Die internationale Zusammenarbeit spielt bei unseren Tätigkeiten eine unumgängliche Rolle. So war das Jahr 2013 geprägt von der Fortführung der Arbeiten zur Modernisierung des Übereinkommens 108, der Richtlinien der OECD und des europäischen Rechtsrahmens. Die Verstärkung der Zusammenarbeit zwischen den Datenschutzbehörden stand ebenfalls im Mittelpunkt der Diskussionen, namentlich in der Französischsprachigen Vereinigung der Datenschutzbehörden, der Internationalen Konferenz der Datenschutzbeauftragten und der gemeinsamen Kontrollinstanzen von Schengen, Eurodac und VIS.
Europarat
Die Modernisierung des Übereinkommens zum Schutz des Menschen bei der Verarbeitung personenbezogener Daten (Übereinkommen 108) ist weiterhin eine vorrangige Aktivität des Europarats. So wurde der vom beratenden Ausschuss des Übereinkommens 108 (T-PD) auf seiner 29. Plenarsitzung (siehe 20. Tätigkeitsbericht 2012/2013, Ziff. 1.10) angenommene Modernisierungsentwurf an einen Ad-hoc-Ausschuss (CAHDATA) weitergeleitet, der aus den Regierungsvertretern der Mitgliedstaaten des Europarats, von Uruguay, der Staaten mit ständigem Beobachterstatus im Europarat und einer Anzahl Drittstaaten, die einen Beitritt zum Übereinkommen erwägen, zusammengesetzt ist. Vertreter von internationalen Organisationen, Nichtregierungsorganisationen und der Wirtschaft beteiligen sich ebenfalls an den Arbeiten. Der CAHDATA ist beauftragt, den vom T-PD vorbereiteten Text fertig zu stellen und ein Änderungsprotokoll zum Übereinkommen auszuarbeiten. Er hielt 2013 eine erste Sitzung ab und sollte seine Arbeiten bis Ende 2014 abgeschlossen haben.
Der T-PD prüfte seinerseits den Entwurf für einen erläuternden Bericht zum revidierten Übereinkommen und legte den Rahmen der im Modernisierungsentwurf vorgesehenen künftigen Überwachungsmechanismen fest. Er befasste sich auch in erster Lesung mit einer Revision der Empfehlung R (89) 2 über den Schutz persönlicher Daten, die für Beschäftigungszwecke verwendet werden. Diese Revision ist aufgrund der technologischen Entwicklungen und der immer häufigeren Verwendung von Überwachungstechnologien am Arbeitsplatz notwendig geworden. Der Ausschuss prüfte auch einen Sachverständigenbericht über die Zweckmässigkeit einer Überarbeitung der Empfehlung R (87) 15 über die Nutzung personenbezogener Daten im Polizeibereich.
Da die Empfehlung integrierender Bestandteil zwingender internationaler Abkommen, insbesondere der Schengen-Abkommen ist, kam der Ausschuss zu dem Schluss, dass eine Änderung nicht zweckmässig sei, sondern dass vielmehr eine neue Urkunde ausgearbeitet werden sollte, die den heutigen Datenschutzerfordernissen im Rahmen der polizeilichen Tätigkeiten und der Kriminalitätsbekämpfung gerecht werde. Der Ausschuss hat sein Arbeitsprogramm für 2014/2015 verabschiedet. Er wird sich namentlich mit dem automatischen Datenaustausch zu Steuer-und Finanzzwecken befassen.
Schliesslich pflegte der Ausschuss einen Meinungsaustausch über die PRISM-Affäre und die Enthüllungen über die Aktivitäten der NSA und ihre Folgen für die Menschenrechte und Grundfreiheiten. In einem Schreiben an das Ministerkomitee des Europarats fordert der Ausschuss Beratungen hinsichtlich einer Verstärkung der Massnahmen, mit denen der für die Bearbeitung von Personendaten im Rahmen von Überwachungsprogrammen zum Zwecke der nationalen Sicherheit geltende rechtliche Rahmen umgesetzt werden soll, um allen betroffenen Personen die Wahrung ihrer Rechte zu garantieren. Er erinnert daran, dass diese Bearbeitungen einer effektiven, unabhängigen und transparenten Kontrolle unterworfen sein müssen. Der Ausschuss prangert auch den Einsatz von Massenüberwachungstechniken an, welche die Achtung der Menschenrechte und die Demokratie in schwerwiegender Weise beeinträchtigen könnten.
