Bericht des Bundesrates über die Evaluation des Bundesgesetzes über den Datenschutz vom 9. Dezember 2011

Sehr geehrter Herr Nationalratspräsident Sehr geehrter Herr Ständeratspräsident Sehr geehrte Damen und Herren Wir unterbreiten Ihnen den vorliegenden Bericht über die Evaluation des Bundesgesetzes über den Datenschutz zur Kenntnisnahme.

Wir versichern Sie, sehr geehrter Herr Nationalratspräsident, sehr geehrter Herr Ständeratspräsident, sehr geehrte Damen und Herren, unserer vorzüglichen Hochachtung.

9. Dezember 2011

Im Namen des Schweizerischen Bundesrates Die Bundespräsidentin: Micheline Calmy-Rey Die Bundeskanzlerin: Corina Casanova

2011-1952

335

Übersicht Das Bundesgesetz über den Datenschutz, nachfolgend Datenschutzgesetz genannt, ist seit fast 20 Jahren in Kraft und wurde nun erstmals einer weitreichenden Evaluation unterzogen. Mit diesem Bericht legt der Bundesrat die Ergebnisse der Evaluation vor und skizziert das weitere Vorgehen.

Ziel der Evaluation war es, das Datenschutzgesetz auf seine Wirksamkeit hin zu überprüfen. Im Vordergrund der Untersuchung standen die Bekanntheit des Gesetzes und seine Durchsetzungsmechanismen einerseits sowie die Stellung des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) andererseits.

Die Evaluation hat ergeben, dass das Datenschutzgesetz im Bereich der Herausforderungen, die bereits zum Zeitpunkt seines Inkrafttretens bestanden, eine spürbare Schutzwirkung erzielt. Die Befunde der Evaluation deuten jedoch darauf hin, dass sich die Bedrohungen für den Datenschutz aufgrund der fortschreitenden technologischen und gesellschaftlichen Entwicklungen seit einigen Jahren akzentuieren. Die technologischen Entwicklungen fordern das Datenschutzgesetz heraus, weil sie zu einer Zunahme von Datenbearbeitungen und zu intransparenten sowie verstärkt zu grenzüberschreitenden Datenbearbeitungen geführt haben. Ausserdem wird es immer schwieriger, die Kontrolle über einmal bekannt gegebene Daten zu behalten.

Die grosse Mehrheit der öffentlichen und privaten Datenbearbeitenden ist einigermassen sensibilisiert für den Datenschutz und beachtet in pragmatischer Art und Weise die Bestimmungen des Datenschutzgesetzes. Die Bevölkerung erachtet den Schutz ihrer persönlichen Daten als wichtig. Dennoch schützen sich die Betroffenen selbst nicht immer konsequent. Sie fühlen sich bisweilen überfordert oder unterschätzen die bestehenden Möglichkeiten der Datenbearbeitung und deren Risiken.

Die Schaffung der Stelle des EDÖB hat sich als wirksames Instrument erwiesen, um die Schutzwirkung des Datenschutzgesetzes zu erhöhen, obwohl die Wirkungsmöglichkeiten des EDÖB in verschiedener Hinsicht an Grenzen stossen. Die einklagbaren Rechte sind hingegen eher beschränkt wirksam, da sie von den Betroffenen nur selten genutzt werden.

Aufgrund der Ergebnisse der Evaluation ist der Bundesrat der Auffassung, dass zu prüfen ist, inwieweit und in welcher Weise die Datenschutzgesetzgebung anzupassen ist, um den rasanten
technologischen und gesellschaftlichen Entwicklungen Rechnung zu tragen. Er wird deshalb unter Berücksichtigung der Ergebnisse der Evaluation, der im Bereich Datenschutz gegenwärtig laufenden Entwicklungen in der Europäischen Union und beim Europarat sowie aller konkret betroffenen Interessen vertieft prüfen, welche gesetzgeberischen Massnahmen getroffen werden können. Im Bereich des Gesetzesvollzugs prüft der EDÖB, wie er die Dokumentation seiner Aktivitäten verbessern kann. Ausserdem wird er seinen Tätigkeitsbericht weiter ausbauen.

336

Nach Beginn der Evaluationsarbeiten wurden das Postulat Hodgers vom 8. Juni 2010 (10.3383 «Anpassung des Datenschutzgesetzes an die neuen Technologien») und das Postulat Graber vom 14. September 2010 (10.3651 «Angriff auf die Privatsphäre und indirekte Bedrohungen für die persönliche Freiheit») an den Bundesrat überwiesen. Mit dem vorliegenden Bericht werden die Anliegen der Postulate bereits teilweise erfüllt.

337

Botschaft 1

Ausgangslage

1.1

Bundesgesetz über den Datenschutz

Das Bundesgesetz vom 19. Juni 1992 über den Datenschutz (DSG; SR 235.1), nachfolgend Datenschutzgesetz genannt, regelt das Bearbeiten von Daten natürlicher und juristischer Personen durch Privatpersonen und Bundesorgane. Die Datenbearbeitung durch kantonale Behörden ist grundsätzlich nicht Gegenstand des Datenschutzgesetzes; sie unterliegt (vorbehältlich Art. 37 DSG) der kantonalen Gesetzgebung.

Das Datenschutzgesetz wurde geschaffen, weil der Einsatz der modernen Informations- und Kommunikationstechnologien in fast allen Lebensbereichen und die enorme Intensivierung der Datenverarbeitung und -verbreitung in Gesellschaft, Wirtschaft und Staat die Risiken von Persönlichkeitsverletzungen stark anwachsen liessen. Es dient dem Persönlichkeitsschutz derjenigen Personen, deren Daten bearbeitet werden (Art. 1 DSG) und damit der Gewährleistung des Grundrechts der informationellen Selbstbestimmung (Art. 13 Abs. 2 der Bundesverfassung, BV; SR 101). Der Bundesrat formulierte in seiner Botschaft vom 23. März 19881 zum Bundesgesetz über den Datenschutz drei Kernziele des Gesetzes: 1. Schutz des Privat- und Familienlebens vor Beeinträchtigungen; 2. besonderer Schutz von Informationen über die Ausübung verfassungsmässiger Rechte; 3. Verhinderung, dass die oder der Einzelne zu einem Objekt von Informationstätigkeiten wird; die oder der Einzelne soll vielmehr das Bild und die Kenntnisse, welche die Umwelt von ihm hat, mitbestimmen können. Das Gesetz enthält einen allgemeinen Teil, in dem allgemeine Datenbearbeitungsgrundsätze niedergelegt sind, die sowohl für die Organe des Bundes als auch für private Datenbearbeitende gelten. Ferner enthält das Gesetz je spezifische Bestimmungen für die Datenbearbeitung durch Privatpersonen (diesfalls als Ergänzung und Konkretisierung des Persönlichkeitsschutzes nach dem Zivilgesetzbuch; SR 210) und für die Datenbearbeitung durch Bundesorgane. Das Datenschutzgesetz ist als Querschnittsgesetz weitgehend technologieneutral ausgestaltet. Es enthält vorwiegend Grundsatzregelungen, die für jeden Umgang mit Personendaten gelten. Diese Grundsätze werden in der Spezialgesetzgebung jeweils bereichsspezifisch konkretisiert.2 Seit seinem Inkrafttreten am 1. Juli 1993 erfuhr das Datenschutzgesetz verschiedene Teilrevisionen. Die wichtigsten von ihnen traten am 1. Januar 2008 und am 1. Dezember
2010 in Kraft: Die Revision vom 1. Dezember 2010 betraf die Umsetzung des Rahmenbeschlusses 2008/977/JI der Europäischen Union (EU) vom 27. November 20083 über den Schutz personenbezogener Daten, die im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen verarbeitet werden.

