26. Tätigkeitsbericht 2018/19 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter

Tätigkeitsbericht 2018/2019 des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte hat der Bundesversammlung periodisch einen Bericht über seine Tätigkeit vorzulegen (Art. 30 DSG). Der vorliegende Bericht deckt den Zeitraum zwischen 1. April 2018 und 31. März 2019 ab.

Vorwort Die Schweiz belegt in den Rankings zur digitalen Wettbewerbsfähigkeit des World Economic Forum und des World Competitiveness Center vorderste Ränge. Damit unser Land seine Position behaupten kann, formuliert der Bun- desrat Strategien und Aktionspläne, welche die Digitalisierung von Wirtschaft und Staat voranbringen sollen. Aber auch der Datenschutz bietet Chancen für den Innovationsstandort Schweiz. Mit technischen Neuheiten, welche den Schutz der Privatsphäre und die digitale Selbstbestimmung der Menschen sicherstellen, lassen sich eben- falls Punkte sammeln. Im Wettlauf der Innovation sollten wir indessen nicht vergessen, die beste- henden Standortvorteile zu bewahren: Dank einer weitsichtigen Leistung des Gesetzgebers erhielt die Eidgenossenschaft 1992 – vor bald dreissig Jahren – ein international anerkanntes Datenschutzgesetz, das es der Schweizer Wirtschaft bis heute ermöglicht, mit den Unternehmen wichtiger Handels- nationen ohne weitere gesetzliche Auflagen und Restriktionen Daten auszutauschen. Daten sind ein begehrtes Gut, und die Digitalisierung wirkt sich tiefgreifend auf die Privatsphäre der weltweit rund vier Milliarden Internetnutzer aus. Angesichts dieser Realität haben die Staaten des Europäischen Wirtschafts- raums den Datenschutz für ihre Bevölkerung erhöht und im Mai 2018 verein- heitlichte, zeitgemässe Regeln in Kraft gesetzt. Diese erlauben es ihren Unter- nehmen weiterhin, ungehindert den grenzüberschreitenden Datenaustausch zu pflegen, an dem inzwischen auch japanische und – im begrenzten Rahmen des Privacy Shield Übereinkommens – zertifizierte US-amerikanische Firmen teilnehmen. Dass als ambitiöser Bildungs-, Technologie- und Wirtschaftsstandort auch die Schweiz weiterhin beim ungehinderten Datenaustausch dabei ist, wird allgemein erwartet. Im September 2017 hat der Bundesrat mit seiner Botschaft zur Totalrevision des Bundesgesetzes über den Datenschutz denn auch den parlamentarischen Gesetzgebungsprozess eingeleitet. Seither liegt der Ball bei den eidgenössischen Räten. Sie haben es in der Hand, das Schutzniveau der Daten unserer Bevölkerung nun jenem im umliegenden Europa anzupassen. Wenn diese Arbeit getan und unsere Bürgerinnen und Bürger angemessen geschützt sind, wird auch der Zugang der Wirtschaft zum freien Austausch von Daten gesichert und die Reputation der Schweiz als wettbewerbsfähige digitale Nation gewahrt sein. Adrian Lobsiger Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter 26. Tätigkeitsbericht 2018/19

Inhaltsverzeichnis Öffentlichkeitsprinzip Der EDÖB 2.1 Allgemein ............................................... 60 3.1 Aufgaben und Ressourcen ......................... 70 2.2 Zugangsgesuche – stetige Zunahme ........... 61 2.3 Schlichtungsverfahren – hoher Anteil einvernehmlicher Lösungen ..................... 64 – Dauer der Schlichtungs verfahren – Anteil einvernehmlicher Lösungen – Anzahl hängiger Fälle 2.4 Ämterkonsultation und weitere Stellungnahmen ....................................... 66 – Totalrevision des Bundesgesetzes über das öffentliche Beschaffungswesen – Ämterkonsultation zur Genehmigung von Tarif strukturen in der Krankenversicherung – Leistungen und Ressourcen im Bereich Datenschutz – Leistungen und Ressourcen im Bereich Öffentlichkeitsgesetz 3.2 Kommunikation ........................................ 74 – Rege Sensibilisierungstätigkeit und grosse mediale Aufmerksamkeit – Datenschutzbehörden von Bund und Kantonen traten am Internationalen Datenschutztag gemeinsam auf – Diverse Leitfäden und Empfehlungen publiziert – Website nach wie vor wichtigster Kanal unserer Kommunikation 3.3 Statistiken ........................................... 76 – Statistiken über die Tätigkeiten des EDÖB vom 1. April 2018 bis 31. März 2019 (Datenschutz) – Statistiken über eingereichte Zugangsgesuche nach Öffentlichkeitsgesetz vom 1. Januar 2018 bis am 31. Dezember 2018 – Übersicht der Zugangsgesuche der Departemente und der Bundeskanzlei – Anzahl Schlichtungsgesuche nach Kategorien der Antragssteller – Zugangsgesuche der gesamten Bundesverwaltung 3.4 Organisation EDÖB .................................. 83 Abkürzungsverzeichnis ........................... 84 Abbildungsverzeichnis ........................... 85 Impressum In der Klappe Die wichtigsten Zahlen und Fakten Anliegen des Datenschutzes 26. Tätigkeitsbericht 2018/19

Aktuelle Herausforderungen In den Mitgliedstaaten des EWR sind die Datenschutzbehörden im Berichts- jahr dazu übergegangen, Unterneh- men für die vernachlässigte Gewäh- rung von Transparenz und Selbstbe- stimmung mit empfindlichen Bussen zu belegen, welche die im Mai 2017 in Kraft getretene europäische Daten- schutzgrundverordnung (DSGVO) vorsieht. Nach ersten Informationen des EDÖB sind inzwischen auch Schweizer Unternehmen, welche Daten von Einwohnern im EWR bear- beiten, von Verfahren der dortigen Datenschutzbehörden betroffen. Wei- ter befassen sich dort auch die Wettbe- werbsbehörden zunehmend mit der Bearbeitung von Daten. In der Berichtsperiode forderte das deutsche Bundeskartellamt die Firma Facebook aufgrund ihrer als marktbeherrschend eingestuften Stellung auf, die Zustim- mung zu ihren Nutzungsbedingungen von anderen Diensten des Konzerns zu entkoppeln. Es wird sich zeigen, ob die markt- mächtigen Plattformen angesichts des aufsichtsbehördlichen Drucks und der öffentlichen Kritik am System der «Gratisdienstleistungen» festhalten werden. Eine aus Sicht des Daten- schutzes gangbare Alternative sind Geschäftsmodelle, die bezahlende Kunden von profilbildenden Daten- auswertungen und personalisierten Zustellungen von Werbebotschaften ausnehmen. Solche Bezahlsysteme las- sen sich sowohl über dezentral kont- rollierte Crypto-Währungen als auch über das Bankensystem betreiben und sind etwa in China bereits verbreitet, weil dortige Plattformbetreiber auf Online-Vertragsabwicklungen Kom- missionen erheben. Gesetzgebung In der Schweiz lässt der Abschluss der Beratung der vom Bundesrat im Sep- tember 2017 vorgelegten Totalrevi- sion des Datenschutzgesetzes (DSG) durch die staatspolitische Kommission des erstberatenden Nationalrats nach wie vor auf sich warten. Nachdem diese die Vorlage zur Totalrevision mit Entscheid vom 12. Januar 2018 in zwei Teile aufspaltete und in einem ersten Schritt die Änderungen behan- delte, die für die Übernahme des sog. Schengen-Besitzstands erforderlich sind, haben die Eidgenössischen Räte ein neues Bundesgesetz über die Umsetzung der Richtlinie (EU) 2016/680 oder Schengen-Daten- schutzgesetz (SDSG) verabschiedet. Dieses Sondergesetz, dessen Geltung sich auf die Datenbearbeitung der Strafverfolgungsbehörden des Bundes beschränkt, ist am 1. März 2019 in Kraft getreten. Es soll dereinst durch das totalrevidierte DSG wieder aufge- hoben werden. Nachdem unsere Behörde durch dieses Gesetz bezüglich der besonders sensiblen Bearbeitung von Personendaten im Polizeibereich mit zusätzlichen Aufgaben und Befug- nissen betraut wurde, wird sie namentlich bei der Kontrolle der Datenbearbeitung durch das Bundes- amt für Polizei, fedpol, einen Schwer- punkt setzen müssen. Ob der Bundes- rat unserer Behörde dafür die bean- tragten, zusätzlichen Mittel zuspre- chen wird, stand zur Zeit der Druckle- gung dieses Berichts noch nicht fest. Der Beauftragte hat sich in der staats- politischen Kommission des National- rats, auf deren Einladung er bei den Beratungen des DSG teilnimmt, stets für eine baldige Anhebung des Daten- schutzniveaus zu Gunsten der Schwei- zer Bevölkerung und demzufolge einen zügigen Abschluss der parla- mentarischen Beratungen ausgespro- chen. Wann dies der Fall sein wird, ist indessen schwer absehbar. Wenngleich gewisse Kreise der Wirtschaft das aus dem Jahre 1992 stammende DSG und die Befugnisse unserer Behörde für ausreichend erachten mögen, trifft der EDÖB in seinen Kontakten mit grenzüber- schreitend tätigen, grossen und klei- nen Schweizer Unternehmen auf eine ausgeprägte Bereitschaft, in einen glaubwürdigen betrieblichen Daten- schutz zu investieren. Diese, von der Totalrevision unmittelbar betroffenen Unternehmen wollen auch ihrer Schweizer Kundschaft einen den erneuerten europäischen Standards entsprechenden Schutz bieten. Sie wissen auch, dass sich Datenbearbei- tungsprojekte in der digitalen Realität nur unter Anwendung zeitgemässer Instrumente wie der Datenschutz- Folgenabschätzung risikogerecht abwickeln und gegenüber der Kund- schaft kommunizieren lassen. Und entsprechend lange werden ihre kleinen, mittleren und grossen Konkurrenten in den Staaten der EU und des EWR ihren diesbezüglichen Wettbewerbsvorteil zu nutzen wissen. 26. Tätigkeitsbericht 2018/19 7

III Nationale und internationale Kooperation Aktuelle Herausforderungen behörden bis auf Weiteres nur über die im DSG von 1992 vorgesehenen Empfehlungs befugnisse. Auch seine Mittel sind seit dem Jahre 2005 im Wesentlichen unverändert geblieben (vgl. Ziff. 3.1). Erschwerend kommt hinzu, dass die Europäische Kommis- sion mit der Evaluation des schweize- rischen Datenschutzniveaus einge- setzt hat (s. rechts). Mit Inkrafttreten der DSGVO hat sich die vormalige «Artikel 29»- Gruppe der EU-Datenschutzbehörden neu als Europäischer Datenschutz- ausschuss (EDSA) konstituiert. Kern- aufgabe des EDSA ist es, die einheitli- che Anwendung der DSGVO sicher- zustellen. Der Wunsch des EDÖB, bei den Sitzungen generell als Beobachter zugelassen zu werden, wurde abge- lehnt. Unsere Teilnahme wird sich somit auf Plenarsitzungen und nur für Punkte, die für den Schengen-Besitz- stand relevant sind, beschränken. Evaluation des Datenschutzniveaus Die Europäische Kommission über- prüft das Datenschutzniveau von Drittländern und hat der Schweiz letztmals im Jahre 2000 attestiert, dass ihr Datenschutzniveau angemes- sen ist. Unternehmen in der EU kön- nen deshalb Personendaten ohne wei- tere Massnahmen mit Firmen in der Schweiz austauschen. Zurzeit ist die Kommission daran, die Angemessen- heit des Schweizer Datenschutzni- veaus gestützt auf die in der DSGVO aufgelisteten Kriterien erneut zu eva- luieren. Sie hat angekündigt, den Angemessenheitsentscheid im Mai 2020 in Berichtsform zu veröffentli- chen. Die Mitwirkung der Schweiz an der Evaluation wird vom Bundesamt für Justiz koordiniert und vom EDÖB unterstützt, indem er erbetene Infor- mationen bereit stellt (vgl. Ziff. 1.9). Der EDÖB hat seine Zusammen- arbeit mit den kantonalen und kom- munalen Datenschutzstellen, die mit den gleichen Entwicklungen und Technologien zur Bearbeitung von Per- sonendaten konfrontiert sind, weiter intensiviert. Als Beispiele sind hier zu nennen: die Schengen-Evaluation (vgl. Ziff. 1.2), der Leitfaden zu den Wahlen (Ziff. 1.1) oder die gemeinsame Durch- führung des Internatio nalen Daten- schutztages (Ziff. 3.2). Neues Europäisches Datenschutzrecht Am 25. Mai 2018 ist die DSGVO in Kraft getreten, die unter gewissen Voraussetzungen auch für Bearbeitun- gen durch schweizerische Unterneh- men Anwendung findet. Im Herbst 2017 hat der EDÖB ein Merkblatt veröffentlicht, das insbesondere auf die extraterritoriale Geltung des neuen EU-Rechts eingeht und laufend aktua- lisiert wird (www.edoeb.admin.ch/ dsgvo). Wir werden weiterhin alles daransetzen, die betroffenen Schwei- zer Unternehmen bei der Anwendung der DSGVO mit Rat und Tat zu beglei- ten und als Aufsichtsbehörde eine auch im Ausland sichtbare Wirkung zu entfalten. Die andauernde Übergangszeit bis zum Inkrafttreten der immer noch hängigen Totalrevision des DSG (vgl. Ziff 1.1 und 3.1) gestaltet sich nach wie vor als herausfordernd für den EDÖB. Während die personell ver- stärkten Datenschutzbehörden in den Staaten des EWR inzwischen ihre neuen Verfügungs- und Sanktionsbe- fugnisse zum Tragen bringen (vgl. Ziff. II), verfügt der EDÖB gegenüber der Wirtschaft und dem Gros der Bundes- 26. Tätigkeitsbericht 2018/19 9