Europäische Konferenz der Datenschutzbeauftragten
Die europäische Konferenz der Datenschutzbeauftragten fand auf Einladung der portugiesischen Datenschutzkommission vom 16. bis 17. Mai 2013 in Lissabon statt. Unter dem Titel «Protecting Privacy: the challenge ahead» bot die Konferenz die Gelegenheit, zu den laufenden Reformen des Datenschutzrechts in der Europäischen Union, im Europarat und in der OECD Bilanz zu ziehen. So haben wir den Fortschritt der Modernisierungsarbeiten zum Übereinkommen 108 und seinen Inhalt erläutert. Die Datenschutzbeauftragten berieten auch über die Frage, wie der Datenschutz in der Praxis, insbesondere im Internet und in den sozialen Netzwerken, wirksamer gestaltet werden kann. Die Zusammenarbeit der Datenschutzbehörden, die Probleme der Datensicherheit und die künftige Rolle der Datenschutzbehörden in der Europäischen Union wurden ebenfalls erörtert.
Die Konferenz verabschiedete drei Resolutionen. Die erste Resolution gilt der Zukunft des Datenschutzes in Europa. Die Beauftragten rufen die europäischen Staaten dazu auf, die Persönlichkeitsrechte zu stärken und die Annahme eines rechtlichen Rahmens zur Gewährleistung eines effektiven Datenschutzes in einer hochtechnologisierten und globalisierten Welt zu unterstützen.
Dieser Rahmen muss solide und kohärent sein und das gleiche Schutzniveau im öffentlichen und privaten Sektor sicherstellen. Er muss verstärkte Zusammenarbeitsmechanismen zwischen den Datenschutzbehörden ermöglichen, die über effektive Kompetenzen und Befugnisse sowie über ausreichende personelle und finanzielle Mittel verfügen müssen, um ihre Überwachungsaufgaben unabhängig wahrnehmen zu können.
Die zweite Resolution betrifft den Entwurf eines Freihandelsabkommens zwischen der Europäischen Union und den Vereinigten Staaten. Die Beauftragten verlangen, dass in dieses Abkommen auch Datenschutzbestimmungen aufgenommen werden. Die dritte Resolution betrifft die für Europol vorgesehenen neuen Rechtsgrundlagen und die notwendige Sicherstellung eines angemessenen Datenschutzniveaus.
Internationale Konferenz der Datenschutzbeauftragten
Die 35. Konferenz der Datenschutzbeauftragten fand vom 13. bis 26. September in Warschau statt. Vertreter aus rund vierzig Staaten, sowie Vertreter der Wirtschaft, der Verwaltungen, der Zivilgesellschaft und aus akademischen Kreisen kamen zusammen, um über die aktuellen Themen im Bereich des Datenschutzes zu beraten, darunter namentlich die Interoperabilität der Tools für den internationalen Datentransfer, den Datenzugriff der staatlichen Behörden, die digitale Kompetenz, die Big Data, die Computer- und Netzsicherheit, die Befugnisse und die Rolle der Datenschutzbehörden sowie die Problematik der mobilen Anwendungen. Letztere war Gegenstand einer Erklärung der Beauftragten zur «Applification» der Gesellschaft.
Mit dieser Erklärung verpflichten sich die Beauftragten, darauf zu achten, dass die Nutzer über eine bessere Erfahrung im Datenschutz verfügen, und sie planen, sich mit den verschiedenen Akteuren des öffentlichen und privaten Sektors über ihre Rolle und ihre Verantwortung zu beraten. Dabei erinnern sie daran, dass die Nutzer über die sie betreffenden Daten die Kontrolle behalten müssen, damit sie entscheiden können, welche Informationen zu welchem Zweck bekannt gegeben werden dürfen.
