Der EDÖB hat heute Montag, 26. Juni, seinen 24. Tätigkeitsbericht für den Zeitraum vom 1. April 2016 bis zum 31. März 2017 (PDF) veröffentlicht. Es ist der erste Tätigkeitsbericht des EDÖB unter Leitung von Adrian Lobsiger. Ein Interview mit Adrian Lobsiger ebenfalls von heute Montag wurde von SRF ausgestrahlt.
Der TB wird mit dem folgenden, vielleicht etwas konfrontativen Vorwort eröffnet:
Fast jedes Land will zurzeit die Chancen der Digitalisierung packen und seine Bevölkerung daran teilhaben lassen. Unter anderen in den Bereichen Verkehr und Gesundheitswesen treibt auch die Schweiz Grossprojekte voran, für die wir als Bürgerinnen und Bürger in unseren alltäglichen Rollen als Kunden, Patienten oder Reisende eine Fülle von Daten verfügbar machen sollen. Ob wir das wollen und dem digitalen Experiment unser Vertrauen schenken, hängt davon ab, ob sich transparente, faire und auf Minderheiten Rücksicht nehmende Online-Praktiken oder digitale Bevormundung, Aushorchung und Übertölpelung durchsetzen.
Letzterem wirken der behördliche und betriebliche Datenschutz entgegen, indem sie frühzeitig darauf Einfluss nehmen, dass Telematik und Robotik den grundrechtlichen Anspruch der Menschen auf ein freies und selbstbestimmtes Leben unterstützen, statt zu gefährden. Angesichts der experimentellen Realität der Digitalisierung braucht es dafür nach meiner Überzeugung nebst neuer Regulierung einen pragmatischen Datenschutz, der zuweilen auch unkonventionelle Wege gehen muss, um neuen rechtlichen und technischen Instrumenten zum Schutz der Privatsphäre und zur informationellen Selbstbestimmung Akzeptanz und Wirkung zu verleihen. Weiter braucht es glaubwürdige Befugnisse und Mittel, damit der Datenschutz Grossprojekte zufriedenstellend begleiten und eine angemessene Dichte an Kontrollen entfalten kann.
Ob die Bevormundung wirklich nur auf Seiten des freien Markts zu suchen ist, sei dahingestellt, und ebenso, ob der betriebliche Datenschutz den Grundrechten verpflichtet ist (die Schweiz kennt keine direkte Drittwirkung der Grundrechte; das ist ein wesentlicher Unterschied zur Regelung der EU, der nicht ausser Acht gelassen werden darf, soll das Datenschutzrecht nicht noch stärker zum Vehikel konsumentenschützerischer Anliegen werden).
Der Tätigkeitsbericht (TB) äussert sich u.a. zu folgenden Themen:
Reorganisation des EDÖB
Die strategische und operative Fokussierung auf die Digitalisierung wird durch eine finanzneutrale Reorganisation der Behörde unterstützt, die am 1. April 2017 in Kraft getreten ist. Sie zielt darauf ab, die technischen Kompetenzen der Behörde zu stärken und deren Leitung von alltäglichen Querschnittsaufgaben zu entlasten:
Alle traditionellen Stabs- und Querschnittsaufgaben wie Geschäftskontrolle, Kommunikation, Finanzen wurden in die neu gebildete Einheit Kompetenzzentren überführt (vgl. dazu das Organigramm des EDÖB: www.derbeauftragte.ch, Der EDÖB – Organisation). Dort werden u.a.:
- alle technischen Kompetenzen für die Unterstützung der datenschutzrechtlichen Verfahren und die eigene Weiterbildung gebündelt;
- aktuelle Entwicklungen der Digitalisierung analysiert.
Die beiden bisherigen Einheiten zum Vollzug des DSG wurden unter Bildung dreier Teams zusammengefasst. […]
Das aktuelle Organigramm findet sich auf der Website des EDÖB.
