Vorwort

Im letzten Tätigkeitsbericht habe ich die Rolle des Datenschützers mit jener des Sisyphos verglichen, der tragischen Gestalt aus der griechischen Mythologie, die immer wieder vergeblich denselben Stein den Berg hinauf stösst: Kaum glaubt man ein Datenschutzproblem gelöst, taucht ein neues auf. Auch wenn sich am Bild grundsätzlich nichts ändert, so gibt der jährliche Tätigkeitsbericht doch die Gelegenheit, Rückschau zu halten und sich an den Erfolgen zu freuen. Man kann es so auf den Punkt bringen: Vernünftiger Datenschutz ist erfolgreich.

Das beginnt beim Gesundheitsbereich, wo nach unseren Empfehlungen in Sachen CSS einiges in Bewegung geraten ist. Die Schweizerische Gesellschaft der Vertrauensärzte hat im Dezember 2007 mit unserer Unterstützung Empfehlungen für die Tätigkeit der Vertrauensärzte verabschiedet, die darauf abzielen, deren Unabhängigkeit gegenüber ihren Versicherungen zu stärken. Der Datenfluss innerhalb des vertrauensärztlichen Dienstes wurde klarer geregelt und die administrative Unabhängigkeit besser organisiert. Der Umstand, dass Krankenversicherer im Rahmen weit verzweigter Holdings verschiedene Produkte wie Taggeldversicherung und Lebensversicherungen anbieten, ruft nach Klärung der Rolle der nach KVG eingesetzten Vertrauensärzte, die auch im Bereich der nichtobligatorischen Versicherungen tätig sind. Unklar ist ferner nach wie vor die Rolle der Case Manager und die Frage, ob es zur Klärung beiträgt, wenn sie in den vertrauensärztlichen Dienst eingegliedert werden.

Positiv ist sodann, dass ein gemeinsames Projekt zwischen dem Bundesamt für Gesundheit und uns zustande gekommen ist, mit dem versucht wird, einen Überblick über den Stand des Datenschutzes im Gesundheitsbereich zu schaffen und Lösungsansätze zu formulieren. Angesichts der Entwicklungen auf diesem Gebiet – als Stichwort sei hier nur die Einführung des DRG genannt – ist diese Arbeit ausserordentlich wichtig. Die Resultate sind im Verlaufe dieses Jahres zu erwarten. Ebenfalls erfreulich ist, dass die CSS bereit ist, sich einem regelmässigen externen Datenschutzaudit zu unterziehen. Das fordern wir seit langem für den gesamten Gesundheitsbereich, um das Vertrauen in die Bearbeitung von hochsensiblen Daten nachhaltig zu stärken.

Mit dem neuen Datenschutzgesetz wurde gerade in diesem Bereich mit der Möglichkeit zur Datenschutzzertifizierung ein wichtiges neues Instrument geschaffen. Wir setzen uns dafür ein, dass solche Audits insbesondere bei der Bearbeitung von besonders schützenswerten Personendaten zum Standard werden. Derzeit sind wir daran, mit den interessierten Kreisen die in der Zertifizierungsverordnung vorgesehenen Richtlinien zu erarbeiten. Ziel muss sein, ein möglichst einfaches und kundenfreundliches Verfahren zu etablieren, das auf der Grundlage der ISO 27001-Norm abgewickelt werden kann.

Überhaupt zeigt das per 1. Januar 2008 in Kraft gesetzte revidierte Datenschutzgesetz erste positive Auswirkungen. Wir stellen fest, dass sich vor allem die grossen Wirtschaftsunternehmen, deren Datenschutzverantwortliche im Verein Unternehmens-Datenschutz (VUD) zusammengeschlossen sind, mit grosser Ernsthaftigkeit an die Umsetzung der neuen Bestimmungen gemacht und dabei eine konstruktive Zusammenarbeit mit dem EDÖB gesucht haben.

Im Rahmen der Erarbeitung des neuen Gesetzes über die polizeilichen Informationssysteme ist es uns gelungen, im Nachgang zu einem Urteil des Europäischen Gerichtshofs für Menschenrechte die Rechtsstellung von Einsichtsuchenden in die Datenbanken Janus und Gewa markant zu verbessern. Die gleiche Verbesserung muss nun auch beim Bundesgesetz über die Massnahmen zur Wahrung der inneren Sicherheit, dessen Revisionsentwurf sich derzeit in der parlamentarischen Behandlung befindet, vollzogen werden. Auch sonst wird uns dieses Gesetz wegen seiner gefährlichen Stossrichtung dieses Jahr besonders beschäftigen.

In Sachen SWIFT ist positiv zu vermerken, dass sich diese Organisation entschieden hat, sämtliche Geldtransaktionen, die nicht direkt mit den USA zu tun haben, organisatorisch und technisch so zu abzutrennen, dass das amerikanische Recht darauf nicht mehr anwendbar ist, so dass die Transaktionsdaten dem Zugriff durch US-Behörden entzogen werden. In diesem Sinne werten wir es als richtigen Schritt, dass sich SWIFT entschlossen hat, zu diesem Zweck ein Operation Center in der Schweiz zu etablieren und die Geldtransaktionen, welche mit den USA nichts zu tun haben, hier abzuwickeln.