Überdies müssen die Applikationsentwickler den Datenschutzanforderungen schon ab der Planung einer Anwendung Rechnung tragen. Sie müssen eine klare Entscheidung über die Daten treffen, die sie für eine korrekte Funktionsweise der Applikation als notwendig erachten, und sie müssen sich vergewissern, dass keine anderen Daten ohne das aufgeklärte Einverständnis des Nutzers erhoben werden. Schliesslich betonen die Beauftragten, dass die Anbieter von Betriebssystemen ebenfalls für den Datenschutz auf ihren Plattformen verantwortlich sind. Die Beauftragten werden sich während des Jahres 2014 für eine Verbesserung des Datenschutzes im Bereich der Applikationen einsetzen und auch auf ihrer 36. Konferenz wieder auf diese Frage eingehen.
Die Beauftragten verabschiedeten mehrere Resolutionen. In einer Resolution fordern die Beauftragten die Organisationen, die Profilbildung (Profiling bzw. Profilierung) betreiben, insbesondere auf:
- die Notwendigkeit und den praktischen Nutzen jeder Profilierungstätigkeit klar zu bestimmen und sicher zu stellen, dass vor der Profilierung angemessene Sicherheitsmassnahmen eingeführt werden;
- schon in der Planungsphase die Menge der im erforderlichen Rahmen zu rechtmässigen Zwecken erhobenen notwendigen Daten zu begrenzen und für die Aktualisierung und Richtigkeit der Daten zu sorgen;
- über die Profilierungsaktivitäten zu informieren, namentlich darüber, wie die Profile erstellt werden und welche Zwecke damit verfolgt werden;
- sich insbesondere bei Entscheidungen mit erheblichen rechtlichen Auswirkungen für Personen zu vergewissern, dass diese über ihr Recht informiert sind, Einsicht in die Personendaten zu nehmen und sie zu berichtigen und gegebenenfalls ein menschliches Eingreifen zu veranlassen;
- sicherzustellen, dass jede Profilierungstätigkeit angemessen überwacht wird.
In einer zweiten Resolution über Webtracking und Schutz der Privatsphäre anerkennen die Beauftragten, dass Tracking zwar gewisse Vorteile für die Verbraucher mit sich bringt, dass diese Aktivität aber eine beispiellose Gefahr für die Privatsphäre darstellt. Sie fordert daher die beteiligten Parteien auf:
- den Grundsatz der Zweckbindung zu beachten;
- die Nutzer über den Einsatz von Tracking-Elementen zu informieren und ihnen die Kontrolle über diese Elemente zu überlassen;
- auf den Einsatz von unsichtbaren Tracking-Methoden ausser zum Zwecke der Sicherheit oder der Aufdeckung von Betrug oder für die Netzwerkverwaltung zu verzichten;
- bei allen Tracking-Praktiken im Netz mit der angemessenen Transparenz vorzugehen;
- den Nutzern kundenfreundliche Tools anzubieten, mit denen sie die Erhebung und Verwendung ihrer Personendaten angemessen unter Kontrolle haben können;
- auf die Überwachung der Online-Aktivität von Kindern oder auf den für Kinder bestimmten Websites zu verzichten;
- der Privatsphäre schon bei der Planung Rechnung zu tragen und neue Projekte bereits zu Beginn entsprechend zu evaluieren;
- Techniken zur Verminderung der Auswirkungen auf die Privatsphäre, namentlich die Entpersonalisierung und die Verwendung von Pseudonymen, einzusetzen;
- die Festlegung technischer Normen zu fördern, um den Nutzern eine bessere Kontrolle zu ermöglichen.
Eine dritte Resolution verlangt eine verbesserte und verstärkte Transparenz im Bereich der Personendaten, ein wesentlicher Grundsatz, der es den Betroffenen ermöglicht, aufgeklärte Entscheidungen über die Verwendung ihrer Personendaten zu treffen und entsprechend zu handeln, um ihre Privatsphäre zu schützen und ihre Rechte geltend zu machen. Diese Resolution wird durch eine Resolution zur digitalen Kompetenz für alle ergänzt. Die digitale Welt ist integrierender Bestandteil unseres Alltags.
Angesichts der Herausforderung für den Datenschutz kann der rechtliche Rahmen nicht alle notwendigen Antworten und Garantien liefern. Die Beauftragten halten es daher für unerlässlich, eine allgemeine digitale Bildung zu fördern, gemeinsam mit den betroffenen Akteuren darauf hinzuwirken und ein gemeinsames Programm, namentlich im Hinblick auf eine Weiterbildung der digitalen Kompetenz zu beschliessen.
