Ei d g e n ö s s i s c h e r Datenschutz- und Öffentlichkeitsbeauftragter 23. Tätigkeitsbericht 2015/2016
Tätigkeitsbericht 2015/2016 des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten Der Eidg. Datenschutz- und Öffentlichkeitsbeauftragte hat der Bundesversammlung periodisch einen Bericht über seine Tätigkeit vorzulegen (Art. 30 DSG). Der vorliegende Bericht deckt den Zeitraum zwischen
April 2015 und 31. März 2016 ab.
Tätigkeitsbericht 2015/2016 des EDÖB Dieser Bericht ist auch über das Internet (www.derbeauftragte.ch) abrufbar. Vertrieb: BBL, Verkauf Bundespublikationen, CH-3003 Bern www.bundespublikationen.admin.ch Art.-Nr. 410.023.d/f
3 23. Tätigkeitsbericht 2015/2016 des EDÖB Inhaltsverzeichnis Vorwort ............................................................................................................7
Datenschutz ....................................................................................11 1.1 Grundrechte .......................................................................................11 1.1.1 Datenschutz bei Unterschriftensammlungen ............................................11 1.1.2 Verwendung der AHV-Nummer als universelle Identifikationsnummer .....12 1.1.3 Nationales Adressregister .........................................................................14 1.1.4 Projekt MARS des Bundesamtes für Statistik und des Bundesamtes für Gesundheit ..........................................................................................14 1.1.5 Stellungnahme zu den rechtlichen Rahmenbedingungen von Open Government Data ......................................................................................16 1.1.6 Leitfaden zu den technischen und organisatorischen Massnahmen des Datenschutzes ...................................................................................17 1.2 Datenschutzfragen allgemein ...................................................19 1.2.1 Sachverhaltsabklärung Swiss Pass ............................................................19 1.2.2 Sachverhaltsabklärung zum kostenlosen Internet der SBB .......................20 1.2.3 Private Überwachung von Fussballfans auf öffentlichem Grund ...............21 1.2.4 Zentrale Speicherung von Kundenfotos bei Skistationen ...........................22 1.2.5 Bekanntgabe von Personendaten ins Ausland zur Dopingbekämpfung ....24 1.2.6 Revision der Energieverordnung und der Stromversorgungsverordnung .. 25 1.2.7 Verfahren zur Abklärung des Sachverhalts: Strafanzeigen bei Verletzung der Mitwirkungspflicht .......................................................26 1.2.8 Herausgabe der Fahrgestellnummer durch das ASTRA .............................27 1.3 Internet und Telekommunikation ............................................29 1.3.1 Sachverhaltsabklärung zu Windows 10 .....................................................29 1.3.2 Kundendatenanalyse bei Telekomanbieter zwecks personalisierter Angebote .........................................................................29 1.3.3 Datenzugriffe durch Apps .........................................................................30 1.3.4 Revision des Fernmeldegesetzes ..............................................................31 1.4 Justiz/Polizei/Sicherheit ..............................................................33 1.4.1 Totalrevision des Bundesgesetzes betreffend die Überwachung des Post- und Fernmeldeverkehrs ............................................................33 1.4.2 Bundesgesetz über den Nachrichtendienst ..............................................34 1.4.3 Informationssysteme der Eidgenössischen Zollverwaltung .......................35 1.4.4 Bekanntgabe von Daten über Flugreisende an den Nachrichtendienst des Bundes .................................................................35
Tätigkeitsbericht 2015/2016 des EDÖB 4 1.4.5 Kontrolle der Logfiles beim Grenzwachtkorps als Endnutzer des Schengener Informationssystems ......................................................37 1.5 Gesundheit und Forschung .........................................................38 1.5.1 Ausführungsbestimmungen zum Bundesgesetz über das elektronische Patientendossier .................................................................38 1.5.2 Sachverhaltsabklärung beim ärztlichen Dienst des Bundes ......................40 1.5.3 Verweigern der Auskunft über Gesundheitsdaten eines Kindes ................41 1.6 Versicherungen ................................................................................42 1.6.1 Kontrolle der Datenannahmestellen der Krankenversicherer ....................42 1.6.2 Rechnungsstellung nach SwissDRG – Was muss zum Vertrauensarzt? .....43 1.6.3 Datenlöschung bei Unfallversicherern ......................................................45 1.6.4 Verordnung betreffend die Aufsicht über die soziale Krankenversicherung – Projekt BAGSAN ...................................................45 1.6.5 Verordnung über den Risikoausgleich in der Krankenversicherung ...........47 1.7 Arbeitsbereich ..................................................................................49 1.7.1 Personensicherheitsprüfung von Mitarbeitenden (im Privatbereich) .........49 1.7.2 Whistleblowing-Meldestelle des Bundes ...................................................49 1.8 Handel und Wirtschaft ..................................................................51 1.8.1 Urteil des Europäischen Gerichtshofs zu Safe Harbor und die Folgen für die Schweiz ........................................................................51 1.8.2 Gesetzliche Grundlagen für Smart Metering in der Schweiz ......................53 1.8.3 Kundenkarte im Detailhandel ....................................................................54 1.8.4 Internet-Tauschbörsen und Urheberrecht – Revision des Urheberrechtsgesetzes .............................................................................55 1.8.5 Sachverhaltsabklärung zur Kredit- und Wirtschaftsauskunftei Moneyhouse ..........................................................57 1.8.6 Umsetzung der Auskunfts- und Widerspruchsrechte bei einem Adresshändler – Verfahren vor dem Bundesverwaltungsgericht ...............58 1.8.7 Unzulässige Werbeanrufe eines Call Centers ............................................59 1.9 Finanzen ..............................................................................................60 1.9.1 Bearbeitung von Kundendaten bei Postfinance ........................................60 1.9.2 Bekanntgabe von Personendaten an ausländische Steuerbehörden ........61 1.9.3 Lockerung der Amtshilfe in Bezug auf gestohlene Daten ..........................66 1.9.4 Banken und das Auskunftsrecht ...............................................................66 1.10 International ......................................................................................68 1.10.1 Internationale Zusammenarbeit ................................................................68
5 23. Tätigkeitsbericht 2015/2016 des EDÖB 2. Öffentlichkeitsprinzip ..............................................................76 2.1 Zugangsgesuche ..............................................................................76 2.1.1 Departemente und Bundesämter..............................................................76 2.1.2 Parlamentsdienste ....................................................................................77 2.1.3 Bundesanwaltschaft .................................................................................77 2.2 Schlichtungsanträge ......................................................................78 2.3 Ämterkonsultationen und weitere Stellungnahmen .....79 2.3.1 Mitwirkung in der Arbeitsgruppe Transparenz und Teilrevision des Öffentlichkeitsgesetzes .............................................................................79 2.3.2 Organisation Bahninfrastruktur .................................................................80 2.3.3 Freier Zugang zu Behördendaten / Open Government Data (OGD) ...........81 2.3.4 Revision der Energieverordnung und der Stromversorgungsverordnung .. 82 2.3.5 Gesetz über die Information und den Zugang zu Dokumenten des Kantons Freiburg ................................................................................82 2.4 Varia .......................................................................................................84 2.4.1 Internationale Konferenz der Informationsbeauftragten 2015 ...................84 2.4.2 Beziehungen zu kantonalen Öffentlichkeitsbeauftragten ..........................84 3. Der EDÖB ...........................................................................................86 3.1 Zehnter Datenschutztag .........................................................................86 3.2 Publikationen des EDÖB im laufenden Geschäftsjahr ...........................87 3.3 Statistik über die Tätigkeit des EDÖB vom
April 2015 bis 31. März 2016 ...............................................................89 3.4 Statistik über die bei den Departementen eingereichten Zugangsgesuche nach Art. 6 des Öffentlichkeitsgesetzes ....................92 3.5 Statistik über die bei der Bundesanwaltschaft eingereichten Zugangsgesuche nach Art. 6 des Öffentlichkeitsgesetzes ..................101 3.6 Statistik über die bei den Parlamentsdiensten eingereichten Zugangsgesuche nach Art. 6 des Öffentlichkeitsgesetzes ..................102 3.7 Anzahl Schlichtungsgesuche nach Kategorien der Antragsteller .......103 3.8 Das Sekretariat des EDÖB .....................................................................104
Abkürzungsverzeichnis .........................................................106
Tätigkeitsbericht 2015/2016 des EDÖB 6
7 23. Tätigkeitsbericht 2015/2016 des EDÖB Vorwort Vor zehn Jahren, am 1. Juli 2006, ist das Öffentlichkeitsgesetz in Kraft getreten. Die- ses Gesetz sollte eine entscheidende Rolle für das Funktionieren unseres Rechts- staates spielen. Ziel war es, die Transparenz über den Auftrag, die Organisation und die Tätigkeit der Verwaltung zu fördern, indem es insbesondere den Zugang zu amtlichen Dokumenten gewährleistet. Transparente Entscheidungsprozesse in der Verwaltung tragen dazu bei, das Vertrauen der Bürgerinnen und Bürger in die öffentlichen Institutionen zu stärken. Das Öffentlichkeitsgesetz (BGÖ) trägt somit – genauso wie das Bundesgesetz über den Datenschutz – zum reibungslosen Funk- tionieren eines demokratischen Staates bei, in dem die grundlegenden Rechte und Freiheiten geachtet werden. Der Gesetzgeber hat deshalb zu Recht den Eidgenös- sischen Datenschutz- und Öffentlichkeitsbeauftragten damit beauftragt, die Anwen- dung der Gesetzesbestimmungen mittels Schlichtungsverfahren zu überwachen. Die Umsetzung des Gesetzes verlief nicht ganz reibungslos. Es galt und gilt auch heute noch, gegen die Vorbehalte gewisser Behörden bezüglich der Bearbeitung der eingereichten Zugangsgesuche anzukämpfen. Zudem neigen Verwaltungen dazu, ohne weitere Abklärungen und ohne Begründung auf die im BGÖ aufgeführ- ten Ausnahmebestimmungen zu verweisen. Unbefriedigend sind ausserdem die teils zu hohen Gebühren, die Personen davon abhalten, ein Zugangsgesuch einzu- reichen. Obschon der vom Gesetzgeber angestrebte Paradigmenwechsel immer stärker zum Tragen kommt, stellen sich bestimmte Interessenvertreter nach wie vor quer und versuchen, die Tragweite des Öffentlichkeitsprinzips mit spezialgesetzli- chen Bestimmungen einzuschränken; dies insbesondere indem zusätzliche Aus- nahmen für die Aufsichtstätigkeiten bestimmter Behörden eingeführt oder gewisse Typen amtlicher Dokumente vom BGÖ ausgeschlossen werden. Angesichts der unrealistischen Fristen und der ungenügenden Ressourcen ist das reibungslose Durchführen der Schlichtungsverfahren nach wie vor eine Knacknuss für den Beauftragten. Derzeit wird das Öffentlichkeitsgesetz überarbeitet, wobei sich zeigen wird, wie ernst es der Verwaltung tatsächlich mit der Transparenz der Behörden ist. Es ist zu hoffen, dass im Rahmen der Revision die oben genannten Kinderkrankheiten des Gesetzes behoben werden und der Bundesrat zusätzliche Ressourcen zur Verfügung stellen wird, damit die Schlichtungsverfahren innert einer für die Zugangsgesuchsteller nützlichen Frist durchgeführt werden können. Seit seinem Inkrafttreten hat das Öffentlichkeitsgesetz deutlich an Bekanntheit gewonnen. Die Anzahl der bei der Bundesverwaltung eingereichten Auskunftsbe- gehren und der beim Beauftragten eingegangenen Schlichtungsanträge steigt stän- dig. Das Gesetz erlaubt den Bürgerinnen und Bürgern, selbst zu bestimmen, welche Informationen sie erhalten möchten. Die Verwaltung entscheidet nicht mehr alleine,
9 23. Tätigkeitsbericht 2015/2016 des EDÖB für das Predictive Profiling von Personen, aber auch an die Bearbeitung von Daten zur Personenüberwachung, insbesondere mittels invasiver Technologien wie etwa Drohnen oder biometrische Systeme. In einer Welt, in der sich Daten weder an das Souveränitäts- noch an das Territorialitätsprinzip halten, sollten die einzelnen Datenschutzsysteme keinesfalls zu stark voneinander abweichen. Die Schweiz hat ein Interesse daran, eine führende Rolle im Bereich der Datenbearbeitung und -aufbewahrung einzunehmen. So werden die Voraussetzungen für eine moderne Gesellschaft geschaffen, die offen für Fortschritt und technologische Innovation ist und gleichzeitig die grundlegenden Rechte und Freiheiten der Bürgerinnen und Bürger wahrt. Ich setze mich für einen weltweit bindenden Rechtsrahmen ein. Ein wichtiger Schritt in diese Richtung kann mit der laufenden Revision des Übereinkommens 108 des Europarats gemacht werden und indem Staaten, die nicht Mitglied des Europarats sind, das Übereinkommen ratifizieren. In seinem Urteil vom 4. Oktober 2015 hält der Gerichtshofs der Europäischen Union fest, dass die «Safe Harbor»-Regelung ange- sichts des massiven und unkontrollierten Zugriffs der amerikanischen Behörden auf Daten, die amerikanischen Unternehmen übermittelt wurden, keinen angemesse- nen Schutz bietet. Dies verdeutlicht, wie wichtig ein breit abgestütztes System zur Gewährleistung des Datenschutzes bei der Weitergabe von Daten an Staaten ohne angemessenes Schutzniveau ist. Der Entscheid macht die Notwendigkeit eines glo- balen Datenschutzinstruments deutlich. Die Schaffung eines UNO-Sonderberichter- statters zur Überwachung des Rechts auf Privatsphäre dürfte zum Erreichen dieses Ziels beitragen. Die Anpassung unseres Rechtsrahmens ist unumgänglich, allein aber nicht aus- reichend. Die gesetzlichen Anforderungen müssen in den verschiedenen betrof- fenen Sektoren umgesetzt (Verhaltenskodex) und in die Informationssysteme und die Kommunikationstechnologien implementiert werden. Das Prinzip der daten- schutzfreundlichen Voreinstellungen («privacy by default») sollte Standard werden. Technologisch ist dies kein Problem, gewisse Unternehmen sträuben sich jedoch dagegen. Daher plädiere ich dafür, dass die Politik echte Anreize für die Entwicklung und Nutzung datenschutzfreundlicher Technologien schafft. Mit solchen Technolo- gien, insbesondere durch die Verwendung sicherer Datenverschlüsselungssysteme ohne «Hintertür», kann das Vertrauen der betroffenen Personen gewonnen werden. Die Sicherheit der Systeme ist auch für die Bekämpfung der Kriminalität wichtig. Parallel dazu müssen Schulungsangebote im Bereich der digitalen Kompetenz zum festen Bestandteil nationaler Programme für sämtliche Bevölkerungsschichten werden. Nur wer die Technologie beherrscht und sich der damit verbundenen Vor- teile und Risiken bewusst ist, kann sie Technologie verantwortungsvoll und kompe- tent nutzen.
