1C_272/2022, 1C_299/2019, 1C_336/2021, 1C_50/2015, 1C_562/2017, + 2 weitere
31.Tätigkeitsbericht 2023/24 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter 31. Tätigkeitsbericht 2023/24 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
Tätigkeitsbericht 2023/2024 des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten Der EDÖB erstattet der Bundesversammlung jährlich Bericht über seine Tätigkeit. Er übermittelt ihn gleichzeitig dem Bundesrat. Der Bericht wird veröffentlicht (Art. 57 DSG). Der vorliegende Bericht deckt für den Bereich Datenschutz den Zeitraum zwischen 1. April 2023 und 31. März 2024 ab. Für den Bereich Öffentlichkeitsprinzip entspricht er dem Kalenderjahr 1. Januar bis 31. Dezember 2023.
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
Vorwort Nachdem das neue Datenschutzgesetz am 1. September 2023 in Kraft treten konnte, setzte unsere Behörde die Publikation von Merkblättern und Ausle- gungshilfen für die Bürgerinnen und Bürger, Wirtschaft und Behörden fort. Bald werden unsere Arbeiten zum Übergang vom alten zum neuen Recht indessen abgeschlossen sein, sodass die vom Parlament gesprochenen zusätzlichen Stellen schwerpunktmässig für die Durchführung von Unter- suchungen eingesetzt werden können. Ungeachtet der hohen praktischen Bedeutung der rechtstechnischen Neuerungen, die es mit Blick auf das neue Datenschutzrecht zu beachten gilt, sollte nicht übersehen werden, dass die menschengerechte Bearbeitung von Personendaten ein Grundverständnis der Eigenarten des Datenschutzes vor- aussetzt. Ich möchte deshalb in dieser Ausgabe des Tätigkeitsberichts mit den Antworten auf sieben Fragen, die mir in den zwei ersten Legislaturen meiner Amtsdauer immer wieder gestellt wurden, einen Beitrag zu diesem Grundverständnis leisten. Adrian Lobsiger Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Bern, den 31. März 2024 31. Tätigkeitsbericht 2023/24
Aktuelle Herausforderungen ...................................6 Datenschutz 1.1 Digitalisierung und Grundrechte ........14 –Cloud-Strategie Bund: Projekt CEBA der Bundes kanzlei –Digitale Transformation im Gesundheitswesen: Personenidentifikator –Epidemiengesetzgebung: Verwendung der AHV-Nummer –Elektronische Identität: EDÖB aktiv an Ausarbeitung des E-ID-Gesetzes beteiligt –Gesetzgebung: Ausführungsrecht zum Bundesgesetz über die Informationssicherheit Schwerpunkt ....................................................20 Das neue Datenschutzgesetz 1.2 Justiz, Polizei, Sicherheit .............26 –Untersuchungen gegen fedpol, BAZG und Xplain: RIPOL-Zugriffe und Daten sicherheitsverletzung –Hackerangriff: Vorabklärungen betreffend die Firma Concevis –Polizeidatenbank: EDÖB fordert datenschutzkonforme Digitalisierung der polizeilichen Amtshilfe 1.3 Wirtschaft und Gesellschaft .............31 –Onlinekampagne «Pfarrer-Check»: Untersuchung gegen den Verein Bürgerforum Schweiz –Bewerbungsformular für Mietwohnungen: Vorabklärung bei einer Immobilienverwaltung –Auktionsplattform Ricardo: Schlussbericht mit Empfehlungen des EDÖB –Kundendaten: Untersuchung bei Digitec Galaxus –Dating-App: Abschluss der Sach ver halts ab klärung bei der Once Dating AG –Tracking- Technologien: Bedenken gegen Oracle Ame- rica ausgeräumt: Einwohnende der Schweiz sind von fraglichen Datenbearbeitungen nicht betroffen –Transparenz juristischer Personen: Einführung eines Registers wirtschaftlich berechtigter Personen –Wirtschaft: Neues Gesetz zur Überprüfung ausländischer Investitionen 1.4 Gesundheit .................................38 –Aufsicht im Krankenversicherungswesen: Austausch zwischen EDÖB und BAG –Impfdaten: Projekt Datenrettung «meineimpfungen.ch» –Medizinische Praxis: Unterzeichnen einer neuen Ein- willigungserklärung durch Patientinnen und Patienten –Weiterverwendung von Daten: Verhältnis zwischen Datenschutz gesetz und Humanforschungsgesetz –Elektronisches Patientendossier: Umfassende Revision des Bundesgesetzes über das elektronische Patienten- dossier 1.5 Arbeit ......................................44 –Arbeitsrecht: Vorgaben bei der Führung von Personal- dossiers –Arbeitsrecht: Datenschutzrechtliche Qualifikation von Pensionskassen 1.6 Verkehr .....................................46 –Zahlreiche Projekte: Beratungen und Ämterkonsulta- tionen im Bereich Mobilität –PNR-Daten: Ämterkonsultation Flug passagierdatengesetz (FPG) 1.7 International ..............................49 –Europäische Union: Angemessenheitsbeschluss der EU –Data Privacy Framework: Rahmenwerk für die Daten - bekanntgabe in die USA –Europarat: Konvention 108+ ratifiziert –Europa: Treffen mit ICO und EDSA –European Case Handling Workshop: Internationales Treffen in der Schweiz –Joint Statement: Gemeinsame Erklärung zu «Data Scraping» und Datenschutz –International: OECD –Schengen: BTLE und EDSA –Schengen: Aufsichtskoordinationsgruppen über die Informationssysteme SIS II, VIS und Eurodac –Schengen: Koordinations gruppe der schweizerischen Datenschutzbehörden –Schengen: Tätigkeiten auf nationaler Ebene –Internationales Treffen: Französischsprachige Vereinigung der Datenschutzbehörden –Internationale Zusammenarbeit: Privacy Symposium in Venedig –Globale Fragestellungen: Internationale Konferenz der Datenschutzbeauftragten –Europa: Europäische Konferenz der Datenschutz- beauftragten in Budapest Inhaltsverzeichnis Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
Öffentlichkeitsprinzip 2.1 Allgemein ..................................62 2.2 Zugangsgesuche – erhebliche Zunahme im 2023 .....................................64 2.3 Schlichtungsverfahren – leichte Zunahme der Schlichtungsanträge ..................68 –Anteil einvernehmlicher Lösungen –Dauer der Schlichtungs verfahren –Anzahl hängiger Fälle 2.4 Gesetzgebungsverfahren ...................72 –Finanzen: Überführung der CS-Notverordnung ins Bankengesetz –Archivierung: Teilrevision Archivierungsverordnung –Finanzkriminalität: Neues Bundesgesetz über die Transparenz von juristischen Personen –Gebührenregelung: Kostenlosigkeit als Grundsatz – Gebühren bei besonderem Aufwand –Bericht der GPK-S: Stellungnahme des Bundesrates 2.5 Spezialgesetzliche Vorbehalte nach Art. 4 BGÖ ...........................78 Der EDÖB 3.1 Aufgaben und Ressourcen ..................82 –Leistungen und Ressourcen im Bereich Datenschutz –Leistungen und Ressourcen im Bereich Öffentlichkeitsgesetz –DPO und ISBO: Der EDÖB verbessert seine Selbstkontrolle 3.2 Kommunikation ..............................86 –Neue Website mit Melde portalen –Zahlen –Weitere Themen 3.3 Statistiken ................................88 –Statistiken über die Tätigkeiten des EDÖB vom 1. April 2023 bis 31. März 2024 (Datenschutz) –Übersicht der Zugangsgesuche nach Öffentlichkeits- gesetz vom 1. Januar bis 31. Dezember 2023 –Statistiken über Zugangsgesuche nach Öffentlichkeits- gesetz vom 1. Januar bis 31. Dezember 2022 –Zugangsgesuche 2023 mit Corona-Bezug –Anzahl Schlichtungsgesuche nach Kategorien der Antragstellenden –Zugangsgesuche der gesamten Bundesverwaltung vom 1. Januar bis 31. Dezember 2023 3.4 Organisation EDÖB .........................98 –Organigramm –Mitarbeiter und Mitarbeiterinnen des EDÖB Abkürzungsverzeichnis .............................100 Abbildungsverzeichnis .............................101 Impressum .................................................102 Umschlag –Kennzahlen –Anliegen des Datenschutzes Inhaltsverzeichnis 31. Tätigkeitsbericht 2023/24
Die Dynamik der Digitalisierung hat zu einer gewissen Fixierung der öffentli- chen Diskussion auf technologische Phänomene geführt, für deren daten- schutzrechtliche Einschätzung sich technologische Kenntnisse zwar als nützlich, ohne ein Grundverständnis der Eigenarten des Datenschutzes aber meist als unzureichend erweisen. Vor diesem Hintergrund erscheint es uns hilfreich, nachfolgend auf sieben, häu- fig gestellte Verständnisfragen zum Datenschutz zu antworten:
der Privat- und Intimsphäre setzt der Datenschutz der Bearbeitung von Daten und deren Verknüpfung Grenzen. 4. Können mündige Erwachsene auf ihre Datenschutzrechte verzichten? Der Schutz der Privatsphäre ist ein verfassungsmässig garantiertes Grund- recht (Art. 13 BV). Bezüglich staatli- cher Bearbeitungen von Personendaten gibt es dem Grundsatz nach keinem freiwilligen Verzicht auf Datenschutz- rechte. Der Zweck, Umfang und die Intensität staatlicher Bearbeitungen ergeben sich aus gesetzlichen Grund- lagen, die für die Behörden verbind- lich sind und von deren Einhaltung sie im konkreten Anwendungsfall nicht rechtswirksam entbunden werden können. In private Personendatenbearbei- tungen, welche die Persönlichkeit der Betroffenen verletzen, können Letz- tere hingegen einwilligen. Ihr Verzicht ist jedoch datenschutzrechtlich nur dann wirksam, wenn sie vorher voll- ständig und adressatengerecht infor- miert wurden und ihr Verzicht wirklich ihrem freien Willen entspricht. Ob das Einverständnis, sich einer konkre- ten Datenbearbeitung zu unterziehen, noch als freiwillig gelten kann oder nicht, hängt von den Lebensumständen ab. So z. B. den finanziellen Möglich- keiten der Nutzerinnen und Nutzer digitaler Angebote. Nicht alle von ihnen können es sich ökonomisch leisten, auf hohe Rabatte zu verzichten, den private Anbieter von Waren und Dienst- leistungen gegen die Preisgabe persön- licher Informationen im Rahmen von digitalen Kundenprogrammen anbie- ten. Auch bei Bewerbungen für Arbeits-, Miet- oder Versicherungsverträge darf eine hohe Nachfrage nicht für exzes- sive Eingriffe in die Privatsphäre miss- braucht werden, indem von den Be- werbenden vermeintlich freiwillige Auskünfte über deren Privatsphäre verlangt werden. Entsprechende Ein- willigungen der Betroffenen können sich datenschutzrechtlich als unwirk- sam erweisen. 5. Ist der Datenschutz ein Auslaufmodell? In den sozialen Netzwerken geben ja immer mehr Menschen alles von sich preis. Es gibt Millionen von Menschen, die ihr Leben mit Text-, Bild- und Sprach- nachrichten dokumentieren und tag- täglich über das Internet mit Freunden oder einer zahlenden Kundschaft tei- len oder gar der breiten Öffentlichkeit zugänglich machen. Allerdings gilt es zu beachten, dass mündige Erwachsene, die vermeintlich freizügig vor einem breiten Publikum posieren, meist Wert darauflegen, sich und ihr Leben in einem von ihnen selbst inszenierten Kontext zu präsentieren. Die aller- meisten von ihnen zeigen sich verletz- lich und verwahren sich energisch da- gegen, wenn ungefragt Daten aus ihrer realen Intimsphäre beschafft und ver- breitet werden. Es besteht somit nicht ein abneh- mendes, sondern wachsendes Bedürf- nis nach Datenschutz, der u. a. auch darüber wacht, dass die Betreiber sozia- ler Netzwerke ihre Nutzungsbedin- gungen einhalten und dass sie Perso- nendaten, welche die Nutzerinnen und Nutzer nicht oder nur selektiv tei- len, nicht zu eigenen Zwecken bear- beiten und z. B. an Dritte veräussern. 6. Gibt es verbotene Daten- bearbeitungen? Bei der Regelung behördlicher Bear- beitungen von Personendaten ist das gesetzgebende Parlament dem grund- rechtlichen Anspruch auf Achtung der Privatsphäre und informationelle Selbstbestimmung verpflichtet, mit dem die Bundesverfassung den Men- schen ein privates und selbstbestimm- tes Leben garantiert. Wenn Gesetze staatliche Datenbearbeitungen einfüh- ren wollten, die zu einer Aushöhlung grundrechtlicher Positionen wie der Aktuelle Herausforderungen 7 31. Tätigkeitsbericht 2023/24
freien politischen Meinungsäusserung oder Mitwirkung führten, würden diese mit der Verfassung kollidieren. Leider werden die Vorgaben von Verfassung und Demokratie von den Promotoren behördlicher Digitalisie- rungsprojekte nicht immer verstanden. Die Datenschutzbehörden müssen bei der Beaufsichtigung solcher Vorhaben immer wieder darauf hinwirken, dass machtbegrenzende Mechanismen des demokratischen Rechtsstaates wie die Aufteilung der Verwaltungsmacht auf fachlich spezialisierte Fachämter, die Gewaltenteilung oder der Föderalis- mus nicht unbesehen als «alte Zöpfe» beseitigt, sondern in die Automatisie- rung von Datenflüssen rechtzeitig einbezogen werden. Anders verhält es sich bei privaten Bearbeitungen von Personendaten. Sie sind in der Schweiz dem Grundsatz nach erlaubt. Ab wann die von ihnen ausgehenden Eingriffe in die Persön- lichkeit der Betroffenen ein Mass errei- chen, das sich weder durch Einwilli- gung noch überwiegende Interessen rechtfertigen lässt, beantwortet das auf Prinzipien basierende Datenschutz- recht nur generell-abstrakt. Eine eher graduelle Grenze des Zulässigen setzt das Datenschutzrecht, indem es Einwilligungen in Beschaf- fungen von Personendaten die rechtli- che Verbindlichkeit versagt, wenn sie unter Ausnützung von Unwissenheit oder Abhängigkeitsverhältnissen das Mass des für die Bearbeitung Nötigen überschreiten. Eine absolute Grenze wird dort erreicht sein, wo sich jemand mit seiner Einwilligung seiner Freiheit entäussern oder sich in ihrem Gebrauch in einem die Rechtsordnung als Gan- zes oder die Sittlichkeit verletzenden Grade beschränken würde, wie es das Zivilgesetzbuch ausdrückt. 7. Wie politisch ist Datenschutz? Der Datenschutz lässt sich historisch auf das staatspolitische Grundmodell des Liberalismus zurückführen. In liberalen Rechtsstaaten wie der Schweiz gibt der Daten- und Persön- lichkeitsschutz dem Individuum einen über ein blosses Existenzrecht hinaus- gehenden Anspruch auf ein privates und selbstbestimmtes Leben. Mit die- ser Prämisse hebt sich die liberale Ge- sellschaft zum einen von totalitären Regierungs- und Gesellschaftsmodel- len ab, welche das Individuum zum Objekt kollektiv begründeter Herrschaft machen. Zum andern steht ein Gesell- schaftsmodell, das sich am Anspruch auf individuelle Lebensfreude durch Selbstverwirklichung orientiert, in Kontrast zu leistungsfähigen Organi- sationsformen anderer Lebensformen wie Insekten oder toter Technik wie künstlicher Intelligenz. Eine gänzliche Aushöhlung der Freiheit und das Ende des Datenschut- zes würde etwa mit einer staatlichen und wirtschaftlichen Gesellschaftsord- nung vollzogen, welche die Menschen durch permanente Selbstvermessung und lückenlose Überwachung zum blossen Objekt kollektiver Ziele wie der Erreichung einer absoluten ge- sundheitlichen, ökonomischen und polizeilichen Sicherheit oder etwa auch einer absoluten ökologischen Nachhaltigkeit machen würden. Ungeachtet dieser historischen Her- leitung des Datenschutzes nehmen Datenschutzbehörden ihre gesetzlichen Aufgaben im demokratischen Rechts- staat apolitisch wahr. «Mündige Erwachsene, die vermeintlich freizügig vor einem breiten Publikum posieren, legen meist Wert darauf, sich in einem selbst inszenierten Kontext zu präsentieren.» Aktuelle Herausforderungen 8 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
Bearbeitungsdauer von Zugangsgesuchen und Schlichtungsverfahren Das steigende Interesse am Öffentlich- keitsprinzip führt zu mehr Gesuchen um Zugang zu Verwaltungsdokumen- ten. Die grosse Anzahl der Gesuche wirkt sich teilweise nachteilig auf die Dauer der Bearbeitung der Gesuche aus – sodass die Gesuchstellenden länger auf einen Zugang warten müssen. Auch wenn das BGÖ klare gesetzliche Vorgaben für die einzelnen Verfah- rensschritte enthält, zeigt sich in der Praxis, dass es Verwaltungsstellen nicht in jedem Fall gelingt, diese Fristen einzuhalten. Dies gilt ebenso für die Schlich- tungsverfahren: Die gesetzliche Be- arbeitungsdauer von 30 Tagen konnte der Beauftragte im Berichtsjahr nur in gut einem Viertel der Verfahren ein- halten (s. Kap. 2.3). Zu längeren Ver- fahren führen namentlich umfangrei- chere Gesuche, welche häufig die über längere Zeiträume geführte E-Mail- Kommunikation betreffen, und kom- plexe juristische Fragestellungen. So erfordern Abgrenzungsfragen bezüg- lich der Anwendbarkeit des Öffent- lichkeitsgesetzes mitunter umfangrei- che Abklärungen, bevor allenfalls eine Beurteilung in der Sache erfolgen kann. Auch der Einbezug von Rechts- vertretungen im Schlichtungsverfah- ren (sowohl auf Seiten der Gesuchstel- lenden oder Dritten wie auch bei der Verwaltung) führt in der Mehrheit der Fälle zu längeren Verfahren. Ange- sichts des wohl auch in Zukunft wach- senden Interesses am Zugang zu Infor- mationen der Verwaltung und damit einer steigenden Anzahl von Anträgen dürfte die zeitnahe Durchführung von Schlichtungsverfahren herausfordernd bleiben. Wachsende Anzahl spezialge- setzlicher Ausnahmen vom BGÖ Auch in diesem Berichtsjahr gab es Bestrebungen der Verwaltung, Teilbe- reiche ihrer Tätigkeit oder bestimmte Kategorien von Dokumenten vom Öffentlichkeitsprinzip auszunehmen. Der EDÖB hat in den jeweiligen Äm- terkonsultationen kritisch Stellung bezogen, da die Einführung solcher Vor- behalte zu einer Schwächung des Öf- fentlichkeitsprinzips und der damit bezweckten Verwaltungstransparenz führt. Ob einer Gesetzesbestimmung Vorrang im Sinne einer Spezialbestim- mung gemäss Art. 4 BGÖ zukommt, ist jeweils für den konkreten Fall durch Auslegung der betreffenden Normen zu ermitteln. Angesichts der wachsenden An- zahl der spezialgesetzlichen Aus- schlüsse des BGÖ publiziert der EDÖB wie schon im letzten Tätigkeitsbericht eine Tabelle mit dem aktuellen Stand dieser Ausschlüsse (s. Kap. 2.5), die auch auf der Webseite des EDÖB zu finden ist. II Aktuelle Herausforderungen im Öffentlichkeitsprinzip Aktuelle Herausforderungen 9 31. Tätigkeitsbericht 2023/24
International Mitte Januar 202 4 hat die Europäische Kommission die seit Langem erwartete Angemessenheit des Schweizer Daten- schutzniveaus bestätigt. Personen- daten aus einem Mitgliedstaat der Euro- päischen Union (EU) oder des Europäi- schen Wirtschaftsraums (EW R) kön- nen weiterhin in die Schweiz übermit- telt werden, ohne dass zusätzliche Garantien zur Sicherstellung eines aus- reichenden Datenschutzniveaus erfor- derlich sind. Für die Unternehmen der Schweiz wie auch der EU und des EW R ist dies von erheblicher wirt- schaftlicher Bedeutung. Auch im vergangenen Geschäfts- jahr nahmen die Expertinnen und Experten des EDÖB in relevanten Arbeitsgruppen auf internationalem Niveau teil und nutzten dabei die Ge- legenheit, sich mit ihren ausländischen Partnern persönlich auszutauschen. Zudem organisierte der EDÖB Anfang November den jährlich stattfindenden European Case Handling Workshop in Bern, wo 80 Vertreterinnen und Ver- treter aus 37 Datenschutzbehörden ihr praktisches Knowhow teilten. Der EDÖB nahm an den regelmäs- sigen Sitzungen der Datenschutzgre- mien des Europarates (beratender Ausschuss der Konvention 108) und der OECD (Arbeitsgruppe für Data- Governance und Schutz der Privat- sphäre in der digitalen Wirtschaft), an den beiden Datenschutzkonferenzen – der europäischen und der internatio- nalen – sowie an der Konferenz der fran- zösischsprachigen Vereinigung der Datenschutzbehörden teil. Auch beim privat organisierten Privacy Sympo- sium, das einen Tag der modernisier- ten Datenschutzkonvention des Euro- parates widmete, war er anwesend. Weil die grenzüberschreitende Über- mittlung von Personendaten interna- tional weiterhin heikle Rechtsfragen aufwirft, ist der direkte Austausch unter den Datenschutzbehörden wich- tig. Verschiedene Behörden schlossen rechtlich nicht bindende Memoranda of Understandig (MoU) ab, in der die Absicht ihre Zusammenarbeit zu in- tensivieren. III Nationale und internationale Kooperation Aktuelle Herausforderungen 10 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
Zusammenarbeit mit den Kantonen Um eine wirksame und umfassende Aufsicht zu gewährleisten, haben die Datenschutzbehörden von Bund und Kantonen ihre Zusammenarbeit inten- siviert (s. 30. TB, Kap. III). So hat sich der EDÖB im Berichtsjahr mit den kantonalen Partnerbehörden über die von den Verwaltungen von Bund und Kantonen gleichermassen angestrebte Auslagerung von Personendaten in Rechenzentren ausgetauscht, die vom privaten Unternehmen Microsoft betriebenen werden. Ein weiteres Thema war die Ab- grenzung der Zuständigkeiten und die Frage, wann die Datenschutzgesetz- gebungen des Bundes und wann jene der Kantone zur Anwendung gelan- gen. Einer näheren rechtlichen Ana- lyse bedurften insbesondere folgende Konstellationen: so wenn kantonale oder kommunale öffentliche Organe private Datenbearbeiter beiziehen, wenn private oder öffentliche Organi- sationen sowohl privatrechtlich als auch hoheitlich handeln oder wenn kantonales Recht das DSG des Bundes als anwendbares Datenschutzrecht erklärt. Aktuelle Herausforderungen 11 31. Tätigkeitsbericht 2023/24
Datenschutz
CLOUD-STRATEGIE BUND Projekt CEBA der Bundes- kanzlei Auch in diesem Berichtsjahr begleitete der EDÖB die Cloud-Vorhaben innerhalb der Bundesverwaltung eng. Neben diversen Ämterkonsultationen stand wiederum das DTI-Projekt «Cloud Enabling Büroautomation», kurz CEBA, im Hauptfokus. Das Projekt CEBA wurde 202 2 als IKT-Schlüsselprojekt des Bundes ein- gestuft. Die Einstufung erfolgte auf- grund seiner beträchtlichen Auswir- kungen auf die Arbeitsweise der na- hezu gesamten Bundesverwaltung. Der Bereich Digitale Transformation und IKT-Lenkung (DTI) der Bundes- kanzlei hat den EDÖB zur Einführung der cloudgestützten Büroanwendung des US-amerikanischen Herstellers Microsoft (Microsoft 365) einbezogen, und der EDÖB nahm im April 2023 zu der ihm unterbreiteten Einsatzrichtli- nie zur Nutzung von Microsoft 365 sowie zu dem auf seine Aufforderung hin verfassten Entwurf der Daten- schutz-Folgenabschätzung DSFA Stel- lung. Er forderte erneut, sämtliche Risiken – auch potenzielle Risiken, welche aufgrund von faktischen Ab- hängigkeiten von der Anbieterin even- tuell erst zu einem späteren Zeitpunkt mit zunehmender Einbindung in die Cloud-Dienste auftreten könnten – transparent in der DSFA aufzuführen. 1.1 Digitalisierung und Grundrechte Als wichtigen Aspekt des CEBA- Projektes erachtet der EDÖB auch die Prüfung von Alternativen zur einer Microsoft 365 Cloudnutzung. Der EDÖB hat die Tätigkeiten des DTI in diesem Bereich ausführlich analysiert und den Dialog mit dem Projektteam gesucht, um seinen Wunsch nach einer breiten, lösungsoffenen und wertungsfreien Betrachtung der Thematik zu äussern. Es ist wichtig, dass sich die Verant- wortlichen der Ämter im Wissen aller Fakten zwischen verschiedenen Lösun- gen entscheiden können (s. dazu auch unsere Kurzmeldung vom 07.03.2023 sowie die Medienmitteilung des Bun- desrates vom 15.02.2023). Prüfung durch die EFK Das Projekt CEBA wurde aufgrund seiner Einstufung als IKT-Schlüssel- projekt einer Prüfung durch die Eid- genössische Finanzkontrolle (EFK) unterzogen, bei welcher auch der EDÖB befragt wurde. Ziel dieser Prü- fung war zu beurteilen, ob die Projektorganisation zielführend aufgestellt ist und die erforderlichen Führungs- und Steue- rungsinstrumente implementiert sind und funktionieren. Die EFK befand, dass das Projekt die Anmerkungen des EDÖB zum Zeitpunkt der Prüfung nicht ausreichend berücksichtigt hatte und empfahl dem Bereich DT I, das Vorgehen bezüglich Daten- und Infor- mationsschutz, das im Projekt gewählt wurde, mit dem EDÖB besser abzu- stimmen. Cloud-Prinzipien Im Zusammenhang mit der Cloud- Strategie des Bundes unterbreitete der DTI dem EDÖB in einer Ämterkon- sultation die grundlegend überarbeite- ten «Cloud-Prinzipien». Diese stellen nebst den strategischen Grundsätzen weitere Leitplanken auf dem Weg zur Umsetzung der «Cloud-Strategie» dar. Einige darin enthaltene Änderungen gegenüber der Vorversion beurteilte der EDÖB als kritisch, da diese insbe- sondere zu einer Abschwächung des Verbindlichkeitsgrades der darin ent- haltenen Grundsätze führen und die Prinzipien dadurch nicht mehr als Min- deststandard, sondern lediglich als Informationen und Empfehlungen verstanden werden könnten. Auch im Zusammenhang mit der Umsetzung der Cloud-Strategie konnte sich der EDÖB im Rahmen einer Äm- terkonsultation zur «Swiss Govern- ment Cloud» (SGC) zum Aussprache- papier und Bundesratsbeschluss des Bundesamts für Informatik und Tele- kommunikation BIT einbringen. Darin schlägt das BIT dem Bundesrat Datenschutz 14 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
vor, die von ihm heute betriebene Private-Cloud-Infrastruktur Atlantica durch eine drei stufige Hybrid-Multi- Cloud-Infrastruktur abzulösen: Stufe I würde die Public-Cloud-Services beinhalten, welche das BIT über Pub- lic-Cloud-Anbieter zur Verfügung stellt; Stufe II würde die Lösungen von grossen Public- Cloud-Anbietern be- inhalten, die in den Räumlichkeiten des Bundes betrieben werden; und Stufe III würde die Private Cloud des BIT beinhalten, die komplett im Re- chenzentren-Verbund des Bundes be- trieben wird. Das BIT hat unsere Än- derungsvorschläge übernommen und datenschutzrechtlich relevante Präzi- sierungen angepasst. Der EDÖB weist auf die Wichtig- keit hin, dass datenschutzrechtliche Überlegungen bereits in einer sehr frühen Phase von Projekten mit Da- tenbearbeitungen gemacht werden. Er wird im Rahmen seiner Zuständigkei- ten die Cloud-Initiativen weiter bera- tend begleiten und die Umsetzung der geforderten Kriterien und Vorgaben überprüfen. Datenschutz 15 31. Tätigkeitsbericht 2023/24
DIGITALE TRANSFORMATION IM GESUNDHEITSWESEN Personenidentifikator Der EDÖB äusserte sich im Rahmen des Programms DigiSanté zur Förderung der digitalen Transformation im Gesund- heitswesen zu den Arbeiten der «Fach- gruppe Datenmanagement im Gesund- heitswesen», die sich mit der Erleich- terung der Datenweiterverwendung durch Forschende beschäftigt. Dabei betonte er die Anliegen des Daten- schutzes, die im Zusammenhang mit der Ausgestaltung eines Personen- identifikators von Bedeutung sind. DigiSanté ist das Programm des Eidge- nössischen Departements des Innern (EDI) zur Förderung der digitalen Trans- formation im Gesundheitswesen. Zahlreiche Projekte beschäftigen sich mit der Verwendung von Gesund- heitsdaten. Im Bereich der Nutzung von Daten für Planung, Steuerung und Forschung beauftragte der Bundesrat das EDI mit der Schaffung einer Fach- gruppe Datenmanagement im Gesund- heitsweisen (FDMG). Zudem themati- sierte der Bundesrat die Schaffung der Voraussetzungen für die Mehrfachnut- zung von Gesundheitsdaten durch Forschungsinstitutionen und legte dabei ein besonderes Gewicht auf die Aus- gestaltung der Einwilligung der betrof- fenen Personen zur Verwendung ihrer Daten sowie auf die Wahrung des Datenschutzes und der Datensicher- heit durch ein umfassendes Daten- schutzkonzept. EPIDEMIENGESETZGEBUNG Verwendung der AHV-Nummer Das Epidemiengesetz und die dazuge- hörigen Vollzugsverordnungen befin- den sich in Revision. Aus datenschutz- rechtlicher Sicht besonders hervorzu- heben ist, dass die AHV-Nummer der Patientin oder des Patienten neu in die Kategorie der zu meldenden Daten aufgenommen werden soll. Im Berichtsjahr wurde der EDÖB auf- gefordert, zum Entwurf einer Revision der Vollzugsverordnungen zum Epi- demiengesetz (EpG) Stellung zu neh- men. Das Gesetz verpflichtet Ärztin- nen und Ärzte, Laboratorien sowie andere Institutionen des Gesundheits- wesens, den kantonalen Behörden und dem Bundesamt für Gesundheit (BAG) Diagnosen zu bestimmten Krankheiten zu melden, um den Aus- bruch oder die Verbreitung von Epide- mien wirksamer bekämpfen zu können. Für den Datenschutz besonders rele- vant ist, dass die geplante Revision die Einführung der AHV-Nummer bei den zu meldenden Datenkategorien. Aus Sicht des BAG wird die Bearbei- tung von Meldungen durch die Verwen- dung einer Nummer, die einer Person eindeutig zugeordnet ist, erleichtert. Zudem lassen sich damit allfällige Dop- pelmeldungen vermeiden. Es trifft zu, dass die AHV-Nummer ein geeignetes Mittel ist, um die Vor- gaben des BAG zu erfüllen. Allerdings handelt es sich dabei um eine relativ heikle Datenkategorie, da die Nummer für eine ganze Reihe von Zwecken Im Rahmen der Arbeiten zum Perso- nenidentifikator erinnerte der EDÖB an die Diskussionen im Zusammen- hang mit der Ausgestaltung von Anfor- derungen an die systematische Ver- wendung der AHV-Nummer ausserhalb des Sozialversicherungsbereichs, aus denen Bestimmungen über periodische Risikoanalysen (Art. 153e des Bundes- gesetzes über die Alters- und Hinter- lassenenversicherung, AHVG) und Vorschriften betreffend technische und organisatorische Massnahmen (Art. 153d AHVG) hervorgingen. Ausserdem verwies der EDÖB die Arbeitsgruppe darauf, dass die Schaf- fung eines eindeutigen Identifikators nicht nur unter dem Aspekt der Mach- barkeit und der technischen Anforde- rungen zu betrachten sei, sondern dass es hierfür auch ein Konzept des Daten- schutzes durch Technik und daten- schutzfreundliche Voreinstellungen im Sinne von Art. 7 DSG sowie eine Datenschutz-Folgenabschätzung nach Art. 2 2 DSG braucht, wenn neue Pro- jekte oder Entwicklungen geplant werden. Datenschutz 16 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
