28.Tätigkeitsbericht 2020/21 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter 28. Tätigkeitsbericht 2020/21 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter CORONA 20/21
Tätigkeitsbericht 2020/2021 des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte hat der Bundesversammlung periodisch einen Bericht über seine Tätigkeit vorzulegen (Art. 30 DSG). Der vorliegende Bericht deckt den Zeitraum zwischen 1. April 2020 und 31. März 2021 ab.
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
Vorwort Die Berichtsperiode war geprägt von einer anhaltenden Pandemie und den Massnahmen, die der Bundesrat und seine Verwaltung zum Schutz der Bevölkerung und zur Stützung der Wirtschaft getroffen haben. Vor diesem Hintergrund wird es nicht erstaunen, dass sich die Aufsichts- tätigkeit unserer Datenschutzbehörde auf die digitalen Stützen der Pande- miebekämpfung wie die «SwissCovid App» oder den Impf-, Test- und Gene- sungsnachweis konzentrierte. Auch beim Vollzug des Öffentlichkeitsgesetzes war unser Arbeitsalltag von COVID-19 geprägt, indem ein hoher Anteil der ein- gegangenen Schlichtungsgesuche den Zugang zu amtlichen Dokumenten wie etwa über die Beschaffung von Masken oder Impfstoffen betrafen. Während der Staat bei der Bekämpfung der zähen Pandemie mit einer hohen Kadenz von Massnahmen in die Privatsphäre und informationelle Selbstbestimmung der Bevölkerung eingriff, pochte unsere Behörde auf die Transparenz des behördlichen Handelns. Weil die Verwaltung bei der Bewältigung von Krisen Prioritäten setzen muss, sind wir dabei pragmatisch vorgegangen. Etwa indem wir gegenüber Medienschaffenden für die nach- trägliche Dokumentierung der Tätigkeit des Bundesamtes für Gesundheit für Geduld warben. Für eine Bilanzierung der Schäden dieser freiheitszehrenden Pandemie ist es zu früh. Eines aber steht fest: Auch unsere Behörde hat ihre Lehren aus den digitalen Pannen gezogen, die in dieser Krise für Staunen und Empörung sorgten. Kritik an Amtsstellen und Führungspersonen sollten indessen nicht über die Defizite der asynchronen Digitalisierung unseres Landes hinweg- täuschen. Allen voran das Fehlen des Basisdienstes einer amtlich bestätigten elektronischen Identität, die sich gerade für die zeitgemässe und daten- schutzkonforme Bewirtschaftung von Gesundheitsdaten als unverzichtbar erweist. Adrian Lobsiger Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Bern, den 31. März 2021 28. Tätigkeitsbericht 2020/21
Aktuelle Herausforderungen .....................6 Datenschutz 1.1 Digitalisierung und Grundrechte ............14 –Datenschutzfolgenabschätzung betreffend SwissID –Projekt der Schweizer Medienverlage für ein gemeinsames Login auf Online-Portalen –Cloud-Initiativen zur Umsetzung der IKT-Strategie des Bundes. –Der Einstieg der Bundesverwaltung in die Cloud muss datenschutzkonform erfolgen –Zugang des BAG zu Mobilitätsdaten der Swisscom –Programm Nationale Daten bewirtschaftung –Datenbearbeitungen von Dating-Apps –EDÖB plant neue Meldeportale Schwerpunkt I ...................................................22 Das neue Datenschutzgesetz aus Sicht des EDÖB 1.2 Justiz, Polizei, Sicherheit ..................28 –Auskunftsgesuche beim Nachrichtendienst des Bundes (NDB) –Botschaft zur Revision des DNA-Profil-Gesetzes wurde verabschiedet –Gesetzgebungsvorlage zur Überprüfung von Mobil- telefonen im Asylverfahren –Intervention des EDÖB bei der Eidgenössischen Zollverwaltung: Ungenügende Regelung der Daten- bearbeitung in neuem Zollpolizeigesetz 1.3 Steuer- und Finanzwesen .........................31 –Der EDÖB setzt sich vor Bundesgericht für das Recht auf Information in der internationalen Steueramtshilfe ein 1.4 Handel und Wirtschaft ............................33 –Abklärungen 5G Implementierungen von Sunrise und Swisscom –Fehlerhafte Datenbankeinträge bei Inkassounternehmen –Kreditfähigkeitsprüfung bei Autoleasing –Migros Sachverhalts abklärung Videoüberwachung –Bearbeitung von Kundendaten durch Onlineshops –Verwendung der Daten von ricardo.ch innerhalb der TX Group –Revision der Energieverordnung 1.5 Gesundheit .............................................39 – Anforderungen an Cloud- Lösungen für die Bearbeitung von Patientendaten –Datenschutzrechtliche Herausforderungen mit Blick auf mögliche Erleichterungen für geimpfte Personen –Datenschutzkonforme Umsetzung des COVID-19- Zertifikats –Elektronisches Patientendossier – Erste Stamm- gemeinschaften zertifiziert –Proximity Tracing-App des Bundes (SwissCovid-App) –Der gesetzliche Rahmen der Kontaktdatenerfassung 1.6 Arbeit ....................................................47 –Zulässigkeit von Background Checks im Bewerbungsverfahren –Datenschutzrechtliche Aspekte im Homeoffice –Datenschutzrechtliche Vorgaben zur Früherkennung von Corona im Arbeits bereich 1.7 Versicherungen .......................................50 –Einführung des Hinweis- und Informationssystems HIS in der schweizerischen Versicherungswirtschaft –Weitergabe von Mitgliederdaten an Sponsoren –Systematische Verwendung der AHV-Nummer durch die Behörden: Das Parlament sagt Ja zur Gesetzesänderung 1.8 Verkehr ..................................................54 –Starke Zunahme der Bürgeranfragen zu Drohnen –Revision des Personen beförderungsgesetzes: Diskriminierende Schranken für anonym Reisende im ÖV sind zu verhindern –Nutzung von Flugpassagierdaten zur Terrorismus- bekämpfung Schwerpunkt II ..................................................56 Das Privacy Shield garantiert Betroffenen in der Schweiz kein adäquates Schutzniveau bei Datenbekanntgaben in die USA 1.9 International ........................................58 –Einführung –Europarat –Global Privacy Assembly –Brexit – Angemessenheit des Datenschutzes –Arbeitsgruppe über die Rolle des Schutzes personen- bezogener Daten in der internationalen Entwicklungshilfe, in der internationalen humanitären Hilfe sowie bei der Krisenbewältigung –Europäische Datenschutz-Grundverordnung –Aufsichtskoordinations gruppen über die Informationssysteme SIS II, VIS und Eurodac Inhaltsverzeichnis Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
Öffentlichkeitsprinzip 2.1 Allgemein ...............................................66 2.2 Zugangsgesuche – erneute Zunahme im 2020 ..................................................68 2.3 Schlichtungsverfahren – weniger Schlichtungsanträge ...............................72 –Anteil einvernehmlicher Lösungen –Dauer der Schlichtungs verfahren –Anzahl hängiger Fälle 2.4 Gesetzgebungsverfahren ..........................76 –Gesetzgebungsverfahren für die Überführung der COVID-19-Solidarbürgschaftsverordnung ins COVID-19- Solidarbürgschaftsgesetz –Ämterkonsultation Entwurf der Stellungnahme des Bundesrates zum Bericht vom 15. Oktober 2020 der Staatspolitischen Kommission des Nationalrates zur parlamentarischen Initiative 16.432 Graf-Litscher. Gebührenregelung. Öffentlichkeitsprinzip in der Bundesverwaltung –Revision des Bundesgesetzes über die Förderung der Forschung und der Innovation (FIFG). Ämterkonsultationen im Rahmen der Vorbereitungsarbeiten für die Botschaft des Bundesrates –Teilrevision des KVG betreffend Massnahmen zur Kostendämpfung (zweites Paket) –Neues Bundesgesetz über den Allgemeinen Teil der Abgabenerhebung und die Kontrolle des grenzüberschreitenden Waren- und Personenverkehrs durch das Bundesamt für Zoll und Grenzsicherheit (BAZG- Vollzugsaufgabengesetz) Der EDÖB 3.1 Aufgaben und Ressourcen .........................82 –Pandemie –Leistungen und Ressourcen im Bereich Datenschutz –Teilnahme an Kommissions beratungen und Anhörungen durch parlamentarische Kommissionen –Leistungen und Ressourcen im Bereich Öffentlichkeitsgesetz 3.2 Kommunikation ........................................87 –Die Pandemie dominierte die Kommunikationsarbeit –Herausforderungen und Bedingungen der Kommunikation –Anhaltend hohes Medien interesse –Stellungnahmen, Empfehlungen und Publikationen 3.3 Statistiken ...........................................90 –Statistiken über die Tätigkeiten des EDÖB vom
Aktuelle Herausforderungen I Digitalisierung Die trotz verfügbaren Impfstoffen anhaltende Corona-Krise und die von ihr beschleunigte Digitalisierung von Arbeit und Konsum haben den Umgang der Schweizer Bevölkerung mit Informations- und Kommunika- tionstechnologien (IKT) auch in der aktuellen Berichtsperiode geprägt. Technologie und Wirtschaft Das technische und wirtschaftliche Potenzial für Eingriffe in die Privat- sphäre und Selbstbestimmungsrechte der Bevölkerung bleibt hoch. Die digitale Realität basiert auf dem lichtschnellen Internet-Transport von Signalen, welche Milliarden von portablen Geräten, sog. «Smart Devi- ces», in Schriften, Bilder, Töne oder Vibrationen verwandeln und sinnlich wahrnehmbar machen. Die jederzei- tige Verfügbarkeit und breite Streu- ung von Informationen befriedigen Neugier, Spieltrieb und Wissensdrang unserer Gesellschaft. Beides wird den Menschen aber schnell lästig, wenn Sondernut- zungsansprüche an Daten oder der Intimsphärenschutz ins Spiel kom- men. Private Individuen und Unter- nehmen pflegen deshalb einen Teil ihrer Daten abzuschotten und zu ver- schlüsseln, was wiederum der Ein- griffsverwaltung und Polizei ein Dorn im Auge ist. Auch sehen sich die Besitzer von Smart Devices zuneh- mend mit der Forderung privater und behördlicher Akteure konfrontiert, ihr Gerät für automatische Datenabglei- che – sog. «Scans» – vorzuweisen, was beim Gedanken daran, dass sich dort umfangreiche Spuren ihrer digitalen Lebensführung befinden, Unbehagen auslösen kann. Es ist deshalb nicht jede oder jeder Einzelne willens, ein mit einem bestimmten Programm bestücktes Smart Device vorzuzeigen. Auch gibt es Menschen, die dazu auf- grund ihres Alters, ihrer Gesundheit oder wegen Behinderungen gar nicht in der Lage sind. In der aktuellen Phase der Pan- demiebekämpfung wird absehbar, dass der Druck auf all diese Personen zunehmen wird. Mit Blick auf die Wiedereröffnung von Betrieben und die Aufhebung von Veranstaltungsver- boten wird absehbar, dass der Zugang zu gewissen Gütern und Leistungen von Nachweisen von Covid-Testresul- taten oder Covid-Impfungen abhängig gemacht werden dürfte. Um zu ver- hindern, dass die Bevölkerung in eine Smartphone-Tragpflicht geschubst wird, fordert der EDÖB, dass ihr bei der Erhebung dieser Gesundheitsdaten nebst digitalen auch alternative Erhe- bungsmethoden zu zumutbaren Kon- ditionen angeboten werden. Letztere sind wichtig, weil davon auszugehen ist, dass die systematischen Personen- datenbearbeitungen im Kontext der Pandemie die informationelle Selbst- bestimmung der Bevölkerung über die aktuelle Krise hinaus prägen werden. Angesichts der hohen Verbreitung von Smart Devices ist absehbar, dass die Krise zum Trittbrett behördlicher und kommerzieller Interessen werden kann, welche die jederzeitige Zugäng- lichkeit dieser Geräte als mobile Iden- tifikations- und Dokumentationsmit- tel nahelegen. Um zu verhindern, dass Smart Devices zu digitalen Fussfes- seln degenerieren, hat der Beauftragte sowohl bezüglich der Erhebung von Kontaktdaten für das Contact Tra- cing als auch der Nachweise von Test- resultaten und Impfungen öffentlich gefordert, auch herkömmliche Infor- mationsträger wie Papier zuzulassen (s. Mitteilungen zu Gästelisten sowie Erhebung von Gesundheitsdaten durch Private). Entsprechende Über- legungen dürften denn auch für den Bundesgesetzgeber ausschlaggebend gewesen sein, als er im Frühsommer 2020 im Epidemiengesetz den Grund- satz verankerte, dass niemand eine Leistung davon abhängig machen darf, ob jemand die Swiss Covid App ver- wendet oder nicht. Die weitreichenden Auswirkungen der fortschreitenden Automatisierung bei der Bearbeitung grosser Daten- mengen haben sich im Berichtsjahr auch bei der Durchführung von Wah- len und Abstimmungen eindrücklich gezeigt. Wenn heute zur Auswertung grosser Mengen von Voten maschi- nelle und digitale Technik eingesetzt wird, sorgen sich die Stimmenden vor allem anderen um die Transparenz und Verlässlichkeit ebendieser Tech- Aktuelle Herausforderungen 6 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
nik, womit typische Fragestellungen des Datenschutzes angesprochen sind. Das verbreitet vorhandene Misstrauen gegenüber automatisierten Vorgän- gen hat denn auch zu den Wirren im Anschluss an die letzten US-Präsi- dentschaftswahlen beigetragen. Indem die damaligen Anwälte des Weissen Hauses mit Vorliebe abstrakte, techni- sche Aspekte der Datenübermittlung, -zählung und -auswertung aufs Korn nahmen und mit einer systemischen Generalkritik diskreditierten, ver- stärkten sie die Verunsicherung einer Öffentlichkeit, die in den Foren des Internets einem Sperrfeuer von Glau- bensbotschaften über gezinkte Algo- rithmen und andere Machenschaften ausgesetzt war. Vor diesem Hinter- grund ist davon auszugehen, dass mit der fortschreitenden Automatisie- rung von Wahlen und Abstimmungen jene Arbeitsinstrumente des moder- nen Datenschutzrechts an Bedeu- tung gewinnen werden, die bei auto- matisierten Vorgängen, die zu Ent- scheidungen führen, ein Minimum an menschlichem Zutun verlangen. Gesellschaft und Datenpolitik Am 7. März 2021 hat das Schweizer Volk das Bundesgesetz über elektro- nische Identifizierungsdienste (E-ID) deutlich abgelehnt. Während Bundes- rat und Parlament bei der Bevölkerung vergeblich um Vertrauen in eine pri- vate Herausgeberschaft der E-ID war- ben, setzte sich das Referendumsko- mitee mit seinem zentralen Argument durch, deren Ausgabe sei ausschliess- lich in behördliche Verantwortung zu legen. Wenn sich das Volk dem Staat im Zusammenhang mit einem digita- len Schlüsselprojekt für mehr staatli- che Führung ausspricht, dürfte dies auf die berechtigte Erwartung zurückzu- führen sein, dass sich staatliches Tätig- werden und die daraus abzuleitende Bearbeitung von Personendaten auf das beschränkt, was im Gesetz steht, und sich die Behörden selbstbeflissen am Legalitätsprinzip orientieren. Diese Erwartungen der Bevölke- rung stehen in einem gewissen Kon- trast zu den Erfahrungen des EDÖB. Im Zuge unserer Beratungs- und Auf- sichtstätigkeit stellen wir fest, dass sich die mit der Herausforderung der digitalen Transformation konfron- tierte Bundesverwaltung mit dem Legalitätsprinzip zunehmend schwer- tut und die Anforderungen, welche die bundesgerichtliche Praxis an die Bestimmtheit gesetzlicher Grundlagen zur Bearbeitung von Personendaten stellt, in Zweifel zieht: So sei es nicht länger vertretbar, die Inhalte, Katego- rien, Zwecke sowie die Intensität und Dauer behördlicher Datenbearbeitun- gen gesetzlich zu verankern, weil dies angeblich den Erhalt nicht mehr zeit- gemässer «Datensilos» und «Medien- brüche» fördere, die die Verwaltung daran hinderten, sich flexibel zu ver- netzen und effizient zu arbeiten. Dem ist entgegenzuhalten, dass der Beauftragte die Digitalisierung der Bundesverwaltung ebenso wenig in Frage stellt, wie deren Bedürfnis nach zeitgemässen Rechtsgrundlagen, wel- che die organisatorische und techno- logische Gestaltungsfreiheit der Ämter nicht unnötig einengen. Mit einer lösungsorientierten Beratungstätig- keit zeigt der EDÖB auf, dass gene- rell-abstrakt und technologieneutral formulierte Vorgaben im Gesetz der digitalen Transformation keineswegs im Wege stehen. Auch unterstützt er Bestrebungen der Verwaltung, histo- risch gewachsene Systemstrukturen zu vereinfachen. Trotz dieses Bekenntnisses zur digitalen Transformation kann die Datenschutzaufsicht des Bundes die Verwaltung nicht davon dispensieren, Zweck, Umfang und Intensität digita- ler Bearbeitungen von Personendaten von einem Auftrag der politischen Organe abzuleiten, der im Gesetz bür- gerverständlich verankert ist. Auch «Die Bevölkerung soll nicht in eine Smartphone-Tragpflicht geschubst werden.» Aktuelle Herausforderungen 7 28. Tätigkeitsbericht 2020/21
geführt werden, dessen Aufgaben und Befugnisse im kantonalen Polizeige- setz nachgeschlagen werden können, verteilt die Eidgenossenschaft ihre Polizeimacht wie erwähnt auf eine Vielzahl von bewaffneten Verbänden, die auf der Grundlage unterschied- Aktuelle Herausforderungen 8 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter «Die Sicherheitsbehörden des Bundes tun sich zunehmend schwer mit dem Legalitätsprinzip.»
lichster Bundesgesetze Personendaten bearbeiten. Dass das Fehlen eines mit den kantonalen Polizeigesetzen ver- gleichbaren Erlasses und die schwer überblickbare Vielzahl von bundes- rechtlichen Spezialerlassen die Trans- parenz der Personendatenbearbeitung durch die Bundessicherheitsbehörden in einer mit der Datenschutzgesetz- gebung schwer vertretbaren Weise mindert, beanstandet der Beauftragte seit vielen Jahren vergeblich in sei- nen Tätigkeitsberichten. Im Kontext mit der digitalen Transformation hat diese Rechtszersplitterung inzwischen dazu geführt, dass es für diese Behör- den immer anspruchsvoller wird, ihre vielschichtigen Datenbearbeitun- gen zu überblicken. Der Beauftragte sieht in diesem Umstand eine weitere Erklärung dafür, weshalb sich gerade die Sicherheitsbehörden des Bundes zunehmend schwer tun mit der Hand- habung des Legalitätsprinzips. Gesetzgebung Die eidgenössischen Räte haben ihre langwierigen Arbeiten zur Totalrevi- sion der Datenschutzgesetzgebung des Bundes mit der Schaffung des total- revidierten Bundesgesetzes über den Datenschutz vom 25. September 2020 zum Abschluss gebracht (s. Schwer- punkt 1). Aktuelle Herausforderungen 9 28. Tätigkeitsbericht 2020/21
II Beratungs-, Kontroll- und Schlichtungstätigkeit Damit der EDÖB als Aufsichtsbehörde sicherstellen kann, dass Personenda- ten nicht mit der technisch machbaren, sondern rechtlich zulässigen Intensi- tät bearbeitet werden, verlangt er von den Verantwortlichen digitaler Appli- kationen, dass sie hohe datenschutz- rechtliche Risiken bereits im Planungs- und Projektstadium minimieren und gegenüber der betrieblichen und behördlichen Datenschutzaufsicht dokumentieren. Mit dieser Ausrich- tung haben wir die aufsichtsrechtliche Beratung einer Vielzahl von Big Data Projekten von Bundesbehörden und privaten Unternehmen fortgesetzt und den selbstverantwortlichen Ein- satz moderner Arbeitsinstrumente wie der Datenschutzfolgenabschät- zung sowie betrieblicher Datenschutz- verantwortlicher gefördert. Den gewichtigsten Schwer- punkt hat der EDÖB in der aktuellen Berichtsperiode bei der aufsichts- rechtlichen Begleitung und Kontrolle der zahlreichen digitalen Projekte im Zusammenhang mit der Bekämpfung der aktuellen Pandemie gesetzt, wel- che im vorliegenden Jahresbericht mit gelber Farbe gekennzeichnet sind. Die Pandemie hat den EDÖB auch in seiner Eigenschaft als Öffentlichkeitsbeauf- tragten herausgefordert. So sah er sich mit einer Vielzahl von Schlichtungs- anträgen konfrontiert, die sich u.a. auf amtliche Dokumente zur Beschaffung von Masken oder Impfstoffen bezo- gen und infolge der allgemeinen Ver- pflichtung zu Home-Office grössten- teils durch den arbeitsintensiven Erlass schriftlicher Empfehlungen abge- schlossen werden mussten. Sechs von insgesamt 15 Grosspro- jekten, die der EDÖB aufgrund sei- ner gesetzlichen Beratungspflichten begleitete, standen im Zusammenhang mit der vom Bundesrat angeordneten digitalen Transformation der Bundes- verwaltung, welche den von Politik und Medien vorab im Zusammenhang mit der Pandemiebekämpfung ange- mahnten Digitalisierungsrückstand aufzuholen sucht. Nebst den erwähn- ten Projekten des Bundesamtes für Gesundheit begleitete der EDÖB denn auch Digitalisierungsvorhaben zahl- reicher weiterer Bundesorgane mit dem erwähnten Schwerpunkt bei den Sicherheitsbehörden (s. oben sowie Kap. 1.2 und 3.1). Nachdem die Aufwendungen für die Kontrollaufgaben in der Periode 2015/16 deutlich absanken, konnten diese in den letzten Jahren leicht ange- hoben und wegen der anhaltend knap- pen Mittelausstattung nur auf tiefem Niveau stabilisiert werden. Auch in der aktuellen Berichtsperiode ver- mochte der EDÖB die berechtigten Erwartungen der Öffentlichkeit nicht im gewünschten Mass zu erfüllen. Obwohl der EDÖB eine enge Zusam- menarbeit mit dem nationalen Zent- rum für Cybersicherheit sucht, fehlt es ihm an Mitteln (s. Kap. 3.1), um syste- matisch Stichproben und Kontrollen der technischen Sicherheit durchzu- führen, wie sie gerade bei sensiblen Datenhaltungen von Gesundheitsda- ten nützlich wären. Erinnert sei in die- sem Kontext an den Fall der Stiftung «meineimpfungen». Aktuelle Herausforderungen 10 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
III Nationale und internationale Kooperation Nationale Kooperation Im Zuge der Bekämpfung der aktu- ellen Pandemie stellten sich sowohl beim Contact Tracing wie auch bei der Bearbeitung von Personendaten im Zusammenhang mit COVID-19 Imp- fungen und Tests Abgrenzungsfragen zwischen eidgenössischen und kan- tonalen Zuständigkeiten. Die einge- spielten Kontakte zwischen den kan- tonalen Datenschutzbeauftragten und dem EDÖB gewährleisteten, dass stets Lösungen für ein abgestimmtes und pragmatisches Vorgehen gefunden werden konnten. Internationale Kooperation Die Pandemiebekämpfung und der damit zusammenhängende Umgang mit Gesundheitsdaten werfen für den Datenschutz in vielen betroffenen Staaten vergleichbare Fragestellungen auf, weshalb der EDÖB die interna- tionalen Entwicklungen aufmerksam verfolgte und dafür auch seine Kon- takte zu seinen ausländischen Partner- behörden nutzte. Europarat Dem EDÖB ist es ein Anliegen, sich aktiv beim Europarat einzubringen. So nahm er weiterhin an den Sitzun- gen des beratenden Ausschusses für das Übereinkommen zum Schutz des Menschen bei der Verarbeitung personenbezogener Daten (Überein- kommen 108) teil. Gleichzeitig wurde eine Vertreterin des EDÖB in das Büro des beratenden Ausschusses für das Übereinkommen 108 gewählt, das die Arbeiten des Ausschusses zwischen den Plenarsitzungen leitet. Evaluation des Datenschutz- niveaus Der für Ende Mai 2020 erwartete Bericht der Europäischen Kommission zur Angemessenheit des Datenschutz- niveaus der Schweiz verzögerte sich, wird aber noch vor dem Sommer 2021 erwartet. Mit dem aus der EU ausgetrete- nen Vereinigte Königreich konnte die Schweiz die gegenseitigen Aner- kennungen der Angemessenheit des Datenschutzniveaus hingegen noch in der Berichtsperiode zu einem erfolg- reichen Abschluss bringen. Wegfall des Swiss-US Privacy Shield als angemessenes Datenschutzniveau Der Gerichtshof der Europäischen Union (EuGH) fällte seinen mit Span- nung erwarteten Entscheid betreffend die Übermittlung von Daten von der EU in die USA (Schrems II) am 16. Juli 2020. Dabei erklärte der EuGH den Angemessenheitsbeschluss 2016/1250 der EU-Kommission betreffend die unter dem EU-US Privacy Shield Regime zertifizierten US-Unterneh- men für ungültig. Urteile des EuGH haben keine Geltung für die Schweiz. Vor dem Hintergrund seiner periodischen Eva- luationen des CH-US Privacy Shield Regimes und der Angemessenheits- anerkennungen zwischen der Schweiz und der EU stellte der EDÖB dennoch fest, dass dieses Regime den Betrof- fenen in der Schweiz kein adäquates Schutzniveau mehr bietet. Er forderte deshalb Schweizer Unternehmen auf, die Übermittlung von Daten in die USA auf der Grundlage von vertragli- chen Garantien und projektbezogenen Risikofolgenbeurteilungen vorzuneh- men. Aktuelle Herausforderungen 11 28. Tätigkeitsbericht 2020/21
Datenschutz
1.1 Digitalisierung und Grundrechte Datenschutzfolgen- abschätzung betreffend SwissID Die SwissSign Group AG hat dem EDÖB im Berichtsjahr ihre Datenschutzfol- genabschätzung betreffend die Swiss- ID zur Kenntnisnahme zugestellt. Aufgrund der systemrelevanten Bedeutung der «SwissID» der Swiss- Sign Group AG hielt der EDÖB in der Vergangenheit regelmässige Sitzungen mit den Verantwortlichen des Unter- nehmens ab und hat in diesem Rah- men unter anderem darauf hingewirkt, dass für reine Single-Sign-On-Dienste der «SwissID» eine anonyme Anmel- dung möglich sein muss. Die Swiss- Sign Group AG hat diese Forderung in ihre Daten- schutzpolitik übernom- men. Die entsprechenden Anpassungen der Allge- meinen Geschäftsbedingungen sollen bald folgen. Nachdem die SwissSign Group AG einen externen Datenschutzbe- rater mit der Erstellung einer Daten- schutzfolgenabschätzung beauftragt hat, wurde das Dokument dem EDÖB im Berichtsjahr zugestellt und durch diesen analysiert. Der EDÖB stellte fest, dass die Prozesse der Bearbeitung von Personendaten darin ausführlich beschrieben, die Risiken der betrof- fenen Massnahmen betreffend die Grundrechte bewertet und Massnah- men zum Schutz der Persönlichkeit aufgeführt werden. Der EDÖB nahm zur Kenntnis, dass die Datenschutzfolgenabschät- zung nach Einschätzung des Verant- wortlichen als abgeschlossen und die Datenbearbeitung im Zusammenhang mit der «SwissID» angesichts der in beschriebenen Risiken und Massnah- men als zulässig erachtet wird. Projekt der Schweizer Medienverlage für ein gemeinsames Login auf Online-Portalen Die Schweizer Digital-Allianz treibt ihre Arbeiten zur Schaffung einer einheitli- chen SSO-Lösung für Online-Portale der Medienverlage voran. Der EDÖB hat im Rahmen eines Aus tausches Verbes- serungsmöglichkeiten aufgezeigt. Mit ihrem SSO-Projekt (Single-Sign- On) möchte die Schweizer Digital- Allianz, dass Nutzer künftig mit einem einzigen, gemeinsamen Login auf diverse Webangebote von Schweizer Medienhäusern zugreifen können. Die Allianz, ein Zusammenschluss meh- rerer Schweizer Medienunternehmen, hat ihr Projekt zur Schaffung des zen- tralen SSO weiterentwickelt und im Frühjahr 2021 eine Pilotphase gestar- tet. Im Rahmen vorgängiger Projekt- präsentationen und dem dazu geführ- ten Austausch haben wir der Digital- Allianz unseren Standpunkt zu den für den Datenschutz wesentlichen Aspekten des Projektes mitgeteilt und auf Verbesserungsmöglichkeiten hin- gewiesen. Das Projekt läuft nach Abschluss des Berichtsjahres weiter. Wir werden auch bei den noch folgenden Arbeiten auf eine, dem Persönlichkeitsschutz optimal Rechnung tragende Ausge- staltung der SSO-Lösung hinwirken. Datenschutz 14 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
Cloud-Initiativen zur Umsetzung der IKT-Strategie des Bundes. Der EDÖB begleitete die Erarbeitung von strategischen Zielen und Leit- planken für die digitale Transformation in der Bundesverwaltung. Der Aufbau der dazu notwendigen IT-Infrastruktu- ren umfasst dabei auch die Gewähr- leistung der sicheren Nutzung von öffentlichen Cloud-Diensten (Public Clouds). Dies in Ergänzung zur bereits vorhandenen Option, Anwendungen und Daten in den eigenen Rechenzent- ren der Bundesverwaltung (Private Clouds) betreiben, respektive bearbei- ten zu können. Wir fordern, dass daten- schutzrechtliche Anforderungen bereits bei der Ausschreibung berück- sichtigt werden. Die Digitalisierung erfordert die Ver- wendung einer Vielzahl von Anwen- dungen und Diensten, welche eine hohe Agilität, Flexibilität und Ausbau- fähigkeit aufweisen müssen. Um die- sen Anforderungen gerecht zu werden, bietet der Einsatz, sowohl von öffent- lichen als auch von privaten Cloud- Lösungen einen wichtigen Beitrag, indem diese die benötigten Dienste und Werkzeuge in Echtzeit und als Self-Service-Dienst für den Selbstbe- zug von Komponenten bereitstellen (s. für Begriffserklärungen die separate Box). Die Bundesverwaltung nutzt bereits heute in beschränktem Umfang einfach erweiterbare Cloud-Dienste in den verschiedensten Ausprägungen. Eine Umfrage bei den Departemen- ten und der Bundeskanzlei im vierten Quartal 2019 hat gezeigt, dass gerade der Bedarf an öffentlichen Cloud- Diensten in Zukunft zunehmen wird. Die Verwaltungseinheiten der zentralen Bundesverwaltung können, gerade durch die Nutzung dieser Pub- lic Clouds, effizient und zeitnah auf innovative und relativ kostengünstige Lösungen sowie neueste Technologien zugreifen. Dies eröffnet neue Mög- lichkeiten, digitale Verwaltungsleis- tungen rasch und agil bereitzustellen. Zu mindest in Bereichen ohne erhöhte Sicherheitsanforderungen können dadurch kostspielige IKT-Betriebsleistungen optimiert und ausgela- gert werden. Aus diesem Grund bestand inner- halb der Bundesverwaltung ein Hand- lungsbedarf, zusätzlich zu den bereits vorhandenen Private-Cloud-Lösungen, eine strategische Option zur Nutzung von Public-Cloud- Diensten zu schaf- fen. Zusätzlich sollte eine vertiefte Abklärung zu Bedarf, Ausgestaltung, Notwendigkeit und Machbarkeit einer öffentlichen, aber rein schweizeri- schen Cloud- und Dateninfrastruktur «Swiss Cloud» durchgeführt werden. Aber gerade die Nutzung von öffentlichen Cloud-Diensten hat zur Folge, dass eine grössere Abhängigkeit von den meist weltweit tätigen An - bietern entsteht. Dies betrifft sowohl die technologische Abhängigkeit als auch die Verfügbarkeit von Daten und Anwendungen. Dabei stellt sich zwangsläufig die Frage, wie die Souve- ränität über die eigenen Daten und der Schutz vor unerwünschtem Datenab- fluss sicherzustellen ist. Um dieser Fragestellung Rechnung zu tragen, wirkte der EDÖB mit zahl- reichen Ergänzungen in den Kriterien für die Beschaffung von Public-Clouds drauf hin, dass der Datenschutz und die Datensicherheit bereits durch die Anbieter über die gesamte Verarbei- tungskette gewährleistet wird. Auch brachte er sich massgeblich bei der Erarbeitung von Vorgaben zur Zuläs- sigkeit dieser Cloud-Dienste aus Infor- mationssicherheits- und Datenschutz- sicht ein. Aufgrund der Tragweite dieses Projekts erachtete es der EDÖB zudem als unabdingbar, bereits in den Offerten spezifische Datenschutz- Zertifizierungen von den Anbietern einzufordern. Es zeigt sich, dass datenschutz- rechtliche Überlegungen bereits in einer sehr frühen Phase von Projekten mit Personendatenbearbeitungen ein- zubeziehen sind. Der EDÖB wird die Cloud-Initiativen weiter begleiten und die Umsetzung der geforderten Krite- rien und Vorgaben überprüfen. Datenschutz 15 28. Tätigkeitsbericht 2020/21
Cloud-Dienste Während früher fast jedes Unternehmen über ein eigenes Rechenzentrum verfügte, werden heute vielfach Cloud-Dienste verwendet. Unter einer Cloud bzw. Cloud-Computing ist die internetbasierte Bereitstellung von Speicherplatz, Rechenleis- tung oder Anwendungssoftware als Dienstleistung zu verste- hen. Eine Cloud ist also eine Online-IT-Infrastruktur, in welche Daten oder ganze Systemumgebungen ausgelagert werden. Dabei werden Cloud-Lösungen nach Verwendungszweck und gewünschter Integrationstiefe unterschieden. Zu den grossen Vorteilen einer Cloud zählen: • Hohe Skalierbarkeit, also die Möglichkeit, Speicherkapazität und Rechenleistung je nach Bedarf einfach erhöhen und ver- ringern zu können • Hohe Verfügbarkeit und Sicherheit durch Verwendung modernster Technologien • Investitionssicherheit, da die Umgebung vom jeweiligen Anbieter gewartet wird und grosse Investitionen in eine eigene Serverinfrastruktur wegfallen Verwendungszweck der Cloud Für Cloud-Services gibt es verschiedene Arten der Bereitstel- lung, welche sich von den jeweiligen Anforderungen der Benut- zer ableiten lassen. Die wichtigsten: • Private Cloud: Sie wird meist im eigenen Rechenzentrum des Unternehmens aufgebaut und nur von einer Firma genutzt. Üblicherweise wird sie vom Unternehmen selbst oder gege- benenfalls von einem externen Anbieter betrieben und ist nur für klar bestimmte Personengruppen zugänglich. Die private Cloud wird strengen Anforderungen an Datensicherheit und Datenschutz gerecht und eignet sich daher speziell für sen- sible Daten wie beispielsweise vertrauliche Personalinforma- tionen oder vertrauliche Firmendaten. • Öffentliche Cloud («public cloud»): Sie ist ein Angebot eines frei zugänglichen Anbieters, der seine Dienste offen über das Internet für jedermann zugänglich macht. Dabei teilen sich alle Benutzer die gleiche Infrastruktur. Bekannte Online-Spei- cher wie etwa Dropbox oder Google Drive, aber auch Mailan- bieter wie Gmail oder Hotmail, bauen typischerweise auf einer solchen öffentlichen Cloud auf. • Hybride Cloud: Bei dieser handelt es sich um eine Misch- lösung aus einer privaten und einer öffentlichen Cloud. Der Benutzer bezieht dabei eine «public cloud», und darin inte- griert ist eine private Umgebung für sensible Daten und Anwendungen. Diese Mischform ist beliebt, wenn es darum geht, hoch sensible Daten in einer privaten Cloud zu lagern, während weniger sensible Daten einfacher und günstiger aus- gelagert werden können. • Multi Cloud: In dieser sind mehrere Cloud-Dienste verbunden, womit die Lösungen verschiedener Cloud-Anbieter parallel genutzt werden können. Sie bietet weitaus mehr Möglichkei- ten als die hybride Form. Integrationstiefe der Cloud Beim Cloud-Computing lassen sich generell drei sogenannte Cloud-Service-Ebenen unterscheiden, welche aufeinander auf- bauen. Beginnend bei der Infrastruktur über die Plattform bis hin zur Software, stellen diese Service-Ebenen drei übereinan- derliegende Schichten dar und bilden gleichzeitig die Cloud- Architektur ab. • Infrastrukturebene (Infrastructure-as-a-Service): Dabei werden Ressourcen wie Rechenleistung, Speicher- oder Netzwerkkapazitäten aus der Cloud bezogen. Werden zuvor lokale Server in die Cloud verschoben, ersetzt nun die Cloud die Hardware vor Ort, während die Betreuung des Betriebs- systems und der Anwendungen im Unternehmen bestehen bleiben. • Plattformebene (Plattform-as-a-Service): Dabei werden zusätzlich das Betriebssystem und die systemnahen Anwen- dungen wie Backup-, Antivirus- und Wartungsanwendungen usw. aus der Cloud bezogen. Anstatt Software auf einer eige- nen Umgebung zu entwickeln, können Unternehmen kom- plette Entwicklungs- und Bereitstellungsumgebungen in der Cloud nutzen. • Softwarebene (Software-as-a-Service): Dem Benutzer wird eine Cloud-Anwendung mit all ihren zugrundeliegenden IT-Infrastrukturen und -Plattformen zur Verfügung gestellt. Er bezieht beim Anbieter somit sämtliche IT-Komponenten. Datenschutz 16 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