11 23. Tätigkeitsbericht 2015/2016 des EDÖB
Datenschutz 1.1 Grundrechte 1.1.1 Datenschutz bei Unterschriftensammlungen Wer Unterschriften für eine Volksinitiative oder ein Referendum sammelt, darf die erhalten Personendaten nur unter gewissen Voraussetzungen bearbeiten. So ist ihre Verwendung für den Versand eines Informationsschreibens o.Ä. nur zulässig, wenn die betroffene Person frei und ausdrücklich eingewilligt hat. Die Abteilung für politische Rechte in der Bundeskanzlei bat uns im Berichtsjahr, die datenschutzrechtlichen Anforderungen zu erläutern, die gelten, wenn bei einer Unterschriftensammlung für eine Initiative oder ein Referendum erhobene Perso- nendaten zu anderen Zwecken verwendet werden. Bei einer solchen Unterschriftensammlung findet eine Bearbeitung von Perso- nendaten statt, die dem Bundesgesetz über den Datenschutz (DSG) und seinen allgemeinen Grundsätzen unterliegt. Die bei der Ausübung der politischen Rechte gewonnenen Daten sind als besonders schützenswert im Sinne des DSG zu betrachten, da sie Angaben zu den politischen Meinungen oder Betätigungen der betroffenen Personen enthalten. Das DSG verlangt bei diesen Daten eine besonders strenge Anwendung der allgemeinen Datenschutzgrundsätze. Die Unterstützung eines Referendums oder einer Volksinitiative beinhaltet eine Erhebung und Bearbeitung von Personendaten im Sinne des Gesetzes über die politischen Rechte, wobei dies im Wesentlichen die Prüfung der Gültigkeit der Unterschrift betrifft. Wenn eine Person mit ihrer Unterschrift ein Referendum oder eine Volksinitiative unterstützt, muss sie hingegen nicht mit der Verwendung ihrer Daten für den Versand von Informationen oder für Spendenkampagnen rechnen (Zweckbindungsprinzip). Eine solche Verwendung von Personendaten erfordert einen (neuen) Rechtfertigungsgrund, und zwar das Einverständnis der betroffenen Person, ein überwiegendes privates oder öffentliches Interesse oder ein Gesetz. Im vorliegenden Fall kommt nur die Zustimmung der Unterzeichner als Rechtfertigung infrage, wenn ihre Daten zu einem anderen Zweck als der Unterstützung der Initia- tive verwendet werden sollen. Damit eine Einwilligung gültig ist, muss die betroffene Person ihren Willen frei und nach vorgängiger Information äussern (freie und aufgeklärte Einwilligung). Bei besonders schützenswerten Daten oder Persönlichkeitsprofilen muss die Zustim- mung überdies ausdrücklich erfolgen. Die Verwendung der im Rahmen der Initiative
Tätigkeitsbericht 2015/2016 des EDÖB 12 gewonnenen Personendaten, die als besonders schützenswerte Daten zu erachten sind, zu anderen Zwecken erfordert demnach ein freies, aufgeklärtes und ausdrück- liches Einverständnis. In dem von der Bundeskanzlei konkret vorgelegten Fall befand sich auf dem For- mular für die Unterschriftensammlung ein kleines Feld (rechts von der Unterschrift), das anzukreuzen war, falls der Unterzeichner die Verwendung seiner Daten für die Zusendung von Informationen nicht wünscht (Opt-out). Über diesem Feld stand in kleiner Schrift: «Schickt mir bitte keine weiteren Infos (ankreuzen)». Es stellte sich also insbesondere die Frage, ob ein fehlendes Kreuzchen unter dem Gesichtspunkt des DSG als gültiges Einverständnis zum Zusenden von Informationen angesehen werden konnte. Unseres Erachtens entsprach die Art, in der die Zustimmung eingeholt wurde, nicht den Anforderungen des DSG. Zum einen waren die Informationen bezüglich der Verwendung dieser besonders schützenswerten Daten nicht ausreichend klar. Zum anderen kann das Fehlen eines angekreuzten Feldes hier nicht als Einwilligung gel- ten, da die Bearbeitung von besonders schützenswerten Daten ein ausdrückliches Einverständnis erfordert. Die neben Namen und Adresse angebrachte Unterschrift bezieht sich nur auf die Unterstützung der betreffenden Initiative oder des frag- lichen Referendums und nicht auf eine andere Verwendung der Personendaten. Zudem halten wir auch ein anzukreuzendes Opt-in-Feld vor der Unterschrift nicht für geeignet, um Missbrauchsrisiken zu vermeiden, da ein solches Feld leicht von einer Drittperson angekreuzt werden kann. Diese Variante ist somit weder sicher noch datenschutzkonform. Tatsächlich macht es der Sicherheitsgrundsatz erfor- derlich, dass Personendaten durch angemessene organisatorische und technische Massnahmen gegen jegliche unerlaubte Bearbeitung geschützt werden. In diesem Kontext raten wir den Initiativ- oder Referendumskomitees, ein Vorgehen zu wäh- len, das gewährleistet, dass die betroffenen Personen der Verwendung ihrer Daten frei, ausdrücklich und nach vorgängiger Information zugestimmt haben. Eine Mög- lichkeit wäre es, die Einwilligung auf einem separaten Blatt oder mittels einer wei- teren Unterschrift einzuholen. 1.1.2 Verwendung der AHV-Nummer als universelle Identifikationsnummer Im Berichtsjahr haben wir den Bundesrat um eine Grundsatzent- scheidung bezüglich der generellen Verwendung der AHV-Nummer ausserhalb des Sektors der Sozialversicherungen ersucht. Wir sind der Auffassung, dass nur eine sektoreigene Nummer in der Lage ist, die Risiken einer missbräuchlichen Datenverknüpfung zu begrenzen.
13 23. Tätigkeitsbericht 2015/2016 des EDÖB Am Rande unserer Mitwirkung an einer Arbeitsgruppe, die damit beauftragt war, die Ausarbeitung von Rechtsgrundlagen für die Verwendung eines administrativen Personenidentifikators im Bereich E-Government zu prüfen (vgl. unseren 22. Tätig- keitsbericht, Ziffer 1.1.7), haben wir beim Vorsteher des Eidgenössischen Departe- ments des Innern (EDI) unsere Bedenken bezüglich der generellen Verwendung der AHV-Nummer ausserhalb des Sozialversicherungssektors angemeldet. Angesichts der besorgniserregenden Entwicklung auf diesem Gebiet und der dar- aus entstehenden Risiken für die Privatsphäre der betroffenen Personen schien es uns angebracht, den Bundesrat auf diese Problematik aufmerksam zu machen. Wir haben ihn gebeten, sich klar für oder gegen die systematische Verwendung der AHV-Nummer ausserhalb des Sozialversicherungssektors auszusprechen bezie- hungsweise eine gesetzgeberische Überprüfung dieser Bestimmung zu erwägen, um ihren Geltungsbereich einzuschränken. Das Bundesamt für Sozialversicherungen (BSV) wurde beauftragt, ein Aussprache- papier für den Bundesrat zu verfassen. In der Ämterkonsultation wiesen wir dar- auf hin, dass sich das Papier auf Vorschläge für Abänderungen des AHV-Gesetzes beschränke, mit denen die Bedingungen für die Verwendung der AHV-Nummer bei der Ausführung des kantonalen Rechts genauer festgelegt werden sollen (Status quo plus). Zudem bringe es keine echte Lösung zur Begrenzung der zunehmenden Verwendung der AHV-Nummer ausserhalb der Sozialversicherungen. Die empfoh- lenen Lösungen stellen den weit reichenden Einsatz dieser Nummer nicht in Frage. Wir erinnerten auch daran, dass ohne Massnahmen zur kontrollierten Verwendung dieser Nummer Zweifel an deren Verlässlichkeit aufkommen könnten. Der Bundesrat nahm Kenntnis vom Aussprachepapier und beauftragte das EDI, die Frage der Verwendung der AHV-Nummer eingehender zu prüfen, insbesondere die Möglichkeit ihrer Verwendung als eindeutige Identifikationsnummer für den Bereich E-Government, und dem Bundesrat das Ergebnis seiner Analyse und die weiteren Arbeiten bis zum ersten Halbjahr 2016 zu unterbreiten. Wir sind der Auffassung, dass nur eine sektoreigene Nummer in der Lage wäre, die Risiken einer missbräuchlichen Datenverknüpfung zu begrenzen und gleichzeitig den Bedürfnissen der Verwaltung und der Bürger zu entsprechen (hinsichtlich Rich- tigkeit der Daten, fehlende Verwechslungsgefahr, Qualität der Daten, usw.), da sie über die gleichen Funktionalitäten verfügt wie die AHV-Nummer. Im Gegensatz zu der von manchen vertretenen Meinung ist eine sektorielle Nummer leicht einzurich- ten und wenig kostspielig. Wie wir feststellten, wurde in mehreren Bereichen eine solche Nummer eingeführt, so etwa bei der elektronischen Patientenakte. Dies weil die Risiken richtig erkannt wurden und man mit ihr ein besseres Gleichgewicht zwi- schen dem Schutz der Privatsphäre und den Bedürfnissen der Verwaltung anstrebt. Zudem ist es im Zeitalter von Big Data und der Internet-Kriminalität unumgänglich,
15 23. Tätigkeitsbericht 2015/2016 des EDÖB Zur Erinnerung sei erwähnt, dass das Bundesamt für Statistik (BFS) aufgrund des Bundesstatistikgesetzes beauftragt ist, Statistiken von allgemeinem Interesse zu produzieren. Im Gesundheitsbereich hat das BFS die spezifische Aufgabe, die für die Prüfung der Funktionsweise und der Wirkungen des Bundesgesetzes über die Krankenversicherung (KVG) notwendigen statistischen Grundlagen zu erstellen. Die eidgenössischen statistischen Erhebungen müssen auf die ambulante Medizin aus- geweitet werden, damit Daten betreffend den Umfang der Versorgung in diesem Bereich, die Gründe für die Inanspruchnahme dieser Dienstleistungen (Diagnose) sowie die Leistungen und Kosten des ambulanten Sektors gewonnen werden kön- nen. Das BFS führt auch Erhebungen bei den Leistungserbringern durch, damit den von Gesetzes wegen mit der Aufsicht betrauten Stellen Daten übermittelt werden können. Gemäss Artikel 59a KVG (beziehungsweise ehemals Art. 22a Absatz 4 KVG) erlässt der Bundesrat nähere Vorschriften zur Erhebung, Bearbeitung, Weitergabe und Veröffentlichung der Daten unter Wahrung des Verhältnismässigkeitsprinzips. Wir haben immer wieder auf der Notwendigkeit einer raschen Umsetzung dieses Arti- kels bestanden. Im Dezember 2014 legten uns das Bundesamt für Gesundheit (BAG) und das BFS den Entwurf der neuen Verordnungsbestimmungen (KVV) vor. Im Anschluss an ein Gespräch, das wir mit dem BAG, dem BFS und dem Bundesamt für Justiz (BJ) führten, wurde der Entwurf überarbeitet und danach im März 2015 in die Ämterkonsultation gegeben. Unsere Stellungnahmen betrafen namentlich die Kategorien der bearbeiteten Daten, den Begriff der Datenverknüpfung und der Pseudonymisierung; wir brach- ten auch Bemerkungen zur Erwähnung der Datenempfänger und zur Angabe einer Aufbewahrungsfrist an. Überdies erinnerten wir daran, dass die im Rahmen des Projekts MARS durchgeführte Datenbearbeitung das Verhältnismässigkeitsprinzip einhalten und die Anonymität der Patienten gewährleisten muss. Parallel zu den Änderungen an der KVV ist das BFS dabei, ein Bearbeitungsregle- ment zu erstellen; dieses regelt die technischen Aspekte der Verwendung der AHV-Nummer, der Datenverknüpfungen, der Pseudo- und Anonymisierung sowie des kryptologischen Verfahrens und des Key Management. Angesichts der beson- deren Schutzwürdigkeit der erhobenen Personendaten verfolgen wir die Entwick- lung des Projekts weiterhin mit grosser Aufmerksamkeit und achten darauf, dass die Datenschutzanforderungen vollumfänglich eingehalten werden.
17 23. Tätigkeitsbericht 2015/2016 des EDÖB 1.1.6 Leitfaden zu den technischen und organisatorischen Massnahmen des Datenschutzes Unser Leitfaden zu den technischen und organisatorischen Massnahmen des Datenschutzes ist terminologisch überarbeitet worden. Die Personendaten werden entsprechend ihrer Schutzwür- digkeit klassifiziert, sodass sie in angemessener Weise bearbeitet und geschützt werden können. Die Klassifizierung der Daten in drei Stufen ist mit der Klassifizierung des Informationsschutzes vergleichbar und lässt sich auf die technischen und organisatori- schen Massnahmen übertragen. Wir haben den Leitfaden zu den technischen und organisatorischen Massnahmen des Datenschutzes (der nun auch in englischer Sprache vorliegt) terminologisch aktualisiert: ausgehend von den gesetzlichen Begriffsbestimmungen oder den mit ihrer Bearbeitung verbundenen Risikostufen wurden die Personendaten je nach Art in «nicht-sensible», «sensible» und «hochsensible» Daten eingeteilt. Bezüglich der Risikostufe gehören die besonders schützenswerten Daten und Persönlich- keitsprofile im Sinne des Bundesgesetzes über den Datenschutz (Art. 3 Bst. c und d DSG) in die Risikostufe «hoch» (Klasse «sensibel»), während die nicht-sensiblen Personendaten in den Risikostufen «mittel» und «gering» (Klasse «nicht-sensibel») erfasst sind. Die Risikostufe «sehr hoch» (Klasse «hochsensibel») ihrerseits ist für Daten vorbehalten, deren Missbrauch das Leben oder die körperliche Integrität der betroffenen Personen gefährden kann. Diese Klassifizierung ist nicht zu verwechseln mit der Einstufung des Informations- schutzes (intern / vertraulich / geheim), der auf den Schutz nationaler Interessen gemäss der Informationsschutzverordnung und dem künftigen Gesetz über die Informationssicherheit abzielt. Die Verwendung der Kennzeichnung «vertraulich» für Personendaten der Klasse «sensibel» ist unangebracht und unbedingt zu ver- meiden. Die beiden Klassifizierungsarten weisen indessen Ähnlichkeiten auf, sodass eine Parallelanwendung der technischen und organisatorischen Schutzmassnah- men zusammen mit jeder Klassifizierungsstufe (nicht-sensibel / intern, sensibel / vertraulich, hochsensibel / geheim) einen Gewinn an Einfachheit, Wirksamkeit und Klarheit bedeutet. Ab der Klasse «sensibel» bzw. «vertraulich» ist somit eine Verschlüsselung der Übertragung und Speicherung zwingend erforderlich. Dies gilt für alle Datenmana- gement-Systeme, wie etwa die Systeme der elektronischen Geschäftsverwaltung (GEVER), aber auch für die zusätzlichen Lösungen mit automatischer Unterstützung der Daten-/Informationsklassifizierung oder die durch Cloud Computing entstehen- den Möglichkeiten des Hosting von Daten, insbesondere von Big Data.