verwendet wird. Eine missbräuchliche Verwendung kann jedoch für die be- troffene Person erhebliche Folgen mit sich bringen. Deshalb schreibt das AHV- Gesetz (AHVG) für die Verwendung der AHV-Nummer ausserhalb der AHV verschärfte Sicherheitsmassnah- men vor (Art. 153d AHVG). Zudem sind Institutionen, welche die Num- mer verwenden, zur Durchführung periodischer Risikoanalysen verpflich- tet (Art. 152e AHVG), und zwar unge- achtet der nach Art. 2 2 DSG vorgese- henen Datenschutz-Folgenabschät- zung. Der EDÖB hat in seinen Stel- lungnahmen insbesondere diese Punkte hervorgehoben. Der EDÖB äusserte sich ebenfalls zum Entwurf zur Revision des Epide- miengesetzes, der die Verwendung der AHV-Nummer im Meldesystem noch nicht vorsah. Diese Neuerung wurde erst im Zusammenhang mit der Revision der Vollzugsverordnungen aktuell. Nach Auffassung des EDÖB sowie weiterer Ämter sollte die Verwendung der AHV- Nummer jedoch auch im Gesetz ver- ankert werden. Das BAG nahm eine entsprechende Anpassung vor. ELEKTRONISCHE IDENTITÄT EDÖB aktiv an Ausarbeitung des E-ID-Gesetzes beteiligt Der EDÖB hat die Arbeiten zum neuen Gesetzesentwurf für die E-ID, der eine staatliche Lösung vorsieht und den Self-Sovereign-Ansatz verfolgt, von Anfang an aufsichtsrechtlich begleitet. Nach dem Volksnein zum ersten E-ID- Gesetz 2021 erarbeitete das Eidgenös- sische Justiz- und Polizeidepartement (EJPD) einen neuen Gesetzesentwurf und schickte ihn in die Vernehmlas- sung (s. 29. und 30. TB, jeweils Kap. 1.1). Der EDÖB brachte seine Anliegen vor. Die Veröffentlichung des Gesetzesent- wurfs und der dazugehörigen Botschaft erfolgte am 2 2. November 2023. Er regelt einerseits den staatlichen elekt- ronischen Identitätsnachweis (E-ID) und andererseits den Betrieb einer technischen Infrastruktur, die für die Ausstellung und Überprüfung ver- schiedenster elektronischer Nachweise erforderlich ist. Letztere soll auch von kantonalen und kommunalen Behör- den sowie von Privaten für die Heraus- gabe oder Verwendung beispielsweise von Diplomen, Konzert- karten oder Strafregister- auszügen genutzt werden können. Die E-ID soll vom Bundesamt für Polizei (fedpol) auf Antrag hin ausgesellt wer- den. Für die Aufbewahrung und Bear- beitung stellt der Bund eine elektroni- sche Brieftasche in Form einer App bereit. Die Daten werden somit lokal auf den Smartphones der Nutzerinnen und Nutzer gespeichert sein. Sie be- halten also die Hoheit über ihre Daten, die dezentral gespeichert sind (Self- Sovereign Identity); zudem können sie die nötigen Datenflüsse minimieren (Prinzip der Datensparsamkeit). Der Datenschutz soll durch das System selber, also durch Technik (Privacy by Design) und durch datenschutz- freundliche Voreinstellungen (Privacy by Default) gewährleistet werden. Der EDÖB hatte im Zuge der Ge- setzesrevision die Sorge geäussert, dass die Einführung der E-ID in der digi- talen Welt zu übermässigen Einforde- rungen von Personendaten führen könnte und begrüsste deshalb die Ein- führung einer Sorgfaltspflicht zur Ver- hinderung von «Überidentifikationen» und von Massnahmen bei Verletzung dieser Pflicht. Er bestand jedoch darauf, dass die Botschaft konkrete Anwen- dungsbeispiele zur Abgrenzung recht- mässiger von übermässigen Datenein- forderungen enthält. So sind der darauf- hin angepassten Botschaft denn auch konkrete Szenarien zu entnehmen, in denen Prüfstellen personenbezogene Daten aus der E-ID einfordern können: Eine Abfrage von E-ID-Daten eines Kunden zur Altersprüfung bei einem gewöhnlichen Onlinekauf müsste als übermässig und somit missbräuchlich eingestuft werden, da zur Bestätigung der Volljährigkeit einer Person weder deren Identität noch das Geburtsdatum erforderlich ist; es genügt die Teilin- formation, dass sie über 18 Jahre alt ist. Datenschutz 17 31. Tätigkeitsbericht 2023/24
Zur Bekämpfung von Missbrauchsfällen empfahl der EDÖB deshalb, im Gesetz die Offenlegung von Fällen missbräuch- licher Nutzung oder des begründeten Verdachts vorzusehen. Er begrüsste daher die Einführung eines in die Inf- rastruktur integrierten Vertrauensre- gisters, das die Vertrauenswürdigkeit der Ausgabe- und Prüfstellen gewähr- leisten soll. Er verlangte auch, dass für alle Aussteller von elektronischen Ausweisen (nicht nur für fedpol als Her- ausgeberin der E-ID) gewisse Wider- rufspflichten gelten, die sie zur Gewähr- leistung der Datenrichtigkeit verpflich- ten. Entsprechend wurde die Botschaft so angepasst, dass sich die Verpflich- tung zur Entfernung von unrichtigen Angaben im elektronischen Ausweis unmittelbar aus dem Datenschutzge- setz ableiten lässt. Der EDÖB wies auch auf die Prob- lematik der Verwendung von Rand- daten hin, die bei Abfragen des Basis- registers generiert werden. Diese sollten seiner Auffassung nach ausschliesslich zur Wahrung der Informationssicher- heit, zur technischen Wartung der elektronischen Infrastruktur oder zur Datenschutz 18 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
GESETZGEBUNG Ausführungsrecht zum Bundesgesetz über die Informationssicherheit Die Ausführungsverordnungen zum Bundesgesetz über die Informationssi- cherheit traten am 1. Januar 2024 in Kraft. Die Anliegen, die der EDÖB wäh- rend der verschiedenen Konsultationen vorbrachte, wurden vom VBS weitge- hend berücksichtigt. Das Bundesgesetz über die Informati- onssicherheit (ISG) wurde Ende 2020 vom Parlament verabschiedet. Meh- rere Verordnungen wurden im Hinblick auf die Ausführung dieses Gesetzes revidiert: die Informationssicherheits- verordnung, die Verordnung über die Personensicherheitsprüfungen, die Verordnung über das Betriebssicher- heitsverfahren und die Verordnung über Identitätsverwaltungssysteme und Verzeichnisdienste des Bundes. Der EDÖB brachte mehrere Bemer- kungen und Fragen in die verschiedenen Ämterkonsultationen ein. Er stellte bezüglich der Personensicherheitsprü- fungen fest, dass die formelle Rechts- grundlage für die in der Verordnung vorgesehene Bearbeitung von beson- ders schützenswerten Daten im ISG unvollständig ist. Diese Rechtsgrund- lage wird bei der nächsten Gesetzesre- vision ergänzt. Ausserdem verlangte der EDÖB Präzisierungen in der Infor- mationssicherheitsverordnung. Darin steht, dass Verwaltungseinheiten, welche für die Sicherheit beim Betrieb verantwortlich sind, die Nutzung ihrer Informatikinfrastruktur überwachen und regelmässig nach technischen Bedrohungen und Schwachstellen durchsuchen müssen. Der EDÖB schlug vor, die Bestimmung dahinge- hend zu ergänzen, dass die Überwa- chung der Nutzung der Informatik- struktur mit geeigneten technischen und organisatorischen Massnahmen durchzuführen sei und dass die regel- mässige Durchsuchung automatisch zu erfolgen habe. Bei der letzten Ämterkonsultation bestand hinsichtlich dieser Forderung eine Differenz. Das VBS lehnte den Antrag des Datenschutzbeauftragten ab. Auch der Bundesrat entschied gegen dieses Anliegen. Die Ausführungs- verordnungen zum ISG wurden am
Revidiertes Datenschutzgesetz in Kraft Das neue Datenschutzgesetz (DSG) und die zugehörigen Verordnungen sind am 1. September 2023 in Kraft getreten. Der EDÖB hat zahlreiche Informationsveranstaltungen durchgeführt, Merkblätter und Leitfäden verfasst, und seine Webseite neu aufgesetzt. Im Vorfeld des Inkrafttretens des neuen Datenschutzrechts hat der EDÖB einen Schwerpunkt auf die Sensibilisierung der Bevölkerung und die Information von Fachkreisen der Privatwirtschaft und der Bundesverwaltung gelegt. Informationsveranstaltungen Im Lauf des Jahres hat der EDÖB auf Einladung an einzel- nen Informationsveranstaltungen von Bundesämtern bzw. Departementen zum neuen Gesetz referiert. Im August hat er an der Universität Fribourg eine eintägige Informations- tagung für alle Datenschutzberaterinnen und -berater der Bundesorgane organisiert. Über 80 Teilnehmende aus zahl- reichen Verwaltungseinheiten haben sich zu praxisbezoge- nen Themen wie der Datenschutz-Folgenabschätzung, der Protokollierung von automatisierten Bearbeitungen oder den neuen Verfahrensregeln ausgetauscht. Auch für die Privatwirtschaft hat der EDÖB an zahlrei- chen Anlässen praktische Fragen des Übergangs vom bishe- rigen zum neuen DSG beantwortet. Ein besonderer Fokus hat er auf Anlässe mit Datenschutzberaterinnen und -beratern aus Unternehmen gelegt und dabei die verschiedenen Sprachregionen berücksichtigt. In der deutschen Schweiz hat er nebst den regelmässigen Treffen mit dem Verein Un- ternehmens-Datenschutz am Herbstevent der Data Privacy Community sowie universitären Veranstaltungen teilge- nommen. In Lausanne referierte der EDÖB vor der Associa- tion Suisse des Délégués à la Protection des Données (ASDPO) wie auch in der Masterclass für angehende Datenschutz- beraterinnen und -berater. Auf Einladung der Datenschutz- stelle des Fürstentums Liechtenstein hat er das neue Schweizer Recht bei Datenschutzberaterinnen und -bera- tern von Unternehmen im Fürstentum vorgestellt. Direkt mit Unternehmerinnen und Unternehmern hat er in Genf, im Jura und im Wallis auf Einladung der Fédération des Entreprises Romandes praktische Fragen zum Datenschutz behandelt. Daneben hat der EDÖB im Rahmen seiner telefonischen Hotline und per E-Mail konkrete Anfragen zum neuen Datenschutzgesetz direkt beantwortet. Das grosse Interesse zeigte sich an der Verdoppelung der Anzahl an telefoni- schen Anfragen in den Monaten August und September im Vergleich zu den Vormonaten. Neue Webseite EDÖB Um dem Bedarf an schriftlichen Informationen nachzu- kommen, hat der EDÖB im Berichtsjahr seine Webseite im Hinblick auf das neue Gesetz grundlegend erneuert. Er hat alle relevanten Texte an das neue Gesetz angepasst und Neuerungen des Gesetzes mit entsprechenden Beiträ- gen erläutert. Die wichtigsten Neuerungen hat er auf einer Seite vereinigt. Dort finden sich unter anderem Beiträge zum Auskunftsrecht, zur Informationspflicht, zu den Straf- bestimmungen, zur Gebührenregelung oder zur Daten- schutzzertifizierung. Ausserdem hat der EDÖB auf seiner Website einen Bereich mit häufig gestellten Fragen (FAQ ) veröffentlicht, der laufend erweitert wird. Merkblätter und Leitfäden Auf seiner Webseite stellt der EDÖB auch praktische Hilfs- instrumente zum DSG zur Verfügung. Das neue Datenschutzgesetz 20 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Schwerpunkt
DataBreach-Portal Total 245 Meldungen seit Einführung des Onlineformulars am 9. Mai 2023. Bei 57 wurde von der Möglichkeit Gebrauch gemacht, wei- tere Informationen mit Folgemeldungen nachzuliefern, sei es durch Initiative des Verantwortlichen oder nach Auffor- derung durch den EDÖB. Auffallend waren Meldungen, bei der die Verletzung der Datensicherheit im Zusammenhang mit einem Auftrags- dienstleister auftrat (Xplain, Concevis, Booking.com ...). Hier war stets eine sehr grosse Zahl von Betroffenen festzu- stellen, die aufgrund der Verletzung einem hohen Risiko aus- gesetzt war. Onlineportale für sichere elektronische Meldungen an den EDÖB Der EDÖB hat vor der Einführung des neuen Datenschutz- gesetzes auf seiner erneuerten Webseite Meldeportale ein- geführt, die Verantwortlichen eine sichere und elektronische Möglichkeit zur Erfüllung ihrer Meldepflichten bieten. Verzeichnis der Bearbeitungstätigkeiten (DataReg) Bundesorgane melden dem EDÖB ihre Verzeichnisse der Bearbeitungstätigkeiten mit der Lösung DataReg. Das neue Portal löst die bisherige Lösung ab und beinhaltet keine Meldungen von Privaten mehr, wie es unter dem alten Daten- schutzgesetz erforderlich war. Neben der Migration der Einträge von Bundesorganen gibt es eine hohe Anzahl neuer Einträge von Verantwortlichen und Verzeichnissen. Neu erfasst wurden insbesondere Einträge von Pensionskassen und Sammelstiftungen, welche als Bundesorgane zu quali- fizieren sind und einen zahlenmässig hohen Anteil der bis- lang dreitausend registrierten Einträge im Meldeportal ausmachen. Das Register ist öffentlich zugänglich. (Link: www.datareg.edoeb.admin.ch) Meldung von Verletzungen der Datensicherheit (DataBreach-Portal) Bei einer Verletzung der Datensicherheit (engl. «data bre- ach») mit hohem Risiko für die betroffenen Personen, kön- nen die Verantwortlichen dies dem EDÖB auf dem vorge- sehen Portal melden. Das Erfassungsformular umfasst alle erforderlichen Angaben, sodass Meldungen rasch und voll- ständig erfolgen können. Bei Meldungen mit einem poten- ziell hohen Risiko wirkt der EDÖB darauf hin, dass die Betroffenen zeitgerecht informiert werden. Seit der Einführung des Onlineportals erhält der EDÖB eine deutliche Mehrheit dieser Meldungen in elektronischer Form. Dabei stellt er fest, dass eine hohe Bandbreite von Branchen, von Hotels bis zur Sammelstiftung, das Portal nutzt. Für den EDÖB von besonderem Interesse waren Fälle, in denen Auftragsbearbeiter (z. B. Hostingunter- nehmen) betroffen waren, da hier mit einer hohen Anzahl von Meldungen gerechnet wurde und der EDÖB sein Vorgehen möglichst koordinieren möchte. (Link: www.databreach.edoeb.admin.ch) Kontaktdaten der Datenschutzberaterinnen und -berater (DPO-Portal) Private können eine Datenschutzberaterin oder einen Da- tenschutzberatern (engl. data protection officer, DPO) er- nennen und dem EDÖB melden, wenn sie von Erleich- terungen bei der Datenschutz-Folgenabschätzung profitie- ren möchten. Bundesorgane sind zur Ernennung eines DPOs ver- pflichtet. Nach Artikel 27 Absatz 2 DSV müssen sie diese Kontaktdaten im Internet publizieren und dem EDÖB mitteilen. Das entsprechende Onlineportal bietet Bundes- organen die Möglichkeit, dem EDÖB die Kontaktdaten ihrer DPO auf elektronischem Weg zu melden. Bis dato haben mehr als zweitausend Verantwortliche einen oder mehrere DPO im Portal erfasst. (Link: www.dpo-reg.edoeb.admin.ch) 21 31. Tätigkeitsbericht 2023/24 Schwerpunkt
Neue Verordnung zur Datenschutzzertifi- zierung Zusammen mit dem revidierten Datenschutzgesetz ist auch die neue Verordnung über Datenschutzzertifizierungen (VDSZ) am 1. September 2023 in Kraft getreten. Dabei wurden die Richtlinien über die Mindestanforderungen an ein Managementsystem überarbeitet sowie Richtlinien über die weiteren datenschutzrechtlichen Kriterien für die Prüfung der Anforderungen an die Zertifizierung von Produkten, Dienstleistungen und Prozessen erstellt. In Zusammenarbeit mit dem Bundesamt für Justiz (BJ) und der Schweizerischen Akkreditierungsstelle (SAS) befasste sich der EDÖB mit der Anpassung der Verordnung über Datenschutzzertifizierungen (VDSZ) an das neue Daten- schutzgesetz (DSG). Neu sind – neben Organisation und Verfahren (sog. Management-Systemen) und Produkten – auch Dienstleistungen zertifizierbar. Obgleich nicht ausdrücklich vorgesehen, wird insbeson- dere im Rahmen der Zertifizierung von Produkten und Dienstleistungen auch die Möglichkeit berücksichtigt, Daten- bearbeitungen zertifizieren zu lassen. Dies erlaubt eine Annä- herung des Schweizer Zertifizierungssystems an das euro- päische Recht und sollte es ermöglichen, dass Schweizer Zertifizierungen von Datenbearbeitungen durch die für den Datenschutz zuständigen europäischen Behörden aner- kannt werden. Neu gibt es eine einheitliche Gültigkeitsdauer der Zerti- fizierungen von drei Jahren mit der Pflicht zur jährlichen Prüfung. Für private Verantwortliche wird mit dem DSG eine Aus- nahme von der Pflicht zur Erstellung einer Datenschutz- Folgenabschätzung eingeführt, wenn Datenbearbeitungen entsprechend zertifiziert sind. Diese ersetzt die im bisheri- gen Recht bestehende Möglichkeit, von der Pflicht zur Anmeldung von Datensammlungen entbunden zu werden. Die diesbezüglichen Bestimmungen wurden in der VDSZ entsprechend angepasst. Alle Informationen im Zusammenhang mit Datenschutz- zertifizierungen sind auf der Website des EDÖB zu finden. 22 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Schwerpunkt
Neue Vorlagen für Bearbeitungsreglemente Für gewisse Datenbearbeitungen muss ein Bearbeitungsreg- lement erstellt werden. Es soll einen Überblick über die Datenbearbeitungen liefern, was sich gerade bei der Behe- bung von Verletzungen der Datensicherheit (Data Breaches) als zentral erweisen kann. Der EDÖB stellt auf seiner Website geeignete Vorlagen zur Verfügung. Mit dem neuen Datenschutzgesetz (DSG) ist auch die neue Verordnung über den Datenschutz (DSV) am 1. September 2023 in Kraft getreten. Wie bereits nach altem Recht, ist für gewisse Datenbearbeitungen ein Bearbeitungsreglement zu erstellen. Die Voraussetzungen sind in den Artikeln 5 (für private Personen) und 6 (für Bundesorgane) DSV definiert. Um die Verantwortlichen einer Datenbearbeitung bei der Erstellung von Bearbeitungsreglementen zu unterstüt- zen, hat der EDÖB entsprechende Vorlagen bereitgestellt. Es gibt zwei verschiedene Vorlagen: eine für Bundesorgane, die andere für private Datenbearbeiter. Die Vorlagen liefern eine Aufstellung der notwendigen Inhalte und ein entspre- chendes Musterinhaltsverzeichnis. So hält das Bearbeitungsreglement unter anderem die Informationsflüsse fest: Diese sollen aufzeigen, welche Informationen vom systembetreibenden Organ mit ande- ren Organen wann, wie und in welcher Art ausgetauscht werden. Ein sorgfältig erstelltes und regelmässig überarbei- tetes Bearbeitungsreglement dient insbesondere bei Verlet- zungen der Datensicherheit (Data Breaches) als zentrales Dokument, um in einem ersten Schritt einen Überblick über die betroffenen Daten und Systeme zu erhalten. Wei- ter können daraus auch erste Massnahmen zur Schadens- minderung abgeleitet werden. Protokollierung Die Protokollierung wird durch Art. 4 DSV geregelt und ist Teil der technischen und organisatorischen Massnahmen zur Gewährleistung der Datensicherheit. Das Vorgehen gilt als Standardver fahren, wirft aber weiterhin Fragen auf. Im Berichtsjahr gingen beim EDÖB regelmässig Anfragen zur Protokollierung ein. Eine Pflicht zur Protokollierung bestand bereits im alten Recht (Art. 10 Datenschutzverord- nung, VDSG) und blieb grundsätzlich unverändert. Sie dient der Nachvollziehbarkeit der Datenbearbeitung und trägt zur Datensicherheit bei, indem sie die Datenbearbeitungen einerseits schriftlich festhält (und somit sichtbar macht) und andererseits auch ein besseres Verständnis der Bearbei- tungsprozesse im Ereignisfall ermöglicht. Der neue Arti- kel 4 der Datenschutzverordnung (DSV) ist detaillierter als der entsprechende Artikel im alten Gesetz. Für Bundesor- gane wird die Protokollierung neu obligatorisch, wobei ihnen für die erforderliche Umstellung eine dreijährige Über- gangsfrist eingeräumt wird (Art. 46 Abs. 1 Datenschutzver- ordnung, DSV). Zuvor galt die Protokollierungspflicht nur für spezifische Bearbeitungen (hauptsächlich bei der Bear- beitung besonders schützenswerter Daten und Profiling) und wenn andere präventive Massnahmen den Datenschutz nicht ausreichend gewährleisteten. In diesen Fällen gilt sie weiterhin auch für Private. Im Zusammenhang mit den geltenden Bestimmungen treten derzeit weiterhin diverse Fragen und praktische Schwierigkeiten auf (insbesondere Definition der automati- sierten Bearbeitung, Erfüllung des Protokollierungszwecks, Art und Weise der Protokollierung, Umgang mit alten Sys- temen ohne Protokollierungsfunktion, neue Technologien wie etwa KI usw.), zu denen der EDÖB angefragt wurde. 23 31. Tätigkeitsbericht 2023/24 Schwerpunkt
Aktualisierung des Leitfadens zu den tech- nischen und organisatorischen Massnahmen des Datenschutzes Das Inkrafttreten des neuen Datenschutzgesetzes veran- lasste den EDÖB zu einer Überarbeitung des Leitfadens zu den technischen und organisatorischen Massnahmen des Datenschutzes (TOM) auf juristischer und technischer Ebene. Der aktualisierte Leitfaden bietet Verantwortlichen, die Personendaten bearbeiten, einen Überblick über die gelten- den gesetzlichen Anforderungen sowie allgemeinverständ- liche Erklärungen der verschiedenen Konzepte, Hilfsmittel und Referenzen, die ihnen bei der Einführung der erforder- lichen Massnahmen nützlich sein können. Eine umfassende Überarbeitung der bisherigen Fassung des Leitfadens war nötig, um die Änderungen im neuen Datenschutzgesetz (DSG) und den neuesten Stand von Technik und Normen (state-of-the-art) wiedergeben zu können. Der Leitfaden behandelt unter anderem die im DSG verwendeten neuen Begriffe, beispielsweise die Bedeutung von Konzepten wie «hohes Risiko» und «Profiling», sowie neu eingeführte Hilfsmittel wie etwa Verhaltenskodizes und Zertifizierungen. Besonders hervorgehoben werden namentlich die Datenschutz-Folgenabschätzung (DFSA) sowie die diesbezügliche Rolle der Datenschutzberaterin oder des Datenschutzberaters. Der Leitfaden erklärt auch das Verzeichnis der Bearbeitungstätigkeiten und beschreibt, was bei Verletzungen der Datensicherheit zu tun ist. Der Leitfaden geht auch auf die spezifischen Anforderungen der Datenbearbeitung durch Bundesorgane ein, für die beson- dere Regelungen gelten. Die wichtigsten Bereiche des Datenschutzes werden unter dem Aspekt der in Betracht kommenden technischen und organisatorischen Massnahmen präsentiert, zu denen der Datenschutz durch Technik (Privacy by design) und datenschutzfreundliche Voreinstellungen (Privacy by default) gehören, aber auch Anonymisierung, Pseudonymisierung oder Vorkehrungen betreffend die Bearbeitungs-Infrastruk- tur und Empfehlungen zur Sicherung der Räumlichkeiten und der Serverräume sowie betreffend die Cloud-Nutzung bei Bearbeitung von Personendaten. Die Zugriffsverwal- tung, die Identifizierungs- und Authentifizierungsmass- nahmen und der Zugang von ausserhalb der Organisation (Homeoffice) werden ebenfalls erklärt. Des Weiteren wird auf die Sicherheit während des Lebenszyklus der Daten und auf entsprechende Massnahmen betreffend die Erfas- sung, Sicherung und Vernichtung der Daten eingegangen sowie auf deren Chiffrierung und Protokollierung, wenn dies erforderlich ist. Der Leitfaden zu den technischen und organisatorischen Massnahmen richtet sich in erster Linie an Personen, die für Informationssysteme zuständig sind und sich direkt mit der Verwaltung von Daten beschäftigen, ob sie nun Techni- kerinnen oder Techniker sind oder nicht. Er ist in den drei Landessprachen sowie auf Englisch auf der Website des EDÖB verfügbar. 24 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Schwerpunkt
Datenschutz-Folgenabschätzung Private und Bundesorgane müssen eine Datenschutz- Folgen- abschätzung (DSFA) erstellen, wenn bei einer Bearbeitung von Personendaten ein potenziell hohes Risiko für die Persönlich- keit oder die Grundrechte der Betroffenen erkennbar ist. Der EDÖB stellt mit seinem Merkblatt zur DSFA eine Hand- reichung insbesondere für private Datenbearbeiter zur Ver- fügung. Das Merkblatt nimmt eine Definition des hohen Risikos vor, gibt Anhaltspunkte zur Risikovorprüfung sowie zum Inhalt und Aufbau einer DSFA. Das Vorgehen nach Fertigstellung sowie die Massnahmen des EDÖB sind im Merkblatt skizziert. Der EDÖB prüft die ihm vorgelegten DSFA und teilt dem Verantwortlichen seine Stellungnahme mit. Diese hat empfehlenden Charakter und ist keine Ge- nehmigung oder Bewilligung der geplanten Datenbearbei- tung. Der EDÖB kann aber gestützt auf seine Aufsichts- funktion eine Untersuchung eröffnen und gegenüber dem Verantwortlichen die notwendigen Massnahmen verfügen. Das Bundesamt für Justiz stellt seinerseits Instrumente für den Umgang mit der DSFA in der Bundesverwaltung zur Verfügung, so unter anderem eine Richtlinie des Bun- desrates für die Risikovorprüfung und die Datenschutz-Fol- genabschätzung bei Datenbearbeitungen durch die Bundes- verwaltung und einen DSFA-Leitfaden. Untersuchungsverfahren Das revidierte Datenschutzgesetz verstärkt die Aufsichts- kompetenzen des EDÖB und erklärt das Verwaltungsverfah- rensgesetz als anwendbar für die Untersuchungen, die der EDÖB auf Anzeige hin oder aufgrund von Verstössen gegen die Datenschutzvorschriften vom Amtes wegen eröffnet. Der EDÖB verfügt nach dem neuen Gesetz ebenfalls über die Kompetenz, Verwaltungsmassnahmen zur Durchsetzung dieser Vorschriften anzuordnen. Unter bestimmten Voraussetzungen ist der EDÖB nicht nur befugt, sondern verpflichtet zu untersuchen. Er hat eine ausführliche Analyse der einschlägigen Bestimmungen des Gesetzes auf seiner Webseite veröffentlicht und zusätzlich in einem Merkblatt zusammengefasst. Der EDÖB stellt den von einer Datenschutzverletzung Betroffenen ein Anzeigeformular zur Verfügung. Auch nicht direkt betroffene Personen können beim EDÖB eine Anzeige einreichen. Verantwortlichen wird ein eigenes Kontaktformular zur Verfügung gestellt, mit dem sie eine Beratung beantragen oder die Stellungnahme des EDÖB zu spezifischen Geschäf- ten verlangen können, beispielweise zwecks Genehmigung von Verhaltenskodizes oder bezüglich der Bekanntgabe von Personendaten ins Ausland. 25 31. Tätigkeitsbericht 2023/24 Schwerpunkt
