Taetigkeitsbericht No28 EDOEB 2020-21 DE

CORONA 20/21
28. Tätigkeitsbericht 2020/21

Eidgenössischer Datenschutz- und
Öffentlichkeitsbeauftragter
Tätigkeitsbericht 2020/2021
des Eidgenössischen Datenschutz- und
Öffentlichkeitsbeauftragten
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte
hat der Bundesversammlung periodisch einen Bericht über seine Tätigkeit
vorzulegen (Art. 30 DSG).
Der vorliegende Bericht deckt den Zeitraum zwischen 1. April 2020

und 31. März 2021 ab.
211453_DE_Taetigkeitsbericht_No28_EDOEB_2020-21.indd 1 14.06.21 07:06

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter

Vorwort
Die Berichtsperiode war geprägt von einer anhaltenden Pandemie und den
Massnahmen, die der Bundesrat und seine Verwaltung zum Schutz der
Bevölkerung und zur Stützung der Wirtschaft getroffen haben.
Vor diesem Hintergrund wird es nicht erstaunen, dass sich die Aufsichts-
tätigkeit unserer Datenschutzbehörde auf die digitalen Stützen der Pande-
miebekämpfung wie die «SwissCovid App» oder den Impf-, Test- und Gene-
sungsnachweis konzentrierte. Auch beim Vollzug des Öffentlichkeitsgesetzes
war unser Arbeitsalltag von COVID-19 geprägt, indem ein hoher Anteil der ein-
gegangenen Schlichtungsgesuche den Zugang zu amtlichen Dokumenten wie
etwa über die Beschaffung von Masken oder Impfstoffen betrafen.
Während der Staat bei der Bekämpfung der zähen Pandemie mit einer
hohen Kadenz von Massnahmen in die Privatsphäre und informationelle
Selbstbestimmung der Bevölkerung eingriff, pochte unsere Behörde auf
die Transparenz des behördlichen Handelns. Weil die Verwaltung bei der
Bewältigung von Krisen Prioritäten setzen muss, sind wir dabei pragmatisch
vorgegangen. Etwa indem wir gegenüber Medienschaffenden für die nach-
trägliche Dokumentierung der Tätigkeit des Bundesamtes für Gesundheit für
Geduld warben.
Für eine Bilanzierung der Schäden dieser freiheitszehrenden Pandemie ist
es zu früh. Eines aber steht fest: Auch unsere Behörde hat ihre Lehren aus
den digitalen Pannen gezogen, die in dieser Krise für Staunen und Empörung
sorgten. Kritik an Amtsstellen und Führungspersonen sollten indessen nicht
über die Defizite der asynchronen Digitalisierung unseres Landes hinweg-
täuschen. Allen voran das Fehlen des Basisdienstes einer amtlich bestätigten
elektronischen Identität, die sich gerade für die zeitgemässe und daten-
schutzkonforme Bewirtschaftung von Gesundheitsdaten als unverzichtbar
erweist.
Adrian Lobsiger
Bern, den 31. März 2021

Inhaltsverzeichnis
Aktuelle Herausforderungen...................... 6 – Datenschutzkonforme Umsetzung des COVID-19-

Zertifikats
Datenschutz – Elektronisches Patientendossier – Erste Stamm

gemeinschaften zertifiziert
1.1 Digitalisierung und Grundrechte............. 14
– Proximity Tracing-App des Bundes (SwissCovid-App)
– Datenschutzfolgenabschätzung betreffend SwissID
– Projekt der Schweizer Medienverlage für – Der gesetzliche Rahmen der Kontaktdatenerfassung
ein gemeinsames Login auf Online-Portalen
– Cloud-Initiativen zur U
msetzung der IKT-Strategie des
Bundes. 1.6 Arbeit..................................................... 47
– Der Einstieg der Bundesverwaltung in die Cloud muss – Zulässigkeit von Background Checks im Bewerbungs-
datenschutzkonform erfolgen verfahren
– Zugang des BAG zu Mobilitätsdaten der Swisscom – Datenschutzrechtliche Aspekte im Homeoffice
– Programm Nationale Datenbewirtschaftung – Datenschutzrechtliche Vorgaben zur Früherkennung von

– Datenbearbeitungen von Dating-Apps Corona im Arbeitsbereich
– EDÖB plant neue Meldeportale
1.7 Versicherungen........................................ 50
Schwerpunkt I. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 – Einführung des Hinweis- und Informationssystems HIS
Das neue Datenschutzgesetz aus Sicht des EDÖB in der schweizerischen Versicherungswirtschaft
– Weitergabe von Mitgliederdaten an Sponsoren
– Systematische Verwendung der AHV-Nummer durch die
1.2 Justiz, Polizei, Sicherheit................... 28
Behörden: Das Parlament sagt Ja zur Gesetzesänderung
– Auskunftsgesuche beim Nachrichtendienst des Bundes
(NDB) 1.8 Verkehr................................................... 54
– Botschaft zur Revision des DNA-Profil-Gesetzes wurde – Starke Zunahme der Bürgeranfragen zu Drohnen
verabschiedet
– Revision des Personenbeförderungsgesetzes:
– Gesetzgebungsvorlage zur Überprüfung von Mobil Diskriminierende Schranken für anonym Reisende im ÖV
telefonen im Asylverfahren sind zu verhindern
– Intervention des EDÖB bei der Eidgenössischen – Nutzung von Flugpassagierdaten zur Terrorismus
Zollverwaltung: Ungenügende Regelung der Daten bekämpfung
bearbeitung in neuem Zollpolizeigesetz
1.3 Steuer- und Finanzwesen.......................... 31 Schwerpunkt II. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
– Der EDÖB setzt sich vor Bundesgericht für das Recht auf Das Privacy Shield garantiert Betroffenen in der Schweiz
Information in der internationalen Steueramtshilfe ein kein adäquates Schutzniveau bei Datenbekanntgaben
in die USA
1.4 Handel und Wirtschaft............................. 33
– Abklärungen 5G Implementierungen von Sunrise und 1.9 International......................................... 58
Swisscom
– Einführung
– Fehlerhafte Datenbankeinträge bei Inkassounternehmen
– Europarat
– Kreditfähigkeitsprüfung bei Autoleasing
– Global Privacy Assembly
– Migros Sachverhaltsabklärung Videoüberwachung
– Brexit – Angemessenheit des Datenschutzes
– Bearbeitung von Kundendaten durch Onlineshops
– Arbeitsgruppe über die Rolle des Schutzes personen
– Verwendung der Daten von ricardo.ch innerhalb der bezogener Daten in der internationalen Entwicklungshilfe,
TX Group in der internationalen humanitären Hilfe sowie bei der
– Revision der Energieverordnung Krisenbewältigung
– Europäische Datenschutz-Grundverordnung
1.5 Gesundheit.............................................. 39 – Aufsichtskoordinationsgruppen über die
– Anforderungen an Cloud-Lösungen für die Bearbeitung Informationssysteme SIS II, VIS und Eurodac
von Patientendaten
– Datenschutzrechtliche Herausforderungen mit

Blick auf mögliche Erleichterungen für geimpfte Personen

Inhaltsverzeichnis
Öffentlichkeitsprinzip Der EDÖB

2.1 Allgemein................................................ 66 3.1 Aufgaben und Ressourcen.......................... 82
2.2 Zugangsgesuche – erneute Zunahme – Pandemie

im 2020................................................... 68 – Leistungen und Ressourcen im Bereich Datenschutz
– Teilnahme an Kommissionsberatungen und Anhörungen
2.3 Schlichtungsverfahren – weniger
durch parlamentarische Kommissionen
Schlichtungsanträge................................ 72
– Leistungen und Ressourcen im Bereich
– Anteil einvernehmlicher Lösungen
Öffentlichkeitsgesetz
– Dauer der Schlichtungsverfahren
– Anzahl hängiger Fälle 3.2 Kommunikation......................................... 87
– Die Pandemie dominierte die Kommunikationsarbeit
2.4 Gesetzgebungsverfahren........................... 76
– Herausforderungen und Bedingungen der Kommunikation
– Gesetzgebungsverfahren für die Überführung der – Anhaltend hohes Medieninteresse
COVID-19-Solidarbürgschaftsverordnung ins COVID-19- – Stellungnahmen, Empfehlungen und Publikationen
Solidarbürgschaftsgesetz
3.3 Statistiken............................................ 90
– Ämterkonsultation Entwurf der Stellungnahme des
Bundesrates zum Bericht vom – Statistiken über die Tätigkeiten des EDÖB vom
15. Oktober 2020 der Staatspolitischen Kommission des 1. April 2020 bis 31. März 2021 (Datenschutz)
Nationalrates zur parlamentarischen Initiative 16.432 – Übersicht der Zugangsgesuche vom 1. Januar bis
Graf-Litscher. Gebührenregelung. Öffentlichkeitsprinzip 31. Dezember 2020
in der Bundesverwaltung – Statistiken über eingereichte Zugangsgesuche nach
– Revision des Bundesgesetzes über die Öffentlichkeitsgesetz vom 1. Januar bis 31. Dezember
Förderung der Forschung und der Innovation 2020
(FIFG). Ämterkonsultationen im Rahmen der
Vorbereitungsarbeiten für die Botschaft des Bundesrates – Zugangsgesuche 2020 mit Corona-Bezug
– Teilrevision des KVG betreffend Massnahmen zur
– Anzahl Schlichtungsgesuche nach Kategorien der
Kostendämpfung (zweites Paket)
Antragssteller
– Neues Bundesgesetz über den Allgemeinen Teil
– Zugangsgesuche der gesamten Bundesverwaltung vom
der Abgabenerhebung und die Kontrolle des
1. Januar bis 31. Dezember 2020
grenzüberschreitenden Waren- und Personenverkehrs
durch das Bundesamt für Zoll und Grenzsicherheit (BAZG-
3.4 Organisation EDÖB................................. 100
Vollzugsaufgabengesetz)
– Organigramm
– Mitarbeiter und Mitarbeiterinnen des EDÖB
Abkürzungsverzeichnis.......................... 102
Abbildungsverzeichnis.......................... 103
Impressum ............................................ 104
In der Klappe
– Die wichtigsten Zahlen und Fakten
– Anliegen des Datenschutzes
Texte und Bilder mit Coronabezug

Aktuelle Herausforderungen
I Digitalisierung
Die trotz verfügbaren Impfstoffen Gerät für automatische Datenabglei- ist, dass die systematischen Personen-
anhaltende Corona-Krise und die che – sog. «Scans» – vorzuweisen, was datenbearbeitungen im Kontext der
von ihr beschleunigte Digitalisierung beim Gedanken daran, dass sich dort Pandemie die informationelle Selbst-
von Arbeit und Konsum haben den umfangreiche Spuren ihrer digitalen bestimmung der Bevölkerung über die
Umgang der Schweizer Bevölkerung Lebensführung befinden, Unbehagen aktuelle Krise hinaus prägen werden.
mit Informations- und Kommunika- auslösen kann. Es ist deshalb nicht Angesichts der hohen Verbreitung
tionstechnologien (IKT) auch in der jede oder jeder Einzelne willens, ein von Smart Devices ist absehbar, dass
aktuellen Berichtsperiode geprägt. mit einem bestimmten Programm die Krise zum Trittbrett behördlicher
bestücktes Smart Device vorzuzeigen. und kommerzieller Interessen werden
Auch gibt es Menschen, die dazu auf- kann, welche die jederzeitige Zugäng-
Technologie und Wirtschaft grund ihres Alters, ihrer Gesundheit lichkeit dieser Geräte als mobile Iden-
oder wegen Behinderungen gar nicht tifikations- und Dokumentationsmit-
Das technische und wirtschaftliche in der Lage sind. tel nahelegen. Um zu verhindern, dass
Potenzial für Eingriffe in die Privat- In der aktuellen Phase der Pan- Smart Devices zu digitalen Fussfes-
sphäre und Selbstbestimmungsrechte demiebekämpfung wird absehbar, seln degenerieren, hat der Beauftragte
der Bevölkerung bleibt hoch. dass der Druck auf all diese Personen sowohl bezüglich der Erhebung von
Die digitale Realität basiert auf zunehmen wird. Mit Blick auf die Kontaktdaten für das Contact Tra-
dem lichtschnellen Internet-Transport Wiedereröffnung von Betrieben und cing als auch der Nachweise von Test-
von Signalen, welche Milliarden von die Aufhebung von Veranstaltungsver- resultaten und Impfungen öffentlich
portablen Geräten, sog. «Smart Devi- boten wird absehbar, dass der Zugang gefordert, auch herkömmliche Infor-
ces», in Schriften, Bilder, Töne oder zu gewissen Gütern und Leistungen mationsträger wie Papier zuzulassen
Vibrationen verwandeln und sinnlich von Nachweisen von Covid-Testresul- (s. Mitteilungen zu Gästelisten sowie
wahrnehmbar machen. Die jederzei- taten oder Covid-Impfungen abhängig Erhebung von Gesundheitsdaten
tige Verfügbarkeit und breite Streu- gemacht werden dürfte. Um zu ver- durch Private). Entsprechende Über-
ung von Informationen befriedigen hindern, dass die Bevölkerung in eine legungen dürften denn auch für den
Neugier, Spieltrieb und Wissensdrang Smartphone-Tragpflicht geschubst Bundesgesetzgeber ausschlaggebend
unserer Gesellschaft. wird, fordert der EDÖB, dass ihr bei gewesen sein, als er im Frühsommer
Beides wird den Menschen aber der Erhebung dieser Gesundheitsdaten 2020 im Epidemiengesetz den Grund-
schnell lästig, wenn Sondernut- nebst digitalen auch alternative Erhe- satz verankerte, dass niemand eine
zungsansprüche an Daten oder der bungsmethoden zu zumutbaren Kon- Leistung davon abhängig machen darf,
Intimsphärenschutz ins Spiel kom- ditionen angeboten werden. Letztere ob jemand die Swiss Covid App ver-
men. Private Individuen und Unter- sind wichtig, weil davon auszugehen wendet oder nicht.
nehmen pflegen deshalb einen Teil Die weitreichenden Auswirkungen
ihrer Daten abzuschotten und zu ver- der fortschreitenden Automatisierung
schlüsseln, was wiederum der Ein- bei der Bearbeitung grosser Daten-
griffsverwaltung und Polizei ein Dorn mengen haben sich im Berichtsjahr
im Auge ist. Auch sehen sich die auch bei der Durchführung von Wah-
Besitzer von Smart Devices zuneh- len und Abstimmungen eindrücklich
mend mit der Forderung privater und gezeigt. Wenn heute zur Auswertung
behördlicher Akteure konfrontiert, ihr grosser Mengen von Voten maschi-
nelle und digitale Technik eingesetzt
wird, sorgen sich die Stimmenden vor
allem anderen um die Transparenz
und Verlässlichkeit ebendieser Tech-
6 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter

nik, womit typische Fragestellungen Gesellschaft und rien, Zwecke sowie die Intensität und
des Datenschutzes angesprochen sind. Datenpolitik Dauer behördlicher Datenbearbeitun-
Das verbreitet vorhandene Misstrauen gen gesetzlich zu verankern, weil dies
gegenüber automatisierten Vorgän- Am 7. März 2021 hat das Schweizer angeblich den Erhalt nicht mehr zeit-
gen hat denn auch zu den Wirren im Volk das Bundesgesetz über elektro- gemässer «Datensilos» und «Medien-
Anschluss an die letzten US-Präsi- nische Identifizierungsdienste (E-ID) brüche» fördere, die die Verwaltung
dentschaftswahlen beigetragen. Indem deutlich abgelehnt. Während Bundes- daran hinderten, sich flexibel zu ver-
die damaligen Anwälte des Weissen rat und Parlament bei der Bevölkerung netzen und effizient zu arbeiten.
Hauses mit Vorliebe abstrakte, techni- vergeblich um Vertrauen in eine pri- Dem ist entgegenzuhalten, dass
sche Aspekte der Datenübermittlung, vate Herausgeberschaft der E-ID war- der Beauftragte die Digitalisierung der
-zählung und -auswertung aufs Korn ben, setzte sich das Referendumsko- Bundesverwaltung ebenso wenig in
nahmen und mit einer systemischen mitee mit seinem zentralen Argument Frage stellt, wie deren Bedürfnis nach
Generalkritik diskreditierten, ver- durch, deren Ausgabe sei ausschliess- zeitgemässen Rechtsgrundlagen, wel-
stärkten sie die Verunsicherung einer lich in behördliche Verantwortung zu che die organisatorische und techno-
Öffentlichkeit, die in den Foren des legen. Wenn sich das Volk dem Staat logische Gestaltungsfreiheit der Ämter
Internets einem Sperrfeuer von Glau- im Zusammenhang mit einem digita- nicht unnötig einengen. Mit einer
bensbotschaften über gezinkte Algo- len Schlüsselprojekt für mehr staatli- lösungsorientierten Beratungstätig-
rithmen und andere Machenschaften che Führung ausspricht, dürfte dies auf keit zeigt der EDÖB auf, dass gene-
ausgesetzt war. Vor diesem Hinter- die berechtigte Erwartung zurückzu- rell-abstrakt und technologieneutral
grund ist davon auszugehen, dass mit führen sein, dass sich staatliches Tätig- formulierte Vorgaben im Gesetz der
der fortschreitenden Automatisie- werden und die daraus abzuleitende digitalen Transformation keineswegs
rung von Wahlen und Abstimmungen Bearbeitung von Personendaten auf das im Wege stehen. Auch unterstützt er
jene Arbeitsinstrumente des moder- beschränkt, was im Gesetz steht, und Bestrebungen der Verwaltung, histo-
nen Datenschutzrechts an Bedeu- sich die Behörden selbstbeflissen am risch gewachsene Systemstrukturen
tung gewinnen werden, die bei auto- Legalitätsprinzip orientieren. zu vereinfachen.
matisierten Vorgängen, die zu Ent- Diese Erwartungen der Bevölke- Trotz dieses Bekenntnisses zur
scheidungen führen, ein Minimum an rung stehen in einem gewissen Kon- digitalen Transformation kann die
menschlichem Zutun verlangen. trast zu den Erfahrungen des EDÖB. Datenschutzaufsicht des Bundes die
Im Zuge unserer Beratungs- und Auf- Verwaltung nicht davon dispensieren,
sichtstätigkeit stellen wir fest, dass Zweck, Umfang und Intensität digita-
sich die mit der Herausforderung der ler Bearbeitungen von Personendaten
digitalen Transformation konfron- von einem Auftrag der politischen
tierte Bundesverwaltung mit dem Organe abzuleiten, der im Gesetz bür-
Legalitätsprinzip zunehmend schwer- gerverständlich verankert ist. Auch
tut und die Anforderungen, welche
die bundesgerichtliche Praxis an die
Bestimmtheit gesetzlicher Grundlagen
zur Bearbeitung von Personendaten
stellt, in Zweifel zieht: So sei es nicht
länger vertretbar, die Inhalte, Katego-
«Die Bevölkerung soll nicht in eine

Smartphone-Tragpflicht geschubst werden.»
28. Tätigkeitsbericht 2020/21 7

ist es unabdingbar, dass der demokra- tendienstes des Bundes bewaffnet und kommt. Würde die digitale Verknüp-
tisch legitimierte Gesetzgeber bei der mit polizeilichen Befugnissen ausge- fung der Personendaten, die im föde-
Regelung der behördlichen Datenbe- stattet werden soll. ralistischen Gefüge der Sicherheitsbe-
arbeitung politisch und staatsrecht- Die Bearbeitung von Personen- hörden zur Erfüllung so unterschied-
lich gebotene Zuständigkeitsgrenzen daten durch diese Sicherheitsbehör- licher Zwecke wie der sicherheits-
zieht, indem er Verantwortlichkeiten den des Bundes ist mit hohen Risiken polizeilichen Gefahrenabwehr, der
zuweist, den direkten Zugriff auf Per- für die Privatsphäre und informatio- kriminalpolizeilichen Strafverfolgung,
sonendaten eingrenzt und den Aus- nelle Selbstbestimmung der Bevöl- des nachrichtendienstlichen Staats-
tausch von Informationen über den kerung verbunden, weil diese bei der schutzes sowie zum Vollzug zahlrei-
Weg der Amtshilfe regelt. Dass die Beschaffung eines Teils ihrer Infor- cher Spezialgesetze bearbeitet werden,
digitale Transformation der Verwal- mationen verdeckt vorgehen und dem Belieben der Behörden überlassen,
tung ohne Verwässerung des Legali- betroffene Personen je nach Ergebnis führte dies zu einer intransparenten
tätsprinzips umzusetzen ist, geht im der Auswertung der Daten mit ein- Konzentration von Polizeimacht, die
Übrigen auch aus dem neuen Daten- schneidenden Zwangsmassnahmen mit der Kompetenzordnung der Bun-
schutzgesetz hervor, in welchem der belegen. Vor diesem Hintergrund darf desverfassung nicht zu vereinbaren
Gesetzgeber von 2020 das bisherige die Datenschutzaufsicht des Bundes wäre.
Versprechen bekräftigte, dass Bun- bei der digitalen Transformation die- Die Bearbeitung der Polizeidaten
desorgane nur dann sensible Bürger- ser Ämter hinsichtlich der Beachtung des Bundes vom Gesetz auf aufgaben-
daten bearbeiten, wenn dies ein dem der bundesgerichtlichen Anforderun- bezogene Kategorien zurückzubinden,
Referendum unterliegendes Gesetz gen an die Bestimmtheit der gesetz- ist umso wichtiger, als sich die Orga-
vorsieht und erkennbar macht, zu lichen Regelung polizeibehördlicher nisation der Sicherheitsbehörden auf
welchen Zwecken und in welchem Personendatenbearbeitungen keine Stufe des Bundes in ihrer historisch
Umfang welche Arten und Inhalte von Abstriche tolerieren. Nur hinreichend geprägten Komplexität in eigenartiger
Daten mit welcher Intensität bearbei- bestimmte Gesetze können verhin- Weise von den Verhältnissen in den
tet werden. dern, dass es mit der fortschreiten- Kantonen abhebt. Während die ver-
Einen Austausch über die Anforde- den digitalen Transformation der deckt und zwangsbewehrt erfolgenden
rungen des Legalitätsprinzips führte Sicherheitsbehörden des Bundes und Erhebungen von Personendaten dort
der EDÖB in der Berichtsperiode u.a. der kantonalen Polizeikorps zu einer durch ein einziges Polizeikorps durch-
mit der Eidgenössischen Zollverwal- Verwischung von Zuständigkeiten geführt werden, dessen Aufgaben und
tung. Es ging dabei um die Gestal- Befugnisse im kantonalen Polizeige-
tungspielräume des zukünftigen Bun- setz nachgeschlagen werden können,
desamtes für Zoll und Grenzsicherheit, verteilt die Eidgenossenschaft ihre
dessen Personal grosse Mengen sensib- Polizeimacht wie erwähnt auf eine
ler Personendaten bearbeiten wird und Vielzahl von bewaffneten Verbänden,
wie die Mitarbeitenden des Bundes- die auf der Grundlage unterschied-
amtes für Polizei oder des Nachrich-
«Die Sicherheitsbehörden des Bundes tun sich

zunehmend schwer mit dem Legalitätsprinzip.»

lichster Bundesgesetze Personendaten

bearbeiten. Dass das Fehlen eines mit
den kantonalen Polizeigesetzen ver-
gleichbaren Erlasses und die schwer
überblickbare Vielzahl von bundes-
rechtlichen Spezialerlassen die Trans-
parenz der Personendatenbearbeitung
durch die Bundessicherheitsbehörden
in einer mit der Datenschutzgesetz-
gebung schwer vertretbaren Weise
mindert, beanstandet der Beauftragte
seit vielen Jahren vergeblich in sei-
nen Tätigkeitsberichten. Im Kontext
mit der digitalen Transformation hat
diese Rechtszersplitterung inzwischen
dazu geführt, dass es für diese Behör-
den immer anspruchsvoller wird, ihre
vielschichtigen Datenbearbeitun-
gen zu überblicken. Der Beauftragte
sieht in diesem Umstand eine weitere
Erklärung dafür, weshalb sich gerade
die Sicherheitsbehörden des Bundes
zunehmend schwer tun mit der Hand-
habung des Legalitätsprinzips.
Gesetzgebung
Die eidgenössischen Räte haben ihre

langwierigen Arbeiten zur Totalrevi-
sion der Datenschutzgesetzgebung des
Bundes mit der Schaffung des total-
revidierten Bundesgesetzes über den
Datenschutz vom 25. September 2020
zum Abschluss gebracht (s. Schwer-
punkt 1).

II Beratungs-, Kontroll- und Schlichtungstätigkeit
Damit der EDÖB als Aufsichtsbehörde Pandemie hat den EDÖB auch in seiner mochte der EDÖB die berechtigten
sicherstellen kann, dass Personenda- Eigenschaft als Öffentlichkeitsbeauf- Erwartungen der Öffentlichkeit nicht
ten nicht mit der technisch machbaren, tragten herausgefordert. So sah er sich im gewünschten Mass zu erfüllen.
sondern rechtlich zulässigen Intensi- mit einer Vielzahl von Schlichtungs- Obwohl der EDÖB eine enge Zusam-
tät bearbeitet werden, verlangt er von anträgen konfrontiert, die sich u.a. auf menarbeit mit dem nationalen Zent-
den Verantwortlichen digitaler Appli- amtliche Dokumente zur Beschaffung rum für Cybersicherheit sucht, fehlt es
kationen, dass sie hohe datenschutz- von Masken oder Impfstoffen bezo- ihm an Mitteln (s. Kap. 3.1), um syste-
rechtliche Risiken bereits im Planungs- gen und infolge der allgemeinen Ver- matisch Stichproben und Kontrollen
und Projektstadium minimieren und pflichtung zu Home-Office grössten- der technischen Sicherheit durchzu-
gegenüber der betrieblichen und teils durch den arbeitsintensiven Erlass führen, wie sie gerade bei sensiblen
behördlichen Datenschutzaufsicht schriftlicher Empfehlungen abge- Datenhaltungen von Gesundheitsda-
dokumentieren. Mit dieser Ausrich- schlossen werden mussten. ten nützlich wären. Erinnert sei in die-
tung haben wir die aufsichtsrechtliche Sechs von insgesamt 15 Grosspro- sem Kontext an den Fall der Stiftung
Beratung einer Vielzahl von Big Data jekten, die der EDÖB aufgrund sei- «meineimpfungen».
Projekten von Bundesbehörden und ner gesetzlichen Beratungspflichten
privaten Unternehmen fortgesetzt begleitete, standen im Zusammenhang
und den selbstverantwortlichen Ein- mit der vom Bundesrat angeordneten
satz moderner Arbeitsinstrumente digitalen Transformation der Bundes-
wie der Datenschutzfolgenabschät- verwaltung, welche den von Politik
zung sowie betrieblicher Datenschutz- und Medien vorab im Zusammenhang
verantwortlicher gefördert. mit der Pandemiebekämpfung ange-
Den gewichtigsten Schwer- mahnten Digitalisierungsrückstand
punkt hat der EDÖB in der aktuellen aufzuholen sucht. Nebst den erwähn-
Berichtsperiode bei der aufsichts- ten Projekten des Bundesamtes für
rechtlichen Begleitung und Kontrolle Gesundheit begleitete der EDÖB denn
der zahlreichen digitalen Projekte im auch Digitalisierungsvorhaben zahl-
Zusammenhang mit der Bekämpfung reicher weiterer Bundesorgane mit
der aktuellen Pandemie gesetzt, wel- dem erwähnten Schwerpunkt bei den
che im vorliegenden Jahresbericht mit Sicherheitsbehörden (s. oben sowie
gelber Farbe gekennzeichnet sind. Die Kap. 1.2 und 3.1).
Nachdem die Aufwendungen für
die Kontrollaufgaben in der Periode
2015/16 deutlich absanken, konnten
diese in den letzten Jahren leicht ange-
hoben und wegen der anhaltend knap-
pen Mittelausstattung nur auf tiefem
Niveau stabilisiert werden. Auch in
der aktuellen Berichtsperiode ver-

III Nationale und internationale Kooperation
Nationale Kooperation Europarat Wegfall des Swiss-US Privacy

Shield als angemessenes
Im Zuge der Bekämpfung der aktu- Dem EDÖB ist es ein Anliegen, sich Datenschutzniveau
ellen Pandemie stellten sich sowohl aktiv beim Europarat einzubringen.
beim Contact Tracing wie auch bei der So nahm er weiterhin an den Sitzun- Der Gerichtshof der Europäischen
Bearbeitung von Personendaten im gen des beratenden Ausschusses für Union (EuGH) fällte seinen mit Span-
Zusammenhang mit COVID-19 Imp- das Übereinkommen zum Schutz nung erwarteten Entscheid betreffend
fungen und Tests Abgrenzungsfragen des Menschen bei der Verarbeitung die Übermittlung von Daten von der
zwischen eidgenössischen und kan- personenbezogener Daten (Überein- EU in die USA (Schrems II) am 16. Juli
tonalen Zuständigkeiten. Die einge- kommen 108) teil. Gleichzeitig wurde 2020. Dabei erklärte der EuGH den
spielten Kontakte zwischen den kan- eine Vertreterin des EDÖB in das Büro Angemessenheitsbeschluss 2016/1250
tonalen Datenschutzbeauftragten und des beratenden Ausschusses für das der EU-Kommission betreffend die
dem EDÖB gewährleisteten, dass stets Übereinkommen 108 gewählt, das die unter dem EU-US Privacy Shield
Lösungen für ein abgestimmtes und Arbeiten des Ausschusses zwischen Regime zertifizierten US-Unterneh-
pragmatisches Vorgehen gefunden den Plenarsitzungen leitet. men für ungültig.
werden konnten. Urteile des EuGH haben keine
Geltung für die Schweiz. Vor dem
Evaluation des Datenschutz- Hintergrund seiner periodischen Eva-
Internationale Kooperation niveaus luationen des CH-US Privacy Shield
Regimes und der Angemessenheits-
Die Pandemiebekämpfung und der Der für Ende Mai 2020 erwartete anerkennungen zwischen der Schweiz
damit zusammenhängende Umgang Bericht der Europäischen Kommission und der EU stellte der EDÖB dennoch
mit Gesundheitsdaten werfen für den zur Angemessenheit des Datenschutz- fest, dass dieses Regime den Betrof-
Datenschutz in vielen betroffenen niveaus der Schweiz verzögerte sich, fenen in der Schweiz kein adäquates
Staaten vergleichbare Fragestellungen wird aber noch vor dem Sommer 2021 Schutzniveau mehr bietet. Er forderte
auf, weshalb der EDÖB die interna- erwartet. deshalb Schweizer Unternehmen auf,
tionalen Entwicklungen aufmerksam Mit dem aus der EU ausgetrete- die Übermittlung von Daten in die
verfolgte und dafür auch seine Kon- nen Vereinigte Königreich konnte USA auf der Grundlage von vertragli-
takte zu seinen ausländischen Partner- die Schweiz die gegenseitigen Aner- chen Garantien und projektbezogenen
behörden nutzte. kennungen der Angemessenheit des Risikofolgenbeurteilungen vorzuneh-
Datenschutzniveaus hingegen noch in men.
der Berichtsperiode zu einem erfolg-
reichen Abschluss bringen.

Datenschutz

Datenschutz
1.1 Digitalisierung und Grundrechte
Datenschutzfolgen- Grundrechte bewertet und Massnah- Projekt der Schweizer

abschätzung betreffend men zum Schutz der Persönlichkeit Medienverlage für
SwissID aufgeführt werden. ein gemeinsames Login
Der EDÖB nahm zur Kenntnis, auf Online-Portalen
Die SwissSign Group AG hat dem EDÖB dass die Datenschutzfolgenabschät-
im Berichtsjahr ihre Datenschutzfol- zung nach Einschätzung des Verant- Die Schweizer Digital-Allianz treibt ihre
genabschätzung betreffend die Swiss- wortlichen als abgeschlossen und die Arbeiten zur Schaffung einer einheitli-
ID zur Kenntnisnahme zugestellt. Datenbearbeitung im Zusammenhang chen SSO-Lösung für Online-Portale
Aufgrund der systemrelevanten mit der «SwissID» angesichts der in der Medienverlage voran. Der EDÖB hat
Bedeutung der «SwissID» der Swiss- beschriebenen Risiken und Massnah- im Rahmen eines Austausches Verbes-
Sign Group AG hielt der EDÖB in der men als zulässig erachtet wird. serungsmöglichkeiten aufgezeigt.
Vergangenheit regelmässige Sitzungen Mit ihrem SSO-Projekt (Single-Sign-
mit den Verantwortlichen des Unter- On) möchte die Schweizer Digital-
nehmens ab und hat in diesem Rah- Allianz, dass Nutzer künftig mit einem
men unter anderem darauf hingewirkt, einzigen, gemeinsamen Login auf
dass für reine Single-Sign-On-Dienste diverse Webangebote von Schweizer
der «SwissID» eine anonyme Anmel- Medienhäusern zugreifen können. Die
dung möglich sein muss. Die Swiss- Allianz, ein Zusammenschluss meh-
Sign Group AG hat diese rerer Schweizer Medienunternehmen,
Forderung in ihre Daten- hat ihr Projekt zur Schaffung des zen-
schutzpolitik übernom- tralen SSO weiterentwickelt und im
men. Die entsprechenden Frühjahr 2021 eine Pilotphase gestar-
Anpassungen der Allge- tet. Im Rahmen vorgängiger Projekt-
meinen Geschäftsbedingungen sollen präsentationen und dem dazu geführ-
bald folgen. ten Austausch haben wir der Digital-
Nachdem die SwissSign Group Allianz unseren Standpunkt zu den
AG einen externen Datenschutzbe- für den Datenschutz wesentlichen
rater mit der Erstellung einer Daten- Aspekten des Projektes mitgeteilt und
schutzfolgenabschätzung beauftragt auf Verbesserungsmöglichkeiten hin-
hat, wurde das Dokument dem EDÖB gewiesen.
im Berichtsjahr zugestellt und durch Das Projekt läuft nach Abschluss
diesen analysiert. Der EDÖB stellte des Berichtsjahres weiter. Wir werden
fest, dass die Prozesse der Bearbeitung auch bei den noch folgenden Arbeiten
von Personendaten darin ausführlich auf eine, dem Persönlichkeitsschutz
beschrieben, die Risiken der betrof- optimal Rechnung tragende Ausge-
fenen Massnahmen betreffend die staltung der SSO-Lösung hinwirken.

Datenschutz
Cloud-Initiativen zur den verschiedensten Ausprägungen. Um dieser Fragestellung Rechnung

U msetzung der IKT-Strategie Eine Umfrage bei den Departemen- zu tragen, wirkte der EDÖB mit zahl-
des Bundes. ten und der Bundeskanzlei im vierten reichen Ergänzungen in den Kriterien
Quartal 2019 hat gezeigt, dass gerade für die Beschaffung von Public-Clouds
Der EDÖB begleitete die Erarbeitung der Bedarf an öffentlichen Cloud- drauf hin, dass der Datenschutz und
von strategischen Zielen und Leit Diensten in Zukunft zunehmen wird. die Datensicherheit bereits durch die
planken für die digitale Transformation Die Verwaltungseinheiten der Anbieter über die gesamte Verarbei-
in der Bundesverwaltung. Der Aufbau zentralen Bundesverwaltung können, tungskette gewährleistet wird. Auch
der dazu notwendigen IT-Infrastruktu- gerade durch die Nutzung dieser Pub- brachte er sich massgeblich bei der
ren umfasst dabei auch die Gewähr- lic Clouds, effizient und zeitnah auf Erarbeitung von Vorgaben zur Zuläs-
leistung der sicheren Nutzung von innovative und relativ kostengünstige sigkeit dieser Cloud-Dienste aus Infor-
öffentlichen Cloud-Diensten (Public Lösungen sowie neueste Technologien mationssicherheits- und Datenschutz-
Clouds). Dies in Ergänzung zur bereits zugreifen. Dies eröffnet neue Mög- sicht ein. Aufgrund der Tragweite
vorhandenen Option, Anwendungen lichkeiten, digitale Verwaltungsleis- dieses Projekts erachtete es der EDÖB
und Daten in den eigenen Rechenzent- tungen rasch und agil bereitzustellen. zudem als unabdingbar, bereits in den
ren der Bundesverwaltung (Private Zumindest in Bereichen ohne erhöhte Offerten spezifische Datenschutz-
Clouds) betreiben, respektive bearbei- Sicherheitsanforderungen können Zertifizierungen von den Anbietern
ten zu können. Wir fordern, dass daten- dadurch kostspielige einzufordern.
schutzrechtliche Anforderungen IKT-Betriebsleistungen Es zeigt sich, dass datenschutz-
bereits bei der Ausschreibung berück- optimiert und ausgela- rechtliche Überlegungen bereits in
sichtigt werden. gert werden. Aus diesem einer sehr frühen Phase von Projekten
Die Digitalisierung erfordert die Ver- Grund bestand inner- mit Personendatenbearbeitungen ein-
wendung einer Vielzahl von Anwen- halb der Bundesverwaltung ein Hand- zubeziehen sind. Der EDÖB wird die
dungen und Diensten, welche eine lungsbedarf, zusätzlich zu den bereits Cloud-Initiativen weiter begleiten und
hohe Agilität, Flexibilität und Ausbau- vorhandenen Private-Cloud-Lösungen, die Umsetzung der geforderten Krite-
fähigkeit aufweisen müssen. Um die- eine strategische Option zur Nutzung rien und Vorgaben überprüfen.
sen Anforderungen gerecht zu werden, von Public-Cloud-Diensten zu schaf-
bietet der Einsatz, sowohl von öffent- fen. Zusätzlich sollte eine vertiefte
lichen als auch von privaten Cloud- Abklärung zu Bedarf, Ausgestaltung,
Lösungen einen wichtigen Beitrag, Notwendigkeit und Machbarkeit einer
indem diese die benötigten Dienste öffentlichen, aber rein schweizeri-
und Werkzeuge in Echtzeit und als schen Cloud- und Dateninfrastruktur
Self-Service-Dienst für den Selbstbe- «Swiss Cloud» durchgeführt werden.
zug von Komponenten bereitstellen Aber gerade die Nutzung von
(s. für Begriffserklärungen die separate öffentlichen Cloud-Diensten hat zur
Box). Die Bundesverwaltung nutzt Folge, dass eine grössere Abhängigkeit
bereits heute in beschränktem Umfang von den meist weltweit tätigen An
einfach erweiterbare Cloud-Dienste in bietern entsteht. Dies betrifft sowohl
die technologische Abhängigkeit als
auch die Verfügbarkeit von Daten
und Anwendungen. Dabei stellt sich
zwangsläufig die Frage, wie die Souve-
ränität über die eigenen Daten und der
Schutz vor unerwünschtem Datenab-
fluss sicherzustellen ist.

