Aktuell

Dossier meineimpfungen.ch

13.06.2022 - Auslagerung von Personendaten durch die Suva in eine Microsoft Cloud

13.06.2022 - Aufgrund teilweise unterschiedlicher Rechtsauffassungen rät der EDÖB der Suva, die Auslagerung von Personendaten in eine vom US-amerikanischen Konzern Microsoft betriebene Cloud neu zu beurteilen.

Die Suva hat dem EDÖB am 10. Dezember 2021 aus eigenem Antrieb eine mit «Risikobeurteilung Projekt Digital Workplace M365» betitelte Dokumentation zugestellt. In diesem Projekt geht es um die damals unmittelbar bevorgestandene Auslagerung von bis anhin «on premise» (d.h. auf eigener Infrastruktur) bearbeiteten Personendaten der Suva in ein vom US-amerikanischen Konzern Microsoft auf schweizerischem Territorium betriebenes Rechenzentrum. 

Nach dem Studium der ihm freiwillig eingereichten Dokumentation begrüsst der Beauftragte, dass die Suva ihr Auslagerungsprojekt einer eigenverantwortlichen Datenschutz-Überprüfung unterzogen hat. Er rät der Suva, die Auslagerung zeitnah einer Neubeurteilung zu unterziehen. 

Angesichts der weiten Verbreitung der Produkte und Leistungen der Firma Microsoft in der Privatwirtschaft und den öffentlichen Verwaltungen der Schweiz ist das Auslagerungsprojekt für eine breite Öffentlichkeit von Interesse, weshalb der Beauftragte seine summarische Stellungnahme zum Vorhaben publiziert. 

Da in der Schweiz noch keine richterliche Rechtsprechung zur aufgeworfenen Auslagerungsproblematik besteht, publiziert der EDÖB mit Genehmigung der Suva auch deren Antwortschreiben, aus dem teilweise abweichende Auffassungen hervorgehen.   

Je nach Entwicklung der Situation und Rechtslage behält sich der Beauftragte vor, in einem späteren Zeitpunkt von Amtes wegen aufsichtsrechtlich tätig zu werden. 

Empfehlungen des EDÖB im Rahmen des Öffentlichkeitsprinzips

18.05.2022 - Der EDÖB hat im Rahmen des Öffentlichkeitsprinzips betreffend den Zugang zu amtlichen Dokumenten folgende Empfehlungen erlassen:

EDÖB trifft tunesische Delegation in Bern

12.05.2022 - Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte Adrian Lobsiger traf gestern in Bern seine tunesischen Amtskollegen zu einem Gespräch.
Ihr Austausch konzentrierte sich vor allem auf die verschiedenen gesetzlichen Rahmenbedingungen und die Herausforderungen, die mit der zunehmenden Digitalisierung der Gesellschaft verbunden sind. Um den Herausforderungen und Risiken der Digitalisierung zu begegnen, spielt die internationale Zusammenarbeit eine immer wichtigere Rolle.

Hackerangriffe auf Arztpraxen in der Romandie

31.03.2022 - Gestern wurde bekannt, dass Hacker mehreren Arztpraxen in der Romandie Patientendossiers entwendet und eine grosse Menge medizinischer Daten im Darknet publiziert haben. Der EDÖB steht mit den fraglichen Praxen in Kontakt und erwartet, dass die betroffenen Patientinnen und Patienten umfassend informiert werden. Der Vorfall ist ein erneuter Hinweis darauf, dass die besonders schützenswerten Gesundheitsdaten in der Schweiz ungenügend geschützt sind.

Mehrere Westschweizer Medien haben am 30. März berichtet, dass eine grosse Menge gesundheitsbezogener Daten im Darknet publiziert worden ist. Der EDÖB ist mit den fraglichen Arztpraxen in Kontakt und wirkt insbesondere darauf hin, dass die betroffenen Patientinnen und Patienten über den Vorfall informiert werden. Die vom Datenabfluss betroffenen Arztpraxen haben bereits erste Massnahmen eingeleitet, um allfälligen Defiziten im Bereich von Datenschutz und -sicherheit zu begegnen. 

Der Vorfall ist ein erneuter Hinweis darauf, dass die besonders schützenswerten Gesundheitsdaten in der Schweiz ungenügend geschützt sind. Der EDÖB hofft, dass der akute Handlungsbedarf mit Blick auf Datenschutz und Datensicherheit von der Ärzteschaft und den Branchenvertretern erkannt wird. 

Update Mitto AG

23.12.2021 - Im Rahmen der eröffneten Vorabklärung hat der EDÖB mit der Mitto AG und den Mobilfunkbetreibern der Schweiz Kontakt aufgenommen.

Letztere haben das Bestehen einer Zusammenarbeit mit der Mitto AG bestätigt, jedoch darauf hingewiesen, dass technische Schutzmassnahmen bestehen, um unrechtmässige Zugriffe auf Personendaten zu verhindern. Aufgrund dieser ersten Rückmeldungen bestehen für den EDÖB somit vorläufig keine Hinweise, wonach es zu Missbräuchen zu Lasten der Schweizer Bevölkerung gekommen wäre. 

In den nächsten Wochen wird der EDÖB noch weitere und ausführlichere Informationen zum Sachverhalt erhalten. Nach deren Auswertung werden wir über das weitere Vorgehen entscheiden und die Öffentlichkeit informieren.

Medienmitteilung vom 07.12.2021

Mitgliederdaten der Schützenvereine an Kreditkartenanbieter

15.11.2021 - Anfang Mai hat der Schweizer Schiesssportverband (SSV) über 50'000 lizenzierten Schützinnen und Schützen einen neuen Mitgliederausweis mit Kreditkartenfunktion verschickt. In der Folge haben sich zahlreiche Schützinnen und Schützen beim EDÖB mit der Frage gemeldet, ob diese Bekanntgabe zulässig war.

