EDÖB: 29. Tätig­keits­be­richt 2021/2022

Der EDÖB hat sei­nen 29. Tätig­keits­be­richt für die Berichts­pe­ri­ode vom 1. April 2021 bis am 31. März 2022 ver­öf­fent­licht. Die Medi­en­mit­tei­lung zur Ver­öf­fent­li­chung trägt den Titel “Gering­schät­zung der Pri­vat­sphä­re”. Wie immer ist der Bericht geglie­dert in The­men­be­rei­che Daten­schutz und Öffent­lich­keits­prin­zip und die Behör­de des EDÖB selbst.

Eini­ge Punk­te geben zu Anmer­kun­gen Anlass:

  • Im Bereich des Daten­schut­zes liegt der Fokus auf dem Grund­satz, dass “in den west­li­chen Demo­kra­tien das Recht der Pri­va­ten unan­ge­ta­stet” blei­ben soll, “ihre eige­nen Daten sowie jene ihrer Kun­den pri­vat­au­to­nom zu bear­bei­ten und nach Belie­ben gegen­über Drit­ten und somit auch gegen­über dem Staat abzu­schot­ten”. Damit bezieht sich der EDÖB auf die Grund­idee, dass betrof­fe­ne Per­so­nen über die eige­nen Daten bestim­men, das Recht auf infor­ma­tio­nel­le Selbst­be­stim­mung (so es ein sol­ches Recht gibt): “In der frei­en Welt soll­te jedem Men­schen das Recht zuge­stan­den wer­den, sich in der ana­lo­gen und digi­ta­len Welt anonym zu bewe­gen, ohne sich durch eige­ne Aus­sa­gen zu bela­sten”. Das zeigt, wor­auf der EDÖB beson­ders ach­tet: auf die zitier­te “Gering­schät­zung der Privatsphäre”.
  • Der EDÖB lei­det nach wie vor unter Res­sour­cen­man­gel. In der Bot­schaft zum E‑DSG hat der Bun­des­rat wei­te­re neun bis zehn Stel­len in Aus­sicht gestellt. Davon wur­den drei Stel­len im Rah­men von Schen­gen zuge­spro­chen. Der EDÖB ver­fügt damit der­zeit über einen Etat von 27 FTEs. Wei­te­re sechs Stel­len sind mit Blick auf das revDSG bewil­ligt. Den­noch fehlt es dem EDÖB “nach wie vor an Mit­teln, um syste­ma­tisch Stich­pro­ben und Kon­trol­len der tech­ni­schen Sicher­heit durch­zu­füh­ren, wie sie gera­de bei sen­si­blen Daten­hal­tun­gen von Gesund­heits­da­ten nütz­lich wären”. Auch bei Zugangs­be­geh­ren ist “davon aus­zu­ge­hen, dass sich die nega­ti­ve Ent­wick­lung ohne zusätz­li­che Res­sour­cen wei­ter ver­schär­fen und die vom Gesetz­ge­ber ver­lang­te rasche Ver­fah­rens­ab­wick­lung wei­ter ins Hin­ter­tref­fen gera­ten wird”. 
  • Dem EDÖB wären wei­te­re Res­sour­cen zu wün­schen. Es war ein Irr­tum von Tei­len der Wirt­schaft zu glau­ben, der Wirt­schaft sei mit einer geschwäch­ten Behör­de gedient. Die auf­fal­len­de Zurück­hal­tung des EDÖB, im Bereich des Daten­schut­zes kla­re Posi­tio­nen ein­zu­neh­men, führt zu Rechts­un­si­cher­heit und damit eher zu weni­ger als zu mehr Spiel­raum der Wirt­schaft. Aller­dings ist die­se Zurück­hal­tung nicht nur mit Res­sour­cen­man­gel zu erklä­ren, son­dern auch damit, dass der EDÖB nicht an die Stel­le des Gesetz­ge­bers tre­ten will (“Dem EDÖB wie­der­um wird als Auf­sichts­be­hör­de bei der Anwen­dung der Geset­zes­be­stim­mun­gen mit Blick auf die Begrün­dung einer ein­heit­li­chen und rechts­glei­chen Pra­xis ohne wei­te­re Prä­zi­sie­rung der Ver­ord­nung ein gro­sser Ermes­sens­spiel­raum zufal­len, mit des­sen Aus­schöp­fung er sich dem Vor­wurf aus­set­zen könn­te, als Regu­la­tor tätig zu wer­den”). Zudem hat der EDÖB auf dem bis­wei­len schma­len Grat zwi­schen dem Nach­voll­zug einer streng aus­ge­leg­ten DSGVO einer­seits und einer eigen­stän­di­gen, von der EU aber viel­leicht kri­tisch beäug­ten schwei­ze­ri­schen Lösung ande­rer­seits zu wan­deln, und