09.089 Botschaft zur Änderung des Regierungs- und Verwaltungsorganisationsgesetzes (Datenschutz bei der Nutzung der elektronischen Infrastruktur) vom 27. November 2009
Sehr geehrte Frau Nationalratspräsidentin Sehr geehrte Frau Ständeratspräsidentin Sehr geehrte Damen und Herren Mit dieser Botschaft unterbreiten wir Ihnen, mit dem Antrag auf Zustimmung, den Entwurf zur Änderung des Regierungs- und Verwaltungsorganisationsgesetzes (RVOG) mit Vorschriften zur Datenbearbeitung bei der Nutzung der elektronischen Infrastruktur.
Wir versichern Sie, sehr geehrte Frau Nationalratspräsidentin, sehr geehrte Frau Ständeratspräsidentin, sehr geehrte Damen und Herren, unserer vorzüglichen Hochachtung.
27. November 2009
Im Namen des Schweizerischen Bundesrates Der Bundespräsident: Hans-Rudolf Merz Die Bundeskanzlerin: Corina Casanova
2009-1729
8513
Übersicht Mit dieser Vorlage beantragt der Bundesrat dem Parlament, im Regierungs- und Verwaltungsorganisationsgesetz (RVOG) und in den Gesetzen über die eidgenössischen richterlichen Behörden die nötigen formell-gesetzlichen Grundlagen für die Bearbeitung von Personendaten zu schaffen, die bei der Benutzung der Infrastruktur der Verwaltung anfallen.
In der heutigen Arbeitswelt sind zahlreiche elektronische Hilfsmittel nicht mehr wegzudenken. Dies gilt auch für die Verwaltung: Die Bundesorgane stellen nicht nur Telefon und Computer zur Verfügung, sondern setzen auch zahlreiche weitere Instrumente ein. Die Benützung dieser elektronischen Infrastruktur hinterlässt zwangsläufig Spuren, die Rückschlüsse auf die Benutzerinnen und Benutzer zulassen.
Verschiedene Gesetze erlauben unter bestimmten Voraussetzungen die Aufzeichnung und Auswertung von Daten, die im Zusammenhang mit der Nutzung der elektronischen Infrastruktur entstehen, z.B. im Rahmen eines Strafverfahrens. Nicht geregelt ist jedoch der Umgang der Bundesverwaltung mit Inhalts- und mit sogenannten Randdaten im Rahmen ihrer ordentlichen Tätigkeit. Aus der Sicht des Datenschutzes ist die Bearbeitung von besonders schützenswerten Personendaten nur zulässig, wenn dazu eine formell-gesetzliche Grundlage besteht. Mit den hier vorgeschlagenen Bestimmungen im Regierungs- und Verwaltungsorganisationsgesetz wird diese Lücke geschlossen.
Die Vorlage geht vom Grundsatz aus, dass die Bundesorgane Personendaten, die bei der Benutzung der elektronischen Infrastruktur anfallen, grundsätzlich nicht bearbeiten dürfen. Vorbehalten bleibt die Aufzeichnung bestimmter Daten und deren Auswertung zu den im Gesetz abschliessend aufgezählten Zwecken. Zusammenfassend geht es darum, die für technische, statistische und organisatorische Zwecke benötigten Daten freizugeben, soweit dies für das Funktionieren der Bundesverwaltung erforderlich ist. Dabei gelten für die personenbezogene Auswertung strengere Massstäbe als für Analysen, deren Ergebnisse ausschliesslich anonymisierte Daten enthalten. Das Gesetz regelt nur die Grundzüge. Die Aufbewahrung und die Vernichtung der Daten, der Zugriff auf die Daten und weitere Modalitäten sollen auf Verordnungsebene bestimmt werden.
8514
Botschaft 1
Grundzüge der Vorlage
1.1
Verwendung elektronischer Hilfsmittel in der Arbeitswelt des Bundes
In der heutigen Arbeitswelt sind zahlreiche elektronische Hilfsmittel nicht mehr wegzudenken. So stellen auch die Bundesorgane nicht nur Telefon und Computer zur Verfügung, sondern setzen oft viele weitere Instrumente ein wie beispielsweise elektronische Arbeitszeiterfassungsgeräte, Videokameras, Navigationsgeräte usw.
Benützt werden diese Geräte vor allem von den Angestellten des Bundes, aber nicht nur; auch externe Personen wie beigezogene Fachleute, externes Servicepersonal, kantonale Behörden und Militärdienst leistende Personen gehören zum Benutzerkreis.
Die Benützung der elektronischen Infrastruktur des Bundes hinterlässt zwangsläufig Spuren. Insbesondere werden mindestens kurzfristig sogenannte Randdaten erfasst, also jene Daten, die bei der Nutzung der elektronischen Infrastruktur (insbes.
beim Auf- und Abbau elektronischer Verbindungen) entstehen. Dazu gehören insbesondere Protokoll-Dateien (log files), die beispielsweise festhalten, wann zwischen welchen Teilnehmerinnen und Teilnehmern eine Telefonverbindung aufgebaut oder wann von welchem Computer welche Internetseite aufgerufen wurde. Diese Randdaten, aber auch Inhaltsdaten können personenbezogen ausgewertet werden. Zum Teil handelt es sich um besonders schützenswerte Personendaten. Die Auswertung lässt mithin teilweise die Erstellung von Persönlichkeitsprofilen zu.
