Tätigkeitsbericht 2018/19 - Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
26. Tätigkeitsbericht 2018/19 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
Tätigkeitsbericht 2018/2019 des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte hat der Bundesversammlung periodisch einen Bericht über seine Tätigkeit vorzulegen (Art. 30 DSG). Der vorliegende Bericht deckt den Zeitraum zwischen 1. April 2018 und 31. März 2019 ab.
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
Vorwort
Die Schweiz belegt in den Rankings zur digitalen Wettbewerbsfähigkeit des
World Economic Forum und des World Competitiveness Center vorderste
Ränge. Damit unser Land seine Position behaupten kann, formuliert der Bun-
desrat Strategien und Aktionspläne, welche die Digitalisierung von Wirtschaft
und Staat voranbringen sollen.
Aber auch der Datenschutz bietet Chancen für den Innovationsstandort
Schweiz. Mit technischen Neuheiten, welche den Schutz der Privatsphäre und
die digitale Selbstbestimmung der Menschen sicherstellen, lassen sich eben-
falls Punkte sammeln.
Im Wettlauf der Innovation sollten wir indessen nicht vergessen, die beste-
henden Standortvorteile zu bewahren: Dank einer weitsichtigen Leistung des
Gesetzgebers erhielt die Eidgenossenschaft 1992 – vor bald dreissig Jahren
– ein international anerkanntes Datenschutzgesetz, das es der Schweizer
Wirtschaft bis heute ermöglicht, mit den Unternehmen wichtiger Handels-
nationen ohne weitere gesetzliche Auflagen und Restriktionen Daten
auszutauschen.
Daten sind ein begehrtes Gut, und die Digitalisierung wirkt sich tiefgreifend
auf die Privatsphäre der weltweit rund vier Milliarden Internetnutzer aus.
Angesichts dieser Realität haben die Staaten des Europäischen Wirtschafts-
raums den Datenschutz für ihre Bevölkerung erhöht und im Mai 2018 verein-
heitlichte, zeitgemässe Regeln in Kraft gesetzt. Diese erlauben es ihren Unter-
nehmen weiterhin, ungehindert den grenzüberschreitenden Datenaustausch
zu pflegen, an dem inzwischen auch japanische und – im begrenzten Rahmen
des Privacy Shield Übereinkommens – zertifizierte US-amerikanische Firmen
teilnehmen.
Dass als ambitiöser Bildungs-, Technologie- und Wirtschaftsstandort auch
die Schweiz weiterhin beim ungehinderten Datenaustausch dabei ist, wird
allgemein erwartet. Im September 2017 hat der Bundesrat mit seiner Botschaft
zur Totalrevision des Bundesgesetzes über den Datenschutz denn auch den
parlamentarischen Gesetzgebungsprozess eingeleitet. Seither liegt der Ball
bei den eidgenössischen Räten. Sie haben es in der Hand, das Schutzniveau
der Daten unserer Bevölkerung nun jenem im umliegenden Europa anzupassen.
Wenn diese Arbeit getan und unsere Bürgerinnen und Bürger angemessen
geschützt sind, wird auch der Zugang der Wirtschaft zum freien Austausch
von Daten gesichert und die Reputation der Schweiz als wettbewerbsfähige
digitale Nation gewahrt sein.
Adrian Lobsiger
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
26. Tätigkeitsbericht 2018/19
Inhaltsverzeichnis
Aktuelle Herausforderungen...................... 6
Datenschutz
1.1 Digitalisierung und Grundrechte............. 14 1.5 Gesundheit.............................................. 38
–– Revision des Bundesgesetzes über den Datenschutz –– Statistikprojekt mit E inzeldatensätzen der
(DSG) Versicherer (BAGSAN)
–– Datenschutz-Leitfaden im Kontext von Wahlen und –– Neue Aufgaben durch elektronisches Patientendossier
Abstimmungen –– Bonusprogramm «Helsana+» auf dem Prüfstand:
–– Systematische Verwendung der AHV-Nummer Teilerfolg vor Bundesverwaltungsgericht
durch die Behörden –– Rasant wachsende Datenmengen in der
–– Eckwerte für eine Datenpolitik der Schweiz «personalisierten Gesundheit» bergen Risiken
–– Datenverknüpfungen im Bereich Statistik
1.6 Arbeit..................................................... 42
Schwerpunkt I. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 –– Outsourcing: Bearbeitung von Personaldaten
Elektronischer Identitätsnachweis (E-ID) im Ausland
Die «SwissID» –– Online-Bewerbungsverfahren und Bewerbungs
gespräche: Was ist zu beachten?
1.2 Justiz, Polizei, Sicherheit................... 22 –– Bekämpfung der Schwarzarbeit im Kanton Wallis
–– Polizeimassnahmen gegen Terrorismus
1.7 Versicherungen........................................ 45
–– Beim Swiss-US Privacy Shield sind Verbesserungen
–– Neuer Observationsartikel für Sozialversicherungen
angezeigt
–– SUVA: Mehr Transparenz bei Forschung mit
–– Bekanntgabe von Flugpassagierdaten in EU-Staaten
Versichertendaten
–– Swiss-Buchungssystem – Massnahmen gegen
Datenmissbrauch gefordert 1.8 Verkehr................................................... 47
Schwerpunkt II. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 –– Multimodale Mobilität – Wahrung der informationellen
Selbstbestimmung ein Muss
Schengen-Datenschutzgesetz in Kraft
–– Datenschutzkonformität bei neuen Apps im
Schengen-Evaluation der Schweiz – ausreichende Mittel
öffentlichen Verkehr
für Datenschutz gefordert
–– Automatische Fahrzeugfahndung und Verkehrs 1.9 International......................................... 49
überwachung –– Aufsichtskoordinationsgruppen über die
Informationssysteme SIS II, VIS und Eurodac
1.3 Steuer- und Finanzwesen.......................... 31 –– Arbeitsgruppe «Border, Travel & Law Enforcement»
–– Bekanntgabe von Personendaten an ausländische –– Koordinationsgruppe der schweizerischen
Steuerbehörden Datenschutzbehörden im Rahmen von Schengen
–– Beschwerde gegen das EFD im ESTV-Fall noch hängig –– Internationale Konferenz der Datenschutzbeauftragten
–– Empfehlung an Zentralstelle für Kreditinformation –– Europäische Konferenz der Datenschutzbeauftragten
(ZEK) erlassen
–– Arbeitsgruppe der OECD über die Informations
sicherheit und den Schutz der Privatsphäre
1.4 Handel und Wirtschaft............................. 35
–– Französischsprachige Vereinigung der Datenschutz
–– Datendiebstahl bei Swisscom ohne formelle
behörden (AFAPDP)
Massnahmen abgeschlossen
–– Datendiebstahl bei EOS – unnötig gespeicherte Schwerpunkt III . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
Patientendaten Die DSGVO – in gewissen Fällen auch in
–– Verwendung der Daten von ricardo.ch in der Schweiz anwendbar
der Tamedia-Gruppe Europarat – Die Schweiz sollte das angepasste
–– Sachverhaltsabklärung bei Smart-TV-Hersteller Übereinkommen so bald wie möglich unterzeichnen
abgeschlossen
–– Decathlon – verbesserte Information bei Daten
beschaffung nötig
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
Inhaltsverzeichnis
Öffentlichkeitsprinzip Der EDÖB
2.1 Allgemein................................................ 60 3.1 Aufgaben und Ressourcen.......................... 70
–– Leistungen und Ressourcen im Bereich Datenschutz
