Web Services of the Swiss Parliament

• Home
• Affairs
  • Types
  • States
  • Keywords
  • Descriptors
• Affair summaries
• Committees
• Cantons
• Councillors
  • Basic Details
  • Historic
• Councils
• Departments
  • Historic
• Factions
  • Historic
• Legislative periods
• Parties
  • Historic
• Sessions
• Votes
  • Affairs
  • Councillors

Informationspflicht bei staatlichen Datenzugriffen

ShortId

25.4661

Id

20254661

Updated

18.02.2026 20:14

Language

de

Title

Informationspflicht bei staatlichen Datenzugriffen

AdditionalIndexing

1236;04;09

1

PriorityCouncil1

Nationalrat

Texts

• <p>1./4./6. &nbsp;Artikel&nbsp;19 Absatz&nbsp;1 des Datenschutzgesetzes vom 25. September 2020 (DSG; SR 235.1) verpflichtet den für eine Datenbearbeitung Verantwortlichen, die betroffenen Personen angemessen über die Beschaffung ihrer Personendaten zu informieren. Damit soll die Transparenz über Datenbearbeitungen erhöht werden. Die Informationspflicht gilt nicht nur für private Personen, sondern auch für Bundesorgane. Nach Artikel&nbsp;20 Absatz&nbsp;1 Buchstaben&nbsp;a und b DSG entfällt die Informationspflicht allerdings dann, wenn die betroffene Person bereits über die entsprechenden Informationen verfügt oder wenn die Datenbearbeitung gesetzlich vorgesehen ist. Da Bundesorgane in den meisten Fällen ohnehin nur aufgrund einer gesetzlichen Grundlage zur Datenbearbeitung ermächtigt sind (Art.&nbsp;34 Abs.&nbsp;1 DSG), trifft sie bei fast all ihren Datenbearbeitungen keine zusätzliche Informationspflicht. Bundesorgane müssen nur dann nach Artikel&nbsp;19 DSG informieren, wenn sie sich bei der Datenbearbeitung ausnahmsweise auf Artikel&nbsp;34 Absatz&nbsp;4 DSG – insbesondere auf die Einwilligung der betroffenen Person - stützen. Nach der Ansicht des Bundesrates ist diese Lösung gerechtfertigt, da die gesetzliche Grundlage die nötige Transparenz über die Datenbearbeitung herstellt. Dementsprechend sieht der Bundesrat keine relevante Asymmetrie zwischen Bundesorganen und privaten Datenbearbeitenden, zumal Letztere in der Praxis ihrer Informationspflicht überwiegend mittels standardisierten Datenschutzerklärungen auf ihren Webseiten nachkommen. Bei Datenbearbeitungen von kantonalen und kommunalen Behörden gelten die Garantien des kantonalen Datenschutzrechts.</p><p>&nbsp;</p><p>Hinzu kommt, dass bei verschiedenen staatlichen Datenzugriffen, die zu schwerwiegenden Eingriffen in die Grundrechte führen können, spezialrechtliche Informationspflichten vorgesehen sind. So ist bei strafprozessualen Zwangsmassnahmen wie der Überwachung des Post- und Fernmeldeverkehrs (Art.&nbsp;279 der Strafprozessordnung [StPO; SR 312.0]), der Observation (Art.&nbsp;283 StPO) oder der verdeckten Ermittlung und verdeckten Fahndung (Art.&nbsp;298 und 298d Abs. 4 StPO) grundsätzlich eine nachträgliche Mitteilung vorgeschrieben. Ganz allgemein sieht Artikel&nbsp;95 Absatz 2 erster Satz StPO vor, dass die betroffenen Personen umgehend über die Beschaffung von Personendaten zu informieren sind, wenn die Datenbeschaffung nicht erkennbar war. Auch bei den genehmigungspflichtigen Beschaffungsmassnahmen des Nachrichtendienstes des Bundes (NDB), wie bei der Überwachung des Post- und Fernmeldeverkehrs, beim Einsatz von Ortungs- und Überwachungsgeräten oder beim Eindringen in Computersysteme und -netzwerke besteht nach Abschluss der Operation eine Mitteilungspflicht (Art.