Tätigkeitsbericht 2019/2020 des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte hat der Bundesversammlung periodisch einen Bericht über seine Tätigkeit vorzulegen (Art. 30 DSG). Der vorliegende Bericht deckt den Zeitraum zwischen 1. April 2019 und 31. März 2020 ab.
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
Am Ende dieser Berichtsperiode dominieren nicht digitale, sondern natürliche Viren die Schlagzeilen. Das Coronavirus dringt in das lebende Gewebe der Menschen ein und thematisiert so unsere Verletzlichkeit als biologische Wesen, die eine natürliche Furcht vor dem Unsichtbaren empfinden. Unsere digitalisierte Gesellschaft bietet eine Fülle von Diensten an, die unsere Furcht vor der unsichtbaren Welt der Viren und Keime lindern. Gegen Computerviren vertrauen wir auf digitale Brandmauern, und gegen Kontami- nation mit Keimen leistet das digitale Homeoffice in diesen Tagen wertvolle Dienste. Und Apps, die durch Analyse von Mobilitätsdaten komfortablere Rei- severhältnisse mit einem Minimum an Enge schaffen, helfen mit, unsere Gesundheit im präventiven Sinn zu schützen. Trotz des offensichtlichen Nutzens digitaler Technologien, trotz der berechtigten Betonung von Gemeinsinn, Disziplin und Krisensolidarität und ungeachtet unserer natürlichen Furcht vor dem unsichtbaren Virus, sollten wir indessen auch jetzt mit unserem selbstbestimmten Denken nicht aus- setzen. Gilt es doch gerade während Pandemien und Wirtschaftskrisen wach- sam zu verhindern, dass Verschwörungstheorien, Aberglaube oder kaltes Machtstreben Oberhand gewinnen und uns in die Fänge einer digitalen Vor- mundschaft schubsen. Wann die Normalität zurückkehren wird, ist im Zeitpunkt der Drucklegung des Berichts nicht absehbar. Wir hoffen alle, dass es bald und mit möglichst wenigen Opfern geschehen kann. Mit dieser Hoffnung verbinde ich auch die Erwartung, dass wir «am Tag danach» auch unsere informationelle Selbst- bestimmung unbeschadet wiederfinden werden und dass insbesondere auch das anonyme Bargeld diese Krise überleben wird, obwohl zuweilen Keime an ihm kleben. Adrian Lobsiger Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Bern, den 31. März 2020 Vorwort 27. Tätigkeitsbericht 2019/20
Inhaltsverzeichnis Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Aktuelle Herausforderungen .....................6 Datenschutz 1.1 Digitalisierung und Grundrechte ............14 –Wahlen und Abstimmungen: Wahl-Features von Facebook –Aktualisierter Leitfaden und neue Checkliste für Parteien –Elektronische Identität: Einsatz für höchstmögliches Schutzniveau –Die «SwissID» der SwissSign Group AG –De-Anonymisierung als Gefahr der KI –Bundesamt für Statistik BFS: Mehr Transparenz und Vorort-Audits bei der Bekanntgabe von Personendaten ins Ausland gefordert –Die Vermarktung von Bewegungsdaten aus dem Mobilfunknetz erachtet der EDÖB trotz aufwendiger Anonymisierung nach wie vor als problematisch –5G Standard: EDÖB kontrolliert Datenschutzmassnahmen der Fernmeldedienstanbieter zur sicheren Implemen- tierung –Falsche E-Mail-Adressen bei Swisscom –«Tiktok» im Fokus der Datenschützer –Musik-Streamingdienst – Analyse der Personendaten auf Basis eines Auskunftsgesuches des EDÖB –Clearview beschafft ungefragt Gesichtsbilder Schwerpunkt I ............................................24 – Revision des Datenschutzgesetzes – Datenschutzkonvention 108+ des Europarates 1.2 Justiz, Polizei, Sicherheit ..................27 –DNA-Profile: ein strenger Gesetzesrahmen ist unerlässlich –Gesetz zur Bekanntgabe von Flugpassagierdaten in EU-Staaten verzögert sich –Swiss Buchungssystem – Massnahmen gegen Datenmissbrauch in Umsetzung –Polizeiliche Massnahmen zur Bekämpfung von Terrorismus –Technische Aufsicht der Nutzung des Schengener Informationssystems (SIS) bei fedpol und ISC-EJPD –Eröffnung einer Untersuchung des fedpol betreffend die Tätigkeiten im Rahmen des SIRENE-Büros –Das Schengen-Datenschutzgesetz –Zweiter Review Privacy Shield 1.3 Steuer- und Finanzwesen .........................35 –Bekanntgabe von Personendaten an ausländische Steuerbehörden – problematische Ausdehnung auf weitere Staaten –Das Bundesverwaltungsgericht heisst die Beschwerde des Beauftragten im ESTV-Fall gut: Betroffene Dritte haben das Recht auf vorgängige Information 1.4 Handel und Wirtschaft ............................37 –Fehlerhafte Datenbankeinträge bei Inkassounternehmen –Verwendung der Daten von ricardo.ch innerhalb der Tamedia-Gruppe (TX Group) –Fehlerhafte Adressen bei der Serafe AG – Massnahmen zur Datenrichtigkeit nötig –Analyse von Transaktionsdaten zu Planungszwecken –Sportwarenhändler Decathlon informierte mangelhaft über Datenbeschaffung –Authentifizierung mit Stimmerkennung bei der PostFinance AG –Videoüberwachung mit intelligenten Kameras bei Migros 1.5 Gesundheit .............................................42 –Intensivierte Kontakte im Hinblick auf die Einführung des elektronischen Patientendossiers –Bonusprogramm Helsana+ - Umsetzung des Bundesverwaltungsgerichtsurteils –«Swiss National Cohort» : weiterführende Schutzmass- nahmen erforderlich –Untersuchung zu IQOS, die elektronische Zigarette der neuen Generation von Philip Morris 1.6 Arbeit ....................................................45 –Zeiterfassung und Tracking mit Apps im Arbeitsbereich –Einsatz von künstlicher Intelligenz im Bewerbungs- verfahren 1.7 Versicherungen .......................................47 –Neue rechtliche Bestimmungen zu den Observationen im Bereich der Sozialversicherungen in Kraft –Gesetzesvorlage zur systematischen Verwendung der AHV-Nummer 1.8 Verkehr ..................................................49 –ÖV-App SmartWay erstellt Persönlichkeitsprofile –Kontrolle eines Pilotprojekts von SBB und Axon Vibe –Schutz der Privatsphäre im Projekt Mobility Pricing –App Cyclomania von Pro Velo Schweiz 1.9 International ........................................52 –Internationale Konferenz der Datenschutzbeauftragen in Tirana –Europäische Konferenz der Datenschutzbeauftragten in Tiflis –Französischsprachige Vereinigung der Datenschutz- behörden –Aufsichtskoordinationsgruppen über die Informations- systeme SIS II, VIS und Eurodac –OECD: Arbeitsgruppe «Data Governance and Privacy in the Digital Economy» –Plenarsitzungen des Europäischen Datenschutz- ausschusses (EDSA)
Inhaltsverzeichnis 27. Tätigkeitsbericht 2019/20 –Europäische Arbeitsgruppe für die Behandlung datenschutzrelevanter Fälle –Unterarbeitsgruppe BTLE «Border, Travel & Law Enforcement» –Europäische Datenschutz-Grundverordnung (DSGVO) –Brexit und Übermittlung von Personendaten –Beratender Ausschuss zum Übereinkommen 108 – T-PD –Angemessenheitsbeschluss betreffend das Schweizer Datenschutzniveau Schwerpunkt II ...........................................60 – Projekt Libra – Internationale Tätigkeiten und Treffen Öffentlichkeitsprinzip 2.1 Allgemein ...............................................64 2.2 Zugangsgesuche – erneute Zunahme im 2019 ..................................................65 2.3 Schlichtungsverfahren – bedeutende Zunahme der Schlichtungsanträge ............68 –Dauer der Schlichtungs verfahren –Anteil einvernehmlicher Lösungen –Anzahl hängiger Fälle 2.4 Ämterkonsultation ..................................71 –Ämterkonsultation zum Entwurf für ein Gesetz über Zoll und Grenzsicherheit, Eröffnung des Vernehm- lassungsverfahrens –Konsultationen zur Vereinbarung zwischen dem Bund und den Kantonen über die Harmonisierung und die gemeinsame Bereitstellung der Polizeitechnik und -informatik –Ämterkonsultation Zentraler Nachweis amtlicher Dokumente –Ämterkonsultation zum Tarifvertrag CART-T-Zelltherapie –Ämterkonsultation Vernehmlassung der Teilrevision des KVG betreffend Mass nahmen zur Kostendämpfung – 2. Paket –Ämterkonsultation zur Totalrevision der Verordnung über das öffentliche Beschaffungswesen Der EDÖB 3.1 Aufgaben und Ressourcen .........................80 –Der Beauftragte –Leistungen und Ressourcen im Bereich Datenschutz –Leistungen und Ressourcen im Bereich Öffentlichkeitsgesetz 3.2 Kommunikation ........................................84 –Ausbau aufgrund von zusätzlichen Aufgaben und fehlender kritischer Grösse –Hohes mediales Interesse – auch im Ausland –Gemeinsame Kommunikation der Datenschutz- behörden von Bund und Kantonen am Internationalen Datenschutztag –Stellungnahmen, Empfehlungen und Publikationen –Website nach wie vor wichtigster Kanal unserer Kommunikation 3.3 Statistiken ...........................................88 –Statistiken über die Tätigkeiten des EDÖB vom
Abbildungsverzeichnis ...........................99 Impressum ............................................100
In der Klappe Die wichtigsten Zahlen und Fakten Anliegen des Datenschutzes
Aktuelle Herausforderungen 6 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Aktuelle Herausforderungen I Digitalisierung Die Corona-Krise und die von ihr aus- gelöste Verlagerung von Arbeit und Konsum zu Homeoffice und Home- shopping führt vor Augen, wie prä- gend die IKT und das Internet für die Alltagsgestaltung der Schweizer Bevölkerung geworden sind. Technologie und Wirtschaft Das technische und wirtschaftliche Potenzial für Eingriffe in die Privat- sphäre und Selbstbestimmungsrechte der Bevölkerung bleibt hoch. Mit Besorgnis nahm der Beauf- tragte während der Berichtsperiode zur Kenntnis, dass immer mehr Pri- vate dazu übergegangen sind, biomet- rische Daten in grossen Mengen auto- matisiert zu bearbeiten. Sei es, indem private Unternehmen solche Daten im direkten Kontakt mit ihren Kunden beschaffen, wenn sich Letztere z.B. über ihre Stimme identifizieren (s. Kap.
Aktuelle Herausforderungen 7 27. Tätigkeitsbericht 2019/20 Gesellschaft und Datenpolitik Im Zuge der globalen Bekämpfung des Coronavirus haben Regierungen schwer betroffener Regionen in Asien, wo das Virus ausgebrochen ist, ihre nach westlichen Massstäben teilweise bereits sehr einschneidenden Mittel zur digitalen Überwachung der Bevöl- kerung weiter ausgebaut, um die wei- tere Verbreitung des Erregers zu ver- hindern. Aufgrund des Übergreifens des Virus auf die Schweiz musste auch der Bundesrat gesundheitspolizeiliche Massnahmen anordnen. Nachdem er am 16. März 2020 gestützt auf Art. 7 des Epidemiengesetzes die ausseror- dentliche Lage ausgerufen hatte, konnte der Bundesrat Massnahmen anordnen, die in diesem Gesetz nicht näher umschrieben sind. Das Gesetz verlangt einzig, dass die Massnahmen zur Bekämpfung der Seuche «notwendig» sein müssen. In seinen laufend aktualisierten, öffentli- chen Stellungnahmen zur Pandemie wies der EDÖB stets darauf hin, dass sich insbesondere der Einsatz digitaler Methoden zur Erhebung und Analyse von Mobilitäts- und Proximity-Daten mit Blick auf den Zweck der Verhinde- rung von Ansteckungen als verhältnis- mässig erweisen müsse, was heisst, dass die eingesetzten Methoden epide- miologisch begründet und geeignet sein müssen, im jeweils aktuellen Stadium der Pandemie eine die Ein- griffe in die Persönlichkeit der Betrof- fenen rechtfertigende Wirkung zur Eindämmung der Seuche zu entfalten. Am 2 4. März 2020 bestellte der Beauf- tragte eine EDÖB-interne Task Force Corona, die ab diesem Tag diverse private und staatliche Projekte zur digitalen Bekämpfung der Seuche prüfte. Er informiert über seine Web- seite laufend über die Arbeiten der Task Force und deren Ergebnisse (www.edoeb.admin.ch). Der Beauftragte erwartet, dass das tragische Kollektivereignis des Coro- navirus keine bleibenden Beeinträchti- gungen der informationellen Selbstbe- stimmung und Privatsphäre der Schweizer Bevölkerung zur Folge haben wird. In seiner Stellungnahme hat er mit Blick auf die mit der Bekämpfung des Virus verbundenen Personendatenbearbeitungen vorsorg- lich darauf hingewiesen, dass die ent- sprechenden Daten nach Abklingen der Pandemie zu löschen oder anony- misieren sind. Gesetzgebung Die gesetzgeberischen Arbeiten zur Totalrevision des Datenschutzgesetzes (DSG) sind weit fortgeschritten. Nach- dem die Vorlage von beiden Räten durchberaten wurde, steht die Bereini- gung der Differenzen am Ende der Berichtsperiode noch an, zumal es auch aufgrund der Pandemie zu Verzö- gerungen gekommen ist. Der Beauf- tragte hofft, dass die Differenzen – trotz Coronavirus – bald bereinigt werden und die Schlussabstimmung in der Sommersession stattfinden kann. «Die Bewältigung der Pandemie darf keine bleibenden Beeinträchtigungen des freien und selbstbestimmten Lebens zur Folge haben.»
Aktuelle Herausforderungen 8 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter II Beratungs- und Kontrolltätigkeit Damit der EDÖB als Aufsichtsbehörde sicherstellen kann, dass Personenda- ten nicht mit der technisch machbaren, sondern der rechtlich zulässigen Intensität bearbeitet werden, verlangt er von den Verantwortlichen digitaler Applikationen, dass sie hohe daten- schutzrechtliche Risiken bereits im Planungs- und Projektstadium mini- mieren und gegenüber der betriebli- chen und behördlichen Datenschutz- aufsicht dokumentieren. Vor diesem Hintergrund haben wir denn auch in der aktuellen Berichtsperiode die auf- sichtsrechtliche Begleitung einer Viel- zahl von Big Data Projekten von Bun- desbehörden und privaten Unterneh- men fortgesetzt. Nicht zuletzt um die eigenen Res- sourcen wirksam einsetzen zu können, wirkt der Beauftragte mit Blick auf Grossvorhaben, die mit hohen Daten- schutzrisiken verbunden sind, weiter- hin auf den selbstverantwortlichen Einsatz moderner Arbeitsinstrumente wie der Datenschutzfolgenabschät- zung und gegebenenfalls auch die Einsetzung betrieblicher Datenschutz- organe hin. Der Anteil unserer Gesamtaufwendungen für die bera- tende Begleitung von privatwirt- schaftlichen Projekten ist im Berichts- jahr denn auch etwas zurückgegangen. Einen besonderen Beratungs- schwerpunkt hat der EDÖB mit Blick auf die Eidgenössischen Erneuerungs- wahlen im Herbst 2019 gesetzt, indem er im Dezember 2018 zusammen mit den kantonalen Datenschutzbehörden einen Leitfaden zur Anwendung des Datenschutzrechts auf die digitale Personendatenbearbeitung im Kontext von Wahlen und Abstimmungen pub- lizierte (www.edoeb.admin.ch/ wahlen). In der Endphase des Wahl- kampfes hat der EDÖB die politischen Parteien mit einer Aktualisierung des Leitfadens der Datenschutzbehörden und einer medial stark beachteten Checkliste zur Nachbesserung ihres Webangebots angehalten. Ein weiterer Schwerpunkt lag bei der Beratung der Verkehrsbranche bezüglich der Ausgestaltung von Ticketing Apps (s. Kap. 1.8). Die Bear- beitung von Mobilitätsdaten erweist sich als besonders heikel, weil diese leicht zu Persönlichkeitsprofilen führt, die sich nur mit grossem Aufwand pseudonymisieren oder gar anonymi- sieren lassen (s. Kap. 1.1). Vor diesem Hintergrund ist es zu begrüssen, dass der Ständerat erkannt hat, dass der mit der Revision des DSG wegfallende besondere Schutz vor profilbildenden Bearbeitungen beibehalten und unter der neuen Begrifflichkeit des «Profi- lings» verankert werden soll. Es ist zu hoffen, dass sich die beiden Kammern dahingehend verständigen können, dass das Schutzniveau des heutigen DSG zumindest beibehalten werden kann (s. Schwerpunkt I). Nachdem die Aufwendungen für die Kontrollaufgaben in der Periode 2015/16 deutlich absanken, konnten diese in der letzten sowie der aktuellen Periode wieder angehoben werden. Sie liegen jedoch immer noch unter dem langjährigen Durchschnittswert der Vorperioden. Angesichts der anhal- tend knappen Mittelausstattung unse- rer Behörde war dieser Anstieg nur unter Kürzung anderer Leistungen zu bewerkstelligen. Auch in der aktuellen Berichtsperiode vermochte der EDÖB die berechtigten Erwartungen der Öffentlichkeit nach aufsichtsrechtli- chen Massnahmen hinsichtlich der Bearbeitung von Personendaten durch Konsumenten-Apps und soziale Netz- werke nicht im gewünschten Mass zu erfüllen (s. Kap. 3.1). Da der betriebliche Datenschutz bei der aufsichtsrechtlichen Begleitung digitaler Grossprojekte eine wichtige Brücke zum behördlichen Daten- schutz schlagen kann, haben der Beauftragte und sein Stellvertreter ihre regelmässigen persönlichen Fachge- spräche mit den Vereinigungen der Datenschutzberater der privaten Unternehmen der deutschen und fran- zösischen Schweiz auch in dieser Berichtsperiode fortgesetzt. Diese Gespräche werden gut besucht und haben sich für alle Beteiligten von grossem praktischen Nutzen erwiesen. «Der betriebliche Datenschutz schlägt bei der aufsichtsrechtlichen Begleitung digitaler Grossprojekte eine wichtige Brücke zum behördlichen Datenschutz.»
Aktuelle Herausforderungen 9 27. Tätigkeitsbericht 2019/20 III Nationale und internationale Kooperation Nationale Kooperation Der EDÖB hat seine Zusammenarbeit mit den kantonalen Datenschutzstel- len weiter intensiviert. Als Beispiele sind hier zu nennen: Fachgespräche mit den kantonalen Datenschutzbe- auftragten im Hinblick auf die Einfüh- rung des elektronischen Patientendos- siers (s. Kap. 1.5), die gemeinsame Kommunikation der Datenschutzbe- hörden von Bund und Kantonen am internationalen Datenschutztag über die Gefahren für die Privatsphäre im privaten und öffentlichen Verkehr (s. Kap. 3.2), Teilnahme an den ver- schiedenen Präsidiums- und Plenarsit- zungen der Konferenz der schweizeri- schen Datenschutzbeauftragten (Pri- vatim) und Sitzungen der französisch- sprachigen Datenschutzbeauftragten. Dabei konnten Positionen zu laufen- den Vernehmlassungsverfahren und Erfahrungen in den jeweiligen Bera- tungs- und Aufsichtskompetenzen ausgetauscht werden. Unterzeichnung der Konvention 108+ Die Schweiz unterzeichnete nach einem Entscheid des Bundesrates die Konvention 108+ am 21. November 2019 in Strassburg formell. Die ent- sprechende Botschaft zur Genehmi- gung des Protokolls wurde vom Bun- desrat am 6. Dezember 2019 zuhanden des Parlaments verabschiedet. Mit einem Beitritt zur modernisierten Konvention will die Schweiz ein hohes Datenschutzniveau für die Pri- vatsphäre gewährleisten und den grenzüberschreitenden Datenverkehr im öffentlichen Sektor sowie in der Privatwirtschaft erleichtern. Der Bei- tritt ist ein wichtiges Element mit Blick auf die vor dem Abschluss ste- hende Evaluation durch die Europäi- sche Kommission (s. unten). Neues Europäisches Datenschutzrecht Die Datenschutzgrundverordnung der EU (DSGVO) ist seit Mai 2018 in Kraft. Der EDÖB verfolgt intensiv die Anwendung in den verschiedenen europäischen Ländern und führt das erstmals im Herbst 2017 veröffent- lichte Merkblatt laufend nach. Es ist uns weiterhin ein Anliegen, die betrof- fenen Schweizer Unternehmen mit Rat und Tat zu unterstützen. «Arbeit und Konsum verlagern sich zu Homeoffice und Homeshopping.»
Aktuelle Herausforderungen 10 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Evaluation des Datenschutzniveaus Die Europäische Kommission über- prüft das Datenschutzniveau von Drittländern und hat der Schweiz letztmals im Jahre 2000 attestiert, dass ihr Datenschutzniveau angemes- sen ist. Unternehmen in der EU kön- nen deshalb Personendaten ohne wei- tere Massnahmen mit Firmen in der Schweiz austauschen. Der Evaluie- rungsprozess der EU auf der Basis der DSGVO begann offiziell im März 2019. Während des Berichtsjahres unter- stützte der EDÖB die vom Bundesamt für Justiz geleitete Arbeitsgruppe mit seinem Knowhow (s. Kap. 1.9). Der entsprechende Bericht der Kommis- sion wir für Ende Mai 2020 erwartet. Nach dem Referendum im Verei- nigten Königreich über den Austritt aus der EU (Brexit) vom Juni 2016 erfolgte dessen Austritt am 1. Februar 2020. Unsere Behörde hat an zahlrei- chen Sitzungen mit Behörden des Bundes und des Vereinigten König- reichs teilgenommen, um sicherzu- stellen, dass der freie Verkehr von Per- sonendaten zwischen der Schweiz und Grossbritannien auch nach dem Brexit möglich bleibt. Das Vereinigte König- reich gilt als Land mit einem angemes- senen Datenschutzniveau, und der EDÖB sieht derzeit keine Veranlas- sung, dessen Status zu ändern. Die EU wird bis Ende Jahr 2020 prüfen, ob dem Vereinigten Königreich eine datenschutzrechtliche Angemessen- heit attestiert wird. Der EDÖB beob- achtet diese Entwicklungen weiterhin aktiv (s. Kap. 1.9). Swiss-US Privacy Shield Im Herbst 2019 haben wir im Rahmen einer vom Seco angeführten Delega- tion die zweite aufsichtsbehördliche Überprüfung für das Swiss-US Privacy Shield durchgeführt. Die Überprüfung zeigte nach wie vor Schwachstellen auf, die Funktionsweise des Privacy Shields konnte jedoch weiter verbes- sert werden (s. Kap. 1.9). Der mit Spannung erwartete Ent- scheid über die derzeit vor dem Gerichtshof der Europäischen Union (EuGH) hängige Rechtssache betref- fend die Übermittlung von Daten von der EU in die USA (Schrems II), bei der gegebenenfalls auch das EU-US Pri- vacy Shield Rahmenabkommen beur- teilt wird, steht noch aus. Eine unmit- telbare Wirkung auf die Schweiz wird das Urteil nicht haben. Der EDÖB wird nach dessen Ausfällung die mög- liche Relevanz auf das Swiss-US Pri- vacy Shield Rahmenabkommen analy- sieren. «Unternehmen in der EU können Personendaten ohne weitere Massnahmen mit Firmen in der Schweiz austauschen.»
Aktuelle Herausforderungen 11 27. Tätigkeitsbericht 2019/20
Datenschutz
14 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Datenschutz 1.1 Digitalisierung und Grundrechte Wahlen und Abstimmungen: Wahl-Features von Facebook Facebook hat anlässlich der Eidgenös- sischen Wahlen 2019 Features einge- setzt, um die Stimmberechtigten auf ihrer sozialen Plattform anzusprechen. Das Unternehmen hat dem EDÖB die Einhaltung der datenschutzrechtlichen Anforderungen gemäss dem Leitfaden zu Wahlen und Abstimmungen bestätigt. Nachdem der Beauftragte durch Medi- enberichte Kenntnis davon erhalten hatte, dass Facebook im Hinblick auf die Eidgenössischen Wahlen 2019 auf ihrer sozialen Plattform möglicher- weise Wahl-Features wie den «Voter- Button» einsetzen werde, hat er die vom Unternehmen vorgängig benann- ten Kontaktstellen angeschrieben und um Stellungnahme gebeten. In seinem Schreiben hat der EDÖB unter Ver- weis auf seinen Leitfaden zu Wahlen und Abstimmungen (s. Box) darauf hingewiesen, dass die Betreiber von sozialen Netzwerken dazu aufgerufen sind, fair und vollständig über die im Zusammenhang mit Wahlen einge- setzten digitalen Bearbeitungsmetho- den zu informieren. Nur aufgrund einer solchen Transparenz können die Stimmbürgerinnen und -bürger abschätzen, ob und wie sie in ihrer Meinungsbildung oder ihrem Wahl- verhalten beeinflusst werden.
Facebook Ireland Ltd. hat daraufhin dem EDÖB schriftlich bestätigt, dass die Plattform einen Tag vor den Wah- len und am Wahltag entsprechende Funktionen einsetzen werde. Das soziale Netzwerk werde zum Wahlter- min ohne Ausnahme alle über 18-jäh- rigen Facebook-Nutzerinnen und -Nutzer in der Schweiz an die Wahl erinnern. Weiter versicherte uns das Unternehmen, dass Facebook hin- sichtlich der Zustellung dieser Erinne- rung keine Selektion von Gruppen oder Personen vornehme. Gemäss den schriftlichen Zusicherungen zielten die Features alleine darauf ab, die Nut- zer für die anstehenden Wahlen zu sensibilisieren und die Teilnahme zu fördern – zum Beispiel indem die betroffenen Personen auf ihrem Profil posten können, dass sie an der Wahl teilgenommen haben. Facebook betonte, dass vom Unternehmen in diesem Zusammenhang keine politi- schen Ansichten der jeweiligen Nutzer bear- beitet werden. Weiter hat Facebook dargelegt, dass das Unternehmen den Transparenzerfordernissen unseres Leitfadens Beachtung schenke. Die betroffenen Personen sollen sich über eine mehrstufige Information mittels Hyperlinks über die eingesetzten Funktionen, Methoden und deren Bearbeitungsgrundlagen informieren können. Der EDÖB hat die Öffentlich- keit über seine Webseite über die Zusi- cherungen von Facebook informiert. Aktualisierter Leitfaden und neue Checkliste für Parteien Der EDÖB hat die politischen Parteien vor der Endphase der Eidgenössischen Wahlen 2019 mit einer Aktualisierung des Leitfadens der Datenschutzbehörden und einer medial stark beachteten Checkliste zur Nachbesserung ihres Weban- gebots angehalten. Die Datenschutzbehörden von Bund und Kantonen haben Ende 2018 einen Leitfaden zur Anwendung des Datenschutzrechts auf die digitale Bearbeitung von Personen- daten im Zusammenhang mit Wahlen und Abstimmungen publiziert. Dies mit dem Ziel, die politischen Parteien und übrigen Akteure wie Betreiber sozialer Netzwerke oder Datenhändler im Hinblick auf die Eidgenössischen Wahlen 2019 zu einer geset- zeskonformen Datenbearbeitung anzuhalten. Den politischen Parteien zeigt der Leitfaden insbesondere auf, wie sie das datenschutzrecht- liche Grundprinzip der Transparenz im Sinne der berechtigten Erwar- tungen der Stimmbürger zur Anwendung bringen können (s. 26. TB, Kap. 1.1). Vor der Endphase des Wahlkampfes hat der EDÖB den Leitfaden aktualisiert und mit einer Checkliste für die politischen Parteien ergänzt. Letztere enthielt Kontrollfragen, die bei den Medien auf hohe Resonanz stiessen und dazu führten, dass mehrere Parteien ihre Webseiten im Bemühen einer vorbildlichen Anwendung des Daten- schutzgesetzes vor dem Urnengang nachbesserten.
15 Datenschutz 27. Tätigkeitsbericht 2019/20 Nach Aufschaltung der Wahl-Features hat der Beauftragte die Umsetzung der Transparenzvorgaben überprüft und dabei festgestellt, dass Facebook die Nutzer in der beschriebenen Weise über die damit verbundenen Datenbe- arbeitungen informiert. Zudem konnte er sich vergewissern, dass alle weiteren Aktivitäten, wie z.B. Postings zur Wahlbeteiligung bestimmter Per- sonen, von den Nutzern selber und freiwillig vorgenommen werden. Nachdem auch keine Hinweise auf anderweitige datenschutzrechtliche Mängel vorlagen, konnte er auf weiter- führende Massnahmen verzichten. Auch nach den Wahlen 2019 unter- streichen wir die Wichtigkeit, die Persönlichkeitsrechte im politischen Kontext zu wahren. Wir werden die diesbezügliche Situation in der Schweiz weiterhin aufsichtsrechtlich beobachten.
16 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Datenschutz Elektronische Identität: Einsatz für höchstmögliches Schutzniveau Mit dem Bundesgesetz über aner- kannte elektronische Identifizierungs- dienste (BGEID) wurde eine gesetzliche Grundlage geschaffen, die eine sichere Identifikation von Personen im Online-Geschäftsverkehr oder bei E-Government-Anwendungen ermögli- chen soll. Der EDÖB konnte im Gesetz- gebungsprozess seine Anliegen erfolg- reich einbringen. Politisch umstritten blieb in den inzwischen abgeschlossenen parla- mentarischen Beratungen des BGEID die Aufgabenteilung zwischen Staat und privaten Unternehmen: Als soge- nannte Identity Provider (IdP) können private Unternehmen durch den stan- dardisierten Rechtsrahmen des BGEID zur Ausstellung von elektronischen Identitäten ermächtigt werden. Vor- aussetzung dafür ist eine staatliche Zulassung durch eine unabhängige Kommission, die EIDCOM. Die Zulas- sung erteilt die EIDCOM privaten Gesuchstellern, welche Gewähr bieten, dass sie die technischen und sicher- heitsrelevanten Anforderungen des BGEID erfüllen. Vor der Anerkennung eines IdP wird der EDÖB von der EID- COM hinsichtlich der datenschutz- rechtlichen Vorgaben angehört. Der zugelassene IdP untersteht der laufen- den Aufsicht durch die EIDCOM. Der Beauftragte hat sich im Rahmen der Vorbereitung der Vorlage durch die Verwaltung und in den Beratungen in den Rechtskommissionen der Eidge- nössischen Räte dafür eingesetzt, dass mit dem BGEID keinerlei Pflichten eingeführt werden, sich für den Zugang zum Internet und zum e-Commerce gesichert identifizieren zu müssen. Weiter haben wir darauf hingewirkt, dass jegliche Datenbe- kanntgabe vom IdP an Dritte zu kom- merziellen oder ähnlichen Zwecken ausgeschlossen wird. Eine Datenbekannt- gabe an einen Online- dienstanbieter ist nur dann erlaubt, wenn dies für die Identi- fizierung der betreffenden Person beim Dienstanbieter zur Erfüllung vertraglicher Pflichten notwendig ist und der Nutzer vor der ersten Daten- weitergabe informiert wurde. Diese Datenbekanntgabe muss in einer Ver- einbarung zwischen dem IdP und dem Onlinedienstanbieter geregelt und zusätzlich dem EDÖB zur Prüfung vorgelegt werden. Nachdem unsere Anliegen im Gesetzgebungsverfahren berücksichtigt wurden, erachtet der Beauftragte das BGEID als konform mit der Datenschutzgesetzgebung des Bundes. In den Schlussabstimmungen vom 27. September 2019 haben der Natio- nalrat und der Ständerat das BGEID verabschiedet. Gegen das Gesetz ist das Referendum zustande gekommen, welches darauf abzielt, die Herausgabe der elektronischen Identität einzig in staatliche Hände zu legen. Die «SwissID» der SwissSign Group AG Die SwissSign Group AG hat mit der «SwissID» eine systemrelevante Bedeutung. Der EDÖB begleitet die Projekte des Unternehmens im Rahmen seiner aufsichts- rechtlichen Beratungstätigkeit. Die SwissSign Group AG bietet mit der «SwissID» ein Produkt für den Online- Geschäftsverkehr an, das sowohl reine Single-Sign-On (SSO) Dienste als auch die Herausgabe einer elektronischen Identität (s. Haupttext) auf privater Basis beinhal- tet. Das Produkt soll im Hinblick auf das kommende BGEID ausgebaut werden, damit die Nutzer identitätspflichtige Rechtsgeschäfte mit einer staatlich anerkannten elektronischen Identität online abschliessen und staatliche Dienstleistungen im Internet beziehen können. Nachdem die SwissSign Group AG eine datenschutzverantwortliche Stelle im Unternehmen bestimmt und diese mit der Analyse der datenschutzrechtlichen Risi- ken beauftragt hat, wirkte der EDÖB im Berichtsjahr in regelmässigen Sitzungen mit den Projektverantwortlichen zunächst darauf hin, dass für reine SSO-Dienste eine anonyme Anmeldung möglich sein wird. Die Kunden müssen sich hierfür mit selbst- deklarierten Angaben einloggen können und dürfen weder einer Wahrheitspflicht noch einem Identifizierungsverfahren unterliegen. Weiter muss das Unternehmen sicherstellen, dass identifizierende Personen- daten nur dann an den Onlinedienstanbieter weitergegeben werden, wenn dieser die Daten für die Abwicklung seines Rechtsgeschäftes zwingend benötigt. Dieser Grundsatz soll nicht durch weitergehende Zustimmungen der Nutzer umgestossen werden können. Die SwissSign Group AG hat dem EDÖB zugesichert, diese Grundsätze in ihre Datenpolicy aufzunehmen und in den Verträgen mit den Onlinedienstanbietern und den Nutzern der «SwissID» umzusetzen.