2.2 Zugangsgesuche – stetige Zunahme............ 61 –– Leistungen und Ressourcen im Bereich
Öffentlichkeitsgesetz
2.3 Schlichtungsverfahren – hoher Anteil
einvernehmlicher Lösungen...................... 64 3.2 Kommunikation......................................... 74
–– Dauer der Schlichtungsverfahren –– Rege Sensibilisierungstätigkeit und grosse mediale
–– Anteil einvernehmlicher Lösungen Aufmerksamkeit
–– Anzahl hängiger Fälle –– Datenschutzbehörden von Bund und Kantonen traten
am Internationalen Datenschutztag gemeinsam auf
2.4 Ämterkonsultation und weitere –– Diverse Leitfäden und Empfehlungen publiziert
Stellungnahmen........................................ 66 –– Website nach wie vor wichtigster Kanal unserer
–– Totalrevision des Bundesgesetzes über das Kommunikation
öffentliche Beschaffungswesen
–– Ämterkonsultation zur Genehmigung von 3.3 Statistiken............................................ 76
Tarifstrukturen in der Krankenversicherung –– Statistiken über die Tätigkeiten des EDÖB vom
1. April 2018 bis 31. März 2019 (Datenschutz)
–– Statistiken über eingereichte Zugangsgesuche
nach Öffentlichkeitsgesetz vom 1. Januar 2018 bis
am 31. Dezember 2018
–– Übersicht der Zugangsgesuche der Departemente
und der Bundeskanzlei
–– Anzahl Schlichtungsgesuche nach Kategorien
der Antragssteller
–– Zugangsgesuche der gesamten Bundesverwaltung
3.4 Organisation EDÖB................................... 83
Abkürzungsverzeichnis............................ 84
Abbildungsverzeichnis............................ 85
Impressum
In der Klappe
Die wichtigsten Zahlen und Fakten
Anliegen des Datenschutzes
26. Tätigkeitsbericht 2018/19
Aktuelle Herausforderungen
Aktuelle Herausforderungen
I Digitalisierung
Die Bearbeitung von Personendaten sorgen, die sie in die Lage versetzen, Gesellschaft und
wird weiterhin von der dynamischen die Analyse des Benutzerverhaltens Datenpolitik
Weiterentwicklung der Informations- laufend zu intensivieren und auf den
und Telekommunikationstechnologie Online-Werbemärkten astronomi- Weiter akzentuiert hat sich im
in der global vernetzten Wirtschaft sche Umsätze zu erzielen. Während Berichtsjahr die öffentliche Kritik an
geprägt, die den Alltag der Schweizer mit der gezielten Zuspielung von den Betreibern sozialer Plattformen
Bevölkerung bei Arbeit, Konsum und kommerziellen und weltanschauli- und Anbietern von Suchmaschinen,
Freizeit in hohem Masse beeinflusst. chen Botschaften die Datenschutzri- die das erwähnte Geschäftsmodell der
siken für die Nutzer steigen, gehen Datenabschöpfung gegen «Gratis»-
die Werbeeinnahmen der Zeitungen Dienstleistungen im globalen Umfang
Technologie und Wirtschaft sowie von Radio und Fernsehen betreiben.
zurück. Angesichts der anwachsenden
Das technische und wirtschaftliche • Nachdem in der Schweiz tätige Tele- Mengen von erhobenen Kundendaten
Potenzial für Eingriffe in die Privat- kom-Gesellschaften angekündigt und der zunehmenden Komplexität
sphäre und Selbstbestimmungsrechte haben, die Netzinfrastruktur für und Autonomie der Analysetechnolo-
der Bevölkerung bleibt hoch, was der Bandbreiten der fünften Generation gien gestaltet sich die Gewährleistung
Beauftragte schwergewichtig auf zwei (5G) auszurüsten, wird 5G-Technik eines hinreichenden Datenschutzes
Entwicklungen zurückführt: bald Realität und damit Kapazität für die kritisierten Betreiber zuneh-
• Das Internet ermöglicht Geschäfts- und Geschwindigkeit der mobilen mend anspruchsvoll: Zum einen müs-
modelle, mit denen heute weltweit Datenströme ein weiteres Mal sen sie ihre Kunden leicht verständlich
rund vier Milliarden Benutzer ange- gewaltig erhöhen. Der bereits in der und vollständig über die Bearbeitung
sprochen werden. In den von ameri- Vorperiode thematisierte Trend ihrer Daten informieren. Zum anderen
kanischen Tech-Firmen wie Google, rasch anwachsender Mengen von müssen sie den Kunden hinreichende
Amazon und Facebook geprägten verknüpften Geräten mit Sensoren, Gestaltungsmöglichkeiten einräumen,
Märkten hat sich für die Erbringung die Bild, Ton oder Positions- und damit diese alle Aspekte der Bearbei-
internetgestützter Kommunikati- weitere Daten im privaten und tung freiwillig genehmigen oder
ons- und Informationsdienstleis- öffentlichen Raum aufzeichnen und ablehnen können. Um dieser Verant-
tungen eine Art «Gratis»-Modell künstlichen Intelligenzen zuführen, wortung gerecht zu werden, müssen
durchgesetzt. Statt ihre Online- wird sich somit noch beschleunigen. die Anbieter Investitionen in daten-
Dienste in Rechnung zu stellen, las- schutzfreundliche Applikationen täti-
sen sich die Anbieter von ihren Kun- gen, die ihre Kunden mit wenigen
den Benutzerdaten abtreten. Diese Klicks zu den nötigen Informationen
Daten bearbeiten die Anbieter mit- und Wahlmöglichkeiten führen. Der
hilfe von Algorithmen und entspre- Schutz der Privatsphäre und Selbstbe-
chenden Analyse-Methoden weiter, stimmung der Kunden muss also früh-
um den Kunden zielgerichtet Wer- zeitig und benutzerfreundlich in die
bebotschaften zustellen zu können. digitalen Produkte eingebaut werden.
Die Werbeplätze versteigert der
Anbieter an die bestzahlenden Drit-
ten. Einige wenige von ihnen verfol-
gen dieses Geschäftsmodell mit Anbieter, die sich mit regulatorischen Lippenbekenntnissen
derart grossem Erfolg, dass Milliar- und der mechanischen Abarbeitung von Schutzanliegen
den von Kunden ihre weltweiten
«Gratis»-Dienste in Anspruch neh-
begnügen, spielen mit dem Vertrauen ihrer Kunden
men. Sie können ihre Algorithmen und w
erden früher oder später die Aufmerksamkeit unserer
mit Strömen von Kundendaten ver- Behörde auf sich ziehen.
6 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
Aktuelle Herausforderungen
In den Mitgliedstaaten des EWR sind Gesetzgebung Der Beauftragte hat sich in der staats-
die Datenschutzbehörden im Berichts- politischen Kommission des National-
jahr dazu übergegangen, Unterneh- In der Schweiz lässt der Abschluss der rats, auf deren Einladung er bei den
men für die vernachlässigte Gewäh- Beratung der vom Bundesrat im Sep- Beratungen des DSG teilnimmt, stets
rung von Transparenz und Selbstbe- tember 2017 vorgelegten Totalrevi- für eine baldige Anhebung des Daten-
stimmung mit empfindlichen Bussen sion des Datenschutzgesetzes (DSG) schutzniveaus zu Gunsten der Schwei-
zu belegen, welche die im Mai 2017 in durch die staatspolitische Kommission zer Bevölkerung und demzufolge
Kraft getretene europäische Daten- des erstberatenden Nationalrats nach einen zügigen Abschluss der parla-
schutzgrundverordnung (DSGVO) wie vor auf sich warten. Nachdem mentarischen Beratungen ausgespro-
vorsieht. Nach ersten Informationen diese die Vorlage zur Totalrevision mit chen. Wann dies der Fall sein wird, ist
des EDÖB sind inzwischen auch Entscheid vom 12. Januar 2018 in indessen schwer absehbar.
