August 2017

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat kürzlich seinen Tätigkeitsbericht für 2016/2017 veröffentlicht. Der Bericht zeigt die Schwerpunkte der Tätigkeiten des EDÖB im Berichtsjahr und die aktuellen Herausforderungen in den Bereichen des Datenschutzes und des freien Zugangs zu amtlichen Dokumenten (Öffentlichkeitsprinzip) auf.

Im Bereich des Datenschutzes behandelt der Bericht insbesondere die Verwendung der AHV-Nummer als Identifikationsmittel in öffentlichen Registern oder als Personenidentifikator ausserhalb des Sozialversicherungsbereichs , die Revision des Bundesgesetzes über den Datenschutz, die Stellungnahme des EDÖB zu den Verordnungen des Bundesgesetzes betreffend die Überwachung des Post- und Fernmeldeverkehrs sowie das Verfahren vor dem Bundesverwaltungsgericht gegen eine Wirtschaftsauskunftei betreffend die Schranken der Bearbeitung auf von Personendaten, auch wenn diese bereits vorher öffentlich publiziert worden sind. Weiter äussert sich der Bericht zu den Ausführungsbestimmungen zum Bundesgesetz über das elektronische Patientendossier und zum Abschluss des Swiss-US Privacy Shields, das die datenschutzkonforme Datenübermittlung in die USA ermöglicht. Im Bereich des Öffentlichkeitsprinzips informiert der Bericht insbesondere zu den Plänen des Bundesrates, das Beschaffungsrecht vom Öffentlichkeitsgesetz auszunehmen und die diesbezügliche Stellungnahme des EDÖB.

Speziell zu erwähnten sind die Aktivitäten des EDÖB betreffend die Bearbeitung von Nutzerdaten im Zusammenhang mit dem Betriebssystems Windows 10. Der EDÖB erliesse Empfehlungen zur Verbesserung der Transparenz der Datenbearbeitung und der Wahlmöglichkeiten der Benutzer bezüglich der Übermittlung ihrer Daten an Microsoft und deren Bearbeitung durch letztere erlassen. Die Empfehlungen wurden von Microsoft angenommen. Der erste Teil dieser Empfehlungen hat Microsoft im Softwarerelease vom April 2017 weltweit umgesetzt, der zweite Teil folgt im Herbst dieses Jahres. Die mit Microsoft gefundene Lösung soll inskünftig als Richtschnur für die Unternehmen aller Branchen, die digitale Anwendungen anbieten, dienen.

Eine neue Aufgabe erhält der EDÖB im Zusammenhang mit dem Inkrafttreten des Bundesgesetzes über das elektronische Patientendossier (EPDG) und die dazugehörenden Ausführungsbestimmungen. Letztere regeln auf Verordnungsstufe zahlreiche für den Datenschutz und die Datensicherheit relevante Vorgaben. Von zentraler Bedeutung dabei sind die technischen und organisatorischen Zertifizierungsvoraussetzungen (TOZ) für die Gemeinschaften von Gesundheitsfachpersonen und deren Organisationen, welche ein elektronische Patientendossier betreiben. Der EDÖB ist mit Inkrafttreten des EPDG und den Ausführungsbestimmungen neu die zuständige Datenschutzaufsichtsbehörde für alle eHealth-Gemeinschaften und die Herausgeber von Identifikationsmitteln.

Ferner weist der EDÖB darauf hin, dass entsprechend der zunehmenden Verbreitung des Konzepts von Big Data und wegen des damit aufgrund der Leistungsfähigkeit der eingesetzten Tools verbundenen Risikos der Re-Identifikation von betroffenen Personen sich seine Aufsichtstätigkeit auf eine Vielzahl von Projekten der Bundesbehörden und der Wirtschaft ausgedehnt worden sei, auch wenn die betreffenden Projekten diese wissenschaftliche, statistische sowie technische oder administrative Zwecke ohne Personenbezug verfolgen.

Auf Wunsch privater Unternehmen und staatsnaher Betriebe sei der EDÖB deswegen vermehrt dazu übergegangen, Projekte, welche die Bearbeitung grosser Mengen an Daten aus menschlichen Quellen zum Gegenstand haben, beratend zu begleiten. Das Prinzip des Privacy-by-Design, wonach die Grundsätze von Datenschutz und Privatsphäre schon in der Entwicklung von Applikationen berücksichtigt werden, und welches sowohl im Entwurf des neuen Bundesgesetzes über den Datenschutz wie auch in der ab Mai 2018 anwendbaren Europäischen Datenschutzgrundverordnung vorgesehen ist, würden bei einer phasenweisen Beurteilung wichtiger Projektschritte durch die Datenschutzbehörde helfen, kostspielige und reputationsschädigende nachträgliche Korrekturen zu vermeiden. Als aktuelle Beispiele führt der EDÖB Grossprojekte wie Mobility Pricing der öffentlichen Verkehrsbetriebe und des UVEK oder Admeira von Swisscom, SRG und Ringier auf.

Gestützt auf diese Aussagen und das Inkrafttreten der neuen schweizerischen und europäischen Datenschutzgesetzgebung werden wohl zukünftig vermehrt Kontrollen bei Unternehmen, die grosse Mengen von personenbezogenen Daten bearbeiten, durch den EDÖB durchgeführt werden.