Aktuell

Nutzerdaten von WhatsApp abgegriffen

25.11.2022 - Gemäss News-Meldungen werden rund 550 Mio. Nutzerdaten des Messengerdienstes WhatsApp im Darknet zum Kauf angeboten, davon betroffen seien 1.5 Mio. Schweizer Nutzerinnen und Nutzer. Zurzeit ist nicht klar, wer genau betroffen ist. Nach aktuellem Wissenstand sind nur die Telefonnummern abgegriffen worden.

Als Folge des Datenabgriffs könnten WhatsApp-Userinnen und -User ungebetene Kontaktaufnahmen von Unbekannten erhalten. Der EDÖB rät darum zur Vorsicht bei Chat-Nachrichten von unbekannten Absendern. Insbesondere sollten keine darin enthaltenen Links angeklickt werden. Auch bei Geldüberweisungen muss vorher immer geprüft werden, von wem die Nachricht stammt. Ist der Absender nicht vertrauenswürdig, sollten die Nachricht gelöscht und die Nummer am besten blockiert werden.

Zur Fussball-WM nach Katar - EDÖB empfiehlt Reisenden Zweit-Smartphone

18.11.2022 - Katar verlangt von den Gästen der Fussball-WM für die Einreise die Installation der beiden Apps «Ehteraz» und «Hayya to Qatar 2022». Nach Einschätzung des EDÖB weisen beide Applikationen erhebliche datenschutzrechtliche Risiken auf.

Der EDÖB begrüsst deshalb, dass die Bundesverwaltung die Installation der beiden Apps für dienstliche Smartphones ihres Personals gesperrt hat.

Generell empfiehlt der EDÖB den Einwohnerinnen und Einwohnern der Schweiz für Reisen in Staaten, die wie Katar über keinen mit der Schweiz vergleichbaren Datenschutz verfügen, auf die Mitnahme von Datenträgern zu verzichten, auf denen sensible Personendaten gespeichert werden.

Vor diesem Hintergrund rät der Beauftragte den rund 2000 Personen, die von der Schweiz zur WM nach Katar reisen werden, ein privates Billig-Smartphone zu verwenden. Solche Geräte sind im Handel für weniger als 100 Franken erhältlich. Eine weitere Möglichkeit besteht in der Mitführung eines nicht mehr benötigten, auf Werkeinstellung zurückgesetzten Smartphones.

Der EDÖB verfügt zurzeit über keine verlässlichen Informationen darüber, in wie weit Hayya-Karte ausgedruckt werden können und bei der Einreise und für den Zugang zu den Veranstaltungen akzeptiert werden.

Datensammlung anmelden - Verzeichnisse melden (DataReg)

17.11.2022 - Mit der Inkraftsetzung des neuen Datenschutzgesetzes (DSG) per 1. September 2023 erfährt die Anmeldung von Datensammlungen im Register des EDÖB eine Änderung. Unter dem neuen Datenschutzgesetz müssen ab diesem Zeitpunkt nur noch Bundesorgane ihre Datensammlungen dem EDÖB melden.

Bis zur Inkraftsetzung des neuen DSG führt der EDÖB übergangsweise zwei Register – das neue DataReg für die Meldungen von Bundesorganen gemäss dem neuen Gesetz und das bereits bestehende Register für die Meldungen von Privaten gemäss dem aktuell gültigen Recht:

Weitere Informationen

European Union-U.S. Data Privacy Framework (EU-U.S. DPF)

07.10.2022 - Der EDÖB hat das seitens der Vereinigten Staaten publizierte Factsheet betreffend das «Data Privacy Framework (DPF)» zur Kenntnis genommen und ist daran, dieses zu prüfen.

EU-U.S. DPF

U.S. Executive Order

U.S. Department of Justice (DOJ) regulations

Questions & Answers: EU-U.S. DPF (European Commission)

Medienmitteilung des EDÖB vom 8.9.2020

Oracle: Tracking-Technologien greifen in die Persönlichkeitsrechte der Internetnutzer ein

27.09.2022 - In einer US-amerikanischen Klage vom 19. August 2022 gegen das Unternehmen «Oracle America Inc.» erheben die Kläger schwere Vorwürfe wegen unzulässigem Tracking von Internetnutzern. Konkret wird Oracle darin vorgeworfen, sie hätten mit Tracking-Technologien Daten von 5 Milliarden Internetnutzern gesammelt und in einer Datenbank zusammengetragen. Die gesammelten Informationen würden durch Oracle analysiert und ausgewertet, um eine Datensammlung über alle erfassten Personen zu erstellen. Erfasst würden neben Namen und Adresse jegliches Verhalten im Internet, beispielsweise Kaufverhalten, GPS-Daten oder Informationen über die Gesundheit – dies erfolge sogar geräteübergreifend. Dabei verwende Oracle verschiedene Technologien, insbesondere sogenannte «Cookies» oder «Pixel» sowie integrierte Java-Scripts in Webseiten und Apps, um Internetnutzer zu verfolgen.

Auswirkungen auf die Schweizer Bevölkerung

Der EDÖB analysiert zurzeit die in der Klage gemachten Vorwürfe im Hinblick auf mögliche Verletzungen der Persönlichkeit der Schweizer Bevölkerung. Feststellen lässt sich schon jetzt, dass Oracle «Cookies», «Pixel» und Java-Scripts für Webseitenbetreiber und Applikationen zur Verfügung stellt. Durch die Einbindung dieser Elemente in Webseiten werden Informationen über Internetnutzer über die verschiedenen Webseiten und mobile Apps hinweg gesammelt und an Oracle übermittelt. Erste Abklärungen des EDÖB haben gezeigt, dass die in der Klage aufgeführten Tracking-Technologien auch in der Schweiz verbreitet eingesetzt werden und folglich auch Personen aus der Schweiz vom Tracking durch Oracle betroffen sind.

Es wird nun abgeklärt, inwieweit Schweizer Webseitenbetreiber und App-Anbieter durch die Einbindung der Tracking-Technologien die Datenschutzgrundsätze gemäss dem Schweizer Datenschutzgesetz verletzen. Im Fokus liegen hierbei insbesondere die Grundsätze der Transparenz und der Verhältnismässigkeit sowie die Erforderlichkeit einer ausdrücklichen Einwilligung für die Erstellung von Persönlichkeitsprofilen und die Bearbeitung von besonders schützenswerten Personendaten.

Schutzmassnahmen gegen unerwünschtes Tracking im digitalen Raum

Vorab stehen Webseitenbetreiber und App-Anbieter in der Pflicht zu prüfen, welche Technologien sie verwenden und ob diese möglicherweise die Besucherinnen der Webseite oder Benutzer von mobilen Apps verfolgen. Falls ja, muss entweder die Technologie entfernt oder die Nutzer müssen transparent und verständlich über die Datenbearbeitung, deren Zweck und die Widerspruchsmöglichkeiten sowie einer möglichen Übermittlung ihrer Daten ins Ausland informiert werden. Weiter müssen Webseitenbetreiber und App-Anbieter eine einfache Möglichkeit bieten, wie User der Nutzung widersprechen können (Opt-out oder Berücksichtigung von Voreinstellungen wie «Do not track»). Da beim Tracking die Persönlichkeit der Betroffenen verletzt wird, müssen im Falle der Erstellung von Persönlichkeitsprofilen oder der Bearbeitung von besonders schützenswerten Personendaten die Benutzerinnen und Benutzer dem Tracking ausdrücklich zustimmen (Opt-In).

Internetnutzer können sich gegen unerwünschtes Tracking im Internet schützen, indem sie bewusst einen datenschutzfreundlichen Internetbrowser auswählen und die Einstellungen entsprechend anpassen. Auch können sie sogenannte Ad-Blocker nutzen oder mittels Add-ins die Sammlungen ihrer Daten verhindern.

Neben der Einhaltung der Datenschutzgrundsätze müssen Betreiber von Datenbanken, die Personendaten beinhalten, auch immer die Betroffenenrechte sicherstellen. Das heisst, dass jede Person beim Inhaber der Datensammlung (hier der Webseiten- oder App-Betreiber) Auskunft darüber verlangen kann, welche Personendaten über sie bearbeitetet werden, zu welchem Zweck und wer darauf zugreifen kann. Wer mit der weiteren Bearbeitung seiner Daten nicht einverstanden ist, kann deren Löschung beantragen.

Der EDÖB hat die schweren Vorwürfe in der Klage vorerst zur Kenntnis genommen, analysiert diese und allfällige Auswirkungen auf die Schweiz. Er hat «Oracle Software (Schweiz) GmbH» am 2. September 2022 angeschrieben und behält sich vor, gegebenenfalls weitere Schritte einzuleiten.

Empfehlungen des EDÖB im Rahmen des Öffentlichkeitsprinzips

25.08.2022 - Der EDÖB hat im Rahmen des Öffentlichkeitsprinzips betreffend den Zugang zu amtlichen Dokumenten folgende Empfehlungen erlassen:

Empfehlung vom 18. August 2022: GS-VBS / Schlussbericht Forschungsauftrag (PDF, 251 kB, 06.09.2022)

Recommandation du 10 août 2022: DFAE / Informations relatives à un courrier (PDF, 297 kB, 19.08.2022)

Recommandation du 9 août 2022 : DFAE / Autorisation extraordinaire (PDF, 299 kB, 19.08.2022)

Empfehlung vom 5. August 2022: SEM / Archivierte Dossiers zum Bürgerrechtsgesetz (PDF, 196 kB, 12.08.2022)

Empfehlung vom 3. August 2022: NDB / Rechtsgrundlageanalyse und Bearbeitungsreglement Gesichtserkennungssystem (PDF, 179 kB, 09.08.2022)

Alle Empfehlungen

08.07.2022 - Bericht und Leitfaden zu Credential Stuffing

08.07.2022 - Der jüngste Bericht der internationalen Datenschutzbehörden (Global Privacy Assembly) hat Credential Stuffing als eine wachsende Bedrohung für Personendaten identifiziert. Der Leitfaden nennt Sicherheitsmassnahmen, wie man sich davor schützen kann.

Credential Stuffing ist eine Internet-Angriffsform, die die menschliche Angewohnheit ausnutzt, dieselbe Kombination von Benutzernamen und Passwort für mehrere Internet-Konten zu verwenden. Diese Angriffe erfolgen automatisiert und oft in grossem Ausmass. Dabei werden gestohlene Zugangsdaten verwendet, um auf Internetkonten verschiedener Internet Plattformen zuzugreifen.

Der Bericht, der von einer Unterarbeitsgruppe der International Enforcement Working Group (IEWG) der Global Privacy Assembly (GPA) veröffentlicht wurde, zu der auch der EDÖB und die Datenschutzbehörden von Grossbritannien, Kanada, Gibraltar, Jersey und der Türkei gehören, unterstreicht den zunehmenden Trend von Credential Stuffing Angriffen und gibt Organisationen und der Öffentlichkeit Hinweise, wie sie das Risiko solcher Angriffe verhindern, erkennen und vermindern können.

Unter den im Leitfaden aufgeführten Sicherheitsmassnahmen stellt der Bericht der Global Privacy Assembly fest, dass die Multifaktor-Authentifizierung als wirksamste Massnahme zum Schutz von Online-Konten vor Credential Stuffing angesehen wird.

Obwohl diese Richtlinien für die Staaten nicht eine rechtliche Verpflichtung darstellen, können sie Organisationen dabei helfen, die datenschutzrechtlichen Bestimmungen einzuhalten, indem Personendaten vor den Bedrohungen durch Credential Stuffing geschützt werden.

Mit mehr als 130 Datenschutzbehörden aus der ganzen Welt ist die Global Privacy Assembly übrigens eines der wichtigsten globalen Organisationen für Behörden, die sich mit den Themen Datenschutz- und Privatsphäre auseinandersetzen.

Hier finden Sie die erwähnten Berichte:

International Enforcement Cooperation Working Group: Credential Stuffing Awareness Raising for individuals

International Enforcement Cooperation Working Group: Credential Stuffing Guidelines for commercial organisations

Dossier meineimpfungen.ch

Medienmitteilung vom 20.06.2022: Gesundheitsbehörden wollen Daten retten - EDÖB hebt Löschempfehlung auf

Alle Mitteilungen zu meineimpfungen.ch

25.05.2022 - Ergänzung zur Medienmitteilung vom 24.05.2022 zu «meineimpfungen.ch»

Aufgrund zahlreicher Anfragen teilt der Beauftragte in Ergänzung seiner Medienmitteilung vom 24. Mai 2022 mit, dass das Konkursamt Bern-Mittelland die vom EDÖB empfohlene Löschung der Impfdaten nicht vor dem rechtskräftigen Abschluss des Konkursverfahrens und nicht ohne schriftliche Anweisung des Beauftragten hin vollziehen wird.

Medienmitteilung vom 24.05.2022

Versand von Impfdaten durch die Stiftung «meineimpfungen»

08.11.2021 - Die Stiftung meineimpfungen hat am Freitag, 04.11.2021 damit begonnen, den Nutzerinnen und Nutzern der Plattform deren Impfdaten als Anhang einer unverschlüsselten E-Mail zukommen zu lassen.

Der EDÖB hat das BAG nach Abschluss seiner Sachverhaltsabklärung zu «meineimpfungen.ch» im Rahmen des Projekts «Datenrettung meineimpfungen» in mehreren Sitzungen beraten und detailliert schriftlich die datenschutzrechtlichen Anforderungen eines Versands der Impfdaten an die Nutzerinnen und Nutzer zusammengefasst.

Das nun von der Stiftung umgesetzte Vorgehen steht im Widerspruch zu den vom EDÖB in seinem Schlussbericht vom 31.08.2021 sowie gegenüber dem BAG verlangten Anforderungen. Der unverschlüsselte Versand von Gesundheitsdaten per E-Mail ohne ein Authentifizierungsverfahren mit mehreren Faktoren ist nicht datenschutzkonform. Die Formulierung im Begleitschreiben der Stiftung (gleichlautend wie der Text, welcher auf der Website der Stiftung am 05.11.2021 aufgeschaltet worden ist) erweckt den falschen Eindruck, dass das erwähnte Vorgehen mit dem EDÖB abgesprochen worden sei. Dies ist nicht der Fall.

Schlussbericht des
EDÖB in der Sachverhaltsabklärung zu meineimpfungen.ch

07.09.2021 - In der Sachverhaltsabklärung betreffend die Plattform meineimpfungen.ch hat der EDÖB der Stiftung meineimpfungen Ende Juli 2021 seinen Schlussbericht zugestellt. Darin hat er drei Empfehlungen formuliert, die sich insbesondere auf die Datenintegrität und das Schicksal der Daten im Fall einer Einstellung der Plattform beziehen. Die Stiftung hat die Empfehlungen innert der 30-tägigen Frist akzeptiert. Der Schlussbericht wird heute publiziert.

Nach Abschluss der Sachverhaltsklärung hat die Stiftung verlauten lassen, dass sie die operativen Tätigkeiten einstellt und die Liquidation beantragt. Auskunfts- und Löschungsbegehren bearbeitet die Stiftung nicht mehr.

Der EDÖB unterstützt die Stiftung und das Bundesamt für Gesundheit (BAG) im Interesse der betroffenen Nutzerinnen und Nutzern bei der Suche nach einer raschen und pragmatischen Lösung.

Schlussbericht Sachverhaltsabklärung (PDF, 7 MB, 07.09.2021)

23.03.2021 Medienmitteilung: Impfplattform: Verfahren gegen Stiftung "meineimpfungen" eröffnet

13.06.2022 - Auslagerung von Personendaten durch die Suva in eine Microsoft Cloud

13.06.2022 - Aufgrund teilweise unterschiedlicher Rechtsauffassungen rät der EDÖB der Suva, die Auslagerung von Personendaten in eine vom US-amerikanischen Konzern Microsoft betriebene Cloud neu zu beurteilen.

Die Suva hat dem EDÖB am 10. Dezember 2021 aus eigenem Antrieb eine mit «Risikobeurteilung Projekt Digital Workplace M365» betitelte Dokumentation zugestellt. In diesem Projekt geht es um die damals unmittelbar bevorgestandene Auslagerung von bis anhin «on premise» (d.h. auf eigener Infrastruktur) bearbeiteten Personendaten der Suva in ein vom US-amerikanischen Konzern Microsoft auf schweizerischem Territorium betriebenes Rechenzentrum.

Nach dem Studium der ihm freiwillig eingereichten Dokumentation begrüsst der Beauftragte, dass die Suva ihr Auslagerungsprojekt einer eigenverantwortlichen Datenschutz-Überprüfung unterzogen hat. Er rät der Suva, die Auslagerung zeitnah einer Neubeurteilung zu unterziehen.

Angesichts der weiten Verbreitung der Produkte und Leistungen der Firma Microsoft in der Privatwirtschaft und den öffentlichen Verwaltungen der Schweiz ist das Auslagerungsprojekt für eine breite Öffentlichkeit von Interesse, weshalb der Beauftragte seine summarische Stellungnahme zum Vorhaben publiziert.

Da in der Schweiz noch keine richterliche Rechtsprechung zur aufgeworfenen Auslagerungsproblematik besteht, publiziert der EDÖB mit Genehmigung der Suva auch deren Antwortschreiben, aus dem teilweise abweichende Auffassungen hervorgehen.

Je nach Entwicklung der Situation und Rechtslage behält sich der Beauftragte vor, in einem späteren Zeitpunkt von Amtes wegen aufsichtsrechtlich tätig zu werden.

Stellungnahme des EDÖB Risikobeurteilung Suva Projekt Digital Workplace M365 (PDF, 1 MB, 13.06.2022)

Antwort Suva zur Stellungnahme des EDÖB zum Projekt Digital Workplace M365 (PDF, 987 kB, 13.06.2022)

EDÖB trifft tunesische Delegation in Bern

12.05.2022 - Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte Adrian Lobsiger traf gestern in Bern seine tunesischen Amtskollegen zu einem Gespräch.
Ihr Austausch konzentrierte sich vor allem auf die verschiedenen gesetzlichen Rahmenbedingungen und die Herausforderungen, die mit der zunehmenden Digitalisierung der Gesellschaft verbunden sind. Um den Herausforderungen und Risiken der Digitalisierung zu begegnen, spielt die internationale Zusammenarbeit eine immer wichtigere Rolle.

Fotos

v.l.n.r. Chawki Gaddes, Präsident der INPDP (Instance nationale de protection des données personnelles) und der AFAPDP (Association francophone des autorités de protection des données personnelles); Adrian Lobsiger, Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter EDÖB); Adnen Lassoued, Präsident der INAI (Instance nationale d'accès à l'information)

Hackerangriffe auf Arztpraxen in der Romandie

31.03.2022 - Gestern wurde bekannt, dass Hacker mehreren Arztpraxen in der Romandie Patientendossiers entwendet und eine grosse Menge medizinischer Daten im Darknet publiziert haben. Der EDÖB steht mit den fraglichen Praxen in Kontakt und erwartet, dass die betroffenen Patientinnen und Patienten umfassend informiert werden. Der Vorfall ist ein erneuter Hinweis darauf, dass die besonders schützenswerten Gesundheitsdaten in der Schweiz ungenügend geschützt sind.

Mehrere Westschweizer Medien haben am 30. März berichtet, dass eine grosse Menge gesundheitsbezogener Daten im Darknet publiziert worden ist. Der EDÖB ist mit den fraglichen Arztpraxen in Kontakt und wirkt insbesondere darauf hin, dass die betroffenen Patientinnen und Patienten über den Vorfall informiert werden. Die vom Datenabfluss betroffenen Arztpraxen haben bereits erste Massnahmen eingeleitet, um allfälligen Defiziten im Bereich von Datenschutz und -sicherheit zu begegnen.

Der Vorfall ist ein erneuter Hinweis darauf, dass die besonders schützenswerten Gesundheitsdaten in der Schweiz ungenügend geschützt sind. Der EDÖB hofft, dass der akute Handlungsbedarf mit Blick auf Datenschutz und Datensicherheit von der Ärzteschaft und den Branchenvertretern erkannt wird.

Update Mitto AG

23.12.2021 - Im Rahmen der eröffneten Vorabklärung hat der EDÖB mit der Mitto AG und den Mobilfunkbetreibern der Schweiz Kontakt aufgenommen.

Letztere haben das Bestehen einer Zusammenarbeit mit der Mitto AG bestätigt, jedoch darauf hingewiesen, dass technische Schutzmassnahmen bestehen, um unrechtmässige Zugriffe auf Personendaten zu verhindern. Aufgrund dieser ersten Rückmeldungen bestehen für den EDÖB somit vorläufig keine Hinweise, wonach es zu Missbräuchen zu Lasten der Schweizer Bevölkerung gekommen wäre.

In den nächsten Wochen wird der EDÖB noch weitere und ausführlichere Informationen zum Sachverhalt erhalten. Nach deren Auswertung werden wir über das weitere Vorgehen entscheiden und die Öffentlichkeit informieren.

Medienmitteilung vom 07.12.2021

Mitgliederdaten der Schützenvereine an Kreditkartenanbieter

15.11.2021 - Anfang Mai hat der Schweizer Schiesssportverband (SSV) über 50'000 lizenzierten Schützinnen und Schützen einen neuen Mitgliederausweis mit Kreditkartenfunktion verschickt. In der Folge haben sich zahlreiche Schützinnen und Schützen beim EDÖB mit der Frage gemeldet, ob diese Bekanntgabe zulässig war.

Der EDÖB hat daraufhin den Austausch mit dem SSV gesucht, der sich im Rahmen der Abklärungen als sehr kooperativ gezeigt hat.

