Der EDÖB hat heu­te Mon­tag, 26. Juni, sei­nen 24. Tätig­keits­be­richt für den Zeit­raum vom 1. April 2016 bis zum 31. März 2017 (PDF) ver­öf­fent­licht. Es ist der erste Tätig­keits­be­richt des EDÖB unter Lei­tung von Adri­an Lob­si­ger. Ein Inter­view mit Adri­an Lob­si­ger eben­falls von heu­te Mon­tag wur­de von SRF aus­ge­strahlt.

Der TB wird mit dem fol­gen­den, viel­leicht etwas kon­fron­ta­ti­ven Vor­wort eröff­net:

Fast jedes Land will zur­zeit die Chan­cen der Digi­ta­li­sie­rung packen und sei­ne Bevöl­ke­rung dar­an teil­ha­ben las­sen. Unter ande­ren in den Berei­chen Ver­kehr und Gesund­heits­we­sen treibt auch die Schweiz Gross­pro­jek­te vor­an, für die wir als Bür­ge­rin­nen und Bür­ger in unse­ren all­täg­li­chen Rol­len als Kun­den, Pati­en­ten oder Rei­sen­de eine Fül­le von Daten ver­füg­bar machen sol­len. Ob wir das wol­len und dem digi­ta­len Expe­ri­ment unser Ver­trau­en schen­ken, hängt davon ab, ob sich trans­pa­ren­te, fai­re und auf Min­der­hei­ten Rück­sicht neh­men­de Online-Prak­ti­ken oder digi­ta­le Bevor­mun­dung, Aus­hor­chung und Über­töl­pe­lung durch­set­zen.

Letz­te­rem wir­ken der behörd­li­che und betrieb­li­che Daten­schutz ent­ge­gen, indem sie früh­zei­tig dar­auf Ein­fluss neh­men, dass Tele­ma­tik und Robo­tik den grund­recht­li­chen Anspruch der Men­schen auf ein frei­es und selbst­be­stimm­tes Leben unter­stüt­zen, statt zu gefähr­den. Ange­sichts der expe­ri­men­tel­len Rea­li­tät der Digi­ta­li­sie­rung braucht es dafür nach mei­ner Über­zeu­gung nebst neu­er Regu­lie­rung einen prag­ma­ti­schen Daten­schutz, der zuwei­len auch unkon­ven­tio­nel­le Wege gehen muss, um neu­en recht­li­chen und tech­ni­schen Instru­men­ten zum Schutz der Pri­vat­sphä­re und zur infor­ma­tio­nel­len Selbst­be­stim­mung Akzep­tanz und Wir­kung zu ver­lei­hen. Wei­ter braucht es glaub­wür­di­ge Befug­nis­se und Mit­tel, damit der Daten­schutz Gross­pro­jek­te zufrie­den­stel­lend beglei­ten und eine ange­mes­se­ne Dich­te an Kon­trol­len ent­fal­ten kann.

Ob die Bevor­mun­dung wirk­lich nur auf Sei­ten des frei­en Markts zu suchen ist, sei dahin­ge­stellt, und eben­so, ob der betrieb­li­che Daten­schutz den Grund­rech­ten ver­pflich­tet ist (die Schweiz kennt kei­ne direk­te Dritt­wir­kung der Grund­rech­te; das ist ein wesent­li­cher Unter­schied zur Rege­lung der EU, der nicht ausser Acht gelas­sen wer­den darf, soll das Daten­schutz­recht nicht noch stär­ker zum Vehi­kel kon­su­men­ten­schüt­ze­ri­scher Anlie­gen wer­den).