Der EDÖB hat daraufhin den Austausch mit dem SSV gesucht, der sich im Rahmen der Abklärungen als sehr kooperativ gezeigt hat. 

Der EDÖB hat zunächst festgehalten, dass es sich beim gewählten Vorgehen nicht um eine reine Auftragsdatenbearbeitung für die Herstellung der Lizenzkarte handelt, sondern auch um eine Datenbekanntgabe an den Kreditkartenanbieter, da dieser die Daten auch für seine eigenen Zwecke verwenden will und wird. 

Eine solche Datenbekanntgabe muss die Bearbeitungsgrundsätze des Datenschutzgesetzes einhalten, insbesondere die Zweckbindung und das Transparenzgebot. Bezüglich der Zweckbindung sehen die Statuten des SSV seit 2016 eine Bekanntgabe der Daten seiner Mitglieder zu kommerziellen Zwecken vor, und es gibt auch die Möglichkeit, dieser Bekanntgabe zu widersprechen. Der SSV hat damit grundsätzlich den Boden für die kommerzielle Nutzung der Mitgliederdaten geschaffen. 

Problematisch ist aber, dass diese Bestimmung so ausdrücklich nur in den Statuten des Verbandes enthalten ist. Die Statuten der 36 angeschlossenen Verbände und der über 2000 Vereine enthalten meist keine analoge Regelung, sondern verweisen nur in genereller Weise auf die Statuten des SSV. Die einzelnen Mitglieder der Vereine konnten deshalb nur mit erheblichen Schwierigkeiten von dieser Regelung Kenntnis nehmen und ihr Widerspruchsrecht entsprechend geltend machen. Der EDÖB hat dazu festgehalten, dass die Datenbekanntgabe des SSV an den Kreditkartenanbieter dem datenschutzrechtlichen Transparenzgebot nicht entsprochen hat. 

In Absprache mit dem SVV wurde folgendes Vorgehen vereinbart: die Schützinnen und Schützen werden vom Verband via Webseite, Newsletter und Mitgliederzeitschrift noch einmal über die Bekanntgabe zu kommerziellen Zwecken informiert und können ihr Widerspruchsrecht in Bezug auf diese kommerzielle Nutzung mit einer einfachen Mitteilung an den Verband kundtun.

Der SSV stellt in der Folge sicher, dass der Kreditkartenanbieter die Daten der Mitglieder, die nur eine Mitglieder- und keine Kreditkarte wünschen, separat behandelt und nicht für seine eigenen Zwecke, wie beispielsweise Marketing oder Angebotsunterbreitung, nutzt. Wer ganz auf die Mitgliederkarte in Kreditkartenform verzichten will, kann sich bei Anlässen weiterhin mit der Mitgliedsnummer und einem normalen Identitätsausweis legitimieren. 

Dossier Datenübermittlung ins Ausland

Dossier Corona

Dossier nDSG:

Das neue Datenschutzgesetz aus Sicht des EDÖB

05.03.2021 - Bis zum Inkrafttreten des neuen DSG werden Privatwirtschaft und Bundesbehörden ihre Bearbeitung von Personendaten an die neuen Bestimmungen anpassen müssen. Der Beauftragte hat hierzu die aus seiner Sicht wesentlichsten Neuerungen festgehalten und publiziert.

(Das integrale Dokument ist unten als pdf angefügt)

Datenabflüsse bei Sozialen Netzwerken

13.04.2021 - Nach Facebook ist nun auch LinkedIn Opfer eines massiven Abflusses von Personendaten geworden. Wie die Website Cybernews berichtet, stehen die Daten von 500 Millionen Nutzern des professionellen sozialen Netzwerks auf einem spezialisierten Forum zum Verkauf. Die Daten umfassen Benutzer-IDs, vollständige Namen, E-Mail-Adressen, Telefonnummern, Links zu anderen LinkedIn-Profilen und anderen Profilen in sozialen Medien.

Neusten Meldungen zu Folge hat auch Clubhouse einen Datenabfluss zu verzeichnen.

Der EDÖB hat sich mit seinen eropäischen Amtskollegen in Verbindung gesetzt und wird die Situation weiter beobachten.

Die irische Datenschutzbehörde ist die in der EU federführende Behörde für diese Unternehmen und hat eine Pressemitteilung zum Facebook-Datenleck und ihren Maßnahmen herausgegeben. Die italienische Datenschutzbehörde, il Garante, hat sich an die beiden sozialen Netzwerke gewandt, um herauszufinden, ob sie beabsichtigen, ein Tool zu aktivieren, das von Betroffenen abgefragt werden kann, um zu wissen, ob ihre Daten betroffen sind. Sie rät Nutzern, besonders auf Unregelmässigkeiten im Zusammenhang mit der Verwendung ihrer Telefonnummer und ihrem Facebook- bzw. LinkedIn-Konto zu achten (s. Link).

Was können Sie selber nun tun?

