30. Tätigkeitsbericht 2022/2023: Neues Recht stärkt Funktionen des EDÖB
Veröffentlicht am:Medienmitteilung des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) vom 26.06.2023
Das am 1. September 2023 in Kraft tretende neue Datenschutzgesetz wird die aufsichtsrechtliche Tätigkeit des EDÖB intensivieren. Der risikobasierte Ansatz liefert den Verantwortlichen zeitgemässe Instrumente zur Sicherstellung des Datenschutzes in digitalen Projekten und schärft die Sensibilität für die Privatsphäre. Der 30. Tätigkeitsbericht des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten legt den Fokus auf die rechtlichen Neuerungen, die mit dem Fortschreiten der Digitalisierung notwendig sind. Er legt den Finger aber auch auf Tendenzen in der Exekutivpolitik, das Öffentlichkeitsgesetz durch Notrecht zu umgehen.
Neues Datenschutzgesetz
30 Jahre nach Inkrafttreten des Bundesgesetzes über den Datenschutz (DSG) publiziert der EDÖB heute seinen 30. Tätigkeitsbericht. Am 1. September 2023 wird eine totalrevidierte Fassung dieses Erlasses, inkl. Vollzugserlassein Kraft treten, mit welcher der Gesetzgeber der Wirtschaft, der Bundesverwaltung und der Datenschutzaufsicht des Bundes neue Instrumente zur Verfügung stellt, um den berechtigten Erwartungen der Bevölkerung an einen robusten und rechtsstaatlichen Schutz ihrer Privatsphäre und informationellen Selbstbestimmung in der digital geprägten Realität gerecht zu werden.
Neue Webseite und Meldeportale
Die Arbeiten des EDÖB-Teams zur Sicherstellung des reibungslosen Übergangs zum neuen Recht verlaufen plangemäss. Seit Anfang Mai 2023 bieten wir eine neue Webseite an, deren Inhalte auf das neue DSG abgestimmt sind und bis zum Inkraftsetzungsdatum laufend ergänzt wird. Dort sind zudem zwei neue Online-Meldeportale abrufbar: Die Bearbeitungsverzeichnisse der Bundesorgane (DataReg), sowie das Portal zur Meldung von Verletzungen der Datensicherheit (DataBreach). Das dritte Portal mit dem Verzeichnis der betrieblichen Datenschutzberaterinnen und -berater folgt im Laufe des Sommers.
Intensivierung der Aufsicht
Während der EDÖB bei Datenbearbeitungen durch Privatpersonen nach geltendem DSG nur dann eine Sachverhaltsabklärung eröffnen durfte, wenn ein Systemfehler vorlag und die Daten einer grösseren Anzahl von Personen kompromittiert waren, fällt diese Schwelle nach dem neuen Recht weg. Der EDÖB wird somit ab Inkrafttreten des revidierten DSG seine aufsichtsrechtliche Tätigkeit intensivieren und die Anzahl der formellen Untersuchungen schrittweise erhöhen.
Vorsicht beim Einsatz von Überwachungssensoren
Die jüngsten Reaktionen auf die öffentliche Ausschreibung zu Beschaffung eines Kundenfrequenz-Messystems der SBB haben eine ablehnende Haltung der Schweizer Bevölkerung gegenüber einer wachsenden Anzahl von Sensoren auf privaten und öffentlichen Geländen verdeutlicht. Der von diesen Sensoren ausgehende „Chilling Effekt“ kann dazu führen, dass die Menschen in ihrer selbstbestimmten Lebensführung eingeschränkt werden. Bedenklich ist dabei auch, dass selbst preisgünstige Produkte bei entsprechender Konfiguration mit dem Internet oder anderen Datenbeständen verknüpft oder gar zu autonomen Datenbearbeitungen befähigt werden können. Der EDÖB rät den Verantwortlichen digitaler Projekte deshalb, sich beim Einsatz von Sensorik Zurückhaltung aufzuerlegen. Mittelfristig hält er eine bundesrechtliche Regelung der automatisierten Analyse und Erkennung von Gesichtern oder anderen persönlichen Merkmalen wie Stimmen für angezeigt.
Merkblatt für White Hat Hacker
Auch in der letzten Berichtsperiode wurden dem EDÖB von gutgesinnten, gemeinhin als ethische Hacker oder „White Hat Hacker“ bezeichneten Hacker Datenschutz- und Sicherheitslücken gemeldet. So führten wir nach Eingang eines Hinweises einer Privatperson eine Sachverhaltsabklärung zu einer unzureichend gesicherten Datenbank privater Covid-19-Testzentren durch. Nachdem sich zeigte, dass die Verantwortlichen nach Bekanntwerden des Mangels angemessene Sofortmassnahmen eingeleitet hatten und nachweisen konnten, dass ausser dem White Hat Hacker keine Dritten auf die Daten zugegriffen hatten, wurde die Untersuchung ohne Empfehlungen abgeschlossen. Damit in derartigen Fällen alle Akteure effizient handeln und es möglichst wenigen Rechtsverletzungen kommt, hat der EDÖB ein Merkblatt mit praktischen Handlungsvorschlägen verfasst.
Liste der Ausnahmen vom Öffentlichkeitsgesetz wächst
Nach der von notrechtlichen Entscheiden geprägten Phase der Coronapandemie und dem Rettungsschirm für die Strombranche hat der Bundesrat mit der Notverordnung zur Rettung der Credit Suisse ein weiteres Mal Tätigkeiten der Verwaltung dem Öffentlichkeitsgesetz entzogen. Dieser Ausschluss der vom Öffentlichkeitsgesetz garantierten Zugangsrechte der Bürgerinnen und Bürger über das Notrecht wirft grundsätzliche Rechtsfragen auf und hat den EDÖB dazu bewogen, eine Liste der Ausschlüsse vom Öffentlichkeitsgesetz zu führen. Der vorliegende Tätigkeitsbericht enthält eine entsprechende Tabelle, die künftig laufend aktualisiert und auch auf unserer Website zu finden sein wird.
Adresse für Rückfragen
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB), Tel. +41 58 464 94 10, info@edoeb.admin.ch, https://www.edoeb.admin.ch/
Links
– 30. Tätigkeitsbericht 2022/2023 des EDÖB
– Merkblatt für ethische Hacker
– Abschluss der Sachverhaltsabklärung zur Datenbank privater Covid-19-Testzentren
– Spezialbestimmungen nach Art. 4 BGÖ