Revision des DSG
Auf S. 15 ff. geht der TB auf die laufende Revision des DSG ein. Er äussert sich dazu u.a. wie folgt:
Wir anerkennen die Qualität der Revisionsvorlage, ind aber der Ansicht, dass sie ergänzt werden müsste. So haben wir im Ämterkonsultationsverfahren unter anderem vorgeschlagen, die Stellung der betroffenen Personen zu stärken, namentlich mit einem Widerspruchsrecht gegen die Bearbeitung, einem Recht auf Datenübertragbarkeit sowie einem Auslistungsrecht als Ergänzung zum Recht auf Löschung. Die Verantwortlichen von Bearbeitungen, die ein besonderes Risiko für die Privatsphäre darstellen, sollten zur Ernennung eines Datenschutzberaters verpflichtet werden. Diese Aufgabe wird in zahlreichen Unternehmen bereits umfassend wahrgenommen, ist Gegenstand von Lehrgängen und bildet ein wirksames Instrument zur Umsetzung des Datenschutzes in Unternehmen und in der Verwaltung.
Schliesslich sollte das DSG auch für Datenbearbeiter gelten, die keinen Sitz in der Schweiz haben, deren Bearbeitungen aber ihre Wirkung in der Schweiz entfalten und hier niedergelassene Personen betreffen. Diese Unternehmen sollten verpflichtet werden, einen Ansprechpartner in der Schweiz zu haben, insbesondere um die Wahrnehmung der Rechte der betroffenen Personen zu erleichtern. Das Verhältnis zwischen unserer Gesetzgebung und der europäischen Verordnung, namentlich ihre Auswirkungen in der Schweiz oder für schweizerische Bearbeitungsverantwortliche mit Bearbeitungstätigkeiten in Europa, wirft in der Schweiz und in Europa zahlreiche legitime Fragen auf. In diesem Sinne begrüssen wir die Motion 16.3752 der FDP-liberalen Fraktion «Gegen Doppelspurigkeiten im Datenschutz», in welcher der Bundesrat beauftragt wird, mit der Europäischen Union eine Vereinbarung zur Koordinierung der Anwendung des jeweils geltenden Rechts anzustreben.
Weitere Themen im Bereich des Datenschutzes
Weitere Themen sind u.a.:
- Verwendung von AHV-Nummern in Registern
- Sachverhaltsabklärung betr. SwissPass
- Datenschutz beim elektronischen Ticketing
- Sachverhaltsabklärung zu Windows 10, wobei die gefundene Lösung über „layered consent“ als Mindeststandard für Anwendungen und Dienste anderer Unternehmen gewertet wird. Sie wird im TB wie folgt beschrieben:
Im ersten Release werden allen Benutzern bei der Neuinstallation bzw. bei einem Update auf dieses Betriebssystem die Einstellungsmöglichkeiten der Datenübermittlungen mit umfangreicheren Informationen angezeigt. Im zweiten Release können die Benutzer beim Installationsprozess zusätzlich direkt auf die entsprechende Passage in der Datenschutzerklärung zugreifen. Die Verlinkung zu weiterführenden Informationen in der Datenschutzerklärung erhöht die Transparenz und erleichtert es den Benutzern, sich in der umfangreichen und ausführlichen Erklärung zurecht zu finden.
