19. Tätigkeitsbericht des Eidg. Datenschutzbeauftragten (EDÖB)

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat anlässlich einer Medienkonferenz Ende Juni seinen 19. Tätigkeitsbericht veröffentlicht. Dieser deckt das Tätigkeitjahr 2011/12 ab. Er fasst in diesem zusammen, welche datenschutzrechtlichen Fragestellungen ihn im letzten Jahr beschäftigt haben. Der Bericht enthält eine breite Palette verschiedener Themen, unter anderem Social Plug-Ins, Cloud Computing und die Datenbearbeitung durch Kredit- und Wirtschaftsauskunfteien. Der EDÖB weist zudem auf die wichtigsten aktuellen Gerichtsentscheide hin, zu welchem namentlich der Google-Street-View-Entscheid und der Entscheid zum DSG-Auskunftsrecht (vgl. BR-News vom 3. Juli 2012) zählen. Auch das neue Jahr wird den EDÖB wieder vor neue Herausforderungen stellen, ein besonderes Augenmerk wird er dabei auf soziale Netzwerke und die Revision des Datenschutzgesetzes legen.


Tätigkeiten des EDÖB im Berichtsjahr

Der vor kurzem veröffentliche Tätigkeitsbericht des Eidgenössischen Datenschutzbeauftragten (EDÖB), Hanspeter Thür, deckt den Tätigkeitszeitraum vom 1. April 2011 bis 31. März 2012 ab. Der Bericht enthält wiederum eine breite Palette an verschiedenen Themen. Dies zeigt einmal mehr deutlich auf, dass Datenschutz in den verschiedensten Alltagssituationen relevant werden kann. Der Bericht befasst sich unter anderem mit Themen Bibliotheksdatenbanken, Datenaustausch über Schwarzfahrer, Verwendung der AHV-Nummer in der Statistik, Videoüberwachung durch Private, Veröffentlichung von Hooligan-Bildern im Internet, E-Mail-Spam, Online-Marketing und Überwachung am Arbeitsplatz. Nachfolgend werden ausgewählte Inhalte des Tätigkeitsberichts kurz dargestellt.


Wichtige Gerichtsentscheide im Datenschutzrecht

Anlässlich seiner Rede zur Veröffentlichung des Tätigkeitsberichts fasste der EDÖB noch einmal die wichtigsten aktuellen Gerichtsentscheide im Bereich des Datenschutzrechts zusammen. Nicht alle dieser Urteile fanden auch Aufnahme in den Tätigkeitsbericht, da sie teilweise erst nach Erstellung gefällt wurden.

Er verwies unter anderem auf das Urteil des Bundesgerichts zum Auskunftsrecht nach Art. 8 DSG (4A_688/2011 vom 17. April 2012, vgl. BR-News vom 14. Mai 2012 und 3. Juli 2012). Er bezeichnete den Entscheid als „ausserordentlich bedeutsam für Bürgerinnen und Bürger“ und wies noch einmal darauf hin, dass das Auskunftsrecht bedingungs- und begründungslos ausgeübt werden könne.

Weiter äusserte er sich zu einem Bundesverwaltungsgerichtsurteil zur Zustellung von Sozialversicherungsausweisen. In diesem entschied das Gericht, dass solche Ausweise nicht offen und einsehbar dem Arbeitgeber zugestellt werden dürfen (A-4467/2011 vom 10. April 2012). Auch das Bundesgerichtsurteil zum Fall Google Street View (Urteil 1C_230/2011 vom 31. Mai 2012) kommentierte der EDÖB anlässlich der Pressekonferenz kurz. Er bezeichnete die Bürger, deren Persönlichkeitsrechte durch das Urteil gestärkt worden seien, als „Sieger“ des Prozesses. Abschliessend äusserte er sich zudem kurz zum Bundesgerichtsentscheid, der unter anderem die EMRK-Konformität von Art. 18 des Bundesgesetzes zur Wahrung der inneren Sicherheit (BWIS) zum Gegenstand hatte (1C_289/2009 vom 2. November 2011, vgl. Pressemitteilung des Bundesgerichts). Inzwischen ist dieser Artikel revidiert und nach Ansicht des EDÖB EMRK-konform ausgestaltet worden. Er wird demnächst in Kraft treten.