Der EDÖB hat zunächst festgehalten, dass es sich beim gewählten Vorgehen nicht um eine reine Auftragsdatenbearbeitung für die Herstellung der Lizenzkarte handelt, sondern auch um eine Datenbekanntgabe an den Kreditkartenanbieter, da dieser die Daten auch für seine eigenen Zwecke verwenden will und wird.

Eine solche Datenbekanntgabe muss die Bearbeitungsgrundsätze des Datenschutzgesetzes einhalten, insbesondere die Zweckbindung und das Transparenzgebot. Bezüglich der Zweckbindung sehen die Statuten des SSV seit 2016 eine Bekanntgabe der Daten seiner Mitglieder zu kommerziellen Zwecken vor, und es gibt auch die Möglichkeit, dieser Bekanntgabe zu widersprechen. Der SSV hat damit grundsätzlich den Boden für die kommerzielle Nutzung der Mitgliederdaten geschaffen.

Problematisch ist aber, dass diese Bestimmung so ausdrücklich nur in den Statuten des Verbandes enthalten ist. Die Statuten der 36 angeschlossenen Verbände und der über 2000 Vereine enthalten meist keine analoge Regelung, sondern verweisen nur in genereller Weise auf die Statuten des SSV. Die einzelnen Mitglieder der Vereine konnten deshalb nur mit erheblichen Schwierigkeiten von dieser Regelung Kenntnis nehmen und ihr Widerspruchsrecht entsprechend geltend machen. Der EDÖB hat dazu festgehalten, dass die Datenbekanntgabe des SSV an den Kreditkartenanbieter dem datenschutzrechtlichen Transparenzgebot nicht entsprochen hat.

In Absprache mit dem SVV wurde folgendes Vorgehen vereinbart: die Schützinnen und Schützen werden vom Verband via Webseite, Newsletter und Mitgliederzeitschrift noch einmal über die Bekanntgabe zu kommerziellen Zwecken informiert und können ihr Widerspruchsrecht in Bezug auf diese kommerzielle Nutzung mit einer einfachen Mitteilung an den Verband kundtun.

Der SSV stellt in der Folge sicher, dass der Kreditkartenanbieter die Daten der Mitglieder, die nur eine Mitglieder- und keine Kreditkarte wünschen, separat behandelt und nicht für seine eigenen Zwecke, wie beispielsweise Marketing oder Angebotsunterbreitung, nutzt. Wer ganz auf die Mitgliederkarte in Kreditkartenform verzichten will, kann sich bei Anlässen weiterhin mit der Mitgliedsnummer und einem normalen Identitätsausweis legitimieren.

Dossier Datenübermittlung ins Ausland

Ausführliche Informationen auf unserer Website

Kurzmitteilungen zum Thema Datenübermittlung ins Ausland

Übermittlung von Personendaten in ein Land ohne angemessenes Datenschutzniveau gestützt auf anerkannte Standardvertragsklauseln und Musterverträge

27.08.2021 - Mit Mitteilung vom 27. August 2021 anerkennt der EDÖB die Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (gem. Durchführungsbeschluss 2021/914/EU) als Grundlage für Personendatenübermittlungen in ein Land ohne angemessenes Datenschutzniveau, sofern die für eine Verwendung unter Schweizer Datenschutzrecht notwendigen Anpassungen und Ergänzungen vorgenommen werden. Folgende Ausführungen zeigen, welche Anpassungen und Ergänzungen dabei vorzunehmen sind.

Die Standardvertragsklauseln gemäss dem Beschluss der Europäischen Kommission vom 5. Februar 2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates (2010/87/EU), das Swiss Transborder Data Flow Agreement (for outsourcing of data processing) von November 2013 sowie der Mustervertrag des Europarats für die Sicherstellung eines angemessenen Datenschutzes im Rahmen des grenzüberschreitenden Datenverkehrs können noch bis zum 27. September 2021 neu gemeldet und während einer Übergangsfrist bis zum 31. Dezember 2022 weiter verwendet werden.

Die Übermittlung von Personendaten in ein Land ohne angemessenes Datenschutzniveau gestützt auf anerkannte Standardvertragsklauseln und Musterverträge (PDF, 279 kB, 27.08.2021)

EDÖB nimmt zur Datenübermittlung an die United States Securities and Exchange Commission Stellung

04.08.2021 - Der EDÖB hat gegenüber der US-Börsenaufsichtsbehörde Securities and Exchange Commission (SEC) zur Frage der Zulässigkeit der Datenübermittlung von Schweizer Vermögensverwaltern an die US-Aufsichtsbehörde folgende Stellungnahme abgegeben:

Memorandum SEC (PDF, 1 MB, 04.08.2021)

Urteil des Europäischen Gerichtshofs (EuGH) zu europäischen Standardvertragsklauseln und zum EU-US Privacy Shield

16.07.2020 - Der Gerichtshof erklärt in seinem Urteil vom 16. Juli 2020 in der Rechtssache C-311/18 Data Protection Commissioner v. Facebook Ireland Ltd und Maximilian Schrems den Beschluss 2016/1250 über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes für ungültig. Der Beschluss 2010/87 der EU-Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern ist hingegen weiterhin gültig.

Der EDÖB hat das EuGH-Urteil zur Kenntnis genommen. Dieses Urteil ist für die Schweiz nicht direkt anwendbar. Der EDÖB wird das Urteil im Detail prüfen und sich zu gegebener Zeit äussern.

Link zur Pressemitteilung des EuGH

Medienmitteilung des EDÖB vom 08.09.2020: Privacy Shield CH-USA bietet nach Auffassung des EDÖB kein adäquates Datenschutzniveau

Welche Folgen hat der Brexit für den grenzüberschreitenden Datenverkehr?

31.01.2020 - Nach dem Referendum im Vereinigten Königreich über den EU-Ausstieg (Brexit) im Juni 2016 teilte die britische Regierung ihren Entscheid zum Austritt aus der EU mit. Der Austritt des Vereinigten Königreichs aus der Europäischen Union erfolgt nun auf den 31. Januar 2020.

Übermittlung personenbezogener Daten ins Ausland nach dem geltenden Datenschutzgesetz (DSG)
Um Daten ins Ausland zu übermitteln, müssen die in Artikel 6 DSG genannten Bedingungen erfüllt sein. Dieser Artikel sieht vor, dass Daten nur dann ins Ausland übermittelt werden dürfen, wenn das Bestimmungsland über Rechtsvorschriften verfügt, die ein angemessenes Datenschutzniveau vorsehen (Art. 6 Abs. 1 DSG) oder, in Ermangelung solcher Vorschriften, wenn das Schutzniveau durch andere Vorschriften oder Garantien gewährleistet wird (Art. 6 Abs. 2 lit. a und g DSG). Nach Artikel 31 Abs. 1 lit. d DSG kann der EDÖB grundsätzlich bestimmen, ob das Schutzniveau in einem Staat angemessen ist, so dass die gesamte Datenübermittlung an diesen Staat zulässig ist. Dies setzt insbesondere voraus, dass der Empfänger der Daten einem Gesetz untersteht, das ein mit dem schweizerischen Recht vergleichbares Datenschutzniveau bietet (Gewährleistung der Rechte der betroffenen Personen, Einhaltung der wichtigsten Datenschutzgrundsätze, unabhängige Aufsichtsbehörde). Der EDÖB hat auf seiner Website eine Liste der Staaten publiziert, die diese Anforderungen erfüllen. Diese Staatenliste wird laufend aktualisiert.

Vereinigtes Königreich und Gibraltar
Das Vereinigte Königreich und Gibraltar gehören derzeit zu den Ländern mit einem angemessenen Niveau, und der EDÖB hat derzeit keine Hinweise, die auf eine Statusänderung deuten. Im Hinblick auf die rechtlichen Folgen des Brexit für den Schutz von Personendaten ab dem 1. Februar 2020 hat die britische Behörde für den Schutz personenbezogener Daten (ICO) auf ihrer Website auch darauf hingewiesen, dass im Vereinigten Königreich ein hohes Mass an Schutz personenbezogener Daten gewährleistet sein wird.

Sollte der EDÖB jedoch eine Änderung des Status’ des Vereinigten Königreichs oder Gibraltars auf seiner Staatenliste in Betracht ziehen, würde er die Unternehmen zu gegebener Zeit informieren, damit sie sich insbesondere durch die Verwendung von Standardverträgen vorbereiten können.

Die EU wird bis Ende 2020 entscheiden, ob dem Vereinigten Königreich eine datenschutzrechtliche Angemessenheit attestiert wird. Der EDÖB beobachtet diese Entwicklungen aktiv.

Weiterführende Informationen:

EDÖB, Übermittlung von Personendaten ins Ausland

EDA, Direktion für europäische Angelegenheiten DEA: FAQ Brexit

ICO, Statement on data proteciton and Brexit implementation

ICO, Data Protection and Brexit

Europäische Kommission, UKTF, Taskforce für die Beziehungen zum Vereinigten Königreich

Die Datenschutz-Grundverordnung der EU und ihre Auswirkungen auf die Schweiz

14.12.2017 - Die neue Datenschutz-Grundverordnung (DSGVO) der Europäischen Union (EU) wird am 25. Mai 2018 in Kraft treten. Ab diesem Zeitpunkt ist die DSGVO für alle Akteure, die auf dem Gebiet der EU tätig sind, unmittelbar anwendbar. Mit den neuen Bestimmungen erhalten Bürgerinnen und Bürger mehr Kontrolle über ihre Personendaten; zudem nimmt die DSGVO die Unternehmen vermehrt in die Verantwortung, während gleichzeitig ihre Meldepflichten abgebaut werden. Des Weiteren wird die Rolle der Datenschutzbehörden gestärkt. Zahlreiche Schweizer Unternehmen werden von der Datenschutz-Grundverordnung direkt betroffen sein.

Tipps zur DSGVO

Leitfaden zum Swiss-US Privacy Shield

24.08.2017 - Der EDÖB hat eine praktische Broschüre zum Swiss-US Privacy Shield erstellt. Sie informiert einfach und verständlich über die Pflichten der zertifizierten Unternehmen, die Rechte betroffener Personen und wie diese im Beschwerdefall vorgehen können.

Swiss-US Privacy Shield Guide (PDF, 183 kB, 06.12.2017)

Weitere Informationen zur Datenübermittlung in die USA

Dossier Corona

Alle Kurzmitteilungen zu Corona

Der EDÖB empfiehlt die Verwendung des Covid-Zertifikats Light

08.09.2021 – Der EDÖB hat die Entwicklung des Covid-Zertifikats begleitet und darauf hingewirkt, dass dieses Zertifikat datenschutzkonform ausgestaltet wurde. Er begrüsst, dass der Nachweis jetzt ausschliesslich durch das Covid-Zertifikat erbracht werden muss und nicht auf beliebig andere Nachweise abgestellt wird.

Das Zertifikat wurde mit einer besonders datensparsamen Light-Version ausgestattet, aus welcher keine Gesundheitsdaten ausgelesen werden können. Mit Blick auf die heute durch den Bundesrat beschlossene, befristete Ausweitung der Zertifikatspflicht für Personen ab 16 Jahren empfiehlt der EDÖB den Gebrauch dieser Light-Version.

Die Ausweitung des Zertifikats auf Innenräume (wie Restaurants, Bars sowie Freizeiteinrichtungen wie Museen, Bibliotheken, Zoos, Fitnesscenter, Hallenbäder oder Casinos) ist in datenschutzrechtlicher Hinsicht als verhältnismässig zu beurteilen, wenn sie eine epidemiologisch notwendige und geeignete Massnahme zur Pandemiebekämpfung darstellt. Diesen Nachweis zu erbringen, liegt in der Verantwortung des zuständigen Fachamtes, an dessen Feststellungen und Beurteilungen sich der EDÖB orientiert.

Was die Ausweitung auf Arbeitsverhältnisse anbelangt, nimmt der EDÖB zur Kenntnis, dass Arbeitgeber im Rahmen ihrer Fürsorgepflicht das Vorliegen eines Zertifikats verlangen können, z.B. mit Blick auf die Festlegung von Schutzmassnahmen oder Umsetzung eines Testkonzepts. Positiv erachtet der EDÖB, dass auch die Möglichkeit des Light-Zertifikats ausdrücklich erwähnt wird. Dieses ist aus datenschutzrechtlicher Optik immer dort zu bevorzugen, wo es keine Rolle spielt, ob eine Person getestet, geimpft oder genesen ist.

Medienmitteilung BAG

Mitteilung EDÖB vom 19.07.2021

In zwei Klicks zum Zertifikat Light: Beim Covid-Zertifikat ganz nach unten scrollen, antippen und auf der Folgeseite aktivieren.

EDÖB empfiehlt Verwendung des datenschutzfreundlichen Covid-Zertifikats Light für Veranstaltungen in der Schweiz

19.07.2021 - Mit der neusten Version der «COVID Certificate»-App, kann auf einfache Weise ein datenschutzfreundliches Zertifikat Light generiert werden. Letzteres enthält keine Gesundheitsdaten. Der EDÖB empfiehlt der Bevölkerung, vom Zertifikat Light für Veranstaltungen in der Schweiz Gebrauch zu machen.

Im Rahmen der aufsichtsrechtlichen Begleitung der Entwicklung des Covid-Zertifikates, welches für Auslandreisen vorgesehen ist, hat der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) darauf hingewirkt, dass der Bund ein zweites, datenminimiertes Zertifikat Light zur Verfügung stellt. Mit der neusten Version der «COVID Certificate»-App ist es nun möglich, das Zertifikat Light auf einfache Weise zu generieren:

Link auf BAG Seite: Covid-Zertifikat (admin.ch)

Der EDÖB empfiehlt der Bevölkerung, vom datenschutzfreundlichen (d.h. datenminimierten) Zertifikat Light in der Schweiz Gebrauch zu machen (so insbesondere beim Besuch von Grossveranstaltungen).

Durch die Aktivierung des Zertifikats Light in der Ansicht des normalen Covid-Zertifikats, wird aus dessen Daten ein neuer QR-Code erstellt, der keine Gesundheitsdaten mehr enthält. Im Zertifikat Light sind einzig die zur Identifikation notwendigen Angaben und eine elektronische Signatur enthalten. Dadurch kann das Risiko einer unberechtigten Auslesung von Gesundheitsdaten (wie z.B. des verwendeten Impfstoffs) bei der Prüfung des Zertifikates eliminiert werden. Dies kann der Fall sein, wenn andere Prüf-Apps als die durch den Bund zur Verfügung gestellte «COVID Certificate Check»-App zur Anwendung kommen. Das ebenfalls fälschungssichere Zertifikat Light kann nur in der Schweiz verwendet werden und muss jeweils nach 48 Stunden in der App erneuert werden. Die kurze Gültigkeitsdauer wurde bewusst gewählt, weil dadurch keine Rückschlüsse möglich sind, ob das Zertifikat basierend auf einem Test, einer Impfung oder einer Genesung ausgestellt wurde.

Entwicklungen im Verfahren «SocialPass»

22.06.2021 - Nachdem die gemeinsame Rechtsvertretung der Betreiber von SocialPass das Mandat beendet hat, droht sich das hängige Aufsichtsverfahren zeitlich erneut zu verzögern. Am 18. Juni 2021 haben die Betreiber das am 27. Mai 2021 gestellte Ausstandbegehren widerrufen, das sich gegen das mit der Durchführung des Verfahrens betraute Personal des EDÖB richtete. Letzteres hat mit den Betreibern inzwischen direkte Gespräche aufgenommen. Diese zielen darauf ab, die festgestellten Mängel so rasch wie möglich zu beheben und das Verfahren zu einem baldigen Abschluss zu bringen.

Medienmitteilung des EDÖB vom 31.05.2021: SocialPass: Begrenzung der Abfragemöglichkeiten gefordert

Covid-Zertifikat erfüllt zentrale Anliegen der Datenschutzaufsicht

04.06.2021 - Der Bundesrat hat an seiner heutigen Medienkonferenz über die Schaffung und Einführung des Covid-19-Zertifikats informiert. Mit der Möglichkeit, Zertifikate auch in Papierform einzusetzen, und der Schaffung eines zusätzlichen datensparsamen QR-Codes für die Verwendung im Inland werden Kernanliegen der Datenschutzaufsicht erfüllt.

Im Rahmen seiner gesetzlichen Beratungspflicht hat der EDÖB die Bundesämter für Gesundheit (BAG) und für Informatik (BIT) in den letzten Wochen bei der rechtlichen und technischen Entwicklung des Covid-19-Zertifikats begleitet. Die Ämter haben die datenschutzrechtlichen Anliegen des Beauftragten grösstenteils umgesetzt.

Zum einen begrüssen wir, dass das Zertifikat nicht nur in elektronischer, sondern auch in Papierform zum Einsatz gelangen kann – damit wird einer faktischen Smartphone-Tragepflicht der Bevölkerung entgegengewirkt.
Zum andern konnten wir erfolgreich darauf hinwirken, dass das BIT beauftragt wurde, neben dem EU-kompatiblen QR-Code für den grenzüberschreitenden Verkehr einen zweiten, datensparsamen QR-Code für den Einsatz im Inland zu entwickeln. Dieser zweite Code verunmöglicht, dass bei der Auslesung des Zertifikats die Datenminimierung umgangen werden kann. Wer diesen zweiten Code verwendet, verhindert, dass Unberechtigte durch Einsatz nicht autorisierter Software bei der Auslesung seines Zertifikats erkennen können, aus welchem Grund dieses als gültig oder ungültig angezeigt wird. So brauchen z.B. die Zutrittskontrolleure einer Grossveranstaltung keine Kenntnis darüber zu erlangen, ob die Inhaber der Zertifikate infolge einer Impfung, Genesung oder eines Tests Eingang begehren.

Vor dem Hintergrund, dass Informationen über Impfung, Test und Genesung Gesundheitsdaten darstellen, betrachtet der Beauftragte indessen mit einer gewissen Sorge, dass vor Einführung des Zertifikats während einer Übergangshase für Pilotveranstaltungen sogenannte «hinreichende Nachweise» akzeptiert werden sollen. Auch bedauert er, dass der datensparsame QR-Code der Bevölkerung erst in einer zweiten Phase zur Verfügung gestellt werden kann. Er wird darauf hinwirken, dass diese Übergangsregelungen von möglichst kurzer Dauer bleiben.

Begleitung des BAG-Projekts für ein datenschutzkonformes Covid-19-Impfzertifikat

13.04.2021 - Der EDÖB wirkt in einer vom BAG eingesetzte Projektgruppe im Hinblick auf die Umsetzung eines Covid-19-Zertifikats auf datenschutzkonforme Ausgestaltung des Nachweises hin. Die Forderungen des EDÖB decken sich im Wesentlichen auch mit der Stellungnahme des Europäischen Datenschutzausschusses und des Europäischen Datenschutzbeauftragten zum Verordnungsentwurf zum «Grünen Pass» der EU.

Das BAG hat für die Umsetzung eines einheitlichen, fälschungssicheren und international anerkannten Covid-19-Impfzertifikats eine Projektgruppe eingesetzt. Der EDÖB wirkt in dieser Projektgruppe im Rahmen seiner gesetzlichen Beratungspflicht mit und setzt sich für eine datenschutzkonforme Umsetzung des gesetzgeberischen Auftrages nach Art. 6a des Covid-19-Gesetzes ein. In dieser Bestimmung werden die Voraussetzungen für die Impf-, Test- und Genesungsnachweise festgehalten. Demnach muss ein entsprechender Nachweis persönlich, fälschungssicher, unter Einhaltung des Datenschutzes überprüfbar und so ausgestaltet sein, dass nur eine dezentrale oder lokale Überprüfung der Authentizität und Gültigkeit von Nachweisen möglich ist. Sodann soll der Nachweis möglichst für die Ein- und Ausreise in andere Länder verwendet werden können.

Im Rahmen der Projektbegleitung wird der EDÖB insbesondere auch darauf hinwirken, dass die künftige Nutzung des Zertifikats – falls dieses von Privaten zu systematischen Beschaffung von Impfdaten oder anderen Personendaten für die Öffnung des Zugangs zu Gütern oder Leistungen genutzt werden sollte – den datenschutzrechtlichen Anforderungen gerecht wird. Hierbei müssen gemäss EDÖB nicht nur öffentlich-rechtliche Voraussetzungen im Verordnungsrecht geschaffen werden, sondern sind Private selbst auch angehalten, die datenschutzrechtlichen Grundsätze des DSG zu gewährleisten. Namentlich müssen Datenbearbeitungen durch Private verhältnismässig, zumutbar und transparent sein. Weiter hat der EDÖB öffentlich bereits wiederholt gefordert, dass die geplante Einführung des Zertifikates nicht zu einer allgemeinen Tragpflicht von Smartphones führen dürfe (siehe dazu unsere Kurzmitteilung vom 22.01.2021). Aus diesem Grund begrüsst der EDÖB, dass das Impfzertifikat künftig auf Papier wie auch digital nutzbar sein soll.

Die Forderungen des EDÖB decken sich im Wesentlichen mit der gemeinsamen Stellungnahme des Europäischen Datenschutzausschusses (EDSA) und des Europäischen Datenschutzbeauftragten (EDSB) vom 31. März 2021 zum Verordnungsentwurf der EU-Kommission für einen digitalen «Grünen Pass». In ihrer gemeinsamen Stellungnahme halten der EDSA und der EDSB fest, dass der digitale «Grüne Pass» auf einer genügenden gesetzlichen Grundlage beruhen und insbesondere die Grundsätze der Wirksamkeit, Notwendigkeit, Verhältnismässigkeit und Nichtdiskriminierung einhalten müsse. Wie auch vom EDÖB gefordert, hält die gemeinsame Stellungnahme zudem fest, dass der «Grüne Pass» ebenfalls in Papierform verfügbar sein müsse.