Datenschutz
Cloud-Dienste
Während früher fast jedes Unternehmen über ein eigenes • Hybride Cloud: Bei dieser handelt es sich um eine Misch-
Rechenzentrum verfügte, werden heute vielfach Cloud-Dienste lösung aus einer privaten und einer öffentlichen Cloud. Der
verwendet. Unter einer Cloud bzw. Cloud-Computing ist die Benutzer bezieht dabei eine «public cloud», und darin inte-
internetbasierte Bereitstellung von Speicherplatz, Rechenleis- griert ist eine private Umgebung für sensible Daten und
tung oder Anwendungssoftware als Dienstleistung zu verste- Anwendungen. Diese Mischform ist beliebt, wenn es darum
hen. Eine Cloud ist also eine Online-IT-Infrastruktur, in welche geht, hoch sensible Daten in einer privaten Cloud zu lagern,
Daten oder ganze Systemumgebungen ausgelagert werden. während weniger sensible Daten einfacher und günstiger aus-
Dabei werden Cloud-Lösungen nach Verwendungszweck und gelagert werden können.
gewünschter Integrationstiefe unterschieden. • Multi Cloud: In dieser sind mehrere Cloud-Dienste verbunden,
womit die Lösungen verschiedener Cloud-Anbieter parallel
Zu den grossen Vorteilen einer Cloud zählen: genutzt werden können. Sie bietet weitaus mehr Möglichkei-
• Hohe Skalierbarkeit, also die Möglichkeit, Speicherkapazität ten als die hybride Form.
und Rechenleistung je nach Bedarf einfach erhöhen und ver-
ringern zu können Integrationstiefe der Cloud
• Hohe Verfügbarkeit und Sicherheit durch Verwendung Beim Cloud-Computing lassen sich generell drei sogenannte
modernster Technologien Cloud-Service-Ebenen unterscheiden, welche aufeinander auf-
• Investitionssicherheit, da die Umgebung vom jeweiligen bauen. Beginnend bei der Infrastruktur über die Plattform bis
Anbieter gewartet wird und grosse Investitionen in eine hin zur Software, stellen diese Service-Ebenen drei übereinan-
eigene Serverinfrastruktur wegfallen derliegende Schichten dar und bilden gleichzeitig die Cloud-
Architektur ab.
Verwendungszweck der Cloud • Infrastrukturebene (Infrastructure-as-a-Service): Dabei
Für Cloud-Services gibt es verschiedene Arten der Bereitstel- werden Ressourcen wie Rechenleistung, Speicher- oder
lung, welche sich von den jeweiligen Anforderungen der Benut- Netzwerkkapazitäten aus der Cloud bezogen. Werden zuvor
zer ableiten lassen. Die wichtigsten: lokale Server in die Cloud verschoben, ersetzt nun die Cloud
• Private Cloud: Sie wird meist im eigenen Rechenzentrum des die Hardware vor Ort, während die Betreuung des Betriebs-
Unternehmens aufgebaut und nur von einer Firma genutzt. systems und der Anwendungen im Unternehmen bestehen
Üblicherweise wird sie vom Unternehmen selbst oder gege- bleiben.
benenfalls von einem externen Anbieter betrieben und ist nur • Plattformebene (Plattform-as-a-Service): Dabei werden
für klar bestimmte Personengruppen zugänglich. Die private zusätzlich das Betriebssystem und die systemnahen Anwen-
Cloud wird strengen Anforderungen an Datensicherheit und dungen wie Backup-, Antivirus- und Wartungsanwendungen
Datenschutz gerecht und eignet sich daher speziell für sen- usw. aus der Cloud bezogen. Anstatt Software auf einer eige-
sible Daten wie beispielsweise vertrauliche Personalinforma- nen Umgebung zu entwickeln, können Unternehmen kom-
tionen oder vertrauliche Firmendaten. plette Entwicklungs- und Bereitstellungsumgebungen in der
• Öffentliche Cloud («public cloud»): Sie ist ein Angebot eines Cloud nutzen.
frei zugänglichen Anbieters, der seine Dienste offen über das • Softwarebene (Software-as-a-Service): Dem Benutzer wird
Internet für jedermann zugänglich macht. Dabei teilen sich eine Cloud-Anwendung mit all ihren zugrundeliegenden
alle Benutzer die gleiche Infrastruktur. Bekannte Online-Spei- IT-Infrastrukturen und -Plattformen zur Verfügung gestellt.
cher wie etwa Dropbox oder Google Drive, aber auch Mailan- Er bezieht beim Anbieter somit sämtliche IT-Komponenten.
bieter wie Gmail oder Hotmail, bauen typischerweise auf einer
solchen öffentlichen Cloud auf.

Datenschutz
Der Einstieg der Bundesver- Grundsätze für die Beschaffung von bearbeitungen in eine Cloud im Stra-
waltung in die Cloud muss Cloud-Anwendungen durch die ein- tegiedokument zu verankern. Unsere
datenschutzkonform erfolgen zelnen Verwaltungseinheiten vor- Ergänzungsvorschläge zielten insbe-
schreibt. Der EDÖB erhielt eine vor- sondere darauf ab, dass die zusätzli-
Die «Cloud-Strategie der Bundesver- läufige Version des Strategiedokumen- chen Risiken einer Auslagerung von
waltung» soll den Weg für eine tes zur Vorkonsultation und ortete an Datenbearbeitungen an ausländische
cloudbasierte Digitalisierung der Bun- verschiedene Stellen Verbesserungs- Public-Cloud-Anbieter aus einem
desverwaltung ebnen. Der EDÖB nahm potenzial. Insbesondere stellte der Land ohne angemessenes Daten-
zum Strategiepapier Stellung und EDÖB fest, dass das Dokument einen schutzniveau berücksichtigt werden.
konnte seine wichtigsten Anliegen aus starken Fokus auf die Anforderungen In diesem Sinne haben wir vorge-
Sicht des Datenschutzes erfolgreich an die Informationssicherheit legte, schlagen, dass das Dokument vorsieht,
einbringen. weitere rechtliche Aspekte des Daten- dass für die Beurteilung, ob und mit
Das Informatiksteuerungsorgan schutzes dagegen nur oberflächlich welchen Massnahmen die Datenbear-
des Bundes (ISB) wurde durch den behandelte. beitung mittels Cloud-Anwendungen
Bundesrat beauftragt, ein Strategie Dementsprechend haben wir zulässig ist, eine Datenschutz-Folgen-
dokument zu erarbeiten, welches die Ergänzungen vorgeschlagen, um die abschätzung vorzunehmen ist, wenn
Cloud-Vision des Bundes konkreti- datenschutzrechtlichen Anforderun- Personendaten in der Cloud bearbeitet
siert und verbindliche Leitlinien und gen an eine Auslagerung von Daten- werden. Dieser Mechanismus soll es

Datenschutz
CORONA
ermöglichen, die Rechtskonformi- liegenden Klardaten angezeigt. Die
tät der Cloud-Anwendung zu prüfen, dem BAG zugänglichen Visualisie-
Zugang des BAG zu Mobili-
wobei als Kriterien der Standort der rungen lassen keine Rückschlüsse
tätsdaten der Swisscom
Server, das im fraglichen Land gel- auf bestimmte Personen zu und sind
tende Recht und die vorgesehenen Nachdem der Bundesrat am 21.03.2020 damit anonym. Dementsprechend
technischen und organisatorischen Ansammlungen von mehr als fünf Per gelangte der EDÖB in seiner Kurz-
Massnahmen herangezogen werden sonen im öffentlichen Raum verboten auswertung vom 03.04.2020 zum
sollten. Unsere Bemerkungen und hatte, prüfte das BAG anhand von Infor- Schluss, dass die Datenbearbeitung
Änderungsvorschläge wurden in die mationen der Swisscom, ob diese Mass- durch die Swisscom und die Weiter-
finale Fassung des Dokuments einge- nahme zum Schutz vor Infektionen mit gaben von anonymen Daten an das
arbeitet. dem Coronavirus eingehalten wird. Der BAG datenschutzrechtlich erlaubt
Die Bundesverwaltung und auch EDÖB kam zum Schluss, dass die Swiss- sind (s. Mitteilung «Zugang des BAG
private Nutzer von Public-Cloud- com dem BAG ausschliesslich Zugang zu zu visualisierten Daten der Swiss-
Lösungen müssen sich immer häufiger anonymisierten Daten gewährt hat. com grundsätzlich erlaubt»).
mit dieser Fragestellung befassen, seit- Aufgrund dieser Informationen
dem das Privacy Shield Frame- Die Swisscom bearbeitet mit der konnte der EDÖB auf die Eröffnung
work re-evaluiert wurde (s. Schwer- Mobility Insights Plattform (MIP) einer formellen Sachverhaltsab-
punkt II) und man nicht ohne Wei- anonymisierte Gruppenstatistiken klärung verzichten. Der EDÖB war
teres davon ausgehen kann, dass die anhand aggregierter Mobilitäts- indessen der Auffassung, dass die
Standardvertragsklauseln ein ange- daten zur Auswertung von Mobili- der Öffentlichkeit zugänglichen
messenes Datenschutzniveau in den tätsverhalten auf dem Gebiet der Informationen zur Zusammenarbeit
USA gewährleisten. Dies weil viele Schweiz. Nachdem bekannt wurde, zwischen dem BAG und der Swiss-
Anbieter in den USA ansässig sind. dass dem BAG im Rahmen der com und den damit verbundenen
Pandemiebekämpfung Zugang zu Datenbearbeitungen spärlich und
diesen Daten gewährt werden soll, nicht ohne Weiteres auffindbar
um eine Übersicht darüber zu ver- waren. Er hat die Swisscom daher
schaffen, ob es in der Schweiz noch dazu aufgefordert, die Öffentlichkeit
grössere Menschenansammlungen mit detaillierteren Informationen
gibt, hat der EDÖB dazu Vorabklä- zum Datenbearbeitungsvorgang zu
rungen eingeleitet, in deren Rahmen bedienen. Die Swisscom ist dieser
er auch einen Augenschein beim Aufforderung nachgekommen und
BAG durchgeführt hat. hat FAQs betreffend die Nutzung
Die mit einer mindesten acht- der Mobility Insights Plattform von
stündigen Verzögerung zugänglich Swisscom durch das Bundesamt für
gemachten visualisierten Auswer- Gesundheit (BAG) erstellt.
tungen zeigen den zeitlichen Verlauf
der Aufenthalte von Handybesit-
zern in 100 mal 100 Meter grossen
Gebieten, wenn mehr als 20 Mobil-
funkgeräte von Abonnenten der
Swisscom in einem solchen Gebiet
vorhanden sind. Die Standortdaten
werden dabei frühestmöglich ano-
nymisiert und aggregiert, und dem
BAG werden zu keinem Zeitpunkt
die der Visualisierung zugrunde-

Datenschutz
Programm Nationale Daten Sicht erhebliche datenschutzrechtliche die Datenerhebung, die weitere Daten-
bewirtschaftung Risiken. So ist insbesondere sicherzu- bearbeitung und die Zugriffsmöglich-
stellen, dass das «Once- keiten geregelt sind.
Die Datenbewirtschaftung der öffentli- Only»-Prinzip nicht Im Nachgang zu dieser Ämter-
chen Hand soll durch die Mehrfachnut- dazu führt, den Kreis von konsultation fand ein Austausch zwi-
zung von Daten einfacher und effizien- Zugriffsberechtigten zu schen dem Bundesamt für Statistik,
ter werden. Mit diesem Ziel hat der erweitern. Weiter muss das mit der Umsetzung betraut ist,
Bundesrat im Rahmen des Programms zwingend geregelt werden, wer welche und dem EDÖB statt, an welchem
Nationale Datenbewirtschaftung meh- Daten zu welchem Zweck bearbeiten diese Aspekte nochmals erörtert wer-
rere Pilotprojekte lanciert. Der EDÖB darf. Zudem ist klar zwischen Daten- den konnten. Der Beauftragte wird
steht im Austausch mit dem dafür ver- bearbeitungen zu statistischen Zwe- die Umsetzung des Programms NaDB
antwortlichen Bundesamt für Statistik cken und solchen zu anderen Zwecken weiter beratend begleiten und den ver-
und wirkt auf eine datenschutzkon- zu unterscheiden. Darüber hinaus antwortlichen Stellen als Ansprech-
forme Umsetzung hin. muss transparent ersichtlich sein, wie person zur Verfügung stehen.
Die Zielsetzung des Programms Natio-
nale Datenbewirtschaftung (NaDB)
ist, dass Personen und Unternehmen CORONA
den Behörden bestimmte Angaben nur

noch einmal melden müssen («Once- Merkblatt betreffend die datenschutzkonforme
Only»-Prinzip) und dadurch entlastet Verwendung von Audio- und Videokonferenzlösungen
Aufgrund der Pandemie haben sich Anwendungen für Audio- und Videokonferenzen
werden sollen. Durch eine Mehrfach-
in sehr kurzer Zeit durchgesetzt. Die riesige Menge an Nutzerinnen und Nutzer hat
verwendung von Daten soll zudem der
diese digitalen Plattformen für Angriffe interessant gemacht. Bei der Wahl der Soft-
administrative Aufwand in der öffent-
ware ist es deshalb wichtig, Informationssicherheit und Datenschutz im Auge zu
lichen Verwaltung reduziert werden.
behalten. Nicht nur werden teilweise Personendaten missbräuchlich weiterverarbei-
Um dies zu erreichen, wird ein erleich-
tet, sondern auch ist deren Sicherheit nicht immer erkenntlich oder die Plattformen
terter Datenaustausch zwischen den
weisen sogar bekannte Schwachstellen auf.
Behörden angestrebt.
Das Merkblatt des EDÖB (s. MItteilung «Massnahmen für eine sichere Nutzung
Der EDÖB hat zunächst im Rah- von Audio- und Videokonferenzlösungen») richtet sich an alle Nutzergruppen –
men einer Ämterkonsultation zu sowohl im privaten wie im geschäftlichen Umfeld und hilft ihnen, ihre Personen-
Berichten von vier Pilotprojekten daten zu schützen und unerwünschte Effekte zu verhindern. Darin empfiehlt der
zu den Themen Qualitätssicherung EDÖB einerseits Schutzmassnahmen bei der Verwendung, wie beispielsweise dem
der Unternehmensdaten, Lohnsta- Umgang mit Meeting-ID und -Passwort, dem Kameragebrauch oder der Bildschirm-
tistiken, Steuerdaten sowie Prozes- präsentation. Andererseits gibt das Merkblatt Hinweise für eine Evaluation und
sen, Rollen und Verantwortlichkeiten Einführung einer Audio- und Videokonferenzlösung. So ist es etwa ratsam, den
Stellung genommen. Dabei betonte Umgang mit Metadaten, die Verschlüsselung oder die Sicherheit des Providers zu
er, dass dem Datenschutz bei der mit prüfen. Vor der Implementierung im Unternehmen sollten ausserdem in einem Reg-
dem Programm angestrebten Mehr- lement die Nutzungsbestimmungen geklärt werden. Das Unternehmen ist darüber
fachnutzung von Informationen eine hinaus verpflichtet, die Mitarbeitenden über eine allfällige Aufzeichnung oder Über-
entscheidende Bedeutung zukommt. wachung transparent zu informieren.
Die Mehrfachnutzung birgt aus seiner Da die Versuchung besteht, die während der Pandemie adhoc genutzten Lösun-
gen auch gleich in die bestehende IKT-Infrastruktur einzugliedern, empfiehlt der
Beauftragte, die Beschaffung solcher Lösungen über ordentliche Projekte oder die
IT-Verantwortlichen abzuwickeln, damit die Compliance sichergestellt werden kann.
Die eingesetzte Audio- und Videokonferenzlösung soll über Sicherheitseinstellun-
gen verfügen, welche höhere Datenschutzstandards erlaubt – insbesondere im
Hinblick auf Geschäfts- und Berufsgeheimnisse.

Datenschutz
Datenbearbeitungen von
Dating-Apps
Der EDÖB hat bei einem Schweizer

Anbieter von Dating-Apps ein Verfahren
eröffnet, um seine Bearbeitungsme-
thoden und seinen Umgang mit
Löschungsbegehren zu überprüfen.
Nach Angaben des Bundesamts für
Statistik spielen Dating-Apps und
-Webseiten bei der Partnersuche eine
zunehmend bedeutsame Rolle in der
Schweiz: Fast zwanzig Prozent der
Paare, die in den letzten fünf Jahren in
eine Beziehung getreten sind, haben
sich online über eine Partnerbörse,
eine Dating-App oder ein soziales
Netzwerk 1 kennengelernt. Dating-
Apps und -Webseiten zeichnen sich
dadurch aus, dass sie geeignete Partner
basierend auf den Personendaten der
Kundinnen und Kunden vermitteln,
die sie mithilfe eines Algorithmus teil-
oder vollautomatisch bearbeiten.
Um die Erfolgschancen der Part-
nervermittlung zu erhöhen, wer-
den die Nutzer animiert, teilweise
sehr sensible Informationen über
sich preiszugeben. So z.B. Daten über
Weltanschauungen, Religion, Alko-
holkonsum. Die Bearbeitung dieser
Personendaten birgt somit hohe Risi-
ken, weil daraus Rückschlüsse auf
wesentliche Aspekte der Persönlich-
keit der Nutzer gezogen werden kön-
nen.
1
Bundesamt für Statistik (Hg.): Erhebung zu
Familien und Generationen 2018. Erste Ergeb-
nisse. Neuchâtel 2019, S. 9. https://www.bfs.
admin.ch/bfs/de/home/statistiken/bevoelke-
rung/erhebungen/efg.assetdetail.10467788.html
(Abgerufen: 14.04.2020)

Datenschutz
Im Frühjahr 2021 hat der EDÖB eine EEDÖB plant neue Datenschutzberaterinnen und -bera-
Sachverhaltsabklärung bei einem in Meldeportale ter selbstständig erfassen, mutieren
der Schweiz ansässigen Anbieter einer und löschen. Im zweiten Portal sind
solchen Dating-App eröffnet. Anlass Der EDÖB bereitet die Einführung von die Meldungen von Verletzungen der
dafür waren Meldungen von Personen, zwei Online-Meldeportalen für die vom Datensicherheit zu erfassen, die ein
die uns darauf aufmerksam machten, neuen DSG vorgesehenen Meldungen hohes Risiko für die Betroffenen nach
dass sie keine Möglichkeit hätten, ihr von Datenverlusten und Bekanntgaben sich ziehen. Der Beauftragte rechnet
Konto über die App zu löschen, und von Datenschutzberaterinnen und mit einer grösseren Anzahl an Mel-
dass an den Betreiber der App gerich- -beratern vor. dungen. Auch dieses Portal soll eine
tete Löschungsbegehren nicht bear- Das revidierte Datenschutzgesetz legt strukturierte und einfache Erfassung
beitet würden. Nebst der neue Meldepflichten für Datenverant- ermöglichen und zudem eine Res-
Klärung dieses Punktes wortliche gegenüber dem EDÖB fest. sourcen schonende Automatisierung
zielt unsere Sachverhalts- Diese umfassen die Registrierung von bei der Datenauswertung sicherstel-
abklärung auch darauf Datenbearbeitungen durch Bundes- len. Es soll zeitnahe Reaktionen auf die
ab, die Einhaltung weite- organe, die Bekanntgabe von Daten- gemeldeten Ereignisse gewährleisten.
rer datenschutzrechtlicher Vorgaben schutzberaterinnen und -beratern
durch diesen Anbieter zu überprüfen. sowie die Meldung von Verletzungen
Dies insbesondere im Hinblick auf die der Datensicherheit. Der EDÖB ist
Anforderungen an die Transparenz bestrebt, den Aufwand möglichst tief
und Sicherheit der Bearbeitung sowie zu halten, indem diese Meldungen ein-
die allfällige Weitergabe von Perso- fach und sicher online getätigt werden
nendaten an Dritte. können.
Erstens bedarf es einer Anpassung
des Registers der beim EDÖB gemel-
deten Datensammlungen, da künftig
nur noch Bundesorgane verpflichtet
sind, ihre Verzeichnisse der Bearbei-
tungstätigkeiten an den Beauftragten
zu melden. Das Melde- und Suchpor-
tal www.datareg.admin.ch wird ent-
sprechend erneuert und für die neuen
Vorgaben ausgelegt.
Zusätzlich soll die Einführung
von zwei neuen Meldeportalen erfol-
gen. In einem ersten Webportal sollen
künftig die von den Verantwortlichen
benannten Datenschutzberaterinnen
und -berater strukturiert und effizient
erfasst werden. Das Portal eignet sich
dabei die Prinzipien eines Self-Ser-
vice-Kiosks an, in welchem die Ver-
antwortlichen die Kontaktdaten der

Schwerpunkt I
Das neue Datenschutzgesetz aus Sicht

des EDÖB
Bis zum Inkrafttreten des neuen DSG (s. Box) werden Pri- beitung ein hohes Risiko für die Persönlichkeit oder die
vatwirtschaft und Bundesbehörden ihre Bearbeitung von Grundrechte der betroffenen Person mit sich bringen
Personendaten an die neuen Bestimmungen anpassen kann, müssen gemäss Art. 22 revDSG neu auch private
müssen. Der Beauftragte hat am 5. März 2021 hierzu die Verantwortliche vorgängig eine Datenschutz-Folgenab-
aus seiner Sicht wesentlichsten Neuerungen festgehalten schätzung erstellen. Das hohe Risiko ergibt sich – insbe-
und publiziert (s. Mitteilung «Das neue Datenschutzgesetz sondere bei Verwendung neuer Technologien – aus der
aus Sicht des EDÖB»). Er empfiehlt verschiedene Punkte Art, dem Umfang, den Umständen und dem Zweck der
zur Beachtung. Bearbeitung. Insbesondere liegt ein hohes Risiko dann
vor, wenn ein Profiling mit hohem Risiko oder umfang-
Nur noch Daten von natürlichen Personen reiche Bearbeitungen besonders schützenswerter Perso-
Das revidierte DSG bezweckt analog der DSGVO aus- nendaten geplant sind. Ist aus einer Datenschutz-Folgen-
schliesslich den Schutz der Persönlichkeit von natür- abschätzung erkennbar, dass die geplante Bearbeitung
lichen Personen, über welche Personendaten bearbeitet trotz der vom Verantwortlichen vorgesehenen Massnah-
werden – und nicht mehr wie bisher auch die Daten von men noch ein hohes Risiko für die Persönlichkeit oder die
juristischen Personen. Grundrechte der betroffenen Personen zur Folge hätte,
muss dieser nach Art. 23 revDSG vorgängig die Stellung-
Besonders schützenswerte Personendaten nahme des EDÖB einholen. Hat der EDÖB Einwände
Die bisherige Definition der besonders schützenswerten gegen die Folgenabschätzung selber, wird er dem Verant-
Personendaten wird um genetische und, sofern diese eine wortlichen entsprechende Präzisierungen oder Ergänzun-
natürliche Person eindeutig identifizieren, biometrische gen nahelegen.
Daten erweitert.
Verhaltenskodizes
Privacy by Design und by Default In Art. 11 hat das neue DSG für Berufs-, Branchen- und
Im revidierten DSG sind neu die Grundsätze «Privacy Wirtschaftsverbände Anreize gesetzt, eigene Verhaltens-
by Design» (Datenschutz durch Technik) und «Privacy kodizes zu entwickeln und diese dem EDÖB zur Stel-
by Default» (Datenschutz durch datenschutzfreundliche lungnahme vorzulegen. Dessen Stellungnahmen werden
Voreinstellungen) verankert. Sie verpflichten Behörden veröffentlicht. Sie können Einwände enthalten und ent-
und Unternehmen, die Bearbeitungsgrundsätze des DSG sprechende Änderungen oder Präzisierungen empfeh-
bereits ab der Planung entsprechender Vorhaben umzu- len. Positive Stellungnahmen des EDÖB begründen die
setzen. Die Applikationen sind u.a. so auszugestalten, dass gesetzliche Vermutung, dass das im Verhaltenskodex
die Daten standardmässig anonymisiert oder gelöscht festgehaltene Verhalten datenschutzrechtskonform ist.
werden. Datenschutzfreundliche Voreinstellungen schüt- Allgemein gehaltene Kodizes vermögen indessen nicht
zen die Nutzer von privaten Online-Angeboten, die sich vor beliebigen Risiken zu dispensieren, die der Text nicht
weder mit Nutzungsbedingungen noch den daraus abzu- näher bezeichnet.
leitenden Widerspruchsrechten auseinandergesetzt haben,
indem nur die für den Verwendungszweck unbedingt Zertifizierungen
nötigen Daten bearbeitet werden, solange sie nicht aktiv Gemäss Art. 13 revDSG können nebst den Betreibern von
werden und weitergehende Bearbeitungen autorisieren. Datenbearbeitungssystemen oder -programmen neu auch
deren Hersteller ihre Systeme, Produkte und Dienstleis-
Datenschutz-Folgenabschätzung tungen zertifizieren lassen. Mittels Zertifizierung können
Datenschutz-Folgenabschätzungen sind im Schweizer Unternehmen z.B. nachweisen, dass sie dem Grundsatz
Datenschutzrecht nicht neu – Bundesorgane sind bereits von Privacy by Default gerecht werden und über ein ange-
heute dazu verpflichtet. Wenn eine beabsichtigte Bear- messenes Datenschutzmanagementsystem verfügen.

Schwerpunkt I
Verzeichnis der Bearbeitungstätigkeiten beschäftigten und deren Datenbearbeitung ein geringes

Neu müssen nach Art. 12 revDSG die Verantwortlichen Risiko von Verletzungen der Persönlichkeit von betroffe-
sowie die Auftragsbearbeiter je ein Verzeichnis sämt- nen Personen mit sich bringt.
licher Datenbearbeitungen führen. Die entsprechenden
Mindestangaben gibt das neue DSG vor. Das Verzeichnis Bekanntgabe von Personendaten ins Ausland
muss stets à jour gehalten werden. Der Bundesrat wird Das revidierte DSG hält in Art. 16 fest, dass Daten ins
in der Verordnung Ausnahmen für Unternehmen vorse- Ausland bekanntgegeben werden dürfen, wenn neu der
hen, die weniger als 250 Mitarbeiterinnen und Mitarbeiter Bundesrat festgestellt hat, dass die Gesetzgebung des

Schwerpunkt I

Schwerpunkt I
Drittstaates einen angemessenen Schutz gewährleistet. Dabei hat die Meldung an den EDÖB so rasch wie möglich
Er wird zu diesem Zweck eine Liste publizieren, die nach zu erfolgen. Vorher wird der Verantwortliche eine Pro-
dem bisherigen Recht vom EDÖB geführt wurde. Figu- gnose zu den möglichen Auswirkungen der Verletzung
riert der betreffende Exportstaat nicht auf der Liste des stellen und eine erste Beurteilung darüber vorzunehmen,
Bundesrates, dürfen Daten wie nach bisherigem Recht ob die betroffenen Personen über das Ereignis zu infor-
trotzdem dorthin geleitet werden, wenn ein geeigneter mieren sind und auf welche Weise dies geschehen könnte.
Datenschutz auf andere Weise gewährleistet wird.
Ist eine Bekanntgabe ins Ausland geplant – wozu auch Recht auf Datenportabilität
die Speicherung auf ausländischen Systemen (Cloud) Mit dem Recht auf Datenherausgabe und -übertragung
gehört – sind die Länder anzugeben, gleichgültig, ob diese gemäss Art. 28 revDSG hat eine betroffene Person neu die
einen angemessenen Datenschutz bieten. Hier geht das Möglichkeit, ihre Personendaten, welche sie einem pri-
DSG weiter als die DSGVO. vaten Verantwortlichen bekanntgegeben hat, in einem
gängigen elektronischen Format heraus zu verlangen oder
Ausgebaute Informationspflichten einem Dritten übertragen zu lassen. Das Recht kann kos-
In Erfüllung des Revisionsziels der Transparenz baut Art. tenlos geltend gemacht werden, ausser wenn die Heraus-
19 revDSG die Informationspflicht für Unternehmen aus. gabe oder Übertragung mit einem unverhältnismässigen
Neu gilt, dass ein privater Verantwortlicher bei grund- Aufwand verbunden ist.
sätzlich jeder beabsichtigten Beschaffung von Personen-
daten die betroffene Person vorgängig angemessen infor-
mieren muss, selbst wenn die Daten nicht direkt bei ihr Gestärkte Aufsichtsbefugnisse
beschafft werden. Im aktuellen DSG ist diese Informati-
onspflicht bisher nur bei besonders schützenswerten Per- Mit dem revidierten DSG wird der Beauftragte prinzipiell
sonendaten und Persönlichkeitsprofilen vorgeschrieben. alle Verstösse untersuchen müssen. Neu kann er gegen
Unternehmen werden somit ihre Datenschutzerklärun- unzureichende Datenbearbeitungen Verfügungen erlassen
gen entsprechend überprüfen und nachführen müssen. und muss in bestimmten Fällen zwingend konsultiert wer-
Führen Bearbeitungen zu automatisierten Einzelentschei- den. Künftig sind Bussen bis zu CHF 250'000 möglich.
dungen, haben die Verantwortlichen nach Art. 21 revDSG
neue Informationspflichten gegenüber der beschwerten Untersuchung aller Verstösse gegen Datenschutz-
Person wahrzunehmen und dieser die ihr zustehenden vorschriften
Anhörungs- und Überprüfungsrechte zu gewähren. Der EDÖB wird in Zukunft alle Verstösse gegen das
neue DSG durch Bundesorgane oder private Personen
Auskunftsrecht der betroffenen Personen von Amtes wegen zu untersuchen haben (Art. 49 Abs. 1
Das Recht einer betroffenen Person, Auskunft darüber zu revDSG). Im aktuellen DSG gilt noch die Einschränkung,
verlangen, ob Personendaten über sie bearbeitet werden, wonach der EDÖB gegen Private nur dann von sich aus
wurde im neuen DSG ausgebaut. Art. 25 revDSG enthält eine Untersuchung inklusive Sachverhaltsabklärungen
eine erweiterte Liste an Mindestinformationen, die vom durchführt, wenn die Bearbeitungsmethode geeignet ist,
Verantwortlichen herausgegeben werden müssen, bei- die Persönlichkeit einer grösseren Anzahl von Personen
spielsweise die Aufbewahrungsdauer der über sie bearbei- zu verletzen. Diese, als «Systemfehler» bezeichnete Inter-
teten Personendaten. ventionsschwelle fällt inskünftig weg. Bei Verletzungen
der Datenschutzvorschriften von geringfügiger Bedeu-
Meldepflicht bei Verletzungen der Daten tung kann jedoch auch nach neuem Recht von der Eröff-
sicherheit nung einer Untersuchung abgesehen werden (Art. 49
Gemäss Art. 24 revDSG muss der Verantwortliche dem Abs. 2 revDSG). Auch kann der EDÖB wie bis anhin von
EDÖB neu Verletzungen der Datensicherheit melden, die der Eröffnung formeller Schritte absehen, wenn sich nach
für die Betroffenen zu einem hohen Beeinträchtigungs- einer ersten Kontaktnahme mit dem oder der Bearbei-
risiko ihrer Persönlichkeit oder ihrer Grundrechte führen. tungsverantwortlichen zeigt, dass dieser Mängel, auf die

Schwerpunkt I
er aufmerksam gemacht wurde, anerkennt und innert Gebühren

nützlicher Zeit behebt. Aufgrund seiner beschränkten Art. 59 revDSG regelt, für welche Leistungen der EDÖB
Ressourcen ist davon auszugehen, dass der EDÖB bei der von privaten Personen zukünftig Gebühren erheben wird.
Behandlung von Anzeigen auch nach Inkrafttreten des So fällt eine Gebühr an für Stellungnahmen zu einem
neuen Gesetzes nach Massgabe des Opportunitätsprin- Verhaltenskodex oder zu einer Datenschutz-Folgenab-
zips Prioritäten setzen wird. schätzung oder für die Genehmigung von Standarddaten-
schutzklauseln und verbindlichen unternehmensinter-
Verfügungen nen Datenschutzvorschriften. Aber auch für allgemeine
Nach Art. 51 Abs. 1 revDSG kann der EDÖB neu Verfah- Beratungsdienstleistungen gegenüber Privaten wird der
ren nach dem Verwaltungsverfahrensgesetz durchführen EDÖB zukünftig Gebühren erheben.
und gegenüber Bundesorganen oder privaten Bearbei-
tungsverantwortlichen formell verfügen, eine Datenbe- Sanktionen
arbeitung ganz oder teilweise anzupassen, zu unterbre- Im neuen DSG werden Bussen für private Personen bis
chen oder gar einzustellen sowie Personendaten löschen zu CHF 250’000 angedroht (Art. 60 revDSG). Strafbar
oder vernichten zu lassen. So kann der EDÖB zum Bei- sind vorsätzliches Handeln und Unterlassen, nicht jedoch
spiel verfügen, dass ein Unternehmen betroffene Perso- Fahrlässigkeit. Nur auf Antrag bestraft werden die Miss-
nen über eine gemeldete Verletzung der Datensicherheit achtung von Informations-, Auskunfts- und Meldepflich-
informieren muss. Bisher hatte der EDÖB lediglich die ten sowie die Verletzung von Sorgfaltspflichten und der
Kompetenz, Empfehlungen auszusprechen und bei deren beruflichen Schweigepflicht. Von Amtes wegen verfolgt
Nichtverfolgung mit Klage an das Bundesverwaltungsge- wird hingegen die Missachtung von Verfügungen des
richt zu gelangen. EDÖB. Gebüsst wird grundsätzlich die verantwortliche
natürliche Person. Neu kann aber auch das Unterneh-
Konsultationen men selbst bis zu CHF 50’000 gebüsst werden, wenn die
Der EDÖB ist weder eine Genehmigungsbehörde noch Ermittlung der strafbaren natürlichen Person innerhalb
eine Zulassungsstelle für Applikationen, Produkte, Regu- des Unternehmens oder der Organisation einen unver-
lierungen und Projekte. Das neue Gesetz sieht indessen hältnismässigen Untersuchungsaufwand mit sich ziehen
an verschiedener Stelle vor, dass die Verantwortlichen würde.
den EDÖB vor dem definitiven Abschluss entsprechen- Dem EDÖB kommen auch nach neuem Recht keine
der Arbeiten und der Realisierung ihrer Vorhaben kon- Sanktionsbefugnisse zu. Die fehlbaren Personen werden
sultieren müssen. So sind ihm Verhaltenskodizes und bei durch die kantonalen Strafverfolgungsbehörden gebüsst.
hohen Restrisiken auch Datenschutz-Folgenabschätzun- Der EDÖB kann zwar Anzeige erstatten und im Verfah-
gen zur Stellungnahme vorzulegen. ren die Rechte einer Privatklägerschaft wahrnehmen (Art.
65 Abs. 2 revDSG), ein Strafantragsrecht steht ihm aber
Spontane Stellungnahmen und Information der nicht zu.
Öffentlichkeit
Abgesehen von den Stellungnahmen im Rahmen for-
meller Konsultationen steht es dem EDÖB weiterhin frei,
sich spontan zu neuen Technologien, Phänomenen der
Digitalisierung oder zu Bearbeitungspraktiken gewisser
Branchen zu äussern und seine Meinungsäusserungen
und Einschätzungen zu publizieren. In Fällen von allge-
meinem Interesse informiert der EDÖB die Öffentlich-
keit zudem - wie nach bisherigem Recht - über seine Fest-
stellungen und Massnahmen (auch im Rahmen formeller
Untersuchungen).

