Empfehlungen des EDÖB im Rahmen des Öffentlichkeitsprinzips
25.05.2020 - Der EDÖB hat im Rahmen des Öffentlichkeitsprinzips betreffend den Zugang zu amtlichen Dokumenten folgende Empfehlungen erlassen:
- 25.05.2020 - Empfehlungen des EDÖB im Rahmen des Öffentlichkeitsprinzips
- 19.05.2020 - Corona-Schutzkonzepte
- 13.05.2020 - Update Proximity Tracing App
- 20.04.2020 - Update Libra
- 09.04.2020 - Massnahmen für eine sichere Nutzung von Audio- und Videokonferenzlösungen
- 03.04.2020 - Zugang des BAG zu visualisierten Daten der Swisscom datenschutzrechtlich erlaubt
- 17.03.2020 - Datenschutzrechtlicher Rahmen bei der Eindämmung des Coronavirus
- 10.03.2020 - Update zu Clearview
- 31.01.2020 - Welche Folgen hat der Brexit für den grenzüberschreitenden Datenverkehr?
- 18.06.2019 - 26. Tätigkeitsbericht 2018/2019: Die Schweiz muss Datenschutzniveau halten
Corona-Schutzkonzepte
19.05.2020 - Der EDÖB beaufsichtigt die Umsetzung der Schutzkonzepte durch private Betriebe. Er legt Wert darauf, dass die Beschaffung und Weitergabe von Personendaten im Rahmen dieser Konzepte freiwillig ist.
Im Rahmen der Lockerungen der Massnahmen zur Eindämmung der Corona-Pandemie hat der Bundesrat in der Verordnung 2 über Massnahmen zur Bekämpfung des Coronavirus (COVID-19; SR 818.101.24) die Wiederaufnahme von Aktivitäten und die Wiedereröffnung von Betrieben an den Erlass von sog. Schutzkonzepten geknüpft: s. Empfehlungen des BAG für Arbeitswelt und Schulen
Soweit die Schutzkonzepte, für deren Umsetzung die Betriebe verantwortlich sind, vorsehen, dass Letztere Daten von Personen (Kunden, Mitgliedern, Arbeitnehmenden usw.) bearbeiten, geschieht dies unter der Aufsicht des EDÖB. Er wirkt darauf hin, dass die Betriebe die Prinzipien des Datenschutzgesetzes des Bundes, insbesondere die Verhältnismässigkeit, beachten. Je nach Branche und Betriebsgrösse tragen auch betriebliche Rechtsdienste und Datenschutzberater zur datenschutzkonformen Umsetzung der Konzepte bei.
Der EDÖB legt Wert darauf, dass die Beschaffung und Weitergabe von Personendaten im Rahmen der Schutzkonzepte für die oben genannten Personen freiwillig ist und auf sie auch kein indirekter Zwang ausgeübt wird, indem die Inanspruchnahme von Leistungen und Vorteilen mit der Angabe ihrer Personendaten verknüpft wird.
Die mit direktem oder indirekten Zwang verbunden Beschaffung und Weiterbearbeitung von Daten dieser Personen stellt nach Auffassung des EDÖB einen Eingriff in die Privatsphäre und informationelle Selbstbestimmung derselben dar, welcher mit dem Verhältnismässigkeitsgrundsatz kollidiert. Vorbehalten bleiben obligatorische Bearbeitungsvorgaben, die sich auf hinreichend bestimmte Rechtsgrundlagen im öffentlichen Recht des Bundes oder der Kantone stützen.
Update Proximity Tracing App
13.05.2020 - Die Proximity Tracing App erfüllt die datenschutzrechtlichen Anforderungen - Stellungnahme nach Art. 17a DSG zum Pilotversuch mit dem Swiss Proximity-Tracing-System (SPTS).
Der Beauftragte erachtet den vom Bundesrat heute bewilligten Versuchsbetrieb des SPTS als datenschutzrechtlich zulässig. Noch fehlende Dokumente sind dem EDÖB rechtzeitig vor dem geplanten Vollbetrieb nachzureichen.
Aufsichtsrechtliche Massnahmen und Empfehlungen während des Versuchsbetriebs und nach dem Übergang zum vorgesehenen Vollbetrieb bleiben vorbehalten.
Frühere Meldungen zu Proximity Tracing
Update Proximity Tracing App
30.04.2020 - Datenbearbeitung im Backend der «Proximity Tracing-Application (PTAPP)» aus Sicht des EDÖB verhältnismässig.
In der Schweiz soll eine «Proximity Tracing-Application (PTAPP)» basierend auf dem dezentralen Ansatz von «DP-3T» eingeführt werden. Auch wenn dabei weit weniger Informationen zentral gespeichert werden als bei einem zentralen Ansatz, braucht die Systemarchitektur ein sogenanntes Backend mit Server.
Die Task Force Corona des EDÖB hat die technische Umsetzung im Backend für die geplante PTAPP geprüft. Der EDÖB kommt bei seiner Einschätzung zum Schluss, dass die dort stattfindenden Datenbearbeitungen verhältnismässig sind. Er prüft derzeit den Entwurf einer bundesrätlichen Verordnung über die PTAPP und die ihr zugrundeliegenden gesetzlichen Grundlagen.
Der EDÖB erarbeitet derzeit zudem eine Gesamtbeurteilung zur PTAPP in Berichtsform, welche die bisherigen Teilbeurteilungen zusammenführt und mit weiteren Aspekten ergänzt.
Update Proximity Tracing App
21.04.2020 - EDÖB prüft Systemarchitektur des Modells «DP-3T» und fordert Nachweis genügender Rechtsgrundlage.
Der EDÖB wurde mit seiner Task Force Corona in die Umsetzungsarbeiten der Bundesverwaltung für eine «Covid proximity tracing App» einbezogen. Die Umsetzung basiert auf dem von der EPFL entwickelten, einem dezentralen Ansatz folgenden Modell «DP-3T» und erfolgt unabhängig von den Entwicklungen im Rahmen des europäischen Projekts «PEPP-PT». Die Task Force des EDÖB prüft derzeit datenschutzrechtliche Aspekte der von den Behörden erarbeiteten Systemarchitektur. In grundsätzlicher Hinsicht fordert der EDÖB zudem insbesondere den Nachweis einer genügenden Rechtsgrundlage gemäss Art. 17 des Bundesgesetzes über den Datenschutz.
Datenschutzfreundliche Weiterentwicklung des EPFL-Projekts für eine «Covid proximity tracing App»
17.04.2020 - Seit der ersten Grobbeurteilung einer geplanten «Proximity Tracing»-App durch die Task Force Corona des EDÖB entwickelten die EPFL und ihre Partner das Projekt unter der Bezeichnung DP-3T weiter. Der EDÖB stellt in datenschutzrechtlicher Hinsicht Verbesserungen fest, namentlich aufgrund des dezentralen Ansatzes. Er wird bei der bevorstehenden Einführung weiter auf einen optimalen Datenschutz hinwirken.
Die erste Grobbeurteilung der Task Force Corona des EDÖB vom 02.04.2020 basierte auf einer inzwischen überholten Ausgestaltung, bei welcher gefährdete Personen vom zentralen Server kontaktiert wurden. Inzwischen konnte die Task Force von der Weiterentwicklung des Projekts unter dem Titel „Decentralized Privacy-Preserving Proximity Tracing“ (DP-3T) Kenntnis nehmen, welche einem dezentralen Ansatz folgt. Aus datenschutzrechtlicher Sicht erweist sich dabei u.a. als vorteilhaft, dass nun der zentrale Server im Sinne der Datenminimierung nur anonyme und damit nicht auf Personen rückführbare Schlüssel von infizierten Benutzern erhält. Nur noch lokal in den Apps der einzelnen Benutzer wird eine physische Nähe zu einem (anonymen) infizierten Benutzer erkannt. Der EDÖB erkennt, dass sowohl zentralisierte als auch dezentralisierte Lösungen Vor- und Nachteile aufweisen. Aus datenschutzrechtlicher Sicht und mit Blick auf die angestrebte internationale Umsetzung befürwortet er insgesamt die dezentral geprägte Weiterentwicklung im Rahmen von DP-3T, wobei für eine abschliessende datenschutzrechtliche Beurteilung letztlich die konkrete Umsetzung massgebend sein wird.
Inzwischen wurde bekannt, dass das Bundesamt für Statistik als Data Trust Center vorgesehen ist. Das Bundesamt für Informatik und Telekommunikation entwickelt, hostet und unterhält die notwendige Infrastruktur. Zusammen mit anderen Stellen soll auch der EDÖB bzw. seine Task Force Corona bei den nächsten Schritten konsultiert werden. Der EDÖB wird dabei weiterhin auf eine optimale Berücksichtigung der datenschutzrechtlichen Anforderungen hinwirken.
Grobbeurteilung des EPFL-Projekts für eine «Covid proximity tracing App»
02.04.2020 - Am 21. März 2020 wurde der EDÖB von der École polytechnique fédérale de Lausanne (EPFL) gebeten, das Projekt für eine «Covid proximity tracing App», an welchem die EPFL mitwirkt, einer Grobbeurteilung zu unterziehen.