Der Einstieg der Bundesver- waltung in die Cloud muss datenschutzkonform erfolgen Die «Cloud-Strategie der Bundesver- waltung» soll den Weg für eine cloudbasierte Digitalisierung der Bun- desverwaltung ebnen. Der EDÖB nahm zum Strategiepapier Stellung und konnte seine wichtigsten Anliegen aus Sicht des Datenschutzes erfolgreich einbringen. Das Informatiksteuerungsorgan des Bundes (ISB) wurde durch den Bundesrat beauftragt, ein Strategie- dokument zu erarbeiten, welches die Cloud-Vision des Bundes konkreti- siert und verbindliche Leitlinien und Grundsätze für die Beschaffung von Cloud-Anwendungen durch die ein- zelnen Verwaltungseinheiten vor- schreibt. Der EDÖB erhielt eine vor- läufige Version des Strategiedokumen- tes zur Vorkonsultation und ortete an verschiedene Stellen Verbesserungs- potenzial. Insbesondere stellte der EDÖB fest, dass das Dokument einen starken Fokus auf die Anforderungen an die Informationssicherheit legte, weitere rechtliche Aspekte des Daten- schutzes dagegen nur oberflächlich behandelte. Dementsprechend haben wir Ergänzungen vorgeschlagen, um die datenschutzrechtlichen Anforderun- gen an eine Auslagerung von Daten- bearbeitungen in eine Cloud im Stra- tegiedokument zu verankern. Unsere Ergänzungsvorschläge zielten insbe- sondere darauf ab, dass die zusätzli- chen Risiken einer Auslagerung von Datenbearbeitungen an ausländische Public-Cloud-Anbieter aus einem Land ohne angemessenes Daten- schutzniveau berücksichtigt werden. In diesem Sinne haben wir vorge- schlagen, dass das Dokument vorsieht, dass für die Beurteilung, ob und mit welchen Massnahmen die Datenbear- beitung mittels Cloud-Anwendungen zulässig ist, eine Datenschutz-Folgen- abschätzung vorzunehmen ist, wenn Personendaten in der Cloud bearbeitet werden. Dieser Mechanismus soll es Datenschutz 17 28. Tätigkeitsbericht 2020/21
ermöglichen, die Rechtskonformi- tät der Cloud-Anwendung zu prüfen, wobei als Kriterien der Standort der Server, das im fraglichen Land gel- tende Recht und die vorgesehenen technischen und organisatorischen Massnahmen herangezogen werden sollten. Unsere Bemerkungen und Änderungsvorschläge wurden in die finale Fassung des Dokuments einge- arbeitet. Die Bundesverwaltung und auch private Nutzer von Public-Cloud- Lösungen müssen sich immer häufiger mit dieser Fragestellung befassen, seit- dem das Privacy Shield Frame- work re-evaluiert wurde (s. Schwer- punkt II) und man nicht ohne Wei- teres davon ausgehen kann, dass die Standardvertragsklauseln ein ange- messenes Datenschutzniveau in den USA gewährleisten. Dies weil viele Anbieter in den USA ansässig sind. CORONA Zugang des BAG zu Mobili- tätsdaten der Swisscom Nachdem der Bundesrat am 21.03.2020 Ansammlungen von mehr als fünf Per- sonen im öffentlichen Raum verboten hatte, prüfte das BAG anhand von Infor- mationen der Swisscom, ob diese Mass- nahme zum Schutz vor Infektionen mit dem Coronavirus eingehalten wird. Der EDÖB kam zum Schluss, dass die Swiss- com dem BAG ausschliesslich Zugang zu anonymisierten Daten gewährt hat. Die Swisscom bearbeitet mit der Mobility Insights Plattform (MIP) anonymisierte Gruppenstatistiken anhand aggregierter Mobilitäts- daten zur Auswertung von Mobili- tätsverhalten auf dem Gebiet der Schweiz. Nachdem bekannt wurde, dass dem BAG im Rahmen der Pandemie bekämpfung Zugang zu diesen Daten gewährt werden soll, um eine Übersicht darüber zu ver- schaffen, ob es in der Schweiz noch grössere Menschenansammlungen gibt, hat der EDÖB dazu Vorabklä- rungen eingeleitet, in deren Rahmen er auch einen Augenschein beim BAG durchgeführt hat. Die mit einer mindesten acht- stündigen Verzögerung zugänglich gemachten visualisierten Auswer- tungen zeigen den zeitlichen Verlauf der Aufenthalte von Handybesit- zern in 100 mal 100 Meter grossen Gebieten, wenn mehr als 20 Mobil- funkgeräte von Abonnenten der Swisscom in einem solchen Gebiet vorhanden sind. Die Standortdaten werden dabei frühestmöglich ano- nymisiert und aggregiert, und dem BAG werden zu keinem Zeitpunkt die der Visualisierung zugrunde- liegenden Klardaten angezeigt. Die dem BAG zugänglichen Visualisie- rungen lassen keine Rückschlüsse auf bestimmte Personen zu und sind damit anonym. Dementsprechend gelangte der EDÖB in seiner Kurz- auswertung vom 03.04.2020 zum Schluss, dass die Datenbearbeitung durch die Swisscom und die Weiter gaben von anonymen Daten an das BAG datenschutzrechtlich erlaubt sind (s. Mitteilung «Zugang des BAG zu visualisierten Daten der Swisscom grundsätzlich erlaubt»). Aufgrund dieser Informationen konnte der EDÖB auf die Eröffnung einer formellen Sachverhaltsab- klärung verzichten. Der EDÖB war indessen der Auffassung, dass die der Öffentlichkeit zugänglichen Informationen zur Zusammenarbeit zwischen dem BAG und der Swiss- com und den damit verbundenen Datenbearbeitungen spärlich und nicht ohne Weiteres auffindbar waren. Er hat die Swisscom daher dazu aufgefordert, die Öffentlichkeit mit detaillierteren Informationen zum Datenbearbeitungsvorgang zu bedienen. Die Swisscom ist dieser Aufforderung nachgekommen und hat FAQs betreffend die Nutzung der Mobility Insights Plattform von Swisscom durch das Bundesamt für Gesundheit (BAG) erstellt. Datenschutz 18 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
Programm Nationale Daten- bewirtschaftung Die Datenbewirtschaftung der öffentli- chen Hand soll durch die Mehrfachnut- zung von Daten einfacher und effizien- ter werden. Mit diesem Ziel hat der Bundesrat im Rahmen des Programms Nationale Datenbewirtschaftung meh- rere Pilotprojekte lanciert. Der EDÖB steht im Austausch mit dem dafür ver- antwortlichen Bundesamt für Statistik und wirkt auf eine datenschutzkon- forme Umsetzung hin. Die Zielsetzung des Programms Natio- nale Datenbewirtschaftung (NaDB) ist, dass Personen und Unternehmen den Behörden bestimmte Angaben nur noch einmal melden müssen («Once- Only»-Prinzip) und dadurch entlastet werden sollen. Durch eine Mehrfach- verwendung von Daten soll zudem der administrative Aufwand in der öffent- lichen Verwaltung reduziert werden. Um dies zu erreichen, wird ein erleich- terter Datenaustausch zwischen den Behörden angestrebt. Der EDÖB hat zunächst im Rah- men einer Ämterkonsultation zu Berichten von vier Pilotprojekten zu den Themen Qualitätssicherung der Unternehmensdaten, Lohnsta- tistiken, Steuerdaten sowie Prozes- sen, Rollen und Verantwortlichkeiten Stellung genommen. Dabei betonte er, dass dem Datenschutz bei der mit dem Programm angestrebten Mehr- fachnutzung von Informationen eine entscheidende Bedeutung zukommt. Die Mehrfachnutzung birgt aus seiner Sicht erhebliche datenschutzrechtliche Risiken. So ist insbesondere sicherzu- stellen, dass das «Once- Only»-Prinzip nicht dazu führt, den Kreis von Zugriffsberechtigten zu erweitern. Weiter muss zwingend geregelt werden, wer welche Daten zu welchem Zweck bearbeiten darf. Zudem ist klar zwischen Daten- bearbeitungen zu statistischen Zwe- cken und solchen zu anderen Zwecken zu unterscheiden. Darüber hinaus muss transparent ersichtlich sein, wie die Datenerhebung, die weitere Daten- bearbeitung und die Zugriffsmöglich- keiten geregelt sind. Im Nachgang zu dieser Ämter- konsultation fand ein Austausch zwi- schen dem Bundesamt für Statistik, das mit der Umsetzung betraut ist, und dem EDÖB statt, an welchem diese Aspekte nochmals erörtert wer- den konnten. Der Beauftragte wird die Umsetzung des Programms NaDB weiter beratend begleiten und den ver- antwortlichen Stellen als Ansprech- person zur Verfügung stehen. Datenschutz 19 28. Tätigkeitsbericht 2020/21 CORONA Merkblatt betreffend die datenschutzkonforme Verwendung von Audio- und Videokonferenzlösungen Aufgrund der Pandemie haben sich Anwendungen für Audio- und Videokonferenzen in sehr kurzer Zeit durchgesetzt. Die riesige Menge an Nutzerinnen und Nutzer hat diese digitalen Plattformen für Angriffe interessant gemacht. Bei der Wahl der Soft- ware ist es deshalb wichtig, Informationssicherheit und Datenschutz im Auge zu behalten. Nicht nur werden teilweise Personendaten missbräuchlich weiterverarbei- tet, sondern auch ist deren Sicherheit nicht immer erkenntlich oder die Plattformen weisen sogar bekannte Schwachstellen auf. Das Merkblatt des EDÖB (s. MItteilung «Massnahmen für eine sichere Nutzung von Audio- und Videokonferenzlösungen») richtet sich an alle Nutzergruppen – sowohl im privaten wie im geschäftlichen Umfeld und hilft ihnen, ihre Personen- daten zu schützen und unerwünschte Effekte zu verhindern. Darin empfiehlt der EDÖB einerseits Schutzmassnahmen bei der Verwendung, wie beispielsweise dem Umgang mit Meeting-ID und -Passwort, dem Kameragebrauch oder der Bildschirm- präsentation. Andererseits gibt das Merkblatt Hinweise für eine Evaluation und Einführung einer Audio- und Videokonferenzlösung. So ist es etwa ratsam, den Umgang mit Metadaten, die Verschlüsselung oder die Sicherheit des Providers zu prüfen. Vor der Implementierung im Unternehmen sollten ausserdem in einem Reg- lement die Nutzungsbestimmungen geklärt werden. Das Unternehmen ist darüber hinaus verpflichtet, die Mitarbeitenden über eine allfällige Aufzeichnung oder Über- wachung transparent zu informieren. Da die Versuchung besteht, die während der Pandemie adhoc genutzten Lösun- gen auch gleich in die bestehende IKT-Infrastruktur einzugliedern, empfiehlt der Beauftragte, die Beschaffung solcher Lösungen über ordentliche Projekte oder die IT-Verantwortlichen abzuwickeln, damit die Compliance sichergestellt werden kann. Die eingesetzte Audio- und Videokonferenzlösung soll über Sicherheitseinstellun- gen verfügen, welche höhere Datenschutzstandards erlaubt – insbesondere im Hinblick auf Geschäfts- und Berufsgeheimnisse.
Datenbearbeitungen von Dating-Apps Der EDÖB hat bei einem Schweizer Anbieter von Dating-Apps ein Verfahren eröffnet, um seine Bearbeitungsme- thoden und seinen Umgang mit Löschungsbegehren zu überprüfen. Nach Angaben des Bundesamts für Statistik spielen Dating-Apps und -Webseiten bei der Partnersuche eine zunehmend bedeutsame Rolle in der Schweiz: Fast zwanzig Prozent der Paare, die in den letzten fünf Jahren in eine Beziehung getreten sind, haben sich online über eine Partnerbörse, eine Dating-App oder ein soziales Netzwerk 1 kennengelernt. Dating- Apps und -Webseiten zeichnen sich dadurch aus, dass sie geeignete Partner basierend auf den Personendaten der Kundinnen und Kunden vermitteln, die sie mithilfe eines Algorithmus teil- oder vollautomatisch bearbeiten. Um die Erfolgschancen der Part- nervermittlung zu erhöhen, wer- den die Nutzer animiert, teilweise sehr sensible Informationen über sich preiszugeben. So z.B. Daten über Weltanschauungen, Religion, Alko- holkonsum. Die Bearbeitung dieser Personendaten birgt somit hohe Risi- ken, weil daraus Rückschlüsse auf wesentliche Aspekte der Persönlich- keit der Nutzer gezogen werden kön- nen. 1 Bundesamt für Statistik (Hg.): Erhebung zu Familien und Generationen 2018. Erste Ergeb- nisse. Neuchâtel 2019, S. 9. https://www.bfs. admin.ch/ bfs/de/home/statistiken/ bevoelke- rung/erhebungen/efg.assetdetail.10467 7 88.html (Abgerufen: 1 4 .04 .2020) Datenschutz 20 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
Im Frühjahr 2021 hat der EDÖB eine Sachverhaltsabklärung bei einem in der Schweiz ansässigen Anbieter einer solchen Dating-App eröffnet. Anlass dafür waren Meldungen von Personen, die uns darauf aufmerksam machten, dass sie keine Möglichkeit hätten, ihr Konto über die App zu löschen, und dass an den Betreiber der App gerich- tete Löschungsbegehren nicht bear- beitet würden. Nebst der Klärung dieses Punktes zielt unsere Sachverhalts- abklärung auch darauf ab, die Einhaltung weite- rer datenschutzrechtlicher Vorgaben durch diesen Anbieter zu überprüfen. Dies insbesondere im Hinblick auf die Anforderungen an die Transparenz und Sicherheit der Bearbeitung sowie die allfällige Weitergabe von Perso- nendaten an Dritte. EEDÖB plant neue Meldeportale Der EDÖB bereitet die Einführung von zwei Online-Meldeportalen für die vom neuen DSG vorgesehenen Meldungen von Datenverlusten und Bekanntgaben von Datenschutzberaterinnen und -beratern vor. Das revidierte Datenschutzgesetz legt neue Meldepflichten für Datenverant- wortliche gegenüber dem EDÖB fest. Diese umfassen die Registrierung von Datenbearbeitungen durch Bundes- organe, die Bekanntgabe von Daten- schutzberaterinnen und -beratern sowie die Meldung von Verletzungen der Datensicherheit. Der EDÖB ist bestrebt, den Aufwand möglichst tief zu halten, indem diese Meldungen ein- fach und sicher online getätigt werden können. Erstens bedarf es einer Anpassung des Registers der beim EDÖB gemel- deten Datensammlungen, da künftig nur noch Bundesorgane verpflichtet sind, ihre Verzeichnisse der Bearbei- tungstätigkeiten an den Beauftragten zu melden. Das Melde- und Suchpor- tal www.datareg.admin.ch wird ent- sprechend erneuert und für die neuen Vorgaben ausgelegt. Zusätzlich soll die Einführung von zwei neuen Meldeportalen erfol- gen. In einem ersten Webportal sollen künftig die von den Verantwortlichen benannten Datenschutzberaterinnen und -berater strukturiert und effizient erfasst werden. Das Portal eignet sich dabei die Prinzipien eines Self-Ser- vice-Kiosks an, in welchem die Ver- antwortlichen die Kontaktdaten der Datenschutzberaterinnen und -bera- ter selbstständig erfassen, mutieren und löschen. Im zweiten Portal sind die Meldungen von Verletzungen der Datensicherheit zu erfassen, die ein hohes Risiko für die Betroffenen nach sich ziehen. Der Beauftragte rechnet mit einer grösseren Anzahl an Mel- dungen. Auch dieses Portal soll eine strukturierte und einfache Erfassung ermöglichen und zudem eine Res- sourcen schonende Automatisierung bei der Datenauswertung sicherstel- len. Es soll zeitnahe Reaktionen auf die gemeldeten Ereignisse gewährleisten. Datenschutz 21 28. Tätigkeitsbericht 2020/21
Das neue Datenschutzgesetz aus Sicht des EDÖB Bis zum Inkrafttreten des neuen DSG (s. Box) werden Pri- vatwirtschaft und Bundesbehörden ihre Bearbeitung von Personendaten an die neuen Bestimmungen anpassen müssen. Der Beauftragte hat am 5. März 2021 hierzu die aus seiner Sicht wesentlichsten Neuerungen festgehalten und publiziert (s. Mitteilung «Das neue Datenschutzgesetz aus Sicht des EDÖB»). Er empfiehlt verschiedene Punkte zur Beachtung. Nur noch Daten von natürlichen Personen Das revidierte DSG bezweckt analog der DSGVO aus- schliesslich den Schutz der Persönlichkeit von natür- lichen Personen, über welche Personendaten bearbeitet werden – und nicht mehr wie bisher auch die Daten von juristischen Personen. Besonders schützenswerte Personendaten Die bisherige Definition der besonders schützenswerten Personendaten wird um genetische und, sofern diese eine natürliche Person eindeutig identifizieren, biometrische Daten erweitert. Privacy by Design und by Default Im revidierten DSG sind neu die Grundsätze «Privacy by Design» (Datenschutz durch Technik) und «Privacy by Default» (Datenschutz durch datenschutzfreundliche Voreinstellungen) verankert. Sie verpflichten Behörden und Unternehmen, die Bearbeitungsgrundsätze des DSG bereits ab der Planung entsprechender Vorhaben umzu- setzen. Die Applikationen sind u.a. so auszugestalten, dass die Daten standardmässig anonymisiert oder gelöscht werden. Datenschutzfreundliche Voreinstellungen schüt- zen die Nutzer von privaten Online-Angeboten, die sich weder mit Nutzungsbedingungen noch den daraus abzu- leitenden Widerspruchsrechten auseinandergesetzt haben, indem nur die für den Verwendungszweck unbedingt nötigen Daten bearbeitet werden, solange sie nicht aktiv werden und weitergehende Bearbeitungen autorisieren. Datenschutz-Folgenabschätzung Datenschutz-Folgenabschätzungen sind im Schweizer Datenschutzrecht nicht neu – Bundesorgane sind bereits heute dazu verpflichtet. Wenn eine beabsichtigte Bear- beitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann, müssen gemäss Art. 22 revDSG neu auch private Verantwortliche vorgängig eine Datenschutz-Folgenab- schätzung erstellen. Das hohe Risiko ergibt sich – insbe- sondere bei Verwendung neuer Technologien – aus der Art, dem Umfang, den Umständen und dem Zweck der Bearbeitung. Insbesondere liegt ein hohes Risiko dann vor, wenn ein Profiling mit hohem Risiko oder umfang- reiche Bearbeitungen besonders schützenswerter Perso- nendaten geplant sind. Ist aus einer Datenschutz-Folgen- abschätzung erkennbar, dass die geplante Bearbeitung trotz der vom Verantwortlichen vorgesehenen Massnah- men noch ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen zur Folge hätte, muss dieser nach Art. 23 revDSG vorgängig die Stellung- nahme des EDÖB einholen. Hat der EDÖB Einwände gegen die Folgenabschätzung selber, wird er dem Verant- wortlichen entsprechende Präzisierungen oder Ergänzun- gen nahelegen. Verhaltenskodizes In Art. 11 hat das neue DSG für Berufs-, Branchen- und Wirtschaftsverbände Anreize gesetzt, eigene Verhaltens- kodizes zu entwickeln und diese dem EDÖB zur Stel- lungnahme vorzulegen. Dessen Stellungnahmen werden veröffentlicht. Sie können Einwände enthalten und ent- sprechende Änderungen oder Präzisierungen empfeh- len. Positive Stellungnahmen des EDÖB begründen die gesetzliche Vermutung, dass das im Verhaltenskodex festgehaltene Verhalten datenschutzrechtskonform ist. Allgemein gehaltene Kodizes vermögen indessen nicht vor beliebigen Risiken zu dispensieren, die der Text nicht näher bezeichnet. Zertifizierungen Gemäss Art. 13 revDSG können nebst den Betreibern von Datenbearbeitungssystemen oder -programmen neu auch deren Hersteller ihre Systeme, Produkte und Dienstleis- tungen zertifizieren lassen. Mittels Zertifizierung können Unternehmen z.B. nachweisen, dass sie dem Grundsatz von Privacy by Default gerecht werden und über ein ange- messenes Datenschutzmanagementsystem verfügen. 22 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Schwerpunkt I
Verzeichnis der Bearbeitungstätigkeiten Neu müssen nach Art. 12 revDSG die Verantwortlichen sowie die Auftragsbearbeiter je ein Verzeichnis sämt- licher Datenbearbeitungen führen. Die entsprechenden Mindestangaben gibt das neue DSG vor. Das Verzeichnis muss stets à jour gehalten werden. Der Bundesrat wird in der Verordnung Ausnahmen für Unternehmen vorse- hen, die weniger als 250 Mitarbeiterinnen und Mitarbeiter beschäftigten und deren Datenbearbeitung ein geringes Risiko von Verletzungen der Persönlichkeit von betroffe- nen Personen mit sich bringt. Bekanntgabe von Personendaten ins Ausland Das revidierte DSG hält in Art. 16 fest, dass Daten ins Ausland bekanntgegeben werden dürfen, wenn neu der Bundesrat festgestellt hat, dass die Gesetzgebung des 23 28. Tätigkeitsbericht 2020/21 Schwerpunkt I
24 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Schwerpunkt I
Drittstaates einen angemessenen Schutz gewährleistet. Er wird zu diesem Zweck eine Liste publizieren, die nach dem bisherigen Recht vom EDÖB geführt wurde. Figu- riert der betreffende Exportstaat nicht auf der Liste des Bundesrates, dürfen Daten wie nach bisherigem Recht trotzdem dorthin geleitet werden, wenn ein geeigneter Datenschutz auf andere Weise gewährleistet wird. Ist eine Bekanntgabe ins Ausland geplant – wozu auch die Speicherung auf ausländischen Systemen (Cloud) gehört – sind die Länder anzugeben, gleichgültig, ob diese einen angemessenen Datenschutz bieten. Hier geht das DSG weiter als die DSGVO. Ausgebaute Informationspflichten In Erfüllung des Revisionsziels der Transparenz baut Art. 19 revDSG die Informationspflicht für Unternehmen aus. Neu gilt, dass ein privater Verantwortlicher bei grund- sätzlich jeder beabsichtigten Beschaffung von Personen- daten die betroffene Person vorgängig angemessen infor- mieren muss, selbst wenn die Daten nicht direkt bei ihr beschafft werden. Im aktuellen DSG ist diese Informati- onspflicht bisher nur bei besonders schützenswerten Per- sonendaten und Persönlichkeitsprofilen vorgeschrieben. Unternehmen werden somit ihre Datenschutzerklärun- gen entsprechend überprüfen und nachführen müssen. Führen Bearbeitungen zu automatisierten Einzelentschei- dungen, haben die Verantwortlichen nach Art. 21 revDSG neue Informationspflichten gegenüber der beschwerten Person wahrzunehmen und dieser die ihr zustehenden Anhörungs- und Überprüfungsrechte zu gewähren. Auskunftsrecht der betroffenen Personen Das Recht einer betroffenen Person, Auskunft darüber zu verlangen, ob Personendaten über sie bearbeitet werden, wurde im neuen DSG ausgebaut. Art. 25 revDSG enthält eine erweiterte Liste an Mindestinformationen, die vom Verantwortlichen herausgegeben werden müssen, bei- spielsweise die Aufbewahrungsdauer der über sie bearbei- teten Personendaten. Meldepflicht bei Verletzungen der Daten- sicherheit Gemäss Art. 2 4 revDSG muss der Verantwortliche dem EDÖB neu Verletzungen der Datensicherheit melden, die für die Betroffenen zu einem hohen Beeinträchtigungs- risiko ihrer Persönlichkeit oder ihrer Grundrechte führen. Dabei hat die Meldung an den EDÖB so rasch wie möglich zu erfolgen. Vorher wird der Verantwortliche eine Pro- gnose zu den möglichen Auswirkungen der Verletzung stellen und eine erste Beurteilung darüber vorzunehmen, ob die betroffenen Personen über das Ereignis zu infor- mieren sind und auf welche Weise dies geschehen könnte. Recht auf Datenportabilität Mit dem Recht auf Datenherausgabe und -übertragung gemäss Art. 28 revDSG hat eine betroffene Person neu die Möglichkeit, ihre Personendaten, welche sie einem pri- vaten Verantwortlichen bekanntgegeben hat, in einem gängigen elektronischen Format heraus zu verlangen oder einem Dritten übertragen zu lassen. Das Recht kann kos- tenlos geltend gemacht werden, ausser wenn die Heraus- gabe oder Übertragung mit einem unverhältnismässigen Aufwand verbunden ist. Gestärkte Aufsichtsbefugnisse Mit dem revidierten DSG wird der Beauftragte prinzipiell alle Verstösse untersuchen müssen. Neu kann er gegen unzureichende Datenbearbeitungen Verfügungen erlassen und muss in bestimmten Fällen zwingend konsultiert wer- den. Künftig sind Bussen bis zu CHF 250'000 möglich. Untersuchung aller Verstösse gegen Datenschutz- vorschriften Der EDÖB wird in Zukunft alle Verstösse gegen das neue DSG durch Bundesorgane oder private Personen von Amtes wegen zu untersuchen haben (Art. 49 Abs. 1 revDSG). Im aktuellen DSG gilt noch die Einschränkung, wonach der EDÖB gegen Private nur dann von sich aus eine Untersuchung inklusive Sachverhaltsabklärungen durchführt, wenn die Bearbeitungsmethode geeignet ist, die Persönlichkeit einer grösseren Anzahl von Personen zu verletzen. Diese, als «Systemfehler» bezeichnete Inter- ventionsschwelle fällt inskünftig weg. Bei Verletzungen der Datenschutzvorschriften von geringfügiger Bedeu- tung kann jedoch auch nach neuem Recht von der Eröff- nung einer Untersuchung abgesehen werden (Art. 49 Abs. 2 revDSG). Auch kann der EDÖB wie bis anhin von der Eröffnung formeller Schritte absehen, wenn sich nach einer ersten Kontaktnahme mit dem oder der Bearbei- tungsverantwortlichen zeigt, dass dieser Mängel, auf die 25 28. Tätigkeitsbericht 2020/21 Schwerpunkt I
er aufmerksam gemacht wurde, anerkennt und innert nützlicher Zeit behebt. Aufgrund seiner beschränkten Ressourcen ist davon auszugehen, dass der EDÖB bei der Behandlung von Anzeigen auch nach Inkrafttreten des neuen Gesetzes nach Massgabe des Opportunitätsprin- zips Prioritäten setzen wird. Verfügungen Nach Art. 51 Abs. 1 revDSG kann der EDÖB neu Verfah- ren nach dem Verwaltungsverfahrensgesetz durchführen und gegenüber Bundesorganen oder privaten Bearbei- tungsverantwortlichen formell verfügen, eine Datenbe- arbeitung ganz oder teilweise anzupassen, zu unterbre- chen oder gar einzustellen sowie Personendaten löschen oder vernichten zu lassen. So kann der EDÖB zum Bei- spiel verfügen, dass ein Unternehmen betroffene Perso- nen über eine gemeldete Verletzung der Datensicherheit informieren muss. Bisher hatte der EDÖB lediglich die Kompetenz, Empfehlungen auszusprechen und bei deren Nichtverfolgung mit Klage an das Bundesverwaltungsge- richt zu gelangen. Konsultationen Der EDÖB ist weder eine Genehmigungsbehörde noch eine Zulassungsstelle für Applikationen, Produkte, Regu- lierungen und Projekte. Das neue Gesetz sieht indessen an verschiedener Stelle vor, dass die Verantwortlichen den EDÖB vor dem definitiven Abschluss entsprechen- der Arbeiten und der Realisierung ihrer Vorhaben kon- sultieren müssen. So sind ihm Verhaltenskodizes und bei hohen Restrisiken auch Datenschutz-Folgenabschätzun- gen zur Stellungnahme vorzulegen. Spontane Stellungnahmen und Information der Öffentlichkeit Abgesehen von den Stellungnahmen im Rahmen for- meller Konsultationen steht es dem EDÖB weiterhin frei, sich spontan zu neuen Technologien, Phänomenen der Digitalisierung oder zu Bearbeitungspraktiken gewisser Branchen zu äussern und seine Meinungsäusserungen und Einschätzungen zu publizieren. In Fällen von allge- meinem Interesse informiert der EDÖB die Öffentlich- keit zudem - wie nach bisherigem Recht - über seine Fest- stellungen und Massnahmen (auch im Rahmen formeller Untersuchungen). Gebühren Art. 59 revDSG regelt, für welche Leistungen der EDÖB von privaten Personen zukünftig Gebühren erheben wird. So fällt eine Gebühr an für Stellungnahmen zu einem Verhaltenskodex oder zu einer Datenschutz-Folgenab- schätzung oder für die Genehmigung von Standarddaten- schutzklauseln und verbindlichen unternehmensinter- nen Datenschutzvorschriften. Aber auch für allgemeine Beratungsdienstleistungen gegenüber Privaten wird der EDÖB zukünftig Gebühren erheben. Sanktionen Im neuen DSG werden Bussen für private Personen bis zu CHF 250’000 angedroht (Art. 60 revDSG). Strafbar sind vorsätzliches Handeln und Unterlassen, nicht jedoch Fahrlässigkeit. Nur auf Antrag bestraft werden die Miss- achtung von Informations-, Auskunfts- und Meldepflich- ten sowie die Verletzung von Sorgfaltspflichten und der beruflichen Schweigepflicht. Von Amtes wegen verfolgt wird hingegen die Missachtung von Verfügungen des EDÖB. Gebüsst wird grundsätzlich die verantwortliche natürliche Person. Neu kann aber auch das Unterneh- men selbst bis zu CHF 50’000 gebüsst werden, wenn die Ermittlung der strafbaren natürlichen Person innerhalb des Unternehmens oder der Organisation einen unver- hältnismässigen Untersuchungsaufwand mit sich ziehen würde. Dem EDÖB kommen auch nach neuem Recht keine Sanktionsbefugnisse zu. Die fehlbaren Personen werden durch die kantonalen Strafverfolgungsbehörden gebüsst. Der EDÖB kann zwar Anzeige erstatten und im Verfah- ren die Rechte einer Privatklägerschaft wahrnehmen (Art. 65 Abs. 2 revDSG), ein Strafantragsrecht steht ihm aber nicht zu. 26 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Schwerpunkt I
Ein langer Weg bis ans Ziel In der Herbstsession 2020 hat das Eidgenössische Parlament das totalrevidierte Bundesgesetz über den Datenschutz sowie weitere, geänderte Erlasse zum Datenschutz verabschiedet. Der Bundesrat wird das neue DSG mit den dazugehörigen Voll- zugsverordnungen voraussichtlich im zweiten Semester des Jahres 2022 in Kraft setzen. Vorgeschichte Das erste Bundesgesetz über den Datenschutz vom 19. Juni 1992 trat Mitte 1993 in Kraft. Nach einer Teilrevision im Jahr 2008, deren Ziel es war, die Bevölkerung besser über die Bearbeitung ihrer Daten zu informieren, sollte sich bald zeigen, dass die rasante, technologische Entwicklung weitere Anpassungen not- wendig machte. Um der Bevölkerung in ihrem heutigen Alltag, der von Cloud-Computing, Big Data und sozialen Netzwerken geprägt ist, einen zeitgemässen Datenschutz zu garantieren, wurde eine umfassende Erneuerung des DSG unausweichlich. Im Herbst 2017 verabschiedete der Bundesrat den Entwurf zu einer Totalrevision, den er an die Eidgenössischen Räte über- wies. Ziele der Revision Nebst der Stärkung der Rechte der betroffenen Personen hob der Bundesrat in seiner Botschaft den sog. risikobasierten Ansatz als Leitlinien der Revision hervor: Staat und Unterneh- men sollen die Risiken für die Privatsphäre und informationelle Selbstbestimmung frühzeitig erheben und die Anforderungen des Datenschutzes bereits im Planungsstadium ihrer digitalen Projekte miteinbeziehen. Hohe Risiken und die zu deren Besei- tigung oder Minderung getroffenen organisatorischen und technischen Massnahmen sind zu dokumentieren. Sodann sollte das revidierte DSG die Selbstregulierung fördern, indem die Mitglieder von Branchen, die einen verbindlichen Verhal- tenskodex erlassen, von gewissen Pflichten entbunden werden. Und nicht zuletzt sollte es die Aufsichtsbefugnisse des EDÖB stärken. Etappierte Beratung Anfang 2018 beschloss das Parlament, die Revision in zwei Etap- pen aufzuteilen: Zwecks Beachtung staatsvertraglicher Umset- zungsfristen wurden in einer ersten Etappe vorab die Bestim- mungen zu Datenbearbeitungen angepasst, die für Bundesor- gane wie das fedpol gelten. Diese Arbeiten mündeten im sog. Schengen-DSG, welches am 1. März 2019 in Kraft trat (s. 27. TB, Kap. 1.2). Erst in einer zweiten Etappe erfolgte die Totalrevision des DSG als Ganzes. In der Herbstsession 2019 nahm sich der Natio- nalrat der Totalrevision als Erstrat an, welche die Eidgenössi- schen Räte am 25. September 2020 nach Bereinigung aller Dif- ferenzen verabschiedet haben. Bei der Ausgestaltung des neuen DSG berücksichtigten Bundesrat und Parlament die von der Schweiz unterzeichnete Erweiterung der Europaratskon- vention 108 1 sowie die Datenschutzgrundverordnung der Euro- päischen Union (DSGVO) 2 . Aufgrund ihres extraterritorialen Anwendungsbereichs wird Letztere seit ihrer Inkraftsetzung im Mai 2018 bereits von weiten Teilen der Schweizer Wirtschaft angewandt. Trotz dieser Anlehnung an das europäische Recht entspricht das neue DSG der schweizerischen Rechtstradition, indem es einen hohen Abstraktionsgrad ausweist und techno- logieneutral formuliert ist. Von der DSGVO hebt es sich nicht nur aufgrund seiner Kürze, sondern auch einer teilweise unter- schiedlichen Terminologie ab. Allgemein wird davon ausgegangen, dass die Schweiz und die EU nach der Erneuerung ihrer Datenschutzgesetzgebungen gegenseitig die Gleichwertigkeit ihrer Datenschutzniveaus anerkennen werden, so dass der formlose Austausch von Per- sonendaten über die Landesgrenzen weiterhin möglich bleibt. Die Erneuerung des aus dem Jahre 2000 stammenden Anerken- nungsbeschlusses der EU gegenüber der Schweiz stand bei Redaktionsschluss des aktuellen Tätigkeitsberichts noch aus. 27 28. Tätigkeitsbericht 2020/21 Schwerpunkt I 1 Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten, abgeschlossen in Strassburg am 2 8. Januar 1981, von der Bundesversammlung genehmigt am 5 . Juni 1997. Die Erweiterung der Konvention wurde im Sommer 2020 von den Eidgenössi- schen Räten genehmigt. Der Bundesrat wird sie erst nach Inkrafttreten des neuen DSG ratifizieren können. 2 Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 2 7. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95 /46/EG (Datenschutz-Grundverordnung).
