Der Bundesrat regelt die Kontrollverfahren und die Verantwortung für den Datenschutz, wenn ein Bundesorgan Personendaten zusammen mit anderen Bundesorganen, mit kantonalen Organen oder mit privaten Personen bearbeitet.
5 commentaries
Gegen Verfügungen über datenschutzrechtliche Ansprüche steht dem Betroffenen der Rechtsweg offen; er kann die Verfügung zur Überprüfung einem unabhängigen Gericht vorlegen.
“Das Auskunftsrecht ermöglicht es dem Betroffenen, die Einhaltung der materiellen Grundsätze des Datenschutzes zu überprüfen und seine Rechte im Zusammenhang mit der Bearbeitung von Daten über seine Person wahrzunehmen. Dazu gehören namentlich die Ansprüche gemäss Art. 25 Abs. 1 DSG: Bei Vorliegen eines schutzwürdigen Interesses kann vom verantwortlichen Bundesorgan verlangt werden, dass es das widerrechtliche Bearbeiten von Personendaten unterlässt (Bst. a), die Folgen eines widerrechtlichen Bearbeitens beseitigt (Bst. b), oder die Widerrechtlichkeit des Bearbeitens feststellt (Bst. c). Ferner verleiht Art. 25 Abs. 3 Bst. a DSG dem Gesuchsteller ein Recht auf Berichtigung unrichtiger Daten (vgl. auch Art. 5 Abs. 2 DSG). Gegen Verfügungen über datenschutzrechtliche Ansprüche steht dem Betroffenen der Rechtsweg offen (vgl. Art. 33 Abs. 1 DSG), womit er die Sache einer Überprüfung durch ein unabhängiges Gericht zuführen kann. Das Auskunftsrecht ist dergestalt eine verfahrensrechtliche Garantie zum Schutz vor unsachgemässer Datenbearbeitung. Es bildet zusammen mit den weiteren datenschutzrechtlichen Ansprüchen eine Einheit zur Gewährleistung eines wirksamen Grundrechtsschutzes (vgl. zum Ganzen BGE 147 II 408 E. 6.3 und BGE 144 I 126 E. 8.3.7 f. mit Hinweisen auf die Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte [EGMR] zu Art. 8 und Art. 13 EMRK; ferner Urteil des BGer 1C_541/2014 vom 13. August 2015 E. 2.5 mit Hinweisen). Angesichts der grossen Bedeutung des Auskunftsrechts für den Datenschutz sowie die Verwirklichung der Grund- und Konventionsrechte ist die Auskunftsverweigerung auf das zeitlich und sachlich unbedingt Notwendige zu beschränken (BGE 147 II 408 E. 2.3 in fine).”
Art. 33 DSG erfasst nach der Kommentarliteratur sowohl Konstellationen, in denen mehrere Organe Personendaten gestützt auf eigene Rechtsgrundlagen für eigene Zwecke bearbeiten, als auch solche, in denen die Bearbeitung auf einer gemeinsamen Rechtsgrundlage für einen gemeinsamen Zweck beruht. Zweck der Norm ist es, Regelungslücken hinsichtlich Verantwortung und Kontrolle bei gemeinsamer Datenbearbeitung zu vermeiden; eine Beschränkung des Anwendungsbereichs auf Fälle mit eigenen Rechtsgrundlagen ergibt sich aus den zitierten Kommentaren nicht.
