22. Tätigkeitsbericht des Eidg. Datenschutzbeauftragten (EDÖB)

Juli 29, 2015 12:12 am

Der im November zurücktretende Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) Hanspeter Thür hat am 29. Juni 2015 seinen letzten Tätigkeitsbericht vorgestellt. Dieser deckt das Tätigkeitjahr 2014/15 ab. Der EDÖB hält darin fest, mit welchen datenschutzrechtlichen Fragestellungen er sich im letzten Jahr auseinandergesetzt hat.

Tätigkeiten des EDÖB im Berichtsjahr

Der vor kurzem veröffentliche Tätigkeitsbericht des Eidgenössischen Datenschutzbeauftragten (EDÖB)Hanspeter Thür, deckt den Tätigkeitszeitraum vom 1. April 2014 bis 31. März 2015 ab. Die Relevanz des Datenschutzes in den unterschiedlichsten Alltagssituationen spiegelt sich dabei in der breiten Palette an verschiedenen Themen wider, die vom Bericht abdeckt werden. Wie schon in den Vorjahren wurde die Tätigkeit des EDÖB auch im letzten Jahr stark durch den Big Data-Trend beeinflusst (Für einen Überblick über die Big Data-Thematik vgl. BR-News vom 22. November 2014: ÜBERBLICK BIG DATA: Big Data und die Grundsätze des schweizerischen Datenschutzgesetzes oder BR-News vom 10. März 2015: Big Data und das Datenschutzrecht – Bericht in der Handelszeitung). Der EDÖB befasst sich in seinem Bericht ausserdem unter anderem mit der viel diskutierten Entwicklung in Zusammenhang mit der staatlichen Überwachung, der Totalrevision des Gesetzes betreffend der Überwachung des Post- und Fernmeldeverkehrs (BÜPF), der Auslagerung von Daten sowohl durch Behörden wie auch durch Private, der Videoüberwachung im Arbeitsbereich oder auch dem Öffentlichkeitsprinzip. Nachfolgend werden ausgewählte Inhalte des Tätigkeitsberichts kurz dargestellt.

Datenbearbeitung durch Kredit- und Wirtschaftsauskunfteien

Nachdem der EDÖB bereits in den Vorjahren Empfehlungen an die itonex AG betreffend ihrer Plattform www.moneyhouse.ch ausgesprochen hatte (vgl. BR-News vom 27. Februar 2013: Update: Moneyhouse-Betreiberin akzeptiert datenschutzrechtliche Empfehlungen des EDÖB), hat er im aktuellen Berichtsjahr seine erneuten Abklärungen bezüglich Moneyhouse abgeschlossen. Deren Dienstleistungsangebot ist in den letzten Jahren stetig gewachsen. Neben der Einsichtnahme in Informationen, die dem Handelsregister entnommen werden, können nun u.a. auch Bonitäts-, Zahlweise- und Inkassoabonnemente abgeschlossen und sogar Informationen über Baugesuche und -bewilligungen oder Jobangebote eingeholt werden. Der EDÖB gelangt folglich zum Schluss, dass die itonex AG Persönlichkeitsprofile bearbeitet, wofür das Datenschutzgesetz (DSG) aufgrund der Risiken für die betroffene Person besondere Bearbeitungsvorschriften vorsieht. Speziell das auf Moneyhouse angebotene Erteilen von Bonitätsauskünften erachtet der EDÖB in diesem Zusammenhang als problematisch. Gemäss DSG ist es nämlich nicht zulässig, zugleich Bonitätsauskünfte zu erteilen und Persönlichkeitsprofile zu bearbeiten. Weitere datenschutzrechtliche Probleme sieht der EDÖB beispielsweise beim Zugänglichmachen von Handelsregisterdaten mittels Suchmaschinenresultat oder dem Nicht-Wiederzugänglichmachen von gelöschten Inhalten. Der EDÖB hat der Itonex AG nun in seinem Schlussbericht eine Empfehlung unterbreitet. Da jedoch nicht in allen Punkten eine Einigung erzielt werden konnte, zieht der EDÖB den Fall vor das Bundesverwaltungsgericht.