Schweizer Unternehmen, welche zwei Teile aufspaltete und in einem Wenngleich gewisse Kreise der
Daten von Einwohnern im EWR bear- ersten Schritt die Änderungen behan- Wirtschaft das aus dem Jahre 1992
beiten, von Verfahren der dortigen delte, die für die Übernahme des sog. stammende DSG und die Befugnisse
Datenschutzbehörden betroffen. Wei- Schengen-Besitzstands erforderlich unserer Behörde für ausreichend
ter befassen sich dort auch die Wettbe- sind, haben die Eidgenössischen Räte erachten mögen, trifft der EDÖB in
werbsbehörden zunehmend mit der ein neues Bundesgesetz über die seinen Kontakten mit grenzüber-
Bearbeitung von Daten. In der Umsetzung der Richtlinie (EU) schreitend tätigen, grossen und klei-
Berichtsperiode forderte das deutsche 2016/680 oder Schengen-Daten- nen Schweizer Unternehmen auf eine
Bundeskartellamt die Firma Facebook schutzgesetz (SDSG) verabschiedet. ausgeprägte Bereitschaft, in einen
aufgrund ihrer als marktbeherrschend Dieses Sondergesetz, dessen Geltung glaubwürdigen betrieblichen Daten-
eingestuften Stellung auf, die Zustim- sich auf die Datenbearbeitung der schutz zu investieren. Diese, von der
mung zu ihren Nutzungsbedingungen Strafverfolgungsbehörden des Bundes Totalrevision unmittelbar betroffenen
von anderen Diensten des Konzerns zu beschränkt, ist am 1. März 2019 in Unternehmen wollen auch ihrer
entkoppeln. Kraft getreten. Es soll dereinst durch Schweizer Kundschaft einen den
Es wird sich zeigen, ob die markt- das totalrevidierte DSG wieder aufge- erneuerten europäischen Standards
mächtigen Plattformen angesichts des hoben werden. Nachdem unsere entsprechenden Schutz bieten. Sie
aufsichtsbehördlichen Drucks und der Behörde durch dieses Gesetz bezüglich wissen auch, dass sich Datenbearbei-
öffentlichen Kritik am System der der besonders sensiblen Bearbeitung tungsprojekte in der digitalen Realität
«Gratisdienstleistungen» festhalten von Personendaten im Polizeibereich nur unter Anwendung zeitgemässer
werden. Eine aus Sicht des Daten- mit zusätzlichen Aufgaben und Befug- Instrumente wie der Datenschutz-
schutzes gangbare Alternative sind nissen betraut wurde, wird sie Folgenabschätzung risikogerecht
Geschäftsmodelle, die bezahlende namentlich bei der Kontrolle der abwickeln und gegenüber der Kund-
Kunden von profilbildenden Daten- Datenbearbeitung durch das Bundes- schaft kommunizieren lassen.
auswertungen und personalisierten amt für Polizei, fedpol, einen Schwer- Und entsprechend lange werden
Zustellungen von Werbebotschaften punkt setzen müssen. Ob der Bundes- ihre kleinen, mittleren und grossen
ausnehmen. Solche Bezahlsysteme las- rat unserer Behörde dafür die bean- Konkurrenten in den Staaten der EU
sen sich sowohl über dezentral kont- tragten, zusätzlichen Mittel zuspre- und des EWR ihren diesbezüglichen
rollierte Crypto-Währungen als auch chen wird, stand zur Zeit der Druckle- Wettbewerbsvorteil zu nutzen wissen.
über das Bankensystem betreiben und gung dieses Berichts noch nicht fest.
sind etwa in China bereits verbreitet,
weil dortige Plattformbetreiber auf
Online-Vertragsabwicklungen Kom-
missionen erheben.
26. Tätigkeitsbericht 2018/19 7
Aktuelle Herausforderungen
II Beratungs- und Kontrolltätigkeit
Damit der EDÖB als Aufsichtsbehörde Nachdem die Aufwendungen für die Einen besonderen Beratungsschwer-
sicherstellen kann, dass Personenda- Kontrollaufgaben in der Vorperiode punkt hat der EDÖB mit Blick auf die
ten nicht mit der technisch machbaren, deutlich absanken, konnten diese wie- eidgenössischen Erneuerungswahlen
sondern rechtlich zulässigen Intensität der auf den Stand der Periode von im Herbst 2019 gesetzt, indem er im
bearbeitet werden, verlangt er von den 2016/17 angehoben werden. Sie lie- Dezember 2018 zusammen mit den
Verantwortlichen digitaler Applika gen jedoch immer noch unter dem kantonalen Datenschutzbehörden
tionen, dass sie hohe datenschutz- langjährigen Durchschnittswert der einen Leitfaden zur Anwendung des
rechtliche Risiken bereits im Planungs- Vorperioden. Angesichts der anhal- Datenschutzrechts auf die digitale
und Projektstadium minimieren tend knappen Mittelausstattung unse- Personendatenbearbeitung im Kontext
und gegenüber der betrieblichen und rer Behörde war dieser Anstieg nur von Wahlen und Abstimmungen pub-
behördlichen Datenschutzaufsicht unter Kürzung anderer Leistungen zu lizierte (www.edoeb.admin.ch/
dokumentieren. Vor diesem Hinter- bewerkstelligen. Auch in der aktuellen wahlen). Der Leitfaden ruft darin allen
grund haben wir denn auch in der Berichtsperiode vermochte der EDÖB Akteuren ins Bewusstsein, dass perso-
aktuellen Berichtsperiode die Beglei- die berechtigten Erwartungen der nenbezogene Daten zu politischen
tung einer Vielzahl von Big-Data- Öffentlichkeit nach aufsichtsrechtli- und weltanschaulichen Ansichten
Projekten von Bundesbehörden und chen Massnahmen hinsichtlich der einem höheren Schutzniveau unterlie-
privaten Unternehmen fortgesetzt. Bearbeitung von Personendaten durch gen, als solche, die im kommerziellen
Nicht zuletzt um den eigenen Konsumenten-Apps und soziale Netz- Kontext bearbeitet werden. Die politi-
Arbeitsaufwand zu senken, wirkt der werke nicht im gewünschten Mass zu schen Parteien sind in Anbetracht
Beauftragte mit Blick auf Grossvorha- erfüllen (vgl. «Aufgaben und Ressour- ihrer zentralen Rolle bei der Durch-
ben, die mit hohen Datenschutzrisi- cen», Ziff. 3.1). führung der eidgenössischen Erneue-
ken verbunden sind, weiterhin auf den rungswahlen vom Herbst 2019 aufge-
selbstverantwortlichen Einsatz rufen, mit Blick auf den Datenschutz
moderner Arbeitsinstrumente wie der eine Vorbildfunktion wahrzunehmen.
Datenschutzfolgenabschätzung und
gegebenenfalls auch die Einsetzung
betrieblicher Datenschutzorgane hin.
Dennoch ist der Anteil unserer
Gesamtaufwendungen für die bera-
tende Begleitung von privatwirt-
schaftlichen Projekten im Berichtsjahr
weiter angestiegen.
Je länger die Schweiz die Arbeitsinstrumente des
modernen Datenschutzes nicht explizit in ihrer Daten
schutzgesetzgebung verankert, desto öfter werden
sich hiesige Unternehmen – unbesehen ihrer tatsächlichen
Investitionen in den Datenschutz – mit kritischen
Fragen nach dem regulatorischen Schutzniveau ihres
Sitzstandorts konfrontiert sehen.