Schwerpunkt I
Ein langer Weg bis ans Ziel

In der Herbstsession 2020 hat das Eidgenössische Parlament Etappierte Beratung
das totalrevidierte Bundesgesetz über den Datenschutz sowie Anfang 2018 beschloss das Parlament, die Revision in zwei Etap-
weitere, geänderte Erlasse zum Datenschutz verabschiedet. pen aufzuteilen: Zwecks Beachtung staatsvertraglicher Umset-
Der Bundesrat wird das neue DSG mit den dazugehörigen Voll- zungsfristen wurden in einer ersten Etappe vorab die Bestim-
zugsverordnungen voraussichtlich im zweiten Semester des mungen zu Datenbearbeitungen angepasst, die für Bundesor-
Jahres 2022 in Kraft setzen. gane wie das fedpol gelten. Diese Arbeiten mündeten im sog.
Vorgeschichte Schengen-DSG, welches am 1. März 2019 in Kraft trat (s. 27. TB,
Das erste Bundesgesetz über den Datenschutz vom 19. Juni 1992 Kap. 1.2).
trat Mitte 1993 in Kraft. Nach einer Teilrevision im Jahr 2008, Erst in einer zweiten Etappe erfolgte die Totalrevision des
deren Ziel es war, die Bevölkerung besser über die Bearbeitung DSG als Ganzes. In der Herbstsession 2019 nahm sich der Natio-
ihrer Daten zu informieren, sollte sich bald zeigen, dass die nalrat der Totalrevision als Erstrat an, welche die Eidgenössi-
rasante, technologische Entwicklung weitere Anpassungen not- schen Räte am 25. September 2020 nach Bereinigung aller Dif-
wendig machte. Um der Bevölkerung in ihrem heutigen Alltag, ferenzen verabschiedet haben. Bei der Ausgestaltung des
der von Cloud-Computing, Big Data und sozialen Netzwerken neuen DSG berücksichtigten Bundesrat und Parlament die von
geprägt ist, einen zeitgemässen Datenschutz zu garantieren, der Schweiz unterzeichnete Erweiterung der Europaratskon-
wurde eine umfassende Erneuerung des DSG unausweichlich. vention 108 1 sowie die Datenschutzgrundverordnung der Euro-
Im Herbst 2017 verabschiedete der Bundesrat den Entwurf zu päischen Union (DSGVO) 2. Aufgrund ihres extraterritorialen
einer Totalrevision, den er an die Eidgenössischen Räte über- Anwendungsbereichs wird Letztere seit ihrer Inkraftsetzung im
wies. Mai 2018 bereits von weiten Teilen der Schweizer Wirtschaft
angewandt. Trotz dieser Anlehnung an das europäische Recht
Ziele der Revision entspricht das neue DSG der schweizerischen Rechtstradition,
Nebst der Stärkung der Rechte der betroffenen Personen hob indem es einen hohen Abstraktionsgrad ausweist und techno-
der Bundesrat in seiner Botschaft den sog. risikobasierten logieneutral formuliert ist. Von der DSGVO hebt es sich nicht nur
Ansatz als Leitlinien der Revision hervor: Staat und Unterneh- aufgrund seiner Kürze, sondern auch einer teilweise unter-
men sollen die Risiken für die Privatsphäre und informationelle schiedlichen Terminologie ab.
Selbstbestimmung frühzeitig erheben und die Anforderungen Allgemein wird davon ausgegangen, dass die Schweiz und
des Datenschutzes bereits im Planungsstadium ihrer digitalen die EU nach der Erneuerung ihrer Datenschutzgesetzgebungen
Projekte miteinbeziehen. Hohe Risiken und die zu deren Besei- gegenseitig die Gleichwertigkeit ihrer Datenschutzniveaus
tigung oder Minderung getroffenen organisatorischen und anerkennen werden, so dass der formlose Austausch von Per-
technischen Massnahmen sind zu dokumentieren. Sodann sonendaten über die Landesgrenzen weiterhin möglich bleibt.
sollte das revidierte DSG die Selbstregulierung fördern, indem Die Erneuerung des aus dem Jahre 2000 stammenden Anerken-
die Mitglieder von Branchen, die einen verbindlichen Verhal- nungsbeschlusses der EU gegenüber der Schweiz stand bei
tenskodex erlassen, von gewissen Pflichten entbunden werden. Redaktionsschluss des aktuellen Tätigkeitsberichts noch aus.
Und nicht zuletzt sollte es die Aufsichtsbefugnisse des EDÖB
stärken.
1
Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten, abgeschlossen in Strassburg am 28.
Januar 1981, von der Bundesversammlung genehmigt am 5. Juni 1997. Die Erweiterung der Konvention wurde im Sommer 2020 von den Eidgenössi-
schen Räten genehmigt. Der Bundesrat wird sie erst nach Inkrafttreten des neuen DSG ratifizieren können.
2
Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung
personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung).

Datenschutz
1.2 Justiz, Polizei, Sicherheit
Auskunftsgesuche beim Auskunftsgesuche als üblich erhalten Botschaft zur Revision des
Nachrichtendienst des habe. So seien innerhalb von etwas DNA-Profil-Gesetzes wurde
Bundes (NDB) mehr als einem Jahr über tausend verabschiedet
Gesuche eingetroffen. Der NDB werde
Nachdem der NDB im Jahr 2019 mit alles daran setzen, um die hängigen Mit der Revision des DNA-Profil-Geset-
einer ungewöhnlich hohen Anzahl Gesuche innert Wochen zu behan- zes will der Bundesrat den Behörden
von Auskunftsgesuchen konfrontiert deln. Inzwischen habe er eine Arbeits- ermöglichen, bei Strafermittlungen
war, die er zunächst nur mit grosser gruppe gebildet, um die Arbeitsabläufe mehr Informationen aus einer DNA-
Verzögerung behandeln konnte, ergriff so anzupassen, dass die zahlreichen Spur herauszulesen. Der Forderung des
er besondere Massnahmen zum Abbau hängigen Gesuche ohne Qualitätsein- EDÖB nach einem strengen Gesetzes-
dieser Pendenzen, welche der EDÖB busse abgebaut werden könnten. rahmen wurde nachgekommen.
aufsichtsrechtlich begleitete. Im Juni 2020 teilte der NDB dem Der Bundesrat hat die Botschaft zur
Ende 2019 berichteten verschiedene EDÖB mit, dass u.a. dank den für den Revision des DNA-Profil-Gesetzes
Medien darüber, dass der NDB viel Pendenzenabbau zusätzliche verfügbar am 4. Dezember 2020 verabschiedet.
mehr Gesuche über Verzeichnungen in gemachten Ressourcen die neu ein- Mit der Revision will der Bundesrat
seinen Informationssystemen als sonst treffenden Auskunftsgesuche seit Mai den Behörden ermöglichen, bei Straf-
üblich erhalte. Auslöser waren unter 2020 fristgerecht beantwortet werden ermittlungen mehr Informationen
anderem frühere Medienberichte, die konnten. Der NDB hielt weiter fest, aus einer DNA-Spur herauszulesen.
mit einer «Bespitzelung» verschiede- dass noch rund 50 Auskunftsgesu- Die Sicherheitspolitische Kommis-
ner Politikerinnen und Politiker titel- che älteren Datums pendent seien, die sion des Nationalrates (SiK-N) hat am
ten. Diesbezüglich führte einerseits die regelmässig abgebaut wurden. 26. Januar 2021 nach ausführlichen
Geschäftsprüfungsdelegation der bei- Anhörungen ohne Gegenstimmen
den Räte (GPDel) Abklärungen durch. entschieden, auf die Vor-
Andererseits prüfte die unabhängige lage einzutreten. Sie ist
Aufsichtsbehörde über die nachrich- der Ansicht, dass dadurch
tendienstlichen Tätigkeiten (AB-ND) den Ermittlungsbehör-
die Führung von Dossiers über Politi- den griffige Methoden
kerinnen und Politiker im Geschäfts- gereicht werden, um Ermittlungs-
verwaltungssystem des NDB. arbeiten rascher und fokussierter zu
Nachdem der EDÖB aufgrund gestalten. Die Kommission betont,
von Bürgerbeschwerden darauf auf- dass die Verhältnismässigkeit der
merksam wurde, dass der NDB bei der Vorlage gegeben sei, da die Analyse-
Behandlung der Auskunftsgesuche ergebnisse der Phänotypisierung nur
sehr lange Bearbeitungszeiten aufwies, zur Aufklärung von Straftatbestän-
wurde er bei diesem vorstellig. Der den zur Anwendung komme, die eine
NDB hielt gegenüber dem EDÖB fest, maximale Freiheitsstrafe von mehr als
dass er seit 2019 rund zehnmal mehr drei Jahren vorsehen. In der aktuellen
Praxis darf in bestimmten Fällen aus
einer DNA-Spur nur das Geschlecht
bestimmt werden. Mit der Vorlage sol-
len neu auch die Wahrscheinlichkeiten
von Augen-, Haar- und Hautfarbe, die

Datenschutz
mögliche biogeografische Herkunft Gesetzgebungsvorlage zur muss. Der EDÖB äusserte zudem
sowie das Alter eruiert werden dür- Überprüfung von Mobiltele- Zweifel darüber, ob die vorgeschla-
fen. Wie vom EDÖB gefordert, wird fonen im Asylverfahren genen Massnahmen die gewünschte
gesetzlich abschliessend festgelegt, Wirkung erzielen können und ob die
welche Merkmale untersucht werden Das mit der parlamentarischen Initia- vorgeschlagene Regelung im Lichte der
dürfen. tive 17.423 angestossene Gesetzge- verfassungsrechtlichen Grundsätze
Der EDÖB hatte zum Änderungs- bungsvorhaben will dem Staatssekre- der Gleichheit und Ver-
entwurf des EJPD Stellung genommen tariat für Migration (SEM) weiterge- hältnismässigkeit grund-
und einen strengen Gesetzesrahmen hende Kompetenzen zur Überprüfung rechtskonform umgesetzt
gefordert (betreffend erste Ämterkon- von mobilen Datenträgern bei der Iden- werden kann, zumal das
sultation vgl. 27. TB, Kap. 1.2). Er ver- titätsabklärung im Asyl- und Wegwei- administrative Asyl- bzw.
trat im Konsultationsverfahren – wie sungsverfahren einräumen. Der Beauf- Wegweisungsverfahren anders als das
bereits im Zusammenhang mit dem tragte hat diesbezüglich bereits früh Strafprozessrecht keine eigentlichen
Vorentwurf – den Standpunkt, dass grundlegende Bedenken geäussert. Er verfahrensrechtlichen Garantien für
die Phänotypisierung und der Suchlauf begrüsst die zwischenzeitlich gemach- die Beschlagnahme und Auswertung
nach Verwandtschaftsbezug durch das ten Verbesserungen, hält aber dennoch elektronischer Datenträger kennt.
Zwangsmassnahmengericht anzuord- an seiner grundsätzlichen Ablehnung Ebenso wenig dürfe die Massnahme
nen sind. Es handelt sich dabei um Ins- der Vorlage fest. zu einem indirekten Zwang führen,
trumente, die mit erheblichen Grund- Die von Nationalrat Rutz am 17. März Smart Devices auf sich zu tragen und
rechtseingriffen verbunden sind und 2017 eingereichte parlamentarische jederzeit verfügbar zu machen.
die nur zur Aufklärung schwerer Ver- Initiative 17.423 fordert Die betroffenen Behörden, dar-
brechen gegen die körperliche Unver- eine Änderung der recht- unter insbesondere das SEM, haben
sehrtheit, die Freiheit oder die sexuelle lichen Grundlagen, die die Kritik konstruktiv aufgenommen
Integrität eingesetzt werden dürften. es dem SEM erlauben, und sind in weiten Teilen auf die For-
Er begrüsst den Umstand, dass diese mobile Datenträger von derungen des EDÖB eingegangen. So
Forderung – trotz der ursprünglichen Asylsuchenden auszuwerten. Die wurde vom zwangsweisen Einzug
Ablehnung durch das EJPD – berück- staatspolitischen Kommissionen bei- elektronischer Datenträger abgesehen
sichtigt wurde. der Räte haben der Initiative Folge und eine formell-gesetzliche Grund-
gegeben. Gestützt darauf wurde die lage für die Massnahme geschaffen.
Änderung des Asylgesetzes sowie des Wie vom Beauftragten gefordert, wird
Ausländer- und Integrationsgesetzes nun ausdrücklich geregelt, dass es sich
ausgearbeitet, welche dem SEM wei- bei der Auswertung mobiler Daten-
tergehende Kompetenzen zur Über- träger zur Identitätsabklärung um eine
prüfung von mobilen Datenträgern bei subsidiäre Massnahme handelt, wel-
der Identitätsabklärung im Asyl- und che in jedem Fall verhältnismässig zu
Wegweisungsverfahren gewährt. erfolgen hat, und dass die Weigerung
Der EDÖB hat in den Konsul- einer asylsuchenden Person nur bei der
tationsverfahren zur Vorlage Stel- Glaubwürdigkeitsprüfung berücksich-
lung genommen und grundlegende tigt werden darf. Den betroffenen Per-
Bedenken geäussert (s. Bericht vom sonen kommen Anwesenheits- und
4.6.2020). So wies er darauf hin, dass Informationsrechte zu. Die Position
es sich bei der Auswertung elektroni- von Drittpersonen, deren Personenda-
scher Datenträger um einen massiven ten bei der Auswertung mitbetroffen
Eingriff in die Privatsphäre vieler Men- sind, konnte ebenfalls gestärkt werden.
schen handelt, der sich auf genügende Schliesslich begrüsst der Beauftragte,
formelle Rechtsgrundlagen stützen dass seinen grundsätzlichen Bedenken

Datenschutz
gegenüber der Geeignetheit und Wirk- Intervention des EDÖB bei gewiesen, dass die vorgesehenen
samkeit der vorgesehenen Massnahme der Eidgenössischen Zollver- Bestimmungen zur Personendatenbe-
durch eine Evaluationspflicht Rech- waltung: Ungenügende Rege- arbeitung aus seiner Sicht gewichtige
nung getragen werden soll. lung der Datenbearbeitung in Mängel aufwiesen. Diese liessen ins-
Für den Beauftragten ist aller- neuem Zollpolizeigesetz besondere die vom Datenschutzgesetz
dings weiterhin nicht erkennbar, wie verlangte Bestimmtheit vermissen,
der Grundsatz der Subsidiarität und Die Eidgenössische Zollverwaltung welche es der Bevölkerung ermögli-
der Verhältnismässigkeit in der Pra- erarbeitet eine Gesetzesrevision mit chen würde, die in deren Privatsphäre
xis umgesetzt werden soll. Laut dem dem Ziel, den rechtlichen Rahmen für und Selbstbestimmung eingreifenden
erläuternden Bericht zur Änderung den Einsatz zukunftsorientierter digi- staatlichen Datenbearbeitungen sowie
der rechtlichen Grundlagen sollen taler Technologien zu legen und gleich- die ihr dagegen zur Verfügung stehen-
andere Massnahmen zur Identitäts- zeitig die notwendige organisatorische den Schutzrechte einzuschätzen.
abklärung namentlich dann zum Zuge Flexibilität zu schaffen, um in Zukunft Der Beauftragte hat den Bundes-
kommen, wenn sie im Vergleich zur noch rascher und wirksamer auf verän- rat dahingehend beraten, dass sich
elektronischen Datenauswertung derte Lagen reagieren zu können. Der Regierung und Parlament als politi-
mit einem geringeren Aufwand mög- Beauftragte begrüsst diese Bestrebun- sche Organe des Bundes vorbehalten
lich sind. Für die Beurteilung der Ver- gen. Er kritisiert jedoch die unzurei- mögen, die wesentlichen Grundzüge
hältnismässigkeit einer Massnahme chende Ausgestaltung der Datenbear- der neu in einem einzigen System der
dürfte damit letztlich ausschlaggebend beitungsregeln in diesem Grossprojekt. Zollpolizei vorzunehmenden Daten-
sein, welches Auswertungsverfah- Unter der Kurzbezeichnung «BAZG- bearbeitungen und die Schnittstel-
ren den geringsten Aufwand bereitet. Vollzugsaufgabengesetz» (BAZG-VG) len zu diesem System zu
Dabei ist zu bedenken, dass gemäss hat der Bundesrat am 11. September regeln.
Gesetzesvorlage die Auswertung von 2020 die Vernehmlassung über ein Vor dem Hintergrund
Personendaten durch den Einsatz Gesetzespaket eröffnet, mit dem er dieser Hinweise hat der
einer entsprechenden Software auto- die rechtliche Grundlage für das Digi- Bundesrat die Verwaltung
matisiert erfolgen kann. In der Folge talisierungs- und Transformations- angewiesen, die Datenbearbeitungs-
könnte die Auswertung elektroni- programm (DaziT) der Eidgenössi- bestimmungen zu überarbeiten, was
scher Datenträger regelmässig, wenn schen Zollverwaltung schaffen will. in den Vernehmlassungsunterlagen
nicht gar standardmässig, erfolgen. Die Dabei handelt es sich um ein finan- angedeutet wurde. Der Beauftragte
Effizienz darf jedoch nicht über die ziell bedeutsames und datenschutz- begrüsst dies. Er steht im intensiven
Wahrung fundamentaler Freiheits- sensibles Grossvorhaben. Die Zoll- Austausch mit der Eidgenössischen
rechte gestellt werden. Der Beauftragte verwaltung und das dort integrierte Zollverwaltung und dem Bundesamt
muss daher an seiner grundsätzlichen Grenzwachtkorps sollen in ein neu zu für Justiz, um anhand konkreter Anre-
Ablehnung der Vorlage festhalten. Er schaffendes Zollpolizeiamt, das «Bun- gungen eine Bereinigung der festge-
gibt dabei über den Kontext des Asyl- desamt für Zoll und Grenzsicherheit stellten Mängel zu bewirken.
rechts hinaus zu bedenken, dass frei- (BAZG)», überführt werden. Dessen
heitseinschränkende Massnahmen gesamte Belegschaft soll mit Polizeibe-
oft zunächst gegenüber Minderheiten fugnissen und damit zwangsbewehr-
eingeführt werden, bevor sie schritt- ten Datenbeschaffungskompetenzen
weise in anderen Zusammenhängen ausgestattet werden.
auf breite Bevölkerungskreise ausge- Der EDÖB hat die Eidgenössi-
weitet werden. sche Zollverwaltung in der zweiten
Ämterkonsultation (betreffend erste
Ämterkonsultation vgl. 27. TB, Kap.
2.4), welche vom 5. bis zum 25. März
2020 stattfand, vergeblich darauf hin-

Datenschutz
1.3 Steuer- und Finanzwesen
Der EDÖB setzt sich vor (EFD) vorlegte und dann dessen ableh- informieren, sondern lediglich solche,
Bundesgericht für das Recht nende Verfügung an das Bundesver- deren Beschwerdeberechtigung auf-
auf Information in der waltungsgericht weiterzog (s. 26. TB, grund der Akten geradezu offensicht-
internationalen Steueramts- Kap. 1.3). lich ist.
hilfe ein Das Bundesverwaltungsgericht Unter Berücksichtigung dieser
gelangte in seinem Urteil vom 3. Sep- neuesten Rechtsprechung anerkannte
Das Bundesverwaltungsgericht hiess tember 2019 zum Schluss, dass in der der EDÖB vor Bundesgericht, dass
im 2019 eine Beschwerde des EDÖB internationalen Steueramtshilfe die Drittpersonen in der internationalen
zum Recht auf Information in der inter- vom Amtshilfeersuchen nicht betrof- Steueramtshilfe nicht generell, son-
nationalen Steueramtshilfe gut. Im fenen Personen (Drittpersonen), deren dern nur ausnahmsweise beschwer-
anschliessenden Beschwerdeverfahren Daten ungeschwärzt übermittelt wer- delegitimiert sind. Er hielt jedoch an
vor Bundesgericht hat sich der Beauf- den sollen, grundsätzlich der vom Bundesverwaltungsgericht
tragte erneut für das Recht auf Infor- vorgängig zu informieren bestätigten Auffassung fest, dass sämt-
mation eingesetzt. Der Entscheid des sind. Für Fälle, in welchen liche Drittpersonen im Grundsatz von
Bundesgerichts steht noch aus. mit der erforderlichen Amtes wegen vorgängig der Übermitt-
In der internationalen Steueramtshilfe Information unverhält- lung ihrer Daten informiert werden
knüpft das Recht, über ein laufendes nismässiger Aufwand verbunden ist müssen. Nur so können tatsächlich
Amtshilfeverfahren informiert zu wer- und der Vollzug der Amtshilfe ver- alle Drittpersonen, die im Sinne der
den, an die Beschwerdeberechtigung unmöglicht oder unverhältnismässig bundesgerichtlichen Rechtsprechung
einer Person an (vgl. Art. 14 Steuer- verzögert würde, sind gemäss Bun- beschwerdelegitimiert sind, von ihrem
amtshilfegesetz). Ende Dezember desverwaltungsgericht Ausnahme- Beschwerderecht Gebrauch machen
2017 erliess der EDÖB eine formelle regelungen zu erarbeiten. Der EDÖB und sich gegen eine bevorstehende
Empfehlung, wonach die Eidgenös- begrüsste das Urteil, da es die Grund- Datenübermittlung zur Wehr set-
sische Steuerverwaltung (ESTV) in rechte der Bankmitarbeitenden und zen. Der EDÖB hat vor Bundesgericht
der internationalen Steueramtshilfe weiterer Drittpersonen schützt. sodann erneut skizziert, wie sich eine
auch die vom Amtshilfeersuchen nicht Die ESTV erhob beim Bundesge- grundsätzliche Informationsverpflich-
betroffenen Personen (d.h. Drittperso- richt Beschwerde. Die von der ESTV tung der ESTV umsetzen liesse, ohne
nen), deren Namen ungeschwärzt an beantragte Sistierung des Verfahrens dass dieser daraus ein unverhältnis-
die ersuchende ausländische Behörde hob das Bundesgericht auf, nachdem mässiger Aufwand entsteht und die
übermittelt werden sollen, vorgän- es am 13. Juli 2020 in einer anderen internationale Steueramtshilfe über-
gig der Übermittlung zu informieren Angelegenheit mit ähnlicher Frage- mässig verzögert oder behindert wird.
hat (s. 25. TB, Kap. 1.9.2). Dem lag die stellung ein Grundsatzurteil (BGE Der Entscheid in dieser Angelegenheit
Auffassung des EDÖB zugrunde, dass 146 I 172) gefällt hatte. In jenem Urteil steht zurzeit noch aus.
Drittpersonen legitimiert sind, sich schränkte das Bundesgericht das Recht
gegen eine unrechtmässige Übermitt- auf Information stark ein: Es führte
lung ihrer Daten mittels Beschwerde aus, dass Drittpersonen, deren Daten
zur Wehr zu setzen. Die ESTV lehnte von der ESTV ungeschwärzt an die
diese Empfehlung ab, worauf der ersuchende ausländische Behörde
EDÖB die Angelegenheit zuerst dem übermitteln werden sollen, lediglich
Eidgenössischen Finanzdepartement ausnahmsweise, nämlich aufgrund
besonderer Umstände, legitimiert sind,
sich dagegen mittels einer Beschwerde
zu wehren. Sodann muss die ESTV
nicht sämtliche beschwerdelegitimier-
ten Drittpersonen von Amtes wegen
vorgängig der Datenübermittlung

Datenschutz

Datenschutz
1.4 Handel und Wirtschaft
Abklärungen 5G Implementie- zahl von technischen Fragen waren für Wie bei Sunrise fand der EDÖB auch
rungen von Sunrise und den Beauftragten folgende Aspekte bei der Swisscom keine Anhalts-
Swisscom von besonderer Bedeutung: Einerseits punkte, wonach die Umsetzung mit
war bereits 2018 diversen Medienbe- Fokus auf die Datensicherheit und
Der EDÖB konnte zwei unabhängig von- richten zu entnehmen, dass bei der den Datenschutz nicht angemessen
einander geführte Sachverhaltsabklä- Implementierung des 5G-Standards wäre. Bezüglich der Datensicherheit
rungen bei den Firmen Sunrise und empfindliche Schwachstellen auf- von 5G hat die Swisscom interne Secu-
Swisscom zur Implementierung der treten können und Sicherheitslücken rity Assessments durchgeführt. Wie
neuen Mobilfunkstandards der 5. Gene- bekannt seien. Andererseits bestanden Sunrise steht auch Swisscom im Aus-
ration (5G) abschliessen. Beide Anbie- Sicherheitsbedenken bezüglich der tausch mit diversen internationalen
ter zeigten auf, dass der Datenschutz verwendeten Ausrüster, insbesondere Gremien und Arbeitsgruppen und ori-
und die technische Sicherheit einen Huawei. Der EDÖB verlangte deshalb entiert sich an deren bewährten Ansät-
hohen Stellenwert geniessen. von den kontrollierten Unterneh- zen für einen sicheren Betrieb. Swiss-
Der neue Fernmeldestandard 5G soll men eine Stellungnahme, wie sie den com benennt ihren langjährigen Part-
gemäss den technischen Spezifika- bekannten Schwachstellen begegnen ner Ericsson als Hauptausrüster für
tionen nebst einer höheren Daten- und ob Abhängigkeiten zu einzelnen die 5G-Technologie und erklärt, dass
geschwindigkeit (sog. Datendurch- Lieferanten - namentlich zu Huawei es sich bei den von Huawei geliefer-
satzrate) auch eine erhöhte Sicher- - bestehen, welche die Verfügbarkeit ten und im Antennenbau eingesetzten
heit bieten. Aufgrund der Aktualität (beispielsweise aufgrund von US- Komponenten lediglich um passive
und Tragweite dieser Umstellung Handelssanktionen), die Vertraulich- Elemente ohne Elektronik handelt, die
hat der EDÖB im Jahr 2019 zwei for- keit oder die Datensicherheit beein- nur für das Empfangen und Senden
melle Sachverhaltsabklärungen bei trächtigen. der Wellensignale verwendet werden.
den Anbietern Swisscom und Sunrise Der Anbieter Sunrise zeigte auf, Der EDÖB kommt zum Schluss,
eröffnet, als diese die 5G-Einführung dass er sich konsequent mit interna- dass die Datensicherheit von den kon-
planten. Beide Anbieter haben dem tionalen Gremien und Arbeitsgruppen trollierten Unternehmen angemessen
EDÖB Einblick in die Konzeption der Telekommunikationsbranche aus- berücksichtigt wurde und die Daten-
und den Stand der Implementierung tauscht und dass er seine Implemen- schutzüberlegungen bei der Einfüh-
gegeben und umfangreiche Dokumen- tierung zusätzlich durch eine unab- rung einen hohen Stellenwert genies-
tationen zugestellt. Nebst einer Viel- hängige externe Firma untersuchen sen. Bei einer vollständigen Adaption
liess. Insbesondere die dort identi- des 5G-Standards sind gegenüber 4G
fizierten Massnahmen zur Verbesse- Vorteile bezüglich der Informationssi-
rung sind aus Sicht des EDÖB für die cherheit ersichtlich.
Erzielung einer ausreichenden Sicher-
heit und eines angemessenen Daten-
schutzniveaus von grossem Wert. Er
hat Sunrise deshalb die abschliessende
Umsetzung dieser Massnahmen emp-
fohlen. Bezüglich ihres 5G-Partners
und Ausrüsters Huawei hat Sunrise
Risikoanalysen durchgeführt. Dabei
wurden Risiken in den Bereichen Ver-
fügbarkeit, Zusammenarbeit und Spio-
nage identifiziert. Für diese anbieter-
spezifischen Risiken hat Sunrise Mass-
nahmen definiert und umgesetzt.

Datenschutz
Fehlerhafte Datenbankein- Kreditfähigkeitsprüfung bei Ziel ist es, eine Überschuldung der
träge bei Inkassounterneh- Autoleasing Konsumentinnen und Konsumenten
men zu vermeiden. Diese Datenbearbeitun-
Um einen Leasingvertrag abschliessen gen unterliegen den Bestimmungen
Der EDÖB hat die Sachverhaltsabklä- zu können, müssen Kundinnen und des DSG und dürfen die Persönlichkeit
rung betreffend mögliche fehlerhafte Kunden ihr Einverständnis geben, dass der Leasingnehmenden und allfälliger
Datenbankeinträge bei einem der füh- ihre Kreditfähigkeit durch den Leasing- Dritter nicht widerrechtlich verletzen.
renden Inkassounternehmen fortge- anbieter geprüft wird. Dazu kann dieser Insbesondere dürfen nur diejenigen
setzt und den Untersuchungsgegen- auch Auskünfte bei Dritten einholen. Informationen bearbeitet werden, die
stand erweitert. Der EDÖB nimmt erste Abklärungen zu erforderlich sind, um die Kreditfähig-
Im Februar 2020 hatte der Beauftragte diesen Datenbearbeitungen vor. keit feststellen zu können.
bei dem Unternehmen eine Sachver- Bevor Konsumentinnen und Konsu- Durch Bürgeranfragen erhielt der
haltsabklärung wegen angeblich feh- menten einen Leasingvertrag für ein EDÖB Kenntnis davon, dass sich ein
lerhaften Datenbankeinträgen und Auto abschliessen können, muss der Leasinganbieter von Leasingantrag-
daraus folgenden Verwechslungen von Leasinganbieter deren Zahlungsfähig- stellenden deren Einverständnis geben
Personen mit gleichen oder ähnlichen keit überprüfen. Er muss zu diesem lässt, zwecks Prüfung der Zahlungsfä-
Namen und Adressen sowie mögli- Zweck gewisse Informationen über die higkeit zahlreiche Auskünfte bei Drit-
cherweise vorhandenen Schwierig- potenziellen Leasingnehmenden ein- ten einholen zu dürfen. Zustimmen
keiten bei der Korrektur von solchen holen, die Auskunft über deren wirt- muss man auch dem Einholen von
Fehleinträgen eröffnet (s. 27. TB, Kap. schaftliche Verhältnisse geben. Fällt Auskünften über dritte Personen wie
1.4). diese Kreditfähigkeitsprüfung nega- Ehepartner oder Familienmitglieder.
Im Berichtsjahr zeigte sich anhand tiv aus, darf der Leasingvertrag nicht Für den EDÖB stellte sich die Frage, ob
von Bürger- und Medienanfragen, dass abgeschlossen werden. Dies ist im sich diese Datenbearbeitungen auf ein
auch sogenannte «negative Haushalts- Konsumkreditgesetz so vorgesehen. datenschutzrechtlich erlaubtes Mass
treffer» datenschutzrechtliche Fragen beschränken und ob die Erkennbarkeit
aufwerfen. Der EDÖB der Datenbearbeitung für die Betroffe-
entschied sich deshalb, nen gewährleistet ist. Der Beauftragte
die laufende Sachver- hat den Leasinganbieter deshalb um
haltsabklärung um diesen Stellungnahme zu verschiedenen Fra-
Punkt zu erweitern. Von gen gebeten. Anhand der Antworten
negativen Haushaltstreffern spricht wird er prüfen, ob er eine Abklärung
man, wenn im Rahmen von Bonitäts- vornehmen und gegebenenfalls Mass-
auskünften negative Bonitätsinforma- nahmen empfehlen soll.
tionen über andere Personen im selben
Haushalt bekannt gegeben werden. So
kann es passieren, dass Kundinnen
und Kunden in Online-Shops trotz
einwandfreier Bonität Waren nicht
auf Rechnung bestellen können, wenn
in ihrem Haushalt eine Person mit
negativer Bonität wohnhaft ist. Diese
rechtlichen Abklärungen waren am
Ende des Berichtsjahres noch im Gang.

Datenschutz
Migros Sachverhalts Nach Auswertung der Stellung- sonendaten im Zusammenhang mit

abklärung Videoüberwachung nahme der Migros und den einge- dem Videoüberwachungssystem zu
reichten Unterlagen konnte der EDÖB gewährleisten.
Im Berichtsjahr hat der EDÖB im Rah- zunächst feststellen, dass sich das Der EDÖB hat jedoch Verbes
men einer Sachverhaltsabklärung das neue Videoüberwachungssystem auf serungen in Bezug auf die Informa-
neue Videoüberwachungssystem der reaktive Funktionen beschränkt: In tionen über das neue System in den
Migros beurteilt. Das Unternehmen einem konkreten Verdachtsfall kann Datenschutzbestimmungen und auf
legte dar, dass weder Gesichtserken- der Sicherheitsverantwortliche einer der Webseite der Migros verlangt, da
nung noch automatisierte Auswertun- Migros-Filiale durch manuelle Aus- diese zu allgemein formuliert sind und
gen von Verhaltensmustern oder ähn- wahl eines Standbilds bestimmte Para- das neue System und seine Funktio-
liche Analysen erfolgen. Der EDÖB hat meter einer verdächtigen nen nicht erklären. Zudem verlangte
keine Empfehlungen erlassen, jedoch Person erfassen (Haar- er von der Migros, dass sie ihn über
Verbesserungen bezüglich der Informa- farbe, Geschlecht und zukünftige Vorhaben oder allfällige
tion der Kundinnen und Kunden über Grösse). Das System sucht Funktionserweiterungen im Bereich
das System verlangt. in den aufgezeichneten Videoüberwachung rechtzeitig und
Videoüberwachungssysteme kön- Videoaufnahmen und innerhalb eines vorgängig informiert. Eine Antwort
nen für Unternehmen ein Mittel sein, definierten Zeitraumes nach dersel- der Migros war im Zeitpunkt des
um ihre berechtigten Interessen, wie ben Kombination von Parametern. Das Redaktionsschlusses dieses Berichts
zum Beispiel der Schutz von Eigen- Bildmaterial wird dem Sicherheitsper- noch ausstehend.
tum, zu wahren. Auf der anderen Seite sonal der betreffenden Migros-Filiale
wächst in der Öffentlichkeit das Un angezeigt und soll so bei der Ermitt-
behagen gegenüber solchen Vorhaben lung von deliktischen Handlungen
nicht zuletzt wegen neuen techni- helfen.
schen Möglichkeiten der Identifizie- Die Migros hielt fest, dass weder
rung und Analyse. eine Gesichtserkennung noch eine
Auch das neue System der Migros automatisierte Auswertung von Ver-
wurde in den Medien kritisiert und haltensmustern oder ähnliche Ana-
sorgte für einige Verunsicherung. Um lysen erfolgen. Die Identifikation von
sich Klarheit über die Funktionen der Personen, welche mit dem Video-
neuen Videoüberwachung der Migros überwachungssystem aufgenommen
zu verschaffen, hat sich der EDÖB das w urden, ist nur in begründeten Einzel-
System und die vom Unternehmen fällen ausserhalb des Systems möglich
getroffenen Massnahmen zum Schutz und folgt einem vom Unternehmen
der Persönlichkeitsrechte im Rahmen festgelegten Verfahren.
seiner Aufsichtstätigkeit beschreiben Da sich das neue Videoüberwa-
und dokumentieren lassen. chungssystem angesichts seiner ein
geschränkten Funktionen folglich
nicht wesentlich von bisherigen Sys-
temen unterscheidet, kann der EDÖB
von datenschutzrechtlichen Empfeh-
lungen absehen. Des Weiteren erschei-
nen die von der Migros dargelegten
technischen und organisatorischen
Massnahmen und Prozesse geeignet,
die Sicherheit der bearbeiteten Per-

Datenschutz
Bearbeitung von Kundendaten Unter anderem bedeutete dies, dass Verwendung der Daten von
durch Onlineshops die Kundinnen und Kunden der Auf- ricardo.ch innerhalb der
zeichnung und der Auswertung ihres TX Group
Wir haben bei einem Onlineshop ein Kaufverhaltens in individualisierter
Verfahren eröffnet, um die bei ihm und personenbezogener Form, der Im Rahmen des laufenden Verfahrens
anfallenden Bearbeitungen von Kun- Verknüpfung mit weiteren Personen- zur Abklärung des Sachverhalts hat der
dendaten auf ihre Datenschutzkon daten (z.B. mit in der Vergangenheit EDÖB die rechtliche Prüfung der Verwen-
formität hin zu überprüfen. Ausserdem von diesem oder anderen Unterneh- dung der auf der Plattform ricardo.ch
stellt sich die Frage, ob die Daten men des Konzerns oder von Dritten erhobenen Daten durch die TX Group
bearbeitungen gegen den ausdrückli- bereits gesammelten oder öffentlich vorgenommen. Wir sind zum Schluss
chen Willen der Nutzer erfolgen dürfen. erhältlichen Personendaten) sowie gekommen, dass die Datenbearbeitun-
Sei es wegen der Schliessung von der Weitergabe von Personendaten gen, welche zum Zweck der gezielten
Ladengeschäften während des Lock- an andere Unternehmen des Kon- Werbung durchgeführt werden, durch
downs oder wegen der mit einem zerns zustimmen mussten. Später eine Einwilligung der Nutzerinnen und
Geschäftsbesuch verbundenen Risi- beim Kundendienst eingereichte Nutzer gerechtfertigt werden müssen.
ken – die Corona-Pandemie hat viele Widerspruchsbegehren konnten diese Ferner sind wir der Auffassung, dass
Personen dazu veranlasst, ihre Ein- Datenbearbeitungen nicht verhindern. die Information an die Nutzergruppe
käufe online zu erledi- Der Betreiber des Onlineshops lehnte derzeit ungenügend und dass die
gen. Für manche Perso- diese mit der Begründung ab, dass die Datenschutzerklärung verbesserungs-
nen sind Onlineshops Datenschutzerklärung für die gesamte bedürftig ist.
sogar die einzige Mög- Kundschaft ausnahmslos und gleicher- Wie aus unseren vorangehenden
lichkeit geworden, um massen gelte und diese Bearbeitungen Tätigkeitsberichten zu entnehmen ist,
bestimmte Waren zu beschaffen. Auf- keine Optionen für die Kundinnen eröffnete der EDÖB eine Sachverhalts-
grund von Bürgeranfragen wurden und Kunden seien. abklärung gegen Ricardo bezüglich
wir darauf aufmerksam gemacht, dass Im Frühjahr 2020 haben wir den der Verwendung der bei der Online-
man bei einem der grössten Schwei- Betreiber des Onlineshops im Sinne Auktionsplattform ricardo.ch gesam-
zer Onlinehändler ein Kundenkonto einer Vorabklärung angeschrieben, melten Daten und dehnte diese auf die
erstellen und mithin sämtlichen in der um uns einerseits einen Überblick über Tamedia/TX Group. Unsere in diesem
Datenschutzerklärung umschriebe- seine Bearbeitungsmethoden zu ver- Zusammenhang durchgeführte Sach-
nen Datenbearbeitungen zustimmen schaffen und andererseits die Wider- verhaltsfeststellung konnte im März
musste, um eine Bestellung tätigen zu spruchsmöglichkeiten der Kundinnen 2020 abgeschlossen werden. Diese
können. und Kunden zu klären. Nach Auswer- Feststellung beruht namentlich auf
tung der Antwort des Betreibers haben der neuen Datenschutzerklärung von
wir in der Folge eine Sachverhalts ricardo.ch, die von den Unternehmen
abklärung eröffnet. Unser Fokus liegt der TX Group standardmässig einge-
dabei nebst der Analyse der Daten- setzt wird, sowie auf den Antworten
schutzkonformität der vom Betreiber von ricardo.ch und TX Group betref-
des Onlineshops und weiteren Unter- fend den konzerninternen Umgang
nehmen des Konzerns durchgeführ- mit Daten. Unsere rechtliche Beurtei-
ten Datenbearbeitung auf der Frage, lung aus Sicht des Datenschutzgeset-
ob diese Datenbearbeitungen gegen zes DSG wird in einem Schlussbericht
den ausdrücklichen Willen der Nutzer dargelegt.
erfolgen dürfen. Die Datenschutzerklärung von
Ricardo sieht namentlich die Mög-
lichkeit vor, den Unternehmen der

Datenschutz
TX Group oder deren Partnern perso- Partnerfirmen zu adressieren, wobei • Die Datenschutzerklärung und die
nenbezogene Daten, die auf der Platt- eine Segmentierung nach sozio-demo- diesbezügliche Kommunikation
form ricardo.ch gesammelt werden, grafischen Merkmalen (anhand der von ricardo.ch/TX Group sind im
«zur Personalisierung und zu Marke- von der Nutzerin bei der Registrie- Sinne des Grundsatzes der Trans-
tingzwecken» zu übermitteln. Dazu rung gemachten Angaben) und nach parenz zu verbessern. Insbesondere
gehört, dass das Online-Verhalten mutmasslichen Interessensgebieten müssen die Nutzer eindeutig nach-
der Nutzerinnen und Nutzer anhand erfolgt, welche aus dem Online-Ver- vollziehen können, welche Datenbe-
von Analysetools mitverfolgt und halten der Nutzer auf anderen Portalen arbeitungen von Ricardo einerseits
analysiert werden kann. Eine solche der TX Group oder ihrer Partnersites und von der TX-Gruppe anderer-
Datenbearbeitung erfolge «vor allem hergeleitet werden. Möglich wird die seits durchgeführt werden, welche
mit pseudonymisierten oder anony- Verknüpfung der Daten innerhalb der Zwecke damit verfolgt werden, und
misierten Daten». Zweck der Daten- TX Group durch pseudonyme Identifi- ob es Möglichkeiten gibt, dagegen
bearbeitung ist das Adressieren oder katoren, die unter anderem ausgehend Einspruch zu erheben. Gegebenen-
Anzeigen von «anonymer Werbung» von Email-Adressen erzeugt werden. falls müssen die Widerspruchs-
auf Portalen der TX Group sowie die Unsere rechtliche Prüfung des möglichkeiten effektiv durchgesetzt
Verbesserung der Sicherheit. Sachverhalts führte unter anderem zu werden können.
Unsere Sachverhaltsfeststellung folgenden Feststellungen: Der EDÖB arbeitet an der Prüfung des
konnte aufzeigen, dass die TX Group • Die Bearbeitung der Daten, insbe- weiteren Vorgehens.
(ehemals Tamedia AG) bestimmte sondere die von der TX Group vor-
Daten der Nutzerinnen und Nutzer genommene Datenver-
der Plattform ricardo.ch für Marke- knüpfung und die Nut-
tingzwecke bearbeitet und analysiert. zersegmentierung, ent-
Die Datenbank des Konzerns lässt sich spricht einer Bearbeitung
anhand von Daten speisen, die auf ver- von Personendaten, die
schiedenen Portalen der TX Group dem Datenschutzgesetz untersteht.
erhoben und in eine aggregierte Form Die Zusammenstellung von Daten,
gebracht werden. Zweck der Analyse die aus dem Profiling hervorgehen,
und der Verknüpfung dieser aus unter- kann zudem im vorliegenden Fall
schiedlichen Quellen stammenden ein Persönlichkeitsprofil im Sinne
Daten ist es, gezielte Werbung an die des DSG darstellen, so dass die
Nutzerinnen und Nutzer von Dienst- erhöhten datenschutzrechtlichen
leistungen der TX Group oder ihrer Anforderungen hier zum Tragen
kommen.
• Ein derartiges Profiling zum Zweck
der gezielten Werbung setzt nach
Auffassung des Beauftragten die
Einwilligung der betroffenen Perso-
nen voraus, welche ausserdem aus-
drücklich erfolgen muss. Denn die
vorliegenden berechtigten Interes-
sen der TX Group überwiegen im
konkreten Fall das Recht auf infor-
mationelle Selbstbestimmung der
Nutzerinnen und Nutzer der Platt-
form ricardo.ch nicht.

