Beruflich Dokumente
Kultur Dokumente
Die Berichtsperiode war geprägt von einer anhaltenden Pandemie und den
Massnahmen, die der Bundesrat und seine Verwaltung zum Schutz der
Bevölkerung und zur Stützung der Wirtschaft getroffen haben.
Vor diesem Hintergrund wird es nicht erstaunen, dass sich die Aufsichts-
tätigkeit unserer Datenschutzbehörde auf die digitalen Stützen der Pande-
miebekämpfung wie die «SwissCovid App» oder den Impf-, Test- und Gene-
sungsnachweis konzentrierte. Auch beim Vollzug des Öffentlichkeitsgesetzes
war unser Arbeitsalltag von COVID-19 geprägt, indem ein hoher Anteil der ein-
gegangenen Schlichtungsgesuche den Zugang zu amtlichen Dokumenten wie
etwa über die Beschaffung von Masken oder Impfstoffen betrafen.
Während der Staat bei der Bekämpfung der zähen Pandemie mit einer
hohen Kadenz von Massnahmen in die Privatsphäre und informationelle
Selbstbestimmung der Bevölkerung eingriff, pochte unsere Behörde auf
die Transparenz des behördlichen Handelns. Weil die Verwaltung bei der
Bewältigung von Krisen Prioritäten setzen muss, sind wir dabei pragmatisch
vorgegangen. Etwa indem wir gegenüber Medienschaffenden für die nach-
trägliche Dokumentierung der Tätigkeit des Bundesamtes für Gesundheit für
Geduld warben.
Für eine Bilanzierung der Schäden dieser freiheitszehrenden Pandemie ist
es zu früh. Eines aber steht fest: Auch unsere Behörde hat ihre Lehren aus
den digitalen Pannen gezogen, die in dieser Krise für Staunen und Empörung
sorgten. Kritik an Amtsstellen und Führungspersonen sollten indessen nicht
über die Defizite der asynchronen Digitalisierung unseres Landes hinweg-
täuschen. Allen voran das Fehlen des Basisdienstes einer amtlich bestätigten
elektronischen Identität, die sich gerade für die zeitgemässe und daten-
schutzkonforme Bewirtschaftung von Gesundheitsdaten als unverzichtbar
erweist.
Adrian Lobsiger
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
– Der Einstieg der Bundesverwaltung in die Cloud muss – Zulässigkeit von Background Checks im Bewerbungs-
datenschutzkonform erfolgen verfahren
– Der EDÖB setzt sich vor Bundesgericht für das Recht auf Das Privacy Shield garantiert Betroffenen in der Schweiz
Information in der internationalen Steueramtshilfe ein kein adäquates Schutzniveau bei Datenbekanntgaben
in die USA
1.4 Handel und Wirtschaft............................. 33
– Abklärungen 5G Implementierungen von Sunrise und 1.9 International......................................... 58
Swisscom
– Einführung
– Fehlerhafte Datenbankeinträge bei Inkassounternehmen
– Europarat
– Kreditfähigkeitsprüfung bei Autoleasing
– Global Privacy Assembly
– Migros Sachverhaltsabklärung Videoüberwachung
– Brexit – Angemessenheit des Datenschutzes
– Bearbeitung von Kundendaten durch Onlineshops
– Arbeitsgruppe über die Rolle des Schutzes personen
– Verwendung der Daten von ricardo.ch innerhalb der bezogener Daten in der internationalen Entwicklungshilfe,
TX Group in der internationalen humanitären Hilfe sowie bei der
– Revision der Energieverordnung Krisenbewältigung
– Europäische Datenschutz-Grundverordnung
1.5 Gesundheit.............................................. 39 – Aufsichtskoordinationsgruppen über die
– Anforderungen an Cloud-Lösungen für die Bearbeitung Informationssysteme SIS II, VIS und Eurodac
von Patientendaten
Abkürzungsverzeichnis.......................... 102
Abbildungsverzeichnis.......................... 103
In der Klappe
– Die wichtigsten Zahlen und Fakten
– Anliegen des Datenschutzes
Aktuelle Herausforderungen
I Digitalisierung
Die trotz verfügbaren Impfstoffen Gerät für automatische Datenabglei- ist, dass die systematischen Personen-
anhaltende Corona-Krise und die che – sog. «Scans» – vorzuweisen, was datenbearbeitungen im Kontext der
von ihr beschleunigte Digitalisierung beim Gedanken daran, dass sich dort Pandemie die informationelle Selbst-
von Arbeit und Konsum haben den umfangreiche Spuren ihrer digitalen bestimmung der Bevölkerung über die
Umgang der Schweizer Bevölkerung Lebensführung befinden, Unbehagen aktuelle Krise hinaus prägen werden.
mit Informations- und Kommunika- auslösen kann. Es ist deshalb nicht Angesichts der hohen Verbreitung
tionstechnologien (IKT) auch in der jede oder jeder Einzelne willens, ein von Smart Devices ist absehbar, dass
aktuellen Berichtsperiode geprägt. mit einem bestimmten Programm die Krise zum Trittbrett behördlicher
bestücktes Smart Device vorzuzeigen. und kommerzieller Interessen werden
Auch gibt es Menschen, die dazu auf- kann, welche die jederzeitige Zugäng-
Technologie und Wirtschaft grund ihres Alters, ihrer Gesundheit lichkeit dieser Geräte als mobile Iden-
oder wegen Behinderungen gar nicht tifikations- und Dokumentationsmit-
Das technische und wirtschaftliche in der Lage sind. tel nahelegen. Um zu verhindern, dass
Potenzial für Eingriffe in die Privat- In der aktuellen Phase der Pan- Smart Devices zu digitalen Fussfes-
sphäre und Selbstbestimmungsrechte demiebekämpfung wird absehbar, seln degenerieren, hat der Beauftragte
der Bevölkerung bleibt hoch. dass der Druck auf all diese Personen sowohl bezüglich der Erhebung von
Die digitale Realität basiert auf zunehmen wird. Mit Blick auf die Kontaktdaten für das Contact Tra-
dem lichtschnellen Internet-Transport Wiedereröffnung von Betrieben und cing als auch der Nachweise von Test-
von Signalen, welche Milliarden von die Aufhebung von Veranstaltungsver- resultaten und Impfungen öffentlich
portablen Geräten, sog. «Smart Devi- boten wird absehbar, dass der Zugang gefordert, auch herkömmliche Infor-
ces», in Schriften, Bilder, Töne oder zu gewissen Gütern und Leistungen mationsträger wie Papier zuzulassen
Vibrationen verwandeln und sinnlich von Nachweisen von Covid-Testresul- (s. Mitteilungen zu Gästelisten sowie
wahrnehmbar machen. Die jederzei- taten oder Covid-Impfungen abhängig Erhebung von Gesundheitsdaten
tige Verfügbarkeit und breite Streu- gemacht werden dürfte. Um zu ver- durch Private). Entsprechende Über-
ung von Informationen befriedigen hindern, dass die Bevölkerung in eine legungen dürften denn auch für den
Neugier, Spieltrieb und Wissensdrang Smartphone-Tragpflicht geschubst Bundesgesetzgeber ausschlaggebend
unserer Gesellschaft. wird, fordert der EDÖB, dass ihr bei gewesen sein, als er im Frühsommer
Beides wird den Menschen aber der Erhebung dieser Gesundheitsdaten 2020 im Epidemiengesetz den Grund-
schnell lästig, wenn Sondernut- nebst digitalen auch alternative Erhe- satz verankerte, dass niemand eine
zungsansprüche an Daten oder der bungsmethoden zu zumutbaren Kon- Leistung davon abhängig machen darf,
Intimsphärenschutz ins Spiel kom- ditionen angeboten werden. Letztere ob jemand die Swiss Covid App ver-
men. Private Individuen und Unter- sind wichtig, weil davon auszugehen wendet oder nicht.
nehmen pflegen deshalb einen Teil Die weitreichenden Auswirkungen
ihrer Daten abzuschotten und zu ver- der fortschreitenden Automatisierung
schlüsseln, was wiederum der Ein- bei der Bearbeitung grosser Daten-
griffsverwaltung und Polizei ein Dorn mengen haben sich im Berichtsjahr
im Auge ist. Auch sehen sich die auch bei der Durchführung von Wah-
Besitzer von Smart Devices zuneh- len und Abstimmungen eindrücklich
mend mit der Forderung privater und gezeigt. Wenn heute zur Auswertung
behördlicher Akteure konfrontiert, ihr grosser Mengen von Voten maschi-
nelle und digitale Technik eingesetzt
wird, sorgen sich die Stimmenden vor
allem anderen um die Transparenz
und Verlässlichkeit ebendieser Tech-
nik, womit typische Fragestellungen Gesellschaft und rien, Zwecke sowie die Intensität und
des Datenschutzes angesprochen sind. Datenpolitik Dauer behördlicher Datenbearbeitun-
Das verbreitet vorhandene Misstrauen gen gesetzlich zu verankern, weil dies
gegenüber automatisierten Vorgän- Am 7. März 2021 hat das Schweizer angeblich den Erhalt nicht mehr zeit-
gen hat denn auch zu den Wirren im Volk das Bundesgesetz über elektro- gemässer «Datensilos» und «Medien-
Anschluss an die letzten US-Präsi- nische Identifizierungsdienste (E-ID) brüche» fördere, die die Verwaltung
dentschaftswahlen beigetragen. Indem deutlich abgelehnt. Während Bundes- daran hinderten, sich flexibel zu ver-
die damaligen Anwälte des Weissen rat und Parlament bei der Bevölkerung netzen und effizient zu arbeiten.
Hauses mit Vorliebe abstrakte, techni- vergeblich um Vertrauen in eine pri- Dem ist entgegenzuhalten, dass
sche Aspekte der Datenübermittlung, vate Herausgeberschaft der E-ID war- der Beauftragte die Digitalisierung der
-zählung und -auswertung aufs Korn ben, setzte sich das Referendumsko- Bundesverwaltung ebenso wenig in
nahmen und mit einer systemischen mitee mit seinem zentralen Argument Frage stellt, wie deren Bedürfnis nach
Generalkritik diskreditierten, ver- durch, deren Ausgabe sei ausschliess- zeitgemässen Rechtsgrundlagen, wel-
stärkten sie die Verunsicherung einer lich in behördliche Verantwortung zu che die organisatorische und techno-
Öffentlichkeit, die in den Foren des legen. Wenn sich das Volk dem Staat logische Gestaltungsfreiheit der Ämter
Internets einem Sperrfeuer von Glau- im Zusammenhang mit einem digita- nicht unnötig einengen. Mit einer
bensbotschaften über gezinkte Algo- len Schlüsselprojekt für mehr staatli- lösungsorientierten Beratungstätig-
rithmen und andere Machenschaften che Führung ausspricht, dürfte dies auf keit zeigt der EDÖB auf, dass gene-
ausgesetzt war. Vor diesem Hinter- die berechtigte Erwartung zurückzu- rell-abstrakt und technologieneutral
grund ist davon auszugehen, dass mit führen sein, dass sich staatliches Tätig- formulierte Vorgaben im Gesetz der
der fortschreitenden Automatisie- werden und die daraus abzuleitende digitalen Transformation keineswegs
rung von Wahlen und Abstimmungen Bearbeitung von Personendaten auf das im Wege stehen. Auch unterstützt er
jene Arbeitsinstrumente des moder- beschränkt, was im Gesetz steht, und Bestrebungen der Verwaltung, histo-
nen Datenschutzrechts an Bedeu- sich die Behörden selbstbeflissen am risch gewachsene Systemstrukturen
tung gewinnen werden, die bei auto- Legalitätsprinzip orientieren. zu vereinfachen.
matisierten Vorgängen, die zu Ent- Diese Erwartungen der Bevölke- Trotz dieses Bekenntnisses zur
scheidungen führen, ein Minimum an rung stehen in einem gewissen Kon- digitalen Transformation kann die
menschlichem Zutun verlangen. trast zu den Erfahrungen des EDÖB. Datenschutzaufsicht des Bundes die
Im Zuge unserer Beratungs- und Auf- Verwaltung nicht davon dispensieren,
sichtstätigkeit stellen wir fest, dass Zweck, Umfang und Intensität digita-
sich die mit der Herausforderung der ler Bearbeitungen von Personendaten
digitalen Transformation konfron- von einem Auftrag der politischen
tierte Bundesverwaltung mit dem Organe abzuleiten, der im Gesetz bür-
Legalitätsprinzip zunehmend schwer- gerverständlich verankert ist. Auch
tut und die Anforderungen, welche
die bundesgerichtliche Praxis an die
Bestimmtheit gesetzlicher Grundlagen
zur Bearbeitung von Personendaten
stellt, in Zweifel zieht: So sei es nicht
länger vertretbar, die Inhalte, Katego-
ist es unabdingbar, dass der demokra- tendienstes des Bundes bewaffnet und kommt. Würde die digitale Verknüp-
tisch legitimierte Gesetzgeber bei der mit polizeilichen Befugnissen ausge- fung der Personendaten, die im föde-
Regelung der behördlichen Datenbe- stattet werden soll. ralistischen Gefüge der Sicherheitsbe-
arbeitung politisch und staatsrecht- Die Bearbeitung von Personen- hörden zur Erfüllung so unterschied-
lich gebotene Zuständigkeitsgrenzen daten durch diese Sicherheitsbehör- licher Zwecke wie der sicherheits-
zieht, indem er Verantwortlichkeiten den des Bundes ist mit hohen Risiken polizeilichen Gefahrenabwehr, der
zuweist, den direkten Zugriff auf Per- für die Privatsphäre und informatio- kriminalpolizeilichen Strafverfolgung,
sonendaten eingrenzt und den Aus- nelle Selbstbestimmung der Bevöl- des nachrichtendienstlichen Staats-
tausch von Informationen über den kerung verbunden, weil diese bei der schutzes sowie zum Vollzug zahlrei-
Weg der Amtshilfe regelt. Dass die Beschaffung eines Teils ihrer Infor- cher Spezialgesetze bearbeitet werden,
digitale Transformation der Verwal- mationen verdeckt vorgehen und dem Belieben der Behörden überlassen,
tung ohne Verwässerung des Legali- betroffene Personen je nach Ergebnis führte dies zu einer intransparenten
tätsprinzips umzusetzen ist, geht im der Auswertung der Daten mit ein- Konzentration von Polizeimacht, die
Übrigen auch aus dem neuen Daten- schneidenden Zwangsmassnahmen mit der Kompetenzordnung der Bun-
schutzgesetz hervor, in welchem der belegen. Vor diesem Hintergrund darf desverfassung nicht zu vereinbaren
Gesetzgeber von 2020 das bisherige die Datenschutzaufsicht des Bundes wäre.
Versprechen bekräftigte, dass Bun- bei der digitalen Transformation die- Die Bearbeitung der Polizeidaten
desorgane nur dann sensible Bürger- ser Ämter hinsichtlich der Beachtung des Bundes vom Gesetz auf aufgaben-
daten bearbeiten, wenn dies ein dem der bundesgerichtlichen Anforderun- bezogene Kategorien zurückzubinden,
Referendum unterliegendes Gesetz gen an die Bestimmtheit der gesetz- ist umso wichtiger, als sich die Orga-
vorsieht und erkennbar macht, zu lichen Regelung polizeibehördlicher nisation der Sicherheitsbehörden auf
welchen Zwecken und in welchem Personendatenbearbeitungen keine Stufe des Bundes in ihrer historisch
Umfang welche Arten und Inhalte von Abstriche tolerieren. Nur hinreichend geprägten Komplexität in eigenartiger
Daten mit welcher Intensität bearbei- bestimmte Gesetze können verhin- Weise von den Verhältnissen in den
tet werden. dern, dass es mit der fortschreiten- Kantonen abhebt. Während die ver-
Einen Austausch über die Anforde- den digitalen Transformation der deckt und zwangsbewehrt erfolgenden
rungen des Legalitätsprinzips führte Sicherheitsbehörden des Bundes und Erhebungen von Personendaten dort
der EDÖB in der Berichtsperiode u.a. der kantonalen Polizeikorps zu einer durch ein einziges Polizeikorps durch-
mit der Eidgenössischen Zollverwal- Verwischung von Zuständigkeiten geführt werden, dessen Aufgaben und
tung. Es ging dabei um die Gestal- Befugnisse im kantonalen Polizeige-
tungspielräume des zukünftigen Bun- setz nachgeschlagen werden können,
desamtes für Zoll und Grenzsicherheit, verteilt die Eidgenossenschaft ihre
dessen Personal grosse Mengen sensib- Polizeimacht wie erwähnt auf eine
ler Personendaten bearbeiten wird und Vielzahl von bewaffneten Verbänden,
wie die Mitarbeitenden des Bundes- die auf der Grundlage unterschied-
amtes für Polizei oder des Nachrich-
Gesetzgebung
Damit der EDÖB als Aufsichtsbehörde Pandemie hat den EDÖB auch in seiner mochte der EDÖB die berechtigten
sicherstellen kann, dass Personenda- Eigenschaft als Öffentlichkeitsbeauf- Erwartungen der Öffentlichkeit nicht
ten nicht mit der technisch machbaren, tragten herausgefordert. So sah er sich im gewünschten Mass zu erfüllen.
sondern rechtlich zulässigen Intensi- mit einer Vielzahl von Schlichtungs- Obwohl der EDÖB eine enge Zusam-
tät bearbeitet werden, verlangt er von anträgen konfrontiert, die sich u.a. auf menarbeit mit dem nationalen Zent-
den Verantwortlichen digitaler Appli- amtliche Dokumente zur Beschaffung rum für Cybersicherheit sucht, fehlt es
kationen, dass sie hohe datenschutz- von Masken oder Impfstoffen bezo- ihm an Mitteln (s. Kap. 3.1), um syste-
rechtliche Risiken bereits im Planungs- gen und infolge der allgemeinen Ver- matisch Stichproben und Kontrollen
und Projektstadium minimieren und pflichtung zu Home-Office grössten- der technischen Sicherheit durchzu-
gegenüber der betrieblichen und teils durch den arbeitsintensiven Erlass führen, wie sie gerade bei sensiblen
behördlichen Datenschutzaufsicht schriftlicher Empfehlungen abge- Datenhaltungen von Gesundheitsda-
dokumentieren. Mit dieser Ausrich- schlossen werden mussten. ten nützlich wären. Erinnert sei in die-
tung haben wir die aufsichtsrechtliche Sechs von insgesamt 15 Grosspro- sem Kontext an den Fall der Stiftung
Beratung einer Vielzahl von Big Data jekten, die der EDÖB aufgrund sei- «meineimpfungen».
Projekten von Bundesbehörden und ner gesetzlichen Beratungspflichten
privaten Unternehmen fortgesetzt begleitete, standen im Zusammenhang
und den selbstverantwortlichen Ein- mit der vom Bundesrat angeordneten
satz moderner Arbeitsinstrumente digitalen Transformation der Bundes-
wie der Datenschutzfolgenabschät- verwaltung, welche den von Politik
zung sowie betrieblicher Datenschutz- und Medien vorab im Zusammenhang
verantwortlicher gefördert. mit der Pandemiebekämpfung ange-
Den gewichtigsten Schwer- mahnten Digitalisierungsrückstand
punkt hat der EDÖB in der aktuellen aufzuholen sucht. Nebst den erwähn-
Berichtsperiode bei der aufsichts- ten Projekten des Bundesamtes für
rechtlichen Begleitung und Kontrolle Gesundheit begleitete der EDÖB denn
der zahlreichen digitalen Projekte im auch Digitalisierungsvorhaben zahl-
Zusammenhang mit der Bekämpfung reicher weiterer Bundesorgane mit
der aktuellen Pandemie gesetzt, wel- dem erwähnten Schwerpunkt bei den
che im vorliegenden Jahresbericht mit Sicherheitsbehörden (s. oben sowie
gelber Farbe gekennzeichnet sind. Die Kap. 1.2 und 3.1).
Nachdem die Aufwendungen für
die Kontrollaufgaben in der Periode
2015/16 deutlich absanken, konnten
diese in den letzten Jahren leicht ange-
hoben und wegen der anhaltend knap-
pen Mittelausstattung nur auf tiefem
Niveau stabilisiert werden. Auch in
der aktuellen Berichtsperiode ver-
Cloud-Dienste
Während früher fast jedes Unternehmen über ein eigenes • Hybride Cloud: Bei dieser handelt es sich um eine Misch-
Rechenzentrum verfügte, werden heute vielfach Cloud-Dienste lösung aus einer privaten und einer öffentlichen Cloud. Der
verwendet. Unter einer Cloud bzw. Cloud-Computing ist die Benutzer bezieht dabei eine «public cloud», und darin inte-
internetbasierte Bereitstellung von Speicherplatz, Rechenleis- griert ist eine private Umgebung für sensible Daten und
tung oder Anwendungssoftware als Dienstleistung zu verste- Anwendungen. Diese Mischform ist beliebt, wenn es darum
hen. Eine Cloud ist also eine Online-IT-Infrastruktur, in welche geht, hoch sensible Daten in einer privaten Cloud zu lagern,
Daten oder ganze Systemumgebungen ausgelagert werden. während weniger sensible Daten einfacher und günstiger aus-
Dabei werden Cloud-Lösungen nach Verwendungszweck und gelagert werden können.
gewünschter Integrationstiefe unterschieden. • Multi Cloud: In dieser sind mehrere Cloud-Dienste verbunden,
womit die Lösungen verschiedener Cloud-Anbieter parallel
Zu den grossen Vorteilen einer Cloud zählen: genutzt werden können. Sie bietet weitaus mehr Möglichkei-
• Hohe Skalierbarkeit, also die Möglichkeit, Speicherkapazität ten als die hybride Form.
und Rechenleistung je nach Bedarf einfach erhöhen und ver-
ringern zu können Integrationstiefe der Cloud
• Hohe Verfügbarkeit und Sicherheit durch Verwendung Beim Cloud-Computing lassen sich generell drei sogenannte
modernster Technologien Cloud-Service-Ebenen unterscheiden, welche aufeinander auf-
• Investitionssicherheit, da die Umgebung vom jeweiligen bauen. Beginnend bei der Infrastruktur über die Plattform bis
Anbieter gewartet wird und grosse Investitionen in eine hin zur Software, stellen diese Service-Ebenen drei übereinan-
eigene Serverinfrastruktur wegfallen derliegende Schichten dar und bilden gleichzeitig die Cloud-
Architektur ab.
Verwendungszweck der Cloud • Infrastrukturebene (Infrastructure-as-a-Service): Dabei
Für Cloud-Services gibt es verschiedene Arten der Bereitstel- werden Ressourcen wie Rechenleistung, Speicher- oder
lung, welche sich von den jeweiligen Anforderungen der Benut- Netzwerkkapazitäten aus der Cloud bezogen. Werden zuvor
zer ableiten lassen. Die wichtigsten: lokale Server in die Cloud verschoben, ersetzt nun die Cloud
• Private Cloud: Sie wird meist im eigenen Rechenzentrum des die Hardware vor Ort, während die Betreuung des Betriebs-
Unternehmens aufgebaut und nur von einer Firma genutzt. systems und der Anwendungen im Unternehmen bestehen
Üblicherweise wird sie vom Unternehmen selbst oder gege- bleiben.
benenfalls von einem externen Anbieter betrieben und ist nur • Plattformebene (Plattform-as-a-Service): Dabei werden
für klar bestimmte Personengruppen zugänglich. Die private zusätzlich das Betriebssystem und die systemnahen Anwen-
Cloud wird strengen Anforderungen an Datensicherheit und dungen wie Backup-, Antivirus- und Wartungsanwendungen
Datenschutz gerecht und eignet sich daher speziell für sen- usw. aus der Cloud bezogen. Anstatt Software auf einer eige-
sible Daten wie beispielsweise vertrauliche Personalinforma- nen Umgebung zu entwickeln, können Unternehmen kom-
tionen oder vertrauliche Firmendaten. plette Entwicklungs- und Bereitstellungsumgebungen in der
• Öffentliche Cloud («public cloud»): Sie ist ein Angebot eines Cloud nutzen.
frei zugänglichen Anbieters, der seine Dienste offen über das • Softwarebene (Software-as-a-Service): Dem Benutzer wird
Internet für jedermann zugänglich macht. Dabei teilen sich eine Cloud-Anwendung mit all ihren zugrundeliegenden
alle Benutzer die gleiche Infrastruktur. Bekannte Online-Spei- IT-Infrastrukturen und -Plattformen zur Verfügung gestellt.
cher wie etwa Dropbox oder Google Drive, aber auch Mailan- Er bezieht beim Anbieter somit sämtliche IT-Komponenten.
bieter wie Gmail oder Hotmail, bauen typischerweise auf einer
solchen öffentlichen Cloud auf.
