Mitte Juni hat der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) als oberste und auch für Datenverarbeitungen durch den nicht-öffentlichen Bereich zuständige Datenschutzbehörde seinen jährlich erscheinenden Tätigkeitsbericht veröffentlicht. Dieser als e-paper 90 Seiten umfassende 26. Tätigkeitsbericht 2018/2019 deckt den Zeitraum zwischen 1. April 2018 und 31. März 2019 ab. Hierbei befasst sich der EDÖB schwerpunktmäßig mit den folgenden datenschutzrechtlichen Themen.
Nicht erfolgte Totalrevision des Datenschutzgesetzes: Wettbewerbsnachteil für Unternehmen aus der Schweiz
Der EDÖB bemängelt, dass die Totalrevision des Datenschutzgesetzes weiterhin auf sich warten lasse. Da bislang nur die Übernahme des sog. Schengen-Besitzstands sichergestellt und das Schengen-Datenschutzgesetz (SDS) erlassen sei, erlebten die schweizerischen Unternehmen einen Wettbewerbsnachteil gegenüber Konkurrenten aus Staaten der EU und des EWR, in denen die DSGVO unmittelbar Anwendung finde und entsprechend keine Unsicherheiten bezüglich des Datenschutzniveaus bestünden. Auch schweizerische Unternehmen wollten ihren Kunden einen den erneuerten europäischen Standards entsprechenden Datenschutz bieten. Ferner wüssten sie, dass sich in der digitalen Realität Datenverarbeitungsprojekte nur risikogerecht abwickeln ließen und gegenüber Kunden kommuniziert werden könnten, wenn zeitgemäße Instrumente wie Datenschutzfolgenabschätzungen etabliert seien. Solange die Arbeitsinstrumente modernen Datenschutzes nicht explizit in der Datenschutzgesetzgebung verankert seien, desto öfter sähen sich Unternehmen mit kritischen Fragen nach dem regulatorischen Schutzniveau konfrontiert.
Aktuelle Prüfung des Datenschutzniveaus durch EU-Kommission und neuer Angemessenheitsbeschluss
Derzeit prüfe die Europäische Kommission das Datenschutzniveau in sogenannten Drittländern und habe angekündigt, ihren Angemessenheitsbeschluss im Mai 2020 zu veröffentlichen. Für die Schweiz sei es von Vorteil, wenn diese Evaluation auf Grundlage des totalrevidierten Datenschutzgesetzes statt des nunmehr bald dreißig Jahre alten, aus dem Jahre 1992 stammenden Datenschutzgesetzes (ohne zeitgemäße „Instrumente“ wie Datenschutz-Folgenabschätzungen) stattfinden könne. Daneben sei für die Schweiz auch die Unterzeichnung des seit Oktober 2018 zur Unterzeichnung aufliegenden, modernisierten Übereinkommens zum Schutz des Menschen bei der automatisierten Verarbeitung personenbezogener Daten (Übereinkommen 108) des Europarates empfehlenswert. Denn schließlich habe die Europäische Kommission wiederholt darauf hingewiesen, dass die Ratifizierung dieses modernisierten Übereinkommens ein entscheidendes Kriterium für den im Mai 2020 vorgesehenen Angemessenheitsbeschluss darstelle.
Beratungs- und Kontrolltätigkeiten
Auch im vergangenen Jahr habe sich der EDÖB mit zahlreichen Big-Data-Projekten von Bundesbehörden und privaten Unternehmen auseinandergesetzt. Hierbei wirke er, auch um den eigenen Arbeitsaufwand zu senken, darauf hin, dass die Projektträger (auch wenn sie nicht dem Anwendungsbereich der DSGVO unterfallen) selbstverantwortlich deren moderne „Arbeitsinstrumente“ wie Datenschutzfolgenabschätzungen und Einsetzung betrieblicher Datenschutzorgane implementierten. Die berechtigten öffentlichen Erwartungen in aufsichtsrechtliche Maßnahmen in Bereichen wie Konsumenten-Apps und sozialen Netzwerken habe der EDÖB erneut nicht erfüllen können, auch da die durch den Bundesrat in Aussicht gestellte Schaffung zusätzlicher Mittel für zehn zusätzliche Stellen zu den derzeitig 24 Mitarbeitenden nicht erfolgt sei.
Internationaler Datentransfer: Brexit und Privacy-Shield
Aufgrund des Brexitverfahrens habe der EDÖB an zahlreichen Sitzungen mit britischen und schweizerischen Behörden teilgenommen, um sicherzustellen, dass ein freier Datenverkehr auch nach dem Austritt möglich bleibe. Derzeit gelte das Vereinigte Königreich als Land mit angemessenem Datenschutzniveau und der EDÖB sehe derzeit keinen Anlass, dessen Status zu ändern.
Im Rahmen der im Herbst 2018 in Paris stattfindenden Überprüfungen des Swiss-EU Privacy Shield Übereinkommens konnten in diversen Bereichen Verbesserungen der US-Behörden festgestellt werden, doch bestehe noch Abstimmungsbedarf beispielsweise bei HR-Daten. Während des im aktuellen Tätigkeitsbericht beurteilten Zeitraums sind dem EDÖB zwei „false claims“ gemeldet worden, also Unternehmen, die sich fälschlicherweise als Swiss-US Privacy Shield zertifiziert ausgaben. Ferner seien im gleichen Zeitraum zehn berechtigte Betroffenenbeschwerden aus der Schweiz bei zuständigen unabhängigen Beschwerdestellen (Independent Recourse Mechanism) eingereicht worden. Auch wenn dies für eine geringe Nutzung der zur Verfügung gestellten Rechtsinstrumente spreche, sei zu berücksichtigen, dass das Übereinkommen erst seit 2017 in Kraft sei. Ferner sei zu beachten, dass vor einer offiziellen Beschwerde in der Regel zuerst das Unternehmen selbst angegangen werde und eine nicht genauer abschätzbare Anzahl von Datenschutzverletzungen bereits auf diesem Weg beseitigt worden sein könnte. Anders als im ersten Jahr des Swiss-US-Privacy-Shields habe der US-Senat zwischenzeitlich im Hinblick auf behördlichen Datenzugriff die Nominierung des Vorsitzes zweier Mitglieder der Stelle zur Überwachung des Schutzes der Privatsphäre und der bürgerlichen Freiheiten (Privacy and Cicil Libierties Oversight Board, PCLOB) bestätigt, womit nun auch das nötige Quorum und damit eine Beschlussfähigkeit des PCLOBs erreicht sei.
In vielen Bereichen teile der EDÖB die Auffassung des Europäischen Datenschutzausschusses (EDSA), wonach weitere Verbesserungen angezeigt seien, wie etwa substanziellere Überprüfungen der Zweck- und Verhältnismäßigkeit bei Datentransfers an Dritte. Ferner sei die Auslegung des Begriffs „HR-Daten“ durch die US-Behörden zu eng, weshalb eine Lösung gefunden werden müsse, um den erweiterten Schutz dieser Daten zu gewährleisten. Im Bereich des behördlichen Zugriffs auf personenbezogene Daten sollte sichergestellt werden, dass eine Ombudsperson ernannt werde, die auch gegenüber solchen Behörden, deren Zugriff im Rahmen der nationalen Sicherheit erfolge, die nötige Kompetenz und Unabhängigkeit aufweise.
Trotz aufgezeigter Schwachstellen habe die Funktionsweise des Privacy Shields jedoch insgesamt verbessert werden können.