Datenschutz
Revision der Energieverord- Die lange Aufbewahrung von fünf Jah-

nung ren erweist sich insbesondere deshalb
als problematisch, weil es sich bei den
Der EDÖB fordert im Rahmen der Revi- Lastgangprofilen um Persönlichkeits-
sion der Stromversorgungsverordnung profile resp. nach dem revidierten DSG
(StromVV) im Interesse der Betroffe- um ein Profiling handelt, bei denen
nen eine höchstens zweijährige Frist erhöhte datenschutzrechtliche Anfor-
für die Aufbewahrung von Messdaten derungen gelten.
durch die Netzbetreiber. Das UVEK Der EDÖB vertritt daher die Auf-
lehnt diese Forderung ab – u.a. mit fassung, dass die Personendaten nach
Verweis auf die bereits bestehenden zwölf Monaten, oder aber aus Prak-
fünfjährigen Fristen in der StromVV. tikabilitätsgründen spätestens nach
Eine entsprechende Differenz wurde zwei Jahren, zu löschen sind, wenn
ausgewiesen. nicht eine explizite Einwilligung der
Im Rahmen einer Ämterkonsultation Betroffenen für eine längere Aufbe-
im Bereich der Revision der Energie- wahrungsdauer vorliegt, z.B. zwecks
verordnung erachtete der EDÖB die Auskunft über die Daten des Lastgang-
darin festgelegte Aufbewahrungsfrist profils für Effizienzlösungen. Die ent-
der Lastgangwerte von fünf Jahren aus sprechende Bestimmung sollte dahin-
zeitlicher Hinsicht als nicht verhältnis- gehend abgeändert werden, dass die
mässig. Der EDÖB ist der Aufbewahrungsdauer für Lastgangpro-
Ansicht, dass es sich hier file wie bisher zwölf Monate beträgt
um eine Vorratsdaten- und die Kunden mit einer expliziten
speicherung handelt, wel- Einwilligung eine darüber hinausge-
che alle Strombezüger in hende Aufbewahrungsdauer bis maxi-
der Schweiz betrifft. Für den Zweck mal fünf Jahre beantragen können.
der Stromverbrauchsoptimierung
sollen die Lastgangprofile fünf Jahre
gespeichert werden, obschon davon
ausgegangen werden muss, dass die
Mehrheit der Betroffenen diese nie
auswerten wird. Auch für die Zwecke
des Bilanz-Netzmanagements und
der Abrechnung sind mildere Mittel
möglich, um die verfolgten Zwecke
zu erreichen, wie z.B. eine Aggregie-
rung gemäss den Tarifpositionen (z.B.
Hoch-/Niedertarif ) für die Rech-
nungsstellung, wodurch das Lastgang-
profil an sich nicht mehr abrechnungs-
relevant wäre. Gemäss der StromVV
werden die Personendaten und Per-
sönlichkeitsprofile nach zwölf Mona-
ten vernichtet, sofern sie nicht abrech-
nungsrelevant oder anonymisiert sind.

Datenschutz
1.5 Gesundheit
nforderungen an Cloud-
A Der EDÖB weist im Rahmen seiner Abschliessend lässt sich deshalb
Lösungen für die Bearbeitung Beratungstätigkeit zunächst darauf festhalten, dass der EDÖB von der
von Patientendaten hin, dass der Arzt auch bei der Ver- Verwendung von gängigen unentgelt-
wendung einer Cloud-Lösung für die lichen Cloud-Lösungen für den Aus-
Im Gesundheitsbereich werden zu Sicherheit der Daten ver- tausch bzw. für die Aufbewahrung
nehmend Cloud-Lösungen für die Bear- antwortlich bleibt, selbst von Patientendaten abrät, da diese die
beitung von Patientendaten genutzt. wenn er fortan nur noch obengenannten Bedingungen in der
Der EDÖB hat im Rahmen seiner Be eine begrenzte Kontrolle Regel nicht erfüllen.
ratungstätigkeit auf die Punkte hinge- über die Datensicherheit
wiesen, die von Gesundheitsfach hat. Daher muss er den Cloud-Provider
personen bei der Auswahl einer Cloud- sorgfältig auswählen und auf folgende
Lösung zu beachten sind. Punkte achten:
Der EDÖB wurde im Berichtsjahr wie- • Die Daten sollten in der Schweiz
derholt von Ärzten, Psychologen und verbleiben;
weiteren im Gesundheitsbereich täti- • Der Vertrag mit dem Cloud-Provider
gen Personen bezüglich der Verwen- sollte den Anforderungen aus dem
dung von Cloud-Lösungen Arztgeheimnis genügen;
für die Bearbeitung von • Alle Personen mit Zugriff auf die
Patientendaten kontak- Patientendaten müssen der ärztli-
tiert. Dabei ging es um die chen Schweigepflicht unterstehen;
Bearbeitung resp. Speiche- • Die Löschung der Patientendaten
rung von Gesundheitsdaten in einem sollte jederzeit möglich sein;
von einem externen Anbieter (sog. • Eine Liste aller Personen, die Zugriff
Cloud-Provider) betriebenen Rechen- auf die Daten haben, sollte jederzeit
zentrum. Die Anfragen bet rafen insbe- eingefordert werden können;
sondere die Aufbewahrung und Wei- • Die Datensicherheit sollte regel
tergabe, bzw. die Löschung von Pati- mässig überprüft werden, und die
entendaten (z.B. nach dem Tod eines dazugehörigen Audits sollten ver-
Patienten oder nach Auflösung einer fügbar sein;
Arztpraxis). • Der Ansprechpartner in Sachen
Datenschutz sollte dem Arzt
bekannt sein;
• Ein Backup sollte täglich erstellt
werden können;
• Alle Verbindungen müssen ver-
schlüsselt werden, und eine
2-Faktoren-Authentifizierung sollte
die Zugriffe auf die Daten auf die
berechtigen Personen beschränken.

Datenschutz
CORONA
Sachverhaltsabklärung in Sachen meineimpfungen.ch

Bereits Jahre vor der Pandemie wurde die von einer Stiftung betriebene elektroni-
sche Impfplattform meineimpfungen.ch ins Leben gerufen und unter anderem vom
Bundesamt für Gesundheit (BAG) finanziell unterstützt. Die Plattform war als elek-
tronische Alternative des gängigen Impfbüchleins angedacht.
Im Kontext der COVID-19-Pandemie erhielt die Plattform einen erheblichen
Zuwachs an Nutzerinnen und Nutzern. Dies mitunter aufgrund bereitgestellter
Schnittstellen zu der vom BAG propagierten Applikation für die Anmeldung der Impf-
willigen. Die Stiftung entwickelte und betrieb zudem im Auftrag des BAG ein spezi-
fisches Modul für die Dokumentation der COVID-19-Impfung (myCOVIDvac).
Ende März 2021 wurde der Beauftragte mit den Ergebnissen einer journalisti-
schen Recherche konfrontiert, welche auf mögliche schwerwiegende Sicherheits-
und Datenschutzmängel bei der Plattform meineimpfungen.ch hinwies. Nach Rück-
sprache mit dem Nationalen Zentrum für Cybersicherheit (NCSC) hat der Beauf-
tragte innert Tagesfrist eine formelle Sachverhaltsabklärung eröffnet und der
Stiftung die sofortige Einstellung des Betriebs empfohlen. Bei Abschluss des
Geschäftsjahres war das Verfahren noch pendent und eine Wiederaufnahme des
Betriebs der Plattform noch nicht absehbar.
Weiter hat der EDÖB in Absprache mit den Datenschutzbehörden der Kantone
darauf hingewirkt, dass weitere Plattformen, die Private im Kontext mit der Pande-
miebekämpfung im Auftrag oder mit Empfehlung der Gesundheitsbehörden von
Bund und Kantonen betreiben, näher überprüft werden.

Datenschutz
CORONA
Der Staat und Private, die staatliche nicht zugemutet werden kann. Mit
Aufgaben erfüllen, dürfen Differen- Blick auf die Art der Bearbeitung
Datenschutzrechtliche
zierungen aufgrund des Impfstatus betonte der EDÖB schliesslich, dass
Herausforderungen mit
nur gestützt auf eine entsprechende Personen, die nicht in der Lage oder
Blick auf mögliche Erleich-
gesetzliche Grundlage vornehmen. nicht willens sind, einen Impfnach-
terungen für geimpfte
Demgegenüber sind unter Privaten weis auf dem Smartphone vorzu-
Personen
solche Differenzierungen vor dem zeigen, zumutbare Alternativen zur
Mit dem Verfügbarwerden von Impfun- Hintergrund der Vertragsfreiheit digitalen Bearbeitung der erwähnten
gen gegen das COVID-19-Virus setzte grundsätzlich auch ohne explizite Personendaten unter vergleichbaren
eine öffentliche Diskussion über die Auf- Rechtsgrundlage möglich. Bedingungen anzubieten sind.
hebung von Verboten und die Freiheit Machen Private den Zugang Dieser letzte Aspekt ist für
einschränkenden Massnahmen zu zu Gütern oder Leistungen vom den Beauftragten von besonderer
Gunsten von Geimpften ein. Der EDÖB Impfstatus ihrer Kundschaft oder Bedeutung, weil davon auszu-
sprach sich seit Dezember 2020 öffent- Gäste abhängig, bearbeiten sie dabei gehen ist, dass die systematische
lich dafür aus, dass die mit Erleichterun- regelmässig Gesundheitsdaten ihrer Personendatenbearbeitung durch
gen für Geimpfte einhergehende Bear- Mitbürgerinnen und Mitbürger, was Private im Kontext der Pandemie die
beitung von Gesundheitsdaten durch je nach Umständen, zu Persönlich- informationelle Selbstbestimmung
Staat und Wirtschaft nach klaren Vorga- keitsverletzungen führen kann. Der der Bevölkerung über die aktuelle
ben des öffentlichen Rechts erfolgen Beauftragte stellte Situation hinaus prägen wird.
muss und nicht zu einer faktischen sich deshalb bereits zu
Smartphone-Tragpflicht führen darf. Beginn der öffentlichen
Diskussion wie auch in
Mit der Perspektive auf eine Impfung den erwähnten Anhö-
gegen das COVID-19-Virus setzte rungen auf den Standpunkt, dass
in der zweiten Welle der Pandemie für diesen Fall gesetzliche Vorgaben
eine öffentliche Diskussion über die geschaffen werden sollten. Er wies
Aufhebung von Verboten und die zudem auf die datenschutzrecht-
Freiheit einschränkenden Mass- lichen Anforderungen hin, deren
nahmen zu Gunsten von Geimpften Erfüllung Private sicherzustellen
ein. Wie diese aus rechtlicher Sicht haben, sofern sie den Zugang zu
umzusetzen wäre, haben die Staats- Gütern oder Leistungen von der
politischen Kommissionen beider Offenlegung eines Testresultats
Räte unter Anhörung des Beauftra- oder eines Impfnachweises abhängig
gen erörtert (siehe dazu die Medien- machen wollen (siehe dazu unsere
mitteilung SPK-S vom 23.02.2021). Kurzmitteilung vom 22.01.2021).
So muss die Beschaffung und
Weiterbearbeitung der Personen-
daten im Sinne der Verhältnismäs-
sigkeit geeignet sein, den verfolgten
Zweck, d.h. den Schutz vor Über-
tragung und Erkrankung, zu erfüllen.
Sodann ist auf die Einforderung
von Gesundheitsdaten als Voraus-
setzung für den Zugang zu Gütern
oder Leistungen abzusehen, wenn
deren Verzicht den Betroffenen

Datenschutz
CORONA
barer) Eintrag auf einer einschlägigen Forderungen zur datenschutzrecht-
Plattform angeboten. Die vielfältigen lichen Ausgestaltung decken sich im
Datenschutzkonforme
Möglichkeiten wurden jedoch nicht Wesentlichen mit der Haltung des
U msetzung des COVID-19-
alle den datenschutzrechtlichen Europäischen Datenschutzausschus-
Zertifikats
Anforderungen gerecht, was den ses (EDSA) und des Europäischen
Angesichts des Bedürfnisses, für Aus- EDÖB zu aufsichtsrechtlichen Inter- Datenschutzbeauftragten (EDSB)
landreisen eine erfolgte COVID-19- ventionen veranlasste (s. Box zu zum «Digitalen Grünen Pass», der im
Impfung, eine durchgemachte Erkran- «meineimpfungen.ch»). EU-Raum für den grenzüberschrei-
kung oder ein negatives Testresultat Im März 2021 hat der Bundes- tenden Verkehr eingeführt werden
nachweisen zu können, hat das Bundes- gesetzgeber mit dem neuen Artikel soll. Darüber hinaus hat der EDÖB
parlament im März 2021 eine Gesetzes- 6a des COVID-19-Gesetzes ein gegenüber der Projektgruppe daten-
bestimmung für ein einheitliches, fäl- einheitliches und international schutzrechtliche Vorgaben für eine
schungssicheres und international aner- anerkanntes COVID-19-Zertifikat datensparsame Ausgestaltung der
kanntes COVID-19-Zertifikat geschaffen. eingeführt. In dieser Bestimmung Zertifikate für allfällige weitere Ver-
Der Beauftragte begleitet die Umset- werden die Voraussetzungen für wendungszwecke im Inland formu-
zungsarbeiten des Bundesamtes für die Impf-, Test- und Genesungs- liert. Für solche weiteren Verwen-
Gesundheit (BAG) im Rahmen seiner auf- nachweise festgehalten. Demnach dungszwecke sollen gemäss der vom
sichtsrechtlichen Beratungspflicht. muss ein entsprechender Nachweis Beauftragten vertretenen Meinung
persönlich, fälschungssicher, unter öffentlich-rechtliche Grundlagen
Im Verlauf der zweiten Welle der Einhaltung des Datenschutzes geschaffen werden, die sich nicht nur
Pandemie zeichnete sich das Bedürf- überprüfbar und so ausgestaltet sein, an Behörden, sondern auch Private
nis ab, vorab für den internationalen dass nur eine dezentrale oder lokale richten (s. vorangehenden Text).
Personenverkehr, eventuell aber Überprüfung der Authentizität und
auch weitere Verwendungsmög- Gültigkeit von Nachweisen mög-
lichkeiten, für geimpfte, genesene lich ist. Sodann soll der Nachweis
oder negativ auf das Coronavirus möglichst für die Ein- und Ausreise
getestete Personen die entspre- in andere Länder verwendet werden
chenden Bescheinigungen in zuver- können. In der Vorgabe des Gesetz-
lässiger Art und Weise vorbringen gebers, wonach das Zertifikat künf-
zu können. Spezifische gesetzliche tig nicht nur digital, sondern auch
Regelungen über Form und Inhalt auf Papier nutzbar sein soll, findet
eines Impfausweises bestanden auch die Forderung des Beauftragten
bis dahin in der Schweiz keine. So Niederschlag, dass das elektronisch
wurden auch die Nachweise über verfügbare Zertifikat nicht zu einer
eine erfolgte COVID-19-Impfung faktischen Smartphone-Tragpflicht
oder ein Testresultat in Papierform, führen darf.
per SMS, E-Mail oder als (verifizier- Weiter sieht die Bestimmung vor,
dass der Bund den Kantonen und
Dritten ein System für die Erteilung
von Nachweisen zur Verfügung
stellen kann. Zur Entwicklung eines
solchen Systems hat das BAG am
29. März 2021 eine Projektgruppe
eingesetzt, die der EDÖB in Aus-
übung seiner aufsichtsrechtlichen
Beratungspflicht begleitet. Seine

Datenschutz
Elektronisches Patienten- jedem einzelnen Dokument selbst die beiden Gemeinschaften aufgefor-
dossier – Erste Stammge- verwalten können. Richtig umge- dert darzulegen, welche wesentlichen
meinschaften zertifiziert setzt werden müssen somit Vertrau- Datenschutzrisiken sie im Zusammen-
lichkeitsstufen für jedes Dokument, hang mit dem EPD bislang identifiziert
In allen Regionen der Schweiz steht die Zuweisung von Benutzerrollen haben, mit welchen Massnahmen sie
das elektronische Patientendossier an einzelne Gesundheitsfachperso- diesen Herausforderungen begegnen
(EPD) in den Startlöchern. Der EDÖB hat nen, Stellvertretungsregelungen und und wie sie diesbezüglich ihre daten-
hierbei die Entwicklung der Zertifizie- die Einstellung, dass ein Zugriff in schutzrechtliche Verantwortung
rungsverfahren verfolgt. Sodann hat er Notfallsituationen nur mit vorgän- wahrnehmen.
Kontakt mit neuen Stammgemein- giger Berechtigung der Wichtigster Ansprechpartner für
schaften aufgenommen und bei behandelnden Gesund- den Beauftragten werden die Daten-
bereits bestehenden Kontakten den heitsfachperson möglich schutz- und Datensicherheitsverant-
Austausch intensiviert. Inzwischen sein soll. Der EDÖB hat wortlichen sein, welche die Stamm-
wurden die ersten Stammgemein- auch darauf ein Augen- gemeinschaften gestützt auf die EPDV
schaften zertifiziert. merk gesetzt und wird die Regelung einsetzen müssen.
Das EPD ist ein virtueller Sammelort der Zugriffsrechte insbesondere nach
von Links, mit welchem Privatperso- den abgeschlossenen Zertifizierungs-
nen über ihre persönlichen Gesund- verfahren der Stammgemeinschaften
heitsdaten, wie beispielsweise Arzt- weiter beobachten, sodass Patientin-
berichte oder Rezepte, digital verfügen nen und Patienten auch nach Erteilung
können. Diese Gesundheitsdaten sind ihrer Einwilligung die Kontrolle über
besonders schützenswerte Personen- die Daten behalten. Der EDÖB steht
daten, deren Bearbeitung eine aus- sodann auch weiterhin im Austausch
drückliche Einwilligung der Betroffe- mit dem BAG, den Anbietern der tech-
nen voraussetzt. Dies bedingt wiede- nischen Infrastruktur und kantonalen
rum eine angemessen klare und voll- Datenschutzbehörden. U.a. ermög-
ständige Information der Patientinnen licht dieser Kontakt, Kompetenzfra-
und Patienten. Für den EDÖB ist die gen zu klären, die sich daraus ergeben,
saubere Umsetzung dieses Aspekts dass gewisse medizinische Leistungs-
von besonderer Bedeutung. So konnte erbringer wie Spitäler der kantona-
er im Berichtsjahr bereits entspre- len Datenschutzaufsicht unterstehen,
chende Dokumente von Stammge- während der EDÖB die Ärztinnen und
meinschaften sichten. Stammgemeinschaften beaufsichtigt.
Das am 15. April 2017 in Kraft Geplant war, dass die Stammge-
getretene Bundesgesetz über das elek- meinschaften im April 2020 ihren
tronische Patientendossier (EPDG) Betrieb aufnehmen. Jedoch hat sich der
sieht vor, dass Patientinnen und Pati- geplante Starttermin aufgrund länger
enten sämtliche Zugriffsrechte zu andauernder Zertifizierungsverfah-
ren verzögert. Mitte November 2020
wurde mit «eHealth Aargau (SteHAG)»
die erste Stammgemeinschaft gemäss
EPDG zertifiziert. Mit der Stammge-
meinschaft Südost des Vereins «eSA-
NITA» konnte Ende Dezember 2020
ein zweiter EPD-Anbieter die Zerti-
fizierung abschliessen. Der EDÖB hat

Datenschutz
CORONA
auf ihrem Smartphone aktiviert dokumentiert. Dies erlaubte es
hatten und sich in der Nähe einer unseren Spezialisten, die Applika-
Proximity Tracing-App des
Person mit einem ebensolchen Gerät tion und deren Systemarchitektur
Bundes (SwissCovid-App)
mit dieser App befunden hatten, unter Einschluss der Umsetzung
Bereits zu Beginn der Corona-Pandemie die später positiv auf das Corona- im Backend-Server technisch zu
wurde der EDÖB von den Entwicklern des virus getestet wurde. Im Rahmen überprüfen. Im Mai stellte der EDÖB
Proximity Tracing-Systems, das später seiner Erstbeurteilung stellte der u.a. gestützt auf eine Datenschutz-
zur SwissCovid-App des Bundes führte, EDÖB fest, dass das Projekt mit dem Folgenabschätzung fest, dass die
um eine beratende Mitwirkung an ihren geplanten Verzicht auf Erhebung von datenschutzrechtlichen Voraus-
Arbeiten angegangen. Das System Standortdaten, der Verwendung von setzungen für die Durchführung
ermittelt via Bluetooth-Funktechnik temporären Identifizierungscodes eines Pilotbetriebs gegeben waren
epidemiologisch relevante Kontakte und der Freiwilligkeit der Teilnahme (s. Stellungnahme des EDÖB vom
zwischen Mobiltelefonen und zeichnet wichtige Anliegen zum Schutz der 13. Mai 2020).
sie lokal auf. Der EDÖB hat die Entwick- Privatsphäre und der informatio- Nach Würdigung eines im Juni
lung der SwissCovid-App zunächst in nellen Selbstbestimmung berück- veröffentlichten Berichts des Natio-
technischer Hinsicht und später auch sichtigte. nalen Zentrums für Cybersicherheit
mit Blick auf die Gesetzgebung eng In der Folge entwickelten die (NCSC) bekräftige der EDÖB diese
begleitet. EPFL und ihre Partner die Applika- Einschätzung. Er unterstrich, dass
tion unter der Bezeichnung «Decen- die von datenschutzaffinen Kreisen
Am 21. März 2020, wenige Tage tralized Privacy Preserving Proxi- und Medienberichten kritisierte
nachdem in der Schweiz die ausser- mity Tracing» (DP-3T) weiter. Diese Nutzung der Programmierschnitt-
ordentliche Lage im Sinne des Arbeiten erfolgten unabhängig vom stellen (sog. API-Schnittstellen,
Epidemiengesetzes (EpG) ausgeru- europäischen Projekt «Pan-Euro- application programming inter-
fen worden war, wurde der EDÖB pean Privacy-Preserving Proximity face) von Google und Apple für die
von den Entwicklern einer «Covid Tracing» (PEPP-PT) und brachten SwissCovid-App im Vergleich mit
Proximity Tracing-App» kontaktiert in datenschutzrechtlicher Hinsicht der übrigen Alltagsnutzung dieser
und um eine datenschutzrechtliche Verbesserungen mit sich, nament- Schnittstellen durch die Bevöl-
Beurteilung gebeten. Die Projekt- lich aufgrund des fortan verfolgten kerung keine signifikant höheren
verantwortlichen aus dem Umfeld dezentralen Ansatzes der Datenbe- Risiken mit sich bringt.
der École polytechnique fédérale arbeitung. Als vorteilhaft beurteilten Nachdem der Beauftragte
de Lausanne (EPFL) und aus der wir namentlich, dass der auch beim gegenüber der Verwaltung vergeb-
Privatwirtschaft bezweckten mit der dezentralen Ansatz unverzichtbare lich forderte, für die Applikation
Applikation die Alarmierung von zentrale Server nur anonyme Schlüs- nach Massgabe von Art. 17 DSG
Personen, welche die Covid-App sel erhalten würde und epidemio- die Schaffung einer hinreichend
logisch relevante Annäherungen nur konkreten Rechtsgrundlage im Epi-
lokal auf den Smartphones regist- demiengesetz einzuleiten, konnte
riert werden sollten. er die zuständigen parlamentari-
Im weiteren Verlauf des Projekts schen Kommissionen dahingehend
hat der Bund die Einführung eines beraten, eine solche zu schaffen.
auf DP-3T basierenden, offiziel-
len Tracing-Systems beschlossen.
Das federführende Bundesamt für
Gesundheit (BAG) hat uns fortan
in die Umsetzungsarbeiten für die
zukünftige SwissCovid-App des
Bundes einbezogen und umfassend

Datenschutz
Deren Verankerung erfolgte über die

dringliche Einführung eines neuen
Artikels 60a im Epidemiengesetz per
25. Juni 2020.
Gemäss dieser Bestimmung ist
die Verwendung der SwissCovid-
App freiwillig. Einerseits war sich
der Gesetzgeber bewusst, dass ein
Obligatorium politisch schwer
vermittelbar und – angesichts der
Möglichkeit, die Bluetooth-Funk-
tion jederzeit zu deaktivieren – auch
kaum durchsetzbar gewesen wäre.
Andererseits hat das Parlament
ein Zeichen gegen die Schaffung
einer faktischen Smartphone-Trag-
pflicht gesetzt, indem es Behörden,
Unternehmen und Einzelpersonen
verboten hat, jemanden aufgrund
der Verwendung oder Nichtverwen-
dung der App zu bevorzugen oder zu
benachteiligen.
Am 25. Juni 2020 wurde die
SwissCovid-App in den App-Stores
von Apple und Google lanciert.
Während Teile der Bevölkerung der
Applikation auch Monate später ein
erhebliches Misstrauen hinsichtlich
ihrer Datenschutzkonformität ent-
gegenbringen, erheben andere Stim-
men den Vorwurf, der Gesetzgeber
habe deren Wirksamkeit durch die
Berücksichtigung des Datenschutzes
zu sehr eingeschränkt. Im Span-
nungsfeld dieser gegensätzlichen
Haltungen vermochte das BAG die
Verbreitung der Applikation bisher
nicht über die zwar beachtliche –
optimistische Erwartungen indessen
verfehlende – Grössenordnung von
rund drei Millionen Downloads und
1,7 Millionen aktive Nutzende zu
steigern.

Datenschutz
CORONA
Mit seiner Intervention konnte aufgrund ihres Alters, ihrer Gesund-
der EDÖB dazu beitragen, dass der heit oder wegen Behinderungen
Der gesetzliche Rahmen der
Bundesrat das per 22. Juni 2020 gar nicht in der Lage sind. Diesen
Kontaktdatenerfassung
eingeführte Kontaktdaten-Obli- Menschen haben die privaten Be
Mit seinen Interventionen hat der EDÖB gatorium auf eine hinreichend triebe nebst digitalen auch alter-
dazu beigetragen, dass die Erhebung bestimmte Rechtsgrundlage stellte. native Erhebungsmethoden wie
von Kontaktdaten zur Rückverfolgung Mit der COVID-19-Verordnung das Ausfüllen von Papierformularen
von Ansteckungen mit COVID-19, das besondere Lage hat er den Verwen- zu zumutbaren Konditionen zur
sogenannte Contact Tracing, auf hinrei- dungszweck der gesammelten Daten Verfügung zu stellen.
chend bestimmte Rechtsgrundlagen eingegrenzt (Übermittlung an die Seit dem Sommer 2020 haben
gestellt wurde und dabei die Grundsätze zuständige kantonale Behörde zum sich schliesslich Hinweise auf Pro-
des Datenschutzgesetzes eingehalten Zweck des Contact Tracing im Falle bleme juristischer und technischer
werden. einer Infektion), die Anforderungen Natur bei der Verwendung bestimm-
an die Aufbewahrung (Wahrung ter Applikationen für die Kontakt-
Als es am 11. Mai 2020 zur Wie- der Vertraulichkeit) und die auto- datenerfassung gehäuft. Dies hat den
dereröffnung der Restaurants, matische Löschung nach 14 Tagen EDÖB veranlasst, in Bezug auf eine
Bars, Diskotheken, Fitnesszentren geregelt sowie die auf Bundesebene in Teilen der Schweiz stark verbrei-
und weiterer öffentlich zu erfassenden Datenkategorien tete App eine Sachverhaltsabklärung
zugänglicher Einrich- festgelegt (Name, Vorname, Wohn- einzuleiten. Der EDÖB ist bestrebt,
tungen kam, haben ort und Telefonnummer). die Untersuchung vor der nächsten
viele Betriebe im Rah- Um die Effizienz der Kontakt- Wiedereröffnung der Gastronomie
men der vom Bundes- rückverfolgung zu verbessern, abzuschliessen, was angesichts der
rat angeordneten Schutzkonzepte haben einige Kantone die Betreiber Formalitäten des Verfahrens eine
die Erhebung von Kontaktdaten zur der Gaststätten angewiesen, für grosse Herausforderung darstellt.
Rückverfolgung von Ansteckungen die Kontaktdatenerhebung eine
vorgesehen. Da für die Erhebung bestimmte Applikation zu verwen-
und Weiterbearbeitung dieser Daten den. Abgesehen vom Hinweis auf
zunächst keine gesetzliche Grund- das Erfordernis einer klaren (kanto-
lage bestand, hat sich der EDÖB nal-)rechtlichen Grundlage hat der
öffentlich dafür ausgesprochen, EDÖB betont, dass die entsprechen-
dass diese vorderhand nur freiwil- den Applikationen eine erkennbare,
lig erfolgen durften (s. Mitteilung zweckgebundene und
«Corona-Schutzkonzepte»). sichere Datenbearbeitung
gewährleisten müssen.
Auch hat er wiederholt
darauf hingewiesen, dass
Private ihren Kunden keine faktische
Smartphone-Tragpflicht auferlegen
dürfen. Zum einen gibt es Leute, die
nicht willens sind, ein mit einem
bestimmten Programm bestücktes
Smart Device vorzuzeigen, weil sie
sich vor einem Zugriff auf die dort
vorhandenen Daten ihrer digitalen
Lebensführung fürchten und zum
anderen gibt es Personen, die dazu

Datenschutz
1.6 Arbeit
Zulässigkeit von Background spielsweise bei Lehrpersonen der Fall

Checks im Bewerbungsver sein dürfte, erscheint eine umfassende
fahren Sicherheitsprüfung als unverhältnis-
mässig.
Vermehrt bieten insbesondere auslän- Unabhängig von der Frage der Ver-
dische Firmen interessierten Schweizer hältnismässigkeit ist der Arbeitgeber
Arbeitgebern die Möglichkeit, Daten- aufgrund des Transparenzgebots ver-
banken nach Informationen über Stel- pflichtet, die betroffene Person über
lenbewerberinnen und -bewerber zu den Background Check und die dabei
durchforsten und anschliessend eine erfolgenden Datenbear-
Anstellungsempfehlung abzugeben. Der beitungen und Auswer-
EDÖB wurde mehrfach mit Blick auf die tungen zu informieren.
Zulässigkeit von sogenannten Back- Erst dies stellt sicher, dass
ground Checks kontaktiert. die betroffene Person die
Gemäss Art. 328b OR darf der Arbeit- Rechtmässigkeit der Datenbearbeitung
geber nur diejenigen Daten bearbeiten, und Richtigkeit der Daten überprüfen
die für das vorliegende Bewerbungs- bzw. ihre Rechte geltend machen kann.
verfahren notwendig sind. Dabei muss Im Lichte des Transparenzgebots
er stets auch die Datenbearbeitungs- unzulässig sind somit heimlich durch-
grundsätze des DSG, insbesondere das geführte Background Checks, die den
Verhältnismässigkeitsprinzip und das betroffenen Personen nicht offenge-
Transparenzgebot, beachten. legt werden.
Das Verhältnismässigkeitsprin-
zip verlangt, dass das Durchforsten
von Datenbanken und die anschlies-
sende Auswertung der eingesehe-
nen Daten geeignet, notwendig und
zumutbar sind, um die Qualifikation
der Kandidatinnen und Kandidaten
zu überprüfen. Eine mehr oder weni-
ger ausgedehnte Personensicherheits-
prüfung kann in Bereichen, in denen
die Arbeitnehmenden Zugang zu sen-
siblen Informationen haben, geeig-
net, notwendig und zumutbar sein,
um gewisse Risiken einzudämmen,
so z.B. im Banken- oder Sicherheits-
sektor. Wo hingegen keine besonde-
ren Risiken vorliegen, wie dies unter
Vorbehalt besonderer Umstände bei-

Datenschutz
CORONA
die Informationssicherheit und den in der Schweiz zugreifen. Solange
Datenschutz verantwortlich und jedoch der Arbeitnehmende aus
somit an die Datenbearbeitungs- seinem Homeoffice im Ausland
Aspekte im Homeoffice
grundsätze des DSG gebunden. Im per Virtual Private Network (VPN)
Im Berichtsjahr wurde für zahlreiche Sinne dieser Ausführungen obliegt auf den Firmenserver zugreift und
Angestellte die Verlegung des Arbeits- es deshalb dem Arbeitgeber, eine Personendaten nur in dem Umfang
platzes in die eigenen vier Wände ange- Software auszuwählen, welche bearbeitet, wie er es normalerweise
ordnet. Entsprechend beschäftigte sich die Sicherheit der bearbeiteten auch in den Büroräumlichkeiten
der EDÖB vermehrt mit Fragen rund um Personendaten in hinreichender des Unternehmens tun würde und
die Verwendung verschiedener Video- Weise gewährleistet. Unter dem insbesondere die Personendaten
konferenzlösungen, die Überwachung Titel «Massnahmen für eine sichere niemandem im Ausland zugänglich
vom Mitarbeitenden sowie Zugriffe auf Nutzung von Audio- und Video macht, handelt es sich nach Ansicht
Schweizer Firmenserver aus dem Aus- konferenzlösungen» hat der EDÖB des EDÖB nicht um eine grenz
land. auf seiner Webseite einen Leitfa- überschreitende Datenbekanntgabe
den publiziert, der die wichtigsten im Sinne des DSG. Unabhängig
Die Frage, unter welchen Vorausset- datenschutzrechtlichen Vorgaben davon, ob sich Mitarbeitende im
zungen Homeoffice für Angestellte zusammenfasst, die bei der Auswahl Homeoffice im Ausland oder in der
eingeführt werden kann, beantwor- der entsprechenden Plattformen Schweiz befinden, muss die Ver
tet sich nach Massgabe des Arbeits- beachtet werden müssen. traulichkeit von Personendaten in
rechts. Aus datenschutzrechtlicher Mehrere Anfragen aus der Bevöl- jedem Fall gewährleistet sein.
Perspektive ergeben sich aus dieser kerung bezogen sich auf die
Konstellation allerdings einige nicht Befürchtung, im Homeoffice einer
unerhebliche Fragestellungen, etwa permanenten Über-
im Zusammenhang mit dem Einsatz wachung durch den
digitaler Kommunikationsmittel Arbeitgeber ausgesetzt
für Telefon- und Videokonferenzen zu sein. Der EDÖB ist
(s. Kap. 1.1, Box zu entsprechendem sich bewusst, dass je
Leitf aden) oder mit der Verwendung nach verwendeter IT-Lösung das
von Plattformen für den Datenaus- Verhalten der Arbeitnehmenden im
tausch. Selbst wenn sich die Pflich- Homeoffice auf einfache Art und
ten der Arbeitnehmenden punktuell Weise permanent überwacht werden
verschieben können, bleibt der könnte – was jedoch im Lichte des
Arbeitgeber auch in Krisenzeiten für DSG unzulässig und auch gestützt
auf Normen des Arbeitsgesetzes aus-
drücklich untersagt ist.
Schliesslich sah sich der EDÖB
mehrmals mit der Frage konfrontiert,
ob es sich um eine Datenbekannt-
gabe ins Ausland handelt, wenn
Arbeitnehmende im Homeoffice im
Ausland arbeiten – sei dies in einer
Ferienresidenz oder im Falle von
Grenzgängern, im eigenen Zuhause
– und von dort auf den Firmenserver

Datenschutz
CORONA
temperatur durch die Einnahme von
Medikamenten auf einfache Art und
Weise künstlich gesenkt werden.
Vorgaben zur Früherkennung
Ferner weisen nicht alle Virusträger
von Corona im Arbeits
Fiebersymptome auf. So
bereich
erscheint die flächende-
Die Corona-Pandemie warf mit Blick auf ckende Temperaturmes-
die Arbeitsverhältnisse diverse Fragen sung nur bedingt geeig-
zur Datenschutzkonformität auf, so net, um Ansteckungen
etwa bezüglich der Zulässigkeit von am Arbeitsplatz zu verhindern. Der
Temperaturmessungen am Arbeitsplatz Arbeitgeber musste sich alsdann fra-
oder der internen Kommunikation über gen, ob es nicht andere Massnahmen
festgestellte Ansteckungen. Regelmäs- gibt, die weniger einschneidend sind
sig stellte sich dabei die Frage, ob die und die zum gleichen Ziel führen
entsprechenden Massnahmen verhält- könnten. Der EDÖB hat in diesen
nismässig sind. Fällen jeweils vorgeschlagen, die
Mitarbeitenden zu verpflichten, sich
Der Arbeitgeber darf im Rahmen des beim Auftreten der für eine Corona-
Arbeitsverhältnisses nur diejenigen Infektion typischen Symptome
Daten über die Arbeitnehmenden sofort bei einer Vertrauensperson im
bearbeiten, die für die Durchführung Betrieb zu melden. Der EDÖB hat
des Arbeitsverhältnisses notwendig sich bei der Beurteilung dieser Frage-
sind. Der Verhältnismässigkeits- stellung auch an den Empfehlungen
grundsatz gemäss DSG muss dabei der Swiss National COVID-19 Sci-
stets berücksichtigt werden. So muss ence Task Force orientiert, die von
jede Datenbearbeitung geeignet, Temperaturmessungen als isolierte,
notwendig und zumutbar sein, um präventive Massnahme ausdrücklich
das angestrebte Ziel – in diesem Fall abgeraten hat.
die Vermeidung von Infektionen am Regelmässig wurde auch die Frage
Arbeitsplatz – zu erreichen. aufgeworfen, wie ein Arbeitgeber
Mit Blick auf Temperaturmes- einen Ansteckungsfall der übrigen
sungen am Arbeitsplatz stellte sich Belegschaft mitteilen soll bzw. darf –
die Frage, ob diese Massnahme tat- dies mit dem Ziel, dass sich die-
sächlich geeignet ist, um die Anste- jenigen Mitarbeitenden, die mit der
ckungen zu begrenzen. Einerseits infizierten Person Kontakt hatten,
kann eine erhöhte Temperatur ein in Quarantäne begeben können.
Symptom einer anderen Krankheit Der Arbeitgeber hat gegenüber den
sein, andererseits kann die Körper- Arbeitnehmenden eine Fürsorge-
pflicht, welche die Bearbeitung die-
ser Information gebietet, auch wenn
die Kontaktrückverfolgung grund-
sätzlich den zuständigen kantonalen
Behörden (Kantonsarzt) obliegt und
nicht den jeweiligen Arbeitgebern.