Rückblickend auf die Erklärungen und auf die bei früheren Konferenzen verabschiedeten Resolutionen nahmen die Beauftragten eine Resolution an, in der sie die Aufnahme des Datenschutzes und des Schutzes der Privatsphäre ins internationale Recht fordern (siehe insbesondere die Erklärung von Montreux, 13. Tätigkeitsbericht 2005/2006). Im Anschluss an die Enthüllungen von Edward Snowden erachten sie es für immer dringlicher, ein rechtlich verbindliches Abkommen über den Datenschutz zu schaffen, das die Achtung der Menschenrechte bei der Bearbeitung von Personendaten gewährleistet und gleichzeitig auf ausgewogene Weise der Sicherheit, den wirtschaftlichen Interessen und der Meinungsäusserungsfreiheit Rechnung trägt.
In zwei weiteren Resolutionen schliesslich - die eine über die Koordination des Gesetzesvollzugs auf internationaler Ebene, die andere über die strategische Ausrichtung der internationalen Konferenz - verpflichten sich die Beauftragten zu einer Verbesserung und Verstärkung ihrer Zusammenarbeit, namentlich um eine Koordination der transnationalen Untersuchungen zu gewährleisten. Ein globales und multilaterales Dokument, mit dem ein Rahmen für die Koordination der internationalen Tätigkeiten im Bereich der Kontrolle und des Informationsaustauschs geschaffen werden soll, wird der 36. Konferenz im Oktober 2014 auf Mauritius zur Annahme unterbreitet werden.
Arbeitsgruppe der OECD über die Informationssicherheit und den Schutz der Privatsphäre
Die Arbeitsgruppe beschäftigte sich dieses Jahr hauptsächlich mit der Vollendung der Richtlinien zu Sicherheit und Datenschutz. Nach intensiven Diskussionen wurde entschieden, an den acht bestehenden Grundprinzipien festzuhalten. Hingegen sind neu «privacy management»-Programme vorgesehen, mit welchen Unternehmen den Kunden und Behörden insbesondere alle für den Schutz der Privatsphäre relevanten Informationen systematisch zur Verfügung stellen müssen. Bei Verletzungen der Datensicherheit oder des Datenschutzes wird eine Informationspflicht eingeführt («data breach notification»). Weiter wurden die Kriterien für Datenübermittlungen ins Ausland präziser definiert, die internationale Zusammenarbeit verstärkt und die Sensibilisierung und Ausbildung der Bevölkerung hervorgehoben. Auch die Aufforderung, datenschutzfreundliche Technologien anzuwenden, wurde aufgenommen. Schliesslich wurde das Recht auf Privatsphäre als Grundrecht anerkannt. Nachdem auch das Ministerkomitee die Richtlinien verabschiedet hat, wird sich die Arbeitsgruppe nun mit der Umsetzung der revidierten Richtlinien befassen.
Die Rolle der Personendaten in der Wirtschaft nahm einen zentralen Platz in den Diskussionen ein. Durch die stark zunehmende Digitalisierung der Bearbeitung und Speicherung von Personendaten sind Cloud Computing, Big Data und Open Data permanente Themen der Arbeitsgruppe geworden. Es ist unbestritten, dass das wirtschaftliche Wachstum der Zukunft mit der Verwertung der in Unmengen anfallenden Daten verbunden ist (data driven economy). Dabei wird der Schutz der Privatsphäre von zentraler Bedeutung sein. Immer wichtiger wird abgesehen von Staat und Wirtschaft besonders die Rolle des Internet-Benutzers, der den grössten Teil der online verfügbaren Personendaten generiert und es meistens nicht einmal realisiert. Um insbesondere in diesem Umfeld dem Fehlen von Transparenz und Datenschutz entgegenzuwirken, sind weitere Arbeiten erforderlich. Angesichts des enormen Datenvolumens stellt sich gezwungenermassen die Frage der Sicherheit. Dabei entsteht auch eine Verbindung zu den kürzlich revidierten OECD-Richtlinien über Datenschutz und den noch zu revidierenden OECD-Richtlinien über Sicherheit.