UNTERSUCHUNGEN GEGEN FEDPOL, BAZG UND XPLAIN RIPOL-Zugriffe und Daten- sicherheitsverletzung Die Untersuchungen betreffend die Zugriffe auf das Fahndungsregister RIPOL und die Datensicherheitsverletzung bei der Xplain AG sind weit fortgeschritten. Am 13. April 2023 startete der EDÖB ein Vorabklärungsverfahren betref- fend die von der Aargauer Zeitung am 11. April 2023 aufgeworfenen Fragen zur Rechtmässigkeit von Zugriffen von Mitarbeitenden des Bundesamtes Zoll- und Grenzsicherheit (BAZG) auf das vom Bundesamt für Polizei (fedpol) betriebene nationale Fahndungsregister RIPOL. Im Verlauf des Vorabklärungs- verfahrens haben die beiden Bundes- ämter schriftliche Stellungnahmen zum Sachverhalt eingereicht. Gestützt auf diese Rückmeldungen hat der EDÖB gegen beide Bundesämter ein formel- les Verfahren betreffend die RIPOL- Zugriffe eröffnet. Die beiden Bundes- ämter haben einen Fragekatalog des EDÖB beantwortet und die fraglichen Datenbearbeitungen im Sinne von 1.2 Justiz, Polizei, Sicherheit Art. 27 Abs. 3 aDSG vorgeführt. Diese beiden Verfahren wurden bis zum Abschluss des untenstehend beschrie- benen Verfahrens betreffend den Datensicherheitsvorfall bei der Firma Xplain AG sistiert. Anfang Juni 2023 setzten die beiden Bundesämter fedpol und BAZG den EDÖB darüber in Kenntnis, dass es durch die Zusammenarbeit mit der Xplain AG zu Verletzungen der Daten- sicherheit mit potenziell hohen Risi- ken für die Betroffenen gekommen sei. Am 20. Juni 2023 eröffnete der EDÖB weitere formelle Untersuchungen gegen die beiden Bundesämter betref- fend dieser Datensicher- heitsverletzung (s. Medi- enmitteilung vom 21.06.2023). Die Verfah- ren wurden am 13. Juli 2023 auf das Unternehmen Xplain aus gedehnt (s. Medienmitteilung vom 1 4.07.2023). Die beiden Bundesämter BAZG und fedpol haben im Zuge der Untersuchungen Fragenkataloge betref- fend die Datensicherheitsverletzung beantwortet. Bei den Verfahrenspar- teien wurden Dokumente editiert. Zudem fanden Anhörungen der Par- teien und des Bundesamtes für Cyber- sicherheit BACS statt, sodass der EDÖB den Sachverhalt näher abklären konnte. Der Beauftragte behandelt die Verfah- ren betreffend den Datensicherheits- vorfall bei der Xplain AG prioritär und beabsichtigt dieses zeitnah abzu- schliessen. HACKERANGRIFF Vorabklärungen betreffend die Firma Concevis Im Anschluss an den Cyberangriff gegen Concevis leitete der EDÖB zwei Vorabklärungen betreffend der Firma bzw. des Bundesamtes für Statistik (BFS) ein. Die Abklärungen laufen der- zeit noch. Im November 2023 wurde die Conce- vis AG Opfer eines Ransomware- Angriffs. Die Firma bietet unter ande- rem Softwarelösungen für öffentliche Verwaltungen an. Unter den entwen- deten Daten befinden sich Daten des Bundesamtes für Statistik (BFS). Mitte November eröffnete der EDÖB zwei Vorabklärungen betreffend die Firma Concevis bzw. das BFS. Ziel der Vorab- klärungen ist es, nach Massgabe des DSG zunächst zu prüfen, ob Versäum- nisse vorliegen und gegebenenfalls deren Ausmass zu beurteilen. Datenschutz 26 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
Datenschutz 27 31. Tätigkeitsbericht 2023/24
POLIZEIDATENBANK EDÖB fordert datenschutz- konforme Digitalisierung der polizeilichen Amtshilfe Die Konferenz der kantonalen Polizei- und Justizdirektorinnen und -direkto- ren (KKJPD) hat im Winter 2023/24 eine Vernehmlassung zu einer Vereinbarung zum polizeilichen Datenaustausch mit einer vorgesehenen Bundesbeteiligung durchgeführt, zu der sich der Beauf- tragte sowohl in der Vernehmlassung als auch in den Medien kritisch äus- serte. Er fordert eine verhältnismässige und mit den Rechtsschutzansprüchen der Bevölkerung vereinbare Moderni- sierung des polizeilichen Austausches von Personendaten. Die geplante Vereinbarung bezweckt die Schaffung eines gemeinsamen Polizei- datenraums mittels einer Abfrageplatt- form. Über diese Plattform sollen einer- seits die nicht bereits in nationale Poli- zeisysteme aufgenommenen Informa- tionen über kantonspolizeilich erfasste Personen neu voraussetzungslos unter den kantonalen Korps über Online- abfragen zugänglich gemacht werden. Heute ist dazu eine Einzelfallprüfung im Rahmen der teilautomatisierten Amtshilfe nötig. Interkantonal unmittelbar zugäng- lich gemacht würden damit gemäss dem bei Drucklegung massgebenden Wortlaut der Vereinbarung u. a. auch verwaltungspolizeiliche Bewilligungen und Massnahmen oder polizeiliche Bagatellvorgänge wie Ruhestörungen. Über die in der Vereinbarung ander- seits vorgesehene Beteiligung des Bun- des würden dieselben Informationen sodann auch den Polizeiorganen des Bundes unmittelbar zugänglich. Diese befassen sich bislang schwergewichtig mit komplexen und schweren Straf- taten und Sicherheitsgefährdungen. Indem der Anwendungsbereich der geplanten Vereinbarung das ganze Spektrum von präventiven und repres- siven Aufgaben der Polizei umfasst und die Verwendung der korpsüber- greifenden Personendatenbearbeitung von keinen hinreichend konkreten Zweckvorgaben abhängig macht, muss davon ausgegangen werden, dass die neue Plattform zu einer systemischen Veränderung der polizeilichen Daten- flüsse und Bearbeitungsbefugnisse auf allen Stufen des föderalen Staates (Gemeinden, Kantone, Bund) führen würde. So auch beim Datenschutz, indem die Vereinbarung vorsieht, dass die Datenbearbeitung in der Abfrage- plattform nach dem Datenschutzgesetz des Bundes und, falls sich Letzterer wie geplant an ihr beteiligt, unter der Aufsicht des EDÖB durchzuführen sei. Aufgrund der einheitspolizeilichen Züge der auf eine Bundesbeteiligung abzielenden Gesamtarchitektur weist das Vorhaben ein hohes Potenzial für schwerwiegende Eingriffe in die Privat- sphäre und informationelle Selbstbe- stimmung der Bevölkerung auf. Die heute über den nationalen Polizeiindex teilautomatisiert ablaufende Amtshilfe ist mit einer allgemeinen Dokumenta- tionspflicht verbunden, die den von einer Datenweitergabe betroffenen Per- sonen die Wahrung ihrer Rechte ermög- licht. Demgegenüber droht mit einer voraussetzungslosen Onlineverfüg- barkeit aller Polizeidaten eine weitge- hende Erosion dieses Rechtsschutzes. Zum Redaktionsschluss ist nicht bekannt, ob der Wortlaut der geplanten Vereinbarung die datenschutzrechtlich nötigen Einschränkungen und Präzi- sierungen erfahren wird. Das gleiche gilt für die geplante Bundesbeteiligung, die ohne nötige Einschränkungen und Präzisierungen darüber hinaus auf staats- und verfassungsrechtliche Be- denken stösst. Datenschutz 28 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
rien ab: • In qualitativer Hinsicht muss aus den Rechtsgrundlagen hervorgehen, dass der Zugriff der fremden Behörde unter Beachtung des Verhälntismässigkeits- grundsatzes auf ausgewählte Daten- kategorien begrenzt wird, die für die Unterstützung hinreichend bestimmter Bearbeitungszwecke der fremden Behörde eingegrenzt wird. • Zweitens muss in quantitativer Hinsicht aufgrund eines Mengengerüstes nach- gewiesen werden, dass die Gewährung eines Onlinezugangs geeignet und nötig ist. Dies ist der Fall, wenn jede der zu unterstützenden Aufgaben einer anderen Behörde ohne Gewährung des Onlinezugangs zu einer Häufung von manuellen oder teilautomatisierten Amts- hilfegesuchen mit ähnlichen oder gleich lautenden Begründungen führt. Zudem muss der Kreis der Zugriffsberechtigten auf jene Teile des Personals der frem- den Behörde beschränkt werden, die über die nötige Spezialisierung und Ausbildung verfügen, um die zu unter- stützenden Aufgaben rechtskonform durchzuführen. • Drittens ist bei bedeutenden Vorhaben, die angesichts des grossen Umfangs und der hohen Intensität der online Datenteilung sowie der besonders schützenswerten Natur der geteilten Daten potenziell schwer in die Grund- rechte, Persönlichkeit und Rechts- schutzinteressen zahlreicher Personen eingreifen, eine Datenschutz Folgen- abschätzung zu erstellen. Onlinevernetzung von Behörden Auch in diesem Berichtsjahr sah sich der Beauftragte im Rahmen diverser Konsul- tationsverfahren mit einer Vielzahl von Erlassentwürfen konfrontiert, die eine online Datenteilung von besonders schüt- zenswerten Personendaten unter der Ver- antwortung oder massgeblichen Beteili- gung von Bundesorganen vorsehen. Dabei fiel auf, dass sich Projektverant- wortliche zunehmend schwertun, Online- vernetzungen von Behörden im Sinne der dargelegten Erfordernisse zu begründen. Stattdessen wird sinngemäss vorge- bracht, dass die Onlineverknüpfung der Behörden dem zeitgemässen Erfordernis der Digitalisierung der Verwaltungen nach Massgabe des heute technisch Mach- baren entspreche und als solches weder einer besonderen Rechtfertigung noch zweck- oder umfangmässiger Beschrän- kungen bedürfe. «Monolithische Superbehörden» Argumentationen, die auf ein Diktat des technisch Machbaren hinauslaufen, muss sich der Beauftragte widersetzen, weil sie mit dem Bestimmtheitsgrund- satz der Gesetzgebung und den daten- schutzrechtlichen Prinzipien der Legali- tät und Verhältnismässigkeit kollidieren. Er warnt eindringlich davor, dass Behör- den mit ganz oder teilweise deckungs- gleichen Aufgaben die bei ihnen über die Bürgerinnen und Bürger anfallenden Daten in ihrer Gesamtheit teilen und sich so unbesehen über alle Zuständigkeits- grenzen des in örtlicher und sachlicher Hinsicht machtteilig ausgestalteten Rechtstaates hinaus vernetzten. Eine derartige Entwicklung müsste in letzter Konsequenz dazu führen, dass die den Bürgerinnen und Bürgern heute als Service Public zu Diensten stehenden Fachämter früher oder später in «monolithischen Superbehörden» aufgehen, die der Bevöl- kerung allwissend gegenübertreten. Datenschutz 29 31. Tätigkeitsbericht 2023/24
Datenschutz 30 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
1.3 Wirtschaft und Gesellschaft ONLINEKAMPAGNE «PFARRER-CHECK» Untersuchung gegen den Verein Bürgerforum Schweiz Der Verein «Bürgerforum Schweiz» betreibt die Onlinekampagne «Pfarrer- Check». Mittels Fragebogen will er testen, welche Pfarr- und anderen im kirchlichen Umfeld tätigen Personen seine Glaubensansichten teilen. Eine Internetdatenbank macht dabei u. a. öffentlich, wer den Fragebogen erhalten und wie er oder sie allenfalls geantwor- tet hat. Der EDÖB hat im letzten Quartal 2023 eine Untersuchung eröffnet. Im Berichtsjahr ist der EDÖB aufgrund einer Anfrage durch den Verein «Bür- gerforum Schweiz» sowie zufolge Mel- dungen von Bürgerinnen und Bürgern auf die Datenbearbeitungen des Vereins in Zusammenhang mit seiner Online- kampagne «Pfarrer-Check» aufmerk- sam geworden. Der Verein erhebt Per- sonendaten von im kirchlichen Umfeld tätigen Personen (Pfarrerinnen und Pfarrer, Mitglieder eines Kirchrats oder der Synode, Universitätsangestellte, Jugendarbeiterinnen und -arbeiter etc.), deren Adressen öffentlich auffindbar sind, um ihnen einen Fragebogen zu unterbreiten. Die Fragen sollten es ermöglichen festzustellen, ob diese Personen die Glaubensansichten des Vereins teilen. Problematisch erschien, dass der Verein eine öffentlich zugäng- liche Datenbank mit diesen Informa- tionen aufgebaut hat. Aufgrund der Weigerung, Löschbegehren von betrof- fenen Personen zu berücksichtigen, deren Daten auf der Webseite der Kam- pagne veröffentlicht sind, intervenierte der EDÖB vorerst informell und ver- langte, dass den Löschbegehren nach- gegangen werde und die Antworten zum Fragebogen nur mit einer ausdrück- lichen Einwilligung publiziert werden. Der Verein «Bürgerforum Schweiz» akzeptierte unsere Forderung, nur Antworten von Personen zu publizie- ren, die dazu vorgängig ausdrücklich eingewilligt haben. Er war jedoch der Ansicht, dass sich die von ihm vorge- nommene Bearbeitung von Personen- daten auf ein überwiegendes öffentli- ches Interesse stützen kann. Auch wenn eine betroffene Person Widerspruch gegen die Bearbeitung ihrer Daten erhebt, weil sie nicht in der Datenbank verzeichnet sein möchte, löscht er diese Daten daher nicht. Der EDÖB eröffnete im Dezember 2023 eine formelle Untersuchung, um die fragliche Datenbearbeitung auf ihre datenschutzrechtliche Konformität genauer zu prüfen. Nach neuem Recht stellt er im Rahmen eines Verwaltungs- verfahrens zunächst den rechtsver- bindlichen Sachverhalt fest und schloss dann das Verfahren mit einer Verfü- gung ab. BEWERBUNGSFORMULAR FÜR MIETWOHNUNGEN Vorabklärung bei einer Immobilienverwaltung Der EDÖB hat eine Immobilienverwal- tung im Rahmen einer informellen Vor- abklärung auf datenschutzrechtlich fragwürdige Kriterien im Bewerbungs- formular für Mietwohnungen hingewie- sen, worauf die Immobilienverwaltung das Formular umgehend korrigierte. Ein Bewerbungsformular für Miet- wohnungen enthielt neben den zu erwartenden und zulässigen Fragen nach Personalien und finanziellem Hintergrund der zukünftigen Miete- rinnen und Mietern auch die Auffor- derung, den Nachweis einer allfälligen Schwangerschaft zu erbringen. Der Vermieter stellte sich auf den Standpunkt, dass die Frage im Lichte der Wohnungsknappheit in den Städten beurteilt werden muss. Sie erlaube es dem Vermieter, grössere Wohnungen auch an Bewerbende zu vergeben, die erst in der Familienplanung sind, aber noch keine Kinder haben, sodass sie gegenüber Familien mit Kindern nicht benachteiligt werden. Zudem würden die Daten bei Nichtberücksichtigung des Dossiers gelöscht. Datenschutz 31 31. Tätigkeitsbericht 2023/24
stossen könnte und die Verletzung nicht nur von geringfügiger Bedeutung ist. Bevor der EDÖB eine Untersuchung einleitet, hat er die Möglichkeit, in einem ersten Schritt auf informelle Art und Weise tätig zu werden. Der EDÖB strebt im Grundsatz bei sei- nen Abklärungen ein lösungsorientiertes und ressourcenschonendes Vorgehen an. Ziel ist, dass eine allfällige Verletzung der Persönlichkeit rasch behoben wird. Betrof- fene sind heute sensibilisiert auf die Wahrnehmung ihrer Persönlichkeitsrechte, und den Unternehmen ist bewusst, dass die korrekte Umsetzung des Datenschut- zes ein zentrales Element im Verhältnis zu ihren Kundinnen und Kunden ist. Erhält der EDÖB Kenntnis einer potenzi- ellen Datenschutzverletzung, weist er des- halb oft in einem ersten, informellen Schritt den Verantwortlichen auf sein mögliches Fehlverhalten hin. Erfahrungsgemäss sind die Datenbearbeiter anschliessend in vielen Fällen bereit, die notwen digen Anpassun- gen zeitgerecht vorzunehmen. Selbstverständlich können sich die angeschriebenen Verantwortlichen in ihrer Rückmeldung an den EDÖB zu den Vorhalten äussern und ihre Sicht auf den konkreten Sachverhalt und die Rechts- lage einbringen. Es besteht für die Ver- antwortlichen im Rahmen informeller Vorabklärungen keine Rechtspflicht, den Ausführungen des EDÖB Folge zu leisten. Führt der informelle Austausch nicht zu einer befriedigenden und rechtskon- formen Lösung, behält sich der EDÖB jederzeit die Eröffnung einer formellen Untersuchung vor, in deren Rahmen er den Sachverhalt und die Rechtmässigkeit der Personendatenbearbeitung in Anwen- dung des Bundesgesetzes über das Ver- waltungsverfahren eingehend prüft und nach Anhörung der mitwirkungspflichti- gen Verantwortlichen gegebenenfalls Verwaltungsmassnahmen verfügt. ren für einen Mietvertrag angesichts der Wohnungsknappheit nur mit grosser Zurückhaltung angenommen werden kann. Die Immobilienverwaltung wurde aufgefordert, die Datenbearbeitung konform zur Gesetzgebung zu gestal- ten, das Bewerbungsformular entspre- chend zu korrigieren, und allfällige bereits beschaffte Daten umgehend zu löschen. Die Immobilienverwaltung ist diesen Forderungen innert First nachgekom- men. Datenschutz 32 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
AUKTIONSPLATTFORM RICARDO Schlussbericht mit Empfeh- lungen des EDÖB Unsere im Jahr 2017 eröffnete Sach- verhaltsabklärung betreffend die Auk- tionsplattform Ricardo haben wir im Berichtsjahr mit Empfehlungen abge- schlossen. Wir kamen zum Schluss, dass die Datenbearbeitungen durch Ricardo und TX Group – insbesondere die Wei- tergabe und das plattformübergreifende Tracking zwecks zielgerichteter Wer- bung – im konkreten Fall durch explizite Einwilligung der Betroffenen gerecht- fertigt werden sollen. Auch die Daten- schutzerklärung sollte nachgebessert werden. Der EDÖB hatte bereits in seinem 28. Tätigkeitsbericht über einige seiner Feststellungen zum geprüften Sach- verhalt informiert (s. 28. TB, Kap. 1. 4). Nach der Einführung einer Consent Management Plattform auf der Web- site von Ricardo und der Gründung der Swiss Marketplace Group (SMG), prüfte der EDÖB die Auswirkungen dieser technischen und organisatori- schen Änderungen auf die im vorlie- genden Verfahren analysierten Daten- bearbeitungen (s. 29. TB, Kap. 1.3). Angesichts der Ausführungen von Ricardo und der TX Group, wonach die Datenbearbeitungen, Datenflüsse und Datenverantwortlichen nach der Umstrukturierung unverändert blie- ben bzw. die neuen Akteure – die Ge- sellschaften der SMG und deren Ak- tionäre – nicht am Datenaustausch teilnehmen würden, wurde 202 2 fest- gehalten, dass die Sachverhaltsabklä- rung in verfahrensrechtlicher Hinsicht nicht angepasst oder ausgedehnt wer- den müsse. Im Berichtsjahr wurde jedoch bekannt, dass neben dem Daten- austausch zwischen Ricardo AG und TX Group AG, welcher Gegenstand unserer Abklärung war, mittlerweile auch ein Datenaustausch innerhalb der SMG stattfindet. Der EDÖB entschied, dass es nicht zielführend sei, das be- reits fortgeschrittene Verfahren formell auf die SMG auszudehnen, um den Sachverhalt hinsichtlich des Datenaus- tausches innerhalb der SMG zu klären. Sollte sich dies als notwendig erwei- sen, würde der EDÖB eine neue Un- tersuchung auf der Grundlage des inzwischen revidierten Gesetzes ein- leiten. Damit die Schlussfolgerungen des EDÖB so weit wie möglich dem aktu- ellen Stand des Sachverhalts entspra- chen, berücksichtigte er die Aufschal- tung einer neuen Datenschutzerklärung und den Einsatz einer Consent Ma- nagement Plattform auf der Website von Ricardo durch eine Ergänzung sei- ner Sachverhaltsfeststellung. Ricardo und TX Group wurden aufgefordert, diese Ergänzung auf ihre Korrektheit zu prüfen. Gestützt darauf erarbeitete der EDÖB seine rechtliche Würdigung des Sachverhalts. In materieller Hinsicht ist der EDÖB zum Schluss gekommen, dass die Datenbearbeitungen, welche durch Ricardo und TX Group zwecks zielge- richteter Werbung durchgeführt werden, Persönlichkeitsverletzungen darstel- len, die nicht durch überwiegende Interessen der beiden Datenbearbeiter gerechtfertigt werden. Die Datenwei- tergabe durch Ricardo und das platt- formübergreifende Tracking der TX Group müssten im Einzelfall durch eine Einwilligung gerechtfer- tigt werden, die nach angemessener Information freiwillig erfolgen müsse. Da die Datenbearbei- tung zu Persönlichkeitsprofilen führen kann, sprach der EDÖB eine Empfeh- lung aus, wonach die Nutzenden vor- gängig auf die vorlie gende Datenwei- tergabe an die TX Group sowie auf die plattformübergreifende Datenver- knüpfung zum Zweck der gezielten Werbung hingewiesen werden und ihre Einwilligung dazu ausdrücklich erteilen müssten. Auch sollten die Informationen auf der Auktionsplatt- form und in der Datenschutzerklärung nachgebessert werden. Der EDÖB hat Ricardo sowie TX Group den Schlussbericht zur Prüfung und Stellungnahme vorgelegt. Datenschutz 33 31. Tätigkeitsbericht 2023/24
KUNDENDATEN Untersuchung bei Digitec Galaxus Der EDÖB eröffnete im Frühjahr 2021 ein Verfahren zur Überprüfung der Kundendatenbearbeitungen bei Digitec Galaxus, einem der grössten Schweizer Onlineshops. In seinem Schlussbericht stellt er fest, dass die Grundsätze der Transparenz und der Verhältnismässig- keit verletzt werden, und spricht ent- sprechende Empfehlungen aus. Nach einer informellen Vorabklärung eröffnete der EDÖB im Frühjahr 2021 ein Verfahren gegen Digitec Galaxus, um die Bearbeitungen von Kundendaten auf ihre Datenschutzkonformität hin zu überprüfen (s. 28. TB, Kap. 1. 4 und 29. TB, Kap. 1.3). Anlass für die Unter- suchung waren Hinweise von betrof- fenen Personen, wonach sämtliche in der Datenschutzerklärung des Online- shops umschriebenen Datenbearbei- tungen hingenommen werden müssten, um eine Bestellung tätigen zu können. Ein nachträglicher Widerspruch der betroffenen Personen gegen die in der Datenschutzerklärung vorgesehenen Bearbeitung ihrer Personendaten wurde von der Betreiberin mit der Begrün- dung abgelehnt, dass die Datenschutz- erklärung für alle ausnahmslos und gleichermassen gelten würde. Im Rahmen der umfangreichen Sach- verhaltsabklärung führte die Verant- wortliche aus, dass verschiedene Be- arbeitungen gar nicht durchgeführt würden. Auch sei das Widerspruchs- recht umfassend abgedeckt, wenn betroffene Personen von der Bestellung absehen oder die Löschung ihrer Personendaten verlan- gen könnten. Die Datenbearbeitungen auf der Webseite, insbesondere die Pflicht zur Registrierung eines Kunden- kontos und die Auswertung des Kun- den- und Kaufverhaltens, entsprächen den datenschutzrechtlichen Grundsät- zen und benötigten somit keinen Rechtfertigungsgrund. Der Beauftragte prüfte, ob die Infor- mationen in der Datenschutzerklärung den rechtlichen Anforderungen an die Transparenz genügen. Ausserdem untersuchte er, inwieweit die Auswer- tung des Kaufverhaltens der betroffe- nen Personen der Betreiberin erlaubte, Rückschlüsse über wesentliche Aspekte der Persönlichkeit der Kunden zu ziehen, und inwiefern gewisse Daten- bearbeitungen verhältnismässig sind, wenn sie gegen den ausdrücklichen Willen der betroffenen Personen er- folgen. Der Sachverhalt wurde gemäss der Übergangsbestimmung in Art. 70 DSG noch nach altem Recht beurteilt, wes- halb der Beauftragte seine Empfehlun- gen auf Art. 29 Abs. 3 des DSG von 1992 stützte (s. 30. TB, Box S. 20). Nach eingehender Prüfung gelangte der EDÖB in seinem Schlussbericht unter anderem zum Schluss, dass die Betrei- berin die Grundsätze der Transparenz und der Verhältnismässigkeit verletzt, weshalb er mehrere Empfehlungen zur Behebung der festgestellten Bearbei- tungsmängel formulierte. In seiner Stellungnahme hielt Digi- tec Galaxus fest, dass einige der Emp- fehlungen zur Erhöhung der Transpa- renz durch die Einführung einer neuen Datenschutzerklärung während des laufenden Verfahrens bereits vorweg- genommen wurden. Einige Empfeh- lungen wies sie ab. Der Beauftragte schlug in einer der Empfehlungen eine Anpassung der Datenbearbeitung vor, die nicht stärker in die informationelle Selbstbestimmung ihrer Kunden ein- greift als nötig. Eine Möglichkeit sei nach Auffassung des Beauftragten das alternative Anbieten eines Gastkaufs, d. h. eines Kaufs, der auf der Online- plattform ohne Registrierung getätigt werden kann. Digitec Galaxus nahm diese Empfehlung an und wird dem EDÖB entsprechende Umsetzungsvor- schläge unterbreiten. Sobald diese vorliegen, wird der EDÖB prüfen, ob und in wie weit er gegen Bearbeitungen vorgehen wird, die Gegenstand von abgelehnten oder allenfalls nicht rechtskonform umge- setzten Empfehlungen sind. Datenschutz 34 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
DATING-APP Abschluss der Sach ver halts ab - klärung bei der Once Dating AG Der EDÖB konnte sein Verfahren gegen die in der Schweiz ansässige, aber inter- national tätige Anbieterin der Dating- plattform Once abschliessen. Nachdem das Unternehmen die Plattform ver- kauft hatte, bestätigte es dem EDÖB, die datenschutzkonforme Weitergabe oder Löschung der Daten seiner ehe- maligen Kunden. Im Frühjahr 2021 eröffnete der EDÖB eine Sachverhaltsabklärung betreffend die Datenbearbeitungen der Dating- App Once. Sein Ziel war insbesondere zu klären, ob der Umgang mit Lösch- begehren und die Weitergabe von Per- sonendaten an Dritte datenschutzkon- form sind (s. 28. und 29. TB, Kap. 1.1, 30. TB, Kap. 1.3). In seinem Schlussbericht vom 17. Mai 2023 sprach der EDÖB mehrere Empfehlungen aus, um festgestellte Mängel zu beheben und die Einhaltung der Bearbeitungsgrundsätze des Daten- schutzgesetzes zu gewährleisten. Die Once Dating AG nahm die Empfeh- lungen an und teilte dem EDÖB mit, dass die Plattform inzwischen an eine TRACKING- TECHNOLOGIEN Bedenken gegen Oracle America ausgeräumt: Einwohnende der Schweiz sind von fraglichen Datenbearbeitungen nicht betroffen Die Datenbearbeitungen, für die Oracle America, Inc. in den USA zivilgerichtlich in Anspruch genommen wird, betreffen die Schweizer Bevölkerung nicht. Der EDÖB hat seine Abklärungen eingestellt und verzichtete auf die Eröffnung eines formellen Verfahrens. Der EDÖB informierte die Öffentlich- keit mit seiner Kurzmitteilung vom 27. September 202 2, dass er die gegen Oracle America, Inc. (nachfolgend: Oracle America) in einer US-Sammel- klage erhobenen Ansprüche zur Kennt- nis genommen und diese auf allfällige Persönlichkeitsverletzungen für in der Schweiz ansässige Personen geprüft habe. Gemäss der erwähnten Klage wurde Oracle America vorgeworfen, mit Tracking-Technologien Daten von fünf Milliarden Internetnutzern zu ausländische Firma verkauft worden sei (s. Medienmitteilung vom 13. Juni 2023). Das Unternehmen teilte dem EDÖB zudem mit, dass es vor der Über- nahme alle inaktiven Kundendaten unverzüglich gelöscht hätte. Die akti- ven Kundinnen und Kunden der Once Dating-App seien über die Übernahme informiert worden und hätten die Mög- lichkeit erhalten, auf die durch die Rechtsnachfolgerin betriebene Platt- form zu migrieren. Die Erwerberin hätte ausserdem von den Empfehlun- gen des EDÖB mit Blick auf die letz- tere Plattform Kenntnis genommen. Der EDÖB hat seine Untersuchung somit abgeschlossen. Datenschutz 35 31. Tätigkeitsbericht 2023/24
TRANSPARENZ JURISTISCHER PERSONEN Einführung eines Registers wirtschaftlich berechtigter Personen Mit der Einführung eines Eidgenössi- schen Registers der wirtschaftlich berechtigten Personen von juristischen Personen und weiteren gezielten Mass- nahmen soll die wirksame Bekämpfung von Geldwäscherei, Terrorismusfinan- zierung und Wirtschaftskriminalität gestärkt werden. Gleichzeitig wird damit der Entwicklung internationaler Stan- dards Rechnung getragen. Der EDÖB hat das Gesetzgebungsprojekt begleitet. Seine Kritik wurde teilweise berück- sichtigt. Der Bundesrat beauftragte das Finanz- departement (EFD) am 12. Oktober 202 2 in Zusammenarbeit mit dem Eid- genössischen Justiz- und Polizeidepar- tement (EJPD) bis zum Sommer 2023 den Entwurf für ein Gesetz über die Transparenz juristischer Personen (T JPG) zu erarbeiten, das namentlich die Iden- tifizierung wirtschaftlich berechtigter Personen erleichtern und so wichtige Elemente des Systems zur Bekämpfung der Finanzkriminalität verstärken und modernisieren soll. Die Vernehmlassung zum T JPG dauerte vom 30. August bis zum 30. November 2023. Der EDÖB hat seine Standpunkte im Rahmen der Ämterkonsultation eingebracht. Dadurch konnte das Pro- jekt aus datenschutzrechtlicher Sicht verbessert werden, indem etwa eine Präzisierung des Inhalts des neuen Eid- genössischen Registers der wirtschaft- lich berechtigten Personen erfolgte. der Schweiz im Zusammenhang mit den Werbedienstleistungen technisch zu verhindern, und bestätigte, dass die Oracle-Advertising-Dienste keine Bearbeitung von Informationen über Personen aus der Schweiz beinhalteten, abgesehen von der Unkenntlichma- chung und anschliessenden Löschung, um die Verwendung für Werbezwecke zu verhindern. Das Unternehmen be- stätigte weiter, keine Informationen über in der Schweiz ansässige Personen im Zusammenhang mit dem Oracle- ID-Graph-Dienst und auch keine Off- line-Informationen über sie zu bear- beiten. Zudem nahm der EDÖB zur Kenntnis, dass Oracle America sämt- liche «AddThis»-Dienste per 31. Mai 2023 eingestellt hat. Aus diesen Gründen hat der EDÖB seine Abklärungen eingestellt und die Öffentlichkeit mit einer Kurzmeldung vom 6. Oktober 2023 informiert, dass kein formelles Verfahren eröffnet wird. sammeln und in einer Datenbank zusam- menzutragen. Die gesammelten Daten sollten durch Oracle America analy- siert und ausgewertet werden, um eine Datensammlung über alle erfassten Personen zu erstellen (s. auch 30. TB, Kap. 1.3). Der EDÖB hat die in der Klage er- hobenen Vorwürfe analysiert und sowohl die Oracle Schweiz GmbH als auch Oracle America kontaktiert und mit Fragen konfrontiert. Konkret wollte er wissen, wie Oracle America Ziffer 7 der «Oracle Advertising Policy» um- setzt, um sicherzustellen, dass keine Informationen von Personen aus der Schweiz für Werbezecke verwendet werden. Oracle America hat dem EDÖB zugesi- chert, dass sie ihre Dienst- leistungen als Data Broker für Datenanbieter in der Schweiz nicht mehr anbiete und alle Verträge mit Datenanbietern, die Daten speziell über Personen in der Schweiz liefern, bereits vor Jahren gekündigt habe. Zudem hat sie glaubhaft erklärt, dass sie technische Massnah- men ergriffen habe, um die Verwendung von Informationen über Personen in Datenschutz 36 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
