Mit der Revision des Regierungs- und Verwaltungsorganisationsgesetz (RVOG) soll der Datenschutz für juristische Personen auf Bundesebene gestärkt und eine bestehende Rechtslücke geschlossen werden. Die Digitale Gesellschaft begrüsst die Stossrichtung der Vorlage im Grundsatz, insbesondere die Klarstellung des Auskunftsrechts. Gleichzeitig gibt es punktuellen Verbesserungsbedarf – etwa bei potenziell schweren Grundrechtseingriffen, beim Schutz vor Risiken bei Datentransfers ins Ausland sowie im Bereich des Öffentlichkeitsprinzips.
Seit der Totalrevision des Datenschutzgesetzes (DSG) 2020 sind die juristischen Personen nicht mehr von dessen Anwendungsbereich erfasst. Daraus ergab sich eine Schutzlücke im Datenschutzrecht juristischer Personen, welche nun mit der Revision des RVOG geschlossen werden soll. Mit der systematischen Trennung des Datenschutzes für natürliche und juristische Personen gleicht sich die Schweiz dem Kanon der EU und des Europarates an. Mit der Vorlage sollen Datenexporte ins Ausland vereinfacht werden, das Recht auf informationelle Selbstbestimmung aus Art. 13 Abs. 2 BV auch für juristische Personen auf gesetzlicher Stufe konkretisiert werden, und es soll ein einheitlicher Rechtsrahmen – parallel zum DSG für die natürlichen Personen – für den Datenschutz juristischer Personen geschaffen werden.
Alte Übergangsbestimmung soll nun dauerhaft gelten (Art. 57sbis Abs. 1 VE-RVOG)
Zwischen der DSG-Revision und den nun geplanten Änderungen im RVOG konnten sämtliche Spezialgesetze, die Regeln zur Bearbeitung und zum Schutz von «Personendaten» vorsehen, nicht mehr ohne Weiteres auf juristische Personen angewendet werden, da der Begriff «Personendaten» seit der Revision nur noch die Daten natürlicher Personen umfasst. Damit keine Rechtslücke entsteht, wurde im Zuge der DSG-Revision eine Übergangsbestimmung geschaffen, die vorsieht, dass während fünf Jahren sämtliche Spezialerlasse, die Datenbearbeitungen und -schutz regeln, parallel auch auf juristische Personen angewendet werden dürfen, sofern es keine spezielle Regelung für juristische Personen gibt.
Während dieser fünf Jahre sollten die notwendigen Gesetzesbestimmungen geschaffen werden, damit künftig ausreichende gesetzliche Grundlagen vorhanden sind für Datenbearbeitungen bei juristischen Personen. Ebendiese zahlreich geplanten gesetzlichen Grundlagen wurden nun aber nicht geschaffen. Stattdessen soll nun die ursprünglich als Übergangslösung konzipierte Norm dauerhaft ins RVOG überführt werden. Dies wirft verfassungsrechtliche Fragen auf, da für schwere Grundrechtseingriffe – auch bei juristischen Personen – eine hinreichend klare und bestimmte gesetzliche Grundlage vorhanden sein muss.
Ob eine solche Auffangregel diesen Anforderungen des Legalitätsprinzips standhalten kann, ist fraglich. Es sollte daher geprüft werden, in welchen Bereichen regelmässig schwere Grundrechtseingriffe durch die Bearbeitung oder Bekanntgabe von Daten juristischer Personen erfolgen. Für solche Fallgruppen wäre die Schaffung spezifischer gesetzlicher Grundlagen angezeigt. Die Auffangregel des Art. 57sbis VE-RVOG könnte sodann auf Konstellationen mit geringer Eingriffsintensität beschränkt werden.
Ausnahme an falscher Stelle (Art. 57sbis Abs. 2 VE-RVOG)
Bei Datenexporten ins Ausland sollen die Datenschutzbestimmungen, die für natürliche Personen gelten, ausnahmsweise für juristische Personen nicht zur Anwendung kommen. An dieser Stelle eine Ausnahme von der ansonsten weitgehenden Gleichstellung zu machen, überzeugt allerdings wenig. Auch juristische Personen können bei einer Bekanntgabe ihrer Daten ins Ausland erheblich betroffen sein, etwa indem sie in der Ausübung von grundrechtlich geschützten Tätigkeiten behindert werden oder Missbrauchsrisiken ausgesetzt sind. So könnte etwa eine Gewerkschaft oder eine NGO durch die Weitergabe von Mitgliederlisten oder Finanzierungsdaten ins Ausland bei unzureichendem Datenschutz ins Visier von Überwachung oder Repression geraten und dadurch in ihrer Vereinigungs- oder Meinungsfreiheit eingeschränkt werden.
Vor diesem Hintergrund scheint es überzeugend, auch für juristische Personen entsprechende Schutznormen zu schaffen.
Absicherung des Auskunftsrechts (Art. 57t VE-RVOG)
Dass mit der Revision nun Klarheit geschaffen wird über den Bestand des Auskunftsrechts für juristische Personen, ist sehr zu begrüssen. So wird die unbefriedigende und bislang gültige Regelung, gemäss derer juristische Personen ihr Auskunftsrecht nur in einem hängigen Verfahren geltend machen können (aktueller Art. 57t RVOG), richtigerweise abgelöst.
Potenzielle Aushöhlung des Öffentlichkeitsprinzips (Art. 57w VE-RVOG)
Die geplante Gleichstellung juristischer Personen mit natürlichen Personen im Bereich des Öffentlichkeitsprinzips zöge weitreichende Konsequenzen nach sich. Sie würde es Unternehmen erleichtern, die Herausgabe von Informationen im Rahmen von Gesuchen nach dem Bundesgesetz über das Öffentlichkeitsprinzip der Verwaltung (BGÖ) zu blockieren, die von öffentlichem Interesse sind. Bereits heute kennt das BGÖ ein Anhörungsrecht, das erlaubt, schutzwürdige Einwände vorzubringen. Ein zusätzlicher und umfassender Rechtsschutz ist nicht erforderlich und birgt die Gefahr, die Transparenzpflicht der Verwaltung zu unterwandern. Art. 57w VE-RVOG ist somit zu streichen.
Fazit
Die Digitale Gesellschaft unterstützt die Zielsetzung der Vorlage. Damit sie überzeugt, braucht es gezielte Anpassungen zur Wahrung der Grundrechte und des Öffentlichkeitsprinzips.
Weiterführende Infos