Der Einstieg der Bundesver- Grundsätze für die Beschaffung von bearbeitungen in eine Cloud im Stra-
waltung in die Cloud muss Cloud-Anwendungen durch die ein- tegiedokument zu verankern. Unsere
datenschutzkonform erfolgen zelnen Verwaltungseinheiten vor- Ergänzungsvorschläge zielten insbe-
schreibt. Der EDÖB erhielt eine vor- sondere darauf ab, dass die zusätzli-
Die «Cloud-Strategie der Bundesver- läufige Version des Strategiedokumen- chen Risiken einer Auslagerung von
waltung» soll den Weg für eine tes zur Vorkonsultation und ortete an Datenbearbeitungen an ausländische
cloudbasierte Digitalisierung der Bun- verschiedene Stellen Verbesserungs- Public-Cloud-Anbieter aus einem
desverwaltung ebnen. Der EDÖB nahm potenzial. Insbesondere stellte der Land ohne angemessenes Daten-
zum Strategiepapier Stellung und EDÖB fest, dass das Dokument einen schutzniveau berücksichtigt werden.
konnte seine wichtigsten Anliegen aus starken Fokus auf die Anforderungen In diesem Sinne haben wir vorge-
Sicht des Datenschutzes erfolgreich an die Informationssicherheit legte, schlagen, dass das Dokument vorsieht,
einbringen. weitere rechtliche Aspekte des Daten- dass für die Beurteilung, ob und mit
Das Informatiksteuerungsorgan schutzes dagegen nur oberflächlich welchen Massnahmen die Datenbear-
des Bundes (ISB) wurde durch den behandelte. beitung mittels Cloud-Anwendungen
Bundesrat beauftragt, ein Strategie Dementsprechend haben wir zulässig ist, eine Datenschutz-Folgen-
dokument zu erarbeiten, welches die Ergänzungen vorgeschlagen, um die abschätzung vorzunehmen ist, wenn
Cloud-Vision des Bundes konkreti- datenschutzrechtlichen Anforderun- Personendaten in der Cloud bearbeitet
siert und verbindliche Leitlinien und gen an eine Auslagerung von Daten- werden. Dieser Mechanismus soll es
CORONA
ermöglichen, die Rechtskonformi- liegenden Klardaten angezeigt. Die
tät der Cloud-Anwendung zu prüfen, dem BAG zugänglichen Visualisie-
Zugang des BAG zu Mobili-
wobei als Kriterien der Standort der rungen lassen keine Rückschlüsse
tätsdaten der Swisscom
Server, das im fraglichen Land gel- auf bestimmte Personen zu und sind
tende Recht und die vorgesehenen Nachdem der Bundesrat am 21.03.2020 damit anonym. Dementsprechend
technischen und organisatorischen Ansammlungen von mehr als fünf Per gelangte der EDÖB in seiner Kurz-
Massnahmen herangezogen werden sonen im öffentlichen Raum verboten auswertung vom 03.04.2020 zum
sollten. Unsere Bemerkungen und hatte, prüfte das BAG anhand von Infor- Schluss, dass die Datenbearbeitung
Änderungsvorschläge wurden in die mationen der Swisscom, ob diese Mass- durch die Swisscom und die Weiter-
finale Fassung des Dokuments einge- nahme zum Schutz vor Infektionen mit gaben von anonymen Daten an das
arbeitet. dem Coronavirus eingehalten wird. Der BAG datenschutzrechtlich erlaubt
Die Bundesverwaltung und auch EDÖB kam zum Schluss, dass die Swiss- sind (s. Mitteilung «Zugang des BAG
private Nutzer von Public-Cloud- com dem BAG ausschliesslich Zugang zu zu visualisierten Daten der Swiss-
Lösungen müssen sich immer häufiger anonymisierten Daten gewährt hat. com grundsätzlich erlaubt»).
mit dieser Fragestellung befassen, seit- Aufgrund dieser Informationen
dem das Privacy Shield Frame- Die Swisscom bearbeitet mit der konnte der EDÖB auf die Eröffnung
work re-evaluiert wurde (s. Schwer- Mobility Insights Plattform (MIP) einer formellen Sachverhaltsab-
punkt II) und man nicht ohne Wei- anonymisierte Gruppenstatistiken klärung verzichten. Der EDÖB war
teres davon ausgehen kann, dass die anhand aggregierter Mobilitäts- indessen der Auffassung, dass die
Standardvertragsklauseln ein ange- daten zur Auswertung von Mobili- der Öffentlichkeit zugänglichen
messenes Datenschutzniveau in den tätsverhalten auf dem Gebiet der Informationen zur Zusammenarbeit
USA gewährleisten. Dies weil viele Schweiz. Nachdem bekannt wurde, zwischen dem BAG und der Swiss-
Anbieter in den USA ansässig sind. dass dem BAG im Rahmen der com und den damit verbundenen
Pandemiebekämpfung Zugang zu Datenbearbeitungen spärlich und
diesen Daten gewährt werden soll, nicht ohne Weiteres auffindbar
um eine Übersicht darüber zu ver- waren. Er hat die Swisscom daher
schaffen, ob es in der Schweiz noch dazu aufgefordert, die Öffentlichkeit
grössere Menschenansammlungen mit detaillierteren Informationen
gibt, hat der EDÖB dazu Vorabklä- zum Datenbearbeitungsvorgang zu
rungen eingeleitet, in deren Rahmen bedienen. Die Swisscom ist dieser
er auch einen Augenschein beim Aufforderung nachgekommen und
BAG durchgeführt hat. hat FAQs betreffend die Nutzung
Die mit einer mindesten acht- der Mobility Insights Plattform von
stündigen Verzögerung zugänglich Swisscom durch das Bundesamt für
gemachten visualisierten Auswer- Gesundheit (BAG) erstellt.
tungen zeigen den zeitlichen Verlauf
der Aufenthalte von Handybesit-
zern in 100 mal 100 Meter grossen
Gebieten, wenn mehr als 20 Mobil-
funkgeräte von Abonnenten der
Swisscom in einem solchen Gebiet
vorhanden sind. Die Standortdaten
werden dabei frühestmöglich ano-
nymisiert und aggregiert, und dem
BAG werden zu keinem Zeitpunkt
die der Visualisierung zugrunde-
Programm Nationale Daten Sicht erhebliche datenschutzrechtliche die Datenerhebung, die weitere Daten-
bewirtschaftung Risiken. So ist insbesondere sicherzu- bearbeitung und die Zugriffsmöglich-
stellen, dass das «Once- keiten geregelt sind.
Die Datenbewirtschaftung der öffentli- Only»-Prinzip nicht Im Nachgang zu dieser Ämter-
chen Hand soll durch die Mehrfachnut- dazu führt, den Kreis von konsultation fand ein Austausch zwi-
zung von Daten einfacher und effizien- Zugriffsberechtigten zu schen dem Bundesamt für Statistik,
ter werden. Mit diesem Ziel hat der erweitern. Weiter muss das mit der Umsetzung betraut ist,
Bundesrat im Rahmen des Programms zwingend geregelt werden, wer welche und dem EDÖB statt, an welchem
Nationale Datenbewirtschaftung meh- Daten zu welchem Zweck bearbeiten diese Aspekte nochmals erörtert wer-
rere Pilotprojekte lanciert. Der EDÖB darf. Zudem ist klar zwischen Daten- den konnten. Der Beauftragte wird
steht im Austausch mit dem dafür ver- bearbeitungen zu statistischen Zwe- die Umsetzung des Programms NaDB
antwortlichen Bundesamt für Statistik cken und solchen zu anderen Zwecken weiter beratend begleiten und den ver-
und wirkt auf eine datenschutzkon- zu unterscheiden. Darüber hinaus antwortlichen Stellen als Ansprech-
forme Umsetzung hin. muss transparent ersichtlich sein, wie person zur Verfügung stehen.
Die Zielsetzung des Programms Natio-
nale Datenbewirtschaftung (NaDB)
ist, dass Personen und Unternehmen CORONA
Datenbearbeitungen von
Dating-Apps
1
Bundesamt für Statistik (Hg.): Erhebung zu
Familien und Generationen 2018. Erste Ergeb-
nisse. Neuchâtel 2019, S. 9. https://www.bfs.
admin.ch/bfs/de/home/statistiken/bevoelke-
rung/erhebungen/efg.assetdetail.10467788.html
(Abgerufen: 14.04.2020)
Im Frühjahr 2021 hat der EDÖB eine EEDÖB plant neue Datenschutzberaterinnen und -bera-
Sachverhaltsabklärung bei einem in Meldeportale ter selbstständig erfassen, mutieren
der Schweiz ansässigen Anbieter einer und löschen. Im zweiten Portal sind
solchen Dating-App eröffnet. Anlass Der EDÖB bereitet die Einführung von die Meldungen von Verletzungen der
dafür waren Meldungen von Personen, zwei Online-Meldeportalen für die vom Datensicherheit zu erfassen, die ein
die uns darauf aufmerksam machten, neuen DSG vorgesehenen Meldungen hohes Risiko für die Betroffenen nach
dass sie keine Möglichkeit hätten, ihr von Datenverlusten und Bekanntgaben sich ziehen. Der Beauftragte rechnet
Konto über die App zu löschen, und von Datenschutzberaterinnen und mit einer grösseren Anzahl an Mel-
dass an den Betreiber der App gerich- -beratern vor. dungen. Auch dieses Portal soll eine
tete Löschungsbegehren nicht bear- Das revidierte Datenschutzgesetz legt strukturierte und einfache Erfassung
beitet würden. Nebst der neue Meldepflichten für Datenverant- ermöglichen und zudem eine Res-
Klärung dieses Punktes wortliche gegenüber dem EDÖB fest. sourcen schonende Automatisierung
zielt unsere Sachverhalts- Diese umfassen die Registrierung von bei der Datenauswertung sicherstel-
abklärung auch darauf Datenbearbeitungen durch Bundes- len. Es soll zeitnahe Reaktionen auf die
ab, die Einhaltung weite- organe, die Bekanntgabe von Daten- gemeldeten Ereignisse gewährleisten.
rer datenschutzrechtlicher Vorgaben schutzberaterinnen und -beratern
durch diesen Anbieter zu überprüfen. sowie die Meldung von Verletzungen
Dies insbesondere im Hinblick auf die der Datensicherheit. Der EDÖB ist
Anforderungen an die Transparenz bestrebt, den Aufwand möglichst tief
und Sicherheit der Bearbeitung sowie zu halten, indem diese Meldungen ein-
die allfällige Weitergabe von Perso- fach und sicher online getätigt werden
nendaten an Dritte. können.
Erstens bedarf es einer Anpassung
des Registers der beim EDÖB gemel-
deten Datensammlungen, da künftig
nur noch Bundesorgane verpflichtet
sind, ihre Verzeichnisse der Bearbei-
tungstätigkeiten an den Beauftragten
zu melden. Das Melde- und Suchpor-
tal www.datareg.admin.ch wird ent-
sprechend erneuert und für die neuen
Vorgaben ausgelegt.
Zusätzlich soll die Einführung
von zwei neuen Meldeportalen erfol-
gen. In einem ersten Webportal sollen
künftig die von den Verantwortlichen
benannten Datenschutzberaterinnen
und -berater strukturiert und effizient
erfasst werden. Das Portal eignet sich
dabei die Prinzipien eines Self-Ser-
vice-Kiosks an, in welchem die Ver-
antwortlichen die Kontaktdaten der
Drittstaates einen angemessenen Schutz gewährleistet. Dabei hat die Meldung an den EDÖB so rasch wie möglich
Er wird zu diesem Zweck eine Liste publizieren, die nach zu erfolgen. Vorher wird der Verantwortliche eine Pro-
dem bisherigen Recht vom EDÖB geführt wurde. Figu- gnose zu den möglichen Auswirkungen der Verletzung
riert der betreffende Exportstaat nicht auf der Liste des stellen und eine erste Beurteilung darüber vorzunehmen,
Bundesrates, dürfen Daten wie nach bisherigem Recht ob die betroffenen Personen über das Ereignis zu infor-
trotzdem dorthin geleitet werden, wenn ein geeigneter mieren sind und auf welche Weise dies geschehen könnte.
Datenschutz auf andere Weise gewährleistet wird.
Ist eine Bekanntgabe ins Ausland geplant – wozu auch Recht auf Datenportabilität
die Speicherung auf ausländischen Systemen (Cloud) Mit dem Recht auf Datenherausgabe und -übertragung
gehört – sind die Länder anzugeben, gleichgültig, ob diese gemäss Art. 28 revDSG hat eine betroffene Person neu die
einen angemessenen Datenschutz bieten. Hier geht das Möglichkeit, ihre Personendaten, welche sie einem pri-
DSG weiter als die DSGVO. vaten Verantwortlichen bekanntgegeben hat, in einem
gängigen elektronischen Format heraus zu verlangen oder
Ausgebaute Informationspflichten einem Dritten übertragen zu lassen. Das Recht kann kos-
In Erfüllung des Revisionsziels der Transparenz baut Art. tenlos geltend gemacht werden, ausser wenn die Heraus-
19 revDSG die Informationspflicht für Unternehmen aus. gabe oder Übertragung mit einem unverhältnismässigen
Neu gilt, dass ein privater Verantwortlicher bei grund- Aufwand verbunden ist.
sätzlich jeder beabsichtigten Beschaffung von Personen-
daten die betroffene Person vorgängig angemessen infor-
mieren muss, selbst wenn die Daten nicht direkt bei ihr Gestärkte Aufsichtsbefugnisse
beschafft werden. Im aktuellen DSG ist diese Informati-
onspflicht bisher nur bei besonders schützenswerten Per- Mit dem revidierten DSG wird der Beauftragte prinzipiell
sonendaten und Persönlichkeitsprofilen vorgeschrieben. alle Verstösse untersuchen müssen. Neu kann er gegen
Unternehmen werden somit ihre Datenschutzerklärun- unzureichende Datenbearbeitungen Verfügungen erlassen
gen entsprechend überprüfen und nachführen müssen. und muss in bestimmten Fällen zwingend konsultiert wer-
Führen Bearbeitungen zu automatisierten Einzelentschei- den. Künftig sind Bussen bis zu CHF 250'000 möglich.
dungen, haben die Verantwortlichen nach Art. 21 revDSG
neue Informationspflichten gegenüber der beschwerten Untersuchung aller Verstösse gegen Datenschutz-
Person wahrzunehmen und dieser die ihr zustehenden vorschriften
Anhörungs- und Überprüfungsrechte zu gewähren. Der EDÖB wird in Zukunft alle Verstösse gegen das
neue DSG durch Bundesorgane oder private Personen
Auskunftsrecht der betroffenen Personen von Amtes wegen zu untersuchen haben (Art. 49 Abs. 1
Das Recht einer betroffenen Person, Auskunft darüber zu revDSG). Im aktuellen DSG gilt noch die Einschränkung,
verlangen, ob Personendaten über sie bearbeitet werden, wonach der EDÖB gegen Private nur dann von sich aus
wurde im neuen DSG ausgebaut. Art. 25 revDSG enthält eine Untersuchung inklusive Sachverhaltsabklärungen
eine erweiterte Liste an Mindestinformationen, die vom durchführt, wenn die Bearbeitungsmethode geeignet ist,
Verantwortlichen herausgegeben werden müssen, bei- die Persönlichkeit einer grösseren Anzahl von Personen
spielsweise die Aufbewahrungsdauer der über sie bearbei- zu verletzen. Diese, als «Systemfehler» bezeichnete Inter-
teten Personendaten. ventionsschwelle fällt inskünftig weg. Bei Verletzungen
der Datenschutzvorschriften von geringfügiger Bedeu-
Meldepflicht bei Verletzungen der Daten tung kann jedoch auch nach neuem Recht von der Eröff-
sicherheit nung einer Untersuchung abgesehen werden (Art. 49
Gemäss Art. 24 revDSG muss der Verantwortliche dem Abs. 2 revDSG). Auch kann der EDÖB wie bis anhin von
EDÖB neu Verletzungen der Datensicherheit melden, die der Eröffnung formeller Schritte absehen, wenn sich nach
für die Betroffenen zu einem hohen Beeinträchtigungs- einer ersten Kontaktnahme mit dem oder der Bearbei-
risiko ihrer Persönlichkeit oder ihrer Grundrechte führen. tungsverantwortlichen zeigt, dass dieser Mängel, auf die
1
Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten, abgeschlossen in Strassburg am 28.
Januar 1981, von der Bundesversammlung genehmigt am 5. Juni 1997. Die Erweiterung der Konvention wurde im Sommer 2020 von den Eidgenössi-
schen Räten genehmigt. Der Bundesrat wird sie erst nach Inkrafttreten des neuen DSG ratifizieren können.
2
Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung
personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung).
Auskunftsgesuche beim Auskunftsgesuche als üblich erhalten Botschaft zur Revision des
Nachrichtendienst des habe. So seien innerhalb von etwas DNA-Profil-Gesetzes wurde
Bundes (NDB) mehr als einem Jahr über tausend verabschiedet
Gesuche eingetroffen. Der NDB werde
Nachdem der NDB im Jahr 2019 mit alles daran setzen, um die hängigen Mit der Revision des DNA-Profil-Geset-
einer ungewöhnlich hohen Anzahl Gesuche innert Wochen zu behan- zes will der Bundesrat den Behörden
von Auskunftsgesuchen konfrontiert deln. Inzwischen habe er eine Arbeits- ermöglichen, bei Strafermittlungen
war, die er zunächst nur mit grosser gruppe gebildet, um die Arbeitsabläufe mehr Informationen aus einer DNA-
Verzögerung behandeln konnte, ergriff so anzupassen, dass die zahlreichen Spur herauszulesen. Der Forderung des
er besondere Massnahmen zum Abbau hängigen Gesuche ohne Qualitätsein- EDÖB nach einem strengen Gesetzes-
dieser Pendenzen, welche der EDÖB busse abgebaut werden könnten. rahmen wurde nachgekommen.
aufsichtsrechtlich begleitete. Im Juni 2020 teilte der NDB dem Der Bundesrat hat die Botschaft zur
Ende 2019 berichteten verschiedene EDÖB mit, dass u.a. dank den für den Revision des DNA-Profil-Gesetzes
Medien darüber, dass der NDB viel Pendenzenabbau zusätzliche verfügbar am 4. Dezember 2020 verabschiedet.
mehr Gesuche über Verzeichnungen in gemachten Ressourcen die neu ein- Mit der Revision will der Bundesrat
seinen Informationssystemen als sonst treffenden Auskunftsgesuche seit Mai den Behörden ermöglichen, bei Straf-
üblich erhalte. Auslöser waren unter 2020 fristgerecht beantwortet werden ermittlungen mehr Informationen
anderem frühere Medienberichte, die konnten. Der NDB hielt weiter fest, aus einer DNA-Spur herauszulesen.
mit einer «Bespitzelung» verschiede- dass noch rund 50 Auskunftsgesu- Die Sicherheitspolitische Kommis-
ner Politikerinnen und Politiker titel- che älteren Datums pendent seien, die sion des Nationalrates (SiK-N) hat am
ten. Diesbezüglich führte einerseits die regelmässig abgebaut wurden. 26. Januar 2021 nach ausführlichen
Geschäftsprüfungsdelegation der bei- Anhörungen ohne Gegenstimmen
den Räte (GPDel) Abklärungen durch. entschieden, auf die Vor-
Andererseits prüfte die unabhängige lage einzutreten. Sie ist
Aufsichtsbehörde über die nachrich- der Ansicht, dass dadurch
tendienstlichen Tätigkeiten (AB-ND) den Ermittlungsbehör-
die Führung von Dossiers über Politi- den griffige Methoden
kerinnen und Politiker im Geschäfts- gereicht werden, um Ermittlungs-
verwaltungssystem des NDB. arbeiten rascher und fokussierter zu
Nachdem der EDÖB aufgrund gestalten. Die Kommission betont,
von Bürgerbeschwerden darauf auf- dass die Verhältnismässigkeit der
merksam wurde, dass der NDB bei der Vorlage gegeben sei, da die Analyse-
Behandlung der Auskunftsgesuche ergebnisse der Phänotypisierung nur
sehr lange Bearbeitungszeiten aufwies, zur Aufklärung von Straftatbestän-
wurde er bei diesem vorstellig. Der den zur Anwendung komme, die eine
NDB hielt gegenüber dem EDÖB fest, maximale Freiheitsstrafe von mehr als
dass er seit 2019 rund zehnmal mehr drei Jahren vorsehen. In der aktuellen
Praxis darf in bestimmten Fällen aus
einer DNA-Spur nur das Geschlecht
bestimmt werden. Mit der Vorlage sol-
len neu auch die Wahrscheinlichkeiten
von Augen-, Haar- und Hautfarbe, die
mögliche biogeografische Herkunft Gesetzgebungsvorlage zur muss. Der EDÖB äusserte zudem
sowie das Alter eruiert werden dür- Überprüfung von Mobiltele- Zweifel darüber, ob die vorgeschla-
fen. Wie vom EDÖB gefordert, wird fonen im Asylverfahren genen Massnahmen die gewünschte
gesetzlich abschliessend festgelegt, Wirkung erzielen können und ob die
welche Merkmale untersucht werden Das mit der parlamentarischen Initia- vorgeschlagene Regelung im Lichte der
dürfen. tive 17.423 angestossene Gesetzge- verfassungsrechtlichen Grundsätze
Der EDÖB hatte zum Änderungs- bungsvorhaben will dem Staatssekre- der Gleichheit und Ver-
entwurf des EJPD Stellung genommen tariat für Migration (SEM) weiterge- hältnismässigkeit grund-
und einen strengen Gesetzesrahmen hende Kompetenzen zur Überprüfung rechtskonform umgesetzt
gefordert (betreffend erste Ämterkon- von mobilen Datenträgern bei der Iden- werden kann, zumal das
sultation vgl. 27. TB, Kap. 1.2). Er ver- titätsabklärung im Asyl- und Wegwei- administrative Asyl- bzw.
trat im Konsultationsverfahren – wie sungsverfahren einräumen. Der Beauf- Wegweisungsverfahren anders als das
bereits im Zusammenhang mit dem tragte hat diesbezüglich bereits früh Strafprozessrecht keine eigentlichen
Vorentwurf – den Standpunkt, dass grundlegende Bedenken geäussert. Er verfahrensrechtlichen Garantien für
die Phänotypisierung und der Suchlauf begrüsst die zwischenzeitlich gemach- die Beschlagnahme und Auswertung
nach Verwandtschaftsbezug durch das ten Verbesserungen, hält aber dennoch elektronischer Datenträger kennt.
Zwangsmassnahmengericht anzuord- an seiner grundsätzlichen Ablehnung Ebenso wenig dürfe die Massnahme
nen sind. Es handelt sich dabei um Ins- der Vorlage fest. zu einem indirekten Zwang führen,
trumente, die mit erheblichen Grund- Die von Nationalrat Rutz am 17. März Smart Devices auf sich zu tragen und
rechtseingriffen verbunden sind und 2017 eingereichte parlamentarische jederzeit verfügbar zu machen.
die nur zur Aufklärung schwerer Ver- Initiative 17.423 fordert Die betroffenen Behörden, dar-
brechen gegen die körperliche Unver- eine Änderung der recht- unter insbesondere das SEM, haben
sehrtheit, die Freiheit oder die sexuelle lichen Grundlagen, die die Kritik konstruktiv aufgenommen
Integrität eingesetzt werden dürften. es dem SEM erlauben, und sind in weiten Teilen auf die For-
Er begrüsst den Umstand, dass diese mobile Datenträger von derungen des EDÖB eingegangen. So
Forderung – trotz der ursprünglichen Asylsuchenden auszuwerten. Die wurde vom zwangsweisen Einzug
Ablehnung durch das EJPD – berück- staatspolitischen Kommissionen bei- elektronischer Datenträger abgesehen
sichtigt wurde. der Räte haben der Initiative Folge und eine formell-gesetzliche Grund-
gegeben. Gestützt darauf wurde die lage für die Massnahme geschaffen.