IV Massnahmen zur Effizienzsteigerung Aktuelle Herausforderungen Der EDÖB nimmt seine gesetzlichen Aufgaben als Aufsichtsbehörde auto- nom wahr. Unterstützende logistische und administrative Leistungen bezieht er indessen von der Bundeskanzlei, welche diese nach Massgabe der allge- meinen Standards der Bundesverwal- tung erbringt. In diesem Sinne wurde der EDÖB von der Bundeskanzlei auch bei der Einführung des neuen Geschäftsverwaltungssystems Acta Nova betreut, die im September 2018 erfolgreich abgeschlossen werden konnte. Informationsangebot Das in der Berichtsperiode erbrachte Informationsangebot wurde punktuell verbessert. Dies betrifft namentlich den vorliegenden 26. Tätigkeitsbe- richt. Die Weiterentwicklung der Inhaltsaufbereitung und der Kanäle ist hingegen eine Daueraufgabe, die der EDÖB angesichts des grossen Medien- interesses mit vergleichbar wenig Mit- teln bewerkstelligen muss (vgl. Ziff. 3.2). Verfahren im Bereich des Öffentlichkeitsgesetzes (BGÖ) Der EDÖB ist nach Durchführung eines einjährigen Versuchs zu einem beschleunigten und summarischen Verfahren übergegangen, das sich dadurch charakterisiert, dass in der Regel mündliche Schlichtungsver- handlungen durchgeführt werden. Dieses Verfahren bewährt sich weiter- hin, indem der Anteil der einvernehm- lich abgeschlossenen Schlichtungen nach wie vor hoch und die Überschrei- tung der gesetzlichen Fristen im Wesentlichen auf prozessual und inhaltlich komplexe Fälle beschränkt werden konnten. Dies war bspw. der Fall bei Verfahren mit besonders schwierigen juristischen, technischen oder politischen Fragen, aufgrund des grossen Umfangs der verlangten Dokumente oder wenn Drittparteien ins Verfahren miteinzubeziehen sind. Aufgrund der erwähnten Herausforde- rungen bekräftigt der Beauftragte das strategische Ziel, seine gesetzlichen Aufgaben in der digitalen Realität fach- kompetent, unabhängig und proaktiv wahrzunehmen. Organisation und Geschäfts- kontrolle der Behörde Die am 1. April 2017 in Kraft gesetzte Reorganisation der Behörde hat sich bewährt. Durch das an die Reorganisa- tion und die Befragung des Personals anschliessende Konsolidierungspro- gramm EFFET, das im Berichtsjahr gestartet wurde, soll nun die interne Zusammenarbeit optimiert und dadurch die Wirkung unserer Behörde zusätzlich verstärkt werden. Im Berichtsjahr haben auch meh- rere personelle Wechsel auf Ebene der Geschäftsleitung stattgefunden: Nach 38 Jahren als Datenschutzexperte beim Bund, wovon 25 Jahre als Stell- vertreter des Beauftragten, verliess Jean- Philippe Walter unsere Behörde pensionshalber per Ende Januar 2019. Der ebenfalls frankofone Marc Bunt- schu übernahm Walters Nachfolge als stellvertretender Behördenleiter und Chef des Ressorts für nationale und internationale Zusammenarbeit. Bis am 1. Februar 2019 leitete Buntschu den Direktionsbereich Datenschutz, der ab diesem Datum von Daniel Dzamko geführt wird, der vorher in der Geschäftsleitung der Steuerver- waltung des Kantons Bern tätig war. Im Frühjahr 2018 wurde Hugo Wyler mit der Leitung des dem Beauftragten neu direkt unterstellten Bereichs Kom- munikation betraut. 26. Tätigkeitsbericht 2018/19 11

Datenschutz

Datenschutz Die Akteure werden im Leitfaden dazu aufgerufen, den Stimmbürgerinnen und Stimmbürgern ein Höchstmass an Transpa- renz und Selbstbestim- mung einzuräumen und dafür entsprechend datenschutzfreundliche Anwendun- gen einzusetzen. Wer Daten im Kon- text von Wahlen und Abstimmungen bearbeitet, soll sich bewusst sein, dass das Datenschutzrecht Angaben zu politischen und weltanschaulichen Ansichten einem höheren Schutzni- veau unterstellt als Daten im gewerb- lich-kommerziellen Umfeld. Der Leit- faden richtet sich an alle Akteure der politischen Meinungsbildung wie z. B. Parteien und Interessengruppen, Datenhändler und Datenplattformen und will sie dazu anhalten, die digita- len Bearbeitungsmethoden für die Stimmbürger erkenn- und nachvoll- ziehbar zu machen. 26. Tätigkeitsbericht 2018/19 15

Beirat WBF und UVEK zur Digitalen Transformation Der EDÖB nahm im März 2019 an der sechsten Sitzung des Beirats «Digitale Transformation» der Departemente WBF und UVEK teil. Ziel der Beirats- sitzungen ist es, konkrete Transforma- tionsprojekte und deren Nutzen für Wirtschaft und Bevölkerung aufzuzei- gen. Beim Projekt «Swiss Data Custo- dian» handelt es sich um ein Daten- treuhandsystem für Informationen, die nicht öffentlich zugänglich gemacht werden können. Der Betrei- ber des «Custodian» soll von verschie- denen Unternehmen – gegebenenfalls auch Behörden – personenbezogene und andere Rohdaten entgegenneh- men, diese einer Analyse durch künst- liche Intelligenz unterziehen und schliesslich die daraus gewonnenen, anonymisierten Erkenntnisse einer wertschöpfenden Verwertung zugäng- lich machen. Diskutiert wird derzeit eine Anwendung in den Bereichen Mobilität, Medizin und Humanitäres. Sowohl an den Vorbereitungssitzun- gen als auch an der Beiratssitzung nahm der EDÖB die Gelegenheit wahr, die datenschutzrechtlichen Rahmen- bedingungen und Vorgaben, die dabei zu berücksichtigen sind, darzulegen. Der EDÖB wird das Projekt weiterhin begleiten. Eckwerte für eine Datenpolitik der Schweiz Der EDÖB konnte anlässlich der Ämter- konsultation zu den Eckwerten für eine Datenpolitik der Schweiz Stellung neh- men. Er befasst sich weiterhin mit datenpolitischen Teilbereichen. Im Rahmen der Ämterkonsultation wies der EDÖB darauf hin, dass die Datenschutzbestimmungen nicht nur bei Open Government Data (OGD), sondern auch in anderen aufgeführten Bereichen zu beachten seien. Zu nen- nen sind: Stammdatenverwaltung des Bundes, Daten von bundesnahen Betrieben und Forschungsanstalten, Dateninnovation im Statistikbereich sowie Innovation durch Daten im Bereich der Mobilität und der Gesund- heit. Bei anonymisierten Daten bestehe ausserdem immer das Risiko, dass je nach Menge der vorhandenen Daten Rückschlüsse auf die betroffe- nen Personen nicht ausgeschlossen werden könnten, weshalb der Daten- schutz auch hier zu berücksichtigen sei. Weiter hielt der EDÖB fest, dass er sich seit der Ämterkonsultation zum DSG für die Einführung eines Rechts auf Datenübertragbarkeit (Portabilität) einsetzt. Die Bemerkungen des EDÖB wurden aufgenommen. Zum Thema Digitalisierung und Datenpolitik laufen auf Bundesebene derzeit verschiedene Projekte, die vom BAKOM koordiniert werden. Der EDÖB nimmt an einzelnen aktiv teil, so beispielsweise bei einem Projekt betreffend Nutzung von Daten oder an der Unterarbeitsgruppe zum Thema Datenverfügbarkeit. Datenschutz Datenverknüpfungen im Bereich Statistik Mittels Verknüpfungen lassen sich aus statistischen Datenbeständen neue Erkenntnisse gewinnen. Verknüpfungen können das Risiko von Re-Identifikatio- nen massgeblich erhöhen. Um diesem zu begegnen, hat das BFS ein Verknüp- fungsreglement erlassen. Das Bundesamt für Statistik (BFS) verfügt über die gesetzlichen Grundla- gen für das Durchführen von sog. Ver- knüpfungen. Solche Datenverknüp- fungen aus verschiedenen Erhebungen sind ein valables Mittel im Bereich der Statistik, um aus Datenbeständen neue Erkenntnisse zu gewinnen, Ent- wicklungen über mehrere Jahre hin- weg zu beobachten oder um Progno- sen machen zu können. Dafür werden die einzelnen Datensätze in den ver- schiedenen Datenbeständen mit Iden- tifikationsnummern versehen und anschliessend ein Verknüpfungsiden- tifikator generiert. Verknüpfungen bergen das daten- schutzrechtliche Risiko von uner- wünschten Rückschlüssen auf bestimmbare Personen, also Re-Iden- tifikationen. Die Identifikationsnum- mern und Indentifikatoren müssen deshalb intern so verwaltet werden, dass solche Rückschlüsse ausgeschlos- sen bleiben und es zu keinem Miss- brauch kommen kann. Der EDÖB liess sich vom BFS über die laufenden und geplanten Verknüpfungsprojekte und die Massnahmen zur Wahrung der Persönlichkeitsrechte informieren. Der Austausch hat gezeigt, dass es sich um ein hochkomplexes Thema handelt, das der EDÖB weiter beobachten wird. Wir begrüssen, dass das BFS ein spezi- fisches Verknüpfungsreglement erlas- sen und publiziert hat. 26. Tätigkeitsbericht 2018/19 17

Schwerpunkt I Anhörung des EDÖB als Bedingung für die Anerkennung Anlässlich der Anhörung in der Kommission sah der EDÖB seine Aufgabe darin, sich unabhängig vom politi- schen Entscheid zugunsten einer rein staatlichen oder nur teilstaatlichen Lösung, für ein höchstmögliches Niveau an Datenschutz einzusetzen. Der EDÖB hat darauf hinge- wiesen, dass die Datenbearbeitung der staatlichen Akteure auf einer genügenden gesetzlichen Grundlage beruhen muss und hat diesbezüglich punktuell Verbesse- rungen des E-ID-Gesetzes verlangt. So hat der National- rat als Anerkennungsvoraussetzung der IdP die vorgän- gige Anhörung des EDÖB durch das ISB in das Gesetz aufgenommen. Der EDÖB wird in diesem Rahmen die datenschutzrechtlichen Standards, die er anlässlich der Begleitung des Projektes von SwissSign erarbeitet hat, als Massstab für die Beurteilung fordern (vgl. folgenden Text «SwissID». Des Weitern hat der EDÖB darauf bestanden, dass die Botschaft dahingehend präzisiert wird, dass die E-ID nur dort Anwendung finden soll, wo eine sichere Identifikation im Geschäftsverkehr unbedingt nötig ist. Für die zahlreichen Online-Konsum- geschäfte oder Bezüge von einfachen Dienst- leistungen, wo dies nicht nötig ist, dürfen durch das E-ID-Gesetz weder im analogen noch im elektroni- schen Geschäftsverkehr neue Identifizierungspflichten geschaffen werden. Der Nationalrat hat den Zweckartikel des Gesetzes entsprechend angepasst. 26. Tätigkeitsbericht 2018/19 19