19 23. Tätigkeitsbericht 2015/2016 des EDÖB 1.2 Datenschutzfragen allgemein 1.2.1 Sachverhaltsabklärung Swiss Pass Ende 2015 führten wir eine Sachverhaltsabklärung zum «Swiss Pass» der SBB und des Verbands öffentlicher Verkehr (VöV) durch. Wir kamen dabei zum Schluss, dass die bei den Fahrscheinkontrollen durchgeführten Datenbearbeitungen weder verhältnismässig waren noch auf einer genügenden gesetzlichen Grundlage beruhten. Folglich haben wir gegenüber dem VöV und den SBB eine Empfehlung zur Behebung der festgestellten Mängel erlassen. Die SBB und der VöV setzten uns am 3. März 2015 über das Projekt Swiss Pass in Kenntnis – eine Woche vor der Orientierung der Medien. Dabei handelte es sich um eine reine Vorinformation, in welcher uns die wichtigsten Aspekte des Projekts präsentiert wurden. Seit dem 1. August 2015 werden alle General- und Halbtaxabonnemente laufend durch den Swiss Pass ersetzt. Dieser bietet zusätzlich Zugang zu Partnerdiensten wie Mobility Carsharing, Publibike, SchweizMobil oder einigen Skigebieten. Ende 2015 führten wir eine Sachverhaltsabklärung zum SwissPass und den damit zusammenhängenden Datenbearbeitungen durch. Dabei prüften wir insbesondere auch die Kontrolldatenbank. Wir konnten Folgendes feststellen: Unmittelbar nach dem Kauf eines GA oder eines Halbtaxabonnements werden die Kundendaten in die zentrale Kunden- und Abonnementsdatenbank (KUBA) einge- tragen. Bei den Kontrollen legt das Zugbegleitpersonal ein Lesegerät, das eine lokale Kopie der Abonnementsdaten enthält, auf den Swiss Pass, um diesen zu scannen. Dabei werden die Identitätsdaten, Art des Abonnements sowie dessen Gültigkeit (gültig, teilgültig, ungültig) auf dem Bildschirm des Lesegerätes angezeigt. Die Kon- trolldaten, unter anderem bestehend aus Uhrzeit, Zug- und Kursnummer sowie der Verknüpfung zur Swiss-Pass-Ausweisnummer, werden anschliessend in die Kon- trolldatenbank hochgeladen und dort während 90 Tagen aufbewahrt. Die SBB wurden vom VöV mit der Marktbearbeitung und mit der Führung der Swiss-Pass-Datenbanken beauftragt und sind auch für die Behandlung von Aus- kunftsgesuchen zuständig. Die Kunden- und Leistungsdaten werden, sofern kein ausdrücklicher Einwand (Opt-out) der Kunden erfolgte, auch zu Marketingzwecken verwendet. Die Kontrolldaten selbst werden weder zu Marketingzwecken bearbei- tet noch an Dritte bekannt gegeben. Aufgrund unserer Abklärungen kamen wir zum Schluss, dass die in Zusammenhang mit der Kontrolldatenbank durchgeführten Datenbearbeitungen weder verhältnis- mässig sind noch auf einer genügenden gesetzlichen Grundlage beruhen. Folglich
21 23. Tätigkeitsbericht 2015/2016 des EDÖB Gestützt auf unsere Abklärungen machten wir zwei Empfehlungen, die beide die Datenbearbeitung in Zusammenhang mit dem BÜPF betrafen. Wir empfahlen den SBB, nur diejenigen Daten zu bearbeiten, die effektiv unter das BÜPF fallen und insbesondere die Daten «Ziel IP Adresse» und «Ziel Port» nicht mehr zu erheben. Weiter verlangten wir, die Nutzungs- und Randdaten nur so lange wie im Gesetz vor- gesehen, nämlich sechs und nicht neun Monate, aufzubewahren. Zudem machten wir gegenüber den SBB zwei Verbesserungsvorschläge. Einerseits schlugen wir vor, für die Behandlung der Auskunftsgesuche ein dokumentiertes Verfahren auszuar- beiten. Andererseits forderten wir die SBB auf, ihre AGB an die effektiv getätigten Datenbearbeitungen anzupassen. Die SBB nahmen unsere zweite Empfehlung sowie unsere beiden Verbesserungs- vorschläge an. Gleichzeitig hielten sie fest, unserer ersten Empfehlung nicht folgen zu können, da ihnen der Dienst für die Überwachung des Post- und Fernmelde- verkehrs (Dienst ÜPF) dringend geraten habe, die obengenannten Daten für die Strafverfolgungsbehörden weiterhin zu speichern. Wir sind allerdings der Auffassung, dass die Protokollierung von «Ziel IP Adresse» und «Ziel Port» im jetzigen BÜPF nicht vorgesehen ist. Aufgrund der zurzeit laufen- den Revision des BÜPF sehen wir jedoch momentan davon ab, diesen Punkt durch die zuständigen Behörden beurteilen zu lassen. Folglich erklärten wir die Sachver- haltsabklärung für abgeschlossen, behielten uns jedoch ausdrücklich vor, die Frage der Protokollierung von «Ziel IP Adresse» und «Ziel Port» zu einem späteren Zeit- punkt nochmals aufzugreifen und gegebenenfalls gerichtlich durchzusetzen (vgl. auch Ziffer 1.4.1 des vorliegenden Tätigkeitsberichts). 1.2.3 Private Überwachung von Fussballfans auf öffentlichem Grund Werden Fussballfans auf öffentlichem Grund heimlich gefilmt, verletzt dies möglicherweise deren Persönlichkeit widerrechtlich. Eine solche Massnahme könnte allenfalls dadurch legitimiert werden, dass sie entweder als Teil eines Polizeieinsatzes durchgeführt oder nur im Ereignisfall ergriffen wird. Ein Projekt der Swiss Football League sorgte in diesem Frühjahr für Schlagzeilen: Fussballfangruppen sollen auf dem Weg zu Auswärtsspielen von Privatpersonen begleitet und heimlich gefilmt werden, um im Falle von Ausschreitungen, Sachbe- schädigungen etc. Beweismittel zur Hand zu haben. Die Swiss Football League hat uns zu Beginn des Jahres zur Klärung einiger datenschutzrechtlicher Fragen kontak- tiert. Wir haben in allgemeiner Weise wie folgt Stellung genommen:
23 23. Tätigkeitsbericht 2015/2016 des EDÖB 2014/2015, Ziffer 1.2.3). In der Zwischenzeit wurden diese Systeme weiterentwickelt und durch zusätzliche Funktionen ergänzt. Insbesondere sollen die Skistationen die Möglichkeit erhalten, Abonnementsnutzungen auch nachträglich kontrollieren zu können. Die PhotoCompare-Funktion der Firma Ski Data dient diesem Zweck. Bei jedem Passieren eines Drehkreuzes wird vom Gast ein Kontrollfoto erstellt. Es kann zu einem beliebigen Zeitpunkt mit dem zentral in der Abonnementsdatenbank hinter- legten Referenzfoto verglichen werden. Damit erhalten die Skistationen einerseits die Möglichkeit, in Zeiten mit hoher Besucherfrequenz Kontrollen aufzuschieben und diese in einem günstigeren Zeitpunkt nachzuholen. Andererseits ist es mit Hilfe dieser Funktion möglich, systematische und über einen längeren Zeitraum andau- ernde Missbräuche von Abonnementen zu entdecken und zu ahnden. Skistationen begründen den Einsatz dieser Funktion denn auch mit der offenbar gestiegenen Anzahl von Missbrauchsfällen. Wir haben die Funktion aufgrund diverser Anfragen betroffener Personen und auf Wunsch der Herstellerin analysiert und sind dabei zu folgendem Schluss gelangt: Mit der PhotoCompare-Funktion wird stärker in die Persönlichkeitsrechte der Kun- den eingegriffen als mit herkömmlichen Zutrittskontrollen. Überspitzt formuliert, werden sämtliche Gäste einem Generalverdacht unterstellt und Daten auf Vorrat gespeichert, was unter datenschutzrechtlichen Aspekten stets heikel ist. Daher ist bei deren Verwendung nebst den für Zutrittskontrollsysteme allgemein einzuhalten- den Rahmenbedingungen (vgl. unseren 22. Tätigkeitsbericht 2014/2015, Ziffer 1.2.3) insbesondere Folgendes zu beachten: Der Einsatz von PhotoCompare rechtfertigt sich nur bei Abonnementen mit höhe- rem Wert, also insbesondere bei Saison- oder Wochenkarten. Bei Karten mit kurzer Gültigkeitsdauer ist auf den Einsatz der Funktion hingegen zu verzichten. Das Sys- tem von Skidata erlaubt entsprechende Einstellungen, damit nur bei bestimmten Abonnementskategorien Kontrollfotos erstellt werden. Beim Einsatz von PhotoCompare müssen die Gäste vorab in den Allgemeinen Geschäftsbedingungen (AGB) oder spezifischen Datenschutzbestimmungen sowie vor Ort mit gut sichtbaren Hinweisschildern darüber informiert werden, dass sie beim Passieren der Drehkreuze fotografiert werden können. Dies dient nicht nur der Einhaltung des Transparenzgrundsatzes, sondern nach unseren Erfahrungen auch der Akzeptanz des Systems bei den betroffenen Personen. Die Kontrollfotos dürfen nur für einige Tage aufbewahrt werden. Die Speicherdauer kann dabei im System individuell eingestellt werden. Die von einigen Skistationen praktizierte Speicherung der Vergleichsfotos während der gesamten Gültigkeits- dauer des Abonnements kann unter Umständen problematisch sein:
25 23. Tätigkeitsbericht 2015/2016 des EDÖB Eine Vereinfachung der Datenbekanntgabe zur Dopingbekämpfung könnte auch die im vergangenen Jahr gemachten Anpassungen des kanadischen Datenschutzge- setzes mit sich bringen. Eine abschliessende Einschätzung dieser neuen kanadi- schen Bestimmungen steht momentan noch aus. 1.2.6 Revision der Energieverordnung und der Stromversorgungsverordnung Im Rahmen unserer Stellungnahme zur Revision der Energie- und Stromversorgungsverordnungen haben wir die Publikation von Personendaten im Internet durch ein Bundesorgan auf die Verhältnis- mässigkeit geprüft. Wir kamen zum Schluss, dass mit der geplanten Ausweitung des betroffenen Personenkreises nur eine marginale Erhöhung der Transparenz erreicht werden kann. Daher forderten wir auf die Ausweitung zu verzichten. Im Verordnungsentwurf war geplant, zu allen Stromproduktionsanlagen, die eine Vergütung erhalten, eine Liste mit folgenden Angaben zu publizieren: Name des Produzenten, Standort der Anlage, verwendeter Energieträger, Anlagen- kategorie und -typ, Leistung; erzielte Produktion, Höhe der Vergütung, Anmeldeda- tum, Inbetriebnahmedatum sowie Vergütungsdauer. Nach geltendem Recht durften bislang nur Personendaten zu Anlagen mit Anschlussleistung von über 30 kVA publiziert werden, welche dem Obligatorium der Erfassung der Anlage, der produzierten Elektrizität sowie des Herkunftsnachwei- ses unterstellt waren. Alle Anlagen mit einer kleineren Anschlussleistung wurden in anonymisierter Form mit Postleitzahl, Ort und Kanton auf der Liste aufgeführt. Wir haben im Rahmen des Mitwirkungsverfahrens die geplante Ausweitung des Kreises der von einer Publikation betroffenen Personen auf die Verhältnismässig- keit geprüft. Bei der Beurteilung der Verhältnismässigkeit der Datenbearbeitung muss der Eingriff in die Persönlichkeit der Betroffenen dem Zweck der Bearbei- tung gegenüber gestellt werden. Veröffentlicht ein Bundesorgan Personendaten im Internet, muss dies zur Zweckerreichung notwendig sein, da diese Bearbeitung nicht mit der Einwilligung der Betroffenen erfolgt, sondern über gesetzliche Bestim- mungen. So pflegt ein Teil der Bevölkerung wegen dem Missbrauch von Daten im Internet einen restriktiven Umgang mit den eigenen Daten. Jedoch können die Betroffenen die gesetzlich vorgeschriebene Veröffentlichung durch Bundesorgane nicht beeinflussen. Gemäss dem erläuternden Bericht soll die Publikation der Liste der Vergütungen samt Namen dem Zweck der Transparenz über die Verwendung des bei den End- verbrauchern erhobenen Netzzuschlags dienen. Aus datenschutzrechtlicher Sicht
27 23. Tätigkeitsbericht 2015/2016 des EDÖB 1.2.8 Herausgabe der Fahrgestellnummer durch das ASTRA In Zusammenhang mit einer Anfrage des ASTRA kamen wir zum Schluss, dass es sich bei Fahrgestellnummern (VIN) um Personen- daten im Sinne des Datenschutzgesetzes handelt. Folglich braucht das ASTRA für die Bekanntgabe der VIN eine gesetzliche Grundlage. Zuvor müsste sorgfältig abgeklärt werden, ob die allgemeinen Daten- schutzgrundsätze eine solche Bekanntgabe rechtfertigen. Das Bundesamt für Strassen (ASTRA) wollte von uns wissen, ob die Vehicle Iden- tification Number (VIN; auf Deutsch: Chassis- oder Fahrgestellnummer) als Perso- nendatum im Sinne des Datenschutzgesetzes zu qualifizieren sei oder nicht. Das ASTRA selbst hatte verschiedene Anfragen erhalten, in welchen die Bekanntgabe von ganzen VIN-Listen verlangt wurde. Jeder Personenkraftwagen (PKW) erhält vom Fahrzeughersteller eine eigene VIN, die das Fahrzeug sowie jedes Bestandteil des Fahrzeugs eindeutig bestimmen lässt. Bei landwirtschaftlichen Fahrzeugen oder Anhängern kann, in seltenen Fällen, die VIN mehrmals vergeben werden. Sie dient in erster Linie der Identifikation eines Fahrzeugs. Es stellte sich die Frage, welchen Aufwand der Datenbearbeiter oder ein Dritter objektiv hätte, um anhand der vom ASTRA erhaltenen VIN die Fahrzeughalter bestimmen zu können. Dabei war auch zu berücksichtigen, welches Interesse der Datenbearbeiter oder ein Dritter an der Identifizierung hat. Beim ASTRA sind die VIN im Informationssystem MOFIS (automatisiertes Fahrzeug- und Fahrzeughalterregister), zusammen mit den Halterangaben, gespeichert. Auch wenn das Amt nur die VIN, ohne Angabe des Halters, herausgibt, weiss der Empfän- ger, dass es sich um in der Schweiz zugelassene Fahrzeuge handelt. Aufgrund der heute zur Verfügung stehenden technischen Mittel ist insbesondere bei Empfän- gern aus dem Automobilgewerbe davon auszugehen, dass sie einen Bezug zu einer bestimmbaren Person, in diesem Fall zum Halter, herstellen können. So verfügen insbesondere die Importeure und Garagisten bereits über die VIN ihrer Fahrzeuge oder können auch beim Hersteller selbst nachfragen. Auch ein Interesse des Emp- fängers an einer Identifizierung des Halters lässt sich nicht ausschliessen. Zur Qua- lifizierung als Personendaten ist es zudem ausreichend, wenn die Bestimmbarkeit in Bezug auf einen Teil der Informationen (vorliegend VIN) gegeben ist. Anhand der VIN kann der Fahrzeughersteller eindeutig identifiziert werden, da ein Teil der Nummer aus einem Code besteht, der ihm zugeteilt ist. Welche VIN zu wel- chem Hersteller gehört, kann mittels der Suche auf verschiedenen Websites sehr schnell herausgefunden werden.
29 23. Tätigkeitsbericht 2015/2016 des EDÖB 1.3 Internet und Telekommunikation 1.3.1 Sachverhaltsabklärung zu Windows 10 Microsoft lancierte im vergangenen Jahr das Betriebssystem Windows 10. Im Rahmen dieser Einführung wurden wir auf die damit einhergehenden Datenbearbeitungen aufmerksam und haben diese in der Folge näher betrachtet. Ein Hauptaugenmerk lag dabei auf der Information der Betroffenen und deren Einwilligung. Nach der Lancierung von Windows 10 betrachteten wir die Datenbearbeitung durch Microsoft näher. So haben wir festgestellt, dass im Rahmen des Installationsprozes- ses von Windows 10 den Benutzern im Fenster «Schnell einsteigen» sogenannte «Express-Einstellungen» angeboten werden, mit welchen standardmässig fast alle Datenübermittlungen und -zugriffe aktiviert werden. Unter anderem werden damit Standortdaten, die in der Umgebung der Benutzer von Windows 10 erkannten WLAN-Netzwerke, der Browser- und Suchverlauf, die Sprach-, Freihand- und Tasta- tureingaben sowie Feedback- und Diagnosedaten an Microsoft übermittelt. Basierend auf diesen Erkenntnissen haben wir eine Sachverhaltsabklärung eröff- net und Microsoft einen Fragekatalog zu den Datenbearbeitungen im Rahmen von Windows 10 zugestellt. Hierbei geht es um den Umfang der übermittelten Daten und die damit zusammenhängende Frage, ob die Betroffenen genügend transpa- rent informiert werden und deren Einwilligung zur Datenbearbeitung vorliegt. - Die Abklärungen waren bei Redaktionsschluss noch in Gang. 1.3.2 Kundendatenanalyse bei Telekomanbieter zwecks personalisierter Angebote Die Firma Cablecom hat ihre Allgemeinen Geschäftsbedingungen (AGB) überarbeitet. Da einzelne Bestimmungen unklar formuliert waren, haben wir bei dem Unternehmen Abklärungen vorgenommen und Verbesserungen verlangt. Im September 2015 hat die upc cablecom GmbH (nachfolgend Cablecom) die AGB für ihre Unterhaltungs- und Telekommunikationsdienste geändert. Die Kunden wur- den aufgefordert, sich innerhalb einer bestimmten Frist zu melden, falls sie mit den neuen Geschäftsbedingungen nicht einverstanden wären. In den neuen AGB stand, dass Cablecom Nutzungsdaten für die bedarfsgerechte Gestaltung und Entwick- lung der Dienste sowie für personalisierte Angebote bearbeiten darf. In der Folge haben wir Cablecom aufgefordert, schriftlich mitzuteilen, welche Daten das Unternehmen im Detail bearbeitet und welche Dienste und personalisierten
31 23. Tätigkeitsbericht 2015/2016 des EDÖB Manche Apps verlangen z.B. Zugriff auf die Kamera des Gerätes. Oft ist der Zweck auf den ersten Blick nicht ersichtlich. Vielleicht gibt es eine durchaus sinnvolle Funktion etwa zum Lesen von Strichcodes, die über die Kamera erfolgt. Die erteilte Berechtigung erlaubt jedoch der App theoretisch jederzeit die Kamera zu aktivieren und Aufnahmen zu machen. Der EDÖB hat exemplarisch eine App im Bereich medizinischer Vorsorgeuntersu- chungen näher angeschaut. Aufgrund der Eingabe von Werten des Benutzers wird eine Risikoanalyse erstellt und allenfalls weitere Abklärungen empfohlen. Wir haben auf Anfrage von den Entwicklern Begründungen für die aus unserer Sicht weit gehenden verlangten Berechtigungen erhalten. Diese waren an und für sich nach- vollziehbar. Die App muss z.B. Speicherinhalte lesen, ändern und löschen können, weil die Resultate in Form einer PDF-Datei an eine E-Mail-Adresse geschickt werden können. Die App hätte aber auch ohne diese Funktion programmiert werden kön- nen, indem das Resultat lediglich auf dem Display des Gerätes erscheinen würde. Wir raten Nutzerinnen und Nutzern, genau hinzusehen, welche Berechtigungen eine App verlangt und abzuschätzen, ob diese notwendig erscheinen. Auch die AGB bzw. Privacy Policy sind aufmerksam zu lesen. Die Bearbeitungen von Per- sonendaten, die von einer App vorgenommen werden, müssen gegenüber dem Nutzer transparent sein. Werden Berechtigungen für nicht nachvollziehbare Zwecke verlangt und ist der Herausgeber nicht vertrauenswürdig, sollte auf eine Installation der App verzichtet werden. 1.3.4 Revision des Fernmeldegesetzes Im Rahmen der Revision des Fernmeldegesetzes wurden wir vom Bundesamt für Kommunikation zur Stellungnahme eingeladen. Unsere Bemerkungen zum Gesetzesvorschlag betrafen unter anderem die Verzeichnis- und die Notrufdienste. Der Gesetzesvorschlag zu den Telefonverzeichnissen sieht vor, dass die Kunden nur zwischen der Publikation oder keiner Publikation des Verzeichniseintrages wählen können, jedoch nicht den Publikationskanal. Kunden, die nicht wollen, dass ihre Adresse und Telefonnummer im Internet publiziert werden, haben momentan ein- zig die Möglichkeit, ihre Adresse komplett zu sperren, obschon sie bereit wären, über die anderen Kanäle auffindbar zu sein. Die Publikation der Verzeichnisdaten im Internet wird oftmals als Freipass zur Personendatenbearbeitung zu diversen Zwecken angesehen. So existieren im Internet diverse unseriöse, anonyme Websi- te-Betreiber, welche die Verzeichnisdaten der «offiziellen» Anbieter abgreifen und veraltete oder falsche Verzeichnisdaten publizieren. Eine Korrektur oder Löschung der Verzeichnisdaten ist bei diesen Betreibern nicht möglich. Wir haben daher
33 23. Tätigkeitsbericht 2015/2016 des EDÖB 1.4 Justiz/Polizei/Sicherheit 1.4.1 Totalrevision des Bundesgesetzes betreffend die Überwachung des Post- und Fernmeldeverkehrs Im Berichtsjahr wurden wir von den Kommissionen für Rechtsfragen beider Räte eingeladen, an den Sitzungen zur Totalrevision des Bundesgesetzes betreffend die Überwachung des Post- und Fernmel- deverkehrs (BÜPF) teilzunehmen. Thema war dabei unter anderem die Aufbewahrungsdauer von Randdaten sowie die Aufzeichnung des Internet-Nutzungsprotokolls. Im vergangenen Jahr lud uns sowohl die Kommission für Rechtsfragen des Nati- onalrats als auch die des Ständerates zu den Sitzungen zum Entwurf des totalre- vidierten BÜPF ein. Dabei riefen wir unsere bereits mehrfach geäusserte Haltung in Erinnerung, wonach es für den Eingriff in ein verfassungsmässig geschütztes Grundrecht formelle und materielle gesetzliche Grundlagen braucht, die zudem genügend bestimmt sind. In diesem Zusammenhang wiesen wir auch darauf hin, dass die vorgeschlagene Bestimmung für Auskünfte zur Identifikation der Täterschaft bei Straftaten über das Internet zu wenig bestimmt ist und dazu führen kann, dass Internet-Nutzungsproto- kolle über die gesamte Dauer der Kundebeziehung erfasst und gespeichert werden könnten. Mit einer solchen unverhältnismässigen Ausdehnung der Aufbewahrungs- dauer liesse sich der Grundrechtseingriff nicht mehr rechtfertigen. Bezüglich der Aufbewahrungsdauer der Randdaten hielten wir zudem erneut fest, dass die Ausdehnung der Speicherdauer auf zwölf Monate nicht nötig sei, da mit einer Aufbewahrungsdauer von sechs Monaten schon sehr weitgehende Voraus- setzungen für die Strafverfolgung bestehen (vgl. 22. Tätigkeitsbericht 2014/2015, Ziffer 1.4.4). Wir gehen mit dem Antrag der Kommission des Ständerates einig, der die bisherige Aufbewahrungsdauer von sechs Monaten sowohl für den Post- als auch für den Fernmeldebereich beibehalten will. Mit Sorge verfolgen wir Bestrebungen, welche die Randdaten auch für die Verfol- gung von zivilrechtlichen Verletzungen nutzen möchten (vgl. Ziffer 1.8.4 des vor- liegenden Tätigkeitsberichts). Im Rahmen der Diskussionen zur Totalrevision des BÜPF wurde uns immer wieder versichert, dass die Randdaten einzig zum Zweck der Strafverfolgung gespeichert und verwendet würden. Diese Beschränkung ist aus unserer Sicht unabdingbar, da die Randdaten unter das verfassungsmässig geschützte Grundrecht des Post- und Fernmeldegeheimnisses fallen.
