29.Tätigkeitsbericht 2021/22 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter 29. Tätigkeitsbericht 2021/22 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
Tätigkeitsbericht 2021/2022 des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte hat der Bundesversammlung periodisch einen Bericht über seine Tätigkeit vorzulegen (Art. 30 DSG). Der vorliegende Bericht deckt den Zeitraum zwischen 1. April 2021 und 31. März 2022 ab.
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
Vorwort Während die gesundheits- und freiheitszehrende Pandemie hoffentlich ihr Ende findet, kann die digitale Schweiz aus der Perspektive des Datenschutzes mit der COVID-App und dem COVID-Zertifikat inklusive seiner Light-Version wichtige Achtungserfolge verbuchen. Dank der dezentralen und daten- sparsamen Ausgestaltung dieser Tools konnte die Übermittlung von Bürger- daten an die Bundesverwaltung vermieden und die Preisgabe von Gesund- heitsdaten gegenüber Privaten auf ein datenschutzverträgliches Mass begrenzt werden. Gleichzeitig leckt die digitale Schweiz die Wunden, welche der technisch und organisatorisch missglückte Betrieb gewisser Applikationen zum Contact Tracing oder von Registern über Impfungen, Organspenden und Brustimplan- taten aufriss. Spätestens seit der Investigativjournalismus der breiten Öffent- lichkeit aufgezeigt hat, mit wie wenig Aufwand sich Unberechtigte Zugriff auf sensible Personendaten verschaffen können, muss allen Betreibern von Platt- formen klargeworden sein, dass sie ihrer Verantwortung aus eigenem Antrieb gerecht werden müssen. Ebenso bedeutsam ist, dass die überfällige Realisie- rung einer staatlich anerkannten elektronischen Identität beim zweiten Anlauf gelingen wird. Die Digitalisierung unserer Arbeits- und Freizeitwelten hat sich im Wind- schatten der Pandemie beschleunigt. Mit dem angekündigten «Metaverse» ist zudem der Startschuss für eine Ablösung der heutigen, App-basierten sozialen Plattformen gefallen. Mit der nächsten Generation der internet- gestützten Vernetzung sollen sich die Menschen via federleichter VR-Brillen in virtuellen Räumen begegnen, in denen sich ihre physische Umgebung mit digitalen Signalen überlagert und so zu einer «verbesserten» Welt wandelt. Wie werden diese VR-Brillen unsere private Umgebung vermessen? Wie werden die künstlichen Intelligenzen in der Cloud unsere Mimik, unsere Stimmen und unser gesamtes Verhalten erfassen und interpretieren? Werden die Menschen die unbespielte, natürliche Welt über kurz oder lang als grau, einsam und bedrohlich wahrnehmen? Diese Fragen der Datenschutzaufsicht des Bundes stehen für den Anspruch der Bevölkerung, ihre digitale Realität von morgen mitzugestalten. Adrian Lobsiger Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Bern, den 31. März 2022 29. Tätigkeitsbericht 2021/22
Aktuelle Herausforderungen .........................6 Datenschutz 1.1 Digitalisierung und Grundrechte ............14 –Der EDÖB wirkte in zahl reichen Digitalisierungsprojekten des Bundes auf eine datenschutzkonforme Umsetzung hin –Bundesgesetz über den Einsatz von elektronischen Mitteln –EDÖB äusserte Kritik an Steuerdatenerhebung –Analyse der Datenbearbeitungen Schwerpunkt I ...................................................18 Arbeiten im Hinblick auf die Inkraftsetzung des revidierten DSG –Neue staatliche Lösung gefordert –Transparenz in der Politikfinanzierung –Bund entwickelt KI-basiertes Know-how-Netzwerk 1.2 Justiz, Polizei, Sicherheit ..................26 –Schaffung des Bundesamts für Zoll und Grenzsicherheit –Die Revision muss ein im Vergleich zum jetzigen NDG gleichbleibendes Trans parenzniveau gewährleisten –Prüfungsgesuche wegen Aufschubs der Auskunft –Koordinationsarbeiten auf nationaler Ebene 1.3 Handel und Wirtschaft ............................31 –Diem zieht Projekt für Blockchain-Zahlungssystem in der Schweiz zurück –Datenübermittlungen an die US-Börsenaufsicht sind grundsätzlich zulässig –Bearbeitung von Kundendaten –Neue Entwicklungen im Verfahren betreffend Auktionsplattform Ricardo –Abklärungen bei einem Autoleasing-Anbieter –Abklärung zu einer möglichen missbräuchlichen Verwendung des «Signalling System»- Zugangs –Neue Nutzungsbedingungen von WhatsApp wecken Interesse an Datenschutz –Projekt der Schweizer Medien verlage für ein gemeinsames Login auf Online-Portalen –Automatische Ergänzung der Kontoangaben –Fehlerhafte Datenbank einträge bei Inkassounternehmen –Neuer Mitgliederausweis mit integrierter Kreditkarten- funktion für Schützinnen und Schützen 1.4 Gesundheit .............................................41 –Begleitung des Projekts für ein datenschutzkonformes COVID-19-Zertifikat und das Zertifikat Light –Sachverhaltsabklärung zur Applikation «SocialPass» –Untersuchung zu Impfplattform durchgeführt –Einsicht, Aufbewahrung und Löschung von Patientendaten –Schwachstellen im Organspenderegister und im Brustimplantatregister 1.5 Arbeit ....................................................49 –Abklärungen beim Bundesamt für Statistik betreffend Aufbewahrung von physischen Personaldossiers 1.6 Versicherungen .......................................50 –Klärung der Rollen und Kompetenzen zwischen BAG und EDÖB 1.7 Verkehr ..................................................52 –Sicherheitslücken in den Kundenportalen –Ämterkonsultation zum neuen Flugpassagierdatengesetz –Digitale Parkuhren mit Eingabe des Autokenn zeichens –Ämterkonsultation zur Teilrevision des Strassenverkehrsgesetzes –Austausch von Mobilitätsdaten erfordert Rechtsgrundlage 1.8 International ........................................57 –Schutz der Privatsphäre des Kindes im digitalen Umfeld und Leitlinien zu Profiling sowie politischen Kampagnen –Verbesserte Zusammenarbeit der Datenschutzbehörden angestrebt –Online-Tagung mit über neunzig Mitgliedern und Beobachtern –Datenschutz in der internationalen Entwicklungshilfe –Aufsichtskoordinations gruppen SIS II, VIS und Eurodac –Best Practices der Datenschutzbehörden Schwerpunkt II ..................................................64 Datenübermittlung mit Auslandbezug Inhaltsverzeichnis Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
Öffentlichkeitsprinzip 2.1 Allgemein ...............................................70 2.2 Zugangsgesuche – erneute Zunahme im 2021 ..................................................72 2.3 Schlichtungsverfahren – bedeutende Zunahme der Schlichtungsanträge ............76 –Anteil einvernehmlicher Lösungen –Dauer der Schlichtungs verfahren –Anzahl hängiger Fälle 2.4 Gesetzgebungsverfahren ..........................81 –Revision des Nachrichtendienstgesetzes Der EDÖB 3.1 Aufgaben und Ressourcen .........................84 –Pandemie –Leistungen und Ressourcen im Bereich Datenschutz –Teilnahme an Kommissions beratungen und Anhörungen durch parlamentarische Kommissionen –Leistungen und Ressourcen im Bereich Öffentlichkeits gesetz 3.2 Kommunikation ........................................88 –Schwerpunkte der Kommunikationsarbeit –Gestiegene Aufmerksamkeit in Medien und Bevölkerung –Tätigkeitsbericht und Entwicklung eines neuen Webauftritts 3.3 Statistiken ...........................................90 –Statistiken über die Tätigkeiten des EDÖB vom 1. April 2021 bis 31. März 2022 (Datenschutz) –Übersicht der Zugangsgesuche vom 1. Januar bis 31. Dezember 2021 –Statistiken über eingereichte Zugangsgesuche nach Öffentlichkeitsgesetz vom 1. Januar bis 31. Dezember 2021 –Zugangsgesuche 2021 mit Corona-Bezug –Anzahl Schlichtungsgesuche nach Kategorien der Antragstellenden –Zugangsgesuche der gesamten Bundesverwaltung vom 1. Januar bis 31. Dezember 2021 3.4 Organisation EDÖB ......................100 –Organigramm –Mitarbeiter und Mitarbeiterinnen des EDÖB Abkürzungsverzeichnis .........................102
Abbildungsverzeichnis .........................103 Impressum ............................................104 Im Umschlag –Kennzahlen –Anliegen des Datenschutzes Inhaltsverzeichnis 29. Tätigkeitsbericht 2021/22
Der Alltag der allermeisten Menschen in der Schweiz ist geprägt vom Umgang mit Informations- und Kommunika- tionstechnologien (IKT). Die Digitali- sierung hat unsere Gesellschaft durch- drungen. Damit zeichnet sich indessen kein sättigender Endzustand dieser Entwicklung, sondern vielmehr eine evolutive Ablösung digitaler Realitäten ab. Hat das Smartphone bald seinen Zenit überschritten? Dieser Ablösungsprozess lässt sich am Beispiel des Smartphones treffend veranschaulichen, das bei der digitalen Durchdringung der Gesellschaft der letzten 15 Jahre die Hauptrolle spielte. Die über dieses Gerät ablaufende Generierung von Daten hat sich in der aktuellen Berichtsperiode einerseits weiter intensiviert, indem der Zugang zu öffentlichen Veranstaltungen und Restaurants während Monaten von der Vorweisung eines COVID-19-Zertifi- kats abhing und sich so die Gewohn- heit verfestigte, das Smartphone bei Verschiebungen im öffentlichen Raum stets eingeschaltet bei sich zu tragen. Andererseits deutet die medial Aktuelle Herausforderungen I Digitalisierung gehäufte Thematisierung der Vision des sog. «Metaverse» an, dass auch das Smartphone seinen Zenit überschrei- ten wird: Gemäss den Promotoren dieser Vision sollen sich die Menschen von den heutigen, App-basierten so zialen Plattformen inklusive Bild- schirmen, Mäusen und Tastaturen allmählich verabschieden, um sich durch das Aufsetzen einfacher Brillen in virtuellen Räumen zu begegnen. «Metaverse» gegenüber realer Welt Um für den eigenen Teil des zukünftig weltumspannenden «Metaverse» Investoren und Nutzer zu gewinnen sowie dort kommerzielle Rechte zu begründen, hat sich in der Berichts- periode der global tätige Kommunika- tionskonzern Facebook neu in «Meta» umbenannt. In der nächsten Generation der internet-gestützten Vernetzung von Menschen sollen sich diese in virtuel- len Räumen begegnen, in denen sich ihre physische Umgebung mit digita- len Signalen überlagert und sich so zu einer gemischten, besseren Welt bzw. «augmented reality» wandelt. Die Menschen sollen diese neue Umwelt sinnlich als real wahrnehmen, obwohl die digitalen Avatare, über die sie sich im «Metaverse» begegnen, nicht aus Fleisch und Blut sind. Diese Treffen sollen auch in privaten Wohnungen und Geschäftsräumen stattfinden. Um dies möglich zu machen, werden Sen- soren die privaten Wände durchleuch- ten, vermessen und die so gewonne- nen Daten in Echtzeit über das Inter- net verbreiten. Allein dies macht deut- lich, dass das Konzept des «Metaverse» auf Eingriffe in die Privatsphäre von Milliarden von Menschen abzielt. Jedermann soll durch das blosse Aufsetzen einer unscheinbaren Brille innert Sekunden in das «Metaverse» eintauchen können. Was das für die Verweildauer in der digital unbespiel- ten, natürlichen Welt bedeutet, lässt das Verhalten der Konsumenten von virtuellen Spielen erahnen. Wenn Menschen die reale, unbespielte Welt über kurz oder lang als grau und ein- sam wahrnehmen, dürfte ihre Ver- weildauer dort markant abnehmen. Wird die Meta-Gesellschaft den Gang durch die unbespielte Welt eines Tages gar als Selbstgefährdung einstufen, weil dort gewisse Warnhinweise feh- len? Um die «augmented reality» vorzu- spielen, werden die V R-Brillen und ihre Sensoren menschliche Blicke, «Das Konzept ‹Metaverse› zielt auf Eingriffe in die Privatsphäre von Milliarden von Menschen ab.» Aktuelle Herausforderungen 6 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
Mimik, Stimmen und Körperhaltun- gen bis hin zur Lektüre und Nahrungs- aufnahme der Brillentragenden erfas- sen. Alles sensible Daten, die dereinst in der Cloud der Betreiber sozialer Netzwerke landen werden – und dies freilich in noch gigantischerem Umfang als dies in der digitalen Reali- tät von heute der Fall ist. Je mehr Menschen ihr soziales Leben in digital bespielte Welten ver- lagern, desto häufiger drohen dort auch Persönlichkeitsverletzungen auf- zutreten. Dies zum Beispiel bei der Verwendung von fotorealistischen Avataren, deren Perfektionierung nur noch eine Frage der Zeit ist. Vor die- sem Hintergrund wird der EDÖB im Verbund mit anderen Aufsichtsbehör- den frühzeitig darauf hinwirken, dass die Anbieter der digital bespielten Welten die damit verbundenen Risi- ken transparent machen und Mass- nahmen zum Schutz der Privatsphäre und Selbstbestimmung der Nutzerin- nen und Nutzer treffen. Strategie digitale Schweiz Damit die Schweizer Bevölkerung von den Vorteilen der Digitalisierung pro- fitieren kann, formuliert der Bundesrat in regelmässigen Abständen eine Stra- tegie zur digitalen Schweiz. Diese hält die Behörden aller föderalen Ebenen sowie die Zivilgesellschaft, Wirtschaft, Wissenschaft und Politik an, den digi- talen Wandel gemeinsam voranzu- treiben. Die digitale Transformation beste- hender Strukturen erfordert gemäss dieser Strategie ein Umdenken, das traditionelle Formen des Zusammen- lebens und Wirtschaftens in Frage stellt. Digitale Kompetenzen und Ver- netzung sowie das Teilen von Daten zwischen allen Akteuren sind ange- sagt. Und aus der daraus resultieren- den Akkumulation von Wissen soll eine Schweiz entstehen, in der die Bevölkerung auch im digitalen Raum am sozialen, politischen und wirt- schaftlichen Leben teilhat. Service Public als diskreter Partner der Bevölkerung Die Antipode zu dieser strategischen Vision orten viele Promotoren des digitalen Wandels in der verpönten Haltung von Daten in sog. Silos, die sie mit überholtem Denken und dem Stereotyp einer rückwärtsorientierten Verwaltung in Bern in Verbindung bringen. Dabei wird leider allzu leicht übersehen, dass vermeintlich obsolete Informationsschranken systemim- manente Stützen des neuzeitlichen Rechtsstaats darstellen können. Dieser trat an die Stelle aristokratischer Herr- schaften, wo sich noch alle hoheitli- chen Verrichtungen von der Macht- fülle eines Fürsten ableiteten. Letzterer konnte jederzeit jedes Geschäft an sich ziehen, alles dazu in Erfahrung Gebrachte zur Kenntnis nehmen und mittels Entscheid über die betroffenen Untertanen höchstpersönlich erledi- gen. Erst mit der rechtsstaatlichen Aus- scheidung einer unabhängigen Justiz und Auffächerung der Verwaltung in fachlich spezialisierte und mit Exklu- sivwissen ausgestattete Ämter wurden die Voraussetzungen geschaffen, dass aus dem Staat ein Service Public und aus Untertanen Bürgerinnen und Bür- ger werden konnten. Der gewaltenteilige Staat präsen- tiert sich heute als Konglomerat von Leistungsstellen, welche die Bevölke- rung darin unterstützen, ihre spezial- gesetzlich begründeten Bürgerrechte und -pflichten wahrzunehmen. Mit der Spezialisierung der Verwaltung und Segmentierung behördlicher Infor- mationen ging eine Transformation staatlicher Macht auf die Zivilgesell- schaft einher, die ihre Rechte heute selbstbewusst geltend macht und von den Fachämtern für die geleisteten Abgaben professionelle und diskrete Leistungen einfordert und nötigenfalls gerichtlich durchsetzt. «Nehmen Menschen die reale Welt als grau und einsam wahr, nimmt ihre Verweildauer im ‹Metaverse› zu.» Aktuelle Herausforderungen 7 29. Tätigkeitsbericht 2021/22
Rechtsstaat: Vernetzung von Sachdaten statt Bürgerdaten Vor diesem historischen Hintergrund muss der Datenschutz das strategische Anliegen, Staat und Verwaltung ver- stärkt in die digitale Vernetzung, Tei- lung und Nutzung von Daten einzu- binden, differenziert unterstützen. Er wirkt darauf hin, dass sich diese Dyna- misierung von Informationen nicht auf personenbezogene Erkenntnisse, sondern Sachdaten konzentriert und unter Wahrung der rechtsstaatlichen Informationsschranken erfolgt, die der Zivilgesellschaft erlauben, ihre Bürger- rechte gegenüber den Behörden durch- zusetzen. Es geht dem Datenschutz um die Wahrung fundamentaler Rechte, die den Menschen in autoritären Staaten verwehrt sind, weil sie dort auch heute damit rechnen müssen, dass ihnen die Verwaltung aufgrund eines für sie nicht nachvollziehbaren Umfangs staatlicher Informationen und Daten- quellen den Zugang zu Ämtern, Sub- ventionen oder Bildung bis hin zu Sozialleistungen und medizinischer Versorgung beschneidet. Mittels digi- taler Vernetzung und preisgünstiger Überwachungstechnologie haben autoritäre Staaten die Kontrolle über die Bevölkerung inzwischen in einem den Westen hoffentlich noch lange erschreckenden Ausmass intensiviert. So sah sich die europäische Kommis- sion dazu veranlasst, den Mitglied- «Dem Datenschutz geht es um die Wahrung fundamentaler Rechte, die den Menschen in autoritären Staaten verwehrt sind.» staaten der Union im Entwurf einer Gesetzgebung zur künstlichen Intelli- genz die andauernde Sozialüberwa- chung der Bevölkerung im Sinne eines «Social Scorings» wie auch den flä- chendeckenden Echtzeiteinsatz von Gesichtserkennungssystemen im öffentlichen Raum zu verbieten. Anonyme Kommunikation ist ein Bürgerrecht und nie ein «Missbrauch von Freiheit» Ebenso zentral ist aus Sicht des Daten- schutzes, dass in den westlichen Demokratien das Recht der Privaten unangetastet bleibt, ihre eigenen Daten sowie jene ihrer Kunden privat- autonom zu bearbeiten und nach Belieben gegenüber Dritten und somit auch gegenüber dem Staat abzuschot- ten. Die Existenz von Kriminalität ist gesellschaftsimmanent und somit nie ein Grund, Bürgerinnen und Bürgern dem unhaltbaren Vorwurf auszuset- zen, ihre «Freiheit zu missbrauchen», wenn sie über abhörsichere Systeme kommunizieren. Wenn eine Person zunächst zu Fuss in ein Restaurant geht und dann per Bus zum Ort fährt, an dem sie später eine vorsätzliche Straftat begeht, kann ihr weder eine missbräuchliche Bewegung im öffent- lichen Raum, noch eine missbräuch- liche Nahrungsaufnahme noch ein Missbrauch des öffentlichen Verkehrs vorgeworfen werden. Das gleiche gilt, wenn sich eine Straftäterin oder ein Straftäter vor oder nach Begehung einer Tat über abhörsichere Kanäle aus- tauscht. In der freien Welt sollte jedem Menschen das Recht zugestanden werden, sich in der analogen und digi- talen Welt anonym zu bewegen, ohne sich durch eigene Aussagen zu belas- ten. Zu dieser Welt passen auch keine Technologiekonzerne, welche die von ihnen verkauften Mobiltelefone unter Einsatz künstlicher Intelligenz auf unerlaubte Inhalte hin durchsuchen, um die Besitzer bei der Polizei zu denunzieren. Das Recht auf anonyme Kommu- nikation schliesst freilich nicht aus, dass einzelfallbezogene Eingriffe der Polizei gegen nachweisbar einer Straf- tat verdächtigte Personen und ihr Umfeld mit richterlicher Genehmi- gung stets vorbehalten bleiben. Sollten Private in der Schweiz indessen ohne hinreichend klare gesetzliche Vorgaben davon abgehalten werden, ihre privaten Informationen sowie jene ihrer Kunden gegen jeder- mann zu schützen, wird sich dem der EDÖB im Rahmen seiner gesetzlichen Befugnisse widersetzen. Er ruft vor diesem Hintergrund dazu auf, Digital- strategien differenziert und besonnen umzusetzen, sodass sie zur Stärkung des privaten und selbstbestimmten Lebens der Schweizer Bevölkerung und nicht zu dessen Aushöhlung führen. Aktuelle Herausforderungen 8 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
Aktuelle Herausforderungen 9 29. Tätigkeitsbericht 2021/22
Damit der EDÖB als Aufsichtsbehörde sicherstellen kann, dass Personendaten nicht mit der technisch machbaren, sondern rechtlich zulässigen Intensität bearbeitet werden, verlangt er von den Verantwortlichen digitaler Applika- tionen, dass sie hohe datenschutz- rechtliche Risiken bereits im Planungs- und Projektstadium minimieren und gegenüber der betrieblichen und behördlichen Datenschutzaufsicht dokumentieren. Mit dieser Ausrich- tung haben wir die aufsichtsrechtliche Beratung einer Vielzahl von Big Data Projekten von Bundesbehörden und privaten Unternehmen fortgesetzt und den selbstverantwortlichen Ein- satz moderner Arbeitsinstrumente wie der Datenschutz-Folgenabschät- zung sowie betrieblicher Datenschutz- verantwortlicher gefördert. Aufsicht kann berechtigte Erwartungen der Öffentlich keit nur teilweise erfüllen Nachdem die Aufwendungen für die Kontrollaufgaben in der Periode 2015/16 deutlich absanken, konnten der EDÖB diese in den letzten Jahren zwar leicht anheben, wegen der anhaltend knappen Mittelausstattung indessen nur auf tiefem Niveau stabi- lisieren. Auch in der aktuellen Berichts- periode vermochte unsere Behörde die berechtigten Erwartungen der Öffent- lichkeit nicht im gewünschten Mass zu erfüllen (s. Kap. 3.1.). Obwohl der EDÖB seine gute Zusammenarbeit mit dem nationalen Zentrum für Cyber- sicherheit im Berichtsjahr vertiefen konnte, fehlt es ihm nach wie vor an Mitteln, um systematisch Stichproben und Kontrollen der technischen Sicher- heit durchzuführen, wie sie gerade bei sensiblen Datenhaltungen von Gesund- heitsdaten nützlich wären. Erinnert sei in diesem Kontext an den Fall der in Liquidation stehenden Stiftung «meine- impfungen», zu dem in der aktuellen Berichtsperiode die unkontrollierten Zugriffe auf das Register für Organ- spenden und das Register für Brustim- plantate hinzukamen (s. Kap. 1. 4). Zunahme der Schlichtungs anträge führt zu Bearbei tungsrückständen Als Öffentlichkeitsbeauftragter musste der EDÖB während der Berichtsperi- ode pandemiebedingt seine mündliche Schlichtungstätigkeit zeitweise aus- setzen, was zu einer Abnahme einver- nehmlicher Lösungen führte. Der Beauftragte musste demzufolge mehr schriftliche Empfehlungen verfassen, was angesichts der gleichzeitigen Zunahme von Schlichtungsanträgen dazu führte, dass die gesetzlichen Bearbeitungsfristen mit den vorhande- nen Personalressourcen in vielen Ver- fahren überschritten wurden. Ange- sichts der Tendenz der Zunahme von Schlichtungsanträgen ist davon aus- zugehen, dass sich die negative Ent- wicklung ohne zusätzliche Ressourcen weiter verschärfen und die vom Gesetzgeber verlangte rasche Verfah- rensabwicklung weiter ins Hintertref- fen geraten wird. II Beratungs, Kontroll und Schlichtungstätigkeit «Digitalstrategien sind differenziert und besonnen umzusetzen. Sie sollen das private, selbstbestimmte Leben stärken und nicht aushöhlen.» Aktuelle Herausforderungen 10 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
Nationale Kooperation Mit der weiter fortschreitenden Digi- talisierung beschäftigt den EDÖB wie auch die kantonalen Datenschutzbe- hörden unter anderem die Cloud- thematik. So hat das Büro von priva- tim, die Konferenz der schweizeri- schen Datenschutzbeauftragten, sein Merkblatt zu den cloud-spezifischen Risiken und Massnahmen völlig über- arbeitet und die neue Version im Feb- ruar 202 2 verabschiedet. Zuvor hatte der EDÖB mit beratender Stimme zum Entwurf Stellung genommen. Auch hier erfolgte aufgrund der ein- spielten Kontakte eine gute Zusam- menarbeit. Die Thematik hat den EDÖB insbesondere in Zusammen- hang mit der Cloud in der Bundes- verwaltung beschäftigt (s. Kap. 1.1). Europarat Der EDÖB bringt sich weiterhin aktiv beim Europarat ein. So hat er an allen Sitzungen des für den Datenschutz zuständigen beratenden Ausschuss zum Übereinkommen 108 teilgenom- men. 2021 wurden zwei Dokumente, mit welchen sich dieser Ausschuss befasst hatte, vom Ministerkomitee des Europarates verabschiedet: die Erklärung vom Schutz des Rechts von Kindern auf Privatsphäre im digitalen Umfeld einerseits sowie die Anpas- sung der Empfehlung des Minister- komitees betreffend Profiling anderer- seits. Internationale Kooperation Die Frage der Datenbekanntgabe von Personendaten in ein Land ohne ange- messenes Datenschutzniveau ist ein Thema, das in verschiedenen Staaten ähnliche Fragen aufwirft. Der EDÖB verfolgt diesbezüglich insbesondere die Entwicklung in der EU und in den Mitgliedstaaten der EU resp. des EW R. So hat der EDÖB die von der Europäi- schen Kommission veröffentlichten angepassten Standardvertragsklauseln analysiert und geprüft, inwieweit er diese auch in der Schweiz anerkennen kann (s. Kap. 1.8). Evaluation des Datenschutz niveaus Der längst erwartete Bericht der Euro- päischen Kommission zur Angemes- senheit des Datenschutzniveaus der Schweiz verzögerte sich weiter. In der Zwischenzeit bleibt der bestehende Angemessenheitsbeschluss der Euro- päischen Kommission in Kraft. Dieser erfolgte noch unter der Datenschutz- richtlinie 95/46/EG, die durch die DSGVO abgelöst wurde. Es ist davon auszugehen, dass die EU Kommission die Angemessenheitsberichte sämt- licher Staaten, welche bereits vor der DSGVO als angemessen galten, gleich- zeitig veröffentlichen wird. Wir hof- fen, dass dies noch im Verlauf des Jahres 202 2 erfolgen wird. III Nationale und internationale Kooperation Aktuelle Herausforderungen 11 29. Tätigkeitsbericht 2021/22
Datenschutz
DIGITALE TRANSFORMATION DER BUNDESVERWALTUNG Der EDÖB wirkte in zahl reichen Digitalisierungs projekten des Bundes auf eine datenschutzkonforme Umsetzung hin Die Vielzahl der Projekte zur digitalen Transformation der Bundesverwaltung stellen für den EDÖB als Kleinbehörde eine Herausforderung dar. Im Rahmen seiner beratenden Aufsichtstätigkeit wirkt er auf die systematische und frühzeitige Berücksichtigung der daten- schutzrechtlichen Aspekte hin. In Wahrnehmung dieser Rolle hält er Kon- takt mit dem neuen Dienst für Digitale Transformation und IKT-Lenkung (DTI) der Bundeskanzlei, dem Bundesamt für Informatik (BIT) und den projektverant- wortlichen Bundesämtern, damit sie ihn frühzeitig über Digitalisierungsvor- haben informieren und über geplante und laufendende Projekte auf dem Laufenden halten. Die Cloud-Strategie der Bundesver- waltung, die eine Nutzung von Cloud- diensten ermöglichen soll, ist ein wichtiger Aspekt der digitalen Trans- formation. Der EDÖB nahm Stellung zu Vorstössen betreffend die Vergabe von Public-Cloud-Diensten an ameri- kanische und chinesische Unterneh- men sowie zur Verwendung der Clouddienste von Microsoft. Zudem formulierte er datenschutzrechtliche Anforderungen an behördliche Cloud- Nutzungen (s. Schwerpunkt II). Nach dem Scheitern des E-ID- Gesetzes in der Volksabstimmung vom 7. März 2021, hat das EJPD die Gesetzgebungsarbeiten für ein neues E-ID-Konzept rasch an die Hand genommen. Der EDÖB nutzt die Gele- genheit, fachliche Impulse zu geben, und äusserte sich auch in der Öffent- lichkeit zu seinen Kernanliegen (s. Kap. 1.1). Mit der Vorlage für das «Bundesge- setz über den Einsatz elektronischer Mittel zur Erfüllung von Behördenauf- gaben (EMBaG)» soll die elektronische Abwicklung der Geschäftsprozesse des Bundes im Sinne von «digital first» gefördert werden. Im Rahmen der Ämterkonsultation nahm der EDÖB zu verschiedenen Regelungen kritisch Stellung. Namentlich bei den Pilotver- fahren, der Sicherstellung eines ange- messenen Datensicherheitsniveaus, der Verantwortlichkeit und Zugriffen für statistische Zwecke durch das Bun- desamt für Statistik konnten wir Anpassungen erwirken (s. Kap. 1.1). Daten sollen möglichst nur einmal erfasst und mehrfach genutzt und geteilt werden (Once-Only-Prinzip und Mehrfachnutzung). Dass neben den Chancen auch Risiken für die Bevölkerung bestehen, zeigte sich exemplarisch beim Pilotprojekt zur Steuerdatenerhebung, bei dem der EDÖB wirksam Bedenken äusserte (s. Kap. 1.1). Bereichsspezifische Projekte Zu den grossen bereichsspezifischen Digitalisierungsprojekten mit hohen datenschutzrechtlichen Risiken gehö- ren die Totalrevision des Zollgesetzes sowie die Teilrevision des NDG. In beiden Projekten sollen insbesondere die Informationssysteme modernisiert werden. Im Rahmen einer intensiven Begleitung des Zoll-Projekts konnten aus datenschutzrechtlicher Sicht erhebliche Verbesserungen erreicht werden (s. Kap. 1.2). Auch betreffend das NDG konnte der EDÖB im Kon- sultationsprozess zahlreiche Verbesse- rungen erwirken (s. Kap. 1.2). 1.1 Digitalisierung und Grundrechte Datenschutz 14 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
