Aktuelle Herausforderungen und Schwerpunkte

Am 21. Dezember 2016 schickte der Bundesrat den Vorentwurf zu einer Totalrevision des Bundesgesetzes über den Datenschutz (E-DSG) in die Vernehmlassung. Zur Begründung führte er an, dass er „den Datenschutz stärken und an die veränderten technologischen und gesellschaftlichen Verhältnisse anpassen“ wolle. Diese Entwicklungen werden nachfolgend kurz skizziert.

1. Veränderte technologische und gesellschaftliche Verhältnisse

Technologie und Wirtschaft

Seit dem Marktauftritt des ersten iPhones im Jahre 2007 akzentuiert sich die Dynamik der Informations- und Telekommunikationstechnologie (IKT). Nach den Smartphones werden immer mehr Alltagsgeräte mit leistungsfähigen Prozessoren, Sensoren und Netzwerkmodulen ausgestattet. Über das Internet tauschen diese Geräte teilweise sogar ohne Interaktionen der Benutzer grosse Datenmengen über die User und deren Umgebung aus. Die Bearbeitung erfolgt in weltweit verteilten Rechenzentren unter Einsatz von Prozeduren (Algorithmen) zu unterschiedlichsten Zwecken. Die Technologie ist soweit fortgeschritten, dass gewissen Systemen „künstliche Intelligenz“ zugeschrieben wird, weil sie in der Lage sind, autonom von unmittelbaren Steuerimpulsen von Menschen in Echtzeit zu agieren.

Die technologischen Errungenschaften der IKT wären heute nicht allgegenwärtig ohne die globalisierte Wirtschaft, die aus der IKT-gestützten Erhebung, Analyse und Weitergabe von grossen Datenmengen (Big Data) ein Geschäftsmodell entwickelt hat und die Haushalte und Unternehmen mit immer leistungsfähigeren und preisgünstigeren IKT-Geräten versorgt.

Gesellschaft, Politik und Recht

Die Versorgung der Freizeit- und Arbeitswelten mit immer kompakterer IKT und ein durch das Smartphone geprägter Online-Lebensstil führten zum gesellschaftlichen Phänomen der Digitalisierung. Nebst den erwünschten Auswirkungen und Chancen führt der gesellschaftliche Umgang mit IKT zu Risiken, die von unerwünschten Eingriffen in die informationelle Selbstbestimmung und Privatsphäre der Individuen bis hin zu Kontrollverlusten über grosse Datenbestände reichen.

Die Digitalisierung wurde durch die weltweite Liberalisierung der Telekommunikationsmärkte und den Preiszerfall von elektronischen Komponenten beschleunigt, was zu einer Vielzahl von global tätigen IKT-Anbietern geführt hat. Mittlerweile gehören diese zu den kapitalkräftigsten Unternehmen weltweit und besitzen die wertvollsten Marken. Mit Ihren „Gratis-Angeboten“ erreichen sie Leute rund um den Globus und generieren damit enorme Datenbestände, die sie gewinnbringend verwerten, sodass das Geschäftsmodell von „Big Data“ immer mehr Nachahmer findet und sich allmählich in allen Branchen der Wirtschaft durchsetzt. Über die Verwertung riesiger und immer schneller wachsender Datenbestände generieren die Bearbeitungsverantwortlichen Erkenntnisse, die inzwischen Rückschlüsse auf Verhaltensweisen und Präferenzen von Milliarden von Menschen zulassen, die täglich deren Online-Dienste in Anspruch nehmen. Als Antwort auf diese Entwicklung haben der Europarat mit der Konvention 108 und die EU mit ihrer Datenschutz Grundverordnung (DSGVO) Schritte zu einem einheitlichen Datenschutzrecht eingeleitet, das über seine Instrumente zur Wahrung eines äquivalenten Schutzniveaus auch auf Drittstaaten wie die Schweiz oder die USA ausstrahlt. Im Kern zielen diese Regelwerke darauf ab,

  • die Anbieter von datenhungrigen Online-Angeboten zu verpflichten, Art, Inhalt und Umfang der beschafften Daten offenzulegen. Die Kunden sollen wissen, welche Bearbeitungen über den betriebssicheren Gebrauch einer Kernapplikation hinausgehen und diese demzufolge, falls nicht gewünscht, wegbedingen oder stoppen können;

  • die Datenschutz-Kompetenzen der Verantwortlichen zu stärken und diese dazu zu verpflichten, nach Massgabe der Grundsätze von „privacy by design“ (Einbezug des Datenschutzes in der Projektphase) und „privacy by default“ (datenschutzfreundliche Voreinstellungen) frühzeitig das Risiko von Persönlichkeitsverletzungen zu verringern;

  • das Zusammenwirken des internen Datenschutzes von Unternehmen und Behörden mit den Datenschutzbehörden zu fördern;

  • die Befugnisse der Datenschutzbehörden auszubauen und deren Arbeitsmethoden an das verstärkte Zusammenwirken mit den Anwendungsverantwortlichen anzupassen.


