27. Tätigkeitsbericht 2019/20 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter

Tätigkeitsbericht 2019/2020 des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte hat der Bundesversammlung periodisch einen Bericht über seine Tätigkeit vorzulegen (Art. 30 DSG). Der vorliegende Bericht deckt den Zeitraum zwischen 1. April 2019 und 31. März 2020 ab.

Vorwort Am Ende dieser Berichtsperiode dominieren nicht digitale, sondern natürliche Viren die Schlagzeilen. Das Coronavirus dringt in das lebende Gewebe der Menschen ein und thematisiert so unsere Verletzlichkeit als biologische Wesen, die eine natürliche Furcht vor dem Unsichtbaren empfinden. Unsere digitalisierte Gesellschaft bietet eine Fülle von Diensten an, die unsere Furcht vor der unsichtbaren Welt der Viren und Keime lindern. Gegen Computerviren vertrauen wir auf digitale Brandmauern, und gegen Kontami- nation mit Keimen leistet das digitale Homeoffice in diesen Tagen wertvolle Dienste. Und Apps, die durch Analyse von Mobilitätsdaten komfortablere Rei- severhältnisse mit einem Minimum an Enge schaffen, helfen mit, unsere Gesundheit im präventiven Sinn zu schützen. Trotz des offensichtlichen Nutzens digitaler Technologien, trotz der berechtigten Betonung von Gemeinsinn, Disziplin und Krisensolidarität und ungeachtet unserer natürlichen Furcht vor dem unsichtbaren Virus, sollten wir indessen auch jetzt mit unserem selbstbestimmten Denken nicht aus- setzen. Gilt es doch gerade während Pandemien und Wirtschaftskrisen wach- sam zu verhindern, dass Verschwörungstheorien, Aberglaube oder kaltes Machtstreben Oberhand gewinnen und uns in die Fänge einer digitalen Vor- mundschaft schubsen. Wann die Normalität zurückkehren wird, ist im Zeitpunkt der Drucklegung des Berichts nicht absehbar. Wir hoffen alle, dass es bald und mit möglichst wenigen Opfern geschehen kann. Mit dieser Hoffnung verbinde ich auch die Erwartung, dass wir «am Tag danach» auch unsere informationelle Selbst- bestimmung unbeschadet wiederfinden werden und dass insbesondere auch das anonyme Bargeld diese Krise überleben wird, obwohl zuweilen Keime an ihm kleben. Adrian Lobsiger Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Bern, den 31. März 2020 27. Tätigkeitsbericht 2019/20

– Europäische Arbeitsgruppe für die Behandlung datenschutzrelevanter Fälle – Unterarbeitsgruppe BTLE «Border, Travel & Law Enforcement» – Europäische Datenschutz-Grundverordnung (DSGVO) – Brexit und Übermittlung von Personendaten – Beratender Ausschuss zum Übereinkommen 108 – T-PD – Angemessenheitsbeschluss betreffend das Schweizer Datenschutzniveau Schwerpunkt II . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 – Projekt Libra – Internationale Tätigkeiten und Treffen Öffentlichkeitsprinzip 2.1 Allgemein ............................................... 64 2.2 Zugangsgesuche – erneute Zunahme im 2019 .................................................. 65 2.3 Schlichtungsverfahren – bedeutende Zunahme der Schlichtungsanträge ............ 68 – Dauer der Schlichtungs verfahren – Anteil einvernehmlicher Lösungen – Anzahl hängiger Fälle Inhaltsverzeichnis Der EDÖB 3.1 Aufgaben und Ressourcen ......................... 80 – Der Beauftragte – Leistungen und Ressourcen im Bereich Datenschutz – Leistungen und Ressourcen im Bereich Öffentlichkeitsgesetz 3.2 Kommunikation ........................................ 84 – Ausbau aufgrund von zusätzlichen Aufgaben und fehlender kritischer Grösse – Hohes mediales Interesse – auch im Ausland – Gemeinsame Kommunikation der Datenschutz- behörden von Bund und Kantonen am Internationalen Datenschutztag – Stellungnahmen, Empfehlungen und Publikationen – Website nach wie vor wichtigster Kanal unserer Kommunikation 3.3 Statistiken ........................................... 88 – Statistiken über die Tätigkeiten des EDÖB vom 1. April 2019 bis 31. März 2020 (Datenschutz) – Übersicht der Zugangsgesuche vom 1. Januar bis 31. Dezember 2019 – Statistiken über eingereichte Zugangsgesuche nach Öffentlichkeitsgesetz vom 1. Januar bis 31. Dezember 2019 – Anzahl Schlichtungsgesuche nach Kategorien der Antragssteller 2.4 Ämterkonsultation .................................. 71 – Zugangsgesuche der gesamten Bundesverwaltung vom – Ämterkonsultation zum Entwurf für ein Gesetz über Zoll und Grenzsicherheit, Eröffnung des Vernehm- lassungsverfahrens – Konsultationen zur Vereinbarung zwischen dem Bund und den Kantonen über die Harmonisierung und die gemeinsame Bereitstellung der Polizeitechnik und -informatik – Ämterkonsultation Zentraler Nachweis amtlicher Dokumente – Ämterkonsultation zum Tarifvertrag CART-T-Zelltherapie – Ämterkonsultation Vernehmlassung der Teilrevision des KVG betreffend Mass nahmen zur Kostendämpfung – 2. Paket – Ämterkonsultation zur Totalrevision der Verordnung über das öffentliche Beschaffungswesen 1. Januar bis 31. Dezember 2019 3.4 Organisation EDÖB .................................. 95 – Organigramm – Mitarbeiter und Mitarbeiterinnen des EDÖB Abkürzungsverzeichnis ........................... 98 Abbildungsverzeichnis ........................... 99 Impressum ............................................ 100 In der Klappe Die wichtigsten Zahlen und Fakten Anliegen des Datenschutzes 27. Tätigkeitsbericht 2019/20

Aktuelle Herausforderungen Gesetzgebung Die gesetzgeberischen Arbeiten zur Totalrevision des Datenschutzgesetzes (DSG) sind weit fortgeschritten. Nach- dem die Vorlage von beiden Räten durchberaten wurde, steht die Bereini- gung der Differenzen am Ende der Berichtsperiode noch an, zumal es auch aufgrund der Pandemie zu Verzö- gerungen gekommen ist. Der Beauf- tragte hofft, dass die Differenzen – trotz Coronavirus – bald bereinigt werden und die Schlussabstimmung in der Sommersession stattfinden kann. Am 24. März 2020 bestellte der Beauf- tragte eine EDÖB-interne Task Force Corona, die ab diesem Tag diverse private und staatliche Projekte zur digitalen Bekämpfung der Seuche prüfte. Er informiert über seine Web- seite laufend über die Arbeiten der Task Force und deren Ergebnisse (www.edoeb.admin.ch). Der Beauftragte erwartet, dass das tragische Kollektivereignis des Coro- navirus keine bleibenden Beeinträchti- gungen der informationellen Selbstbe- stimmung und Privatsphäre der Schweizer Bevölkerung zur Folge haben wird. In seiner Stellungnahme hat er mit Blick auf die mit der Bekämpfung des Virus verbundenen Personendatenbearbeitungen vorsorg- lich darauf hingewiesen, dass die ent- sprechenden Daten nach Abklingen der Pandemie zu löschen oder anony- misieren sind. Gesellschaft und Datenpolitik Im Zuge der globalen Bekämpfung des Coronavirus haben Regierungen schwer betroffener Regionen in Asien, wo das Virus ausgebrochen ist, ihre nach westlichen Massstäben teilweise bereits sehr einschneidenden Mittel zur digitalen Überwachung der Bevöl- kerung weiter ausgebaut, um die wei- tere Verbreitung des Erregers zu ver- hindern. Aufgrund des Übergreifens des Virus auf die Schweiz musste auch der Bundesrat gesundheitspolizeiliche Massnahmen anordnen. Nachdem er am 16. März 2020 gestützt auf Art. 7 des Epidemiengesetzes die ausseror- dentliche Lage ausgerufen hatte, konnte der Bundesrat Massnahmen anordnen, die in diesem Gesetz nicht näher umschrieben sind. Das Gesetz verlangt einzig, dass die Massnahmen zur Bekämpfung der Seuche «notwendig» sein müssen. In seinen laufend aktualisierten, öffentli- chen Stellungnahmen zur Pandemie wies der EDÖB stets darauf hin, dass sich insbesondere der Einsatz digitaler Methoden zur Erhebung und Analyse von Mobilitäts- und Proximity-Daten mit Blick auf den Zweck der Verhinde- rung von Ansteckungen als verhältnis- mässig erweisen müsse, was heisst, dass die eingesetzten Methoden epide- miologisch begründet und geeignet sein müssen, im jeweils aktuellen Stadium der Pandemie eine die Ein- griffe in die Persönlichkeit der Betrof- fenen rechtfertigende Wirkung zur Eindämmung der Seuche zu entfalten. «Die Bewältigung der Pandemie darf keine bleibenden Beeinträchtigungen des freien und selbstbestimmten Lebens zur Folge haben.» 27. Tätigkeitsbericht 2019/20 7

Aktuelle Herausforderungen III Nationale und internationale Kooperation Nationale Kooperation Unterzeichnung der Konvention 108+ Neues Europäisches Datenschutzrecht Die Datenschutzgrundverordnung der EU (DSGVO) ist seit Mai 2018 in Kraft. Der EDÖB verfolgt intensiv die Anwendung in den verschiedenen europäischen Ländern und führt das erstmals im Herbst 2017 veröffent- lichte Merkblatt laufend nach. Es ist uns weiterhin ein Anliegen, die betrof- fenen Schweizer Unternehmen mit Rat und Tat zu unterstützen. Der EDÖB hat seine Zusammenarbeit mit den kantonalen Datenschutzstel- len weiter intensiviert. Als Beispiele sind hier zu nennen: Fachgespräche mit den kantonalen Datenschutzbe- auftragten im Hinblick auf die Einfüh- rung des elektronischen Patientendos- siers (s. Kap. 1.5), die gemeinsame Kommunikation der Datenschutzbe- hörden von Bund und Kantonen am internationalen Datenschutztag über die Gefahren für die Privatsphäre im privaten und öffentlichen Verkehr (s. Kap. 3.2), Teilnahme an den ver- schiedenen Präsidiums- und Plenarsit- zungen der Konferenz der schweizeri- schen Datenschutzbeauftragten (Pri- vatim) und Sitzungen der französisch- sprachigen Datenschutzbeauftragten. Dabei konnten Positionen zu laufen- den Vernehmlassungsverfahren und Erfahrungen in den jeweiligen Bera- tungs- und Aufsichtskompetenzen ausgetauscht werden. Die Schweiz unterzeichnete nach einem Entscheid des Bundesrates die Konvention 108+ am 21. November 2019 in Strassburg formell. Die ent- sprechende Botschaft zur Genehmi- gung des Protokolls wurde vom Bun- desrat am 6. Dezember 2019 zuhanden des Parlaments verabschiedet. Mit einem Beitritt zur modernisierten Konvention will die Schweiz ein hohes Datenschutzniveau für die Pri- vatsphäre gewährleisten und den grenzüberschreitenden Datenverkehr im öffentlichen Sektor sowie in der Privatwirtschaft erleichtern. Der Bei- tritt ist ein wichtiges Element mit Blick auf die vor dem Abschluss ste- hende Evaluation durch die Europäi- sche Kommission (s. unten). «Arbeit und Konsum verlagern sich zu Homeoffice und Homeshopping.» 27. Tätigkeitsbericht 2019/20 9

Aktuelle Herausforderungen 27. Tätigkeitsbericht 2019/20 11

Datenschutz

Datenschutz Nach Aufschaltung der Wahl-Features hat der Beauftragte die Umsetzung der Transparenzvorgaben überprüft und dabei festgestellt, dass Facebook die Nutzer in der beschriebenen Weise über die damit verbundenen Datenbe- arbeitungen informiert. Zudem konnte er sich vergewissern, dass alle weiteren Aktivitäten, wie z.B. Postings zur Wahlbeteiligung bestimmter Per- sonen, von den Nutzern selber und freiwillig vorgenommen werden. Nachdem auch keine Hinweise auf anderweitige datenschutzrechtliche Mängel vorlagen, konnte er auf weiter- führende Massnahmen verzichten. Auch nach den Wahlen 2019 unter- streichen wir die Wichtigkeit, die Persönlichkeitsrechte im politischen Kontext zu wahren. Wir werden die diesbezügliche Situation in der Schweiz weiterhin aufsichtsrechtlich beobachten. 27. Tätigkeitsbericht 2019/20 15

De-Anonymisierung als Gefahr der KI Eine Arbeitsgruppe des Bundes formu- lierte unter Mitwirkung des EDÖB datenschutzrechtliche Anforderungen an die künstliche Intelligenz (KI). Zu den besonderen Risiken von KI-Syste- men gehört, dass aus der Kombination unpersönlicher Daten persönliche Informationen abgeleitet werden können. In Zusammenhang mit der überarbei- teten Strategie «Digitale Schweiz» beschloss der Bundesrat, eine interde- partementale Arbeitsgruppe zur künstlichen Intelligenz (KI) einzuset- zen. Dabei wurden zu einzelnen The- menbereichen der KI Projektgruppen gebildet. Der EDÖB nahm in der Pro- jektgruppe Datenverfügbarkeit/ Daten nutzung und Rahmenbedin- gungen/Rechtssicherheit Einsitz. Der Gesamtbericht hält fest, dass KI- Systeme aus der Kombination unper- sönlicher Datenelemente, die sie aus riesigen Datenmengen filtern (Big Data), Informationen abzuleiten vermögen, die zur Bestimmbarkeit von Personen führen und somit deren Identifizierung möglich machen (sog. De-Anonymisierung). Der Bericht wurde vom Bundesrat im Dezember 2019 zur Kenntnis genommen und vom Staatssekretariat für Bildung, Forschung und Innovation (SBFI) veröffentlicht (vgl. Website des SBFI). Bundesamt für Statistik: mehr Transparenz und Vor- ort-Audits bei der Bekannt- gabe von Personendaten ins Ausland gefordert Das Bundesamt für Statistik (BFS) setzt neuerdings für Scanning-Dienst- leistungen auf einen Anbieter, welcher Teile der vertraglich zugesicherten Leistung im Ausland erbringt. Bei der dadurch entstehenden Bekanntgabe von Personendaten ins Ausland erach- tet der EDÖB die Massnahmen zum Schutz der Personendaten im Ausland, mittels den vertraglich getroffenen Vereinbarungen, datenschutzrechtlich als angemessen. Er fordert jedoch mehr Transparenz für betroffene Per- sonen und Vorort-Audits beim Auf- tragsdatenbearbeiter. Aufgrund der Schliessung des Digitali- sierungs- und Scanning Services des Bundesamtes für Informatik und Tele- kommunikation per Ende 2018 hat das Bundesamt für Statistik zusammen mit dem Bundesamt für Bauten und Logistik den Auftrag erhalten, im Rah- men eines WTO-Verfahrens einen neuen Leistungserbringer für Scan- ning-Dienstleistungen zu evaluieren. Nach der Durchführung des WTO- Verfahrens erhielt die «Tessi document solutions GmbH» den Auftrag. Das Scanning der Papierdokumente erfolgt bei dieser Dienstleistung am Standort Genf, wo sie anschliessend entweder sicher vernichtet, oder an das BFS zurückgeliefert werden. Die Papier- fragebögen verlassen somit die Schweiz nicht. Datenschutz Nach dem Scanvorgang werden als fehlerhaft erkannte Textfelder (Aus- schnitte der Dokumente) im Ausland manuell korrigiert. Die dazu verwen- dete elektronische Verarbeitungs- lösung stellt dem Anwender im Aus- land lediglich das Bild der zu korrigie- renden Textfelder dar, wobei die Gesamtdokumente auf Systemen innerhalb der Schweiz verbleiben. Es kommt dadurch zu einer grenz- überschreitenden Datenbekanntgabe gemäss Art. 6 DSG. Das BFS hat dem EDÖB dazu umfangreiche Dokumen- tationen und auch die vertraglichen Vereinbarungen übermittelt, welche aufzeigen, dass massgebliche Vorkeh- rungen technischer und organisatori- scher sowie vertraglicher Art zum Schutz der Personendaten im Ausland getroffen wurden. Der EDÖB stellte daraufhin in seiner Stellungnahme fest, dass das BFS als Auftraggeber die Verantwor- tung für den Datenschutz und die Datensicherheit über die gesamte Ver- arbeitungskette trägt und sich gemäss Art. 10a Abs. 2 DSG auch darüber ver- gewissern muss, dass der Datenschutz und die Datensicherheit beim Auftrag- nehmer gewährleistet sind. Aufgrund der Tragweite dieses Projekts erachtete der EDÖB zudem die stichprobenar- tige Kontrolle der Räumlichkeiten, in denen die Daten bearbeitet werden, als angezeigt. Weiter erachtet es der Beauftragte im Sinne des datenschutzrechtlichen Grundsatzes der Transpa- renz als unabdingbar, dass die betroffenen Personen, über den Sachverhalt der Bekanntgabe von Daten ins Ausland, durch das BFS aktiv informiert werden. Die Informa- tion der Betroffenen hat gemäss seiner 27. Tätigkeitsbericht 2019/20 17