Datenschutzrechtliche Anforderungen für die Erhebung von Gesundheitsdaten durch Private im Zusammenhang mit der Pandemiebekämpfung

22.01.2021 - Bei der Bekämpfung der Covid-Pandemie kommen zunehmend digitale Applikationen zum Einsatz, die auf Smartphones installiert werden, auf denen sich meist umfangreiche Spuren der digitalen Lebensführung ihrer Besitzer befinden. So die vom Bund lancierte SwissCovid App oder sogenannte «Tracing Apps», welche von Privaten angeboten werden und das Contact Tracing in den Kantonen erleichtern sollen.

Nachdem Schnelltests und Impfungen gegen die Bekämpfung der aktuellen Pandemie verfügbar geworden sind, haben verschiedene private Anbieter angekündigt, dass sie erwägen, den Zugang zu Gütern oder Leistungen zu gegebener Zeit von der Bekanntgabe von Testresultaten oder Impfnachweisen abhängig zu machen.

Beschaffen Private von ihren Mitbürgern im Kontext der Pandemie Gesundheitsdaten, haben sie nebst den öffentlich-rechtlichen Vorgaben zu den entsprechenden Corona-Schutzkonzepten auch die Vorgaben des Datenschutzgesetzes des Bundes (DSG) und die dort verankerten Grundsätze der Verhältnismässigkeit und Zweckgebundenheit der Datenbearbeitung zu beachten. Machen Private den Zugang zu Gütern oder Leistungen von der Preisgabe von Gesundheitsdaten abhängig, kann dies die Persönlichkeit der Betroffenen verletzen. Gemäss Art. 28 Abs. 2 ZGB und 13 DSG ist eine solche Verletzung nur zulässig, wenn sie durch Einwilligung der Verletzten, durch ein überwiegendes privates oder öffentliches Interesse oder durch Gesetz gerechtfertigt ist.

Ob die Einforderung und allfällige Weiterbearbeitung von Test- oder Impfdaten eine Persönlichkeitsverletzung darstellt und diese gegebenenfalls gerechtfertigt ist, hängt von den konkreten Umständen des Einzelfalls ab, zumal weder das öffentliche noch das private Recht diesbezüglich umfassende Regelungen enthalten. Der EDÖB begrüsst deshalb, dass die zuständigen Bundesämter derzeit zuhanden des Bundesrats eine Auslegeordnung über allfällige Regelungen und deren Konsequenzen erarbeiten.

Unabhängig davon, ob oder wann es zu entsprechenden Regelungen kommt, muss der Beauftragte im aktuellen Umfeld der Pandemie jederzeit damit rechnen, dass Private zu systematischen Beschaffungen von Impf- und Testdaten sowie anderen Personendaten schreiten könnten. Der EDÖB weist deshalb nachfolgend auf die datenschutzrechtlichen Anforderungen hin, deren Erfüllung Private sicherzustellen haben, ehe sie den Zugang zu Gütern oder Leistungen von der Preisgabe solcher Personendaten abhängig machen:

Geeignetheit der Bearbeitung: Um den datenschutzrechtlichen Grundsatz der Verhältnismässigkeit zu erfüllen, muss die Beschaffung und Weiterbearbeitung der Personendaten geeignet sein, den verfolgten Zweck zu erfüllen. Bei der Beurteilung, ob die private Beschaffung und allfällige Weiterbearbeitung von Test- und Impfresultaten geeignet sind, signifikant zum Schutz vor Übertragung und Erkrankung beizutragen, sind Stellungnahmen der zuständigen Gesundheitsbehörden, namentlich des Bundesamtes für Gesundheit, zur Aussagekraft der Tests und zu den Auswirkungen der Impfung zu berücksichtigen. Die datenschutzrechtliche Beurteilung erfolgt auf der Grundlage der Einschätzungen und Publikationen dieser Fachbehörden.
Zumutbarkeit der Bearbeitung: Von der Beschaffung der erwähnten Personendaten ist abzusehen, wenn der Zugang zu Gütern oder Leistungen davon abhängen würde, der Verzicht auf diese unzumutbar wäre und der Zugang auch nicht anderweitig in zumutbarer Weise gewährleistet wäre.
Umfang der Bearbeitung und Datensicherheit: Nach der Beurteilung des Zugangs ist auf eine Speicherung oder Weitergabe der beschafften Personendaten zu verzichten, soweit eine Weiterbearbeitung dieser Daten nicht unbedingt nötig und sachlich begründet oder von Betroffenen ausdrücklich verlangt ist. Im Falle einer notwendigen Weiterbearbeitung ist diese hinsichtlich Umfang und Dauer auf das für den Zweck der Pandemiebekämpfung notwendige Minimum zu beschränken. Zudem ist die Datensicherheit durch geeignete technische und organisatorische Massnahmen sicherzustellen.
Art der Bearbeitung: Es gibt Personen, die nicht willens sind, ein mit einem bestimmten Programm bestücktes Smartphone vorzuzeigen, weil sie sich vor einem Zugriff auf die dort vorhandenen Daten ihrer digitalen Lebensführung fürchten. Und es gibt Menschen, die dazu aufgrund ihres Alters, ihrer Gesundheit oder wegen Behinderungen gar nicht in der Lage sind. Diesen Personen sind zumutbare Alternativen zur digitalen Beschaffung der erwähnten Personendaten unter vergleichbaren Bedingungen anzubieten.
Transparenz der Bearbeitung: Die Betroffenen sind umfassend und verständlich über den Zweck und die Modalitäten der Datenbeschaffung und allfälligen Weiterbearbeitung der erwähnten Personendaten zu informieren.

Der EDÖB verfolgt die weitere Entwicklung und behält sich aufsichtsrechtliche Massnahmen gegen Private vor, sollte er zum Schluss kommen, dass diese die vorgenannten Anforderungen des Datenschutzgesetzes missachten. Neue Entwicklungen und wissenschaftliche Erkenntnisse, die eine Neubeurteilung oder Ergänzung der vorgenannten Anforderungen nötig machen, bleiben vorbehalten.

Gästelisten: Betreiber müssen bei der Erfassung der Kontaktdaten Datenschutz sicherstellen

29.10.2020 - Für die Erfassung von Kontaktdaten für das Contact Tracing besteht eine gesetzliche Grundlage. Die Covid-19-Verordnung besondere Lage sieht vor, welche Daten zu welchem Zweck gesammelt werden dürfen. Wie die Erfassung erfolgt, steht den verantwortlichen Betreibern und Organisatoren indes frei. Der Einsatz von Apps ist zulässig, sofern dabei der datenschutzrechtliche Rahmen eingehalten wird.

Angesichts der schnell ansteigenden Fallzahlen werden die Massnahmen zur Pandemiebekämpfung derzeit verstärkt, namentlich das «klassische» Contact Tracing, das die Unterbrechung der Infektionsketten bezweckt.

Die gesetzliche Grundlage für das Contact Tracing findet sich im Epidemiengesetz. Daneben enthält die Covid-19-Verordnung besondere Lage Ausführungsbestimmungen in Bezug auf Massnahmen betreffend öffentlich zugängliche Einrichtungen und Betriebe sowie Veranstaltungen.

Gestützt auf diese Grundlagen sind Betreiber von öffentlich zugänglichen Einrichtungen und Betrieben sowie Veranstalter unter gewissen Voraussetzungen verpflichtet, Kontaktdaten der Besucherinnen und Besucher zu erheben. Der Umfang der zu erfassenden Daten ist dabei definiert, die Daten dürfen nur zum Zweck des Contact Tracing erfasst werden und sind nach 14 Tagen zu löschen. Die Kantone können punktuell weitergehende Massnahmen und damit auch umfangreichere Datenerfassungen vorsehen, solange die datenschutzrechtlichen Anforderungen eingehalten werden.

Auf welche Weise die Datenerhebung umgesetzt wird, lässt die Verordnung ausdrücklich offen, der Betreiber oder Organisator ist jedoch jederzeit für die Vertraulichkeit bei der Erhebung und die Datensicherheit verantwortlich.

Vor diesem Hintergrund ist auch eine Erhebung über eine App zulässig. Insbesondere in der Gastronomie oder bei Veranstaltungen kommt heute eine Vielfalt von digitalen Produkten zum Einsatz. Wie bei anderen Erfassungsmethoden ist dabei dem Datenschutz Rechnung zu tragen. Die Betreiber und Organisatoren bleiben auch mit dem Einsatz einer App für die Einhaltung der Vertraulichkeit und der Datensicherheit verantwortlich. Sie haben insbesondere sicherzustellen, dass nur jene Daten bearbeitet werden, welche von der Verordnung (und allenfalls ergänzenden kantonalen Erlassen) vorgesehen sind und dass die Daten – wie erwähnt – nach 14 Tagen gelöscht werden.

Die Erfassung weiterer Daten oder die Verwendung der erfassten Daten zu anderen Zwecken als dem Contact Tracing, wie zum Zustellen von Online-Werbung, ist nur mit dem Einverständnis der Betroffenen möglich. In diesem Fall muss jedoch sichergestellt werden, dass die Betroffenen über diese weitergehende Bearbeitung ausdrücklich informiert werden und dieser jederzeit widersprechen können, ohne dass sie dadurch benachteiligt werden. Da solche Apps beim Besuch von Einrichtungen, Betrieben und Veranstaltungen oft spontan vor Ort installiert werden, sollte eine allfällige Verwendung der erfassten Daten zu anderen Zwecken im Sinne eines Opt-In mit ausdrücklicher Zustimmung ausgestaltet werden.

Aus den datenschutzrechtlichen Grundsätzen ergibt sich überdies, dass für Personen, welche kein Smartphone mit sich führen, eine alternative Erfassungsmöglichkeit vorzusehen ist, wie insbesondere das Ausfüllen von Papierformularen. Diese Rechtsauffassung des EDÖB steht unter dem Vorbehalt einer Beurteilung durch die zuständigen Gerichte.

Update Proximity Tracing App: Technische Sicherheit der SwissCovid App erhärtet

12.06.2020 - Nach Würdigung des heute veröffentlichten Berichts «Risk Estimation Proximity Tracing» des NCSC bekräftig der EDÖB seine Einschätzung, wonach das vom Bundesamt für Gesundheit betriebene Swiss Proximity-Tracing-System und die SwissCovid App datenschutzkonform sind.

Bericht des Nationalen Zentrums für Cybersicherheit (NCSC)

Der EDÖB ist sich bewusst, dass die fehlende Offenlegung des API (application programming interface), also der Programmierschnittstelle von Google und Apple zur SwissCovid App in der öffentlichen Diskussion bemängelt wird. Dieser Sachverhalt ist jedoch nicht neu. Bereits die Datenschutz-Folgenabschätzung vom 1. Mai 2020und auch der heute publizierte Bericht des Nationalen Zentrums für Cybersicherheit (NCSC) vom 28. Mai 2020 wiesen auf die fehlende Offenlegung hin.

Die weltweit standardisierten Schnittstellen mit ihren darunterliegenden Betriebssystemen bilden die Grundlage für die SwissCovid App. Der Quellcode der Betriebssysteme und der Schnittstellen ist nicht oder nur teilweise frei verfügbar. Auch diese Tatsache ist bekannt und nicht spezifisch für die SwissCovid App.

Die Nutzung des API von Google und Apple für die SwissCovid App stellt für den EDÖB, verglichen mit der sonstigen alltäglichen Nutzung der Smart Devices der beiden Hersteller durch die Bevölkerung, kein signifikant grösseres Risiko für deren persönliche Daten dar.

Wer mit Blick auf die SwissCovid App davon ausgeht, Google und Apple würden sich ungeachtet ihrer rechtlichen Verantwortung und Reputationsrisiken über zugesagte Nutzungsbeschränkungen hinwegsetzen, muss sich über folgendes bewusst sein: Der Gebrauch der SwissCovid App müsste auch ohne die Nutzung des Proximity Tracing API dieser Hersteller auf einem Betriebssystem und der allgemeinen Bluetooth Schnittstelle derselben Hersteller beruhen. Wer diesen Herstellern generell und pauschal misstraut, müsste konsequenterweise unabhängig von der Ausgestaltung der SwissCovid App nicht nur auf deren Nutzung, sondern auf jeden Gebrauch von Smart Devices und Betriebssystemen dieser Hersteller verzichten. Die Möglichkeit dieses Verzichts ist jederzeit garantiert.

Für weitere Details verweisen wir auf den Volltext unserer Beurteilung:

Volltext (PDF, 134 kB, 12.06.2020)

Update Proximity Tracing App

13.05.2020 - Die Proximity Tracing App erfüllt die datenschutzrechtlichen Anforderungen - Stellungnahme nach Art. 17a DSG zum Pilotversuch mit dem Swiss Proximity-Tracing-System (SPTS).

Der Beauftragte erachtet den vom Bundesrat heute bewilligten Versuchsbetrieb des SPTS als datenschutzrechtlich zulässig. Noch fehlende Dokumente sind dem EDÖB rechtzeitig vor dem geplanten Vollbetrieb nachzureichen.

Aufsichtsrechtliche Massnahmen und Empfehlungen während des Versuchsbetriebs und nach dem Übergang zum vorgesehenen Vollbetrieb bleiben vorbehalten.

Stellungnahme (PDF, 4 MB, 13.05.2020)

Medienmitteilung: Bundesrat verabschiedet Verordnung für Proximity-Tracing-App

Update Proximity Tracing App

30.04.2020 - Datenbearbeitung im Backend der «Proximity Tracing-Application (PTAPP)» aus Sicht des EDÖB verhältnismässig.

In der Schweiz soll eine «Proximity Tracing-Application (PTAPP)» basierend auf dem dezentralen Ansatz von «DP-3T» eingeführt werden. Auch wenn dabei weit weniger Informationen zentral gespeichert werden als bei einem zentralen Ansatz, braucht die Systemarchitektur ein sogenanntes Backend mit Server.

Die Task Force Corona des EDÖB hat die technische Umsetzung im Backend für die geplante PTAPP geprüft. Der EDÖB kommt bei seiner Einschätzung zum Schluss, dass die dort stattfindenden Datenbearbeitungen verhältnismässig sind. Er prüft derzeit den Entwurf einer bundesrätlichen Verordnung über die PTAPP und die ihr zugrundeliegenden gesetzlichen Grundlagen.

Der EDÖB erarbeitet derzeit zudem eine Gesamtbeurteilung zur PTAPP in Berichtsform, welche die bisherigen Teilbeurteilungen zusammenführt und mit weiteren Aspekten ergänzt.

Bericht (PDF, 177 kB, 04.06.2020)

Update Proximity Tracing App

21.04.2020 - EDÖB prüft Systemarchitektur des Modells «DP-3T» und fordert Nachweis genügender Rechtsgrundlage.

Der EDÖB wurde mit seiner Task Force Corona in die Umsetzungsarbeiten der Bundesverwaltung für eine «Covid proximity tracing App» einbezogen. Die Umsetzung basiert auf dem von der EPFL entwickelten, einem dezentralen Ansatz folgenden Modell «DP-3T» und erfolgt unabhängig von den Entwicklungen im Rahmen des europäischen Projekts «PEPP-PT». Die Task Force des EDÖB prüft derzeit datenschutzrechtliche Aspekte der von den Behörden erarbeiteten Systemarchitektur. In grundsätzlicher Hinsicht fordert der EDÖB zudem insbesondere den Nachweis einer genügenden Rechtsgrundlage gemäss Art. 17 des Bundesgesetzes über den Datenschutz.

Datenschutzfreundliche Weiterentwicklung des EPFL-Projekts für eine «Covid proximity tracing App»

17.04.2020 - Seit der ersten Grobbeurteilung einer geplanten «Proximity Tracing»-App durch die Task Force Corona des EDÖB entwickelten die EPFL und ihre Partner das Projekt unter der Bezeichnung DP-3T weiter. Der EDÖB stellt in datenschutzrechtlicher Hinsicht Verbesserungen fest, namentlich aufgrund des dezentralen Ansatzes. Er wird bei der bevorstehenden Einführung weiter auf einen optimalen Datenschutz hinwirken.

Die erste Grobbeurteilung der Task Force Corona des EDÖB vom 02.04.2020 basierte auf einer inzwischen überholten Ausgestaltung, bei welcher gefährdete Personen vom zentralen Server kontaktiert wurden. Inzwischen konnte die Task Force von der Weiterentwicklung des Projekts unter dem Titel „Decentralized Privacy-Preserving Proximity Tracing“ (DP-3T) Kenntnis nehmen, welche einem dezentralen Ansatz folgt. Aus datenschutzrechtlicher Sicht erweist sich dabei u.a. als vorteilhaft, dass nun der zentrale Server im Sinne der Datenminimierung nur anonyme und damit nicht auf Personen rückführbare Schlüssel von infizierten Benutzern erhält. Nur noch lokal in den Apps der einzelnen Benutzer wird eine physische Nähe zu einem (anonymen) infizierten Benutzer erkannt. Der EDÖB erkennt, dass sowohl zentralisierte als auch dezentralisierte Lösungen Vor- und Nachteile aufweisen. Aus datenschutzrechtlicher Sicht und mit Blick auf die angestrebte internationale Umsetzung befürwortet er insgesamt die dezentral geprägte Weiterentwicklung im Rahmen von DP-3T, wobei für eine abschliessende datenschutzrechtliche Beurteilung letztlich die konkrete Umsetzung massgebend sein wird.

Inzwischen wurde bekannt, dass das Bundesamt für Statistik als Data Trust Center vorgesehen ist. Das Bundesamt für Informatik und Telekommunikation entwickelt, hostet und unterhält die notwendige Infrastruktur. Zusammen mit anderen Stellen soll auch der EDÖB bzw. seine Task Force Corona bei den nächsten Schritten konsultiert werden. Der EDÖB wird dabei weiterhin auf eine optimale Berücksichtigung der datenschutzrechtlichen Anforderungen hinwirken.

Grobbeurteilung des EPFL-Projekts für eine «Covid proximity tracing App»

02.04.2020 - Am 21. März 2020 wurde der EDÖB von der École polytechnique fédérale de Lausanne (EPFL) gebeten, das Projekt für eine «Covid proximity tracing App», an welchem die EPFL mitwirkt, einer Grobbeurteilung zu unterziehen.

Die Task Force Corona des EDÖB begrüsst in ihrer Grobbeurteilung, dass verschiedene Massnahmen des Projektes wie die Freiwilligkeit der Teilnahme, der Verzicht auf Geolokalisierungsdaten und die Verwendung von temporären Identifikatoren erkennen lassen, dass wichtige Anliegen des Datenschutzes berücksichtigt werden. Die abschliessende datenschutzrechtliche Beurteilung der vorläufig rein privaten Initiative hängt allerdings von der definitiven Ausgestaltung und praktischen Umsetzung ab und ist derzeit noch nicht möglich.

Stellungnahme des EDÖB in der SRF-Tagesschau vom 2.4.2020

Corona-Schutzkonzepte

19.05.2020 - Der EDÖB beaufsichtigt die Umsetzung der Schutzkonzepte durch private Betriebe. Er legt Wert darauf, dass die Beschaffung und Weitergabe von Personendaten im Rahmen dieser Konzepte freiwillig ist.

Im Rahmen der Lockerungen der Massnahmen zur Eindämmung der Corona-Pandemie hat der Bundesrat in der Verordnung 2 über Massnahmen zur Bekämpfung des Coronavirus (COVID-19; SR 818.101.24) die Wiederaufnahme von Aktivitäten und die Wiedereröffnung von Betrieben an den Erlass von sog. Schutzkonzepten geknüpft: s. Empfehlungen des BAG für Arbeitswelt und Schulen

Soweit die Schutzkonzepte, für deren Umsetzung die Betriebe verantwortlich sind, vorsehen, dass Letztere Daten von Personen (Kunden, Mitgliedern, Arbeitnehmenden usw.) bearbeiten, geschieht dies unter der Aufsicht des EDÖB. Er wirkt darauf hin, dass die Betriebe die Prinzipien des Datenschutzgesetzes des Bundes, insbesondere die Verhältnismässigkeit, beachten. Je nach Branche und Betriebsgrösse tragen auch betriebliche Rechtsdienste und Datenschutzberater zur datenschutzkonformen Umsetzung der Konzepte bei.

Der EDÖB legt Wert darauf, dass die Beschaffung und Weitergabe von Personendaten im Rahmen der Schutzkonzepte für die oben genannten Personen freiwillig ist und auf sie auch kein indirekter Zwang ausgeübt wird, indem die Inanspruchnahme von Leistungen und Vorteilen mit der Angabe ihrer Personendaten verknüpft wird.

Die mit direktem oder indirekten Zwang verbunden Beschaffung und Weiterbearbeitung von Daten dieser Personen stellt nach Auffassung des EDÖB einen Eingriff in die Privatsphäre und informationelle Selbstbestimmung derselben dar, welcher mit dem Verhältnismässigkeitsgrundsatz kollidiert. Vorbehalten bleiben obligatorische Bearbeitungsvorgaben, die sich auf hinreichend bestimmte Rechtsgrundlagen im öffentlichen Recht des Bundes oder der Kantone stützen.