Im Falle von Datenabflüssen (umgangssprachlich oft «data leaks» genannt) können folgende allgemeine Massnahmen helfen, um festzustellen, ob man betroffen ist und um sich zu schützen:

  • Feststellen, ob man betroffen ist: 
    Um festzustellen, ob man betroffen ist, gibt es spezielle Dienste im Netz, wie beispielsweise der Identity Leak Checker des Hasso Plattner Institutes oder den bekannten Dienst https://haveibeenpwned.com des australischen Security Consultants Troy Hunt. Mit diesen Diensten lässt sich prüfen, ob die eigene Email-Adresse oder Telefonnummer bereits «geleaked» ist. Auch wenn diese Abfrage keine Hinweise liefert, dass Daten abgeflossen sind, sollte dies mit Vorsicht genossen werden. Im Falle von LinkedIn wurde von Seiten der Täter erst ein «Sample», also ein Teil-Auszug zur Überprüfung der Echtheit veröffentlicht.
  • Instruktionen von Seiten der Betreiber befolgen: 
    Grundsätzlich informieren die Betreiber die Betroffenen bei einem unerlaubten Datenabfluss dieser Grössenordnung oder wenn für die Betroffenen ein hohes Risiko besteht meist selber. Den Instruktionen sollte man Folge leisten.
  • Passwort ändern: 
    Oft ist nicht klar, ob auch Passwörter gestohlen wurden. Falls es entsprechende Hinweise gibt, sollte das Passwort unbedingt zurückgesetzt werden, auch dann, wenn man für das Login eine starke Authentifizierung, zum Beispiel mittels zweitem Faktor, einsetzt. Ob die Passwörter verschlüsselt sind oder nicht, spielt nur eine geringfügige Rolle. Bei verschlüsselten Passwörtern oder «Hash-Werten» muss davon ausgegangen werden, dass sie entschlüsselt werden können, folglich sollten auch diese Passwörter erneuert werden.
  • Zahlungsmittel: 
    Falls unklar ist, ob auch Zahlungsmittel kompromittiert sind, sollten diese verstärkt überwacht werden. Bestehen Anzeichen für einen Missbrauch, sollten die Zahlungsmittel sofort beim Betreiber gesperrt werden.
  • Erhöhte Vorsicht: 
    Im Falle von Facebook gibt es bereits Anzeichen dafür, dass die Daten missbraucht werden; beispielsweise werden SMS mit Links verschickt, bei deren Klick man Schadsoftware herunterlädt. Betroffene sollten besonders misstrauisch sein, insbesondere bei E-Mails und SMS von unbekannten Absendern.

Weiterführende Informationen:
14.04.2021 - DPC launches inquiry into Facebook in relation to a collated dataset of Facebook user personal data made available on the internet
Nationales Zentrum für Cybersicherheit NCSC
Clubhouse-App von Daten-Leak betroffen – das musst du wissen - watson
Communiqué der irischen Datenschutzbehörde vom 06.04.2021
Come limitare i danni per la violazione dei dati di 36 milioni di utenti Facebook italiani - Garante Privacy
Facebook Data Leak - 533M Users Data Leaked Online | CyberNews
LinkedIn Leak - 500M Records Leaked and Being Sold | CyberNews
Clubhouse Data Leak - 1.3M SQL Database Leaked Online | CyberNews

28. September: International Day for Universal Access to Information

28.09.2020 - Heute ist der Internationale Tag der Informationsfreiheit resp. der International Day for Universal Access to Information (IDUAI). 

Der IDUAI wurde im November 2015 von der Generalkonferenz der UNESCO ins Leben gerufen und im Oktober 2019 durch die Generalversammlung der Vereinten Nationen offiziell anerkannt.

Weiterführende Informationen: https://www.informationcommissioners.org/international-day-for-universal-access-to-information  

Ungenügende Regelung der Datenbearbeitung in neuem Zollpolizeigesetz

11.09.2020 - Unter der Kurzbezeichnung «BAZG-Vollzugsaufgabengesetz» hat der Bundesrat heute die Vernehmlassung über ein Gesetzespaket eröffnet, mit dem er die rechtliche Grundlage für das Digitalisierungs- und Transformationsprogramm (DaziT) der Eidgenössischen Zollverwaltung schaffen will. Dabei handelt es sich um ein finanziell bedeutsames und datenschutzsensibles Grossvorhaben. Die Zollverwaltung und das dort integrierte Grenzwachtkorps sollen in ein neu zu schaffendes Zollpolizeiamt, das «Bundesamt für Zoll und Grenzsicherheit (BAZG)», überführt werden. Dessen gesamte Belegschaft soll mit Polizeibefugnissen und damit zwangsbewehrten Datenbeschaffungskompetenzen ausgestattet werden. 

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat die Eidgenössische Zollverwaltung in der Ämterkonsultation vergeblich darauf hingewiesen, dass die vorgesehenen Bestimmungen zur Personendatenbearbeitung aus seiner Sicht gewichtige Mängel aufweisen. Diese lassen insbesondere die vom Datenschutzgesetz verlangte Bestimmtheit vermissen, welche es der Bevölkerung ermöglichen würde, die in deren Privatsphäre und Selbstbestimmung eingreifenden staatlichen Datenbearbeitungen sowie die ihr dagegen zur Verfügung stehenden Schutzrechte einzuschätzen.

Der Beauftragte hat den Bundesrat dahingehend beraten, dass sich Regierung und Parlament als politische Organe des Bundes vorbehalten mögen, die wesentlichen Grundzüge der neu in einem einzigen System der Zollpolizei vorzunehmenden Datenbearbeitungen und die Schnittstellen zu diesem System zu regeln. In ihrer gegenwärtigen Ausgestaltung überlässt es die Vorlage dem neuen Zollpolizeiamt, die auf einer Vielzahl von verwaltungs-, fiskal-, polizei- und kriminalrechtlichen Aufgaben beruhende Personendatenbearbeitung in ihrem System nach weitgehend autonomen Vorgaben vorzunehmen und die Informationen nach Belieben zu verknüpfen. Eine überzeugende Begründung der Erforderlichkeit dieser einschneidenden Abkehr vom geltenden Zollgesetz lässt der erläuternde Bericht vermissen.