Der Tätig­keits­be­richt (TB) äussert sich u.a. zu fol­gen­den The­men:

Reorganisation des EDÖB

Die stra­te­gi­sche und ope­ra­ti­ve Fokus­sie­rung auf die Digi­ta­li­sie­rung wird durch eine finanz­neu­tra­le Reor­ga­ni­sa­ti­on der Behör­de unter­stützt, die am 1. April 2017 in Kraft getre­ten ist. Sie zielt dar­auf ab, die tech­ni­schen Kom­pe­ten­zen der Behör­de zu stär­ken und deren Lei­tung von all­täg­li­chen Quer­schnitts­auf­ga­ben zu ent­la­sten:

Alle tra­di­tio­nel­len Stabs- und Quer­schnitts­auf­ga­ben wie Geschäfts­kon­trol­le, Kom­mu­ni­ka­ti­on, Finan­zen wur­den in die neu gebil­de­te Ein­heit Kom­pe­tenz­zen­tren über­führt (vgl. dazu das Orga­ni­gramm des EDÖB: www.derbeauftragte.ch, Der EDÖB – Orga­ni­sa­ti­on). Dort wer­den u.a.:

  • alle tech­ni­schen Kom­pe­ten­zen für die Unter­stüt­zung der daten­schutz­recht­li­chen Ver­fah­ren und die eige­ne Wei­ter­bil­dung gebün­delt;
  • aktu­el­le Ent­wick­lun­gen der Digi­ta­li­sie­rung ana­ly­siert.

Die bei­den bis­he­ri­gen Ein­hei­ten zum Voll­zug des DSG wur­den unter Bil­dung drei­er Teams zusam­men­ge­fasst. […]

Das aktu­el­le Orga­ni­gramm fin­det sich auf der Web­site des EDÖB.

Revision des DSG

Auf S. 15 ff. geht der TB auf die lau­fen­de Revi­si­on des DSG ein. Er äussert sich dazu u.a. wie folgt:

Wir aner­ken­nen die Qua­li­tät der Revi­si­ons­vor­la­ge, ind aber der Ansicht, dass sie ergänzt wer­den müss­te. So haben wir im Ämter­kon­sul­ta­ti­ons­ver­fah­ren unter ande­rem vor­ge­schla­gen, die Stel­lung der betrof­fe­nen Per­so­nen zu stär­ken, nament­lich mit einem Wider­spruchs­recht gegen die Bear­bei­tung, einem Recht auf Daten­über­trag­bar­keit sowie einem Aus­li­stungs­recht als Ergän­zung zum Recht auf Löschung. Die Ver­ant­wort­li­chen von Bear­bei­tun­gen, die ein beson­de­res Risi­ko für die Pri­vat­sphä­re dar­stel­len, soll­ten zur Ernen­nung eines Daten­schutz­be­ra­ters ver­pflich­tet wer­den. Die­se Auf­ga­be wird in zahl­rei­chen Unter­neh­men bereits umfas­send wahr­ge­nom­men, ist Gegen­stand von Lehr­gän­gen und bil­det ein wirk­sa­mes Instru­ment zur Umset­zung des Daten­schut­zes in Unter­neh­men und in der Ver­wal­tung.

Schliess­lich soll­te das DSG auch für Daten­be­ar­bei­ter gel­ten, die kei­nen Sitz in der Schweiz haben, deren Bear­bei­tun­gen aber ihre Wir­kung in der Schweiz ent­fal­ten und hier nie­der­ge­las­se­ne Per­so­nen betref­fen. Die­se Unter­neh­men soll­ten ver­pflich­tet wer­den, einen Ansprech­part­ner in der Schweiz zu haben, ins­be­son­de­re um die Wahr­neh­mung der Rech­te der betrof­fe­nen Per­so­nen zu erleich­tern. Das Ver­hält­nis zwi­schen unse­rer Gesetz­ge­bung und der euro­päi­schen Ver­ord­nung, nament­lich ihre Aus­wir­kun­gen in der Schweiz oder für schwei­ze­ri­sche Bear­bei­tungs­ver­ant­wort­li­che mit Bear­bei­tungs­tä­tig­kei­ten in Euro­pa, wirft in der Schweiz und in Euro­pa zahl­rei­che legi­ti­me Fra­gen auf. In die­sem Sin­ne begrü­ssen wir die Moti­on 16.3752 der FDP-libe­ra­len Frak­ti­on «Gegen Dop­pel­spu­rig­kei­ten im Daten­schutz», in wel­cher der Bun­des­rat beauf­tragt wird, mit der Euro­päi­schen Uni­on eine Ver­ein­ba­rung zur Koor­di­nie­rung der Anwen­dung des jeweils gel­ten­den Rechts anzu­stre­ben.