Geolokalisierung von mobilen Geräten und Einbindung von Social Plug-Ins

Mit mobilen Apple-Geräten können Geopositionsdaten für standortbezogene Dienste erhoben und an Apple gesendet werden. Sofern diese Daten über einen längeren Zeitraum gespeichert werden, ergibt sich daraus ein detailliertes Bewegungsprofil des Nutzers, was datenschutzrechtlich problematisch sein kann. Im Rahmen einer Sachverhaltsabklärung bei Apple hat der EDÖB diese Datenbearbeitungen analysiert. Noch während der Sachverhaltsabklärung hat Apple ein Update der Software zur Verfügung gestellt. Durch dieses wird es den Nutzern ermöglicht, die Geopositionsdaten zu löschen oder deren Erfassung und Weiterleitung zu unterbinden. Aus diesem Grund konnte der EDÖB die eingeleitete Sachverhaltsabklärung wieder einstellen.

Weiter beschreibt der EDÖB in seinem Bericht die Problematik von so genannten Social Plug-Ins. Bekanntestes Beispiel solcher Plug-Ins ist wohl der Like-Button von Facebook. Solche Plug-Ins sind datenschutzrechtlich problematisch, weil sie bereits beim blossen Aufruf einer Website Informationen über diesen Besuch übertragen (sog. Tracking). Viele Benutzer solcher Social Plug-Ins seien sich wohl nicht bewusst, dass diese datenschutzrechtlich ein Problem darstellen können. Der EDÖB appelliert deshalb sowohl an die Nutzer selbst als auch an die Webseitenbetreiber, technische und organisatorische Massnahmen zu treffen, um sich selbst bzw. die Webseitenbesucher zu schützen. Er verweist dabei insbesondere darauf, dass die Möglichkeit besteht, solche Plug-Ins datenschutzkonform zu implementieren (z.B. mittels Zwei-Klick-Empfehlungsbuttons) bzw. die Internetsoftware entsprechend zu konfigurieren.


Cookie-Richtlinie der EU, Rechtslage bezüglich Internettauschbörsen nach dem Logistep-Urteil und Bewertungsplattformen im Internet

Der EDÖB spricht auch die so genannte Cookie-Richtlinie der EU an, welche auch für Schweizer Websites relevant ist, die Cookies auf Rechnern in EU-Mitgliedsstaaten speichern bzw. ablesen. Diese Richtlinie, die von einigen Mitgliedstaaten bereits in nationales Recht umgesetzt wurde, verpflichtet Anbieter von Onlinediensten, den Benutzer zu informieren, bevor auf dessen Festplatte ein sog. Cookie gespeichert wird (vgl. BR-News vom 21. Juli 2010 und 10. August 2011). Der EDÖB ist zurzeit im Gespräch mit Branchenvertretern und verfolgt die Entwicklungen im Ausland intensiv, da ein Sonderfall Schweiz in dieser Frage nicht denkbar sei.

Weiter äusserte sich der EDÖB zur Rechtslage bezüglich Internet-Tauschbörsen nach dem Logistep-Urteil (BGE 136 II 508, vgl. BR-News vom 5. Dezember 2010). Er erläuterte zu diesem Thema die Voraussetzungen, unter welchen weiterhin ein rechtfertigendes Interesse an einer persönlichkeitsrechtsrelevanten Datenbearbeitung vorliegen kann. Dazu müssen die folgenden Voraussetzungen kumulativ sichergestellt sind sind:

  • Die Datenerhebung und -speicherung darf nicht über das hinausgehen, was absolut notwendig ist, um Strafanzeige gegen mutmassliche Urheberrechtsverletzer zu erstatten.
  • Die Verhandlungen zwischen Rechteinhaber und (mutmasslichem) Urheberrechtsverletzer über Schadenersatzforderungen dürfen nur auf dessen Initiative hin oder aber nach einer rechtskräftigen strafrechtlichen Verurteilung stattfinden.
  • Die Rechteinhaber müssen ihre Anstrengungen verstärken, den betroffenen Personen die Beschaffung der Personendaten und den Zweck ihrer Bearbeitung erkennbar zu machen. Dazu müssen sie insbesondere auf ihren Websites an leicht zugänglicher und auffindbarer Stelle ihre Vorgehensweise vollständig offen legen und deutlich machen, dass Schadenersatzansprüche nur gegenüber rechtskräftig strafrechtlich verurteilten Urheberrechtsverletzern verfolgt werden.