Die Task Force Corona des EDÖB begrüsst in ihrer Grobbeurteilung, dass verschiedene Massnahmen des Projektes wie die Freiwilligkeit der Teilnahme, der Verzicht auf Geolokalisierungsdaten und die Verwendung von temporären Identifikatoren erkennen lassen, dass wichtige Anliegen des Datenschutzes berücksichtigt werden. Die abschliessende datenschutzrechtliche Beurteilung der vorläufig rein privaten Initiative hängt allerdings von der definitiven Ausgestaltung und praktischen Umsetzung ab und ist derzeit noch nicht möglich.
Stellungnahme des EDÖB in der SRF-Tagesschau vom 2.4.2020
Update Libra
20.04.2020 - Libra informiert über FINMA-Gesuch und intensiviert Arbeiten am Datenschutzkonzept.
Die Libra Association informierte den EDÖB am 16. April 2020 über die Einreichung eines Gesuchs für eine Bewilligung als Zahlungssystem bei der FINMA (vgl. die publizierte Information durch die FINMA). Dabei teilte sie dem EDÖB auch mit, dass die Arbeiten am Datenschutzkonzept im Gange seien und intensiviert wurden.
Frühere Updates zum Projekt Libra
4. Update zum Projekt Libra
19.09.2019 - Anlässlich eines Treffens mit dem EDÖB in Bern bekräftigt die Libra Association, einen einheitlichen Datenschutzstandard für das System zu entwickeln. Die Libra Association wird den EDÖB in einem frühen Stadium in ihre laufenden Entwicklungsarbeiten einbeziehen, um die datenschutzrechtlichen Anforderungen von Beginn an zu erfüllen.
Nachdem die Libra Association fristgerecht ergänzende Informationen zum Libra-Projekt eingereicht hatte, fand am 17. September 2019 ein persönliches Treffen zwischen dem EDÖB und Vertretern der Libra Association in Bern statt.
Die Libra Association bekräftigte, einen einheitlichen Datenschutzstandard für das System zu entwickeln. Damit wird der Haltung des EDÖB entsprochen, der auf diese Weise ein hohes Schutzniveau für die Personendaten der Nutzerinnen und Nutzer erreichen will.
Die Libra Association wird den EDÖB in einem frühen Stadium in ihre laufenden Entwicklungsarbeiten einbeziehen, um die datenschutzrechtlichen Anforderungen von Beginn an zu erfüllen (Privacy by design). Die Libra Association wird eine Risikofolgenabschätzung vornehmen und für einen einheitlichen Datenschutzstandard nötige Massnahmen umsetzen, einschliesslich nötiger organisatorischer Massnahmen wie die Schaffung einer Datenschutzstelle.
3. Update zum Projekt Libra
23.08.2019 - Die Libra Association hat dem EDÖB fristgerecht einen ersten Teil der einverlangten Dokumente zugestellt. Weitere Dokumente sowie erläuternde Informationen werden im Verlauf der kommenden Wochen folgen.
Diese Eingaben werden dem EDÖB als Grundlage für die Prüfung seiner behördlichen Zuständigkeit und die Planung künftiger Aktivitäten dienen. Der EDÖB wird die Öffentlichkeit zu gegebener Zeit über das Ergebnis seiner Zuständigkeitsprüfung und allfällige weitere Schritte informieren.
Der EDÖB wird am bevorstehenden Treffen mit dem U.S. House Committee on Financial Services teilnehmen und dieses persönlich über den aktuellen Stand des laufenden Verfahrens informieren.
2. Update zum Projekt Libra
06./08.08.2019 - Die britische und weitere Datenschutzbehörden haben eine gemeinsame Erklärung veröffentlicht, in der sie von den Libra-Promotoren mehr Offenheit über das Projekt verlangen. Der EDÖB steht mit dem Europäischen Datenschutzausschuss (EDSA) und der Internationalen Konferenz der Datenschutzbehörden (ICDPPC) in Kontakt.
Der EDÖB ist wie alle anderen Datenschutzbehörden (DSB) vom Libra-Projekt und seinem globalen Netzwerk betroffen und bestrebt, die globale Gemeinschaft der Datenschutzbehörden bei ihren gemeinsamen Bemühungen zum Schutz der Bevölkerung zu unterstützen. Er steht deshalb mit dem EDSA und der ICDPPC in Kontakt.
Andererseits muss der EDÖB als Datenschutzbehörde am Schweizer Sitz der Libra Association in Genf seine gesetzlichen Aufgaben wahrnehmen. In dieser Funktion leitete der EDÖB ein offizielles Verfahren zur Klärung seiner Zuständigkeit mit Blick auf die in Genf ansässige Association ein. Letztere hat inzwischen eine Schweizer Anwaltskanzlei ernannt und sich bereit erklärt, detailliertere Informationen über das Projekt zu liefern, wie es der EDÖB im Schreiben vom 17. Juli 2019 gefordert hat. Die zugesagten Informationen wird der EDÖB zuerst analysieren, um zu beurteilen, inwieweit seine Beratungskompetenzen und seine Aufsichtsfunktion Anwendung finden. Erst danach wird er allfälligen Erklärungen beitreten oder sich zum Libra-Projekt und seinem Netzwerk als Ganzes äussern können.
1. Update zum Projekt Libra
29.07.2019 - Die Libra Association hat auf das Schreiben des EDÖB vom 17. Juli 2019 reagiert und eine zeitnahe Antwort in Aussicht gestellt. Sie wird sich in den kommenden Wochen mit dem EDÖB zu Gesprächen treffen. Der EDÖB wird die Öffentlichkeit über das weitere Vorgehen informieren, sobald er die in Aussicht gestellten Informationen analysiert und sich zum aktuellen Stand des Projekts einen Überblick verschafft haben wird.
Massnahmen für eine sichere Nutzung von Audio- und Videokonferenzlösungen
09.04.2020 - Im Zuge der Corona-Pandemie war es von einem Tag auf den anderen nicht mehr möglich, sich mit Verwandten und Bekannten zu treffen oder sich im Büroalltag auszutauschen und Sitzungen abzuhalten. Privatpersonen und Unternehmen suchen digitale Alternativen zur Kommunikation und halten vermehrt Videokonferenzen ab. Bei der Wahl der Software ist es wichtig, Informationssicherheit und Datenschutz im Auge zu behalten.
Der EDÖB empfiehlt im unten stehenden Merkblatt Massnahmen, um eine aktuell verwendete Lösung – vorübergehend während einer ausserordentlichen Lage – möglichst sicher einsetzen zu können. Danach oder auch bereits während der Nutzung ist der Einsatz dieser Dienste und Produkte im Rahmen einer Risikoanalyse nach den datenschutzrechtlichen Kriterien neu zu beurteilen, allenfalls ein geeigneteres Produkt zu evaluieren und dieses einzusetzen. Hierfür werden im Merkblatt Punkte aufgelistet, welche es bei der Vorbereitung- und Einführung einer datenschutzkonformen Audio- und Videokonferenzlösung zu beachten gilt.
Das Merkblatt richtet sich an alle Nutzergruppen – sowohl im privaten wie im geschäftlichen Umfeld.
Weitere Informationen
Liste von Produkten für die Digitale Zusammenarbeit auf der Website des Datenschutzbeauftragten des Kantons Zürich
Updates - Datenschutzrechtlicher Rahmen bei der Eindämmung des Coronavirus:
Zugang des BAG zu visualisierten Daten der Swisscom datenschutzrechtlich erlaubt
03.04.2020 - Der EDÖB hat die Swisscom am 25. März 2020 gebeten, zum Zugang des Bundesamtes für Gesundheit (BAG) auf Daten der Swisscom Stellung zu nehmen. Nach Prüfung der von der Swisscom zur Verfügung gestellten Informationen kommt er zum Schluss, dass die Swisscom dem BAG ausschliesslich Zugang zu anonymisierten Daten gewährt. Der EDÖB hat die Swisscom aufgefordert, die Öffentlichkeit mit detaillierteren Informationen zum Datenbearbeitungsvorgang zu bedienen. Die Swisscom ist dieser Aufforderung nachgekommen und hat FAQs zu den fraglichen Datenbearbeitungen erstellt.
Die Swisscom bearbeitet mit der Mobility Insights Plattform (MIP) anonymisierte Gruppenstatistiken anhand aggregierter Mobilitätsdaten zur Auswertung von Mobilitätsverhalten auf dem Gebiet der Schweiz. Die dem Bundesamt für Gesundheit (BAG) mit einer mindesten 8-stündigen Verzögerung zugänglich gemachten visualisierten Auswertungen der Swisscom sollen dem Amt zum Zweck der Pandemiebekämpfung eine Übersicht darüber verschaffen, ob es in der Schweiz noch Ansammlungen von grösseren Gruppen gab. Die Visualisierungen zeigen den zeitlichen Verlauf der Aufenthalte von Handybesitzern in 100 mal 100 Meter grossen Gebieten, wenn mehr als 20 Mobilfunkgeräte von Abonnenten der Swisscom in einem solchen Gebiet vorhanden sind.