Massnahmen für eine sichere Nutzung von Audio- und Videokonferenzlösungen

09.04.2020 - Im Zuge der Corona-Pandemie war es von einem Tag auf den anderen nicht mehr möglich, sich mit Verwandten und Bekannten zu treffen oder sich im Büroalltag auszutauschen und Sitzungen abzuhalten. Privatpersonen und Unternehmen suchen digitale Alternativen zur Kommunikation und halten vermehrt Videokonferenzen ab. Bei der Wahl der Software ist es wichtig, Informationssicherheit und Datenschutz im Auge zu behalten.

Der EDÖB empfiehlt im unten stehenden Merkblatt Massnahmen, um eine aktuell verwendete Lösung – vorübergehend während einer ausserordentlichen Lage – möglichst sicher einsetzen zu können. Danach oder auch bereits während der Nutzung ist der Einsatz dieser Dienste und Produkte im Rahmen einer Risikoanalyse nach den datenschutzrechtlichen Kriterien neu zu beurteilen, allenfalls ein geeigneteres Produkt zu evaluieren und dieses einzusetzen. Hierfür werden im Merkblatt Punkte aufgelistet, welche es bei der Vorbereitung- und Einführung einer datenschutzkonformen Audio- und Videokonferenzlösung zu beachten gilt.

Das Merkblatt richtet sich an alle Nutzergruppen – sowohl im privaten wie im geschäftlichen Umfeld.

Merkblatt: Massnahmen für eine sichere Nutzung von Audio- und Videokonferenzlösungen (PDF, 129 kB, 14.04.2020)

Updates - Datenschutzrechtlicher Rahmen bei der Eindämmung des Coronavirus:

Zugang des BAG zu visualisierten Daten der Swisscom datenschutzrechtlich erlaubt

03.04.2020 - Der EDÖB hat die Swisscom am 25. März 2020 gebeten, zum Zugang des Bundesamtes für Gesundheit (BAG) auf Daten der Swisscom Stellung zu nehmen. Nach Prüfung der von der Swisscom zur Verfügung gestellten Informationen kommt er zum Schluss, dass die Swisscom dem BAG ausschliesslich Zugang zu anonymisierten Daten gewährt. Der EDÖB hat die Swisscom aufgefordert, die Öffentlichkeit mit detaillierteren Informationen zum Datenbearbeitungsvorgang zu bedienen. Die Swisscom ist dieser Aufforderung nachgekommen und hat FAQs zu den fraglichen Datenbearbeitungen erstellt.

Die Swisscom bearbeitet mit der Mobility Insights Plattform (MIP) anonymisierte Gruppenstatistiken anhand aggregierter Mobilitätsdaten zur Auswertung von Mobilitätsverhalten auf dem Gebiet der Schweiz. Die dem Bundesamt für Gesundheit (BAG) mit einer mindesten 8-stündigen Verzögerung zugänglich gemachten visualisierten Auswertungen der Swisscom sollen dem Amt zum Zweck der Pandemiebekämpfung eine Übersicht darüber verschaffen, ob es in der Schweiz noch Ansammlungen von grösseren Gruppen gab. Die Visualisierungen zeigen den zeitlichen Verlauf der Aufenthalte von Handybesitzern in 100 mal 100 Meter grossen Gebieten, wenn mehr als 20 Mobilfunkgeräte von Abonnenten der Swisscom in einem solchen Gebiet vorhanden sind.

Der EDÖB hat die Swisscom am 25. März 2020 gebeten, zum Zugang des BAG auf Daten der Swisscom Stellung zu nehmen, was mit Schreiben vom 27. März 2020 und ergänzender Stellungnahme vom 2. April 2020 erfolgt ist. Nach Prüfung der von der Swisscom zur Verfügung gestellten Informationen und seinem Vorwissen aus Beratungen der Swisscom zu ähnlichen Sachverhalten kommt der EDÖB zu folgenden Erkenntnissen:

Die Standortdaten werden technisch im frühestmöglichen Zeitpunkt pseudonymisiert (Hash) und in der Folge aggregiert.
Organisatorische Massnahmen werden nicht beschrieben. Jedoch besteht aktuell kein Grund zur Annahme, dass offensichtliche Mängel bestehen, zumal es sich beim MIP um ein Produkt handelt, welches über mehrere Jahre betrieben wird.
Die Swisscom macht dem BAG im MIP statistische und visualisierte Informationen zugänglich, nicht hingegen Klardaten oder pseudonymisierte Daten, die der Visualisierung im MIP zugrunde liegen.
Die Ergebnisse (Visualisierung der aggregierten Standortdaten), auf welche die Swisscom das BAG zugreifen lässt, ist anonym.

Daraus folgt, dass die Swisscom dem BAG ausschliesslich Zugang zu anonymisierten Daten gewährt. Dementsprechend erachtet der EDÖB die Datenbearbeitung durch die Swisscom und die Weitergaben von anonymen Daten an das BAG datenschutzrechtlich als erlaubt.

Der EDÖB hat aufgrund der ihm zur Verfügung gestellten Unterlagen keine Veranlassung, daran zu zweifeln, dass sich die Swisscom an die in ihren Stellungnahmen vom 27. März und vom 2. April 2020 dargelegte Datenbearbeitung hält. Zwar sind bei ihm entgegenstehende Anzeigen eingegangen, die sich jedoch nicht erhärten liessen. Damit bestehen zurzeit keine Anhaltspunkte, die den EDÖB zur Eröffnung einer formellen Sachverhaltsabklärung nach Art. 29 DSG veranlassen müssten.

Der EDÖB war indessen der Auffassung, dass die der Öffentlichkeit zugänglichen Informationen zur Zusammenarbeit zwischen dem BAG und der Swisscom und den damit verbundenen Datenbearbeitungen spärlich und nicht ohne Weiteres auffindbar waren. Er hat die Swisscom daher dazu aufgefordert, die Öffentlichkeit mit detaillierteren Informationen zum Datenbearbeitungsvorgang zu bedienen. Die Swisscom ist dieser Aufforderung inzwischen nachgekommen und hat FAQs betreffend die Nutzung der Mobility Insights Plattform von Swisscom durch das Bundesamt für Gesundheit (BAG) erstellt.

Die Auswertung des EDÖB wird veröffentlicht.

Kurzauswertung Datenlieferung Swisscom an BAG (PDF, 164 kB, 03.04.2020)

FAQ betreffend Nutzung der Mobility Insights Plattform von Swisscom durch das BAG (PDF, 701 kB, 03.04.2020)

27.03.2020 - Der EDÖB wurde gestern vom Bundesamt für Gesundheit (BAG) über die laufende Zusammenarbeit mit der Swisscom zur Pandemiebekämpfung in Kenntnis gesetzt. (vgl. dazu Medienmitteilung des BAG vom 26.03.2020).

Der EDÖB hat unterdessen vom BAG wie auch von der Swisscom sachdienliche Dokumente dazu erhalten. Beide haben zudem zugesichert, den EDÖB künftig laufend über die datenschutzrelevanten Projekte zur Pandemiebekämpfung ins Bild zu setzen.

Die am 24. März 2020 gegründete EDÖB-interne Task Force «Corona» ist nun daran, diese Dokumente zu analysieren. Bereits vor einigen Tagen wurden dem EDÖB zwei private Initiativen zur digitalen Vorsorge gegen weitere Ansteckungen unterbreitet. Diese werden zurzeit ebenfalls von unserer Task Force einer ersten summarischen Datenschutzanalyse unterzogen.

Datenschutzrechtlicher Rahmen bei der Eindämmung des Coronavirus

17.03.2020 - Die Behörden setzen in Zusammenarbeit mit den Gesundheitsinstitutionen alles daran, die rasante Ausbreitung des Coronavirus einzudämmen. Soweit Privatpersonen (insbesondere Arbeitgeber) zur Bekämpfung der Pandemie Personendaten bearbeiten, sind die Grundsätze nach Art. 4 des Bundesgesetzes über den Datenschutz zu respektieren.

1. Datenbearbeitung durch Institutionen des Gesundheitswesens

Nach Ausrufung der ausserordentlichen Lage nach Art. 7 des Epidemiengesetzes (Art. 7 EpG) durch den Bundesrat arbeiten die Behörden von Bund, Kantonen und Gemeinden im Verbund mit den Einrichtungen des Gesundheitswesens weiter daran, die gegenwärtige Pandemie durch das Coronavirus zu bekämpfen.

Das Bundesamt für Gesundheit (BAG), die zuständigen kantonalen Behörden und die mit Aufgaben nach dem EpG betrauten öffentlichen und privaten Institutionen bearbeiten personenbezogene Gesundheitsdaten nach Massgabe des 2. Abschnittes des EpG, soweit dies zur Identifizierung von kranken, krankheitsverdächtigen, angesteckten oder ansteckungsverdächtigen Personen im Hinblick auf Massnahmen zum Schutz der öffentlichen Gesundheit erforderlich ist. Sie beachten dabei zudem die allgemeinen Grundsätze der Datenschutzgesetzgebungen von Bund und Kantonen. Spitäler und andere öffentliche oder private Institutionen des Gesundheitswesens sowie Laboratorien und Medizinalpersonen unterliegen zudem besonderen Meldepflichten nach dem EpG.

2. Datenbearbeitung durch Private

Soweit die Zivilgesellschaft, insbesondere Arbeitgeber, zur Bekämpfung der Pandemie personenbezogene Daten bearbeiten, muss die Bearbeitung unter Einhaltung der Grundsätze nach Art. 4 des Bundesgesetzes über den Datenschutz erfolgen:

• Gesundheitsdaten sind besonders schützenswert und dürfen von Privaten grundsätzlich nicht gegen den Willen der Betroffenen beschafft werden.

• Bearbeitungen von Gesundheitsdaten durch Private müssen zudem zweckgebunden und verhältnismässig erfolgen. D.h., dass sie mit Blick auf die Verhütung von weiteren Ansteckungen nötig und geeignet sein müssen und nicht über das hinausgehen dürfen, was zur Erreichung dieses Ziels nötig ist.

• Wenn immer möglich, sollen zweckdienliche Daten über Grippesymptome wie z.B. Fieber durch die Betroffenen selber erhoben und weitergegeben werden.

• Die Erhebung und Weiterbearbeitung von Gesundheitsdaten durch private Dritte ist gegenüber den Betroffenen offen zu legen, sodass Letztere den Sinn und Zweck sowie den inhaltlichen und zeitlichen Umfang der Bearbeitung verstehen.

3. Körpertemperatur und Tracking

Soweit Private zum Zwecke der Verhinderung von Ansteckungen vor Betreten von Gebäuden oder Arbeitsplätzen medizinische Daten wie z.B. die Körpertemperatur erheben, ist die Bearbeitung dieser Daten mit Blick auf deren inhaltlichen und zeitlichen Umfang auf das zur Erreichung des Zwecks notwendige Minimum zu beschränken. Bei der Datenbeschaffung muss die Information und Selbstbestimmung der Betroffenen gewahrt bleiben. Das Beantworten umfangreicher Fragen zum Gesundheitszustand gegenüber nicht Medizinalpersonen erweist sich in diesem Kontext als ungeeignet und unverhältnismässig.

Das gleiche gilt für personenbezogene Daten, die Private im Zusammenhang mit betrieblichen und organisatorischen Massnahmen zur Verhinderung von Ansteckungen bearbeitet. Spätestens nach Wegfall der pandemischen Bedrohung sind diese integral zu löschen.

Soweit der Einsatz digitaler Methoden zur Erhebung und Analyse von Mobilitäts- und Proximity-Daten erwogen wird, müssen sich diese mit Blick auf den Zweck der Verhinderung von Ansteckungen als verhältnismässig erweisen. Dies sind sie nur, wenn sie epidemiologisch begründet und geeignet sind, im jeweils aktuellen Stadium der Pandemie eine den Eingriff in die Persönlichkeit der Betroffenen rechtfertigende Wirkung zur Eindämmung der Pandemie zu entfalten.

Dossier nDSG:

Das neue Datenschutzgesetz aus Sicht des EDÖB

05.03.2021 / aktualisiert am 27.10.2022 - Bis zum Inkrafttreten des neuen DSG werden Privatwirtschaft und Bundesbehörden ihre Bearbeitung von Personendaten an die neuen Bestimmungen anpassen müssen. Der Beauftragte hat hierzu die aus seiner Sicht wesentlichsten Neuerungen festgehalten und publiziert.

(Das integrale Dokument ist unten als pdf angefügt)

Nur noch Daten von natürlichen Personen

Das revidierte DSG bezweckt ausschliesslich den Schutz der Persönlichkeit von natürlichen Personen, über welche Personendaten bearbeitet werden. Daten von juristischen Personen wie kaufmännischen Gesellschaften, Vereinen oder Stiftungen werden vom neuen DSG nicht mehr erfasst, womit dessen Geltungsbereich mit jenem der DSGVO übereinstimmt. Unternehmen können sich nach wie vor auf den Persönlichkeitsschutz durch Art. 28 ZGB, den Schutz des Geschäfts- und Fabrikationsgeheimnis nach Art. 162 StGB sowie die einschlägigen Bestimmungen der Bundesgesetze über den unlauteren Wettbewerb und über Kartelle berufen.

Besonders schützenswerte Personendaten

Die bisherige Definition der besonders schützenswerten Personendaten wird um genetische und, sofern diese eine natürliche Person eindeutig identifizieren, biometrische Daten erweitert.

«Privacy by Design» und «Privacy by Default» (neu: Art. 7 DSG)

Im revidierten DSG sind neu die Grundsätze «Privacy by Design» (Datenschutz durch Technik) und «Privacy by Default» (Datenschutz durch datenschutzfreundliche Voreinstellungen) verankert. Sie verpflichten Behörden und Unternehmen, die Bearbeitungsgrundsätze des DSG bereits ab der Planung entsprechender Vorhaben umzusetzen, indem sie angemessene technische und organisatorische Schutzmassnahmen treffen. Der Datenschutz durch Technik verlangt, dass sie ihre Applikationen u.a. so ausgestalten, dass die Daten standardmässig anonymisiert oder gelöscht werden. Datenschutzfreundliche Voreinstellungen schützen die Nutzer von privaten Online-Angeboten, die sich weder mit Nutzungsbedingungen noch den daraus abzuleitenden Widerspruchsrechten auseinandergesetzt haben, indem nur die für den Verwendungszweck unbedingt nötigen Daten bearbeitet werden, solange sie nicht aktiv werden und weitergehende Bearbeitungen autorisieren. Um diesen Schutz des neuen Gesetzes zu gewährleisten, sollten Schweizer Unternehmen ihre Angebote rechtzeitig überprüfen und nötigenfalls durch Einsatz datenschutz- und kundenfreundlicher Programme Anpassungen vornehmen.

Datenschutzberater und Datenschutzberaterinnen (neu: Art. 10 DSG)

Private Unternehmen können eine Datenschutzberaterin oder einen Datenschutzberater ernennen (neu: Art. 10 DSG). Diese können, müssen aber nicht in einem arbeitsvertraglichen Verhältnis zum Unternehmen stehen. In beiden Fällen sollte die Datenschutzberatung getrennt von übrigen Aufgaben des Unternehmens wahrgenommen werden. Auch empfiehlt es sich, die Geschäfte der Datenschutzberatung nicht mit jenen der übrigen Rechtsberatung und -vertretung zu vermischen. Weiter soll es Datenschutzberatern und -beraterinnen erlaubt sein, ihren Standpunkt bei Meinungsverschiedenheiten der Unternehmensleitung zur Kenntnis zu bringen (Art. 23 Buchst. c DSV). Im Gegensatz zur europäischen DSGVO ist die Ernennung von Beratern und Beraterinnen für Private stets fakultativ – nur Bundesorgane sind gesetzlich dazu verpflichtet. Sie sind nicht nur eine innerbetriebliche Anlaufstelle, sondern auch Bindeglied zum behördlichen Datenschutz und erste Ansprechpersonen für den EDÖB. Zu ihren Aufgaben gehören nebst der allgemeinen Beratung und Schulung des Unternehmens in Fragen des Datenschutzes die Mitwirkung beim Erlass und der Anwendung von Nutzungsbedingungen und Datenschutzvorschriften. Wird die interne Datenschutzberatung fachlich unabhängig und weisungsungebunden ausgeübt, und werden dort keine Aufgaben wahrgenommen, die mit der Funktion unvereinbar sind, kann ein Unternehmen nach Durchführung einer Datenschutz-Folgenabschätzung auch bei fortbestehend hohem Risiko einzig auf die interne Beratung abstellen, ohne darüber hinaus den EDÖB konsultieren zu müssen (s. dazu unten «Datenschutz-Folgenabschätzungen» ).

Datenschutz-Folgenabschätzung (neu: Art. 22f DSG)

Datenschutz-Folgenabschätzungen sind im Schweizer Datenschutzrecht nicht neu – Bundesorgane sind bereits heute dazu verpflichtet. Wenn eine beabsichtigte Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann, müssen neu auch private Verantwortliche vorgängig eine Datenschutz-Folgenabschätzung erstellen (neu: Art. 22f DSG). Das hohe Risiko ergibt sich – insbesondere bei Verwendung neuer Technologien – aus der Art, dem Umfang, den Umständen und dem Zweck der Bearbeitung. Insbesondere liegt ein hohes Risiko dann vor, wenn ein Profiling mit hohem Risiko oder umfangreiche Bearbeitungen besonders schützenswerter Personendaten geplant sind. Allgemein gehaltene Folgenabschätzungen vermögen nicht von erkennbaren Risiken zu dispensieren, die sie unerwähnt lassen. Ist ein Produkt, System oder eine Dienstleistung nach Datenschutzgesetz zertifiziert oder wird ein Verhaltenskodex eingehalten, der auf einer Datenschutz-Folgenabschätzung beruht, kann von der Erstellung einer solchen abgesehen werden. Ist aus einer Datenschutz-Folgenabschätzung erkennbar, dass die geplante Bearbeitung trotz der vom Verantwortlichen vorgesehenen Massnahmen noch ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen zur Folge hätte, muss dieser vorgängig die Stellungnahme des EDÖB einholen. Hat der EDÖB Einwände gegen die Folgenabschätzung selber, wird er dem Verantwortlichen entsprechende Präzisierungen oder Ergänzungen nahelegen. Dies dürfte vor allem der Fall sein, wenn der Text so allgemein gehalten ist, dass er voraussehbare Risiken oder Massnahmen nur unzureichend beschreibt. Richten sich die datenschutzrechtlichen Einwände gegen die geplanten Bearbeitungen als solche, schlägt der EDÖB dem Verantwortlichen geeignete Massnahmen zu deren Modifizierung vor (s. dazu unten «Konsultationen»). Anders als bei den Verhaltenskodizes müssen die Stellungnahmen des EDÖB nicht publiziert werden. Als amtliche Dokumente unterstehen sie jedoch dem Bundesgesetz über das Öffentlichkeitsprinzip in der Verwaltung. Auf die Konsultation des EDÖB kann verzichtet werden, wenn die interne Datenschutzberatung konsultiert wurde (s. dazu oben «Datenschutzberater und Datenschutzberaterinnen»).

Verhaltenskodizes (neu: Art. 11 DSG)

In Artikel 11 hat das neue DSG für Berufs-, Branchen- und Wirtschaftsverbände Anreize gesetzt, eigene Verhaltenskodizes zu entwickeln und diese dem EDÖB zur Stellungnahme vorzulegen. Dessen Stellungnahmen werden veröffentlicht. Sie können Einwände enthalten und entsprechende Änderungen oder Präzisierungen empfehlen. Positive Stellungnahmen des EDÖB begründen die gesetzliche Vermutung, dass das im Verhaltenskodex festgehaltene Verhalten datenschutzrechtskonform ist. Allgemein gehaltene Kodizes vermögen indessen nicht vor beliebigen Risiken zu dispensieren, die der Text nicht näher bezeichnet. Durch Unterwerfung unter einen Verhaltenskodex können die Mitglieder der Verbände davon entlastet werden, eigene Hilfestellungen und Vorgaben für die Anwendung des neuen DSG zu erarbeiten. Diese Form der Selbstregulierung bringt ihnen auch den Vorteil, dass sie keine eigenen Datenschutz-Folgenabschätzungen durchführen müssen, wenn sie einen Verhaltenskodex einhalten, der auf einer bereits durchgeführten und immer noch aktuellen Datenschutz-Folgenabschätzung beruht, Massnahmen zum Schutz der Persönlichkeit oder der Grundrechte vorsieht und dem EDÖB vorgelegt wurde.

Zertifizierungen (neu: Art. 13 DSG)

Neben Managementsystemen und Produkten sind neu auch Dienstleistungen und Prozesse zertifizierbar. Mittels Zertifizierung können Unternehmen z.B. nachweisen, dass sie dem Grundsatz von Privacy by Default gerecht werden und über ein angemessenes Datenschutzmanagementsystem verfügen. Wenn ein privater Bearbeitungsverantwortlicher ein System, Produkt oder eine Dienstleistung einsetzt, die zertifiziert ist, kann er von der Erstellung einer Datenschutz-Folgenabschätzung absehen. Weitere Vorschriften über das Zertifizierungsverfahren und Qualitätszeichen wurden vom Bundesrat auf dem Verordnungsweg geregelt (VDSZ).