Zu diesen rechtsstaatlichen Mängeln der Datenbearbeitung gesellen sich sachliche Regelungslücken. So zieht sich die Begrifflichkeit der im Gesetzestext 44 Mal erwähnten «Risikoanalyse» wie ein roter Faden durch die Vorlage, ohne dass aus dem Gesetzestext hinreichend klar erkennbar würde, worum es sich bei dieser Bearbeitungsmethode handelt, in deren Rahmen das neue Zollpolizeiamt besonders schützenswerte Personendaten u.a. über die Intimsphäre oder religiöse, weltanschauliche und politische Ansichten bearbeiten soll.

Vor dem Hintergrund dieser Hinweise hat der Bundesrat die Verwaltung angewiesen, die Datenbearbeitungsbestimmungen zu überarbeiten, was in den Vernehmlassungsunterlagen angedeutet wird. Der Beauftragte begrüsst dies. Er hat sich vergeblich dafür eingesetzt, dass die Überarbeitung vor Eröffnung der Vernehmlassung vorgenommen wird.

KVG-Revision: EDÖB für Transparenz bei Preismodellen

20.08.2020 - Der Beauftragte ist mit dem Vorhaben des Bundesrates, Dokumente betreffend Preismodelle bei Arzneimitteln vom Öffentlichkeitsgesetz auszunehmen, nicht einverstanden.

Der Bundesrat hat gestern eine Vernehmlassung für eine Teilrevision des Krankenversicherungsgesetzes KVG eröffnet. Darin wird unter anderem eine Ausnahme der Zugänglichkeit für sämtliche Unterlagen im Zusammenhang mit Preismodellen und Rückvergütungen in der obligatorischen Krankenpflegeversicherung vorgeschlagen. Die Verankerung einer Geheimhaltungsbestimmung im KVG steht im Widerspruch zum Öffentlichkeitsprinzip, weshalb sich der Beauftragte bereits in der Ämterkonsultation dagegen ausgesprochen hatte.

Aus Sicht des EDÖB ist unabdingbar, dass die Öffentlichkeit weiterhin die Möglichkeit hat, die Genehmigungspraxis des BAG nachvollziehen zu können.

s. Art. 52c der KVG Vorlage Änderungserlass

Weitere Informationen:
KVG-Änderung: Massnahmen zur Kostendämpfung – Paket 2

27. Tätigkeitsbericht des EDÖB, Seite 75

Update Libra

20.04.2020 - Libra informiert über FINMA-Gesuch und intensiviert Arbeiten am Datenschutzkonzept.

Die Libra Association informierte den EDÖB am 16. April 2020 über die  Einreichung eines Gesuchs für eine Bewilligung als Zahlungssystem bei der FINMA (vgl. die publizierte Information durch die FINMA). Dabei teilte sie dem EDÖB auch mit, dass die Arbeiten am Datenschutzkonzept im Gange seien und intensiviert wurden.

 
 
 
 
 
 
 
 
 
 
 
 

Update zu Clearview 

10.03.2020 - Strafverfolgungsbehörden des Bundes setzen keine Gesichtserkennungssoftware ein.

In seiner Mitteilung vom 11.02.2020 (s. unten) hat der EDÖB ausführlich dargelegt, weshalb er die ungefragte Beschaffung von Gesichtsdaten als persönlichkeitsverletzend erachtet.

Auf unsere Nachfrage (s. Mitteilung vom 21.01.2020 unten), haben uns die Direktionen des Fedpol, der EZV und des NDB bestätigt, dass sie in ihrer Tätigkeit Software wie Clearview weder einsetzen noch einzusetzen beabsichtigen. Das Auskunfts- und Löschgesuch des Beauftragten vom 24.01.2020 liess Clearview hingegen bis heute unbeantwortet, weshalb er das Unternehmen entsprechend ermahnte.

 
 
 
 

Facebook setzt in der Schweiz Wahl-Features ein

17.10.2019 - Facebook setzt ab dem Tag vor den Eidgenössischen Wahlen vom 20. Oktober 2019 Features ein, um die Schweizer Stimmberechtigten auf ihrer sozialen Plattform anzusprechen. Dies bestätigte das Unternehmen auf Anfrage dem Datenschutzbeauftragten. Der EDÖB begrüsst die angekündigte Transparenz. 

Nachdem der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) durch Berichte Kenntnis davon erhalten hat, dass Facebook im Hinblick auf die Schweizer Parlamentswahlen 2019 auf ihrer sozialen Plattform möglicherweise Wahl-Features wie bspw. den «Voter-Button» einsetzen wird, hat er das Unternehmen angeschrieben und um Stellungnahme gebeten.

In seinem Schreiben hat der EDÖB unter Verweis auf die Ziffern 5.3 und 7 seines Leitfadens darauf hingewiesen, dass auch die Betreiber von sozialen Netzwerken dazu aufgerufen sind, fair und vollständig über die Bearbeitung und Funktionsweise der dafür eingesetzten Methoden zu informieren. Nur aufgrund einer solchen Transparenz können die Stimmbürgerinnen und –bürger abschätzen, ob und wie sich die den entsprechenden Applikationen zu Grunde liegenden Bearbeitungen ihrer Daten auf die Meinungsbildung oder das Wahlverhalten auswirken.

