Das revidierte Datenschutzgesetz lässt beim EDÖB die Leitungen glühen

Eine neue Website, neue Meldeformulare, Merkblätter, Leitfäden und zahlreiche Informationsveranstaltungen, die Liste der Aktivitäten in Zusammenhang mit dem revidierten schweizerischen Datenschutzgesetz (DSG), die der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) im vergangenen Jahr anpackte, ist lang. Der EDÖB nennt Details zu vielen dieser Aktivitäten im Tätigkeitsbericht 2023/2024, den er unlängst veröffentlichte. Das neue DSG trat am 1. September 2023 in Kraft und brachte einige Neuerungen mit sich, die bei Missachtung auch Bussen nach sich ziehen können. Im Vorfeld legte der EDÖB einen Schwerpunkt auf die Sensibilisierung der Bevölkerung und die Information von Fachkreisen der Privatwirtschaft und der Bundesverwaltung. Dies passierte an verschiedenen Events, aber auch telefonisch und per E-Mail, wie die Behörde schreibt: "Das grosse Interesse zeigte sich an der Verdoppelung der Anzahl an telefonischen Anfragen in den Monaten August und September im Vergleich zu den Vormonaten."

Bereits gefüllt hat sich das neue Verzeichnis der Bearbeitungstätigkeiten (Datareg). Es umfasse bislang rund 3000 Einträge, wobei die Mehrheit von Pensionskassen und Sammelstiftungen stamme. Genutzt werde auch das Meldeportal Verletzungen der Datensicherheit (DataBreach-Portal). Seit dessen Einführung erhalte man "eine deutliche Mehrheit dieser Meldungen in elektronischer Form", schreibt der EDÖB.

Das DPO (data protection officer)-Portal enthält Kontaktdaten der Datenschutzberaterinnen und -berater. Bundesbehörden müssen und Privatunternehmen dürfen dieses Amt besetzen. Laut dem Tätigkeitsbericht haben bis dato mehr als zweitausend Verantwortliche einen oder mehrere DPOs im Portal erfasst.

Noch arbeiten der Datenschutzbeauftragte Adrian Lobsiger und sein Team an weiteren Unterlagen zum neuen DSG. "Bald werden unsere Arbeiten zum Übergang vom alten zum neuen Recht indessen abgeschlossen sein, sodass die vom Parlament gesprochenen zusätzlichen Stellen schwerpunktmässig für die Durchführung von Untersuchungen eingesetzt werden können", schreibt Lobsiger.

Bundes-Cloud, EPD, Pfarrer-Check

Wie üblich gibt der Tätigkeitsbericht einen Einblick in die Vielfalt der Fälle, mit denen sich der EDÖB auseinandersetzte. Nicht alle Themen sind neu. So schreibt die Behörde zu Recht, das Bundes-Cloud-Projekt CEBA ("Cloud Enabling Büroautomation") habe in Sachen Cloud-Vorhaben wiederum im Hauptfokus gestanden. Im April 2023 habe er zur im Projekt vorgesehenen Einführung von Microsoft 365 Stellung genommen. "Er forderte erneut, sämtliche Risiken – auch potenzielle Risiken (…) – transparent in der Datenschutz-Folgenabschätzung (DSFA) aufzuführen." Zudem betonte er, es sei wichtig, Alternativen zu einer Microsoft-365-Cloudnutzung zu prüfen. Übrigens befasste sich auch die Finanzkontrolle unlängst mit dem Projekt CEBA. Ihre Befunde lesen Sie hier.

Weitere Empfehlungen gab der EDÖB zum revidierten Gesetz über das elektronische Patientendossier (EPDG) ab. Eine der grössten Änderungen ist die Umstellung von Opt-in zu Opt-out. Das heisst: Unter dem revidierten Gesetz erhält jede in der Schweiz wohnhafte natürliche Person ein EPD. Will sie dies nicht, müsste sie dem explizit widersprechen.

In seiner Stellungnahme befand der EDÖB, das derzeitige Modell gewährleiste das Recht auf Selbstbestimmung der betroffenen Personen besser als das geplante Opt-out-Modell. "Sollte die Widerspruchsvariante dennoch obsiegen, müsste dafür gesorgt werden, dass das Modell ohne übermässigen Formalismus und in allen Kantonen einheitlich umgesetzt wird." Bis das neue EPD-Gesetz im Parlament beraten wird, dauert es noch. Bereits im Trockenen ist dagegen eine Übergangsfinanzierung, mit der das nicht gerade erfolgsverwöhnte EPD bis zur Revision überleben soll.