Datenschutz Mit der Lieferung der Unterlagen zu den gewählten Implementationen und der Einsicht vor Ort, kann sich der EDÖB ein detailliertes Bild über das Sicherheitsniveau und die getroffenen Massnahmen machen. Die Abklärun- gen wurden im Berichtsjahr noch nicht abgeschlossen. Es kann jedoch nicht ausgeschlossen werden, dass basierend auf den über- mittelten Daten und durch die Aggre- gation von Wohnsitz und Arbeitsort ein Rückschluss auf ein tatsächliches Individuum gemacht werden kann. Die Problematik liegt insbesondere in den ländlichen Regionen mit gerin- gen Bevölkerungsdichten. Der Auf- wand für eine Re-Identifikation erscheint dem EDÖB jedoch nicht sehr gross. Es muss deshalb damit gerech- net werden, dass ein Interessent diesen auf sich nehmen wird. Aus diesem Grund kann nicht ausgeschlossen werden, dass mindestens im Einzelfall anhand von vorhanden Daten und zusätzlichen Angaben eine Person mit wenig Aufwand bestimmbar ist, und hier folglich Personendaten im Sinne von Art. 3 Bst. a DSG vorliegen. In casu sollen Personendaten, wel- che zum Zweck der Erbringung von Fernmeldediensten und deren Abrech- nung erfasst wurden, für weitere Zwecke genutzt werden. Diese Änderung des Bearbeitungszwecks hat zur Folge, dass die Ein- willigung der betroffenen Personen vorliegen muss sowie Massnahmen zum Schutz der Personendaten zu treffen sind. 5G Standard: EDÖB kontrolliert Daten- schutzmassnahmen der Fern- meldedienstanbieter zur sicheren Implementierung Der EDÖB hat technische Abklärungen zur datenschutzkonformen Implemen- tation des neuen Fernmeldestandards 5G aufgenommen. Der neue Fernmeldestandard 5G, Nachfolger des aktuellen Standards 4G /LTE verspricht nicht nur mehr Band- breite und mehr gleichzeitig verbun- dene Geräte, sondern auch Datenüber- tragungen in nahezu Echtzeit. So bil- det der Fernmeldestandard 5G die Grundlage für eine Vielzahl zukünfti- ger Anwendungen sei es in der Indust- rie mit IoT-Sensoren (Internet der Dinge) oder Connected Cars bzw. autonom fahrenden Autos. Obschon 5G ein internationaler Standard für mobiles Internet und Mobiltelefonie darstellt, bestehen teilweise grosse Unterschiede bei der Umsetzung der einzelnen Anbieter. Weiter zeigen öffentliche Berichte von Forschern der ETH Zürich [arXiv:1806.10360v3 [cs.CR] 18 Oct 2018] einerseits und der Universitäten Purdue und Iowa [NDSS ’19, 24-27 February 2019, San Diego, CA, USA Copyright 2019 Inter- net Society, ISBN 1-891562-55-X] Sicherheitslücken im neuen 5G Stan- dard auf (u.a. im Paging Protocol mit ToRPEDO und PIERCER Angriffen). Den Berichten zufolge soll der neue Standard jedoch in der Gesamtheit sichererer als der bisherige 4G Stan- dard sein. 27. Tätigkeitsbericht 2019/20 19

Datenschutz Der EDÖB hat festgestellt, dass für Schweizer User unklar ist, welche Nutzungsbestimmungen für sie anwendbar sind, da sich diese auf den EU-Raum beziehen. Er hat die verant- wortliche Stelle bei «Tiktok» zu dieser Frage und zu den Massnahmen zum Schutz der Kinder und Jugendlichen um eine Stellungnahme gebeten. Daneben hat er verlangt, dass das Unternehmen eine für ihn zuständige Stelle angibt, welche in Fragen des Datenschutzes kompetent Auskunft geben kann. Das Unternehmen hat zu den Fra- gen Stellung genommen und eine Ansprechstelle genannt. Der EDÖB steht mit der britischen Datenschutz- behörde ICO in Kontakt, welche im Berichtsjahr zum Thema des Schutzes von Kindern und Jugendlichen und dem Umgang mit deren Daten eine Abklärung gegen «Tiktok» eröffnet hat. 27. Tätigkeitsbericht 2019/20 21

Datenschutz Clearview beschafft ungefragt Gesichtsbilder Der EDÖB warnte auf seiner Internet- seite wiederholt vor drohenden Persön- lichkeitsverletzungen von Personen in der Schweiz durch die ungefragte Beschaffung von Gesichtsbildern im Internet. Die US-amerikanischen Anbieter der Applikation Clearview betreiben gemäss Medienberichten eine Daten- bank mit rund drei Milliarden Gesichtsbildern, die sie durch Abfi- schen des Internets und der sozialen Netzwerke beschaffen. Das Geschäfts- modell besteht darin, dass Clearview für seine zahlenden Kunden beliebige Gesichtsaufnahmen mit der Daten- bank abgleicht und die Treffer auf- grund weiterer Informationen identi- fizierbaren Personen zuweist. Zur US- Kundschaft von Clearview sollen namentlich Polizeibehörden gehören. Da wir damit rechnen mussten, dass in der Datenbank von Clearview auch Gesichtsbilder von Einwohnern der Schweiz bearbeitet werden, nahm unsere Behörde im Januar 2020 auf der Webseite wiederholt zur Applikation Clearview Stellung: An die Adresse von Clearview hielten wir fest, dass das schweizerische Datenschutzrecht und die Persönlichkeit der betroffenen Personen in der Schweiz in schwerer Weise verletzt würden, falls ihre Gesichtsbilder ungefragt beschafft und für fremde Polizeibehörden weiterbe- arbeitet würden. Zuhanden der sozialen Netzwerke, deren Nutzungsbedingungen das ungefragte Abfischen ihrer Plattfor- men durch Dritte oder deren Roboter in aller Regel untersagen, hielten wir fest, dass sie die Bilddaten ihrer Kun- den technisch besser schützen müssen. Und den Benutzern von sozia len Netzwerken rieten wir, eigenverant- wortlich zu handeln und in den Vor- einstellungen die Zugänglich machung von Fotomaterial für Suchmaschinen zu unterbinden. Um die Betroffenheit der Schwei- zer Bevölkerung einschätzen zu kön- nen, stellte der Beauftragte am 24. Januar 2020 bei Clearview ein Aus- kunfts- und Löschgesuch zu den über seine Person bearbeiteten Daten. Die- ses blieb, trotz Mahnschreiben bis zum Abschluss der Berichtsperiode unbe- antwortet. Die Direktionen des Bun- desamtes für Polizei (fedpol), die Eid- genössische Zollverwaltung (EZV) und der Nachrichtendienst des Bundes (NDB) bestätigten dem EDÖB auf dessen Anfrage hin demgegenüber innert nützlicher Frist, dass sie in ihrer Tätigkeit weder Clearview noch ver- gleichbare Anwendungen einsetzen oder einzusetzen beabsichtigen. Der Beauftragte wird im Rahmen seiner gesetzlichen Möglichkeiten alles unternehmen, um die Schweizer Bevölkerung vor ungefragten Beschaf- fungen ihrer Gesichtsbilder zu schüt- zen, damit sie sich sowohl im virtuel- len wie auch realen Raum weiterhin anonym bewegen kann. 27. Tätigkeitsbericht 2019/20 23

Schwerpunkt I Vorfeld bestimmter Bearbeitungen eine Datenschutz- folgenabschätzung durchzuführen. Der Datenschutz ist in Projektvorhaben von Beginn weg zu berücksichtigen (privacy by design) und die Voreinstellungen sind daten- schutzfreundlich zu konfigurieren. Das Änderungs- protokoll sieht auch einen Ausbau der Rechte der betrof- fenen Personen vor, insbesondere in Bezug auf ihr Aus- kunftsrecht und Widerspruchsrecht bei automatisierten Einzelfallentscheidungen. Die Vertragsstaaten werden auch verpflichtet, ein Sanktionen- und Rechtsmittel- system einzuführen und den Aufsichtsbehörden eine Befugnis zum Erlass von verbindlichen Entscheidungen einzuräumen. Der Bundesrat hat am 30. Oktober 2019 entschieden, die Konvention 108+ zu unterzeichnen. Die Unterzeich- nung durch die Schweiz erfolgte dann am 21. November 2019 formell in Strassburg. In der Folge verabschiedete der Bundesrat an seiner Sitzung vom 6. Dezember 2019 die Botschaft über die Genehmigung des Protokolls zur Änderung der Datenschutzkonvention des Europarates zuhanden des Parlaments, welches über die Ratifikation zu befinden hat. Mit einem Beitritt zur modernisierten Konvention kann die Schweiz ein hohes Datenschutzniveau für die Privatsphäre gewährleisten und den grenzüberschreiten- den Datenverkehr im öffentlichen Sektor sowie in der Privatwirtschaft erleichtern, was auch für die Schweizer Wirtschaft wichtig ist. Datenschutzkonvention 108+ des Europarates Der Bundesrat entschied im Oktober 2019, das Änderungs- protokoll zur Datenschutzkonvention 108 des Europarats (Konvention 108+) zu unterzeichnen. Die Schweiz hat daraufhin die Konvention 108+ am 21. November 2019 in Strassburg formell unterzeichnet. Die entsprechende Botschaft zur Genehmigung des Protokolls wurde vom Bundesrat am 6. Dezember 2019 zuhanden des Parlaments verabschiedet. Die Schweiz will damit einen international anerkannten Datenschutzstandard garantieren. Der EDÖB hat im 26. Tätigkeitsbericht 2018/19 darauf hin- gewiesen, dass es angezeigt wäre, dass der Bundesrat das modernisierte Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten des Europarates, unterzeichnet. Die Schweiz ratifizierte die im Jahr 1985 in Kraft getre- tene ursprüngliche Datenschutzkonvention am 2. Oktober 1997. Um sie den technologischen Entwicklungen und den Herausforderungen der Digitalisierung anzupassen, wurde sie in den letzten Jahren vom Europarat überarbeitet und liegt seit Oktober 2018 zur Unterzeichnung auf. Das Ände- rungsprotokoll wurde bisher von mehr als 30 Staaten unter- zeichnet und bereits von den ersten Staaten ratifiziert. Ein Beitritt zur modernisierten Datenschutzkonven- tion des Europarates ist für die Schweiz von grosser Bedeutung. Die Konvention verstärkt den Schutz der Personen in unserem Land, deren Personendaten in einem der Vertragsstaaten bearbeitet werden. Zudem wird der Datenaustausch zwischen den Vertragsstaaten verein- facht. Weiter wird sichergestellt, dass die grenzüber- schreitende Datenübermittlung ohne zusätzliche Hürden möglich bleibt. Ferner kommt der Konvention auch im Rahmen der bevorstehenden Angemessenheitsprüfung des schweizerischen Datenschutzniveaus durch die EU eine wichtige Bedeutung zu, weil die EU bei ihrem Ent- scheid jeweils auch berücksichtigt, ob die zu prüfenden Staaten der Konvention beigetreten sind. Gemäss Konvention 108+ werden die Pflichten des für die Datenbearbeitung Verantwortlichen ausgeweitet. Dieser ist insbesondere verpflichtet, der zuständigen Auf- sichtsbehörde gewisse Datenschutzverletzungen zu mel- den. Die Rechte der betroffenen Personen werden zudem gestärkt, da der Dateninhaber die betroffene Person über die Beschaffung von Personendaten in gewissen Fällen informieren muss. Der Datenbearbeiter hat zudem im 27. Tätigkeitsbericht 2019/20 25

1.2 Justiz, Polizei, Sicherheit Suchlauf mit Verwandtschaftsbezug, die Phänotypisierung sowie Massen- untersuchungen hingegen in der Regel nicht angewandt werden. Für das Her- auslesen einiger Merkmale, beispiels- weise der Haarfarbe, ist die Phänotypi- sierung zu unpräzise und demnach hinsichtlich der Anforderung der Datenrichtigkeit potenziell problema- tisch. Die Ermittlung von Daten im Rahmen einer Verwandtschafts- recherche unterläuft ihrerseits das Zeugnisverweigerungsrecht und ist somit nur bei besonders schwer- wiegenden Straftaten vertretbar. Der erweiterte Suchlauf mit Ver- wandtschaftsbezug und die Phänoty- pisierung dürfen wie oben erwähnt nur bei besonders schwerwiegenden Verbrechen und im Verhältnis zur Schwere der Rechtsgutverletzung durchgeführt werden. Da die Erstel- lung eines entsprechenden abschlies- senden Deliktskatalogs schwierig ist schlug der EDÖB vor, die Anord- nungsbefugnis für die betreffenden Massnahmen analog zum Fall der Mas- senuntersuchungen dem Zwangs- massnahmengericht zu übertragen. Der Bundesrat hat dem Antrag des EDÖB nicht zugestimmt. Dieser wird sich im Rahmen des parlamentari- schen Prozesses dazu äussern, falls er dazu aufgefordert wird. DNA-Profile: ein strenger Gesetzesrahmen ist uner- lässlich Im Zusammenhang mit der Ämterkon- sultation zum Entwurf über die Ände- rung des DNA-Profil-Gesetzes begrüsste der EDÖB grundsätzlich die vorgeschlagenen Änderungen und Neu- erungen, betonte jedoch die Notwen- digkeit eines strengen gesetzlichen Rahmens für die neuen Instrumente «Phänotypisierung» und «erweiterter Suchlauf mit Verwandtschaftsbezug» (Verwandtenrecherche). Der Änderungsentwurf des EJPD sieht vor, die Vorschriften des Gesetzes über DNA-Profile von denjenigen der Zivil- und Militärstrafprozessordnung loszu- lösen. Der EDÖB zeigte sich über die- sen Klärungsvorschlag erfreut. Ferner steht eine neue Lösung betreffend die Dauer der Aufbewah- rung der DNA-Profile zur Diskussion, die das Verhält- nismässigkeitsprinzip und die spezifischen Anforde- rungen des Jugendstraf- rechts berücksichtigt. Hinsichtlich der erweiterten Ver- wandtenrecherche und der Phänotypi- sierung fordert der EDÖB strenge Auflagen, um die Verhältnismässigkeit des Eingriffs in die Grundrechte der betroffenen Personen zu gewährleis- ten. Laut Auffassung des EDÖB sollten diese Instrumente nur als ultima ratio zur Anwendung kommen. Sie sollten ausschliesslich zur Aufklärung schwe- rer Verbrechen im Verhältnis zur Bedeutung des jeweiligen Rechtsguts, namentlich bei Gefährdung von Leib und Leben bzw. Verletzung der Frei- heit oder der sexuellen Integrität ein- gesetzt werden. Bei Straftaten gegen das Eigentum sollten der erweiterte Datenschutz Gesetz zur Bekanntgabe von Flugpassagierdaten in EU-Staaten verzögert sich Der EDÖB begleitete weiterhin die Arbeiten zur Schaffung einer gesetzli- chen Grundlage für die Bekanntgabe von Fluggastdaten durch Fluggesell- schaften an EU-Staaten. Wir wiesen verschiedentlich auf die Dringlichkeit der baldigen Schaffung dieser Grundla- gen hin. Wie der EDÖB im Tätigkeitsbericht 2018/2019 festhielt, planten verschie- dene EU-Staaten, von Luftfahrtgesell- schaften deren Passagierdaten von Flügen aus der Schweiz zu verlangen. Sie stützen sich dabei auf die EU- Richtlinie 2016/681 vom 27. April 2016 über die Verwendung von Fluggast- datensätzen zur Verhütung, Aufde- ckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität (EU-PNR- Richtlinie). Wir wiesen die zuständigen Bun- desbehörden darauf hin, dass dafür eine gesetzliche Grundlage zu schaffen sei. Dem EDÖB wurde in Aussicht gestellt, die gesetzliche Grundlage für die Lieferung von PNR-Daten an Staa- ten, welche diese gestützt auf die EU- PNR-Richtlinie verlangen würden, mit einer Revision der Luftfahrtverord- nung zu schaffen (s. 26. TB, Kap. 1.2). In der Folge begann das Bundesamt für Zivilluftfahrt (BAZL) als zuständi- ges Bundesamt mit den entsprechen- den Gesetzgebungsarbeiten. Der EDÖB stand dem BAZL von Anfang an beratend zur Seite, bis das Amt entschied, seine Arbeiten aufzuschie- ben. Zur Begründung führte das BAZL an, einerseits hätten die bisherigen Arbeiten ergeben, dass zuerst eine gesetzliche Grundlage in einem for- 27. Tätigkeitsbericht 2019/20 27