Anzumerken ist, dass sich viele Mitgliedsländer besorgt zeigen, weil ihrer Meinung nach die Rahmenbedingungen zum Schutz der Privatsphäre bei Big Data, Open Data usw. die erhoffte wirtschaftliche Entwicklung hemmen könnten. Einig ist man sich jedoch darin, dass sich neue Datenbearbeitungsmethoden und -prozesse nach den vor Ort geltenden Datenschutzbestimmungen richten müssen und nicht umgekehrt.
Französischsprachige Vereinigung der Datenschutzbehörden
Die französischsprachige Vereinigung der Datenschutzbehörden (AFAPDP) hielt ihre siebte Konferenz und ihre Generalversammlung vom 21. bis 22. November 2013 in Marrakesch ab. Die Konferenz vereinte Vertreter aus 25 französischsprachigen Staaten. Für die Datenschutzbehörden dieser Staaten bot sie die Gelegenheit zu einem Austausch über aktuelle Fragen. So zogen sie eine Bilanz der laufenden gesetzgeberischen Entwicklungen auf nationaler und internationaler Ebene in den verschiedenen Regionen der Welt. Sie befassten sich mit der Frage der Verteidigung der Freiheiten im Internet, der Rolle der mobilen Geräte und Dienste in der Gesellschaft und den Herausforderungen, die sie für die Rechte und Grundfreiheiten darstellen. Sie tauschten sich auch aus über ihren Umgang mit der Kommunikation nach aussen und ihrer Medienpolitik, sowie über die Ausübung ihrer Kompetenzen, insbesondere ihrer Kontrollbefugnis.
Auf der Generalversammlung wählten die Datenschutzbehörden des französischsprachigen Raums Jean Chartier (Quebec) erneut zu ihrem Vorsitzenden. Jean-Philippe Walter, stellvertretender Eidgenössischer Beauftragter, wurde neben Marguerite Ouedraogo (Burkina Faso) als Vizevorsitzender wiedergewählt. Isabelle Falquier-Pierrotin wurde erneut in das Amt der Generalsekretärin gewählt.
Die Versammlung verabschiedete zudem drei Resolutionen. Der erste Text zielt darauf ab, eine grössere Transparenz bei den Praktiken der Erhebung von Personendaten durch die staatlichen Behörden zu gewährleisten und empfiehlt den Regierungen der Mitgliedstaaten der Internationalen Organisation der Frankophonie bei den Vereinten Nationen die Annahme eines verbindlichen Rechtsinstruments für den Datenschutz zu unterstützen, und den Ländern, die eine Datenschutzgesetzgebung eingeführt haben, wird nahe gelegt, den Beitritt zu dem Übereinkommen 108 und seinem Zusatzprotokoll zu beantragen.
Eine zweite Resolution bezieht sich auf die Ausbildung zur digitalen Kompetenz. Die französischsprachigen Behörden verpflichten sich, «weiterhin eine respektvolle und verantwortungsbewusste Nutzung der digitalen Technologien bei den Bürgern und den öffentlichen und privaten Organisationen zu fördern.» Daneben wollen sie «eine lebenslange und jedermann zugängliche Bildung in digitaler Kompetenz zu unterstützen», da es in einem Umfeld der sehr schnellen technologischen Entwicklungen notwendig ist, den Menschen Mittel in die Hand zu geben, um verantwortungsvolle und gleichberechtigte Akteure in der digitalen Welt zu werden.
Die dritte Resolution betrifft die Annahme eines Protokolls für die Zusammenarbeit unter den Mitgliedsbehörden der AFAPDP und die Einführung eines Rahmenverfahrens für die Datentransfers im französischsprachigen Raum, namentlich mittels zwingender Unternehmensvorschriften (règles contraignantes d'entreprises, RCE). Diese Vorschriften bieten mehrere Vorteile. Sie ermöglichen insbesondere die Gewährleistung eines hohen Datenschutzniveaus. Dieses Instrument sieht die Einhaltung von datenschutzrechtlichen Grundprinzipien in Form von unternehmensinternen Verhaltenskodizes und Umsetzungsmechanismen vor (Datenschutzberater, Auditverfahren, Schulung, Beschwerdeverfahren).
