1C_299/2019, 1C_336/2021, 1C_50/2015, 1C_562/2017, 1C_93/2021, + 1 weiteres
30.Tätigkeitsbericht 2022/23 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter 30. Tätigkeitsbericht 2022/23 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
Tätigkeitsbericht 2022/2023 des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte hat der Bundesversammlung periodisch einen Bericht über seine Tätigkeit vorzulegen (Art. 30 DSG). Der vorliegende Bericht deckt für den Bereich Datenschutz den Zeitraum zwischen 1. April 2022 und 31. März 2023 ab. Für den Bereich Öffentlichkeitsprinzip entspricht er dem Kalenderjahr 1. Januar bis 31. Dezember 2022.
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
Vorwort Am 1. Juli 1993 trat das erste Bundesgesetz über den Datenschutz vom 19. Juni 1992 in Kraft. Bereits in der Gesetzesbotschaft von 23. März 1988 hatte der Bundesrat den gesetzgeberischen Handlungsbedarf mit dem «Einsatz der modernen Informations- und Kommunikationstechnologien in fast allen Lebensbereichen und der enormen Intensivierung der Datenverarbeitung und Verbreitung in Gesellschaft, Wirtschaft und Staat» begründet. 30 Jahre später spielt sich unser Alltag in einer digitalen Realität ab, wie sie damals nicht vorausgesehen werden konnte. Das Smartphone und die permanente Verbindung mit dem Internet, über das die digitale Gesellschaft von heute die Verrichtungen des Alltags vom Banking bis zum Dating «online» abwickelt, hat den Umfang und die Intensität, mit der personenbezogene Informationen bearbeitet werden, um Potenzen erhöht. Am 1. September 2023 kann das totalrevidierte Bundesgesetz über den Datenschutz vom 25. September 2020 in Kraft treten. Mit diesem Erlass stellt der Gesetzgeber der Wirtschaft, der Bundesverwaltung und der Datenschutz- aufsicht des Bundes neue Instrumente zur Verfügung, um den berechtigten Erwartungen der Bevölkerung an einen rechtsstaatlichen und robusten Schutz ihrer Privatsphäre und informationellen Selbstbestimmung in zeit- gemässer Weise gerecht zu werden. Die Arbeiten des EDÖB-Teams zur Vorbereitung des Übergangs zum neuen Recht sind in vollem Gang und verlaufen weiterhin plangemäss (s. Schwerpunkt). Adrian Lobsiger Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Bern, den 31. März 2023 30. Tätigkeitsbericht 2022/23
Aktuelle Herausforderungen ...................................6 Datenschutz 1.1 Digitalisierung und Grundrechte .......14 –Cloud Strategie Bund: Herausforderndes Cloud- Projekt der Bundeskanzlei –Nationale Datenbewirtschaftung: Projekt «SpiGes» des BFS –Zertifizierung: Neue Verordnung über die Datenschutz- zertifizierungen –Wahlen und Abstimmungen: Aktualisierung des bestehenden Leitfadens –E-ID: Self-Sovereign-Identity- Ansatz –Onlineportal Post: Zugang nur noch mit SwissID möglich –Strategie Digitale Schweiz: Projekt digitaler Führerausweis Schwerpunkt ....................................................18 30 Jahre Datenschutz in der Schweiz 1.2 Justiz, Polizei, Sicherheit ...........26 –BAZG: Zollgesetz –Schutzstatus S: Web-Applikation «RegisterMe» –Mitto AG: Vorabklärung zu einer möglichen missbräuch- lichen Verwendung des «Signalling System»-Zugangs 1.3 Handel und Wirtschaft ............................30 –Datenbekanntgabe an ausländische Steuerbehörden: Bundesgericht entscheidet gegen das Recht auf Information von Drittpersonen in der internationalen Steueramtshilfe –Tracking-Technologien: Prüfung möglicher Persönlich- keitsverletzung der Schweizer Bevölkerung durch Oracle –Postfinance: Verzicht auf Kontoöffentlichkeit –Bonitätsauskünfte: Datenbankeinträge gestützt auf «negative Haushaltstreffer» –Cyberangriff: Vorabklärung bei Infopro AG und Fiducial Winbiz SA –Vorabklärung bei einem Voice-Dienst: Sicherheits- schwachstelle wurde rasch behoben –Dating App: Analyse der Datenbearbeitungen –Virtuelle Läufe: Verbesserter Datenschutz bei einem Lauf-Anbieter 1.4 Gesundheit .............................................37 –Nationales Organspenderegister: Online-Authentifizierung mangelhaft –Onlineregister: Datenschutzrisiken beim Brustimplantat- register –Mangelnde Datensicherheit: Sachverhaltsabklärung zur Datenbank privater Covid-19-Testzentren –Online-Plattform: Projekt Datenrettung «meineimpfungen.ch» –Elektronisches Patientendossier: Neue Entwicklungen –Elektronischer Rechnungsversand: Pflicht zur Zustellung einer Kopie der Arztrechnung –Elektronischer Rechnungsversand: Entwurf betreffend die elektronische Rechnungsübermittlung im Bereich der obligatorischen Krankenpflegeversicherung 1.5 Arbeit ....................................................47 –Bundespersonal: Aufbewahrung von Personaldossiers beim BFS 1.6 Verkehr ..................................................48 –SBB: Kundenfrequenzmesssystem an Bahnhöfen 1.7 International ........................................50 –Europa: Europarat –Europa: Europäische Konferenz der Datenschutz- beauftragten in Dubrovnik –Europa: European Case Handling Workshop –International: Global Privacy Assembly –GPA: Arbeitsgruppe Entwicklungshilfe –AFAPDP: Französischsprachige Vereinigung der Datenschutzbehörden –Bilateral: Empfang einer tunesischen Delegation –Internationale Zusammenarbeit: Privacy Symposium in Venedig –Schengen: Border Travel and Law Enforcement Group –Schengen: Aufsichtskoordinationsgruppen über die Informationssysteme SIS II, VIS und Eurodac –Schengen: Schengen Koordinations gruppe der schweizerischen Datenschutzbehörden –Schengen: Tätigkeiten betreffend Schengen auf nationaler Ebene Inhaltsverzeichnis Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
Öffentlichkeitsprinzip 2.1 Allgemein ...............................................62 2.2 Zugangsgesuche – leichter Rückgang im Jahr 2022 ...............................................64 2.3 Schlichtungsverfahren – leichter Rückgang der Schlichtungsanträge ..........68 –Anteil einvernehmlicher Lösungen –Dauer der Schlichtungs verfahren –Anzahl hängiger Fälle 2.4 Gesetzgebungsverfahren ..........................72 –Cybersicherheit: Änderung des Informationssicherheits- gesetzes (ISG) –Strombranche: Vorentwurf des Bundesgesetzes über einen Rettungsschirm für die Elektrizitäts wirtschaft –Archivierungsgesetz: Notwendigkeit einer Revision des Bundesgesetzes über die Archivierung –Finanzen: Inkraftsetzung Geldwäschereigesetz und Geldwäschereiverordnung –Tabakproduktegesetz: Teilrevision des Bundes gesetzes über Tabakprodukte und elektronische Zigaretten (TabPG) –Wirtschaft: Neues Bundesgesetz für die Prüfung ausländischer Investitionen 2.5 Spezialgesetzliche Vorbehalte nach Art. 4 BGÖ .....................................80 Der EDÖB 3.1 Aufgaben und Ressourcen .........................85 –Leistungen und Ressourcen im Bereich Datenschutz –Leistungen und Ressourcen im Bereich Öffentlichkeits- gesetz –Teilnahme an Kommissions beratungen und Anhörungen durch parlamentarische Kommissionen 3.2 Kommunikation ........................................88 –Zahlen –Themenschwerpunkte –Datenweitergabe und Datenhandel –Neue Website 3.3 Statistiken ...........................................90 –Statistiken über die Tätigkeiten des EDÖB vom 1. April 2022 bis 31. März 2023 (Datenschutz) –Übersicht der Zugangsgesuche vom 1. Januar bis 31. Dezember 2022 –Statistiken über Zugangsgesuche nach Öffentlichkeits- gesetz vom 1. Januar bis 31. Dezember 2022 –Zugangsgesuche 2022 mit Corona-Bezug –Anzahl Schlichtungsgesuche nach Kategorien der Antrag- stellenden –Zugangsgesuche der gesamten Bundesverwaltung vom 1. Januar bis 31. Dezember 2022 3.4 Organisation EDÖB ................................100 –Organigramm –Mitarbeiter und Mitarbeiterinnen des EDÖB Abkürzungsverzeichnis .........................102
Abbildungsverzeichnis .........................103 Impressum ............................................104 Umschlag –Kennzahlen –Anliegen des Datenschutzes Inhaltsverzeichnis 30. Tätigkeitsbericht 2022/23
Digitale Verantwortung Die digitale Transformation ist eine gesamtgesellschaftliche Erscheinung und geht mit wichtigen Fragestellungen einher, welche die Behörden, Unter- nehmen sowie Bürgerinnen und Nutzer betreffen. Statt einer blinden Unter- werfung unter die technologische Ent- wicklung, gilt es über die Analyse von Prozessen für einen verantwortungs- vollen Einsatz digitaler Technologie im Dienst der Menschen zu sorgen. Von zentraler Bedeutung ist in die- sem Kontext die digitale Verantwor- tung – ein breitgefächertes Konzept, in das namentlich finanztechnische, rechtliche, ökologische, gesellschaftliche und ethische Betrachtungen einfliessen. Weil das Entwicklungspotenzial der Digitalisierung auch die Datenbearbei- tungsverantwortlichen neuen Risiken aussetzt, gehört aus Sicht des EDÖB die digitale Verantwortung fortan zur guten Führung. Die Einhaltung des Datenschutzgesetzes, die den Schutz Aktuelle Herausforderungen I Digitalisierung von Persönlichkeitsrechten bei der Bearbeitung von Personendaten gewährleistet, ist Teil dieser Verant- wortung. Die Revision des Bundesgesetzes über den Datenschutz (s. Schwerpunkt) verpflichtet die Bearbeitungsverant- wortlichen zu einer proaktiven Heran- gehensweise bei der Umsetzung auto- matisierter Bearbeitungen und der Digi- talisierung. Das neue Gesetz bietet ihnen Instrumente für globale und spe- zifische Analysen der Bearbeitungen und Techniken sowie zur Herstellung von Transparenz, Vertrauen und Glaub- würdigkeit gegenüber den betroffenen Personen. Auch wenn es bei der Bear- beitung von Personendaten kein Null- risiko geben muss, können mit diesen Instrumenten Bearbeitungsverantwort- liche Restrisiken ermitteln, mindern und eigenverantwortlich eingehen und mit diesem Vorgehen die Privat- sphäre und die informationelle Selbst- bestimmung aller Betroffenen gewähr- leisten. Auch bei der technischen Sicherheit spielt proaktives Denken eine ent- scheidende Rolle; gilt es doch, Cyber- angriffen mit vorausschauenden Mass- nahmen zu begegnen. Unrühmliche Beispiele wie Meineimpfungen oder Swisstransplant in Kapitel 1. 4 zeigen, dass die Regeln und Instrumente des neuen Rechts zur Wahrung der Gr undrechte und der digitalen Ver- antwortung unerlässlich sind. Aufsichtsrechtliche Beratung und Projektführung mit risikobasiertem Ansatz Die praktische Bedeutung des Konzepts der digitalen Verantwortung als unter- nehmerische Selbstverantwortung offenbart sich bei den aufsichtsrecht- lichen Beratungsleistungen, die der «Als Aufsichtsbehörde für Datenschutz erteilt der EDÖB keine Bewilligungen.» Aktuelle Herausforderungen 6 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
EDÖB gegenüber den Verantwortlichen digitaler Projekte der Wirtschaft erbringt: Privaten ist die Bearbeitung von Personendaten nach der schwei- zerischen Datenschutzgesetzgebung grundsätzlich erlaubt und bedarf auch keiner behördlichen Bewilligung. Als Aufsichtsbehörde für Daten- schutz erteilt der EDÖB somit keine Bewilligungen. Im Rahmen seiner Beratungen wirkt er darauf hin, dass die Vorgaben der Datenschutzgesetz- gebung eingehalten werden, was aber nichts daran ändert, dass die Durch- führung der Projekte in der alleinigen Verantwortung der Projekteigner liegt. Gleichzeitig sensibilisiert der EDÖB die Eigner für Aspekte ihrer digitalen Verantwortung, die unter Umständen über die Vorgaben der Datenschutz- gesetzgebung hinausgehen können: Zu denken ist etwa an «psychologische Emissionen», die von Sensoren aus- gehen können, die Private in Arbeits- bereichen, Läden oder kommerziellen Begegnungszonen einsetzen. Der sog. «Chilling Effekt» kann dazu führen, dass die Menschen ihr Verhalten an die Anwesenheit von Sensoren anpassen und so in ihrer selbstbestimmten Lebens- führung eingeschränkt werden. Zum «Chilling Effekt» beitragen kann nebst der Anzahl von Sensoren eine für die Betroffenen schwer überschaubare Ver- mengung von Zwecken, zu denen die über die Sensoren beschafften Daten weiterverarbeitet werden. Inwieweit sich die Projektverantwortlichen mit Blick auf den «Chilling Effekt» im Rah- men des datenschutzrechtlich Ver- tretbaren beim Einsatz der Sensorik Zurückhaltung auferlegen sollen, ist primär eine Frage der Unternehmens- strategie resp. der digitalen Selbstver- antwortung (s. dazu Kap. 1.6 Verkehr). Indessen hat der Gesetzgeber des neuen DSG der digitalen Selbstverant- wortung auch Grenzen gesetzt, die der Beauftragte durch eine Verstärkung seiner aufsichtsrechtlichen Tätigkeit durchsetzen wird. Wenn sich für die Projektverantwortlichen bei der Pla- nung abzeichnet, dass eine zukünftige Bearbeitung potenziell mit einem hohen Risiko verbunden sein dürfte, verpflichtet sie das neue DSG, rechtzei- tig eine sog. Datenschutz-Folgenabschät- zung oder DSFA durchzuführen, das sich abzeichnende Risiko näher zu evaluieren und angemessene Schutz- massnahmen zu dessen Senkung vorzusehen. Führt die Evaluation im «Der ‹Chilling Effekt› kann dazu führen, dass die Menschen in ihrer selbstbestimmten Lebensführung eingeschränkt werden.» Aktuelle Herausforderungen 7 30. Tätigkeitsbericht 2022/23
Rahmen der DSFA zur Prognose, dass das potenziell hohe Anfangsrisiko der Bearbeitung nach Durchführung der als angemessen erachteten Schutz- massnahmen hoch bleibt, schliesst das neue DSG zwar immer noch nicht aus, dass die Bearbeitung trotzdem durch- geführt werden darf. Allerdings verlangt das Gesetz bei dieser Risikoeinschät- zung, dass die Verantwortlichen vor- gängig den EDÖB einschalten und ihm ihre DSFA vorlegen. Der EDÖB prüft sodann, ob die ihm vorliegende DSFA die ausgewiesenen Risiken verständlich, nachvollziehbar und vollständig ausweist und ob die geplante Bearbeitung unter Berücksich- tigung der auszuweisenden Risiken mit den Vorgaben der Datenschutzge- setzgebung als Ganzes vereinbar ist, indem sie sich hinsichtlich des geplan- ten Umfangs und der Intensität als für die Betroffenen zumutbar und somit insgesamt als vertretbar erweist. Der Beauftragte teilt dem Verantwortlichen innert zwei Monaten allfällige Einwände und Änderungsvorschläge mit. Diese können sich sowohl auf die Ausgestal- tung der DSFA als auch die geplante Bearbeitung beziehen. Ersteres kommt in der Praxis vor, wenn der Verantwort- liche davor zurückscheut, imminente Risiken angemessen zu bewerten und transparent auszuweisen. Die Stellung- nahme des EDÖB mündet nicht in einer Bewilligung eines geplanten Vorhabens. Weigert sich ein Verantwortlicher, wichtige Einwände und Anregungen des EDÖB zu befolgen, kann Letzter aufsichtsrechtlich tätig werden, eine Untersuchung eröffnen und angeregte Ergänzungen oder Änderungen bis hin zum Verbot der Bearbeitung zu gegebener Zeit formell verfügen. Ein formelles Tätigwerden des EDÖB ist angezeigt, wenn der Verantwortliche den Betroffenen die Inkaufnahme eines Risikos namentlich aufgrund der Eintretenswahrscheinlichkeit und Schwere der Persönlichkeitsverlet- zungen nicht zumuten darf und sich die geplante Bearbeitung demzufolge datenschutzrechtlich als unzulässig erweist. So etwa, wenn mit der Reali- sierung einer Bearbeitung mit hohem Restrisiko datenschutzrechtliche Grundsätze nach Art. 6 nDSG wie die Verhältnismässigkeit oder Vorgaben an die technische Sicherheit nach Art. 8 nDSG verletzt würden. «Der Gesetzgeber des neuen DSG hat der digitalen Selbstverantwortung Grenzen gesetzt, die der Beauftragte durch eine Verstärkung seiner aufsichts- rechtlichen Tätigkeit durchsetzen wird.» Aktuelle Herausforderungen 8 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
In der Notverordnung vom 16. März 2023 über zusätzliche Liquiditätshilfe- Darlehen und die Gewährung von Ausfallgarantien des Bundes für Liquidi- tätshilfe-Darlehen der Schweizerischen Nationalbank an systemrelevante Banken hat der Bundesrat u. a. festge- halten, dass der Zugang zu amtlichen Dokumenten nach Öffentlichkeitsgesetz ausgeschlossen ist. Der Ausschluss der vom Öffentlichkeitsgesetz garan- tierten Zugangsrechte der Bürgerinnen und Bürger über den Weg einer not- rechtlichen Verordnung wirft grund- sätzliche Rechtsfragen auf. Nach der von notrechtlichen Ent- scheiden geprägten Phase der Pandemie und dem Rettungsschirm für die Strom- wirtschaft hat der Bundesrat mit der erwähnten Verordnung vom 16. März 2023 innert kurzer Zeit ein weiteres Mal Tätigkeiten, die er seiner Verwal- tung mittels Notrechts übertrug, mit dem gleichen Notrecht dem Öffentlich- keitsgesetz entzogen. Beide Fälle kön- nen den Einsatz von Steuergeldern in der Grössenordnung von Milliarden von Franken nach sich ziehen. Das Vorgehen des Bundesrates wirft grundsätzliche Rechtsfragen auf: Aus der Begründung für den Erlass des unmittelbar auf die Bundesverfassung gestützten Notrechts zur Stützung der Elektrizitäts- oder Finanzwirtschaft lässt sich aufgrund der dem EDÖB zurzeit vorliegenden Informationen in keinem dieser Fälle eine Notwendigkeit ableiten, über den Weg des Notrechts auch noch den Anspruch der Bürgerin- nen und Bürger aufzuheben, das not- rechtliche Wirken der Verwaltung nach- vollziehen zu können. Wenn sich keine Notwendigkeit zur notrechtlichen Ein- schränkung der Bürgerrechte nach dem Öffentlichkeitsgesetz ergibt, stellt sich die Frage, woraus der Bundesrat das Recht ableitet, dieses Bundesgesetz auf dem Verordnungsweg aufzuheben. Im Falle der Fortgeltung des Öffent- lichkeitsgesetzes wäre der Bundesver- waltung in beiden Fällen offen gestanden, den Zugang zu amtlichen Dokumenten nach diesem Gesetz unter Anrufung des Schutzes öffentlicher und privater Interessen einzuschränken oder zumin- dest so lange aufzuschieben, bis die Bundesversammlung im ordentlichen Gesetzgebungsverfahren über den Ausschluss der Verwaltungstransparenz befinden und – sofern sie einen solchen für nötig erachtet – im formellen Gesetz verankern kann. Angesichts der beschleunigt anwachsenden Anzahl der spezialge- setzlichen Ausschlüsse des BGÖ hat sich der Beauftragte entschlossen, ab diesem Tätigkeitsbericht eine Tabelle zu publizieren, in der fortan der aktuelle Stand dieser Ausschlüsse ausgewiesen wird (s. Kap. 2.5). «Der Ausschluss der vom Öffentlichkeitsgesetz garantierten Zugangsrechte der Bürgerinnen und Bürger über den Weg einer notrechtlichen Verordnung wirft grundsätzliche Rechtsfragen auf.» II Wachsende Anzahl spezialgesetzlicher Ausnahmen vom BGÖ und Notrecht Aktuelle Herausforderungen 9 30. Tätigkeitsbericht 2022/23
III Nationale und internationale Kooperation Ausbau der Zusammenarbeit mit den Kantonen Die Komplexität der Bearbeitung von Personendaten nimmt mit dem fort- schreitenden digitalen Wandel zu, denn sie führt eine Vielzahl von öffentlichen und privaten Akteuren zusammen und bringt eine Zunahme der Bearbei- tung von Datenkaskaden durch Dritte mit sich. Die jüngsten Meldungen über Cyberangriffe und Verletzungen der Datensicherheit, beispielsweise der Fall Infopro und Winbiz, verdeutlichen diese Entwicklung (s. Kap. 1.3). Die Datenschutzbehörden von Bund und Kantonen streben eine Intensivierung der Zusammenarbeit an, um eine wirksame und umfassende Aufsicht zu gewährleisten, namentlich aufgrund der Berührungspunkte zwi- schen den Datenschutzgesetzen des Bundes und der Kantone. Konkret geht es dabei etwa um Fälle, in denen kan- tonale oder kommunale Behörden private Auftragsdatenbearbeiter ein- setzen; ebenso, wenn private oder öffentliche Stellen sowohl privatrecht- lich als auch hoheitlich tätig werden oder kantonale Regelungen vorliegen, nach denen das Bundesgesetz über den Datenschutz anwendbar ist. Auch um die digitale Transformation unter Wahrung der Zuständigkeiten und der Unabhängigkeit aller Beteiligten gemeinsam anzugehen, hat der EDÖB die Intensivierung der Zusammenarbeit mit seinen kantonalen und kommu- nalen Amtskollegen in den Bereichen Datenschutz und Öffentlichkeitsgesetz in seine Strategie für 2023 aufgenommen. Im Hinblick auf die eidgenös sischen Wahlen 2023 erneuerte der EDÖB zusammen mit der Konferenz der schweizerischen Datenschutzbeauf- tragen (privatim) den Leitfaden zur digitalen Bearbeitung von Personen- daten im Rahmen von Wahlen und Abstimmungen (s. Kap. 1.1). Ausserdem werden die Datenschutz- behörden an der Cloud-Thematik weiterarbeiten und sich dabei nament- lich der Übermittlung von Datenbanken, Applikationen und dem Verschieben von On-Premise-Lösungen in die Cloud widmen. Der EDÖB verfolgt die dies- bezüglichen Entwicklungen in der Europäischen Union aufmerksam und pflegt den Austausch mit den mass- geblichen Akteuren. «Die Datenschutzbehörden von Bund, Kantonen und Gemeinden streben eine Intensivierung der Zusammenarbeit an.» Aktuelle Herausforderungen 10 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
«Es ist zu hoffen, dass die EU- Kommission ihren neuen Angemessenheitsbeschluss für die Schweiz im Laufe des Jahres 2023 treffen wird.» Europarat Der beratende Ausschuss für das Über- einkommen zum Schutz des Menschen bei der Verarbeitung personenbezo- gener Daten (Übereinkommen 108) des Europarates steht auch Staaten offen, die nicht Mitglied des Europarates sind. Das ausserordentliche Ausschei- den Russlands aus dem Europarat führte dazu, dass sich der beratende Aus- schuss mit der Frage der weiteren Teil- nahmebedingungen in solchen Fällen befasste (s. Kap. 1.7). Eine aktive Teil- nahme beim Ausschuss ist insbesondere im Hinblick auf das modernisierte Übereinkommen 108 (sogenanntes Übereinkommen 108+) von Bedeutung. Dieses gilt als wichtiges Instrument, das eine «Brücke» zwischen den ver- schiedenen Regionen der Welt und den verschiedenen nationalen Gesetz- gebungen bildet. Der EDÖB bringt sich im Ausschuss weiterhin aktiv ein. Internationale Kooperation Die Datenbekanntgabe von Personen- daten in ein Land ohne angemessenes Datenschutzniveau wirft in verschie- denen Staaten ähnliche datenschutz- rechtliche Fragen auf. Der EDÖB ver- folgt diesbezüglich insbesondere die Entwicklung in der EU und in den Mitgliedstaaten der EU resp. des EW R, insbesondere auch in Zusammenhang mit den Gesprächen, welche die EU diesbezüglich mit den USA führt. Evaluation des Datenschutz- niveaus Die Schweiz wartet immer noch dar- auf, dass die EU dem Schweizer Daten- schutzrecht ein angemessenes Schutz- niveau nach der im Jahre 2018 in Kraft getretenen DSGVO zuerkennt. In der Zwischenzeit bleibt der Angemes- senheitsbeschluss aus dem Jahre 2000 weiterhin in Kraft. Dieser erfolgte gestützt auf die frühere Datenschutz- richtlinie 95/46/EG, welche durch die DSGVO ersetzt wurde. Es ist damit zu rechnen, dass die EU-Kommission die Angemessenheitsberichte sämtlicher Staaten, welche bereits vor der DSGVO als angemessen galten, (Andorra, Argen- tinien, Kanada [kommerzielle Orga- nisationen], Färöer-Inseln, Guernsey, Israel, Insel Man, Jersey, Neuseeland, Uruguay) gleichzeitig veröffentlichen wird. Es ist zu hoffen, dass die EU-
Kommission ihren neuen Angemes- senheitsbeschluss für die Schweiz im Laufe des Jahres 2023 treffen wird. Aktuelle Herausforderungen 11 30. Tätigkeitsbericht 2022/23
Datenschutz
CLOUD-STRATEGIE DES BUNDES Herausforderndes Cloud- Projekt der Bundeskanzlei Im Berichtsjahr befasste sich der EDÖB mit Fragen im Zusammenhang mit der Umsetzung der Cloud-Strategie der Bundesverwaltung. Er nahm an mehreren Ämterkonsultationen teil und beriet die Bundeskanzlei bei ihrem Projekt Cloud Enabling Büroautomation CEBA. Der Bereich Digitale Transformation und IKT-Lenkung (DTI) der Bundes- kanzlei unterbreitete dem EDÖB in einer Ämterkonsultation die Cloud- Prinzipien, die Teil der Cloud-Strategie der Bundesverwaltung sind. Diese sollen den einzelnen Verwaltungsein- heiten als Empfehlungen für die Beschaffung von Cloud-Anwendungen dienen. Der EDÖB forderte u. a., dass die Empfehlungen des DTI als verbindliche Mindestvorgaben gelten sollten, die durch die Departemente erweitert, aber nicht abgeschwächt werden dürften. Weiter stellte der EDÖB fest, dass die Prinzipien stark von der Sichtweise der Informationssicherheit geprägt waren und damit dem Datenschutz nicht in geeigneter Weise Rechnung trugen. So beruhten diese insbesondere auf einer Unterscheidung zwischen 1.1 Digitalisierung und Grundrechte besonders schützenswerten und übrigen Personendaten, die nach Auffassung des EDÖB ein beschränkt taugliches Kriterium darstellt, um die Risiken für die Persönlichkeit und Grundrechte der betroffenen Personen zu evaluieren. Dies zumal auch die Kombination von Personendaten, die nicht besonders schützenswert sind, zu hohen Bear- beitungsrisiken führen kann. Hohe Risiken können sich namentlich bei Verwendung neuer Technologien oder aus der Art, dem Umfang, den Umstän- den und dem Zweck der Bearbeitung ergeben. Indikatoren also, die bei Cloud-Auslage- rungen oft vorhanden sind. Der EDÖB hat des- halb darauf hingewirkt, dass die Cloud-Prinzipien eine Daten- schutz-Folgenabschätzung vorsehen, wenn Personendaten in der Cloud bearbeitet werden sollen. Der Bereich DTI hat den EDÖB in seine Vorarbeiten zur Einführung von Microsoft 365 einbezogen, indem er ihm insbesondere die Entwürfe einer Rechtsgrundlageanalyse und des ISDS- Konzepts unterbreitete. In seinen Stellungnahmen hat der Beauftragte u. a. dargelegt, dass seines Erachtens ungewiss ist, wie lange es technisch durchsetzbar bleibt, ausgewählte Appli- kationen in eigenen Bundeszentren statt in der vom US-Konzern Microsoft betriebenen Cloud ausführen zu lassen, wie dies das Projekt des DTI heute noch vorsieht. Angesichts dieser Ungewiss- heit verlangte der Beauftragte, es seien datenschutzrechtlich vorteilhaftere Alternativen zu Microsoft 365 aufzu- zeigen. Bezüglich der Rechtsgrund- lagenanalyse fordert er, dass eingehender geprüft werde, ob eine genügende Rechtsgrundlage für die Personendaten- be ar bei tungen in der vom US-Konzern betriebenen Cloud besteht und ob der Grundsatz der Verhältnismässigkeit gewahrt bleibt. Hinsichtlich der Aus- sonderung von besonders schützens- werten Personendaten durch die Nut- zerinnen und Nutzer verbleiben aus Sicht des Beauftragten offene Fragen zu deren Zweckmässigkeit und prakti- schen Durchführbarkeit. Schliesslich verlangt er vom DTI die Erstellung einer umfassenden Datenschutz-Folgenab- schätzung, welche die Risiken der Aus- lagerung in die Cloud transparent aus- weist. Dabei erachtet es der EDÖB als unumgänglich, dass die Problematik von möglichen Zugriffen der US-Sicher- heitsbehörden auf Personendaten, welche die Bundesverwaltung in der Cloud von Microsoft bearbeiten lässt, vertieft analysiert wird. Datenschutz 14 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