Bearbeitung von Kundendaten

Postfinance sorgte Ende 2014 mit der Einführung einer neuen Version ihrer E-Banking-Plattform für Aufsehen. Unter anderem wurden die Kunden dabei zur Benutzung einer Analysesoftware für ihren Zahlungsverkehr verpflichtet. Ein Widerspruch gegen die neuen Teilnahmebedingungen hätte den Ausschluss der Postfinance-Kunden vom E-Banking zur Folge gehabt. Auf diese Datenbearbeitungen hat der EDÖB mit einer Sachverhaltsabklärung reagiert und der Postfinance Änderungsvorschläge unterbreitet. Postfinance wiederum hat diese akzeptiert und eine entsprechende Anpassung ihrer Plattform in Aussicht gestellt. Demnach sollen Kunden in Zukunft besser informiert werden und auch die vom EDÖB vermissten Wahlmöglichkeiten erhalten. Auswertungen ihrer Personendaten zu Marketingzwecken sollen ausserdem ohne ihre Einwilligung nicht mehr vorgenommen werden können.

Datenschutz im Cloud Computing

Der Trend, Datenbearbeitungen in die Cloud auszulagern (vgl. auch schon die BR-News vom 4. Juli 2012 zum 19. Tätigkeitsbericht des Eidg. Datenschutzbeauftragten), macht auch vor den Bundesbehörden nicht halt. Planen Bundesbehörden, Datenbearbeitungen auszulagern, gilt es aus datenschutzrechtlicher Sicht einiges zu beachten. So birgt beispielsweise die Übermittlung von Personendaten ins Ausland die Gefahr des Zugriffs auf die Daten durch die jeweiligen ausländischen Behörden. Der EDÖB rät Bundesorganen unter anderem aus diesem Grund allgemein davon ab, Datenbearbeitungsaufträge an Firmen zu vergeben, welche einer Gesetzgebung ohne angemessenes Datenschutzniveau unterstellt sind. Er mahnt dabei zu besonderer Vorsicht bei der Wahl von amerikanischen Unternehmen als Dienstleistungsanbieter. Gemäss dem Urteil eines New Yorker Gerichts ist es US-Behörden nämlich gestattet, auf Daten zuzugreifen, welche von Unternehmen mit Sitz in den USA im Auftragsverhältnis bearbeitet werden.

Auch Ärzte wollen vermehrt Daten in einer Cloud aufbewahren, was sich jedoch besonders in Anbetracht ihres im Strafrecht verankerten Berufsgeheimnisses als problematisch erweisen kann. Der EDÖB stellte folglich bei Anfragen klar, dass Ärzte auch bei einer Auslagerung der Patientendaten für deren Geheimhaltung verantwortlich blieben. Sie seien deshalb gut beraten, Cloud-Anbieter mit Sitz in der Schweiz zu beauftragen und diese vertraglich zu verpflichten, die gespeicherten Patientendaten nicht ins Ausland zu übermitteln.

Urheberrechtsschutz im Internet

Die von der Arbeitsgruppe AGUR 12 in ihrem Schlussbericht vorgeschlagenen Anpassungen des Urheberrechts (vgl. BR-News vom 13. Dezember 2013: AGUR12-Schlussbericht: Vorschläge zur Modernisierung des Urheberrechts und Anpassung an das Internetzeitalter) sollen nun geprüft und gesetzgeberisch umgesetzt werden. Der EDÖB beabsichtigt dabei, den Gesetzgebungsprozess zu begleiten und die Beachtung des Persönlichkeitsschutzes bei den eingeführten Massnahmen zu gewährleisten.

Projekt eHealth – Aktuelle Entwicklung

Das Projekt eHealth (vgl. BR-News vom 9. Januar 2014: Das elektronische Patientendossier und eHealth – aktuelle Rechtsentwicklungen in der Schweiz) befindet sich in einer entscheidenden Phase hinsichtlich des Datenschutzes, da aktuell die Verfahren für den Umgang mit dem elektronischen Patientendossier, genauer die Identifikation der Patienten und Zugriffsrechte auf das ePatientendossier, bestimmt werden. Kosteneffizienz und Übersichtlichkeit werden in Grossprojekten wie dem vorliegenden laut EDÖB nicht selten auf Kosten der Wahrung von Persönlichkeitsrechten gesteigert. Auch hier will er für die Umsetzung des Datenschutzrechts sorgen. So hatte er beispielsweise vor der Kommission für soziale Sicherheit und Gesundheit des Ständerates die Einführung eines eigenen, von der AHV-Nummer unabhängigen Patientenidentifikators gefordert. Sowohl die Kommission als auch der Ständerat haben dieser Forderung entsprochen und den entsprechenden Gesetzesentwurf des Bundesrats angenommen.