WIRTSCHAFT Neues Gesetz zur Überprüfung ausländischer Investitionen Der Bundesrat verabschiedete am 15. Dezember 2023 die Botschaft für ein Bundesgesetz über die Prüfung ausländischer Investitionen. In der Ämterkonsultation wirkte der EDÖB auf die Berücksichtigung datenschutz- rechtlicher Vorgaben hin. Durch die Einführung einer Investi- tionsprüfung sollen Übernahmen von inländischen Unternehmen durch ausländische Investoren verhindert werden, sofern diese Übernahmen die öffentliche Ordnung oder Sicherheit der Schweiz gefährden oder bedrohen. Zu diesem Zweck sieht der Entwurf zu einem Bundesgesetz über die Inves- titionsprüfung vor, Übernahmen von inländischen Unternehmen einer Ge- nehmigungspflicht durch das SECO zu unterstellen. Dies betrifft Unterneh- men, die in einem besonders kritischen Bereich tätig sind und durch ausländi- sche Investoren übernommen werden, welche staatlich kontrolliert werden. Mehr Transparenz Anlässlich der Ämterkonsultation zur Botschaft zum Investitionsprüfgesetz konnte der EDÖB – wie bereits bei der Ämterkonsultation zum Vorentwurf – auf die Berücksichtigung datenschutz- rechtlicher Vorgaben hinwirken. Bei- spielsweise erreichte der EDÖB bezüg- lich der Zusammenarbeit des SECO mit inländischen Behörden, dass klarer statuiert wird, wer wem zu welchem Zweck und auf welche Weise welche Daten bekanntgibt. Erweitertes Beschwerderecht Der EDÖB äusserte sich auch etwa kri- tisch zur Regelung des Rechtsschutzes, welche die Beschwerdeberechtigung ursprünglich auf den ausländischen staatlichen Investor und das inländische Unternehmen beschränkte. Neu sieht der Gesetzesentwurf vor, dass diese Einschränkung der Beschwerdeberech- tigung nicht gilt bei einer Auskunfts- oder Editionsverfügung des SECO. Damit können nebst dem ausländischen staatlichen Investor und dem inländi- schen Unternehmen nun auch die wei- teren an der Übernahme beteiligten Personen den Rechtsweg beschreiten, wenn sie eine Auskunftsverfügung des SECO anfechten wollen. Die Bedenken des EDÖB zu verschie- den Punkten des T JPG konnten bei der Bereinigung des Entwurfes jedoch nur teilweise ausgeräumt werden. Da die Zwecke des Gesetzes mit der Formu- lierung «insbesondere» nur beispielhaft aufgezählt werden, kritisierte der EDÖB die mangelnde Bestimmtheit dessen Anwendungsbereichs. Der EDÖB hat zudem wiederholt betont, dass jeder Zugriff einer Behörde auf das Register einen erkennbaren Zweck verfolgen und verhältnismässig sein muss. Deshalb ist jeder Onlinezugriff einer Behörde, wie etwa jene des Bundesamtes für Statistik oder des Nach- richtendienstes, schlüssig zu begründen. Als unge- nügend rügten wir auch die Bestimmt- heit der Regelung des Profilings. Der EDÖB hat in der Ämterkon- sultation vom EFD des Weiteren ver- geblich verlangt, vor der Einführung des Registers mit Onlinezugriffen von verschiedenen Behörden mindestens eine Vorprüfung zur Durchführung einer Datenschutz-Folgenabschätzung durchzuführen und die Feststellungen dazu im erläuternden Bericht festzu- halten. Die federführenden Ämter haben die Anhandnahme entsprechen- der Arbeiten unterlassen. In Ermange- lung einer Datenschutz-Folgenabschät- zung fehlen gewisse Erkenntnisse, die für eine präzise Regelung im Gesetz notwendig wären. In der zweiten Ämterkonsultation (März 202 4) hat der EDÖB festgestellt, dass die verbundenen Risiken potenziell hoch und Onlinezugriffe weder in quantitativer noch in qualitativer Hin- sicht ausreichend begründet sind. (s. auch Kap. 2. 4) Datenschutz 37 31. Tätigkeitsbericht 2023/24
1.4 Gesundheit AUFSICHT IM KRANKENVERSICHERUNGSWESEN Austausch zwischen EDÖB und BAG Der EDÖB und das BAG pflegen einen regelmässigen Austausch im Zusam- menhang mit der Umsetzung der von der EFK erlassenen Koordinationsemp- fehlungen betreffend die Aufsicht über die Krankenversicherungen. In einer beim Bundesamt für Gesund- heit (BAG) durchgeführten Prüfung zur Aufsicht im Versicherungsbereich stellte die Eidgenössische Finanzkont- rolle (EFK) fest, dass Klärungsbedarf in Bezug auf die Rollen des EDÖB und des BAG besteht und dass zwischen den beiden Behörden ein Austausch und eine Koordination eingeführt werden müssen (Prüfauftrag EFK-2042 4). Im Rahmen ihrer Tätigkeit müssen Kran- kenversicherer die sozialversicherungs- rechtlichen und die datenschutzrecht- lichen Bestimmungen einhalten. Sie unterstehen somit der Aufsicht sowohl des BAG als auch des EDÖB. Angesichts der sich überschneiden- den Kompetenzen begrüsste der EDÖB eine Koordination der Aufsichtstätig- keiten des BAG und des EDÖB sowie eine Klärung der Rollen und Verant- wortlichkeiten im Bereich der Kranken- versicherung und erinnerte gleichzei- tig daran, dass seine Unabhängigkeit von den betreffenden Koordinations- bemühungen unberührt bleiben muss und dass er insbesondere weiterhin seine aufsichtsrechtliche Funktion ge- genüber dem BAG wahrnehmen werde. Die Umsetzung der Empfehlungen der EFK begann mit einer durch den EDÖB und das BAG gemeinsam durch- geführten Überarbeitung des Kreis- schreibens Nr. 7.1 über die Aufsicht des BAG über das Krankenversicherungs- wesen (vgl. 29. TB, Kap. 1.6). In einem zweiten Schritt führten das BAG und der EDÖB zur Erreichung des von der EKF vorgegebenen Ziels, eine Verbesserung der Aufsicht über die Krankenversicherer zu erreichen, einen regelmässigen Austausch zwi- schen den Behörden ein, um von der Erfahrung und Praxisnähe des BAG durch seine Einsätze vor Ort und den durch das revidierte DSG erweiterten rechtlichen Zuständigkeiten des EDÖB profitieren zu können. In den ersten beiden Austauschrunden konnten folgende Bereiche koordiniert werden: • Einführung von neuen Apps oder Plattformen im Versicherungswesen; • Entwicklung von neuen Versiche- rungsmodellen; • Externalisierung von Gesundheits- daten; • Reaktionen auf das Inkrafttreten des überarbeiteten Kreisschreibens Nr. 7.1 über die Aufsicht; • Umsetzung der Pflicht der Leistungs- erbringer zur Zustellung einer Rech- nungskopie an die Versicherten; • Gesuche von Versicherungen um Zugang zu Arbeitsverträgen im Be- reich der Betreuung und Pflege zu Hause; • Erreichbarkeit der Vertrauensärztin- nen und Vertrauensärzten der Versi- cherer für die behandelnden Ärzte; • Datenschutzaspekte bei der Entwick- lung von Gesundheitszentren, die Fachpersonen aus verschiedenen Bereichen des Gesundheitswesens vereinen; • Problemkreis der Bescheinigungen, die von Versicherungen für Steuer- zwecke ausgestellt werden. Diesbe- züglich wurde daran erinnert, dass die Steuerbehörden keine detaillierte Auflistung der Gesundheitsleistun- gen benötigen, sondern lediglich Angaben zu den Prämienbeiträgen und den Gesundheitskosten. Der EDÖB und das BAG tauschten sich zudem über die laufenden versi- cherungsrechtlichen Aufsichtstätig- keiten in ihrem jeweiligen Fachgebiet aus. Datenschutz 38 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
IMPFDATEN Projekt Datenrettung «meineimpfungen.ch» Nach der Übernahme der Daten der früheren Plattform «meineimpfungen. ch» durch die Stammgemeinschaft eHealth Aargau hat der EDÖB die nun- mehr zuständige Beauftragte für Öffent lichkeit und Datenschutz des Kantons Aargau amtshilfeweise unter- stützt. Das unter anderem vom BAG finanzierte Projekt zur zumindest teil- weisen Herausgabe der Impfdaten soll neu frühestens ab Frühjahr 2024 reali- siert werden. Die von einer privatrechtlichen Stif- tung betriebene und massgeblich vom Bund subventionierte Plattform «meineimpfungen.ch» hatte gravierende datenschutzrelevante Mängel aufge- wiesen, was den EDÖB im März 2021 dazu bewogen hatte, ein formelles Ver- fahren durchzuführen und im August des gleichen Jahres mit formellen Emp- fehlungen abzuschliessen. Die Stiftung konnte die Mängel sowie die fehlende Integrität der Daten nicht beheben, sodass im November 202 2 letztlich der Konkurs über die Stiftung eröffnet werden musste. Angesichts der akuten Gefahr einer Versteigerung der in die Konkursmasse gefallenen Daten hat der EDÖB sodann unter Mitwirkung des Datenschutzbeauftragten des Kantons Bern gegenüber dem Konkursamt Bern Mittelland die Löschung der Daten ver- langt. Nachdem sich das Departement Gesundheit und Soziales (DGS) des Kantons Aargau und das Bundesamt für Gesundheit schriftlich zur Einhal- tung datenschutzrechtlicher Vorgaben verpflichteten, konnte der EDÖB auf seine Löschempfehlung zurückkommen, worauf die Daten zwecks Prüfung einer Herausgabe an die Betroffenen an den Kanton Aargau übergingen. (Der EDÖB hat in seinen letzten beiden Tätigkeits- berichten jeweils ausführlich dazu informiert, s. 29. und 30. TB, jeweils Kap. 1. 4) Im Rahmen eines Vorprojekts ist die vom Kanton Aargau mit dem Auf- trag der «Datenrettung» betreute Stammgemeinschaft eHealth Aargau (SteHAG) vorerst zum Schluss gekom- men, dass eine Rückgabe der Impf- daten an die früheren Nutzerinnen und Nutzer der Plattform möglich sei. Im daraufhin aufgesetzten Projekt sollten die technischen Voraussetzungen für eine datenschutzkonforme Datenher- ausgabe geschaffen werden, wie die Ver- antwortlichen im Mai 2023 mitteilten. Am 11. Dezember 2023 gab die SteHAG bekannt, dass das unter ande- rem vom BAG finanziell unterstützte Projekt frühestens ab Frühjahr 202 4 realisiert werden könne, was eine wei- tere Verzögerung bei der Herausgabe der mittlerweile fast dreieinhalb Jahre alten Impfdaten an die Betroffenen bedeutet. Für die Aufsicht über die Daten- bearbeitung ist seit dem Übergang der Daten an den Kanton Aargau die Be- auftragte für Öffentlichkeit und Daten- schutz dieses Kantons zuständig. Der EDÖB hat seine Feststellungen, die er im Rahmen des Verfahrens rund um die Impfplattform gemacht hatte, sei- nem kantonalen Pendant amtshilfe- weise übermittelt. Basierend auf den Erkenntnissen des Sachverhaltes von «meineimpfun- gen.ch» äusserte sich der EDÖB auch bei anderen Gelegenheiten dahingehend, dass bei der Beauftragung oder Subventionierung von Privaten, welche für den Bund digitale Ange- bote erbringen, die Si- cherheitsstandards des Bundes verein- bart, umgesetzt und kontrolliert wer- den müssen. Datenschutz 39 31. Tätigkeitsbericht 2023/24
MEDIZINISCHE PRAXIS Unterzeichnen einer neuen Einwilligungserklärung durch Patientinnen und Patienten Im Berichtsjahr häuften sich beim EDÖB die Anfragen zum Formular zur Einwilligungserklärung, das Gesund- heitsfachpersonen seit Inkrafttreten des neuen DSG ihren Patientinnen und Patienten zur Unterschrift vorlegen. Diese Neuerung – und dabei insbeson- dere die Unterzeichnungspflicht – warf bei den Patientinnen und Patienten zahlreiche Fragen auf. Mehrere Organisationen und Dachver- bände der Ärzteschaft bieten ihren Mitgliedern und Partnern Vorlagen zur Einwilligungserklärung an. Diese For- mulare dienen in der Regel einerseits dazu, die Patientinnen und Patienten klar und transparent über die daten- schutzkonforme Bearbeitung ihrer Daten zu informieren, namentlich über den vorgesehenen Bearbeitungszweck und über die Weitergabe von Daten an Dritte (z. B. Übermittlung an eine Datenschutz 40 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
WEITERVERWENDUNG VON DATEN Verhältnis zwischen Datenschutz gesetz und Humanforschungsgesetz Das Humanforschungsgesetz (HFG) und das Datenschutzgesetz (DSG) regeln beide die Weiterverwendung von Daten zu Forschungszwecken, was zu häufigen Fragen zu den Überschneidungsbe- reichen zwischen diesen Gesetzen führt. Im Berichtsjahr befasste sich der EDÖB im Rahmen von Ämterkonsul- tationen und im Zusammenhang mit Anfragen von Privaten oder von Bun- desorganen regelmässig mit den Über- schneidungen von HFG und DSG. Die beiden Gesetze behandeln teil- weise ähnliche Sachverhalte, nament- lich die Regelungen zur Weiterver- wendung von vorgängig zu anderen Zwecken gesammelten Daten (Beispiel: Eine Ärztin möchte die Untersu- chungsergebnisse eines Patienten an Forschende übermitteln). Hierfür gel- ten Art. 31 Abs. 2 lit. e und Art. 39 DSG (anwendbar auf Privatpersonen bzw. Bundesorgane) und Art. 32 ff. HFG. Das HFG ist ein Spezialgesetz und hat daher gegenüber dem DSG Vor- rang in seinem Geltungsbereich: näm- lich in der mit Personen (einschliess- lich Verstorbenen, Embryonen und Föten) durchgeführten Forschung zu Krankheiten des Menschen oder zum menschlichen Körper sowie in der Forschung mit biologischem Material weitere Arztperson oder ein Abrech- nungsunternehmen), damit sie Daten- bearbeitungen, die sie betreffen, nach- vollziehen können und in der Lage sind, ihnen rechtsgültig zuzustim- men. Andererseits kön- nen Gesundheitsfachper- sonen mit dem Formular die aus- drückliche Einwilligung der Patientin oder des Patienten einholen, welche zur Übersendung von besonders schüt- zenswerten Daten erforderlich ist, zu denen Gesundheitsdaten zählen. Dazu sei vermerkt, dass die Information und die Einwilligung laut Gesetz nicht zwingend schriftlich erfolgen müssen und eine ausreichend klare Willens- äusserung der betreffenden Person ge- nügt. In der Praxis wird die schriftlich dokumentierte Einwilligung jedoch aus beweistechnischen Gründen oft- mals vorgezogen. Mit ihrer Unter- schrift bestätigt die behandelte Person, dass sie informiert wurde und einer Bearbeitung ihrer Daten im beschriebe- nen Umfang zustimmt. Aus Gründen der Verhältnismässigkeit beschränkt sich die Datenweitergabe jedoch auf jene Daten, welche die jeweiligen Drit- ten zur Erreichung ihrer legitimen Be- arbeitungsziele benötigen, sodass keine Massdatenübertragung erfolgen darf. Parallel dazu unterliegen Gesund- heitsdaten auch dem Arztgeheimnis. Jede Übersendung von Patientendaten an Dritte setzt demnach unter Strafan- drohung nach Art. 321 des Strafgesetz- buchs eine vorgängige Einwilligung voraus, wobei Melde- und Auskunfts- pflichten gegenüber Behörden oder Dritte vorbehalten bleiben. Es steht der Patientin oder dem Patienten frei, das Formular (nicht) zu unterschreiben. Allerdings brauchen Gesundheitsfachpersonen diese Ein- willigung, um Gesundheitsdaten an Dritte herauszugeben, und sie haben ein berechtigtes Interesse, sich mit einem schriftlichen Dokument abzu- sichern, in dem auch bestätigt wird, dass die erforderliche vorgängige Infor- mation durchgeführt wurde. Wer die Einwilligung verweigert oder durch Streichung von Bestimmungen ein- schränkt, muss also damit rechnen, dass die Gesundheitsfachperson die Behandlung aufgrund der entstande- nen Rechtsunsicherheit ablehnt, in der sie sich befinden kann. Der EDÖB empfiehlt deshalb, bei Unklarheiten, offenen Fragen oder falls Elemente des Formulars übertrie- ben wirken, das Gespräch mit der zu- ständigen Person zu suchen, um geeig- nete Präzisierungen anzubringen. Datenschutz 41 31. Tätigkeitsbericht 2023/24
ELEKTRONISCHES PATIENTENDOSSIER Umfassende Revision des Bundesgesetzes über das elekt- ronische Patientendossier Der Bundesrat beabsichtigt, die Weiter- entwicklung, Verbreitung und Nutzung des elektronischen Patientendossiers mit einer Reihe von gezielten Massnah- men voranzutreiben und zu fördern. Er hat deshalb im Juni 2023 einen Entwurf für eine Totalrevision des Gesetzes in die Vernehmlassung geschickt, der meh- rere wichtige Anpassungen vorsieht. Der EDÖB hat zu einigen Schlüsselele- menten Stellung genommen. Die Revisionsvorlage sieht einen Para- digmenwechsel vor: Während es nach dem geltenden Bundesgesetz über das elektronische Patientendossier (EPDG) für die Erstellung eines elektronischen Patientendossiers (EPD) einer Einwil- ligung bedarf, soll beim revidierten Gesetz der Grundsatz der ausdrückli- chen Einwilligung (Opt-In-Modell) durch ein Widerspruchsrecht (Opt- Out-Modell) ersetzt werden, wonach alle Personen mit Wohnsitz in der Schweiz, die obligatorisch kranken- versichert sind, inskünftig über ein elektronisches Patientendossier verfü- gen würden, ausser wenn sie nach angemessener Information ausdrück- lich darauf verzichtet haben. Dieser Verzicht würde in einem Widerspruchs- register eingetragen. Liegt kein Wider- spruch vor, wird das EPD eröffnet und kann durch Gesundheitsfachpersonen und die Patientin oder den Patienten geführt und bearbeitet werden, wobei letztere über den Zugriff auf das EPD bestimmen. Durch das revidierte Gesetz würden auch sämtliche Gesundheits- dienstleister verpflichtet, sich einer zertifizierten Gemeinschaft oder Stamm- gemeinschaft anzuschliessen sowie behandlungsrelevante Daten ihrer Pati- entinnen und Patienten im EPD abzu- legen, damit sie anderen Gesundheits- fachpersonen zur Verfügung stehen. Als Aufsichtsbehörde im Bereich des Datenschutzes vertritt der EDÖB die Auffassung, dass das derzeitige Modell, bei dem zur Eröffnung eines elektronischen Dossiers eine Einwil- ligung vorliegen muss, das Recht auf Selbstbestimmung der betroffenen Personen besser gewährleistet und ihnen ermöglicht, selbst zu bestimmen, ob sie ein elektronisches Dossier anlegen möch- ten oder nicht, und wenn ja, zu wel- chem Zweck die betreffenden Perso- nendaten (z. B. Gesundheitsdaten) bearbeitet werden dürfen. Sollte die oder mit gesundheitsbezogenen Perso- nendaten. Allerdings regelt das HFG nur gewisse Aspekte der Datenbear- beitung. Für Aspekte, die im HFG nicht spezifisch geregelt sind, gilt weiterhin das DSG. Konkret unterscheiden sich die beiden Gesetze hauptsächlich hin- sichtlich der Rechtfertigung für die Weiterverwendung der Daten: Das DSG fordert ein überwiegendes Inter- esse des Verantwortlichen (Art. 31 Abs. 2 DSG) oder die Geltendma- chung von Art. 39 DSG, während das HFG verschiedene Stufen der Einwilli- gung kennt. Das Rechtfertigungskonzept des HFG erscheint komplexer als dasje- nige des DSG. Da es sich beim Gegen- stand des Gesetzes jedoch um ein besonders sensibles Thema – nämlich die Humanforschung – handelt, ist diese Komplexität durchaus gerechtfer- tigt: Der Standardmechanismus von Art. 31 Abs. 2 DSG wäre hier ungenü- gend, da er auf einer Güterabwägung durch den Bearbeitungsverantwort- lichen selbst beruht, also durch den Arzt, der in diesem Fall «Richter» und Partei zugleich wäre. Die diesbezügli- chen Rahmenbedingungen des HFG sind hingegen präziser und führen somit zu einer besseren Rücksicht- nahme auf den Willen der Person, zu einer besseren Aufklärung und insge- samt zu mehr Rechtssicherheit, was sowohl im Interesse der betroffenen Personen als auch im Interesse der Forschenden ist. Datenschutz 42 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
Widerspruchsvariante dennoch obsie- gen, müsste dafür gesorgt werden, dass das Modell ohne übermässigen Formalismus und in allen Kantonen einheitlich umgesetzt wird. Die Revision sieht auch weitere Neuerungen vor, die eine Änderung oder Erweiterung der Personendaten- bearbeitungen, die das gegenwärtige EPD vorsieht, darstellen und ein er- höhtes Risiko für die Persönlichkeit und für die informationelle Selbstbestim- mung der betroffenen Personen mit sich bringen. Deshalb forderte der EDÖB das Bundesamt für Gesundheit dazu auf, eine Evaluation der betreffenden zusätzlichen Risiken vorzunehmen, erforderlichenfalls eine Datenschutz- Folgenabschätzung durchzuführen und die Ergebnisse seiner Überlegun- gen zu präsentieren. Wenn Daten ge- nerell nur Befugten zugänglich sind, müssen Patientinnen und Patienten über die Bedeutung der einzelnen Einwilligungen und über die entspre- chende Hierarchie und die Möglich- keit, den Zugang einzuschränken, infor- miert werden. Gemäss dem Prinzip der datenschutzfreundlichen Vorein- stellungen ist sodann generell zu ge- währleisten, dass die Parameter der höchstmöglichen Vertraulichkeits- stufe angehören sowie dass ohne Tätig- werden der betroffenen Person kein Zugriff durch Gesundheitsfachperso- nen erfolgen kann. Patientinnen und Patienten sollten systematisch über den Eintritt in bzw. den Austritt aus Gruppen von Gesundheitsfachpersonen informiert werden, ausser sie hätten einen gegenteiligen Wunsch geäussert. Der EDÖB schätzt die Tatsache, dass das Zugangsrecht der Kranken- versicherer darauf beschränkt werden soll, mit Einwilligung der Patientin- nen und Patienten gewisse definierte administrative Daten zu speichern. Der EDÖB begrüsst zudem, dass die Gesetzesrevision die Verwendung von nicht anonymisierten medizinischen EPD-Daten für Forschungszwecke von einer ausdrücklichen Einwilligung der Patientin oder des Patienten abhängig macht. Als problematisch stuft er hingegen den Zugang zum EPD durch Gesund- heitsanwendungen Dritter ein, wie es die Revisionsvorlage vorsieht. Mit Ein- willigung der Patientin oder des Pati- enten sollen Gesundheitsanwendun- gen auf das EPD zugreifen und medizi- nische Daten abfragen und/oder spei- chern können, beispielsweise mit einem Smartphone oder einem medi- zinischen Gerät. Aus Sicht des EDÖB sind Datenschutz und Datensicherheit für sämtliche Anwendungen umfas- send zu gewährleisten. Wurden die Zuverlässigkeit und das Sicherheits- niveau der Gesundheitsanwendungen vorgängig geprüft und zertifiziert, stellt ihr Zugriff auf das EPD aus Sicht des EDÖB jedoch weder für die Pati- entendaten noch für die betriebliche Sicherheit des EPD selbst ein Risiko dar. Die Bereitstellung einer Schnitt- stelle ist nur dann vertretbar, wenn vorab eine gründliche Risikoanalyse durchgeführt wurde und Massnah- men zur Risikominderung getroffen wurden. Ferner muss der Datentrans- fer von der Anwendung zum EPD ausreichend gesichert und verschlüs- selt sein. Der EDÖB vertritt die Auffassung, dass im Gesetz angesichts der grossen Zahl der betroffenen Personen sowie des besonders schützenswerten Cha- rakters der betreffenden Daten weitere Präzisierungen der datenbearbeitungs- spezifischen Zuständigkeiten und Verantwortlichkeiten notwendig sind. Datenschutz 43 31. Tätigkeitsbericht 2023/24
1.5 Arbeit ARBEITSRECHT Vorgaben bei der Führung von Personaldossiers Die Pflicht zur Löschung von nicht mehr benötigten Personendaten, beziehungs- weise deren Aufbewahrung im Personal- dossier, wirft bei den verantwortlichen Arbeitgeberinnen und Arbeitgebern Fragen auf. Zu deren Beantwortung ist insbesondere das Verhältnismässig- keitsprinzip von wesentlicher Bedeutung. Im Berichtsjahr wurde der EDÖB er- neut vermehrt in Bezug auf die Daten- schutzkonformität bei der Führung von Personaldossiers kontaktiert, ins- besondere mit Blick auf Aufbewah- rungsfristen und Aufbewahrungsfor- men, aber auch die rechtskonforme Löschung von Personaldaten. Die Be- arbeitung von Personendaten ist im Arbeitsverhältnis zulässig, wenn die allgemeinen Grundsätze der Daten- bearbeitung nach DSG (insbesondere die Grundsätze der Ver- hältnismässigkeit sowie der Zweckbindung) sowie nach Obligationen- recht eingehalten sind. Das bedeutet: Der Arbeitgeber darf nur diejenigen Personendaten bearbeiten, die zur Erfüllung des Arbeitsverhält- nisses (in Bezug auf Eignung und Durchführung) notwendig sind. Das bedeutet auch, dass Personendaten gelöscht werden müssen, wenn diese nicht (mehr) notwendig sind oder der Zweck der Datenbearbeitung erfüllt ist. Ausführliche Informationen zu Aufbe- wahrungsfristen vor, während und nach dem Arbeitsverhältnis, sowie zur Form der Aufbewahrung finden sich auf der Webseite des EDÖB. ARBEITSRECHT Datenschutzrechtliche Qualifikation von Pensions- kassen Der EDÖB wurde von zahlreichen Vor- sorgeeinrichtungen und Branchenver- bänden zur Stellungnahme gebeten in Bezug auf die Frage, welchen Bestim- mungen des DSG Pensionskassen unterstellt sind. Nach Auffassung des EDÖB handeln Pensionskassen im Obli- gatorium der beruflichen Vorsorge (BVG) als Bundesorgane, während im Überob- ligatorium die Bestimmungen für Pri- vate anwendbar sind. Die Frage ist rele- vant, weil Bundesorgane ihre Bearbei- tungstätigkeiten gemäss Artikel 12 DSG sowie den Datenschutzberater gemäss Artikel 10 DSG dem EDÖB melden müssen. Die Durchführung der obligatorischen Versicherung der beruflichen Vorsorge (BVG-Obligatorium) stellt eine öffent- liche Aufgabe des Bundes dar (Bundes- aufgabe im Sinne von Art. 5 lit. i DSG). Gemäss Rechtsprechung des Bundes- verwaltungsgerichts gelten die regist- rierten Pensionskassen, die an der Durchführung der obligatorischen Ver- sicherung beteiligt sind, als mit einer Bundesaufgabe betraute juristische Per- sonen (BVGer, A-4 467-2011, E. 4.2). Um ihren gesetzlichen Verpflichtungen im BVG-Obligatorium nachzukom- men, müssen Pensionskassen zwingend Personendaten von Versicherten be- arbeiten. Sie bearbeiten somit Personen- daten für die Erfüllung dieser Bundes- aufgabe und handeln im BVG-Obliga- torium als Bundesorgan. Im Überobligatorium gelten für Pensionskassen hingegen die spezifi- schen Bestimmungen des DSG für Private, dies jedoch nur, sofern die Da- tenbearbeitung vollständig von der öffentlichen Aufgabe getrennt bzw. ausschliesslich dem Überobligatorium zuzuordnen ist. Dies ist der Fall für Vorsorgeeinrichtungen, welche aus- schliesslich ausserhalb des Obligato- riums Leistungen erbringen und somit nicht registriert sind (Art. 48 BVG e contrario). Dazu gehört beispielsweise auch die freiwillige Selbstvorsorge der Säule 3A/3B. Sofern eine Trennung der Bereiche nicht möglich ist oder sich als schwierig erweist, sind auf die gesamte Tätigkeit die Bestimmungen für Bundesorgane anwendbar. Pensionskassen, die als Bundesor- gane für den obligatorischen Teil bzw. als Private für den überobligatorischen Teil handeln, unterstehen der Aufsicht des EDÖB. Dies gilt auch für soge- nannte umhüllende Pensionskassen, d. h. Vorsorgeeinrichtungen, die so- wohl im obligatorischen als auch im überobligatorischen Bereich tätig sind, je nachdem, ob die fragliche Datenbe- arbeitung im BVG-Obligatorium, oder im Überobligatorium erfolgen. Pensionskassen als kantonale oder kommunale öffentliche Organe Pensionskassen von Angestellten der Kantone, Gemeinden und Städte, Datenschutz 44 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