NATIONALE DATENBEWIRTSCHAFTUNG Projekt «SpiGes» des BFS Im Berichtsjahr unterbreitete das BFS dem EDÖB einen Bericht zum Stand des Projekts zur Mehrfachnutzung der Daten aus stationären Spitalaufenthalten (SpiGes). Der EDÖB wies auf die daten- schutzrechtlichen Risiken dieses Teil- projektes des Programms Nationale Datenbewirtschaftung (NaDB) hin und verlangte die Ausarbeitung von ent- sprechenden Schutzmassnahmen bei der konkreten Umsetzung. Das Programm Nationale Datenbe- wirtschaftung (NaDB) wurde im Oktober 2019 unter der Federführung des BFS gestartet und hat das Ziel, die Mehrfachnutzung von Daten zu ermöglichen und den Austausch von Daten zwischen den Behörden zu erleichtern. Eines der Pilotprojekte im Rahmen des Programms NaDB ist die Mehrfachnutzung der Daten des spital- stationären Gesundheitswesens (Pro- jekt SpiGes). Dabei sollen die Daten aus stationären Spitalaufenthalten unter Nutzung der Interoperabilitäts-Platt- form des BFS entsprechend dem Once- only- Prinzip einmalig erhoben und anschliessend sowohl zu administra- tiven als auch statistischen Zwecken genutzt werden können (s. dazu auch 29. TB, Kap. 1.1). Ein spezifisches Risiko, welches sich aus der Mehrfachnutzung erge- ben kann und worauf der EDÖB explizit hingewie- sen hat, ist die Verletzung des Zweck- bindungsprinzips. Um dem vorzu- beugen, ist eine Datenbearbeitung zu statistischen Zwecken klar von einer Datenbearbeitung zu anderen (bspw. administrativen) Zwecken zu unter- scheiden. Auch ist ein besonderes Augenmerk auf Akteure mit Doppel- funktionen (etwa Spitäler und Ver- sicherer, die sowohl Datenlieferanten als auch Datenbezüger sein können) zu richten. Eine klare organisationale und informatische Trennung der bear- beiteten Datenkategorien, gekoppelt mit Zugriffsbeschränkungen auf diese getrennten Datenkategorien, erweisen sich deswegen als unerlässlich. In diesem Sinne hat der EDÖB das BFS darauf hingewiesen, dass auf- grund des Umfangs des Projekts und des hohen Risikos, welches sich aus der umfangreichen Bearbeitung beson- ders schützenswerter Personendaten ergibt, Risikoanalysen bezüglich der datenschutzspezifischen Risiken und der zu treffenden Massnahmen, um diesen Risiken zu begegnen, vorgenom- men werden müssen, wie dies insbe- sondere auch das im September 2023 in Kraft tretende neue Datenschutz- gesetz vorsieht (Art. 2 2 nDSG, Daten- schutz-Folgenabschätzung). ZERTIFIZIERUNG Neue Verordnung über die Datenschutzzertifizierungen Im Berichtsjahr hat der EDÖB das Bundes- amt für Justiz bei den Rechtsetzungs- arbeiten zur neuen Verordnung über die Datenschutzzertifizierung (VDSZ) beraten. Für die Anerkennung von Zertifizie- rungsverfahren und die Einführung eines Datenschutz-Qualitätszeichens hat der Bundesrat die Verordnung über Datenschutzzertifizierungen (VDSZ) vom 31. August 202 2 erlassen, die mit dem neuen DSG am 1. September 2023 in Kraft treten soll. Der EDÖB hat das Bundesamt für Justiz zusammen mit der Schweize- rischen Akkreditierungsstelle SAS bei der Erarbeitung der VDSZ in juristi- schen als auch informationstechnischen Belangen unterstützt. Ausserdem erar- beitet er derzeit spezifische Richtlinien über die Mindestanforderungen an ein Managementsystem sowie Richtlinien über die datenschutzrechtlichen Krite- rien, nach welchen die Prüfung von Produkten, Dienstleistungen und Pro- zessen zu erfolgt hat. Für Datenbearbeitungen im Rahmen von zertifizierten Systemen, Produkten oder Dienstleistungen entfällt beim Verantwortlichen auch bei hohem Risiko für die Persönlichkeit die Pflicht zur Durchführung einer Datenschutz- Folgenabschätzung. Eine Zertifizierung Datenschutz 15 30. Tätigkeitsbericht 2022/23
Datenschutz 16 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
bietet Herstellern und Verantwort- lichen zudem die Möglichkeit, ihr Ein- halten des Datenschutzgesetzes zu dokumentieren. Aus Sicht des EDÖB kann das Instrument der Datenschutzzertifizie- rungen den Datenschutz in der Schweiz stärken. Die Zertifizierung fördert insbesondere die Transparenz, indem immer komplexer werdende Daten- bearbeitungsvorgänge von einer unab- hängigen Stelle analysiert werden. Die Zertifizierung von Manage- mentsystemen geht über die Möglich- keiten einer europäischen Daten schutz- zer tifizierung hinaus, die nur Produkte, Dienstleistungen und Prozesse umfasst. Ausländische Datenschutzzertifizie- rungen, welche die Anforderungen der schweizerischen Gesetzgebung erfül- len, werden nach Rücksprache mit der Schweizerische Akkreditierungsstelle SAS anerkannt. Ebenso anerkennt der EDÖB nach Rücksprache mit der SAS ausländische Zertifizierungsstellen, sofern sie die schweizerischen Anfor- derungen erfüllen. WAHLEN UND ABSTIMMUNGEN Aktualisierung des bestehenden Leitfadens Der EDÖB hat in Absprache mit der Kon- ferenz der kantonalen Datenschutz- beauftragten (privatim) und der Bundes- kanzlei den Leitfaden zu Wahlen und Abstimmungen, insbesondere im Hinblick auf die Eidgenössischen Erneuerungs- wahlen im Herbst 2023, aktualisiert und im Dezember 2022 auf der Webseite publiziert. Die aktualisierte Version zeigt insbesondere die herausragende Bedeutung auf, die dem datenschutz- rechtlichen Grundsatz der Transparenz im Kontext mit Wahlen und Abstimmun- gen zukommt. Der Leitfaden wurde erstmals im Berichtsjahr 2018/2019 in Zusammen- arbeit mit der Konferenz der kantonalen Datenschutzbeauftragten (privatim), in enger Absprache mit der Bundes- kanzlei und einer Arbeitsgruppe ver- fasst (s. 26. TB, Kap. 1.1) Seither wird der Leitfaden regelmässig aktualisiert (s. 27. TB, Kap. 1.1). In der vorliegenden Berichtsperiode wurde der Leitfaden insbesondere verständlicher struktu- riert sowie mit den im Berichtsjahr 2019/2020 erarbeiteten Kontrollfragen betreffend die Einhaltung der daten- schutzrechtlichen Grundsätze bei Webseiten erweitert. ELEKTRONISCHE IDENTITÄT Self-Sovereign-Identity- Ansatz Der EDÖB konnte seine Anliegen in der Ämterkonsultation zur Vernehmlas- sungsvorlage zum neuen E-ID-Gesetz einbringen. Der Gesetzesentwurf wird im Sommer 2023 erwartet. Mit der Ablehnung des ersten Entwurfs des E-ID-Gesetzes im Jahr 2021 hat die Schweizer Bevölkerung eine neue Lösung einer staatliche anerkannten, elektronischen Identität gefordert (s. 29. T B, Kap. 1.1). Im Berichtsjahr hat das Eidgenössische Justiz- und Polizei- departement (EJPD) die Vernehmlas- sungsvorlage zum neuen E-ID-Gesetz (Bundesgesetz über die elektronische Identität und die Vertrauensinfrastruk- tur) in die Ämterkonsultation gegeben. Der Entwurf basiert auf dem Konzept einer Self-Sovereign-Identity, nach der Nutzerinnen und Nutzer grösstmögli- che Kontrolle über ihre Daten haben sollen. Datenschutz 17 30. Tätigkeitsbericht 2022/23
der E-ID erforderlich sind, Schranken setzen. Weiter sieht der Entwurf, wie vom EDÖB gefordert, eine Unterstüt- zung der Nutzerinnen und Nutzer bei der Verwendung der neuen E-ID durch kantonale Anlaufstellen vor. Der EDÖB legt zudem Wert darauf, dass in der Botschaft zur Vorlage klargestellt wird, dass die E-ID nicht dazu führen darf, dass sich Bürgerinnen und Bürger im Internet generell ausweisen und iden- tifizieren lassen müssen. Betreffend die Akteure, welche die Vertrauensin- frastruktur verwenden, um weitere elektronische Beweismittel auszustellen, forderte der EDÖB Widerrufspflichten für Ausstellerinnen. Als problematisch erachtet der EDÖB den weiterhin vorgeschlagenen Ansatz eines offenen Registers mit Gebührenerhebung. Demnach tragen die Ausstellerinnen für eine E-ID ihre Daten selbst in das Register ein, ohne dass ihre Identität vorgängig verifiziert wurde. Der EDÖB wies auf das damit verbundene Risiko hin, dass Ausstellerinnen mit vorgetäuschter Identität die Vertrauensinfrastruktur missbrauchen könnten. Nach Auffas- sung des EDÖB sollte der Bund Mass- nahmen treffen, um zu verhindern, dass die von ihm betriebene Infrastruk- tur missbräuchlich verwendet wird. Deshalb haben wir gefordert, dass diese Risiken in der Botschaft an den Bundesrat offenlegt werden. Wir haben ebenfalls darauf hingewiesen, dass – wenn keine Prü- fung der Identitäten vor- gängig erfolgt – ein Sys- tem zur Bestätigung der im Basisregister eingetra- genen Identifikatoren wichtig ist. Denn es bestünde die Möglichkeit, dass die bereits im Basisregister eingetrage- nen Identifikatoren mit einer in der realen Welt existierenden Organisa- tion, Entität oder Einzelperson ver- knüpft werden. Das EJPD kündigte nach der Aus- wertung der Vernehmlassungen an, den Kreis der E-ID-Berechtigten, den Ausstellungsprozess, Aspekte des Datenschutzes, die Benutzerfreundlich- keit (u. a. Barrierefreiheit) sowie die Supportorganisation in den Kantonen noch vertieft abzuklären. Der EDÖB wird die Entwicklungen im Projekt weiterhin verfolgen und seine daten- schutzrechtlichen Anliegen einbringen. Der Gesetzentwurf soll bis im Som- mer 2023 dem Bundesrat unterbreitet werden. Eine E-ID beim Staat beantragen können alle Inhaberinnen und Inhaber eines von den Schweizer Behörden ausgestellten Ausweises. Der Bund schafft und betreibt hierzu eine staat- liche Vertrauensinfrastruktur, die es einerseits ermöglicht, die E-ID auf Echtheit zu verifizieren, und die ande- rerseits durch andere öffentliche und private Akteure verwendet werden kann, um weitere elektronische Beweis- mittel auszustellen und zu prüfen. Der Gesetzesentwurf regelt entsprechend in einem ersten Teil die staatliche E-ID und in einem zweiten Teil die Vertrau- ensinfrastruktur und die anderen elek- tronischen Beweismittel. Er regelt aber nicht die Details des Ausstellungs- prozesses einer E-ID. Der EDÖB nahm zum Vorlageent- wurf Stellung und konnte verschiedene seiner Forderungen erfolgreich ein- bringen. So hat der EDÖB an der Aus- arbeitung von Bestimmungen mitge- wirkt, welche der Bearbeitung von Metadaten, die bei der Nutzung ent- stehen, und der Erhebung von Daten über Schnittstellen, die zur Ausstellung Datenschutz 18 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
ONLINEPORTAL POST Zugang nur noch mit SwissID möglich Im Berichtsjahr hat die Post eine Migra- tion des Kundenlogins auf ihrer Web- seite vorgenommen, so dass der Zugang zu den Onlinediensten der Post seit Dezember 2022 nur noch mit einer Swiss ID möglich ist. Der EDÖB wurde vorgängig darüber informiert und wies auf die datenschutzrechtlichen Anforderun- gen hin. Als die Post die Nutzerinnen und Nutzer der Onlinedienste aufforderte, eine SwissID zu erstellen, erhielten wir zahl- reiche Bürgeranfragen zum Vorgehen der Post. Aus der Auslagerung des Logins und der entsprechenden Datenbear- beitungen an die private Firma Swiss- Sign darf somit für die Kundinnen und Kunden der Post keine Schlechterstel- lung hinsichtlich ihrer Privatsphäre und informationellen Selbstbestimmung resultieren. Der EDÖB teilte der Post deshalb mit, dass die Übertragung der Login- funktion an SwissSign den Vorgaben der Auftragsbearbeitung unterliegt (Art. 10a DSG). Dementsprechend trägt die Post als Auftraggeberin ihren Kundinnen und Kunden gegenüber weiterhin die Verantwortung für die Datenbearbeitungen, welche Swiss- Sign im Zusammenhang mit dem Login zur Webseite der Post durchführt. Letztere musste vertrag- lich garantieren, dass die Firma SwissSign die Datensicherheit gewähr- leistet und die Daten, die sie von Postkunden erhebt, aus- schliesslich zum Zweck des Logins bearbeitet. Aufgrund der Zusicherung der Post, bei der Migration des Logins die daten- schutzrechtlichen Anforderungen zur Auftragsbearbeitung anzuerkennen und einzuhalten, konnte der EDÖB auf aufsichtsrechtliche Schritte verzichten. STRATEGIE DIGITALE SCHWEIZ Projekt digitaler Führerausweis Das Bundesamt für Strassen (ASTRA), die Vereinigung der Strassenverkehrs- ämter (asa) und das Bundesamt für Justiz (BJ) stellten dem EDÖB das Pro- jekt E-Führerausweis vor. Das Projekt des ASTRA soll Teil der Umsetzung «Strategie Digitale Schweiz» werden. Das ASTR A plant eine auf das Strassen- verkehrsrecht des Bundes gestützte, gestaffelte Einführung eines digitalen Lern-, Führer- und Fahrzeugausweises. Die digitalen Ausweise sollen interna- tional anerkannt und durch polizeiliche Kontrollorgane überprüfbar sein. Die Ausstellung dieser Ausweise liegt in der Kompetenz der Kantone, die sich auf die vom ASTR A festgelegten Anforderungen an Form, Inhalt und Gestaltung stützen. Die Ausweisdaten befinden sich bereits heute im Informationssystem Verkehrszulassung (IVZ), das vom ASTR A in Zusammenarbeit mit den Kantonen geführt wird und auf welches die Kantone im Rahmen ihrer gesetz- lichen Aufgaben zugreifen. Gestützt auf die erhaltenen Infor- mationen erachtet der EDÖB eine datenschutzkonforme Umsetzung des Projekts als möglich. Datenschutz 19 30. Tätigkeitsbericht 2022/23
Das DSG von 1992 Am 1. Juli 1993 trat das erste Bundesgesetz über den Daten- schutz vom 19. Juni 1992 in Kraft. Bereits in der Gesetzesbotschaft von 23. März 1988 hatte der Bundesrat den gesetzgeberischen Handlungsbedarf mit dem «Einsatz der modernen Informations- und Kommuni- kationstechnologien in fast allen Lebensbereichen und der enormen Intensivierung der Datenverarbeitung und Ver- breitung in Gesellschaft, Wirtschaft und Staat» begründet. 30 Jahre später spielt sich unser Alltag in einer digitalen Realität ab, wie sie vom Gesetzgeber damals nicht vorausge- sehen werden konnte. Nichtsdestotrotz haben sich die vom damaligen Gesetzgeber kodifizierten Grundsätze der Per- sonendatenbearbeitung als beständig erwiesen. Auch das neue Bundesgesetz über den Datenschutz vom 25. Septem- ber 2020, das am 1. September 2023 in Kraft treten wird, richtet sich an ihnen aus: Transparenz, Verhältnis mässigkeit und Zweckbindung bilden auch nach neuem Recht die zen- tralen Pfeiler der Personendatenbearbeitung. Obwohl sich unser inzwischen von Internet und Smart- phone geprägte Alltag stark gewandelt hat, haben viele Themen im Datenschutzbereich nichts an Aktualität einge- büsst: Bereits im ersten Tätigkeitsbericht beschäftigte uns die polizeiliche Datenbearbeitung im Zusammenhang mit Neues oder altes Gesetz – was gilt bei hängigen Verfahren? Einige Verfahren konnten im Berichtsjahr nicht abgeschlossen werden. Wichtig zu wissen ist hier, dass diese gemäss der Übergangsbestimmung nach Art. 70 nDSG noch nach aktuell geltendem Recht beurteilt werden, auch wenn sie erst nach Inkrafttreten des neuen Datenschutzgesetzes am 1.9.2023 zum Abschluss kommen. Dies gilt insbesondere für die Sach- verhaltsabklärung, die der EDÖB im Frühjahr 2021 betreffend die Datenbearbeitungen eines Schweizer Onlineshops eröffnet hat und die Sachverhaltsabklärung betreffend die Daten- bearbeitungen der Auktionsplattform Ricardo AG und die TX Group AG, die beide noch hängig sind (s. 29. TB, Kap. 1.3). der «Bekämpfung des organisierten Verbrechens» oder der «Grenzüberwachung mittels Videokamera». Und auch die «Telefonüberwachung/Observation zu Zwecken der Straf- verfolgung» war schon damals ein Thema. Doch das Tele- fon, die Kamera, den Fernseher, die Bibliothek und den Computer trug damals noch niemand in der Hosentasche mit sich herum. Die permanente Verbindung mit dem Internet, über das die digitale Gesellschaft von heute die Verrichtungen des Alltags vom Banking bis zum Dating «online» abwickelt, hat den Umfang und die Intensität, mit der personenbezo- gene Informationen bearbeitet werden, um Potenzen erhöht. Dennoch ist die Mission der unabhängigen Daten- schutzaufsicht des Bundes, die Grundrechte und Persön- lichkeit der Menschen über das technologisch Machbare zu setzen, bis heute aktuell geblieben. Eine Herausforderung, die der aktuelle Beauftragte nach dem Vorbild seiner Vor- gänger Odilo Guntern und Hanspeter Thür, welche die ersten 23 Jahre der Datenschutzaufsicht des Bundes prägten, annimmt und trotz der Dynamik des technologischen Fort- schritts als «mission possible» betrachtet. 30 Jahre Datenschutz in der Schweiz 20 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Schwerpunkt
Neu stellt der Bundesrat fest, ob die Gesetzgebung eines Dritt- staats einen angemessenen Schutz gewährt und somit Daten ohne weitere Massnahmen von der Schweiz ins Ausland bekanntgegeben werden dürfen. Die Liste wird als Anhang zur Datenschutzverordnung geführt. Neue Aufgaben für den EDÖB Können geplante Bearbeitungen von Personendaten ein hohes Risiko für die Persönlichkeit oder die Grundrechte mit sich bringen, muss der private oder behördliche Verantwortliche eine Datenschutz-Folgenabschätzung (DSFA) erstellen. Ergibt sich aus der DSFA, dass mit der Bearbeitung trotz geeigneter Massnahmen weiterhin ein hohes Risiko für die Persönlichkeit oder die Grundrechte der Betroffenen einhergeht, muss sich der Verantwortliche vor deren Durchführung an den EDÖB wenden. Der EDÖB prüft die DSFA und teilt dem Verantwortlichen allfällige Einwände innert zwei Monaten mit. Die Stellungnahme des EDÖB stellt keine «Bewilligung» der geplanten Datenbear- beitung dar. Sie ist nicht anfechtbar, aber gebührenpflichtig. Mit dem revidierten Gesetz erhält der EDÖB neue Auf- gaben. Berufs-, Branchen- und Wirtschaftsverbände können eigene Verhaltenskodizes entwickeln und diese dem EDÖB zur Stellungnahme vorlegen. Diese Stellungnahmen wer- den vom EDÖB veröffentlicht. Ebenso veröffentlicht er eine Liste der von ihm genehmigten, ausgestellten oder aner- kannten Standarddatenschutzklauseln. Für seine Stellung- nahme zu einem Verhaltenskodex wie auch für die Geneh- migung von Standarddatenschutzklauseln und verbindlichen unternehmensinternen Datenschutzvorschriften kann der EDÖB neu Gebühren verlangen. Das neue Datenschutzgesetz Mit dem totalrevidierten Datenschutzgesetz stellt der Gesetzgeber von 2020 den Verantwortlichen und der Daten- schutzaufsicht neue Instrumente zur Verfügung, um den berechtigten Erwartungen der Bevölkerung an einen rechts- staatlichen und robusten Persönlichkeitsschutz gerecht zu werden. Der EDÖB wird seine Aufsichtstätigkeit somit inten- sivieren. Rolle des EDÖB Das neue Datenschutzrecht tritt am 1. September 2023 in Kraft. Neuerungen gibt es nicht nur für Datenbearbeiter und betroffene Personen, sondern auch bezüglich der Aufgaben und Befugnissen des EDÖB, der seine aufsichtsrechtliche Tätigkeit intensivieren und die Anzahl Untersuchungen erhöhen wird. Institutionelle Neuerung Die Leiterin, der Leiter des EDÖB, also die oder der Beauf- tragte, wird in Zukunft vom Parlament gewählt. Bisher erfolgte die Wahl durch den Bundesrat und wurde von der Bundesversammlung lediglich bestätigt. Die neue Rege- lung verstärkt die Unabhängigkeit des Amtes von der Exe- kutive und dessen demokratische Legitimation. Er oder sie stellt sein Personal selbst an und verfügt über ein eigenes Budget, dessen Entwurf unverändert an die Bundesver- sammlung weitergeleitet wird. Wie bisher bleibt der EDÖB als Behörde administrativ der Bundeskanzlei zugeordnet, zumal die Kommunikation zwischen dem Bundesrat und dem EDÖB über den Bundes- kanzler erfolgt. Aufgrund einer Leistungsvereinbarung erbringt die Bundeskanzlei für den EDÖB eine Reihe von Dienstleistungen im Bereich der Personaladministration, Finanzen und Büroautomatisation. «Der EDÖB wird seine Aufsichtstätigkeit intensivieren und die Anzahl der formellen Untersuchungen schrittweise erhöhen.» 21 30. Tätigkeitsbericht 2022/23 Schwerpunkt
Informelle Vorabklärungen Hinweise auf mögliche Datenschutzverstösse können sich aus der laufenden Aufsichtstätigkeit ergeben oder dem EDÖB von betroffenen Personen oder Dritten, etwa Medienhäu- sern oder Konsumentenschutzorganisationen, angezeigt werden. Liegen dem EDÖB erste Hinweise auf einen Ver- stoss gegen Datenschutzvorschriften vor, prüft er zunächst im Rahmen informeller Abklärungen seine Zuständigkeit, ob genügend Anzeichen für einen Verstoss vorliegen und ob es sich um einen Verstoss von mehr als geringfügiger Bedeu- tung handelt. Dem EDÖB ist es dabei unbenommen, den Verantwortlichen zunächst formlos um die freiwillige Beant- wortung von Fragen zu ersuchen, wenn z. B. seine Zustän- digkeit unklar ist oder er es für denkbar hält, dass sich infolge der Kontaktaufnahme mit dem Verantwortlichen eine Untersuchung erübrigen könnte. Letzteres ist namentlich der Fall, wenn der Verantwortliche erste Anzeichen für einen Verstoss umgehend entkräften kann oder er aber innert nützlicher Frist freiwillig Massnahmen trifft, um die Ein- haltung der Datenschutzvorschriften zu gewährleisten. Formelles Untersuchungsverfahren Nach bisherigem Recht erfolgte die Abklärung des Sach- verhalts und der Frage, ob ein Verstoss gegen Datenschutz- vorschriften vorliegt, im Rahmen einer Sachverhaltsab- klärung, welche der EDÖB gegebenenfalls mit einer rechtlich nicht durchsetzbaren Empfehlung abschloss, eine bestimmte Datenbearbeitung zu ändern oder einzustellen. Nach neuem Recht richtet sich das Untersuchungsverfahren nach dem Verwaltungsverfahrensgesetz des Bundes (VwVG). Stellt der EDÖB im Verfahren einen Verstoss gegen Datenschutz- vorschriften fest, hat er die Kompetenz, eine rechtlich durch- setzbare Verfügung im Sinne von Art. 5 VwVG zu erlassen, Verantwortliche müssen Verletzungen der Datensicherheit, die voraussichtlich zu einem hohen Risiko für die Persön- lichkeit oder die Grundrechte der betroffenen Personen führen, dem EDÖB melden. Der EDÖB stellt dazu ein Melde- portal auf seiner Webseite zur Verfügung. Untersuchungen Der EDÖB hat als Aufsichtsorgan sicherzustellen, dass Bundesorgane und Privatpersonen die bundesrechtlichen Datenschutzvorschriften, insbesondere das Datenschutz- gesetz (DSG), einhalten. Bestehen genügend Anzeichen, dass eine Datenbearbeitung gegen Datenschutzvorschriften verstossen könnte, eröffnet der EDÖB eine Untersuchung; vorbehalten bleibt eine Verletzung der Datenschutzvorschrif- ten von geringfügiger Bedeutung. Im Rahmen der Unter- suchung ermittelt der EDÖB, in welcher Art und Weise ein Bundesorgan oder eine private Person resp. ein privates Unternehmen Personendaten bearbeitet, die sich auf eine natürliche Person beziehen. Sodann beurteilt er gestützt auf den festgestellten Sachverhalt, ob ein Verstoss gegen Datenschutzvorschriften des Bundes vorliegt. Mit dem Inkrafttreten des revidierten Datenschutzge- setzes wird die Schweiz die Konvention 108+ des Europarats ratifizieren. Dabei handelt es sich um ein verbindliches, multilaterales Instrument im Bereich des Datenschutzes, das ursprünglich von 1981 datiert und nun modernisiert und an die Herausforderungen des digitalen Zeitalters ange- passt worden ist. Um den Anforderungen der Konvention 108+ zu genügen, hat der Gesetzgeber die Untersuchungsbe- fugnisse des EDÖB ausgeweitet. Während dieser bei Daten- bearbeitungen durch Privatpersonen bisher nur dann eine Sachverhaltsabklärung eröffnen durfte, wenn die Bearbei- tungsmethoden geeignet waren, die Persönlichkeit einer grösseren Anzahl von Personen zu verletzen (Systemfehler), fällt diese Schwelle unter dem revidierten Recht weg. Der Beauftragte wird somit ab Inkrafttreten des neuen Rechts die aufsichtsrechtliche Tätigkeit des EDÖB intensi- vieren und die Anzahl der formellen Untersuchungen schrittweise erhöhen. Die Behörde ist für den Vollzug des neuen Gesetzes mit zusätzlichen Personalressourcen ausge- stattet worden und konnte die entsprechenden Rekrutie- rungen im Frühjahr 2023 erfolgreich abschliessen. 22 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Schwerpunkt
welche der Verantwortliche vor Bundesverwaltungsgericht anfechten muss, wenn er sich ihr nicht unterziehen will. Der EDÖB kann verfügen, dass eine Datenbearbeitung ange- passt, unterbrochen oder abgebrochen wird oder Personen- daten gelöscht werden. Amtshilfe Das revidierte Gesetz enthält zwei spezifische Bestimmungen zur Zusammenarbeit des EDÖB mit schweizerischen und ausländischen Behörden. Schweizer Behörden sind dem EDÖB gegenüber zur Amtshilfe verpflichtet, währenddem sich die Verpflichtung des EDÖB zur Leistung von Amtshilfe auf die schweizerischen Datenschutzbehörden, die Strafverfol- gungsbehörden im Zusammenhang mit seinen Anzeigen und die für den Vollzug seiner Massnahmen beigezogenen Bundesbehörden und Polizeiorgane beschränkt. Die Amtshilfe des EDÖB gegenüber ausländischen Behörden erstreckt sich auf Behörden, die für den Daten- schutz zuständig sind. Gegenstand des Austauschs sind Informationen und Personendaten, die von der Behörde für die Erfüllung ihrer gesetzlichen Aufgaben erforderlich sind. Dabei müssen eine ganze Reihe von Voraussetzungen erfüllt sein, so zum Beispiel das Gegenrecht der anderen Behörde, die Geheimniswahrung und die Verwendung der Informa- tionen nur für das fragliche Verfahren. Gebührenregelung Neu wird der EDÖB von privaten Datenbearbeitern für eine Reihe seiner Aufgabenerfüllungen Gebühren erheben. Neben den oben bereits erwähnten gebührenpflichtigen Tätigkeiten (Stellungnahme zu Verhaltenskodizes und Datenschutz- Folgenabschätzungen, Genehmigung von Standardvertrags- klauseln und verbindlichen unternehmensinternen Daten- schutzvorschriften) wird der EDÖB auch im Untersuchungs- verfahren Gebühren auferlegen. Zudem sind Beratungen von privaten Datenbearbeitern in Zukunft gebührenpflichtig. Gebühren werden nach Zeitaufwand erhoben, und es gilt – je nach Funktion des ausführenden Personals – ein Stunden- ansatz von 150 bis 250 Franken. Zuschläge sind möglich, wenn eine Dienstleistung aussergewöhnlichen Aufwand verursacht oder besonders schwierig oder dringlich ist. Zudem kann ein Zuschlag erhoben werden, wenn die Dienst- leistung zu kommerziellen Zwecken weiterverwendet wird. Der EDÖB kann auf Gebühren verzichten, wenn ein öffent- liches Interesse an der Dienstleistung besteht oder sein Auf- wand gering war. Strafrecht Wie bisher hat der EDÖB – im Unterschied zu den Aufsichts- behörden in der EU – auch nach neuem Recht keine Sank- tionskompetenz. Die nebenstrafrechtlichen Bestimmungen im DSG wurden indessen ausgebaut. Strafbar sind die vor- sätzliche Missachtung von Informations-, Auskunfts- und Meldepflichten sowie die vorsätzliche Verletzung von Sorg- faltspflichten. So insbesondere bei der Bekanntgabe von Personendaten ins Ausland, der Auftragsbearbeitung und der Bereitstellung der Datensicherheit. Die Obergrenze der Bussen liegt bei 250 000 Franken, gebüsst wird die verant- wortliche natürliche Person. Die Obergrenze für die lediglich subsidiär vorgesehene Büssung juristischer Personen liegt bei 50 000 Franken. Anlässlich der parlamentarischen Beratungen zum neuen DSG hat der Bundesrat in Aussicht gestellt, die Einführung von verwaltungsstrafrechlichen Sanktionen gegen fehlbare Unternehmen mit Blick auf den Erlass eines neuen Bundesge- setzes zu prüfen. «Der EDÖB kann neu verfügen, dass eine Datenbearbeitung abgebrochen wird oder Personendaten gelöscht werden.» 23 30. Tätigkeitsbericht 2022/23 Schwerpunkt
