I. Einleitung

In den letzten Jahren hat die Regulierung von Daten(-schutz) augenscheinlich  rapide zugenommen. Im Jahr 2018 trat in der Europäischen Union (EU) die Datenschutz-Grundverordnung in Kraft, deren restriktive Bestimmungen zum Datentransfer in EU-Drittländer dazu geführt haben, dass mehrere Länder weltweit ähnliche gesetzgeberische Initiativen ergriffen. Dies geschah auch, um ein vergleichbares Schutzniveau wie in der EU zu etablieren, und so von einem freien Datenverkehr zu profitieren. Parallel dazu haben die Fortschritte in  der Technologie und die Anpassungen in den Geschäftsmodellen von Unternehmen dazu geführt, dass Datenschutzaktivist*innen und Verbraucher*innen verstärkt auf ihre Rechte gepocht haben. Obwohl Privatsphäre und Datenschutz bereits mehrfach für tot erklärt wurden, ist der Schutz von Daten heute relevanter denn je, denn Chatbots, Metaverse-Anwendungen und zahllose weitere KI-Anwendungen, die das Leben erleichtern und die Produktivität steigern sollen, schwemmen die globalen Märkte. Und auch die Gesetzgeber waren in den letzten Jahren aktiv und haben ihrerseits die Märkte mit regulatorischen Massnahmen beeinflusst.

In diesem Beitrag wird untersucht, ob in der EU, der Schweiz und den USA eine lineare Entwicklung in der Datenschutzregulierung beobachtet werden kann, die sich in Form von zunehmend effektiveren Vorschriften manifestiert. Gleichzeitig wird erörtert, wie sich in Relation dazu die technologische Realität im Laufe der Zeit verändert hat.

II. Die Entwicklung der Datenschutzregulierung in der Europäischen Union unter Berücksichtigung paralleler Entwicklungen in der Schweiz und den USA

A. Die Anfänge: Auswirkungen des Zweiten Weltkriegs bis in die 1990er Jahre

1. Datenmissbrauch während des NS-Regimes

In Europa wurde die Diskussion rund um das Recht auf Datenschutz im Anschluss an die Verbrechen des NS-Regimes im Zweiten Weltkrieg angestossen.  Erklärtes Ziel der Nationalsozialisten war eine vollständige Durchdringung des öffentlichen wie auch des privaten Bereichs. Auf dem Sockel einer faschistischen Idee und Kategorisierung anhand von Daten wurden Menschen verfolgt,       deportiert und ermordet.

2. Hessen-Effekt: Die erste Welle von nationalen Datenschutzgesetzen

Auch nach dem Zweiten Weltkrieg füllten in der Deutschen Demokratischen Republik (DDR) Stasi-Offiziere Akten mit Informationen, die sie durch Postkontrollen, Hausdurchsuchungen und das Abhören von Telefonaten sammeln  konnten. Zur gleichen Zeit, im Jahr 1970, wurde in Hessen, im damaligen Westdeutschland, das erste moderne Datenschutzgesetz erlassen und damit der Grundstein für eine moderne Datenschutzregulierung in Europa gesetzt. Konkreten Anlass dazu gaben die rapid voranschreitenden Entwicklungen bei der elektronischen Datenverarbeitung.

Das hessische Gesetz inspirierte schliesslich das deutsche Bundesdatenschutzgesetz, das 1977 in Kraft trat. Zeitlich parallel dazu gab es Entwicklungen in anderen europäischen Staaten, wie zum Beispiel Schweden (1973) oder Österreich (1978). Alle diese Datenschutzgesetze folgen dem sogenannten omnibus-Ansatz. Dabei steht die Verarbeitung von personenbezogenen Daten als solche im Vordergrund und erfasst werden alle Verarbeitungstätigkeiten, unabhängig des Sektors oder des Verhältnisses, in dem sich Verarbeiter und Datensubjekt befinden.

Im Jahr 1993 folgte schliesslich das erste Datenschutzgesetz (DSG) in der  Schweiz, das ebenso dem omnibus-Ansatz folgte und damit Personendaten und ursprünglich auch Daten juristischer Personen umfassend schützte. Das Schweizer DSG war zum Zeitpunkt des Inkrafttretens bereits lange antizipiert  worden, nachdem Erfahrungen in Deutschland, Österreich und anderen Ländern bereits kritisch beobachtet worden waren.

Um zu veranschaulichen, wie die Debatte dazumal klang, folgt eine kleine An ekdote aus einer Ausgabe des 1980 erschienenen «Schweizer Treuhänder»: Ein Autor warnte in seinem Beitrag vor der ausufernden bürokratischen Bedeutung des neuen Datenschutzes und schrieb: «Im Bereich konventioneller Karteien mag es infolge der Datenschutzbestimmungen notwendig sein, die Daten  einer Kartei auf mehrere getrennte Karteien aufzuteilen.» Der Autor führte aus, dies wäre zur Datenminimierung notwendig, da zukünftig nur mehr dieje nigen Departemente Kenntnis von Daten erhalten sollen, die sie zur Erfüllung ihrer Aufgaben benötigen. Somit wäre ein solches, sehr aufwendiges Vorgehen notwendig, um Daten gesetzeskonform zu verarbeiten, so die Befürchtung des Autors. Wie sich rückblickend feststellen lässt, kam es glücklicherweise nicht dazu, dass Arztpraxen mehrere Karteien pro Patient*in anlegen mussten.¹³ Vielmehr wird dem Grundsatz der Proportionalität der Massnahmen auch weiterhin eine grosse Bedeutung beigemessen.

3. Technische Pioniere «born in the USA»

Während die ersten Datenschutzgesetze aus Europa stammten, kamen viele technische Fortschritte aus den USA. Global waren die technischen Pioniere jener Zeit beispielsweise IBM, Hewlett-Packard (HP) und Intel, die ihren Sitz alle in US-Bundesstaaten hatten. Die 1970er Jahre in den USA zeichneten sich durch die Entstehung zahlreicher Tech-Giganten aus, die heute die technologische Landschaft massgeblich prägen. Besonders erwähnenswert sind dabei Apple und Microsoft, beide «born in the USA».