welche Aufgaben im Zusammenhang mit der beruflichen Vorsorge ausfüh- ren und in diesem Rahmen Personen- daten bearbeiten, sind in der Regel keine Bundesorgane. Diese stellen kantonale oder kommunale öffentliche Organe dar und unterstehen im BVG- Obligatorium der kantonalen Daten- schutzgesetzgebung sowie der kanto- nalen bzw. städtischen Aufsicht. Dienstleistungsgesellschaften von Pensionskassen handeln als Auftragsbearbeiter In der Praxis kommt es vor, dass Vor- sorgeeinrichtungen einen Teil oder die Gesamtheit des operativen Geschäfts- betriebs an eine externe Gesellschaft übertragen. Solche Dienstleistungsge- sellschaften sind im Auftrag der Vor- sorgeeinrichtung tätig und handeln als Auftragsdatenbearbeiter im Sinne von Art. 9 DSG. Die Frage der Qualifikation als Bundesorgan im Sinne des DSG ist für die Pensionskassen auch deshalb rele- vant, weil Bundesorgane ihre Bearbei- tungstätigkeiten gemäss Artikel 12 DSG dem EDÖB melden müssen. Entspre- chend wurden im Verlauf des Berichts- jahres über 1000 Einträge von Vorsor- geeinrichtungen in das Register der Verzeichniseinträge (Datareg) getätigt. Datenschutz 45 31. Tätigkeitsbericht 2023/24
ZAHLREICHE PROJEKTE Beratungen und Ämterkonsul- tationen im Bereich Mobilität Der EDÖB hat sich bei Projektberatun- gen und in Ämterkonsultationen wie- derholt zu Verkehrs- und Mobilitätsthe- men geäussert. Er fordert von staatlich konzessionierten öV-Betrieben, dass anonymes Reisen und der Einsatz von Bargeld möglich bleiben und weder durch Entzug von Vergünstigungen noch durch administrative Nachteile erschwert werden. Der EDÖB beriet im Berichtsjahr so- wohl Private wie auch Bundesorgane im Bereich der Mobilität. Ein zentrales Anliegen war, dass Verkehrsbetriebe für die Personenbeförderung, die eine gesetzlich geregelte staatliche Aufgabe darstellt, den Reisenden weiterhin garantieren, im Inland anonym reisen zu können. Zudem sollen Anbieter von datenrelevanten Dienstleistungen weiterhin Bargeld als Zahlungsmittel annehmen. Plattform «NOVA» für den öffent- lichen Verkehr Im Zusammenhang mit der im Februar 202 2 gemeldeten Schwachstelle der zentralen Vertriebsplattform «NOVA», welche die SBB im Auftrag der Bran- chenvereinigung des öffentlichen Ver- kehrs Alliance SwissPass (ASP) be- treibt (s. 29. TB, Kap. 1.7), wies der EDÖB die SBB unter anderem auf das Erfordernis der Verhältnismässigkeit bei der Aufbewahrung hin. Die Ein- haltung der Löschfristen war zu An- fang des Berichtsjahrs nicht vollum- fänglich umgesetzt. Das Datenschutz- team der SBB führte gegen Ende des Berichtsjahres ein Audit durch, um zu klären, ob die Löschregeln in NOVA 1.6 Verkehr komplett umgesetzt sind. Sollte das Audit Lücken ans Licht bringen, wird der EDÖB darauf hinwirken, dass diese vollständig geschlossen werden. Ferner hat die Branche auf den
PNR-DATEN Ämterkonsultation Flug- passagierdatengesetz (FPG) Das EJPD hat sein Gesetzgebungspro- jekt zur Nutzung von Flugpassagierda- ten, (sog. Passenger Name Records, PNR) durch die Schweiz überarbeitet und eine zweite Ämterkonsultation durchgeführt. Der EDÖB nahm in dieser zweiten Konsultation Stellung. PNR-Daten werden bei der Buchung eines Flugs durch den Passagier an die Fluggesellschaft oder die Reiseagentur mitgeteilt. Die Informationen sollen zur Verhinderung von Terrorismus und Schwerstkriminalität dienen, indem sie beispielsweise mit den einschlägigen Strafverfolgungsdatenbanken abgegli- chen werden. Viele europäische Staaten haben bereits entsprechende Stellen (sog. «Passenger Information Units», PIU) eingerichtet, die diese Fluggast- daten sammeln, speichern und bear- beiten. Automatisiertes Fahren Auch im Bereich des automatisierten Fahrens hat sich der EDÖB mehrfach geäussert. So etwa in der Ämterkon- sultation des ASTR A zur einschlägi- gen Verordnung. Wir wirkten darauf hin, dass die beabsichtigten Zwecke ohne Bearbeitung besonders schüt- zenswerter Personendaten und ohne Profiling mit hohem Risiko erreicht werden. Ferner wies der EDÖB darauf hin, dass bei Rechtssetzungsprojekten rechtzeitig zu prüfen ist, ob eine Da- tenschutz- Folgenabschätzung durch- zuführen ist. Das A ST R A informierte den EDÖB dahingehend, dass unsere Anregungen im Verordnungsentwurf weitgehend übernommen wurden. Videoüberwachung im öffentlichen Verkehr Verschiedene konzessionierte Busun- ternehmen sowie Hersteller von Fahr- zeugen des öffentlichen Transports gelangten mit der Frage an den EDÖB, wie bei neuen Bussen eine Rundum- Videoüberwachung im Innen- und Aussenbereich datenschutzkonform ausgestaltet werden könne. Neben dem Bestehen einer hinreichend kon- kreten, gesetzlichen Grundlage ist es notwendig, dass der Verhältnismässig- keitsgrundsatz beachtet wird und für die Betroffenen klar ersichtlich ist, dass sie gefilmt werden. Sie müssen auch wissen, an wen sie sich für Aus- künfte wenden können, um ihre Be- troffenenrechte ausüben zu können. Der EDÖB hat auch in dieser zweiten Ämterkonsultation im Berichtsjahr Stellung genommen (vgl. zur ersten Ämterkonsultation 29. TB Kap. 1.7 und 28. TB Kap. 1.8). Unter anderem wies er darauf hin, dass bei Gesetzgebungs- projekten ab Inkrafttreten des revidier- ten DSG am 1. September 2023 recht- zeitig geprüft werden muss, ob die Da- tenbearbeitung ein potenziell hohes Risiko für die Persönlichkeit oder die Grundrechte der Betroffenen birgt und folglich eine Datenschutz-Folge- abschätzung durchgeführt werden muss. Letztere ist dem EDÖB jeweils vor der Ämterkonsultation zur Stel- lungnahme zu unterbreiten. Für den EDÖB war ferner zentral, dass beim Gesetzgebungsprojekt und dessen Umsetzung die Bearbeitungs- grundsätze des DSG, wie etwa der Grundsatz der Verhältnismässigkeit, eingehalten werden. So muss beispiels- weise sichergestellt werden, dass bei falschen Treffern (sog. False Positives) die Personen, welche Kriterien eines Risikoprofils zwar erfüllen, jedoch nicht als verdächtig eingestuft werden, nicht als verdächtig markiert im System verbleiben und die Daten umgehend pseudonymisiert und anschliessend gelöscht werden. Die Anliegen des EDÖB hinsichtlich der DSFA wurden aufge- nommen und entsprechend in der Botschaft ausgewiesen. Datenschutz 47 31. Tätigkeitsbericht 2023/24
Datenschutz 48 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
1.7 International EUROPÄISCHE UNION Angemessenheitsbeschluss der EU Am 15. Januar 2024 bestätigte die Euro- päische Kommission die Angemessen- heit des Schweizer Datenschutzniveaus. Mit Bericht vom 15. Januar 202 4 an- erkannte die Europäische Kommission, dass die Gesetzgebung der Schweiz weiterhin ein angemessenes Schutz- niveau für die Bearbeitung von Perso- nendaten bietet. Personendaten aus einem Mitgliedstaat der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EW R) können wei- terhin in die Schweiz übermittelt wer- den, ohne dass zusätzliche Garantien zur Sicherstellung eines ausreichenden Datenschutzniveaus erforderlich sind, was von beträchtlicher wirtschaftlicher Bedeutung ist. Die Schweiz verfügt seit dem Jahr 2000 über einen Angemessenheits- entscheid der EU. Dieser wurde gestützt auf die damalige Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 2 4. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbei- tung personenbezogener Daten und zum freien Datenverkehr erlassen. Diese Richtlinie wurde im Jahre 2016 durch die Verordnung (EU) 2016/679 (Daten- schutzgrundverordnung – DSGVO) ersetzt (vgl. 30. TB, S. 11). Für den Wirtschaftsstandort und die Wettbewerbsfähigkeit der Schweiz ist dies von grosser Bedeutung. DATA PRIVACY FRAMEWORK Rahmenwerk für die Daten - bekanntgabe in die USA Im Sommer 2023 einigten sich die EU und die USA auf ein Rahmenwerk für die Datenübermittlung von der EU in die USA. Dies führte dazu, dass die Euro- päische Kommission einen Angemessen- heitsbeschluss treffen konnte. Auch die Schweiz führte Gespräche mit den USA. Im September 2020 stellte der EDÖB vor dem Hintergrund des Schrems II-Urteils des EuGH fest, dass das Pri- vacy Shield Rahmenwerk zwischen der Schweiz und den USA trotz der Gewährung von besonderen Schutz- rechten für Betroffene in der Schweiz kein adäquates Schutzniveau für Da- tenbekanntgaben von der Schweiz an die USA bietet (s. Schwerpunkt II im 28. TB). Seither sind für Übermittlun- gen von Personendaten aus der Schweiz in die Vereinigten Staaten zusätzliche Garantien i. S. v. Art. 16 Abs. 2 DSG erforderlich, wie etwa Datenschutz- klauseln, Standarddatenschutzklau- seln oder verbindliche unternehmens- interne Datenschutzvorschriften. Im Juli 2023 einigten sich die EU und die USA auf ein neues Rahmenwerk, das EU-US Data Privacy Framework (DPF), auf dessen Grundlage die EU- Kommission einen neuen Angemes- senheitsbeschluss betreffend die Da- tenübermittlung in die USA erliess. Das darin festgehaltene angemessene Datenschutzniveau gilt jedoch nur für Personendaten, welche an zertifizierte US-Unternehmen übermittelt werden, welche am EU-US-DPF teilnehmen. Gemäss der EU-Kommission trägt das DPF den Bedenken des EuGH aus dem Schrems II-Urteil Rechnung, da u. a. der Zugang von US-Nachrichten- diensten zu EU-Personendaten einge- schränkt sowie ein Gericht zur Daten- schutzüberprüfung (Data Protection Review Court, DPRC) eingeführt wurde, zu dem Einzelpersonen in der EU Zu- gang haben. Das Vereinigte Königreich erliess gestützt auf eine Erweiterung des EU-US DPF seinerseits auch einen Angemessenheitsbeschluss zugunsten der USA, das sog. UK-US Data Bridge. Die Schweiz führte ihrerseits auch Gespräche mit den USA über ein da- tenschutzrechtliches Rahmenwerk. Seit dem Inkrafttreten des revidierten Da- tenschutzgesetzes am 1. September 2023 liegt die Zuständigkeit zur Beurteilung der Angemessenheit des Datenschut- zes ausländischer Staaten und interna- tionaler Organisationen beim Bundes- rat und nicht mehr beim EDÖB. Die Datenschutz 49 31. Tätigkeitsbericht 2023/24
vom Bundesrat als angemessen beur- teilten Staaten und internationalen Organisationen sind im Anhang zur Datenschutzverordnung aufgeführt. Demzufolge sind für Datenübermitt- lungen aus der Schweiz in die USA bis zum Inkrafttreten eines entsprechen- den Angemessenheitsbeschlusses des Bundesrates und der Ergänzung der Staatenliste im Anhang 1 der Verordnung über den Datenschutz (DSV) zusätzli- che Garantien i. S. v. Art. 16 Abs. 2 DSG erforderlich. Im Fall des Zustandekom- mens eines neuen datenschutzrechtli- chen Rahmenwerks zwischen der Schweiz und den USA dürfte der dar- auf gestützte Angemessenheitsbeschluss des Bundesrates nur für Datenüber- mittlungen an teilnehmende, zertifi- zierte US-Unternehmen gelten (ähn- lich wie unter dem EU-US-DPF und unter dem ehemaligen CH-US Privacy Shield), während Übermittlungen an nicht-zertifizierte US-Unternehmen die Sicherstellung zusätzlicher Garan- tien i. S. v. Art. 16 Abs. 2 DSG weiterhin voraussetzen dürften. EUROPARAT Konvention 108+ ratifiziert An den Plenarversammlungen des bera- tenden Ausschusses zur Datenschutz- konvention des Europarates wurden die zwei ersten Module der Standardver- tragsklauseln für die grenzüberschrei- tende Übermittlung personenbezogener Daten verabschiedet. Die Schweiz hat die modernisierte Datenschutzkonven- tion des Europarates (Konvention 108+) kurz nach dem Inkrafttreten des revi- dierten DSG ratifiziert. Diese sollte im Verlaufe des Jahres 2024 in Kraft treten. Der EDÖB nimmt regelmässig an den beiden Plenarversammlungen sowie an den Bürositzungen des beratenden Ausschusses zum Übereinkommen des Europarates zum Schutz des Men- schen bei der automatisierten Verar bei- tung personenbezogener Daten (Über- einkommen SEV 108) teil. An der Ple- narversammlung vom Juni 2023 hat der beratende Ausschuss das erste Modul der Standardvertragsklauseln für die grenzüberschreitende Übermittlung personenbezogener Daten verabschie- det. Dieses ist auf die Datenbekannt- gabe zwischen zwei Verantwortlichen zugeschnitten. Modul 2 gilt dagegen für die Datenbekanntgabe von einem Verantwortlichen an einen Auftrags- bearbeiter als Importeur. Letzteres wurde an der Plenarversammlung vom November 2023 verabschiedet. Zurzeit wird das dritte und letzte Modul aus- gearbeitet, das die Datenübertragung zwischen zwei Auftragsbearbeitern betrifft. Die Vertreterin des EDÖB wirkt bei der Ausarbeitung dieser Standard- vertragsklauseln als Berichterstatterin. Der beratende Ausschuss befasst sich auch mit der Datenbearbeitung im Rahmen von Abstimmungen und Wah- len sowie mit der Datenbearbeitung im Rahmen von Neurowissenschaften. Sämtliche Dokumente stützen sich bereits auf die modernisierte Konven- tion 108 (so genannte «C108+» bzw. Konvention 108+) ab. Das Änderungs- protokoll zur C108 wurde am 18. Mai 2018 vom Ministerrat verabschiedet. Die modernisierte Konvention wird jedoch erst in Kraft treten, wenn 38 Ver- tragsstaaten sie ratifiziert haben. Die Konvention steht auch Staaten offen, die nicht Mitglieder des Europarats sind, und entfaltet somit auch ausser- europäisch Wirkung. Mit dem revi- dierten DSG wurde in der Schweiz auf Bundesebene auch die C108+ umgesetzt. Aus diesem Grund konnte die Schweiz die Ratifizierungsurkunde der C108+ am 7. September 2023 als 28. Mitglied- staat der Generalsekretärin des Euro- parates überreichen. Per Ende Dezem- ber hatten 31 Staaten ratifiziert und 15 Staaten noch ohne Ratifizierung un- terzeichnet. Es ist damit zu rechnen, dass in nächster Zeit weitere Ratifika- tionen folgen werden und die C108+ im Laufe des Jahres 202 4 in Kraft treten wird. Datenschutz 50 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
EUROPEAN CASE HANDLING WORKSHOP Internationales Treffen in der Schweiz Der jährlich stattfindende ECHW wurde im Berichtsjahr vom EDÖB organisiert und in Bern ausgetragen. Bei diesem praxisorientierten Workshop tauschten sich Vertreterinnen und Vertreter von 37 Datenschutzbehörden aus 27 euro- päischen Staaten und der Schweiz über die neusten Technologien und damit einhergehende datenschutzrechtliche Fragestellungen aus. Ziel war es, die Rechtsprechung zu analysieren und Lösungen für tägliche Problemstellungen zu diskutieren. Der EDÖB führte vom 8. bis 9. Novem- ber 2023 den European Case Handling Workshop (ECHW) in Bern durch. Unter der Schirmherrschaft der Konfe- renz der Europäischen Datenschutz- behörden (Spring Conference), hatte der praxisorientierte Workshop den Austausch verschiedener Datenschutz- behörden (DSB) zum Gegenstand und brachte über 80 Vertreter und Vertre- terinnen von 37 Datenschutzbehörden aus 27 europäischen Staaten sowie der Schweiz in der Bundeshauptstadt zu- sammen. Unabhängig davon hat die EU-Kom- mission Anfang März ein hochrangiges Treffen aller Behörden mit Angemes- senheitsbeschluss organisiert. Sowohl die ICO als auch der EDÖB und der EDSA nahmen an diesem Treffen teil. Diskussionsgegenstand war insbeson- dere die Zusammenarbeit der Behör- den bei der Durchsetzung von Daten- schutzbestimmungen. EUROPA Treffen mit ICO und EDSA Der EDÖB hat sich zusammen mit dem Datenschutzbeauftragten des Verei- nigten Königreichs und der Vorsitzen- den des Europäischen Datenschutzaus- schusses informell ausgetauscht über eine mögliche Intensivierung der Zusammenarbeit des EDSA mit Staaten ausserhalb der EU und des EWR, die über ein äquivalentes Datenschutzni- veau verfügen. Im September 2023 haben sich der EDÖB und der Beauftragte der Daten- schutzbehörde des Vereinigten König- reichs (Information Commissioner’s Office, ICO) mit der Vorsitzenden des Europäischen Datenschutzausschusses (EDSA) zu einem informellen Meeting in Brüssel getroffen, um die künftige Zusammenarbeit zwischen diesen Be- hörden zu evaluieren. Datenschutz 51 31. Tätigkeitsbericht 2023/24
Die 13 Workshops wurden von unter- schiedlichen DSB geleitet. Sie umfass- ten Themen zu aktuellen Herausfor- derungen im Umgang mit neusten Technologien und offenen Fragen aus der Praxis des europäischen wie schwei- zerischen Datenschutzes von nationa- ler und grenzüberschreitender Bedeu- tung. So etwa Fragen der «Handhabung digitaler Gesichtserkennungstechni- ken (facial detection vs. facial recogni- tion) und deren Einflüsse auf den Da- tenschutz» oder zur Definition der «Personendaten» im Zusammenhang mit neusten Technologien (z. B. künst- liche Intelligenz, Analyse- und Werbe- tracking). Ein weiteres Thema war der US Cloud Act und die autorisierten Zugriffe von US-Strafverfolgungsbe- hörden auf Personendaten, welche Ableger von US-Unternehmen in Eu- ropa bearbeiten. Dies auch im Zusam- menhang mit Projekten im öffentli- chen Sektor, bei denen Cloud-Appli- kationen (z. B. Microsoft 365) genutzt werden. Die ergebnisreichen Diskussionen und aktive Beteiligung aller Teilneh- menden ermöglichten einen konstruk- tiven Austausch und lieferten wert- volle Inputs für die tägliche Arbeit der europäischen und schweizerischen Datenschutzbehörden. JOINT STATEMENT Gemeinsame Erklärung zu «Data Scraping» und Datenschutz Der EDÖB hat mit elf anderen nationa- len Datenschutzbehörden ein Joint Statement an die Social Media Plattfor- men zum Schutz der Personendaten gegen sog. «Data Scraping» unterzeich- net. Unter dem Begriff versteht man das automatisierte Auslesen von Daten aus dem Internet. Zusammen mit elf anderen nationalen Datenschutzbehörden hat der EDÖB im August 2023 eine gemeinsame Erklärung (Joint Statement) an die Social Media Plattformen zum Schutz der Personendaten gegen sog. «Data Scraping» veröffentlicht. Dabei handelt es sich allgemein um das automati- sierte Auslesen von Daten aus dem Internet. Social Media Unternehmen und Web- seitenbetreiber werden darin aufge- fordert, Massnahmen zum Schutz von Personendaten gegen Data Scraping zu treffen. Data Scraping kann eine Verletzung der Datensicherheit (Data Breach) darstellen. Mit dem am 1. Sep- tember 2023 in Kraft getretenen revi- dierten DSG sind Unternehmen ver- pflichtet, dem EDÖB Verletzungen der Datensicherheit zu mel- den, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führen (Art. 2 4 Abs. 1 DSG). Die gemeinsame Erklärung führt auf, welche Vorkehrungen Einzelper- sonen treffen können, um das Risiko des Abgreifens ihrer Daten aus dem Internet zu minimieren. Social Media Unternehmen und Webseitenbetrei- ber sind gehalten, aktiv darüber zu informieren, wie sie ihre Kundschaft gegen Data Scraping schützen und mit welchen Massnahmen Letztere zum Schutz ihrer Daten beitragen kann. Datenschutz 52 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
als Inspirationsquelle für wichtige internationale Instrumente, wie etwa die DSGVO oder das EU-US DPF. Der EDÖB ist in der Arbeitsgruppe der OECD für Data-Governance und Schutz der Privatsphäre in der digita- len Wirtschaft (Working Party on Data Governance and Privacy in the Digital Economy, DGP) vertreten. Diese er- stattet dem OECD-Ausschuss für die Politik der digitalen Wirtschaft (CDEP) Bericht und setzt sich aus Delegierten der 38 Mitgliedstaaten der OECD zu- sammen, darunter insbesondere Ver- treter der Regierungen und der Daten- schutzbehörden. Sie arbeitet mit den anderen Arbeitsgruppen des CDEP und anderen OECD-Gremien zusam- men und ist für die Entwicklung und Förderung evidenzbasierter Strategien zur Datenverwaltung und zum Schutz der Privatsphäre zuständig. Ziel dieser Strategien ist es, den sozialen und wirt- schaftlichen Nutzen der umfassenden und effektiveren Nutzung von Daten zu maximieren und gleichzeitig die damit verbundenen Risiken und Her- ausforderungen für den Schutz der Privatsphäre zu bewältigen. Zu erwäh- nen sind in diesem Zusammenhang etwa die Überarbeitung der OECD- Empfehlung zur Grenzüberschreiten- den Zusammenarbeit der Durchset- zung von Erlassen zum Schutz der Privatsphäre, die neuen Erkenntnisse und Analysen zu Data Free Flow with Trust (DFF T) oder die Analyse der aktuellen politischen und regulatori- schen Ansätze zu Privacy Enhancing Technologies (PETs). SCHENGEN BTLE und EDSA Die Border Travel and Law Enforcement (BTLE) Gruppe, eine Unterarbeitsgruppe des Europäischen Datenschutzaus- schusses (EDSA), behandelt auch The- men zum Schengen-Besitzstand. Als assoziiertes Schengen-Mitglied hat die Schweiz an den Schengen-relevanten Themen mitgewirkt. Dazu gehören das Erarbeiten und Finalisieren der Leit- sätze zu Artikel 37 der Richtlinie (EU) 2016/680 sowie das Formulieren neuer Leitsätze zu den Rechten betroffener Personen unter derselben Richtlinie. Die Unterarbeitsgruppe BTLE hat im Berichtsjahr zu Handen des EDSA die Leitlinien zum Artikel 37 der Richtli- nie (EU) 2016/680 der EU erarbeitet, welche den Datenschutz im Bereich der Strafverfolgung regelt. Artikel 37 dieser Richtlinie (kurz: Law Enforce- ment Directive, LED) regelt die «Daten- übermittlung vorbehaltlich geeigneter Garantien». Die Leitlinien beschreiben insbesondere die rechtlichen Voraus- setzungen, welche die geeigneten Ga- rantien erfüllen müssen, wenn Daten in ein Drittland (d. h. ein Land ausserhalb des EU/EW R-Raums) übermittelt INTERNATIONAL OECD Die OECD führt umfangreiche Forschungs- arbeiten und Analysen zum Datenma- nagement durch, um Impulse für die Diskussion auf internationaler Ebene zu geben. Gleichzeitig strebt die OECD an, das Vertrauen in den grenzüber- schreitenden Datenverkehr zu stärken. Zu diesem Zweck zielt die Arbeit der OECD darauf ab, zur Schaffung eines globalen digitalen Umfelds beizutragen, das grenzüberschreitende Datenströme ermöglicht und gleichzeitig sicherstellt, dass ein gewünschtes Mass an Kont- rolle über die Daten und ein ausreichen- der Datenschutz beim Überschreiten nationaler Grenzen aufrechterhalten wird. Insbesondere aufgrund der geographi- schen Vielfalt der OECD, welche neben europäischen Staaten auch Mitglieder wie die USA, Japan oder Australien zusammenbringt, spielt diese interna- tionale Organisation auf globaler Ebene eine Vorreiterrolle in der Förde- rung des Schutzes der Privatsphäre. Selbst wenn die meisten OECD-Inst- rumente Soft-Law-Charakter haben, legen sie oft den Grundstein für künf- tige Verhandlungen über rechtsver- bindliche Instrumente. Im Bereich des Datenschutzes gilt die Arbeit der OECD Datenschutz 53 31. Tätigkeitsbericht 2023/24
werden. In diesem Zusammenhang hat der EDÖB dargelegt, dass die Schweiz als Schengen-assoziierter Staat kein Drittland ist, was berücksichtigt worden ist, indem die Schweiz im Sinne von Artikel 37 nicht als Drittland gilt. Mit dem Abschluss der Arbeiten stand das Dokument vom 27. September bis 8. November 2023 öffentlich zur Stel- lungnahme zur Verfügung. Die soeben aufgenommenen Ar- beiten betreffen das Ausarbeiten neuer Leitsätze zu den «Rechten betroffener Personen» unter vorgenannter Richtli- nie. Im Zentrum stehen dabei Artikel 12 und 15 LED «Mitteilungen und Mo- dalitäten für die Ausübung der Rechte der betroffenen Person» und die «Ein- schränkung des Auskunftsrechts». Ebenfalls werden in diesem Rahmen die Aspekte des direkten (d. h. beim Verantwortlichen selbst) und indirek- ten (wie bspw. in Belgien via die Da- tenschutzbehörde) Zugangs zu Perso- nendaten analysiert und Erläuterungen dazu entworfen. SCHENGEN Aufsichtskoordinationsgrup- pen über die Informations- systeme SIS II, VIS und Eurodac Die Datenbearbeitungen bei den Schengen- Informationssystemen befinden sich wieder auf Vor-Corona-niveau, nachdem ein quantitativer Einbruch während der Pandemie verzeichnet wurde. Aus ein- zelnen Staaten wurden besonders viele Auskunftsgesuche gestellt. Zum ersten Mal erfolgte über ausgewählte NGOs ein aktiver Austausch mit der zivilen Gesellschaft. Der SIS-Ausschuss für die koordinierte Aufsicht (Coordinated Supervision Committee, CSC) und die Aufsicht Koordinierungsgruppen (Supervision Coordination Group, SCG) VIS und Eurodac sind unter dem EU-Recht ein- gerichtete Gremien, die den Schutz personenbezogener Daten in den ent- sprechenden Informationssystemen überwachen. Diese Gruppen bestehen aus Vertreterinnen und Vertretern der nationalen Datenschutzbehörden und dem Europäischen Datenschutzbeauf- tragten. Mit dem neuen Evaluierungs- und Überwachungsmechanismus wird jeder Schengen-Mitgliedstaat alle sieben und nicht mehr wie bis anhin alle fünf Jahre evaluiert. Die Evaluierungen er- folgen jeweils in den Bereichen Daten- schutz, Polizeikooperation, IT-Gross- systeme (SIRENE, SIS), Rückkehr, Grenzschutz und Visa-Expertenpools. Der EDÖB hatte vom 13. –17. November 2023 einen Experten für die Evaluie- rung Estlands im Bereich Datenschutz entsandt. Mit dem Übergang des Sekretariats vom Europäischen Datenschutzbe- auftragten (EDSB) zum Europäischen Datenschutzausschuss (EDSA) im März 2023, sind die Anzahl der jährli- chen Sitzungen im Bereich SIS von zwei auf vier erhöht worden. Die Daten- schutzbehörden stellten an den Sitzun- gen fest, dass aus einzelnen Staaten besonders viele Schengen-Auskunfts- gesuche erfolgen, teilweise werden sogar die gleichen Gesuche an Dutzende Datenschutzbehörden gleichzeitig verschickt. Die Entwicklung der Situa- tion wird aktuell beobachtet. Im Rahmen der SIS CSC Sitzungen wurde dieses Jahr auch der aktive Aus- tausch mit der zivilen Gesellschaft gepflegt, indem ausgewählte grössere europäische NGOs zum Austausch eingeladen wurden. Die Datenbearbeitungen waren während der Pandemiezeit umfang- mässig stark eingebrochen. Diese be- finden sich zwischenzeitlich wieder auf Vor-Coronaniveau. Datenschutz 54 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
Informationssysteme SIS und VIS in Brüssel. Der EDÖB und die kantonalen Datenschutzbehörden haben sich so- dann über ihre Erfahrungen aus den von ihnen durchgeführten Kontrollen ausgetauscht. Die Kantone berichten, dass die regelmässig durchgeführten Logfiles- Kontrollen bei Mitarbeiterinnen und Mitarbeitern mit entsprechenden Zu- griffsrechten auf Schengen-Informa- tionssysteme für ein erhöhtes Bewusst- sein für den Datenschutz sorgen. Da die Koordinationsgruppe neu in einem formellen Bundesgesetz und nicht mehr nur in einer Verordnung geregelt ist, wurde die Geschäftsord- nung formell angepasst. Eine Unterarbeitsgruppe erarbeitet aktuell ein Muster für die Aktualisie- rung der Webseiten der kantonalen Datenschutzbehörden. Dieses soll es ihnen erleichtern, auf ihren Webseiten Informationen zu Schengen aufzufüh- ren, in denen betroffene Personen auch auf Ihre Rechte hingewiesen werden. SCHENGEN Tätigkeiten auf nationaler Ebene Die Kontrolle bei fedpol als zentraler Zugangsstelle des zentralen Visa-Infor- mationssystems (C-VIS) wurde weiter- geführt und eine Logfiles-Kontrolle beim Grenzwachtkorps begonnen. Der EDÖB hat seine im Vorjahr eröff- nete Kontrolle bei fedpol als zentraler Zugangsstelle des C-VIS betreffend die Abfrage von Schengen-Visa-Daten zum Zweck der Verhütung, Aufde- ckung oder Ermittlung terroristischer und sonstiger schwerwiegender Straf- taten weitergeführt, aber aufgrund der neueröffneten Untersuchung Xplain (s. Kap. 1.2) zwischenzeitlich sistieren müssen. SCHENGEN Koordinations gruppe der schweizerischen Datenschutz- behörden Die Datenschutzbehörden von Bund und Kantonen sowie des Fürstentums Liechtenstein haben sich im Rahmen der Schengen Koordinationsgruppe unter dem Vorsitz des EDÖB zweimal getroffen. Die Schengen Koordinationsgruppe der Datenschutzbehörden von Bund und Kantonen traf sich im Juni und im De- zember 2023. Der EDÖB hat in dieser Gruppe den Vorsitz. Die Datenschutz- behörde des Fürstentums Liechten- stein ist Mitglied mit Beobachterstatus. An beiden Sitzungen informierte der EDÖB über die Arbeitsergebnisse der Sitzungen aus den europäischen Auf- sichtskoordinationsgruppen über die Datenschutz 55 31. Tätigkeitsbericht 2023/24
