Revision des Datenschutzgesetzes: kollektive Rechtsdurchsetzung im Datenschutzrecht?

Insbesondere durch die ideelle Verbandsbeschwerde

Regina Meier *

In seiner Botschaft zur Revision des Datenschutzgesetzes (DSG) steht der Bundesrat der Aufnahme von kollektiven Rechtsdurchsetzungsmechanismen wie dem ideellen Verbandsbeschwerderecht in den Erlasstext kritisch gegenüber. Das DSG wäre hierfür jedoch an sich ein geeigneter Rechts­bereich; im Recht der Europäischen Union ist denn auch eine Öffnungsklausel für ein Verbands­klagerecht enthalten. Für Einzelpersonen haben sich die Möglichkeiten, Verletzungen ihrer Daten­schutzinteressen selbst geltend zu machen, in den letzten Jahren infolge der zuneh­menden Techno­logi­sierung tendenziell verschlechtert. Ein ideelles Verbands­beschwerde­recht könnte hier - neben anderen prozessualen Instrumenten wie beispielsweise der Behördenbeschwerde - unterstützend wirken.

Zitiervorschlag: Regina Meier, Revision des Datenschutzgesetzes: kollektive Rechtsdurchsetzung im Datenschutzrecht?, in: sui-generis 2018, S. 139

URL: sui-generis.ch/64

DOI: https://doi.org/10.21257/sg.64

* Regina Meier, Dr. iur., ist Gerichtsschreiberin am Verwaltungsgericht Zürich. Die Autorin dankt Annekatrin Wortha, Dr. iur., und Jiri Ulrich, MSc, für die kritische Durchsicht und die zahlreichen wertvollen Hinweise.


I. Ausgangslage

1. Ziele der Revision des Datenschutzgesetzes

Am 1. April 2015 beauftragte der Bundesrat das Eidgenössische Justiz- und Polizeidepartement mit der Ausarbeitung eines Vernehmlassungsentwurfs für die Revision des Datenschutzrechts.[1] Am 21. Dezember 2016 wurde das Vernehmlassungsverfahren eröffnet; die Frist endete am 4. April 2017.[2] Am 15. September 2017 wurde schliesslich die Botschaft des Bundesrates zu diesem Rechtssetzungsvorhaben publiziert.[3] Hauptziele der (Total-)Revision sind namentlich die Stärkung des Schutzes von Personendaten bzw. der datenschutzrechtlichen Stellung der Bevölkerung sowie der Nachvollzug der Entwicklungen des Daten­schutz­rechts auf europäischer Ebene.

In Art. 80 der Datenschutz-Grundverordnung DSGVO (oder General Data Protection Regulation GDPR) der Europäischen Union[4] ist zur verbesserten Durchsetzung des Rechtsschutzes im Daten­schutzbereich eine Öffnungsklausel für ein Verbandsklagerecht enthalten.[5] Die in dieser Bestimmung aufgeführten Rechtsbehelfe können somit von den Organisationen unter dem Vorbehalt geltend gemacht werden, dass ein entsprechender kollektiver Rechtsdurchsetzungsmechanismus im nationalen Recht der EU-Mitgliedstaaten vorgesehen ist; dies ist derzeit beispielsweise nach schwedischem Recht oder im Rahmen des niederländischen «Gruppenvergleichsverfahrens» der Fall.[6] Nicht zulässig ist es gemäss Art. 80 Abs. 2 DSGVO, ohne entsprechenden Auftrag der unmittelbar betroffenen Person die Geltendmachung von Schadenersatzansprüchen durch Verbände zuzulassen. Bei auf Abwehr von Datenschutzverletzungen gerichteten Ansprüchen können diese jedoch unabhängig von der Zustimmung der Betroffenen vorgehen.[7] Dies entspricht den Regelungen bestehender kollektiver Rechtsdurchsetzungsmechanismen im schweizerischen Recht.[8] Auch die Anforderungen, welche an die Verbände zur Erlangung der Legitimation gestellt werden - namentlich die Tätigkeit im fraglichen Rechtsbereich, hier also im Datenschutz -, finden sich bereits heute ähnlich in schweizerischen Spezialgesetzen.[9]