1.2 Justiz, Polizei, Sicherheit Auskunftsgesuche beim Nachrichtendienst des Bundes (NDB) Nachdem der NDB im Jahr 2019 mit einer ungewöhnlich hohen Anzahl von Auskunftsgesuchen konfrontiert war, die er zunächst nur mit grosser Ver zögerung behandeln konnte, ergriff er besondere Massnahmen zum Abbau dieser Pendenzen, welche der EDÖB aufsichtsrechtlich begleitete. Ende 2019 berichteten verschiedene Medien darüber, dass der NDB viel mehr Gesuche über Verzeichnungen in seinen Informationssystemen als sonst üblich erhalte. Auslöser waren unter anderem frühere Medienberichte, die mit einer «Bespitzelung» verschiede- ner Politikerinnen und Politiker titel- ten. Diesbezüglich führte einerseits die Geschäftsprüfungs delegation der bei- den Räte (GPDel) Abklärungen durch. Andererseits prüfte die unabhängige Aufsichts behörde über die nachrich- tendienstlichen Tätigkeiten (AB-ND) die Führung von Dossiers über Politi- kerinnen und Politiker im Geschäfts- verwaltungssystem des NDB. Nachdem der EDÖB aufgrund von Bürgerbeschwerden darauf auf- merksam wurde, dass der NDB bei der Behandlung der Auskunftsgesuche sehr lange Bearbeitungszeiten aufwies, wurde er bei diesem vorstellig. Der NDB hielt gegenüber dem EDÖB fest, dass er seit 2019 rund zehnmal mehr Auskunftsgesuche als üblich erhalten habe. So seien innerhalb von etwas mehr als einem Jahr über tausend Gesuche eingetroffen. Der NDB werde alles daran setzen, um die hängigen Gesuche innert Wochen zu behan- deln. Inzwischen habe er eine Arbeits- gruppe gebildet, um die Arbeitsabläufe so anzupassen, dass die zahlreichen hängigen Gesuche ohne Qualitätsein- busse abgebaut werden könnten. Im Juni 2020 teilte der NDB dem EDÖB mit, dass u.a. dank den für den Pendenzenabbau zusätzliche verfügbar gemachten Ressourcen die neu ein- treffenden Auskunftsgesuche seit Mai 2020 fristgerecht beantwortet werden konnten. Der NDB hielt weiter fest, dass noch rund 50 Auskunftsgesu- che älteren Datums pendent seien, die regelmässig abgebaut wurden. Botschaft zur Revision des DNA-Profil-Gesetzes wurde verabschiedet Mit der Revision des DNA-Profil-Geset- zes will der Bundesrat den Behörden ermöglichen, bei Strafermittlungen mehr Informationen aus einer DNA- Spur herauszulesen. Der Forderung des EDÖB nach einem strengen Gesetzes- rahmen wurde nachgekommen. Der Bundesrat hat die Botschaft zur Revision des DNA-Profil-Gesetzes am 4. Dezember 2020 verabschiedet. Mit der Revision will der Bundesrat den Behörden ermöglichen, bei Straf- ermittlungen mehr Informationen aus einer DNA-Spur herauszulesen. Die Sicherheitspolitische Kommis- sion des Nationalrates (SiK-N) hat am 26. Januar 2021 nach ausführlichen Anhörungen ohne Gegenstimmen entschieden, auf die Vor- lage einzutreten. Sie ist der Ansicht, dass dadurch den Ermittlungsbehör- den griffige Methoden gereicht werden, um Ermittlungs- arbeiten rascher und fokussierter zu gestalten. Die Kommission betont, dass die Verhältnismässigkeit der Vorlage gegeben sei, da die Analyse- ergebnisse der Phänotypisierung nur zur Aufklärung von Straftatbestän- den zur Anwendung komme, die eine maximale Freiheitsstrafe von mehr als drei Jahren vorsehen. In der aktuellen Praxis darf in bestimmten Fällen aus einer DNA-Spur nur das Geschlecht bestimmt werden. Mit der Vorlage sol- len neu auch die Wahrscheinlichkeiten von Augen-, Haar- und Hautfarbe, die Datenschutz 28 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
mögliche biogeografische Herkunft sowie das Alter eruiert werden dür- fen. Wie vom EDÖB gefordert, wird gesetzlich abschliessend festgelegt, welche Merkmale untersucht werden dürfen. Der EDÖB hatte zum Änderungs- entwurf des EJPD Stellung genommen und einen strengen Gesetzesrahmen gefordert (betreffend erste Ämterkon- sultation vgl. 27. TB, Kap. 1.2). Er ver- trat im Konsultationsverfahren – wie bereits im Zusammenhang mit dem Vorentwurf – den Standpunkt, dass die Phänotypisierung und der Suchlauf nach Verwandtschaftsbezug durch das Zwangsmassnahmengericht anzuord- nen sind. Es handelt sich dabei um Ins- trumente, die mit erheblichen Grund- rechtseingriffen verbunden sind und die nur zur Aufklärung schwerer Ver- brechen gegen die körperliche Unver- sehrtheit, die Freiheit oder die sexuelle Integrität eingesetzt werden dürften. Er begrüsst den Umstand, dass diese Forderung – trotz der ursprünglichen Ablehnung durch das EJPD – berück- sichtigt wurde. Gesetzgebungsvorlage zur Überprüfung von Mobiltele- fonen im Asylverfahren Das mit der parlamentarischen Initia- tive 17.423 angestossene Gesetzge- bungsvorhaben will dem Staatssekre- tariat für Migration (SEM) weiterge- hende Kompetenzen zur Überprüfung von mobilen Datenträgern bei der Iden- titätsabklärung im Asyl- und Wegwei- sungsverfahren einräumen. Der Beauf- tragte hat diesbezüglich bereits früh grundlegende Bedenken geäussert. Er begrüsst die zwischenzeitlich gemach- ten Verbesserungen, hält aber dennoch an seiner grundsätzlichen Ablehnung der Vorlage fest. Die von Nationalrat Rutz am 17. März 2017 eingereichte parlamentarische Initiative 17. 423 fordert eine Änderung der recht- lichen Grundlagen, die es dem SEM erlauben, mobile Datenträger von Asylsuchenden auszuwerten. Die staatspolitischen Kommissionen bei- der Räte haben der Initiative Folge gegeben. Gestützt darauf wurde die Änderung des Asylgesetzes sowie des Ausländer- und Integrationsgesetzes ausgearbeitet, welche dem SEM wei- tergehende Kompetenzen zur Über- prüfung von mobilen Datenträgern bei der Identitätsabklärung im Asyl- und Wegweisungsverfahren gewährt. Der EDÖB hat in den Konsul- tationsverfahren zur Vorlage Stel- lung genommen und grundlegende Bedenken geäussert (s. Bericht vom 4.6.2020). So wies er darauf hin, dass es sich bei der Auswertung elektroni- scher Datenträger um einen massiven Eingriff in die Privatsphäre vieler Men- schen handelt, der sich auf genügende formelle Rechtsgrundlagen stützen muss. Der EDÖB äusserte zudem Zweifel darüber, ob die vorgeschla- genen Massnahmen die gewünschte Wirkung erzielen können und ob die vorgeschlagene Regelung im Lichte der verfassungsrechtlichen Grundsätze der Gleichheit und Ver- hältnismässigkeit grund- rechtskonform umgesetzt werden kann, zumal das administrative Asyl- bzw. Wegweisungsverfahren anders als das Strafprozessrecht keine eigentlichen verfahrensrechtlichen Garantien für die Beschlagnahme und Auswertung elektronischer Datenträger kennt. Ebenso wenig dürfe die Massnahme zu einem indirekten Zwang führen, Smart Devices auf sich zu tragen und jederzeit verfügbar zu machen. Die betroffenen Behörden, dar- unter insbesondere das SEM, haben die Kritik konstruktiv aufgenommen und sind in weiten Teilen auf die For- derungen des EDÖB eingegangen. So wurde vom zwangsweisen Einzug elektronischer Datenträger abgesehen und eine formell-gesetzliche Grund- lage für die Massnahme geschaffen. Wie vom Beauftragten gefordert, wird nun ausdrücklich geregelt, dass es sich bei der Auswertung mobiler Daten- träger zur Identitätsabklärung um eine subsidiäre Massnahme handelt, wel- che in jedem Fall verhältnismässig zu erfolgen hat, und dass die Weigerung einer asylsuchenden Person nur bei der Glaubwürdigkeitsprüfung berücksich- tigt werden darf. Den betroffenen Per- sonen kommen Anwesenheits- und Informationsrechte zu. Die Position von Drittpersonen, deren Personenda- ten bei der Auswertung mitbetroffen sind, konnte ebenfalls gestärkt werden. Schliesslich begrüsst der Beauftragte, dass seinen grundsätzlichen Bedenken Datenschutz 29 28. Tätigkeitsbericht 2020/21
den Schutzrechte einzuschätzen. Der Beauftragte hat den Bundes- rat dahingehend beraten, dass sich Regierung und Parlament als politi- sche Organe des Bundes vorbehalten mögen, die wesentlichen Grundzüge der neu in einem einzigen System der Zollpolizei vorzunehmenden Daten- bearbeitungen und die Schnittstel- len zu diesem System zu regeln. Vor dem Hintergrund dieser Hinweise hat der Bundesrat die Verwaltung angewiesen, die Datenbearbeitungs- bestimmungen zu überarbeiten, was in den Vernehmlassungsunterlagen angedeutet wurde. Der Beauftragte begrüsst dies. Er steht im intensiven Austausch mit der Eidgenössischen Zollverwaltung und dem Bundesamt für Justiz, um anhand konkreter Anre- gungen eine Bereinigung der festge- stellten Mängel zu bewirken. Datenschutz 30 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
1.3 Steuer- und Finanzwesen Der EDÖB setzt sich vor Bundesgericht für das Recht auf Information in der internationalen Steueramts- hilfe ein Das Bundesverwaltungsgericht hiess im 2019 eine Beschwerde des EDÖB zum Recht auf Information in der inter- nationalen Steueramtshilfe gut. Im anschliessenden Beschwerdeverfahren vor Bundesgericht hat sich der Beauf- tragte erneut für das Recht auf Infor- mation eingesetzt. Der Entscheid des Bundesgerichts steht noch aus. In der internationalen Steueramtshilfe knüpft das Recht, über ein laufendes Amtshilfeverfahren informiert zu wer- den, an die Beschwerdeberechtigung einer Person an (vgl. Art. 1 4 Steuer- amtshilfegesetz). Ende Dezember 2017 erliess der EDÖB eine formelle Empfehlung, wonach die Eidgenös- sische Steuerverwaltung (EST V) in der internationalen Steueramtshilfe auch die vom Amtshilfeersuchen nicht betroffenen Personen (d.h. Drittperso- nen), deren Namen ungeschwärzt an die ersuchende ausländische Behörde übermittelt werden sollen, vorgän- gig der Übermittlung zu informieren hat (s. 25. TB, Kap. 1.9.2). Dem lag die Auffassung des EDÖB zugrunde, dass Drittpersonen legitimiert sind, sich gegen eine unrechtmässige Übermitt- lung ihrer Daten mittels Beschwerde zur Wehr zu setzen. Die EST V lehnte diese Empfehlung ab, worauf der EDÖB die Angelegenheit zuerst dem Eidgenössischen Finanzdepartement (EFD) vorlegte und dann dessen ableh- nende Verfügung an das Bundesver- waltungsgericht weiterzog (s. 26. TB, Kap. 1.3). Das Bundesverwaltungsgericht gelangte in seinem Urteil vom 3. Sep- tember 2019 zum Schluss, dass in der internationalen Steueramtshilfe die vom Amtshilfeersuchen nicht betrof- fenen Personen (Drittpersonen), deren Daten ungeschwärzt übermittelt wer- den sollen, grundsätzlich vorgängig zu informieren sind. Für Fälle, in welchen mit der erforderlichen Information unverhält- nismässiger Aufwand verbunden ist und der Vollzug der Amtshilfe ver- unmöglicht oder unverhältnismässig verzögert würde, sind gemäss Bun- desverwaltungsgericht Ausnahme- regelungen zu erarbeiten. Der EDÖB begrüsste das Urteil, da es die Grund- rechte der Bankmitarbeitenden und weiterer Drittpersonen schützt. Die EST V erhob beim Bundesge- richt Beschwerde. Die von der EST V beantragte Sistierung des Verfahrens hob das Bundesgericht auf, nachdem es am 13. Juli 2020 in einer anderen Angelegenheit mit ähnlicher Frage- stellung ein Grundsatzurteil (BGE 1 46 I 172) gefällt hatte. In jenem Urteil schränkte das Bundesgericht das Recht auf Information stark ein: Es führte aus, dass Drittpersonen, deren Daten von der EST V ungeschwärzt an die ersuchende ausländische Behörde übermitteln werden sollen, lediglich ausnahmsweise, nämlich aufgrund besonderer Umstände, legitimiert sind, sich dagegen mittels einer Beschwerde zu wehren. Sodann muss die EST V nicht sämtliche beschwerdelegitimier- ten Drittpersonen von Amtes wegen vorgängig der Datenübermittlung informieren, sondern lediglich solche, deren Beschwerdeberechtigung auf- grund der Akten geradezu offensicht- lich ist. Unter Berücksichtigung dieser neuesten Rechtsprechung anerkannte der EDÖB vor Bundesgericht, dass Drittpersonen in der internationalen Steueramtshilfe nicht generell, son- dern nur ausnahmsweise beschwer- delegitimiert sind. Er hielt jedoch an der vom Bundesverwaltungsgericht bestätigten Auffassung fest, dass sämt- liche Drittpersonen im Grundsatz von Amtes wegen vorgängig der Übermitt- lung ihrer Daten informiert werden müssen. Nur so können tatsächlich alle Drittpersonen, die im Sinne der bundesgerichtlichen Rechtsprechung beschwerdelegitimiert sind, von ihrem Beschwerderecht Gebrauch machen und sich gegen eine bevorstehende Datenübermittlung zur Wehr set- zen. Der EDÖB hat vor Bundesgericht sodann erneut skizziert, wie sich eine grundsätzliche Informationsverpflich- tung der EST V umsetzen liesse, ohne dass dieser daraus ein unverhältnis- mässiger Aufwand entsteht und die internationale Steueramtshilfe über- mässig verzögert oder behindert wird. Der Entscheid in dieser Angelegenheit steht zurzeit noch aus. Datenschutz 31 28. Tätigkeitsbericht 2020/21
Datenschutz 32 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
1.4 Handel und Wirtschaft Abklärungen 5G Implementie- rungen von Sunrise und Swisscom Der EDÖB konnte zwei unabhängig von- einander geführte Sachverhaltsabklä- rungen bei den Firmen Sunrise und Swisscom zur Implementierung der neuen Mobilfunkstandards der 5. Gene- ration (5G) abschliessen. Beide Anbie- ter zeigten auf, dass der Datenschutz und die technische Sicherheit einen hohen Stellenwert geniessen. Der neue Fernmeldestandard 5G soll gemäss den technischen Spezifika- tionen nebst einer höheren Daten- geschwindigkeit (sog. Datendurch- satzrate) auch eine erhöhte Sicher- heit bieten. Aufgrund der Aktualität und Tragweite dieser Umstellung hat der EDÖB im Jahr 2019 zwei for- melle Sachverhaltsabklärungen bei den Anbietern Swisscom und Sunrise eröffnet, als diese die 5G-Einführung planten. Beide Anbieter haben dem EDÖB Einblick in die Konzeption und den Stand der Implementierung gegeben und umfangreiche Dokumen- tationen zugestellt. Nebst einer Viel- zahl von technischen Fragen waren für den Beauftragten folgende Aspekte von besonderer Bedeutung: Einerseits war bereits 2018 diversen Medienbe- richten zu entnehmen, dass bei der Implementierung des 5G-Standards empfindliche Schwachstellen auf- treten können und Sicherheitslücken bekannt seien. Andererseits bestanden Sicherheitsbedenken bezüglich der verwendeten Ausrüster, insbesondere Huawei. Der EDÖB verlangte deshalb von den kontrollierten Unterneh- men eine Stellungnahme, wie sie den bekannten Schwachstellen begegnen und ob Abhängigkeiten zu einzelnen Lieferanten - namentlich zu Huawei
Fehlerhafte Datenbankein- träge bei Inkassounterneh- men Der EDÖB hat die Sachverhaltsabklä- rung betreffend mögliche fehlerhafte Datenbankeinträge bei einem der füh- renden Inkassounternehmen fortge- setzt und den Untersuchungsgegen- stand erweitert. Im Februar 2020 hatte der Beauftragte bei dem Unternehmen eine Sachver- haltsabklärung wegen angeblich feh- lerhaften Datenbankeinträgen und daraus folgenden Verwechslungen von Personen mit gleichen oder ähnlichen Namen und Adressen sowie mögli- cherweise vorhandenen Schwierig- keiten bei der Korrektur von solchen Fehleinträgen eröffnet (s. 27. TB, Kap.
Migros Sachverhalts- abklärung Videoüberwachung Im Berichtsjahr hat der EDÖB im Rah- men einer Sachverhaltsabklärung das neue Videoüberwachungssystem der Migros beurteilt. Das Unternehmen legte dar, dass weder Gesichtserken- nung noch automatisierte Auswertun- gen von Verhaltensmustern oder ähn- liche Analysen erfolgen. Der EDÖB hat keine Empfehlungen erlassen, jedoch Verbesserungen bezüglich der Informa- tion der Kundinnen und Kunden über das System verlangt. Videoüberwachungssysteme kön- nen für Unternehmen ein Mittel sein, um ihre berechtigten Interessen, wie zum Beispiel der Schutz von Eigen- tum, zu wahren. Auf der anderen Seite wächst in der Öffentlichkeit das Un - behagen gegenüber solchen Vorhaben nicht zuletzt wegen neuen techni- schen Möglichkeiten der Identifizie- rung und Analyse. Auch das neue System der Migros wurde in den Medien kritisiert und sorgte für einige Verunsicherung. Um sich Klarheit über die Funktionen der neuen Videoüberwachung der Migros zu verschaffen, hat sich der EDÖB das System und die vom Unternehmen getroffenen Massnahmen zum Schutz der Persönlichkeitsrechte im Rahmen seiner Aufsichtstätigkeit beschreiben und dokumentieren lassen. Nach Auswertung der Stellung- nahme der Migros und den einge- reichten Unterlagen konnte der EDÖB zunächst feststellen, dass sich das neue Videoüberwachungssystem auf reaktive Funktionen beschränkt: In einem konkreten Verdachtsfall kann der Sicherheitsverantwortliche einer Migros-Filiale durch manuelle Aus- wahl eines Standbilds bestimmte Para- meter einer verdächtigen Person erfassen (Haar- farbe, Geschlecht und Grösse). Das System sucht in den aufgezeichneten Videoaufnahmen und innerhalb eines definierten Zeitraumes nach dersel- ben Kombination von Parametern. Das Bildmaterial wird dem Sicherheitsper- sonal der betreffenden Migros-Filiale angezeigt und soll so bei der Ermitt- lung von deliktischen Handlungen helfen. Die Migros hielt fest, dass weder eine Gesichtserkennung noch eine automatisierte Auswertung von Ver- haltensmustern oder ähnliche Ana- lysen erfolgen. Die Identifikation von Personen, welche mit dem Video- überwachungssystem aufgenommen wurden, ist nur in begründeten Einzel- fällen ausserhalb des Systems möglich und folgt einem vom Unternehmen festgelegten Verfahren. Da sich das neue Videoüberwa- chungssystem angesichts seiner ein- geschränkten Funktionen folglich nicht wesentlich von bisherigen Sys- temen unterscheidet, kann der EDÖB von datenschutzrechtlichen Empfeh- lungen absehen. Des Weiteren erschei- nen die von der Migros dargelegten technischen und organisatorischen Massnahmen und Prozesse geeignet, die Sicherheit der bearbeiteten Per- sonendaten im Zusammenhang mit dem Videoüberwachungssystem zu gewährleisten. Der EDÖB hat jedoch Verbes- serungen in Bezug auf die Informa- tionen über das neue System in den Datenschutzbestimmungen und auf der Webseite der Migros verlangt, da diese zu allgemein formuliert sind und das neue System und seine Funktio- nen nicht erklären. Zudem verlangte er von der Migros, dass sie ihn über zukünftige Vorhaben oder allfällige Funktionserweiterungen im Bereich Videoüberwachung rechtzeitig und vorgängig informiert. Eine Antwort der Migros war im Zeitpunkt des Redaktionsschlusses dieses Berichts noch ausstehend. Datenschutz 35 28. Tätigkeitsbericht 2020/21
Bearbeitung von Kundendaten durch Onlineshops Wir haben bei einem Onlineshop ein Verfahren eröffnet, um die bei ihm anfallenden Bearbeitungen von Kun- dendaten auf ihre Datenschutzkon- formität hin zu überprüfen. Ausserdem stellt sich die Frage, ob die Daten- bearbeitungen gegen den ausdrückli- chen Willen der Nutzer erfolgen dürfen. Sei es wegen der Schliessung von Ladengeschäften während des Lock- downs oder wegen der mit einem Geschäftsbesuch verbundenen Risi- ken – die Corona-Pandemie hat viele Personen dazu veranlasst, ihre Ein- käufe online zu erledi- gen. Für manche Perso- nen sind Onlineshops sogar die einzige Mög- lichkeit geworden, um bestimmte Waren zu beschaffen. Auf- grund von Bürgeranfragen wurden wir darauf aufmerksam gemacht, dass man bei einem der grössten Schwei- zer Onlinehändler ein Kundenkonto erstellen und mithin sämtlichen in der Datenschutzerklärung umschriebe- nen Datenbearbeitungen zustimmen musste, um eine Bestellung tätigen zu können. Unter anderem bedeutete dies, dass die Kundinnen und Kunden der Auf- zeichnung und der Auswertung ihres Kaufverhaltens in individualisierter und personenbezogener Form, der Verknüpfung mit weiteren Personen- daten (z.B. mit in der Vergangenheit von diesem oder anderen Unterneh- men des Konzerns oder von Dritten bereits gesammelten oder öffentlich erhältlichen Personendaten) sowie der Weitergabe von Personendaten an andere Unternehmen des Kon- zerns zustimmen mussten. Später beim Kundendienst eingereichte Widerspruchsbegehren konnten diese Datenbearbeitungen nicht verhindern. Der Betreiber des Onlineshops lehnte diese mit der Begründung ab, dass die Datenschutzerklärung für die gesamte Kundschaft ausnahmslos und gleicher- massen gelte und diese Bearbeitungen keine Optionen für die Kundinnen und Kunden seien. Im Frühjahr 2020 haben wir den Betreiber des Onlineshops im Sinne einer Vorabklärung angeschrieben, um uns einerseits einen Überblick über seine Bearbeitungsmethoden zu ver- schaffen und andererseits die Wider- spruchsmöglichkeiten der Kundinnen und Kunden zu klären. Nach Auswer- tung der Antwort des Betreibers haben wir in der Folge eine Sachverhalts- abklärung eröffnet. Unser Fokus liegt dabei nebst der Analyse der Daten- schutzkonformität der vom Betreiber des Onlineshops und weiteren Unter- nehmen des Konzerns durchgeführ- ten Datenbearbeitung auf der Frage, ob diese Datenbearbeitungen gegen den ausdrücklichen Willen der Nutzer erfolgen dürfen. Verwendung der Daten von ricardo.ch innerhalb der TX Group Im Rahmen des laufenden Verfahrens zur Abklärung des Sachverhalts hat der EDÖB die rechtliche Prüfung der Verwen- dung der auf der Plattform ricardo.ch erhobenen Daten durch die TX Group vorgenommen. Wir sind zum Schluss gekommen, dass die Datenbearbeitun- gen, welche zum Zweck der gezielten Werbung durchgeführt werden, durch eine Einwilligung der Nutzerinnen und Nutzer gerechtfertigt werden müssen. Ferner sind wir der Auffassung, dass die Information an die Nutzergruppe derzeit ungenügend und dass die Datenschutzerklärung verbesserungs- bedürftig ist. Wie aus unseren vorangehenden Tätigkeitsberichten zu entnehmen ist, eröffnete der EDÖB eine Sachverhalts- abklärung gegen Ricardo bezüglich der Verwendung der bei der Online- Auktionsplattform ricardo.ch gesam- melten Daten und dehnte diese auf die Tamedia/TX Group. Unsere in diesem Zusammenhang durchgeführte Sach- verhaltsfeststellung konnte im März 2020 abgeschlossen werden. Diese Feststellung beruht namentlich auf der neuen Datenschutzerklärung von ricardo.ch, die von den Unternehmen der TX Group standardmässig einge- setzt wird, sowie auf den Antworten von ricardo.ch und TX Group betref- fend den konzerninternen Umgang mit Daten. Unsere rechtliche Beurtei- lung aus Sicht des Datenschutzgeset- zes DSG wird in einem Schlussbericht dargelegt. Die Datenschutzerklärung von Ricardo sieht namentlich die Mög- lichkeit vor, den Unternehmen der Datenschutz 36 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
TX Group oder deren Partnern perso- nenbezogene Daten, die auf der Platt- form ricardo.ch gesammelt werden, «zur Personalisierung und zu Marke- tingzwecken» zu übermitteln. Dazu gehört, dass das Online-Verhalten der Nutzerinnen und Nutzer anhand von Analysetools mitverfolgt und analysiert werden kann. Eine solche Datenbearbeitung erfolge «vor allem mit pseudonymisierten oder anony- misierten Daten». Zweck der Daten- bearbeitung ist das Adressieren oder Anzeigen von «anonymer Werbung» auf Portalen der TX Group sowie die Verbesserung der Sicherheit. Unsere Sachverhaltsfeststellung konnte aufzeigen, dass die TX Group (ehemals Tamedia AG) bestimmte Daten der Nutzerinnen und Nutzer der Plattform ricardo.ch für Marke- tingzwecke bearbeitet und analysiert. Die Datenbank des Konzerns lässt sich anhand von Daten speisen, die auf ver- schiedenen Portalen der TX Group erhoben und in eine aggregierte Form gebracht werden. Zweck der Analyse und der Verknüpfung dieser aus unter- schiedlichen Quellen stammenden Daten ist es, gezielte Werbung an die Nutzerinnen und Nutzer von Dienst- leistungen der TX Group oder ihrer Partnerfirmen zu adressieren, wobei eine Segmentierung nach sozio-demo- grafischen Merkmalen (anhand der von der Nutzerin bei der Registrie- rung gemachten Angaben) und nach mutmasslichen Interessensgebieten erfolgt, welche aus dem Online-Ver- halten der Nutzer auf anderen Portalen der TX Group oder ihrer Partnersites hergeleitet werden. Möglich wird die Verknüpfung der Daten innerhalb der TX Group durch pseudonyme Identifi- katoren, die unter anderem ausgehend von Email-Adressen erzeugt werden. Unsere rechtliche Prüfung des Sachverhalts führte unter anderem zu folgenden Feststellungen: • Die Bearbeitung der Daten, insbe- sondere die von der TX Group vor- genommene Datenver- knüpfung und die Nut- zersegmentierung, ent- spricht einer Bearbeitung von Personendaten, die dem Datenschutzgesetz untersteht. Die Zusammenstellung von Daten, die aus dem Profiling hervorgehen, kann zudem im vorliegenden Fall ein Persönlichkeitsprofil im Sinne des DSG darstellen, so dass die erhöhten datenschutzrechtlichen Anforderungen hier zum Tragen kommen. • Ein derartiges Profiling zum Zweck der gezielten Werbung setzt nach Auffassung des Beauftragten die Einwilligung der betroffenen Perso- nen voraus, welche ausserdem aus- drücklich erfolgen muss. Denn die vorliegenden berechtigten Interes- sen der TX Group überwiegen im konkreten Fall das Recht auf infor- mationelle Selbstbestimmung der Nutzerinnen und Nutzer der Platt- form ricardo.ch nicht. • Die Datenschutzerklärung und die diesbezügliche Kommunikation von ricardo.ch/TX Group sind im Sinne des Grundsatzes der Trans- parenz zu verbessern. Insbesondere müssen die Nutzer eindeutig nach- vollziehen können, welche Datenbe- arbeitungen von Ricardo einerseits und von der TX-Gruppe anderer- seits durchgeführt werden, welche Zwecke damit verfolgt werden, und ob es Möglichkeiten gibt, dagegen Einspruch zu erheben. Gegebenen- falls müssen die Widerspruchs- möglichkeiten effektiv durchgesetzt werden können. Der EDÖB arbeitet an der Prüfung des weiteren Vorgehens. Datenschutz 37 28. Tätigkeitsbericht 2020/21
Revision der Energieverord- nung Der EDÖB fordert im Rahmen der Revi- sion der Stromversorgungsverordnung (StromVV) im Interesse der Betroffe- nen eine höchstens zweijährige Frist für die Aufbewahrung von Messdaten durch die Netzbetreiber. Das UVEK lehnt diese Forderung ab – u.a. mit Verweis auf die bereits bestehenden fünfjährigen Fristen in der StromVV. Eine entsprechende Differenz wurde ausgewiesen. Im Rahmen einer Ämterkonsultation im Bereich der Revision der Energie- verordnung erachtete der EDÖB die darin festgelegte Aufbewahrungsfrist der Lastgangwerte von fünf Jahren aus zeitlicher Hinsicht als nicht verhältnis- mässig. Der EDÖB ist der Ansicht, dass es sich hier um eine Vorratsdaten- speicherung handelt, wel- che alle Strombezüger in der Schweiz betrifft. Für den Zweck der Stromverbrauchsoptimierung sollen die Lastgangprofile fünf Jahre gespeichert werden, obschon davon ausgegangen werden muss, dass die Mehrheit der Betroffenen diese nie auswerten wird. Auch für die Zwecke des Bilanz-Netzmanagements und der Abrechnung sind mildere Mittel möglich, um die verfolgten Zwecke zu erreichen, wie z.B. eine Aggregie- rung gemäss den Tarifpositionen (z.B. Hoch-/Niedertarif ) für die Rech- nungsstellung, wodurch das Lastgang- profil an sich nicht mehr abrechnungs- relevant wäre. Gemäss der StromVV werden die Personendaten und Per- sönlichkeitsprofile nach zwölf Mona- ten vernichtet, sofern sie nicht abrech- nungsrelevant oder anonymisiert sind. Die lange Aufbewahrung von fünf Jah- ren erweist sich insbesondere deshalb als problematisch, weil es sich bei den Lastgangprofilen um Persönlichkeits- profile resp. nach dem revidierten DSG um ein Profiling handelt, bei denen erhöhte datenschutzrechtliche Anfor- derungen gelten. Der EDÖB vertritt daher die Auf- fassung, dass die Personendaten nach zwölf Monaten, oder aber aus Prak- tikabilitätsgründen spätestens nach zwei Jahren, zu löschen sind, wenn nicht eine explizite Einwilligung der Betroffenen für eine längere Aufbe- wahrungsdauer vorliegt, z.B. zwecks Auskunft über die Daten des Lastgang- profils für Effizienzlösungen. Die ent- sprechende Bestimmung sollte dahin- gehend abgeändert werden, dass die Aufbewahrungsdauer für Lastgangpro- file wie bisher zwölf Monate beträgt und die Kunden mit einer expliziten Einwilligung eine darüber hinausge- hende Aufbewahrungsdauer bis maxi- mal fünf Jahre beantragen können. Datenschutz 38 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
1.5 Gesundheit Anforderungen an Cloud- Lösungen für die Bearbeitung von Patientendaten Im Gesundheitsbereich werden zu - nehmend Cloud-Lösungen für die Bear- beitung von Patientendaten genutzt. Der EDÖB hat im Rahmen seiner Be - ratungstätigkeit auf die Punkte hinge- wiesen, die von Gesundheitsfach- personen bei der Auswahl einer Cloud- Lösung zu beachten sind. Der EDÖB wurde im Berichtsjahr wie- derholt von Ärzten, Psychologen und weiteren im Gesundheitsbereich täti- gen Personen bezüglich der Verwen- dung von Cloud-Lösungen für die Bearbeitung von Patientendaten kontak- tiert. Dabei ging es um die Bearbeitung resp. Speiche- rung von Gesundheitsdaten in einem von einem externen Anbieter (sog. Cloud-Provider) betriebenen Rechen- zentrum. Die Anfragen be trafen insbe- sondere die Aufbewahrung und Wei- tergabe, bzw. die Löschung von Pati- entendaten (z.B. nach dem Tod eines Patienten oder nach Auflösung einer Arztpraxis). Der EDÖB weist im Rahmen seiner Beratungstätigkeit zunächst darauf hin, dass der Arzt auch bei der Ver- wendung einer Cloud-Lösung für die Sicherheit der Daten ver- antwortlich bleibt, selbst wenn er fortan nur noch eine begrenzte Kontrolle über die Datensicherheit hat. Daher muss er den Cloud-Provider sorgfältig auswählen und auf folgende Punkte achten: • Die Daten sollten in der Schweiz verbleiben; • Der Vertrag mit dem Cloud-Provider sollte den Anforderungen aus dem Arztgeheimnis genügen; • Alle Personen mit Zugriff auf die Patientendaten müssen der ärztli- chen Schweigepflicht unterstehen; • Die Löschung der Patientendaten sollte jederzeit möglich sein; • Eine Liste aller Personen, die Zugriff auf die Daten haben, sollte jederzeit eingefordert werden können; • Die Datensicherheit sollte regel- mässig überprüft werden, und die dazugehörigen Audits sollten ver- fügbar sein; • Der Ansprechpartner in Sachen Datenschutz sollte dem Arzt bekannt sein; • Ein Backup sollte täglich erstellt werden können; • Alle Verbindungen müssen ver- schlüsselt werden, und eine 2-Faktoren-Authentifizierung sollte die Zugriffe auf die Daten auf die berechtigen Personen beschränken. Abschliessend lässt sich deshalb festhalten, dass der EDÖB von der Verwendung von gängigen unentgelt- lichen Cloud-Lösungen für den Aus- tausch bzw. für die Aufbewahrung von Patientendaten abrät, da diese die obengenannten Bedingungen in der Regel nicht erfüllen. Datenschutz 39 28. Tätigkeitsbericht 2020/21
CORONA Sachverhaltsabklärung in Sachen meineimpfungen.ch Bereits Jahre vor der Pandemie wurde die von einer Stiftung betriebene elektroni- sche Impfplattform meineimpfungen.ch ins Leben gerufen und unter anderem vom Bundesamt für Gesundheit (BAG) finanziell unterstützt. Die Plattform war als elek- tronische Alternative des gängigen Impfbüchleins angedacht. Im Kontext der COVID-19-Pandemie erhielt die Plattform einen erheblichen Zuwachs an Nutzerinnen und Nutzern. Dies mitunter aufgrund bereitgestellter Schnittstellen zu der vom BAG propagierten Applikation für die Anmeldung der Impf- willigen. Die Stiftung entwickelte und betrieb zudem im Auftrag des BAG ein spezi- fisches Modul für die Dokumentation der COVID-19-Impfung (myCOVIDvac). Ende März 2021 wurde der Beauftragte mit den Ergebnissen einer journalisti- schen Recherche konfrontiert, welche auf mögliche schwerwiegende Sicherheits- und Datenschutzmängel bei der Plattform meineimpfungen.ch hinwies. Nach Rück- sprache mit dem Nationalen Zentrum für Cybersicherheit (NCSC) hat der Beauf- tragte innert Tagesfrist eine formelle Sachverhaltsabklärung eröffnet und der Stiftung die sofortige Einstellung des Betriebs empfohlen. Bei Abschluss des Geschäftsjahres war das Verfahren noch pendent und eine Wiederaufnahme des Betriebs der Plattform noch nicht absehbar. Weiter hat der EDÖB in Absprache mit den Datenschutzbehörden der Kantone darauf hingewirkt, dass weitere Plattformen, die Private im Kontext mit der Pande- miebekämpfung im Auftrag oder mit Empfehlung der Gesundheitsbehörden von Bund und Kantonen betreiben, näher überprüft werden. Datenschutz 40 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