Der EDÖB hat die Swisscom am 25. März 2020 gebeten, zum Zugang des BAG auf Daten der Swisscom Stellung zu nehmen, was mit Schreiben vom 27. März 2020 und ergänzender Stellungnahme vom 2. April 2020 erfolgt ist. Nach Prüfung der von der Swisscom zur Verfügung gestellten Informationen und seinem Vorwissen aus Beratungen der Swisscom zu ähnlichen Sachverhalten kommt der EDÖB zu folgenden Erkenntnissen:
- Die Standortdaten werden technisch im frühestmöglichen Zeitpunkt pseudonymisiert (Hash) und in der Folge aggregiert.
- Organisatorische Massnahmen werden nicht beschrieben. Jedoch besteht aktuell kein Grund zur Annahme, dass offensichtliche Mängel bestehen, zumal es sich beim MIP um ein Produkt handelt, welches über mehrere Jahre betrieben wird.
- Die Swisscom macht dem BAG im MIP statistische und visualisierte Informationen zugänglich, nicht hingegen Klardaten oder pseudonymisierte Daten, die der Visualisierung im MIP zugrunde liegen.
- Die Ergebnisse (Visualisierung der aggregierten Standortdaten), auf welche die Swisscom das BAG zugreifen lässt, ist anonym.
Daraus folgt, dass die Swisscom dem BAG ausschliesslich Zugang zu anonymisierten Daten gewährt. Dementsprechend erachtet der EDÖB die Datenbearbeitung durch die Swisscom und die Weitergaben von anonymen Daten an das BAG datenschutzrechtlich als erlaubt.
Der EDÖB hat aufgrund der ihm zur Verfügung gestellten Unterlagen keine Veranlassung, daran zu zweifeln, dass sich die Swisscom an die in ihren Stellungnahmen vom 27. März und vom 2. April 2020 dargelegte Datenbearbeitung hält. Zwar sind bei ihm entgegenstehende Anzeigen eingegangen, die sich jedoch nicht erhärten liessen. Damit bestehen zurzeit keine Anhaltspunkte, die den EDÖB zur Eröffnung einer formellen Sachverhaltsabklärung nach Art. 29 DSG veranlassen müssten.
Der EDÖB war indessen der Auffassung, dass die der Öffentlichkeit zugänglichen Informationen zur Zusammenarbeit zwischen dem BAG und der Swisscom und den damit verbundenen Datenbearbeitungen spärlich und nicht ohne Weiteres auffindbar waren. Er hat die Swisscom daher dazu aufgefordert, die Öffentlichkeit mit detaillierteren Informationen zum Datenbearbeitungsvorgang zu bedienen. Die Swisscom ist dieser Aufforderung inzwischen nachgekommen und hat FAQs betreffend die Nutzung der Mobility Insights Plattform von Swisscom durch das Bundesamt für Gesundheit (BAG) erstellt.
Die Auswertung des EDÖB wird veröffentlicht.
27.03.2020 - Der EDÖB wurde gestern vom Bundesamt für Gesundheit (BAG) über die laufende Zusammenarbeit mit der Swisscom zur Pandemiebekämpfung in Kenntnis gesetzt. (vgl. dazu Medienmitteilung des BAG vom 26.03.2020).
Der EDÖB hat unterdessen vom BAG wie auch von der Swisscom sachdienliche Dokumente dazu erhalten. Beide haben zudem zugesichert, den EDÖB künftig laufend über die datenschutzrelevanten Projekte zur Pandemiebekämpfung ins Bild zu setzen.
Die am 24. März 2020 gegründete EDÖB-interne Task Force «Corona» ist nun daran, diese Dokumente zu analysieren. Bereits vor einigen Tagen wurden dem EDÖB zwei private Initiativen zur digitalen Vorsorge gegen weitere Ansteckungen unterbreitet. Diese werden zurzeit ebenfalls von unserer Task Force einer ersten summarischen Datenschutzanalyse unterzogen.
Datenschutzrechtlicher Rahmen bei der Eindämmung des Coronavirus
17.03.2020 - Die Behörden setzen in Zusammenarbeit mit den Gesundheitsinstitutionen alles daran, die rasante Ausbreitung des Coronavirus einzudämmen. Soweit Privatpersonen (insbesondere Arbeitgeber) zur Bekämpfung der Pandemie Personendaten bearbeiten, sind die Grundsätze nach Art. 4 des Bundesgesetzes über den Datenschutz zu respektieren.
1. Datenbearbeitung durch Institutionen des Gesundheitswesens
Nach Ausrufung der ausserordentlichen Lage nach Art. 7 des Epidemiengesetzes (Art. 7 EpG) durch den Bundesrat arbeiten die Behörden von Bund, Kantonen und Gemeinden im Verbund mit den Einrichtungen des Gesundheitswesens weiter daran, die gegenwärtige Pandemie durch das Coronavirus zu bekämpfen.
Das Bundesamt für Gesundheit (BAG), die zuständigen kantonalen Behörden und die mit Aufgaben nach dem EpG betrauten öffentlichen und privaten Institutionen bearbeiten personenbezogene Gesundheitsdaten nach Massgabe des 2. Abschnittes des EpG, soweit dies zur Identifizierung von kranken, krankheitsverdächtigen, angesteckten oder ansteckungsverdächtigen Personen im Hinblick auf Massnahmen zum Schutz der öffentlichen Gesundheit erforderlich ist. Sie beachten dabei zudem die allgemeinen Grundsätze der Datenschutzgesetzgebungen von Bund und Kantonen. Spitäler und andere öffentliche oder private Institutionen des Gesundheitswesens sowie Laboratorien und Medizinalpersonen unterliegen zudem besonderen Meldepflichten nach dem EpG.
2. Datenbearbeitung durch Private
Soweit die Zivilgesellschaft, insbesondere Arbeitgeber, zur Bekämpfung der Pandemie personenbezogene Daten bearbeiten, muss die Bearbeitung unter Einhaltung der Grundsätze nach Art. 4 des Bundesgesetzes über den Datenschutz erfolgen:
• Gesundheitsdaten sind besonders schützenswert und dürfen von Privaten grundsätzlich nicht gegen den Willen der Betroffenen beschafft werden.
• Bearbeitungen von Gesundheitsdaten durch Private müssen zudem zweckgebunden und verhältnismässig erfolgen. D.h., dass sie mit Blick auf die Verhütung von weiteren Ansteckungen nötig und geeignet sein müssen und nicht über das hinausgehen dürfen, was zur Erreichung dieses Ziels nötig ist.
• Wenn immer möglich, sollen zweckdienliche Daten über Grippesymptome wie z.B. Fieber durch die Betroffenen selber erhoben und weitergegeben werden.
• Die Erhebung und Weiterbearbeitung von Gesundheitsdaten durch private Dritte ist gegenüber den Betroffenen offen zu legen, sodass Letztere den Sinn und Zweck sowie den inhaltlichen und zeitlichen Umfang der Bearbeitung verstehen.
3. Körpertemperatur und Tracking
Soweit Private zum Zwecke der Verhinderung von Ansteckungen vor Betreten von Gebäuden oder Arbeitsplätzen medizinische Daten wie z.B. die Körpertemperatur erheben, ist die Bearbeitung dieser Daten mit Blick auf deren inhaltlichen und zeitlichen Umfang auf das zur Erreichung des Zwecks notwendige Minimum zu beschränken. Bei der Datenbeschaffung muss die Information und Selbstbestimmung der Betroffenen gewahrt bleiben. Das Beantworten umfangreicher Fragen zum Gesundheitszustand gegenüber nicht Medizinalpersonen erweist sich in diesem Kontext als ungeeignet und unverhältnismässig.
Das gleiche gilt für personenbezogene Daten, die Private im Zusammenhang mit betrieblichen und organisatorischen Massnahmen zur Verhinderung von Ansteckungen bearbeitet. Spätestens nach Wegfall der pandemischen Bedrohung sind diese integral zu löschen.
Soweit der Einsatz digitaler Methoden zur Erhebung und Analyse von Mobilitäts- und Proximity-Daten erwogen wird, müssen sich diese mit Blick auf den Zweck der Verhinderung von Ansteckungen als verhältnismässig erweisen. Dies sind sie nur, wenn sie epidemiologisch begründet und geeignet sind, im jeweils aktuellen Stadium der Pandemie eine den Eingriff in die Persönlichkeit der Betroffenen rechtfertigende Wirkung zur Eindämmung der Pandemie zu entfalten.
Update zu Clearview
10.03.2020 - Strafverfolgungsbehörden des Bundes setzen keine Gesichtserkennungssoftware ein.
In seiner Mitteilung vom 11.02.2020 (s. unten) hat der EDÖB ausführlich dargelegt, weshalb er die ungefragte Beschaffung von Gesichtsdaten als persönlichkeitsverletzend erachtet.
Auf unsere Nachfrage (s. Mitteilung vom 21.01.2020 unten), haben uns die Direktionen des Fedpol, der EZV und des NDB bestätigt, dass sie in ihrer Tätigkeit Software wie Clearview weder einsetzen noch einzusetzen beabsichtigen. Das Auskunfts- und Löschgesuch des Beauftragten vom 24.01.2020 liess Clearview hingegen bis heute unbeantwortet, weshalb er das Unternehmen entsprechend ermahnte.