Der Bundesrat hat sich trotz der Bestimmung in Art. 80 DSGVO dazu entschlossen, kein Mittel zur kollektiven Rechtsdurchsetzung - das heisst zur Geltendmachung von Datenschutzinteressen durch Organisationen, welche vom Anfechtungsobjekt nicht selbst materiell beschwert sein müssen - in den Entwurf zum totalrevidierten Datenschutzgesetz aufzunehmen; vielmehr bezeichnet er die Festschreibung eines solchen Mechanismus im Erlasstext als nicht opportun.[10] Dies versteht sich nicht von selbst. Schon im Rahmen der parlamentarischen Beratungen im Jahr 1990 zum Erlass des DSG[11] wurde über die Aufnahme eines Verbandsbeschwerde- oder Verbandskla­gerechts in den Gesetzestext debattiert,[12] und die Schwierigkeiten von Einzelpersonen, ihre datenschutzrechtlichen Ansprüche ohne Unterstützung durch­zusetzen, haben seither kaum abge­nommen.[13]

2. Forderungen nach kollektiven Rechtsdurchsetzungsmechanismen

Vor dem Hintergrund des vorstehend Ausgeführten wurden im Vernehm­lassungs­verfahren zur aktuellen Revision von verschiedenen Seiten Verbands- und Sammel­verfahren gefordert - so unter anderen von der Grünen Partei Schweiz[14] und vom Verein «Digitale Gesellschaft»[15]. Letzterer schlägt in seiner Vernehmlassungsantwort für das sechste Kapitel des Gesetzes betreffend Datenbearbeitung durch Bundesorgane einen Art. 34 Abs. 3bis DSG[16] mit dem folgenden Wortlaut[17] vor:

    «Ansprüche und Verfahren stehen ebenso Organisationen von gesamt­schweizerischer oder regionaler Bedeutung zu, die sich statutengemäss unter anderem dem Datenschutz widmen.»

Bei einer Bestimmung mit diesem Wortlaut würde es sich um eine Spezialnorm handeln, welche ein ideelles Verbandsbeschwerderecht betreffend die Datenbearbeitung durch Bundesorgane - nicht hingegen durch kantonale Organe, auf kantonaler Ebene besteht im Verwaltungsrecht keine Datenschutzgesetzgebungskompetenz des Bundes - beinhaltete.[18] Ideelle Ver­bands­­be­schwer­de­rechte, das heisst die Befugnis zur Erhebung eines Rechtsmittels im Bereich des öffentlichen Rechts durch Organisationen, ohne dass diese durch den angefochtenen Entscheid oder die angefochtene Anordnung selbst beschwert sein müssen, können spezialgesetzlich vorgesehen werden und dienen grundsätzlich der Durchsetzung öffentlicher Interessen;[19] dies kann allerdings durchaus durch die Unterstützung von Einzelpersonen geschehen, auch in solchen Fällen können öffentliche Interessen (mit)betroffen sein. Die im schweizerischen Recht bestehenden ideellen Verbandsbeschwerderechte haben sich, namentlich im Bereich des Umweltschutzes, grundsätzlich als wirksame Mechanismen zur Rechts­ver­wirk­lich­ung bewährt. Regelmässig werden deutlich über 50 % der von Verbänden erhobenen Rechts­mittel gutgeheissen.[20]

Ein Verbandsklagerecht als kollektiver Rechtsdurchsetzungsmechanismus be­treffend Rechtsbeziehungen zwischen Privaten wäre dagegen im fünften Kapitel des Gesetzes festzuschreiben (bspw. in einem Absatz von Art. 28 E-DSG). Gewisse derartige Klage­mög­lichkeiten[21] ergeben sich jedoch bereits aus Art. 89 ZPO[22]. Zudem erarbeitet der Bundesrat aktuell einen Vorentwurf für ein Gesetz, das die kollektive Rechtsdurchsetzung im Privatrecht flächendeckend regeln soll.[23] Die folgenden Aus­führun­gen beschränken sich mit Blick darauf hauptsächlich auf das ideelle Verbands­be­schwerde­recht, da der verwaltungsrechtliche Rechtsschutz deutlich weniger stark ausgebaut ist. Es ist jedoch darauf hinzuweisen, dass auch im Bereich des Privatrechts gewisse Verbandsklagerechte spezialgesetzlich normiert sind.[24]

