Um die Rolle der Daten­si­cher­heits­pflicht bei Whist­leb­lo­wing erfas­sen zu kön­nen, muss fest­ge­hal­ten wer­den, zwi­schen wel­chen Par­teien sie über­haupt zum Tra­gen kommt und wo sich die Ver­let­zung der Daten­si­cher­heits­pflicht aus­wirkt.

DSG 7 ist ein Gebot. Es ver­langt für die Ver­trau­lich­keit der Daten zu sor­gen und stellt somit eine Hand­lungs­pflicht dar.1 Gegen DSG 7 ver­stösst, wer die ange­mes­se­nen Mass­nah­men nicht trifft, sie also unter­lässt. Aus dem Wort­laut lässt sich nicht erschlies­sen, wen diese Pflicht trifft. Auf Grund der all­ge­mei­nen Gel­tung der Bear­bei­tungs­grund­sätze, wie ihn DSG 7 dar­stellt, ist dar­auf zu schlies­sen, dass jede Per­son, die Umgang mit Daten hat, Adres­sat ist.2 Jeder Bear­bei­ter ist für Daten­si­cher­heit ver­ant­wort­lich.

Die Per­son des Ver­ant­wort­li­chen ist in zwei­er­lei Hin­sicht bedeu­tungs­voll: Bei der Ergrei­fung eines Rechts­be­helfs stellt sich die grund­sätz­li­che Frage, wer pas­siv­le­gi­ti­miert ist. Nur gegen jene Per­son, die über­haupt eine Daten­si­cher­heits­pflicht trifft und diese auch ver­letzt, kann aus DSG 12 II lit. a i.V.m. DSG 7 I und DSG 15 erfolg­reich vor­ge­gan­gen wer­den (siehe ins­be­son­dere nach­fol­gen­des Kapi­tel “Im Ver­hält­nis zwi­schen dem Whist­leb­lo­wer und der betrof­fe­nen Per­son”).

Dar­über hin­aus spielt die Per­son des Ver­ant­wort­li­chen eine wich­tige Rolle, weil sich in Abhän­gig­keit der ver­pflich­te­ten Per­son eine inhalt­lich unter­schied­li­che Umschrei­bung der Daten­si­cher­heits­pflicht ergibt. Den „gewöhn­li­chen“ Bear­bei­ter trifft eine andere, meist weni­ger umfas­sende Pflicht als den Inha­ber der Daten­samm­lung. Es sei denn, beide tref­fen in der­sel­ben Per­son zusam­men. Der Inha­ber der Daten­samm­lung stellt bspw. ein Bear­bei­tungs­re­gle­ment (orga­ni­sa­to­ri­sche Mass­nah­men) auf, wel­ches die Bear­bei­ter ein­zu­hal­ten haben. Der Inha­ber der Daten­samm­lung steht in der Regel mit sei­ner Wei­sungs­be­fug­nis über dem gewöhn­li­chen Bear­bei­ter. Ihn trifft ent­spre­chend eine grös­sere Anzahl an Pflich­ten (vgl. Abbil­dung 3).3

Der (poten­ti­elle) Whist­leb­lo­wer ist solange gewöhn­li­cher Bear­bei­ter, wie er die Daten im Rah­men sei­ner nor­ma­len Tätig­keit bear­bei­tet und nicht über seine Befug­nis hin­aus von Daten Kennt­nis nimmt, Daten erhält (kopiert, ent­wen­det usf.) oder bekannt­gibt (Whist­leb­lo­wer­tä­tig­kei­ten). Ihn als „aus­ser­ge­wöhn­li­chen“ Bear­bei­ter zu bezeich­nen, ist im Hin­blick auf die Daten­si­cher­heits­pflich­ten gegen Whist­leb­lo­wing nicht not­wen­dig, wie sich im Fol­gen­den zei­gen wird.4

1. Im Ver­hält­nis zwi­schen dem Whist­leb­lo­wer und der betrof­fe­nen Per­son

Als gewöhn­li­chen Bear­bei­ter von Per­so­nen­da­ten (bspw. im Rah­men sei­ner arbeits­ver­trag­li­chen Tätig­keit) trifft auch den Whist­leb­lo­wer die Daten­si­cher­heits­pflicht. Grund­sätz­lich ist er dafür ver­ant­wort­lich, Mass­nah­men zu tref­fen, die eine ange­mes­sene Daten­si­cher­heit gewähr­leis­ten (DSG 3 lit. e und 7 I) und ins­be­son­dere den Vor­ga­ben des Daten­samm­lungs­in­ha­bers nach­zu­kom­men.