Die Revision vom 1. Januar 2008 bezweckte in erster Linie die Verbesserung der Information der Personen, deren Daten bearbeitet werden, die Festlegung eines 1 2

3

338

BBl 1988 II 413 418 Beispielsweise im Bundesgesetz vom 20. Juni 2003 über das Informationssystem für den Ausländer- und den Asylbereich (BGIAA; SR 142.51) und im Bundesgesetz vom 13. Juni 2008 über die polizeilichen Informationssysteme des Bundes (BPI; SR 361).

ABl. L 350 vom 30.12.2008, S. 60.

minimalen Schutzstandards bei der Bearbeitung von Daten durch kantonale Behörden beim Vollzug von Bundesrecht und die Übernahme der Grundsätze des Zusatzprotokolls vom 8. November 20014 zum Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten bezüglich Aufsichtsbehörden und grenzüberschreitende Datenübermittlung ins schweizerische Recht.

1.2

Gegenstand und Organisation der Evaluation

Angesichts der Vielzahl der vom Datenschutzgesetz Betroffenen, des rasanten Fortschreitens der technologischen Entwicklungen, von Empfehlungen der EU-Expertinnen und -Experten im Rahmen der Schengen-Assoziierung sowie im Lichte von Artikel 170 BV beschloss das Bundesamt für Justiz (BJ), das Datenschutzgesetz zu evaluieren.

Ziel der Evaluation war es, das Datenschutzgesetz auf seine Wirksamkeit hin zu überprüfen. Nicht Gegenstand der Evaluation waren die im Zuge der Reformen des Datenschutzgesetzes per 1. Januar 2008 und 1. Dezember 2010 eingeführten neuen Bestimmungen, weil hierzu noch zu wenige Erfahrungen vorliegen.

Angesichts des weiten Geltungsbereichs des Datenschutzgesetzes und der beschränkten personellen und finanziellen Ressourcen, die für die Evaluation zur Verfügung standen, war es unabdingbar, die Evaluation auf bestimmte Teilaspekte des Gesetzes zu fokussieren. Im Vordergrund standen erstens die Bekanntheit und die Durchsetzungsmechanismen des Gesetzes. Dabei war von besonderem Interesse zu erfahren, welche Rechtsansprüche und Verfahren, die das Datenschutzgesetz den betroffenen Personen zur Verfügung stellt, sich als wirksam erwiesen haben und damit geeignet sind, den Schutz der Persönlichkeit und der Grundrechte angemessen zu gewährleisten. Der zweite Schwerpunkt befasste sich mit dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB). Untersucht wurde, welcher Stellenwert dem EDÖB für den Schutz der Persönlichkeit und der Grundrechte der betroffenen Personen zukommt, insbesondere in Bezug auf seine institutionelle Stellung und Unabhängigkeit, seine Organisation und die Wirksamkeit seiner Aktivitäten. Die Evaluation erfolgte vor dem Hintergrund der technologischen und gesellschaftlichen Entwicklungen seit dem Inkrafttreten des Datenschutzgesetzes und der damit verbundenen neuen Herausforderungen für den Datenschutz. Sie steht im Einklang mit den Zielen, die der Bundesrat im Rahmen seiner Strategie vom Januar 20065 für eine Informationsgesellschaft in der Schweiz festgelegt hat.

4 5

SR 0.235.11 Im Rahmen seiner Strategie für eine Informationsgesellschaft in der Schweiz legte der Bundesrat u. a. fest, der Bund müsse für eine wirkungsorientierte und verhältnismässige Ausgestaltung der Datenschutzgesetzgebung besorgt sein, etwa indem Instrumente definiert würden, die ein begründetes Vertrauen in die Informations- und Kommunikationstechnologien und deren Nutzung förderten. Der Text der Strategie ist abrufbar unter: www.bakom.admin.ch > Themen > Informationsgesellschaft > Strategie des Bundesrates.

339

Die Federführung für die Evaluation des Datenschutzgesetzes lag beim BJ. Die Evaluation wurde von einer breit abgestützten Arbeitsgruppe begleitet.6 Diese sollte den Einbezug von Fachwissen und der Interessen der verschiedenen vom Gesetz betroffenen Personengruppen gewährleisten. Ausserdem sollte die Akzeptanz der Arbeiten gefördert und eine mitschreitende Qualitätskontrolle der Arbeiten sichergestellt werden. Die Arbeitsgruppe war beteiligt an der Erarbeitung des Konzepts und des Pflichtenhefts für die Evaluation sowie an der Auswahl der externen Expertinnen und Experten. Sie begleitete zudem die Arbeiten, indem sie zum Zwischenund zum Schlussbericht der externen Expertinnen und Experten sowie zum Entwurf des vorliegenden Berichts Stellung nahm.

1.3

Postulate Hodgers und Graber

Nach Beginn der Arbeiten zur Evaluation des Datenschutzgesetzes wurden das Postulat Hodgers vom 8. Juni 2010 (10.3383 «Anpassung des Datenschutzgesetzes an die neuen Technologien») und das Postulat Graber vom 14. September 2010 (10.3651 «Angriff auf die Privatsphäre und indirekte Bedrohungen für die persönliche Freiheit») an den Bundesrat überwiesen. Mit dem Postulat Hodgers wurde der Bundesrat beauftragt zu untersuchen, ob das Recht auf Datenschutz und auf Schutz des Privatlebens gestärkt werden könne, indem das Datenschutzgesetz revidiert und an die neuen Technologien angepasst würde.

Mit dem Postulat Graber wurde der Bundesrat beauftragt, aufgrund der Ausbreitung neuer Technologien zur Überwachung und zur Informationserfassung und des Ausbaus rechtlicher Bestimmungen für mehr Transparenz in allen Lebensbereichen in einem Bericht zu folgenden Fragen Stellung zu beziehen: a.

Wie schätzt er die Risiken für die Privatsphäre ein?

b.

Welche Grenzen gedenkt er zum Schutz der Privatsphäre zu ziehen?

c.

Hält er es für sinnvoll, über den Artikel 36 Absatz 4 BV hinaus den unverletzbaren und unantastbaren Kerngehalt der Privatsphäre zu definieren?

d.

Hält er es für sinnvoll, die Gesetzgebung zum Schutz der Privatsphäre und von persönlichen Daten zu verschärfen?

Mit dem vorliegenden Bericht werden die Anliegen der Postulate bereits teilweise erfüllt.

6

340

Die Arbeitsgruppe bestand aus den folgenden Mitgliedern: Martin Hilti (Vorsitz, BJ), Werner Bussmann (BJ), Rolf Reinhard (GS EJPD), Jean-Philippe Walter (Stv. EDÖB), Nadja Braun (Bundeskanzlei), Ulysse Tscherrig (Bundeskanzlei), Jacques Vifian (Büro für Konsumentenfragen), Thomas Pletscher (economiesuisse), Jacques Beglinger (Verein Unternehmensdatenschutz), Bruno Baeriswyl (Datenschutzbeauftragter des Kantons Zürich, Präsident von «Privatim»), Prof. Bertil Cottier (Università della Svizzera italiana) und Rechtsanwalt Sébastien Fanti.