&nbsp;33 des Nachrichtendienstgesetzes vom 25. September 2015 [NDG]; SR&nbsp;121). Damit stärkt die Schweiz die Transparenz auch bei heiklen Datenbearbeitungen von staatlichen Stellen.</p><p>&nbsp;</p><p>2. Jedes Jahr beschaffen staatliche Akteure auf eidgenössischer, kantonaler und kommunaler Ebene Personendaten, soweit dies zur Erfüllung ihrer Aufgaben erforderlich ist. Dem Bundesrat sind keine Erhebungen bekannt, welche einen gesamthaften Überblick über die Informationspflicht zu solchen staatlichen Datenbeschaffungsmassnahmen bieten würden. Für staatliche Datenbearbeitungen bestehen gesetzliche Grundlagen, welche Transparenz über die für die Datenbearbeitung verantwortliche Stelle, den Zweck der Datenbearbeitung sowie allfällige Empfänger einer Datenbekanntgabe schaffen. Andere Rechtfertigungsgründe sind nur ausnahmsweise möglich (siehe namentlich Art.&nbsp;34 Abs.&nbsp;4 DSG).</p><p>&nbsp;</p><p>3./8.&nbsp;Die EU-Mitgliedstaaten sind insbesondere zur Einhaltung der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, DSGVO) und der Richtlinie (EU) 2016/680 über den Datenschutz bei der Strafverfolgung verpflichtet. Letztere ist aufgrund ihrer Schengen-Assoziierung auch für die Schweiz verbindlich. Beide Texte sehen eine Informationspflicht auch für Behörden bei der Beschaffung und/oder Bearbeitung von Personendaten vor. Sie räumen aber auch die Möglichkeit ein, dass die Mitgliedstaaten aus Gründen des öffentlichen Interesses Beschränkungen auferlegen können (Art. 23 DSGVO; Art. 13 Richtlinie [EU] 2016/680). Es scheint, dass die meisten Mitgliedstaaten generell solche Beschränkungen vorsehen, insbesondere im Bereich der Strafverfolgung (siehe namentlich den ersten Bericht über die Anwendung und Wirkungsweise der Richtlinie (EU) 2016/680 zum Datenschutz bei der Strafverfolgung; COM/2022/364 final, S. 18).</p><p>&nbsp;</p><p>Die im DSG vorgesehenen Pflichten des für die Datenbearbeitung Verantwortlichen bzw. des Auftragsbearbeiters zur Meldung von Datenschutzverletzungen und zur Information gelten wie in der EU sowohl für private Personen als auch für Bundesorgane (siehe unter anderem Art.&nbsp;24 DSG).</p><p>5./7.&nbsp;Wie dargelegt, bestehen in der Schweiz bei der Beschaffung von Personendaten nicht nur für private Akteure, sondern auch für Bundesorgane und andere staatliche Stellen verschiedene Informationspflichten, die eine transparente Datenbearbeitung gewährleisten. Gesetzgeberische Massnahmen erachtet der Bundesrat deshalb im Moment nicht als notwendig.</p><p>Des Weiteren sind nach der Ansicht des Bundesrates auch ein ausreichender Rechtsschutz gegen intransparente Datenbearbeitungen sowie eine unabhängige Datenschutzaufsicht gewährleistet: Ein Verstoss gegen das Transparenzgebot als Bearbeitungsgrundsatz (Art. 6 Abs. 3 DSG) bzw. eine Datenbearbeitung ohne gesetzliche Grundlage kann eine widerrechtliche Datenbearbeitung durch ein Bundesorgan darstellen. In einem solchen Fall räumt Artikel&nbsp;41 DSG der betroffenen Person verschiedene einklagbare Rechtsansprüche gegen das verantwortliche Bundesorgan ein, wie etwa die Unterlassung oder Beseitigung der widerrechtlichen Datenbearbeitung und die Berichtigung, Löschung oder Vernichtung der Personendaten. Bei strafprozessualen Zwangsmassnahmen können Personen, auf deren Daten zugegriffen wurde, Beschwerde nach den Artikel&nbsp;393 ff. StPO führen. Der Rechtsschutz gegen Verfügungen des NDB richtet sich nach Artikel 83 NDG.