze (Anhang)
Bei den Bestimmungen des RVOG zur Bearbeitung von Daten juristischer Personen durch Bundesorgane handelt es sich um eine Querschnittregelung. Die Änderungen, die im RVOG vorgenommen werden, müssen deshalb auch in den spezialgesetzlichen Datenschutzbestimmungen nachvollzogen werden. Dabei geht es hauptsächlich um die Anpassung bzw. die Ergänzung von spezialgesetzlichen Verweisen.
Auf eine Harmonisierung der bereichsspezifischen Datenschutzbestimmungen wird da gegen verzichtet. Dies würde über den vorangehend erläuterten Rechtsetzungsbedarf hinausgehen und wäre im Rahmen dieser Vorlage weder aus inhaltlicher noch zeitli cher Sicht zweckmässig (vgl. Ziff. 1.2).
2.2 Umsetzungsfragen
Die Ausführungsbestimmungen für die Umsetzung der Änderungen des RVOG werden auf Verordnungsstufe – voraussichtlich in der Regierungs- und Verwaltungsorganisati onsverordnung vom 25. November 199832 (RVOV) – geregelt. Umsetzungsfragen stel len sich namentlich bei der Auftragsbearbeitung und beim Auskunftsrecht (vgl. Art. 57ster Abs. 2 und 57v Abs. 6 VE-RVOG sowie die entsprechenden Erläuterungen).
3 Erläuterungen zu einzelnen Artikeln
3.1 Erläuterungen zu den Änderungen des Regierungs- und Verwaltungsorga
nisationsgesetzes
Art. 20 Abs. 2
Die Bestimmung wird lediglich redaktionell angepasst, um die Abkürzung des VwVG einzuführen, die in Artikel 57v Absatz 6 VE-RVOG wieder verwendet wird.
Art. 57hbis Abs. 1 Einleitungssatz, 2, 3 sowie 4
Der Verweis auf Artikel 57r Absatz 2 RVOG wird aktualisiert, weil die Definition der besonders schützenswerten Daten juristischer Personen neu in Art. 57qbis VE-RVOG geregelt ist.
Art. 57j Abs. 2
Der Verweis auf Artikel 57r Absatz 2 RVOG wird aktualisiert, weil die Definition der besonders schützenswerten Daten juristischer Personen neu in Art. 57qbis VE-RVOG geregelt ist.
Art. 57qbis Besonders schützenswerte Daten juristischer Personen
Der Begriff der besonders schützenswerten Daten juristischer Personen wird aus sys tematischen Gründen nicht mehr in der Bestimmung zur Bearbeitung von Daten juris tischer Personen nach Artikel 57r VE-RVOG, sondern in einer eigenständigen Bestim mung zu Beginn des Abschnitts betreffend den Schutz von Daten juristischer Personen definiert.
Artikel 57qbis VE-RVOG zählt abschliessend diejenigen Kategorien von Daten juristi scher Personen auf, für deren Bearbeitung bzw. Bekanntgabe zum Teil strengere rechtliche Anforderungen gelten als für «gewöhnliche» Daten juristischer Personen (siehe insbesondere Art. 57r Abs. 2 VE-RVOG sowie Art. 57s Abs. 2 RVOG). Dieser Katalog von besonders schützenswerten Daten juristischer Personen wird vorliegend nicht nur systematisch, sondern auch inhaltlich überarbeitet und soweit als möglich an
32 SR 172.010.1
die Legaldefinition der besonders schützenswerten Personendaten gemäss Artikel 5 Buchstabe c DSG angeglichen. Die in Artikel 57sbis VE-RVOG vorgesehene Auffang bestimmung zu den bereichsspezifischen Rechtsgrundlagen erfordert nämlich eine möglichst grosse Kohärenz der Begriffskonzepte des DSG und des RVOG (vgl. die Erläuterungen zu Art. 57sbis VE-RVOG). Alle Kategorien der besonders schützenswer ten Personendaten nach Artikel 5 Buchstabe c DSG, die sich auf juristische Personen übertragen lassen bzw. die nicht die natürlichen Eigenschaften des Menschen voraus setzen (siehe dazu Art. 53 ZGB), sollen deshalb auch im Katalog von Artikel 57qbis VE- RVOG enthalten sein. Umgekehrt werden diejenigen Kategorien, die auf natürliche Personen zugeschnitten sind oder für juristische Personen nur eine geringe praktische Bedeutung haben, nicht übernommen. Dazu gehören folgende Kategorien: Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkei ten (Art. 5 Bst. c Ziff. 1 DSG), Daten über die Gesundheit, die Intimsphäre oder die Zugehörigkeit zu einer Rasse oder Ethnie (Art. 5 Bst. c Ziff. 2 DSG), genetische Daten (Art. 5 Bst. c Ziff. 3 DSG), biometrische Daten, die eine natürliche Person eindeutig identifizieren (Art. 5 Bst. c Ziff. 4 DSG) sowie Daten über Massnahmen der sozialen Hilfe (Art. 5 Bst. c Ziff. 6 DSG). Vor diesem Hintergrund bleiben für die juristischen Personen aus dem Katalog von Artikel 5 Buchstabe c DSG die «Daten über verwal tungs- und strafrechtliche Verfolgungen oder Sanktionen» besonders schützenswert.
Dagegen werden die in Artikel 57r Absatz 2 Buchstabe b RVOG bisher erwähnten Da ten über Berufs-, Geschäfts- und Fabrikationsgeheimnisse wieder aus dem Katalog der besonders schützenswerten Daten juristischer Personen gestrichen. Dies entspricht der vor dem Inkrafttreten des DSG am 1. September 2023 geltenden Rechtslage. Für Bundesorgane bedeutet dies, dass sich die Bearbeitung und Bekanntgabe von solchen Daten nach den Regeln für die «gewöhnlichen» Daten juristischer Personen richtet. Diese Rückkehr zur alten Rechtslage rechtfertigt sich auch deshalb, weil Berufs-, Ge schäfts- und Fabrikationsgeheimnisse in erster Linie durch die spezialgesetzlichen Bestimmungen über Geheimhaltungs- oder Schweigepflichten (wie z.B. Art. 62 des Heilmittelgesetzes vom 15. Dezember 200033 betreffend die Vertraulichkeit von Daten) und nicht durch den allgemeinen Daten- bzw. Persönlichkeitsschutz geschützt werden. Hinzu kommt, dass ein besonderer Schutz von Berufs-, Geschäfts- und Fabrikations geheimnisse für juristische Personen mit Blick auf einen fehlenden analogen Schutz für natürliche Personen zu einer Asymmetrie führt, die juristische Personen im Ver gleich zu natürlichen Personen (z.B. Einzelunternehmer) unbegründet privilegiert.
Art. 57r Bearbeitung von Daten juristischer Personen
Damit für die Bearbeitung von Daten juristischer Personen in Bezug auf das Erfordernis einer Rechtsgrundlage vergleichbare Vorgaben gelten wie für die Bearbeitung von Per sonendaten wurde Artikel 57r Absatz 1 RVOG durch eine neue Regelung ersetzt und mit den Absätzen 2, 3 und 4 ergänzt. Bei Artikel 57r VE-RVOG handelt es sich weitge hend um eine Parallelbestimmung zu Artikel 34 DSG.
33 SR 812.21
Absatz 1: Die Bestimmung legt fest, dass Bundesorgane Daten juristischer Personen nur bearbeiten dürfen, wenn dafür eine gesetzliche Grundlage besteht. Sie ist eine Pa rallelbestimmung zu Artikel 34 Absatz 1 DSG. Die Aufrechterhaltung der (aktuell gel tenden) direkt anwendbaren Rechtsgrundlage in Artikel 57r Absatz 1 RVOG würde in Kombination mit dem neuen Artikel 57sbis VE-RVOG zu einem potenziellen Normkon flikt führen: So könnten sich die Bundesorgane für die Bearbeitung von Daten juristi scher Personen zum einen auf Artikel 57r Absatz 1 RVOG und zum anderen auf die Rechtsgrundlage im Spezialerlass zur Bearbeitung von Personendaten, die aufgrund von Artikel 57sbis VE-RVOG auch für Daten juristischer Personen anwendbar würde, stützen. Um solche Normkonflikte zu verhindern, stellt Artikel 57r Absatz 1 VE-RVOG neu keine direkt anwendbare Rechtsgrundlage mehr dar, sondern verlangt – vergleich bar mit Artikel 57s RVOG für die Bekanntgabe von Daten juristischer Personen – das Vorliegen einer Rechtsgrundlage im bereichsspezifischen Recht. Dies bedeutet, dass sich die Bundesorgane künftig nicht mehr auf Artikel 57r Absatz 1 RVOG stützen kön nen, um die Bearbeitung von Daten juristischer Personen zu rechtfertigen. Sie müssen vielmehr – wie gemäss dem vor der Totalrevision des DSG geltendem Recht – grund sätzlich über eine Rechtsgrundlage in einem Spezialerlass verfügen. Aufgrund von Ar tikel 57sbis VE-RVOG kann es sich dabei auch um eine Rechtsgrundlage zur Bearbei tung von Personendaten handeln. Rechtssetzungsbedarf kann entstehen, wenn die Rechtsgrundlagen zur Bearbeitung von Daten juristischer Personen nach der Totalre vision des DSG im Spezialrecht so angepasst worden sind bzw. werden, dass die Be arbeitung von Daten juristischer Personen direkt auf den bisherigen Artikel 57r Absatz 1 RVOG abgestützt wird. Nötigenfalls muss in solchen Fällen für die (künftige) Bear beitung von Daten juristischer Personen eine neue Rechtsgrundlage geschaffen wer den.
Absatz 2: Die Definition der besonders schützenswerten Personendaten in Artikel 57r Absatz 2 RVOG wird neu separat in Artikel 57qbis VE-RVOG geregelt (weiterführend dazu die Erläuterungen zu Artikel 57qbis VE-RVOG). Der neue Artikel 57r Absatz 2 VE- RVOG orientiert sich an Artikel 34 Absatz 2 DSG. So wird in Artikel 57r Absatz 2 VE- RVOG festgelegt, dass Bundesorgane besonders schützenswerte Daten juristischer Personen nur bearbeiten dürfen, wenn ein Gesetz im formellen Sinn dies vorsieht. Im Unterschied zu Artikel 34 DSG wird im VE-RVOG auf eine Verankerung der in Artikel 34 Absatz 2 Buchstabe b und c DSG geregelten Fälle verzichtet. Für die Durchführung von Profiling kann sich das Bundesorgan aufgrund von Artikel 57sbis VE-RVOG auf die Rechtsgrundlage zum Profiling von Personendaten stützen, wenn dabei auch Daten juristischer Personen betroffen sind. Vorbehalten bleibt gestützt auf Artikel 57sbis VE- RVOG der Fall, dass der betreffende Spezialerlass die Bearbeitung von Daten juristi scher Personen gesondert regelt. Fehlt eine Rechtsgrundlage zum Profiling von Per sonendaten, braucht es für das Profiling von Daten juristischer Personen eine Rechts grundlage auf Verordnungsstufe.