II. Eignung der ideellen Verbandsbeschwerde für den Datenschutzbereich

1. Entwicklungen seit den 1990er-Jahren

a) Häufigere Datenschutz­verletzungen durch mehr Technologisierung…

Im Rahmen der Vorarbeiten zur Gesetzesrevision wurde das in den 1990er-Jahren entstandene DSG einer Evalua­tion unterzogen.[25] Dabei hat sich herausgestellt, dass von allfälligen Rechtsverletzungen betroffene Personen ihre Rechte selten wahrnehmen. Dies dürfte auf die «nicht gleich langen Spiesse» von Datenbearbeitenden und betroffenen Personen zurückzuführen sein. Namentlich im Bereich des Privatrechts sind seit Erlass des DSG im Zuge der zunehmenden Technologisierung diverse Grossunternehmen entstanden, die in finanzieller sowie organisatorischer Hinsicht um ein Vielfaches bessere Voraussetzungen für das Führen von Prozessen haben als Einzelpersonen. Es ist eine typische Funktion von kollektiven Rechtsdurchsetzungsmechanismen, derartige Chancenungleichheiten bis zu einem gewissen Grad aufzufangen, indem Einzelpersonen durch die Unterstützung eines Verbandes der Zugang zum Gericht vereinfacht oder gar erst ermöglicht wird.[26]

Weiter lohnt sich ein Blick auf die Art der von Rechtsverletzungen betroffenen Datenschutzinteressen. In diesem Rechtsbereich kommt es vor, dass von einem Schadensereignis bzw. von einer einzelnen Ursache wie einer grösseren Datenpanne bzw. einem Systemfehler eine Vielzahl von Personen betroffen ist;[27] diese Gefahr hat sich infolge der fortschreitenden Technologisierung und Datenverbreitung via Internet seit Erlass des DSG massiv vergrössert. Bei derartigen Massenschäden ist namentlich auch das Phänomen des «Streuschadens» zu beachten, bei dem die Geschädigten nur einen relativ geringen Schaden erleiden oder nur vergleichsweise unwichtige Interessen betroffen sind. In derartigen Fällen lohnt sich ein Gang vor die Rechtsmittelinstanzen für betroffene Private vielfach nicht, da die verletzten Datenschutzinteressen nicht «beschwerde­würdig» sind[28]: Der finanzielle und organisatorische Aufwand sowie das Risiko eines Rechtsmittelverfahrens sind hier im Verhältnis zum allfälligen Prozess­gewinn zu hoch.[29] In ihrer Summe sind die verletzten Interessen in derartigen Konstellationen jedoch häufig nicht mehr marginal und könnten mittels eines kollektiven Rechtsdurchsetzungs­mecha­nismus gebündelt werden.[30] Zweck des Rechtsschutzes ist grundsätzlich nicht nur die Durchsetzung individueller Interessen, sondern auch die objektive Verwirklichung der Rechtsordnung an sich; mit Blick auf das vorstehend Ausgeführte könnte ein Verbandsbeschwerde- oder -klagerecht im Bereich des Datenschutzes einen Beitrag hierzu leisten.[31]

b) … aber auch bessere Vertretung der Datenschutzinteressen

Um zur ideellen[32] Verbandsbeschwerde berechtigt zu sein, benötigen die betreffenden Organisationen eine Bestimmung in einem Spezialgesetz, welche ihnen dieses Recht einräumt.[33] Typischerweise verlangen derartige Spezialnormen von den Verbänden, dass sie sich statutengemäss dem Rechtsbereich widmen, in welchem sie mittels Verbandsbeschwerde prozessieren möchten. Weiter wird regel­mässig verlangt, dass die betreffende Organisation seit längerer Zeit besteht oder einen gewissen geografischen Wirkungskreis hat.[34] Damit soll ein allzu grosser Kreis von Beschwerdeberechtigten vermieden werden.[35]

Im Gesetzgebungsprozess zum DSG vor inzwischen rund 25 Jahren wurde festgestellt, dass es an geeigneten Organisationen, welche von einem Verbandsbeschwerderecht Gebrauch machen könnten, mangelte.[36] Seither haben sich jedoch - da die Thematik namentlich im Zusammenhang mit der Entstehung grosser datenverarbeitender Technologiekonzerne zunehmend relevanter wurde - einige Verbände gebildet, welche in ihren Statuten explizit die Wahrung von Datenschutzinteressen aufführen und eine gewisse Bedeutung erlangt haben.[37]

2. Information der Verbände

Da heute, wie oben ausgeführt, geeignete Verbände für die Ausübung eines Beschwerderechts vorhanden wären, stellt sich die Folgefrage, auf welchem Weg diese über Verletzungen des Datenschutzrechts oder laufende Verfahren Kenntnis erhalten könnten. Ideelle Verbandsbeschwerderechte zeichnen sich (im Gegensatz zur egoistischen Verbandsbeschwerde; bei den Verbandsklagerechten gibt es beide Varianten sowie Mischformen[38]) dadurch aus, dass die Organisationen bzw. ihre Mitglieder gerade nicht in ihren eigenen Interessen betroffen sein müssen. Daher müssen sich die Verbände die nötigen Informationen für die Prozessführung auf anderem Weg beschaffen.