Datenschutz gen, etwa über polizeiliche Massnah- men zur Bekämpfung von Terrorismus oder über Vorläuferstoffe für explosi- onsfähige Stoffe. Dadurch steigt die Schwerfälligkeit der ohnehin bereits unzumutbar komplexen Vorschriften, während bestimmte Fragen dennoch offen bleiben: In welchen Systemen sollen Vorratsdaten auf welche Weise und über welchen Zeitraum bearbeitet werden? Angesichts dieses Sachverhalts ist der EDÖB nicht mehr bereit, Geset- zesvorhaben in sensiblen Bereichen, beispielsweise auf dem Gebiet der Polizeimassnahmen zur Terrorismus- bekämpfung, in der parlamentarischen Phase zu unterstützen. Der EDÖB stellt den gesamten vom EJPD vorge- legten Entwurf grundsätzlich in Frage. Die vorberatende Kommission des erstberatenden Ständerates hat indes- sen trotz unserer bereits im letzten Jahresbericht (s. 26. TB, Kap. 1.2) und in den Medien publizierten Kritik davon abgesehen, den EDÖB zu die- sem Geschäft anzuhören. Swiss Buchungssystem – Massnahmen gegen Datenmiss- brauch in Umsetzung Bereits im letzten Tätigkeitsbericht berichtete der EDÖB über das Buchungssystem der Fluggesellschaft Swiss. Das Unternehmen versprach, gewisse Anpassungen – wie die teil- weise Maskierung der Passnummer – mit der Einführung ihrer neuen Inter- netseite umzusetzen. Die Einführung verzögerte sich allerdings. Wie im letzten Tätigkeitsbericht erwähnt, hat die Fluggesellschaft Swiss auf Einwirken des Beauftragten hin ihre allgemeinen Beförderungsbe- stimmungen (ABB) angepasst, um ihre Kunden besser auf die Schutz- würdigkeit der auf dem Boarding Pass ersichtlichen bzw. gespeicherten Personendaten hinzuweisen. Weiter sollte die Passnummer, die in bestimmten Fällen beim Buchungsaufruf ersichtlich ist, teilweise unkenntlich gemacht werden (s. 26. TB, Kap. 1.2). Die Swiss hielt gegenüber dem EDÖB fest, dass mit der Inbe- triebnahme ihrer neuen Webseite die Anpassungen umgesetzt würden. Die Umstellung auf die neue Webseiten- architektur und die damit zusammen- hängende Maskierung der Passnum- mer verzögerten sich allerdings. Daher beschloss die Swiss, die Maskierung der Passnummern und neu auch Visa-/ Greencard-Daten auf ihrer Internet- seite separat und vorgängig einzufüh- ren, indem die ersten zwei Zeichen der Passnummern und Visa-/Greencard- Daten beim Buchungsaufruf lesbar belassen und alle folgenden durch ein «x» ersetzt werden. Diese Änderung hat die Swiss Ende 2019 umgesetzt. Polizeiliche Massnahmen zur Bekämpfung von Terrorismus Aus Sicht des EDÖB stellt die Schaffung einer Polizeigesetzgebung auf Bundes- ebene eine unerlässliche Vorausset- zung dar, die zu erfüllen wäre, bevor neue Regularien ausgearbeitet werden. Er erhebt folglich Zweifel an der Gesamtheit des Entwurfs über polizei- liche Massnahmen zur Bekämpfung von Terrorismus. Seit mehreren Jahren bemängelt der EDÖB in seinen Tätigkeitsberichten, dass die Regelungen betreffend die polizeiliche Tätigkeit des Bundes auf zahlreiche Erlasse verstreut sind. In der Tat verfügt der Bund im Gegensatz zu den Kantonen nicht über ein eigentli- ches Polizeigesetz, das die Aufgaben, Befugnisse und die Bearbeitung perso- nenbezogener Daten umfassend abbil- den würde. Das Bundesamt für Polizei ist für eine grosse Anzahl von Daten- banken zuständig, die eine zentrali- sierte Bearbeitung äusserst schützens- werter Daten ermöglichen, zu denen zwischen Polizeibehörden des Bundes und der Kantone sowie mit anderen Ländern ein Austausch stattfindet. Die Bearbeitung der Daten erfolgt auf der Grundlage eines Wirrwarrs an polizeirechtlichen Spezialgesetzen, deren Handhabung sogar für speziali- sierte Juristen und erst recht für das Polizeipersonal an der Front unüber- sichtlich ist, so dass selbst Untersu- chungsverfahren betreffend die Bear- beitung von Daten aufgrund der vor- handenen Komplexität längst an ihre Grenzen stossen. Anstatt ein Gesetz über die Polizeiaufgaben oder zumin- dest ein Gesetz über Information und Zusammenarbeit auf Bundesebene auf den Weg zu bringen, erarbeitet das EJPD immer wieder neue Bestimmun- 27. Tätigkeitsbericht 2019/20 29

Datenschutz 27. Tätigkeitsbericht 2019/20 31

Auf diese Weise konnte er die Empfeh- lung der Schengen-Evaluierung 2018 umsetzen und die Verpflichtungen aus Art. 44 der Verordnung SIS II 1 und aus Art. 60 des Beschlusses SIS II 2 erfüllen. Eine zweite Kontrolle betreffend das Informatik Service Center des EJPD (ISC-EJPD), die sich spezifisch mit technischen und sicherheitsrele- vanten Aspekten der Server befasst, wurde eröffnet. 1 Verordnung (EG) Nr. 1987/2006 des Europäi- schen Parlaments und des Rates vom 20. Dezem- ber 2006 über die Einrichtung, den Betrieb und die Nutzung des Schengener Informationssys- tems der zweiten Generation (SIS II) [Verordnung SIS II]. 2 Beschluss 2007/533/JI des Rates vom 12. Juni 2007 über die Einrichtung, den Betrieb und die Nutzung des Schengener Informationssystems der zweiten Generation (SIS II) [Beschluss SIS II]. Datenschutz Das Schengen-Datenschutzgesetz Das Bundesgesetz über den Datenschutz im Rahmen der Anwendung des Schen- gen-Besitzstands in Strafsachen (SDSG) trat am 1. März 2019 in Kraft und mit ihm diverse Neuerungen, die unter anderem die bisherigen Zuständigkeiten des EDÖB betreffen (s. 26. TB, Kap. 1.2). Das SDSG gilt insbesondere für die Bearbeitung von Personendaten durch Bundes- organe zur Verhütung und Verfolgung von Strafsachen im Rahmen der Anwendung des Schengen-Besitzstands. Angesichts der neuen Erfordernisse und des trans- versalen Charakters dieses neuen Gesetzes für die Tätigkeiten der betreffenden Bundesämter nahm der Beauftragte Kontakt mit den Datenschutzverantwortlichen der Bundesorgane auf, die potenziell unter den Geltungsbereich des SDSG fallen und an erster Stelle betroffen wären, insbesondere mit dem Bundesamt für Polizei (fed- pol), dem Bundesamt für Justiz (BJ) im Bereich der internationalen Rechtshilfe in Strafsachen und mit der Bundesanwaltschaft, aber auch mit dem Staatssekretariat für Migration und der Eidgenössischen Zollverwaltung. Im Mittelpunkt standen dabei die Klärung des Geltungsbereichs und die Neuerungen, die sich aus diesem Gesetz ergeben. Der Meinungsaustausch bezog sich hauptsächlich auf die Datenbearbei- tungsvorgänge und auf die Bundesorgane, die dem SDSG unterstellt sind, sowie auf die Zuständigkeiten des Beauftragten. Letzterer bleibt mit den betroffenen Bundes- organen im Hinblick auf die Umsetzung des SDSG in deren jeweiligem Tätigkeits- bereich in ständigem Kontakt. Der EDÖB hat gemäss Artikel 21 SDSG die Aufgabe, die Anwendung der bundes- rechtlichen Datenschutzvorschriften zu beaufsichtigen. Bevor er die Planung der Kontrollen nach Artikel 21 bis 25 SDSG an die Hand nimmt, möchte er sich einen Überblick über die Tätigkeiten verschaffen, die unter das SDSG fallen (Dateien/Infor- mationssysteme). Aus diesem Grund bat er das Bundesamt für Polizei (fedpol) und die Eidgenössi- sche Zollverwaltung (EZV), uns eine Kopie des Verzeichnisses der Bearbeitungstätig- keiten gemäss Artikel 12 SDSG und, sofern sie vorliegen oder generiert werden kön- nen, nach Bearbeitungstätigkeit (Datei/Informationssystem) gegliederte statisti- sche Angaben für die vergangenen fünf Jahre (2015 bis 2019) zu unterbreiten, unter anderem über die Anzahl der registrierten natürlichen oder juristischen Personen, die Staatsangehörigkeit der registrierten Personen und die Anzahl der Nutzer. 27. Tätigkeitsbericht 2019/20 33

Datenschutz Fall, dass ein Partnerstaat die Anforde- rungen der OECD an die Vertraulich- keit und Datensicherheit nicht erfüllt. Er schlug mit Erfolg eine Neuformulie- rung vor, die klarstellt, dass bei Nicht- erfüllung der Anforderungen an die Vertraulichkeit und Datensicherheit die zuständige Schweizer Behörde den AIA gegenüber dem Partnerstaat nicht in eigener Kompetenz aussetzen kann, sondern aussetzen muss. Die Bundes- versammlung hat die Vorlage des Bun- desrats im Berichtsjahr noch nicht behandelt. 1.3 Steuer- und Finanzwesen Bekanntgabe von Personen- daten an ausländische Steuer behörden – problema- tische Ausdehnung auf weitere Staaten Die Umsetzung der neuen Standards zur weltweiten Bekämpfung von Steuer betrug und Steuerhinterziehung sind weit fortgeschritten. Als proble- matisch erweist sich dabei das unge- nügende Datenschutzniveau einiger Staaten. Im Berichtsjahr haben wir zu verschiedenen Vorlagen aus der Sicht des Datenschutzes Stellung genommen. Automatischer Informations- austausch über Finanzkonten (AIA) Der globale Standard über den auto- matischen Informationsaustausch über Finanzkonten (AIA) ist in der Schweiz seit dem 1. Januar 2017 in Kraft. Er zielt darauf ab, die Steuer- transparenz zu erhöhen und damit die grenzüberschreitende Steuerhinterzie- hung zu vermeiden. Bisher haben sich mehr als 100 Länder zur Übernahme dieses Standards bekannt, darunter auch die Schweiz. Das Schweizer AIA-Netzwerk soll auf 18 zusätzliche Partnerstaaten ausge- weitet werden, mit denen der AIA ab 2020/2021 umgesetzt werden soll, darunter befinden sich Staaten wie Ghana, Kasachstan, Libanon oder Nigeria. Wie bei den vorausgegange- nen Ausdehnungen des AIA auf wei- tere Staaten wies der EDÖB auch im aktuellen Berichtsjahr mehrfach auf das Erfordernis der Gewährleistung eines angemessenen Datenschutzni- veaus im jeweiligen Partnerstaat hin. Besteht ein solches nicht von Gesetzes wegen, muss der Datenschutz durch zureichende Datenschutzgarantien (vgl. Art. 6 Abs. 2 DSG) sichergestellt sein. Im Zusammenhang mit dem AIA wurden indessen gemäss unserer Ein- schätzung keine hinreichenden Garan- tien geschaffen (s. 26. TB, Kap. 1.3). In einer Ämterkonsultation zum Entwurf einer Änderung des Bundes- gesetzes über den AIA (AIAG) äus- serte sich der EDÖB zur neu vorgese- henen Kompetenzregelung für den Austausch länderbezogener Berichte multinationaler Konzerne (ALBA) Die Schweiz wird ab 2020 erstmals mit ihren Partnerstaaten länderbezogene Berichte multinationaler Konzerne austauschen (s. 24. TB, Kap. 1.9.1). Im Berichtsjahr äusserte sich der EDÖB im Rahmen einer Ämterkonsultation zur jüngst vorgesehenen Erweiterung der Länderliste der Partnerstaaten für die Aktivierung des Austauschs von länderbezogenen Berichten multinationaler Konzerne. Dabei wies er darauf hin, dass die Erweiterung Staaten und Territorien betrifft, die auf der Staatenliste des EDÖB mit einem ungenügenden Datenschutzniveau aufgeführt sind (so etwa Arme- nien, Bosnien und Herzegowina sowie die Cook-Inseln). Der EDÖB hielt deshalb wie bereits bei früheren Ämterkonsultationen fest, dass mit Blick auf solche Länder zusätzliche Garantien nach Art. 6 Abs. 2 DSG notwendig sind, um ein angemessenes Datenschutzniveau zu gewährleisten (s. 26. TB, Kap. 1.3). 27. Tätigkeitsbericht 2019/20 35

Datenschutz Personendaten, die auf der Online- Auktionsplattform ricardo.ch gesam- melt werden, werden von der Tamedia AG (inzwischen TX Group AG) unter anderem zu Marketingzwecken (ziel- gruppenspezifische Werbung) bear- beitet, analysiert und zusammenge- führt. Folglich haben wir unser Abklä- rungsverfahren formell auf die Tame- dia AG ausgedehnt. Wir reichten unsere Sachverhaltsfeststellung erneut zur Prüfung ein und nahmen einige Anpassungen vor. Unsere rechtliche Beurteilung des Sacherhalts wird gestützt auf die entsprechend festge- stellten Tatsachen erfolgen. 1.4 Handel und Wirtschaft Fehlerhafte Datenbank- einträge bei Inkasso- unternehmen Verwendung der Daten von ricardo.ch innerhalb der Tamedia-Gruppe (TX Group) Der EDÖB hat bei einer führenden Inkassofirma eine Sachverhalts- abklärung wegen angeblich fehlerhafter Einträge eröffnet. Durch Bürgeranfragen und Medien berichte wurde der EDÖB auf ein Unternehmen aufmerksam, wel- ches Bonitäts- und Kreditauskünfte sowie Inkassodienstleistungen anbie- tet. Angeblich soll es dort aufgrund von fehlerhaften Datenbankeinträgen zu Verwechslungen von Personen mit gleichen oder ähnlichen Namen bezie- hungsweise Adressen kommen. Als Folge davon sollen Zahlungs- aufforderungen an falsche Personen verschickt oder unzutreffende nega- tive Bonitätsinformationen gespei- chert und bekannt gegeben worden sein. Auch wurde über Schwierigkei- ten bei der Korrektur solcher Fehlein- träge berichtet. Um diesen Vorhaltun- gen nachzugehen, hat der Beauftragte im Februar 2020 eine Sachverhaltsab- klärung eingeleitet. Diese war zum Ende des Berichtsjahres noch im Gang. Der EDÖB hat die Sachverhalts- abklärung bezüglich der Verwendung der auf der Plattform ricardo.ch erhobenen Daten fortgesetzt, ins- besondere innerhalb der Tamedia- Gruppe (TX Group). Im Juli 2017 hatten wir ein Verfahren zur Abklärung des Sachverhalts eröff- net, um die Transparenz und die Kon- formität der Bearbeitungen von Daten der Nutzerinnen und Nutzer von ricardo.ch innerhalb der Tamedia- Gruppe sowie die Möglichkeit zu prü- fen, der Nutzung von Daten zum Zweck der gezielten Werbung zu widersprechen (s. 25. TB, Kap. 1.8.8). Die Sachlage hat seit Beginn der Abklärung erhebliche Veränderungen erfahren; unter anderem führte das Inkrafttreten der europäischen Daten- schutzgrundverordnung zu einer Anpassung der Datenschutzerklärung (s. 26. TB, Kap. 1.4). Weitere Änderun- gen folgten im Mai 2019 und im Feb- ruar 2020. 27. Tätigkeitsbericht 2019/20 37