Absatz 3: Artikel 57r Absatz 3 VE-RVOG hält analog zu Artikel 34 Absatz 3 DSG fest, dass für die Bearbeitung von besonders schützenswerten Daten juristischer Personen eine Grundlage in einem Gesetz im materiellen Sinn unter bestimmten Voraussetzun gen ausreichend ist. Die in Buchstabe a und b genannten Voraussetzungen entspre chen Artikel 34 Absatz 3 Buchstabe a und b DSG: So bedarf es keine Grundlage in einem Gesetz im formellen Sinn, wenn die Bearbeitung für eine in einem Gesetz im
formellen Sinn festgelegte Aufgabe unentbehrlich ist (Bst. a) und wenn der Bearbei tungszweck für die Grundrechte der betroffenen Person keine besonderen Risiken birgt (Bst. b). Damit gelten für die Bearbeitung von besonders schützenswerten Daten juris tischer Personen dieselben Erleichterungen wie für die Bearbeitung von besonders schützenswerten Personendaten. Auf die die Bezugnahme auf das Profiling wurde ver zichtet, da für die Durchführung von Profiling mit Daten juristischer Personen nach Ar tikel 57r Absatz 2 VE RVOG (e contrario) gar keine Grundlage in einem Gesetz im formellen Sinn erforderlich ist.
Absatz 4: Artikel 57r Absatz 4 VE-RVOG regelt analog zu Artikel 34 Absatz 4 DSG diejenigen Fälle, in denen Bundesorgane abweichend von Artikel 57r Absätze 1–3 VE- RVOG Daten juristischer Personen ausnahmsweise auch ohne gesetzliche Grundlage bearbeiten dürfen. Die aufgelisteten Ausnahmetatbestände entsprechen Artikel 34 Ab satz 4 Buchstaben a – c DSG. Die Bearbeitung von Daten juristischer Personen (ein schliesslich besonders schützenswerter Daten juristischer Personen) ist folglich ohne Rechtsgrundlage (d.h. ohne direkte Abstützung auf Art. 57r Abs. 1 RVOG bzw. ohne Ermächtigung in einem Sacherlass) zulässig, wenn:
• der Bundesrat die Bearbeitung bewilligt, weil die Rechte der betroffenen juristischen Person nicht gefährdet sind (Bst. a);
• die betroffene juristische Person im Einzelfall in die Bearbeitung eingewilligt hat oder ihre Daten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt hat (Bst. b); oder
• die Bearbeitung notwendig ist, um das Leben oder die körperliche Unversehrtheit eines Dritten zu schützen, und es nicht möglich ist, innerhalb einer angemessenen Frist die Einwilligung der betroffenen juristischen Person einzuholen (Bst. c).
Die Ausnahmekonstellation in Artikel 57r Absatz 4 Buchstabe a VE-RVOG wurde in sprachlicher Hinsicht im Vergleich zu Artikel 34 Absatz 4 Buchstabe a DSG leicht an gepasst, um zu verdeutlichen, dass bei der Beurteilung, ob die Rechte der betroffenen juristischen Person gefährdet sind, objektive Kriterien massgeblich sind.
Art. 57rbis Automatisierte Datenbearbeitung im Rahmen von Pilotversuchen
Art. 57rbis VE-RVOG erlaubt es dem Bundesrat, Pilotversuche mit besonders schüt zenswerten Daten juristischer Personen gestützt auf lediglich eine Verordnungsgrund lage (und nicht auf eine formell-gesetzliche Grundlage, wie dies für besonders schüt zenswerte Daten juristischer Personen nach Art. 57r Abs. 2 VE-RVOG eigentlich erfor derlich wäre) zeitlich befristet durchführen zu lassen (vgl. Art. 57rbis Abs. 1 und 3 VE- RVOG). Damit wird für die Bearbeitung von besonders schützenswerten Daten juristi scher Personen im Rahmen von Pilotversuchen eine weitgehend analoge Regelung zu
Artikel 35 DSG und Artikel 32–35 DSV eingeführt, die Digitalisierungsprojekte erleich tern soll, ohne dass rechtsstaatliche Grundsätze ausgehebelt werden.34 Im Unterschied zu dem im DSG und in der DSV vorgesehenen Verfahren des Pilotversuchs sieht Arti kel 57rbis VE-RVOG jedoch keinen Einbezug des EDÖB vor, da dieser im Bereich der Bearbeitung von Daten juristischer Personen keine Aufsichtsaufgaben hat (vgl. dazu die Erläuterungen betreffend Art. 57sbis Abs. 2 Bst. b VE-RVOG).
Artikel 57rbis Absatz 1 VE-RVOG nennt die Voraussetzungen, die für einen zulässigen Pilotversuch erfüllt sein müssen. Analog zu Artikel 35 Absatz 1 DSG müssen die Auf gaben, aufgrund deren die Bearbeitung erforderlich ist, in einem bereits in Kraft ste henden Gesetz im formellen Sinn geregelt sein (Bst. a). Des Weiteren müssen ausrei chende Massnahmen getroffen werden, um einen Eingriff in die Grundrechte der be troffenen juristischen Personen auf das Mindestmass zu begrenzen (Bst. b). Schliess lich muss die Testphase insbesondere aus technischen Gründen unentbehrlich sein (Bst. c). Die Gründe für die Unentbehrlichkeit des Pilotversuchs werden in Artikel 57rbis Absatz 2 VE-RVOG aufgelistet und entsprechen Artikel 32 DSV.
Nach Artikel 57rbis Absatz 4 VE-RVOG muss der Pilotversuch spätestens innert zwei Jahren evaluiert werden. Das zuständige Bundesorgan muss dem Bundesrat in einem Evaluationsbericht darlegen, ob der Pilotversuch weitergeführt oder eingestellt werden soll. Insgesamt darf der Pilotversuch maximal fünf Jahre dauern. Wenn innerhalb die ser Frist kein Gesetz im formellen Sinn in Kraft getreten ist, das die für die Datenbear beitung erforderliche Rechtsgrundlage enthält, muss der Pilotversuch abgebrochen werden (Art. 57rbis Abs. 5 VE-RVGO; vgl. dazu auch Art. 35 Abs. 3 und 4 DSG betref fend die Bearbeitung von Personendaten im Rahmen von Pilotversuchen).
Für Pilotversuche mit «gewöhnlichen» Daten juristischer Personen vgl. die Erläuterun gen in Ziff. 3.2.9 zum Bundesgesetz vom 17. März 202335 über den Einsatz elektroni scher Mittel zur Erfüllung von Behördenaufgaben (EMBAG).
Art. 57s Abs. 1, Abs. 3 Einleitungssatz, Bst. bbis und bter, 4 Einleitungssatz, 5 erster Satz sowie 6 Bst. a und b
Absatz 1: Artikel 57s Absatz 1 VE-RVOG bestimmt, dass Bundesorgane Daten juristi scher Personen nur bekannt geben dürfen, wenn dafür eine gesetzliche Grundlage be steht. Die Bestimmung wurde in sprachlicher Hinsicht an die Formulierung in Artikel 57r Absatz 1 VE-RVOG angeglichen. Es ist keine materielle Änderung.
Absatz 3 Einleitungssatz und Buchstaben bbis und bter: Artikel 57s Absatz 3 RVOG re gelt die Ausnahmen vom Erfordernis einer spezialrechtlichen Grundlage für die Be kanntgabe von Daten juristischer Personen. Der Einleitungssatz wurde in sprachlicher Hinsicht an die Formulierung in Artikel 57r Absatz 3 VE-RVOG angeglichen. Dabei
34 SANDRA HUSI, OK DSG, Art. 35 N 2 ff. (Version vom 19.08.2023) zur Bearbeitung von Personendaten im Rah men von Pilotversuchen. 35 SR 172.019
handelt es sich nicht um eine materielle Änderung. Im bisherigen Ausnahmekatalog werden mit den Buchstaben bbis und bter zwei neue Sachverhalte ergänzt, um die Be stimmung weiter an Artikel 36 Absatz 2 Buchstaben c und d DSG anzunähern. Dabei geht es um die Bekanntgabe von Daten juristischer Personen (einschliesslich beson ders schützenswerter Daten juristischer Personen) zum Schutz des Lebens oder der körperlichen Unversehrtheit eines Dritten (Bst. bbis) sowie bei allgemeiner Zugänglich machung der Daten durch die betroffene juristische Person (Bst. bter).
Absatz 4 Einleitungssatz: Der Einleitungssatz von Artikel 57s Absatz 4 RVOG wird an gepasst, um die Abkürzung des Öffentlichkeitsgesetzes vom 17. Dezember 200436 (BGÖ) einzuführen, die in Artikel 57w RVOG wieder verwendet wird.
Absatz 5 erster Satz: Im ersten Satz des Absatz 5 wurde der Ausdruck «Rechtsgrund lage» durch «gesetzliche Grundlage» ersetzt. So stimmt Artikel 57s Absatz 5 VE- RVOG in sprachlicher Hinsicht mit Artikel 57s Absatz 1 VE-RVOG überein. In materiel ler Hinsicht erfährt der Absatz keine Anpassungen.
Absatz 6 Buchstaben a und b: Die Anpassungen in Artikel 57s Absatz 6 VE-RVOG betreffen nur die französische Sprache. Die französische Fassung dieser Bestimmung wird an den Wortlaut der analogen Bestimmung von Artikel 36 Absatz 6 DSG ange passt. In Buchstabe a wird «intérêt légitime manifeste» durch «intérêt digne de protec tion manifeste» ersetzt. In Buchstabe b wird «des prescriptions particulières» durch «une dispositon particulière» ersetzt. Es handelt sich um rein redaktionelle Änderun gen.
Art. 57sbis Verhältnis zum Schutz von Daten juristischer Personen in Spezialerlas sen
Absatz 1 (Grundsatz): Gemäss Artikel 57sbis Absatz 1 VE-RVOG gelten die Bestim mungen zum Schutz von Personendaten auch für Daten juristischer Personen, wenn ein Spezialerlass Bestimmungen zum Schutz von Personendaten, jedoch keine Best immungen zum Schutz von Daten juristischer Personen enthält. Artikel 57sbis Absatz 1 VE-RVOG entspricht inhaltlich der bisherigen Übergangsregelung von Artikel 71 DSG, allerdings ohne zeitliche Befristung.
Er bezieht sich auf alle Bestimmungen zum Schutz von Personendaten in den Spezi alerlassen (sowohl Gesetz als auch Verordnung), ausser der Spezialerlass enthält be reits eine Regelung zum Schutz von Daten juristischer Personen. Seit der Totalrevision des Datenschutzrechts wurden einzelne Bestimmungen auf Gesetzes- und Verord nungsstufe im Spezialrecht mit Blick auf den Schutz von Daten juristischer Personen
36 SR 152.3
angepasst.37 Eine solche Anpassung besteht darin, dass in den betroffenen Bestim mungen ausdrücklich zwischen dem Schutz von Personendaten und dem Schutz von Daten juristischer Personen unterschieden wird. Dabei muss es sich nicht zwingend um Bestimmungen handeln, die den Ausdruck «Daten juristischer Personen» verwen den, vielmehr können die betroffenen Datenkategorien auch direkt geregelt werden. So enthält beispielsweise die Verordnung vom 16. Oktober 202438 über die Datenbearbei tung im automatisierten Informationssystem des Zivildiensts eine Regelung zu den «Daten über Einsatzbetriebe» (Art. 1 Bst. d), ohne auf «Daten juristischer Personen» Bezug zu nehmen. Enthält ein Spezialerlass bereits Bestimmungen zum Schutz von Daten juristischer Personen, so erübrigt sich eine Anwendung der Bestimmungen zum Schutz von Personendaten auf Daten juristischer Personen. Die Spezialerlasse mit sol chen Bestimmungen wurden deshalb vom Grundsatz der Geltung auf Daten juristischer Personen ausgenommen.