Die US-amerikanische Regierung unterstützte und ermöglichte diese Entwicklungen aktiv. So wurde zum Beispiel davon abgesehen, den Entwicklungen in Europa zu folgen und ein omnibus-Datenschutzgesetz zu erarbeiten. Stattdessen setzte sich der sogenannte sektorspezifische Ansatz durch, der wesentlich mehr Flexibilität bot. Vor allem aber bedeutete es, dass Lobbyisten bei jedem neuen Projekt in Washington vor Ort waren und versuchten, den Fortschritt für ihre Bedürfnisse zu beeinflussen. Ein weiteres, relevantes Bei- spiel für die aktive Unterstützung ist die Einführung des im amerikanischen IT-Recht zentralen § 230 des Telecommunications Act im Jahr 1996. Dieser bot Plattformen explizit rechtliche Absicherung vor potentiellen und kostspieligen  Gerichtsstreitigkeiten: § 230 befreit Plattformen von der Haftung für Inhalte, die von Dritten auf ihren Plattformen veröffentlicht werden.

Seitens der USA gab es angesichts dieser voranschreitenden Entwicklungen jedoch genauso Bestrebungen, Informationen, die einem Individuum zuzuord nen sind, zu schützen. 1970 wurde zum Beispiel der Fair Credit Reporting Act verabschiedet. Es folgte der Privacy Act of 1974. Beides sind Bundesgesetze. Wie beschrieben, waren diese Bemühungen jedoch auf einzelne Sektoren begrenzt: Der Fair Credit Reporting Act schützt Verbraucher*innen vor missbräuchlichen Praktiken im Zusammenhang mit der Auskunft zur Kreditvergabe. Der Privacy Act of 1974 hingegen verleiht US-Bürger*innen Rechte im Zusammenhang mit der Verarbeitung ihrer Daten durch US-Behörden.

Durch die fortschreitende Entwicklung technologischer Möglichkeiten – Vorläufer des Internets entstanden bereits in den 1960er Jahren – wurde bereits deutlich, dass politische Lösungen erforderlich sind, um der unbeschränkten, auch grenzüberschreitenden Datenübertragung gerecht zu werden.

4. Zunahme des grenzüberschreitenden Datenverkehrs und Beginn europäischer und internationaler Koordination

a. OECD-Leitlinien zum Schutz der Privatsphäre und zum grenzüberschreitenden Verkehr personenbezogener Daten

Das erste internationale Instrument zur Regulierung von Personendaten wurde 1980 eingeführt: die OECD-Leitlinien zum Schutz der Privatsphäre und   zum grenzüberschreitenden Verkehr personenbezogener Daten. Um insbesondere (Handels‑)Hemmnisse beim grenzüberschreitenden Verkehr personenbezogener Daten zu vermeiden, empfahl die OECD ihren damaligen Mitgliedsstaaten, bestimmte Leitprinzipien beim Verarbeiten von personenbezogenen Daten zu berücksichtigen und so untereinander das notwendige Vertrauen zu schaffen. Es blieb damals bei dieser Empfehlung, da die OECD-Leitlinien lediglich eine Absichtserklärung darstellten, jedoch für die Mitgliedstaaten nicht bindend waren.

Zu jener Zeit war die individuelle Nutzung noch stark eingeschränkt. Es domi nierte vielmehr die Verwendung von Grossrechnern, die üblicherweise in Re chenzentren betrieben wurden. Mobile Telekommunikation stand der breiten Masse ebenso wenig zur Verfügung: Die Kommunikation beschränkte sich auf  Festnetzanschlüsse und Faxgeräte, die für die Übermittlung von Dokumenten    genutzt wurden.

Vor diesem Hintergrund wurden von der OECD acht Schlüsselprinzipien festgelegt, die uns heute noch vertraut sind, da sie sich zuerst in der Europäischen  Datenschutzrichtlinie und später in der Europäischen Datenschutz-Grundverordnung widerspiegeln. Die acht Prinzipien betreffen Transparenz, Datenminimierung, Datenqualität, Zweckbindung, Richtigkeit, Speicherbegrenzung, Integrität/Vertraulichkeit sowie Rechenschaftspflicht.

a. Europäische Datenschutzrichtlinie

1995 verabschiedeten die Europäische Gemeinschaft, die damals 15 Mitgliedstaaten zählte, die Europäische Datenschutzrichtlinie und damit den ersten europäischen Rahmen für den Datenschutz und die Vorläuferin der heute geltenden Datenschutz-Grundverordnung. In Erwägungsgrund 14 heisst es, dass die Datenschutzrichtlinie «in Anbetracht der Bedeutung der gegenwärtigen Entwicklung im Zusammenhang mit der Informationsgesellschaft» angewendet werden muss. Es ist nicht klar, ob und welche spezifischen Entwicklungen der Gesetzgeber genau ins Visier genommen hat. Ersichtlich ist vielmehr, dass er eine technologieagnostische Position einnimmt und den Schwerpunkt auf den Schutz der Daten natürlicher Personen legt, grundsätzlich unabhängig von der Form der Verarbeitung.

b. Die Entwicklungen in den 2000er bis 2010er Jahren

a. Veränderter politischer Fokus und Geburtsstunde der sozialen Medien

Nach den Terroranschlägen vom 11. September 2001, als die Sicherheitsbedenken im globalen Westen besonders gross waren, traten die Belange des Datenschutzes politisch in den Hintergrund. Vor allem Staatsapparate und Regierungen machten sich den technischen Fortschritt zu Nutze und verarbeiteten immer grössere Datenmengen von Bürger*innen. In den USA wurden Telekommunikationsunternehmen gesetzlich dazu verpflichtet, Daten zu übermitteln und Zugriffe durch staatliche Stellen zu ermöglichen.

Auch seitens der Privatwirtschaft gab es nach den späten 1990er und Anfängen        der 2000er Jahre signifikante Entwicklungen: Internetverbindungen wurden einfacher zugänglich, stabiler und schneller. Mobile Geräte eroberten die Märkte und immer mehr Menschen integrierten die Geräte in ihren Alltag. In diesem Zeitraum kam es zu einer Welle von Gründungen neuer Technologieunternehmen: Palantir Technologies (2003), Facebook (2004), YouTube (2005), Twitter (2006), Amazon Web Services (2006), Spotify (2006), Netflix Streaming  (2007), Dropbox (2007), Airbnb (2008), Uber (2009), Pinterest (2010), Instagram (2010) usw. Es kommt zur Etablierung sozialer Medien, des Cloud Computing und zur Entstehung von Online-Werbeplattformen. Die einzelnen Nutzer*innen stehen nunmehr im Fokus.

b. Einschränkung staatlicher Überwachung und Konsument*innenschutz

In Bezug auf die Gesetzgebung hat sich in diesem Zeitraum nur wenig verän dert. In der EU blieb die Datenschutzrichtlinie in Kraft und die damit harmonisierten Datenschutzgesetze der einzelnen Mitgliedsstaaten.