Änderung des Asylgesetzes sowie des Wie vom Beauftragten gefordert, wird
Ausländer- und Integrationsgesetzes nun ausdrücklich geregelt, dass es sich
ausgearbeitet, welche dem SEM wei- bei der Auswertung mobiler Daten-
tergehende Kompetenzen zur Über- träger zur Identitätsabklärung um eine
prüfung von mobilen Datenträgern bei subsidiäre Massnahme handelt, wel-
der Identitätsabklärung im Asyl- und che in jedem Fall verhältnismässig zu
Wegweisungsverfahren gewährt. erfolgen hat, und dass die Weigerung
Der EDÖB hat in den Konsul- einer asylsuchenden Person nur bei der
tationsverfahren zur Vorlage Stel- Glaubwürdigkeitsprüfung berücksich-
lung genommen und grundlegende tigt werden darf. Den betroffenen Per-
Bedenken geäussert (s. Bericht vom sonen kommen Anwesenheits- und
4.6.2020). So wies er darauf hin, dass Informationsrechte zu. Die Position
es sich bei der Auswertung elektroni- von Drittpersonen, deren Personenda-
scher Datenträger um einen massiven ten bei der Auswertung mitbetroffen
Eingriff in die Privatsphäre vieler Men- sind, konnte ebenfalls gestärkt werden.
schen handelt, der sich auf genügende Schliesslich begrüsst der Beauftragte,
formelle Rechtsgrundlagen stützen dass seinen grundsätzlichen Bedenken
gegenüber der Geeignetheit und Wirk- Intervention des EDÖB bei gewiesen, dass die vorgesehenen
samkeit der vorgesehenen Massnahme der Eidgenössischen Zollver- Bestimmungen zur Personendatenbe-
durch eine Evaluationspflicht Rech- waltung: Ungenügende Rege- arbeitung aus seiner Sicht gewichtige
nung getragen werden soll. lung der Datenbearbeitung in Mängel aufwiesen. Diese liessen ins-
Für den Beauftragten ist aller- neuem Zollpolizeigesetz besondere die vom Datenschutzgesetz
dings weiterhin nicht erkennbar, wie verlangte Bestimmtheit vermissen,
der Grundsatz der Subsidiarität und Die Eidgenössische Zollverwaltung welche es der Bevölkerung ermögli-
der Verhältnismässigkeit in der Pra- erarbeitet eine Gesetzesrevision mit chen würde, die in deren Privatsphäre
xis umgesetzt werden soll. Laut dem dem Ziel, den rechtlichen Rahmen für und Selbstbestimmung eingreifenden
erläuternden Bericht zur Änderung den Einsatz zukunftsorientierter digi- staatlichen Datenbearbeitungen sowie
der rechtlichen Grundlagen sollen taler Technologien zu legen und gleich- die ihr dagegen zur Verfügung stehen-
andere Massnahmen zur Identitäts- zeitig die notwendige organisatorische den Schutzrechte einzuschätzen.
abklärung namentlich dann zum Zuge Flexibilität zu schaffen, um in Zukunft Der Beauftragte hat den Bundes-
kommen, wenn sie im Vergleich zur noch rascher und wirksamer auf verän- rat dahingehend beraten, dass sich
elektronischen Datenauswertung derte Lagen reagieren zu können. Der Regierung und Parlament als politi-
mit einem geringeren Aufwand mög- Beauftragte begrüsst diese Bestrebun- sche Organe des Bundes vorbehalten
lich sind. Für die Beurteilung der Ver- gen. Er kritisiert jedoch die unzurei- mögen, die wesentlichen Grundzüge
hältnismässigkeit einer Massnahme chende Ausgestaltung der Datenbear- der neu in einem einzigen System der
dürfte damit letztlich ausschlaggebend beitungsregeln in diesem Grossprojekt. Zollpolizei vorzunehmenden Daten-
sein, welches Auswertungsverfah- Unter der Kurzbezeichnung «BAZG- bearbeitungen und die Schnittstel-
ren den geringsten Aufwand bereitet. Vollzugsaufgabengesetz» (BAZG-VG) len zu diesem System zu
Dabei ist zu bedenken, dass gemäss hat der Bundesrat am 11. September regeln.
Gesetzesvorlage die Auswertung von 2020 die Vernehmlassung über ein Vor dem Hintergrund
Personendaten durch den Einsatz Gesetzespaket eröffnet, mit dem er dieser Hinweise hat der
einer entsprechenden Software auto- die rechtliche Grundlage für das Digi- Bundesrat die Verwaltung
matisiert erfolgen kann. In der Folge talisierungs- und Transformations- angewiesen, die Datenbearbeitungs-
könnte die Auswertung elektroni- programm (DaziT) der Eidgenössi- bestimmungen zu überarbeiten, was
scher Datenträger regelmässig, wenn schen Zollverwaltung schaffen will. in den Vernehmlassungsunterlagen
nicht gar standardmässig, erfolgen. Die Dabei handelt es sich um ein finan- angedeutet wurde. Der Beauftragte
Effizienz darf jedoch nicht über die ziell bedeutsames und datenschutz- begrüsst dies. Er steht im intensiven
Wahrung fundamentaler Freiheits- sensibles Grossvorhaben. Die Zoll- Austausch mit der Eidgenössischen
rechte gestellt werden. Der Beauftragte verwaltung und das dort integrierte Zollverwaltung und dem Bundesamt
muss daher an seiner grundsätzlichen Grenzwachtkorps sollen in ein neu zu für Justiz, um anhand konkreter Anre-
Ablehnung der Vorlage festhalten. Er schaffendes Zollpolizeiamt, das «Bun- gungen eine Bereinigung der festge-
gibt dabei über den Kontext des Asyl- desamt für Zoll und Grenzsicherheit stellten Mängel zu bewirken.
rechts hinaus zu bedenken, dass frei- (BAZG)», überführt werden. Dessen
heitseinschränkende Massnahmen gesamte Belegschaft soll mit Polizeibe-
oft zunächst gegenüber Minderheiten fugnissen und damit zwangsbewehr-
eingeführt werden, bevor sie schritt- ten Datenbeschaffungskompetenzen
weise in anderen Zusammenhängen ausgestattet werden.
auf breite Bevölkerungskreise ausge- Der EDÖB hat die Eidgenössi-
weitet werden. sche Zollverwaltung in der zweiten
Ämterkonsultation (betreffend erste
Ämterkonsultation vgl. 27. TB, Kap.
2.4), welche vom 5. bis zum 25. März
2020 stattfand, vergeblich darauf hin-
Der EDÖB setzt sich vor (EFD) vorlegte und dann dessen ableh- informieren, sondern lediglich solche,
Bundesgericht für das Recht nende Verfügung an das Bundesver- deren Beschwerdeberechtigung auf-
auf Information in der waltungsgericht weiterzog (s. 26. TB, grund der Akten geradezu offensicht-
internationalen Steueramts- Kap. 1.3). lich ist.
hilfe ein Das Bundesverwaltungsgericht Unter Berücksichtigung dieser
gelangte in seinem Urteil vom 3. Sep- neuesten Rechtsprechung anerkannte
Das Bundesverwaltungsgericht hiess tember 2019 zum Schluss, dass in der der EDÖB vor Bundesgericht, dass
im 2019 eine Beschwerde des EDÖB internationalen Steueramtshilfe die Drittpersonen in der internationalen
zum Recht auf Information in der inter- vom Amtshilfeersuchen nicht betrof- Steueramtshilfe nicht generell, son-
nationalen Steueramtshilfe gut. Im fenen Personen (Drittpersonen), deren dern nur ausnahmsweise beschwer-
anschliessenden Beschwerdeverfahren Daten ungeschwärzt übermittelt wer- delegitimiert sind. Er hielt jedoch an
vor Bundesgericht hat sich der Beauf- den sollen, grundsätzlich der vom Bundesverwaltungsgericht
tragte erneut für das Recht auf Infor- vorgängig zu informieren bestätigten Auffassung fest, dass sämt-
mation eingesetzt. Der Entscheid des sind. Für Fälle, in welchen liche Drittpersonen im Grundsatz von
Bundesgerichts steht noch aus. mit der erforderlichen Amtes wegen vorgängig der Übermitt-
In der internationalen Steueramtshilfe Information unverhält- lung ihrer Daten informiert werden
knüpft das Recht, über ein laufendes nismässiger Aufwand verbunden ist müssen. Nur so können tatsächlich
Amtshilfeverfahren informiert zu wer- und der Vollzug der Amtshilfe ver- alle Drittpersonen, die im Sinne der
den, an die Beschwerdeberechtigung unmöglicht oder unverhältnismässig bundesgerichtlichen Rechtsprechung
einer Person an (vgl. Art. 14 Steuer- verzögert würde, sind gemäss Bun- beschwerdelegitimiert sind, von ihrem
amtshilfegesetz). Ende Dezember desverwaltungsgericht Ausnahme- Beschwerderecht Gebrauch machen
2017 erliess der EDÖB eine formelle regelungen zu erarbeiten. Der EDÖB und sich gegen eine bevorstehende
Empfehlung, wonach die Eidgenös- begrüsste das Urteil, da es die Grund- Datenübermittlung zur Wehr set-
sische Steuerverwaltung (ESTV) in rechte der Bankmitarbeitenden und zen. Der EDÖB hat vor Bundesgericht
der internationalen Steueramtshilfe weiterer Drittpersonen schützt. sodann erneut skizziert, wie sich eine
auch die vom Amtshilfeersuchen nicht Die ESTV erhob beim Bundesge- grundsätzliche Informationsverpflich-
betroffenen Personen (d.h. Drittperso- richt Beschwerde. Die von der ESTV tung der ESTV umsetzen liesse, ohne
nen), deren Namen ungeschwärzt an beantragte Sistierung des Verfahrens dass dieser daraus ein unverhältnis-
die ersuchende ausländische Behörde hob das Bundesgericht auf, nachdem mässiger Aufwand entsteht und die
übermittelt werden sollen, vorgän- es am 13. Juli 2020 in einer anderen internationale Steueramtshilfe über-
gig der Übermittlung zu informieren Angelegenheit mit ähnlicher Frage- mässig verzögert oder behindert wird.
hat (s. 25. TB, Kap. 1.9.2). Dem lag die stellung ein Grundsatzurteil (BGE Der Entscheid in dieser Angelegenheit
Auffassung des EDÖB zugrunde, dass 146 I 172) gefällt hatte. In jenem Urteil steht zurzeit noch aus.
Drittpersonen legitimiert sind, sich schränkte das Bundesgericht das Recht
gegen eine unrechtmässige Übermitt- auf Information stark ein: Es führte
lung ihrer Daten mittels Beschwerde aus, dass Drittpersonen, deren Daten
zur Wehr zu setzen. Die ESTV lehnte von der ESTV ungeschwärzt an die
diese Empfehlung ab, worauf der ersuchende ausländische Behörde
EDÖB die Angelegenheit zuerst dem übermitteln werden sollen, lediglich
Eidgenössischen Finanzdepartement ausnahmsweise, nämlich aufgrund
besonderer Umstände, legitimiert sind,
sich dagegen mittels einer Beschwerde
zu wehren. Sodann muss die ESTV
nicht sämtliche beschwerdelegitimier-
ten Drittpersonen von Amtes wegen
vorgängig der Datenübermittlung
Abklärungen 5G Implementie- zahl von technischen Fragen waren für Wie bei Sunrise fand der EDÖB auch
rungen von Sunrise und den Beauftragten folgende Aspekte bei der Swisscom keine Anhalts-
Swisscom von besonderer Bedeutung: Einerseits punkte, wonach die Umsetzung mit
war bereits 2018 diversen Medienbe- Fokus auf die Datensicherheit und
Der EDÖB konnte zwei unabhängig von- richten zu entnehmen, dass bei der den Datenschutz nicht angemessen
einander geführte Sachverhaltsabklä- Implementierung des 5G-Standards wäre. Bezüglich der Datensicherheit
rungen bei den Firmen Sunrise und empfindliche Schwachstellen auf- von 5G hat die Swisscom interne Secu-
Swisscom zur Implementierung der treten können und Sicherheitslücken rity Assessments durchgeführt. Wie
neuen Mobilfunkstandards der 5. Gene- bekannt seien. Andererseits bestanden Sunrise steht auch Swisscom im Aus-
ration (5G) abschliessen. Beide Anbie- Sicherheitsbedenken bezüglich der tausch mit diversen internationalen
ter zeigten auf, dass der Datenschutz verwendeten Ausrüster, insbesondere Gremien und Arbeitsgruppen und ori-
und die technische Sicherheit einen Huawei. Der EDÖB verlangte deshalb entiert sich an deren bewährten Ansät-
hohen Stellenwert geniessen. von den kontrollierten Unterneh- zen für einen sicheren Betrieb. Swiss-
Der neue Fernmeldestandard 5G soll men eine Stellungnahme, wie sie den com benennt ihren langjährigen Part-
gemäss den technischen Spezifika- bekannten Schwachstellen begegnen ner Ericsson als Hauptausrüster für
tionen nebst einer höheren Daten- und ob Abhängigkeiten zu einzelnen die 5G-Technologie und erklärt, dass
geschwindigkeit (sog. Datendurch- Lieferanten - namentlich zu Huawei es sich bei den von Huawei geliefer-
satzrate) auch eine erhöhte Sicher- - bestehen, welche die Verfügbarkeit ten und im Antennenbau eingesetzten
heit bieten. Aufgrund der Aktualität (beispielsweise aufgrund von US- Komponenten lediglich um passive
und Tragweite dieser Umstellung Handelssanktionen), die Vertraulich- Elemente ohne Elektronik handelt, die
hat der EDÖB im Jahr 2019 zwei for- keit oder die Datensicherheit beein- nur für das Empfangen und Senden
melle Sachverhaltsabklärungen bei trächtigen. der Wellensignale verwendet werden.
den Anbietern Swisscom und Sunrise Der Anbieter Sunrise zeigte auf, Der EDÖB kommt zum Schluss,
eröffnet, als diese die 5G-Einführung dass er sich konsequent mit interna- dass die Datensicherheit von den kon-
planten. Beide Anbieter haben dem tionalen Gremien und Arbeitsgruppen trollierten Unternehmen angemessen
EDÖB Einblick in die Konzeption der Telekommunikationsbranche aus- berücksichtigt wurde und die Daten-
und den Stand der Implementierung tauscht und dass er seine Implemen- schutzüberlegungen bei der Einfüh-
gegeben und umfangreiche Dokumen- tierung zusätzlich durch eine unab- rung einen hohen Stellenwert genies-
tationen zugestellt. Nebst einer Viel- hängige externe Firma untersuchen sen. Bei einer vollständigen Adaption
liess. Insbesondere die dort identi- des 5G-Standards sind gegenüber 4G
fizierten Massnahmen zur Verbesse- Vorteile bezüglich der Informationssi-
rung sind aus Sicht des EDÖB für die cherheit ersichtlich.
Erzielung einer ausreichenden Sicher-
heit und eines angemessenen Daten-
schutzniveaus von grossem Wert. Er
hat Sunrise deshalb die abschliessende
Umsetzung dieser Massnahmen emp-
fohlen. Bezüglich ihres 5G-Partners
und Ausrüsters Huawei hat Sunrise
Risikoanalysen durchgeführt. Dabei
wurden Risiken in den Bereichen Ver-
fügbarkeit, Zusammenarbeit und Spio-
nage identifiziert. Für diese anbieter-
spezifischen Risiken hat Sunrise Mass-
nahmen definiert und umgesetzt.
Fehlerhafte Datenbankein- Kreditfähigkeitsprüfung bei Ziel ist es, eine Überschuldung der
träge bei Inkassounterneh- Autoleasing Konsumentinnen und Konsumenten
men zu vermeiden. Diese Datenbearbeitun-
Um einen Leasingvertrag abschliessen gen unterliegen den Bestimmungen
Der EDÖB hat die Sachverhaltsabklä- zu können, müssen Kundinnen und des DSG und dürfen die Persönlichkeit
rung betreffend mögliche fehlerhafte Kunden ihr Einverständnis geben, dass der Leasingnehmenden und allfälliger
Datenbankeinträge bei einem der füh- ihre Kreditfähigkeit durch den Leasing- Dritter nicht widerrechtlich verletzen.
renden Inkassounternehmen fortge- anbieter geprüft wird. Dazu kann dieser Insbesondere dürfen nur diejenigen
setzt und den Untersuchungsgegen- auch Auskünfte bei Dritten einholen. Informationen bearbeitet werden, die
stand erweitert. Der EDÖB nimmt erste Abklärungen zu erforderlich sind, um die Kreditfähig-
Im Februar 2020 hatte der Beauftragte diesen Datenbearbeitungen vor. keit feststellen zu können.
bei dem Unternehmen eine Sachver- Bevor Konsumentinnen und Konsu- Durch Bürgeranfragen erhielt der
haltsabklärung wegen angeblich feh- menten einen Leasingvertrag für ein EDÖB Kenntnis davon, dass sich ein
lerhaften Datenbankeinträgen und Auto abschliessen können, muss der Leasinganbieter von Leasingantrag-
daraus folgenden Verwechslungen von Leasinganbieter deren Zahlungsfähig- stellenden deren Einverständnis geben
Personen mit gleichen oder ähnlichen keit überprüfen. Er muss zu diesem lässt, zwecks Prüfung der Zahlungsfä-
Namen und Adressen sowie mögli- Zweck gewisse Informationen über die higkeit zahlreiche Auskünfte bei Drit-
cherweise vorhandenen Schwierig- potenziellen Leasingnehmenden ein- ten einholen zu dürfen. Zustimmen
keiten bei der Korrektur von solchen holen, die Auskunft über deren wirt- muss man auch dem Einholen von
Fehleinträgen eröffnet (s. 27. TB, Kap. schaftliche Verhältnisse geben. Fällt Auskünften über dritte Personen wie
1.4). diese Kreditfähigkeitsprüfung nega- Ehepartner oder Familienmitglieder.
Im Berichtsjahr zeigte sich anhand tiv aus, darf der Leasingvertrag nicht Für den EDÖB stellte sich die Frage, ob
von Bürger- und Medienanfragen, dass abgeschlossen werden. Dies ist im sich diese Datenbearbeitungen auf ein
auch sogenannte «negative Haushalts- Konsumkreditgesetz so vorgesehen. datenschutzrechtlich erlaubtes Mass
treffer» datenschutzrechtliche Fragen beschränken und ob die Erkennbarkeit
aufwerfen. Der EDÖB der Datenbearbeitung für die Betroffe-
entschied sich deshalb, nen gewährleistet ist. Der Beauftragte
die laufende Sachver- hat den Leasinganbieter deshalb um
haltsabklärung um diesen Stellungnahme zu verschiedenen Fra-
Punkt zu erweitern. Von gen gebeten. Anhand der Antworten
negativen Haushaltstreffern spricht wird er prüfen, ob er eine Abklärung
man, wenn im Rahmen von Bonitäts- vornehmen und gegebenenfalls Mass-
auskünften negative Bonitätsinforma- nahmen empfehlen soll.
tionen über andere Personen im selben
Haushalt bekannt gegeben werden. So
kann es passieren, dass Kundinnen
und Kunden in Online-Shops trotz
einwandfreier Bonität Waren nicht
auf Rechnung bestellen können, wenn
in ihrem Haushalt eine Person mit
negativer Bonität wohnhaft ist. Diese
rechtlichen Abklärungen waren am
Ende des Berichtsjahres noch im Gang.
Bearbeitung von Kundendaten Unter anderem bedeutete dies, dass Verwendung der Daten von
durch Onlineshops die Kundinnen und Kunden der Auf- ricardo.ch innerhalb der
zeichnung und der Auswertung ihres TX Group
Wir haben bei einem Onlineshop ein Kaufverhaltens in individualisierter
Verfahren eröffnet, um die bei ihm und personenbezogener Form, der Im Rahmen des laufenden Verfahrens
anfallenden Bearbeitungen von Kun- Verknüpfung mit weiteren Personen- zur Abklärung des Sachverhalts hat der
dendaten auf ihre Datenschutzkon daten (z.B. mit in der Vergangenheit EDÖB die rechtliche Prüfung der Verwen-
formität hin zu überprüfen. Ausserdem von diesem oder anderen Unterneh- dung der auf der Plattform ricardo.ch
stellt sich die Frage, ob die Daten men des Konzerns oder von Dritten erhobenen Daten durch die TX Group
bearbeitungen gegen den ausdrückli- bereits gesammelten oder öffentlich vorgenommen. Wir sind zum Schluss
chen Willen der Nutzer erfolgen dürfen. erhältlichen Personendaten) sowie gekommen, dass die Datenbearbeitun-
Sei es wegen der Schliessung von der Weitergabe von Personendaten gen, welche zum Zweck der gezielten
Ladengeschäften während des Lock- an andere Unternehmen des Kon- Werbung durchgeführt werden, durch
downs oder wegen der mit einem zerns zustimmen mussten. Später eine Einwilligung der Nutzerinnen und
Geschäftsbesuch verbundenen Risi- beim Kundendienst eingereichte Nutzer gerechtfertigt werden müssen.
ken – die Corona-Pandemie hat viele Widerspruchsbegehren konnten diese Ferner sind wir der Auffassung, dass
Personen dazu veranlasst, ihre Ein- Datenbearbeitungen nicht verhindern. die Information an die Nutzergruppe
käufe online zu erledi- Der Betreiber des Onlineshops lehnte derzeit ungenügend und dass die
gen. Für manche Perso- diese mit der Begründung ab, dass die Datenschutzerklärung verbesserungs-
nen sind Onlineshops Datenschutzerklärung für die gesamte bedürftig ist.
sogar die einzige Mög- Kundschaft ausnahmslos und gleicher- Wie aus unseren vorangehenden
lichkeit geworden, um massen gelte und diese Bearbeitungen Tätigkeitsberichten zu entnehmen ist,
bestimmte Waren zu beschaffen. Auf- keine Optionen für die Kundinnen eröffnete der EDÖB eine Sachverhalts-
grund von Bürgeranfragen wurden und Kunden seien. abklärung gegen Ricardo bezüglich
wir darauf aufmerksam gemacht, dass Im Frühjahr 2020 haben wir den der Verwendung der bei der Online-
man bei einem der grössten Schwei- Betreiber des Onlineshops im Sinne Auktionsplattform ricardo.ch gesam-
zer Onlinehändler ein Kundenkonto einer Vorabklärung angeschrieben, melten Daten und dehnte diese auf die
erstellen und mithin sämtlichen in der um uns einerseits einen Überblick über Tamedia/TX Group. Unsere in diesem
Datenschutzerklärung umschriebe- seine Bearbeitungsmethoden zu ver- Zusammenhang durchgeführte Sach-
nen Datenbearbeitungen zustimmen schaffen und andererseits die Wider- verhaltsfeststellung konnte im März
musste, um eine Bestellung tätigen zu spruchsmöglichkeiten der Kundinnen 2020 abgeschlossen werden. Diese
können. und Kunden zu klären. Nach Auswer- Feststellung beruht namentlich auf
tung der Antwort des Betreibers haben der neuen Datenschutzerklärung von
wir in der Folge eine Sachverhalts ricardo.ch, die von den Unternehmen
abklärung eröffnet. Unser Fokus liegt der TX Group standardmässig einge-
dabei nebst der Analyse der Daten- setzt wird, sowie auf den Antworten
schutzkonformität der vom Betreiber von ricardo.ch und TX Group betref-
des Onlineshops und weiteren Unter- fend den konzerninternen Umgang
nehmen des Konzerns durchgeführ- mit Daten. Unsere rechtliche Beurtei-
ten Datenbearbeitung auf der Frage, lung aus Sicht des Datenschutzgeset-
ob diese Datenbearbeitungen gegen zes DSG wird in einem Schlussbericht
den ausdrücklichen Willen der Nutzer dargelegt.
erfolgen dürfen. Die Datenschutzerklärung von
Ricardo sieht namentlich die Mög-
lichkeit vor, den Unternehmen der
TX Group oder deren Partnern perso- Partnerfirmen zu adressieren, wobei • Die Datenschutzerklärung und die
nenbezogene Daten, die auf der Platt- eine Segmentierung nach sozio-demo- diesbezügliche Kommunikation
form ricardo.ch gesammelt werden, grafischen Merkmalen (anhand der von ricardo.ch/TX Group sind im
«zur Personalisierung und zu Marke- von der Nutzerin bei der Registrie- Sinne des Grundsatzes der Trans-
tingzwecken» zu übermitteln. Dazu rung gemachten Angaben) und nach parenz zu verbessern. Insbesondere
gehört, dass das Online-Verhalten mutmasslichen Interessensgebieten müssen die Nutzer eindeutig nach-
der Nutzerinnen und Nutzer anhand erfolgt, welche aus dem Online-Ver- vollziehen können, welche Datenbe-
von Analysetools mitverfolgt und halten der Nutzer auf anderen Portalen arbeitungen von Ricardo einerseits
analysiert werden kann. Eine solche der TX Group oder ihrer Partnersites und von der TX-Gruppe anderer-
Datenbearbeitung erfolge «vor allem hergeleitet werden. Möglich wird die seits durchgeführt werden, welche
mit pseudonymisierten oder anony- Verknüpfung der Daten innerhalb der Zwecke damit verfolgt werden, und
misierten Daten». Zweck der Daten- TX Group durch pseudonyme Identifi- ob es Möglichkeiten gibt, dagegen
bearbeitung ist das Adressieren oder katoren, die unter anderem ausgehend Einspruch zu erheben. Gegebenen-
Anzeigen von «anonymer Werbung» von Email-Adressen erzeugt werden. falls müssen die Widerspruchs-
auf Portalen der TX Group sowie die Unsere rechtliche Prüfung des möglichkeiten effektiv durchgesetzt
Verbesserung der Sicherheit. Sachverhalts führte unter anderem zu werden können.