2

Evaluationsauftrag und Vorgehen

In enger Zusammenarbeit mit der Arbeitsgruppe erstellte das BJ ein Evaluationskonzept und ein Pflichtenheft für die Vornahme der eigentlichen Erhebungsarbeiten.

Nach gründlicher Prüfung der verschiedenen eingegangenen Projektvorschläge durch die Arbeitsgruppe beauftragte das BJ im Frühling 2010 ein interdisziplinär zusammengesetztes Team von Forscherinnen und Forschern mit der Durchführung der Evaluation. Dieses Team bestand aus der Büro Vatter AG, Bern (Christian Bolliger, Projektleitung, und Marius Féraud), dem Institut für Europarecht der Universität Freiburg (Prof. Astrid Epiney und Julia Hänni) und der DemoSCOPE AG (Eva Tschurenev).

Zur Beantwortung der gemäss dem Pflichtenheft vorgegebenen Forschungsfragen führte das Forschungsteam 28 halbstrukturierte Interviews mit Rechts- und Technologieexpertinnen und -experten, mit Interessenvertreterinnen und -vertretern, mit Datenschutzverantwortlichen sowie mit Vertreterinnen und Vertretern des EDÖB.

Weiter wurden statistische Materialien sowie Arbeitsdokumente und Veröffentlichungen des EDÖB analysiert und ausgewertet. Verschiedene Aktivitätsbereiche des EDÖB wurden im Rahmen von zehn Fallstudien vertieft untersucht. Eine Repräsentativumfrage bei 1014 Personen hatte die datenschutzbezogenen Einstellungen sowie das Wissen und Verhalten der Bevölkerung zum Gegenstand. Die Rechtsprechung zu den datenschutzrechtlichen Rechtsansprüchen von Betroffenen wurde anhand von 269 Urteilen kantonaler und nationaler gerichtlicher Instanzen analysiert. Eine weitere Grundlage der Evaluation war der vom Schweizerischen Institut für Rechtsvergleichung (SIR) erarbeitete Vergleich verschiedener Aspekte des Datenschutzrechts in zehn Ländern.7 Die Arbeiten des Forschungsteams dauerten von Mai 2010 bis Februar 2011 und wurden mit dem Schlussbericht vom 10. März 20118 abgeschlossen. Der vorliegende Bericht stützt sich auf diesen Schlussbericht ab.

3

Ergebnisse der Evaluation

3.1

Umfeld des Datenschutzgesetzes: Technologie, Bearbeitende, Betroffene

Die Evaluation zeigt auf, dass die technologischen Entwicklungen seit dem Inkrafttreten des Datenschutzgesetzes im Jahr 1993 für den Datenschutz eine Herausforderung darstellen. Sie haben dazu geführt, dass die Menge an Informationen, die Zahl der Geräte und Anwendungen, die Daten produzieren, und die Möglichkeiten, wie diese Informationen erhoben, gespeichert und ausgewertet werden können, massiv zugenommen haben. Der Mensch hinterlässt in den unterschiedlichsten Lebensbereichen bewusst oder unbewusst Spuren, insbesondere im Internet. Zudem gewinnt die internationale Dimension von Datenbearbeitungen immer mehr an Bedeutung.

Diese Entwicklungen fordern die betroffenen Personen, die Datenbearbeitenden und 7

8

Das rechtsvergleichende Gutachten vom 19. November 2010 ist abrufbar unter: www.bj.admin.ch > Themen > Staat und Bürger > Evaluation > Bundesamt für Justiz: Evaluation.

Der Schlussbericht ist abrufbar unter: www.bj.admin.ch > Themen > Staat und Bürger > Evaluation > Bundesamt für Justiz: Evaluation.

341

den EDÖB heraus, insbesondere weil sie zu komplexen und intransparenten Situationen führen können: Die Zahl der Beteiligten nimmt zu, der Zweck und der Kontext der Datenbearbeitungen vervielfältigt sich, die Datenbearbeitungen erfolgen zum Teil durch Techniksysteme sowie grenzübergreifend und die Wirkungen dieser Bearbeitungen sind nur schwer abzuschätzen. Für die Betroffenen wird es dadurch immer schwieriger, einen Überblick über die persönlichen Daten, die von Dritten bearbeitet werden, zu behalten. Auch die vom EDÖB auszuübende Aufsichtsfunktion wird angesichts dieser immer häufiger, unübersichtlicher und internationalisierter erfolgenden Datenbearbeitungen erschwert.

Die Entwicklung hat zwar auch datenschutzfreundliche Technologien hervorgebracht, doch deren Verbreitung hält mit der Zunahme der Datenbearbeitungen nicht Schritt. Festzuhalten bleibt, dass neben diesen neuen, unübersichtlichen Konstellationen die Datenbearbeitungen mit klar ersichtlichen Bearbeitenden und mehr oder weniger transparenten Bearbeitungen weiterhin vorhanden sind und mengenmässig ebenfalls zugenommen haben.

Die grosse Mehrheit der öffentlichen und privaten Datenbearbeitenden ist einigermassen sensibilisiert für den Datenschutz und wendet die Bestimmungen des Datenschutzgesetzes an, wenn auch in pragmatischer Art und Weise. Ein Grund für den insgesamt eher pragmatischen Umgang mit den Vorschriften des Datenschutzgesetzes dürfte die verhältnismässig geringe Wahrscheinlichkeit einer Sanktion sein.

Gleichzeitig ergaben sich deutliche Hinweise, wonach vor allem das Risiko eines Imageschadens (bei privaten Bearbeitenden) oder eines Vertrauensverlustes (bei Bundesorganen) das Verhalten zugunsten des Datenschutzes zu beeinflussen vermag. Bei der Datenbearbeitung durch Bundesorgane wirken das Erfordernis einer gesetzlichen Grundlage und der damit verbundene transparente Entscheidungsprozess zusätzlich im Sinne des Datenschutzes.

Weiter kann aufgrund der vorliegenden empirischen Evidenz bilanziert werden, dass die betroffenen Personen die Persönlichkeit zwar schützen möchten, teilweise jedoch achtlos und überfordert sind. Laut der Bevölkerungsumfrage will die grosse Mehrheit der Bevölkerung an den neuen Möglichkeiten des Informationsaustauschs teilhaben. Gleichzeitig empfindet sie den Schutz ihrer persönlichen Daten als
wichtig, auch im Bereich der neuen unübersichtlichen Konstellationen im Internet. Dennoch schützen sich die Betroffenen selbst nicht immer konsequent, fühlen sich bisweilen überfordert oder unterschätzen die bestehenden Möglichkeiten der Datenbearbeitung und deren Risiken. Die bisweilen grosszügige Preisgabe persönlicher Daten dürfte auch damit zusammenhängen, dass das Risiko eines Datenmissbrauchs und seiner Folgen als diffus und unwahrscheinlich wahrgenommen wird, zumindest im Vergleich zum unmittelbaren Nutzen des jeweiligen Angebots.