Verzeichnis der Bearbeitungstätigkeiten (neu: Art. 12 DSG)

Neu müssen nach Artikel 12 DSG die Verantwortlichen sowie die Auftragsbearbeiter je ein Verzeichnis sämtlicher Datenbearbeitungen führen. Die entsprechenden Mindestangaben gibt das neue DSG vor. Das Verzeichnis muss stets à jour gehalten werden. Der Bundesrat hat in der Verordnung Ausnahmen für Unternehmen vorgesehen, die weniger als 250 Mitarbeiterinnen und Mitarbeiter beschäftigten und deren Datenbearbeitung ein geringes Risiko von Verletzungen der Persönlichkeit von betroffenen Personen mit sich bringt (Art. 24 DSV). Während Bundesorgane dem EDÖB die Verzeichnisse melden müssen, sieht das neue Recht für die privaten Datenbearbeiter keine Meldepflicht mehr vor.

Bekanntgabe von Personendaten ins Ausland (neu: Art. 16 DSG)

Das revidierte DSG hält in Art. 16 fest, dass Daten ins Ausland bekanntgegeben werden dürfen, wenn neu der Bundesrat festgestellt hat, dass die Gesetzgebung des Drittstaates einen angemessenen Schutz gewährleistet. Die bisher vom EDÖB geführte Liste ist neu Teil der DSV (Anhang 1). Figuriert der betreffende Exportstaat nicht auf der Liste des Bundesrates, dürfen Daten wie nach bisherigen Recht trotzdem dorthin geleitet werden, wenn ein geeigneter Datenschutz auf andere Weise gewährleistet wird. So durch einen völkerrechtlichen Vertrag, Datenschutzklauseln, die dem EDÖB vorgängig mitzuteilen sind, oder verbindliche unternehmensinterne Datenschutzvorschriften, sog. Binding Corporate Rules. Bereits unter der DSGVO genehmigte Standardklauseln der Europäischen Kommission werden vom EDÖB anerkannt.

Ist eine Bekanntgabe ins Ausland geplant – wozu auch die Speicherung auf ausländischen Systemen (Cloud) gehört – sind gegenüber den Betroffenen die Länder anzugeben, gleichgültig, ob diese einen angemessenen Datenschutz bieten. Hier geht das DSG weiter als die DSGVO. Anzugeben ist auch, welche Datenschutzgarantien gegebenenfalls zum Einsatz kommen (z.B. EU-Standardvertragsklauseln) oder auf welche Ausnahmen sich der Verantwortliche allenfalls bezieht; auch hier weicht das DSG von der DSGVO ab.

Ausgebaute Informationspflichten (neu: Art. 19ff DSG)

In Erfüllung des Revisionsziels der Transparenz baut das neue DSG die Informationspflicht für Unternehmen aus (neu: Art. 19 DSG). Neu gilt, dass ein privater Verantwortlicher bei grundsätzlich jeder beabsichtigten Beschaffung von Personendaten die betroffene Person vorgängig angemessen informieren muss, selbst wenn die Daten nicht direkt bei ihr beschafft werden. Im aktuellen DSG ist diese Informationspflicht bisher nur bei besonders schützenswerten Personendaten und Persönlichkeitsprofilen vorgeschrieben. Konkret sollen die Identität und Kontaktdaten des Verantwortlichen, der Bearbeitungszweck und gegebenenfalls die Empfänger von Personendaten bekanntgegeben werden. Anders als nach der DSGVO muss auch über den Empfangsstaat und die allfälligen Garantien zur Gewährleistung eines angemessenen Datenschutzniveaus informiert werden (s. oben, Bekanntgabe von Personendaten ins Ausland). Unternehmen werden somit ihre Datenschutzerklärungen entsprechend überprüfen und nachführen müssen. Ausgenommen von der Informationspflicht sind Personendaten, die nur nebenbei oder zufällig erfasst werden. Sodann wird die Informationspflicht durch die zahlreichen Einschränkungs- und Ausnahmegründe beschränkt oder aufgehoben. Das ist beispielsweise der Fall, wenn Betroffene bereits über die Information verfügen oder die Bearbeitung der Daten gesetzlich vorgesehen ist. Führen Bearbeitungen zu automatisierten Einzelentscheidungen, haben die Verantwortlichen neue Informationspflichten gegenüber der beschwerten Person wahrzunehmen und dieser die ihr zustehenden Anhörungs- und Überprüfungsrechte zu gewähren.

Auskunftsrecht der betroffenen Personen (neu: Art. 25 DSG)

Das Recht einer betroffenen Person, Auskunft darüber zu verlangen, ob Personendaten über sie bearbeitet werden, wurde im neuen DSG ausgebaut. Der neue Artikel 25 enthält eine erweiterte Liste an Mindestinformationen, die vom Verantwortlichen herausgegeben werden müssen, beispielsweise die Aufbewahrungsdauer der bearbeiteten Personendaten. Sodann sieht der Artikel vor, dass einer betroffenen Person generell alle Informationen zur Verfügung zu stellen sind, welche erforderlich sind, damit sie die ihr nach dem neuen DSG zustehende Rechte geltend machen kann und eine transparente Datenbearbeitung gewährleistet ist. Wie nach altem Recht kann der Verantwortliche die Auskunft unter bestimmten Bedingungen verweigern, einschränken oder aufschieben.

Meldepflicht bei Verletzungen der Datensicherheit (neu: Art. 24 DSG)

Gemäss dem neuen Artikel 24 muss der Verantwortliche dem EDÖB Verletzungen der Datensicherheit melden, die für die Betroffenen zu einem hohen Beeinträchtigungsrisiko ihrer Persönlichkeit oder ihrer Grundrechte führen. Die Bestimmung gilt sowohl für private Verantwortliche als auch für Bundesorgane. Dabei hat die Meldung an den EDÖB so rasch wie möglich zu erfolgen. Vorher wird der Verantwortliche eine Prognose zu den möglichen Auswirkungen der Verletzung stellen und eine erste Beurteilung darüber vorzunehmen, ob Gefahr im Verzug sein könnte, ob die betroffenen Personen über das Ereignis zu informieren sind und auf welche Weise dies geschehen könnte. Wenn der Verantwortliche das Risiko nicht als hoch einschätzt, hindert ihn dies nicht daran, freiwillig eine Meldung an den EDÖB abzusetzen. Gegenüber dem EDÖB meldepflichtig sind nur eingetretene Persönlichkeits- oder Grundrechtsverletzungen, nicht jedoch erfolgreich abgewehrte oder untaugliche Cyberangriffe. Auch die europäische DSGVO kennt eine entsprechende Meldepflicht und gibt für deren Wahrnehmung gegenüber den Datenschutzbehörden der EU konkrete Fristen vor. Zudem ist die Schwelle zur Meldepflicht nach dem europäischen Recht tiefer, da dieses lediglich ein einfaches Risiko voraussetzt.

Recht auf Datenportabilität (neu: Art. 28 DSG)

Mit dem Recht auf Datenherausgabe und -übertragung gemäss Artikel 28 hat eine betroffene Person neu die Möglichkeit, ihre Personendaten, welche sie einem privaten Verantwortlichen bekanntgegeben hat, in einem gängigen elektronischen Format heraus zu verlangen oder einem Dritten übertragen zu lassen. Die Voraussetzungen hierzu sind, dass der Verantwortliche die Daten automatisiert und mit der Einwilligung der betroffenen Person oder in unmittelbarem Zusammenhang mit einem Vertrag bearbeitet. Das Recht kann kostenlos geltend gemacht werden, ausser wenn die Herausgabe oder Übertragung mit einem unverhältnismässigen Aufwand verbunden ist. Letzteres kann etwa der Fall sein, wenn bei Kommunikationsdaten eine aufwändige Triage zwischen den eigenen Äusserungen und jenen von Dritten nötig wird.

Untersuchung aller Verstösse gegen Datenschutzvorschriften (neu: Art. 49)

Der EDÖB wird in Zukunft alle Verstösse gegen das neue DSG durch Bundesorgane oder private Personen von Amtes wegen zu untersuchen haben (Art. 49 Abs. 1 DSG). Im aktuellen DSG gilt noch die Einschränkung, wonach der EDÖB gegen Private nur dann von sich aus eine Untersuchung inklusive Sachverhaltsabklärungen durchführt, wenn die Bearbeitungsmethode geeignet ist, die Persönlichkeit einer grösseren Anzahl von Personen zu verletzen. Diese, als «Systemfehler» bezeichnete Interventionsschwelle fällt inskünftig weg. Bei Verletzungen der Datenschutzvorschriften von geringfügiger Bedeutung kann jedoch auch nach neuem Recht von der Eröffnung einer Untersuchung abgesehen werden (Art. 49 Abs. 2). Auch kann der EDÖB wie bis anhin von der Eröffnung formeller Schritte absehen, wenn sich nach einer ersten Kontaktnahme mit dem Bearbeitungsverantwortlichen zeigt, dass dieser Mängel, auf die er aufmerksam gemacht wurde, anerkennt und innert nützlicher Zeit behebt. Aufgrund seiner beschränkten Ressourcen ist generell davon auszugehen, dass der EDÖB bei der Behandlung von Anzeigen auch nach Inkrafttreten des neuen Gesetzes nach Massgabe des Opportunitätsprinzips Prioritäten setzen wird.

Verfügungen (neu: Art. 51)

Neu wird der EDÖB neu Verfahren nach dem Verwaltungsverfahrensgesetzes durchführen und gegenüber Bundesorganen oder privaten Bearbeitungsverantwortlichen formell verfügen, eine Datenbearbeitung ganz oder teilweise anzupassen, zu unterbrechen oder gar einzustellen sowie Personendaten löschen oder vernichten zu lassen (Art. 51 Abs. 1 DSG). So kann der EDÖB zum Beispiel verfügen, dass ein Unternehmen betroffene Personen über eine gemeldete Verletzung der Datensicherheit informieren muss. Bisher hatte der EDÖB lediglich die Kompetenz, Empfehlungen auszusprechen und bei deren Nichtbefolgung mit Klage an das Bundesverwaltungsgericht zu gelangen.Gegen Verfügungen des EDÖB kann ein Adressat vor Bundesveraltungsgericht Beschwerde führen und danach weiter an das Bundesgericht gelangen. Beschwerdeentscheide des Bundesverwaltungsgerichts kann auch der EDÖB vor Bundesgericht anfechten (Art. 52 Abs. 3).

Konsultationen

Der EDÖB ist weder eine Genehmigungsbehörde noch eine Zulassungsstelle für Applikationen, Produkte, Regulierungen und Projekte. Das neue Gesetz sieht indessen an verschiedener Stelle vor, dass die Verantwortlichen den EDÖB vor dem definitiven Abschluss entsprechender Arbeiten und der Realisierung ihrer Vorhaben konsultieren müssen. So sind ihm Verhaltenskodizes und bei hohen Restrisiken auch Datenschutz-Folgenabschätzungen zur Stellungnahme vorzulegen. Angesichts der abstrakten Natur dieser Konsultationsgegenstände werden die Stellungnahmen des EDÖB in aller Regel keinen verfügenden Charakter haben und die von ihm empfohlen Massnahmen und Auflagen keine Beschwerdemöglichkeiten zulassen. Bleiben Letztere unbeachtet, müssen die Bearbeitungsverantwortlichen indessen damit rechnen, dass konkrete Datenbearbeitungen, die mit Empfehlungen des EDÖB im Zusammenhang stehen, später Gegenstand von Verfügungen werden. Diese können so weit gehen, Datenbearbeitungen als Ganzes zu untersagen, wogegen den Verantwortlichen dann aber die ordentlichen Rechtsmittel des Verwaltungsverfahrens offenstehen.

Spontane Stellungnahmen und Information der Öffentlichkeit

Abgesehen von den Stellungnahmen im Rahmen formeller Konsultationen steht es dem EDÖB weiterhin frei, sich spontan zu neuen Technologien, Phänomenen der Digitalisierung oder zu Bearbeitungspraktiken gewisser Branchen zu äussern und seine Meinungsäusserungen und Einschätzungen zu publizieren. In Fällen von allgemeinem Interesse informiert der EDÖB die Öffentlichkeit zudem – wie nach bisherigem Recht – über seine Feststellungen und Massnahmen. Dies gilt auch für Feststellungen und Verfügungen, die im Rahmen formeller Untersuchungen des EDÖB ergangen sind.

Gebühren (neu: Art. 59 DSG)

Das Gesetz regelt, für welche Leistungen der EDÖB von privaten Personen zukünftig Gebühren erheben wird. So fällt eine Gebühr an für Stellungnahmen zu einem Verhaltenskodex oder zu einer Datenschutz-Folgenabschätzung oder für die Genehmigung von Standarddatenschutzklauseln und verbindlichen unternehmensinternen Datenschutzvorschriften. Aber auch für allgemeine Beratungsdienstleistungen gegenüber privaten Verantwortlichen wird der EDÖB zukünftig Gebühren erheben. Die Details sind in der Datenschutzverordnung geregelt (Art. 44 DSV).

Sanktionen (neu: Art. 60ff DSG)

Im neuen DSG werden Bussen für private Personen bis zu CHF 250’000 angedroht (Art. 60 DSG). Strafbar sind vorsätzliches Handeln und Unterlassen, nicht jedoch Fahrlässigkeit. Nur auf Antrag bestraft werden die Missachtung von Informations-, Auskunfts- und Meldepflichten sowie die Verletzung von Sorgfaltspflichten und der beruflichen Schweigepflicht. Von Amtes wegen verfolgt wird hingegen die Missachtung von Verfügungen des EDÖB. Gebüsst wird grundsätzlich die verantwortliche natürliche Person. Neu kann aber auch das Unternehmen selbst bis zu CHF 50’000 gebüsst werden, wenn die Ermittlung der strafbaren natürlichen Person innerhalb des Unternehmens oder der Organisation einen unverhältnismässigen Untersuchungsaufwand mit sich ziehen würde. Im Gegensatz zu den europäischen Datenschutzbehörden kommen dem EDÖB auch nach neuem Recht keine Sanktionsbefugnisse zu. Die fehlbaren Personen werden durch die kantonalen Strafverfolgungsbehörden gebüsst. Der EDÖB kann zwar Anzeige erstatten und im Verfahren die Rechte einer Privatklägerschaft wahrnehmen (Art. 65 Abs. 2), ein Strafantragsrecht steht ihm aber nicht zu. Anders als beim neuen DSG richten sich die Verwaltungssanktionen nach der DSGVO ausschliesslich gegen juristische Personen. Die Datenschutzbehörden in der EU können gegen fehlbare Unternehmen Bussen bis zu 20 Millionen Euro resp. 4 Prozent des weltweit erzielten Jahresumsatzes aussprechen.

Das neue Datenschutzgesetz aus Sicht des EDÖB (PDF, 229 kB, 31.10.2022)

Alle Mitteilungen zum nDSG

Neues DSG: Rekrutierung von 5 weiteren Stellen ab Juli 2022

13.07.2021 - Nach dem der Bundesrat dem EDÖB mit Blick auf das im 2. Semester 2022 vorgesehene Inkrafttreten des neuen Bundesgesetzes über den Datenschutz (DSG) im Jahr 2019 die Schaffung von drei, vom EDÖB inzwischen rekrutierten Stellen genehmigte, hat er nun fünf weitere Stellen bewilligt. Unter der Voraussetzung, dass das eidgenössische Parlament dieser Aufstockung mit dem Bundesbeschluss zum Voranschlag 2022 im Dezember 2021 zustimmt, wird der EDÖB die Rekrutierung der fünf Stellen ab dem 1. Juli 2022 vornehmen können.

Mit Rekrutierung der fünf Stellen wird der EDÖB alles daransetzen, seine erweiterten Aufgaben und Kompetenzen wahrzunehmen. Dies gilt insbesondere für die neue Pflicht zur Behandlung aller Individualbeschwerden, deren Bedeutung mehr als «geringfügig» ist.

Durchbruch für zeitgemässen Datenschutz

25.09.2020 - Das Eidg. Parlament hat heute in der Schlussabstimmung die Totalrevision des Bundesgesetzes über den Datenschutz (DSG) verabschiedet. Es konnte die letzten Differenzen auf dem Weg zu einem zeitgemässeren Schutz der Privatsphäre aus dem Weg räumen.

Der EDÖB begrüsst den Abschluss der Totalrevision DSG, welche der Bundesrat vor drei Jahren mit seiner Botschaft in die parlamentarische Beratung geschickt hatte. Damit kann der Schutz der Privatsphäre und informationellen Selbstbestimmung der Schweizer Bevölkerung angehoben und an die digitale Realität angepasst werden.

Der EDÖB wird sich nach Ablauf der laufenden Referendumsfrist detaillierter zum verabschiedeten Gesetz äussern.

Zweitrat schliesst Beratung des Datenschutzgesetzes (DSG) ab

18.12.2019 – Der EDÖB begrüsst, dass der Ständerat das totalrevidierte DSG durchberaten und die von seiner Kommission vorgeschlagenen Verbesserungen gegenüber der nationalrätlichen Fassung weitgehend übernommen hat.

Datenschutzgesetz kommt in der Wintersession in den Ständerat

20.11.2019 - Der EDÖB begrüsst, dass es der SPK S innerhalb der kurzen Zeit, die ihr bis zum Sessionsende zur Verfügung stand, gelungen ist, einen beratungsreifen und gegenüber der Fassung des Nationalrats deutlich verbesserten Gesetzestext zu Handen des Plenums des Ständerates zu verabschieden.

Medienmitteilung der SPK-S

DSG-Totalrevision geht in die Kommission des Ständerats

25.09.2019 – Nachdem der Nationalrat die Totalrevision des Datenschutzgesetzes (E-DSG) als Erstrat behandelt hat, erhofft sich der EDÖB, dass die zweite Kammer ihrerseits in der Wintersession die Beratung aufnehmen und den Schutz der Schweizer Bevölkerung durch Anpassungen an die europäischen Standards noch verbessern kann.

Totalrevidiertes DSG geht an den erstberatenden Nationalrat

30.08.2019 - Nach Beratung der bundesrätlichen Botschaft vom 15. September 2017 hat die staatspolitische Kommission des Nationalrats am 16. August 2019 mit Stichentscheid des Präsidenten beschlossen, den Entwurf eines totalrevidierten Datenschutzgesetzes an das Plenum des erstberatenden Nationalrats zu leiten.

Der Vorschlag zuhanden des Plenums enthält mehrere Bestimmungen, die in der Version der Kommissionsmehrheit für die Schweizer Bevölkerung zu einem geringeren Datenschutz als in den umliegenden europäischen Staaten und zu einer teilweisen Absenkung des Schutzniveaus des geltenden Datenschutzgesetzes von 1992 führen würden.

Der Nationalrat wird anlässlich seiner öffentlichen Debatte vom 24. und 25. September 2019 Gelegenheit haben, unter Vergleich der Fassungen der Kommissionsmehrheiten und –minderheiten und Abwägung deren Argumente zu entscheiden, ob er den Schutz der Schweizer Bevölkerung verbessern und an den europäischen Standards anpassen will.

Die Fahne mit den Anträgen der Staatspolitischen Kommission des Nationalrates für die Revision des Bundesdatenschutzgesetzes ist erschienen.

Neues Schengen-Datenschutzgesetz in Kraft

01.03.2019 - Aufgrund der vom Parlament beschlossenen Aufspaltung der Revision des Datenschutzgesetzes in zwei Teile ist das Schengen-Datenschutzgesetz (SDSG) am 1. März 2019 in Kraft getreten. Damit wurden die für den Schengen-Acquis notwendigen Anpassungen an das europäische Recht vorgenommen. Es ist als Übergangsgesetz gedacht und enthält verschiedene Neuerungen. Unter anderem erhält der EDÖB im Rahmen der Anwendung des Schengen-Besitzstands in Strafsachen Untersuchungs- und Verfügungskompetenzen.

Weitere Informationen zum Schengen-DSG

Etappierung der DSG-Revision: Grundrechtsschutz muss gewahrt bleiben

12.01.2018 – Die Staatspolitische Kommission des Nationalrats (SPK-N) ist gestern auf die Totalrevision des Datenschutzgesetzes (DSG) eingetreten. Zugleich hat sie beschlossen, die Revision zu etappieren. Der EDÖB fordert, dass die Etappierung nebst der beschleunigten Verabschiedung der Schengen-relevanten Aspekte auch zu einer zügigen Umsetzung der gesamten Revision führt.

Der EDÖB hat den Entscheid der SPK-N zu einem gestaffelten Vorgehen zur Kenntnis genommen. Nach seiner Einschätzung ist dieses mit grossen rechtstechnischen Herausforderungen und dem Risiko zusätzlicher Verzögerungen verbunden. Angesichts des Umstandes, dass die Kommission ihre Arbeit nun vorerst unterbrechen dürfte, gilt es sicherzustellen, dass der Grundrechtsschutz der Bevölkerung, deren Privatsphäre durch die fortschreitende Digitalisierung wachsenden Risiken ausgesetzt ist, gewahrt wird.

Zu diesem Zweck braucht die Schweiz eine Datenschutzgesetzgebung, die einen angemessenen Grundrechtsschutz gewährleistet, dem europäischen Datenschutzniveau entspricht und den Herausforderungen der Digitalisierung Rechnung trägt. Dies spricht für eine zügige Gesamtablösung des geltenden DSG, das aus dem Jahre 1993 stammt.

Am 15.9.2017 hat der Bundesrat ein totalrevidiertes Gesetz vorgelegt, das der EDÖB – wie er gleichentags mitteilte – in den Grundzügen unterstützt, weil es nach seiner Einschätzung die erwähnten Voraussetzungen erfüllt. Er hat sich in der Eintretensdebatte in der SPK-N vom 11.1.2018 vergeblich dafür ausgesprochen, unverzüglich mit der integralen Beratung der bundesrätlichen Vorlage zu beginnen und verbleibende Kritikpunkte im Rahmen der Detailberatung zu bereinigen.

