Das revidierte Datenschutzgesetz (DSG) nähert sich bei der Bearbeitung von Daten juristischer Personen dem europäischen Recht an, indem es die Bearbeitung von Personendaten juristischer Personen nicht mehr schützt. Mit dieser Deregulierung wird unter anderem der grenzüberschreitende Datenverkehr vereinfacht, weil die Bekanntgabe von Daten juristischer Personen ins Ausland nicht mehr davon abhängt, ob im Empfängerstaat ein angemessener Schutz gewährleistet ist. Nachfolgend wird aufgezeigt, welche Auswirkungen der Wegfall des Schutzes juristischer Personen auf die Datenbearbeitung durch Bundesorgane hat sowie ob und wie die Kantone den Vollzug in ihren kantonalen Datenschutzgesetzen gestalten.
1. Ausgangslage: Aufhebung des Schutzes für Daten juristischer Personen im DSG
Gemäss Art. 2 Abs. 1 des revidierten DSG gilt dieses nur noch für die Bearbeitung von Personendaten natürlicher Personen. Die Bearbeitung von Personendaten juristischer Personen, wie kaufmännischer Gesellschaften, Vereinen oder Stiftungen, ist im DSG hingegen nicht mehr geschützt. Damit nähert sich das DSG dem europäischen Recht und insbesondere der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union an.
Das Wegfallen der gesetzlichen Grundlage im DSG für die Bearbeitung und Bekanntgabe von Daten juristischer Personen hat Auswirkungen auf die Datenbearbeitung und Datenbekanntgabe durch Bundesorgane. Neu haben Bundesorgane namentlich im revidierten Regierungs- und Verwaltungsorganisationsgesetz (RVOG) zahlreiche Bestimmungen zu berücksichtigen, welche den Umgang mit Daten juristischer Personen regen.
2. Neue Bestimmungen zum Umgang mit Daten juristischer Personen
Art. 57r Abs. 1 RVOG stellt eine zentrale Bestimmung des revidierten RVOG dar, indem es eine allgemeine, direkt anwendbare gesetzliche Grundlage für die Bearbeitung von Daten juristischer Personen schafft (vgl. zum Ganzen Botschaft zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz, BBl 2017 6941, S. 7114 ff.). Bundesorgane dürfen Daten juristischer Personen, einschliesslich besonders schützenswerter Daten, bearbeiten, soweit dies für die Erfüllung ihrer Aufgaben erforderlich ist und die Aufgabe in einem Gesetz im formellen Sinn umschrieben ist. Sind die Anforderungen von Art. 57r Abs. 1 RVOG erfüllt, ist keine spezialgesetzliche Ermächtigung mehr erforderlich. Etwas anderes gilt jedoch dann, wenn der Zweck oder die Art und Weise der Datenbearbeitung zu einem derart schwerwiegenden Eingriff in die Grundrechte der betroffenen Personen führt, dass eine ausdrückliche Regelung im jeweiligen Sacherlass erforderlich ist. Es ist für jedes Rechtsetzungsprojekt einzeln zu prüfen, ob eine solche spezialgesetzliche Regelung notwendig ist.
Für die Bekanntgabe von Daten juristischer Personen verankert Art. 57s Abs. 1 RVOG den Grundsatz, dass Bundesorgane Daten juristischer Personen bekannt gegeben dürfen, wenn eine Rechtsgrundlage dies vorsieht. Im Unterschied zu Art. 57r Abs. 2 RVOG betreffend die Bearbeitung von Daten ist für die Bekanntgabe von Daten juristischer Personen durch Bundesorgane somit eine zusätzliche spezialgesetzliche Grundlage erforderlich. Diese kann in einem völkerrechtlichen Vertrag, einem Gesetz im formellen Sinn oder einer Verordnung vorgesehen sein. Während für die Bekanntgabe von «gewöhnlichen» Daten juristischer Personen eine Verordnungsbestimmung grundsätzlich genügt, ist bei besonders schützenswerten Daten grundsätzlich eine Grundlage in einem Gesetz im formellen Sinn erforderlich (Art. 57s Abs. 2 RVOG).
