Der EDÖB hat seinen 26. Tätigkeitsbericht (2018 / 2019) veröffentlicht, wie immer in drei Teile unterteilt, (1) Datenschutz, (2) Öffentlichkeitsprinzip und (3) EDÖB.
Hervorzuheben sind aus Sicht der Unternehmen folgende Bemerkungen des EDÖB:
- Nach Informationen des EDÖB sind erste schweizerische Unternehmen, die Daten von Personen im EWR bearbeiten, von lokalen Verfahren betroffen.
- Der Aufwand für Kontrollen bei Unternehmen war 2018 gesunken. Inzwischen liegt er wieder auf dem Niveau von 2016/17, aber immer noch unter dem Durchschnitt der Vorperioden.
- Die Europäische Kommission prüft derzeit die Angemessenheit des schweizerischen Datenschutzrechts. Ein Bericht ist auf Mai 2020 zu erwarten.
- Die geplante Erweiterung des automatischen Informationsaustausches über Finanzkonten (AIA) ist „problematisch”, weil sämtliche der 18 zusätzlichen Partnerstaaten kein angemessenes Datenschutzniveau haben. Das ist vornehm ausgedrückt – stellt man die knappen Hinweise in den Botschaften zu den Erweiterungen des AIA-Netzwerks auf das Datenschutzrecht der Empfänger den Anforderungen an die Angemessenheit nach Art. 6 DSG oder auch der DSGVO gegenüber, offenbart sich ein krasser Wertungswiderspruch. Das Verfahren des EDÖB gegen die Eidgenössische Steuerverwaltung EStV im Zusammenhang mit dem AIA (fehlende Information mitbetroffener Personen) ist beim BVGer noch hängig.
- Der Tätigkeitsbericht äussert sich u.a. zu den folgenden formellen und informellen Abklärungen des EDÖB:
- Swiss betr. Abruf von Buchungsdaten über die Website;
- Zentralstelle für Kreditinformation (ZEK): Erlass einer Empfehlung betreffend die Speicherung von Kreditgesuchen und Kartenanträge, die aus Gründen abgelehnt wurden, die nichts mit der Kreditwürdigkeit zu tun haben; von der ZEK akzeptiert; im übrigen hat der EDÖB keine Datenschutzverletzungen festgestellt.
- Swisscom: Die Untersuchung des EDÖB der Massnahmen nach dem Datendiebstahl im Dezember 2017 wurde ohne formelle Massnahmen abgeschlossen.
- EOS: Nach einem Datendiebstahl bei EOS Schweiz hatte der EDÖB eine Sachverhaltsabklärung eröffnet. Nachdem EOS das betroffene System ersetzt hat, wurde das Verfahren ohne Empfehlung abgeschlossen.
- Tamedia: Der EDÖB hat 2017 ein Verfahren zur Prüfung eröffnet, ob die in der neuen Datenschutzerklärung von Ricardo.ch enthaltene Einwilligung wirksam war. Die Prüfung der im Zusammenhang mit der DSGVO revidierten Datenschutzerklärung ist noch im Gang.
- Im Helsana+-Urteil hat das BVGer festgehalten, dass eine Datenbearbeitung nur dann rechtswidrig im Sinne des DSG ist, wenn sie gegen eine Norm verstösst, die zumindest auch den Schutz der Persönlichkeit bezweckt. Der EDÖB interpretiert diesen Entscheid wie folgt: „Damit auferlegt das Bundesverwaltungsgericht dem EDÖB eine gewisse Zurückhaltung bei der dynamischen Auslegung des DSG von 1992 im Hinblick auf digitale Applikationen”. Die Erwägungen des BVGer sind aber nicht auf digitale Applikationen beschränkt. Und weiter: “Das Urteil offenbart damit die Grenzen des in die Jahre gekommenen Gesetzes.” Beide Parteien, die Helsana und der EDÖB, haben das Urteil nicht angefochten.
- Eine Einwilligung von Arbeitnehmern in die Auslagerung von Personaldaten ins Ausland sei „in der Regel nicht nötig und wäre auch nicht gültig”. Erforderlich ist aber die umfassende Information der Arbeitnehmenden. – Das ist richtig und verdeutlicht gleichzeitig, dass entgegen anderen Aussagen des EDÖB auch bei der Bearbeitung besonders schützenswerter Personendaten und von Persönlichkeitsprofilen – die von einer Auslagerung häufig betroffen sind – im Grundsatz keine Einwilligung erforderlich ist.