Zur Mitteilung der SPK-N: "Revision des Datenschutzgesetzes in zwei Etappen"

Botschaft über die Totalrevision des Datenschutzgesetzes: Beurteilung des EDÖB

15.09.2017 - Die rasante Entwicklung der Informations- und Telekommunikationstechnologie und die damit verbundene Digitalisierung der Gesellschaft haben eine Weiterentwicklung der Datenschutzgesetzgebungen des Europarates und der Europäischen Union und nun auch die Totalrevision des im Jahr 1993 in Kraft getretenen Datenschutzgesetzes des Bundes erforderlich gemacht. Der vom Bundesrat vorgelegte Gesetzesentwurf hat zum Ziel, den Datenschutz zu stärken, indem die Transparenz der Datenbearbeitung und die Kontrollmöglichkeiten der betroffenen Personen über ihre Daten verbessert werden. Weiter soll mit der Anpassung die Gleichwertigkeit des Datenschutzniveaus zwischen der Schweiz und der EU sichergestellt bleiben. Ein mit den europäischen Staaten vergleichbares Datenschutzniveau ist insbesondere für die Schweizer Wirtschaft von zentraler Bedeutung, zumal die am 25. Mai 2018 in Kraft tretende neue EU-Datenschutzgrundverordnung (EU-DSGV) für viele Schweizer Unternehmen direkte Auswirkungen zeitigen wird.

Gesamtbeurteilung durch den EDÖB

Der EDÖB ist mit den Grundzügen der Revision einverstanden. Es verbleiben jedoch Differenzen, von denen ein Grossteil darauf zurückzuführen ist, dass der vorgelegte Entwurf sowohl in terminologischer wie auch inhaltlicher Hinsicht Abweichungen von der EU-DSGV und dem revidierten Übereinkommen SEV 108 des Europarates vorsieht. Viele dieser Abweichungen sind nach Auffassung des EDÖB nicht zielführend, zumal sie u.a. zu einer unnötigen Komplizierung der Rechtslage für jene Teile der Schweizer Wirtschaft und Teile der Verwaltung führen würden, welche die EU-DSGV direkt anwenden müssen.

Positive Punkte

Positiv bewertet der EDÖB namentlich, dass die Transparenz der Datenbearbeitung erhöht wird, indem die Informationspflicht bei der Beschaffung der Daten generell für alle Bearbeitungen durch Private gilt, unabhängig von der Sensibilität der Daten. Weiter begrüsst er die Einführung der Datenschutz-Folgenabschätzung für Projekte privater Unternehmen oder von Behörden, die ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen mit sich bringen. Auch die Informationspflicht zum Auskunftsrecht wird zu Gunsten der Betroffenen erweitert. Eine weitere Verbesserung sieht der EDÖB in der Förderung der Selbstregulierung. Diese erfolgt über Verhaltenskodizes, welche die Tätigkeit der Verantwortlichen erleichtern und die Einhaltung des Gesetzes verbessern sollen. Positiv zu vermerken ist auch die ausdrückliche Verankerung der Bearbeitungsgrundsätze von „privacy by design“ und „privacy by default“. Weiter werden die Unabhängigkeit und die Position des Beauftragten gestärkt. In der Revision ist vorgesehen, dass dieser, analog zu seinen europäischen Amtskollegen, von Amtes wegen oder auf Anzeige hin eine Untersuchung gegenüber den Verantwortlichen und Auftragsbearbeitern eröffnen und bei deren Abschluss eine Verfügung erlassen kann. Der EDÖB nimmt zur Kenntnis, dass ihm der Bundesrat für den Vollzug des neuen Gesetzes zusätzliche Mittel in Aussicht stellt.

Verbleibende Differenzen

Die verbleibenden Differenzen betreffen das fehlende Recht auf Datenportabilität, das die Kontrolle der Nutzer über ihre persönlichen Daten fördern würde. Auch die Umkehr der Beweislast zu Gunsten der Betroffenen in Zivilverfahren fand keine Aufnahme. Der EDÖB hätte es zudem begrüsst, wenn das neue DSG – analog zur Datenschutzgrundverordnung der EU – ausdrücklich erwähnen würde, dass es auch für Datenbearbeiter gelten wird, die zwar keinen Sitz in der Schweiz haben, deren Datenbearbeitungen aber hier ihre Wirkung entfalten und hier niedergelassene Personen betreffen. Solche Unternehmen sollten zudem verpflichtet werden, einen Ansprechpartner in der Schweiz zu haben, um den betroffenen Personen die Wahrnehmung ihrer Rechte zu erleichtern.
Die Einsetzung von betrieblichen Datenschützern sollte das neue Schweizer Recht jenen Unternehmen, die ohnehin der EU-DSGV unterworfen sind, unter den gleichen Voraussetzungen vorschreiben wie die EU-DSGV. Das gleiche gilt für die Verhaltenskodizes. Diese sollten die Schweizer Verbände und Branchen dem EDÖB unter den gleichen Voraussetzungen vorlegen müssen, wie sie dies nach der EU-DSGV gegenüber den zuständigen Datenschutzbehörden in der EU tun müssen. Weiter wäre es notwendig, auch Unternehmen zur Erstellung von Risikofolgenabschätzungen zu verpflichten, die einen Datenschutzberater ernannt haben, sowie für besonders risikoreiche Datenbearbeitungen eine Zertifizierungspflicht vorzusehen.
Die vorgeschlagenen Sanktionen (Bussenobergrenze von 250‘000 Franken) erscheinen dem EDÖB im Vergleich zur EU-DSGV (20 Millionen Euro oder 4 Prozent des Jahresumsatzes) als wenig abschreckend. Er befürchtet zudem, dass sie in der Praxis v.a. das subalterne Personal der fehlbaren Betriebe statt die Unternehmen selbst treffen würden. Er vermisst zudem das Fehlen von verwaltungsstrafrechtlichen Sanktionen.
Schliesslich sollte nicht der Bundesrat, sondern das Parlament das Budget des EDÖB genehmigen, wie es dies auch gegenüber anderen unabhängigen Aufsichtsbehörden wie der Eidgenössischen Finanzkontrolle oder der Aufsichtsbehörde über den Nachrichtendienst des Bundes tut.

EDÖB, 15. September 2017

Weitere Informationen und Dokumentation auf ejpd.admin.ch

Datenabflüsse bei Sozialen Netzwerken

13.04.2021 - Nach Facebook ist nun auch LinkedIn Opfer eines massiven Abflusses von Personendaten geworden. Wie die Website Cybernews berichtet, stehen die Daten von 500 Millionen Nutzern des professionellen sozialen Netzwerks auf einem spezialisierten Forum zum Verkauf. Die Daten umfassen Benutzer-IDs, vollständige Namen, E-Mail-Adressen, Telefonnummern, Links zu anderen LinkedIn-Profilen und anderen Profilen in sozialen Medien.

Neusten Meldungen zu Folge hat auch Clubhouse einen Datenabfluss zu verzeichnen.

Der EDÖB hat sich mit seinen eropäischen Amtskollegen in Verbindung gesetzt und wird die Situation weiter beobachten.

Die irische Datenschutzbehörde ist die in der EU federführende Behörde für diese Unternehmen und hat eine Pressemitteilung zum Facebook-Datenleck und ihren Maßnahmen herausgegeben. Die italienische Datenschutzbehörde, il Garante, hat sich an die beiden sozialen Netzwerke gewandt, um herauszufinden, ob sie beabsichtigen, ein Tool zu aktivieren, das von Betroffenen abgefragt werden kann, um zu wissen, ob ihre Daten betroffen sind. Sie rät Nutzern, besonders auf Unregelmässigkeiten im Zusammenhang mit der Verwendung ihrer Telefonnummer und ihrem Facebook- bzw. LinkedIn-Konto zu achten (s. Link).

Was können Sie selber nun tun?

Im Falle von Datenabflüssen (umgangssprachlich oft «data leaks» genannt) können folgende allgemeine Massnahmen helfen, um festzustellen, ob man betroffen ist und um sich zu schützen:

Feststellen, ob man betroffen ist:
Um festzustellen, ob man betroffen ist, gibt es spezielle Dienste im Netz, wie beispielsweise der Identity Leak Checker des Hasso Plattner Institutes oder den bekannten Dienst https://haveibeenpwned.com des australischen Security Consultants Troy Hunt. Mit diesen Diensten lässt sich prüfen, ob die eigene Email-Adresse oder Telefonnummer bereits «geleaked» ist. Auch wenn diese Abfrage keine Hinweise liefert, dass Daten abgeflossen sind, sollte dies mit Vorsicht genossen werden. Im Falle von LinkedIn wurde von Seiten der Täter erst ein «Sample», also ein Teil-Auszug zur Überprüfung der Echtheit veröffentlicht.
Instruktionen von Seiten der Betreiber befolgen:
Grundsätzlich informieren die Betreiber die Betroffenen bei einem unerlaubten Datenabfluss dieser Grössenordnung oder wenn für die Betroffenen ein hohes Risiko besteht meist selber. Den Instruktionen sollte man Folge leisten.
Passwort ändern:
Oft ist nicht klar, ob auch Passwörter gestohlen wurden. Falls es entsprechende Hinweise gibt, sollte das Passwort unbedingt zurückgesetzt werden, auch dann, wenn man für das Login eine starke Authentifizierung, zum Beispiel mittels zweitem Faktor, einsetzt. Ob die Passwörter verschlüsselt sind oder nicht, spielt nur eine geringfügige Rolle. Bei verschlüsselten Passwörtern oder «Hash-Werten» muss davon ausgegangen werden, dass sie entschlüsselt werden können, folglich sollten auch diese Passwörter erneuert werden.
Zahlungsmittel:
Falls unklar ist, ob auch Zahlungsmittel kompromittiert sind, sollten diese verstärkt überwacht werden. Bestehen Anzeichen für einen Missbrauch, sollten die Zahlungsmittel sofort beim Betreiber gesperrt werden.
Erhöhte Vorsicht:
Im Falle von Facebook gibt es bereits Anzeichen dafür, dass die Daten missbraucht werden; beispielsweise werden SMS mit Links verschickt, bei deren Klick man Schadsoftware herunterlädt. Betroffene sollten besonders misstrauisch sein, insbesondere bei E-Mails und SMS von unbekannten Absendern.

Weiterführende Informationen:
14.04.2021 - DPC launches inquiry into Facebook in relation to a collated dataset of Facebook user personal data made available on the internet
Nationales Zentrum für Cybersicherheit NCSC
Clubhouse-App von Daten-Leak betroffen – das musst du wissen - watson
Communiqué der irischen Datenschutzbehörde vom 06.04.2021
Come limitare i danni per la violazione dei dati di 36 milioni di utenti Facebook italiani - Garante Privacy
Facebook Data Leak - 533M Users Data Leaked Online | CyberNews
LinkedIn Leak - 500M Records Leaked and Being Sold | CyberNews
Clubhouse Data Leak - 1.3M SQL Database Leaked Online | CyberNews

28. September: International Day for Universal Access to Information

28.09.2020 - Heute ist der Internationale Tag der Informationsfreiheit resp. der International Day for Universal Access to Information (IDUAI).

Der IDUAI wurde im November 2015 von der Generalkonferenz der UNESCO ins Leben gerufen und im Oktober 2019 durch die Generalversammlung der Vereinten Nationen offiziell anerkannt.

Weiterführende Informationen: https://www.informationcommissioners.org/international-day-for-universal-access-to-information

Ungenügende Regelung der Datenbearbeitung in neuem Zollpolizeigesetz

11.09.2020 - Unter der Kurzbezeichnung «BAZG-Vollzugsaufgabengesetz» hat der Bundesrat heute die Vernehmlassung über ein Gesetzespaket eröffnet, mit dem er die rechtliche Grundlage für das Digitalisierungs- und Transformationsprogramm (DaziT) der Eidgenössischen Zollverwaltung schaffen will. Dabei handelt es sich um ein finanziell bedeutsames und datenschutzsensibles Grossvorhaben. Die Zollverwaltung und das dort integrierte Grenzwachtkorps sollen in ein neu zu schaffendes Zollpolizeiamt, das «Bundesamt für Zoll und Grenzsicherheit (BAZG)», überführt werden. Dessen gesamte Belegschaft soll mit Polizeibefugnissen und damit zwangsbewehrten Datenbeschaffungskompetenzen ausgestattet werden.

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat die Eidgenössische Zollverwaltung in der Ämterkonsultation vergeblich darauf hingewiesen, dass die vorgesehenen Bestimmungen zur Personendatenbearbeitung aus seiner Sicht gewichtige Mängel aufweisen. Diese lassen insbesondere die vom Datenschutzgesetz verlangte Bestimmtheit vermissen, welche es der Bevölkerung ermöglichen würde, die in deren Privatsphäre und Selbstbestimmung eingreifenden staatlichen Datenbearbeitungen sowie die ihr dagegen zur Verfügung stehenden Schutzrechte einzuschätzen.

Der Beauftragte hat den Bundesrat dahingehend beraten, dass sich Regierung und Parlament als politische Organe des Bundes vorbehalten mögen, die wesentlichen Grundzüge der neu in einem einzigen System der Zollpolizei vorzunehmenden Datenbearbeitungen und die Schnittstellen zu diesem System zu regeln. In ihrer gegenwärtigen Ausgestaltung überlässt es die Vorlage dem neuen Zollpolizeiamt, die auf einer Vielzahl von verwaltungs-, fiskal-, polizei- und kriminalrechtlichen Aufgaben beruhende Personendatenbearbeitung in ihrem System nach weitgehend autonomen Vorgaben vorzunehmen und die Informationen nach Belieben zu verknüpfen. Eine überzeugende Begründung der Erforderlichkeit dieser einschneidenden Abkehr vom geltenden Zollgesetz lässt der erläuternde Bericht vermissen.

Zu diesen rechtsstaatlichen Mängeln der Datenbearbeitung gesellen sich sachliche Regelungslücken. So zieht sich die Begrifflichkeit der im Gesetzestext 44 Mal erwähnten «Risikoanalyse» wie ein roter Faden durch die Vorlage, ohne dass aus dem Gesetzestext hinreichend klar erkennbar würde, worum es sich bei dieser Bearbeitungsmethode handelt, in deren Rahmen das neue Zollpolizeiamt besonders schützenswerte Personendaten u.a. über die Intimsphäre oder religiöse, weltanschauliche und politische Ansichten bearbeiten soll.

Vor dem Hintergrund dieser Hinweise hat der Bundesrat die Verwaltung angewiesen, die Datenbearbeitungsbestimmungen zu überarbeiten, was in den Vernehmlassungsunterlagen angedeutet wird. Der Beauftragte begrüsst dies. Er hat sich vergeblich dafür eingesetzt, dass die Überarbeitung vor Eröffnung der Vernehmlassung vorgenommen wird.

KVG-Revision: EDÖB für Transparenz bei Preismodellen

20.08.2020 - Der Beauftragte ist mit dem Vorhaben des Bundesrates, Dokumente betreffend Preismodelle bei Arzneimitteln vom Öffentlichkeitsgesetz auszunehmen, nicht einverstanden.

Der Bundesrat hat gestern eine Vernehmlassung für eine Teilrevision des Krankenversicherungsgesetzes KVG eröffnet. Darin wird unter anderem eine Ausnahme der Zugänglichkeit für sämtliche Unterlagen im Zusammenhang mit Preismodellen und Rückvergütungen in der obligatorischen Krankenpflegeversicherung vorgeschlagen. Die Verankerung einer Geheimhaltungsbestimmung im KVG steht im Widerspruch zum Öffentlichkeitsprinzip, weshalb sich der Beauftragte bereits in der Ämterkonsultation dagegen ausgesprochen hatte.

Aus Sicht des EDÖB ist unabdingbar, dass die Öffentlichkeit weiterhin die Möglichkeit hat, die Genehmigungspraxis des BAG nachvollziehen zu können.

s. Art. 52c der KVG Vorlage Änderungserlass

Weitere Informationen:
KVG-Änderung: Massnahmen zur Kostendämpfung – Paket 2

27. Tätigkeitsbericht des EDÖB, Seite 75

Update Libra

20.04.2020 - Libra informiert über FINMA-Gesuch und intensiviert Arbeiten am Datenschutzkonzept.

Die Libra Association informierte den EDÖB am 16. April 2020 über die Einreichung eines Gesuchs für eine Bewilligung als Zahlungssystem bei der FINMA (vgl. die publizierte Information durch die FINMA). Dabei teilte sie dem EDÖB auch mit, dass die Arbeiten am Datenschutzkonzept im Gange seien und intensiviert wurden.

Frühere Updates zum Projekt Libra

4. Update zum Projekt Libra

19.09.2019 - Anlässlich eines Treffens mit dem EDÖB in Bern bekräftigt die Libra Association, einen einheitlichen Datenschutzstandard für das System zu entwickeln. Die Libra Association wird den EDÖB in einem frühen Stadium in ihre laufenden Entwicklungsarbeiten einbeziehen, um die datenschutzrechtlichen Anforderungen von Beginn an zu erfüllen.

Nachdem die Libra Association fristgerecht ergänzende Informationen zum Libra-Projekt eingereicht hatte, fand am 17. September 2019 ein persönliches Treffen zwischen dem EDÖB und Vertretern der Libra Association in Bern statt.

Die Libra Association bekräftigte, einen einheitlichen Datenschutzstandard für das System zu entwickeln. Damit wird der Haltung des EDÖB entsprochen, der auf diese Weise ein hohes Schutzniveau für die Personendaten der Nutzerinnen und Nutzer erreichen will.

Die Libra Association wird den EDÖB in einem frühen Stadium in ihre laufenden Entwicklungsarbeiten einbeziehen, um die datenschutzrechtlichen Anforderungen von Beginn an zu erfüllen (Privacy by design). Die Libra Association wird eine Risikofolgenabschätzung vornehmen und für einen einheitlichen Datenschutzstandard nötige Massnahmen umsetzen, einschliesslich nötiger organisatorischer Massnahmen wie die Schaffung einer Datenschutzstelle.

3. Update zum Projekt Libra

23.08.2019 - Die Libra Association hat dem EDÖB fristgerecht einen ersten Teil der einverlangten Dokumente zugestellt. Weitere Dokumente sowie erläuternde Informationen werden im Verlauf der kommenden Wochen folgen.

Diese Eingaben werden dem EDÖB als Grundlage für die Prüfung seiner behördlichen Zuständigkeit und die Planung künftiger Aktivitäten dienen. Der EDÖB wird die Öffentlichkeit zu gegebener Zeit über das Ergebnis seiner Zuständigkeitsprüfung und allfällige weitere Schritte informieren.

Der EDÖB wird am bevorstehenden Treffen mit dem U.S. House Committee on Financial Services teilnehmen und dieses persönlich über den aktuellen Stand des laufenden Verfahrens informieren.

2. Update zum Projekt Libra

06./08.08.2019 - Die britische und weitere Datenschutzbehörden haben eine gemeinsame Erklärung veröffentlicht, in der sie von den Libra-Promotoren mehr Offenheit über das Projekt verlangen. Der EDÖB steht mit dem Europäischen Datenschutzausschuss (EDSA) und der Internationalen Konferenz der Datenschutzbehörden (ICDPPC) in Kontakt.

Der EDÖB ist wie alle anderen Datenschutzbehörden (DSB) vom Libra-Projekt und seinem globalen Netzwerk betroffen und bestrebt, die globale Gemeinschaft der Datenschutzbehörden bei ihren gemeinsamen Bemühungen zum Schutz der Bevölkerung zu unterstützen. Er steht deshalb mit dem EDSA und der ICDPPC in Kontakt.

Andererseits muss der EDÖB als Datenschutzbehörde am Schweizer Sitz der Libra Association in Genf seine gesetzlichen Aufgaben wahrnehmen. In dieser Funktion leitete der EDÖB ein offizielles Verfahren zur Klärung seiner Zuständigkeit mit Blick auf die in Genf ansässige Association ein. Letztere hat inzwischen eine Schweizer Anwaltskanzlei ernannt und sich bereit erklärt, detailliertere Informationen über das Projekt zu liefern, wie es der EDÖB im Schreiben vom 17. Juli 2019 gefordert hat. Die zugesagten Informationen wird der EDÖB zuerst analysieren, um zu beurteilen, inwieweit seine Beratungskompetenzen und seine Aufsichtsfunktion Anwendung finden. Erst danach wird er allfälligen Erklärungen beitreten oder sich zum Libra-Projekt und seinem Netzwerk als Ganzes äussern können.

Joint Statement of DPA's (Englisch) (PDF, 306 kB, 06.08.2019)

1. Update zum Projekt Libra

29.07.2019 - Die Libra Association hat auf das Schreiben des EDÖB vom 17. Juli 2019 reagiert und eine zeitnahe Antwort in Aussicht gestellt. Sie wird sich in den kommenden Wochen mit dem EDÖB zu Gesprächen treffen. Der EDÖB wird die Öffentlichkeit über das weitere Vorgehen informieren, sobald er die in Aussicht gestellten Informationen analysiert und sich zum aktuellen Stand des Projekts einen Überblick verschafft haben wird.

Medienmitteilung vom 23.07.2019

Schreiben vom 17. Juli 2019 (Französisch) (PDF, 1 MB, 29.07.2019)

Update zu Clearview

10.03.2020 - Strafverfolgungsbehörden des Bundes setzen keine Gesichtserkennungssoftware ein.