Facebook Ireland Ltd. hat daraufhin bestätigt, dass auf ihrer sozialen Plattform entsprechende Funktionen einen Tag vor den Wahlen und am Wahltag selber eingesetzt werden sollen. Facebook plant zum Wahltermin alle Facebook-Nutzerinnen und Nutzer ab 18 Jahren in der Schweiz an die Wahl zu erinnern. Eine Selektion von Gruppen oder Personen nehme Facebook nicht vor.

Gemäss den schriftlichen Zusicherungen von Facebook zielten die Features alleine darauf ab, die Nutzer für die anstehenden Wahlen zu sensibilisieren und letztendlich die Teilnahme zu fördern, indem die betroffenen Personen zum Beispiel auf ihrem Profil posten können, dass sie an der Wahl teilgenommen haben. Facebook betont, dass vom Unternehmen in diesem Zusammenhang keine politischen Ansichten der jeweiligen Nutzer bearbeitet werden.

Weiter hat Facebook dargelegt, dass das Unternehmen den Transparenzerfordernissen unseres Leitfadens Beachtung schenke. Die betroffenen Personen sollen sich über eine mehrstufige Information mittels Hyperlinks über die eingesetzten Funktionen, Methoden und deren Bearbeitungsgrundlagen informieren können (vgl. dazu folgende Links: Datenrichtlinie Facebook; Kontrolliere, wer sehen kann, was du teilst; Warum erhalte ich eine Erinnerung zu einer Wahl und zum Wählen auf Facebook?; Worauf basieren die Informationen, die Facebook über Wahlen und gewählte Vertreter anzeigt?

 
 

US-Steuerstreit – Bundesverwaltungsgericht schützt Grundrechte 

10.09.2019 - Mit Entscheid vom 3. September 2019 hat das Bundesverwaltungsgericht (BVGer) die Beschwerde des EDÖB gegen die Eidg. Steuerverwaltung (ESTV) und das Eidg. Finanzdepartement (EFD) gutgeheissen. Das Gericht gelangt in seinem Urteil zum Schluss, dass in der internationalen Steueramtshilfe die vom Amtshilfeersuchen nicht formell betroffenen Personen, deren Namen übermittelt werden sollen, gemäss Steueramtshilfegesetz grundsätzlich vorgängig zu informieren sind.

Das Gericht folgt damit der Empfehlung des EDÖB, dass diese Namen zu schwärzen und das Anhörungsrecht vor der Übermittlung zu gewähren sei. Der Beauftragte begrüsst das Urteil, da es Grundrechte der Bank-Mitarbeitenden und weiterer Drittpersonen schützt. Er erwartet nun, dass die ESTV datenschutzkonforme Lösungen findet.

Die zuständigen Behörden weist das BVGer an, das Urteil umzusetzen und Ausnahmen in geeigneter Form zu regeln. Das Urteil ist noch nicht rechtskräftig.

Urteil des BVGer vom 3. September 2019

 
 
 
 
 
 
 

Postfinance: keine Gleichbehandlung der Schweizer Kunden nach geltendem Recht

30.08.2019 - Mit Schreiben vom 13. Juni 2019 hielt die Postfinance AG auf Anfrage des EDÖB fest, dass ihre Schweizer Kunden nach wie vor von sich aus tätig werden müssten, wenn sie keine Authentifizierung mittels Stimmabdruck wünschen, indem sie dagegen einen ausdrücklichen Widerspruch einlegen. Demgegenüber macht die Postfinance die Authentifizierung mittels Stimmabdruck bei ausländischen Kunden von deren ausdrücklicher Einwilligung abhängig. Die vom EDÖB öffentlich kritisierte Ungleichbehandlung (Sendung SRF 10vor10 vom 20.5.2019) wird damit weitergeführt.

Die Postfinance AG hält gegenüber dem Beauftragten fest, dass diese «unterschiedliche Behandlung» auf die ungleichen Anforderungen des anwendbaren Rechts zurückgehe und dass die Übernahme ausländischen Rechts auf inländische Verhältnisse ein politischer Prozess sei, welcher der Legislative vorbehalten sei. Die Postfinance AG hält somit an der Ungleichbehandlung inländischer Kunden fest, solange das schweizerische Datenschutzrecht nicht dem EU-Niveau angeglichen wird.

 
 
 
 
 
 

Falsche E-Mail-Adressen bei Swisscom

29.08.2019 - Aufgrund einer Bürgermeldung hat der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) erfahren, dass ein Kunde von Swisscom verschiedenste E-Mails erhalten hat, die nicht für ihn bestimmt waren.

Der EDÖB hat die Swisscom mit dieser Meldung konfrontiert und um Stellungnahme gebeten. In seiner Antwort führte das Unternehmen aus, dass ihm das Problem aufgrund von Kundenmeldungen bereits bekannt sei und es eine Task Force eingesetzt und mit einer Risikoanalyse beauftragt habe. Es habe sich gezeigt, dass in einem Kundensystem generisch erfasste E-Mail-Adressen vorhanden waren, die nicht den korrekten Kunden zugewiesen waren. In der Folge gingen einige E-Mails von Swisscom an fremde Konten. Nach Angaben von Swisscom wurde in der Zwischenzeit die falsch zugewiesenen E-Mail-Adressen identifiziert und umgehend sichergestellt, dass keine E-Mails von Swisscom mehr zugestellt werden. Soweit möglich, wurden die falsch zugestellten E-Mails bei den unberechtigten Empfängern gelöscht. Gemäss dem Unternehmen liegen zudem keine Hinweise auf Missbrauch der fehlgeleiteten E-Mails vor. Das Unternehmen ist zudem daran, die Prozesse anzupassen, damit derartige Vorfälle verhindert werden können.