CORONA Datenschutzrechtliche Herausforderungen mit Blick auf mögliche Erleich- terungen für geimpfte Personen Mit dem Verfügbarwerden von Impfun- gen gegen das COVID-19-Virus setzte eine öffentliche Diskussion über die Auf- hebung von Verboten und die Freiheit einschränkenden Massnahmen zu Gunsten von Geimpften ein. Der EDÖB sprach sich seit Dezember 2020 öffent- lich dafür aus, dass die mit Erleichterun- gen für Geimpfte einhergehende Bear- beitung von Gesundheitsdaten durch Staat und Wirtschaft nach klaren Vorga- ben des öffentlichen Rechts erfolgen muss und nicht zu einer faktischen Smartphone-Tragpflicht führen darf. Mit der Perspektive auf eine Impfung gegen das COVID-19-Virus setzte in der zweiten Welle der Pandemie eine öffentliche Diskussion über die Aufhebung von Verboten und die Freiheit einschränkenden Mass- nahmen zu Gunsten von Geimpften ein. Wie diese aus rechtlicher Sicht umzusetzen wäre, haben die Staats- politischen Kommissionen beider Räte unter Anhörung des Beauftra- gen erörtert (siehe dazu die Medien- mitteilung SPK-S vom 23.02.2021). Der Staat und Private, die staatliche Aufgaben erfüllen, dürfen Differen- zierungen aufgrund des Impfstatus nur gestützt auf eine entsprechende gesetzliche Grundlage vornehmen. Demgegenüber sind unter Privaten solche Differenzierungen vor dem Hintergrund der Vertragsfreiheit grundsätzlich auch ohne explizite Rechtsgrundlage möglich. Machen Private den Zugang zu Gütern oder Leistungen vom Impfstatus ihrer Kundschaft oder Gäste abhängig, bearbeiten sie dabei regelmässig Gesundheitsdaten ihrer Mitbürgerinnen und Mitbürger, was je nach Umständen, zu Persönlich- keitsverletzungen führen kann. Der Beauftragte stellte sich deshalb bereits zu Beginn der öffentlichen Diskussion wie auch in den erwähnten Anhö- rungen auf den Standpunkt, dass für diesen Fall gesetzliche Vorgaben geschaffen werden sollten. Er wies zudem auf die datenschutzrecht- lichen Anforderungen hin, deren Erfüllung Private sicherzustellen haben, sofern sie den Zugang zu Gütern oder Leistungen von der Offenlegung eines Testresultats oder eines Impfnachweises abhängig machen wollen (siehe dazu unsere Kurzmitteilung vom 22.01.2021). So muss die Beschaffung und Weiterbearbeitung der Personen- daten im Sinne der Verhältnismäs- sigkeit geeignet sein, den verfolgten Zweck, d.h. den Schutz vor Über- tragung und Erkrankung, zu erfüllen. Sodann ist auf die Einforderung von Gesundheitsdaten als Voraus- setzung für den Zugang zu Gütern oder Leistungen abzusehen, wenn deren Verzicht den Betroffenen nicht zugemutet werden kann. Mit Blick auf die Art der Bearbeitung betonte der EDÖB schliesslich, dass Personen, die nicht in der Lage oder nicht willens sind, einen Impfnach- weis auf dem Smartphone vorzu- zeigen, zumutbare Alternativen zur digitalen Bearbeitung der erwähnten Personendaten unter vergleichbaren Bedingungen anzubieten sind. Dieser letzte Aspekt ist für den Beauftragten von besonderer Bedeutung, weil davon auszu- gehen ist, dass die systematische Personendatenbearbeitung durch Private im Kontext der Pandemie die informationelle Selbstbestimmung der Bevölkerung über die aktuelle Situation hinaus prägen wird. Datenschutz 41 28. Tätigkeitsbericht 2020/21
CORONA Datenschutzkonforme Umsetzung des COVID-19- Zertifikats Angesichts des Bedürfnisses, für Aus- landreisen eine erfolgte COVID-19- Impfung, eine durchgemachte Erkran- kung oder ein negatives Testresultat nachweisen zu können, hat das Bundes- parlament im März 2021 eine Gesetzes- bestimmung für ein einheitliches, fäl- schungssicheres und international aner- kanntes COVID-19-Zertifikat geschaffen. Der Beauftragte begleitet die Umset- zungsarbeiten des Bundesamtes für Gesundheit (BAG) im Rahmen seiner auf- sichtsrechtlichen Beratungspflicht. Im Verlauf der zweiten Welle der Pandemie zeichnete sich das Bedürf- nis ab, vorab für den inter nationalen Personenverkehr, eventuell aber auch weitere Verwendungsmög- lichkeiten, für geimpfte, genesene oder negativ auf das Coronavirus getestete Personen die entspre- chenden Bescheinigungen in zuver- lässiger Art und Weise vorbringen zu können. Spezifische gesetzliche Regelungen über Form und Inhalt eines Impfausweises bestanden bis dahin in der Schweiz keine. So wurden auch die Nachweise über eine erfolgte COVID-19- Impfung oder ein Testresultat in Papierform, per SMS, E-Mail oder als (verifizier- barer) Eintrag auf einer einschlägigen Plattform angeboten. Die vielfältigen Möglichkeiten wurden jedoch nicht alle den datenschutzrechtlichen Anforderungen gerecht, was den EDÖB zu aufsichtsrechtlichen Inter- ventionen veranlasste (s. Box zu «meineimpfungen.ch»). Im März 2021 hat der Bundes- gesetzgeber mit dem neuen Artikel 6a des COVID-19-Gesetzes ein einheitliches und international anerkanntes COVID-19-Zertifikat eingeführt. In dieser Bestimmung werden die Voraussetzungen für die Impf-, Test- und Genesungs- nachweise festgehalten. Demnach muss ein entsprechender Nachweis persönlich, fälschungssicher, unter Einhaltung des Datenschutzes überprüfbar und so ausgestaltet sein, dass nur eine dezentrale oder lokale Überprüfung der Authentizität und Gültigkeit von Nachweisen mög- lich ist. Sodann soll der Nachweis möglichst für die Ein- und Ausreise in andere Länder verwendet werden können. In der Vorgabe des Gesetz- gebers, wonach das Zertifikat künf- tig nicht nur digital, sondern auch auf Papier nutzbar sein soll, findet auch die Forderung des Beauftragten Niederschlag, dass das elektronisch verfügbare Zertifikat nicht zu einer faktischen Smartphone-Tragpflicht führen darf. Weiter sieht die Bestimmung vor, dass der Bund den Kantonen und Dritten ein System für die Erteilung von Nachweisen zur Verfügung stellen kann. Zur Entwicklung eines solchen Systems hat das BAG am 29. März 2021 eine Projektgruppe eingesetzt, die der EDÖB in Aus- übung seiner aufsichtsrechtlichen Beratungspflicht begleitet. Seine Forderungen zur datenschutzrecht- lichen Ausgestaltung decken sich im Wesentlichen mit der Haltung des Europäischen Datenschutzausschus- ses (EDSA) und des Europäischen Datenschutzbeauftragten (EDSB) zum «Digitalen Grünen Pass», der im EU-Raum für den grenzüberschrei- tenden Verkehr eingeführt werden soll. Darüber hinaus hat der EDÖB gegenüber der Projektgruppe daten- schutzrechtliche Vorgaben für eine datensparsame Ausgestaltung der Zertifikate für allfällige weitere Ver- wendungszwecke im Inland formu- liert. Für solche weiteren Verwen- dungszwecke sollen gemäss der vom Beauftragten vertretenen Meinung öffentlich-rechtliche Grundlagen geschaffen werden, die sich nicht nur an Behörden, sondern auch Private richten (s. vorangehenden Text). Datenschutz 42 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
Elektronisches Patienten- dossier – Erste Stammge- meinschaften zertifiziert In allen Regionen der Schweiz steht das elektronische Patientendossier (EPD) in den Startlöchern. Der EDÖB hat hierbei die Entwicklung der Zertifizie- rungsverfahren verfolgt. Sodann hat er Kontakt mit neuen Stammgemein- schaften aufgenommen und bei bereits bestehenden Kontakten den Austausch intensiviert. Inzwischen wurden die ersten Stammgemein- schaften zertifiziert. Das EPD ist ein virtueller Sammelort von Links, mit welchem Privatperso- nen über ihre persönlichen Gesund- heitsdaten, wie beispielsweise Arzt- berichte oder Rezepte, digital verfügen können. Diese Gesundheitsdaten sind besonders schützenswerte Personen- daten, deren Bearbeitung eine aus- drückliche Einwilligung der Betroffe- nen voraussetzt. Dies bedingt wiede- rum eine angemessen klare und voll- ständige Information der Patientinnen und Patienten. Für den EDÖB ist die saubere Umsetzung dieses Aspekts von besonderer Bedeutung. So konnte er im Berichtsjahr bereits entspre- chende Dokumente von Stammge- meinschaften sichten. Das am 15. April 2017 in Kraft getretene Bundesgesetz über das elek- tronische Patientendossier (EPDG) sieht vor, dass Patientinnen und Pati- enten sämtliche Zugriffsrechte zu jedem einzelnen Dokument selbst verwalten können. Richtig umge- setzt werden müssen somit Vertrau- lichkeitsstufen für jedes Dokument, die Zuweisung von Benutzerrollen an einzelne Gesundheitsfachperso- nen, Stellvertretungsregelungen und die Einstellung, dass ein Zugriff in Notfallsituationen nur mit vorgän- giger Berechtigung der behandelnden Gesund- heitsfachperson möglich sein soll. Der EDÖB hat auch darauf ein Augen- merk gesetzt und wird die Regelung der Zugriffsrechte insbesondere nach den abgeschlossenen Zertifizierungs- verfahren der Stammgemeinschaften weiter beobachten, sodass Patientin- nen und Patienten auch nach Erteilung ihrer Einwilligung die Kontrolle über die Daten behalten. Der EDÖB steht sodann auch weiterhin im Austausch mit dem BAG, den Anbietern der tech- nischen Infrastruktur und kantonalen Datenschutzbehörden. U.a. ermög- licht dieser Kontakt, Kompetenzfra- gen zu klären, die sich daraus ergeben, dass gewisse medizinische Leistungs- erbringer wie Spitäler der kantona- len Datenschutzaufsicht unterstehen, während der EDÖB die Ärztinnen und Stammgemeinschaften beaufsichtigt. Geplant war, dass die Stammge- meinschaften im April 2020 ihren Betrieb aufnehmen. Jedoch hat sich der geplante Starttermin aufgrund länger andauernder Zertifizierungsverfah- ren verzögert. Mitte November 2020 wurde mit «eHealth Aargau (SteHAG)» die erste Stammgemeinschaft gemäss EPDG zertifiziert. Mit der Stammge- meinschaft Südost des Vereins «eSA- NITA» konnte Ende Dezember 2020 ein zweiter EPD-Anbieter die Zerti- fizierung abschliessen. Der EDÖB hat die beiden Gemeinschaften aufgefor- dert darzulegen, welche wesentlichen Datenschutzrisiken sie im Zusammen- hang mit dem EPD bislang identifiziert haben, mit welchen Massnahmen sie diesen Herausforderungen begegnen und wie sie diesbezüglich ihre daten- schutzrechtliche Verantwortung wahrnehmen. Wichtigster Ansprechpartner für den Beauftragten werden die Daten- schutz- und Datensicherheitsverant- wortlichen sein, welche die Stamm- gemeinschaften gestützt auf die EPDV einsetzen müssen. Datenschutz 43 28. Tätigkeitsbericht 2020/21
CORONA Proximity Tracing-App des Bundes (SwissCovid-App) Bereits zu Beginn der Corona-Pandemie wurde der EDÖB von den Entwicklern des Proximity Tracing-Systems, das später zur SwissCovid-App des Bundes führte, um eine beratende Mitwirkung an ihren Arbeiten angegangen. Das System ermittelt via Bluetooth-Funktechnik epidemiologisch relevante Kontakte zwischen Mobiltelefonen und zeichnet sie lokal auf. Der EDÖB hat die Entwick- lung der SwissCovid-App zunächst in technischer Hinsicht und später auch mit Blick auf die Gesetzgebung eng begleitet. Am 21. März 2020, wenige Tage nachdem in der Schweiz die ausser- ordentliche Lage im Sinne des Epidemiengesetzes (EpG) ausgeru- fen worden war, wurde der EDÖB von den Entwicklern einer «Covid Proximity Tracing-App» kontaktiert und um eine datenschutzrechtliche Beurteilung gebeten. Die Projekt- verantwortlichen aus dem Umfeld der École polytechnique fédérale de Lausanne (EPFL) und aus der Privatwirtschaft bezweckten mit der Applikation die Alarmierung von Personen, welche die Covid-App auf ihrem Smartphone aktiviert hatten und sich in der Nähe einer Person mit einem ebensolchen Gerät mit dieser App befunden hatten, die später positiv auf das Corona- virus getestet wurde. Im Rahmen seiner Erstbeurteilung stellte der EDÖB fest, dass das Projekt mit dem geplanten Verzicht auf Erhebung von Standortdaten, der Verwendung von temporären Identifizierungscodes und der Freiwilligkeit der Teilnahme wichtige Anliegen zum Schutz der Privatsphäre und der informatio- nellen Selbstbestimmung berück- sichtigte. In der Folge entwickelten die EPFL und ihre Partner die Applika- tion unter der Bezeichnung «Decen- tralized Privacy Preserving Proxi- mity Tracing» (DP-3T) weiter. Diese Arbeiten erfolgten unabhängig vom europäischen Projekt «Pan-Euro- pean Privacy-Preserving Proximity Tracing» (PEPP-P T) und brachten in datenschutzrechtlicher Hinsicht Verbesserungen mit sich, nament- lich aufgrund des fortan verfolgten dezentralen Ansatzes der Datenbe- arbeitung. Als vorteilhaft beurteilten wir namentlich, dass der auch beim dezentralen Ansatz unverzichtbare zentrale Server nur anonyme Schlüs- sel erhalten würde und epidemio- logisch relevante Annäherungen nur lokal auf den Smartphones regist- riert werden sollten. Im weiteren Verlauf des Projekts hat der Bund die Einführung eines auf DP-3T basierenden, offiziel- len Tracing-Systems beschlossen. Das federführende Bundesamt für Gesundheit (BAG) hat uns fortan in die Umsetzungsarbeiten für die zukünftige SwissCovid-App des Bundes einbezogen und umfassend dokumentiert. Dies erlaubte es unseren Spezialisten, die Applika- tion und deren Systemarchitektur unter Einschluss der Umsetzung im Backend-Server technisch zu überprüfen. Im Mai stellte der EDÖB u.a. gestützt auf eine Datenschutz- Folgenabschätzung fest, dass die datenschutzrechtlichen Voraus- setzungen für die Durchführung eines Pilotbetriebs gegeben waren (s. Stellungnahme des EDÖB vom 13. Mai 2020). Nach Würdigung eines im Juni veröffentlichten Berichts des Natio- nalen Zentrums für Cybersicherheit (NCSC) bekräftige der EDÖB diese Einschätzung. Er unterstrich, dass die von datenschutzaffinen Kreisen und Medienberichten kritisierte Nutzung der Programmierschnitt- stellen (sog. API-Schnittstellen, application programming inter- face) von Google und Apple für die SwissCovid-App im Vergleich mit der übrigen Alltagsnutzung dieser Schnittstellen durch die Bevöl- kerung keine signifikant höheren Risiken mit sich bringt. Nachdem der Beauftragte gegenüber der Verwaltung vergeb- lich forderte, für die Applikation nach Massgabe von Art. 17 DSG die Schaffung einer hinreichend konkreten Rechtsgrundlage im Epi- demiengesetz einzuleiten, konnte er die zuständigen parlamentari- schen Kommissionen dahingehend beraten, eine solche zu schaffen. Datenschutz 44 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
Deren Verankerung erfolgte über die dringliche Einführung eines neuen Artikels 60a im Epidemiengesetz per 25. Juni 2020. Gemäss dieser Bestimmung ist die Verwendung der SwissCovid- App freiwillig. Einerseits war sich der Gesetzgeber bewusst, dass ein Obligatorium politisch schwer vermittelbar und – angesichts der Möglichkeit, die Bluetooth-Funk- tion jederzeit zu deaktivieren – auch kaum durchsetzbar gewesen wäre. Andererseits hat das Parlament ein Zeichen gegen die Schaffung einer faktischen Smartphone-Trag- pflicht gesetzt, indem es Behörden, Unternehmen und Einzelpersonen verboten hat, jemanden aufgrund der Verwendung oder Nichtverwen- dung der App zu bevorzugen oder zu benachteiligen. Am 25. Juni 2020 wurde die SwissCovid-App in den App-Stores von Apple und Google lanciert. Während Teile der Bevölkerung der Applikation auch Monate später ein erhebliches Misstrauen hinsichtlich ihrer Datenschutzkonformität ent- gegenbringen, erheben andere Stim- men den Vorwurf, der Gesetzgeber habe deren Wirksamkeit durch die Berücksichtigung des Datenschutzes zu sehr eingeschränkt. Im Span- nungsfeld dieser gegensätzlichen Haltungen vermochte das BAG die Verbreitung der Applikation bisher nicht über die zwar beachtliche – optimistische Erwartungen indessen verfehlende – Grössenordnung von rund drei Millionen Downloads und 1,7 Millionen aktive Nutzende zu steigern. Datenschutz 45 28. Tätigkeitsbericht 2020/21
CORONA Der gesetzliche Rahmen der Kontaktdatenerfassung Mit seinen Interventionen hat der EDÖB dazu beigetragen, dass die Erhebung von Kontaktdaten zur Rückverfolgung von Ansteckungen mit COVID-19, das sogenannte Contact Tracing, auf hinrei- chend bestimmte Rechtsgrundlagen gestellt wurde und dabei die Grundsätze des Datenschutzgesetzes eingehalten werden. Als es am 11. Mai 2020 zur Wie- dereröffnung der Restaurants, Bars, Diskotheken, Fitnesszentren und weiterer öffentlich zugänglicher Einrich- tungen kam, haben viele Betriebe im Rah- men der vom Bundes- rat angeordneten Schutz konzepte die Erhebung von Kontaktdaten zur Rückverfolgung von Ansteckungen vorgesehen. Da für die Erhebung und Weiterbearbeitung dieser Daten zunächst keine gesetzliche Grund- lage bestand, hat sich der EDÖB öffentlich dafür ausgesprochen, dass diese vorderhand nur freiwil- lig erfolgen durften (s. Mitteilung «Corona-Schutzkonzepte»). Mit seiner Intervention konnte der EDÖB dazu beitragen, dass der Bundesrat das per 22. Juni 2020 eingeführte Kontaktdaten-Obli- gatorium auf eine hinreichend bestimmte Rechtsgrundlage stellte. Mit der COVID-19-Verordnung besondere Lage hat er den Verwen- dungszweck der gesammelten Daten eingegrenzt (Übermittlung an die zuständige kantonale Behörde zum Zweck des Contact Tracing im Falle einer Infektion), die Anforderungen an die Aufbewahrung (Wahrung der Vertraulichkeit) und die auto- matische Löschung nach 14 Tagen geregelt sowie die auf Bundesebene zu erfassenden Datenkategorien festgelegt (Name, Vorname, Wohn- ort und Telefonnummer). Um die Effizienz der Kontakt- rückverfolgung zu verbessern, haben einige Kantone die Betreiber der Gaststätten angewiesen, für die Kontaktdatenerhebung eine bestimmte Applikation zu verwen- den. Abgesehen vom Hinweis auf das Erfordernis einer klaren (kanto- nal-)rechtlichen Grundlage hat der EDÖB betont, dass die entsprechen- den Applikationen eine erkennbare, zweckgebundene und sichere Datenbearbeitung gewährleisten müssen. Auch hat er wiederholt darauf hingewiesen, dass Private ihren Kunden keine faktische Smartphone-Tragpflicht auferlegen dürfen. Zum einen gibt es Leute, die nicht willens sind, ein mit einem bestimmten Programm bestücktes Smart Device vorzuzeigen, weil sie sich vor einem Zugriff auf die dort vorhandenen Daten ihrer digitalen Lebensführung fürchten und zum anderen gibt es Personen, die dazu aufgrund ihres Alters, ihrer Gesund- heit oder wegen Behinderungen gar nicht in der Lage sind. Diesen Menschen haben die privaten Be - triebe nebst digitalen auch alter- native Erhebungsmethoden wie das Ausfüllen von Papierformularen zu zumutbaren Konditionen zur Verfügung zu stellen. Seit dem Sommer 2020 haben sich schliesslich Hinweise auf Pro- bleme juristischer und technischer Natur bei der Verwendung bestimm- ter Applikationen für die Kontakt- datenerfassung gehäuft. Dies hat den EDÖB veranlasst, in Bezug auf eine in Teilen der Schweiz stark verbrei- tete App eine Sach verhaltsabklärung einzuleiten. Der EDÖB ist bestrebt, die Untersuchung vor der nächsten Wiedereröffnung der Gastronomie abzuschliessen, was angesichts der Formalitäten des Verfahrens eine grosse Herausforderung darstellt. Datenschutz 46 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
1.6 Arbeit Zulässigkeit von Background Checks im Bewerbungsver- fahren Vermehrt bieten insbesondere auslän- dische Firmen interessierten Schweizer Arbeitgebern die Möglichkeit, Daten- banken nach Informationen über Stel- lenbewerberinnen und -bewerber zu durchforsten und anschliessend eine Anstellungsempfehlung abzugeben. Der EDÖB wurde mehrfach mit Blick auf die Zulässigkeit von sogenannten Back- ground Checks kontaktiert. Gemäss Art. 328b OR darf der Arbeit- geber nur diejenigen Daten bearbeiten, die für das vorliegende Bewerbungs- verfahren notwendig sind. Dabei muss er stets auch die Datenbearbeitungs- grundsätze des DSG, insbesondere das Verhältnismässigkeitsprinzip und das Transparenzgebot, beachten. Das Verhältnismässigkeitsprin- zip verlangt, dass das Durchforsten von Datenbanken und die anschlies- sende Auswertung der eingesehe- nen Daten geeignet, notwendig und zumutbar sind, um die Qualifikation der Kandidatinnen und Kandidaten zu überprüfen. Eine mehr oder weni- ger ausgedehnte Personensicherheits- prüfung kann in Bereichen, in denen die Arbeitnehmenden Zugang zu sen- siblen Informationen haben, geeig- net, notwendig und zumutbar sein, um gewisse Risiken einzudämmen, so z.B. im Banken- oder Sicherheits- sektor. Wo hingegen keine besonde- ren Risiken vorliegen, wie dies unter Vorbehalt besonderer Umstände bei- spielsweise bei Lehrpersonen der Fall sein dürfte, erscheint eine umfassende Sicherheitsprüfung als unverhältnis- mässig. Unabhängig von der Frage der Ver- hältnismässigkeit ist der Arbeitgeber aufgrund des Transparenzgebots ver- pflichtet, die betroffene Person über den Background Check und die dabei erfolgenden Datenbear- beitungen und Auswer- tungen zu informieren. Erst dies stellt sicher, dass die betroffene Person die Rechtmässigkeit der Datenbearbeitung und Richtigkeit der Daten überprüfen bzw. ihre Rechte geltend machen kann. Im Lichte des Transparenzgebots unzulässig sind somit heimlich durch- geführte Background Checks, die den betroffenen Personen nicht offenge- legt werden. Datenschutz 47 28. Tätigkeitsbericht 2020/21
CORONA Datenschutzrechtliche Aspekte im Homeoffice Im Berichtsjahr wurde für zahlreiche Angestellte die Verlegung des Arbeits- platzes in die eigenen vier Wände ange- ordnet. Entsprechend beschäftigte sich der EDÖB vermehrt mit Fragen rund um die Verwendung verschiedener Video- konferenzlösungen, die Überwachung vom Mitarbeitenden sowie Zugriffe auf Schweizer Firmenserver aus dem Aus- land. Die Frage, unter welchen Vorausset- zungen Homeoffice für Angestellte eingeführt werden kann, beantwor- tet sich nach Massgabe des Arbeits- rechts. Aus datenschutzrechtlicher Perspektive ergeben sich aus dieser Konstellation allerdings einige nicht unerhebliche Fragestellungen, etwa im Zusammenhang mit dem Einsatz digitaler Kommunikationsmittel für Telefon- und Videokonferenzen (s. Kap. 1.1, Box zu entsprechendem Leit faden) oder mit der Verwendung von Plattformen für den Datenaus- tausch. Selbst wenn sich die Pflich- ten der Arbeitnehmenden punktuell verschieben können, bleibt der Arbeitgeber auch in Krisenzeiten für die Informationssicherheit und den Datenschutz verantwortlich und somit an die Datenbearbeitungs- grundsätze des DSG gebunden. Im Sinne dieser Ausführungen obliegt es deshalb dem Arbeitgeber, eine Software auszuwählen, welche die Sicherheit der bearbeiteten Personendaten in hinreichender Weise gewährleistet. Unter dem Titel «Massnahmen für eine sichere Nutzung von Audio- und Video- konferenzlösungen» hat der EDÖB auf seiner Webseite einen Leitfa- den publiziert, der die wichtigsten datenschutzrechtlichen Vorgaben zusammenfasst, die bei der Auswahl der entsprechenden Plattformen beachtet werden müssen. Mehrere Anfragen aus der Bevöl- kerung bezogen sich auf die Befürchtung, im Homeoffice einer permanenten Über- wachung durch den Arbeitgeber ausgesetzt zu sein. Der EDÖB ist sich bewusst, dass je nach verwendeter IT-Lösung das Verhalten der Arbeitnehmenden im Homeoffice auf einfache Art und Weise permanent überwacht werden könnte – was jedoch im Lichte des DSG unzulässig und auch gestützt auf Normen des Arbeitsgesetzes aus- drücklich untersagt ist. Schliesslich sah sich der EDÖB mehrmals mit der Frage konfrontiert, ob es sich um eine Datenbekannt- gabe ins Ausland handelt, wenn Arbeitnehmende im Homeoffice im Ausland arbeiten – sei dies in einer Ferienresidenz oder im Falle von Grenzgängern, im eigenen Zuhause – und von dort auf den Firmenserver in der Schweiz zugreifen. Solange jedoch der Arbeitnehmende aus seinem Homeoffice im Ausland per Virtual Private Network (VPN) auf den Firmenserver zugreift und Personendaten nur in dem Umfang bearbeitet, wie er es normalerweise auch in den Büroräumlichkeiten des Unternehmens tun würde und insbesondere die Personendaten niemandem im Ausland zugänglich macht, handelt es sich nach Ansicht des EDÖB nicht um eine grenz- überschreitende Datenbekanntgabe im Sinne des DSG. Unabhängig davon, ob sich Mitarbeitende im Home office im Ausland oder in der Schweiz befinden, muss die Ver- traulichkeit von Personendaten in jedem Fall gewährleistet sein. Datenschutz 48 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
CORONA Datenschutzrechtliche Vorgaben zur Früherkennung von Corona im Arbeits- bereich Die Corona-Pandemie warf mit Blick auf die Arbeitsverhältnisse diverse Fragen zur Datenschutzkonformität auf, so etwa bezüglich der Zulässigkeit von Temperaturmessungen am Arbeitsplatz oder der internen Kommunikation über festgestellte Ansteckungen. Regelmäs- sig stellte sich dabei die Frage, ob die entsprechenden Massnahmen verhält- nismässig sind. Der Arbeitgeber darf im Rahmen des Arbeitsverhältnisses nur diejenigen Daten über die Arbeitnehmenden bearbeiten, die für die Durchführung des Arbeitsverhältnisses notwendig sind. Der Verhältnismässigkeits- grundsatz gemäss DSG muss dabei stets berücksichtigt werden. So muss jede Datenbearbeitung geeignet, notwendig und zumutbar sein, um das angestrebte Ziel – in diesem Fall die Vermeidung von Infektionen am Arbeitsplatz – zu erreichen. Mit Blick auf Temperaturmes- sungen am Arbeitsplatz stellte sich die Frage, ob diese Massnahme tat- sächlich geeignet ist, um die Anste- ckungen zu begrenzen. Einerseits kann eine erhöhte Temperatur ein Symptom einer anderen Krankheit sein, andererseits kann die Körper- temperatur durch die Einnahme von Medikamenten auf einfache Art und Weise künstlich gesenkt werden. Ferner weisen nicht alle Virusträger Fiebersymptome auf. So erscheint die flächende- ckende Temperaturmes- sung nur bedingt geeig- net, um Ansteckungen am Arbeitsplatz zu verhindern. Der Arbeitgeber musste sich alsdann fra- gen, ob es nicht andere Massnahmen gibt, die weniger einschneidend sind und die zum gleichen Ziel führen könnten. Der EDÖB hat in diesen Fällen jeweils vorgeschlagen, die Mitarbeitenden zu verpflichten, sich beim Auftreten der für eine Corona- Infektion typischen Symptome sofort bei einer Vertrauensperson im Betrieb zu melden. Der EDÖB hat sich bei der Beurteilung dieser Frage- stellung auch an den Empfehlungen der Swiss National COVID-19 Sci- ence Task Force orientiert, die von Temperaturmessungen als isolierte, präventive Massnahme ausdrücklich abgeraten hat. Regelmässig wurde auch die Frage aufgeworfen, wie ein Arbeitgeber einen Ansteckungsfall der übrigen Belegschaft mitteilen soll bzw. darf – dies mit dem Ziel, dass sich die- jenigen Mitarbeitenden, die mit der infizierten Person Kontakt hatten, in Quarantäne begeben können. Der Arbeitgeber hat gegenüber den Arbeitnehmenden eine Fürsorge- pflicht, welche die Bearbeitung die- ser Information gebietet, auch wenn die Kontaktrückverfolgung grund- sätzlich den zuständigen kantonalen Behörden (Kantonsarzt) obliegt und nicht den jeweiligen Arbeitgebern. Datenschutz 49 28. Tätigkeitsbericht 2020/21
1.7 Versicherungen Einführung des Hinweis- und Informationssystems HIS in der schweizerischen Versi- cherungswirtschaft Der EDÖB hat den Schweizerischen Versicherungsverband im Hinblick auf die Einführung des Hinweis- und Infor- mationssystems HIS beraten, einer Datenbank für teilnehmende Versiche- rungsgesellschaften zur Verhinderung von Versicherungsmissbrauch. Der EDÖB hat betont, dass sämtliche Datenbearbeitungen im Zusammen- hang mit dem Betrieb des HIS dem datenschutzrechtlichen Grundsatz der Verhältnismässigkeit genügen müssen. Die Beratung des EDÖB zum HIS wurde bereits im Berichtsjahr 2017/2018 initiiert (s. 25. TB, Kap. 1.6.2) und nun fortgesetzt. Die dem HIS angeschlossenen schweizerischen Versicherungsgesell- schaften melden darin Personen, bei denen anlässlich der Schadenerledi- gung eine reglementarisch definierte Unregelmässigkeit – zum Beispiel eine Anzeigepflichtverletzung nach Art. 6 des Versicherungsvertragsgeset- zes (VVG) – festgestellt worden ist. In zukünftigen Schadenfällen erscheint bei einer Abfrage der betreffenden Person im System ein entsprechen- der Hinweis auf diese Unregelmässig- keit, so dass die Versicherungsgesell- schaft ihre Leistungspflicht im neuen Schadenfall vertieft prüfen kann. Die Meldegründe sind versicherungs- vertrags- oder haftpflichtrechtlicher, nicht jedoch strafrechtlicher Natur. Ob eine Person im HIS gemeldet ist, kann eine Versicherungsgesellschaft nur abfragen, wenn die Person in einem neuen Schadenfall beteiligt ist, nicht aber ausserhalb eines Schadenbearbei- tungsprozesses, namentlich vor einem Vertragsabschluss mit der betreffenden Person. Im HIS eingetragen werden nicht nur die versicherte Person, son- dern auch allenfalls beteiligte andere Personen wie «Anstifter» oder «Gehil- fen». Der EDÖB hat im Rahmen seiner Beratung insbesondere betont, dass sämtliche Datenbearbeitungen im Zusammenhang mit dem HIS dem datenschutzrechtlichen Grundsatz der Verhältnismässigkeit zu genügen haben. So muss ein Eintrag in das HIS geeignet und erforderlich sein, um Versicherungsmissbrauch zu verhin- dern und aufzudecken, und die damit einhergehende Beeinträchtigung der Privatsphäre muss der betroffenen Per- son auch zugemutet werden können. Die Gründe für eine Meldung sind eng zu halten und reglementarisch klar zu definieren, und sie müssen transparent gemacht werden. Eine Meldung darf es der Versicherungsgesellschaft zwar ermöglichen, in einem neuen Scha- denfall das Leistungsbegehren der ver- sicherten Person vertieft zu prüfen, sie darf jedoch nicht zu einer Vorverur- teilung dieser Person führen. Sodann müssen Vorkehrungen getroffen wor- den sein, um die Richtigkeit der Per- sonendaten sicherzustellen. Versiche- rungsgesellschaften, die sich nicht an das Reglement halten und mehrfach ungerechtfertigte Eintragungen vor- nehmen, sollten eruiert und sanktio- niert werden können. Die Anregungen des EDÖB wurden mehrheitlich umgesetzt. Namentlich wurden die Gründe für eine Meldung im HIS weiter präzisiert. Letztlich wird sich in der Praxis weisen müssen, inwieweit das HIS zur Verhinderung von Versicherungsmissbrauch beitra- gen kann, wie gut sich die Versiche- rungsgesellschaften an die reglemen- tarischen Vorgaben halten und ob aus datenschutzrechtlicher Sicht künftig allenfalls Anpassungen notwendig werden. Datenschutz 50 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
Weitergabe von Mitglieder- daten an Sponsoren Der EDÖB fordert das Vorliegen einer gültigen Einwilligung für die rechtmäs- sige Datenweitergabe an Sponsoren. Vereinsmitglieder müssen der Daten- weitergabe widersprechen können, ohne dadurch einen unverhältnismäs- sigen Nachteil zu erleiden. Im Berichtsjahr erhielt der EDÖB ver- schiedene Anfragen betreffend die Weitergabe von Adressdaten von Ver- einsmitgliedern an Sponsoren für Werbezwecke. Es stellte sich die Frage, ob es zulässig ist, einen höheren Mit- gliederbeitrag von denjenigen Mitglie- dern zu erheben, die der Weitergabe ihrer Daten widersprochen haben. Wir haben die betroffe- nen Personen und Vereine darauf hingewiesen, dass von einem unverhältnismässigen Nachteil auszu- gehen ist, wenn die Erhöhung des Bei- trags so hoch ist, dass sich die betrof- fenen Personen praktisch gezwungen fühlen, der Datenbekanntgabe zuzu- stimmen. Bereits früher wies der EDÖB Sportverbände und Sponsoren auf ihre Verantwortung für die Recht- mässigkeit der durch sie durch- geführten Datenbearbeitungen hin (vgl. 2 2. Tätigkeitsbericht 201 4/2015, Ziff. 1.8.5). Vereine dürfen ohne die gültige Einwilligung der betroffenen Personen keine Daten an Sponsoren weitergeben. Damit eine Datenwei- tergabe rechtmässig erfolgen kann, müssen alle betroffenen Personen angemessen und vorgängig über die beabsichtigte Datenweitergabe (d.h. welche Daten an welche Empfänger für welchen Zweck weitergegeben wer- den sollen) informiert werden und dem zustimmen können. Wenn die Zustimmung in Form eines Opt-out erfolgt, ist es unerlässlich, dass die Mitglieder eine einfache Möglichkeit haben, der Weitergabe ihrer Daten zu widersprechen, ohne dadurch einen unverhältnismässigen Nachteil zu erleiden. Sponsoren müssen wiede- rum vertraglich sicherstellen, dass sie nur die Adressdaten von Vereins- mitgliedern bearbeiten, welche ihnen gestützt auf eine wirksame Einwilli- gung weitergegeben worden sind. Datenschutz 51 28. Tätigkeitsbericht 2020/21