“Art. 33 des Datenschutzgesetztes (DSG, SR 235.1) der Schweizerischen Eidgenossenschaft bestimmt unter der Überschrift Kontrolle und Verantwortung bei gemeinsamer Bearbeitung von Personendaten, dass der Bundesrat die Kontrollverfahren und die Verantwortung für den Datenschutz regelt, wenn ein Bundesorgan Personendaten zusammen mit anderen Bundesorganen, mit kantonalen Organen oder mit privaten Personen bearbeitet. Die Rekurrenten machen geltend, der Begriff der Bearbeitung eines gemeinsamen Informationsbestands durch mehrere öffentliche Organe im Sinn von § 6 Abs. 2 IDG BS sei analog zum Begriff der gemeinsamen Bearbeitung von Personendaten im Sinn von Art. 33 DSG auszulegen (Rekursbegründung Rz. 14). Ob diese Forderung begründet ist, kann offenbleiben, weil sie daraus ohnehin nichts zu ihren Gunsten ableiten können. Gemäss der von den Rekurrenten zitierten Kommentierung von Art. 33 DSG handelt es sich zwar auch bei Austauschplattformen, zentralen Internetportalen mit Stammdaten für Behördengänge und zentralen IT-Systemen, die Bundesorgane einsetzen müssen, um gemeinsame Datenbearbeitungen (vgl. Held/Brönnimann, in: Bieri/Powell [Hrsg.], Orell Füssli Kommentar zum Schweizerischen Datenschutzgesetz mit weiteren Erlassen, Zürich 2023, Art. 33 N 6). Dass solche Einrichtungen eine notwendige Voraussetzung für die Annahme einer gemeinsamen Datenbearbeitung darstellten, kann der Kommentierung aber nicht ansatzweise entnommen werden. Die von den Rekurrenten zitierten Autoren scheinen der Ansicht zu sein, eine gemeinsame Bearbeitung von Personendaten im Sinn von Art. 33 DSG setze voraus, dass mehrere Organe die Daten gestützt auf eigene Rechtsgrundlagen für eigene Zwecke bearbeiten (vgl.”
“33 DSG handelt es sich zwar auch bei Austauschplattformen, zentralen Internetportalen mit Stammdaten für Behördengänge und zentralen IT-Systemen, die Bundesorgane einsetzen müssen, um gemeinsame Datenbearbeitungen (vgl. Held/Brönnimann, in: Bieri/Powell [Hrsg.], Orell Füssli Kommentar zum Schweizerischen Datenschutzgesetz mit weiteren Erlassen, Zürich 2023, Art. 33 N 6). Dass solche Einrichtungen eine notwendige Voraussetzung für die Annahme einer gemeinsamen Datenbearbeitung darstellten, kann der Kommentierung aber nicht ansatzweise entnommen werden. Die von den Rekurrenten zitierten Autoren scheinen der Ansicht zu sein, eine gemeinsame Bearbeitung von Personendaten im Sinn von Art. 33 DSG setze voraus, dass mehrere Organe die Daten gestützt auf eigene Rechtsgrundlagen für eigene Zwecke bearbeiten (vgl. Held/Brönnimann, a.a.O., Art. 33 N 5). Weshalb die Bestimmung derart einschränkend auszulegen sein sollte, wird aber nicht nachvollziehbar begründet und ist auch nicht ersichtlich. Der Zweck von Art. 33 DSG besteht gemäss den genannten Autoren in der Vermeidung von Regelungslücken betreffend die Verantwortung für den Datenschutz und die Kontrolle der Datenbearbeitung bei gemeinsamer Bearbeitung von Personendaten (vgl. Held/Brönnimann, a.a.O., Art. 33 N 1). Diesbezügliche Regelungen sind bei einer Bearbeitung durch mehrere Organe gestützt auf eine gemeinsame Rechtsgrundlage für einen gemeinsamen Zweck genauso erforderlich wie bei einer Bearbeitung durch mehrere Organe gestützt auf eigene Rechtsgrundlagen zu eigenen Zwecken. Schliesslich wird der Anwendungsbereich von Art. 33 DSG in den übrigen Kommentaren in keiner Art und Weise auf die Datenbearbeitung aufgrund eigener Rechtsgrundlagen zu eigenen Zwecken beschränkt (vgl. Mund, in: Baeriswyl et al. [Hrsg.], Stämpflis Handkommentar Datenschutzgesetz, 2. Auflage, Bern 2023, Art. 33; Stöckli/Grüninger, in: Basler Kommentar, 4. Auflage 2024, Art. 33 DSG).”
Art. 33 DSG ist auf Fälle gemeinsamer Datenbearbeitung anzuwenden, unabhängig davon, ob die beteiligten Organe auf einer gemeinsamen Rechtsgrundlage für einen gemeinsamen Zweck oder jeweils auf eigenen Rechtsgrundlagen für eigene Zwecke tätig sind. Die Bestimmung dient dazu, Regelungslücken hinsichtlich der Verantwortung für den Datenschutz und der Kontrolle der Datenbearbeitung bei gemeinsamem Handeln mehrerer Organe zu vermeiden.