Zurück­hal­tung muss dabei kein Feh­ler sein (vgl. dazu die Anmer­kun­gen zur Stel­lung­nah­me des EDÖB i.S. SUVA). Zu wün­schen wäre ein pro­ak­ti­ve­res Han­deln den­noch – der EDÖB hat die Auf­ga­be der Bera­tung, und nach Art. 58 Abs. 1 lit. g revDSG erar­bei­tet der EDÖB “Arbeits­in­stru­men­te als Emp­feh­lun­gen der guten Pra­xis zuhan­den von Ver­ant­wort­li­chen, Auf­trags­be­ar­bei­tern und betrof­fe­nen Per­so­nen”. Es ist der Wil­le des Gesetz­ge­bers, dass der EDÖB das Gesetz zwar nicht neu schreibt, bei sei­ner Aus­le­gung und Anwen­dung aber Hil­fe lei­stet.
  • Der EDÖB wird zwei Mel­de­por­ta­le schaf­fen, eines für Mel­dun­gen von Ver­let­zun­gen der Daten­si­cher­heit und eines für Daten­schutz­be­ra­ter. Es wäre inter­es­sant zu wis­sen, wel­che Pro­zes­se sich intern an sol­che Mel­dun­gen anschliessen.
  • Inter­es­sant ist die Anmer­kung, der EDÖB habe kei­ne Kom­pe­tenz, das Schwei­zer Straf­ge­setz­buch oder all­fäl­lig ande­re rele­van­te Geset­ze zu inter­pre­tie­ren (im Zusam­men­hang mit einer Bekannt­ga­be von Daten an die SEC, die der EDÖB daten­schutz­recht­lich, aber nicht auch unter dem Gesichts­punkt des Bank­kun­den­ge­heim­nis­ses beur­teilt hat). Die Bot­schaft von 1988 hielt fest, der Daten­schutz­be­auf­trag­te habe “nicht nur die Ein­hal­tung die­ses Geset­zes, son­dern auch aller wei­tern daten­schutz­recht­li­chen Erlas­se des Bun­des zu über­wa­chen. Damit sind bereits bestehen­des und künf­ti­ges Spe­zi­al­da­ten­schutz­recht, aber auch völ­ker­recht­li­che Ver­trä­ge gemeint”. Mit ande­ren Wor­ten ist das Gebiet des EDÖB das mate­ri­el­le und nicht das for­mel­le Daten­schutz­recht. Das lie­sse bei einer exten­si­ven Aus­le­gung auch eine Berück­sich­ti­gung des Straf­rechts zu, aller­dings mit der Gefahr, dass der Kom­pe­tenz­be­reich des EDÖB aus­ufert. Inso­fern ist sei­ne Zurück­hal­tung hier sinn­voll (und steht im Ein­klang mit dem Helsa­na-Urteil des BVGer, wonach sich der Rege­lungs­be­reich des Daten­schutz­rechts auf Nor­men ausser­halb des Kern­da­ten­schut­zes nur erstreckt, wenn und soweit die­se Nor­men “zumin­dest auch, direkt oder indi­rekt, den Schutz der Per­sön­lich­keit einer Per­son bezweck[en]”. Eine kla­re Abgren­zung ist not­wen­dig, und vor die­sem Hin­ter­grund ist die Aus­sa­ge des EDÖB wohl zu ver­ste­hen. Span­nend wird es sein zu sehen, ob der EDÖB Art. 62 revDSG als daten­schutz- oder genu­in geheim­nis­schutz­recht­li­che Norm lesen wird.
  • Der EDÖB berich­tet von meh­re­ren lau­fen­den Sach­ver­halts­ab­klä­run­gen. Es ent­steht der Ein­druck, dass die­se Ver­fah­ren län­ger dau­ern und sich der Gegen­stand der Sach­ver­halts­ab­klä­run­gen wäh­rend ihrer Dau­er bis­wei­len stark ändert. Sol­che moving tar­gets wären an sich nur durch rasche­re Ver­fah­rens­füh­rung zu bewäl­ti­gen, aber es stellt sich erneut das Res­sour­cen­pro­blem. Das ist für betrof­fe­ne Unter­neh­men kein Vor­teil. Zwar kön­nen etwai­ge Män­gel einer Bear­bei­tung wäh­rend einer Abklä­rung beho­ben wer­den, aber dabei besteht das Pro­blem der Rechts­un­si­cher­heit. Sinn­voll wäre ein stär­ke­rer Dia­log zwi­schen dem EDÖB und den Ver­ant­wort­li­chen wäh­rend der Sach­ver­halts­ab­klä­rung, ins­be­son­de­re auch mit Bezug auf recht­li­che Über­le­gun­gen des EDÖB, von denen das Unter­neh­men erst nach der u.U. lang­wie­ri­gen Fest­stel­lung des Sach­ver­halts erfährt.