Das bedeutete jedoch keineswegs einen Stillstand. Mit dem Inkrafttreten des Vertrags von Lissabon im Jahr 2009 erhielt die EU-Grundrechtecharta nun den gleichen Status wie die Verträge der EU. Dadurch erlangte das Datenschutzregime in der EU ab diesem Zeitpunkt eine solide Grundlage. Basierend  darauf schlug die Kommission im Jahr 2012 vor, die Datenschutzrichtlinie zu reformieren.

In den USA, wo aufgrund des sektorspezifischen Ansatzes und der Dynamik zwischen Bund und Bundesstaaten mehr Flexibilität herrschte, gab es einige interessante Entwicklungen. Zum Beispiel wurde im Jahr 2002 in Kalifornien das gesetzliche Erfordernis zur Meldung von Datenschutzverletzungen eingeführt. Es war das erste Gesetz weltweit, das eine solche Meldung an die Öffentlichkeit vorsah. Davon inspirierte ähnliche gesetzliche Verpflichtungen gibt es heute in der Datenschutz-Grundverordnung ebenso wie im revidierten Schweizer Datenschutzgesetz. Darüber hinaus wurde auf Bundesebene der USA Patriot Act verabschiedet, um die staatliche Überwachung als Reaktion auf den zuvor erwähnten internationalen Terrorismus wiederum einzuschränken.

c. Die Entstehung neuer digitaler Ökosysteme

Die skizzierten Entwicklungen in diesem Jahrzehnt verdeutlichen, dass die Datenverarbeitung zunehmend komplexere Strukturen angenommen hat, was  wiederum den Schutz personenbezogener Daten zu einer immer bedeutende ren Aufgabe machte. Gleichzeitig zeichnete sich in diesem Jahrzehnt auch ein Paradigmenwechsel ab: Anfangs lag der Schwerpunkt hauptsächlich auf der Datensammlung auf staatlicher Ebene und der Nutzung staatlicher Ressourcen zur Überwachung von Einzelpersonen und Gruppen. Mit der Herausbildung einer neuen digitalen Wirtschaft und der Entstehung eigener digitaler Ökosysteme verschob sich der Fokus immer mehr weg von staatlicher Überwachung und hin zur Konsument*innensicherheit in den USA und dem Schutz  fundamentaler Grundrechte in der EU.

c) Entwicklungen seit der Einführung der Datenschutz-Grundverordnung im Jahr 2018 bis heute

1. Datenschutz-Grundverordnung

2018 tritt die Datenschutz-Grundverordnung in Kraft und löst damit die Datenschutz-Richtlinie von 1995 ab. Sie folgt den in Kapitel II.A.4.a. genannten Grundprinzipien der Datenschutz-Richtlinie und bleibt neutral gegenüber spezifischen Technologien. Sie führt ergänzend einige Änderungen ein, die das Schutzniveau in der EU anheben sollen. Klassisches Charakteristikum der  Datenschutz-Grundverordnung ist zum Beispiel, dass jede Datenverarbeitung nunmehr eine Rechtsgrundlage benötigt. Was als Rechtsgrundlage gilt, ist abschliessend geregelt. Darunter fallen zum Beispiel die Erforderlichkeit zur Erfüllung einer Vertragsleistung oder die Einwilligung zur Verarbeitung durch  die betroffene Person.

Kernstück der Datenschutz-Grundverordnung sind aber weiterhin die Rechte, die sie betroffenen Personen verleiht. Darunter fallen das Auskunftsrecht, das Recht auf Berichtigung, das Recht auf Löschung, aber auch zum Beispiel das Recht auf Datenübertragbarkeit. Ein Beispiel für eine Rechtsübernahme (ein

«legal transplant») aus dem kalifornischen Recht ist die Implementierung einer Meldepflicht für Datenschutzverletzungen (vgl. Kapitel II.B.2.), die Unter nehmen verpflichtet, die Datenschutzbehörden innerhalb eines Zeitraums von  72 Stunden über solche Vorfälle in Kenntnis zu setzen. Die Datenschutz-Grundverordnung sieht ausserdem vor, dass Personendaten nur in Drittländer  mit adäquatem Datenschutzniveau übermittelt werden. Diese Anforderung hat dazu geführt, dass in vielen Ländern rund um den Globus nach und nach Datenschutzgesetze verabschiedet wurden, um die Datentransfers mit der EU weiterhin zu gewährleisten (vgl. Kapitel I). Man spricht vom Brussels Effect.

2. Parallele Entwicklungen in der Schweiz und den USA

Auch die Schweiz hat ihr Datenschutzgesetz reformiert. Das revidierte Gesetz ist am 1. September 2023 in Kraft getreten, und orientiert sich stark an der Datenschutz-Grundverordnung. Die Grundsätze für die Verarbeitung sind stark harmonisiert. Allerdings gibt es einen wichtigen konzeptionellen Unterschied:  In der EU ist für jede Datenverarbeitung eine rechtliche Grundlage erforderlich, während in der Schweiz dies nur unter bestimmten Umständen notwendig ist. Auch sonst bestehen Differenzen, wie beispielsweise die Zeitspanne und Bedingungen zur Bekanntgabe von Datenschutzverletzungen. Gemäss der  Datenschutz-Grundverordnung beträgt diese Frist 72 Stunden. In der Schweiz  hingegen ist die Meldung «so schnell als möglich» erforderlich und auch nur dann, wenn die Verletzung ein hohes Risiko für die betroffene Person darstellt.

Auch in den USA haben bis April 2024 insgesamt 15 Bundesstaaten umfassende Datenschutzgesetze erlassen. Alle diese Gesetze enthalten omnibus-Regelungen zur Verarbeitung personenbezogener Daten und sind im Gegensatz zu den vorhandenen Bundesgesetzen nicht auf bestimmte Branchen beschränkt. Sie stärken die Rechte der Personen, deren Daten verarbeitet werden und gewähren teilweise ähnliche Rechte wie die Datenschutz-Grundverordnung in der EU. Dazu gehören das Recht auf Zugang zu den eigenen Daten, das Recht  auf Löschung und das Recht auf Datenübertragbarkeit.