Art. 57t RVOG besagt, dass das anwendbare Verfahrensrecht die Rechte der betroffenen juristischen Personen regelt. Diese Regelung ist wichtig, weil sich die juristischen Personen mit der Ausnahme aus dem Geltungsbereich des DSG nicht auf besondere datenschutzrechtliche Auskunfts- und Berichtigungsansprüche berufen können. Durch diese Bestimmung im RVOG ist sichergestellt, dass sich juristische Personen namentlich auf das Akteneinsichtsrecht nach Art. 26 ff. Bundesgesetz über das Verwaltungsverfahren (VwVG) berufen, ihren Anspruch auf rechtliches Gehör nach Art. 29 ff. VwVG geltend machen und gegen die Verfügung des zuständigen Bundesorgans Beschwerde erheben können. Durch die Berufung auf Art. 25a VwVG können juristische Personen schliesslich ihr Recht auf Berichtigung bzw. Vernichtung ihrer Daten geltend machen.
Darüber hinaus hat sich der Bundesgesetzgeber dazu entschlossen, Daten juristischer Personen im Rahmen des Zugangs zu amtlichen Dokumenten weiterhin zu schützen (vgl. Art. 9 des revidierten Öffentlichkeitsgesetzes).
In Art. 71 DSG schliesslich ist eine Übergangsbestimmung betreffend die Daten juristischer Personen verankert. Demnach gelten die bisherigen spezialgesetzlichen Datenschutzbestimmungen während fünf Jahren nach Inkrafttreten des DSG für die Daten juristischer Personen weiter.
3. Überblick über die Umsetzung auf kantonaler Ebene
Die Kantone verfolgen mehrheitlich den Weg der Deregulierung entsprechend der Revision des DSG des Bundes (vgl. die Übersicht bei Julian Powell, Die Revision der kantonalen Datenschutzgesetze, in: Jusletter 31. Mai 2021, N 9). Beispielsweise erwähnt sei der Kanton St. Gallen, welcher sein Datenschutzgesetz (DSG/SG) bereits per 25. September 2019 an das europäische Recht angepasst und juristische Personen vom Geltungsbereich des DSG/SG ausgenommen hat (vgl. Art. 1 Abs. 1 lit. c DSG/SG). Der Kanton Zug beabsichtig, § 2 Abs. 1 lit. a des Datenschutzgesetzes des Kantons Zug (DSG/ZG) ebenfalls insofern anzupassen, als dass Daten juristischer Personen von Geltungsbereich des DSG/ZG ausgenommen sind. Aus Sicht des Kantons Zug erscheint es als nicht sinnvoll, eine vom Bund abweichende Regelung beizubehalten. Im Kanton Zürich hingegen wird die Beschränkung des Geltungsbereichs des Gesetzes über die Information und den Datenschutz (IDG/ZH) auf den Schutz der Persönlichkeit von natürlichen Personen mit der Revision des IDG nicht nachvollzogen und die Daten juristischer Personen bleiben weiterhin dem IDG/ZH unterstellt (vgl. § 3 Abs. 3 IDG/ZH). Aus Sicht des Kantons Zürich ist nicht ersichtlich, weshalb der Schutz von Daten juristischer Personen zu ungerechtfertigten Einschränkungen führen und inwieweit der Wirtschaftsstandort Zürich dadurch geschwächt würde.
4. Würdigung
Die gewählte Deregulierung des DSG erscheint vor dem Hintergrund der Annäherung an das europäische Recht sowie aufgrund des Umstands, dass der Schutz von Daten juristischer Personen seit jeher von eher geringer praktischer Relevanz war, richtig. Auch dass die Kantone grossmehrheitlich den Weg der Deregulierung verfolgen, ist mit Blick auf die in diesem Bereich wünschenswerte Harmonisierung von Bundesrecht und kantonalem Recht zu begrüssen. Es wird sich weiter zeigen, ob Kantone wie Zürich, welche die Deregulierung nicht nachvollzogen haben, den Schutz der Daten juristischer Personen in ihren kantonalen Datenschutzgesetzen längerfristig beibehalten werden. Dies insbesondere deshalb, weil der Schutz juristischer Personen zu Erschwerungen mitunter im grenzüberschreitenden Datenverkehr führen kann (vgl. zum Ganzen Julian Powell, Die Revision der kantonalen Datenschutzgesetze, in: Jusletter 31. Mai 2021, N 9). Sollen die Daten juristischer Personen weiterhin geschützt bleiben, verdient die Lösung des Bundes, die von einer Regelung ausserhalb des DSG ausgeht und den Schutz ins RVOG aufgenommen hat, so besehen den Vorzug.