8 Eidgenössischer Datenschutz- und ÖffentlichkeitsbeauftragterAktuelle Herausforderungen
III Nationale und internationale Kooperation
Der EDÖB hat seine Zusammen behörden bis auf Weiteres nur über die Evaluation des
arbeit mit den kantonalen und kom- im DSG von 1992 vorgesehenen Datenschutzniveaus
munalen Datenschutzstellen, die Empfehlungsbefugnisse. Auch seine
mit den g leichen Entwicklungen und Mittel sind seit dem Jahre 2005 im Die Europäische Kommission über-
Technologien zur Bearbeitung von Per- Wesentlichen unverändert geblieben prüft das Datenschutzniveau von
sonendaten konfrontiert sind, weiter (vgl. Ziff. 3.1). Erschwerend kommt Drittländern und hat der Schweiz
intensiviert. Als Beispiele sind hier zu hinzu, dass die Europäische Kommis- letztmals im Jahre 2000 attestiert,
nennen: die Schengen-Evaluation (vgl. sion mit der Evaluation des schweize- dass ihr Datenschutzniveau angemes-
Ziff. 1.2), der Leitfaden zu den Wahlen rischen Datenschutzniveaus einge- sen ist. Unternehmen in der EU kön-
(Ziff. 1.1) oder die gemeinsame Durch- setzt hat (s. rechts). nen deshalb Personendaten ohne wei-
führung des Internationalen Daten- Mit Inkrafttreten der DSGVO hat tere Massnahmen mit Firmen in der
schutztages (Ziff. 3.2). sich die vormalige «Artikel 29»- Schweiz austauschen. Zurzeit ist die
Gruppe der EU-Datenschutzbehörden Kommission daran, die Angemessen-
neu als Europäischer Datenschutz heit des Schweizer Datenschutzni-
Neues Europäisches ausschuss (EDSA) konstituiert. Kern- veaus gestützt auf die in der DSGVO
Datenschutzrecht aufgabe des EDSA ist es, die einheitli- aufgelisteten Kriterien erneut zu eva-
che Anwendung der DSGVO sicher- luieren. Sie hat angekündigt, den
Am 25. Mai 2018 ist die DSGVO in zustellen. Der Wunsch des EDÖB, bei Angemessenheitsentscheid im Mai
Kraft getreten, die unter gewissen den Sitzungen generell als Beobachter 2020 in Berichtsform zu veröffentli-
Voraussetzungen auch für Bearbeitun- zugelassen zu werden, wurde abge- chen. Die Mitwirkung der Schweiz an
gen durch schweizerische Unterneh- lehnt. Unsere Teilnahme wird sich der Evaluation wird vom Bundesamt
men Anwendung findet. Im Herbst somit auf Plenarsitzungen und nur für für Justiz koordiniert und vom EDÖB
2017 hat der EDÖB ein Merkblatt Punkte, die für den Schengen-Besitz- unterstützt, indem er erbetene Infor-
veröffentlicht, das insbesondere auf stand relevant sind, beschränken. mationen bereit stellt (vgl. Ziff. 1.9).
die extraterritoriale Geltung des neuen
EU-Rechts eingeht und laufend aktua-
lisiert wird (www.edoeb.admin.ch/
dsgvo). Wir werden weiterhin alles
daransetzen, die betroffenen Schwei-
zer Unternehmen bei der Anwendung
der DSGVO mit Rat und Tat zu beglei-
ten und als Aufsichtsbehörde eine
auch im Ausland sichtbare Wirkung
zu entfalten.
Die andauernde Übergangszeit bis
zum Inkrafttreten der immer noch
hängigen Totalrevision des DSG (vgl.
Ziff 1.1 und 3.1) gestaltet sich nach
wie vor als herausfordernd für den
EDÖB. Während die personell ver-
stärkten Datenschutzbehörden in den
Staaten des EWR inzwischen ihre
neuen Verfügungs- und Sanktionsbe-
fugnisse zum Tragen bringen (vgl. Ziff.
II), verfügt der EDÖB gegenüber der
Wirtschaft und dem Gros der Bundes-
26. Tätigkeitsbericht 2018/19 9Aktuelle Herausforderungen
Vor dem Hintergrund der laufenden Swiss-US Privacy Shield
Evaluation wäre es für die Schweiz von
Vorteil, wenn diese nicht mehr auf der Im Herbst 2018 haben wir im Rahmen
Grundlage des aus dem Jahre 1992 einer vom Seco angeführten Delega-
stammenden, sondern des totalrevi- tion das aufsichtsbehörliche Review
dierten DSG vorgenommen werden für das Swiss-US Privacy Shield
könnte, dessen Behandlung durch die durchgeführt, das im Anschluss an das
Kommission des erstberatenden Nati- zweite Review des EU-US Privacy
onalrats aber noch aussteht (vgl. Ziff. I). Shields in Brüssel erfolgt ist. Obschon
Weiter wäre es von Vorteil, wenn der im Review Schwachstellen aufgezeigt
Bundesrat davon Gebrauch machen wurden, konnte die Funktionsweise
würde, dass das modernisierte Über- des Privacy Shields seit dessen Inkraft-
einkommen zum Schutz des Men- setzung verbessert werden (vgl. Text
schen bei der automatischen Verarbei- «Beim Swiss-US Privacy Shield sind
tung personenbezogener Daten (Über- gewisse Verbesserungen angezeigt»,
einkommen 108) des Europarates seit Ziff. 1.2).
Oktober 2018 zur Unterzeichnung
aufliegt, hat doch die Europäische
Kommission wiederholt darauf hinge-
wiesen, dass die Ratifizierung dieses
modernisierten Übereinkommens ein
entscheidendes Kriterium für den
Angemessenheitsentscheid darstellt
(s. Ziff. 1.9).
Die Stimmberechtigten haben Anspruch darauf, nachvoll
ziehen zu können, aufgrund welcher Datenbestände und
welcher digitaler Bearbeitungsmethoden und Technologien
sie von den Parteien oder diesen nahe stehenden Dritten
angesprochen werden.
10 Eidgenössischer Datenschutz- und ÖffentlichkeitsbeauftragterAktuelle Herausforderungen
IV Massnahmen zur Effizienzsteigerung
Aufgrund der erwähnten Herausforde- Der EDÖB nimmt seine gesetzlichen Verfahren im Bereich des
rungen bekräftigt der Beauftragte das Aufgaben als Aufsichtsbehörde auto- Öffentlichkeitsgesetzes
strategische Ziel, seine gesetzlichen nom wahr. Unterstützende logistische (BGÖ)
Aufgaben in der digitalen Realität fach- und administrative Leistungen bezieht
kompetent, unabhängig und proaktiv er indessen von der Bundeskanzlei, Der EDÖB ist nach Durchführung
wahrzunehmen. welche diese nach Massgabe der allge- eines einjährigen Versuchs zu einem
meinen Standards der Bundesverwal- beschleunigten und summarischen
tung erbringt. In diesem Sinne wurde Verfahren übergegangen, das sich
Organisation und Geschäfts der EDÖB von der Bundeskanzlei dadurch charakterisiert, dass in der
kontrolle der Behörde auch bei der Einführung des neuen Regel mündliche Schlichtungsver-
Geschäftsverwaltungssystems Acta handlungen durchgeführt werden.