Wie nachfolgend zu zeigen sein wird, führt das beschriebene technologische und gesellschaftliche Umfeld zu einer Reihe von behördenspezifischen Herausforderungen, mit denen die Datenschutzstelle des Bundes konfrontiert ist: 

2. Ausdehnung und Beschleunigung der Kontrolltätigkeit des EDÖB

Das Konzept von Big Data führt dazu, dass heute nicht nur die vom EDÖB zu beaufsichtigende Wirtschaft, sondern auch die Bundesverwaltung und Bundesbetriebe eine Vielzahl von Applikationen betreiben oder entwickeln, die auf grossen Datenbeständen beruhen, welche die Bürgerinnen und Bürger in ihren alltäglichen Rollen als Kunden, Patienten, oder Reisende speisen. Obwohl die Verantwortlichen die beschafften Datenbestände meist nicht oder nur teilweise personenbezogen auswerten, besteht aufgrund der Leistungsfähigkeit moderner Suchmaschinen das Risiko einer Re-Identifizierung einzelner Personen. Der EDÖB muss seine Aufsichtstätigkeit deshalb auf eine Vielzahl von Projekten der Bundesbehörden und der Wirtschaft ausdehnen, mit denen diese wissenschaftliche, statistische sowie technische oder administrative Zwecke ohne Personenbezug verfolgen. Er muss sich vergewissern, dass die erhobenen Informationen in einer Art und Weise anonymisiert werden, die eine Re-Identifizierung nach dem aktuellen Stand der Technik mit hinreichender Wahrscheinlichkeit ausschliesst. Weil anonymisierte Daten auch mit den über das Internet zugänglichen Informationen abgeglichen werden können, erweist sich diese Arbeit für den EDÖB als anspruchsvoll und zeitintensiv. Er muss die entsprechenden Projekte interdisziplinär, d.h. juristisch und technisch begleiten. 
Applikationen zur Bearbeitung von Personendaten werden heute in der Regel nicht mehr zur lokalen Installation ausgeliefert, sondern über das Internet zugänglich gemacht und laufend weiterentwickelt und so z.B. online gegen Malware geschützt oder mit neuen Funktionen ausgestattet. Das bedeutet, dass die Kontrollen der sich laufend verändernden Applikationen anspruchsvoller geworden sind und auch rascher abgeschlossen werden müssen als früher.

3. Veränderte Erwartungen an den EDÖB

Der digitale Lebensstil ist von einer Sorglosigkeit im Umgang mit IKT geprägt, die abrupt in öffentliche Entrüstung umzuschlagen pflegt, sobald Medien oder Konsumentenschutzorganisationen eine Massenapplikation wegen angeblich unerlaubter Eingriffe in die Privatsphäre kritisieren. Die Öffentlichkeit erwartet, dass der EDÖB zumindest bezüglich der aktuell gängigsten Applikationen, die oft gratis im Netz verfügbar sind, proaktiv über Risiken informiere. Gleichzeitig soll er Möglichkeiten zur Wahrung der Privatsphäre aufzeigen und im Rahmen von aufsichtsrechtlichen Verfahren die Datenschutzkonformität solcher Massenapplikationen durchsetzen.
Angesichts der grossen Zahl von Userinnen und Usern sind diese Erwartungen der Schweizer Öffentlichkeit berechtigt. Der EDÖB hat deshalb die Online-Kultur und Konsumenten-Apps in seine Informations- und Aufsichtstätigkeit einbezogen. Die Glaubwürdigkeit des EDÖB als Fachbehörde setzt dabei Abklärungen technologischer Wirkungsweisen voraus, welche in ihrer Tiefe über die von den Medien geschilderte Faktenlage hinausreichen. Mit dem Betrieb einer Hotline, der Stärkung seiner personellen IT-Kompetenz sowie dem Aufbau eines rudimentären IT-Labors, mit dem gängige Smartphone-Applikationen und andere Online-Angebote in Bezug auf ihre Datenschutzfreundlichkeit getestet werden, trägt der EDÖB den dringendsten Bedürfnissen Rechnung.
Auf Wunsch privater Unternehmen und staatsnaher Bundesbetriebe ist der EDÖB vermehrt dazu übergegangen, umfassende Projekte, welche die Bearbeitung grosser Mengen an Daten aus menschlichen Quellen zum Gegenstand haben, beratend zu begleiten. Dieses Bedürfnis nach möglichst frühzeitiger Projektberatung leitet sich aus der gewandelten Arbeitsweise der Rechts- und Datenschutzstellen dieser Betriebe ab, die Projekte von Beginn an auf ihre Datenschutzkonformität hin überprüfen, wie dies das vom E-DSG statuierte Prinzip von „privacy by design“ vorschreibt.
Da Kontrollen des EDÖB bei bereits realisierten Applikationen zu kostspieligen und reputationsschädigenden nachträglichen Korrekturen führen können, findet „privacy by design“ bei vielen Betrieben Anklang; insbesondere wenn diese Methode mit einer phasenweisen Beurteilung wichtiger Projektschritte durch die Datenschutzbehörde gekoppelt werden kann. Für den EDÖB ist eine beratende und beaufsichtigende Aufgaben kombinierende Arbeitsweise mit dem Vorteil einer frühzeitigen Minderung datenschutzrelevanter Risiken verbunden. So kann er auch auf kurzlebige online gewartete Applikationen Einfluss nehmen, die sich über langwierige Verfügungs- oder gar Sanktionsverfahren nur beschränkt beeinflussen liessen.
Als aktuelle Beispiele lassen sich Grossprojekte wie MOBILITY PRICING der öffentlichen Verkehrsbetriebe und des UVEK, SESAM von Post und SBB, TWINT von Post und Banken oder ADMEIRA von Swisscom, SRG und Ringier anführen.