</p><p>&nbsp;</p><p>Bestehen genügend Anzeichen, dass die Datenbearbeitung eines Bundesorgans gegen die Datenschutzvorschriften verstossen könnte, eröffnet ausserdem der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) von Amtes wegen oder auf Anzeige hin eine Untersuchung (Art. 49 Abs. 1 DSG). Stellt der EDÖB eine Verletzung von Datenschutzvorschriften fest, so kann er verfügen, dass die Bearbeitung ganz oder teilweise angepasst, unterbrochen oder abgebrochen wird und die Personendaten ganz oder teilweise gelöscht oder vernichtet werden (Art. 51 Abs. 1 DSG). Dabei kann der EDÖB unter anderem anordnen, dass das Bundesorgan die betroffenen Personen nach Artikel&nbsp;19 DSG informiert (Art. 51 Abs. 3 Bst. c DSG). Die Datenbearbeitungen von kantonalen und kommunalen Behörden werden von den kantonalen Datenschutzstellen beaufsichtigt.</p>
• <p>Das revidierte Datenschutzgesetz (DSG) verpflichtet private Datenbearbeitende, Betroffene über die Bearbeitung ihrer Daten zu informieren: insbesondere bei der Weitergabe an Dritte oder ins Ausland. Für staatliche Stellen besteht jedoch keine vergleichbare Informationspflicht. Auch bei der nachträglichen Offenlegung staatlicher Zugriffe auf digitale Daten fehlt eine gesetzlich verankerte Regelung. Selbst wenn eine Überwachungsmassnahme abgeschlossen ist oder sich als unbegründet herausstellt, werden die Betroffenen nicht informiert. In diesem Zusammenhang bitte ich den Bundesrat um die Beantwortung folgender Fragen:&nbsp;</p><p>&nbsp;</p><ol><li>Welche gesetzlichen Grundlagen regeln heute die nachträgliche Information der Betroffenen über staatliche Datenzugriffe durch Polizei, Nachrichtendienste oder Verwaltungsbehörden?</li><li>Wie viele Personen wurden in den Jahren 2018 bis 2023 nach Abschluss einer staatlichen Datenbeschaffungsmassnahme über den Zugriff informiert? Gibt es eine Statistik, welche auch Drittpersonen erfasst, die nicht Ziel der Massnahme waren?</li><li>Welche Staaten kennen gesetzlich verankerte Informationspflichten über staatliche Datenzugriffe gegenüber Betroffenen nach Abschluss der Massnahme? Welche EU-Mitgliedstaaten kennen keine solche Pflicht?</li><li>Sieht der Bundesrat im Fehlen einer Informationspflicht für staatliche Stellen eine relevante Asymmetrie gegenüber privaten Datenbearbeitenden gemäss DSG?</li><li>Welche gesetzgeberischen Möglichkeiten sieht der Bundesrat, um eine gesetzliche Informationspflicht über abgeschlossene Datenzugriffe für staatliche Stellen einzuführen? Welche Rolle könnte eine unabhängige Prüfstelle ähnlich der nachrichtendienstlichen Aufsicht spielen?</li><li>Wie rechtfertigt der Bundesrat, dass private Cloudanbieter zur Transparenz über Datenweitergaben verpflichtet sind, während staatliche Stellen Betroffene über eigene Zugriffe nicht informieren müssen, selbst wenn die Massnahme abgeschlossen ist?</li><li>Welche Instrumente zur Rechtsdurchsetzung stehen Betroffenen heute zur Verfügung, wenn sie mutmasslich von einem staatlichen Datenzugriff betroffen sind, darüber aber nie informiert wurden?</li><li>Wie beurteilt der Bundesrat die Inkohärenz, dass in zahlreichen EU-Staaten auch staatliche Stellen gesetzlich verpflichtet sind, Datenschutzverletzungen gegenüber Aufsichtsbehörden und Betroffenen offenzulegen, während in der Schweiz Informationspflichten nur für private Akteure bestehen?</li></ol><p>&nbsp;</p>
• Informationspflicht bei staatlichen Datenzugriffen