Im Datenschutzbereich ist im Gesetzes­entwurf ebenso wie im bisherigen Erlass­text vorgesehen, dass der oder die Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) die Öffentlichkeit - und entsprechend auch die Verbände - in Fällen von allgemeinem Interesse sowie über seine bzw. ihre Verfügungen[39] informiert (Art. 48 Abs. 2E‑DSG; Art. 30 DSG). Diese Informationspflicht ist für die Verbandsbeschwerde relevant, da mit dieser grundsätzlich gerade Fälle von allgemeinem Interesse geklärt bzw. eine (potenzielle) Grosszahl von Betroffenen vertreten werden soll; sie soll in der Regel zur Schaffung von Präjudizien eingesetzt werden.[40] Verschiedene im Gesetzesentwurf vorgesehene Meldepflichten sollen zudem gewährleisten, dass dem oder der EDÖB die Informationen, welche im Datenschutzbereich von allgemeinem Interesse sind und der Öffentlichkeit kommuniziert werden müssen, zur Kenntnis gebracht werden (bspw. bei einer «flächendeckenden» Bekanntgabe von Daten ins Ausland)[41]. Auch die Privaten sollen unaufgefordert über sie betreffende Datenverarbeitungen informiert werden.[42] So gewonnene Erkenntnisse können sie den Verbänden anschliessend zur Kenntnis bringen.

Es bestehen im Datenschutzbereich folglich diverse Möglichkeiten, wie legitimierte Verbände an die nötigen Informationen gelangen könnten, um die in Art. 37 E-DSG angesprochenen Verfahren anzustossen bzw. die entsprechenden Ansprüche[43] geltend zu machen.

3. Das Datenschutzrecht als Querschnittsmaterie

Nicht in allen Rechtsgebieten bietet sich die Statuierung eines Verbandsbeschwerderechts gleichermassen an. Typischerweise findet man solche im Bereich von sogenannten Querschnitts­themen[44]. Die in diesen Bereichen vorliegenden Rechtsnormen zeichnen sich dadurch aus, dass sie in verschiedensten Kontexten zu beachten sind; ihre Durchsetzung kann daher nicht oder nur eingeschränkt zentral organisiert werden und ist mithin tendenziell geschwächt. Unter derartigen Umständen kann eine Verbandsbeschwerde ein geeignetes Mittel zur Unterstützung der Rechtsdurchsetzung darstellen.[45] Weiter betreffen Querschnittsthemen oft eine Vielzahl von Personen - die Verbandsbeschwerde soll in der Regel in derartigen Fällen ergriffen werden, und nicht, um einer Einzelperson in einem spezifischen Einzelfall, der keinen präjudiziellen Charakter hat, zu ihrem Recht zu verhelfen.[46]

Beim Datenschutzrecht handelt es sich um einen typischen Querschnittsbereich, gelten seine Bestimmungen doch sowohl bei der Wahrnehmung verschiedenster Staatsaufgaben sowie im Verhältnis zwischen Privaten in unterschiedlichsten Kontexten. Damit zusammenhängend ist zu beachten, dass das DSG ein Rahmen- bzw. ein Grundsatzgesetz ist; es regelt die Zulässigkeit von Datenbearbeitungen nicht für spezifische Einzelbereiche, sondern enthält Bestimmungen wie beispielsweise, dass Bundesorgane[47] für die Bearbeitung von Personendaten eine gesetzliche Grundlage im jeweiligen Spezialgesetz benötigen (Art. 27 E-DSG). Ein kollektiver Rechtsdurchsetzungsmechanismus kann unter solchen Umständen für eine gewisse Einheitlichkeit bei der Durchsetzung der Grundsätze[48] eines Rahmengesetzes sorgen.

4. Fazit

Zusammenfassend kann festgehalten werden, dass sich die Materie des Datenschutzes für eine Rechtsdurchsetzung mittels Verbandsbeschwerde grundsätzlich eignet und dass die praktischen Voraussetzungen hierfür gegeben wären. Zudem ist die Einführung kollektiver Rechtsdurchsetzungsmechanismen im Bereich des Datenschutzes infolge der zunehmenden Technologisierung tendenziell dringlicher geworden.