Revision des Bundesgesetzes und der Verordnung über das öffentliche Beschaffungswesen

Der Beauftragte zeigte sich im Rahmen des Vernehmlassungsverfahrens mit der grundsätzlichen Stossrichtung der Revision des Bundesgesetzes über das öffentliche Beschaffungswesen (BöB) und der revidierten Verordnung (VöB) zufrieden. Danach sollen unter anderem die Korruption bekämpft und der Wettbewerb gefördert werden. Dabei soll der Einsatz öffentlicher Mittel effektiv erfolgen. Der Beauftragte betonte auch die Wichtigkeit einer Steigerung der Transparenz im öffentlichen Beschaffungswesen. So habe sich in der Praxis bereits eindrücklich gezeigt, dass mangelnde Transparent zu Korruption und Misswirtschaft führe (vgl. dazu beispielsweise auch BR-News vom 7. April 2015: Probleme bei IT-Beschaffungen der öffentlichen Hand) Im Rahmen der Revision soll die Transparenz nun gewissermassen als Mittel zur Erreichung der genannten weiteren Zielsetzungen der Revision wirken.

Neues Geldspielgesetz

Das neue Geldspielgesetz soll sowohl das Spielbankengesetz (SBG) wie auch das Bundesgesetz betreffend Lotterien und gewerbsmässige Wetten (LG) ersetzen (vgl. BR-News vom 15. Mai 2014: Entwurf für ein neues Bundesgesetz über Geldspiele). Neben diversen Neuerungen betreffend die Organisation sollen in der Schweiz neu auch Geldspiele legal online angeboten werden können. In diesem Zusammenhang hat sich der EDÖB im Rahmen seiner Stellungnahme zum Vorentwurf bezüglich Sperrlisten und Authentifikationsproblemen geäussert. Er zeigte dabei unter anderem die verschiedenen Probleme auf, die sich mit der Überprüfung der Angaben ergeben, welche die Spieler beim Einrichten ihrer Benutzerkonten machen.

Ausblick

Der 22. Tätigkeitsbericht des EDÖB zeigt einmal mehr auf, dass im Bereich des Datenschutzes zahlreiche offene Fragen bestehen und diese immer wieder durch technische und gesellschaftliche Entwicklungen Nährboden erhalten. Insbesondere die Entwicklung um Big Data ist in vollem Gange und wird den Nachfolger des scheidenden EDÖB, Hanspeter Thür, wohl auch noch die nächsten Jahre beschäftigen. Während Datenschützer den Trend kritisieren und stets angepasste Regeln fordern, wird das gewaltige Wirtschaftspotenzial von Big Data von immer mehr Unternehmen erkannt und genutzt. Dies stellt den Schutz der Privatsphäre und dessen Verfechter vor eine immense Herausforderung. Richtungsweisend werden mittelfristig in Hinblick auf den Datenschutz zweifellos der Verlauf der Revision des Datenschutzgesetzes (DSG), in deren Rahmen bis spätestens im August 2016 ein Vorentwurf präsentiert werden soll (vgl. BR-News vom 9. April 2015: Revisionen des Datenschutzrechts im Überblick – wo steht die Schweiz?) und die parallel dazu laufenden Datenschutzreformen in der EU sein. Der EDÖB regt im Vorwort zu seinem aktuellen Tätigkeitsbericht ausserdem zu einer vertieften gesellschaftlichen Debatte und einer Strategie der digitalen Gesellschaft an, um den Geschehnissen effektiv Rechnung tragen zu können. So wird es auch für Unternehmen immer wichtiger, sich mit datenschutzrechtlichen Problemen auseinanderzusetzen und, bestenfalls unter Einbezug von Fachleuten, datenschutzkonforme Lösungen zu finden.

 

Weitere Informationen

 

Ansprechpartner: Lukas Bühlmann

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.