35 23. Tätigkeitsbericht 2015/2016 des EDÖB Auch diese Mechanismen sollten den Schutz der Grundrechte der betroffenen Per- sonen möglich machen. 1.4.3 Informationssysteme der Eidgenössischen Zollverwaltung Mit der Teilrevision des Zollgesetzes erhalten die Informations- systeme der Eidgenössischen Zollverwaltung zur Bearbeitung von besonders schützenswerten Daten und Persönlichkeitsprofilen eine ausreichende Gesetzesgrundlage. Die geltenden Bestimmungen über die Informationssysteme der Eidgenössischen Zollverwaltung (EZV), die besonders schützenswerte Daten enthalten oder die Erstellung von Persönlichkeitsprofilen ermöglichen, erfüllen nicht alle Erfordernisse einer Gesetzesgrundlage im formellen Sinn (vgl. auch unseren 21. Tätigkeitsbe- richt 2013/2014, Ziffer 1.4.7). Im Rahmen der Teilrevision des Zollgesetzes hat das Eidgenössische Finanzdepartement mit der Datenschutzgesetzgebung konforme Rechtsvorschriften für die Informationssysteme der EZV ausgearbeitet. Diese Vor- schriften gelten für folgende Informationssysteme: Informationssystem in Strafsa- chen, für die Bewirtschaftung der Resultate von Zollkontrollen, für die Erstellung von Risikoanalysen, für die Führungsunterstützung, für die Dokumentation der Tätigkeit des Grenzwachtkorps sowie für Bildaufnahme-, Bildaufzeichnungs- und andere Überwachungsgeräte. 1.4.4 Bekanntgabe von Daten über Flugreisende an den Nachrichtendienst des Bundes Wir überprüften im Berichtsjahr die Bekanntgabe von Daten über Flugreisende durch das Sekretariat für Migration an den Nachrichten- dienst des Bundes. Während dieses Vorgehen datenschutzkonform ist, müssen die Durchführungsbestimmungen hingegen ergänzt werden. Das Staatssekretariat für Migration (SEM) übermittelt Daten von Flugreisenden an den Nachrichtendienst des Bundes (NDB). Auf Ersuchen der Geschäftsprüfungs- delegation haben wir geprüft, ob für diesen Vorgang eine ausreichende Rechts- grundlage besteht. Um den datenschutzrechtlichen Anforderungen zu genügen, benötigen Bundesorgane eine gesetzliche Grundlage für die Bekanntgabe von Per- sonendaten. Im Rahmen unserer Analyse stellten wir fest, dass einzig die Bestim- mungen des Bundesgesetzes über Massnahmen zur Wahrung der inneren Sicher- heit (BWIS) als solche in Betracht kommen. Die bekannt gegebenen Daten an sich
37 23. Tätigkeitsbericht 2015/2016 des EDÖB ausdrücklich sämtliche Bekanntgaben von Daten über Flugreisende erwähnt sind und sie daher ergänzt werden muss, damit eine ausreichende gesetzliche Grund- lage gegeben ist. 1.4.5 Kontrolle der Logfiles beim Grenzwachtkorps als Endnutzer des Schengener Informationssystems Im Rahmen der Schengen-Assoziierungsabkommen haben wir eine Kontrolle der Logfiles beim Grenzwachtkorps (GWK) als Endnutzer des Schengener Informationssystems (SIS) durchgeführt. Die Auswertung der Logfiles ergab, dass der SIS-Zugang dieses Organs datenschutzkonform erfolgt. Im Rahmen der Schengen-Assoziierungsabkommen nehmen wir jährliche Kontrol- len bei den Endnutzern des SIS vor. So haben wir auch den Zugang der Mitarbeite- rinnen und Mitarbeiter der Region IV des GWK einer Kontrolle unterzogen. Bei unserer Analyse gingen wir von den Logfiles des N-SIS aus, die uns vom Bun- desamt für Polizei übermittelt wurden. Wir überprüften die Zugriffe von 30 Mitarbei- terinnen und Mitarbeitern der Region IV des GWK über eine Woche. Diese Kontrolle ergab, dass offenbar keine Suche missbräuchlich oder unverhältnismässig erfolgt war. Wir haben die Kontrolle daher ohne Abgabe von Empfehlungen abgeschlossen.
39 23. Tätigkeitsbericht 2015/2016 des EDÖB In Bezug auf die technischen und organisatorischen Zertifizierungsvoraussetzun- gen für Gemeinschaften und Stammgemeinschaften haben wir bemängelt, dass der Fokus zu stark auf die Datensicherheit gerichtet ist und die Aspekte des Daten- schutzes zu wenig berücksichtigt werden. Dies steht einerseits im Widerspruch zur massgeblichen Bestimmung im EPDG, welche eine Zertifizierung vorsieht, die sowohl den Datenschutz als auch die Datensicherheit berücksichtigt. Zudem stellt das Einhalten des Datenschutzes eine zentrale Vorgabe für das elektronische Pati- entendossier dar. Dem ist mit einer ausreichenden Gewichtung im Rahmen der Zertifizierungsvorgaben Rechnung zu tragen. Auch zur Möglichkeit, Gruppen von Gesundheitsfachpersonen Zugang zum elekt- ronischen Patientendossier zu gewähren, nahmen wir Stellung. Wir wiesen darauf hin, dass die Verordnungsbestimmungen den Zugang dieser Gruppen nicht, wie von uns gefordert, restriktiv konkretisieren. Vielmehr soll es zu eigentlichen glo- balen Gruppenberechtigungen kommen. Die Berechtigungsvergabe stellt gemäss unserer Auffassung eine Willenserklärung dar, die nur eine Rechtswirkung entfalten kann, wenn sie gegenüber einer Person oder Stelle mit einer Rechtspersönlichkeit abgegeben wird. Eine Willenserklärung an eine Gruppe von Personen, z.B. den Mit- arbeiterinnen und Mitarbeitern einer bestimmten Abteilung in einem Krankenhaus, stellt aber gemäss unserer Auffassung keine rechtsgültige Berechtigungsvergabe dar, da die Gruppe an sich keine Rechtspersönlichkeit hat. In diesem Sinne hätten wir erwartet, dass in der Verordnung die Berechtigung von Gruppen dahingehend konkretisiert wird, dass es sich im Grundsatz um eine Berechtigungsvergabe an einzelne Personen handelt. Diese würden sodann als Gruppe in den entsprechenden Verzeichnissen der Gemeinschaft oder der Stamm- gemeinschaft dargestellt. Der Verordnungsentwurf geht nun aber genau in die ent- gegengesetzte Richtung. Er hält ausdrücklich fest, dass Patientinnen und Patien- ten Gruppen von Gesundheitsfachpersonen Berechtigungen erteilen können. Die Zusammensetzung der Gruppen muss lediglich jederzeit nachvollziehbar sein. Offenbar ist sich das BAG bewusst, dass es hier zu einem problematischen Vorgang kommen kann. Denn einerseits sollen die Gemeinschaften dafür sorgen, dass die Gruppen nicht unverhältnismässig gross sind. Andererseits wird im Kommentar zu den technischen und organisatorischen Zertifizierungsvoraussetzungen vermerkt, dass nicht unverhältnismässige viele Gesundheitsfachpersonen ohne Behand- lungskontext mitberechtigt werden sollen. Die Vorgabe, dass die Gruppen nicht zu gross sein dürfen, erscheint uns als wenig tauglich. Niemand wird hier einen Massstab für die Grösse der Gruppe definieren können, welcher für die Beurteilung der Verhältnismässigkeit herangezogen werden kann. Eine Vorgabe hierfür wäre im Prinzip der Behandlungskontext. Gerade diese Vorgabe wird durch die Verordnung und den erwähnten Hinweis völlig aufgeweicht. Eine nicht von der Patientin oder
41 23. Tätigkeitsbericht 2015/2016 des EDÖB Wir prüften zunächst die Prozesse und Datenbearbeitungen anhand der von Medical Service eingereichten Unterlagen und nahmen dann im Januar 2015 einen Augen- schein vor Ort vor. Im Vordergrund standen dabei das Geschäftsverwaltungssystem, die Organisation des MedicalServices und dessen Zugriffsrechte, die Datenaufbe- wahrung und -bekanntgabe an die Bundesverwaltung sowie die Datensicherheit und die Archivierung. Medical Service informiert die Bundesverwaltung lediglich über die «Schlussfolgerungen aus den ärztlichen Feststellungen» und gibt keine Diagnosen oder Resultate aus seinen Untersuchungen betreffend die gesundheitli- che Eignung eines Bewerbenden bekannt. Die Sachverhaltsabklärung hat gezeigt, dass die Organisation und die Datenbear- beitungen von MedicalService die Voraussetzungen des Bundespersonalgesetzes erfüllen und den Anforderungen des Datenschutzgesetzes entsprechen. Ange- sichts dieser Ergebnisse haben wir unsere Kontrolle abgeschlossen. 1.5.3 Verweigern der Auskunft über Gesundheitsdaten eines Kindes In diesem Berichtsjahr wurden wir angefragt, ob eine Krankenkasse beim gemeinsamen Sorgerecht die Auskunft über die Gesundheits- daten eines urteilsunfähigen Kindes an einen Elternteil verweigern darf, wenn sich das Kind nach der Scheidung oder Trennung in der Obhut des anderen Elternteils befindet. Gemäss Artikel 8 des Bundesgesetzes über den Datenschutz (DSG) kann der gesetzliche Vertreter das Auskunftsrecht an Stelle der unmündigen und urteilsunfä- higen Person stellvertretend für diese ausüben. Dies sind im Normalfall die Eltern. Unabhängig davon, wer beim gemeinsamen Sorgerecht die Obhut des Kindes hat, können beide Elternteile dieses Auskunftsrecht geltend machen und es muss bei- den gewährt werden. Die Situation ist anders zu beurteilen in Fällen, in denen zum Schutz des Kindes- wohls dem einen Elternteil gewisse Informationen nicht mehr gegeben werden dürfen. Es ist jedoch nicht an der Krankenkasse eine solche, strittige Situation zu beurteilen. Auch darf sie sich nicht nach den Anweisungen des einen Elternteils richten. Sie hat sich im Streitfall an offizielle Entscheide eines Gerichts bzw. an eine Verfügung der Kindes- und Erwachsenenschutzbehörde (KESB) zu halten.