Weitere Meldungen zu Gesichtserkennung
Ungefragte Beschaffung von Gesichtsdaten ist persönlichkeitsverletzend
11.02.2020 - In Ergänzung seiner Mitteilung zur Applikation Clearview präzisiert der EDÖB seine Haltung zur massenhaften Beschaffung und Weiterbearbeitung von Gesichtsdaten über das Internet.
Auch wenn Gesichtsdaten nicht per se als besonders schützenswert i.S. von Art. 3 Bst. c des Bundesgesetzes über den Datenschutz (DSG) einzustufen sind, stellt die Massenbeschaffung von Gesichtsdaten aus internet-zugänglichen Quellen eine Persönlichkeitsverletzung i.S.v. Art. 12 Abs. 2 Bst. a DSG dar, wenn die damit einhergehende Bearbeitung gegen die Grundsätze der Art. 4, 5 Abs. 1 und 7 Abs. 1 DSG verstösst. Wer ungefragt Gesichtsdaten in Massen beschafft und zu Zwecken bearbeitet, die bei der Beschaffung weder deklariert, noch aus den Umständen ersichtlich oder gesetzlich vorgesehen sind, verstösst gegen die Grundsätze der Transparenz, Verhältnismässigkeit und der Zweckbindung.
Diese Grundsätze sind anwendbar auf alle Bearbeitungen von Daten, welche Personen in der Schweiz betreffen, unabhängig davon, ob ein Bearbeiter die ungefragten Datenbeschaffungen im In- oder Ausland, manuell oder unter Einsatz von Robotern vornimmt.
Ungefragtes Herunterladen lässt sich schwerlich rechtfertigen
Hat eine Person ihre Gesichtsdaten einem sozialen Netzwerk anvertraut, das in seinen «Terms of Service» die automatische Datenbeschaffung resp. das sog. «Crawling» generell verbietet, indiziert dies, dass diese Person als Nutzer dieses Netzwerks die Bearbeitung durch Dritte ausdrücklich untersagt. Werden deren Gesichtsdaten von einem Dritten ungefragt von dem entsprechenden Netzwerk heruntergeladen, muss von einer widerrechtlichen Persönlichkeitsverletzung ausgegangen werden, wenn die Bearbeitung nicht durch ein überwiegendes privates oder öffentliches Interesse oder durch Gesetz i.S.v. Art. 13 DSG gerechtfertigt ist. Solche Rechtfertigungsgründe dürften sich in der Praxis schwerlich herleiten lassen.
Abgleich mit Gesichtsbildern erfordert eine Einwilligung
Nach Art. 13 Abs. 1 DSG liegt in der Regel keine Persönlichkeitsverletzung vor, wenn die betroffenen Personen die Daten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt haben. Diese Regel kann indessen nicht Anwendung finden, wenn die Gesichtsdaten der Betroffen unter Missachtung des Transparenzgrundsatzes mit ungefragt aus einem sozialen Netzwerk oder einer Internetplattform beschafften Daten – wie oben geschildert – abgeglichen werden sollen. Der EDÖB rät deshalb davon ab, Abgleiche mit Gesichtsbildern ohne Einwilligung der Betroffenen vorzunehmen.
Wer zentrale biometrische Datenbanken aufbaut und diese insbesondere Strafbehörden für Abgleiche zur Verfügung stellt, verstösst in schwerer Weise gegen den Transparenzgrundsatz, weil diese Bearbeitung wesentlich über das bei Suchmaschinen Übliche hinausgeht und die von der ungefragten Verwendung ihrer Gesichtsbilder Betroffenen eine derartige Zweckentfremdung nicht voraussehen können.
Datenbearbeiter und Betreiber sozialer Netzwerke in der Verantwortung
Werden Bilddaten von sozialen Plattformen bewusst und gewollt weitergegeben, muss dies mit den Voreinstellungen durch die Betroffenen wie auch den «Terms of Service» resp. den Nutzungsbestimmungen in Einklang stehen. Werden die Daten von Dritten gegen den Willen von sozialen Plattformen beschafft, stellt dies grundsätzlich einen unkontrollierten Abfluss von Personendaten (Data Breach) dar, für den nebst den Datenbearbeitern auch die Betreiber der sozialen Netzwerke gegenüber ihren Benützern einzustehen haben. Werden die Daten durch die Benützer der sozialen Netzwerke beschafft oder weitergegeben, stellt dies eine Verletzung der Nutzungsbedingungen dar, für welche die fehlbaren Benutzer zusammen mit den Betreibern der entsprechenden Plattformen die Verantwortung tragen.
Fazit: Die ungefragte Beschaffung von Gesichtsdaten zwecks Weiterbearbeitung unter Einsatz automatischer Gesichtserkennungstechnologien kann in der Praxis nur schwerlich im Einklang mit den Bearbeitungsgrundsätzen des DSG erfolgen. Deshalb bedürfen solche Bearbeitungen in der Regel einer verfassungskonformen, gesetzlichen Grundlage für Behörden bzw. einer Einwilligung für Private.
Was unternimmt der Beauftragte?
Nebst seinen konkreten Erhebungen im Fall Clearview (vgl. Mitteilung vom 21.01.2020 unten) wird der Beauftragte im Rahmen seiner gesetzlichen Möglichkeiten alles unternehmen, um die Schweizer Bevölkerung vor ungefragten Beschaffungen ihrer Gesichtsbilder zu schützen. Er wird sich des Weiteren auch weiterhin dafür einsetzen, dass sich die Schweizer Bevölkerung im Sinne eines freien Wahlrechts im öffentlichen Raum anonym bewegen kann, sei das zu Fuss oder in Verkehrsmitteln.
Weiterführende Informationen:
Fokus-Thema Gesichtserkennung mit einem Live-Interview mit Adrian Lobsiger in 10 vor 10 vom 7.2.2020
Statement des EDÖB zur Applikation Clearview
21.01.2020 - Der EDÖB hat vom Artikel in der NYT vom 18. Januar 2020 Kenntnis genommen und nimmt zu der darin beschriebenen privaten Applikation Clearview wie folgt Stellung:
- Das öffentlich zugängliche Internet enthält Gesichtsdaten, die durch Abgleich mit Personenattributen wie Namen- oder Ortsangaben weltweit auf Milliarden von Personen zurückgeführt werden können;
- Angesichts der damit verbundenen Risiken für deren Persönlichkeit rät der EDÖB allen Benutzern von sozialen Netzwerken, in den Voreinstellungen u.a. die Zugänglichmachung von Fotomaterial für Suchmaschinen zu unterbinden (s. Links);
- Der EDÖB geht davon aus, dass die Anbieter von Clearview bei der Beschaffung von Gesichtsdaten die Persönlichkeit der betroffenen Personen in der Schweiz wie auch die Nutzungsbedingungen von sozialen Plattformen verletzen;
- Vor diesem Hintergrund rät der EDÖB Privaten und Behörden in der Schweiz davon ab, durch Clearview beschaffte Daten zu bearbeiten. Er wird diesbezüglich auch an die Strafverfolgungsbehörden des Bundes gelangen;
- Stellvertretend für die betroffenen Personen in der Schweiz wird der Beauftragte bei Clearview ein Auskunfts- und Löschgesuch zu den zu seiner Person bearbeiteten Daten stellen. Er wird die Öffentlichkeit über die Behandlung seines Gesuches durch Clearview informieren.
Unsere Hinweise für die Benutzer sozialer Netzwerke:
Erläuterungen zu sozialen Netzwerken
Welche Folgen hat der Brexit für den grenzüberschreitenden Datenverkehr?
31.01.2020 - Nach dem Referendum im Vereinigten Königreich über den EU-Ausstieg (Brexit) im Juni 2016 teilte die britische Regierung ihren Entscheid zum Austritt aus der EU mit. Der Austritt des Vereinigten Königreichs aus der Europäischen Union erfolgt nun auf den 31. Januar 2020.
Übermittlung personenbezogener Daten ins Ausland nach dem geltenden Datenschutzgesetz (DSG)
Um Daten ins Ausland zu übermitteln, müssen die in Artikel 6 DSG genannten Bedingungen erfüllt sein. Dieser Artikel sieht vor, dass Daten nur dann ins Ausland übermittelt werden dürfen, wenn das Bestimmungsland über Rechtsvorschriften verfügt, die ein angemessenes Datenschutzniveau vorsehen (Art. 6 Abs. 1 DSG) oder, in Ermangelung solcher Vorschriften, wenn das Schutzniveau durch andere Vorschriften oder Garantien gewährleistet wird (Art. 6 Abs. 2 lit. a und g DSG). Nach Artikel 31 Abs. 1 lit. d DSG kann der EDÖB grundsätzlich bestimmen, ob das Schutzniveau in einem Staat angemessen ist, so dass die gesamte Datenübermittlung an diesen Staat zulässig ist. Dies setzt insbesondere voraus, dass der Empfänger der Daten einem Gesetz untersteht, das ein mit dem schweizerischen Recht vergleichbares Datenschutzniveau bietet (Gewährleistung der Rechte der betroffenen Personen, Einhaltung der wichtigsten Datenschutzgrundsätze, unabhängige Aufsichtsbehörde). Der EDÖB hat auf seiner Website eine Liste der Staaten publiziert, die diese Anforderungen erfüllen. Diese Staatenliste wird laufend aktualisiert.
