Der EDÖB hat seinen 29. Tätigkeitsbericht für die Berichtsperiode vom 1. April 2021 bis am 31. März 2022 veröffentlicht. Die Medienmitteilung zur Veröffentlichung trägt den Titel “Geringschätzung der Privatsphäre”. Wie immer ist der Bericht gegliedert in Themenbereiche Datenschutz und Öffentlichkeitsprinzip und die Behörde des EDÖB selbst.
Einige Punkte geben zu Anmerkungen Anlass:
- Im Bereich des Datenschutzes liegt der Fokus auf dem Grundsatz, dass “in den westlichen Demokratien das Recht der Privaten unangetastet” bleiben soll, “ihre eigenen Daten sowie jene ihrer Kunden privatautonom zu bearbeiten und nach Belieben gegenüber Dritten und somit auch gegenüber dem Staat abzuschotten”. Damit bezieht sich der EDÖB auf die Grundidee, dass betroffene Personen über die eigenen Daten bestimmen, das Recht auf informationelle Selbstbestimmung (so es ein solches Recht gibt): “In der freien Welt sollte jedem Menschen das Recht zugestanden werden, sich in der analogen und digitalen Welt anonym zu bewegen, ohne sich durch eigene Aussagen zu belasten”. Das zeigt, worauf der EDÖB besonders achtet: auf die zitierte “Geringschätzung der Privatsphäre”.
- Der EDÖB leidet nach wie vor unter Ressourcenmangel. In der Botschaft zum E‑DSG hat der Bundesrat weitere neun bis zehn Stellen in Aussicht gestellt. Davon wurden drei Stellen im Rahmen von Schengen zugesprochen. Der EDÖB verfügt damit derzeit über einen Etat von 27 FTEs. Weitere sechs Stellen sind mit Blick auf das revDSG bewilligt. Dennoch fehlt es dem EDÖB “nach wie vor an Mitteln, um systematisch Stichproben und Kontrollen der technischen Sicherheit durchzuführen, wie sie gerade bei sensiblen Datenhaltungen von Gesundheitsdaten nützlich wären”. Auch bei Zugangsbegehren ist “davon auszugehen, dass sich die negative Entwicklung ohne zusätzliche Ressourcen weiter verschärfen und die vom Gesetzgeber verlangte rasche Verfahrensabwicklung weiter ins Hintertreffen geraten wird”.
- Dem EDÖB wären weitere Ressourcen zu wünschen. Es war ein Irrtum von Teilen der Wirtschaft zu glauben, der Wirtschaft sei mit einer geschwächten Behörde gedient. Die auffallende Zurückhaltung des EDÖB, im Bereich des Datenschutzes klare Positionen einzunehmen, führt zu Rechtsunsicherheit und damit eher zu weniger als zu mehr Spielraum der Wirtschaft. Allerdings ist diese Zurückhaltung nicht nur mit Ressourcenmangel zu erklären, sondern auch damit, dass der EDÖB nicht an die Stelle des Gesetzgebers treten will (“Dem EDÖB wiederum wird als Aufsichtsbehörde bei der Anwendung der Gesetzesbestimmungen mit Blick auf die Begründung einer einheitlichen und rechtsgleichen Praxis ohne weitere Präzisierung der Verordnung ein grosser Ermessensspielraum zufallen, mit dessen Ausschöpfung er sich dem Vorwurf aussetzen könnte, als Regulator tätig zu werden”). Zudem hat der EDÖB auf dem bisweilen schmalen Grat zwischen dem Nachvollzug einer streng ausgelegten DSGVO einerseits und einer eigenständigen, von der EU aber vielleicht kritisch beäugten schweizerischen Lösung andererseits zu wandeln, und Zurückhaltung muss dabei kein Fehler sein (vgl. dazu die Anmerkungen zur Stellungnahme des EDÖB i.S. SUVA). Zu wünschen wäre ein proaktiveres Handeln dennoch – der EDÖB hat die Aufgabe der Beratung, und nach Art. 58 Abs. 1 lit. g revDSG erarbeitet der EDÖB “Arbeitsinstrumente als Empfehlungen der guten Praxis zuhanden von Verantwortlichen, Auftragsbearbeitern und betroffenen Personen”. Es ist der Wille des Gesetzgebers, dass der EDÖB das Gesetz zwar nicht neu schreibt, bei seiner Auslegung und Anwendung aber Hilfe leistet.
- Der EDÖB wird zwei Meldeportale schaffen, eines für Meldungen von Verletzungen der Datensicherheit und eines für Datenschutzberater. Es wäre interessant zu wissen, welche Prozesse sich intern an solche Meldungen anschliessen.
- Interessant ist die Anmerkung, der EDÖB habe “keine Kompetenz, das Schweizer Strafgesetzbuch oder allfällig andere relevante Gesetze zu interpretieren” (im Zusammenhang mit einer Bekanntgabe von Daten an die SEC, die der EDÖB datenschutzrechtlich, aber nicht auch unter dem Gesichtspunkt des Bankkundengeheimnisses beurteilt hat). Die Botschaft von 1988 hielt fest, der Datenschutzbeauftragte habe “nicht nur die Einhaltung dieses Gesetzes, sondern auch aller weitern datenschutzrechtlichen Erlasse des Bundes zu überwachen. Damit sind bereits bestehendes und künftiges Spezialdatenschutzrecht, aber auch völkerrechtliche Verträge gemeint”. Mit anderen Worten ist das Gebiet des EDÖB das materielle und nicht das formelle Datenschutzrecht. Das liesse bei einer extensiven Auslegung auch eine Berücksichtigung des Strafrechts zu, allerdings mit der Gefahr, dass der Kompetenzbereich des EDÖB ausufert. Insofern ist seine Zurückhaltung hier sinnvoll (und steht im Einklang mit dem Helsana-Urteil des BVGer, wonach sich der Regelungsbereich des Datenschutzrechts auf Normen ausserhalb des Kerndatenschutzes nur erstreckt, wenn und soweit diese Normen “zumindest auch, direkt oder indirekt, den Schutz der Persönlichkeit einer Person bezweck[en]”. Eine klare Abgrenzung ist notwendig, und vor diesem Hintergrund ist die Aussage des EDÖB wohl zu verstehen. Spannend wird es sein zu sehen, ob der EDÖB Art. 62 revDSG als datenschutz- oder genuin geheimnisschutzrechtliche Norm lesen wird.
- Der EDÖB berichtet von mehreren laufenden Sachverhaltsabklärungen. Es entsteht der Eindruck, dass diese Verfahren länger dauern und sich der Gegenstand der Sachverhaltsabklärungen während ihrer Dauer bisweilen stark ändert. Solche moving targets wären an sich nur durch raschere Verfahrensführung zu bewältigen, aber es stellt sich erneut das Ressourcenproblem. Das ist für betroffene Unternehmen kein Vorteil. Zwar können etwaige Mängel einer Bearbeitung während einer Abklärung behoben werden, aber dabei besteht das Problem der Rechtsunsicherheit. Sinnvoll wäre ein stärkerer Dialog zwischen dem EDÖB und den Verantwortlichen während der Sachverhaltsabklärung, insbesondere auch mit Bezug auf rechtliche Überlegungen des EDÖB, von denen das Unternehmen erst nach der u.U. langwierigen Feststellung des Sachverhalts erfährt.