3.2

Bekanntheit des Datenschutzgesetzes und Durchsetzungsrechte

Gemäss der Analyse der Rechtsprechung kommt es selten vor, dass betroffene Personen den Rechtsweg beschreiten, wobei es Unterschiede zwischen den verschiedenen Rechtsansprüchen gibt. Anwendungen neuer Technologien sind praktisch nie Gegenstand gerichtlicher Auseinandersetzungen. Von den Rechtsansprüchen wird das Recht auf Auskunft nach Artikel 8 des Datenschutzgesetzes (bei Bearbeitungen durch Bundesorgane) am häufigsten geltend gemacht. Dies gilt 342

insbesondere in Fällen, in denen betroffene Personen durch ein vorgängiges Verfahren besonders für die Datenbearbeitung sensibilisiert wurden. Datenbearbeitungen von Bundesorganen sind Gegenstand einiger Urteile der höheren Gerichte (Art. 25 DSG). Allerdings beziehen sich die meisten Begehren auf die Berichtigung (vermeintlich) unrichtiger Daten in einigen wenigen Sachbereichen. Soweit es um die Zulässigkeit einer Datenbearbeitung als solcher geht, steht in der Regel das Vorliegen einer ausreichenden gesetzlichen Grundlage zur Debatte. Nach den Ergebnissen der Evaluation werden die Durchsetzungsrechte gegenüber privaten Datenbearbeitenden (auf Berichtigung, Löschung, Sperrung und Vermerk von Daten nach Art. 15 DSG) nur selten beansprucht und erlangen nur zusammen mit Artikel 28 des Zivilgesetzbuchs Bedeutung.

Als mögliche Erklärungen für die geringe Nutzung der Durchsetzungsrechte können erstens die vermutlich eher geringe Bekanntheit der Durchsetzungsrechte und des Rechtswegs sowie das geringe Wissen über die Anwendung dieser Rechte genannt werden. Zweitens dürfte aus Sicht der Betroffenen ein vergleichsweise beträchtlicher Aufwand einer Klage einem diffusen und nicht gesicherten Nutzen bei ihrer Gutheissung gegenüberstehen. Je nach Situation kann der Rechtsweg für die Betroffenen auch mit spezifischen Risiken verbunden sein (z.B. Furcht vor einer Kündigung des Arbeitsverhältnisses).

3.3

EDÖB

Die Evaluation hat ergeben, dass der EDÖB seinen gesetzlichen Auftrag erfüllt und im Rahmen seiner Möglichkeiten eine hohe Wirksamkeit erzielt. Die äusseren Grenzen seiner Wirksamkeit sind teils gesetzlich und politisch vorgegeben, teils durch die Zunahme intransparenter und grenzüberschreitender Datenbearbeitungen bestimmt und nur schwer beeinflussbar. Anhand der verfügbaren Dokumente ist eine systematische Bilanzierung der Aktivitäten des EDÖB und der Wirkungen dieser Aktivitäten allerdings nur begrenzt möglich. Die Dokumentation seiner Aktivitäten erfolgte bislang nicht vollständig und ausserdem gegen aussen nicht durchgehend transparent. Im Einzelnen ergab die Evaluation die folgenden Ergebnisse: Der EDÖB übt seine Funktion unabhängig aus, ohne Weisungen einer Behörde zu erhalten (Art. 26 Abs. 3 DSG). In der Praxis wird seine Unabhängigkeit nicht bestritten. Im Rahmen der jüngsten Gesetzesrevision (die neusten Änderungen traten am 1. Dezember 2010 in Kraft) ist die formelle Unabhängigkeit des EDÖB von der Regierung und der Verwaltung leicht gestärkt worden, namentlich indem seine Wahl durch den Bundesrat neu vom Parlament genehmigt werden muss. Laut den Aussagen der Interviewpartnerinnen und -partner sind in der Praxis des EDÖB bisher nie Zweifel an seiner Unabhängigkeit gegenüber den staatlichen oder privaten Datenbearbeitenden aufgekommen.

Obwohl der EDÖB seine Tätigkeit stark auf Anfragen und Meldungen ausrichten muss, die bei ihm vorgebracht werden, versucht er, seine Aktivitäten im Rahmen des Möglichen an im Voraus festgesetzten Zielen auszurichten. Für die Triage und Priorisierung der Geschäfte im Alltag bestehen klare, aus dem Datenschutzgesetz abgeleitete Entscheidungskriterien. Seine Ressourcen verteilt der EDÖB ungefähr ausgewogen auf die drei Hauptaufgaben der Aufsicht, der Beratung und der Information respektive der Sensibilisierung.

343

Die Aufsichtstätigkeit des EDÖB erweist sich im Einzelfall als wirksam. Im Rahmen von Sachverhaltsabklärungen kann der EDÖB datenschutzgesetzkonforme Datenbearbeitungen sicherstellen. In der Mehrheit der Sachverhaltsabklärungen stellt er nur geringfügige Probleme fest, welche die Bearbeitenden anschliessend freiwillig beheben. Richtet der EDÖB bei grösseren Mängeln Empfehlungen an eine Datenbearbeitende oder einen Datenbearbeitenden, so werden diese grossmehrheitlich umgesetzt, entweder direkt oder nach einem Gerichtsentscheid. Die Aufsicht stösst freilich bei Bearbeitungen, die intransparent sind oder im Ausland erfolgen, an ihre Grenzen. Zum einen ist hier die Wahrnehmbarkeit von Missbräuchen, zum anderen der Zugriff auf die Bearbeitenden erschwert. Auch die allgemeine Zunahme von Datenbearbeitungen fordert den EDÖB heraus. Schliesslich ist die Breitenwirkung seiner Aufsicht nicht gesichert. Stellt der EDÖB im Rahmen einer Sachverhaltsabklärung bei einer oder einem Datenbearbeitenden Mängel fest, so macht er heute aus Ressourcengründen bei ähnlichen Bearbeitungen keine stichprobenartigen Kontrollen. Eine präventive Wirkung auf andere Datenbearbeitende entsteht somit am ehesten dort, wo ein Missstand öffentliches Interesse erregt und so sensibilisierend wirkt. Diese Wirkungsgrenzen des EDÖB reduzieren für die Datenbearbeitenden das Risiko, bei einem Verstoss gegen das Datenschutzgesetz vom EDÖB zur Rechenschaft gezogen zu werden.

Auch die Beratungs- und Informationstätigkeit des EDÖB erweist sich im Einzelfall als wirksam. Die Beratung, die der EDÖB im Einzelfall und auf Anfrage durchführt, wird ­ mit gewissen Abstrichen seitens der Bundesorgane ­ von den Bearbeitenden insgesamt als nützlich, praxisnah und konstruktiv bewertet. Die Qualität der Publikationen des EDÖB, die teilweise auch als «Soft Law» eine gewisse Bedeutung geniessen, beurteilten die befragten Datenbearbeitenden sowie Expertinnen und Experten überwiegend als gut bis sehr gut. Die zahlreichen Tipps, insbesondere an Betroffene, greifen häufig jene Themen auf, die sich der Aufsicht entziehen; hier versucht der EDÖB somit, den Selbstschutz zu fördern. Aufgrund seiner Doppelrolle als Aufsichts- und Beratungsorgan wird der EDÖB allerdings von einem Teil der Bearbeitenden für Beratungen gemieden, was seine Wirkung als Berater einschränken
dürfte.

Trotz beachtlicher Nutzungsziffern der Homepage kann insgesamt nicht von einer breiten direkten Sensibilisierungswirkung der Informationsangebote ausgegangen werden. In den Medien ist der EDÖB gut präsent, wobei es ihm allerdings nicht bei allen Themen gleich gut gelingt, das journalistische Interesse zu wecken. Es gibt Hinweise, dass viele registrierpflichtige Datensammlungen nicht im Register eingetragen sind, und dass viele Bearbeitungsreglemente fehlen oder mangelhaft sind. Die mit diesen Instrumenten bezweckten Wirkungen (mehr Transparenz für die Bevölkerung, Sensibilisierung der Datenbearbeitenden) dürften damit nur teilweise erreicht werden. Zu Gesetzgebungsvorhaben nimmt der EDÖB konsequent Stellung, wenn er datenschutzspezifische Probleme feststellt. Seine Anpassungsvorschläge dringen in der politischen Meinungsfindung in unterschiedlichem Ausmass durch.