Weitere Themen im Bereich des Datenschutzes

Wei­te­re The­men sind u.a.:

  • Ver­wen­dung von AHV-Num­mern in Regi­stern
  • Sach­ver­halts­ab­klä­rung betr. Swis­sPass
  • Daten­schutz beim elek­tro­ni­schen Ticke­ting
  • Sach­ver­halts­ab­klä­rung zu Win­dows 10, wobei die gefun­de­ne Lösung über „laye­red con­sent“ als Min­dest­stan­dard für Anwen­dun­gen und Dien­ste ande­rer Unter­neh­men gewer­tet wird. Sie wird im TB wie folgt beschrie­ben:

    Im ersten Release wer­den allen Benut­zern bei der Neu­in­stal­la­ti­on bzw. bei einem Update auf die­ses Betriebs­sy­stem die Ein­stel­lungs­mög­lich­kei­ten der Daten­über­mitt­lun­gen mit umfang­rei­che­ren Infor­ma­tio­nen ange­zeigt. Im zwei­ten Release kön­nen die Benut­zer beim Instal­la­ti­ons­pro­zess zusätz­lich direkt auf die ent­spre­chen­de Pas­sa­ge in der Daten­schutz­er­klä­rung zugrei­fen. Die Ver­lin­kung zu wei­ter­füh­ren­den Infor­ma­tio­nen in der Daten­schutz­er­klä­rung erhöht die Trans­pa­renz und erleich­tert es den Benut­zern, sich in der umfang­rei­chen und aus­führ­li­chen Erklä­rung zurecht zu fin­den.

  • Neue Daten­schutz­be­stim­mun­gen von Swis­s­com
  • Gesetz zur elek­tro­ni­schen Iden­ti­tät (E-ID-Gesetz)
  • Über­wa­chung des Post- und Fern­mel­de­ver­kehrs – Total­re­vi­si­on der Ver­ord­nun­gen
  • Aus­füh­rungs­be­stim­mun­gen zum Bun­des­ge­setz über das elek­tro­ni­sche Pati­en­ten­dos­sier
  • Pro­jekt BAGSAN ((Sta­ti­stik auf Grund­la­ge von Ver­si­cher­ten­da­ten) des Bun­des­amts für Gesund­heit
  • Aus­la­ge­rung der Rech­nungs­stel­lung im medi­zi­ni­schen Bereich (wobei der EDÖB hier­für die aus­drück­li­che Ein­wil­li­gung der betrof­fe­nen Per­so­nen for­dert)
  • Ent­bin­dung von der Schwei­ge­pflicht im Rah­men eines IV-Ver­fah­rens
  • Ein­satz von Fit­ness­trackern im Ver­si­che­rungs­be­reich
  • Sach­ver­halts­ab­klä­rung zu eRe­crui­ting und Bewer­bungs­dos­siers in der Bun­des­ver­wal­tung
  • Swiss-U.S. Pri­va­cy Shield
  • Wirt­schafts­aus­kunf­tei Money­hou­se – Kla­ge vor Bun­des­ver­wal­tungs­ge­richt
  • Ver­ord­nun­gen zur Ener­gie­stra­te­gie 2050
  • Bekannt­ga­be von Per­so­nen­da­ten an aus­län­di­sche Steu­er­be­hör­den

Öffentlichkeitsgesetz

Im Bereich des Öffent­lich­keits­ge­set­zes geht der TB auf die fol­gen­den The­men ein:

  • Ein­schrän­kung des Öffent­lich­keits­prin­zips bei der Auf­sicht über den öffent­li­chen Ver­kehr
  • Zugang zu Doku­men­ten über das öffent­li­che Beschaf­fungs­we­sen
  • Ver­ord­nung über den Nach­rich­ten­dienst
  • Neue Arbeits­me­tho­de bei der Durch­füh­rung von BGÖ-Schlich­tungs­ver­fah­ren (seit dem 1. Janu­ar 2017 wer­den die neu ein­ge­hen­den Schlich­tungs­an­trä­ge vor­wie­gend in einem beschleu­nig­ten, münd­li­chen Ver­fah­ren behan­delt)