Vereinigtes Königreich und Gibraltar
Das Vereinigte Königreich und Gibraltar gehören derzeit zu den Ländern mit einem angemessenen Niveau, und der EDÖB hat derzeit keine Hinweise, die auf eine Statusänderung deuten. Im Hinblick auf die rechtlichen Folgen des Brexit für den Schutz von Personendaten ab dem 1. Februar 2020 hat die britische Behörde für den Schutz personenbezogener Daten (ICO) auf ihrer Website auch darauf hingewiesen, dass im Vereinigten Königreich ein hohes Mass an Schutz personenbezogener Daten gewährleistet sein wird.
Sollte der EDÖB jedoch eine Änderung des Status’ des Vereinigten Königreichs oder Gibraltars auf seiner Staatenliste in Betracht ziehen, würde er die Unternehmen zu gegebener Zeit informieren, damit sie sich insbesondere durch die Verwendung von Standardverträgen vorbereiten können.
Die EU wird bis Ende 2020 entscheiden, ob dem Vereinigten Königreich eine datenschutzrechtliche Angemessenheit attestiert wird. Der EDÖB beobachtet diese Entwicklungen aktiv.
Weiterführende Informationen:
EDÖB, Übermittlung von Personendaten ins Ausland
EDA, Direktion für europäische Angelegenheiten DEA: FAQ Brexit
ICO, Statement on data proteciton and Brexit implementation
ICO, Data Protection and Brexit
Europäische Kommission, UKTF, Taskforce für die Beziehungen zum Vereinigten Königreich
Zweitrat schliesst Beratung des Datenschutzgesetzes (DSG) ab
18.12.2019 – Der EDÖB begrüsst, dass der Ständerat das totalrevidierte DSG durchberaten und die von seiner Kommission vorgeschlagenen Verbesserungen gegenüber der nationalrätlichen Fassung weitgehend übernommen hat.
Datenschutzgesetz kommt in der Wintersession in den Ständerat
20.11.2019 - Der EDÖB begrüsst, dass es der SPK S innerhalb der kurzen Zeit, die ihr bis zum Sessionsende zur Verfügung stand, gelungen ist, einen beratungsreifen und gegenüber der Fassung des Nationalrats deutlich verbesserten Gesetzestext zu Handen des Plenums des Ständerates zu verabschieden.
Siehe dazu auch:
30.08.2019 - Totalrevidiertes DSG geht an den erstberatenden Nationalrat
Facebook setzt in der Schweiz Wahl-Features ein
17.10.2019 - Facebook setzt ab dem Tag vor den Eidgenössischen Wahlen vom 20. Oktober 2019 Features ein, um die Schweizer Stimmberechtigten auf ihrer sozialen Plattform anzusprechen. Dies bestätigte das Unternehmen auf Anfrage dem Datenschutzbeauftragten. Der EDÖB begrüsst die angekündigte Transparenz.
Nachdem der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) durch Berichte Kenntnis davon erhalten hat, dass Facebook im Hinblick auf die Schweizer Parlamentswahlen 2019 auf ihrer sozialen Plattform möglicherweise Wahl-Features wie bspw. den «Voter-Button» einsetzen wird, hat er das Unternehmen angeschrieben und um Stellungnahme gebeten.
In seinem Schreiben hat der EDÖB unter Verweis auf die Ziffern 5.3 und 7 seines Leitfadens darauf hingewiesen, dass auch die Betreiber von sozialen Netzwerken dazu aufgerufen sind, fair und vollständig über die Bearbeitung und Funktionsweise der dafür eingesetzten Methoden zu informieren. Nur aufgrund einer solchen Transparenz können die Stimmbürgerinnen und –bürger abschätzen, ob und wie sich die den entsprechenden Applikationen zu Grunde liegenden Bearbeitungen ihrer Daten auf die Meinungsbildung oder das Wahlverhalten auswirken.
Facebook Ireland Ltd. hat daraufhin bestätigt, dass auf ihrer sozialen Plattform entsprechende Funktionen einen Tag vor den Wahlen und am Wahltag selber eingesetzt werden sollen. Facebook plant zum Wahltermin alle Facebook-Nutzerinnen und Nutzer ab 18 Jahren in der Schweiz an die Wahl zu erinnern. Eine Selektion von Gruppen oder Personen nehme Facebook nicht vor.
Gemäss den schriftlichen Zusicherungen von Facebook zielten die Features alleine darauf ab, die Nutzer für die anstehenden Wahlen zu sensibilisieren und letztendlich die Teilnahme zu fördern, indem die betroffenen Personen zum Beispiel auf ihrem Profil posten können, dass sie an der Wahl teilgenommen haben. Facebook betont, dass vom Unternehmen in diesem Zusammenhang keine politischen Ansichten der jeweiligen Nutzer bearbeitet werden.
Weiter hat Facebook dargelegt, dass das Unternehmen den Transparenzerfordernissen unseres Leitfadens Beachtung schenke. Die betroffenen Personen sollen sich über eine mehrstufige Information mittels Hyperlinks über die eingesetzten Funktionen, Methoden und deren Bearbeitungsgrundlagen informieren können (vgl. dazu folgende Links: Datenrichtlinie Facebook; Kontrolliere, wer sehen kann, was du teilst; Warum erhalte ich eine Erinnerung zu einer Wahl und zum Wählen auf Facebook?; Worauf basieren die Informationen, die Facebook über Wahlen und gewählte Vertreter anzeigt?)
DSG-Totalrevision geht in die Kommission des Ständerats
25.09.2019 – Nachdem der Nationalrat die Totalrevision des Datenschutzgesetzes (E-DSG) als Erstrat behandelt hat, erhofft sich der EDÖB, dass die zweite Kammer ihrerseits in der Wintersession die Beratung aufnehmen und den Schutz der Schweizer Bevölkerung durch Anpassungen an die europäischen Standards noch verbessern kann.
30.08.2019 - Totalrevidiertes DSG geht an den erstberatenden Nationalrat
US-Steuerstreit – Bundesverwaltungsgericht schützt Grundrechte
10.09.2019 - Mit Entscheid vom 3. September 2019 hat das Bundesverwaltungsgericht (BVGer) die Beschwerde des EDÖB gegen die Eidg. Steuerverwaltung (ESTV) und das Eidg. Finanzdepartement (EFD) gutgeheissen. Das Gericht gelangt in seinem Urteil zum Schluss, dass in der internationalen Steueramtshilfe die vom Amtshilfeersuchen nicht formell betroffenen Personen, deren Namen übermittelt werden sollen, gemäss Steueramtshilfegesetz grundsätzlich vorgängig zu informieren sind.
Das Gericht folgt damit der Empfehlung des EDÖB, dass diese Namen zu schwärzen und das Anhörungsrecht vor der Übermittlung zu gewähren sei. Der Beauftragte begrüsst das Urteil, da es Grundrechte der Bank-Mitarbeitenden und weiterer Drittpersonen schützt. Er erwartet nun, dass die ESTV datenschutzkonforme Lösungen findet.
Die zuständigen Behörden weist das BVGer an, das Urteil umzusetzen und Ausnahmen in geeigneter Form zu regeln. Das Urteil ist noch nicht rechtskräftig.
Totalrevidiertes DSG geht an den erstberatenden Nationalrat
30.08.2019 - Nach Beratung der bundesrätlichen Botschaft vom 15. September 2017 hat die staatspolitische Kommission des Nationalrats am 16. August 2019 mit Stichentscheid des Präsidenten beschlossen, den Entwurf eines totalrevidierten Datenschutzgesetzes an das Plenum des erstberatenden Nationalrats zu leiten.
Der Vorschlag zuhanden des Plenums enthält mehrere Bestimmungen, die in der Version der Kommissionsmehrheit für die Schweizer Bevölkerung zu einem geringeren Datenschutz als in den umliegenden europäischen Staaten und zu einer teilweisen Absenkung des Schutzniveaus des geltenden Datenschutzgesetzes von 1992 führen würden.
Der Nationalrat wird anlässlich seiner öffentlichen Debatte vom 24. und 25. September 2019 Gelegenheit haben, unter Vergleich der Fassungen der Kommissionsmehrheiten und –minderheiten und Abwägung deren Argumente zu entscheiden, ob er den Schutz der Schweizer Bevölkerung verbessern und an den europäischen Standards anpassen will.
Die Fahne mit den Anträgen der Staatspolitischen Kommission des Nationalrates für die Revision des Bundesdatenschutzgesetzes ist erschienen.
Postfinance: keine Gleichbehandlung der Schweizer Kunden nach geltendem Recht
30.08.2019 - Mit Schreiben vom 13. Juni 2019 hielt die Postfinance AG auf Anfrage des EDÖB fest, dass ihre Schweizer Kunden nach wie vor von sich aus tätig werden müssten, wenn sie keine Authentifizierung mittels Stimmabdruck wünschen, indem sie dagegen einen ausdrücklichen Widerspruch einlegen. Demgegenüber macht die Postfinance die Authentifizierung mittels Stimmabdruck bei ausländischen Kunden von deren ausdrücklicher Einwilligung abhängig. Die vom EDÖB öffentlich kritisierte Ungleichbehandlung (Sendung SRF 10vor10 vom 20.5.2019) wird damit weitergeführt.
