Vorwort

Bilanz und Ausblick

Im Staatsschutzbereich sind letztes Jahr erhebliche Verbesserungen erzielt worden. Die von uns bei jeder sich bietenden Gelegenheit eingebrachte Botschaft, die Rechtsstellung der Betroffenen sei mit dem indirekten Auskunftsrecht zu schwach ausgestaltet und würde höchstwahrscheinlich einer Überprüfung durch den Europäischen Menschenrechtsgerichtshof nicht standhalten, führte im Rahmen einer Revision des Bundesgesetzes über die Wahrung der inneren Sicherheit (BWIS) in der Dezembersession 2011 zu einer Anpassung durch das Parlament. Neu gilt grundsätzlich das direkte Auskunftsrecht gemäss Artikel 8 und 9 des Datenschutzgesetzes (DSG); es kann aber aufgeschoben werden, wenn dies Staatsschutzinteressen gebieten. Die gesuchstellende Person kann in solchen Fällen die Prüfung durch den EDÖB veranlassen, der bei Fehlern eine Empfehlung abgeben kann.

Nachdem gegen das revidierte Gesetz kein Referendum ergriffen wurde, dürfte es der Bundesrat auf Anfang Juli 2012 in Kraft setzen. Gleichzeitig beschäftigte sich auch das Bundesgericht aufgrund der Beschwerde eines Gesuchstellers mit der heute geltenden Regelung in Art. 18 BWIS und beurteilte mit seinem Entscheid vom 2. November 2011 erstmals deren EMRK-Konformität. Dabei verbesserte es die Rechtsstellung der Betroffenen markant. Grundsätzlich hielt das oberste Gericht fest, dass ein indirektes Auskunftsrecht EMRK-konform sei, solange Staatsschutzinteressen dies rechtfertigten. Allerdings verlangten die Bundesrichter im Widerspruch zum Wortlaut der Bestimmung, dass der EDÖB bei Fehlern zuhanden der Staatsschutzorgane nicht nur Empfehlungen, sondern verbindliche Anweisungen abgeben könne. Nur so sei der durch den EDÖB und den Abteilungspräsidenten des Bundesverwaltungsgerichts wahrzunehmende Kontrollmechanismus hinreichend wirksam und erfülle die Anforderungen einer unabhängigen Überprüfung der Datenbearbeitung durch die Staatsschutzorgane. Der revidierte Art. 18 BWIS räumt nun dem Bundesverwaltungsgericht explizit die Möglichkeit ein, die Behebung von Fehlern mit einer Verfügung zu veranlassen. Wir gehen davon aus, dass bei Inkraftsetzung des revidierten BWIS das Urteil des Bundesgerichts weiterhin Gültigkeit hat und die Empfehlungen des EDÖB folglich verbindlichen Charakter haben müssen.

Auch im vergangenen Jahr legten wir einen Schwerpunkt im Bereich Ausbildung von Jugendlichen und setzen damit unsere bisherigen Anstrengungen fort, weil wir der Überzeugung sind, dass im Zeitalter der sozialen Netzwerke besondere Initiativen zur Sensibilisierung der jungen Nutzerinnen und Nutzer erforderlich sind, und weil wir uns nicht mit Appellen an die Adresse von Schulen und Eltern begnügen wollen. Dabei suchen wir - nicht zuletzt unserer beschränkten Mittel wegen - Partnerschaften. Das 2011 mit dem Rat für Persönlichkeitsschutz gestartete Projekt NetLa erreichte viele Schülerinnen und Schüler. Allein im November, dem letzten Monat der Kampagne, besuchten über 6000 Personen mit über 225‘000 Klicks das multimediale Portal. Zur Sensibilisierung junger Erwachsener für Datensicherheit bei der Nutzung neuer Medien haben wir neu ein Lehrmittel entwickelt, das in Form einzelner Lektionen seit Anfang dieses Jahres kostenlos online abrufbar ist. Zielgruppe sind Schüler der Sekundarstufe II. An den Universitäten Neuenburg und Lausanne haben wir bei Ausbildungsveranstaltungen für Studierende mitgewirkt. Zudem haben wir zusammen mit der Datenschutzbehörde des Kantons Genf, der Universität Genf, dem Observatoire technologique Genf, dem IDHEAP Lausanne und anderen Akteuren den interaktiven Dienst Thinkdata.ch entwickelt. Die französischsprachige Webseite, demnächst auch auf Deutsch verfügbar, bietet allen an Datenschutz und Transparenz interessierten oder damit konfrontierten Akteurinnen und Akteuren in unterschiedlichen Rollen rasch greifbare Antworten an. Im Augenblick suchen wir finanzielle Mittel, um das Angebot weiterzuentwickeln und auch in weiteren Sprachen zur Verfügung stellen zu können. Zum vierten Mal haben wir überdies gemeinsam mit den Universitäten von Bern, Freiburg und Neuenburg den Schweizerischen Datenschutzrechtstag durchgeführt.