4. Nationale und internationale Kooperation des EDÖB

Weil die Datenschutzbehörden von Bund und Kantonen in weiten Teilen mit den gleichen Entwicklungen und Technologien zur Bearbeitung von Personendaten konfrontiert sind, strebt der EDÖB vor dem Hintergrund der Digitalisierung eine Intensivierung seiner Kontaktpflege mit den kantonalen Datenschutzbehörden an. Deren Zusammenarbeit wird durch den Verein PRIVATIM interkantonal koordiniert.
Ein anschauliches Beispiel für die Notwendigkeit einer engen Zusammenarbeit ist die vom Bundesrat geplante Einführung der nicht sprechenden AHV-Nummer 13 als einheitlicher Identifikator für die Verwaltungen von Bund, Kantonen, Städten und übrigen Gemeinden. Es liegt auf der Hand, dass dieses Vorhaben mit Blick auf die technologischen Risiken von unerwünschten Re-Identifikationen von den Datenschutzstellen von Bund und Kantonen gemeinsam beurteilt werden muss.
Im internationalen Bereich zeichnen sich folgende neuen Aufgaben ab:

Privacy Shield

Durch das Internet und die Dominanz der kalifornischen IT-Industrie, die gigantische Rechenzentren oder Clouds betreibt, in denen biometrische und andere Personendaten von Millionen von Schweizer Nutzern bearbeitet werden, ist die Beurteilung der Exporte von Personendaten ins Ausland zu einem wichtigen Teil der Aufsichtstätigkeit des EDÖB geworden. Damit sich die neue Regelung „Privacy Shield“, die im Januar 2017 zwischen der Schweiz und den USA abgeschlossen worden ist, im Gegensatz zu dem vom EuGH kassierten „Safe Harbor“-Abkommen etablieren und an die aktuellen Bedürfnisse anpassen kann, wurden mit den USA jährliche Evaluationen vereinbart. Diese werden vom SECO angeführt und durch den EDÖB begleitet und mit einer eigenständigen Berichterstattung abgeschlossen.

Vergemeinschaftung des Datenschutzes in der EU

Am 1. Mai 2018 wird die EU ihre Datenschutz Grundverordnung (DSGVO) in Kraft setzen, welche auch für Applikationsverantwortliche in der Schweiz Anwendung beansprucht, soweit sie Daten von Bürgern in der EU bearbeiten. Mit diesem Regelwerk werden die Datenschutzgesetze der einzelnen EU-Mitgliedstaaten aufgehoben. Die nationalen Datenschutzbehörden werden ihre Aufsichtstätigkeiten inskünftig intensiver aufeinander abstimmen.
Angesichts der unionsweiten Bündelung des Datenschutzes und der extraterritorialen Geltung der DSGVO ist davon auszugehen, dass die EU Einfluss darauf nehmen wird, wie Drittstaaten die in der DSGVO verankerten Prinzipien umsetzen. Ganz besonders dürfte dies gegenüber der Schweiz der Fall sein, die als assoziiertes Mitglied von Schengen-Dublin grosse Mengen sensibler Behördendaten mit der EU austauscht.
Vor diesem Hintergrund wird deutlich, dass der EDÖB als primäre Ansprechstelle für die ihrerseits unabhängigen Datenschutzorgane der EU und ihrer Mitgliedstaaten präsent und wahrnehmbar sein muss. Das bedingt, dass er auch an den diversen internationalen Veranstaltungen angemessen vertreten und in der Lage sein muss, den damit verbundenen Aufwand zu leisten. Dies auch mit Blick auf die EU-Richtlinie 2016/680, welche verlangt, dass der EDÖB in die Arbeiten des EU-Datenschutzkomitees eingebunden wird.