“Weshalb die Bestimmung derart einschränkend auszulegen sein sollte, wird aber nicht nachvollziehbar begründet und ist auch nicht ersichtlich. Der Zweck von Art. 33 DSG besteht gemäss den genannten Autoren in der Vermeidung von Regelungslücken betreffend die Verantwortung für den Datenschutz und die Kontrolle der Datenbearbeitung bei gemeinsamer Bearbeitung von Personendaten (vgl. Held/Brönnimann, a.a.O., Art. 33 N 1). Diesbezügliche Regelungen sind bei einer Bearbeitung durch mehrere Organe gestützt auf eine gemeinsame Rechtsgrundlage für einen gemeinsamen Zweck genauso erforderlich wie bei einer Bearbeitung durch mehrere Organe gestützt auf eigene Rechtsgrundlagen zu eigenen Zwecken. Schliesslich wird der Anwendungsbereich von Art. 33 DSG in den übrigen Kommentaren in keiner Art und Weise auf die Datenbearbeitung aufgrund eigener Rechtsgrundlagen zu eigenen Zwecken beschränkt (vgl. Mund, in: Baeriswyl et al. [Hrsg.], Stämpflis Handkommentar Datenschutzgesetz, 2. Auflage, Bern 2023, Art. 33; Stöckli/Grüninger, in: Basler Kommentar, 4. Auflage 2024, Art. 33 DSG).”
“Die von den Rekurrenten zitierten Autoren scheinen der Ansicht zu sein, eine gemeinsame Bearbeitung von Personendaten im Sinn von Art. 33 DSG setze voraus, dass mehrere Organe die Daten gestützt auf eigene Rechtsgrundlagen für eigene Zwecke bearbeiten (vgl. Held/Brönnimann, a.a.O., Art. 33 N 5). Weshalb die Bestimmung derart einschränkend auszulegen sein sollte, wird aber nicht nachvollziehbar begründet und ist auch nicht ersichtlich. Der Zweck von Art. 33 DSG besteht gemäss den genannten Autoren in der Vermeidung von Regelungslücken betreffend die Verantwortung für den Datenschutz und die Kontrolle der Datenbearbeitung bei gemeinsamer Bearbeitung von Personendaten (vgl. Held/Brönnimann, a.a.O., Art. 33 N 1). Diesbezügliche Regelungen sind bei einer Bearbeitung durch mehrere Organe gestützt auf eine gemeinsame Rechtsgrundlage für einen gemeinsamen Zweck genauso erforderlich wie bei einer Bearbeitung durch mehrere Organe gestützt auf eigene Rechtsgrundlagen zu eigenen Zwecken. Schliesslich wird der Anwendungsbereich von Art. 33 DSG in den übrigen Kommentaren in keiner Art und Weise auf die Datenbearbeitung aufgrund eigener Rechtsgrundlagen zu eigenen Zwecken beschränkt (vgl. Mund, in: Baeriswyl et al. [Hrsg.], Stämpflis Handkommentar Datenschutzgesetz, 2. Auflage, Bern 2023, Art. 33; Stöckli/Grüninger, in: Basler Kommentar, 4. Auflage 2024, Art. 33 DSG).”
Die blosse Existenz von Austauschplattformen, zentralen Internetportalen oder zentralen IT‑Systemen begründet nicht schlechthin eine gemeinsame Bearbeitung im Sinn von Art. 33 DSG; solche Einrichtungen können zwar gemeinsame Datenbearbeitungen darstellen, ihre Anwesenheit allein ist jedoch keine notwendige Voraussetzung für die Annahme gemeinsamer Datenbearbeitung.