Der Whist­leb­lo­wer bear­bei­tet unbe­fugt, sobald er sei­nen Whist­leb­lo­wer­tä­tig­kei­ten nach­kommt: Er nimmt bspw. Ein­sicht in Daten­sätze, die nicht in sei­nem Tätig­keits­be­reich lie­gen, womit er durch seine Bear­bei­tung gegen das Ver­hält­nis­mäs­sig­keits­prin­zip (DSG 4 II) und das Zweck­bin­dungs­ge­bot (DSG 4 III) ver­stösst. Das­selbe gilt, wenn er Kopien die­ser Daten erstellt. Im Falle der Bekannt­gabe gibt er regel­mäs­sig Daten ent­ge­gen dem Zweck bekannt, wel­cher bei der Beschaf­fung ange­ge­ben wurde. Es liegt wie­derum ein Ver­stoss gegen den Grund­satz der Zweck­bin­dung (DSG 4 III) vor. Diese Bear­bei­tungs­vor­gänge haben eine Per­sön­lich­keits­ver­let­zung der betrof­fe­nen Per­son zur Folge (DSG 12 II lit. a).

Im sel­ben Zug wird vom Whist­leb­lo­wer die Ver­trau­lich­keit ver­letzt: Einer­seits, indem er von Daten aus­ser­halb sei­nes Zustän­dig­keits­be­reichs Kennt­nis nimmt oder diese erhält, ande­rer­seits, indem er Drit­ten diese Daten bekannt gibt.

DSG 7 I sta­tu­iert aber kein Ver­bot die Daten­si­cher­heit zu ver­let­zen, son­dern eine Hand­lungs­pflicht, sie zu schüt­zen. Der Whist­leb­lo­wer ver­letzt durch seine Whist­leb­lo­wer­tä­tig­kei­ten die Daten­si­cher­heit, nicht aber die Daten­si­cher­heits­pflicht. Die fol­gende Abbil­dung 3 soll das Beschrie­bene ver­an­schau­li­chen:

2. Im Ver­hält­nis zwi­schen dem Whist­leb­lo­wer und des­sen Orga­ni­sa­tion

Die Daten­si­cher­heits­pflicht aus DSG 7 I betrifft direkt grund­sätz­lich nur das Ver­hält­nis zwi­schen einem Bear­bei­ter (bzw. Inha­ber der Daten­samm­lung) und der betrof­fe­nen Per­son, nicht aber die Bezie­hung zwi­schen einem Bear­bei­ter und des­sen Orga­ni­sa­tion (der Inha­be­rin der Daten­samm­lung).

Hier erge­ben sich je nach Stel­lung des Whist­leb­lo­wers nament­lich auf­trags- oder arbeits­recht­li­che Fra­gen (ins­be­son­dere bez. Treue­pflicht), sowie Fra­gen zur Haf­tung.5

Hin­ge­gen kann sich die Daten­si­cher­heits­pflicht durch­aus indi­rekt auf das Ver­hält­nis zwi­schen einem Daten­be­ar­bei­ter und des­sen Orga­ni­sa­tion aus­wir­ken: So ist an eine Regress­nahme (OR 55 II) der Orga­ni­sa­tion auf den Bear­bei­ter zu den­ken, da die Orga­ni­sa­tion zur Ein­hal­tung der Bear­bei­tungs­grund­sätze, wie DSG 7 einen dar­stellt, ver­pflich­tet ist und über die Geschäfts­her­ren­haf­tung (OR 55 I) zur Ver­ant­wor­tung gezo­gen wer­den kann.6

In der Pra­xis häu­fige Fälle: Der Pro­gram­mie­rer eines Online­shop­be­trei­bers imple­men­tiert ein unsi­che­res Login-Ver­fah­ren. Nach einer erfolg­rei­chen Atta­cke bemer­ken diverse Kun­den unge­wollte Belas­tun­gen ihrer Kre­dit­kar­ten.7 Oder ein Ange­stell­ter ver­gisst sei­nen Lap­top mit unver­schlüs­sel­ten Kun­den­da­ten in einem öffent­li­chen Ver­kehrs­mit­tel.8 In sol­chen Fäl­len erge­ben sich Schä­den beim Kun­den, wel­che er von der Orga­ni­sa­tion ersetzt haben will (DSG 15 I ver­weist u.a. auf ZGB 28a III, wo wie­derum auf OR 41 ver­wie­sen wird).