In seiner Mitteilung vom 11.02.2020 (s. unten) hat der EDÖB ausführlich dargelegt, weshalb er die ungefragte Beschaffung von Gesichtsdaten als persönlichkeitsverletzend erachtet.

Auf unsere Nachfrage (s. Mitteilung vom 21.01.2020 unten), haben uns die Direktionen des Fedpol, der EZV und des NDB bestätigt, dass sie in ihrer Tätigkeit Software wie Clearview weder einsetzen noch einzusetzen beabsichtigen. Das Auskunfts- und Löschgesuch des Beauftragten vom 24.01.2020 liess Clearview hingegen bis heute unbeantwortet, weshalb er das Unternehmen entsprechend ermahnte.

Weitere Meldungen zu Gesichtserkennung

Ungefragte Beschaffung von Gesichtsdaten ist persönlichkeitsverletzend

11.02.2020 - In Ergänzung seiner Mitteilung zur Applikation Clearview präzisiert der EDÖB seine Haltung zur massenhaften Beschaffung und Weiterbearbeitung von Gesichtsdaten über das Internet.

Auch wenn Gesichtsdaten nicht per se als besonders schützenswert i.S. von Art. 3 Bst. c des Bundesgesetzes über den Datenschutz (DSG) einzustufen sind, stellt die Massenbeschaffung von Gesichtsdaten aus internet-zugänglichen Quellen eine Persönlichkeitsverletzung i.S.v. Art. 12 Abs. 2 Bst. a DSG dar, wenn die damit einhergehende Bearbeitung gegen die Grundsätze der Art. 4, 5 Abs. 1 und 7 Abs. 1 DSG verstösst. Wer ungefragt Gesichtsdaten in Massen beschafft und zu Zwecken bearbeitet, die bei der Beschaffung weder deklariert, noch aus den Umständen ersichtlich oder gesetzlich vorgesehen sind, verstösst gegen die Grundsätze der Transparenz, Verhältnismässigkeit und der Zweckbindung.
Diese Grundsätze sind anwendbar auf alle Bearbeitungen von Daten, welche Personen in der Schweiz betreffen, unabhängig davon, ob ein Bearbeiter die ungefragten Datenbeschaffungen im In- oder Ausland, manuell oder unter Einsatz von Robotern vornimmt.

Ungefragtes Herunterladen lässt sich schwerlich rechtfertigen
Hat eine Person ihre Gesichtsdaten einem sozialen Netzwerk anvertraut, das in seinen «Terms of Service» die automatische Datenbeschaffung resp. das sog. «Crawling» generell verbietet, indiziert dies, dass diese Person als Nutzer dieses Netzwerks die Bearbeitung durch Dritte ausdrücklich untersagt. Werden deren Gesichtsdaten von einem Dritten ungefragt von dem entsprechenden Netzwerk heruntergeladen, muss von einer widerrechtlichen Persönlichkeitsverletzung ausgegangen werden, wenn die Bearbeitung nicht durch ein überwiegendes privates oder öffentliches Interesse oder durch Gesetz i.S.v. Art. 13 DSG gerechtfertigt ist. Solche Rechtfertigungsgründe dürften sich in der Praxis schwerlich herleiten lassen.

Abgleich mit Gesichtsbildern erfordert eine Einwilligung
Nach Art. 13 Abs. 1 DSG liegt in der Regel keine Persönlichkeitsverletzung vor, wenn die betroffenen Personen die Daten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt haben. Diese Regel kann indessen nicht Anwendung finden, wenn die Gesichtsdaten der Betroffen unter Missachtung des Transparenzgrundsatzes mit ungefragt aus einem sozialen Netzwerk oder einer Internetplattform beschafften Daten – wie oben geschildert – abgeglichen werden sollen. Der EDÖB rät deshalb davon ab, Abgleiche mit Gesichtsbildern ohne Einwilligung der Betroffenen vorzunehmen.
Wer zentrale biometrische Datenbanken aufbaut und diese insbesondere Strafbehörden für Abgleiche zur Verfügung stellt, verstösst in schwerer Weise gegen den Transparenzgrundsatz, weil diese Bearbeitung wesentlich über das bei Suchmaschinen Übliche hinausgeht und die von der ungefragten Verwendung ihrer Gesichtsbilder Betroffenen eine derartige Zweckentfremdung nicht voraussehen können.

Datenbearbeiter und Betreiber sozialer Netzwerke in der Verantwortung
Werden Bilddaten von sozialen Plattformen bewusst und gewollt weitergegeben, muss dies mit den Voreinstellungen durch die Betroffenen wie auch den «Terms of Service» resp. den Nutzungsbestimmungen in Einklang stehen. Werden die Daten von Dritten gegen den Willen von sozialen Plattformen beschafft, stellt dies grundsätzlich einen unkontrollierten Abfluss von Personendaten (Data Breach) dar, für den nebst den Datenbearbeitern auch die Betreiber der sozialen Netzwerke gegenüber ihren Benützern einzustehen haben. Werden die Daten durch die Benützer der sozialen Netzwerke beschafft oder weitergegeben, stellt dies eine Verletzung der Nutzungsbedingungen dar, für welche die fehlbaren Benutzer zusammen mit den Betreibern der entsprechenden Plattformen die Verantwortung tragen.
Fazit: Die ungefragte Beschaffung von Gesichtsdaten zwecks Weiterbearbeitung unter Einsatz automatischer Gesichtserkennungstechnologien kann in der Praxis nur schwerlich im Einklang mit den Bearbeitungsgrundsätzen des DSG erfolgen. Deshalb bedürfen solche Bearbeitungen in der Regel einer verfassungskonformen, gesetzlichen Grundlage für Behörden bzw. einer Einwilligung für Private.

Was unternimmt der Beauftragte?
Nebst seinen konkreten Erhebungen im Fall Clearview (vgl. Mitteilung vom 21.01.2020 unten) wird der Beauftragte im Rahmen seiner gesetzlichen Möglichkeiten alles unternehmen, um die Schweizer Bevölkerung vor ungefragten Beschaffungen ihrer Gesichtsbilder zu schützen. Er wird sich des Weiteren auch weiterhin dafür einsetzen, dass sich die Schweizer Bevölkerung im Sinne eines freien Wahlrechts im öffentlichen Raum anonym bewegen kann, sei das zu Fuss oder in Verkehrsmitteln.

Weiterführende Informationen:

Fokus-Thema Gesichtserkennung mit einem Live-Interview mit Adrian Lobsiger in 10 vor 10 vom 7.2.2020

Online-Artikel SRF-News vom 7.2.2020

Statement des EDÖB zur Applikation Clearview

21.01.2020 - Der EDÖB hat vom Artikel in der NYT vom 18. Januar 2020 Kenntnis genommen und nimmt zu der darin beschriebenen privaten Applikation Clearview wie folgt Stellung:

Das öffentlich zugängliche Internet enthält Gesichtsdaten, die durch Abgleich mit Personenattributen wie Namen- oder Ortsangaben weltweit auf Milliarden von Personen zurückgeführt werden können;
Angesichts der damit verbundenen Risiken für deren Persönlichkeit rät der EDÖB allen Benutzern von sozialen Netzwerken, in den Voreinstellungen u.a. die Zugänglichmachung von Fotomaterial für Suchmaschinen zu unterbinden (s. Links);
Der EDÖB geht davon aus, dass die Anbieter von Clearview bei der Beschaffung von Gesichtsdaten die Persönlichkeit der betroffenen Personen in der Schweiz wie auch die Nutzungsbedingungen von sozialen Plattformen verletzen;
Vor diesem Hintergrund rät der EDÖB Privaten und Behörden in der Schweiz davon ab, durch Clearview beschaffte Daten zu bearbeiten. Er wird diesbezüglich auch an die Strafverfolgungsbehörden des Bundes gelangen;
Stellvertretend für die betroffenen Personen in der Schweiz wird der Beauftragte bei Clearview ein Auskunfts- und Löschgesuch zu den zu seiner Person bearbeiteten Daten stellen. Er wird die Öffentlichkeit über die Behandlung seines Gesuches durch Clearview informieren.

Unsere Hinweise für die Benutzer sozialer Netzwerke:

Erläuterungen zu sozialen Netzwerken

Datenschutzkonformes Social Media Monitoring

Veröffentlichung von Fotos

Erläuterungen zu Big Data

Facebook setzt in der Schweiz Wahl-Features ein

17.10.2019 - Facebook setzt ab dem Tag vor den Eidgenössischen Wahlen vom 20. Oktober 2019 Features ein, um die Schweizer Stimmberechtigten auf ihrer sozialen Plattform anzusprechen. Dies bestätigte das Unternehmen auf Anfrage dem Datenschutzbeauftragten. Der EDÖB begrüsst die angekündigte Transparenz.

Nachdem der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) durch Berichte Kenntnis davon erhalten hat, dass Facebook im Hinblick auf die Schweizer Parlamentswahlen 2019 auf ihrer sozialen Plattform möglicherweise Wahl-Features wie bspw. den «Voter-Button» einsetzen wird, hat er das Unternehmen angeschrieben und um Stellungnahme gebeten.

In seinem Schreiben hat der EDÖB unter Verweis auf die Ziffern 5.3 und 7 seines Leitfadens darauf hingewiesen, dass auch die Betreiber von sozialen Netzwerken dazu aufgerufen sind, fair und vollständig über die Bearbeitung und Funktionsweise der dafür eingesetzten Methoden zu informieren. Nur aufgrund einer solchen Transparenz können die Stimmbürgerinnen und –bürger abschätzen, ob und wie sich die den entsprechenden Applikationen zu Grunde liegenden Bearbeitungen ihrer Daten auf die Meinungsbildung oder das Wahlverhalten auswirken.

Facebook Ireland Ltd. hat daraufhin bestätigt, dass auf ihrer sozialen Plattform entsprechende Funktionen einen Tag vor den Wahlen und am Wahltag selber eingesetzt werden sollen. Facebook plant zum Wahltermin alle Facebook-Nutzerinnen und Nutzer ab 18 Jahren in der Schweiz an die Wahl zu erinnern. Eine Selektion von Gruppen oder Personen nehme Facebook nicht vor.

Gemäss den schriftlichen Zusicherungen von Facebook zielten die Features alleine darauf ab, die Nutzer für die anstehenden Wahlen zu sensibilisieren und letztendlich die Teilnahme zu fördern, indem die betroffenen Personen zum Beispiel auf ihrem Profil posten können, dass sie an der Wahl teilgenommen haben. Facebook betont, dass vom Unternehmen in diesem Zusammenhang keine politischen Ansichten der jeweiligen Nutzer bearbeitet werden.

Weiter hat Facebook dargelegt, dass das Unternehmen den Transparenzerfordernissen unseres Leitfadens Beachtung schenke. Die betroffenen Personen sollen sich über eine mehrstufige Information mittels Hyperlinks über die eingesetzten Funktionen, Methoden und deren Bearbeitungsgrundlagen informieren können (vgl. dazu folgende Links: Datenrichtlinie Facebook; Kontrolliere, wer sehen kann, was du teilst; Warum erhalte ich eine Erinnerung zu einer Wahl und zum Wählen auf Facebook?; Worauf basieren die Informationen, die Facebook über Wahlen und gewählte Vertreter anzeigt?)

US-Steuerstreit – Bundesverwaltungsgericht schützt Grundrechte

10.09.2019 - Mit Entscheid vom 3. September 2019 hat das Bundesverwaltungsgericht (BVGer) die Beschwerde des EDÖB gegen die Eidg. Steuerverwaltung (ESTV) und das Eidg. Finanzdepartement (EFD) gutgeheissen. Das Gericht gelangt in seinem Urteil zum Schluss, dass in der internationalen Steueramtshilfe die vom Amtshilfeersuchen nicht formell betroffenen Personen, deren Namen übermittelt werden sollen, gemäss Steueramtshilfegesetz grundsätzlich vorgängig zu informieren sind.

Das Gericht folgt damit der Empfehlung des EDÖB, dass diese Namen zu schwärzen und das Anhörungsrecht vor der Übermittlung zu gewähren sei. Der Beauftragte begrüsst das Urteil, da es Grundrechte der Bank-Mitarbeitenden und weiterer Drittpersonen schützt. Er erwartet nun, dass die ESTV datenschutzkonforme Lösungen findet.

Die zuständigen Behörden weist das BVGer an, das Urteil umzusetzen und Ausnahmen in geeigneter Form zu regeln. Das Urteil ist noch nicht rechtskräftig.

Urteil des BVGer vom 3. September 2019

Weitere Mitteilungen zum US-Steuerstreit

US-Steuerstreit – Beschwerde gegen die Verfügung des Eidg. Finanzdepartements

10.10.2018 - Der Eidg. Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat am 5. Oktober 2018 beim Bundesverwaltungsgericht Beschwerde gegen die am 20. September 2018 ergangene Verfügung des Eidgenössischen Finanzdepartements (EFD) erhoben. Mit dieser Verfügung lehnte das EFD den Antrag des EDÖB ab, wonach die Eidg. Steuerverwaltung Drittpersonen, die von einer Datenlieferung ins Ausland betroffen sind, im Rahmen des Steueramtshilfegesetzes vorgängig der Übermittlung zu informieren hat. Der EDÖB hält in seiner Beschwerde an seinem Antrag betreffend Recht auf Information fest.

Weiterführende Informationen:

Update im US-Steuerstreit vom 9. August 2018 (s. unten)

Empfehlung vom 18. Dezember 2017

Auszug aus dem 25. Tätigkeitsbericht vom 25. Juni 2018 (PDF, 7 kB, 08.08.2018)

Update im US-Steuerstreit

09.08.2018 - Aufgrund des ausstehenden Entscheids des zuständigen Departements besteht derzeit Ungewissheit über die effektive Praxis der Datenherausgabe durch die Eidgenössische Steuerverwaltung (ESTV).

In seiner Sachverhaltsabklärung betreffend die Übermittlung von Personendaten durch die Eidgenössische Steuerverwaltung (ESTV) im Rahmen der US-Steueramtshilfe kam der EDÖB zum Schluss, dass in der internationalen Steueramtshilfe die vom Amtshilfeersuchen nicht formell betroffenen Personen, deren Namen offen, d.h. ungeschwärzt, übermittelt werden sollen, gemäss Art. 14 Abs. 2 des Steueramtshilfegesetzes vorgängig zu informieren sind. Dementsprechend forderten wir am 18. Dezember 2017 in einer formellen Empfehlung die Berücksichtigung des Rechts auf Information in der internationalen Steueramtshilfe.

Die ESTV hat unsere Empfehlung am 18. Januar 2018 abgelehnt, worauf wir die Angelegenheit am 13. Februar 2018 dem Eidgenössischen Finanzdepartement (EFD) zum Entscheid vorgelegt haben. Ein solcher liegt bis heute nicht vor. Sobald wir die Haltung des EFD kennen, können wir über eine allfällige Beschwerde beim Bundesverwaltungsgericht befinden. Der EDÖB forderte das zuständige Departement auf, im Interesse der Betroffenen nun rasch eine Verfügung zu erstellen.

Weiterführende Informationen:

Empfehlung vom 18. Dezember 2017

Auszug aus dem 25. Tätigkeitsbericht vom 25. Juni 2018 (PDF, 7 kB, 08.08.2018)

Postfinance: keine Gleichbehandlung der Schweizer Kunden nach geltendem Recht

30.08.2019 - Mit Schreiben vom 13. Juni 2019 hielt die Postfinance AG auf Anfrage des EDÖB fest, dass ihre Schweizer Kunden nach wie vor von sich aus tätig werden müssten, wenn sie keine Authentifizierung mittels Stimmabdruck wünschen, indem sie dagegen einen ausdrücklichen Widerspruch einlegen. Demgegenüber macht die Postfinance die Authentifizierung mittels Stimmabdruck bei ausländischen Kunden von deren ausdrücklicher Einwilligung abhängig. Die vom EDÖB öffentlich kritisierte Ungleichbehandlung (Sendung SRF 10vor10 vom 20.5.2019) wird damit weitergeführt.

Die Postfinance AG hält gegenüber dem Beauftragten fest, dass diese «unterschiedliche Behandlung» auf die ungleichen Anforderungen des anwendbaren Rechts zurückgehe und dass die Übernahme ausländischen Rechts auf inländische Verhältnisse ein politischer Prozess sei, welcher der Legislative vorbehalten sei. Die Postfinance AG hält somit an der Ungleichbehandlung inländischer Kunden fest, solange das schweizerische Datenschutzrecht nicht dem EU-Niveau angeglichen wird.

Falsche E-Mail-Adressen bei Swisscom

29.08.2019 - Aufgrund einer Bürgermeldung hat der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) erfahren, dass ein Kunde von Swisscom verschiedenste E-Mails erhalten hat, die nicht für ihn bestimmt waren.

Der EDÖB hat die Swisscom mit dieser Meldung konfrontiert und um Stellungnahme gebeten. In seiner Antwort führte das Unternehmen aus, dass ihm das Problem aufgrund von Kundenmeldungen bereits bekannt sei und es eine Task Force eingesetzt und mit einer Risikoanalyse beauftragt habe. Es habe sich gezeigt, dass in einem Kundensystem generisch erfasste E-Mail-Adressen vorhanden waren, die nicht den korrekten Kunden zugewiesen waren. In der Folge gingen einige E-Mails von Swisscom an fremde Konten. Nach Angaben von Swisscom wurde in der Zwischenzeit die falsch zugewiesenen E-Mail-Adressen identifiziert und umgehend sichergestellt, dass keine E-Mails von Swisscom mehr zugestellt werden. Soweit möglich, wurden die falsch zugestellten E-Mails bei den unberechtigten Empfängern gelöscht. Gemäss dem Unternehmen liegen zudem keine Hinweise auf Missbrauch der fehlgeleiteten E-Mails vor. Das Unternehmen ist zudem daran, die Prozesse anzupassen, damit derartige Vorfälle verhindert werden können.

Der EDÖB hat die Sofortmassnahmen auf Grundlage der Risikoanalyse der Swisscom zur Kenntnis genommen. Er wird den Sachverhalt weiter beobachten, kann aber aufgrund der sofort eingeleiteten Massnahmen der Swisscom vorerst von weiteren Handlungsempfehlungen absehen.

26. Tätigkeitsbericht 2018/2019:
Die Schweiz muss Datenschutzniveau halten

18.06.2019 - Der EDÖB erwartet, dass Bundesrat und Parlament der Schweizer Bevölkerung durch eine baldige Unterzeichnung der Europaratskonvention 108 und den zügigen Abschluss der Totalrevision des Datenschutzgesetzes weiterhin ein mit dem europäischen Umfeld abgestimmtes Schutzniveau gewährleisten.

Medienmitteilung

26. Tätigkeitsbericht 2018/19 als e-Paper

Helsana+: Urteil wird rechtskräftig

15.05.2019 - Nach ungenutztem Ablauf der Rechtsfrist kann der Bundesverwaltungsgerichtsentscheid vom 19. März 2019 in Sachen Helsana+ in Kraft treten. Das Bundesverwaltungsgericht hat wichtige Rechtsfragen geklärt, deren Umsetzung der EDÖB bei der Helsana überprüfen wird.

Medienmitteilung des EDÖB

Weitere Mitteilungen zu Helsana+

Helsana+: Datenbeschaffung bei der Grundversicherung war rechtswidrig

29.03.2019 - Bundesverwaltungsgerichtsentscheid vom 19. März 2019: Die Helsana Zusatzversicherungen AG hat sich Personendaten für das Bonusprogramm Helsana+ rechtswidrig bei den Grundversicherern beschafft. Die übrigen Datenbearbeitungen sind laut Gerichtsurteil zulässig, weil kein Verstoss gegen eine persönlichkeitsschützende Bestimmung vorliegt.

Medienmitteilung des EDÖB

Medienmitteilung des Bundesverwaltungsgerichts

Urteil A3548/2018

Empfehlung des EDÖB vom 27.4.2018

Bonusprogramm „Helsana +“: EDÖB reicht Klage ein

19.06.2018 - Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hatte der Helsana Zusatzversicherungen AG Ende April 2018 empfohlen, im Rahmen des Programms die Bearbeitung von Daten der Kunden, die bei der Helsana ausschliesslich grundversichersichert sind, zur Bemessung und Ausrichtung geldwerter Rückerstattungen zu unterlassen. Der Krankenversicherer lehnt diese Empfehlung ab. Der EDÖB hat nun Klage beim Bundesverwaltungsgericht eingereicht.

Empfehlung und Medienmitteilung vom 27.04.2018

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) erlässt Empfehlung zum Bonusprogramm „Helsana +“

27.04.2018 - Mit der „Helsana+“-App werden die Daten von Kundinnen und Kunden der Helsana-Gruppe, die dort ausschliesslich eine Grundversicherung haben, zum Zwecke der teilweisen Rückerstattung ihrer Prämien bearbeitet. Mangels Rechtsgrundlage empfiehlt der EDÖB, diese Bearbeitung zu unterlassen.

Weiter...

EDÖB prüft Bonusprogramm «Helsana+»

12.10.2017 - Der EDÖB hat vom neuen Bonusprogramm «Helsana+» Kenntnis genommen, das Versicherte dazu motivieren will, gesünder zu leben. Das Bonusprogramm wurde von der Helsana am 25. September 2017 lanciert. Um die diesbezüglichen Datenbearbeitungen auf ihre Korrektheit zu überprüfen, hat der EDÖB am 11. Oktober eine Sachverhaltsabklärung eröffnet. Beim betroffenen Produkt stellt sich insbesondere die Frage, ob auch Daten aus der Grundversicherung bearbeitet werden.