“Art. 33 des Datenschutzgesetztes (DSG, SR 235.1) der Schweizerischen Eidgenossenschaft bestimmt unter der Überschrift Kontrolle und Verantwortung bei gemeinsamer Bearbeitung von Personendaten, dass der Bundesrat die Kontrollverfahren und die Verantwortung für den Datenschutz regelt, wenn ein Bundesorgan Personendaten zusammen mit anderen Bundesorganen, mit kantonalen Organen oder mit privaten Personen bearbeitet. Die Rekurrenten machen geltend, der Begriff der Bearbeitung eines gemeinsamen Informationsbestands durch mehrere öffentliche Organe im Sinn von § 6 Abs. 2 IDG BS sei analog zum Begriff der gemeinsamen Bearbeitung von Personendaten im Sinn von Art. 33 DSG auszulegen (Rekursbegründung Rz. 14). Ob diese Forderung begründet ist, kann offenbleiben, weil sie daraus ohnehin nichts zu ihren Gunsten ableiten können. Gemäss der von den Rekurrenten zitierten Kommentierung von Art. 33 DSG handelt es sich zwar auch bei Austauschplattformen, zentralen Internetportalen mit Stammdaten für Behördengänge und zentralen IT-Systemen, die Bundesorgane einsetzen müssen, um gemeinsame Datenbearbeitungen (vgl. Held/Brönnimann, in: Bieri/Powell [Hrsg.], Orell Füssli Kommentar zum Schweizerischen Datenschutzgesetz mit weiteren Erlassen, Zürich 2023, Art. 33 N 6). Dass solche Einrichtungen eine notwendige Voraussetzung für die Annahme einer gemeinsamen Datenbearbeitung darstellten, kann der Kommentierung aber nicht ansatzweise entnommen werden. Die von den Rekurrenten zitierten Autoren scheinen der Ansicht zu sein, eine gemeinsame Bearbeitung von Personendaten im Sinn von Art. 33 DSG setze voraus, dass mehrere Organe die Daten gestützt auf eigene Rechtsgrundlagen für eigene Zwecke bearbeiten (vgl. Held/Brönnimann, a.a.O., Art. 33 N 5). Weshalb die Bestimmung derart einschränkend auszulegen sein sollte, wird aber nicht nachvollziehbar begründet und ist auch nicht ersichtlich. Der Zweck von Art.”
Die Beurteilung datenschutzrechtlicher Fragen fällt nicht in die Zuständigkeit des Sozialversicherungsgerichts; für diese Fragen gelten die allgemeinen Bestimmungen über die Bundesrechtspflege (Art. 33 Abs. 1 DSG).
“Umgekehrt fehlt es an einem Anfechtungsobjekt und somit an einer Sachurteilsvoraussetzung, wenn und soweit keine Verfügung ergangen ist (BGE 125 V 413, 414 E. 1a mit Hinweisen). 3.2. 3.2.1. Anfechtungsobjekt ist vorliegend einzig die Verfügung vom 28. September 2021, mit welcher die Beschwerdegegnerin den Anspruch des Beschwerdeführers auf Leistungen der IV verneinte, da ihrer Ansicht nach kein IV-relevanter Gesundheitsschaden bestehe. 3.2.2. Die den Datenschutz betreffenden Rügen sind vordergründig nicht von der vorgenannten Verfügung erfasst. Doch selbst wenn man zu Gunsten des Beschwerdeführers einen impliziten Einschluss der datenschutzrechtlichen Fragen annehmen würde ist Folgendes zu bemerken: Zwar gilt die Beschwerdegegnerin als Bundesorgan im Sinne von Art. 2 Abs. 1 lit. b Bundesgesetz über den Datenschutz (DSG, SR.235.1, vgl. BGE 133 V 359, 361, E. 6.4) und hat folglich dieses Gesetz zu beachten. Jedoch fällt die Beurteilung datenschutzrechtlicher Fragen nicht in den Zuständigkeitsbereich des Sozialversicherungsgerichts Basel-Stadt. Es gelten die allgemeinen Bestimmungen über die Bundesrechtspflege (Art. 33 Abs. 1 DSG). Insoweit ist auf die Rügen des Beschwerdeführers nicht einzutreten. 3.3. 3.3.1. Nach Art. 53 Abs. 2 ATSG kann der Versicherungsträger auf formell rechtskräftige Verfügungen oder Einspracheentscheide zurückkommen, wenn diese nach damaliger Sach- und Rechtslage zweifellos unrichtig sind (BGE 138 V 324, 328 E. 3.3 mit Hinweis auf BGE 125 V 383, 389 E. 3; BGE 119 V 75, 480 E 1c mit Hinweisen) und wenn ihre Berichtigung von erheblicher Bedeutung ist. 3.3.2. Im Wiedererwägungsverfahren sind zwei getrennte Verfahrensschritte auseinanderzuhalten. In einem ersten Schritt ist falls auf das Begehren eingetreten wird zu klären, ob die Wiedererwägungsvoraussetzungen erfüllt sind. Wird das bejaht (und ist deshalb auf die entsprechende Entscheidung zurück zu kommen) ist in einem zweiten Schritt unter Berücksichtigung der massgebenden Umstände ein neuer Entscheid zu fällen (Urteil des Bundesgerichts 8C_321/2012 vom 14. August 2012 mit Hinweisen auf SVR 2006 IV Nr. 21, I 45/02. E. 1.3). Der Entscheid über ein Wiedererwägungsgesuch stellt einen grundsätzlich einer gerichtlichen Überprüfung unterstehenden Anfechtungsgegenstand dar.”