III. Zusätzliche Möglichkeiten zur Rechtsdurchsetzung

1. Behördenbeschwerde

Gleich wie die ideelle Verbandsbeschwerde kann auch die Behördenbeschwerde in einer Spezialnorm vorgesehen werden, um die Vertretung von sonst allenfalls vernachlässigten Interessen zu verbessern.[49] Dieses Instrument hat den Vorteil, dass es eingesetzt werden kann, wenn keine geeigneten Organisationen für das ideelle Verbandsbeschwerderecht zur Verfügung stehen - dadurch kann gewährleistet werden, dass nicht organisierte Interessen ebenfalls vertreten werden.[50] In verschiedenen Erlassen sind allerdings beide Beschwerdemöglichkeiten nebeneinander vor­gesehen.[51] Die beiden Instrumente sind meines Erachtens nicht als Alternativen zu betrachten; vielmehr können sie ergänzend eingesetzt werden.

In Art. 46 Abs. 3 E-DSG ist das Recht des oder der EDÖB vorgesehen, Beschwerdeentscheide des Bundesverwaltungsgerichts betreffend die von ihm bzw. ihr erlassenen Verfügungen anzufechten (vgl. Art. 27 Abs. 6 und Art. 29 Abs. 4 DSG zum bisherigen Beschwerderecht). Partei im Verfahren ist im Übrigen nur diejenige Person bzw. dasjenige Bundesorgan, der oder dem eine Datenschutzverletzung vorgeworfen wird - nicht aber die in ihren Interessen verletzte Person (Art. 46 Abs. 2 E-DSG).[52] An dieser Stelle könnte ein Verbandsbeschwerderecht nützlich sein und das Behördenbeschwerderecht gemäss Art. 46 Abs. 3 E‑DSG ergänzen: Es ist denkbar, dass eine Verfügung der oder des EDÖB nach Abschluss des Untersuchungsverfahrens (allenfalls einseitig) zu Gunsten der Person oder des Bundesorgans ausfällt, welcher oder welchem eine Daten­schutz­rechts­verletzung vorgeworfen wird. Weder die Letztgenannten noch die bzw. der EDÖB werden jedoch hiergegen Beschwerde vor Bundesverwaltungsgericht führen - und die betroffene Person ist nicht Partei in diesem Verfahren. Ein ideelles Verbandsbeschwerderecht gegen die im Untersuchungsverfahren ergehenden Verfügungen könnte diese Rechtsschutzlücke schliessen.[53]

2. Weitere Instrumente

Neben dem Verbands- und dem Behördenbeschwerderecht gibt es auch verschiedene Möglichkeiten, Einzelpersonen selbst den Gang vor die gerichtlichen Instanzen zu vereinfachen. Denkbar wären unter anderen die Mittel der Beweislastumkehr oder der vereinfachten[54] oder kostenlosen[55] Verfahren. Einige solche Optionen wurden geprüft, aber schliesslich verworfen.[56] Namentlich wurde auch kein Recht auf Datenportabilität[57] eingefügt; dieses hätte den Betroffenen die Prozessführung allenfalls vereinfachen bzw. ihnen die Grundlagen hierfür bereitstellen können. Insgesamt stellt der Gesetzesentwurf den betroffenen Einzelpersonen wenige Mittel bereit, welche ihnen die Beschrei­tung des Rechts­mittelwegs erleichtern könnten.

Schliesslich kann danach gefragt werden, ob die Tätigkeit der bzw. des EDÖB - abgesehen vom Behördenbeschwerderecht - die Durchsetzung des Datenschutzes verbessern kann. Der Vergleich zwischen dem geltenden Erlasstext und dem Gesetzesentwurf lässt erkennen, dass die Position des bzw. der EDÖB, namentlich seine bzw. ihre Unabhängigkeit[58], gestärkt werden soll (wenngleich selbstverständlich nur schon im Hinblick auf die Ernennung sowie die organisatorische Stellung innerhalb der Bundesverwaltung nicht der gleiche Grad an Unabhängigkeit von den Bundesorganen erlangt werden kann, wie ihn Verbände typischerweise innehaben). In Art. 43 ff. E-DSG finden sich die Kompetenzen des oder der EDÖB, von Amtes wegen oder auf Anzeige hin Untersuchungen zu eröffnen und Verfügungen zu erlassen sowie vorsorgliche Massnahmen anzu­ordnen - im geltenden Recht beschrän­ken sich die Befugnisse über weite Strecken auf das Aussprechen von Empfehlungen. In der Auflistung der Kompetenzen nicht enthalten ist hingegen die Anordnung von Verwaltungssanktionen; zudem besteht eine Aufsichtsmöglichkeit des oder der EDÖB nur gegenüber Bundesorganen, nicht aber gegenüber Privaten (Art. 3 E-DSG). Nichtsdestotrotz ist jedoch eine eindeutige Aufwertung der Stellung der bzw. des EDÖB festzustellen, was der Durchsetzung von Datenschutzanliegen sicherlich dient.