Aus der Defi­ni­tion des Whist­leb­lo­wers geht her­vor, dass er als Insi­der zu sei­ner Orga­ni­sa­tion in einem Sub­or­di­na­ti­ons­ver­hält­nis oder auf glei­cher Augen­höhe ste­hen kann. Je nach Stel­lung ist er sodann bei Ers­te­rem Bear­bei­ter oder bei Letz­te­rem Auf­trags­be­ar­bei­ter (DSG 10a I).9 Im Falle des Auf­trags­be­ar­bei­ters han­delt es sich um Out­sour­cing und damit um die Spiel­art des aty­pi­sche Whist­leb­lo­wings (Whist­leb­lo­wing)(4. aty­pi­sches Whist­leb­lo­wing (Out­sour­cing)).

Zusam­men­ge­fasst regelt das DSG die Bezie­hung zwi­schen Whist­leb­lo­wer und des­sen Orga­ni­sa­tion im Bereich der Daten­si­cher­heit nicht selbst. Es bezweckt den Schutz der betrof­fe­nen Per­son bei der Bear­bei­tung ihrer Daten und spielt im Ver­hält­nis zwi­schen dem Whist­leb­lo­wer und des­sen Orga­ni­sa­tion „nur“ eine indi­rekte Rolle.

3. Im Ver­hält­nis zwi­schen der betrof­fe­nen Per­son und den Bear­bei­tern bzw. der Orga­ni­sa­tion des Whist­leb­lo­wers

Die Orga­ni­sa­tion ist in der Regel die Inha­be­rin der Daten­samm­lung, da sie über Inhalt und Zweck der Daten­samm­lung ent­schei­det, also die Ent­schei­dungs­macht über sie inne hat (vgl. Kapi­tel Inha­ber einer Daten­samm­lung). In die­sem Sinne bear­bei­tet auch die Orga­ni­sa­tion Daten (DSG 3 lit. e „jeder Umgang“).10 Die Orga­ni­sa­tion ist damit zur Ein­hal­tung der all­ge­mei­nen Bear­bei­tungs­grund­sätze aus DSG 4 ff. – inklu­sive der Gewähr­leis­tung der hier im Zen­trum ste­hen­den Daten­si­cher­heit – ver­pflich­tet.11

Den Bear­bei­ter, der auf Wei­sung sei­ner Orga­ni­sa­tion Daten bear­bei­tet, tref­fen eben­falls Daten­si­cher­heits­pflich­ten aus DSG 7 I (vgl. Ver­ant­wort­lich­keit für Daten­si­cher­heit). Im Unter­schied zur Orga­ni­sa­tion geht seine Pflicht auf Grund sei­ner Sub­or­di­na­tion nicht gleich weit (vgl. Ver­ant­wort­lich­keit für Daten­si­cher­heit).

Für die Orga­ni­sa­tion han­deln ihre Organe. Sie geben dem Wil­len der juris­ti­schen Per­son Aus­druck (ZGB 55 I) und ver­pflich­ten sie direkt (ZGB 55 II).12 Die Organe haben damit die Pflicht, die tech­ni­schen und orga­ni­sa­to­ri­schen Mass­nah­men zu tref­fen, um DSG 7 I und II zu genü­gen.13

4. aty­pi­sches Whist­leb­lo­wing (Out­sour­cing)

Der Auf­trags­be­ar­bei­ter hat der Daten­si­cher­heits­pflicht grund­sätz­lich wie ein Inha­ber nach­zu­kom­men (DSG 10a I). Die Hilfs­per­so­nen des Auf­trags­be­ar­bei­ters haf­ten ent­spre­chend wie gewöhn­li­che Bear­bei­ter.14 Der Auf­trags­be­ar­bei­ter wird, obschon ihn die­sel­ben Daten­si­cher­heits­pflich­ten wie einen Daten­samm­lungs­in­ha­ber tref­fen, nicht auto­ma­tisch zum Inha­ber der Daten­samm­lung.15