Unsere Sachverhaltsfeststellung folgenden Feststellungen: Der EDÖB arbeitet an der Prüfung des
konnte aufzeigen, dass die TX Group • Die Bearbeitung der Daten, insbe- weiteren Vorgehens.
(ehemals Tamedia AG) bestimmte sondere die von der TX Group vor-
Daten der Nutzerinnen und Nutzer genommene Datenver-
der Plattform ricardo.ch für Marke- knüpfung und die Nut-
tingzwecke bearbeitet und analysiert. zersegmentierung, ent-
Die Datenbank des Konzerns lässt sich spricht einer Bearbeitung
anhand von Daten speisen, die auf ver- von Personendaten, die
schiedenen Portalen der TX Group dem Datenschutzgesetz untersteht.
erhoben und in eine aggregierte Form Die Zusammenstellung von Daten,
gebracht werden. Zweck der Analyse die aus dem Profiling hervorgehen,
und der Verknüpfung dieser aus unter- kann zudem im vorliegenden Fall
schiedlichen Quellen stammenden ein Persönlichkeitsprofil im Sinne
Daten ist es, gezielte Werbung an die des DSG darstellen, so dass die
Nutzerinnen und Nutzer von Dienst- erhöhten datenschutzrechtlichen
leistungen der TX Group oder ihrer Anforderungen hier zum Tragen
kommen.
• Ein derartiges Profiling zum Zweck
der gezielten Werbung setzt nach
Auffassung des Beauftragten die
Einwilligung der betroffenen Perso-
nen voraus, welche ausserdem aus-
drücklich erfolgen muss. Denn die
vorliegenden berechtigten Interes-
sen der TX Group überwiegen im
konkreten Fall das Recht auf infor-
mationelle Selbstbestimmung der
Nutzerinnen und Nutzer der Platt-
form ricardo.ch nicht.
1.5 Gesundheit
nforderungen an Cloud-
A Der EDÖB weist im Rahmen seiner Abschliessend lässt sich deshalb
Lösungen für die Bearbeitung Beratungstätigkeit zunächst darauf festhalten, dass der EDÖB von der
von Patientendaten hin, dass der Arzt auch bei der Ver- Verwendung von gängigen unentgelt-
wendung einer Cloud-Lösung für die lichen Cloud-Lösungen für den Aus-
Im Gesundheitsbereich werden zu Sicherheit der Daten ver- tausch bzw. für die Aufbewahrung
nehmend Cloud-Lösungen für die Bear- antwortlich bleibt, selbst von Patientendaten abrät, da diese die
beitung von Patientendaten genutzt. wenn er fortan nur noch obengenannten Bedingungen in der
Der EDÖB hat im Rahmen seiner Be eine begrenzte Kontrolle Regel nicht erfüllen.
ratungstätigkeit auf die Punkte hinge- über die Datensicherheit
wiesen, die von Gesundheitsfach hat. Daher muss er den Cloud-Provider
personen bei der Auswahl einer Cloud- sorgfältig auswählen und auf folgende
Lösung zu beachten sind. Punkte achten:
Der EDÖB wurde im Berichtsjahr wie- • Die Daten sollten in der Schweiz
derholt von Ärzten, Psychologen und verbleiben;
weiteren im Gesundheitsbereich täti- • Der Vertrag mit dem Cloud-Provider
gen Personen bezüglich der Verwen- sollte den Anforderungen aus dem
dung von Cloud-Lösungen Arztgeheimnis genügen;
für die Bearbeitung von • Alle Personen mit Zugriff auf die
Patientendaten kontak- Patientendaten müssen der ärztli-
tiert. Dabei ging es um die chen Schweigepflicht unterstehen;
Bearbeitung resp. Speiche- • Die Löschung der Patientendaten
rung von Gesundheitsdaten in einem sollte jederzeit möglich sein;
von einem externen Anbieter (sog. • Eine Liste aller Personen, die Zugriff
Cloud-Provider) betriebenen Rechen- auf die Daten haben, sollte jederzeit
zentrum. Die Anfragen bet rafen insbe- eingefordert werden können;
sondere die Aufbewahrung und Wei- • Die Datensicherheit sollte regel
tergabe, bzw. die Löschung von Pati- mässig überprüft werden, und die
entendaten (z.B. nach dem Tod eines dazugehörigen Audits sollten ver-
Patienten oder nach Auflösung einer fügbar sein;
Arztpraxis). • Der Ansprechpartner in Sachen
Datenschutz sollte dem Arzt
bekannt sein;
• Ein Backup sollte täglich erstellt
werden können;
• Alle Verbindungen müssen ver-
schlüsselt werden, und eine
2-Faktoren-Authentifizierung sollte
die Zugriffe auf die Daten auf die
berechtigen Personen beschränken.
CORONA
CORONA
Der Staat und Private, die staatliche nicht zugemutet werden kann. Mit
Aufgaben erfüllen, dürfen Differen- Blick auf die Art der Bearbeitung
Datenschutzrechtliche
zierungen aufgrund des Impfstatus betonte der EDÖB schliesslich, dass
Herausforderungen mit
nur gestützt auf eine entsprechende Personen, die nicht in der Lage oder
Blick auf mögliche Erleich-
gesetzliche Grundlage vornehmen. nicht willens sind, einen Impfnach-
terungen für geimpfte
Demgegenüber sind unter Privaten weis auf dem Smartphone vorzu-
Personen
solche Differenzierungen vor dem zeigen, zumutbare Alternativen zur
Mit dem Verfügbarwerden von Impfun- Hintergrund der Vertragsfreiheit digitalen Bearbeitung der erwähnten
gen gegen das COVID-19-Virus setzte grundsätzlich auch ohne explizite Personendaten unter vergleichbaren
eine öffentliche Diskussion über die Auf- Rechtsgrundlage möglich. Bedingungen anzubieten sind.
hebung von Verboten und die Freiheit Machen Private den Zugang Dieser letzte Aspekt ist für
einschränkenden Massnahmen zu zu Gütern oder Leistungen vom den Beauftragten von besonderer
Gunsten von Geimpften ein. Der EDÖB Impfstatus ihrer Kundschaft oder Bedeutung, weil davon auszu-
sprach sich seit Dezember 2020 öffent- Gäste abhängig, bearbeiten sie dabei gehen ist, dass die systematische
lich dafür aus, dass die mit Erleichterun- regelmässig Gesundheitsdaten ihrer Personendatenbearbeitung durch
gen für Geimpfte einhergehende Bear- Mitbürgerinnen und Mitbürger, was Private im Kontext der Pandemie die
beitung von Gesundheitsdaten durch je nach Umständen, zu Persönlich- informationelle Selbstbestimmung
Staat und Wirtschaft nach klaren Vorga- keitsverletzungen führen kann. Der der Bevölkerung über die aktuelle
ben des öffentlichen Rechts erfolgen Beauftragte stellte Situation hinaus prägen wird.
muss und nicht zu einer faktischen sich deshalb bereits zu
Smartphone-Tragpflicht führen darf. Beginn der öffentlichen
Diskussion wie auch in
Mit der Perspektive auf eine Impfung den erwähnten Anhö-
gegen das COVID-19-Virus setzte rungen auf den Standpunkt, dass
in der zweiten Welle der Pandemie für diesen Fall gesetzliche Vorgaben
eine öffentliche Diskussion über die geschaffen werden sollten. Er wies
Aufhebung von Verboten und die zudem auf die datenschutzrecht-
Freiheit einschränkenden Mass- lichen Anforderungen hin, deren
nahmen zu Gunsten von Geimpften Erfüllung Private sicherzustellen
ein. Wie diese aus rechtlicher Sicht haben, sofern sie den Zugang zu
umzusetzen wäre, haben die Staats- Gütern oder Leistungen von der
politischen Kommissionen beider Offenlegung eines Testresultats
Räte unter Anhörung des Beauftra- oder eines Impfnachweises abhängig
gen erörtert (siehe dazu die Medien- machen wollen (siehe dazu unsere
mitteilung SPK-S vom 23.02.2021). Kurzmitteilung vom 22.01.2021).
So muss die Beschaffung und
Weiterbearbeitung der Personen-
daten im Sinne der Verhältnismäs-
sigkeit geeignet sein, den verfolgten
Zweck, d.h. den Schutz vor Über-
tragung und Erkrankung, zu erfüllen.
Sodann ist auf die Einforderung
von Gesundheitsdaten als Voraus-
setzung für den Zugang zu Gütern
oder Leistungen abzusehen, wenn
deren Verzicht den Betroffenen
CORONA
barer) Eintrag auf einer einschlägigen Forderungen zur datenschutzrecht-
Plattform angeboten. Die vielfältigen lichen Ausgestaltung decken sich im
Datenschutzkonforme
Möglichkeiten wurden jedoch nicht Wesentlichen mit der Haltung des
U msetzung des COVID-19-
alle den datenschutzrechtlichen Europäischen Datenschutzausschus-
Zertifikats
Anforderungen gerecht, was den ses (EDSA) und des Europäischen
Angesichts des Bedürfnisses, für Aus- EDÖB zu aufsichtsrechtlichen Inter- Datenschutzbeauftragten (EDSB)
landreisen eine erfolgte COVID-19- ventionen veranlasste (s. Box zu zum «Digitalen Grünen Pass», der im
Impfung, eine durchgemachte Erkran- «meineimpfungen.ch»). EU-Raum für den grenzüberschrei-
kung oder ein negatives Testresultat Im März 2021 hat der Bundes- tenden Verkehr eingeführt werden
nachweisen zu können, hat das Bundes- gesetzgeber mit dem neuen Artikel soll. Darüber hinaus hat der EDÖB
parlament im März 2021 eine Gesetzes- 6a des COVID-19-Gesetzes ein gegenüber der Projektgruppe daten-
bestimmung für ein einheitliches, fäl- einheitliches und international schutzrechtliche Vorgaben für eine
schungssicheres und international aner- anerkanntes COVID-19-Zertifikat datensparsame Ausgestaltung der
kanntes COVID-19-Zertifikat geschaffen. eingeführt. In dieser Bestimmung Zertifikate für allfällige weitere Ver-
Der Beauftragte begleitet die Umset- werden die Voraussetzungen für wendungszwecke im Inland formu-
zungsarbeiten des Bundesamtes für die Impf-, Test- und Genesungs- liert. Für solche weiteren Verwen-
Gesundheit (BAG) im Rahmen seiner auf- nachweise festgehalten. Demnach dungszwecke sollen gemäss der vom
sichtsrechtlichen Beratungspflicht. muss ein entsprechender Nachweis Beauftragten vertretenen Meinung
persönlich, fälschungssicher, unter öffentlich-rechtliche Grundlagen
Im Verlauf der zweiten Welle der Einhaltung des Datenschutzes geschaffen werden, die sich nicht nur
Pandemie zeichnete sich das Bedürf- überprüfbar und so ausgestaltet sein, an Behörden, sondern auch Private
nis ab, vorab für den internationalen dass nur eine dezentrale oder lokale richten (s. vorangehenden Text).
Personenverkehr, eventuell aber Überprüfung der Authentizität und
auch weitere Verwendungsmög- Gültigkeit von Nachweisen mög-
lichkeiten, für geimpfte, genesene lich ist. Sodann soll der Nachweis
oder negativ auf das Coronavirus möglichst für die Ein- und Ausreise
getestete Personen die entspre- in andere Länder verwendet werden
chenden Bescheinigungen in zuver- können. In der Vorgabe des Gesetz-
lässiger Art und Weise vorbringen gebers, wonach das Zertifikat künf-
zu können. Spezifische gesetzliche tig nicht nur digital, sondern auch
Regelungen über Form und Inhalt auf Papier nutzbar sein soll, findet
eines Impfausweises bestanden auch die Forderung des Beauftragten
bis dahin in der Schweiz keine. So Niederschlag, dass das elektronisch
wurden auch die Nachweise über verfügbare Zertifikat nicht zu einer
eine erfolgte COVID-19-Impfung faktischen Smartphone-Tragpflicht
oder ein Testresultat in Papierform, führen darf.
per SMS, E-Mail oder als (verifizier- Weiter sieht die Bestimmung vor,
dass der Bund den Kantonen und
Dritten ein System für die Erteilung
von Nachweisen zur Verfügung
stellen kann. Zur Entwicklung eines
solchen Systems hat das BAG am
29. März 2021 eine Projektgruppe
eingesetzt, die der EDÖB in Aus-
übung seiner aufsichtsrechtlichen
Beratungspflicht begleitet. Seine
Elektronisches Patienten- jedem einzelnen Dokument selbst die beiden Gemeinschaften aufgefor-
dossier – Erste Stammge- verwalten können. Richtig umge- dert darzulegen, welche wesentlichen
meinschaften zertifiziert setzt werden müssen somit Vertrau- Datenschutzrisiken sie im Zusammen-
lichkeitsstufen für jedes Dokument, hang mit dem EPD bislang identifiziert
In allen Regionen der Schweiz steht die Zuweisung von Benutzerrollen haben, mit welchen Massnahmen sie
das elektronische Patientendossier an einzelne Gesundheitsfachperso- diesen Herausforderungen begegnen
(EPD) in den Startlöchern. Der EDÖB hat nen, Stellvertretungsregelungen und und wie sie diesbezüglich ihre daten-
hierbei die Entwicklung der Zertifizie- die Einstellung, dass ein Zugriff in schutzrechtliche Verantwortung
rungsverfahren verfolgt. Sodann hat er Notfallsituationen nur mit vorgän- wahrnehmen.
Kontakt mit neuen Stammgemein- giger Berechtigung der Wichtigster Ansprechpartner für
schaften aufgenommen und bei behandelnden Gesund- den Beauftragten werden die Daten-
bereits bestehenden Kontakten den heitsfachperson möglich schutz- und Datensicherheitsverant-
Austausch intensiviert. Inzwischen sein soll. Der EDÖB hat wortlichen sein, welche die Stamm-
wurden die ersten Stammgemein- auch darauf ein Augen- gemeinschaften gestützt auf die EPDV
schaften zertifiziert. merk gesetzt und wird die Regelung einsetzen müssen.
Das EPD ist ein virtueller Sammelort der Zugriffsrechte insbesondere nach
von Links, mit welchem Privatperso- den abgeschlossenen Zertifizierungs-
nen über ihre persönlichen Gesund- verfahren der Stammgemeinschaften
heitsdaten, wie beispielsweise Arzt- weiter beobachten, sodass Patientin-
berichte oder Rezepte, digital verfügen nen und Patienten auch nach Erteilung
können. Diese Gesundheitsdaten sind ihrer Einwilligung die Kontrolle über
besonders schützenswerte Personen- die Daten behalten. Der EDÖB steht
daten, deren Bearbeitung eine aus- sodann auch weiterhin im Austausch
drückliche Einwilligung der Betroffe- mit dem BAG, den Anbietern der tech-
nen voraussetzt. Dies bedingt wiede- nischen Infrastruktur und kantonalen
rum eine angemessen klare und voll- Datenschutzbehörden. U.a. ermög-
ständige Information der Patientinnen licht dieser Kontakt, Kompetenzfra-
und Patienten. Für den EDÖB ist die gen zu klären, die sich daraus ergeben,
saubere Umsetzung dieses Aspekts dass gewisse medizinische Leistungs-
von besonderer Bedeutung. So konnte erbringer wie Spitäler der kantona-
er im Berichtsjahr bereits entspre- len Datenschutzaufsicht unterstehen,
chende Dokumente von Stammge- während der EDÖB die Ärztinnen und
meinschaften sichten. Stammgemeinschaften beaufsichtigt.
Das am 15. April 2017 in Kraft Geplant war, dass die Stammge-
getretene Bundesgesetz über das elek- meinschaften im April 2020 ihren
tronische Patientendossier (EPDG) Betrieb aufnehmen. Jedoch hat sich der
sieht vor, dass Patientinnen und Pati- geplante Starttermin aufgrund länger
enten sämtliche Zugriffsrechte zu andauernder Zertifizierungsverfah-
ren verzögert. Mitte November 2020
wurde mit «eHealth Aargau (SteHAG)»
die erste Stammgemeinschaft gemäss
EPDG zertifiziert. Mit der Stammge-
meinschaft Südost des Vereins «eSA-
NITA» konnte Ende Dezember 2020
ein zweiter EPD-Anbieter die Zerti-
fizierung abschliessen. Der EDÖB hat
CORONA
auf ihrem Smartphone aktiviert dokumentiert. Dies erlaubte es
hatten und sich in der Nähe einer unseren Spezialisten, die Applika-
Proximity Tracing-App des
Person mit einem ebensolchen Gerät tion und deren Systemarchitektur
Bundes (SwissCovid-App)
mit dieser App befunden hatten, unter Einschluss der Umsetzung
Bereits zu Beginn der Corona-Pandemie die später positiv auf das Corona- im Backend-Server technisch zu
wurde der EDÖB von den Entwicklern des virus getestet wurde. Im Rahmen überprüfen. Im Mai stellte der EDÖB
Proximity Tracing-Systems, das später seiner Erstbeurteilung stellte der u.a. gestützt auf eine Datenschutz-
zur SwissCovid-App des Bundes führte, EDÖB fest, dass das Projekt mit dem Folgenabschätzung fest, dass die
um eine beratende Mitwirkung an ihren geplanten Verzicht auf Erhebung von datenschutzrechtlichen Voraus-
Arbeiten angegangen. Das System Standortdaten, der Verwendung von setzungen für die Durchführung
ermittelt via Bluetooth-Funktechnik temporären Identifizierungscodes eines Pilotbetriebs gegeben waren
epidemiologisch relevante Kontakte und der Freiwilligkeit der Teilnahme (s. Stellungnahme des EDÖB vom
zwischen Mobiltelefonen und zeichnet wichtige Anliegen zum Schutz der 13. Mai 2020).
sie lokal auf. Der EDÖB hat die Entwick- Privatsphäre und der informatio- Nach Würdigung eines im Juni
lung der SwissCovid-App zunächst in nellen Selbstbestimmung berück- veröffentlichten Berichts des Natio-
technischer Hinsicht und später auch sichtigte. nalen Zentrums für Cybersicherheit
mit Blick auf die Gesetzgebung eng In der Folge entwickelten die (NCSC) bekräftige der EDÖB diese
begleitet. EPFL und ihre Partner die Applika- Einschätzung. Er unterstrich, dass
tion unter der Bezeichnung «Decen- die von datenschutzaffinen Kreisen
Am 21. März 2020, wenige Tage tralized Privacy Preserving Proxi- und Medienberichten kritisierte
nachdem in der Schweiz die ausser- mity Tracing» (DP-3T) weiter. Diese Nutzung der Programmierschnitt-
ordentliche Lage im Sinne des Arbeiten erfolgten unabhängig vom stellen (sog. API-Schnittstellen,
Epidemiengesetzes (EpG) ausgeru- europäischen Projekt «Pan-Euro- application programming inter-
fen worden war, wurde der EDÖB pean Privacy-Preserving Proximity face) von Google und Apple für die
von den Entwicklern einer «Covid Tracing» (PEPP-PT) und brachten SwissCovid-App im Vergleich mit
Proximity Tracing-App» kontaktiert in datenschutzrechtlicher Hinsicht der übrigen Alltagsnutzung dieser
und um eine datenschutzrechtliche Verbesserungen mit sich, nament- Schnittstellen durch die Bevöl-
Beurteilung gebeten. Die Projekt- lich aufgrund des fortan verfolgten kerung keine signifikant höheren
verantwortlichen aus dem Umfeld dezentralen Ansatzes der Datenbe- Risiken mit sich bringt.
der École polytechnique fédérale arbeitung. Als vorteilhaft beurteilten Nachdem der Beauftragte
de Lausanne (EPFL) und aus der wir namentlich, dass der auch beim gegenüber der Verwaltung vergeb-
Privatwirtschaft bezweckten mit der dezentralen Ansatz unverzichtbare lich forderte, für die Applikation
Applikation die Alarmierung von zentrale Server nur anonyme Schlüs- nach Massgabe von Art. 17 DSG
Personen, welche die Covid-App sel erhalten würde und epidemio- die Schaffung einer hinreichend
logisch relevante Annäherungen nur konkreten Rechtsgrundlage im Epi-
lokal auf den Smartphones regist- demiengesetz einzuleiten, konnte
riert werden sollten. er die zuständigen parlamentari-
Im weiteren Verlauf des Projekts schen Kommissionen dahingehend
hat der Bund die Einführung eines beraten, eine solche zu schaffen.
auf DP-3T basierenden, offiziel-
len Tracing-Systems beschlossen.