Datenschutz
1.7 Versicherungen
Einführung des Hinweis- und Meldegründe sind versicherungs- Die Anregungen des EDÖB wurden
Informationssystems HIS in vertrags- oder haftpflichtrechtlicher, mehrheitlich umgesetzt. Namentlich
der schweizerischen Versi- nicht jedoch strafrechtlicher Natur. Ob wurden die Gründe für eine Meldung
cherungswirtschaft eine Person im HIS gemeldet ist, kann im HIS weiter präzisiert. Letztlich
eine Versicherungsgesellschaft nur wird sich in der Praxis weisen müssen,
Der EDÖB hat den Schweizerischen abfragen, wenn die Person in einem inwieweit das HIS zur Verhinderung
Versicherungsverband im Hinblick auf neuen Schadenfall beteiligt ist, nicht von Versicherungsmissbrauch beitra-
die Einführung des Hinweis- und Infor- aber ausserhalb eines Schadenbearbei- gen kann, wie gut sich die Versiche-
mationssystems HIS beraten, einer tungsprozesses, namentlich vor einem rungsgesellschaften an die reglemen-
Datenbank für teilnehmende Versiche- Vertragsabschluss mit der betreffenden tarischen Vorgaben halten und ob aus
rungsgesellschaften zur Verhinderung Person. Im HIS eingetragen werden datenschutzrechtlicher Sicht künftig
von Versicherungsmissbrauch. Der nicht nur die versicherte Person, son- allenfalls Anpassungen notwendig
EDÖB hat betont, dass sämtliche dern auch allenfalls beteiligte andere werden.
Datenbearbeitungen im Zusammen- Personen wie «Anstifter» oder «Gehil-
hang mit dem Betrieb des HIS dem fen».
datenschutzrechtlichen Grundsatz der Der EDÖB hat im Rahmen seiner
Verhältnismässigkeit genügen müssen. Beratung insbesondere betont, dass
Die Beratung des EDÖB zum HIS sämtliche Datenbearbeitungen im
wurde bereits im Berichtsjahr Zusammenhang mit dem HIS dem
2017/2018 initiiert (s. 25. TB, Kap. datenschutzrechtlichen Grundsatz
1.6.2) und nun fortgesetzt. der Verhältnismässigkeit zu genügen
Die dem HIS angeschlossenen haben. So muss ein Eintrag in das HIS
schweizerischen Versicherungsgesell- geeignet und erforderlich sein, um
schaften melden darin Personen, bei Versicherungsmissbrauch zu verhin-
denen anlässlich der Schadenerledi- dern und aufzudecken, und die damit
gung eine reglementarisch definierte einhergehende Beeinträchtigung der
Unregelmässigkeit – zum Beispiel Privatsphäre muss der betroffenen Per-
eine Anzeigepflichtverletzung nach son auch zugemutet werden können.
Art. 6 des Versicherungsvertragsgeset- Die Gründe für eine Meldung sind eng
zes (VVG) – festgestellt worden ist. In zu halten und reglementarisch klar zu
zukünftigen Schadenfällen erscheint definieren, und sie müssen transparent
bei einer Abfrage der betreffenden gemacht werden. Eine Meldung darf
Person im System ein entsprechen- es der Versicherungsgesellschaft zwar
der Hinweis auf diese Unregelmässig- ermöglichen, in einem neuen Scha-
keit, so dass die Versicherungsgesell- denfall das Leistungsbegehren der ver-
schaft ihre Leistungspflicht im neuen sicherten Person vertieft zu prüfen, sie
Schadenfall vertieft prüfen kann. Die darf jedoch nicht zu einer Vorverur-
teilung dieser Person führen. Sodann
müssen Vorkehrungen getroffen wor-
den sein, um die Richtigkeit der Per-
sonendaten sicherzustellen. Versiche-
rungsgesellschaften, die sich nicht an
das Reglement halten und mehrfach
ungerechtfertigte Eintragungen vor-
nehmen, sollten eruiert und sanktio-
niert werden können.

Datenschutz
Weitergabe von Mitglieder- Personen keine Daten an Sponsoren

daten an Sponsoren weitergeben. Damit eine Datenwei-
tergabe rechtmässig erfolgen kann,
Der EDÖB fordert das Vorliegen einer müssen alle betroffenen Personen
gültigen Einwilligung für die rechtmäs- angemessen und vorgängig über die
sige Datenweitergabe an Sponsoren. beabsichtigte Datenweitergabe (d.h.
Vereinsmitglieder müssen der Daten- welche Daten an welche Empfänger für
weitergabe widersprechen können, welchen Zweck weitergegeben wer-
ohne dadurch einen unverhältnismäs- den sollen) informiert werden und
sigen Nachteil zu erleiden. dem zustimmen können. Wenn die
Im Berichtsjahr erhielt der EDÖB ver- Zustimmung in Form eines Opt-out
schiedene Anfragen betreffend die erfolgt, ist es unerlässlich, dass die
Weitergabe von Adressdaten von Ver- Mitglieder eine einfache Möglichkeit
einsmitgliedern an Sponsoren für haben, der Weitergabe ihrer Daten zu
Werbezwecke. Es stellte sich die Frage, widersprechen, ohne dadurch einen
ob es zulässig ist, einen höheren Mit- unverhältnismässigen Nachteil zu
gliederbeitrag von denjenigen Mitglie- erleiden. Sponsoren müssen wiede-
dern zu erheben, die der rum vertraglich sicherstellen, dass
Weitergabe ihrer Daten sie nur die Adressdaten von Vereins-
widersprochen haben. mitgliedern bearbeiten, welche ihnen
Wir haben die betroffe- gestützt auf eine wirksame Einwilli-
nen Personen und Vereine gung weitergegeben worden sind.
darauf hingewiesen, dass von einem
unverhältnismässigen Nachteil auszu-
gehen ist, wenn die Erhöhung des Bei-
trags so hoch ist, dass sich die betrof-
fenen Personen praktisch gezwungen
fühlen, der Datenbekanntgabe zuzu-
stimmen.
Bereits früher wies der EDÖB
Sportverbände und Sponsoren auf
ihre Verantwortung für die Recht
mässigkeit der durch sie durch
geführten Datenbearbeitungen hin
(vgl. 22. Tätigkeitsbericht 2014/2015,
Ziff. 1.8.5). Vereine dürfen ohne die
gültige Einwilligung der betroffenen

Datenschutz
Systematische Verwendung für den Datenschutz mit sich bringt Während der Ämtervorkonsultation
der AHV-Nummer durch die (s. 25. TB, Kap. 1.1.2). Der Experte emp- zur Gesetzesvorlage konnte der Beauf-
Behörden: Das Parlament sagt fahl die Verwendung von sektorspe- tragte mehrere Änderungsvorschläge
Ja zur Gesetzesänderung zifischen Nummern, hielt allerdings erfolgreich einbringen, namentlich
auch fest, dass die angestrebte Daten- die Pflicht für sämtliche zur systema-
Am 18. Dezember 2020 stimmte das schutzwirkung durch diese alleinige tischen Verwendung der AHVN13
Parlament der Änderung des Bundes- Massnahme nicht zu erzielen sei und berechtigten Stellen, Risikoanalysen
gesetzes über die Alters- und Hinter- weitere, aufwändige Massnahmen vorzunehmen sowie ein Verzeichnis
bliebenenversicherung zu. Sie ermäch- wie etwa die Neustrukturierung der über die Datenbanken zu führen, in
tigt einen breiten Kreis von berechtig- Datenbankarchitekturen nötig wären. denen die AHVN13 registriert ist. Wei-
ten Behörden, Organisationen und Im Anschluss an dieses Gutachten ter wurde das Erfordernis des Ausbaus
Personen zur systematischen Verwen- forderte die Kommission für Rechts- der technischen und organisatorischen
dung der 13-stelligen AHV-Nummer fragen des Nationalrats in Massnahmen zur Minimierung der
AHVN13 als eindeutigen Identifikator einem Postulat vom 20. Datenschutzrisiken anerkannt und in
ausserhalb des Sozialversicherungs Oktober 2017 (17.3968) die Gesetzesvorlage aufgenommen
bereichs. Der EDÖB konnte für umfang- den Bundesrat auf, in (s. 27. TB, Kap. 1.7.).
reiche Garantien im Bereich des einem Konzept darzu- Am 7. November 2018 eröffnete
Datenschutzes sorgen. legen, wie den Risiken begegnet wer- der Bundesrat die Vernehmlassung zur
Am 1. Februar 2017 gab der Bundesrat den kann, die mit der Verwendung der Änderung des Gesetzes über die AHV,
dem Eidgenössischen Departement AHVN13 als einziger Personeniden- welche die systematische Verwen-
des Innern (EDI) den Auftrag, eine tifikationsnummer verbunden sind. dung der AHVN13 vorsieht. Die daten-
Konsultation zur systematischen Ver- Zudem sei unter Berücksichtigung der schutzbezogenen Forderungen des
wendung der AHV-Nummer durch Beurteilung des EDÖB aufzuzeigen, EDÖB wurden in der Vorlage berück-
die Behörden von Bund, Kantonen wie der Datenschutz bei der Verwen- sichtigt. Eine Behörde kann Sachda-
und Gemeinden durchzuführen. Eine dung von Personenidentifikations- ten (Name, Vorname, Geburtsdatum
interne Arbeitsgruppe, zu der wir nummern durch Kantone, Gemeinden usw.) mit der AHVN13 verbinden und
nicht eingeladen worden waren, sah und Dritte verbessert werden könne. deren Richtigkeit in der UPI-Daten-
zum damaligen Zeitpunkt keine In seiner Stellungnahme vom 20. bank (Unique Person Identification),
besonderen Gefahren für den Daten- Dezember 2017 erklärte der Bundesrat, die von der Zentralen Ausgleichs-
schutz. Dies obgleich sich sowohl der er sei sich der möglichen Risiken im stelle (ZAS) verwaltet wird, über-
EDÖB als auch die kantonalen Beauf- Zusammenhang mit der Verwendung prüfen. Sie hat jedoch weder Zugriff
tragten aus Datenschutzgründen der AHVN13 bewusst, und er werde auf die übrigen Register, das heisst
bereits gegen den Grundsatz der syste- die Studie Basin und die Anliegen des auf das zentrale Versichertenregister
matischen Verwendung der AHVN13 Beauftragten in seiner Gesetzesvorlage und auf das Leistungsregister der ZAS,
ausgesprochen hatten. berücksichtigen. noch auf die Register anderer Behör-
Gemeinsam mit dem Bundesamt den, in denen Sachdaten geführt wer-
für Justiz (BJ) gab der EDÖB deshalb den. Folglich besteht für die Behörde
bei Prof. David Basin, ordentlicher keine Möglichkeit, Verknüpfungen
Professor für Informationssicherheit zwischen verschiedenen Datenbanken
an der ETH Zürich, eine Risikofol- herzustellen und – naturgemäss sehr
genabschätzung zur systematischen präzise – Persönlichkeitsprofile auf der
Verwendung der AHV-Nummer in Grundlage der AHVN13 anzufertigen.
Auftrag. Das Gutachten vom 27. Sep-
tember 2017 kam zum Schluss, dass
die systematische Verwendung der
AHVN13 nicht unerhebliche Risiken

Datenschutz
Es ist begrüssenswert, dass sämtliche tungsaufgaben betraut sind, sofern das tischen Verwendung der AHNV13
Einheiten von Bund und Kantonen, anwendbare Recht die systematische berechtigt sind und nahm darin Voll-
aber auch die dezentralisierten Ein- Verwendung der AHV-Nummer vor- zugsorgane auf, die Kontrollen im
heiten der Bundesverwaltung sowie sieht. Indes ist die Nutzung der AHVN Zusammenhang mit allgemeinver-
die Personen und Organisationen des zu rein privaten Zwecken ausgeschlos- bindlichen Gesamtarbeitsverträgen
öffentlichen oder privaten Rechts, die sen. Dies gilt auch für den Fall, dass vornehmen.
nicht Verwaltungen angehören, wel- sich die betroffenen Personen mit der Im Verlauf des Gesetzgebungs-
che über solche Datenbanken verfügen, systematischen Verwendung ihrer prozesses wurde der Beauftragte von
zu periodischen Risikoanalysen ver- AHVN13 durch Private den Parlamentskommissionen viel-
pflichtet sind, die insbesondere dem einverstanden erklären. fach angehört und konnte auf diese
Risiko einer unerlaubten Zusammen- Zusätzlich zu den vor- Weise bewirken, dass der Datenschutz
führung von Datenbanken Rechnung genannten Massnahmen zu einem Kernthema der gesetzlichen
tragen. Gestützt auf diese Risikoana- sieht das Gesetz erfreu- Bestimmungen wurde. Die neuen
lysen sind Massnahmen zur Wahrung licherweise auch verbindliche tech- Normen dürften nicht vor Ende 2021
der Sicherheit und des Datenschutzes, nische und organisatorische Mass- in Kraft treten.
die der Risikolage angepasst sind und nahmen zur Vermeidung allfälliger
dem Stand der Technik entsprechen, missbräuchlicher Verwendungen der
zu treffen und umzusetzen. Die im AHV-Nummer vor. Dazu gehört, dass
Gesetzesentwurf aufgeführten Ein- der gesetzlich verankerte Grundsatz
heiten, welche die AHVN13 systema- des Zugangs zu Datenbanken, welche
tisch verwenden, sind im Hinblick auf die AHVN13 enthalten, auf Personen
die Risikoanalyse gehalten, Verzeich- zu beschränken ist, die diese Nummer
nisse zu führen, in denen die entspre- zur Erfüllung ihrer Aufgaben benö-
chenden Datenbanken aufgelistet sind. tigen. Ferner müssen Übertragungen
Zur systematischen Verwendung der von Datensätzen, welche die AHVN13
AHVN13 ermächtigt das Gesetz nebst enthalten und über ein öffentliches
den Bundes-, Kantons- und Gemein- Netz erfolgen, verschlüsselt werden.
deverwaltungen Bildungsinstitutio- Schliesslich werden die zur Verwen-
nen, private Versicherungsunterneh- dung der AHV-Nummer berechtigten
men (einschliesslich Anbieter von Behörden, Organisationen und Perso-
Zusatzversicherungen) sowie Orga- nen dazu verpflichtet, Vorkehrungen
nisationen und Personen des öffent- für den Fall eines unbefugten Zugriffs
lichen oder privaten Rechts, die nicht auf oder einer missbräuchlichen Nut-
den bereits genannten Verwaltungen zung von Datenbanken zu treffen
angehören und durch Bundesrecht, und ihre Mitarbeitenden hinsichtlich
kantonales Recht oder kommunales der gesetzeskonformen Nutzung der
Recht oder durch Vertrag mit Verwal- AHV-Nummer zu schulen. Verstösse
gegen diese Pflichten können straf-
rechtlich geahndet werden.
Die Vorlage hat im Anschluss an
das Vernehmlassungsverfahren keine
wesentlichen Änderungen erfahren.
Kurz vor der Schlussabstimmung in
der Bundesversammlung erweiterte
das Parlament im Dezember 2020 die
Liste der Einheiten, die zur systema-

Datenschutz
1.8 Verkehr
Starke Zunahme der Bürger- gungen oder Verbote weist er auf die unternehmen beispielsweise beru-
anfragen zu Drohnen dafür zuständigen Behörden, insbe- fen, wenn sie Daten in unmittelbarem
sondere das BAZL sowie die kantona- Zusammenhang mit dem Abschluss
Im laufenden Berichtsjahr haben die len Zivil- und Strafgerichte. oder Abwicklung eines Vertrags bear-
Anfragen von Privatpersonen rund um Weiterführende Informationen beiten.
das Thema Drohnen stark zugenom- zur Videoüberwachung mit Drohnen Wenn sich die Datenbearbeitung
men. Dies betrifft sowohl Anfragen von durch Private finden sich auf unserer auf eine Einwilligung stützt, sind die
Drohnenbesitzern als auch von Perso- Website. Anforderungen an deren Rechtsgül-
nen, welche sich durch Drohnenauf- tigkeit zu beachten: Eine Einwilligung
nahmen gestört fühlen. muss freiwillig, nach angemessener
Drohnen scheinen im Privatbereich und transparenter Information erfol-
immer beliebter zu werden. Zumin- gen. Bei besonders schützenswerten
dest hat der EDÖB im laufenden Personendaten und Persönlichkeits-
Berichtsjahr eine starke Zunahme der profilen müssen die Einwilligungen
Anfragen von Privatpersonen zu dieser Revision des Personen ausdrücklich erfolgen.
Thematik verzeichnet. Einerseits han- beförderungsgesetzes: Ferner darf die Personen-
delt es sich bei den Anfragenden um Diskriminierende Schranken beförderung nicht von
Bürgerinnen und Bürgern, welche mit- für anonym Reisende im ÖV der Einwilligung in eine
tels einer Drohne Foto- oder Videoauf- sind zu verhindern – Datenbearbeitung zu
nahmen vornehmen und die (daten- Art. 19a Bearbeitung von anderen Zwecken abhängig gemacht
schutz-)rechtlichen Voraussetzungen Personendaten zur Personen- werden. Für Datenbearbeitungen zu
mit dem Beauftragten sowie anderen beförderung weiteren Zwecken müssen separate
Behörden (namentlich dem Bundes- Einwilligungen der Betroffenen vor-
amt für Zivilluftfahrt BAZL) abklären Der EDÖB hat sich im Rahmen der liegen.
möchten. Andererseits melden sich «Ämterkonsultation zur Botschaft Auch wo eine implizite Einwilli-
Privatpersonen, welche sich durch zur Änderung des Personen gung genügt, muss vollständig infor-
Drohnen, die in der Nähe ihres Wohn- beförderungsgesetzes – zeitgemässe miert werden, sodass die Kundinnen
und Arbeitsraums herumkreisen und Grundlage für den ÖV» geäussert. und Kunden die Persönlichkeitsverlet-
möglicherweise Ton- und Bildaufnah- Seit der Ämterkonsultation haben zungen erkennen und eine echte Wahl
men vornehmen, gestört fühlen. mehrere Sitzungen mit Vertretern des haben, sich entweder für das daten-
Neben einer rechtlichen Beratung Bundesamts für Verkehr und des Bun- sammelnde Angebot oder für ein alter-
wünschen sich die Anfragenden oft- desamts für Justiz stattgefunden, in natives anonymes Angebot zu ver-
mals einen Entscheid des Beauftragten denen insbesondere erörtert wurde, gleichbaren Konditionen zu entschei-
in ihrem Einzelfall. Der EDÖB weist inwieweit Transportunternehmen den den. Wählen sie die datensammelnde
in diesen Fällen darauf hin, dass die datenschutzrechtlichen Bestimmun- Lösung, liegt darin eine implizite Ein-
allgemeinen Datenschutzgrundsätze gen für Private oder Behörden unter- willigung vor. Der EDÖB hielt weiter
einzuhalten sind und private Daten- stehen sollen. fest, dass die anonymen Alternativ-
bearbeiter über einen Rechtfertigungs- Der EDÖB wies insbesondere dar- angebote mit keinen abschreckenden
grund verfügen müssen. Für Bewilli- auf hin, dass bei einer Unterstellung resp. diskriminierenden finanziellen
unter die für private Datenbearbei- oder administrativen Schranken ver-
ter geltenden Bestimmungen neben
der Einwilligung alle weiteren Recht-
fertigungsgründe wie die gesetzliche
Grundlage oder ein überwiegendes
Interesse zur Verfügung stehen. Auf
Letzteres können sich die Transport-

Datenschutz
bunden sein dürfen. Da es bei einer Nutzung von Flugpassagier- tionsstellen (Passenger Information
vollen Überwälzung der Mehrkos- daten zur Terrorismus Unit, PIU) in der Schweiz und den EU-
ten von Alternativangeboten unter bekämpfung Mitgliedstaaten vorbereiten.
Umständen zu einem faktischen Aus- Der EDÖB hat Einsitz in den exter-
schluss von Teilen der Bevölkerung Das EJPD arbeitet aktuell ein Gesetzge- nen Fachausschuss des PNR-Projek-
kommen kann, verlangte der EDÖB, bungsprojekt aus, um die von den Flug- tes genommen und begleitet dessen
die betreffende Bestimmung im Perso- gesellschaften erhobenen Flugpassa- datenschutzrechtliche Ausgestaltung.
nenbeförderungsgesetz entsprechend gierdaten für die Terrorismus- und Bei der Einrichtung eines PNR-Sys-
zu ergänzen und die Begründung in Kriminalitätsbekämpfung in der tems dürfen die sich daraus ergeben-
der Botschaft zu präzisieren. Schweiz zu verwenden. Der EDÖB hat den Beschränkungen der Grundrechte
Betreffend die Vertriebsinfrastruktur, Einsitz im externen Fachausschuss nur soweit erfolgen, wie dies für den
resp. die zentrale Bestellplattform, die dieses Projekts. verfolgten Zweck nötig ist. Das Gleich-
zurzeit noch nicht umgesetzt wird, Der Bundesrat hat sich am 12. Februar gewicht zwischen der Garantie der
machte der EDÖB auf die bereits heute 2020 in einem Grundsatzentscheid für Grundrechte und den für die Gewähr-
geltenden allgemeinen Grundsätze die Nutzung von Flugpassagierdaten leistung der öffentlichen Sicherheit
sowie die nach dem totalrevidierten (Passenger Name Records, kurz PNR) unerlässlichen Einschränkungen muss
DSG neu zu beachtenden Anforde- zur Terrorismus- und Kriminalitäts- gewahrt bleiben. Dazu gehört nament-
rungen aufmerksam, die beim Auf- bekämpfung in der Schweiz ausge- lich, dass die Bereitstellung der Daten
bau der digitalen Plattform zu berück- sprochen. Das EJPD wurde zu diesem nach dem «Push»-System erfolgt,
sichtigen sind, wie beispielsweise die Zweck beauftragt, die ersten Schritte wodurch ein direkter Zugriff auf die
datenschutzfreundliche technische zur Einführung eines nationalen PNR- Daten durch ausländische Behörden
Ausgestaltung und Voreinstellung Systems einzuleiten (s. 27. TB, Kap. verunmöglicht wird. Der Beauftragte
(«Privacy by Design» und «Privacy by 1.2, S. 27). Das EJPD ist nun angewie- setzt sich darüber hinaus gemäss sei-
Default») sowie der Schutz von persis- sen, bis Mitte 2021 zusammen mit dem ner langjährigen Praxis dafür ein, dass
tenten Daten. UVEK eine Vernehmlas- ein Deliktskatalog erstellt wird. Dies
Der EDÖB wird das Gesetzge- sungsvorlage zu einem entspricht dem Verhältnismässigkeits-
bungsverfahren weiter begleiten und Bundesgesetz über die prinzip und dient der Transparenz.
darauf hinwirken, dass die daten- Erhebung und Nutzung
schutzrechtlichen Anforderungen von PNR-Daten durch die
berücksichtigt werden. Schweiz sowie ihre Übermittlung an
Staaten auszuarbeiten, deren Daten-
schutz und Datenbearbeitung dem
Standard der EU-Richtlinie 2016/681
vom 27. April 2016 über die Verwen-
dung von Fluggastdatensätzen zur
Verhütung, Aufdeckung, Ermittlung
und Verfolgung von terroristischen
Straftaten und schwerer Kriminali-
tät (EU-PNR-Richtlinie) entspricht.
Weiter soll das EJPD mit dem EDA bis
Mitte 2021 ein Mandat für Verhand-
lungen mit der EU über ein Abkom-
men zum PNR-Informationsaustausch
zwischen den zuständigen Koordina-

Schwerpunkt II
Das Privacy Shield garantiert

Betroffenen in der Schweiz

kein a
däquates Schutzniveau bei
Datenbekanntgaben in die USA
Der EDÖB evaluierte die Datenschutzkonformität des Pri- Datenschutz einer Einzelfallprüfung ihrer Eignung und
vacy Shield Regimes vor dem Hintergrund seiner jährlichen gegebenenfalls einer Ergänzung bedürfe. Dieses Urteil ist
Überprüfungen sowie der jüngsten Rechtsprechung des für die Schweiz nicht verbindlich. Nach DSGVO werden
Europäischen Gerichtshofs (EuGH) neu. Er kam zum das Datenschutzrecht der EU und die darauf gestützte
Schluss, dass das Privacy Shield Regime Betroffenen in der Rechtsprechung des EuGH jedoch von den Behörden und
Schweiz kein adäquates Schutzniveau bietet und fordert Gerichten der EU resp. des EWR auch gegenüber Schwei-
Schweizer Unternehmen auf, bei der Übermittlung von zer Unternehmen angewendet, wenn letztere in der
Daten in die USA auf der Grundlage von vertraglichen Weise Daten bearbeiten, dass sie unter den Anwendungs-
Garantien eine Risikobeurteilung im Einzelfall vorzuneh- bereich der DSGVO fallen. Der EDÖB kam nach vertiefter
men. Analyse des EuGH-Urteils und der Schweizer Rechtslage
in seiner Stellungnahme vom 8. September 2020
Bereits anlässlich der 2018 und 2019 durchgeführten (s. Medienmitteilung) zum Schluss, dass das Privacy
Überprüfungen des Swiss-US Privacy Shield Regimes Shield Regime trotz der Gewährung von besonderen
hielt der EDÖB in seinen Evaluationsberichten fest, dass Schutzrechten auch für Betroffene in der Schweiz für
das Privacy Shield Regime – trotz Verbesserungen seit Datenbekanntgaben von der Schweiz an die
dessen Inkraftsetzung – den Betroffenen bei Datenzu- USA kein adäquates Schutzniveau gemäss
griffen durch US-Behörden keine genügenden durchsetz- DSG bietet. Aufgrund dieser auf das schwei-
baren Rechtsansprüche bietet (vgl. auch 27. TB, S. 34 und zerische Recht gestützten Einschätzung hat
26. TB, Kap. 1.2). Insbesondere bemängelte er, dass sich der EDÖB in seiner Staatenliste den Verweis
die Wirksamkeit des sog. Ombudsperson-Mechanismus, auf einen «angemessenen Datenschutz unter bestimm-
der einen indirekt durchsetzbaren Rechtsbehelf garan- ten Bedingungen» für die USA gestrichen. Diese Liste
tieren soll, mangels Transparenz nicht beurteilen lässt. hat indikativen Charakter. Zurzeit liegt in der Schweiz
Auch sind die Entscheidkompetenzen der Ombudsperson keine mit dem erwähnten Urteil des EuGH vergleichbare
gegenüber den US-Geheimdiensten sowie ihre tatsäch- Judikatur vor. Eine abweichende Beurteilung durch die
liche Unabhängigkeit unbelegt. Dieser Mangel an Trans- schweizerischen Gerichte bleibt vorbehalten.
parenz und das daraus abzuleitende Fehlen von Garantien Die neben dem Privacy Shield Regime für Datenbe-
bei Eingriffen der US-Behörden in die Privatsphäre von kanntgaben in die USA und andere Drittländer ohne
Personen in der Schweiz erachtete der EDÖB als proble- Angemessenheitsbeschluss verwendeten vertraglichen
matisch. Garantien, wie beispielsweise die auch in der Schweiz
Am 16. Juli 2020 erging das Urteil des EuGH in der häufig verwendeten Standardvertragsklauseln (SCC) der
Rechtssache C311/18 Data Protection Commissioner EU oder wie sog. «Binding Corporate Rules» vermögen
v. Facebook Ireland Ltd und Maximilian Schrems (sog. den Zugriff auf Personendaten durch ausländische Behör-
Schrems II Urteil), das den Angemessenheitsbeschluss den nicht zu verhindern, wenn das öffentliche Recht
2016/1250 der EU-Kommission betreffend die unter dem des Importstaates vorgeht und den behördlichen Zugriff
Privacy Shield Regime zertifizierten US-Unternehmen auf die transferierten Personendaten ohne hinreichende
für ungültig erklärte. Zudem stellte der EuGH klar, dass Transparenz und unabhängigen Rechtsschutz der Betrof-
der Einsatz von Standardvertragsklauseln (SCC) für die fenen erlaubt.
USA und für andere Drittländer ohne angemessenen

Schwerpunkt II
In seiner vorerwähnten Stellungnahme vom 8. Septem- zelfall vorzunehmen. Nur auf der Grundlage einer solchen
ber 2020 sensibilisierte der EDÖB die Wirtschaftskreise Risikobeurteilung kann ein Unternehmen beurteilen, ob
für dieses Problem und zeigte erste beschränkte Lösungs- eine Datenübermittlung in die USA datenschutzkonform
möglichkeiten wie eigene Verschlüsselung oder vollstän- ist, und dies gegebenenfalls dem EDÖB auch nachvoll-
dige Anonymisierung auf. ziehbar belegen. Die EU erarbeitet zurzeit neue Standard-
Der EDÖB fordert die Unternehmen auf, bei der Über- vertragsklauseln. Der EDÖB verfolgt diese Bemühungen
mittlung von Daten in die USA auf der Grundlage von und wird sich zu gegebener Zeit dazu äussern.
vertraglichen Garantien eine Risikobeurteilung im Ein-

Datenschutz
1.9 International
Einführung zu fördern und auf ein gemeinsames

Verständnis und eine einheitliche Aus-
Die internationale Zusammenarbeit legung von internationalen Normen
wurde im vergangenen Geschäftsjahr und Vorgaben hinzuwirken.
von der COVID-19-Krise geprägt. So International abgestimmte Vorga-
konnten praktisch keine Konferen- ben ermöglichen es, den betroffenen
zen vor Ort stattfinden. Sie mussten Personen unabhängig ihres Wohn-
entweder abgesagt oder per Video- ortes die gleichen Rechte zu gewähr-
konferenz durchgeführt werden, was leisten. Auch müssen sich die Daten-
vor allem zu Beginn mit technischen schutzbehörden auf internationaler
Herausforderungen verbunden war. Ebene untereinander beraten, wie sie
An den durchgeführten Videokon- technisch und bei der praktischen
ferenzen nahmen aufgrund der weg- Ausgestaltung ihrer Beratungs- und
fallenden Reisezeiten und Kosten Aufsichtstätigkeit auf die globalen
zum Teil mehr Datenschutzbehör- datenschutzrechtlichen Herausforde-
den und Personen pro Behörde als rungen wie Big Data, das Internet der
sonst üblich teil. Dagegen konnten die Dinge und die künstliche Intelligenz
für die Zusammenarbeit wichtigen reagieren.
informellen Gespräche und Kontakte Der EDÖB ist auf internationaler
kaum durchgeführt werden. Die Krise Ebene weiterhin präsent und bringt
machte deutlich, wie wichtig ein Aus- sich in verschiedenen internationa-
tausch zwischen den Datenschutzbe- len Gremien aktiv ein. Dazu gehören
hörden auf internationaler Ebene ist. insbesondere der Europarat, die euro-
Die grenzüberschreitende Über- päische und die internationale Kon-
mittlung von Daten nahm – nicht ferenz der Datenschutzbeauftragten,
zuletzt auch wegen der Pandemie – die französischsprachige Vereinigung
weiter zu; sei es durch die direkte der Datenschutzbehörden, die OECD
Bekanntgabe von Personendaten ins sowie die Zusammenarbeit und Koor-
Ausland oder durch die Speicherung dination der Datenschutzbehörden
von Daten in Clouds und auf Servern der Schengen Mitgliedstaaten und
im Ausland. Für die betroffenen Per- der Austausch mit dem Europäischen
sonen ist oft kaum abschätzbar, wel- Datenschutzausschuss (EDSA).
che Unternehmen und Behörden im
Ausland ihre Daten bearbeiten. Umso
wichtiger ist es daher, auf eine verbes-
serte Durchsetzung des Datenschutzes
auf internationaler Ebene hinzuwir-
ken, die internationale Zusammen-
arbeit unter den Datenschutzbehörden

Datenschutz
Europarat • Sitzung 3: Was bedeutet das Recht auftragte sowie Vertreter der Industrie
auf den Schutz personenbezoge- bei der Achtung dieser Rechte unter-
Der Beratende Ausschuss zum Überein- ner Daten im Erziehungs- und stützen. Weiter wählte der Beratende
kommen 108 hielt sechs Remotesitzun- Bildungskontext? Was müssen Ausschuss sein Büro und nahm unter
gen zu verschiedenen Themen ab. Er Schulen tun, und was dürfen sie anderem eine Vertreterin des EDÖB,
verabschiedete Leitlinien über den nicht mehr tun? Frau Caroline Gloor Scheidegger, Lei-
Schutz der personenbezogenen Daten • Sitzung 4: Werden Projektvorha- terin internationale Angelegenheiten,
von Kindern im Bildungskontext sowie ben auf dem Gebiet der künstlichen in diesen Vorstand auf.
über die Gesichtserkennung. Zudem Intelligenz von Beginn weg nach Der Ausschuss zum Überein-
wählte die Vollversammlung das Büro. den Grundsätzen des Datenschutzes kommen 108 genehmigte zudem auf
Anstelle der 40. Vollversammlung des entwickelt («privacy by design»)? dem Schriftweg Leitlinien über die
Ausschusses, die pandemiebedingt • Sitzung 5: Die Spiegel unserer See- Gesichtserkennung. Diese enthalten
verschoben werden musste, führten len: Lehren aus Cicero ziehen und Orientierungshilfen für Gesetzgeber
das Büro des Beratenden Ausschus- mit den Risiken der Gesichtserken- und Entscheidungsträger und verwei-
ses zum Übereinkommen 108 und der nung umgehen. sen namentlich auf das Erfordernis der
Organisationsbereich Datenschutz • Sitzung 6: Politische Kampagnen Einbindung von Aufsichtsbehörden.
an den betreffenden Daten öffentli- und Wahlkampagnen: Weshalb Sie sollen auch richtungsweisend für
che Remotesitzungen durch. Damit Datenschutz so wichtig ist. Entwickler, Hersteller und Dienstan-
gewährten sie nicht nur den Delegati- Der Beratende Ausschuss konnte seine bieter sein, indem sie unter anderem
onen, die üblicherweise an den Sitzun- ursprünglich für den 1. bis 3. Juli anbe- festhalten, dass die Zuverlässigkeit der
gen in Strassburg teilnehmen, sondern raumte Vollversammlung schliesslich verwendeten Tools von der Effizienz
auch einem breiteren Publikum Ein- vom 18. bis 20. November 2020 über des Algorithmus abhängig ist. Die
blick in die Tätigkeiten des Ausschus- Videokonferenz abhalten und eine dritte Kategorie von Orientierungs-
ses. Am 1., 2. und 3. Juli fanden sechs revidierte Fassung der Leitlinien über hilfen spricht Benutzereinheiten von
erkenntnisreiche Sitzungen zu spezifi- den Schutz der personenbezogenen Gesichtserkennungs-Technologien an
schen Themen statt: Daten von Kindern im Bildungskon- und erinnert sie an ihre Verantwor-
• Sitzung 1: Wie kann dafür gesorgt text verabschieden. Diese enthalten tung: Sie sollen Datenschutz-Folgen-
werden, dass sich Länder, die sich eine Zusammenstellung der Grund- abschätzungen vornehmen und den
dem Übereinkommen 108+ ver- rechte von Kindern im Rahmen von Datenschutz von Beginn weg gewähr-
pflichtet haben, an die Bestimmun- Erziehung und Bildung und sollen leisten («privacy by design»). Schliess-
gen des Übereinkommens halten? Gesetzgeber und politische Entschei- lich erinnern die Leitlinien daran, dass
Weshalb braucht es einen Follow- dungsträger, aber auch Datenschutzbe- sämtliche einschlägigen Rechte der
Up- und Evaluationsmechanismus, betroffenen Personen gewahrt bleiben,
und wie ist dieser zu gestalten? namentlich das Recht auf Information,
• Sitzung 2: Wie ist mit den neuesten das Auskunftsrecht, das Recht auf
Herausforderungen des Profiling im Information bei automatisierten Ein-
Zeitalter der künstlichen Intelligenz zelfallentscheidungen, das Widerrufs-
umzugehen? recht und das Berichtigungsrecht.