344

3.4

Gesamtbilanz

Die Evaluationsergebnisse können anhand der folgenden Referenzgrössen eingeordnet werden: 1.

Ursprüngliche Erwartungen an das Datenschutzgesetz bei Inkrafttreten: Die Evaluation zeigt auf, dass das Datenschutzgesetz eine Sensibilisierungs- und Schutzwirkung zeitigt. Das Datenschutzgesetz erzielt insgesamt zweifellos eine gewisse Wirksamkeit. Insofern sind die ursprünglichen Erwartungen an das Datenschutzgesetz, soweit diese überhaupt feststellbar sind, zumindest teilweise erfüllt worden.9 Gleichzeitig muss festgehalten werden, dass die bisherigen Instrumente des Gesetzes durch die Mengenausweitung an Daten und die technologischen Entwicklungen geschwächt werden. Die Institutionalisierung des EDÖB erweist sich jedoch grundsätzlich als wirksames Instrument, um die Wirksamkeit des Gesetzes zu erhöhen, obwohl dessen Wirkungsmöglichkeiten in verschiedener Hinsicht an Grenzen stossen. Nur in beschränktem Ausmass entfalten hingegen die Durchsetzungsrechte Schutzwirkung zugunsten der Persönlichkeit von Personen, über die Daten bearbeitet werden.

2.

Erwartungen von Betroffenen und Bearbeitenden: Die Stossrichtung des Datenschutzgesetzes nimmt die Grundhaltung sowohl der Bevölkerung als auch der Bearbeitenden auf. Die Bevölkerung möchte an der Informationsgesellschaft teilnehmen, gleichzeitig aber auch darauf vertrauen können, dass eine unabhängige Stelle sie vor Datenmissbrauch schützt. Während also die Bevölkerung erwartet, dass der EDÖB seine Aufsichtsfunktion wahrnimmt, wünschen sich die Datenbearbeitenden von diesem primär fachliche Unterstützung bei der Umsetzung der gesetzlichen Vorschriften.

3.

Das Datenschutzgesetz im Rechtsvergleich: Die im Datenschutzgesetz verankerten Durchsetzungsrechte der Betroffenen sind vergleichsweise gut ausgebaut. Demgegenüber sind die Kompetenzen des EDÖB im internationalen Vergleich nicht besonders stark ausgestaltet.

In einer Gesamtbetrachtung kann bilanziert werden, dass das Datenschutzgesetz bezüglich der Herausforderungen, die bereits zum Zeitpunkt seines Inkrafttretens im Jahr 1993 bestanden, eine spürbare Schutzwirkung erzielt. Die Befunde der Evaluation deuten jedoch darauf hin, dass sich die Bedrohungen für den Datenschutz seit einigen Jahren akzentuieren, insbesondere aufgrund der fortschreitenden technologischen und gesellschaftlichen Entwicklungen.

3.5

Handlungsmöglichkeiten

Basierend auf den Befunden zu den Aktivitäten des EDÖB richten die mit der Evaluation betrauten Forscherinnen und Forscher praktische Empfehlungen an den EDÖB. Diese beziehen sich insbesondere auf die Dokumentation seiner Aktivitäten.

Ohne den Anspruch auf Vollständigkeit zu erheben und ohne eine vertiefte Prüfung vorgenommen zu haben, skizzieren die Forscherinnen und Forscher ferner einige Ideen für weiterreichende Handlungsmöglichkeiten, die allerdings bloss teilweise 9

Zu den Kernzielen des Datenschutzgesetzes siehe Ziff. 1.1.

345

auf den Ergebnissen der Evaluation beruhen und im Übrigen zu grossen Teilen von den gegenwärtigen europäischen Reformbestrebungen im Bereich des Datenschutzes inspiriert sind. Die Handlungsmöglichkeiten zielen zunächst auf eine Stärkung der Position der Betroffenen in der Auseinandersetzung mit den Datenbearbeitenden, unter anderem etwa über eine Ausweitung der Informationspflicht für Private über Datenbeschaffungen und -bearbeitungen sowie über die Einführung einer Verbandsklage. Als weitere Massnahme nennen die Forscherinnen und Forscher eine Stärkung der Aufsichtskompetenzen des EDÖB, etwa mittels einer Ausdehnung seiner Sanktionsmöglichkeiten und seiner Befugnisse bei der Informationsbeschaffung sowie über die Erhöhung seiner Ressourcen. In Bezug auf die Herausforderungen durch neue Technologien ziehen die Evaluatorinnen und Evaluatoren die folgenden Massnahmen in Erwägung: die Förderung des «Opt-in-Prinzips»10, die Überprüfung der gesetzlichen Begriffsdefinitionen «Personendaten» und «besonders schützenswerte Personendaten» sowie die Stärkung des Grundsatzes «Privacy by Design»11, etwa über die Einführung einer obligatorischen Vorabkontrolle bei geplanten neuen Datenbearbeitungen, wie sie bereits die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 199512 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr vorsieht. Die Umsetzung der meisten dieser weiterreichenden Handlungsmöglichkeiten würde eine Revision des Datenschutzgesetzes erfordern. Die Evaluatorinnen und Evaluatoren empfehlen deshalb, in die entsprechenden Reformüberlegungen die derzeit laufenden Reformentwicklungen auf Stufe EU und Europarat in inhaltlicher und zeitlicher Hinsicht einzubeziehen.

4

Zum Stand der Reformentwicklungen in der EU und beim Europarat

Die Reformentwicklungen in der EU und beim Europarat stehen derzeit auf dem folgenden Stand: Seitens der EU verabschiedete die Europäische Kommission nach einer ersten öffentlichen Konsultation und einer Stakeholder-Anhörung im November 2010 ihre Mitteilung «Gesamtkonzept für den Datenschutz in der EU»13. Der Rat der EU und das Europäische Parlament haben im Februar und im Juli 2011 zu den Vorschlägen der Kommission zustimmend Stellung genommen.14 Gestützt darauf wird die Europäische Kommission bis Anfang 2012 einen Legislativ10

11

12 13

14

346

Das «Opt-in-Prinzip» verlangt, dass (insbesondere) Internetanwendungen bezüglich der von der Benutzerin oder vom Benutzer zur Verfügung gestellten Daten auf eine minimale Verwendung voreingestellt sind und jede Ausweitung der Bearbeitung von der Benutzerin oder vom Benutzer explizit bewilligt werden muss.

Nach dem Grundsatz «Privacy by Design» sollen im Rahmen einer Gesamtkonzeption allfällige Datenschutzprobleme schon bei der Entwicklung neuer Technologien festgestellt und geprüft werden. Damit soll verhindert werden, dass bestehende Datenschutzprobleme lediglich nachträglich durch Korrekturprogramme behoben werden.

ABl. L 281 vom 23.11.1995, S. 31; s. Art. 20 Richtlinie 95/46/EG.

Mitteilung der Kommission vom 4. November 2010 an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen «Gesamtkonzept für den Datenschutz in der EU», KOM(2010) 609 endg.