Das federführende Bundesamt für
Gesundheit (BAG) hat uns fortan
in die Umsetzungsarbeiten für die
zukünftige SwissCovid-App des
Bundes einbezogen und umfassend
CORONA
Mit seiner Intervention konnte aufgrund ihres Alters, ihrer Gesund-
der EDÖB dazu beitragen, dass der heit oder wegen Behinderungen
Der gesetzliche Rahmen der
Bundesrat das per 22. Juni 2020 gar nicht in der Lage sind. Diesen
Kontaktdatenerfassung
eingeführte Kontaktdaten-Obli- Menschen haben die privaten Be
Mit seinen Interventionen hat der EDÖB gatorium auf eine hinreichend triebe nebst digitalen auch alter-
dazu beigetragen, dass die Erhebung bestimmte Rechtsgrundlage stellte. native Erhebungsmethoden wie
von Kontaktdaten zur Rückverfolgung Mit der COVID-19-Verordnung das Ausfüllen von Papierformularen
von Ansteckungen mit COVID-19, das besondere Lage hat er den Verwen- zu zumutbaren Konditionen zur
sogenannte Contact Tracing, auf hinrei- dungszweck der gesammelten Daten Verfügung zu stellen.
chend bestimmte Rechtsgrundlagen eingegrenzt (Übermittlung an die Seit dem Sommer 2020 haben
gestellt wurde und dabei die Grundsätze zuständige kantonale Behörde zum sich schliesslich Hinweise auf Pro-
des Datenschutzgesetzes eingehalten Zweck des Contact Tracing im Falle bleme juristischer und technischer
werden. einer Infektion), die Anforderungen Natur bei der Verwendung bestimm-
an die Aufbewahrung (Wahrung ter Applikationen für die Kontakt-
Als es am 11. Mai 2020 zur Wie- der Vertraulichkeit) und die auto- datenerfassung gehäuft. Dies hat den
dereröffnung der Restaurants, matische Löschung nach 14 Tagen EDÖB veranlasst, in Bezug auf eine
Bars, Diskotheken, Fitnesszentren geregelt sowie die auf Bundesebene in Teilen der Schweiz stark verbrei-
und weiterer öffentlich zu erfassenden Datenkategorien tete App eine Sachverhaltsabklärung
zugänglicher Einrich- festgelegt (Name, Vorname, Wohn- einzuleiten. Der EDÖB ist bestrebt,
tungen kam, haben ort und Telefonnummer). die Untersuchung vor der nächsten
viele Betriebe im Rah- Um die Effizienz der Kontakt- Wiedereröffnung der Gastronomie
men der vom Bundes- rückverfolgung zu verbessern, abzuschliessen, was angesichts der
rat angeordneten Schutzkonzepte haben einige Kantone die Betreiber Formalitäten des Verfahrens eine
die Erhebung von Kontaktdaten zur der Gaststätten angewiesen, für grosse Herausforderung darstellt.
Rückverfolgung von Ansteckungen die Kontaktdatenerhebung eine
vorgesehen. Da für die Erhebung bestimmte Applikation zu verwen-
und Weiterbearbeitung dieser Daten den. Abgesehen vom Hinweis auf
zunächst keine gesetzliche Grund- das Erfordernis einer klaren (kanto-
lage bestand, hat sich der EDÖB nal-)rechtlichen Grundlage hat der
öffentlich dafür ausgesprochen, EDÖB betont, dass die entsprechen-
dass diese vorderhand nur freiwil- den Applikationen eine erkennbare,
lig erfolgen durften (s. Mitteilung zweckgebundene und
«Corona-Schutzkonzepte»). sichere Datenbearbeitung
gewährleisten müssen.
Auch hat er wiederholt
darauf hingewiesen, dass
Private ihren Kunden keine faktische
Smartphone-Tragpflicht auferlegen
dürfen. Zum einen gibt es Leute, die
nicht willens sind, ein mit einem
bestimmten Programm bestücktes
Smart Device vorzuzeigen, weil sie
sich vor einem Zugriff auf die dort
vorhandenen Daten ihrer digitalen
Lebensführung fürchten und zum
anderen gibt es Personen, die dazu
1.6 Arbeit
CORONA
die Informationssicherheit und den in der Schweiz zugreifen. Solange
Datenschutz verantwortlich und jedoch der Arbeitnehmende aus
Datenschutzrechtliche
somit an die Datenbearbeitungs- seinem Homeoffice im Ausland
Aspekte im Homeoffice
grundsätze des DSG gebunden. Im per Virtual Private Network (VPN)
Im Berichtsjahr wurde für zahlreiche Sinne dieser Ausführungen obliegt auf den Firmenserver zugreift und
Angestellte die Verlegung des Arbeits- es deshalb dem Arbeitgeber, eine Personendaten nur in dem Umfang
platzes in die eigenen vier Wände ange- Software auszuwählen, welche bearbeitet, wie er es normalerweise
ordnet. Entsprechend beschäftigte sich die Sicherheit der bearbeiteten auch in den Büroräumlichkeiten
der EDÖB vermehrt mit Fragen rund um Personendaten in hinreichender des Unternehmens tun würde und
die Verwendung verschiedener Video- Weise gewährleistet. Unter dem insbesondere die Personendaten
konferenzlösungen, die Überwachung Titel «Massnahmen für eine sichere niemandem im Ausland zugänglich
vom Mitarbeitenden sowie Zugriffe auf Nutzung von Audio- und Video macht, handelt es sich nach Ansicht
Schweizer Firmenserver aus dem Aus- konferenzlösungen» hat der EDÖB des EDÖB nicht um eine grenz
land. auf seiner Webseite einen Leitfa- überschreitende Datenbekanntgabe
den publiziert, der die wichtigsten im Sinne des DSG. Unabhängig
Die Frage, unter welchen Vorausset- datenschutzrechtlichen Vorgaben davon, ob sich Mitarbeitende im
zungen Homeoffice für Angestellte zusammenfasst, die bei der Auswahl Homeoffice im Ausland oder in der
eingeführt werden kann, beantwor- der entsprechenden Plattformen Schweiz befinden, muss die Ver
tet sich nach Massgabe des Arbeits- beachtet werden müssen. traulichkeit von Personendaten in
rechts. Aus datenschutzrechtlicher Mehrere Anfragen aus der Bevöl- jedem Fall gewährleistet sein.
Perspektive ergeben sich aus dieser kerung bezogen sich auf die
Konstellation allerdings einige nicht Befürchtung, im Homeoffice einer
unerhebliche Fragestellungen, etwa permanenten Über-
im Zusammenhang mit dem Einsatz wachung durch den
digitaler Kommunikationsmittel Arbeitgeber ausgesetzt
für Telefon- und Videokonferenzen zu sein. Der EDÖB ist
(s. Kap. 1.1, Box zu entsprechendem sich bewusst, dass je
Leitf aden) oder mit der Verwendung nach verwendeter IT-Lösung das
von Plattformen für den Datenaus- Verhalten der Arbeitnehmenden im
tausch. Selbst wenn sich die Pflich- Homeoffice auf einfache Art und
ten der Arbeitnehmenden punktuell Weise permanent überwacht werden
verschieben können, bleibt der könnte – was jedoch im Lichte des
Arbeitgeber auch in Krisenzeiten für DSG unzulässig und auch gestützt
auf Normen des Arbeitsgesetzes aus-
drücklich untersagt ist.
Schliesslich sah sich der EDÖB
mehrmals mit der Frage konfrontiert,
ob es sich um eine Datenbekannt-
gabe ins Ausland handelt, wenn
Arbeitnehmende im Homeoffice im
Ausland arbeiten – sei dies in einer
Ferienresidenz oder im Falle von
Grenzgängern, im eigenen Zuhause
– und von dort auf den Firmenserver
CORONA
temperatur durch die Einnahme von
Medikamenten auf einfache Art und
Datenschutzrechtliche
Weise künstlich gesenkt werden.
Vorgaben zur Früherkennung
Ferner weisen nicht alle Virusträger
von Corona im Arbeits
Fiebersymptome auf. So
bereich
erscheint die flächende-
Die Corona-Pandemie warf mit Blick auf ckende Temperaturmes-
die Arbeitsverhältnisse diverse Fragen sung nur bedingt geeig-
zur Datenschutzkonformität auf, so net, um Ansteckungen
etwa bezüglich der Zulässigkeit von am Arbeitsplatz zu verhindern. Der
Temperaturmessungen am Arbeitsplatz Arbeitgeber musste sich alsdann fra-
oder der internen Kommunikation über gen, ob es nicht andere Massnahmen
festgestellte Ansteckungen. Regelmäs- gibt, die weniger einschneidend sind
sig stellte sich dabei die Frage, ob die und die zum gleichen Ziel führen
entsprechenden Massnahmen verhält- könnten. Der EDÖB hat in diesen
nismässig sind. Fällen jeweils vorgeschlagen, die
Mitarbeitenden zu verpflichten, sich
Der Arbeitgeber darf im Rahmen des beim Auftreten der für eine Corona-
Arbeitsverhältnisses nur diejenigen Infektion typischen Symptome
Daten über die Arbeitnehmenden sofort bei einer Vertrauensperson im
bearbeiten, die für die Durchführung Betrieb zu melden. Der EDÖB hat
des Arbeitsverhältnisses notwendig sich bei der Beurteilung dieser Frage-
sind. Der Verhältnismässigkeits- stellung auch an den Empfehlungen
grundsatz gemäss DSG muss dabei der Swiss National COVID-19 Sci-
stets berücksichtigt werden. So muss ence Task Force orientiert, die von
jede Datenbearbeitung geeignet, Temperaturmessungen als isolierte,
notwendig und zumutbar sein, um präventive Massnahme ausdrücklich
das angestrebte Ziel – in diesem Fall abgeraten hat.
die Vermeidung von Infektionen am Regelmässig wurde auch die Frage
Arbeitsplatz – zu erreichen. aufgeworfen, wie ein Arbeitgeber
Mit Blick auf Temperaturmes- einen Ansteckungsfall der übrigen
sungen am Arbeitsplatz stellte sich Belegschaft mitteilen soll bzw. darf –
die Frage, ob diese Massnahme tat- dies mit dem Ziel, dass sich die-
sächlich geeignet ist, um die Anste- jenigen Mitarbeitenden, die mit der
ckungen zu begrenzen. Einerseits infizierten Person Kontakt hatten,
kann eine erhöhte Temperatur ein in Quarantäne begeben können.
Symptom einer anderen Krankheit Der Arbeitgeber hat gegenüber den
sein, andererseits kann die Körper- Arbeitnehmenden eine Fürsorge-
pflicht, welche die Bearbeitung die-
ser Information gebietet, auch wenn
die Kontaktrückverfolgung grund-
sätzlich den zuständigen kantonalen
Behörden (Kantonsarzt) obliegt und
nicht den jeweiligen Arbeitgebern.
1.7 Versicherungen
Einführung des Hinweis- und Meldegründe sind versicherungs- Die Anregungen des EDÖB wurden
Informationssystems HIS in vertrags- oder haftpflichtrechtlicher, mehrheitlich umgesetzt. Namentlich
der schweizerischen Versi- nicht jedoch strafrechtlicher Natur. Ob wurden die Gründe für eine Meldung
cherungswirtschaft eine Person im HIS gemeldet ist, kann im HIS weiter präzisiert. Letztlich
eine Versicherungsgesellschaft nur wird sich in der Praxis weisen müssen,
Der EDÖB hat den Schweizerischen abfragen, wenn die Person in einem inwieweit das HIS zur Verhinderung
Versicherungsverband im Hinblick auf neuen Schadenfall beteiligt ist, nicht von Versicherungsmissbrauch beitra-
die Einführung des Hinweis- und Infor- aber ausserhalb eines Schadenbearbei- gen kann, wie gut sich die Versiche-
mationssystems HIS beraten, einer tungsprozesses, namentlich vor einem rungsgesellschaften an die reglemen-
Datenbank für teilnehmende Versiche- Vertragsabschluss mit der betreffenden tarischen Vorgaben halten und ob aus
rungsgesellschaften zur Verhinderung Person. Im HIS eingetragen werden datenschutzrechtlicher Sicht künftig
von Versicherungsmissbrauch. Der nicht nur die versicherte Person, son- allenfalls Anpassungen notwendig
EDÖB hat betont, dass sämtliche dern auch allenfalls beteiligte andere werden.
Datenbearbeitungen im Zusammen- Personen wie «Anstifter» oder «Gehil-
hang mit dem Betrieb des HIS dem fen».
datenschutzrechtlichen Grundsatz der Der EDÖB hat im Rahmen seiner
Verhältnismässigkeit genügen müssen. Beratung insbesondere betont, dass
Die Beratung des EDÖB zum HIS sämtliche Datenbearbeitungen im
wurde bereits im Berichtsjahr Zusammenhang mit dem HIS dem
2017/2018 initiiert (s. 25. TB, Kap. datenschutzrechtlichen Grundsatz
1.6.2) und nun fortgesetzt. der Verhältnismässigkeit zu genügen
Die dem HIS angeschlossenen haben. So muss ein Eintrag in das HIS
schweizerischen Versicherungsgesell- geeignet und erforderlich sein, um
schaften melden darin Personen, bei Versicherungsmissbrauch zu verhin-
denen anlässlich der Schadenerledi- dern und aufzudecken, und die damit
gung eine reglementarisch definierte einhergehende Beeinträchtigung der
Unregelmässigkeit – zum Beispiel Privatsphäre muss der betroffenen Per-
eine Anzeigepflichtverletzung nach son auch zugemutet werden können.
Art. 6 des Versicherungsvertragsgeset- Die Gründe für eine Meldung sind eng
zes (VVG) – festgestellt worden ist. In zu halten und reglementarisch klar zu
zukünftigen Schadenfällen erscheint definieren, und sie müssen transparent
bei einer Abfrage der betreffenden gemacht werden. Eine Meldung darf
Person im System ein entsprechen- es der Versicherungsgesellschaft zwar
der Hinweis auf diese Unregelmässig- ermöglichen, in einem neuen Scha-
keit, so dass die Versicherungsgesell- denfall das Leistungsbegehren der ver-
schaft ihre Leistungspflicht im neuen sicherten Person vertieft zu prüfen, sie
Schadenfall vertieft prüfen kann. Die darf jedoch nicht zu einer Vorverur-
teilung dieser Person führen. Sodann
müssen Vorkehrungen getroffen wor-
den sein, um die Richtigkeit der Per-
sonendaten sicherzustellen. Versiche-
rungsgesellschaften, die sich nicht an
das Reglement halten und mehrfach
ungerechtfertigte Eintragungen vor-
nehmen, sollten eruiert und sanktio-
niert werden können.
Systematische Verwendung für den Datenschutz mit sich bringt Während der Ämtervorkonsultation
der AHV-Nummer durch die (s. 25. TB, Kap. 1.1.2). Der Experte emp- zur Gesetzesvorlage konnte der Beauf-
Behörden: Das Parlament sagt fahl die Verwendung von sektorspe- tragte mehrere Änderungsvorschläge
Ja zur Gesetzesänderung zifischen Nummern, hielt allerdings erfolgreich einbringen, namentlich
auch fest, dass die angestrebte Daten- die Pflicht für sämtliche zur systema-
Am 18. Dezember 2020 stimmte das schutzwirkung durch diese alleinige tischen Verwendung der AHVN13
Parlament der Änderung des Bundes- Massnahme nicht zu erzielen sei und berechtigten Stellen, Risikoanalysen
gesetzes über die Alters- und Hinter- weitere, aufwändige Massnahmen vorzunehmen sowie ein Verzeichnis
bliebenenversicherung zu. Sie ermäch- wie etwa die Neustrukturierung der über die Datenbanken zu führen, in
tigt einen breiten Kreis von berechtig- Datenbankarchitekturen nötig wären. denen die AHVN13 registriert ist. Wei-
ten Behörden, Organisationen und Im Anschluss an dieses Gutachten ter wurde das Erfordernis des Ausbaus
Personen zur systematischen Verwen- forderte die Kommission für Rechts- der technischen und organisatorischen
dung der 13-stelligen AHV-Nummer fragen des Nationalrats in Massnahmen zur Minimierung der
AHVN13 als eindeutigen Identifikator einem Postulat vom 20. Datenschutzrisiken anerkannt und in
ausserhalb des Sozialversicherungs Oktober 2017 (17.3968) die Gesetzesvorlage aufgenommen
bereichs. Der EDÖB konnte für umfang- den Bundesrat auf, in (s. 27. TB, Kap. 1.7.).
reiche Garantien im Bereich des einem Konzept darzu- Am 7. November 2018 eröffnete
Datenschutzes sorgen. legen, wie den Risiken begegnet wer- der Bundesrat die Vernehmlassung zur
Am 1. Februar 2017 gab der Bundesrat den kann, die mit der Verwendung der Änderung des Gesetzes über die AHV,
dem Eidgenössischen Departement AHVN13 als einziger Personeniden- welche die systematische Verwen-
des Innern (EDI) den Auftrag, eine tifikationsnummer verbunden sind. dung der AHVN13 vorsieht. Die daten-
Konsultation zur systematischen Ver- Zudem sei unter Berücksichtigung der schutzbezogenen Forderungen des
wendung der AHV-Nummer durch Beurteilung des EDÖB aufzuzeigen, EDÖB wurden in der Vorlage berück-
die Behörden von Bund, Kantonen wie der Datenschutz bei der Verwen- sichtigt. Eine Behörde kann Sachda-
und Gemeinden durchzuführen. Eine dung von Personenidentifikations- ten (Name, Vorname, Geburtsdatum
interne Arbeitsgruppe, zu der wir nummern durch Kantone, Gemeinden usw.) mit der AHVN13 verbinden und
nicht eingeladen worden waren, sah und Dritte verbessert werden könne. deren Richtigkeit in der UPI-Daten-
zum damaligen Zeitpunkt keine In seiner Stellungnahme vom 20. bank (Unique Person Identification),
besonderen Gefahren für den Daten- Dezember 2017 erklärte der Bundesrat, die von der Zentralen Ausgleichs-
schutz. Dies obgleich sich sowohl der er sei sich der möglichen Risiken im stelle (ZAS) verwaltet wird, über-
EDÖB als auch die kantonalen Beauf- Zusammenhang mit der Verwendung prüfen. Sie hat jedoch weder Zugriff
tragten aus Datenschutzgründen der AHVN13 bewusst, und er werde auf die übrigen Register, das heisst
bereits gegen den Grundsatz der syste- die Studie Basin und die Anliegen des auf das zentrale Versichertenregister
matischen Verwendung der AHVN13 Beauftragten in seiner Gesetzesvorlage und auf das Leistungsregister der ZAS,
ausgesprochen hatten. berücksichtigen. noch auf die Register anderer Behör-
Gemeinsam mit dem Bundesamt den, in denen Sachdaten geführt wer-
für Justiz (BJ) gab der EDÖB deshalb den. Folglich besteht für die Behörde
bei Prof. David Basin, ordentlicher keine Möglichkeit, Verknüpfungen
Professor für Informationssicherheit zwischen verschiedenen Datenbanken
an der ETH Zürich, eine Risikofol- herzustellen und – naturgemäss sehr
genabschätzung zur systematischen präzise – Persönlichkeitsprofile auf der
Verwendung der AHV-Nummer in Grundlage der AHVN13 anzufertigen.
Auftrag. Das Gutachten vom 27. Sep-
tember 2017 kam zum Schluss, dass
die systematische Verwendung der
AHVN13 nicht unerhebliche Risiken
Es ist begrüssenswert, dass sämtliche tungsaufgaben betraut sind, sofern das tischen Verwendung der AHNV13
Einheiten von Bund und Kantonen, anwendbare Recht die systematische berechtigt sind und nahm darin Voll-
aber auch die dezentralisierten Ein- Verwendung der AHV-Nummer vor- zugsorgane auf, die Kontrollen im
heiten der Bundesverwaltung sowie sieht. Indes ist die Nutzung der AHVN Zusammenhang mit allgemeinver-
die Personen und Organisationen des zu rein privaten Zwecken ausgeschlos- bindlichen Gesamtarbeitsverträgen
öffentlichen oder privaten Rechts, die sen. Dies gilt auch für den Fall, dass vornehmen.
nicht Verwaltungen angehören, wel- sich die betroffenen Personen mit der Im Verlauf des Gesetzgebungs-
che über solche Datenbanken verfügen, systematischen Verwendung ihrer prozesses wurde der Beauftragte von
zu periodischen Risikoanalysen ver- AHVN13 durch Private den Parlamentskommissionen viel-
pflichtet sind, die insbesondere dem einverstanden erklären. fach angehört und konnte auf diese
Risiko einer unerlaubten Zusammen- Zusätzlich zu den vor- Weise bewirken, dass der Datenschutz
führung von Datenbanken Rechnung genannten Massnahmen zu einem Kernthema der gesetzlichen
tragen. Gestützt auf diese Risikoana- sieht das Gesetz erfreu- Bestimmungen wurde. Die neuen
lysen sind Massnahmen zur Wahrung licherweise auch verbindliche tech- Normen dürften nicht vor Ende 2021
der Sicherheit und des Datenschutzes, nische und organisatorische Mass- in Kraft treten.
die der Risikolage angepasst sind und nahmen zur Vermeidung allfälliger
dem Stand der Technik entsprechen, missbräuchlicher Verwendungen der
zu treffen und umzusetzen. Die im AHV-Nummer vor. Dazu gehört, dass
Gesetzesentwurf aufgeführten Ein- der gesetzlich verankerte Grundsatz
heiten, welche die AHVN13 systema- des Zugangs zu Datenbanken, welche
tisch verwenden, sind im Hinblick auf die AHVN13 enthalten, auf Personen
die Risikoanalyse gehalten, Verzeich- zu beschränken ist, die diese Nummer
nisse zu führen, in denen die entspre- zur Erfüllung ihrer Aufgaben benö-
chenden Datenbanken aufgelistet sind. tigen. Ferner müssen Übertragungen
Zur systematischen Verwendung der von Datensätzen, welche die AHVN13
AHVN13 ermächtigt das Gesetz nebst enthalten und über ein öffentliches
den Bundes-, Kantons- und Gemein- Netz erfolgen, verschlüsselt werden.
deverwaltungen Bildungsinstitutio- Schliesslich werden die zur Verwen-
nen, private Versicherungsunterneh- dung der AHV-Nummer berechtigten
men (einschliesslich Anbieter von Behörden, Organisationen und Perso-
Zusatzversicherungen) sowie Orga- nen dazu verpflichtet, Vorkehrungen
nisationen und Personen des öffent- für den Fall eines unbefugten Zugriffs
lichen oder privaten Rechts, die nicht auf oder einer missbräuchlichen Nut-
den bereits genannten Verwaltungen zung von Datenbanken zu treffen
angehören und durch Bundesrecht, und ihre Mitarbeitenden hinsichtlich
kantonales Recht oder kommunales der gesetzeskonformen Nutzung der
Recht oder durch Vertrag mit Verwal- AHV-Nummer zu schulen. Verstösse
gegen diese Pflichten können straf-
rechtlich geahndet werden.
Die Vorlage hat im Anschluss an
das Vernehmlassungsverfahren keine
wesentlichen Änderungen erfahren.
Kurz vor der Schlussabstimmung in
der Bundesversammlung erweiterte
das Parlament im Dezember 2020 die
Liste der Einheiten, die zur systema-
1.8 Verkehr
Starke Zunahme der Bürger- gungen oder Verbote weist er auf die unternehmen beispielsweise beru-
anfragen zu Drohnen dafür zuständigen Behörden, insbe- fen, wenn sie Daten in unmittelbarem
sondere das BAZL sowie die kantona- Zusammenhang mit dem Abschluss
Im laufenden Berichtsjahr haben die len Zivil- und Strafgerichte. oder Abwicklung eines Vertrags bear-
Anfragen von Privatpersonen rund um Weiterführende Informationen beiten.
das Thema Drohnen stark zugenom- zur Videoüberwachung mit Drohnen Wenn sich die Datenbearbeitung
men. Dies betrifft sowohl Anfragen von durch Private finden sich auf unserer auf eine Einwilligung stützt, sind die
Drohnenbesitzern als auch von Perso- Website. Anforderungen an deren Rechtsgül-
nen, welche sich durch Drohnenauf- tigkeit zu beachten: Eine Einwilligung
nahmen gestört fühlen. muss freiwillig, nach angemessener
Drohnen scheinen im Privatbereich und transparenter Information erfol-
immer beliebter zu werden. Zumin- gen. Bei besonders schützenswerten
dest hat der EDÖB im laufenden Personendaten und Persönlichkeits-
Berichtsjahr eine starke Zunahme der profilen müssen die Einwilligungen
Anfragen von Privatpersonen zu dieser Revision des Personen ausdrücklich erfolgen.