Schwerpunkt I 26. Tätigkeitsbericht 2018/19 21

Der Schluss liegt nahe, dass die vom Swiss-US Privacy Shield zur Verfü- gung gestellten Rechtsinstrumente bislang noch wenig genutzt worden sind. Zu beachten ist allerdings, dass das Schweizer Übereinkommen erst seit April 2017 in Kraft ist, und dass vor einer offiziellen Beschwerde in der Regel zuerst das zertifizierte Unter- nehmen selbst angegangen wird. Es ist davon auszugehen, dass eine quantita- tiv schwer abschätzbare Anzahl von Datenschutzverletzungen bereits auf diesem Weg beseitigt werden konnte. Datenschutz Für das Schiedsverfahren, welches den betroffenen Personen nach Ausschöp- fung der anderen Rechtsbehelfe (IRM) an einem dem amerikanischen Recht unterworfenen Schiedsgericht zur Verfügung steht (vgl. 24. Tätigkeitsbe- richt 2016/17, Ziff.1.8.1), konnten bereits vor dem Review fünf zusätzli- che Schiedsrichter für die Schweiz ernannt werden. Diese ergänzen die Liste der EU. Im Hinblick auf den behördlichen Zugriff konnten im Vorfeld des Reviews Fortschritte erzielt werden. Der US-Senat bestätigte die Nominie- rungen des Vorsitzes sowie zweier Mitglieder der Stelle zur Überwachung des Schutzes der Privatsphäre und der bürgerlichen Freiheiten (Privacy and Civil Liberties Oversight Board, PCLOB), womit das nötige Quorum erreicht ist. Der PCLOB bestand im ersten Swiss-US-Privacy-Shield-Jahr aus nur einem Mitglied und war somit nicht beschlussfähig. Erstmalige Überprüfung durch den EDÖB Die Überprüfung des Privacy Shield betraf sowohl die gewerblichen Aspekte (z. B. Überwachung und Durchsetzung der Pflichten von zerti- fizierten Unternehmen) wie auch den behördlichen Zugriff zum Zwecke der nationalen Sicherheit auf Personenda- ten. Die Schweiz konnte am vorange- henden europäischen Review des EU-US Privacy Shield mit Beobachter- status teilnehmen. Themen, die sowohl den Swiss-US als auch den EU-US Privacy Shield betrafen, wur- den ausschliesslich am EU-US Review diskutiert. Die gewonnenen Erkennt- nisse konnten auch für die schweize- risch-amerikanische Absprache ver- wendet werden. Seit Inkraftsetzung des Swiss-US Privacy Shield konnten verschiedene Verbesserungen vorgenommen wer- den. Im Hinblick auf die gewerblichen Aspekte sucht das US-Handelsminis- terium beispielsweise verstärkt nach «false claims». Ausserdem überprüfen die US Behörden korrekt zertifizierte Unternehmen regelmässiger auf allfäl- lige Schwachstellen und überwachen bei der Zertifizierung strenger, dass keine Diskrepanzen zwischen den Angaben in deren Privacy Policies und dem tatsächlichen Stand des Registrie- rungsprozesses bestehen. 26. Tätigkeitsbericht 2018/19 23

Datenschutz Im Austausch zwischen der Swiss und dem EDÖB wurde festgelegt, welche zusätzlichen Massnahmen zur Verhin- derung allfälliger Missbräuche getrof- fen werden müssen. Die Swiss hat ihre allgemeinen Beförderungsbestim- mungen (ABB) angepasst, um ihre Kunden besser auf die Schutzwürdig- keit der auf dem Boarding Pass ersicht- lichen bzw. gespeicherten Personen- daten hinzuweisen. Weiter erhalten die Kunden nach dem automatischen Check-in per E-Mail einen entspre- chenden Warnhinweis. Erfolgt das Check-in online wird zudem angezeigt, an welche Adresse (Mail, Mobiltele- fonnummer) die Nachricht geschickt wird. Dies um kontrollieren zu kön- nen, dass die Bordkarte an die richtige resp. gewünschte Adresse geschickt wird. Weiter soll die Passnummer, die in bestimmten Fällen beim Buchungs- aufruf ersichtlich ist, teilweise unkenntlich gemacht werden. Der EDÖB hatte weiter vorgeschlagen, für die Aufrufung von Buchungen, die nicht über ein Reisebüro oder einen anderen Dritten, sondern direkt über die Internetseite der Fluggesellschaft erfolgen, nebst Name und Buchungs- referenz die Eingabe eines Zusatzele- ments, wie beispielsweise Handy- nummer oder E-Mail-Adresse, vorzu- sehen. Dieser Punkt war zum Ende des Berichtsjahres noch offen. Der EDÖB wies darauf hin, dass die Bekanntgabe von PNR-Daten durch Fluggesellschaften in Form eines Abkommens auf einer gesetzlichen Grundlage beruhen müsse. Während sich die anderen beteiligten Bundes- ämter klar zugunsten einer vorausset- zungslosen Datenbekanntgabe geäus- sert hatten, hielt der EDÖB daran fest, dass eine Datenbekanntgabe durch Fluggesellschaften an Mitgliedstaaten in Umsetzung der EU-PNR-Richtlinie nur erfolgen dürfe, wenn bestimmte Punkte erfüllt sind. Die Schweiz müsse so rasch als möglich versuchen, eine Assoziierung an die EU-PNR- Richt linie zu verhandeln und zu erhal- ten. In diesem Sinn plante das fedpol ursprünglich, dem Bundesrat noch im Herbst 2018 eine entsprechende Vor- lage inklusive Verhandlungsmandat mit der EU vorzulegen. Allerdings wurde dieses Projekt bis auf Weiteres aufgeschoben. Als der EDÖB von die- sem Aufschub erfuhr, wies er die betroffenen Bundesämter darauf hin, dass so rasch als möglich eine alterna- tive Rechtsgrundlage geschaffen wer- den müsse. Dem EDÖB wurde in Aus- sicht gestellt, die gesetzliche Grund- lage für die Lieferung von PNR-Daten an Staaten, welche diese gestützt auf die EU-PNR-Richtlinie verlangen würden, mit einer Revision der Luft- fahrtverordnung (LFV) zu schaffen und vorzusehen, so dass eine Datenlie- ferung nur an Staaten erfolgen darf, die ein angemessenes Datenschutzniveau aufweisen. Der EDÖB wird die Gesetzgebungsarbeiten beratend begleiten. Swiss-Buchungssystem – Massnahmen gegen Daten- missbrauch gefordert Die Swiss International Air Lines trifft verschiedene zusätzliche Massnahmen zur Verhinderung allfälliger Missbräu- che bei der Abrufung der Buchung über ihre Internetseite. Der EDÖB wurde darauf hingewiesen, dass es auf der Internetseite der Swiss möglich sei, mit der Eingabe von Nachname, Vorname und Buchungs- nummer beim Log-in verschiedene persönliche Daten (Vorname, Nach- name, Geburtsdatum, Geschlecht, Nationalität, Wohnsitz, Nummer und Gültigkeitsdauer von Pass resp. Identi- tätskarte) abzurufen. Dabei sei es sehr einfach, Nachname, Vorname und Buchungsnummer von anderen Passa- gieren auf Bordkarten herauszufinden, die von diesen nach einem Flug liegen gelassen, weggeworfen oder in sozia- len Medien publiziert wurden. Diese Informationen könnten auch aus dem Strichcode auf der Bordkarte mit einer einfachen Barcode-Lese-App heraus- gelesen werden. Mit diesem Log-in können auch sämtliche Buchungen der betroffenen Passagiere eingesehen und teilweise Daten geändert werden. Weil der Inhalt des Boarding Passes inkl. QR-Code bestimmten interna- tionalen Standards entsprechen muss, kann dieser von einzelnen Fluggesell- schaften nicht ohne Weiteres geändert werden. Dennoch müssen und können die Fluggesellschaften die notwendigen Massnahmen treffen um sicherzustellen, dass die Passagierdaten im Buchungssystem vor allfäl- ligen missbräuchlichen Bearbeitungen angemessen geschützt sind. 26. Tätigkeitsbericht 2018/19 25

Schwerpunkt II 26. Tätigkeitsbericht 2018/19 27

Schwerpunkt II Gestützt auf die Ergebnisse der Evaluierung hat der Rat der EU am 7. März 2019 eine Empfehlung an die Schweiz zur Beseitigung der festgestellten Mängel beschlossen. Betreffend den EDÖB empfiehlt der Rat insbesondere, er solle die Rechtmässigkeit der Bearbeitung von personen- bezogenen Daten in Zusammenhang mit den schen- gen-relevanten Informationssystemen häufiger kontrol- lieren. Damit er alle seine Aufgaben im Rahmen des SIS-II- und des VIS-Besitzstands erfüllen kann, seien dem EDÖB ausreichende finanzielle und personelle Res- sourcen zuzuweisen. Zudem solle dem EDÖB ein konkre- ter Einfluss auf seinen Haushaltsvorschlag zukommen, wobei das Parlament im Rahmen der Behandlung des Gesamthaushaltsvorschlags über den Haushaltsvorschlag des EDÖB zu informieren sei. Der Rat würdigt in seinen Erwägungen auch Positives, wie etwa den von der Schen- gen-Koordinationsgruppe der Schweizerischen Daten- schutzbehörden ausgearbeiteten Leitfaden «Beaufsichti- gung der Nutzung des Schengener Informationssystems (SIS)», oder die umfangreichen spezifischen Musterbriefe für die Ausübung der Rechte Betroffener und zielführen- den Informationen, welche sich auf der Website des EDÖB finden. Die Schweiz solle nun innerhalb von drei Monaten nach Annahme des Beschlusses einen Aktions- plan erstellen und diesen der Kommission und dem Rat vorlegen. Die nächste Evaluierung ist für 2023 vorge- sehen. 26. Tätigkeitsbericht 2018/19 29

Datenschutz b) Austausch länderbezogener Berichte multinationaler Konzerne (ALBA) Auch in diesem Berichtsjahr äusserte sich der EDÖB im Rahmen einer Ämterkonsultation zur Länderliste für die Aktivierung des Austauschs der länderbezogenen Berichte (vgl. 24. und 25. Tätigkeitsbericht, Kapitel 1.9.1). Dabei wies er darauf hin, dass die jüngst vorgesehene Erweiterung auf acht weitere Staaten und Territo- rien (darunter etwa die Vereinigten Arabischen Emirate, Serbien oder Sambia) solche betrifft, die auf der Staatenliste des EDÖB mit einem ungenügenden Datenschutzniveau aufgeführt sind. Der EDÖB hielt des- halb erneut fest, dass mit Blick auf solche Länder zusätzliche Garantien nach Art. 6 Abs. 2 DSG notwendig sind, um ein angemessenes Daten- schutzniveau zu gewährleisten. 1.3 Steuer- und Finanzwesen Bekanntgabe von Personen- daten an ausländische Steuerbehörden Die Umsetzung der neuen Standards zur weltweiten Bekämpfung von Steu- erbetrug und Steuerhinterziehung sind weit fortgeschritten. Als problematisch erweist sich dabei das ungenügende Datenschutzniveau einiger Staaten. Im Berichtsjahr haben wir zu verschiede- nen Vorlagen aus der Sicht des Daten- schutzes Stellung genommen. a) Automatischer Informations- austausch über Finanzkonten (AIA) Der globale Standard über den auto- matischen Informationsaustausch über Finanzkonten (AIA) ist in der Schweiz seit dem 1. Januar 2017 in Kraft. Er zielt darauf ab, die Steuer- transparenz zu erhöhen und damit die grenzüberschreitende Steuerhinterzie- hung zu vermeiden. Bisher haben sich mehr als 100 Länder zur Übernahme dieses Standards bekannt, darunter auch die Schweiz. Nun will der Bun- desrat das Schweizer AIA-Netzwerk mit derzeit 18 zusätzlichen Partner- staaten ausweiten, mit denen der AIA ab 2020/2021 umgesetzt werden soll. (Weitere Informationen dazu sind auf der Website des EFD verfügbar.) Wie bei den vorausgegangenen Ämter- konsultationen wies der EDÖB auch im aktuellen Berichtsjahr im Zusam- menhang mit der Einführung des AIA mit weiteren Staaten auf das Erforder- nis der Gewährleistung eines ange- messenen Datenschutzniveaus im jeweiligen Partnerstaat hin. Unsere Staatenliste enthält hierzu eine Beur- teilung für jedes einzelne Land. Anlässlich einer Anfang November 2018 durchgeführten Ämterkonsulta- tion betreffend die Einführung des AIA mit weiteren Partnerstaaten ab 2020/21 merkten wir an, dass sämtli- che vorgeschlagenen Partnerstaaten, mit denen der AIA in reziproker Weise durchgeführt werden soll (darunter Albanien, Aserbaidschan, Brunei Dar- ussalam etc.) über kein angemessenes Datenschutzniveau (vgl. Art. 6 Abs. 1 DSG) verfügen und ein genügender Datenschutz folglich durch zurei- chende Datenschutzgarantien (vgl. Art. 6 Abs. 2 DSG) sichergestellt sein muss. Der Bundesrat berief sich in diesem Zusammenhang auf die basie- rend auf dem Multilateral Competent Authority Agreement (MCAA) ergan- gene, von der Schweiz am 4. Mai 2017 übermittelte Mitteilung an das Koordi- nationsgremium, in der datenschutz- rechtliche Garantien festgelegt sind, welche auch für die Steuerpflichtigen in den Partnerstaaten gelten müssen. Diese Mitteilung stellt nach Ansicht des EDÖB jedoch keine ausreichende Garantie nach Art. 6 Abs. 2 DSG dar (vgl. 24. und 25. Tätigkeitsbericht, jeweils Kapitel 1.9.1 a). Daher ist die geplante Erweiterung datenschutz- rechtlich problematisch. 26. Tätigkeitsbericht 2018/19 31