Im Berichtsjahr hat der EDÖB zudem eine VIS-Logfiles-Kontrolle beim Grenzwachtkorps begonnen, die dar- auf gerichtet ist, die Rechtmässigkeit der getätigten Zugriffe zu prüfen. Zur Durchführung hat der EDÖB beim Datenschutzberater des Staatssekreta- riats für Migration SEM stichproben- mässig die erstellten Zugriffsprotokolle (sog. Logfiles) eines definierten Zeit- raums von zugriffsberechtigten Mitar- beiterinnen und Mitarbeitern des Grenzwachtkorps herausverlangt und analysiert. Mit den Zugriffsberechtig- ten wurden verschiedene Interviews durchgeführt, in welchen diese dem EDÖB die Rechtsmässigkeit einzelner Anfragen erläutern und belegen sollten. Die Schengen-Mitgliedstaaten sind verantwortlich, dass eine gemäss Verordnung (EU) 2016/679 eingerich- tete nationale Kontrollstelle die Rechtmässigkeit der Verarbeitung personenbezogener Daten kontrolliert. Nach Verordnung (EG) Nr. 767/2008 haben sie nach Massgabe ihres innerstaatlichen Rechts dafür zu sorgen, dass Übermittlungen aus dem C-VIS protokolliert werden und dass diese Protokolle den nationalen Datenschutzbehörden auf Anfrage zur Verfügung gestellt werden. In der Schweiz ist das SEM die dafür zuständige Stelle. INTERNATIONALES TREFFEN Französischsprachige Ver- einigung der Datenschutzbe- hörden Die Mitglieder der französischsprachigen Vereinigung der Datenschutzbehörden (AFAPDP), darunter der EDÖB, trafen sich am 2. und 3. Oktober 2023 in Tanger. Am französischsprachigen Treffen über den Schutz personenbezogener Daten nahmen Behörden aus 26 Län- dern Teil, die durch eine gemeinsame Sprache, eine gemeinsame juristische Tradition und gemeinsame Werte verbunden sind. Im Mittelpunkt der zweitägigen Zusammenkunft stand dieses Jahr das Data Scraping (Abschöpfen von Daten). Dieses automatisierte Auslesen perso- nenbezogener Daten aus dem Internet bringt eine Reihe von Risiken mit sich und ermöglicht unter anderem gezielte Cyberattacken, Identitätsdiebstahl, Profiling, Spams oder auch unerlaubtes Direktmarketing. Das Kommissariat für den Schutz der Privatsphäre Kanadas, die Nationale Aufsichtskommission für personenbezogene Daten Marokkos (CNPD) und der Eidgenössische Da- tenschutz- und Öffentlichkeitsbeauf- tragte legten eine Stellungnahme vor, die im vergangenen August zusammen mit elf weiteren Datenschutzbehörden als gemeinsame Erklärung veröffent- licht wurde und Social Media Unter- nehmen sowie Webseitenbetreibern eine Reihe von Massnahmen empfiehlt. Während des Informationsaus- tauschs über Neuerungen und Aktuel- les auf dem Gebiet der Gesetzgebung über personenbezogene Daten im fran- zösischsprachigen Raum konnte der EDÖB das neue DSG vorstellen. Anläss- lich der 1 4. Generalversammlung wurden der Tätigkeitsbericht und der Finanzbericht geprüft und verabschie- det. Ausserdem nahm die Vereinigung die Datenschutzbehörden Georgiens, Mauretaniens sowie des Kosovos auf, wodurch sich ihre Mitgliederzahl auf 26 erhöhte. Die betreffenden Länder sind in der «Organisation internationale de la Francophonie» vertreten. Datenschutz 56 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
GLOBALE FRAGESTELLUNGEN Internationale Konferenz der Datenschutzbeauftragten Im Mittelpunkt der Internationalen Konferenz der Datenschutzbeauftrag- ten (Global Privacy Assembly, GPA) standen die neuen Technologien und deren Auswirkungen auf die Privat- sphäre. An ihrer 45. Jahrestagung ver- abschiedete die GPA sieben Resolutio- nen, wovon zwei die künstliche Intelli- genz betrafen. Die 45. Tagung der 1979 ins Leben gerufenen Internationalen Konferenz der Datenschutzbeauftragten fand vom 15. bis 20. Oktober 2023 in Hamil- ton (Bermudas) statt. Ziel der Global Privacy Assembly ist es, sich mit den wichtigsten Anliegen im Bereich des Schutzes der Privatsphäre auseinander- zusetzen und zu überlegen, wie Re- gulierungsbehörden in einer zuneh- mend datengetriebenen Welt sowohl individuell als auch gemeinsam für einen besseren Schutz der Privatsphäre sorgen können. Der EBÖB ist Mitglied der GPA. Die diesjährige Tagung war haupt- sächlich den Auswirkungen von Tech- nologien – etwa künstliche Intelligenz (KI) und generative KI – auf die Privat- sphäre gewidmet. INTERNATIONALE ZUSAMMENARBEIT Privacy Symposium in Venedig Der EDÖB nahm am Privacy Symposium teil. Diese internationale Konferenz fördert den Dialog, die Zusammenarbeit und die Konvergenz zwischen Expertin- nen und Experten, Forschenden und Datenschutzbehörden weltweit. 2023 fand das Symposium vom 17. bis 21. April in Venedig unter der Schirmherr- schaft der italienischen Datenschutz- behörde (Garante) statt. Das Privacy Symposium diente dem Austausch über neueste Entwicklun- gen und Perspektiven im Bereich des Datenschutzes und des Schutzes der Privatsphäre. Die Università Ca'Foscari empfing über 200 ausgewiesene Fach- personen zu mehr als 80 Panels über diverse aktuelle Themen wie interna- tionale Zusammenarbeit, Datenschutz- konformität technologischer Lösun- gen, sozio-ökonomische Perspektiven, Forschung und Innovation. Der Eröffnungstag war dem Über- einkommen des Europarats zum Schutz des Menschen bei der Verarbeitung personenbezogener Daten (Überein- kommen 108) gewidmet. In verschie- denen Sitzungen und Workshops wurde über die zukünftigen Auswir- kungen des Änderungsprotokolls zur Modernisierung des Übereinkommens (Übereinkommen 108+) beraten. Dabei geht es um die Stärkung des Daten- schutzes weltweit und um die Erleich- terung des grenzüberschreitenden Datenverkehrs. Der EDÖB nutzte den Anlass, um das neue Datenschutzgesetz vorzu- stellen, seine Rolle in Bezug auf das Übereinkommen 108 zu erläutern und die Zusammenarbeit unter den euro- päischen Aufsichtsbehörden, die nicht Mitglied des EDSA sind, zu fördern. Der EDÖB hatte auch Gelegenheit, mit Amtskolleginnen und Amtskollegen aus Italien (Garante) und Deutschland (BfDI) sowie mit dem Europäischen Datenschutzbeauftragten (EDSB) in- formelle Gespräche über Themen wie ChatGP T, Cloud Computing und Da- tenübermittlung ins Ausland zu führen. Datenschutz 57 31. Tätigkeitsbericht 2023/24
EUROPA Europäische Konferenz der Datenschutzbeauftragten in Budapest An der Europäischen Konferenz der Datenschutzbeauftragten wurden unter anderem neueste Entwicklungen sowie hängige Fragen bei der grenzüberschrei- tenden Datenbekanntgabe erörtert. Zudem diskutierten die Datenschutzbe- auftragten anhand von Beispielen über die Zusammenarbeit der Datenschutz- behörden und prüften Möglichkeiten, um das Bewusstsein der breiten Öffent- lichkeit für die Anliegen des Daten- schutzes zu schärfen. Das Konferenz- programm sah erstmals eine öffent- liche Sitzung vor. An der geschlossenen Sitzung befassten sich die Datenschutzbeauftragten mit vier Themen: neue Technologien, Wettbewerbsrecht, Gerichtsentscheide und beste Praktiken/Fallbeispiele auf dem Gebiet der Zusammenarbeit zwi- schen Ländern des EW R-Raums und Nicht-EW R-Ländern bei der Durch- setzung von Rechtsvorschriften. Das Panel zu den neuen Technologien setzte sich mit deren Auswirkungen auf un- sere Gesellschaft und insbesondere auf unsere Denkweise und auf zwischen- menschliche Beziehungen auseinander. Beim Panel über das Wettbewerbs- recht wurden die Wechselwirkungen zwischen Wettbewerbsrecht und Da- tenschutz untersucht, um Möglichkei- ten zu identifizieren, damit sich beide Rechtsgebiete gegenseitig unterstüt- zen können. Das Panel über beste Prak- tiken/Fallbeispiele auf dem Gebiet der Dazu wurden zwei Resolutionen ver- abschiedet: • Die Resolution über Systeme der generativen künstlichen Intelligenz appelliert an die Notwendigkeit, bei der Entwicklung, Nutzung und Einführung von KI-Systemen die Grundprinzipien des Datenschutzes einzuhalten. • Die Resolution über künstliche In- telligenz im Arbeitsbereich unter- streicht die Bedeutung der Grund- sätze und Garantien des Daten- schutzes im Zusammenhang mit der Entwicklung und Nutzung von KI-Systemen im Arbeitsverhältnis (einschliesslich der Rekrutierung). An ihrer Tagung verabschiedete die GPA zudem die fünf nachstehenden Resolutionen: • Resolution über die weltweiten Datenschutzgrundsätze, um die 2009 in Madrid von der GPA verab- schiedeten Grundsätze im Lichte der neuesten technologischen Ent- wicklungen zu aktualisieren. Die Resolution berücksichtigt neue Kon- zepte wie beispielsweise Datenschutz durch Technik und durch daten- schutzfreundliche Voreinstellungen, das Recht auf Datenportabilität und Rahmenbedingungen für das Profi- ling und für automatisierte Ent- scheidungen; • Resolution über die Einrichtung einer Ressourcenbibliothek zu den wichtigsten Grundsätzen des Daten- schutzes; • Resolution über die Schaffung einer Arbeitsgruppe über einen gender- übergreifenden Ansatz beim Daten- schutz; • Resolution über Gesundheitsdaten und wissenschaftliche Forschung; • Resolution über die Verleihung eines gemeinsamen Preises für Da- tenschutz und Menschenrechte durch die GPA und Access Now. Schliesslich genehmigte die GPA ihren Strategieplan 2023–2025. Dessen Hauptakzente liegen auf den Rechten der betroffenen Personen und auf dem Kapazitätsausbau der Datenschutz- behörden. Datenschutz 58 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
Zusammenarbeit zwischen Ländern des EWR-Raums und Nicht-EW R- Ländern lieferte einen Überblick über die bisherigen Erfahrungen bei der Zusammenarbeit in Bereichen, die nicht die DSGVO betreffen. Das Panel über Gerichtsentscheide lieferte eine Be- standsaufnahme der wichtigsten Ver- fahren aus Strassburg und Luxemburg anhängig. Die Frühjahrskonferenz bot dem breiten Publikum erstmals eine öffent- liche Sitzung an. Die Panels waren dem Verhältnis zwischen Behörden und Delegierten, der Vernetzung und Schu- lung der Delegierten und ihrer Rolle innerhalb der Organisation gewidmet. Die Mitglieder verabschiedeten drei Resolutionen: • Resolution über die Notwendigkeit einer engeren Zusammenarbeit in den Bereichen Datenschutz und Wettbewerbsrecht; • Resolution zur Akkreditierung der Datenschutzbehörde von San Marino; • Resolution zur Überarbeitung der Prozessordnung der Konferenz. Die 31. Europäische Konferenz der Datenschutzbeauftragten fand vom 10. bis 12. Mai 2023 in Budapest statt. An der geschlossenen Sitzung nah- men 138 Mitglieder von Datenschutz- behörden teil. Für die öffentliche Sit- zung waren über 350 Teilnehmende aus 39 Ländern angemeldet. Datenschutz 59 31. Tätigkeitsbericht 2023/24
Öffentlichkeitsprinzip
Das Öffentlichkeitsgesetz (BGÖ) soll die Transparenz über den Auftrag, die Organisation und die Tätigkeit der Verwaltung fördern, indem es den Zugang zu amtlichen Dokumenten gewährleistet (vgl. Art. 1 BGÖ). Das Öffentlichkeitsprinzip soll das Ver- trauen in Staat und Behörden fördern, indem es das Verwaltungshandeln nachvollziehbar macht und dadurch die Akzeptanz staatlichen Handelns erhöht. Die von der Bundesverwaltung gelieferten Zahlen zu den im Jahr 2023 eingegangenen Gesuchen um Zugang zu amtlichen Dokumenten lassen er- kennen, dass das Bedürfnis von Medien und Gesellschaft nach spezifischer Information und einer transparenten Verwaltung (bzw. Verwaltungstätig- keit) ungebrochen ist und zu einem neuen Höchststand an Gesuchen ge- führt hat. Im Berichtsjahr sind fast 50 Prozent mehr Zugangsgesuche bei den Bundesbehörden eingereicht worden als im Vorjahr. Diese Zunahme hat sich gemäss Rückmeldung der Behörden auch im Aufwand für die Bearbeitung der Gesuche niederge- schlagen. Insgesamt zeigte sich, dass die Umsetzung des Öffentlichkeits- prinzips anspruchsvoll und herausfor- dernd bleibt. Aus den nachfolgenden Zahlen (s. Kap. 2.2) ist zu entnehmen, dass die in den letzten Jahren festge- stellte Tendenz eines konstant hohen Anteils an Fällen, in welchen der Zu- gang vollständig gewährt wird, auch für das Berichtsjahr bestätigt werden kann. Sind Gesuchstellende oder von der Zugangsgewährung betroffene Dritte mit der von der Behörde beabsichtigten Zugangsgewährung nicht einverstan- den, bietet das Öffentlichkeitsgesetz diesen die Möglichkeit, beim Beauftrag- ten einen Antrag auf Schlichtung ein- zureichen. Der Beauftragte verzeich- nete im Berichtsjahr 132 eingegangene Schlichtungsanträge, was im Vergleich zum Vorjahr eine leichte Zunahme von zwei Prozent bedeutet. Ziel des Schlich- tungsverfahrens ist die rasche Eini- gung zwischen den Beteiligten. Die Durchführung von mündlichen Schlich- tungsverhandlungen hat sich auch im Jahr 2023 bewährt: Die Auswertung der im Berichtsjahr abgearbeiteten Schlichtungsanträge ergibt, dass in jenen Fällen, in welchen eine Schlichtungs- sitzung durchgeführt werden konnte, in 55 Prozent eine einvernehmliche Lösung resultierte. Die seit Jahren grosse Zahl an Schlichtungsanträgen und die pandemie- bedingt schriftlich durchgeführten Schlichtungsverfahren führten zu einem Rückstau bei der Erledigung der Schlichtungsverfahren. Festzustellen ist gleichzeitig eine zunehmende Komplexität der Anfragen und der zu 2.1 Allgemein 62 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Öffentlichkeitsprinzip
beantwortenden juristischen Fragestel- lungen, wobei im Berichtsjahr beson- ders die Schlichtungsverfahren im Zusammenhang mit den Covid-19- Impfstoffverträgen oder der Über- nahme der Credit Suisse durch die UBS hervorzuheben sind. Die genannten Faktoren hatten auch im Berichtsjahr zur Folge, dass der Beauftragte bei einem hohen Anteil der Verfahren die gesetzliche Er ledigungsfrist von 30 Tagen überschritt. Im Berichtsjahr mussten wiederum verstärkt Bestrebungen der Verwal- tung festgestellt werden, Teilbereiche ihrer Tätigkeit oder bestimmte Kate- gorien von Dokumenten vom Öffent- lichkeitsprinzip auszunehmen (s. Kap. 2. 4). In diesem Zusammen- hang wird von Seiten der Verwaltung regelmässig vorgebracht, dass nur bei Ausschluss des Öffentlichkeitsgesetzes die Einhaltung gesetzlicher Melde- und Mitwirkungspflichten gewähr- leistet werden kann. In einem Rechts- staat ist nach Auffassung des Beauf- tragten indes davon auszugehen, dass gesetzliche Auskunfts- und Meldepflich- ten beachtet und durchgesetzt werden. Mögliche Rechtsverletzungen von Beaufsichtigten vermögen – selbst wenn oder gerade weil sie auf das Öffentlich- keitsprinzip zurückzuführen sind – kei- nesfalls derartige Einschränkungen des Öffentlichkeitsgesetzes zu recht- fertigen. Die Einführung solcher Vor- behalte führt zu einer Schwächung des Öffentlichkeitsprinzips und der damit bezweckten Verwaltungstransparenz. Eine Übersicht über die spezialgesetz- lichen Vorbehalte gemäss Art. 4 BGÖ finden sich in Kapitel 2.5. 63 31. Tätigkeitsbericht 2023/24 Öffentlichkeitsprinzip
Gemäss den Zahlen, die von den Bun- desbehörden gemeldet wurden, gingen im Berichtsjahr 1701 Zugangsgesuche ein (202 2 waren es 1153 Gesuche); dies entspricht einer Zunahme von 48 Pro- zent gegenüber 202 2. Hinzu kommen 37 im Jahr 2023 bearbeitete Zugangsge- suche, welche in Vorjahren eingereicht worden sind. Dabei gewährten die Be- hörden insgesamt in 830 Fällen (48 Pro- zent) einen vollständigen Zugang (ge- genüber 62 4 bzw. 53 Prozent im Jahr 202 2), währenddem bei 402 Gesuchen (23 Prozent) ein teilweiser respektive aufgeschobener Zugang zu den Doku- menten gewährt wurde (Vorjahr: 236 Ge- suche resp. 20 Prozent). In 176 Fällen (zehn Prozent) wurde die Einsichtnahme vollständig verweigert (gegenüber 99 bzw. acht Prozent im Jahr 202 2). Nach Angaben der Behörden wurden 73 Zu- gangsgesuche zurückgezogen (vier Prozent gegenüber 53 bzw. fünf Prozent im Jahr 202 2), 96 Gesuche waren Ende 2023 noch hängig, und in 161 Fällen war kein amtliches Dokument vorhanden. Wir rechnen auch in den kommen- den Jahren mit einem weiterhin gros- sen Interesse am Zugang zu Verwal- tungsinformationen, wenngleich sich das während der Coronapandemie besonders ausgeprägte Informations- und Transparenzbedürfnis im Berichts- jahr mittlerweile weitestgehend auf andere Ereignisse des Weltgeschehens richtet. Die Behörden konnten die Zugangsgesuche für «Corona- Doku- mente» statistisch erfassen und dem Beauftragten zusammen mit den jähr- lich zu meldenden Angaben übermit- teln (s. Statistik Zugangsgesuche zu Corona-Dokumenten). Gemäss Angaben der Bundesbehörden wiesen 39 von den insgesamt 1738 bearbeiteten Zu- gangsgesuchen (zwei Prozent) einen Bezug zu Corona auf, was im Vergleich zum Vorjahr (acht Prozent) erneut einen erheblichen Rückgang darstellt. Dabei zeigt sich, dass der vollständige Zugang in 12 Fällen (31 Prozent) und damit im Vergleich zur Gesamtstatistik weniger oft gewährt wurde. Während die Behörden in 17 Fällen (4 4 Prozent) und damit in Bezug auf Corona-Doku- mente öfter den Zugang teilweise ge- währt oder aufgeschoben haben, kann hinsichtlich des einen Falles der voll- ständigen Zugangsverweigerung (zwei Prozent) ein fünfmal tieferer Anteil im Verhältnis zur Gesamtstatistik festge- stellt werden. Zwei Zugangsgesuche zu Corona-Dokumenten waren Ende 2023 noch hängig und in sieben Fällen war kein amtliches Dokument vorhan- den. Zusammenfassend stellt der Beauf- tragte fest, dass im Berichtsjahr erst- mals seit 2015 in weniger als der Hälfte der Fälle ein vollständiger Zugang zu den Dokumenten gewährt wurde. Hin- gegen bewegen sich die vollständigen Zugangsverweigerungen, welche sich im Laufe der Jahre auf knapp zehn Pro- zent einpendelten, weiterhin stabil auf tiefem Niveau. Departemente und Bundesämter Einzelne Verwaltungseinheiten stan- den im Jahr 2023 besonders im Fokus der Medien und der Gesellschaft. Auf- gabenbedingt sahen sich insbesondere das VBS (432), das UV EK (236) sowie auch das EDI (230) und das EDA (2 28) mit einer grossen Anzahl von Zugangs- gesuchen konfrontiert. Im Fall des EDI richteten sich departementsübergrei- fend 15 Prozent der Gesuche auf den Zugang zu amtlichen Dokumenten mit Corona-Bezug (Vorjahr 38 Prozent). Gemäss den Behörden handelte es sich dabei teilweise um sehr umfangreiche und komplexe Gesuche. In einer Viel- zahl der Fälle war laut Rückmeldungen 2.2 Zugangsgesuche – erhebliche Zunahme im 2023 64 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Öffentlichkeitsprinzip
auch eine aufwändige verwaltungs- interne Koordination zwischen Ämtern oder Departementen notwendig. Auf Stufe Amt zeigen die gemel- deten Zahlen, dass das BASPO mit 27 7 Fällen im Jahr 2023 am meisten ein- gegangene Zugangsgesuche meldete. Danach folgen das BAFU mit 98, das GS-EFD mit 87 und das GS-VBS mit 83 Gesuchen. 1 4 Behörden meldeten, dass im Berichtsjahr bei ihnen kein Zugangsgesuch eingegangen ist. Der Beauftragte selbst sah sich mit 1 4 Zu- gangsgesuchen konfrontiert, wobei er den Zugang in zehn Fällen vollständig gewährte. In einem Fall wurde der Zugang vollständig verweigert und drei Zugangsgesuche waren Ende 2023 noch hängig. Der 2023 für den Zugang zu amtli- chen Dokumenten erhobene Gebüh- renbetrag beläuft sich auf insgesamt CHF 1 4 2 26 und liegt 42 Prozent unter der Vorjahressumme (CHF 2 4 582). Während das EDA, das EJPD, das VBS, die Parlamentsdienste und die Bundes- anwaltschaft überhaupt keine Gebüh- ren erhoben, verrechneten die übrigen vier Departemente und die Bundes- kanzlei den Gesuchstellenden einen Teil ihres Zeitaufwands (EDI: CHF 6403; W BF: CHF 4 498; UV EK: CHF 1675; EFD: CHF 1500; Bundeskanzlei: CHF 150). Dazu sei vermerkt, dass ledig- lich bei 19 der 1738 bearbeiteten Zu- gangsgesuche eine Gebühr erhoben wurde. Gegenüber dem Vorjahr, in dem in 29 Fällen eine Gebühr verlangt Grafik 1: Beurteilung Zugangsgesuche – Entwicklung seit 2010 2011201020122013201420152016201720182019202120222023 1738 (+47 % gegenüber Vorjahr) 830 (+33 %) 402 (+41 %) 176 (+78 %) 73 (+38 %) 2020 0 600 300 900 1200 1800 1500 RückzugZugang teilweise gewährt/aufgeschobenZugang verweigert Total Gesuche Zugang gewährt 65 31. Tätigkeitsbericht 2023/24 Öffentlichkeitsprinzip
wurde, stellt dies – sowohl in Bezug auf die Anzahl Fälle, in welchen eine Gebühr erhoben wurde, wie auch be- züglich des Gesamtbetrages der Ge- bühren – einen deutlichen Rückgang dar. Ohnehin bleibt die Erhebung von Gebühren weiterhin die Ausnahme: Knapp 99 Prozent der Zugangsgesuche waren im Jahr 2023 gebührenfrei. Die auch im Berichtsjahr gelebte Verwal- tungspraxis, wonach amtliche Doku- mente grundsätzlich kostenlos einge- sehen werden können, ist seit dem
daher nur bedingt. Gemäss diesen Angaben hat der Zeitaufwand für das Berichtsjahr mit 6469 Stunden im Vergleich zum Vorjahr (5 404 Stunden) deutlich zugenommen. Dass die von den Behörden gemel- deten, für die Bearbeitung der Zugangs- gesuche anfallenden Aufwände nur bedingt dem tatsächlich erforderlichen Zeitaufwand entspricht, lässt sich exemplarisch an den vom BAG gemel- deten Angaben erkennen. Zusätzlich zu den von den zuständigen Fachein- heiten des BAG punktuell angegebe- nen Aufwandzeiten von 287.5 Stunden und der juristischen Unterstützung durch seine Öffentlichkeitsberaterin im Umfang von 80 Stellenprozenten, meldete das BAG für die Bearbeitung der Zugangsgesuche im Zusammen- hang mit Covid-19 (einschliesslich Schlichtungs- und Beschwerdeverfah- ren) einen weiterhin hohen Aufwand, welcher mindestens 2.8 Vollzeitstellen betrug. Ähnliches dürfte für weitere Einheiten der Bundesverwaltung gelten. Eine Abnahme ist beim gemeldeten Zeitaufwand für die Vorbereitung von Schlichtungsverfahren auszumachen: 730 Stunden gegenüber 1006 Stunden im Vorjahr (vgl. dazu im Jahr 2021: 865 Stunden; 2020: 569 Stunden; 2019: 473 Stunden; 2018: 672 Stunden und 2017: 91 4 Stunden). Parlamentsdienste Gemäss Angabe der Parlamentsdienste sind im Berichtsjahr zwei Zugangsge- suche bei ihnen eingegangen. In einem Fall wurde der Zugang vollständig verweigert und im andern Fall exis- tierte kein amtliches Dokument. Bundesanwaltschaft Die Bundesanwaltschaft meldete für 2023 den Eingang von zwei Gesuchen. In einem Fall wurde der Zugang voll- umfänglich gewährt, im andern exis- tierte kein amtliches Dokument. Grafik 2: Erhobene Gebühren seit Inkrafttreten des BGÖ 0 20062010201420122016200820182020 2023 5000 10000 15000 20000 CHF 25000 14 226 (–42 % gegenüber Vorjahr) 67 31. Tätigkeitsbericht 2023/24 Öffentlichkeitsprinzip
Im Jahr 2023 wurden beim Beauftrag- ten 132 Schlichtungsanträge einge- reicht. Verglichen mit den 202 2 einge- gangenen 129 Anträgen entspricht dies einer Zunahme von zwei Prozent. Die meisten Schlichtungsanträge wurden von Medienschaffenden ( 74) und Pri- vatpersonen (31) eingereicht. Diese Zahlen lassen folgende Feststellungen zu: In den 739 Fällen, in denen die Bundesverwaltung den Zugang voll- ständig oder teilweise verweigerte, beziehungsweise aufschob oder vor- brachte, dass keine amtlichen Doku- mente vorhanden sind, kam es 132-mal bzw. in 18 Prozent der Fälle zur Einrei- chung eines Schlichtungsantrags. 2023 konnten 1 42 Schlichtungsan- träge erledigt werden, wovon 18 Anträge (1 4 Prozent) amtliche Dokumente mit einem Bezug zu Corona betrafen. Davon waren 105 im Berichtsjahr, 3 4 im Vor- jahr und 3 in früheren Jahren eingegan- gen. In 5 4 Fällen konnte eine Einigung erzielt werden. Ausserdem erliess der Beauftragte 47 Empfehlungen, durch welche 61 Fälle erledigt werden konn- ten, in denen eine einvernehmliche Lösung zwischen den Parteien nicht ersichtlich war. Zu den abgeschlossenen Fällen zählen auch zwölf Anträge, die nicht fristgerecht eingereicht wurden, neun Fälle, in denen die Voraussetzungen für die Anwendung des Öffentlichkeits- gesetzes nicht gegeben waren, sowie sechs Schlichtungsanträge, die zurück- gezogen wurden. Per Ende Jahr war in neun Schlich- tungsverfahren im Einvernehmen mit den Beteiligten resp. auf Wunsch der Antragstellenden hin eine Sistierung erfolgt. Anteil einvernehmlicher Lösungen Zu den vielen Vorteilen der einver- nehmlichen Lösungen gehört u. a. auch, dass sie eine Klärung der Sachlage und eine Beschleunigung des Zugangsver- fahrens ermöglichen und zudem die allfällige zukünftige Zusammenarbeit zwischen den an der Schlichtungssit- zung Beteiligten erleichtern. Die Wirksamkeit der Durchfüh- rung von mündlichen Schlichtungs- sitzungen lässt sich vor allem am An- teil der einvernehmlichen Lösungen Grafik 3: Schlichtungsanträge seit Inkrafttreten des BGÖ 2.3 Schlichtungsverfahren – leichte Zunahme der Schlichtungsanträge 0 150 120 90 60 30 132 (+2 % gegenüber Vorjahr) 20062010201420122016200820182020 2023 68 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Öffentlichkeitsprinzip
im Verhältnis zu den Empfehlungen ablesen. Im Berichtsjahr konnten 5 4 einvernehmliche Lösungen erzielt werden, und der Beauftragte gab 47 Empfehlungen zur Lösung von 61 Fällen ab. Im Verhältnis zu den Empfehlungen machen die einver- nehmlichen Lösungen somit einen Anteil von 47 Prozent aus. Hierzu be- darf es allerdings einiger Erläuterun- gen: Eine einvernehmliche Lösung kann regelmässig nur dann erreicht werden, wenn überhaupt eine Schlich- tungsverhandlung durchgeführt wer- den kann. So konnte im Berichtsjahr in den 62 durchgeführten Schlichtungs- verhandlungen in 3 4 Fällen (55 Pro- zent) eine Einigung erzielt werden. In den 58 Fällen, in denen auf die Durch- führung einer Schlichtungssitzung mit physischer Anwesenheit der Beteilig- ten verzichtet wurde (z. B. aufgrund der grossen Anzahl der am Verfahren Beteiligten), konnte das Verfahren nur in 20 Fällen (3 4 Prozent) mit einer einvernehmlichen Lösung erledigt werden. Im Ergebnis lässt sich feststellen, dass sich mündliche Schlichtungsver- handlungen nach wie vor bewähren, um zu einer einvernehmlichen Lösung zu kommen. Nach Ansicht des Beauf- tragten ist Dieses Vorgehens ist darum gegenüber den schriftlichen Verfahren weiterhin zu bevorzugen und zu för- dern. Die Durchführung von mündli- chen Schlichtungssitzungen erweist sich für alle Verfahrensbeteiligten als vorteilhaft. Hinweis: Sämtliche Empfehlun- gen aus dem Berichtsjahr sind auf der Website des Beauftragten abrufbar (www.edoeb.admin.ch). Tabelle 1: Einvernehmliche Lösungen 202347 % 2022 (Corona-Einfluss) 51 % 2021 (Corona-Einfluss) 44% 2020 (Corona-Einfluss) 34% 201961 % 201855% Dauer der Schlichtungs- verfahren Untenstehende Tabelle ist in drei von der Verfahrensdauer abhängige Spalten aufgeteilt. Der Genauigkeit halber sei hierzu festgehalten, dass der Zeitraum, während dem ein Schlichtungsverfah- ren auf Antrag resp. mit Einverständ- nis der Beteiligten sistiert ist, nicht zur Behandlungsdauer gezählt wird. Eine Sistierung des Schlichtungsverfahrens erfolgt insbesondere dann, wenn eine Behörde nach der Schlichtungssitzung ihre Position überprüfen möchte, oder wenn sie betroffene Dritte anhören muss. Wird die Schlichtungssitzung auf Antrag einer beteiligten Partei verschoben (bspw. aufgrund von Ferien- abwesenheit oder Krankheit), wird die Zeitspanne zwischen dem ursprünglich vorgesehenen Termin und dem neu angesetzten Termin bzw. die daraus resultierende Verfahrensverlängerung ebenfalls nicht zur Bearbeitungsdauer gezählt. Aus der Tabelle wird ersichtlich, dass 27 Prozent der im Jahr 2023 abge- schlossenen Schlichtungsverfahren innerhalb der ordentlichen Frist von 30 Tagen bearbeitet wurden. In 35 Pro- zent der Fälle dauerte das Schlichtungs- verfahren zwischen 31 und 99 Tagen und in 38 Prozent 100 Tage oder länger. 69 31. Tätigkeitsbericht 2023/24 Öffentlichkeitsprinzip