3. Technologiespezifische Regulierung am Beispiel biometrischer Daten und künstlicher Intelligenz

Die Digitalökonomien haben sich mittlerweile fest etabliert, und der technolo gische Fortschritt hat in den letzten Jahren kaum an Geschwindigkeit verloren. Insbesondere sollten neue Anwendungsgebiete für künstliche Intelligenz und  maschinelles Lernen, die Fortschritte im Bereich des Quantencomputings, die Einführung von 5G-Technologien sowie die allgemeine Verbesserung der Kon nektivität und der technischen Grundkompetenzen hervorgehoben werden. Aus datenschutzrechtlicher Sicht sind die Bereiche Biotechnologie und Gentechnik sowie die Forschung im Bereich der Neurotechnologie von Bedeutung, da sie In dividuen bei Datenmissbrauch besonders hohen Risiken aussetzen.

In der EU und der Schweiz sind viele Risiken durch die Datenschutz-Grundverordnung bzw. das Schweizer Datenschutzgesetz abgedeckt. Aber auch hier gibt es Bestrebungen, technologiespezifische Gesetze zu erlassen, zum Beispiel das Gesetz über Künstliche Intelligenz (der Artificial Intelligence Act), das  mit Hilfe eines risikobasierten Ansatzes den Einsatz von künstlicher Intelligenz  im Europäischen Binnenmarkt regulieren soll.

In den USA wiederum haben einige US-Bundesstaaten vereinzelt Gesetze erlassen, die spezifisch darauf abzielen, den Schutz von biometrischen Daten sicherzustellen. Ein Beispiel hierfür ist das Biometrische Informationsdatenschutzgesetz (Biometric Information Privacy Act) in Illinois, das seit seiner Verabschiedung im Jahr 2008 insbesondere in jüngster Zeit vermehrt in den Medien Aufmerksamkeit gefunden hat. Denn es ist bis dato das einzige US- amerikanische Gesetz bezüglich des Schutzes von biometrischen Daten, das Einzelpersonen das Recht auf private Klagen gewährt. Weitere Bundesstaaten  wie Texas und Washington haben ebenfalls ähnliche Gesetze erlassen, jedoch ohne ein private right to action für Betroffene. Ein weiteres Beispiel ist die Re gulierung von Neurotechnologien. Auch in diesem Themenbereich gibt es Vor stösse, technologiespezifisch zu regulieren und so Risiken für Konsument*innen zu minimieren, beispielsweise im US-Bundesstaat Colorado.

4. Europäische Datenstrategie

Im Jahr 2020 stellte die Europäische Kommission die europäische Datenstrategie vor. Die Europäische Kommission erklärte die einzigartige Position der  EU: Wettbewerber wie China und die USA seien innovativ und Weltspitze bei der Nutzung von und dem Zugriff auf Daten. Jedoch gibt es aus Sicht der EU Einschränkungen: In den USA ist ausschliesslich der Privatsektor zuständig für die Organisation und Verbreitung der Daten, in China hat der Staat massiven Einfluss auf Datensammlungen und die Unternehmensführung der Monopolisten. Als Gegenpol dazu soll die EU zu einem globalen Vorbild werden, indem sie «den Austausch und die breite Nutzung von Daten kanalisier[t] und gleich zeitig hohe Datenschutz‑, Sicherheits- und Ethik-Standards»⁴⁹ wahrt.

Es ist hervorzuheben, dass die Regulierung nicht mehr auf personenbezogene Informationen beschränkt ist, sondern auch auf nicht-personenbezogene Daten Anwendung findet. Dabei rückt nicht mehr allein das Individuum in den Fokus, sondern vielmehr die Gesamtheit der Datenwirtschaft. Die Regulierung von Datennutzung und -zugängen kann jedoch dem Schutz der Privatsphäre förderlich sein. Diese umfassende Strategie hat in den letzten Monaten und Jahren viele neue Rechtsakte hervorgebracht.

Die Reaktion der EU auf die Herausforderungen, die sich aus der Internetwirtschaft ergeben, besteht in einer umfassenden Regulierung. Diese beinhaltet die Harmonisierung von Cybersecurity-Infrastrukturen und Regelungen für die Datennutzung. Ziel ist es, klare Vorschriften dafür zu schaffen, wer Daten sammeln darf, wie sie genutzt werden können und unter welchen Bedingungen sie mit anderen geteilt werden dürfen. Das soll das Schutzniveau beibehalten, und gleichzeitig Innovation und die Zusammenarbeit im Binnenmarkt fördern.

III. Schlussbetrachtung

Der Beitrag verdeutlicht, dass Datenschutzgesetze weltweit – wie die Datenschutz-Grundverordnung in der EU, das revidierte Datenschutzgesetz in der Schweiz und verschiedene Ansätze in der Datenschutzgesetzgebung der USA ähnliche Merkmale aufweisen und auf denselben Grundideen beruhen.

Parallel dazu wird der technische Kontext hervorgehoben, um zu veranschau lichen, in welchem Masse der jeweilige technische, aber auch der geopolitische Status Quo das Klima der entsprechenden Regulierung beeinflusst haben.

Abschliessend lassen sich drei Tendenzen identifizieren:

1. Es ist aufschlussreich, die grenzüberschreitenden und historischen Entwicklungen zu beobachten. Die Leitlinien der OECD aus dem Jahr 1980, die damals nicht bindend waren, sind inzwischen zumindest teilweise rechtsverbindliche und durchsetzbare Regeln, weil sie in die Datenschutz- Grundverordnung Eingang fanden. Zudem ist erkennbar, dass die Konzepte der Datenschutz-Grundverordnung durch die Anforderung der Angemessenheit für Transfers in Drittstaaten nach aussen vermittelt und etabliert werden (Brussels Effect). Aber auch im europäischen Datenschutz gibt es ein Rechtstransplantat aus den USA, nämlich die Pflicht zur Meldung von Datenschutzverstössen.
2. Lange Zeit konzentrierte sich die transatlantische Datenschutzdebatte auf die Unterschiede zwischen omnibus- und sektorspezifischen Ansätzen. Während in Europa personenbezogene Daten umfassenden Schutz geniessen, hat es in den USA immer nur ein Mosaik von sektoralen Regelungen gegeben. Für die US-Bundesebene gilt dies auch nach wie vor.  Im Laufe der Jahre gab es jedoch Entwicklungen, die darauf hindeuten, dass immer mehr US-Bundesstaaten zum omnibus-Konzept übergehen. Dies gibt Anlass zur leisen Hoffnung, dass es eines Tages ein US-Bundesdatenschutzgesetz geben könnte. Schliesslich hatte auch das Bundesland Hessen das Deutsche Datenschutzgesetz inspiriert. Ein solches US-Bundesdatenschutzgesetz würde den Datentransfer in die EU wesentlich erleichtern und das Vertrauen in das US-System im Allgemeinen verbessern.
3. Eine weitere Unterscheidung im Fokus dieses Textes ist jene zwischen technologieagnostischer und spezifischer Regulierung. Vor allem in Europa wurden die Rechtsvorschriften zu Beginn der technologischen Entwicklung technologieneutral formuliert, um sicherzustellen, dass sie mit dem technologischen Wandel Schritt halten. Heute wird allerdings insbe sondere mit der Europäischen Datenstrategie deutlich, dass sich der Gesetzgeber vermehrt auf bestimmte Technologien konzentrieren möchte, zum Beispiel auf die Künstliche Intelligenz. Dieser Trend ist auch in den USA zu beobachten, dort unter anderem bei biometrischen Daten.