43 23. Tätigkeitsbericht 2015/2016 des EDÖB 1.6.2 Rechnungsstellung nach SwissDRG – Was muss zum Vertrauensarzt? Im Rahmen der Rechnungstellung im Bereich SwissDRG gelangen sehr detaillierte Gesundheitsangaben mit der Rechnung und dem Medical Data Set (MCD) zum Krankenversicherer. Es stellt sich die Frage, ob diese zu den medizinischen Angaben gehören, die auch an den Vertrauensarzt übermittelt werden dürfen. Seit 1. Januar 2012 werden die Leistungen der Spitäler und Geburtshäuser im sta- tionären Bereich über einheitliche, an Diagnosen geknüpfte Fallpauschalen vergü- tet (Swiss DRG). Die Leistungserbringer müssen dazu der Datenannahmestelle des Krankenversicherers gleichzeitig mit der Rechnung das Minimal Clinical Data Set (MCD) übermitteln. Das MCD enthält die Hauptdiagnose, allfällige Nebendiagnosen und die Prozeduren in codierter Form. Die Angaben im MCD sind klarerweise als medizinische Angaben zu qualifizieren. Die eigentliche Rechnung, der sogenannte Invoice, enthält neben einigen administrativen Daten zum Leistungserbringer und zum Patienten aber auch Tarifziffern. Bei diesen handelt es sich unserer Auffassung nach um medizinische Angaben. Dies gilt insbesondere für den eigentlichen DRG- Code, der eine Tarifziffer ist, aber klare Hinweise auf den Gesundheitszustand des Patienten gibt. Der DRG-Fallpauschalenkatalog ist so differenziert, dass die überwiegende Zahl der DRG-Codes der konkreten Diagnose schon sehr nahe kommt. Deshalb haben wir uns im Berichtsjahr intensiv mit den Fällen befasst, wo entweder der Patient die Übermittlung aller medizinischen Angaben an den Vertrauensarzt verlangt oder dies der Leistungserbringer im begründeten Fall basierend auf die entsprechende Bestimmung im Krankenversicherungsgesetz (KVG) vornimmt. Wir prüften beson- ders die Frage, ob auch die Rechnung mit dem DRG-Code von der Datenannah- mestelle an den Vertrauensarzt und nicht an die Leistungsabteilung weitergeleitet werden muss. Grundsätzlich muss hier festgehalten werden, dass die vom «Forum Datenaustausch» vorgegebene Formatvorlage (XML 4.4) eine Kennzeichnung der Rechnung (Invoice) als «für den Vertrauensarzt bestimmt» (flag confidential) derzeit nicht zulässt. Lediglich das MCD kann vom Leistungserbringer mit dem entspre- chenden Vermerk gekennzeichnet werden. Da die Formatvorlage aber ohnehin nicht den gesetzlichen Vorgaben entspricht, kann daraus nicht abgeleitet werden, dass die Rechnung nicht auch an den Vertrauensarzt adressiert sein kann. Wie wir im Rahmen unserer Abklärungen feststellten, kennzeichnet eine grosse Anzahl von Leistungserbringern alle MCD als für den Vertrauensarzt bestimmt. Es kann aber nicht davon ausgegangen werden, dass in diesen Spitälern immer die gesetzlichen Voraussetzungen für eine Übermittlung des MCD an den Vertrauens- arzt erfüllt waren. Eine ebenfalls grosse Anzahl von Spitälern kennzeichnet die MCD
45 23. Tätigkeitsbericht 2015/2016 des EDÖB 1.6.3 Datenlöschung bei Unfallversicherern Zahlreiche Bürgerinnen und Bürgern haben uns kontaktiert, da sie nicht damit einverstanden waren, dass Unfallversicherer auch jahrzehntealte Daten über sie weiterhin speichern. Das Vorgehen der Unfallversicherer ist jedoch korrekt. Im Berichtsjahr wurden wir über unsere Beratungs-Hotline erstaunlich oft von Bür- gerinnen und Bürgern kontaktiert, welche bei einem Unfallversicherer (obligatori- sche Unfallversicherer gemäss Bundesgesetz über die Unfallversicherung, UVG) ein Datenlöschungsgesuch gestellt hatten. Sie machten geltend, dass es sich zum Teil nur um Bagatellunfälle gehandelt habe und dass die Informationen auch schon sehr alt seien (20 Jahre und mehr). Hier gilt es zu berücksichtigen, dass das Gesetz für Unfallversicherer keine maxi- malen Aufbewahrungsfristen kennt. Der Grund dafür liegt in der Erfordernis der adäquaten Kausalität zwischen dem Schadensereignis und dem eingetretenen Schaden, welche für die Leistungspflicht eines Unfallversicherers entscheidend ist. Dieser wird im Schadensfall der Frage nachgehen, ob der eingetretene Schaden adäquat kausal durch den Unfall verursacht wurde. Er wird insbesondere prüfen, ob bei der versicherten Person nicht Vorschädigungen oder Krankheitsmerkmale bestanden, welche den eingetretenen Schaden mitverursacht oder sogar bewirkt haben. Deshalb muss der Versicherer im Schadensfall auch auf alte Informationen zurückgreifen können. Die sehr lange Aufbewahrungsdauer verstösst in diesem Sinne auch nicht gegen den Grundsatz der Verhältnismässigkeit. Selbstverständlich kann ein Unfallversicherer für sich entscheiden, dass er Informationen, welche ein gewisses Alter erreicht haben, nicht mehr aufbewahren will und deshalb löscht oder vernichtet. Ein genereller Anspruch auf Löschung lässt sich daraus aber nicht ableiten. 1.6.4 Verordnung betreffend die Aufsicht über die soziale Krankenversicherung – Projekt BAGSAN Für die Aufsicht über die sozialen Krankenversicherer verlangt das Bundesamt für Gesundheit von den Krankenversicherern sehr detaillierte Angaben zu jeder versicherten Person. Im Rahmen der Ämterkonsultation zur Verordnung betreffend die Aufsicht über die soziale Krankenversicherung haben wir uns hierzu geäussert. Die nun geltenden gesetzlichen Vorgaben sind unbefriedigend. Am 1. Januar 2016 ist das neue Bundesgesetz betreffend die Aufsicht über die sozia- len Krankenversicherer (KVAG) in Kraft getreten. Für die Ausführungsbestimmungen
47 23. Tätigkeitsbericht 2015/2016 des EDÖB 1.6.5 Verordnung über den Risikoausgleich in der Krankenversicherung Die Verfeinerung des Risikoausgleichs soll die Krankenversiche- rungen mit schlechter Risikostruktur weiter entlasten. Notwendig dafür sind neue Lieferungen von Individualdaten mit Angaben zu den bezogenen Arzneimitteln von den Krankenversicherern an die Gemeinsame Einrichtung KVG. Im Rahmen der Ämterkonsultation haben wir uns zur Revision der Verordnung über den Risikoausgleich in der Krankenversicherung geäussert. Die Revision dient der Verfeinerung des Risikoausgleichs und damit einer weiteren Entlastung von Kran- kenversicherern mit einer schlechten Risikostruktur. Zwecks Berechnung des Risi- koausgleichs liefern die Krankenversicherer der Gemeinsamen Einrichtung KVG die Daten, welche eine Gruppierung der Versicherten nach mehreren Risikoindikatoren erlaubt. Neben den bereits vorhandenen Indikatoren Alter, Geschlecht und Aufent- halt in einem Spital oder Pflegeheim sollen neue Indikatoren eingeführt werden. Es handelt sich dabei um die Pharmazeutische Kostengruppe (PCG), welche mit Daten aus dem ambulanten Bereich gebildet wird, und die Arzneimittelkosten. Damit wird berücksichtigt, dass ein erheblicher Anteil der Kosten im Krankenversi- cherungsbereich durch kostenintensive medikamentöse Behandlungen entsteht. Da hierfür erstmals Individualdaten der einzelnen Versicherten mit Angaben zu den von ihnen bezogenen Arzneimitteln geliefert werden müssen, erhält die Datenüber- mittlung der Krankenversicherer an die gemeinsame Einrichtung KVG aus daten- schutzrechtlicher Sicht eine neue Qualität. Zum Zeitpunkt der Ämterkonsultation war noch nicht klar, wie die Datenlieferung konkret erfolgen soll, da die Gemeinsame Einrichtung KVG hierfür noch ein neues Erhebungstool entwickeln (lassen) muss und die Übermittlung laut Verordnung gemäss den Weisungen der Gemeinsamen Einrichtung KVG zu erfolgen hat. Ledig- lich in den Erläuterungen zum Verordnungsentwurf war festgehalten, dass die Daten in anonymisierter Form geliefert werden müssen. Zudem waren die zu lie- fernden Datensätze in der Verordnung nicht klar definiert. Deshalb sollte eigentlich das Bundesamt für Gesundheit die Vorgaben für die Datenübermittlung erlassen und die Datensätze in der Verordnung klar definieren. Wir hielten auch fest, dass es hier nicht zu einer Übermittlung von anonymisierten Daten, sondern von pseudonymisierten Personendaten kommen wird. Soweit uns bekannt ist, wurden in der Folge die zu liefernden Datensätze in den Verordnungs- entwurf entsprechend unseren Hinweisen integriert und präzisiert, dass es sich um eine Übermittlung in pseudonymisierter Form handelt. Hingegen wurde daran
49 23. Tätigkeitsbericht 2015/2016 des EDÖB 1.7 Arbeitsbereich 1.7.1 Personensicherheitsprüfung von Mitarbeitenden (im Privatbereich) Aufgrund verschiedener Anfragen haben wir die Anforderungen für die Personensicherheitsüberprüfungen im Privatbereich abgeklärt und Erläuterungen zu diesem Thema verfasst. Wir wurden von Dienstleistungserbringern für Finanzinstitute angefragt, inwiefern es datenschutzrechtlich erlaubt sei, bestimmte Daten ihrer Mitarbeitenden, wie z.B. Auszüge aus dem Betreibungs- oder Strafregister, an die Auftrag gebenden Finan- zinstitute weiterzuleiten. Die Finanzinstitute würden diese Informationen benöti- gen, um sich zu vergewissern, dass die Datensicherheit gewährleistet ist. Aufgrund dieser Anfragen haben wir uns vertieft mit dieser Problematik ausein- andergesetzt. Dazu haben wir uns einerseits mit Finanzinstituten und anderer- seits mit der entsprechenden Aufsichtsbehörde getroffen, um die verschiedenen Anforderungen und Bedürfnisse im Bereich der Überprüfung von Mitarbeitenden zu kennen. So wurde uns beschrieben, wie die Überprüfung je nach Risikopotential der Mitarbeitenden variiert und welche bereichsspezifischen Vorschriften gelten. Zudem wurde uns erläutert, dass eine unterschiedliche Handhabung von internen und externen Mitarbeitenden nicht zweckmässig sei. Wir haben danach unter Berücksichtigung der relevanten Bestimmungen des Datenschutzgesetzes und des Obligationenrechts die Sachlage analysiert. Beson- dere Beachtung wurde dabei der Verhältnismässigkeit geschenkt, die jedoch nur im Einzelfall konkret überprüft werden kann. Für die privaten Arbeitgeber und die betroffenen Mitarbeitenden haben wir Erläuterungen mit datenschutzrechtlichen Vorgaben verfasst, die bei der Risikoprüfung beachtet werden sollten. Diese Erläu- terungen wurden auf unserer Website veröffentlicht. 1.7.2 Whistleblowing-Meldestelle des Bundes Das Bundesgericht hat in der Angelegenheit Whistleblowing-Melde- stelle des Bundes auf Nichteintreten entschieden, weshalb das Urteil des Bundesverwaltungsgerichts nun in Kraft getreten ist. Wie wir im 22. Tätigkeitsbericht 2014/2015 (Ziffer 1.7.3) berichteten, hat die Eidgenös- sische Finanzkontrolle (EFK), welche die Meldestelle betreibt, das Urteil des Bundes- verwaltungsgerichts in Sachen Whistleblowing-Meldestelle an das Bundesgericht weitergezogen. Mit Urteil vom 12. November 2015 hat dieses auf Nichteintreten
51 23. Tätigkeitsbericht 2015/2016 des EDÖB 1.8 Handel und Wirtschaft 1.8.1 Urteil des Europäischen Gerichtshofs zu Safe Harbor und die Folgen für die Schweiz In seinem Urteil vom 6. Oktober 2015 hat der Europäische Gerichtshof das Datenschutzabkommen Safe Harbor zwischen der EU und den USA für ungültig erklärt. Das Gericht hielt fest, dass die Übermittlung personenbezogener Daten in die USA unter dem Regime des Safe-Har- bor-Abkommens problematisch ist. Was bedeutet dieses Urteil für die Schweiz? Der Gerichtshof der Europäischen Union (EuGH) hat in seinem Urteil vom 6. Oktober 2015 in der Rechtssache C-362/14 (Schrems) die Entscheidung der Kommission, wonach die Vereinigten Staaten von Amerika ein angemessenes Schutzniveau übermittelter personenbezogener Daten gewährleisten, für ungültig erklärt. Wie der EuGH dabei festhält, bestehe für Daten, die im Rahmen des sogenannten Safe-Har- bor-Abkommens in die USA übermittelt werden, kein genügender Schutz gegen unverhältnismässige Behördenzugriffe. Auch existiere für Personen ausserhalb der USA kein wirksamer Rechtsschutz vor solchen Zugriffen. Die Schweiz hat mit den USA im Jahre 2008 ein vergleichbares und inhaltlich sehr ähnliches Abkommen, das U.S.-Swiss Safe Harbor Framework (nachfolgend Safe-Harbor-Abkommen Schweiz-USA) abgeschlossen. Wir haben daher die aktu- elle Situation für Datenübermittlungen in die USA analysiert und sind zum Schluss gelangt, dass die vom EuGH aufgezeigten Schwachstellen auch auf das Safe-Har- bor-Abkommen Schweiz-USA zutreffen: Letzteres ist ein System mit Selbstzertifizierung für Unternehmen, welche Daten aus der Schweiz in die USA importieren möchten. Die darin enthaltenen Daten- schutzgarantien binden jedoch nur die zertifizierten Unternehmen selbst, nicht aber staatliche Behörden. Es existieren keine anderweitigen innerstaatlichen oder vertraglichen Regelungen, welche Behördenzugriffe auf diese Daten einschränken. Dagegen lassen gewisse innerstaatliche Regelungen die generelle Speicherung von Personendaten durch US-Behörden ohne Differenzierung, Einschränkung, Aus- nahme oder Beschränkung des Zugangs oder der Nutzung zu. Damit besteht kein angemessener Schutz gegen unverhältnismässige Zugriffe auf aus der Schweiz in die USA übermittelte Personendaten durch US-Behörden. Dieser Umstand stand bei der Prüfung nötiger Garantien im Abkommen zwi- schen der Schweiz und den USA im Jahre 2008 noch nicht im Zentrum. Damals konnte in guten Treuen davon ausgegangen werden, dass die Behördenpraxis bei der Bearbeitung von Personendaten in beiden Ländern vergleichbar ist, weshalb
53 23. Tätigkeitsbericht 2015/2016 des EDÖB Der Bundesrat hat die Situation aufgrund unserer Empfehlungen sowie entspre- chender parlamentarischer Interpellationen analysiert und den von uns aufgezeig- ten Handlungsbedarf bestätigt. Er hat erklärt, das Vorgehen der EU zu beobachten und seine Massnahmen mit ihr zu koordinieren. Da der Datenaustausch mit Unternehmen in den USA bis zur Klärung der Lage nicht einfach unterbrochen werden kann, müssen sich betroffene Unternehmen für die Zwischenzeit zusätzlich absichern. Dabei stehen ergänzende vertragliche Garan- tien im Vordergrund. Auch wenn damit, wie bereits ausgeführt, das Problem unver- hältnismässiger Behördenzugriffe nicht vollständig gelöst werden kann, sollte auf diesem Weg das Datenschutzniveau im Vergleich zu den Garantien des Safe-Har- bor-Abkommen Schweiz-USA immerhin verbessert werden, indem zusätzlich fol- gendes geregelt wird: Wenn der Zugriff auf Personendaten durch US-Behörden schon nicht eingeschränkt oder verhindert werden kann, so muss dieser Mangel durch erhöhte Anforderungen an die Transparenz der Datenbearbeitung wenigstens ansatzweise kompensiert werden. Dementsprechend müssen die betroffenen Personen klar und möglichst umfassend darüber informiert werden, dass ihre Daten in die USA übermittelt wer- den und dass die dortigen Behörden darauf zugreifen können. Betroffene Personen müssen bei der Geltendmachung ihrer Rechte in den USA im zumutbaren Rahmen unterstützt werden. Zugangsgesuche von U.S.-Behörden dürfen nicht unbesehen erfüllt werden. Vielmehr müssen die Unternehmen die ihnen offenstehenden Ver- fahren zur Verhinderung solcher Zugriffe tatsächlich durchführen und darauf erge- hende Urteile akzeptieren. Dabei gilt es zu beachten, dass die betroffenen Personen in der Schweiz stets die Möglichkeit haben, eine geplante Datenlieferung in die USA durch ein Zivilgericht beurteilen zu lassen. In diesen Fällen sollte mit der Datenliefe- rung bis zum Vorliegen eines rechtskräftigen Urteils zugewartet werden. Weiterführende Informationen dazu können auf unserer Website nachgelesen wer- den. 1.8.2 Gesetzliche Grundlagen für Smart Metering in der Schweiz Im Rahmen der Vorbereitung von gesetzlichen Grundlagen zur schweizweiten Einführung von «intelligenten Stromzählern» (Smart Meter) nahmen wir an der Begleitgruppensitzung des Bundesamtes für Energie (BFE) teil. Basierend auf den Ergebnissen haben wir das BFE bei der Ausarbeitung der gesetzlichen Bestimmungen beraten. Das Bundesamt für Energie hat uns zur Begleitgruppe Datensicherheit und Datenschutz beim Smart Metering eingeladen, welche die Grundlagen für eine
55 23. Tätigkeitsbericht 2015/2016 des EDÖB Neue Teilnehmer am Supercard-Programm müssen die neuen Bestimmungen und damit die Warenkorbanalyse akzeptieren. Da die Umstellung der Datenbearbeitung zur Warenkorbanalyse für bestehende Kunden eine grosse Änderung bedeutet, kann eine einseitige Änderung der AGB trotz Akzeptanz durch den Kunden an der «Superbox» problematisch sein: Einzelne Kunden waren sich unter Umständen der Tragweite der Datenbearbeitung nicht bewusst oder haben die neuen AGB bloss flüchtig gelesen. Coop hat dieses Problem entschärft, indem sie am Ort der Zustim- mung zu den neuen AGB nochmals auf die Warenkorbanalyse und die relevanten Ziffern hinwies. Die Warenkorbanalyse war im Zeitpunkt unserer Kontrolle noch nicht vollständig umgesetzt. Wir konnten jedoch feststellen, dass Coop sich der datenschutzrechtlichen Proble- matik in diesem Zusammenhang bewusst ist und sich bemüht, die entsprechende Umsetzung in den Systemen sorgfältig auszuarbeiten. Besonders hervorzuhe- ben ist dabei die transparente Information gegenüber den Kunden, sei es auf der Website von Supercard oder in entsprechenden Medienartikeln in ihrer Kunden- zeitschrift. Trotz des insgesamt positiven Gesamtbilds formulierten wir in unserem Schlussbericht Verbesserungsvorschläge bezüglich Transparenzerfordernissen und Auskunftserteilung. Coop hat diese allesamt angenommen und Umsetzungsvarian- ten zugesichert. 1.8.4 Internet-Tauschbörsen und Urheberrecht – Revision des Urheberrechtsgesetzes Der mit der Revision des Urheberrechts geplante Informationsan- spruch im Zivilverfahren, die Zustellung von Warnhinweisen sowie das für bestimmte Fälle vorgesehene Stay-Down-Verfahren sind aus Datenschutzsicht problematisch. Das Bundesgesetz über das Urheberrecht und verwandte Schutzrechte (URG) wird revidiert. Mit der Revision sollen insbesondere die von der Arbeitsgruppe AGUR12 vorgeschlagenen Massnahmen zur Verbesserung des Urheberrechtsschutzes im Internet umgesetzt werden (vgl. unseren 21. Tätigkeitsbericht 2013/2014, Ziffer 1.3.1). Einige dieser Massnahmen werfen aus Sicht des Datenschutzes Fragen auf: Mit dem revidierten URG soll im Rahmen der zivilrechtlichen Leistungsklage ein Informationsanspruch eingeführt werden. Wer als Rechteinhaber gegen einen Rechteverletzer klagen möchte, von dem er nur die IP-Adresse kennt (was z.B. regelmässig bei via Peer-to-Peer-Netzwerken zum Download angebotenen Werken der Fall ist), soll von den Internetanbietern Auskunft darüber erhalten, welche Per- son im fraglichen Zeitpunkt Inhaber besagter IP-Adresse war.