Systematische Verwendung der AHV-Nummer durch die Behörden: Das Parlament sagt Ja zur Gesetzesänderung Am 18. Dezember 2020 stimmte das Parlament der Änderung des Bundes- gesetzes über die Alters- und Hinter- bliebenenversicherung zu. Sie ermäch- tigt einen breiten Kreis von berechtig- ten Behörden, Organisationen und Personen zur systematischen Verwen- dung der 13-stelligen AHV-Nummer AHVN13 als eindeutigen Identifikator ausserhalb des Sozialversicherungs- bereichs. Der EDÖB konnte für umfang- reiche Garantien im Bereich des Datenschutzes sorgen. Am 1. Februar 2017 gab der Bundesrat dem Eidgenössischen Departement des Innern (EDI) den Auftrag, eine Konsultation zur systematischen Ver- wendung der AHV-Nummer durch die Behörden von Bund, Kantonen und Gemeinden durchzuführen. Eine interne Arbeitsgruppe, zu der wir nicht eingeladen worden waren, sah zum damaligen Zeitpunkt keine besonderen Gefahren für den Daten- schutz. Dies obgleich sich sowohl der EDÖB als auch die kantonalen Beauf- tragten aus Datenschutzgründen bereits gegen den Grundsatz der syste- matischen Verwendung der AHVN13 ausgesprochen hatten. Gemeinsam mit dem Bundesamt für Justiz (BJ) gab der EDÖB deshalb bei Prof. David Basin, ordentlicher Professor für Informationssicherheit an der ETH Zürich, eine Risikofol- genabschätzung zur systematischen Verwendung der AHV-Nummer in Auftrag. Das Gutachten vom 27. Sep- tember 2017 kam zum Schluss, dass die systematische Verwendung der AHVN13 nicht unerhebliche Risiken für den Datenschutz mit sich bringt (s. 25. TB, Kap. 1.1.2). Der Experte emp- fahl die Verwendung von sektorspe- zifischen Nummern, hielt allerdings auch fest, dass die angestrebte Daten- schutzwirkung durch diese alleinige Massnahme nicht zu erzielen sei und weitere, aufwändige Massnahmen wie etwa die Neustrukturierung der Datenbankarchitekturen nötig wären. Im Anschluss an dieses Gutachten forderte die Kommission für Rechts- fragen des Nationalrats in einem Postulat vom 20. Oktober 2017 (17.3968) den Bundesrat auf, in einem Konzept darzu- legen, wie den Risiken begegnet wer- den kann, die mit der Verwendung der AHVN13 als einziger Personeniden- tifikationsnummer verbunden sind. Zudem sei unter Berücksichtigung der Beurteilung des EDÖB aufzuzeigen, wie der Datenschutz bei der Verwen- dung von Personenidentifikations- nummern durch Kantone, Gemeinden und Dritte verbessert werden könne. In seiner Stellungnahme vom 20. Dezember 2017 erklärte der Bundesrat, er sei sich der möglichen Risiken im Zusammenhang mit der Verwendung der AHVN13 bewusst, und er werde die Studie Basin und die Anliegen des Beauftragten in seiner Gesetzesvorlage berücksichtigen. Während der Ämtervorkonsultation zur Gesetzesvorlage konnte der Beauf- tragte mehrere Änderungsvorschläge erfolgreich einbringen, namentlich die Pflicht für sämtliche zur systema- tischen Verwendung der AHVN13 berechtigten Stellen, Risikoanalysen vorzunehmen sowie ein Verzeichnis über die Datenbanken zu führen, in denen die AHVN13 registriert ist. Wei- ter wurde das Erfordernis des Ausbaus der technischen und organisatorischen Massnahmen zur Minimierung der Datenschutzrisiken anerkannt und in die Gesetzesvorlage aufgenommen (s. 27. TB, Kap. 1.7.). Am 7. November 2018 eröffnete der Bundesrat die Vernehmlassung zur Änderung des Gesetzes über die AHV, welche die systematische Verwen- dung der AHVN13 vorsieht. Die daten- schutzbezogenen Forderungen des EDÖB wurden in der Vorlage berück- sichtigt. Eine Behörde kann Sachda- ten (Name, Vorname, Geburtsdatum usw.) mit der AHVN13 verbinden und deren Richtigkeit in der UPI-Daten- bank (Unique Person Identification), die von der Zentralen Ausgleichs- stelle (ZAS) verwaltet wird, über- prüfen. Sie hat jedoch weder Zugriff auf die übrigen Register, das heisst auf das zentrale Versichertenregister und auf das Leistungsregister der ZAS, noch auf die Register anderer Behör- den, in denen Sachdaten geführt wer- den. Folglich besteht für die Behörde keine Möglichkeit, Verknüpfungen zwischen verschiedenen Datenbanken herzustellen und – naturgemäss sehr präzise – Persönlichkeitsprofile auf der Grundlage der AHVN13 anzufertigen. Datenschutz 52 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
Es ist begrüssenswert, dass sämtliche Einheiten von Bund und Kantonen, aber auch die dezentralisierten Ein- heiten der Bundesverwaltung sowie die Personen und Organisationen des öffentlichen oder privaten Rechts, die nicht Verwaltungen angehören, wel- che über solche Datenbanken verfügen, zu periodischen Risikoanalysen ver- pflichtet sind, die insbesondere dem Risiko einer unerlaubten Zusammen- führung von Datenbanken Rechnung tragen. Gestützt auf diese Risikoana- lysen sind Massnahmen zur Wahrung der Sicherheit und des Datenschutzes, die der Risikolage angepasst sind und dem Stand der Technik entsprechen, zu treffen und umzusetzen. Die im Gesetzesentwurf aufgeführten Ein- heiten, welche die AHVN13 systema- tisch verwenden, sind im Hinblick auf die Risikoanalyse gehalten, Verzeich- nisse zu führen, in denen die entspre- chenden Datenbanken aufgelistet sind. Zur systematischen Verwendung der AHVN13 ermächtigt das Gesetz nebst den Bundes-, Kantons- und Gemein- deverwaltungen Bildungsinstitutio- nen, private Versicherungsunterneh- men (einschliesslich Anbieter von Zusatzversicherungen) sowie Orga- nisationen und Personen des öffent- lichen oder privaten Rechts, die nicht den bereits genannten Verwaltungen angehören und durch Bundesrecht, kantonales Recht oder kommunales Recht oder durch Vertrag mit Verwal- tungsaufgaben betraut sind, sofern das anwendbare Recht die systematische Verwendung der AHV-Nummer vor- sieht. Indes ist die Nutzung der AHVN zu rein privaten Zwecken ausgeschlos- sen. Dies gilt auch für den Fall, dass sich die betroffenen Personen mit der systematischen Verwendung ihrer AHVN13 durch Private einverstanden erklären. Zusätzlich zu den vor- genannten Massnahmen sieht das Gesetz erfreu- licherweise auch verbindliche tech- nische und organisatorische Mass- nahmen zur Vermeidung allfälliger missbräuchlicher Verwendungen der AHV-Nummer vor. Dazu gehört, dass der gesetzlich verankerte Grundsatz des Zugangs zu Datenbanken, welche die AHVN13 enthalten, auf Personen zu beschränken ist, die diese Nummer zur Erfüllung ihrer Aufgaben benö- tigen. Ferner müssen Übertragungen von Datensätzen, welche die AHVN13 enthalten und über ein öffentliches Netz erfolgen, verschlüsselt werden. Schliesslich werden die zur Verwen- dung der AHV-Nummer berechtigten Behörden, Organisationen und Perso- nen dazu verpflichtet, Vorkehrungen für den Fall eines unbefugten Zugriffs auf oder einer missbräuchlichen Nut- zung von Datenbanken zu treffen und ihre Mitarbeitenden hinsichtlich der gesetzeskonformen Nutzung der AHV-Nummer zu schulen. Verstösse gegen diese Pflichten können straf- rechtlich geahndet werden. Die Vorlage hat im Anschluss an das Vernehmlassungsverfahren keine wesentlichen Änderungen erfahren. Kurz vor der Schlussabstimmung in der Bundesversammlung erweiterte das Parlament im Dezember 2020 die Liste der Einheiten, die zur systema- tischen Verwendung der AHNV13 berechtigt sind und nahm darin Voll- zugsorgane auf, die Kontrollen im Zusammenhang mit allgemeinver- bindlichen Gesamtarbeitsverträgen vornehmen. Im Verlauf des Gesetzgebungs- prozesses wurde der Beauftragte von den Parlamentskommissionen viel- fach angehört und konnte auf diese Weise bewirken, dass der Datenschutz zu einem Kernthema der gesetzlichen Bestimmungen wurde. Die neuen Normen dürften nicht vor Ende 2021 in Kraft treten. Datenschutz 53 28. Tätigkeitsbericht 2020/21
1.8 Verkehr Starke Zunahme der Bürger- anfragen zu Drohnen Im laufenden Berichtsjahr haben die Anfragen von Privatpersonen rund um das Thema Drohnen stark zugenom- men. Dies betrifft sowohl Anfragen von Drohnenbesitzern als auch von Perso- nen, welche sich durch Drohnenauf- nahmen gestört fühlen. Drohnen scheinen im Privatbereich immer beliebter zu werden. Zumin- dest hat der EDÖB im laufenden Berichtsjahr eine starke Zunahme der Anfragen von Privatpersonen zu dieser Thematik verzeichnet. Einerseits han- delt es sich bei den Anfragenden um Bürgerinnen und Bürgern, welche mit- tels einer Drohne Foto- oder Videoauf- nahmen vornehmen und die (daten- schutz-)rechtlichen Voraussetzungen mit dem Beauftragten sowie anderen Behörden (namentlich dem Bundes- amt für Zivilluftfahrt BAZL) abklären möchten. Andererseits melden sich Privatpersonen, welche sich durch Drohnen, die in der Nähe ihres Wohn- und Arbeitsraums herumkreisen und möglicherweise Ton- und Bildaufnah- men vornehmen, gestört fühlen. Neben einer rechtlichen Beratung wünschen sich die Anfragenden oft- mals einen Entscheid des Beauftragten in ihrem Einzelfall. Der EDÖB weist in diesen Fällen darauf hin, dass die allgemeinen Datenschutzgrundsätze einzuhalten sind und private Daten- bearbeiter über einen Rechtfertigungs- grund verfügen müssen. Für Bewilli- gungen oder Verbote weist er auf die dafür zuständigen Behörden, insbe- sondere das BAZL sowie die kantona- len Zivil- und Strafgerichte. Weiterführende Informationen zur Videoüberwachung mit Drohnen durch Private finden sich auf unserer Website. Revision des Personen- beförderungsgesetzes: Diskriminierende Schranken für anonym Reisende im ÖV sind zu verhindern – Art. 19a Bearbeitung von Personendaten zur Personen- beförderung Der EDÖB hat sich im Rahmen der «Ämterkonsultation zur Botschaft zur Änderung des Personen- beförderungsgesetzes – zeitgemässe Grundlage für den ÖV» geäussert. Seit der Ämterkonsultation haben mehrere Sitzungen mit Vertretern des Bundesamts für Verkehr und des Bun- desamts für Justiz stattgefunden, in denen insbesondere erörtert wurde, inwieweit Transportunternehmen den datenschutzrechtlichen Bestimmun- gen für Private oder Behörden unter- stehen sollen. Der EDÖB wies insbesondere dar- auf hin, dass bei einer Unterstellung unter die für private Datenbearbei- ter geltenden Bestimmungen neben der Einwilligung alle weiteren Recht- fertigungsgründe wie die gesetzliche Grundlage oder ein überwiegendes Interesse zur Verfügung stehen. Auf Letzteres können sich die Transport- unternehmen beispielsweise beru- fen, wenn sie Daten in unmittelbarem Zusammenhang mit dem Abschluss oder Abwicklung eines Vertrags bear- beiten. Wenn sich die Datenbearbeitung auf eine Einwilligung stützt, sind die Anforderungen an deren Rechtsgül- tigkeit zu beachten: Eine Einwilligung muss freiwillig, nach angemessener und transparenter Information erfol- gen. Bei besonders schützenswerten Personendaten und Persönlichkeits- profilen müssen die Einwilligungen ausdrücklich erfolgen. Ferner darf die Personen- beförderung nicht von der Einwilligung in eine Datenbearbeitung zu anderen Zwecken abhängig gemacht werden. Für Datenbearbeitungen zu weiteren Zwecken müssen separate Einwilligungen der Betroffenen vor- liegen. Auch wo eine implizite Einwilli- gung genügt, muss vollständig infor- miert werden, sodass die Kundinnen und Kunden die Persönlichkeitsverlet- zungen erkennen und eine echte Wahl haben, sich entweder für das daten- sammelnde Angebot oder für ein alter- natives anonymes Angebot zu ver- gleichbaren Konditionen zu entschei- den. Wählen sie die datensammelnde Lösung, liegt darin eine implizite Ein- willigung vor. Der EDÖB hielt weiter fest, dass die anonymen Alternativ- angebote mit keinen abschreckenden resp. diskriminierenden finanziellen oder administrativen Schranken ver- Datenschutz 54 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
bunden sein dürfen. Da es bei einer vollen Überwälzung der Mehrkos- ten von Alternativangeboten unter Umständen zu einem faktischen Aus- schluss von Teilen der Bevölkerung kommen kann, verlangte der EDÖB, die betreffende Bestimmung im Perso- nenbeförderungsgesetz entsprechend zu ergänzen und die Begründung in der Botschaft zu präzisieren. Betreffend die Vertriebsinfrastruktur, resp. die zentrale Bestellplattform, die zurzeit noch nicht umgesetzt wird, machte der EDÖB auf die bereits heute geltenden allgemeinen Grundsätze sowie die nach dem totalrevidierten DSG neu zu beachtenden Anforde- rungen aufmerksam, die beim Auf- bau der digitalen Plattform zu berück- sichtigen sind, wie beispielsweise die datenschutzfreundliche technische Aus gestaltung und Voreinstellung («Privacy by Design» und «Privacy by Default») sowie der Schutz von persis- tenten Daten. Der EDÖB wird das Gesetzge- bungsverfahren weiter begleiten und darauf hinwirken, dass die daten- schutzrechtlichen Anforderungen berücksichtigt werden. Nutzung von Flugpassagier- daten zur Terrorismus- bekämpfung Das EJPD arbeitet aktuell ein Gesetzge- bungsprojekt aus, um die von den Flug- gesellschaften erhobenen Flugpassa- gierdaten für die Terrorismus- und Kriminalitätsbekämpfung in der Schweiz zu verwenden. Der EDÖB hat Einsitz im externen Fachausschuss dieses Projekts. Der Bundesrat hat sich am 12. Februar 2020 in einem Grundsatzentscheid für die Nutzung von Flugpassagierdaten (Passenger Name Records, kurz PNR) zur Terrorismus- und Kriminalitäts- bekämpfung in der Schweiz ausge- sprochen. Das EJPD wurde zu diesem Zweck beauftragt, die ersten Schritte zur Einführung eines nationalen PNR- Systems einzuleiten (s. 27. TB, Kap. 1.2, S. 27). Das EJPD ist nun angewie- sen, bis Mitte 2021 zusammen mit dem UV EK eine Vernehmlas- sungsvorlage zu einem Bundesgesetz über die Erhebung und Nutzung von PNR-Daten durch die Schweiz sowie ihre Übermittlung an Staaten auszuarbeiten, deren Daten- schutz und Datenbearbeitung dem Standard der EU-Richtlinie 2016/681 vom 27. April 2016 über die Verwen- dung von Fluggastdatensätzen zur Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminali- tät (EU-PNR-Richtlinie) entspricht. Weiter soll das EJPD mit dem EDA bis Mitte 2021 ein Mandat für Verhand- lungen mit der EU über ein Abkom- men zum PNR-Informationsaustausch zwischen den zuständigen Koordina- tionsstellen (Passenger Information Unit, PIU) in der Schweiz und den EU- Mitgliedstaaten vorbereiten. Der EDÖB hat Einsitz in den exter- nen Fachausschuss des PNR-Projek- tes genommen und begleitet dessen datenschutzrechtliche Ausgestaltung. Bei der Einrichtung eines PNR-Sys- tems dürfen die sich daraus ergeben- den Beschränkungen der Grundrechte nur soweit erfolgen, wie dies für den verfolgten Zweck nötig ist. Das Gleich- gewicht zwischen der Garantie der Grundrechte und den für die Gewähr- leistung der öffentlichen Sicherheit unerlässlichen Einschränkungen muss gewahrt bleiben. Dazu gehört nament- lich, dass die Bereitstellung der Daten nach dem «Push»-System erfolgt, wodurch ein direkter Zugriff auf die Daten durch ausländische Behörden verunmöglicht wird. Der Beauftragte setzt sich darüber hinaus gemäss sei- ner langjährigen Praxis dafür ein, dass ein Deliktskatalog erstellt wird. Dies entspricht dem Verhältnismässigkeits- prinzip und dient der Transparenz. Datenschutz 55 28. Tätigkeitsbericht 2020/21
Das Privacy Shield garantiert Betroffenen in der Schweiz kein adäquates Schutzniveau bei Datenbekanntgaben in die USA Der EDÖB evaluierte die Datenschutzkonformität des Pri- vacy Shield Regimes vor dem Hintergrund seiner jährlichen Überprüfungen sowie der jüngsten Rechtsprechung des Europäischen Gerichtshofs (EuGH) neu. Er kam zum Schluss, dass das Privacy Shield Regime Betroffenen in der Schweiz kein adäquates Schutzniveau bietet und fordert Schweizer Unternehmen auf, bei der Übermittlung von Daten in die USA auf der Grundlage von vertraglichen Garantien eine Risikobeurteilung im Einzelfall vorzuneh- men. Bereits anlässlich der 2018 und 2019 durchgeführten Überprüfungen des Swiss-US Privacy Shield Regimes hielt der EDÖB in seinen Evaluationsberichten fest, dass das Privacy Shield Regime – trotz Verbesserungen seit dessen Inkraftsetzung – den Betroffenen bei Datenzu- griffen durch US-Behörden keine genügenden durchsetz- baren Rechtsansprüche bietet (vgl. auch 27. TB, S. 34 und 26. TB, Kap. 1.2). Insbesondere bemängelte er, dass sich die Wirksamkeit des sog. Ombudsperson-Mechanismus, der einen indirekt durchsetzbaren Rechtsbehelf garan- tieren soll, mangels Transparenz nicht beurteilen lässt. Auch sind die Entscheidkompetenzen der Ombudsperson gegenüber den US-Geheimdiensten sowie ihre tatsäch- liche Unabhängigkeit unbelegt. Dieser Mangel an Trans- parenz und das daraus abzuleitende Fehlen von Garantien bei Eingriffen der US-Behörden in die Privatsphäre von Personen in der Schweiz erachtete der EDÖB als proble- matisch. Am 16. Juli 2020 erging das Urteil des EuGH in der Rechtssache C311/18 Data Protection Commissioner v. Facebook Ireland Ltd und Maximilian Schrems (sog. Schrems II Urteil), das den Angemessenheitsbeschluss 2016/1250 der EU-Kommission betreffend die unter dem Privacy Shield Regime zertifizierten US-Unternehmen für ungültig erklärte. Zudem stellte der EuGH klar, dass der Einsatz von Standardvertragsklauseln (SCC) für die USA und für andere Drittländer ohne angemessenen Datenschutz einer Einzelfallprüfung ihrer Eignung und gegebenenfalls einer Ergänzung bedürfe. Dieses Urteil ist für die Schweiz nicht verbindlich. Nach DSGVO werden das Datenschutzrecht der EU und die darauf gestützte Rechtsprechung des EuGH jedoch von den Behörden und Gerichten der EU resp. des EW R auch gegenüber Schwei- zer Unternehmen angewendet, wenn letztere in der Weise Daten bearbeiten, dass sie unter den Anwendungs- bereich der DSGVO fallen. Der EDÖB kam nach vertiefter Analyse des EuGH-Urteils und der Schweizer Rechtslage in seiner Stellungnahme vom 8. September 2020 (s. Medienmitteilung) zum Schluss, dass das Privacy Shield Regime trotz der Gewährung von besonderen Schutzrechten auch für Betroffene in der Schweiz für Datenbekanntgaben von der Schweiz an die USA kein adäquates Schutzniveau gemäss DSG bietet. Aufgrund dieser auf das schwei- zerische Recht gestützten Einschätzung hat der EDÖB in seiner Staatenliste den Verweis auf einen «angemessenen Datenschutz unter bestimm- ten Bedingungen» für die USA gestrichen. Diese Liste hat indikativen Charakter. Zurzeit liegt in der Schweiz keine mit dem erwähnten Urteil des EuGH vergleichbare Judikatur vor. Eine abweichende Beurteilung durch die schweizerischen Gerichte bleibt vorbehalten. Die neben dem Privacy Shield Regime für Datenbe- kanntgaben in die USA und andere Drittländer ohne Angemessenheitsbeschluss verwendeten vertraglichen Garantien, wie beispielsweise die auch in der Schweiz häufig verwendeten Standardvertragsklauseln (SCC) der EU oder wie sog. «Binding Corporate Rules» vermögen den Zugriff auf Personendaten durch ausländische Behör- den nicht zu verhindern, wenn das öffentliche Recht des Importstaates vorgeht und den behördlichen Zugriff auf die transferierten Personendaten ohne hinreichende Transparenz und unabhängigen Rechtsschutz der Betrof- fenen erlaubt. 56 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Schwerpunkt II
In seiner vorerwähnten Stellungnahme vom 8. Septem- ber 2020 sensibilisierte der EDÖB die Wirtschaftskreise für dieses Problem und zeigte erste beschränkte Lösungs- möglichkeiten wie eigene Verschlüsselung oder vollstän- dige Anonymisierung auf. Der EDÖB fordert die Unternehmen auf, bei der Über- mittlung von Daten in die USA auf der Grundlage von vertraglichen Garantien eine Risikobeurteilung im Ein- zelfall vorzunehmen. Nur auf der Grundlage einer solchen Risikobeurteilung kann ein Unternehmen beurteilen, ob eine Datenübermittlung in die USA datenschutzkonform ist, und dies gegebenenfalls dem EDÖB auch nachvoll- ziehbar belegen. Die EU erarbeitet zurzeit neue Standard- vertragsklauseln. Der EDÖB verfolgt diese Bemühungen und wird sich zu gegebener Zeit dazu äussern. 57 28. Tätigkeitsbericht 2020/21 Schwerpunkt II
1.9 International Einführung Die internationale Zusammenarbeit wurde im vergangenen Geschäftsjahr von der COVID-19-Krise geprägt. So konnten praktisch keine Konferen- zen vor Ort stattfinden. Sie mussten entweder abgesagt oder per Video- konferenz durchgeführt werden, was vor allem zu Beginn mit technischen Herausforderungen verbunden war. An den durchgeführten Videokon- ferenzen nahmen aufgrund der weg- fallenden Reisezeiten und Kosten zum Teil mehr Datenschutzbehör- den und Personen pro Behörde als sonst üblich teil. Dagegen konnten die für die Zusammenarbeit wichtigen informellen Gespräche und Kontakte kaum durchgeführt werden. Die Krise machte deutlich, wie wichtig ein Aus- tausch zwischen den Datenschutzbe- hörden auf internationaler Ebene ist. Die grenzüberschreitende Über- mittlung von Daten nahm – nicht zuletzt auch wegen der Pandemie – weiter zu; sei es durch die direkte Bekanntgabe von Personendaten ins Ausland oder durch die Speicherung von Daten in Clouds und auf Servern im Ausland. Für die betroffenen Per- sonen ist oft kaum abschätzbar, wel- che Unternehmen und Behörden im Ausland ihre Daten bearbeiten. Umso wichtiger ist es daher, auf eine verbes- serte Durchsetzung des Datenschutzes auf internationaler Ebene hinzuwir- ken, die internationale Zusammen- arbeit unter den Datenschutzbehörden zu fördern und auf ein gemeinsames Verständnis und eine einheitliche Aus- legung von internationalen Normen und Vorgaben hinzuwirken. International abgestimmte Vorga- ben ermöglichen es, den betroffenen Personen unabhängig ihres Wohn- ortes die gleichen Rechte zu gewähr- leisten. Auch müssen sich die Daten- schutzbehörden auf internationaler Ebene untereinander beraten, wie sie technisch und bei der praktischen Ausgestaltung ihrer Beratungs- und Aufsichtstätigkeit auf die globalen datenschutzrechtlichen Herausforde- rungen wie Big Data, das Internet der Dinge und die künstliche Intelligenz reagieren. Der EDÖB ist auf internationaler Ebene weiterhin präsent und bringt sich in verschiedenen internationa- len Gremien aktiv ein. Dazu gehören insbesondere der Europarat, die euro- päische und die internationale Kon- ferenz der Datenschutzbeauftragten, die französischsprachige Vereinigung der Datenschutzbehörden, die OECD sowie die Zusammenarbeit und Koor- dination der Datenschutzbehörden der Schengen Mitgliedstaaten und der Austausch mit dem Europäischen Datenschutzausschuss (EDSA). Datenschutz 58 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
Europarat Der Beratende Ausschuss zum Überein- kommen 108 hielt sechs Remotesitzun- gen zu verschiedenen Themen ab. Er verabschiedete Leitlinien über den Schutz der personenbezo genen Daten von Kindern im Bildungskontext sowie über die Gesichts erkennung. Zudem wählte die Vollversammlung das Büro. Anstelle der 40. Vollversammlung des Ausschusses, die pandemiebedingt verschoben werden musste, führten das Büro des Beratenden Ausschus- ses zum Übereinkommen 108 und der Organisationsbereich Datenschutz an den betreffenden Daten öffentli- che Remotesitzungen durch. Damit gewährten sie nicht nur den Delegati- onen, die üblicherweise an den Sitzun- gen in Strassburg teilnehmen, sondern auch einem breiteren Publikum Ein- blick in die Tätigkeiten des Ausschus- ses. Am 1., 2. und 3. Juli fanden sechs erkenntnisreiche Sitzungen zu spezifi- schen Themen statt: • Sitzung 1: Wie kann dafür gesorgt werden, dass sich Länder, die sich dem Übereinkommen 108+ ver- pflichtet haben, an die Bestimmun- gen des Übereinkommens halten? Weshalb braucht es einen Follow- Up- und Evaluationsmechanismus, und wie ist dieser zu gestalten? • Sitzung 2: Wie ist mit den neuesten Herausforderungen des Profiling im Zeitalter der künstlichen Intelligenz um zugehen? • Sitzung 3: Was bedeutet das Recht auf den Schutz personenbezoge- ner Daten im Erziehungs- und Bildungs kontext? Was müssen Schulen tun, und was dürfen sie nicht mehr tun? • Sitzung 4: Werden Projektvorha- ben auf dem Gebiet der künstlichen Intelligenz von Beginn weg nach den Grundsätzen des Datenschutzes entwickelt («privacy by design»)? • Sitzung 5: Die Spiegel unserer See- len: Lehren aus Cicero ziehen und mit den Risiken der Gesichtserken- nung umgehen. • Sitzung 6: Politische Kampagnen und Wahlkampagnen: Weshalb Datenschutz so wichtig ist. Der Beratende Ausschuss konnte seine ursprünglich für den 1. bis 3. Juli anbe- raumte Vollversammlung schliesslich vom 18. bis 20. November 2020 über Videokonferenz abhalten und eine revidierte Fassung der Leit linien über den Schutz der personen bezogenen Daten von Kindern im Bildungskon- text verabschieden. Diese enthalten eine Zusammenstellung der Grund- rechte von Kindern im Rahmen von Erziehung und Bildung und sollen Gesetzgeber und politische Entschei- dungsträger, aber auch Datenschutzbe- auftragte sowie Vertreter der Industrie bei der Achtung dieser Rechte unter- stützen. Weiter wählte der Be ratende Ausschuss sein Büro und nahm unter anderem eine Vertreterin des EDÖB, Frau Caroline Gloor Scheidegger, Lei- terin internationale Angelegenheiten, in diesen Vorstand auf. Der Ausschuss zum Überein- kommen 108 genehmigte zudem auf dem Schriftweg Leitlinien über die Gesichtserkennung. Diese enthalten Orientierungshilfen für Gesetzgeber und Entscheidungsträger und verwei- sen namentlich auf das Erfordernis der Einbindung von Aufsichtsbehörden. Sie sollen auch richtungsweisend für Entwickler, Hersteller und Dienstan- bieter sein, indem sie unter anderem festhalten, dass die Zuverlässigkeit der verwendeten Tools von der Effizienz des Algorithmus abhängig ist. Die dritte Kategorie von Orientierungs- hilfen spricht Benutzereinheiten von Gesichtserkennungs-Technologien an und erinnert sie an ihre Verantwor- tung: Sie sollen Datenschutz-Folgen- abschätzungen vornehmen und den Datenschutz von Beginn weg gewähr- leisten («privacy by design»). Schliess- lich erinnern die Leitlinien daran, dass sämtliche einschlägigen Rechte der betroffenen Personen gewahrt bleiben, namentlich das Recht auf Information, das Auskunftsrecht, das Recht auf Information bei automatisierten Ein- zelfallentscheidungen, das Widerrufs- recht und das Berichtigungsrecht. Datenschutz 59 28. Tätigkeitsbericht 2020/21
Global Privacy Assembly Die 42. Internationale Konferenz der Datenschutzbeauftragten fand unter ihrer neuen Bezeichnung «Global Privacy Assembly (GPA)» vom 13. bis 15. Oktober statt und wurde erstmals online durchgeführt. Zu Beginn der 42. geschlossenen Sit- zung der Global Privacy Assembly würdigte die Datenschutzbeauftragte des Vereinigten Königreichs Eliza- beth Denham die Bemühungen, die von der Internationalen Konferenz der Datenschutzbeauftragten in den zurück liegenden Jahren mit dem Ziel unternommen wurden, die Konferenz zu modernisieren, ihre strategische Orientierung zu definieren sowie ihre Kapazitäten auszubauen, um 2020 die COVID-19-bedingten Herausforde- rungen meistern zu können. Die diesjährige Veranstaltung war in drei Online-Sessionen mit jeweils anschliessender Diskussion gegliedert. Über 100 Mitglieder nahmen an die- sem wichtigen Jahrestreffen teil. Am ersten Konferenztag stand die Beurteilung der Fortschritte bei der Umsetzung des strategischen Plans, der an der 41. Internationalen Kon- ferenz im vergangenen Jahr in Tirana verabschiedet wurde, im Vordergrund der Beratungen. Insbesondere ging es hierbei um die Prüfung der wichtigs- ten Ergebnisse hinsichtlich der drei strategischen Prioritäten, die definiert worden waren: weltweiter Ausbau des Schutzes der Privatsphäre im digitalen Zeitalter, Bedeutung und Einfluss der GPA auf dem internationalen Parkett maximieren sowie Erweiterung ihrer Kapazitäten. Der zweite Konferenztag war den COVID-19-bedingten Herausforde- rungen gewidmet. In diesem Zusam- menhang wurde der Arbeitsgruppe COVID-19 der GPA Anerkennung für ihren herausragenden Einsatz und Bei- trag ausgesprochen. Die Tätigkeiten der Arbeitsgruppe wurden diskutiert, und die spezifischen Ergebnisse ihrer Arbeiten wurden vorgestellt. Dazu gehört das Kompendium der besten Praktiken bei der Bewältigung von COVID-19, das beispielsweise das Thema der Kontaktverfolgung be handelt. Der dritte Tag begann mit einer Aussprache über die Zukunft der Kon- ferenz. Anschliessend wurden die Ergebnisse der Abstimmung der Mit- glieder über die Berichte der Arbeits- gruppen, den Bericht des Exekutiv- rats für 2020 und den Bericht über die 41. Internationale Konferenz 2019 bekanntgegeben: Sämtliche Berichte wurden angenommen. Am 15. Oktober 2020 wurden fünf Resolutionen verabschiedet: • Resolution zur Gesichts erkennungs- Technologie; • Resolution zur Rolle des Schutzes personenbezogener Daten in der internationalen Entwicklungshilfe, in der internationalen humanitären Hilfe sowie bei der Krisenbewälti- gung; • Resolution zur Schärfung des Ver- antwortungsbewusstseins auf dem Gebiet der Entwicklung und des Einsatzes der künstlichen Intelligenz; • Resolution zu den datenschutz- bezogenen Herausforderungen im Zusammenhang mit der COVID-19- Pandemie; • Resolution betreffend gemeinsame Erklärungen zu neu auftretenden internationalen Fragen. OECD: Arbeitsgruppe «Data Governance and Privacy in the Digital Economy» Die Arbeiten in der Arbeitsgruppe wurden auch in diesem Berichtsjahr fortgesetzt, wobei das Meeting im November 2020 nur virtuell abgehal- ten werden konnte. Zwei Themenbe- reiche sind in dieser Hinsicht hervor- zuheben: Zum einen die «Datenpor- tabilität», wo das Sekretariat einen Zwischenstand für einen möglichen Bericht präsentierte, und zum ande- ren der Bericht des Sekretariats über die Umsetzung der «OECD Privacy Guidelines». Datenschutz 60 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
Brexit – Angemessenheit des Datenschutzes Das Vereinigte Königreich bleibt weiter- hin auf der Liste der Staaten, deren Gesetzgebung einen angemessenen Datenschutz gemessen am Schweizer Datenschutzgesetz gewährleisten. Umgekehrt anerkennt das Vereinigte Königreich auch die Schweiz als Land mit gleichwertigem Datenschutz an. Wie bereits im letzten Tätigkeits- bericht ausgeführt (s. 27. TB, Kap. 1.9), trat das Vereinigte Königreich nach einigen Verzögerungen am 1. Feb- ruar 2020 aus der EU (Brexit) aus. Es stellte sich damit die gegenseitige Ange messenheitsfrage. Dazu führte der EDÖB zahlreiche Gespräche mit Behörden des Bundes und mit Ver- tretern des Vereinigten Königreichs. Diese Gespräche wurden während des laufenden Geschäftsjahres regel- mässig weitergeführt. Parallel dazu fanden Gespräche mit Vertretern der EU-Kommission statt, weil lange unklar war, ob die EU dem Vereinigten Königreich ab dem Jahr 2021 die An - gemessenheit noch gewähren würde. Andererseits anerkannte das Verei- nigte Königreich auf gesetzlicher Stufe alle Länder als gleichwertig, welche am 31. Dezember 2020 auch von der EU als gleichwertig anerkannt waren. Weil der Kommissionsent- scheid bezüglich der Schweiz Ende 2020 noch ausstand, bedeutete dies aber auch, dass die Schweiz zu die- sem Zeitpunkt von der EU anerkannt blieb – und damit nach dem Recht des Vereinigten Königreichs auto- matisch anerkannt sein würde und zwar voraussichtlich für die nächs- ten vier Jahre. Dies bedeutete indes nicht, dass die Schweiz automatisch Gegenrecht gewähren würde. Das Datenschutzrecht im Vereinigten Königreich wurde aber in der Berichts- periode nicht wesentlich verän- dert, sodass das Land weiterhin auf der Liste der Staaten verbleibt, deren Gesetz gebung einen angemesse- nen Datenschutz nach Art. 6. Abs. 1 DSG gewährleisten. Eine Überprü- fung bleibt jedoch vorbehalten und hängt davon ab, wie die Datenschutz- gesetzgebung im Vereinigten König- reich in Zukunft aussehen wird. Datenschutz 61 28. Tätigkeitsbericht 2020/21