Datenschutz
Global Privacy Assembly Zeitalter, Bedeutung und Einfluss der • Resolution zur Schärfung des Ver-
GPA auf dem internationalen Parkett antwortungsbewusstseins auf
Die 42. Internationale Konferenz der maximieren sowie Erweiterung ihrer dem Gebiet der Entwicklung und
Datenschutzbeauftragten fand unter Kapazitäten. des Einsatzes der künstlichen
ihrer neuen Bezeichnung «Global Der zweite Konferenztag war den Intelligenz;
Privacy Assembly (GPA)» vom 13. bis COVID-19-bedingten Herausforde • Resolution zu den datenschutz-
15. Oktober statt und wurde erstmals rungen gewidmet. In diesem Zusam- bezogenen Herausforderungen im
online durchgeführt. menhang wurde der Arbeitsgruppe Zusammenhang mit der COVID-19-
Zu Beginn der 42. geschlossenen Sit- COVID-19 der GPA Anerkennung für Pandemie;
zung der Global Privacy Assembly ihren herausragenden Einsatz und Bei- • Resolution betreffend gemeinsame
würdigte die Datenschutzbeauftragte trag ausgesprochen. Die Tätigkeiten Erklärungen zu neu auftretenden
des Vereinigten Königreichs Eliza- der Arbeitsgruppe wurden diskutiert, internationalen Fragen.
beth Denham die Bemühungen, die und die spezifischen Ergebnisse
von der Internationalen Konferenz ihrer Arbeiten wurden vorgestellt.
der Datenschutzbeauftragten in den Dazu gehört das Kompendium der
zurückliegenden Jahren mit dem Ziel besten Praktiken bei der Bewältigung
unternommen wurden, die Konferenz von COVID-19, das beispielsweise
zu modernisieren, ihre strategische das Thema der Kontaktverfolgung
Orientierung zu definieren sowie ihre behandelt.
Kapazitäten auszubauen, um 2020 die Der dritte Tag begann mit einer
COVID-19-bedingten Herausforde- Aussprache über die Zukunft der Kon-
rungen meistern zu können. ferenz. Anschliessend wurden die
Die diesjährige Veranstaltung war Ergebnisse der Abstimmung der Mit-
in drei Online-Sessionen mit jeweils glieder über die Berichte der Arbeits-
anschliessender Diskussion gegliedert. gruppen, den Bericht des Exekutiv-
Über 100 Mitglieder nahmen an die- rats für 2020 und den Bericht über
sem wichtigen Jahrestreffen teil. die 41. Internationale Konferenz 2019
Am ersten Konferenztag stand die bekanntgegeben: Sämtliche Berichte
Beurteilung der Fortschritte bei der wurden angenommen.
Umsetzung des strategischen Plans, Am 15. Oktober 2020 wurden fünf
OECD: Arbeitsgruppe
der an der 41. Internationalen Kon- Resolutionen verabschiedet:
«Data Governance and
ferenz im vergangenen Jahr in Tirana • Resolution zur Gesichtserkennungs-
Privacy in the Digital
verabschiedet wurde, im Vordergrund Technologie;
Economy»
Die Arbeiten in der Arbeitsgruppe
der Beratungen. Insbesondere ging es • Resolution zur Rolle des Schutzes
wurden auch in diesem Berichtsjahr
hierbei um die Prüfung der wichtigs- personenbezogener Daten in der
fortgesetzt, wobei das Meeting im
ten Ergebnisse hinsichtlich der drei internationalen Entwicklungshilfe,
November 2020 nur virtuell abgehal-
strategischen Prioritäten, die definiert in der internationalen humanitären
ten werden konnte. Zwei Themenbe-
worden waren: weltweiter Ausbau des Hilfe sowie bei der Krisenbewälti-
reiche sind in dieser Hinsicht hervor-
Schutzes der Privatsphäre im digitalen gung;
zuheben: Zum einen die «Datenpor-
tabilität», wo das Sekretariat einen
Zwischenstand für einen möglichen
Bericht präsentierte, und zum ande-
ren der Bericht des Sekretariats über
die Umsetzung der «OECD Privacy
Guidelines».

Datenschutz
Brexit – Angemessenheit des sem Zeitpunkt von der EU anerkannt periode nicht wesentlich verän-
Datenschutzes blieb – und damit nach dem Recht dert, sodass das Land weiterhin auf
des Vereinigten Königreichs auto- der Liste der Staaten verbleibt, deren
Das Vereinigte Königreich bleibt weiter- matisch anerkannt sein würde und Gesetzgebung einen angemesse-
hin auf der Liste der Staaten, deren zwar voraussichtlich für die nächs- nen Datenschutz nach Art. 6. Abs. 1
Gesetzgebung einen angemessenen ten vier Jahre. Dies bedeutete indes DSG gewährleisten. Eine Überprü-
Datenschutz gemessen am Schweizer nicht, dass die Schweiz automatisch fung bleibt jedoch vorbehalten und
Datenschutzgesetz gewährleisten. Gegenrecht gewähren würde. Das hängt davon ab, wie die Datenschutz
Umgekehrt anerkennt das Vereinigte Datenschutzrecht im Vereinigten gesetzgebung im Vereinigten König-
Königreich auch die Schweiz als Land Königreich wurde aber in der Berichts- reich in Zukunft aussehen wird.
mit gleichwertigem Datenschutz an.
Wie bereits im letzten Tätigkeits
bericht ausgeführt (s. 27. TB, Kap. 1.9),
trat das Vereinigte Königreich nach
einigen Verzögerungen am 1. Feb-
ruar 2020 aus der EU (Brexit) aus. Es
stellte sich damit die gegenseitige
Angemessenheitsfrage. Dazu führte
der EDÖB zahlreiche Gespräche mit
Behörden des Bundes und mit Ver-
tretern des Vereinigten Königreichs.
Diese Gespräche wurden während
des laufenden Geschäftsjahres regel-
mässig weitergeführt. Parallel dazu
fanden Gespräche mit Vertretern der
EU-Kommission statt, weil lange
unklar war, ob die EU dem Vereinigten
Königreich ab dem Jahr 2021 die An
gemessenheit noch gewähren würde.
Andererseits anerkannte das Verei-
nigte Königreich auf gesetzlicher Stufe
alle Länder als gleichwertig, welche am
31. Dezember 2020 auch von der EU
als gleichwertig anerkannt waren.
Weil der Kommissionsent-
scheid bezüglich der Schweiz Ende
2020 noch ausstand, bedeutete dies
aber auch, dass die Schweiz zu die-

Datenschutz
Arbeitsgruppe über die Rolle wicklungshilfe, in der internationa- Europäische Datenschutz-

des Schutzes personenbezo- len humanitären Hilfe sowie bei der Grundverordnung
gener Daten in der interna- Krisenbewältigung beschlossen. Die
tionalen Entwicklungshilfe, Arbeitsgruppe hat sich zwei Schwer- Die neue europäische Datenschutz-
in der internationalen punktziele gesetzt: Grundverordnung (DSGVO) trat am
humanitären Hilfe sowie bei • Auf Zusammenarbeitsgesuche mass- 25. Mai 2018 in Kraft und gilt unter
der Krisenbewältigung geblicher Akteure eingehen, um bestimmten Voraussetzungen auch für
Leitlinien zu entwickeln sowie um Datenverarbeitungen durch Unterneh-
Der EDÖB reichte an der 42. Internatio- beste Praktiken auf dem Gebiet des men aus Drittländern. An einem Treffen
nalen Konferenz der Datenschutzbe- Schutzes der Privatsphäre auszutau- in der Schweiz wurden zahlreiche nach
auftragten (GPA) eine Resolution zur schen. Dabei soll auf die spezifischen wie vor offene Fragen mit den Daten-
Rolle des Schutzes personenbezogener Gegebenheiten der internationalen schutzbehörden von Albanien, Jersey
Daten in der internationalen Entwick- Entwicklungshilfe und der inter- und Monaco erörtert.
lungshilfe, in der internationalen nationalen humanitären Hilfe ein- Die europäische Datenschutz-Grund-
humanitären Hilfe sowie bei der Krisen- gegangen und das Anliegen berück- verordnung (DSGVO) wurde am
bewältigung ein. Sie wurde dank der sichtigt werden, ihnen Erleichterun- 27. April 2016 verabschiedet und ist in
Unterstützung von 15 Datenschutzbe- gen in ihrem Tätigkeitsbereich zu sämtlichen Mitgliedstaaten der Euro-
hörden einstimmig angenommen. ermöglichen. päischen Union seit dem 25. Mai 2018
Mit dieser Resolution soll die Position • Entwicklung einer Strategie der direkt anwendbar. Ihr Geltungsbereich
der GPA-Mitglieder zu mehreren Zie- Anwaltschaft und der Mobilisierung erstreckt sich jedoch weit über das
len der politischen Strategie der Kon- bei den massgeblichen Akteuren. Gebiet der EU hinaus. Wenn nämlich
ferenz definiert werden. Konkret geht Der EDÖB übernahm die Koordinie- ein für die Datenbearbeitung Verant-
es um die Zielsetzungen betreffend rung der Arbeitsgruppe, an der Daten- wortlicher (oder ein Subunterneh-
den weltweiten Ausbau des Schut- schutzbehörden aus der ganzen Welt mer) Waren oder Dienstleistungen
zes der Privatsphäre und die Intensi- sowie das IKRK und die Internationale Personen in der Europäischen Union
vierung der Beziehungen zu anderen Organisation für Migration mitwirken. anbietet bzw. das Verhalten dieser
internationalen Gremien und Netz- Personen beobachtet, namentlich um
werken, die sich für Datenschutznor- ihre Präferenzen zu analysieren, gel-
men im Bereich der Privatsphäre ein- ten die Vorgaben der DSGVO für ihn
setzen. auch dann, wenn er nicht in der Union
Im Anschluss an die Verabschie- niedergelassen ist. Die französisch-
dung der Resolution wurde die Ein- sprachigen europäischen Behörden
setzung einer Arbeitsgruppe über die der Nicht-Mitgliedstaaten der Euro-
Rolle des Schutzes personenbezoge- päischen Union stehen vor den glei-
ner Daten in der internationalen Ent- chen Herausforderungen. Nach einer
ersten erfolgreichen Gesprächsrunde
2018 in Monaco organisierte der EDÖB
im Februar 2020 ein Treffen in Bern,
an dem sich die Behörden über das
Inkrafttreten der DSGVO und über
die diesbezüglichen Erfahrungen aus-

Datenschutz
tauschen konnten, um Fragen, die an Aufsichtskoordinations Datenschutzbeauftragten. Es fand ein

sie gerichtet wurden, im Hinblick auf gruppen über die konstruktiver Austausch über mög-
eine koordinierte Antwort gemeinsam Informationssysteme SIS II, liche Ursachen und Verbesserungs-
anzugehen. VIS und Eurodac möglichkeiten statt. Auf beiden Seiten
Etwas über ein Jahr nach Inkraft- wird die Frage der Bildung eines Pools
treten der DSGVO veröffentlichte der Im Berichtsjahr führten die Aufsichts- mit Datenschutzexpertinnen und
Europäische Datenschutzausschuss koordinationsgruppen ihre beiden Sit- -experten für die Schengen Evaluatio-
(EDSA), der als unabhängiges euro- zungen per Videokonferenz durch. Dis- nen geprüft. Weiter wird die EU Kom-
päisches Organ an der einheitlichen kutiert wurde unter anderem, wie der mission nach Möglichkeit eine Weiter-
Einhaltung der Datenschutzvorschrif- Schwierigkeit, jeweils genügend Exper- bildung für künftige Fachpersonen für
ten in der Europäischen Union mit- tinnen und Experten aus den Daten- Datenschutz-Evaluationen einführen.
wirkt, seine Leitlinien zum Anwen- schutzbehörden für die Schengen Eva- Die Aufsichtskoordinationsgruppe
dungsbereich der DSGVO. Der EDÖB luationen zu finden, begegnet werden VIS hat an ihrer Sitzung vom 18. Juni
hatte sich zusammen mit der mone- kann. die Vertreterin des Beauftragten als
gassischen Behörde (Commission de Auch in diesem Jahr nahm der EDÖB Vorsitzende der Koordinationsgruppe
contrôle des informations nominati- als nationale Aufsichtsbehörde an den für weitere zwei Jahre bestätigt.
ves, CCIN) an der öffentlichen Kon- Sitzungen der drei Aufsichtskoordi-
sultation beteiligt, die den Leitlinien nationsgruppen über die EU-Infor-
vorausging. Dies um eine Reihe von mationssysteme SIS II, VIS (Vorsitz
Aspekten dieser Thematik zu klären, EDÖB) und Eurodac teil. Diese fan-
die für Drittländer, welche in das EU- den am 17./18 Juni 2020 sowie 25./26.
Gefüge eingebunden sind, eminent November 2020 per Videokonferenz
wichtig sind. Die neueste Fassung der statt. Vertreten waren der europäische
Leitlinien wurde am Treffen in Bern Datenschutzbeauftragte (EDSB) sowie
ebenfalls analysiert und diskutiert, die nationalen Datenschutzbehörden
wobei festgestellt werden musste, dass der Mitgliedstaaten.
eine Reihe von Fragen nach wie vor Die Aufsichtskoordinationsgrup-
unbeantwortet ist. pen SIS und VIS beschäftigten sich
unter anderem mit der Frage, weshalb
es für die von der EU-Kommission
durchgeführte Schengen Evaluation
in Sachen Datenschutz schwierig ist,
genügend Fachpersonen aus den ver-
schiedenen Datenschutzbehörden
aufzubieten. Die EU Kommission, die
zurzeit das Verfahren der Schengen
Evaluationen neu prüft, organisierte
im Januar 2021 zu diesem Thema
eine Videokonferenz mit den Daten-
schutzbehörden der Schengen Mit-
gliedstaaten und dem Europäischen

Öffentlichkeitsprinzip

2.1 Allgemein
Die Corona-Pandemie hat auch die Aus den nachfolgend aufgeführten teilig sich die schriftliche Durchfüh-
Umsetzung des Öffentlichkeits- Zahlen (s. Kap. 2.2) ist weiter zu ent- rung der Schlichtungsverfahren auf
prinzips in der Bundesverwaltung nehmen, dass die in den letzten Jahren Bearbeitungsdauer und Verfahrenser-
geprägt. Der Anspruch der Medien festgestellten Tendenzen – eine stetige gebnisse ausgewirkt hat, wird in Kapi-
und der Gesellschaft nach spezifischen Zunahme der Zugangsgesuche und ein tel 2.3 präzisiert.
und transparenten Informationen zu überwiegend konstant hoher Anteil Die Einhaltung der gesetzlichen
Dokumenten mit Corona-Bezug war an Fällen, in denen der Zugang voll- Frist von 30 Tagen für die Durch
hoch. Dementsprechend sahen sich ständig gewährt wird – auch für das führung von Schlichtungsverfahren
einzelne Behörden nicht nur mit einer Berichtsjahr bestätigt werden. ist nicht nur in Pandemiezeiten her-
grossen Anzahl von Zugangsgesuchen, Das vom Beauftragten im Jahr 2017 ausfordernd. Die Erfahrung zeigt, dass
sondern mit z.T. auch umfangreichen eingeführte Primat der mündlichen diese Frist bei komplexen Drei- oder
und komplexen Anfragen konfron- Schlichtungsverhandlungen hat sich Mehrparteienverfahren betreffend
tiert, die oftmals eine amts- oder gar im 2020 erneut bewährt. Dass dies Zugangsgesuche zu Unterlagen mit
departementsübergreifende Koor- die Zahlen auf den ersten Blick nur geschäftsgeheimnisrelevanten Infor-
dination notwendig machten. Ins- bedingt zu bestätigen scheinen, liegt mationen oder mit Bezug zum Per
gesamt zeigte sich, dass die Umset- an den durch die Pandemie verursach- sönlichkeitsschutz von Privatpersonen
zung des Öffentlichkeitsprinzips in ten Anpassungen des Schlichtungs- häufig überschritten wird.
Pandemiezeiten anspruchsvoll und verfahrens. Als der Bundesrat an seiner Für die Durchführung des Schlich-
herausfordernd sein kann. Während Sitzung vom 16. März 2020 angesichts tungsverfahrens müssen die Behör-
sich die unter Zeitdruck handelnde der weiteren Ausbreitung des Corona- den dem Beauftragten die von den
Verwaltung hohen Erwartungen und Virus die Home-Office-Pflicht einge- Gesuchstellenden nachgefragten
nachträglicher Kritik der Öffentlich- führt und Menschenansammlungen Dokumente zustellen – im Gegenzug
keit ausgesetzt sieht, verlangen die von mehr als fünf Personen verboten unterliegt der Beauftragte dem Amts-
Gesuchstellenden einen raschen und hatte, sah sich der Beauftragte aus geheimnis im gleichen Ausmass wie
umfassenden Zugang, um die teilweise Gründen der öffentlichen Gesund- die Behörden, in deren Dokumente
auf notrechtlichen Kompetenzen heit sowie zum Schutz der Gesundheit Einsicht verlangt wird. In der Pra-
beruhenden Handlungen des Staates der Beteiligten gezwungen, während xis lassen die Behörden die Unterla-
zur Pandemiebekämpfung nachvoll- der ersten Ausbreitung der Pandemie gen dem Beauftragten in aller Regel
ziehen zu können. Gleichwohl zeigen (zwischen März und Juni 2020) wie ohne weiteres zukommen. Nicht in
die Statistiken, dass es den Bundes- dann auch während der zweiten Welle jedem Fall gestaltet sich die Zusam-
behörden – trotz des im Pandemiejahr auf die Durchführung von Schlich- menarbeit indes optimal. Dies zeigt
bisweilen dringlichen Tagesgeschäfts – tungssitzungen zu verzichten. exemplarisch ein Fall, indem es um
in der Mehrheit aller Fälle gelang, das Aus den genannten Gründen die Mitwirkungspflicht im Schlich-
Öffentlichkeitsprinzip in der Bundes- mussten für zahlreiche Fälle schrift- tungsverfahren ging. Aufgrund des
verwaltung mit Erfolg umzusetzen. liche Schlichtungsverfahren durch- vom Öffentlichkeitsgesetz eingeführ-
geführt werden. Dieses Vorgehen ten Prinzips der Öffentlichkeit der
führte im Berichtsjahr einerseits zu Bundesverwaltung obliegt es nicht
einem geringeren Anteil von einver-
nehmlichen Lösungen und anderseits
zu einer längeren Bearbeitungsdauer
der Schlichtungsverfahren und einem
damit verbundenen Rückstau bei der
Erledigung von Verfahren. Wie nach-

mehr in deren freien Ermessen, ob sie

Informationen und amtliche Doku-
mente zugänglich machen will oder
nicht. Die Behörden sind im Schlich-
tungsverfahren zur Mitwirkung ver-
pflichtet und müssen dem Beauftrag-
ten alle Dokumente, die Gegenstand
eines Gesuches sind, von Gesetzes
wegen zustellen. Im angesprochenen
Fall weigerte sich die Behörde, dem
Beauftragten die streitgegenständ-
lichen Dokumente zuzustellen. Sie
argumentierte, diese fielen nicht in
den Anwendungsbereich des Öffent-
lichkeitsgesetzes. Indem die beweis-
beschwerte Behörde die Anwendbar-
keit des Öffentlichkeitsgesetzes nach
eigenem Ermessen abschliessend ver-
neinte, sah sich der Beauftragte ausser
Stande, die Dokumentenqualität nach
Art. 5 BGÖ zu prüfen und das von der
Behörde geltend gemachte Vorliegen
von Nichteintretens- und Ausnahme-
gründen zu beurteilen. Demzufolge
sah sich der Beauftragte gezwungen,
den vollständigen Zugang zu den ver-
langten Dokumenten zu empfehlen,
weil es der beweispflichtigen Behörde
zum eigenen Nachteil gereichen muss,
wenn sie nicht bereit ist, die gesetzli-
che Vermutung des Zugangs zu amtli-
chen Dokumenten durch deren Offen-
legung gegenüber der Schlichtungs-
behörde zu widerlegen (s. Empfehlung
vom 28. Januar 2021).
Wie schon in den Vorperioden
sind Bestrebungen der Verwaltung
festzustellen, das Öffentlichkeits
prinzip durch Einführung von
Ausnahmen in neuen Gesetzesbe-
stimmungen weiter einzuschränken.
Im Berichtsjahr war dies der Fall beim
COVID-19-Solidarbürgschaftsgesetz
(s. Kap. 2.4).

2.2 Zugangsgesuche – erneute Zunahme im 2020
Gemäss den Zahlen, die von den Bun- In 610 Fällen (51 Prozent) gewähr- Zugangsaufschub um sechs Prozent
desbehörden gemeldet wurden, gin- ten die Behörden einen vollständigen erhöht hat. Eine Erklärung für diese
gen im Berichtsjahr vom 1. Januar bis Zugang (gegenüber 542 bzw. 59 Pro- Veränderungen liegt in der Tatsache,
31. Dezember 2020 gesamthaft 1193 zent im Vorjahr), während bei 293 dass die Behörden im Zusammenhang
Zugangsgesuche ein. 2019 waren es Gesuchen (25 Prozent) ein teilweiser mit Zugangsgesuchen zu Corona-
noch 916 Gesuche. Dies entspricht respektive aufgeschobener Zugang zu Dokumenten – die, wie erwähnt, rund
einer Steigerung gegenüber dem Vor- den Dokumenten genehmigt wurde. einen Viertel der Gesuche ausmachen –
jahr um 30 Prozent. Eingerechnet sind In 108 Fällen (neun Prozent) wurde prozentual weniger oft einen vollstän-
auch die Zugangsgesuche der Bundes- die Einsichtnahme vollständig ver- digen Zugang gewährten, den Zugang
anwaltschaft (13 Gesuche) und der Par- weigert. Nach Angaben der Behörden häufiger teilweise verweigert oder auf-
lamentsdienste (6). wurden drei Prozent bzw. 35 Zugangs- geschoben beziehungsweise vollstän-
Einer der Gründe für die Zunahme gesuche zurückgezogen, 80 Gesuche dig verweigert haben.
ist im ausgeprägten Bedürfnis zu waren Ende 2020 noch hängig, und
finden, das staatliche Handeln zur in 67 Fällen war kein amtliches Doku- Departemente und Bundesämter
Bekämpfung der Corona-Pandemie ment vorhanden. Seit 2015 wird in Einzelne Verwaltungseinheiten
nachvollziehbar zu machen. Gemäss mehr als 50 Prozent der Fälle ein voll- standen 2020 aufgrund der Corona-
Angaben der Bundesbehörden wiesen ständiger Zugang zu den Dokumen- Pandemie besonders im Fokus der
308 von den insgesamt 1193 Zugangs- ten gewährt. Demgegenüber sind die Medien und der Gesellschaft. Auf
gesuchen (26 Prozent) einen Bezug zur vollständigen Zugangsverweigerun- gabenbedingt sahen sich insbesondere
Thematik Corona auf. Die Behörden gen in der Minderzahl und pendeln das BAG, das VBS oder das EFD mit
waren in der Lage, die Zugangsgesuche sich im Laufe der Jahre auf rund zehn einer grossen Anzahl von Zugangs
für «Corona»-Dokumente statistisch Prozent ein. gesuchen konfrontiert. Gemäss die-
zu erfassen. Diese Statistik ist sepa- Im Vergleich mit den Vorjahren sen Behörden handelte es sich dabei
rat aufgeführt (s. Kap. 3.3). Dabei zeigt kann insgesamt festgestellt werden, teilweise um sehr umfangreiche und
sich, dass der vollständige Zugang in dass sich im Corona-Jahr der Anteil komplexe Gesuche. In einer Vielzahl
121 Fällen (39 Prozent) im Vergleich mit vollständiger Zugangsgewäh- von Fällen war eine aufwändige ver-
zur Gesamtstatistik (s. unten) weniger rung um acht Prozent vermindert waltungsinterne Koordination zwi-
oft gewährt wurde, während bei der hat, w
ährend der Anteil mit teilwei- schen Ämtern oder Departementen
vollständigen Zugangsverweigerung ser Zugangsgewährung respektive notwendig, etwa bei Dokumenten
(38 resp. zwölf Prozent) nur ein gering- betreffend die Beschaffung von medi-
fügig höherer Anteil im Verhältnis zur zinischen Gütern. Für diese Behörden
Gesamtstatistik festgestellt werden. war der Bearbeitungsaufwand im Ver-
Zu den höheren Zahlen an einge- gleich zu früheren Jahren aus nachvoll-
reichten Zugangsgesuchen dürfte auch ziehbaren Gründen höher.
beigetragen haben, dass die Bevölke-
rung nicht zuletzt dank Medienbe-
richten über die Jahre hinweg laufend
bessere Kenntnisse über das Öffent-
lichkeitsgesetz erlangt und dessen
Möglichkeiten vermehrt aktiv nutzt.
Der Beauftragte erwartet, dass diese
Tendenz in den kommenden Jahren
anhalten wird.

Auf Stufe Amt zeigen die gemelde- dig gewährte. In einem Fall war kein lenden einen Teil ihres Zeitaufwands
ten Zahlen, dass das BAG mit 181 Fäl- entsprechendes Dokument vorhan- (EDI: CHF 4643; WBF: CHF 3786;
len 2020 am meisten eingegangene den und in einem Fall war das Gesuch UVEK: CHF 3310; EFD: CHF 1900;
Zugangsgesuche meldete, wovon Ende 2020 noch hängig. EDA: CHF 900; VBS: CHF 650). Dazu
alleine 134 Corona-relevante Doku- Der 2020 für den Zugang zu amt- sei vermerkt, dass lediglich bei 25 der
mente betrafen (s. Kap. 3.3). Danach lichen Dokumenten erhobene Gebüh- 1193 eingereichten Zugangsgesuche
folgen das BASPO mit 150, Swiss- renbetrag beläuft sich auf insgesamt eine Gebühr erhoben wurde. Gegen-
medic mit 42 sowie das BAFU mit 38 CHF 15 189 und liegt damit unter der über dem Vorjahr, in dem in 31 Fällen
Gesuchen. Bei den Departementen Vorjahressumme (CHF 18 185). Nur bei eine Gebühr verlangt wurde, stellt
liegen das EDI (312) und das VBS (251) zwei Zugangsgesuchen zu «Corona»- dies – sowohl in Bezug auf die Anzahl
an der Spitze. 13 Behörden meldeten Dokumenten wurde insgesamt eine Fälle, in welchen eine Gebühr erho-
hingegen, dass im Berichtsjahr bei Gebühr von CHF 450 verlangt. ben wurde, wie auch bezüglich des
ihnen kein Zugangsgesuch eingegan- Während das EJPD und die Bun- Gesamtbetrages der Gebühren – einen
gen sei. Beim Beauftragten selbst gin- deskanzlei überhaupt keine Gebühren Rückgang dar. Dies ist insofern bemer-
gen zehn Zugangsgesuche ein, wobei erhoben, verrechneten die übrigen kenswert, als die Anzahl der Zugangs-
er den Zugang in acht Fällen vollstän- sechs Departemente den Gesuchstel- gesuche (erneut) merklich zugenom-
Grafik 1: Beurteilung Zugangsgesuche – Entwicklung seit 2006

1200 1193
(+30 %
gegenüber Vorjahr)
1000
800
610 (+13 % )
600
400
293 (+70 % )
200
108 (+25 % )
35 (–8%)
0
2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017 2018 2019 2020
Total Gesuche Zugang gewährt Zugang teilweise gewährt/aufgeschoben Zugang verweigert Rückzug


men hat. Wie bereits in den Vorjah- diesen Angaben hat der Zeitaufwand Parlamentsdienste
ren stellt die Erhebung von Gebühren für das Berichtsjahr mit 5010 Stunden Die Parlamentsdienste meldeten den
weiterhin eine Ausnahme dar: In bei- im Vergleich zu 2019 (4375 Stunden) Eingang von sechs Zugangsgesuchen.
nahe 98 Prozent der Zugangsgesuche zugenommen. Abgesehen von dem einen Fall, in
besteht Gebührenfreiheit. Die gelebte Die Zunahme der Anzahl der welchem kein amtliches Dokument
Verwaltungspraxis untermauert den Zugangsgesuche (30 Prozent) hat vorhanden war, wurden die restlichen
von der Staatspolitischen Kommis- sich folglich nicht im gleichen Aus- fünf Zugangsgesuche vollumfänglich
sion des Nationalrats vorgeschlage- mass auf die Erhöhung des Zeitauf- abgelehnt.
nen Grundsatz der Gebührenfreiheit wands (15 Prozent) ausgewirkt. Eben-
beim Zugang zu amtlichen Dokumen- falls zugenommen hat der gemeldete Bundesanwaltschaft
ten (s. Kap. 2.4, Stellungnahme des Zeitaufwand für die Vorbereitung von Die Bundesanwaltschaft meldete für
EDÖB). Schlichtungsverfahren: 569 Stunden 2020 den Eingang von 13 Gesuchen.
Was den Zeitaufwand für die (gegenüber 473 Stunden für 2019). In sechs Fällen wurde dem Zugangs-
Bearbeitung von Zugangsgesuchen gesuch vollständig entsprochen, in
anbelangt, weist der Beauftragte einem Fall wurde der Zugang voll-
erneut darauf hin, dass die Behörden umfänglich verweigert. Für die übri-
nicht verpflichtet sind, diesen zu erfas- gen Gesuche gilt, dass in zwei Fällen
sen, und dass es keine für die gesamte keine amtlichen Dokumente vorhan-
Bundesverwaltung geltenden Vor- den waren und vier Fälle am Ende des
gaben für eine einheitliche Erfassung Berichtsjahres noch hängig sind.
gibt. Die ihm auf freiwilliger Basis
übermittelten Angaben widerspiegeln
die tatsächlich geleisteten Arbeits-
stunden daher nur bedingt. Gemäss
Grafik 2: Erhobene Gebühren seit Inkrafttreten des BGÖ

CHF 25 000
20 000
15 000 15 189
(–17%
gegenüber
Vorjahr)
10 000
5000
0
2007 08 09 10 11 12 13 14 15 16 17 18 19 2020

2.3 Schlichtungsverfahren – weniger Schlichtungsanträge
Im Jahr 2020 wurden beim Beauf- 119 Schlichtungsanträge wurden

tragten 93 Schlichtungsanträge ein- 2020 abgearbeitet, von denen 79 im
gereicht. Verglichen mit den 2019 ein- Berichtsjahr und 40 im Jahr davor ein-
gegangenen 133 Anträgen (wovon 28 gegangen waren. In 40 Fällen konnten
Schlichtungsverfahren den gleichen sich die Beteiligten auf eine Konsens-
Sachverhalt betrafen) entspricht dies lösung einigen. Ausserdem erliess der
einem Rückgang von 30 Prozent. Die Beauftragte 27 Empfehlungen, durch
meisten Schlichtungsanträge wurden die 55 Fälle erledigt werden konnten,
von Privatpersonen (42) und Medien- in denen eine einvernehmliche Lösung
schaffenden (31) eingereicht. Diese zwischen den Parteien nicht ersicht-
Zahlen lassen folgende Feststellun- lich war.
gen zu: In den 401 Fällen, in denen Zu den abgeschlossenen Fällen zu
die Bundesverwaltung den Zugang zählen sind auch elf Anträge, die nicht
vollständig oder teilweise verwei- fristgerecht eingereicht wurden, zwölf
gerte, kam es 93-mal bzw. in 23 Pro- Fälle, in denen die Voraussetzungen
zent der Fälle, in denen das Gesuch für die Anwendung des Öffentlich-
abschlägig beschieden wurde, zur Ein- keitsgesetzes nicht gegeben waren,
reichung eines Schlichtungsantrags sowie ein Schlichtungsantrag, der
beim Beauftragten. Davon betrafen 24 zurückgezogen wurde.
Schlichtungsanträge (26 Prozent) amt- Per Ende Jahr war in acht Schlich-
liche Dokumente mit einem Bezug zu tungsverfahren im Einvernehmen der
Corona. Beteiligten eine Sistierung erfolgt.
Grafik 3: Schlichtungsanträge seit Inkrafttreten des BGÖ

150
120
93
90 (–30%
gegenüber
Vorjahr)
60
30
0
2007 08 09 10 11 12 13 14 15 16 17 18 19 2020

Anteil einvernehmlicher zurückzuführen: In zwei Zugangs-

Lösungen gesuchen hat eine ungewöhnliche
grosse Anzahl an Drittbetroffenen
Zu den vielen Vorteilen der einver- einen Schlichtungsantrag eingereicht
nehmlichen Lösungen gehört, dass sie (in einem Fall zehn und im anderen
eine Beschleunigung des Zugangsver- Fall 18 Drittbetroffene). Aus diesen 28
fahrens ermöglichen und die Basis für Schlichtungsanträgen resultiert mehr
eine allfällige zukünftige Zusammen- als die Hälfte aller Fälle, die mit einer
arbeit zwischen den an der Schlich- Empfehlung abgeschlossen wurden.
tungssitzung Beteiligten schaffen. Im Ergebnis stellt der Beauftragte
Wie wirksam sich die 2017 einge- fest, dass sich mündliche Schlich-
führten Massnahmen und die Durch- tungsverhandlungen unverändert
führung von Schlichtungssitzungen bewähren, um zu raschen und einver-
erwiesen haben, lässt sich vor allem nehmlichen Lösungen zu gelangen. In
am Anteil der einvernehmlichen einigen Fällen wurde von den Beteilig-
Lösungen im Verhältnis zu den Emp- ten angesichts der Corona-Massnah-
fehlungen ablesen. Im Berichtsjahr men eine Sistierung des Verfahrens
konnten 40 einvernehmliche Lösun- bis zu dem Zeitpunkt beantragt, in
gen erzielt werden, und der Beauf- welchem mündliche Verhandlungen
tragte gab 27 Empfehlungen zur wieder möglich sein werden.
Lösung von 55 Fällen ab. Im Verhältnis Der EDÖB publiziert sämtliche
zu den Empfehlungen machen die ein- Empfehlungen auf seiner Website.
vernehmlichen Lösungen somit nur
einen Anteil von 34 Prozent aus, der
Tabelle 1: Einvernehmliche Lösungen
verglichen mit den Vorjahren deutlich
tiefer ausfällt (s. Tabelle 1). 2020 34 %
Wie in Kapitel 2.1 bereits erwähnt,
2019 61 %
hat die Corona-Pandemie dazu geführt,
dass im Zeitraum zwischen März und 2018 55 %
Juni 2020 und damit in 13 Fällen auf

die Durchführung von Schlichtungs-
sitzungen verzichtet werden musste.
Eine einvernehmliche Lösung kann in
aller Regel nur erreicht werden, wenn
eine Schlichtungsverhandlung durch-
geführt wird. So konnte im Berichts-
jahr in den 40 Schlichtungsverhand-
ber
r) lungen, die durchgeführt werden
konnten, in 24 Fällen (60 Prozent)
eine Einigung erzielt werden, was den
Werten der Vorjahre entspricht.
Die im Vergleich zu den Vorjahren
scheinbar zahlreichen Schlichtungs-
verfahren, in denen der Beauftragte
eine Empfehlung abgab, ist hauptsäch-
lich auf eine statistische Auffälligkeit