DIGITALE TRANSFORMATION Bundesgesetz über den Einsatz von elektronischen Mitteln Mit dem Bundesgesetz über den Ein- satz von elektronischen Mitteln (EMBaG) hat das EFD dem EDÖB eine Vorlage mit einer Mehrzahl von Zielset- zungen im Bereich der digitalen Trans- formation in der Bundesverwaltung zur Konsultation unterbreitet. Der Beauf- trage hat Stellung genommen und verschiedene Verbesserungen und Präzisierungen verlangt, deren Umset- zung die Verwaltung zugesagt hat. Mit dem EMBaG als Querschnittsge- setz strebt die Bundesverwaltung im Rahmen der digitalen Transformation und dem Ausbau der digitalen Dienste der Bundesverwaltung eine effektive und zeitgemässe Nutzung von Daten über die Grenzen von Verwaltungs- einheiten hinweg an. In der Vorlage werden unterschiedliche Vorhaben geregelt, wie beispielsweise die Grundlagen für die Veröffentlichung von Daten der Verwaltung zur freien Nutzung (Open Government Data), für die Bereitstellung und Nutzung von Mitteln der Informations- und Kommunikationstechnologie von Bundesbehörden oder der Grundsatz des automatisierten elektronischen Datenaustauschs mittels Schnittstel- len sowie der Betrieb einer Interopera- bilitätsplattform. Der EDÖB anerkennt den Auftrag der Bundesverwaltung zur digitalen Transformation und den Nutzen der digitalen Interoperabilität von Daten. Er weist jedoch auch regelmässig dar- auf hin, dass die mit diesen Zielset- zungen einhergehenden Risiken für die Rechte der betroffenen Personen rechtzeitig erkannt und ausgewiesen werden müssen. In seiner Stellung- nahme zum EMBaG hat der Beauf- tragte deshalb verschiedentlich auf das Erfordernis der Erstellung einer Daten- schutzrisiko-Folgenabschätzung hin- gewiesen. Die Vorlage mit ihren unter- schiedlichen Anliegen hat zudem zu wenig klar zwischen Sachdaten und Personendaten unterschieden, wodurch sich verschiedentlich Abgrenzungsschwierigkeiten zum Datenschutzgesetz ergaben. Der EDÖB hat deswegen in verschiedenen Bereichen Präzisierungen verlangt. Keine Erweiterung der Datenzu griffe Unter dem Aspekt des Once-Only- Prinzips und der Mehrfachnutzung der Daten wurde im Zuge der EMBaG- Vorlage im Bundesstatistikgesetz eine Das wohl wichtigste Digitalisierungs- projekte im Gesundheitsbereich ist die mit grossen zeitlichen Verzögerungen kämpfende Umsetzung des elektroni- schen Patientendossiers. Der EDÖB begleitet die Umsetzungsarbeiten und tauscht sich bezüglich der datenschutz- rechtlichen Herausforderungen regel- mässig mit den zuständigen behördli- chen und privaten Akteuren aus. Im Rahmen von Konsultationen äusserte er sich zu der Weiterentwicklung der rechtlichen Grundlagen und Systeme. Die Datenschutzrisiken der digita- len Transformation beschränken sich nicht auf die Bevölkerung, sondern betreffen auch Mitarbeitende der Bun- desverwaltung. Betreffend ein geplan- tes Pilotprojekt für ein Know-how- Netzwerk hat sich der EDÖB zu den datenschutzrechtlichen Rahmenbe- dingungen und zum weiteren Vorge- hen geäussert (s. Kap. 1.1). Datenschutz 15 29. Tätigkeitsbericht 2021/22
PROGRAMM NATIONALE DATENBEWIRTSCHAFTUNG EDÖB äusserte Kritik an Steuerdatenerhebung Das BFS unterbreitete dem EDÖB einen Entwurf zur Änderung der Statistik- erhebungsverordnung, der eine neue Erhebung zu Steuerdaten vorsah. Angesichts der erheblichen daten- schutzrechtlichen Risiken des Projek- tes verlangte er ein angemessenes Risikoassessment. Eines der ersten Projekte im Rahmen des Programms Nationale Datenbe- wirtschaftung (NaDB) ist die Einfüh- rung einer neuen Steuerdatenerhe- bung durch den Bund. Dabei sollen die bei der Eidgenössischen Steuerverwal- tung (EST V) vorhandenen Administ- rativdaten sowie die bei den kantona- len Steuerverwaltungen vorhandenen Steuerdaten künftig zu bundesstatisti- schen Zwecken genutzt werden kön- nen – entsprechend dem Once-Only- Prinzip (s. dazu auch 28. TB Kap. 1.1). Im Hinblick auf die konkrete Umsetzung des Vorhabens unterbrei- tete das federführende Bundesamt für Statistik (BFS) den Verwaltungsein- heiten im Sommer 2021 einen Entwurf für eine Änderung des Anhangs der Statistikerhebungsverordnung. Dieser Entwurf sah unter anderem eine neue Erhebung zu Steuerdaten vor, wonach bei den Kantonen jährlich alle Daten von natürlichen Personen zur Einkom- mens- und Vermögenssteuer sowie von juristischen Personen zur Gewinn- und Kapitalsteuer erhoben werden sollten. Als Erhebungsorgan wurde die Rechtsgrundlage geschaffen, die es dem Bundesamt für Statistik (BFS) erlaubt, auf Daten, welche bei Drittbe- hörden bereits vorhanden sind, in einem Abrufverfahren zuzugreifen, wenn nichts Abweichendes in einem anderen Gesetz vorgesehen ist. Der EDÖB hat in diesem Zusammenhang verlangt, dass der Zugriff in jedem Fall nur auf diejenigen Daten erfolgen darf, die das BFS für seine statistischen Aufga- ben benötigt und insofern mit dem neuen Verfahren keine Erweiterung der Datenzugriffe erfolgen darf. Des Weiteren verlangte er, dass die Geset- zesbotschaft zm EMBaG ausdrücklich erwähnt, dass die betroffenen Bundes- organe in der Pflicht stehen, alle vom BFS nicht benötigten Daten, insbeson- dere wenn es Personendaten sind, vom Zugriff auszunehmen. Der Bundesrat wird entsprechend auf Verordnungs- stufe im Detail zu regeln haben, wel- che Organisationen dem BFS welche Daten aus welchen Sachbereichen im vorgesehenen Abrufverfahren zugäng- lich machen müssen. Zur Förderung der digitalen Trans- formation der Bundesverwaltung sah die Vorlage weiter vor, die Grundlage für die Durchführung von Pilotversu- chen insbesondere für technische Innovationen zu schaffen. Der EDÖB hat in diesem Zusammenhang darauf hingewiesen, dass Pilotversuche in erster Linie nach Art. 35 nDSG durch- zuführen sind, sofern die Vorausset- zungen für die Anwendung der Norm erfüllt sind. Ausserhalb des Anwen- dungsbereichs dieser Norm können Pilotversuche nach EMBaG vom zuständigen Departement nach vor- gängig einzuholender Stellungnahme des EDÖB und weiteren Fachstellen bewilligt werden. Die Vorlage sieht zudem vor, dass die betroffenen Perso- nen vorgängig über die geplante Datenbearbeitung im Rahmen des Pilotversuchs informiert werden und ihre Zustimmung erteilen können, was der Beauftragte begrüsst. Im Nachgang zur Konsultation haben die verantwortlichen Stellen unsere Bemerkungen vollständig berücksichtigt und entsprechende Anpassungen in der Vorlage bereits vorgenommen oder in Aussicht gestellt. Der EDÖB wird die Umset- zung der einzelnen Vorhaben weiter- verfolgen. Datenschutz 16 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
DATING-APPS Analyse der Datenbearbeitun gen Der EDÖB setzte seine Sachverhaltsab- klärung bei einer Schweizer Dating-App fort. Im Frühjahr 2021 eröffnete der EDÖB eine Sachverhaltsabklärung bei einem Schweizer Anbieter einer Dating-App, nachdem er Hinweise bekommen hatte, dass Nutzerinnen und Nutzer der App Schwierigkeiten hatten, ihre Konten auf Verlangen zu löschen. Nebst der Klärung dieses Punktes waren auch die Weitergabe von Perso- nendaten an Dritte sowie die Einhal- tung der Anforderungen an die Trans- parenz und die Datensicherheit Gegenstand unserer Abklärung (s. 28. TB, Kap. 1.1). Im Berichtsjahr hat der EDÖB den Sachverhalt erstellt und diesen dem Anbieter zur Stellungnahme zugestellt. In der Folge wurde der Sachverhalt mit dem Anbieter bereinigt, und der EDÖB führt nun gestützt darauf seine rechtliche Analyse der festgestellten Tatsachen durch. Per Ende des Berichtsjahres war diese noch im Gang. werden soll. Weiter wies der EDÖB darauf hin, dass der Grundsatz der Zweckbindung gerade auch bei Projek- ten zur Mehrfachnutzung von Daten zu beachten ist. So müsste insbesondere bei der EST V die techni- sche und organisatorische Trennung der Daten für Aufsichtszwe- cke von denjenigen zu Statistikzwe- cken zu jedem Zeitpunkt gewährleis- tet werden. Der EDÖB äusserte schliesslich auch Bedenken, ob die aktuellen gesetzlichen Grundlagen im Bundesstatistikbereich den Anforde- rungen an das Legalitätsprinzip noch genügen. Im Nachgang zu dieser Ämterkon- sultation fand ein mündlicher Aus- tausch zwischen dem BFS und dem EDÖB statt. Im September 2021 teilte das BFS dem EDÖB sodann mit, dass die Steuerdatenerhebung nicht mehr Teil der vorgesehenen Änderungen im Anhang zur Statistikerhebungsverord- nung ist. EST V vorgesehen. Die nicht anonymi- sierten Daten sollten sodann der EST V als auch dem BFS für statistische Zwe- cke zur Verfügung stehen. Der EDÖB äusserte sich in der Ämterkonsultation kritisch zur kon- kreten Ausgestaltung des Vorhabens. Er wies darauf hin, dass Steuerdaten ein umfassendes Bild einer Person erlauben, wodurch dieses Vorhaben erheblich in die Persönlichkeit der betroffenen Personen eingreift. So würden künftig sehr grosse Daten- mengen und auch besonders schüt- zenswerte Daten wie Angaben zu Religion, Krankheiten, Sozialhilfe etc. von jeder steuerpflichtigen Person in der Schweiz bearbeitet. Die statisti- sche Auswertung der Daten pro Steu- ersubjekt beinhaltet zudem die Gefahr der Profilbildung und folglich ein hohes Risikopotential. Indem die EST V und das BFS denselben Daten- satz für unterschiedliche statistische Zwecke auswerten könnten, würden diese Risiken noch erhöht. Vor diesem Hintergrund verlangte der EDÖB vom federführen- den BFS vorgängig ein angemessenes Risikoas- sessment, d. h. eine Iden- tifikation und Bewertung der Risiken sowie die Definition von Massnahmen, mit welchen diesen Risiken begegnet Datenschutz 17 29. Tätigkeitsbericht 2021/22
Zu den wesentlichsten Neuerungen des revidierten Daten- schutzgesetzes vom 25. September 2020 hat der EDÖB im Frühjahr 2021 einen Überblick auf seiner Website publiziert. Gemäss Ankündigung des EJPD soll dem Bundesrat bean- tragt werden, dieses Gesetz nicht wie ursprünglich geplant in der zweiten Hälfte 2022, sondern erst am 1. September 2023 in Kraft zu setzen. Im Sommer 2021 hat das Bundesamt für Justiz (BJ) dem EDÖB einen ersten Entwurf der Vollzugsverordnung zum neuen DSG vorgelegt. Seither hat er in diversen Stellungnah- men seine Anliegen eingebracht. Zum Ende des Berichtsjah- res waren noch nicht alle Punkte, bei denen der EDÖB Ver- besserungsbedarf sieht, bereinigt. Parallel zu diesen beratenden Rechtssetzungsarbeiten treibt der EDÖB die Schaffung von drei digitalen Portalen voran. Diese werden es erlauben, die gesetzlich vorgesehenen Meldungen der betrieblichen Datenschutzberaterinnen und -berater sowie der Bearbeitungsverzeichnisse und der Datensicherheitsverletzungen effizient abzu wickeln. Zusätz- lich wird die Website des EDÖB erneuert (s. Kap. 3.2). REVISION VDSG Neue Verordnung zum revidierten Daten schutzgesetz Die Arbeiten an einer neuen Verordnung zum revidierten Datenschutzgesetz laufen auf Hochtouren. Der EDÖB hat gegenüber dem federführenden Bundesamt für Justiz seine Anliegen eingebracht. Der EDÖB hat erstmals im Sommer 2020 einen Entwurf für eine Verordnung zum revidierten Datenschutzgesetz zur Konsultation erhalten. Seither hat er in diversen Stel- lungnahmen und Besprechungen seinen Standpunkt eingebracht und sich mit dem federführenden Bundesamt für Justiz (BJ) zu den für ihn zu verbessernden Bestimmun- gen ausgetauscht. Dennoch verbleiben zahlreiche Punkte, bei denen der EDÖB weiterhin Verbesserungsbedarf veror- tet. Er erachtet auch die durch die Teilnehmer der öffentli- chen Vernehmlassung geäusserte Kritik in vielen Teilen als nachvollziehbar und hat dem BJ nahegelegt, diese im Rah- men der weiteren Arbeiten an der Vorlage einfliessen zu lassen. Auch von Seiten SPK-N und SPK-S wurden nach Abschluss der Vernehmlassung und Anhörung des Beauf- tragten noch Anpassungen verlangt. Die Arbeiten zur Revi- sion VDSG waren bei Abschluss des Berichtsjahres noch im Gange. Teilweise zu wenig detailliert Nach Auffassung des EDÖB erweisen sich die Ausfüh- rungsbestimmungen zu den Datenschutz-Folgenabschät- zungen (DSFA), zum Profiling, zu automatischen Einzel- fallentscheidungen und zu den Gebührenregelungen noch als lückenhaft und wenig detailliert, was die rechtssichere Arbeiten im Hinblick auf die Inkraftsetzung des revidierten DSG 18 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Schwerpunkt I
Anwendung des Gesetzes erschwert. Insbesondere zum zentralen Instrument der DSFA schweigt sich der aktuelle Entwurf der Verordnung weitestgehend aus. So bleibt offen, zu welchem Zeitpunkt Bundesorgane dem EDÖB eine solche vorzulegen haben. Vor diesem Hintergrund hät- ten wir es beispielsweise begrüsst, wenn die Verordnung vorsehen würde, dass die Ergebnisse von Datenschutz-Fol- genabschätzungen und die diesbezüglichen Stellungnah- men des Beauftragten, in den jeweiligen Gesetzesbotschaf- ten an die eidgenössischen Räte ausgewiesen werden. Obschon informelle Auslegungshilfen durch das BJ geplant sind, werden sich die Wirtschaft und Bundesorgane angesichts des Schweigens des Verordnungsgebers bei der Wahrnehmung ihrer Bearbeitungspflichten weitgehend auf den Gesetzeswortlaut abstützen müssen. Dem EDÖB wie- derum wird als Aufsichtsbehörde bei der Anwendung der Gesetzesbestimmungen mit Blick auf die Begründung einer einheitlichen und rechtsgleichen Praxis ohne weitere Präzi- sierung der Verordnung ein grosser Ermessensspielraum zufallen, mit dessen Ausschöpfung er sich dem Vorwurf aussetzen könnte, als Regulator tätig zu werden. Weiter regte der EDÖB an, die Ausführungsbestimmungen zur Amtshilfe zu ergänzen, zumal der Bundesrat die Prob- lematik der parallelen Aufsicht von ausländischen Daten- schutzbehörden und dem EDÖB in seiner Stellungnahme vom 9. November 2016 zur Motion der FDP «Gegen Dop- pelspurigkeiten im Datenschutz» (16.3752) bereits aner- kannt hat. Rolle der Datenschutzberaterinnen und –berater der Bundesämter stärken Der EDÖB hat in den letzten Jahren die Datenschutzverant- wortlichen privater Datenbearbeiter vermehrt in die Ver- antwortung eingebunden, indem er sie mit Blick auf Digita- lisierungsprojekte der Privatwirtschaft als primäre, der behördlichen Datenschutzaufsicht vorgelagerte Ansprech- partner betrachtet. Die gewachsene Bedeutung des betrieb- lichen Datenschutzes hat der Gesetzgeber auch im revidier- ten Datenschutzgesetz abgebildet. Was im Privatbereich bereits gute Resultate erzielt, muss auch vermehrt in der Bundesverwaltung gelebt werden, wenn der EDÖB seine gesetzlichen Aufgaben mit den ihm zur Verfügung stehen- den Ressourcen auch unter dem neuen Recht bewältigen soll. Vor diesem Hintergrund fordert der EDÖB, dass der aktuelle Verordnungsentwurf die Rolle der Datenschutzbe- raterinnen und –Berater der Bundesorgane höher gewich- tet. Insbesondere erachten wir es als unumgänglich, dass der Bundesrat für die Rechtsetzungsprojekte der Bundes- verwaltung neu in die Pflicht zur Konsultation der Daten- schutzberaterinnen und –Berater der Bundesämter vorsieht. 19 29. Tätigkeitsbericht 2021/22 Schwerpunkt I
NEUE DIENSTLEISTUNGEN Entwicklung digitaler Meldeportale Zur Umsetzung des neuen Datenschutzgesetzes wird der EDÖB zwei neue Online-Meldeportale anbieten und auf seiner Website einbinden: • Zum einen das Meldeportal bei Verletzungen der Daten- sicherheit. Dieses dient den Verantwortlichen, ihre Meldepflicht gemäss Art. 2 4 nDSG wahrzunehmen. Das Portal erlaubt es, auf sichere und schnelle Weise dem EDÖB die erforderlichen Informationen zur Ver fügung zu stellen. • Zum anderen das Meldeportal der Datenschutzberaterin- nen und -berater. Dieses erlaubt den privaten Verant- wortlichen wie den Bundesorganen, dem EDÖB die not- wendigen Angaben auf einfache Art und Weise zu über- mitteln. Gemäss dem nDSG ist die Ernennung von Bera- tern und Beraterinnen für Private stets fakultativ – nur Bundesorgane sind gesetzlich dazu verpflichtet. Ausserdem wird das bestehende Meldeportal für die Meldung und Abfrage von Datensammlungen, das sog. «Webdata- reg», komplett erneuert. Im Gegensatz zu privaten Verant- wortlichen müssen Bundesorgane auch unter dem neuen Datenschutzgesetz ihre Verzeichnisse der Bearbeitungstä- tigkeiten (früher: Datensammlungen) dem EDÖB melden. Diese Daten veröffentlicht der EDÖB auf seiner Website. VDSZ Angepasste Verordnung über die Datenschutzzertifizierungen Im Zuge der Totalrevision des Bundesgesetzes über den Datenschutz (DSG) wurde nicht nur die Verordnung zum Datenschutzgesetz (VDSG) überarbeitet, sondern auch die Verordnung über die Datenschutzzertifizierungen (VDSZ). Der EDÖB hat die Arbeiten zum Entwurf der VDSZ begleitet. Die Zertifizierung soll neu Dienstleistungen mit einschliessen. Neben Datenbearbeitungssystemen (Verfahren, Organisa- tion) und Produkten (Programme, Systeme) sollen mit der überarbeiteten Verordnung über die Datenschutzzertifizie- rungen (VDSZ) auch Dienstleistungen zertifiziert werden können. Damit soll bspw. die Transparenz der Datenbear- beitung erhöht oder das Risiko von Datenschutzverletzun- gen reduziert werden, was das Vertrauen in eine Dienstleistung verbessern kann. Zertifi- zierte Datenbearbeiter sind von der Pflicht zur Durchführung einer Datenschutz-Folgenab- schätzung entbunden. Die Zertifizierung schliesst alle Komponenten der Datenbearbeitung ein, die mittels Daten- schutz-Folgenabschätzung zu prüfen gewesen wären. Neu ist im Art 6 VDSZ die ISO Norm 27 701 erwähnt. Diese ist eine Erweiterung der ISO/IEC 27001 um den Datenschutz und kann nur in Verbindung mit jener erreicht werden. ISO/IEC 27001 normiert Managementsysteme für Informationssicherheit. Mit der Ergänzung dieser Norm um datenschutzrelevante Komponenten (ISO 27 701) soll der Datenschutz bei Dienstleistungsangeboten weltweit ver- bessert werden. Das Zertifizierungsverfahren bleibt weiter- hin fakultativ. Der EDÖB begleitet die Arbeiten an der VDSZ sowohl in juristischer wie auch informatisch-technischer Hinsicht. Wir stehen im Austausch mit dem Bundesamt für Justiz und weiteren Bundesstellen, wie der Schweizerischen Akkreditierungsstelle (SAS) sowie privaten Zertifizierungs- stellen. Der Entwurf war bei Redaktionsschluss noch nicht defi- nitiv. Die obigen Ausführungen entsprechen dem Stand am Ende des Berichtsjahres. Der EDÖB wird die Arbeiten weiter begleiten. 21 29. Tätigkeitsbericht 2021/22 Schwerpunkt I
ELEKTRONISCHE IDENTITÄT Neue staatliche Lösung gefordert Mit der Ablehnung des E-ID-Gesetzes 2021 hat die Schweizer Bevölkerung deutlich gemacht, dass sie die elektro- nische Identität in der ausschliessli- chen Zuständigkeit des Staates sehen will. Der EDÖB wirkt darauf hin, dass auch diese neue Lösung datenschutz- konform umgesetzt wird: Sie muss hinsichtlich technischer Sicherheit wie auch Benutzerfreundlichkeit und Selbstbestimmungsmöglichkeiten der Bevölkerung überzeugen. Nachdem das Volk das E-ID-Gesetz in der Abstimmung vom 7. März 2021 ablehnte, wurden im Nationalrat sechs gleichlautende Motionen aus allen Fraktionen mit Forderungen für die neue E-ID eingereicht: Die E-ID soll ein staatliches elektronisches Identifika- tionsmittel zum Nachweis der eigenen Identität (Authentifizierung) in der virtuellen Welt sein; die Verantwor- tung für den Ausstellungsprozess und den Gesamtbetrieb soll ausschliess- lich bei staatlichen Behörden bleiben; und bei derer Konzipierung sollen die Grundsätze der Datensparsamkeit, von «Privacy by Design» und der dezentralen Datenspeicherung einge- halten werden. Drei Lösungsansätze Die Motionen wurden angenommen, und der Bundesrat beauftragte in der Folge das EJPD (BJ und fedpol), in Zusammenarbeit mit dem EFD, der Bundeskanzlei, den Kantonen und den ETH, ein neues Konzept für eine E-ID zu erarbeiten, welches diese For- derungen erfüllt. Das EJPD entwarf ein Grundkonzept, das auf drei Lösungsansätzen für eine E-ID bzw. drei unterschiedlichen Ambitionsni- veaus für ein E-ID-Ökosystem beruhte: a) eine E-ID-Lösung mittels zentralem staatlichem Identitätsprovider b) eine E-ID-Lösung mittels Public- Key-Infrastruktur c) eine E-ID-Lösung mittels Self- Sovereign Identity. Die Projektleitung hielt den EDÖB über die Entwicklungen des Projekts auf dem Laufenden. Zum Grundkon- zept führte das BJ zudem eine infor- melle öffentliche Konsultation durch. Anonymität im öffentlichen Raum Der EDÖB wurde in diesem Zusam- menhang eingeladen, seine Anliegen zum Diskussionspapier «Zielbild E-ID» im Rahmen einer öffentlichen Konferenz einzubringen. Der Beauf- tragte betonte, dass unabhängig vom gewählten Lösungsansatz sicherge- stellt werden müsse, dass die E-ID nicht dazu führen wird, dass sich die Bürgerinnen und Bürger nicht mehr anonym im digitalen Raum bewegen können. Er sprach sich auch dafür aus, dass die Bürgerinnen und Bürger, deren End- gerät Bestandteil der Infrastruktur ist, bei der Verfolgung von dezentralen Lösungen die nötige Unterstützung erhalten, um ohne Auferlegung von gesetzlichen Pflichten zur Sicherheit des Systems beitragen zu können. Nachdem der Bundesrat einen Richtungsentscheid für die Ausgestal- tung der neuen E-ID getroffen hat, erarbeitet das EJPD den Gesetzent- wurf bis Mitte 202 2. Der EDÖB wird seine Anliegen im laufenden Projekt weiterhin einbringen. Datenschutz 22 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
NEUE REGELN Transparenz in der Politik finanzierung Im Nachgang zu einer 2017 eingereich- ten Volksinitiative erliess das Parla- ment 2021 eine Änderung des Bundes- gesetzes über die politischen Rechte. Mit den neuen Bestimmungen soll eine gewisse Offenlegung in der Politikfi- nanzierung gewährleistet werden. Der EDÖB bezog Stellung zur Vollzugsver- ordnung, die derzeit Gegenstand einer externen Vernehmlassung ist. Im Herbst 2017 wurde eine eidgenös- sische Volksinitiative mit dem Titel «Für mehr Transparenz in der Politik- finanzierung (Transparenz-Initiative)» lanciert. Der Bundesrat empfahl sie im August 2018 zur Ablehnung. Im 2019 erarbeitete die Staatspolitische Kom- mission des Ständerates einen Bericht und legte einen Gegenvorschlag zur Initiative vor. Im Juli 2021 änderte die Bundesversammlung das Bundesge- setz über die politischen Rechte (BPR) und führte dabei Vorschriften zur Gewährleistung einer gewissen Trans- parenz in der Politikfinanzierung ein. So müssen politische Parteien ins- künftig über grössere Spenden Aus- kunft geben. Die Obergrenze wurde unterschiedlich hoch angesetzt, je nachdem, ob es sich um Wahlen oder eine Abstimmungskampagne handelt. Die Auskunft betrifft hauptsächlich Angaben zu den jeweiligen Spendern. Die Eidgenössische Finanzkont- rolle (EFK), welche die Aufgaben im Zusammenhang mit den Änderungen des BPR wahrnimmt, kontaktierte den EDÖB im Rahmen der Arbeiten an der Vollzugsverordnung, da sowohl das Gesetz als auch die Verordnung die Veröffentlichung von politischen Daten betreffen, die potenziell Rück- schlüsse auf bestimmte Personen erlauben und folglich besonders schüt- zenswert sein können. Im September 2021 konnten sich die EFK und der EDÖB anlässlich eines Treffens über ihre Standpunkte austauschen und zahlreiche Punkte klären. Forderungen des EDÖB Im November 2021 wurde der Verord- nungsentwurf in die Ämterkonsulta- tion geschickt. Der EDÖB verlangte in diesem Rahmen zusätzliche Präzisie- rungen aufzunehmen, um die Rechts- sicherheit zu gewährleisten und um die Bearbeitung von besonders schüt- zenwerten Personendaten besser einzugrenzen. Da die EKF die Daten in der Form veröffentlichen muss, in der sie von den politischen Gruppierungen einge- reicht werden, bedurfte es einer Präzi- sierung, welche Dokumente zur Ver- öffentlichung bestimmt sind und welche nur Kontrollzwecken dienen. Damit soll vermieden werden, dass personenbezogene Daten der Spender, die für die Transparenz in der Politik- finanzierung unerheblich sind (wie etwa ihre Bankkontennummer), an die Öffentlichkeit gelangen. Ausserdem wurde in der Verordnung eine Publika- tionsfrist von fünf Jahren festgelegt. Die externe Vernehmlassung dau- erte vom 17. Dezember 2021 bis zum 31. März 202 2. Datenschutz 23 29. Tätigkeitsbericht 2021/22
WISSENSMANAGEMENT Bund entwickelt KIbasiertes Knowhow Netzwerk Der EDÖB wurde vom Bundesamt für Informatik (BIT) zu einem geplanten Pilotprojekt für den künftigen Betrieb eines auf künstlicher Intelligenz (KI) basierenden Know-how-Netzwerks für die Bundesverwaltung konsultiert. Mit der Beschaffung eines entsprechen- den Produkts soll ein Algorithmus zur Anwendung gelangen, der anhand der digitalen Auswertung von Datenbestän- den der Bundesverwaltung themati- sche Fragestellungen intern an Perso- nen mit entsprechendem Experten- wissen leitet. In einem ersten Schritt wird das BIT eine Datenschutz-Folgen- abschätzung durchzuführen. Heute sind in der Bundesverwaltung traditionelle Volltextsuchmaschinen im Einsatz. Diese können vorhandenes Wissen weder selbständig vernetzen, noch liefern sie in der Regel kontext- bezogene Suchergebnisse. Sie bieten lediglich eine Wortsuche, welche Ergebnisse für einen oder mehrere Such- begriffe aus einem begrenzten Content (z. B. ein Sharepoint Service) liefert. Das Verbinden von potenziellen Wis- sensträgern lässt sich mit diesen tra- ditionellen Instrumenten ebenfalls nicht gezielt unterstützen. Im Gegensatz zu bestehenden Suchfunktionen oder Personen-Ver- zeichnissen soll das vom BIT unter Beizug eines privaten Unternehmens evaluierte Netzwerk das innerhalb der Verwaltung vorhandene Fachwissen erkennen, sammeln und allen Mitar- beitern zur Verfügung stellen. Mittels Prinzipien der künstlichen Intelligenz verbindet ein Algorithmus Personen mit entsprechendem Know-how, um die qualifizierte und rasche Beantwor- tung von Sachfragen und das Teilen von Erfahrungen innerhalb der Bun- desverwaltung zu unterstützen. Dafür erstellt der Algorithmus anhand bereits eingespeister Fragestellungen und Antworten zu bestimmten The- men laufend zunehmend detaillierte Know-how-Profile. Anhand dieser Profile soll dann ein automatisierter Prozess eingehende Fragen an die geeigneten Mitarbeitenden leiten. Bereits beantwortete Fragestellungen soll der Algorithmus insoweit beant- worten, als die maschinellen Antwor- ten nur noch einer Kontrolle durch menschliche Wissensträger bedürfen. Im September 2021 gab der EDÖB auf Anfrage des BIT eine erste schrift- liche Einschätzung zu den daten- schutzrechtlichen Rahmenbedingun- gen für die Durchführung eines Pilot- projektes ab. Darin hat er dem Amt die Durchführung einer Datenschutz- Folgenabschätzung (DSFA) nahegelegt, welche die potenziellen Risiken der geplanten Bearbeitung von Personendaten und die Massnahmen zu deren Minderung aufzeigen soll. Von den Ergebnissen der vom BIT im Februar 202 2 ausge- lösten DSFA sowie den vom Amt parallel durchgeführten Abklärungen zum Informationsschutz und Perso- nalrecht wird dann das weitere Vorge- hen und das Konzept zur Regulierung eines Versuchsbetriebes abhängen. Datenschutz 25 29. Tätigkeitsbericht 2021/22
REVISION NACHRICHTENDIENSTGESETZ Die Revision muss ein im Vergleich zum jetzigen NDG gleichbleibendes Trans parenzniveau gewährleisten Im November 2020 setzte der Nach- richtendienst des Bundes den EDÖB von einer Revision des Bundesgesetzes über den Nachrichtendienst (NDG) in Kenntnis, die unter anderem die Hinzu- fügung neuer Aufgaben, ein neues Konzept für die Datenbearbeitung und eine Angleichung an das nDSG zum Inhalt hat. Die Ämterkonsultation im Sommer 2021 brachte eine merkliche Verbesserung der Vorlage. Die Forde- rungen des Beauftragten wurden erfüllt, wobei nach wie vor eine Diver- genz hinsichtlich der Zitierung des Informationssystems besteht. Das Vernehmlassungsverfahren findet ver- mutlich im Frühjahr 2022 statt. Das NDG vom 25. September 2015 trat am 1. September 2017 nach einer Refe- rendumsabstimmung in Kraft und muss nun einer Totalrevision unter- zogen werden, die unter anderem auf eine von der Geschäftsprüfungs- delegation des Parlaments verlangte Vereinfachung des Umgangs mit Daten abzielt. TOTALREVISION DES ZOLLGESETZES Schaffung des Bundesamts für Zoll und Grenzsicherheit Der EDÖB hat die Gesetzgebungsarbei- ten des Bundesamtes für Zoll und Grenzsicherheit (BAZG) zum Vollzugs- aufgabengesetz (BAZG-VG) und die parallele Erarbeitung einer Daten- schutz-Folgenabschätzung aufsichts- rechtlich begleitet. In der dritten Ämterkonsultation hat das BAZG wesent- liche Verbesserungsvorschläge des EDÖB übernommen. Unter der Kurzbezeichnung «BAZG- Vollzugsaufgabengesetz» (BAZG-VG) hat der Bundesrat am 11. September 2020 die Vernehmlassung über ein Gesetzespaket eröffnet, mit dem er die rechtliche Grundlage für das Digita- lisierungs- und Transformationspro- gramm (DaziT) der Eidgenössischen Zollverwaltung (EZV) schaffen will. Letztere hat er per 1. Januar 202 2 zum «Bundesamt für Zoll und Grenzsicher- heit» (BAZG) umbenannt. Der EDÖB hat die Gesetzesrevi- sion und die parallelen Arbeiten zur Formulierung einer Datenschutz- Folgenabschätzung (DSFA) aufsichtsrechtlich begleitet. Auf unseren Wunsch hin hat das BAZG dokumentiert, inwieweit sich die Bearbeitung der Personendaten nach neuem Recht hinsichtlich Umfang und Intensität von jener nach altem Recht unter- scheidet. Weiter regten wir an, dass 1.2 Justiz, Polizei, Sicherheit das BAZG in der DSFA nebst sicher- heitstechnischen auch systemische Risiken abbildet, die durch die Zusam- menführung der früheren EZV- Chargen von Zoll und Grenzwacht- korps in der neuen Berufsgattung «Fachspezialist/in Zoll und Grenz- sicherheit» sowie den Neubau der Appli- kationslandschaft in Form eines einzi- gen Informationssystems entstehen. Nach Abschluss der dritten Ämter- konsultation stellt der EDÖB fest, dass das Kapitel über die Datenbearbeitung deutliche Verbesserungen erfahren hat (zur ersten Ämterkonsultation s. 27. TB, Kap. 2. 4, und zur zweiten s. 28. TB, Kap. 1.2). Auch bei der Ergänzung der DSFA hat das BAZG wesentliche Ver- besserungsvorschläge des EDÖB über- nommen. Inwieweit sich verbleibende Differenzen noch ausräumen lassen, stand zum Schluss der Berichtsperiode nicht abschliessend fest. Datenschutz 26 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