Das Öffentlichkeitsgesetz ist nun bald zwei Jahre in Kraft und eine erste Beurteilung ist möglich. Es zeichnet ein allmählicher Mentalitätswandel vom Geheimhaltungs- zum Öffentlichkeitsprinzip in den Bundesämtern ab. In unserer Funktion als Schlichtungsstelle haben wir in den allermeisten Fällen, in denen der Zugang zu amtlichen Dokumenten durch ein Bundesamt ganz oder zum Teil abgelehnt wurde, eine für die Gesuchstellenden günstigere Lösung erzielen können. Gleichzeitig wurde in dieser ersten Phase des Öffentlichkeitsprinzips aber auch deutlich, dass die Ämter noch eine gewisse Zeit benötigen werden, um sich mit dieser neuen Situation vertraut zu machen. Positiv festzuhalten ist, dass die von uns angesprochene Ressourcenproblematik dadurch entschärft werden konnte, dass sich die Bundeskanzlei bereit erklärte, uns zwei Stellen – allerdings nur befristet – zur Verfügung zu stellen, um die im ersten Jahr gehäuft aufgetretenen Schlichtungsanträge abzutragen. Wir sind zuversichtlich, dass somit die Rückstände bis Ende Jahr aufgearbeitet werden können. Es wird sich dann die Frage stellen, welche Ressourcen für einen geordneten Betrieb definitiv zur Verfügung gestellt werden müssen.

In Hinblick auf den Beitritt der Schweiz zu den Abkommen Schengen/Dublin und deren Umsetzung hat unser Land eine Evaluation seines datenschutzrechtlichen Systems zu bestehen. In diesem Zusammenhang besuchte uns im März während mehrerer Tage eine 13-köpfige EU-Delegation unter der Führung der slowenischen Datenschutzbeauftragten. Untersucht wurde der Stand des Datenschutzes auf der Ebene von Bund und Kantonen. Inzwischen liegt der Bericht der EU-Experten vor, der eine Reihe von Empfehlungen enthält. Die Experten stellten fest, dass insbesondere die administrative und finanzielle Unabhängigkeit der Datenschutzbehörden nicht ausreichend gewährleistet sei und namentlich für die Bewältigung der neuen Aufgabe zu wenig Ressourcen zur Verfügung stünden. In den nächsten sechs Monaten wird die Schweiz erklären müssen, wie sie die Empfehlungen umsetzen wird. Der EDÖB hat in den letzten Jahren wiederholt auf diese Problematik hingewiesen, insbesondere auch mit Blick auf die bevorstehenden internationalen Abkommen. Er wird mit den zuständigen Stellen versuchen, eine gangbare Lösung zu finden, damit die Schweiz den Anforderungen der EU genügt. Eine weitere Empfehlung zielt darauf hin, im Hinblick auf die sich überschneidenden Aufsichtsaufgaben von Bund und Kantonen die Zusammenarbeit zwischen dem EDÖB und den kantonalen Datenschutzbehörden festzulegen.

Dass Datenschutzfragen durchaus auf Interesse stossen, zeigte der am 11. Januar 2008 mit der Universität Freiburg gemeinsam organisierte erste Datenschutzrechtstag. Die sehr gut besuchte Veranstaltung befasste sich schwergewichtig mit der einige Tage zuvor in Kraft getretenen Revision des Datenschutzgesetzes, beleuchtete die Rechtsprechung der ehemaligen Datenschutzkommission und setzte sich mit Blick auf das 2006 in Kraft getretene Öffentlichkeitsgesetz mit dem Thema «Öffentlichkeitsprinzip versus Datenschutz» auseinander. Im gleichen Zusammenhang zu erwähnen ist der am 28. Januar 2008 zum zweiten Mal durchgeführte europäische Datenschutztag, der erneut in Kooperation mit dem Europa Institut an der Universität Zürich durchgeführt werden konnte. Zum gleichen Anlass konnte ausserdem eine Zusammenarbeit mit den Radiosendern DRS und RSR realisiert werden, die sich den ganzen Tag mit journalistisch hervorragend aufbereiteten Aspekten des Datenschutzes befassten, begleitet von einem von uns gestellten Expertenteam, das den Hörerinnen und Hörern während dieser Zeit für zahlreich eingegangene telefonische Anfragen zur Verfügung stand.

In all diesen Fällen zahlte sich eine intensive Zusammenarbeit mit interessierten Akteuren ausserhalb des engen Bereichs des Datenschutzes aus und führte zu beachtlichen Resultaten im Interesse des Schutzes der Privatsphäre. Vernünftiger Datenschutz ist vor allem dann erfolgreich, wenn er in einem möglichst breiten Feld mit potentiellen Interessenten kooperiert.

Letzte Änderung 30.06.2008

Zum Seitenanfang

https://www.edoeb.admin.ch/content/edoeb/de/home/dokumentation/taetigkeitsberichte/aeltere-berichte/15--taetigkeitsbericht-2007-2008/vorwort.html