Das rechtliche Schutzniveau, das Einzelne heute in der EU, der Schweiz und den USA geniessen, ist auf dem Papier ohne Zweifel höher als jenes der 1970er Jahre. Der Fokus liegt insbesondere bei der Ausgestaltung der Rechte Einzelner. Offen bleibt jedoch die Frage, ob angesichts der Fortschritte in der Technologie und der Intensivität der Eingriffe in die Privatsphäre das Schutzniveau ebenso aufrechterhalten werden konnte oder ob es de facto abnimmt.

Zur einfacheren Lesbarkeit wurden die Quell- und Literaturverweise entfernt.

Stella Galehr in: Wie die Zeit vergeht – APARIUZ XXV; EIZ Zürich, 2024

https://creativecommons.org/licenses/by-sa/4.0/deed.de

https://doi.org/10.36862/eiz-719

Dissertationszusammenfassung

I. Begriffe und Definitonen

Der erste Teil der Dissertation befasst sich mit den Begriffen der Personendaten, der Bankdaten und der Verletzung der Datensicherheit.

A. Einleitung: Einführung und zentrale Begriffe des Datenschutzgesetzes

Sobald Personendaten bearbeitet werden, gilt das Datenschutzgesetz. Als solche Personendaten gelten alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Seit der Revision des DSG werden Angaben über juristische Personen zwar nicht mehr erfasst. Geschützt werden diese jedoch weiterhin durch ihr Recht auf informationelle Selbstbestimmung gegenüber dem Staat und durch den Persönlichkeitsschutz gegenüber Privatpersonen. Um die Anwendbarkeit des DSG und somit die Informationspflicht einzuschränken, können die Daten auch pseudo- oder anonymisiert werden, sofern hierbei die Identifikation der natürlichen Person mit vernünftigem Aufwand und unter Berücksichtigung der konkreten Interessen des Dateninhabers verunmöglicht wird.

B. Schutz von Bankdaten und Bankgeheimnis

Bankdaten werden sowohl durch das DSG als auch durch das Bankgeheimnis geschützt. Während das Bankgeheimnis nur zugunsten der Kunden gilt, unabhängig davon, ob es sich um natürliche oder juristische Personen handelt, gilt das DSG immer dann, wenn die Bank als Verantwortliche Daten von (natürlichen) Personen bearbeitet. Da das Bankgeheimnis nur Angaben eines bestimmten oder bestimmbaren Kunden schützt, kann dieser Schutz – wie im Datenschutzrecht – durch Pseudonymisierung und Anonymisierung begrenzt werden. Von Bedeutung ist schliesslich noch der mit dem FINMA-Rundschreiben 2023/1 eingeführte Begriff der «kritischen Daten». Diese umfassen alle Daten, die im Hinblick auf die Grundsätze der Informationssicherheit, d.h. Vertraulichkeit, Verfügbarkeit und Integrität, geschützt werden müssen, und gehen somit über den Begriff der Personendaten hinaus.

C. Verletzung der Datensicherheit und deren Auswirkungen

Die Verletzung der Datensicherheit wird definiert als eine Verletzung der Sicherheit, die dazu führt, dass Personendaten unbeabsichtigt oder widerrechtlich verlorengehen, gelöscht, vernichtet oder verändert werden oder Unbefugten offengelegt oder zugänglich gemacht werden. Dieser weite Begriff wurde aus der DSGVO übernommen und entspricht ihr vollständig. Die ersten fünf Alternativen, die diese Definition aufführt, erfordern ein Ergebnis, welches im Verlust der Daten, deren unbeabsichtigter oder rechtswidriger Veränderung oder in deren unbefugter Offenlegung bestehen kann. Die letztgenannte Alternative erfordert hingegen nur eine konkrete Gefährdung, die in der Möglichkeit besteht, dass eine unbefugte Person auf die Daten zugreifen könnte. Eine tatsächliche Kenntnisnahme ist nicht vorausgesetzt. Das Vorliegen einer solchen Zugriffsmöglichkeit wird anhand des vernünftigerweise getroffenen Aufwandes des Nichtberechtigten sowie seines konkreten Interesses beurteilt. Die Verletzung der Datensicherheit ist vom Grundsatz der Datensicherheit zu unterscheiden. Letzterer verpflichtet jeden Verantwortlichen, dem Risiko angemessene technische und organisatorische Massnahmen zur Vermeidung von Verletzungen der Datensicherheit zu treffen. Das Vorliegen einer Verletzung der Datensicherheit lässt jedoch nicht zwangsläufig auf eine Verletzung des Grundsatzes der Datensicherheit schliessen, und umgekehrt.

II. Funktionen und Rechtsquellen der Informationspflicht

Der zweite Teil der Arbeit untersucht die Funktionen sowie die Rechtsquellen und Voraussetzungen der Informationspflicht bei einer Verletzung der Datensicherheit.

A. Präventive und schützende Funktionen der Informationspflicht

Die Funktionen der Informationspflicht variieren je nach Empfänger. Ist die Information an die Behörde gerichtet, ermöglicht sie dieser, die Datensicherheit zu überwachen, die Einhaltung der Informationspflicht gegenüber den betroffenen Personen zu überprüfen und gegebenenfalls den Verantwortlichen, der Opfer der Verletzung der Datensicherheit wurde, zu unterstützen. Die Informationspflicht entfaltet auch eine präventive Wirkung, die zur Verbesserung der Datensicherheit beiträgt. Ist die Information hingegen an die Person gerichtet, die durch die Verletzung der Datensicherheit betroffen ist, verfolgt sie mehrere Ziele, die im Folgenden nach ihrer Bedeutung absteigend aufgezählt werden: Schutz der Persönlichkeit und der Grundrechte der betroffenen Person; präventive Wirkung zugunsten der Datensicherheit; Vertrauen zwischen dem Verantwortlichen und der betroffenen Person; Möglichkeit der betroffenen Person, ihre Ansprüche durchzusetzen; und schliesslich die Gültigkeit der Einwilligung. Die Sanktionierung stellt hingegen kein Ziel der Informationspflicht dar. Begrenzt ist die Informationspflicht schliesslich durch die Überinformation, sowohl gegenüber der Behörde als auch der betroffenen Personen. Der Empfänger, der ständig über Verletzungen der Datensicherheit informiert wird, entwickelt eine notification fatigue, die dazu führen kann, dass er im Fall einer erheblichen Verletzung der Datensicherheit nicht mehr reagiert.