24 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Schwerpunkt
MELDEPORTALE Drei neue Onlineportale Vor dem Inkrafttreten des neuen Datenschutzgesetzes führt der EDÖB neue Meldeportale ein: Das neue Portal für Bundes organe zur Meldung von Bearbeitungsverzeichnissen ist bereits verfügbar. Es folgen die Portale zur Meldung der Datenschutzberater und –beraterinnen sowie zur Meldung von Verletzungen der Datensicherheit. Der EDÖB startete 2021 ein Projekt zur Initialisierung von drei Meldeportalen. Mit der Einführung des neuen Verzeichnisses der Bearbei- tungstätigkeiten der Bundesorgane gemäss Art. 12 nDSG (DataReg), das die bestehende Lösung für die Meldung von privaten und behördlichen Datensammlungen (WebData- Reg) ablöst, konnten wir im November 202 2 die Einführung des ersten Meldeportales bereits realisieren. Das komplett neu entwickelte DataReg dient der Meldung und Veröffent- lichungen von Verzeichniseinträgen der Bundesorgane und unterstützt diese bei der Führung ihrer Verzeichnisse. Der Betrieb des bisherigen WebDataReg, wo auch die Meldungen von Datensammlungen privater Unternehmen veröffentlicht werden, wird per 1. September 2023 eingestellt. Letztere sind nach neuem Recht nicht mehr meldepflichtig. Das Meldeportal der Datenschutzberaterinnen und -berater dient der Übermittlung der Kontaktangaben von ernannten Personen. Das Meldeportal zur Meldung von Verletzungen der Datensicherheit nach Art. 2 4 nDSG (DataBreach) stellt den Verantwortlichen einen sicheren digitalen Kanal zur Ver- fügung, um Verletzungen der Datensicherheit mit einem hohen Risiko für die Betroffenen zu melden. Das Online- Formular unterstützt den Verantwortlichen bei einer struk- turierten und vollständigen Erfassung der benötigten Daten und soll eine effiziente Bearbeitung der Meldungen durch den EDÖB sicherstellen sowie statistische Auswertungen vereinfachen. DSFA Beratung des BJ betreffend verwaltungs- interner Richtlinien zur Datenschutz- Folgenabschätzung Nach dem totalrevidierten Datenschutzgesetz des Bundes (nDSG) müssen die verantwortlichen Stellen der Bundesver- waltung eine sog. Datenschutz-Folgenabschätzung (DSFA) erstellen, wenn sie Datenbearbeitungen mit potenziell hohen Risiken für die Persönlichkeit oder die Grundrechte der betroffenen Bürgerinnen und Bürger planen. Der EDÖB beriet das Bundesamt für Justiz (BJ) betreffend Richtlinien und Hilfsmittel für Bundesorgane. Bei der Planung von Projekten zur digitalen Transformation der Bundesverwaltung haben die verantwortlichen Stellen die potenziellen Risiken für die Persönlichkeit oder Grund- rechte der betroffenen Bürgerinnen und Bürger zu evaluieren. Für Projekte, bei denen die Evaluation der geplanten Bear- beitung von Personendaten auf potenziell hohe Risiken hin- weist, müssen die verantwortlichen Bundesorgane eine Datenschutz-Folgenabschätzung erarbeiten, in welcher sie diese Risiken und die Massnahmen zu deren Senkung aus- weisen. Der EDÖB hat das BJ bei der Formulierung von Richt- linien und Hilfsmitteln unterstützt, welche den verantwort- lichen Bundesstellen die entsprechenden Arbeiten erleichtern sollen. Er äusserte sich dahingehend, dass sowohl bei der Vorprüfung, ob eine DSFA erstellt werden muss, als auch beim Erstellen der DSFA selbst nicht ausschliesslich auf (softwareunterstützte) Hilfsmittel und abschliessende Check- listen zurückgegriffen werden soll. Vielmehr verlangt die Durchführung einer DSFA eine wertende Evaluation der Gesamtrisiken unter Einbezug aller Umstände des kon- kreten Einzelfalls. Aufgrund der praktischen Erfahrungen mit Risikobeurteilungen, welche die Bundesverwaltung nach dem geltenden Schengen-Datenschutzgesetz vorge- nommen hat, setzte sich der EDÖB zudem dafür ein, dass die verantwortliche Verwaltungsstelle im Falle einer bereits bestehenden Datenbearbeitung deren wesentlichen Unter- schiede zur geplanten Bearbeitung gemäss den Richtlinien in der DSFA ausweisen soll. Dieser Vergleich soll sowohl die systemischen (Umfang, Intensität und Dauer der Bear- beitung sowie Kreis der Zugriffsberechtigten) wie auch die sicherheitstechnischen Aspekte der Bearbeitung umfassen. 25 30. Tätigkeitsbericht 2022/23 Schwerpunkt
BAZG Zollgesetz Der Entwurf zur Totalrevision des Zoll- gesetzes liegt den Kommissionen für Wirtschaft und Abgaben des Parla- ments zur Prüfung vor. Der Beauftragte wurde von der Nationalratskommission angehört. Er monierte insbesondere den sensiblen Charakter des Vorhabens und den unverhältnismässigen Zugriff des Nachrichtendienstes des Bundes auf das Informationssystem des Bun- desamtes für Zoll und Grenzsicherheit (BAZG). Am 2 4. August 202 2 unterbreitete der Bundesrat dem Parlament den Entwurf zum Bundesgesetz über den allgemei- nen Teil der Abgabenerhebung und die Kontrolle des grenzüberschreitenden Waren- und Personenverkehrs durch das Bundesamt für Zoll und Grenz- sicherheit (Vollzugsaufgabengesetz des BAZG). Für die Prüfung des Geset- zesentwurfs ist die Kommission für Wirtschaft und Abgaben des National- rats zuständig. Der EDÖB wurde am 2 4. Oktober 202 2 von der Kommis- sion angehört. Die Zusammenführung von zoll- technischen und polizeilichen Aufgaben innerhalb des BAZG stellte bezüglich der datenschutzrechtlichen Auf sicht durch den Bund eine Herausforderung 1.2 Justiz, Polizei, Sicherheit dar, denn die Schaffung des neuen Zollpolizeiamts bringt eine Erhöhung der Anzahl Personen mit sich, die mit der Bearbeitung sowohl von zollrecht- lichen als auch von polizeirechtlichen Personendaten beauftragt ist. Durch die Uniformierung und Bewaffnung der Zollverwaltung entstand eine dritte, grosse Sicherheitsbehörde auf Bundesebene, zusätzlich zum Bundes- amt für Polizei (fedpol) und zum Nachrichtendienst des Bundes (NDB). Wie aus unserem 28. Tätigkeits- bericht 2020/21 (Kap. 1.2) hervorgeht, schickte das Eidgenössische Finanz- departement zunächst eine Vorlage in die Vernehmlassung, die hinsichtlich der aufsichtsrechtlichen Aufgaben des Bundes im Bereich des Datenschutzes nicht akzeptabel war. Die Ausgestaltung der Regeln für die Bearbeitung von Per- sonendaten durch das Zollpolizeiamt war darin ungenügend präzisiert und wurde dem Ermessen der Direktion des BAZG überlassen. Im Rahmen einer intensiven Begleitung über längere Zeit konnten wir im Einvernehmen mit dem Bun- desamt für Justiz das BAZG überzeugen, eine vergleichende Tabelle mit der gegenwärtigen Perso- nendatenbearbeitung durch die EZV und der künftigen Bear- beitung durch das BAZG anzufertigen. Die vergleichende Tabelle floss in die Datenschutz-Folgenabschätzung ein. Davon ausgehend überarbeitete das BAZG das Kapitel über die Datenbe- arbeitung (s. 29. TB, Kap. 1.2) und brachte entsprechende Präzisierungen an. Dank dieser Verbesserungen konnten die grundsätzlichen Vorbehalte des Beauftragten im Rahmen der dritten Ämterkonsultation schliesslich ausge- räumt werden. Damit konnte die dem Parlament unterbreitete Vorlage als datenschutzrechtlich annehmbar ein- gestuft werden. Das BAZG-VG ist jedoch trotz der vorgenommenen Verbesserungen als datenschutzsensibles Vorhaben zu Datenschutz 26 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
SCHUTZSTATUS S Web-Applikation «RegisterMe» Das Staatssekretariat für Migration (SEM) hat für Flüchtende eine Web-Applika- tion zum Einreichen eines Gesuchs um den Schutzstatus S eingerichtet. Der Beauftragte äusserte Sicherheitsbe- denken zur Speicherung der Personen- daten dieser vulnerablen Gruppe und begrüsst die daraufhin getroffene Massnahme des SEM. Zehntausende Menschen, die vor dem Krieg in der Ukraine flüchten mussten und in die Schweiz eingereist sind, haben beim Staatssekretariat für Migra- tion (SEM) um vorübergehenden Schutz (Schutzstatus S) ersucht. Für die Terminvereinbarung bei einem Bundesasylzentrum wird die eigens dafür eingerichtete Web-Applikation «RegisterMe» eingesetzt, um die hohe Anzahl an Gesuchen und damit ver- bundenen Terminen zeitnah bearbeiten zu können. Der Beauftragte hat bereits wenige Tage nach der Einführung von Register- Me potenzielle Risiken für die Perso- nendaten Betroffener identifiziert und diese Sicherheitsbedenken dem SEM gegenüber geäussert. Der EDÖB hatte zudem bemerkt, dass die Löschung der Registrierungsdaten dieser vulnerablen Personen in der Web-Applikation nicht vorgesehen war. Deshalb hat er dem SEM geraten ein Löschkonzept zu erstel- len und diese Daten nach der Wahr- nehmung des Termins umgehend zu löschen. Konkret riet er zur Erstellung und Umsetzung eines Löschkonzeptes. Das SEM hat den Zugriff auf Per- sonendaten mittels Zwei-Faktor- Authentisierung geschützt und die Speicherung der Daten auf einem Rechenzentrum eingerichtet, das für besonders schützenswerte Daten aus- gelegt ist. Weiter hat das SEM ein Lösch- konzept erstellt und per Sep tember 202 2 umgesetzt. betrachten. Nach der dritten und letz- ten Ämterkonsultation blieb die neu vorgesehene Möglichkeit für den NDB, Zugang zum Informationssystem des BAZG zu erhalten, umstritten. Gemäss geltendem Zollgesetz wird dieser Zugang nicht gewährt, da die sporadi- sche Zusammenarbeit zwischen den Zollbehörden und dem NDB von Fall zu Fall und im Rahmen der Amtshilfe erfolgen kann. Mit dem Beharren auf diesen Zugriff wird die Absicht der drei grossen Sicherheitsbehörden des Bundes deutlich, die Bearbeitung von personenbezogenen Daten zu intensi- vieren, indem sie sich gegenseitigen, grosszügigen Zugriff auf ihre Informa- tionssysteme gewähren. Trotz unserer Einwände beliess der Bundesrat den nach unserer Beurteilung unnötigen und somit unverhältnismässigen Zugang des NDB zum Informations- system im Gesetz. Datenschutz 27 30. Tätigkeitsbericht 2022/23
MITTO AG Vorabklärung zu einer möglichen missbräuchlichen Verwendung des «Signalling System»-Zugangs Im Dezember 2021 wurde der EDÖB durch internationale Medienbericht- erstattungen auf eine angeblich unrechtmässige Datenbearbeitung durch einen Mitarbeiter der in Zug ansässigen Mitto AG aufmerksam. Seine Vorabklärungen haben ergeben, dass keine Hinweise auf eine Verlet- zung der Datenschutzbestimmungen vorliegen. Somit schliesst der EDÖB die Vorabklärung in seinem Schlussbe- richt ohne Erlass von Empfehlungen ab. Aufgrund von Medienberichten wurde der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte im Dezem- ber 2021 durch eine Publikation des Bureau of Investigative Journalism und Bloomberg News auf eine angeblich unrechtmässige Datenbearbeitung durch einen Mitarbeiter der in Zug domizilierten Mitto AG aufmerksam. In der erwähnten Publikation wurde der Vorwurf erhoben, dass der besagte Mitarbeiter den von den Mobilfunk- Betreibern zum SMS-Versand gewähr- ten Zugang auf ihre Netze zur Gewin- nung von Informationen zu anderen Zwecken missbraucht habe. Gemäss dem Bericht soll er insbeson- dere den «Signalling System (SS7)»-Zugang genutzt haben, um gegen Entgelt die unerlaubte Überwachung von Personen zu ermöglichen. (s. 29. TB, Kap. 1.3) Der EDÖB hat daraufhin von der Mitto AG in mehreren Schritten weit- gehende Angaben zu den technischen und organisatorischen Schutzmass- nahmen in der Firma verlangt. Die Mitto AG hat allen Aufforderungen des EDÖB Folge geleistet und eigene externe Untersuchungen veranlasst, deren Ergebnisse dem EDÖB zur Ver- fügung gestellt wurden. So hat die Mitto AG Nachweise zu den organisatorischen Rahmenbedin- gungen des Systembetriebs erbracht und dargelegt, mit welchen Massnahmen unerlaubte Änderungen an der Software verhindert bzw. aufgedeckt werden können. Die Auswertung von Protokol- lierungsdaten hat gemäss den Angaben der Mitto AG keine Hinweise ergeben, die eine missbräuchliche Verwendung der Systeme in der vorgeworfenen Weise nahelegen würden. Nach Angaben der Mitto AG – bestätigt durch die Ausführungen der ebenfalls zur Stellungnahme eingeladenen Mobil- funkanbieter in der Schweiz – sei es den Mitarbeitenden der Mitto AG nicht möglich, ohne eine Veränderung der Systeme bzw. der Software, Zugriff auf Lokalisierungsangaben von SMS-Emp- fängerinnen und -Empfängern zu erlangen. Der EDÖB hat im Rahmen seiner ihm zur Verfügung stehenden Mittel die notwendigen und möglichen Prü- fungen veranlasst und sieht keine Hin- weise, die den Verdacht bestätigen würden, dass es zu einer Verletzung von Datenschutzbestimmungen gekommen ist. Da es sich bei den Vorwürfen zum Fehlverhalten des Mitarbeiters der Mitto AG um technisch wenig spezifi- sche Anschuldigungen handelte, hat der EDÖB die Vorabklärung in Sachen Mitto AG im Schlussbericht ohne Empfehlungen abgeschlossen. Datenschutz 28 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
Datenschutz 29 30. Tätigkeitsbericht 2022/23
I 172) gefällt hatte. In jenem Urteil schränkte das Bundesgericht das Recht auf Information stark ein: Es führte aus, dass Drittpersonen, deren Daten von der EST V ungeschwärzt an die ersuchende ausländische Behörde über- mitteln werden sollen, nur ausnahms- weise, nämlich aufgrund besonderer Umstände, legitimiert sind, sich mit- tels einer Beschwerde zu wehren. Sodann muss die EST V nicht sämtliche beschwerdelegitimierten Drittpersonen von Amtes wegen vorgängig der Daten- übermittlung informieren, sondern lediglich solche, deren Beschwerde- berechtigung aufgrund der Akten geradezu offensichtlich ist. Unter Berücksichtigung dieser Rechtsprechung anerkannte der EDÖB vor Bundesgericht, dass Drittpersonen in der internationalen Steueramtshilfe nur ausnahmsweise beschwerdelegiti- miert sind. Er hielt jedoch an der vom Bundesverwaltungsgericht bestätigten Auffassung fest, dass sämtliche Dritt- personen im Grundsatz von Amtes wegen vorgängig der Übermittlung ihrer Daten informiert werden müssen. Nur so können alle Drittpersonen, die im Sinne der bundesgerichtlichen Recht- sprechung beschwerdelegitimiert sind, von ihrem Beschwerderecht Gebrauch machen und sich gegen eine bevorste- hende Datenübermittlung zur Wehr setzen. Der EDÖB skizzierte vor Bun- desgericht sodann erneut, wie sich DATENBEKANNTGABE AN AUSLÄNDISCHE STEUERBEHÖRDEN Bundesgericht entscheidet gegen das Recht auf Informa- tion von Drittpersonen in der internationalen Steuer- amtshilfe Das Bundesverwaltungsgericht hiess im Jahr 2019 eine Beschwerde des EDÖB zum Recht auf Information von Drittpersonen in der internationalen Steueramtshilfe gut. Im anschliessenden Beschwerdeverfahren vor Bundesge- richt setzte sich der Beauftragte erneut für dieses Recht von Drittpersonen ein. Im Dezember 2021 hiess das Bundes- gericht die Beschwerde der ESTV auf- grund eines zwischenzeitlich erfolgten Praxiswechsels gut und hob das Urteil des Bundesverwaltungsgerichts auf. In der internationalen Steueramtshilfe knüpft das Recht, über ein laufendes Amtshilfeverfahren informiert zu wer- den, an die Beschwerdeberechtigung einer Person an (vgl. Art. 1 4 Steueramts- hilfegesetz). 2017 erliess der EDÖB eine Empfehlung, wonach die Eidgenössische Steuerverwaltung (EST V) in der inter- nationalen Steueramtshilfe auch die vom Amtshilfeersuchen nicht betrof- fenen Personen (d. h. Drittpersonen), deren Namen ungeschwärzt an die ersuchende ausländische Behörde über- mittelt werden sollen, vorgängig der Übermittlung zu informieren hat (s. 25. TB, Kap. 1.9.2). Dem lag die Ansicht des EDÖB zugrunde, dass Dritt- personen legitimiert sind, sich gegen eine unrechtmässige Übermittlung ihrer Daten mittels Beschwerde zur Wehr zu setzen. Die EST V lehnte diese Empfehlung ab, worauf der EDÖB den Rechtsweg bis vor Bundesverwal- tungsgericht beschritt (s. 26. TB, Kap. 1.3). Letzteres gelangte in seinem Urteil vom 3. September 2019 zum Schluss, dass in der internationalen Steueramtshilfe die vom Amtshilfe- ersuchen nicht betroffenen Personen (Drittpersonen), deren Daten unge- schwärzt übermittelt werden sollen, grundsätzlich vorgängig zu informieren sind. Für Fälle, in welchen mit der erforderlichen Informa- tion unverhältnismässiger Aufwand verbunden ist und der Voll- zug der Amtshilfe verunmöglicht oder unverhältnis mässig verzögert würde, sind Ausnahme regelungen zu erarbeiten. Der EDÖB begrüsste das Urteil, da es die Grundrechte der Bankmitarbeiten- den und weiterer Drittpersonen schützt. Die EST V erhob beim Bundesge- richt Beschwerde. Die von der EST V beantragte Verfahrenssistierung hob das Bundesgericht auf, nachdem es am 13. Juli 2020 in einer anderen Angele- genheit ein Grundsatzurteil (BGE 1 46 1.3 Handel und Wirtschaft Datenschutz 30 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
eine grundsätzliche Informationsver- pflichtung der EST V umsetzen liesse, ohne dass dieser daraus unverhältnis- mässiger Aufwand entsteht und die internationale Steueramtshilfe über- mässig verzögert wird (s. 28. TB, Kap. 1.3). Mit Urteil vom 21. Dezember 2021 (BGE 1 48 II 3 49) bestätigte das Bundes- gericht die im erwähnten BGE 1 46 I 172 entwickelte Rechtsprechung, wonach die EST V vorgängig der Datenüber- mittlung nur solche Drittpersonen von Amtes wegen informieren muss, deren Beschwerdeberechtigung aufgrund der Akten geradezu offensichtlich ist. Ent- gegen der Auslegung des EDÖB befand es, dies werde in Art. 1 4 Abs. 2 des Steueramtshilfegesetzes ausdrücklich so geregelt. Eine generelle vorgängige Informationspflicht gestützt auf Art. 18a Abs. 3 DSG verneinte das Bundes- gericht mit Hinweis darauf, dass die Bekanntgabe der Daten von Dritt- personen ausdrücklich im Steueramts- hilfegesetz geregelt ist. Es hiess folglich die Beschwerde der EST V gut und hob das Urteil des Bundesverwaltungsge- richts vom 3. September 2019 auf. TRACKING-TECHNOLOGIEN Prüfung möglicher Persönlich- keitsverletzung der Schweizer Bevölkerung durch Oracle Der EDÖB hat von einer US-amerikani- schen Klage vom August 2022 gegen das Unternehmen Oracle America Inc. Kenntnis erlangt. In der erwähnten Klage erheben die Klageparteien schwere Vorwürfe wegen unzulässigem Tracking. Nun wird geprüft, ob die erhobenen Vorwürfe auch Personen in der Schweiz betreffen. In der US-Klage wird Oracle America Inc. vorgeworfen, mit Tracking-Tech- nologien Daten von 5 Milliarden Inter- netnutzerinnen und -nutzern gesammelt und in einer Datenbank zusammen- getragen zu haben. Die gesammelten Informationen würden durch das US- Unternehmen analysiert und ausge- wertet, um eine Datensammlung über alle erfassten Personen zu erstellen. Erfasst würden neben Namen und Adresse jegliches Verhalten im Internet, beispielsweise Kaufver- halten, GPS-Daten oder Informationen über die Gesundheit – dies erfolge sogar geräteübergreifend. Dabei verwende Oracle America Inc. verschiedene Technologien, insbeson- dere sogenannte «Cookies» oder «Pixel» sowie integrierte Java-Scripts in Webseiten und Apps, um User zu verfolgen. Die US-Klage ist noch hän- gig; das US-Gericht hat noch nicht über die beschriebenen Vorwürfe ent- schieden. Der EDÖB hat die Vorwürfe in der Klage zur Kenntnis genommen und, analysiert diese und mögliche daten- schutzrechtliche Auswirkungen auf Personen in der Schweiz. Er steht mit Oracle Schweiz GmbH in Kontakt. Die technischen Hintergründe erweisen sich als komplex, weshalb bis zum jetzigen Zeitpunkt keine formelle Untersuchung eröffnet wurde. Datenschutz 31 30. Tätigkeitsbericht 2022/23
BONITÄTSAUSKÜNFTE Datenbankeinträge gestützt auf «negative Haushalts- treffer» Der EDÖB hat die Sachverhaltsabklärung bei einem Inkasso- und Bonitätsunter- nehmen abgeschlossen. Dabei erwies sich das Instrument der sogenannten «negativen Haushaltstreffer» als unzu- lässig. Der EDÖB eröffnete im Berichtsjahr 2019/2020 ein Verfahren bei einem grossen Anbieter von Inkasso- und Bonitätsdienstleistungen wegen angeb- lich zu vielen fehlerhaften Datenbank- einträgen und daraus folgenden Ver- wechslungen von Personen mit glei- chen oder ähnlichen Namen. Als Folge der Verwechslungen seien Zahlungs- aufforderungen an falsche Personen versendet oder unzutreffende, negative Bonitätsauskünfte gespeichert und bekannt gemacht worden. Zudem unter- suchte der EDÖB, ob Schwierigkeiten bei der Korrektur von fehlerhaften Einträgen bestehen. Im Verlauf des Ver- fahrens wurde der Untersuchungsge- genstand auf die Zulässigkeit von sogenannten «negativen Haushalts- treffern» erweitert (s. 27. TB, S. 37; 28. TB, S. 3 4; 29. TB, S. 39) Kunden für die Kontoöffentlichkeit ein Opt-out gewährt werden muss und diese dementsprechend der automati- schen Ergänzung ihrer Kontoangaben widersprechen können. Postfinance hat daraufhin die Mög- lichkeiten zur Implementierung eines solchen Opt-outs geprüft und entschie- den, künftig auf die Kontoöffentlichkeit zu verzichten. So sollen gemäss Mittei- lung von Postfinance im E-Banking nur noch diejenigen Kontoangaben automatisch ergänzt werden, welche die Nutzerinnen und Nutzer für die Eingabe eines Zahlungsauftrages bereits einmal verwendet haben, was dem branchenüblichen Standard entspreche. Die hierzu notwendigen Anpassungen sollen im Laufe des Jahres 2023 vorge- nommen werden. Wir werden die Umsetzung dieser Massnahme prüfen. POSTFINANCE Verzicht auf Kontoöffent- lichkeit Nachdem der EDÖB von Postfinance verlangt hat, für die Kontoöffentlichkeit eine Opt-out-Möglichkeit einzurichten, soll die automatische Ergänzung von Kontoangaben im E-Banking von Post- finance künftig auf das branchenübliche Mass reduziert werden. Im vergangenen Berichtsjahr haben wir eine Vorabklärung zur automati- schen Ergänzung von Kontoangaben (sog. Kontoöffentlichkeit) im E-Banking von Postfinance durchgeführt. Dies nachdem wir durch Bürgeranfragen darauf aufmerksam gemacht wurden, dass Angaben zu beliebig vielen Inha- berinnen und Inhabern von Postkonti abgegriffen werden konnten, weil das System die auf der Zahlungseingabe- maske eingegebene Kontonummer mit Name und Adressdaten ergänzte (s. 29. TB 2021/202 2 Kap. 1.3). Nachdem Post- finance bereits Massnah- men ergriffen hatte, um Massenabfragen über ihr E-Banking-Portal zu verhindern, haben wir verlangt, dass den Kundinnen und Datenschutz 32 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
Wer Personendaten bearbeitet, muss sich über deren Richtigkeit vergewissern (Art. 5 Abs. 1 DSG). Verwechslungen aufgrund von fehlerhaften Datenbank- einträgen führen regel- mässig zu Persönlich- keitsverletzungen, die im Einzelfall für die Betroffe- nen schwerwiegend sein können. Nach eingehender Prüfung gelangte der EDÖB zum Schluss, dass das untersuchte Unternehmen die datenschutzrechtlichen Anforderungen an die Massnahmen zur Gewährleis- tung der Richtigkeit, Aktualität und Vollständigkeit der Daten erfüllt . Auch bei sorgfältiger Bearbeitung und Ergreifung der nötigen Massnahmen kann es allerdings zu fehlerhaften Datenbankeinträgen kommen. Des- halb ist es wichtig, dass die Daten- bearbeitung für die Betroffenen erkenn- bar erfolgt (Transparenz) und ein wirk- samer Berichtigungs- und Löschprozess besteht, um negative Konsequenzen von fehlerhaften Datenbankeinträgen zu vermeiden. Im Rahmen der Unter- suchung hat sich gezeigt, dass das untersuchte Unternehmen auch diese Anforderungen erfüllt. Weiter beurteilte der EDÖB im Rahmen der Sachverhaltsabklärung die Zulässigkeit von Bonitätsaus- künften gestützt auf «negative Haus- haltstreffer». Dabei werden im Rah- men von Bonitätsauskünften zu einer Person negative Bonitätsinformatio- nen über andere Personen aus dem glei- chen Haushalt bekannt gegeben. Diese Datenbekanntgabe – etwa an Online- händler – sollte angeblich verhindern, dass Personen mit negativer Bonität einen Kauf auf Rechnung unter dem Namen eines Haushaltsmitglieds mit positiver Bonität tätigen können (sog. Umgehungsgeschäft). Aufgrund dieser Praxis werden die Bonitäten von Haus- haltsmitgliedern verknüpft, sodass Personen mit guter Bonität ihrerseits keine Käufe mehr auf Rechnung vor- nehmen können. Der EDÖB gelangte in seiner Untersuchung zum Schluss, dass diese Bearbeitungs- methode den Transparenz- und den Verhältnismäs- sigkeitsgrundsatz des Datenschutzgesetzes ver- letzt. Solche Datenbearbeitungen können nicht gerechtfertigt werden. Insbesondere ist das überwiegende Interesse, welches die Prüfung der Kreditwürdigkeit rechtfertigt (Art. 13 Abs. 2 lit. c DSG), nicht einschlägig, weil die schlechte Bonität eines Haus- haltsmitglieds für die Bonität der ver- tragsschliessenden Person nicht aus- schlaggebend sein kann. Aus diesen Gründen hat der EDÖB dem Unter- nehmen im Schlussbericht empfohlen, Bonitätsauskünfte gestützt auf «nega- tive Haushaltstreffer» einzustellen. Das Unternehmen hat die Empfeh- lung angenommen. CYBERANGRIFF Vorabklärung bei Infopro AG und Fiducial Winbiz SA Nach Bekanntwerden eines Cyberan- griffs gegen einen Schweizer Anbieter von Clouddiensten eröffnete der EDÖB eine Vorabklärung. Er beurteilte die ein- geleiteten Massnahmen und erinnerte die betreffenden Akteure an ihre daten- schutzrechtlichen Pflichten. Ende November 202 2 erfuhren wir, dass der Hosting-Provider Infopro AG Opfer eines Cyberangriffs wurde. Diese Firma bearbeitete unter anderem Per- sonendaten im Auftrag der Firma Fiducial Winbiz SA, die eine cloudge- stützte Verwaltungs- und Buchhal- tungssoftware anbietet, welche in der Westschweiz stark verbreitet ist. Auf- grund der Cyberattacke und der damit verbundenen Massnahmen verloren Geschäftskunden vorübergehend den Zugriff auf die Cloud-Applikation und auf die in der Cloud gespeicherten Personendaten. Beim EDÖB gingen zahlreiche Anfragen von Geschäftskunden der Infopro AG zu dieser Cyberattacke ein. Der Beauftragte beriet sie und machte sie auf ihre datenschutzrechtlichen Informations- und Schadenminde- rungspflichten aufmerksam. Die betref- fenden Unternehmen bemühten sich, diesen Verpflichtungen innert kurzer Frist nachzukommen. Der EDÖB nahm mit Infopro und Winbiz Kontakt auf, um den Sachver- halt raschestmöglich abzuklären und insbesondere die Aussagen zu über- prüfen, wonach Kunden von Winbiz Datenschutz 33 30. Tätigkeitsbericht 2022/23