Mit dem Ausdruck «Spezialerlass » wird auch deutlich, dass sich die Bestimmung nicht auf das DSG und seine Verordnungen bezieht. Das heisst: Artikel 57sbis Absatz 1 VE- RVOG führt nicht dazu, dass das DSG und seine Verordnungen für die Daten juristi scher Personen gelten. Mit Inkrafttreten des totalrevidierten DSG wurde der Schutz von Daten juristischer Personen aus dem Anwendungsbereich des DSG und seinen Ver ordnungen ausgenommen (vgl. Ziff. 1.1.1). An diesem Umstand soll auch die vorlie gende Revision des RVOG nichts ändern.
Analog zu Artikel 71 DSG betrifft Artikel 57sbis Absatz 1 VE-RVOG jegliche Bestimmun gen, die den Schutz von Personendaten durch Bundesorgane regeln. In erster Linie bezieht sich die Regelung auf alle Ermächtigungsgrundlagen zur Bearbeitung und Be kanntgabe von Personendaten. Damit soll erreicht werden, dass Bundesorgane Daten juristischer Personen weiterhin so bearbeiten und bekanntgeben können, wie sie es bislang unter dem Titel «Personendaten» tun durften. Beispiel: Ist ein Bundesorgan ge stützt auf eine Rechtsgrundlage zur Bekanntgabe von Personendaten befugt, so führt Artikel 57sbis Absatz 1 VE-RVOG dazu, dass auch Daten juristischer Personen entspre chend bekanntgegeben werden dürfen. Artikel 57sbis Absatz 1 VE-RVOG beschränkt sich aber nicht auf Bestimmungen, die das Bundesorgan zur Bearbeitung oder Bekannt gabe von Personendaten ermächtigen. Erfasst sind sämtliche Datenschutzbestimmun
37 In der Botschaft DSG 2017 (vgl. BBl 2017 6941, hier: 7108) sowie im Erläuternden Bericht vom 31. August 2022 zur Verordnung über den Datenschutz (Ziff. 7.2.; abrufbar unter www.bj.admin.ch > Staat & Bürger > Da tenschutz > Neues Datenschutzrecht > 1. Bisherige Etappen > 2022 – Verabschiedung der neuen Verordnun gen (DSV und VDSZ) > Erläuternder Bericht DSV) findet sich eine Auflistung der im Rahmen der Totalrevision des Datenschutzrechts angepassten Sacherlasse. 38 SR 824.095
gen, die den Umgang mit Personendaten regeln. Dazu können beispielsweise auch In formationspflichten bei der Datenbeschaffung (z.B. Art. 95 der Strafprozessordnung vom 5. Oktober 200739 oder Art. 18a des Bundesgesetzes über das Verwaltungsstraf recht vom 22. März 197440) oder Ausnahmen vom Öffentlichkeitsprinzip zu amtlichen Dokumenten, die Personendaten enthalten (siehe z.B. Art. 24e Abs. 2 des Seilbahnge setzes vom 23. Juni 200641 oder Art. 52a Abs. 2 des Personenbeförderungsgesetzes vom 20. März 200942), gehören. Wird statt des Ausdrucks der «Personendaten» allge mein von «Datenschutz» oder «Datenschutzvorschriften» gesprochen, sind nebst den Bestimmungen des DSG ohnehin auch diejenigen des RVOG gemeint (siehe z.B. Art.
8 Abs. 2 des Hochschulförderungs- und -koordinationsgesetzes vom 30. September
201143 oder Art. 16b Abs. 2 des Eisenbahngesetzes vom 20. Dezember 195744). Der
bereichsspezifische Schutz von Daten juristischer Personen geht also – vorbehaltlich gesonderter Regelung des Schutzes von Daten juristischer Personen im Spezialrecht – gleich weit wie vor Inkrafttreten des totalrevidierten DSG.
Artikel 57sbis Absatz 1 VE-RVOG bezieht sich nur auf Bestimmungen, die das Verhält nis zwischen Privaten und Bundesorganen regeln. Insbesondere bei Strafbestimmun gen, die sich nicht an Bundesorgane richten (wie z.B. Art. 179novies StGB oder Art. 31 Abs. 2 des Bundesgesetzes vom 23. Dezember 2011 über den ausserprozessualen Zeugenschutz45) greift Artikel 57squinquies Absatz 1 VE-RVOG nicht. Diese Bestimmun gen betreffen also weiterhin nur Daten natürlicher Personen.
Absatz 2 (Ausnahmen): In Absatz 2 wird die Tragweite von Artikel 57sbis Absatz 1 RVOG in zweierlei Hinsicht beschränkt:
Gemäss Buchstabe a findet Artikel 57sbis Absatz 1 VE-RVOG nicht auf diejenigen spe zialrechtlichen Bestimmungen Anwendung, die den angemessenen Datenschutz für die Datenbekanntgabe ins Ausland betreffen. Würden solche spezialrechtlichen Best immungen für Daten juristischer Personen gelten, so müssten die Bundesorgane bei ihren Datentransfers jeweils sicherstellen, dass im Ausland nicht nur die Daten der na türlichen, sondern auch der juristischen Personen angemessen geschützt sind. Viele ausländische Rechtsordnungen, insbesondere die meisten Datenschutzgesetze der
39 SR 312.0 40 SR 313.0 41 SR 743.01
42 SR 745.1 43 SR 414.20
44 SR 742.101 45 SR 312.2
EU-Staaten, sehen für juristische Personen aber keinen Datenschutz vor. Die Bundes organe müssten für die Daten juristischer Personen also spezifische Schutzgarantien verlangen bzw. aushandeln. Dies würde den grenzüberschreitenden Datenverkehr un nötig erschweren. Bei den spezialrechtlichen Bestimmungen, die für die Datenbekannt gabe ins Ausland einen angemessenen Datenschutz verlangen, handelt es sich typi scherweise um Bestimmungen, die auf Artikel 16 und 17 DSG verweisen (wie z.B. Art. 107a Abs. 5 des Luftfahrtgesetzes vom 21. Dezember 194846, Art. 100 Abs. 3 Bst. b des Militärgesetzes vom 3. Februar 199547 oder Art. 25 Abs. 4 des Sportförderungs gesetzes vom 17. Juni 201148). Es geht aber auch um Bestimmungen, die die Anfor derungen an die Datenbekanntgabe ins Ausland spezialgesetzlich regeln (wie z.B. Art. 11f des Rechtshilfegesetzes vom 20. März 198149, Art. 349c ff. StGB oder Art. 61 Abs. 2 des Nachrichtendienstgesetzes vom 25. September 2015 50). In beiden Fällen stellt Artikel 57sbis Absatz 2 Buchstabe a VE-RVOG sicher, dass sich die spezialgesetzlichen Vorschriften auf den angemessenen Schutz von Personendaten beschränken.
Zu beachten ist, dass Artikel 57sbis Absatz 2 Buchtstabe a VE-RVOG nur spezialrecht liche Bestimmungen erfasst, die den angemessenen Datenschutz für die Bekanntgabe ins Ausland betreffen. Anderweitige Vorschriften, die an die Bekanntgabe ins Ausland erhöhte Anforderungen stellen (wie z.B. im Bereich der Rechtshilfe) gelten weiterhin für Personendaten und Daten juristischer Personen.
Artikel 57sbis Absatz 1 VE-RVOG soll nicht dazu führen, dass der EDÖB neue Kompe tenzen zur Aufsicht über die Bearbeitung von Daten juristischer Personen erhält. Arti kel 57sbis Absatz 2 Buchstabe b VE-RVOG sieht deshalb vor, dass spezialrechtliche Bestimmungen, die auf die aufsichtsrechtliche Tätigkeit des EDÖB Bezug nehmen, nur für Daten natürlicher Personen gelten. Dies betrifft beispielsweise Bestimmungen zur Aufsicht über die Datenbearbeitung im Rahmen der Zusammenarbeit von Schen gen/Dublin (z.B. Art. 111g des Ausländer- und Integrationsgesetzes vom 16. Dezember 200551 oder Art. 102d des Asylgesetzes vom 26. Juni 199852) oder zur Information des EDÖB bei Datenbekanntgaben ins Ausland (z.B. Art. 349c Abs. 5 StGB), aber auch
46 SR 748.0 47 SR 510.10 48 SR 415.0
49 SR 351.1 50 SR 121
51 SR 142.20 52 SR 142.31
Bestimmungen, die vorsehen, dass die betroffene Person den Aufschub einer Auskunft durch den EDÖB überprüfen lassen kann (z.B. Art. 63 Abs. 3 i.V.m. Art. 64 NDG53).
Absatz 3 (Rechtsetzungsdelegation): Für den Bereich der Datensicherheit wird in Arti kel 57sbis Absatz 3 VE-RVOG festgelegt, dass der Bundesrat die Anwendbarkeit von Bestimmungen zur Datensicherheit von Personendaten auf Daten juristischer Perso nen regelt. Dies hängt damit zusammen, dass verschiedene Sachverordnungen die Anforderungen an die Datensicherheit konkretisieren. Die allgemeinen Bestimmungen zur Bearbeitung von Daten juristischer Personen in den Artikeln 57r ff. RVOG enthalten aber keine Regelung betreffend Datensicherheit.54 Damit die spezialrechtlichen Best immungen zur Datensicherheit aufgrund von Artikel 57sbis Absatz 1 RVOG nicht ohne Weiteres für die Daten juristischer Personen anwendbar werden, wird der Bundesrat dazu befugt, die Anwendbarkeit dieser Bestimmungen auf Daten juristischer Personen zu regeln. Da sich die besonderen Bestimmungen zur Datensicherheit in der Regel auf Verordnungsstufe befinden, soll auch die dazugehörige bereichsübergreifende Aus nahmebestimmung auf Verordnungsstufe angesiedelt werden.
Art. 57ster Auftragsbearbeitung
Die Bestimmung zur Auftragsbearbeitung ermöglicht es einem Bundesorgan, Daten juristischer Personen unter gewissen Voraussetzungen an einen Auftragsbearbeiter zu übermitteln und von diesem bearbeiten zu lassen. Die Auftragsbearbeitung ist von der Datenbekanntgabe an einen Dritten zu unterscheiden. Sie stellt keine Datenbekannt gabe im datenschutzrechtlichen Sinne dar, da die Datenherrschaft beim verantwortli chen Bundesorgan verbleibt.55
Eine Bestimmung zur Auftragsbearbeitung fehlte im RVOG bisher, obwohl es sich da bei um ein in der Praxis häufiges Vorgehen handelt. So ist beispielsweise die Aufbe wahrung von Daten in einer Cloud in vielen Fällen als eine Auftragsbearbeitung zu qualifizieren.56 Artikel 57ster VE-RVOG regelt das Verhältnis zwischen dem verantwort lichen Bundesorgan und dem Auftragsbearbeiter weitgehend übereinstimmend mit Ar tikel 9 DSG.
Absatz 1: Analog zur Übertragung der Bearbeitung von Personendaten (Art. 9 Abs. 1 DSG) können Bundesorgane die Bearbeitung von Daten juristischer Personen vertrag lich oder mittels gesetzlicher Grundlage an einen Auftragsbearbeiter übermitteln (Art. 57ster Abs. 1 Einleitungssatz VE-RVOG). Dabei ist einerseits vorausgesetzt, dass der Auftragsbearbeiter die Daten nur so bearbeitet, wie das verantwortliche Bundesor gan selbst es tun dürfte (Bst. a). Andererseits darf keine gesetzliche oder vertragliche
53 SR 121
54 Vgl. dazu die Fussnote 58.
55 BRUNO BAERISWYL, SHK DSG, Art. 9 N 10 zur Auftragsbearbeitung von Personendaten.
Botschaft DSG 2017, BBl 2017 6941, hier: 7032.