Der EDÖB kann zum heutigen Zeitpunkt diese zwingenden Vorschriften nicht gutheissen. Wie für die europäischen Unternehmensvorschriften kann er jedoch die Garantien, die von anderen Datenschutzbehörden genehmigte RCE beim Datentransfer ins Ausland bieten, als ausreichend anerkennen.
Arbeitsgruppe Border, «Travel & Law Enforcement»
Die «Border, Travel & Law Enforcement Subgroup» (BTLE) ist eine Unterarbeitsgruppe, die von der Datenschutz-Arbeitsgruppe «Artikel 29» eingesetzt wurde. Sie hat die Aufgabe, die gesetzgeberischen Entwicklungen in den Bereichen Polizei, Grenzverkehr und Strafjustiz zu verfolgen, insbesondere soweit sie das Schengen- Acquis betreffen. In diesem Kontext bereitet sie Gutachten und Stellungnahmen vor, die anschliessend von der Arbeitsgruppe zu Artikel 29 der Richtlinie 95/46/EG angenommen werden. Wir haben an den verschiedenen Sitzungen im Berichtsjahr teilgenommen.
Die Unterarbeitsgruppe hat insbesondere eine Stellungnahme zum Projekt «intelligente Grenzen» im Anschluss an zwei Verordnungsvorschläge der Kommission vorbereitet. Diese betreffen zum Einen die Schaffung eines Einreise-/Ausreisesystems für die Registrierung der Ein- und Ausreisen der Staatsangehörigen von Drittländern, welche die Aussengrenzen der Mitgliedstaaten der Europäischen Union überqueren. Zum Anderen beziehen sie sich auf die Einrichtung eines Programms zur Registrierung von Reisenden.
Die Gruppe verfolgte aufmerksam die Schaffung eines europäischen Rahmens für die Bekanntgabe der PNR-Daten an Drittländer und für die Verwendung der PNR-Daten zu Strafverfolgungszwecken. Sie verfolgt auch die Revision des rechtlichen Rahmens des Lissabon-Vertrags der Europäischen Union. Die Gruppe erstellt zudem ein Gutachten zum Notwendigkeitsprinzip im Bereich des Datenschutzes. Seit der Snowden-Affäre leistet sie schliesslich auch aktiv Beratung in Bezug auf das PRISM-Programm und andere ähnliche Programme.
Koordinationsgruppe für die Kontrolle des SIS II
Am 11. Juni 2013 fand die erste offizielle Sitzung der Koordinationsgruppe des SIS II statt, welche im Anschluss an die am 9. April 2013 erfolgte Inkraftsetzung des SIS II die Gemeinsame Kontrollinstanz von Schengen (GKI) ersetzt hat. Die Koordinationsgruppe SIS II ist gleich aufgebaut wie die mit der Kontrolle der Eurodac und des VIS betraute Gruppe und besteht ebenfalls aus dem Europäischen Datenschutzbeauftragten und den nationalen Datenschutzbehörden. Eine zweite Sitzung wurde am 17. Oktober 2013 abgehalten.
Die Gruppe verabschiedete bei diesen Tagungen ihre Geschäftsordnung, wählte ihre Vorsitzende und ihren Vize-Vorsitzenden und nahm ihr neues Arbeitsprogramm an, das in grossen Teilen das Programm der von der GKI initiierten Arbeiten übernimmt. Die Kommission setzte sie in Kenntnis über den reibungslosen Verlauf der Migration vom SIS I+ zu dem seit dem 9. April 2013 einsatzfähigen SIS II sowie über die diesbezügliche Informationskampagne. Bei der ersten Gruppensitzung berichtete die dänische Datenschutzbehörde von einem Hackerangriff auf das dänische N-SIS.
Im Anschluss an diese Information wurde ein Schreiben ausgearbeitet, in dem alle Datenschutzbehörden ihr nationales SIRENE-Büro ersuchten, sich zu vergewissern, dass sämtliche notwendigen Sicherheitsmassnahmen getroffen worden sind und kein ähnlicher Vorfall eingetreten ist. Schliesslich bildete die Gruppe eine Untergruppe mit dem Auftrag, ein Dokument zur Inspektion der Alarmsysteme SIS II, VIS und EURODAC auszuarbeiten.