VORABKLÄRUNG BEI EINEM VOICE-DIENST Sicherheitsschwachstelle wurde rasch behoben Aufgrund der Meldung einer Sicher- heitsschwachstelle führte der EDÖB eine Vorabklärung bei einem Anbieter von Voice-Dienstleistungen durch. Da der Anbieter umgehend die notwendi- gen Massnahmen getroffen hatte, konnte der EDÖB von einem formellen Verfahren absehen. Im Berichtsjahr wurde der EDÖB durch eine Bürgeranfrage und einen Journalisten darauf aufmerksam gemacht, dass über die Webseite eines Voice-Dienstleisters ungeschützt Per- sonendaten abrufbar seien. Eine Gross- zahl aufgenommener Telefongespräche könnten ohne Passwortschutz abgeru- fen werden, und die Daten seien teil- weise mit weiteren Daten versehen, sodass eine Zuordnung zu einer bestimmten Person ohne weiteres möglich sei. Aus diesem Anlass eröffnete der EDÖB gegenüber dem betreffenden Voice-Dienstleister eine informelle Vorabklärung. Der Dienstleister zeigte auf, dass er die Schwachstelle umge- hend behoben, den Sicherheitsvorfall untersucht und weitere notwendige Massnahmen getroffen hatte. Der EDÖB konnte sich auf wenige Verbesse- rungsvorschläge beschränken, die der Dienstleister umsetzte. Unter diesen Umständen sah der EDÖB keinen Grund, eine formelle Sachverhaltsab- klärung zu eröffnen, und schloss die Vorabklärung dementsprechend ab. aufgrund einer Sicherheitslücke in der Software auf Daten anderer Kunden Zugriff erhielten. Der EDÖB stellte Winbiz einen Fragenkatalog zu und bat insbesondere um eine Stellungnahme zur angezeigten Verletzung der Zugriffsbe- schränkungen. Ein weiterer Fragenkata- log ging an Infopro. Parallel dazu fand ein Austausch mit den kantonalen Datenschutzbehörden (privatim) und dem Nationalen Zentrum für Cybersi- cherheit (NCSC) statt, das zusammen mit den zuständigen Strafverfol- gungsbehörden tätig wird. Ausgehend von den gelieferten Antworten konnte der EDÖB feststel- len, dass die beiden Firmen die nöti- gen Vorkehrungen zur Wiedererlangung der Kontrolle über die Personendaten getroffen und die betroffenen Kunden informiert hatten. Da die vermeintli- che Sicherheitslücke nicht bestätigt wurde, gelangte der EDÖB zum Schluss, dass vorerst kein weiterer Handlungs- bedarf besteht. Er forderte jedoch Info- pro und Winbiz auf, ihm jegliche beson- deren Vorfälle zu melden. DATING-APPS Analyse der Daten- bearbeitungen Im Berichtsjahr stellte der EDÖB einer in der Schweiz ansässigen, aber inter- national tätigen Anbieterin einer Dating- App seinen Schlussbericht zu und machte Empfehlungen, welche ange- nommen wurden. Im Frühjahr 2021 eröffnete der EDÖB eine Sachverhaltsabklärung betreffend die Datenbearbeitungen einer Dating- App. Sein Ziel war insbesondere zu klären, ob der Umgang mit Löschbe- gehren und die Weitergabe von Per- sonendaten an Dritte datenschutz- konform ist, sowie die Einhaltung der Anforderungen an die Transparenz und an die Datensicherheit zu überprü- fen (s. 28. und 29. TB, jeweils Kap. 1.1). Der EDÖB kam bei seiner Untersu- chung unter anderem zum Schluss, dass die eingegangenen Löschbegehren zwar innert kurzer Frist bearbeitet wurden, das Löschkonzept jedoch unzu- reichend war. Darüber hinaus waren die Informationen über die Löschmög- lichkeiten, die den Nutzerinnen und Nutzern zur Verfügung gestellt wur- den, unzureichend und missverständ- lich. Es bestanden auch Mängel in den Informationen über die Datenbearbei- tungen, die im Rahmen der Nutzung Datenschutz 34 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
VIRTUELLE LÄUFE Verbesserter Datenschutz bei einem Lauf-Anbieter Dem EDÖB wurden datenschutzrecht- liche Problemfelder bei einem Anbieter von Lauf-Veranstaltungen gemeldet. Gestützt auf die Meldung wurden erste Untersuchungshandlungen vorgenom- men und der Anbieter kontaktiert. Dieser ergriff umgehend Massnahmen zur Erhöhung des Datenschutzes, sodass der EDÖB auf die Eröffnung einer for- mellen Untersuchung verzichten konnte. Ein Anbieter bietet Läuferinnen und Läufern die Möglichkeit, über eine App «virtuelle Läufe» zu bestreiten und sich untereinander zu messen. Die Läufe können zeitversetzt (d. h. innerhalb eines individuell wählbaren Zeitfens- ters) je nach Angebot an einem fix vor- bestimmten oder auch selbst bestimm- baren Ort durchgeführt werden. Die Ergebnisse werden anschliessend in einer Rangliste zusammengetragen. Bedenklich war, dass mittels des Web- Entwicklungstools die Daten der Ranglisten von zahlreichen Personen mit ein paar Klicks zusammengetragen werden konnten und dies für die Betroffenen nicht transparent war. Gestützt auf den Aus- tausch mit dem EDÖB hat der Anbieter seine Datenschutzerklärung präzisiert und in den Registrierungsprozess integriert. Zudem hat er den Parameter «Wohn- ort» von der Rangliste entfernt, was Rückschlüsse auf konkrete Personen erschwert. Weiter haben wir festge- stellt, dass die Nutzerinnen und Nutzer bei der Anmeldung für einen virtuellen Lauf ein Pseudonym wählen können, zahlreiche Personen jedoch bewusst ihren rich tigen Vor- und Nachnamen angeben. Auch haben die Nutzerin- nen und Nut zer die Möglichkeit, ihre Ranglisteneinträge selbst zu löschen. Durch den informellen Austausch des EDÖB mit dem Lauf-Anbieter konnte das datenschutzrechtliche Niveau somit umgehend verbessert werden, sodass der EDÖB auf die Eröffnung einer formellen Untersuchung ver- zichten konnte. der Anwendung durchgeführt werden. Dies namentlich betreffend die Frage, welche Daten zu welchen Zwecken bear- beitet werden. Der EDÖB sprach meh- rere Empfehlungen aus, um die Män- gel zu beheben und die Einhaltung der Bearbeitungsgrundsätze der Transpa- renz, der Verhältnismässigkeit, von Treu und Glauben und der Rechtmäs- sigkeit zu gewährleisten. Die Anbieterin verlässt sich auf Applikationen Dritter, um verschiede Funktionen der App auszuführen, anstatt diese selbst zu entwickeln. Dabei überträgt die Anbieterin die Bearbei- tung von Personendaten an die Dienst- leister. Nach unserer Beurteilung traf die Anbieterin als Verantwortliche jedoch nicht die erforderlichen Mass- nahmen, inkl. Abklärungen und Ver- einbarungen, um sicherzustellen, dass diese Dienstleister lediglich die Daten im Auftrag und im Einklang mit dem Datenschutzrecht bearbeiten. Die Anbieterin führte ausserdem lediglich interne Sicherheitstests durch, was angesichts der Sensibilität der bearbei- tenden Daten den Anforderungen an die Datensicherheit nicht genügt. Der EDÖB gab vor diesem Hintergrund Empfehlungen ab, mit dem Zweck, die Datensicherheit zu verstärken und die Rechtmässigkeit des Outsourcings zu gewährleisten. Die Anbieterin hat alle unsere Emp- fehlungen angenommen. Sobald alle Empfehlungen umgesetzt werden, wird der EDÖB sein Verfahren abschliessen können. Datenschutz 35 30. Tätigkeitsbericht 2022/23
Datenschutz 36 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
stahl, Hacking, Anfeindungen usw.). Dem Betreiber muss bewusst sein, dass er die Verantwortung für die Richtigkeit und Sicherheit der registrierten Daten trägt, insbesondere wenn das Register anderen Akteuren – im Falle der Organ- spende etwa Angehörige und Ärzte – als Entscheidungsgrundlage dienen soll. Zuverlässige und benutzerfreund- liche Online-Authentifizierungstools sind heute durchaus verfügbar und nament- lich im Bankwesen verbreitet. Auch im Bereich der elektronischen Identität sind bereits verschiedene Lösungen im Einsatz. Wer ein Register mit Online- Authentifizierung aufbauen will, muss sich bereits im Vorfeld um sichere Lösungen bemühen. Die Digitalisierung eröffnet neue Möglichkeiten im Bereich der Gesundheit, bringt jedoch auch neue Risiken mit sich. Es ist im Interesse der massgeblichen Akteure, das Ver- trauen der Nutzerinnen und Nutzer durch zuverlässige und ausgereifte digitale Instrumente zu bewahren. Datenschutz 37 30. Tätigkeitsbericht 2022/23
ONLINEREGISTER Datenschutzrisiken beim Brustimplantatregister Das Verfahren zur Sachverhaltsabklärung betreffend das Brustimplantatregister (Mammaregister) wurde abgeschlossen. Anhand dieses Falls wird deutlich, dass die Onlineschaltung medizinischer Daten per se ein erhöhtes Risiko mit sich bringt und die Frage nach sich zieht, ob es notwendig ist, dieses Risiko einzu- gehen. Gegebenenfalls sind Vorkehrungen zu treffen, um die Datensicherheit zu gewährleisten. Der EDÖB eröffnete 202 2 ein Verfahren zur Sachverhaltsabklärung betreffend das von Swiss Plastic Surgery betriebene Brustimplantatregister (s. 29. TB, Kap. 1. 4). Dessen Zweck ist die Erfas- sung sämtlicher Eingriffe der plasti- schen Chirurgie im Zusammenhang mit Brustimplantaten sowie allfälliger Schwierigkeiten, die bei diesen Ope- rationen auftreten. Dabei werden mehrere Ziele verfolgt: Einerseits soll die Information über Vorfälle zur Ver- besserung der Dienstleistungsqualität beitragen. Das Register dient ausserdem der Rückverfolgung der chirurgischen Eingriffe und erleichtert Rückrufak- tionen, falls in einer Serie schadhafte Implantate entdeckt werden. Anderer- seits werden die erfassten Daten auch für die Führung von Branchenstatis- tiken verwendet. Die Eröffnung der Untersuchung erfolgte, nachdem beim EDÖB ein Hinweis auf einen IT-Designfehler im Register eingegangen war. Wegen dieses Fehlers konnten sich beliebige Perso- nen in wenigen Schritten Zugang zu Dossiers von Patientinnen verschaffen. Nebst Angaben zur Person (Name, Vorname, Geburtsdatum usw.) waren auch detaillierte medizinische Daten zur Operation einsehbar. Der Bericht des EDÖB ist in Arbeit und wird dieses Jahr abgeschlossen. Das Register wurde einstweilen vom Netz genommen. Risikopotenzial und Notwendigkeit Der Fall unterstreicht einen weiteren heiklen Aspekt im Zusammenhang mit medizinischen Onlineregistern. Sie enthalten Daten zur Gesundheit, welche naturgemäss besonders schützenswert sind. Dabei handelt es sich oftmals um Informationen, welche die Intimsphäre betreffen. Die Möglichkeit des Online- zugriffs bedeutet für die Daten der Patientinnen und Patienten zwangs- läufig ein erhöhtes Risiko und kann zudem das Vertrauensverhältnis zwi- schen Arzt und Patientin belasten. Die Daten werden regelmässig direkt durch die Ärzteschaft weitergegeben. Aufgrund des Arztgeheimnisses braucht es für diese Datenübermittlung a priori die vorgängige Einwilligung der Patientin oder des Patienten. Auch stellt sich immer die Frage, ob der Zweck des Registers das einzugehende Risiko rechtfertigt und welche Daten zur Erfüllung des Zwecks unbedingt erfor- derlich sind (dies im Sinne des Ver- hältnismässigkeitsprinzips nach Art. 4 Abs. 2 DSG). Die Registerbetreiber müs- sen geeignete Massnahmen treffen und ausreichend Mittel zur Verfügung stellen, um bestehende Risiken abzu- wenden. Datenschutz 38 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
MANGELNDE DATENSICHERHEIT Sachverhaltsabklärung zur Datenbank privater Covid- 19-Testzentren Der EDÖB führte eine Sachverhalts- abklärung zu einer unzureichend gesi- cherten Datenbank privater Covid- 19-Testzentren durch. Im Schlussbe- richt hielt er fest, dass die Daten auf- grund einer bekannten Schwachstelle beträchtlichen Sicherheitsrisiken aus- gesetzt waren. Da die Verantwortlichen nach Bekanntwerden des Mangels jedoch angemessene Sofortmassnah- men eingeleitet hatten, konnte das Risiko für die Betroffenen minimiert und das Verfahren ohne Empfehlungen des EDÖB abgeschlossen werden. Im November 202 2 meldete eine Privat- person dem EDÖB und dem NCSC einen Datensicherheitsmangel bei einer Datenbank, auf der die Resultate aus Covid-19-Testzentren mit mehreren Standorten in der Schweiz gespeichert waren. Aufgrund einer Schwachstelle des Webservers für den Zugriff auf die Datenbank hatte sich die Privatperson über die in einer frei zugänglichen Konfigurationsdatei einsehbaren Infor- mationen Zugang zur Datenbank ver- schafft und eine Kopie der Datenbank heruntergeladen. Die Verantwortli- chen nahmen die Datenbank noch am Tag der Meldung vom Server und ver- schoben sie auf einen verschlüsselten physischen Datenträger. Im Rahmen der Sachverhaltsab- klärung, die der EDÖB im Nachgang an die erhaltene Meldung und darauf gestützte erste Abklärungen eröffnete, stellte er verschiedene Mängel in Bezug auf die Datensi- cherheit fest. Die durch eine Systemwartung ver- ursachte freie Zugänglich- keit der Konfigurations- datei stellte eine kritische Schwach- stelle dar, da darin die Zugangsdaten enthalten waren, wodurch ein Zugriff auf die Datenbank durch unbefugte Personen möglich war. Darüber hinaus erwies sich die gewählte Authentifi- zierungsmethode mittels Benutzer- name und Passwort (welche beide in der exponierten Datei enthalten waren) in der vorliegenden Konstellation als unzulänglich; es hätte zur Gewährleis- tung der Daten sicherheit beispiels- weise eine Zwei-Faktoren-Authenti- fizierung eingerichtet werden müssen. Aufgrund des Auslandbezugs des Sys- tems tauschte sich der EDÖB mit den Datenschutzbehörden Österreichs und des Fürstentums Liechtenstein amtshilfeweise aus. Gestützt auf die Zugriffslogs, konnte der für die Testzentren Ver- ant wortliche bestätigen, dass kein weiterer unbefugter Zugriff auf die Daten stattgefunden hatte. Durch die ergriffenen Sofortmassnahmen bestand zudem kein Risiko für die betroffenen Personen mehr. Aufgrund dieser spezifischen Konstellation und angesichts der Tatsache, dass der Betrieb der Covid-Testzentren schon einige Zeit vor Bekanntwerden der Schwachstelle eingestellt worden war, schloss der EDÖB das Verfahren ohne Erlass einer Empfehlung ab. Immer mehr Fälle mit ethischen Hackern Neben der steigenden Zahl von journalistischen Recherchen zu Datenschutz- und Datensicherheitslücken sieht sich der EDÖB zunehmend auch mit Meldungen von ethischen Hackern (gemeinhin als «White Hat Hacker» bezeichnet) und IT-Aktivisten konfrontiert. White Hat Hacker sind in ihrer idealtypischen Definition gut gesinnt und melden dem EDÖB einen Fall, damit dieser beim Betreiber vorstellig wird und gegebenenfalls eine Untersuchung einleitet. Sie handeln regelmässig ausserhalb eines offiziellen Rahmens und ohne die Zustimmung der Systembetreiber und bear- beiten dabei oft personenbezogene Daten (z. B. Kundendaten, die im System gespei- chert sind, Daten von Angestellten usw.). Neben den Meldungen an den EDÖB informieren die Hacker manchmal auch direkt die Öffentlichkeit oder die Medien über ihre Entdeckungen – wie etwa im Fall der Covid-Testcenter. Je nachdem, welche Informationen übermittelt werden, ist diese Art der breiten Kommunikation heikel, da sie zusätzliche Risiken für die Personen mit sich bringen kann, deren Daten betroffen sind. Datenschutz 39 30. Tätigkeitsbericht 2022/23
Datenschutz 40 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
worauf der EDÖB seine Empfehlung vom 20. Mai 202 2 widerrufen konnte. Die Daten wurden sodann vereinba- rungsgemäss dem Kanton Aargau und der im Auftrag des Kantons han- delnden Stammgemeinschaft eHealth Aargau übertragen, damit im Rahmen eines Vorprojekts geprüft werden konnte, ob eine datenschutzkonforme Rückübertragung der Daten an die Betroffenen – unter Berücksichtigung der Integrität der Daten und der tech- nischen und wirtschaftlichen Machbar- keit – realisiert werden kann. Auch sollte eine, von einer ausdrücklichen Zustimmung im Einzelfall abhängig zu machende Überführung in ein elek- tronisches Patientendossier geprüft werden. Würde die Klärung im Rahmen des Vorprojektes negativ ausfallen, sehen die zwischen dem Kanton Aargau, der Stammgemeinschaft und dem BAG ausgetauschten Erklärungen die Beendigung des Projekts und die Löschung der Daten vor. Zur Zeit der Drucklegung war das Ergebnis des Vorprojekts des Kantons Aargau, das der Aufsicht der Daten- schutzbeauftragten des Kantons Aargau untersteht, noch offen. ONLINE-PLATTFORM Projekt Datenrettung «meineimpfungen.ch» Ende 2021 wurde über die ehemalige Betreiberin der Plattform meineimp- fungen.ch der Konkurs eröffnet. Im Mai 2022 erhielt der EDÖB Kenntnis von einer geplanten Veräusserung der Impf- daten durch das zuständige Konkurs- amt an ein privates Unternehmen, was ihn zum Erlass einer Löschungsemp- fehlung bewog. Daraufhin forderten Behörden und Private eine Rettung der Daten. Gestützt auf eine vom EDÖB verlangte öffentlich-rechtliche Verein- barung übernahm im Juni 2022 der Kanton Aargau die Daten, um im Rahmen eines noch laufenden Vorprojekts zu prüfen, ob eine datenschutzkonforme Rückgabe der Daten an die Betroffenen möglich ist. Im Jahr 2021 wurden bei der Platt- form meineimpfungen.ch gravierende Mängel festgestellt und vergebliche Versuche unternommen, den betroffenen Personen unter Einhaltung des Datenschutzrechts Zugriff auf ihre Daten zu ermög- lichen. Ende 2021 wurde über die Betreiberin der Plattform der Konkurs eröffnet (s. 29. TB, Kap. 1. 4). Im Mai 202 2 erhielt der EDÖB Kenntnis davon, dass die fraglichen Impfdaten im Rah- men der konkursamtlichen Verwer- tung im Freihandverfahren an ein pri- vates Unternehmen veräussert werden sollten. Daraufhin intervenierte der EDÖB in Absprache mit dem Daten- schutzbeauftragten des Kantons Bern, indem er dem für die Konkursmasse handelnden Konkursamt am 20. Mai 202 2 mittels formeller Empfehlung die Veräusserung untersagte und die Löschung sämtlicher Impfdaten der Plattform verlangte. Das Konkursamt nahm die Empfehlung an. Aufgrund der Empfehlung des EDÖB sprachen sich mehrere Behör- den, worunter auch das Bundesamt für Gesundheit (BAG), und Private öffentlich dafür aus, dass die Daten gerettet und den Betroffenen zurück- gegeben werden sollten. Angesichts des dabei geltend gemachten öffentli- chen Interesses an einer Datenrettung erklärte sich der Beauftragte im Juni 202 2 in einem Schreiben an die Direk- torin des BAG bereit, auf seine Löschungsanordnung zurückzukom- men. Dies unter der Bedingung, dass die Daten gestützt auf eine öffentlich- rechtliche Vereinbarung und zum dort ausdrücklich festzuhaltenden Zweck der Wahrung der Datenschutzrechte der betroffenen Personen an eine Gesundheitsbehörde des Bundes oder der Kantone übertragen würden. Am 16. Juni 202 2 schloss die Kon- kursmasse, handelnd durch das Kon- kursamt Bern-Mittelland, mit Unter- stützung des BAG eine solche Verein- barung mit dem Kanton Aargau ab, Datenschutz 41 30. Tätigkeitsbericht 2022/23
ELEKTRONISCHES PATIENTENDOSSIER Neue Entwicklungen Im Berichtsjahr unterbreitete das Eid- genössische Departement des Innern (EDI) dem Bundesrat eine Vernehmlas- sungsvorlage für die Sicherstellung der Übergangsfinanzierung des elektroni- schen Patientendossiers (EPD). Mit dem Ziel, die Einführung und Verbrei- tung des EPD erfolgreich voranzutrei- ben, soll im Sommer 2023 zudem eine umfassende Revision des Bundesge- setzes über das elektronische Patien- tendossier (EPDG) in die Vernehmlas- sung geschickt werden. An seiner Sitzung vom 27. April 202 2 beschloss der Bundesrat, das EPDG mit verschiedenen Massnahmen weiter- zuentwickeln und beauftragte das EDI, ausgehend von einer Reihe von Eckwer- ten eine Vernehmlassungsvorlage auszuarbeiten. Die umfassende Revi- sion des EPDG dürfte im Sommer 2023 in die Vernehmlassung geschickt werden (ein Inkrafttreten ist frühes- tens für 2027 vorgesehen). Nach dem Willen des Bundesrats soll das EPD künftig als Instrument der obligatori- schen Krankenversicherung gelten, wodurch dem Bund eine weitreichende Regelungskompetenz zukommt. Die Versicherer sollen jedoch keinen Zugriff auf das EPD erhalten. Die Aufgaben und Kompetenzen und damit auch die Sicherstellung der Finanzierung des EPD durch Bund und Kantone werden klar geregelt. Wegen der Freiwilligkeit für Patientin- nen und Patienten, sich am EPD zu beteiligen, sollen zwei Varianten ver- nehmlasst werden: die Beibehaltung der Freiwilligkeit und die Einführung eines Opt- out-Modells, wobei letzte- res vom Bundesrat bevor- zugt wird. Alle ambulant tätigen Gesundheitsfachpersonen sol- len zur Führung eines EPD verpflich- tet werden. Für neu zugelassene Ärz- tinnen und Ärzte gilt diese Pflicht bereits seit dem 1. Januar 202 2. For- schende sollen Zugriff auf Daten des EPD haben, sofern die Patientinnen und Patienten ihre Einwilligung dazu geben. Eine zentrale Speicherung soll die Bearbeitung der dynamischen Daten erleichtern. Die Nutzung der techni- schen Infrastruktur des EPD soll für Zusatzdienste ermöglicht werden, beispielsweise für die Überweisung von Patientinnen und Patienten an andere Gesundheitsfachpersonen. Für den Zugang zum EPD soll die Nut- zung einer E-ID geklärt werden. Um die Finanzierung des EPD bis zur Revision des EPDG sicherzustellen, beauftragte der Bundesrat das EDI, bis zum Frühjahr 2023 einen Gesetzesent- wurf über die Übergangsfinanzierung des EPD in die Vernehmlassung zu geben. Danach wird die Vorlage an das Parlament überwiesen und möglichst rasch in Kraft gesetzt. Das Bundesamt für Gesundheit (BAG) hat mit den Arbeiten zu diesen beiden Revisionen begonnen. Im Rahmen der Jahresrevision des Ausführungsrechts zum EPDG prüfen das BAG und eHealth Schweiz weitere Weiterentwicklungs- und Aktualisie- rungsbedürfnisse, die im Frühjahr 2023 vorliegen dürften. Die Revisions- vorhaben sollen die Verbreitung und den Nutzen des EPD namentlich durch die Einführung eines elektronischen Impfausweises sowie eines elektroni- schen Medikationsplans fördern. Wei- tere Massnahmen zur Erhöhung der Attraktivität des EPD werden evaluiert. Der EDÖB pflegt regelmässigen Austausch mit dem BAG und nimmt zu dessen Vorhaben Stellung. Er hat wiederholt daran erinnert, dass er nicht gegen eine beschleunigte Einführung des EPD im Interesse der Patientinnen und Patienten ist, solange dies nicht zu einer Schwächung des Datenschutzes führt. Er wird die Entwicklung des EPD weiterhin aufmerksam mitverfolgen und sich für die Gewährleistung des Datenschutzes einsetzen, insbeson- dere wenn die Persönlichkeitsrechte der betroffenen Personen durch die angestrebten Massnahmen tangiert würden sowie für den Fall einer Aufhe- bung des freiwilligen Charakters des EPD für die Patientinnen und Patienten. Datenschutz 42 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
gründlich über ihre Datenschutzpflich- ten informiert werden, insbesondere was den elektronischen Versand von Rechnungskopien anbelangt. Da Gesund- heitsdaten gemäss Bundesgesetz über den Datenschutz (DSG) zu den beson- ders schützenswerten Daten zählen, müssen bei ihrer Bearbeitung beson- dere Vorkehrungen getroffen werden. Leistungserbringer, die ihre Rechnungs- kopien elektronisch zustellen möchten, haben für eine sichere Übermittlung zu sorgen, indem sie angemessene technische und organisa- torische Massnahmen im Sinne von Art. 7 DSG und von Art. 8 ff. der Verordnung zum Bundesgesetz über den Datenschutz (VDSG) treffen und beispielsweise Verschlüsselungs- und Multi-Faktor-Authentifizierungs- verfahren verwenden. (Weitere Aus- führungen zum Erfordernis angemes- sener Sicherheitsmassnahmen befin- den sich im Beitrag über das Vorhaben, inskünftig sämtliche Abrechnungen im Rahmen der obligatorischen Kran- kenversicherung elektronisch zu übermitteln; s. nachfolgenden Text). Verstösse der Leistungserbringer gegen die Pflicht, geeignete Daten- schutzmassnahmen vorzusehen, können ELEKTRONISCHER RECHNUNGSVERSAND Pflicht zur Zustellung einer Kopie der Arztrechnung Die Pflicht der Leistungserbringer zur Zustellung einer Rechnungskopie an die Versicherten verunsichert diese. Insbesondere der elektronische Versand wirft zahlreiche Fragen in Bezug auf Datenschutz und Datensicherheit auf. Seit dem 1. Januar 202 2 sind sämtliche Leistungserbringer nach Art. 35 Abs. 2 des Bundesgesetzes über die Kranken- versicherung K VG (Ärzte, Apotheker, Chiropraktoren, Spitäler, Laboratorien usw.) gesetzlich verpflichtet, den Ver- sicherten in jedem Fall und unauf- gefordert eine Rechnungskopie zuzu- stellen. Die Übermittlung der Kopie kann mit ausdrücklicher Genehmigung der versicherten Person auch elektro- nisch erfolgen. Die Zustellungspflicht ist Teil eines Pakets von Massnahmen zur Kostendämpfung im Gesundheits- wesen, das anlässlich der Anpassung von Art. 42 Abs. 3 KVG angenommen wurde. Die Versicherten können auf diese Weise ihre Rechnungen überprüfen und allfällige Fehler dem Versicherer melden. Die Zustellungspflicht ist an sich nicht neu. Sie bestand bereits im System des Tiers payant, war jedoch nur auf Verordnungsstufe geregelt. Der EDÖB ist in dieser Frage beim Bundesamt für Gesundheit (BAG), das für den Vollzug der Massnahme zuständig ist, tätig geworden und hat verlangt, dass die Leistungserbringer ernste zivil- und strafrechtliche Folgen nach sich ziehen: Geschädigte können im Falle einer Persönlichkeitsverletzung als Einzelperson zivilrechtlich vorge- hen oder Schadenersatz- und Genug- tuungsforderungen stellen, wenn sich Unbefugte Zugriff auf nicht verschlüs- selte Mails verschaffen konnten und Gesundheitsdaten dadurch an Dritte gelangt sind. Bei einer Verletzung des Arztgeheimnisses ist ausserdem eine Strafverfolgung denkbar, etwa wenn medizinische Angaben an unbefugte Empfänger übermittelt wurden. Leistungserbringer, die sich für die elektronische Übermittlung der Rech- nungskopie entscheiden, müssen die versicherte Person vorgängig über die Risiken informieren, die dieser Form der Zustellung innewohnen. Sie müssen sich zudem vergewissern, dass die versicherte Person der Zustellung auf elektronischem Weg ausdrücklich und freiwillig zugestimmt hat. Erklärt sich die versicherte Person mit der elektronischen Übermittlung der Rech- nungskopie nicht einverstanden, sind die Leistungserbringer gehalten, diese Willensäusserung zu respektieren und die Rechnungskopie auf Papier ohne zusätzliche Kosten auf dem herkömm- lichen Postweg zuzustellen. Das Gesetz sieht ferner auch die Möglichkeit vor, dass Versicherer und Leistungserbringer vereinbaren, die Rechnungskopie durch den Versicherer zustellen zu lassen. Datenschutz 43 30. Tätigkeitsbericht 2022/23