Siehe Schlussfolgerungen des Rates der Europäischen Union «Justiz und Inneres» vom 24. und 25. Februar 2011 (abrufbar unter: www.consilium.europa.eu/uedocs/cms_data/docs/pressdata/en/jha/119461.pdf) sowie Entschliessung des Europäischen Parlaments vom 6. Juli 2011 zum Gesamtkonzept für den Datenschutz in der Europäischen Union, P7_TA-PROV(2011)0323.

vorschlag ausarbeiten. Hauptziele der Reform bilden die volle Verpflichtung zu einem Gesamtkonzept für den Datenschutz in der EU, die Stärkung der Rechte der betroffenen Personen, die Verbesserung der Durchsetzung von Datenschutzvorschriften und die Stärkung der Binnenmarkt- und der globalen Dimension des Datenschutzes: So sollen etwa die Grundsätze der Transparenz, Datensparsamkeit, Zweckbindung und die vorherige ausdrückliche Zustimmung in Kenntnis der Sachlage ausgebaut werden. Daneben sollen das Recht auf Zugang zu Daten, auf deren Berichtigung, Löschung oder Sperrung verbessert und das Recht auf Vergessen präzisiert werden. Weiter ist geplant, die Umsetzung des Konzepts «Privacy by Design», das auf dem Grundsatz der Datensparsamkeit beruhen solle, auf solide und konkrete Kriterien und Definitionen zu stützen, Selbstregulierungsinitiativen zu stärken, spezifische Formen des Schutzes besonders hilfsbedürftiger Personen, insbesondere von Kindern, bereitzustellen sowie strenge und abschreckende Sanktionen bei Datenmissbrauch vorzusehen. Schliesslich sollen die Rechtsstellung und die Befugnisse der nationalen Datenschutzbehörden gestärkt und harmonisiert sowie der Anwendungsbereich der allgemeinen Datenschutzbestimmungen auf die Bereiche der polizeilichen und justiziellen Zusammenarbeit ausgedehnt werden.

Beim Europarat hat das Ministerkomitee am 10. März 2010 seine Zustimmung zu den Arbeiten für eine Revision des Übereinkommens vom 28. Januar 198115 zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (Übereinkommen Nr. 108) erteilt.16 Der Europarat führte daraufhin zu Beginn dieses Jahres eine öffentliche Vernehmlassung durch. Gestützt auf deren Ergebnisse bereitet zurzeit das Konsultativkomitee des Übereinkommens Nr. 108 Revisionsvorschläge vor, die dem Ministerkomitee bis Ende 2012 vorgelegt werden sollen. Die Arbeiten werden koordiniert mit denjenigen, die in der EU laufen, um die Kohärenz zwischen den Bestimmungen des Europarats und der EU zu gewährleisten. Entsprechend haben auch die Arbeiten für die Revision des Übereinkommens Nr. 108 zum Ziel, den Schutz der betroffenen Personen zu stärken, indem das Übereinkommen an die technologischen Entwicklungen und die globale Dimension des Datenschutzes angepasst werden soll. In diesem Rahmen könnten der Grundsatz der
Datensparsamkeit, das Konzept «Privacy by Design» und eine Meldepflicht bei Datenschutzverletzungen in das Übereinkommen aufgenommen werden. Sodann könnten die Informationspflicht der Datenbearbeitenden und die Sanktionen bei Datenmissbrauch ausgebaut werden. Schliesslich sollen die Bestimmungen betreffend die grenzüberschreitende Datenbekanntgabe und die Kompetenzen der Aufsichtsbehörden und des Konsultativkomitees überdacht werden.

5

Schlussfolgerungen und weiteres Vorgehen

5.1

Allgemeine Beurteilung

Die Evaluation zeigt auf, dass sich das Datenschutzgesetz grundsätzlich bewährt.

Der EDÖB erzielt im Rahmen seiner Möglichkeiten einen wirksamen Schutz der Persönlichkeit von Personen, über die Daten bearbeitet werden, sowohl bei seiner 15 16

SR 0.235.1 Siehe Beschluss des Ministerkomitees des Europarats vom 10. März 2010 «Comité consultatif de la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel (STE n° 108)».

347

Aufsichts- als auch bei seiner Beratungs- und Informationstätigkeit. Dass die ihm zur Verfügung stehenden Instrumente effektiv greifen, zeigen beispielsweise seine Abklärungen und Empfehlungen zu den Strassenansichten im Internet.17 Der Umstand, dass gemäss den Evaluationsergebnissen die betroffenen Personen ihre Persönlichkeit zwar schützen möchten, im Bereich der neuen Möglichkeiten des Informationsaustauschs teilweise jedoch achtlos und überfordert sind, dürfte die Bedeutung des EDÖB inskünftig noch verstärken. Ferner sollte auch die Bedeutung der Durchsetzungsrechte der betroffenen Personen nicht unterschätzt werden, obwohl die Evaluation ergeben hat, dass die betroffenen Personen nur selten den Rechtsweg beschreiten. Die Durchsetzungsrechte dürften für die betroffenen Personen in bestimmten Konstellationen durchaus ein hilfreiches Instrument darstellen, um ihrem Recht auf Datenschutz Nachachtung zu verschaffen.18 Soweit die Evaluation schliesslich die weitgehende Technologieneutralität des Datenschutzgesetzes und dessen Ausgestaltung als Querschnittsgesetz untersuchte, fanden beide Konzeptionen Bestätigung.

Obschon das Datenschutzgesetz demgemäss eine spürbare Schutzwirkung erzielt, haben sich die Bedrohungen für den Datenschutz während den letzten Jahren akzentuiert. Hauptgrund bilden die technologischen und gesellschaftlichen Entwicklungen, die seit dem Inkrafttreten des Gesetzes vor knapp 20 Jahren in rasantem Tempo weiter vorangeschritten sind. Sie haben zu einer Vervielfachung der Möglichkeiten geführt, persönliche Daten zu erheben, miteinander zu verknüpfen, weiterzugeben und auszuwerten, wodurch der Schutz von Personendaten in neuem Ausmass gefährdet wird. So wird etwa die Kontrolle über die Datenspuren, die der Mensch in den unterschiedlichsten Lebensbereichen bewusst oder unbewusst hinterlässt, immer schwieriger. Neben diesen neuen Gefahren für den Schutz personenbezogener Daten führten die technologischen Entwicklungen aber auch zu einer enormen Zunahme der Nutzung von Informationstechnologien für den täglichen und oftmals unproblematischen Gebrauch.

Aufgrund dieser Entwicklungen ist der Bundesrat der Auffassung, dass vertieft zu prüfen ist, inwieweit Handlungsbedarf besteht und welcher Art dieser ist. Nach seiner Auffassung sollte der Datenschutz gestärkt werden, ohne dadurch die
Teilhabe von Bevölkerung, Wirtschaft und Gesellschaft an den neuen Kommunikationstechnologien und die weitere technologische Entwicklung zu gefährden. Einige Schutzmassnahmen können im Rahmen einer Verbesserung des Vollzugs des Datenschutzgesetzes getroffen werden (siehe Ziff. 5.3), während andere eine Anpassung des Datenschutzgesetzes erfordern (siehe Ziff. 5.2).

17

18

348

Nachdem die Firma Google seine Empfehlungen zur datenschutzkonformen Ausgestaltung von Street View nicht befolgen wollte, hat er die Angelegenheit dem Bundesverwaltungsgericht zur Entscheidung vorgelegt. Dieses hat seine Forderungen in allen wesentlichen Punkten gutgeheissen (siehe Urteil des Bundesverwaltungsgerichts vom 30. März 2011, BVGer A-7040/2009). Die Firma Google hat den Entscheid an das Bundesgericht weitergezogen, dessen Urteil noch aussteht.