57 23. Tätigkeitsbericht 2015/2016 des EDÖB Neu sollen Hosting-Provider zudem künftig nicht nur dazu verpflichtet werden, Urheberrechte verletzende Inhalte zu löschen, was aus datenschutzrechtlicher Sicht unbedenklich ist. Vielmehr sollen sie in gewissen Fällen auch dafür sorgen, dass diese Inhalte nicht erneut hochgeladen werden. Ein solches Stay-Down-Ver- fahren ist unseres Erachtens nur mit einer Überwachung der fraglichen Nutzer wirksam durchsetzbar, also mit einer Massnahme, welche noch tiefer in die Per- sönlichkeitsrechte der Betroffenen eingreift als der Informationsanspruch der Rechteinhaber. Die verfolgten Interessen wiegen im Vergleich zu wenig schwer, als dass sich ein solcher Eingriff rechtfertigen liesse. Wir beurteilen die Massnahme daher als unverhältnismässig. Zudem würde diese Überwachung auf Veranlassung Privater durch Private (d.h. durch die Provider) durchgeführt, so dass sie auch aus rechtsstaatlichen Überlegungen problematisch ist. Aus diesen Gründen haben wir uns im laufenden Revisionsverfahren gegen diese Massnahmen ausgesprochen. 1.8.5 Sachverhaltsabklärung zur Kredit- und Wirtschaftsauskunftei Moneyhouse Wir haben gegen die Auskunftei Moneyhouse Klage vor Bundesverwal- tungsgericht eingereicht, weil diese nicht alle unsere Empfehlungen angenommen hatte. Unter anderem erwarten wir eine Klärung des Begriffs des Persönlichkeitsprofils und hoffen, dass ein Entscheid noch in diesem Jahr gefällt wird. In unseren zwei letzten Tätigkeitsberichten haben wir über unsere Sachverhaltsab- klärung und die Empfehlungen betreffend die von itonex AG betriebene Plattform www.moneyhouse.ch berichtet (vgl. insbesondere 22. Tätigkeitsbericht 2014/2015, Ziffer 1.8.3). itonex AG hat übrigens im Berichtsjahr den Namen des Unternehmens in Moneyhouse AG geändert (nachfolgend Moneyhouse). Da das Unternehmen gewisse Empfehlungen nicht annahm, legten wir die strittigen Fragen nun dem Bundesverwaltungsgericht zum Entscheid vor. Unsere Klage betrifft insbesondere folgende Punkte: • Moneyhouse veröffentlicht Personendaten der eigenen Datensammlung und verknüpft diese mit Daten von anderen Dienstleistungsanbietern. Wir sind der Meinung, dass schon die Zusammenstellung der eigenen Daten Persönlich- keitsprofile darstellen und Moneyhouse zudem den Besuchern der Plattform die weitere Zusammenstellung von noch umfassenderen Profilen ermöglicht. Die Persönlichkeit der betroffenen Personen wird durch diese Bearbeitung verletzt. Die Verletzung kann nur durch das Einholen der Einwilligung gerecht- fertigt werden. Wir möchten mit unserer Klage erreichen, dass Moneyhouse
59 23. Tätigkeitsbericht 2015/2016 des EDÖB Die betroffenen Personen wiesen wir darauf hin, dass sie zur Durchsetzung ihrer Auskunfts- und Widerspruchsrechte nach Datenschutzgesetz eine Zivilklage einrei- chen können. 1.8.7 Unzulässige Werbeanrufe eines Call Centers Mehrere Personen haben sich im Berichtsjahr bei uns über unerwünschte Werbean- rufe eines Call Centers beschwert. Das Call Center habe angegeben, eine Umfrage im Auftrag des Schweizerischen Datenschutzes durchzuführen. Das eigentliche Ziel des Telefonats war es, ein Werbesperre-Angebot zu verkaufen. Angerufen wurden auch Personen mit Sterneintrag im Telefonbuch. Wir haben die Firma aufgefordert, Werbeanrufe bzw. Umfragen mit Bezug auf unsere Behörde umgehend zu unterlassen und die Sterneinträge zu beachten. Da das geschilderte Vorgehen gegen das Bundesgesetz gegen den unlauteren Wettbe- werb (UWG) verstösst, meldeten wir den Fall zusätzlich dem Staatssekretariat für Wirtschaft.
61 23. Tätigkeitsbericht 2015/2016 des EDÖB können, ohne den Verlust des elektronischen Zugangs zu ihren Konten befürchten zu müssen. Die Umsetzung der Massnahmen wird zu einem späteren Zeitpunkt im Rahmen einer Nachkontrolle von uns überprüft. 1.9.2 Bekanntgabe von Personendaten an ausländische Steuerbehörden Die Schweiz setzt die neuen Standards in der weltweiten Bekämpfung von Steuerbetrug und Steuerhinterziehung um. Damit die erforderlichen Rechtsgrundlagen bis 2017 bereit sind, läuft der Gesetzgebungsprozess auf vollen Touren. Für den Bund geht es darum, seine politischen und wirtschaftlichen Interessen angesichts der internationalen Herausforderungen zu wahren, ohne dabei die Persönlichkeitsrechte der Steuerzahler zu vernachlässigen. a. Übereinkommen der OECD und des Europarats über die gegenseitige Amtshilfe in Steuersachen Im Berichtsjahr wurden wir im Rahmen verschiedener Vernehmlassungsverfahren zur internationalen Zusammenarbeit in Steuersachen angehört. Seit die Schweiz sich im März 2009 zur Übernahme der internationalen Rechtsvorschriften auf diesem Gebiet verpflichtete, (vgl. 19. Tätigkeitsbericht 2011/2012, Ziffer 1.9.1) hat sich die Lage stark verändert. Am 15. Oktober 2013 unterzeichnete der Bund das Übereinkommen der OECD und des Europarats über die gegenseitige Amtshilfe in Steuersachen (Übereinkommen). Dieses stammt aus dem Jahr 1988 und bildet ein multilaterales Kooperationsinstrument, mit dem sich die Parteien auf eine Amtshilfe für eine Vielzahl von Steuern einigen können. Mehrere Formen der Zusammenarbeit sind vorgesehen, einschliesslich des auto- matischen Informationsaustausches. Die Umsetzung dieser Form einer neuartigen Amtshilfe im Landesrecht erfordert die Schaffung von Gesetzesgrundlagen und die Revision gewisser Normen. Der Bundesrat hat daher vorgeschlagen, im Bundesge- setz über die internationale Amtshilfe in Steuersachen (StAhiG) punktuelle Weichen- stellungen vorzunehmen. Darüber hinaus wurde ein Entwurf für ein Spezialgesetz ausgearbeitet, das die Einzelheiten des automatischen Informationsaustausches regeln soll (siehe b. «Internationaler automatischer Austausch von Steuerinforma- tionen»). Auf die Unterzeichnung des Übereinkommens folgte die Vorbereitung eines Bun- desbeschlusses betreffend seine Genehmigung. Die Teilrevision des StAhiG, die im Anhang dieses Beschlusses vorgesehen ist, bildete das Hauptziel unserer Bemerkungen. Daher lenkten wir bei der Ämterkonsultation die Aufmerksamkeit
63 23. Tätigkeitsbericht 2015/2016 des EDÖB Informationsaustausch über Finanzkonten (Multilateral Competent Authority Agreement; MCAA), welche die Schweiz am 19. November 2014 unterzeichnet hat. Damit die Bestimmungen dieser Vereinbarung sowie des CRS angewendet werden können, müssen sie mit einem Ausführungsgesetz einhergehen. Diese Rolle wird dem neuen Gesetz über den internationalen automatischen Informationsaustausch in Steuersachen (AIAG) zukommen, dessen Inkraftsetzung für 2017 vorgesehen ist. Es wird Bestimmungen über die Organisation, das Verfahren, die Rechtsmittel sowie Strafbestimmungen enthalten. Bei der Ämterkonsultation sprachen wir uns im Wesentlichen für eine grössere Regelungsdichte aus, das heisst für eine klarere und detailliertere Formulierung gewisser Bestimmungen. Darüber hinaus verlangten wir, dass die durch eine auto- matische Deklaration betroffenen Steuerzahler ausdrücklich informiert werden. Dies bietet die Gewähr, dass das Transparenzprinzip und der Grundsatz von Treu und Glauben bei der Bearbeitung eingehalten werden. Diese Prinzipien setzen vor- aus, dass die betroffene Person vorgängig die Richtigkeit der an das Ausland wei- tergegebenen Informationen überprüfen kann. Ohne diesen Mechanismus müsste der Steuerzahler systematisch ein Auskunftsgesuch bei einem Finanzinstitut stel- len. Eine generelle und abstrakte Information beispielsweise über die allgemeinen Geschäftsbedingungen ist nicht ausreichend. Wie schon in der Ämterkonsultation zum Bundesbeschluss über die Genehmigung des Übereinkommens gab es auch beim Entwurf des AIAG weiterhin Divergenzen. Das EFD trug sie indes dem Bundesrat nicht vor. Wir unterbreiteten sie ihm daher im Mitberichtsverfahren. In diesem Rahmen machten wir unter Anderem erneut unse- ren Standpunkt deutlich, wonach Personen, die von einer Meldung betroffen sind, einzeln und konkret informiert werden sollten. Bei den Beratungen vom 5. Juni 2015 beschloss der Bundesrat jedoch, den Vorschlag des EFD unverändert anzunehmen. Anlässlich des parlamentarischen Verfahrens stellte sich die Frage der Steueridenti- fikation mit der AHV-Nummer erneut, obwohl der Bundesrat beschlossen hatte, eine sektoreigene Nummer einzuführen. In der Herbstsession hatte sich der Nationalrat als erstbehandelnder Rat zunächst unserem Standpunkt angeschlossen (siehe zu diesem Thema das Rechtsgutachten des Bundesamtes für Justiz vom 5. August 2015, veröffentlicht auf: www.parlament.ch). Der Ständerat entschied sich indes für die Verwendung der AHV-Nummer. Diese Divergenz endete schliesslich bei der Schlussabstimmung in der Wintersession mit der Annahme des ursprünglichen Beschlusses des Ständerats. Damit hat sich das Parlament für die internationale Steueridentifikation mit der AHV-Nummer im Rahmen des automatischen Informa- tionsaustausches ausgesprochen.
65 23. Tätigkeitsbericht 2015/2016 des EDÖB abgeleiteten Rechte wie das Recht auf Berichtigung, das Auskunftsrecht und das Recht auf Löschung der Daten nicht geprüft. Der Fragebogen ist daher ein unvoll- ständiges Instrument, das eine Gesamtbeurteilung des Schutzniveaus für Perso- nendaten in einem ausländischen Rechtssystem nicht ermöglicht. Wir wiesen das SIF darauf hin, dass die Aktivierung eines AIA mit einem Drittstaat ohne die Einfüh- rung zusätzlicher Garantien trotz einer guten Bewertung durch das Expertenpanel mit Risiken verbunden ist. d. Bundesbeschluss über die Einführung des AIA mit Australien Wie oben erwähnt bestimmen die MCAA und der Entwurf des AIAG die Rechts- grundlagen des AIA, ohne die Staaten zu beschreiben, mit denen dieser eingeführt werden soll. Australien ist einer der Partner, mit denen die Schweiz den AIA mit einem für 2018 geplanten ersten Austausch einführen möchte. Die Vorlage ist im Laufe des Jahres 2015 in die Vernehmlassung gegangen, und wir hatten die Gele- genheit, einige Bemerkungen zu dem Thema anzubringen. Wir hoben insbesondere hervor, dass zu prüfen sei, ob die australische Gesetzgebung über das Recht auf Privatsphäre den Steuerbereich abdeckt und ob sie gegebenenfalls auch die Daten von Ausländern und juristischen Personen erfasst. Laut der Auswertung des EFD in seinem Vorschlag an den Bundesrat bietet die aus- tralische Gesetzgebung angemessene datenschutzrechtliche Garantien im Rahmen der Einführung des AIA mit Australien. e. Bundesbeschluss über die Genehmigung eines Protokolls zur Änderung des Zinsbesteuerungsab- kommens zwischen der Schweiz und der EU Die bilaterale Aktivierung des AIA mit der EU wurde am 27. Mai 2015 unterzeichnet. In diesem Fall ist das Vorgehen anders als bei einer Aktivierung über die MCAA, wie sie für Australien gilt. Hier konnte das bisherige Zinsbesteuerungsabkommen zwischen der Schweiz und der EU für die Umsetzung des AIA genutzt werden. Dafür wurde ein Änderungsprotokoll vorgesehen. Dieses wandelt inhaltlich das Abkom- men über die Zinsbesteuerung fast vollständig in ein Abkommen über den AIA um. In der Ämterkonsultation betrafen unsere Bemerkungen insbesondere die Einhal- tung des Zweckbindungsprinzips, das eine ausschliessliche Bearbeitung zu Steu- erzwecken gewährleisten muss. Dem hat das EFD teilweise Rechnung getragen.
67 23. Tätigkeitsbericht 2015/2016 des EDÖB oder unvollständige Auskünfte erteilt. Die Auskunft kann zum Beispiel dann einge- schränkt werden, wenn die betroffene Person rechtsmissbräuchlich handelt. Das Bundesgericht hat in BGE 138 II 425 die Hürden für die Annahme einer rechtsmiss- bräuchlichen Geltendmachung des Auskunftsrechts hoch angesetzt. Eine Bank wurde durch diesen Entscheid dazu verpflichtet, Auskunft zu erteilen, auch wenn diese Informationen nicht nur aus persönlichkeitsrechtlichen Gründen gewünscht wurden, sondern um diese eventuell in einem nachfolgenden haftungsrechtlichen Prozess geltend zu machen. Der Ausweg aus diesem Dilemma scheint nun für gewisse Finanzinstitute darin zu bestehen, die Auskunftserteilung nur unter Auflage exorbitant hoher Gebühren zu erteilen. In Bezug auf die Höhe der Gebühren, die gestützt auf das DSG gefordert werden können, besteht eine klare Rechtslage: Der Dateninhaber, also die Bank, kann als Kostenbeteiligung maximal 300 Franken fordern. In diesem Sinne beraten wir betroffene Personen, die ihren Anspruch auf Auskunft beim Zivilrichter geltend machen können.