Thematik verzeichnet. Einerseits han- beförderungsgesetzes: Ferner darf die Personen-
delt es sich bei den Anfragenden um Diskriminierende Schranken beförderung nicht von
Bürgerinnen und Bürgern, welche mit- für anonym Reisende im ÖV der Einwilligung in eine
tels einer Drohne Foto- oder Videoauf- sind zu verhindern – Datenbearbeitung zu
nahmen vornehmen und die (daten- Art. 19a Bearbeitung von anderen Zwecken abhängig gemacht
schutz-)rechtlichen Voraussetzungen Personendaten zur Personen- werden. Für Datenbearbeitungen zu
mit dem Beauftragten sowie anderen beförderung weiteren Zwecken müssen separate
Behörden (namentlich dem Bundes- Einwilligungen der Betroffenen vor-
amt für Zivilluftfahrt BAZL) abklären Der EDÖB hat sich im Rahmen der liegen.
möchten. Andererseits melden sich «Ämterkonsultation zur Botschaft Auch wo eine implizite Einwilli-
Privatpersonen, welche sich durch zur Änderung des Personen gung genügt, muss vollständig infor-
Drohnen, die in der Nähe ihres Wohn- beförderungsgesetzes – zeitgemässe miert werden, sodass die Kundinnen
und Arbeitsraums herumkreisen und Grundlage für den ÖV» geäussert. und Kunden die Persönlichkeitsverlet-
möglicherweise Ton- und Bildaufnah- Seit der Ämterkonsultation haben zungen erkennen und eine echte Wahl
men vornehmen, gestört fühlen. mehrere Sitzungen mit Vertretern des haben, sich entweder für das daten-
Neben einer rechtlichen Beratung Bundesamts für Verkehr und des Bun- sammelnde Angebot oder für ein alter-
wünschen sich die Anfragenden oft- desamts für Justiz stattgefunden, in natives anonymes Angebot zu ver-
mals einen Entscheid des Beauftragten denen insbesondere erörtert wurde, gleichbaren Konditionen zu entschei-
in ihrem Einzelfall. Der EDÖB weist inwieweit Transportunternehmen den den. Wählen sie die datensammelnde
in diesen Fällen darauf hin, dass die datenschutzrechtlichen Bestimmun- Lösung, liegt darin eine implizite Ein-
allgemeinen Datenschutzgrundsätze gen für Private oder Behörden unter- willigung vor. Der EDÖB hielt weiter
einzuhalten sind und private Daten- stehen sollen. fest, dass die anonymen Alternativ-
bearbeiter über einen Rechtfertigungs- Der EDÖB wies insbesondere dar- angebote mit keinen abschreckenden
grund verfügen müssen. Für Bewilli- auf hin, dass bei einer Unterstellung resp. diskriminierenden finanziellen
unter die für private Datenbearbei- oder administrativen Schranken ver-
ter geltenden Bestimmungen neben
der Einwilligung alle weiteren Recht-
fertigungsgründe wie die gesetzliche
Grundlage oder ein überwiegendes
Interesse zur Verfügung stehen. Auf
Letzteres können sich die Transport-
bunden sein dürfen. Da es bei einer Nutzung von Flugpassagier- tionsstellen (Passenger Information
vollen Überwälzung der Mehrkos- daten zur Terrorismus Unit, PIU) in der Schweiz und den EU-
ten von Alternativangeboten unter bekämpfung Mitgliedstaaten vorbereiten.
Umständen zu einem faktischen Aus- Der EDÖB hat Einsitz in den exter-
schluss von Teilen der Bevölkerung Das EJPD arbeitet aktuell ein Gesetzge- nen Fachausschuss des PNR-Projek-
kommen kann, verlangte der EDÖB, bungsprojekt aus, um die von den Flug- tes genommen und begleitet dessen
die betreffende Bestimmung im Perso- gesellschaften erhobenen Flugpassa- datenschutzrechtliche Ausgestaltung.
nenbeförderungsgesetz entsprechend gierdaten für die Terrorismus- und Bei der Einrichtung eines PNR-Sys-
zu ergänzen und die Begründung in Kriminalitätsbekämpfung in der tems dürfen die sich daraus ergeben-
der Botschaft zu präzisieren. Schweiz zu verwenden. Der EDÖB hat den Beschränkungen der Grundrechte
Betreffend die Vertriebsinfrastruktur, Einsitz im externen Fachausschuss nur soweit erfolgen, wie dies für den
resp. die zentrale Bestellplattform, die dieses Projekts. verfolgten Zweck nötig ist. Das Gleich-
zurzeit noch nicht umgesetzt wird, Der Bundesrat hat sich am 12. Februar gewicht zwischen der Garantie der
machte der EDÖB auf die bereits heute 2020 in einem Grundsatzentscheid für Grundrechte und den für die Gewähr-
geltenden allgemeinen Grundsätze die Nutzung von Flugpassagierdaten leistung der öffentlichen Sicherheit
sowie die nach dem totalrevidierten (Passenger Name Records, kurz PNR) unerlässlichen Einschränkungen muss
DSG neu zu beachtenden Anforde- zur Terrorismus- und Kriminalitäts- gewahrt bleiben. Dazu gehört nament-
rungen aufmerksam, die beim Auf- bekämpfung in der Schweiz ausge- lich, dass die Bereitstellung der Daten
bau der digitalen Plattform zu berück- sprochen. Das EJPD wurde zu diesem nach dem «Push»-System erfolgt,
sichtigen sind, wie beispielsweise die Zweck beauftragt, die ersten Schritte wodurch ein direkter Zugriff auf die
datenschutzfreundliche technische zur Einführung eines nationalen PNR- Daten durch ausländische Behörden
Ausgestaltung und Voreinstellung Systems einzuleiten (s. 27. TB, Kap. verunmöglicht wird. Der Beauftragte
(«Privacy by Design» und «Privacy by 1.2, S. 27). Das EJPD ist nun angewie- setzt sich darüber hinaus gemäss sei-
Default») sowie der Schutz von persis- sen, bis Mitte 2021 zusammen mit dem ner langjährigen Praxis dafür ein, dass
tenten Daten. UVEK eine Vernehmlas- ein Deliktskatalog erstellt wird. Dies
Der EDÖB wird das Gesetzge- sungsvorlage zu einem entspricht dem Verhältnismässigkeits-
bungsverfahren weiter begleiten und Bundesgesetz über die prinzip und dient der Transparenz.
darauf hinwirken, dass die daten- Erhebung und Nutzung
schutzrechtlichen Anforderungen von PNR-Daten durch die
berücksichtigt werden. Schweiz sowie ihre Übermittlung an
Staaten auszuarbeiten, deren Daten-
schutz und Datenbearbeitung dem
Standard der EU-Richtlinie 2016/681
vom 27. April 2016 über die Verwen-
dung von Fluggastdatensätzen zur
Verhütung, Aufdeckung, Ermittlung
und Verfolgung von terroristischen
Straftaten und schwerer Kriminali-
tät (EU-PNR-Richtlinie) entspricht.
Weiter soll das EJPD mit dem EDA bis
Mitte 2021 ein Mandat für Verhand-
lungen mit der EU über ein Abkom-
men zum PNR-Informationsaustausch
zwischen den zuständigen Koordina-
In seiner vorerwähnten Stellungnahme vom 8. Septem- zelfall vorzunehmen. Nur auf der Grundlage einer solchen
ber 2020 sensibilisierte der EDÖB die Wirtschaftskreise Risikobeurteilung kann ein Unternehmen beurteilen, ob
für dieses Problem und zeigte erste beschränkte Lösungs- eine Datenübermittlung in die USA datenschutzkonform
möglichkeiten wie eigene Verschlüsselung oder vollstän- ist, und dies gegebenenfalls dem EDÖB auch nachvoll-
dige Anonymisierung auf. ziehbar belegen. Die EU erarbeitet zurzeit neue Standard-
Der EDÖB fordert die Unternehmen auf, bei der Über- vertragsklauseln. Der EDÖB verfolgt diese Bemühungen
mittlung von Daten in die USA auf der Grundlage von und wird sich zu gegebener Zeit dazu äussern.
vertraglichen Garantien eine Risikobeurteilung im Ein-
1.9 International
Europarat • Sitzung 3: Was bedeutet das Recht auftragte sowie Vertreter der Industrie
auf den Schutz personenbezoge- bei der Achtung dieser Rechte unter-
Der Beratende Ausschuss zum Überein- ner Daten im Erziehungs- und stützen. Weiter wählte der Beratende
kommen 108 hielt sechs Remotesitzun- Bildungskontext? Was müssen Ausschuss sein Büro und nahm unter
gen zu verschiedenen Themen ab. Er Schulen tun, und was dürfen sie anderem eine Vertreterin des EDÖB,
verabschiedete Leitlinien über den nicht mehr tun? Frau Caroline Gloor Scheidegger, Lei-
Schutz der personenbezogenen Daten • Sitzung 4: Werden Projektvorha- terin internationale Angelegenheiten,
von Kindern im Bildungskontext sowie ben auf dem Gebiet der künstlichen in diesen Vorstand auf.
über die Gesichtserkennung. Zudem Intelligenz von Beginn weg nach Der Ausschuss zum Überein-
wählte die Vollversammlung das Büro. den Grundsätzen des Datenschutzes kommen 108 genehmigte zudem auf
Anstelle der 40. Vollversammlung des entwickelt («privacy by design»)? dem Schriftweg Leitlinien über die
Ausschusses, die pandemiebedingt • Sitzung 5: Die Spiegel unserer See- Gesichtserkennung. Diese enthalten
verschoben werden musste, führten len: Lehren aus Cicero ziehen und Orientierungshilfen für Gesetzgeber
das Büro des Beratenden Ausschus- mit den Risiken der Gesichtserken- und Entscheidungsträger und verwei-
ses zum Übereinkommen 108 und der nung umgehen. sen namentlich auf das Erfordernis der
Organisationsbereich Datenschutz • Sitzung 6: Politische Kampagnen Einbindung von Aufsichtsbehörden.
an den betreffenden Daten öffentli- und Wahlkampagnen: Weshalb Sie sollen auch richtungsweisend für
che Remotesitzungen durch. Damit Datenschutz so wichtig ist. Entwickler, Hersteller und Dienstan-
gewährten sie nicht nur den Delegati- Der Beratende Ausschuss konnte seine bieter sein, indem sie unter anderem
onen, die üblicherweise an den Sitzun- ursprünglich für den 1. bis 3. Juli anbe- festhalten, dass die Zuverlässigkeit der
gen in Strassburg teilnehmen, sondern raumte Vollversammlung schliesslich verwendeten Tools von der Effizienz
auch einem breiteren Publikum Ein- vom 18. bis 20. November 2020 über des Algorithmus abhängig ist. Die
blick in die Tätigkeiten des Ausschus- Videokonferenz abhalten und eine dritte Kategorie von Orientierungs-
ses. Am 1., 2. und 3. Juli fanden sechs revidierte Fassung der Leitlinien über hilfen spricht Benutzereinheiten von
erkenntnisreiche Sitzungen zu spezifi- den Schutz der personenbezogenen Gesichtserkennungs-Technologien an
schen Themen statt: Daten von Kindern im Bildungskon- und erinnert sie an ihre Verantwor-
• Sitzung 1: Wie kann dafür gesorgt text verabschieden. Diese enthalten tung: Sie sollen Datenschutz-Folgen-
werden, dass sich Länder, die sich eine Zusammenstellung der Grund- abschätzungen vornehmen und den
dem Übereinkommen 108+ ver- rechte von Kindern im Rahmen von Datenschutz von Beginn weg gewähr-
pflichtet haben, an die Bestimmun- Erziehung und Bildung und sollen leisten («privacy by design»). Schliess-
gen des Übereinkommens halten? Gesetzgeber und politische Entschei- lich erinnern die Leitlinien daran, dass
Weshalb braucht es einen Follow- dungsträger, aber auch Datenschutzbe- sämtliche einschlägigen Rechte der
Up- und Evaluationsmechanismus, betroffenen Personen gewahrt bleiben,
und wie ist dieser zu gestalten? namentlich das Recht auf Information,
• Sitzung 2: Wie ist mit den neuesten das Auskunftsrecht, das Recht auf
Herausforderungen des Profiling im Information bei automatisierten Ein-
Zeitalter der künstlichen Intelligenz zelfallentscheidungen, das Widerrufs-
umzugehen? recht und das Berichtigungsrecht.
Global Privacy Assembly Zeitalter, Bedeutung und Einfluss der • Resolution zur Schärfung des Ver-
GPA auf dem internationalen Parkett antwortungsbewusstseins auf
Die 42. Internationale Konferenz der maximieren sowie Erweiterung ihrer dem Gebiet der Entwicklung und
Datenschutzbeauftragten fand unter Kapazitäten. des Einsatzes der künstlichen
ihrer neuen Bezeichnung «Global Der zweite Konferenztag war den Intelligenz;
Privacy Assembly (GPA)» vom 13. bis COVID-19-bedingten Herausforde • Resolution zu den datenschutz-
15. Oktober statt und wurde erstmals rungen gewidmet. In diesem Zusam- bezogenen Herausforderungen im
online durchgeführt. menhang wurde der Arbeitsgruppe Zusammenhang mit der COVID-19-
Zu Beginn der 42. geschlossenen Sit- COVID-19 der GPA Anerkennung für Pandemie;
zung der Global Privacy Assembly ihren herausragenden Einsatz und Bei- • Resolution betreffend gemeinsame
würdigte die Datenschutzbeauftragte trag ausgesprochen. Die Tätigkeiten Erklärungen zu neu auftretenden
des Vereinigten Königreichs Eliza- der Arbeitsgruppe wurden diskutiert, internationalen Fragen.
beth Denham die Bemühungen, die und die spezifischen Ergebnisse
von der Internationalen Konferenz ihrer Arbeiten wurden vorgestellt.
der Datenschutzbeauftragten in den Dazu gehört das Kompendium der
zurückliegenden Jahren mit dem Ziel besten Praktiken bei der Bewältigung
unternommen wurden, die Konferenz von COVID-19, das beispielsweise
zu modernisieren, ihre strategische das Thema der Kontaktverfolgung
Orientierung zu definieren sowie ihre behandelt.
Kapazitäten auszubauen, um 2020 die Der dritte Tag begann mit einer
COVID-19-bedingten Herausforde- Aussprache über die Zukunft der Kon-
rungen meistern zu können. ferenz. Anschliessend wurden die
Die diesjährige Veranstaltung war Ergebnisse der Abstimmung der Mit-
in drei Online-Sessionen mit jeweils glieder über die Berichte der Arbeits-
anschliessender Diskussion gegliedert. gruppen, den Bericht des Exekutiv-
Über 100 Mitglieder nahmen an die- rats für 2020 und den Bericht über
sem wichtigen Jahrestreffen teil. die 41. Internationale Konferenz 2019
Am ersten Konferenztag stand die bekanntgegeben: Sämtliche Berichte
Beurteilung der Fortschritte bei der wurden angenommen.
Umsetzung des strategischen Plans, Am 15. Oktober 2020 wurden fünf
OECD: Arbeitsgruppe
der an der 41. Internationalen Kon- Resolutionen verabschiedet:
«Data Governance and
ferenz im vergangenen Jahr in Tirana • Resolution zur Gesichtserkennungs-
Privacy in the Digital
verabschiedet wurde, im Vordergrund Technologie;
Economy»
Die Arbeiten in der Arbeitsgruppe
der Beratungen. Insbesondere ging es • Resolution zur Rolle des Schutzes
wurden auch in diesem Berichtsjahr
hierbei um die Prüfung der wichtigs- personenbezogener Daten in der
fortgesetzt, wobei das Meeting im
ten Ergebnisse hinsichtlich der drei internationalen Entwicklungshilfe,
November 2020 nur virtuell abgehal-
strategischen Prioritäten, die definiert in der internationalen humanitären
ten werden konnte. Zwei Themenbe-
worden waren: weltweiter Ausbau des Hilfe sowie bei der Krisenbewälti-
reiche sind in dieser Hinsicht hervor-
Schutzes der Privatsphäre im digitalen gung;
zuheben: Zum einen die «Datenpor-
tabilität», wo das Sekretariat einen
Zwischenstand für einen möglichen
Bericht präsentierte, und zum ande-
ren der Bericht des Sekretariats über
die Umsetzung der «OECD Privacy
Guidelines».
Brexit – Angemessenheit des sem Zeitpunkt von der EU anerkannt periode nicht wesentlich verän-
Datenschutzes blieb – und damit nach dem Recht dert, sodass das Land weiterhin auf
des Vereinigten Königreichs auto- der Liste der Staaten verbleibt, deren
Das Vereinigte Königreich bleibt weiter- matisch anerkannt sein würde und Gesetzgebung einen angemesse-
hin auf der Liste der Staaten, deren zwar voraussichtlich für die nächs- nen Datenschutz nach Art. 6. Abs. 1
Gesetzgebung einen angemessenen ten vier Jahre. Dies bedeutete indes DSG gewährleisten. Eine Überprü-
Datenschutz gemessen am Schweizer nicht, dass die Schweiz automatisch fung bleibt jedoch vorbehalten und
Datenschutzgesetz gewährleisten. Gegenrecht gewähren würde. Das hängt davon ab, wie die Datenschutz
Umgekehrt anerkennt das Vereinigte Datenschutzrecht im Vereinigten gesetzgebung im Vereinigten König-
Königreich auch die Schweiz als Land Königreich wurde aber in der Berichts- reich in Zukunft aussehen wird.
mit gleichwertigem Datenschutz an.
Wie bereits im letzten Tätigkeits
bericht ausgeführt (s. 27. TB, Kap. 1.9),
trat das Vereinigte Königreich nach
einigen Verzögerungen am 1. Feb-
ruar 2020 aus der EU (Brexit) aus. Es
stellte sich damit die gegenseitige
Angemessenheitsfrage. Dazu führte
der EDÖB zahlreiche Gespräche mit
Behörden des Bundes und mit Ver-
tretern des Vereinigten Königreichs.
Diese Gespräche wurden während
des laufenden Geschäftsjahres regel-
mässig weitergeführt. Parallel dazu
fanden Gespräche mit Vertretern der
EU-Kommission statt, weil lange
unklar war, ob die EU dem Vereinigten
Königreich ab dem Jahr 2021 die An
gemessenheit noch gewähren würde.
Andererseits anerkannte das Verei-
nigte Königreich auf gesetzlicher Stufe
alle Länder als gleichwertig, welche am
31. Dezember 2020 auch von der EU
als gleichwertig anerkannt waren.
Weil der Kommissionsent-
scheid bezüglich der Schweiz Ende
2020 noch ausstand, bedeutete dies
aber auch, dass die Schweiz zu die-
2.1 Allgemein
Die Corona-Pandemie hat auch die Aus den nachfolgend aufgeführten teilig sich die schriftliche Durchfüh-
Umsetzung des Öffentlichkeits- Zahlen (s. Kap. 2.2) ist weiter zu ent- rung der Schlichtungsverfahren auf
prinzips in der Bundesverwaltung nehmen, dass die in den letzten Jahren Bearbeitungsdauer und Verfahrenser-
geprägt. Der Anspruch der Medien festgestellten Tendenzen – eine stetige gebnisse ausgewirkt hat, wird in Kapi-
und der Gesellschaft nach spezifischen Zunahme der Zugangsgesuche und ein tel 2.3 präzisiert.
und transparenten Informationen zu überwiegend konstant hoher Anteil Die Einhaltung der gesetzlichen
Dokumenten mit Corona-Bezug war an Fällen, in denen der Zugang voll- Frist von 30 Tagen für die Durch
hoch. Dementsprechend sahen sich ständig gewährt wird – auch für das führung von Schlichtungsverfahren
einzelne Behörden nicht nur mit einer Berichtsjahr bestätigt werden. ist nicht nur in Pandemiezeiten her-
grossen Anzahl von Zugangsgesuchen, Das vom Beauftragten im Jahr 2017 ausfordernd. Die Erfahrung zeigt, dass
sondern mit z.T. auch umfangreichen eingeführte Primat der mündlichen diese Frist bei komplexen Drei- oder
und komplexen Anfragen konfron- Schlichtungsverhandlungen hat sich Mehrparteienverfahren betreffend
tiert, die oftmals eine amts- oder gar im 2020 erneut bewährt. Dass dies Zugangsgesuche zu Unterlagen mit
departementsübergreifende Koor- die Zahlen auf den ersten Blick nur geschäftsgeheimnisrelevanten Infor-
dination notwendig machten. Ins- bedingt zu bestätigen scheinen, liegt mationen oder mit Bezug zum Per
gesamt zeigte sich, dass die Umset- an den durch die Pandemie verursach- sönlichkeitsschutz von Privatpersonen
zung des Öffentlichkeitsprinzips in ten Anpassungen des Schlichtungs- häufig überschritten wird.