B. Informationspflicht gegenüber Behörden und betroffenen Personen

Das Datenschutzgesetz von 1992 sah keine ausdrückliche Pflicht zur Information des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) bei einer Verletzung der Datensicherheit vor. Erst 2018 wurde diese Verpflichtung durch die modernisierte Konvention 108 und die DSGVO eingeführt. So sieht Art. 33 DSGVO vor, dass die Aufsichtsbehörde über alle Verletzungen der Datensicherheit informiert werden muss, es sei denn, diese führt voraussichtlich zu keinem Risiko für die betroffenen Personen. Das Risiko umfasst einerseits die Schwere der möglichen Folgen der Verletzung der Datensicherheit und andererseits die Wahrscheinlichkeit, dass diese Folgen eintreten. Der Schweizer Gesetzgeber hat diesen risikobasierten Ansatz übernommen, die Schwelle jedoch höher angesetzt. Gemäss Art. 24 Abs. 1 DSG ist der EDÖB nur dann über eine Verletzung der Datensicherheit zu informieren, wenn diese voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt. Wie unter der DSGVO muss der Verantwortliche eine Risikoanalyse vornehmen und dabei die Art, den Umfang und den Inhalt der betroffenen Daten, die Art und die Umstände der Verletzung der Datensicherheit, die Anzahl der betroffenen Personen sowie die Leichtigkeit ihrer Identifizierung berücksichtigen. EU-Recht und schweizerisches Recht unterscheiden sich besonders hinsichtlich der Information der betroffenen Person. Art. 34 DSGVO verfolgt weiter einen risikobasierten Ansatz: Die betroffene Person muss informiert werden, wenn die Verletzung voraussichtlich zu einem hohen Risiko führt. Dagegen verpflichtet Art. 24 Abs. 4 DSG zur Information der betroffenen Person, wenn dies zu ihrem Schutz erforderlich ist, unabhängig vom Risiko. Schliesslich trifft auch den Auftragsbearbeiter eine Informationspflicht zugunsten des Verantwortlichen, und zwar ebenfalls risikounabhängig. Zivilrechtlich kann eine Informationspflicht aus dem Grundsatz von Treu und Glauben abgeleitet werden. Diese unterscheidet sich von der im DSG vorgesehenen Informationspflicht, da sie sich nicht nur an die betroffenen natürlichen Personen richtet, sondern auch an juristische Personen oder Dritte, die Massnahmen zugunsten der betroffenen Personen ergreifen können. Das Persönlichkeitsrecht stellt hingegen keine Quelle für die Informationspflicht dar, obwohl die Verletzung der Datensicherheit die Persönlichkeit der betroffenen Person beeinträchtigen kann. Gleiches gilt für den Gefahrenansatz. Andererseits kann die Verpflichtung zur Schadensminderung unter bestimmten Umständen eine Informationspflicht begründen, da die Information den möglichen Schaden des Verantwortlichen reduzieren kann. Auf vertraglicher Ebene ergibt sich eine Informationspflicht sowohl aus dem Auftrag als auch aus dem Arbeitsvertrag. Im Auftragsrecht besteht sie, wenn die Verletzung der Datensicherheit ein Risiko für den Auftraggeber darstellt oder wenn sie aus einer Verletzung der Geheimhaltungspflicht des Beauftragten resultiert. Im Arbeitsvertrag schulden beide Parteien ihrem Vertragspartner hinreichende Information. Der Arbeitgeber informiert den Arbeitnehmer, wenn die Verletzung der Datensicherheit ein Risiko für diesen darstellt. Umgekehrt hat der Arbeitnehmer den Arbeitgeber über jede Verletzung der Datensicherheit zu unterrichten, unabhängig vom Risiko.

Im Finanzmarktrecht verpflichtet Art. 29 Abs. 2 FINMAG jeden Beaufsichtigten, der FINMA die Vorkommnisse zu melden, die für die Aufsicht von wesentlicher Bedeutung sind. Dies kann Verletzungen der Datensicherheit einschliessen. Handelt es sich beim Beaufsichtigten um eine juristische Person, so unterliegt sie selbst dieser Meldepflicht, und nicht ihre Organe. Die Beauftragten von Banken, Versicherungen und Finanzinstituten unterliegen ebenfalls dieser Pflicht, ebenso wie die Prüfgesellschaften. Letztere haben die FINMA selbstverständlich nicht über selbst erlittene Verletzungen der Datensicherheit zu informieren, sondern über solche des Beaufsichtigten. Die FINMA hat ihre Anforderungen hinsichtlich Cyberangriffen präzisiert. Ausserdem verlangt sie, über wichtige Vorfälle informiert zu werden, die kritische Daten betreffen. Eine eigentliche Pflicht, Kunden oder allgemein betroffene Personen im Falle einer Verletzung der Datensicherheit zu informieren, sieht das Finanzmarktrecht zwar nicht vor. Die FINMA verlangt allerdings von den Beaufsichtigten, dass sie auch ihre gesetzlichen Verpflichtungen aus anderen Rechtsgebieten als dem Finanzmarktrecht einhalten, einschliesslich des Datenschutzes. Durch die Anforderung, eine einwandfreie Geschäftsführung zu gewährleisten, kann die Behörde somit auch die Einhaltung der Informationspflicht gegenüber den betroffenen Personen durchsetzen.

III. Umfang, Einschränkungen und Modalitäten der Informationspflicht

Im dritten Teil der Arbeit werden der Umfang, die Einschränkungen und die Modalitäten der Informationspflicht bei einer Verletzung der Datensicherheit erörtert.