- Neue Datenschutzbestimmungen von Swisscom
- Gesetz zur elektronischen Identität (E‑ID-Gesetz)
- Überwachung des Post- und Fernmeldeverkehrs – Totalrevision der Verordnungen
- Ausführungsbestimmungen zum Bundesgesetz über das elektronische Patientendossier
- Projekt BAGSAN ((Statistik auf Grundlage von Versichertendaten) des Bundesamts für Gesundheit
- Auslagerung der Rechnungsstellung im medizinischen Bereich (wobei der EDÖB hierfür die ausdrückliche Einwilligung der betroffenen Personen fordert)
- Entbindung von der Schweigepflicht im Rahmen eines IV-Verfahrens
- Einsatz von Fitnesstrackern im Versicherungsbereich
- Sachverhaltsabklärung zu eRecruiting und Bewerbungsdossiers in der Bundesverwaltung
- Swiss‑U.S. Privacy Shield
- Wirtschaftsauskunftei Moneyhouse – Klage vor Bundesverwaltungsgericht
- Verordnungen zur Energiestrategie 2050
- Bekanntgabe von Personendaten an ausländische Steuerbehörden
Öffentlichkeitsgesetz
Im Bereich des Öffentlichkeitsgesetzes geht der TB auf die folgenden Themen ein:
- Einschränkung des Öffentlichkeitsprinzips bei der Aufsicht über den öffentlichen Verkehr
- Zugang zu Dokumenten über das öffentliche Beschaffungswesen
- Verordnung über den Nachrichtendienst
- Neue Arbeitsmethode bei der Durchführung von BGÖ-Schlichtungsverfahren (seit dem 1. Januar 2017 werden die neu eingehenden Schlichtungsanträge vorwiegend in einem beschleunigten, mündlichen Verfahren behandelt)
Zur Behörde
Interessant insbesondere vor dem Hintergrund der zunehmenden Aufgaben des EDÖB durch die Revision des DSG sind die folgenden Angaben zur Behörde:
- Seit 2005 bewegt sich der Personalbestand zwischen 22 und 24 Mitarbeitenden (ob es sich dabei um FTEs handelt, geht aus dem TB nicht hervor).
- Das Personal wurde dabei wie folgt eingesetzt:
- Die Beratung verursacht fast 50% des Aufwands. Für das Jahr 2017 seien Beratungen in 10 grösseren Projekten im Gang, 3 im Verkehr, 1 im Finanzbereich, 3 im Bereich Gesundheut und Arbeit, 1 im Bereich Sicherheit und 2 im Bereich Telcos/IoT.
- Der grösste Aufwand entsteht in den Gebieten Handel & Wirtschaft; Datenschutzfragen allgemein; Justiz, Polizei und Sicherheit und Öffentlichkeitsprinzip:
- Der TB enthält detaillierte Statistiken zu den Zugangsgesuchen nach BGÖ. Zugangsgesuche wurden im Berichtszeitraum wie folgt behandelt:
- Dabei unterschedien sich die Erledigungsarten stark nach betroffenen Departementen:
- Zu den wachsenden Aufgaben des EDÖB gemäss dem revidierten DSG äussert sich der EDÖB wie folgt:
Gemäss Begleitbericht zum E‑DSG rechnet der Bundesrat damit, dass der finanzielle Bedarf des EDÖB insgesamt «massgeblich steigt». Von der Quantifizierung dieser Verstärkung wird letztlich die Intensität abhängen, mit welcher die Datenschutzbehörde des Bundes ihre Aufgaben wahrnehmen kann. Da einige der neuen Instrumente im Gesetzestext generell beschrieben werden, wird offensichtlich, dass den politischen Behörden bei der Einschätzung künftiger Entwicklungen und deren Quantifizierung ein erheblicher Ermessensspielraum bleibt.
Dabei sollten die politischen Organe der Besonderheit der Aufgaben der Datenschutzbehörde die nötige Beachtung schenken: Hauptaufgabe des EDÖB ist der Schutz der Privatsphäre und die Gewährleistung des Rechts auf informationelle Selbstbestimmung in der digitalen Gesellschaft. Der EDÖB muss unabhängig handeln können. Dies erfordert angemessene und ausreichende personelle, materielle, technische und finanzielle Ressourcen, welche die Aufsichtsbehörde nicht darauf beschränken, reaktiv das Unabdingbare zu erledigen, sondern ihr die Initiative zum Handeln ermöglichen; und zwar mit einem Mass an Glaubwürdigkeit und Intensität, das die betroffene Öffentlichkeit zum Schutz ihrer Grundrechte vernünftigerweise erwarten darf.