Der EDÖB hat die Sofortmassnahmen auf Grundlage der Risikoanalyse der Swisscom zur Kenntnis genommen. Er wird den Sachverhalt weiter beobachten, kann aber aufgrund der sofort eingeleiteten Massnahmen der Swisscom vorerst von weiteren Handlungsempfehlungen absehen.

 
 
 
 
 

26. Tätigkeitsbericht 2018/2019:
Die Schweiz muss Datenschutzniveau halten

18.06.2019 - Der EDÖB erwartet, dass Bundesrat und Parlament der Schweizer Bevölkerung durch eine baldige Unterzeichnung der Europaratskonvention 108 und den zügigen Abschluss der Totalrevision des Datenschutzgesetzes weiterhin ein mit dem europäischen Umfeld abgestimmtes Schutzniveau gewährleisten.

Medienmitteilung

26. Tätigkeitsbericht 2018/19 als e-Paper

 
 
 

Helsana+: Urteil wird rechtskräftig

15.05.2019 - Nach ungenutztem Ablauf der Rechtsfrist kann der Bundesverwaltungsgerichtsentscheid vom 19. März 2019 in Sachen Helsana+ in Kraft treten. Das Bundesverwaltungsgericht hat wichtige Rechtsfragen geklärt, deren Umsetzung der EDÖB bei der Helsana überprüfen wird.

Medienmitteilung des EDÖB

 
 
 

Datenschutztag 2019 - 3 Schwerpunkte für Bund und Kantone: Wahlen, Polizei, AHV-Nr.

28.01.2019 - Medienmitteilung von Bund und Kantonen zu den gemeinsamen Herausforderungen:

 

2. Digitaltag – Wirtschaft muss in datenschutzfreundliche
Technologien investieren

23.10.2018 - Unternehmen sollen in datenschutzfreundliche Technologien investieren und den Kundinnen und Kunden echte Wahlmöglichkeiten bieten. Dies wünscht sich der EDÖB zum 2. Schweizer Digitaltag. Er appelliert an die Wirtschaft, ihre Innovationskraft auch für die Selbstbestimmung ihrer Kunden einzusetzen.

Unternehmen investieren heute viel Kapital in die Digitalisierung. Der Eidg. Datenschutz- und Öffentlichkeitsbeauftragte, Adrian Lobsiger, wünscht sich anlässlich des 2. Schweizer Digitaltages eine Wirtschaft, die ihre Innovationskraft auch für die Selbstbestimmung ihrer Kundinnen und Kunden nutzt. Diese sollen selber entscheiden können, wofür sie ihre Daten weitergeben wollen und wann sie diese für sich behalten möchten. Sie soll deshalb in Technologien investieren, welche den Nutzern echte Wahlmöglichkeiten erlauben. 

Vom demokratischen Rechtsstaat erwartet der EDÖB, dass er trotz Beschaffung grosser Datenmengen die Privatsphäre und Anonymität seiner Bürgerinnen und Bürger garantiert und nicht nach deren Identität forscht. Die Freiheit des Einzelnen ist im Zweifelsfalle höher zu gewichten, als mehr Sicherheit für alle.  

Der Eidg. Datenschutz- und Öffentlichkeitsbeauftragte appelliert deshalb an Wirtschaft und Staat, diese Erwartungen nach datenschutzfreundlichen Technologien zu hören und danach zu handeln. Er fordert sie auf, das globale digitale Datenwachstum mit wirkungsvollen Investitionen in das schützende Gerüst des Datenschutzes zu verbinden.

25. Tätigkeitsbericht 2017/2018: Selbstbestimmung vor Sicherheit

25.06.2018 - Die Begleitung digitaler Grossprojekte steht nach wie vor im Zentrum der Tätigkeit des EDÖB. Das E-ID-Gesetz als Grundlage zur Nutzung einer SwissID, der Risikobericht zur Verwendung der AHV-Nummer als universeller Personenidentifikator oder die Auflagen für das e-Ticketing bzw. öV-Apps unterstreichen diese Priorisierung. Als Aufsichtsbehörde musste der Beauftragte gegen die Bearbeitung von Grundversichertendaten der Krankenversicherung einschreiten und sich mit den Datenlecks mehrerer Grossfirmen auseinandersetzen.
Als Öffentlichkeitsbeauftragter konnte der EDÖB die Effizienz seiner Schlichtungsverfahren markant steigern und zur Kenntnis nehmen, dass der Nationalrat oppositionslos dafür einsteht, dass die Transparenz bei Beschaffungen sichergestellt bleibt – und das Öffentlichkeitsprinzip nicht zur Farce wird.

Weiter...

Nationalrat will Transparenz im Beschaffungswesen erhalten

18.06.2018 - Der Nationalrat hält ohne Gegenstimme am Öffentlichkeitsprinzip bei Beschaffungen durch die öffentliche Hand fest. Dies hat er in der letzten Woche der Sommersession im Rahmen der Detailberatung zur Totalrevision des Bundesgesetzes über das öffentliche Beschaffungswesen (BöB) beschlossen. Damit lehnt er die vom Bundesrat vorgeschlagene Einschränkung des Öffentlichkeitsprinzips ab.

Weiter...  

Bahninfrastruktur: Parlament beschliesst Ausnahme vom Öffentlichkeitsgesetz

30.05.2018 - Nach dem Nationalrat will nun auch der Ständerat die Aufsichtstätigkeiten des Bundesamts für Verkehr (BAV) im Sicherheitsbereich vom Öffentlichkeitsgesetz ausnehmen. Die kleine Kammer folgt damit ebenfalls dem Vorschlag des Bundesrats. Der EDÖB nimmt diesen Entscheid zur Kenntnis

Weiter...  