Die am 1. April 2017 in Kraft gesetzte Nova betreut, die im September 2018 Dieses Verfahren bewährt sich weiter-
Reorganisation der Behörde hat sich erfolgreich abgeschlossen werden hin, indem der Anteil der einvernehm-
bewährt. Durch das an die Reorganisa- konnte. lich abgeschlossenen Schlichtungen
tion und die Befragung des Personals nach wie vor hoch und die Überschrei-
anschliessende Konsolidierungspro- tung der gesetzlichen Fristen im
gramm EFFET, das im Berichtsjahr Informationsangebot Wesentlichen auf prozessual und
gestartet wurde, soll nun die interne inhaltlich komplexe Fälle beschränkt
Zusammenarbeit optimiert und Das in der Berichtsperiode erbrachte werden konnten. Dies war bspw. der
dadurch die Wirkung unserer Behörde Informationsangebot wurde punktuell Fall bei Verfahren mit besonders
zusätzlich verstärkt werden. verbessert. Dies betrifft namentlich schwierigen juristischen, technischen
Im Berichtsjahr haben auch meh- den vorliegenden 26. Tätigkeitsbe- oder politischen Fragen, aufgrund des
rere personelle Wechsel auf Ebene der richt. Die Weiterentwicklung der grossen Umfangs der verlangten
Geschäftsleitung stattgefunden: Nach Inhaltsaufbereitung und der Kanäle ist Dokumente oder wenn Drittparteien
38 Jahren als Datenschutzexperte hingegen eine Daueraufgabe, die der ins Verfahren miteinzubeziehen sind.
beim Bund, wovon 25 Jahre als Stell- EDÖB angesichts des grossen Medien-
vertreter des Beauftragten, verliess interesses mit vergleichbar wenig Mit-
Jean-Philippe Walter unsere Behörde teln bewerkstelligen muss (vgl. Ziff.
pensionshalber per Ende Januar 2019. 3.2).
Der ebenfalls frankofone Marc Bunt-
schu übernahm Walters Nachfolge als
stellvertretender Behördenleiter und
Chef des Ressorts für nationale und
internationale Zusammenarbeit. Bis
am 1. Februar 2019 leitete Buntschu
den Direktionsbereich Datenschutz,
der ab diesem Datum von Daniel
Dzamko geführt wird, der vorher in
der Geschäftsleitung der Steuerver-
waltung des Kantons Bern tätig war.
Im Frühjahr 2018 wurde Hugo Wyler
mit der Leitung des dem Beauftragten
neu direkt unterstellten Bereichs Kom-
munikation betraut.
26. Tätigkeitsbericht 2018/19 11Datenschutz
Datenschutz
1.1 Digitalisierung und Grundrechte
Revision des Bundesgesetzes Datenschutz-Leitfaden verschiedene Experten angehört. Die
über den Datenschutz (DSG) im Kontext von Wahlen und Erkenntnisse wurden in einem Leitfa-
Abstimmungen den festgehalten, der den verschiede-
Der Abschluss der Beratungen der nen Akteuren im politischen Mei-
Totalrevision des Datenschutzgesetzes Im Berichtsjahr hat der EDÖB zusam- nungsbildungsprozess als Auslegungs-
von 1992 durch die eidgenössischen men mit den kantonalen Datenschutz- hilfe dienen soll, um das aus dem Jahre
Räte ist noch nicht absehbar. behörden und Experten einen Leitfaden 1992 stammende DSG im dynami-
Am 15. September 2017 hatte der für die Bearbeitung von Personendaten schen Umfeld der Digitalisierung auf
Bundesrat seine Botschaft (17.059) zur im Zusammenhang mit Wahlen und die Datenbearbeitung im Kontext von
Totalrevision des Bundesgesetzes über Abstimmungen verfasst. Wahlen und Abstimmungen anzu-
den Datenschutz (DSG) an die eidge- Der EDÖB hat zusammen mit der wenden.
nössischen Räte überwiesen. Im Rah- Konferenz der kantonalen Daten-
men ihrer Beratungen zur DSG- schutzbeauftragten (Privatim) und in
Revision beschloss die staatspolitische enger Absprache mit der Bundeskanz-
Kommission des erstberatenden lei eine Arbeitsgruppe eingesetzt mit
Nationalrats, in einem ersten Schritt dem Ziel, die Öffentlichkeit für syste-
nur die Änderungen zu behandeln, die mische Risiken der Personendatenbe-
für die Übernahme des Schengen- arbeitung im Zusammenhang mit
Besitzstands erforderlich sind. Diese, Wahlen und Abstimmungen zu sensi-
auf die Strafverfolgungsbehörden des bilisieren. Im Rahmen dieser Arbeits-
Bundes beschränkten Bestimmungen, gruppe, in der neben Fachleuten für
wurden inzwischen vom Parlament den Datenschutz auch ein Politologe
genehmigt und vom Bundesrat per vertreten ist, wurden im Berichtsjahr
1. März 2019 in Kraft gesetzt (vgl.
Schengen-DSG Ziff. 1.2).
Dem gegenüber hat die erwähnte Unrechtmässige Datenbeschaffung im Vorfeld
Kommission ihre Beratungen der einer Abstimmung
Totalrevision des auf alle übrigen Bun- Im Vorfeld zur Abstimmung der sog. Selbstbestimmungsinitiative im November
desbehörden und -betriebe sowie die 2018 hat eine beauftragte Agentur über über eine Website unrechtmässig
Personendaten beschafft. Auf unsere Intervention hin änderte diese ihre Praxis.
gesamte Privatwirtschaft anwendba-
Auf der Website 25november.ch konnten einzelne Personen bis zu zehn Handynum-
ren DSG noch nicht abgeschlossen. Im
mern mit Name und Vorname ihrer Familienmitglieder, Freunde und Verwandten
Zeitpunkt der Drucklegung des vorlie-
eintragen. Diese Personen wurden dann am Abstimmungswochenende zur Selbst-
genden Berichts war somit noch nicht
bestimmungsinitiative mit per SMS mit einer Erinnerung bedient – vermeintlich
absehbar, wann sich das Plenum des
versandt durch die Person, welche die Handynummern auf der Website erfasst und
erstberatenden Nationalrats mit der
somit einem Dritten weitergegeben hatte. Der EDÖB gelangte darauf mit einem
Vorlage befassen wird (vgl. Ziff. I und
Schreiben an den Betreiber der Website. Darin hat er die Agentur aufgefordert sicher-
Ziff. 1.9).
zustellen, dass alle, deren Handynummer angegeben werden, über die
Datenbearbeitung, deren Zweck und die für sie Verantwortlichen infor-
miert werden und dass nur Personendaten bearbeitet werden dürfen,
für deren Beschaffung, Weitergabe und jede weitere Bearbeitung eine
rechtsgültige Einwilligung vorliegt. Ausserdem musste der Betreiber
gewährleisten, dass die Personendaten nur zum Zweck der SMS-
Erinnerung verwendet und danach gelöscht – und nicht etwa für künf-
tige Kampagnen aufbewahrt wurden. Unter anderem fehlte auf der
Website eine gut sichtbare und vollständige Datenschutzerklärung,
was die Betreiberin jedoch innert kurzer Frist nachgebessert hat.
14 Eidgenössischer Datenschutz- und ÖffentlichkeitsbeauftragterDatenschutz
Die Akteure werden im Leitfaden dazu
aufgerufen, den Stimmbürgerinnen
und Stimmbürgern ein
Höchstmass an Transpa-
renz und Selbstbestim-
mung einzuräumen und
dafür entsprechend
datenschutzfreundliche Anwendun-
gen einzusetzen. Wer Daten im Kon-
text von Wahlen und Abstimmungen
bearbeitet, soll sich bewusst sein, dass
das Datenschutzrecht Angaben zu
politischen und weltanschaulichen
Ansichten einem höheren Schutzni-
veau unterstellt als Daten im gewerb-
lich-kommerziellen Umfeld. Der Leit-
faden richtet sich an alle Akteure der
politischen Meinungsbildung wie z. B.