Arbeitsgruppe über die Rolle des Schutzes personenbezo- gener Daten in der interna- tionalen Entwicklungshilfe, in der internationalen humanitären Hilfe sowie bei der Krisenbewältigung Der EDÖB reichte an der 42. Internatio- nalen Konferenz der Datenschutzbe- auftragten (GPA) eine Resolution zur Rolle des Schutzes personenbezogener Daten in der internationalen Entwick- lungshilfe, in der internationalen humanitären Hilfe sowie bei der Krisen- bewältigung ein. Sie wurde dank der Unterstützung von 15 Datenschutzbe- hörden einstimmig angenommen. Mit dieser Resolution soll die Position der GPA-Mitglieder zu mehreren Zie- len der politischen Strategie der Kon- ferenz definiert werden. Konkret geht es um die Zielsetzungen betreffend den weltweiten Ausbau des Schut- zes der Privatsphäre und die Intensi- vierung der Beziehungen zu anderen internationalen Gremien und Netz- werken, die sich für Datenschutznor- men im Bereich der Privatsphäre ein- setzen. Im Anschluss an die Verabschie- dung der Resolution wurde die Ein- setzung einer Arbeitsgruppe über die Rolle des Schutzes personenbezoge- ner Daten in der internationalen Ent- wicklungshilfe, in der internationa- len humanitären Hilfe sowie bei der Krisenbewältigung beschlossen. Die Arbeitsgruppe hat sich zwei Schwer- punktziele gesetzt: • Auf Zusammenarbeitsgesuche mass- geblicher Akteure eingehen, um Leitlinien zu entwickeln sowie um beste Praktiken auf dem Gebiet des Schutzes der Privatsphäre auszutau- schen. Dabei soll auf die spezifischen Gegebenheiten der internationalen Entwicklungshilfe und der inter- nationalen humanitären Hilfe ein- gegangen und das Anliegen berück- sichtigt werden, ihnen Erleichterun- gen in ihrem Tätigkeitsbereich zu ermöglichen. • Entwicklung einer Strategie der Anwaltschaft und der Mobilisierung bei den massgeblichen Akteuren. Der EDÖB übernahm die Koordinie- rung der Arbeitsgruppe, an der Daten- schutzbehörden aus der ganzen Welt sowie das IKRK und die Internationale Organisation für Migration mitwirken. Datenschutz 62 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Europäische Datenschutz- Grundverordnung Die neue europäische Datenschutz- Grundverordnung (DSGVO) trat am 25. Mai 2018 in Kraft und gilt unter bestimmten Voraussetzungen auch für Datenverarbeitungen durch Unterneh- men aus Drittländern. An einem Treffen in der Schweiz wurden zahlreiche nach wie vor offene Fragen mit den Daten- schutzbehörden von Albanien, Jersey und Monaco erörtert. Die europäische Datenschutz-Grund- verordnung (DSGVO) wurde am 27. April 2016 verabschiedet und ist in sämtlichen Mitgliedstaaten der Euro- päischen Union seit dem 25. Mai 2018 direkt anwendbar. Ihr Geltungsbereich erstreckt sich jedoch weit über das Gebiet der EU hinaus. Wenn nämlich ein für die Datenbearbeitung Verant- wortlicher (oder ein Subunterneh- mer) Waren oder Dienstleistungen Personen in der Europäischen Union anbietet bzw. das Verhalten dieser Personen beobachtet, namentlich um ihre Präferenzen zu analysieren, gel- ten die Vorgaben der DSGVO für ihn auch dann, wenn er nicht in der Union niedergelassen ist. Die französisch- sprachigen europäischen Behörden der Nicht-Mitgliedstaaten der Euro- päischen Union stehen vor den glei- chen Herausforderungen. Nach einer ersten erfolgreichen Gesprächsrunde 2018 in Monaco organisierte der EDÖB im Februar 2020 ein Treffen in Bern, an dem sich die Behörden über das Inkrafttreten der DSGVO und über die diesbezüglichen Erfahrungen aus-
tauschen konnten, um Fragen, die an sie gerichtet wurden, im Hinblick auf eine koordinierte Antwort gemeinsam anzugehen. Etwas über ein Jahr nach Inkraft- treten der DSGVO veröffentlichte der Europäische Datenschutzausschuss (EDSA), der als unabhängiges euro- päisches Organ an der einheitlichen Einhaltung der Datenschutzvorschrif- ten in der Europäischen Union mit- wirkt, seine Leitlinien zum Anwen- dungsbereich der DSGVO. Der EDÖB hatte sich zusammen mit der mone- gassischen Behörde (Commission de contrôle des informations nominati- ves, CCIN) an der öffentlichen Kon- sultation beteiligt, die den Leitlinien vorausging. Dies um eine Reihe von Aspekten dieser Thematik zu klären, die für Drittländer, welche in das EU- Gefüge eingebunden sind, eminent wichtig sind. Die neueste Fassung der Leitlinien wurde am Treffen in Bern ebenfalls analysiert und diskutiert, wobei festgestellt werden musste, dass eine Reihe von Fragen nach wie vor unbeantwortet ist. Aufsichtskoordinations- gruppen über die Informationssysteme SIS II, VIS und Eurodac Im Berichtsjahr führten die Aufsichts- koordinationsgruppen ihre beiden Sit- zungen per Videokonferenz durch. Dis- kutiert wurde unter anderem, wie der Schwierigkeit, jeweils genügend Exper- tinnen und Experten aus den Daten- schutzbehörden für die Schengen Eva- luationen zu finden, begegnet werden kann. Auch in diesem Jahr nahm der EDÖB als nationale Aufsichtsbehörde an den Sitzungen der drei Aufsichtskoordi- nationsgruppen über die EU-Infor- mationssysteme SIS II, VIS (Vorsitz EDÖB) und Eurodac teil. Diese fan- den am 17./18 Juni 2020 sowie 25./26. November 2020 per Videokonferenz statt. Vertreten waren der europäische Datenschutzbeauftragte (EDSB) sowie die nationalen Datenschutzbehörden der Mitgliedstaaten. Die Aufsichtskoordinationsgrup- pen SIS und VIS beschäftigten sich unter anderem mit der Frage, weshalb es für die von der EU-Kommission durchgeführte Schengen Evaluation in Sachen Datenschutz schwierig ist, genügend Fachpersonen aus den ver- schiedenen Datenschutzbehörden aufzubieten. Die EU Kommission, die zurzeit das Verfahren der Schengen Evaluationen neu prüft, organisierte im Januar 2021 zu diesem Thema eine Videokonferenz mit den Daten- schutzbehörden der Schengen Mit- gliedstaaten und dem Europäischen Datenschutzbeauftragten. Es fand ein konstruktiver Austausch über mög- liche Ursachen und Verbesserungs- möglichkeiten statt. Auf beiden Seiten wird die Frage der Bildung eines Pools mit Datenschutzexpertinnen und -experten für die Schengen Evaluatio- nen geprüft. Weiter wird die EU Kom- mission nach Möglichkeit eine Weiter- bildung für künftige Fachpersonen für Datenschutz-Evaluationen einführen. Die Aufsichtskoordinationsgruppe VIS hat an ihrer Sitzung vom 18. Juni die Vertreterin des Beauftragten als Vorsitzende der Koordinationsgruppe für weitere zwei Jahre bestätigt. Datenschutz 63 28. Tätigkeitsbericht 2020/21
Öffentlichkeitsprinzip
2.1 Allgemein Die Corona-Pandemie hat auch die Umsetzung des Öffentlichkeits- prinzips in der Bundesverwaltung geprägt. Der Anspruch der Medien und der Gesellschaft nach spezifischen und transparenten Informationen zu Dokumenten mit Corona-Bezug war hoch. Dementsprechend sahen sich einzelne Behörden nicht nur mit einer grossen Anzahl von Zugangsgesuchen, sondern mit z.T. auch umfangreichen und komplexen Anfragen konfron- tiert, die oftmals eine amts- oder gar departementsübergreifende Koor- dination notwendig machten. Ins- gesamt zeigte sich, dass die Umset- zung des Öffentlichkeitsprinzips in Pandemiezeiten anspruchsvoll und herausfordernd sein kann. Während sich die unter Zeitdruck handelnde Verwaltung hohen Erwartungen und nachträglicher Kritik der Öffentlich- keit aus gesetzt sieht, verlangen die Gesuchstellenden einen raschen und umfassenden Zugang, um die teilweise auf notrechtlichen Kompetenzen beruhenden Handlungen des Staates zur Pandemiebekämpfung nachvoll- ziehen zu können. Gleichwohl zeigen die Statistiken, dass es den Bundes- behörden – trotz des im Pandemiejahr bisweilen dringlichen Tagesgeschäfts – in der Mehrheit aller Fälle gelang, das Öffentlichkeitsprinzip in der Bundes- verwaltung mit Erfolg umzusetzen. Aus den nachfolgend aufgeführten Zahlen (s. Kap. 2.2) ist weiter zu ent- nehmen, dass die in den letzten Jahren festgestellten Tendenzen – eine stetige Zunahme der Zugangsgesuche und ein überwiegend konstant hoher Anteil an Fällen, in denen der Zugang voll- ständig gewährt wird – auch für das Berichtsjahr bestätigt werden. Das vom Beauftragten im Jahr 2017 eingeführte Primat der mündlichen Schlichtungsverhandlungen hat sich im 2020 erneut bewährt. Dass dies die Zahlen auf den ersten Blick nur bedingt zu bestätigen scheinen, liegt an den durch die Pandemie verursach- ten Anpassungen des Schlichtungs- verfahrens. Als der Bundesrat an seiner Sitzung vom 16. März 2020 angesichts der weiteren Ausbreitung des Corona- Virus die Home-Office-Pflicht einge- führt und Menschenansammlungen von mehr als fünf Personen verboten hatte, sah sich der Beauftragte aus Gründen der öffentlichen Gesund- heit sowie zum Schutz der Gesundheit der Beteiligten gezwungen, während der ersten Ausbreitung der Pandemie (zwischen März und Juni 2020) wie dann auch während der zweiten Welle auf die Durchführung von Schlich- tungssitzungen zu verzichten. Aus den genannten Gründen mussten für zahlreiche Fälle schrift- liche Schlichtungsverfahren durch- geführt werden. Dieses Vorgehen führte im Berichtsjahr einerseits zu einem geringeren Anteil von einver- nehmlichen Lösungen und anderseits zu einer längeren Bearbeitungsdauer der Schlichtungsverfahren und einem damit verbundenen Rückstau bei der Erledigung von Verfahren. Wie nach- teilig sich die schriftliche Durchfüh- rung der Schlichtungsverfahren auf Bearbeitungsdauer und Verfahrenser- gebnisse ausgewirkt hat, wird in Kapi- tel 2.3 präzisiert. Die Einhaltung der gesetzlichen Frist von 30 Tagen für die Durch- führung von Schlichtungsverfahren ist nicht nur in Pandemiezeiten her- ausfordernd. Die Erfahrung zeigt, dass diese Frist bei komplexen Drei- oder Mehrparteienverfahren betreffend Zugangsgesuche zu Unterlagen mit geschäftsgeheimnisrelevanten Infor- mationen oder mit Bezug zum Per- sönlichkeitsschutz von Privatpersonen häufig überschritten wird. Für die Durchführung des Schlich- tungsverfahrens müssen die Behör- den dem Beauftragten die von den Gesuchstellenden nachgefragten Dokumente zustellen – im Gegenzug unterliegt der Beauftragte dem Amts- geheimnis im gleichen Ausmass wie die Behörden, in deren Dokumente Einsicht verlangt wird. In der Pra- xis lassen die Behörden die Unterla- gen dem Beauftragten in aller Regel ohne weiteres zukommen. Nicht in jedem Fall gestaltet sich die Zusam- menarbeit indes optimal. Dies zeigt exemplarisch ein Fall, indem es um die Mitwirkungspflicht im Schlich- tungsverfahren ging. Aufgrund des vom Öffentlichkeitsgesetz eingeführ- ten Prinzips der Öffentlichkeit der Bundesverwaltung obliegt es nicht 66 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Öffentlichkeitsprinzip
mehr in deren freien Ermessen, ob sie Informationen und amtliche Doku- mente zugänglich machen will oder nicht. Die Behörden sind im Schlich- tungsverfahren zur Mitwirkung ver- pflichtet und müssen dem Beauftrag- ten alle Dokumente, die Gegenstand eines Gesuches sind, von Gesetzes wegen zustellen. Im angesprochenen Fall weigerte sich die Behörde, dem Beauftragten die streitgegenständ- lichen Dokumente zuzustellen. Sie argumentierte, diese fielen nicht in den Anwendungsbereich des Öffent- lichkeitsgesetzes. Indem die beweis- beschwerte Behörde die Anwendbar- keit des Öffentlichkeitsgesetzes nach eigenem Ermessen abschliessend ver- neinte, sah sich der Beauftragte ausser Stande, die Dokumentenqualität nach Art. 5 BGÖ zu prüfen und das von der Behörde geltend gemachte Vorliegen von Nichteintretens- und Ausnahme- gründen zu beurteilen. Demzufolge sah sich der Beauftragte gezwungen, den vollständigen Zugang zu den ver- langten Dokumenten zu empfehlen, weil es der beweispflichtigen Behörde zum eigenen Nachteil gereichen muss, wenn sie nicht bereit ist, die gesetzli- che Vermutung des Zugangs zu amtli- chen Dokumenten durch deren Offen- legung gegenüber der Schlichtungs- behörde zu widerlegen (s. Empfehlung vom 28. Januar 2021). Wie schon in den Vorperioden sind Bestrebungen der Verwaltung festzustellen, das Öffentlichkeits- prinzip durch Einführung von Ausnahmen in neuen Gesetzesbe- stimmungen weiter einzuschränken. Im Berichtsjahr war dies der Fall beim COVID-19-Solidarbürgschaftsgesetz (s. Kap. 2. 4). 67 28. Tätigkeitsbericht 2020/21 Öffentlichkeitsprinzip
2.2 Zugangsgesuche – erneute Zunahme im 2020 Gemäss den Zahlen, die von den Bun- desbehörden gemeldet wurden, gin- gen im Berichtsjahr vom 1. Januar bis 31. Dezember 2020 gesamthaft 1193 Zugangsgesuche ein. 2019 waren es noch 916 Gesuche. Dies entspricht einer Steigerung gegenüber dem Vor- jahr um 30 Prozent. Eingerechnet sind auch die Zugangsgesuche der Bundes- anwaltschaft (13 Gesuche) und der Par- lamentsdienste (6). Einer der Gründe für die Zunahme ist im ausgeprägten Bedürfnis zu finden, das staatliche Handeln zur Bekämpfung der Corona-Pandemie nachvollziehbar zu machen. Gemäss Angaben der Bundesbehörden wiesen 308 von den insgesamt 1193 Zugangs- gesuchen (26 Prozent) einen Bezug zur Thematik Corona auf. Die Behörden waren in der Lage, die Zugangsgesuche für «Corona»-Dokumente statistisch zu erfassen. Diese Statistik ist sepa- rat aufgeführt (s. Kap. 3.3). Dabei zeigt sich, dass der vollständige Zugang in 121 Fällen (39 Prozent) im Vergleich zur Gesamtstatistik (s. unten) weniger oft gewährt wurde, während bei der vollständigen Zugangsverweigerung (38 resp. zwölf Prozent) nur ein gering- fügig höherer Anteil im Verhältnis zur Gesamtstatistik festgestellt werden. Zu den höheren Zahlen an einge- reichten Zugangsgesuchen dürfte auch beigetragen haben, dass die Bevölke- rung nicht zuletzt dank Medienbe- richten über die Jahre hinweg laufend bessere Kenntnisse über das Öffent- lichkeitsgesetz erlangt und dessen Möglichkeiten vermehrt aktiv nutzt. Der Beauftragte erwartet, dass diese Tendenz in den kommenden Jahren anhalten wird. In 610 Fällen (51 Prozent) gewähr- ten die Behörden einen vollständigen Zugang (gegenüber 5 42 bzw. 59 Pro- zent im Vorjahr), während bei 293 Gesuchen (25 Prozent) ein teilweiser respektive aufgeschobener Zugang zu den Dokumenten genehmigt wurde. In 108 Fällen (neun Prozent) wurde die Einsichtnahme vollständig ver- weigert. Nach Angaben der Behörden wurden drei Prozent bzw. 35 Zugangs- gesuche zurückgezogen, 80 Gesuche waren Ende 2020 noch hängig, und in 67 Fällen war kein amtliches Doku- ment vorhanden. Seit 2015 wird in mehr als 50 Prozent der Fälle ein voll- ständiger Zugang zu den Dokumen- ten gewährt. Demgegenüber sind die vollständigen Zugangsverweigerun- gen in der Minderzahl und pendeln sich im Laufe der Jahre auf rund zehn Prozent ein. Im Vergleich mit den Vorjahren kann insgesamt festgestellt werden, dass sich im Corona-Jahr der Anteil mit vollständiger Zugangsgewäh- rung um acht Prozent vermindert hat, während der Anteil mit teilwei- ser Zugangsgewährung respektive Zugangsaufschub um sechs Prozent erhöht hat. Eine Erklärung für diese Veränderungen liegt in der Tatsache, dass die Behörden im Zusammenhang mit Zugangsgesuchen zu Corona- Dokumenten – die, wie erwähnt, rund einen Viertel der Gesuche ausmachen – prozentual weniger oft einen vollstän- digen Zugang gewährten, den Zugang häufiger teilweise verweigert oder auf- geschoben beziehungsweise vollstän- dig verweigert haben. Departemente und Bundesämter Einzelne Verwaltungseinheiten standen 2020 aufgrund der Corona- Pandemie besonders im Fokus der Medien und der Gesellschaft. Auf- gabenbedingt sahen sich insbesondere das BAG, das VBS oder das EFD mit einer grossen Anzahl von Zugangs- gesuchen konfrontiert. Gemäss die- sen Behörden handelte es sich dabei teilweise um sehr umfangreiche und komplexe Gesuche. In einer Vielzahl von Fällen war eine aufwändige ver- waltungsinterne Koordination zwi- schen Ämtern oder Departementen notwendig, etwa bei Dokumenten betreffend die Beschaffung von medi- zinischen Gütern. Für diese Behörden war der Bearbeitungsaufwand im Ver- gleich zu früheren Jahren aus nachvoll- ziehbaren Gründen höher. 68 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Öffentlichkeitsprinzip
Auf Stufe Amt zeigen die gemelde- ten Zahlen, dass das BAG mit 181 Fäl- len 2020 am meisten eingegangene Zugangsgesuche meldete, wovon alleine 13 4 Corona-relevante Doku- mente betrafen (s. Kap. 3.3). Danach folgen das BASPO mit 150, Swiss- medic mit 42 sowie das BAFU mit 38 Gesuchen. Bei den Departementen liegen das EDI (312) und das VBS (251) an der Spitze. 13 Behörden meldeten hingegen, dass im Berichtsjahr bei ihnen kein Zugangsgesuch eingegan- gen sei. Beim Beauftragten selbst gin- gen zehn Zugangsgesuche ein, wobei er den Zugang in acht Fällen vollstän- dig gewährte. In einem Fall war kein entsprechendes Dokument vorhan- den und in einem Fall war das Gesuch Ende 2020 noch hängig. Der 2020 für den Zugang zu amt- lichen Dokumenten erhobene Gebüh- renbetrag beläuft sich auf insgesamt CHF 15 189 und liegt damit unter der Vorjahressumme (CHF 18 185). Nur bei zwei Zugangsgesuchen zu «Corona»- Dokumenten wurde insgesamt eine Gebühr von CHF 450 verlangt. Während das EJPD und die Bun- deskanzlei überhaupt keine Gebühren erhoben, verrechneten die übrigen sechs Departemente den Gesuchstel- lenden einen Teil ihres Zeitaufwands (EDI: CHF 4643; W BF: CHF 3786; UV EK: CHF 3310; EFD: CHF 1900; EDA: CHF 900; VBS: CHF 650). Dazu sei vermerkt, dass lediglich bei 25 der 1193 eingereichten Zugangsgesuche eine Gebühr erhoben wurde. Gegen- über dem Vorjahr, in dem in 31 Fällen eine Gebühr verlangt wurde, stellt dies – sowohl in Bezug auf die Anzahl Fälle, in welchen eine Gebühr erho- ben wurde, wie auch bezüglich des Gesamtbetrages der Gebühren – einen Rückgang dar. Dies ist insofern bemer- kenswert, als die Anzahl der Zugangs- gesuche (erneut) merklich zugenom- Grafik 1: Beurteilung Zugangsgesuche – Entwicklung seit 2006 2009200820072010201120122013201420152016201720192020 1193 (+30 % gegenüber Vorjahr) 610 (+13 % ) 293 (+70 % ) 108 (+25 % ) 35 (–8%) 2018 0 200 400 600 800 1000 1200 RückzugZugang teilweise gewährt/aufgeschobenZugang verweigert Total Gesuche Zugang gewährt 69 28. Tätigkeitsbericht 2020/21 Öffentlichkeitsprinzip
70 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Öffentlichkeitsprinzip
men hat. Wie bereits in den Vorjah- ren stellt die Erhebung von Gebühren weiterhin eine Ausnahme dar: In bei- nahe 98 Prozent der Zugangsgesuche besteht Gebührenfreiheit. Die gelebte Verwaltungspraxis untermauert den von der Staatspolitischen Kommis- sion des Nationalrats vorgeschlage- nen Grundsatz der Gebührenfreiheit beim Zugang zu amtlichen Dokumen- ten (s. Kap. 2. 4, Stellungnahme des EDÖB). Was den Zeitaufwand für die Bearbeitung von Zugangsgesuchen anbelangt, weist der Beauftragte erneut darauf hin, dass die Behörden nicht verpflichtet sind, diesen zu erfas- sen, und dass es keine für die gesamte Bundesverwaltung geltenden Vor- gaben für eine einheitliche Erfassung gibt. Die ihm auf freiwilliger Basis übermittelten Angaben widerspiegeln die tatsächlich geleisteten Arbeits- stunden daher nur bedingt. Gemäss diesen Angaben hat der Zeitaufwand für das Berichtsjahr mit 5010 Stunden im Vergleich zu 2019 (4375 Stunden) zugenommen. Die Zunahme der Anzahl der Zugangsgesuche (30 Prozent) hat sich folglich nicht im gleichen Aus- mass auf die Erhöhung des Zeitauf- wands (15 Prozent) ausgewirkt. Eben- falls zugenommen hat der gemeldete Zeitaufwand für die Vorbereitung von Schlichtungsverfahren: 569 Stunden (gegenüber 473 Stunden für 2019). Parlamentsdienste Die Parlamentsdienste meldeten den Eingang von sechs Zugangsgesuchen. Abgesehen von dem einen Fall, in welchem kein amtliches Dokument vorhanden war, wurden die restlichen fünf Zugangsgesuche vollumfänglich abgelehnt. Bundesanwaltschaft Die Bundesanwaltschaft meldete für 2020 den Eingang von 13 Gesuchen. In sechs Fällen wurde dem Zugangs- gesuch vollständig entsprochen, in einem Fall wurde der Zugang voll- umfänglich verweigert. Für die übri- gen Gesuche gilt, dass in zwei Fällen keine amtlichen Dokumente vorhan- den waren und vier Fälle am Ende des Berichtsjahres noch hängig sind. Grafik 2: Erhobene Gebühren seit Inkrafttreten des BGÖ 0 09082007101112131415161719202018 5000 10000 15000 20000 CHF 25000 15 189 (–17% gegenüber Vorjahr) 71 28. Tätigkeitsbericht 2020/21 Öffentlichkeitsprinzip
2.3 Schlichtungsverfahren – weniger Schlichtungsanträge Im Jahr 2020 wurden beim Beauf- tragten 93 Schlichtungsanträge ein- gereicht. Verglichen mit den 2019 ein- gegangenen 133 Anträgen (wovon 28 Schlichtungsverfahren den gleichen Sachverhalt betrafen) entspricht dies einem Rückgang von 30 Prozent. Die meisten Schlichtungsanträge wurden von Privatpersonen (42) und Medien- schaffenden (31) eingereicht. Diese Zahlen lassen folgende Feststellun- gen zu: In den 401 Fällen, in denen die Bundesverwaltung den Zugang vollständig oder teilweise verwei- gerte, kam es 93-mal bzw. in 23 Pro- zent der Fälle, in denen das Gesuch abschlägig beschieden wurde, zur Ein- reichung eines Schlichtungsantrags beim Beauftragten. Davon betrafen 2 4 Schlichtungsanträge (26 Prozent) amt- liche Dokumente mit einem Bezug zu Corona. 119 Schlichtungsanträge wurden 2020 abgearbeitet, von denen 79 im Berichtsjahr und 40 im Jahr davor ein- gegangen waren. In 40 Fällen konnten sich die Beteiligten auf eine Konsens- lösung einigen. Ausserdem erliess der Beauftragte 27 Empfehlungen, durch die 55 Fälle erledigt werden konnten, in denen eine einvernehmliche Lösung zwischen den Parteien nicht ersicht- lich war. Zu den abgeschlossenen Fällen zu zählen sind auch elf Anträge, die nicht fristgerecht eingereicht wurden, zwölf Fälle, in denen die Voraussetzungen für die Anwendung des Öffentlich- keitsgesetzes nicht gegeben waren, sowie ein Schlichtungsantrag, der zurückgezogen wurde. Per Ende Jahr war in acht Schlich- tungsverfahren im Einvernehmen der Beteiligten eine Sistierung erfolgt. Grafik 3: Schlichtungsanträge seit Inkrafttreten des BGÖ 0 09082007202010111213141516171918 150 120 90 60 30 93 (–30% gegenüber Vorjahr) 72 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Öffentlichkeitsprinzip
Anteil einvernehmlicher Lösungen Zu den vielen Vorteilen der einver- nehmlichen Lösungen gehört, dass sie eine Beschleunigung des Zugangsver- fahrens ermöglichen und die Basis für eine allfällige zukünftige Zusammen- arbeit zwischen den an der Schlich- tungssitzung Beteiligten schaffen. Wie wirksam sich die 2017 einge- führten Massnahmen und die Durch- führung von Schlichtungssitzungen erwiesen haben, lässt sich vor allem am Anteil der einvernehmlichen Lösungen im Verhältnis zu den Emp- fehlungen ablesen. Im Berichtsjahr konnten 40 einvernehmliche Lösun- gen erzielt werden, und der Beauf- tragte gab 27 Empfehlungen zur Lösung von 55 Fällen ab. Im Verhältnis zu den Empfehlungen machen die ein- vernehmlichen Lösungen somit nur einen Anteil von 3 4 Prozent aus, der verglichen mit den Vorjahren deutlich tiefer ausfällt (s. Tabelle 1). Wie in Kapitel 2.1 bereits erwähnt, hat die Corona-Pandemie dazu geführt, dass im Zeitraum zwischen März und Juni 2020 und damit in 13 Fällen auf die Durchführung von Schlichtungs- sitzungen verzichtet werden musste. Eine einvernehmliche Lösung kann in aller Regel nur erreicht werden, wenn eine Schlichtungsverhandlung durch- geführt wird. So konnte im Berichts- jahr in den 40 Schlichtungsverhand- lungen, die durchgeführt werden konnten, in 2 4 Fällen (60 Prozent) eine Einigung erzielt werden, was den Werten der Vorjahre entspricht. Die im Vergleich zu den Vorjahren scheinbar zahlreichen Schlichtungs- verfahren, in denen der Beauftragte eine Empfehlung abgab, ist hauptsäch- lich auf eine statistische Auffälligkeit zurückzuführen: In zwei Zugangs- gesuchen hat eine ungewöhnliche grosse Anzahl an Drittbetroffenen einen Schlichtungsantrag eingereicht (in einem Fall zehn und im anderen Fall 18 Drittbetroffene). Aus diesen 28 Schlichtungsanträgen resultiert mehr als die Hälfte aller Fälle, die mit einer Empfehlung abgeschlossen wurden. Im Ergebnis stellt der Beauftragte fest, dass sich mündliche Schlich- tungsverhandlungen unverändert bewähren, um zu raschen und einver- nehmlichen Lösungen zu gelangen. In einigen Fällen wurde von den Beteilig- ten angesichts der Corona-Massnah- men eine Sistierung des Verfahrens bis zu dem Zeitpunkt beantragt, in welchem mündliche Verhandlungen wieder möglich sein werden. Der EDÖB publiziert sämtliche Empfehlungen auf seiner Website. Tabelle 1: Einvernehmliche Lösungen 202034 % 201961 % 201855 % 73 28. Tätigkeitsbericht 2020/21 Öffentlichkeitsprinzip
Dauer der Schlichtungs- verfahren Die Tabelle 2 ist in vier von der Ver- fahrensdauer abhängige Spalten auf- geteilt. Zu beachten ist, dass der Zeit- raum, während dem ein Schlichtungs- verfahren auf Antrag resp. mit Ein- verständnis der Beteiligten sistiert ist, nicht zur Behandlungsdauer gezählt wird. Eine Sistierung erfolgt insbeson- dere dann, wenn eine Behörde nach der Schlichtungssitzung ihre Position überprüfen möchte oder wenn sie betroffene Dritte anhören muss. Wird die Schlichtungssitzung auf Antrag einer beteiligten Partei verschoben (bspw. aufgrund von Ferienabwesen- heit, Krankheit etc.), wird die Zeit- spanne zwischen dem ursprünglich vor gesehenen Termin und dem neu angesetzten Termin bzw. die daraus resultierende Verfahrensverlängerung ebenfalls nicht zur Bearbeitungsdauer hinzugerechnet. Aus der Tabelle 2 wird ersicht- lich, dass 43 Prozent der im 2020 abgeschlossenen Schlichtungsver- fahren innerhalb der ordentlichen Frist von 30 Tagen abgearbeitet wur- den. In 30 Prozent der Fälle dauerte das Schlichtungsverfahren zwischen 31 und 99 Tagen und in 27 Prozent gar länger als 100 Tage. Häufige Gründe für eine Fristüber- schreitung sind Abwesenheiten von betroffenen Personen oder Behör- den (Ferien, Krankheit, Reisen), eine grosse Zahl der am Verfahren beteilig- ten Drittpersonen oder die juristische Komplexität der Fragestellung, wobei im Berichtsjahr Corona-bedingte Verhinderungen von Parteien sowie eigenen Personals dazukamen. Solche Gründe treffen auch auf jene 32 Fälle zu, deren Bearbeitung mehr als 100 Tage in Anspruch nahm, wobei davon in einem Fall zehn und in einem zwei- ten Fall 18 Verfahren zusammengelegt wurden. Ausserdem wurde die Ein- haltung der Fristen wegen Konsulta- tionen im Ausland, wegen zahlreicher Verhandlungsbestrebungen zwischen den Beteiligten und wegen der Fülle an Dokumenten oder der Vielzahl betrof- fener Personen zusätzlich erschwert. Weil die Bearbeitung in derartigen Fällen oftmals besonders aufwändig ist, steht es dem Beauftragten gemäss Artikel 12a der Verordnung über das Tabelle 2: Bearbeitungsdauer Schlichtungsverfahren Bearbeitungsdauer in TagenZeitraum 2014– August 2016* Pilotphase 2017Zeitraum 2018Zeitraum 2019Zeitraum 2020 innert 30 Tagen11 %59%50 %57 %43 % zwischen 31 und 99 Tagen45%37 %50 %38 %30 % mehr als 100 Tage44%4%0%5%27 %
Öffentlichkeitsprinzip der Verwaltung (VBGÖ; SR 152.31) frei, die ordent- liche Frist angemessen zu verlängern. Im Berichtsjahr wurde den von der Corona-Pandemie stark betroffenen Behörden verschiedentlich Fristver- längerungen im Schlichtungsverfah- ren gewährt. Die Vorgabe der gesetzlichen Frist von 30 Tagen für die Durchführung von Schlichtungsverfahren kann in der Regel eingehalten werden, wenn die Schlichtungssitzungen planmässig, d.h. ohne Gesuch auf Verschiebung durch die Beteiligten, innert der Frist nach Eingang des Antrags erfolgreich mit einer Einigung abgeschlossen wer- den können. Kommt keine Einigung zustande, kann der Beauftragte seine schriftliche Empfehlung den Beteilig- ten nicht in jedem Fall innert 30 Tagen nach Eingang des Antrags zustellen. Aus dem pandemiebedingt ange- stiegenen Anteil an schriftlichen Schlichtungsverfahren und schrift- lichen Empfehlungen resultierte für den Beauftragten ein deutlich erhöhter Arbeitsaufwand. Letzterer führte zu einem Anstieg der Bearbeitungsdauer der Verfahren und entsprechenden Bearbeitungsrückständen. Angesichts des neuerlichen Lockdowns zu Beginn des Jahres 2021 muss der Beauftragte damit rechnen, dass die Rückstände noch zunehmen werden. Desweiteren haben auch in diesem Berichtsjahr angehörte Drittbetroffene bereits im Stadium des Zugangs- und Schlichtungsverfahrens Rechtsver- tretungen beigezogen, was einer ein- fachen, pragmatischen und raschen Lösungsfindung in der Regel wenig förderlich ist. Anzahl hängiger Fälle Die unten aufgeführten Angaben geben Auskunft über die Anzahl der Fälle, die am Ende der jeweiligen Berichtsjahre hängig waren. Anfang Januar 2021 waren 17 Schlichtungs- verfahren hängig, wovon acht sistiert sind (drei aus dem Jahr 2019, fünf aus dem Jahr 2020). Sieben Fälle konn- ten bis zum Redaktionsschluss des vor liegenden Berichts abgeschlossen werden. Tabelle 3: Hängige Schlichtungs- verfahren Ende 2020 17 (davon 9 bis zum Redaktionsschluss erledigt und 8 sistiert) Ende 2019 43 (davon 40 bis zum Redaktionsschluss erledigt und 3 sistiert) Ende 2018 15 (davon 13 im Februar 2019 erledigt und 2 sistiert) 75 28. Tätigkeitsbericht 2020/21 Öffentlichkeitsprinzip
2.4 Gesetzgebungsverfahren CORONA Gesetzgebungsverfahren für die Überführung der COVID- 19-Solidarbürgschaftsver- ordnung ins COVID-19-Soli- darbürgschaftsgesetz Nach dem COVID-19-Solidarbürgschafts- gesetz müssen im Rahmen des Bürg- schaftsprogrammes des Bundes Identi- tät und Bankverbindungen von Unter- nehmen und Personen sowie die gespro- chenen und verweigerten Kreditbeträge geheim gehalten werden. Der Beauf- tragte hatte sich im Gesetzgebungsver- fahren erfolglos gegen diese Einschrän- kung des Öffentlichkeitsprinzips ausge- sprochen. Mit der Einführung einer befristeten Notverordnung hat der Bundesrat am 25. März 2020 einen raschen Zugang zu Überbrückungsfinan- zierungen für zahlreiche Unter- nehmen ermöglicht, um ihnen die notwendige Liquidität zur Krisen- bewältigung infolge der Pandemie sicherzustellen. Die Inhalte dieser Notverordnung wurden in ein dring- liches und befristetes Bundesgesetz überführt, welches vom Parlament im Dezember 2020 verabschiedet wurde. Nach Art. 12 Abs. 2 des COVID- 19-Solidarbürgschaftsgesetzes (COVID-19-SBüG) dürfen Perso- nendaten und Informationen zu einzelnen kreditsuchenden und -nehmenden Unternehmen und Personen nicht bekannt gegeben werden, soweit diese deren Identität und Bankverbindungen sowie die zugesprochenen und verweigerten Kreditbeträge zum Inhalt haben. Gemäss der Botschaft zum COVID- 19-SBüG handelt es sich dabei um eine Spezialbestimmung i.S.v. Art. 4 BGÖ, was zur Folge hat, dass diese Informationen vom Geltungsbe- reich des Öffentlichkeitsgesetzes ausgenommen sind und damit auf Zugangsgesuch hin nicht zugänglich sind. Der Beauftragte hatte sich sowohl in der Vernehmlassung zum COVID- 19-SBüG wie auch in der daran anschliessenden Ämterkonsultation betr. die Botschaft und den Geset- zesentwurf gegen die Einführung dieser Spezialbestimmung aus- gesprochen. Er hat dabei auch auf die mit dem Öffentlichkeitsgesetz verfolgten Ziele, wie den Nachvoll- zug des Verwaltungshandeln oder die Verhinderung von Misswirt- schaft und Korruption, hingewiesen. Angesichts des Einsatzes von 40 Milliarden Franken an Steuergeldern war die voraussetzungslose Geheim- haltung der in Frage stehenden Informationen nach seinem Dafür- halten nicht angezeigt. Sofern es bei den zugesprochenen Krediten zu Verlusten kommt, müssen diese mit Steuergeldern gedeckt werden. Angesichts der nachträglichen Bean- standungen des Verwaltungshan- delns im Zusammenhang mit den Bürgschaftsvergaben in der Hoch- seeschifffahrt zeigt sich der Beauf- tragte erstaunt, dass das Parlament die vom Bundesrat vorgeschlagene Geheimhaltung im am 19. Dezem- ber 2020 verabschiedeten Gesetz verankert hat. 76 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Öffentlichkeitsprinzip Der Beauftragte hatte im Vernehm- lassungsverfahren vergeblich aufge- zeigt, dass die berechtigten privaten Interessen auch bei Anwendbar- keit des Öffentlichkeitsgesetzes geschützt bleiben. So gewähr- leistet es explizit den Schutz von Geschäftsgeheimnissen (Art. 7 Abs. 1 Bst. g BGÖ) und der Privatsphäre sowie der Personaldaten von natür- lichen und juristischen Personen (Art. 7 Abs. 2 BGÖ, Art. 9 Abs. 2 BGÖ sowie Art 19 DSG). Auch hat der Beauftragte dargelegt, dass das Bankgeheimnis, dem Öffentlich- keitsgesetz gemäss Lehre und Recht- sprechung vorgeht. Ebenso erfolglos hat der Beauftragte in seiner Stel- lungnahme auf das Bundesgesetz über Finanzhilfen und Abgeltungen (Subventionsgesetz) und das Bun- desgesetz über die Finanzhilfen an Bürgschaftsorganisationen für KMU hingewiesen. Obwohl beide Gesetze offensichtliche Gemeinsamkeiten zum vorliegenden Erlass aufweisen, sehen sie keine Spezialbestimmun- gen im Sinne von Art. 4 BGÖ vor.