Decathlon Schweiz – EDÖB eröffnet Sachverhaltsabklärung

07.05.2018 - Der EDÖB ist darauf aufmerksam geworden, dass Decathlon Schweiz den Verkauf von Waren in seinen Geschäftslokalen davon abhängig macht, dass die Kaufinteressenten der Unternehmung Kontaktdaten angeben. Im Anschluss an einen ersten Schriftenwechsel mit Decathlon Schweiz ist er zum Schluss gekommen, dass die Datenbearbeitungen durch Decathlon näher analysiert werden müssen. Aus diesem Grund hat der EDÖB am 3. Mai 2018 eine Sachverhaltsabklärung nach Art. 29 DSG eröffnet

Fall Facebook/Cambridge Analytica: Verfahren in EU und USA laufen

12.04.2018 - Im Zusammenhang mit der von einem englischen Wissenschaftler eingesetzten App „This is your digital life“ ist es im Jahr 2015 zu unberechtigten Zugriffen auf Personendaten von ahnungslosen Kunden der sozialen Plattform Facebook gekommen. Die Daten wurden von der Firma Cambridge Analytica im Vorfeld von Wahlen zum Zwecke des sogennanten Mikro-Targetings bearbeitet, um potenzielle Wähler mit individuellen Nachrichten gezielt anzusprechen. 

Weiter...

Auswertungsbericht zum Pilotversuch im Schlichtungsverfahren (2017)

10.04.2018 - Zur Beschleunigung des Schlichtungsverfahrens und zum Abbau der Pendenzen führte der EDÖB im Jahr 2017 einen Pilotversuch durch. Der Auswertungsbericht zeigt, dass diese Ziele mit den ergriffenen Massnahmen erreicht wurden und der Pilotversuch erfolgreich war. Er wird nun in den ordentlichen Betrieb überführt.  

Weiter...

Auswahl von Schiedsrichtern für das Datenschutz-Schiedsforum gemäss dem Swiss-U.S. Privacy Shield – Erster Aufruf zur Interessenbekundung

Frist: 30. April 2018

Weiter...

Öffentlichkeitsgesetz: Weiterhin Transparenz im Beschaffungswesen

28.03.2018 - Die Kommission für Wirtschaft und Abgaben (WAK-N) hat am 27. März 2018 die Detailberatung zur Totalrevision des Bundesgesetzes über das öffentliche Beschaffungswesen (BöB) abgeschlossen. Sie lehnt die vom Bundesrat geplante Aufhebung der bestehenden Zugänglichkeit zu den Beschaffungsunterlagen nach Öffentlichkeitsgesetz ab. Damit stärkt sie das erklärte Transparenzziel der Revisionsvorlage.

Weiter...

Weitere Entwicklung im Fall Swisscom

12.02.2018 - Nachdem dem EDÖB am 9. Februar 2018 ein Ereignis eines angeblich unberechtigten Zugriffs auf Daten eines Kunden der Swisscom gemeldet worden war, hat er die Swisscom gleichentags in Anwendung von Art. 29 Abs. 2 DSG aufgefordert, zu diesem konkreten Ereignis Stellung zu nehmen.

Erste Abklärungen der Swisscom haben einen Kausalzusammenhang mit dem am 7. Februar 2018 gemeldeten Datendiebstahl nicht erhärtet. Der EDÖB holt bei der Swisscom weitere Informationen im Zusammenhang mit dem Risiko allfälliger Folgeschäden ein.

Unberechtigter Zugriff auf Kontaktdaten bei Swisscom

Bern, 07.02.2018 - Swisscom hat den EDÖB darüber in Kenntnis gesetzt, dass im Herbst 2017 unberechtigte Zugriffe auf die Kontaktdaten von rund 800‘000 Kundinnen und Kunden erfolgt sind. Betroffen sind nach seiner Kenntnislage vorwiegend private Inhaber von Mobil-Nummern und einige Festnetzkunden bzw. deren Name, Vorname, Adresse, Geburtsdatum und Telefonnummer.

Weiter...

Bahninfrastruktur: Kommission des Nationalrats will Ausnahme vom Öffentlichkeitsgesetz

18.01.2018 - Die Kommission für Verkehr und Fernmeldewesen des Nationalrates (KVF-N) hat am 16. Januar 2018 die Detailberatung zur Organisation der Bahninfrastruktur aufgenommen. Dabei sprach sie sich dafür aus, die Aufsichtstätigkeiten des Bundesamts für Verkehr (BAV) im Sicherheitsbereich vom Öffentlichkeitsgesetz auszunehmen; sie folgte damit dem Bundesrat. Der EDÖB nimmt diesen Entscheid zur Kenntnis.

Weiter...

Datenleck bei Inkasso-Unternehmen – EDÖB eröffnet Sachverhaltsabklärung

05.01.2018 – Gemäss einem Bericht der Süddeutschen Zeitung vom 27. Dezember 2017 wurde das Inkasso-Unternehmen EOS im vergangenen Jahr Opfer eines Datenlecks, in dessen Zusammenhang mehrere Gigabyte an persönlichen Daten übermittelt wurden. Zu den Betroffenen würden insbesondere Patienten von Schweizer Ärzten zählen. Das Unternehmen informierte den EDÖB kurz vor Erscheinen des Artikels über das mutmassliche Datenleck. Um die datenschutzrechtlichen Aspekte des Vorfalls abzuklären, hat der EDÖB am 28. Dezember eine Sachverhaltsabklärung gegenüber EOS Schweiz eröffnet.