Dazu wurde das Kapitel über die Datenbearbeitung revidiert. Dies führte unter anderem zu einem Para- digmenwechsel in der Systemland- schaft: Die zahlreichen nachrichten- dienstlichen Subsysteme sollen in einem einzigen System zusammen- gefasst werden. Im Verlauf mehrerer Vernehmlas- sungsrunden gelang es dem EDÖB, etliche Forderungen bezüglich der Bestimmungen zur Datenbearbeitung durchzusetzen. So soll in der Botschaft zum Gesetz ausdrücklich festgehalten werden, dass sich die Bearbeitung personenbezogener Daten in den Berei- chen Datenkategorien und Zugangs- regelung inskünftig im Wesentlichen nicht von den derzeit geltenden Bestimmungen unterscheiden darf. In der Vorlage wurden diese Datenkate- gorien getrennt behandelt, so dass deren Bearbeitung trotz der Aufhebung der Subsyteme nach wie vor in den spezifischen Aufgabenbereich des NDB fallen kann. Zum Ende des Berichtsjahres bestand jedoch hinsichtlich eines wesentlichen Punktes keine Einigung: Das VBS liess sich nicht überzeugen, den Grundsatz, wonach der NDB in Zukunft sämtliche personenbezoge- nen nachrichtendienstlichen Daten innerhalb des oben erwähnten einheit- lichen Systems behandeln solle, in der Revisionsvorlage zu verankern. Der Beauftragte erinnert in diesem Zusam- menhang an die Parlamentarische Untersuchungskommission zur «Fichenaffäre», die in ihrem Bericht vom 2 2. November 1989 die Bearbei- tung von nachrichtendienstlichen Informationen an verschiedensten, wenig transparenten Stellen durch die damalige Bundespolizei als einen der Hauptkritikpunkte bezeichnete. Begrüssenswert ist hingegen die Bereitschaft, das Auskunftsrecht im NDB an die entsprechenden Bestim- mungen des neuen Bundesgesetzes über den Datenschutz anzugleichen und somit die Persönlichkeitsrechte zu stärken. Positiv zu vermerken ist zudem, dass die von uns bemängelten Bestre- bungen, diese Revision für weitere Einschränkungen des Geltungsbereichs des Bundesgesetzes über das Öffent- lichkeitsprinzip der Verwaltung (BGÖ) zu nutzen, aufgegeben wurden. Die Vorlage wird voraussichtlich im zweiten Quartal 202 2 in die externe Vernehmlassung geschickt. AUSKUNFTSRECHT Prüfungsgesuche wegen Auf schubs der Auskunft Im Zusammenhang mit dem Auskunfts- recht zu bestimmten personenbezo- genen Daten, die vom Nachrichten- dienst des Bundes (NDB) und vom Bun- desamt für Polizei (fedpol) bearbeitet werden, besteht die Möglichkeit, die Auskunft ohne Angabe von Gründen aufzuschieben. Die gesuchstellende Person kann jedoch vom EDÖB verlan- gen, dass er prüfe, ob die Bearbeitung von Daten rechtmässig erfolge und ob der Aufschub gerechtfertigt sei. Zwi- schen 2018 und 2021 behandelte der EDÖB 274 Prüfungsgesuche. Gesuchstellende Personen erhalten vom EBÖB eine Eingangsbestätigung ihres Antrags. Gleichzeitig informiert der EDÖB die betreffende Behörde (NDB oder fedpol) über den Erhalt des Prüfungsgesuchs. Daraufhin teilt diese Behörde dem Beauftragten mit, ob die gesuchstellende Person in ihren Infor- mationssystemen verzeichnet ist oder nicht. Gesuchstellende Person ist nicht registriert Sind über die betreffende Person keine Daten eingetragen, erhält der EDÖB von der jeweiligen Behörde eine «Bescheinigung über die Nichterfas- sung». Daraufhin prüft er das Gesuch. Legt eine gesuchstellende Person Datenschutz 27 29. Tätigkeitsbericht 2021/22
glaubhaft dar, dass ihr bei einem Auf- schub der Auskunft ein erheblicher, nicht wiedergutzumachender Schaden erwächst, so teilt der EDÖB der betref- fenden Behörde seine Absicht mit, eine Empfehlung (NDB) bzw. Verfü- gung (fedpol) zu erlassen, um die gesuchstellende Person unverzüglich darüber zu informieren, dass keine Daten über sie bearbeitet werden. Das Amt hat sodann die Möglichkeit, gegenüber dem Beauftragten zu begrün- den, inwieweit bei einer sofortigen Auskunftserteilung an die gesuchstel- lende Person eine Gefährdung der inneren oder der äusseren Sicherheit bestünde. Ist dies nicht der Fall, teilt die Behörde der gesuchstellenden Person mit, dass sie in den Informa- tionssystemen nicht verzeichnet ist. Danach versendet der Beauftragte die gesetzlich vorgeschriebene Mitteilung. Sie lautet stets gleich und hält gegen- über der gesuchstellenden Person fest, dass keine Daten über sie unrechtmäs- sig bearbeitet wurden oder dass der Beauftragte eine Empfehlung (NDB) bzw. Verfügung (fedpol) ausgespro- chen hat, damit Fehler bei der Daten- bearbeitung oder betreffend den Auf- schub der Auskunft behoben werden. Gesuchstellende Person ist registriert Ist die gesuchstellende Person in den Informationssystemen eingetragen, begeben sich zwei Mitarbeitende des EDÖB in die Räumlichkeiten der betreffenden Behörde und überprüfen vor Ort die Rechtmässigkeit der Bear- beitung der eingetragenen Daten. Anschliessend beurteilt der Beauftragte, ob die gesuchstellende Person glaub- haft darlegen kann, dass ihr bei einem Aufschub der Auskunft ein erheblicher, nicht wiedergutzumachender Schaden erwächst. Gelangt der EDÖB zum Schluss, dass eine unrechtmässige Bear- beitung von Daten vorliegt, dass die Bedingungen für einen Aufschub nicht erfüllt oder die Voraussetzungen für eine sofortige Auskunft erfüllt sind, informiert er die Behörde über seine Absicht, eine Empfehlung (NDB) bzw. Verfügung (fedpol) an sie zu richten. Daraufhin kann die Behörde ihre Argu- mente darlegen. Am Schluss der Prüfung verschickt der EDÖB die vom Gesetz vorgesehene Mitteilung, wel- che mit der Mitteilung an nicht ver- zeichnete gesuchstellende Personen identisch ist. Einige Zahlen In den letzten vier Jahren (2018 bis 2021) bearbeitete der EDÖB 274 Prü- fungsgesuche. Die meisten Prüfungsgesu- che (180) bezogen sich auf das Bun- desgesetz über den Nachrichten- dienst: 2018 gingen 8, 2019 42, 2020 107 und 2021 23 Gesuche ein. Ein geringerer Anteil Gesuche (93) bezog sich auf das Gesetz über die polizei- lichen Informationssysteme des Bundes: 2018 gingen 29, 2019 25, 2020 17 und 2021 22 Gesuche ein. Ein einziges Prüfungsgesuch betraf das Gesetz über internationale Rechts- hilfe in Strafsachen. Datenschutz 28 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
Bern eine Kick-off-Sitzung mit den beteiligten Behörden stattgefunden. Die übergeordnete Koordination der Schengen-Evaluierung erfolgt primär durch die Leitung der Schweizer De l- egation im Schengen-Ausschuss. Diese setzt sich aus dem hauptverant- wortlichen Bundesamt für Justiz (BJ) und der mitverantwortlichen Abtei- lung Europa des Staatssekretariats EDA zusammen. Die Arbeiten werden in neun Unterarbeitsgruppen durch- geführt, wobei der EDÖB in der Unter- arbeitsgruppe Datenschutz beteiligt ist. Im ersten Halbjahr 202 2 sollen die Fragebogen an die beteiligten Behör- den zugestellt werden. Nach einer achtwöchigen Antwortfrist sollen die Antworten analysiert werden. Anfang 2023 ist ein Ortsbesuch durch die europäischen Expertinnen und Exper- ten vorgesehen. SCHENGEN INFORMATIONSSYSTEM Koordinationsarbeiten auf nationaler Ebene Der EDÖB stand auch im Berichtsjahr in einem permanenten Austausch mit den europäischen Behörden und den Kantonen, um bei der Verwendung der verschiedenen Komponenten des Schengen Informationssystems (SIS) auf eine einheitliche Umsetzung der datenschutzrechtlichen Bestimmun- gen hinzuwirken. Die SIS II Aufsichtskoordinations- gruppe hat in den letzten Jahren eine Zunahme von Ausschreibungen zur verdeckten Registrierung und gezielten Kontrolle von Personen und Fahr- zeugen zur Gefahrenabwehr und zur Wahrung der inneren oder äusseren Sicherheit in den Schengen-Staaten (Artikel 36 des EU SIS II Beschlusses 2007/533/JI) im Schengen Infor- mationssystem (SIS) festgestellt (s. Kap. 1.8.). Aus diesem Grund arbei- tete sie einen Fragebogen zu diesem Thema aus, der von den verschiedenen Schengen-Datenschutzbehörden auf nationaler Ebene zu beantworten ist. Der EDÖB hat in der Folge beim Bun- desamt für Polizei (fedpol) die Recht- mässigkeit der Bearbeitung, insbeson- dere der Löschung der Daten im erwähnten Zusammenhang, über- prüft und den ausgefüll- ten Fragebogen an das Sekretariat der SIS II Aufsichtskoordi- nationsgruppe geschickt. Aufgrund seiner Feststellungen kam der EDÖB zum Schluss, dass in diesem Punkt zurzeit kein Handlungsbedarf gegen- über dem fedpol besteht. An den Videokonferenzen vom
1.3 Handel und Wirtschaft DIGITALWÄHRUNG DIEM Diem zieht Projekt für BlockchainZahlungssystem in der Schweiz zurück Die Diem Association (vormals Libra Association) hat ihr Bewilligungsge- such bei der Eidgenössischen Finanz- marktaufsicht (FINMA) für ein Block- chain-basiertes Zahlungssystem in der Schweiz im Frühling 2021 zurückge- zogen. Der EDÖB hat deshalb seine im Jahr 2019 begonnene Aufsichts- und Beratungstätigkeit in Bezug auf dieses Projekt beendet. Die Diem Association mit Sitz in Genf (Diem) ist eine mitgliederbasierte Vereinigung, die den Aufbau eines Blockchain-basierten Zahlungs- systems beabsichtigt. Im Juli 2019 kontaktierte der EDÖB Diem (damals noch Libra Association) erstmals, nachdem er von deren Projekt erfah- ren hatte. Ab diesem Zeitpunkt stand er in regelmässigem Kontakt mit den verantwortlichen Personen bei Diem sowie mit Vertretern von verschiedenen nationalen und internationalen Auf- sichtsgremien (vgl. 27. TB Schwer- punkt II). Im Laufe des Frühjahrs 2021 reichte Diem auf Verlangen des EDÖB ver- schiedene datenschutzrechtlich rele- vante Dokumente ein, namentlich Entwürfe eines Datenschutzkonzepts sowie einer Risikofolgenabschätzung. Ziel des EDÖB war es, anhand der erhaltenen Informationen eine techni- sche und datenschutzrechtliche Beur- teilung des Vorhabens vornehmen zu können. Während unsere Analysen im Gang waren, kündigte Diem im Mai 2021 eine strategische Verlagerung ihrer Hauptaktivitäten von der Schweiz in die Vereinigten Staaten an. Diem plante zu diesem Zeitpunkt, in einer ersten Phase das Zahlungssystem aus den USA heraus zu lancieren. Zudem sollten einstweilen auch allein Finanz- dienstleister in den USA angeschlossen werden. Infolgedessen zog Diem ihr weit fortgeschrittenes Bewilligungsgesuch bei der FINMA für ein Zahlungssys- tem in der Schweiz zurück. Da damit die Zuständigkeit des EDÖB nicht mehr gegeben war, stellte er seine dies- bezüglichen Abklärungen ein. Laut Medienberichten steht das Projekt nun auch in den USA vor dem Aus. SEC-AUFSICHTSVERFAHREN Datenübermittlungen an die USBörsenaufsicht sind grundsätzlich zulässig Der EDÖB hat auf Anfrage der US-Börsen- aufsichtsbehörde United States Secu- rities and Exchange Commission (SEC) geklärt, ob Schweizer Unternehmen, falls sie bei der SEC registriert werden, dieser in einem SEC-Aufsichtsverfah- ren die nach US-Recht erforderlichen Daten übermitteln können, ohne das Schweizer Datenschutzgesetz zu ver- letzen. Dies ist grundsätzlich zu beja- hen. Der EDÖB hat ein Memorandum dazu verfasst. Die Frage betreffend Übermittlung strafrechtlich geschütz- ter Personendaten bleibt offen. Im Berichtsjahr schrieb die United States Securities and Exchange Com- mission (SEC) den EDÖB an mit der Bitte zu klären, ob Schweizer Unter- nehmen, falls sie bei der SEC regist- riert werden, dieser in einem SEC- Aufsichtsverfahren die nach US-Recht erforderlichen Personendaten über- mitteln können, ohne das Schweizer Datenschutzgesetz (DSG) zu verletzen. Bislang liess die SEC Schweizer Unter- nehmen nicht zur Registrierung zu, weil sie befürchtete, in einem allfälli- gen Aufsichtsverfahren nicht die not- wendigen Daten zu erhalten. Der EDÖB verfasste nach Erhalt der notwendigen Unterlagen ein Memorandum zu dieser Frage. Dabei gelangte er zu folgendem Ergebnis: Mangels eines angemessenen Daten- schutzniveaus in den USA dürfen Schweizer Unternehmen nur dann Personendaten an die SEC übermitteln, wenn einer der in Art. 6 Abs. 2 DSG genannten Rechtfertigungsgründe für Datenschutz 31 29. Tätigkeitsbericht 2021/22
Datenübermittlungen ins Ausland erfüllt ist. Für eine Datenübermittlung an die SEC kommen verschiedene dieser Rechtfertigungsgründe in Frage. Zunächst ist eine Datenübermitt- lung an die SEC regelmässig deshalb gerechtfertigt, weil es sich um eine Datenbearbeitung in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags (Art. 6 Abs. 2 lit. c DSG) handelt. Als möglicher Rechtfertigungsgrund für die Datenübermittlung kommt grund- sätzlich aber auch ein überwiegendes öffentliches Interesse (Art. 6 Abs. 2 lit. d DSG) oder die Zustimmung der betroffenen Person (Art. 6 Abs. 2 lit. b DSG) in Frage. Ausdrücklich offen gelassen hat der EDÖB, ob oder unter welchen Voraus- setzungen Personendaten an die SEC übermittelt werden dürfen, welche nicht nur durch das DSG, sondern auch durch das Strafrecht geschützt werden (namentlich Daten, die dem Bankkundengeheimnis unterstehen). Der EDÖB hat keine Kompetenz, das Schweizer Strafgesetzbuch oder allfäl- lig andere relevante Gesetze zu inter- pretieren. Das Memorandum ist auf der Webseite des EDÖB veröffentlicht. Über die daraus gezogenen Konse- quenzen hinsichtlich der Frage der Zulassung von Schweizer Unterneh- men zur Registrierung hat uns die SEC nicht näher informiert. ONLINESHOP Bearbeitung von Kundendaten Im Berichtsjahr hat der EDÖB in Rahmen einer Sachverhaltsabklärung bei einem der grössten Onlineshops der Schweiz offene Fragen und Unklarheiten betref- fend Auswertung von Kundendaten bereinigt. Im Frühjahr 2021 hatte der EDÖB bei einem der grössten Onlineshops der Schweiz ein Verfahren eröffnet, um die bei ihm anfallenden Bearbeitungen von Kundendaten auf ihre Daten- schutzkonformität hin zu überprüfen. Dabei war unter anderem die Bearbei- tung von Widerspruchsbegehren von Kunden durch den Betreiber des Onlineshops Anlass für unsere Abklä- rung. Nachdem wir in einer Vorabklä- rung feststellen konnten, dass der Betreiber Widersprüche gegen gewisse Datenbearbeitungen insbesondere im Zusammenhang mit der Aufzeichnung und Auswertung des Kaufverhaltens in personenbezogener Form ablehnen würde, konzentrierten wir unsere Abklärung auf die Frage, ob die fragli- chen Datenbearbeitungen gegen den ausdrücklichen Willen der Kundinnen und Kunden erfolgen können (s. 28. TB, Kap. 1. 4). Im Berichtsjahr hat der EDÖB die fraglichen Datenbearbeitungen ana- lysiert und den Betreiber befragt. So konnte er am 26. Januar 202 2 den Sachverhalt bereinigen und gestützt darauf seine rechtliche Analyse ein- leiten. Diese war zum Zeitpunkt der Erstellung dieses Berichts noch im Gang. SWISS MARKETPLACE GROUP Neue Entwicklungen im Ver fahren betreffend Auktions plattform Ricardo Im Verfahren gegen Ricardo und die TX Group bezüglich der Verwendung von Daten, die auf der Online-Auktions- plattform ricardo.ch gesammelt wur- den, gab es auch im Verlaufe des Berichtsjahres wesentliche Neuent- wicklungen. Wir haben seit 2017 jährlich über die Entwicklung in der Sachverhaltsabklä- rung gegen Ricardo und die TX Group berichtet. Nach unserer rechtlichen Einschätzung des Sachverhalts muss das Profiling, das die TX Group zum Zwecke der gezielten Werbung anhand von Daten aus verschiedenen Quellen vornimmt, für die Betroffenen klar erkennbar sein. Zudem bedarf es in diesem Fall der ausdrücklichen Ein- willigung der betroffenen Personen (s. 28. TB, Kap. 1. 4). Datenschutz 32 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
In der Zwischenzeit wurden namhafte Änderungen und Anpassungen auf den Plattformen von Ricardo und TX Group vorgenommen. In diesem Zusammenhang untersuchten wir ins- besondere die neuen «Consent Manage- ment Plattforms» (CMP). Auch haben wir das uns im August 2021 vorgelegte «legitimate interest assessment» geprüft, in dem die TX Group zum Schluss kommt, dass sie über ein überwiegen- des privates Interesse an der Verwen- dung der Ricardo-Daten und am platt- formübergreifenden Profiling für die gezielte Werbung der Gruppe verfügt, womit sich die Zustimmung der Betroffenen als entbehrlich erweise. Ende November 2021 teilte uns die TX Group zudem mit, dass die Unternehmen TX Group AG, Ringier AG, die Mobiliar AG sowie General Atlan- tic mit der Swiss Marketplace Group (SMG) per 11. November 2021 ein gemeinsames Joint Venture gegründet haben. Unter dem Dach der SMG sind nun verschiedene digitale Marktplätze vereint, darunter auch die Ricardo AG mit ihren Portalen und Angeboten. Der EDÖB prüft nun, wie sich diese technischen und organisa torischen Änderungen auf die im vorliegenden Verfahren relevanten Datenbearbei- tungen auswirken. Diese Abklärungen waren bei Redaktionsschluss des vor- liegenden Berichts noch im Gange. KREDITFÄHIGKEITSPRÜFUNG Abklärungen bei einem Auto leasingAnbieter Der EDÖB konnte seine im letzten Berichtsjahr begonnenen Abklärungen bei einem grossen Autoleasing-Anbieter zu dessen Datenbearbeitungen bei der Prüfung der Kreditfähigkeit von Kundin- nen und Kunden ohne formelle Mass- nahmen abschliessen. Der Leasingan- bieter hat zugesichert, zwei Verbesse- rungsvorschläge des EDÖB betreffend Einwilligung umzusetzen. Um einen Leasingvertrag für ein Auto abschliessen zu können, müssen Kun- dinnen und Kunden ihr Einverständnis geben, dass ihre Kreditfähigkeit durch den Leasinganbieter geprüft wird. Durch Bürgeranfragen erhielt der EDÖB Kenntnis davon, dass sich ein Leasinganbieter von den Antragstel- lenden deren Einverständnis geben lässt, zwecks Prüfung der Zahlungs- fähigkeit zahlreiche Auskünfte bei Dritten einholen zu dürfen. Zustim- men müssen betroffene Kundinnen und Kunden auch zum Einholen von Auskünften über Drittpersonen wie Ehepartner oder Familienmitglieder. Der Beauftragte hatte daher im Dezember 2020 bei dem Leasingan- bieter erste Abklärungen eingeleitet, um zu prüfen, ob sich diese Daten- bearbeitungen auf ein datenschutz- rechtlich zulässiges Mass beschränken (s. 28. TB, Kap. 1. 4). Nach Auswertung der Stellungnahme des Leasingan- bieters gelangte der EDÖB zum Schluss, dass die geschilderten Datenbearbei- tungen zur Abklärung der Zahlungs- fähigkeit und Bonität der Leasing- antragstellenden weitgehend im Ein- klang mit den datenschutzrechtlichen Vorgaben sein dürften. Gewisse Vorbehalte äusserte der Beauftragte jedoch zum einen hin- sichtlich der Datenbearbeitung über im selben Haushalt lebende Lebens- partner der Antragstellenden. Er emp- fahl dem Leasinganbieter für den Fall, dass er sich zur Rechtfertigung der Datenbearbeitung über Lebenspartner auf deren Einwilligung stützen sollte, von diesen Personen eine eigenhändige Unter- schrift bzw. Einwilligungserklärung einzuholen. Zum anderen beanstandete er die angeblich unwiderrufliche Aufhebung von Datensperren bei Betreibungs- ämtern, der ZEK und IKO sowie der Schweizerischen Post. Der EDÖB machte die Leasinggesellschaft darauf aufmerksam, dass eine datenschutz- rechtliche Einwilligung jederzeit formlos und ohne Begründung wider- rufen werden kann, weshalb eine Klausel im Einwilligungsformular, wonach Datensperren als «unwiderruf- lich» aufgehoben gelten, zu streichen sei. Die Leasinggesellschaft sicherte zu, beide Massnahmen umzusetzen. Datenschutz 33 29. Tätigkeitsbericht 2021/22
MITTO AG Abklärung zu einer möglichen missbräuchlichen Verwendung des «Signalling System» Zugangs In einem am 6. Dezember 2021 in den Medien veröffentlichten Bericht wurden schwere Vorwürfe gegen einen Mit- arbeiter der Mitto AG mit Sitz in Zug erhoben. Das Unternehmen soll für Grosskunden weltweit einen SMS- Versand tätigen und dabei Dritten gegen Entgelt unerlaubte Überwachung von Personen ermöglichen. Das Bureau of Investigative Journa- lism, eine Non-Profit-Organisation in London, und Bloomberg News veröf- fentlichten einen Bericht, wonach ein Mitarbeiter der Mitto AG in Zug den von den Mobilfunk-Betreibern zum SMS-Versand gewährten Zugang auf ihre Netze zur Gewinnung von Infor- mationen missbraucht habe. Gemäss dem Bericht soll er insbesondere den «Signalling System (SS7)»-Zugang genutzt haben, um Dritten gegen Ent- gelt unerlaubte Überwachungen von Personen zu ermöglichen. Der EDÖB hat am 7. Dezember 2021 eine Vorabklärung in dieser Sache eröffnet. In einem ersten Schritt hat er die Mitto AG zur Stellungnahme aufgefordert und auch die Mobilfunk- betreiber der Schweiz kontaktiert. Letztere haben das Bestehen einer Zusammenarbeit mit der Mitto AG bestätigt, jedoch dargelegt, dass genü- gend technische Schutzmassnahmen bestehen, um unrechtmässige Zugriffe auf Personendaten zu verhindern. Aufgrund dieser ersten Rückmeldungen bestehen für den EDÖB somit vorläu- fig keine Hinweise, wonach es zu Miss- bräuchen zu Lasten der Schweizer Bevölkerung gekommen wäre. Die Mitto AG teilte dem EDÖB mit, dass sie keine Kenntnisse über einen entsprechenden Vorfall hätten. Auf dessen Verlangen hin hat das Unternehmen den EDÖB zu den imple- mentierten technischen und organisa- torischen Massnahmen zum Schutz von Personendaten doku- mentiert. Er prüft diese Unterlagen auf die Frage hin, ob es bei der Mitto AG im Hinblick auf Kontroll- mechanismen und die Vergaben von Berechtigungen an Mitarbeitende zu Versäumnissen gekommen ist. Diese Abklärung war bei Redaktionsschluss noch im Gange. SOCIAL MEDIA Neue Nutzungsbedingungen von WhatsApp wecken Interesse an Datenschutz Im Januar 2021 informierte der Instant- Messaging-Dienst WhatsApp über eine bevorstehende Änderung seiner Nut- zungsbedingungen und Datenschutz- richtlinien. Dabei wurde die Zustimmung zu den geänderten Bedingungen für die künftige Nutzung des Dienstes als zwingend erklärt. Der EDÖB prüfte die fraglichen Änderungen und beantwor- tete diesbezügliche Fragen von besorg- ten Bürgerinnen und Bürgern als auch Medienschaffenden. Oft wird behauptet, dass die meisten Menschen bereit seien, ihre Daten ohne Bedenken preiszugeben, wenn sie dafür eine kostenlose Dienstleis- tung erhalten würden. Anders verhielt es sich jedoch, als WhatsApp seine neuen Nutzungsbedingungen bekannt gab. Nach der Ankündigung von WhatsApp wendeten sich verunsi- cherte Bürgerinnen und Bürger mit ihren Beden- ken an den EDÖB. Sie zögerten, die neuen Bedingungen zu akzeptie- ren, da sie befürchteten, dadurch die Kontrolle über ihre eigenen Daten zu Datenschutz 35 29. Tätigkeitsbericht 2021/22
verlieren. Gleichzeitig bemerkten sie ihre Abhängigkeit vom Dienst, weil ihre Familien bzw. Freundinnen und Freunde nicht bereit waren, zu alter- nativen Diensten zu wechseln. Der EDÖB hat daraufhin die Änderungen der Nutzungsbedingungen und Daten- schutzrichtlinien genauer analysiert. Dabei hat sich herausgestellt, dass die Unsicherheit bei den Nutzerinnen und Nutzern von WhatsApp wohl entstand, weil neu zwei verschiedene Versionen der Nutzungsbedingungen und Datenschutzrichtlinien existier- ten: eine für den europäischen Raum (zu dem auch die Schweiz gehört) und eine für die anderen Länder der Welt. An letzteren wurden tatsächlich umfangreichere Anpassungen vorge- nommen. So räumt sich der Meta- Konzern (vormals Facebook Inc.) nun z. B. das Recht ein, die Daten seiner verschiedenen Dienste (WhatsApp, Instagram und Facebook) noch enger miteinander zu verknüpfen und auch zu Marketingzwecken zu nutzen oder mit Drittunternehmen zu teilen. Dies betrifft zwar nicht den Inhalt von Nachrichten oder Anrufen, die weiter- hin «end-to-end»-verschlüsselt und somit unverwertbar bleiben, sondern ausschliesslich Randdaten. Deren Zusammenstellung und Auswertung ermöglicht es Meta aber dennoch, verschiedene Schlussfolgerungen über die Nutzerinnen und Nutzer zu zie- hen: Wie oft interagieren sie mit einer Gruppe oder einer Person, was sind deren Interessen, basierend auf den Gruppen, denen sie angehören usw. Datenschutz 36 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
Kaum Änderungen für Nutzerinnen und Nutzer in der Schweiz Gemäss unseren Abklärungen wurden die neuen Nutzungsbedingungen für Nutzerinnen und Nutzer aus Ländern der «europäischen Region» (inkl. Schweiz) inhaltlich hingegen kaum verändert. Die Änderungen betrafen mehrheitlich sprachliche Anpassungen wie Präzisierungen (z. B. Informatio- nen über Metadaten von Nachrichten oder die Zusammenarbeit mit anderen Unternehmen des Meta-Konzerns) oder Ergänzungen (z. B. bezüglich der Rechtsgrundlage der Datenbearbei- tungen oder des Umgangs mit Benut- zern, die gegen die Nutzerbedingun- gen und Richtlinien verstossen oder den aufbewahrten Daten). Ganz neu waren nur die Bestimmungen, die präzisieren, welche Daten künftig bearbeitet werden könnten, wenn eine private Person via WhatsApp eine Firma über die neu eingeführten Unternehmens-Accounts kontaktiert. Wer hingegen nicht mit WhatsApp- Unternehmens-Accounts interagiert, für den ändert sich folglich nichts. Dies teilte der EDÖB als Antwort auf Bürger- und Medienanfragen entspre- chend mit. Auch wenn sich die Befürchtungen der Schweizer Nutzerinnen und Nutzer damit mehrheitlich als unbegründet erwiesen haben, veranlasste die Dis- kussionen rund um die neuen Bedin- gungen von WhatsApp viele Bürgerin- nen und Bürger dazu, die Nutzung kostenloser Dienste zu überdenken. So stieg das Bewusstsein, dass viele dieser Angebote auf Geschäftsmodellen basieren, die auf der Monetisierung von Daten beruhen, und es sich daher lohnt, die AGB und Datenschutzer- klärungen sorgfältiger zu lesen. Dies empfehlen wir aber nicht nur bei der Nutzung von kostenlosen Diensten, sondern – unabhängig vom Preis- Modell – immer beim Abschliessen von Verträgen mit Dienstleistern, weil es auch bei bezahlten Diensten vor- kommen kann, dass Kundendaten für eigene Zwecke des Diensterbringers bearbeitet werden. Der EDÖB stellt fest, dass kaum zusätzliche Transparenz erreicht wird, wenn die AGB und Datenschutzbestimmun- gen zwar ausführlich formuliert, aber für Laien kaum verständlich sind. In diesem Zusammenhang wirkt er im Rahmen der von ihm ausgeübten Bera- tungs- und Aufsichtstätigkeit darauf hin, die Qualität der Informationen, die den Nutzerinnen und Nutzern zur Verfügung gestellt werden, zu verbes- sern. ONELOG Projekt der Schweizer Medien verlage für ein gemeinsames Login auf OnlinePortalen Auch in diesem Berichtsjahr haben wir uns von den Schweizer Verlagshäusern über die Arbeiten am Projekt für ein gemeinsames Login auf Online-Medien- portalen informieren lassen. Die Arbeiten der Schweizer Verlage an einem gemeinsamen Login für die von ihnen betriebenen Medien-Portale (s. 28. TB, Kap. 1.1) sind im Berichts- jahr weiter fortgeschritten. Die teil- nehmenden Medienhäuser haben die Firma OneLog gegründet, ein Joint Venture, welches die Single-Sign- On- Lösung (SSO) mehrheitlich als Auf- tragsdatenbearbeiter zentral betreibt. Die vom EDÖB vorgebrachten Verbesserungsvorschläge wurden auf- genommen und entsprechende tech- nische und organisatorische Mass- nahmen implementiert. So ist ausge- schlossen, dass die Medienhäuser über OneLog personenbezogene Daten austauschen und verknüpfen und auf Datenschutz 37 29. Tätigkeitsbericht 2021/22