Ämterkonsultation Entwurf der Stellungnahme des Bun- desrates zum Bericht vom 15. Oktober 2020 der Staats- politischen Kommission des Nationalrates zur parlamen- tarischen Initiative 16.432 Graf-Litscher. Gebührenrege- lung. Öffentlichkeitsprin- zip in der Bundesverwaltung Die Staatspolitische Kommission des Nationalrats hat eine Vorlage ausgear- beitet, nach welcher der Zugang zu amtlichen Dokumenten grundsätzlich kostenlos sein soll und nur in Ausnah- mefällen eine Gebühr verlangt werden darf. Der Bundesrat möchte den Maxi- malbetrag der Gebühr selber in der Verordnung festlegen können. Demge- genüber spricht sich der Beauftragte für die Verankerung des Maximalbetra- ges direkt im Öffentlichkeitsgesetz aus. Mit der parlamentarische Initiative 16. 432 «Gebührenregelung. Öffent- lichkeitsprinzip in der Bundesverwal- tung» sollen die rechtlichen Grund- lagen im Öffentlichkeitsgesetz so angepasst werden, dass der Zugang zu amtlichen Dokumenten in der Regel gebührenfrei sein soll. In der Folge verabschiedete die für das Geschäft zuständige Staatspoli- tische Kommission des Nationalrats (SPK-N) einen Vorentwurf zur Ände- rung des Öffentlichkeitsgesetzes, den sie nach der Vernehmlassung zuhan- den des Nationalrates überarbeitete. Demnach soll neu im Öffentlichkeits- gesetz der Grundsatz der Kostenlosig- keit beim Zugang zu amtlichen Doku- menten verankert werden. Nur noch ausnahmsweise soll eine Gebühr ver- langt werden können, nämlich «wenn ein Zugangsgesuch eine besonders aufwendige Beurteilung durch die Behörde erfordert». Dabei soll gemäss der Kommissionsmehrheit eine Maxi- malgebühr von 2000 Franken im Öffentlichkeitsgesetz festgelegt wer- den, während der Bundesrat die Ein- zelheiten und den Gebührentarif nach Aufwand festlegen soll. Eine Minder- heit der Kommission will auch die Festlegung der Maximalgebühr dem Bundesrat überlassen. Der Beauftragte unterstützte den Vorschlag der Kommissionsmehr- heit, die Maximalgebühr direkt im Öffentlichkeitsgesetz festzulegen, weil damit auf Stufe des Gesetzes sicher- gestellt wird, dass die ausnahmsweise Gebührenerhebung nicht ein Ausmass annehmen wird, das einer Behinde- rung des Zugangs zu amtlichen Doku- menten gleichkommt. Nachdem sich der Bundesrat gegen die gesetzliche Festlegung des Höchstbetrages ausge- sprochen hat, liegt es nun am Natio- nalrat, über diese Frage zu befinden. Revision des Bundesgesetzes über die Förderung der Forschung und der Innovation (FIFG). Ämterkonsultationen im Rahmen der Vorbereitungs- arbeiten für die Botschaft des Bundesrates In der Vernehmlassung zur Revision des FIFG wurde der Wunsch geäussert, die Bekanntgaberegelung der Namen der Referentinnen und Referenten sowie der wissenschaftlichen Gutach- ter und Gutachterinnen im Beschwer- deverfahren zu verschärfen. Der Beauf- tragte hat sich jedoch dagegen ausge- sprochen. Bei Beschwerden wegen nicht zu - gesprochenen Forschungsbeiträgen sieht Art. 13 Abs. 4 FIFG vor, dass die beschwerdeführende Person die Namen der Referentinnen und Re fe- renten sowie der wissenschaftli- chen Gutachter und Gutachterinnen auf Anfrage erhalten kann, wenn diese ihre Zustimmung gegeben haben. Das Bundesverwaltungsgericht hat in seinem Urteil A-6160/2018 vom 4. November 2019 im Rahmen einer Beschwerde nach dem Öffentlichkeits- gesetz Art. 13 Abs. 4 FIFG so ausgelegt, dass besagte Namen weiteren unbetei- ligten Personen dann bekannt gegeben werden können, wenn die betroffenen Referenten und Gutachtenden aus- drücklich ihre Zustimmung gegeben haben. Gemäss Bundesverwaltungs- gericht handelt es sich dabei zwar um eine Spezialbestimmung im Sinne von Art. 4 BGÖ, was zur Folge hat, dass das Öffentlichkeitsgesetz nicht zur Anwendung gelangt. Laut dem Gericht stellt Art. 13 Abs. 4 FIFG jedoch keine generelle Geheimhaltungspflicht dar. 77 28. Tätigkeitsbericht 2020/21 Öffentlichkeitsprinzip
Im Rahmen der Vernehmlassung zur Revision des FIFG beantragte der Schweizerische Nationalfonds SNF die Bekanntgaberegelung so einzugrenzen, dass ausschliesslich die beschwerde- führenden Personen die Bekanntgabe der in Frage stehenden Namen ver- langen können. In der Folge hat sich der Beauftragte gegenüber dem in der Sache federführende Staatssekretariat für Bildung, Forschung und Innova- tion SBFI erfolgreich gegen die Auf- nahme dieses Anliegen in die Vorlage eingesetzt. In der Botschaft des Bundes- rates vom 17. Februar 2021 wurde auf die beantragte Einschränkung der Bekanntgaberegelung verzichtet. 78 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Öffentlichkeitsprinzip
Teilrevision des KVG betref- fend Massnahmen zur Kosten- dämpfung (zweites Paket) Das Bundesamt für Gesundheit BAG erarbeitet eine Teilrevision des KVG betreffend Massnahmen zur Kosten- dämpfung. Diese Vorlage sieht unter anderem vor, sämtliche Unterlagen im Zusammenhang mit Preismodellen bei Arzneimitteln in der Krankenversiche- rung vom Öffentlichkeitsprinzip auszu- schliessen. Der Beauftragte wehrt sich gegen dieses Vorhaben. Im 27. Tätigkeitsbericht 2019/2020 berichtete der Beauftragte über eine zu eröffnende Vernehmlassung für eine Teilrevision des Krankenversiche- rungsgesetzes, welche im vorliegen- den Berichtsjahr durchgeführt wurde. Der Beauftragte hatte sich gegen das Vorhaben des BAG ausgesprochen, das Einsichtsrecht der Öffentlichkeit in die Unterlagen über die Festsetzung von Medikamentenpreisen aufzuhe- ben. Die effektiven Preise der Medika- mente, welche von der obligatorischen Krankenpflegeversicherung übernom- men werden, und die Unterlagen, wel- che zur Preisfestsetzung dienen, sol- len nach Auffassung des Beauftragten weiter öffentlich zugänglich bleiben. Andernfalls würde eine undurchsich- tige Praxis bezüglich der Aufnahme- und Überprüfungskriterien in die Spezialitätenliste und des Rückvergü- tungsmechanismus entstehen. Sowohl für die Bevölkerung wie für die kon- kurrierenden Unternehmen soll wei- terhin möglich sein, die Genehmi- gungspraxis des BAG umfassend nach- vollziehen und kontrollieren zu kön- nen. Das Ergebnis der Vernehmlassung ist zum Zeitpunkt des Redaktions- schlusses noch nicht bekannt. Im Berichtsjahr führte der Beauftragte ein Schlichtungsverfahren zu Doku- menten des BAG über die Festset- zung von Medikamentenpreisen in der obligatorischen Krankenversicherung durch. Konkret wurde um Zugang zu Informationen betreffend Arznei- mittel mit Preismodellen ersucht. Da zwischen dem BAG und der Antrag- stellerin im Schlichtungsverfahren keine Einigung zustande kam, musste der Beauftragte eine schriftliche Emp- fehlung erlassen. Das BAG begrün- dete seine Weigerung gegen die Her- ausgabe der verlangten Dokumente hauptsächlich mit dem Argument, dass die Versorgungssicherheit mit innovativen und hochpreisigen Arz- neimitteln ohne Geheimhaltung nicht weiter gewährleistet werden könne. Der Beauftragte hielt in der Empfeh- lung u.a. fest, dass seiner Ansicht nach das geltende Öffentlichkeitsgesetz keinen Raum lasse, die vom Bundes- rat angestrebte Gesetzesänderung vorwegzunehmen. Da das BAG somit keine Ausnahmegründe nach dem geltenden Öffentlichkeitsgesetz nach- zuweisen vermochte und damit die gesetzliche Vermutung des Zugangs zu den verlangten Informationen nicht widerlegen konnte, empfahl der Beauftragte den vollständigen Zugang. 79 28. Tätigkeitsbericht 2020/21 Öffentlichkeitsprinzip Neues Bundesgesetz über den Allgemeinen Teil der Abga- benerhebung und die Kontrol- le des grenzüberschreitenden Waren- und Personenverkehrs durch das Bundesamt für Zoll und Grenzsicherheit (BAZG- Vollzugsaufgabengesetz) Die Eidgenössische Zollverwaltung (EZV) hat im letzten Quartal des Jahres 2020 eine Vernehmlassung für die Ein- führung eines neuen BAZG-Vollzugab- gabengesetzes durchgeführt. In dieser Vorlage sind keine Einschränkungen des Öffentlichkeitsprinzips mehr ent- halten. Im 27. Tätigkeitsbericht 2019/2020 hat der Beauftragte über die Ämterkonsul- tation zur Eröffnung der Vernehmlas- sung für ein neues Bundesgesetz über Zoll und Grenzsicherheit berichtet. Der Gesetzesentwurf wurde nach der Ämterkonsultation überarbeitet und trägt neu die Bezeichnung «Bundes- gesetz über den Allgemeinen Teil der Abgabenerhebung und die Kontrolle des grenzüberschreitenden Waren- und Personenverkehrs durch das Bun- desamt für Zoll und Grenzsicherheit» (BAZG-Vollzugsaufgabengesetz). Die EZV hat den Bedenken des Beauf- tragten Rechnung getragen und die ursprünglich vorgesehenen Einschrän- kungen zum Öffentlichkeitsprin- zip gestrichen. Die Vernehmlassung wurde erst im aktuellen Berichtsjahr durchgeführt.
Der EDÖB
82 3.1 Aufgaben und Ressourcen CORONA Pandemie Die krisenbedingt kurzfristig realisier- ten Datenbearbeitungsprojekte zur Bekämpfung der aktuellen Pandemie und die gesteigerte Nachfrage nach öffentlichen Dokumenten forderten dem gesamten Personal ausserordent- liche Leistungen ab. Als administrativ der Bundeskanzlei zugehörendem Bundesbetrieb hat der EDÖB sämtliche Vorgaben des Bundesrates zum Schutze der Mitar- beitenden vor der Seuche umgesetzt. Das Personal des EDÖB erbrachte demzufolge in der Berichtsperiode einen Grossteil seiner Arbeits- leistung in digitaler Heimarbeit. Persönliche Begegnungen waren nur während weniger Wochen möglich, was insbesondere die Einführung und Betreuung von neuen Mitarbei- tenden erschwerte. Leistungen und Ressourcen im Bereich Datenschutz Personalbestände Von 2005 bis 2019 hat der Stellen- etat für den Vollzug des Datenschutz- gesetzes (DSG) zwischen zwanzig und 2 4 Vollzeitstellen fluktuiert. Die Schwankungen erklären sich zum einen damit, dass 2006 das Öffent- lichkeitsgesetz (BGÖ) in Kraft trat. Da die dafür vorgesehenen Stellen vom Bundesrat nie bewilligt wurden, musste unsere Behörde auf das bereits bestehende Personal des EDÖB und teilweise auf Mittel der Bundeskanzlei zurückgreifen. Zum anderen konnten die mit dem Beitritt zum Abkommen von Schengen und Dublin sowie dem Erlass von Spezialgesetzen im Gesund- heitsbereich bewilligten zusätzlichen Stellen infolge allgemeiner Spar- vorgaben nie im vollen Umfang rekru- tiert werden. In seiner Botschaft zur Total- revision des DSG hat der Bundesrat dem EDÖB die Schaffung zusätzlicher Mittel im Umfang von neun bis zehn Stellen in Aussicht gestellt (BBl 2017 7 172). Inzwischen hat der Bundes- gesetzgeber mit dem neuen Bundes- gesetz über den Datenschutz im Rah- men der Anwendung des Schengen- Besitzstands in Strafsachen (SDSG, SR 235.3) einen Teilaspekt dieser Total- revision vorweggenommen. Nachdem der Bundesrat dieses Gesetz am per
Leistungen Die Aufgaben des EDÖB als für die Bundesorgane und die Privatwirt- schaft zuständige Datenschutzbe- hörde werden gemäss dem Neuen Führungsmodell Bund (NFB) den vier Leistungsgruppen Beratung, Aufsicht, Information und Gesetzgebung zuge- wiesen. Im Berichtsjahr vom 1. 4.2020 bis 31.3.2021 wurden die beim EDÖB für den Datenschutz einsetzbaren Personalressourcen wie folgt auf diese Gruppen aufgeteilt: Tabelle 5: Leistungen Datenschutz Beratung Private24,8 % Beratung Bund20,1 % Zusammenarbeit mit Kantonen 1,8 % Zusammenarbeit mit ausl. Behörden 11,1 % Total Beratung57,8 % Aufsicht15,0 % Zertifizierung0,1 % Register Datensammlung 0,4 % Total Aufsicht15,0 % Information17,0 % Ausbildung/ Referate2,4 % Total Information19,4 % Gesetzgebung7,3 % Total Gesetzgebung7,3 % Total Datenschutz100,0 % Beratung Wie im Eingangskapitel «Aktuelle Herausforderungen» dargelegt, sieht sich der EDÖB im Leistungsbereich der Beratung, aufgrund der Not- wendigkeit digitale Grossprojekte zu begleiten, mit einer konstant hohen Nachfrage konfrontiert. Die für die Beratung aufgewendeten personellen Mittel erhöhten sich um rund sieben auf 5 7,8 Prozent. Gemäss dem Kont- rollplan des EDÖB für das Jahr 2021 ist die beratende Begleitung von fünfzehn grossen Projekten im Gang. Sechs dieser Projekte stehen im Zusammen- hang mit der vom Bundesrat angeord- neten digitalen Transformation der Bundesverwaltung, welche den von Politik und Medien gerade auch im Zusammenhang mit der Pandemie- bekämpfung angemahnten Digitalisie- rungsrückstand aufzuholen sucht. Da die Mittel des EDÖB mit Blick auf die rechtlichen und technologi- schen Risiken der dynamisch fort- schreitenden Digitalisierung nach wie vor knapp bemessen sind, konnte er die gestiegene Nachfrage nach bera- tender Projektbegleitung auch in der laufenden Berichtsperiode nicht in der gewünschten Tiefe und Zeit erfüllen. Die drei Teams des Direktionsbereichs Datenschutz haben monatlich rund sechzig Anfragen und Anzeigen von Bürgerinnen und Bürgern mit einem Standardschreiben beantwortet, das diese auf den zivilprozessualen Weg verweist. Das führt zunehmend auf Unverständnis, weil einerseits die Datenschutzgrundverordnung der EU die dortigen Datenschutzbehörden verpflichtet, allen Bürgerklagen nach- zugehen, und andrerseits das neue DSG auch für den EDÖB eine auswei- tende Pflicht vorsieht, Einzelanliegen der Schweizer Bevölkerung materiell zu behandeln. Da sich Big Data und «künstli- che Intelligenz» in allen Branchen als Geschäftsmodell durchsetzen und die technologischen Datenschutz- risiken den Aufsichtsbereich des EDÖB weiter ausdehnen, ist wie in den Vorjahren von einer weiter stei- genden Anzahl von umfangreichen Datenbearbeitungsprojekten bei Staat und Wirtschaft auszugehen. Tabelle 6: Beratungen in umfangreicheren Projekten für 2021 Grundrechte5 Finanzen1 Gesundheit und Arbeit3 Telekom1 Handel und Wirtschaft2 Bundesarchiv1 Migration1 Zoll1 Total15 83 28. Tätigkeitsbericht 2020/21 Der EDÖB
84 Aufsicht Aufgrund der Dynamik von cloud- gestützten Applikationen müssen Kontrollen heute rasch durchgeführt werden. Diese Beschleunigung sowie die immer wichtiger werdende Kom- bination von juristischem und techni- schem Fachwissen schliessen längere Unterbrüche bei den Sachverhalts- klärungen aus, sodass umfassendere Kontrollen von mehreren Mitarbei- tenden betreut werden müssen. Die aktuellen Personalbestände setzen der Dichte der Kontrollen enge Gren- zen. Im Jahr 2018 wurden für die Auf- sichtstätigkeit rund zwölf Prozent der Personalressourcen aufgewendet, was deutlich unter dem langjährigen Mit- telwert von rund zwanzig Prozent lag. In den letzten Berichtsperioden konnte zumindest verhindert werden, dass der Anteil unter 15 Prozent sinkt. Gemäss Kontrollplan für das Jahr 2021 werden mit diesen Mitteln dreizehn umfassendere Kontrollen bestritten. Im Vergleich zum Bearbeitungsvo- lumen durch die Bundesorgane und zur Anzahl von rund 12 000 grossen und mittleren kaufmännischen Unter- nehmen sowie rund 100 000 Stif- tungen und Vereinen in der Schweiz erweist sich die aktuelle Kontroll- dichte nach wie vor als tief. Für den Beauftragten bleibt es schwierig, seine ressourcenbedingte Zurückhaltung bei der Eröffnung formeller Sachver- haltsabklärungen gegenüber Medien und Konsumentenschutzorganisatio- nen zu vermitteln. Mit Blick auf das bevorstehende Inkrafttreten des neuen DSG hat sich der Erwartungsdruck der Öffentlichkeit verstärkt. Vor diesem Hintergrund bleibt zu hoffen, dass der Bundesrat dem EDÖB die sechs bean- tragten Stellen zusprechen wird. Gesetzgebung Die mit der digitalen Transformation der Bundesämter einhergehenden Anpassungen der Personendaten- bearbeitungen sind nur auf der Basis gesetzlicher Grundlagen zulässig. Diese zieht eine Vielzahl von neuen und revidierten Bearbeitungsvor- schriften im Bundesrecht nach sich, zu denen der EDÖB in diversen Kon- sultationsverfahren Stellung bezieht. Trotz des diesbezüglichen Aufwands und trotz der aufwändigen Revision des DSG und der dazu gehörenden Verordnung ist es uns in den letzten Berichtsperioden gelungen, die Auf- sichtstätigkeit auf tiefem Niveau zu stabilisieren, u.a. indem ausführliche Stellungnahmen auf Schlüsselprojekte beschränken. Totalrevision des DSG Mit der bevorstehenden Inkraftset- zung des neuen DSG und der Voll- zugsverordnung sind für den EDÖB mit Blick auf neue Aufgaben und Kompetenzen sowie die rechtzeitige Information von Bevölkerung und Wirtschaft aufwändige Vorbereitungs- arbeiten verbunden. Die mit Inkraft- setzung des DSG erfolgte Freigabe von drei Stellen durch den Bundesrat hat dazu beigetragen, dass diese Arbeiten voranschreiten. Teilnahme an Kommissions- beratungen und Anhörungen durch parlamentarische Kommissionen In der Berichtsperiode hat uns die SPK-N im April 2020 zweimal zum Thema Coronavirus im Zusam- menhang mit einer Applikation der Swisscom zur Visualisierung von Menschenansammlungen eingela- den. Daneben hat uns diese Kommis- sion Anfang Mai zur Einführung der Corona Warn App angehört. Etwa zu der gleichen Zeit konsultierte uns die SPK-S sowohl zur Revision des DSG (Differenzenbereinigung) als auch zur Teilrevision des AHV-Gesetzes im Zusammenhang mit der Verwen- dung der AHV Nummer. Ende Mai hat die SPK-S den EDÖB zweimal zur dringlichen Änderung des Epidemien- gesetzes angehört. Bevor uns die glei- che Kommission im Juli 2020 zur Differenzbereinigung der Revision des DSG einlud, hat sie uns im Vorfeld zu dieser Revision sowie zur Revision des AHV-Gesetzes beigezogen. Im Juli dieser Geschäftsperiode wurden wir von den Subkommissionen EJPD/ BK der GPK eingeladen, um unseren jährlichen Tätigkeitsbericht zu präsen- tieren. Weitere Anhörungen im Berichts- jahr betrafen das elektronische Pati- entendossier durch die GPK-N und die Befragung der SPK-S zur Jugend- session über den Datenschutz im Gesundheitswesen. Schliesslich haben uns die SPK beider Räte zu fünf Sitzungen und die SGK beider Räte zu zwei Sitzun- gen beigezogen, bei denen es um die Erleichterungen für geimpfte Personen und weitere COVID-19 Themen ging, beigezogen. Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Der EDÖB
Bemessungskriterien Ob und in welchem Mass dem EDÖB Ressourcen zugesprochen werden, liegt in der Verantwortung der poli- tischen Behörden, denen bei der Ein- schätzung aktueller und künftiger Ent- wicklungen der Digitalisierung und deren Auswirkungen auf die Tätig- keit unserer Behörde ein erheblicher Ermessensspielraum bleibt. Kernauf- gabe des EDÖB ist der Schutz der Pri- vatsphäre und die Gewährleistung des Rechts auf informationelle Selbstbe- stimmung in der digitalen Gesellschaft. Der EDÖB muss unabhängig handeln können. Dies erfordert angemessene und ausreichende personelle, materielle, technische und finanzielle Ressourcen, welche die Aufsichtsbehörde nicht darauf beschränken, reaktiv das Unab- dingbare zu erledigen, sondern ihr die Initiative zum Handeln ermöglichen – und zwar mit einem Mass an Glaub- würdigkeit und Intensität, welches die betroffene Öffentlichkeit zum Schutz ihrer Grundrechte vernünftigerweise erwarten darf. Mit Blick auf die einzelnen Leis- tungsgruppen ergeben sich somit fol- gende, für die Bemessung der Mittel wegleitende Wirkungsziele: Leistungen und Ressourcen im Bereich Öffentlichkeits- gesetz Der Direktionsbereich Öffentlich- keitsprinzip, in dem im Berichtsjahr 4,4 Stellen eingesetzt wurden, ist nach Durchführung eines einjährigen Ver- suchs im Jahr 2017 zu einem beschleu- nigten und summarischen Verfahren übergegangen, das sich dadurch cha- rakterisiert, dass in der Regel münd- liche Schlichtungsverhandlungen durchgeführt werden. Dieses Verfah- ren hat sich seither bewährt, indem der Anteil der einvernehmlich abge- schlossenen Schlichtungen über die Jahre konstant hoch war und die Über- schreitung der gesetzlichen Fristen in der Regel auf prozessual und inhalt- lich komplexe Fälle beschränkt werden konnte. Infolge der Pandemie und der vom Bundesrat ergriffenen Massnahmen zum Schutz der öffentlichen Gesund- heit konnten sowohl im Berichtsjahr wie auch im laufenden Jahr über meh- rere Monate hinweg keine Schlich- tungsverhandlungen vor Ort durchge- führt werden. Der Beauftragte musste für diese Zeitspannen wieder zum schriftlichen Verfahren zurückkehren. Dies wirkte sich unmittelbar nach- teilig auf die Bearbeitungsdauer der einzelnen Verfahren aus und führte zusammen mit der unvermindert grossen Anzahl von (komplexen und umfangreichen) Schlichtungsanträgen zu einem Rückstau. Darüber hinaus hat sich im Berichtsjahr einmal mehr gezeigt, dass zahlreiche Schlichtungs- anträge innerhalb eines kurzen Zeit- raums und personelle Vakanzen rasch Arbeitsrückstände verursachen, wel- che dazu beitragen, die Einhaltung der gesetzlichen Fristen zusätzlich zu erschweren (s. Kap. 2.2). Es zeichnet sich ab, dass die Ent- wicklung bei der Zunahme von Schlichtungsanträgen auch für das Jahr 2021 anhält, und dass der Rückstau die fristgemässe Bearbeitung neuer Fälle mit den vorhandenen Ressourcen zunehmend erschweren wird. Tabelle 7: Wirkungsziele EDÖB LeistungsgruppeWirkungsziele BeratungDer EDÖB entfaltet eine erwartungsadäquate Präsenz für die Beratung von Privatpersonen sowie die Begleitung von datenschutzsensiblen Projekten der Wirtschaft und der Bundesbehörden unter Anwendung digitalisierungstauglicher Arbeitsinstrumente. AufsichtDer EDÖB entfaltet eine glaubwürdige Dichte an Kontrollen. InformationDer EDÖB sensibilisiert die Öffentlichkeit proaktiv für technologie- und anwendungsbezogene Risiken der Digitalisierung. GesetzgebungDer EDÖB nimmt rechtzeitig und aktiv Einfluss auf alle datenschutzrelevanten Spezialnormen und Regelwerke, die auf nationaler und internationaler Ebene geschaffen werden. Er unterstützt die interessierten Kreise bei der Formulierung von Regeln der guten Praxis. 85 28. Tätigkeitsbericht 2020/21 Der EDÖB
86 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Der EDÖB
3.2 Kommunikation Die Pandemie dominierte die Kommunikationsarbeit Der Beginn des Berichtsjahres fiel praktisch mit dem Ausbruch der Corona-Pandemie in der Schweiz zusammen. Das Thema sollte schliess- lich die gesamte Periode prägen – und tut es auch darüber hinaus. Die Kom- munikation des Beauftragten war darauf ausgerichtet, relevante Daten- schutzrisiken zu benennen und öffent- lich zu machen. Trotz der prinzipiel- len Unabhängigkeit des Beauftragten war in vielen Fällen eine behördliche Absprache nötig und sinnvoll – im Dienste einer kohärenten Information der Bevölkerung während der Krise. Dieser Anspruch an die Kommunika- tion bezog sich fallweise ebenso auf den Austausch mit den kantonalen Datenschutzbeauftragten. Im Übrigen führte auch ungeachtet der Pandemie-Themen die beschleu- nigte Digitalisierung und Globalisie- rung der Gesellschaft zu anhaltend omnipräsenten Datenschutzfragen. Die Kommunikation des EDÖB blieb entsprechend in vielerlei Hinsicht gefordert, Medienschaffende und die breite Öffentlichkeit wirksam über die drängenden Themen zum Schutz der Privatsphäre und des Öffentlichkeits- prinzips in der Verwaltung zu sensibi- lisieren. Im Fokus stand schliesslich die parlamentarische Debatte um das neue Datenschutzgesetz, die der Beauf- tragte kontinuierlich begleitete und im September 2020 mit der Verabschie- dung durch die beiden Kammern ihr Ende fand. Nachdem gegen das totalre- vidierte DSG kein Referendum ergrif- fen wurde, haben wir einen Kurzkom- mentar zu den neuen Bestimmungen auf unserer Website publiziert (s. Schwerpunkt 1). Wenn das Gesetz in Kraft tritt, wird der EDÖB über neue Aufgaben und gestärkte Auf- sichtsbefugnisse verfügen, was zu einem weiter ansteigenden Kommu- nikationsbedarf bzw. einer höheren Präsenz in der Öffentlichkeit führen dürfte. Mit Blick auf die Inkraftsetzung des neuen Gesetzes und der dazugehö- rigen Verordnung werden zurzeit die bestehenden Merkblätter, Erläuterun- gen und Leitfäden überarbeitet. Herausforderungen und Be- dingungen der Kommunikation Der Fachbereich Kommunikation konnte in der zweiten Jahreshälfte 2020 seinen ursprünglichen Stellen- etat wiederherstellen und verfügt somit über 2,4 Vollzeitstellen, die sich drei Personen teilen. Mit der Beset- zung der Stellen konnte auch die Mehrsprachigkeit der Schweiz wieder besser abgebildet werden. Aufgrund der beschränkten Ressourcen fokus- siert der Beauftragte die Öffentlich- keitsarbeit auf drei zentrale Kommu- nikationskanäle: den (vorliegenden) Tätigkeitsbericht, die Website und die direkte Beziehung zu Medienschaf- fenden. Twitter wird eingeschränkt genutzt und auf andere social media Plattformen wird nicht zuletzt aus Datenschutzgründen verzichtet. Im Berichtsjahr haben wir den Tätigkeitsbericht neu ausgeschrie- ben. Mit dem Zuschlag konnten die redaktionellen und konzeptionellen Rahmenbedingungen im bestehenden Kostenrahmen verbessert werden. Anhaltend hohes Medien- interesse Das grosse mediale Interesse spiegelte sich im Berichtsjahr in vielen Stellung- nahmen des Beauftragten bzw. der Kommunikation zu aktuellen Anfra- gen wie auch in den zahlreichen Arti- keln und Beiträgen, die allgemein zum Datenschutz und dem Öffentlichkeits- prinzip in der Verwaltung analog und digital erschienen sind. Allein in unse- rer Medienbeobachtung, die sich auf die Schweizer Medien und eine Aus- wahl von internationalen Key-Print- produkten stützt, registrierten wir gegen 4000 Beiträge. Das sind rund doppelt soviel wie in der Vorjahrespe- riode – eine Steigerung, die sich nicht durch die erfolgte Anpassung des Suchprofils begründen lässt, sondern auf die deutlich gesteigerte Relevanz hinweist. Mehr als die Hälfte der Bei- träge beziehen sich auf die Corona- Pandemie. Parallel dazu sehen wir im social web (den sozialen Medien und den Online-Plattformen; s. Kennzahlen Umschlag hinten) eine starke Aktivi- tät. In Bezug auf den EDÖB wurden 7320 Nennungen gezählt, wovon in 1152 Erwähnungen der Beauftragte oder ein Sprecher oder eine Sprecherin direkt zitiert wurde. Über die Hälfte dieser Nennungen erfolgte auf Kanä- len im Ausland. Ein zentraler Indikator im social web sind die «Engagements», also die Anzahl der Aktivitäten wie Likes, Weiterleitung oder Kommen- tierung pro Beitrag. Mit 3,36 Engage- ments liegt dieser Wert sehr hoch und weist auf eine erhöhte, aktive Vernet- zung in den Communities hin. Insgesamt haben wir rund 600 Medienanfragen bearbeitet – ca. ein Drittel mehr als im Jahr zuvor. Die 87 28. Tätigkeitsbericht 2020/21 Der EDÖB
88 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Der EDÖB
überwiegende Zahl der Kontakte erfolgte durch die im Medienzentrum des Bundeshauses akkreditierten Jour- nalistinnen und Journalisten. Bürger und Bürgerinnen und Unternehmen nutzten Mail, den Post- weg oder die telefonische Hotline, um ihre Anliegen und Fragen bei unseren Fachleuten anzubringen – insgesamt erreichten uns über diese Kanäle rund 4200 Anfragen. Wiederum nahm der Beauftragte bei gegen vierzig Veranstaltungen teil. Unter den Veranstaltern befanden sich Verbände und Vereine, Bildungsinsti- tutionen, Behörden oder Unterneh- men sowie Organisationen im Umfeld der Digitalisierung. Stellungnahmen, Empfehlun- gen und Publikationen Im Berichtsjahr veröffentlichte der Beauftragte diverse Stellungnahmen und Statements zu aktuellen Projek- ten und Ereignissen – neben Corona (s. Box) unter anderem zu folgenden Themen: • Beratung und Bestimmungen des totalrevidierten Datenschutzgesetzes • Ungenügende Regelung der Datenbearbeitung im neuem Zoll- polizeigesetz • CH- und EU-US Privacy Shield, namentlich zum Urteil des Euro- päischen Gerichtshofes EuGH betreffend der europäischen Stan- dardvertragsklauseln • Datenbearbeitung betreffend Diem (vormals Libra) • K VG-Revision: EDÖB für Transpa- renz bei Preismodellen Auf der Website des EDÖB publizier- ten wir zudem 26 Empfehlungen betreffend das Öffentlichkeitsprinzip. Die Publikation des im Art. 30 DSG vorgeschriebenen 27. Tätigkeitsbe- richts 2019/2020 erfolgte am 30. Juni 2020. Dieser wurde erneut in vier Sprachen zur Verfügung gestellt – und zwar sowohl als gedruckte Version wie auch als auf der Website verlinktes E-Paper. 89 28. Tätigkeitsbericht 2020/21 Der EDÖB CORONA Informationen zu Corona Der Beauftragte und seine Fachpersonen haben neben der umfangreichen Bera- tungstätigkeit in der Pandemie auch mehrfach die Haltung betreffend Datenschutz- konformität zentraler Herausforderungen öffentlich gemacht. Namentlich zu fol- genden Themen: • Auswertung von Mobilitätsverhalten auf dem Gebiet der Schweiz: Zugang des BAG zu visualisierten Daten der Swisscom • Proximity Tracing App: Datenschutzkonformität der SwissCovid App • Massnahmen für eine sichere Nutzung von Audio- und Videokonferenzlösungen • Corona-Schutzkonzepte durch private Betreiber: Freiwilligkeit der Weitergabe von Personendaten • Gästelisten und Kontaktdaten: Betreiber müssen bei der Erfassung der Kontakt- daten Datenschutz sicherstellen, Einsatz von Apps freiwillig • Verfahren gegen Impfplattform bzw. Stiftung meineimpfungen Im Rahmen des Internationalen Datenschutztages am 28. Januar 2021 erinnerte der EDÖB gemeinsam mit Privatim, der Konferenz der schweizerischen Datenschutz- beauftragten, an den nötigen Schutz der Privatsphäre in der Pandemie. Vor den Medien bekräftigten die Datenschutzbehörden das Recht auf das private und selbst- bestimmte Leben, das nicht über die Phase der aktuellen Pandemie hinaus einge- schränkt werden dürfe. Es muss für die Bevölkerung auch künftig möglich sein, bezüglich digitaler Technologien ein echtes Wahlrecht auszuüben und auf anonyme Alternativen auszuweichen.