17 Datenschutz 27. Tätigkeitsbericht 2019/20 De-Anonymisierung als Gefahr der KI Eine Arbeitsgruppe des Bundes formu- lierte unter Mitwirkung des EDÖB datenschutzrechtliche Anforderungen an die künstliche Intelligenz (KI). Zu den besonderen Risiken von KI-Syste- men gehört, dass aus der Kombination unpersönlicher Daten persönliche Informationen abgeleitet werden können. In Zusammenhang mit der überarbei- teten Strategie «Digitale Schweiz» beschloss der Bundesrat, eine interde- partementale Arbeitsgruppe zur künstlichen Intelligenz (KI) einzuset- zen. Dabei wurden zu einzelnen The- menbereichen der KI Projektgruppen gebildet. Der EDÖB nahm in der Pro- jektgruppe Datenverfügbarkeit/ Daten nutzung und Rahmenbedin- gungen/Rechtssicherheit Einsitz. Der Gesamtbericht hält fest, dass KI- Systeme aus der Kombination unper- sönlicher Datenelemente, die sie aus riesigen Datenmengen filtern (Big Data), Informationen abzuleiten vermögen, die zur Bestimmbarkeit von Personen führen und somit deren Identifizierung möglich machen (sog. De-Anonymisierung). Der Bericht wurde vom Bundesrat im Dezember 2019 zur Kenntnis genommen und vom Staatssekretariat für Bildung, Forschung und Innovation (SBFI) veröffentlicht (vgl. Website des SBFI). Bundesamt für Statistik: mehr Transparenz und Vor- ort-Audits bei der Bekannt- gabe von Personendaten ins Ausland gefordert Das Bundesamt für Statistik (BFS) setzt neuerdings für Scanning-Dienst- leistungen auf einen Anbieter, welcher Teile der vertraglich zugesicherten Leistung im Ausland erbringt. Bei der dadurch entstehenden Bekanntgabe von Personendaten ins Ausland erach- tet der EDÖB die Massnahmen zum Schutz der Personendaten im Ausland, mittels den vertraglich getroffenen Vereinbarungen, datenschutzrechtlich als angemessen. Er fordert jedoch mehr Transparenz für betroffene Per- sonen und Vorort-Audits beim Auf- tragsdatenbearbeiter. Aufgrund der Schliessung des Digitali- sierungs- und Scanning Services des Bundesamtes für Informatik und Tele- kommunikation per Ende 2018 hat das Bundesamt für Statistik zusammen mit dem Bundesamt für Bauten und Logistik den Auftrag erhalten, im Rah- men eines W TO-Verfahrens einen neuen Leistungserbringer für Scan- ning-Dienstleistungen zu evaluieren. Nach der Durchführung des W TO- Verfahrens erhielt die «Tessi document solutions GmbH» den Auftrag. Das Scanning der Papierdokumente erfolgt bei dieser Dienstleistung am Standort Genf, wo sie anschliessend entweder sicher vernichtet, oder an das BFS zurückgeliefert werden. Die Papier- fragebögen verlassen somit die Schweiz nicht. Nach dem Scanvorgang werden als fehlerhaft erkannte Textfelder (Aus- schnitte der Dokumente) im Ausland manuell korrigiert. Die dazu verwen- dete elektronische Verarbeitungs- lösung stellt dem Anwender im Aus- land lediglich das Bild der zu korrigie- renden Textfelder dar, wobei die Gesamtdokumente auf Systemen innerhalb der Schweiz verbleiben. Es kommt dadurch zu einer grenz- überschreitenden Datenbekanntgabe gemäss Art. 6 DSG. Das BFS hat dem EDÖB dazu umfangreiche Dokumen- tationen und auch die vertraglichen Vereinbarungen übermittelt, welche aufzeigen, dass massgebliche Vorkeh- rungen technischer und organisatori- scher sowie vertraglicher Art zum Schutz der Personendaten im Ausland getroffen wurden. Der EDÖB stellte daraufhin in seiner Stellungnahme fest, dass das BFS als Auftraggeber die Verantwor- tung für den Datenschutz und die Datensicherheit über die gesamte Ver- arbeitungskette trägt und sich gemäss Art. 10a Abs. 2 DSG auch darüber ver- gewissern muss, dass der Datenschutz und die Datensicherheit beim Auftrag- nehmer gewährleistet sind. Aufgrund der Tragweite dieses Projekts erachtete der EDÖB zudem die stichprobenar- tige Kontrolle der Räumlichkeiten, in denen die Daten bearbeitet werden, als angezeigt. Weiter erachtet es der Beauftragte im Sinne des datenschutzrechtlichen Grundsatzes der Transpa- renz als unabdingbar, dass die betroffenen Personen, über den Sachverhalt der Bekanntgabe von Daten ins Ausland, durch das BFS aktiv informiert werden. Die Informa- tion der Betroffenen hat gemäss seiner
18 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Datenschutz Auffassung mittels eines entsprechen- den Hinweises auf den Erhebungsfra- gebögen des BFS zu erfolgen. Es zeigt sich, dass datenschutz- rechtliche Überlegungen bereits in der W TO-Evaluierungsphase von Projek- ten mit Personendatenbearbeitungen einzubeziehen sind. Der EDÖB wird das Projekt weiter begleiten und die Umsetzung der geforderten Massnah- men überprüfen. Die Vermarktung von Bewegungsdaten aus dem Mobilfunknetz erachtet der EDÖB trotz aufwendiger Anonymisierung nach wie vor als problematisch Die Art und Weise, wie sich die Men- schen bewegen, ist einzigartig. Aus diesem Grund kann auch nach Anwen- dung von ausgeklügelten Anonymisie- rungsmethoden nicht ausgeschlossen werden, dass anhand dieser eindeuti- gen Bewegungsmuster und zusätzli- chen Angaben mindestens in Einzelfäl- len Personen mit wenig Aufwand bestimmt werden können. Die Daten sind daher als Personendaten zu quali- fizieren, benötigen zur Bearbeitung die Einwilligung der Betroffenen und sind entsprechend zu schützen. Der Trend in der Geschäftswelt, Bewe- gungsdaten aus dem Mobilfunknetz zu statistischen Zwecken zu nutzen, hält weiter an. Mit Hilfe von Bewegungsdaten können Datenbearbeiter heute exakt bestimmen, wo Menschen zu Fuss unterwegs sind, auf welchen Strecken sie fahren, fliegen oder öffentliche Verkehrsmittel nutzen. Die Bewegungsdaten werden verwen- det, um beispielsweise Verkehrsflüsse zu verbessern oder den optimalen Standort für ein Ladenlokal zu planen. So erhielt der EDÖB im 2019 die Anfrage einer Firma betreffend Nut- zung solcher Bewegungsdaten. Dabei ging es um die Frage, ob die nach Anwendung einer ausführlich in der Dokumentation beschriebenen Ano- nymisierungsmethode trotzdem noch als Personendaten klassifizierten Daten vom Mobilfunkanbieter an die Firma übertragen werden dürfen. Die Methode sieht vor, dass bereits beim Fernmeldedienstanbieter meh- rere Anonymisierungsschritte durch- geführt werden, so dass der Firma nur statistische Gesetzmässigkeiten des Verhaltens von Individuen übermittelt werden. Dazu gehört unter anderem, dass einerseits die Informationen zu den Standorten von Mobilfunkgeräten nicht punktgenau erfasst werden. Andererseits werden aus diesen unge- nauen Standortdaten mögliche Bewe- gungspfade berechnet und jener mit der grössten Wahrscheinlichkeit aus- gewählt. Das Ergebnis sind Bewe- gungsprofile, welche den Gesetzmäs- sigkeiten der realen Bevölkerung ent- sprechen, jedoch nicht das tatsächliche Verhalten eines Individuums abbilden sollen. Gemäss der Einschätzung des EDÖB reduziert die angewandte Ano- nymisierungsmethode die Möglich- keiten einer Re-Identifikation von Personen erheblich.
19 Datenschutz 27. Tätigkeitsbericht 2019/20 Es kann jedoch nicht ausgeschlossen werden, dass basierend auf den über- mittelten Daten und durch die Aggre- gation von Wohnsitz und Arbeitsort ein Rückschluss auf ein tatsächliches Individuum gemacht werden kann. Die Problematik liegt insbesondere in den ländlichen Regionen mit gerin- gen Bevölkerungsdichten. Der Auf- wand für eine Re-Identifikation erscheint dem EDÖB jedoch nicht sehr gross. Es muss deshalb damit gerech- net werden, dass ein Interessent diesen auf sich nehmen wird. Aus diesem Grund kann nicht ausgeschlossen werden, dass mindestens im Einzelfall anhand von vorhanden Daten und zusätzlichen Angaben eine Person mit wenig Aufwand bestimmbar ist, und hier folglich Personendaten im Sinne von Art. 3 Bst. a DSG vorliegen. In casu sollen Personendaten, wel- che zum Zweck der Erbringung von Fernmeldediensten und deren Abrech- nung erfasst wurden, für weitere Zwecke genutzt werden. Diese Änderung des Bearbeitungszwecks hat zur Folge, dass die Ein- willigung der betroffenen Personen vorliegen muss sowie Massnahmen zum Schutz der Personendaten zu treffen sind. 5G Standard: EDÖB kontrolliert Daten- schutzmassnahmen der Fern- meldedienstanbieter zur sicheren Implementierung Der EDÖB hat technische Abklärungen zur datenschutzkonformen Implemen- tation des neuen Fernmeldestandards 5G aufgenommen. Der neue Fernmeldestandard 5G, Nachfolger des aktuellen Standards 4G /LTE verspricht nicht nur mehr Band- breite und mehr gleichzeitig verbun- dene Geräte, sondern auch Datenüber- tragungen in nahezu Echtzeit. So bil- det der Fernmeldestandard 5G die Grundlage für eine Vielzahl zukünfti- ger Anwendungen sei es in der Indust- rie mit IoT-Sensoren (Internet der Dinge) oder Connected Cars bzw. autonom fahrenden Autos. Obschon 5G ein internationaler Standard für mobiles Internet und Mobiltelefonie darstellt, bestehen teilweise grosse Unterschiede bei der Umsetzung der einzelnen Anbieter. Weiter zeigen öffentliche Berichte von Forschern der ETH Zürich [arXiv:1806.10360v3 [cs.CR] 18 Oct 2018] einerseits und der Universitäten Purdue und Iowa [NDSS ’19, 2 4-27 February 2019, San Diego, CA, USA Copyright 2019 Inter- net Society, ISBN 1-891562-55-X] Sicherheitslücken im neuen 5G Stan- dard auf (u.a. im Paging Protocol mit ToRPEDO und PIERCER Angriffen). Den Berichten zufolge soll der neue Standard jedoch in der Gesamtheit sichererer als der bisherige 4G Stan- dard sein. Mit der Lieferung der Unterlagen zu den gewählten Implementationen und der Einsicht vor Ort, kann sich der EDÖB ein detailliertes Bild über das Sicherheitsniveau und die getroffenen Massnahmen machen. Die Abklärun- gen wurden im Berichtsjahr noch nicht abgeschlossen.
20 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Datenschutz Falsche E-Mail-Adressen bei Swisscom Eine Datenpanne in einem Kundensys- tem der Swisscom führte dazu, dass E-Mails an falsche Adressen versandt wurden. Das Unternehmen hat rasch geeignete Massnahmen ergriffen. Aufgrund einer Bürgermeldung hat der EDÖB erfahren, dass ein Kunde von Swisscom verschiedenste E-Mails erhalten hat, die nicht für ihn bestimmt waren. Der EDÖB hat das Unternehmen daraufhin zur Stellung- nahme aufgefordert. Es führte aus, dass ihm dieses Problem bereits bekannt sei und es eine Task Force beauftragt habe, eine Risikoanalyse vorzunehmen. Es habe sich gezeigt, dass in einem Kundensystem der Swisscom generisch erfasste E-Mail- Adressen nicht den korrekten Kunden zugewiesen waren. In der Folge gingen einige E-Mails von Swisscom an ein fremdes Konto. Nach Bekanntwerden des Vorfalls hat das Unternehmen die E-Mails bei dem unberechtigten Emp- fänger gelöscht. Nach Angaben von Swisscom wurden die falsch zugewiesenen E-Mail- Adressen in der Zwischenzeit identifi- ziert und umgehend sichergestellt, dass keine weiteren E-Mails zugestellt werden. Gemäss dem Unternehmen liegen zudem keine Hinweise vor, wonach die fehlgeleiteten E-Mails missbräuchlich verwendet worden seien. Das Unternehmen ist zudem daran, die Prozesse anzupassen, damit derartige Vorfälle verhindert werden können. Der EDÖB hat die Sofortmass- nahmen auf Grundlage der Risiko- analyse der Swisscom zur Kenntnis genom- men. Aufgrund der durch das Unternehmen sofort eingeleiteten Massnahmen konnte er von weiteren Handlungsempfehlungen absehen. «Tiktok» im Fokus der Datenschützer Die Videoplattform Tiktok ist bei Kin- dern und Jugendlichen enorm beliebt. Der EDÖB hat die chinesische Betreibe- rin der App kontaktiert, da die Nut- zungsbestimmungen für Schweizer Kunden unklar sind. Zudem ist er mit der britischen Datenschutzbehörde ICO in Kontakt, um Fragen betreffend den Persönlichkeitsschutz der Nutzerinnen und Nutzer zu klären. «Tiktok» ist eine vor allem bei Jugend- lichen beliebte Videoplattform mit rasant steigenden Download-Raten in den jeweiligen App-Stores. Mit «Tik- tok» können kurze, selbst erstellte Clips mit verschiedenen Effekten und Filtern versehen und mit anderen geteilt werden. Die Social-Media- Funktionen der Plattform erlauben es, auf sehr einfachem Weg mit anderen Usern in Kontakt zu treten, auf deren Videos zu reagieren und diese zu kom- mentieren. Die App gehört dem chinesischen Internet-Technologie-Unternehmen Bytedance mit Sitz in Peking. In den Medien werden verschiedene Vorbe- halte und Kritiken gegen den Inhaber des Videoportals laut. Es wird ihm beispielsweise vorgeworfen, zu wenig für den Persönlichkeitsschutz von Kindern zu unternehmen oder gewisse Inhalte nach chinesischen Vorgaben zu zensieren oder zu filtern.
21 Datenschutz 27. Tätigkeitsbericht 2019/20 Der EDÖB hat festgestellt, dass für Schweizer User unklar ist, welche Nutzungsbestimmungen für sie anwendbar sind, da sich diese auf den EU-Raum beziehen. Er hat die verant- wortliche Stelle bei «Tiktok» zu dieser Frage und zu den Massnahmen zum Schutz der Kinder und Jugendlichen um eine Stellungnahme gebeten. Daneben hat er verlangt, dass das Unternehmen eine für ihn zuständige Stelle angibt, welche in Fragen des Datenschutzes kompetent Auskunft geben kann. Das Unternehmen hat zu den Fra- gen Stellung genommen und eine Ansprechstelle genannt. Der EDÖB steht mit der britischen Datenschutz- behörde ICO in Kontakt, welche im Berichtsjahr zum Thema des Schutzes von Kindern und Jugendlichen und dem Umgang mit deren Daten eine Abklärung gegen «Tiktok» eröffnet hat.
22 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Datenschutz Musik-Streamingdienst – Analyse der Personendaten auf Basis eines Auskunfts- gesuches des EDÖB Ein Musik-Streamingdienst fragte zur Kontrolle der Wohnadresse auch nach dem Zugriff auf die GPS-Daten seiner Nutzer. Der EDÖB hat im Rahmen seiner Abklärungen ein Auskunftsgesuch gestellt und die erhaltenen Daten ein- gehend analysiert. Die Abklärungen konnten ohne formelle Massnahmen abgeschlossen werden. Im Berichtsjahr erschienen diverse Zeitungsberichte über einen verbreite- ten Musik-Streamingdienst. Laut die- sen Berichten würden Nutzer neuer- dings aufgefordert, zum Zweck der Überprüfung der Zugehörigkeit zu einem Haushalt für die Rechnungs- stellung, mittels Übertragung der GPS-Daten ihres Smartphones ihren Standort zu verifizieren. Dieser Umstand bewog den EDÖB dazu, die Rechtmässigkeit der Datenbearbeitung zu prüfen, indem per Auskunftsge- such konkrete Nutzungsdaten bei diesem Musik-Streamingdienst bean- tragt wurden. Unsere Analyse der erhaltenen Daten ergab, dass der Anbieter die bei ihm anfallenden Nut- zerdaten konform zu seinen eigenen Nutzungs- und Datenschutzbestim- mungen bearbeitet. Die ebenfalls geprüften Bestimmungen sind aus unserer Sicht verständlich formuliert und entsprechen den gesetzlichen Vorgaben. Es wurden diesbezüglich keine Auffälligkeiten festgestellt. Die Einwilligung der Kunden zur Übermittlung von GPS-Daten an den Anbieter wird in dessen Datenschutz- erklärung als freiwillig bezeichnet. Tatsächlich haben die Nutzer bei der Anfrage die Wahl, ob sie die Bestäti- gung per GPS-Signal oder lieber per Angabe der Postleitzahl vornehmen möchte. Somit besteht für die Kunden keine Pflicht, die GPS-Daten an den Musik-Streaming- dienst zu übertragen und daher aus Sicht des EDÖB auch kein Grund zu einer Beanstandung. Geprüft wurde auch die Aufbe- wahrungsdauer der Nutzerdaten. Dabei wird zwischen den Angaben zur Person und den Nutzungsdaten unter- scheiden: • Die Angaben zur Person (Nutzer- daten) werden beim Erstellen des Benutzerkontos erfasst und enthal- ten Identitäts- und Kontaktdaten, welche über die gesamte Nutzungs- dauer des Dienstes verwendet und aufbewahrt werden. Diese Angaben sind für die Kontaktaufnahme und die korrekte Rechnungsstellung nötig. Was die vom Streamingdienst angefragten GPS-Daten zur Stand- ortbestimmung betrifft, so wurden keine solchen Daten in den erhalte- nen Nutzerdaten gefunden. Eine Löschung der eigenen Nutzerdaten kann nur durch das endgültige Schliessen des Kontos und somit dem Verzicht der Nutzung des Streamingdienstes erreicht werden. Dieses Vorgehen ist nicht zu bean- standen, da auf Grund urheberrecht- licher Vorgaben eine Nutzung ohne Registrierung für das vorliegende Streaming-Angebot nicht möglich ist. • Anders sieht es bei den Nutzungs- daten aus. Diese werden während der Verwendung des Diensts ange- legt und enthalten Informationen zu dessen Nutzung. Diese Angaben sol- len zwar das Erlebnis der Nutzer verbessern, sind aber nicht zwin- gend für die Benutzerverwaltung erforderlich. Daher kann eine Kont- rolle der Nutzungsdaten erfolgen, indem der Benutzer die von ihm selber erstellten Daten, wie bei- spielsweise Playlists, jederzeit auch selber wieder löschen kann. Weitere Nutzungsdaten wie beispielsweise der Hörverlauf, werden für den Zeit- raum von neunzig Tagen gespeichert und danach automatisch gelöscht. Dieses Vorgehen ist verhältnismäs- sig und widerspricht nicht den gesetzlichen Vorgaben. Nachdem der EDÖB keine Unverhält- nismässigkeiten seitens des Musik- Streamingdienstes feststellen konnte, wurde die Abklärung ohne formelle Massnahmen abgeschlossen.
23 Datenschutz 27. Tätigkeitsbericht 2019/20 Clearview beschafft ungefragt Gesichtsbilder Der EDÖB warnte auf seiner Internet- seite wiederholt vor drohenden Persön- lichkeitsverletzungen von Personen in der Schweiz durch die ungefragte Beschaffung von Gesichtsbildern im Internet. Die US-amerikanischen Anbieter der Applikation Clearview betreiben gemäss Medienberichten eine Daten- bank mit rund drei Milliarden Gesichtsbildern, die sie durch Abfi- schen des Internets und der sozialen Netzwerke beschaffen. Das Geschäfts- modell besteht darin, dass Clearview für seine zahlenden Kunden beliebige Gesichtsaufnahmen mit der Daten- bank abgleicht und die Treffer auf- grund weiterer Informationen identi- fizierbaren Personen zuweist. Zur US- Kundschaft von Clearview sollen namentlich Polizeibehörden gehören. Da wir damit rechnen mussten, dass in der Datenbank von Clearview auch Gesichtsbilder von Einwohnern der Schweiz bearbeitet werden, nahm unsere Behörde im Januar 2020 auf der Webseite wiederholt zur Applikation Clearview Stellung: An die Adresse von Clearview hielten wir fest, dass das schweizerische Datenschutzrecht und die Persönlichkeit der betroffenen Personen in der Schweiz in schwerer Weise verletzt würden, falls ihre Gesichtsbilder ungefragt beschafft und für fremde Polizeibehörden weiterbe- arbeitet würden. Zuhanden der sozialen Netzwerke, deren Nutzungsbedingungen das ungefragte Abfischen ihrer Plattfor- men durch Dritte oder deren Roboter in aller Regel untersagen, hielten wir fest, dass sie die Bilddaten ihrer Kun- den technisch besser schützen müssen. Und den Benutzern von sozia len Netzwerken rieten wir, eigenverant- wortlich zu handeln und in den Vor- einstellungen die Zugänglich machung von Fotomaterial für Suchmaschinen zu unterbinden. Um die Betroffenheit der Schwei- zer Bevölkerung einschätzen zu kön- nen, stellte der Beauftragte am 2 4. Januar 2020 bei Clearview ein Aus- kunfts- und Löschgesuch zu den über seine Person bearbeiteten Daten. Die- ses blieb, trotz Mahnschreiben bis zum Abschluss der Berichtsperiode unbe- antwortet. Die Direktionen des Bun- desamtes für Polizei (fedpol), die Eid- genössische Zollverwaltung (EZV) und der Nachrichtendienst des Bundes (NDB) bestätigten dem EDÖB auf dessen Anfrage hin demgegenüber innert nützlicher Frist, dass sie in ihrer Tätigkeit weder Clearview noch ver- gleichbare Anwendungen einsetzen oder einzusetzen beabsichtigen. Der Beauftragte wird im Rahmen seiner gesetzlichen Möglichkeiten alles unternehmen, um die Schweizer Bevölkerung vor ungefragten Beschaf- fungen ihrer Gesichtsbilder zu schüt- zen, damit sie sich sowohl im virtuel- len wie auch realen Raum weiterhin anonym bewegen kann.
dung der Revision ist zu rechnen. Dementsprechend muss auch mit der formellen Aufhebung des Bundesgesetzes über den Datenschutz im Rahmen der Anwendung des Schengen-Besitzstands in Strafsachen (SDSG), das am
schlusses kommen, der für die hiesige Wirtschaft die Aufrechterhaltung des vollen Zugangs zum europäischen Markt bedeuten würde.
sichtsbehörde gewisse Datenschutzverletzungen zu mel- den. Die Rechte der betroffenen Personen werden zudem gestärkt, da der Dateninhaber die betroffene Person über die Beschaffung von Personendaten in gewissen Fällen informieren muss. Der Datenbearbeiter hat zudem im Vorfeld bestimmter Bearbeitungen eine Datenschutz- folgenabschätzung durchzuführen. Der Datenschutz ist
den Datenverkehr im öffentlichen Sektor sowie in der Privatwirtschaft erleichtern, was auch für die Schweizer Wirtschaft wichtig ist.
26 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Datenschutz
27 Datenschutz 27. Tätigkeitsbericht 2019/20 1.2 Justiz, Polizei, Sicherheit DNA-Profile: ein strenger Gesetzesrahmen ist uner- lässlich Im Zusammenhang mit der Ämterkon- sultation zum Entwurf über die Ände- rung des DNA-Profil-Gesetzes begrüsste der EDÖB grundsätzlich die vorgeschlagenen Änderungen und Neu- erungen, betonte jedoch die Notwen- digkeit eines strengen gesetzlichen Rahmens für die neuen Instrumente «Phänotypisierung» und «erweiterter Suchlauf mit Verwandtschaftsbezug» (Verwandtenrecherche). Der Änderungsentwurf des EJPD sieht vor, die Vorschriften des Gesetzes über DNA-Profile von denjenigen der Zivil- und Militärstrafprozessordnung loszu- lösen. Der EDÖB zeigte sich über die- sen Klärungsvorschlag erfreut. Ferner steht eine neue Lösung betreffend die Dauer der Aufbewah- rung der DNA-Profile zur Diskussion, die das Verhält- nismässigkeitsprinzip und die spezifischen Anforde- rungen des Jugendstraf- rechts berücksichtigt. Hinsichtlich der erweiterten Ver- wandtenrecherche und der Phänotypi- sierung fordert der EDÖB strenge Auflagen, um die Verhältnismässigkeit des Eingriffs in die Grundrechte der betroffenen Personen zu gewährleis- ten. Laut Auffassung des EDÖB sollten diese Instrumente nur als ultima ratio zur Anwendung kommen. Sie sollten ausschliesslich zur Aufklärung schwe- rer Verbrechen im Verhältnis zur Bedeutung des jeweiligen Rechtsguts, namentlich bei Gefährdung von Leib und Leben bzw. Verletzung der Frei- heit oder der sexuellen Integrität ein- gesetzt werden. Bei Straftaten gegen das Eigentum sollten der erweiterte Suchlauf mit Verwandtschaftsbezug, die Phänotypisierung sowie Massen- untersuchungen hingegen in der Regel nicht angewandt werden. Für das Her- auslesen einiger Merkmale, beispiels- weise der Haarfarbe, ist die Phänotypi- sierung zu unpräzise und demnach hinsichtlich der Anforderung der Datenrichtigkeit potenziell problema- tisch. Die Ermittlung von Daten im Rahmen einer Verwandtschafts- recherche unterläuft ihrerseits das Zeugnisverweigerungsrecht und ist somit nur bei besonders schwer- wiegenden Straftaten vertretbar. Der erweiterte Suchlauf mit Ver- wandtschaftsbezug und die Phänoty- pisierung dürfen wie oben erwähnt nur bei besonders schwerwiegenden Verbrechen und im Verhältnis zur Schwere der Rechtsgutverletzung durchgeführt werden. Da die Erstel- lung eines entsprechenden abschlies- senden Deliktskatalogs schwierig ist schlug der EDÖB vor, die Anord- nungsbefugnis für die betreffenden Massnahmen analog zum Fall der Mas- senuntersuchungen dem Zwangs- massnahmengericht zu übertragen. Der Bundesrat hat dem Antrag des EDÖB nicht zugestimmt. Dieser wird sich im Rahmen des parlamentari- schen Prozesses dazu äussern, falls er dazu aufgefordert wird. Gesetz zur Bekanntgabe von Flugpassagierdaten in EU-Staaten verzögert sich Der EDÖB begleitete weiterhin die Arbeiten zur Schaffung einer gesetzli- chen Grundlage für die Bekanntgabe von Fluggastdaten durch Fluggesell- schaften an EU-Staaten. Wir wiesen verschiedentlich auf die Dringlichkeit der baldigen Schaffung dieser Grundla- gen hin. Wie der EDÖB im Tätigkeitsbericht 2018/2019 festhielt, planten verschie- dene EU-Staaten, von Luftfahrtgesell- schaften deren Passagierdaten von Flügen aus der Schweiz zu verlangen. Sie stützen sich dabei auf die EU- Richtlinie 2016/681 vom 27. April 2016 über die Verwendung von Fluggast- datensätzen zur Verhütung, Aufde- ckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität (EU-PNR- Richtlinie). Wir wiesen die zuständigen Bun- desbehörden darauf hin, dass dafür eine gesetzliche Grundlage zu schaffen sei. Dem EDÖB wurde in Aussicht gestellt, die gesetzliche Grundlage für die Lieferung von PNR-Daten an Staa- ten, welche diese gestützt auf die EU- PNR-Richtlinie verlangen würden, mit einer Revision der Luftfahrtverord- nung zu schaffen (s. 26. TB, Kap. 1.2). In der Folge begann das Bundesamt für Zivilluftfahrt (BAZL) als zuständi- ges Bundesamt mit den entsprechen- den Gesetzgebungsarbeiten. Der EDÖB stand dem BAZL von Anfang an beratend zur Seite, bis das Amt entschied, seine Arbeiten aufzuschie- ben. Zur Begründung führte das BAZL an, einerseits hätten die bisherigen Arbeiten ergeben, dass zuerst eine gesetzliche Grundlage in einem for-
28 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Datenschutz mellen Gesetz geschaffen werden müsse. Andererseits sei davon auszu- gehen, dass der Bundesrat in nächster Zeit in einem separaten Gesetzge- bungsprojekt über das weitere Vorge- hen in Zusammenhang mit der Nut- zung von Flugpassagierdaten zur Bekämpfung der schweren Kriminali- tät und des Terrorismus durch die Schweiz entscheiden werde. Es sei deshalb sinnvoll, beide Vorlagen zusammenzulegen und gleichzeitig zu behandeln. Der EDÖB wies dabei erneut auf die Dringlichkeit der Schaffung einer gesetzlichen Grundlage hin. Ohne eine solche sei die Bekanntgabe von PNR-Daten durch Fluggesellschaften an Behörden der EU unrechtmässig. Der Vollständigkeit halber hielten wir weiter fest, dass für die Bekanntgabe von PNR-Daten durch Fluggesellschaf- ten in Drittstaaten (d.h. ausserhalb des Anwendungsbereichs der EU-PNR- Richtlinie) Abkommen geschaffen werden müssten. In der Folge nahm das Bundesamt für Polizei erste Arbei- ten zur gesetzlichen Regelung der Nutzung von Flugpassagierdaten zur Bekämpfung der schweren Kriminali- tät und des Terrorismus durch die Schweiz auf. Dabei wurde auch die Frage der Bekanntgabe von Flugpassagierdaten an EU-Staaten gestützt auf die EU- PNR-Richtlinie integriert. Der EDÖB nahm auch hier im Rahmen der Ämterkonsultation Stellung und hielt an seiner bisherigen Position fest. Im Februar 2020 hat sich der Bundesrat in einem Grundsatzentscheid für die Nutzung von Flugpassagierdaten in der Schweiz zur Terrorismus- und Kriminalitätsbekämpfung ausgespro- chen. Der EDÖB wird die Gesetz- gebungsarbeiten weiterhin beratend begleiten.