Pandemiezeiten anspruchsvoll und verfahrens. Als der Bundesrat an seiner Für die Durchführung des Schlich-
herausfordernd sein kann. Während Sitzung vom 16. März 2020 angesichts tungsverfahrens müssen die Behör-
sich die unter Zeitdruck handelnde der weiteren Ausbreitung des Corona- den dem Beauftragten die von den
Verwaltung hohen Erwartungen und Virus die Home-Office-Pflicht einge- Gesuchstellenden nachgefragten
nachträglicher Kritik der Öffentlich- führt und Menschenansammlungen Dokumente zustellen – im Gegenzug
keit ausgesetzt sieht, verlangen die von mehr als fünf Personen verboten unterliegt der Beauftragte dem Amts-
Gesuchstellenden einen raschen und hatte, sah sich der Beauftragte aus geheimnis im gleichen Ausmass wie
umfassenden Zugang, um die teilweise Gründen der öffentlichen Gesund- die Behörden, in deren Dokumente
auf notrechtlichen Kompetenzen heit sowie zum Schutz der Gesundheit Einsicht verlangt wird. In der Pra-
beruhenden Handlungen des Staates der Beteiligten gezwungen, während xis lassen die Behörden die Unterla-
zur Pandemiebekämpfung nachvoll- der ersten Ausbreitung der Pandemie gen dem Beauftragten in aller Regel
ziehen zu können. Gleichwohl zeigen (zwischen März und Juni 2020) wie ohne weiteres zukommen. Nicht in
die Statistiken, dass es den Bundes- dann auch während der zweiten Welle jedem Fall gestaltet sich die Zusam-
behörden – trotz des im Pandemiejahr auf die Durchführung von Schlich- menarbeit indes optimal. Dies zeigt
bisweilen dringlichen Tagesgeschäfts – tungssitzungen zu verzichten. exemplarisch ein Fall, indem es um
in der Mehrheit aller Fälle gelang, das Aus den genannten Gründen die Mitwirkungspflicht im Schlich-
Öffentlichkeitsprinzip in der Bundes- mussten für zahlreiche Fälle schrift- tungsverfahren ging. Aufgrund des
verwaltung mit Erfolg umzusetzen. liche Schlichtungsverfahren durch- vom Öffentlichkeitsgesetz eingeführ-
geführt werden. Dieses Vorgehen ten Prinzips der Öffentlichkeit der
führte im Berichtsjahr einerseits zu Bundesverwaltung obliegt es nicht
einem geringeren Anteil von einver-
nehmlichen Lösungen und anderseits
zu einer längeren Bearbeitungsdauer
der Schlichtungsverfahren und einem
damit verbundenen Rückstau bei der
Erledigung von Verfahren. Wie nach-
Gemäss den Zahlen, die von den Bun- In 610 Fällen (51 Prozent) gewähr- Zugangsaufschub um sechs Prozent
desbehörden gemeldet wurden, gin- ten die Behörden einen vollständigen erhöht hat. Eine Erklärung für diese
gen im Berichtsjahr vom 1. Januar bis Zugang (gegenüber 542 bzw. 59 Pro- Veränderungen liegt in der Tatsache,
31. Dezember 2020 gesamthaft 1193 zent im Vorjahr), während bei 293 dass die Behörden im Zusammenhang
Zugangsgesuche ein. 2019 waren es Gesuchen (25 Prozent) ein teilweiser mit Zugangsgesuchen zu Corona-
noch 916 Gesuche. Dies entspricht respektive aufgeschobener Zugang zu Dokumenten – die, wie erwähnt, rund
einer Steigerung gegenüber dem Vor- den Dokumenten genehmigt wurde. einen Viertel der Gesuche ausmachen –
jahr um 30 Prozent. Eingerechnet sind In 108 Fällen (neun Prozent) wurde prozentual weniger oft einen vollstän-
auch die Zugangsgesuche der Bundes- die Einsichtnahme vollständig ver- digen Zugang gewährten, den Zugang
anwaltschaft (13 Gesuche) und der Par- weigert. Nach Angaben der Behörden häufiger teilweise verweigert oder auf-
lamentsdienste (6). wurden drei Prozent bzw. 35 Zugangs- geschoben beziehungsweise vollstän-
Einer der Gründe für die Zunahme gesuche zurückgezogen, 80 Gesuche dig verweigert haben.
ist im ausgeprägten Bedürfnis zu waren Ende 2020 noch hängig, und
finden, das staatliche Handeln zur in 67 Fällen war kein amtliches Doku- Departemente und Bundesämter
Bekämpfung der Corona-Pandemie ment vorhanden. Seit 2015 wird in Einzelne Verwaltungseinheiten
nachvollziehbar zu machen. Gemäss mehr als 50 Prozent der Fälle ein voll- standen 2020 aufgrund der Corona-
Angaben der Bundesbehörden wiesen ständiger Zugang zu den Dokumen- Pandemie besonders im Fokus der
308 von den insgesamt 1193 Zugangs- ten gewährt. Demgegenüber sind die Medien und der Gesellschaft. Auf
gesuchen (26 Prozent) einen Bezug zur vollständigen Zugangsverweigerun- gabenbedingt sahen sich insbesondere
Thematik Corona auf. Die Behörden gen in der Minderzahl und pendeln das BAG, das VBS oder das EFD mit
waren in der Lage, die Zugangsgesuche sich im Laufe der Jahre auf rund zehn einer grossen Anzahl von Zugangs
für «Corona»-Dokumente statistisch Prozent ein. gesuchen konfrontiert. Gemäss die-
zu erfassen. Diese Statistik ist sepa- Im Vergleich mit den Vorjahren sen Behörden handelte es sich dabei
rat aufgeführt (s. Kap. 3.3). Dabei zeigt kann insgesamt festgestellt werden, teilweise um sehr umfangreiche und
sich, dass der vollständige Zugang in dass sich im Corona-Jahr der Anteil komplexe Gesuche. In einer Vielzahl
121 Fällen (39 Prozent) im Vergleich mit vollständiger Zugangsgewäh- von Fällen war eine aufwändige ver-
zur Gesamtstatistik (s. unten) weniger rung um acht Prozent vermindert waltungsinterne Koordination zwi-
oft gewährt wurde, während bei der hat, w
ährend der Anteil mit teilwei- schen Ämtern oder Departementen
vollständigen Zugangsverweigerung ser Zugangsgewährung respektive notwendig, etwa bei Dokumenten
(38 resp. zwölf Prozent) nur ein gering- betreffend die Beschaffung von medi-
fügig höherer Anteil im Verhältnis zur zinischen Gütern. Für diese Behörden
Gesamtstatistik festgestellt werden. war der Bearbeitungsaufwand im Ver-
Zu den höheren Zahlen an einge- gleich zu früheren Jahren aus nachvoll-
reichten Zugangsgesuchen dürfte auch ziehbaren Gründen höher.
beigetragen haben, dass die Bevölke-
rung nicht zuletzt dank Medienbe-
richten über die Jahre hinweg laufend
bessere Kenntnisse über das Öffent-
lichkeitsgesetz erlangt und dessen
Möglichkeiten vermehrt aktiv nutzt.
Der Beauftragte erwartet, dass diese
Tendenz in den kommenden Jahren
anhalten wird.
Auf Stufe Amt zeigen die gemelde- dig gewährte. In einem Fall war kein lenden einen Teil ihres Zeitaufwands
ten Zahlen, dass das BAG mit 181 Fäl- entsprechendes Dokument vorhan- (EDI: CHF 4643; WBF: CHF 3786;
len 2020 am meisten eingegangene den und in einem Fall war das Gesuch UVEK: CHF 3310; EFD: CHF 1900;
Zugangsgesuche meldete, wovon Ende 2020 noch hängig. EDA: CHF 900; VBS: CHF 650). Dazu
alleine 134 Corona-relevante Doku- Der 2020 für den Zugang zu amt- sei vermerkt, dass lediglich bei 25 der
mente betrafen (s. Kap. 3.3). Danach lichen Dokumenten erhobene Gebüh- 1193 eingereichten Zugangsgesuche
folgen das BASPO mit 150, Swiss- renbetrag beläuft sich auf insgesamt eine Gebühr erhoben wurde. Gegen-
medic mit 42 sowie das BAFU mit 38 CHF 15 189 und liegt damit unter der über dem Vorjahr, in dem in 31 Fällen
Gesuchen. Bei den Departementen Vorjahressumme (CHF 18 185). Nur bei eine Gebühr verlangt wurde, stellt
liegen das EDI (312) und das VBS (251) zwei Zugangsgesuchen zu «Corona»- dies – sowohl in Bezug auf die Anzahl
an der Spitze. 13 Behörden meldeten Dokumenten wurde insgesamt eine Fälle, in welchen eine Gebühr erho-
hingegen, dass im Berichtsjahr bei Gebühr von CHF 450 verlangt. ben wurde, wie auch bezüglich des
ihnen kein Zugangsgesuch eingegan- Während das EJPD und die Bun- Gesamtbetrages der Gebühren – einen
gen sei. Beim Beauftragten selbst gin- deskanzlei überhaupt keine Gebühren Rückgang dar. Dies ist insofern bemer-
gen zehn Zugangsgesuche ein, wobei erhoben, verrechneten die übrigen kenswert, als die Anzahl der Zugangs-
er den Zugang in acht Fällen vollstän- sechs Departemente den Gesuchstel- gesuche (erneut) merklich zugenom-
1000
800
610 (+13 % )
600
400
293 (+70 % )
200
108 (+25 % )
35 (–8%)
0
2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017 2018 2019 2020
Total Gesuche Zugang gewährt Zugang teilweise gewährt/aufgeschoben Zugang verweigert Rückzug
men hat. Wie bereits in den Vorjah- diesen Angaben hat der Zeitaufwand Parlamentsdienste
ren stellt die Erhebung von Gebühren für das Berichtsjahr mit 5010 Stunden Die Parlamentsdienste meldeten den
weiterhin eine Ausnahme dar: In bei- im Vergleich zu 2019 (4375 Stunden) Eingang von sechs Zugangsgesuchen.
nahe 98 Prozent der Zugangsgesuche zugenommen. Abgesehen von dem einen Fall, in
besteht Gebührenfreiheit. Die gelebte Die Zunahme der Anzahl der welchem kein amtliches Dokument
Verwaltungspraxis untermauert den Zugangsgesuche (30 Prozent) hat vorhanden war, wurden die restlichen
von der Staatspolitischen Kommis- sich folglich nicht im gleichen Aus- fünf Zugangsgesuche vollumfänglich
sion des Nationalrats vorgeschlage- mass auf die Erhöhung des Zeitauf- abgelehnt.
nen Grundsatz der Gebührenfreiheit wands (15 Prozent) ausgewirkt. Eben-
beim Zugang zu amtlichen Dokumen- falls zugenommen hat der gemeldete Bundesanwaltschaft
ten (s. Kap. 2.4, Stellungnahme des Zeitaufwand für die Vorbereitung von Die Bundesanwaltschaft meldete für
EDÖB). Schlichtungsverfahren: 569 Stunden 2020 den Eingang von 13 Gesuchen.
Was den Zeitaufwand für die (gegenüber 473 Stunden für 2019). In sechs Fällen wurde dem Zugangs-
Bearbeitung von Zugangsgesuchen gesuch vollständig entsprochen, in
anbelangt, weist der Beauftragte einem Fall wurde der Zugang voll-
erneut darauf hin, dass die Behörden umfänglich verweigert. Für die übri-
nicht verpflichtet sind, diesen zu erfas- gen Gesuche gilt, dass in zwei Fällen
sen, und dass es keine für die gesamte keine amtlichen Dokumente vorhan-
Bundesverwaltung geltenden Vor- den waren und vier Fälle am Ende des
gaben für eine einheitliche Erfassung Berichtsjahres noch hängig sind.
gibt. Die ihm auf freiwilliger Basis
übermittelten Angaben widerspiegeln
die tatsächlich geleisteten Arbeits-
stunden daher nur bedingt. Gemäss
20 000
15 000 15 189
(–17%
gegenüber
Vorjahr)
10 000
5000
0
2007 08 09 10 11 12 13 14 15 16 17 18 19 2020
120
93
90 (–30%
gegenüber
Vorjahr)
60
30
0
2007 08 09 10 11 12 13 14 15 16 17 18 19 2020
Tabelle 2: Bearbeitungsdauer S
chlichtungsverfahren
Bearbeitungsdauer in Tagen Zeitraum 2014– Pilotphase 2017 Zeitraum 2018 Zeitraum 2019 Zeitraum 2020
August 2016*
innert 30 Tagen 11 % 59 % 50 % 57 % 43 %
*
Quelle: Präsentation des Beauftragten, Veranstaltung zum 10. Jahrestag des BGÖ, 2. September 2016
2.4 Gesetzgebungsverfahren
CORONA
werden, soweit diese deren Identität Der Beauftragte hatte im Vernehm-
und Bankverbindungen sowie die lassungsverfahren vergeblich aufge-
Gesetzgebungsverfahren für
zugesprochenen und verweigerten zeigt, dass die berechtigten privaten
die Überführung der COVID-
Kreditbeträge zum Inhalt haben. Interessen auch bei Anwendbar-
19-Solidarbürgschaftsver-
Gemäss der Botschaft zum COVID- keit des Öffentlichkeitsgesetzes
ordnung ins COVID-19-Soli-
19-SBüG handelt es sich dabei um geschützt bleiben. So gewähr-
darbürgschaftsgesetz
eine Spezialbestimmung i.S.v. Art. 4 leistet es explizit den Schutz von
Nach dem COVID-19-Solidarbürgschafts- BGÖ, was zur Folge hat, dass diese Geschäftsgeheimnissen (Art. 7 Abs.
gesetz müssen im Rahmen des Bürg- Informationen vom Geltungsbe- 1 Bst. g BGÖ) und der Privatsphäre
schaftsprogrammes des Bundes Identi- reich des Öffentlichkeitsgesetzes sowie der Personaldaten von natür-
tät und Bankverbindungen von Unter- ausgenommen sind und damit auf lichen und juristischen Personen
nehmen und Personen sowie die gespro- Zugangsgesuch hin nicht zugänglich (Art. 7 Abs. 2 BGÖ, Art. 9 Abs. 2
chenen und verweigerten Kreditbeträge sind. BGÖ sowie Art 19 DSG). Auch hat
geheim gehalten werden. Der Beauf- Der Beauftragte hatte sich sowohl der Beauftragte dargelegt, dass das
tragte hatte sich im Gesetzgebungsver- in der Vernehmlassung zum COVID- Bankgeheimnis, dem Öffentlich-
fahren erfolglos gegen diese Einschrän- 19-SBüG wie auch in der daran keitsgesetz gemäss Lehre und Recht-
kung des Öffentlichkeitsprinzips ausge- anschliessenden Ämterkonsultation sprechung vorgeht. Ebenso erfolglos
sprochen. betr. die Botschaft und den Geset- hat der Beauftragte in seiner Stel-
zesentwurf gegen die Einführung lungnahme auf das Bundesgesetz
Mit der Einführung einer befristeten dieser Spezialbestimmung aus- über Finanzhilfen und Abgeltungen
Notverordnung hat der Bundesrat gesprochen. Er hat dabei auch auf (Subventionsgesetz) und das Bun-
am 25. März 2020 einen raschen die mit dem Öffentlichkeitsgesetz desgesetz über die Finanzhilfen an
Zugang zu Überbrückungsfinan- verfolgten Ziele, wie den Nachvoll- Bürgschaftsorganisationen für KMU
zierungen für zahlreiche Unter- zug des Verwaltungshandeln oder hingewiesen. Obwohl beide Gesetze
nehmen ermöglicht, um ihnen die die Verhinderung von Misswirt- offensichtliche Gemeinsamkeiten
notwendige Liquidität zur Krisen- schaft und Korruption, hingewiesen. zum vorliegenden Erlass aufweisen,
bewältigung infolge der Pandemie Angesichts des Einsatzes von 40 sehen sie keine Spezialbestimmun-
sicherzustellen. Die Inhalte dieser Milliarden Franken an Steuergeldern gen im Sinne von Art. 4 BGÖ vor.
Notverordnung wurden in ein dring- war die voraussetzungslose Geheim-
liches und befristetes Bundesgesetz haltung der in Frage stehenden
überführt, welches vom Parlament Informationen nach seinem Dafür-
im Dezember 2020 verabschiedet halten nicht angezeigt. Sofern es
wurde. bei den zugesprochenen Krediten
Nach Art. 12 Abs. 2 des COVID- zu Verlusten kommt, müssen diese
19-Solidarbürgschaftsgesetzes mit Steuergeldern gedeckt werden.
(COVID-19-SBüG) dürfen Perso- Angesichts der nachträglichen Bean-
nendaten und Informationen zu standungen des Verwaltungshan-
einzelnen kreditsuchenden und delns im Zusammenhang mit den
-nehmenden Unternehmen und Bürgschaftsvergaben in der Hoch-
Personen nicht bekannt gegeben seeschifffahrt zeigt sich der Beauf-
tragte erstaunt, dass das Parlament
die vom Bundesrat vorgeschlagene
Geheimhaltung im am 19. Dezem-
ber 2020 verabschiedeten Gesetz
verankert hat.
Ämterkonsultation Entwurf ausnahmsweise soll eine Gebühr ver- Revision des Bundesgesetzes
der Stellungnahme des Bun- langt werden können, nämlich «wenn über die Förderung der
desrates zum Bericht vom ein Zugangsgesuch eine besonders Forschung und der Innovation
15. Oktober 2020 der Staats- aufwendige Beurteilung durch die (FIFG). Ämterkonsultationen
politischen Kommission des Behörde erfordert». Dabei soll gemäss im Rahmen der Vorbereitungs-
Nationalrates zur parlamen- der Kommissionsmehrheit eine Maxi- arbeiten für die Botschaft
tarischen Initiative 16.432 malgebühr von 2000 Franken im des Bundesrates
Graf-Litscher. Gebührenrege- Öffentlichkeitsgesetz festgelegt wer-
lung. Öffentlichkeitsprin- den, während der Bundesrat die Ein- In der Vernehmlassung zur Revision
zip in der Bundesverwaltung zelheiten und den Gebührentarif nach des FIFG wurde der Wunsch geäussert,
Aufwand festlegen soll. Eine Minder- die Bekanntgaberegelung der Namen
Die Staatspolitische Kommission des heit der Kommission will auch die der Referentinnen und Referenten
Nationalrats hat eine Vorlage ausgear- Festlegung der Maximalgebühr dem sowie der wissenschaftlichen Gutach-
beitet, nach welcher der Zugang zu Bundesrat überlassen. ter und Gutachterinnen im Beschwer-
amtlichen Dokumenten grundsätzlich Der Beauftragte unterstützte den deverfahren zu verschärfen. Der Beauf-
kostenlos sein soll und nur in Ausnah- Vorschlag der Kommissionsmehr- tragte hat sich jedoch dagegen ausge-
mefällen eine Gebühr verlangt werden heit, die Maximalgebühr direkt im sprochen.
darf. Der Bundesrat möchte den Maxi- Öffentlichkeitsgesetz festzulegen, weil Bei Beschwerden wegen nicht zu
malbetrag der Gebühr selber in der damit auf Stufe des Gesetzes sicher- gesprochenen Forschungsbeiträgen
Verordnung festlegen können. Demge- gestellt wird, dass die ausnahmsweise sieht Art. 13 Abs. 4 FIFG vor, dass
genüber spricht sich der Beauftragte Gebührenerhebung nicht ein Ausmass die beschwerdeführende Person die
für die Verankerung des Maximalbetra- annehmen wird, das einer Behinde- Namen der Referentinnen und Refe
ges direkt im Öffentlichkeitsgesetz aus. rung des Zugangs zu amtlichen Doku- renten sowie der wissenschaftli-
Mit der parlamentarische Initiative menten gleichkommt. Nachdem sich chen Gutachter und Gutachterinnen
16.432 «Gebührenregelung. Öffent- der Bundesrat gegen die gesetzliche auf Anfrage erhalten kann, wenn diese
lichkeitsprinzip in der Bundesverwal- Festlegung des Höchstbetrages ausge- ihre Zustimmung gegeben haben.
tung» sollen die rechtlichen Grund- sprochen hat, liegt es nun am Natio- Das Bundesverwaltungsgericht hat
lagen im Öffentlichkeitsgesetz so nalrat, über diese Frage zu befinden. in seinem Urteil A-6160/2018 vom
angepasst werden, dass der Zugang zu 4. November 2019 im Rahmen einer
amtlichen Dokumenten in der Regel Beschwerde nach dem Öffentlichkeits-
gebührenfrei sein soll. gesetz Art. 13 Abs. 4 FIFG so ausgelegt,
In der Folge verabschiedete die für dass besagte Namen weiteren unbetei-
das Geschäft zuständige Staatspoli- ligten Personen dann bekannt gegeben
tische Kommission des Nationalrats werden können, wenn die betroffenen
(SPK-N) einen Vorentwurf zur Ände- Referenten und Gutachtenden aus-
rung des Öffentlichkeitsgesetzes, den drücklich ihre Zustimmung gegeben
sie nach der Vernehmlassung zuhan- haben. Gemäss Bundesverwaltungs-
den des Nationalrates überarbeitete. gericht handelt es sich dabei zwar um
Demnach soll neu im Öffentlichkeits- eine Spezialbestimmung im Sinne von
gesetz der Grundsatz der Kostenlosig- Art. 4 BGÖ, was zur Folge hat, dass
keit beim Zugang zu amtlichen Doku- das Öffentlichkeitsgesetz nicht zur
menten verankert werden. Nur noch Anwendung gelangt. Laut dem Gericht
stellt Art. 13 Abs. 4 FIFG jedoch keine
generelle Geheimhaltungspflicht dar.
Teilrevision des KVG betref- Im Berichtsjahr führte der Beauftragte Neues Bundesgesetz über den
fend Massnahmen zur Kosten- ein Schlichtungsverfahren zu Doku- Allgemeinen Teil der Abga-
dämpfung (zweites Paket) menten des BAG über die Festset- benerhebung und die Kontrol-
zung von Medikamentenpreisen in der le des grenzüberschreitenden
Das Bundesamt für Gesundheit BAG obligatorischen Krankenversicherung Waren- und Personenverkehrs
erarbeitet eine Teilrevision des KVG durch. Konkret wurde um Zugang durch das Bundesamt für Zoll
betreffend Massnahmen zur Kosten- zu Informationen betreffend Arznei- und Grenzsicherheit (BAZG-
dämpfung. Diese Vorlage sieht unter mittel mit Preismodellen ersucht. Da Vollzugsaufgabengesetz)
anderem vor, sämtliche Unterlagen im zwischen dem BAG und der Antrag-
Zusammenhang mit Preismodellen bei stellerin im Schlichtungsverfahren Die Eidgenössische Zollverwaltung
Arzneimitteln in der Krankenversiche- keine Einigung zustande kam, musste (EZV) hat im letzten Quartal des Jahres
rung vom Öffentlichkeitsprinzip auszu- der Beauftragte eine schriftliche Emp- 2020 eine Vernehmlassung für die Ein-
schliessen. Der Beauftragte wehrt sich fehlung erlassen. Das BAG begrün- führung eines neuen BAZG-Vollzugab-
gegen dieses Vorhaben. dete seine Weigerung gegen die Her- gabengesetzes durchgeführt. In dieser
Im 27. Tätigkeitsbericht 2019/2020 ausgabe der verlangten Dokumente Vorlage sind keine Einschränkungen
berichtete der Beauftragte über eine hauptsächlich mit dem Argument, des Öffentlichkeitsprinzips mehr ent-
zu eröffnende Vernehmlassung für dass die Versorgungssicherheit mit halten.
eine Teilrevision des Krankenversiche- innovativen und hochpreisigen Arz- Im 27. Tätigkeitsbericht 2019/2020 hat
rungsgesetzes, welche im vorliegen- neimitteln ohne Geheimhaltung nicht der Beauftragte über die Ämterkonsul-
den Berichtsjahr durchgeführt wurde. weiter gewährleistet werden könne. tation zur Eröffnung der Vernehmlas-
Der Beauftragte hatte sich gegen das Der Beauftragte hielt in der Empfeh- sung für ein neues Bundesgesetz über
Vorhaben des BAG ausgesprochen, das lung u.a. fest, dass seiner Ansicht nach Zoll und Grenzsicherheit berichtet.
Einsichtsrecht der Öffentlichkeit in das geltende Öffentlichkeitsgesetz Der Gesetzesentwurf wurde nach der
die Unterlagen über die Festsetzung keinen Raum lasse, die vom Bundes- Ämterkonsultation überarbeitet und
von Medikamentenpreisen aufzuhe- rat angestrebte Gesetzesänderung trägt neu die Bezeichnung «Bundes-
ben. Die effektiven Preise der Medika- vorwegzunehmen. Da das BAG somit gesetz über den Allgemeinen Teil der
mente, welche von der obligatorischen keine Ausnahmegründe nach dem Abgabenerhebung und die Kontrolle
Krankenpflegeversicherung übernom- geltenden Öffentlichkeitsgesetz nach- des grenzüberschreitenden Waren-
men werden, und die Unterlagen, wel- zuweisen vermochte und damit die und Personenverkehrs durch das Bun-
che zur Preisfestsetzung dienen, sol- gesetzliche Vermutung des Zugangs desamt für Zoll und Grenzsicherheit»
len nach Auffassung des Beauftragten zu den verlangten Informationen (BAZG-Vollzugsaufgabengesetz). Die
weiter öffentlich zugänglich bleiben. nicht widerlegen konnte, empfahl der EZV hat den Bedenken des Beauf-
Andernfalls würde eine undurchsich- Beauftragte den vollständigen Zugang. tragten Rechnung getragen und die
tige Praxis bezüglich der Aufnahme- ursprünglich vorgesehenen Einschrän-
und Überprüfungskriterien in die kungen zum Öffentlichkeitsprin-
Spezialitätenliste und des Rückvergü- zip gestrichen. Die Vernehmlassung
tungsmechanismus entstehen. Sowohl wurde erst im aktuellen Berichtsjahr
für die Bevölkerung wie für die kon- durchgeführt.
kurrierenden Unternehmen soll wei-
terhin möglich sein, die Genehmi-
gungspraxis des BAG umfassend nach-
vollziehen und kontrollieren zu kön-
nen. Das Ergebnis der Vernehmlassung
ist zum Zeitpunkt des Redaktions-
schlusses noch nicht bekannt.
CORONA
Leistungen und Ressourcen Inkraftsetzung des revidierten DSG
im Bereich Datenschutz die Schaffung der verbleibenden sechs
Pandemie
Vollzeitstellen beantragt.
Die krisenbedingt kurzfristig realisier- Personalbestände Aufgrund von Pensionierungen
ten Datenbearbeitungsprojekte zur Von 2005 bis 2019 hat der Stellen- und anderen Abgängen hat sich die
Bekämpfung der aktuellen Pandemie etat für den Vollzug des Datenschutz- Altersstruktur der Behörde in den letz-
und die gesteigerte Nachfrage nach gesetzes (DSG) zwischen zwanzig ten Jahren verjüngt, was den Personal-
öffentlichen Dokumenten forderten und 24 Vollzeitstellen fluktuiert. Die kredit entlastet.
dem gesamten Personal ausserordent- Schwankungen erklären sich zum
Tabelle 4: Für DSG-Belange
liche Leistungen ab. einen damit, dass 2006 das Öffent-
einsetzbare Stellen
lichkeitsgesetz (BGÖ) in Kraft trat.