Geheimhaltungspflicht die Auftragsbearbeitung verbieten (Bst. b). Der Auftragsbear beiter muss insbesondere die bereichsspezifischen Vorgaben, die für die Bundesor gane im Umgang mit Daten juristischer Personen gelten, einhalten. Artikel 57ster Ab satz 1 VE-RVOG führt aber nicht dazu, dass die Bestimmungen des DSG auch für Da ten juristischer Personen gelten. Aus diesem Grund wird auch auf die Übernahme von Artikel 9 Absatz 2 DSG verzichtet. So gelten die Bestimmungen zur Datensicherheit des DSG und der Datenschutzverordnung vom 31. August 202257 (DSV) nur für Per sonendaten und nicht für Daten juristischer Personen.58
Artikel 57ster Absätze 2 und 3 VE-RVOG betreffend die Genehmigung von Subauftrags bearbeitungen und die Rechtfertigungsgründe des Auftragsbearbeiters entsprechen Artikel 9 Absätze 3 und 4 DSG. Zur Form der Genehmigung einer Subauftragsbearbei tung stellen sich verschiedene Umsetzungsfragen, die auf Verordnungsstufe in Anleh nung an Artikel 7 DSV noch präzisiert werden.
Art. 57squater Angebot von Unterlagen an das Bundesarchiv
Für die Archivierung von Daten juristischer Personen sollen dieselben Vorgaben gelten wie für die Archivierung von Personendaten. Zu diesem Zweck wird in Artikel 57squater VE-RVOG eine analoge Regelung zu Artikel 38 DSG geschaffen. Danach bieten die Bundesorgane dem Bundesarchiv alle Daten juristischer Personen an, die sie nicht mehr ständig benötigen (Abs. 1). Die vom Bundesarchiv als nicht archivwürdig bezeich neten Daten müssen die Bundesorgane vernichten, es sei denn, dass sie die Daten anonymisieren oder dass die Daten zu Beweis- oder Sicherheitszwecken oder zur Wah rung der schutzwürdigen Interessen der betroffenen juristischen Person aufbewahrt werden (Abs. 2).
Art. 57squinquies Datenbearbeitung für nicht personenbezogene Zwecke
Artikel 39 DSG erleichtert die Bearbeitung von Personendaten für nicht personenbezo gene Zwecke, insbesondere für Forschung, Planung oder Statistik. Damit dieselben Erleichterungen auch für die nicht personenbezogene Bearbeitung von Daten juristi scher Personen gelten, wird in Artikel 57srquinquies VE-RVOG eine analoge Bestimmung zu Artikel 39 DSG geschaffen. Entsprechend nennt Artikel 57squinquies Absatz 1 VE- 57 SR 235.11 58 Die Sicherheit der Daten juristischer Personen wird aber bis zu einem gewissen Grad durch das Informationssi cherheitsgesetz vom 18. Dezember 2020 (ISG; SR 128) mit den dazugehörigen Verordnungen wie bspw. der Informationssicherheitsverordnung vom 8. November 2023 (ISV, SR 128.1) gewährleistet. Zwar bezwecken diese Erlasse nicht unmittelbar den Schutz von Daten juristischer Personen, sie können aber indirekt über die vorgesehenen Massnahmen (z.B. die Massnahmen der Vertraulichkeit, Integrität, Verfügbarkeit und Nachvoll ziehbarkeit der Informationen gemäss Art. 6 ISG) zur Sicherheit von Daten juristischer Personen beitragen. Dies ist insbesondere dann der Fall, wenn Dokumente, für welche Schutzmassnahmen vorgesehen werden, auch Daten von juristischen Personen enthalten.
RVOG vier Voraussetzungen in Bezug auf die Anonymisierung (Bst. a), die Bekannt gabe von besonders schützenswerten Daten juristischer Personen (Bst. b), die Weiter gabe an Dritte (Bst. c) und die Veröffentlichung (Bst. d). Sind diese Voraussetzungen erfüllt, fällt für die Bekanntgabe von Daten juristischer Personen das Erfordernis der Rechtsgrundlage (Art. 57s Abs. 1 und 2 RVOG) und für das Bearbeiten von besonders schützenswerten Daten juristischer Personen das Erfordernis der qualifizierten Rechts grundlage (Art. 57r Abs. 2 VE-RVOG) dahin (Art. 57squinquies Abs. 2 VE-RVOG).59
Art. 57t Auskunftsrecht
Das Auskunftsrecht ist ein zentraler Bestandteil des Rechts auf informationelle Selbst bestimmung nach Artikel 13 Absatz 2 BV, auf welches sich auch juristische Personen berufen können (vgl. Ziff. 1.1.3 und 1.2). Das Auskunftsrecht bildet die Grundlage da für, dass die von einer Datenbearbeitung betroffenen Personen die Rechtmässigkeit der Bearbeitung überhaupt überprüfen und allenfalls weitere datenschutzrechtliche An sprüche wie die Löschung oder Berichtigung ihrer Daten geltend machen können.60 Der grundrechtlich begründete Auskunftsanspruch wird deshalb in Artikel 57t VE- RVOG ausdrücklich auf Gesetzesstufe verankert.
Artikel 57t VE-RVOG beruht auf Artikel 25 DSG betreffend das Auskunftsrecht natürli cher Personen. Allerdings machen die besonderen Eigenschaften der juristischen Per sonen einzelne Abweichungen erforderlich. So wird etwa auf eine analoge Regelung zu Artikel 25 Absatz 3 DSG verzichtet, da es bei juristischen Personen keine Daten über deren Gesundheit gibt.
Artikel 57t Absatz 1 VE-RVOG räumt jeder juristischen Person das Recht ein, vom ver antwortlichen Bundesorgan Auskunft darüber zu verlangen, ob Daten über sie bearbei tet werden. Dieses Recht gilt – unter Vorbehalt des Rechtsmissbrauchs (vgl. Art. 57u Abs. 1 Bst. c VE-RVOG) – voraussetzungslos und ohne einen besonderen Interessen nachweis.61 Ausserdem kann auf das Auskunftsrecht im Voraus nicht verzichtet werden (Art. 57t Abs. 4 VE-RVOG).
Artikel 57t Absatz 2 VE-RVOG konkretisiert mit einer Generalklausel und einer Aufzäh lung von Mindestangaben diejenigen Inhalte, über welche Auskunft erteilt werden muss. Dabei muss die betroffene juristische Person sämtliche Angaben erhalten, die erforderlich sind, um eine transparente Datenbearbeitung zu gewährleisten, und die es ihr ermöglichen, weitere Rechtsbehelfe wahrzunehmen. Die Liste der Mindestangaben in Artikel 57t Absatz 2 Buchstaben a – f VE-RVOG entspricht weitgehend dem Katalog
Vgl. BRUNO BAERISWYL, SHK DSG, Art. 39 N 6 zur Bearbeitung von Personendaten für nicht personenbezogene Zwecke. 60 Statt vieler: BRUNO BAERISWYL, SHK DSG, Vorbemerkungen zu Art. 25 – 29 N 2; MARTIN STEIGER, OK DSG,
Art. 25 N 1 f. (Version vom 28.08.2023).
61 Vgl. RAINER J. SCHWEIZER / LEA STRIEGEL, SGK BV, Art. 13 N 102.
von Artikel 25 Absatz 2 Buchstaben a – g DSG. Anders als in Artikel 25 Absatz 2 Buch stabe d DSG genügt es nach Artikel 57t Absatz 2 Buchstabe d VE-RVOG nicht, die Kriterien zur Festlegung der Aufbewahrungsdauer der Daten anzugeben. Stattdessen ist die Aufbewahrungsdauer selbst mitzuteilen. Ausserdem wird die Auskunft nach Ar tikel 25 Absatz 2 Buchstabe f DSG über das allfällige Vorliegen einer automatisierten Einzelentscheidung und über die Logik, auf der die Entscheidung beruht, für die juristi schen Personen in Artikel 57t Absatz 2 VE-RVOG nicht übernommen. Die Artikel 57r ff. RVOG enthalten derzeit keine Regelungen über die Pflichten der Bundesorgane und die Rechte der betroffenen juristischen Personen bei automatisierten Einzelentschei dungen. Schliesslich müssen nach Artikel 57t Absatz 2 Buchstabe f VE-RVOG – an ders als nach Artikel 25 Absatz 2 Buchstabe g in Verbindung mit Artikel 19 Absatz 4 DSG – bei einer Datenbekanntgabe ins Ausland keine Angaben zu allfälligen Schutz massnahmen oder Ausnahmetatbeständen gemacht werden.
Die Absätze 3, 5 und 6 von Artikel 57t VE-RVOG betreffen verschiedene Modalitäten der Auskunftserteilung. In Absatz 6 wird der Bundesrat ermächtigt, weitere Einzelhei ten, insbesondere die Ausnahmen zur Kostenlosigkeit des Auskunftsrechts, zu regeln (siehe auch Ziff. 2.2).
Art. 57u Einschränkungen des Auskunftsrechts
Das Auskunftsrecht der juristischen Personen gilt nicht absolut. Für die Einschränkun gen des Auskunftsrechts enthält Artikel 57u RVOG eine weitgehend analoge Regelung zu Artikel 26 DSG. Neben gesetzlichen Geheimhaltungsbestimmungen (Art. 57u Abs. 1 Bst. a VE-RVOG, in welchem – anders als in Art. 26 Absatz 1 Buchstabe a DSG – mangels praktischer Relevanz nicht ausdrücklich auf die Berufsgeheimnisse hinge wiesen wird) können der Auskunftserteilung auch überwiegende öffentliche (Art. 57u Abs. 2 VE-RVOG) oder private Interessen (Art. 57u Abs. 1 Bst. b VE-RVOG) entge genstehen. Ausserdem kann die Auskunft verweigert, eingeschränkt oder aufgescho ben werden, wenn das Auskunftsgesuch offensichtlich unbegründet ist, namentlich wenn es einen datenschutzwidrigen Zweck verfolgt, oder offensichtlich querulatorisch ist (Art. 57u Abs. 1 Bst. c VE-RVOG). Damit sollen missbräuchliche Auskunftsgesuche verhindert werden.62 Nicht übernommen werden die Einschränkungsgründe von Artikel
26 Absatz 2 Buchstabe a und Absatz 3 DSG, da sie nicht auf Bundesorgane, sondern
auf private Datenbearbeitungsverantwortliche zugeschnitten sind.
Wird die Auskunft verweigert, eingeschränkt oder aufgeschoben, muss das Bundesor gan dies begründen (Art. 57u Abs. 3 VE-RVOG). Die Einschränkung des Auskunfts rechts erfolgt als anfechtbare Verfügung (Art. 5 VwVG), wobei die Vorgaben des Ver waltungsverfahrensrechts zu beachten sind.63
62 MARTIN STEIGER, OK DSG, Art. 26 N 13 (Version vom 28.08.2023).
SANDRA HUSI, SHK DSG, Art. 26 N 38.
Art. 57v Ansprüche und Verfahren
Wie die Artikel 57t und 57u VE-RVOG betreffend das Auskunftsrecht dient auch Arti kel 57v VE-RVOG dazu, das Recht auf informationelle Selbstbestimmung gemäss Ar tikel 13 Absatz 2 BV zu konkretisieren (vgl. Ziff. 1.1.3).