Information der Drittpersonen mit vertretbarem Aufwand möglich Der EDÖB vertritt nach wie vor die Ansicht, dass Drittpersonen die Mög- lichkeit haben müssen, die Gerichte beurteilen zu lassen, ob im konkreten Einzelfall eine offene Übermittlung ihres Namens zulässig ist. Nur so kann sichergestellt werden, dass deren ver- fassungsmässigen Rechte gewahrt werden. Um die notwendigen rechtli- chen Schritte einleiten zu können, müssen die betroffenen Personen von der geplanten Übermittlung in Kennt- nis gesetzt werden. Zudem geht der EDÖB davon aus, dass der Aufwand für die Informa- tion durch geeignete tech- nische und organisatori- sche Massnahmen in einem vertretbaren Rahmen gehalten werden kann und damit eine wirk- same Amtshilfe nicht verhinderte würde. Er hat daher am 5. Oktober 2018 gegen die Verfügung des EFD Beschwerde bei Bundesverwaltungs- gericht eingereicht. Der Fall war dort zum Ende des Berichtsjahrs noch hängig. Empfehlung an Zentralstelle für Kreditinformation (ZEK) erlassen Kreditgesuche, die aus Gründen abge- lehnt worden sind, die nichts mit der Kreditwürdigkeit oder Kreditfähigkeit des Gesuchstellers zu tun haben, sind unmittelbar nach der Ablehnung aus der Datenbank zu löschen. Der EDÖB hat gegenüber der Zentralstelle für Kreditinformation eine entsprechende Empfehlung erlassen. Die Zentralstelle für Kreditinforma- tion (ZEK) sammelt Bonitätsinforma- tionen aus Kreditgeschäften natürli- cher und juristischer Personen und stellt diese ihren Mitgliedern, insbe- sondere Banken, gegen Entgelt zur Verfügung. Im vorigen Berichtsjahr haben wir bei der ZEK eine Sachver- haltsabklärung eingeleitet (vgl. Kapitel 1.8.12 des 25. Tätigkeitsberichts 2016/17). Aufgrund der eingegange- nen Meldungen der Bürger und von Medienberichten verortete der EDÖB mögliche Mängel hinsichtlich der Datenschutzkonformität bei der Bear- beitung von Auskunftsgesuchen, bei der Berichtigung und Löschung von Daten, bei den Massnahmen zur Ver- hinderung zweckfremder Abfragen sowie bei der technischen und organi- satorischen Trennung der Datenbe- stände der ZEK von denjenigen der Informationsstelle für Konsumkredit (IKO). Diese hat mit der ZEK einen Nutzungsvertrag für deren Informa- tionssystem abgeschlossen. Datenschutz Im Rahmen unserer Abklärungen hat sich jedoch gezeigt, dass die ZEK in den untersuchten Bereichen daten- schutzkonform handelt. Auskunfts-, Berichtigungs- und Löschbegehren werden korrekt bearbeitet, die Mass- nahmen zur Verhinderung zweck- fremder Anfragen entsprechen den gestellten Anforderungen und die Datenbestände von ZEK und IKO sind sowohl technisch als auch organisato- risch ausreichend getrennt. Empfehlung betreffend nicht zweckgemässer Datenspeicherung Einzig im Bereich der Ablehnung von Kreditgesuchen und Kartenanträgen hat der EDÖB eine Empfehlung erlas- sen. Er stellte fest, dass Kreditgesuche und Kartenanträge, welche aus Grün- den abgelehnt worden sind, die nichts mit der Kreditwürdigkeit oder Kredit- fähigkeit des Gesuchstellers zu tun haben (z. B. Ausschöpfung des Kredit- kontingents für einen bestimmten Zeitraum), in der Datenbank der ZEK auch nach Ablehnung des Kreditgesu- ches gespeichert bleiben, obwohl diese Information für die Beurteilung der Kreditvergabe und damit für den mit der Datenbank verfolgten Zweck unerheblich ist. Der EDÖB hat daher empfohlen, dass solche Einträge unmittelbar nach der Ablehnung aus der ZEK- Datenbank zu löschen sind. Die ZEK hat die Empfehlung des EDÖB akzeptiert und wird die ent- sprechenden Änderungen in ihrem Reglement und in der Datenbank vor- nehmen. Dementsprechend konnte der EDÖB das Verfahren ohne weitere Massnahmen abschliessen. 26. Tätigkeitsbericht 2018/19 33

Datenschutz 1.4 Handel und Wirtschaft Datendiebstahl bei Swisscom ohne formelle Massnahmen abgeschlossen Die Swisscom hatte den EDÖB Ende 2017 über einen Datendiebstahl in Kenntnis gesetzt. Betroffen waren vorwiegend private Inhaber von Mobil- nummern. Der EDÖB konnte das bei der Swisscom durchgeführte Verfahren zur Prüfung möglicher Risiken von Folge- schäden aufgrund des gemeldeten Datendiebstahls ohne formelle Empfeh- lungen abschliessen. Ende Dezember 2017 hatte die Swiss- com den EDÖB darüber ins Bild gesetzt, dass im Herbst unberechtigte Zugriffe auf die Kontaktdaten von rund 800 000 Kundinnen und Kunden erfolgt sind. Betroffen waren vorwie- gend private Inhaber von Mobilnum- mern und einige Festnetzkunden. Kurz darauf wurde dem EDÖB ein Ereignis eines angeblich unberechtig- ten Zugriffs auf Daten eines Kunden der Swisscom gemeldet. Ein Kausalzu- sammenhang mit dem gemeldeten Datendiebstahl bestand jedoch nicht (vgl. 25. Tätigkeitsbericht 2017/2018, Kapitel 1.3.1). Nach Meldung eines jedoch möglicherweise mit dem Anfang Februar 2018 publik geworde- nen Datendiebstahls bei der Swisscom zusammenhängenden missbräuchli- chen Zugriffs auf Kundendaten hat der EDÖB ein Verfahren eröffnet und bei der Swisscom Informationen im Zusammenhang mit dem Risiko allfäl- liger Folgeschäden einverlangt (vgl. Kapitel 1.3.2 im 25. Tätigkeitsbericht 2017/2018). Die Swisscom hat dar- aufhin eine Dokumentation über die bei ihr gemeldeten Verdachtsfälle sowie die jeweils getroffenen Mass- nahmen eingereicht. In den behandel- ten Fällen stand jeweils der Verdacht im Raum, dass mit Hilfe der gestohle- nen Daten ein unrechtmässiger Zugriff auf weitere Kundendaten ermöglicht worden sei. Der EDÖB hat gestützt auf diese Dokumentation untersucht, ob die durch die Swisscom in Zusammen- hang mit dem Datendiebstahl getroffe- nen Massnahmen die betroffenen Per- sonen genügend schützen oder ob sich durch die gemeldeten Verdachtsfälle zeigt, dass weitergehende Massnah- men notwendig sind. Auch nach vertieften Abklärungen konnte bei keinem der untersuchten Fälle ein Zusammenhang mit dem fraglichen Datenleck festgestellt wer- den. Die Vorfälle konnten allesamt auf technische Fehler oder auf Fehlmanipulationen zurückgeführt werden. Nachdem die Swisscom Massnahmen zur Fehlerbe- hebung sowie zur Verhinderung künftiger vergleichbarer Vorfälle getroffen hat, konnte der EDÖB das Verfahren ohne formelle Massnahmen abschliessen. Nach der Publikation des Daten- lecks durch die Swisscom ist beim EDÖB – gestützt auf das Öffentlich- keitsgesetz – ein Zugangsgesuch zu den betreffenden Dokumenten einge- gangen. Der EDÖB hat nach Anhö- rung der Swisscom entschieden, dass der Zugang, mit Ausnahme der in den Dokumenten enthaltenen Personen- daten, gewährt werden soll und eine entsprechende Verfügung erlassen. Gegen diese Verfügung hat die Swiss- com Beschwerde beim Bundesverwal- tungsgericht eingereicht. Der Fall war zum Ende des Berichtjahres noch hängig. Datendiebstahl bei EOS – unnötig gespeicherte Patientendaten EOS hat das von einem Datendiebstahl betroffene System durch ein neues ersetzt. Der EDÖB konnte das Verfahren zur Sachverhaltsabklärung damit abschliessen. Der EDÖB hat Ende Dezember 2017 bei der Inkassofirma EOS Schweiz eine Sachverhaltsabklärung eröffnet, um die datenschutzrechtlichen Aspekte des auch in den Medien publik gewor- denen mutmasslichen Datendiebstahls zu klären, von dem insbesondere die Patienten von Schweizer Ärzten und Zahnärzten betroffen seien (vgl. Kap. 1.8.2 im 25. Tätigkeitsbericht 17/18). Obschon die konkreten Umstände des mutmasslichen Datendiebstahls bisher nicht abschliessend geklärt wer- den konnten, haben die Abklärungen des EDÖB insbesondere ergeben, dass auf den Servern der EOS deutlich mehr Patientendaten gespeichert wur- den, als für die Rechnungsstellung oder das Inkasso nötig gewesen wäre. Zudem wurden dabei Löschfristen missachtet. Dies führt zu einem unver- hältnismässig grossen Datenbestand. EOS ist im Rahmen eigener Ab- klärungen zu demselben Schluss gelangt, hat das betreffende System unterdessen durch ein neues ersetzt und dabei die festgestellten Mängel behoben. Der EDÖB konnte daher dar- auf verzichten, Massnahmen zu ergrei- fen und hat das Verfahren ohne formelle Empfehlun- gen abgeschlossen. Er erin- nert daran, dass Medizinal- personen für die Rechnungs- stellung oder das Inkasso nur diejenigen Patientendaten weitergeben dürfen, die dazu auch tatsächlich erforderlich sind. 26. Tätigkeitsbericht 2018/19 35

Datenschutz Die Abklärungen des EDÖB hatten ergeben, dass die Informationen von Decathlon dazu uneinheitlich und teilweise zu wenig klar formuliert sind, so dass der Eindruck entstehen kann, die ursprünglich obligatorischen Angaben seien noch immer zwingend für einen Warenkauf. Er unterbreitete dem Sportwarenhändler Decathlon daher Vor- schläge für eine Verbesse- rung der Information. Die Gerätenutzer werden über mögli- che Datenübermittlungen an den Her- steller und deren Bearbeitung infor- miert. Sie können eine sol- che vollständig unterbinden und die Geräte als her- kömmliche Fernseher, d.h. ohne Smart-TV-Funktionen, nutzen. Werden die Smart-TV-Funk- tionen genutzt, ist die Bearbeitung bestimmter Daten technisch notwen- dig und kann in dem Umfang vom Nutzer nicht eingeschränkt oder unterbunden werden. Diejenigen Datenbearbeitungen, die dem Komfort oder gewissen Zusatzfunktionen die- nen, kann der Nutzer dagegen deakti- vieren. Nachdem der EDÖB keine daten- schutzwidrigen Datenbearbeitungen durch den Gerätehersteller feststellen konnte, hat er das Verfahren ohne formelle Massnahmen abgeschlossen. Decathlon – verbesserte Information bei Daten- beschaffung nötig Der Sportwarenhändler Decathlon machte in seinen Schweizer Filialen den Warenverkauf von der Angabe von Kundendaten abhängig. Der EDÖB eröffnete deshalb eine Sachverhalts- abklärung. Das umstrittene Vorgehen hat der Sportwarenhändler daraufhin geändert. Im Berichtsjahr eröffneten wir beim Sportwarenhändler Decathlon eine Sachverhaltsabklärung, nachdem wir aufgrund von Zeitungsberichten sowie Meldungen von Bürgern und Konsumentenschutzorganisationen vernommen hatten, dass dieser in seinen Schweizer Filialen den Waren- verkauf von der Angabe gewisser Kun- dendaten abhängig mache. Nach der Eröffnung des Verfahrens teilte Decathlon dem EDÖB mit, dass die Kundinnen und Kunden ihre E-Mail-Adresse oder Telefonnummer angeben müssten, um Waren vor Ort kaufen zu können. Die Unternehmung werde fortan aber darauf verzichten, den Warenverkauf von der Angabe dieser Daten abhängig zu machen und diese Daten nur noch auf freiwilliger Basis erheben. Da der primäre Anlass für die Sachverhaltsabklärung damit dahingefallen war, konzentrierte der EDÖB seine weiteren Abklärungen auf die Frage, ob diese Freiwilligkeit für die Kunden auch tatsächlich erkennbar ist. 26. Tätigkeitsbericht 2018/19 37