Für die Handelsfirma gilt, dass sie sich unserer Auffassung nach auf Art. 13 Abs. 2 lit. e DSG berufen und ein über- wiegendes privates Interesse geltend machen kann, solange sie sich an die angeführten Bedingungen hält: Die Personendaten dürfen nur zu Zwecken verarbeitet werden, die nicht perso- nenbezogen sind, im Rahmen der Forschung, der Planung oder der Sta- tistik. Zudem müssen die Ergebnisse in einer Form veröffentlicht werden, die die Identifizierung der betroffenen Personen verunmöglicht. Im konkre- ten Fall bedeutet dies, dass die Erkenntnisse aus Profilanalysen nicht unter Verweis auf diesen Rechtferti- gungsgrund für gezielte Werbung eingesetzt werden dürfen; die Han- delsfirma darf sie ferner auch nicht mit anderen personenbezogenen Daten verknüpfen, über die sie allenfalls ver- fügt (Kundenkarte, E-Shop u.ä.). Für eine derartige Nutzung wäre ange- sichts des durchgeführten Profilings die ausdrückliche Einwilligung der betroffenen Personen erforderlich. Die Handelsfirma hat unsere Beurteilung zur Kenntnis genommen und wird uns gegebenenfalls über die Umsetzung des Projekts informieren. fikator («Token») zu ersetzen, der durch ein Hash-Verfahren generiert wird (Pseudonymisierung). In Ausübung unserer Beratungs- funktion beurteilten wir die vorgeleg- ten Unterlagen aus technischer und juristischer Sicht und kamen zum Schluss, dass sowohl die Datenverar- beitung durch den Zahlungsdienst- leister als auch jene durch die Handels- firma dem DSG unterworfen sind, da es sich in beiden Fällen bei den be a- rbeiteten Daten in der Tat um Perso- nendaten handelt. Die Festlegung eines eindeutigen Identifikators, die mittels einer Hashfunktion erfolgt, erschwert die Bestimmbarkeit der Daten und ermöglicht eine Minimie- rung der Persönlichkeitsverletzung; dies gemäss dem Prinzip der Verhält- nismässigkeit und der Sicherheit. Die übrigen allgemeinen Grundsätze des Daten- schutzes, etwa das Prinzip der Zweckbestimmung und das Öffentlichkeitsprinzip, sind ebenfalls anwendbar. Die Übermittlung der Daten durch den Zahlungsdienstleister ist als Ände- rung der Zweckbestimmung gegen- über dem ursprünglichen Zweck der Datenbearbeitung (der Durchführung der Zahlungsdienstleistung) zu wer- ten. Für eine derartige Änderung der Zweckbestimmung bedarf es eines Rechtfertigungsgrunds; im vorliegen- den Fall ist es die freiwillige Einwilli- gung nach angemessener Information des betroffenen Kunden. Was die tech- nischen Vorkehrungen anbelangt, hielten wir fest, dass zur Gewährleis- tung der Sicherheit eine Hashfunktion mit Salt oder geheimem Schlüssel notwendig ist. Datenschutz Sportwarenhändler Decathlon informierte mangelhaft über Datenbeschaffung Im Rahmen einer Sachverhaltsabklä- rung forderte der Beauftragte von Decathlon eine verbesserte Kunden- information bei der Datenbeschaffung. Der Sportwarenhändler hat seine Datenschutzerklärung überarbeitet. Im Jahr 2018 eröffneten wir beim Sportwarenhändler Decathlon eine Sachverhaltsabklärung, nachdem wir aus unterschiedlichen Quellen ver- nommen hatten, dass dieser in seinen Schweizer Filialen den Warenverkauf von der Angabe gewisser Kundenda- ten abhängig mache. Nach der Eröff- nung des Verfahrens teilte Decathlon dem EDÖB mit, dass die Kunden ihre E-Mail-Adresse oder Telefonnummer angeben müssten, um Waren vor Ort kaufen zu können. Die Unternehmung werde fortan aber darauf verzichten, den Warenver- kauf von der Angabe dieser Daten abhängig zu machen und diese Daten nur noch auf freiwilliger Basis erheben. Dies veranlasste den EDÖB, sich der Frage zuzuwenden, ob die Freiwilligkeit für die Kund- schaft denn auch tatsächlich erkennbar sei und diese bei der Datenbeschaffung ange- messen informiert würde. Da die Informationen von Decathlon unein- heitlich und zu wenig klar formuliert waren, unterbreitete der EDÖB dem Sportwarenhändler Vorschläge für eine Verbesserung der Information (s. 26. TB, Kap. 1.4). Decathlon hat sämtliche Hinweise des EDÖB berück- sichtigt und die Überarbeitung seiner Datenschutzerklärung abgeschlossen. 27. Tätigkeitsbericht 2019/20 39

Datenschutz Videoüberwachung mit intelligenten Kameras bei Migros Die Migros hat im Berichtsjahr ver- suchsweise ein neues Kamerasystem zur Überwachung ihrer Ladenflächen eingeführt. Der EDÖB prüft die Daten- schutzkonformität. Der EDÖB wurde durch Medienbe- richte darauf aufmerksam, dass die Migros neuartige Überwachungs- kameras im Einsatz habe. Auf Nach- frage hin gab die Migros bekannt, dass sie in bestimmten Filialen ein neues System in einem Pilotprojekt prüfe. Die eingesetzte Software erlaube es, im Ereignisfall Kunden anhand von bestimmten Erscheinungskriterien zu analysieren und die relevanten Video- sequenzen zu eruieren. Mit den neuen Kameras werde aber keine Gesichts- erkennung vorgenommen. Für den EDÖB stellen sich im Hin- blick auf eine datenschutzkonforme Ausgestaltung solcher Systeme ver- schiedene Fragen. Von zentraler Bedeutung sind namentlich die Trans- parenz gegenüber den betroffenen Personen und die Gewährleistung von hohen Sicherheits- standards bei der Daten- bearbeitung. Im Anschluss an seine Vorabklärungen eröffnete der EDÖB eine Sachverhaltsabklärung, um das Sys- tem vertieft zu prüfen und gegebenen- falls datenschutzrechtliche Empfeh- lungen zu erlassen. Diese Untersu- chung war zum Ende des Berichtjahres noch im Gang. 27. Tätigkeitsbericht 2019/20 41

Datenschutz Auf diese Weise konnten wir feststel- len, dass die technischen und organisa- torischen Massnahmen geeignet waren, die Sicherheit und Genauigkeit der Daten zu garantieren. Im Unter- schied zu den früheren Projektphasen stellten wir hingegen fest, dass umfangreiche und zahlreiche Perso- nendaten, einschliesslich Gesund- heitsdaten, nunmehr verknüpft wer- den, wodurch eine Anonymisierung verunmöglicht wird. Dementspre- chend empfahlen wir den Projektträ- gern, mittels zusätzlicher Schutzvor- kehrungen für die Vertraulichkeit der Daten der betroffenen Personen zu sorgen. Nach Inkrafttreten des Urteils ver- langte der EDÖB deshalb vom Versi- cherer, die festgestellten Defizite der Nutzungs- und Datenschutzbestim- mungen von Helsana+ zu beseitigen, damit die Bestimmungen die Anforde- rungen an Transparenz und Verständ- lichkeit erfüllen. Der Versicherer hat die Nutzungs- bestimmungen des Bonusprogramms in der Zwischenzeit einer umfassen- den Überarbeitung unterzogen. Insbe- sondere mit Blick auf die neuen Rege- lungen ist der EDÖB weiterhin im Austausch mit dem Versicherer, um die datenschutzkonforme Umsetzung der Datenbearbeitungen sicherzu- stellen. «Swiss National Cohort»: weiterführende Schutzmass- nahmen erforderlich Das Projekt «Swiss National Cohort» (SNC) hat an Umfang zugenommen. Damit entstehen nunmehr Verknüpfun- gen in einem Ausmass, das die Ano- nymität der bearbeiteten Daten nicht mehr gewährleistet: Ein Ausbau des Vertraulichkeitsdispositivs drängt sich auf. Gemeinsam mit dem Bundesamt für Statistik (BFS) lancierten das Institut für Epidemiologie, Biostatistik und Prävention (EBPI) der Universität Zürich und das Institut für Sozial- und Präventivmedizin (ISPM) der Univer- sität Bern bereits 2006 die erste Kohorte, die die gesamte Schweizer Bevölkerung langfristig abbildet, und schufen damit eine vielseitige For- schungsplattform. Auf Ersuchen des ISPM nahmen wir zur Frage der Ein- haltung datenschutzrechtlicher Bestimmungen durch die SNC Stel- lung. Dies unter Beachtung sowie vorbehaltlich der Befugnisse der betroffenen kantonalen Datenschutz- behörden. 27. Tätigkeitsbericht 2019/20 43

Datenschutz Die Problematik rund um mobil genutzte Funktionen des Arbeits- lebens ist noch zusätzlich verschärft, wenn dasselbe Smartphone für private und berufliche Zwecke verwendet wird. Hier stellt sich insbesondere die Frage, wie bei der Beendigung des Arbeitsverhältnisses korrekterweise vorgegangen werden soll. Der EDÖB verfolgt die Entwick- lungen im Bereich der mobilen Appli- kationen im Arbeitsalltag weiterhin aufmerksam und hat hierzu auch eine Sachverhaltsabklärung eingeleitet (s. Box). 1.6 Arbeit Zeiterfassung und Tracking mit Apps im Arbeitsbereich Smartphones werden zunehmend auch betrieblich eingesetzt, etwa mithilfe von Apps zur Arbeitszeiterfassung oder zur Aufzeichnung der während der Arbeit zurückgelegten Wege. Eine datenschutzkonforme Ausgestaltung verlangt insbesondere, dass sich die Datenbearbeitung auf das Notwendige beschränkt und dass die Mitarbeiten- den angemessen informiert werden. Im Berichtsjahr nahmen Anfragen aus der Bevölkerung zu mobilen Anwen- dungen im Arbeitsbereich wiederum zu. Zeiterfassung, GPS-Tracking, Zugriff auf die geschäftlichen E-Mails – es gibt kaum Bereiche des Arbeitsle- bens, die nicht auch über das Handy bearbeitet werden können. Das mobile Büro in der Hosentasche bringt neben Vereinfachungen im Arbeitsalltag auch einige datenschutzrechtliche Heraus- forderungen mit sich, zumal sich nicht wenige dieser technischen Funktionen zusätzlich zur Überwachung der Mit- arbeitenden einsetzen lassen. Ein datenschutzkonformer Einsatz mobiler Apps im Arbeitsbereich bedingt, dass der Arbeitgeber nur die- jenigen Personendaten seiner Ange- stellten bearbeitet, welche für die Durchführung des Arbeitsverhält- nisses notwendig sind. Weiter müssen stets die Bearbeitungs- grundsätze des DSG beach- tet werden, wie die Verhält- nismässigkeit und die Transparenz. Insbesondere beim letztgenannten Punkt beobach- ten wir oftmals insofern Mängel, als die Mitarbeitenden häufig nicht ange- messen über den Einsatz oder den Zweck von Überwachungsmassnah- men orientiert werden. Ein weiteres anspruchsvolles Thema sind die technischen und orga- nisatorischen Massnahmen, welche einen Missbrauch der Daten und Zugriffe durch Unbefugte – auch innerhalb des Unternehmens – verhin- dern sollten. Und schliesslich ist häu- fig unklar, was etwa mit erfassten Daten eines GPS-Trackings nach Arbeitsende oder während der Pausen geschieht – solche Datenbearbeitun- gen verletzen grundsätzlich die Privat- sphäre der Mitarbeitenden. Entspre- chend häufig fragten Betroffene unsere Behörde in diesem Zusammenhang um Rat. Sachverhaltsabklärung im Bereich Zeiterfassung Der EDÖB hat bei einem grossen Unternehmen im Bereich Gebäudereinigung und -unterhalt eine Sachverhaltsabklärung eingeleitet. Das Unternehmen beschäftigt eine grosse Zahl von Mitarbeitenden und hat die Arbeitszeiterfassung vor Kurzem weitgehend digitalisiert. Bei der nunmehr internetbasierten Registrierung der Arbeitszeiten stellen sich verschiedene datenschutzrechtliche Fragen, vor allem in Bezug auf die Datensicherheit, Zugriffsregelungen und die Datenflüsse innerhalb des Unternehmens sowie auch an allfällige Dritte. Der EDÖB wird nach Abschluss des Verfahrens über die Ergebnisse der Sachverhaltsabklärung informieren. 27. Tätigkeitsbericht 2019/20 45

Datenschutz Beide Aspekte fanden Eingang in den Artikel 43a ATSG. Vor dieser Geset- zesänderung konnten Privatdetektive zwecks Observationen nur in der Inva- lidenversicherung (IV) und der Unfall- versicherung (UV) eingesetzt werden. Observationen sind neu auch in den übrigen Sozialversicherungs- zweigen möglich: in der Arbeitslosen- versicherung (ALV), der obligatori- schen Krankenversicherung (KV), der Militärversicherung (MV), bei den Ergänzungsleistungen (EL), beim Erwerbsersatz für Dienstleistende und bei Mutterschaft (EO) sowie in der Alters- und Hinterlassenenversiche- rung (AHV). Da etliche dieser Versi- cherungen durch kantonale Stellen durchgeführt werden und diese dem- entsprechend Observationen anord- nen können, werden diese Überwa- chungstätigkeiten von den jeweiligen kantonalen Datenschutzbeauftragten beaufsichtigt. Der EDÖB ist demge- genüber für die Aufsicht und Beratung in datenschutzrechtlichen Fragen bei der UV, KV und MV zuständig und somit für Observationen, die im Rah- men dieser Sozialversicherungen angeordnet werden. 1.7 Versicherungen Neue rechtliche Bestim- mungen zu den Observationen im Bereich der Sozial- versicherungen in Kraft Die neuen gesetzlichen Grundlagen für die Überwachung von Versicherten wurden in das Bundesgesetz über den Allgemeinen Teil des Sozialversiche- rungsrechts (ATSG) übernommen und traten mit den dazugehörigen Verord- nungsbestimmungen auf den 1. Oktober 2019 in Kraft. Im Berichtsjahr berieten wir Rechtssuchende, die sich betref- fend Überwachung an uns wandten. Mit dem sog. Observationsartikel wurde im Berichtsjahr die Überwa- chung im Sozialversicherungsbereich neu geregelt. Mit den Artikeln 43a und 43b des Bundesgesetzes über den All- gemeinen Teil des Sozialversiche- rungsrechts (ATSG) und den dazuge- hörigen Ausführungsbestimmungen der Verordnung in den Artikeln 7a – 9b ATSV traten die entsprechenden rechtlichen Grundlagen auf den 1. Oktober 2019 in Kraft. Diese regeln die Voraussetzungen und die zulässigen Mittel einer verdeckten Observation von versicherten Perso- nen, bei denen ein Verdacht auf Versi- cherungsmissbrauch besteht. Der Erlass von rechtlichen Bestimmungen in diesem Bereich war nötig geworden, nachdem der Europäische Gerichtshof für Menschenrechte (EGMR) in Strass- burg in seinem Urteil «Vukota-Bojic gegen Schweiz» vom 18. Oktober 2016 (Beschwerde Nr. 61838/10) festgehal- ten hatte, dass in der Schweiz eine ausreichende gesetzliche Grundlage für den Einsatz von Privatdetektiven im Bereich der Sozialversicherungen fehle. Somit verstiessen gemäss Auf- fassung des EGMR die Überwa- chungsmassnahmen von Versicherun- gen gegen das Recht auf Privatleben, das durch Artikel 8 der Europäischen Menschenrechtskonvention (EMRK) geschützt ist. Weil der Beauftragte bei derartigen Observationen den Schutz der Privat- sphäre wesentlich tangiert sieht, brachte er sich früh in den Gesetzge- bungsprozess ein. Er forderte unter anderem, dass eine Observation nur durch eine Person mit Direktionsfunk- tion im fallbearbeitenden Bereich bzw. im Leistungsbereich des jeweils zuständigen Versicherungsträgers angeordnet werden darf. Weiter ver- langte er, dass die Dauer der Überwa- chung gesetzlich begrenzt sein muss. 27. Tätigkeitsbericht 2019/20 47