Auf schweizerischer Ebene erfolgt die Koordination der Tätigkeiten im Zusammenhang mit Schengen in einer Koordinationsgruppe, der der EDÖB und die kantonalen Datenschutzbehörden angehören. Diese Gruppe kommt mindestens zwei Mal jährlich zusammen. Sie ermöglicht es den vertretenen Behörden, sich über die laufenden Entwicklungen und über die Tätigkeiten der GKI zu informieren, Kontrollaktivitäten zu planen und Informationen auszutauschen.
Europäische Arbeitsgruppe für die Behandlung datenschutzrelevanter Fälle
Das 25. Treffen der europäischen Arbeitsgruppe für die Behandlung datenschutzrelevanter Fälle («Case Handling Workshop») fand vom 2. bis 3. Oktober 2013 in Sarajevo statt. Die Arbeitsgruppe, die sich aus Vertretern von 29 nationalen Datenschutzbehörden zusammensetzt, befasste sich zunächst mit der Problematik der sozialen Netzwerke und des Internet. Daraus ging hervor, dass die Öffentlichkeit unbedingt für die Gefahren dieser Netzwerke sensibilisiert und ihrer Verantwortung bewusst gemacht werden muss; mehrere Datenschutzbehörden haben einen Leitfaden für jugendliche Nutzer ausgearbeitet. Der EDÖB seinerseits unterstützt die Initiative der Sensibilisierungskampagne «NetLa - Meine Daten gehören mir!», die sich an Kinder und Jugendliche richtet (s. unseren 18. Tätigkeitsbericht 2010/2011, Ziff. 3.3 und www.netla.ch).
In einer zweiten Phase drehte sich die Diskussion um die neuen datenschutzrechtlichen Herausforderungen, die durch den Einsatz der Mobiltelefonie entstehen namentlich durch die Verwendung des Mitteilungsdienstes «WhatsApp». Schliesslich wurden das Direktmarketing, die Verwendung biometrischer Daten sowie die Videoüberwachung im öffentlichen und privaten Sektor thematisiert und mittels einiger konkreter Fälle aus der Praxis der verschiedenen Datenschutzbehörden veranschaulicht. Die bosnische Datenschutzbehörde wird demnächst ein Handbuch zu allen auf dieser Tagung behandelten Themen herausgeben.
Besuch der georgischen Datenschutzbeauftragten
Auf Ersuchen des EDA haben wir die georgische Datenschutzbeauftragte sowie die Verantwortliche der Abteilung für internationale Beziehungen und Kommunikation zu einem Tag der Information und des Gedankenaustauschs über unsere Beratungs- und Kontrollpraktiken empfangen.
Das EDA organisierte im Dezember 2013 einen diplomatischen Besuch der georgischen Datenschutzbeauftragten. Das georgische Datenschutzgesetz ist seit dem Frühjahr 2013 in Kraft, und die Beauftragte hat ihr Amt im Laufe des Sommers angetreten. Ihre Dienststelle, die 14 Personen umfasst, ist im Aufbau begriffen. Ihre Tätigkeiten konzentrieren sich auf Beratungsaufgaben, und ab dem Jahr 2016 werden Kontrollverfahren im Privatsektor durchgeführt werden können.
In diesem Rahmen legt die Beauftragte besonderen Wert auf die Begegnung mit verschiedenen Datenschutzbehörden in Europa, um sich über ihre Organisation und ihre Arbeitsweise zu informieren. In Begleitung der Verantwortlichen der Abteilung internationale Beziehungen und Kommunikation wählte sie für ihren ersten Besuch unsere Behörde aus, da zwischen der Schweiz und Georgien sehr gute diplomatische Beziehungen bestehen.
So pflegten wir in unseren Räumlichkeiten einen eintägigen Gedankenaustausch. Wir empfingen die georgische Delegation, die vom Datenschutzberater des EDA begleitet wurde, zu einem offiziellen Besuch und stellten ihr unsere interne Organisation vor. Sodann erläuterten wir unsere Aufgaben im Einzelnen und führten zur Veranschaulichung verschiedene Beispiele aus unseren Beratungs- und Kontrolltätigkeiten an. Wir präsentierten ihr auch unsere Arbeitsmethode, die uns zur Verfügung stehenden Instrumente und Infrastrukturelemente und schliesslich unsere Sensibilisierungsmassnahmen für den Datenschutz.