und organisatorischen Massnahmen. Ausserdem wies er darauf hin, dass mit dem Inkrafttreten des neuen Art. 42 Abs. 3 K VG im Januar 202 2 bezüglich der elektronischen Über- mittlung von Rechnungskopien an die Versicherten deutlich wurde, welche Gefahren bestehen, wenn elektronische Rechnungen an die Stelle von Papier- rechnungen treten, sowie dass die Leis- tungserbringer angemessene techni- sche und organisatorische Massnahmen treffen und insbesondere Verschlüsse- lungs- und Multi-Faktor-Authentifi- zierungsverfahren einsetzen müssen. (Weitere Ausführungen zum Erforder- nis angemessener Sicherheitsmass- nahmen befinden sich im Beitrag über die geltende Pflicht zur Übermittlung einer Rechnungskopie an Patientinnen und Patienten (s. vorangehenden Text). Der Botschaftsentwurf wurde aufgrund der Vorschläge des Daten- schutzbeauftragten überarbeitet. Im Kapitel über den Datenschutz wurde ein Verweis auf die Bestimmungen des DSG und speziell auf die Verpflich- tung aufgenommen, angemessene technische und organisatorische des Tiers payant wird die Rechnung der versicherten Person elektronisch oder auf Wunsch kostenlos in Papier- form zur Kontrolle und Bezahlung übermittelt. Anschliessend leitet die versicherte Person die Rechnung elekt- ronisch an den Krankenversicherer wei- ter oder gibt sie in einem dafür vorge- sehenen Onlineportal des Versicherers ein. Papierrechnungen werden von der versicherten Person dem Versicherer weitergeleitet. Danach verlangt letzte- rer die Rechnung vom Leistungser- bringer elektronisch. Das genaue Ver- fahren wird auf Verordnungsstufe geregelt. Die Ausgestaltung der elektroni- schen Rechnungsübermittlung wird an die Tarifpartner übertragen. Die Leistungserbringer und die Versicherer oder deren Verbände sind gehalten, sich auf einen gesamtschweizerisch einheitlichen Standard zu einigen und eine diesbezügliche Vereinbarung abzuschliessen. Die Vorlage sieht vor, dass die Rechnungsstellung über ein standardisiertes Formular mittels einer Plattform stattfindet, wobei die Daten- sicherheit zu gewährleisten ist. Wenn sich die Parteien innerhalb der vorge- sehenen zweijährigen Übergangsfrist nicht auf ein einheitliches System eini- gen können, sorgt der Bundesrat für die Festlegung des Standards. Im Rahmen der Ämterkonsulta- tion zum Botschaftsentwurf verlangte der EDÖB eine genauere Umschrei- bung der erforderlichen technischen ELEKTRONISCHER RECHNUNGSVERSAND Entwurf betreffend die elektronische Rechnungs- übermittlung im Bereich der obligatorischen Kran- kenpflegeversicherung Mit den vom Bundesrat beschlossenen Massnahmen zur Dämpfung der Gesund- heitskosten ist vorgesehen, dass sämt- liche Leistungserbringer im stationären und im ambulanten Bereich verpflichtet werden, ihre Rechnungen in elektronischer Form zu übermitteln. Der EDÖB verlangte im Rahmen der Vernehmlassung eine Prä- zisierung der Anforderungen im Bereich Datenschutz und Datensicherheit. Am 7. September 202 2 verabschiedete der Bundesrat die Botschaft zur Ände- rung des Bundesgesetzes über die Kran- kenversicherung (K VG) bezüglich des zweiten Massnahmenpakets zur Kosten- dämpfung im Gesundheitswesen. Darin ist eine Änderung von Art. 42 Abs. 3ter K VG vorgesehen, wonach sämtliche Leistungserbringer im stationären und im ambulanten Bereich verpflichtet werden, ihre Rechnungen künftig in elektronischer Form zu übermitteln, unabhängig davon, ob der Kranken- versicherer (Tiers payant) oder die ver- sicherte Person (Tiers garant) die Vergü- tung der Leistung schuldet. Im System Datenschutz 44 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
Massnahmen zum Schutz gegen jegliche Bearbeitung durch Unbefugte zu tref- fen. Zudem wurde daran erinnert, dass die Rechnungen besonders schützens- werte Daten nach DSG enthalten, da die Leistungserbringer darauf alle admi- nistrativen und medizinischen Anga- ben machen müssen, die für die Über- prüfung der Berechnung der Vergütung notwendig sind, insbesondere Anga- ben zu den einzelnen erbrachten Leis- tungen und zu den Diagnosen. In der Botschaft wird festgehalten, dass zur Bearbeitung dieser besonders schüt- zenswerten Daten besondere Mass- nahmen vorzusehen sind (verschlüs- selte Übermittlung, Multi-Faktor- Authentifizierungsverfahren), die von den Tarifpartnern im Rahmen der Erarbeitung eines gesamtschweizerisch einheitlichen Standards zu be rück- sichtigen sind, der die Datensicherheit garantiert. Schliesslich wurde die Botschaft mit dem Verweis auf weitere Pflichten ergänzt, die die Tarifpartner bei der Erar- beitung eines einheitlichen Standards hinsichtlich der Revision des DSG erfüllen müssen, namentlich dass bei einem solchen Vorhaben eine Daten- schutz-Folgenabschätzung gemäss Artikel 2 2 des neuen Gesetzes zu erstellen ist. Datenschutz 45 30. Tätigkeitsbericht 2022/23
Datenschutz 46 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
1.5 Arbeit BUNDESPERSONAL Aufbewahrung von Personal- dossiers beim BFS Der EDÖB eröffnete beim Bundesamt für Statistik (BFS) eine Sachverhalts- abklärung betreffend Aufbewahrung physischer Personaldossiers des Bun- despersonals über die gesetzliche Frist von zehn Jahren hinaus aufbewahrt wurden. Nachdem er feststellen konnte, dass einschlägige Korrekturmassnah- men umgesetzt wurden, schloss er die Abklärung ohne Empfehlung ab. In seinem letzten Tätigkeitsbericht 2021/2 2 informierte der EDÖB über Abklärungen, die er beim Bundesamt für Statistik (BFS) betreffend die Hand- habung von physischen Personaldos- siers von ehemaligen Mitarbeitenden vornahm (s. 29. TB, Kap. 1.5). Der EDÖB war darauf aufmerksam gemacht wor- den, dass das BFS zahlreiche Personal- dossiers über die gesetzlich erlaubte Frist von zehn Jahren hinaus aufbe- wahrte. Das BFS erkannte den Hand- lungsbedarf und legte auf Verlangen des EDÖB einen Umsetzungs- und Zeitplan zur Wiederherstellung des rechtmässigen Zustands vor. Der Abschluss der notwendigen Arbeiten war für Ende Sommer 202 2 vorgese- hen. Weil diese Arbeiten zu diesem Zeit- punkt jedoch noch nicht durchgeführt worden waren und eine Verzögerung im Zeitplan entstand, sah sich der EDÖB zur Einleitung eines formellen Aufsichtsverfahrens nach Art. 27 DSG gezwungen. Damit sollte sichergestellt werden, dass das BFS die Massnahmen zur Wiederherstellung des rechtmässi- gen Zustands zeitnah ergreift und den EDÖB über die getroffenen Massnah- men informiert. Das BFS teilte dem EDÖB im November 202 2 mit, dass der Auftrag zur Wiederherstellung des recht- mässigen Zustands erfüllt werden konnte: Die Personaldossiers von ehemaligen Mitarbeitenden wurden an das Bundesarchiv geliefert, das den Erhalt bestätigte. Nicht archivwürdige Dossiers wurden vernichtet (darunter auch jenes der Person, die uns den Fall gemeldet hatte) und das Löschproto- koll dem Bundesarchiv übermittelt. Letzteres hat das Vorgehen für Personal- dossiers von 2012 bis 2017 (E-Personal- dossiers ab 2018) bereits geklärt und das künftige Vorgehen festgelegt. Der EDÖB erhielt die Bestätigung, dass archivwürdige Papierdossiers dem Bundesarchiv übergeben bzw. nicht archivwürdige Dossiers vernichtet wur- den. Er konnte feststellen, dass beim BFS nunmehr keine Personaldossiers länger als gesetzlich erlaubt aufbewahrt wer- den und klare Anweisun- gen für die gesetzeskon- forme Archivierung und Vernichtung künftiger Dossiers beste- hen, deren Archivierungsfrist derzeit unter zehn Jahren liegt. Da das BFS Massnahmen zur Wie- derherstellung des rechtmässigen Zustands gemäss Bundespersonal- und Datenschutzrecht umgesetzt hat, konnte der EDÖB sein Verfahren im März 2023 ohne Erlass von Empfeh- lungen abschliessen. Datenschutz 47 30. Tätigkeitsbericht 2022/23
1.6 Verkehr SBB Kundenfrequenzmesssystem an Bahnhöfen Die SBB haben den EDÖB im Oktober 2022 über ein Projekt zur Kundenfre- quenzmessung an Bahnhöfen infor- miert. Da das Projekt mit hohen poten- ziellen Risiken für die betroffenen Pas- santinnen und Passanten behaftet ist, wird die SBB vor der Umsetzung eine Datenschutz-Folgenabschätzung (DSFA) durchführen und diese dem EDÖB zur Stellungnahme vorlegen. Die Medien berichteten im Februar über ein Projekt der SBB betreffend Erhebung von Daten in Bahnhöfen, mit denen Personenflüsse optimiert werden sollen. Der Text der entspre- chenden Ausschreibungsunterlagen waren zu Beginn teilweise missver- ständlich formuliert, so dass den SBB vorgeworfen wurde, ihre Kundinnen und Kunden mit Gesichtserkennungs- technologie überwachen zu wollen. Dies w urde von den SBB dementiert. Sie haben öffentlich ver- sichert, dass das Kunden- frequenz-Messsystem mit anonymi- sierten Daten arbeite, die zu keinem Zeitpunkt personenbezogen ausge- wertet würden. Der Datenschutzverantwortliche der SBB hatte den EDÖB bereits im Oktober 202 2 über das Projekt infor- miert. Obwohl das neue Kunden- frequenz-Messsystem lediglich der Optimierung der Personenflüsse in den Bahnhöfen dienen soll und keine Personen identifiziert werden sollen, die Daten also nicht personenbezogen verwendet werden sollen, ist das Pro- jekt mit einem potenziell hohen (Re-) Identifikations-Risiko behaftet. Daher sicherten die SBB dem EDÖB zu, dass sie vor der Umsetzung des Projekts eine DSFA durchführen und diese dem EDÖB vorlegen werden. Die SBB gehen davon aus, dass das Projekt datenschutzkonform umsetz- bar ist. Dem EDÖB lagen zum Ende des Bericht- zeitraums keine Informa- tionen vor, welche dies ausschliessen würden. Der EDÖB wird zum Projekt nach Erhalt der DSFA Stellung nehmen. Datenschutz 48 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
Datenschutz 49 30. Tätigkeitsbericht 2022/23
Im vergangenen Geschäftsjahr konnten nach Beruhigung der pandemiebe- dingten Situation verschiedene inter- nationale Konferenzen wieder vor Ort durchgeführt werden. So nutzte auch der EDÖB die Gelegenheit, an ver- schiedenen internationalen Anlässen physisch teilzunehmen. Dies insbe- sondere an den Sitzungen des Europa- rates, der Europäischen Konferenz der Datenschutzbeauftragten und der fran- zösischsprachigen Vereinigung der Datenschutzbehörden. Die internationale Tragweite des Datenschutzes zeigte sich auch im vergangenen Geschäftsjahr. Bei der grenzüberschreitenden Übermittlung von Personendaten stellen sich für international tätige Unternehmen hinsichtlich der Speicherung von Daten in Clouds und auf Servern im Ausland heikle Rechtsfragen, zu denen in der Schweiz noch keine Recht- sprechung besteht (s. Kap. 1.1). Mit besonderem Interesse verfolgt der EDÖB vor diesem Hintergrund die gegenwärtigen Bestrebungen der EU, einen neuen Angemessenheitsbeschluss bezüglich den USA zu erlassen. 1.7 International EUROPA Europarat Nach dem Ausscheiden Russlands aus dem Europarat musste der Beratende Ausschuss über die Teilnahmebedin- gungen Russlands entscheiden. Die Behandlung dieses Geschäfts führte dazu, dass die Plenarsitzung vom Juni auf den November verschoben wurde. Weiter verabschiedete der Beratende Ausschuss Richtlinien zur digitalen Identität. Sodann wählte er die Vertre- terin der Schweiz zu seiner ersten Vize-Präsidentin. Die Sitzungen des Beratenden Aus- schusses zum Übereinkommen 108 und seines Büros konnten wieder vor Ort durchgeführt werden. Beim Über- einkommen 108 handelt es sich um ein sogenanntes offenes Übereinkommen, welches auch Vertragsparteien, die nicht Mitgliedstaat des Europarats sind, offensteht. Nach dem aussergewöhn- lichen Ausscheiden Russlands aus dem Europarat stellte sich daher bei allen offenen Übereinkommen die Frage der Bedingungen der weiteren Teilnahme dieses Staates. Angesichts der Notwendigkeit, die Vorgaben des Ministerkomitees abzuwarten und sich mit anderen betroffenen Ausschüssen abzusprechen, wurde das Plenum vom Juni auf den November verschoben. Dadurch konnte im Jahr 202 2 nur eine statt wie üblich zwei Plenarsitzungen durchgeführt werden, was zu Verzöge- rungen in der Behandlung von verschie- denen Geschäften führte. An der Plenarversammlung vom November hat der Ausschuss als erstes die Frage der Teilnahmebedingungen Russlands im Ausschuss besprochen. Die rechtliche Ausgangslage war, dass ein Mitgliedstaat nach einem ausseror- dentlichen Ausscheiden aus dem Europarat zwar weiterhin Vertragspar- tei des Übereinkommens 108 bleibt, dessen Teilnahme aber gestützt auf die Verfahrensregeln eingeschränkt oder suspendiert werden kann. Vor diesem Hintergrund hat der Ausschuss die Verfahrensordnung angepasst und die Teilnahme Russlands auf die allgemei- nen Diskussionen über die Auslegung des Übereinkommens 108 beschränkt. Zudem hat er festgelegt, dass Russland weder den Ausschuss präsidieren noch Mitglied seines Büros sein dürfe. Weiter besprach der Ausschuss Entwürfe betreffend den zwischen- staatlichen Datenaustausch zum Zweck der Bekämpfung der Geldwä- scherei und Terrorismusfinanzierung sowie zu steuerlichen Zwecken und Standardvertragsklauseln für die Datenschutz 50 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
grenzüberschreitende Übermittlung von personenbezogenen Daten. Bezüg- lich Standartvertragsklauseln fungiert die Vertreterin des EDÖB als Bericht- erstatterin. Der Ausschuss hat sodann eine Arbeitsgruppe beauftragt, eine Ausle- gungshilfe betreffend die Ausnahmen und Beschränkungen des Anwendungs- bereichs des modernisierten Überein- kommens 108 (sogenanntes Überein- kommen 108+) vorzubereiten. An der Plenarversammlung verab- schiedete der Ausschuss Richtlinien über die digitale nationale Identität. Diese publizierten Richtlinien umschrei- ben, wie die Datenschutzgrundsätze des Übereinkommens 108+ in diesem Zusammenhang zu verstehen sind, und enthalten mehrere Empfehlungen für die folgenden Akteure: Organe mit rechtssetzenden Funktionen, Verant- wortliche für die Datenbearbeitung, Gerätehersteller und Dienstleistungs- anbieter sowie Datenschutzbehörden. Schliesslich fanden an der Plenarver- sammlung die Erneuerungswahlen des Büros des Beratenden Ausschusses statt. Dabei wurde die Vertreterin des EDÖB, welche bis anhin Mitglied des Büros war, zur ersten Vize-Präsidentin gewählt. Präsidentin des Ausschusses ist neu die deutsche Vertreterin, zweite Vize-Präsidentin wie bis anhin die sene- galesische Vertreterin. EUROPA Europäische Konferenz der Datenschutzbeauftragten in Dubrovnik An der Europäischen Konferenz der Datenschutzbeauftragen wurden die neusten Entwicklungen bei der grenz- überschreitenden Datenbekanntgabe sowie die Zusammenarbeit der Daten- schutzbehörden in diesem Bereich diskutiert. Mit einer Resolution soll die Ratifizierung des Übereinkommens 108+ beschleunigt werden. Nach einem pandemiebedingten Unter- bruch von zwei Jahren fand vom 19. bis 20. Mai 202 2 die 30. Europäische Kon- ferenz der Datenschutzbeauftragten auf Einladung der kroatischen Daten- schutzbehörde in Dubrovnik statt. Dort wurden die letzten Entwicklungen und offene Punkte bezüglich der grenz- überschreitenden Datenbekanntgabe diskutiert. Auch wurde anhand prakti- scher Beispiele die Zusammenarbeit zwischen den Datenschutzbehörden erörtert und Fragen der Sensibilisierung für die Anliegen des Datenschutzes besprochen. Die Konferenz rief dazu auf, die Ratifizierung des «Übereinkommens 108+», der modernisierten Fassung des Übereinkommens 108, als einziges internationales, rechtlich bindendes Instrument auf dem Gebiet des Daten- schutzes, voranzutreiben. In einer Resolution werden die Regierungen der Mitgliedstaaten des Europarates, die Regierungen von Drittländern, die dem Europarat angehören, die Euro- päische Union und internationale Orga- nisationen aufgefordert, den Prozess der Unterzeichnung und Ratifizierung dieses Übereinkommens zu beschleu- nigen. Eine zweite Resolution soll sicherstellen, dass die Konferenz wei- terhin zu allen vorrangigen Themen der europäischen Datenschutzbehörden durchgeführt werden kann. Der EDÖB beteiligte sich in einer Arbeitsgruppe, die sich auf die Zukunft dieser Konfe- renz konzentriert und die vorgenannte Resolution vorschlug. Datenschutz 51 30. Tätigkeitsbericht 2022/23
EUROPA European Case Handling Workshop Der Schwerpunkt des diesjährigen Workshops lag beim Umgang der Datenschutzbehörden mit den einge- henden Beschwerden, die seit dem Inkrafttreten der DSGVO stark zuge- nommen haben. Die georgische Datenschutzbehörde (PDPS) organisierte als Gastgeberin vom 17. –19. November 202 2 in Tiflis den «European Case Handling Work- shop», eine Arbeitsgruppe zur Bearbei- tung von Datenschutzfällen. Es nahmen über 50 Mitarbeitende aus 26 EU- und Nicht EU-Datenschutz- behörden, wie dem EDÖB, teil. Vertre- ten waren auch der Europäische Daten- schutzbeauftragte und der Beauftragte des Internationalen Komitees vom Roten Kreuz. Der EDÖB wird Gastgeber des nächsten Workshops sein, der im November 2023 in Bern stattfindet. INTERNATIONAL Global Privacy Assembly Die 44. Tagung der Global Privacy Assembly (GPA) fand vom 25. bis 28. Oktober 2022 statt. Die Teilnehmenden verabschiedeten zwei Resolutionen zur Stärkung der Cybersicherheit sowie zur Erarbeitung von Grundsätzen zur Regulierung der Gesichtserkennung. Die Teilnahme des EDÖB an der 4 4. Global Privacy Assembly (GPA) erfolgte virtuell. Thema dieser Jahres- tagung war «A Matter of Balance: Pri- vacy in the Era of Rapid Technological Advancements» (etwa: Schutz der Privatsphäre in einer Zeit des raschen technologischen Fortschritts – eine Frage des Ausgleichs). Die Konferenz hat die Wichtigkeit des Gleichge- wichts zwischen der Privatsphäre und den Technologien, die auf der Bearbei- tung von personenbezogenen Daten beruhen, verdeutlicht. Die öffentliche Sitzung war haupt- sächlich dem Austausch über Privat- sphäre und Menschenrechte gewidmet. In verschiedenen Panels wurden die Überwachung im Bereich Handel und Gewerbe, Datenschutz-Heraus- forderungen bei humanitären Krisen sowie Datenschutz und Wettbewerb diskutiert. Weitere Panels waren aktu- ellen Themen wie der künstlichen Intelligenz, dem Schutz der Privat- sphäre von Kindern und dem grenz- überschreitenden Datentransfer gewidmet. An der geschlossenen Sitzung ver- einbarten die Teilnehmenden, unter denen sich der EDÖB befand, sich für den Ausbau der internationalen Zusam- menarbeit auf dem Gebiet der Cybersi- cherheit einzusetzen und Grundsätze für die Regulierung der Gesichtserken- nung zu erarbeiten. Parallel dazu leitete der EDÖB die Arbeiten über die Rolle des Schutzes personenbezogener Daten in der inter- nationalen Entwicklungshilfe, in der internationalen humanitären Hilfe sowie bei der Krisenbewältigung. Schliesslich verabschiedete die GPA zwei Resolutionen: • Die Resolution zur Cybersicherheit mit dem Ziel, die Regulierung in diesem Bereich zu verbessern und das Bewusstsein für die durch Cybervorfälle verursachten Schäden zu schärfen. Die Möglichkeiten der Datenschutz 52 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
internationalen Zusammenarbeit, sowie der Wissens- und Informati- onsaustauschs zwischen GPA-Mit- gliedern, sollen geprüft werden, ein- schliesslich technisches Fachwissen und Best Practices, damit einschlä- gige Untersuchungen und Regulie- rungsbestrebungen vereinfacht wer- den können. Eine Arbeitsgruppe erhielt den Auftrag, bis zum Herbst 2023 eine erste Auslegeordnung für die Arbeit an dieser Thematik vorzu- legen. • In der Resolution zur Gesichtser- kennung wurden sechs Grundsätze und die Erwartungen an jene Ein- richtungen definiert, die diese Tech- nologie anwenden möchten. Der EDÖB beteiligte sich aktiv an die- sen Arbeiten und gehört zu den Mit- verfassern der beiden Resolutionen. Paul Vane, Beauftragter für Datenschutz und Informationsfreiheit aus Jersey, wurde seinerseits in den Exekutivrat der GPA gewählt. GPA Arbeitsgruppe Entwicklungshilfe Der Schutz personenbezogener Daten spielt im Rahmen der humanitären Hilfe eine zentrale Rolle. Die AG Entwick- lungshilfe der GPA ist dieser spezifi- schen Thematik gewidmet. Sie hat ver- schiedene Vorhaben zur Stärkung des Schutzes der Privatsphäre in Notsitua- tionen umgesetzt. Die Grundsätze rechtsstaatlichen Han- delns werden im Zusammenhang mit bewaffneten Konflikten, Naturkatast- rophen oder anderen humanitären Krisen nicht immer vollumfänglich eingehalten. Die Arbeitsgruppe zur Rolle des Datenschutzes in der inter- nationalen Entwicklungshilfe, in der humanitären Hilfe sowie bei der Krisen- bewältigung (AG Entwicklungshilfe), die vor zwei Jahren eingerichtet wurde, hat deshalb ihre Tätigkeit ausgebaut. Im Berichtsjahr konzentrierte sich die Arbeitsgruppe auf die Überarbei- tung ihres Arbeitsplans 2021–202 2 in Übereinstimmung mit den strategi- schen Prioritäten der GPA und dabei insbesondere auf den weltweiten Aus- bau des Schutzes der Privatsphäre. Sie versandte zu diesem Zweck einen Fragebogen, aktualisierte die Kartie- rung der massgeblichen Akteure und baute die Beziehungen zu anderen inter- nationalen Gremien und Netzwerken aus, die sich für Fortschritte beim Datenschutz und beim Schutz der Privatsphäre einsetzen. Im Sinne der Ziele der Resolution setzten sich die Mitglieder der AG Entwicklungshilfe folgende grundle- gende Ziele: • auf die Bedürfnisse massgeblicher Akteure nach Zusammenarbeit ein- gehen, um Leitlinien zu entwickeln sowie beste Praktiken auszutauschen. Dabei sollen die spezifischen Gege- benheiten der internationalen Ent- wicklungshilfe und humanitären Hilfe berücksichtigt und die jeweili- gen Tätigkeiten unterstützt werden. • Entwicklung einer Strategie der Anwaltschaft und der Mobilisierung bei den massgeblichen Akteuren. Um diese zwei Ziele zu erreichen, unternahm die AG Entwicklungshilfe hauptsächlich Folgendes: • Schaffung eines ständigen Austauschs mit den massgeblichen Akteuren, sowohl auf bilateraler als auf multila- teraler Ebene, um der Stimme der GPA maximales Gehör zu verleihen, indem die Beziehungen zu den Akteuren der internationalen Ent- wicklungshilfe verstärkt werden Datenschutz 53 30. Tätigkeitsbericht 2022/23
• zusammen mit den übrigen relevan- ten Arbeitsgruppen der GPA Unter- lagen und Tools für eine bessere Einbindung des Datenschutzes in den verschiedenen Tätigkeitsberei- chen erarbeiten • die Integration in die internationale Datenschutzgemeinschaft jener Empfängerländer vorantreiben, die über kein entsprechendes Regelwerk verfügen. Die AG Entwicklungshilfe wurde 2020 anlässlich der 42. Global Privacy Assembly auf der Grundlage einer vom EDÖB eingereichten Resolution zur Rolle des Datenschutzes in der inter- nationalen Entwicklungshilfe, in der internationalen humanitären Hilfe sowie bei der Krisenbewältigung ins Leben gerufen. Die Arbeitsgruppe zählt heute über 20 Mitglieder und steht seit ihrer Schaffung unter der Leitung des EDÖB. AFAPDP Französischsprachige Ver- einigung der Datenschutzbe- hörden Die Mitglieder der französischsprachigen Vereinigung der Datenschutzbehörden (AFAPDP), darunter der EDÖB, trafen sich am 3. und 4. Oktober 2022 in Tunis. Am französischsprachigen Treffen über den Schutz personenbezogener Daten nahmen Behörden aus 23 Län- dern teil, die durch eine gemeinsame Sprache, eine gemeinsame juristische Tradition und gemeinsame Werte ver- bunden sind. Im Mittelpunkt der dies- jährigen Arbeiten unter der Moderation des EDÖB standen das Konzept der Identität in all ihren Formen – hoheit- lich oder digital – sowie Fragen betref- fend der Zusammenarbeit und der Rolle des Datenschutzes im Bereich der internationalen Hilfe. In ihrer Rolle als Generalsekretärin der AFAPDP rief Marie-Laure Denis, Präsidentin der französischen Datenschutzbehörde CNIL, die unabhängigen Datenschutz- behörden auf, ihre Kräfte bei der Umset- zung der Strategie der digitalen Fran- kophonie 202 2–2026 zu bündeln, um sich insbesondere auf dem Gebiet der Entwicklung des Datenschutzes und der Regulierung der Datenwirtschaft Gehör zu verschaffen. Parallel zur Veranstaltung hielt die AFAPDP ihre Jahresversammlung ab und verabschiedete die Erklärung von Tunis über den Schutz personenbezo- gener Daten. Die Erklärung bekräftigt die Bedeutung des Datenschutzes, der zu den Grundvoraussetzungen für die Ausübung der übrigen Persönlich- keits- und Freiheitsrechte zählt. Er stellt in diesem Sinne ein Grundrecht unse- rer demokratischen Gesellschaften dar. Schliesslich wählten die Mitglieder das Büro, dem auch der EDÖB ange- hört. Datenschutz 54 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
Datenschutz 55 30. Tätigkeitsbericht 2022/23
BILATERAL Empfang einer tunesischen Delegation Im Rahmen des Programms TRUST (Transition redevable pour la société tunisienne) möchte die Schweiz ihre Erfahrung einbringen, um die öffentli- chen Dienste Tunesiens durch mehr Rechenschaftspflicht zu stärken und letztlich das Vertrauen der Bürger in diese Stellen zu fördern. Im Rahmen dieses Programms emp- fing Adrian Lobsiger, Eidgenössischer Datenschutz- und Öffentlichkeitsbe- auftragter, am 11. Mai 202 2 seine tune- sischen Amtskollegen Chawki Gaddès, Präsident der nationalen Behörde für den Schutz personenbezogener Daten (INPDP), und Adnène El Assoued, Präsi- dent der nationalen Behörde für den Zugang zu Informationen (INAI), in Bern. Im Mittelpunkt der Gespräche standen die verschiedenen Rechtsrah- men und die Herausforderungen hin- sichtlich der fortschreitenden Digitali- sierung in der Gesellschaft. Das Treffen bestätigte den hohen Stellenwert, den die internationale Zusammenarbeit für den EDÖB einnimmt. Der Anlass bot namentlich Gelegenheit, an den universellen Charakter des Datens chut- zes zu erinnern und zu betonen, wie wichtig dieses Grundrecht in einer demokratischen Gesellschaft ist, und dass es die Voraussetzung für die Aus- übung weiterer Grundrechte darstellt. INTERNATIONALE ZUSAMMENARBEIT Privacy Symposium in Venedig Vom 5. bis 7. April 2022 trafen sich über 170 Teilnehmende, darunter der EDÖB, in Venedig zum ersten internationalen «Privacy Symposium». Ziel des Anlasses war die Förderung des internationalen Dialogs, der Zusammenarbeit sowie des Wissensaustauschs über Regularien, Compliance und neue Technologien. Vom Schutz von Gesundheitsdaten über die künstliche Intelligenz bis hin zur Quanteninformatik und weiteren Themen, welche für die Gegenwart und Zukunft der Privatsphäre relevant sind: Das Symposium konnte klar aufzeigen, wie wichtig es ist, dass Rechtsexper- ten sowie Vertreter der Praxis und der Forschung zusammenkommen und ihre Kräfte bündeln, um den Datenschutz jenseits von Landes- und technologi- schen Grenzen zu stärken. Eine Vertreterin des EDÖB konnte das neue Bundesgesetz über den Daten- schutz vorstellen und über die neuesten Entwicklungen im Bereich der Zertifi- zierung in der Schweiz sowie über die Rolle des Datenschutzes in der huma- nitären Hilfe referieren. SCHENGEN Borders, Travel and Law Enforcement Group Die Borders, Travel and Law Enforcement Gruppe des Europäischen Datenschutz- ausschusses behandelte in Anwesen- heit des EDÖB Themen zum Schengen- Besitzstand wie die Gesichtserkennung bei der Strafverfolgung und das 2022 ergangene «Passenger Name Record »- Urteil des Europäischen Gerichtshofes. Der EDÖB nahm an den Sitzungen der Borders, Travel and Law Enforcement (BTLE) Gruppe, einer Experten-Unter- gruppe des Europäischen Daten- schutzausschusses (EDSA) zur Behand- lung der Schengen relevanten The- men, teil. Die Gruppe hat einen Praxis-Leit- faden für Strafverfolgungsbehörden bei der Anwendung von Gesichtser- kennungstechnologie behandelt, den sie im Mai 202 2 verabschiedet hat (Guidelines 05/202 2 on the use of facial recognition technology in the area of law enforcement). Weiter hat die Gruppe das am 21. Juni 202 2 ergangene Urteil des Europäischen Gerichtshofes (EuGH) betreffend die Umsetzung der sog. PNR-Richtlinie («Passenger Name Record) besprochen. Die Richtlinie regelt die Verwendung von Fluggast- datensätzen (PNR-Daten) zu Zwecken der Verhütung, Aufdeckung, Aufklä- rung und strafrechtlichen Verfolgung Datenschutz 56 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