Parteien und Interessengruppen,
Datenhändler und Datenplattformen
und will sie dazu anhalten, die digita-
len Bearbeitungsmethoden für die
Stimmbürger erkenn- und nachvoll-
ziehbar zu machen.
26. Tätigkeitsbericht 2018/19 15Datenschutz
Systematische Verwendung Wir begrüssen es, dass der Gesetzes- Der EDÖB befürwortet weiterhin die
der AHV-Nummer durch die entwurf des Bundesrats Einrichtun- Verwendung von sektorspezifischen
Behörden gen, die über Datenbanken verfügen, Personenidentifikatoren. Die mit der
in denen die AHV-Nummer systema- Verwendung von Einheitsidentifikato-
Der Bundesrat möchte eine weiterrei- tisch verwendet wird, gestützt auf ren verbundenen Risiken lassen sich
chende Verwendung der AHV-Nummer unsere Bemerkungen ausdrücklich so erheblich verringern, insbesondere
erleichtern und hat am 7. November dazu verpflichtet, periodische Risiko- unzulässige Verknüpfungen unter-
2018 eine Vernehmlassung zur Ände- analysen durchzuführen. Dies nament- schiedlicher Datenbanken bzw. Infor-
rung des Gesetzes über die AHV eröff- lich unter Beachtung der Gefahr von mationssysteme. In diesem Sinne ist
net. Die Vernehmlassung endete am unerlaubten Datenverknüpfungen. aus der in die Vernehmlassung gegebe-
22. Februar 2019. Wir haben unsere Aufgrund dieser Risikoanalyse sind nen Vorlage auch abzuleiten, dass es
Bemerkungen dazu angebracht, die in Massnahmen für die weiterhin möglich sein wird, in Spe-
den Gesetzesentwurf übernommen Sicherheit und den zialgesetzen für gewisse Zwecke sek-
wurden. Schutz der Daten festzu- toreigene Personenidentifikations-
Der vom Bundesrat in die Vernehm- legen und umzusetzen, nummern anstelle der AHV-Nummer
lassung gegebene Entwurf sieht vor, die der Risikosituation vorzuschreiben – wie beispielsweise
dass die eidgenössischen, kantonalen angepasst sind und dem Stand der für das elektronische Patientendossier.
und kommunalen Verwaltungen die Technik entsprechen. Auch erachten
AHV-Nummer ausserhalb des Sozial- wir als positiv, dass die in der Geset-
versicherungsbereichs systematisch als zesvorlage bezeichneten Einrichtun-
eindeutige Identifikationsnummer gen, die systematisch die AHV-Num-
verwenden dürfen. mer verwenden, zur Füh-
rung eines Registers der
relevanten Datenbanken
verpflichtet werden, das
insbesondere als Grund-
lage für die Risikoanalysen dienen soll.
Schliesslich betonten wir die Notwen-
digkeit einer Verstärkung der techni-
schen und organisatorischen Mass
nahmen.
Wie das Bundesamt für Sozialver-
sicherungen (BSV) gegenüber dem
EDÖB festhielt, wird das von der
Kommission für Rechtsfragen NR mit
dem Postulat 17.3968 bis Ende 2019
verlangte «Sicherheitskonzept für Per-
sonenidentifikatoren» im Rahmen der
Gesetzgebungsarbeiten zur AHV in
die Botschaft integriert werden. Dieses
Sicherheitskonzept soll aufzeigen, wie
den Risiken einer systematischen Ver-
wendung der AHV-Nummer als ein-
deutiger Personenidentifikator entge-
genzutreten ist und der Datenschutz
gestärkt werden kann.
16 Eidgenössischer Datenschutz- und ÖffentlichkeitsbeauftragterDatenschutz
Eckwerte für eine Beirat WBF und UVEK zur Datenverknüpfungen im
Datenpolitik der Schweiz Digitalen Transformation Bereich Statistik
Der EDÖB nahm im März 2019 an der
Der EDÖB konnte anlässlich der Ämter- sechsten Sitzung des Beirats «Digitale Mittels Verknüpfungen lassen sich aus
konsultation zu den Eckwerten für eine Transformation» der Departemente statistischen Datenbeständen neue
Datenpolitik der Schweiz Stellung neh- WBF und UVEK teil. Ziel der Beirats- Erkenntnisse gewinnen. Verknüpfungen
men. Er befasst sich weiterhin mit sitzungen ist es, konkrete Transforma- können das Risiko von Re-Identifikatio-
datenpolitischen Teilbereichen. tionsprojekte und deren Nutzen für nen massgeblich erhöhen. Um diesem
Im Rahmen der Ämterkonsultation Wirtschaft und Bevölkerung aufzuzei- zu begegnen, hat das BFS ein Verknüp-
wies der EDÖB darauf hin, dass die gen. Beim Projekt «Swiss Data Custo fungsreglement erlassen.
Datenschutzbestimmungen nicht nur dian» handelt es sich um ein Daten- Das Bundesamt für Statistik (BFS)
bei Open Government Data (OGD), treuhandsystem für Informationen, verfügt über die gesetzlichen Grundla-
sondern auch in anderen aufgeführten die nicht öffentlich zugänglich gen für das Durchführen von sog. Ver-
Bereichen zu beachten seien. Zu nen- gemacht werden können. Der Betrei- knüpfungen. Solche Datenverknüp-
nen sind: Stammdatenverwaltung des ber des «Custodian» soll von verschie- fungen aus verschiedenen Erhebungen
Bundes, Daten von bundesnahen denen Unternehmen – gegebenenfalls sind ein valables Mittel im Bereich der
Betrieben und Forschungsanstalten, auch Behörden – personenbezogene Statistik, um aus Datenbeständen
Dateninnovation im Statistikbereich und andere Rohdaten entgegenneh- neue Erkenntnisse zu gewinnen, Ent-
sowie Innovation durch Daten im men, diese einer Analyse durch künst- wicklungen über mehrere Jahre hin-
Bereich der Mobilität und der Gesund- liche Intelligenz unterziehen und weg zu beobachten oder um Progno-
heit. Bei anonymisierten Daten schliesslich die daraus gewonnenen, sen machen zu können. Dafür werden
bestehe ausserdem immer das Risiko, anonymisierten Erkenntnisse einer die einzelnen Datensätze in den ver-
dass je nach Menge der vorhandenen wertschöpfenden Verwertung zugäng- schiedenen Datenbeständen mit Iden-
Daten Rückschlüsse auf die betroffe- lich machen. Diskutiert wird derzeit tifikationsnummern versehen und
nen Personen nicht ausgeschlossen eine Anwendung in den Bereichen anschliessend ein Verknüpfungsiden-
werden könnten, weshalb der Daten- Mobilität, Medizin und Humanitäres. tifikator generiert.
schutz auch hier zu berücksichtigen Sowohl an den Vorbereitungssitzun- Verknüpfungen bergen das daten-
sei. Weiter hielt der EDÖB fest, dass er gen als auch an der Beiratssitzung schutzrechtliche Risiko von uner-
sich seit der Ämterkonsultation zum nahm der EDÖB die Gelegenheit wahr, wünschten Rückschlüssen auf
DSG für die Einführung eines Rechts die datenschutzrechtlichen Rahmen- bestimmbare Personen, also Re-Iden-
auf Datenübertragbarkeit (Portabilität) bedingungen und Vorgaben, die dabei tifikationen. Die Identifikationsnum-
einsetzt. Die Bemerkungen des EDÖB zu berücksichtigen sind, darzulegen. mern und Indentifikatoren müssen
wurden aufgenommen. Der EDÖB wird das Projekt weiterhin deshalb intern so verwaltet werden,
Zum Thema Digitalisierung und begleiten. dass solche Rückschlüsse ausgeschlos-
Datenpolitik laufen auf Bundesebene sen bleiben und es zu keinem Miss-
derzeit verschiedene Projekte, die vom brauch kommen kann. Der EDÖB liess
BAKOM koordiniert werden. Der sich vom BFS über die laufenden und
EDÖB nimmt an einzelnen aktiv teil, geplanten Verknüpfungsprojekte und
so beispielsweise bei einem Projekt die Massnahmen zur Wahrung der
betreffend Nutzung von Daten oder an Persönlichkeitsrechte informieren. Der
der Unterarbeitsgruppe zum Thema Austausch hat gezeigt, dass es sich um
Datenverfügbarkeit. ein hochkomplexes Thema handelt,
das der EDÖB weiter beobachten wird.