Datenschutz Sowohl die Patientinnen und Patien- ten als auch die Behandelnden benöti- gen für den Zugang zum EPD Identifi- kationsmittel, die eine eindeutige Authentisierung ermöglichen. Dafür werden elektronische Identitäten ver- wendet, die bspw. auf einer Chipkarte oder einem Smartphone gespeichert werden können. Die Herausgeber von Identifikationsmitteln gemäss EPDG müssen sich zertifizieren lassen. Auch die Datenbearbeitungen im Rahmen des Erstellens und Verwaltens der elektronischen Identitäten unterste- hen dem DSG. Mit Blick auf die recht- lichen und technischen Anforderun- gen des Datenschutzes müs- sen hohe Standards erfüllt werden, damit die Patientin- nen und Patienten dem EPD vertrauen werden. Auf Wunsch von Parlamentarierinnen und Parlamentariern hat der EDÖB denn auch in verschiedenen Kommissionen der eidgenössischen Räte seine Aufga- ben im Bereich des EPD dargelegt, die er aufgrund der Budgetvorgaben des Bundesrats ohne zusätzliche Personal- ressourcen wahrnehmen muss. Bonusprogramm «Helsana+» auf dem Prüfstand: Teilerfolg vor Bundesverwaltungsgericht Im laufenden Berichtsjahr nahm der EDÖB das Bonusprogramm «Helsana+» genauer unter die Lupe. Er erliess eine Empfehlung gegen die Helsana Zusatz- versicherungen AG, welche diese ablehnte. Der EDÖB hat daraufhin beim Bundesverwaltungsgericht Klage ein- gereicht, die im März 2019 teilweise gutgeheissen wurde. Bereits in der vorangehenden Berichts- periode wurde der EDÖB auf mehrere Gesundheits-Apps und Bonuspro- gramme von Krankenversicherungen aufmerksam, darunter auch auf das Bonusprogramm «Helsana+» der Kran- kenkasse Helsana, das im September 2017 lanciert wurde. Dabei handelt es sich um ein Programm, das die daran teilnehmenden Versicherten zu einem gesundheitsbewussten Verhalten und aktiven Lebensstil anregen soll. Als Belohnung für ihre aufgezeichneten Aktivitäten erhalten die Teilnehmen- den sog. «Pluspunkte» gutgeschrieben, die sie in Barauszahlungen umwan- deln oder aber für Angebote und Rabatte bei Partnerfirmen der Helsana einlösen können. Anders als bei ver- gleichbaren Angeboten anderer Kran- kenkassen können bei «Helsana+» auch Personen teilnehmen, die bei der Hel- sana ausschliesslich eine Grundversi- cherung abgeschlossen haben. Nachdem wir im letzten Berichtsjahr eine formelle Sachverhaltsabklärung bei der Helsana Krankenkasse durch- geführt und abgeschlossen hatten, erliess der EDÖB am 26. April 2018 eine Empfehlung gemäss Art. 29 DSG gegenüber der Helsana Zusatzversi- cherungen AG. Darin empfahl der EDÖB erstens, den Datenfluss von der Grund- in die Zusatzversicherung im Rahmen des Registrierungsprozesses zu beenden, d.h. bei der Registrierung für das Bonusprogramm die Bearbei- tung von Personendaten der Grund- versicherten zu unterlassen. Zweitens verlangte der EDÖB von der Helsana Zusatzversicherungen AG, Datenbe- arbeitungen betreffend Kunden, die bei der Helsana ausschliesslich grund- versichert sind, zwecks Bemessung und Ausrichtung von geldwerten Rückerstattungen zu unterlassen. Der EDÖB ist der Ansicht, dass die bean- standeten Datenbearbeitungen wirt- schaftlich gesehen auf eine nachträgli- che Rückerstattung eines Teils der Grundversicherungsprämie hinaus- laufen, welche so vom Gesetz nirgends vorgesehen ist. Da die Helsana Zusatzversicherun- gen AG seine Empfehlung ablehnte, entschied sich der EDÖB, den Fall dem Bundesverwaltungsgericht vorzule- gen. Er reichte deshalb am 18. Juni 2018 Klage ein. 26. Tätigkeitsbericht 2018/19 39

Datenschutz die Initiative «Swiss Personalized Health Network» (SPHN) lanciert. Das SPHN ist vom Bund beauftragt, die Grundlagen und Infrastrukturen zu schaffen, damit Forschungsinstitutio- nen gesundheitsbezogene Daten aus- tauschen können. Der EDÖB war an diesen Arbeiten beteiligt. Es ist wich- tig, dass bei der Bearbeitung von nicht-anonymisierten Gesundheits- daten Transparenz herrscht – sowohl hinsichtlich des Bearbeitungszwecks wie der Verwendung der jeweiligen Daten – und die Einwilligung der Patienten vorgängig rechtsgültig einge- holt wird. Rasant wachsende Datenmengen in der «personalisierten Gesundheit» bergen Risiken Die fortschreitende Digitalisierung in Medizin und Forschung führt zu immer grösseren Mengen an Gesundheits- daten. Insbesondere wenn die Daten Rückschlüsse auf Einzelpersonen zulassen, sind die Grundsätze des Datenschutzes zu beachten. Im Gesundheitsbereich entstehen immer grössere Datenbestände. Es handelt sich beispielsweise um klini- sche Daten aus Spitälern, Arztpraxen oder Biobanken sowie von den betrof- fenen Personen selber gesammelte Daten. Letztere entstehen z. B. durch das Nutzen von Gesundheits-Apps, Fitnesstrackern oder medizinischen Geräten wie einem Blutzuckermessge- rät. Ziel der «personalisierten Gesund- heit» ist es, diese Daten zu nutzen, um übergeordnete Gesundheitsstrategien zu entwickeln, bestimmte Krankheits- risiken früher zu erkennen oder medi- zinische Behandlungen speziell für einzelne Patienten oder Patienten- gruppen zu entwickeln. Die wach- sende Datenmenge birgt für die medi- zinische Forschung und Behandlung Chancen, Herausforderungen und Datenschutzrisiken. Eine Herausfor- derung besteht darin, eine gleichblei- bende Qualität und Verlässlichkeit solcher Daten zu garantieren oder deren Vergleichbarkeit sicherzustellen. Datenschutzrisiken sind etwa in Bezug auf die technische Sicherheit oder schwer vorhersehbare Zweckänderun- gen auszumachen. Zudem stellen sich ethische Fragen. Um all diese Aspekte mit einem einheitlichen Ansatz zu lösen, wurde unter der Leitung der Schweizerischen Akademie der Medi- zinischen Wissenschaften (SAMW) 26. Tätigkeitsbericht 2018/19 41

Datenschutz 26. Tätigkeitsbericht 2018/19 43

Datenschutz Als wichtig erachtet der EDÖB auch die im neuen Observationsartikel festgehaltene Pflicht zur nachträgli- chen Information der versicherten Person, wenn sich der Verdacht eines Missbrauchs durch die Observation nicht bestätigt hat. In diesem Fall muss der Versicherer eine Verfügung erlas- sen, die über den Grund, die Art und die Dauer der Observation informiert. Die Versicherten können Einblick in das Observati- onsmaterial verlangen und dann entscheiden, ob es in den Akten bleibt oder ver- nichtet werden soll. Der Versicherer darf das Observationsmaterial jedoch erst dann vernichten, wenn die Verfü- gung rechtskräftig geworden ist und die versicherte Person nicht ausdrück- lich erklärt hat, dass es in den Akten verbleiben soll. Der EDÖB erwartet ausserdem Kon- kretisierungen auf Verordnungsstufe oder mindestens Weisungen zur Observation von Versicherten, die sich an einem Ort befinden, der von einem allgemein zugänglichen Ort eingesehen werden kann. Im Sinne der Verhältnismäs- sigkeit ist dafür zu sorgen, dass der Privatbereich, wie das Innere einer Wohnung, im Sinne der bisherigen Rechtsprechung des Bundesgerichts geschützt bleibt. Wir begrüssen, dass für den Einsatz von technischen Instrumenten zur Stand- ortbestimmung eine gerichtliche Genehmigung eingeholt werden muss. Diese darf nur dann erteilt werden, wenn dem Gericht eine ausreichende Begründung für die Notwendigkeit des Einsatzes von derartigen Geräten im konkreten Einzelfall vorgebracht wurde. Ohne gerichtliche Genehmi- gung dürfen somit keine Trackingge- räte, zum Beispiel an Fahrzeugen, ein- gesetzt werden. Bild- und Tonaufnah- men dürfen allerdings weiterhin ohne richterliche Bewilligung gemacht werden. 1.7 Versicherungen Neuer Observationsartikel für Sozialversicherungen Verdeckte Beobachtungen sind ein wirksames Mittel zur Aufdeckung von Betrug und Missbräuchen im Sozialver- sicherungsbereich. Da sie einen massi- ven Eingriff in die Privatsphäre darstel- len, sind sie aufs Notwendigste zu beschränken. Der EDÖB begrüsst die Bewilligungspflicht für den Einsatz von technischen Geräten zur Standortbe- stimmung. Am 25. November 2018 hat das Stimmvolk den neuen Observations- artikel für verdeckte Überwachungen im Bereich der Sozialversicherung angenommen. Die neue Bestimmung wird voraussichtlich im Herbst 2019 in Kraft treten. Wir werden die Gele- genheit wahrnehmen, zu gegebener Zeit zu den noch ausstehenden Voll- zugsbestimmungen auf Verordnungs- stufe Stellung zu nehmen. Aus daten- schutzrechtlicher Sicht bedeutsam sind insbesondere die Anforderungen an die externen Spezialistinnen und Spezialisten, die mit der Observation beauftragt werden. Das Auswahlver- fahren und möglicherweise auch ein Zulassungsverfahren müssen dafür Gewähr bieten, dass die miss- bräuchliche Verwendung des Observationsmate- rials mit höchster Wahrscheinlichkeit ausgeschlossen werden kann. 26. Tätigkeitsbericht 2018/19 45

tätsdienstleistung zustimmen und welche alternative Wahl sie haben. Wenn durch die Verknüpfung von Sachdaten, die an sich nicht unter das Datenschutzgesetz fallen, Rück- schlüsse auf Personen möglich werden, müssen die datenschutzrechtlichen Grundsätze erfüllt werden. Ferner machte der EDÖB darauf aufmerksam, dass mit der Benutzung von multimodalen Mobilitätsdienst- leistungen schnell Bewegungsprofile entstehen können, aus denen wiede- rum Persönlichkeitsprofile resultieren können. In diesem Fall muss das erhöhte Schutzniveau für besonders schützenswerte Personendaten und Persönlichkeitsprofile eingehalten werden. 1.8 Verkehr Multimodale Mobilität – Wahrung der informationellen Selbstbestimmung ein Muss Das UVEK prüft im Auftrag des Bundes- rats, wie der Bund die multimodale Mobilität fördern und deren Potenziale nutzen kann. Den Reisenden soll die einfache, flexible Kombination von verschiedenen Mobilitätsangeboten auf allen Verkehrskanälen ermöglicht wer- den. Der EDÖB begleitete das Projekt im Berichtsjahr, beriet die Anbieter in datenschutzrechtlichen Belangen und nahm im Rahmen der Ämterkonsulta- tion Stellung. Mit neuen digitalen Technologien sollen sich Reisende einfacher über die Kombination von verschiedenen Mobilitätsangeboten informieren kön- nen. Dabei werden grosse Mengen an Personendaten bearbeitet. Der EDÖB verfolgte das Projekt, welches sich immer noch in der Anfangsphase befindet, und beriet die Anbieter der multimodalen Mobilitätsdienstleis- tungen unter anderem in verschiede- nen Sitzungen. Die Anbieter sind sich bewusst, dass bei der Bear- beitung von Personendaten die Wahrung der informa- tionellen Selbstbestimmung der Betroffenen gewahrt werden muss und dass konkrete Mass- nahmen zum Schutz der Persönlich- keitsrechte der Betroffenen getroffen werden müssen. Der EDÖB wies dar- auf hin, dass insbesondere kein direk- ter oder indirekter Zwang zur Preis- gabe von Personendaten ausgeübt werden darf. Damit die Einwilligung durch die Betroffenen freiwillig erfol- gen kann, müssen sie vorgängig trans- parent darüber informiert werden, welchen Datenbearbeitungen sie mit der Wahl einer bestimmten Mobili- Datenschutz Echte Wahlmöglichkeiten und anonymes Reisen für die Kunden Der EDÖB nahm zudem im Rahmen der Ämterkonsultation zur multimo- dalen Mobilität Stellung. Dabei äus- serte er sich auch zur geplanten Anpas- sung der Bestimmung im Personenbe- förderungsgesetz (PBG) betreffend Datenbearbeitung durch die Unter- nehmen des öffentlichen Verkehrs (öV). Mit dieser Anpassung sollen die öV-Unternehmen bei der Bearbeitung von Daten nicht mehr den daten- schutzrechtlichen Vorgaben für Bun- desorgane, sondern neu grundsätzlich jenen für private Personen unterste- hen und mit Einwilligung der Reisen- den deren Daten für bestimmte Zwe- cke bearbeiten dürfen. Der EDÖB war mit der vorgeschlagenen Formulie- rung nicht einverstanden und wies darauf hin, dass in diesem Fall die Einwilligungen der Kunden nur beachtlich seien, wenn sie freiwillig, d.h. aufgrund echter Wahlmöglichkei- ten erfolgen würden. Beim automati- schen Ticketing hiesse dies, dass die Kunden alternativ zu den geplanten Modellen die Möglichkeit haben müss- ten, zu den gleichen Bedingungen, d.h. diskriminierungsfrei, ohne Preisgabe ihrer Personendaten anonym zu reisen. Zudem bedürfe die Bearbeitung von Personendaten zu Zwecken der Ein- griffsverwaltung unverändert einer gesetzlichen Grundlage. Der EDÖB begrüsst, dass seine Bemerkungen im Vernehmlassungsentwurf Eingang fanden. Der EDÖB wird das Projekt weiter- hin begleiten. Zu gegebener Zeit wer- den die mit dem Projekt verbundenen Datenschutzrisiken zu evaluieren sein. 26. Tätigkeitsbericht 2018/19 47