von terroristischen Straftaten und schwerer Kriminalität. Der EuGH führte aus, dass die Staaten bei der Umsetzung der PNR-Richtlinie die Eingriffe unbedingt auf das erforderli- che Mass zu beschränken haben. So seien die in der PNR-Richtlinie genann- ten Zwecke abschliessend geregelt. Die Anwendung des PNR-Systems sei nur auf terroristische Straftaten und schwere Kriminalität gerichtet, das heisst, dass gewöhnliche Kriminalität ausgeschlos- sen sei. Es dürfe keine unterschieds- lose Anwendung der allgemeinen Spei- cherfrist von fünf Jahren auf alle per- sonenbezogenen Daten von Fluggästen erfolgen. Aufgrund der Vorarbeiten von BTLE hat der EDSA die Stellungnahme 5/202 2 zu den Auswirkungen des EuGH-Urteils C-817/19 betreffend die Umsetzung der Richtlinie (EU) 2016/681 über die Verwendung von Fluggastdatensätzen in den Mitglied- staaten vom 13. Dezember 202 2 erlas- sen. Auch wenn die Schweiz nicht an Urteile des EuGH gebunden ist, dürfte dieses im aktuellen Gesetzgebungs- prozess zu einem neuen Flugpassagier- datengesetz (FPG) Beachtung finden. SCHENGEN Aufsichtskoordinations- gruppen über die Informa- tionssysteme SIS II, VIS und Eurodac Thema der SIS-Aufsichtskoordinations- gruppe waren insbesondere der neue Evaluierungs- und Überwachungsme- chanismus sowie der neue Rechts- rahmen betreffend das SIS. Die Koordinierungsgruppen SIS II, VIS und Eurodac sind vom EU-Recht ein- gerichtete Gremien, die den Schutz personenbezogener Daten in den ent- sprechenden Informationssystemen überwachen. Sie bestehen aus Vertre- tern der nationalen Datenschutzbe- hörden und dem Europäischen Daten- schutzbeauftragten. Mit dem neuen Evaluierungs- und Überwachungsmechanismus sollen die Schengen-Mitgliedstaaten, darun- ter auch die Schweiz, nicht mehr alle fünf, sondern alle sieben Jahre evaluiert werden. Gleichzeitig wird ein Exper- tenpool geschaffen. Für die Schengen- Evaluierungen in Sachen Datenschutz hat der EDÖB einen Experten gemeldet, der inzwischen für eine Evaluierung nominiert worden ist. Der neue SIS-Rechtsrahmen sieht weiterhin vor, dass der Europäische Datenschutzbeauftragte und die natio- nalen Aufsichtsbehörden – darunter auch der EDÖB – mindestens zweimal jährlich im Rahmen des Europäischen Datenschutzausschusses (EDSA) zusammenkommen. Im Weiteren wurde der zweijährliche Tätigkeits- bericht der SIS II SCG verabschiedet. Wie in anderen Bereichen der Schengen-Evaluierung seit Jahren üblich, soll nun auch im Bereich Datenschutz den künftigen Exper- tinnen und Experten ermöglicht werden, eine Ausbildung zu durch- laufen. Weiter soll künftig darauf ver- zichtet werden, dass für die Aufnahme in den Expertenpool eine Personensi- cherheitsprüfung (PSP), sog. Security Clearance, vorzuweisen ist. Datenschutz 57 30. Tätigkeitsbericht 2022/23
SCHENGEN Schengen Koordinations- gruppe der schweizerischen Datenschutzbehörden Im Rahmen der vom EDÖB präsidierten Schengen Koordinationsgruppe haben sich die Datenschutzbehörden von Bund und Kantonen sowie des Fürsten- tums Liechtenstein ausgetauscht. Der EDÖB informierte über die Arbeits- ergebnisse der europäischen Auf- sichtskoordinationsgruppen über die Informationssysteme SIS II und VIS vom 1./2. Juni und 2 2./23. November 202 2 in Brüssel, während die kantona- len Datenschutzbehörden über Erfah- rungen aus den von ihnen durchge- führten Kontrollen berichteten. Eine Unterarbeitsgruppe aus Ver- tretern des EDÖB und der Kantone Basel-Land und Zürich passte den Leit- faden zur Kontrolle der Nutzung des Schengener Informationssystems in Bezug auf die veränderte europäische Rechtslage an. Der Leitfaden dient pri- mär den kantonalen Aufsichtsbehör- den als Orientierungshilfe bei der Durch- führung von Kontrollen. Ferner haben die Vertreterinnen und Vertreter von ihren Erfahrungen und Feststellungen aus den behördlichen Kontrollen, ins- besondere von Log-Files, berichtet. Die Erfahrungen sollen künftig struk- turiert gesammelt werden. SCHENGEN Tätigkeiten betreffend Schengen auf nationaler Ebene EU verschiebt die Evaluierung der Schweiz um zwei Jahre auf 2025. Die von der EU auf Anfang 2023 vor- gesehene Schengen-Evaluierung der Schweiz wurde um zwei Jahre verscho- ben. Hintergrund für diesen Entscheid ist der Erlass der europäischen Verord- nung (EU) 202 2/92 2 über die Einfüh- rung und Anwendung eines Evaluie- rungs- und Überwachungsmechanis- mus für die Überprüfung der Anwen- dung des Schengen-Besitzstands, die im EU-Raum bereits ab Februar 2023 anwendbar ist. Als Weiterentwicklung des Schengen- Besitzstands ist diese Verordnung in der Schweiz erst in einem späteren Zeitpunkt anwendbar, weil sie zunächst durch die Bundesversamm- lung genehmigt und danach in natio- nales Recht umgesetzt werden muss. Diese spätere Anwendbarkeit führte auch dazu, dass die EU-Kommission die Schweiz im Jahr 2025 und nicht wie ursprünglich geplant im Jahr 2023 evaluieren will. Ferner hat die EU-Kommission die Schengen-Staaten aufgefordert, im Bereich Datenschutz Expertinnen und Experten für die Evaluierung anderer Staaten zu ernennen. Dafür haben das Bundesamt für Justiz und das EDA am 12. Mai 202 2 ein Expertentreffen Schen- gen-Evaluierung (SCHEVAL) organi- siert. Expertinnen und Experten aus den verschiedenen Fachgebieten wie Poli- zeikooperation, SIS/SIRENE und Datenschutz haben Interessierte und künftige Expertinnen und Experten über die Zusammenarbeit mit der euro- päischen Kommission, den Ablauf einer Evaluierung und Angebote von Trainings informiert sowie praktische Ratschläge erteilt. Der EDÖB hat zudem im Berichts- jahr bei fedpol als zentrale Zugangs- stelle des C-VIS betreffend die Abfrage von VIS-Daten zum Zwecke der Ver- hütung, Aufdeckung oder Ermittlung terroristischer und sonstiger schwer- wiegender Straftaten eine Kontrolle eröffnet. Zunächst hat er einen Frage- bogen versandt und sich bei einem Besuch vor Ort Restfragen beantwor- ten lassen. Nach Erstellung des Sach- verhalts wird der EDÖB die rechtliche Analyse durchführen. Datenschutz 58 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
Datenschutz 59 30. Tätigkeitsbericht 2022/23
Öffentlichkeitsprinzip
Das Öffentlichkeitsgesetz soll die Trans- parenz über den Auftrag, die Organi- sation und die Tätigkeit der Verwaltung fördern, indem es der Öffentlichkeit den Zugang zu amtlichen Dokumenten gewährleistet (vgl. Art. 1 BGÖ). Das Öffentlichkeitsprinzip soll das Ver- trauen in Staat und Behörden fördern, das Verwaltungshandeln nachvollzieh- bar machen und dadurch die Akzeptanz staatlichen Handelns erhöhen. Das Berichtsjahr 202 2 war im ersten Semester noch geprägt von den Folgen der abklingenden Pandemie. Die von der Bundesverwaltung gelieferten Zah- len zu den 202 2 eingegangenen Gesu- chen um Zugang zu amtlichen Doku- menten lassen erkennen, dass das Bedürfnis von Medien und Gesellschaft nach spezifischer, transparenter Infor- mation weiterhin gross ist. Auch wenn im Berichtsjahr leicht weniger Zugangs- gesuche bei den Bundesbehörden ein- gereicht worden sind als im Vorjahr, ist deren Anzahl nach wie vor auf einem hohen Niveau. Die Bearbeitung der Zugangsge suche generierte in vielen Fällen einen gros- sen Ressourcenaufwand, nicht zuletzt, weil die Gesuche oftmals umfangreich waren oder eine amts- oder departe- mentsübergreifende Koordination not- wendig war. Aus den nachfolgenden Zahlen (s. Kap. 2.2) ist zu entnehmen, dass die in den letzten Jahren festge- stellte Tendenz eines konstant hohen Anteils an Fällen, in welchen der Zugang vollständig gewährt wird, auch für das Berichtsjahr bestätigt werden kann. Sind Gesuchstellende oder von der Zugangsgewährung betroffene Dritte mit der von der Behörde beabsichtigten Zugangsgewährung nicht einverstanden, bietet das Öffentlichkeitsgesetz diesen die Möglichkeit, beim Beauftragten einen Antrag auf Schlichtung einzu- reichen. Der Beauftragte verzeichnete im Berichtsjahr 129 eingegangene Schlichtungsanträge, was im Vergleich zum Vorjahr einen Rückgang von 13 Prozent bedeutet. Ziel des Schlich- tungsverfahrens ist die rasche Einigung zwischen den Beteiligten. Die zu diesem Zweck mit dem Pilotversuch im Jahr 2017 eingeführten Massnahmen und insbesondere das Primat der münd- lichen Schlichtungsverhandlungen haben sich auch im 202 2 bewährt. Die Auswertung der im Berichtsjahr erledigten Schlichtungsanträge ergibt, dass in jenen Fällen, in welchen eine Schlichtungssitzung durchgeführt werden konnte, in 75 Prozent eine ein- vernehmliche Lösung resultierte. Im Januar 202 2 sah sich der Beauf- tragte angesichts der epidemiologi- schen Lage und der in der in diesem Zeitraum noch geltenden Homeoffice- Pflicht veranlasst, auf die Durchführung von Schlichtungssitzungen zu ver- zichten, da diese u. a. aus Gründen des Informationsschutzes nicht per Video- konferenz durchgeführt werden kön- nen. In den elf Schlichtungsverfahren, in welchen pandemiebedingt auf eine Schlichtungssitzung verzichtet werden musste, konnte im schriftlichen Ver- fahren in keinem der Fälle eine Einigung erzielt werden. Wegen dem pandemiebedingt geringeren Anteil an einvernehmlichen Lösungen und höheren Anteil an schriftlich durchgeführten Verfahren kam es auch zu einer längeren Bear- beitungsdauer der Schlichtungsver- fahren und einem damit verbundenen 2.1 Allgemein 62 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Öffentlichkeitsprinzip
Rückstau bei der Erledigung der Ver- fahren. Damit unterstreichen die aus- gewerteten Zahlen, dass die Durch- führung von Schlichtungssitzungen vor Ort mit Anwesenheit der Beteilig- ten für die Erreichung des Ziels der raschen Verfahrenserledigung unver- zichtbar ist. Die Pandemie, die ungebrochen hohe Zahl an Schlichtungsanträgen und die zunehmende Komplexität der Rechtsfragen führten dazu, dass der Beauftragte bei einem ansteigenden Anteil der Verfahren die gesetzliche Erledigungsfrist von 30 Tagen über- schreitet. Der Beauftragte geht davon aus, dass es u. a. dank den vom Parla- ment zusätzlich gesprochenen Ressour- cen gelingen wird, die Bearbeitungs- fristen wieder zu senken (s. Kap. 2.3). Auch in diesem Berichtsjahr mus- sten Bestrebungen festgestellt werden, zusätzliche Teilbereiche der Verwal- tungstätigkeit oder bestimmte Kate- gorien von Dokumenten vom Öffent- lichkeitsgesetz auszunehmen (z. B. Ret- tungsschirm Strombranche, s. Kap. 2. 4). Solche Ausnahmen vom Geltungs- bereich des Öffentlichkeitsgesetzes führen zu einer Schwächung des Öffentlichkeitsprinzips und der damit bezweckten Verwaltungstransparenz. Neu publiziert der Beauftragte im Tätig- keitsbericht eine aktuelle Übersicht über die spezialgesetzlichen Vorbehalte gemäss Art. 4 BGÖ (s. Kap. 2.5). Der Beauftragte stellt fest, dass der mit dem Öffentlichkeitsgesetz erfolgte Paradigmenwechsel vom Gros der Verwaltung vollzogen ist und auch aktiv umgesetzt wird. In der Tat haben die dem Öffentlichkeitsgesetz unter- stellten Bundesbehörden keinen direk- ten Einfluss auf die Zahl, den Umfang und den Erledigungsaufwand der Zugangsgesuche. Für das Berichtsjahr lässt sich eine Tendenz zu vermehrten Gesuchen um Zugang zu Verschrif- tungen der elektronischen Kommuni- kation feststellen. Im Einflussbereich der Verwal- tung und ihrer Öffentlichkeitsberaten- den liegt hingegen die konsequente Anwendung der Bestimmungen des Öffentlichkeitsgesetzes und der ein- schlägigen Rechtsprechung. In der Praxis des Beauftragten zeigt sich, dass Teile der Bundesverwaltung die vom Öffentlichkeitsgesetz zur Verfügung gestellten Möglichkeiten zur Wahrung ihrer Geheimhaltungsinteressen unge- nügend nutzen und es u. a. unterlassen, Zugangsbeschränkungen mit der von der Rechtsprechung verlangten Begrün- dungsdichte geltend zu machen. Der Beauftragte verweist in diesem Zusam- menhang auf seine schriftliche Empfeh- lungspraxis, die auf seiner Webseite integral publiziert ist (www.derbeauf- tragte.ch) und aufzeigt, dass es im Berichtsjahr vereinzelt zu Fällen gekom- men ist, in denen die Verwaltung die Anwendung des Öffentlichkeitsgesetzes verweigerte. So u. a. indem sie dem Beauftragten die vom Gesetz zwingend und ausnahmslos vorgeschriebene Einsicht in Dokumente versagte, welche Gegenstand eines eingereichten Schlich- tungsgesuches waren, was zur Folge hatte, dass er seine Schlichtungstätigkeit nicht wahrnehmen konnte. 63 30. Tätigkeitsbericht 2022/23 Öffentlichkeitsprinzip
Gemäss den Zahlen, die von den Bun- desbehörden gemeldet wurden, gingen im Berichtsjahr 1153 Zugangsgesuche ein (2021 waren es 1385 Gesuche); dies entspricht einem Rückgang von 15 Pro- zent gegenüber 2021. Hinzu kommen 27 im Jahr 202 2 bearbeitete Zugangsge- suche, welche in Vorjahren einge- reicht worden sind. Dabei gewährten die Behörden insgesamt in 62 4 Fällen (53 Prozent) einen vollständigen Zu- gang (gegenüber 694 bzw. 50 Prozent im Jahr 202 1), währenddem bei 236 Ge- suchen (20 Prozent) ein teilweiser res- pektive aufgeschobener Zugang zu den Dokumenten gewährt wurde (Vorjahr: 3 2 4 Gesuche resp. 23 Prozent). In 99 Fäl- len (acht Prozent) wurde die Einsicht- nahme vollständig verweigert (gegen- über 126 bzw. neun Prozent im Jahr 2021). Nach Angaben der Behörden wurden 53 Zugangsgesuche zurück- gezogen (fünf Prozent gegenüber 48 bzw. drei Prozent im Jahr 202 1), 69 Ge- suche waren Ende 2022 noch hängig, und in 99 Fällen war kein amtliches Dokument vorhanden. Es ist davon auszugehen, dass auch in den kommenden Jahren mit einer ähnlich hohen Anzahl Gesuchen wie in den letzten Jahren zu rechnen ist, wenn- gleich sich das während der Corona- pandemie besonders ausgeprägte Informations- und Transparenzbe- dürfnis im Berichtsjahr abgeflacht hat. Die Behörden konnten die Zugangs- gesuche für «Corona-Dokumente» statistisch erfassen und dem Beauftrag- ten zusammen mit den jährlich zu meldenden Angaben übermitteln (s. gelb markierte Statistik Zugangsgesuche zu Corona-Dokumenten). Gemäss Angaben der Bundesbehörden wiesen 93 von den insgesamt 1180 bearbeiteten Zugangsgesuchen (acht Prozent) einen Bezug zu Corona auf, was im Vergleich zum Vorjahr (2 4 Prozent) einen erheb- lichen Rückgang darstellt. Dabei zeigt sich, dass der vollständige Zugang in 29 Fällen (31 Prozent) und damit im Ver- gleich zur Gesamtstatistik weniger oft gewährt wurde. Während die Behörden in 35 Fällen (38 Prozent) und damit in Bezug auf Corona-Dokumente öfter den Zugang teilweise gewährt oder auf- geschoben haben, kann hinsichtlich der vier Fälle der vollständigen Zugangs- verweigerung (vier Prozent) ein um die Hälfte tieferer Anteil im Verhältnis zur Gesamtstatistik festgestellt wer- den. Sieben Zugangsgesuche wurden zurückgezogen, acht Gesuche waren Ende 202 2 noch hängig und in zehn Fällen war kein amtliches Dokument vorhanden. Es ist damit zu rechnen, dass die gesellschaftliche Aufarbeitung der behördlichen Massnahmen zur Bekämpfung der Pandemie andauern und auch noch im Jahre 2023 Zugangs- gesuche und Schlichtungsanträge mit Bezügen zur Pandemie eingehen dürften. Zusammenfassend stellt der Beauf- tragte fest, dass seit 2015 in mindestens 50 Prozent der Fälle ein vollständiger Zugang zu den Dokumenten gewährt wird und sich die vollständigen Zu- gangsverweigerungen im Laufe der Jahre auf knapp zehn Prozent einpen- delten. Departemente und Bundesämter Einzelne Verwaltungseinheiten standen im Jahr 202 2 besonders im Fokus der Medien und der Gesellschaft. Aufgaben- bedingt sahen sich insbesondere – wie aufgrund der Coronapandemie bereits in den Vorjahren – das EDI (198) und auch das VBS (294) und das EDA (164) mit einer grossen Anzahl von einge- gangenen Zugangsgesuchen konfron- tiert. Im Fall des EDI richteten sich departementsübergreifend 38 Prozent der Gesuche auf den Zugang zu amt- lichen Dokumenten mit Corona-Bezug (Vorjahr 63 Prozent). Gemäss den Be- hörden handelte es sich dabei teilweise um sehr umfangreiche und komplexe 2.2 Zugangsgesuche – leichter Rückgang im Jahr 2022 64 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Öffentlichkeitsprinzip
Gesuche. In einer Vielzahl von Fällen war auch eine verwaltungsinterne Koordination zwischen Ämtern oder Departementen notwendig. Auf Stufe Amt zeigen die gemel- deten Zahlen, dass das BASPO mit 2 20 Fällen im Jahr 202 2 am meisten eingegangene Zugangsgesuche mel- dete. Das BAG meldete für das Berichts- jahr 91 eingegangene Gesuche, wovon 57 Zugangsgesuche Dokumente mit einem Bezug zu Corona-Aspekten betrafen. Danach folgen das BAFU mit 61, Swissmedic und das SECO mit je 3 7 Gesuchen. 17 Behörden meldeten, dass im Berichtsjahr bei ihnen kein Zugangsgesuch eingegangen ist. Beim Beauftragten selbst sind 15 Zugangsge- suche eingegangen, wobei er den Zu- gang in neun Fällen vollständig ge- währen konnte. In zwei Fällen hat er den Zugang vollständig verweigert. Ein Gesuch wurde zurückgezogen und drei Zugangsge suche waren Ende 202 2 noch hängig. Der 202 2 für den Zugang zu amt- lichen Dokumenten erhobene Gebüh- renbetrag beläuft sich auf insgesamt CHF 2 4 582.05 und liegt 65 Prozent über der Vorjahressumme (CHF 1 4 92 4.90). Während das EDA, das EFD, das VBS, die Parlamentsdienste, die Bundes- anwaltschaft und die Bundeskanzlei überhaupt keine Gebühren erhoben, verrechneten die übrigen vier Depar- temente den Gesuchstellenden einen Teil ihres Zeitaufwands (EDI: CHF 19 646.50; W BF: CHF 4 185.55; UVEK: CHF 500.00; EJPD: CHF 250.00). Dazu sei vermerkt, dass lediglich bei 29 der 1180 bearbeiteten Zugangsge- suchen eine Gebühr erhoben wurde. Grafik 1: Beurteilung Zugangsgesuche – Entwicklung seit 2009 2010200920112012201320142015201620172018202020212022 1180 (–15 % gegenüber Vorjahr) 624 (–10 %) 236 (–27 %) 99 (–21 %) 53 (+10 %) 2019 0 300 600 900 1200 1500 RückzugZugang teilweise gewährt/aufgeschobenZugang verweigert Total Gesuche Zugang gewährt 65 30. Tätigkeitsbericht 2022/23 Öffentlichkeitsprinzip
Wie in den Vorjahren stellt die Erhebung von Gebühren eine Ausnahme dar: Knapp 98 Prozent der Zugangsgesuche im Berichtsjahr waren gebührenfrei. Die auch im Berichtsjahr gelebte Verwaltungspraxis, wonach amtliche Dokumente grundsätzlich kostenlos eingesehen werden können, wird im Öffentlichkeitsgesetz neu verankert werden: Am 30. September 202 2 hat das Parlament den Grundsatz der Kos- tenlosigkeit des Zugangs zu amtlichen Dokumenten beschlossen. Ausnahms- weise können auch nach dem vom Bundesrat noch zu bestimmenden In- krafttreten der Gesetzesänderung Gebühren erhoben werden, wenn ein Zugangsgesuch eine besonders auf- wändige Bearbeitung durch die Behörde erfordert. Entsprechend wird im Rah- men der Überarbeitung der Öffentlich- keitsverordnung die Anzahl Arbeits- stunden vorzugeben sein, ab welcher für die Bearbeitung eines Gesuchs eine Gebühr erhoben werden kann. Was den Zeitaufwand für die Be- arbeitung von Zugangsgesuchen anbe- langt, weist der Beauftragte darauf hin, dass die Behörden nicht verpfl ichtet sind, diesen zu erfassen, und dass es keine für die gesamte Bundesverwaltung geltenden Vorgaben für eine einheit- liche Erfassung gibt. Die dem Beauf- tragten auf freiwilliger Basis übermittel- ten Angaben widerspiegeln die tat- sächlich geleisteten Arbeitsstunden daher nur bedingt. Gemäss diesen Angaben hat der Zeitaufwand für das 66 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Öffentlichkeitsprinzip
Berichtsjahr mit 5 404 Stunden im Vergleich zum Vorjahr (5562 Stunden) leicht abgenommen. Dass die von den Behörden gemel- deten Aufwände nur bedingt dem tat- sächlichen Zeitaufwand entspricht, lässt sich exemplarisch an den Angaben des BAG erkennen, das in besonderem Mass von Zugangsgesuchen im Zusam- menhang mit der Pandemie betroffen war. Zusätzlich zu den von den zustän- digen Facheinheiten des BAG punk- tuell angegebenen Aufwandzeiten von 4 43 Stunden und der juristischen Unterstützung durch seine Öffentlich- keitsberaterin im Umfang von 40 Stel- lenprozenten, meldete das BAG für die Bearbeitung der Zugangsgesuche im Zusammenhang mit Covid-19 (einschliesslich Schlichtungs- und Beschwerdeverfahren) einen weiter- hin hohen Aufwand, welcher mindes- tens 3.5 Vollzeitstellen (Full Time Equi- valent) betragen haben soll. Eine Zunahme ist auch beim ge- meldeten Zeitaufwand für die Vorbe- reitung von Schlichtungsverfahren auszumachen: 1006 Stunden gegen- über 865 Stunden im Vorjahr (vgl. dazu im Jahr 2020: 569 Stunden; 2019: 473 Stunden; 2018: 672 Stunden und 2017: 91 4 Stunden). Parlamentsdienste Gemäss Angabe der Parlamentsdienste ist bei ihnen im Berichtsjahr kein Zu- gangsgesuch eingegangen. Bundesanwaltschaft Die Bundesanwaltschaft meldete für 202 2 den Eingang von sechs Gesu- chen. In fünf Fällen wurde der Zugang vollumfänglich gewährt und in einem Fall vollständig verweigert. Grafik 2: Erhobene Gebühren seit Inkrafttreten des BGÖ 0 102009111213141516171820 212022 19 5000 10000 15000 20000 CHF 25000 24 582 (+65 % gegenüber Vorjahr) 67 30. Tätigkeitsbericht 2022/23 Öffentlichkeitsprinzip
Im Jahr 202 2 wurden beim Beauftragten 129 Schlichtungsanträge eingereicht. Verglichen mit den 2021 eingegangenen 1 49 Anträgen entspricht dies einem Rückgang um 13 Prozent. Die meisten Schlichtungsanträge wurden von Medienschaffenden (47) und Privatper- sonen (37) eingereicht. In den 43 4 Fällen, in denen die Bundesverwaltung den Zugang vollständig oder teilweise ver- weigerte, beziehungsweise aufschob oder vorbrachte, dass keine amtlichen Dokumente vorhanden sind, kam es 129 Mal bzw. in 30 Prozent der Fälle zur Einreichung eines Schlichtungsantrags. Davon betrafen 13 Anträge (neun Pro- zent) amtliche Dokumente mit einem Bezug zu Corona. 202 2 konnten 115 Schlichtungsan- träge erledigt werden. Davon waren 93 im Berichtsjahr und 2 2 im Vorjahr ein- gegangen. In 50 Fällen konnten sich die Beteiligten auf eine Konsenslösung einigen. Ausserdem erliess der Beauf- tragte 31 Empfehlungen, durch welche 48 Fälle erledigt werden konnten, in denen eine einvernehmliche Lösung zwischen den Parteien nicht ersicht- lich war. Zu den abgeschlossenen Fällen zu zählen sind auch 13 Anträge, die nicht fristgerecht eingereicht wurden, drei Fälle, in denen die Voraussetzungen für die Anwendung des Öffentlichkeits- gesetzes nicht gegeben waren, sowie ein Schlichtungsantrag, der zurückge- zogen wurde. Per Ende Jahr war in 13 Schlichtungs- verfahren im Einvernehmen mit den Beteiligten resp. auf Wunsch der Antrag- stellenden hin eine Sistierung erfolgt. Anteil einvernehmlicher Lösungen Zu den vielen Vorteilen der einver- nehmlichen Lösungen gehört u. a. auch, dass sie eine Klärung der Sach- lage und eine Beschleunigung des Zugangsverfahrens ermöglichen und zudem die allfällige zukünftige Zusam- menarbeit zwischen den an der Schlich- tungssitzung Beteiligten erleichtern. Wie wirksam sich die 2017 einge- führten Massnahmen und die Durch- führung von mündlichen Schlich- tungssitzungen erwiesen haben, lässt sich am Anteil der einvernehmlichen Lösungen im Verhältnis zu den Emp- fehlungen ablesen. Im Berichtsjahr konnten 50 einvernehmliche Lösungen erzielt werden, und der Beauftragte gab 31 schriftliche Empfehlungen zur Lösung von 48 Fällen ab. Die einver- nehmlichen Lösungen machen somit 2.3 Schlichtungsverfahren – leichter Rückgang der Schlichtungsanträge Grafik 3: Schlichtungsanträge seit Inkrafttreten des BGÖ 0 10200921202211121314151617182019 150 120 90 60 30 129 (–13 % gegenüber Vorjahr) 68 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Öffentlichkeitsprinzip
129 (–13 % gegenüber Vorjahr) einen Anteil von 51 Prozent aus. Hierzu bedarf es allerdings einiger Erläute- rungen: Eine einvernehmliche Lösung kann in aller Regel nur dann erreicht werden, wenn eine Schlichtungsver- handlung durchgeführt werden kann. So konnte im Berichtsjahr in den 43 durchgeführten Schlichtungsver- handlungen in 32 Fällen ( 75 Prozent) eine Einigung erzielt werden. Wie in Kapitel 2.1 bereits erwähnt, haben die zur Eindämmung des Coronavirus in Kraft gesetzten Massnahmen dazu geführt, dass im Zeitraum zwischen 20. Dezember 2021 1 und 3. Februar 2022 2 und damit in 11 Fällen auf die Durchführung von Schlichtungssit- zungen mit physischer Anwesenheit 1 Art. 20 der Covid-19-Verordnung besondere Lage; BRB vom 1 7.1 2 .202 2 . 2 Art. 25 Abs. 5 der Covid-19-Verordnung beson- dere Lage; BRB vom 2 .2 .202 2; Massnahmen und Verordnungen (admin.ch). der Beteiligten verzichtet werden musste. In keinem der in diesem Zeit- raum schriftlich durchgeführten Ver- fahren konnte eine Einigung erzielt werden, was sich in der Statistik ent- sprechend negativ auswirkt. Im Ergebnis führt das Ausgeführte zur Feststellung, dass mündliche Schlichtungsverhandlungen zur Errei- chung der gesetzgeberischen Ziele unverzichtbar und für alle Verfahrens- beteiligten vorteilhaft sind. Der Beauf- tragte wird diese Vorgehensweise gegenüber den schriftlichen Verfahren weiterhin bevorzugen und fördern. Tabelle 1: Einvernehmliche Lösungen 2022 (Corona- Einfluss) 51 % 2021 (Corona- Einfluss) 44% 2020 (Corona- Einfluss) 34% 201961 % 201855% Dauer der Schlichtungs- verfahren Nachstehende Tabelle ist in drei von der Verfahrensdauer abhängige Spalten aufgeteilt. Präzisierend ist festzuhalten, dass der Zeitraum, während dem ein Schlichtungsverfahren auf Antrag resp. mit Einverständnis der Beteiligten sistiert ist, nicht zur Behandlungsdauer gezählt wird. Eine Sistierung erfolgt insbesondere dann, wenn die Verwal- tung nach der Schlichtungssitzung ihre Position überprüfen möchte, oder wenn sie betroffene Dritte anhören muss. Wird die Schlichtungssitzung auf Antrag einer beteiligten Partei verschoben (bspw. aufgrund von Ferien- abwesenheit oder Krankheit), wird die Zeitspanne zwischen dem ursprünglich vorgesehenen Termin und dem neu angesetzten Termin bzw. die daraus resultierende Verfahrensverlängerung ebenfalls nicht zur Bearbeitungsdauer gezählt. 69 30. Tätigkeitsbericht 2022/23 Öffentlichkeitsprinzip