IV. Ergebnis

Dank der gestärkten Position des bzw. der EDÖB kann mit dem revidierten Datenschutzrecht das im Rahmen der Evaluation des bestehenden Gesetzes festgestellte Rechtsdurchsetzungsdefizit wohl in verschiedenen Bereichen aufgefangen werden. Abgesehen davon sieht das Gesetz jedoch nicht viele Instrumente zur Beseitigung dieses Defizits vor. Namentlich bleibt es für Einzelpersonen aus verschiedenen Gründen weiterhin schwer, ihre Rechte selbst geltend zu machen; zudem vermag auch die vorgesehene Behördenbeschwerde nicht in sämtlichen Fällen Abhilfe zu schaffen.

Meines Erachtens ist es bedauerlich, dass der Gesetzesentwurf im Hinblick auf kollektive Rechtsschutzmöglichkeiten hinter dem Recht der Europäischen Union zurückbleibt und solche Instrumente im Gesetzgebungsverfahren bislang nicht eingehender geprüft wurden. Namentlich wäre die Aufnahme eines ideellen Verbandsbeschwerderechts in den Erlasstext zu erwägen; dies vor dem Hintergrund, dass es sich beim Datenschutzrecht als Querschnittsmaterie um einen hierfür geeigneten Rechtsbereich handelt und qualifizierte Organisationen zur Wahrnehmung eines Beschwerderechts bestehen würden.



[1] Bericht des Bundesamtes für Justiz vom 10. August 2017 zum Vorentwurf für das Bundesgesetz über die Totalrevision des Datenschutzgesetzes und die Änderung weiterer Erlasse zum Datenschutz (Bericht DSG), S. 4.

[3] Botschaft vom 15. September 2017 über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz, BBl 2017 6941 ff. (Botschaft DSG) sowie BBl 2017 7193 ff. (E-DSG).

[4] Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. L 119 vom 4. Mai 2016; Inkrafttreten am 25. Mai 2018.

[5] Es sind Konstellationen denkbar, in denen kollektive Rechtsdurchsetzungsmechanismen auf dem Weg des schweizerischen internationalen Privatrechts Eingang in Prozesse vor Schweizer Gerichten finden könnten.

[6] Vgl. hierzu Jan D. Lüttringhaus, Das internationale Datenprivatrecht: Baustein des Wirtschaftskollisionsrecht des 21. Jahrhunderts, ZVglRWiss 1/2018 S. 70.

[7] Siehe auch Erwägungsgrund Nr. 142 zur DSGVO.

[8] Es ist denn auch sicherlich sinnvoll, dass für niemanden gegen seinen Willen ein geldwerter Vorteil erstritten wird; andererseits ist es nachvollziehbar, dass die Geltendmachung von Abwehransprüchen namentlich im Fall von Massen- oder Streuschäden mit einer unüberblickbaren Anzahl Betroffener ohne deren jeweilige separate Zustimmung ermöglicht werden soll; siehe hierzu Regina Meier, Das ideelle Verbandsbeschwerderecht, 2015, S. 7, 135 f.

[9] Vgl. den Normvorschlag sogleich unten in Kap. I.2. sowie die Ausführungen in Kap. II.1.b.

[10] Botschaft DSG (Fn. 3), 6984.

[11 Bundesgesetz vom 19. Juni 1992 über den Datenschutz (DSG; SR 235.1).

[12] Amtl. Bull. 1990 S 157 f.

[13] Siehe unten Kap. II.1.a.

[14] Siehe Bericht DSG (Fn. 1), S. 44.

[15] Vgl. auch den Bericht «Normkonzept zur Revision des Datenschutzgesetzes» der Begleitgruppe Revision DSG vom 29. Oktober 2014, S. 36, worin sich eine Minderheit für den Ausbau kollektiver Rechtsdurchsetzungsmechanismen aussprach.

[16] Die Ansprüche und Verfahren im Zusammenhang mit der Datenbearbeitung durch Bundesorgane waren im Vorentwurf in Art. 34 enthalten; im Entwurf finden sie sich in Art. 37 E-DSG.

[17] Der Wortlaut ist eng angelehnt an vergleichbare Bestimmungen, beispielsweise in Art. 7 des Bundesgesetzes vom 24. März 1995 über die Gleichstellung von Frau und Mann (GlG; SR 151.1) oder in Art. 55 des Bundesgesetzes vom 7. Oktober 1983 über den Umweltschutz (USG; SR 814.01).