69 23. Tätigkeitsbericht 2015/2016 des EDÖB des Übereinkommens 108 im Hinblick auf den Beitritt von Drittstaaten auf, nament- lich der Staaten, die bereits dem Übereinkommen über die Internetkriminalität bei- getreten sind. Er erinnert daran, dass das Grundrecht der Achtung der Privatsphäre durch das Übereinkommen 108 und sein Zusatzprotokoll geschützt ist. Die Moder- nisierungsarbeit sollte die Wirksamkeit dieses Instruments weltweit verstärken. Er unterstützt die Aufforderung, eine Empfehlung an die Mitgliedstaaten zu richten, die auf die Gewährleistung des Schutzes der Privatsphäre im Zeitalter der Digitalisierung und der Internetsicherheit im Lichte der mit den Massenüberwachungstechniken verbundenen Gefahren ausgerichtet ist. Er ist auch erfreut über die Aufforderung zur Prüfung der mit den Massenüberwachungsmassnahmen verbundenen Sicher- heitsprobleme im Internet sowie über die Aufforderung, die aus diesen Praktiken entstehenden Gefahren zu prüfen. In dieser Hinsicht weist er darauf hin, dass ohne jeglichen Kontrollmechanismus die Bearbeitung von Personendaten die Ausübung anderer Grundrechte sowie die Wahrnehmung anderer legitimer Interessen gefähr- den könnte. Der Ausschuss unterstützt schliesslich den Vorschlag zur Schaffung eines Kodexes für Nachrichtendienste und wird gegebenenfalls seinen Beitrag zu allen künftigen Arbeiten leisten. Der T-PD hat überdies Arbeiten im Hinblick auf die Entwicklung eines praktischen Leitfadens zum Datenschutz im Polizeisektor aufgenommen. Er befasst sich auch mit der Überarbeitung der Empfehlung R (97) 5 über den Schutz der medizinischen Daten. Dabei geht es insbesondere darum, den technologischen Fortschritten Rech- nung zu tragen, namentlich der Entwicklung der elektronischen Patientenakten, den Fernkonsultationen, der Entstehung des Internets der Dinge und der digitalen Selbstvermessung mit Akteuren, die nicht dem herkömmlichen Gesundheitswesen und dem medizinischen Bereich angehören. Der Ausschuss erörterte die Bedeu- tung der Megadaten für den Datenschutz und beschloss, Leitlinien dazu auszuar- beiten. Er prüfte einen Bericht über die Passagierdaten (PNR) und beauftragte sein Büro mit der Abfassung eines Gutachtens. Schliesslich hält er es für notwendig, die Untersuchung der Datenschutzfragen im Zusammenhang mit dem automatischen Datenaustausch zu Verwaltungs- und Steuerzwecken fortzuführen. Europäische Konferenz der Datenschutzbeauftragten Die europäische Konferenz der Datenschutzbeauftragten fand auf Einladung des Amtes des Informationsbeauftragten für das Vereinigte Königreich vom 18. bis 20. Mai 2015 in Manchester statt. Die Konferenz bot den Teilnehmern die Gelegenheit zu einem Meinungsaustausch über die Datenschutzpraktiken in der digitalisierten Welt (namentlich in den Bereichen Sensibilisierung, Behandlung von Beschwerden und Zusammenarbeit). Die Konferenz nahm dabei Kenntnis von einer Studie über die Rechte der betroffenen Personen und die Erwartungen der Öffentlichkeit gegen- über den Datenschutzbehörden.
71 23. Tätigkeitsbericht 2015/2016 des EDÖB sich bringt, ist die Verwendung solcher Daten mit vielen Risiken verbunden, die weitgehend vom Kontext, in dem diese Daten bearbeitet werden, und von den bei ihrer Bearbeitung geltenden Garantien abhängen. So erscheint es unerlässlich, dass die betroffenen Personen die Kontrolle über ihre Daten behalten können, dass sie angemessen informiert werden und dass ihre Ent- scheidungen respektiert werden. Das lässt sich dank verschiedener Mittel errei- chen, mit denen ein dynamischer Umgang mit dem Einverständnis der Betroffenen über den gesamten Lebenszyklus der Daten, ergänzt durch zusätzliche Garantien, gewährleistet werden kann. Es ist auch zu bedenken, dass die genetischen Daten Informationen über andere offenbaren, die zu ihrer Identifizierung und Charakteri- sierung beitragen. Zwar darf Innovation nicht durch den Datenschutz gebremst wer- den, doch muss sie in einem Rahmen erfolgen, der die Rechte und Grundfreiheiten der betroffenen Personen gewährleistet. Die Datenschutzbehörden verabschiedeten vier Resolutionen über die strategi- sche Ausrichtung der Konferenz, die Zusammenarbeit mit dem UNO-Sonderbe- richterstatter für das Recht auf Privatsphäre, das Öffentlichkeitsprinzip und die internationale humanitäre Tätigkeit. Mit der letzten Resolution verpflichten sich die Datenschutzbehörden, die Anforderungen im Kontext der humanitären Tätigkeit zu analysieren und dem Wunsch zur Zusammenarbeit von Seiten der humanitären Organisationen nachzukommen, um unter Berücksichtigung der Besonderheiten der internationalen humanitären Tätigkeit Leitlinien auszuarbeiten. Für diese Auf- gabe wurde eine Ad-hoc-Arbeitsgruppe eingesetzt. Diese wird gemeinsam durch die spanische Datenschutzbehörde und den EDÖB koordiniert. Sie wird anlässlich der nächsten internationalen Konferenz der Datenschutzbeauftragten, die 2016 in Marrakesch in Marokko stattfindet, über ihre Arbeiten berichten. Ausserdem ist am 27. Oktober 2015 die auf der 36. Konferenz abgeschlossene Ver- einbarung über die Zusammenarbeit zwischen den Datenschutzbehörden in Kraft getreten. Der EDÖB war bisher nicht in der Lage, sich dieser nicht-verbindlichen Absichtserklärung anzuschliessen, da das Bundesamt für Justiz in einer negativen Vormeinung die Auffassung vertrat, dass wir nicht zur Unterzeichnung einer sol- chen Verpflichtung befugt seien. Am Ende der Konferenz wurde eine Schlusserklärung veröffentlicht. Französischsprachige Vereinigung der Datenschutzbehörden Die französischsprachige Vereinigung der Datenschutzbehörden (AFAPDP) trat am 25. und 26. Juni 2015 zu ihrer Konferenz in Brüssel zusammen. Bei diesem Anlass diskutierten die Teilnehmer über die Überwachung und die digitalen Rechte. Zur
73 23. Tätigkeitsbericht 2015/2016 des EDÖB SIS II, VIS und Eurodac in Strassburg besucht, wobei sie vor allem die datensicher- heitsrelevanten Aspekte prüfte. Auch 2015 Jahr nahmen wir als Experten an Schengenevaluationen im Bereich Datenschutz teil: im März an der Evaluation von Österreich und im November an derjenigen des Fürstentums Liechtenstein. Österreich war das erste Land, das nach dem neuen Mechanismus evaluiert wurde. Dieser bringt verschiedene Änderun- gen mit sich. Neu gibt es zwei «leading experts», einer der Europäischen Kommis- sion und ein Vertreter der Mitgliedstaaten. Der Bericht kann in den verschiedenen Punkten zu folgenden Ergebnissen kommen: konform (compliant), nichtkonform (non-compliant) oder konform aber verbesserungsbedürftig (compliant but impro- vement necessary). Die Empfehlungen sind neu nicht mehr im Bericht selber, son- dern in einem separaten Dokument aufgeführt. Arbeitsgruppe «Border, Travel & Law Enforcement» Die «Border, Travel & Law Enforcement subgroup» (BTLE) ist eine von der Arbeitsgruppe «Artikel 29» über den Datenschutz eingesetzte Untergruppe. Diese ist beauftragt, die gesetzgeberischen Entwick- lungen in den Sektoren Polizei, Grenzen und Strafjustiz, insbesondere betreffend den Schengen-Besitzstand, zu verfolgen. In diesem Kontext bereitet sie Gutachten und Stellungnahmen vor, die danach von der Arbeitsgruppe «Artikel 29» verabschiedet werden. Wir haben im Laufe des Berichtsjahres an den verschiedenen Tagungen teilgenommen. Im Anschluss an das Urteil des Gerichtshofs der Europäischen Union vom 6. Oktober 2015 in der Sache Nr. C-362/14, Schrems c. Data Protection Commissioner, erhielt die Unterarbeitsgruppe den Auftrag, die amerikanische Gesetzgebung zu analysie- ren und die Mindestanforderungen zu ermitteln, die im Falle einer Verletzung der Privatsphäre im Rahmen der nachrichtendienstlichen Aktivitäten einzuhalten sind. Die Unterarbeitsgruppe setzte ausserdem die Prüfung des Gerichtsurteils der Euro- päischen Union betreffend die Aufbewahrung von Personendaten für den Kampf gegen das organisierte Verbrechen und den Terrorismus fort. In diesem Kontext hat sie einen Fragebogen zur Ermittlung der Praktiken in den verschiedenen Mitglied- staaten ausgearbeitet. Mit besonderer Aufmerksamkeit beobachtet die Untergruppe den Fortschritt des Projekts «intelligente Grenzen». Die EU-Kommission hat einen Verordnungsentwurf angenommen, der die Einrichtung eines Systems zur Ein- und Ausreiseregistrierung von Angehörigen von Drittstaaten beim Grenzübertritt an den Aussengrenzen der Mitgliedstaaten der Europäischen Union vorsieht. Auch eine Verordnung über die
75 23. Tätigkeitsbericht 2015/2016 des EDÖB Problematik), Datenschutz in Sozialen Netzwerken sowie bei Smart TVs. Arbeitspa- piere und gemeinsame Positionen der Gruppe können auf folgender Website abge- rufen werden (englisch): www.datenschutz-berlin.de Weiter haben wir anlässlich eines Workshops der Europäischen Akademie für Infor- mationsfreiheit und Datenschutz (EAID) am 14. Oktober 2015 ebenfalls in Berlin über die Entwicklungen und Diskussionen zur Vorratsdatenspeicherung insbeson- dere in den USA, Kanada, Grossbritannien und Deutschland informiert.
77 23. Tätigkeitsbericht 2015/2016 des EDÖB sind dabei die nach wie vor bestehenden Unterschiede in der Gebührenhandha- bung zwischen den verschiedenen Behörden. Während die Bundeskanzlei und drei Departemente überhaupt keine Gebühren erhoben, verrechneten vier Departe- mente ihren Zeitaufwand den jeweiligen Gesuchstellern zumindest teilweise. Der Hauptteil der erhobenen Gebühren entfiel dabei auf das VBS (Fr. 5 663 für 5 Gesu- che), das UVEK (Fr. 4 150 für 3 Gesuche) und das WBF (Fr. 3 650 für 8 Gesuche). Nicht im oben erwähnten Gesamtbetrag für das Jahr 2015 enthalten sind diejenigen Fälle, in denen ein allfälliger Gebührenbetrag im Berichtsjahr noch nicht definitiv fest- gesetzt worden ist. Dies betrifft etwa einen vom Bundesverwaltungsgericht beur- teilten Fall, in welchem das Gericht den von der Behörde für die Bearbeitung des Zugangsgesuch geschätzten Gebührenbetrag von 16 500 Franken auf eine Ober- grenze von 8 500 Franken reduzierte (Urteil A-2589/2015 vom 4. November 2015). Was den Zeitaufwand für die Bearbeitung von Zugangsgesuchen anbelangt, weist der Beauftragte einmal mehr darauf hin, dass die Behörden nicht verpflichtet sind, diesen zu erfassen, und dass es keine für die gesamte Bundesverwaltung geltenden Vorgaben für eine einheitliche Erfassung gibt. Die ihm auf freiwilliger Basis über- mittelten Angaben sind daher nur bedingt aussagekräftig. Gemäss diesen hat der gemeldete Zeitaufwand gegenüber den Vorjahren deutlich zugenommen (2012: 2155 Stunden; 2013: 1707 Stunden; 2014: 1642 Stunden; 2015: 2912 Stunden). Der Zeitaufwand für die Mitwirkung in Schlichtungsverfahren hat hingegen von 1436 Stunden im 2014 auf 1148 Stunden im 2015 abgenommen. Nicht bzw. nicht geson- dert erfasst wird dagegen der Zeitaufwand für den Erlass einer Verfügung sowie ein allfälliges Beschwerdeverfahren. 2.1.2 Parlamentsdienste Die Parlamentsdienste meldeten uns für das Jahr 2015 zwei Zugangsgesuche, wobei der Zugang einmal vollständig gewährt und einmal vollständig verweigert wurde. 2.1.3 Bundesanwaltschaft Die Bundesanwaltschaft meldete uns für das Jahr 2015 ein einziges Zugangsgesuch. Der Zugang wurde dabei teilweise gewährt.