5. Massnahmen des EDÖB zur Effizienzsteigerung

Zur Bewältigung der behördenspezifischen Herausforderungen und der damit einhergehenden Erwartungshaltungen der Wirtschaft und Behörden wie auch der Öffentlichkeit hat der EDÖB in der Berichtsperiode 2016/2017 eine Reihe von Massnahmen zum effizienten Einsatz seiner Mittel realisiert.
Aufgrund der dargelegten Herausforderungen hat der EDÖB folgende strategischen Schwerpunkte gesetzt:

  • Stärkung der eigenen Kompetenzen bezüglich Technologien sowie Geschäfts- und Kommunikationsmodelle der digitalen Gesellschaft;

  • Beratende Begleitung relevanter Projekte von Behörden und Wirtschaft; 

  • Wahrnehmbare Präsenz für die betroffenen Bürgerinnen und Bürger in der Schweiz.


Ausgehend von dieser Strategie wurde für das Jahr 2017 ein Plan erarbeitet, der die beratende Begleitung von 10 grösseren Projekten sowie 8 umfassendere Kontrollen vorsieht.

Reorganisation der Behörde

Die strategische und operative Fokussierung auf die Digitalisierung wird durch eine finanzneutrale Reorganisation der Behörde unterstützt, die am 1. April 2017 in Kraft getreten ist. Sie zielt darauf ab, die technischen Kompetenzen der Behörde zu stärken und deren Leitung von alltäglichen Querschnittsaufgaben zu entlasten:
Alle traditionellen Stabs- und Querschnittsaufgaben wie Geschäftskontrolle, Kommunikation, Finanzen wurden in die neu gebildete Einheit Kompetenzzentren überführt. Dort werden u.a.:
alle technischen Kompetenzen für die Unterstützung der datenschutzrechtlichen Verfahren und die eigene Weiterbildung gebündelt;
aktuelle Entwicklungen der Digitalisierung analysiert.
Die beiden bisherigen Einheiten zum Vollzug des DSG wurden unter Bildung dreier Teams zusammengefasst.
Eine erneuerte Laborumgebung ermöglicht das Austesten von Consumer-Apps, IKT-Produkten oder sozialen Netzwerken. Bei besonderen technischen Fragestellungen kann der EDÖB das BAKOM und den ISB (MELANI) amtshilfeweise um fachliche Unterstützung angehen.

Konzeptionelle Erneuerung des Informationsangebots

Der EDÖB beantwortete 2016 rund 3500 mündliche und schriftliche Anfragen von Bürgerinnen und Bürgern, Firmen und Organisationen. Zudem veröffentlichte er auf seiner Webseite ein breites Angebot von Informationen über technologische Entwicklungen mit praktischen Ratschlägen sowie sämtliche formellen Empfehlungen, die er im Zuge seiner Aufsichtstätigkeit erlässt. Dieses Angebot wurde zusammen mit dem Geschäftsbericht einer konzeptionellen Überarbeitung unterzogen. Damit will der EDÖB dem gesteigerten öffentlichen Bedürfnis nach proaktiver Information über gängige technische Applikationen bestmöglich Rechnung tragen.

Angepasstes Verfahren im Bereich des Öffentlichkeitsgesetzes (BGÖ)

In der Einheit BGÖ sind in den letzten Jahren erhebliche Arbeitsrückstände bei der Behandlung von Schlichtungsanträgen entstanden. Um zu vermeiden, dass zu deren Abbau wie in den Vorjahren Personal aus dem Datenschutz-Bereich abgezogen werden muss, ist der EDÖB ab dem 1. Januar 2017 zu einem beschleunigten und summarischen Verfahren übergegangen, das sich dadurch charakterisiert, dass in der Regel mündliche Schlichtungsverhandlungen durchgeführt werden.

https://www.edoeb.admin.ch/content/edoeb/de/home/dokumentation/taetigkeitsberichte/24--taetigkeitsbericht-2016-2017/aktuelle-herausforderungen-und-schwerpunkte.html