State

Stellungnahme zum Vorstoss liegt vor

Related Affairs

Drafts

• Index

  0

  Texts

  • <p>1./4./6. &nbsp;Artikel&nbsp;19 Absatz&nbsp;1 des Datenschutzgesetzes vom 25. September 2020 (DSG; SR 235.1) verpflichtet den für eine Datenbearbeitung Verantwortlichen, die betroffenen Personen angemessen über die Beschaffung ihrer Personendaten zu informieren. Damit soll die Transparenz über Datenbearbeitungen erhöht werden. Die Informationspflicht gilt nicht nur für private Personen, sondern auch für Bundesorgane. Nach Artikel&nbsp;20 Absatz&nbsp;1 Buchstaben&nbsp;a und b DSG entfällt die Informationspflicht allerdings dann, wenn die betroffene Person bereits über die entsprechenden Informationen verfügt oder wenn die Datenbearbeitung gesetzlich vorgesehen ist. Da Bundesorgane in den meisten Fällen ohnehin nur aufgrund einer gesetzlichen Grundlage zur Datenbearbeitung ermächtigt sind (Art.&nbsp;34 Abs.&nbsp;1 DSG), trifft sie bei fast all ihren Datenbearbeitungen keine zusätzliche Informationspflicht. Bundesorgane müssen nur dann nach Artikel&nbsp;19 DSG informieren, wenn sie sich bei der Datenbearbeitung ausnahmsweise auf Artikel&nbsp;34 Absatz&nbsp;4 DSG – insbesondere auf die Einwilligung der betroffenen Person - stützen. Nach der Ansicht des Bundesrates ist diese Lösung gerechtfertigt, da die gesetzliche Grundlage die nötige Transparenz über die Datenbearbeitung herstellt. Dementsprechend sieht der Bundesrat keine relevante Asymmetrie zwischen Bundesorganen und privaten Datenbearbeitenden, zumal Letztere in der Praxis ihrer Informationspflicht überwiegend mittels standardisierten Datenschutzerklärungen auf ihren Webseiten nachkommen. Bei Datenbearbeitungen von kantonalen und kommunalen Behörden gelten die Garantien des kantonalen Datenschutzrechts.</p><p>&nbsp;</p><p>Hinzu kommt, dass bei verschiedenen staatlichen Datenzugriffen, die zu schwerwiegenden Eingriffen in die Grundrechte führen können, spezialrechtliche Informationspflichten vorgesehen sind. So ist bei strafprozessualen Zwangsmassnahmen wie der Überwachung des Post- und Fernmeldeverkehrs (Art.&nbsp;279 der Strafprozessordnung [StPO; SR 312.0]), der Observation (Art.&nbsp;283 StPO) oder der verdeckten Ermittlung und verdeckten Fahndung (Art.&nbsp;298 und 298d Abs. 4 StPO) grundsätzlich eine nachträgliche Mitteilung vorgeschrieben. Ganz allgemein sieht Artikel&nbsp;95 Absatz 2 erster Satz StPO vor, dass die betroffenen Personen umgehend über die Beschaffung von Personendaten zu informieren sind, wenn die Datenbeschaffung nicht erkennbar war. Auch bei den genehmigungspflichtigen Beschaffungsmassnahmen des Nachrichtendienstes des Bundes (NDB), wie bei der Überwachung des Post- und Fernmeldeverkehrs, beim Einsatz von Ortungs- und Überwachungsgeräten oder beim Eindringen in Computersysteme und -netzwerke besteht nach Abschluss der Operation eine Mitteilungspflicht (Art.&nbsp;33 des Nachrichtendienstgesetzes vom 25. September 2015 [NDG]; SR&nbsp;121). Damit stärkt die Schweiz die Transparenz auch bei heiklen Datenbearbeitungen von staatlichen Stellen.