Auch 2011 haben wir zahlreiche Kontrollen und Sachverhaltsabklärungen durchgeführt. So prüften wir bei fünf Betrieben des öffentlichen Verkehrs die Videoüberwachung und schlugen einige Verbesserungen vor, welche auch akzeptiert wurden. Im Rahmen der Umsetzung des Schengen-Abkommens haben wir der Schweizer Botschaft in Moskau einen Kontrollbesuch abgestattet und in der Folge verschiedene Empfehlungen abgegeben. Die Sachverhaltsabklärung bei einem Tennisclub mit biometrischem Reservationssystem haben wir im Berichtsjahr ebenso erfolgreich abgeschlossen wie diejenige zur Bonitätsdatenbearbeitung. Im Laufe der mittlerweile beendeten Abklärungen zur Datenplattform «Car Claims Information Pool» der Motorfahrzeugversicherungen haben wir verschiedentlich Verbesserungen erreicht. Weiter haben wir einem Dienstleister für Breitensportveranstaltungen verschiedene Änderungen vorgeschlagen und sind noch im Schriftenwechsel über deren Umsetzung.Im Zusammenhang mit einem neuen Computerspiel, das seinem Hersteller unerlaubt Daten über die Computer der User übermittelt, haben wir eine Sachverhaltsabklärung eröffnet.

Von den zahlreichen Ämterkonsultationen weise ich insbesondere auf die Revision von Bundesgesetz und Verordnung zur Überwachung des Post- und Fernmeldeverkehrs hin. Hier konnten wir erwirken, dass für den Einsatz von «GovWare» eine gesetzliche Grundlage geschaffen wird. Bei der Erarbeitung ebensolcher Grundlagen für die Überwachung der Nutzung der elektronischen Infrastruktur in der Bundesverwaltung haben wir ebenfalls auf die Notwendigkeit einer klaren Regelung von Aufzeichnung und Aufbewahrung, aber auch der Formen der Auswertung der so genannten Randdaten hingewiesen.

Unter den Veröffentlichungen auf unserer Webseite während des Berichtsjahrs, aufgelistet in Ziffer 3.3., sind vor allem die Erläuterungen zur revidierten e-Privacy-Direktive der EU und zum boomenden Cloud Computing als Möglichkeit der Datenverarbeitung erwähnenswert. 

Im Bereich des Öffentlichkeitsprinzips hat sich auch im vergangenen Jahr einiges getan. Die Zahl der Zugangsgesuche in der Bundesverwaltung hat sich beinahe verdoppelt, während bei uns 65 Schlichtungsanträge eingingen. Wir konnten im Berichtsjahr 30 Schlichtungen durchführen und erreichten in der überwiegenden Mehrzahl der Fälle eine für den Gesuchsteller günstigere Lösung. Alle Empfehlungen sind unter Ziffer 2.3.1 zusammengefasst und auf unserer Webseite abrufbar. Das Bundesverwaltungsgericht musste sich auf Beschwerde hin mit vier Empfehlungen auseinandersetzen und hat unsere Argumentation jeweils gestützt. Im Rahmen der Revision des Kartellgesetzes haben wir zudem erfolgreich darauf hingewirkt, dass die Wettbewerbsbehörden nicht vom BGÖ ausgenommen werden.

Es ist schon heute absehbar, dass uns verschiedene Themen auch im kommenden Berichtsjahr beschäftigen werden. Dazu gehört das politisch heikle Ansinnen der USA, im Rahmen eines «Hit-no-Hit»-Verfahrens in Erfahrung bringen zu wollen, ob eine bestimmte Person mit ihrem Fingerabdruck oder ihrer DNA in einer der Schweizerischen Datenbanken Codis oder Afis verzeichnet ist. In den Verhandlungen ist darauf zu achten, dass Betroffene, die zu Unrecht in diesen beiden Datenbanken landeten, in den USA die gleichen Rechte zugesichert erhalten wie in der Schweiz. Eine solche Garantie ist indes nicht einfach zu bekommen, da die USA bekanntlich aus unserer Sicht grundsätzlich nicht über einen angemessenen Datenschutz verfügen. Deshalb darf die Beurteilung im Einzelfall nicht einem der Verwaltung unterstellen Privacy Officer obliegen, sondern muss von einer unabhängigen richterlichen Behörde vorgenommen werden. Wichtig ist zudem, dass in jenen Fällen, in denen eine Übereinstimmung der Daten festgestellt wurde, das weitere Verfahren im Rahmen der rechtlich verankerten Rechtshilfeverfahren abgewickelt wird. Das heisst, die Voraussetzungen für die Herausgabe von Personendaten sind im Einzelfall auf der Basis der geltenden Abkommen zu prüfen. Es darf keinen Automatismus geben. Klar ist auch, dass ein solcher Austausch auf die schwere Kriminalität zu beschränken ist und die Schweiz Gegenrecht erhalten muss.