2005 22
Als administrativ der Bundeskanzlei Da die dafür vorgesehenen Stellen
zugehörendem Bundesbetrieb hat vom Bundesrat nie bewilligt wurden, 2010 23
der EDÖB sämtliche Vorgaben des musste unsere Behörde auf das bereits 2018 24
Bundesrates zum Schutze der Mitar- bestehende Personal des EDÖB und
2019 24
beitenden vor der Seuche umgesetzt. teilweise auf Mittel der Bundeskanzlei
Das Personal des EDÖB erbrachte zurückgreifen. Zum anderen konnten 2020 27
demzufolge in der Berichtsperiode die mit dem Beitritt zum Abkommen 2021 27
einen Grossteil seiner Arbeits- von Schengen und Dublin sowie dem
leistung in digitaler Heimarbeit. Erlass von Spezialgesetzen im Gesund-
Persönliche Begegnungen waren nur heitsbereich bewilligten zusätzlichen
während weniger Wochen möglich, Stellen infolge allgemeiner Spar
was insbesondere die Einführung vorgaben nie im vollen Umfang rekru-
und Betreuung von neuen Mitarbei- tiert werden.
tenden erschwerte. In seiner Botschaft zur Total
revision des DSG hat der Bundesrat
dem EDÖB die Schaffung zusätzlicher
Mittel im Umfang von neun bis zehn
Stellen in Aussicht gestellt (BBl 2017
7172). Inzwischen hat der Bundes
gesetzgeber mit dem neuen Bundes-
gesetz über den Datenschutz im Rah-
men der Anwendung des Schengen-
Besitzstands in Strafsachen (SDSG,
SR 235.3) einen Teilaspekt dieser Total-
revision vorweggenommen. Nachdem
der Bundesrat dieses Gesetz am per
1. März 2019 in Kraft setzte, hat er dem
EDÖB für die Umsetzung der neuen
Aufgaben und Befugnisse drei zusätz-
liche Stellen zugesprochen, sodass
sich der Stellenetat seit 2020 auf 27
Vollzeitstellen beläuft. Im Frühjahr
2021 hat der EDÖB dem Bundesrat
mit Blick auf die für 2022 vorgesehene
Information Der EDÖB sensibilisiert die Öffentlichkeit proaktiv für technologie- und anwendungsbezogene Risiken
der Digitalisierung.
Gesetzgebung Der EDÖB nimmt rechtzeitig und aktiv Einfluss auf alle datenschutzrelevanten Spezialnormen und
Regelwerke, die auf nationaler und internationaler Ebene geschaffen werden.
Er unterstützt die interessierten Kreise bei der Formulierung von Regeln der guten Praxis.
3.2 Kommunikation
Die Pandemie dominierte die (s. Schwerpunkt 1). Wenn das Gesetz Anhaltend hohes Medien
Kommunikationsarbeit in Kraft tritt, wird der EDÖB über interesse
neue Aufgaben und gestärkte Auf-
Der Beginn des Berichtsjahres fiel sichtsbefugnisse verfügen, was zu Das grosse mediale Interesse spiegelte
praktisch mit dem Ausbruch der einem weiter ansteigenden Kommu- sich im Berichtsjahr in vielen Stellung-
Corona-Pandemie in der Schweiz nikationsbedarf bzw. einer höheren nahmen des Beauftragten bzw. der
zusammen. Das Thema sollte schliess- Präsenz in der Öffentlichkeit führen Kommunikation zu aktuellen Anfra-
lich die gesamte Periode prägen – und dürfte. Mit Blick auf die Inkraftsetzung gen wie auch in den zahlreichen Arti-
tut es auch darüber hinaus. Die Kom- des neuen Gesetzes und der dazugehö- keln und Beiträgen, die allgemein zum
munikation des Beauftragten war rigen Verordnung werden zurzeit die Datenschutz und dem Öffentlichkeits-
darauf ausgerichtet, relevante Daten- bestehenden Merkblätter, Erläuterun- prinzip in der Verwaltung analog und
schutzrisiken zu benennen und öffent- gen und Leitfäden überarbeitet. digital erschienen sind. Allein in unse-
lich zu machen. Trotz der prinzipiel- rer Medienbeobachtung, die sich auf
len Unabhängigkeit des Beauftragten die Schweizer Medien und eine Aus-
war in vielen Fällen eine behördliche Herausforderungen und Be- wahl von internationalen Key-Print-
Absprache nötig und sinnvoll – im dingungen der Kommunikation produkten stützt, registrierten wir
Dienste einer kohärenten Information gegen 4000 Beiträge. Das sind rund
der Bevölkerung während der Krise. Der Fachbereich Kommunikation doppelt soviel wie in der Vorjahrespe-
Dieser Anspruch an die Kommunika- konnte in der zweiten Jahreshälfte riode – eine Steigerung, die sich nicht
tion bezog sich fallweise ebenso auf 2020 seinen ursprünglichen Stellen- durch die erfolgte Anpassung des
den Austausch mit den kantonalen etat wiederherstellen und verfügt Suchprofils begründen lässt, sondern
Datenschutzbeauftragten. somit über 2,4 Vollzeitstellen, die sich auf die deutlich gesteigerte Relevanz
Im Übrigen führte auch ungeachtet drei Personen teilen. Mit der Beset- hinweist. Mehr als die Hälfte der Bei-
der Pandemie-Themen die beschleu- zung der Stellen konnte auch die träge beziehen sich auf die Corona-
nigte Digitalisierung und Globalisie- Mehrsprachigkeit der Schweiz wieder Pandemie.
rung der Gesellschaft zu anhaltend besser abgebildet werden. Aufgrund Parallel dazu sehen wir im social
omnipräsenten Datenschutzfragen. der beschränkten Ressourcen fokus- web (den sozialen Medien und den
Die Kommunikation des EDÖB blieb siert der Beauftragte die Öffentlich- Online-Plattformen; s. Kennzahlen
entsprechend in vielerlei Hinsicht keitsarbeit auf drei zentrale Kommu- Umschlag hinten) eine starke Aktivi-
gefordert, Medienschaffende und die nikationskanäle: den (vorliegenden) tät. In Bezug auf den EDÖB wurden
breite Öffentlichkeit wirksam über die Tätigkeitsbericht, die Website und die 7320 Nennungen gezählt, wovon in
drängenden Themen zum Schutz der direkte Beziehung zu Medienschaf- 1152 Erwähnungen der Beauftragte
Privatsphäre und des Öffentlichkeits- fenden. Twitter wird eingeschränkt oder ein Sprecher oder eine Sprecherin
prinzips in der Verwaltung zu sensibi- genutzt und auf andere social media direkt zitiert wurde. Über die Hälfte
lisieren. Plattformen wird nicht zuletzt aus dieser Nennungen erfolgte auf Kanä-
Im Fokus stand schliesslich die Datenschutzgründen verzichtet. len im Ausland. Ein zentraler Indikator
parlamentarische Debatte um das neue Im Berichtsjahr haben wir den im social web sind die «Engagements»,
Datenschutzgesetz, die der Beauf- Tätigkeitsbericht neu ausgeschrie- also die Anzahl der Aktivitäten wie
tragte kontinuierlich begleitete und im ben. Mit dem Zuschlag konnten die Likes, Weiterleitung oder Kommen-
September 2020 mit der Verabschie- redaktionellen und konzeptionellen tierung pro Beitrag. Mit 3,36 Engage-
dung durch die beiden Kammern ihr Rahmenbedingungen im bestehenden ments liegt dieser Wert sehr hoch und
Ende fand. Nachdem gegen das totalre- Kostenrahmen verbessert werden. weist auf eine erhöhte, aktive Vernet-
vidierte DSG kein Referendum ergrif- zung in den Communities hin.
fen wurde, haben wir einen Kurzkom- Insgesamt haben wir rund 600
mentar zu den neuen Bestimmungen Medienanfragen bearbeitet – ca. ein
auf unserer Website publiziert Drittel mehr als im Jahr zuvor. Die
3.3 Statistiken
Statistiken über die Tätigkeiten des EDÖB vom 1. April 2020 bis 31. März 2021
(Datenschutz)
0% 5% 10% 15 % 20 % 25%
Arbeitsbereich
Datenschutzfragen allgemein
Finanzwesen
Gesundheit
Grundrechte
Handel & Wirtschaft
InfoKommTech (IKT)
Justiz, Polizei & Sicherheit
Öffentlichkeitsprinzip
Statistik & Forschung
Verkehr
Versicherungen
Verteidigung
Zertifizierungen
0% 5% 10 % 15 % 20 % 25 %
Mehrjahresvergleich Aufwand
(Angaben in Prozent)
60
Beratung
(+8 % gegenüber Vorjahr)
50
40
30
20 Information
(−4.8 % )
Aufsicht
(−1.2 % )
10
Gesetzgebung
(−2 % )
0
2010 2011 2012 2013 2014 2015 2016 2017 2018 2019 2020
en
ig
ig
es
ob
n
de
nd
nd
fg se
ch
an
tä
rt tä
au ei
vo s
zo h
n
e
rh
t ls
ge ls
t/ lw
ge uc
ge
uc
nt ch
t
en
hr ol
ei ol
hr ei
ck es
ig es
me li
em
wä v
rw v
wä t
rü g
ng sg
ku mt
e
s
rt
Ge hl
ch
ge ng
ve ng
ge ng
zu ng
hä ng
Do a
pa
za
su
ga
ga
ga
ga
ga
in
De
An
Zu
Zu
Zu
Zu
Zu
ke
BK 31 20 5 4 0 2 0
EDA 174 88 14 47 11 4 10
EJPD 77 45 11 9 2 3 7
EFD 109 51 13 28 3 6 8
WBF 115 49 15 36 3 7 5
UVEK 105 53 8 32 3 3 6
BA 13 6 1 0 0 4 2
PD 6 0 5 0 0 0 1
Total 2020 (%) 1193 (100) 610 (51) 108 (9) 293 (24) 35 (3) 80 (7) 67 (6)
Total 2019 (%) 916 (100) 542 (62) 86 (11) 171 (21) 38 (6) 43 (5) 36 (4)
Total 2018 (%) 636 (100) 352 (55) 62 (10) 119 (19) 24 (4) 48 (7) 31 (5)
Total 2017 (%) 581 (99) 317 (55) 107 (18) 106 (18) 26 (4) 21 (4) –
Total 2016 (%) 551 (99) 293 (53) 87 (16) 105 (19) 33 (6) 29 (5) –
Total 2015 (%) 597 (100) 319 (53) 98 (16) 127 (21) 31 (5) 22 (4) –
Total 2014 (%) 575 (100) 297 (52) 122 (21) 124 (22) 15 (3) 17 (3) –
Total 2013 (%) 469 (100) 218 (46) 122 (26) 103 (22) 18 (4) 8 (2) –
Total 2012 (%) 506 (100) 223 (44) 138 (27) 120 (24) 19 (4) 6 (1) –
Total 2011 (%) 466 (100) 203 (44) 126 (27) 128 (27) 0 (0) 9 (2) –
en
g
es
ob
en
di
di
fg se
ch
d
än
an
rt tä
au ei
vo s
st
zo h
n
e
rh
ge ls
t/ lw
ge uc
ge
uc
nt ch
h
t l
be er
ic
hr ol
ei ol
hr ei
ck s
ig es
me li
e
ch en
re
wä v
rw v
wä t
rü sg
ng sg
ku mt
e
Fa off
Ge hl
ch
ge ng
ve ng
ge ng
zu g
hä ng
a
n
tr
za
su
ga
ga
ga
ga
ga
in
Be
An
Zu
Zu
Zu
Zu
Zu
ke
Do
Bundeskanzlei BK 21 12 5 3 0 1 0
BK
EDÖB 10 8 1 1
Total 31 20 5 4 0 2 0
Eidg. Departement GS EDI 20 12 0 5 0 3 0
des Inneren
EDI EBG 4 3 0 0 1 0 0
BAK 3 1 0 2 0 0 0
BAR 3 1 0 2 0 0 0
METEO CH 1 1 0 0 0 0 0
NB 0 0 0 0 0 0 0
BAG 181 51 22 69 3 26 10
BFS 7 4 1 0 0 0 2
BSV 19 15 0 4 0 0 0
BLV 25 8 3 9 4 0 1
SNM 0 0 0 0 0 0 0
swissmedic 42 15 0 9 0 10 8
Suva 7 3 0 0 0 2 2
fedpol 13 6 2 2 1 0 2
METAS 2 2 0 0 0 0 0
SEM 19 10 1 5 0 3 0
Dienst ÜPF 1 0 1 0 0 0 0
SIR 5 3 0 0 0 0 2
IGE 2 2 0 0 0 0 0
ESBK 0 0 0 0 0 0 0
ESchK 0 0 0 0 0 0 0
RAB 1 0 0 0 1 0 0
ISC-EJPD 0 0 0 0 0 0 0
NKVF 0 0 0 0 0 0 0
Total 77 45 11 9 2 3 7
en
ig
ig
ob
n
nd
nd
fg se
ch
de
tä
rt tä
au ei
es
an
zo h
n
vo s
t ls
ge ls
t/ lw
ge uc
ge
uc
e
rh
h
nt ch
be er
ic
hr ol
ei ol
hr ei
ck s
ig es
e
me li
ch en
re
wä v
rw v
wä t
rü g
ng sg
e
ku mt
Fa off
Ge hl
ch
ge ng
ve ng
ge ng
zu ng
hä ng
a
tr
za
su
ga
ga
ga
ga
ga
in
Be
An
Zu
Zu
Zu
Zu
Zu
ke
Do
Eidg. Departement GS VBS 20 7 0 10 1 0 2
für Verteidigung,
Bevölkerungsschutz Verteidig./
34 13 0 9 2 9 1
und Sport Armee
VBS NDB 18 3 8 3 2 0 2
armasuisse 12 9 0 2 0 1 0
BABS 17 5 0 12 0 0 0
swisstopo 0 0 0 0 0 0 0
OA 0 0 0 0 0 0 0
Eidg. Finanz GS EFD 22 11 1 9 0 1 0
departement
EFD ISB 1 0 0 1 0 0 0
EFV 10 1 1 7 1 0 0
EPA 1 1 0 0 0 0 0
ESTV 10 7 0 3 0 0 0
EZV 37 15 7 5 1 3 6
BBL 3 1 1 1 0 0 0
BIT 4 2 0 0 1 0 1
EFK 8 3 3 1 0 0 1
SIF 3 0 0 1 0 2 0
PUBLICA 0 0 0 0 0 0 0
ZAS 10 10 0 0 0 0 0
Total 109 51 13 28 3 6 8
Eidg. Departement GS WBF 9 6 1 0 1 0 1
für Wirtschaft,
Bildung SECO 35 16 10 7 1 0 1
und Forschung SBFI 4 3 0 0 0 0 1
WBF
BLW 14 3 0 7 0 3 1
BWL 7 3 0 3 0 0 1
BWO 3 0 0 3 0 0 0
PUE 2 1 0 1 0 0 0
WEKO 18 11 1 3 1 2 0
ZIVI 0 0 0 0 0 0 0
BFK 2 2 0 0 0 0 0
SNF 2 1 0 0 0 1 0
EHB 1 0 0 0 0 1 0
ETH 16 3 3 10 0 0 0
InnoSuisse 2 0 0 2 0 0 0
Total 115 49 15 36 3 7 5
en
n
es
ob
en
di
di
fg se
ch
d
än
an
rt tä
au ei
vo s
st
zo h
n
e
rh
ge ls
t/ lw
ge uc
ge
uc
nt ch
h
t l
be er
ic
hr ol
ei ol
hr ei
ck s
ig es
me li
e
ch en
re
wä v
rw v
wä t
rü sg
ng sg
ku mt
e
Fa off
Ge hl
ch
ge ng
ve ng
ge ng
zu g
hä ng
a
n
tr
za
su
ga
ga
ga
ga
ga
in
Be
An
Zu
Zu
Zu
Zu
Zu
ke
Do
Eidg. Departement GS UVEK 9 8 0 1 0 0 0
für Umwelt,
Verkehr, Energie BAV 14 9 0 3 2 0 0
und Kommunikation BAZL 9 3 0 2 0 1 3
UVEK
BFE 4 3 0 0 0 0 1
ASTRA 9 7 0 2 0 0 0
BAKOM 14 2 2 10 0 0 0
BAFU 38 17 5 13 1 0 2
ARE 0 0 0 0 0 0 0
ComCom 0 0 0 0 0 0 0
ENSI 7 3 1 1 0 2 0
PostCom 1 1 0 0 0 0 0
UBI 0 0 0 0 0 0 0
Total 105 53 8 32 3 3 6
Bundesanwaltschaft BA 13 6 1 0 0 4 2
BA
Total 13 6 1 0 0 4 2
Parlamentsdienste PD 6 0 5 0 0 0 1
PD
Total 6 0 5 0 0 0 1
19 -
en
D- en
ig
ig
ob
VI mm
n
nd
nd
fg se
de
ch
CO sa
tä
rt tä
au ei
an
es
t Zu
zo h
vo s
n
t ls
ge ls
t/ lw
ge uc
uc
e
rh
ge
h
nt ch
be er
ic
mi m
hr ol
ei ol
hr ei
ck es
ig es
i
me li
ch en
re
wä v
rw v
wä t
rü g
ng sg
ng e
ku mt
Fa off
ha ch
ge ng
ve ng
ge ng
zu ng
hä ng
a
tr
su
ga
ga
ga
ga
ga
in
Be
Ge
Zu
Zu
Zu
Zu
Zu
ke
Do
Bundeskanzlei BK 6 (100 % ) 3 (50 % ) 3 (50 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
BK
EDÖB 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
Total 6 (100 % ) 3 (50 % ) 3 (50 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
BAK 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
BAR 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
METEO CH 1 (1 % ) 1 (1 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
NB 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
BFS 1 (1 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 1 (1 % )
BSV 1 (1 % ) 1 (1 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
BLV 4 (2 % ) 3 (2 % ) 1 (1 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
SNM 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
swissmedic 16 (9 % ) 4 (2 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 9 (5 % ) 3 (2 % )
SUVA 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
EPA 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
ESTV 2 (8 % ) 2 (8 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
BBL 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
BIT 3 (12 % ) 2 (8 % ) 0 (0 % ) 0 (0 % ) 1 (4 % ) 0 (0 % ) 0 (0 % )
EFK 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
SIF 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
PUBLICA 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
ZAS 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
19 -
en
D- en
ig
ig
ob
VI mm
en
nd
nd
fg se
ch
CO sa
d
tä
rt tä
au ei
an
es
t Zu
zo h
vo s
n
t ls
ge ls
t/ lw
ge uc
uc
e
rh
ge
h
nt ch
be er
ic
mi m
hr ol
ei ol
hr ei
ck es
ig es
i
me li
ch en
re
wä v
rw v
wä t
rü g
ng sg
ng e
ku mt
Fa off
ha ch
ge ng
ve ng
ge ng
zu ng
hä ng
a
tr
su
ga
ga
ga
ga
ga
in
Be
Ge
Zu
Zu
Zu
Zu
Zu
ke
Do
Eidg. Justiz- und GS EJPD 1 (14 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 1 (14 % )
Polizeidepartement
EJPD BJ 6 (86 % ) 5 (71 % ) 1 (14 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
fedpol 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
METAS 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
SEM 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
Dienst ÜPF 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
SIR 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
IGE 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
ESBK 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
ESchK 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
RAB 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
ISC-EJPD 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
NKVF 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
ASTRA 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
BAKOM 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
ARE 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
ComCom 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
ENSI 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
PostCom 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
UBI 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
armasuisse 1 (2 % ) 1 (2 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
BASPO 3 (6 % ) 3 (6 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
swisstopo 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
OA 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
19 -
en
D- en
ig
ig
ob
VI mm
n
nd
nd
fg se
de
ch
CO sa
tä
rt tä
au ei
an
es
t Zu
zo h
vo s
n
t ls
ge ls
t/ lw
ge uc
uc
e
rh
ge
h
nt ch
be er
ic
mi m
hr ol
ei ol
hr ei
ck es
ig es
i
me li
ch en
re
wä v
rw v
wä t
rü g
ng sg
ng e
ku mt
Fa off
ha ch
ge ng
ve ng
ge ng
zu ng
hä ng
a
tr
su
ga
ga
ga
ga
ga
in
Be
Ge
Zu
Zu
Zu
Zu
Zu
ke
Do
Eidg. Departement GS WBF 2 (8 % ) 2 (8 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
für Wirtschaft,
Bildung und SECO 14 (56 % ) 5 (20 % ) 7 (28 % ) 2 (8 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
Forschung SBFI 1 (4 % ) 1 (4 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
WBF
BLW 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
BWL 5 (20 % ) 2 (8 % ) 0 (0 % ) 2 (8 % ) 0 (0 % ) 0 (0 % ) 1 (4 % )
PUE 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
WEKO 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
ZIVI 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
BFK 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
SNF 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
EHB 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
ETH 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
InnoSuisse 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
Bundesanwaltschaft BA 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
BA
Total 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
Medien 31
Rechtsanwälte 7
Unternehmen 7
Universitäten 1
Total 93
Zugang verweigert 9%
Rückzug 3%
hängig 7%
300
250
200
150
kein amtliches Dokument
vorhanden
hängig
100
Rückzug
Zugang verweigert
50
Zugang teilweise
gewährt / aufgeschoben
0 Zugang gewährt
Organigramm
Direktionsbereiche
Kompetenzzentrum Kompetenzzentrum
Geschäftsverwaltung, IT und Digitale
Team 1 Team 2 Team 3 Personelles und Gesellschaft
Finanzen
Anzahl Mitarbeitende 38
FTE 31.8
Männer 18 47 %
90–100 % 13 37 %
Französisch 7 18 %
Italienisch 1 3%
50–65 Jahre 14 37 %
Kaderpositionen Frauen 3 33 %
Männer 6 67 %
Abkürzungsverzeichnis
AHVN13 13-stellige AHV-Nummer EDSA Europäischer Datenschutzaus- NaDB Programm Nationale Daten
schuss bewirtschaftung
BCR verbindliche Unternehmensregeln
EDSB Europäischer Datenschutzbeauf- NCSC Nationales Zentrum für Cyber-
BGEID Bundesgesetz über elektroni- tragter sicherheit
sche Identifizierungsdienste (E-ID-
Gesetz) EpG Bundesgesetz über die Bekämp- NDB Nachrichtendienst des Bundes
fung übertragbarer Krankheiten des
BGÖ Bundesgesetz über das Öffentlich- Menschen (Epidemiengesetz) PBG Personenbeförderungsgesetz
keitsprinzip der Verwaltung (Öffentlich-
keitsgesetz BGÖ) EPD Elektronisches Patientendossier PNR Flugpassagierdaten
Abbildungsverzeichnis
Grafiken Tabellen
Dieser Bericht ist in vier Sprachen vorhanden und über das Internet (www.derbeauftragte.ch) aufrufbar.
Vetrieb: BBL, Verkauf Bundespublikationen, CH-3003 Bern
www.bundespublikationen.admin.ch
Art.-Nr. 410.028.D
Leistungen Datenschutz
51 % 25 % 9% 3% 7% 5%
gewährt teilweise gewährt/ verweigert Rückzug hängig kein amtliches
aufgeschoben Dokument vorhanden
Mentions* Engagement**
4% 1% 1%
2%
13 % 6% 6% 6%
7%
9%
31 %
2019 Medientypen 20 % Tonalität Sprachen 37 % Länder
8% 55 %
55 % 87 % 52 %
2% 1%
6% 9%
7% 15 % 12 %
10 %
10 % 5%
2020 45 %
42 % 16 %
47 %
35 %
35 %
81 % 22 %
E-Mail: info@edoeb.admin.ch
Website: www.derbeauftragte.ch
@derBeauftragte
Telefon: +41 (0)58 462 43 95 (Mo – Fr, 10 – 12 Uhr)
Telefax: +41 (0)58 465 99 96