Weitgehend übereinstimmend mit Artikel 41 DSG räumen die Absätze 1 und 2 von Ar tikel 57v VE-RVOG den von einer Datenbearbeitung betroffenen juristischen Person verschiedene Ansprüche ein, um sich gegen eine widerrechtliche Datenbearbeitung durch ein Bundesorgan zur Wehr zu setzen.64 So kann die juristische Person verlan gen, dass das Bundesorgan eine widerrechtliche Datenbearbeitung unterlässt, deren Folgen beseitigt oder die Widerrechtlichkeit der Bearbeitung feststellt (Abs. 1). Dabei kann insbesondere die Berichtigung, Löschung oder Vernichtung sowie die Mitteilung des Entscheids an Dritte bzw. die Veröffentlichung des Entscheids gefordert werden (Abs. 2).
In den Absätzen 3 – 5 sieht Artikel 57v VE-RVOG (wie Art. 41 Abs. 3 – 5 DSG) verschie dene Ausnahmen vor, namentlich die Einschränkung der Datenbearbeitung, den Be streitungsvermerk sowie die Bestände öffentlicher Gedächtnisinstitutionen.
Die Ansprüche nach Artikel 57v VE-RVOG sind im Rahmen eines Verwaltungsverfah rens nach VwVG geltend zu machen (Abs. 6). Das Bundesorgan entscheidet in Form einer Verfügung nach Artikel 5 VwVG über die Gewährung bzw. Ablehnung der An sprüche.
Art. 57w Verfahren im Falle der Bekanntgabe von amtlichen Dokumenten, die Da ten juristischer Personen enthalten
Artikel 57w VE-RVOG regelt die Geltendmachung der datenschutzrechtlichen Ansprü che einer juristischen Person nach Artikel 57v VE-RVOG in einem hängigen Verfahren betreffend den Zugang zu amtlichen Dokumenten gemäss BGÖ. Die Bestimmung ori entiert sich an Artikel 42 DSG.
Art. 57x Verhältnis zum bundesrechtlichen Verfahrensrecht
Absatz 1: Artikel 57x Absatz 1 VE-RVOG regelt das Verhältnis der Bestimmungen im VE-RVOG betreffend den Schutz von Daten juristischen Personen zum bundesrechtli chen Verfahrensrecht. Es handelt sich dabei um eine Parallelbestimmung zu Artikel 2 Absatz 3 DSG, der aufgrund der Ausnahme der juristischen Personen aus dem Gel tungsbereich des DSG seit der Totalrevision des DSG einzig für Daten natürlicher Per sonen gilt. Um für juristische Personen die gleiche Rechtslage wie für natürliche Per sonen sicherzustellen, wird ein neuer Artikel 57x Absatz 1 VE-RVOG eingeführt. Diese Bestimmung legt fest, dass der Schutz von Daten juristischer Personen in Verfahren durch die bundesrechtlichen Verfahrensordnungen geregelt wird. Die Regelung bezieht sich auf alle Bestimmungen im VE-RVOG zum Schutz von Daten juristischer Personen
64 MONIQUE STURNY, SHK DSG, Art. 41 N 2.
mit Ausnahme von Artikel 57sbis VE-RVOG. So sollen die Regelungen in den Verfah rensordnungen, die sich auf den Schutz von Personendaten beziehen, entsprechend der Regelung in Artikel 57sbis VE-RVOG auch für Daten juristischer Personen gelten können. Ausgenommen von der Koordination in Artikel 57x Absatz 1 VE-RVOG sind die erstinstanzlichen Verwaltungsverfahren. Hier finden Artikel 57qbis–57w VE-RVOG Anwendung. Artikel 57x Absatz 1 VE-RVOG gilt einerseits für alle Verwaltungseinhei ten, wie z.B. im Bereich der Rechtshilfe, die in den Anwendungsbereich des RVOG fallen. Andererseits gilt die Bestimmung auch für die Gerichte auf Bundesebene, deren Verfahrensordnungen eine sinngemässe Anwendung der Bestimmungen im VE-RVOG vorsehen. Mit dem neuen Artikel 57x Absatz 1 VE-RVOG wird sichergestellt, dass der Schutz von Daten juristischer Personen, und insbesondere deren Rechte in Verfahren, durch die einschlägigen Verfahrensordnungen geregelt werden. Die Bestimmungen des VE-RVOG zum Schutz von Daten juristischer Personen kommen mit Ausnahme von Artikel 57sbis VE-RVOG dann nicht zur Anwendung.
Absatz 2: Bei Artikel 57x Absatz 2 VE-RVOG handelt es sich um eine Parallelbestim mung zu Artikel 2 Absatz 4 DSG. Um für juristische Personen dieselbe Rechtslage wie für natürliche Personen zu schaffen, wird ein neuer Artikel 57x Absatz 2 VE-RVOG eingeführt. Die Bestimmung stellt sicher, dass die Ausnahme der öffentlichen Register auch für Daten juristischer Personen gilt.
3.2 Erläuterungen zu den Änderungen anderer Bundesgesetze (Anhang)
3.2.1 Bundesgesetz vom 21. März 199765 über Massnahmen zur Wahrung der
inneren Sicherheit
Art. 23a Abs. 4
Die Bestimmung wird mit einem Verweis auf die Vorschriften des VE-RVOG betreffend das Auskunfts- und Berichtigungsrecht juristischer Personen ergänzt.
3.2.2 Nachrichtendienstgesetz vom 25. September 201566
Art. 63 Abs. 1 und 4
Die beiden Absätze werden mit einem Verweis auf das Auskunftsrecht juristischer Per sonen gemäss VE-RVOG ergänzt.
65 SR 120 66 SR 121
3.2.3 Informationssicherheitsgesetz vom 18. Dezember 202067
Art. 69 Abs. 2
Da sich die Bestimmung nur an juristische Personen richtet, wird der Verweis auf das DSG hinsichtlich der Einschränkung des Auskunftsrechts durch einen Verweis auf den VE-RVOG ersetzt.
Art. 70 Abs. 2
Die Bestimmung wird für den Begriff der besonders schützenswerten Daten juristischer Personen mit einem Verweis auf den VE-RVOG ergänzt.
Art. 75 Abs. 4
Aufgrund von Artikel 57sbis Absatz 1 VE-RVOG gilt die Informationspflicht gemäss Ar tikel 75 Absatz 4 erster Satz ISG auch für Daten juristischer Personen. Damit an die Bearbeitung von Daten juristischer Personen nicht strengere Vorgaben als an die Be arbeitung von Personendaten gestellt werden, soll der Vorbehalt von Artikel 20 DSG zur Einschränkung der Informationspflicht in Artikel 75 Absatz 4 zweiter Satz ISG sinn gemäss für Daten juristischer Personen gelten. Dies wird in einem neuen dritten Satz zu Artikel 75 Absatz 4 ISG ergänzt. Das RVOG enthält keine analoge Bestimmung zu Artikel 20 DSG, auf welche verwiesen werden könnte.
3.2.4 Bundesgesetz vom 20. Juni 200368 über das Informationssystem für den
Ausländer- und den Asylbereich
Art. 4 Abs. 2
Die Bestimmung wird für den Begriff der besonders schützenswerten Daten juristischer Personen mit einem Verweis auf den VE-RVOG ergänzt.
Art. 6
Die Bestimmung zur Auskunftserteilung und zu Begehren um Berichtigung wird für ju ristische Personen mit einem Verweis auf die einschlägigen Bestimmungen des VE- RVOG ergänzt.
Art. 7 Abs. 2
Artikel 7 Absatz 2 wird so angepasst, dass er sowohl für Daten natürlicher als auch juristischer Personen Anwendung finden kann. Entsprechend wird der Verweis auf das DSG gelöscht.
67 SR 128 68 SR 142.51
3.2.5 Ausweisgesetz vom 22. Juni 200169
Art. 10
Die Bestimmung wird mit einem Verweis auf die einschlägigen Bestimmungen des VE- RVOG zum Schutz von Daten juristischer Personen durch Bundesorgane ergänzt.
3.2.6 Archivierungsgesetz vom 26. Juni 199870
Art. 1 Abs. 1 Bst. b
Die Bestimmung wird angepasst, um die Abkürzung des RVOG einzuführen, die in Ar tikel 15 wieder verwendet wird. Es handelt sich um eine rein redaktionelle Anpassung.
Art. 15 Abs. 1 erster Satz
Die Bestimmung zur Auskunftserteilung und Einsichtsgewährung wird für juristische Personen mit einem Verweis auf die einschlägigen Bestimmungen des VE-RVOG er gänzt. Ausserdem wird die Bestimmung redaktionell leicht angepasst.
Im Archivierungsgesetz wurde auf eine Anpassung des Ausdrucks «Personendaten» verzichtet. In den betroffenen Artikeln (Art. 11, Art. 13 Abs. 3 und Art. 14 Abs. 2) ist der Begriff im Sinne von Artikel 5 Buchstabe a DSG als Daten natürlicher Personen zu verstehen. Artikel 57sbis VE-RVOG findet keine Anwendung. Die Daten juristischer Per sonen werden durch Artikel 9 und 12 Archivierungsgesetz geschützt.
3.2.7 Öffentlichkeitsgesetz vom 17. Dezember 200471
Art. 3 Abs. 2 zweiter Satz
Artikel 3 Absatz 2 BGÖ betrifft die Koordination zwischen dem datenschutzrechtlichen Anspruch auf Auskunft über die eigenen Daten und dem Zugangsrecht gemäss Öffent lichkeitsprinzip.72 Bislang wurde lediglich das Verhältnis zwischen dem BGÖ und dem DSG geregelt: Dabei richtet sich der Zugang zu amtlichen Dokumenten, die Personen daten der Gesuchstellerin oder des Gesuchstellers enthalten, nach dem DSG. Neu ist das Öffentlichkeitsprinzip auch mit dem Auskunftsrecht für juristische Personen ge mäss Artikel 57t f. VE-RVOG zu koordinieren. Vor diesem Hintergrund wird in Artikel 3 Absatz 2 BGÖ ein zweiter Satz ergänzt: Verlangt eine juristische Person Zugang zu einem amtlichen Dokument, das ihre eigenen Daten enthält, gelangen die Artikel 57t und 57u VE-RVOG zur Anwendung. Dieser Vorrang des Auskunftsrechts nach RVOG 69 SR 143.1 70 SR 152.1 71 SR 152.3 Statt vieler: CHRISTA STAMM-PFISTER, in: Gabor P. Blechta / David Vasella (Hrsg.), Basler Kommentar zum Öf fentlichkeitsgesetz, 4. Aufl., 2024 («BSK BGÖ»), Art. 3 N 30.
rechtfertigt sich aus denselben Gründen wie beim Auskunftsrecht nach DSG: Das da tenschutzrechtliche Auskunftsrecht ist kein allgemeines Zugangsrecht, sondern ein in dividueller Rechtsbehelf der von einer Datenbearbeitung betroffenen (natürlichen oder juristischen) Person. Es hat seine Grundlage im Recht auf informationelle Selbstbe stimmung und folgt einem anderen Ziel als das Öffentlichkeitsprinzip nach BGÖ.73
Art. 9 Abs. 2 erster Satz
Die Bestimmung wird angepasst, um die Abkürzung des RVOG, die in Artikel 3 einge führt wird, in Artikel 9 zu übernehmen. Es handelt sich um eine rein redaktionelle An passung.
3.2.8 Publikationsgesetz vom 18. Juni 200474
Art. 16b Abs. 1
Die Bestimmung wird für den Begriff der besonders schützenswerten Daten juristischer Personen mit einem Verweis auf den VE-RVOG ergänzt.