[18] Eine Definition des Begriffs «Datenbearbeitung» findet sich in Art. 4 lit. d E-DSG: Damit gemeint ist jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten von Daten. Die heute geltende Definition des Begriffs findet sich in Art. 3 lit. e DSG.

[19] Die einzelnen Voraussetzungen und Besonderheiten der ideellen Verbandsbeschwerde, wie beispielsweise hierfür geeignete Rechtsbereiche oder die Anforderungen, welche die Organisationen typischerweise erfüllen müssen, werden in der Folge im Rahmen der einzelnen Kapitel separat erläutert.

[20] Vgl. die Statistik abgeschlossener Beschwerdefälle und der Verfahren vor Bundesgericht sowie die Ergebnisse von Alexandre Flückiger/Charles-Albert Morand/Thierry Tanquerel, Evaluation du droit de recours des organisations de protection de l'environnement, SRU Nr. 314, Bern 2000.

[21] Vgl. zu den zulässigen Ansprüchen Markus Kern/Astrid Epiney, Durchsetzungsmechanismen im EU-Recht und ihre Implikationen für die Schweiz, in: Epiney/Nüesch (Hrsg.), Durchsetzung der Rechte der Betroffenen im Bereich des Datenschutzes, Zürich/Basel/Genf 2015, S. 19 ff., 48.

[22] Schweizerische Zivilprozessordnung vom 19. Dezember 2008 (ZPO; SR 272).

[23] Vgl. Motion Prisca Birrer-Heimo (13.3931): Förderung und Ausbau der Instrumente der kollektiven Rechtsdurchsetzung.

[24] So beispielsweise in Art. 10 des Bundesgesetzes vom 19. Dezember 1986 gegen den unlauteren Wettbewerb (UWG; SR 241).

[25] Vgl. die Hinweise in der Botschaft DSG (Fn. 3), 6954; 7071. Im Bericht des Bundesrates über die Evaluation des DSG vom 9. Dezember 2011 wird eine Stärkung der kollektiven Rechtsdurchsetzung als Mittel zur Verbesserung der Datenkontrolle und -herrschaft erwähnt (BBl 2012 350).

[26] Jean-Philippe Walter, L'effectivité des mécanismes de mise en œuvre de la protection des données, in: Epiney/Nüesch (Hrsg.), Durchsetzung der Rechte der Betroffenen im Bereich des Datenschutzes, Zürich/Basel/Genf 2015, S. 115 ff., 117; Meier (Fn. 8), S. 4 f.

[27] Bei einem derartigen konzeptionellen Fehler in der Datenbearbeitung, bei dem beispielsweise ein unzulässiger Zugriff auf eine umfangreiche Datensammlung o.ä. erfolgt, sollen nicht sämtliche einzelnen Betroffenen separat den Rechtsweg beschreiten müssen; vgl. Bruno Baeriswyl, in: Kommentar zum Datenschutzgesetz (DSG), 2015, N. 12 f. zu Art. 29.

[28] Kern/Epiney (Fn. 21), S. 40.

[29] Vgl. Bericht des Bundesrates vom 3. Juli 2013, Kollektiver Rechtsschutz in der Schweiz - Bestandesaufnahme und Handlungsmöglichkeiten, VPB 2/2013 vom 20. De­zem­ber 2013, S. 70.

[30] Kern/Epiney (Fn. 21), S. 43; dieses Ziel verfolgte auch die Motion Schwaab (13.3052): Recht zur Sammelklage bei Datenschutzverletzungen, insbesondere im Internet.

[31] Meier (Fn. 8), S. 6.

[32] Neben der ideellen existiert auch die sogenannte egoistische Verbandsbeschwerde. Diese hat jedoch eine vergleichsweise geringe Bedeutung. Sie dient zur Durchsetzung der Interessen der Mitglieder eines Verbandes und kann - ohne dass dies in einem Spezialgesetz vorgesehen werden müsste - dann erhoben werden, wenn eine grosse Zahl von Mitgliedern selbst legitimiert wäre; dies ist bei der ideellen Verbandsbeschwerde nicht Voraussetzung (vgl. statt vieler Alfred Kölz/Isabelle Häner/Martin Bertschi, Verwaltungsverfahren und Verwaltungsrechtspflege des Bundes, 3. Aufl. 2013, Rz. 962 ff.).

[33] Vgl. bspw. Art. 89 Abs. 2 lit. d des Bundesgesetzes vom 17. Juni 2005 über das Bundesgericht (BGG; SR 173.110) oder Art. 48 Abs. 2 des Bundesgesetzes vom 20. Dezember 1969 über das Verwaltungsverfahren (VwVG; SR 172.021).