Dauer der Schlichtungs Häufige Gründe für eine Fristüber-

verfahren schreitung sind Abwesenheiten von
betroffenen Personen oder Behör-
Die Tabelle 2 ist in vier von der Ver- den (Ferien, Krankheit, Reisen), eine
fahrensdauer abhängige Spalten auf- grosse Zahl der am Verfahren beteilig-
geteilt. Zu beachten ist, dass der Zeit- ten Drittpersonen oder die juristische
raum, während dem ein Schlichtungs- Komplexität der Fragestellung, wobei
verfahren auf Antrag resp. mit Ein- im Berichtsjahr Corona-bedingte
verständnis der Beteiligten sistiert ist, Verhinderungen von Parteien sowie
nicht zur Behandlungsdauer gezählt eigenen Personals dazukamen. Solche
wird. Eine Sistierung erfolgt insbeson- Gründe treffen auch auf jene 32 Fälle
dere dann, wenn eine Behörde nach zu, deren Bearbeitung mehr als 100
der Schlichtungssitzung ihre Position Tage in Anspruch nahm, wobei davon
überprüfen möchte oder wenn sie in einem Fall zehn und in einem zwei-
betroffene Dritte anhören muss. Wird ten Fall 18 Verfahren zusammengelegt
die Schlichtungssitzung auf Antrag wurden. Ausserdem wurde die Ein-
einer beteiligten Partei verschoben haltung der Fristen wegen Konsulta-
(bspw. aufgrund von Ferienabwesen- tionen im Ausland, wegen zahlreicher
heit, Krankheit etc.), wird die Zeit- Verhandlungsbestrebungen zwischen
spanne zwischen dem ursprünglich den Beteiligten und wegen der Fülle an
vorgesehenen Termin und dem neu Dokumenten oder der Vielzahl betrof-
angesetzten Termin bzw. die daraus fener Personen zusätzlich erschwert.
resultierende Verfahrensverlängerung Weil die Bearbeitung in derartigen
ebenfalls nicht zur Bearbeitungsdauer Fällen oftmals besonders aufwändig
hinzugerechnet. ist, steht es dem Beauftragten gemäss
Aus der Tabelle 2 wird ersicht- Artikel 12a der Verordnung über das
lich, dass 43 Prozent der im 2020
abgeschlossenen Schlichtungsver-
fahren innerhalb der ordentlichen
Frist von 30 Tagen abgearbeitet wur-
den. In 30 Prozent der Fälle dauerte
das Schlichtungsverfahren zwischen
31 und 99 Tagen und in 27 Prozent gar
länger als 100 Tage.
Tabelle 2: Bearbeitungsdauer S
chlichtungsverfahren
Bearbeitungsdauer in Tagen Zeitraum 2014– Pilotphase 2017 Zeitraum 2018 Zeitraum 2019 Zeitraum 2020
August 2016*
innert 30 Tagen 11 % 59 % 50 % 57 % 43 %
zwischen 31 und 99 Tagen 45 % 37 % 50 % 38 % 30 %
mehr als 100 Tage 44 % 4% 0% 5% 27 %
*
Quelle: Präsentation des Beauftragten, Veranstaltung zum 10. Jahrestag des BGÖ, 2. September 2016

Öffentlichkeitsprinzip der Verwaltung tretungen beigezogen, was einer ein-

(VBGÖ; SR 152.31) frei, die ordent- fachen, pragmatischen und raschen
liche Frist angemessen zu verlängern. Lösungsfindung in der Regel wenig
Im Berichtsjahr wurde den von der förderlich ist.
Corona-Pandemie stark betroffenen
Behörden verschiedentlich Fristver-
längerungen im Schlichtungsverfah- Anzahl hängiger Fälle
ren gewährt.
Die Vorgabe der gesetzlichen Frist Die unten aufgeführten Angaben
von 30 Tagen für die Durchführung geben Auskunft über die Anzahl
von Schlichtungsverfahren kann in der Fälle, die am Ende der jeweiligen
der Regel eingehalten werden, wenn Berichtsjahre hängig waren. Anfang
die Schlichtungssitzungen planmässig, Januar 2021 waren 17 Schlichtungs
d.h. ohne Gesuch auf Verschiebung verfahren hängig, wovon acht sistiert
durch die Beteiligten, innert der Frist sind (drei aus dem Jahr 2019, fünf
nach Eingang des Antrags erfolgreich aus dem Jahr 2020). Sieben Fälle konn-
mit einer Einigung abgeschlossen werten bis zum Redaktionsschluss des
den können. Kommt keine Einigung vorliegenden Berichts abgeschlossen
zustande, kann der Beauftragte seine werden.
schriftliche Empfehlung den Beteilig-
Tabelle 3: Hängige Schlichtungs
ten nicht in jedem Fall innert 30 Tagen
verfahren
nach Eingang des Antrags zustellen.
Ende 17 (davon 9 bis zum
Aus dem pandemiebedingt ange-
2020 Redaktionsschluss erledigt
stiegenen Anteil an schriftlichen und 8 sistiert)
Schlichtungsverfahren und schrift- Ende 43 (davon 40 bis zum
lichen Empfehlungen resultierte für 2019 Redaktionsschluss erledigt
und 3 sistiert)
den Beauftragten ein deutlich erhöhter
Ende 15 (davon 13 im Februar
Arbeitsaufwand. Letzterer führte zu 2018 2019 erledigt und 2
einem Anstieg der Bearbeitungsdauer sistiert)
der Verfahren und entsprechenden
Bearbeitungsrückständen. Angesichts
des neuerlichen Lockdowns zu Beginn
des Jahres 2021 muss der Beauftragte
damit rechnen, dass die Rückstände
noch zunehmen werden.
Desweiteren haben auch in diesem
Berichtsjahr angehörte Drittbetroffene
bereits im Stadium des Zugangs- und
Schlichtungsverfahrens Rechtsver-

2.4 Gesetzgebungsverfahren
CORONA
werden, soweit diese deren Identität Der Beauftragte hatte im Vernehm-
und Bankverbindungen sowie die lassungsverfahren vergeblich aufge-
Gesetzgebungsverfahren für
zugesprochenen und verweigerten zeigt, dass die berechtigten privaten
die Überführung der COVID-
Kreditbeträge zum Inhalt haben. Interessen auch bei Anwendbar-
19-Solidarbürgschaftsver-
Gemäss der Botschaft zum COVID- keit des Öffentlichkeitsgesetzes
ordnung ins COVID-19-Soli-
19-SBüG handelt es sich dabei um geschützt bleiben. So gewähr-
darbürgschaftsgesetz
eine Spezialbestimmung i.S.v. Art. 4 leistet es explizit den Schutz von
Nach dem COVID-19-Solidarbürgschafts- BGÖ, was zur Folge hat, dass diese Geschäftsgeheimnissen (Art. 7 Abs.
gesetz müssen im Rahmen des Bürg- Informationen vom Geltungsbe- 1 Bst. g BGÖ) und der Privatsphäre
schaftsprogrammes des Bundes Identi- reich des Öffentlichkeitsgesetzes sowie der Personaldaten von natür-
tät und Bankverbindungen von Unter- ausgenommen sind und damit auf lichen und juristischen Personen
nehmen und Personen sowie die gespro- Zugangsgesuch hin nicht zugänglich (Art. 7 Abs. 2 BGÖ, Art. 9 Abs. 2
chenen und verweigerten Kreditbeträge sind. BGÖ sowie Art 19 DSG). Auch hat
geheim gehalten werden. Der Beauf- Der Beauftragte hatte sich sowohl der Beauftragte dargelegt, dass das
tragte hatte sich im Gesetzgebungsver- in der Vernehmlassung zum COVID- Bankgeheimnis, dem Öffentlich-
fahren erfolglos gegen diese Einschrän- 19-SBüG wie auch in der daran keitsgesetz gemäss Lehre und Recht-
kung des Öffentlichkeitsprinzips ausge- anschliessenden Ämterkonsultation sprechung vorgeht. Ebenso erfolglos
sprochen. betr. die Botschaft und den Geset- hat der Beauftragte in seiner Stel-
zesentwurf gegen die Einführung lungnahme auf das Bundesgesetz
Mit der Einführung einer befristeten dieser Spezialbestimmung aus- über Finanzhilfen und Abgeltungen
Notverordnung hat der Bundesrat gesprochen. Er hat dabei auch auf (Subventionsgesetz) und das Bun-
am 25. März 2020 einen raschen die mit dem Öffentlichkeitsgesetz desgesetz über die Finanzhilfen an
Zugang zu Überbrückungsfinan- verfolgten Ziele, wie den Nachvoll- Bürgschaftsorganisationen für KMU
zierungen für zahlreiche Unter- zug des Verwaltungshandeln oder hingewiesen. Obwohl beide Gesetze
nehmen ermöglicht, um ihnen die die Verhinderung von Misswirt- offensichtliche Gemeinsamkeiten
notwendige Liquidität zur Krisen- schaft und Korruption, hingewiesen. zum vorliegenden Erlass aufweisen,
bewältigung infolge der Pandemie Angesichts des Einsatzes von 40 sehen sie keine Spezialbestimmun-
sicherzustellen. Die Inhalte dieser Milliarden Franken an Steuergeldern gen im Sinne von Art. 4 BGÖ vor.
Notverordnung wurden in ein dring- war die voraussetzungslose Geheim-
liches und befristetes Bundesgesetz haltung der in Frage stehenden
überführt, welches vom Parlament Informationen nach seinem Dafür-
im Dezember 2020 verabschiedet halten nicht angezeigt. Sofern es
wurde. bei den zugesprochenen Krediten
Nach Art. 12 Abs. 2 des COVID- zu Verlusten kommt, müssen diese
19-Solidarbürgschaftsgesetzes mit Steuergeldern gedeckt werden.
(COVID-19-SBüG) dürfen Perso- Angesichts der nachträglichen Bean-
nendaten und Informationen zu standungen des Verwaltungshan-
einzelnen kreditsuchenden und delns im Zusammenhang mit den
-nehmenden Unternehmen und Bürgschaftsvergaben in der Hoch-
Personen nicht bekannt gegeben seeschifffahrt zeigt sich der Beauf-
tragte erstaunt, dass das Parlament
die vom Bundesrat vorgeschlagene
Geheimhaltung im am 19. Dezem-
ber 2020 verabschiedeten Gesetz
verankert hat.

Ämterkonsultation Entwurf ausnahmsweise soll eine Gebühr ver- Revision des Bundesgesetzes
der Stellungnahme des Bun- langt werden können, nämlich «wenn über die Förderung der
desrates zum Bericht vom ein Zugangsgesuch eine besonders Forschung und der Innovation
15. Oktober 2020 der Staats- aufwendige Beurteilung durch die (FIFG). Ämterkonsultationen
politischen Kommission des Behörde erfordert». Dabei soll gemäss im Rahmen der Vorbereitungs-
Nationalrates zur parlamen- der Kommissionsmehrheit eine Maxi- arbeiten für die Botschaft
tarischen Initiative 16.432 malgebühr von 2000 Franken im des Bundesrates
Graf-Litscher. Gebührenrege- Öffentlichkeitsgesetz festgelegt wer-
lung. Öffentlichkeitsprin- den, während der Bundesrat die Ein- In der Vernehmlassung zur Revision
zip in der Bundesverwaltung zelheiten und den Gebührentarif nach des FIFG wurde der Wunsch geäussert,
Aufwand festlegen soll. Eine Minder- die Bekanntgaberegelung der Namen
Die Staatspolitische Kommission des heit der Kommission will auch die der Referentinnen und Referenten
Nationalrats hat eine Vorlage ausgear- Festlegung der Maximalgebühr dem sowie der wissenschaftlichen Gutach-
beitet, nach welcher der Zugang zu Bundesrat überlassen. ter und Gutachterinnen im Beschwer-
amtlichen Dokumenten grundsätzlich Der Beauftragte unterstützte den deverfahren zu verschärfen. Der Beauf-
kostenlos sein soll und nur in Ausnah- Vorschlag der Kommissionsmehr- tragte hat sich jedoch dagegen ausge-
mefällen eine Gebühr verlangt werden heit, die Maximalgebühr direkt im sprochen.
darf. Der Bundesrat möchte den Maxi- Öffentlichkeitsgesetz festzulegen, weil Bei Beschwerden wegen nicht zu
malbetrag der Gebühr selber in der damit auf Stufe des Gesetzes sicher- gesprochenen Forschungsbeiträgen
Verordnung festlegen können. Demge- gestellt wird, dass die ausnahmsweise sieht Art. 13 Abs. 4 FIFG vor, dass
genüber spricht sich der Beauftragte Gebührenerhebung nicht ein Ausmass die beschwerdeführende Person die
für die Verankerung des Maximalbetra- annehmen wird, das einer Behinde- Namen der Referentinnen und Refe
ges direkt im Öffentlichkeitsgesetz aus. rung des Zugangs zu amtlichen Doku- renten sowie der wissenschaftli-
Mit der parlamentarische Initiative menten gleichkommt. Nachdem sich chen Gutachter und Gutachterinnen
16.432 «Gebührenregelung. Öffent- der Bundesrat gegen die gesetzliche auf Anfrage erhalten kann, wenn diese
lichkeitsprinzip in der Bundesverwal- Festlegung des Höchstbetrages ausge- ihre Zustimmung gegeben haben.
tung» sollen die rechtlichen Grund- sprochen hat, liegt es nun am Natio- Das Bundesverwaltungsgericht hat
lagen im Öffentlichkeitsgesetz so nalrat, über diese Frage zu befinden. in seinem Urteil A-6160/2018 vom
angepasst werden, dass der Zugang zu 4. November 2019 im Rahmen einer
amtlichen Dokumenten in der Regel Beschwerde nach dem Öffentlichkeits-
gebührenfrei sein soll. gesetz Art. 13 Abs. 4 FIFG so ausgelegt,
In der Folge verabschiedete die für dass besagte Namen weiteren unbetei-
das Geschäft zuständige Staatspoli- ligten Personen dann bekannt gegeben
tische Kommission des Nationalrats werden können, wenn die betroffenen
(SPK-N) einen Vorentwurf zur Ände- Referenten und Gutachtenden aus-
rung des Öffentlichkeitsgesetzes, den drücklich ihre Zustimmung gegeben
sie nach der Vernehmlassung zuhan- haben. Gemäss Bundesverwaltungs-
den des Nationalrates überarbeitete. gericht handelt es sich dabei zwar um
Demnach soll neu im Öffentlichkeits- eine Spezialbestimmung im Sinne von
gesetz der Grundsatz der Kostenlosig- Art. 4 BGÖ, was zur Folge hat, dass
keit beim Zugang zu amtlichen Doku- das Öffentlichkeitsgesetz nicht zur
menten verankert werden. Nur noch Anwendung gelangt. Laut dem Gericht
stellt Art. 13 Abs. 4 FIFG jedoch keine
generelle Geheimhaltungspflicht dar.

Im Rahmen der Vernehmlassung

zur Revision des FIFG beantragte der
Schweizerische Nationalfonds SNF die
Bekanntgaberegelung so einzugrenzen,
dass ausschliesslich die beschwerde-
führenden Personen die Bekanntgabe
der in Frage stehenden Namen ver-
langen können. In der Folge hat sich
der Beauftragte gegenüber dem in der
Sache federführende Staatssekretariat
für Bildung, Forschung und Innova-
tion SBFI erfolgreich gegen die Auf-
nahme dieses Anliegen in die Vorlage
eingesetzt.
In der Botschaft des Bundes
rates vom 17. Februar 2021 wurde auf
die beantragte Einschränkung der
Bekanntgaberegelung verzichtet.

Teilrevision des KVG betref- Im Berichtsjahr führte der Beauftragte Neues Bundesgesetz über den
fend Massnahmen zur Kosten- ein Schlichtungsverfahren zu Doku- Allgemeinen Teil der Abga-
dämpfung (zweites Paket) menten des BAG über die Festset- benerhebung und die Kontrol-
zung von Medikamentenpreisen in der le des grenzüberschreitenden
Das Bundesamt für Gesundheit BAG obligatorischen Krankenversicherung Waren- und Personenverkehrs
erarbeitet eine Teilrevision des KVG durch. Konkret wurde um Zugang durch das Bundesamt für Zoll
betreffend Massnahmen zur Kosten- zu Informationen betreffend Arznei- und Grenzsicherheit (BAZG-
dämpfung. Diese Vorlage sieht unter mittel mit Preismodellen ersucht. Da Vollzugsaufgabengesetz)
anderem vor, sämtliche Unterlagen im zwischen dem BAG und der Antrag-
Zusammenhang mit Preismodellen bei stellerin im Schlichtungsverfahren Die Eidgenössische Zollverwaltung
Arzneimitteln in der Krankenversiche- keine Einigung zustande kam, musste (EZV) hat im letzten Quartal des Jahres
rung vom Öffentlichkeitsprinzip auszu- der Beauftragte eine schriftliche Emp- 2020 eine Vernehmlassung für die Ein-
schliessen. Der Beauftragte wehrt sich fehlung erlassen. Das BAG begrün- führung eines neuen BAZG-Vollzugab-
gegen dieses Vorhaben. dete seine Weigerung gegen die Her- gabengesetzes durchgeführt. In dieser
Im 27. Tätigkeitsbericht 2019/2020 ausgabe der verlangten Dokumente Vorlage sind keine Einschränkungen
berichtete der Beauftragte über eine hauptsächlich mit dem Argument, des Öffentlichkeitsprinzips mehr ent-
zu eröffnende Vernehmlassung für dass die Versorgungssicherheit mit halten.
eine Teilrevision des Krankenversiche- innovativen und hochpreisigen Arz- Im 27. Tätigkeitsbericht 2019/2020 hat
rungsgesetzes, welche im vorliegen- neimitteln ohne Geheimhaltung nicht der Beauftragte über die Ämterkonsul-
den Berichtsjahr durchgeführt wurde. weiter gewährleistet werden könne. tation zur Eröffnung der Vernehmlas-
Der Beauftragte hatte sich gegen das Der Beauftragte hielt in der Empfeh- sung für ein neues Bundesgesetz über
Vorhaben des BAG ausgesprochen, das lung u.a. fest, dass seiner Ansicht nach Zoll und Grenzsicherheit berichtet.
Einsichtsrecht der Öffentlichkeit in das geltende Öffentlichkeitsgesetz Der Gesetzesentwurf wurde nach der
die Unterlagen über die Festsetzung keinen Raum lasse, die vom Bundes- Ämterkonsultation überarbeitet und
von Medikamentenpreisen aufzuhe- rat angestrebte Gesetzesänderung trägt neu die Bezeichnung «Bundes-
ben. Die effektiven Preise der Medika- vorwegzunehmen. Da das BAG somit gesetz über den Allgemeinen Teil der
mente, welche von der obligatorischen keine Ausnahmegründe nach dem Abgabenerhebung und die Kontrolle
Krankenpflegeversicherung übernom- geltenden Öffentlichkeitsgesetz nach- des grenzüberschreitenden Waren-
men werden, und die Unterlagen, wel- zuweisen vermochte und damit die und Personenverkehrs durch das Bun-
che zur Preisfestsetzung dienen, sol- gesetzliche Vermutung des Zugangs desamt für Zoll und Grenzsicherheit»
len nach Auffassung des Beauftragten zu den verlangten Informationen (BAZG-Vollzugsaufgabengesetz). Die
weiter öffentlich zugänglich bleiben. nicht widerlegen konnte, empfahl der EZV hat den Bedenken des Beauf-
Andernfalls würde eine undurchsich- Beauftragte den vollständigen Zugang. tragten Rechnung getragen und die
tige Praxis bezüglich der Aufnahme- ursprünglich vorgesehenen Einschrän-
und Überprüfungskriterien in die kungen zum Öffentlichkeitsprin-
Spezialitätenliste und des Rückvergü- zip gestrichen. Die Vernehmlassung
tungsmechanismus entstehen. Sowohl wurde erst im aktuellen Berichtsjahr
für die Bevölkerung wie für die kon- durchgeführt.
kurrierenden Unternehmen soll wei-
terhin möglich sein, die Genehmi-
gungspraxis des BAG umfassend nach-
vollziehen und kontrollieren zu kön-
nen. Das Ergebnis der Vernehmlassung
ist zum Zeitpunkt des Redaktions-
schlusses noch nicht bekannt.

Der EDÖB

Der EDÖB
3.1 Aufgaben und Ressourcen
CORONA
Leistungen und Ressourcen Inkraftsetzung des revidierten DSG
im Bereich Datenschutz die Schaffung der verbleibenden sechs
Pandemie
Vollzeitstellen beantragt.
Die krisenbedingt kurzfristig realisier- Personalbestände Aufgrund von Pensionierungen
ten Datenbearbeitungsprojekte zur Von 2005 bis 2019 hat der Stellen- und anderen Abgängen hat sich die
Bekämpfung der aktuellen Pandemie etat für den Vollzug des Datenschutz- Altersstruktur der Behörde in den letz-
und die gesteigerte Nachfrage nach gesetzes (DSG) zwischen zwanzig ten Jahren verjüngt, was den Personal-
öffentlichen Dokumenten forderten und 24 Vollzeitstellen fluktuiert. Die kredit entlastet.
dem gesamten Personal ausserordent- Schwankungen erklären sich zum
Tabelle 4: Für DSG-Belange
liche Leistungen ab. einen damit, dass 2006 das Öffent-
einsetzbare Stellen
lichkeitsgesetz (BGÖ) in Kraft trat.
2005 22
Als administrativ der Bundeskanzlei Da die dafür vorgesehenen Stellen
zugehörendem Bundesbetrieb hat vom Bundesrat nie bewilligt wurden, 2010 23
der EDÖB sämtliche Vorgaben des musste unsere Behörde auf das bereits 2018 24
Bundesrates zum Schutze der Mitar- bestehende Personal des EDÖB und
2019 24
beitenden vor der Seuche umgesetzt. teilweise auf Mittel der Bundeskanzlei
Das Personal des EDÖB erbrachte zurückgreifen. Zum anderen konnten 2020 27
demzufolge in der Berichtsperiode die mit dem Beitritt zum Abkommen 2021 27
einen Grossteil seiner Arbeits- von Schengen und Dublin sowie dem
leistung in digitaler Heimarbeit. Erlass von Spezialgesetzen im Gesund-
Persönliche Begegnungen waren nur heitsbereich bewilligten zusätzlichen
während weniger Wochen möglich, Stellen infolge allgemeiner Spar
was insbesondere die Einführung vorgaben nie im vollen Umfang rekru-
und Betreuung von neuen Mitarbei- tiert werden.
tenden erschwerte. In seiner Botschaft zur Total
revision des DSG hat der Bundesrat
dem EDÖB die Schaffung zusätzlicher
Mittel im Umfang von neun bis zehn
Stellen in Aussicht gestellt (BBl 2017
7172). Inzwischen hat der Bundes
gesetzgeber mit dem neuen Bundes-
gesetz über den Datenschutz im Rah-
men der Anwendung des Schengen-
Besitzstands in Strafsachen (SDSG,
SR 235.3) einen Teilaspekt dieser Total-
revision vorweggenommen. Nachdem
der Bundesrat dieses Gesetz am per
1. März 2019 in Kraft setzte, hat er dem
EDÖB für die Umsetzung der neuen
Aufgaben und Befugnisse drei zusätz-
liche Stellen zugesprochen, sodass
sich der Stellenetat seit 2020 auf 27
Vollzeitstellen beläuft. Im Frühjahr
2021 hat der EDÖB dem Bundesrat
mit Blick auf die für 2022 vorgesehene

Der EDÖB
Leistungen Beratung tende Pflicht vorsieht, Einzelanliegen

Die Aufgaben des EDÖB als für die Wie im Eingangskapitel «Aktuelle der Schweizer Bevölkerung materiell
Bundesorgane und die Privatwirt- Herausforderungen» dargelegt, sieht zu behandeln.
schaft zuständige Datenschutzbe- sich der EDÖB im Leistungsbereich Da sich Big Data und «künstli-
hörde werden gemäss dem Neuen der Beratung, aufgrund der Not- che Intelligenz» in allen Branchen als
Führungsmodell Bund (NFB) den vier wendigkeit digitale Grossprojekte zu Geschäftsmodell durchsetzen und
Leistungsgruppen Beratung, Aufsicht, begleiten, mit einer konstant hohen die technologischen Datenschutz
Information und Gesetzgebung zuge- Nachfrage konfrontiert. Die für die risiken den Aufsichtsbereich des
wiesen. Im Berichtsjahr vom 1.4.2020 Beratung aufgewendeten personellen EDÖB weiter ausdehnen, ist wie in
bis 31.3.2021 wurden die beim EDÖB Mittel erhöhten sich um rund sieben den Vorjahren von einer weiter stei-
für den Datenschutz einsetzbaren auf 57,8 Prozent. Gemäss dem Kont- genden Anzahl von umfangreichen
Personalressourcen wie folgt auf diese rollplan des EDÖB für das Jahr 2021 ist Datenbearbeitungsprojekten bei Staat
Gruppen aufgeteilt: die beratende Begleitung von fünfzehn und Wirtschaft auszugehen.
grossen Projekten im Gang. Sechs
Tabelle 5: Leistungen Datenschutz Tabelle 6: Beratungen in
dieser Projekte stehen im Zusammen-
umfangreicheren P
rojekten für 2021
Beratung Private 24,8 % hang mit der vom Bundesrat angeord-
Grundrechte 5
Beratung Bund 20,1 % neten digitalen Transformation der
Finanzen 1
Zusammenarbeit 1,8 % Bundesverwaltung, welche den von
mit Kantonen Gesundheit und Arbeit 3
Politik und Medien gerade auch im
Zusammenarbeit 11,1 % Telekom 1
Zusammenhang mit der Pandemie
mit ausl. Behörden
bekämpfung angemahnten Digitalisie- Handel und Wirtschaft 2
Total Beratung 57,8 %
rungsrückstand aufzuholen sucht. Bundesarchiv 1
Aufsicht 15,0 % Da die Mittel des EDÖB mit Blick Migration 1
Zertifizierung 0,1 % auf die rechtlichen und technologi- Zoll 1
Register 0,4 % schen Risiken der dynamisch fort- Total 15
Datensammlung
schreitenden Digitalisierung nach wie
Total Aufsicht 15,0 %
vor knapp bemessen sind, konnte er
Information 17,0 % die gestiegene Nachfrage nach bera-
Ausbildung/Referate 2,4 % tender Projektbegleitung auch in der
Total Information 19,4 % laufenden Berichtsperiode nicht in der
gewünschten Tiefe und Zeit erfüllen.
Gesetzgebung 7,3 %
Die drei Teams des Direktionsbereichs
Total Gesetzgebung 7,3 %
Datenschutz haben monatlich rund
Total Datenschutz 100,0 % sechzig Anfragen und Anzeigen von
Bürgerinnen und Bürgern mit einem
Standardschreiben beantwortet, das
diese auf den zivilprozessualen Weg
verweist. Das führt zunehmend auf
Unverständnis, weil einerseits die
Datenschutzgrundverordnung der EU
die dortigen Datenschutzbehörden
verpflichtet, allen Bürgerklagen nach-
zugehen, und andrerseits das neue
DSG auch für den EDÖB eine auswei-

Der EDÖB
Aufsicht Gesetzgebung Teilnahme an Kommissions

Aufgrund der Dynamik von cloud- Die mit der digitalen Transformation beratungen und Anhörungen
gestützten Applikationen müssen der Bundesämter einhergehenden durch parlamentarische
Kontrollen heute rasch durchgeführt Anpassungen der Personendaten- Kommissionen
werden. Diese Beschleunigung sowie bearbeitungen sind nur auf der Basis
die immer wichtiger werdende Kom- gesetzlicher Grundlagen zulässig. In der Berichtsperiode hat uns die
bination von juristischem und techni- Diese zieht eine Vielzahl von neuen SPK-N im April 2020 zweimal zum
schem Fachwissen schliessen längere und revidierten Bearbeitungsvor- Thema Coronavirus im Zusam-
Unterbrüche bei den Sachverhalts schriften im Bundesrecht nach sich, menhang mit einer Applikation der
klärungen aus, sodass umfassendere zu denen der EDÖB in diversen Kon- Swisscom zur Visualisierung von
Kontrollen von mehreren Mitarbei- sultationsverfahren Stellung bezieht. Menschenansammlungen eingela-
tenden betreut werden müssen. Die Trotz des diesbezüglichen Aufwands den. Daneben hat uns diese Kommis-
aktuellen Personalbestände setzen und trotz der aufwändigen Revision sion Anfang Mai zur Einführung der
der Dichte der Kontrollen enge Gren- des DSG und der dazu gehörenden Corona Warn App angehört. Etwa zu
zen. Im Jahr 2018 wurden für die Auf- Verordnung ist es uns in den letzten der gleichen Zeit konsultierte uns die
sichtstätigkeit rund zwölf Prozent der Berichtsperioden gelungen, die Auf- SPK-S sowohl zur Revision des DSG
Personalressourcen aufgewendet, was sichtstätigkeit auf tiefem Niveau zu (Differenzenbereinigung) als auch
deutlich unter dem langjährigen Mit- stabilisieren, u.a. indem ausführliche zur Teilrevision des AHV-Gesetzes
telwert von rund zwanzig Prozent Stellungnahmen auf Schlüsselprojekte im Zusammenhang mit der Verwen-
lag. In den letzten Berichtsperioden beschränken. dung der AHV Nummer. Ende Mai
konnte zumindest verhindert werden, hat die SPK-S den EDÖB zweimal zur
dass der Anteil unter 15 Prozent sinkt. Totalrevision des DSG dringlichen Änderung des Epidemien
Gemäss Kontrollplan für das Jahr 2021 Mit der bevorstehenden Inkraftset- gesetzes angehört. Bevor uns die glei-
werden mit diesen Mitteln dreizehn zung des neuen DSG und der Voll- che Kommission im Juli 2020 zur
umfassendere Kontrollen bestritten. zugsverordnung sind für den EDÖB Differenzbereinigung der Revision des
Im Vergleich zum Bearbeitungsvo- mit Blick auf neue Aufgaben und DSG einlud, hat sie uns im Vorfeld zu
lumen durch die Bundesorgane und Kompetenzen sowie die rechtzeitige dieser Revision sowie zur Revision
zur Anzahl von rund 12 000 grossen Information von Bevölkerung und des AHV-Gesetzes beigezogen. Im
und mittleren kaufmännischen Unter- Wirtschaft aufwändige Vorbereitungs- Juli dieser Geschäftsperiode wurden
nehmen sowie rund 100 000 Stif- arbeiten verbunden. Die mit Inkraft- wir von den Subkommissionen EJPD/
tungen und Vereinen in der Schweiz setzung des DSG erfolgte Freigabe von BK der GPK eingeladen, um unseren
erweist sich die aktuelle Kontroll- drei Stellen durch den Bundesrat hat jährlichen Tätigkeitsbericht zu präsen-
dichte nach wie vor als tief. Für den dazu beigetragen, dass diese Arbeiten tieren.
Beauftragten bleibt es schwierig, seine voranschreiten. Weitere Anhörungen im Berichts-
ressourcenbedingte Zurückhaltung jahr betrafen das elektronische Pati-
bei der Eröffnung formeller Sachver- entendossier durch die GPK-N und
haltsabklärungen gegenüber Medien die Befragung der SPK-S zur Jugend-
und Konsumentenschutzorganisatio- session über den Datenschutz im
nen zu vermitteln. Mit Blick auf das Gesundheitswesen.
bevorstehende Inkrafttreten des neuen Schliesslich haben uns die SPK
DSG hat sich der Erwartungsdruck der beider Räte zu fünf Sitzungen und
Öffentlichkeit verstärkt. Vor diesem die SGK beider Räte zu zwei Sitzun-
Hintergrund bleibt zu hoffen, dass der gen beigezogen, bei denen es um die
Bundesrat dem EDÖB die sechs bean- Erleichterungen für geimpfte Personen
tragten Stellen zusprechen wird. und weitere COVID-19 Themen ging,
beigezogen.

Der EDÖB
Bemessungskriterien Leistungen und Ressourcen einzelnen Verfahren aus und führte

Ob und in welchem Mass dem EDÖB im Bereich Öffentlichkeits- zusammen mit der unvermindert
Ressourcen zugesprochen werden, gesetz grossen Anzahl von (komplexen und
liegt in der Verantwortung der poli- umfangreichen) Schlichtungsanträgen
tischen Behörden, denen bei der Ein- Der Direktionsbereich Öffentlich- zu einem Rückstau. Darüber hinaus
schätzung aktueller und künftiger Ent- keitsprinzip, in dem im Berichtsjahr hat sich im Berichtsjahr einmal mehr
wicklungen der Digitalisierung und 4,4 Stellen eingesetzt wurden, ist nach gezeigt, dass zahlreiche Schlichtungs-
deren Auswirkungen auf die Tätig- Durchführung eines einjährigen Ver- anträge innerhalb eines kurzen Zeit-
keit unserer Behörde ein erheblicher suchs im Jahr 2017 zu einem beschleu- raums und personelle Vakanzen rasch
Ermessensspielraum bleibt. Kernauf- nigten und summarischen Verfahren Arbeitsrückstände verursachen, wel-
gabe des EDÖB ist der Schutz der Pri- übergegangen, das sich dadurch cha- che dazu beitragen, die Einhaltung
vatsphäre und die Gewährleistung des rakterisiert, dass in der Regel münd- der gesetzlichen Fristen zusätzlich zu
Rechts auf informationelle Selbstbe- liche Schlichtungsverhandlungen erschweren (s. Kap. 2.2).
stimmung in der digitalen Gesellschaft. durchgeführt werden. Dieses Verfah- Es zeichnet sich ab, dass die Ent-
Der EDÖB muss unabhängig handeln ren hat sich seither bewährt, indem wicklung bei der Zunahme von
können. der Anteil der einvernehmlich abge- Schlichtungsanträgen auch für das Jahr
Dies erfordert angemessene und schlossenen Schlichtungen über die 2021 anhält, und dass der Rückstau
ausreichende personelle, materielle, Jahre konstant hoch war und die Über- die fristgemässe Bearbeitung neuer
technische und finanzielle Ressourcen, schreitung der gesetzlichen Fristen in Fälle mit den vorhandenen Ressourcen
welche die Aufsichtsbehörde nicht der Regel auf prozessual und inhalt- zunehmend erschweren wird.
darauf beschränken, reaktiv das Unab- lich komplexe Fälle beschränkt werden
dingbare zu erledigen, sondern ihr die konnte.
Initiative zum Handeln ermöglichen – Infolge der Pandemie und der vom
und zwar mit einem Mass an Glaub- Bundesrat ergriffenen Massnahmen
würdigkeit und Intensität, welches die zum Schutz der öffentlichen Gesund-
betroffene Öffentlichkeit zum Schutz heit konnten sowohl im Berichtsjahr
ihrer Grundrechte vernünftigerweise wie auch im laufenden Jahr über meh-
erwarten darf. rere Monate hinweg keine Schlich-
Mit Blick auf die einzelnen Leis- tungsverhandlungen vor Ort durchge-
tungsgruppen ergeben sich somit fol- führt werden. Der Beauftragte musste
gende, für die Bemessung der Mittel für diese Zeitspannen wieder zum
wegleitende Wirkungsziele: schriftlichen Verfahren zurückkehren.
Dies wirkte sich unmittelbar nach-
teilig auf die Bearbeitungsdauer der
Tabelle 7: Wirkungsziele EDÖB

Leistungsgruppe Wirkungsziele
Beratung Der EDÖB entfaltet eine erwartungsadäquate Präsenz für die Beratung von Privatpersonen sowie die
Begleitung von datenschutzsensiblen Projekten der Wirtschaft und der Bundesbehörden unter Anwendung
digitalisierungstauglicher Arbeitsinstrumente.
Aufsicht Der EDÖB entfaltet eine glaubwürdige Dichte an Kontrollen.
Information Der EDÖB sensibilisiert die Öffentlichkeit proaktiv für technologie- und anwendungsbezogene Risiken
der Digitalisierung.
Gesetzgebung Der EDÖB nimmt rechtzeitig und aktiv Einfluss auf alle datenschutzrelevanten Spezialnormen und
Regelwerke, die auf nationaler und internationaler Ebene geschaffen werden.
Er unterstützt die interessierten Kreise bei der Formulierung von Regeln der guten Praxis.