3.2.9 Bundesgesetz vom 17. März 202375 über den Einsatz elektronischer Mittel
zur Erfüllung von Behördenaufgaben
Art. 15 Abs. 1 Bst. g und 3 Bst. a
Die Bestimmung zur automatisierten Datenbearbeitung im Rahmen von Pilotversuchen gemäss Artikel 35 DSG gilt für besonders schützenswerte Personendaten und Daten bearbeitungen nach Artikel 34 Absatz 2 Buchstaben b und c DSG. Für die Bearbeitung von besonders schützenswerten Daten juristischer Personen wird eine entsprechende Vorschrift in Artikel 57rbis VE-RVOG vorgesehen (vgl. dazu die entsprechenden Erläu terungen in Ziff. 3.1).
In Artikel 15 EMBAG wird ausserdem eine Rechtsgrundlage für Pilotversuche von «ge wöhnlichen» Daten juristischer Personen ergänzt. In Artikel 10 Absatz 2 Buchstabe a EMBAG wurde bereits anhin ausdrücklich zwischen Personendaten und Daten juristi scher Personen unterschieden. Diese Unterscheidung wird nun auch in Artikel 15 Ab satz 1 Buchstabe g und Absatz 3 Buchstabe a EMBAG eingeführt.
73 Vgl. CHRISTA STAMM-PFISTER, BSK BGÖ, Art. 3 N 31.
74 SR 170.512 75 SR 172.019
3.2.10 Bundesgesetz vom 17. Juni 200576 über das Bundesgericht
Art. 25b Sachüberschrift und Abs. 1
Der Verweis auf die Bestimmungen des RVOG wird auf das gesamte vierte Kapitel des vierten Titels dieses Gesetzes erweitert.
Was die Artikel 57h bis 57hter RVOG betrifft, so führen die eidgenössischen Gerichte – wie die Bundesverwaltung und die Parlamentsdienste – Geschäftsverwaltungssys teme. Es ist daher sinnvoll, die entsprechenden Bestimmungen auch auf die Gerichte zur Anwendung zu bringen. Es sei daran erinnert, dass Artikel 57h RVOG eine Rechts grundlage für das Führen von Geschäftsverwaltungssystemen bietet und dass Arti kel 57hbis RVOG präzisiert, zu welchen Zwecken die Bearbeitung von Personendaten und Daten juristischer Personen in einem solchen System zulässig ist.77 Das heisst, dass diese Bestimmungen nicht die gesetzliche Grundlage für die Bearbeitung von Personendaten und Daten juristischer Personen darstellen. Die Bearbeitung der jewei ligen Daten muss immer auf einer spezialrechtlichen Grundlage beruhen.
Der Verweis soll ferner auch die Artikel 57qbis bis 57x VE-RVOG umfassen, soweit die Bundesgerichte im Rahmen ihrer Tätigkeit Daten juristischer Personen bearbeiten. Er folgt die Bearbeitung im Rahmen eines Verfahrens, so richtet sich diese entsprechend Artikel 57x VE-RVOG nach den bundesrechtlichen Verfahrensordnungen.
3.2.11 Bundesgesetz vom 17. Juni 200578 über das Bundesverwaltungsgericht
Art. 27b Sachüberschrift und Abs. 1
Vgl. die Erläuterungen zu Artikel 25b Absatz 1 des Bundesgesetzes vom 17. Juni 2005 über das Bundesgericht (BGG) in Ziff. 3.2.10.
3.2.12 Bundesgesetz vom 20. März 200979 über das Bundespatentgericht
Art. 5a Sachüberschrift und Abs. 1
Vgl. die Erläuterungen zu Artikel 25b Absatz 1 BGG in Ziff. 3.2.10.
76 SR 173.110 Vgl. Botschaft DSG 2017, BBl 2017 6941, 7116 f. 78 SR 173.32
79 SR 173.41
3.2.13 Bundesgesetz vom 19. März 201080 über die Organisation der Strafbe
hörden des Bundes
Art. 18a
Die Bundesanwaltschaft bearbeitet im Rahmen ihrer Tätigkeit sowohl Personendaten als auch Daten juristischer Personen. Es wird deshalb eine ähnliche Rechtsgrundlage wie für die eidgenössischen Gerichte geschaffen. Siehe dazu die Erläuterungen zu Ar tikel 25b Absatz 1 BGG in Ziff. 3.2.10.
Art. 62a Sachüberschrift und Abs. 1
Vgl. die Erläuterungen zu Artikel 25b Absatz 1 BGG in Ziff. 3.2.10.
3.2.14 Datenschutzgesetz vom 25. September 202081
Art. 71
Die Übergangsbestimmung von Artikel 71 DSG wird ohne zeitliche Befristung in den VE-RVOG überführt (siehe die Erläuterungen zu Art. 57sbis VE-RVOG in Ziff. 3.1). Die Bestimmung kann im DSG deshalb aufgehoben werden.
3.2.15 Strafgesetzbuch82
Art. 349a Einleitungssatz
Die Bestimmung wird mit einem Verweis auf die einschlägige Bestimmung des VE- RVOG betreffend die Anforderungen an die Rechtsgrundlage für die Bekanntgabe von Daten juristischer Personen ergänzt.
3.2.16 Bundesgesetz vom 13. Juni 200883 über die polizeilichen Informations
systeme des Bundes
Art. 7 Abs. 1
Die Bestimmung wird mit einem Verweis auf die Bestimmungen des VE-RVOG zum Auskunftsrecht juristischer Personen ergänzt.
80 SR 173.71 81 SR 235.1 82 SR 311.0
83 SR 361
3.2.17 ETH-Gesetz vom 4. Oktober 199184
Art. 36a Abs. 1 erster Satz
Der Ausdruck «besonders schützenswerte Personendaten» wird durch «besonders schützenswerte Daten» ersetzt, damit sich dieser sowohl auf besonders schützens werte Daten natürlicher als auch juristischer Personen bezieht. Diese Änderung betrifft nur die deutsche und italienische Sprachfassung.
Art. 36b Abs. 1 und Abs. 5 zweiter Satz
Der Ausdruck «besonders schützenswerte Personendaten» wird durch «besonders schützenswerte Daten» ersetzt, damit sich dieser sowohl auf besonders schützens werte Daten natürlicher als auch juristischer Personen bezieht. Diese Änderung betrifft nur die deutsche und italienische Sprachfassung.
Art. 36c
In Absatz 1 wird der Ausdruck «besonders schützenswerte Personendaten» durch «be sonders schützenswerte Datenersetzt, damit sich dieser Ausdruck sowohl auf beson ders schützenswerte Daten natürlicher als auch juristischer Personen bezieht. Die Än derung betrifft nur die deutsche und italienische Sprachfassung.
Absatz 2 wird mit einem Verweis auf die einschlägigen Bestimmungen des VE-RVOG zum Schutz von Daten juristischer Personen durch Bundesorgane ergänzt.
Art. 36f
In Absatz 1 wird der Ausdruck «besonders schützenswerte Personendaten» durch «be sonders schützenswerte Daten» ersetzt, damit sich dieser Ausdruck sowohl auf beson ders schützenswerte Daten natürlicher als auch juristischer Personen bezieht. Die Än derung betrifft nur die deutsche und italienische Sprachfassung.
Der Verweis auf das DSG wird aktualisiert, indem die die in Artikel 36c Absatz 2 einge führte Abkürzung in Artikel 36f Absatz 2 übernommen wird. Ausserdem wird die Be stimmung mit einem Verweis auf die einschlägigen Bestimmungen des VE-RVOG zum Schutz von Daten juristischer Personen durch Bundesorgane ergänzt.
84 SR 414.110
3.2.18 Bundesstatistikgesetz vom 9. Oktober 199285
Art. 7 Abs. 2 zweiter Satz
Zum einen wird Artikel 7 Absatz 2 zweiter Satz des Bundesstatistikgesetzes (BStatG) angepasst, um die Abkürzung des DSG, die in Artikel 10 Absatz 5 BStatG wieder ver wendet wird, einzuführen. Zum anderen wird – analog zur Regelung für Personendaten – festgehalten, dass die Daten juristischer Personen, die aus den Datenbanken der Kantone und Gemeinden übernommen werden und einer gesetzlich verankerten Ge heimhaltungspflicht unterliegen, gemäss Artikel 57squinquies VE-RVOG betreffend die Datenbearbeitung für nicht personenbezogene Zwecke nicht weitergegeben werden dürfen.
Art. 10 Abs. 5 zweiter Satz
Die in Artikel 7 BStatG eingeführte Abkürzung des DSG wird übernommen. Dabei han delt es sich um eine rein redaktionelle Anpassung. Ausserdem wird Artikel 10 Absatz 5 zweiter Satz BStatG mit einem Verweis auf Artikel 57squinquies VE-RVOG betreffend die Datenbearbeitung für nicht personenbezogene Zwecke ergänzt.
Art. 16 Abs. 1 zweiter Satz
Die Bestimmung wird mit einem Verweis auf die Bestimmungen des RVOG zur Bear beitung von Daten juristischer Personen für Forschung, Planung und Statistik ergänzt.
3.2.19 Geoinformationsgesetz vom 5. Oktober 200786
Art. 11 Abs. 1 erster Satz
Die Bestimmung wird mit einem Verweis auf die Bestimmungen des VE-RVOG zum Schutz von Daten juristischer Personen durch Bundesorgane ergänzt. Ausserdem wird die Bestimmung in ihrer Formulierung leicht angepasst. Der Ausdruck «alle Geobasis daten» wird durch «die Geobasisdaten» ersetzt. Damit soll verdeutlicht werden, dass das DSG bzw. das RVOG, für die Bearbeitung von Geobasisdaten gilt, soweit diese Personendaten bzw. Daten juristischer Personen beinhalten. Zur Vereinheitlichung der für Geobasisdaten des Bundesrechts anwendbaren Regeln gelten die einschlägigen Bestimmungen des DSG und des RVOG unabhängig davon, wer für die Bearbeitung verantwortlich ist (Bundes-, Kantons- oder Gemeindeverwaltung oder privater Akteur, der im Rahmen eines von den Behörden erteilten Auftrags handelt).87
85 SR 431.01 86 SR 510.62 Vgl. BBl 2017 6941, 7135.
3.2.20 Bundesgesetz vom 3. Oktober 200888 über militärische und andere Infor
mationssysteme im VBS
Art. 1 Abs. 1 Einleitungssatz und Abs. 3
Das Bundesgesetz über militärische und andere Informationssysteme im VBS (MIG) unterscheidet bereits heute ausdrücklich zwischen Daten natürlicher und juristischer Personen, sodass Artikel 57sbis VE-RVOG keine Anwendung findet (vgl. die entspre chenden Erläuterungen in Ziff. 3.1). Vor diesem Hintergrund soll die Terminologie be reinigt werden: In Artikel 1 Absatz 1 MIG wird die «Bearbeitung von Personendaten natürlicher und juristischer Personen» durch die «Bearbeitung von Personendaten und Daten juristischer Personen» ersetzt, da sich der Begriff Personendaten seit Inkrafttre ten des DSG nur auf Daten natürlicher Personen bezieht. Ausserdem wird der Aus druck «besonders schützenswerte Personendaten» durch «besonders schützenswerte Daten» ersetzt, damit sich dieser sowohl auf besonders schützenswerte Daten natürli cher als auch juristischer Personen bezieht. Die ausdrückliche Unterscheidung zwi schen Daten natürlicher und juristischer Personen macht rein terminologische Anpas sungen im ganzen Erlass erforderlich.
Artikel 1 Absatz 3 MIG wird mit einem Verweis auf die einschlägigen Bestimmungen des VE-RVOG zum Schutz Bearbeitung von Daten juristischer Personen durch Bun desorgane ergänzt. Ausserdem wird die Bestimmung redaktionell leicht angepasst.