Hierzu ist anzumerken, dass von den 39 fristgerecht erledigten Schlichtungs- anträgen das Schlichtungsverfahren nur in 15 Fällen (38 Prozent) durch eine Einigung oder Empfehlung erledigt wurde und dementsprechend eine ma- terielle Auseinandersetzung mit dem Schlichtungsgegenstand stattgefunden hat. In den anderen 2 4 Fällen (62 Pro- zent) resultierte keine materielle Beur- teilung in der Sache; es handelte sich dabei insbesondere um Fälle, welche offensichtlich ausserhalb des Geltungs- bereichs des Öffentlichkeitsgesetzes anzusiedeln sind oder in welchen die formellen Voraussetzungen für die Eröffnung eines Schlichtungsverfah- rens nicht gegeben waren. Der Bearbeitungsrückstand aus den Vorjahren führte auch im Berichts- jahr zu einer verlängerten Verfahrens- dauer. Hinzu kommt, dass die Anzahl der eingegangenen Schlichtungsan- träge Schwankungen ausgesetzt ist. Während beispielswiese im April und November ( je 15) sowie im März (17) viele Anträge beim Beauftragten ein- gegangen sind, gingen im September nur fünf und im August gar nur zwei Anträge ein. Die Vorgabe der gesetzlichen Frist von 30 Tagen für die Durchführung von Schlichtungsverfahren konnte vor der Pandemie regelmässig eingehalten werden, wenn die Schlichtungssitzun- gen erfolgreich mit einer Einigung abgeschlossen werden konnten. Auch wenn dies für das Berichtsjahr nicht gilt, kann im Verhältnis zum Vorjahr eine leicht höhere Quote festgestellt werden: im Falle der Erledigung des Verfahrens durch eine Einigung konnte die 30-tägige Frist in 35 Prozent der Fälle eingehalten werden (gegenüber 29 Prozent im Vorjahr). Die Ursache dafür ist namentlich darin zu erken- nen, dass aufgrund der für die Bearbei- tung der Schlichtungsanträge zur Ver- fügung stehenden personellen Res- sourcen und des Bearbeitungsrückstands die Schlichtungssitzung in 83 Prozent der Fälle so angesetzt werden musste, dass die Frist bereits zum Zeitpunkt des Sitzungstermins abgelaufen war. Hatte der Beauftragte mangels einver- nehmlicher Lösung eine Empfehlung auszusprechen, konnte er den Beteilig- ten die schriftliche Empfehlung sogar nur in einem Fall innert 30 Tagen nach Eingang des Antrags und damit innert gesetzlicher Frist zustellen. Häufige Gründe für eine Fristüber- schreitung waren ausserdem ausseror- dentlich umfangreiche Zugangsbegeh- ren, eine grosse Zahl der am Verfahren beteiligten Drittpersonen oder die juristische Komplexität der Fragestel- lung. Diese Gründe treffen auch auf jene 5 4 Fälle zu, deren Bearbeitung 100 Tage oder mehr in Anspruch nahm. Dazu zählen beispielsweise die Schlichtungs- verfahren im Zusammenhang mit den Covid-19-Impfstoffverträgen oder der Übernahme der Credit Suisse durch Tabelle 2: Bearbeitungsdauer Schlichtungsverfahren Bearbeitungsdauer in Tagen Zeitraum 2014 – August 2016* Pilotphase 2017 Zeitraum 2018 Zeitraum 2019 Zeitraum 2020 Zeitraum 2021 Zeitraum 2022 Zeitraum 2023 innert 30 Tagen11 %59%50%57 %43%42 %25%27 % zwischen 31 und 99 Tagen45%37 %50%38%30%51 %42 %35% mehr als 100 Tage44%4%0%5%27 %7%33%38%
die UBS (vgl. dazu die Empfehlungen des Beauftragten vom 23. November 2023 und vom 27. November 2023). Weil die Bearbeitung in solchen Fällen oft besonders aufwändig ist, steht es dem Beauftragten gemäss Artikel 12a der Verordnung über das Öffentlich- keitsprinzip der Verwaltung (VBGÖ; SR 152.31) frei, die ordentliche Frist angemessen zu verlängern. Positiv hervorgehoben werden kann, dass im Gegensatz zu den beiden Vorjahren im 2023 mehr Schlichtungs- anträge erledigt wurden (1 42) als ein- gegangen sind (132). Anzahl hängiger Fälle Die unten aufgeführten Angaben geben Auskunft über die Anzahl Fälle, die am Ende der jeweiligen Berichts- jahre hängig waren. Anfang Januar 202 4 waren 31 Schlichtungsverfahren hängig, wovon neun sistiert sind ( je eines aus den Jahren 2019 und 2021, zwei aus dem Jahr 202 2 und fünf aus dem Berichtsjahr). Siebzehn Fälle konnten bis zum Redaktionsschluss des vorliegenden Berichts abgeschlos- sen werden. Tabelle 3: Hängige Schlichtungs- verfahren Ende 202331 (davon 17 bis zum Redaktionsschluss erledigt und 9 sistiert) Ende 202241 (davon 16 bis zum Redaktionsschluss erledigt und 13 sistiert) Ende 202127 (davon 14 bis zum Redaktionsschluss erledigt und 8 sistiert) Ende 202017 (davon 9 bis zum Redaktionsschluss erledigt und 8 sistiert) Ende 201943 (davon 40 bis zum Redaktionsschluss erledigt und 3 sistiert) Ende 201815 (davon 13 im Februar 2019 erledigt und 2 sis- tiert) 71 31. Tätigkeitsbericht 2023/24 Öffentlichkeitsprinzip
FINANZEN Überführung der CS-Notver- ordnung ins Bankengesetz Die Übernahme der Credit Suisse durch die UBS erfolgte gestützt auf bundes- rätliches Notrecht, das die diesbezüg- lichen amtlichen Dokumente vom Zugang nach dem Öffentlichkeitsgesetz aus- schloss. Im nachfolgenden ordentlichen Gesetzgebungsverfahren hat sich der Beauftragte gegen die Aufnahme einer entsprechenden Regelung ausgespro- chen. Angesichts der heftigen Marktturbu- lenzen, mit denen die Credit Suisse kämpfte, hat der Bundesrat am 16. März 2023 direkt gestützt auf die Bundes- verfassung die befristete Verordnung über zusätzliche Liquiditätshilfe-Dar- lehen und die Gewährung von Ausfall- garantien des Bundes für Liquiditäts- hilfe-Darlehen der Schweizerischen Nationalbank SNB an systemrelevante Banken erlassen. Auf dieser Grundlage verabschiedete er ein Massnahmen- paket zur Stabilisierung der schweize- rischen Volkswirtschaft, das die Über- nahme der Credit Suisse durch die UBS ermöglichte und Garantien des Bundes und der Nationalbank in Höhe von insgesamt 209 Milliarden Franken beinhaltete. Das Zugangsrecht der Be- völkerung nach dem Öffentlichkeits- gesetz zu Informationen und Daten im Zusammenhang mit dem Vollzug dieser Notverordnung wurde gemäss derselben ausgeschlossen. In den Er- läuterungen wurde dazu festgehalten, dass es sich bei der erwähnten Bestim- mung um eine dem BGÖ vorgehende Spezialbestimmung handelt. Im Vernehmlassungsentwurf zur Änderung des Bankengesetzes hat das Staatssekretariat für internationale Finanzfragen SIF mit der Überführung des Notpaketes in ein ordentliches Bundesgesetz die Weitergeltung des Ausschlusses des Öffentlichkeitsgeset- zes vorgeschlagen. Das SIF begründete die Weitergeltung damit, dass die zur Verfügung gestellten Informationen und Daten sensibler Natur seien und regelmässig Geschäfts- oder Fabrika- tionsgeheimnisse im Sinne des Öffent- lichkeitsgesetzes enthalten dürften. Ausserdem sollte der Ausschluss des Öffentlichkeitsgesetzes nach Auffas- sung des SIF sicherstellen, dass die zu- ständigen Verwaltungseinheiten von den betroffenen Finanzinstitutionen alle relevanten Informationen für den Vollzug der Verordnung vollständig und zeitnah erhalten. Mit identischer Begründung beabsichtigte das SIF die Einführung eines weiteren Ausschlus- ses des Öffentlichkeitsgesetzes für Informationen im Zusammenhang mit der Gewährung von Ausfallgarantien bei Transaktionen nach dem Fusions- gesetz. 2.4 Gesetzgebungsverfahren Der Beauftragte wandte sich gegen alle vorgeschlagenen Einschränkungen des BGÖ und gab nebst intertemporalrecht- lichen Einwänden zu bedenken, dass das Öffentlichkeitsgesetz weiter in sei- ner Substanz ausgehöhlt würde, wenn der Bevölkerung der Zugang zu Doku- menten im Bereich der Finanzhilfen erneut generell verwehrt würde, nach- dem dies bereits im Falle des Covid- 19- Solidarbürgschaftsgesetzes (s. 28. TB, Kap. 2. 4) und dem Rettungsschirm für die Elektrizitätswirtschaft (s. 30. TB, Kap. 2. 4) geschehen war. In der Vernehmlassungsvorlage hat der Bundesrat die beiden Einschrän- kungen, wie vom EDÖB gefordert, ge- strichen. Im Entwurf für die Änderung des Bankengesetzes, welcher zurzeit von den zuständigen Kommissionen des eidgenössischen Parlaments bera- ten wird, sind die beanstandeten Aus- nahmen vom Öffentlichkeitsprinzip nicht mehr enthalten. Detailliertere Ausführungen zum Ausschluss des Zugangsrechts nach dem Öffentlichkeitsgesetz durch die Notverordnung finden sich in den Emp- fehlungen des EDÖB vom 27. Novem- ber 2023. 72 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Öffentlichkeitsprinzip
ARCHIVIERUNG Teilrevision Archivierungs- verordnung Die Koordination von Archivierungs- gesetz und Öffentlichkeitsgesetz und die damit verbundene Frage, welcher der beiden Erlasse bei Zugangsgesuchen zu archivierten Dokumenten nach dem Öffentlichkeitsgesetz anzuwenden ist, sollte nach Auffassung des Bundes- archivs auf Verordnungsstufe geregelt werden. Demgegenüber fordert der EDÖB eine Anpassung des Archivierungs- gesetzes. Bereits im Jahr 202 2 hatte der Beauf- tragte in der Ämterkonsultation zum Aussprachepapier betreffend die Not- wendigkeit einer Revision des Archi- vierungsgesetzes dargelegt, dass die Koordination von Archivierungs- und Öffentlichkeitsgesetz und die damit verbundene Frage, welcher der beiden Erlasse bei Zugangsgesuchen zu archi- vierten Dokumenten nach dem Öffent- lichkeitsgesetz während der Schutz- frist anzuwenden ist, weitreichende praktische Konsequenzen hat. Wir forderten deshalb, dass die Koordina- tion der beiden Bundesgesetze auf Gesetzesstufe zu regeln sei (s. 30. TB, Kap. 2. 4). Das Bundesarchiv hat dieses Anliegen zunächst als verfrüht verwor- fen. Später hat der Bundesrat in Kennt- nis der entgegenstehenden Einschät- zung des Beauftragten entschieden, dass die Koordination durch eine An- passung der Archivierungsverordnung erfolgen soll. Die vom Bundesarchiv erarbeitete Regelung sah die Einführung des Prin- zips der «Anwendung des vorteilhaf- teren Gesetzes» vor, nach welchem bei der Gesuchsprüfung das für den jewei- ligen Fall günstigere Zugangsregime (nach Archivierungs- oder Öffentlich- keitsgesetz) angewendet würde. Nach Auffassung des Bundesarchivs hätte diese Koordinationsregelung in der Archivierungsverordnung verankert werden sollen. Der Beauftragte wies in der Vor- konsultation darauf hin, dass die Beurteilung eines Gesuchs und die Fest- stellung der für den konkreten Fall vorteilhafteren Rechtsgrundlage bisweilen schwierig bis unmöglich ist. Die formellen und materiellen Vor- gaben von Öffentlichkeits- und Archi- vierungsgesetz weisen bedeutende Unterschiede auf, weswegen ein Ver- gleich mit erheblichen Schwierigkei- ten verbunden sein dürfte. Der Vorent- wurf liess zudem offen, ob die gesuch- stellende Person oder die Behörde darüber entscheidet, welches Gesetz vorteilhafter ist und nach welchem Recht sich das Verfahren bis zu diesem Entscheid richtet. Schliesslich wies der Wortlaut der vorgeschlagenen Bestimmung auf eine lediglich alterna- tive Anwendung der beiden Erlasse hin, indem ein Gesuch ausschliesslich nach dem Öffentlichkeits- oder dem Archivierungsgesetz beurteilt würde, woraus mutmasslich eine Einschrän- kung eines der beiden Gesetze resultierte. Der Beauftragte stellte in Frage, ob einer gesuchstellenden Person gestützt auf eine Verordnungsbestimmung verweigert werden kann, einen ableh- nenden Entscheid der Behörde sowohl nach dem Öffentlichkeitsgesetz wie auch nach dem Archivierungsgesetz parallel (im entsprechenden Rechts- mittelverfahren) überprüfen zu lassen. Abschliessend gelangte er zur Ansicht, dass die vom Bundesarchiv vorge- schlagene Verordnungsbestimmung in der Praxis nicht umsetzbar wäre und eine Koordination von Archivierungs- und Öffentlichkeitsgesetz auf Gesetzes- stufe nicht zu ersetzen vermöchte. Im tatsächlich in die Ämterkonsulta- tion geschickten Entwurf für eine Teil- revision der Archivierungsverordnung hat das Bundesarchiv dann auf eine Regelung der Koordination gänzlich ver- zichtet. Stattdessen sollen in Fortfüh- rung der heutigen Praxis Erfahrungs- werte zu deren Praktikabilität und Auf- wand gesammelt werden. Das Bundes- archiv begründete diesen Entscheid mit den Rückmeldungen unter anderem jener des Beauftragten. Dies, obwohl wir in der Ämterkon- sultation erklärten, dass die Fortführung der heutigen Praxis nicht als geeig- nete Koordinationslösung betrachtet werden kann, weil sie eine Vielzahl nicht geklärter Aspekte formeller und mate- rieller Art offenbart. 73 31. Tätigkeitsbericht 2023/24 Öffentlichkeitsprinzip
FINANZKRIMINALITÄT Neues Bundesgesetz über die Transparenz von juristischen Personen Mit einem Gesetz über die Transparenz von juristischen Personen soll ein zentrales Register zur Identifikation der effektiv an juristischen Personen wirtschaftlich Berechtigten geschaffen werden. Trotz Intervention des EDÖB sieht der Gesetzesentwurf einen Aus- schluss des Öffentlichkeitsgesetzes vor. Am 30. August 2023 eröffnete der Bundesrat die Vernehmlassung für das neue Bundesgesetz über die Trans- parenz juristischer Personen und die Identifikation der wirtschaftlich be- rechtigten Personen (T JPG). Dieses sieht die Schaffung eines Eidgenössischen Registers mit aktuellen Informationen zu wirtschaftlich berechtigen Personen der erfassten Rechtseinheiten vor, wo- durch das Dispositiv zur Bekämpfung von Geldwäscherei, Terrorismus- finanzierung und Wirtschaftskrimina- lität weiter gestärkt werden soll. Der Vorentwurf des Staatssekreta- riats für internationale Finanzfragen SIF regelt, welche Behörden und Perso- nen Zugang zu dem neuen Register der wirtschaftlich berechtigten Personen haben. Im erläuternden Bericht erklärt das SIF, dass (nicht aufgeführte) Dritte hingegen keinen Zugang zu den In- formationen haben dürfen, weil eine weitere Öffnung des Registers ange- sichts des begrenzten öffentlichen Interesses einen unverhältnismässigen Eingriff in das verfassungsmässige Recht auf Privatsphäre und Schutz von Personendaten vor missbräuchlicher Verwendung darstellt. Der ursprüng- liche erläuternde Bericht hält dazu ergänzend fest, dass die Zugangsregeln Spezialbestimmungen im Sinne von Art. 4 Bst. b des Öffentlichkeitsgesetzes darstellen. Solche spezialgesetzlichen Vorbehalte haben zur Folge, dass das Öffentlichkeitsgesetz für den Zugang zu diesen Informationen nicht an- wendbar ist. Der Beauftragte vertrat in der Kon- sultation den Standpunkt, dass die erwähnten Bestimmungen keine spezial- gesetzlichen Vorbehalte darstellen. Regelungsgegenstand sei vielmehr das Zugangsrecht zum Register resp. die damit verbundene Datenbekanntgabe und folglich nichts anderes als die Schaffung einer gesetzlichen Grund- lage für die Bekanntgabe von Daten im Sinne von 36 DSG/Art. 5 7r RVOG. Daran vermag nach Auffassung des Beauftragten auch ein entsprechender Hinweis in den Erläuterungen nichts zu ändern. Unabhängig davon erkennt der Beauftragte keine Notwendigkeit, die Daten des Registers generell und voraussetzungslos der Verwaltungs- öffentlichkeit nach dem Öffentlich- keitsgesetz zu entziehen, zumal die dort verankerten Ausnahmebestimmungen einen umfassenden Schutz der privaten Interessen der Betroffenen explizit gewährleisten. Im erläuternden Bericht zur Ver- nehmlassungsvorlage wurde die For- mulierung, wonach die Zugangsregeln Spezialbestimmungen gemäss Art. 4 BGÖ darstellen, schliesslich zwar fallen gelassen. Zum Bedauern des EDÖB hat der Bundesrat aber dann im Nach- gang an das durchgeführte Vernehm- lassungsverfahren den Gesetzesentwurf mit einem expliziten Ausschluss des Öffentlichkeitsgesetzes ergänzt, wonach dieses nicht anwendbar ist auf Daten aus dem Transparenzregister, die sich auf natürliche und juristische Personen beziehen. (s. auch Kap. 1.3) 74 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Öffentlichkeitsprinzip
GEBÜHRENREGELUNG Kostenlosigkeit als Grundsatz – Gebühren bei besonderem Aufwand Das Parlament hat den Grundsatz des gebührenfreien Zugangs zu amtlichen Dokumenten beschlossen und festge- legt, dass Gebühren nur erhoben wer- den können, wenn ein Zugangsgesuch eine besonders aufwändige Bearbei- tung durch die Behörde erfordert. Der Bundesrat erachtet mehr als acht Arbeitsstunden als besonderen Aufwand. Der Beauftragte hatte sich für eine höhere Schwelle zur Auslösung der Gebührenpflicht ausgesprochen. Im September 202 2 hatte das Parlament beschlossen, dass anstelle der bisherigen grundsätzlichen Gebührenerhebung neu der Grundsatz des kostenlosen Zugangs zu amtlichen Dokumenten gelten soll. Ausnahmeweise können Gebühren erhoben werden, wenn ein Zugangsgesuch eine besonders auf- wändige Bearbeitung durch die Behörde erfordert. Der Gesetzgeber beauftragte den Bundesrat, in der Öffentlichkeits- verordnung zu regeln, ab welcher An- zahl Arbeitsstunden für die Bearbeitung eines Zugangsgesuchs ein besonderer Aufwand erforderlich ist und deshalb eine Gebühr in Betracht gezogen wer- den kann. Ausserdem sollte der Bundes- rat den Stundenansatz für die Arbeits- zeit über dem Schwellenwert, ab wel- chem eine Gebühr in Rechnung gestellt werden kann, festlegen. Auf diese Weise soll die ausnahmsweise Gebührener- hebung an ein objektives Kriterium – nämlich die investierte Bearbeitungs- zeit – gebunden und eine unterschied- liche Gebührenpraxis in der Bundes- verwaltung verhindert werden. In einer Vorkonsultation in der Interdepartementalen Arbeitsgruppe Transparence und in der darauffolgen- den Ämterkonsultation zur Änderung der Öffentlichkeitsverordnung schlug das BJ – nebst redaktionellen Ände- rungen – eine Aufwandschwelle von 30 Arbeitsstunden als besonders auf- wändige Bearbeitung vor. Der Beauf- tragte wies darauf hin, dass der Gesetz- geber mit dem Grundsatz des kosten- losen Zugangs Gebührenstreitigkeiten minimieren und die kostenlose Ver- waltungsöffentlichkeit favorisieren wolle und die Gesetzesänderung als entscheidenden Schritt zur Stärkung des Öffentlichkeitsprinzips betrachte. Die Aufwandschwelle von 30 Stunden erachtete der Beauftragte als vertretbar. Bezugnehmend auf allfällige Forde- rungen nach einer tieferen Aufwand- schwelle betonte er, dass jede Lösung des Bundesrates den Willen des Gesetz- gebers umzusetzen hat und Senkungen der Gebührenpflicht demzufolge nicht zu einer ansteigenden Belastung für gesuchstellende Personen, Behörden und Gerichte und damit zu einer Ver- kehrung der Revision in ihr Gegenteil führen dürfen. Nach Eingang der Stellungnahmen in der Ämterkonsultation senkte das BJ die Schwelle des Arbeitsaufwandes von 30 auf 20 Stunden. Der Beauf- tragte gab in einer weiteren Stellung- nahme zu bedenken, dass diese Senkung der Aufwandschwelle seiner Ansicht nach dem Willen des Gesetzgebers nicht Rechnung trage. Im September 2023 entschied der Bundesrat, die Schwelle zur Gebühren- pflicht sogar auf 8 Arbeitsstunden zu senken. Ab dieser Schwelle können dem- nach zugangsgesuchstellenden Perso- nen 100 Franken pro Arbeitsstunde in Rechnung gestellt werden. Fällt eine Gebühr an, muss die Gesuchstellerin oder der Gesuchsteller vorgängig in- formiert werden. Bei einem Zugangsgesuch von Me- dienschaffenden wird die Gebühr um 50 Prozent reduziert. Gleichzeitig hat der Bundesrat beschlossen, dass die Behörden dem Beauftragten jährlich nicht nur den Gesamtbetrag der für den Zugang zu amtlichen Dokumenten verlangten Gebühren melden müssen, sondern auch die Anzahl Fälle, in denen eine Gebühr erhoben wurde. Die neue Regelung wurde auf den 1. Novem- ber 2023 in Kraft gesetzt. 75 31. Tätigkeitsbericht 2023/24 Öffentlichkeitsprinzip
BERICHT DER GPK-S Stellungnahme des Bundesrates Die Geschäftsprüfungskommission des Ständerates (GPK-S) hält in ihrem Untersuchungsbericht über nicht auf- findbare E-Mails im Generalsekretariat des Eidgenössischen Departements des Innern (GS-EDI) fest, dass die Vor- gaben in Sachen Ablage und Archivierung von Dokumenten in der Bundesver- waltung nicht einheitlich sind und einer Klärung bedürfen. Die Kommission gelangt auch zum Schluss, dass das Ein- sichtsrecht des Beauftragten zu stärken ist. Aus ihrer Sicht sollte der Bundesrat die Möglichkeit prüfen, dem Beauftragten im Öffentlichkeitsgesetz ein Interventi- ons- oder Verfügungsrecht einzuräumen für den Fall, dass sein Einsichtsrecht nicht respektiert wird. Der Bundesrat lehnt ein solches Verfügungsrecht ab, ist aber bereit, mögliche Interventions- rechte zu prüfen. In einem Zeitungsartikel vom 1 4. Juni 202 2 wurde darüber berichtet, dass im Zusammenhang mit der versuchten Erpressung von Bundesrat Alain Berset verschiedene E-Mails im Generalse- kretariat des EDI (GS-EDI) nicht mehr auffindbar gewesen bzw. gelöscht worden seien und dass dieser Sachver- halt Gegenstand eines Schlichtungs- verfahrens beim Beauftragten sei. Die Geschäftsprüfungskommission des Ständerates (GPK-S) beauftragte ihre Subkommission EJPD/BK in genereller Weise und im konkreten Fall abzuklären, welche Vorgaben zur Aufbewahrung und Archivierung von Unterlagen in der Bundesverwaltung existieren und welche Dokumente in Anwendung des Öffentlichkeitsgesetzes zugänglich gemacht werden müssen. In ihrem Untersuchungsbericht («Archivierung und Ablage von Doku- menten sowie Verfahren bei Zugangs- gesuchen nach BGÖ: allgemeine Ab- klärungen zu den Vorgaben und im Kontext des Vorwurfes von nicht auf- findbaren E-Mails im GS-EDI») setzt sich die GPK-S vorab mit den gesetzli- chen Grundlagen der Aufbewahrung, Ablage und Archivierung von Unter- lagen (insbesondere Archivgesetz) und zum Zugang zu amtlichen Dokumenten (Öffentlichkeitsgesetz) auseinander. Sie stellt hierzu fest, dass die gesetzlichen Grundlagen sich nicht nur in Bezug auf die Begrifflichkeiten, sondern auch hinsichtlich Zielsetzung, Regelungs- gegenstand und Geltungsbereich unter- scheiden und daher einer Klärung bedürfen. In Bezug auf den konkreten Fall führt die Kommission aus, dass nicht abschliessend geklärt werden konnte, ob und in welchem Umfang die nicht auffindbaren E-Mails existiert haben und ob ein Teil davon allenfalls ver- nichtet worden sei. Es sei aber davon auszugehen, dass die fraglichen E-Mails nicht nur privater Natur gewesen seien und die Geschäftsrelevanz zu bejahen sein dürfte. Die GPK-S stellt in ihrem Bericht klar, dass die Aufbewahrung und Archi- vierung von Unterlagen sowie die Ge- währleistung des Zugangs zu amtlichen Dokumenten der Bundesverwaltung für die Nachvollziehbarkeit und die Transparenz des Verwaltungshandelns zentral ist. Weiter hält die GPK-S fest, dass das GS-EDI durch seine Weige- rung, dem Beauftragten im Schlich- tungsverfahren die Einsicht in Doku- mente zu gewähren, seine rechtlichen Verpflichtungen nach Öffentlichkeits- gesetz nicht nachgekommen ist. Die Kommission hebt im Bericht hervor, dass im Schlichtungsverfahren nach Öffentlichkeitsgesetz das Einsichts- recht des Beauftragten zentral ist, um beurteilen zu können, ob Unterlagen oder E-Mails als amtliche Dokumente gelten. Wird seitens der Behörden die Einsichtnahme verweigert, kann der Beauftragte seinen gesetzlichen Schlich- tungsauftrag nicht richtig wahrnehmen. Daher ist es aus Sicht der Kommission notwendig, dass dem Beauftragten der Zugang zu allen Unterlagen gewährt wird, damit er beurteilen kann, ob die Dokumente und Unterlagen einen amt- lichen Charakter aufweisen. Die Kom- mission erachtet die Situation, dass dem Beauftragten in einem Schlichtungs- verfahren die Einsicht in die strittigen 76 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Öffentlichkeitsprinzip
• In Empfehlung 5 wird der Bundesrat eingeladen, eine Änderung des Öffentlichkeitsgesetzes zu prüfen, wonach dem Beauftragten ein Inter- ventions- oder Verfügungsrecht eingeräumt wird, wenn sein Ein- sichtsrecht nicht respektiert wird. Die GPK-S ersuchte den Bundesrat um eine Stellungnahme zum Bericht. Die Ämterkonsultation zur Stellungnahme des Bundesrates zum Bericht der GPK-S führte das Bundesamt für Justiz (BJ) durch. Der entsprechende Ant- wortentwurf sah vor, dass der Bundes- rat den Prüfaufträgen hinsichtlich der Empfehlungen 1–4 vollständig, in Bezug auf die Empfehlung 5 jedoch nur teilweise nachkommt. Zur Empfehlung 5 wurde vorge- schlagen, dass sich der Bundesrat ledig- lich mit der Prüfung der Interventions- rechte des Beauftragten für den Fall, dass sein Einsichtsrecht nicht gewahrt wird, einverstanden erklärt, ein ent- sprechendes Verfügungsrecht wird jedoch ablehnt. Begründet wurde dies damit, dass es sich beim Schlichtungs- verfahren nach Öffentlichkeitsgesetz um ein formloses, unpräjudizielles und informelles Verfahren handle und eine Verfügungskompetenz des Beauf- tragten daher nicht systemgemäss sei. Der Beauftragte hielt dem entgegen, dass es dem expliziten Wunsch der GPK-S entspreche, einerseits die Ein- räumung eines Interventionsrechts zu prüfen und andrerseits im Rahmen dieser Prüfung die Frage eines spezifi- Dokumente verweigert wird, als nicht zufriedenstellend und bittet den Bun- desrat ausdrücklich, eine Änderung des Öffentlichkeitsgesetzes zu prüfen, wonach dem Beauftragten ein Inter- ventionsrecht oder Verfügungsrecht eingeräumt wird. Der von der GPK-S im Oktober 2023 veröffentlichte Bericht enthält fünf Empfehlungen an den Bundesrat, von welchen drei einen direkten Bezug zum Öffentlichkeitsgesetz aufweisen: • In Empfehlung 1 lädt die Kommis- sion den Bundesrat ein, zu prüfen, ob Anpassungen der gesetzlichen Vorgaben in Bezug auf das Einsichts- recht zu Dokumenten notwendig sind, die sowohl einen Bezug zum Amt wie auch den privaten Bereich tangieren, insbesondere auch im Hinblick auf Magistratspersonen. • In der Empfehlung 4 wird der Bundes- rat eingeladen zu prüfen, ob das Öffentlichkeitsgesetz auch auf abge- schlossene Strafverfahren anwend- bar ist bzw. sein sollte und gegebenen- falls bei der nächsten Revision prä- zisiert werden soll. schen Verfügungsrechts des Beauftrag- ten mit einzubeziehen, statt durch Vorwegnahme materieller Antworten zum Vornherein auszuschliessen. Durch diese unnötige Einschränkung werde eine von der GPK-S gewünschte ergebnisoffene Prüfung nicht mehr möglich. Aus diesen Gründen beantragte der Beauftragte die voraussetzungslose Annahme der Empfehlung 5. Diesen Antrag lehnte das BJ ab und hielt an der bloss teilweisen Annahme der Empfehlung 5 durch den Bundes- rat fest: Die Ergebnisse der Ämterkon- sultation hätten dieses Vorgehen be- stätigt, da die weiteren Teilnehmer mit dem vom BJ vorgeschlagenen Vorge- hen einverstanden gewesen seien oder sogar die vollumfängliche Ablehnung der Empfehlung 5 beantragt hätten. In seiner Stellungnahme vom 1 1 . Januar 202 4 an die GPK-S lehnt der Bundesrat die Prüfung eines Verfü- gungsrechts für den Beauftragten ab; die übrigen Empfehlungen der GPK-S nimmt er vollumfänglich an. Überdies hat er das EJPD beauftragt, die Emp- fehlungen bis Ende 202 4 zu überprüfen und ihm Vorschläge zum weiteren Vorgehen zu unterbreiten. 77 31. Tätigkeitsbericht 2023/24 Öffentlichkeitsprinzip