diese Weise Informationen über Nut- zer erhalten, die durch andere Medien- häuser erhoben worden sind. OneLog hat auch entsprechende Prozesse und Reglemente erstellt, um die Einhaltung des Datenschutzes sicherzustellen und den Nutzern die Geltendmachung ihrer Rechte (insb. Auskunfts-, Lösch- und Korrektur- rechte) zu ermöglichen. Auch die teil- nehmenden Medienhäuser werden von OneLog vertraglich in die Pflicht genommen, sodass sie das SSO daten- schutzkonform nutzen. OneLog hat zudem einen betrieblichen Daten- schutzverantwortlichen bezeichnet, der die Einhaltung der Datenschutz- vorschriften im gesamten System überwacht. Im Spätsommer des Berichtsjahres wurde das SSO aufgeschaltet, und seither wird das Login diverser Medi- enportale über OneLog abgewickelt. Wir werden die künftige Entwick- lungsschritte weiterhin beobachten. KONTOÖFFENTLICHKEIT BEI POSTFINANCE Automatische Ergänzung der Kontoangaben Der EDÖB wurde durch eine Bürger- meldung darauf aufmerksam gemacht, dass im E-Banking von PostFinance Angaben zu beliebig vielen Inhaberinnen und Inhabern von Postkonten abge- griffen werden können. Inzwischen hat die Post die automatisierte Ergänzung von Kontoangaben durch geeignete technische Massnahmen auf ein ver- hältnismässiges Mass begrenzt. Darüber hinaus verlangt der EDÖB im Rahmen der sogenannten Kontoöffentlichkeit eine Widerspruchsmöglichkeit für Kun- dinnen und Kunden. Solange Herr und Frau Schweizer ihre Einzahlungen noch mehrheitlich bar am Postschalter erledigten, wurde manuell sichergestellt, dass die Anga- ben zu den Zahlungsempfängern korrekt sind. Es gab ein öffentlich ein- sehbares Verzeichnis, in dem alle In h- aberinnen und Inhaber von Postkon- ten mit Namen und Adresse aufge- führt waren. Diese sogenannte Konto- öffentlichkeit wurde vor einigen Jah- ren ins E-Banking-System von Post- Finance überführt: Sobald in der Zahlungs eingabemaske eine Post- Finance Kontonummer eingegeben wird, ergänzt das System automatisch Name und Adresse der Kontoinhaben- den. Auch heute noch dient diese Funktion dem sicheren und störungs- freien Zahlungsverkehr, indem Fehleingaben minimiert werden. Sie ist auf Konten von PostFinance begrenzt, und die Kundinnen und Kunden werden in den AGB und in einem separaten Merkblatt über die Kontoöffentlichkeit infor- miert. Gemäss der bei uns eingegangenen Bürgermeldung liess das E-Banking von PostFinance jedoch eine unbe- grenzte Anzahl von Kontonummer- eingaben zu. So konnten Nummern beliebig durchprobiert und damit Massenabfragen zu Kontoinhaberin- nen und -inhabern getätigt werden. PostFinance hat uns auf Nachfrage hin Datenschutz 38 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
bestätigt, dass die ursprünglich imp- lementierte Abfragebegrenzung ver- sehentlich deaktiviert wurde, so dass während rund zwei Jahren solche Mas- senabfragen möglich waren. Nachdem sich der Bürger auch direkt bei Post- Finance gemeldet hat, wurde die Abfra- gebegrenzung wieder aktiviert, so dass nur noch 10 Abfragen innerhalb von 2 4 Stunden getätigt werden können. Der EDÖB ist zum Schluss gekom- men, dass die automatisierte Ergän- zung der Angaben zu Inhaberinnen und Inhabern von Postkonten einem nachvollziehbaren Zweck dient und die Kundinnen und Kunden von Post- Finance angemessen darüber infor- miert werden. Auch das Risiko von Massenabfragen wurde durch die reak- tivierte Abfragebegrenzung auf ein vertretbares Mass reduziert. Weil die Funktion für die Abwick- lung des Zahlungsverkehrs jedoch nicht zwingend notwendig ist und letztlich auf die Einwilligung der Betroffenen abstützt, sollte den Kun- dinnen und Kunden aber die Möglich- keit gegeben werden, einer derartigen Verwendung ihrer Daten zu wider- sprechen. Der EDÖB hat PostFinance daher aufgefordert, ein Opt-out einzu- führen. BONITÄTSAUSKÜNFTE Fehlerhafte Datenbank einträge bei Inkassounter nehmen Der EDÖB hat im Rahmen der laufenden Sachverhaltsabklärung betreffend mögliche fehlerhafte Datenbankein- träge bei einem der führenden Unter- nehmen im Bereich Inkasso und Boni- tätsauskünfte zusätzliche Informa- tionen unter anderem zur Thematik der «negativen Haushaltstreffer» einge- holt. Wie unseren vorangehenden Tätig- keitsberichten zu entnehmen ist, eröffnete der EDÖB im Februar 2020 eine Sachverhaltsabklärung bei einem grossen Anbieter von Inkasso- und Bonitätsdienstleistungen wegen angeb- lich fehlerhaften Datenbankeinträgen und daraus folgenden Verwechslungen von Personen mit gleichen oder ähn- lichen Namen und Adressen sowie möglicherweise vorhandenen Schwie- rigkeiten bei der Korrektur von sol- chen Fehleinträgen (s. 27. TB, Kap. 1. 4). In einem zweiten Schritt hatte der EDÖB den Untersuchungsgegenstand aufgrund von Bürger- und Medienan- fragen zudem auf die Thematik der sogenannten negativen Haushaltstreffer erweitert. Davon spricht man, wenn im Rahmen von Bonitätsauskünften negative Bonitätsinformationen über andere Personen im selben Haushalt bekannt gegeben werden (s. 28. TB, Kap. 1. 4). Diese Datenbekanntgabe an Onlinehändler soll verhindern, dass Personen mit negativer Bonität einen Kauf auf Rechnung unter dem Namen eines Haushaltsmitglieds mit positiver Bonität tätigen können (sog. Umge- hungsgeschäft). Die Praxis der negativen Haus- haltstreffer wirft datenschutzrecht- liche Fragen auf, weshalb der EDÖB hierzu beim Unternehmen nähere Informationen eingeholt hat. Die rechtli- che Auswertung dieser Informationen ist noch im Gange. Der EDÖB wird gestützt auf dieses Ergebnis das weitere Vorgehen festlegen. Datenschutz 39 29. Tätigkeitsbericht 2021/22
VEREINSWESEN Neuer Mitgliederausweis mit integrierter Kreditkarten funktion für Schützinnen und Schützen Der Schweizer Schiesssportverband (SSV) hat über 50 000 lizenzierten Schützinnen und Schützen einen neuen Mitgliederausweis mit Kreditkarten- funktion verschickt. Zahlreiche Verbands- mitglieder haben ihren Unmut über diese kommerzialisierte Nutzung ihrer Daten ausgedrückt. Der EDÖB hat, im Austausch mit dem SSV, eine daten- schutzkonforme Handhabung der Per- sonalien der Verbandsmitglieder erreicht. Der Versand von über 50 000 neuen Mitgliedskarten mit integrierter Zahl- funktion hat bei vielen betroffenen Verbandsmitgliedern Fragen zum Schutz ihrer Daten ausgelöst. Der EDÖB hat in einem ersten Schritt vom Verband zusätzliche Informationen zu dieser Datennutzung eingeholt. Der Verband hatte zwar bereits in der Vergangenheit die Ausstellung der Mitgliederkarte an eine externe Firma vergeben. Der neu ausgewählte Kredit- kartenanbieter verfolgt aber mit dem Auftrag auch eigene Zwecke und erhält Zugang zu neuen Kundinnen und Kunden. Damit handelt es sich bei der Weitergabe der Mitgliederdaten an den Kreditkartenanbieter um eine Daten- bekanntgabe, die die Bearbeitungs- grundsätze des Datenschutzgesetzes erfüllen muss. So insbesondere die Zweckbindung und das Transparenz- gebot. Personendaten dürfen nur zu dem Zweck bearbeitet werden, der bei der Beschaffung angegeben wurde, aus den Umständen ersichtlich oder gesetzlich vorgesehen ist. Die Statuten des SSV sehen seit 2016 eine Bekanntgabe der Daten seiner Mitglieder zu kommer- ziellen Zwecken vor, und es gibt auch die Möglichkeit, dieser Bekanntgabe zu widersprechen. Der SSV hat damit grundsätzlich den Boden für die kom- merzielle Nutzung der Mitglieder- daten geschaffen. Problematisch ist aber, dass diese Bestimmung so ausdrücklich nur in den Statuten des Verbandes enthalten ist. Die Statuten der 36 angeschlossenen Verbände und der über 2000 Vereine enthalten meist keine analoge Rege- lung, sondern verweisen nur in gene- reller Weise auf die Statuten des SSV. Die einzelnen Mitglieder der Vereine konnten deshalb nur mit erheblichen Schwierigkeiten von dieser Regelung Kenntnis nehmen und ihr Wider- spruchsrecht entsprechend geltend machen. Der EDÖB hat dazu festge- halten, dass die Datenbekanntgabe des SSV an den Kreditkartenanbieter dem datenschutzrechtlichen Transparenz- gebot nicht entsprochen hat. Dieses legt fest, dass der Zweck der Bearbei- tung für die betroffene Person erkenn- bar sein muss. In Absprache mit dem SVV wurde vereinbart, dass die Schützinnen und Schützen vom Verband via Webseite, Newsletter und Mitgliederzeitschrift noch einmal über die Bekanntgabe zu kommer- ziellen Zwecken informiert werden und ihr Wider- spruchsrecht in Bezug auf diese kommerzielle Nutzung mit einer einfachen Mitteilung an den Verband kundtun können. Der SSV hatte in der Folge sicher- zustellen, dass der Kreditkartenanbie- ter die Daten der Mitglieder, die nur eine Mitglieder- und keine Kreditkarte wünschen, separat behandelt und nicht für seine eigenen Zwecke, wie beispielsweise Marketing oder Ange- botsunterbreitung, nutzt. Wer ganz auf die Mitgliederkarte in Kreditkar- tenform verzichtete, kann sich bei Anlässen weiterhin mit der Mitglieds- nummer und einem normalen Identi- tätsausweis legitimieren. Datenschutz 40 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
CORONA Begleitung des Projekts für ein datenschutzkonformes COVID19 Zertifikat und das Zertifikat Light Der EDÖB nahm in beratender Funktion an den Sitzungen der vom Bundesamt für Gesundheit eingesetzten Projekt- gruppe zur Entwicklung eines einheit- lichen, fälschungssicheren und inter- national anerkannten COVID-19- Zertifikats teil. Dabei bestand er auf der Schaffung des datensparsamen Zerti- fikates Light. Zur Bewältigung der COVID-19- Pandemie hat die Schweiz im Früh- sommer 2021 für den Nachweis einer Impfung gegen das COVID-19-Virus, einer durchgemachten Infektion oder eines kürzlich erfolgten negativen Tests das COVID-19-Zertifikat einge- führt. Die Grundlage dafür wurde in Artikel 6a des COVID-19-Gesetzes geschaffen. Im Rahmen seiner gesetz- lichen Beratungspflicht setzte sich der EDÖB in der vom Bundesamt für Gesundheit (BAG) eingesetzten Pro- jektgruppe für eine datenschutzkon- forme Umsetzung des gesetzgeberi- schen Auftrages ein. Demnach sollte ein entsprechender Nachweis persön- lich, fälschungssicher, unter Einhal- tung des Datenschutzes überprüfbar und so ausgestaltet sein, dass eine dezentrale oder lokale Überprüfung der Authentizität und Gültigkeit von den Zertifikaten möglich ist. Sodann sollte der Nachweis möglichst für die 1.4 Gesundheit Ein- und Ausreise in andere Länder verwendet werden können. Weiter forderte der EDÖB von Beginn weg, dass die Einführung des Zertifikates nicht zu einer allgemeinen Tragpflicht von Smartphones führen dürfe. Dadurch, dass das COVID-19-Zertifi- kat sowohl in digitaler Form als auch auf Papier genutzt werden kann, wurde diesem Anliegen entsprochen. Datensparsames Zertifikat Light Auch bestand der EDÖB erfolgreich darauf, dass das Bundesamt für Infor- matik und Telekommunikation (BIT) neben dem EU-kompatiblen Zertifikat für den grenzüberschreitenden Ver- kehr einen zweiten, datensparsamen QR-Code für den Einsatz im Inland entwickelte, das sogenannte Zertifikat Light. Dieses kann in der App erstellt werden und enthält keine Informatio- nen darüber, ob das Zertifikat basie- rend auf einem Test, einer Impfung oder einer Genesung ausgestellt wurde. Damit keine Rückschlüsse auf den Ausstellungsgrund möglich sind, ver- fügt das Zertifikat Light nur über eine kurze Gültigkeitsdauer und muss danach neu erstellt werden. Es ist nur in der Schweiz gültig. Im Zertifikat Light sind damit ein- zig die zur Identifikation notwendigen Angaben und eine elektronische Signa- tur enthalten. Dadurch kann insbeson- dere auch das Risiko eliminiert wer- den, dass bei der Verwendung einer anderen als die vom Bund zur Verfü- gung gestellten Prüf-App unrechtmäs- sigerweise Gesundheitsdaten aus dem Zertifikat ausgelesen werden. So ist es in der Regel nicht notwendig, dass im Rahmen einer Zutrittskontrolle zu einer Veranstaltung die Information offengelegt wird, ob die Besucherin- nen und Besucher das Zertifikat auf- grund einer Impfung, einer Genesung oder eines Tests erlangt haben. Problematik bei 2GRegime Die Entwicklung der Pandemie hat den Bundesrat im Dezember 2021 dazu veranlasst, den Zutritt zu bestimmten Örtlichkeiten und Veran- staltungen auf Personen mit einem Impf- oder Genesungsnachweis zu beschränken. Ein negatives Testresul- tat reichte demnach fortan nicht mehr Datenschutz 41 29. Tätigkeitsbericht 2021/22
einer Rückkehr zum 3G-Regime wie- der mit der vollen Funktionalität genutzt werden kann. Verhältnismässiger Einsatz des Zertifikats Neben der datenschutzkonformen Ausgestaltung und Weiterentwick- lung des Zertifikats in technischer Hinsicht wirkte der EDÖB weiter dar- auf hin, dass der Einsatz des Zertifikats nicht dem Belieben von Privaten überlassen wird, sondern dass dafür öffentlich-rechtliche Rahmenbedin- gungen geschaffen werden. Die Voraussetzungen für den Ein- satz wurden in der Verordnung über Massnahmen in der besonderen Lage zur Bekämpfung der COVID-19- Epidemie (COVID-19-Verordnung besondere Lage; SR 818.101.26) gere- gelt. Nachdem die Zertifikatspflicht zunächst nur für Grossveranstaltun- gen vorgesehen war, erfolgte im weite- ren Verlauf der Pandemie in mehreren Etappen eine Ausweitung des Ein- satzes auf weitere Bereiche, wie Res- taurants und Bars sowie Freizeitein- richtungen wie Museen, Bibliotheken, Zoos, Fitnesscenter, Hallenbäder oder Casinos. Der EDÖB hielt im Rahmen mehrerer und oft sehr kurzfristig durchgeführten Ämterkonsultationen wiederholt fest, dass Zutrittsbeschrän- kungen auf der Grundlage eines Zertifikats bzw. die damit einherge hende Bearbeitung gesundheitsbezo- gener Daten aus datenschutzrechtli- cher Optik nur dann als verhältnismässig ange- sehen werden können, wenn diese Massnahmen für die Bekämpfung der Pandemie aus epidemiologischer Sicht notwendig und geeignet sind. Diesen Nachweis zu erbringen, liegt in der Verantwortung des BAG als zuständi- ges Fachamt, an dessen Feststellungen und Beurteilungen sich der EDÖB stets orientierte. Insbesondere in Bezug auf die mögliche Ausweitung der Zertifikats- pflicht auf den Arbeitsbereich stellte sich der EDÖB auf den Standpunkt, dass Arbeitgeberinnen und Arbeit- geber das Vorliegen eines Zertifikats im Rahmen ihrer Fürsorgepflicht nur nach einer sorgfältigen Güterabwä- gung und ausschliesslich im Zusam- menhang mit der Ausgestaltung konkreter Schutzmassnahmen oder der Umsetzung eines Testkonzepts verlangen dürfen. als Voraussetzung für den Zutritt. Unter diesem als «2G» bzw. «2G+» bezeichneten Regime war das Zertifi- kat Light zunächst nicht mehr nutzbar, da dieses aufgrund seiner Konzeption eben gerade keine Aussage über den Status (geimpft, genesen oder negativ getestet) enthält. Diese Einschränkung war zum Zeitpunkt der Entwicklung des Zertifikatssystems nicht geplant oder absehbar gewesen. Um das Zerti- fikat Light auch unter dem 2G-Regime oder allenfalls in parallel geltenden, situativ unterschiedlichen Regelungen einsetzen zu können, müssten entwe- der unterschiedliche Zertifikate Light erstellt (2G+, 2G und 3G) oder die Informationen über die Art des Berechtigungsstatus direkt im Zertifi- kat Light gespeichert werden können. Letzteres hätte zur Folge, dass das Zertifikat Light mit einem Gesund- heitsdatum ergänzt würde – was sei- nem ursprünglichen Zweck zuwider- liefe. Ungeachtet der schliesslich umgesetzten Lösung forderte der EDÖB, dass das Zertifikat Light bei Datenschutz 43 29. Tätigkeitsbericht 2021/22
CONTACT TRACING Sachverhaltsabklärung zur Applikation «SocialPass» Der EDÖB untersuchte im Rahmen einer Sachverhaltsabklärung die private Applikation «SocialPass», die für die Erfassung der Kontaktdaten in Restau- rants und an Veranstaltungen einge- setzt wurde. Mit seinem Schlussbericht empfahl der EDÖB den Betreibern der Applikation insbesondere, die techni- sche Sicherheit der App zu verbessern und die Abfragemöglichkeiten kantona- ler Gesundheitsbehörden auf zentral erfasste Daten verhältnismässig einzu- grenzen. Die zentralen Empfehlungen des EDÖB wurden nach anfänglicher Bestreitung angenommen und mehr- heitlich umgesetzt. Als Massnahme der Pandemiebekämp- fung wurden Restaurationsbetriebe und Veranstalter im Sommer 2020 verpflichtet, Kontaktdaten ihrer Gäste zu erheben, um diese im Falle einer später gemeldeten COVID-19-Infek- tion den kantonalen Gesundheits- behörden zum Zweck der Rückverfol- gung der Kontakte (dem sog. «Contact Tracing») weiterleiten zu können. Die von zwei in der Schweiz ansäs- sigen privaten Unternehmen gemein- sam betriebene Applikation «Social- Pass» ermöglichte eine unkomplizierte Erfassung dieser Daten über das Smartphone. Mehrere Hinweise aus der Bevölkerung liessen jedoch Zwei- fel an der Datenschutzkonformität der App entstehen, sodass der EDÖB im Dezember 2020 ein formelles Verfah- ren eröffnete, um den auch in Medien- berichten geäusserten Vorwürfen auf den Grund zu gehen. In seinem Schlussbericht musste der EDÖB zahl- reiche Mängel feststellen, die zu insge- samt zehn Empfehlungen führten, welche die Betreiber der Applikation nach mehreren Videokonferenzen u. a. mit Beteiligung der Gesundheitsbe- hörden der Kantone Waadt und Wallis mehrheitlich akzeptierten. Zentrale Empfehlungen des EDÖB und deren Umsetzung Nebst der Feststellung organisatori- scher und technischer Mängel zeigte die Sachverhaltsabklärung auf, dass die privaten Betreiber den Gesund- heitsbehörden der Kantone Waadt und Wallis einen direkten Zugriff auf die zentrale Datenbank einräumten und trotz fehlender Rechtfertigungs- gründe für nahezu beliebige personen- bezogene Abfragen zur Verfügung stellten, womit sie auch gegen das Verhältnismässigkeitsprinzip versties- sen. Gemäss Medien- berichten sollen die ein- geräumten Abfragemög- lichkeiten im Kanton Wallis gar zu zweckwidri- gen Bearbeitungen von Personendaten geführt haben. Auf Empfehlung des EDÖB haben die Betreiber diese anfänglich bestrittenen Mängel schliesslich anerkannt und gemäss eigenen Angaben behoben. Ungewöhnlich langwieriges und zähes Verfahren Die schweizweit eingesetzte private Applikation «SocialPass» bearbeitete Personendaten zum Zweck der Pande- miebekämpfung. Vor diesem Hinter- grund musste der EDÖB stets die epi- demiologische Entwicklung im Auge behalten, um die Sachverhaltsabklä- rung rechtzeitig zu einem Abschluss zu bringen. Das Verfahren hat sich jedoch als ungewöhnlich langwierig und zäh erwiesen. Bei der Festlegung der Antwortfristen, der Behandlung der zahlreichen Gesuche um Fristver- längerung und sogar um Ablehnung der Mitarbeitenden des EDÖB, die mit dem Dossier betraut waren, musste der Beauftragte in Erwägung ziehen, dass die zweite Welle der Pandemie gegen Beginn des Sommers 2021 abflachte. Dies hatte zur Folge, dass zu jenem Zeitpunkt die Wiedereröffnung Datenschutz 44 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
der Restaurants absehbar wurde und damit auch die Wiederverwendung der App «SocialPass» unmittelbar bevorstand. Aus den obgenannten Gründen hatte der EDÖB im vorliegenden Ver- fahren darauf zu achten, dass er die Bevölkerung zeitgerecht über die tech- nischen Möglichkeiten von «Social- Pass» und die mit deren Ausschöpfung verbundenen Datenschutzrisiken informierte. Deshalb hat der Beauf- tragte am 31. Mai 2021 – dem Tag der Wiedereröffnung der Innenräume der Restaurants – über die wichtigsten Aspekte der Sachverhaltsabklärung und die bis dahin festgestellten Fakten inklusive der zentralen Empfehlungen in einer Medienmitteilung informiert. Die Sachverhaltsabklärung zu «SocialPass» erwies sich als notwendig und nützlich, bot sie dem EDÖB doch Gelegenheit, sich zu Abgrenzungs- fragen zwischen den eidgenössischen und kantonalen Aufsichtskompeten- zen sowie weiteren datenschutzrecht- lichen Fragestellungen zu äussern, die sich wegen ihrer grundlegenden Bedeutung teilweise auch auf weitere Applikationen übertragen liessen, wel- che Private und Behörden zu Zwecken des «Contact Tracings» einsetzten. MEINEIMPFUNGEN.CH Untersuchung zu Impfplatt form durchgeführt Nachdem Recherchen der Onlinezeit- schrift «Republik» im März 2021 schwere Datenschutzmängel bei der Plattform meineimpfungen.ch fest- gestellt hatten, eröffnete der Beauf- tragte unmittelbar vor deren Veröffent- lichung ein formelles Verfahren gegen die Betreiberin der Plattform. Die fest- gestellten Mängel verunmöglichten einen Weiterbetrieb der Plattform, und die vom BAG teilweise finanzierte Stif- tung meldete schliesslich den Konkurs an. Der EDÖB unterstützte das BAG mit dem Ziel, den Betroffenen wieder Zugriff zu ihren Daten zu ermöglichen. Recherchen des Onlinemagazins «Republik» brachten im Frühling 2021 zu Tage, dass bei der Plattform «mei- neimpfungen.ch» gravierende Daten- schutz- und Sicherheitsmängel bestanden. Die für den Betrieb verant- wortliche Stiftung meineimpfungen wurde unter anderem vom Bundesamt für Gesundheit (BAG) finanziert, wel- ches die Plattform beispielsweise auf seiner Webseite und mittels Prospek- ten als «elektronisches Impfbüchlein» bewarb. Nach summarischer Plausibilisie- rung der erhobenen Vorwürfe eröff- nete der EDÖB unmittelbar vor deren Veröffentlichung eine Sachverhalts- abklärung zur Plattform, auf welcher die Nutzerinnen und Nutzer ihre Imp- fungen dokumentierten. Ein in der Folge durch die Stiftung eingeleitetes Audit zeigte auf, dass die vom Online- magazin aufgedeckten Mängel nicht ohne weiteres behoben werden konn- ten, worauf die Stiftung die Plattform vorderhand vom Netz nahm. Ende Juli 2021 stellte der EDÖB der Stiftung seinen Schlussbericht zu. Darin formulierte er drei Empfehlun- gen, die sich insbesondere auf die mög- licherweise beeinträchtigte Integrität der Daten und deren Schicksal im Fall einer Einstellung der Plattform bezogen. Die Stiftung konnte insbeson- dere nicht ausschliessen, dass es in der Vergangen- heit nicht bereits zu unerlaubten Zugriffen gekommen war und die Daten dabei möglicherweise verändert worden waren. Datenschutz 45 29. Tätigkeitsbericht 2021/22
Die Stiftung akzeptierte die Empfeh- lungen des EDÖB und liess kurze Zeit nach Abschluss der Sachverhalts- klärung verlauten, dass sie die operati- ven Tätigkeiten definitiv einstellen und die Liquidation beantragen werde. Auskunfts- und Löschungsbegehren der Nutzerinnen und Nutzer bearbei- tete die Stiftung ab diesem Zeitpunkt nicht mehr. Zahlreiche Betroffene meldeten sich deswegen laufend beim EDÖB. Mit dem Ziel, den Betroffenen ihre Daten trotz der Einstellung der Platt- form und der drohenden Liquidation der Betreiberin zugänglich zu machen, hat der EDÖB im weiteren Verlauf das BAG im Rahmen dessen Projekts «Datenrettung meineimpfungen» in mehreren Sitzungen beraten und die datenschutzrechtlichen Anforderun- gen an einen Versand der Impfdaten an die Nutzerinnen und Nutzer präzi- siert. Angesichts der beschränkten finanziellen Möglichkeiten und der im Rahmen der Sachverhaltsabklärung festgestellten Mängel war klar, dass im Sinne einer pragmatischen und zeitnah realisierbaren Lösung gewisse Kompromisse in Bezug auf den Datenschutz hingenommen werden mussten. Im November 2021 begann die Stiftung ohne Ankündigung, den Nutzerinnen und Nutzern ihre Impf- daten unverschlüsselt per E-Mail zuzustellen. Entgegen den von der Stiftung öffentlich gemachten Äusse- rungen, war dieses Vorgehen nicht mit dem EDÖB abgesprochen. Es stand vielmehr im Widerspruch zu den vom Beauftragten in seinem Schlussbericht vom 31. August 2021 erlassenen Emp- fehlungen sowie zu den gegenüber dem BAG festgehaltenen Anforderun- gen an einen datenschutzkonformen Versand. Nach Intervention des Beauf- tragten stoppte die Stiftung den Ver- sand wieder. Kurz darauf wurde der Konkurs über die Stiftung eröffnet. Der EDÖB prüft die Einreichung einer Strafanzeige. Die dazu erforderlichen Abklärungen waren am Ende des Berichtsjahres noch im Gang. Der EDÖB wirkte nunmehr auf das BAG ein, damit dieses seine Verant- wortung trotz laufenden Konkursver- fahrens wahrnimmt und weiterhin auf eine datenschutzkonforme Lösung hinwirkt, um den Nutzerinnen und Nutzern ihre Impfdaten in möglichst datenschutzkonformer Weise zugäng- lich zu machen. PATIENTENDOSSIER Einsicht, Aufbewahrung und Löschung von Patientendaten Ein regelmässig wiederkehrendes Thema in der Beratungstätigkeit des EDÖB ist die Handhabung von Patientendossiers, insbesondere die Frage, ob und wann Patientinnen und Patienten ihre Krankengeschichte herausverlangen oder löschen lassen können, wie lange Ärztinnen und Ärzte die Unterlagen aufbewahren müssen – und dürfen. Eine kürzlich erfolgte Änderung des Verjährungsrechts hat zudem auch Auswirkungen auf die Aufbewahrung von Krankengeschichten. Regelmässige Anfragen beim EDÖB zeugten auch im vergangenen Berichts jahr von grossem Interesse und bestehenden Unsicherheiten im Zusammenhang mit der Handhabung von Patientendossiers. Ein oft auch als Krankengeschichte bezeichnetes Pati- entendossier umfasst Aufzeichnun- gen, die im Zusammenhang mit einer ärztlichen Behandlung entstehen, also etwa Berichte, Röntgenbilder, Laborergebnisse und Korresponden- zen mit anderen medizinischen Leis- tungserbringern. Gestützt auf ihr datenschutzrechtliches Auskunfts- recht können Patientinnen und Patienten Einsicht in ihre Krankenge- schichte nehmen. Dieses Recht wird in der Praxis regelmässig wahrgenom- men. Datenschutz 46 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
tungserbringer – Ärztinnen, Thera- peuten, Spitäler – anschliessen kön- nen, um ihren Patientinnen und Patienten das elektronische Patien- tendossier anbieten zu können. Ab Mai 2021 konnten schliesslich die ersten Dossiers eröffnet werden. Parallel zur Einführung sind – ins- besondere aus der Politik – verschie- dene Stimmen zu verzeichnen, die Anpassungen beim EPD verlangen, um dessen Verbreitung weiter zu för- dern. Der EDÖB verfolgt die entspre- chenden Vorstösse und Entwicklun- gen und pflegt einen regelmässigen Austausch mit dem BAG, den Kanto- nen und weiteren Akteuren. Datenschutz 47 29. Tätigkeitsbericht 2021/22
SICHERHEIT VON REGISTERN Schwachstellen im Organ spenderegister und im Brustimplantatregister Der Datenschutz scheint bei den Betreibern von Registern im Gesund- heitsbereich zu wenig beachtet zu werden. Im ersten Halbjahr 2022 wurde der Beauftragte in mehreren proble- matischen Fällen tätig, über die auch in den Medien berichtet wurde. Seit Jahresbeginn 202 2 machten die Medien namentlich auf zwei Register mit gravierenden Sicherheitslücken im Bereich des Datenschutzes auf- merksam. Der erste Fall betraf das nationale Organspenderegister, dessen Gründe- rin und Betreiberin die Stiftung Swiss- transplant ist. Dabei ging es vorwie- gend um die Richtigkeit der eingetra- genen Daten: Tatsächlich bestand die Möglichkeit, Personen ohne deren Wissen im Register einzutragen und somit «ihren» Willen für oder gegen eine Organspende zu deklarieren. Nach- dem der EDÖB die Glaubhaftigkeit der eingegangenen Meldungen überprüft und erste Massnahmen zur Schadens- begrenzung getroffen hatte, eröffnete er ein Verfahren zu Sachverhalts- abklärung nach Art. 29 DSG in dessen Rahmen unter anderem die Identifi- zierungsprozesse überprüft und ver- bessert werden sollen. Mit Blick auf die Abstimmungen vom 15. Mai 202 2 weist dieser Fall auch eine politische Dimension auf: Das Volk ist aufgefordert, über eine Neure- gelung auf dem Gebiet der Organ- spende zu befinden. Derzeit bedarf es einer ausdrücklichen Einwilligung, damit eine Entnahme stattfinden kann. Mit der vorgelegten Änderung würde das Umgekehrte gelten: Eine Entnahme wäre zulässig, ausser wenn ein expliziter Widerspruch festgehal- ten wurde (Widerspruchslösung). Dieser Systemwechsel würde die Schaffung eines neuen Registers mit sich bringen, in dem man seinen Ent- scheid zur Organspende hinterlegen könnte, wobei festzuhalten ist, dass das neue Register sich vom bisherigen, bemängelten Register bis auf den allge- meinen Zweck unterscheiden würde. Beim zweiten Fall ging es um das von Swiss Plastic Surgery betriebene Brustimplantatregister (Mammo- register), das IT-Sicherheitslücken und Design-Fehler aufwies. Dadurch konnten sich Unbefugte relativ leicht breiten Zugang zu Patientinnendaten verschaffen. Auch in diesem Fall klärte der Beauftragte die Plausibilität der angezeigten Sachverhalte ab und lei- tete Schadensbegrenzungsmassnah- men ein. Das weitere Vorgehen wird derzeit vom EDÖB geprüft. Generell zeigen diese beiden Fälle aus der jüngsten Vergangenheit genau wie die Affäre um die Stiftung meine- impfungen.ch (s. Artikel weiter vorne), dass die Sicherheit von Regis- tern, die von privaten Vereinen und Stiftungen geführt werden und mit- unter auch im Auftrag von Gesundheitsbehörden personenbezogene Daten bearbeiten, oftmals vernachlässigt wird. Der Beauftragte unterstreicht, dass die Schaffung eines Registers von den Betreibern ein volles Bewusstsein ihrer Verantwortung hinsichtlich der Sicherheit und Richtigkeit der gehalte- nen Daten verlangt, und zwar von der Sammlung bis hin zur Datenvernich- tung. Dazu bedarf es einer geeigneten Organisation in den Bereichen IT, Personal und Zugangsregelung. Nicht zuletzt geht es auch um die Informa- tion der Personen, über die Daten gesammelt werden. Sie müssen in Kenntnis aller Tatsachen in die vorge- sehene Nutzung ihrer Daten einwilli- gen können, ausser wenn die Träger- schaft gegenteilige Gründe geltend machen kann. HACKERANGRIFFE Patientendossiers im Darknet publiziert Westschweizer Medien berichteten im März 2022, dass eine grosse Menge gesundheitsbezogener Daten im Dark- net publiziert worden ist. Der EDÖB forderte von den Arztpraxen, die Pati- entinnen und Patienten umfassend über den Vorfall zu informieren. Die betroffenen Praxen in der Romandie hatten bereits erste Massnahmen eingeleitet, um Defiziten im Bereich Datenschutz und -sicherheit zu begegnen. Der Hackerangriff ist ein erneuter Hinweis darauf, dass die besonders schützenswerten Gesund- heitsdaten in der Schweiz ungenü- gend geschützt sind. Der EDÖB hofft, dass der akute Handlungsbedarf von der Ärzteschaft und den Branchenver- tretern erkannt wird. Datenschutz 48 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