29 Datenschutz 27. Tätigkeitsbericht 2019/20 Swiss Buchungssystem – Massnahmen gegen Datenmiss- brauch in Umsetzung Bereits im letzten Tätigkeitsbericht berichtete der EDÖB über das Buchungssystem der Fluggesellschaft Swiss. Das Unternehmen versprach, gewisse Anpassungen – wie die teil- weise Maskierung der Passnummer – mit der Einführung ihrer neuen Inter- netseite umzusetzen. Die Einführung verzögerte sich allerdings. Wie im letzten Tätigkeitsbericht erwähnt, hat die Fluggesellschaft Swiss auf Einwirken des Beauftragten hin ihre allgemeinen Beförderungsbe- stimmungen (ABB) angepasst, um ihre Kunden besser auf die Schutz- würdigkeit der auf dem Boarding Pass ersichtlichen bzw. gespeicherten Personendaten hinzuweisen. Weiter sollte die Passnummer, die in bestimmten Fällen beim Buchungsaufruf ersichtlich ist, teilweise unkenntlich gemacht werden (s. 26. TB, Kap. 1.2). Die Swiss hielt gegenüber dem EDÖB fest, dass mit der Inbe- triebnahme ihrer neuen Webseite die Anpassungen umgesetzt würden. Die Umstellung auf die neue Webseiten- architektur und die damit zusammen- hängende Maskierung der Passnum- mer verzögerten sich allerdings. Daher beschloss die Swiss, die Maskierung der Passnummern und neu auch Visa-/ Greencard-Daten auf ihrer Internet- seite separat und vorgängig einzufüh- ren, indem die ersten zwei Zeichen der Passnummern und Visa-/Greencard- Daten beim Buchungsaufruf lesbar belassen und alle folgenden durch ein «x» ersetzt werden. Diese Änderung hat die Swiss Ende 2019 umgesetzt. Polizeiliche Massnahmen zur Bekämpfung von Terrorismus Aus Sicht des EDÖB stellt die Schaffung einer Polizeigesetzgebung auf Bundes- ebene eine unerlässliche Vorausset- zung dar, die zu erfüllen wäre, bevor neue Regularien ausgearbeitet werden. Er erhebt folglich Zweifel an der Gesamtheit des Entwurfs über polizei- liche Massnahmen zur Bekämpfung von Terrorismus. Seit mehreren Jahren bemängelt der EDÖB in seinen Tätigkeitsberichten, dass die Regelungen betreffend die polizeiliche Tätigkeit des Bundes auf zahlreiche Erlasse verstreut sind. In der Tat verfügt der Bund im Gegensatz zu den Kantonen nicht über ein eigentli- ches Polizeigesetz, das die Aufgaben, Befugnisse und die Bearbeitung perso- nenbezogener Daten umfassend abbil- den würde. Das Bundesamt für Polizei ist für eine grosse Anzahl von Daten- banken zuständig, die eine zentrali- sierte Bearbeitung äusserst schützens- werter Daten ermöglichen, zu denen zwischen Polizeibehörden des Bundes und der Kantone sowie mit anderen Ländern ein Austausch stattfindet. Die Bearbeitung der Daten erfolgt auf der Grundlage eines Wirrwarrs an polizeirechtlichen Spezialgesetzen, deren Handhabung sogar für speziali- sierte Juristen und erst recht für das Polizeipersonal an der Front unüber- sichtlich ist, so dass selbst Untersu- chungsverfahren betreffend die Bear- beitung von Daten aufgrund der vor- handenen Komplexität längst an ihre Grenzen stossen. Anstatt ein Gesetz über die Polizeiaufgaben oder zumin- dest ein Gesetz über Information und Zusammenarbeit auf Bundesebene auf den Weg zu bringen, erarbeitet das EJPD immer wieder neue Bestimmun- gen, etwa über polizeiliche Massnah- men zur Bekämpfung von Terrorismus oder über Vorläuferstoffe für explosi- onsfähige Stoffe. Dadurch steigt die Schwerfälligkeit der ohnehin bereits unzumutbar komplexen Vorschriften, während bestimmte Fragen dennoch offen bleiben: In welchen Systemen sollen Vorratsdaten auf welche Weise und über welchen Zeitraum bearbeitet werden? Angesichts dieses Sachverhalts ist der EDÖB nicht mehr bereit, Geset- zesvorhaben in sensiblen Bereichen, beispielsweise auf dem Gebiet der Polizeimassnahmen zur Terrorismus- bekämpfung, in der parlamentarischen Phase zu unterstützen. Der EDÖB stellt den gesamten vom EJPD vorge- legten Entwurf grundsätzlich in Frage. Die vorberatende Kommission des erstberatenden Ständerates hat indes- sen trotz unserer bereits im letzten Jahresbericht (s. 26. TB, Kap. 1.2) und in den Medien publizierten Kritik davon abgesehen, den EDÖB zu die- sem Geschäft anzuhören.
30 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Datenschutz Technische Aufsicht der Nutzung des Schengener Informationssystems (SIS) bei fedpol und ISC-EJPD Das N-SIS ist die nationale Kopie des zentralen Schengener Informations- systems (C-SIS) für die Schweiz. Die Datenbearbeitung innerhalb des N-SIS und die Übermittlung der Daten an das zentrale SIS sind im Bearbeitungs- reglement «Informationssystem N-SIS und dessen Teilsysteme» geregelt. Das N-SIS wird in der Schweiz von über 30 000 Nutzern aus verschiedenen Dienststellen des Bundes (z.B. RIPOL, SEM), der Kantone (z.B. Kantons- verwaltungen und -polizeien) und der Gemeinden verwendet. Das ISC-EJPD ist der Entwickler des Systems, und es erbringt Dienstleis- tungen für das Bundesamt für Polizei (fedpol), das die Verantwortung für das System trägt. Unsere technische Kontrolle betraf beide Gremien. Dabei wurden Anfragen an weitere Organe gerichtet, beispielsweise an das RIPOL, das ZEMIS sowie an Kantonspolizeien; diese Organe wurden jedoch nicht kontrolliert. Erstes Ziel dieser Kontrolle ist, die Konformität mit dem neuesten Stand der vorwiegend an der Norm ISO 27 001 angelehnten technischen und organisatorischen Massnahmen für die Sicherheit und den Schutz der Daten innerhalb des Systems und bei dessen Nutzung zu überprüfen. Das zweite Ziel ist die Überprüfung der Durch- führung der betreffenden Massnah- men. Die Gespräche über unseren Fragen- katalog und über die geprüften Elemente veranlassten uns dazu, spezifische Punkte zu vertiefen. Die Auswertung der Kontrolle war am Ende der Berichtsperiode noch nicht abgeschlossen.
31 Datenschutz 27. Tätigkeitsbericht 2019/20
32 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Datenschutz Eröffnung einer Untersu- chung des fedpol betreffend die Tätigkeiten im Rahmen des SIRENE-Büros Anfang 2018 wurden die Umsetzung und die Anwendung des Schengen- Besitzstands durch die Schweiz im Bereich Datenschutz überprüft. In diesem Zusammenhang eröffnete der Beauftragte, der zugleich die Funktion der nationalen Kontrollinstanz des N-SIS ausübt, eine Untersuchung zur Aufsicht über die Tätigkeiten des SIRENE-Büros des fedpol. Gestützt auf den Vorschlag der Kom- mission gab der Rat der EU am 7. März 2019 eine Reihe von Empfehlungen im Hinblick auf die Beseitigung von Män- geln ab, die anlässlich der Evaluierung der Schweiz festgestellt wurden. Einige Empfehlungen betreffen den Beauftragten, namentlich jene, die sich auf seine Tätigkeit als Kontrollinstanz des SIS bezieht. Demnach wird der Beauftragte aufgefordert, die Recht- mässigkeit der Bearbeitungen von personenbezogenen Daten im Zusam- menhang mit dem SIS häufiger zu prüfen und mindestens alle vier Jahre ein Audit über die Datenbearbeitungs- vorgänge im nationalen Teil des SIS (N-SIS) durchzuführen. Diese Inspektionen sollten sich nicht auf die Überprüfung der Logdateien beschränken, sondern auch auf andere datenschutzrelevante Aspekte der Struktur und der Funktionsweise des N-SIS ausgedehnt werden und Daten- bearbeitungen des fedpol, das für das N-SIS verantwortlich ist, einschliess- lich des SIRENE-Büros und des N-SIS-Servers, umfassen. In diesem Zusammenhang und im Rahmen seiner Kontrolltätigkeit sowie als nationale Instanz für die Aufsicht über die Datei des N-SIS eröffnete der Beauftragte im Juni 2019 eine Kontrolle betreffend die Tätigkei- ten des SIRENE-Büros des fedpol in Verbindung mit SIS-Ausschreibungen und mit dem Austausch von Zusatz- informationen zwischen dem SIRENE-Büro und entsprechenden ausländischen Amtsstellen. Nach dem Versand eines Fragebogens über die allgemeinen Tätigkeiten des SIRENE-Büros liess sich der Beauf- tragte den Umgang mit einer Aus- schreibung im System des SIRENE- Büros sowie den Austausch von Zusatzinformationen bei einem Besuch vor Ort zeigen. Im Anschluss an seine Kontrolle befand der Beauftragte, dass das SIRENE-Büro bei der Bearbeitung von Daten betreffend Ausschreibungen und den Austausch von Zusatzinfor- mationen die Datenschutzbestim- mungen einhält, die im schweizeri- schen Recht für die durch das Schen- gener Durchführungsübereinkommen (DSÜ) vom 19. Juni 1990 abgedeckten Bereiche gelten, und dass es sich an das europäische Recht hält. Dementspre- chend fällte der Beauftragte hierzu keine Beschlüsse und ergriff keine einschlägigen Massnahmen. Seine Prüfung bezog sich auf: • die Struktur und die Funktionsweise des N-SIS • die Zusammensetzung des SIRENE-Büros und sein Informatiksystem SIRENE-IT • die Gewährung und Ausübung der Zugriffsrechte im N-SIS • die Kontrolle des Zugriffs der Mitarbeitenden des SIRENE-Büros auf das N-SIS • die Aufgaben des SIRENE-Büros im Rahmen von Ausschreibungen im N-SIS und im Rahmen des Austauschs von Zusatzinformationen mit den ent- sprechenden Ämtern im Ausland sowie die Beschreibung der Aufgaben des Büros im Rahmen des Missbrauchs der Identität • die Aufbewahrung der Ausschreibungen und Zusatzinformationen • die Auskunfts-, Berichtigungs- und Löschungsrechte • die Schulung und Sensibilisierung der Mitarbeitenden
33 Datenschutz 27. Tätigkeitsbericht 2019/20 Auf diese Weise konnte er die Empfeh- lung der Schengen-Evaluierung 2018 umsetzen und die Verpflichtungen aus Art. 4 4 der Verordnung SIS II 1 und aus Art. 60 des Beschlusses SIS II 2 erfüllen. Eine zweite Kontrolle betreffend das Informatik Service Center des EJPD (ISC-EJPD), die sich spezifisch mit technischen und sicherheitsrele- vanten Aspekten der Server befasst, wurde eröffnet. 1 Verordnung (EG) Nr. 198 7/2006 des Europäi- schen Parlaments und des Rates vom 20. Dezem- ber 2006 über die Einrichtung, den Betrieb und die Nutzung des Schengener Informationssys- tems der zweiten Generation (SIS II) [Verordnung SIS II]. 2 Beschluss 2007/533/JI des Rates vom 1 2 . Juni 2007 über die Einrichtung, den Betrieb und die Nutzung des Schengener Informationssystems der zweiten Generation (SIS II) [Beschluss SIS II]. Das Schengen-Datenschutzgesetz Das Bundesgesetz über den Datenschutz im Rahmen der Anwendung des Schen- gen-Besitzstands in Strafsachen (SDSG) trat am 1. März 2019 in Kraft und mit ihm diverse Neuerungen, die unter anderem die bisherigen Zuständigkeiten des EDÖB betreffen (s. 26. TB, Kap. 1.2). Das SDSG gilt insbesondere für die Bearbeitung von Personendaten durch Bundes- organe zur Verhütung und Verfolgung von Strafsachen im Rahmen der Anwendung des Schengen-Besitzstands. Angesichts der neuen Erfordernisse und des trans- versalen Charakters dieses neuen Gesetzes für die Tätigkeiten der betreffenden Bundesämter nahm der Beauftragte Kontakt mit den Datenschutzverantwortlichen der Bundesorgane auf, die potenziell unter den Geltungsbereich des SDSG fallen und an erster Stelle betroffen wären, insbesondere mit dem Bundesamt für Polizei (fed- pol), dem Bundesamt für Justiz (BJ) im Bereich der internationalen Rechtshilfe in Strafsachen und mit der Bundesanwaltschaft, aber auch mit dem Staatssekretariat für Migration und der Eidgenössischen Zollverwaltung. Im Mittelpunkt standen dabei die Klärung des Geltungsbereichs und die Neuerungen, die sich aus diesem Gesetz ergeben. Der Meinungsaustausch bezog sich hauptsächlich auf die Datenbearbei- tungsvorgänge und auf die Bundesorgane, die dem SDSG unterstellt sind, sowie auf die Zuständigkeiten des Beauftragten. Letzterer bleibt mit den betroffenen Bundes- organen im Hinblick auf die Umsetzung des SDSG in deren jeweiligem Tätigkeits- bereich in ständigem Kontakt. Der EDÖB hat gemäss Artikel 21 SDSG die Aufgabe, die Anwendung der bundes- rechtlichen Datenschutzvorschriften zu beaufsichtigen. Bevor er die Planung der Kontrollen nach Artikel 21 bis 25 SDSG an die Hand nimmt, möchte er sich einen Überblick über die Tätigkeiten verschaffen, die unter das SDSG fallen (Dateien/Infor- mationssysteme). Aus diesem Grund bat er das Bundesamt für Polizei (fedpol) und die Eidgenössi- sche Zollverwaltung (EZV), uns eine Kopie des Verzeichnisses der Bearbeitungstätig- keiten gemäss Artikel 12 SDSG und, sofern sie vorliegen oder generiert werden kön- nen, nach Bearbeitungstätigkeit (Datei/Informationssystem) gegliederte statisti- sche Angaben für die vergangenen fünf Jahre (2015 bis 2019) zu unterbreiten, unter anderem über die Anzahl der registrierten natürlichen oder juristischen Personen, die Staatsangehörigkeit der registrierten Personen und die Anzahl der Nutzer.
34 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Datenschutz Zweiter Review Privacy Shield Im September 2019 fand der zweite Swiss-US Privacy Shield Review in Washington D.C. statt. Dieser erfolgte im Anschluss an die dritte Überprüfung des EU-US Privacy Shield Rahmenwerks und zeigte weitere Fortschritte, aber auch Verbesserungspotenzial auf. Seit Inkraftsetzung des Swiss-US Privacy Shield Rahmenwerks 2017 haben sich über 3300 Unternehmen dem Swiss-US Privacy Shield Pro- gramm angeschlossen, seit dem letz- ten Review (s. 26. TB, Kap. 1.2) ist die Anzahl um fast 1000 Zertifizierungen angestiegen. Bei über 70 Prozent der Mitglieder handelt es sich um KMU, aber auch Konzerne wie Facebook Inc. und Google LLC sind nach wie vor unter Privacy Shield zertifiziert (vgl. https://www.privacyshield.gov/list). Im Berichtsjahr ist beim EDÖB ein Fall zur Weiterleitung an das US- Handelsministerium eingegangen. Es handelte sich hierbei um eine «false claim», also ein Unternehmen, das sich fälschlicherweise als Privacy Shield zertifiziert ausgibt. Der Fall konnte in Zusammenarbeit mit dem US- Handelsministerium (Departement of Commerce) gelöst werden (s. 26. TB, Kap. 1.2). Weiter sind rund zehn berechtigte Beschwerden gegen zertifizierte Unternehmen bei privaten, unabhän- gigen Stellen für die alternative Streit- beilegung (ADR) eingereicht worden. Bezüglich den Zugriff auf Personen- daten durch US Behörden zum Zweck der nationalen Sicherheit ist bei uns seit Inkraftsetzung des Rahmenwerks kein Fall eingegangen. Seit der ersten jährlichen Überprü- fung des Swiss-US Privacy Shield und der zweiten seitens der EU wurde die Funktionsweise des Rahmenwerks verbessert. So nimmt das US-Handels- ministerium systematischere Über- prüfungen der zertifizierten Unter- nehmen vor und prüft beispielsweise monatlich mit Stichproben, ob Unter- nehmen bestimmte im Rahmenwerk festgelegte Grundsätze einhalten. Auch wird die für die Durchsetzung zuständige Federal Trade Commission nun vermehrt von Amtes wegen tätig. Weitere Fortschritte gegenüber dem letzten Berichtsjahr sind die Ernennungen für die Aufsichts- und Schlichtungsgremien. So wurden eine permanente Ombudsperson für das Rahmenwerk sowie die letzten zwei fehlenden Mitglieder des Privacy and Civil Liberties Oversight Board (Gre- mium zur Überwachung des Schutzes der Privatsphäre und der bürgerlichen Freiheiten) ernannt. Es verbleiben jedoch auch verbesserungswürdige Punkte: Für den EDÖB wie auch den Europäischen Datenschutzausschuss ist unklar, wie die Kompetenzen der Ombudsperson ausgestaltet sind. Der Wunsch nach Klärung wurde formu- liert. Ebenso konnte die Divergenz bezüglich der Frage, was genau unter dem Begriff der HR-Daten zu verste- hen sei, noch nicht bereinigt werden. Eine gewisse Unsicherheit besteht derzeit wegen eines vor dem Gerichts- hof der Europäischen Union (EuGH) hängigen Rechtsstreits über die Über- mittlung von Daten zwischen der EU und den USA, der Auswirkungen auf das EU-US Privacy Shield Rahmenab- kommen haben könnte. Auch wenn EuGH-Urteile für die Schweiz nicht anwendbar sind, wird der EDÖB mit Blick auf die analoge Ausgestaltung der Abkommen analysieren müssen, ob die Erwägungen des EuGH auch für die Beurteilung des Swiss-US Privacy Shield Rahmenabkommens relevant sein könnten.
35 Datenschutz 27. Tätigkeitsbericht 2019/20 1.3 Steuer- und Finanzwesen Bekanntgabe von Personen- daten an ausländische Steuer behörden – problema- tische Ausdehnung auf weitere Staaten Die Umsetzung der neuen Standards zur weltweiten Bekämpfung von Steuer betrug und Steuerhinterziehung sind weit fortgeschritten. Als proble- matisch erweist sich dabei das unge- nügende Datenschutzniveau einiger Staaten. Im Berichtsjahr haben wir zu verschiedenen Vorlagen aus der Sicht des Datenschutzes Stellung genommen. Automatischer Informations- austausch über Finanzkonten (AIA) Der globale Standard über den auto- matischen Informationsaustausch über Finanzkonten (AIA) ist in der Schweiz seit dem 1. Januar 2017 in Kraft. Er zielt darauf ab, die Steuer- transparenz zu erhöhen und damit die grenzüberschreitende Steuerhinterzie- hung zu vermeiden. Bisher haben sich mehr als 100 Länder zur Übernahme dieses Standards bekannt, darunter auch die Schweiz. Das Schweizer AIA-Netzwerk soll auf 18 zusätzliche Partnerstaaten ausge- weitet werden, mit denen der AIA ab 2020/2021 umgesetzt werden soll, darunter befinden sich Staaten wie Ghana, Kasachstan, Libanon oder Nigeria. Wie bei den vorausgegange- nen Ausdehnungen des AIA auf wei- tere Staaten wies der EDÖB auch im aktuellen Berichtsjahr mehrfach auf das Erfordernis der Gewährleistung eines angemessenen Datenschutzni- veaus im jeweiligen Partnerstaat hin. Besteht ein solches nicht von Gesetzes wegen, muss der Datenschutz durch zureichende Datenschutzgarantien (vgl. Art. 6 Abs. 2 DSG) sichergestellt sein. Im Zusammenhang mit dem AIA wurden indessen gemäss unserer Ein- schätzung keine hinreichenden Garan- tien geschaffen (s. 26. TB, Kap. 1.3). In einer Ämterkonsultation zum Entwurf einer Änderung des Bundes- gesetzes über den AIA (AIAG) äus- serte sich der EDÖB zur neu vorgese- henen Kompetenzregelung für den Fall, dass ein Partnerstaat die Anforde- rungen der OECD an die Vertraulich- keit und Datensicherheit nicht erfüllt. Er schlug mit Erfolg eine Neuformulie- rung vor, die klarstellt, dass bei Nicht- erfüllung der Anforderungen an die Vertraulichkeit und Datensicherheit die zuständige Schweizer Behörde den AIA gegenüber dem Partnerstaat nicht in eigener Kompetenz aussetzen kann, sondern aussetzen muss. Die Bundes- versammlung hat die Vorlage des Bun- desrats im Berichtsjahr noch nicht behandelt. Austausch länderbezogener Berichte multinationaler Konzerne (ALBA) Die Schweiz wird ab 2020 erstmals mit ihren Partnerstaaten länderbezogene Berichte multinationaler Konzerne austauschen (s. 24. TB, Kap. 1.9.1). Im Berichtsjahr äusserte sich der EDÖB im Rahmen einer Ämterkonsultation zur jüngst vorgesehenen Erweiterung der Länderliste der Partnerstaaten für die Aktivierung des Austauschs von länderbezogenen Berichten multinationaler Konzerne. Dabei wies er darauf hin, dass die Erweiterung Staaten und Territorien betrifft, die auf der Staatenliste des EDÖB mit einem ungenügenden Datenschutzniveau aufgeführt sind (so etwa Arme- nien, Bosnien und Herzegowina sowie die Cook-Inseln). Der EDÖB hielt deshalb wie bereits bei früheren Ämterkonsultationen fest, dass mit Blick auf solche Länder zusätzliche Garantien nach Art. 6 Abs. 2 DSG notwendig sind, um ein angemessenes Datenschutzniveau zu gewährleisten (s. 26. TB, Kap. 1.3).
36 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Datenschutz Das Bundesverwaltungs- gericht heisst die Beschwer- de des Beauftragten im ESTV-Fall gut: Betroffene Dritte haben das Recht auf vorgängige Information Das Bundesverwaltungsgericht hiess eine Beschwerde des EDÖB zum Recht auf Information in der internationalen Steueramtshilfe gut. Das diesbezügli- che Beschwerdeverfahren vor Bundes- gericht wurde vorläufig sistiert. Ende Dezember 2017 erliess der EDÖB eine formelle Empfehlung, wonach die Eidgenössische Steuerverwaltung (EST V) in der internationalen Steuer- amtshilfe auch die vom Amtshilfeer- suchen nicht betroffenen Personen (d.h. Drittpersonen), deren Namen ungeschwärzt an die ersuchende aus- ländische Behörde übermittelt werden sollen, vorgängig zu informieren hat (s. 25. TB, Kap. 1.9.2). Die EST V lehnte diese Empfehlung ab, worauf der EDÖB die Angelegenheit zuerst dem Eidgenössischen Finanzdepartement (EFD) vorlegte und dann dessen ableh- nende Verfügung an das Bundesver- waltungsgericht weiterzog (s. 26. TB, Kap. 1.3). Das Bundesverwaltungsgericht gelangte in seinem Urteil vom 3. Sep- tember 2019 zum Schluss, dass in der internationalen Steueramtshilfe die vom Amtshilfeersuchen nicht betrof- fenen Personen (Drittpersonen), deren Daten ungeschwärzt übermittelt wer- den sollen, grundsätzlich vorgängig zu informieren sind. Für Fälle, in welchen mit der erforderlichen Informa- tion unverhältnismässi- ger Aufwand verbunden ist und der Vollzug der Amtshilfe ver- unmöglicht oder unverhältnismässig verzögert würde, sind gemäss Bundes- verwaltungsgericht Ausnahmerege- lungen zu erarbeiten. Der EDÖB begrüsst das Urteil, da es die Grund- rechte der Bank-Mitarbeitenden und weiterer Drittpersonen schützt. Er ist bereit, mit der EST V nach praktischen Lösungen zur Umsetzung des Urteils zu suchen, was er anlässlich eines Tref- fens mit der EST V Ende 2019 bekräf- tigt hat. Die EST V hat beim Bundesgericht Beschwerde erhoben. Aktuell ist das Verfahren auf deren Antrag hin sistiert, da das Urteil vom Entscheid in einem anderen Rechtsstreit beeinflusst wer- den kann. Der Beauftragte hat im Berichtsjahr keine Gelegenheit erhal- ten, von der gegnerischen Beschwer- deschrift Kenntnis zu nehmen.
37 Datenschutz 27. Tätigkeitsbericht 2019/20 1.4 Handel und Wirtschaft Fehlerhafte Datenbank- einträge bei Inkasso- unternehmen Der EDÖB hat bei einer führenden Inkassofirma eine Sachverhalts- abklärung wegen angeblich fehlerhafter Einträge eröffnet. Durch Bürgeranfragen und Medien berichte wurde der EDÖB auf ein Unternehmen aufmerksam, wel- ches Bonitäts- und Kreditauskünfte sowie Inkassodienstleistungen anbie- tet. Angeblich soll es dort aufgrund von fehlerhaften Datenbankeinträgen zu Verwechslungen von Personen mit gleichen oder ähnlichen Namen bezie- hungsweise Adressen kommen. Als Folge davon sollen Zahlungs- aufforderungen an falsche Personen verschickt oder unzutreffende nega- tive Bonitätsinformationen gespei- chert und bekannt gegeben worden sein. Auch wurde über Schwierigkei- ten bei der Korrektur solcher Fehlein- träge berichtet. Um diesen Vorhaltun- gen nachzugehen, hat der Beauftragte im Februar 2020 eine Sachverhaltsab- klärung eingeleitet. Diese war zum Ende des Berichtsjahres noch im Gang. Verwendung der Daten von ricardo.ch innerhalb der Tamedia-Gruppe (TX Group) Der EDÖB hat die Sachverhalts- abklärung bezüglich der Verwendung der auf der Plattform ricardo.ch erhobenen Daten fortgesetzt, ins- besondere innerhalb der Tamedia- Gruppe (TX Group). Im Juli 2017 hatten wir ein Verfahren zur Abklärung des Sachverhalts eröff- net, um die Transparenz und die Kon- formität der Bearbeitungen von Daten der Nutzerinnen und Nutzer von ricardo.ch innerhalb der Tamedia- Gruppe sowie die Möglichkeit zu prü- fen, der Nutzung von Daten zum Zweck der gezielten Werbung zu widersprechen (s. 25. TB, Kap. 1.8.8). Die Sachlage hat seit Beginn der Abklärung erhebliche Veränderungen erfahren; unter anderem führte das Inkrafttreten der europäischen Daten- schutzgrundverordnung zu einer Anpassung der Datenschutzerklärung (s. 26. TB, Kap. 1. 4). Weitere Änderun- gen folgten im Mai 2019 und im Feb- ruar 2020. Personendaten, die auf der Online- Auktionsplattform ricardo.ch gesam- melt werden, werden von der Tamedia AG (inzwischen TX Group AG) unter anderem zu Marketingzwecken (ziel- gruppenspezifische Werbung) bear- beitet, analysiert und zusammenge- führt. Folglich haben wir unser Abklä- rungsverfahren formell auf die Tame- dia AG ausgedehnt. Wir reichten unsere Sachverhaltsfeststellung erneut zur Prüfung ein und nahmen einige Anpassungen vor. Unsere rechtliche Beurteilung des Sacherhalts wird gestützt auf die entsprechend festge- stellten Tatsachen erfolgen.