Datenschutz Wenn Daten im Ausland weiterbear- beitet werden, zum Beispiel in einer Cloud, müssen die Nutzenden unter Angabe des Landes für Auskunfts- und Löschungsbegehren angemessen infor- miert werden. Generell müssen Dritte, welche die Personendaten bearbeiten, ihrerseits die Datenschutzgrundsätze und die Datensicherheit einhalten. Der EDÖB hat darauf hin- gewiesen, dass die Daten- bearbeiter dafür verantwort- lich sind, den Datenschutz von Anfang an sicherzustel- len und während der Projektentwick- lung laufend Risikofolgeabschätzun- gen durchzuführen. 1.8 Verkehr ÖV-App SmartWay erstellt Persönlichkeitsprofile Das Angebot an Apps im öffentlichen Verkehr nimmt stetig zu. Der EDÖB hat in diesem Kontext namentlich die SBB beraten, welche im Berichtsjahr Mobili- täts-Apps wie EasyRide für elektroni- sches Ticketing oder SmartWay als elektronischen Reiseassistenten lan- ciert haben. Der EDÖB hat im Hinblick auf das zunehmende Angebot an Mobilitäts- Apps bereits in den vergangenen Jah- ren verschiedene Transportunterneh- men insbesondere betreffend das elek- tronische Ticketing beraten (s. 24. TB). Auch in diesem Berichtsjahr stand der EDÖB im Austausch mit Transport- unternehmen, namentlich mit dem Datenschutzverantwortlichen der SBB, unter anderem bezüglich der Techno- logie von Fairtiq für elektronisches Ticketing. Der EDÖB wirkte unter anderem darauf hin, dass die Nut- zungsbedingungen für die auf Fairtiq basierende EasyRide-App kunden- freundlicher und unter Wahrung der Verhältnis- mässigkeit ausgestaltet wer- den. Zudem liess er sich versichern, dass die Beschränkungen für die Datenweiter- gabe und -weiterbearbeitung durch Dritte tatsächlich beachtet werden. Ferner stellten die SBB dem EDÖB die äusserst datenintensive Anwendung SmartWay vor, welche sich noch in der Testphase befindet. Diese App schlägt den Nutzenden personalisierte Reise- empfehlungen mit passenden Verbin- dungen vor. Die App erfasst Daten durchgehend während 24 Stunden, unabhängig davon, ob sie gerade genutzt wird oder nicht. Die Nutzen- den können diese Funktion nicht ablehnen und sofern sie die Daten nicht aktiv löschen oder die App wäh- rend mehrerer Monate nie benutzen, werden die Daten erst nach vier Jahren gelöscht. Bereits schon nach wenigen Tagen entstehen Persönlichkeitsprofile und die Möglichkeit einer Anonymisierung von Bewegungsprofilen ist praktisch unmöglich. Folglich sind sehr hohe Anforderungen an den Datenschutz, insbesondere an die Verhältnismässig- keit und die Information zu stellen. Der EDÖB hat darauf hingewiesen, dass die Nutzenden vor der Registrie- rung vollständig und verständlich über sämtliche Personendatenbearbeitun- gen informiert werden müssen, damit ihre Einwilligung freiwillig erfolgen kann. Es muss klar sein, wer welche Daten zu welchem Zweck bearbeitet. Einwilligungen sind zudem ausdrück- lich (opt-in) sowie zweckbezogen und nicht pauschal einzuholen. Es muss transparent gemacht werden wie das Auskunftsrecht– auch bei Auftragsda- tenbearbeitung durch Dritte – ausge- übt werden kann und ob die Profile bei einer Löschung in der App auch bei allfälligen Dritten gelöscht werden. Wenn nicht, muss informiert werden, wie die Nutzenden die Löschung sämt- licher Daten vornehmen können. 27. Tätigkeitsbericht 2019/20 49

Datenschutz Beispielsweise soll die Löschung der Daten erfolgen, sobald diese für die angegebenen Zwecke nicht mehr benötig werden. Es soll dem Nutzer ferner die Abschaltung wie auch die gezielte Verwendung der App durch datenschutzfreundliche (Vor-)Einstel- lungen möglichst einfach gemacht werden. Sinnvoll wäre es, die Informa- tion und ausdrückliche Einwilligung kurz und übersichtlich zu gestalten, mit anklickbaren Links zu weiterge- henden Informationen. Zu beachten ist weiter die Unmöglichkeit Bewe- gungsprofile zu anonymisieren (s. Kap. 1.1). Der Beauftragte geht zurzeit davon aus, dass eine datenschutzkonforme Aus- gestaltung des Mobility Pricings mög- lich ist. Anlässlich mehrerer Sitzungen mit dem ASTRA und schriftlichen Stellungnahmen wirkte der EDÖB im Berichtsjahr darauf hin, dass der Datenschutz im Projekt frühzeitig erkannt und umgesetzt wird. Insbe- sondere legen wir Wert darauf, dass alle projektbeteiligten Amtsstellen und privaten Unternehmen über einen mit genügend Ressourcen ausgestatte- ten internen Datenschutzberater ver- fügen. Die Datenschutzberater sind frühzeitig in das Projekt einzubezie- hen und sollen gewährleisten, dass die nötigen Risikofolgeab- schätzungen erstellt und datenschutzfreundliche Technologien entwickelt werden. Die dafür not- wendigen Mittel müssen von Anfang an eingeplant werden. Ferner sind datenschutzrechtliche Dokumentatio- nen zu erstellen. App Cyclomania von Pro Velo Schweiz Eine neue App zur Förderung der Fahr- radbenutzung soll die registrierten Nutzer während eines Monats im Jahr tracken. Der EDÖB hat Pro Velo Schweiz zu Datenschutzaspekten beraten. Der nationale Dachverband der loka- len und regionalen Verbände für die Interessen der Velofahrenden in der Schweiz (Pro Velo Schweiz) entwi- ckelt, unterstützt vom Bundesamt für Energie, die neue App Cycolmania. Diese soll mithelfen, das Velo als Ver- kehrsmittel zu fördern. Die App erstellt von den registrierten Nutze- rinnen und Nutzern während eines Monats im Jahr ein Bewegungsprofil. Die erhobenen Daten werden zum einen für die persönliche Statistik der Cycolmania-Nutzenden und Verlo- sung von Preisen verwendet, zum anderen sollen die Daten in anonymer oder aggregierter Form den Gemein- den zur Verfügung gestellt werden, damit diese ihre Infrastruktur dem Verhalten der Bevölkerung entspre- chend verbessern können. Bei Einwil- ligung der Nutzer sollen die Daten gegebenenfalls für Forschungszwecke über den zeitlichen Rahmen der Aktion hinaus aufbewahrt werden. Der EDÖB beriet Pro Velo Schweiz zu den datenschutzrechtlichen Aspek- ten des Projekts. Unter anderem ist wichtig, dass die Nutzer transparent und angemessen über alle Personen- datenbearbeitungen informiert wer- den und das Verhältnismässigkeits- prinzip eingehalten wird. 27. Tätigkeitsbericht 2019/20 51

Datenschutz Die Teilnehmer diskutierten zudem über das Übereinkommen 108+ des Europarats, das unter anderem die Zusammenarbeit zwischen den Par- teien erleichtern wird, über den Schutz der Daten von Kindern, den Datenschutz, die internationalen Organisationen sowie über die Zukunft der Konferenz. Die Panelex- perten stellten die wichtigsten Neue- rungen des Übereinkommens 108+ vor und wiesen nachdrücklich darauf hin, wie wichtig das Inkrafttreten dieser Urkunde des Europarats für alle Betei- ligten ist, da es sich dabei um den bis- lang einzigen völkerrechtlich binden- den Vertrag auf dem Gebiet des Daten- schutzes handelt. Europäische Konferenz der Datenschutzbeauftragten in Tiflis Wir haben an der Europäischen Konfe- renz der Datenschutzbeauftragen teil- genommen, deren Fokus auf den Her- ausforderungen im Zusammenhang mit der Umsetzung der DSGVO und auf den wesentlichen Neuerungen des Überein- kommens 108+ lag. Diese Urkunde ist nach wie vor das einzige internationale, rechtlich bindende Instrument auf dem Gebiet des Datenschutzes. Die 29. Europäische Konferenz der Datenschutzbeauftragten fand vom 8. bis 10. Mai 2019 auf Einladung der georgischen Datenschutzbeauftragten in Tiflis (Georgien) statt. Sie bot Gele- genheit, Rückschau über das erste Jahr der Datenschutz-Grundverordnung zu halten. Im Rahmen von Debatten konnten sich die Vertreter der Daten- schutzbehörden über die Herausforde- rungen bei der Umsetzung und Anwendung der DSGVO austauschen. Dabei wurden diverse Initiativen der Datenschutzbehörden vorgestellt, namentlich die Software für Daten- schutz-Folgenabschätzungen der CNIL, die in 16 Sprachen vorliegt. Auch der territoriale Geltungsbereich und die Mechanismen der Zusammen- arbeit wurden anlässlich einer Panel- diskussion erörtert, an der eine Vertre- terin des EDÖB teilnahm. 27. Tätigkeitsbericht 2019/20 53

Besprochen wurde in allen drei Grup- pen auch die geplante Änderung ihrer Ausgestaltung. In Zukunft werden die drei Aufsichtskoordinationsgruppen als «Coordinated Supervision Com- mittee» in den europäischen Daten- schutzausschuss (EDSA) eingegliedert, der auch das Sekretariat führen wird. Auch wenn die Schweiz nicht Mitglied des EDSA ist, kann sie auch inskünftig in den Schengen und Dublin relevan- ten Bereichen teilnehmen. Datenschutz OECD: Arbeitsgruppe «Data Governance and Privacy in the Digital Economy» Die von der Organisation für wirt- schaftliche Zusammenarbeit und Ent- wicklung (OECD) neu eingesetzte Arbeitsgruppe «Data Governance and Privacy in the Digital Economy (WPDGP)» tagte erstmals im November 2019 in Paris. Neben der Konstituierung der neu geschaffenen Arbeitsgruppe fand eine ganztätige Expertensitzung über das Thema «Bewältigung neuer Herausfor- derungen bei der Durchsetzung des Datenschutzes» statt. Am zweiten Tag wurden diverse Themen und Arbeits- papiere diskutiert und zur weiteren Bearbeitung an das Sekretariat und danach zur Konsultation bei den Mit- gliedern weitergeleitet. Der erste runde Tisch beschäftigte sich mit den Auswirkungen der künst- lichen Intelligenz (KI) auf den Schutz von Personendaten und auf die Umset- zung der Datenschutzleitlinien. Dabei wurden u.a. folgende Fragestellungen erörtert: Was sind die Herausforde- rungen für die Datenschutzbehörden bei der Durchsetzung der grundlegen- den Datenschutzprinzipien der Daten- schutzrichtlinien und bei Audits im Zusammenhang mit künstlicher Intel- ligenz? Inwieweit berücksichtigen die derzeitigen Richtlinien der KI-Politik die Privatsphäre und den Daten- schutz? Wie kann die individuelle Rechtsausübung gewährleistet werden? Der zweite runde Tisch erörterte den zunehmenden grenzüberschreitenden Fluss von Personendaten und die wachsende Bedeutung der internatio- nalen Zusammenarbeit zur Durchset- zung des Schutzes der Privatsphäre und des Datenschutzes. Es wurden verschiedene Möglichkeiten der Zusammenarbeit aufgezeigt und u.a. folgende Fragen erörtert: Wie kann die internationale Zusammenarbeit zu einem vertrauensvollen grenzüber- schreitenden Fluss von Personendaten beitragen? Was sind die Hindernisse für die internationale Zusammenarbeit und wie können sie abgebaut werden? Was sind die Lehren aus Koopera- tionen? Am dritten runden Tisch wurde eine Bilanz der Diskussionen des Tages gezogen und besprochen, wie die OECD am besten auf die Heraus- forderungen reagieren kann. An der geschlossenen Sitzung wur- den erste Entwürfe von Zwischenbe- richten, Umfragen und Arbeitspapie- ren besprochen und zwar zu den The- men: Verbesserung des Zugangs zu und gemeinsame Nutzung von Daten, Datenportabilität, Datenethik, eine praktische Anleitung für die Umset- zung der künstlichen Intelligenz, sowie die Förderung der Vergleichbar- keit der Meldung von Datenschutzver- stössen. Des Weiteren beschäftigte sich die Arbeitsgruppe mit der derzeit in Überarbeitung befindlichen Emp- fehlung aus dem Jahr 2012 zum Schutz der Kinder im Internet. Schliesslich präsentierte das Sekre tariat einen ers- ten Zwischenbericht zur Umsetzung der Datenschutz richtlinien. 27. Tätigkeitsbericht 2019/20 55