Die Postfinance AG hält gegenüber dem Beauftragten fest, dass diese «unterschiedliche Behandlung» auf die ungleichen Anforderungen des anwendbaren Rechts zurückgehe und dass die Übernahme ausländischen Rechts auf inländische Verhältnisse ein politischer Prozess sei, welcher der Legislative vorbehalten sei. Die Postfinance AG hält somit an der Ungleichbehandlung inländischer Kunden fest, solange das schweizerische Datenschutzrecht nicht dem EU-Niveau angeglichen wird.
Falsche E-Mail-Adressen bei Swisscom
29.08.2019 - Aufgrund einer Bürgermeldung hat der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) erfahren, dass ein Kunde von Swisscom verschiedenste E-Mails erhalten hat, die nicht für ihn bestimmt waren.
Der EDÖB hat die Swisscom mit dieser Meldung konfrontiert und um Stellungnahme gebeten. In seiner Antwort führte das Unternehmen aus, dass ihm das Problem aufgrund von Kundenmeldungen bereits bekannt sei und es eine Task Force eingesetzt und mit einer Risikoanalyse beauftragt habe. Es habe sich gezeigt, dass in einem Kundensystem generisch erfasste E-Mail-Adressen vorhanden waren, die nicht den korrekten Kunden zugewiesen waren. In der Folge gingen einige E-Mails von Swisscom an fremde Konten. Nach Angaben von Swisscom wurde in der Zwischenzeit die falsch zugewiesenen E-Mail-Adressen identifiziert und umgehend sichergestellt, dass keine E-Mails von Swisscom mehr zugestellt werden. Soweit möglich, wurden die falsch zugestellten E-Mails bei den unberechtigten Empfängern gelöscht. Gemäss dem Unternehmen liegen zudem keine Hinweise auf Missbrauch der fehlgeleiteten E-Mails vor. Das Unternehmen ist zudem daran, die Prozesse anzupassen, damit derartige Vorfälle verhindert werden können.
Der EDÖB hat die Sofortmassnahmen auf Grundlage der Risikoanalyse der Swisscom zur Kenntnis genommen. Er wird den Sachverhalt weiter beobachten, kann aber aufgrund der sofort eingeleiteten Massnahmen der Swisscom vorerst von weiteren Handlungsempfehlungen absehen.
26. Tätigkeitsbericht 2018/2019:
Die Schweiz muss Datenschutzniveau halten
18.06.2019 - Der EDÖB erwartet, dass Bundesrat und Parlament der Schweizer Bevölkerung durch eine baldige Unterzeichnung der Europaratskonvention 108 und den zügigen Abschluss der Totalrevision des Datenschutzgesetzes weiterhin ein mit dem europäischen Umfeld abgestimmtes Schutzniveau gewährleisten.
Helsana+: Urteil wird rechtskräftig
15.05.2019 - Nach ungenutztem Ablauf der Rechtsfrist kann der Bundesverwaltungsgerichtsentscheid vom 19. März 2019 in Sachen Helsana+ in Kraft treten. Das Bundesverwaltungsgericht hat wichtige Rechtsfragen geklärt, deren Umsetzung der EDÖB bei der Helsana überprüfen wird.
Helsana+: Datenbeschaffung bei der Grundversicherung war rechtswidrig
29.03.2019 - Bundesverwaltungsgerichtsentscheid vom 19. März 2019: Die Helsana Zusatzversicherungen AG hat sich Personendaten für das Bonusprogramm Helsana+ rechtswidrig bei den Grundversicherern beschafft. Die übrigen Datenbearbeitungen sind laut Gerichtsurteil zulässig, weil kein Verstoss gegen eine persönlichkeitsschützende Bestimmung vorliegt.
Neues Schengen-Datenschutzgesetz in Kraft
01.03.2019 - Aufgrund der vom Parlament beschlossenen Aufspaltung der Revision des Datenschutzgesetzes in zwei Teile ist das Schengen-Datenschutzgesetz (SDSG) am 1. März 2019 in Kraft getreten. Damit wurden die für den Schengen-Acquis notwendigen Anpassungen an das europäische Recht vorgenommen. Es ist als Übergangsgesetz gedacht und enthält verschiedene Neuerungen. Unter anderem erhält der EDÖB im Rahmen der Anwendung des Schengen-Besitzstands in Strafsachen Untersuchungs- und Verfügungskompetenzen.
Datenschutztag 2019 - 3 Schwerpunkte für Bund und Kantone: Wahlen, Polizei, AHV-Nr.
28.01.2019 - Medienmitteilung von Bund und Kantonen zu den gemeinsamen Herausforderungen:
2. Digitaltag – Wirtschaft muss in datenschutzfreundliche
Technologien investieren
23.10.2018 - Unternehmen sollen in datenschutzfreundliche Technologien investieren und den Kundinnen und Kunden echte Wahlmöglichkeiten bieten. Dies wünscht sich der EDÖB zum 2. Schweizer Digitaltag. Er appelliert an die Wirtschaft, ihre Innovationskraft auch für die Selbstbestimmung ihrer Kunden einzusetzen.
Unternehmen investieren heute viel Kapital in die Digitalisierung. Der Eidg. Datenschutz- und Öffentlichkeitsbeauftragte, Adrian Lobsiger, wünscht sich anlässlich des 2. Schweizer Digitaltages eine Wirtschaft, die ihre Innovationskraft auch für die Selbstbestimmung ihrer Kundinnen und Kunden nutzt. Diese sollen selber entscheiden können, wofür sie ihre Daten weitergeben wollen und wann sie diese für sich behalten möchten. Sie soll deshalb in Technologien investieren, welche den Nutzern echte Wahlmöglichkeiten erlauben.
Vom demokratischen Rechtsstaat erwartet der EDÖB, dass er trotz Beschaffung grosser Datenmengen die Privatsphäre und Anonymität seiner Bürgerinnen und Bürger garantiert und nicht nach deren Identität forscht. Die Freiheit des Einzelnen ist im Zweifelsfalle höher zu gewichten, als mehr Sicherheit für alle.
Der Eidg. Datenschutz- und Öffentlichkeitsbeauftragte appelliert deshalb an Wirtschaft und Staat, diese Erwartungen nach datenschutzfreundlichen Technologien zu hören und danach zu handeln. Er fordert sie auf, das globale digitale Datenwachstum mit wirkungsvollen Investitionen in das schützende Gerüst des Datenschutzes zu verbinden.
US-Steuerstreit – Beschwerde gegen die Verfügung des Eidg. Finanzdepartements
10.10.2018 - Der Eidg. Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat am 5. Oktober 2018 beim Bundesverwaltungsgericht Beschwerde gegen die am 20. September 2018 ergangene Verfügung des Eidgenössischen Finanzdepartements (EFD) erhoben. Mit dieser Verfügung lehnte das EFD den Antrag des EDÖB ab, wonach die Eidg. Steuerverwaltung Drittpersonen, die von einer Datenlieferung ins Ausland betroffen sind, im Rahmen des Steueramtshilfegesetzes vorgängig der Übermittlung zu informieren hat. Der EDÖB hält in seiner Beschwerde an seinem Antrag betreffend Recht auf Information fest.
Weiterführende Informationen:
Update im US-Steuerstreit vom 9. August 2018 (s. unten)
Empfehlung vom 18. Dezember 2017
Auszug aus dem 25. Tätigkeitsbericht vom 25. Juni 2018 (PDF, 7 kB, 08.08.2018)
Update im US-Steuerstreit
09.08.2018 - Aufgrund des ausstehenden Entscheids des zuständigen Departements besteht derzeit Ungewissheit über die effektive Praxis der Datenherausgabe durch die Eidgenössische Steuerverwaltung (ESTV).
In seiner Sachverhaltsabklärung betreffend die Übermittlung von Personendaten durch die Eidgenössische Steuerverwaltung (ESTV) im Rahmen der US-Steueramtshilfe kam der EDÖB zum Schluss, dass in der internationalen Steueramtshilfe die vom Amtshilfeersuchen nicht formell betroffenen Personen, deren Namen offen, d.h. ungeschwärzt, übermittelt werden sollen, gemäss Art. 14 Abs. 2 des Steueramtshilfegesetzes vorgängig zu informieren sind. Dementsprechend forderten wir am 18. Dezember 2017 in einer formellen Empfehlung die Berücksichtigung des Rechts auf Information in der internationalen Steueramtshilfe.
Die ESTV hat unsere Empfehlung am 18. Januar 2018 abgelehnt, worauf wir die Angelegenheit am 13. Februar 2018 dem Eidgenössischen Finanzdepartement (EFD) zum Entscheid vorgelegt haben. Ein solcher liegt bis heute nicht vor. Sobald wir die Haltung des EFD kennen, können wir über eine allfällige Beschwerde beim Bundesverwaltungsgericht befinden. Der EDÖB forderte das zuständige Departement auf, im Interesse der Betroffenen nun rasch eine Verfügung zu erstellen.