</p><p>&nbsp;</p><p>2. Jedes Jahr beschaffen staatliche Akteure auf eidgenössischer, kantonaler und kommunaler Ebene Personendaten, soweit dies zur Erfüllung ihrer Aufgaben erforderlich ist. Dem Bundesrat sind keine Erhebungen bekannt, welche einen gesamthaften Überblick über die Informationspflicht zu solchen staatlichen Datenbeschaffungsmassnahmen bieten würden. Für staatliche Datenbearbeitungen bestehen gesetzliche Grundlagen, welche Transparenz über die für die Datenbearbeitung verantwortliche Stelle, den Zweck der Datenbearbeitung sowie allfällige Empfänger einer Datenbekanntgabe schaffen. Andere Rechtfertigungsgründe sind nur ausnahmsweise möglich (siehe namentlich Art.&nbsp;34 Abs.&nbsp;4 DSG).</p><p>&nbsp;</p><p>3./8.&nbsp;Die EU-Mitgliedstaaten sind insbesondere zur Einhaltung der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, DSGVO) und der Richtlinie (EU) 2016/680 über den Datenschutz bei der Strafverfolgung verpflichtet. Letztere ist aufgrund ihrer Schengen-Assoziierung auch für die Schweiz verbindlich. Beide Texte sehen eine Informationspflicht auch für Behörden bei der Beschaffung und/oder Bearbeitung von Personendaten vor. Sie räumen aber auch die Möglichkeit ein, dass die Mitgliedstaaten aus Gründen des öffentlichen Interesses Beschränkungen auferlegen können (Art. 23 DSGVO; Art. 13 Richtlinie [EU] 2016/680). Es scheint, dass die meisten Mitgliedstaaten generell solche Beschränkungen vorsehen, insbesondere im Bereich der Strafverfolgung (siehe namentlich den ersten Bericht über die Anwendung und Wirkungsweise der Richtlinie (EU) 2016/680 zum Datenschutz bei der Strafverfolgung; COM/2022/364 final, S. 18).</p><p>&nbsp;</p><p>Die im DSG vorgesehenen Pflichten des für die Datenbearbeitung Verantwortlichen bzw. des Auftragsbearbeiters zur Meldung von Datenschutzverletzungen und zur Information gelten wie in der EU sowohl für private Personen als auch für Bundesorgane (siehe unter anderem Art.&nbsp;24 DSG).</p><p>5./7.&nbsp;Wie dargelegt, bestehen in der Schweiz bei der Beschaffung von Personendaten nicht nur für private Akteure, sondern auch für Bundesorgane und andere staatliche Stellen verschiedene Informationspflichten, die eine transparente Datenbearbeitung gewährleisten. Gesetzgeberische Massnahmen erachtet der Bundesrat deshalb im Moment nicht als notwendig.</p><p>Des Weiteren sind nach der Ansicht des Bundesrates auch ein ausreichender Rechtsschutz gegen intransparente Datenbearbeitungen sowie eine unabhängige Datenschutzaufsicht gewährleistet: Ein Verstoss gegen das Transparenzgebot als Bearbeitungsgrundsatz (Art. 6 Abs. 3 DSG) bzw. eine Datenbearbeitung ohne gesetzliche Grundlage kann eine widerrechtliche Datenbearbeitung durch ein Bundesorgan darstellen. In einem solchen Fall räumt Artikel&nbsp;41 DSG der betroffenen Person verschiedene einklagbare Rechtsansprüche gegen das verantwortliche Bundesorgan ein, wie etwa die Unterlassung oder Beseitigung der widerrechtlichen Datenbearbeitung und die Berichtigung, Löschung oder Vernichtung der Personendaten. Bei strafprozessualen Zwangsmassnahmen können Personen, auf deren Daten zugegriffen wurde, Beschwerde nach den Artikel&nbsp;393 ff. StPO führen. Der Rechtsschutz gegen Verfügungen des NDB richtet sich nach Artikel 83 NDG.