Die Gruppe befasste sich intensiv mit dem dritten jährlichen Review über die Funktionsweise des EU-US Privacy Shield. Sie verfolgte die Arbeiten am Zusatzprotokoll zum Übereinkommen über Cyberkriminalität, bei dem es um die Kriminalisierung rassistischer und fremdenfeindlicher Handlungen geht, die über Informatiksysteme ausgeübt werden, aufmerksam mit. Zudem fer- tigte sie eine gemeinsame Position zu Handen der Octopus Konferenz an. Die Gruppe begleitete weiterhin das Umbrella Agreement, das einen Rahmen für den Austausch personen- bezogener Daten zwischen Polizei- und Justizbehörden festlegt, indem es die Rechte US-amerikanischer Behör- den im Umgang mit europäischen Daten begrenzt, sowie die Schaffung eines europäischen Rahmens für die Bekanntgabe von PNR-Daten an Dritt- länder und für die Verwendung von PNR-Daten zur Verfolgung von Straf- taten. Datenschutz Europäische Datenschutz- Grundverordnung (DSGVO) Die neue EU-Datenschutz-Grund- verordnung (DSGVO) gilt unter bestimmten Voraussetzungen auch für Datenverarbeitungen durch Schweizer Unternehmen. Der EDÖB nahm an diversen internationalen Konferenzen teil und konnte somit die Debatten über die Herausforderungen, die sich im Zusammenhang mit dem Vollzug der neuen europäischen Verordnung erge- ben, mitverfolgen. Mehr als ein Jahr nach deren Inkrafttreten sind zahlrei- che Fragen nach wie vor offen, namentlich was den territorialen Gel- tungsbereich angeht. Die europäische Datenschutz-Grund- verordnung (DSGVO) wurde am 27. April 2016 verabschiedet und ist in sämtlichen Mitgliedstaaten der Euro- päischen Union seit dem 25. Mai 2018 anwendbar. Ihr Geltungsbereich erstreckt sich jedoch weit über das Gebiet der EU hinaus: Wenn ein für die Datenbearbeitung Verantwortli- cher (oder ein Subunternehmer) Waren oder Dienstleistungen Perso- nen in der Europäischen Union anbie- tet bzw. das Verhalten dieser Personen beobachtet, namentlich um ihre Präfe- renzen zu analysieren, gelten die Vor- gaben der DSGVO für ihn auch dann, wenn er nicht in der EU niedergelassen ist. Im Berichtsjahr nahm der EDÖB an mehreren internationalen Konfe- renzen teil und konnte somit den Debatten über Erfolge und Herausfor- derungen im Zusammenhang mit der Umsetzung und Anwendung dieses Grundlagentextes beiwohnen. Dabei wurden auch die extraterritoriale Anwendung der Verordnung und die Zusammenarbeitsmechanismen erör- tert. Während des ganzen Jahres tauschten sich die französischsprachi- gen europäischen Behörden der Nicht- Mitgliedstaaten der EU, die vor den gleichen Schwierigkeiten stehen wie die Schweiz, über das Inkrafttreten der DSGVO und über die diesbezüglichen Erfahrungen aus, um Fragen, die an sie gerichtet wurden, im Hinblick auf eine koordinierte Antwort gemeinsam anzugehen. Der EDÖB nahm auch in diesem Berichtsjahr an zahlreichen Informa- tionssitzungen zu diesem Thema teil, die von der Bundesverwaltung oder von privaten Akteuren veranstaltet wurden. Im Rahmen seiner beraten- den Tätigkeit beantwortete er zudem zahlreiche mündliche und schriftliche Anfragen aus der Bevölkerung und den Medien. Über ein Jahr nach Inkrafttreten der DSGVO veröffentlichte der EDSA, der als unabhängiges europäisches Organ an der einheitlichen Einhaltung der Datenschutzvorschriften in der Europäischen Union mitwirkt, seine seit langem erwarteten Leitlinien zum Anwendungsbereich der DSGVO. Der EDÖB beteiligte sich zusammen mit der monegassischen Behörde (CCIN, Commission de contrôle des informa- tions nominatives) an der öffentlichen Konsultation, die den Leitlinien vor- ausging, um eine Reihe von Aspekten dieser Frage abzuklären, die für Dritt- länder, welche in das EU-Gefüge ein- gebunden sind, eminent wichtig ist. Im Februar 2020 wurde zudem die neue Fassung an einem Treffen in Bern analysiert. Auf unserer Website wer- den die Informationen zur Anwen- dung der DSGVO regelmässig aktua- lisiert. 27. Tätigkeitsbericht 2019/20 57

Datenschutz mehrerer unabhängiger Aufsichts- behörden sowie die internationalen Verpflichtungen, die das Drittland eingegangen ist, prüfen. Für die Beibe- haltung des Beschlusses, die für den Bundesrat ein vorrangiges Ziel dar- stellt (siehe Interpellation 17.4088), werden die Unterzeichnung des Über- einkommens 108+ im November 2019 und die Revision des DSG eine wesentliche Rolle spielen. Das Überprüfungsverfahren begann offiziell im März und wird sich im Rahmen eines regelmässigen Aus- tauschs bis zum Frühjahr 2020 fortset- zen. Im Berichtsjahr brachte sich der EDÖB in die vom Bundesamt für Jus- tiz (BJ) geleitete Arbeitsgruppe ein. Die Europäische Kommission hat bis zum 25. Mai 2020 Zeit, um die Schlussfolgerungen ihrer Prüfung vorzulegen und um ihren Beschluss betreffend die Schweiz zu erneuern. Gemäss DSGVO bleiben Angemessen- heitsbeschlüsse so lange in Kraft, bis sie geändert, ersetzt oder aufgehoben werden. Angemessenheitsbeschluss betreffend das Schweizer Datenschutzniveau Die Europäische Kommission setzte die Überprüfung ihres aus dem Jahr 2000 stammenden Angemessenheitsbe- schlusses für die Schweiz fort. Die entsprechenden Schlussfolgerungen werden für Mai 2020 erwartet. Die Bei- behaltung des Angemessenheitsbe- schlusses der EU ist für den Bundesrat ein vorrangiges Ziel. Mit einem Angemessenheitsbeschluss attestiert die Europäische Kommission einem Drittland, dass dessen inner- staatliche Gesetzgebung oder interna- tionalen Verpflichtungen einen mit dem Niveau der Europäischen Union vergleichbaren Schutz der Personen- daten gewährleisten. Personendaten können dank eines solchen Beschlus- ses sicher zwischen dem Europäischen Wirtschaftsraum (EWR) und dem betreffenden Drittland übertragen werden, ohne dass die Bearbeitungs- verantwortlichen eigene zusätzliche sichernde Massnahmen vorsehen müssen. In Anwendung von Artikel 45 Abs. 3 und 4 DSGVO überwacht die Euro- päische Kommission fortlaufend die Entwicklungen des Datenschutzni- veaus in Drittländern, denen sie, wie im Falle der Schweiz, die Angemes- senheit ihres Schutzniveaus in einem Entscheid bestätigt hat. Das Verfahren zur Überprüfung des Angemessen- heitsbeschlusses ist für alle betroffe- nen Drittländer gleich. Die Kommission muss insbeson- dere die Rechtsstaatlichkeit, die Ach- tung der Menschenrechte und Grund- freiheiten, die einschlägigen Rechts- vorschriften, das Bestehen und die wirksame Funktionsweise einer oder 27. Tätigkeitsbericht 2019/20 59

Schwerpunkt II Der Beauftragte stand verschiedentlich mit Vertretern der GPA und dem EDSA in Kontakt. Anlässlich der Interna- tionalen Konferenz der Datenschutzbeauftragten in Tirana hatte der EDÖB die Gelegenheit zu persönlichen Treffen mit den Datenschutzbeauftragten diverser euro- päischer Staaten und mit der amerikanischen Federal Trade Commission (FTC). Der Beauftragte stand auch mit Vertretern der Schweizerischen Nationalbank und der FINMA in Kontakt, die ihm zugesichert haben, seine Behörde über den zeitlichen Verlauf finanzrechtlicher Bewilligungsverfahren, die den Verein Libra betreffen, auf dem Laufenden zu halten. Ferner nahm der Beauftragte am 3. Dezember 2019 an einer Sitzung des EDSA in Brüssel für einen Informationsaustausch teil (s. Kap. 1.9). Internationale Tätigkeiten und Treffen Gemeinsam mit weiteren Bundesbehörden nahm der EDÖB am 23. August 2019 an einem vom SIF organisier- ten Anlass in Bern teil, an dem sechs Mitglieder des U.S. House Committee on Financial Services, angeführt von deren Vorsitzenden Maxine Waters, empfangen wurden. Letztere interessierten sich für die behördliche Aufsicht über die Tätigkeiten des in Genf ansässigen Vereins Libra und die rechtlichen Rahmenbedingungen von Krypto- währungen in der Schweiz sowie mögliche Auswirkun- gen auf die Persönlichkeitsrechte von betroffenen Perso- nen in den USA. Der Beauftragte informierte die Delega- tion summarisch über das hängige Aufsichtsverfahren gegen den Verein Libra und beantwortete deren Verständ- nisfragen. Der Beauftragte erklärte, dass er wie alle anderen Datenschutzbehörden vom Libra-Projekt und seinem globalen Netzwerk betroffen und bestrebt sei, die globale Gemeinschaft der Datenschutzbehörden bei ihren gemeinsamen Bemühungen zum Schutz der Bevölkerung zu unterstützen. Er stand deshalb mit dem Europäischen Datenschutzausschuss (EDSA) und der Global Privacy Association (GPA, damals noch ICDPPC) und weiteren Datenschutzbehörden in engem Kontakt. Er bekräftigte dabei insbesondere, dass das schweizerische Verfahren in keiner Weise die Kompetenzen und Befugnisse der ande- ren Datenschutzbehörden in anderen Ländern präjudizie- ren oder beeinflussen würde. Weiter werde er mögliche Versuche verhindern, dass einzelne Datenschutzbehör- den gegeneinander ausgespielt würden. Er informierte die Vorsitzenden des EDSA und der GPA, dass er sie über das Verfahren in der Schweiz summarisch auf dem Laufenden halten werde. Ein Vertreter des EDÖB nahm in der Folge auch an einem Panel zum Datenschutz an der «Conference on global stablecoins» von der Bank für Internationalen Zah- lungsausgleich am 16. September 2019 in Basel teil. Die Teilnehmer waren vornehmlich Vertreter von National- banken und Finanzaufsichtsregulatoren, und so konnte erstmals in einem solchen Rahmen auf die Datenschutz- aspekte hingewiesen und mitdiskutiert werden. 27. Tätigkeitsbericht 2019/20 61

Öffentlichkeitsprinzip

Öffentlichkeitsprinzip 2.2 Zugangsgesuche – erneute Zunahme im 2019 Gemäss den Zahlen, die von ihnen gemeldet wurden, gingen im Berichts- jahr 905 Zugangsgesuche bei den Bun- desbehörden ein (für 2018 waren es 636 Gesuche). Grund für diese Zunahme ist unter anderem die Tatsa- che, dass allein beim BASPO 175 Zugangsgesuche eingingen. Rechnet man die Bundesanwaltschaft (10) und die Parlamentsdienste (1) mit ein, beträgt die Gesamtzahl 916; dies ent- spricht einer Steigerung um 44 Pro- zent gegenüber 2018. Zu den höheren Zahlen hat wohl auch die Tatsache beigetragen, dass die Bevölkerung nicht zuletzt dank Medienberichten über die Jahre hinweg immer bessere Kenntnisse über das Öffentlichkeits- prinzip hat und nun die Möglichkeiten, die dieses bietet, auch selber vermehrt aktiv nutzt. Es ist davon auszugehen, dass diese Tendenz auch in den kom- menden Jahren anhalten wird, zumal in der Gesellschaft eine allgemeine Zunahme der Transparenzansprüche gegenüber Verwaltung und Politik festzustellen ist. In 542 Fällen (59 Prozent) gewähr- ten die Behörden einen vollständigen Zugang (gegenüber 352 bzw. 55 Pro- zent im Jahr 2018), währenddem bei 171 Gesuchen (19 Prozent) ein teilwei- ser Zugang zu den Dokumenten genehmigt wurde. In 86 Fällen (9 Pro- zent) wurde die Einsichtnahme voll- ständig verweigert (gegenüber 62 bzw. 10 Prozent im Jahr 2018). Nach Anga- ben der Behörden wurden 38 Zugangs- gesuche zurückgezogen (gegenüber 24 bzw. vier Prozent im Jahr 2018), 43 Gesuche waren Ende 2019 noch hän- gig, und in 36 Fällen war kein amtli- ches Dokument vorhanden. Seit 2015 wird in mehr als 50 Prozent der Fälle ein vollständiger Zugang zu den Dokumenten gewährt. Demgegenüber sind die vollständigen Zugangsverwei- gerungen in der Minderzahl und pen- deln sich im Laufe der Jahre auf rund zehn Prozent ein. Der EDÖB stellt fest, dass sich die Praxis der Behörden in Richtung mehr Transparenz entwi- ckelt. Mit ihren einschlägigen Mass- nahmen haben mehrere Bundesbehör- den zur Zunahme der gewährten Zugänge und zur Unterstützung des vom Gesetzgeber gewollten Paradig- menwechsels beigetragen (s. Kap. 3.3). Grafik 1: Beurteilung Zugangsgesuche – Entwicklung seit 2006 1000 800 600 400 200 0 916 (+44,0 % gegenüber Vorjahr) 542 (+54 %) 171 (+43,7 %) 86 (+38,7 %) 38 (+58,3 %) 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017 2018 2019 Total Gesuche Zugang gewährt Zugang teilweise gewährt / aufgeschoben Zugang verweigert Rückzug 27. Tätigkeitsbericht 2019/20 65

Öffentlichkeitsprinzip Parlamentsdienste Die Parlamentsdienste meldeten den Eingang eines einzigen Zugangsge- suchs. Es wurde vollumfänglich abge- lehnt. Bundesanwaltschaft Die Bundesanwaltschaft meldete für 2019 den Eingang von zehn Gesuchen. In drei Fällen wurde dem Antrag statt- gegeben, in einem Fall wurde der Zugang vollumfänglich verweigert. Für die übrigen Gesuche gilt, dass in zwei Fällen keine Dokumente vorhan- den waren; drei weitere Fälle wurden zurückgezogen; der letzte Fall ist hängig. Die ihm auf freiwilliger Basis übermit- telten Angaben widerspiegeln die tatsächlich geleisteten Arbeitsstunden daher nur bedingt. Gemäss diesen Angaben hat der Zeitaufwand für das Berichtsjahr mit 4375 Stunden im Vergleich zu 2018 (4827 Stunden) abgenommen. Ebenfalls rückläufig ist der Zeitaufwand für die Vorbereitung von Schlichtungsverfahren: 473 Stun- den (gegenüber 672 Stunden für 2018 und 914 Stunden für 2017). Diese geringe Stundenzahl steht im Kontrast zur deutlichen Zunahme der Zahl der Schlichtungsverfahren. Es ist davon auszugehen, dass der Aufwand für die Vorbereitung der Verfahren nicht voll- umfänglich erfasst wurde. Zudem wurden die Arbeitsstunden, die für den Erlass einer Verfügung oder für ein Beschwerdeverfahren geleistet wur- den, dem Beauftragten oftmals nicht mitgeteilt. 27. Tätigkeitsbericht 2019/20 67

Öffentlichkeitsprinzip Die Vorgabe der gesetzlichen Frist von 30 Tagen für die Durchführung von Schlichtungsverfahren kann in der Regel respektiert werden, wenn die Schlichtungssitzungen planmässig, d.h. ohne Gesuch auf Verschiebung durch die Beteiligten, innert der Frist nach Eingang des Antrags erfolgreich mit einer Einigung abgeschlossen wer- den können. Kommt keine Einigung zustande, kann die schriftliche Emp- fehlung den Beteiligten nicht in jedem Fall innert 30 Tagen nach Eingang des Antrags zugestellt werden. Demgegen- über ist eine Einhaltung der Frist bereits aus Ressourcengründen nicht möglich, wenn innert einer kurzen Zeitspanne zahlreiche Schlichtungs- anträge eingereicht werden. Besteht bereits ein Rückstand in der Bearbei- tung von Schlichtungsverfahren, trägt jeder neu eingehende Antrag zu einem grösseren Rückstau bei. Bei komple- xen Fällen und bei Mehrparteienver- fahren (d.h. mehrere Drittbetroffene) erweisen sich die 30 Tage ebenfalls als (zu) kurz. Die Erfahrung zeigt zudem, dass der Beizug von Rechtsvertretun- gen durch angehörte Drittbetroffene bereits im Stadium des Zugangs- und Schlichtungsverfahrens einer einfa- chen, pragmatischen und raschen Lösungsfindung wenig förderlich ist. Dokumenten oder der Vielzahl betrof- fener Personen zusätzlich verunmög- licht. Weil die Bearbeitung in derarti- gen Fällen oftmals besonders aufwän- dig ist, steht es dem Beauftragten gemäss Artikel 12a der Verordnung über das Öffentlichkeitsprinzip der Verwaltung (VBGÖ; SR 152.31) frei, die ordentliche Frist angemessen zu verlängern. Der Vergleich mit den Vorjahren zeigt, dass die Bearbeitungsdauer der Schlichtungsverfahren seit dem Pilot- projekt 2017 stark zurückging. Diese deutliche Verkürzung geht aus den Zahlen für 2019 eindeutig hervor und bestätigt in Verbindung mit dem Anteil an einvernehmlichen Lösungen die Wirksamkeit der eingeleiteten Massnahmen, die namentlich darin bestanden, den Fokus auf die mündli- che Schlichtung zu legen. Dauer der Schlichtungs- verfahren Untenstehende Tabelle ist in drei von der Behandlungsdauer abhängige Spal- ten aufgeteilt. Aus ihr wird ersichtlich, dass die Mehrheit der Verfahren 2019 innerhalb der ordentlichen Frist von 30 Tagen abgearbeitet wurden. Der Genauigkeit halber sei festgehalten, dass die Zeit, in der ein Schlichtungs- verfahren mit Einverständnis der Beteiligten sistiert ist, nicht zur Behandlungsdauer gezählt wird. Eine Sistierung des Schlichtungsverfahrens erfolgt insbesondere dann, wenn eine Behörde nach der Schlichtungssitzung ihre Position überprüfen möchte, oder wenn sie betroffene Dritte anhören muss. Häufige Gründe für eine Fristüber- schreitung sind eine Abwesenheit der betroffenen Personen oder Behörden (Ferien, Krankheit, Reisen), eine grosse Zahl der am Verfahren beteilig- ten Drittpersonen oder die juristische Komplexität der Fragestellung. Diese Gründe treffen auch auf jene vier Fälle zu, deren Bearbeitung länger als 100 Tag in Anspruch nahm, wobei drei dieser Verfahren zusammengelegt wurden. Ausserdem wurde die Einhal- tung der Fristen wegen Konsultatio- nen im Ausland, wegen zahlreicher Verhandlungsbestrebungen zwischen den Beteiligten und wegen der Fülle an Tabelle 1: Bearbeitungsdauer Schlichtungsverfahren Bearbeitungsdauer in Tagen Zeitraum 2014 – August 2016* innert 30 Tagen zwischen 31 und 99 Tagen mehr als 100 Tage 11 % 45 % 44 % Pilotphase 2017 Zeitraum 2018 Zeitraum 2019 59 % 37 % 4 % 50 % 50 % 0 % 57 % 38 % 5 % * Quelle: Präsentation des Beauftragten, Veranstaltung zum 10. Jahrestag des BGÖ, 2. September 2016 27. Tätigkeitsbericht 2019/20 69