Weiterführende Informationen:
Empfehlung vom 18. Dezember 2017
Auszug aus dem 25. Tätigkeitsbericht vom 25. Juni 2018 (PDF, 7 kB, 08.08.2018)
25. Tätigkeitsbericht 2017/2018: Selbstbestimmung vor Sicherheit
25.06.2018 - Die Begleitung digitaler Grossprojekte steht nach wie vor im Zentrum der Tätigkeit des EDÖB. Das E-ID-Gesetz als Grundlage zur Nutzung einer SwissID, der Risikobericht zur Verwendung der AHV-Nummer als universeller Personenidentifikator oder die Auflagen für das e-Ticketing bzw. öV-Apps unterstreichen diese Priorisierung. Als Aufsichtsbehörde musste der Beauftragte gegen die Bearbeitung von Grundversichertendaten der Krankenversicherung einschreiten und sich mit den Datenlecks mehrerer Grossfirmen auseinandersetzen.
Als Öffentlichkeitsbeauftragter konnte der EDÖB die Effizienz seiner Schlichtungsverfahren markant steigern und zur Kenntnis nehmen, dass der Nationalrat oppositionslos dafür einsteht, dass die Transparenz bei Beschaffungen sichergestellt bleibt – und das Öffentlichkeitsprinzip nicht zur Farce wird.
Bonusprogramm „Helsana +“: EDÖB reicht Klage ein
19.06.2018 - Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hatte der Helsana Zusatzversicherungen AG Ende April 2018 empfohlen, im Rahmen des Programms die Bearbeitung von Daten der Kunden, die bei der Helsana ausschliesslich grundversichersichert sind, zur Bemessung und Ausrichtung geldwerter Rückerstattungen zu unterlassen. Der Krankenversicherer lehnt diese Empfehlung ab. Der EDÖB hat nun Klage beim Bundesverwaltungsgericht eingereicht.
Nationalrat will Transparenz im Beschaffungswesen erhalten
18.06.2018 - Der Nationalrat hält ohne Gegenstimme am Öffentlichkeitsprinzip bei Beschaffungen durch die öffentliche Hand fest. Dies hat er in der letzten Woche der Sommersession im Rahmen der Detailberatung zur Totalrevision des Bundesgesetzes über das öffentliche Beschaffungswesen (BöB) beschlossen. Damit lehnt er die vom Bundesrat vorgeschlagene Einschränkung des Öffentlichkeitsprinzips ab.
Bahninfrastruktur: Parlament beschliesst Ausnahme vom Öffentlichkeitsgesetz
30.05.2018 - Nach dem Nationalrat will nun auch der Ständerat die Aufsichtstätigkeiten des Bundesamts für Verkehr (BAV) im Sicherheitsbereich vom Öffentlichkeitsgesetz ausnehmen. Die kleine Kammer folgt damit ebenfalls dem Vorschlag des Bundesrats. Der EDÖB nimmt diesen Entscheid zur Kenntnis
Decathlon Schweiz – EDÖB eröffnet Sachverhaltsabklärung
07.05.2018 - Der EDÖB ist darauf aufmerksam geworden, dass Decathlon Schweiz den Verkauf von Waren in seinen Geschäftslokalen davon abhängig macht, dass die Kaufinteressenten der Unternehmung Kontaktdaten angeben. Im Anschluss an einen ersten Schriftenwechsel mit Decathlon Schweiz ist er zum Schluss gekommen, dass die Datenbearbeitungen durch Decathlon näher analysiert werden müssen. Aus diesem Grund hat der EDÖB am 3. Mai 2018 eine Sachverhaltsabklärung nach Art. 29 DSG eröffnet
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) erlässt Empfehlung zum Bonusprogramm „Helsana +“
27.04.2018 - Mit der „Helsana+“-App werden die Daten von Kundinnen und Kunden der Helsana-Gruppe, die dort ausschliesslich eine Grundversicherung haben, zum Zwecke der teilweisen Rückerstattung ihrer Prämien bearbeitet. Mangels Rechtsgrundlage empfiehlt der EDÖB, diese Bearbeitung zu unterlassen.
Fall Facebook/Cambridge Analytica: Verfahren in EU und USA laufen
12.04.2018 - Im Zusammenhang mit der von einem englischen Wissenschaftler eingesetzten App „This is your digital life“ ist es im Jahr 2015 zu unberechtigten Zugriffen auf Personendaten von ahnungslosen Kunden der sozialen Plattform Facebook gekommen. Die Daten wurden von der Firma Cambridge Analytica im Vorfeld von Wahlen zum Zwecke des sogennanten Mikro-Targetings bearbeitet, um potenzielle Wähler mit individuellen Nachrichten gezielt anzusprechen.
Auswertungsbericht zum Pilotversuch im Schlichtungsverfahren (2017)
10.04.2018 - Zur Beschleunigung des Schlichtungsverfahrens und zum Abbau der Pendenzen führte der EDÖB im Jahr 2017 einen Pilotversuch durch. Der Auswertungsbericht zeigt, dass diese Ziele mit den ergriffenen Massnahmen erreicht wurden und der Pilotversuch erfolgreich war. Er wird nun in den ordentlichen Betrieb überführt.
Auswahl von Schiedsrichtern für das Datenschutz-Schiedsforum gemäss dem Swiss-U.S. Privacy Shield – Erster Aufruf zur Interessenbekundung
Frist: 30. April 2018
Öffentlichkeitsgesetz: Weiterhin Transparenz im Beschaffungswesen
28.03.2018 - Die Kommission für Wirtschaft und Abgaben (WAK-N) hat am 27. März 2018 die Detailberatung zur Totalrevision des Bundesgesetzes über das öffentliche Beschaffungswesen (BöB) abgeschlossen. Sie lehnt die vom Bundesrat geplante Aufhebung der bestehenden Zugänglichkeit zu den Beschaffungsunterlagen nach Öffentlichkeitsgesetz ab. Damit stärkt sie das erklärte Transparenzziel der Revisionsvorlage.
Weitere Entwicklung im Fall Swisscom
12.02.2018 - Nachdem dem EDÖB am 9. Februar 2018 ein Ereignis eines angeblich unberechtigten Zugriffs auf Daten eines Kunden der Swisscom gemeldet worden war, hat er die Swisscom gleichentags in Anwendung von Art. 29 Abs. 2 DSG aufgefordert, zu diesem konkreten Ereignis Stellung zu nehmen.
Erste Abklärungen der Swisscom haben einen Kausalzusammenhang mit dem am 7. Februar 2018 gemeldeten Datendiebstahl nicht erhärtet. Der EDÖB holt bei der Swisscom weitere Informationen im Zusammenhang mit dem Risiko allfälliger Folgeschäden ein.
Unberechtigter Zugriff auf Kontaktdaten bei Swisscom
Bern, 07.02.2018 - Swisscom hat den EDÖB darüber in Kenntnis gesetzt, dass im Herbst 2017 unberechtigte Zugriffe auf die Kontaktdaten von rund 800‘000 Kundinnen und Kunden erfolgt sind. Betroffen sind nach seiner Kenntnislage vorwiegend private Inhaber von Mobil-Nummern und einige Festnetzkunden bzw. deren Name, Vorname, Adresse, Geburtsdatum und Telefonnummer.
Weiter...
Bahninfrastruktur: Kommission des Nationalrats will Ausnahme vom Öffentlichkeitsgesetz
18.01.2018 - Die Kommission für Verkehr und Fernmeldewesen des Nationalrates (KVF-N) hat am 16. Januar 2018 die Detailberatung zur Organisation der Bahninfrastruktur aufgenommen. Dabei sprach sie sich dafür aus, die Aufsichtstätigkeiten des Bundesamts für Verkehr (BAV) im Sicherheitsbereich vom Öffentlichkeitsgesetz auszunehmen; sie folgte damit dem Bundesrat. Der EDÖB nimmt diesen Entscheid zur Kenntnis.
Etappierung der DSG-Revision: Grundrechtsschutz muss gewahrt bleiben
12.01.2018 – Die Staatspolitische Kommission des Nationalrats (SPK-N) ist gestern auf die Totalrevision des Datenschutzgesetzes (DSG) eingetreten. Zugleich hat sie beschlossen, die Revision zu etappieren. Der EDÖB fordert, dass die Etappierung nebst der beschleunigten Verabschiedung der Schengen-relevanten Aspekte auch zu einer zügigen Umsetzung der gesamten Revision führt.
Datenleck bei Inkasso-Unternehmen – EDÖB eröffnet Sachverhaltsabklärung
05.01.2018 – Gemäss einem Bericht der Süddeutschen Zeitung vom 27. Dezember 2017 wurde das Inkasso-Unternehmen EOS im vergangenen Jahr Opfer eines Datenlecks, in dessen Zusammenhang mehrere Gigabyte an persönlichen Daten übermittelt wurden. Zu den Betroffenen würden insbesondere Patienten von Schweizer Ärzten zählen. Das Unternehmen informierte den EDÖB kurz vor Erscheinen des Artikels über das mutmassliche Datenleck. Um die datenschutzrechtlichen Aspekte des Vorfalls abzuklären, hat der EDÖB am 28. Dezember eine Sachverhaltsabklärung gegenüber EOS Schweiz eröffnet.