Wir begrüssen, dass das BFS ein spezi-
fisches Verknüpfungsreglement erlas-
sen und publiziert hat.
26. Tätigkeitsbericht 2018/19 17Schwerpunkt I
Elektronischer
Identitätsnachweis (E-ID)
Mit einer staatlich anerkannten elektronischen Identität Staatlich anerkannte private Unternehmen
soll bei elektronischen Anwendungen die Identität einer als Identity Provider
Person sichergestellt werden. Der EDÖB begleitet das digi- Der Nationalrat hat sich nach einer Anhörung der interes-
tale Grossprojekt auf allen Stufen. Er fordert, dass ein sierten Kreise durch seine Kommission für Rechtfragen
hinreichender Datenschutz mit hoher Priorität gewährleis- gegen eine ausschliesslich staatliche Lösung ausgespro-
tet werden muss. chen und stattdessen eine Aufgabenteilung befürwortet:
Staatlich anerkannte private Unternehmen, sogenannte
Rechtssicherheit und Vertrauen sind wesentliche Voraus- Identity Provider (IdP), werden zur Ausstellung von elek-
setzungen für die Abwicklung von Geschäften. Für ver- tronischen Identitäten ermächtigt. Die Anerkennung der
schiedene Prozesse ist es dabei wesentlich, dass die Iden- IdP erfolgt durch das Informatiksteuerungsorgan des
tität des Gegenübers sichergestellt ist. Für die analoge Bundes (ISB), welches darüber hinaus die Ein-
Welt stellt der Bund dazu konventionelle Identifizie- haltung der vorgegebenen Prozesse und tech-
rungsmittel zur Verfügung – nämlich Schweizerpass, nischen Standards durch die IdP überprüfen
Identitätskarte und Ausländerausweis. Mit der Verlage- und auf Basis dieser Prüfung die Anerkennung
rung von Geschäftsprozessen in die digitale Welt ändern erteilen bzw. verlängern oder entziehen. Eine
sich die Anforderungen an die Identifikationsmöglichkei- vom Bundesamt für Polizei (fedpol) geführte elektroni-
ten. Ergänzend soll die Identität einer natürlichen Person sche Schnittstelle wird Personenidentifizierungsdaten,
mittels einer staatlich anerkannten elektronischen Identi- die in staatlich geführten Registern hinterlegt sind, den
tät (E-ID) nachgewiesen werden können. IdP zum ausschliesslichen Zweck der Identifikation zur
Die E-ID wird für den Online-Zugang zu privaten Verfügung stellen. Durch die Aufgabenteilung sollen
Dienstleistungen (wie z. B. die Eröffnung eines Bankkon- einerseits verlässliche und Sicherheit gewährende Rah-
tos) und E-Government-Anwendungen (z. B. die Bestel- menbedingungen garantiert werden, die die staatlichen
lung eines Strafregisterauszuges) ein zentrales Instrument Institutionen im Rahmen von Anerkennungs- und Auf-
darstellen. Aus diesem Grund hat der EDÖB sowohl das sichtsverfahren durchsetzen können. Andererseits kann
Gesetzgebungsprojekt für eine staatlich anerkannte E-ID die technische Umsetzung und Vermarktung der konkret
wie auch die konkrete Umsetzung des Projektes bei der ausgestalteten E-ID privaten Unternehmen überlassen
SwissSign Group AG (vgl. Die «SwissID») konstruktiv werden.
kritisch begleitet und gefordert, dass wesentliche daten-
schutzrechtliche Anforderungen bereits in der Konzept-
phase der Projekte einfliessen.
Der Bundesrat hat am 1. Juni 2018 die Botschaft zum
Bundesgesetz über anerkannte elektronische Identifizie-
rungseinheiten (E-ID-Gesetz, BGEID) verabschiedet,
welche die staatlich anerkannte Identität gesetzlich regelt.
Die Gesetzesvorlage wurde Ende März vom erstberaten-
den Nationalrat mit 128 zu 48 Stimmen genehmigt
18 Eidgenössischer Datenschutz- und ÖffentlichkeitsbeauftragterSchwerpunkt I
Anhörung des EDÖB als Bedingung
für die Anerkennung
Anlässlich der Anhörung in der Kommission sah der
EDÖB seine Aufgabe darin, sich unabhängig vom politi-
schen Entscheid zugunsten einer rein staatlichen oder nur
teilstaatlichen Lösung, für ein höchstmögliches Niveau an
Datenschutz einzusetzen. Der EDÖB hat darauf hinge-
wiesen, dass die Datenbearbeitung der staatlichen
Akteure auf einer genügenden gesetzlichen Grundlage
beruhen muss und hat diesbezüglich punktuell Verbesse-
rungen des E-ID-Gesetzes verlangt. So hat der National-
rat als Anerkennungsvoraussetzung der IdP die vorgän-
gige Anhörung des EDÖB durch das ISB in das Gesetz
aufgenommen. Der EDÖB wird in diesem Rahmen die
datenschutzrechtlichen Standards, die er anlässlich der
Begleitung des Projektes von SwissSign erarbeitet hat, als
Massstab für die Beurteilung fordern (vgl. folgenden Text
«SwissID».
Des Weitern hat der EDÖB darauf bestanden, dass die
Botschaft dahingehend präzisiert wird, dass die E-ID nur
dort Anwendung finden soll, wo eine sichere
Identifikation im Geschäftsverkehr unbedingt
nötig ist. Für die zahlreichen Online-Konsum-
geschäfte oder Bezüge von einfachen Dienst-
leistungen, wo dies nicht nötig ist, dürfen durch
das E-ID-Gesetz weder im analogen noch im elektroni-
schen Geschäftsverkehr neue Identifizierungspflichten
geschaffen werden. Der Nationalrat hat den Zweckartikel
des Gesetzes entsprechend angepasst.