Öffentlichkeitsprinzip 2.4 Ämterkonsultationen Ämterkonsultation zum Entwurf für ein Gesetz über Zoll und Grenzsicher- heit, Eröffnung des Vernehm lassungsverfahrens Die EZV will wesentliche Bereiche ihrer Tätigkeit vom Öffentlichkeitsgesetz ausnehmen. Dies schlägt sie im Ent- wurf für ein neues Bundesgesetz über Zoll und Grenzsicherheit (BGZG) vor. Der Beauftragte hat sich in seiner Stel- lungnahme im Rahmen der Ämterkon- sultation gegen diese Pläne ausge- sprochen. Im Entwurf für ein Gesetz über Zoll und Grenzsicherheit (BGZG) präsen- tierte die EZV Bestimmungen und Massnahmen, um wesentliche Berei- che ihrer öffentlichen Aufgabeerfül- lung vom Öffentlichkeitsgesetz auszu- nehmen. So schlug die EZV etwa die Einführung einer Bestimmung vor, wonach die Behörde «auf freiwilliger Basis gelieferte Daten von Privaten» beziehen kann. Laut erläuterndem Bericht sollten diese «freiwillig» gelie- ferten Personendaten der besonderen Geheimhaltung im Sinne von Art. 7 Abs. 1 Bst. h BGÖ unterliegen. Insbe- sondere sollten diese Daten bearbeitet werden, um den jeweiligen Wirt- schaftsbeteiligten zusätzliche Verfah- renserleichterungen einräumen zu können. In seiner Stellungnahme hat der Beauftragte die EZV darauf hingewie- sen, dass für das Vorliegen der erwähnten Ausnahmebestimmung drei Voraussetzungen kumulativ gege- ben sein müssen: Erstens muss die Information von einer Privatperson mitgeteilt worden sein. Zweitens muss diese Mitteilung freiwillig und spon- tan erfolgt sein. Keine Freiwilligkeit liegt vor, wenn die Information im Rahmen einer gesetzlichen oder ver- traglichen Verpflichtung abgegeben wurde. Drittens muss die Behörde die Geheimhaltung auf ausdrückliches Verlangen der Informantin bzw. des Informanten zugesichert haben. Die Behörde darf die Zusicherung weder von sich aus anbieten, noch darf sie diese leichtfertig abgeben. Angesichts der in Aussicht stehenden zusätzli- chen Verfahrenserleichterungen durch die EZV bezweifelte der Beauftragte bereits das Vorliegen des Kriteriums der Freiwilligkeit. Zudem darf die Geheimhaltungszusicherung nur auf Anfrage der Privatperson und nur im Einzelfall abgegeben werden. Eine proaktive und generelle Zusicherung durch eine Behörde ist nicht möglich, hat doch selbst der Bundesrat in seiner Botschaft zum Öffentlichkeitsgesetzes explizit festgehalten, dass sonst der Zweck des Gesetzes, nämlich die Erleichterung des Zugangs der Öffent- lichkeit zu amtlichen Dokumenten und die Förderung der Transparenz der Verwaltung, unterlaufen wird. Der Vorschlag der EZV wider- spricht somit dem Sinn und Zweck des Öffentlichkeitsgesetzes und der Aus- nahmeklausel von Art. 7 Abs. 1 Bst. h BGÖ. Des Weiteren sah der Entwurf eine Schweigepflicht vor, wonach Personen, die mit dem Vollzug dieses Gesetzes betraut sind oder dazu beigezogen werden, gegenüber anderen Behörden und Privaten über die in Ausübung ihres Amtes gemachten Wahrneh- mungen Stillschweigen zu bewahren und den Einblick in amtliche Doku- mente zu verweigern haben. Diese weitreichende Schweigepflicht soll nach Vorstellung der EZV auch für das Automobilsteuergesetz, Mineral- ölsteuergesetz und Alkoholgesetz jeweils analog gelten. Laut erläutern- dem Bericht der EZV gehen heute zahlreiche Zugangsgesuche ein, die nicht die Tätigkeit der Verwaltung zum Gegenstand haben, sondern ein- zig darauf abzielen, heikle Wirt- schaftsdaten Dritter in Erfahrung zu bringen. Die EZV verkennt hierbei, dass der Gesetzgeber den Schutz von heiklen «Wirtschaftsdaten» im Öffent- lichkeitsgesetz bereits selber sicherge- stellt hat. So werden entsprechende Unternehmensinformationen bereits heute mit Art. 7 Abs. 1 Bst. g BGÖ (Berufs-, Geschäfts- oder Fabrikati- onsgeheimnisse) umfassend geschützt. Entsprechende Dokumente können bei begründetem Nachweis entspre- chender Geheimnisse geschwärzt oder, wenn eine Schwärzung nicht möglich ist, gänzlich dem Zugang entzogen werden. Ausserdem können sich die betroffenen Unternehmen auf dem Rechtsweg gegen eine von der Verwal- tung vorgesehene Zugangsgewährung zur Wehr setzten. Es besteht hierzu eine lanjährige bundesgerichtliche Rechtsprechung. Zudem ignoriert die EZV mit ihrem umfassenden Vorbehalt zur Geheimhaltung den klaren Willen des Gesetzgebers, wonach das Öffentlich- keitsgesetz die Transparenz über den Auftrag, die Organisation und die Tätigkeit der Verwaltung fördern soll. Mit der Einführung des Öffentlich- keitsprinzips beabsichtigte der Gesetz- geber sogar explizit, dass die Bevölke- rung Zugangsgesuche einreicht, nicht zuletzt zur Kontrolle der Behörden im Umgang mit Dritten. Das Öffentlich- keitsprinzip verfolgt somit auch das Ziel, Misswirtschaft und Korruption in der Verwaltung vorzubeugen. Indi- rekt schützt es somit also auch davor, dass sich einzelne Bereiche der 27. Tätigkeitsbericht 2019/20 71

sie Dokumente erstellen oder Doku- mente als Hauptadressatinnen erhal- ten. Mit anderen Worten bedeutet dies, dass für Bundesbehörden bei der Beur- teilung von Zugangsgesuchen zu amt- lichen Dokumenten betreffend die Harmonisierung und die gemeinsame Bereitstellung der Polizeitechnik und -informatik nicht das kantonalberni- sche Recht über die Information der Bevölkerung, sondern einzig das Öffentlichkeitsgesetz des Bundes massgebend ist. Öffentlichkeitsprinzip Ämterkonsultation Zentraler Nachweis amtlicher Dokumente Das Schweizerische Bundesarchiv BAR hat beim Bundesrat die Erstellung einer Studie zum Zweck einer Entschei- dungsgrundlage betreffend den Zentra- len Nachweis amtlicher Dokumente beantragt. Die Präzisierungen des Beauftragten wurden im Antrag an den Bundesrat aufgenommen. Der Bundesrat beschloss im Jahr 2008 die Einführung von GEVER und die Errichtung eines zentralen Nachwei- ses von amtlichen Dokumenten in der Bundesverwaltung («Single Point of Orientation SPO»). SPO sollte die Metadaten der elektronischen Geschäftsverwaltung GEVER nutzen, um einen Katalog zu erstellen. Die Suchergebnisse in diesem zentralen Nachweis sollten Gesuchstellenden nach Öffentlichkeitsgesetz auch dazu dienen, präzise Zugangsgesuche stel- len zu können. Das BAR entwickelte und testete im Jahr 2012 dafür eine entsprechende Pilot-Webanwendung. Das Projekt wurde in der Folge zwei- mal sistiert. Ende 2019 musste das BAR dem Bundesrat die aktuelle Aus- gangslage darlegen und einen Vor- schlag für das weitere Vorgehen prä- sentieren. Der Beauftragte hat im Rah- men einer Ämterkonsultation zum Vorschlag «Zentraler Nachweis amtli- cher Dokumente» des BAR Stellung genommen Ein «Zentraler Nachweis amtlicher Dokumente» samt den Metainforma- tionen würde der Verwirklichung des Öffentlichkeitsprinzips dienen und zu einer transparenteren Verwaltung beitragen. Der Beauftragte begrüsst daher diese Bestrebungen. In seiner Stellungnahme an das BAR hat er dar- auf hingewiesen, dass es wichtig ist, beim Projekt «Zentraler Nachweis amtlicher Dokumente» klar zwischen dem Öffentlichkeitsgesetz und dem allgemeinen Informationsauftrag der Behörden zu unterscheiden. Das Öffentlichkeitsgesetz enthält in Art. 21 BGÖ zwar eine Vollzugsbestimmung zur Information über amtliche Doku- mente. Diese schafft aber keine eigen- ständige Gesetzesgrundlage, sondern konkretisiert lediglich die bereits bestehende allgemeine Informations- pflicht der Behörden. Ein «Zentraler Nachweis amtlicher Dokumente» ist ein Instrument der aktiven Behördeninformation: Die Behörden haben gemäss Verfassung und des Regierungs- und Verwal- tungsorganisationsgesetzes bereits heute eine allgemeine Informations- pflicht, von sich aus über ihre Aufga- benbereiche und über wichtige Geschäfte zu informieren und dafür geeignete Informationen zur Verfü- gung zu stellen (aktive Information). Demgegenüber gelangt das Öffentlich- keitsgesetz dann zur Anwendung, wenn eine Person ein Zugangsgesuch bei einer Behörde stellt (passive Infor- mation). Der Bundesrat hat an seiner Sit- zung vom 6. Dezember 2019 beschlos- sen, eine Studie über die Einrichtung eines zentralen Registers der amtli- chen Dokumente durchzuführen. Die Studie soll unter anderem die Art der Umsetzung eines solchen Systems, die technischen Lösungen sowie die Zuständigkeiten innerhalb der Bun- desverwaltung klären. Die Ergebnisse der Studie sollen Ende 2020 präsen- tiert werden. 27. Tätigkeitsbericht 2019/20 73

Öffentlichkeitsprinzip Der Einsatz von solchen Preismodel- len durch das BAG ist ein Instrument der Preispolitik, das immer öfter zur Anwendung gelangt. Demgegenüber besteht ein breit abgestützter Konsens nach Kostentransparenz im Gesund- heitswesen, zumal die kontinuierlich steigenden Krankenkassenprämien von der Bevölkerung seit Jahren als eine ihrer grössten Sorgen bezeichnet werden. Vor diesem Hintergrund ist es unabdingbar, dass sowohl für die Bevölkerung als auch für die Mitbe- werberinnen weiterhin die Möglich- keit besteht, die Genehmigungspraxis des BAG umfassend nachvollziehen und kontrollieren zu können. Mittel- und langfristig würde eine aktive Transparenzstrategie, insbesondere auf internationaler Ebene, zu tieferen Preisen führen. Eine starke Koopera- tion unter den Staaten ist für eine echt wirksame Preispolitik langfristig unab- dingbar. Das BAG hat den Bedenken des Beauftragten nicht Rechnung getragen. Der Bundesrat wird demnächst eine Vernehmlassung für eine Teilrevision des KVG eröffnen. Ämterkonsultation Vernehm- lassung der Teilrevision des KVG betreffend Mass- nahmen zur Kostendämpfung – 2. Paket Der Beauftragte wehrte sich gegen die Absicht des Bundesrates, eine Aus- nahme vom Öffentlichkeitsprinzip für Dokumente betreffend Preismodelle bei Arzneimitteln in der Krankenversiche- rung einzuführen. Das Bundesamt für Gesundheit BAG hat im Rahmen einer Ämterkonsulta- tion u.a. eine Ausnahme der Zugäng- lichkeit zu den Unterlagen betreffend die Höhe, die Berechnung und die Modalitäten im Rahmen von Preis- modellen und Rückvergütungen in der obligatorischen Krankenpflegeversi- cherung vorgeschlagen. Bei der Preisfestlegung von Medi- kamenten der Spezialitätenliste (SL) können zwischen den Pharmaunter- nehmen als Zulassungsinhaber und den Krankenversicherern Rabatte verhandelt werden (sogenannte Preis- modelle). Bei Preismodellen unter- scheidet sich der offizielle Preis auf der SL vom tatsächlichen Preis, den der Krankenversicherer dem Pharmaun- ternehmen auszuzahlen hat (Rücker- stattung). Mit seinem Vorhaben will der Bun- desrat sämtliche Unterlagen im Zusammenhang mit Preismodellen neu vom Geltungsbereich des Öffent- lichkeitsgesetzes ausnehmen. Die vereinbarten Rabatte und der voll- ständige Rückvergütungsmechanis- mus sollen der Bevölkerung nicht bekannt gegeben werden. Der Bundesrat vertritt die Auffas- sung, dass die Pharmaunternehmen bei einer Offenlegung der tatsächli- chen Preise nicht mehr bereit wären, solche Preismodelle zu verhandeln. Der Bundesrat argumentiert auch damit, dass die Mehrheit der Zugangs- gesuche im Zusammenhang mit Unterlagen von Arzneimitteln der Spezialitätenliste nicht von Bürgern gestellt werden, die sich über staatli- ches Handeln informieren wollen, sondern insbesondere von Pharma- unternehmen, welche Einsicht in Geschäftsinformationen von konkur- rierenden Unternehmen verlangen. Dem ist entgegenzuhalten, dass auch Mitkonkurrenten ein legitimes Inter- esse daran haben, die Genehmigungs- praxis des BAG bei Konkurrenz- produkten überprüfen zu können. Geschäfts- und Fabrikationsgeheim- nisse und die Privatsphäre der betrof- fenen Unternehmen bleiben auch bei Anwendung des Öffentlichkeitsgeset- zes explizit geschützt. Die Verankerung einer Geheimhal- tungsbestimmung im Krankenversi- cherungsgesetz geht nach Ansicht des Beauftragten in die falsche Richtung. In seiner Stellungnahme im Rahmen der Ämterkonsultation erinnerte er daran, dass mit dem Öffentlichkeits- prinzip das Verständnis für die Ver- waltung und ihr Funktionieren geför- dert sowie die Akzeptanz staatlichen Handelns erhöht werden soll. 27. Tätigkeitsbericht 2019/20 75