38 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Datenschutz Fehlerhafte Adressen bei der Serafe AG – Massnahmen zur Datenrichtigkeit nötig Die Serafe AG hat im Berichtsjahr tau- sende fehlerhafte Rechnungen ver- schickt. Das Unternehmen hat die Pro- blematik erkannt und erste Massnah- men getroffen. Der EDÖB prüft, ob aus datenschutzrechtlicher Sicht weitere Empfehlungen nötig sind. Seit Anfang 2019 ist die Serafe AG die schweizerische Erhebungsstelle für die Radio- und Fernsehabgabe. Nach einem öffentlichen Ausschreibungs- verfahren hat ihr das Eidgenössische Departement für Umwelt, Verkehr, Energie und Kommunikation (UV EK) das Mandat bis Ende 2025 erteilt. Gemäss Meldungen von betroffe- nen Personen an den EDÖB und ver- schiedenen Medienberichten hat die Serafe AG im Berichtsjahr Tausende fehlerhafte Rechnungen verschickt. Die Rechnungen wurden beispiels- weise an veraltete Zustelladressen oder an die falschen Adressaten geschickt oder den Empfängern mehrfach zuge- stellt. Angeblich seien die für die Erhe- bung der Haushaltabgabe nötigen Daten aus den Einwohnerregistern von den Kantonen und Gemeinden zum Teil fehlerhaft geliefert wor- den. Die Problematik sei jedoch erkannt und Massnahmen getroffen worden, um in Zukunft die Datenrichtigkeit zu gewährleisten. Der Beauftragte hat die Serafe AG um Stellungnahme gebeten. Aufgrund der Antworten wird er prüfen, ob er eine datenschutzrechtliche Abklärung vornehmen und den Verantwortlichen gegebenenfalls weitere Massnahmen empfehlen soll, um die gesetzeskon- forme Datenbearbeitung sicherzu- stellen. Analyse von Transaktions- daten zu Planungszwecken Eine Handelsfirma ersuchte den EDÖB um Beratung betreffend die Auswer- tung ihrer Kundentransaktionsdaten für nicht personenbezogene Zwecke. Wir haben dieses Vorhaben im Rahmen unserer beratenden Tätigkeit aus tech- nischer und aus juristischer Sicht beurteilt. Die Handelsfirma, die im Einzelhandel tätig ist und mehrere Geschäfte in der Schweiz betreibt, stellte uns ihr Pro- jekt vor, dessen Ziel es ist, im Rahmen der betrieblichen Planung die Transak- tionsdaten ihrer Kundschaft zu nicht personenbezogenen Zwecken zu ver- wenden. Beim vorgelegten Konzept ging es darum, einerseits die von der Firma erfassten Daten im Zeitpunkt der Transaktion zu nutzen sowie anderer- seits die vom Zahlungsdienstleister erfassten Daten zu verarbeiten. Anhand der Verknüpfung der beidseits verfügbaren Daten liessen sich die Transaktionen verfolgen, die von einer bestimmten Zahlkarte ausgehen, und es könnte ein längerfristiges Konsum- profil (Querschnittsprofil) angelegt werden; ein derartiges Profil kann die Firma anhand der ihr zur Verfügung stehenden Daten nicht erstellen. Die Handelsfirma betonte, dass die Ana- lyse ausdrücklich zu Zwecken erfolgen würde, die nicht personenbezogen sind (insbesondere keine gezielte Werbung). Da die Handelsfirma die Zahl- kartendaten nicht erfasst, bedürfte es einer vorgängigen Übermittlung dieser Daten durch den Zahlungsdienstleis- ter. Dazu sah das vorgelegte Konzept vor, die Nummer der Zahlkarte vor- gängig durch einen eindeutigen Identi-
39 Datenschutz 27. Tätigkeitsbericht 2019/20 fikator («Token») zu ersetzen, der durch ein Hash-Verfahren generiert wird (Pseudonymisierung). In Ausübung unserer Beratungs- funktion beurteilten wir die vorgeleg- ten Unterlagen aus technischer und juristischer Sicht und kamen zum Schluss, dass sowohl die Datenverar- beitung durch den Zahlungsdienst- leister als auch jene durch die Handels- firma dem DSG unterworfen sind, da es sich in beiden Fällen bei den be a- rbeiteten Daten in der Tat um Perso- nendaten handelt. Die Festlegung eines eindeutigen Identifikators, die mittels einer Hashfunktion erfolgt, erschwert die Bestimmbarkeit der Daten und ermöglicht eine Minimie- rung der Persönlichkeitsverletzung; dies gemäss dem Prinzip der Verhält- nismässigkeit und der Sicherheit. Die übrigen allgemeinen Grundsätze des Daten- schutzes, etwa das Prinzip der Zweckbestimmung und das Öffentlichkeitsprinzip, sind ebenfalls anwendbar. Die Übermittlung der Daten durch den Zahlungsdienstleister ist als Ände- rung der Zweckbestimmung gegen- über dem ursprünglichen Zweck der Datenbearbeitung (der Durchführung der Zahlungsdienstleistung) zu wer- ten. Für eine derartige Änderung der Zweckbestimmung bedarf es eines Rechtfertigungsgrunds; im vorliegen- den Fall ist es die freiwillige Einwilli- gung nach angemessener Information des betroffenen Kunden. Was die tech- nischen Vorkehrungen anbelangt, hielten wir fest, dass zur Gewährleis- tung der Sicherheit eine Hashfunktion mit Salt oder geheimem Schlüssel notwendig ist. Für die Handelsfirma gilt, dass sie sich unserer Auffassung nach auf Art. 13 Abs. 2 lit. e DSG berufen und ein über- wiegendes privates Interesse geltend machen kann, solange sie sich an die angeführten Bedingungen hält: Die Personendaten dürfen nur zu Zwecken verarbeitet werden, die nicht perso- nenbezogen sind, im Rahmen der Forschung, der Planung oder der Sta- tistik. Zudem müssen die Ergebnisse in einer Form veröffentlicht werden, die die Identifizierung der betroffenen Personen verunmöglicht. Im konkre- ten Fall bedeutet dies, dass die Erkenntnisse aus Profilanalysen nicht unter Verweis auf diesen Rechtferti- gungsgrund für gezielte Werbung eingesetzt werden dürfen; die Han- delsfirma darf sie ferner auch nicht mit anderen personenbezogenen Daten verknüpfen, über die sie allenfalls ver- fügt (Kundenkarte, E-Shop u.ä.). Für eine derartige Nutzung wäre ange- sichts des durchgeführten Profilings die ausdrückliche Einwilligung der betroffenen Personen erforderlich. Die Handelsfirma hat unsere Beurteilung zur Kenntnis genommen und wird uns gegebenenfalls über die Umsetzung des Projekts informieren. Sportwarenhändler Decathlon informierte mangelhaft über Datenbeschaffung Im Rahmen einer Sachverhaltsabklä- rung forderte der Beauftragte von Decathlon eine verbesserte Kunden- information bei der Datenbeschaffung. Der Sportwarenhändler hat seine Datenschutzerklärung überarbeitet. Im Jahr 2018 eröffneten wir beim Sportwarenhändler Decathlon eine Sachverhaltsabklärung, nachdem wir aus unterschiedlichen Quellen ver- nommen hatten, dass dieser in seinen Schweizer Filialen den Warenverkauf von der Angabe gewisser Kundenda- ten abhängig mache. Nach der Eröff- nung des Verfahrens teilte Decathlon dem EDÖB mit, dass die Kunden ihre E-Mail-Adresse oder Telefonnummer angeben müssten, um Waren vor Ort kaufen zu können. Die Unternehmung werde fortan aber darauf verzichten, den Warenver- kauf von der Angabe dieser Daten abhängig zu machen und diese Daten nur noch auf freiwilliger Basis erheben. Dies veranlasste den EDÖB, sich der Frage zuzuwenden, ob die Freiwilligkeit für die Kund- schaft denn auch tatsächlich erkennbar sei und diese bei der Datenbeschaffung ange- messen informiert würde. Da die Informationen von Decathlon unein- heitlich und zu wenig klar formuliert waren, unterbreitete der EDÖB dem Sportwarenhändler Vorschläge für eine Verbesserung der Information (s. 26. TB, Kap. 1. 4). Decathlon hat sämtliche Hinweise des EDÖB berück- sichtigt und die Überarbeitung seiner Datenschutzerklärung abgeschlossen.
40 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Datenschutz Authentifizierung mit Stimmerkennung bei der PostFinance AG Im Berichtsjahr ist die PostFinance AG an den EDÖB herangetreten und hat ihm ihr Projekt zur Stimmerkennung in ihrem Kontaktcenter vorgestellt. Der Beauftragte wies das Unternehmen darauf hin, dass Stimmabdrücke als biometrische Daten über einzelne Per- sonen ein erhöhtes Risiko bergen und deshalb besonders geschützt werden müssten. Die PostFinance AG hat dem EDÖB im Berichtsjahr ein Vorhaben präsentiert, das bezweckt, Anrufende im Kontakt- center mittels Stimmerkennung zu identifizieren. Die Identität des Anru- fenden wird dabei anhand eines Abgleichs mit einem aufgezeichneten Stimmabdruck verifiziert. Die Post- Finance AG hat betont, dass die erho- benen Stimmabdrücke einzig und ausschliesslich zur Authentifizierung der Kunden am Telefon verwendet würden. Sie hätte aktuell keine Absichten, diese Daten für weiterge- hende Analysen zu nutzen. Im Gegensatz zur Datenschutz- grundverordnung der EU (DSGVO) sind im schweizerischen DSG biomet- rische Daten nicht bei den besonders schützenswerten Personendaten auf- geführt – dies obwohl deren Bearbei- tung mit besonderen Risiken verbun- den ist. Biometrische Merkmale sind untrennbar mit einer bestimmten Person verbunden und können nach einer Panne oder einem Missbrauch im Gegensatz zu Passwörtern nicht aus- gewechselt werden. Aufgrund des technischen Fortschritts von Stimm- und Gesichtserkennungsprogrammen (s. Kap. 1.1, Beitrag zu Clearview) und der dadurch gestiegenen Risiken für die Persönlichkeitsrechte der betroffe- nen Personen muss die Bearbeitung von biometrischen Daten unter Anwendung solcher Technologien einen erhöhten datenschutzrechtli- chen Schutz gewährleisten. In den Fällen, bei denen gemäss DSG eine Einwilligung vorliegen muss, ist diese deshalb nach Auffassung des EDÖB ausdrücklich einzuholen, bevor eine Datenbeschaffung erfolgen darf. Der verantwortliche Dateninhaber muss zudem vorab transparent und ausführ- lich über die Datenbearbeitung infor- mieren. Der EDÖB hat von der PostFinance AG im Rahmen seiner Beratungstätig- keit ein entsprechendes Vorgehen verlangt, und das Unternehmen hatte dies zunächst so umgesetzt. Die Post- Finance AG hat den Prozess jedoch zu einem späteren Zeitpunkt geändert und gewährt den Schweizer Kundin- nen und Kunden seither nur ein sog. Opt-Out. Damit wird die Stimmer- kennung bei diesen Anrufenden grundsätzlich eingesetzt, ausser sie sprechen sich explizit dagegen aus. Wir haben die PostFinance AG daraufhin um eine schriftliche Stel- lungnahme gebeten, zumal wir festge- stellt haben, dass bei ausländischen Kunden weiterhin erst nach deren ausdrücklichen Zustimmung eine Stimmerkennung vorgenommen wird – also mittels Opt-In. Das Unterneh- men hat in seiner Stellungnahme bestätigt, dass es nach Einholung einer Drittmeinung im Rahmen einer erneuten Prüfung der rechtlichen Kon- formität Ende 2018 den Prozess ange- passt hätte. Demnach würden die Schweizer Kundinnen und Kunden mittels einer automatischen Ansage über die Aufzeichnung ihres Stimmab- drucks informiert. Wenn die Kunden mit der Erstellung ihres Stimm- abdrucks nicht einverstanden seien, müssten sie selber aktiv werden und ihre Ablehnung dem Kundenberater mitteilen oder die Funktion zu einem späteren Zeitpunkt in ihrem E- Finance-Portal deaktivieren. Bei Aus- landkunden könne gemäss der Post- Finance AG nicht ausgeschlossen wer- den, dass für sie strengere Daten- schutzregeln zu Anwendung gelangen, wie namentlich die DSGVO, weshalb bei diesen weiterhin eine vorgängige explizite Einwilligung eingeholt würde. Der EDÖB hat die Ausführungen der PostFinance AG zur Kenntnis genommen und öffentlich auf die Notwendigkeit einer baldigen Anhe- bung des Datenschutzniveaus für die Schweizer Bevölkerung hingewiesen. Solange die Totalrevision des DSG nicht in Kraft tritt (s. Schwerpunkt I), können Schweizer Kunden offenbar nicht darauf zählen, dass alle hiesigen Unternehmen davon absehen, sie schlechter zu stellen als ausländische Kunden.
41 Datenschutz 27. Tätigkeitsbericht 2019/20 Videoüberwachung mit intelligenten Kameras bei Migros Die Migros hat im Berichtsjahr ver- suchsweise ein neues Kamerasystem zur Überwachung ihrer Ladenflächen eingeführt. Der EDÖB prüft die Daten- schutzkonformität. Der EDÖB wurde durch Medienbe- richte darauf aufmerksam, dass die Migros neuartige Überwachungs- kameras im Einsatz habe. Auf Nach- frage hin gab die Migros bekannt, dass sie in bestimmten Filialen ein neues System in einem Pilotprojekt prüfe. Die eingesetzte Software erlaube es, im Ereignisfall Kunden anhand von bestimmten Erscheinungskriterien zu analysieren und die relevanten Video- sequenzen zu eruieren. Mit den neuen Kameras werde aber keine Gesichts- erkennung vorgenommen. Für den EDÖB stellen sich im Hin- blick auf eine datenschutzkonforme Ausgestaltung solcher Systeme ver- schiedene Fragen. Von zentraler Bedeutung sind namentlich die Trans- parenz gegenüber den betroffenen Personen und die Gewährleistung von hohen Sicherheits- standards bei der Daten- bearbeitung. Im Anschluss an seine Vorabklärungen eröffnete der EDÖB eine Sachverhaltsabklärung, um das Sys- tem vertieft zu prüfen und gegebenen- falls datenschutzrechtliche Empfeh- lungen zu erlassen. Diese Untersu- chung war zum Ende des Berichtjahres noch im Gang.
42 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Datenschutz 1.5 Gesundheit Intensivierte Kontakte im Hinblick auf die Einführung des elektronischen Patien- tendossiers Ab dem 15. April 2020 sollte Bürgerinn- nen und Bürgern schweizweit ein elekt- ronisches Patientendossier (EPD) zur Verfügung stehen. Aufgrund der bevor- stehenden Einführung hat sich der EDÖB im Berichtsjahr erneut vertieft damit beschäftigt – namentlich mit den Anbietern, den sog. Stammge- meinschaften. Mit dem EPD können Privatpersonen über ihre persönlichen Gesundheits- daten wie bspw. Krankheiten oder einzunehmende Medikamente in digi- taler Form verfügen und selber bestimmen, wer diese einsehen darf. Die per 15. April 2020 geplante Einfüh- rung des elektronischen Patientendos- siers führe zu erneut ansteigenden Bürgeranfragen an den EDÖB. Zudem verstärkten wir unsere Koordinations- bemühungen mit den kantonalen Datenschutzbeauftragten und wirkten bei diversen Fachveranstaltungen mit. Aufgrund der Wichtigkeit und Aktua- lität des Themas hat sich der EDÖB zudem von einer der grössten Stamm- gemeinschaften in der Schweiz aus erster Hand über den Stand der Arbei- ten, die Umsetzung und die Schwie- rigkeiten bei der Einführung des EPD informieren lassen. Diese Körperschaf- ten sind gemäss Gesetz exklusiv befugt, das EPD anzubieten, und ste- hen unter Aufsicht des EDÖB, während die zumeist kantonalen Insti- tutionen wie Spitäler von den kanto- nalen Datenschutzbeauftragten beauf- sichtigt werden. Der EDÖB ver- schaffte sich so einen Überblick über die Aufbauarbeiten sowie die komple- xen technischen Abläufe und Instru- mente, die für den Betrieb des EPD nötig sind. Dabei zeigte sich, dass nicht nur der Aufbau der Stammge- meinschaften technisch anspruchsvoll ist, sondern auch der Zertifizierungs- prozess mit einem hohen Aufwand verbunden ist, den die Stammgemein- schaften sowie die Herausgeber der Identifikationsmittel für die elektroni- sche Identität im EPD durchlaufen müssen. Nach Auskunft der zuständigen Stellen wird sich der Roll-Out bis Sommer 2020 verzögern. Der EDÖB wird die Entwicklung weiterhin ver- folgen und diesbezügliche Kontrollak- tivitäten ins Auge fassen, sobald die Stammgemeinschaften ihren Betrieb aufgenommen haben. Bonusprogramm Helsana+ – Umsetzung des Bundesver- waltungsgerichtsurteils Das Bundesverwaltungsgericht beur- teilte im Jahr 2019 bestimmte Daten- bearbeitungen als rechtswidrig, die im Rahmen des Bonusprogramms Helsana+ durch den Versicherer vorgenommen wurden. Der EDÖB stand im Berichts- jahr mehrmals in Kontakt mit Helsana um sicherzustellen, dass das Urteil vollständig umgesetzt wird und dass auch zukünftige Anpassungen der Nutzungsbestimmungen den daten- schutzrechtlichen Anforderungen gerecht werden. Mit Urteil vom 19. März 2019 qualifi- zierte das Bundesverwaltungsgericht die in der ursprünglichen Ausgestal- tung erfolgte Datenbeschaffung beim Grundversicherer mangels rechtsgülti- ger Einwilligung als rechtswidrig (s. 26. TB, Kap. 1.5). In seinen Erwä- gungen stellte das Gericht gewisse Mängel der Nutzungs- und Daten- schutzbestimmungen von Helsana+ fest, welche nach Auffassung des EDÖB unabhängig von der Frage der rechtsgültigen Einwilligung bestehen.
43 Datenschutz 27. Tätigkeitsbericht 2019/20 Nach Inkrafttreten des Urteils ver- langte der EDÖB deshalb vom Versi- cherer, die festgestellten Defizite der Nutzungs- und Datenschutzbestim- mungen von Helsana+ zu beseitigen, damit die Bestimmungen die Anforde- rungen an Transparenz und Verständ- lichkeit erfüllen. Der Versicherer hat die Nutzungs- bestimmungen des Bonusprogramms in der Zwischenzeit einer umfassen- den Überarbeitung unterzogen. Insbe- sondere mit Blick auf die neuen Rege- lungen ist der EDÖB weiterhin im Austausch mit dem Versicherer, um die datenschutzkonforme Umsetzung der Datenbearbeitungen sicherzu- stellen. «Swiss National Cohort»: weiterführende Schutzmass- nahmen erforderlich Das Projekt «Swiss National Cohort» (SNC) hat an Umfang zugenommen. Damit entstehen nunmehr Verknüpfun- gen in einem Ausmass, das die Ano- nymität der bearbeiteten Daten nicht mehr gewährleistet: Ein Ausbau des Vertraulichkeitsdispositivs drängt sich auf. Gemeinsam mit dem Bundesamt für Statistik (BFS) lancierten das Institut für Epidemiologie, Biostatistik und Prävention (EBPI) der Universität Zürich und das Institut für Sozial- und Präventivmedizin (ISPM) der Univer- sität Bern bereits 2006 die erste Kohorte, die die gesamte Schweizer Bevölkerung langfristig abbildet, und schufen damit eine vielseitige For- schungsplattform. Auf Ersuchen des ISPM nahmen wir zur Frage der Ein- haltung datenschutzrechtlicher Bestimmungen durch die SNC Stel- lung. Dies unter Beachtung sowie vorbehaltlich der Befugnisse der betroffenen kantonalen Datenschutz- behörden. Auf diese Weise konnten wir feststel- len, dass die technischen und organisa- torischen Massnahmen geeignet waren, die Sicherheit und Genauigkeit der Daten zu garantieren. Im Unter- schied zu den früheren Projektphasen stellten wir hingegen fest, dass umfangreiche und zahlreiche Perso- nendaten, einschliesslich Gesund- heitsdaten, nunmehr verknüpft wer- den, wodurch eine Anonymisierung verunmöglicht wird. Dementspre- chend empfahlen wir den Projektträ- gern, mittels zusätzlicher Schutzvor- kehrungen für die Vertraulichkeit der Daten der betroffenen Personen zu sorgen.
44 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Datenschutz Untersuchung zu IQOS, die elektronische Zigarette der neuen Generation von Philip Morris Bei IQOS, den E-Zigaretten von Philip Morris, entstehen weder Verbrennung noch Asche, dafür aber jede Menge Daten. Der Beauftragte prüfte, ob deren Bearbeitung datenschutz- konform ist. Während der Markt für E-Zigaretten derzeit weiter an Fahrt gewinnt und das Parlament über ein Bundesgesetz über Tabakprodukte und elektronische Zigaretten (TabPG) berät, entwickelte der Hersteller Philip Morris in den letzten Jahren mit IQOS ein neues Produkt, das aus Tabaksticks, «Heets» genannt, und einem Heizelement besteht, welches den Tabak erhitzt, aber nicht verbrennt. Zudem lassen sich bei IQOS via Bluetooth-Verbin- dung Daten des Systems exportieren. Folglich ist IQOS nicht nur eine E-Zigarette, sondern auch ein smarter Gegenstand. Nachdem in mehreren Presseartikeln Bedenken hinsichtlich des Schutzes der mit IQOS gesammel- ten Daten laut wurden, leitete unsere Behörde am 11. Juli 2019 ein Verfahren zur Sachverhaltsabklärung ein, um zu prüfen, inwiefern die Nutzung der mit IQOS erzeugten Daten einen Eingriff in die Privatsphäre der Konsumenten in der Schweiz darstellt. Im Mittelpunkt unserer Untersu- chung stand die Frage, ob die gesetzli- chen Vorschriften bezüglich Informa- tion, Einwilligung und grenzüber- schreitende Übermittlung von Daten, sowohl innerhalb als auch ausserhalb des multinationalen Unternehmens, eingehalten werden. Wir konnten feststellen, dass die von Philip Morris getroffenen technischen und organisatorischen Vorkehrungen ausreichen, um den Schutz der Perso- nendaten von Nutzerinnen und Nut- zern in der Schweiz zu gewährleisten.
45 Datenschutz 27. Tätigkeitsbericht 2019/20 1.6 Arbeit Zeiterfassung und Tracking mit Apps im Arbeitsbereich Smartphones werden zunehmend auch betrieblich eingesetzt, etwa mithilfe von Apps zur Arbeitszeiterfassung oder zur Aufzeichnung der während der Arbeit zurückgelegten Wege. Eine datenschutzkonforme Ausgestaltung verlangt insbesondere, dass sich die Datenbearbeitung auf das Notwendige beschränkt und dass die Mitarbeiten- den angemessen informiert werden. Im Berichtsjahr nahmen Anfragen aus der Bevölkerung zu mobilen Anwen- dungen im Arbeitsbereich wiederum zu. Zeiterfassung, GPS-Tracking, Zugriff auf die geschäftlichen E-Mails – es gibt kaum Bereiche des Arbeitsle- bens, die nicht auch über das Handy bearbeitet werden können. Das mobile Büro in der Hosentasche bringt neben Vereinfachungen im Arbeitsalltag auch einige datenschutzrechtliche Heraus- forderungen mit sich, zumal sich nicht wenige dieser technischen Funktionen zusätzlich zur Überwachung der Mit- arbeitenden einsetzen lassen. Ein datenschutzkonformer Einsatz mobiler Apps im Arbeitsbereich bedingt, dass der Arbeitgeber nur die- jenigen Personendaten seiner Ange- stellten bearbeitet, welche für die Durchführung des Arbeitsverhält- nisses notwendig sind. Weiter müssen stets die Bearbeitungs- grundsätze des DSG beach- tet werden, wie die Verhält- nismässigkeit und die Transparenz. Insbesondere beim letztgenannten Punkt beobach- ten wir oftmals insofern Mängel, als die Mitarbeitenden häufig nicht ange- messen über den Einsatz oder den Zweck von Überwachungsmassnah- men orientiert werden. Ein weiteres anspruchsvolles Thema sind die technischen und orga- nisatorischen Massnahmen, welche einen Missbrauch der Daten und Zugriffe durch Unbefugte – auch innerhalb des Unternehmens – verhin- dern sollten. Und schliesslich ist häu- fig unklar, was etwa mit erfassten Daten eines GPS-Trackings nach Arbeitsende oder während der Pausen geschieht – solche Datenbearbeitun- gen verletzen grundsätzlich die Privat- sphäre der Mitarbeitenden. Entspre- chend häufig fragten Betroffene unsere Behörde in diesem Zusammenhang um Rat. Die Problematik rund um mobil genutzte Funktionen des Arbeits- lebens ist noch zusätzlich verschärft, wenn dasselbe Smartphone für private und berufliche Zwecke verwendet wird. Hier stellt sich insbesondere die Frage, wie bei der Beendigung des Arbeitsverhältnisses korrekterweise vorgegangen werden soll. Der EDÖB verfolgt die Entwick- lungen im Bereich der mobilen Appli- kationen im Arbeitsalltag weiterhin aufmerksam und hat hierzu auch eine Sachverhaltsabklärung eingeleitet (s. Box). Sachverhaltsabklärung im Bereich Zeiterfassung Der EDÖB hat bei einem grossen Unternehmen im Bereich Gebäudereinigung und -unterhalt eine Sachverhaltsabklärung eingeleitet. Das Unternehmen beschäftigt eine grosse Zahl von Mitarbeitenden und hat die Arbeitszeiterfassung vor Kurzem weitgehend digitalisiert. Bei der nunmehr internetbasierten Registrierung der Arbeitszeiten stellen sich verschiedene datenschutzrechtliche Fragen, vor allem in Bezug auf die Datensicherheit, Zugriffsregelungen und die Datenflüsse innerhalb des Unternehmens sowie auch an allfällige Dritte. Der EDÖB wird nach Abschluss des Verfahrens über die Ergebnisse der Sachverhaltsabklärung informieren.
46 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Datenschutz Einsatz von künstlicher Intelligenz im Bewerbungs- verfahren Künstliche Intelligenz (KI) kommt immer häufiger auch bei Bewerbungs- verfahren zum Zug. Der Eingriff in die Persönlichkeitsrechte wiegt dabei regelmässig schwerer als bei konven- tionellen Anstellungsprozessen. Mehrere Medienberichte und Anfra- gen im Berichtsjahr lassen den Schluss zu, dass auch hierzulande im Rahmen von Bewerbungsverfahren vermehrt auf künstliche Intelligenz (KI) zurück- gegriffen wird. Dabei werden bei- spielsweise Bewerbungs gespräche auf Video aufgezeichnet und durch eine Software analysiert. Der datenschutzrechtliche Rah- men beim Einsatz dieser neuen Instru- mente ist zunächst derselbe wie bei konventionellen Bewerbungsverfah- ren: Der Arbeitgeber darf nur jene Daten erheben und bearbeiten, welche für die Abklärung der Eignung einer Person für die betreffende Stelle benö- tigt werden, und er muss sich stets an die datenschutzrechtlichen Prinzipien halten. Angesichts der Fülle von Analyse- möglichkeiten, die sich durch die KI- gestützten Prozesse bieten, wiegen die Eingriffe in die Persönlichkeitsrechte tendenziell schwerer als bei konven- tionell geführten Bewerbungsgesprä- chen. Aus diesem Grund muss insbe- sondere den Prinzipien der Erkennbar- keit und der Verhältnismässigkeit besondere Beachtung geschenkt werden. Abklärungen beim Eidgenössi- schen Personalamt (EPA) haben erge- ben, dass der Bund bei seinen Bewer- bungsverfahren derzeit noch nicht auf künstliche Intelligenz zurückgreift. Sollte dies zukünftig geplant sein, wird sich der EDÖB frühzeitig ein- bringen und einen massvollen und datenschutzkonformen Einsatz der entsprechenden Technologien fordern.
47 Datenschutz 27. Tätigkeitsbericht 2019/20 1.7 Versicherungen Neue rechtliche Bestim- mungen zu den Observationen im Bereich der Sozial- versicherungen in Kraft Die neuen gesetzlichen Grundlagen für die Überwachung von Versicherten wurden in das Bundesgesetz über den Allgemeinen Teil des Sozialversiche- rungsrechts (ATSG) übernommen und traten mit den dazugehörigen Verord- nungsbestimmungen auf den 1. Oktober 2019 in Kraft. Im Berichtsjahr berieten wir Rechtssuchende, die sich betref- fend Überwachung an uns wandten. Mit dem sog. Observationsartikel wurde im Berichtsjahr die Überwa- chung im Sozialversicherungsbereich neu geregelt. Mit den Artikeln 43a und 43b des Bundesgesetzes über den All- gemeinen Teil des Sozialversiche- rungsrechts (ATSG) und den dazuge- hörigen Ausführungsbestimmungen der Verordnung in den Artikeln 7a – 9b ATSV traten die entsprechenden rechtlichen Grundlagen auf den
48 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Datenschutz Gesetzesvorlage zur systematischen Verwendung der AHV-Nummer Am 30. September 2019 unterbreitete der Bundesrat den Eidgenössischen Räten eine Botschaft zu einer Ände- rung des AHV-Gesetzes. Der Entwurf sieht vor, die Verwaltungen von Bund, Kantonen und Gemeinden zu ermächti- gen, die AHV-Nummer systematisch als eindeutiges Identifikationsmerkmal ausserhalb des Sozialversicherungs- bereichs zu verwenden. Diese Vorlage setzt gleichsam den Schlusspunkt einer langjährigen Ent- wicklung, die dazu geführt hat, dass der Bundesgesetzgeber die Verwen- dung der AHV-Nummer durch zahl- reiche Spezialgesetze weit über den Sozialversicherungsbereich hinaus ausgeweitet hat. Solche Ausweitungen standen auch im Rahmen der Beratun- gen der Modernisierung des Handels- register- und Grundbuchrechts zur Diskussion, zu denen die Rechtskom- missionen beider Räte den EDÖB bei- zogen. Nachdem wir das Bundesamt für Justiz dafür gewinnen konnten, bei der ETH Zürich eine Studie zur Beur- teilung der datenschutzrechtlichen Risiken in Auftrag zu geben und in die Beratungen der Modernisierung des Grundbuchs einfliessen zu lassen, wurde einerseits klar, dass die Perso- nenregister von Bund, Kantonen und Gemeinden anfällig sind für nicht autorisierte und missbräuchliche Zugriffe. Der Gutachter bestätigte aber auch, dass sich diese Datenschutz- risiken allein mit sektoriellen Identifi- katoren wie sie die Bundesgesetzge- bung z.B. bei der Verwaltung des elek- tronischen Patientendossiers vorsieht, nicht signifikant senken lassen. Nach Kenntnisnahme dieser Ergebnisse hat die nationalrätliche Rechtskommis- sion den Bundesrat im Jahre 2017 mit einem Postulat beauftragt, ein Kon- zept zur Senkung der von der Studie aufgezeigten Risiken vorzulegen und dabei die Meinung des EDÖB einzube- ziehen (s. 25. TB, Kap. 1.1.2). Diesen Auftrag hat der Bundesrat im Rahmen der erwähnten Botschaft erfüllt, und unsere Behörde wurde vom Bundesamt für Sozialversiche- rung bei der Erarbeitung von Botschaft und Gesetzesentwurf denn auch umfassend einbezogen. Unsere Vor- schläge und Bemerkungen wurden berücksichtigt: Angesichts der hohen Datenschutzrisiken begrüssen wir es, dass der Gesetzesentwurf ausdrück- lich die Pflicht zu periodischen Risiko- analysen vorsieht für Behörden, die über Datenbanken verfügen, in denen die AHV-Nummer systematisch ver- wendet wird, wobei insbesondere die Gefahr eines unberechtigten Datenab- gleichs berücksichtigt werden soll. Auf Basis dieser Risikoanalysen sind Sicherheits- und Datenschutz- massnahmen zu definieren und umzu- setzen, die der Risikosituation ange- messen sind und dem Stand der Tech- nik entsprechen. Wir begrüssen auch die Pflicht für die im Gesetzesentwurf bezeichneten Behörden, welche die AHV-Nummer systematisch verwen- den, ein Verzeichnis über die relevan- ten Datenbanken zu führen, die als Grundlage für die Risikoanalysen die- nen. Weiter begrüssen wir das Ver- sprechen des Bundesrates, dass die rechtsstaatlichen Zuständigkeitsgren- zen der Verwaltung durch die einheit- liche Verwendung der AHV-Nummer nicht übersteuert werden dürfen, auf dem der EDÖB die Bundesverwaltung behaften wird. Weiter betont der Bun- desrat, dass der einheitliche Gebrauch der AHVN nicht dazu führen darf, dass die Sozialversicherungsnummer als allgemeines Identifizierungsmittel verwendet wird, wie in den USA oder Skandinavien, wo es immer wieder zu massenhaften Identitätsdiebstählen gekommen ist. Dem will er entgegen- wirken, indem er den Gebrauch der Nummer durch Private einschränkt und gesetzlich vorschreibt, dass die Staatsangestellten so geschult werden, dass die AHVN nur aufgabenbezogen verwendet wird. Zu Zwecken der Iden- tifizierung im Behördenverkehr soll inskünftig die elektronische Identität zur Verfügung stehen, die auf einer von de AHV-Nummer unabhängigen E-ID-Registrierungsnummer basieren soll, was durch die Neufassung des AHVG weiterhin möglich bleibt. Auch dies wird vom EDÖB begrüsst. Bedeutsam sind auch die techni- schen Vorgaben der Vorlage, die u.a. verlangen, dass Datensätze mit der AHVN inskünftig nur noch verschlüs- selt über das öffentliche Netz übertra- gen werden. Anlässlich der Anhörung an der Sitzung der Staatspolitischen Kom- mission des Ständerates vom 18. Feb- ruar 2020 konnten wir die Wichtigkeit von Garantien und konkreten Mass- nahmen betonen, die eine möglichst weitgehende Risikominimierung bezwecken, sowie die Notwendigkeit, dass Bund, Kantone und Gemeinden die Ausgestaltung ihrer Datenbank- architekturen regelmässig überprüfen und neu beurteilen.