2.5 Spezialgesetzliche Vorbehalte nach Art. 4 BGÖ Das Öffentlichkeitsgesetz (BGÖ) be- darf der Koordination mit Bestimmun- gen in Spezialgesetzen des Bundes, welche eine Sonderregelung für den Zugang zu amtlichen Dokumenten vorsehen. Nach Art. 4 BGÖ sind Be- stimmungen anderer Bundesgesetze vorbehalten, die bestimmte Informa- tionen als geheim bezeichnen (lit. a) oder vom Öffentlichkeitsgesetz abwei- chende Voraussetzungen für den Zu- gang zu bestimmten Informationen vorsehen (lit. b), was zur Folge hat, dass die Bestimmungen des Öffentlichkeits- gesetzes für den Zugang zu diesen In- formationen nicht anwendbar sind. Ob einer Gesetzesbestimmung Vor- rang im Sinne einer Spezialbestimmung gemäss Art. 4 BGÖ zukommt, ist jeweils für den konkreten Fall durch Auslegung der betreffenden Normen zu ermitteln. Tabelle 4: Spezialbestimmungen nach Art. 4 BGÖ Erlass (Kurzform) und AbkürzungSR-Nr.Art./Abs.Inkraftsetzung am: Informationssicherheitsgesetz (ISG)128Art. 4 Abs. 1bis(noch offen) Botschaft zur Änderung des Bundes- gesetzes über die Krankenversicherung (Massnahmen zur Kostendämpfung – Paket 2) 832.10 Art. 52c Abs. 1 und 2 E-KVG Art. 52d Abs. 4 E-KVG Übergangsbestimmung III, Abs. 5 E-KVG Botschaft vom 7. September 2022 Stand: Beratung im Parlament 831.20 Art. 14quinquies Abs. 3 E-IVG Übergangsbestimmung E-IVG Bundesgesetz über Subsidiäre Finanz- hilfen zur Rettung systemkritischer Unternehmen der Elektrizitätswirt- schaft (FiREG) 734.91Art. 20 Abs. 41. Oktober 2022 Bundesgesetz über das öffentliche Beschaffungswesen (BöB) 172.056.1 Art. 48 Abs. 1 (expliziter Zugang vorgeschrieben); Art. 11 Bst. e (gilt nur während Vergabeverfahren als Spezialbestimmung)
Erlass (Kurzform) und AbkürzungSR-Nr.Art./Abs.Inkraftsetzung am: Inkrafttreten des Öffentlichkeits- gesetzes
Der EDÖB
82 Leistungen und Ressourcen im Bereich Datenschutz Personalbestände Wie im letzten Tätigkeitsbericht darge- legt worden ist, konnte der EDÖB die vom Bundesrat in seiner Botschaft zur Totalrevision des DSG vorgesehenen zusätzlichen Stellen rechtzeitig vor dessen Inkraftsetzung, die am 1. Sep- tember 2023 erfolgte, rekrutieren und einarbeiten (s. 30. TB, Kap. 3.1). Der Bestand des für Belange des Daten- schutzes eingesetzten Personals be- läuft sich somit unverändert auf 33 Vollzeitstellen. Tabelle 6: Für DSG-Belange einsetzbare Stellen 200522 201023 201824 201924 202027 202127 202227 202333 202433 Leistungen Die Aufgaben des EDÖB als für die Bundes organe und die Privatwirtschaft zuständige Datenschutzbehörde wer- den gemäss dem Neuen Führungsmo- dell Bund (NFB) den vier Leistungs- gruppen Beratung, Aufsicht, Informa- tion und Gesetzgebung zugewiesen. Im Berichtsjahr vom 1. 4. 2023 bis 31. 3. 202 4 wurden die beim EDÖB für den Datenschutz einsetzbaren Perso- nalressourcen wie folgt auf diese Gruppen aufgeteilt: Tabelle 7: Leistungen Datenschutz Beratung Bund15,7 % Beratung Private20,8 % Zusammenarbeit mit ausl. Behörden 15,9 % Zusammenarbeit mit Kantonen 0,9 % Total Beratung53,3 % Aufsicht15,5 % Zertifizierung0,0 % Register Datensammlung 0,2 % Total Aufsicht15,7 % Information14,4 % Ausbildung/ Referate3,4 % Total Information17,8 % Gesetzgebung13,2 % Total Gesetzgebung13,2 % Total Datenschutz100,0% Beratung Im Leistungsbereich der Beratung sieht sich der EDÖB, aufgrund seiner gesetzlichen Verpflichtung, digitale Grossprojekte zu begleiten, mit einer konstant hohen Nachfrage konfron- tiert. Die für die Beratung aufgewen- deten personellen Mittel bezifferten sich im Berichtsjahr auf 53.3 Prozent, was geringfügig über dem Wert des Vorjahres (52.5) liegt. Ende der Be- richtsperiode waren aufsichtsrechtliche Beratungen von zehn grossen Projek- ten im Gang. Vier dieser Projekte ste- hen im Zusammenhang mit der digi- talen Transformation der Bundesver- waltung. Die Zahl der Anfragen und Anzeigen hat im Vergleich zur letzten Berichtsperiode von 4091 auf 5074 um fast 1000 zugenommen. Die drei Teams des Direktionsbereichs Daten- schutz haben monatlich im Durch- schnitt 51 Anfragen und Anzeigen von Bürgerinnen und Bürgern mit Standardschreiben beantwortet. 3.1 Aufgaben und Ressourcen Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Der EDÖB
Die digitale Datenbearbeitungen und der Einsatz künstlicher Intelligenz (KI) setzten sich sowohl in der Wirtschaft als auch den Bundesbehörden be- schleunigt durch, womit die Anzahl von umfangreichen Datenbearbei- tungsprojekten ansteigt. Tabelle 8: Beratungen in umfangreicheren Projekten für 2023 Grundrechte1 Gesetzgebung neues DSG4 Verkehr1 Gesundheit2 Polizei und Justiz2 Total10
Aufsicht Aufgrund der Dynamik von Cloud- und KI- gestützten Applikationen müssen Kontrollen rasch durchgeführt werden. Wegen häufiger Anpassungen von Programmen und Nutzungsbe- dingungen und der unerlässlichen Kombination von juristischem und technischem Fachwissen muss der EDÖB zeitliche Unterbrüche bei den Sachverhaltsabklärungen wenn immer möglich vermeiden, indem er für umfassendere Kontrollen mehrere Mitarbeitende einsetzt. In der aktuel- len Berichtsperiode lag der Anteil der für Kontrollen und Aufsichtsverfahren einsetzbaren Ressourcen bei 15.7 % Prozent, was dem tiefen Mittelwert der Berichtsjahre ab 2015 entspricht. In der aktuellen Berichtsperiode wur- den mit diesen Mitteln zwölf umfas- sendere Kontrollen bestritten. Nachdem das zusätzlich rekru- tierte Personal zunächst in erheblichem Umfang für Arbeiten zur Einführung des neuen Rechts eingesetzt wurde, soll dieses inskünftig schwerpunkt- mässig mit der Durchführung von Aufsichtsaufgaben betraut werden. Der Beauftragte beabsichtigt dadurch, die Kontrolldichte über die Bundesorgane und die rund 12 000 grossen und mitt- leren kaufmännischen Unternehmen sowie die rund 10 000 Stiftungen und Vereine der Schweiz sukzessive zu erhöhen. Gesetzgebung Die mit der digitalen Transformation der Bundesämter einhergehenden Anpassungen der Personendatenbear- beitungen muss im Rahmen gesetzli- cher Grundlagen erfolgen. Diese An- passungen ziehen deshalb eine Viel- zahl von neuen und revidierten Be- arbeitungsvorschriften im Bundesrecht nach sich, zu denen der EDÖB in diver- sen Konsultationsverfahren Stellung bezieht. Im Berichtsjahr sind 297 Äm- terkonsultationen bei uns eingegangen. Information Mit Blick auf die inzwischen erfolgte Inkraftsetzung des neuen DSG und der Vollzugsverordnung wurden aufwän- dige Vorbereitungsarbeiten sowie interne und externe Schulungen durchgeführt. Dennoch konnten die für die Leistungsgruppe «Information» eingesetzten Ressourcen im Berichts- jahr mit anteilsmässig 17.8 % gegen- über dem Vorjahr (2 2.2 %) signifikant gesenkt werden Teilnahme an Kommissionsberatun- gen und Anhörungen durch parla- mentarische Kommissionen In der Berichtsperiode hat der Beauf- tragte an folgenden Anhörungen und Kommissionsberatungen teilgenom- men: • April 2023: Subkommissionen FK-S und FK N zur Rechnung 202 2 • April 2023: SPK-N zum Ausschluss des Öffentlichkeitsgesetzes durch Notrecht • April 2023: SPK-N zur parlamentari- schen Initiative Bendahan 83 31. Tätigkeitsbericht 2023/24 Der EDÖB
84 • April 2023: RK-N zur Auswirkung des Gesetzesvorschlags der EU-Kom- mission zur Chatkontrolle • Mai 2023: SPK-N zum Ausschuss des Öffentlichkeitsgesetzes durch Notrecht • Mai und November 2023: SPK-N zum Recht auf digitale Unversehrt- heit in der Verfassung aufnehmen • Mai 2023: WAK-N zum Zollgesetz • Juli, Oktober und November 2023: SPK-S zum Bundesgesetz über das nationale System zur Abfrage von Adressen natürlicher Personen (Ad- ressdienstgesetz) • Oktober 2023: SPK-S zum Bundesge- setz über die Krankenversicherung. Änderung (Massnahmen zur Kos- tendämpfung – Paket 2) • Oktober 2023: Subkommissionen FK-S und FK-N zum Budget 202 4 • November 2023: Gerichtskom- mission • Januar 202 4: SPK-N zum Bundesge- setz über das nationale System zur Abfrage von Adressen natürlicher Personen (Adressdienstgesetz) • Januar und Februar 202 4: RK-N zum Bundesgesetz über den elektroni- schen Identitätsnachweis und an- dere elektronische Nachweise (E- ID-Gesetz) • März 202 4: RK-S zum Bundesge- setz über den elektronischen Identi- tätsnachweis und andere elektroni- sche Nachweise (E-ID-Gesetz) Leistungen und Ressourcen im Bereich Öffentlichkeits- gesetz Der Bestand des für Schlichtungen und Empfehlungen nach dem Öffent- lichkeitsgesetz einsetzbaren Personals beträgt unverändert 6 Vollzeitstellen. Der Beauftragte wird weiter darauf hinwirken, dass die wegen der Pande- mie und der anhaltend hohen Anzahl von Schlichtungsgesuchen entstande- nen Bearbeitungsrückstände in den nächsten Berichtsperioden sukzessive abgebaut werden. Ob und wie schnell dies gelingen kann, wird von der quan- titativen Entwicklung der Schlich- tungsanträge und deren Komplexität abhängen. Tabelle 9: Wirkungsziele EDÖB LeistungsgruppeWirkungsziele BeratungDer EDÖB entfaltet eine erwartungsadäquate Präsenz für die Beratung von Privatpersonen und die Begleitung von datenschutz sensiblen Projekten der Wirtschaft und der Bundesbehörden. AufsichtDer EDÖB entfaltet eine glaubwürdige Dichte an Kontrollen. InformationDer EDÖB sensibilisiert die Öffentlichkeit proaktiv für technologie- und anwendungsbezogene Risiken der Digitalisierung. Er stellt der Bevölkerung eine zeitgemässe, benutzerfreundliche Website und digitale Meldeportale zur Verfügung. GesetzgebungDer EDÖB nimmt rechtzeitig und aktiv Einfluss auf alle datenschutzrelevanten Spezialnormen und Regelwerke, die auf nationaler und internationaler Ebene geschaffen werden. Er unterstützt die interessierten Kreise bei der Formulierung von Regeln der guten Praxis. Mit Blick auf die einzelnen Leistungsgruppen ergeben sich somit folgende, für die Bemessung der Mittel wegleitende Wirkungsziele: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Der EDÖB
DPO UND ISBO Der EDÖB verbessert seine Selbstkontrolle Mit Inkraftsetzung des neuen Daten- schutzgesetzes wurde die Selbstkont- rolle im Hinblick auf den rechtskonfor- men Vollzug der Datenschutzvorschrif- ten innerhalb des EDÖB als Behörde gestärkt. Der Beauftragte hat zwei neue Teilzeitstellen in Form eines Daten- schutzberaters (DPO, engl. Data Protec- tion Officer) und eines Informatiksicher- heitsbeauftragten (ISBO) eingeführt. Die Selbstkontrolle soll durch geeignete Massnahmen, den rechtskonformen Vollzug der bundesrechtlichen Daten- schutzvorschriften innerhalb unserer Behörde gewährleisten. Diese Aufgabe wurde schon vor dem Inkrafttreten des revidierten Datenschutzgesetzes um- gesetzt, danach nun aber formell an zwei fachlich unabhängige Funktionen innerhalb unserer Behörde zugewie- sen: Den Datenschutzberater und den Informatiksicherheitsbeauftragten. Der Aufgabenbereich des Daten- schutzberaters des EDÖB umfasst insbesondere die Beantwortung von Auskunftsgesuchen und die Prüfung der Bearbeitungen von Personendaten durch den EDÖB als Behörde sowie die Empfehlung von Korrekturmass- nahmen, wenn eine Verletzung der Datenschutzvorschriften festgestellt wird. Zudem begleitet der Daten- schutzberater die Prüfung, Durchset- zung und Aktualisierung von Bearbei- tungsreglementen. Der Informatiksicherheitsbeauf- tragte des EDÖB bildet die Ansprech- person für den Informationssicher- heitsbeauftragten der Bundeskanzlei, welche für die Informatiksicherheit aller Infrastrukturen und Applikationen zuständig ist, welche sie für den EDÖB betreibt. Innerhalb unserer Organisation ist der Informatiksicherheitsbeauftragte die zentrale Anlaufstelle für Datensi- cherheitsfragen. Weiter kontrolliert er die Erarbeitung und Umsetzung der Datensicherheitsvorgaben der Bundes- kanzlei in Bezug auf den EDÖB und wirkt bei Sensibilisierungsmassnah- men mit. 85 31. Tätigkeitsbericht 2023/24 Der EDÖB
86 Neue Website mit Melde- portalen Die Arbeiten an der neuen Website, deren Inhalte auf das revidierte Daten- schutzgesetz abgestimmt wurden, haben das Kommunikationsteam des EDÖB auch im vorliegenden Berichts- jahr beansprucht. Nach der erfolgreichen Lancierung am 11.05.2023 wurden die Internetseiten laufend ergänzt. Insbe- sondere wurden zahlreiche Informatio- nen und Hilfsmittel rund um die neuen Gesetzesbestimmungen erarbeitet und online gestellt. Die drei neuen Melde- portale und verschiedenen Kontakt- formulare werden rege genutzt und ver- einfachen es sowohl den Betroffenen als auch den Verantwortlichen, mit dem EDÖB in Kontakt zu treten (s. dazu auch Schwerpunkt I). Zahlen Mit 6 Medienmitteilungen und 20 Kurz- meldungen ist der EDÖB auch seiner- seits rund zweimal pro Monat an die Öffentlichkeit gelangt, sei es, um über neu eröffnete oder abgeschlossene Verfahren (Sachverhaltsabklärungen nach dem alten Gesetz – Untersuchun- gen nach neuem Recht) zu informie- ren, oder über aktuell wichtige Daten- schutzthemen oder Ereignisse zu in- formieren, welche Gegenstand der öffentlichen Diskussion waren. Auch zum Öffentlichkeitsgesetz hat sich der EDÖB – zusätzlich zu den im Jahr 2023 insgesamt 45 publizierten Empfehlun- gen – geäussert: Die Aufhebung des Öffentlichkeitsgesetzes durch Notrecht im Fall Credit Suisse erinnert an die notrechtlichen Entscheide während der Coronapandemie und wirft grundsätz- liche Rechtsfragen auf. Weitere Themen Die Digitalisierungsvorhaben der Bun- desverwaltung standen vermehrt unter öffentlicher Beobachtung: Sei es der bislang nicht geglückte Rettungsversuch der Impfdaten der Plattform meine- impfungen.ch (s. Kap. 1. 4) und die geplante Integration der Impfdaten in das elektronische Patientendossier (EPD), die Schaffung einer staatlich anerkannten elektronischen Identität (E-ID) oder die Cloud-Strategie des Bundes mit der Einführung von Mic- rosoft 365 und dem damit einherge- henden Wechsel in die Public Cloud eines grossen US-Konzerns. Der EDÖB begleitet die grossen Digital- projekte des Bundes eng und bringt seine Position als Aufsichtsorgan ein, damit diese datenschutzkonform um- gesetzt werden (s. Kap. 1.1). Ein grosses öffentliches Augenmerk hat weiterhin die Cybersicherheit. Täg- lich berichten die Medien zu unerlaub- ten Datenzugriffen. Bei Cybervorfällen in der Schweiz wird der EDÖB oft um eine Einschätzung gebeten. Im Fall des Hackerangriffs auf die Firma Xplain eröffnete der EDÖB wegen Anzeichen auf potenziell schwere Verstösse gegen die Datenschutzvorschriften eine Un- tersuchung gegen die Bundesämter für Polizei (Fedpol) sowie für Zoll und Grenzsicherheit (BAZG) und dehnte sie wenig später auf das betroffene Unternehmen aus (s. Kap. 1.2). Auch zum immer populärer wer- denden Phänomen der künstlichen Intelligenz (kurz KI) erhielt der EDÖB 3.2 Kommunikation Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Der EDÖB
im Berichtsjahr zahlreiche Anfragen. Der vermehrte Einsatz von KI-gestütz- ten Anwendungen stiftet Verunsiche- rung in der Bevölkerung, und das Me- dienmonitoring zeigt, dass sich Be- fürchtungen vor permanenter Über- wachung mehren – sei es im öffentli- chen Raum an Bahnhöfen, beim Ein- kaufen im Supermarkt oder selbst in Schlafzimmern, wenn z. B. Gesundheits- Apps Ruhezeiten registrieren. Gleich- zeitig steigt durch KI-Anwendungen die Gefahr der Desinformation: Mit Fake News werden Nutzerinnen und Nutzer von Onlinediensten manipu- liert und die öffentliche Meinungsbil- dung erschwert. Auch die Gefahr des Identitätsmissbrauchs ist gestiegen. 87 31. Tätigkeitsbericht 2023/24 Der EDÖB
88 3.3 Statistiken Aufwand nach Aufgabengebiet Statistiken über die Tätigkeiten des EDÖB vom 1. April 2023 bis 31. März 2024 (Datenschutz) 0%5%10 %15 %25 % Arbeitsbereich Datenschutzfragen allgemein Finanzwesen Gesundheit Grundrechte Handel & Wirtschaft InfoKommTech (IKT) Justiz, Polizei & Sicherheit Öffentlichkeitsprinzip Statistik & Forschung Verkehr Versicherungen Verteidigung Zertifizierungen 05101520253035 20 %30 %35 % Aufwand nach Sachgebiet Ausbildung/Referate Beratung Bund Beratung Private Information Schlichtung Prüfungsgesuch Register Bearbeitungstätigkeit Untersuchung Private (Art.49ff. DSG/Art.29 aDSG) Verhaltenskodex Zertifizierung Gesetzgebung Datenschutz-Folgenabschätzung Untersuchung Bund (Art.49ff. DSG/Art.27 aDSG) Zusammenarbeit mit ausl. Behörden 05101520 Zusammenarbeit mit Kantonen Zugangsgesuch 0%5%10%15 %20 % Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Der EDÖB
Beratung (+0.8 % gegenüber Vorjahr) Aufsicht (+0.6 % gegenüber Vorjahr) Information (-4.4 % gegenüber Vorjahr) Gesetzgebung (+3 % gegenüber Vorjahr) 0 20122013201420152016201720182019202020232022 10 20 30 40 50 60 Mehrjahresvergleich Aufwand (Angaben in Prozent) 2021 89 31. Tätigkeitsbericht 2023/24 Der EDÖB
90 BK90432118053 EDA22887236251833 EDI230811667252615 EJPD1528014279517 VBS4323099726927 EFD19152416391412 WBF1758027395618 UVEK236972454141334 BA2100001 PD2010001 Total 2023 (%)1738 (100)830 (48)176 (10)402 (23)73 (4)96 (6)161 (9) Total 2022 (%)1180 (100)624 (53)99 (8)236 (20)53 (5)69 (6)99 (8) Total 2021 (%)1385 (100)694 (50)126 (9)324 (23)48 (4)78 (6)115 (8) Total 2020 (%)1193 (100)610 (51)108 (9)293 (24)35 (3)80 (7)67 (6) Total 2019 (%)916 (100)542 (59)86 (9)171 (19)38 (4)43 (5)36 (4) Total 2018 (%)647 (100)355 (55)66 (10)119 (18)24 (4)50 (8)33 (5) Total 2017 (%)586 (100)325 (56)108 (18)106 (18)21 (4)26 (4)– Total 2016 (%)554 (100)299 (54)88 (16)105 (19)29 (5)33 (6)– Total 2015 (%)600 (100)320 (53)99 (17)128 (21)31 (5)22 (4)– Total 2014 (%)582 (100)302 (52)124 (21)124 (21)15 (3)17 (3)– Total 2013 (%)470 (100)218 (46)123 (26)103 (22)18 (4)8 (2)– Übersicht der Zugangsgesuche nach Öffentlichkeitsgesetz vom 1. Januar bis 31. Dezember 2023 DepartementAnzahl GesucheZugang vollständig gewährtZugang vollständig verweigertZugang teilweise gewährt/aufgeschobenZugangsgesuch zurückgezogenZugangsgesuch hängigkein amtliches Dokument vorhanden Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Der EDÖB
Bundeskanzlei BK BK760332018023 EDÖB1401010030 Total900432118053 Eidg. Departement für Auswärtige Angelegenheiten EDA Eidg. Departement des Inneren EDI EDA228087236251833 Total228087236251833 GS EDI190543502 EBG30200010 BAK72601000 BAR11100000 METEO CH00000000 NB00000000 BAG764213288151 BFS100710011 BSV100900001 BLV33013310313 SNM00000000 swissmedic67313525987 Suva40400000 compenswiss00000000 Total23010811667252615 Eidg. Justiz- und Polizeidepartement EJPD GS EJPD150902022 BJ3402052007 fedpol130262102 METAS30210000 SEM70036020833 Dienst ÜPF30001002 SIR80520001 IGE40400000 ESBK20200000 ESchK00000000 RAB00000000 ISC-EJPD00000000 NKVF00000000 Total15208014279517 Statistiken über Zugangsgesuche nach Öffentlichkeitsgesetz vom 1. Januar bis 31. Dezember 2023 Anzahl GesucheZugang vollständig gewährtdavon eingereicht in VorjahrenZugang vollständig verweigertZugang teilweise
gewährt/aufgeschobenZugangsgesuch zurückgezogenZugangsgesuch hängigkein amtliches Dokument vorhanden 91 31. Tätigkeitsbericht 2023/24 Der EDÖB
92 Eidg. Departement für Verteidigung, Bevölkerungsschutz und Sport VBS GS VBS832175414511 Verteidigung170312128 NDB3103219016 AB-ND10010000 armasuisse80204011 BASPO277027600100 BABS80503000 swisstopo70303001 OA00000000 Total43223099726927 Eidg. Finanz- departement EFD GS EFD870182431437 EFV100413101 EPA30200001 ESTV2401056201 BAZG3173714061 BBL73700000 BIT60005100 EFK60312000 SIF140322151 PUBLICA10010000 ZAS20200000 Total1911052416391412 Anzahl GesucheZugang vollständig gewährtdavon eingereicht in VorjahrenZugang vollständig verweigertZugang teilweise
gewährt/aufgeschobenZugangsgesuch zurückgezogenZugangsgesuch hängigkein amtliches Dokument vorhanden Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Der EDÖB
Eidg. Departement für Wirtschaft, Bildung und Forschung WBF GS WBF110134003 SECO47271320025 SBFI70301102 BLW1601102021 Agroscope00000000 BWL72212101 BWO30201000 PUE100226000 WEKO181961200 ZIVI00000000 BFK10100000 SNF10000010 EHB00000000 ETH Bereich5304221116 InnoSuisse10001000 Total17558027395618 Eidg. Departement für Umwelt, Verkehr, Energie und Kommunikation UVEK GS UVEK24010100112 BAV90502011 BAZL275787212 BFE2002110115 ASTRA1701501001 BAKOM240904425 BAFU981441126746 ARE30300000 ComCom10000001 ENSI62002031 ESTI10001000 PostCom32201000 UBI10010000 ERI00000000 SUST20020000 Total 23610972454141334 Anzahl GesucheZugang vollständig gewährtdavon eingereicht in VorjahrenZugang vollständig verweigertZugang teilweise
gewährt/aufgeschobenZugangsgesuch zurückgezogenZugangsgesuch hängigkein amtliches Dokument vorhanden 93 31. Tätigkeitsbericht 2023/24 Der EDÖB
94 Bundesanwaltschaft BA BA20100001 Total20100001 Parlamentsdienste PD PD20010001 Total20010001 Gesamttotal1738378301764027396161 Anzahl GesucheZugang vollständig gewährtdavon eingereicht in VorjahrenZugang vollständig verweigertZugang teilweise
gewährt/aufgeschobenZugangsgesuch zurückgezogenZugangsgesuch hängigkein amtliches Dokument vorhanden Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Der EDÖB
Bundeskanzlei BK Total 0000000 Eidg. Departement für Auswärtige Angelegenheiten EDA Total 0000000 Eidg. Departement des Inneren EDI BAG229011020 BFS1000001 swissmedic12215004 Total 3511116025 Eidg. Finanz- departement EFD Total0000000 Eidg. Justiz- und Polizeidepartement EJPD Total 0000000 Eidg. Departement für Umwelt, Verkehr, Energie und Kommunikation UVEK BAKOM1001000 ComCom1000001 Total 2001001 Eidg. Departement für Verteidigung, Bevölkerungsschutz und Sport VBS Total 0000000 Eidg. Departement für Wirtschaft, Bildung und Forschung WBF SECO1000001 ETH-Bereich1100000 Total 2100001 Bundesanwaltschaft BA BA0000000 Total 0000000 Parlamentsdienste PD PD0000000 Total 0000000 Gesamttotal3912117027 Gesuche im Zusammen-hang mit COVID-19Zugang vollständig gewährtZugang vollständig verweigertZugang teilweise gewährt/ aufgeschobenZugangsgesuch zurückgezogenZugangsgesuch hängigkein amtliches Dokument vorhanden Zugangsgesuche 2023 mit Corona-Bezug 95 31. Tätigkeitsbericht 2023/24 Der EDÖB
96 Anzahl Schlichtungsgesuche nach Kategorien der Antragstellenden Kategorie Antragsteller2023202220212020201920182017 Medien74475331342421 Privatpersonen (bzw. keine genaue Zuordnung möglich) 31374942402635 Interessenvertreter (Verbände, Organisationen, Vereine usw.) 891657914 Rechtsanwälte1627127542 Unternehmen3919747137 Universitäten0001000 Total132129149931337679 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Der EDÖB
Zugangsgesuche der gesamten Bundesverwaltung vom 1. Januar bis 31. Dezember 2023 Zugang teilweise gewährt / aufgeschoben 0 BKEDAEDIEJPDVBSEFDWBFUVEKBAPD 100 200 300 400 500 Zugang verweigert Zugang gewährt 0 100 200 300 400 500 Rückzug hängig kein amtliches Dokument vorhanden Anzahl Gesuche kein amtliches Dokument vorhanden 9 % Rückzug 4 % Zugang gewährt 48 % Zugang verweigert 1 0 % hängig 6 % Zugang teilweise gewährt / aufgeschoben 23 % 97 31. Tätigkeitsbericht 2023/24 Der EDÖB
98 Datenschutz Florian Harms Leiter Kommunikation Katja Zürcher-Mäder Team 1Team 2Team 3 Informations- technologien, Geschäfte Florence Henguely Leiterin Informations- technologien Geschäfte Öffentlichkeits- prinzip Reto Ammann Leiter Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Adrian Lobsiger, Beauftragter Florence Henguely, stv. Beauftragte Internationale Angelegenheiten Caroline Gloor Scheidegger Leiterin 3.4 Organisation EDÖB (Stand 31. März 2024) Organigramm Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Der EDÖB
Mitarbeiter und Mitarbeiterinnen des EDÖB Anzahl Mitarbeitende47 FTE40.2 nach GeschlechtFrauen2451 % Männer2349% nach Beschäftigungsgrad1–89 %2860% 90–100%1940% nach SpracheDeutsch3575% Französisch1123% Italienisch12% nach Alter20–49 Jahre2757 % 50–65 Jahre2043% KaderpositionenFrauen655% Männer545% 99 31. Tätigkeitsbericht 2023/24 Der EDÖB
zertifizierungen VIS Visa-Informationssystem Abkürzungsverzeichnis 100 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
Abbildungsverzeichnis Grafiken Grafik 1: Beurteilung Zugangsgesuche – Entwicklung seit 2010 .........................S. 65 Grafik 2: Erhobene Gebühren seit Inkrafttreten des BGÖ ..........................S. 67 Grafik 3: Schlichtungsanträge seit Inkrafttreten des BGÖ .........................S. 68 Tabellen Tabelle 1: Einvernehmliche
Lösungen ..............................................S. 69 Tabelle 2: Bearbeitungsdauer Schlichtungsverfahren .......................S. 70 Tabelle 3: Hängige
Schlichtungs verfahren ........................S. 71 Tabelle 4: Spezialbestimmungen
nach Art. 4 BGÖ ....................................S. 78 Tabelle 5: Keine Spezialbestimmungen nach Art. 4 BGÖ ....................................S. 79 Tabelle 6: Für DSG- Belange
einsetzbare Stellen .............................S. 82 Tabelle 7: Leistungen Datenschutz .....S. 82 Tabelle 8: Beratungen in umfang- reicheren Projekten für 2023 .............S. 83 Tabelle 9: Wirkungsziele EDÖB .............S. 84 Abbildungsverzeichnis 101 31. Tätigkeitsbericht 2023/24
Impressum Dieser Bericht ist in vier Sprachen vorhanden und über das Internet (www.derbeauftragte.ch) aufrufbar. Vertrieb: BBL, Verkauf Bundespublikationen, CH-3003 Bern www.bundespublikationen.admin.ch Art.-Nr. 410.031.D Layout: Ast & Fischer AG, Wabern Fotografie: Monika Flückiger Schriften: Pressura, Documenta Druck: Ast & Fischer AG, Wabern Papier: PlanoArt ® , holzfrei hochweiss
Anliegen des Datenschutzes Zweckgebundenheit Die Daten werden nur zu dem Zweck bearbeitet, der bei der Beschaffung angegeben wurde, aus den Um - ständen ersichtlich oder gesetzlich vorgesehen ist. Dokumentation Alle Datenbearbeitungen werden durch den Datenbearbeiter dokumentiert und klassifiziert. Datenrichtigkeit Die Bearbeitung erfolgt mit zutreffenden Daten. Eigenverantwortung Private und Bundesorgane nehmen ihre Pflicht zur Beachtung der Datenschutzgesetzgebung eigen- verantwortlich wahr. Wahlmöglichkeit Betroffene geben ihre Einwilligung informiert und erhalten eine echte Wahl freiheit. Verhältnismässigkeit Kein Datensammeln auf Vorrat, sondern nur so weit wie nötig zur Erreichung des Zwecks. Die Datenbearbeitung wird umfang- mässig und zeitlich limitiert. Datensicherheit Die Datenbearbeiter stellen technisch und organisatorisch sicher, dass die Personendaten hinreichend geschützt sind. Faire Information Unternehmen und Bundesorgane informieren transparent über ihre Daten bearbeitung: verständlich und voll ständig. Risikoanalyse Bereits im Projekt werden die möglichen Datenschutzrisiken identifiziert und deren Auswirkun- gen mit Massnahmen minimiert. Zugangsgesuche Öffentlichkeitsprinzip (BGÖ) 48% gewährt 10% verweigert 23% teilweise gewährt/ aufgeschoben 6% hängig 4% Rückzug 9% kein amtliches Dokument vorhanden Kennzahlen Leistungen Datenschutz 13% Gesetzgebung 18% Information 16 % Aufsicht 53% Beratung