Der EDÖB

Der EDÖB Beratung Wie im Eingangskapitel «Aktuelle Herausforderungen und Schwer- punkte» dargelegt, sieht sich der EDÖB im Leistungsbereich der Bera- tung, aufgrund der Notwendigkeit digitale Grossprojekte zu begleiten, mit einer weiter anwachsenden Nach- frage konfrontiert. Aufgrund der Not- wenigkeit, unsere Aufsichtstätigkeit zu stärken, haben sich die für die Bera- tung aufgewendeten personellen Mit- tel um rund vier Prozent auf 49,8 Pro- zent vermindert. Gemäss dem Kont- rollplan des EDÖB für das Jahr 2020 ist die beratende Begleitung von zwölf grossen Projekten im Gang. Tabelle 6: Beratungen in umfangreicheren Projekten für 2019 Grundrechte Verkehr Finanzen Gesundheit und Arbeit Sicherheit Telekom Medien Handel und Wirtschaft Total 1 1 1 3 2 1 1 2 12 Da die Mittel des EDÖB bisher weder an die gestiegenen technologischen Risiken der Re-Identifikation und zweckwidrigen Datenabflüsse noch an die übrigen Herausforderungen der Digitalisierung angepasst wurden, kann er die gestiegene Nachfrage nach beratender Projektbegleitung nach wie vor nicht in der gewünschten Tiefe und Zeit erfüllen. In der Berichtspe- riode haben die drei Teams des Direk- tionsbereichs Datenschutz insgesamt monatlich rund 65 Anfragen und Mel- dungen von Bürgerinnen und Bürgern mit einem Standardschreiben beant- wortet, das die Betroffenen auf den zivilprozessualen Weg verweist. Das führt zunehmend auf Unver- ständnis, weil einerseits die Daten- schutzgrundverordnung der EU die dortigen Datenschutzbehörden ver- pflichtet, allen Bürgerklagen nachzu- gehen, und andrerseits die Vorlage zur Totalrevision des DSG auch für den EDÖB eine ausweitende Pflicht vor- sieht, Einzelanliegen der Schweizer Bevölkerung materiell zu behandeln. Zudem musste unsere Behörde bei anderen Posten in der Leistungs- gruppe Beratung, wie der internatio- nalen Zusammenarbeit, Abstriche machen. Da sich Big Data und künstli- che Intelligenz in immer mehr Bran- chen als Geschäftsmodell durchsetzen und die technologischen Datenschutz- risiken den Aufsichtsbereich des EDÖB weiter ausdehnen, ist wie in den Vorjahren von einer weiter stei- genden Anzahl von umfangreichen Datenbearbeitungsprojekten bei Staat und Wirtschaft auszugehen. Aufsicht Aufgrund der Dynamik von cloud- gestützten Applikationen müssen Kontrollen heute rasch durchgeführt werden. Diese Beschleunigung sowie die immer wichtiger werdende Kom- bination von juristischem und techni- schem Fachwissen schliessen längere Unterbrüche bei den Sachverhalts- klärungen aus, sodass umfassendere Kontrollen von mehreren Mitarbeiten- den betreut werden müssen. Die aktu- ellen Personalbestände setzen der Dichte der Kontrollen enge Grenzen. Im Jahr 2018 wurden für die Aufsichts- tätigkeit rund zwölf Prozent der Perso- nalressourcen aufgewendet, was deut- lich unter dem langjährigen Mittelwert von rund zwanzig Prozent lag. In der letzten und aktuellen Berichtsperiode ist der Anteil nun wieder auf rund 17 Prozent gestiegen. Gemäss Kontrollplan für das Jahr 2020 werden mit diesen Mitteln fünf- zehn umfassendere Kontrollen bestrit- ten. Im Vergleich zu der Anzahl von rund 12 000 grossen und mittleren kaufmännischen Unternehmen sowie rund 100 000 Stiftungen und Verei- nen in der Schweiz erweist sich die aktuelle Kontrolldichte nach wie vor als tief. Für den Beauftragten bleibt es schwierig, seine ressourcenbedingte Zurückhaltung bei der Eröffnung von Sachverhaltsabklärungen gegenüber Medien und Konsumentenschutzorga- nisationen zu vermitteln. 27. Tätigkeitsbericht 2019/20 81

Der EDÖB Hält die Tendenz bei der Zunahme von (komplexen) Schlichtungsanträgen an, besteht das Risiko, dass sich der Rück- stau bei der Bearbeitung von Verfahren negativ auf die neu eröffneten Fälle auswirken wird. Bemessungskriterien Ob und in welchem Mass dem EDÖB Ressourcen zugesprochen werden, liegt in der Verantwortung der politi- schen Behörden, denen bei der Ein- schätzung aktueller und künftiger Entwicklungen der Digitalisierung und deren Auswirkungen auf die Tätigkeit unserer Behörde ein erhebli- cher Ermessensspielraum bleibt. Kernaufgabe des EDÖB ist der Schutz der Privatsphäre und die Gewährleistung des Rechts auf infor- mationelle Selbstbestimmung in der digitalen Gesellschaft. Der EDÖB muss unabhängig handeln können. Dies erfordert angemessene und aus- reichende personelle, materielle, tech- nische und finanzielle Ressourcen, welche die Aufsichtsbehörde nicht darauf beschränken, reaktiv das Unab- dingbare zu erledigen, sondern ihr die Initiative zum Handeln ermöglichen – und zwar mit einem Mass an Glaub- würdigkeit und Intensität, welches die betroffene Öffentlichkeit zum Schutz ihrer Grundrechte vernünftigerweise erwarten darf. Mit Blick auf die einzelnen Leis- tungsgruppen ergeben sich somit fol- gende, für die Bemessung der Mittel wegleitende Wirkungsziele (s. Tab. 7): Leistungen und Ressourcen im Bereich Öffentlichkeits- gesetz Der Direktionsbereich Öffentlich- keitsprinzip, wo unverändert 3,6 Stel- len eingesetzt werden, ist nach Durch- führung eines einjährigen Versuchs im Jahr 2017 zu einem beschleunigten und summarischen Verfahren überge- gangen, das sich dadurch charakteri- siert, dass in der Regel mündliche Schlichtungsverhandlungen durchge- führt werden. Dieses Verfahren bewährt sich wei- terhin, indem der Anteil der einver- nehmlich abgeschlossenen Schlich- tungen nach wie vor hoch und die Überschreitung der gesetzlichen Fris- ten in der Regel auf prozessual und inhaltlich komplexe Fälle beschränkt werden konnten. Das laufende Berichtsjahr hat indes auch gezeigt, dass ein Anstieg der Zahl der Schlich- tungsanträge, zahlreiche Anträge innerhalb eines kurzen Zeitraums und personelle Vakanzen rasch Arbeits- rückstände verursachen, welche zur Folge haben, dass die gesetzlichen Fristen für die Durchführung des Schlichtungsverfahrens nicht mehr eingehalten werden können (s. Kap. 2.3). Tabelle 7: Wirkungsziele EDÖB Leistungsgruppe Wirkungsziele Beratung Aufsicht Information Gesetzgebung Der EDÖB entfaltet eine erwartungsadäquate Präsenz für die Beratung von Privatpersonen sowie die Begleitung von datenschutzsensiblen Projekten der Wirtschaft und der Bundesbehörden unter Anwendung digitalisierungstauglicher Arbeitsinstrumente. Der EDÖB entfaltet eine glaubwürdige Dichte an Kontrollen. Der EDÖB sensibilisiert die Öffentlichkeit proaktiv für technologie- und anwendungsbezogene Risiken der Digitalisierung. Der EDÖB nimmt rechtzeitig und aktiv Einfluss auf alle datenschutzrelevanten Spezialnormen und Regelwerke, die auf nationaler und internationaler Ebene geschaffen werden. Er unterstützt die interessierten Kreise bei der Formulierung von Regeln der guten Praxis. 27. Tätigkeitsbericht 2019/20 83

Der EDÖB Wiederum nahm der Beauftragte bei gegen vierzig Veranstaltungen als Referent oder Podiumsteilnehmer teil. Unter den Veranstaltern befanden sich Verbände und Vereine, Bildungsinsti- tutionen, Behörden oder Unterneh- men sowie Organisationen im Umfeld der Digitalisierung. Weiter trat der Beauftragte auf einem Podium am dritten Schweizer Digitaltag auf und nahm in auflagestar- ken Unternehmensmagazinen die Gelegenheit wahr, um für den Schutz der Privatsphäre zu sensibilisieren wie zum Beispiel in Verkehrs-, Finanz- oder Gesundheitspublikationen. Gemeinsame Kommunikation der Datenschutzbehörden von Bund und Kantonen am Internationalen Datenschutztag Der Internationale Datenschutztag wird auf Initiative des Europarates seit 2007 jedes Jahr am 28. Januar durchgeführt. Er hat zum Ziel, das Bewusstsein der Bür- gerinnen und Bürger für den Schutz der Privatsphäre und das Recht auf informatio- nelle Selbstbestimmung zu stärken und eine nachhaltige Verhaltensänderung im Umgang mit neuen Technologien zu bewirken. Der EDÖB und die kantonalen Datenschutzbehörden informierten im Januar 2020 gemeinsam über zunehmende Gefahren für die Privatsphäre im privaten und öffent- lichen Verkehr. Auslöser der datenschutzrechtlichen Risiken sind namentlich die Vermessung durch Videoaufzeichnungen und die Erstellung von Bewegungsprofilen, welche etwa durch die Entwicklung immer neuerer Mobilitäts-Apps und intelligente Fahrzeuge (Stichwort «Connected Cars») Einzug in den Alltag halten bzw. gehalten haben. 27. Tätigkeitsbericht 2019/20 85

Der EDÖB 27. Tätigkeitsbericht 2019/20 87

Mehrjahresvergleich Aufwand (Angaben in Prozent) 60 50 40 30 20 10 0 Der EDÖB Beratung (−3.1 % gegenüber Vorjahr) Information (+1 %) Aufsicht (+1.6 %) Gesetzgebung (+1.2 %) 2010 2011 2012 2013 2014 2015 2016 2017 2018 2019 2020 27. Tätigkeitsbericht 2019/20 89

Statistiken über eingereichte Zugangsgesuche nach Öffentlichkeitsgesetz vom 1. Januar bis 31. Dezember 2019 Zugang vollständig gewährt Zugang vollständig verweigert gewährt /aufgeschoben Zugang teilweise Zugangsgesuch zurückgezogen Zugangsgesuch hängig Der EDÖB Dokument vorhanden kein amtliches Bundeskanzlei BK Eidg. Departement für Auswärtige Angelegenheiten EDA Eidg. Departement des Inneren EDI Eidg. Justiz- und Polizei departement EJPD Betroffener Fachbereich Anzahl Gesuche BK EDÖB EDA Total Total GS EDI EBG BAK BAR METEO CH NB BAG BFS BSV BLV SNM SWISS MEDIC SUVA 14 10 24 168 168 8 3 4 2 1 0 35 6 15 14 0 31 7 Total 126 GS EJPD BJ FEDPOL METAS SEM Dienst ÜPF SIR IGE ESBK ESchK RAB ISC NKVF 6 12 5 4 9 2 4 0 3 0 2 1 0 6 6 12 89 89 3 2 3 2 1 0 6 3 12 3 0 14 3 52 5 8 2 3 3 0 2 0 3 0 0 1 0 Total 48 27 3 0 3 15 15 2 0 0 0 0 0 3 3 0 1 0 3 3 2 0 2 38 38 3 0 1 0 0 0 14 0 0 7 0 5 1 15 31 0 0 0 1 3 2 0 0 0 0 2 0 0 8 1 4 3 0 0 0 1 0 0 0 0 0 0 9 1 3 4 7 7 0 0 0 0 0 0 3 0 0 0 0 5 0 8 0 0 0 0 1 0 1 0 0 0 0 0 0 2 0 0 0 10 10 0 0 0 0 0 0 2 0 3 0 0 4 0 9 0 0 0 0 1 0 0 0 0 0 0 0 0 1 2 1 3 9 9 0 1 0 0 0 0 7 0 0 3 0 0 0 11 0 0 0 0 1 0 0 0 0 0 0 0 0 1 27. Tätigkeitsbericht 2019/20 91

Der EDÖB Dokument vorhanden kein amtliches Zugang vollständig gewährt Zugang vollständig verweigert gewährt /aufgeschoben Zugang teilweise Zugangsgesuch zurückgezogen Zugangsgesuch hängig 8 8 7 6 9 3 19 0 1 3 1 2 67 3 3 0 0 1 0 2 0 0 0 3 0 0 2 0 1 9 1 1 1 1 0 3 2 4 0 0 12 0 0 4 0 0 25 0 0 0 0 0 0 0 1 0 0 1 0 0 1 0 0 3 3 3 0 0 1 0 3 1 1 1 0 0 0 0 0 0 7 1 1 0 0 0 0 1 0 0 0 0 0 0 0 0 0 1 2 2 0 0 Eidg. Departement für Umwelt, Verkehr, Energie und Kommunikation UVEK Betroffener Fachbereich Anzahl Gesuche GS BAV BAZL BFE ASTRA BAKOM BAFU ARE ComCom ENSI PostCom UBI 10 11 15 12 10 4 35 0 1 10 1 3 Bundesanwaltschaft BA BA Parlamentsdienste PD PD Total 112 Total Total 10 10 1 1 Anzahl Schlichtungsgesuche nach Kategorien der Antragssteller Kategorie Antragsteller Medien Privatpersonen (bzw. keine genaue Zuordnung möglich) Interessenvertreter (Verbände, Organisationen, Vereine usw.) Rechtsanwälte Unternehmen Total 2019 34 40 7 5 47 133 27. Tätigkeitsbericht 2019/20 93

Der EDÖB 3.4 Organisation EDÖB (Stand 31. März 2020) Organigramm Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Adrian Lobsiger, Beauftragter Marc Buntschu, stv. Beauftragter Kommunikation Hugo Wyler Direktionsbereiche Datenschutz Daniel Dzamko Öffentlichkeits- prinzip Reto Ammann Kompetenzzentren Kosmas Tsiraktsopoulos Internationale Angelegenheiten, Gesetzgebung und Kantone Marc Buntschu Kompetenz zentrum Geschäfts verwaltung, Personelles und Finanzen Kompetenzzentrum IT und Digitale Gesellschaft Team 1 Team 2 Team 3 27. Tätigkeitsbericht 2019/20 95

Der EDÖB 27. Tätigkeitsbericht 2019/20 97

Abbildungsverzeichnis Abbildungsverzeichnis Grafiken Tabellen Grafik 1: Beurteilung Zugangsgesuche – Entwicklung seit 2006 ......................S. 65 Tabelle 1: Bearbeitungsdauer Schlichtungsverfahren ...................... S. 69 Grafik 2: Erhobene Gebühren seit Inkrafttreten des BGÖ ...................... S. 66 Tabelle 2: Einvernehmliche Lösungen ............................................S. 70 Grafik 3: Schlichtungsanträge seit Inkrafttreten des BGÖ ...................... S. 68 Tabelle 3: Hängige Schlichtungs verfahren .......................S. 70 Tabelle 4: Für DSG- Belange einsetzbare Stellen ............................ S. 80 Tabelle 5: Leistungen Datenschutz .... S. 80 Tabelle 6: Beratungen in umfang- reicheren Projekten für 2019 .............. S. 81 Tabelle 7: Wirkungsziele EDÖB ............ S. 83 Die Bilder in diesem Bericht sind als vom Inhalt losgelöste Bildstrecke konzipiert und vermitteln unsere Die Bilder in diesem Bericht sind als vom Inhalt losgelöste Bildstrecke konzipiert und vermitteln unsere alltägliche Mobilitätswelt, die auch zahlreiche Datenschutzfragen aufwirft. Einzelne Bildteile sind gepixelt dargestellt, alltägliche Mobilitätswelt, die auch zahlreiche Datenschutzfragen aufwirft. Einzelne Bildteile sind gepixelt dargestellt, um auf die Problematik der Identifizierung aufmerksam und gleichzeitig Personen und Firmen unkenntlich zu machen. um auf die Problematik der Identifizierung aufmerksam und gleichzeitig Personen und Firmen unkenntlich zu machen. Die Aufnahmen erstellte der Fotograf Ben Zurbriggen aus Biel. Die Aufnahmen erstellte der Fotograf Ben Zurbriggen aus Biel. 27. Tätigkeitsbericht 2019/20 99