“Umgekehrt fehlt es an einem Anfechtungsobjekt und somit an einer Sachurteilsvoraussetzung, wenn und soweit keine Verfügung ergangen ist (BGE 125 V 413, 414 E. 1a mit Hinweisen). 3.2. 3.2.1. Anfechtungsobjekt ist vorliegend einzig die Verfügung vom 28. September 2021, mit welcher die Beschwerdegegnerin den Anspruch des Beschwerdeführers auf Leistungen der IV verneinte, da ihrer Ansicht nach kein IV-relevanter Gesundheitsschaden bestehe. 3.2.2. Die den Datenschutz betreffenden Rügen sind vordergründig nicht von der vorgenannten Verfügung erfasst. Doch selbst wenn man zu Gunsten des Beschwerdeführers einen impliziten Einschluss der datenschutzrechtlichen Fragen annehmen würde ist Folgendes zu bemerken: Zwar gilt die Beschwerdegegnerin als Bundesorgan im Sinne von Art. 2 Abs. 1 lit. b Bundesgesetz über den Datenschutz (DSG, SR.235.1, vgl. BGE 133 V 359, 361, E. 6.4) und hat folglich dieses Gesetz zu beachten. Jedoch fällt die Beurteilung datenschutzrechtlicher Fragen nicht in den Zuständigkeitsbereich des Sozialversicherungsgerichts Basel-Stadt. Es gelten die allgemeinen Bestimmungen über die Bundesrechtspflege (Art. 33 Abs. 1 DSG). Insoweit ist auf die Rügen des Beschwerdeführers nicht einzutreten. 3.3. 3.3.1. Nach Art. 53 Abs. 2 ATSG kann der Versicherungsträger auf formell rechtskräftige Verfügungen oder Einspracheentscheide zurückkommen, wenn diese nach damaliger Sach- und Rechtslage zweifellos unrichtig sind (BGE 138 V 324, 328 E. 3.3 mit Hinweis auf BGE 125 V 383, 389 E. 3; BGE 119 V 75, 480 E 1c mit Hinweisen) und wenn ihre Berichtigung von erheblicher Bedeutung ist. 3.3.2. Im Wiedererwägungsverfahren sind zwei getrennte Verfahrensschritte auseinanderzuhalten. In einem ersten Schritt ist falls auf das Begehren eingetreten wird zu klären, ob die Wiedererwägungsvoraussetzungen erfüllt sind. Wird das bejaht (und ist deshalb auf die entsprechende Entscheidung zurück zu kommen) ist in einem zweiten Schritt unter Berücksichtigung der massgebenden Umstände ein neuer Entscheid zu fällen (Urteil des Bundesgerichts 8C_321/2012 vom 14. August 2012 mit Hinweisen auf SVR 2006 IV Nr. 21, I 45/02. E. 1.3). Der Entscheid über ein Wiedererwägungsgesuch stellt einen grundsätzlich einer gerichtlichen Überprüfung unterstehenden Anfechtungsgegenstand dar.”