Zugleich erinnert er Ärztinnen und Ärzte daran, dass sie nur diejenigen Daten ihrer Patienten an Dritte weitergeben dürfen, die für die Rechnungsstellung bzw. das Inkasso tatsächlich erforderlich sind. Geben sie deren Gesundheitsdaten ungerechtfertigt an Dritte weiter, machen sie sich strafbar.
Die Datenschutz-Grundverordnung der EU und ihre Auswirkungen auf die Schweiz
14.12.2017 - Die neue Datenschutz-Grundverordnung (DSGVO) der Europäischen Union (EU) wird am 25. Mai 2018 in Kraft treten. Ab diesem Zeitpunkt ist die DSGVO für alle Akteure, die auf dem Gebiet der EU tätig sind, unmittelbar anwendbar. Mit den neuen Bestimmungen erhalten Bürgerinnen und Bürger mehr Kontrolle über ihre Personendaten; zudem nimmt die DSGVO die Unternehmen vermehrt in die Verantwortung, während gleichzeitig ihre Meldepflichten abgebaut werden. Des Weiteren wird die Rolle der Datenschutzbehörden gestärkt. Zahlreiche Schweizer Unternehmen werden von der Datenschutz-Grundverordnung direkt betroffen sein.
Datenschutz bei politischen Kampagnentools
19.10.2017 - In Wahl- und Abstimmungskämpfen setzen die politischen Akteure vermehrt digitale Instrumente ein, um ihre Botschaften gezielter an die Bürgerinnen und Bürger zu bringen. Parteien und Verbände müssen dabei die Privatsphäre der betroffenen Personen wahren und ihr Recht auf informationelle Selbstbestimmung respektieren. Das vorliegende Merkblatt des EDÖB erläutert die datenschutzrechtlichen Vorgaben, die es beim Einsatz von Kampagnentools zu beachten gilt.
EDÖB prüft Bonusprogramm «Helsana+»
12.10.2017 - Der EDÖB hat vom neuen Bonusprogramm «Helsana+» Kenntnis genommen, das Versicherte dazu motivieren will, gesünder zu leben. Das Bonusprogramm wurde von der Helsana am 25. September 2017 lanciert. Um die diesbezüglichen Datenbearbeitungen auf ihre Korrektheit zu überprüfen, hat der EDÖB am 11. Oktober eine Sachverhaltsabklärung eröffnet. Beim betroffenen Produkt stellt sich insbesondere die Frage, ob auch Daten aus der Grundversicherung bearbeitet werden.
Risikofolgenabschätzung zur Verwendung der AHV-Nummer als Personenidentifikator
03.10.2017 - Zur Klärung von identifikatorspezifischen Risiken haben das Bundesamt für Justiz (BJ) und der EDÖB gemeinsam eine externe Risikofolgenabschätzung (RFA) in Auftrag gegeben. Sie sollte insbesondere zeigen, ob und gegebenenfalls welche Risiken bei der Verwendung der AHV-Nummer oder alternativer Identifikatoren entstehen können. Die Ergebnisse der Studie, die von David Basin, Professor für Informationssicherheit an der ETH Zürich, durchgeführt wurde, liegen nun vor.
Der Auftrag zur Erstellung der Studie erfolgte vor dem Hintergrund, dass das Parlament in der Vergangenheit wiederholt über die Verwendung der AHV-Nummer als Personenidentifikator ausserhalb des Bereichs der Sozialversicherungen zu befinden hatte. Zuletzt war dies im Rahmen der Grundbuchvorlage der Fall (14.034 ZGB. Beurkundung des Personenstands und Grundbuch). Die Rechtskommission des Nationalrats wird diese Ende Oktober 2017 erneut beraten. Bereits vorgängig hat der Bundesrat am 1. Februar 2017 den Auftrag zu einer Gesetzesvorlage erteilt, welche die Verwendung der AHV-Nummer durch Behörden des Bundes, der Kantone und der Gemeinden über den Sozialversicherungsbereich hinaus erleichtern soll.
Risikofolgenabschätzung zur Verwendung der AHV-Nummer, 27.09.17 (englisch) (PDF, 1 MB, 06.12.2017)
Risikofolgenabschätzung zur Verwendung der AHV-Nummer, Kapitel 5 (deutsch) (PDF, 536 kB, 06.12.2017)
Botschaft über die Totalrevision des Datenschutzgesetzes: Beurteilung des EDÖB
15.09.2017- Die rasante Entwicklung der Informations- und Telekommunikationstechnologie und die damit verbundene Digitalisierung der Gesellschaft haben eine Weiterentwicklung der Datenschutzgesetzgebungen des Europarates und der Europäischen Union und nun auch die Totalrevision des im Jahr 1993 in Kraft getretenen Datenschutzgesetzes des Bundes erforderlich gemacht. Der vom Bundesrat vorgelegte Gesetzesentwurf hat zum Ziel, den Datenschutz zu stärken, indem die Transparenz der Datenbearbeitung und die Kontrollmöglichkeiten der betroffenen Personen über ihre Daten verbessert werden. Weiter soll mit der Anpassung die Gleichwertigkeit des Datenschutzniveaus zwischen der Schweiz und der EU sichergestellt bleiben. Ein mit den europäischen Staaten vergleichbares Datenschutzniveau ist insbesondere für die Schweizer Wirtschaft von zentraler Bedeutung, zumal die am 25. Mai 2018 in Kraft tretende neue EU-Datenschutzgrundverordnung (EU-DSGV) für viele Schweizer Unternehmen direkte Auswirkungen zeitigen wird.
Outsourcing im medizinischen Bereich: Anbieter wollen vermehrt informieren
01.09.2017 - Mitte August 2017 hat der EDÖB zwei Unternehmen, welche die Rechnungsstellung für Ärzte übernehmen, angeschrieben und zu mehr Transparenz aufgefordert. Für die betroffenen Patientinnen und Patienten war teilweise unklar, wie ihre Daten bearbeitet werden und ob sie an Dritte weitergegeben werden. Sowohl die Ärztekasse als auch Swisscom Health erklären sich nun bereit, die betroffenen Personen künftig besser zu informieren, indem sie Reglemente und Vertragsbestandteile der einzelnen Dienstleistungen auf ihrer Website publizieren. Die beiden Unternehmen werden dem EDÖB demnächst ihre Vorschläge zur Umsetzung dieses Ziels unterbreiten.
Leitfaden zum Swiss-US Privacy Shield
24.08.2017 - Der EDÖB hat eine praktische Broschüre zum Swiss-US Privacy Shield erstellt. Sie informiert einfach und verständlich über die Pflichten der zertifizierten Unternehmen, die Rechte betroffener Personen und wie diese im Beschwerdefall vorgehen können.
EDÖB fordert mehr Transparenz beim Outsourcing im medizinischen Bereich
17.08.2017 - Im Gesundheitswesen ist es üblich, dass Ärzte und Ärztinnen die Rechnungsstellung an spezialisierte Anbieter wie die Ärztekasse oder Swisscom Health auslagern. Damit die Privatsphäre des Patienten dabei geschützt bleibt, ist es wichtig, dass die Anbieter die Daten nur zu den angegebenen Zwecken bearbeiten. Auch müssen sie klar informieren, was mit den Daten der Patienten geschieht, nachdem sie vom Arzt bzw. der Ärztin übermittelt wurden.
Wie der EDÖB feststellte, besteht in dieser Hinsicht Verbesserungsbedarf. Um die Transparenz für die Patienten zu erhöhen, forderte er deshalb diese Woche die betroffenen Anbieter schriftlich dazu auf, die mustervertraglichen Bestimmungen, welche sich auf die Bearbeitung der Patientendaten beziehen, zusammen mit den aktuellen Allgemeinen Geschäftsbedingungen und Bearbeitungsreglementen zu publizieren. Diese waren bisher nicht oder nur teilweise öffentlich zugänglich. Er behält sich vor, die fraglichen Datenschutzbestimmungen in einem nächsten Schritt näher zu prüfen.
Auslagerung der Rechnungsstellung im medizinischen Bereich (24. Tätigkeitsbericht)
Tätigkeitsbericht 2016/2017
26.06.2017 - Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte stellt seinen Tätigkeitsbericht für den Zeitraum vom 1. April 2016 bis 31. März 2017 vor.
Tätigkeitsbericht 2016/2017 (PDF, 1 MB, 26.06.2017)
Medienmitteilung Jahrespressekonferenz EDÖB 2017 (PDF, 39 kB, 26.06.2017)
Resümee Tätigkeitsbericht 2016/2017 (PDF, 31 kB, 26.06.2017)
Wirtschaftsauskunfteien: Bundesverwaltungsgericht schützt die Privatsphäre betroffener Personen
11.05.2017 - Im Klageverfahren gegen die Wirtschaftsauskunftei Moneyhouse hat das Bundesverwaltungsgericht einen im aktuellen Umfeld der Digitalisierung wegweisenden Entscheid gefällt, indem es der profilbildenden Verknüpfung von Informationen und deren Publikation klare Grenzen setzt.
Letzte Änderung 25.05.2020