Kritisch bewertet der EDÖB Bewertungsplattformen im Internet, namentlich Vermieterbewertungsplattformen. Die Betreiber erhoffen sich von einer solchen Plattform mehr Transparenz. Der EDÖB anerkennt auch, dass solche Plattformen für bestimmte Zielgruppen als Informationsquelle sinnvoll sein können, jedoch sei das Risiko gross, dass es dabei zu Persönlichkeitsverletzungen kommt. Als erstes hält der EDÖB fest, dass sich die Betreiber solcher Websites deren Inhalte zurechnen lassen müssen. Da es sich bei den Inhalten in der Regel um Personendaten handelt, wäre für eine rechtmässige Veröffentlichung eine Einwilligung der betroffenen Personen notwendig. Den Betreibern einer Vermieterbewertungsplattform hat der EDÖB die datenschutzrechtlichen Probleme aufgezeigt und mit ihnen mögliche Verbesserungsvorschläge diskutiert, worauf sich diese bereit erklärt haben, die Plattform umzugestaltet. Die Plattform ist bis zu dieser Umsetzung nicht mehr in Betrieb.


Datenschutz im Cloud Computing und Datenbearbeitung durch Kredit- und Wirtschaftsauskunfteien

Im Abschnitt „Handel und Wirtschaft“ befasste sich der EDÖB mit dem immer populärer werdenden Cloud Computing. Er anerkennt, dass Cloud Computing durchaus Vorteile für Unternehmen hat, weist aber auch auf die datenschutzrechtlichen und technischen Risiken hin. Insbesondere die Auslagerung von Datenbearbeitungen in ausländische Clouds könne den datenschutzrechtlichen Anforderungen häufig nicht gerecht werden. Aus diesem Grund hat der EDÖB Anfang 2012 nützliche Erläuterungen veröffentlicht, wie Cloud Computing datenschutzkonform gestaltet werden kann.

Ein Thema, das datenschutzrechtlich immer wieder Gesprächsstoff liefert, ist die Datenbearbeitung durch Kredit- und Wirtschaftsauskunfteien. Diese sammeln Daten und erteilen interessierten Personen Auskünfte über die Kreditwürdigkeit anderer. Der EDÖB hat in diesem Bereich im Berichtsjahr eine umfassende Sachverhaltsabklärung bei einer grossen Auskunftei durchgeführt und die datenschutzrechtliche Zulässigkeit solcher Auskunfteien untersucht. Er hat dabei festgestellt, dass ein Grossteil der Datenbearbeitungen datenschutzkonform erfolgt. In denjenigen Punkten, in denen dies nicht der Fall war, wurden datenschutzkonforme Lösungen gefunden. Auch zum Thema Auskunfteien hat der EDÖB auf seiner Homepage eine Informationsseite erstellt, auf welchen sowohl Auskunfteien als auch betroffene Personen nützliche Informationen finden, wie sie mit solchen Datenbearbeitungen umgehen können bzw. sollen.


Ausblick

In einem Ausblick schreibt der EDÖB, dass auch das kommende Jahr und die weitere Zukunft voll mit neuen datenschutzrechtlichen Fragen sein wird, insbesondere werden die sozialen Netzwerke die Datenschützer „auf Trab halten“. Besonders erwähnt der EDÖB die Geschäftspolitik von Facebook, das mittlerweile in gewissen Fällen auch Daten von Nichtnutzern sammelt. Weiter wird sich der EDÖB in naher Zukunft bei der geplanten Revision des Datenschutzgesetzes einbringen (vgl. BR-News vom 15. Dezember 2012). Man darf gespannt sein, wie der Bundesrat diese ausgestalten wird. Ein erster Entwurf soll bis Ende 2014 vorliegen. Darüber hinaus wird auch eine Idee der USA, ein Verfahren einzuführen, das ihr die Überprüfung ermöglichen soll, ob eine Person mit ihrem Fingerabdruck oder DNA-Profil in einer schweizerischen Datenbank verzeichnet ist, die Datenschützer beschäftigen.

Der 19. Tätigkeitsbericht des EDÖB macht wieder einmal bewusst, wie viele offene Fragen im Bereich des Datenschutzes bestehen und wie stark die technologische Entwicklung, aber auch gesellschaftliche Veränderungen diesen Rechtsbereich immer wieder vor neue Herausforderungen stellen. Ebenfalls deutlich wird, dass es kaum einen Bereich der Gesellschaft gibt, in welchem sich keine datenschutzrechtlichen Probleme stellen. Aus diesem Grund wird immer wichtiger, dass sich Unternehmen vertieft mit datenschutzrechtlichen Problemen befassen und nach datenschutzkonformen Lösungen suchen. In gewissen Fällen ist dabei eine Beratung durch Fachleute wohl unumgänglich. Der EDÖB hat kürzlich auch das Online-Tool Think Data (www.thinkdata) aufgeschaltet, das Unternehmen und Behörden für datenschutzrechtliche Fragestellungen sensibilisieren soll.

 

Weitere Informationen:

 

Ansprechpartner: Lukas Bühlmann