A. Umfang der Informationspflicht je nach Empfänger

Der Umfang der geschuldeten Information variiert je nach Empfänger. Der Verantwortliche muss der Behörde (Aufsichtsbehörde eines EU-Mitgliedstaates, EDÖB oder FINMA) genauere Informationen mitteilen als der betroffenen Person. Die Behörde muss insbesondere über die Details der Verletzung der Datensicherheit sowie deren wahrscheinliche Folgen informiert werden, um zu überprüfen, ob die vom Verantwortlichen getroffenen oder geplanten Massnahmen seinen gesetzlichen Verpflichtungen genügen. Die betroffene Person benötigt hingegen vereinfachte Informationen über die Verletzung sowie allgemeine Ratschläge zu den zu ergreifenden Massnahmen (beispielsweise Änderung eines Passworts). Die Erteilung individueller Ratschläge rechtfertigt sich insbesondere bei bestehendem Vertragsverhältnis zwischen Verantwortlichem und betroffener Person, wie im Auftrag oder Arbeitsvertrag.

B. Einschränkungen der Informationspflicht durch das Prinzip nemo tenetur und Geheimhaltungspflichten

Eine Einschränkung der Informationspflicht gegenüber der Behörde sehen weder die DSGVO noch das schweizerische Recht vor. Dennoch kann der Nemo tenetur-Grundsatz eine solche Einschränkung darstellen, da niemand verpflichtet ist, sich selbst zu belasten. Die Meldung einer Verletzung der Datensicherheit kommt jedoch potenziell einem Geständnis eines Verstosses gegen den Grundsatz der Datensicherheit gleich. Hinsichtlich der strengen Sanktionen der DSGVO ist die Informationspflicht insofern problematisch. Das deutsche Recht sieht daher ausdrücklich vor, dass der Bericht über die Verletzung der Datensicherheit nicht ohne Zustimmung des Verantwortlichen gegen diesen verwendet werden darf. In der Schweiz hingegen steht der Nemo tenetur-Grundsatz der Informationspflicht nicht entgegen. Tatsächlich bestraft das DSG die Verletzung dieser Informationspflicht nicht, und auch die Massnahmen der FINMA stellen laut Bundesgericht keine strafrechtlichen Sanktionen dar. Bezüglich der Information der betroffenen Person sehen sowohl die DSGVO als auch das DSG ausdrücklich deren Einschränkung vor. So kann eine Geheimhaltungspflicht wie etwa das Bank- oder Anwaltsgeheimnis die Informationspflicht gegenüber der betroffenen Person einschränken, wenn diese nicht selbst Geheimnisherrin ist. Die Einschränkung kann ausserdem auch das Kommunikationsmittel betreffen, sodass, wenn eine direkte Information unmöglich oder unverhältnismässig ist, der Verantwortliche eine öffentliche Mitteilung vornehmen muss.

C. Anforderungen an Form, Frist und Dokumentation der Information

Die Informationspflicht muss bestimmte Modalitäten einhalten. Das Gesetz stellt Anforderungen an Form und Frist und verlangt die Dokumentation der Verletzung. In der Praxis legt jede Behörde eigene Formvorschriften für die Meldung fest. Während die Information der betroffenen Person vor allem klar und verständlich sein soll, müssen Behörden besonders rasch informiert wer- den: Die DSGVO setzt eine feste Frist von 72 Stunden, das DSG und das FINMAG sind offener formuliert («so rasch als möglich» bzw. «unverzüglich»). Hinsichtlich der Informationsfrist der betroffenen Person weist das DSG eine Lücke auf, die dahingehend zu schliessen ist, dass auch diese Information «so rasch als möglich» zu erfolgen hat. Die zentrale Frage betrifft jedoch weniger die Dauer der Frist, sondern ihren Beginn. Der Moment der Kenntnis des Verantwortlichen von der Verletzung der Datensicherheit ist häufig nicht einfach zu bestimmen. Darüber hinaus muss dieser eine gestaffelte Meldung an die Behörde vornehmen, wenn er innerhalb der vorgegebenen Frist nicht über alle relevanten Informationen verfügt. Schliesslich verpflichtet die DSGVO den Verantwortlichen dazu, alle Verletzungen der Datensicherheit zu dokumentieren. Diese Verpflichtung wurde auch im Schweizer Recht übernommen – jedoch erst auf Verordnungsstufe, sodass diese mangels gesetzlicher Grundlage ungültig ist.

IV. Übermittlung des Berichts an Strafverfolgungsbehörden

Der vierte Teil der Arbeit befasst sich mit der Übermittlung des Berichts über die Verletzung der Datensicherheit an die Strafverfolgungsbehörden sowie dem Auskunfts- recht hinsichtlich dieses Berichts.

A. Voraussetzungen für die Übermittlung an Strafverfolgungsbehörden

Deckt der Bericht über die Verletzung der Datensicherheit eine Verletzung des FINMAG oder der Finanzmarktgesetze auf, etwa eine Verletzung des Bank- oder Berufsgeheimnisses, ist die FINMA zur Information der zuständigen Strafverfolgungsbehörde verpflichtet. Geht aus dem Bericht demgegenüber eine Verletzung des DSG hervor, beispielsweise des Grundsatzes der Datensicherheit, kann die FINMA die Strafverfolgungsbehörde informieren; sie muss dies aber nicht. Auch der EDÖB hat zwar das Recht, nicht aber die Pflicht, die Strafverfolgungsbehörde über eine durch den Bericht entdeckte Verletzung des DSG zu informieren. Wird der Bericht an die Strafverfolgungsbehörde übermittelt, ist er nicht zwangsläufig verwertbar. Seiner Verwertbarkeit steht mitunter der Nemo tenetur-Grundsatz entgegen, wenn der Berichtspflichtige den Bericht unter der (auch abstrakten) Androhung einer Strafsanktion an die FINMA übermittelt hat. Dies gilt sowohl gegenüber dem Berichtspflichtigen als auch gegenüber den natürlichen Personen, die an der Erstellung des Berichts beteiligt waren. Berichte, die durch den EDÖB übermittelt wurden, sind von Gesetzes wegen grundsätzlich unverwertbar. Eine Ausnahme besteht im Falle des Einverständnisses des Berichtspflichtigen.