BUNDESPERSONAL Abklärungen beim Bundesamt für Statistik betreffend Aufbewahrung von physischen Personaldossiers Der EDÖB hat beim Bundesamt für Sta- tistik (BFS) Abklärungen betreffend die Handhabung von physischen Personal- dossiers von ehemaligen Mitarbeiten- den vorgenommen. Es hat sich gezeigt, dass Handlungsbedarf besteht. Das Bundesamt für Statistik hat dies aner- kannt und dem EDÖB einen konkreten Vorschlag zur Wiederherstellung des rechtmässigen Zustandes unterbreitet. Das Bundespersonalrecht sieht vor, dass Personaldossiers nach Beendi- gung des Arbeitsverhältnisses wäh- rend zehn Jahren aufbewahrt werden. Nach Ablauf der Aufbewahrungsfrist werden sie dem Bundesarchiv zur Übernahme angeboten. Die vom Bun- desarchiv als nicht archivwürdig 1.5 Arbeit bezeichneten Daten werden vernich- tet. Durch eine Bürgeranfrage wurde der EDÖB darauf aufmerksam gemacht, dass beim Bundesamt für Statistik (BFS) eine grössere Anzahl Personaldossiers ehemaliger Mitarbei- tender möglicherweise länger als gesetzlich erlaubt aufbewahrt wurden. Der EDÖB hat daraufhin beim BFS erste Abklärungen vorgenommen. Es hat sich gezeigt, dass die Aufbe- wahrung der physischen Personaldos- siers ausgetretener Mitarbeiterinnen und Mitarbeiter nicht den gesetzlichen Vorgaben entspricht. Über einen län- geren Zeitraum wurden beim BFS die Personaldossiers ausgetretener Mit- arbeiterinnen und Mitarbeiter nicht nach zehn Jahren vernichtet, sondern weiterhin aufbewahrt. Das BFS hat den Handlungsbedarf anerkannt und auf Verlangen des EDÖB einen kon- kreten Umsetzungs- und Zeitplan für die Wiederherstellung des rechtmässi- gen Zustands vorgelegt. Demnach sollen die notwendigen Arbeiten bis im Sommer 202 2 abgeschlossen sein. Vor diesem Hintergrund konnte der EDÖB auf ein formelles Aufsichtsver- fahren nach Art. 27 DSG verzichten. Datenschutz 49 29. Tätigkeitsbericht 2021/22
AUFSICHT IM BEREICH KRANKENVERSICHERUNG Klärung der Rollen und Kompetenzen zwischen BAG und EDÖB Der EDÖB und das Bundesamt für Gesundheit haben Schritte unternom- men, um ihre Rollen zu klären und den Austausch zu verstärken, nachdem die Eidgenössische Finanzkontrolle in einer Prüfung Kompetenzüberschnei- dungen bei der Umsetzung der Aufsicht über die Krankenversicherer fest- gestellt hatte. Die Krankenversicherer müssen bei ihrer Tätigkeit die sozialversiche- rungsrechtlichen und die datenschutz- rechtlichen Bestimmungen einhalten. Sie unterstehen somit der Aufsicht sowohl des Bundesamts für Gesund- heit (BAG) als auch des EDÖB. Im Bericht vom 21. Mai 2021 zu einer beim BAG durchgeführten Prüfung zur Auf- sicht im Versicherungsbereich stellte 1.6 Versicherungen die Eidgenössische Finanzkontrolle (EFK) fest, dass Klärungsbedarf in Bezug auf die Rollen des EDÖB und des BAG besteht und der Austausch und die Koordination zwischen den beiden Behörden geregelt werden muss (Prüfauftrag EFK-2042 4). Rollen und Regeln für die Meldung definieren Die EFK hielt in ihrer Beurteilung fest, dass die Wirksamkeit der Aufsicht des EDÖB und des BAG über die Kranken- versicherer aufrechterhalten oder gar verstärkt werden muss. Die Aufsicht über die Krankenversicherer muss die Erfahrung und die Nähe des BAG durch dessen Kontrollen vor Ort ebenso nutzen wie die im Gesetz ver- ankerten Kompetenzen des EDÖB, die mit der Totalrevision des Daten- schutzgesetzes noch verstärkt werden. So hat die EFK dem BAG empfohlen, in Zusammenarbeit mit dem EDÖB die Rollen und Regeln für den Infor- mationsaustausch zwischen Kranken- versicherern und Aufsichtsorganen im Zusammenhang mit nichtkonfor- men Fällen zu definieren. Aus dem Bericht der EFK geht auch hervor, dass das Bundesamt für Justiz (BJ) in einem Gutachten die Zuständigkeiten des EDÖB und des BAG bei der Umset- zung der datenschutzrechtlichen Anforderungen präzisiert hat und dabei zum Schluss gekommen ist, dass die Zuständigkeit grundsätzlich beim EDÖB liegt. Das BAG hat daher beschlossen, sein Kreisschreiben 7.1 vom 17. Dezember 2015 «Datenschutz- konforme Organisation und Prozesse der Krankenversicherer» entsprechend anzupassen. Verantwortlichkeiten klären In seiner Stellungnahme zum Prüf- bericht der EFK begrüsste der EDÖB angesichts der sich überschneidenden Zuständigkeiten eine Koordination der Aufsichtstätigkeiten des BAG und des EDÖB im Bereich der Krankenver- sicherung sowie eine Klärung der Rollen und Verantwortlichkeiten. Der EDÖB wies jedoch darauf hin, dass seine Unabhängigkeit von den Koordi- nationsbemühungen im Bereich der Krankenversicherung unberührt blei- ben muss und dass er insbesondere Datenschutz 50 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
weiterhin seine aufsichtsrechtliche Funktion gegenüber dem BAG wahr- nehmen wird. Austausch verstärken Wie von der EFK in ihrem Prüfbericht empfohlen, hat sich der EDÖB an der Überarbeitung des Kreisschreibens 7.1 des BAG beteiligt. Er hat verschiedene Ergänzungsvorschläge gemacht, insbe- sondere zur Koordination bei Kompe- tenzüberschneidungen. So wurde im Entwurf des Kreisschreibens präzisiert, dass das BAG und der EDÖB im Rah- men ihrer jeweiligen Zuständigkeiten einen regelmässigen Austausch pfle- gen, auch ad hoc, wenn ein Koordina- tionsbedarf im Einzelfall oder für eine wirksame Aufsicht besteht, und es wurde insbesondere festgehalten, dass die beiden Aufsichtsbehörden mitein- ander kooperieren und sich gegen- seitig mit ihren Kenntnissen in ihren jeweiligen Fachbereich Krankenver- sicherung und Datenschutz unter- stützen. Ausserdem wurden die Versi- cherer darauf hingewiesen, dass die Streichung einiger Kapitel im neuen Kreisschreiben nicht bedeutet, dass die Versicherer von den in diesen Kapiteln beschriebenen gesetzlichen Vorgaben entbunden wären. In Bezug auf die Zuständigkeit des EDÖB für die Beur- teilung der Datenschutzkonformität sowie die materielle Prüfung der Bear- beitungsreglemente wurde präzisiert, dass der EDÖB als unabhängige Auf- sichtsbehörde und gemäss seinen Mit- teln und Prioritäten handelt. Die neue Fassung des Kreisschreibens Nr. 7.1 wurde vom BAG im Dezember 2021 allen Krankenversicherern zugestellt und ist seit dem 1. Januar 202 2 in Kraft. Am Rande der Diskussionen über die Revision des Kreisschreibens haben sich das BAG und der EDÖB auf die Bezeichnung von Kontaktperso- nen geeinigt. Sie werden sich künftig, wie von der EFK empfohlen, zum jährlichen Austausch treffen und Ad-hoc-Sitzungen organisieren, um die Wirksamkeit ihrer Aufsicht zu verstärken. Datenschutz 51 29. Tätigkeitsbericht 2021/22
POSTAUTO UND SBB Sicherheitslücken in den Kundenportalen Aufgrund mangelnder Sicherheitsvor- kehrungen in ihren IT-Systemen waren Postauto mit ihrem Kundenportal «ticketcontrol.ch» und die SBB mit der Plattform «Nova» im Berichtsjahr von Datenlecks betroffen. Der EDÖB liess sich von den Datenschutzberatern der betroffenen Unternehmen aufzeigen, dass sie die nötigen Sofortmassnah- men zur Behebung der Schwachstellen und zur Information der Kunden ergrif- fen haben. Im Rahmen einer Recherche konnte eine Gruppe von Medienschaffenden Daten im Kundenportal «ticket- control.ch» ohne grossen Aufwand einsehen und kopieren. Sie meldeten das Datenleck der Postauto AG, welche das Portal betreibt, und haben sich mit uns in Verbindung gesetzt. Der EDÖB hat das verantwortliche Unternehmen umgehend zur Stellungnahe aufgefor- dert. Postauto hat zeitnah reagiert und den Vorfall bestätigt. Gemäss der Analyse der Zugriffprotokolle konnte der Angriff relativ gut nachvollzogen und bestimmten Angreifern zugeordnet werden. Im Rahmen der weiteren Untersuchungen konnte Postauto dem EDÖB darlegen, dass die Schwach- stelle im Kundenportal unmittelbar nach Kenntnisnahme behoben und die erlangten Datensätze im Rahmen der Recherche gelöscht wurden. Eine weitere Schwachstelle wurde dem EDÖB bezüglich der zentralen Vertriebsplattform «Nova» gemeldet, welche die SBB im Auftrag der Branchenvereinigung des öffentlichen Verkehrs Alliance SwissPass betreibt. Dabei konnte ein investigativer IT- Fachmann in einem kurzen Zeitraum insgesamt bis zu einer Million Datensätze mit Billett- und Abo-Daten abrufen. Die SBB bestätigte uns den Abfluss und beseitigte die Schwach- stelle sofort. Sie informierte den EDÖB ferner, dass auch die übrigen betroffenen Transportunternehmen die notwendigen Sofortmassnahmen umgesetzt haben und den Kunden kein Schaden entstanden sei. Der IT- Spezialist hat die von ihm abgerufenen Daten wieder gelöscht. In beiden Fällen haben die Daten- schutzberater der Unternehmen auf- gezeigt, dass mit den nun getroffenen Massnahmen bei den betroffenen Plattformen keine unverhältnismässi- gen systemischen Risiken mehr vor- handen sind und die betroffenen Per- sonen auf geeignetem Weg informiert wurden. Für den EDÖB zeigt die stei- gende Anzahl von gezielten Angriffen auf IT-Systeme, dass die Betreiber generell mehr Ressourcen für einen sicheren Betrieb aufbringen müssen. Bei Systemen mit erhöhtem Risiko für die betroffenen Personen sollten zudem regelmässige externe Audits durchgeführt werden. 1.7 Verkehr PNR-DATEN Ämterkonsultation zum neuen Flugpassagierdatengesetz Das EJPD hat ein Gesetzgebungspro- jekt ausgearbeitet, um die von den Fluggesellschaften erhobenen Flug- passagierdaten für die Terrorismus- und Kriminalitätsbekämpfung in der Schweiz zu verwenden. Der EDÖB hat im Rahmen der Ämterkonsultation Stellung genommen. Wer einen Flug bucht, teilt der Flugge- sellschaft oder der Reiseagentur zahl- reiche Informationen mit. Diese Infor- mationen sollen nach dem Willen der Sicherheits- und Polizeibehörden dazu genutzt werden können, um Terroris- mus und Schwerstkriminalität zu verhindern. Viele europäische Staaten haben bereits entsprechende Stellen (sog. «Passenger Information Units», PIU) eingerichtet, die diese Fluggast- daten sammeln, speichern und bear- beiten. Die Daten sollen zum Beispiel mit den einschlägigen Strafverfol- gungsdatenbanken abgeglichen wer- den können, um Personen zu identifi- zieren, die möglicherweise an einer terroristischen Straftat oder schweren Kriminalität beteiligt sind. Auch die Schweiz soll gemäss Beschluss des Bundesrates vom 12. Februar 2020 diese Flugpassagier- daten (sog. «Passenger Name Records», PNR) nutzen können. Aus diesem Grund hat das EJPD Mitte 2021 zusam- men mit dem UV EK eine Vernehmlas- sungsvorlage zu einem Bundesgesetz über die Erhebung und Nutzung von PNR-Daten durch die Schweiz sowie ihre Übermittlung an Staaten aus- gearbeitet, deren Datenschutz und Datenschutz 52 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
Datenbearbeitung dem Standard der EU-Richtlinie 2016/681 vom 27. April 2016 über die Verwendung von Flug- gastdatensätzen zur Verhütung, Aufdeckung, Ermittlung und Verfol- gung von terroristischen Straftaten und schwerer Kriminalität (EU-PNR- Richtlinie) entspricht. Deliktskatalog gefordert In seiner Stellungnahme zu einer ers- ten Entwurfsvorlage hat sich der EDÖB dafür eingesetzt, dass in den einzelnen Bestimmungen die daten- schutzrechtlichen Grundsätze einge- halten werden. Insbesondere verlangte er, dass der präventive Handlungs- spielraum der Passenger Information Units (PIU) klar umschrieben und dem Nachrichtendienst des Bundes nur ein eingeschränkter Zugriff auf das PNR- Informationssystem gewährt werden darf. Des weiteren muss ein abschliessender Delikts- katalog aufzeigen, zu welchem Zweck die Daten gesammelt werden dürfen. Der EDÖB machte ferner darauf aufmerksam, dass die Verhältnismässigkeit gewahrt werden muss. So ist beispielsweise zu begrün- den, weshalb die Aufbewahrungsdauer von fünf Jahren erforderlich ist, um den verfolgten Zweck zu erfüllen (s. 28. TB, Kap. 1.8). Datenschutz 53 29. Tätigkeitsbericht 2021/22
PARKING APPS Digitale Parkuhren mit Eingabe des Autokenn zeichens Der EDÖB hat im Berichtsjahr einige Anfragen betreffend digitalen Parkuh- ren mit Eingabe des Autokennzeichens erhalten. Er äusserte sich hierzu betreffend Parkplätzen, die von Priva- ten betrieben werden. Der EDÖB beobachtete im Berichts- jahr aufgrund der vielen Bürger- anfragen eine wachsende Zahl von digitalen Parkuhren. Die betroffenen Personen äusserten ihre Bedenken, ob die Registrierung mit Eingabe ihres Autokennzeichens aus Datenschutz- sicht korrekt sei. Nummernschilder können bei entsprechenden Parkplatzangeboten zum Zweck der Durch- führung der Registrierung erfasst und bearbeitet werden. Die Daten dürfen jedoch nur so lange aufbe- wahrt werden, wie sie für den verfolg- ten Zweck unbedingt notwendig sind. Nach dem datenschutzrechtlichen Transparenzgebot muss der Verant- wortliche der Datenbearbeitung die betroffenen Personen auf geeignetem Weg über den Zweck der Datenbe- schaffung und die damit verbundene Datenbearbeitung und Speicherdauer informieren, falls sich diese nicht bereits eindeutig aus den Umständen ergeben. Wir haben die anfragenden Perso- nen insbesondere darauf hingewiesen, dass sie nach Art. 8 des Bundes- gesetzes über den Datenschutz (DSG; SR 235.1) vom Inhaber einer Daten- sammlung Auskunft darüber verlan- gen können, ob und welche Daten zu welchem Zweck über sie bearbeitet werden. Entsprechende Musterschrei- ben sind auf der Website des EDÖB zu finden. AUTOMATISIERTES FAHREN Ämterkonsultation zur Teilrevision des Strassen verkehrsgesetzes Das Strassenverkehrsgesetz erfuhr im Berichtsjahr einige Neuerungen. Unter anderem ist mit der Revision das automatisierte Fahren in der Schweiz geregelt worden. Der EDÖB hat das Vorhaben begleitet und im Rahmen der Ämterkonsultation Stellung genom- men. Er verlangte, dass in den Erläute- rungen zum Gesetz Fragen zur Verhält- nismässigkeit insbesondere betreffend die Dauer der Datenspeicherung und deren Löschung geklärt werden. Mit der Anpassung des Strassenver- kehrsgesetzes (SVG) unter der Feder- führung des Bundesamtes für Strassen (ASTR A) soll in der Schweiz das automatisierte Fahren ermöglicht wer- den. Neu soll der Bundesrat festlegen können, inwieweit Fahrzeuglenkerin- nen und -lenker von ihren Pflichten entlastet werden und in welchem Rah- men führerlose Fahrzeuge mit einem Automatisierungssystem zugelassen werden können. Nach der Revisions- vorlage werden solche Fahrzeuge auf definierten Einzelstrecken verkehren können und dabei überwacht werden. Fahrzeuge mit einem Automatisie- rungssystem müssen mit einem Fahrmodusspeicher ausgerüstet sein, welcher nicht deaktivierbar ist und gewisse Ereignisse im Zusammenhang mit dem Automatisierungssystem aufzeichnet. Beispielsweise wird der Zeitpunkt des Wechsels der Fahrzeug- steuerung vom Fahrzeugführer auf das System (oder umgekehrt) gespeichert. Ebenso wird registriert, wenn das System den Fahrzeugführer auffordert, die Steuerung zu übernehmen. Auch Datenschutz 54 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
allfällige technische Störungen werden vom System automatisch aufgezeich- net. Die gespeicherten Informationen auf dem Fahrmodusspeicher können aus der Sicht des EDÖB ohne grösse- ren Aufwand mit Personendaten wie zum Beispiel des Fahrzeughalters verknüpft werden. Darum haben wir begrüsst, dass zwar die Zeitstempe- lung gespeichert wird, jedoch keine Lokalisationsangaben. Zudem haben wir darauf hingewirkt, dass aus dem SVG und dessen Erläuterungen klar hervorgehen muss, wer Zugriff auf die Daten des Fahrmodusspeichers zu welchen klar umschriebenen Zwecken haben darf, sowie ob und wann diese personenbezogen ausgewertet werden dürfen. Damit soll unter anderem verhindert werden, dass die Daten zu beliebigen Zwecken verwendet wer- den. Ferner stellten sich für den EDÖB Fragen hinsichtlich der Verhältnismäs- sigkeit, zum Beispiel bei der Löschfrist, die bis zur Erreichung der Speicher- kapazität dauert und somit je nach Nutzung des Fahrzeugs unterschied- lich ausfallen kann. Der EDÖB ver- langte, dass diesbezügliche Erläute- rungen zu ergänzen sind. Auch bezüg- lich der Löschung der Daten nach Ausser verkehrssetzung forderte er eine Begründung in den entsprechen- den Erläuterungen. Das ASTR A hat die Anregungen des EDÖB in der Vorlage berücksich- tigt. Am 17. November 2021 hat der Bundesrat die Botschaft zur Änderung des Strassenverkehrsgesetzes zuhan- den des Parlamentes verabschiedet. VERNETZTE MOBILITÄTSDATEN Austausch von Mobilitätsdaten erfordert Rechtsgrundlage Der Bund will eine effiziente und ver- kehrsübergreifende Mobilität fördern, auch indem verschiedene Verkehrs- mittel einfacher kombiniert werden können. Zentrale Voraussetzung dafür ist, dass die entsprechenden Daten und Dienste zu den verschiedenen Mobilitätsangeboten für die betroffe- nen Nutzerinnen und Nutzer zugäng- lich und verfügbar sind. Der EDÖB hat zur entsprechenden Gesetzesvorlage im Rahmen der Ämterkonsultation Stel- lung genommen. Mit dem Bundesgesetz über die Mobi- litätsdateninfrastruktur (MODIG) wird die Rechtsgrundlage für eine schrittweise Realisierung einer natio- nalen Dateninfrastruktur Mobilität (NaDIM) zum Austausch von Mobili- tätsdaten geschaffen. NaDIM soll durch die sogenannte Mobilitätsdaten- anstalt (MDA) betrieben werden. Pri- vate Unternehmen wie App-Entwick- ler und Plattformbetreiber sollen so für ihre Kundschaft vernetzte Angebote erstellen können. Bei Mobilitätsdaten im Sinne der Gesetzesvorlage handelt es sich in erster Linie um Sachdaten wie Infor- mationen über ein Verkehrssystem, Fahrpläne oder Informationen über Tarife und ähnliche Informationen. Persönliche Angaben über Kundinnen und Kunden sind je nach Ausgestal- tung der Angebote für den Reservati- ons-, Buchungs- und Bezahlprozess erforderlich. Unter Umständen können auch Bewegungsprofile oder – im Zusammenhang mit Angeboten für Reisen von Personen mit einge- schränkter Mobilität – besonders schützenswerte Personendaten anfal- len, welche durch die MDA bearbeitet werden. Die Details dazu sind jedoch gemäss BAV noch nicht bekannt und müssen sich in der weiteren Entwick- lung des Vorhabens zeigen. Der EDÖB hat zunächst verlangt, dass die notwendige gesetzliche Grundlage für die durch die MDA bearbeiteten Datenkategorien geschaf- fen wird. Weiter hat er darauf hingewiesen, dass die Erstellung einer Datenschutz-Folgenab- schätzung nach Art. 2 2 nDSG rechtzeitig geprüft werden muss. Aus einer solchen lässt sich ableiten, mit welchen Risiken die Bear- beitung von Personendaten aufgrund ihres Zwecks, Inhalts oder ihrer Art, Intensität oder Bearbeitungsdauer für die Privatsphäre und informationelle Selbstbestimmung der betroffenen Personen verbunden ist. Da sich gemäss BAV die konkrete Datenbearbeitung und weitere wich- tige Umsetzungsdetails jedoch erst im weiteren Verlauf des Vorhabens erge- ben werden, kann sich der EDÖB erst mit Vorliegen der relevanten Informa- tionen abschliessend zum gesamten Vorhaben äussern. Datenschutz 55 29. Tätigkeitsbericht 2021/22
1.8 International Die internationale Zusammenarbeit wurde auch im vergangenen Geschäftsjahr von der COVID-19- Krise geprägt. So mussten praktisch alle internationalen Konferenzen und Sitzungen pandemiebedingt per Videokonferenz durchgeführt werden. Die 43. Internationale Konferenz der Datenschutzbeauftragten, welche im Oktober 2021 in Mexiko hätte statt- finden sollen, wurde zunächst in hybrider Form geplant, konnte dann aber nur in virtueller Form erfolgen. Auf die Durchführung der sonst jähr- lich stattfindenden Europäischen Konferenz der Datenschutzbeauftrag- ten wurde nach dem Festlegen eines ersten Verschiebedatums im Jahr 2021 sogar ganz verzichtet. Auch im Rah- men der OECD nahm der EDÖB die- ses Jahr an diversen virtuellen Veran- staltungen teil, so zum Beispiel zu den Themen «Data Governance and Pri- vacy Challenges in the Fight against COVID-19» und «Data Localisation and Trusted Government Access to Data». Finden inter nationale Treffen nur noch per Videokonferenz statt, leiden darunter natürlich die informellen Gespräche und direkten Kontaktknüp- fungen. Dafür konnten an den Video- konferenzen aufgrund der wegfallen- den Reise zeiten und Kosten mehr Datenschutzbehörden und Personen pro Behörde als sonst üblich teilneh- men. Die Wichtigkeit der internationa- len Dimension des Datenschutzes zeigte sich auch im vergangenen Geschäftsjahr. Aufgrund der interna- tionalen Tätigkeit von vielen Unter- nehmen, stellen sich heikle daten- schutzrechtliche Fragen namentlich bei der grenzüberschreitenden Über- mittlung von Personendaten, sei es direkt oder durch die Speicherung von Daten in Clouds und auf Servern im Ausland. Der EDÖB ist deshalb auf interna- tionaler Ebene weiterhin präsent und bringt sich in den internationalen Gremien aktiv ein. Dazu gehören ins- besondere der Europarat, die europäi- sche und die internationale Konferenz der Datenschutzbeauftragten, die französischsprachige Vereinigung der Datenschutzbehörden, die OECD sowie die Zusammenarbeit und Koor- dination der Datenschutzbehörden der Schengen Mitgliedstaaten und der Austausch mit dem Europäischen Datenschutzausschuss (EDSA). EUROPARAT Schutz der Privatsphäre des Kindes im digitalen Umfeld und Leitlinien zu Profiling sowie politischen Kampagnen Der Beratende Ausschuss zum Über- einkommen 108 befasste sich in seinen fünf Sitzungen u. a. mit der Ausarbei- tung von zwei vom Ministerkomitee 2021 verabschiedeten Dokumenten. Dabei handelte es sich einerseits um die Erklärung vom Schutz des Rechts von Kindern auf Privatsphäre im digitalen Umfeld und andererseits um die Anpassung der Empfehlung des Ministerkomitees betreffend Profiling. Weiter verabschiedete der Ausschuss Leitlinien zum Schutz natürlicher Personen bei der Verarbeitung perso- nenbezogener Daten durch und für politische Kampagnen. Wie im Geschäftsjahr zuvor, wurden die Sitzungen des beratenden Aus- schusses für das Übereinkommen zum Schutz des Menschen bei der Verarbei- tung personenbezogener Daten (Übereinkommen 108) im Jahr 2021 pandemiebedingt per Videokonferenz durchgeführt. Auch die Sitzungen von dessen Büro, in welchem eine Vertre- terin des EDÖB Einsitz hat, konnten nur virtuell stattfinden. Der Ausschuss befasste sich mit datenschutzrechtli- chen Fragen zu verschiedenen wichti- gen Themen. Gleichzeitig verabschie- dete er sein Arbeitsprogramm für die Datenschutz 57 29. Tätigkeitsbericht 2021/22
Jahre 202 2 bis 2025. Unter anderem nahm der Ausschuss zum Entwurf zum zweiten Zusatzprotokoll zum Übereinkommen des Europarates über Computerkriminalität (Budapester Übereinkommen) Stellung. Er unter- strich insbesondere die Wichtigkeit, ein Datenschutzregime zu finden, welches eine effiziente Strafverfolgung gewährleistet und gleichzeitig den Schutz der von der Datenbearbeitung Betroffenen fördert. Der Ausschuss war an den Vorar- beiten von zwei Dokumenten, welche das Ministerkomitee im Jahr 2021 ver- abschiedete, beteiligt. Dabei handelte es sich zum einen um die Erklärung des Ministerkomitees über den Schutz des Rechts von Kindern auf Privats- phäre im digitalen Umfeld. Diese war vom Lenkungsausschuss für die Rechte des Kindes des Europarates in Zusammenarbeit mit dem beratenden Ausschuss ausgearbeitet worden. Darin werden die Mitgliedstaaten auf- gefordert, den Schutz der Privatsphäre und der Personendaten von Kindern, insbesondere ihrer Gesundheitsdaten und der im Bildungsbereich erhobe- nen Daten zu verstärken. Dies vor allem auch in Zusammenhang mit der COVID-19-Pandemie, um die poten- ziell schädlichen Auswirkungen der öffentlichen Identifizierung eines an COVID-19 erkrankten Kindes zu verringern. Beim anderen Dokument ging es um die Empfehlung zum Schutz von Personen bei der Bearbeitung von Personendaten im Rahmen von Profi- ling. Diese sieht vor, dass die Achtung der Grund- rechte und Grundfreihei- ten im öffentlichen und im privaten Sektor bei allen Profiling- Vorgängen gewährleistet werden. Sie ersetzt eine frühere Erklärung aus dem Jahr 2010. Dabei berücksichtigt sie den technischen Fortschritt der vergange- nen Jahre und gleicht ihren Text an das modernisierte Übereinkommen 108 über den Datenschutz, bekannt als «Übereinkommen 108+», an. Mit seiner Erklärung «Impfungen, COVID-19-Bescheinigungen und Datenschutz» rief der Ausschuss die Bedeutung der Sicherstellung eines Gleichgewichts zwischen dem Schutz der Grundrechte und -freiheiten und den mit der Pandemie verbundenen Herausforderungen für die öffentliche Gesundheit in Erinnerung. Der Ausschuss verabschiedete auch Leitlinien zum Schutz natürlicher Personen bei der Verarbeitung perso- nenbezogener Daten durch und für politische Kampagnen. Diese regeln die Anwendung der modernisierten Datenschutzkonvention («108+») auf politische Kampagnen angesichts der zunehmenden Nutzung digitaler Kampagnenstrategien durch soziale Medien. Der Ausschuss hat zudem ent- schieden, den Standardvertrag des Europarates zur Gewährleistung eines angemessenen Schutzes im Zusam- menhang mit grenzüberschreitenden Datenflüssen zu aktualisieren. Die Arbeiten, bei welchen die Schweiz Berichterstatterin ist, befinden sich noch im Anfangsstadium. EUROPEAN CASE HANDLING WORKSHOP Verbesserte Zusammenarbeit der Datenschutzbehörden angestrebt Der EDÖB nahm traditionell wieder am European Case Handling Workshop teil. Dieser wurde dieses Mal von der Daten- schutzbehörde Gibraltar durchgeführt. Pandemiebedingt wurde die Veranstal- tung am 16. und 17. November 2021 virtuell durchgeführt. Über 120 Teil- nehmende von dreissig Datenschutz- behörden nahmen daran teil. Es wur- den Fragen im Zusammenhang mit der Meldung von Datenschutzverletzun- gen, der internen Bearbeitung von Beschwerden und der Durchsetzung von Massnahmen besprochen. Disku- tiert wurden zudem die Auswirkun- gen des Urteils des Europäischen Gerichtshofs, das gemeinhin als «Schrems II» bezeichnet wird. Ziel der Veranstaltung war es, die Zusammen- arbeit zwischen den Datenschutz- behörden zu verbessern und vor allem effizienter zu gestalten. Dieser Workshop zur Fallbearbei- tung ist von grossem praktischem Wert, insbesondere für kleinere Auf- sichtsbehörden. Er bietet eine Platt- form, über die die Behörden ihre Erfahrungen und Fachwissen austau- schen können. Im Hinblick auf das Inkrafttreten des neuen Datenschutz- gesetzes (s. Schwerpunkt I) und der darin vorgesehenen Amtshilfe wird dieser Austausch und Aufbau des Know-hows für den EDÖB wichtig werden. Der EDÖB hat sich deshalb auch anerboten, den European Case Handling Workshop im Herbst 2023 in der Schweiz durchzuführen. Datenschutz 58 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