[34] Vgl. Kap. I.: Die vom Verein «Digitale Gesellschaft» im Vernehmlassungsverfahren vorgeschlagene Norm verlangte von den Organi­sationen eine gewisse geografische Bedeutung, um zum Verbandsbeschwerderecht legitimiert zu sein.

[35] Meier (Fn. 8), S. 177 ff.

[36] Isabelle Häner, Die Beteiligten im Verwaltungsverfahren und Verwaltungsprozess, Rz. 1066.

[37] Neben dem Verein «Digitale Gesellschaft» erfüllte diese Kriterien meines Erachtens beispielsweise auch der Verein «grundrechte.ch », welcher im Vernehmlassungsverfahren ebenfalls kollektive Rechtsdurchsetzungsmechanismen forderte (Stellung­nahmen der Organisationen A‑H im Vernehmlassungsverfahren, S. 897, 899).

[38] Häner (Fn. 36), Rz. 777; Meier (Fn. 8), S. 7, mit weiteren Hinweisen.

[39] Gegen diese Verfügungen wäre eine Verbandsbeschwerde ähnlich derjenigen in Art. 21 des Preisüberwachungsgesetzes vom 20. Dezember 1985 (PüG; SR 942.20), welche sich gegen Verfügungen des Preisüberwachers bzw. der Preisüber­wacherin richtet, denkbar; vgl. Kap. III.1.

[40] Vgl. bspw. zum Verbandsbeschwerderecht in Art. 7 GlG, Meier (Fn. 8), S. 135.

[41] Vgl. bspw. Art. 14 Abs. 2, Art. 22 oder Art. 43 Abs. 3 E-DSG.

[42] Vgl. bspw. Art 17 E-DSG; siehe auch die diesbezügliche Strafandrohung in Art. 54 E-DSG für den Unterlassungsfall.

[43] Immer wichtiger wird der Anspruch auf Löschung oder Vernichtung gewisser Daten (insbesondere das «Recht auf vergessen werden» im Internet); die diesbezügliche Rechtslage - aus der ein solcher Anspruch allenfalls bereits abgeleitet werden kann, ihn jedoch anders als das europäische Recht nicht wörtlich vorsieht - ändert sich mit der Gesetzesrevision nicht (siehe Botschaft DSG [Fn. 3], 6982). Neu sollen hingegen die Begrifflichkeiten in den Regelungen betreffend private Datenbearbeitungen und solche durch Bundesorgane vereinheitlicht werden (vgl. Art. 28 und Art. 37 E-DSG).

[44] Meier (Fn. 8), S. 203, mit weiteren Hinweisen.

[45] Häner (Fn. 36), Rz. 1025.

[46] Meier (Fn. 8), S. 193 ff.

[47] Das DSG betrifft die Datenbearbeitung durch Bundesorgane sowie durch Private, nicht jedoch durch die Kantone; in diesem Bereich besteht keine Gesetzgebungskompetenz des Bundes (vgl. auch Kap. I.2.).

[48] Vgl. namentlich Art. 5 E-DSG.

[49] So werden beispielsweise in Art. 89 Abs. 2 lit. d BGG neben Organisationen auch Behörden als mögliche spezialgesetzlich Beschwerdelegitimierte aufgeführt.

[50] Häner (Fn. 36), S. 515.

[51] So beispielsweise in Umweltschutzerlassen, namentlich im USG.

[52] Die betroffene Person wird auf den Zivilweg (Art. 28 E-DSG) verwiesen; siehe Botschaft DSG (Fn. 3), 7093.

[53] Ein damit vergleichbares ideelles Verbandsbeschwerderecht gegen die Verfügungen des Preisüberwachers bzw. der Preisüberwacherin findet sich in Art. 21 PüG.

[54] Vgl. für den Zivilprozess immerhin Art. 243 Abs. 2 ZPO.

[55] Art. 23 Abs. 1 E-DSG sieht immerhin vor, dass Auskunftsbegehren betreffend die Bearbeitung von eigenen Personendaten grundsätzlich kostenlos sind.

[56] Vgl. Botschaft DSG (Fn. 3), 6983 ff.

[57] Datenportabilität bedeutet, dass die betroffene Person im Rahmen einer Auskunftserteilung ihre Daten in einem strukturierten, gebräuchlichen und maschinenlesbaren Format erhält und sie auf ein anderes System übertragen kann (vgl. ausführlich Botschaft DSG [Fn. 3], 6984 f.).

[58] Vgl. hierzu auch Botschaft DSG (Fn. 3), 6973, 7088.