1.9 International Aufsichtskoordinations- gruppen über die Informations systeme SIS II, VIS und Eurodac Im Berichtsjahr trafen sich die Auf- sichtsgruppen in Brüssel. Sie nahmen Stellung zu den Vorschlägen der EU-Kommission betreffend die Inter- operabilität zwischen den EU-Informa- tionssystemen. Auch in diesem Jahr nahm der EDÖB als nationale Aufsichtsbehörde an den Sitzungen der drei Aufsichtskoordina- tionsgruppen über die EU-Informa- tionssysteme SIS II, VIS (Vorsitz EDÖB) und Eurodac teil. Diese fanden am 12./13. Juni 2018 sowie 14./15. November 2018 in Brüssel statt. Ver- treten sind der europäische Daten- schutzbeauftragte (EDSB) sowie die nationalen Datenschutzbehörden der 28 EU-Mitgliedstaaten unter Teil- nahme Irlands und des Vereinigten Königreichs als Beobachter. Ergänzt werden die Gruppen mit den nationa- len Datenschutzbehörden der Schweiz, Liechtensteins, Norwegens und Islands, da deren Länder an den Infor- mationssystemen teilhaben. Die Aufsichtskoordinationsgruppen SIS und Eurodac haben u.a. ihre Tätig- keitsberichte 2016/2017 verabschie- det. Zuhanden des EU-Parlaments, des EU-Rats und der EU-Kommission nahmen sie Stellung zu den Vorschlä- gen der EU-Kommission für eine Ver- ordnung, welche den Rahmen für die Interoperabilität zwischen EU-Infor- mationssystemen festlegen soll. Die Gruppe VIS ihrerseits hat zuhanden dieser Gremien eine Stellungnahme zu den vorgeschlagenen Änderungen der EU-Kommission betreffend das VIS vorbereitet und verschickt. (vgl. www.sis2scg.eu, www.visscg.eu, www.eurodacscg.eu) Zurzeit wird das Sekretariat der drei Aufsichtskoordinationsgruppen durch den europäischen Datenschutz- beauftragten geführt. In Zukunft soll die Führung dem Europäischen Daten- schutzausschuss (EDSA) übertragen werden. Datenschutz Arbeitsgruppe «Border, Travel & Law Enforcement» Im Lauf des Berichtsjahrs nahm der EDÖB als Schengen-Mitgliedstaat an sieben Treffen der Unterarbeitsgruppe teil, die namentlich die Interoperabili- tät der grossen Informationssysteme der Europäischen Union im Bereich Migration, Asyl und Sicherheit, sowie die Zukunft der Überwachungsmodelle der grossen Informatiksysteme der EU im Bereich Justiz und Innenpolitik zum Thema hatten. Eines der Hauptthemen auf diesen Tagungen war die Interoperabilität der (bereits bestehenden und künftigen) gross angelegten Informationssysteme der europäischen Union im Bereich Migration, Asyl und Sicherheit. Im Dezember 2017 veröffentlichte die EU-Kommission zwei Verordnungs- vorschläge zur Schaffung eines Rechts- rahmens für die Interoperabilität der grossen Informationssysteme der Europäischen Union. Dieser neue Ansatz sowie die neu eingeführten Komponenten (Einrichtung eines europäischen Suchportals, eines Servi- cepools für den Abgleich biometri- scher Daten sowie eines gemeinsamen Identitätsdatenverzeichnisses) haben Auswirkungen nicht nur auf den Datenschutz, sondern auch auf die Steuerung und Überwachung der Sys- teme. Hinsichtlich Datenschutz gab es Bedenken zur Zweckbestimmung einer zentralisierten Datenbank sowie zu den Voraussetzungen und Modali- täten ihrer Nutzung. Der europäische Datenschutzbeauftragte und die natio- nalen Datenschutzbehörden fordern die Einführung echter Garantien, um die Grundrechte der Staatsbürger von Drittländern zu wahren (vgl. zu die- sem Thema die Stellungnahme des 26. Tätigkeitsbericht 2018/19 49

Datenschutz Die geschlossene Tagung verabschie- dete eine Erklärung zu Ethik und Datenschutz in der künstlichen Intelli- genz. Dieser Text stellt sechs Leitsätze auf, die eigentliche Grundwerte für die Wahrung der Menschenrechte bei der Entwicklung der künstlichen Intelli- genz darstellen. Schliesslich nahm die Konferenz fünf Resolutionen zu fol- genden Themen an: E-Learning-Platt- formen, die Änderung der Regeln und Verfahren betreffend die internatio- nale Konferenz, die Kursbestimmung für die Zukunft der internationalen Konferenz, die Zusammenarbeit zwi- schen den Datenschutzbehörden und den Verbraucherschutzbehörden und eine Bestandsaufnahme der interna- tionalen Konferenzen. mittlerweile von der Agenda unserer Staats- und Regierungschefs nicht mehr wegzudenken, und diese Tech- nologien bieten ein enormes Potenzial an Lösungen für die Menschheit. Erklärung zu Ethik und Datenschutz in der künstlichen Intelligenz Die Konferenz wurde erstmals von einer europäischen Institution und einer nationalen Datenschutzbehörde gemeinsam ausgerichtet. Über tausend Teilnehmer diskutierten die aktuellen Datenschutzfragen. An der geschlosse- nen Konferenz wurden vier Neumit- glieder aufgenommen: die Kontroll- stelle für Informationszugang von Argentinien, die Datenschutzbehör- den von Bayern und von Niedersach- sen und die Kommunikationskom- mission von Korea. Der Konferenz gehören nun 123 Mitglieder an. Elisa- beth Denham (Präsidentin der briti- schen Datenschutzbehörde ICO) wurde zur neuen Präsidentin und Nachfolgerin von Isabelle Falque- Pierrotin (Präsidentin der CNIL) gewählt. Die nächste internationale Konferenz findet vom 21. bis 25. Oktober 2019 in Tirana statt. Internationale Konferenz der Datenschutzbeauftragten Die 40. Internationale Konferenz der Datenschutzbeauftragten befasste sich mit der digitalen Revolution und ihrer Auswirkung auf unsere Gesell- schaften, sowie mit der Frage, wie eine neue digitale Ethik dazu beitragen könnte, Achtung und Würde in unserer technologiebeherrschten Welt zu gewährleisten. Es wurde eine Arbeits- gruppe zum Thema künstliche Intelli- genz eingesetzt. Die Konferenz fand vom 22. bis 26. Oktober 2018 in Brüssel unter der Leitung des Europäischen Daten- schutzbeauftragten (EDSB) und der bulgarischen Datenschutzkommission statt und war dem Thema «Erörterung ethischer Aspekte: Würde und Res- pekt in einem von Daten beherrschten Leben» gewidmet. Wie Isabelle Fal- que-Pierrotin, Präsidentin der CNIL (französische Datenschutzkommis- sion) und Vorsitzende der Internatio- nalen Konferenz in ihrer Eröffnungs- rede betonte, haben diese Themen in der Tat eine neue Dimension ange- nommen; sie erstrecken sich auf neue, vermehrt politische und ethische Pro- blembereiche und treten in einem internationalen Umfeld zutage, das zwar nie besonders harmonisch war, das heute aber ein besonders kontrast- reiches Bild abgibt. Selbst zu Fragen, die unseren Kernauftrag betreffen, wie Ortungsdienste, Internetsicherheit, Massenüberwachung oder nachrich- tendienstliche Aufklärungstechniken, gehen die Meinungen auseinander. Die Digitalisierung bedeutet weltweit eine einzigartige Entwicklungschance, eine eigentliche Revolution. «Tech for good» oder «AI for humanity» sind 26. Tätigkeitsbericht 2018/19 51

Datenschutz Französischsprachige Vereinigung der Datenschutz- behörden (AFAPDP) Die AFAPDP organisierte unter anderem ein Podiumsgespräch über den Einfluss der sozialen Netzwerke auf Wahl- prozesse, an dem Wahlexperten und Vertreter von politischen Parteien teil- nahmen. Die französischsprachige Vereinigung der Datenschutzbehörden (AFAPDP) traf am 18. und 19. Oktober 2018 in Paris. Der EDÖB ist seit ihrer Grün- dung im Jahr 2007 ausserordentliches Mitglied der Vereinigung. Bei dieser Gelegenheit verabschiedeten die Mit- glieder eine Resolution über das Eigentum an den persönlichen Daten und wiesen damit auf die Tatsache hin, dass Personendaten Bestandteile des Menschen als Person sind. Es ist daher notwendig, im französischsprachigen Raum den Erlass von Gesetzgebungen zum Schutz der Personendaten und der Privatsphäre zu unterstützen, um die Wahrung der Demokratie und der Rechtsstaatlichkeit in unseren Gesell- schaften zu garantieren. Diese Rechts- vorschriften müssen es den Einzelper- sonen ermöglichen, die mit den per- sönlichen Daten verbundenen unver- äusserlichen Rechte umfassend wahr- zunehmen, indem ihnen eine weitrei- chende Kontrolle über ihre Daten gewährleistet wird. Schliesslich konn- ten die verschiedenen Behörden in einer weiteren Sitzung ihre Erfahrun- gen mit der DSGVO, fünf Monate nach deren Inkrafttreten, diskutieren. 26. Tätigkeitsbericht 2018/19 53

Schwerpunkt III 26. Tätigkeitsbericht 2018/19 55

Schwerpunkt III Das Übereinkommen 108+ gilt als Referenz für ein angemessenes Datenschutzniveau Das Änderungsprotokoll zum Übereinkommen 108 tritt in Kraft, sobald es von allen Parteien angenommen wurde, oder wenn 38 Parteien es binnen einer Frist von fünf Jah- ren angenommen haben. Bei der Verabschiedung des Tex- tes forderte das Ministerkomitee sämtliche Parteien auf, sich mit allen Mitteln um eine rasche Inkraftsetzung zu bemühen. Die Ratifizierung des Übereinkommens 108+ ist ein wesentliches Kriterium für die Europäische Union, damit ein Entscheid, das Datenschutzniveau eines Dritt- staates als angemessen anzuerkennen, weiterhin gilt. Dies ist insbesondere für Wirtschafts- und Finanzplätze von Drittstaaten wie der Schweiz unerlässlich, weil davon der freie Datenverkehr zwischen der Schweiz und der EU abhängig ist. Nicht zuletzt auch mit Blick auf die voranschreitende Evaluation durch die Europäische Kommission (s. Ziff. III), liegt es im Interesse der Schweiz, das Änderungspro- tokoll baldmöglichst zu unterzeichnen und nachfolgend zu ratifizieren. Dies setzt voraus, dass die in den eidgenös- sischen Räten hängige Revision des Bundesgesetzes über den Datenschutz in Einklang mit den Bestimmungen des Übereinkommens 108+ vorgenommen wird, wie das der Bundesrat in seiner Botschaft vorgeschlagen hat. Auch die Kantone müssen ihre Gesetzgebungen zeitgerecht an passen. Der Beratende Ausschuss zum Übereinkommen 108 (T-PD) hat den Entwurf für eine Empfehlung zum Daten- schutz im Gesundheitsbereich angenommen. Diese Emp- fehlung, die das Ministerkomitee im Laufe dieses Jahres verabschieden sollte, wird die Empfehlung R (97) 5 über den Schutz medizinischer Daten ersetzen. Sie soll den seit 1997 eingetretenen technologischen Entwicklungen und dem Übereinkommen 108+ Rechnung tragen. Der T-PD hat zudem einen praktischen Leitfaden zum Datenschutz im Polizeisektor angenommen, der sich in erster Linie an die Polizeikräfte richtet und die Datenschutzprinzipien und -bestimmungen veranschaulicht. Der T-PD hat auch Leitlinien zum Schutz der Privatsphäre und zu den Medien herausgegeben, die gemeinsam mit dem Len- kungsausschuss für die Medien und die Informationsge- sellschaft (CDMSI) ausgearbeitet wurden, sowie einen Leitfaden zu den Grundsätzen der Achtung der Privat- sphäre und des Datenschutzes bei der Datenbearbeitung im Zusammenhang mit der ICANN (Internet Corpora- tion for Assigned Names and Numbers) herausgegeben. Er ist ausserdem daran, Leitlinien betreffend den Daten- schutz und die künstliche Intelligenz zu erarbeiten, sowie zu den im Übereinkommen 108+ vorgesehenen Überwa- chungs- und Beurteilungsmechanismen. 26. Tätigkeitsbericht 2018/19 57