GLOBAL PRIVACY ASSEMBLY OnlineTagung mit über neunzig Mitgliedern und Beobachtern Die 43. Tagung der Global Privacy Assembly (GPA), vormals Internationale Konferenz der Datenschutzbeauftrag- ten, fand vom 18. bis 21. Oktober 2021 statt und wurde pandemiebedingt zum zweiten Mal online abgehalten. Die virtuelle Konferenz wurde vom Nationalen Institut für Transparenz, Zugang zu Informationen und den Schutz personenbezogener Daten (INAI) in Mexiko organisiert. Unter dem Thema «Schutz von Privatsphäre und personenbezogenen Daten: ein menschenzentrierter Ansatz» setzten sich über neunzig Mitglieder und Beobachter mit den wichtigsten Her- ausforderungen auf dem Gebiet des Datenschutzes auseinander. Ein Grundrecht Zu Beginn der 43. geschlossenen Sit- zung der Global Privacy Assembly (GPA) würdigte die Datenschutzbe- auftragte des Vereinigten Königreichs, Elizabeth Denham, die gemeinsamen Bemühungen, die die Akteure auf dem Gebiet des Datenschutzes während der Pandemie zum Schutz der Privats- phäre unternommen haben, und rief die GPA auf, diese Dynamik aufrecht- zuerhalten. «Ziel dieser Konferenz ist es, den Schutz personenbezogener Daten in ein Grundrecht auf Schutz der Privats- phäre zu überführen», erklärte die Gastgeberin der Konferenz, Blanca Lilia Ibarra Cadena, Präsidentin und Beauftragte des Nationalen Instituts für Transparenz, Zugang zu Informa- tionen und den Schutz personenbezo- gener Daten Mexikos. Die geschlossene Sitzung beriet über Resolutionen, die der Konferenz anschliessend zur Genehmigung vorgelegt wurden. Dabei ging es um gemeinsame Standpunkte zu einer Reihe von aktuellen Schwerpunkt- themen: • gemeinsame Datennutzung für das Gemeinwohl • Rechte der Kinder im digitalen Raum • Datenzugriff durch Regierungen • Zukunft der GPA • internationale Zusammenarbeit im Gesetzesvollzug • Regulatory Sandboxes Neuer Strategieplan Die Teilnehmenden verabschiedeten einen neuen strategischen Zweijahres- plan für die GPA. Er sieht die Schaf- fung eines Umfelds vor, das den Datenschutzbehörden die konkrete Erfüllung ihres Auftrags ermöglicht: Gewährleistung von weltweit hohen Datenschutzstandards und Förderung sowie Erleichterung einer wirksamen Zusammenarbeit im regulatorischen Bereich. Die GPA gab auch die Gewinner der von ihr verliehenen Global Privacy and Data Protection Awards 2021 bekannt. Mit diesen internationalen Preisen werden Leistungen von Daten- schutzbeauftragten belohnt. Sie för- dern die Bekanntheit von wegweisen- den Untersuchungen, guten Praktiken und Initiativen zur Sensibilisierung der Öffentlichkeit. Datenschutz 59 29. Tätigkeitsbericht 2021/22
GPA-ARBEITSGRUPPE ENTWICKLUNGSHILFE Datenschutz in der internationalen Entwick lungshilfe Ein Jahr nach ihrer Einsetzung zog die Arbeitsgruppe über die Rolle des Schutzes personenbezogener Daten in der internationalen Entwicklungshilfe, in der internationalen humanitären Hilfe sowie bei der Krisenbewältigung (AG Entwicklungshilfe) eine erste Bilanz ihrer Tätigkeit. Die Arbeitsgruppe über die Rolle des Schutzes personenbezogener Daten in der internationalen Entwicklungs- hilfe, in der internationalen humanitä- ren Hilfe sowie bei der Krisenbewälti- gung wurde 2021 durch eine Resolu- tion der 42. Internationalen Jahreskon- ferenz der Datenschutzbeauftragten (Global Privacy Assembly, GPA) geschaffen. Sie steht unter der Leitung des EDÖB und zählt über zwanzig Mitglieder, die die geografische Vielfalt der GPA widerspiegeln. Während des ersten Jahres ihres Bestehens widmete sich die AG Ent- wicklungshilfe vorwiegend der Erstel- lung eines Arbeitsplans in Überein- stimmung mit den strategischen Prioritäten der GPA. Diese betreffen insbesondere: • den weltweiten Ausbau des Schut- zes der Privatsphäre • die Intensivierung der Beziehungen zu anderen internationalen Gremien und Netzwerken, die sich für Fort- schritte beim Datenschutz einset- zen, einschliesslich mittels Verein- barungen mit Gremien, die eine Beobachterrolle einnehmen • die Persönlichkeitsrechte und den sozialen Schutz sowie die demokra- tischen Rechte Allgemeine Zielsetzungen Im Sinne der Prioritäten der Resolu- tion setzten sich die Mitglieder der AG Entwicklungshilfe folgende grundle- gende Ziele: • auf die Bedürfnisse massgeblicher Akteure (z. B. Entwicklungsorgani- sationen, Hilfswerke) nach Zusam- menarbeit eingehen, um Leitlinien zu entwickeln sowie beste Praktiken auf dem Gebiet des Schutzes der Privatsphäre auszutauschen. Dabei sollen die spezifischen Gegebenhei- ten der internationalen Entwick- lungshilfe und humanitären Hilfe berücksichtigt werden sowie das Bedürfnis, die jeweiligen Tätigkeiten zu unterstützen • Entwicklung einer Strategie der Anwaltschaft und der Mobilisierung bei den massgeblichen Akteuren Um diese zwei Ziele zu erreichen, will die AG Entwicklungshilfe Folgendes unternehmen: • das Verständnis der internationalen Entwicklungshilfe, der internatio- nalen humanitären Hilfe sowie der Krisenbewältigung vertiefen • einen ständigen Austausch mit den massgeblichen Akteuren schaffen, sowohl auf bilateraler als auch auf multilateraler Ebene, um die Bezie- hungen zu den Akteuren der inter- nationalen Entwicklungshilfe zu verstärken und der Stimme der GPA maximales Gehör zu verschaffen • zusammen mit den anderen Arbeits- gruppen der GPA Unterlagen und Tools für eine bessere Einbindung des Datenschutzes in den betreffen- den Bereichen erarbeiten • die Integration in die internationale Datenschutzgemeinschaft jener Empfängerländer vorantreiben und fördern, die über kein Regelwerk zum Schutz personenbezogener Rechte sowie der Privatsphäre ver- fügen Im Rahmen dieser Tätigkeiten nah- men die Mitglieder der AG Entwick- lungshilfe eine Kartierung der interna- tionalen Entwicklungshilfe und der internationalen humanitären Hilfe vor. Zudem identifizierten sie die Empfän- gerländer, in denen ein Regelwerk zum Schutz personenbezogener Rechte sowie der Privatsphäre fehlt. Um sich ein genaueres Bild über die Arbeit der betreffenden Akteure machen zu kön- nen, erstellte die AG Entwicklungs- hilfe einen Fragebogen mit dazugehö- rigem Begleitbrief. Datenschutz 60 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
SCHENGEN INFORMATIONSSYSTEME Aufsichtskoordinations gruppen SIS II, VIS und Eurodac Die SIS- und die VIS-Aufsichtskoordi- nierungsgruppe verabschiedeten ein gemeinsames Schreiben zum Gesetz- gebungsvorschlag der EU-Kommission zur Anpassung des Schengen-Evaluie- rungsmechanismus. Wie schon im Vorjahr mussten die beiden Sitzungen der drei Aufsichts- koordinationsgruppen über die EU- Informationssysteme SIS II, VIS (Vor- sitz EDÖB) und Eurodac aufgrund der COVID-Situation per Videokonferenz durchgeführt werden. Diese fanden am 16./17. Juni 2021 sowie am 2 4./25. November 2021 statt. Vertreten waren der europäische Datenschutzbeauf- tragte (EDSB) sowie die nationalen Datenschutzbehörden der Mitglied- staaten. Die VIS Aufsichtskoordinierungs- gruppe verabschiedete einen Frage- bogen zur vorzeitigen Löschung der Daten. Eine vorzeitige Löschung hat zu erfolgen, wenn eine Person die Staats- angehörigkeit eines Mitgliedstaates erlangt und damit kein Schengen- Visum mehr benötigt. Die Daten- schutzbehörden der Mitgliedstaaten sind nun aufgefordert, den Fragebogen auf nationaler Ebene ausfüllen zu lassen, um die Umsetzung der vorzei- tigen Löschung in den verschiedenen Staaten zu überprüfen. An der Novembersitzung haben die SIS- und die VIS-Aufsichtskoordinie- rungsgruppe ein gemeinsames Schrei- ben zum Gesetzgebungsvorschlag der EU-Kommission zur Anpassung des Schengen Evaluierungsmechanismus verfasst und verabschiedet. Darin wurde insbesondere auf die Wichtig- keit hingewiesen, bei den Schengen- Evaluierungen im Bereich Daten- schutz vor allem Experten aus den Datenschutzbehörden beizuziehen. Gleichzeitig wurde vermerkt, dass die Aufbietung der Experten früher als vorgesehen erfolgen sollte, nämlich vier Monate vorher und nicht bloss elf Wochen. Dieses Schreiben wurde an den Rat, die Kommission und das Parlament der europäischen Union geschickt. Die Eurodac SCG hat zusammen mit der Agentur der Europäischen Union für Grundrechte (FR A: Eng- lisch European Union Agency for Funda mental Rights) zum Recht auf Information einen Leitfaden für Behörden bei der Abnahme von Fin- gerabdrücken für Eurodac verabschie- det. Dieses wurde in der Schweiz den zuständigen Behörden verteilt und auf verschiedenen Internetseiten ver- öffentlicht. VEREINIGTES KÖNIGREICH Brexit – Angemessenheit des Datenschutzes Keine Änderungen am Status der Angemessenheit des Vereinigten Königreichs (UK) aus Schweizer Sicht: Es ist auf der Staatenliste des EDÖB nach wie vor als Land mit einem gleichwertigen Datenschutz auf- geführt. Datenschutz 61 29. Tätigkeitsbericht 2021/22
VIDEOKONFERENZ-SYSTEME Best Practices der Datenschutzbehörden Seit dem Beginn der Pandemie haben Behörden und private Unternehmen vermehrt Videokommunikationsplatt- formen eingesetzt. Der EDÖB hat in Zusammenarbeit mit fünf Daten- schutzbehörden anderer Staaten den Videokonferenzfirmen Microsoft, Google, Cisco und Zoom die Gelegen- heit gegeben, ihre Konferenzplatt- formen vorzustellen und mit den Behörden in einen offenen Dialog zu treten. Beim Austausch mit den Videokonfe- renzfirmen standen für die Behörden Themen wie «Security», «Privacy by design and default», «Know your audience» oder «Transparency» im Fokus. Der Dialog hat sich für alle Sei- ten vorteilhaft erwiesen. Es ist daraus ein Statement mit möglichen «Best Practices» hervorgegangen, welche auf der Website des EDÖB zur Verfügung steht. Ein paar ausgewählte Mass- nahmen werden hier wiedergegeben (s. Box) Es ist ausserdem wichtig, dass die Anbieter von Videokonferenzdiensten Vertrauen zu ihren Nutzern aufbauen, indem sie Informationen über diese nur so bearbeiten, wie diese es aus den Datenschutz 62 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
Umständen heraus erwarten dürfen. Personendaten sollten dabei nur soweit erfasst werden, als diese für die Verwendung der Kernfunktionen des Videokonferenzdienstes erforderlich sind. Dabei sollte den Nutzern gegen- über völlig transparent dargestellt werden, wo die Daten gespeichert und über welche Kanäle sie transportiert werden. Es sollte den Nutzern ausser- dem die Wahl gelassen werden, über welche Standorte ihre persönlichen Daten weitergeleitet und wo sie gespeichert werden. Das auf der Website publizierte Dokument ist nicht abschliessend, und Unternehmen mit entsprechen- den Angeboten müssen zudem die in der Schweiz geltenden Datenschutz- bestimmungen und die Ausführungen des EDÖB zur Übermittlung von Daten ins Ausland beachten. Sicherheit • Regelmässige Tests der Sicherheits- massnahmen sind unerlässlich, um sicherzustellen, dass sie trotz sich ständig weiterentwickelnden Bedrohungen zuverlässig bleiben • Schulung der Mitarbeitenden zum Thema Datenschutz und Sicherheit sollten regelmässig erfolgen • Regelmässige Audits Dritter, ein- schliesslich der Protokollierung des Zugriffs von Unterauftragsverar- beitern auf personenbezogene Daten und der Grundsatz des geringsten Privilegs bei der Zugangskontrolle sollten durchgeführt werden Transparenz • Die Nutzer sind darüber zu informie- ren, wie und warum ihre Daten erfasst und verwendet werden • Die Nutzer müssen klar darüber infor- miert werden, an wen ihre Daten weitergegeben werden und warum Ansätze von Privacy by design und default • Vor der Implementierung neuer Video- konferenz-Lösungen und -Funktionen sollen Datenschutz-Folgenabschät- zungen durchgeführt werden und ein regelmässiger Kontakt zwischen Datenschutz-, Sicherheits- und Entwicklungsteams sichergestellt werden • Der Grundsatz der Datenminimierung ist einzuhalten • Videokonferenzfirmen sollten die Einstellungen für ihren Dienst standard mässig auf den höchsten Datenschutzstandard einstellen Know your audience • Videokonferenzfirmen müssen robuste Datenschutz- und Sicher- heitsvorkehrungen treffen, um perso- nenbezogene Daten in sensibleren Umgebungen wie beispielsweise im Bildungs- und Gesundheitswesen angemessen zu schützen • Massgeschneiderte Datenschutz- und Sicherheitsanleitungen für bestimmte Gruppen sind notwendig, damit die Sicherheitsanforderungen bei der Nutzung eines Videokonfe- renzdienstes für alle Nutzer sicherge- stellt sind und diese die für sie am besten geeigneten Einstellungen und Funktionen auswählen können End to End Verschlüsselung • Es sollte eine End-to-End-Verschlüs- selung angestrebt werden, bei der der Gastgeber der Sitzung den Schlüssel erstellt und nur er und die Teilneh- menden Zugang zu den entsprechen- den Daten haben • Eine standardmässige Verwendung von End-to-End-Verschlüsselung in sensiblen Einzelgesprächen, wie zum Beispiel im Bereich der Telemedizin, ist wichtig Datenschutz 63 29. Tätigkeitsbericht 2021/22
Datenübermittlung mit Auslandbezug STANDARDVERTRAGSKLAUSELN (SCC) Übermittlung von Personendaten in ein Land ohne angemessenes Datenschutzniveau Der EDÖB hat in seiner Stellungnahme vom 27. August 2021 die EU-Standardvertragsklauseln als Grundlage für Perso- nendatenübermittlungen in Länder ohne angemessenes Datenschutzniveau anerkannt. Für die Verwendung unter Schweizer Datenschutzrecht hat er entsprechende Anpas- sungen und Ergänzungen vorgesehen. Das schweizerische Datenschutzgesetz sieht vor, dass Per- sonendaten nicht in Länder übermittelt werden dürfen, die kein angemessenes Datenschutzniveau vorsehen. Ausnah- men sind möglich, wenn ein angemessener Schutz im Ziel- land beispielsweise durch Vertrag gewährleistet werden kann. Ob vertragliche Vereinbarungen tatsächlich tauglich sind, um einen geeigneten Schutz der zu übermittelnden Personendaten zu gewährleisten, muss im konkreten Anwendungsfall geprüft werden. Der EDÖB stellt dazu eine Anleitung für die Prüfung der Zulässigkeit von Datenüber- mittlungen mit Auslandbezug auf seiner Webseite zur Ver- fügung. Kommt eine vertragliche Absicherung für einen Trans- fer im Grundsatz in Frage, stellen die von der Europäischen Kommission mit Durchführungsbeschluss (EU) 2021/91 4 vom 4. Juni 2021 verabschiedeten Standard vertragsklauseln (Standard Contractual Clauses, SCC) ein probates Mittel dar. Der EDÖB hat mit seiner Stellungnahme vom 27. August 2021 diese neuen, auf die Datenschutz-Grundverordnung der Europäischen Union (DSGVO) verweisenden SCC inklusive sämtlicher Module anerkannt, mit dem Vorbehalt, dass sie im konkreten Anwendungsfall nötigenfalls ange- passt und/oder ergänzt werden. Dazu erläutert der EDÖB, dass nach Auswahl des konkret vorliegenden Szenarios (Datenexporteur und Datenimporteur können sowohl Ver- antwortlicher wie auch Auftragsverarbeiter sein), festge- stellt werden muss, welchem Recht die Datenübermittlung untersteht: nur dem schweizerischen Datenschutzrecht oder sowohl dem schweizerischen wie auch dem Europäi- schen Datenschutzrecht. Aus dieser Unterscheidung erge- ben sich verschiedene Anpassungen am Vertrag, insbeson- dere in Bezug auf die zuständige Aufsichtsbehörde, das anwendbare Recht für vertragliche Ansprüche und den Gerichtsstand. Details finden sich in der Stellungnahme des EDÖB auf dessen Webseite. Die Nutzung der anerkannten SCC müssen dem EDÖB nach geltendem Recht vor der Bekanntgabe gemeldet wer- den. Mit dem revidierten Datenschutzgesetz wird diese Meldepflicht entfallen. 64 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Schwerpunkt II
DATENÜBERMITTLUNG INS AUSLAND Prüfungsschema zur Zulässigkeit nach Art.6 Abs.2 lit.a DSG Im Nachgang des Positionspapiers zum Privacy Shield Regime vom 8. September 2020 hat der EDÖB eine Anleitung für die Prüfung der Zulässigkeit von Datenübermittlungen mit Auslandbezug nach Art. 6 Abs. 2 lit. a DSG publiziert. Sind die vertraglichen Garantien und allfällige weitergehende Schutzmassnahmen nicht ausreichend, ist der Datentrans- fer ins Ausland rechtswidrig. Die vom EDÖB auf seiner Webseite publizierte Anleitung soll Verantwortlichen die Prüfung der Zulässigkeit von Datenübermittlungen ins Ausland erleichtern. Anhand dieses Schemas und einem angehängten Fragenbogen erläu- tert sie den Anwendungsfall des Datentransfers, wenn im Zielland eine Gesetzgebung fehlt, die einen angemessenen Schutz gewährleistet, und dieser Mangel somit durch andere hinreichende Garantien ausgeglichen respektive eliminiert werden muss (Art. 6 Abs. 2 lit. a DSG). Wenn ein Land auf der Staatenliste des EDÖB als nicht angemessen beurteilt ist oder aber der Schutz für die fragliche Datenübermittlung nicht greift, muss der Expor- teur nach Analyse seines konkret beabsichtigten Daten- transfers weitere Massnahmen wie z. B. vertragliche Rege- lungen mit dem Importeur vorsehen. In der Regel werden dies Standard Contractual Clauses (SCC) sein (s. Artikel linke Seite). Bei der Anwendung von SCC ist zu prüfen, ob diese allenfalls für sich allein nicht genügen, etwa, weil nicht adäquate Regeln des für den Vertragspartner anwendbaren Rechts vorgehen. In diesen Fällen ist abzuklären, ob die vier grundrechtlich verankerten Garantien (Legalitätsprinzip, Verhältnismässigkeitsprinzip, Möglichkeit der Ergreifung eines Rechtsmittels und die Rechtsweggarantie) im anwendbaren ausländischen Recht gewährleistet sind. Als Orientierungshilfe hat der EDÖB der Anleitung einen auf das Recht der USA zugeschnittenen Fragen katalog ange- hängt, der sich an entsprechende Fragebögen der Nichtre- gierungsorganisation von Maximilian Schrems «My Privacy Is None Of Your Business» (noyb) anlehnt. Werden sämtliche vorausgesetzten Garantien durch das Recht, welchem die Vertragspartei ausgesetzt ist, gewähr- leistet, genügen die SCC, sofern sich nicht weitere vertrag- liche Schutzmassnahmen aufdrängen. Dies könnten bspw. Regelungen sein, die die Betroffenenrechte stärken (z. B. Auskunftsrecht) oder bestimmte technische Massnahmen als Bedingung für eine Datenübermittlung. Sind diese Garantien in der für den Vertragspartner anwendbaren Rechtsordnung hingegen nicht kumulativ erfüllt, muss der Exporteur weitere vertragliche sowie orga- nisatorische und/oder insbesondere technische Schutz- massnahmen prüfen. Kann durch solche Massnahmen der fehlende Schutz nicht ausgeglichen werden, ist der Daten- transfer ins Ausland rechtswidrig und somit umgehend auszusetzen bzw. zu beendigen. 65 29. Tätigkeitsbericht 2021/22 Schwerpunkt II
CLOUD-STRATEGIE DES BUNDES Risiken und Voraussetzungen der behördlichen Nutzung von Public Clouds Auch in der aktuellen Berichtsperiode hat sich der EDÖB intensiv mit der Thematik des Cloud-Computings beschäf- tigt. Er hat in Ämterkonsultationen und bei der Beratung einer Arbeitsgruppe der Bundesverwaltung auf die Risiken und Voraussetzungen einer behördlichen Auslagerung von Personendatenbearbeitungen an Public-Cloud-Anbieter hin- gewiesen. Im Zusammenhang mit der Interpellation Andrey vom 16. September 2021 («Vergabe von Public Cloud Diensten an amerikanische und chinesische Unternehmen») wies der EDÖB den Bereich Digitale Transformation und IKT-Len- kung (DTI) der Bundeskanzlei darauf hin, dass selbst der erwogene «treuhänderische» Bezug der Clouddienste von europäischen Filialen die Anwendbarkeit problematischer ausländischer Rechtsvorschriften und mithin das Risiko unverhältnismässiger Behördenzugriffe nicht immer auszu- schliessen vermag. Er führte ausserdem aus, dass neben der Gewährleistung der Datensicherheit auch sichergestellt werden muss, dass der Cloud-Anbieter das Amtsgeheimnis wahren kann. Schliesslich betonte der EDÖB, dass unab- hängig vom Zielort die Auslagerung von Personendaten an Dritte stets die Risiken für die Integrität, Verfügbarkeit und Vertraulichkeit der Daten erhöht, weshalb eine Risikofol- genabschätzung vorzunehmen ist. Der EDÖB äusserte sich auch im Zusammenhang mit der Interpellation Marti vom 30. September 2021 («Cloud- dienste von Microsoft») gegenüber dem DTI, wobei er festhielt, dass mit Blick auf die laufenden Arbeiten der Ver- waltung die wegleitenden Entscheide zum Einsatz der Clouddienste von Microsoft oder anderer Anbieter erst nach einer Rechtsgrundlagenanalyse, der Erstellung eines Infor- mationssicherheits- und Datenschutzkonzepts sowie einer Risikoanalyse, die auch die Datenschutz risiken beinhaltet, getroffen werden können. Wir betonten die Notwendig- keit, alternative Angebote zu prüfen, angesichts der Tatsa- che, dass neben Telemetrie- und Benutzerdaten auch Text- inhalte potenziell in der Cloud gespeichert werden. In die- sem Zusammenhang erinnerten wir an die datenschutz- rechtlichen Anforderungen, die eine Pflicht zu technischen Massnahmen begründen können, um unverhältnismässige Behördenzugriffe im Zielland faktisch zu verhindern. Der EDÖB nahm ausserdem beratend an den Sitzungen einer durch die Sektion Recht der BK geleiteten ad-hoc Arbeitsgruppe zum Bericht «Rechtsrahmen für die Cloud» teil. Der Bericht ist Teil der Cloud-Strategie der Bundesver- waltung und soll die Rechtslage zur Nutzung von Public Clouds durch die Bundesverwaltung klären. Angesichts der Geschwindigkeit, mit der auf Cloud-Computing-Lösungen basierende Projekte der Bundesverwaltung derzeit Gestalt annehmen, ist diese Klärung der Rechtslage dringend nötig. Derzeit ist der EDÖB wie die übrigen Datenschutzbe- hörden in Europa daran, bezüglich der behördlichen Ausla- gerung von Personendatenbearbeitungen namentlich an US-Anbieter von Public Cloud Diensten eine Praxis zu ent- wickeln. Obwohl in der Schweiz weder das Recht der EU noch die Urteile des EuGH anwendbar sind, trägt der EDÖB bei der Konkretisierung seiner Praxis der europäische Rechtsentwicklung insofern Rechnung, als er bei der Anwendung der Datenschutzgesetzgebung des Bundes – angesichts der gegenseitigen Angemessenheitsbeschlüssen der EU und der Schweiz – ein mit der EU vergleichbares Datenschutzniveau anstrebt. In diesem Zusammenhang ist auch beachtlich, dass die Präsidentin der Europäischen Kommission und der Präsident der USA Ende März 202 2 ihre gemeinsame Absicht kundgetan haben, das vom EuGH kassierte Rahmenwerk «Privacy Shield» (s. 28. TB, Schwer- punkt II) bald durch eine verbesserte Regelung ablösen zu wollen. 66 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Schwerpunkt II
SCHREMS II Europäischer Datenschutzausschuss (EDSA), Borders, Travel & Law Enforcement Subgroup (BTLE ESG) Der EDÖB nimmt die Gelegenheit wahr, sich im Europäi- schen Datenschutzausschuss (EDSA) primär in Schengen- fragen einzubringen und sich dabei mit den anderen euro- päischen Behörden auszutauschen. Im Fokus standen wäh- rend der Berichtsperiode die Auswirkungen von Schrems II und die Reaktion der Datenschutzbehörden auf diese Rechtsprechung. Der EDÖB war vor allem in der ersten Hälfte der Berichts- periode in der Borders, Travel & Law Enforcement Subgroup (BTLE ESG) tätig. Diese Arbeitsgruppe beschäftigte sich intensiv mit der Schrems II Problematik und erarbeitete die Empfehlungen für den EDSA. Die Plenartagung des EDSA ver- abschiedete im Juni 2021 nach erfolgter öffentlicher Konsul- tation eine endgültige Fassung der Empfehlungen zu ergän- zenden Massnahmen. Sie zielen darauf ab, Verantwortliche und Auftragsdatenbearbeiter, die als Datenexporteure fun- gieren, bei der Ermittlung und Durchführung geeigneter zusätzlicher Massnahmen zu unterstützen. Solche können erforderlich sein, um ein der Sache nach gleichwertiges Schutzniveau für die an Drittländer übermittelten Personen- daten zu gewährleisten. Der EDÖB veröffentlichte am 18. Juni 2021 eine auf schwei- zerischem Recht basierende Anleitung für die Prüfung von Datenübermittlungen mit Auslandbezug (vgl. vorangehen- den Artikel «Prüfungsschema zur Zulässigkeit nach Art. 6 Abs. 2 lit. a DSG»). 67 29. Tätigkeitsbericht 2021/22 Schwerpunkt II
Öffentlichkeitsprinzip
Das Öffentlichkeitsgesetz soll die Transparenz über den Auftrag, die Organisation und die Tätigkeit der Verwaltung fördern. Zu diesem Zweck trägt es zur Information der Öffent- lichkeit bei, indem es den Zugang zu amtlichen Dokumenten gewährleistet (vgl. Art. 1 BGÖ). Das Öffentlichkeits- prinzip soll das Vertrauen in Staat und Behörden fördern, indem es das Verwaltungshandeln nachvollziehbar macht und dadurch die Akzeptanz staatlichen Handelns erhöht. Die von der Bundesverwaltung gelieferten Zahlen zu den im Jahr 2021 eingegangenen Gesuchen um Zugang zu amtlichen Dokumenten lassen erkennen, dass das Bedürfnis von Medien und Gesellschaft nach spezifi- scher, transparenter Information wei- terhin gross ist. Im Berichtsjahr sind erneut mehr Zugangsgesuche bei den Bundesbehörden eingereicht worden als im Vorjahr. Die mitunter umfang- reichen und komplexen Anfragen betrafen dabei auch im zweiten Pande- miejahr in beinahe jedem vierten Fall amtliche Dokumente im Zusammen- hang mit dem Coronavirus. Die Bearbeitung der Zugangsgesuche generierte in vielen Fällen einen gros- sen Ressourcenaufwand, nicht zuletzt, weil oftmals eine amts- oder departe- mentsübergreifende Koordination notwendig war. Insgesamt zeigte sich, dass die Umsetzung des Öffentlich- keitsprinzips in Pandemiezeiten anspruchsvoll und herausfordernd bleibt. Aus den nachfolgenden Zahlen (s. Kap. 2.2) ist zu entnehmen, dass die in den letzten Jahren festgestellten Tendenzen – eine stetige Zunahme der Zugangsgesuche und ein konstant hoher Anteil an Fällen, in welchen der Zugang vollständig gewährt wird – auch für das Berichtsjahr bestätigt werden kann. Sind die gesuchstellenden Parteien oder von der Zugangsgewährung betroffene Dritte mit der von den Behörden beabsichtigten Zugangsge- währung nicht einverstanden, bietet das Öffentlichkeitsgesetz diesen die Möglichkeit, beim Beauftragten einen Antrag auf Schlichtung einzureichen. Auch hier ist eine eindeutige Tendenz erkennbar: Der Beauftragte verzeich- net im Berichtsjahr 1 49 eingegangene Schlichtungsanträge, was im Vergleich zum Vorjahr einen Anstieg von 60 Prozent bedeutet. Ziel des Schlichtungsverfahrens ist die rasche Einigung zwischen den Beteiligten. Die zu diesem Zweck mit dem Pilotversuch im Jahr 2017 ein- geführten Massnahmen und insbeson- dere das Primat der mündlichen Schlichtungsverhandlungen haben sich auch im 2021 bewährt. Die Aus- wertung der im Berichtsjahr 2021 abgearbeiteten Schlichtungsanträge ergibt, dass in jenen Fällen, in welchen eine Schlichtungssitzung durchge- führt werden konnte, in 67 Prozent eine einvernehmliche Lösung resul- tierte. Demgegenüber konnte in den 40 Schlichtungsverfahren, in welchen pandemiebedingt auf eine Schlich- tungssitzung verzichtet werden musste, nur in fünf Prozent der Fälle eine Einigung erzielt werden. Nach- dem der Bundesrat am 13. Januar 2021 angesichts der angespannten epide- miologischen Lage unter anderem die Homeoffice-Pflicht eingeführt und Menschenansammlungen im öffentli- chen Raum auf fünf Personen beschränkt hatte, wirkte sich dies auch unmittelbar auf die Art der Durchfüh- rung der Schlichtungsverfahren aus. 2.1 Allgemein 70 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Öffentlichkeitsprinzip