Zu den praktischen Fällen der Nutzung der Durchsetzungsrechte siehe Ziff. 3.2.

5.2

Gesetzgeberische Massnahmen

5.2.1

Zum gesetzgeberischen Handlungsbedarf und zum geplanten Vorgehen

Nach der Auffassung des Bundesrates sollte das Datenschutzgesetz an die seit seinem Inkrafttreten rasanten technologischen und gesellschaftlichen Entwicklungen angepasst werden. Auch wenn sich das Gesetz gemäss den Evaluationsergebnissen grundsätzlich bewährt, vermag es in bestimmten Konstellationen den Schutz der Persönlichkeit nicht mehr genügend zu gewährleisten. Vier Entwicklungen stehen dabei im Vordergrund: Erstens ist es zu einer Zunahme von Datenbearbeitungen gekommen, was insgesamt zu einem grösseren Missbrauchspotenzial führt. Zweitens sind zu den weiterhin vorkommenden Bearbeitungen, die gut identifizierbar sind, solche hinzugekommen, die weder für die Betroffenen noch für den EDÖB ohne Weiteres erkennbar sind. Diese intransparenten Bearbeitungen erschweren den Selbstschutz der Betroffenen und die Kontrolle durch das Aufsichtsorgan. Drittens treten insbesondere mit dem Internet zunehmend private Datenbearbeitende auf, die vom Ausland her grenzüberschreitend agieren und sich so dem Zugriff der Betroffenen und des EDÖB weitgehend entziehen. Viertens können im Zeitalter des Internets einmal bekannt gegebene Daten oftmals kaum mehr kontrolliert werden. Das Recht auf Vergessen und das Berichtigungsrecht werden dadurch relativiert. Der Bundesrat wird daher unter Berücksichtigung der Ergebnisse der Evaluation vertieft prüfen, welche gesetzgeberischen Massnahmen gegen diese neuen Bedrohungen für den Datenschutz getroffen werden können.

Dabei wird er dem Umstand Rechnung tragen, dass zurzeit in der EU und beim Europarat Arbeiten für die Revision der entsprechenden Datenschutzübereinkommen im Gang sind, deren Ergebnisse voraussichtlich innerhalb der nächsten zwei bis vier Jahre vorliegen werden. Beim Europarat ist insbesondere das Übereinkommen Nr. 108 zu erwähnen, das die Schweiz ratifizierte. Bei der EU ist insbesondere die Richtlinie 95/46/EG zu erwähnen. Gerade eine Revision dieser Richtlinie könnte die Schweiz im Anwendungsbereich der Schengen/Dublin-Assoziierungsabkommen zu einer raschen Umsetzung der geänderten Bestimmungen ins nationale Recht verpflichten. Der Bundesrat ist deshalb in Übereinstimmung mit den Evaluatorinnen und Evaluatoren der Auffassung, dass die Entwicklungen auf Stufe EU und Europarat in die nationalen Reformüberlegungen einbezogen werden müssen.

5.2.2

Zu den Zielsetzungen der Revisionsarbeiten

Nach der Meinung des Bundesrates sollte Hauptziel der Revision des Datenschutzgesetzes die Anpassung desselben an die technologischen und gesellschaftlichen Entwicklungen seit seinem Inkrafttreten sein. Entsprechend beabsichtigt der Bundesrat, seine Reformüberlegungen schwergewichtig auf die mit den technologischen und gesellschaftlichen Entwicklungen verbundenen vier zentralen Problembereiche auszurichten; 1. auf die Zunahme von Datenbearbeitungen; 2. auf die Datenbearbeitungen, die weder für die Betroffenen noch für den EDÖB ohne Weiteres erkennbar sind; 3. auf die zunehmend internationale Dimension von Datenbearbeitungen; 4. auf die zunehmende Schwierigkeit, einmal bekannt gegebene Daten weiterhin kontrollieren zu können. Vor diesem Hintergrund möchte der Bundesrat unter-

349

suchen, mit welchen Massnahmen insbesondere die folgenden Zielsetzungen erreicht werden können: ­

früheres Greifen des Datenschutzes: Im Rahmen einer Gesamtkonzeption sollen allfällige Datenschutzprobleme soweit sinnvoll und möglich schon bei der Entwicklung neuer Technologien festgestellt und geprüft werden. Damit soll verhindert werden, dass bestehende Datenschutzprobleme lediglich nachträglich durch Korrekturprogramme behoben werden (Vertiefung des Konzepts «Privacy by Design»). Daneben sollen datenschutzfreundliche Technologien gefördert werden.

­

verstärkte Sensibilisierung der betroffenen Personen: Die betroffenen Personen sollen stärker für die mit den technologischen Entwicklungen einhergehenden Risiken für den Persönlichkeitsschutz sensibilisiert werden.

­

Erhöhung der Transparenz: Die Transparenz über Datenbearbeitungen soll erhöht werden, insbesondere in den neuen komplexen Konstellationen, in denen Datenbearbeitungen weder für die Betroffenen noch für den EDÖB ohne Weiteres erkennbar sind. Dabei wird aber im Auge zu behalten sein, dass die betroffenen Personen nicht mittels einer Informationsflut überfordert werden.

­

Verbesserung der Datenkontrolle und -herrschaft: Die Kontrolle und die Herrschaft über einmal bekannt gegebene Daten sind ein wichtiger Aspekt.

Es soll geprüft werden, ob die Aufsichtsmechanismen des EDÖB gestärkt und ob die Rechtsansprüche der Betroffenen sowie deren Durchsetzung an die aufgrund der technologischen Entwicklungen veränderten Verhältnisse angepasst werden sollten. In diesem Zusammenhang sind etwa eine Stärkung der kollektiven Rechtsdurchsetzung und eine Präzisierung des Rechts auf Vergessen zu erwägen.

­

Schutz von Minderjährigen: Dem Umstand, dass sich Minderjährige der Risiken und Folgen der Verarbeitung personenbezogener Daten weniger bewusst sind als Erwachsene, soll Rechnung getragen werden.

Der Bundesrat wird in die Überlegungen auch Handlungsmöglichkeiten einbeziehen, die im Rahmen der Evaluation nicht oder nur am Rand untersucht wurden. Dazu gehören etwa die Kompetenz- und Aufgabenverteilung zwischen Bund und Kantonen im Bereich der Gesetzgebung und des Vollzugs, zu der in der wissenschaftlichen Literatur neue Überlegungen präsentiert werden.19 Ferner wird der Bundesrat untersuchen, ob und inwieweit die Unabhängigkeit des EDÖB noch verstärkt werden sollte. Als prüfungswürdig erachtet der Bundesrat auch einen Ausbau des Instruments der Selbstregulierung, etwa indem Branchenorganisationen eine «gute Praxis» definieren könnten, die anschliessend vom EDÖB genehmigt werden könnte.

19

350

Siehe Stephan C. Brunner, Mit rostiger Flinte unterwegs in virtuellen Welten?, Leitgedanken zur künftigen Entwicklung des schweizerischen Datenschutzrechts, in: Jusletter 4. April 2011, Rz. 23 f.; Beat Rudin, Ein Datenschutzgesetz ­ eine neue Aufsicht, Wege zur Verbesserung der Effizienz und Effektivität des Persönlichkeits- und Grundrechtsschutzes, in: digma, Heft 1, März 2011, S. 18 ff.