49 Datenschutz 27. Tätigkeitsbericht 2019/20 1.8 Verkehr ÖV-App SmartWay erstellt Persönlichkeitsprofile Das Angebot an Apps im öffentlichen Verkehr nimmt stetig zu. Der EDÖB hat in diesem Kontext namentlich die SBB beraten, welche im Berichtsjahr Mobili- täts-Apps wie EasyRide für elektroni- sches Ticketing oder SmartWay als elektronischen Reiseassistenten lan- ciert haben. Der EDÖB hat im Hinblick auf das zunehmende Angebot an Mobilitäts- Apps bereits in den vergangenen Jah- ren verschiedene Transportunterneh- men insbesondere betreffend das elek- tronische Ticketing beraten (s. 2 4. TB). Auch in diesem Berichtsjahr stand der EDÖB im Austausch mit Transport- unternehmen, namentlich mit dem Datenschutzverantwortlichen der SBB, unter anderem bezüglich der Techno- logie von Fairtiq für elektronisches Ticketing. Der EDÖB wirkte unter anderem darauf hin, dass die Nut- zungsbedingungen für die auf Fairtiq basierende EasyRide-App kunden- freundlicher und unter Wahrung der Verhältnis- mässigkeit ausgestaltet wer- den. Zudem liess er sich versichern, dass die Beschränkungen für die Datenweiter- gabe und -weiterbearbeitung durch Dritte tatsächlich beachtet werden. Ferner stellten die SBB dem EDÖB die äusserst datenintensive Anwendung SmartWay vor, welche sich noch in der Testphase befindet. Diese App schlägt den Nutzenden personalisierte Reise- empfehlungen mit passenden Verbin- dungen vor. Die App erfasst Daten durchgehend während 2 4 Stunden, unabhängig davon, ob sie gerade genutzt wird oder nicht. Die Nutzen- den können diese Funktion nicht ablehnen und sofern sie die Daten nicht aktiv löschen oder die App wäh- rend mehrerer Monate nie benutzen, werden die Daten erst nach vier Jahren gelöscht. Bereits schon nach wenigen Tagen entstehen Persönlichkeitsprofile und die Möglichkeit einer Anonymisierung von Bewegungsprofilen ist praktisch unmöglich. Folglich sind sehr hohe Anforderungen an den Datenschutz, insbesondere an die Verhältnismässig- keit und die Information zu stellen. Der EDÖB hat darauf hingewiesen, dass die Nutzenden vor der Registrie- rung vollständig und verständlich über sämtliche Personendatenbearbeitun- gen informiert werden müssen, damit ihre Einwilligung freiwillig erfolgen kann. Es muss klar sein, wer welche Daten zu welchem Zweck bearbeitet. Einwilligungen sind zudem ausdrück- lich (opt-in) sowie zweckbezogen und nicht pauschal einzuholen. Es muss transparent gemacht werden wie das Auskunftsrecht– auch bei Auftragsda- tenbearbeitung durch Dritte – ausge- übt werden kann und ob die Profile bei einer Löschung in der App auch bei allfälligen Dritten gelöscht werden. Wenn nicht, muss informiert werden, wie die Nutzenden die Löschung sämt- licher Daten vornehmen können. Wenn Daten im Ausland weiterbear- beitet werden, zum Beispiel in einer Cloud, müssen die Nutzenden unter Angabe des Landes für Auskunfts- und Löschungsbegehren angemessen infor- miert werden. Generell müssen Dritte, welche die Personendaten bearbeiten, ihrerseits die Datenschutzgrundsätze und die Datensicherheit einhalten. Der EDÖB hat darauf hin- gewiesen, dass die Daten- bearbeiter dafür verantwort- lich sind, den Datenschutz von Anfang an sicherzustel- len und während der Projektentwick- lung laufend Risikofolgeabschätzun- gen durchzuführen.
50 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Datenschutz Kontrolle eines Pilotpro- jekts von SBB und Axon Vibe Anlässlich eines längeren Unterbruchs der Bahnstrecke zwischen Lausanne und Puidoux-Chexbres starteten die SBB ein Pilotprojekt zur Entschädigung der Kunden. Der EDÖB hat eine Sach- verhaltsabklärung betreffend die kor- rekte Datenbearbeitung durchgeführt. Im Sommer 2018 musste die SBB die Bahnstrecke zwischen Lausanne und Puidoux-Chexbres aufgrund von Bau- arbeiten während mehrerer Monate sperren. Um Bahnkunden, welche mehrfach von grossen Verspätungen betroffen waren, eine faire Entschädi- gung zu erstatten, starteten die SBB ein Pilotprojekt. Damit wurden die Fahrten der sich am Entschädigungs- projekt beteiligenden SBB-Kunden automatisch via die Smartphone- Funktionen Geolokalisation und «Bewegung und Fitness» erfasst. So wurden unter anderem Bewegungs- daten der Kunden bearbeitet. Da sich hierbei auch datenschutzrechtliche Fragen stellen, entschied der EDÖB, eine Sachverhaltsabklärung betreffend die Personendatenbearbeitung durch- zuführen. Mit der Kontrolle wollten wir überprüfen, ob die SBB die Personen- datenbearbeitung rechtskonform vor- nahmen, wie sie dies zugesichert hat- ten. Insbesondere interessierte uns die ausschliessliche Verwendung der Per- sonendaten für dieses Pilotprojekt sowie die Löschung der Daten. Ferner wurde der Fokus auf die Übertragung von Daten von den SBB an Axon Vibe und deren weitere Bearbeitung durch dieses Drittunternehmen gesetzt. Während der Sachverhaltsabklärung wurde deutlich, dass diverse daten- schutzrechtliche Aspekte über das Pilotprojekt hinausgingen. Zum Bei- spiel wurden die für das Pilotprojekt relevanten Daten über ein weiterge- hendes System (Reise-Cockpit) von Axon Vibe erfasst, welches bereits Kundendaten beinhaltete. Eine klare Trennung dieser Daten von jenen die im Pilotprojekt erhoben wurden, war nicht ersichtlich. Auch war unter anderem nicht klar, ob die SBB oder Axon Vibe für die Datenbearbeitung verantwortlich war. Eine detaillierte Analyse hätte eine neue, erweiterte Sachverhaltsabklä- rung erfordert. Das Pilotprojekt war örtlich und zeitlich eng abgesteckt, sodass vergleichsweise wenige Kun- den betroffen waren. Zudem hatten die SBB zwischenzeitlich dateninten- sivere Apps lanciert, auf die der EDÖB den Fokus legt. Er beschränkte sich darum in der Folge auf die Kontrolle der korrekten, unwiederbringlichen Löschung aller im Rahmen des Pilot- projekts erhobenen Personendaten. Unser Schriftverkehr mit den SBB resp. Axon Vibe war am Ende der Berichtsperiode noch im Gang. Schutz der Privatsphäre im Projekt Mobility Pricing Das Bundesamt für Strassen (ASTRA) plant mit Blick auf das Anwachsen der Einwohnerzahl der Schweiz auf zehn Millionen eine Steuerung des Mobili- tätsverhaltens der Bevölkerung über die Reisekosten. Ein solches Mobility Pricing soll von der Uhrzeit und der zurückgelegten Distanz sowie dem genutzten Verkehrsmittel abhängen. Das Projekt befindet sich in der Anfangsphase. Der EDÖB fordert, dass datenschutzrechtliche Anforderungen frühzeitig berücksichtigt werden. Das Bundesamt für Strassen nimmt an, dass die bis in rund zwanzig Jahren zu erwartende Einwohnerzahl der Schweiz von zehn Millionen das heu- tige Verkehrssystem als Ganzes über- fordern würde. Weder könne die tradi- tionelle Infrastruktur im notwendigen Mass baulich ausgebaut werden, noch stünden visionäre Systeme wie unter- irdische Bauten rechtzeitig zur Verfü- gung. Daher will sich das ASTR A zur Brechung von Verkehrsspitzen auf Lösungen fokussieren, die das Mobili- tätsverhalten der Bevölkerung beein- flussen. Mit dem sog. Mobility Pricing sollen die Verkehrsteilnehmenden gemäss der von ihnen in der Schweiz zurückgelegten Distanz je nach Uhr- zeit und genutztem Verkehrsmittel belastet werden. Die Umsetzung eines solchen Mobility Pricings bedingt die Erfas- sung des Mobilitätsverhaltens der Verkehrsteilnehmenden und damit die Bearbeitung von teilweise sensiblen Personendaten und Bewegungsprofi- len (s. oben).
51 Datenschutz 27. Tätigkeitsbericht 2019/20 Der Beauftragte geht zurzeit davon aus, dass eine datenschutzkonforme Aus- gestaltung des Mobility Pricings mög- lich ist. Anlässlich mehrerer Sitzungen mit dem ASTR A und schriftlichen Stellungnahmen wirkte der EDÖB im Berichtsjahr darauf hin, dass der Datenschutz im Projekt frühzeitig erkannt und umgesetzt wird. Insbe- sondere legen wir Wert darauf, dass alle projektbeteiligten Amtsstellen und privaten Unternehmen über einen mit genügend Ressourcen ausgestatte- ten internen Datenschutzberater ver- fügen. Die Datenschutzberater sind frühzeitig in das Projekt einzubezie- hen und sollen gewährleisten, dass die nötigen Risikofolgeab- schätzungen erstellt und datenschutzfreundliche Technologien entwickelt werden. Die dafür not- wendigen Mittel müssen von Anfang an eingeplant werden. Ferner sind datenschutzrechtliche Dokumentatio- nen zu erstellen. App Cyclomania von Pro Velo Schweiz Eine neue App zur Förderung der Fahr- radbenutzung soll die registrierten Nutzer während eines Monats im Jahr tracken. Der EDÖB hat Pro Velo Schweiz zu Datenschutzaspekten beraten. Der nationale Dachverband der loka- len und regionalen Verbände für die Interessen der Velofahrenden in der Schweiz (Pro Velo Schweiz) entwi- ckelt, unterstützt vom Bundesamt für Energie, die neue App Cycolmania. Diese soll mithelfen, das Velo als Ver- kehrsmittel zu fördern. Die App erstellt von den registrierten Nutze- rinnen und Nutzern während eines Monats im Jahr ein Bewegungsprofil. Die erhobenen Daten werden zum einen für die persönliche Statistik der Cycolmania-Nutzenden und Verlo- sung von Preisen verwendet, zum anderen sollen die Daten in anonymer oder aggregierter Form den Gemein- den zur Verfügung gestellt werden, damit diese ihre Infrastruktur dem Verhalten der Bevölkerung entspre- chend verbessern können. Bei Einwil- ligung der Nutzer sollen die Daten gegebenenfalls für Forschungszwecke über den zeitlichen Rahmen der Aktion hinaus aufbewahrt werden. Der EDÖB beriet Pro Velo Schweiz zu den datenschutzrechtlichen Aspek- ten des Projekts. Unter anderem ist wichtig, dass die Nutzer transparent und angemessen über alle Personen- datenbearbeitungen informiert wer- den und das Verhältnismässigkeits- prinzip eingehalten wird. Beispielsweise soll die Löschung der Daten erfolgen, sobald diese für die angegebenen Zwecke nicht mehr benötig werden. Es soll dem Nutzer ferner die Abschaltung wie auch die gezielte Verwendung der App durch datenschutzfreundliche (Vor-)Einstel- lungen möglichst einfach gemacht werden. Sinnvoll wäre es, die Informa- tion und ausdrückliche Einwilligung kurz und übersichtlich zu gestalten, mit anklickbaren Links zu weiterge- henden Informationen. Zu beachten ist weiter die Unmöglichkeit Bewe- gungsprofile zu anonymisieren (s. Kap. 1.1).
52 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Datenschutz 1.9 International Internationale Konferenz der Datenschutzbeauftragen in Tirana Die 41. Internationale Konferenz der Datenschutzbeauftragten fand vom 21. bis 24. Oktober 2019 in Tirana unter der Leitung der albanischen Daten- schutzbehörde statt und war dem Thema «Convergence and connectivity: raising global data protection stan- dards in the digital age» gewidmet. Zu Beginn der Konferenz einigten sich die Mitglieder in einer geschlossenen Sitzung auf ein Rahmenkonzept, um die Stellung des Gremiums als interna- tionales Forum weiter zu stärken. Konkret wurde ein neuer Schritt in der Zusammenarbeit zwischen den Daten- schutzbehörden weltweit eingeleitet: Neu trägt die Internationale Konferenz nun die Bezeichnung «Global Privacy Assembly – Assemblée globale de la vie privée (GPA)» und unternimmt damit eine grundlegende Reform im Bereich der internen Organisation, der Funktionsweise und der zukunftsge- richteten Koordinierung. Die Konfe- renz verfolgt drei strategische Prioritä- ten: 1. Weltweiter Ausbau des Schut- zes der Privatsphäre im digitalen Zeit- alter; 2. Bedeutung und Einfluss der Konferenz maximieren, namentlich durch die Stärkung der Rolle der Kon- ferenz in der digitalen Politik und die Intensivierung der Beziehungen zu anderen internationalen Gremien und Netzwerken; 3. Kapazitätserweiterung, damit die Mitglieder ihr Fachwissen während des Jahres laufend austau- schen können. An der geschlossenen Sitzung vom 21. und vom 2 2. Oktober 2019 wurden sechs Grundsatzdokumente verabschiedet : • Entschliessung über die strategische Orientierung der Konferenz (2019 – 2021); • Entschliessung über die Privatsphäre als grundlegendes Menschenrecht und als Grundvoraussetzung für die Demokratie; • Entschliessung über die Förderung von neuen praktischen, langfristig angelegten Instrumenten sowie über die Weiterführung juristischer Bestrebungen im Hinblick auf eine wirksame Zusammenarbeit im Bereich der grenzüberschreitenden Kontrolle; • Entschliessung über soziale Medien und extremistische, gewaltgeprägte Webinhalte; • Entschliessung zur Unterstützung und Erleichterung der Zusammen- arbeit in Regulierungsfragen für Datenschutz-, Verbraucherschutz- und Wettbewerbsbehörden, damit klare, einheitliche Datenschutz- normen in der digitalen Wirtschaft eingeführt werden können; • Entschliessung über die Bedeutung des menschlichen Versagens im Zusammenhang mit der Verletzung personenbezogener Daten. An der Eröffnung der Konferenz hielt der albanische Premierminister Edi Rama eine Ansprache. Diese öffentlich zugängliche Sitzung war vor allem durch den Austausch und die Zusam- menarbeit zwischen Vertretern der Datenschutzbehörden, der Hochschu- len, der Industrie sowie der Bürgerge- sellschaft und der Medien geprägt. Nebst anderen Fragen kamen folgende Themen zur Sprache: gemeinsame Datenschutznormen im Bereich der Privatsphäre; weltweite Herausforde- rungen für den Schutz der Privat- sphäre im Zusammenhang mit daten- basierten Handelsmodellen; konver- gierende digitale Regulierungen in den Bereichen Datenschutz und Wett- bewerb; Verantwortungsbewusstsein als globale Brücke, die zur Einhaltung strenger Datenschutznormen beiträgt; zukünftige Herausforderungen für Datenschutzbehörden und -beauf- tragte. Über 700 Personen nahmen an der Konferenz teil. Die nächste Auflage der Konferenz ist für 2020 in Mexiko- Stadt vorgesehen.
53 Datenschutz 27. Tätigkeitsbericht 2019/20 Europäische Konferenz der Datenschutzbeauftragten in Tiflis Wir haben an der Europäischen Konfe- renz der Datenschutzbeauftragen teil- genommen, deren Fokus auf den Her- ausforderungen im Zusammenhang mit der Umsetzung der DSGVO und auf den wesentlichen Neuerungen des Überein- kommens 108+ lag. Diese Urkunde ist nach wie vor das einzige internationale, rechtlich bindende Instrument auf dem Gebiet des Datenschutzes. Die 29. Europäische Konferenz der Datenschutzbeauftragten fand vom 8. bis 10. Mai 2019 auf Einladung der georgischen Datenschutzbeauftragten in Tiflis (Georgien) statt. Sie bot Gele- genheit, Rückschau über das erste Jahr der Datenschutz-Grundverordnung zu halten. Im Rahmen von Debatten konnten sich die Vertreter der Daten- schutzbehörden über die Herausforde- rungen bei der Umsetzung und Anwendung der DSGVO austauschen. Dabei wurden diverse Initiativen der Datenschutzbehörden vorgestellt, namentlich die Software für Daten- schutz-Folgenabschätzungen der CNIL, die in 16 Sprachen vorliegt. Auch der territoriale Geltungsbereich und die Mechanismen der Zusammen- arbeit wurden anlässlich einer Panel- diskussion erörtert, an der eine Vertre- terin des EDÖB teilnahm. Die Teilnehmer diskutierten zudem über das Übereinkommen 108+ des Europarats, das unter anderem die Zusammenarbeit zwischen den Par- teien erleichtern wird, über den Schutz der Daten von Kindern, den Datenschutz, die internationalen Organisationen sowie über die Zukunft der Konferenz. Die Panelex- perten stellten die wichtigsten Neue- rungen des Übereinkommens 108+ vor und wiesen nachdrücklich darauf hin, wie wichtig das Inkrafttreten dieser Urkunde des Europarats für alle Betei- ligten ist, da es sich dabei um den bis- lang einzigen völkerrechtlich binden- den Vertrag auf dem Gebiet des Daten- schutzes handelt.
54 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Datenschutz Französischsprachige Vereinigung der Daten- schutzbehörden Eine Vertreterin des EDÖB hat an der Jahreskonferenz der Vereinigung der französischsprachigen Datenschutz- behörden in Dakar teilgenommen, die sich mit dem «digitalen Bürger» befasste. Den Schutz der Persönlich- keitsrechte zu wahren und dabei den technologischen Fortschritt im Blick zu behalten, stellt die grösste Herausfor- derung der Datenschutzbehörden dar. Die Konferenz der französischsprachi- gen Vereinigung der Datenschutzbe- hörden (AFAPDP) fand am 16. und 17. September 2019 auf Einladung der senegalesischen Datenschutzkommis- sion und mit Unterstützung der Inter- nationalen Organisation der Franko- phonie (OIF) in Dakar statt. An diesem Anlass waren vierzehn Delegationen vertreten. Die Präsidenten, Daten- schutzbeauftragen und Vertreter der französischsprachigen Datenschutzbe- hörden nahmen die Datenschutzbe- hörde der Insel Jersey (OIC) als ein- undzwanzigstes Mitglied in die Ver- einigung auf. Die Internationale Kon- ferenz der Datenschutzbeauftragten und die Regulierungsbehörde für Tele- kommunikation Kameruns (ART) erhielten Beobachterstatus. Ausser- dem wählten die Mitglieder einen neuen Vorstand, und es wurde eine Handlungsstrategie 2025 verabschie- det. Letztere soll zur Erreichung der drei Schwerpunktziele der Vereini- gung beitragen: Förderung des Daten- schutzrechts im französischsprachigen Raum, Unterstützung und Kapazitäts- aufbau für die Mitglieder der AFAPDP sowie Verbreitung der Expertise und Betrachtungsweise der Frankophonie über den französischsprachigen Raum hinaus. Thema der Jahreskonferenz war der «digitale Bürger». Im digitalen Raum wird der Rechtsträger als Verbraucher, Untersuchungsobjekt oder als anony- mer «Troll» wahrgenommen. Es ist, als ob der digitale Raum und das reale Leben zwei verschiedene Sphären wären und als müsste das Individuum einer dieser Kategorien zugeordnet werden können. Für Datenschutz- behörden besteht die permanente Herausforderung darin, einen Aus- gleich zwischen dem Schutz von Per- sönlichkeitsrechten und der Wahrung der Interessen der für die Daten- verarbeitung Verantwortlichen herbei- zuführen, ohne dabei die Fortschritte und die unendlichen Möglichkeiten der digitalen Technologie aus dem Blickwinkel zu verlieren. Die perso- nenbezogenen Daten sind ein untrennbarer Bestandteil der mensch- lichen Person. Für unsere Behörden ist es wichtig, immer wieder an ihren Kernauftrag zu erinnern: den Schutz der Privatsphäre des Menschen. . Aufsichtskoordinations- gruppen über die Informationssysteme SIS II, VIS und Eurodac Im Berichtsjahr trafen sich die Auf- sichtskoordinationsgruppen in Brüssel. Sie besprachen unter anderem den enormen Anstieg von Auskunftsgesu- chen betreffend das Informationssys- tem SIS und nahmen zwei Berichte an. Auch in diesem Jahr nahm der EDÖB als nationale Aufsichtsbehörde an den Sitzungen der drei Aufsichtskoordina- tionsgruppen über die EU-Informa- tionssysteme SIS II, VIS (Vorsitz EDÖB) und Eurodac teil. Diese fanden am 19./20. Juni 2019 sowie 26./27. November 2019 in Brüssel statt. Ver- treten waren der europäische Daten- schutzbeauftragte (EDSB) sowie die nationalen Datenschutzbehörden der Mitgliedstaaten. Die Aufsichtskoordinationsgruppe SIS beschäftigte sich insbesondere mit dem Thema des enormen Anstiegs von Auskunftsgesuchen betreffend das Informationssystem SIS. Dieser Anstieg konnte in vielen Mitglied- staaten, vor allem aber in der Schweiz, festgestellt werden. Die Aufsichtsko- ordinationsgruppe wird sich weiterhin mit diesem Thema beschäftigen. Die Aufsichtskoordinationsgruppe Euro- dac hat den Bericht zu den Rechten der betroffenen Personen und die Auf- sichtskoordinationsgruppe VIS den Bericht zur Datenschutzschulung der auf das VIS zugriffsberechtigten Per- sonen angenommen.
55 Datenschutz 27. Tätigkeitsbericht 2019/20 Besprochen wurde in allen drei Grup- pen auch die geplante Änderung ihrer Ausgestaltung. In Zukunft werden die drei Aufsichtskoordinationsgruppen als «Coordinated Supervision Com- mittee» in den europäischen Daten- schutzausschuss (EDSA) eingegliedert, der auch das Sekretariat führen wird. Auch wenn die Schweiz nicht Mitglied des EDSA ist, kann sie auch inskünftig in den Schengen und Dublin relevan- ten Bereichen teilnehmen. OECD: Arbeitsgruppe «Data Governance and Privacy in the Digital Economy» Die von der Organisation für wirt- schaftliche Zusammenarbeit und Ent- wicklung (OECD) neu eingesetzte Arbeitsgruppe «Data Governance and Privacy in the Digital Economy (WPDGP)» tagte erstmals im November 2019 in Paris. Neben der Konstituierung der neu geschaffenen Arbeitsgruppe fand eine ganztätige Expertensitzung über das Thema «Bewältigung neuer Herausfor- derungen bei der Durchsetzung des Datenschutzes» statt. Am zweiten Tag wurden diverse Themen und Arbeits- papiere diskutiert und zur weiteren Bearbeitung an das Sekretariat und danach zur Konsultation bei den Mit- gliedern weitergeleitet. Der erste runde Tisch beschäftigte sich mit den Auswirkungen der künst- lichen Intelligenz (KI) auf den Schutz von Personendaten und auf die Umset- zung der Datenschutzleitlinien. Dabei wurden u.a. folgende Fragestellungen erörtert: Was sind die Herausforde- rungen für die Datenschutzbehörden bei der Durchsetzung der grundlegen- den Datenschutzprinzipien der Daten- schutzrichtlinien und bei Audits im Zusammenhang mit künstlicher Intel- ligenz? Inwieweit berücksichtigen die derzeitigen Richtlinien der KI-Politik die Privatsphäre und den Daten- schutz? Wie kann die individuelle Rechtsausübung gewährleistet werden? Der zweite runde Tisch erörterte den zunehmenden grenzüberschreitenden Fluss von Personendaten und die wachsende Bedeutung der internatio- nalen Zusammenarbeit zur Durchset- zung des Schutzes der Privatsphäre und des Datenschutzes. Es wurden verschiedene Möglichkeiten der Zusammenarbeit aufgezeigt und u.a. folgende Fragen erörtert: Wie kann die internationale Zusammenarbeit zu einem vertrauensvollen grenzüber- schreitenden Fluss von Personendaten beitragen? Was sind die Hindernisse für die internationale Zusammenarbeit und wie können sie abgebaut werden? Was sind die Lehren aus Koopera- tionen? Am dritten runden Tisch wurde eine Bilanz der Diskussionen des Tages gezogen und besprochen, wie die OECD am besten auf die Heraus- forderungen reagieren kann. An der geschlossenen Sitzung wur- den erste Entwürfe von Zwischenbe- richten, Umfragen und Arbeitspapie- ren besprochen und zwar zu den The- men: Verbesserung des Zugangs zu und gemeinsame Nutzung von Daten, Datenportabilität, Datenethik, eine praktische Anleitung für die Umset- zung der künstlichen Intelligenz, sowie die Förderung der Vergleichbar- keit der Meldung von Datenschutzver- stössen. Des Weiteren beschäftigte sich die Arbeitsgruppe mit der derzeit in Überarbeitung befindlichen Emp- fehlung aus dem Jahr 2012 zum Schutz der Kinder im Internet. Schliesslich präsentierte das Sekre tariat einen ers- ten Zwischenbericht zur Umsetzung der Datenschutz richtlinien.
56 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Datenschutz Plenarsitzungen des Europäischen Datenschutz- ausschusses (EDSA) Der EDÖB nahm im Jahr 2019 an zwei Plenarsitzungen des Europäischen Datenschutzausschusses – EDSA (European Data Protection Board, EDPB) über Schengen-relevante Themen teil sowie an der letzten Plenarsitzung des Jahres 2019 für einen allgemeinen Informationsaustausch. Der mit der DSGVO eingeführte EDSA hielt im Jahr 2019 insgesamt zwölf Plenarsitzungen ab. Unsere Teil- nahme als Beobachter in den Plenar- sitzungen beschränkte sich auf Schen- gen-relevante Themen. So nahmen wir erstmalig seit der Konstituierung des EDSA an zwei Plenarsitzungen teil und konnten unsere Position zu den innerstaatli- chen Zuständigkeiten zusammen mit anderen Datenschutzbehörden vertre- ten. Zudem informierte der Beauf- tragte den Ausschuss auf dessen Einla- dung Anfang Dezember 2019 summa- risch über den Stand seines Aufsichts- verfahrens gegen den in Genf ansässi- gen Verein Libra (s. Schwerkpunkt II). Europäische Arbeitsgruppe für die Behandlung daten- schutzrelevanter Fälle Ein Vertreter des EDÖB nahm an der 31. Ausgabe des jährlichen europäischen «Case Handling Workshops» teil. Der neue Europäische Datenschutzbe- auftragte, Wojciech Wiewiórowski, organisierte als Gastgeber am 28. und 29. November 2019 in Brüssel die 31. Ausgabe des jährlichen europäi- schen Workshops zur Bearbeitung von Datenschutzfällen («Case Handling Workshop»). Am Workshop nahmen Mitarbeitende von 28 EU- und Nicht- EU-Datenschutzbehörden – ein- schliesslich eines Vertreters des EDÖB – teil. Der Workshop bot die Gelegen- heit, die Erfahrungen bei der Untersu- chung von Beschwerden, der Beratung von für die Bearbeitung Verantwortli- chen und der Durchsetzung von Datenschutzgesetzen auszutauschen. An den zwei Veranstaltungstagen wur- den insgesamt Anwendungsfälle aus sechs Themenbereichen besprochen: Nutzung von IT-Dienstleistern durch öffentliche Einrichtungen; Behand- lung von offenkundig unbegründeten oder exzessiven Anfragen nach Artikel 5 7 Absatz 4 DSGVO; Behandlung von Fällen nach Artikel 56 Absatz 2 DSGVO (zusätzliche lokale Zustän- digkeit, neben einer federführenden Behörde); Bewertung von Anträgen auf vorherige Konsultation gemäß Artikel 36 Absatz 3 DSGVO; Kredit- auskunftssysteme und Datenvermitt- ler; Ausübung von Untersuchungs- und Korrekturbefugnissen sowie Abwägung zwischen alternativen Optionen nach Artikel 58 DSGVO. Unterarbeitsgruppe BTLE «Border, Travel & Law Enforcement» Im Verlauf des Berichtsjahrs nahm der EDÖB an den sieben Treffen der «Border, Travel & Law Enforcement Subgroup» (BTLE) teil. Diese Unterarbeitsgruppe beobachtete die dritte Überprüfung des EU-US Privacy Shield aufmerksam und setzt sich weiterhin mit dem Umbrella Agreement auseinander, wel- ches als Rahmenabkommen den Aus- tausch von personenbezogenen Daten zwischen Polizei- und Justizbehörden im Zusammenhang mit Flugpassagier- daten (PNR) regelt. Bei der «Border, Travel & Law Enforce- ment» (BTLE) handelt es sich um eine Unterarbeitsgruppe, die von der vor- maligen Arbeitsgruppe «Artikel 29» über den Datenschutz eingesetzt wurde. Ihre Aufgabe besteht darin, die gesetzgeberischen Entwicklungen in den Bereichen Polizei, Grenzen und Strafjustiz mitzuverfolgen und dabei den Fokus besonders auf den Schen- gen-Besitzstand zu legen. Sie fertigt diesbezügliche Gutachten und Stel- lungnahmen an und legt sie dem Euro- päischen Datenschutzausschuss zur Genehmigung vor. Die Unterarbeitsgruppe richtete ihr besonderes Augenmerk auf die Zukunft der Überwachungsmodelle der grossen Informatiksysteme der EU im Bereich Justiz und Innenpolitik. Sie setzte sich mit der Erarbeitung neuer Verfahrensregeln auseinander.
57 Datenschutz 27. Tätigkeitsbericht 2019/20 Die Gruppe befasste sich intensiv mit dem dritten jährlichen Review über die Funktionsweise des EU-US Privacy Shield. Sie verfolgte die Arbeiten am Zusatzprotokoll zum Übereinkommen über Cyberkriminalität, bei dem es um die Kriminalisierung rassistischer und fremdenfeindlicher Handlungen geht, die über Informatiksysteme ausgeübt werden, aufmerksam mit. Zudem fer- tigte sie eine gemeinsame Position zu Handen der Octopus Konferenz an. Die Gruppe begleitete weiterhin das Umbrella Agreement, das einen Rahmen für den Austausch personen- bezogener Daten zwischen Polizei- und Justizbehörden festlegt, indem es die Rechte US-amerikanischer Behör- den im Umgang mit europäischen Daten begrenzt, sowie die Schaffung eines europäischen Rahmens für die Bekanntgabe von PNR-Daten an Dritt- länder und für die Verwendung von PNR-Daten zur Verfolgung von Straf- taten. Europäische Datenschutz- Grundverordnung (DSGVO) Die neue EU-Datenschutz-Grund- verordnung (DSGVO) gilt unter bestimmten Voraussetzungen auch für Datenverarbeitungen durch Schweizer Unternehmen. Der EDÖB nahm an diversen internationalen Konferenzen teil und konnte somit die Debatten über die Herausforderungen, die sich im Zusammenhang mit dem Vollzug der neuen europäischen Verordnung erge- ben, mitverfolgen. Mehr als ein Jahr nach deren Inkrafttreten sind zahlrei- che Fragen nach wie vor offen, namentlich was den territorialen Gel- tungsbereich angeht. Die europäische Datenschutz-Grund- verordnung (DSGVO) wurde am 27. April 2016 verabschiedet und ist in sämtlichen Mitgliedstaaten der Euro- päischen Union seit dem 25. Mai 2018 anwendbar. Ihr Geltungsbereich erstreckt sich jedoch weit über das Gebiet der EU hinaus: Wenn ein für die Datenbearbeitung Verantwortli- cher (oder ein Subunternehmer) Waren oder Dienstleistungen Perso- nen in der Europäischen Union anbie- tet bzw. das Verhalten dieser Personen beobachtet, namentlich um ihre Präfe- renzen zu analysieren, gelten die Vor- gaben der DSGVO für ihn auch dann, wenn er nicht in der EU niedergelassen ist. Im Berichtsjahr nahm der EDÖB an mehreren internationalen Konfe- renzen teil und konnte somit den Debatten über Erfolge und Herausfor- derungen im Zusammenhang mit der Umsetzung und Anwendung dieses Grundlagentextes beiwohnen. Dabei wurden auch die extraterritoriale Anwendung der Verordnung und die Zusammenarbeitsmechanismen erör- tert. Während des ganzen Jahres tauschten sich die französischsprachi- gen europäischen Behörden der Nicht- Mitgliedstaaten der EU, die vor den gleichen Schwierigkeiten stehen wie die Schweiz, über das Inkrafttreten der DSGVO und über die diesbezüglichen Erfahrungen aus, um Fragen, die an sie gerichtet wurden, im Hinblick auf eine koordinierte Antwort gemeinsam anzugehen. Der EDÖB nahm auch in diesem Berichtsjahr an zahlreichen Informa- tionssitzungen zu diesem Thema teil, die von der Bundesverwaltung oder von privaten Akteuren veranstaltet wurden. Im Rahmen seiner beraten- den Tätigkeit beantwortete er zudem zahlreiche mündliche und schriftliche Anfragen aus der Bevölkerung und den Medien. Über ein Jahr nach Inkrafttreten der DSGVO veröffentlichte der EDSA, der als unabhängiges europäisches Organ an der einheitlichen Einhaltung der Datenschutzvorschriften in der Europäischen Union mitwirkt, seine seit langem erwarteten Leitlinien zum Anwendungsbereich der DSGVO. Der EDÖB beteiligte sich zusammen mit der monegassischen Behörde (CCIN, Commission de contrôle des informa- tions nominatives) an der öffentlichen Konsultation, die den Leitlinien vor- ausging, um eine Reihe von Aspekten dieser Frage abzuklären, die für Dritt- länder, welche in das EU-Gefüge ein- gebunden sind, eminent wichtig ist. Im Februar 2020 wurde zudem die neue Fassung an einem Treffen in Bern analysiert. Auf unserer Website wer- den die Informationen zur Anwen- dung der DSGVO regelmässig aktua- lisiert.