Weiter auf Trab halten uns die sozialen Netzwerke, namentlich die Geschäftspolitik von Facebook. Diese ist bekanntlich darauf ausgerichtet, Zugriff auf möglichst viele Informationen über die eigenen Nutzerinnen und Nutzer zu erhalten, um daraus Profile zu Werbezwecken zu generieren. Damit macht das Unternehmen Milliardenumsätze und ändert zu diesem Behufe laufend die allgemeinen Geschäftsbedingungen - zum Nachteil der Nutzer und ohne ihre Einwilligung einzuholen. Neu geraten nicht mehr nur Mitglieder, sondern auch Nichtnutzer ins Visier von Facebook. Im Entwurf der Nutzungsbedingungen vom März 2012 heisst es, diese gälten auch für Nichtnutzer, die «mit Facebook ausserhalb der USA interagieren». Für sie gilt neu, dass sie mit der Weitergabe ihrer Daten in die USA und der dortigen Verarbeitung einverstanden sind. Das umfasst auch die Verarbeitung zu Werbezwecken. Das Skandalöse daran ist, dass die meisten «Nichtnutzer» gar nicht wissen, dass sie mit Facebook «interagieren» - und wie kommt das? Auf vielen Webseiten ist Facebook mittels dem so genannten «Like-Button» eingebunden (sichtbar bspw. durch das kleine Signet «f»). Der Besuch des Users auf der aufgerufenen Seite wird automatisch an Facebook gemeldet - wohlverstanden auch ohne dass der Nutzer den Like-Button angeklickt hat. Damit können auch von eigentlichen Facebook-Abstinenten sehr präzise Persönlichkeitsprofile erstellt werden. Wir werden nun ein geschärftes Augenmerk darauf richten, dass Betreiber solcher Webseiten ihren Besuchern die Möglichkeit geben zu entscheiden, ob sie mit einer solchen Weiterleitung einverstanden sind. Nicht verwunderlich ist, dass sich mittlerweile auch auf parlamentarischer Ebene Misstrauen breit macht. Die Walliser Nationalrätin Viola Amherd reichte im September 2011 ein Postulat ein, in welchem sie den Bundesrat auffordert, die Rechtslage in Bezug auf die Social Media zu überprüfen, bestehende Lücken zu benennen und die Frage zu beantworten, ob ein eigenes Social-Media-Gesetz geschaffen werden soll. In der Begründung heisst es unter anderem, dass die Social Media «eine neue Dimension in der Kommunikation und in der Mediennutzung (bewirken), welche die Durchsetzung nationaler Gesetze und Grundwerte auszuhebeln drohen». Kommentar überflüssig!

Im Bereich der Urheberrechte ist nach dem Logistep-Urteil des Bundesgerichts einiges in Bewegung geraten. Zur Erinnerung: Das Bundesgericht entschied, dass das heimliche Ausforschen von IP-Adressen durch diese Firma mit dem Zweck, vermutete Urheberrechtsverletzer zivilrechtlich zu belangen, nicht erlaubt ist. Bei den Rechteinhabern hat dieses Urteil einige Aufregung ausgelöst. Das Bundesgericht hat dann in seinem Geschäftsbericht 2010 auf die aktuelle unbefriedigende Gesetzessituation hingewiesen und den Gesetzgeber aufgefordert, einen den neuen Technologien angepassten Urheberrechtsschutz zu gewährleisten. Diese bemerkenswerte und unübliche Initiative des Gerichts hat bis heute beim Bundesrat keine Reaktion ausgelöst. Inzwischen sind im Parlament Vorstösse zur Verbesserung der Situation eingereicht worden. Klar ist, dass der Schutz der Urheberrechte im Internet ein sehr sensibles Thema ist und nicht nur in der Schweiz sehr kontrovers diskutiert wird (die in Deutschland erfolgreiche Piratenpartei lässt grüssen). Unsere Haltung, die wir bereits im Verfahren eingenommen haben, hat sich nicht verändert: Eine IP-Adresse darf auf der Basis des geltenden Gesetzes nur verwendet werden, um im Rahmen eines Strafverfahrens einen Urheberrechtsverletzer zweifelsfrei zu ermitteln. Erst dann sind zivilrechtliche Forderungen angebracht.

