Der EDÖB hat sei­nen 26. Tätig­keits­be­richt (2018 / 2019) ver­öf­fent­licht, wie immer in drei Tei­le unter­teilt, (1) Daten­schutz, (2) Öffent­lich­keits­prin­zip und (3) EDÖB.

Her­vor­zu­he­ben sind aus Sicht der Unter­neh­men fol­gen­de Bemer­kun­gen des EDÖB:

  • Nach Infor­ma­tio­nen des EDÖB sind erste schwei­ze­ri­sche Unter­neh­men, die Daten von Per­so­nen im EWR bear­bei­ten, von loka­len Ver­fah­ren betrof­fen.
  • Der Auf­wand für Kon­trol­len bei Unter­neh­men war 2018 gesun­ken. Inzwi­schen liegt er wie­der auf dem Niveau von 2016/17, aber immer noch unter dem Durch­schnitt der Vorperi­oden.
  • Die Euro­päi­sche Kom­mis­si­on prüft der­zeit die Ange­mes­sen­heit des schwei­ze­ri­schen Daten­schutz­rechts. Ein Bericht ist auf Mai 2020 zu erwar­ten.
  • Die geplan­te Erwei­te­rung des auto­ma­ti­schen Infor­ma­ti­ons­aus­tau­sches über Finanz­kon­ten (AIA) ist „pro­ble­ma­tisch”, weil sämt­li­che der 18 zusätz­li­chen Part­ner­staa­ten kein ange­mes­se­nes Daten­schutz­ni­veau haben. Das ist vor­nehm aus­ge­drückt – stellt man die knap­pen Hin­wei­se in den Bot­schaf­ten zu den Erwei­te­run­gen des AIA-Net­z­werks auf das Daten­schutz­recht der Emp­fän­ger den Anfor­de­run­gen an die Ange­mes­sen­heit nach Art. 6 DSG oder auch der DSGVO gegen­über, offen­bart sich ein kras­ser Wer­tungs­wi­der­spruch. Das Ver­fah­ren des EDÖB gegen die Eid­ge­nös­si­sche Steu­er­ver­wal­tung EStV im Zusam­men­hang mit dem AIA (feh­len­de Infor­ma­ti­on mit­be­trof­fe­ner Per­so­nen) ist beim BVGer noch hän­gig.
  • Der Tätig­keits­be­richt äussert sich u.a. zu den fol­gen­den for­mel­len und infor­mel­len Abklä­run­gen des EDÖB:
    • Swiss betr. Abruf von Buchungs­da­ten über die Web­site;
    • Zen­tral­stel­le für Kreditin­for­ma­ti­on (ZEK): Erlass einer Emp­feh­lung betref­fend die Spei­che­rung von Kre­dit­ge­su­chen und Kar­ten­an­trä­ge, die aus Grün­den abge­lehnt wur­den, die nichts mit der Kre­dit­wür­dig­keit zu tun haben; von der ZEK akzep­tiert; im übri­gen hat der EDÖB kei­ne Daten­schutz­ver­let­zun­gen fest­ge­stellt.
    • Swis­s­com: Die Unter­su­chung des EDÖB der Mass­nah­men nach dem Daten­dieb­stahl im Dezem­ber 2017 wur­de ohne for­mel­le Mass­nah­men abge­schlos­sen.
    • EOS: Nach einem Daten­dieb­stahl bei EOS Schweiz hat­te der EDÖB eine Sach­ver­halts­ab­klä­rung eröff­net. Nach­dem EOS das betrof­fe­ne System ersetzt hat, wur­de das Ver­fah­ren ohne Emp­feh­lung abge­schlos­sen.
    • Tame­dia: Der EDÖB hat 2017 ein Ver­fah­ren zur Prü­fung eröff­net, ob die in der neu­en Daten­schutz­er­klä­rung von Ricardo.ch ent­hal­te­ne Ein­wil­li­gung wirk­sam war. Die Prü­fung der im Zusam­men­hang mit der DSGVO revi­dier­ten Daten­schutz­er­klä­rung ist noch im Gang.
  • Im Helsana+-Urteil hat das BVGer fest­ge­hal­ten, dass eine Daten­be­ar­bei­tung nur dann rechts­wid­rig im Sin­ne des DSG ist, wenn sie gegen eine Norm ver­stösst, die zumin­dest auch den Schutz der Per­sön­lich­keit bezweckt. Der EDÖB inter­pre­tiert die­sen Ent­scheid wie folgt: „Damit auf­er­legt das Bun­des­ver­wal­tungs­ge­richt dem EDÖB eine gewis­se Zurück­hal­tung bei der dyna­mi­schen Aus­le­gung des DSG von 1992 im Hin­blick auf digi­ta­le Appli­ka­tio­nen”. Die Erwä­gun­gen des BVGer sind aber nicht auf digi­ta­le Appli­ka­tio­nen beschränkt. Und wei­ter: “Das Urteil offen­bart damit die Gren­zen des in die Jah­re gekom­me­nen Geset­zes.” Bei­de Par­tei­en, die Helsa­na und der EDÖB, haben das Urteil nicht ange­foch­ten.
  • Eine Ein­wil­li­gung von Arbeit­neh­mern in die Aus­la­ge­rung von Per­so­nal­da­ten ins Aus­land sei „in der Regel nicht nötig und wäre auch nicht gül­tig”. Erfor­der­lich ist aber die umfas­sen­de Infor­ma­ti­on der Arbeit­neh­men­den. – Das ist rich­tig und ver­deut­licht gleich­zei­tig, dass ent­ge­gen ande­ren Aus­sa­gen des EDÖB auch bei der Bear­bei­tung beson­ders schüt­zens­wer­ter Per­so­nen­da­ten und von Per­sön­lich­keits­pro­fi­len – die von einer Aus­la­ge­rung häu­fig betrof­fen sind – im Grund­satz kei­ne Ein­wil­li­gung erfor­der­lich ist.

Posted by David Vasella

RA Dr. David Vasella ist Rechtsanwalt bei FRORIEP. Er ist auf IT-, Datenschutz- und Immaterialgüterrecht spezialisiert und ist Lehrbeauftragter der Universität Zürich. Er ist Gründer von swissblawg.