DSG 10a II ver­pflich­tet die out­sour­cende Orga­ni­sa­tion aus­drück­lich, sich zu ver­ge­wis­sern, dass der Auf­trags­be­ar­bei­ter die Daten­si­cher­heit gewähr­leis­tet. Sie bleibt im Übri­gen wei­ter­hin als Inha­be­rin der Daten­samm­lung mit­samt ihrer Daten­si­cher­heits­pflich­ten ver­ant­wort­lich.16

In die­sem Zusam­men­hang stel­len sich im Hin­blick auf Whist­leb­lo­wing inter­es­sante Fra­gen bspw. bezüg­lich den Mög­lich­kei­ten zur Haf­tungs­re­duk­tion des Out­sour­cing­ge­bers17, bezüg­lich den Unter­schie­den zwi­schen der Haf­tung des gewöhn­li­chen Bear­bei­ters (Arbeit­neh­mer) und des Auf­trags­be­ar­bei­ters18 oder den Ver­hält­nis­sen bei Ket­ten­out­sour­cing19. Das aty­pi­sche Whist­leb­lo­wing an die­ser Stelle ein­ge­hen­der zu behan­deln, würde aber den Rah­men spren­gen.

5. Fazit zur Ver­ant­wort­lich­keit

Den Whist­leb­lo­wer trifft wie jeden Bear­bei­ter eine Daten­si­cher­heits­pflicht. Durch die für ihn typi­schen Bear­bei­tungs­vor­gänge (siehe 1. Ein­gren­zung auf die Ver­trau­lich­keit) ver­letzt er zwar die Daten­si­cher­heit, nicht aber die Daten­si­cher­heitspflicht.

Es erge­ben sich bei Ein­tritt eines Whist­leb­lo­wing­fal­les fol­gende zu prü­fende Daten­si­cher­heits­pflicht­ver­let­zun­gen (vgl. Abbil­dung 4):

  1. Jene der Orga­ni­sa­tion (Inha­be­rin);
  2. Jene der Hilfs­per­so­nen der Orga­ni­sa­tion (gewöhn­li­che Bear­bei­ter);
  3. Jene des Auf­trags­be­ar­bei­ters und des­sen Hilfspersonen(Outsourcing).

Die Daten­si­cher­heits­pflich­ten von Inha­ber und Bear­bei­ter unter­schei­den sich in ihrem Umfang. Den Inha­ber tref­fen auf Grund sei­ner über­ge­ord­ne­ten Stel­lung grund­sätz­lich weit­ge­hen­dere Daten­si­cher­heits­pflich­ten als den Bear­bei­ter.


1 Ebne­ter, Rz 14; Lehmann/Sauter, S. 144. Dane­ben sei an den Schutz der Ver­füg­bar­keit und der Inte­gri­tät erin­nert, zu wel­chen der Daten­be­ar­bei­ter über DSG 7 II i.V.m. VDSG 8 I ver­pflich­tet wird.

2 Vgl. Lehmann/Sauter, S. 138.

3 Peter, S. 237; HK, Art. 3 Rz 105; siehe Meier, Rz 581.

4 Siehe ins­be­son­dere Abbil­dung 3

5 Für das schwei­ze­ri­sche Recht: Leder­ger­ber, S. 118 ff.; zur Sorg­falts- bzw. Treue­pflicht im Spe­zi­el­len siehe Portmann/Stöckli, Rz 195 f. und 353 ff., sowie Von Kaenel, S. 314 ff. Für Deutsch­land: Schulz, S. 58 ff. und für die USA: Micheli/Near/Dworkin, S. 153.