58 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Datenschutz Brexit und Übermittlung von Personendaten Nach dem Referendum im Vereinigten Königreich über den Austritt aus der EU (Brexit) im Juni 2016 teilte die britische Regierung der Union ihren Entscheid mit. Nach einigen Verzögerungen erfolgte der Austritt am 1. Februar 2020. Wie bereits im letzten Tätigkeitsbe- richt ausgeführt, hat der EDÖB an zahlreichen Sitzungen mit Behörden des Bundes und des Vereinigten Königreichs teilgenommen, um sicherzustellen, dass der freie Verkehr von Personendaten zwischen der Schweiz und Grossbritannien auch nach dem Brexit möglich bleibt. Das Vereinigte Königreich gilt als Land mit einem angemessenen Datenschutz-
niveau, und der EDÖB sieht derzeit keine Veranlassung, dessen Status zu ändern. Die EU wird bis Ende Jahr 2020 prüfen, ob dem Vereinigten König- reich eine datenschutzrechtliche Angemessenheit attestiert wird. Der EDÖB beobachtet diese Entwicklun- gen aktiv. Beratender Ausschuss zum Übereinkommen 108 – T-PD Der Beratende Ausschuss zum Überein- kommen 108 (T-PD) verabschiedete Leitlinien betreffend die künstliche Intelligenz (KI) und den Datenschutz. Mit diesen Leitlinien soll politischen Entscheidungsträgern, Entwicklern für künstliche Intelligenz, Herstellern und Dienstleistern geholfen werden, dafür zu sorgen, dass KI-Anwendun- gen nicht zu Verletzungen des Rechts auf Datenschutz führen. Sie knüpfen an Grundsatzfragen an, mit denen sich bereits die Leitlinien über den Schutz des Menschen bei der Verarbeitung von Personendaten in Zeiten von Big Data befassen. Ausserdem bezog der Ausschuss Position zum Empfeh- lungsentwurf des Ministerkomitees an die Mitgliedstaaten betreffend die «Folgen algorithmischer Systeme für die Menschenrechte», der vom Len- kungsausschuss für die Medien und die Informationsgesellschaft zur Stel- lungnahme vorgelegt wurde. Er erstellte das Arbeitsprogramm des Ausschusses für 2020 – 2021. Es beinhaltet unter anderem die Beglei- tung der Modernisierung des Überein- kommens, die Förderung des Überein- kommens, eine spezifische Empfeh- lung betreffend die Gesichtserken- nung, die Bearbeitung von Personen- daten im Zusammenhang mit Bil- dungssystemen sowie eine erneute Prüfung des Profilings. Zudem sollen die Mechanismen zur Überwachung und Beurteilung des Übereinkommens 108+ bearbeitet werden, und es wird eine Arbeits- gruppe gebildet, um die Ausarbeitung von Vorschlägen für den neuen Mecha- nismus voranzutreiben. Diese Arbeits- gruppe setzt sich aus den Mitgliedern des Büros zusammen und steht allen interessierten Delegationen offen.
59 Datenschutz 27. Tätigkeitsbericht 2019/20 Angemessenheitsbeschluss betreffend das Schweizer Datenschutzniveau Die Europäische Kommission setzte die Überprüfung ihres aus dem Jahr 2000 stammenden Angemessenheitsbe- schlusses für die Schweiz fort. Die entsprechenden Schlussfolgerungen werden für Mai 2020 erwartet. Die Bei- behaltung des Angemessenheitsbe- schlusses der EU ist für den Bundesrat ein vorrangiges Ziel. Mit einem Angemessenheitsbeschluss attestiert die Europäische Kommission einem Drittland, dass dessen inner- staatliche Gesetzgebung oder interna- tionalen Verpflichtungen einen mit dem Niveau der Europäischen Union vergleichbaren Schutz der Personen- daten gewährleisten. Personendaten können dank eines solchen Beschlus- ses sicher zwischen dem Europäischen Wirtschaftsraum (EW R) und dem betreffenden Drittland übertragen werden, ohne dass die Bearbeitungs- verantwortlichen eigene zusätzliche sichernde Massnahmen vorsehen müssen. In Anwendung von Artikel 45 Abs. 3 und 4 DSGVO überwacht die Euro- päische Kommission fortlaufend die Entwicklungen des Datenschutzni- veaus in Drittländern, denen sie, wie im Falle der Schweiz, die Angemes- senheit ihres Schutzniveaus in einem Entscheid bestätigt hat. Das Verfahren zur Überprüfung des Angemessen- heitsbeschlusses ist für alle betroffe- nen Drittländer gleich. Die Kommission muss insbeson- dere die Rechtsstaatlichkeit, die Ach- tung der Menschenrechte und Grund- freiheiten, die einschlägigen Rechts- vorschriften, das Bestehen und die wirksame Funktionsweise einer oder mehrerer unabhängiger Aufsichts- behörden sowie die internationalen Verpflichtungen, die das Drittland eingegangen ist, prüfen. Für die Beibe- haltung des Beschlusses, die für den Bundesrat ein vorrangiges Ziel dar- stellt (siehe Interpellation 17. 4088), werden die Unterzeichnung des Über- einkommens 108+ im November 2019 und die Revision des DSG eine wesentliche Rolle spielen. Das Überprüfungsverfahren begann offiziell im März und wird sich im Rahmen eines regelmässigen Aus- tauschs bis zum Frühjahr 2020 fortset- zen. Im Berichtsjahr brachte sich der EDÖB in die vom Bundesamt für Jus- tiz (BJ) geleitete Arbeitsgruppe ein. Die Europäische Kommission hat bis zum 25. Mai 2020 Zeit, um die Schlussfolgerungen ihrer Prüfung vorzulegen und um ihren Beschluss betreffend die Schweiz zu erneuern. Gemäss DSGVO bleiben Angemessen- heitsbeschlüsse so lange in Kraft, bis sie geändert, ersetzt oder aufgehoben werden.
60 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Schwerpunkt II Projekt Libra Das Kryptowährungsprojekt Libra hat bei Medien und Datenschützern weltweit für grosses Aufsehen gesorgt. Der EDÖB hat in einem Vorverfahren seine Zuständigkeit als Aufsichtsorgan für die von Libra Association mit Sitz
gen des Aufsichtsverfahrens auf dem Laufenden halten.
päischer Staaten und mit der amerikanischen Federal Trade Commission (F TC). Der Beauftragte stand auch mit Vertretern der Schweizerischen Nationalbank und der FINMA in Kontakt, die ihm zugesichert haben, seine Behörde über den zeitlichen Verlauf finanzrechtlicher Bewilligungsverfahren, die den Verein Libra betreffen, auf dem Laufenden zu halten. Ferner nahm der Beauftragte am 3. Dezember 2019 an einer Sitzung des EDSA in Brüssel für einen Informationsaustausch teil (s. Kap. 1.9).
Öffentlichkeitsprinzip
64 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Öffentlichkeitsprinzip 2.1 Allgemein Der Paradigmenwechsel, der mit der Einführung des Öffentlichkeitsgeset- zes begann, schreitet klar voran, und das Öffentlichkeitsprinzip wird von den meisten Bundesbehörden mit Erfolg umgesetzt. Dies belegen die nachstehend aufgeführten Zahlen. Sie bestätigen die Entwicklung der letzten Jahre: Es überwiegt der vollständige Zugang zu den gewünschten Doku- menten, und die Zahl der Zugangs- gesuche steigt deutlich (s. Kap. 2.2). Dass sich mündliche Schlichtungs- verhandlungen bewähren, konnte 2019 besonders deutlich festgestellt werden: Nicht weniger als 61 Prozent der Fälle wurden einvernehmlich abgeschlos- sen. Diese Vorgehensweise muss wei- terhin gefördert und privilegiert wer- den. In mehreren Fällen erhielten die Antragstellenden nicht nur innerhalb kurzer Zeit die verlangten Informatio- nen, sondern auch die Möglichkeit, in einen direkten Austausch mit der Ver- waltung zu treten und somit eventuell sogar enge Beziehungen zu den Bundes- behörden zu knüpfen, die für eine zu- künftige Zusammenarbeit wertvoll sind. Die Durchführung von Schlich- tungsverfahren innert der gesetzlichen Frist von 30 Tagen bleibt je nach Kons- tellation des Einzelfalles herausfor- dernd. Dies ist insbesondere der Fall bei komplexen Drei- oder Mehrpartei- enverfahren betreffend Zugangsgesu- che zu Unterlagen mit geschäftsge- heimnisrelevanten Informationen oder mit Bezug zum Persönlichkeits- schutz von Privatpersonen oder Ver- waltungsangestellten. Diese Schlich- tungsverfahren bringen umfangreiche und bisweilen komplexe Abklärungen mit den Betroffenen mit sich, was sich direkt auf eine längere Bearbeitungs- dauer des Verfahrens auswirkt (s. Kap. 2.3). Auch in diesem Berichtsjahr bewies das Öffentlichkeitsgesetz seinen hohen Wert für die Förderung der Transparenz, der Information, sowie als Aufsichtsinstrument im Dienste der Bevölkerung. Folglich gilt es, wachsam zu sein und zu verhindern, dass es durch die Einführung neuer Bestimmungen verwässert wird, die auf die Einschränkung seines Gel- tungsbereichs abzielen. In diesem Berichtsjahr gab es wiederum ver- stärkte Bestrebungen der Verwaltung (z.B. die Eidg. Zollverwaltung und das Bundesamt für Gesundheit), Teilberei- che ihrer Tätigkeit oder bestimmte Kategorien von Dokumenten von der Verwaltungsöffentlichkeit auszuneh- men. Demgegenüber hat der Bundes- gesetzgeber mit seinem Bekenntnis zur Transparenz beim Bundesgesetz über das öffentliche Beschaffungswe- sen (BÖB) im Juni 2019 sowie mit dem Entscheid der Staatspolitischen Kom- mission des Nationalrates zum Grund- satz der Gebührenfreiheit für Zugangsgesuche gezeigt, dass er am Öffentlichkeitsprinzip festhält. Leider hat der Bundesrat die gegen seinen Willen geschaffene Transparenz im BÖB in seinen Ausführungsbestim- mungen zu diesem Gesetz wieder teilweise eingeschränkt (s. Kap. 2. 4).
65 Öffentlichkeitsprinzip 27. Tätigkeitsbericht 2019/20 2.2 Zugangsgesuche – erneute Zunahme im 2019 Gemäss den Zahlen, die von ihnen gemeldet wurden, gingen im Berichts- jahr 905 Zugangsgesuche bei den Bun- desbehörden ein (für 2018 waren es 636 Gesuche). Grund für diese Zunahme ist unter anderem die Tatsa- che, dass allein beim BASPO 175 Zugangsgesuche eingingen. Rechnet man die Bundesanwaltschaft (10) und die Parlamentsdienste (1) mit ein, beträgt die Gesamtzahl 916; dies ent- spricht einer Steigerung um 4 4 Pro- zent gegenüber 2018. Zu den höheren Zahlen hat wohl auch die Tatsache beigetragen, dass die Bevölkerung nicht zuletzt dank Medienberichten über die Jahre hinweg immer bessere Kenntnisse über das Öffentlichkeits- prinzip hat und nun die Möglichkeiten, die dieses bietet, auch selber vermehrt
aktiv nutzt. Es ist davon auszugehen, dass diese Tendenz auch in den kom- menden Jahren anhalten wird, zumal in der Gesellschaft eine allgemeine Zunahme der Transparenzansprüche gegenüber Verwaltung und Politik festzustellen ist. In 5 42 Fällen (59 Prozent) gewähr- ten die Behörden einen vollständigen Zugang (gegenüber 352 bzw. 55 Pro- zent im Jahr 2018), währenddem bei 17 1 Gesuchen (19 Prozent) ein teilwei- ser Zugang zu den Dokumenten genehmigt wurde. In 86 Fällen (9 Pro- zent) wurde die Einsichtnahme voll- ständig verweigert (gegenüber 62 bzw. 10 Prozent im Jahr 2018). Nach Anga- ben der Behörden wurden 38 Zugangs- gesuche zurückgezogen (gegenüber 2 4 bzw. vier Prozent im Jahr 2018), 43
Gesuche waren Ende 2019 noch hän- gig, und in 36 Fällen war kein amtli- ches Dokument vorhanden. Seit 2015 wird in mehr als 50 Prozent der Fälle ein vollständiger Zugang zu den Dokumenten gewährt. Demgegenüber sind die vollständigen Zugangsverwei- gerungen in der Minderzahl und pen- deln sich im Laufe der Jahre auf rund zehn Prozent ein. Der EDÖB stellt fest, dass sich die Praxis der Behörden in Richtung mehr Transparenz entwi- ckelt. Mit ihren einschlägigen Mass- nahmen haben mehrere Bundesbehör- den zur Zunahme der gewährten Zugänge und zur Unterstützung des vom Gesetzgeber gewollten Paradig- menwechsels beigetragen (s. Kap. 3.3). 0 200 400 600 800 1000 Total Gesuche Zugang gewährt Zugang teilweise gewährt /aufgeschoben Zugang verweigert Rückzug 2009200820072006201020112012201320142015201620172019 916 (+44,0 % gegenüber Vorjahr) 542 (+54 %) 171 (+43,7 %) 86 (+38,7 %) 38 (+58,3 %) 2018 0 200 400 600 800 1000 RückzugZugang teilweise gewährt / aufgeschobenZugang verweigert Total Gesuche Zugang gewährt Grafik 1: Beurteilung Zugangsgesuche – Entwicklung seit 2006
66 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Öffentlichkeitsprinzip Departemente und Bundesämter Auf Stufe Amt zeigen die gemeldeten Zahlen, dass das BASPO mit 175 Fällen 2019 am meisten Zugangsgesuche erhielt. Danach folgen das BAFU und das BAG mit je 35 Gesuchen sowie das SECO (3 4). Bei den Departementen liegen das VBS (2 25) und das EDA (168) an der Spitze. Zehn Behörden meldeten hingegen, dass im Berichts- jahr bei ihnen kein einziges Zugangs- gesuch eingegangen sei. Der Beauf- tragte selbst sah sich mit zehn Zugangsgesuchen konfrontiert, wobei er den Zugang in sechs Fällen vollstän- dig gewährte. In einem Fall war das angeforderte Dokument nicht vorhan- den, und in drei Fällen wurde das Gesuch zurückgezogen. Der 2019 für den Zugang zu amtli- chen Dokumenten erhobene Gebüh- renbetrag beläuft sich auf insgesamt CHF 18 185 und liegt damit über der Vorjahressumme (CHF 13 358), weicht jedoch gemessen an den zurückliegen- den Jahren nicht von der Norm ab. Während das EJPD und die Bundes- kanzlei überhaupt keine Gebühren erhoben, verrechneten die übrigen sechs Departemente den Gesuchstel- lenden einen Teil ihres Zeitaufwands (DFI: CHF 87 10; VBS: CHF 300; EFD: CHF 3750; WBF: CHF 700; UV EK: CHF 2750). Dazu sei vermerkt, dass lediglich bei 31 der 916 eingereichten Zugangsgesuche eine Gebühr erhoben wurde. Gegenüber dem Vorjahr, in dem nur in 17 Fällen eine Gebühr ver- langt wurde, stellt dies zwar eine Zunahme dar, allerdings bei einer merklich gestiegenen Zahl der Zugangsgesuche. Wie bereits in den Vorjahren stellt die Erhebung von Gebühren weiterhin eine Ausnahme dar: In beinahe 97 Prozent besteht Gebührenfreiheit. Der EDÖB stellt jedoch bezogen auf das Berichtsjahr fest, dass die Bundesbehörden nun- mehr häufiger dazu tendieren, Gebüh- ren zu erheben, die entsprechende Betragshöhe aber eher abnimmt. Im Zusammenhang mit der Bearbei- tung der Initiative Graf Litscher (16. 432 n Pa. Iv. Graf-Litscher «Gebüh- renregelung. Öffentlichkeitsprinzip in der Bundesverwaltung») stellte die Staatspolitische Kommission des Nati- onalrates fest, dass in einigen Departe- menten bereits Rechnungen über mehrere Tausend Franken gestellt wurden, was zu einer Aushöhlung des Prinzips des Zugangs zu amtlichen Dokumenten führt. Sie kommt zum Schluss, dass der Grundsatz der Gebührenfreiheit im Öffentlichkeits- gesetz verankert sein sollte und hat zu diesem Zweck am 1 4. Februar 2020 einen entsprechenden Vorschlag zur Gesetzesänderung in die Vernehmlas- sung geschickt. Was den Zeitaufwand für die Bear- beitung von Zugangsgesuchen anbe- langt, weist der Beauftragte erneut darauf hin, dass die Behörden nicht verpflichtet sind, diesen zu erfassen, und dass es keine für die gesamte Bun- desverwaltung geltenden Vorgaben für eine einheitliche Erfassung gibt. 0 090807200610111213141516171918 5000 10 000 15 000 20 000 CHF 25 000 18 200 (+15 % gegenüber Vorjahr) Grafik 2: Erhobene Gebühren seit Inkrafttreten des BGÖ
67 Öffentlichkeitsprinzip 27. Tätigkeitsbericht 2019/20 Die ihm auf freiwilliger Basis übermit- telten Angaben widerspiegeln die tatsächlich geleisteten Arbeitsstunden daher nur bedingt. Gemäss diesen Angaben hat der Zeitaufwand für das Berichtsjahr mit 4375 Stunden im Vergleich zu 2018 (4827 Stunden) abgenommen. Ebenfalls rückläufig ist der Zeitaufwand für die Vorbereitung von Schlichtungsverfahren: 473 Stun- den (gegenüber 672 Stunden für 2018 und 91 4 Stunden für 2017). Diese geringe Stundenzahl steht im Kontrast zur deutlichen Zunahme der Zahl der Schlichtungsverfahren. Es ist davon auszugehen, dass der Aufwand für die Vorbereitung der Verfahren nicht voll- umfänglich erfasst wurde. Zudem wurden die Arbeitsstunden, die für den Erlass einer Verfügung oder für ein Beschwerdeverfahren geleistet wur- den, dem Beauftragten oftmals nicht mitgeteilt. Parlamentsdienste Die Parlamentsdienste meldeten den Eingang eines einzigen Zugangsge- suchs. Es wurde vollumfänglich abge- lehnt. Bundesanwaltschaft Die Bundesanwaltschaft meldete für 2019 den Eingang von zehn Gesuchen. In drei Fällen wurde dem Antrag statt- gegeben, in einem Fall wurde der Zugang vollumfänglich verweigert. Für die übrigen Gesuche gilt, dass in zwei Fällen keine Dokumente vorhan- den waren; drei weitere Fälle wurden zurückgezogen; der letzte Fall ist hängig. 18 200 (+15 % gegenüber Vorjahr)
68 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Öffentlichkeitsprinzip 2.3 Schlichtungsverfahren – bedeutende Zunahme der Schlichtungsanträge 2019 erhielt der Beauftragte 133 Schlichtungsanträge. Im Vergleich zu den 2018 eingegangenen 75 Anträgen entspricht dies einer Zunahme um 75 Prozent. Die meisten Schlichtungsan- träge wurden von Medienschaffenden (3 4), Privatpersonen (40) und Unter- nehmen (47) eingereicht. Diese Zahlen lassen folgende Feststellungen zu: In den 258 Fällen, in denen die Bundes- verwaltung den Zugang vollständig oder teilweise verweigerte, kam es 133 Mal bzw. in 51 Prozent der Fälle, in denen das Gesuch abschlägig beschie- den wurde, zur Einreichung eines Schlichtungsantrags beim Beauf- tragten. Zum Teil rührt die Zunahme der Schlichtungsanträge daher, dass ein spezifisches Zugangsgesuch Abklärun- gen mit einer überaus grossen Zahl von betroffenen Dritten nach sich zog, von denen 28 anschliessend Schlich- tungsanträge beim Beauftragten ein- reichten. 108 Schlichtungsanträge wurden 2019 abgearbeitet, von denen 93 im Berichtsjahr und 15 im Jahr davor eingegangen waren. In den meisten Fällen (48) konnten sich die Beteiligten auf eine Konsens- lösung einigen. Ausserdem erliess der Beauftragte 26 Empfehlungen, durch die 31 Fälle erledigt werden konnten, in denen eine einvernehmliche Lösung zwischen den Partei nicht ersichtlich war. Zu den abgeschlossenen Fällen zu zählen sind auch sechs Schlichtungs- anträge, die zurückgezogen wurden, ohne dass der Beauftragte tätig wurde, acht Fälle, in denen die Voraussetzun- gen für die Anwendung des Öffent- lichkeitsgesetzes nicht gegeben waren sowie zwölf Anträge, die nicht fristge- recht eingereicht wurden. Per Ende Jahr war in vier Schlichtungsverfahren auf Wunsch der Beteiligten eine Sis- tierung erfolgt. 0 090807200610111213141516171918 150 120 90 60 30 133 (+75 % gegenüber Vorjahr) Grafik 3: Schlichtungsanträge seit Inkrafttreten des BGÖ
69 Öffentlichkeitsprinzip 27. Tätigkeitsbericht 2019/20 Dauer der Schlichtungs- verfahren Untenstehende Tabelle ist in drei von der Behandlungsdauer abhängige Spal- ten aufgeteilt. Aus ihr wird ersichtlich, dass die Mehrheit der Verfahren 2019 innerhalb der ordentlichen Frist von 30 Tagen abgearbeitet wurden. Der Genauigkeit halber sei festgehalten, dass die Zeit, in der ein Schlichtungs- verfahren mit Einverständnis der Beteiligten sistiert ist, nicht zur Behandlungsdauer gezählt wird. Eine Sistierung des Schlichtungsverfahrens erfolgt insbesondere dann, wenn eine Behörde nach der Schlichtungssitzung ihre Position überprüfen möchte, oder wenn sie betroffene Dritte anhören muss. Häufige Gründe für eine Fristüber- schreitung sind eine Abwesenheit der betroffenen Personen oder Behörden (Ferien, Krankheit, Reisen), eine grosse Zahl der am Verfahren beteilig- ten Drittpersonen oder die juristische Komplexität der Fragestellung. Diese Gründe treffen auch auf jene vier Fälle zu, deren Bearbeitung länger als 100 Tag in Anspruch nahm, wobei drei dieser Verfahren zusammengelegt wurden. Ausserdem wurde die Einhal- tung der Fristen wegen Konsultatio- nen im Ausland, wegen zahlreicher Verhandlungsbestrebungen zwischen den Beteiligten und wegen der Fülle an Dokumenten oder der Vielzahl betrof- fener Personen zusätzlich verunmög- licht. Weil die Bearbeitung in derarti- gen Fällen oftmals besonders aufwän- dig ist, steht es dem Beauftragten gemäss Artikel 12a der Verordnung über das Öffentlichkeitsprinzip der Verwaltung (VBGÖ; SR 152.31) frei, die ordentliche Frist angemessen zu verlängern. Der Vergleich mit den Vorjahren zeigt, dass die Bearbeitungsdauer der Schlichtungsverfahren seit dem Pilot- projekt 2017 stark zurückging. Diese deutliche Verkürzung geht aus den Zahlen für 2019 eindeutig hervor und bestätigt in Verbindung mit dem Anteil an einvernehmlichen Lösungen die Wirksamkeit der eingeleiteten Massnahmen, die namentlich darin bestanden, den Fokus auf die mündli- che Schlichtung zu legen. Die Vorgabe der gesetzlichen Frist von 30 Tagen für die Durchführung von Schlichtungsverfahren kann in der Regel respektiert werden, wenn die Schlichtungssitzungen planmässig, d.h. ohne Gesuch auf Verschiebung durch die Beteiligten, innert der Frist nach Eingang des Antrags erfolgreich mit einer Einigung abgeschlossen wer- den können. Kommt keine Einigung zustande, kann die schriftliche Emp- fehlung den Beteiligten nicht in jedem Fall innert 30 Tagen nach Eingang des Antrags zugestellt werden. Demgegen- über ist eine Einhaltung der Frist bereits aus Ressourcengründen nicht möglich, wenn innert einer kurzen Zeitspanne zahlreiche Schlichtungs- anträge eingereicht werden. Besteht bereits ein Rückstand in der Bearbei- tung von Schlichtungsverfahren, trägt jeder neu eingehende Antrag zu einem grösseren Rückstau bei. Bei komple- xen Fällen und bei Mehrparteienver- fahren (d.h. mehrere Drittbetroffene) erweisen sich die 30 Tage ebenfalls als (zu) kurz. Die Erfahrung zeigt zudem, dass der Beizug von Rechtsvertretun- gen durch angehörte Drittbetroffene bereits im Stadium des Zugangs- und Schlichtungsverfahrens einer einfa- chen, pragmatischen und raschen Lösungsfindung wenig förderlich ist. Tabelle 1: Bearbeitungsdauer Schlichtungsverfahren Bearbeitungsdauer in TagenZeitraum 2014 – August 2016* Pilotphase 2017Zeitraum 2018Zeitraum 2019 innert 30 Tagen11 %59 %50 %57 % zwischen 31 und 99 Tagen45 %37 %50 %38 % mehr als 100 Tage44 %4 %0 %5 %
70 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Öffentlichkeitsprinzip Anteil einvernehmlicher Lösungen Wie wirksam sich die 2017 eingeführ- ten Massnahmen und Schlichtungssit- zungen erwiesen haben, lässt sich vor allem am Anteil der einvernehmlichen Lösungen im Verhältnis zu den Emp- fehlungen ablesen. Zu den vielen Vor- teilen der einvernehmlichen Lösungen gehört, dass sie eine Klärung der Sach- lage und eine Beschleunigung des Zugangsverfahrens ermöglichen und zudem die Basis für eine allfällige zukünftige Zusammenarbeit zwischen den an der Schlichtungssitzung Betei- ligten schaffen. Im Berichtsjahr konn- ten 48 einvernehmliche Lösungen erzielt werden, und der Beauftragte gab 26 Empfehlung zur Lösung von 31 Fällen ab. Im Verhältnis zu den Emp- fehlungen machen die einvernehmli- chen Lösungen somit einen Anteil von 61 Prozent aus. Der Beauftragte begrüsst die weitere Zunahme der Schlichtungsverfahren, die einer ein- vernehmlichen Lösung zugeführt wer- den konnten. Hinweis: Sämtliche Empfehlungen aus dem Berichtsjahr sind auf der Website des Beauftragten abrufbar (www.derbeauftragte.ch) Anzahl hängiger Fälle Die unten aufgeführten Angaben geben Auskunft über die Anzahl der Fälle, die am Ende der Berichtsjahre hängig waren. Anfang Januar 2020 waren noch 43 Fälle aus dem Jahr 2019 hängig, wovon vier Verfahren sistiert wurden. Dazu sei vermerkt, dass im November und Dezember 42 Schlich- tungen beantragt wurden, von denen 40 bis zum Zeitpunkt des Redaktions- schlusses geregelt werden konnten. Dass die Zahl der hängigen Fälle deut- lich über dem Vorjahr liegt, ist aller- dings die logische Folge der starken Zunahme der Schlichtungsanträge und der knappen Ressourcen, die dem Beauftragten zur Verfügung stehen. In Ermangelung zusätzlicher Mittel ist die Gefahr gross, dass sich die Bearbei- tungsdauer erhöht, dass die ordentli- che Frist nicht mehr eingehalten wer- den kann und dass die Zahl der hängi- gen Fälle am Ende des kommenden Jahres abermals steigt. Tabelle 2: Einvernehmliche Lösungen 2013 – 201640 % 201760 % 201855 % 201961 % Tabelle 3: Hängige Schlichtungs- verfahren Ende 201633 Ende 20173 (2 in Bearbeitung; 1 Sistierung) Ende 201815 (davon 13 im Februar 2019 erledigt und 2 sistiert) Ende 201943 (davon 40 bis zum Redaktionsschluss erledigt und 3 sistiert)
71 Öffentlichkeitsprinzip 27. Tätigkeitsbericht 2019/20 2.4 Ämterkonsultationen Ämterkonsultation zum Entwurf für ein Gesetz über Zoll und Grenzsicher- heit, Eröffnung des Vernehm lassungsverfahrens Die EZV will wesentliche Bereiche ihrer Tätigkeit vom Öffentlichkeitsgesetz ausnehmen. Dies schlägt sie im Ent- wurf für ein neues Bundesgesetz über Zoll und Grenzsicherheit (BGZG) vor. Der Beauftragte hat sich in seiner Stel- lungnahme im Rahmen der Ämterkon- sultation gegen diese Pläne ausge- sprochen. Im Entwurf für ein Gesetz über Zoll und Grenzsicherheit (BGZG) präsen- tierte die EZV Bestimmungen und Massnahmen, um wesentliche Berei- che ihrer öffentlichen Aufgabeerfül- lung vom Öffentlichkeitsgesetz auszu- nehmen. So schlug die EZV etwa die Einführung einer Bestimmung vor, wonach die Behörde «auf freiwilliger Basis gelieferte Daten von Privaten» beziehen kann. Laut erläuterndem Bericht sollten diese «freiwillig» gelie- ferten Personendaten der besonderen Geheimhaltung im Sinne von Art. 7 Abs. 1 Bst. h BGÖ unterliegen. Insbe- sondere sollten diese Daten bearbeitet werden, um den jeweiligen Wirt- schaftsbeteiligten zusätzliche Verfah- renserleichterungen einräumen zu können. In seiner Stellungnahme hat der Beauftragte die EZV darauf hingewie- sen, dass für das Vorliegen der erwähnten Ausnahmebestimmung drei Voraussetzungen kumulativ gege- ben sein müssen: Erstens muss die Information von einer Privatperson mitgeteilt worden sein. Zweitens muss diese Mitteilung freiwillig und spon- tan erfolgt sein. Keine Freiwilligkeit liegt vor, wenn die Information im Rahmen einer gesetzlichen oder ver- traglichen Verpflichtung abgegeben wurde. Drittens muss die Behörde die Geheimhaltung auf ausdrückliches Verlangen der Informantin bzw. des Informanten zugesichert haben. Die Behörde darf die Zusicherung weder von sich aus anbieten, noch darf sie diese leichtfertig abgeben. Angesichts der in Aussicht stehenden zusätzli- chen Verfahrenserleichterungen durch die EZV bezweifelte der Beauftragte bereits das Vorliegen des Kriteriums der Freiwilligkeit. Zudem darf die Geheimhaltungszusicherung nur auf Anfrage der Privatperson und nur im Einzelfall abgegeben werden. Eine proaktive und generelle Zusicherung durch eine Behörde ist nicht möglich, hat doch selbst der Bundesrat in seiner Botschaft zum Öffentlichkeitsgesetzes explizit festgehalten, dass sonst der Zweck des Gesetzes, nämlich die Erleichterung des Zugangs der Öffent- lichkeit zu amtlichen Dokumenten und die Förderung der Transparenz der Verwaltung, unterlaufen wird. Der Vorschlag der EZV wider- spricht somit dem Sinn und Zweck des Öffentlichkeitsgesetzes und der Aus- nahmeklausel von Art. 7 Abs. 1 Bst. h BGÖ. Des Weiteren sah der Entwurf eine Schweigepflicht vor, wonach Personen, die mit dem Vollzug dieses Gesetzes betraut sind oder dazu beigezogen werden, gegenüber anderen Behörden und Privaten über die in Ausübung ihres Amtes gemachten Wahrneh- mungen Stillschweigen zu bewahren und den Einblick in amtliche Doku- mente zu verweigern haben. Diese weitreichende Schweigepflicht soll nach Vorstellung der EZV auch für das Automobilsteuergesetz, Mineral- ölsteuergesetz und Alkoholgesetz jeweils analog gelten. Laut erläutern- dem Bericht der EZV gehen heute zahlreiche Zugangsgesuche ein, die nicht die Tätigkeit der Verwaltung zum Gegenstand haben, sondern ein- zig darauf abzielen, heikle Wirt- schaftsdaten Dritter in Erfahrung zu bringen. Die EZV verkennt hierbei, dass der Gesetzgeber den Schutz von heiklen «Wirtschaftsdaten» im Öffent- lichkeitsgesetz bereits selber sicherge- stellt hat. So werden entsprechende Unternehmensinformationen bereits heute mit Art. 7 Abs. 1 Bst. g BGÖ (Berufs-, Geschäfts- oder Fabrikati- onsgeheimnisse) umfassend geschützt. Entsprechende Dokumente können bei begründetem Nachweis entspre- chender Geheimnisse geschwärzt oder, wenn eine Schwärzung nicht möglich ist, gänzlich dem Zugang entzogen werden. Ausserdem können sich die betroffenen Unternehmen auf dem Rechtsweg gegen eine von der Verwal- tung vorgesehene Zugangsgewährung zur Wehr setzten. Es besteht hierzu eine lanjährige bundesgerichtliche Rechtsprechung. Zudem ignoriert die EZV mit ihrem umfassenden Vorbehalt zur Geheimhaltung den klaren Willen des Gesetzgebers, wonach das Öffentlich- keitsgesetz die Transparenz über den Auftrag, die Organisation und die Tätigkeit der Verwaltung fördern soll. Mit der Einführung des Öffentlich- keitsprinzips beabsichtigte der Gesetz- geber sogar explizit, dass die Bevölke- rung Zugangsgesuche einreicht, nicht zuletzt zur Kontrolle der Behörden im Umgang mit Dritten. Das Öffentlich- keitsprinzip verfolgt somit auch das Ziel, Misswirtschaft und Korruption in der Verwaltung vorzubeugen. Indi- rekt schützt es somit also auch davor, dass sich einzelne Bereiche der