90 Aufsicht Bund (Art. 27 DSG) Aufsicht Private (Art. 29 DSG) Ausbildung/Referate Beratung Bund Beratung Private Gesetzgebung Information Informationspflicht (Art. 6 DSG) Prüfungsgesuch Register der Datensammlungen Schlichtungsverfahren Zertifizierung Zusammenarbeit mit ausl. Behörden Zusammenarbeit mit Kantonen 3.3 Statistiken S tatistiken über die Tätigkeiten des EDÖB vom 1. April 2020 bis 31. März 2021 (Datenschutz) Aufwand nach Aufgabengebiet 0%5%10%15 %25%20 % 0%5%10 %15 %25 % Arbeitsbereich Datenschutzfragen allgemein Finanzwesen Gesundheit Grundrechte Handel & Wirtschaft InfoKommTech (IKT) Justiz, Polizei & Sicherheit Öffentlichkeitsprinzip Statistik & Forschung Verkehr Versicherungen Verteidigung Zertifizierungen Aufwand nach Sachgebiet 20 % Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Der EDÖB
Beratung (+8 % gegenüber Vorjahr) Aufsicht (−1.2%) Information (−4.8%) Gesetzgebung (−2%) 0 20102011201220132014201520162017201820192020 10 20 30 40 50 60 Mehrjahresvergleich Aufwand (Angaben in Prozent) 91 28. Tätigkeitsbericht 2020/21 Der EDÖB
92 Übersicht der Zugangsgesuche vom 1. Januar bis 31. Dezember 2020 DepartementAnzahl GesucheZugang vollständig gewährtZugang vollständig verweigert Zugang teilweise gewährt/ aufgeschoben Zugangsgesuch zurückgezogenZugangsgesuch hängigkein amtliches Dokument vorhanden BK312054020 EDA17488144711410 EDI3121142610084123 EJPD7745119237 VBS25118410375105 EFD109511328368 WBF115491536375 UVEK10553832336 BA13610042 PD6050001 Total 2020 (%) 1193 (100) 610 (51) 108 (9) 293 (24) 35 (3) 80 (7) 67 (6) Total 2019 (%) 916 (100) 542 (62) 86 (11) 171 (21) 38 (6) 43 (5) 36 (4) Total 2018 (%) 636 (100) 352 (55) 62 (10) 119 (19) 24 (4) 48 (7) 31 (5) Total 2017 (%) 581 (99) 317 (55) 107 (18) 106 (18) 26 (4) 21 (4) – Total 2016 (%) 551 (99) 293 (53) 87 (16) 105 (19) 33 (6) 29 (5) – Total 2015 (%) 597 (100) 319 (53) 98 (16) 127 (21) 31 (5) 22 (4) – Total 2014 (%) 575 (100) 297 (52) 122 (21) 124 (22) 15 (3) 17 (3) – Total 2013 (%) 469 (100) 218 (46) 122 (26) 103 (22) 18 (4) 8 (2) – Total 2012 (%) 506 (100) 223 (44) 138 (27) 120 (24) 19 (4) 6 (1) – Total 2011 (%) 466 (100) 203 (44) 126 (27) 128 (27) 0 (0) 9 (2) – DepartementAnzahl GesucheZugang vollständig gewährtZugang vollständig verweigertZugang teilweise gewährt/aufgeschobenZugangsgesuch zurückgezogenZugangsgesuch hängigkein amtliches Dokument vorhanden Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Der EDÖB
Statistiken über eingereichte Zugangsgesuche nach Öffentlichkeitsgesetz vom 1. Januar bis 31. Dezember 2020 Betroffener Fachbereich Anzahl Gesuche Zugang vollständig gewährt Zugang vollständig verweigert Zugang teilweise gewährt/aufgeschoben Zugangsgesuch zurückgezogenZugangsgesuch hängig kein amtliches Dokument vorhanden Bundeskanzlei BK BK211253010 EDÖB10811 Total312054020 Eidg. Departement für Auswärtige Angelegenheiten EDA EDA17488144711410 Total17488144711410 Eidg. Departement des Inneren EDI GS EDI201205030 EBG4300100 BAK3102000 BAR3102000 METEO CH1100000 NB0000000 BAG18151226932610 BFS7410002 BSV191504000 BLV25839401 SNM0000000 swissmedic4215090108 Suva7300022 Total3121142610084123 Eidg. Justiz- und Polizei departement EJPD GS EJPD5400001 BJ291872002 fedpol13622102 METAS2200000 SEM191015030 Dienst ÜPF1010000 SIR5300002 IGE2200000 ESBK0000000 ESchK0000000 RAB1000100 ISC-EJPD0000000 NKVF0000000 Total7745119237 Betroffener FachbereichAnzahl GesucheZugang vollständig gewährtZugang vollständig verweigertZugang teilweise
gewährt/aufgeschobenZugangsgesuch zurückgezogenZugangsgesuch hängigkein amtliches Dokument vorhanden 93 28. Tätigkeitsbericht 2020/21 Der EDÖB
94 Betroffener Fachbereich Anzahl Gesuche Zugang vollständig gewährt Zugang vollständig verweigert Zugang teilweise gewährt/aufgeschoben Zugangsgesuch zurückgezogenZugangsgesuch hängig kein amtliches Dokument vorhanden Eidg. Departement für Verteidigung, Bevölkerungsschutz und Sport VBS GS VBS207010102 Verteidig./ Armee 341309291 NDB18383202 armasuisse12902010 BASPO15014721000 BABS175012000 swisstopo0000000 OA0000000 Total25118410375105 Eidg. Finanz- departement EFD GS EFD221119010 ISB1001000 EFV10117100 EPA1100000 ESTV10703000 EZV371575136 BBL3111000 BIT4200101 EFK8331001 SIF3001020 PUBLICA0000000 ZAS101000000 Total109511328368 Eidg. Departement für Wirtschaft, Bildung und Forschung WBF GS WBF9610101 SECO3516107101 SBFI4300 001 BLW14307031 BWL7303001 BWO3003000 PUE2101000 WEKO181113120 ZIVI0000000 BFK2200000 SNF2100010 EHB1000010 ETH163310000 InnoSuisse2002000 Total115491536375 Betroffener FachbereichAnzahl GesucheZugang vollständig gewährtZugang vollständig verweigertZugang teilweise gewährt/aufgeschobenZugangsgesuch zurückgezogenZugangsgesuch hängig kein amtliches Dokument vorhanden Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Der EDÖB
Betroffener Fachbereich Anzahl Gesuche Zugang vollständig gewährt Zugang vollständig verweigert Zugang teilweise gewährt/aufgeschoben Zugangsgesuch zurückgezogenZugangsgesuch hängig kein amtliches Dokument vorhanden Eidg. Departement für Umwelt, Verkehr, Energie und Kommunikation UVEK GS UVEK9801000 BAV14903200 BAZL9302013 BFE4300001 ASTRA9702000 BAKOM142210000 BAFU3817513102 ARE0000000 ComCom0000000 ENSI7311020 PostCom1100000 UBI0000000 Total 10553832336 Bundesanwaltschaft BA BA13610042 Total13610042 Parlamentsdienste PD PD6 050001 Total6050001 Gesamttotal1193610108293358067 Betroffener FachbereichAnzahl GesucheZugang vollständig gewährtZugang vollständig verweigertZugang teilweise
gewährt/aufgeschobenZugangsgesuch zurückgezogenZugangsgesuch hängigkein amtliches Dokument vorhanden 95 28. Tätigkeitsbericht 2020/21 Der EDÖB
96 Zugangsgesuche 2020 mit Corona-Bezug Betroffener Fachbereich Gesuche im Zusammen-hang mit COVID-19 Zugang vollständig gewährt Zugang vollständig verweigert Zugang teilweise gewährt/aufgeschoben Zugangsgesuch zurückgezogenZugangsgesuch hängig kein amtliches Dokument vorhanden Bundeskanzlei BK BK6(100%)3(50 % )3(50 % )0(0 % )0(0 % )0(0 % )0(0 % ) EDÖB0(0%)0(0 % )0(0 % )0(0 % )0(0 % )0(0 % )0(0 % ) Total 6(100%)3(50 % )3(50 % )0(0 % )0(0 % )0(0 % )0(0 % ) Eidg. Departement für Auswärtige Angelegenheiten EDA EDA13(100%)12(92 % )1(8 % )0(0 % )0(0 % )0(0 % )0(0 % ) Total 13(100%)12(92 % )1(8 % )0(0 % )0(0 % )0(0 % )0(0 % ) Eidg. Departement des Inneren EDI GS EDI17(10%)11(6 % )0(0 % )3(2 % )0(0 % )3(2 % )0(0 % ) EBG0(0%)0(0 % )0(0 % )0(0 % )0(0 % )0(0 % )0(0 % ) BAK0(0%)0(0 % )0(0 % )0(0 % )0(0 % )0(0 % )0(0 % ) BAR0(0%)0(0 % )0(0 % )0(0 % )0(0 % )0(0 % )0(0 % ) METEO CH1(1 %)1(1 % )0(0 % )0(0 % )0(0 % )0(0 % )0(0 % ) NB0(0%)0(0 % )0(0 % )0(0 % )0(0 % )0(0 % )0(0 % ) BAG134(77%)44(25 % )16(9 % )53(31 % )1(1 % )11(6 % )9(5 % ) BFS1(1 %)0(0 % )0(0 % )0(0 % )0(0 % )0(0 % )1(1 % ) BSV1(1 %)1(1 % )0(0 % )0(0 % )0(0 % )0 (0 % )0(0 % ) BLV4(2%)3(2 % )1(1 % )0(0 % )0(0 % )0(0 % )0(0 % ) SNM0(0%)0(0 % )0(0 % )0(0 % )0(0 % )0(0 % )0(0 % ) swissmedic16(9%)4(2 % )0(0 % )0(0 % )0(0 % )9(5 % )3(2 % ) SUVA0(0%)0(0 % )0(0 % )0(0 % )0(0 % )0(0 % )0(0 % ) Total 174(100%)64(37 % )17(10 % )56(32 % )1(1 % )23(13 % )13(7 % ) Eidg. Finanz- departement EFD GS EFD0(0%)0(0 % )0(0 % )0(0 % )0(0 % )0(0 % )0(0 % ) ISB0(0%)0(0 % )0(0 % )0(0 % )0(0 % )0(0 % )0(0 % ) EFV9(36%)1(4 % )1(4 % )6(24 % )1(4 % )0(0 % )0(0 % ) EPA0(0%)0(0 % )0(0 % )0(0 % )0(0 % )0(0 % )0(0 % ) ESTV2(8%)2(8 % )0(0 % )0(0 % )0(0 % )0(0 % )0(0 % ) EZV11(44%)1(4 % )5(20 % )3(12 % )0(0 % )0(0 % )2(8 % ) BBL0(0%)0(0 % )0(0 % )0(0 % )0(0 % )0(0 % )0(0 % ) BIT3(12%)2(8 % )0(0 % )0(0 % )1(4 % )0(0 % )0(0 % ) EFK0(0%)0(0 % )0(0 % )0(0 % )0(0 % )0 (0 % )0(0 % ) SIF0(0%)0(0 % )0(0 % )0(0 % )0(0 % )0(0 % )0(0 % ) PUBLICA0(0%)0(0 % )0(0 % )0(0 % )0(0 % )0(0 % )0(0 % ) ZAS0(0%)0(0 % )0(0 % )0(0 % )0(0 % )0(0 % )0(0 % ) Total25(100%)6(11 % )6(11 % )9(16 % )2(4 % )0(0 % )2(4 % ) Betroffener FachbereichGesuche im Zusammen- hang mit COVID-19 Zugang vollständig gewährt Zugang vollständig verweigert Zugang teilweise gewährt/aufgeschoben Zugangsgesuch zurückgezogen Zugangsgesuch hängig kein amtliches Dokument vorhanden Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Der EDÖB
Betroffener Fachbereich Gesuche im Zusammen-hang mit COVID-19 Zugang vollständig gewährt Zugang vollständig verweigert Zugang teilweise gewährt/aufgeschoben Zugangsgesuch zurückgezogenZugangsgesuch hängig kein amtliches Dokument vorhanden Eidg. Justiz- und Polizeidepartement EJPD GS EJPD1(14%)0(0 % )0(0 % )0(0 % )0(0 % )0(0 % )1(14 % ) BJ6(86%)5(71 % )1(14 % )0(0 % )0(0 % )0(0 % )0(0 % ) fedpol0(0%)0(0 % )0(0 % )0(0 % )0(0 % )0(0 % )0(0 % ) METAS0(0%)0(0 % )0(0 % )0(0 % )0(0 % )0(0 % )0(0 % ) SEM0(0%)0(0 % )0(0 % )0(0 % )0(0 % )0(0 % )0(0 % ) Dienst ÜPF0(0%)0(0 % )0(0 % )0(0 % )0(0 % )0(0 % )0(0 % ) SIR0(0%)0(0 % )0(0 % )0(0 % )0(0 % )0(0 % )0(0 % ) IGE0(0%)0(0 % )0(0 % )0(0 % )0(0 % )0(0 % )0(0 % ) ESBK0(0%)0(0 % )0(0 % )0(0 % )0 (0 % )0(0 % )0(0 % ) ESchK0(0%)0(0 % )0(0 % )0(0 % )0(0 % )0(0 % )0(0 % ) RAB0(0%)0(0 % )0(0 % )0(0 % )0(0 % )0(0 % )0(0 % ) ISC-EJPD0(0%)0(0 % )0(0 % )0(0 % )0(0 % )0(0 % )0(0 % ) NKVF0(0%)0(0 % )0(0 % )0(0 % )0(0 % )0(0 % )0(0 % ) Total 7(100%)5(71 % )1(14 % )0(0 % )0(0 % )0(0 % )1(14 % ) Eidg. Departement für Umwelt, Verkehr, Energie und Kommunikation UVEK GS UVEK1(25%)1(25 % )0(0 % )0(0 % )0(0 % )0(0 % )0(0 % ) BAV2(50%)1(25 % )0(0 % )0(0 % )1(25 % )0(0 % )0(0 % ) BAZL0(0%)0(0 % )0(0 % )0(0 % )0(0 % )0(0 % )0(0 % ) BFE0(0%)0 (0 % )0(0 % )0(0 % )0(0 % )0(0 % )0(0 % ) ASTRA0(0%)0(0 % )0(0 % )0(0 % )0(0 % )0(0 % )0(0 % ) BAKOM0(0%)0(0 % )0(0 % )0(0 % )0(0 % )0(0 % )0(0 % ) BAFU1(25%)1(25 % )0(0 % )0(0 % )0(0 % )0(0 % )0(0 % ) ARE0(0%)0(0 % )0(0 % )0(0 % )0(0 % )0(0 % )0(0 % ) ComCom0(0%)0(0 % )0(0 % )0(0 % )0(0 % )0(0 % )0(0 % ) ENSI0(0%)0(0 % )0(0 % )0(0 % )0(0 % )0(0 % )0(0 % ) PostCom0(0%)0(0 % )0(0 % )0(0 % )0(0 % )0(0 % )0(0 % ) UBI0(0%)0(0 % )0(0 % )0(0 % )0(0 % )0(0 % )0(0 % ) Total 4(100%) 3(75 % )0(0 % )0(0 % )1(25 % )0(0 % )0(0 % ) Eidg. Departement für Verteidigung, Bevölkerungsschutz und Sport VBS GS VBS8(16%)1(2 % )0(0 % )5(10 % )0(0 % )0(0 % )2(4 % ) Verteidig./ Armee 23(46%)10(20 % )0(0 % )3(6 % )1(2 % )8(16 % )1(2 % ) NDB0(0%)0(0 % )0(0 % )0(0 % )0(0 % )0(0 % )0(0 % ) armasuisse1(2%)1(2 % )0(0 % )0(0 % )0(0 % )0(0 % )0(0 % ) BASPO3(6%)3(6 % )0(0 % )0(0 % )0(0 % )0(0 % )0(0 % ) BABS15(30%)3(6 % )0(0 % )12(24 % )0(0 % )0(0 % )0(0 % ) swisstopo0(0%)0(0 % )0(0 % )0(0 % )0(0 % )0(0 % )0(0 % ) OA0(0%)0(0 % )0(0 % )0(0 % )0(0 % ) 0(0 % )0(0 % ) Total 50(100%)18(36 % )0(0 % )20(40 % )1(2 % )8(16 % )3(6 % ) Betroffener FachbereichGesuche im Zusammen- hang mit COVID-19 Zugang vollständig gewährt Zugang vollständig verweigert Zugang teilweise gewährt/aufgeschoben Zugangsgesuch zurückgezogen Zugangsgesuch hängig kein amtliches Dokument vorhanden 97 28. Tätigkeitsbericht 2020/21 Der EDÖB
98 Betroffener Fachbereich Gesuche im Zusammen-hang mit COVID-19 Zugang vollständig gewährt Zugang vollständig verweigert Zugang teilweise gewährt/aufgeschoben Zugangsgesuch zurückgezogenZugangsgesuch hängig kein amtliches Dokument vorhanden Eidg. Departement für Wirtschaft, Bildung und Forschung WBF GS WBF2(8%)2(8 % )0(0 % )0(0 % )0(0 % )0(0 % )0(0 % ) SECO14(56%)5(20 % )7(28 % )2(8 % )0(0 % )0(0 % )0(0 % ) SBFI1(4%)1(4 % )0(0 % )0(0 % )0(0 % )0(0 % )0(0 % ) BLW0(0%)0(0 % )0(0 % )0(0 % )0(0 % )0(0 % )0(0 % ) BWL5(20%)2(8 % )0(0 % )2(8 % )0(0 % )0(0 % )1(4 % ) BWO3(12%)0(0 % )0(0 % )3(12 % )0(0 % )0(0 % )0(0 % ) PUE0(0%)0(0 % )0(0 % )0(0 % )0(0 % )0(0 % )0(0 % ) WEKO0(0%)0(0 % )0(0 % )0(0 % )0(0 % )0(0 % )0(0 % ) ZIVI0(0%)0(0 % )0(0 % )0 (0 % )0(0 % )0(0 % )0(0 % ) BFK0(0%)0(0 % )0(0 % )0(0 % )0(0 % )0(0 % )0(0 % ) SNF0(0%)0(0 % )0(0 % )0(0 % )0(0 % )0(0 % )0(0 % ) EHB0(0%)0(0 % )0(0 % )0(0 % )0(0 % )0(0 % )0(0 % ) ETH0(0%)0(0 % )0(0 % )0(0 % )0(0 % )0(0 % )0(0 % ) InnoSuisse0(0%)0(0 % )0(0 % )0(0 % )0(0 % )0(0 % )0(0 % ) Total 25(100%)10(40 % )7(28 % )7(28 % )0(0 % )0(0 % )1(4 % ) Bundesanwaltschaft BA BA0(0%)0(0 % )0(0 % )0(0 % )0(0 % )0(0 % )0(0 % ) Total 0(0%)0(0 % )0(0 % )0(0 % )0(0 % )0(0 % )0(0 % ) Parlamentsdienste PD PD4(100%) 0(0 % )3(75 % )0(0 % )0(0 % )0(0 % )1(25 % ) Total 4(100%)0(0 % )3(75 % )0(0 % )0(0 % )0(0 % )1(25 % ) Betroffener FachbereichGesuche im Zusammen- hang mit COVID-19 Zugang vollständig gewährt Zugang vollständig verweigert Zugang teilweise gewährt/aufgeschoben Zugangsgesuch zurückgezogen Zugangsgesuch hängig kein amtliches Dokument vorhanden Anzahl Schlichtungsgesuche nach Kategorien der Antragssteller Kategorie Antragsteller2020 Medien31 Privatpersonen (bzw. keine genaue Zuordnung möglich)42 Interessenvertreter (Verbände, Organisationen, Vereine usw.)5 Rechtsanwälte7 Unternehmen7 Universitäten1 Total93 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Der EDÖB
Zugangsgesuche der gesamten Bundesverwaltung vom 1. Januar bis 31. Dezember 2020 Zugang verweigert 9% Zugang teilweise gewährt / aufgeschoben 25% Rückzug 3% hängig 7% Zugang gewährt 51% kein amtliches Dokument vorhanden 5% Zugang teilweise gewährt / aufgeschoben 0 BKEDAEDIEJPDVBSEFDWBFUVEKBAPD 50 100 150 200 250 300 350 Zugang verweigert Zugang gewährt Rückzug hängig kein amtliches Dokument vorhanden Anzahl Gesuche 99 28. Tätigkeitsbericht 2020/21 Der EDÖB
100 Datenschutz Daniel Dzamko Kommunikation Hugo Wyler Gesetzgebung, Kantone Buntschu Marc Team 1Team 2Team 3 Kompetenzzentren Kosmas Tsiraktsopoulos Kompetenz zentrum Geschäfts verwaltung, Personelles und Finanzen Kompetenzzentrum IT und Digitale Gesellschaft Öffentlichkeits prinzip Reto Ammann Eidgenössischer Datenschutz und Öffentlichkeitsbeauftragter Adrian Lobsiger, Beauftragter Marc Buntschu, stv. Beauftragter Internationale Angelegenheiten Caroline Gloor Direktionsbereiche 3.4 Organisation EDÖB (Stand 31. März 2021) Organigramm Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Der EDÖB
Mitarbeiter und Mitarbeiterinnen des EDÖB Mitarbeiter und Mitarbeiterinnen des EDÖB Anzahl Mitarbeitende38 FTE31.8 nach GeschlechtFrauen2053% Männer1847 % nach Beschäftigungsgrad1–89 %2563% 90–100%1337 % nach SpracheDeutsch3079% Französisch718% Italienisch13% nach Alter20–49 Jahre2463% 50–65 Jahre1437 % KaderpositionenFrauen333% Männer667% 101 28. Tätigkeitsbericht 2020/21 Der EDÖB
Abkürzungsverzeichnis AHVN13 13-stellige AHV-Nummer BCR verbindliche Unternehmensregeln BGEID Bundesgesetz über elektroni- sche Identifizierungsdienste (E-ID- Gesetz) BGÖ Bundesgesetz über das Öffentlich- keitsprinzip der Verwaltung (Öffentlich- keitsgesetz BGÖ) Konvention 108+ Übereinkommen des Europarats zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten Datareg Register der Daten- sammlungen DSG Datenschutzgesetz DSGVO EU-Datenschutzgrundverord- nung EDSA Europäischer Datenschutzaus- schuss EDSB Europäischer Datenschutzbeauf- tragter EpG Bundesgesetz über die Bekämp- fung übertragbarer Krankheiten des Menschen (Epidemiengesetz) EPD Elektronisches Patientendossier EPDG Bundesgesetz über das elektroni- sche Patientendossier EuGH Europäischen Gerichtshofs GPA Internationale Konferenz der Datenschutzbeauftragten IKT Informations- und Kommunika- tionstechnologien KI Künstliche Intelligenz NaDB Programm Nationale Daten- bewirtschaftung NCSC Nationales Zentrum für Cyber- sicherheit NDB Nachrichtendienst des Bundes PBG Personenbeförderungsgesetz PNR Flugpassagierdaten Privatim Konferenz der Schweizer Datenschutz-Beauftragten (kantonale Datenschutzbehörden) SCC Standardvertragsklauseln SDSG Bundesgesetz über den Daten- schutz im Rahmen der Anwendung des Schengen-Besitzstands in Strafsachen [SR 235.3] Abkürzungsverzeichnis 102 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
Abbildungsverzeichnis Grafiken Grafik 1: Beurteilung Zugangsgesuche – Entwicklung seit 2006 .........................S. 69 Grafik 2: Erhobene Gebühren seit Inkrafttreten des BGÖ ..........................S. 71 Grafik 3: Schlichtungsanträge seit Inkrafttreten des BGÖ ..........................S. 72 Tabellen Tabelle 1: Einvernehmliche Lösungen ..............................................S. 73 Tabelle 2: Bearbeitungsdauer Schlichtungsverfahren ........................S. 74 Tabelle 3: Hängige Schlichtungs verfahren ........................S. 75 Tabelle 4: Für DSG- Belange einsetzbare Stellen .............................S. 82 Tabelle 5: Leistungen Datenschutz ....S. 83 Tabelle 6: Beratungen in umfang- reicheren Projekten für 2021 ..............S. 83 Tabelle 7: Wirkungsziele EDÖB .............S. 85 Abbildungsverzeichnis 103 28. Tätigkeitsbericht 2020/21
Impressum Dieser Bericht ist in vier Sprachen vorhanden und über das Internet (www.derbeauftragte.ch) aufrufbar. Vetrieb: BBL, Verkauf Bundespublikationen, CH-3003 Bern www.bundespublikationen.admin.ch Art.-Nr. 410.028.D Layout: Ast & Fischer AG, Wabern Fotografie: Nicolas Stadler Schriften: Pressura, Documenta Druck: Ast & Fischer AG, Wabern Papier: PlanoArt ® , holzfrei hochweiss
2019 2020 7320 8541 24’561 15’215 13% 6% 6% 6% 6% 9% 10% 10% 20% 42 % 55% 87% 37 % 31 % 35% 81 % 8% 7% 55% 52 % 7% 9% 4% 1% 1% 2% 15% 16% 35% 22 % 47 % 45% 2% 1% 5% 12% 2019 2020 Kennzahlen Leistungen Datenschutz 5 7,8 % Beratung 15,0 % Aufsicht 19,4 % Information 7,3 % Gesetzgebung 51 % gewährt Zugangsgesuche Öffentlichkeitsprinzip (BGÖ) 9% verweigert 25 % teilweise gewährt/ aufgeschoben 3% Rückzug 7% hängig 5% kein amtliches Dokument vorhanden Mediale Resonanz des Beauftragten im Social Web Mentions*
Anliegen des Datenschutzes Faire Information Unternehmen und Bundesorgane informieren transparent über ihre Daten bearbeitung: verständlich und voll ständig. Wahlmöglichkeit Betroffene geben ihre Einwilligung informiert und erhalten eine echte Wahl freiheit. Risikoanalyse Bereits im Projekt werden die möglichen Datenschutzrisiken identifiziert und deren Auswirkun- gen mit Massnahmen minimiert. Datenrichtigkeit Die Bearbeitung erfolgt mit zutreffenden Daten. Verhältnismässigkeit Kein Datensammeln auf Vorrat, sondern nur so weit wie nötig zur Erreichung des Zwecks. Die Datenbearbeitung wird umfang- mässig und zeitlich limitiert. Zweckgebundenheit Die Daten werden nur zu dem Zweck bearbeitet, der bei der Beschaffung angegeben wurde, aus den Umständen ersichtlich oder gesetzlich vorgesehen ist. Datensicherheit Die Datenbearbeiter stellen technisch und organisatorisch sicher, dass die Personendaten hinreichend geschützt sind. Dokumentation Alle Datenbearbeitungen werden durch den Datenbearbeiter dokumentiert und klassifiziert. Eigenverantwortung Private und Bundesorgane nehmen ihre Pflicht zur Beachtung der Datenschutzgesetzgebung eigen- verantwortlich wahr.
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Feldeggweg 1 CH-3003 Bern E-Mail: info@edoeb.admin.ch Website: www.derbeauftragte.ch @derBeauftragte Telefon: +41 (0)58 462 43 95 (Mo – Fr, 10 – 12 Uhr) Telefax: +41 (0)58 465 99 96