Zugleich erinnert er Ärztinnen und Ärzte daran, dass sie nur diejenigen Daten ihrer Patienten an Dritte weitergeben dürfen, die für die Rechnungsstellung bzw. das Inkasso tatsächlich erforderlich sind. Geben sie deren Gesundheitsdaten ungerechtfertigt an Dritte weiter, machen sie sich strafbar.

Datenschutz bei politischen Kampagnentools

19.10.2017 - In Wahl- und Abstimmungskämpfen setzen die politischen Akteure vermehrt digitale Instrumente ein, um ihre Botschaften gezielter an die Bürgerinnen und Bürger zu bringen. Parteien und Verbände müssen dabei die Privatsphäre der betroffenen Personen wahren und ihr Recht auf informationelle Selbstbestimmung respektieren. Das vorliegende Merkblatt des EDÖB erläutert die datenschutzrechtlichen Vorgaben, die es beim Einsatz von Kampagnentools zu beachten gilt.

Risikofolgenabschätzung zur Verwendung der AHV-Nummer als Personenidentifikator

03.10.2017 - Zur Klärung von identifikatorspezifischen Risiken haben das Bundesamt für Justiz (BJ) und der EDÖB gemeinsam eine externe Risikofolgenabschätzung (RFA) in Auftrag gegeben. Sie sollte insbesondere zeigen, ob und gegebenenfalls welche Risiken bei der Verwendung der AHV-Nummer oder alternativer Identifikatoren entstehen können. Die Ergebnisse der Studie, die von David Basin, Professor für Informationssicherheit an der ETH Zürich, durchgeführt wurde, liegen nun vor.

Der Auftrag zur Erstellung der Studie erfolgte vor dem Hintergrund, dass das Parlament in der Vergangenheit wiederholt über die Verwendung der AHV-Nummer als Personenidentifikator ausserhalb des Bereichs der Sozialversicherungen zu befinden hatte. Zuletzt war dies im Rahmen der Grundbuchvorlage der Fall (14.034 ZGB. Beurkundung des Personenstands und Grundbuch). Die Rechtskommission des Nationalrats wird diese Ende Oktober 2017 erneut beraten. Bereits vorgängig hat der Bundesrat am 1. Februar 2017 den Auftrag zu einer Gesetzesvorlage erteilt, welche die Verwendung der AHV-Nummer durch Behörden des Bundes, der Kantone und der Gemeinden über den Sozialversicherungsbereich hinaus erleichtern soll.

Risikofolgenabschätzung zur Verwendung der AHV-Nummer, 27.09.17 (englisch) (PDF, 1 MB, 06.12.2017)

Risikofolgenabschätzung zur Verwendung der AHV-Nummer, Zusammenfassung (deutsch) (PDF, 238 kB, 06.12.2017)

Risikofolgenabschätzung zur Verwendung der AHV-Nummer, Kapitel 5 (deutsch) (PDF, 536 kB, 06.12.2017)

Outsourcing im medizinischen Bereich: Anbieter wollen vermehrt informieren

01.09.2017 - Mitte August 2017 hat der EDÖB zwei Unternehmen, welche die Rechnungsstellung für Ärzte übernehmen, angeschrieben und zu mehr Transparenz aufgefordert. Für die betroffenen Patientinnen und Patienten war teilweise unklar, wie ihre Daten bearbeitet werden und ob sie an Dritte weitergegeben werden. Sowohl die Ärztekasse als auch Swisscom Health erklären sich nun bereit, die betroffenen Personen künftig besser zu informieren, indem sie Reglemente und Vertragsbestandteile der einzelnen Dienstleistungen auf ihrer Website publizieren. Die beiden Unternehmen werden dem EDÖB demnächst ihre Vorschläge zur Umsetzung dieses Ziels unterbreiten.

EDÖB fordert mehr Transparenz beim Outsourcing im medizinischen Bereich

17.08.2017 - Im Gesundheitswesen ist es üblich, dass Ärzte und Ärztinnen die Rechnungsstellung an spezialisierte Anbieter wie die Ärztekasse oder Swisscom Health auslagern. Damit die Privatsphäre des Patienten dabei geschützt bleibt, ist es wichtig, dass die Anbieter die Daten nur zu den angegebenen Zwecken bearbeiten. Auch müssen sie klar informieren, was mit den Daten der Patienten geschieht, nachdem sie vom Arzt bzw. der Ärztin übermittelt wurden.

Wie der EDÖB feststellte, besteht in dieser Hinsicht Verbesserungsbedarf. Um die Transparenz für die Patienten zu erhöhen, forderte er deshalb diese Woche die betroffenen Anbieter schriftlich dazu auf, die mustervertraglichen Bestimmungen, welche sich auf die Bearbeitung der Patientendaten beziehen, zusammen mit den aktuellen Allgemeinen Geschäftsbedingungen und Bearbeitungsreglementen zu publizieren. Diese waren bisher nicht oder nur teilweise öffentlich zugänglich. Er behält sich vor, die fraglichen Datenschutzbestimmungen in einem nächsten Schritt näher zu prüfen.

Auslagerung der Rechnungsstellung im medizinischen Bereich (24. Tätigkeitsbericht)

Wirtschaftsauskunfteien: Bundesverwaltungsgericht schützt die Privatsphäre betroffener Personen

11.05.2017 - Im Klageverfahren gegen die Wirtschaftsauskunftei Moneyhouse hat das Bundesverwaltungsgericht einen im aktuellen Umfeld der Digitalisierung wegweisenden Entscheid gefällt, indem es der profilbildenden Verknüpfung von Informationen und deren Publikation klare Grenzen setzt.

Weiter... 

Webmaster
Letzte Änderung 21.06.2022

Zum Seitenanfang