72 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Öffentlichkeitsprinzip Bundes verwaltung dem Verdacht ausgesetzt sehen könnten, mit den Wirtschaftsbeteiligten Geheimabspra- chen resp. unlautere Machenschaften zum Nachteil von anderen resp. auf Kosten der Steuerzahlenden getätigt zu haben. Der Beauftragte hat die EZV auch darauf hingewiesen, dass missliebige Zugangsgesuche oder allfälliger Arbeitsaufwand alleine weder ausrei- chende noch stichhaltige Argumente für die Forderung nach einer umfas- senden Schweigepflichtbestimmung sind. Aus diesen Gründen hat der Beauf- tragte von der EZV in der Ämterkon- sultation die Streichung dieser trans- parenzfeindlichen Schweigepflicht- norm für alle betroffenen Gesetze gefordert. Aufgrund der Rückmeldungen der konsultierten Behörden überarbeitete die EZV die Vorlage und führte eine zweite Ämterkonsultation durch. Im überarbeiteten Gesetzesentwurf wurde die Bestimmung betreffend der Schweigepflicht für Personen, die mit dem Vollzug des Gesetzes betraut sind, gestrichen und der erläuternde Bericht an verschiedenen Stellen angepasst. Im übrigen hielt die EZV indes an ihrem Vorhaben fest. Würden der Bundesrat und das Parlament der Absicht der EZV folgen, hätte diese zur Folge, dass grosse Bereiche der gesetzlichen Hauptauf- gaben der EZV von der Verwaltungs- öffentlichkeit ausgeschlossen wären. Konsultationen zur Verein- barung zwischen dem Bund und den Kantonen über die Harmonisierung und die gemeinsame Bereitstellung der Polizeitechnik und –informatik Die Konferenz der kantonalen Justiz- und Polizeidirektoren (KKJPD) hat in einer Vereinbarung zwischen dem Bund und den Kantonen über die Harmoni- sierung und die gemeinsame Bereit- stellung der Polizeitechnik und -infor- matik (VPTI Schweiz) eine Rechtswahl- klausel aufgenommen, nach deren Wortlaut im Zusammenhang mit der Polizeitechnik und -informatik für die Verwaltungsöffentlichkeit nicht das Öffentlichkeitsgesetz des Bundes, son- dern das kantonale bernische Recht gelten soll. Die KKJPD hat im Jahr 2010 das Pro- gramm zur Harmonisierung der schweizerischen Polizeiinformationen (HPI) geschaffen. Mit der operativen Umsetzung des Programms wurde eine Geschäftsstelle beauftragt, die beim Schweizerischen Kompetenz- zentrum für Polizeitechnik und -infor- matik (P TI) angesiedelt ist. Die beiden Geschäftsfelder HPI und P TI sollten nunmehr mit einer einzigen Vereinba- rung zwischen dem Bund und den Kantonen geregelt werden. In den Entwurf dieser Vereinbarung wurde eine Rechtswahlklausel aufgenom- men, nach welcher für alle beteiligten kantonalen und Bundesbehörden (u.a. auch) für die Verwaltungsöffentlich- keit einzig das bernische Recht über die Information der Bevölkerung anwendbar sein soll. Bereits früher im Berichtsjahr stellte der Beauftragte im Rahmen einer Vor- konsultation durch das Bundesamt für Justiz BJ klar, dass die vorgeschlagene Rechtswahlklausel – soweit Bundesbe- hörden betroffen sind – das Öffent- lichkeitsgesetz des Bundes umgeht und damit gegen Bundesrecht ver- stösst, was wiederum Art. 48 Abs. 3 der Bundesverfassung verletzt, wonach Verträge zwischen Kantonen dem Recht und den Interessen des Bundes sowie den Rechten anderer Kantone nicht zuwiderlaufen dürfen. In einer späteren Konsultation stellte der Beauftragte gegenüber der KKJPD fest, dass zwar zwischenzeit- lich seine gegenüber dem BJ vorge- brachten Bemerkungen in die Erläute- rungen zur Vereinbarung aufgenom- men wurden, die Rechtswahlklausel im Vereinbarungsentwurf jedoch unverändert geblieben ist. Demnach gilt – nach dem Wortlaut der Rechts- wahlklausel – weiterhin für die an der Vereinbarung beteiligten Bundesbe- hörden das kantonale bernische Recht, so etwa in Bezug auf die Verwaltungs- öffentlichkeit, für datenschutzrechtli- che Belange oder für Beschaffungen. Gegenüber der KKJPD erklärte der Beauftragte, der Vorbehalt der Anwendbarkeit des Öffentlichkeits- gesetzes des Bundes für Bundesbehör- den müsse nicht zuletzt aus Gründen der Rechtssicherheit in der Vereinba- rung selbst stehen und nicht lediglich in den Erläuterungen, die erfahrungs- gemäss erst bei der Unklarheit einer Norm gelesen würden. Abschliessend wies der Beauftragte darauf hin, wonach ungeachtet der Beteiligung einer oder mehrerer Bundesbehörden an der geplanten Vereinbarung diese weiterhin dem Öffentlichkeitsgesetz des Bundes unterstellt bleiben, sofern
73 Öffentlichkeitsprinzip 27. Tätigkeitsbericht 2019/20 sie Dokumente erstellen oder Doku- mente als Hauptadressatinnen erhal- ten. Mit anderen Worten bedeutet dies, dass für Bundesbehörden bei der Beur- teilung von Zugangsgesuchen zu amt- lichen Dokumenten betreffend die Harmonisierung und die gemeinsame Bereitstellung der Polizeitechnik und -informatik nicht das kantonalberni- sche Recht über die Information der Bevölkerung, sondern einzig das Öffentlichkeitsgesetz des Bundes massgebend ist. Ämterkonsultation Zentraler Nachweis amtlicher Dokumente Das Schweizerische Bundesarchiv BAR hat beim Bundesrat die Erstellung einer Studie zum Zweck einer Entschei- dungsgrundlage betreffend den Zentra- len Nachweis amtlicher Dokumente beantragt. Die Präzisierungen des Beauftragten wurden im Antrag an den Bundesrat aufgenommen. Der Bundesrat beschloss im Jahr 2008 die Einführung von GEV ER und die Errichtung eines zentralen Nachwei- ses von amtlichen Dokumenten in der Bundesverwaltung («Single Point of Orientation SPO»). SPO sollte die Metadaten der elektronischen Geschäftsverwaltung GEV ER nutzen, um einen Katalog zu erstellen. Die Suchergebnisse in diesem zentralen Nachweis sollten Gesuchstellenden nach Öffentlichkeitsgesetz auch dazu dienen, präzise Zugangsgesuche stel- len zu können. Das BAR entwickelte und testete im Jahr 2012 dafür eine entsprechende Pilot-Webanwendung. Das Projekt wurde in der Folge zwei- mal sistiert. Ende 2019 musste das BAR dem Bundesrat die aktuelle Aus- gangslage darlegen und einen Vor- schlag für das weitere Vorgehen prä- sentieren. Der Beauftragte hat im Rah- men einer Ämterkonsultation zum Vorschlag «Zentraler Nachweis amtli- cher Dokumente» des BAR Stellung genommen Ein «Zentraler Nachweis amtlicher Dokumente» samt den Metainforma- tionen würde der Verwirklichung des Öffentlichkeitsprinzips dienen und zu einer transparenteren Verwaltung beitragen. Der Beauftragte begrüsst daher diese Bestrebungen. In seiner Stellungnahme an das BAR hat er dar- auf hingewiesen, dass es wichtig ist, beim Projekt «Zentraler Nachweis amtlicher Dokumente» klar zwischen dem Öffentlichkeitsgesetz und dem allgemeinen Informationsauftrag der Behörden zu unterscheiden. Das Öffentlichkeitsgesetz enthält in Art. 21 BGÖ zwar eine Vollzugsbestimmung zur Information über amtliche Doku- mente. Diese schafft aber keine eigen- ständige Gesetzesgrundlage, sondern konkretisiert lediglich die bereits bestehende allgemeine Informations- pflicht der Behörden. Ein «Zentraler Nachweis amtlicher Dokumente» ist ein Instrument der aktiven Behördeninformation: Die Behörden haben gemäss Verfassung und des Regierungs- und Verwal- tungsorganisationsgesetzes bereits heute eine allgemeine Informations- pflicht, von sich aus über ihre Aufga- benbereiche und über wichtige Geschäfte zu informieren und dafür geeignete Informationen zur Verfü- gung zu stellen (aktive Information). Demgegenüber gelangt das Öffentlich- keitsgesetz dann zur Anwendung, wenn eine Person ein Zugangsgesuch bei einer Behörde stellt (passive Infor- mation). Der Bundesrat hat an seiner Sit- zung vom 6. Dezember 2019 beschlos- sen, eine Studie über die Einrichtung eines zentralen Registers der amtli- chen Dokumente durchzuführen. Die Studie soll unter anderem die Art der Umsetzung eines solchen Systems, die technischen Lösungen sowie die Zuständigkeiten innerhalb der Bun- desverwaltung klären. Die Ergebnisse der Studie sollen Ende 2020 präsen- tiert werden.
74 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Öffentlichkeitsprinzip Ämterkonsultation zum Tarif- vertrag CAR-T-Zelltherapie Das Bundesamt für Gesundheit (BAG) wollte mittels eines Bundesrats- beschlusses die Tarifgenehmigung betreffend Behandlung der autologen CAR-T-Zelltherapie vom Öffentlich- keitsgesetz ausnehmen. Der Beauf- tragte hat sich gegen dieses Vorgehen ausgesprochen. Das BAG beantragte dem Bundesrat die Genehmigung des Tarifvertrages zwischen den Spitälern und den Kran- kenversicherern (Vertragspartner) betreffend die Behandlung der autolo- gen CAR-T-Zelltherapie. Dieser Ver- trag enthält eine Vertraulichkeits- abrede, wonach die vereinbarten vari- ablen Vergütungshöhen für die autolo- gen CAR-T-Zelltransplantate neben den Vertragsparteien nur den Geneh- migungsbehörden und den zuständi- gen Gesundheitsbehörden des Wohn- kantons des Patienten zugänglich sein dürfen. Das BAG argumentierte u.a., der Vergütungspreis stelle ein Geschäftsgeheimnis dar. Weiter schlug es vor, dass der Bundesratsantrag sowie die in der Beilage aufgeführten Vergütungsvereinbarungen auch nach Genehmigung des Tarifvertrages durch den Bundesrat vom Zugangs- recht nach Öffentlichkeitsgesetz aus- geschlossen bleiben sollen. In der Ämterkonsultation wies der Beauftragte das BAG zunächst darauf- hin, dass die Kranken- und Unfallver- sicherer für den Bereich der obligatori- schen Versicherung als Behörden im Sinne des Öffentlichkeitsgesetzes gelten. Die dem BAG von Dritten zum Zwecke der Tarifgenehmigung gelie- ferten Informationen basieren auf gesetzlichen Vorgaben (Bundesgesetz über die Krankenversicherung), wes- halb diesbezüglich eine Vertraulich- keitsabrede in einem Tarifvertrag weder rechtsgültig vereinbart noch vom Bundesrat genehmigt werden kann. Zudem hielt der Beauftragte fest, dass das Öffentlichkeitsgesetz bereits sowohl den Geschäftsgeheimnis- schutz als auch den Schutz der Privat- sphäre gewährleistet, weshalb eine Ausnahme zum Öffentlichkeitsgesetz nicht notwendig ist. Weiter erklärte er, dass der unterzeichnete Bundesratsan- trag Teil des Mitberichtsverfahrens ist und daher bereits gemäss Art. 8 Abs. 1 BGÖ vom Zugangsrecht nach Öffent- lichkeitsgesetz ausgeschlossen ist, im Gegensatz zu den ihm beigefügten Beilagen. Der Vollständigkeit halber wies der Beauftragte auch darauf hin, dass kein Anwendungsfall von Art. 8 Abs. 3 BGÖ gegeben ist, da der Tarifvertrag und die mit ihm verbundenen Vergü- tungsvereinbarungen bereits vor Beginn des Ämterkonsultationsver- fahrens erstellt wurden und somit nicht als Dokumente dieses Verfah- rens gelten (der Beauftragte äusserte sich bereits in gleicher Sache dazu, s. 26. TB, Kap. 2. 4). Nach Art. 8 Abs. 3 BGÖ kann der Bundesrat zwar aus- nahmsweise amtliche Dokumente des Ämterkonsultationsverfahrens nach seinem Entscheid endgültig vom Zugang ausschliessen. Er muss sich in seinem Ermessen jedoch an den Aus- nahmegründen nach Öffentlichkeits- gesetz orientieren. Der Beauftragte hat das BAG ins- besondere darauf aufmerksam gemacht, dass das Öffentlichkeits- gesetz den Bundesrat nicht dazu berechtigt, amtliche Dokumente mit- tels Beschluss vom Anwendungs- bereich des Öffentlichkeitsgesetzes auszunehmen, indem er – unter Umgehung des ordentlichen Gesetz- gebungs prozesses – den Geltungs- bereich des Öffentlichkeitsgesetzes nach seinem Willen und Ermessen einschränkt. Das BAG modifizierte in der Folge den Bundesratsantrag. Indessen lan- cierte es nur wenige Wochen später die Forderung nach einer Bereichsaus- nahme vom Öffentlichkeitsgesetz erneut und schlug eine entsprechende Teilrevision des Krankenversiche- rungsgesetzes vor (s. unten).
75 Öffentlichkeitsprinzip 27. Tätigkeitsbericht 2019/20 Ämterkonsultation Vernehm- lassung der Teilrevision des KVG betreffend Mass- nahmen zur Kostendämpfung – 2. Paket Der Beauftragte wehrte sich gegen die Absicht des Bundesrates, eine Aus- nahme vom Öffentlichkeitsprinzip für Dokumente betreffend Preismodelle bei Arzneimitteln in der Krankenversiche- rung einzuführen. Das Bundesamt für Gesundheit BAG hat im Rahmen einer Ämterkonsulta- tion u.a. eine Ausnahme der Zugäng- lichkeit zu den Unterlagen betreffend die Höhe, die Berechnung und die Modalitäten im Rahmen von Preis- modellen und Rückvergütungen in der obligatorischen Krankenpflegeversi- cherung vorgeschlagen. Bei der Preisfestlegung von Medi- kamenten der Spezialitätenliste (SL) können zwischen den Pharmaunter- nehmen als Zulassungsinhaber und den Krankenversicherern Rabatte verhandelt werden (sogenannte Preis- modelle). Bei Preismodellen unter- scheidet sich der offizielle Preis auf der SL vom tatsächlichen Preis, den der Krankenversicherer dem Pharmaun- ternehmen auszuzahlen hat (Rücker- stattung). Mit seinem Vorhaben will der Bun- desrat sämtliche Unterlagen im Zusammenhang mit Preismodellen neu vom Geltungsbereich des Öffent- lichkeitsgesetzes ausnehmen. Die vereinbarten Rabatte und der voll- ständige Rückvergütungsmechanis- mus sollen der Bevölkerung nicht bekannt gegeben werden. Der Bundesrat vertritt die Auffas- sung, dass die Pharmaunternehmen bei einer Offenlegung der tatsächli- chen Preise nicht mehr bereit wären, solche Preismodelle zu verhandeln. Der Bundesrat argumentiert auch damit, dass die Mehrheit der Zugangs- gesuche im Zusammenhang mit Unterlagen von Arzneimitteln der Spezialitätenliste nicht von Bürgern gestellt werden, die sich über staatli- ches Handeln informieren wollen, sondern insbesondere von Pharma- unternehmen, welche Einsicht in Geschäftsinformationen von konkur- rierenden Unternehmen verlangen. Dem ist entgegenzuhalten, dass auch Mitkonkurrenten ein legitimes Inter- esse daran haben, die Genehmigungs- praxis des BAG bei Konkurrenz- produkten überprüfen zu können. Geschäfts- und Fabrikationsgeheim- nisse und die Privatsphäre der betrof- fenen Unternehmen bleiben auch bei Anwendung des Öffentlichkeitsgeset- zes explizit geschützt. Die Verankerung einer Geheimhal- tungsbestimmung im Krankenversi- cherungsgesetz geht nach Ansicht des Beauftragten in die falsche Richtung. In seiner Stellungnahme im Rahmen der Ämterkonsultation erinnerte er daran, dass mit dem Öffentlichkeits- prinzip das Verständnis für die Ver- waltung und ihr Funktionieren geför- dert sowie die Akzeptanz staatlichen Handelns erhöht werden soll. Der Einsatz von solchen Preismodel- len durch das BAG ist ein Instrument der Preispolitik, das immer öfter zur Anwendung gelangt. Demgegenüber besteht ein breit abgestützter Konsens nach Kostentransparenz im Gesund- heitswesen, zumal die kontinuierlich steigenden Krankenkassenprämien von der Bevölkerung seit Jahren als eine ihrer grössten Sorgen bezeichnet werden. Vor diesem Hintergrund ist es unabdingbar, dass sowohl für die Bevölkerung als auch für die Mitbe- werberinnen weiterhin die Möglich- keit besteht, die Genehmigungspraxis des BAG umfassend nachvollziehen und kontrollieren zu können. Mittel- und langfristig würde eine aktive Transparenzstrategie, insbesondere auf internationaler Ebene, zu tieferen Preisen führen. Eine starke Koopera- tion unter den Staaten ist für eine echt wirksame Preispolitik langfristig unab- dingbar. Das BAG hat den Bedenken des Beauftragten nicht Rechnung getragen. Der Bundesrat wird demnächst eine Vernehmlassung für eine Teilrevision des K VG eröffnen.
76 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Öffentlichkeitsprinzip Ämterkonsultation zur Totalrevision der Verordnung über das öffentliche Beschaffungswesen Im Rahmen der Erarbeitung der Total- revision der Verordnung über das öffentliche Beschaffungswesen hat sich eine Differenz zwischen dem Beauftragten und dem Bundesrat in Bezug auf die Zugänglichkeit der neuen Liste der sanktionierten Anbieterinnen ergeben. Das Parlament hat am 21. Juni 2019 die Totalrevision des Bundesgesetzes über das öffentliche Beschaffungswesen (BöB) verabschiedet (Geschäftsnr. 17.019). Entgegen der vom Bundesrat geplanten vollständigen Ausnahme bleibt das Öffentlichkeitsprinzip im öffentlichen Beschaffungswesen in der neuen Vorlage – wie bereits im aktuell geltenden BöB – weiterhin verankert. Der Beauftragte hatte sich im Ämter- konsultationsverfahren und im Ver- lauf der parlamentarischen Beratungen dezidiert dafür eingesetzt (vgl. 26. Tätigkeitsbericht 2018/19, Ziffer 2. 4). Im ersten Teil des Berichtsjahres prä- sentierte das BBL den Entwurf der totalrevidierten dazugehörigen Ver- ordnung im Rahmen einer Ämter- konsultation. Mit Art. 45 Abs. 3 des vom Parlament verabschiedeten Gesetzes wurde eine Liste der sanktio- nierten Anbieterinnen und Subunter- nehmerinnen eingeführt, die als «nicht öffentlich» bezeichnet wird. Auf der Liste werden diejenigen Unternehmen aufgeführt, gegen wel- che ein rechtskräftiger Ausschluss von künftigen öffentlichen Aufträgen aus- gesprochen wurde, weil sie zum Bei- spiel die Bestimmungen über die Bekämpfung der Korruption verletzt oder unzulässige Wettbewerbsabreden getroffen haben. Art 25 Abs. 3 der revidierten Ver- ordnung regelt ein gesondertes Zugangsrecht zu dieser Liste einzig für die Vergabestellen, nicht aber ein allge- meines Recht auf Einsicht für die Bevölkerung. Im erläuternden Bericht zur Verordnung wird dazu präzisiert, dass laut Botschaft zum BöB kein Zugangsrecht zur Liste nach Öffent- lichkeitsgesetz besteht. Der Beauftragte hat sich im Rah- men der Ämterkonsultation gegen diese Auslegung ausgesprochen: Im bundesrätlichen Entwurf zum revi- dierten BöB waren sämtliche Doku- mente im Zusammenhang mit der Beschaffung vollständig vom Anwen- dungsbereich des Öffentlichkeits- gesetzes ausgeschlossen. Das Parla- ment hat sich jedoch für vollständige Transparenz im öffentlichen Beschaf- fungswesen entschieden und die Pläne des Bundesrates nach Geheimhaltung abgelehnt. Dem klaren Willen des Gesetzgebers zur Transparenz folgend muss somit das Öffentlichkeitsgesetz ohne jede Einschränkung auf das revi- dierte BöB Anwendung finden. Der Beauftragte ist ausserdem der Ansicht, dass die blosse Bezeichnung der Liste im Gesetz als «nicht öffent- lich» nicht ausreicht, um sie als «geheim» im Sinne einer Spezial- bestimmung von Art. 4 BGÖ zu quali- fizieren. Dafür bräuchte es einen expli- ziten formell-gesetzlichen Vorbehalt zum Öffentlichkeitsgesetz im BöB selber. Vielmehr bedeutet «nicht öffentlich» lediglich, dass die Liste durch die Behörde nicht aktiv publi- ziert wird. Aus dem Wortlaut der Gesetzesbestimmung ergibt sich kei- neswegs, dass die Liste auf Zugangsge- such hin als geheim zu halten ist. Diese Differenz konnte nicht beseitigt werden. Der Bundesrat hat die Ein- wände des Beauftragten verworfen. Das revidierte Gesetz und die dazu gehörige Verordnung werden am
Der EDÖB
80 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Der EDÖB 3.1 Aufgaben und Ressourcen Der Beauftragte An seiner Sitzung vom 10. April 2019 hat der Bundesrat Adrian Lobsiger für eine zweite Amtsdauer (51. Legislatur) wiedergewählt. Diese dauert bis Ende 2023. Leistungen und Ressourcen im Bereich Datenschutz Personalbestände Von 2005 bis 2019 hat der Stellenetat für den Vollzug des Datenschutzgeset- zes (DSG) zwischen zwanzig und 2 4 Vollzeitstellen fluktuiert. Die Schwan- kungen erklären sich zum einen damit, dass 2006 das Öffentlichkeitsgesetz (BGÖ) in Kraft trat. Da die dafür vorge- sehenen Stellen vom Bundesrat nie bewilligt wurden, musste unsere Behörde auf das bereits bestehende Personal des EDÖB und teilweise auf Mittel der Bundeskanzlei zurückgrei- fen. Zum anderen konnten die mit dem Beitritt zum Abkommen von Schen- gen und Dublin sowie dem Erlass von Spezialgesetzen im Gesundheitsbe- reich bewilligten zusätzlichen Stellen infolge allgemeiner Sparvorgaben nie im vollen Umfang rekrutiert werden. In seiner Botschaft zur Totalrevi- sion des DSG hat der Bundesrat dem EDÖB die Schaffung zusätzlicher Mit- tel im Umfang von neun bis zehn Stel- len in Aussicht gestellt (BBl 2017 7 172). Inzwischen hat der Bundesgesetzgeber mit dem neuen Bundesgesetz über den Datenschutz im Rahmen der Anwen- dung des Schengen-Besitzstands in Strafsachen (SDSG, SR 235.3) einen Teilaspekt dieser Totalrevision vor- weggenommen. Das SDSG betraut unsere Behörden bezüglich der beson- ders sensiblen Bearbeitung von Perso- nendaten im Polizeibereich mit zusätzlichen Aufgaben und Befugnis- sen (s. 26. TB, Kap 1.2). Nachdem der Bundesrat dieses Gesetz am 1. März 2019 in Kraft setzte, hat er dem EDÖB für die Umsetzung der neuen Aufga- ben und Befugnisse drei zusätzliche Stellen zugesprochen. Damit hat sich der Stellenetat für das Datenschutz- personal seit 2005 erstmals erhöht. Diese drei zusätzlichen Stellen konn- ten bis im Frühjahr 2020 besetzt wer- den, sodass sich der Stellenetat des EDÖB neu auf 27 Vollzeitstellen beläuft. Aufgrund des engen Geltungs- bereiches des SDSG wird das zusätz- lich rekrutierte Personal schwerpunkt- mässig im Bereich unserer Aufsicht über die Polizeibehörden des Bundes einzusetzen sein. Aufgrund von Abgängen hat sich die Altersstruktur der Behörde verjüngt, was den Perso- nalkredit entlastet und in der folgen- den Berichtsperiode voraussichtlich eine zusätzliche Erhöhung unseres Mitarbeiterbestandes erlauben wird. Wann der EDÖB das weitere, zur Umsetzung der Totalrevision in Aus- sicht gestellte Personal beantragen und rekrutieren kann, hängt vom nach wie vor ungewissen Zeitpunkt des Inkraft- tretens des neuen DSG ab. Gemäss dem von beiden Kammern der Eidge- nössischen Räte genehmigten Art. 40a der Vorlage wird der Beauftragte den Entwurf seines Budgets erstmals im Frühjahr nach Inkrafttreten des Geset- zes dem Bundesrat einreichen. Im Frühling welchen Jahres dies sein wird, ist zurzeit offen. Der Bundesrat wird den Entwurf dannzumal unverändert an die Bundesversammlung leiten, und Letztere wird dann bis im darauf- folgenden Winter entscheiden, ob und in welchem Umfang sie unser Budget erhöht. Leistungen Die Aufgaben des EDÖB als für die Bundesorgane und die Privatwirt- schaft zuständige Datenschutzbehörde werden gemäss dem Neuen Führungs- modell Bund (NFB) den vier Leis- tungsgruppen Beratung, Aufsicht, Information und Gesetzgebung zuge- wiesen. Im Berichtsjahr vom 1. 4.2019 bis 31.3.2020 wurden die beim EDÖB für den Datenschutz einsetzbaren Personalressourcen wie folgt auf diese Gruppen aufgeteilt: Tabelle 4: Für DSG- Belange einsetzbare Stellen 200522 201023 201824 201924 202027 Tabelle 5: Leistungen Datenschutz Beratung Private16,5 % Beratung Bund18,8 % Zusammenarbeit mit Kantonen 2,5 % Zusammenarbeit mit ausl. Behörden 12 % Total Beratung49,8 % Aufsicht16 % Zertifizierung0,1 % Register Datensammlung 0,6 % Total Aufsicht16,7 % Information18,7 % Ausbildung/ Referate5,5 % Total Information24,2 % Gesetzgebung9,3 % Total Gesetzgebung9,3 % Total Datenschutz100,0 %
81 Der EDÖB 27. Tätigkeitsbericht 2019/20 Beratung Wie im Eingangskapitel «Aktuelle Herausforderungen und Schwer- punkte» dargelegt, sieht sich der EDÖB im Leistungsbereich der Bera- tung, aufgrund der Notwendigkeit digitale Grossprojekte zu begleiten, mit einer weiter anwachsenden Nach- frage konfrontiert. Aufgrund der Not- wenigkeit, unsere Aufsichtstätigkeit zu stärken, haben sich die für die Bera- tung aufgewendeten personellen Mit- tel um rund vier Prozent auf 49,8 Pro- zent vermindert. Gemäss dem Kont- rollplan des EDÖB für das Jahr 2020 ist die beratende Begleitung von zwölf grossen Projekten im Gang. Da die Mittel des EDÖB bisher weder an die gestiegenen technologischen Risiken der Re-Identifikation und zweckwidrigen Datenabflüsse noch an die übrigen Herausforderungen der Digitalisierung angepasst wurden, kann er die gestiegene Nachfrage nach beratender Projektbegleitung nach wie vor nicht in der gewünschten Tiefe und Zeit erfüllen. In der Berichtspe- riode haben die drei Teams des Direk- tionsbereichs Datenschutz insgesamt monatlich rund 65 Anfragen und Mel- dungen von Bürgerinnen und Bürgern mit einem Standardschreiben beant- wortet, das die Betroffenen auf den zivilprozessualen Weg verweist. Das führt zunehmend auf Unver- ständnis, weil einerseits die Daten- schutzgrundverordnung der EU die dortigen Datenschutzbehörden ver- pflichtet, allen Bürgerklagen nachzu- gehen, und andrerseits die Vorlage zur Totalrevision des DSG auch für den EDÖB eine ausweitende Pflicht vor- sieht, Einzelanliegen der Schweizer Bevölkerung materiell zu behandeln. Zudem musste unsere Behörde bei anderen Posten in der Leistungs- gruppe Beratung, wie der internatio- nalen Zusammenarbeit, Abstriche machen. Da sich Big Data und künstli- che Intelligenz in immer mehr Bran- chen als Geschäftsmodell durchsetzen und die technologischen Datenschutz- risiken den Aufsichtsbereich des EDÖB weiter ausdehnen, ist wie in den Vorjahren von einer weiter stei- genden Anzahl von umfangreichen Datenbearbeitungsprojekten bei Staat und Wirtschaft auszugehen. Aufsicht Aufgrund der Dynamik von cloud- gestützten Applikationen müssen Kontrollen heute rasch durchgeführt werden. Diese Beschleunigung sowie die immer wichtiger werdende Kom- bination von juristischem und techni- schem Fachwissen schliessen längere Unterbrüche bei den Sachverhalts- klärungen aus, sodass umfassendere Kontrollen von mehreren Mitarbeiten- den betreut werden müssen. Die aktu- ellen Personalbestände setzen der Dichte der Kontrollen enge Grenzen. Im Jahr 2018 wurden für die Aufsichts- tätigkeit rund zwölf Prozent der Perso- nalressourcen aufgewendet, was deut- lich unter dem langjährigen Mittelwert von rund zwanzig Prozent lag. In der letzten und aktuellen Berichtsperiode ist der Anteil nun wieder auf rund 17 Prozent gestiegen. Gemäss Kontrollplan für das Jahr 2020 werden mit diesen Mitteln fünf- zehn umfassendere Kontrollen bestrit- ten. Im Vergleich zu der Anzahl von rund 12 000 grossen und mittleren kaufmännischen Unternehmen sowie rund 100 000 Stiftungen und Verei- nen in der Schweiz erweist sich die aktuelle Kontrolldichte nach wie vor als tief. Für den Beauftragten bleibt es schwierig, seine ressourcenbedingte Zurückhaltung bei der Eröffnung von Sachverhaltsabklärungen gegenüber Medien und Konsumentenschutzorga- nisationen zu vermitteln. Tabelle 6: Beratungen in umfangreicheren Projekten für 2019 Grundrechte1 Verkehr1 Finanzen1 Gesundheit und Arbeit3 Sicherheit2 Telekom1 Medien1 Handel und Wirtschaft2 Total12
82 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Der EDÖB Gesetzgebung Die vom Bundesrat in der Einleitung seiner Botschaft zur Totalrevision des DSG als «rasant» bezeichnete techno- logische Entwicklung (BBl 2017 6943) findet auch bei der Personendatenbe- arbeitung durch die Bundesorgane ihren Niederschlag, die nur auf der Basis gesetzlicher Grundlagen zulässig ist. Diese zieht demzufolge eine Viel- zahl von neuen Bearbeitungsvorschrif- ten im Bundesrecht nach sich, zu denen der EDÖB in diversen Konsul- tationsverfahren Stellung beziehen muss. Der diesbezügliche Aufwand ist in den letzten zehn Jahren deutlich ange- stiegen, was ebenfalls zum Absinken der Kontrolldichte beigetragen hat. Dennoch ist es uns in der vorletzten Berichtsperiode gelungen, diesen Trend zu stoppen. Angesichts unserer knappen Mittel, sehen wir uns gezwungen, unsere Stellungnahmen im Rahmen von Konsultationen sum- marisch zu begründen sowie unsere Leistungen in anderen Aufgabenberei- chen zu kürzen. Totalrevision des DSG Wie im letzten Jahresbericht ausge- führt wurde, haben sich zeitgemässe Arbeitsinstrumente – wie die Daten- schutz-Risikofolgenabschätzung – in der Praxis der digitalen Realität her- ausgebildet. Sie sind denn auch bei der Betreuung von digitalen Grossprojek- ten (s. Tab. 6) für unsere Behörde zum Alltag geworden. Zur rechtssicheren Konsolidierung dieser Arbeitsinstrumente und der damit einhergehenden Aufsichtstätig- keit des EDÖB ist es unabdingbar, dass diese nicht nur in der DSGVO, son- dern auch im schweizerischen Daten- schutzrecht verankert werden, wie dies das in Totalrevision stehende DSG denn auch vorsieht. Da nach wie vor nicht absehbar ist, wann das neue DSG in Kraft treten wird, muss unsere Behörde die neuen Arbeitsinstru- mente mit den bestehenden Personal- ressourcen pragmatisch umsetzen. Teilnahme an Kommissions- beratungen und Anhörungen durch parlamentarische Kommissionen Nachdem wir der Subkommission EJPD/BK der Geschäftsprüfungskom- mission des Ständerats (GPK-S) in der Vorperiode im Rahmen eines Dienst- stellenbesuches die Ergebnisse des Pilotversuchs «Beschleunigung Schlichtungsverfahren» präsentiert hatten, konnten wir die Subkommis- sion im April 2019 bei einer Anhörung nunmehr über die erfolgreiche Über- führung des Versuchs in den ordentli- chen Betrieb informieren. Weitere Anhörungen im Berichts- jahr betrafen die systematische Ver- wendung der AHV-Nummer durch Behörden (Änderung AHVG) im Feb- ruar 2020 in der Staatspolitischen Kommission des Ständerats sowie im Oktober 2019 von der Subkommission EDI/Uvek der GPK-N zum Elektroni- schen Patientendossier EPD. Teilge- nommen haben wir ausserdem im April und Mai 2019 an der Beratung zum Bundesgesetz über elektronische Identifizierungsdienste in der Rechts- kommission des Ständerates (RK-S).
