Das Daten­schutz­ge­setz gilt als Quer­schnitts­ge­setz. Es regelt bereichs­über­grei­fend den­sel­ben Gegen­stand, näm­lich das Bear­bei­ten von Per­so­nen­da­ten.1 Whist­leb­lo­wing stellt ein Quer­schnitts­pro­blem dar. Es kön­nen in den unter­schied­lichs­ten Rechts­ge­bie­ten Tat­be­stände berührt sein.2 Wie bereits erwähnt, liegt der Fokus hier auf dem Daten­schutz und ist ins­be­son­dere auf die Daten­si­cher­heit gerich­tet.

Nach DSG 2 I wer­den sowohl juris­ti­sche als auch natür­li­che Per­so­nen erfasst. Beim Whist­leb­lo­wer han­delt es sich in der Regel um eine natür­li­che Per­son, bei des­sen Orga­ni­sa­tion um eine juris­ti­sche. Beide fal­len somit grund­sätz­lich in den Anwen­dungs­be­reich des DSG. Der vor­gän­gig breit defi­nierte Whist­leb­lo­wing­be­griff wird unter Anwen­dung des DSG ein­ge­schränkt: Die Orga­ni­sa­tion als Bestand­teil des Insi­der­merk­mals ist bei Whist­leb­lo­wing grund­sätz­lich nicht auf Per­so­nen des schwei­ze­ri­schen Rechts beschränkt. Die Anwend­bar­keit des DSG setzt dies hin­ge­gen vor­aus.3

Whist­leb­lo­wing betrifft Miss­stände. Sofern ein sol­cher Miss­stand selbst Daten umfasst oder durch sol­che Daten bewie­sen wer­den kann, wel­che sich auf eine bestimmte oder bestimm­bare Per­son bezie­hen (DSG 3 lit. a), lie­gen Per­so­nen­da­ten nach DSG vor (vgl. Kapi­tel Daten / Per­so­nen­da­ten). Je nach dem Inhalt der Daten kann es sich nach der Ter­mi­no­lo­gie des DSG um beson­ders schüt­zens­werte Daten (DSG 3 lit. c) han­deln.

Die Anwend­bar­keit des DSG ist in den Fäl­len von DSG 2 II lit. a–e aus­ge­schlos­sen. Ins­be­son­dere Per­so­nen­da­ten, die eine natür­li­che Per­son aus­schliess­lich zum per­sön­li­chen Gebrauch bear­bei­tet und nicht an Aus­sen­ste­hende bekannt gibt, sind zu erwäh­nen.

DSG 3 lit. e defi­niert als Bear­bei­tung jeg­li­chen Umgang mit Daten. Dar­un­ter fällt ent­spre­chend auch das Ent­hül­len durch den Whist­leb­lo­wer, was sich regel­mäs­sig durch Bekannt­gabe (ent­we­der intern oder extern) mani­fes­tiert. Das Kennt­nis­neh­men und all­fäl­lige Erhal­ten von Daten durch den Whist­leb­lo­wer ist eben­falls erfasst (vgl. Kapi­tel Bear­bei­ten).

Die Orga­ni­sa­tion des Whist­leb­lo­wers ist in der Regel die Inha­be­rin der Daten­samm­lung (DSG 3 lit g) Auch jeg­li­cher Umgang mit Per­so­nen­da­ten durch die Orga­ni­sa­tion ist dem DSG unter­stellt (DSG 3 lit. e, vgl. Kapi­tel Inha­ber einer Daten­samm­lung).

Das Phä­no­men Whist­leb­lo­wing kann mit die­sen Über­le­gun­gen als DSG-rele­vant betrach­tet wer­den.


1 BBL 1988, S. 444; BSK-Mau­rer Lambrou/Kunz, Art. 2 Rz 2; vgl. Meier, Rz 372 ff. („régle­men­ta­tion-cadre“).
2 Eine Auf­lis­tung diver­ser Berüh­rungs­punkte fin­det sich bei Von Kaenel, S. 312 ff.
3 Welt­be­kann­tes Bei­spiel einer sol­chen Orga­ni­sa­tion, die nicht erfasst wird, ist das sog. Kol­lek­tiv „Anony­mous“. Anony­mous gelangte u.a. mit sei­ner „Ope­ra­tion Pay­back“ zu gros­ser Auf­merk­sam­keit, indem es mit­tels DDoS-Atta­cken Geld­in­sti­tute (dar­un­ter die Schwei­ze­ri­sche Post), wel­che Kon­ten von Wiki­Leaks gesperr­ten hat­ten, angriff. Ein­ge­hen­der zum Vor­fall: Bet­schon Ste­fan, Hacker mobi­li­sie­ren zum «Daten­krieg», in: NZZ, 10.12.2010, S. 1.