Der EDÖB

Der EDÖB
3.2 Kommunikation
Die Pandemie dominierte die (s. Schwerpunkt 1). Wenn das Gesetz Anhaltend hohes Medien
Kommunikationsarbeit in Kraft tritt, wird der EDÖB über interesse
neue Aufgaben und gestärkte Auf-
Der Beginn des Berichtsjahres fiel sichtsbefugnisse verfügen, was zu Das grosse mediale Interesse spiegelte
praktisch mit dem Ausbruch der einem weiter ansteigenden Kommu- sich im Berichtsjahr in vielen Stellung-
Corona-Pandemie in der Schweiz nikationsbedarf bzw. einer höheren nahmen des Beauftragten bzw. der
zusammen. Das Thema sollte schliess- Präsenz in der Öffentlichkeit führen Kommunikation zu aktuellen Anfra-
lich die gesamte Periode prägen – und dürfte. Mit Blick auf die Inkraftsetzung gen wie auch in den zahlreichen Arti-
tut es auch darüber hinaus. Die Kom- des neuen Gesetzes und der dazugehö- keln und Beiträgen, die allgemein zum
munikation des Beauftragten war rigen Verordnung werden zurzeit die Datenschutz und dem Öffentlichkeits-
darauf ausgerichtet, relevante Daten- bestehenden Merkblätter, Erläuterun- prinzip in der Verwaltung analog und
schutzrisiken zu benennen und öffent- gen und Leitfäden überarbeitet. digital erschienen sind. Allein in unse-
lich zu machen. Trotz der prinzipiel- rer Medienbeobachtung, die sich auf
len Unabhängigkeit des Beauftragten die Schweizer Medien und eine Aus-
war in vielen Fällen eine behördliche Herausforderungen und Be- wahl von internationalen Key-Print-
Absprache nötig und sinnvoll – im dingungen der Kommunikation produkten stützt, registrierten wir
Dienste einer kohärenten Information gegen 4000 Beiträge. Das sind rund
der Bevölkerung während der Krise. Der Fachbereich Kommunikation doppelt soviel wie in der Vorjahrespe-
Dieser Anspruch an die Kommunika- konnte in der zweiten Jahreshälfte riode – eine Steigerung, die sich nicht
tion bezog sich fallweise ebenso auf 2020 seinen ursprünglichen Stellen- durch die erfolgte Anpassung des
den Austausch mit den kantonalen etat wiederherstellen und verfügt Suchprofils begründen lässt, sondern
Datenschutzbeauftragten. somit über 2,4 Vollzeitstellen, die sich auf die deutlich gesteigerte Relevanz
Im Übrigen führte auch ungeachtet drei Personen teilen. Mit der Beset- hinweist. Mehr als die Hälfte der Bei-
der Pandemie-Themen die beschleu- zung der Stellen konnte auch die träge beziehen sich auf die Corona-
nigte Digitalisierung und Globalisie- Mehrsprachigkeit der Schweiz wieder Pandemie.
rung der Gesellschaft zu anhaltend besser abgebildet werden. Aufgrund Parallel dazu sehen wir im social
omnipräsenten Datenschutzfragen. der beschränkten Ressourcen fokus- web (den sozialen Medien und den
Die Kommunikation des EDÖB blieb siert der Beauftragte die Öffentlich- Online-Plattformen; s. Kennzahlen
entsprechend in vielerlei Hinsicht keitsarbeit auf drei zentrale Kommu- Umschlag hinten) eine starke Aktivi-
gefordert, Medienschaffende und die nikationskanäle: den (vorliegenden) tät. In Bezug auf den EDÖB wurden
breite Öffentlichkeit wirksam über die Tätigkeitsbericht, die Website und die 7320 Nennungen gezählt, wovon in
drängenden Themen zum Schutz der direkte Beziehung zu Medienschaf- 1152 Erwähnungen der Beauftragte
Privatsphäre und des Öffentlichkeits- fenden. Twitter wird eingeschränkt oder ein Sprecher oder eine Sprecherin
prinzips in der Verwaltung zu sensibi- genutzt und auf andere social media direkt zitiert wurde. Über die Hälfte
lisieren. Plattformen wird nicht zuletzt aus dieser Nennungen erfolgte auf Kanä-
Im Fokus stand schliesslich die Datenschutzgründen verzichtet. len im Ausland. Ein zentraler Indikator
parlamentarische Debatte um das neue Im Berichtsjahr haben wir den im social web sind die «Engagements»,
Datenschutzgesetz, die der Beauf- Tätigkeitsbericht neu ausgeschrie- also die Anzahl der Aktivitäten wie
tragte kontinuierlich begleitete und im ben. Mit dem Zuschlag konnten die Likes, Weiterleitung oder Kommen-
September 2020 mit der Verabschie- redaktionellen und konzeptionellen tierung pro Beitrag. Mit 3,36 Engage-
dung durch die beiden Kammern ihr Rahmenbedingungen im bestehenden ments liegt dieser Wert sehr hoch und
Ende fand. Nachdem gegen das totalre- Kostenrahmen verbessert werden. weist auf eine erhöhte, aktive Vernet-
vidierte DSG kein Referendum ergrif- zung in den Communities hin.
fen wurde, haben wir einen Kurzkom- Insgesamt haben wir rund 600
mentar zu den neuen Bestimmungen Medienanfragen bearbeitet – ca. ein
auf unserer Website publiziert Drittel mehr als im Jahr zuvor. Die

Der EDÖB

Der EDÖB
überwiegende Zahl der Kontakte Stellungnahmen, Empfehlun-

erfolgte durch die im Medienzentrum gen und Publikationen
des Bundeshauses akkreditierten Jour-
nalistinnen und Journalisten. Im Berichtsjahr veröffentlichte der
Bürger und Bürgerinnen und Beauftragte diverse Stellungnahmen
Unternehmen nutzten Mail, den Post- und Statements zu aktuellen Projek-
weg oder die telefonische Hotline, um ten und Ereignissen – neben Corona
ihre Anliegen und Fragen bei unseren (s. Box) unter anderem zu folgenden
Fachleuten anzubringen – insgesamt Themen:
erreichten uns über diese Kanäle rund • Beratung und Bestimmungen des
4200 Anfragen. totalrevidierten Datenschutzgesetzes
Wiederum nahm der Beauftragte • Ungenügende Regelung der
bei gegen vierzig Veranstaltungen teil. Datenbearbeitung im neuem Zoll
Unter den Veranstaltern befanden sich polizeigesetz
Verbände und Vereine, Bildungsinsti- • CH- und EU-US Privacy Shield,
tutionen, Behörden oder Unterneh- namentlich zum Urteil des Euro
men sowie Organisationen im Umfeld päischen Gerichtshofes EuGH
der Digitalisierung. betreffend der europäischen Stan-
dardvertragsklauseln
• Datenbearbeitung betreffend Diem
(vormals Libra)
CORONA • KVG-Revision: EDÖB für Transpa-
renz bei Preismodellen
Informationen zu Corona
Der Beauftragte und seine Fachpersonen haben neben der umfangreichen Bera- Auf der Website des EDÖB publizier
tungstätigkeit in der Pandemie auch mehrfach die Haltung betreffend Datenschutz- ten wir zudem 26 Empfehlungen
konformität zentraler Herausforderungen öffentlich gemacht. Namentlich zu fol- betreffend das Öffentlichkeitsprinzip.
genden Themen:
• Auswertung von Mobilitätsverhalten auf dem Gebiet der Schweiz: Zugang des BAG Die Publikation des im Art. 30 DSG
zu visualisierten Daten der Swisscom vorgeschriebenen 27. Tätigkeitsbe-
• Proximity Tracing App: Datenschutzkonformität der SwissCovid App richts 2019/2020 erfolgte am 30. Juni
• Massnahmen für eine sichere Nutzung von Audio- und Videokonferenzlösungen 2020. Dieser wurde erneut in vier
• Corona-Schutzkonzepte durch private Betreiber: Freiwilligkeit der Weitergabe von
Sprachen zur Verfügung gestellt – und
Personendaten
zwar sowohl als gedruckte Version
• Gästelisten und Kontaktdaten: Betreiber müssen bei der Erfassung der Kontakt-
wie auch als auf der Website verlinktes
daten Datenschutz sicherstellen, Einsatz von Apps freiwillig
E-Paper.
• Verfahren gegen Impfplattform bzw. Stiftung meineimpfungen
Im Rahmen des Internationalen Datenschutztages am 28. Januar 2021 erinnerte der

EDÖB gemeinsam mit Privatim, der Konferenz der schweizerischen Datenschutz-
beauftragten, an den nötigen Schutz der Privatsphäre in der Pandemie. Vor den
Medien bekräftigten die Datenschutzbehörden das Recht auf das private und selbst-
bestimmte Leben, das nicht über die Phase der aktuellen Pandemie hinaus einge-
schränkt werden dürfe. Es muss für die Bevölkerung auch künftig möglich sein,
bezüglich digitaler Technologien ein echtes Wahlrecht auszuüben und auf anonyme
Alternativen auszuweichen.

Der EDÖB
3.3 Statistiken
Statistiken über die Tätigkeiten des EDÖB vom 1. April 2020 bis 31. März 2021
(Datenschutz)
Aufwand nach Aufgabengebiet
Aufsicht Bund (Art. 27 DSG)

Aufsicht Private (Art. 29 DSG)
Ausbildung / Referate
Beratung Private
Informationspflicht (Art. 6 DSG)
Beratung Bund
Prüfungsgesuch
Register der Datensammlungen
Gesetzgebung
Schlichtungsverfahren
Information
Zertifizierung
Zusammenarbeit mit ausl. Behörden
Zusammenarbeit mit Kantonen
0% 5% 10% 15 % 20 % 25%
Aufwand nach Sachgebiet
Arbeitsbereich
Datenschutzfragen allgemein
Finanzwesen
Gesundheit
Grundrechte
Handel & Wirtschaft
InfoKommTech (IKT)
Justiz, Polizei & Sicherheit
Statistik & Forschung
Verkehr
Versicherungen
Verteidigung
Zertifizierungen
0% 5% 10 % 15 % 20 % 25 %

Der EDÖB
Mehrjahresvergleich Aufwand
(Angaben in Prozent)
60
Beratung
(+8 % gegenüber Vorjahr)
50
40
30
20 Information
(−4.8 % )
Aufsicht
(−1.2 % )
10
Gesetzgebung
(−2 % )
0
2010 2011 2012 2013 2014 2015 2016 2017 2018 2019 2020

Der EDÖB
Übersicht der Zugangsgesuche vom 1. Januar bis 31. Dezember 2020
en
ig
ig
es
ob
n
de
nd
nd
fg se
ch
an
tä
rt tä
au ei
vo s
zo h
n
e
rh
t ls
ge ls
t/ lw
ge uc
ge
uc
nt ch
t
en
hr ol
ei ol
hr ei
ck es
ig es
me li
em
wä v
rw v
wä t
rü g
ng sg
ku mt
e
s
rt
Ge hl
ch
ge ng
ve ng
ge ng
zu ng
hä ng
Do a
pa
za
su
ga
ga
ga
ga
ga
in
De
An
Zu
Zu
Zu
Zu
Zu
ke
BK 31 20 5 4 0 2 0
EDA 174 88 14 47 11 4 10
EDI 312 114 26 100 8 41 23
EJPD 77 45 11 9 2 3 7
VBS 251 184 10 37 5 10 5
EFD 109 51 13 28 3 6 8
WBF 115 49 15 36 3 7 5
UVEK 105 53 8 32 3 3 6
BA 13 6 1 0 0 4 2
PD 6 0 5 0 0 0 1
Total 2020 (%) 1193 (100) 610 (51) 108 (9) 293 (24) 35 (3) 80 (7) 67 (6)
Total 2019 (%) 916 (100) 542 (62) 86 (11) 171 (21) 38 (6) 43 (5) 36 (4)
Total 2018 (%) 636 (100) 352 (55) 62 (10) 119 (19) 24 (4) 48 (7) 31 (5)
Total 2017 (%) 581 (99) 317 (55) 107 (18) 106 (18) 26 (4) 21 (4) –
Total 2016 (%) 551 (99) 293 (53) 87 (16) 105 (19) 33 (6) 29 (5) –
Total 2015 (%) 597 (100) 319 (53) 98 (16) 127 (21) 31 (5) 22 (4) –
Total 2014 (%) 575 (100) 297 (52) 122 (21) 124 (22) 15 (3) 17 (3) –
Total 2013 (%) 469 (100) 218 (46) 122 (26) 103 (22) 18 (4) 8 (2) –
Total 2012 (%) 506 (100) 223 (44) 138 (27) 120 (24) 19 (4) 6 (1) –
Total 2011 (%) 466 (100) 203 (44) 126 (27) 128 (27) 0 (0) 9 (2) –

Der EDÖB
Statistiken über eingereichte Zugangsgesuche nach Öffentlichkeitsgesetz

vom 1. Januar bis 31. Dezember 2020
en
g
es
ob
en
di
di
fg se
ch
d
än
an
rt tä
au ei
vo s
st
zo h
n
e
rh
ge ls
t/ lw
ge uc
ge
uc
nt ch
h
t l
be er
ic
hr ol
ei ol
hr ei
ck s
ig es
me li
e
ch en
re
wä v
rw v
wä t
rü sg
ng sg
ku mt
e
Fa off
Ge hl
ch
ge ng
ve ng
ge ng
zu g
hä ng
a
n
tr
za
su
ga
ga
ga
ga
ga
in
Be
An
Zu
Zu
Zu
Zu
Zu
ke
Do
Bundeskanzlei BK 21 12 5 3 0 1 0
BK
EDÖB 10 8 1 1
Total 31 20 5 4 0 2 0
Eidg. Departement EDA 174 88 14 47 11 4 10

für Auswärtige
Angelegenheiten Total 174 88 14 47 11 4 10
EDA
Eidg. Departement GS EDI 20 12 0 5 0 3 0
des Inneren
EDI EBG 4 3 0 0 1 0 0
BAK 3 1 0 2 0 0 0
BAR 3 1 0 2 0 0 0
METEO CH 1 1 0 0 0 0 0
NB 0 0 0 0 0 0 0
BAG 181 51 22 69 3 26 10
BFS 7 4 1 0 0 0 2
BSV 19 15 0 4 0 0 0
BLV 25 8 3 9 4 0 1
SNM 0 0 0 0 0 0 0
swissmedic 42 15 0 9 0 10 8
Suva 7 3 0 0 0 2 2
Total 312 114 26 100 8 41 23
Eidg. Justiz- und GS EJPD 5 4 0 0 0 0 1

Polizeidepartement
EJPD BJ 29 18 7 2 0 0 2
fedpol 13 6 2 2 1 0 2
METAS 2 2 0 0 0 0 0
SEM 19 10 1 5 0 3 0
Dienst ÜPF 1 0 1 0 0 0 0
SIR 5 3 0 0 0 0 2
IGE 2 2 0 0 0 0 0
ESBK 0 0 0 0 0 0 0
ESchK 0 0 0 0 0 0 0
RAB 1 0 0 0 1 0 0
ISC-EJPD 0 0 0 0 0 0 0
NKVF 0 0 0 0 0 0 0
Total 77 45 11 9 2 3 7

Der EDÖB
en
ig
ig
ob
n
nd
nd
fg se
ch
de
tä
rt tä
au ei
es
an
zo h
n
vo s
t ls
ge ls
t/ lw
ge uc
ge
uc
e
rh
h
nt ch
be er
ic
hr ol
ei ol
hr ei
ck s
ig es
e
me li
ch en
re
wä v
rw v
wä t
rü g
ng sg
e
ku mt
Fa off
Ge hl
ch
ge ng
ve ng
ge ng
zu ng
hä ng
a
tr
za
su
ga
ga
ga
ga
ga
in
Be
An
Zu
Zu
Zu
Zu
Zu
ke
Do
Eidg. Departement GS VBS 20 7 0 10 1 0 2
für Verteidigung,
Bevölkerungsschutz Verteidig./
34 13 0 9 2 9 1
und Sport Armee
VBS NDB 18 3 8 3 2 0 2
armasuisse 12 9 0 2 0 1 0
BASPO 150 147 2 1 0 0 0
BABS 17 5 0 12 0 0 0
swisstopo 0 0 0 0 0 0 0
OA 0 0 0 0 0 0 0
Total 251 184 10 37 5 10 5
Eidg. Finanz GS EFD 22 11 1 9 0 1 0
departement
EFD ISB 1 0 0 1 0 0 0
EFV 10 1 1 7 1 0 0
EPA 1 1 0 0 0 0 0
ESTV 10 7 0 3 0 0 0
EZV 37 15 7 5 1 3 6
BBL 3 1 1 1 0 0 0
BIT 4 2 0 0 1 0 1
EFK 8 3 3 1 0 0 1
SIF 3 0 0 1 0 2 0
PUBLICA 0 0 0 0 0 0 0
ZAS 10 10 0 0 0 0 0
Total 109 51 13 28 3 6 8
Eidg. Departement GS WBF 9 6 1 0 1 0 1
für Wirtschaft,
Bildung SECO 35 16 10 7 1 0 1
und Forschung SBFI 4 3 0 0 0 0 1
WBF
BLW 14 3 0 7 0 3 1
BWL 7 3 0 3 0 0 1
BWO 3 0 0 3 0 0 0
PUE 2 1 0 1 0 0 0
WEKO 18 11 1 3 1 2 0
ZIVI 0 0 0 0 0 0 0
BFK 2 2 0 0 0 0 0
SNF 2 1 0 0 0 1 0
EHB 1 0 0 0 0 1 0
ETH 16 3 3 10 0 0 0
InnoSuisse 2 0 0 2 0 0 0
Total 115 49 15 36 3 7 5

Der EDÖB
en
n
es
ob
en
di
di
fg se
ch
d
än
an
rt tä
au ei
vo s
st
zo h
n
e
rh
ge ls
t/ lw
ge uc
ge
uc
nt ch
h
t l
be er
ic
hr ol
ei ol
hr ei
ck s
ig es
me li
e
ch en
re
wä v
rw v
wä t
rü sg
ng sg
ku mt
e
Fa off
Ge hl
ch
ge ng
ve ng
ge ng
zu g
hä ng
a
n
tr
za
su
ga
ga
ga
ga
ga
in
Be
An
Zu
Zu
Zu
Zu
Zu
ke
Do
Eidg. Departement GS UVEK 9 8 0 1 0 0 0
für Umwelt,
Verkehr, Energie BAV 14 9 0 3 2 0 0
und Kommunikation BAZL 9 3 0 2 0 1 3
UVEK
BFE 4 3 0 0 0 0 1
ASTRA 9 7 0 2 0 0 0
BAKOM 14 2 2 10 0 0 0
BAFU 38 17 5 13 1 0 2
ARE 0 0 0 0 0 0 0
ComCom 0 0 0 0 0 0 0
ENSI 7 3 1 1 0 2 0
PostCom 1 1 0 0 0 0 0
UBI 0 0 0 0 0 0 0
Total 105 53 8 32 3 3 6
Bundesanwaltschaft BA 13 6 1 0 0 4 2
BA
Total 13 6 1 0 0 4 2
Parlamentsdienste PD 6 0 5 0 0 0 1
PD
Total 6 0 5 0 0 0 1
Gesamttotal 1193 610 108 293 35 80 67

Der EDÖB
Zugangsgesuche 2020 mit Corona-Bezug
19 -
en
D- en
ig
ig
ob
VI mm
n
nd
nd
fg se
de
ch
CO sa
tä
rt tä
au ei
an
es
t Zu
zo h
vo s
n
t ls
ge ls
t/ lw
ge uc
uc
e
rh
ge
h
nt ch
be er
ic
mi m
hr ol
ei ol
hr ei
ck es
ig es
i
me li
ch en
re
wä v
rw v
wä t
rü g
ng sg
ng e
ku mt
Fa off
ha ch
ge ng
ve ng
ge ng
zu ng
hä ng
a
tr
su
ga
ga
ga
ga
ga
in
Be
Ge
Zu
Zu
Zu
Zu
Zu
ke
Do
Bundeskanzlei BK 6 (100 % ) 3 (50 % ) 3 (50 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
BK
EDÖB 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
Total 6 (100 % ) 3 (50 % ) 3 (50 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
Eidg. Departement EDA 13 (100 % ) 12 (92 % ) 1 (8 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )

für Auswärtige
Angelegenheiten Total 13 (100 % ) 12 (92 % ) 1 (8 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
EDA
Eidg. Departement GS EDI 17 (10 % ) 11 (6 % ) 0 (0 % ) 3 (2 % ) 0 (0 % ) 3 (2 % ) 0 (0 % )

des Inneren
EDI EBG 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
BAK 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
BAR 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
METEO CH 1 (1 % ) 1 (1 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
NB 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
BAG 134 (77 % ) 44 (25 % ) 16 (9 % ) 53 (31 % ) 1 (1 % ) 11 (6 % ) 9 (5 % )
BFS 1 (1 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 1 (1 % )
BSV 1 (1 % ) 1 (1 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
BLV 4 (2 % ) 3 (2 % ) 1 (1 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
SNM 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
swissmedic 16 (9 % ) 4 (2 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 9 (5 % ) 3 (2 % )
SUVA 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
Total 174 (100 % ) 64 (37 % ) 17 (10 % ) 56 (32 % ) 1 (1 % ) 23 (13 % ) 13 (7 % )
Eidg. Finanz GS EFD 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )

departement
EFD ISB 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
EFV 9 (36 % ) 1 (4 % ) 1 (4 % ) 6 (24 % ) 1 (4 % ) 0 (0 % ) 0 (0 % )
EPA 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
ESTV 2 (8 % ) 2 (8 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
EZV 11 (44 % ) 1 (4 % ) 5 (20 % ) 3 (12 % ) 0 (0 % ) 0 (0 % ) 2 (8 % )
BBL 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
BIT 3 (12 % ) 2 (8 % ) 0 (0 % ) 0 (0 % ) 1 (4 % ) 0 (0 % ) 0 (0 % )
EFK 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
SIF 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
PUBLICA 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
ZAS 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
Total 25 (100 % ) 6 (11 % ) 6 (11 % ) 9 (16 % ) 2 (4 % ) 0 (0 % ) 2 (4 % )

Der EDÖB
19 -
en
D- en
ig
ig
ob
VI mm
en
nd
nd
fg se
ch
CO sa
d
tä
rt tä
au ei
an
es
t Zu
zo h
vo s
n
t ls
ge ls
t/ lw
ge uc
uc
e
rh
ge
h
nt ch
be er
ic
mi m
hr ol
ei ol
hr ei
ck es
ig es
i
me li
ch en
re
wä v
rw v
wä t
rü g
ng sg
ng e
ku mt
Fa off
ha ch
ge ng
ve ng
ge ng
zu ng
hä ng
a
tr
su
ga
ga
ga
ga
ga
in
Be
Ge
Zu
Zu
Zu
Zu
Zu
ke
Do
Eidg. Justiz- und GS EJPD 1 (14 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 1 (14 % )
Polizeidepartement
EJPD BJ 6 (86 % ) 5 (71 % ) 1 (14 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
fedpol 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
METAS 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
SEM 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
Dienst ÜPF 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
SIR 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
IGE 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
ESBK 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
ESchK 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
RAB 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
ISC-EJPD 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
NKVF 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
Total 7 (100 % ) 5 (71 % ) 1 (14 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 1 (14 % )
Eidg. Departement GS UVEK 1 (25 % ) 1 (25 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )

für Umwelt,
Verkehr, Energie BAV 2 (50 % ) 1 (25 % ) 0 (0 % ) 0 (0 % ) 1 (25 % ) 0 (0 % ) 0 (0 % )
und Kommunikation BAZL 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
UVEK
BFE 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
ASTRA 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
BAKOM 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
BAFU 1 (25 % ) 1 (25 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
ARE 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
ComCom 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
ENSI 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
PostCom 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
UBI 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
Total 4 (100 % ) 3 (75 % ) 0 (0 % ) 0 (0 % ) 1 (25 % ) 0 (0 % ) 0 (0 % )
Eidg. Departement GS VBS 8 (16 % ) 1 (2 % ) 0 (0 % ) 5 (10 % ) 0 (0 % ) 0 (0 % ) 2 (4 % )

für Verteidigung,
Verteidig./
Bevölkerungsschutz 23 (46 % ) 10 (20 % ) 0 (0 % ) 3 (6 % ) 1 (2 % ) 8 (16 % ) 1 (2 % )
Armee
und Sport
VBS NDB 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
armasuisse 1 (2 % ) 1 (2 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
BASPO 3 (6 % ) 3 (6 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
BABS 15 (30 % ) 3 (6 % ) 0 (0 % ) 12 (24 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
swisstopo 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
OA 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
Total 50 (100 % ) 18 (36 % ) 0 (0 % ) 20 (40 % ) 1 (2 % ) 8 (16 % ) 3 (6 % )

Der EDÖB
19 -
en
D- en
ig
ig
ob
VI mm
n
nd
nd
fg se
de
ch
CO sa
tä
rt tä
au ei
an
es
t Zu
zo h
vo s
n
t ls
ge ls
t/ lw
ge uc
uc
e
rh
ge
h
nt ch
be er
ic
mi m
hr ol
ei ol
hr ei
ck es
ig es
i
me li
ch en
re
wä v
rw v
wä t
rü g
ng sg
ng e
ku mt
Fa off
ha ch
ge ng
ve ng
ge ng
zu ng
hä ng
a
tr
su
ga
ga
ga
ga
ga
in
Be
Ge
Zu
Zu
Zu
Zu
Zu
ke
Do
Eidg. Departement GS WBF 2 (8 % ) 2 (8 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
für Wirtschaft,
Bildung und SECO 14 (56 % ) 5 (20 % ) 7 (28 % ) 2 (8 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
Forschung SBFI 1 (4 % ) 1 (4 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
WBF
BLW 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
BWL 5 (20 % ) 2 (8 % ) 0 (0 % ) 2 (8 % ) 0 (0 % ) 0 (0 % ) 1 (4 % )
BWO 3 (12 % ) 0 (0 % ) 0 (0 % ) 3 (12 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
PUE 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
WEKO 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
ZIVI 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
BFK 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
SNF 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
EHB 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
ETH 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
InnoSuisse 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
Total 25 (100 % ) 10 (40 % ) 7 (28 % ) 7 (28 % ) 0 (0 % ) 0 (0 % ) 1 (4 % )
Bundesanwaltschaft BA 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
BA
Total 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 0 (0 % )
Parlamentsdienste PD 4 (100 % ) 0 (0 % ) 3 (75 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 1 (25 % )

PD
Total 4 (100 % ) 0 (0 % ) 3 (75 % ) 0 (0 % ) 0 (0 % ) 0 (0 % ) 1 (25 % )
Anzahl Schlichtungsgesuche nach Kategorien der Antragssteller
Kategorie Antragsteller 2020
Medien 31
Privatpersonen (bzw. keine genaue Zuordnung möglich) 42
Interessenvertreter (Verbände, Organisationen, Vereine usw.) 5
Rechtsanwälte 7
Unternehmen 7
Universitäten 1
Total 93

Der EDÖB
Zugangsgesuche der gesamten Bundesverwaltung

vom 1. Januar bis 31. Dezember 2020
Zugang gewährt 51%
Zugang teilweise gewährt / aufgeschoben 25%
Zugang verweigert 9%
Rückzug 3%
hängig 7%
kein amtliches Dokument vorhanden 5%
350 Anzahl Gesuche
300
250
200
150
kein amtliches Dokument
vorhanden
hängig
100
Rückzug
Zugang verweigert
50
Zugang teilweise
gewährt / aufgeschoben
0 Zugang gewährt
BK EDA EDI EJPD VBS EFD WBF UVEK BA PD

Der EDÖB
3.4 Organisation EDÖB (Stand 31. März 2021)
Organigramm

Adrian Lobsiger, Beauftragter
Marc Buntschu, stv. Beauftragter
Kommunikation Gesetzgebung, Kantone

Hugo Wyler Buntschu Marc
Direktionsbereiche
Datenschutz Öffentlichkeits Kompetenzzentren Internationale

Daniel Dzamko prinzip Kosmas Angelegenheiten
Reto Ammann Tsiraktsopoulos Caroline Gloor
Kompetenzzentrum Kompetenzzentrum
Geschäftsverwaltung, IT und Digitale
Team 1 Team 2 Team 3 Personelles und Gesellschaft
Finanzen

Der EDÖB
Mitarbeiter und Mitarbeiterinnen des EDÖB
Anzahl Mitarbeitende 38
FTE 31.8
nach Geschlecht Frauen 20 53 %
Männer 18 47 %
nach Beschäftigungsgrad 1–89 % 25 63 %
90–100 % 13 37 %
nach Sprache Deutsch 30 79 %
Französisch 7 18 %
Italienisch 1 3%
nach Alter 20–49 Jahre 24 63 %
50–65 Jahre 14 37 %
Kaderpositionen Frauen 3 33 %
Männer 6 67 %

Abkürzungsverzeichnis
Abkürzungsverzeichnis
AHVN13 13-stellige AHV-Nummer EDSA Europäischer Datenschutzaus- NaDB Programm Nationale Daten
schuss bewirtschaftung
BCR verbindliche Unternehmensregeln
EDSB Europäischer Datenschutzbeauf- NCSC Nationales Zentrum für Cyber-
BGEID Bundesgesetz über elektroni- tragter sicherheit
sche Identifizierungsdienste (E-ID-
Gesetz) EpG Bundesgesetz über die Bekämp- NDB Nachrichtendienst des Bundes
fung übertragbarer Krankheiten des
BGÖ Bundesgesetz über das Öffentlich- Menschen (Epidemiengesetz) PBG Personenbeförderungsgesetz
keitsprinzip der Verwaltung (Öffentlich-
keitsgesetz BGÖ) EPD Elektronisches Patientendossier PNR Flugpassagierdaten
Konvention 108+ Übereinkommen des EPDG Bundesgesetz über das elektroni- Privatim Konferenz der Schweizer

Europarats zum Schutz des Menschen bei sche Patientendossier Datenschutz-Beauftragten (kantonale
der automatischen Verarbeitung Datenschutzbehörden)
personenbezogener Daten EuGH Europäischen Gerichtshofs
SCC Standardvertragsklauseln
Datareg Register der Daten GPA Internationale Konferenz der
sammlungen Datenschutzbeauftragten SDSG Bundesgesetz über den Daten-
schutz im Rahmen der Anwendung des
DSG Datenschutzgesetz IKT Informations- und Kommunika- Schengen-Besitzstands in Strafsachen
tionstechnologien [SR 235.3]
DSGVO EU-Datenschutzgrundverord-
nung KI Künstliche Intelligenz

Abbildungsverzeichnis
Abbildungsverzeichnis
Grafiken Tabellen
Grafik 1: Beurteilung Zugangsgesuche – Tabelle 1: Einvernehmliche

Entwicklung seit 2006.......................... S. 69 Lösungen............................................... S. 73
Grafik 2: Erhobene Gebühren seit Tabelle 2: Bearbeitungsdauer

Inkrafttreten des BGÖ........................... S. 71 Schlichtungsverfahren.........................S. 74
Grafik 3: Schlichtungsanträge seit Tabelle 3: Hängige

I nkrafttreten des BGÖ...........................S. 72 Schlichtungsverfahren.........................S. 75
Tabelle 4: Für DSG-Belange

einsetzbare Stellen.............................. S. 82
Tabelle 5: Leistungen Datenschutz..... S. 83
Tabelle 6: Beratungen in umfang-

reicheren Projekten für 2021............... S. 83
Tabelle 7: Wirkungsziele EDÖB.............. S. 85

Impressum
Dieser Bericht ist in vier Sprachen vorhanden und über das Internet (www.derbeauftragte.ch) aufrufbar.
Vetrieb: BBL, Verkauf Bundespublikationen, CH-3003 Bern
www.bundespublikationen.admin.ch
Art.-Nr. 410.028.D
Layout: Ast & Fischer AG, Wabern

Fotografie: Nicolas Stadler
Schriften: Pressura, Documenta
Druck: Ast & Fischer AG, Wabern
Papier: PlanoArt®, holzfrei hochweiss

Kennzahlen
Leistungen Datenschutz
57,8 % 15,0 % 19,4 % 7,3 %

Beratung Aufsicht Information Gesetzgebung
Zugangsgesuche Öffentlichkeitsprinzip (BGÖ)
51 % 25 % 9% 3% 7% 5%
gewährt teilweise gewährt/ verweigert Rückzug hängig kein amtliches
aufgeschoben Dokument vorhanden
Mediale Resonanz des Beauftragten im Social Web
Mentions* Engagement**
2019 8541 15’215

2019
2020 8541
7320 15’215
24’561
2020 7320 24’561
* Anzahl aller Erwähnungen des EDÖB (sog. Mentions auf Blogs, Twitter, Onlinenews, etc.)
** Anzahl aller Interaktionen (Likes, Retweets, etc.)

4% 1% 1%
2%
13 % 6% 6% 6%
7%
9%
31 %
2019 Medientypen 20 % Tonalität Sprachen 37 % Länder
8% 55 %
55 % 87 % 52 %
2% 1%
6% 9%
7% 15 % 12 %
10 %
10 % 5%
2020 45 %
42 % 16 %
47 %
35 %
35 %
81 % 22 %
Online News Positiv Deutsch Schweiz

Twitter Negativ Englisch USA
Newspaper Neutral Französisch Deutschland
Blogs Italienisch Frankreich
Andere Andere Andere
Anliegen des Datenschutzes
Faire Information Wahlmöglichkeit Risikoanalyse

Unternehmen und Bundesorgane Betroffene geben ihre Einwilligung Bereits im Projekt werden die
informieren transparent über ihre informiert und erhalten eine echte möglichen Datenschutzrisiken
Datenbearbeitung: verständlich Wahlfreiheit. identifiziert und deren Auswirkun-
und vollständig. gen mit Massnahmen minimiert.
Datenrichtigkeit Verhältnismässigkeit Zweckgebundenheit

Die Bearbeitung erfolgt mit Kein Datensammeln auf Vorrat, Die Daten werden nur zu dem Zweck
zutreffenden Daten. sondern nur so weit wie nötig bearbeitet, der bei der Beschaffung
zur Erreichung des Zwecks. angegeben wurde, aus den
Die Datenbearbeitung wird umfang- Umständen ersichtlich oder
mässig und zeitlich limitiert. gesetzlich vorgesehen ist.
Datensicherheit Dokumentation Eigenverantwortung

Die Datenbearbeiter stellen Alle Datenbearbeitungen werden Private und Bundesorgane nehmen
technisch und organisatorisch durch den Datenbearbeiter ihre Pflicht zur Beachtung der
sicher, dass die Personendaten dokumentiert und klassifiziert. Datenschutzgesetzgebung eigen-
hinreichend geschützt sind. verantwortlich wahr.
Feldeggweg 1
CH-3003 Bern
E-Mail: info@edoeb.admin.ch
Website: www.derbeauftragte.ch
@derBeauftragte
Telefon: +41 (0)58 462 43 95 (Mo – Fr, 10 – 12 Uhr)
Telefax: +41 (0)58 465 99 96

Taetigkeitsbericht No28 EDOEB 2020-21 DE

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Taetigkeitsbericht No28 EDOEB 2020-21 DE

Hochgeladen von

Copyright:

Verfügbare Formate

CORONA 20/21

28. Tätigkeitsbericht 2020/21

Der vorliegende Bericht deckt den Zeitraum zwischen 1. April 2020

211453_DE_Taetigkeitsbericht_No28_EDOEB_2020-21.indd 1 14.06.21 07:06

211453_DE_Taetigkeitsbericht_No28_EDOEB_2020-21.indd 2 14.06.21 07:06

Bern, den 31. März 2021

28. Tätigkeitsbericht 2020/21

211453_DE_Taetigkeitsbericht_No28_EDOEB_2020-21.indd 3 14.06.21 07:06

Aktuelle Herausforderungen...................... 6 – Datenschutzkonforme ­Umsetzung des COVID-19-­

Datenschutz – Elektronisches Patientendossier – Erste Stamm­

– Zugang des BAG zu Mobilitätsdaten der Swisscom – Datenschutzrechtliche Aspekte im Homeoffice

– Programm Nationale Daten­bewirtschaftung – Datenschutzrechtliche Vorgaben zur Früherkennung von

1.3 Steuer- und Finanzwesen.......................... 31 Schwerpunkt II. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56

– Datenschutzrechtliche Herausforderungen mit

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter

211453_DE_Taetigkeitsbericht_No28_EDOEB_2020-21.indd 4 14.06.21 07:06

Öffentlichkeitsprinzip Der EDÖB

2.2 Zugangsgesuche – erneute Zunahme – Pandemie

Impressum ............................................ 104

Texte und Bilder mit Coronabezug

28. Tätigkeitsbericht 2020/21

211453_DE_Taetigkeitsbericht_No28_EDOEB_2020-21.indd 5 14.06.21 07:06

6 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter

211453_DE_Taetigkeitsbericht_No28_EDOEB_2020-21.indd 6 14.06.21 07:06

«Die Bevölkerung soll nicht in eine

28. Tätigkeitsbericht 2020/21 7

211453_DE_Taetigkeitsbericht_No28_EDOEB_2020-21.indd 7 14.06.21 07:06

«Die Sicherheitsbehörden des Bundes tun sich

8 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter

211453_DE_Taetigkeitsbericht_No28_EDOEB_2020-21.indd 8 14.06.21 07:06

lichster Bundesgesetze Personendaten

Die eidgenössischen Räte haben ihre

28. Tätigkeitsbericht 2020/21 9

211453_DE_Taetigkeitsbericht_No28_EDOEB_2020-21.indd 9 14.06.21 07:06

II Beratungs-, Kontroll- und Schlichtungstätigkeit

10 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter

211453_DE_Taetigkeitsbericht_No28_EDOEB_2020-21.indd 10 14.06.21 07:06

III Nationale und internationale Kooperation

Nationale Kooperation Europarat Wegfall des Swiss-US Privacy

28. Tätigkeitsbericht 2020/21 11

211453_DE_Taetigkeitsbericht_No28_EDOEB_2020-21.indd 11 14.06.21 07:06

211453_DE_Taetigkeitsbericht_No28_EDOEB_2020-21.indd 13 14.06.21 07:06

1.1 Digitalisierung und Grundrechte

Datenschutzfolgen- Grundrechte bewertet und Massnah- Projekt der Schweizer

14 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter

211453_DE_Taetigkeitsbericht_No28_EDOEB_2020-21.indd 14 14.06.21 07:06

Cloud-Initiativen zur den verschiedensten Ausprägungen. Um dieser Fragestellung Rechnung

28. Tätigkeitsbericht 2020/21 15

211453_DE_Taetigkeitsbericht_No28_EDOEB_2020-21.indd 15 14.06.21 07:06

16 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter

211453_DE_Taetigkeitsbericht_No28_EDOEB_2020-21.indd 16 14.06.21 07:06

28. Tätigkeitsbericht 2020/21 17

211453_DE_Taetigkeitsbericht_No28_EDOEB_2020-21.indd 17 14.06.21 07:06

18 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter

211453_DE_Taetigkeitsbericht_No28_EDOEB_2020-21.indd 18 14.06.21 07:06

den Behörden bestimmte Angaben nur

28. Tätigkeitsbericht 2020/21 19

211453_DE_Taetigkeitsbericht_No28_EDOEB_2020-21.indd 19 14.06.21 07:06

Der EDÖB hat bei einem Schweizer

20 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter

211453_DE_Taetigkeitsbericht_No28_EDOEB_2020-21.indd 20 14.06.21 07:06

28. Tätigkeitsbericht 2020/21 21

211453_DE_Taetigkeitsbericht_No28_EDOEB_2020-21.indd 21 14.06.21 07:06

Aktuelle Herausforderungen...................... 6 – Datenschutzkonforme Umsetzung des COVID-19-

Datenschutz – Elektronisches Patientendossier – Erste Stamm

– Programm Nationale Datenbewirtschaftung – Datenschutzrechtliche Vorgaben zur Früherkennung von

Migros Sachverhalts Nach Auswertung der Stellung- sonendaten im Zusammenhang mit