83 Der EDÖB 27. Tätigkeitsbericht 2019/20 Bemessungskriterien Ob und in welchem Mass dem EDÖB Ressourcen zugesprochen werden, liegt in der Verantwortung der politi- schen Behörden, denen bei der Ein- schätzung aktueller und künftiger Entwicklungen der Digitalisierung und deren Auswirkungen auf die Tätigkeit unserer Behörde ein erhebli- cher Ermessensspielraum bleibt. Kernaufgabe des EDÖB ist der Schutz der Privatsphäre und die Gewährleistung des Rechts auf infor- mationelle Selbstbestimmung in der digitalen Gesellschaft. Der EDÖB muss unabhängig handeln können. Dies erfordert angemessene und aus- reichende personelle, materielle, tech- nische und finanzielle Ressourcen, welche die Aufsichtsbehörde nicht darauf beschränken, reaktiv das Unab- dingbare zu erledigen, sondern ihr die Initiative zum Handeln ermöglichen – und zwar mit einem Mass an Glaub- würdigkeit und Intensität, welches die betroffene Öffentlichkeit zum Schutz ihrer Grundrechte vernünftigerweise erwarten darf. Mit Blick auf die einzelnen Leis- tungsgruppen ergeben sich somit fol- gende, für die Bemessung der Mittel wegleitende Wirkungsziele (s. Tab. 7): Leistungen und Ressourcen im Bereich Öffentlichkeits- gesetz Der Direktionsbereich Öffentlich- keitsprinzip, wo unverändert 3,6 Stel- len eingesetzt werden, ist nach Durch- führung eines einjährigen Versuchs im Jahr 2017 zu einem beschleunigten und summarischen Verfahren überge- gangen, das sich dadurch charakteri- siert, dass in der Regel mündliche Schlichtungsverhandlungen durchge- führt werden. Dieses Verfahren bewährt sich wei- terhin, indem der Anteil der einver- nehmlich abgeschlossenen Schlich- tungen nach wie vor hoch und die Überschreitung der gesetzlichen Fris- ten in der Regel auf prozessual und inhaltlich komplexe Fälle beschränkt werden konnten. Das laufende Berichtsjahr hat indes auch gezeigt, dass ein Anstieg der Zahl der Schlich- tungsanträge, zahlreiche Anträge innerhalb eines kurzen Zeitraums und personelle Vakanzen rasch Arbeits- rückstände verursachen, welche zur Folge haben, dass die gesetzlichen Fristen für die Durchführung des Schlichtungsverfahrens nicht mehr eingehalten werden können (s. Kap. 2.3). Hält die Tendenz bei der Zunahme von (komplexen) Schlichtungsanträgen an, besteht das Risiko, dass sich der Rück- stau bei der Bearbeitung von Verfahren negativ auf die neu eröffneten Fälle auswirken wird. Tabelle 7: Wirkungsziele EDÖB LeistungsgruppeWirkungsziele BeratungDer EDÖB entfaltet eine erwartungsadäquate Präsenz für die Beratung von Privatpersonen sowie die Begleitung von datenschutzsensiblen Projekten der Wirtschaft und der Bundesbehörden unter Anwendung digitalisierungstauglicher Arbeitsinstrumente. AufsichtDer EDÖB entfaltet eine glaubwürdige Dichte an Kontrollen. InformationDer EDÖB sensibilisiert die Öffentlichkeit proaktiv für technologie- und anwendungsbezogene Risiken der Digitalisierung. GesetzgebungDer EDÖB nimmt rechtzeitig und aktiv Einfluss auf alle datenschutzrelevanten Spezialnormen und Regelwerke, die auf nationaler und internationaler Ebene geschaffen werden. Er unterstützt die interessierten Kreise bei der Formulierung von Regeln der guten Praxis.
84 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Der EDÖB 3.2 Kommunikation Ausbau aufgrund von zusätz- lichen Aufgaben und fehlender kritischer Grösse Unsere Behörde ist bestrebt, Medien- schaffende und die breite Öffentlich- keit wirksam über die Themen zum Schutz der Privatsphäre und des Öffentlichkeitsprinzips in der Verwal- tung zu informieren und den entspre- chenden Dialog zu pflegen. Wir nut- zen dafür als zentralen Kommunika- tionskanal die Website, die jeden Tag rund 2000 Personen besuchen. Im Berichtsjahr hat das Eidgenössische Parlament die Beratung der Totalrevi- sion des Datenschutzgesetzes (DSG) vorangetrieben. Mit Blick auf das zu erwartende Inkraftsetzen wird auch der Informationsbedarf von Bevölke- rung, Unternehmen und Behörden weiter ansteigen. Der Fachbereich Kommunikation musste sich mit seinen eineinhalb Vollzeitstellen auch in diesem Berichtsjahr auf die mediale Beglei- tung der wichtigen operativen Geschäfte konzentrieren. Weil das revidierte DSG neue Pflichten für die Wirtschaft und zusätzliche Aufgaben und Befugnisse für unsere Behörde vorsieht, soll der Kommunikations- dienst auf zweieinhalb Stellenprozente ausgebaut werden. Die entsprechende Stellenausschreibung konnte vor Ablauf der Berichtsperiode eingeleitet werden. Vorrangig wird es darum gehen, das revidierte Gesetz kommunikativ zu begleiten und im Sinne der Informa- tion und Sensibilisierung die dafür geeigneten Massnahmen zu ergreifen. Dazu gehören auch crossmediale Inhalte und audiovisuelle Formate. In erster Priorität aber müssen unsere bestehenden Merkblätter, Erläuterun- gen und Leitfäden im Hinblick auf die neuen Gesetzes- und Verordnungs- bestimmungen überprüft und über- arbeitet sowie gänzlich neue Weg- leitungen geschaffen werden. Hohes mediales Interesse – auch im Ausland Das Interesse der medialen Öffentlich- keit am Datenschutz hat sich weiter verstärkt – aufgrund unserer aufsichts- rechtlichen Zuständigkeit über das Libra-Projekt gelangten zudem ver- mehrt ausländische Medien an den EDÖB und wurde der Austausch mit den internationalen Datenschutzbe- hörden intensiviert. Die mediale Auf- merksamkeit zeigte sich in zahlreichen Stellungnahmen des Beauftragten – namentlich auch in einer zeitweise hohen Präsenz in T V-Formaten. In den vom EDÖB beobachteten Print- und Radio-/T V-Medien erschienen rund 2000 Beiträge und Artikel, die sich vorwiegend mit Datenschutz- fragen befassten, aber auch das Öffent- lichkeitsprinzip in der Verwaltung thematisierten. Bei der Beobachtung der wichtigsten sozialen Medien und Online-Plattformen (Social Web) wur- den 2019 rund 8800 Erwähnungen des Beauftragten oder der Sprecher gezählt – doppelt soviel wie im 2018 und mit einer sehr hohen Aktivität im englischsprachigen Raum vornehm- lich wegen Libra. Insgesamt haben wir rund 450 Medienanfragen bearbeitet. Bürgerinnen und Bürger sowie Unternehmen nutzten Mail, den Post- weg oder die telefonische Hotline, um ihre Anliegen und Fragen bei unseren Fachleuten anzubringen – insgesamt erreichten uns über diese Kanäle rund 3000 Anfragen.
85 Der EDÖB 27. Tätigkeitsbericht 2019/20 Wiederum nahm der Beauftragte bei gegen vierzig Veranstaltungen als Referent oder Podiumsteilnehmer teil. Unter den Veranstaltern befanden sich Verbände und Vereine, Bildungsinsti- tutionen, Behörden oder Unterneh- men sowie Organisationen im Umfeld der Digitalisierung. Weiter trat der Beauftragte auf einem Podium am dritten Schweizer Digitaltag auf und nahm in auflagestar- ken Unternehmensmagazinen die Gelegenheit wahr, um für den Schutz der Privatsphäre zu sensibilisieren wie zum Beispiel in Verkehrs-, Finanz- oder Gesundheitspublikationen. Gemeinsame Kommunikation der Datenschutzbehörden von Bund und Kantonen am Internationalen Datenschutztag Der Internationale Datenschutztag wird auf Initiative des Europarates seit 2007 jedes Jahr am 28. Januar durchgeführt. Er hat zum Ziel, das Bewusstsein der Bür- gerinnen und Bürger für den Schutz der Privatsphäre und das Recht auf informatio- nelle Selbstbestimmung zu stärken und eine nachhaltige Verhaltensänderung im Umgang mit neuen Technologien zu bewirken. Der EDÖB und die kantonalen Datenschutzbehörden informierten im Januar 2020 gemeinsam über zunehmende Gefahren für die Privatsphäre im privaten und öffent- lichen Verkehr. Auslöser der datenschutzrechtlichen Risiken sind namentlich die Vermessung durch Videoaufzeichnungen und die Erstellung von Bewegungsprofilen, welche etwa durch die Entwicklung immer neuerer Mobilitäts-Apps und intelligente Fahrzeuge (Stichwort «Connected Cars») Einzug in den Alltag halten bzw. gehalten haben.
86 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Der EDÖB Stellungnahmen, Empfehl- ungen und Publikationen Im Berichtsjahr veröffentlichte der Beauftragte diverse Stellungnahmen und Statements zu aktuellen Projekten und Ereignissen – unter anderem zu folgenden Themen: • in Bezug auf die Libra Association mit Sitz in Genf, welche im Juli 2019 bekannt gab, ein Projekt für eine weltweite Kryptowährung lanciert zu haben; • betreffend der amerikanischen Applikation Clearview, welche, wie im Januar 2020 bekannt wurde, massenhaft Gesichtsdaten aus öffentlich zugänglichen Quellen abschöpft und kommerzialisiert; • zum Wahlfeature von Facebook, das bei den Eidgenössischen Wahlen im Oktober 2019 in der Schweiz einge- setzt worden ist; • zu den Folgen des Brexit für den internationalen Datenverkehr der Schweiz ab dem 31. Januar 2020; • zur Ungleichbehandlung von Schweizerinnen und Schweizern gegenüber Bürgern der EU durch die Postfinance bei deren Anwendung eines Stimmabdrucks (sog. Voice- print) im Kundencenter; • zu verschiedensten Aspekten, welche im Zusammenhang mit der Coronakrise ein starkes Interesse erzeugten wie beispielsweise die Proximity Tracing App, der Zugang des BAG auf Standortdaten der Swisscom oder die Nutzung von Videochats. Auf der Website des EDÖB publizier- ten wir 23 Empfehlungen betreffend das Öffentlichkeitsprinzip. Mit der bei uns verlinkten interaktiven Plattform Think Data konnten wir ein breiteres Publikum für mehr Daten- schutz und Transparenz sensibilisie- ren. Anhand von konkreten Szenarien werden hier datenschutzrechtliche Empfehlungen abgegeben. Think Data ist ein Projekt einer interdisziplinären Arbeitsgruppe (Thinkservices), an dessen Aufbau der EDÖB mitgewirkt hat und das er weiterhin unterstützt. Die Publikation des jährlichen Tätigkeitsberichts erfolgt wie im Vor- jahr in vier Sprachen – sowohl als gedruckte Version wie auch als auf der Website verlinktes E-Paper. Website nach wie vor wichtigster Kanal unserer Kommunikation Die Webseite ist der zentrale Kommu- nikationskanal des EDÖB. Wir zählen jährlich rund eine halbe Million Besu- cherinnen und Besucher oder etwa 2000 an einem Arbeitstag. Zwei von fünf Besuchern kommen aus dem Ausland – mehrheitlich aus europäi- schen Staaten, aber auch aus Übersee oder Asien. Die Inhalte sind in der Regel in den drei Sprachen Deutsch, Französisch und Italienisch abrufbar. Inhalte, die für ausländische Nutzerin- nen und Nutzer relevant sind, publi- zieren wir zusätzlich in Englisch. Der Webauftritt wird schrittweise opti- miert. Unter @derBeauftragte kommuni- zieren wir zudem via Twitter. Ziel ist es, unseren Followern und einer wei- teren, am Datenschutz interessierten Community den raschen Zugang zu relevanten Informationen zu erleich- tern. Auf die offizielle Nutzung ande- rer Social Media Plattformen hat unsere Behörde aufgrund knapper Ressourcen – aber auch aus anderen Gründen – verzichtet.
87 Der EDÖB 27. Tätigkeitsbericht 2019/20
88 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Der EDÖB Aufsicht Bund (Art. 27 DSG) Aufsicht Private (Art. 29 DSG) Ausbildung/Referate Beratung Bund Beratung Private Gesetzgebung Information Informationspflicht Prüfungsgesuch Register der Datensammlungen Schlichtungsverfahren Zertifizierung Zs.arbeit mit ausl. Behörden Zs.arbeit mit Kantonen 0 %5 %10 %15 %25 %20 % 0 %5 %10 %15 %25 % Arbeitsbereich Datenschutzfragen allgemein Finanzwesen Gesundheit Grundrechte Handel & Wirtschaft InfoKommTech (IKT) Justiz, Polizei & Sicherheit Öffentlichkeitsprinzip Statistik & Forschung Verkehr Versicherungen Verteidigung Zertifizierungen 20 % 3.3 Statistiken Statistiken über die Tätigkeiten des EDÖB vom 1. April 2019 bis 31. März 2020 (Datenschutz) Aufwand nach Aufgabengebiet Aufwand nach Sachgebiet
89 Der EDÖB 27. Tätigkeitsbericht 2019/20 Mehrjahresvergleich Aufwand (Angaben in Prozent) Beratung (−3.1 % gegenüber Vorjahr) Aufsicht (+1.6 %) Information (+1 %) Gesetzgebung (+1.2 %) 0 20102011201220132014201520162017201820192020 10 20 30 40 50 60
90 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Der EDÖB DepartementAnzahl GesucheZugang vollständig gewährtZugang vollständig verweigertZugang teilweise
gewährt /aufgeschobenZugangsgesuch zurückgezogenZugangsgesuch hängigkein amtliches Dokument vorhanden BK 24 12 3 2 4 0 3 EDA 168 89 15 38 7 10 9 EDI 126 52 15 31 8 9 11 EJPD 48 27 8 9 2 1 1 VBS 225 193 6 14 6 4 2 EFD 102 49 17 25 2 4 5 WBF 100 50 11 27 3 7 2 UVEK 112 67 9 25 3 7 1 BA 10 3 1 0 3 1 2 PD 1 0 1 0 0 0 0 Total 2019 (%) 916 (100) 542 (59) 86 (9) 171 (19) 38 (4) 43 (5) 36 (4) Total 2018 (%) 636 (100) 352 (55) 62 (10) 119 (19) 24 (4) 48 (7) 31 (5) Total 2017 (%) 581 (99) 317 (55) 107 (18) 106 (18) 26 (4) 21 (4) – Total 2016 (%) 551 (99) 293 (53) 87 (16) 105 (19) 33 (6) 29 (5) – Total 2015 (%) 597 (100) 319 (53) 98 (16) 127 (21) 31 (5) 22 (4) – Total 2014 (%) 575 (100) 297 (52) 122 (21) 124 (22) 15 (3) 17 (3) – Total 2013 (%) 469 (100) 218 (46) 122 (26) 103 (22) 18 (4) 8 (2) – Total 2012 (%) 506 (100) 223 (44) 138 (27) 120 (24) 19 (4) 6 (1) – Total 2011 (%) 466 (100) 203 (44) 126 (27) 128 (27) 0 (0) 9 (2) – Total 2010 (%) 239 (100) 106 (44) 62 (26) 63 (26) 0 (0) 8 (3) – Übersicht der Zugangsgesuche vom 1. Januar bis 31. Dezember 2019
91 Der EDÖB 27. Tätigkeitsbericht 2019/20 Statistiken über eingereichte Zugangsgesuche nach Öffentlichkeitsgesetz vom 1. Januar bis 31. Dezember 2019 Bundeskanzlei BK BK14632102 EDÖB10600301 Total241232403 Eidg. Departement für Auswärtige Angelegenheiten EDA EDA1688915387109 Total1688915387109 Eidg. Departement des Inneren EDI GS EDI8323000 EBG3200001 BAK4301000 BAR2200000 METEO CH1100000 NB0000000 BAG356314327 BFS6330000 BSV151200030 BLV14317003 SNM0000000 SWISS MEDIC311435540 SUVA7331000 Total1265215318911 Eidg. Justiz- und Polizei departement EJPD GS EJPD6501000 BJ12804000 FEDPOL5203000 METAS4310000 SEM9330111 Dienst ÜPF2020000 SIR4201100 IGE0000000 ESBK3300000 ESchK0000000 RAB2020000 ISC1100000 NKVF0000000 Total482789211 Betroffener FachbereichAnzahl GesucheZugang vollständig gewährtZugang vollständig verweigertZugang teilweise
gewährt /aufgeschobenZugangsgesuch zurückgezogenZugangsgesuch hängigkein amtliches Dokument vorhanden
92 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Der EDÖB Betroffener FachbereichAnzahl GesucheZugang vollständig gewährtZugang vollständig verweigertZugang teilweise gewährt /aufgeschoben Zugangsgesuch zurückgezogenZugangsgesuch hängig kein amtliches Dokument vorhanden Eidg. Departement für Verteidigung, Bevölkerungsschutz und Sport VBS GS VBS5401000 Verteidig./ Armee 24919311 NDB10133111 armasuisse7411010 BASPO17517210110 BABS2200000 swisstopo2100100 OA0000000 Total225193614642 Eidg. Finanz- departement EFD GS16473020 ISB4121000 EFV6402000 EPA3300000 ESTV14832001 EZV16536200 BBL4400000 BIT5500000 EFK10611011 SIF4211000 PUBLICA0000000 ZAS20709013 Total102491725245 Eidg. Departement für Wirtschaft, Bildung und Forschung WBF GS10414010 SECO3414711110 SBFI3200001 BLW14522131 BWL1001000 BWO0000000 PUE4111010 WEKO151203000 ZIVI1100000 BFK2200000 SNF1001000 EHB0000000 ETH Rat9701010 Innosuisse6203100 Total100501127372
93 Der EDÖB 27. Tätigkeitsbericht 2019/20 Eidg. Departement für Umwelt, Verkehr, Energie und Kommunikation UVEK GS10810010 BAV11803000 BAZL15722031 BFE12604110 ASTRA10900010 BAKOM4300010 BAFU3519312100 ARE0000000 ComCom1100000 ENSI10324100 PostCom1100000 UBI3210000 Total11267925371 Bundesanwaltschaft BA BA10310312 Total10310312 Parlamentsdienste PD PD1010000 Total1010000 Betroffener FachbereichAnzahl GesucheZugang vollständig gewährtZugang vollständig verweigertZugang teilweise
gewährt /aufgeschobenZugangsgesuch zurückgezogenZugangsgesuch hängigkein amtliches Dokument vorhanden Anzahl Schlichtungsgesuche nach Kategorien der Antragssteller Kategorie Antragsteller 2019 Medien 34 Privatpersonen (bzw. keine genaue Zuordnung möglich) 40 Interessenvertreter (Verbände, Organisationen, Vereine usw.) 7 Rechtsanwälte 5 Unternehmen 47 Total 133
94 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Der EDÖB Zugangsgesuche der gesamten Bundesverwaltung vom 1. Januar bis 31. Dezember 2019 Zugang verweigert 9 % Zugang teilweise gewährt / aufgeschoben 19 % Rückzug 4 % hängig 5 % Zugang gewährt 59 % kein amtliches Dokument vorhanden 4 % Zugang teilweise gewährt / aufgeschoben 0 BKEDAEDIEJPDVBSEFDWBFUVEK 50 100 150 200 250 Zugang verweigert Zugang gewährt 0 50 100 150 200 250 Rückzug hängig kein amtliches Dokument vorhanden Anzahl Gesuche
95 27. Tätigkeitsbericht 2019/20 Der EDÖB Datenschutz Daniel Dzamko Kommunikation Hugo Wyler Team 1 Team 2 Team 3 Kompetenzzentren Kosmas Tsiraktsopoulos Kompetenz zentrum Geschäfts verwaltung, Personelles und Finanzen Kompetenzzentrum IT und Digitale Gesellschaft Öffentlichkeits- prinzip Reto Ammann Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Adrian Lobsiger, Beauftragter Marc Buntschu, stv. Beauftragter Internationale Angelegenheiten, Gesetzgebung und Kantone Marc Buntschu Direktionsbereiche 3.4 Organisation EDÖB (Stand 31. März 2020) Organigramm
96 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Mitarbeiter und Mitarbeiterinnen des EDÖB Anzahl Mitarbeitende37 FTE30.8 nach GeschlechtFrauen1951% Männer1849% nach Beschäftigungsgrad1 – 89%2568% 90 – 100%1232% nach SpracheDeutsch2978% Französisch719% Italienisch13% nach Alter20 – 49 Jahre2259% 50 – 65 Jahre1541% KaderpositionenFrauen333% Männer667% Der EDÖB
97 27. Tätigkeitsbericht 2019/20 Der EDÖB
rungsmittel (E-ID-Gesetz) BGÖ Bundesgesetz über das
Öffentlichkeitsprinzip der Verwaltung (Öffentlichkeitsgesetz) CNIL Commission Nationale de l’Informatique et des Libertés
schutz (Datenschutzgesetz) DSGVO Datenschutzgrundverordnung der EU EDSA Europäischer Datenschutz-
ausschuss (Engl. EDPB, European Data Protection Board) EIDCOM Kommission für die Aufsicht und Kontrolle über die Anbieter der E-ID EPD Elektronisches Patientendossier EuGH Gerichtshof der Europäischen Union Eurodac Biometrische Datenbank der EU im Asylwesen fedpol Bundesamt für Polizei FTC Federal Trade Commission; US-Behörde für Konsumentenschutz ICO Information Commissioner’s Office (Datenschutzbehörde des Vereinigten Königreichs) Konvention 108+ Modernisierte Datenschutzkonvention des Europarats (auch Übereinkommen 108+) OECD Organisation für wirtschaftliche Zusammenarbeit und Entwicklung PCLOB Privacy and Civil Liberties Oversight Board (Stelle zur Überwachung des Schutzes der Privatsphäre und der bürgerlichen Freiheiten) PMT Bundesgesetz über polizeiliche Massnahmen zur Bekämpfung von Terrorismus PNR Passenger Name Record
(Fluggastdatensatz) Privatim Konferenz der Schweizer Datenschutz-Beauftragten (kantonale Datenschutzbehörden) RIPOL Automatisiertes Fahndungs- system der Polizei SBFI Staatssekretariat für Bildung, Forschung und Innovation SDSG Bundesgesetz über den
sachen [SR 235.3] SEM Staatssekretariat für Migration Seco Staatssekretariat für Wirtschaft SIF Staatssekretariat für internationale Finanzfragen SIRENE Supplementary Information Request at the National Entry
(Nationale Kontaktstelle für den Aus- tausch zusätzlicher Informationen) SIS Schengener Informationssystem SIS II Schengener Informationssystem der zweiten Generation SPK Staatspolitische Kommission (für DSG-Beratung zuständig) T-PD Beratender Ausschuss zum Übereinkommen 108 des Europarats VBGÖ Verordnung zum BGÖ VIS Visa-Informationssystem ZEMIS Zentrales Migrations-
informationssystem Abkürzungsverzeichnis
99 27. Tätigkeitsbericht 2019/20 Abbildungsverzeichnis Abbildungsverzeichnis Grafiken Grafik 1: Beurteilung Zugangsgesuche –
Entwicklung seit 2006 ......................S. 65 Grafik 2: Erhobene Gebühren seit Inkrafttreten des BGÖ ......................S. 66 Grafik 3: Schlichtungsanträge seit Inkrafttreten des BGÖ ......................S. 68 Tabellen Tabelle 1: Bearbeitungsdauer Schlichtungsverfahren ......................S. 69 Tabelle 2: Einvernehmliche
Lösungen ............................................S. 70 Tabelle 3: Hängige
Schlichtungs verfahren .......................S. 70 Tabelle 4: Für DSG- Belange
einsetzbare Stellen ............................S. 80 Tabelle 5: Leistungen Datenschutz ....S. 80 Tabelle 6: Beratungen in umfang-
reicheren Projekten für 2019 ..............S. 81 Tabelle 7: Wirkungsziele EDÖB ............S. 83 Die Bilder in diesem Bericht sind als vom Inhalt losgelöste Bildstrecke konzipiert und vermitteln unsere alltägliche Mobilitätswelt, die auch zahlreiche Datenschutzfragen aufwirft. Einzelne Bildteile sind gepixelt dargestellt, um auf die Problematik der Identifizierung aufmerksam und gleichzeitig Personen und Firmen unkenntlich zu machen. Die Aufnahmen erstellte der Fotograf Ben Zurbriggen aus Biel. Die Bilder in diesem Bericht sind als vom Inhalt losgelöste Bildstrecke konzipiert und vermitteln unsere alltägliche Mobilitätswelt, die auch zahlreiche Datenschutzfragen aufwirft. Einzelne Bildteile sind gepixelt dargestellt, um auf die Problematik der Identifizierung aufmerksam und gleichzeitig Personen und Firmen unkenntlich zu machen. Die Aufnahmen erstellte der Fotograf Ben Zurbriggen aus Biel.
Mediale Resonanz des Beauftragten im Social Web Zugangsgesuche Öffentlichkeitsprinzip (BGÖ) 59 % gewährt 9 % verweigert 19 % teilweise gewährt / aufgeschoben 5 % hängig 4 % Rückzug 4 % kein amtliches Dokument vorhanden Kennzahlen Leistungen Datenschutz 9,3 % Gesetzgebung 24,2 % Information 16,7 % Aufsicht 49,8 % Beratung Mentions*
Anliegen des Datenschutzes Zweckgebundenheit Die Daten werden nur zu dem Zweck bearbeitet werden, der bei der Beschaffung angegeben wurde, aus den Umständen ersichtlich oder gesetzlich vorgesehen ist. Dokumentation Alle Datenbearbeitungen werden durch den Datenbearbeiter dokumentiert und klassifiziert. Datenrichtigkeit Die Bearbeitung erfolgt mit zutreffenden Daten. Eigenverantwortung Private und Bundesorgane nehmen ihre Pflicht zur Beachtung der Datenschutzgesetzgebung eigen- verantwortlich wahr. Wahlmöglichkeit Betroffene geben ihre Einwilligung informiert und erhalten eine echte Wahl freiheit. Verhältnismässigkeit Kein Datensammeln auf Vorrat, sondern nur so weit wie nötig zur Erreichung des Zwecks. Die Datenbearbeitung wird umfang- mässig und zeitlich limitiert. Datensicherheit Die Datenbearbeiter stellen technisch und organisatorisch sicher, dass die Personendaten hinreichend geschützt sind. Faire Information Unternehmen und Bundesorgane informieren transparent über ihre Daten bearbeitung: verständlich und voll ständig. Risikoanalyse Bereits im Projekt werden die möglichen Datenschutzrisiken identifiziert und deren Auswirkun- gen mit Massnahmen minimiert.
Impressum Dieser Bericht ist in vier Sprachen vorhanden und über das Internet (www.derbeauftragte.ch) aufrufbar. Vetrieb: BBL, Verkauf Bundespublikationen, CH-3003 Bern www.bundespublikationen.admin.ch Art.-Nr. 410.027.D Layout: Duplex Design GmbH, Basel Fotografie: Ben Zurbriggen Schriften: Pressura, Documenta Druck: Ast & Fischer AG, Wabern Papier: PlanoArt ® , holzfrei hochweiss
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Feldeggweg 1 CH-3003 Bern E-Mail: info@edoeb.admin.ch Website: www.derbeauftragte.ch @derBeauftragte Telefon: +41 (0)58 462 43 95 (Mo – Fr, 10 – 12 Uhr) Telefax: +41 (0)58 465 99 96