Zur Behörde

Inter­es­sant ins­be­son­de­re vor dem Hin­ter­grund der zuneh­men­den Auf­ga­ben des EDÖB durch die Revi­si­on des DSG sind die fol­gen­den Anga­ben zur Behör­de:

  • Seit 2005 bewegt sich der Per­so­nal­be­stand zwi­schen 22 und 24 Mit­ar­bei­ten­den (ob es sich dabei um FTEs han­delt, geht aus dem TB nicht her­vor).
  • Das Per­so­nal wur­de dabei wie folgt ein­ge­setzt:
  • Die Bera­tung ver­ur­sacht fast 50% des Auf­wands. Für das Jahr 2017 sei­en Bera­tun­gen in 10 grö­sse­ren Pro­jek­ten im Gang, 3 im Ver­kehr, 1 im Finanz­be­reich, 3 im Bereich Gesund­heut und Arbeit, 1 im Bereich Sicher­heit und 2 im Bereich Telcos/IoT.
  • Der gröss­te Auf­wand ent­steht in den Gebie­ten Han­del & Wirt­schaft; Daten­schutz­fra­gen all­ge­mein; Justiz, Poli­zei und Sicher­heit und Öffent­lich­keits­prin­zip:

  • Der TB ent­hält detail­lier­te Sta­ti­sti­ken zu den Zugangs­ge­su­chen nach BGÖ. Zugangs­ge­su­che wur­den im Berichts­zeit­raum wie folgt behan­delt:
  • Dabei unter­sche­di­en sich die Erle­di­gungs­ar­ten stark nach betrof­fe­nen Depar­te­men­ten:
  • Zu den wach­sen­den Auf­ga­ben des EDÖB gemäss dem revi­dier­ten DSG äussert sich der EDÖB wie folgt:

    Gemäss Begleit­be­richt zum E-DSG rech­net der Bun­des­rat damit, dass der finan­zi­el­le Bedarf des EDÖB ins­ge­samt «mass­geb­lich steigt». Von der Quan­ti­fi­zie­rung die­ser Ver­stär­kung wird letzt­lich die Inten­si­tät abhän­gen, mit wel­cher die Daten­schutz­be­hör­de des Bun­des ihre Auf­ga­ben wahr­neh­men kann. Da eini­ge der neu­en Instru­men­te im Geset­zes­text gene­rell beschrie­ben wer­den, wird offen­sicht­lich, dass den poli­ti­schen Behör­den bei der Ein­schät­zung künf­ti­ger Ent­wick­lun­gen und deren Quan­ti­fi­zie­rung ein erheb­li­cher Ermes­sens­spiel­raum bleibt.

    Dabei soll­ten die poli­ti­schen Orga­ne der Beson­der­heit der Auf­ga­ben der Daten­schutz­be­hör­de die nöti­ge Beach­tung schen­ken: Haupt­auf­ga­be des EDÖB ist der Schutz der Pri­vat­sphä­re und die Gewähr­lei­stung des Rechts auf infor­ma­tio­nel­le Selbst­be­stim­mung in der digi­ta­len Gesell­schaft. Der EDÖB muss unab­hän­gig han­deln kön­nen. Dies erfor­dert ange­mes­se­ne und aus­rei­chen­de per­so­nel­le, mate­ri­el­le, tech­ni­sche und finan­zi­el­le Res­sour­cen, wel­che die Auf­sichts­be­hör­de nicht dar­auf beschrän­ken, reak­tiv das Unab­ding­ba­re zu erle­di­gen, son­dern ihr die Initia­ti­ve zum Han­deln ermög­li­chen; und zwar mit einem Mass an Glaub­wür­dig­keit und Inten­si­tät, das die betrof­fe­ne Öffent­lich­keit zum Schutz ihrer Grund­rech­te ver­nünf­ti­ger­wei­se erwar­ten darf.

Posted by David Vasella

RA Dr. David Vasella ist Rechtsanwalt bei FRORIEP. Er ist auf IT-, Datenschutz- und Immaterialgüterrecht spezialisiert und ist Lehrbeauftragter der Universität Zürich. Er ist Gründer von swissblawg.