Öffentlichkeitsprinzip

Öffentlichkeitsprinzip 2.2 Zugangsgesuche – stetige Zunahme Laut den uns für das Jahr 2018 gemel- deten Zahlen wurden bei den Bundes- behörden 636 Zugangsgesuche gestellt (gegenüber 581 für 2017). Dies ent- spricht einem Zuwachs von 9,5 Pro- zent. Unter Einbezug der Bundesan- waltschaft (8) und der Parlaments- dienste (3) beläuft sich die Zahl insge- samt auf 647. Die Behörden gewährten in 352 Fällen einen vollständigen Zugang, was einem Anteil von 55 Prozent entspricht (gegenüber 317 oder ebenfalls 55 Pro- zent im Jahr 2017), während in 119 Fällen (19 Prozent) nur ein Teilzugang gewährt wurde (gegenüber 106 oder 18 Prozent im Jahr 2017). In 62 Fällen (zehn Prozent) wurde der Zugang voll- ständig verweigert (gegenüber 107 oder 18 Prozent im Jahr 2017). Des Weiteren teilten uns die Behörden mit, dass 24 Zugangsgesuche (vier Prozent) zurückgezogen wurden (gegenüber 26 bzw. lediglich vier Prozent im Jahr 2017), dass 48 Gesuche (acht Prozent) am Ende des Jahres 2018 noch hängig waren (gegenüber 21 oder vier Prozent im Jahr 2017), und dass in 31 Fällen (fünf Prozent) kein amtliches Doku- ment vorhanden war. Departemente und Bundesämter Aufgrund der von den Ämtern vorge- legten Zahlen stellt der Beauftragte fest, dass das BAG im Jahr 2018 am meisten Gesuche erhalten hat (42), gefolgt vom BAV (27) und von Swiss- medic (24). Die Departemente mit den meisten eingegangenen Gesuchen sind das EDA (156) und das EDI (112). 16 Behörden meldeten dagegen, dass bei ihnen im Laufe des Jahres 2018 kein einziges Gesuch eingereicht wor- den sei. Im selben Zeitraum gingen beim EDÖB selber sieben Gesuche ein. Er gewährte in vier Fällen den voll- ständigen und in einem Fall einen teilweisen Zugang, ein Fall ist noch hängig und im letzten Fall war kein Dokument vorhanden. 600 500 400 300 200 100 0 2009 2010 2011 2012 2013 2014 2015 2016 2017 2018 Total Gesuche Zugang gewährt Zugang teilweise gewährt / aufgeschoben Zugang verweigert Rückzug hängig kein amtliches Dokument vorhanden 26. Tätigkeitsbericht 2018/19 61

Öffentlichkeitsprinzip Insgesamt konnten im Berichtsjahr 64 Schlichtungsverfahren abgeschlos- sen werden. Davon stammen 61 Anträge aus dem Berichtsjahr selbst und drei aus 2017. In 26 Fällen konnte zwischen den Beteiligten eine Eini- gung erzielt werden. In 22 Fällen, in denen eine einvernehmliche Lösung nicht möglich war, erliessen wir Empfehlungen. Drei Schlichtungs- anträge wurden zurückgezogen und in sechs Fällen waren die Vorausset- zungen für die Anwendung des Öffentlichkeitsgesetzes nicht gegeben. In weiteren sechs Fällen wurde der Schlichtungsantrag nicht fristgerecht eingereicht. Schlichtungsanträge Im Jahr 2018 wurden 76 Schlich- tungsanträge beim Beauftragten ein- gereicht, drei weniger als 2017 (79), darunter nahezu gleich viele von Privatpersonen (26) wie von den Medienschaffenden (24). Diese Zahlen lassen folgende Schlüsse und Bemerkungen zu: in 212 Fällen verweigerte die Bundesverwal- tung den Zugang vollständig (62) oder teilweise (119), oder sie konnte den Zugang in Ermangelung der Doku- mente nicht gewähren (31). Diese Angaben sind in Beziehung zu den 76 beim Beauftragten eingegangenen Schlichtungsanträgen zu setzen. 36 Prozent der teilweise oder vollstän- dig verweigerten Zugangsgesuche waren Gegenstand eines Schlichtungs- antrags (gegenüber 37 Prozent im Jahr 2017). CHF 25 000 20 000 15 000 10 000 5 000 0 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017 2018 26. Tätigkeitsbericht 2018/19 63

Anteil einvernehmlicher Lösungen Um die Auswirkungen der Überfüh- rung des Pilotversuchs in das ordentli- che Verfahren abzuschätzen, wurden die drei oben definierten Kategorien bzw. Zeiträume analysiert. Der erste betrifft die Periode von 2013 bis 2016, der zweite das Jahr der Durchführung des Pilotversuchs (2017) und der dritte das Jahr der konkreten Umset- zung des Pilotversuchs (2018). Tabelle 2: Verhältnis Empfehlungen und einvernehmliche Lösungen Der Beauftragte stellt fest, dass die Steigerung des Anteils einvernehmli- cher Lösungen im Vergleich zu den Empfehlungen konstant geblieben ist und dass somit die positiven Aus- wirkungen des Pilotversuchs von 2017 auch 2018 weiter andauerten. Die Durchführung der mehrheitlich mündlichen Schlichtungspraxis führte im Vergleich zu den Vorjahren zu einer signifikanten Zunahme der einver- nehmlichen Lösungen. Zur Information: Sämtliche Emp- fehlungen werden auf der Website des Beauftragten publiziert und sind dort jederzeit abrufbar. 2013 – 2016 40 % 2017 60 % 2018 55 % Öffentlichkeitsprinzip Anzahl hängiger Fälle Tabelle 3: Hängige Schlichtungs- verfahren Ende 2016 33 Ende 2017 3 (2 in Bearbeitung; 1 Sistierung) Ende 2018 15 (davon 13 im Februar 2019 erledigt und 2 sistiert) Am Ende des Pilotversuchs (2017) waren nur drei Verfahren hängig (gegenüber 33 im Jahr 2016). Ende 2018 waren noch 15 Fälle hängig, wobei zehn Schlichtungsanträge im Dezember gestellt worden waren. Es ist anzumerken, dass bereits im Feb- ruar 2019 dreizehn dieser Verfahren erledigt und zwei sistiert worden sind. Eine Sistierung des Schlichtungsver- fahrens erfolgt, wenn eine Behörde insbesondere nach der Schlichtungs- sitzung ihre Stellungnahme erneut überprüfen möchte oder wenn sie betroffene Dritte anhören muss. Obwohl die Anzahl hängiger Ver- fahren im Vergleich zum Vorjahr gestiegen ist, stellt der Beauftragte fest, dass es sich nicht um einen Leistungs- abfall, sondern um einen statistischen Zufall handelt, da zahlreiche Schlich- tungsanträge im Dezember einge- reicht wurden. Der Rückgang der hän- gigen Fälle gegenüber den früheren Jahren ist demnach weiterhin offen- kundig. 26. Tätigkeitsbericht 2018/19 65

Öffentlichkeitsprinzip Wir haben im Rahmen der Konsulta- tionen jeweils beantragt, auf diese Regelung zu verzichten, da die in Frage stehenden Unterlagen vor Beginn des Ämterkonsultationsverfahrens erstellt bzw. dem BAG eingereicht wurden und somit aus diesem Grund schon gar keine «amtlichen Dokumente des Ämterkonsultationsverfahrens» dar- stellen. Die Voraussetzungen für einen endgültigen Ausschluss vom Öffent- lichkeitsgesetz waren somit nicht erfüllt. Hinzu kommt, dass das Öffentlichkeitsgesetz bereits eine spe- zifische Bestimmung für den Schutz von Geschäftsgeheimnissen der Unternehmen kennt. Das BAG hat in der Folge auf die Sonderregelung ver- zichtet. 26. Tätigkeitsbericht 2018/19 67

Der EDÖB

Beratung Wie im Eingangskapitel «Aktuelle Herausforderungen und Schwer- punkte» dargelegt, sieht sich der EDÖB im Leistungsbereich der Bera- tung, aufgrund der Notwendigkeit immer umfangreichere und komple- xere Projekte zu begleiten, mit einer weiter anwachsenden Nachfrage kon- frontiert. In der Berichtsperiode hat sich der Anstieg der für die Beratung aufgewendeten personellen Mittel weiter auf 53,9 Prozent erhöht. Gemäss dem Kontrollplan des EDÖB für das Jahr 2019 ist die beratende Begleitung von elf grossen Projekten im Gang. Tabelle 6: Beratungen in umfangreicheren Projekten für 2018 Verkehr Finanzen Gesundheit und Arbeit Sicherheit Telekom / Internet of Things (IOT) 2 1 3 2 3 Da die Mittel des EDÖB bisher weder an die gestiegenen technologischen Risiken der Re-Identifikation und zweckwidrigen Datenabflüsse noch an die übrigen Herausforderungen der Digitalisierung angepasst wurden, kann er die gestiegene Nachfrage nach beratender Projektbegleitung nach wie vor nicht in der gewünschten Tiefe und Zeit erfüllen. In der Berichtspe- riode haben die drei Teams des Direk- tionsbereichs Datenschutz insgesamt monatlich rund achtzig Anfragen und Anzeigen von Bürgerinnen und Bür- gern mit einem Standardschreiben beantwortet, das die Betroffenen auf den zivilprozessualen Weg verweist. Zudem musste unsere Behörde bei anderen Posten in der Leistungs- gruppe Beratung, wie der internatio- nalen Zusammenarbeit, Abstriche machen. Da sich Big Data und «künst- liche Intelligenz» in immer mehr Bran- chen als Geschäftsmodell durchsetzen und die technologischen Datenschutz- risiken den Aufsichtsbereich des EDÖB weiter ausdehnen, ist wie in den Vorjahren von einer weiter stei- genden Anzahl von umfangreichen Datenbearbeitungsprojekten bei Staat und Wirtschaft auszugehen. Der EDÖB Aufsicht Aufgrund der Dynamik von Cloud- gestützten Applikationen müssen Kontrollen heute rasch durchgeführt werden. Diese Beschleunigung sowie die immer wichtiger werdende Kom- bination von juristischem und techni- schem Fachwissen schliessen längere Unterbrüche bei den Sachverhaltsklä- rungen aus, sodass umfassendere Kon- trollen von mehreren Mitarbeitenden betreut werden müssen. Die aktuellen Personalbestände setzen wie bereits mehrfach ausgeführt der Dichte der Kontrollen enge Grenzen. Im Jahr 2018 wurden für die Aufsichtstätig- keit rund zwölf Prozent der Personal- ressourcen aufgewendet, was deutlich unter dem langjährigen Mittelwert von rund zwanzig Prozent lag. In der aktuellen Berichtsperiode konnte der Anteil wieder auf rund 15 Prozent angehoben werden, was dem Stand der Periode von 2016/17 entspricht. Gemäss Kontrollplan für das Jahr 2019 werden mit diesen Mitteln noch zwölf umfassendere Kontrollen bestritten. Im Vergleich zu der Anzahl von rund 12 000 grossen und mittleren Unter- nehmen in der Schweiz erweist sich die aktuelle Kontrolldichte nach wie vor als tief. Für den Beauftragten bleibt es schwierig, seine ressourcenbedingte Zurückhaltung bei der Eröffnung for- meller Sachverhaltsabklärungen gegenüber Medien und Konsumenten- schutzorganisationen zu vermitteln. 26. Tätigkeitsbericht 2018/19 71