Art. 2a Abs. 1 Bst. b und c
Wie in Artikel 1 Absatz 1 MIG wird in Artikel 2a Absatz 1 Buchstaben b und c MIG der Ausdruck «besonders schützenswerte Personendaten» durch «besonders schützens werte Daten» ersetzt, damit sich dieser sowohl auf besonders schützenswerte Daten natürlicher als auch juristischer Personen bezieht. Diese Änderung betrifft nur die deut sche und italienische Sprachfassung.
Art. 6 Bst. b
Die Bestimmung wird mit einem Verweis auf das RVOG ergänzt.
Art. 186 Abs. 1 Bst. b und Abs. 3
In Artikel 186 Absatz 1 Buchstabe b MIG wird «Personendaten» durch «Daten» ersetzt, damit die Bestimmung auch Daten juristischer Personen erfasst. Diese Änderung be trifft nur die deutsche und italienische Sprachfassung. Ausserdem wird Artikel 186 Ab satz 3 MIG mit einem Verweis auf das RVOG ergänzt.
88 SR 510.91
3.2.21 Finanzkontrollgesetz vom 28. Juni 196789
Art. 10 Abs. 3 erster und zweiter Satz
Im Rahmen der Totalrevision des DSG wurde die Formulierung «einschliesslich Per sonendaten» aus dem deutschen und italienischen Text gestrichen. Für diese Strei chung gab es keine Begründung. Die Wiedereinführung dieser Formulierung ist erfor derlich, um die deutsche und die italienische Fassung der Bestimmung an die korrekte Fassung in französischer Sprache anzupassen.
Ausserdem wird der Ausdruck «besonders schützenswerte Personendaten» durch «besonders schützenswerte Daten» ersetzt, damit sich dieser sowohl auf besonders schützenswerte Daten natürlicher als auch juristischer Personen bezieht.
3.2.22 Zollgesetz vom 18. März 200590
Art. 38 Abs. 2
Automatisierte Einzelentscheidungen können auch juristische Personen betreffen bzw. auf der Bearbeitung ihrer Daten beruhen. Daher ist der Verweis in Artikel 38 Absatz 2 des Zollgesetzes auf Artikel 21 DSG, welcher nur für Personendaten bzw. Daten natürlicher Personen gilt, der Rechtsklarheit halber zu streichen. Das DSG ist ein Rahmengesetz, sodass Artikel 21 DSG für Personendaten auch ohne ausdrückliche Verweisung zur Anwendung gelangt. Die Artikel 57qbis ff. RVOG enthalten dagegen keine Regelungen über die Pflichten der Bundesorgane und die Rechte der betroffenen juristischen Personen bei automatisierten Einzelentscheidungen, auf welche verwiesen werden könnte (vgl. die Erläuterungen zu Artikel 57t RVOG in Ziff. 3.1).
3.2.23 Mehrwertsteuergesetz vom 12. Juni 200991
Art. 76 Abs. 3 Einleitungssatz
Auch mit Daten juristischer Personen kann ein Profiling bzw. ein Profiling mit hohem Risiko durchgeführt werden. Der Verweis auf das «Datenschutzgesetz vom 25. September 2020» in Artikel 76 Absatz 3 des Mehrwertsteuergesetzes, welcher nur für Personendaten bzw. Daten natürlicher Personen gilt, wird deshalb gestrichen.
89 SR 614 90 SR 631.0 91 SR 641.20
3.2.24 Tabaksteuergesetz vom 21. März 196992
Art. 18 Abs. 4
Der Verweis auf Artikel 21 DSG betreffend automatisierte Einzelentscheidungen wird gestrichen (vgl. die Erläuterungen in Ziff. 3.2.22).
3.2.25 Biersteuergesetz vom 6. Oktober 200693
Art. 17 Abs. 3 zweiter Satz
Der Verweis auf Artikel 21 DSG betreffend automatisierte Einzelentscheidungen wird gestrichen (vgl. die Erläuterungen in Ziff. 3.2.22).
3.2.26 Mineralölsteuergesetz vom 21. Juni 199694
Art. 21 Abs. 2bis
Der Verweis auf Artikel 21 DSG betreffend automatisierte Einzelentscheidungen wird gestrichen (vgl. die Erläuterungen in Ziff. 3.2.22).
3.2.27 Stromversorgungsgesetz vom 23. März 200795
Art. 17c Abs. 1 zweiter Satz
Die sinngemäss Anwendung des DSG auf Daten juristischer Personen in Artikel 17c Absatz 1 zweiter Satz des Stromversorgungsgesetzes (StromVG) wird aufgehoben und durch einen Verweis auf die Bestimmungen des VE-RVOG zum Schutz von Daten juristischer Personen durch Bundesorgane ersetzt.
Art. 24
Die in Artikel 17c Absatz 1 StromVG eingeführte Abkürzung des RVOG wird in Arti kel 24 StromVG aufgenommen. Es handelt sich um eine rein redaktionelle Anpassung.
92 SR 641.31 93 SR 641.411 94 SR 641.61
95 SR 734.7
3.2.28 Eisenbahngesetz vom 20. Dezember 195796
Art. 9o Abs. 2 dritter Satz
Die Abkürzung RVOG wird in der italienischen Sprachfassung dieser Bestimmung hin zugefügt.
Art. 16a Abs. 1 erster Satz
Artikel 16a Absatz 1 erster Satz des Eisenbahngesetzes (EBG) wird mit einem Verweis auf die Bestimmungen des VE-RVOG zum Schutz von Daten juristischer Personen durch Bundesorgane ergänzt. In Artikel 16b Absatz 2 EBG ist keine Anpassung not wendig, da sich der Ausdruck «Datenschutzvorschriften» auch auf die Datenschutzbe stimmungen des RVOG bezieht.
3.2.29 Personenbeförderungsgesetz vom 20. März 200997
Art. 54 Abs. 1 erster Satz
Die Bestimmung wird mit einem Verweis auf die Bestimmungen des VE-RVOG zum Schutz von Daten juristischer Personen durch Bundesorgane ergänzt.
3.2.30 Bundesgesetz vom 18. März 201698 betreffend die Überwachung des
Post- und Fernmeldeverkehrs
Art. 4
Der Ausdruck «besonders schützenswerte Personendaten» wird durch «besonders schützenswerte Daten» ersetzt, damit sich dieser sowohl auf besonders schützens werte Daten natürlicher als auch juristischer Personen bezieht. Diese Änderung betrifft nur die deutsche und italienische Sprachfassung.
Art. 10 Abs. 1 Bst. b, 2 erster Satz und 2ter
Die Bestimmung wird in Absatz 1 Buchstabe b, in Absatz 2 erster Satz und in Absatz 2ter mit einem Verweis auf die Vorschriften des VE-RVOG betreffend das Auskunftsrecht juristischer Personen ergänzt.
96 SR 742.101 97 SR 745.1 98 SR 780.1
3.2.31 Fernmeldegesetz vom 30. April 199799
Art. 13b Abs. 1 zweiter Satz, 2 Einleitungssatz, 4 erster Satz
Der Ausdruck «besonders schützenswerte Personendaten» wird durch «besonders schützenswerte Daten» ersetzt, damit sich dieser sowohl auf besonders schützens werte Daten natürlicher als auch juristischer Personen bezieht. Diese Änderung betrifft nur die deutsche und italienische Sprachfassung.
3.2.32 Bundesgesetz vom 24. März 2006100 über Radio und Fernsehen
Art. 88 Abs. 2
Die Bestimmung wird mit einem Verweis auf die Bestimmungen des VE-RVOG zum Schutz von Daten juristischer Personen durch Bundesorgane ergänzt.
3.2.33 Tabakproduktegesetz vom 1. Oktober 2021101
Art. 39
Der Ausdruck «Informationen über juristische Personen» wird in der Sachüberschrift und in den Absätzen 1 und 2 durch «Daten juristischer Personen» ersetzt.
3.2.34 Bundesgesetz vom 17. Juni 2005102 gegen die Schwarzarbeit
Art. 17a Abs. 3
Das Bundesgesetz gegen die Schwarzarbeit (BGSA) enthält in Artikel 17a eine Bestim mung zur Bearbeitung von Daten juristischer Personen. Dieser Bestimmung wird ein neuer Absatz 3 angefügt, der auf die einschlägigen Bestimmungen des VE-RVOG ver weist.
99 SR 784.10 100 SR 784.40 101 SR 818.32
102 SR 822.41
3.2.35 Bundesgesetz vom 25. Juni 1982103 über die berufliche Alters-, Hinterlas
senen- und Invalidenvorsorge
Art. 85a Abs. 1 Einleitungssatz
Der Ausdruck «besonders schützenswerte Personendaten» wird durch «besonders schützenswerte Daten» ersetzt, damit sich dieser sowohl auf besonders schützens werte Daten natürlicher als auch juristischer Personen bezieht. Diese Änderung betrifft nur die deutsche und italienische Sprachfassung.
3.2.36 Bundesgesetz vom 20. März 1981104 über die Unfallversicherung
Art. 96 Abs. 2
Die Verweise auf das DSG betreffend Profiling und Profiling mit hohem Risiko sowie auf Artikel 21 DSG betreffend automatisierte Einzelentscheidungen werden gestrichen (vgl. die Erläuterungen in Ziff. 3.2.22 und 3.2.23).
3.2.37 Bundesgesetz vom 19. Juni 1992105 über die Militärversicherung
Art. 94a Abs. 2
Die Verweise auf das DSG betreffend Profiling und Profiling mit hohem Risiko sowie auf Artikel 21 DSG betreffend automatisierte Einzelentscheidungen werden gestrichen (vgl. die Erläuterungen in Ziff. 3.2.22 und 3.2.23).
3.2.38 Vorläuferstoffgesetz vom 25. September 2020106
Art. 23 Abs. 1
Die Bestimmung wird für die Ansprüche juristischer Personen auf Auskunft und Berich tigung ihrer unrichtigen Daten mit einem Verweis auf die einschlägigen Bestimmungen des VE-RVOG ergänzt.
103 SR 831.40
104 SR 832.20 105 SR 833.1
106 SR 941.42
3.2.39 Nationalbankgesetz vom 3. Oktober 2003107
Art. 16 Abs. 4bis zweiter Satz und 5
Artikel 16 des Nationalbankgesetzes wird durch zwei Verweise auf den VE-RVOG er gänzt: Im zweiten Satz von Absatz 4bis wird festgehalten, dass das Bundesamt für Sta tistik die von der Nationalbank empfangenen Daten juristischer Personen ungeachtet des neuen Artikel 57squinquiesr VE-RVOG ohne Zustimmung der Nationalbank nicht wei tergeben darf. Ausserdem wird in Absatz 5 für die Bearbeitung von Daten juristischer Personen auf die Artikel 57qbis – 57x VE-RVOG verwiesen.
3.2.40 Geldwäschereigesetz vom 10. Oktober 1997108
Im Geldwäschereigesetz (GwG) wird neu ausdrücklich zwischen Personendaten und Daten juristischer Personen unterschieden.
Art. 29 Abs. 1 zweiter Satz, 2 zweiter Satz und 2bis zweiter und dritter Satz
In Artikel 29 Absatz 1 zweiter Satz und 2bis zweiter und dritter Satz GwG wird neu prä zisiert, dass die erteilten Auskünfte auch besonders schützenswerte Personendaten und besonders schützenswerte Daten juristischer Personen enthalten können. Dieser Zusatz schafft Klarheit, welche Informationen zwischen den Behörden ausgetauscht werden dürfen.