Eines der Beispiele aus der Privatwirtschaft ist eine Onlinekampagne namens "Pfarrer-Check" des Vereins Bürgerforum Schweiz. Dieser sammelte Personendaten von im kirchlichen Umfeld tätigen Personen und stellte diesen dann einen Fragebogen zu, um festzustellen, ob sie "diese Personen, die Glaubensansichten des Vereins teilen", wie der Beauftragte es ausdrückt. Problematisch fand der EDÖB einerseits, dass der Verein eine öffentlich zugängliche Datenbank der angeschriebenen Personen unterhielt und sich andererseits weigerte, Löschbegehren von betroffenen Personen zu berücksichtigen.

Der EDÖB verlangte, dass den Löschbegehren nachgegangen werde und die Antworten zum Fragebogen nur mit einer ausdrücklichen Einwilligung publiziert werden. Der Verein wiederum habe nur zweiteres akzeptiert. Auf Löschbegehren wollte er nicht eingehen, da sich seine "Bearbeitung von Personendaten auf ein überwiegendes öffentliches Interesse stütze". Man habe Ende 2023 dazu eine formelle Untersuchung eröffnet, schreibt der EDÖB. Bei Bürgerforum heisst es, die Behörde habe Anfang April 2024 erstinstanzlich verfügt, der Verein müsse die Daten der 5837 angefragten Personen von der Webseite löschen und künftig in der Onlinekampagne nur noch namentlich nennen, wer dem explizit zustimme. Begleitet worden sei die Verfügung von "Gebührenforderung über mehrere tausend Franken." Gegen diese Verfügung wehre man sich nun mittels Beschwerde beim Bundesverwaltungsgericht, schreibt der Verein.

Unterschätzter Persönlichkeitsschutz

In zwei Abschnitten erwähnt der EDÖB auch Untersuchungen in Zusammenhang mit Cyberangriffen. Die Vorabklärungen zu jenem auf Concevis liefen noch, schreibt die Behörde; die Verfahren in Zusammenhang mit Xplain behandle man prioritär und wolle diese zeitnah abschliessen. Tatsächlich ist dies inzwischen passiert, wie Sie hier lesen können. In solchen Fällen, "bei der die Verletzung der Datensicherheit im Zusammenhang mit einem Auftragsdienstleister auftrat", sei stets eine sehr grosse Zahl von Betroffenen festzustellen gewesen, die aufgrund der Verletzung einem hohen Risiko ausgesetzt gewesen sei, kommentiert die Behörde.

Passend dazu stellt der EDÖB in der Mitteilung zum Tätigkeitsbericht fest, dass die Bedeutung des Persönlichkeitsschutzes, des Öffentlichkeitsprinzips und des Rechtsstaates oft unterschätzt würden und so erst spät in die Planung von Vorhaben der digitalen Transformation einfliessen."Dem Beauftragten wird in seiner Aufsichtstätigkeit zunehmend entgegengehalten, dass Vorhaben der digitalen Transformation dem aktuellen technologischen Stand entsprächen und deshalb weder besonderer Begründungen noch zweck- und umfangmässiger Beschränkungen bedürften", führt die Behörde aus. Doch seien Eingriffe in die Persönlichkeit der Betroffenen unzureichend begründet, könne dies zu Projektverzögerungen führen.

Als Beispiel dafür nennt der EDÖB die geplante nationale Verknüpfung der kantonalen Polizeisysteme über eine mit Bundesbeteiligung betriebene Abfrageplattform: "Trotz der Dringlichkeit des Vorhabens ist bis heute offengeblieben, worin die Beteiligung des Bundes bestehen soll und welche Infrastrukturen er für kantonale Aufgaben bereitzustellen gedenkt, auf welche Bürgerdaten der Kantone die Polizeiorgane des Bundes zugreifen sollen und wann der Bund welche Rechtssetzungsvorhaben einzuleiten plant", kritisiert der EDÖB. Kläre der Bund diese Grundsatzfragen nicht, könnte sich die Realisierung dieses Projekts verzögern.

Auf internationaler Ebene führt er den US-amerikanischen Konzern Meta ins Feld. Dieser wollte seine künstliche Intelligenz mit persönlichen Daten seiner Nutzerinnen und Nutzer trainieren. Nach Intervention von Datenschützern mehrerer europäischer Länder verzichtet das Unternehmen vorerst darauf, Daten europäischer User fürs KI-Training zu verwenden.

Welche Herausforderungen einer kantonalen Datenschutzbehörde im Jahr 2023 begegneten, schildert unter anderem die Zürcher Datenschutzbeauftragte in ihrem Tätigkeitsbericht. Details dazu lesen Sie hier.