Weitere Informationen zum Thema

Datenschutztag 2019 - 3 Schwerpunkte für Bund und Kantone: Wahlen, Polizei, AHV-Nr.

28.01.2019 - Medienmitteilung von Bund und Kantonen zu den gemeinsamen Herausforderungen:

Medienmitteilung zum Datenschutztag 2019 (PDF, 348 kB, 29.01.2019)

2. Digitaltag – Wirtschaft muss in datenschutzfreundliche
Technologien investieren

23.10.2018 - Unternehmen sollen in datenschutzfreundliche Technologien investieren und den Kundinnen und Kunden echte Wahlmöglichkeiten bieten. Dies wünscht sich der EDÖB zum 2. Schweizer Digitaltag. Er appelliert an die Wirtschaft, ihre Innovationskraft auch für die Selbstbestimmung ihrer Kunden einzusetzen.

Unternehmen investieren heute viel Kapital in die Digitalisierung. Der Eidg. Datenschutz- und Öffentlichkeitsbeauftragte, Adrian Lobsiger, wünscht sich anlässlich des 2. Schweizer Digitaltages eine Wirtschaft, die ihre Innovationskraft auch für die Selbstbestimmung ihrer Kundinnen und Kunden nutzt. Diese sollen selber entscheiden können, wofür sie ihre Daten weitergeben wollen und wann sie diese für sich behalten möchten. Sie soll deshalb in Technologien investieren, welche den Nutzern echte Wahlmöglichkeiten erlauben.

Vom demokratischen Rechtsstaat erwartet der EDÖB, dass er trotz Beschaffung grosser Datenmengen die Privatsphäre und Anonymität seiner Bürgerinnen und Bürger garantiert und nicht nach deren Identität forscht. Die Freiheit des Einzelnen ist im Zweifelsfalle höher zu gewichten, als mehr Sicherheit für alle.

Der Eidg. Datenschutz- und Öffentlichkeitsbeauftragte appelliert deshalb an Wirtschaft und Staat, diese Erwartungen nach datenschutzfreundlichen Technologien zu hören und danach zu handeln. Er fordert sie auf, das globale digitale Datenwachstum mit wirkungsvollen Investitionen in das schützende Gerüst des Datenschutzes zu verbinden.

25. Tätigkeitsbericht 2017/2018: Selbstbestimmung vor Sicherheit

25.06.2018 - Die Begleitung digitaler Grossprojekte steht nach wie vor im Zentrum der Tätigkeit des EDÖB. Das E-ID-Gesetz als Grundlage zur Nutzung einer SwissID, der Risikobericht zur Verwendung der AHV-Nummer als universeller Personenidentifikator oder die Auflagen für das e-Ticketing bzw. öV-Apps unterstreichen diese Priorisierung. Als Aufsichtsbehörde musste der Beauftragte gegen die Bearbeitung von Grundversichertendaten der Krankenversicherung einschreiten und sich mit den Datenlecks mehrerer Grossfirmen auseinandersetzen.
Als Öffentlichkeitsbeauftragter konnte der EDÖB die Effizienz seiner Schlichtungsverfahren markant steigern und zur Kenntnis nehmen, dass der Nationalrat oppositionslos dafür einsteht, dass die Transparenz bei Beschaffungen sichergestellt bleibt – und das Öffentlichkeitsprinzip nicht zur Farce wird.

Weiter...

Nationalrat will Transparenz im Beschaffungswesen erhalten

18.06.2018 - Der Nationalrat hält ohne Gegenstimme am Öffentlichkeitsprinzip bei Beschaffungen durch die öffentliche Hand fest. Dies hat er in der letzten Woche der Sommersession im Rahmen der Detailberatung zur Totalrevision des Bundesgesetzes über das öffentliche Beschaffungswesen (BöB) beschlossen. Damit lehnt er die vom Bundesrat vorgeschlagene Einschränkung des Öffentlichkeitsprinzips ab.

Weiter...

Bahninfrastruktur: Parlament beschliesst Ausnahme vom Öffentlichkeitsgesetz

30.05.2018 - Nach dem Nationalrat will nun auch der Ständerat die Aufsichtstätigkeiten des Bundesamts für Verkehr (BAV) im Sicherheitsbereich vom Öffentlichkeitsgesetz ausnehmen. Die kleine Kammer folgt damit ebenfalls dem Vorschlag des Bundesrats. Der EDÖB nimmt diesen Entscheid zur Kenntnis

Weiter...

Decathlon Schweiz – EDÖB eröffnet Sachverhaltsabklärung

07.05.2018 - Der EDÖB ist darauf aufmerksam geworden, dass Decathlon Schweiz den Verkauf von Waren in seinen Geschäftslokalen davon abhängig macht, dass die Kaufinteressenten der Unternehmung Kontaktdaten angeben. Im Anschluss an einen ersten Schriftenwechsel mit Decathlon Schweiz ist er zum Schluss gekommen, dass die Datenbearbeitungen durch Decathlon näher analysiert werden müssen. Aus diesem Grund hat der EDÖB am 3. Mai 2018 eine Sachverhaltsabklärung nach Art. 29 DSG eröffnet

Fall Facebook/Cambridge Analytica: Verfahren in EU und USA laufen

12.04.2018 - Im Zusammenhang mit der von einem englischen Wissenschaftler eingesetzten App „This is your digital life“ ist es im Jahr 2015 zu unberechtigten Zugriffen auf Personendaten von ahnungslosen Kunden der sozialen Plattform Facebook gekommen. Die Daten wurden von der Firma Cambridge Analytica im Vorfeld von Wahlen zum Zwecke des sogennanten Mikro-Targetings bearbeitet, um potenzielle Wähler mit individuellen Nachrichten gezielt anzusprechen.

Weiter...

Auswertungsbericht zum Pilotversuch im Schlichtungsverfahren (2017)

10.04.2018 - Zur Beschleunigung des Schlichtungsverfahrens und zum Abbau der Pendenzen führte der EDÖB im Jahr 2017 einen Pilotversuch durch. Der Auswertungsbericht zeigt, dass diese Ziele mit den ergriffenen Massnahmen erreicht wurden und der Pilotversuch erfolgreich war. Er wird nun in den ordentlichen Betrieb überführt.

Weiter...

Auswahl von Schiedsrichtern für das Datenschutz-Schiedsforum gemäss dem Swiss-U.S. Privacy Shield – Erster Aufruf zur Interessenbekundung

Frist: 30. April 2018

Weiter...

Öffentlichkeitsgesetz: Weiterhin Transparenz im Beschaffungswesen

28.03.2018 - Die Kommission für Wirtschaft und Abgaben (WAK-N) hat am 27. März 2018 die Detailberatung zur Totalrevision des Bundesgesetzes über das öffentliche Beschaffungswesen (BöB) abgeschlossen. Sie lehnt die vom Bundesrat geplante Aufhebung der bestehenden Zugänglichkeit zu den Beschaffungsunterlagen nach Öffentlichkeitsgesetz ab. Damit stärkt sie das erklärte Transparenzziel der Revisionsvorlage.

Weiter...

Weitere Entwicklung im Fall Swisscom

12.02.2018 - Nachdem dem EDÖB am 9. Februar 2018 ein Ereignis eines angeblich unberechtigten Zugriffs auf Daten eines Kunden der Swisscom gemeldet worden war, hat er die Swisscom gleichentags in Anwendung von Art. 29 Abs. 2 DSG aufgefordert, zu diesem konkreten Ereignis Stellung zu nehmen.

Erste Abklärungen der Swisscom haben einen Kausalzusammenhang mit dem am 7. Februar 2018 gemeldeten Datendiebstahl nicht erhärtet. Der EDÖB holt bei der Swisscom weitere Informationen im Zusammenhang mit dem Risiko allfälliger Folgeschäden ein.

Unberechtigter Zugriff auf Kontaktdaten bei Swisscom

Bern, 07.02.2018 - Swisscom hat den EDÖB darüber in Kenntnis gesetzt, dass im Herbst 2017 unberechtigte Zugriffe auf die Kontaktdaten von rund 800‘000 Kundinnen und Kunden erfolgt sind. Betroffen sind nach seiner Kenntnislage vorwiegend private Inhaber von Mobil-Nummern und einige Festnetzkunden bzw. deren Name, Vorname, Adresse, Geburtsdatum und Telefonnummer.

Weiter...

Bahninfrastruktur: Kommission des Nationalrats will Ausnahme vom Öffentlichkeitsgesetz

18.01.2018 - Die Kommission für Verkehr und Fernmeldewesen des Nationalrates (KVF-N) hat am 16. Januar 2018 die Detailberatung zur Organisation der Bahninfrastruktur aufgenommen. Dabei sprach sie sich dafür aus, die Aufsichtstätigkeiten des Bundesamts für Verkehr (BAV) im Sicherheitsbereich vom Öffentlichkeitsgesetz auszunehmen; sie folgte damit dem Bundesrat. Der EDÖB nimmt diesen Entscheid zur Kenntnis.

Weiter...

Datenleck bei Inkasso-Unternehmen – EDÖB eröffnet Sachverhaltsabklärung

05.01.2018 – Gemäss einem Bericht der Süddeutschen Zeitung vom 27. Dezember 2017 wurde das Inkasso-Unternehmen EOS im vergangenen Jahr Opfer eines Datenlecks, in dessen Zusammenhang mehrere Gigabyte an persönlichen Daten übermittelt wurden. Zu den Betroffenen würden insbesondere Patienten von Schweizer Ärzten zählen. Das Unternehmen informierte den EDÖB kurz vor Erscheinen des Artikels über das mutmassliche Datenleck. Um die datenschutzrechtlichen Aspekte des Vorfalls abzuklären, hat der EDÖB am 28. Dezember eine Sachverhaltsabklärung gegenüber EOS Schweiz eröffnet.

Zugleich erinnert er Ärztinnen und Ärzte daran, dass sie nur diejenigen Daten ihrer Patienten an Dritte weitergeben dürfen, die für die Rechnungsstellung bzw. das Inkasso tatsächlich erforderlich sind. Geben sie deren Gesundheitsdaten ungerechtfertigt an Dritte weiter, machen sie sich strafbar.

Datenschutz bei politischen Kampagnentools

19.10.2017 - In Wahl- und Abstimmungskämpfen setzen die politischen Akteure vermehrt digitale Instrumente ein, um ihre Botschaften gezielter an die Bürgerinnen und Bürger zu bringen. Parteien und Verbände müssen dabei die Privatsphäre der betroffenen Personen wahren und ihr Recht auf informationelle Selbstbestimmung respektieren. Das vorliegende Merkblatt des EDÖB erläutert die datenschutzrechtlichen Vorgaben, die es beim Einsatz von Kampagnentools zu beachten gilt.

Link zum Merkblatt

Risikofolgenabschätzung zur Verwendung der AHV-Nummer als Personenidentifikator

03.10.2017 - Zur Klärung von identifikatorspezifischen Risiken haben das Bundesamt für Justiz (BJ) und der EDÖB gemeinsam eine externe Risikofolgenabschätzung (RFA) in Auftrag gegeben. Sie sollte insbesondere zeigen, ob und gegebenenfalls welche Risiken bei der Verwendung der AHV-Nummer oder alternativer Identifikatoren entstehen können. Die Ergebnisse der Studie, die von David Basin, Professor für Informationssicherheit an der ETH Zürich, durchgeführt wurde, liegen nun vor.

Der Auftrag zur Erstellung der Studie erfolgte vor dem Hintergrund, dass das Parlament in der Vergangenheit wiederholt über die Verwendung der AHV-Nummer als Personenidentifikator ausserhalb des Bereichs der Sozialversicherungen zu befinden hatte. Zuletzt war dies im Rahmen der Grundbuchvorlage der Fall (14.034 ZGB. Beurkundung des Personenstands und Grundbuch). Die Rechtskommission des Nationalrats wird diese Ende Oktober 2017 erneut beraten. Bereits vorgängig hat der Bundesrat am 1. Februar 2017 den Auftrag zu einer Gesetzesvorlage erteilt, welche die Verwendung der AHV-Nummer durch Behörden des Bundes, der Kantone und der Gemeinden über den Sozialversicherungsbereich hinaus erleichtern soll.

Risikofolgenabschätzung zur Verwendung der AHV-Nummer, 27.09.17 (englisch) (PDF, 1 MB, 06.12.2017)

Risikofolgenabschätzung zur Verwendung der AHV-Nummer, Zusammenfassung (deutsch) (PDF, 238 kB, 06.12.2017)

Risikofolgenabschätzung zur Verwendung der AHV-Nummer, Kapitel 5 (deutsch) (PDF, 536 kB, 06.12.2017)

Outsourcing im medizinischen Bereich: Anbieter wollen vermehrt informieren

01.09.2017 - Mitte August 2017 hat der EDÖB zwei Unternehmen, welche die Rechnungsstellung für Ärzte übernehmen, angeschrieben und zu mehr Transparenz aufgefordert. Für die betroffenen Patientinnen und Patienten war teilweise unklar, wie ihre Daten bearbeitet werden und ob sie an Dritte weitergegeben werden. Sowohl die Ärztekasse als auch Swisscom Health erklären sich nun bereit, die betroffenen Personen künftig besser zu informieren, indem sie Reglemente und Vertragsbestandteile der einzelnen Dienstleistungen auf ihrer Website publizieren. Die beiden Unternehmen werden dem EDÖB demnächst ihre Vorschläge zur Umsetzung dieses Ziels unterbreiten.

EDÖB fordert mehr Transparenz beim Outsourcing im medizinischen Bereich

17.08.2017 - Im Gesundheitswesen ist es üblich, dass Ärzte und Ärztinnen die Rechnungsstellung an spezialisierte Anbieter wie die Ärztekasse oder Swisscom Health auslagern. Damit die Privatsphäre des Patienten dabei geschützt bleibt, ist es wichtig, dass die Anbieter die Daten nur zu den angegebenen Zwecken bearbeiten. Auch müssen sie klar informieren, was mit den Daten der Patienten geschieht, nachdem sie vom Arzt bzw. der Ärztin übermittelt wurden.

Wie der EDÖB feststellte, besteht in dieser Hinsicht Verbesserungsbedarf. Um die Transparenz für die Patienten zu erhöhen, forderte er deshalb diese Woche die betroffenen Anbieter schriftlich dazu auf, die mustervertraglichen Bestimmungen, welche sich auf die Bearbeitung der Patientendaten beziehen, zusammen mit den aktuellen Allgemeinen Geschäftsbedingungen und Bearbeitungsreglementen zu publizieren. Diese waren bisher nicht oder nur teilweise öffentlich zugänglich. Er behält sich vor, die fraglichen Datenschutzbestimmungen in einem nächsten Schritt näher zu prüfen.

Auslagerung der Rechnungsstellung im medizinischen Bereich (24. Tätigkeitsbericht)

Tätigkeitsbericht 2016/2017

26.06.2017 - Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte stellt seinen Tätigkeitsbericht für den Zeitraum vom 1. April 2016 bis 31. März 2017 vor.

Tätigkeitsbericht 2016/2017 (PDF, 1 MB, 26.06.2017)

Medienmitteilung Jahrespressekonferenz EDÖB 2017 (PDF, 39 kB, 26.06.2017)

Resümee Tätigkeitsbericht 2016/2017 (PDF, 31 kB, 26.06.2017)

Wirtschaftsauskunfteien: Bundesverwaltungsgericht schützt die Privatsphäre betroffener Personen

11.05.2017 - Im Klageverfahren gegen die Wirtschaftsauskunftei Moneyhouse hat das Bundesverwaltungsgericht einen im aktuellen Umfeld der Digitalisierung wegweisenden Entscheid gefällt, indem es der profilbildenden Verknüpfung von Informationen und deren Publikation klare Grenzen setzt.

Weiter...

Hauptnavigation

EDÖB

Suche

Seitenpfad (Breadcrumb)

Aktuell

Nutzerdaten von WhatsApp abgegriffen

Zur Fussball-WM nach Katar - EDÖB empfiehlt Reisenden Zweit-Smartphone

Datensammlung anmelden - Verzeichnisse melden (DataReg)

European Union-U.S. Data Privacy Framework (EU-U.S. DPF)

Oracle: Tracking-Technologien greifen in die Persönlichkeitsrechte der Internetnutzer ein

Auswirkungen auf die Schweizer Bevölkerung

Schutzmassnahmen gegen unerwünschtes Tracking im digitalen Raum

Empfehlungen des EDÖB im Rahmen des Öffentlichkeitsprinzips

08.07.2022 - Bericht und Leitfaden zu Credential Stuffing

Dossier meineimpfungen.ch

25.05.2022 - Ergänzung zur Medienmitteilung vom 24.05.2022 zu «meineimpfungen.ch»

Versand von Impfdaten durch die Stiftung «meineimpfungen»

Schlussbericht des EDÖB in der Sachverhaltsabklärung zu meineimpfungen.ch

13.06.2022 - Auslagerung von Personendaten durch die Suva in eine Microsoft Cloud

EDÖB trifft tunesische Delegation in Bern

Hackerangriffe auf Arztpraxen in der Romandie

Update Mitto AG

Mitgliederdaten der Schützenvereine an Kreditkartenanbieter

Dossier Datenübermittlung ins Ausland

Übermittlung von Personendaten in ein Land ohne angemessenes Datenschutzniveau gestützt auf anerkannte Standardvertragsklauseln und Musterverträge

EDÖB nimmt zur Datenübermittlung an die United States Securities and Exchange Commission Stellung

Urteil des Europäischen Gerichtshofs (EuGH) zu europäischen Standardvertragsklauseln und zum EU-US Privacy Shield

Welche Folgen hat der Brexit für den grenzüberschreitenden Datenverkehr?

Weiterführende Informationen:

Die Datenschutz-Grundverordnung der EU und ihre Auswirkungen auf die Schweiz

Leitfaden zum Swiss-US Privacy Shield

Dossier Corona

Der EDÖB empfiehlt die Verwendung des Covid-Zertifikats Light

EDÖB empfiehlt Verwendung des datenschutzfreundlichen Covid-Zertifikats Light für Veranstaltungen in der Schweiz

Entwicklungen im Verfahren «SocialPass»

Covid-Zertifikat erfüllt zentrale Anliegen der Datenschutzaufsicht

Begleitung des BAG-Projekts für ein datenschutzkonformes Covid-19-Impfzertifikat

Datenschutzrechtliche Anforderungen für die Erhebung von Gesundheitsdaten durch Private im Zusammenhang mit der Pandemiebekämpfung

Gästelisten: Betreiber müssen bei der Erfassung der Kontaktdaten Datenschutz sicherstellen

Update Proximity Tracing App: Technische Sicherheit der SwissCovid App erhärtet

Update Proximity Tracing App

Update Proximity Tracing App

Update Proximity Tracing App

Datenschutzfreundliche Weiterentwicklung des EPFL-Projekts für eine «Covid proximity tracing App»

Grobbeurteilung des EPFL-Projekts für eine «Covid proximity tracing App»

Corona-Schutzkonzepte

Massnahmen für eine sichere Nutzung von Audio- und Videokonferenzlösungen

Updates - Datenschutzrechtlicher Rahmen bei der Eindämmung des Coronavirus:

Zugang des BAG zu visualisierten Daten der Swisscom datenschutzrechtlich erlaubt

Datenschutzrechtlicher Rahmen bei der Eindämmung des Coronavirus

Dossier nDSG:

Das neue Datenschutzgesetz aus Sicht des EDÖB

Neues DSG: Rekrutierung von 5 weiteren Stellen ab Juli 2022

Durchbruch für zeitgemässen Datenschutz

Zweitrat schliesst Beratung des Datenschutzgesetzes (DSG) ab

Datenschutzgesetz kommt in der Wintersession in den Ständerat

DSG-Totalrevision geht in die Kommission des Ständerats

Totalrevidiertes DSG geht an den erstberatenden Nationalrat

Neues Schengen-Datenschutzgesetz in Kraft

Etappierung der DSG-Revision: Grundrechtsschutz muss gewahrt bleiben

Botschaft über die Totalrevision des Datenschutzgesetzes: Beurteilung des EDÖB

Gesamtbeurteilung durch den EDÖB

Positive Punkte

Verbleibende Differenzen

Datenabflüsse bei Sozialen Netzwerken

28. September: International Day for Universal Access to Information

Ungenügende Regelung der Datenbearbeitung in neuem Zollpolizeigesetz

KVG-Revision: EDÖB für Transparenz bei Preismodellen

Update Libra

4. Update zum Projekt Libra

3. Update zum Projekt Libra

2. Update zum Projekt Libra

1. Update zum Projekt Libra

Update zu Clearview

Ungefragte Beschaffung von Gesichtsdaten ist persönlichkeitsverletzend

Statement des EDÖB zur Applikation Clearview

Unsere Hinweise für die Benutzer sozialer Netzwerke:

Facebook setzt in der Schweiz Wahl-Features ein

US-Steuerstreit – Bundesverwaltungsgericht schützt Grundrechte

US-Steuerstreit – Beschwerde gegen die Verfügung des Eidg. Finanzdepartements

Schlussbericht des
EDÖB in der Sachverhaltsabklärung zu meineimpfungen.ch

26. Tätigkeitsbericht 2018/2019:
Die Schweiz muss Datenschutzniveau halten

2. Digitaltag – Wirtschaft muss in datenschutzfreundliche
Technologien investieren