79 23. Tätigkeitsbericht 2015/2016 des EDÖB 2.3 Ämterkonsultationen und weitere Stellungnahmen 2.3.1 Mitwirkung in der Arbeitsgruppe Transparenz und Teilrevision des Öffentlichkeitsgesetzes Der Bundesrat will eine Verbesserung der Umsetzung des Öffentlich- keitsgesetzes. Im Nachgang zur Evaluation hat der Bundesrat daher zum einen eine Teilrevision des Öffentlichkeitsgesetzes beschlossen und zum andern eine interdepartementale Arbeitsgruppe eingesetzt. Die Arbeitsgruppe soll einen besseren Austausch innerhalb der Bundesverwaltung sicherstellen und ist auch in die Erarbeitung des Vorentwurfs involviert. Der Beauftragte hat in seinem letzten Tätigkeitsbericht über die vom Bundesamt für Justiz BJ durchgeführte Evaluation des Öffentlichkeitsgesetzes berichtet (22. Tätig- keitsbericht 2014/2015, S. 89ff.), deren Ergebnisse der Bundesrat im Berichtsjahr zur Kenntnis genommen hat. Der Bundesrat will die Umsetzung des Öffentlichkeitsprin- zips in der Bundesverwaltung verbessern und hat zu diesem Zweck das Eidgenös- sische Justiz- und Polizeidepartement (EJPD) mit der Erarbeitung eines Vorentwurfs für eine Teilrevision des Öffentlichkeitsgesetzes (BGÖ) beauftragt. So sollen u.a. Unternehmen, deren Geschäfts- und Fabrikationsgeheimnisse durch Zugangsge- suche betroffen sind oder betroffen sein können, beim Zugangsgesuchsverfahren besser einbezogen werden. Weiter soll geprüft werden, wie das Verhältnis zwischen dem Datenschutzgesetz (DSG) und dem BGÖ geklärt werden kann. Schliesslich soll das EJPD Lösungen prüfen, um die Dauer des Schlichtungsverfahrens zu verkürzen. Weiter hat der Bundesrat beschlossen, eine interdepartementale Arbeitsgruppe unter Führung des BJ zu schaffen. Die Arbeitsgruppe «Transparence» soll den Austausch zwischen den Öffentlichkeitsberatenden der Bundesverwaltung sicher- stellen und die Umsetzung des BGÖ verbessern helfen. Nebst den Öffentlichkeits- beratenden der Departemente, der Bundeskanzlei, der Parlamentsdienste, des Bun- desarchivs sowie einer Vertretung der Konferenz der Informationsdienste KID ist auch der Beauftragte in dieser Arbeitsgruppe vertreten. Im Berichtsjahr fanden zwei Sitzungen statt, in denen die vom BJ ausgearbeiteten Lösungsvorschläge zu einzelnen Revisionsbestimmungen diskutiert wurden. Der Beauftragte hat sich auch in diesem Gremium gegen Beschränkungen des Öffent- lichkeitsprinzips ausgesprochen. So ist er gegen die Ausnahme von Aufsichts-, Inspektions-, Audit oder Kontrollberichten der entsprechenden Bundesbehörden vom Geltungsbereich des BGÖ. Weiter vertritt der Beauftragte der Ansicht, dass die Koordination von BGÖ und DSG bereits heute ausreichend klar geregelt ist. Zur Klärung des Zugangs zu amtlichen Dokumenten mit Personendaten tragen nicht
81 23. Tätigkeitsbericht 2015/2016 des EDÖB Unternehmen im Rahmen der gesetzlichen Aufsicht des BAV, welche durch das BGÖ nicht durchbrochen werden. So habe der Gesetzgeber die Vertraulichkeit zwi- schen Aufsichtsbehörde und Beaufsichtigten bewusst nicht als Ausnahmebestim- mung des BGÖ vorgesehen. Schliesslich lehnte der Beauftragte die vorgesehenen Bestimmungen auch deshalb ab, weil das BAV neben den eigentlichen Audit-, Kontroll- und Inspektionsberichten auch alle übrigen amtlichen Dokumente, welche die technische oder betriebliche Sicherheit eines Unternehmens betreffen, soweit sie Personendaten enthalten, vom Recht auf Zugang ausnehmen wollte. Die gesamte Aufsichtstätigkeit des BAV würde sich damit integral dem BGÖ entziehen und sich in einen vom Gesetz gerade nicht gewollten Geheimbereich staatlichen Handelns verabschieden. Der Beauftragte stellt mit Sorge fest, dass auch andere Verwaltungseinheiten (ins- besondere Aufsichtsbehörden) Bestrebungen verfolgen, anlässlich von Gesetzesre- visionen Teilbereiche ihres Handelns bzw. bestimmte Dokumentenkategorien vom BGÖ auszunehmen. 2.3.3 Freier Zugang zu Behördendaten / Open Government Data (OGD) Am 16. April 2014 hat der Bundesrat die Open-Government-Data-Strategie Schweiz 2014-2018 verabschiedet, mit der er den freien Zugang zu Behördendaten ausbauen will. Die Strategie wurde unter der Federführung des Informatiksteuerungsorgans des Bundes erarbeitet. Seit Anfang 2015 ist das Bundesarchiv für die Umsetzung dieser Strategie verantwortlich und erarbeitet die notwendigen konzeptionellen Grundlagen. In diesem Rahmen wurden wir gebeten, zur Frage der rechtlichen Rahmenbedingungen für OGD aus der Sicht des Öffentlichkeitsprinzips Stellung zu nehmen. Der Beauftragte begrüsst alle politischen Bestrebungen in Richtung eines einfa- chen, freien Zugangs zu Behördendaten. Insbesondere sieht er in der Einführung einer bundesweiten OGD-Plattform eine nützliche und notwendige Erweiterung der Informationsrechte der Bevölkerung. Ein weitgehender Zugang zu behördlichen Informationen stärkt das Vertrauen in staatliche Institutionen und macht eine sinn- volle Mitwirkung am politischen Entscheidungsprozess erst möglich. Aus der Perspektive des Öffentlichkeitsprinzips haben wir darauf hingewiesen, dass OGD als aktive behördliche Informationstätigkeit (freiwillige oder von Geset- zes wegen vorgesehene Information) strikte vom Öffentlichkeitsgesetz (BGÖ) zu trennen ist, welches lediglich die passive behördliche Informationstätigkeit (Infor- mation auf Gesuch hin) regelt. Aus dieser klaren Zweiteilung behördlicher Infor- mationsmodi geht auch hervor, dass das BGÖ nicht als gesetzliche Grundlage für
83 23. Tätigkeitsbericht 2015/2016 des EDÖB zu Informationen über Umweltangelegenheiten zu erhalten. Zweitens darf sich jeder an umweltbezogenen Entscheidungsverfahren beteiligen. Zum Beispiel ist man berechtigt, an Verfahren betreffend den Bau einer Autobahn mitzuwirken. Drittens hat jeder das Recht Zugang zu einem Gericht zu erhalten, wenn ihm z.B. umweltrelevante Informationen verweigert werden oder die Tätigkeit einer Behörde oder Privatperson gegen Umweltvorschriften verstösst. Um eine Übereinstimmung mit der Konvention zu gewährleisten, müssen auch andere Kantone ihre Gesetze anpassen. Der Kanton Freiburg hat in seinem Vorentwurf zur Revision des InfoG einen Hauptan- trag sowie eine Variante ausgearbeitet und in der Vernehmlassung auch den Beauf- tragten um eine Stellungnahme gebeten. Bei der Variante beschränkt man sich auf die Anpassungen, die streng notwendig erscheinen. Das heisst, es werden lediglich Anpassungen für den Umweltbereich vorgenommen. Der Hauptantrag hingegen nimmt die Anliegen der Konvention auf, ohne sich auf den Bereich der Umwelt zu beschränken und verzichtet dadurch in gewissen Punkten auf die Einschränkung des Zugangsrechts. Ein Teil der vorgeschlagenen Gesetzesbestimmungen würde somit auch für behördliche Dokumente gelten, die nicht die Umwelt betreffen. In seiner Stellungnahme hat sich der Beauftragte klar für den Hauptantrag ausge- sprochen, da er im Vergleich zur Variante zu einer grösseren Transparenz der Behör- den führt. Dies weil er vorsieht, den Kreis der Privaten, bei denen man Informati- onen einholen kann, zu erweitern. Bisher mussten diese eine öffentliche Aufgabe wahrnehmen (Bsp. privates Wasserwerk) sowie eine Verfügungskompetenz inneha- ben. Neu fiele die Verfügungskompetenz als Voraussetzung weg. Zudem würde die aktuelle Gesetzesbestimmung, welche Dokumente aufgrund ihres Erstellungs- oder Zustellungsdatums vom Zugang ausnimmt, ersatzlos gestrichen. Damit wäre auch der Zugang zu Dokumenten möglich, die vor Inkrafttreten des InfoG erstellt wurden. Der Beauftragte hob schliesslich die vorausschauende Sichtweise des Hauptan- trags hervor für den Fall des Beitritts der Schweiz zur Tromsø-Konvention. Diese enthält ähnliche Bestimmungen wie die Aarhus-Konvention, gilt jedoch nicht nur für Dokumente in Umweltangelegenheiten, sondern für sämtliche Verwaltungsdo- kumente. Würde der Kanton Freiburg jetzt bloss die Vorschriften im Zusammenhang mit Umweltangelegenheiten anpassen, müsste er diese in ein paar Jahren aufgrund der Tromsø-Konvention möglicherweise wieder ändern. Zusammenfassend kann nach Ansicht des Beauftragten gesagt werden, dass der Kanton Freiburg mit seinem Vorentwurf ein starkes Zeichen für eine offene und transparente Verwaltung setzt.
85 23. Tätigkeitsbericht 2015/2016 des EDÖB diskutiert. Zum anderen dient es dem Austausch von Erfahrungen und dem gegen- seitigen Lernen im Bereich der Schlichtungstätigkeit. Im nächsten Jahr wird die Arbeitsgruppe ihr fünfjähriges Bestehen feiern können.
87 23. Tätigkeitsbericht 2015/2016 des EDÖB 3.2 Publikationen des EDÖB im laufenden Geschäftsjahr Auf der Website des EDÖB finden interessierte und betroffene Bürgerinnen und Bürger, aber auch Medienschaffende und Juristen umfassende Informationen zu unseren Themen- und Zuständigkeits- bereichen: www.derbeauftragte.ch. Im Berichtsjahr publizierten wir aus dem Bereich des Öffentlichkeitsgesetzes eine Vielzahl von Empfehlungen. Im Bereich Datenschutz kamen neue Erläuterungen zur Personensicherheitsprüfung sowie zum digitalen Erbe hinzu. Unternehmen haben ein Interesse daran, nur Mitarbeiter zu beschäftigen, von denen keine Gefahr für die Sicherheit ausgeht. Gerade in Branchen wie der IT, dem Bankenwesen oder der Spitzentechnologie, bei denen Angestellte Zugang zu sen- siblen Einrichtungen und Daten erhalten, besteht das Bedürfnis, Personensicher- heitsprüfungen durchzuführen. In den Erläuterungen auf unserer Website steht, welche datenschutzrechtlichen Vorgaben private Arbeitgeber dabei zu beachten haben. Weil unser Leben zunehmend online stattfindet, wird die Datenmenge, die wir in Form von Kontakten, persönlichen Profilen, Benutzerkonti, Fotos, Videos, Tweets und Likes im Internet speichern, immer grösser. Damit wir das Recht auf informatio- nelle Selbstbestimmung über unseren Tod hinaus wahrnehmen und mitbestimmen können, was mit unseren Daten geschieht, sollten wir uns frühzeitig Gedanken zu unserem digitalen Erbe machen. Wir erläutern nicht nur die rechtlichen Rahmenbe- dingungen, sondern geben auch wichtige Tipps für Internetanwender, -anwender- innen und deren Angehörige. Unter dem Namen «Pay as you drive» (PAYD) evaluieren immer mehr Motorfahr- zeugversicherungen Verhaltensdaten ihrer Kundinnen und Kunden, um ihnen massgeschneiderte Risikoprämien anzubieten. Sobald sich jemand in der Wahl eines solchen Versicherungsmodells nicht mehr frei fühlt (beispielsweise infolge grosser Preisunterschiede), wird es datenschutzrechtlich problematisch. Wir haben deshalb unsere Erläuterungen zu risikobasierten Prämienmodellen für Versicherun- gen aktualisiert. Nach dem Safe-Harbor-Urteil des Europäischen Gerichtshofs hat der EDÖB eine Stellungnahme verfasst und die Hinweise zur Datenübermittlung in die USA aktuali- siert. Bis ein neues Abkommen mit den USA ausgehandelt ist, empfehlen wir, beim Datenaustausch mit US-Unternehmen vertragliche Garantien im Sinne des DSG zu vereinbaren. Obwohl damit ein Zugriff auf die Daten durch US-Behörden nicht aus- geschlossen ist, kann das Datenschutzniveau auf diesem Weg verbessert werden.
89 23. Tätigkeitsbericht 2015/2016 des EDÖB 3.3 Statistik über die Tätigkeit des EDÖB vom
Aufwand nach Aufgabengebiet 0.0%5.0%10.0%15.0%20.0%25.0%30.0%35.0% Beratung Private Beratung Bund Aufsicht Zs.arbeit mit Kantonen Zs.arbeit mit ausl. Behörden Gesetzgebung Prüfungsgesuch Register Datensammlungen Information Ausbildung/Referate Schlichtungsverfahren Zertifizierung
Aufwand nach Sachgebiet 0.0%5.0%10.0%15.0%20.0%25.0% Grundrechte Datenschutzfragen allg. Arbeitsbereich Gesundheit Versicherungen Justiz, Polizei & Sicherheit InfoKommTech (IKT) Handel & Wirtschaft Finanzwesen Statistik & Forschung Verteidigung Öffentlichkeitsprinzip Information Zertifizierungen
91 23. Tätigkeitsbericht 2015/2016 des EDÖB
Herkunft der Anfragen 0.0%10.0%20.0%30.0%40.0%50.0%60.0% Post Fax Telefon Email
93 23. Tätigkeitsbericht 2015/2016 des EDÖB
Bundeskanzlei BK Betroffener Fachbereich Anzahl Gesuche Zugang vollständig gewährt Zugang vollständig verweigert Zugang teil- weise gewährt / aufgeschoben Zugangsgesuch hängig Zugangsgesuch zurückgezogen BK1014230 EDÖB760100 Total1774330
Eidgenössisches Departement für auswärtige Angelegenheiten EDA Betroffener Fachbereich Anzahl Gesuche Zugang vollständig gewährt Zugang vollständig verweigert Zugang teil- weise gewährt / aufgeschoben Zugangsgesuch hängig Zugangsgesuch zurückgezogen EDA13411071700 Total13411071700
Eidgenössisches Departement des Innern EDI Betroffener Fachbereich Anzahl Gesuche Zugang vollständig gewährt Zugang vollständig verweigert Zugang teil- weise gewährt / aufgeschoben Zugangsgesuch hängig Zugangsgesuch zurückgezogen GS310101 EBG000000 BAK110000 BAR660000 METEO CH 000000 NB000000 BAG22341122 BFS400202 BSV211001010 BLV410201 SNM000000 SWISS- MEDIC 1304216 SUVA312000 Total77231028412
95 23. Tätigkeitsbericht 2015/2016 des EDÖB
Eidgenössisches Justiz- und Polizeidepartement EJPD Betroffener Fachbereich Anzahl Gesuche Zugang vollständig gewährt Zugang vollständig verweigert Zugang teil- weise gewährt / aufgeschoben Zugangsgesuch hängig Zugangsgesuch zurückgezogen GS950130 BJ202000 FEDPOL623100 METAS210100 SEM1936901 SIR531100 IGE220000 ESBK000000 ESchK000000 RAB000000 ISC101000 NKVF000000 Total4616131331
Eidgenössisches Departement für Verteidigung, Bevölkerungsschutz und Sport VBS Betroffener Fachbereich Anzahl Gesuche Zugang vollständig gewährt Zugang vollständig verweigert Zugang teil- weise gewährt / aufgeschoben Zugangsgesuch hängig Zugangsgesuch zurückgezogen GS22134410 Verteidig. / Armee 1647230 NDB1507611 arma- suisse 814012 BASPO220000 BABS000000 Total6320221263
97 23. Tätigkeitsbericht 2015/2016 des EDÖB
Eidgenössisches Finanzdepartement EFD Betroffener Fachbereich Anzahl Gesuche Zugang vollständig gewährt Zugang vollständig verweigert Zugang teil- weise gewährt / aufgeschoben Zugangsgesuch hängig Zugangsgesuch zurückgezogen GS18106200 ISB420200 EFV100100 EPA101000 ESTV505000 EZV311100 EAV401300 BBL100100 BIT210100 EFK43394000 SIF101000 PUBLICA000000 ZAS101000 TOTAL8453201100
Eidgenössisches Departement für Wirtschaft, Bildung und Forschung WBF Betroffener Fachbereich Anzahl Gesuche Zugang vollständig gewährt Zugang vollständig verweigert Zugang teil- weise gewährt / aufgeschoben Zugangsgesuch hängig Zugangsgesuch zurückgezogen GS612030 SECO612300 SBFI411101 BLW23131900 BWL000000 BWO000000 PUE202000 WEKO23141314 ZIVI000000 BFK110000 SNF000000 EHB000000 ETH Rat1030601 Total753492246
99 23. Tätigkeitsbericht 2015/2016 des EDÖB
Eidgenössisches Departement für Umwelt, Verkehr, Energie und Kommunikation UVEK Betroffener Fachbereich Anzahl Gesuche Zugang vollständig gewährt Zugang vollständig verweigert Zugang teil- weise gewährt / aufgeschoben Zugangsgesuch hängig Zugangsgesuch zurückgezogen GS631020 BAV520003 BAZL622200 BFE1374101 ASTRA411101 BAKOM1121404 BAFU31261400 ARE440000 ComCom000000 ENSI1753900 PostCom000000 UBI440000 Total10156132129
Behandlung der Zugangsgesuche 0 100 200 300 400 500 600 700 BKEDAEDIEJPDVBSEFDWBFUVEKTOTAL Rückzug Zugang teilweise gewährt/aufgeschoben Zugang verweigert Zugang gewährt
101 23. Tätigkeitsbericht 2015/2016 des EDÖB 3.5 Statistik über die bei der Bundesanwaltschaft eingereichten Zugangsgesuche nach Art. 6 des Öffentlichkeitsgesetzes (Zeitraum: 1. Januar 2015 bis 31. Dezember 2015)
Bundesanwaltschaft BA Betroffener Fachbereich Anzahl Gesuche Zugang vollständig gewährt Zugang vollständig verweigert Zugang teil- weise gewährt / aufgeschoben Zugangsgesuch hängig Zugangsgesuch zurückgezogen BA100100 Total100100
Parlamentsdienste PD Betroffener Fachbereich Anzahl Gesuche Zugang vollständig gewährt Zugang vollständig verweigert Zugang teil- weise gewährt / aufgeschoben Zugangsgesuch hängig Zugangsgesuch zurückgezogen PD211000 Total211000
103 23. Tätigkeitsbericht 2015/2016 des EDÖB 3.7 Anzahl Schlichtungsgesuche nach Kategorien der Antragsteller (Zeitraum: 1. Januar 2015 bis 31. Dezember 2015)
Kategorie Antragsteller2015 Medien26 Privatpersonen (bzw. keine genaue Zuordnung möglich) 23 Interessenvertreter (Verbände, Organisationen, Vereine usw.) 14 Rechtsanwälte14 Unternehmen21 Total98
105 23. Tätigkeitsbericht 2015/2016 des EDÖB 4. Abkürzungsverzeichnis ARE Bundesamt für Raumentwicklung armasuisse Bundesamt für Rüstung ASTRA Bundesamt für Strassen BABS Bundesamt für Bevölkerungsschutz BAFU Bundesamt für Umwelt BAG Bundesamt für Gesundheit BAK Bundesamt für Kultur BAKOM Bundesamt für Kommunikation BAR Schweizerisches Bundesarchiv BASPO Bundesamt für Sport BAV Bundesamt für Verkehr BAZL Bundesamt für Zivilluftfahrt BBL Bundesamt für Bauten und Logistik BFE Bundesamt für Energie BFK Eidgenössisches Büro für Konsumentenfragen BFS Bundesamt für Statistik BGE Bundesgerichtsentscheid BIT Bundesamt für Informatik und Telekommunikation BJ Bundesamt für Justiz BK Bundeskanzlei BLW Bundesamt für Landwirtschaft BLV Bundesamt für Lebensmittelsicherheit und Veterinärwesen BSV Bundesamt für Sozialversicherungen BWL Bundesamt für wirtschaftliche Landesversorgung BWO Bundesamt für Wohnungswesen ComCom Eidgenössische Kommunikationskommission EAV Eidgenössische Alkoholverwaltung EBG Eidgenössisches Büro für die Gleichstellung von Frau und Mann EFK Eidgenössische Finanzkontrolle EFV Eidgenössische Finanzverwaltung EHB Eidgenössisches Hochschulinstitut für Berufsbildung ENSI Eidgenössische Nuklearsicherheitsinspektorat