So sah sich der Beauftragte veranlasst, im Zeitraum zwischen Januar und Juni 2021 auf die Durchführung von Schlichtungssitzungen mit physischer Anwesenheit der Beteiligten zu ver- zichten. Demzufolge mussten für zahlreiche Fälle schriftliche Schlich- tungsverfahren durchgeführt werden. Dies führte im Berichtsjahr nicht nur zu einem geringeren Anteil an einver- nehmlichen Lösungen, sondern auch zu einer längeren Bearbeitungsdauer der Schlichtungsverfahren und einem damit verbundenen Rückstau bei der Erledigung der Verfahren (s. Kap. 2.3). Damit unterstreichen die ausge- werteten Zahlen deutlich, dass die Durchführung von Schlichtungssit- zungen vor Ort mit Anwesenheit der Beteiligten zur raschen Erledigung der Verfahren beiträgt. Jedoch führen die seit Jahren tendenziell steigende Zahl an Schlichtungsanträgen und die zunehmende Komplexität der Anfra- gen auch dazu, dass der Beauftragte bei einem ansteigenden Anteil der Verfah- ren die gesetzliche Erledigungsfrist von 30 Tagen überschreitet. Der Beauftragte geht davon aus, dass sich diese negative Entwicklung ohne zusätzliche Ressourcen weiter verschärfen und die vom Gesetzgeber verlangte rasche Verfahrensabwick- lung weiter ins Hintertreffen geraten wird (s. dazu die näheren Informatio- nen in Kapitel 2.3). Verträge zur Beschaffung von COVID19Impfstoffen Grosse öffentliche Aufmerksamkeit erfuhr die auf einen Schlichtungsantrag aus dem Berichtsjahr zurückgehende Empfehlung des Beauftragten vom 18. Januar 2022. Er empfahl dem BAG, den Zugang zu den Verträgen zur Beschaffung von COVID-19-Impfstoffen nach Anhörung der betroffenen Pharma- unternehmen und unter Beachtung des Verhältnismässigkeitsprinzips zu gewäh- ren. In seiner eingehend begründeten Empfehlung wies der Beauftragte darauf hin, dass er bei einer wiederholten Beur- teilung von Ausnahmen zur Begründung des Aufschubs des Zugangs veränder- ten Verhältnissen Rechnung zu tragen habe. Unter anderem weil das BAG selbst darlegte, dass die anfänglich vorhan- dene Knappheit an Impfstoffen inzwi- schen weggefallen sei, bestand für den Beauftragten kein hinreichender Grund mehr, die Bearbeitung der eingegange- nen Zugangsgesuche weiter aufzu- schieben. Dies auch mit Blick auf den Umstand, dass die damit notwendig werdende Anhörung der Pharmaunter- nehmen längere Zeit in Anspruch neh- men dürfte. Diese Empfehlung des Beauftragten steht im Einklang mit dem Entscheid des Parlaments, von der vom Nationalrat gewünschten spezialge- setzlichen Verankerung einer Publikati- onspflicht für die fraglichen Impfstoff- verträge abzusehen. Mangels Verab- schiedung dieser Spezialregelung gilt – wie dies auch aus den ständerätlichen Beratungen hervorgeht – das Öffent- lichkeitsgesetz. In Anwendung eben dieses Gesetzes hat der Beauftragte denn auch die Gewährung des vom BAG aufgeschobenen Zugangs empfohlen. 71 29. Tätigkeitsbericht 2021/22 Öffentlichkeitsprinzip
Gemäss den Zahlen, die von den Bun- desbehörden gemeldet wurden, gingen im Berichtsjahr 1385 Zugangsgesuche ein (2020 waren es 1193 Gesuche); dies entspricht einer Steigerung um 16 Pro- zent gegenüber 2020. In 694 Fällen (50 Prozent) gewährten die Behörden einen vollständigen Zugang (gegen- über 610 bzw. 51 Prozent im Jahr 2020), währenddem bei 32 4 Gesuchen (23 Prozent) ein teilweiser respektive aufgeschobener Zugang zu den Doku- menten genehmigt wurde (Vorjahr: 293 Gesuche resp. 25 Prozent). In 126 Fäl- len (neun Prozent) wurde die Einsicht- nahme vollständig verweigert (gegen- über 108 bzw. neun Prozent im Jahr 2020). Nach Angaben der Behörden wurden 48 Zugangsgesuche zurückge- zogen (gegenüber 35 bzw. drei Prozent im Jahr 2020), 78 Gesuche waren Ende 2021 noch hängig, und in 115 Fällen war kein amtliches Dokument vorhan- den. Zu den höheren Zahlen an einge- reichten Zugangsgesuchen hat auch beigetragen, dass die Bevölkerung über Medienberichte immer bessere Kennt- nisse über das Öffentlichkeitsprinzip erlangt und dessen Möglichkeiten vermehrt auch aktiv nutzt. Es ist davon auszugehen, dass diese Tendenz auch in den kommenden Jahren anhal- ten wird. Ein weiterer Grund für die gestie- gene Zahl der Zugangsgesuche ist im Informations- und Transparenzbe- dürfnis zu finden, welches mit den im Zuge der Coronapandemie eingeführ- ten Massnahmen einherging. Die Behörden konnten die Zugangsgesu- che für «Corona-Dokumente» statis- tisch erfassen und dem Beauftragten zusammen mit den jährlich zu melden- den Angaben übermitteln (s. Statistik Zugangsgesuche 2021 mit Corona- Bezug). Gemäss Angaben der Bundes- behörden wiesen 336 von den insge- samt 1385 Zugangsgesuchen (2 4 Prozent) einen Bezug zu Corona auf. Dabei zeigt sich, dass der vollständige Zugang in 121 Fällen (36 Prozent) und damit im Vergleich zur Gesamtstatistik weniger oft gewährt wurde. Während die Behörden in 131 Fällen (39 Prozent) und damit in Bezug auf Corona-Doku- mente öfter den Zugang teilweise gewährt oder aufgeschoben haben, kann hinsichtlich der 13 Fälle der vollstän- digen Zugangsverweigerung (vier Prozent) ein um die Hälfte tieferer An teil im Verhältnis zur Gesamtstatistik festgestellt werden. Achtzehn Zugangs- gesuche wurden zurückgezogen, 29 Gesuche waren Ende 2021 noch hängig und in 2 4 Fällen war kein amt- liches Dokument vorhanden. Es ist damit zu rechnen, dass die gesell- schaftliche Aufarbeitung der behörd- lichen Massnahmen gegen die Pande- mie über den Zeitpunkt der erhofften Überwindung der Gesundheitskrise hinaus andauern wird, sodass im Jahre 202 2 weitere Zugangsgesuche und Schlichtungsanträge mit Bezügen zur Pandemie eingehen dürften. Zusammenfassend stellt der Beauf- tragte fest, dass seit 2015 in mindes- tens 50 Prozent der Fälle ein vollstän- diger Zugang zu den Dokumenten gewährt wird und sich die vollständi- gen Zugangsverweigerungen im Laufe der Jahre auf knapp zehn Prozent ein- pendelten. Departemente und Bundesämter Einzelne Verwaltungseinheiten stan- den im Jahr 2021 und damit im zwei- ten Jahr der Coronapandemie wiede- rum besonders im Fokus der Medien und der Gesellschaft. Aufgabenbedingt sahen sich insbesondere das EDI sowie das VBS mit einer grossen Anzahl von Zugangsgesuchen konfrontiert. Im Fall des EDI richteten sich departe- mentsübergreifend 63 Prozent der Gesuche auf den Zugang zu amtlichen Dokumenten mit Corona-Bezug. Gemäss den Behörden handelte es sich dabei teilweise um sehr umfangreiche und komplexe Gesuche. In einer Vielzahl von Fällen war auch eine auf- wändige verwaltungsinterne Koordi- nation zwischen Ämtern oder Depar- tementen notwendig. Für diese Behör- den war der Bearbeitungsaufwand im Vergleich zur Zeit vor Corona höher, was sich – wie erwähnt – auch im Jahr 202 2 noch fortsetzen könnte. 2.2 Zugangsgesuche – erneute Zunahme im 2021 72 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Öffentlichkeitsprinzip
Auf Stufe Amt zeigen die gemeldeten Zahlen, dass das BAG mit 251 Fällen im Berichtsjahr am meisten eingegan- gene Zugangsgesuche meldete, wovon alleine 217 Corona-relevante Doku- mente betrafen. Danach folgen das BA SPO mit 172, swissmedic mit 72 sowie das BAFU mit 64 Gesuchen. Bei den Departementen liegen das EDI (42 2), das VBS (281) und das EDA (156) an der Spitze. Dreizehn Behörden meldeten, dass im Berichtsjahr bei ihnen kein Zugangsgesuch eingegan- gen ist. Der Beauftragte selbst sah sich mit 16 Zugangsgesuchen konfrontiert, wobei er den Zugang in sieben Fällen vollständig gewährte. In zwei Fällen wurde der Zugang teilweise gewährt respektive aufgeschoben und in zwei Fällen vollständig verweigert. Fünf Zugangsgesuche waren Ende 2021 noch hängig. Der 2021 für den Zugang zu amtli- chen Dokumenten erhobene Gebüh- renbetrag beläuft sich auf insgesamt CHF 1 4 92 4.90 und liegt damit nur wenig unter der Vorjahressumme (CHF 15 189.30). Während das EDA, das UV EK, die Parlamentsdienste und die Bundesanwaltschaft überhaupt keine Gebühren erhoben, verrechne- ten die übrigen fünf Departemente resp. die Bundeskanzlei den Gesuchs- tellenden einen Teil ihres Zeit- aufwands (EDI: CHF 7665.20; W BF: CHF 4052.70; BK: CHF 1150; VBS: CHF 950; EFD: CHF 750; EJPD: CHF 35 7). Dazu sei vermerkt, dass lediglich bei 19 der 1385 eingereichten Zugangsgesuche eine Gebühr erhoben wurde. Gegenüber dem Vorjahr, in dem in 25 Fällen eine Gebühr verlangt Grafik 1: Beurteilung Zugangsgesuche – Entwicklung seit 2008 2010200920082011201220132014201520162017201820202021 1385 (+16 % gegenüber Vorjahr) 694 (+14 % ) 324 (+11 % ) 126 (+17 % ) 48 (–37 % ) 2019 0 300 600 900 1200 1500 RückzugZugang teilweise gewährt/aufgeschobenZugang verweigert Total Gesuche Zugang gewährt 73 29. Tätigkeitsbericht 2021/22 Öffentlichkeitsprinzip
wurde, stellt dies – sowohl in Bezug auf die Anzahl Fälle, in welchen eine Gebühr erhoben wurde, wie auch bezüglich des Gesamtbetrages der Gebühren – einen Rückgang dar. Dies ist insofern bemerkenswert, als die Anzahl der Zugangsgesuche merklich zugenommen hat. Wie bereits in den Vorjahren stellt die Erhebung von Gebühren damit weiterhin eine Aus- nahme dar: Über 98 Prozent der Zugangsgesuche sind gebührenfrei. Die auch im Berichtsjahr gelebte Ver- waltungspraxis, wonach amtliche Dokumente grundsätzlich kostenlos eingesehen werden können, soll im Gesetz verankert werden. Am
Basis übermittelten Angaben wider- spiegeln die tatsächlich geleisteten Arbeitsstunden daher nur bedingt. Gemäss diesen Angaben hat der Zeit- aufwand für das Berichtsjahr mit 5562.35 Stunden im Vergleich zum Vorjahr (5010 Stunden) zugenommen. Dass die von den Behörden gemel- deten für die Bearbeitung der Zugangs- gesuche anfallenden Aufwände nur bedingt dem tatsächlich erforderlichen Zeitaufwand entspricht, lässt sich exemplarisch an den vom BAG gemel- deten Angaben erkennen. Zusätzlich zu den von den zuständigen Fach- einheiten des BAG punktuell ange- gebenen Aufwandzeiten von 208,5 Stunden und der juristischen Unterstützung durch seine Öffentlich- keitsberaterin im Umfang von 40 Stel- lenprozenten, meldete das BAG die Einrichtung einer eigenen Vollzugs- struktur sowie spezifischer Prozesse für die Bearbeitung der zahlreichen Zugangsgesuche im Zusammenhang mit COVID-19. Gemäss Angaben des BAG war der Aufwand im Berichtsjahr überaus hoch und betrug mindestens 3.9 Vollzeitstellen (Full Time Equivalent). Ähnliches dürfte für weitere Einheiten der Bundesverwal- tung gelten. Eine Zunahme ist auch beim gemeldeten Zeitaufwand für die Vor- bereitung von Schlichtungsverfahren auszumachen: 864.6 Stunden (gegen- über 569 Stunden im 2020, 473 Stun- den im 2019, 672 Stunden im 2018 und 91 4 Stunden im 2017). Parlamentsdienste Die Parlamentsdienste meldeten den Eingang von einem Zugangsgesuch, welches gutgeheissen und der Zugang zu den verlangten Dokumenten voll- ständig gewährt wurde. Bundesanwaltschaft Die Bundesanwaltschaft meldete für 2021 den Eingang von acht Gesuchen. In vier Fällen wurde der Zugang voll- umfänglich verweigert, in einem Fall wurde das Zugangsgesuch zurückge- zogen. Für die übrigen drei Gesuche gilt, dass keine amtlichen Dokumente vorhanden waren. Grafik 2: Erhobene Gebühren seit Inkrafttreten des BGÖ 0 10092008111213141516171820202119 5000 10000 15000 20000 CHF 25000 14 925 (–1,7 % gegenüber Vorjahr) 75 29. Tätigkeitsbericht 2021/22 Öffentlichkeitsprinzip
Im Jahr 2021 wurden beim Beauftrag- ten 1 49 Schlichtungsanträge einge- reicht. Verglichen mit den 2020 einge- gangenen 93 Anträgen entspricht dies einer Zunahme um 60 Prozent. Die meisten Schlichtungsanträge wurden von Medienschaffenden (53) und Pri- vatpersonen (49) eingereicht. Diese Zahlen lassen folgende Feststellungen zu: In den 565 Fällen, in denen die Bundesverwaltung den Zugang voll- ständig oder teilweise verweigerte beziehungsweise aufschob oder vor- brachte, dass keine amtlichen Doku- mente vorhanden sind, kam es 1 49 Mal bzw. in 26 Prozent der Fälle zur Einrei- chung eines Schlichtungsantrags. Davon betrafen 31 (21 Prozent) amtli- che Dokumente mit einem Bezug zu Corona. 2021 konnten 139 Schlichtungsan- träge erledigt werden. Davon waren 126 im Berichtsjahr und 13 im Vorjahr eingegangen. In 50 Fällen konnten sich die Beteiligten auf eine Konsenslösung einigen. Ausserdem erliess der Beauf- tragte 49 Empfehlungen, durch wel- che 63 Fälle erledigt werden konnten, in denen eine einvernehmliche Lösung zwischen den Parteien nicht ersicht- lich war. Zu den abgeschlossenen Fällen zu zählen sind auch sieben Anträge, die nicht fristgerecht eingereicht wurden, 17 Fälle, in denen die Voraussetzungen für die Anwendung des Öffentlich- keitsgesetzes nicht gegeben waren, sowie zwei Schlichtungsanträge, die zurückgezogen wurden. Per Ende Jahr war in acht Schlich- tungsverfahren im Einvernehmen mit den Beteiligten resp. auf deren Wunsch hin eine Sistierung erfolgt. Anteil einvernehmlicher Lösungen Zu den vielen Vorteilen der einver- nehmlichen Lösungen gehört u. a. auch, dass sie eine Klärung der Sach- lage und eine Beschleunigung des Zugangsverfahrens ermöglichen und zudem die Basis für eine allfällige zukünftige Zusammenarbeit zwischen den an der Schlichtungssitzung Betei- ligten schaffen. Wie wirksam sich die 2017 einge- führten Massnahmen und die Durch- führung von mündlichen Schlich- tungssitzungen erwiesen haben, lässt sich vor allem am Anteil der einver- nehmlichen Lösungen im Verhältnis zu den Empfehlungen ablesen. Im Berichtsjahr konnten 50 einvernehm- liche Lösungen erzielt werden, und der Beauftragte gab 49 Empfehlungen zur Lösung von 63 Fällen ab. Im Verhältnis Grafik 3: Schlichtungsanträge seit Inkrafttreten des BGÖ 0 10092008202111121314151617182019 150 120 90 60 30 2.3 Schlichtungsverfahren – bedeutende Zunahme der Schlichtungsanträge 149 (+60 % gegenüber Vorjahr) 76 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Öffentlichkeitsprinzip
zu den Empfehlungen machen die einvernehmlichen Lösungen somit einen Anteil von 4 4 Prozent aus. Hierzu bedarf es allerdings einiger Erläuterungen: Eine einvernehmliche Lösung kann regelmässig nur dann erreicht werden, wenn überhaupt eine Schlichtungsverhandlung durchge- führt werden kann. So konnte im Berichtsjahr in den 45 durchgeführten Schlichtungsverhandlungen in 30 Fäl- len (67 Prozent) eine Einigung erzielt werden. Wie in Kapitel 2.1 bereits erwähnt, haben die zur Eindämmung des Coronavirus in Kraft gesetzten Massnahmen dazu geführt, dass im Zeitraum zwischen Januar und Juni 2021 und damit in 40 Fällen auf die Durchführung von Schlichtungssit- zungen mit physischer Anwesenheit der Beteiligten verzichtet werden musste. Die Auswirkungen auf den Anteil der einvernehmlichen Lösun- gen blieben nicht aus: Nur in zwei der schriftlich durchgeführten Verfahren (fünf Prozent) konnte eine Einigung erzielt werden. Im Ergebnis führt das Ausgeführte zur Feststellung, dass sich mündliche Schlichtungsverhandlungen nach wie vor bewähren, um zu einer einver- nehmlichen Lösung zu gelangen. Nach Ansicht des Beauftragten ist diese Vorgehensweise weiterhin gegenüber den schriftlichen Verfahren zu bevor- zugen und zu fördern. Die Durchfüh- rung von mündlichen Schlichtungssit- zungen erweist sich für alle Verfah- rensbeteiligten als vorteilhaft. In eini- gen Fällen haben Letztere angesichts der Corona-Massnahmen denn auch eine Sistierung des Verfahrens bis zu dem Zeitpunkt beantragt, in welchem mündliche Verhandlungen wieder möglich sind. Hinweis: Sämtliche Empfehlungen aus dem Berichtsjahr sind auf der Website des Beauftragten abrufbar. Tabelle 1: Einvernehmliche Lösungen 2021 (Corona) 44% 2020 (Corona) 34% 201961 % 201855% Dauer der Schlichtungs verfahren Tabelle 2 auf der Folgeseite ist in drei von der Verfahrensdauer abhängige Spalten aufgeteilt. Der Genauigkeit halber sei hierzu festgehalten, dass der Zeitraum, während dem ein Schlich- tungsverfahren auf Antrag resp. mit Einverständnis der Beteiligten sistiert ist, nicht zur Behandlungsdauer gezählt wird. Eine Sistierung des Schlichtungsverfahrens erfolgt insbe- sondere dann, wenn eine Behörde nach der Schlichtungssitzung ihre Position überprüfen möchte, oder wenn sie betroffene Dritte anhören muss. Wird die Schlichtungssitzung auf Antrag einer beteiligten Partei verschoben (bspw. aufgrund von Feri- enabwesenheit, Krankheit etc.), wird die Zeitspanne zwischen dem ursprünglich vorgesehenen Termin und dem neu angesetzten Termin bzw. die daraus resultierende Verfahrens- verlängerung ebenfalls nicht zur Bear- beitungsdauer gezählt. Aus der Tabelle 2 wird ersichtlich, dass 42 Prozent der im Jahr 2021 abgeschlossenen Schlichtungsverfah- ren innerhalb der ordentlichen Frist von 30 Tagen abgearbeitet wurden. In 51 Prozent der Fälle dauerte das Schlichtungsverfahren zwischen 31 und 99 Tagen und in sieben Prozent gar länger als 100 Tage. Die Vorgabe der gesetzlichen Frist von 30 Tagen für die Durchführung von Schlichtungsverfahren kann in der Regel eingehalten werden, wenn die Schlichtungssitzungen planmäs- sig, d. h. ohne Gesuch auf Verschie- bung durch die Beteiligten, innert der Frist nach Eingang des Antrags erfolg- reich mit einer Einigung abgeschlossen 77 29. Tätigkeitsbericht 2021/22 Öffentlichkeitsprinzip
werden können. Für das Berichtsjahr gilt, dass im Falle der Erledigung des Verfahrens durch eine Einigung die 30-tägige Frist in 60 Prozent der Fälle eingehalten werden konnte. Die hohe Zahl der 2021 beim Beauf- tragten eingereichten Schlichtungsan- träge führte dazu, dass teilweise bereits bei Eingang des Antrags klar war, dass die Frist von 30 Tagen nicht würde eingehalten werden können: Aufgrund der für die Bearbeitung der Schlichtungsanträge zur Verfügung stehenden personellen Ressourcen musste die Schlichtungssitzung so angesetzt werden, dass die Frist bereits im Zeitpunkt des Sitzungstermins abgelaufen war. Anzumerken ist ausserdem, dass von den 59 innerhalb der Frist von 30 Tagen abgearbeiteten Schlichtungs- anträgen das Schlichtungsverfahren nur in 31 Fällen (53 Prozent) durch eine Einigung oder Empfehlung erledigt wurde und dementsprechend eine materielle Auseinandersetzung mit dem Schlichtungsgegenstand statt- gefunden hat. In den anderen 28 Fällen (47 Prozent) resultierte keine materi- elle Beurteilung in der Sache; es han- delte sich dabei insbesondere um Fälle, welche ausserhalb des Geltungsbe- reichs des Öffentlichkeitsgesetzes anzusiedeln oder in welchen die for- mellen Voraussetzungen für die Eröff- nung eines Schlichtungsverfahrens nicht gegeben waren. Wie bereits erwähnt, konnten im Zeit- raum zwischen Januar und Juni 2021 coronabedingt keine Schlichtungssit- zungen vor Ort durchgeführt werden. Dies hatte zur Folge, dass die Schlich- tungsverfahren, die in diesen Zeit- raum fielen, nur ausnahmsweise (in nur gerade fünf Prozent der Fälle) mit einer einvernehmlichen Lösung abge- schlossen werden konnten. Kommt keine Einigung zustande, hat der Beauftragte eine schriftliche Empfeh- lung abzugeben. Aus der Durchfüh- rung der Schlichtungsverfahren auf schriftlichem Weg und dem Ausarbei- ten einer Empfehlung resultiert regel- mässig ein deutlich erhöhter Arbeits- aufwand. Dies führt dazu, dass sich die Bearbeitungsdauer für die einzelnen Verfahren tendenziell verlängert, was sich wiederum auf alle darauffolgen- den Verfahren respektive deren Erledi- gungsdauer auswirkt. In diesem Sinne führten u. a. auch die aufgrund der Coronapandemie eingeführten Rege- lungen zu einer verlängerten Verfah- rensdauer und damit zu einem Bear- beitungsrückstand. Besteht bereits ein Rückstand in der Bearbeitung von Schlichtungsverfahren, trägt jeder neu eingehende Antrag zu einem grösseren Rückstau bei. Im Berichtsjahr konnte der Beauftragte den Beteiligten die schriftliche Empfehlung nur in vier Fällen (sieben Prozent) innert 30 Tagen nach Eingang des Antrags und damit innert gesetzlicher Frist zustellen. Häufige Gründe für eine Frist- überschreitung waren ausserdem die Abwesenheit der betroffenen Perso- nen oder Behörden (Ferien, Krankheit, Reisen), eine grosse Zahl der am Ver- fahren beteiligten Drittpersonen oder die juristische Komplexität der Frage- stellung. Diese Gründe treffen auch auf jene neun Fälle zu, deren Bearbeitung mehr als 100 Tage in Anspruch nahm. Auch wurde die Einhaltung der Fristen Tabelle 2: Bearbeitungsdauer Schlichtungsverfahren Bearbeitungsdauer in Tagen Zeitraum 2014 – August 2016* Pilotphase 2017 Zeitraum 2018Zeitraum 2019Zeitraum 2020Zeitraum 2021 innert 30 Tagen11 %59%50%57 %43%42 % zwischen 31 und 99 Tagen45%37 %50%38%30%51 % mehr als 100 Tage44%04%00%05%27 %7%
wegen Konsultationen im Ausland, wegen zahlreicher Verhandlungsbe- strebungen zwischen den Beteiligten und wegen der Fülle an Dokumenten oder der Vielzahl betroffener Personen zusätzlich erschwert. Weil die Bearbei- tung in solchen Fällen oft besonders aufwändig ist, steht es dem Beauftrag- ten gemäss Artikel 12a der Verordnung über das Öffentlichkeitsprinzip der Verwaltung (VBGÖ; SR 152.31) frei, die ordentliche Frist angemessen zu verlängern. Der Gesetzgeber hat das Schlich- tungsverfahren als ein informelles und unpräjudizielles Verfahren zur gütli- chen Streitbeilegung ausgestaltet. Die Erfahrung zeigt indes, dass der Beizug von Rechtsvertretungen durch Gesuchstellende oder angehörte Dritt- betroffene bereits im Stadium des Zugangs- und Schlichtungsverfahrens einer einfachen, pragmatischen und raschen Lösungsfindung wenig förder- lich ist. Während Überschreitungen der kur- zen Frist von 30 Tagen bei komplexen Fällen sowie Mehrparteienverfahren (d. h. mehrere Drittbetroffene) aufgrund der gesetzlichen Verlängerungsmög- lichkeit als systemimmanent gelten, stellen die sich erneut häufenden Frist- überschreitungen, die sich einzig mit unzureichenden Personalressourcen erklären lassen, rechtlich betrachtet Rechtsverzögerungen dar. Anzahl hängiger Fälle Die unten aufgeführten Angaben (s. Tab. 3) geben Auskunft über die Anzahl der Fälle, die am Ende der jeweiligen Berichtsjahre hängig waren. Ende 2021 waren 27 Schlichtungsver- fahren hängig, wovon acht sistiert sind (drei aus dem Jahr 2019, eines aus dem Jahr 2020 und vier aus dem Berichts- jahr). 1 4 Fälle konnten bis zum Redak- tionsschluss des vorliegenden Berichts abgeschlossen werden. Es zeichnet sich ab, dass sich die Bearbeitungsdauer weiter erhöht, dass es zu einem weiteren Anstieg von rechtlich nicht rechtfertigbaren Über- schreitungen der ordentlichen Frist kommen wird und die Zahl der hängi- gen Fälle am Ende des kommenden Jahres ebenfalls weiter ansteigen wird. Tabelle 3: Hängige Schlichtungs- verfahren Ende 202127 (davon 14 bis zum Redaktionsschluss erledigt und 8 sistiert) Ende 202017 (davon 9 bis zum Redaktionsschluss erledigt und 8 sistiert) Ende 201943 (davon 40 bis zum Redaktionsschluss erledigt und 3 sistiert) Ende 201815 (davon 13 im Februar 2019 erledigt und 2 sis- tiert) 79 29. Tätigkeitsbericht 2021/22 Öffentlichkeitsprinzip
ÄMTERKONSULTATION Revision des Nachrichten dienstgesetzes Das Nachrichtendienstgesetzes vom 25. September 2015 (NDG; SR 121) wird zurzeit einer Revision unterzogen. Die Revisionsvorlage, die dem Beauf- tragten im Rahmen der Ämterkonsulta- tion unterbreitet wurde, sah eine erneute Ausweitung der vom Öffent- lichkeitsgesetz ausgenommenen Informationen vor. Gemäss jetzigem Artikel 67 NDG gilt das Öffentlichkeitsgesetz nicht für den Zugang zu amtlichen Dokumenten betreffend die Informationsbeschaf- fung gemäss NDG. Dieser Begriff ist in Kapitel 3 des Nachrichtendienstgeset- zes klar umschrieben. Die Neufassung dieses Artikels zielt auf eine vollstän- dige Ausnahme der nachrichtendienst- lichen Daten ab. Nach Auffassung des Beauftragten versucht der Nachrich- tendienst des Bundes (NDB) durch die Änderung dieser Bestimmung aber- mals, den Geltungsbereich des BGÖ durch eine Ausweitung der dem Anwendungsbereich dieses Gesetzes entzogenen Informationen einzu- schränken. Mit dem neuen Wortlaut würde der Hauptteil der Tätigkeit des NDB nicht mehr unter das Öffentlich- keitsgesetz fallen. Dies käme einem Verstoss gegen den Willen des Gesetz- gebers gleich, dessen Absicht es war, Transparenz über den Auftrag, die Organisation und die Tätigkeit der Verwaltung zu schaffen. Der Beauftragte hat sich entschie- den gegen diese Bestrebungen gestellt, da die Ausnahmebestimmungen von Artikel 7 bis 9 BGÖ – insbesondere die Ausnahmen, die zum Schutz der inne- ren oder äusseren Sicherheit der Schweiz (Art. 7 Abs. 1 lit c BGÖ), der aussenpolitischen Interessen der Schweiz (Art. 7 Abs. 1 lit d BGÖ) sowie von personenbezogenen Daten (Art. 7 Abs. 2 BGÖ) gewährt werden – bereits einen ausreichenden und angemesse- nen Schutz bieten. Nach Abschluss der Ämterkonsul- tation teilte der NDB, der zunächst an seinem Standpunkt festgehalten hatte, dem EDÖB mit, dass er auf eine Änderung des gegenwärtigen Art. 67 NDG verzichte. 2.4 Gesetzgebungsverfahren 81 29. Tätigkeitsbericht 2021/22 Öffentlichkeitsprinzip
Der EDÖB
84 Pandemie Die krisenbedingt kurzfristig reali- sierten Datenbearbeitungsprojekte zur Bekämpfung der Pandemie und die gesteigerte Nachfrage nach öffent- lichen Dokumenten forderten den Mitarbeitenden auch im zweiten COVID-Jahr ausserordentliche Leis- tungen ab. Als administrativ der Bundeskanz- lei zugehörender Bundesbetrieb hat der EDÖB alle Vorgaben des Bundesra- tes zum Gesundheitsschutz des Perso- nals umgesetzt. Nachdem der Bundes- rat die Pflicht zur umfassenden digita- len Heimarbeit für das Bundespersonal im Februar 202 2 aufhob, konnte das Personal des EDÖB die digitale Heim- arbeit per 1. März 202 2 auf den im Rahmen des flexiblen Arbeitsmodells vereinbarten, ordentlichen Umfang reduzieren. Seither können persönli- che Begegnungen wieder verstärkt stattfinden, was sich insbesondere für die Einführung und Betreuung von neuen Mitarbeitenden positiv aus- wirkt. Leistungen und Ressourcen im Bereich Datenschutz Personalbestände Von 2005 bis 2019 hat der Stellenetat für den Vollzug des Datenschutzgeset- zes (DSG) zwischen 20 und 2 4 Voll- zeitstellen fluktuiert. Die Schwankun- gen erklären sich zum einen damit, dass 2006 das Öffentlichkeitsgesetz (BGÖ) in Kraft trat. Da die dafür vor- gesehenen Stellen vom Bundesrat nie bewilligt wurden, musste unsere Behörde auf das bereits bestehende Personal des EDÖB und teilweise auf Mittel der Bundeskanzlei zurück- greifen. Zum anderen konnten die mit dem Beitritt zum Abkommen von Schengen und Dublin sowie dem Erlass von Spezialgesetzen im Gesund- heitsbereich bewilligten zusätzlichen Stellen infolge allgemeiner Sparvorga- ben nie im vollen Umfang rekrutiert werden. In seiner Botschaft zur Totalrevi- sion des DSG hat der Bundesrat dem EDÖB die Schaffung zusätzlicher Mittel im Umfang von neun bis zehn Stellen in Aussicht gestellt (BBl 2017 7 172). Inzwischen hat der Bundesge- setzgeber mit dem neuen Bundesge- setz über den Datenschutz im Rahmen der Anwendung des Schengen-Besitz- stands in Strafsachen (SDSG, SR 235.3) einen Teilaspekt dieser Totalrevision vorweggenommen. Nachdem der Bundesrat dieses Gesetz am per 1. März 2019 in Kraft setzte, hat er dem EDÖB für die Umsetzung der neuen Aufga- ben und Befugnisse drei zusätzliche Stellen zugesprochen, sodass sich der Stellenetat seit 2020 auf 27 Vollzeit- stellen beläuft. Im Frühjahr 2021 hat der EDÖB dem Bundesrat mit Blick auf die damals für 202 2 vorgesehene Inkraftsetzung des revidierten DSG die Schaffung der verbleibenden sechs Vollzeitstellen beantragt. Diese Stellen wurden im Rahmen der Gesamtres- sourcenbeurteilung bewilligt. Mit dem Inkrafttreten der neuen Gesetzgebung wird der Bundesrat lediglich neue Ressourcenbegehren des EDÖB an die Eidgenössischen Räte zum Entscheid weiterleiten. Aufgrund von Pensionierungen und anderen Abgängen hat sich die Altersstruktur der Behörde in den letzten Jahren verjüngt, was den Per- sonalkredit entlastet. Tabelle 4: Für DSG-Belange einsetzbare Stellen 200522 201023 201824 201924 202027 202127 202227 Leistungen Die Aufgaben des EDÖB als für die Bundesorgane und die Privatwirt- schaft zuständige Datenschutzbehörde werden gemäss dem Neuen Führungs- modell Bund (NFB) den vier Leis- tungsgruppen Beratung, Aufsicht, Information und Gesetzgebung zuge- wiesen. Im Berichtsjahr vom 1. 4.2021 bis 31.3.202 2 wurden die beim EDÖB 3.1 Aufgaben und Ressourcen Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Der EDÖB