Der EDÖB Leistungen und Ressourcen im Bereich Öffentlichkeits- gesetz Die Einheit BGÖ, wo unverändert 3,6 Stellen eingesetzt werden, ist nach Durchführung eines einjährigen Ver- suchs zu einem beschleunigten und summarischen Verfahren übergegan- gen, das sich dadurch charakterisiert, dass in der Regel mündliche Schlich- tungsverhandlungen durchgeführt werden. Dieses Verfahren bewährt sich weiterhin, indem der Anteil der ein- vernehmlich abgeschlossenen Schlich- tungen nach wie vor hoch und die Überschreitung der gesetzlichen Fris- ten im Wesentlichen auf prozessual und inhaltlich komplexe Fälle beschränkt werden konnten. Bei einem Anstieg der Zahl der Schlich- tungsanträge, mehreren Anträgen innert eines kurzen Zeitraums und personellen Vakanzen kommt es indes rasch zu Arbeitsrückständen. Bemessungskriterien Ob dem EDÖB mit Blick auf die im Berichtsjahr hinzugekommenen Auf- gaben und die Resultate der letzten Schengen-Evaluation zusätzliche Res- sourcen zugesprochen werden, liegt in der Verantwortung der politischen Behörden, denen bei der Einschätzung aktueller und künftiger Entwicklun- gen der Digitalisierung und deren Auswirkungen auf die Tätigkeit unse- rer Behörde ein erheblicher Ermes- sensspielraum bleibt. Kernaufgabe des EDÖB ist der Schutz der Privatsphäre und die Gewährleistung des Rechts auf infor- mationelle Selbstbestimmung in der digitalen Gesellschaft. Der EDÖB muss unabhängig handeln können. Dies erfordert angemessene und aus- reichende personelle, materielle, tech- nische und finanzielle Ressourcen, welche die Aufsichtsbehörde nicht darauf beschränken, reaktiv das Unab- dingbare zu erledigen, sondern ihr die Initiative zum Handeln ermöglichen – und zwar mit einem Mass an Glaub- würdigkeit und Intensität, welches die betroffene Öffentlichkeit zum Schutz ihrer Grundrechte vernünftigerweise erwarten darf. Mit Blick auf die einzelnen Leis- tungsgruppen ergeben sich somit fol- gende, für die Bemessung der Mittel wegleitende Wirkungsziele: Tabelle 7: Wirkungsziele EDÖB Leistungsgruppe Wirkungsziele Beratung Aufsicht Information Gesetzgebung Der EDÖB entfaltet eine erwartungsadäquate Präsenz für die Beratung von Privatpersonen sowie die Begleitung von datenschutzsensiblen Projekten der Wirtschaft und der Bundesbehörden unter Anwendung digitalisierungstauglicher Arbeitsinstrumente. Der EDÖB entfaltet eine glaubwürdige Dichte an Kontrollen. Der EDÖB sensibilisiert die Öffentlichkeit proaktiv für technologie- und anwendungsbezogene Risiken der Digitalisierung. Der EDÖB nimmt rechtzeitig und aktiv Einfluss auf alle datenschutzrelevanten Spezialnormen und Regelwerke, die auf nationaler und internationaler Ebene geschaffen werden. Er unterstützt die interessierten Kreise bei der Formulierung von Regeln der guten Praxis. 26. Tätigkeitsbericht 2018/19 73

Der EDÖB • Auf der Website des EDÖB publi- zierten wir 18 Empfehlungen betreffend das Öffentlichkeitsprin- zip. Im Bereich Datenschutz waren es deren zwei. Weiter haben wir diverse Merkblätter und Leitfäden aktualisiert wie bspw. jene zu Dash- cams oder der Datenübermittlung ins Ausland. Mit der bei uns verlinkten interaktiven Plattform Think Data konnten wir ein breiteres Publikum für den Daten- schutz bzw. mehr Transparenz sensi- bilisieren. Anhand von konkreten Szenarien werden hier datenschutz- rechtliche Empfehlungen abgegeben. Think Data ist ein Projekt einer inter- disziplinären Arbeitsgruppe (Think- services), an dem der EDÖB mitge- wirkt hat und es heute noch unter- stützt. Die Publikation des jährlichen Tätigkeitsberichts erfolgt erstmals auch vollumfänglich in den Sprachen Italienisch und Englisch. Zudem haben wir die Lesefreundlichkeit auf den Ebe- nen Layout und Text verbessert. Um einen Schritt Richtung digitales Publi- shing zu gehen, wurde der Bericht erstmals auch als e-Paper herausge- geben. Website nach wie vor wichtigster Kanal unserer Kommunikation Die Webseite ist der zentrale Kommu- nikationskanal des EDÖB. Wir zählen jährlich 480 000 Besucher/innen oder rund 2000 an einem Arbeitstag. Zwei von fünf Besuchern kommen aus dem Ausland – mehrheitlich aus europäi- schen Staaten, aber auch aus Übersee oder Asien. Die Inhalte sind in der Regel in den drei Sprachen Deutsch, Französisch und Italienisch abrufbar – Inhalte, die für ausländische Nutzerin- nen und Nutzer relevant sind, auch in Englisch. Es ist vorgesehen, den Web- auftritt schrittweise zu optimieren: Er soll einfacher und visueller aufbereitet werden und den Nutzern vermehrt Dialogformate anbieten. Unter @derBeauftragte kommuni- zieren wir zudem via den Microblog Twitter. Ziel ist es, unseren Followern den raschen Zugang zu relevanten Informationen zu erleichtern und Teil der am Datenschutz interessierten Community zu sein. Auf die Nutzung anderer Social Media Plattformen wurde aufgrund unserer knappen Res- sourcen, teilweise aber auch aus ande- ren Gründen verzichtet. Diverse Leitfäden und Empfehlungen publiziert Im Berichtsjahr erstellte der Beauf- tragte diverse umfassendere Publika- tionen und machte diese zugänglich. • So haben wir einen Leitfaden zur EU-Datenschutzgrundverordnung (DSGVO) aufgeschaltet, bevor diese am 25. Mai 2018 in Kraft getreten war. Erste Guidelines zur DSGVO seitens EU-Behörden wurden Ende 2018 ebenfalls publiziert und vom EDÖB auf Twitter geteilt. • Damit Kinder und Jugendliche für den sicheren Umgang mit den neuen Medien sensibilisiert werden, haben wir – mit Unterstützung des Bundesamts für Sozialversicherun- gen BSV – per Anfang August 2018 unser Lehrmittel vollständig erneu- ert. Es richtet sich an Lehrpersonen für den Unterricht mit 13- bis 19-jährigen Schüler/innen und ist in den drei Landessprachen auf unserer Website verfügbar. • Im Dezember 2018 hat der EDÖB gemeinsam mit den kantonalen Datenschutzbehörden (Privatim) einen Leitfaden zu Wahlen und Abstimmungen in den Sprachen Deutsch, Französisch, Italienisch und Englisch veröffentlicht. • Im Januar 2019 haben wir erläu- ternde Informationen zum Schen- gen-Datenschutzgesetz aufgeschal- tet, bevor dieses am 1. März 2019 in Kraft trat. 26. Tätigkeitsbericht 2018/19 75

Der EDÖB Beratung Information Aufsicht Gesetzgebung Mehrjahresvergleich Aufwand (Angaben in Prozent) 60 50 40 30 20 10 0 2009 2010 2011 2012 2013 2014 2015 2016 2017 2018 2019 26. Tätigkeitsbericht 2018/19 77

Der EDÖB Dokument vorhanden kein amtliches Zugang vollständig gewährt Zugang vollständig verweigert gewährt /aufgeschoben Zugang teilweise Zugangsgesuch zurückgezogen Zugangsgesuch hängig 3 3 3 2 7 1 1 0 1 1 0 1 0 23 4 10 2 11 5 4 3 1 0 10 3 2 55 0 0 1 0 1 0 0 0 0 1 0 0 0 3 1 0 0 1 0 0 0 1 0 1 0 0 4 0 0 0 0 2 0 0 0 0 0 0 0 0 2 0 15 3 0 0 3 1 0 1 2 0 0 25 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 2 0 0 0 0 0 0 0 6 0 0 8 0 0 0 0 1 0 0 0 0 0 0 0 0 1 0 0 0 0 1 0 3 0 0 1 0 0 5 2 0 0 0 2 0 0 0 0 0 0 0 0 4 0 0 1 0 0 3 3 1 0 0 0 0 8 Eidg. Justiz- und Polizei departement EJPD Eidg. Departement für Umwelt, Verkehr, Energie und Kommunikation UVEK Betroffener Fachbereich GS EJPD BJ FEDPOL METAS SEM Dienst ÜPF Total SIR IGE ESBK ESchK RAB ISC NKVF GS BAV BAZL BFE ASTRA BAKOM BAFU ARE ComCom ENSI PostCom UBI Anzahl Gesuche 5 3 4 2 13 1 1 0 1 2 0 1 0 33 5 27 6 12 6 10 10 3 1 20 3 2 Total 105 26. Tätigkeitsbericht 2018/19 79

Der EDÖB Übersicht der Zugangsgesuche der Departemente und der Bundeskanzlei Departement Anzahl Gesuche Zugang vollständig gewährt Zugang vollständig verweigert gewährt /aufgeschoben Zugang teilweise Zugangsgesuch zurückgezogen Zugangsgesuch hängig Dokument vorhanden kein amtliches BK EDA EDI EFD EJPD UVEK VBS WBF 25 156 112 68 33 105 41 96 13 107 48 32 23 55 22 52 Total 2018 (%) 636 (100) 352 (55) 4 2 12 17 3 4 2 18 5 28 24 8 2 25 7 20 62 (10) 119 (19) Total 2017 (%) 581 (99) 317 (55) 107 (18) 106 (18) Total 2016 (%) 551 (99) 293 (53) Total 2015 (%) 597 (100) 319 (53) 87 98 (16) 105 (19) (16) 127 (21) Total 2014 (%) 575 (100) 297 (52) 122 (21) 124 (22) Total 2013 (%) 469 (100) 218 (46) 122 (26) 103 (22) Total 2012 (%) 506 (100) 223 (44) 138 (27) 120 (24) Total 2011 (%) 466 (100) 203 (44) 126 (27) 128 (27) Total 2010 (%) 239 (100) 106 (44) Total 2009 (%) 232 (100) 124 (53) 62 68 (26) (29) 63 40 (26) (17) 0 6 6 1 0 8 2 1 24 (4) 26 33 31 15 18 19 0 0 0 (4) (6) (5) (3) (4) (4) (0) (0) (0) 1 8 20 3 1 5 8 2 48 (7) (4) (5) (4) (3) (2) (1) (2) (3) 21 29 22 17 8 6 9 8 – 2 5 2 7 4 8 0 3 31 (5) – – – – – – – – – Anzahl Schlichtungsgesuche nach Kategorien der Antragssteller Kategorie Antragsteller Medien Privatpersonen (bzw. keine genaue Zuordnung möglich) Interessenvertreter (Verbände, Organisationen, Vereine usw.) Rechtsanwälte Unternehmen Total 2018 24 26 9 4 13 76 26. Tätigkeitsbericht 2018/19 81

Organigramm 3.4 Organisation EDÖB (Stand 31. März 2019) Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Adrian Lobsiger, Beauftragter Marc Buntschu, stv. Beauftragter Kommunikation Hugo Wyler Direktionsbereiche Datenschutz Daniel Dzamko Öffentlichkeits- prinzip Reto Ammann Kompetenzzentren Kosmas Tsiraktsopoulos Internationale Angelegenheiten, Gesetzgebung und Kantone Marc Buntschu Kompetenz zentrum Geschäfts verwaltung, Personelles und Finanzen Kompetenzzentrum IT und Digitale Gesellschaft Team 1 Team 2 Team 3 26. Tätigkeitsbericht 2018/19 83

Abkürzungsverzeichnis Abbildungsverzeichnis Tabellen Bilder (Aufnahmeorte) Tabelle 1: Bearbeitungsdauer Schlichtungsverfahren .......................S. 64 ps architektur, perroneschneider GmbH, 4051 Basel .................................. Umschlag Tabelle 2: Verhältnis Empfehlungen und einvernehmliche Lösungen ..........S. 65 Terres des Hommes Schweiz, 4018 Basel................................S. 15, 62, 67 Tabelle 3: Hängige Schlichtungs- verfahren ............................................S. 65 Die Medienmacher AG, 4132 Muttenz .............. S. 21, 30, 34, 48, 53 Tabelle 4: Für DSG- Belange einsetzbare Stellen .............................S. 70 restudio AG, 4053 Basel .................................... S. 27, 55 Tabelle 5: Leistungen Datenschutz .....S. 70 Duplex Design GmbH, 4053 Basel ..........................................S. 43 Tabelle 6: Beratungen in umfang- reicheren Projekten für 2018 .............. S. 71 Tabelle 7: Wirkungsziele EDÖB .............S. 73 26. Tätigkeitsbericht 2018/19 85

Kennzahlen Aufwand Datenschutz 8,1 % Gesetzgebung 22,6 % Information 15 % Aufsicht 54,3 % Beratung Zugangsgesuche (BGÖ) Öffentlichkeitsprinzip 55 % gewährt 19 % teilweise gewährt / aufgeschoben 10 % verweigert 4 % Rückzug 8 % hängig 5 % kein amtliches Dokument vorhanden Mediale Resonanz des Beauftragten im Online 526 untersuchte Beiträge 4925 Engagement* Medientypen Sprachen Tonalität Länder Onlinenews 31 % Tageszeitung 30 % Twitter Blogs TV/Radio Andere 19 % 10 % 8 % 2 % Deutsch Französisch Italienisch Englisch Andere 74 % 12 % 8 % 5 % 1 % Positiv Negativ Neutral 9 % 10 % 81 % Schweiz Deutschland USA Ungarn Frankreich Andere 76 % 13 % 3 % 2 % 1 % 5 % * Anzahl aller Interaktionen der untersuchten Beiträge (Likes, Retweets, etc.)