- EDÖB aktiv seit DSG-Einführung: Schwerpunkte lagen anfangs auf Einführungsarbeiten sowie der Bearbeitung altrechtlicher Abklärungen.
- Aufsichtsaufgaben fokussiert: Verschiedene Möglichkeiten wie formelle Untersuchungen und informelle Vorabklärungen nehmen an Bedeutung zu.
- Anzeigen wegen DSG-Verstößen: Bis 05.11.2024 wurden 1,183 Anzeigen eingereicht, wobei 889 bereits abgeschlossen sind.
- Niederschwellige Interventionen erfolgreich: 86 Interventionen durchgeführt, 90% wurden freiwillig befolgt, was wirksame Regulierung zeigt.
Der EDÖB hat einige Zahlen zu seiner Tätigkeit nach dem neuen DSG seit Inkrafttreten und bis zum Stichtag vom 05.11.2024 veröffentlicht (Medienmitteilung).
In einer ersten Phase nach dem Inkrafttreten und bis ins erste Quartal 2024 hat das Team des EDÖB in erster Linie Einführungsarbeiten des neuen Rechts bewältigt (bspw. Merkblätter, Wegleitungen etc.), neben den laufenden Aufgaben und der Bearbeitung der noch vorhandenen altrechtlichen Sachverhaltsabklärungen. Seither sind Aufsichtsaufgaben stärker in den Fokus gerückt, was in der Praxis deutlich bemerkbar wurde. Der EDÖB hat hierfür in Wesentlichen folgende Möglichkeiten:
- Formelle Untersuchung: formelle Untersuchung “von Personendatenbearbeitungen, die aufgrund von konkreten Anzeichen gegen die Datenschutzvorschriften des Bundes verstossen könnte” (eigentlich: Untersuchung vermuteter Verstösse gegen das Datenschutzrecht des Bundes, die zwar mit einer Datenbearbeitung zusammenhängen müssen – andernfalls wäre das DSG nicht anwendbar –, die aber nicht in der Bearbeitung selbst bestehen müssen; auch vermutete Verstösse gegen begleitende Pflichten können Gegenstand einer Untersuchung sein);
- Informelle Vorabklärung: “informelle Abklärung, ob die Voraussetzungen zur Eröffnung formeller Untersuchungen gegeben sind oder nicht”;
- Niederschwellige Intervention: “briefliche Einladung an die Verantwortlichen, bei einfachen Sachverhalten freiwillig zur raschen Herstellung der Datenschutzkonformität einer Bearbeitung beizutragen” – in der Praxis ein wirksames Vorgehen, denn auch wenn man sich vor einer Untersuchung nicht fürchten müsste, sind Aussagen des EDÖB auch ausserhalb einer Untersuchung faktisch von Gewicht, weshalb auch niederschwellige Aktivitäten faktisch eine Form der Regulierung darstellen. Rechtliche Würdigungen sollte der EDÖB in solchen niederschwelligen Interventionen deshalb nur mit Vorsicht aufnehmen (bspw. ob in einer bestimmten, in diesem Stadium nicht untersuchten Konstellation eine gemeinsame Verantwortung vorliegt oder eine Anpassung von Bearbeitungstätigkeiten erforderlich sei).
Nicht in Frage kommt dagegen ein Strafantrag, dieses Recht hat der EDÖB nicht, aber bei den wenigen Offizialdelikten ein Anzeigerecht.
Der EDÖB hat in der Zwischenbilanz folgende Zahlen veröffentlicht:
Anzeigen und Meldungen
Eingegangene Anzeigen wegen Verletzungen des DSG: 1,183
- in Bearbeitung: 294
- abgeschlossen: 889
Eingegangene Data Breach Meldungen: 293
Aufsichtshandlungen
Niederschwellige Interventionen: 86
- freiwillig befolgt: ca. 90%
Nach neuem Recht eröffnete Vorabklärungen und Untersuchungen: 26
- abgeschlossen: 7
Nicht bekannt sind bspw. folgende Zahlen:
- Anzahl Interventionen nach der Meldung einer Verletzung der Datensicherheit
- Gegenstand der Untersuchungen aufgeschlüsselt nach Bearbeitungsgrundsätzen, Betroffenenrechten und Governance-Pflichten
- Anzahl Strafanzeigen bei Offizialdelikten (vermutlich noch keine oder fast keine)
- Prozentsatz freiwilliger Meldungen von Sicherheitsverletzungen
- Art der gemeldeten Sicherheitsverletzungen
- Anzahl gemeldeter Datenschutzberater vs. Anzahl meldepflichtiger Organisationen (Bundesbehörden einschliesslich verwaltungsexterner Organisationen wie bspw. Sozialversicherungsträgern)
- Anzahl Zugangsgesuche beim EDÖB nach dem BGÖ mit Bezug auf Anzeigen, Meldungen und Aufsichtshandlungen (jedenfalls nicht null)