</p><p>&nbsp;</p><p>Bestehen genügend Anzeichen, dass die Datenbearbeitung eines Bundesorgans gegen die Datenschutzvorschriften verstossen könnte, eröffnet ausserdem der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) von Amtes wegen oder auf Anzeige hin eine Untersuchung (Art. 49 Abs. 1 DSG). Stellt der EDÖB eine Verletzung von Datenschutzvorschriften fest, so kann er verfügen, dass die Bearbeitung ganz oder teilweise angepasst, unterbrochen oder abgebrochen wird und die Personendaten ganz oder teilweise gelöscht oder vernichtet werden (Art. 51 Abs. 1 DSG). Dabei kann der EDÖB unter anderem anordnen, dass das Bundesorgan die betroffenen Personen nach Artikel&nbsp;19 DSG informiert (Art. 51 Abs. 3 Bst. c DSG). Die Datenbearbeitungen von kantonalen und kommunalen Behörden werden von den kantonalen Datenschutzstellen beaufsichtigt.</p>
  • <p>Das revidierte Datenschutzgesetz (DSG) verpflichtet private Datenbearbeitende, Betroffene über die Bearbeitung ihrer Daten zu informieren: insbesondere bei der Weitergabe an Dritte oder ins Ausland. Für staatliche Stellen besteht jedoch keine vergleichbare Informationspflicht. Auch bei der nachträglichen Offenlegung staatlicher Zugriffe auf digitale Daten fehlt eine gesetzlich verankerte Regelung. Selbst wenn eine Überwachungsmassnahme abgeschlossen ist oder sich als unbegründet herausstellt, werden die Betroffenen nicht informiert. In diesem Zusammenhang bitte ich den Bundesrat um die Beantwortung folgender Fragen:&nbsp;</p><p>&nbsp;</p><ol><li>Welche gesetzlichen Grundlagen regeln heute die nachträgliche Information der Betroffenen über staatliche Datenzugriffe durch Polizei, Nachrichtendienste oder Verwaltungsbehörden?</li><li>Wie viele Personen wurden in den Jahren 2018 bis 2023 nach Abschluss einer staatlichen Datenbeschaffungsmassnahme über den Zugriff informiert? Gibt es eine Statistik, welche auch Drittpersonen erfasst, die nicht Ziel der Massnahme waren?</li><li>Welche Staaten kennen gesetzlich verankerte Informationspflichten über staatliche Datenzugriffe gegenüber Betroffenen nach Abschluss der Massnahme? Welche EU-Mitgliedstaaten kennen keine solche Pflicht?</li><li>Sieht der Bundesrat im Fehlen einer Informationspflicht für staatliche Stellen eine relevante Asymmetrie gegenüber privaten Datenbearbeitenden gemäss DSG?</li><li>Welche gesetzgeberischen Möglichkeiten sieht der Bundesrat, um eine gesetzliche Informationspflicht über abgeschlossene Datenzugriffe für staatliche Stellen einzuführen? Welche Rolle könnte eine unabhängige Prüfstelle ähnlich der nachrichtendienstlichen Aufsicht spielen?</li><li>Wie rechtfertigt der Bundesrat, dass private Cloudanbieter zur Transparenz über Datenweitergaben verpflichtet sind, während staatliche Stellen Betroffene über eigene Zugriffe nicht informieren müssen, selbst wenn die Massnahme abgeschlossen ist?</li><li>Welche Instrumente zur Rechtsdurchsetzung stehen Betroffenen heute zur Verfügung, wenn sie mutmasslich von einem staatlichen Datenzugriff betroffen sind, darüber aber nie informiert wurden?</li><li>Wie beurteilt der Bundesrat die Inkohärenz, dass in zahlreichen EU-Staaten auch staatliche Stellen gesetzlich verpflichtet sind, Datenschutzverletzungen gegenüber Aufsichtsbehörden und Betroffenen offenzulegen, während in der Schweiz Informationspflichten nur für private Akteure bestehen?</li></ol><p>&nbsp;</p>
  • Informationspflicht bei staatlichen Datenzugriffen

Back to List