für den Datenschutz einsetzbaren Personalressourcen wie folgt auf diese Gruppen aufgeteilt: Tabelle 5: Leistungen Datenschutz Beratung Private22,1 % Beratung Bund18,9 % Zusammenarbeit mit Kantonen 1,4 % Zusammenarbeit mit ausl. Behörden 13,4 % Total Beratung55,8 % Aufsicht16,8 % Zertifizierung0,1 % Register Datensammlung 0,4 % Total Aufsicht17,3 % Information13,1 % Ausbildung/ Referate3,1 % Total Information16,2 % Gesetzgebung10,7 % Total Gesetzgebung10,7 % Total Datenschutz100,0% Beratung Wie im Eingangskapitel «Aktuelle Herausforderungen» dargelegt, sieht sich der EDÖB im Leistungsbereich der Beratung, aufgrund der Notwen- digkeit digitale Grossprojekte zu begleiten, mit einer konstant hohen Nachfrage konfrontiert. Die für die Beratung aufgewendeten personellen Mittel bezifferten sich im Berichtsjahr auf rund 56 Prozent. Gemäss dem Kontrollplan des EDÖB für das Jahr 202 2 ist die beratende Begleitung von sieben grossen Projekten im Gang. Sechs dieser Projekte stehen im Zusammenhang mit der vom Bundes- rat angeordneten digitalen Transfor- mation der Bundesverwaltung, welche den von Politik und Medien gerade auch im Zusammenhang mit der Pande miebekämpfung angemahnten Digitalisierungsrückstand aufzuholen sucht. Da die Mittel des EDÖB mit Blick auf die rechtlichen und technologi- schen Risiken der dynamisch fort- schreitenden Digitalisierung nach wie vor knapp bemessen sind, konnte er die gestiegene Nachfrage nach beraten- der Projektbegleitung auch in der lau- fenden Berichtsperiode nicht in der gewünschten Tiefe und Zeit erfüllen. Die drei Teams des Direktionsbereichs Datenschutz haben monatlich im Durchschnitt achtundvierzig Anfragen und Anzeigen von Bürgerinnen und Bürgern mit einem Standardschreiben beantwortet, das diese auf den zivil- prozessualen Weg verweist. Das führt zunehmend auf Unverständnis, weil einerseits die Datenschutzgrundver- ordnung der EU die dortigen Daten- schutzbehörden verpflichtet, allen Bürgerklagen nachzugehen, und ande- rerseits das neue DSG auch für den EDÖB eine ausweitende Pflicht vor- sieht, Einzelanliegen der Schweizer Bevölkerung materiell zu behandeln. Da sich Big Data und «künstliche Intelligenz» in allen Branchen als Geschäftsmodell durchsetzen und die technologischen Datenschutzrisiken den Aufsichtsbereich des EDÖB weiter ausdehnen, ist wie in den Vorjahren von einer weiter steigenden Anzahl von umfangreichen Datenbear- beitungsprojekten bei Staat und Wirt- schaft auszugehen. Tabelle 6: Beratungen in umfangreicheren Projekten für 2021 Gesundheit und Arbeit3 Handel und Wirtschaft3 Zoll1 Total7 Aufsicht Aufgrund der Dynamik von cloudge- stützten Applikationen müssen Kont- rollen heute rasch durchgeführt wer- den. Diese Beschleunigung sowie die immer wichtiger werdende Kombina- tion von juristischem und techni- schem Fachwissen schliessen längere Unterbrüche bei den Sachverhaltsklä- rungen aus, sodass umfassendere Kontrollen von mehreren Mitarbeiten- den betreut werden müssen. Die aktu- ellen Personalbestände setzen der Dichte der Kontrollen enge Grenzen. Im Jahr 2018 wurden für die Aufsichts- tätigkeit rund zwölf Prozent der Perso- nalressourcen aufgewendet, was deut- lich unter dem langjährigen Mittelwert von rund zwanzig Prozent lag. In den letzten Berichtsperioden konnte zumindest verhindert werden, dass der Anteil unter 15 Prozent sinkt. In der aktuellen Berichtsperiode lag er mit 17,3 Prozent um rund zwei Pro- zentpunkte darüber. Gemäss Kontroll- plan für das Jahr 202 2 werden mit die- sen Mitteln dreizehn umfassendere Kontrollen bestritten. Im Vergleich zum Bearbeitungsvolumen durch die Bundesorgane und zur Anzahl von 85 29. Tätigkeitsbericht 2021/22 Der EDÖB
86 rund 12 000 grossen und mittleren kaufmännischen Unternehmen sowie rund 100 000 Stiftungen und Verei- nen in der Schweiz erweist sich die aktuelle Kontrolldichte nach wie vor als tief. Für den Beauftragten bleibt es schwierig, seine ressourcenbedingte Zurückhaltung bei der Eröffnung for- meller Sachverhaltsabklärungen gegenüber Medien und Konsumenten- schutzorganisationen zu vermitteln. Mit Blick auf das bevorstehende Inkrafttreten des neuen DSG hat sich der Erwartungsdruck der Öffentlich- keit verstärkt. Gesetzgebung Die mit der digitalen Transformation der Bundesämter einhergehenden Anpassungen der Personendaten- bearbeitungen sind nur auf der Basis gesetzlicher Grundlagen zulässig. Diese zieht eine Vielzahl von neuen und revidierten Bearbeitungsvor- schriften im Bundesrecht nach sich, zu denen der EDÖB in diversen Konsul- tationsverfahren Stellung bezieht. Trotz des diesbezüglichen Aufwands und trotz der aufwändigen Revision des DSG und der dazu gehörenden Verordnung ist es uns in den letzten Berichtsperioden gelungen, die Aufsichtstätigkeit auf tiefem Niveau zu stabilisieren. Dies ist jedoch nur möglich, indem wir ausführliche Ana- lysen und Stellungnahmen auf Schlüs- selprojekte beschränken. Totalrevision des Datenschutz gesetzes Mit der bevorstehenden Inkraft- setzung des neuen DSG und der Voll- zugsverordnung sind für den EDÖB mit Blick auf neue Aufgaben und Kom- petenzen sowie die rechtzeitige Infor- mation von Bevölkerung und Wirt- schaft aufwändige Vorbereitungsarbei- ten verbunden. Die mit Inkraftsetzung des DSG erfolgte Freigabe von drei Stellen durch den Bundesrat hat dazu beigetragen, dass diese Arbeiten vor- anschreiten. Diesbezüglich hat der Bundesrat die restlichen sechs Stellen zur Umsetzung des DSG ebenso frei- gegeben (s. oben). Teilnahme an Kommissions beratungen und Anhörungen durch parlamentarische Kommissionen • In der Berichtsperiode lud uns im April 2021 die SPK-N zu den COVID-Erleichterungen für geimpfte Personen ein. Im gleichen Monat konsultierte uns die KVF-N zur Revision des Bundesgesetzes Büpf. • Ende Oktober 2021 und Mitte Januar 202 2 hat uns die SPK-N und SPK-S dreimal zur Revision des Daten- schutzgesetzes und dessen Vollzugs- verordnungen eingeladen. • Ebenfalls im Monat Oktober hörte uns die GPDel zur Präsentation eines Berichts über unsere Praxis bezüglich Art. 64 NDG an. • Weiter hat uns die SPK-N im November 2021 auch zum Voran- schlag 202 2 und den Finanzplan 2023–2025 angehört. • Am Ende der Geschäftsperiode wurden wir zweimal von der SGK-S zur Problematik Swisstransplant beigezogen. • Schliesslich hat die Subkommission EJPD/BK der GPK-N im Februar 202 2 einen halbtägigen Dienstellen- besuch vorgenommen, der wegen der Pandemie in den Räumlichkei- ten des Bundeshauses erfolgen musste. Bemessungskriterien Ob und in welchem Mass dem EDÖB Ressourcen zugesprochen werden, liegt in der Verantwortung der politi- schen Behörden, denen bei der Ein- schätzung aktueller und künftiger Entwicklungen der Digitalisierung und deren Auswirkungen auf die Tätigkeit unserer Behörde ein erhebli- cher Ermessensspielraum bleibt. Kern- aufgabe des EDÖB ist der Schutz der Privatsphäre und die Gewährleistung des Rechts auf informationelle Selbst- bestimmung in der digitalen Gesell- schaft. Der EDÖB muss unabhängig handeln können. Dies erfordert angemessene und ausreichende personelle, materielle, technische und finanzielle Ressourcen, welche die Aufsichtsbehörde nicht darauf beschränken, reaktiv das Unab- dingbare zu erledigen, sondern ihr die Initiative zum Handeln ermöglichen – und zwar mit einem Mass an Glaub- würdigkeit und Intensität, welches die betroffene Öffentlichkeit zum Schutz ihrer Grundrechte vernünftigerweise erwarten darf. Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Der EDÖB
Leistungen und Ressourcen im Bereich Öffentlichkeits gesetz Das Berichtsjahr war nicht nur durch die Pandemie, sondern vor allem durch die grosse Zunahme von Schlichtungs- anträgen geprägt (s. Kap. 2.2). Dabei hat sich erneut gezeigt, dass die im Direktionsbereich Öffentlichkeits- prinzip eingesetzten 4,4 Stellen für die gesetzeskonforme Aufgabenerfüllung nicht ausreichend sind. Wie oben bereits erwähnt, hat der Bundesrat dem EDÖB für seine Aufgaben nach Öffentlichkeitsgesetz bis heute keine Stellen bewilligt – entgegen seinen Ausführungen in der Botschaft. Infolge der Pandemie und der vom Bundesrat ergriffenen Massnahmen zum Schutz der öffentlichen Gesund- heit konnten wiederum sowohl im Berichtsjahr wie auch im laufenden Jahr über mehrere Monate hinweg keine Schlichtungsverhandlungen vor Ort durchgeführt werden. Dies hatte zur Folge, dass der Beauftragte für diese Zeitspannen wieder zum schrift- lichen Verfahren zurückkehren musste, was sich unmittelbar nachtei- lig auf die Bearbeitungsdauer der ein- zelnen Verfahren auswirkte und zu einem Rückstau führte. Darüber hin- aus haben die seit Jahren steigende Zahl von Schlichtungsanträgen und deren zunehmende Komplexität zur Folge, dass der Beauftragte bei einem ansteigenden Anteil der Verfahren die gesetzliche Erledigungsfrist von 30 Tagen überschreitet. Es zeichnet sich ab, dass die Ent- wicklung bei der Zunahme von Schlichtungsanträgen auch für das Jahr 202 2 und darüber hinaus anhält, und dass der Rückstau die fristgemässe Bearbeitung neuer Fälle mit den aktu- ell vorhandenen Ressourcen weiter Tabelle 7: Wirkungsziele EDÖB LeistungsgruppeWirkungsziele BeratungDer EDÖB entfaltet eine erwartungsadäquate Präsenz für die Beratung von Privatpersonen sowie die Begleitung von datenschutzsensiblen Projekten der Wirtschaft und der Bundesbehörden unter Anwendung digitalisierungstauglicher Arbeitsinstrumente. AufsichtDer EDÖB entfaltet eine glaubwürdige Dichte an Kontrollen. InformationDer EDÖB sensibilisiert die Öffentlichkeit proaktiv für technologie- und anwendungsbezogene Risiken der Digitalisierung. Er verfügt über eine zeitgemässe, benutzerfreundliche Website. Meldungen sollen über Meldeportale sicher, einfach und jederzeit dem EDÖB zugestellt werden können. GesetzgebungDer EDÖB nimmt rechtzeitig und aktiv Einfluss auf alle datenschutzrelevanten Spezialnormen und Regelwerke, die auf nationaler und internationaler Ebene geschaffen werden. Er unterstützt die interessierten Kreise bei der Formulierung von Regeln der guten Praxis. erschweren wird. Die vom Gesetz- geber angestrebte rasche Verfahrensab- wicklung ist damit nicht mehr gewährleistet. Auch im Bereich des Öffentlich- keitsprinzips liegt es in der Verant- wortung der politischen Behörden, ob und in welchem Mass dem EDÖB Ressourcen für die Erfüllung seiner Schlichtungs- und Beratungsaufgaben zugesprochen werden. Mit Blick auf die einzelnen Leis- tungsgruppen ergeben sich somit fol- gende, für die Bemessung der Mittel wegleitende Wirkungsziele (s. Tab. 7). 87 29. Tätigkeitsbericht 2021/22 Der EDÖB
88 Schwerpunkte der Kommunikationsarbeit Die in der vorangehenden Periode dominierenden Themen rund um die Pandemie waren auch im Berichtsjahr stark präsent. Im Fokus bei den Anfra- gen, die an den EDÖB gerichtet wur- den, standen jedoch weniger das Contact Tracing als vielmehr die Aus- gestaltung und der Einsatz des COVID-Zertifikats bzw. deren App. Der Beauftragte und seine Fachleute waren in diesem Kontext kommunika- tiv weiterhin gefordert. Erfolgreich setzten wir uns für ein datensparsames Zertifikat light ein, bei dem keinerlei Gesundheitsdaten gespeichert werden. Hinzu kam der Issue um die Impfplatt- form meineimpfungen.ch, deren Betreiberin das Portal aufgrund von Sicherheitsmängeln einstellte. Die Themen mit Coronabezug machten insgesamt einen grossen Teil der Kom- munikationsarbeit aus. Einen weiteren Schwerpunkt bil- deten Datenabflüsse in verschiedens- ten Branchen – oftmals aufgedeckt durch investigative Journalistennetz- werke. Betroffen waren ebenso soziale Netzwerke wie auch Plattformen von hohem öffentlichen Interesse, bei- spielsweise im ÖV, der Organspende oder Brustimplantaten. Wir erhielten zudem viele Meldungen über Angriffe auf Systeme von Unternehmen. Infol- gedessen haben wir den Austausch mit dem Nationalen Zentrum für Cyber- sicherheit, NCSC, intensiviert. Erfolgte Datenabflüsse müssen dem EDÖB erst mit Inkrafttreten des neuen Datenschutzgesetzes des Bundes obligatorisch gemeldet werden (vgl. Schwerpunkt I). Im Fokus des Interesses blieb die Überwachung – sei es im Arbeits- bereich, in privaten Bereichen wie im Detailhandel oder via Spionagesoft- ware des Staates. Bereiche wie Track- ing (Mobilitäts-, Internet- oder Kon- sumverhalten) und die Entwicklung biometrischer Erkennungssysteme, welche mit Algorithmen die Bevölke- rung ausspionieren (bspw. Clearview), bilden weiterhin ein dynamisches Feld, das im Interesse der medialen Öffentlichkeit stand und stehen wird. Datenschutzfragen bleiben weiterhin wesentlich in den zahlreichen digita- len Transformationsprojekten der Bundesverwaltung und der Privat- wirtschaft. Die Kommunikation des EDÖB und der Beauftragte bearbeiteten im Berichtsjahr gesamthaft rund 550 Anfragen der Medienschaffenden und weiteren Organisationen. Gestiegene Aufmerksamkeit in Medien und Bevölkerung In unserer Medienbeobachtung, die sich auf eine Auswahl von Schweizer Medien und internationalen Key- Printprodukten stützt, registrierten wir über 6000 Beiträge gegenüber rund 4000 in der Vorperiode. Damit bestätigt sich die bereits festgestellte Tendenz, dass die Aufmerksamkeit gegenüber dem Thema Datenschutz und informationeller Selbstbestim- mung weiter zunimmt und sich in entsprechend breiterer medialer Ab - deckung niederschlägt. Insgesamt nahmen die Corona-Themen in den Medien leicht ab und machten noch rund einen Drittel der beobachteten Artikel aus. Im Fokus der Journalis- tinnen und Journalisten standen zudem die Überwachungsthematik, Datenweitergabe und Regulierungs- fragen betreffend der Techgiganten (GAFAM), die Bereiche Cloud, Cyber- sicherheit oder Künstliche Intelligenz bzw. Big Data. 3.2 Kommunikation Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Der EDÖB
Ausserdem fällt auf, dass die Bericht- erstattung, welche sich auf Doku- mente stützt, die aufgrund des Öffent- lichkeitsgesetzes beschafft werden konnten, zunimmt. Auch die Anfragen und Anliegen, welche unsere Behörde aus der Bevöl- kerung und von Unternehmen erreichten, stieg an. Via Mail, über den Postweg oder die telefonische Hotline behandelten wir rund 6600 Anfragen (letztes Berichtsjahr rund 4200). Mit rund fünfzig Teilnahmen war der Beauftragte etwas häufiger als in der Vorperiode an Veranstaltungen zugegen. Am Internationalen Daten- schutztag Ende Januar 202 2 trat er an der öffentlichen Konferenz der Uni- versität Lausanne auf. In seiner Key- note betonte der Beauftragte, dass die Datenschutzbehörden darauf hinwirk- ten, dass der digitale Wandel unter Wahrung des Grundrechts auf ein privates und selbstbestimmtes Leben vor sich gehen könne. Tätigkeitsbericht und Entwicklung eines neuen Webauftritts Der Fachbereich Kommunikation verfügt per Ende des Berichtsjahres über 2,6 Vollzeitstellen, welche sich drei Personen teilen. Die Medienarbeit geniesst ebenso Priorität wie das Projekt des jährlichen Tätigkeitsbe- richts. Die Publikation des im Art. 30 DSG vorgeschriebenen 28. Tätigkeits- berichts 2020/2021 erfolgte am 29. Juni 2021. Diesen haben wir erneut in vier Sprachen produziert und gedruckt. Ergänzend kann der Bericht auf unserer Website als E-Paper oder barrierefreies PDF-Dokument studiert werden. Als neuen Schwerpunkt haben wir im Herbst 2021 das Projekt für die Neuentwicklung der Website lanciert. Nach einem Einladungsverfahren konnten wir 202 2 zusammen mit einer externen Agenturunterstützung die Konzeptphase in Angriff nehmen. Ziel ist es, die über viele Jahre gewachsene Struktur zu vereinfachen und den Content zu aktualisieren, sodass die Besucherinnen und Besucher eine zeitgemässe, benutzerfreundliche und auf ihre Bedürfnisse angepasste Web- site nutzen können. Die neue Website des EDÖB soll die Bestimmungen des neuen Datenschutzgesetzes berück- sichtigen und vor dessen Inkraftset- zung aufgeschaltet werden. Stellungnahmen und Empfehlungen Im Berichtsjahr veröffentlichte der Beauftragte diverse Stellungnah- men und Statements zu aktuellen Projekten und Ereignissen, unter anderem zu folgenden Themen:
• Sachverhaltsabklärungen zur Appli- kation SocialPass sowie den Platt- formen «meinenimpfungen.ch» und Swisstransplant • Vermutete, unerlaubte Personen- überwachung (Mitto AG) • Begleitung des COVID-Impfzertifi- kats und der datensparsamen Light-Version • Datentransfer mit Auslandbezug • Nicht DSG-konforme Datenweiter- gabe beim Schweizerischen Schützenverein • Diverse Datenabflüsse u. a. auch bei Sozialen Netzwerken Auf unserer Website publizierten wir 45 Empfehlungen betreffend dem Zugang zu Verwaltungsdokumenten gestützt auf das Öffentlichkeitsprin- zip (gegenüber 26 Empfehlungen im 2020). 89 29. Tätigkeitsbericht 2021/22 Der EDÖB
90 0%5%10 %15 %25 % Arbeitsbereich Datenschutzfragen allgemein Finanzwesen Gesundheit Grundrechte Handel & Wirtschaft InfoKommTech (IKT) Justiz, Polizei & Sicherheit Öffentlichkeitsprinzip Statistik & Forschung Verkehr Versicherungen Verteidigung Zertifizierungen 051015202530 20 %30 % Aufwand nach Sachgebiet Aufsicht Bund (Art. 27 DSG) Aufsicht Private (Art. 29 DSG) Ausbildung/Referate Gesetzgebung Beratung Bund Prüfungsgesuch Zertifizierung Beratung Private Information Informationspflicht (Art. 6 DSG) Register der Datensammlungen Zusammenarbeit mit ausl. Behörden Zusammenarbeit mit Kantonen 0510152025 0%5%10%15 %25%20 % Aufwand nach Aufgabengebiet Statistiken über die Tätigkeiten des EDÖB vom 1. April 2021 bis 31. März 2022 (Datenschutz) 3.3 Statistiken Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Der EDÖB
Beratung (–2 % gegenüber Vorjahr) Aufsicht (+1.8 % ) Information (−3.2 % ) Gesetzgebung (+3.4 % ) 0 20112012201320142015201620172018201920202021 10 20 30 40 50 60 Mehrjahresvergleich Aufwand (Angaben in Prozent) 91 29. Tätigkeitsbericht 2021/22 Der EDÖB
92 BK572689257 EDA1567715472510 EDI42216825139213831 EJPD1034618131223 VBS28120311387319 EFD119542221697 WBF92481322261 UVEK14671103561014 BA8040103 PD1100000 Total 2021 (%)1385 (100)694 (50)126 (9)324 (23)48 (3)78 (7)115 (8) Total 2020 (%)1193 (100)610 (51)108 (9)293 (24)35 (3)80 (7)67 (6) Total 2019 (%)916 (100)542 (59)86 (9)171 (19)38 (4)43 (5)36 (4) Total 2018 (%)647 (100)355 (55)66 (10)119 (18)24 (4)50 (8)33 (5) Total 2017 (%)586 (100)325 (56)108 (18)106 (18)21 (4)26 (4)– Total 2016 (%)558 (100)299 (54)88 (16)105 (19)29 (5)33 (6)– Total 2015 (%)600 (100)320 (53)99 (17)128 (21)31 (5)22 (4)– Total 2014 (%)582 (100)302 (52)124 (21)124 (21)15 (3)17 (3)– Total 2013 (%)461 (100)218 (46)123 (26)103 (22)18 (4)8 (2)– Total 2012 (%)522 (100)230 (44)140 (27)123 (24)19 (4)6 (1)– Total 2011 (%)481 (100)206 (44)127 (27)128 (27)0 (0)9 (2)– Übersicht der Zugangsgesuche vom 1. Januar bis 31. Dezember 2021 DepartementAnzahl GesucheZugang vollständig gewährtZugang vollständig verweigertZugang teilweise gewährt/aufgeschobenZugangsgesuch zurückgezogenZugangsgesuch hängigkein amtliches Dokument vorhanden Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Der EDÖB
Bundeskanzlei BK BK411967207 EDÖB16722050 Total572689257 Eidg. Departement für Auswärtige Angelegenheiten EDA EDA1567715472510 Total1567715472510 Eidg. Departement des Inneren EDI GS EDI13802021 EBG242000103 BAK1010000 BAR1100000 METEO CH0000000 NB0000000 BAG251901110162716 BFS12830001 BSV13831001 compenswiss2110000 BLV281719100 SNM0000000 swissmedic72153261189 Suva5020210 Total42216825139213831 Eidg. Justiz und Polizei departement EJPD GS EJPD14701015 BJ38131000015 fedpol141031000 METAS1100000 SEM241029102 Dienst ÜPF3002001 SIR5230000 IGE2200000 ESBK0000000 ESchK1100000 RAB0000000 ISC-EJPD0000000 NKVF1000010 Total1034618131223 Statistiken über eingereichte Zugangsgesuche nach Öffentlichkeitsgesetz vom 1. Januar bis 31. Dezember 2021 Betroffener FachbereichAnzahl GesucheZugang vollständig gewährtZugang vollständig verweigertZugang teilweise
gewährt/aufgeschobenZugangsgesuch zurückgezogenZugangsgesuch hängigkein amtliches Dokument vorhanden 93 29. Tätigkeitsbericht 2021/22 Der EDÖB
94 Eidg. Departement für Verteidigung, Bevölkerungsschutz und Sport VBS GS VBS271008018 Verteidigung291717310 NDB280615007 armasuisse12343011 BASPO17217000200 BABS8105002 swisstopo5200201 OA0000000 Total28120311387319 Eidg. Finanz departement EFD 1) Seit 1.1.2021 bei der BK DTI 2) Seit 1.1.2022 BAZG GS EFD25867022 ISB 1) 0000000 EFV7203002 EPA4400000 ESTV14473000 EZV 2) 422237460 BBL5310100 BIT7500101 EFK9141012 SIF3300000 PUBLICA0000000 ZAS3210000 Total119542221697 Betroffener FachbereichAnzahl GesucheZugang vollständig gewährtZugang vollständig verweigertZugang teilweise gewährt/aufgeschobenZugangsgesuch zurückgezogenZugangsgesuch hängig kein amtliches Dokument vorhanden Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Der EDÖB
Eidg. Departement für Wirtschaft, Bildung und Forschung WBF GS WBF6600000 SECO281834210 SBFI131020001 BLW13318010 Agroscope3201000 BWL2110000 BWO1001000 PUE4130000 WEKO10413020 ZIVI0000000 BFK1000010 SNF0000000 EHB1010000 ETH9215010 InnoSuisse1100000 Total92481322261 Eidg. Departement für Umwelt, Verkehr, Energie und Kommunikation UVEK GS UVEK12810012 BAV7302011 BAZL10611110 BFE11333011 ASTRA6501000 BAKOM239011012 BAFU6434415317 ARE0000000 ComCom0000000 ENSI9201231 PostCom3101010 UBI1010000 Total 14671103561014 Bundesanwaltschaft BA BA8040103 Total8040103 Parlamentsdienste PD PD1100000 Total1100000 Gesamttotal13856941263244878115 Betroffener FachbereichAnzahl GesucheZugang vollständig gewährtZugang vollständig verweigertZugang teilweise
gewährt/aufgeschobenZugangsgesuch zurückgezogenZugangsgesuch hängigkein amtliches Dokument vorhanden 95 29. Tätigkeitsbericht 2021/22 Der EDÖB
96 Bundeskanzlei BK BK5311000 EDÖB0000000 Total 5311000 Eidg. Departement für Auswärtige Angelegenheiten EDA EDA0000000 Total 0000000 Eidg. Departement des Inneren EDI GS EDI6500010 EBG0000000 BAK0000000 BAR0000000 METEO CH0000000 NB0000000 BAG2178229342016 BFS0000000 BSV1100000 compenswiss0000000 BLV0000000 SNM0000000 swissmedic416217664 SUVA1000100 Total 266944110112720 Eidg. Finanz departement EFD 1) Seit 1.1.2021 bei der BK DTI 2) Seit 1.1.2022 BAZG GS EFD5041000 ISB 1) 0000000 EFV6103002 EPA0000000 ESTV1010000 EZV 2) 2002000 BBL1000100 BIT6301101 EFK1000010 SIF0000000 PUBLICA0000000 ZAS0000000 Total22457213 Betroffener FachbereichGesuche im Zusammen- hang mit COVID-19 Zugang vollständig gewährt Zugang vollständig verweigert Zugang teilweise gewährt/aufgeschoben Zugangsgesuch zurückgezogen Zugangsgesuch hängig kein amtliches Dokument vorhanden Zugangsgesuche 2021 mit CoronaBezug Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Der EDÖB
Eidg. Justiz und Polizeidepartement EJPD GS EJPD1100000 BJ0000000 fedpol0000000 METAS0000000 SEM0000000 Dienst ÜPF0000000 SIR0000000 IGE0000000 ESBK0000000 ESchK0000000 RAB0000000 ISC-EJPD0000000 NKVF0000000 Total 1100000 Eidg. Departement für Umwelt, Verkehr, Energie und Kommunikation UVEK GS UVEK0000000 BAV0000000 BAZL1001000 BFE0000000 ASTRA0000000 BAKOM1001000 BAFU0000000 ARE0000000 ComCom0000000 ENSI0000000 PostCom0000000 UBI0000000 Total 2002000 Eidg. Departement für Verteidigung, Bevölkerungsschutz und Sport VBS GS VBS0000000 Verteidig./ Armee 251515310 NDB0000000 armasuisse0000000 BASPO4200200 BABS1001000 swisstopo0000000 OA0000000 Total 301716510 Betroffener FachbereichGesuche im Zusammen-hang mit COVID-19Zugang vollständig gewährtZugang vollständig verweigertZugang teilweise gewährt/ aufgeschobenZugangsgesuch zurückgezogenZugangsgesuch hängig kein amtliches Dokument vorhanden 97 29. Tätigkeitsbericht 2021/22 Der EDÖB
98 Eidg. Departement für Wirtschaft, Bildung und Forschung WBF GS WBF1100000 SECO5113000 SBFI1000001 BLW0000000 Agroscope0000000 BWL0000000 BWO0000000 PUE0000000 WEKO0000000 ZIVI0000000 BFK0000000 SNF0000000 EHB0000000 ETH3012000 InnoSuisse0000000 Total 10225001 Bundesanwaltschaft BA BA0000000 Total 0000000 Parlamentsdienste PD PD0000000 Total 0000000 Gesamttotal33612113131182924 Betroffener FachbereichGesuche im Zusammen- hang mit COVID-19 Zugang vollständig gewährt Zugang vollständig verweigert Zugang teilweise gewährt/aufgeschoben Zugangsgesuch zurückgezogen Zugangsgesuch hängig kein amtliches Dokument vorhanden Anzahl Schlichtungsgesuche nach Kategorien der Antragstellenden Kategorie Antragsteller20212020201920182017 Medien5331342421 Privatpersonen (bzw. keine genaue Zuordnung möglich) 4942402635 Interessenvertreter (Verbände, Organisationen, Vereine usw.) 1657914 Rechtsanwälte127542 Unternehmen19747137 Universitäten01 Total149931337679 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Der EDÖB
Zugangsgesuche der gesamten Bundesverwaltung vom 1. Januar bis 31. Dezember 2021 Zugang teilweise gewährt / aufgeschoben 23 % Zugang gewährt 50 % kein amtliches Dokument vorhanden 8 % Rückzug 3 % Zugang verweigert 9 % hängig 7 % Zugang teilweise gewährt / aufgeschoben 0 BKEDAEDIEJPDVBSEFDWBFUVEKBAPD 50 100 150 200 250 300 350 400 450 Zugang verweigert Zugang gewährt 0 100 200 300 400 500 Rückzug hängig kein amtliches Dokument vorhanden Anzahl Gesuche 99 29. Tätigkeitsbericht 2021/22 Der EDÖB
100 Datenschutz, Gesetzgebung Daniel Dzamko Leiter Fachbereich Kommunikation Hugo Wyler Leiter Team 1Team 2Team 3 Kompetenzzentren Kosmas Tsiraktsopoulos Leiter Kompetenz zentrum Geschäfts verwaltung, Personelles und Finanzen Kompetenzzentrum IT und Digitale Gesellschaft Öffentlichkeits prinzip, Gesetzgebung Reto Ammann Leiter Eidgenössischer Datenschutz und Öffentlichkeitsbeauftragter Adrian Lobsiger, Beauftragter Daniel Dzamko, Stv. Beauftragter a. i. Internationale Angelegenheiten, Kantone Caroline Gloor Scheidegger Leiterin Direktionsbereiche 3.4 Organisation EDÖB (Stand 31. März 2022) Organigramm Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Der EDÖB
Mitarbeiter und Mitarbeiterinnen des EDÖB Anzahl Mitarbeitende39 FTE32.4 nach GeschlechtFrauen1949% Männer2051 % nach Beschäftigungsgrad1–89 %2769% 90–100%1231 % nach SpracheDeutsch2977% Französisch820% Italienisch13% nach Alter20–49 Jahre2359% 50–65 Jahre1641 % KaderpositionenFrauen333% Männer667% 101 29. Tätigkeitsbericht 2021/22 Der EDÖB
kredit IKT Informations- und Kommuni- kationstechnologien KI Künstliche Intelligenz Konvention 108+ Übereinkommen des Europarats zum Schutz des Menschen
schutz im Rahmen der Anwendung des Schengen-Besitzstands in Strafsachen [SR 235.3] SEC US-Börsenaufsichtsbehörde VDSZ Verordnung
über die Datenschutzzertifizierungen ZEK Zentralstelle für Kreditinformation Abkürzungsverzeichnis 102 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
Abbildungsverzeichnis Grafiken Grafik 1: Beurteilung Zugangsgesuche – Entwicklung seit 2008 .........................S. 73 Grafik 2: Erhobene Gebühren seit Inkrafttreten des BGÖ ..........................S. 75 Grafik 3: Schlichtungsanträge seit Inkrafttreten des BGÖ .........................S. 76 Tabellen Tabelle 1: Einvernehmliche
Lösungen ...............................................S. 7 7 Tabelle 2: Bearbeitungsdauer Schlichtungsverfahren .......................S. 78 Tabelle 3: Hängige
Schlichtungs verfahren .......................S. 79 Tabelle 4: Für DSG- Belange
einsetzbare Stellen .............................S. 84 Tabelle 5: Leistungen Datenschutz ....S. 85 Tabelle 6: Beratungen in umfang- reicheren Projekten für 2021 ..............S. 85 Tabelle 7: Wirkungsziele EDÖB ..............S. 87 Abbildungsverzeichnis 103 29. Tätigkeitsbericht 2021/22
Impressum Dieser Bericht ist in vier Sprachen vorhanden und über das Internet (www.derbeauftragte.ch) aufrufbar. Vetrieb: BBL, Verkauf Bundespublikationen, CH-3003 Bern www.bundespublikationen.admin.ch Art.-Nr. 410.029.D Layout: Ast & Fischer AG, Wabern Fotografie: Tim Troxler Schriften: Pressura, Documenta Druck: Ast & Fischer AG, Wabern Papier: PlanoArt ® , holzfrei hochweiss
Anliegen des Datenschutzes Zweckgebundenheit Die Daten werden nur zu dem Zweck bearbeitet, der bei der Beschaffung angegeben wurde, aus den Umständen ersichtlich oder gesetzlich vorgesehen ist. Dokumentation Alle Datenbearbeitungen werden durch den Datenbearbeiter dokumentiert und klassifiziert. Datenrichtigkeit Die Bearbeitung erfolgt mit zutreffenden Daten. Eigenverantwortung Private und Bundesorgane nehmen ihre Pflicht zur Beachtung der Datenschutzgesetzgebung eigen- verantwortlich wahr. Wahlmöglichkeit Betroffene geben ihre Einwilligung informiert und erhalten eine echte Wahl freiheit. Verhältnismässigkeit Kein Datensammeln auf Vorrat, sondern nur so weit wie nötig zur Erreichung des Zwecks. Die Datenbearbeitung wird umfang- mässig und zeitlich limitiert. Datensicherheit Die Datenbearbeiter stellen technisch und organisatorisch sicher, dass die Personendaten hinreichend geschützt sind. Faire Information Unternehmen und Bundesorgane informieren transparent über ihre Daten bearbeitung: verständlich und voll ständig. Risikoanalyse Bereits im Projekt werden die möglichen Datenschutzrisiken identifiziert und deren Auswirkun- gen mit Massnahmen minimiert. Zugangsgesuche Öffentlichkeitsprinzip (BGÖ) 50% gewährt 9% verweigert 23 % teilweise gewährt/ aufgeschoben 6% hängig 4% Rückzug 8% kein amtliches Dokument vorhanden Kennzahlen Leistungen Datenschutz 1 0,7 % Gesetzgebung 16,2 % Information 17,3 % Aufsicht 55,8 % Beratung