Die skizzierten Zielsetzungen der Revisionsarbeiten stehen weitgehend in Einklang mit den Reformentwicklungen in der EU und beim Europarat.20 Ferner wird der Bundesrat bei der Prüfung möglicher gesetzgeberischer Massnahmen stets dem Umstand Rechnung tragen, dass datenschutzrechtliche Massnahmen mit anderen Interessen kollidieren können und deshalb in seine Prüfung neben dem Persönlichkeitsschutz auch alle weiteren betroffenen Interessen, insbesondere die Interessen der Wirtschaft, das Recht auf Meinungs- und Informationsfreiheit sowie weitere private und öffentliche Interessen, einbeziehen. Bereits im Rahmen seiner Strategie vom Januar 200621 für eine Informationsgesellschaft in der Schweiz erwähnte der Bundesrat, die Datenschutzgesetzgebung sei zwar wirkungsorientiert, jedoch unter Berücksichtigung des Verhältnismässigkeitsprinzips auszugestalten.

5.3

Erweiterung der Berichterstattung des EDÖB

Das Forschungsteam, das die Evaluation durchführte, schlägt in seinem Schlussbericht vom 10. März 201122 Verbesserungen der Dokumentation der Aktivitäten des EDÖB vor. Der EDÖB legt nach eigenen Angaben grosses Gewicht auf die Transparenz seiner Aktivitäten und informiert im Rahmen von Artikel 30 des Datenschutzgesetzes die Bundesversammlung und die Öffentlichkeit regelmässig über seine Feststellungen und Empfehlungen. Er wird jedoch im Rahmen der Einführung des neuen Datenverwaltungssystems GEVER23 prüfen, wie er im Sinne der Empfehlungen der Expertinnen und Experten die Dokumentation seiner Aktivitäten noch verbessern kann. Ferner empfiehlt das Forschungsteam, dass der EDÖB seinen Tätigkeitsbericht um ein Kapitel ergänzt, in dem er eine Bilanz seiner Aktivitäten und seines Erfolgs zieht und die wichtigsten Entwicklungen und Herausforderungen im Bereich des Datenschutzes thematisiert und analysiert. Auch hier vertritt der EDÖB die Auffassung, er trage dieser Empfehlung bereits zu weiten Teilen Rechnung. Er wird seinen Tätigkeitsbericht jedoch entsprechend ergänzen.

6

Teilweise Erfüllung der Postulate Hodgers und Graber

Im Rahmen der Evaluation wurden unter anderem die Auswirkungen der technologischen Entwicklungen auf den Datenschutz untersucht. Die Evaluation hat ergeben, dass die technologischen Entwicklungen den Schutz der Persönlichkeit und der Grundrechte herausfordern. Der Bundesrat stellt unter Ziffer 5 dar, inwieweit er durch diese Entwicklungen die Risiken für Verletzungen der Privatsphäre als gestiegen erachtet. Er kommt in der Folge zum Schluss, dass das Datenschutzgesetz revidiert werden sollte, um den neuen Bedrohungen Rechnung tragen zu können und zeigt das dafür geplante weitere Vorgehen auf. Mit dem vorliegenden Bericht beantwortet er damit die Fragen a) und d) des Postulats Graber vom 14. September

20 21 22 23

Zum Stand der Reformentwicklungen in der EU und beim Europarat siehe Ziff. 4.

Siehe S. 5 der Strategie des Bundesrates für eine Informationsgesellschaft in der Schweiz.

Siehe Schlussbericht zur Evaluation des Bundesgesetzes über den Datenschutz, S. 216 f.

Das Datenverwaltungssystem GEVER Bund hat eine Modernisierung der Aktenführung und Informationsverwaltung in der Bundesverwaltung zum Gegenstand.

351

2010 (10.3651 «Angriff auf die Privatsphäre und indirekte Bedrohungen für die persönliche Freiheit»).

Die Evaluation und der vorliegende Bericht bieten ferner eine erste Grundlage für die Anpassung des Datenschutzgesetzes an die neuen Technologien im Sinne des Postulats Hodgers vom 8. Juni 2010 (10.3383 «Anpassung des Datenschutzgesetzes an die neuen Technologien») und im Sinne von Frage b) des Postulats Graber. Wie unter Ziffer 5 ausgeführt, wird der Bundesrat unter Berücksichtigung der Ergebnisse der Evaluation, der dem Datenschutz entgegenstehenden Interessen sowie der Entwicklungen in der EU und beim Europarat nun vertieft prüfen, welche gesetzgeberischen Massnahmen getroffen werden können, um das Datenschutzgesetz an die neuen Bedrohungen anzupassen. Unter Ziffer 5.2.2 hat er bereits die Zielsetzungen umrissen, an denen sich die Revisionsarbeiten nach seiner Auffassung ausrichten sollten.

Zur Frage c) des Postulats Graber kann sich der Bundesrat wie folgt äussern: Einschränkungen von Grundrechten sind nach Artikel 36 Absätze 1­3 BV zulässig, wenn sie auf einer gesetzlichen Grundlage beruhen, durch ein anerkanntes öffentliches Interesse gerechtfertigt und verhältnismässig sind. Nach Artikel 36 Absatz 4 BV ist der Kerngehalt der Grundrechte jedoch unantastbar. Die Anerkennung eines grundrechtlichen Kerngehalts bedeutet, dass die Abwägung im Rahmen der Verhältnismässigkeit an einem bestimmten Punkt aufhören muss und jede weitere Einschränkung zu unterbleiben hat, unabhängig von der Qualifikation des öffentlichen Interesses und der Frage der Verhältnismässigkeit des Eingriffs.24 Der Inhalt von Kerngehalten ergibt sich jedoch nicht aus Artikel 36 Absatz 4 BV, sondern aus der Analyse der einzelnen Grundrechtsgarantien, wobei heute nicht gesichert ist, ob alle Grundrechte einen Kerngehalt aufweisen.25 Der Anspruch auf Datenschutz wird in Artikel 13 Absatz 2 BV als Teilgehalt des Schutzes der Privatsphäre grundrechtlich garantiert. Entgegen dem engen Wortlaut bietet Absatz 2 nicht nur Schutz vor Datenmissbrauch, sondern auch vor jeder Beeinträchtigung, die durch die staatliche Bearbeitung persönlicher Daten entsteht.26 Die Verfassungsbestimmung selbst fixiert keine Kerngehaltsgarantie. Auch Lehre und Rechtsprechung haben bislang keinen Kerngehalt der Garantie nach Artikel 13 Absatz 2 BV
herausgearbeitet. Der Bundesrat erachtet es nicht als zweckmässig, neu einen Kerngehalt des Anspruchs auf Datenschutz in der Verfassung zu verankern. Vielmehr sollte, wie dies bei den meisten anderen Grundrechten auch der Fall ist, weiterhin der Rechtsprechung überlassen werden, die zulässigen Einschränkungen des Anspruchs zu bestimmen.

24

25 26

352

Jörg Paul Müller, Allgemeine Bemerkungen zu den Grundrechten, in: Daniel Thürer / Jean-François Aubert / Jörg Paul Müller (Hrsg.), Verfassungsrecht der Schweiz, Zürich 2001, S. 643.

Giovanni Biaggini, BV Kommentar, Bundesverfassung der Schweizerischen Eidgenossenschaft, Zürich 2007, S. 264.

Siehe BGE 128 II 259 268; Rainer J. Schweizer, Art. 13, in: Die Schweizerische Bundesverfassung, Kommentar, Hrsg. von Bernhard Ehrenzeller et al., 2. Auflage, Zürich/St. Gallen 2008, S. 324 f.