In Artikel 29 Absatz 2 zweiter Satz GwG werden neben den besonders schützenswer ten Personendaten neu auch die besonders schützenswerten Daten juristischer Per sonen erwähnt.
Art. 29b Abs. 1 zweiter Satz
Vgl. die Erläuterungen zu Artikel 29 Absatz 1 zweiter Satz und 2bis zweiter Satz GwG in Ziff. 3.2.40.
Art. 30 Abs. 1 Einleitungssatz
Die Bestimmung wird um den Begriff der Daten juristischer Personen ergänzt. Zur Er wähnung der besonders schützenswerten Personendaten und der besonders schüt zenswerten Daten juristischer Personen vgl. die Erläuterungen zu Artikel 29 Absatz 1 zweiter Satz und 2bis zweiter Satz GwG in Ziff. 3.2.40.
107 SR 951.11 108 SR 955.0
Art. 31a
Der Verweis bezüglich Datenbearbeitung auf das Bundesgesetz vom 7. Oktober 1994109 über die kriminalpolizeilichen Zentralstellen des Bundes (ZentG) wird gestrich ten, weil die Datenschutzbestimmungen neu im GwG abgebildet werden (Art. 35 Abs. 1) und sich ein entsprechender Verweis damit erübrigt.
Gliederungstitel vor Art. 33
Im Gliederungstitel vor Artikel 33 GwG wird die Bearbeitung von Daten juristischer Per sonen ausdrücklich erwähnt.
Art. 33
Die Bestimmung wird mit einem Verweis auf die Bestimmungen des VE-RVOG zum Schutz von Daten juristischer Personen durch Bundesorgane ergänzt. Der Klarheit hal ber wird die Bestimmung in zwei Absätze aufgeteilt.
Art. 34 Abs. 2 und 3
Analog zu Artikel 29 Absatz 1 zweiter Satz und 2bis zweiter Satz GwG (vgl. Ziff. 3.2.40) wird in Artikel 34 Absatz 2 neu präzisiert, dass die Finanzintermediäre Personendaten und Daten juristischer Personen (einschliesslich besonders schützenswerter Daten) an die genannten Stellen bekanntgeben dürfen.
Artikel 34 Absatz 3 GwG verweist betreffend das Auskunftsrecht von juristischen Per sonen auf den VE-RVOG.
Art. 35 Abs. 1 und 2 zweiter Satz
Artikel 35 Absatz 1 erster Satz GwG regelt die Datenbearbeitung der Meldestelle und verweist in der heutigen Fassung auf das ZentG. Im Zuge der Anpassung des ZentG und verschiedener datenschutzrechtlicher Bestimmungen sowie deren Überführung in das Bundesgesetz vom 13. Juni 2008110 über die polizeilichen Informationssysteme des Bundes (BPI) rechtfertigt es sich, die gesetzliche Grundlage für die Bearbeitung von Personendaten und Daten juristischer Personen konsolidiert im GwG aufzuführen. Materiell ändert sich dabei nichts. Die Meldestelle war bereits berechtigt, besonders schützenswerte Daten sowohl von natürlichen wie juristischen Personen zu bearbeiten.
Ausserdem wird der Verweis auf die Bestimmungen des BPI zum Auskunftsrecht kor rigiert, um alle relevanten anwendbaren Bestimmungen zu erfassen (Art. 7 ff.).
In Artikel 35 Absatz 2 zweiter Satz GwG wird neu vorgesehen, dass die über das Ab rufverfahren zugänglichen Informationen besonders schützenwerte Personendaten
109 SR 360
110 SR 361
und besonders schützenswerte Daten juristischer Personen umfassen dürfen (vgl. die Erläuterungen zu Artikel 29 Absatz 1 zweiter Satz und 2bis zweiter Satz GwG in Ziff. 3.2.40).
4 Auswirkungen
4.1 Auswirkungen auf den Bund
Die Vorlage stellt in den Artikeln 57qbis ff. VE-RVOG sicher, dass die Bundesorgane weiterhin über hinreichende Rechtsgrundlagen für die Bearbeitung und Bekanntgabe von Daten juristischer Personen verfügen. Die bisherige Rechtslage soll aufrechterhal ten bleiben. Für bereits laufende Datenbearbeitungen und -bekanntgaben besteht des halb grundsätzlich kein separater Rechtsetzungsbedarf. Vorbehalten bleiben Bearbei tungen von Daten juristischer Personen, die direkt auf den noch geltenden Artikel 57r Absatz 1 RVOG abgestützt werden. Für neue bzw. künftige Datenbearbeitungen und - bekanntgaben muss der Rechtsetzungsbedarf unter Berücksichtigung der allgemeinen Vorgaben im RVOG im Einzelfall geprüft werden.
Des Weiteren garantieren die Artikel 57t – 57w VE-RVOG den juristischen Personen verschiedene datenschutzrechtliche Ansprüche gegenüber Bundesorganen. Soweit es sich dabei um ohnehin geltende verfassungsmässige Rechte handelt, führt die Konkre tisierung im RVOG allerdings nicht zu neuen Pflichten für die Bundesorgane.
Für Datenbearbeitungen im Kontext von bundesrechtlichen Verfahren und öffentlichen Registern des Privatrechtsverkehrs findet sich in Artikel 57x VE-RVOG eine Koordina tionsbestimmung.
4.2 Auswirkungen auf die Kantone und Gemeinden
Die Kantone und Gemeinden sind von der Vorlage nicht direkt betroffen. Die Arti kel 57qbis ff. VE-RVOG richten sich nur an Bundesorgane (vgl. Ziff. 2.1.1).
4.3 Auswirkungen auf die Volkswirtschaft
Die Artikel 57qbis ff. VE-RVOG sollen in Bezug auf die Bearbeitung und Bekanntgabe von Daten juristischer Personen durch Bundesorgane lediglich die bisherige Rechts lage gewährleisten, aber grundsätzlich keine neuen Bearbeitungs- oder Bekanntgabe möglichkeiten schaffen. Die Rechtsstellung von juristischen Personen ändert sich in sofern nicht. Allerdings wird durch die Konkretisierung des Auskunfts-, Berichtigungs- und Löschungsrechts auf Gesetzesstufe die Rechtsstellung der juristischen Personen gegenüber Bundesorganen geklärt und damit auch gestärkt.
Da die Vorlage nicht das Verhältnis zwischen Privaten, d.h. die Bearbeitung von Daten juristischer Personen durch private Personen, betrifft, sind ansonsten keine Auswirkun gen auf Unternehmen und die Volkswirtschaft zu verzeichnen.
4.4 Auswirkungen auf die Gesellschaft
Die neuen Artikel 57t – 57w VE-RVOG stärken die Rechtsposition von juristischen Per sonen und tragen somit zur Verbesserung des Datenschutzes bei. (vgl. Ziff. 2.1.1).
5 Rechtliche Aspekte
5.1 Verfassungsmässigkeit
Wie der Bundesrat in seiner Botschaft zur Totalrevision des Datenschutzgesetzes aus geführt hat,111 enthält die Bundesverfassung keine Bestimmung, die dem Bund aus drücklich eine Kompetenz im Datenschutzbereich zuweist. Wohl stipuliert Artikel 13 Ab satz 2 BV den Anspruch jeder Person auf informationelle Selbstbestimmung. Es han delt sich hier aber um ein Grundrecht, das dem Bund keine neuen Zuständigkeiten überträgt. Gemäss Artikel 35 Absatz 2 BV sind Personen, die staatliche Aufgaben wahrnehmen, an die Grundrechte gebunden und verpflichtet, zu ihrer Verwirklichung beizutragen. Das vorliegende Rechtsetzungsprojekt trägt in diesem Sinne zur Verwirk lichung von Artikel 13 Absatz 2 BV bei. Die Artikel 57t – 57w VE-RVOG konkretisieren die Garantien von Artikel 13 Absatz 2 BV für die juristischen Personen. Als Verfas sungsgrundlage für den Erlass öffentlich-rechtlicher Datenschutzbestimmungen für Be hörden und Verwaltungsstellen kann sich der Bundesgesetzgeber ausserdem auf die ungeschriebene Kompetenz für die Organisation und das Verfahren von Bundesbehör den berufen. Für Bundeszuständigkeiten, die sich aus der Existenz und der Natur der Eidgenossenschaft ergeben und für die eine explizite Zuweisung einer Rechtsetzungs kompetenz fehlt, wird nach heutiger Praxis im Ingress stellvertretend für die Bundes kompetenz Artikel 173 Absatz 2 BV genannt.
Mit der vorliegenden Revision des RVOG wird sichergestellt, dass die Bundesorgane weiterhin über hinreichende Rechtsgrundlagen im Sinne von Artikel 36 Absatz 1 BV für die Bearbeitung und Bekanntgabe von Daten juristischer Personen verfügen. So dürfen Daten juristischer Personen gemäss Artikel 57sbis VE-RVOG weiterhin bearbeitet und bekanntgegeben werden, wenn eine Rechtsgrundlage zur Bearbeitung oder Bekannt gabe von Personendaten besteht. Zwar wird für juristische Personen aus der bereichs spezifischen Rechtsgrundlage nicht immer direkt ersichtlich, dass auch ihre Daten be arbeitet werden. Dies entspricht allerdings der bisher geltenden Rechtslage.
5.2 Vereinbarkeit mit internationalen Verpflichtungen der Schweiz
Die internationalen Verpflichtungen der Schweiz im Bereich des Datenschutzes verlan gen keinen Schutz von Daten juristischer Personen. Es müssen deshalb keine interna tionalen Verpflichtungen erfüllt werden.
111 Vgl. Botschaft DSG 2017, BBl 2017 6941, 7185 f.
5.3 Erlassform
Der vorliegende Vorentwurf des Bundesrates umfasst eine Änderung des RVOG und im Anhang dazu die dadurch notwendigen Anpassungen weiterer Bundesgesetze.
5.4 Unterstellung unter die Ausgabenbremse
Mit der Vorlage werden weder neue Subventionsbestimmungen geschaffen, noch neue Verpflichtungskredite oder Zahlungsrahmen beschlossen.
5.5 Delegation von Rechtsetzungsbefugnissen
Die Änderungen im RVOG enthalten in den folgenden Bestimmungen eine Delegation von Rechtsetzungsbefugnissen an den Bundesrat:
• Artikel 57sbis Absatz 3 VE-RVOG: Der Bundesrat regelt die Anwendbarkeit von Best immungen zur Datensicherheit von Personendaten auf Daten juristischer Personen.
• Artikel 57t Absatz 6 VE-RVOG: Im Zusammenhang mit dem Auskunftsrecht wird der Bundesrat ermächtigt, die Modalitäten des Auskunftsrechts, die Zuständigkeit bei gemeinsamer Datenbearbeitung, die Fristen sowie die Ausnahmen von der Kosten losigkeit zu regeln.
5.6 Datenschutz
Bei den Artikeln 57qbis – 57x VE-RVOG handelt sich um transversale Datenschutzbe stimmungen, die den Umgang mit Daten juristischer Personen durch Bundesorgane regeln. Sie präzisieren insbesondere den verfassungsrechtlichen Schutz von Daten ju ristischer Personen (vgl. Ziff. 1.1.3, 1.2 und 2.1.1). Der Schutz von Daten natürlicher Personen ist durch die Änderungen des RVOG nicht betroffen. Aus diesem Grund muss dafür keine Datenschutz-Folgenabschätzung nach Artikel 22 DSG durchgeführt werden.