26. Tätigkeitsbericht 2018/19 19Schwerpunkt I
Die «SwissID»
Mit einer «SwissID» stellt ein privater Anbieter dem Markt Analysen datenschutzrechtlicher Risiken
eine elektronische Identität zur Verfügung. In regelmässi- müssen ausgebaut werden
gen Sitzungen mit den Projektverantwortlichen begleitet Dieses Vorhaben stellt auch aus datenschutzrechtlicher
der EDÖB das Vorhaben. Diese haben die Hinweise des Sicht ein bedeutendes digitales Grossprojekt dar. Der
EDÖB aufgenommen. EDÖB steht in regelmässigem Austausch mit den Projekt-
verantwortlichen, berät diese punktuell und gibt Rück-
Die SwissSign Group AG ist ein Joint Venture aus staats- meldung zu den ihm vorgelegten Dokumentationen und
nahen Betrieben, Finanzunternehmen, Versicherungsge- Informationen. Es hat sich gezeigt, dass sich die Swiss-
sellschaften und Krankenkassen. Mit ihrem Produkt Sign über die Bedeutung des Datenschutzes für ihre
«SwissID» ist sie daran, eine elektronische Identität für Datenbearbeitung bewusst ist und wesentliche techni-
den Online-Geschäftsverkehr auf privater Basis auf ver- sche und organisatorische Massnahmen zum Schutz der
schiedenen Online-Plattformen einzuführen. Zu den Daten getroffen hat. Der EDÖB hat darauf hingewiesen,
Vertragspartnern zum Onlinedienst der SwissSign zählen dass die Analysen der datenschutzrechtli-
bedeutende Unternehmen wie z. B. die schweizerische chen Risiken, welche typischerweise mit
Post, Swisscom, Coop, Ringier – weitere wie bspw. die dem Vorhaben verbunden sind, weiter aus-
SBB kommen laufend hinzu. Verschiedene Kantone pla- gebaut werden müssen und entsprechende
nen für ihre E-Government-Anwendungen die «SwissID» Massnahmen zur Vermeidung dieser Gefah-
einzusetzen oder haben diese bereits eingeführt. ren getroffen werden sollten. Zudem erachten wir es als
Derzeit basiert die «SwissID» noch auf einem Log- unablässig, dass eine Person speziell für den betrieblichen
in-Passwort-Verfahren. Sie soll jedoch mit Blick auf die Datenschutz eingesetzt wird, welche die Risiken und die
Inkraftsetzung des BGEID (vgl. dazu Artikel zur E-ID) zu entsprechenden Massnahmen laufend prüft und zu den
einer elektronischen Identität auf privater Basis aufgewer- unternehmerischen Entscheidungen aus der Perspektive
tet werden, damit die Nutzer identitätspflichtige Rechts- des Datenschutzes Stellung nimmt.
geschäfte online abschliessen und staatliche Dienstleis- Die Projektverantwortlichen von SwissSign sind mit
tungen online beziehen können. den Hinweisen des EDÖB einig und werden ihre Analy-
sen und Dokumente hinsichtlich der Personendatenbe-
arbeitung ausbauen. Eine betrieblich datenschutzverant-
wortliche Person wurde in der Folge vom Unternehmen
bestimmt.
20 Eidgenössischer Datenschutz- und ÖffentlichkeitsbeauftragterSchwerpunkt I 26. Tätigkeitsbericht 2018/19 21
Datenschutz
1.2 Justiz, Polizei, Sicherheit
Polizeimassnahmen gegen Der EDÖB äusserte auch Zweifel am Beim Swiss-US Privacy
Terrorismus Nutzen von Bestimmungen, denen Shield sind Verbesserungen
zufolge das Staatssekretariat für Migra- angezeigt
Im Rahmen der zweiten Ämterkonsulta- tion (SEM) auf die in Artikel 10, 11, 12
tion zum Entwurf eines Bundesgeset- und 14 des Bundesgesetzes über die Im Herbst 2018 fand in Brüssel die
zes über polizeiliche Massnahmen zur polizeilichen Informationssysteme Überprüfung des Privacy Shield Über-
Bekämpfung von Terrorismus (PMT) hat des Bundes (BPI) erwähnten Informa- einkommens zwischen der EU und den
der EDÖB erneut zahlreiche Bemerkun- tionssysteme zugreifen kann. Die im USA und erstmals auch der Schweiz
gen angebracht. Er erneuerte seine Ausländer- und im Asylgesetz vorge- und den USA statt. Die US-Behörden
Forderung nach Ausarbeitung einer gebenen Rechtsgrundlagen betreffen haben in diversen Belangen Verbesse-
einheitlichen Polizeigesetzgebung auf ausschliesslich die Zusammenarbeit rungen vorgenommen, die auch der
Bundesebene. Überdies verlangt er für und die Koordination zwischen dem Schweiz zugutekommen. Hingegen
die Migrationsbehörden eine Ein- SEM und fedpol. Diese Bestimmungen besteht beispielsweise noch Abstim-
schränkung des Zugangs zu den Daten- bilden keine rechtlichen Grundlagen mungsbedarf bei HR-Daten.
banken der Polizei. für einen ausdrücklichen Gesetzesauf- Dem EDÖB sind im Berichtsjahr zwei
Der EDÖB hat die grosse Anzahl an trag an das SEM bei der Aufklärung Fälle betreffend Unternehmen gemel-
spezialgesetzlichen Erlassen und Nor- von terroristischen Handlungen oder det worden, die sich fälschlicherweise
men zur Regelung der Polizeitätigkei- bei der Terrorismusbekämpfung. als Swiss-US Privacy Shield zertifiziert
ten des Bundes erneut kritisiert. Zudem betreffen diese Zugangsrechte ausgaben («false claims»). Beide konn-
Hinzu kommt, dass die polizeilichen gerichtspolizeiliche Daten und krimi- ten in Zusammenarbeit mit dem U.S.
Daten auf unübersichtliche Weise in nalpolizeiliche Analysen. Diese Daten Department of Commerce (DoC)
mehreren Datenbanken und einer sind äusserst sensibel und teilweise gelöst werden. (vgl. auch Ziff. 1.4 im
wachsenden Zahl von Anwendungen auch ungesichert. Der Zugriff auf sol- Bericht des EDÖB zum 1. Swiss-US
bearbeitet werden. Der vorliegende che Daten durch die Migrationsbehör- Privacy Shield Review, Seite 4).
Entwurf für ein Bundesgesetz über den muss über die Amtshilfe und nicht Zudem sind rund zehn berechtigte
polizeiliche Massnahmen zur Bekämp- über einen Online-Zugang erfolgen. Beschwerden von Betroffenen aus der
fung von Terrorismus (PMT) Auf diese Weise könnte fedpol die Schweiz bei unabhängigen Beschwer-
erschwert diese Situation noch zusätz- Verbreitung dieser Daten auf das destellen (Independent Recourse
lich. Aus diesen Gründen forderte der nötige Mass reduzieren. Mechanism, IRM) eingereicht worden.
EDÖB erneut die Ausarbeitung einer Schliesslich wies der EDÖB auch Betreffend den Ombudspersonmecha-
einheitlichen Polizeigesetzgebung auf darauf hin, dass die Einsicht in das nismus, der bei behördlichen Zugrif-
Bundesebene, so wie sie auch auf Kan- automatisierte Fahndungssystem des fen auf Personendaten Abhilfe schaf-
tonsebene existiert. Er erinnerte auch Bundes (RIPOL) nicht dem gesetzli- fen soll, ist bisher noch kein Fall beim
an die Wichtigkeit einer klaren Tren- chen Auftrag der Tranzportpolizei EDÖB eingegangen.
nung der Zuständigkeiten zwischen entspricht, die Identität einer Person
dem Nachrichtendienst des Bundes zu überprüfen oder eine Person zu
(NDB) und fedpol. identifizieren. RIPOL gibt nämlich an,
ob eine Person zur Fahndung ausge-
schrieben ist oder nicht. Ein Zugriff
auf RIPOL erfordert sowohl die Ände-
rung des Gesetzes über die polizeili-
chen Informationssysteme des Bundes
als auch eine Anpassung des Bundes-
gesetzes über die Sicherheitsorgane
der Transportunternehmen im öffent-
lichen Verkehr.
22 Eidgenössischer Datenschutz- und ÖffentlichkeitsbeauftragterSie können auch lesen