Evaluation des Bundesgesetzes über den Datenschutz

Am 9. Dezember 2011 hat der Bundesrat den Bericht über die Evaluation des Bundesgesetzes über den Datenschutz verabschiedet und dem Parlament unterbreitet. Neben der positiven Feststellung, dass das Datenschutzgesetz im Bereiche der Herausforderungen, die bereits zum Zeitpunkt des Inkrafttretens bestanden, einen spürbaren Effekt erzielte und sich die Schaffung des EDÖB als wirksames Instrument erwiesen habe, um diese Schutzwirkung des Gesetzes zu erhöhen, wird klar Handlungsbedarf ausgemacht:

«Nach der Meinung des Bundesrates sollte Hauptziel der Revision des Datenschutzgesetzes die Anpassung desselben an die technologischen und gesellschaftlichen Entwicklungen seit seinem Inkrafttreten sein. Entsprechend beabsichtigt der Bundesrat, seine Reformüberlegungen schwergewichtig auf die mit den technologischen und gesellschaftlichen Entwicklungen verbundenen vier zentralen Problembereiche auszurichten; 1. auf die Zunahme von Datenbearbeitungen; 2. auf die Datenbearbeitungen, die weder für die Betroffenen noch für den EDÖB ohne Weiteres erkennbar sind; 3. auf die zunehmend internationale Dimension von Datenbearbeitungen; 4. auf die zunehmende Schwierigkeit, einmal bekannt gegebene Daten weiterhin kontrollieren zu können.

Vor diesem Hintergrund möchte der Bundesrat untersuchen, mit welchen Massnahmen insbesondere die folgenden Zielsetzungen erreicht werden können:

  • früheres Greifen des Datenschutzes: Im Rahmen einer Gesamtkonzeption sollen allfällige Datenschutzprobleme soweit sinnvoll und möglich schon bei der Entwicklung neuer Technologien festgestellt und geprüft werden. Damit soll verhindert werden, dass bestehende Datenschutzprobleme lediglich nachträglich durch Korrekturprogramme behoben werden (Vertiefung des Konzepts «Privacy by Design»). Daneben sollen datenschutzfreundliche Technologien gefördert werden.
  • verstärkte Sensibilisierung der betroffenen Personen: Die betroffenen Personen sollen stärker für die mit den technologischen Entwicklungen einhergehenden Risiken für den Persönlichkeitsschutz sensibilisiert werden.
  • Erhöhung der Transparenz: Die Transparenz über Datenbearbeitungen soll erhöht werden, insbesondere in den neuen komplexen Konstellationen, in denen Datenbearbeitungen weder für die Betroffenen noch für den EDÖB ohne Weiteres erkennbar sind. Dabei wird aber im Auge zu behalten sein, dass die betroffenen Personen nicht mittels einer Informationsflut überfordert werden.
  • Verbesserung der Datenkontrolle und -herrschaft: Die Kontrolle und die Herrschaft über einmal bekannt gegebene Daten sind ein wichtiger Aspekt. Es soll geprüft werden, ob die Aufsichtsmechanismen des EDÖB gestärkt und ob die Rechtsansprüche der Betroffenen sowie deren Durchsetzung an die aufgrund der technologischen Entwicklungen veränderten Verhältnisse angepasst werden sollten. In diesem Zusammenhang sind etwa eine Stärkung der kollektiven Rechtsdurchsetzung und eine Präzisierung des Rechts auf Vergessen zu erwägen.
  • Schutz von Minderjährigen: Dem Umstand, dass sich Minderjährige der Risiken und Folgen der Verarbeitung personenbezogener Daten weniger bewusst sind als Erwachsene, soll Rechnung getragen werden.»

Der Bundesrat will ferner untersuchen, ob und inwieweit die Unabhängigkeit des EDÖB noch verstärkt werden sollte. Als prüfungswürdig erachtet er auch einen Ausbau des Instruments der Selbstregulierung, etwa indem Branchenorganisationen eine «gute Praxis» definieren, die anschliessend vom EDÖB genehmigt werden könnte.

Diese bundesrätliche Zielrichtung vertreten wir schon seit Jahren, und wir sind sehr froh, dass nun der Handlungsbedarf auf dieser Ebene erkannt worden ist. Etwas Sorge bereiten könnte der Zeitplan, wenn der Bundesrat die in Gang befindlichen Reformschritte in Europa abwarten will. Natürlich muss ein schweizerisches Reformvorhaben mit der europäischen Entwicklung koordiniert werden. Das sollte aber die Exekutive nicht daran hindern, parallel dazu eine Expertengruppe einzusetzen, die sich aus schweizerischer Sicht mit der Problematik befasst. Auch beim Datenschutz muss es der Ehrgeiz unseres Landes sein, eigenständige Lösungen zu entwickeln, statt sich auf den autonomen Nachvollzug von EU-Recht zu beschränken.

 

Hanspeter Thür

https://www.edoeb.admin.ch/content/edoeb/de/home/dokumentation/taetigkeitsberichte/aeltere-berichte/19--taetigkeitsbericht-2011-2012/vorwort.html