Aus der Tabelle wird ersichtlich, dass – teilweise noch pandemiebedingt – nur 25 Prozent der im Jahr 202 2 ab geschlos- senen Schlichtungsverfahren inner- halb der ordentlichen Frist von 30 Tagen abgearbeitet wurden. In 42 Prozent der Fälle dauerte das Schlichtungsver- fahren zwischen 31 und 99 Tagen und in 33 Prozent gar länger als 100 Tage. Hierzu ist anzumerken, dass von den 29 innerhalb der Frist von 30 Tagen abgearbeiteten Schlichtungsanträgen das Schlichtungsverfahren nur in 17 Fäl- len (59 Prozent) durch eine Einigung oder Empfehlung erledigt wurde und dementsprechend eine materielle Auseinandersetzung mit dem Schlich- tungsgegenstand stattgefunden hat. In den anderen 12 Fällen (41 Prozent) resultierte keine materielle Beurteilung in der Sache; es handelte sich dabei insbesondere um Fälle, welche offen- sichtlich nicht in den Geltungsbereich des Öffentlichkeitsgesetzes fielen oder in welchen die formellen Vorausset- zungen für die Eröffnung eines Schlich- tungsverfahrens nicht gegeben waren. Wie vorne dargelegt, führte die Pandemie auch im Berichtsjahr zu einer verlängerten Verfahrensdauer und damit zu einem weiteren Anwachsen der Bearbeitungsrückstände. Hinzu kommt, dass die Anzahl der eingehenden Schlichtungsanträge Schwankungen ausgesetzt ist. Während beispielswiese im März (21) und im August (27) sehr viele Anträge beim Beauftragten ein- gegangen sind, gingen im Juni nur drei und im November gar keine Anträge ein. Die Vorgabe der gesetzlichen Frist von 30 Tagen für die Durchführung von Schlichtungsverfahren konnte in den Vorjahren regelmässig eingehal- ten werden, wenn die Schlichtungs- sitzungen erfolgreich mit einer Eini- gung abgeschlossen werden konnten. Für das Berichtsjahr gilt dies nicht mehr: im Falle der Erledigung des Ver- fahrens durch eine Einigung konnte die 30-tägige Frist nur noch in 28 Pro- zent der Fälle eingehalten werden (gegenüber 60 Prozent im Vorjahr). Hatte der Beauftragte mangels ein- vernehmlicher Lösung eine Empfehlung auszusprechen, konnte er den Betei- ligten die schriftliche Empfehlung sogar nur in drei Fällen (sechs Prozent) innert 30 Tagen nach Eingang des Antrags und damit innert gesetzlicher Frist zustellen. Häufige Gründe für eine Frist- überschreitung waren ausserdem ausser- ordentlich umfangreiche Zugangs- begehren, eine grosse Zahl der am Ver- fahren beteiligten Drittpersonen oder die juristische, technische oder politi- sche Komplexität der Fragestellungen. Diese Gründe treffen auch auf jene 38 Fälle zu, deren Bearbeitung mehr als 100 Tage in Anspruch nahm. Auch wurde die Einhaltung der Fristen auf- grund der Fülle an Dokumenten oder der Vielzahl betroffener Personen zusätz- lich erschwert. Weil die Bearbeitung in solchen Fällen besonders aufwändig ist, steht es dem Beauftragten gemäss Artikel 12a der Verordnung über das Öffentlichkeitsprinzip der Verwaltung (VBGÖ; SR 152.31) frei, die ordentliche Frist angemessen zu verlängern. Der Gesetzgeber hat das Schlich- tungsverfahren als ein informelles und unpräjudizielles Verfahren zur gütli- chen Streitbeilegung ausgestaltet. Die Erfahrung zeigt, dass der Beizug von Rechtsvertretungen durch Gesuch- stellende oder angehörte Drittbetrof- fene bereits im Stadium des Zugangs- und Schlichtungsverfahrens einer einfachen, pragmatischen und raschen Lösungsfindung wenig förderlich ist. Tabelle 2: Bearbeitungsdauer Schlichtungsverfahren Bearbeitungsdauer in Tagen Zeitraum 2014 – August 2016* Pilotphase 2017 Zeitraum 2018 Zeitraum 2019 Zeitraum 2020 Zeitraum 2021 Zeitraum 2022 innert 30 Tagen11 %59%50%57 %43%42 %25% zwischen 31 und 99 Tagen45%37 %50%38%30%51 %42 % mehr als 100 Tage44%4%0%5%27 %7%33%
Anzahl hängiger Fälle Die unten aufgeführten Angaben geben Auskunft über die Anzahl der Fälle, die am Ende der jeweiligen Berichtsjahre hängig waren. Anfang Januar 2023 waren 41 Schlichtungs- verfahren hängig, wovon 13 sistiert sind ( je eines aus den Jahren 2019 und 2020, drei aus dem Jahr 2021 und acht aus dem Berichtsjahr). 16 Fälle konnten bis zum Redaktionsschluss dieses Berichts abgeschlossen werden. Tabelle 3: Hängige Schlichtungs- verfahren Ende 202241 (davon 16 bis zum Redaktionsschluss erledigt und 13 sistiert) Ende 202127 (davon 14 bis zum Redaktionsschluss erledigt und 8 sistiert) Ende 202017 (davon 9 bis zum Redaktionsschluss erledigt und 8 sistiert) Ende 201943 (davon 40 bis zum Redaktionsschluss erledigt und 3 sistiert) Ende 201815 (davon 13 im Februar 2019 erledigt und 2 sis- tiert) 71 30. Tätigkeitsbericht 2022/23 Öffentlichkeitsprinzip
CYBERSICHERHEIT Änderung des Informations- sicherheitsgesetzes (ISG) Das vom EFD eröffnete Vernehmlas- sungsverfahren betrifft den Gesetzes- entwurf zur Änderung des Informations- sicherheitsgesetzes im Hinblick auf die Einführung einer Meldepflicht für Cyberangriffe auf kritische Infrastruk- turen. Diese Änderung sieht Einschrän- kungen des Öffentlichkeitsprinzips vor. Vor dem Hintergrund der sich häufen- den Cybervorfälle bei Privatpersonen, in Unternehmen und auch bei Behörden beauftragte der Bundesrat das EFD mit der Erarbeitung von Rechtsgrundlagen für die Einführung einer Meldepflicht für Cyberangriffe auf kritische Infrastruk- turen. Dank dieser Meldepflicht soll sich das Nationale Zentrum für Cyber- sicherheit (NCSC) einen besseren Überblick über Cyberattacken in der Schweiz verschaffen und somit die betroffenen Opfer bei der Bewältigung von Cyberangriffen unterstützen sowie andere Betreiber kritischer Infra- strukturen warnen können. Das ISG soll nicht nur die Meldepflicht für Cyber- angriffe definieren, sondern auch die Aufgaben des NCSC regeln und dessen Funktion als zentrale Meldestelle etablieren. 1 1 Abgeschlossene Vernehmlassungen – 202 2 (admin.ch) Der vom EFD erarbeitete Entwurf wurde den mitinteressierten Kreisen zur Vernehmlassung vorgelegt. Eine Minderheit der Angehörten (laut Anga- ben des EFD 6 von 102) verlangte, dass Meldungen an das NCSC vom Öffent- lichkeitsgesetz ausgenommen werden sollen. Diesem Anliegen wurde statt- gegeben: Im ISG wurde mit Art. 4 Abs. 1 bis eine Spezialbestimmung nach Art. 4 BGÖ eingeführt, wonach Infor- mationen Dritter, von denen das NCSC durch die Entgegennahme und Analyse von Meldungen Kenntnis erhält, nicht nach dem Öffentlichkeitsgesetz zugäng- lich gemacht werden dürfen. Der EDÖB kann zwar nachvoll- ziehen, dass die Meldungen und ihre Bearbeitung für die Sicherheit der Schweiz eine grosse Bedeutung haben, doch er hält die Einführung dieser neuen Spezialbestimmung für unver- hältnismässig und lehnte sie deshalb ab. Sie stellt eine Beeinträchtigung des Öffentlichkeitsprinzips dar, weil sie Bürgerinnen und Bürger am Zugang zu Informationen hindert, die in unmittel- barem Zusammenhang mit der Durch- führung einer Kernaufgabe des NCSC stehen, und ihnen damit die vom Gesetz- geber gewollte Kontrolle in einem Bereich entzieht, der für die Öffent- lichkeit von wesentlicher Bedeutung ist. Aus Sicht des EDÖB enthält das Öffentlichkeitsgesetz bereits eine Reihe von Ausnahmen (z. B. Art. 7 Abs. 1 lit. c BGÖ zum Schutz der inneren oder äusseren Sicherheit der Schweiz, Art. 7 Abs. 1 lit. g BGÖ zum Schutz von Geschäftsgeheimnissen oder auch Art. 7.2 BGÖ zum Schutz der Privatsphäre), die den Schutz diverser Interessen aus- reichend gewährleisten. Sodann sieht der EDÖB keinen Grund, weshalb der Vollzug des Öffentlichkeitsgesetzes das NCSC in seiner Aufgabe als zentrale Meldestelle behindern könnte. Er beantragte deshalb den Rückzug der Spezialbestimmung. 2.4 Gesetzgebungsverfahren 72 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Öffentlichkeitsprinzip
Das EFD kam der Forderung des EDÖB nur teilweise nach, indem es den Geltungsbereich der Ausnahme reduzierte. Art. 4 Abs. 1bis lautet nun- mehr wie folgt: «Informationen Dritter, von denen das Nationale Zentrum für Cybersicherheit (NCSC) durch die Ent- gegennahme und Analyse von Mel- dungen gemäss dem 5. Kapitel Kenntnis erhält, dürfen nicht nach dem BGÖ zugänglich gemacht werden. Nicht als Dritte gelten Behörden, Organisationen und Personen nach Art. 2 Abs. 1 BGÖ». Diese Präzisierung hält der EDÖB zwar für begrüssenswert, doch die Diver- genz wurde aus den bereits angeführten Gründen aufrechterhalten und befin- det sich sowohl in der Botschaft als auch in der Vorlage an den Bundesrat. STROMBRANCHE Vorentwurf des Bundesgesetzes über einen Rettungsschirm für die Elektrizitäts- wirtschaft Die von den systemkritischen Unter- nehmen der Elektrizitätswirtschaft im Zusammenhang mit der Bereitstellung der Finanzhilfen zur Verfügung gestellten Informationen sind vom Zugangsrecht nach dem Öffentlichkeitsgesetz ausge- schlossen. Der Beauftragte hatte sich im Gesetzgebungsverfahren erfolglos gegen diese Einschränkung des Öffent- lichkeitsprinzips ausgesprochen. Der sogenannte Rettungsschirm für die Strombranche ist im Bundesgesetz über subsidiäre Finanzhilfen zur Ret- tung systemkritischer Unternehmen der Elektrizitätswirtschaft (FiREG) verankert und soll dazu beitragen, die Stromversorgung in der Schweiz zu gewährleisten, indem es insbesondere Finanzhilfen für systemkritische Unter- nehmen der Elektrizitätswirtschaft regelt. Nach dessen Art. 20 Abs. 4 ist der Zugang nach dem Öffentlichkeits- gesetz zu den von den systemkritischen Unternehmen zur Verfügung gestellten Informationen und Daten ausgeschlos- sen. In der Botschaft wird dazu aus- drücklich festgehalten, dass es sich bei der erwähnten Bestimmung um eine Spezialbestimmung im Sinne von Art. 4 Bst. a BGÖ handelt. Nach Art. 4 BGÖ sind Bestim- mungen anderer Bundesgesetze vorbe- halten, die bestimmte Informationen als geheim bezeichnen (Bst. a) oder vom Öffentlichkeitsgesetz abweichende Voraussetzungen für den Zugang zu bestimmten Informationen vorsehen (Bst. b), was zur Folge hat, dass die Bestimmungen des Öffentlichkeitsge- setzes für den Zugang zu diesen Infor- mationen nicht anwendbar sind. Jede Einführung solcher Vorbehalte führt zu einer Schwächung des Öffentlich- keitsprinzips und der damit bezweckten Verwaltungstransparenz. Da die Verwaltung den Beauftrag- ten in der Ämterkonsultation nicht begrüsste, hat er sich erst im Rahmen des Mitberichtsverfahrens und der Vernehmlassung gegen die Einführung dieser Spezialbestimmung ausgespro- chen und dabei auf die mit dem Öffent- lichkeitsgesetz verfolgten Ziele des Nachvollzugs des Verwaltungshandeln und der Verhinderung von Misswirt- schaft im Zusammenhang mit der Gewährung staatlicher Kredite und Sub- ventionen zum Nachteil der steuer- zahlenden Allgemeinheit hingewiesen. Das UVEK begründet die Ein- schränkung des Öffentlichkeitsprinzips damit, dass die zur Verfügung gestell- ten Informationen und Daten sensibler Natur seien und regelmässig Geschäfts- oder Fabrikationsgeheimnisse im Sinne des Öffentlichkeitsgesetzes ent- halten dürften. Der Beauftragte hat im Vernehmlassungsverfahren vergeblich aufgezeigt, dass die berechtigten priva- ten Interessen auch bei Anwendbarkeit 73 30. Tätigkeitsbericht 2022/23 Öffentlichkeitsprinzip
des Öffentlichkeitsgesetzes geschützt bleiben. So gewährleistet es explizit den Schutz von Geschäftsgeheimnissen (Art. 7 Abs. 1 Bst. g BGÖ) und der Privat- sphäre sowie der Personendaten von natürlichen und juristischen Personen (Art. 7 Abs. 2 BGÖ, Art. 9 Abs. 2 BGÖ sowie Art. 19 DSG). Der Beauftragte gab schliesslich zu bedenken, dass das Öffentlichkeitsgesetz in seiner Subs- tanz ausgehöhlt wird, wenn der Bevöl- kerung der Zugang zu Dokumenten ausgerechnet beim sensiblen Vollzug von Finanzhilfen verwehrt wird, wie es bereits im Falle des Covid-19-Solidar- bürgschaftsgesetzes geschah (s. 28. TB, Kap. 2. 4). Anfang September 202 2 hat der Bundesrat entschieden, gestützt auf eine Notverordnung den Rettungs- schirm zu aktivieren und der Axpo einen Kreditrahmen im Umfang von 4 Milliar- den Franken zur Verfügung zu stellen. Entsprechend dem Gesetzesentwurf des FiREG schloss die Notverordnung den Zugang nach dem Öffentlichkeits- gesetz zu den von den systemkriti- schen Unternehmen zur Verfügung gestellten Informationen und Daten aus. Das Parlament hat Ende September 202 2 das FiREG, inklusive der Aus- nahme des Öffentlichkeitsgesetzes, verabschiedet. ARCHIVIERUNGSGESETZ Notwendigkeit einer Revision des Bundesgesetzes über die Archivierung Die Koordination von Archivierungs- gesetz und Öffentlichkeitsgesetz und damit verbunden die Frage, welches Recht bei Einsicht in archivierte Doku- mente nach dem Öffentlichkeitsgesetz während der Schutzfrist anzuwenden ist, soll durch eine Anpassung der Archi- vierungsverordnung geklärt werden. Nach Ansicht des Beauftragten lassen sich diese Aspekte durch eine Teilrevi- sion der Archivierungsverordnung nicht rechtsverbindlich klären. Das Archivierungsgesetz (BGA) und das Öffentlichkeitsgesetz regeln zwei verschiedene Verfahren für den Zugang zu amtlicher Information, welche in wesentlichen Aspekten unterschiedlich ausgestaltet sind. Das auf den 1. Oktober 1999 in Kraft getretene Archivierungs- gesetz kennt weitreichende Schutz- fristen, welche nicht zuletzt Ausdruck des damals in der Bundesverwaltung geltenden Geheimhaltungsprinzips sind. Nur wenige Jahre später hat sich der Gesetzgeber mit dem Paradigmen- wechsel hin zum Öffentlichkeitsprinzip (passive Information, d. h. Zugang auf Gesuch hin) befasst, ohne sich aus- drücklich zum Umgang mit amtlichen Dokumenten nach dem Öffentlich- keitsgesetz nach dem Zeitpunkt ihrer Archivierung zu äussern, weswegen sowohl für die materielle wie auch für die formelle Koordination von Archi- vierungsgesetz und Öffentlichkeitsge- setz keine verbindlichen Vorgaben existieren. Daraus resultiert für die Beur- teilung der Frage, ob und in welchem Umfang bei der Einsicht in archivierte amtliche Dokumente nach dem Öffent- lichkeitsgesetz während der Schutzfrist das Öffentlichkeitsgesetz und/oder das Archivierungsgesetz anzuwenden ist, eine erhebliche Rechtsunsicherheit, welche die rechtsanwendenden Behör- den und Private gleichermassen betrifft. Eine im Auftrag des Bundesarchivs durchgeführte Evaluation identifiziert im entsprechenden Schlussbericht 74 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Öffentlichkeitsprinzip
Handlungsbedarf in neun Stossrich- tungen und sieht entsprechende Emp- fehlungen vor. Im Zusammenhang mit der Koordination von Archivie- rungsgesetz und Öffentlichkeitsgesetz wird unter anderem die Empfehlung abgegeben, dass der Gesetzgeber explizit festlegt, welches Recht bei Einsicht in archivierte amtliche Dokumente nach dem Öffentlichkeitsgesetz während der Schutzfrist anzuwenden ist. Nach Einschätzung des Bundes- archivs kann die Umsetzung der Emp- fehlungen aus dem Bericht zur Evalua- tion des BGA – und damit auch die Koordination von Archivierungsgesetz und Öffentlichkeitsgesetz – jedoch durch entsprechende Handhabung in der Archivierungspraxis sowie einer Anpassung der Archivierungsverord- nung durch den Bundesrat erfolgen. Das Bundesarchiv erachtet daher eine Revision des Archivierungsgesetzes durch den Gesetzgeber als nicht nötig. Nach Ansicht des Beauftragten liegt die zentrale Problematik in der fehlen- den gesetzlichen Koordination von Archivierungsgesetz und Öffentlich- keitsgesetz bzw. der entsprechenden Verfahren für den Zugang zu amtlicher Information, welche teilweise bedeu- tende Unterschiede aufweisen. Die Anzahl archivierter Dossiers mit amt- lichen Dokumenten nach dem Öffent- lichkeitsgesetz wird zukünftig anstei- gen, wodurch auch von einem markan- ten Anstieg zu beurteilender Gesuche auszugehen ist. Ohne Klärung der sich stellenden Koordinationsfragen auf der Stufe des formellen Gesetzes drohen sich die rechtsanwendenden Behörden und somit auch der Beauftragte durch die (Nicht-)Anwendung des Archivie- rungsgesetzes oder Öffentlichkeits- gesetz im Einzelfall dem Vorwurf aus- zusetzen, den im Archivierungsgesetz (mit weitreichenden Schutzfristen) resp. im Öffentlichkeitsgesetz (Verwal- tungsöffentlichkeit) zum Ausdruck gebrachten gesetzgeberischen Willen zu übersteuern. Im Ergebnis hat der Beauftragte im Rahmen der Ämter- konsultation zum Aussprachepapier betreffend die Notwendigkeit einer Revision des Archivierungsgesetzes seine Ansicht geäussert, dass der Koor- dination von Archivierungsgesetz und Öffentlichkeitsgesetz aufgrund der damit zusammenhängenden weit- reichenden Konsequenzen eine erheb- liche Bedeutung zukommt und einer Legitimation durch den Gesetzgeber bedarf. Folglich erachtet er die vorge- sehene Normstufe der Bundesratsver- ordnung für die Regelung der Koor- dination als ungenügend. 75 30. Tätigkeitsbericht 2022/23 Öffentlichkeitsprinzip
FINANZEN Inkraftsetzung Geldwäsche- reigesetz und Geldwäscherei- verordnung Das Zentralamt für Edelmetallkontrolle ZEMK wird im Bereich der von der FINMA übertragenen Aufsichtstätigkeit vom persönlichen Geltungsbereich des Öffent- lichkeitsgesetzes ausgenommen. Der Beauftragte wehrte sich erfolglos gegen diese weitere Zurückdrängung des Öffentlichkeitsprinzips. Das Eidgenössische Zentralamt für Edelmetallkontrolle ZEMK ist dem Bundesamt für Zoll und Grenzsicher- heit angegliedert und besorgt alle Geschäfte, welche die Überwachung des Verkehrs mit Edelmetallen und Edelmetallwaren mit sich bringt. In diesem Bereich übernimmt das ZEMK gemäss der 2021 verabschiedeten Revi- sion des Geldwäschereigesetzes die Aufgabe einer Geldwäschereiaufsichts- behörde von der Eidgenössischen Finanzmarktaufsicht FINMA bzw. von den Selbstregulierungsorganisationen SRO. Im Rahmen der Revision der Geld- wäschereiverordnung wird die Auf- sichtstätigkeit des ZEMK im Bereich der mit Bankedelmetallen handelnden Handelsprüfer gestützt auf die Bestim- mung von Art. 2 Abs. 2 BGÖ resp. den darauf gestützten Artikel 1a der Öffent- lichkeitsverordnung vom persönlichen Geltungsbereich des Öffentlichkeits- gesetzes ausgenommen. Das für die Änderung der Geldwäschereiverordnung zuständige Staatssekretariat für inter- nationale Finanzfragen SIF begründete dies damit, dass für die bis anhin von der FINMA/den SRO resp. neu vom ZEMK Beaufsichtigten weitgehend die gleichen Regeln wie bisher gelten sollen. In Art. 2 Abs. 2 BGÖ hat der Gesetz- geber die Schweizerische Nationalbank SNB und die FINMA vom persönlichen Geltungsbereich des Öffentlichkeits- gesetzes ausgenommen. Hingegen hat er im Rahmen der Revision der Geld- wäschereigesetzgebung und in Kenntnis des Öffentlichkeitsprinzips darauf ver- zichtet, das ZEMK resp. dessen neu von der FINMA übernommenen Aufsichts- aufgaben vom persönlichen Geltungs- bereich des Öffentlichkeitsgesetzes auszunehmen. Der Gesetzgeber hat damit die Aufsichtstätigkeit des ZEMK dem grundsätzlich für die Bun- desverwaltung geltenden Transparenz- prinzip unterstellt. Folglich besteht nach Ansicht des Beauftragten gerade kein gesetzgeberischer Wille, den persönlichen Geltungsbereich des Öffentlichkeitsgesetzes entsprechend einzuschränken. Der Beauftragte hat das SIF zudem darauf hingewiesen, dass der Wort- laut von Art. 2 Abs. 2 BGÖ klar ist und unmissverständlich (nur) die FINMA und die SNB vom persönlichen Gel- tungsbereich des Öffentlichkeitsge- setzes ausnimmt und auch die entspre- chenden Materialien keine Hinweise enthalten, wonach diese Bestimmung in der Öffentlichkeitsverordnung ergänzt werden kann. Für die Ausnahme der Aufsichtstätigkeit des ZEMK vom persönlichen Geltungsbereich des Öffentlichkeitsgesetzes durch Schaffung einer entsprechenden Verordnungs- bestimmung stellt Art. 2 Abs. 2 BGÖ nach Ansicht des Beauftragten keine genügende resp. geeignete Rechts- grundlage dar. 76 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Öffentlichkeitsprinzip
TABAKPRODUKTEGESETZ Teilrevision des Bundes- gesetzes über Tabakprodukte und elektronische Zigaretten (TabPG) Im dritten Quartal 2022 schickte der Bundesrat eine Vorlage zur Teilrevision des Tabakproduktegesetzes (TabPG) in die Vernehmlassung. Der Entwurf sieht unter anderem vor, dass die von der Tabakbranche an das BAG gemeldeten Werbeausgaben nicht dem Öffentlich- keitsprinzip unterliegen sollen. Der EDÖB sprach sich erfolglos dagegen aus. Am 1. Oktober 2021 verabschiedete das Parlament das neue Gesetz über Tabak- produkte und elektronische Zigaretten (TabPG). Nachdem die Volksinitiative «Ja zum Schutz der Kinder und Jugend- lichen vor Tabakwerbung (Kinder und Jugendliche ohne Tabakwerbung)» am 13. Februar 202 2 angenommen wurde, erarbeitete das BAG Bestimmungen zur Einführung zusätzlicher Einschrän- kungen betreffend Werbung, Ver- kaufsförderung und Sponsoring für Tabakprodukte und elektronische Zigaretten. Gemäss Vorlage sollen entsprechende Ausgaben, die dem BAG von den Tabakfirmen individuell gemeldet werden, vom Öffentlichkeits- prinzip ausgenommen werden. Dies mit der Begründung, es gehe hierbei um den Schutz privatrechtlicher Inte- ressen der betreffenden Firmen und insbesondere um den Schutz des Geschäftsgeheimnisses. Während der Ämterkonsultation sprach sich der EDÖB gegen die Ein- führung dieser Ausnahme aus und bezeichnete sie als überflüssig, weil das BGÖ bereits eine Ausnahmebestim- mung zum Schutz von «Berufs-, Geschäfts- oder Fabrikationsgeheim- nissen» enthält (Art. 7 Abs. 1 lit. g). Seiner Auffassung nach werden die Einzelinteressen der betreffenden Firmen durch das BGÖ bereits ausrei- chend wahrgenommen und geschützt, zumal das Hauptziel des TabPG in der Bekämpfung des Tabakmissbrauchs besteht und das öffentliche Interesse an der Transparenz in diesem Zusam- menhang einen hohen Stellenwert besitzt. In der Vernehmlassungsvorlage des Bundesrates blieb die betreffende Differenz bestehen. Die Botschaft dürfte dem Parlament im ersten Halb- jahr 2023 vorgelegt werden. WIRTSCHAFT Neues Bundesgesetz für die Prüfung ausländischer Investitionen Das Staatssekretariat für Wirtschaft (SECO) hat im zweiten Quartal des Jahres 2022 eine Vernehmlassung für die Einführung des Investitionsprü- fungsgesetzes (IPG) durchgeführt. Die zunächst vorgesehene Einschränkung des Öffentlichkeitsprinzips wurde in der Vernehmlassungsvorlage gestrichen. In Umsetzung der Motion 18.3021 Rieder eröffnete der Bundesrat am 18. Mai 202 2 die Vernehmlassung für das neue IPG. Das Ziel der Investitions- prüfung soll die Verhinderung einer Gefährdung oder Bedrohung der öffent- lichen Ordnung oder Sicherheit durch Übernahmen von inländischen Unter- nehmen durch ausländische Investoren sein. Verantwortlich für die Durchfüh- rung der Investitionsprüfung sowie 77 30. Tätigkeitsbericht 2022/23 Öffentlichkeitsprinzip
78 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Öffentlichkeitsprinzip
die Koordination mit den mitinteres- sierten Verwaltungseinheiten, soll das SECO sein. Der ursprüngliche Vorent- wurf des SECO sah vor, dass die ihm im Rahmen seiner Investitionsprüf- tätigkeit mitgeteilten Informationen und eingereichten Unterlagen nicht öffentlich zugänglich sind. Beabsichtigt war ein umfassender Vorbehalt der Anwendbarkeit des Öffentlichkeits- gesetzes, welcher mit der Bearbeitung heikler Daten, wie etwa Geschäfts- geheimnissen oder vom Nachrichten- dienst des Bundes (NDB) zur Verfügung gestellten Informationen, begründet wurde. In einer Vorkonsultation hat sich der Beauftragte gegen die Einführung dieses Vorbehaltes ausgesprochen und auf das bedeutende öffentliche Interesse an der Umsetzung der Investitions- prüfung durch das SECO hingewiesen. Für den Schutz möglicher Geschäfts- geheimnisse der Investoren und von Informationen, welche vom NDB zu Verfügung gestellt werden, sind im Öffentlichkeitsgesetz bereits explizite Zugangsausnahmen vorgesehen (Art. 7 Abs. 1 Bst. g BGÖ und Art. 4 BGÖ i. V. m. Art. 67 NDG). Zudem sind im Einzelfall tangierte öffentliche Interessen bereits geschützt, insbe- sondere die zielkonforme Durchführung konkreter behördlicher Massnahmen (Art. 7 Abs. 1 Bst. b BGÖ), die wirtschafts-, geld- und währungspolitischen Inter- essen der Schweiz (Art. 7 Abs. 1 Bst. f BGÖ) sowie die behördliche Meinungs- bildung bei anstehenden Entscheiden (Art. 8 Abs. 2 BGÖ). In der Vernehm- lassungsvorlage wurde die beabsichtigte Einschränkung gestrichen. 79 30. Tätigkeitsbericht 2022/23 Öffentlichkeitsprinzip
2.5 Spezialgesetzliche Vorbehalte nach Art. 4 BGÖ Das Öffentlichkeitsgesetz bedarf der Koordination mit Bestimmungen in Spezialgesetzen des Bundes, welche eine Sonderregelung für den Zugang zu amtlichen Dokumenten vorsehen. Nach Art. 4 BGÖ sind Bestimmungen anderer Bundesgesetze vorbehalten, die bestimmte Informationen als geheim bezeichnen (Bst. a) oder vom Öffentlichkeitsgesetz abweichende Voraussetzungen für den Zugang zu bestimmten Informationen vorsehen (Bst. b), was zur Folge hat, dass die Bestimmungen des Öffentlichkeits- gesetzes für den Zugang zu diesen Informationen nicht anwendbar sind. Tabelle 4: Spezialbestimmungen nach Art. 4 BGÖ Erlass (Kurzform) und AbkürzungSR-Nr.Art./Abs.Inkraftsetzung am: Botschaft zur Änderung des Bundes- gesetzes über die Krankenversicherung (Massnahmen zur Kostendämpfung – Paket 2) 832.10E-Art. 52e VE-KVG Botschaft vom 7. September 2022 Stand: Im Parlament noch nicht behandelt Informationssicherheitsgesetz (ISG)128Art. 4 Abs. 1 bis(geplant per) 1. Januar 2024 Verordnung über zusätzliche Liquidi- tätshilfe-Darlehen und die Gewährung von Ausfallgarantien des Bundes für Liquiditätshilfe-Darlehen der Schweizerischen Nationalbank an systemrelevante Banken 952.3Art. 6 Abs. 316. März 2023 Bundesgesetz über Subsidiäre Finanz- hilfen zur Rettung systemkritischer Unternehmen der Elektrizitätswirt- schaft (FiREG) 734.91Art. 20 Abs. 41. Oktober 2022 Bundesgesetz über das öffentliche Beschaffungswesen (BöB) 172.056.1 Art. 48 Abs. 1 (expliziter Zugang vorgeschrieben); Art. 11 Bst. e (gilt nur während Vergabeverfahren als Spezialbestimmung)
Erlass (Kurzform) und AbkürzungSR-Nr.Art./Abs.Inkraftsetzung am: Bankengesetz (BankG)952.0Art. 47 Abs. 1
Der EDÖB
84 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Der EDÖB