B. Auskunftsrechte und Einschränkungen des Zugangs zu Berichten

Auch wenn der Bericht über die Verletzung der Datensicherheit von einem Anwalt vorbereitet oder verfasst wurde, ist er nicht durch das Anwaltsgeheimnis geschützt. Der Bericht unterliegt grundsätzlich der Rechenschaftspflicht (Art. 400 OR), da er kein rein internes Dokument darstellt. Allerdings enthält der Bericht teilweise auch Elemente, die grundsätzlich durch das Geschäftsgeheimnis geschützt sind, sodass der Zugang dennoch eingeschränkt sein kann. Er unterliegt jedoch nicht dem Auskunftsrecht nach Art. 25 DSG. Für den Bericht gelten die gleichen Einschränkungen wie für die Rechenschaftspflicht im Rahmen des Herausgaberechts von Dokumenten nach Art. 72 FIDLEG. Immerhin könnte das Öffentlichkeitsprinzip die Einsicht in den Bericht erlauben, wenn dieser an die FINMA oder den EDÖB übermittelt wurde. Die FINMA ist zwar im Prinzip vom Anwendungsbereich des Öffentlichkeitsgesetzes ausgenommen, gemäss Art. 10 EMRK kann jedoch unter bestimmten Voraussetzungen die Übergabe von Berichten über die Verletzung der Datensicherheit auch von ihr verlangt werden. Der EDÖB untersteht seinerseits dem Öffentlichkeitsgesetz, sodass hier leichter die Einsicht in die Berichte verlangt werden kann. Dies wird jedoch durch das Geschäftsgeheimnis und den Schutz der Privatsphäre des Verantwortlichen eingeschränkt. Schliesslich kann die Einsicht in den Bericht auch im Rahmen einer vorsorglichen Beweisführung verlangt werden oder gestützt auf die Mitwirkungspflicht im Rahmen des Hauptverfahrens. Allerdings kennt auch dieser Zugang bestimmte Einschränkungen, um die Interessen des Verantwortlichen zu schützen.

V. Folgen einer Verletzung der Informationspflicht

Im letzten Teil der Arbeit werden die Folgen einer Verletzung der Informationspflicht bei einer Verletzung der Datensicherheit untersucht.

A. Zivilrechtliche Folgen einer Verletzung der Informationspflicht

Ein Verstoss gegen die Informationspflicht kann sowohl eine Vertragsverletzung als auch eine unerlaubte Handlung darstellen. Einen Schaden verursacht er, wenn die betroffene Person bei gehöriger Information bestimmte Massnahmen hätte ergreifen können, um eine Vermögensverminderung zu vermeiden, wie beispielsweise die Sperrung ihrer Kreditkarte, deren Daten gestohlen wurden. Obwohl dieser Verstoss auch eine Persönlichkeitsverletzung darstellt, erreicht diese in der Regel nicht den ausreichenden Grad an Härte, um Genugtuung zu verlangen. Jedoch sieht Art. 82 DSGVO ausdrücklich eine Entschädigung für «immateriellen Schaden» vor, deren Bedeutung der EuGH erst kürzlich näher erläutert hat. Die Prüfung des Verschuldens des Verantwortlichen hängt von der geltend gemachten Verletzung ab, je nachdem, ob ein Tätigwerden oder ein Erfolg geschuldet war. Die Verjährung für vertragliche Schadensersatzansprüche gegen den Verantwortlichen läuft ab dem Tag der Verletzung. Das Gleiche gilt für die absolute Frist im Falle eines ausservertraglichen Anspruchs. Der dies a quo der relativen Frist hängt von den konkreten Umständen des Einzelfalls ab. Darüber hinaus kann ein Verstoss gegen die Informationspflicht im Arbeitsvertrag eine fristlose Vertragsauflösung rechtfertigen, sei es durch den Arbeitgeber oder den Arbeitnehmer; im Auftragsrecht kann er einen wichtigen Grund darstellen, der eine sofortige Beendigung des Vertrags ohne Entschädigungspflicht für den Kündigenden ermöglicht. Schliesslich bewirkt die unterlassene Information die anfängliche Unmöglichkeit jeder Einwilligung zur Rechtfertigung einer Datenbearbeitung.

B. Massnahmen der EDÖB und FINMA bei Verdacht auf Verletzung der Informationspflicht

Bei Verdacht eines Verstosses gegen die Informationspflicht können der EDÖB und die FINMA eine Vorabklärung durchführen. Kann der Verdacht nicht ausgeräumt werden oder erfüllt der Verantwortliche trotz Aufforderung der Behörde seine Pflicht nicht, kann diese ein formelles Verfahren gegen ihn einleiten. Nach Abschluss der Untersuchung kann der EDÖB hauptsächlich den Verantwortlichen anweisen, die Informationspflicht sowohl gegenüber der Behörde als auch gegenüber den betroffenen Personen einzuhalten. Bei einem schwerwiegenden Verstoss ermöglicht das Enforcement-Verfahren der FINMA zudem den Erlass einer Feststellungsverfügung oder gar deren Veröffentlichung. Die anderen Massnahmen, die diesen beiden Behörden zur Verfügung stehen, sind hingegen bei einem Verstoss gegen die Informationspflicht in der Regel nicht angemessen. Die FINMA und der EDÖB müssen zudem möglicherweise ihre Verfahren koordinieren. Unterliegt ein in der Schweiz ansässiger Verantwortlicher oder Auftragsbearbeiter der DSGVO, kann ein Verstoss gegen die Informationspflicht ebenfalls von einer Aufsichtsbehörde eines EU-Mitgliedstaates sanktioniert werden. Im Gegensatz zum schweizerischen Recht kann diese Aufsichtsbehörde auch eine Verwaltungsstrafe auferlegen. Ihre Zustellung in der Schweiz ist jedoch aufgrund der Schweizer Souveränität und mangels einschlägiger internationaler Verträge mit Schwierigkeiten verbunden.

C. Strafrechtliche Folgen einer Verletzung der Informationspflicht

Der Verstoss gegen die Informationspflicht ist weder gemäss StGB noch gemäss DSG strafbar, es sei denn, der EDÖB hat zuvor eine Verfügung mit Sanktionsandrohung getroffen. Auch im FINMAG wird der Verstoss gegen die Informationspflicht nicht bestraft, es sei denn, der Berichtspflichtige teilt der Behörde eine unvollständige Information mit und erweckt dadurch einen falschen Eindruck. Von den Finanzmarktgesetzen sehen nur Art. 49 Abs. 1 lit. b BankG und Art. 149 Abs. 1 lit. d KAG eine strafrechtliche Sanktion bei Verletzung der Informationspflicht vor, wobei nach Art. 49 Abs. 2 BankG sogar Fahrlässigkeit strafbar ist.

Zur einfacheren Lesbarkeit wurden die Quell- und Literaturverweise entfernt.

Célian Hirsch in: ex/ante, 2 2024

https://creativecommons.org/licenses/by-nc-nd/4.0/deed.de

DOI https://doi.org/10.3256/978-3-03929-069-7_10