6 HK, Art. 7 Rz 38 f., sowie Ders., Art. 10a Rz 9 f. und Rz 88 bez. Regress­nahme.

7 In der Pra­xis kom­men ins­be­son­dere häu­fig sog. SQL-Injec­tions vor. Ein Fall mit hun­dert­tau­sen­den betrof­fe­nen Web­sites wird beschrie­ben unter: http://heise.de/-1219993, Stand: 17.08.2011. Auch grosse Sicher­heits­fir­men sind vor die­ser Atta­cke nicht gefeit: siehe Schmidt Jür­gen, Aus­ge­lacht – Anony­mous kom­pro­mit­tiert US-Sicher­heits­firma, in: c’t maga­zin für com­pu­ter­tech­nik, 6/2011, S. 50. Eine Ein­füh­rung zur The­ma­tik der SQL-Injec­tion-Angriffs­me­thode fin­det sich (neben wei­te­ren) hier: Andrews Mike/Whittaker James A., How to break web soft­ware, New Jer­sey 2006, S. 74.

8 Wei­tere Fälle von Lap­top­ver­lus­ten fin­den sich bei Meints, S. 74 ff.; zu den vie­len sicher­heits­re­le­van­ten Aspek­ten eines ver­lo­ren­ge­gan­ge­nen Lap­tops: Eck­stein, S. 154 ff. Eine umfas­sende Ana­lyse von mög­li­chen Sicher­heits­mass­nah­men bei Lap­tops: Bally, S. 28 ff.

9 Der Arbeit­neh­mer sollte nicht auch als Drit­ter betrach­tet wer­den. Dies ergibt sich aus der feh­len­den gesetz­li­chen Grund­lage und den unter­schied­li­chen Wei­sungs­rech­ten bei Arbeit­neh­mer und Auf­trag­neh­mer. Wie­derum aber den Arbeit­neh­mer und den Arbeit­ge­ber zu einer ein­zi­gen bear­bei­ten­den Per­son zusam­men­zu­fas­sen, ist aus Über­le­gun­gen wie u.a. jener, dass nicht jeder Arbeit­neh­mer in Daten ande­rer Arbeit­neh­mer oder gar des Arbeit­ge­bers Ein­sicht haben sollte (Ver­hält­nis­mäs­sig­keits­prin­zip), abzu­leh­nen. Siehe zu die­sem wenig dis­ku­tier­ten Pro­blem m.w.H. HK, Art. 10a Rz 5 ff.

10 Der Inha­ber ist damit letzt­lich immer für die Daten­samm­lung ver­ant­wort­lich. Vgl. EDÖB, Leit­fa­den, S. 3.

11 BSK-Mau­rer-Lambrou, Vor­be­mer­kun­gen zum 2. Abschnitt Rz 2; BSK-Pauli, Art. 7 Rz 4 und Rz 19. Siehe auch die Fn 204 bei ().

12 Vgl. m.w.H. BEK-Rie­mer, Art. 54/55 Rz 55 f.

13 Bei Unter­neh­men nach Akti­en­recht liegt die Ver­ant­wor­tung für die Daten­si­cher­heit bspw. beim VR, siehe Weber/Willi, S. 197 ff., Weber, Stan­dards, S. 182.

14 Je klei­ner der ver­blei­bende Hand­lungs­spiel­raum des Auf­trags­be­ar­bei­ters ist, desto eher redu­ziert sich des­sen Daten­si­cher­heits­pflicht inhalt­lich von der­je­ni­gen eines Inha­bers zu
jener eines gewöhn­li­chen Bear­bei­ters. Dies geht mit einem Sub­or­di­na­ti­ons­ver­hält­nis trotz Auf­trags­grund­lage ein­her.

15 Vgl. m.w.H. HK, Art. 10a Rz 19 ff. Zum Begriff des aty­pi­schen Whist­leb­lo­wings siehe (Whist­leb­lo­wing).

16 HK, Art. 10a Rz 49.

17 HK, Art. 10a Rz 89.

18 Umstrit­ten ist, ob und ggf. in wel­chem Aus­mass der Arbeit­neh­mer weni­ger haf­ten soll, als der Auf­trags­be­ar­bei­ter, da er i.d.R. viel stär­ker wei­sungs­ge­bun­den ist. Siehe HK, Art. 15 Rz 23 und Ders., Art. 10a Rz 95.

19 Wie sorgt der Out­sour­cing­ge­ber für die not­wen­di­gen Kon­trol­len? Und wie stellt er sicher, noch Herr über seine Daten zu blei­ben? Je län­ger die Out­sour­cing-Kette ist, desto unkon­trol­lier­ba­rer wird das Risiko von Whist­leb­lo­wing. Vgl. hierzu m.w.H. HK, Art. 10a Rz 77.