Leistungen und Ressourcen im Bereich Datenschutz Personalbestände In seiner Botschaft zur Totalrevision des DSG hat der Bundesrat dem EDÖB die Schaffung zusätzlicher Mittel im Umfang von neun bis zehn Stellen in Aussicht gestellt (BBl 2017 7 172). Zunächst hat der Bundesgesetzgeber mit dem neuen Bundesgesetz über den Datenschutz im Rahmen der Anwen- dung des Schengen-Besitzstands in Strafsachen (SDSG, SR 235.3) einen Teilaspekt dieser Totalrevision vorweg- genommen. Nachdem der Bundesrat dieses Gesetz per 1. März 2019 in Kraft setzte, hat er dem EDÖB für die Um- setzung der neuen Aufgaben und Befug- nisse drei zusätzliche Stellen zuge- sprochen, sodass sich der Stellenetat im Jahr 2020 von 2 4 auf 27 Vollzeit- stellen erhöht hat. Im Frühjahr 2021 hat der EDÖB dem Bundesrat mit Blick auf die damals für 202 2 vorgesehene Inkraftsetzung des revidierten DSG die Schaffung der verbleibenden sechs Vollzeitstellen beantragt, welche der Bundesrat am 28. April 2021 bewilligt hat. Damit hat sich der Etat des für den Datenschutz eingesetzten Personals um weitere fünf Stellen erhöht (eine Stelle wurde für die Erbringung admi- nistrativer Leistungen an die Bundes- kanzlei abgegeben). 2006 ist das Öffentlichkeitsgesetz (BGÖ) in Kraft getreten. Da die drei dafür in der Gesetzesbotschaft vor- gesehenen Stellen vom Bundesrat nie bewilligt wurden, musste unsere Behörde zur Erfüllung ihrer Aufgaben nach BGÖ seither auf das bereits be st - ehende Datenschutz-Personal des EDÖB und teilweise auf Mittel der Bun- deskanzlei zurückgreifen. Nachdem das für die Bewilligung des Budgets des EDÖB neu zuständige Bundesparlament am 8. Dezember 202 2 dem EDÖB die in der Gesetzesbotschaft vorgesehenen Stellen zugesprochen hatte, konnte der EDÖB eine dieser drei Stellen dem Direktionsbereich Datenschutz zurück- geben, womit dessen Stellenetat um eine weitere Stelle, insgesamt also auf 33 Stellen angewachsen ist. Die beiden übrigen Stellen hat der Beauftragte aufgrund des angewach senen Arbeits- aufwandes für Schlichtungen dem Direktionsbereich Öffentlichkeitsgesetz zugeordnet (s. nach folgenden Beitrag zu Leistungen und Ressourcen im Bereich Öffentlichkeitsgesetz). Angesichts des Umstandes, dass in der Berichtsperiode umfangreiche Vorbereitungsarbeiten zur Inkraftset- zung des neuen DSG geleistet werden mussten (neue Wegleitungen und Texte für Webseite etc.), hat sich der Einsatz des neu rekrutierten Personals wie nachfolgend ersichtlich ist, statis- tisch schwergewichtig in der Leistungs- gruppe Information niedergeschlagen. Tabelle 6: Für DSG-Belange einsetzbare Stellen 200522 201023 201824 201924 202027 202127 202227 202333
Leistungen Die Aufgaben des EDÖB als für die Bundesorgane und die Privatwirtschaft zuständige Datenschutzbehörde werden gemäss dem Neuen Führungs- modell Bund (NFB) den vier Leistungs- gruppen Beratung, Aufsicht, Infor- mation und Gesetzgebung zugewiesen. Im Berichtsjahr vom 1. 4.202 2 bis 31.3.2023 wurden die beim EDÖB für den Datenschutz einsetzbaren Perso- nalressourcen wie folgt auf diese Gruppen aufgeteilt: 3.1 Aufgaben und Ressourcen 85 30. Tätigkeitsbericht 2022/23 Der EDÖB
86 Tabelle 7: Leistungen Datenschutz Beratung Bund18,7 % Beratung Private21,1 % Zusammenarbeit mit ausl. Behörden 11,4 % Zusammenarbeit mit Kantonen 1,3 % Total Beratung52,5 % Aufsicht14,7 % Zertifizierung0,0 % Register Datensammlung 0,4 % Total Aufsicht15,1 % Information20,2 % Ausbildung/ Referate2,0 % Total Information22,2 % Gesetzgebung10,2 % Total Gesetzgebung10,2 % Total Datenschutz100,0%
Beratung Wie im Eingangskapitel «Aktuelle Herausforderungen» dargelegt, sieht sich der EDÖB im Leistungsbereich der Beratung, aufgrund der Notwendig- keit digitale Grossprojekte zu begleiten, mit einer konstant hohen Nachfrage konfrontiert. Die für die Beratung auf- gewendeten personellen Mittel bezif- ferten sich im Berichtsjahr auf rund 52,5 Prozent. Gemäss dem Kontroll- plan des EDÖB für das Jahr 202 2 ist die beratende Begleitung von acht grossen Projekten im Gang. Vier dieser Projekte stehen im Zusammenhang mit der vom Bundesrat angeordneten digitalen Transformation der Bundes- verwaltung. Die drei Teams des Direktions- bereichs Datenschutz haben monatlich im Durchschnitt dreiunddreissig Anfra- gen und Anzeigen von Bürgerinnen und Bürgern mit einem Standard- schreiben beantwortet, das diese auf den zivilprozessualen Weg verweist. Ab Einführung des neuen DSG wird ein Teil dieser Anfragen materiell zu behandeln sein. Da sich Big Data und künstliche Intelligenz als Geschäftsmodelle be- schleunigt durchsetzen und die tech- nologischen Datenschutzrisiken den Aufsichtsbereich des EDÖB weiter aus- dehnen, ist weiterhin von einer stei- genden Anzahl von umfangreichen Datenbearbeitungsprojekten bei Staat und Wirtschaft auszugehen. Tabelle 8: Beratungen in umfangreicheren Projekten für 2022 Grundrechte1 Gesetzgebung neues DSG2 Handel und Wirtschaft1 Digitale Transformation4 Total8
Aufsicht Aufgrund der Dynamik von Cloud gestützten Applikationen müssen Kontrollen heute rasch durchgeführt werden. Diese Beschleunigung sowie die immer wichtiger werdende Kom- bination von juristischem und techni- schem Fachwissen schliessen längere Unterbrüche bei den Sachverhaltsab- klärungen aus, sodass umfassendere Kontrollen von mehreren Mitarbeiten- den betreut werden müssen. In der aktuellen Berichtsperiode lag der Anteil der für Kontrollen und Aufsichtsver- fahren einsetzbaren Ressourcen bei 15,1 Prozent, was dem tiefen Mittelwert der Berichtsjahre ab 2015 entspricht. Gemäss Kontrollplan für das Jahr 2023 werden mit diesen Mitteln zwölf um- fassendere Kontrollen bestritten. Nach- dem das für den Datenschutz einsetz- bare Personal in den beiden letzten Berichtsperioden mit Blick auf das neue DSG aufgestockt werden konnte, wird der Beauftragte darauf hinwirken, dass die Kontrolldichte über die Bun- desorgane und die rund 12 000 grossen und mittleren kaufmännischen Unter- nehmen sowie die rund 10 000 Stif- tungen und Vereine der Schweiz suk- zessive erhöht wird. Gesetzgebung Die mit der digitalen Transformation der Bundesämter einhergehenden Anpassungen der Personendatenbear- beitungen muss im Rahmen gesetz- licher Grundlagen erfolgen. Diese Anpas- sungen ziehen deshalb eine Vielzahl von neuen und revidierten Bearbeitungs- vorschriften im Bundesrecht nach sich, zu denen der EDÖB in diversen Kon- sultationsverfahren Stellung bezieht. Im Berichtsjahr sind 383 Ämterkon- sultationen bei uns eingegangen. Totalrevision des Datenschutz- gesetzes Mit der bevorstehenden Inkraftsetzung des neuen DSG und der Vollzugsver- ordnung sind für den EDÖB mit Blick auf neue Aufgaben und Kompetenzen sowie die rechtzeitige Information von Bevölkerung und Wirtschaft aufwän- dige Vorbereitungsarbeiten verbunden. Gerade auch dank dem zusätzlich rekrutierten Personal, können diese Arbeiten plangemäss ab Frühsommer 2023 sukzessive abgeschlossen werden. Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Der EDÖB
Leistungen und Ressourcen im Bereich Öffentlichkeitsgesetz Das Berichtsjahr war durch die aus- klingende Pandemie und die anhaltend hohe Anzahl an Schlichtungsanträgen geprägt (s. Kap. 2.3). Nachdem das Par- lament dem EDÖB die drei in der Botschaft zum Öffentlichkeitsgesetz vorgesehenen, aber vom Bundesrat nie zugesprochenen Stellen am 8. Dezem- ber 202 2 bewilligt hat, kann der Etat im Direktionsbereich Öffentlichkeits- prinzip von 4,4 auf 6 Vollzeitstellen erhöht werden. Der Beauftragte wird darauf hinwirken, dass die aufgrund der Pandemie und personellen Unter- besetzung entstandenen Bearbeitungs- rückstände in den nächsten Berichts- perioden sukzessive abgebaut werden. Ob und wie schnell dies gelingen kann, wird auch von der zukünftigen Entwicklung der Schlichtungsanträge abhängen. Teilnahme an Kommissions- beratungen und Anhörungen durch parlamentarische Kommissionen In der Berichtsperiode hat der Beauf- tragte an folgenden Anhörungen und Kommissionsberatungen teilgenom- men: • Februar 202 2: SGK-S zur Thematik Swisstransplant; • Februar 202 2: SPK-N zu den Digital- plattformen; • April 202 2: SPK-N zur Revision der Verordnung zum neuen DSG; • Juni 202 2: Subkommission EJPD/ BK der GPK-N zum Tätigkeitsbericht; • Oktober 202 2: SGK-N und SPK-N zur Revision des K VG und den Massnahmen zur Kostendämpfung; • Oktober 202 2: WAK-N zur Total- revision des Zollgesetzes; • Oktober 202 2: Subkommissionen FK-S und FK-N zum Budget 2023; • November 202 2: SIK-N zur Total- revision des Zollgesetzes; • Januar 2023: RK-N zur Totalrevision des Zollgesetzes; • Februar 2023: Subkommission EJPD/BK der GPK-S zur Umsetzung des BGÖ; • März 2023: RK-N zum Bundesgesetz über die Plattformen für die elektro- nische Kommunikation in der Justiz; Tabelle 9: Wirkungsziele EDÖB LeistungsgruppeWirkungsziele BeratungDer EDÖB entfaltet eine erwartungsadäquate Präsenz für die Beratung von Privatpersonen sowie die Begleitung von datenschutzsensiblen Projekten der Wirtschaft und der Bundesbehörden unter Anwendung digitalisierungstauglicher Arbeitsinstrumente. AufsichtDer EDÖB entfaltet eine glaubwürdige Dichte an Kontrollen. InformationDer EDÖB sensibilisiert die Öffentlichkeit proaktiv für technologie- und anwendungsbezogene Risiken der Digitalisierung. Er verfügt über eine zeitgemässe, benutzerfreundliche Website. Mit der Inkraft- setzung des revidierten Datenschutzgesetzes werden neue Meldepflichten eingeführt und bestehende angepasst. Die Meldungen sollen über Meldeportale sicher, einfach und jederzeit dem EDÖB zugestellt werden können. Damit können auch Medienbrüche reduziert und die Bearbeitung effizienter umgesetzt werden. GesetzgebungDer EDÖB nimmt rechtzeitig und aktiv Einfluss auf alle datenschutzrelevanten Spezialnormen und Regelwerke, die auf nationaler und internationaler Ebene geschaffen werden. Er unterstützt die interessierten Kreise bei der Formulierung von Regeln der guten Praxis. Mit Blick auf die einzelnen Leistungsgruppen ergeben sich somit folgende, für die Bemessung der Mittel wegleitende Wirkungsziele: 87 30. Tätigkeitsbericht 2022/23 Der EDÖB
88 Zahlen Der EDÖB hat im Berichtsjahr sechs Medienmitteilungen, die auf dem Medienportal des Bundes zu finden sind, sowie zwölf Kurzmitteilung publiziert. Die Medienbeobachtung, die sich auf eine Auswahl der wichtigs- ten Schweizer Print- und Onlineme- dien sowie ein ausgewählte internatio- nale Key-Printprodukte stützt, regist- rierte letztes Jahr knapp 6000 Beiträge, was den letztjährigen Trend bestätigt, als wir eine starke Zunahme gegen- über dem Vorjahr feststellen konnten (s. 29. TB, Kap. 3.2). Das Kommunika- tionsteam des EDÖB hat rund 300 Medi- enanfragen beantwortet. Im Fokus der Medienschaffenden waren dabei die Themen Datenweitergabe (ca. 100 Anfra- gen), Cybersicherheit (45) und Über- wachung (30), wobei teilweise auch Regulierungsvorhaben (15) wie die Chatkontrolle oder das neue Bundes- gesetz über Zoll und Grenzsicherheit zu diesen Themen gezählt werden können. Zum Öffentlichkeitsgesetz haben wir 12 Medienanfragen beant- wortet. Die Zahl der Anfragen und Hinweise aus der Bevölkerung beläuft sich in diesem Berichtsjahr auf 6200, was fast der Zahl vom Vorjahr entspricht (6600), als wir einen starken Anstieg von über 50 Prozent feststellen konnten. Themenschwerpunkte Ein Überblick über die im Berichtszeit- raum eingegangenen Medienanfragen und die von uns initiierten Kommuni- kationsmassnahmen lässt folgende Rückschlüsse zu: nach der Coronapan- demie, die vor allem beim Contact Tracing und der Ausstellung des Covid- Zertifikats viele Fragen punkto Daten- schutz aufgeworfen hat, bleibt der Gesundheitssektor im Fokus des allge- meinen Interessens. Investigationsjour- nalisten haben Schwachstellen bei der Datensicherheit bei Medizinalregistern aufgedeckt, und Cyberkriminelle ver- schafften sich unerlaubt Zugriff zu Daten von Patientinnen und Patienten, die auf Servern von Arztpraxen und Spitälern unzureichend gesichert waren. Zur Kompromittierung besonders schützenswerter Daten zur Gesund- heit der Betroffenen kam es, wie bereits im Vorjahr beim elektronischen Impf- register der Stiftung meineimpfungen.ch (s. 29. TB, Kap. 1. 4), beim nationalen Organspenderegister sowie beim Brust- implantateregister. In beiden Fällen eröffnete der EDÖB eine formelle Sachverhaltsabklärung (s. Kap. 1. 4). Die Stiftung Swisstransplant hat die im Untersuchungsbericht des EDÖB fest- gehaltenen Empfehlungen mehrheit- lich angenommen und den Onlinebe- trieb des nationalen Organspende- registers eingestellt. Der Bericht zum Mammoregister ist noch in Arbeit; das Register wurde einstweilen vom Netz genommen. Im Fall Swisstransplant haben wir sowohl bei Eröffnung des Verfahrens im Januar als auch bei der Publikation des Schlussberichts im Oktober Medi- enmitteilungen verfasst. Unmittelbar nach Bekanntwerden der Hackeran- griffe auf Arztpraxen in der Romandie ist der EDÖB mit diesen in Kontakt getreten, um darauf hinzuwirken, dass die betroffenen Patientinnen und Patien- ten unverzüglich und umfassend informiert wurden. Wir haben dazu am 31.3.202 2 eine Kurzmitteilung auf unserer Website publiziert. Der Beauf- tragte hat sich mehrmals in den Medien zur Problematik der mangelnden Sicherheit bei der Aufbewahrung von Gesundheitsdaten geäussert. Nachdem Ende 2021 der Konkurs über die Stiftung meineimpfungen.ch eröffnet worden war und im Mai 202 2 eine geplante Veräusserung der Impf- daten durch das zuständige Konkursamt 3.2 Kommunikation Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Der EDÖB
bekannt wurde, hat der EDÖB zunächst die Löschung der Daten verlangt und dann später einen Versuch der Gesund- heitsdirektion des Kantons Aargau zur Rettung der Daten ermöglicht. In einer Medienmitteilung haben wir dazu Stel- lung genommen (s. Kap. 1. 4). Dass Medizinaldaten auch beim Öffentlichkeitsprinzip Gegenstand des allgemeinen Interesses sind, zeigte sich im Berichtsjahr insbesondere bei den Impfstoffverträgen. Der EDÖB hat dem BAG in seiner Empfehlung vom 29. Juli 202 2 empfohlen, diese offen- zulegen. Das BAG hat bei der Heraus- gabe der Dokumente jedoch weite Teile geschwärzt, was öffentliche Kritik zur Folge hatte. Datenweitergabe und Datenhandel Neben den Medizinalregistern beschäf- tigten uns dieses Jahr insbesondere auch die Cloud-Thematik und die Wei- tergabe von Personendaten an Dritte im kommerziellen Bereich. Wir haben uns in einer ausführlichen Stellung- nahme zur Auslagerung von Personen- daten durch die Suva in eine Microsoft Cloud geäussert und dazu am 13.06.202 2 eine Kurzmitteilung publi- ziert. Auch gegenüber der Cloud- Strategie des Bundes haben wir uns medial geäussert (s. 29. TB, SP II). Der EDÖB analysiert zurzeit eine US -amerikanische Klage gegen das Unternehmen «Oracle America Inc.» wegen unzulässigem Tracking von Internetnutzern und hat dazu am 27.09.202 2 eine Kurzmitteilung verfasst (s. Kap. 1.3). Dass Datenweitergabe und Personentracking nebst kommerziel- len Interessen auch staatliche Überwa- chungsvorhaben bedienen, zeigte sich anlässlich der Fussball W M 202 2 bei der staatlich geforderten Katar-App, die den EDÖB zu einer Kurzmeldung bewog, in welcher er Reisenden zur WM nach Katar das Mitführen eines Zweit-Smartphones empfahl. Das EU-Vorhaben zur Chat-Kontrolle wird vom EDÖB kritisch betrachtet und war im Berichtszeitraum ebenfalls Thema der Medienberichterstattung. Zum Datenschutztag vom 2023 haben wir auf den neu überarbeiteten Leitfaden zur Datenbearbeitung im Zusammen- hang mit Wahlen und Abstimmungen aufmerksam machten, der sowohl für eidgenössische wie kantonale Vorhaben relevant ist. Neue Website Die Neugestaltung der Website und gleichzeitige Erstellung des vorliegen- den Tätigkeitsberichts war eine be- sondere Herausforderung für das Team des Mediendienstes. Ziel der neuen Website war nicht nur, alle Inhalte hin- sichtlich des am 1.9.2023 in Kraft treten- den neuen Datenschutzgesetzes zu aktualisieren, sondern auch die Seite zu verschlanken und neu zu struktu- rieren, damit die Userinnen und User unserer Website rasch zu den für sie relevanten Informationen finden. Die neue Seite bietet zudem raschen Zu- gang zu den drei neuen Meldeportalen: dem DataReg zur Meldung von Bear- beitungsverzeichnissen durch Bundes- organe, zum Portal für die Meldung von Verletzungen der Datensicherheit (sog. DataBreach) und zum Portal für die Meldung der Datenschutzberater und -beraterinnen. 89 30. Tätigkeitsbericht 2022/23 Der EDÖB
90 0%5%10 %15 %25 % Arbeitsbereich Datenschutzfragen allgemein Finanzwesen Gesundheit Grundrechte Handel & Wirtschaft InfoKommTech (IKT) Justiz, Polizei & Sicherheit Öffentlichkeitsprinzip Statistik & Forschung Verkehr Versicherungen Verteidigung Zertifizierungen 051015202530 20 %30 % Aufwand nach Sachgebiet Aufsicht Bund (Art. 27 DSG) Aufsicht Private (Art. 29 DSG) Ausbildung/Referate Gesetzgebung Beratung Bund Prüfungsgesuch Zertifizierung Schlichtung Beratung Private Information Informationspflicht (Art. 6 DSG) Register der Datensammlungen Zusammenarbeit mit ausl. Behörden Zusammenarbeit mit Kantonen 05101520 0%5%10%15 %25%20 % Aufwand nach Aufgabengebiet Statistiken über die Tätigkeiten des EDÖB vom 1. April 2022 bis 31. März 2023 (Datenschutz) 3.3 Statistiken Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Der EDÖB
Beratung (–3.3 % gegenüber Vorjahr) Aufsicht (–2.2 % gegenüber Vorjahr) Information (+6 % gegenüber Vorjahr) Gesetzgebung (–0.5 % gegenüber Vorjahr) 0 2012201320142015201620172018201920202022 10 20 30 40 50 60 Mehrjahresvergleich Aufwand (Angaben in Prozent) 2021 91 30. Tätigkeitsbericht 2022/23 Der EDÖB
92 BK372353150 EDA16483182981016 EDI207731573141418 EJPD8042994115 VBS29523717183515 EFD110371523101510 WBF1195611267811 UVEK1626885561114 BA6510000 PD0000000 Total 2022 (%)1180 (100)624 (53)99 (8)236 (20)53 (5)69 (6)99 (8) Total 2021 (%)1385 (100)694 (50)126 (9)324 (24)48 (3)78 (7)115 (8) Total 2020 (%)1193 (100)610 (51)108 (9)293 (24)35 (3)80 (7)67 (6) Total 2019 (%)916 (100)542 (59)86 (9)171 (19)38 (4)43 (5)36 (4) Total 2018 (%)647 (100)355 (55)66 (10)119 (18)24 (4)50 (8)33 (5) Total 2017 (%)586 (100)325 (56)108 (18)106 (18)21 (4)26 (4)– Total 2016 (%)554 (100)299 (54)88 (16)105 (19)29 (5)33 (6)– Total 2015 (%)600 (100)320 (53)99 (17)128 (21)31 (5)22 (4)– Total 2014 (%)582 (100)302 (52)124 (21)124 (21)15 (3)17 (3)– Total 2013 (%)470 (100)218 (46)123 (26)103 (22)18 (4)8 (2)– Total 2012 (%)518 (100)230 (44)140 (27)123 (24)19 (4)6 (1)– Übersicht der Zugangsgesuche vom 1. Januar bis 31. Dezember 2022 DepartementAnzahl GesucheZugang vollständig gewährtZugang vollständig verweigertZugang teilweise gewährt/aufgeschobenZugangsgesuch zurückgezogenZugangsgesuch hängigkein amtliches Dokument vorhanden Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Der EDÖB
Bundeskanzlei BK BK2201433020 EDÖB150920130 Total3702353150 Eidg. Departement für Auswärtige Angelegenheiten EDA Eidg. Departement des Inneren EDI EDA164083182981016 Total164083182981016 GS EDI100221023 EBG40300010 BAK80511100 BAR20100100 METEO CH10100000 NB00000000 BAG91022344886 BFS40121000 BSV1101100000 BLV2701438002 SNM00000000 swissmedic45810318437 Suva41310000 compenswiss00000000 Total2079731573141418 Eidg. Justiz- und Polizeidepartement EJPD GS EJPD60400002 BJ2209210010 fedpol120543000 METAS30300000 SEM2401323213 Dienst ÜPF00000000 SIR30300000 IGE40202000 ESBK30100200 ESchK00000000 RAB10100000 ISC-EJPD10100000 NKVF11010000 Total80142994115 Statistiken über Zugangsgesuche nach Öffentlichkeitsgesetz vom 1. Januar bis 31. Dezember 2022 Anzahl GesucheZugang vollständig gewährtdavon eingereicht in VorjahrenZugang vollständig verweigertZugang teilweise
gewährt/aufgeschobenZugangsgesuch zurückgezogenZugangsgesuch hängigkein amtliches Dokument vorhanden 93 30. Tätigkeitsbericht 2022/23 Der EDÖB
94 Eidg. Departement für Verteidigung, Bevölkerungsschutz und Sport VBS GS VBS3316711117 Verteidigung30200001 NDB210575004 AB-ND00000000 armasuisse100310042 BASPO220021820000 BABS40102001 swisstopo40200200 OA00000000 Total295123717183515 Eidg. Finanzde- partement EFD GS EFD3628317206 EFV10000001 EPA40400000 ESTV110532001 BAZG3068623110 BBL70400030 BIT40211000 EFK111220502 SIF30101010 PUBLICA10100000 ZAS20200000 Total1109371523101510 Anzahl GesucheZugang vollständig gewährtdavon eingereicht in VorjahrenZugang vollständig verweigertZugang teilweise
gewährt/aufgeschobenZugangsgesuch zurückgezogenZugangsgesuch hängigkein amtliches Dokument vorhanden Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Der EDÖB
Eidg. Departement für Wirtschaft, Bildung und Forschung WBF GS WBF100341002 SECO3701149346 SBFI40200002 BLW151905100 Agroscope00000000 BWL90304020 BWO10001000 PUE10100000 WEKO2201514110 ZIVI20200000 BFK70700000 SNF00000000 EHB00000000 ETH Bereich90312210 InnoSuisse20010001 Total11915611267811 Eidg. Departement für Umwelt, Verkehr, Energie und Kommunikation UVEK GS UVEK91312003 BAV60122001 BAZL1901123030 BFE2505118001 ASTRA110401123 BAKOM191806014 BAFU62134218512 ARE00000000 ComCom00000000 ENSI83204020 PostCom00000000 UBI20000020 ERI00000000 SUST00000000 Total 10001000 Total 16266885561114 Anzahl GesucheZugang vollständig gewährtdavon eingereicht in VorjahrenZugang vollständig verweigertZugang teilweise
gewährt/aufgeschobenZugangsgesuch zurückgezogenZugangsgesuch hängigkein amtliches Dokument vorhanden 95 30. Tätigkeitsbericht 2022/23 Der EDÖB
96 Bundesanwaltschaft BA BA60510000 Total60510000 Parlamentsdienste PD PD00000000 Total00000000 Gesamttotal11802762499236536999 Anzahl GesucheZugang vollständig gewährtdavon eingereicht in VorjahrenZugang vollständig verweigertZugang teilweise
gewährt/aufgeschobenZugangsgesuch zurückgezogenZugangsgesuch hängigkein amtliches Dokument vorhanden Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Der EDÖB
Bundeskanzlei BK Total 0000000 Eidg. Departement für Auswärtige Angelegenheiten EDA Total 0000000 Eidg. Departement des Inneren EDI BAK1100000 BAG5718222366 swissmedic18406422 Total 7623228788 Eidg. Finanz- departement EFD GS EFD6005001 ESTV1001000 BIT2101000 EFK1010000 Total10117001 Eidg. Justiz- und Polizeidepartement EJPD Total 0000000 Eidg. Departement für Umwelt, Verkehr, Energie und Kommunikation UVEK BAKOM1100000 Total 1100000 Eidg. Departement für Verteidigung, Bevölkerungsschutz und Sport VBS BABS1000001 Total 1000001 Eidg. Departement für Wirtschaft, Bildung und Forschung WBF SECO5410000 Total 5410000 Bundesanwaltschaft BA Total 0000000 Parlamentsdienste PD Total 0000000 Gesamttotal93294357810 Gesuche im Zusammen-hang mit COVID-19Zugang vollständig gewährtZugang vollständig verweigertZugang teilweise gewährt/ aufgeschobenZugangsgesuch zurückgezogenZugangsgesuch hängigkein amtliches Dokument vorhanden Zugangsgesuche 2022 mit Corona-Bezug 97 30. Tätigkeitsbericht 2022/23 Der EDÖB
98 Anzahl Schlichtungsgesuche nach Kategorien der Antragstellenden Kategorie Antragsteller202220212020201920182017 Medien475331342421 Privatpersonen (bzw. keine genaue Zuordnung möglich) 374942402635 Interessenvertreter (Verbände, Organisationen, Vereine usw.) 91657914 Rechtsanwälte27127542 Unternehmen919747137 Universitäten001000 Total129149931337679 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Der EDÖB
Zugangsgesuche der gesamten Bundesverwaltung vom 1. Januar bis 31. Dezember 2022 Zugang teilweise gewährt / aufgeschoben 20 % Rückzug 5 % kein amtliches Dokument vorhanden 8 % Zugang gewährt 53 % Zugang verweigert 8 % hängig 6 % Zugang teilweise gewährt / aufgeschoben 0 BKEDAEDIEJPDVBSEFDWBFUVEKBAPD 50 100 150 200 250 300 Zugang verweigert Zugang gewährt 0 50 100 150 200 250 300 Rückzug hängig kein amtliches Dokument vorhanden Anzahl Gesuche 99 30. Tätigkeitsbericht 2022/23 Der EDÖB
100 Datenschutz Daniel Dzamko Leiter Kommunikation vakant Team 1Team 2Team 3 Informations- technologien, Geschäfte Florence Henguely Leiterin Informations- technologien Geschäfte Öffentlichkeits- prinzip Reto Ammann Leiter Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Adrian Lobsiger, Beauftragter Florence Henguely, stv. Beauftragte Internationale Angelegenheiten Caroline Gloor Scheidegger Leiterin 3.4 Organisation EDÖB (Stand 31. März 2023) Organigramm Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Der EDÖB
Mitarbeiter und Mitarbeiterinnen des EDÖB Anzahl Mitarbeitende41 FTE34.1 nach GeschlechtFrauen2049% Männer2151 % nach Beschäftigungsgrad1–89 %3176 % 90–100%1024% nach SpracheDeutsch3278 % Französisch820% Italienisch12% nach Alter20–49 Jahre2459% 50–65 Jahre1741 % KaderpositionenFrauen440% Männer660% 101 30. Tätigkeitsbericht 2022/23 Der EDÖB
schutz im Rahmen der Anwendung des Schengen-Besitzstands in Strafsachen [SR 235.3] SIS II Schengener Informationssystem der zweiten Generation VDSZ Verordnung
über die Datenschutzzertifizierungen VIS Visa-Informationssystem VwVG Verwaltungsverfahrensgesetz des Bundes Abkürzungsverzeichnis 102 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
Abbildungsverzeichnis Grafiken Grafik 1: Beurteilung Zugangsgesuche – Entwicklung seit 2009 .........................S. 65 Grafik 2: Erhobene Gebühren seit Inkrafttreten des BGÖ ..........................S. 67 Grafik 3: Schlichtungsanträge seit Inkrafttreten des BGÖ .........................S. 68 Tabellen Tabelle 1: Einvernehmliche
Lösungen ..............................................S. 69 Tabelle 2: Bearbeitungsdauer Schlichtungsverfahren .......................S. 70 Tabelle 3: Hängige
Schlichtungs verfahren ........................S. 71 Tabelle 4: Spezialbestimmungen
nach Art. 4 BGÖ ....................................S. 80 Tabelle 5: Keine Spezialbestimmungen nach Art. 4 BGÖ .....................................S. 81 Tabelle 6: Für DSG- Belange
einsetzbare Stellen .............................S. 85 Tabelle 7: Leistungen Datenschutz .....S. 86 Tabelle 8: Beratungen in umfang- reicheren Projekten für 2022 .............S. 86 Tabelle 9: Wirkungsziele EDÖB ..............S. 87 Abbildungsverzeichnis 103 30. Tätigkeitsbericht 2022/23
Impressum Dieser Bericht ist in vier Sprachen vorhanden und über das Internet (www.derbeauftragte.ch) aufrufbar. Vertrieb: BBL, Verkauf Bundespublikationen, CH-3003 Bern www.bundespublikationen.admin.ch Art.-Nr. 410.030.D Layout: Ast & Fischer AG, Wabern Fotografie: Joël Stäheli Schriften: Pressura, Documenta Druck: Ast & Fischer AG, Wabern Papier: PlanoArt ® , holzfrei hochweiss
Anliegen des Datenschutzes Zweckgebundenheit Die Daten werden nur zu dem Zweck bearbeitet, der bei der Beschaffung angegeben wurde, aus den Umständen ersichtlich oder gesetzlich vorgesehen ist. Dokumentation Alle Datenbearbeitungen werden durch den Datenbearbeiter dokumentiert und klassifiziert. Datenrichtigkeit Die Bearbeitung erfolgt mit zutreffenden Daten. Eigenverantwortung Private und Bundesorgane nehmen ihre Pflicht zur Beachtung der Datenschutzgesetzgebung eigen- verantwortlich wahr. Wahlmöglichkeit Betroffene geben ihre Einwilligung informiert und erhalten eine echte Wahl freiheit. Verhältnismässigkeit Kein Datensammeln auf Vorrat, sondern nur so weit wie nötig zur Erreichung des Zwecks. Die Datenbearbeitung wird umfang- mässig und zeitlich limitiert. Datensicherheit Die Datenbearbeiter stellen technisch und organisatorisch sicher, dass die Personendaten hinreichend geschützt sind. Faire Information Unternehmen und Bundesorgane informieren transparent über ihre Daten bearbeitung: verständlich und voll ständig. Risikoanalyse Bereits im Projekt werden die möglichen Datenschutzrisiken identifiziert und deren Auswirkun- gen mit Massnahmen minimiert. Zugangsgesuche Öffentlichkeitsprinzip (BGÖ) 53% gewährt 8% verweigert 20% teilweise gewährt/ aufgeschoben 6% hängig 5% Rückzug 8% kein amtliches Dokument vorhanden Kennzahlen Leistungen Datenschutz 10 % Gesetzgebung 22 % Information 15 % Aufsicht 53% Beratung