1.2
Fehlende Grundlage für die Datenbearbeitung
Aus der Sicht des Datenschutzes ist die Datenbearbeitung, insbesondere die Bearbeitung sensibler Personendaten, nur zulässig, wenn bestimmte gesetzliche Voraussetzungen erfüllt sind. Das Bundesamt für Justiz (BJ) hat im Auftrag des Eidgenössischen Justiz- und Polizeidepartements am 20. Oktober 2005 ein Gutachten zu «Rechtlichen Fragen in Zusammenhang mit der Aufbewahrung von Kommunikationsdaten» verfasst. Das BJ kommt darin zum Schluss, dass auch das Aufbewahren (Speichern) der Randdaten elektronischer Kommunikation eine Form der Bearbeitung von Personendaten im Sinne von Artikel 17 des Bundesgesetzes vom 19. Juni 19921 über den Datenschutz (DSG) darstellt und deshalb einer formellgesetzlichen Grundlage bedarf. Für die Bundesorgane fehlt zurzeit eine solche Grundlage. Mit der vorliegenden Revisionsvorlage soll mit andern Worten eine formellgesetzliche Grundlage geschaffen werden für Datenbearbeitungen, die zum grössten Teil bereits heute stattfinden.
1
SR 235.1
8515
1.3
Erarbeitung eines Vorentwurfs
Aufgrund des erwähnten Gutachtens hat sich die Generalsekretärenkonferenz für die Schaffung der erforderlichen Rechtsgrundlagen ausgesprochen. Im Auftrag des Eidgenössischen Justiz- und Polizeidepartements erarbeitete das Bundesamt für Justiz einen Vorentwurf, unter Beizug einer interdepartementalen Arbeitsgruppe, in der die Bundeskanzlei, das Bundesamt für Informatik und Telekommunikation, das Eidgenössische Personalamt, das Informatikstrategieorgan Bund sowie der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte vertreten waren.
Im Dezember 2008 eröffnete der Bundesrat ein Vernehmlassungsverfahren; Kantone, Parteien, Dachverbände und einige Fachorganisationen wurden aufgefordert, bis Ende März 2009 zum Vorentwurf Stellung zu nehmen.
Die Vernehmlasser begrüssten fast ausnahmslos eine Regelung der Datenbearbeitung durch die Ergänzung des Regierungs- und Verwaltungsorganisationsgesetzes vom 21. März 19972 (RVOG). Etliche wünschten indessen eine präzisere Umschreibung der zulässigen Datenbearbeitung; eine Pauschalermächtigung zur Datenaufzeichnung geht ihnen aus grundrechtlichen Überlegungen zu weit.
Aufgrund der Ergebnisse des Vernehmlassungsverfahrens wurde der Vorentwurf in Zusammenarbeit mit der interdepartementalen Arbeitsgruppe überarbeitet. Im Vordergrund stand dabei das Anliegen, die Voraussetzungen für die Zulässigkeit der Aufzeichnung bestimmter Daten und deren Auswertung sowie das Zusammenspiel mit bestehenden, strengeren Normen genauer zu regeln. Aufgrund der vorgebrachten Kritik wurde insofern ein Systemwechsel vollzogen, als die generelle Aufzeichnungserlaubnis mit eingeschränkter Erlaubnis zur weiteren Bearbeitung ersetzt wurde durch ein generelles Verbot der Datenaufzeichnung und -auswertung, verbunden mit einem Ausnahmekatalog, der die Aufzeichnung und Auswertung zu den im Gesetz abschliessend genannten Zwecken erlaubt.
1.4
Konzept und Grundzüge des Entwurfs
Mit den hier vorgeschlagenen Bestimmungen soll die erwähnte Lücke in der Gesetzgebung geschlossen werden. Personendaten, die bei der Benutzung der elektronischen Infrastruktur anfallen, dürfen grundsätzlich nicht aufgezeichnet und ausgewertet werden. Vorbehalten bleibt die Aufzeichnung und Auswertung zu abschliessend aufgezählten Zwecken. Die vorgeschlagene Regelung verfolgt zwei Ziele: Sie soll einerseits die Benützerinnen und Benützer dieser Infrastruktur vor unzulässiger Datenbearbeitung durch den Betreiber der Infrastruktur schützen.
Andererseits soll den Betreibern die nötige gesetzliche Grundlage geschaffen werden, damit sie die als notwendig erachteten Aufzeichnungen bestimmter Daten und deren Auswertung rechtmässig vornehmen können.
Die Regelung ist indessen subsidiär. Datenschutzbestimmungen in anderen Bundesgesetzen wie z.B. über die Überwachung von Telefongesprächen gehen vor (vgl.
z.B. BG vom 6. Oktober 20003 betreffend die Überwachung des Post- und Fern-
2 3
SR 172.010 SR 780.1
8516
meldeverkehrs, BÜPF; Bundesgesetz vom 21. März 19974 über Massnahmen zur Wahrung der inneren Sicherheit, BWIS). Die Aufzeichnung und die weitere Bearbeitung der Personendaten ist in diesen Fällen nur erlaubt, wenn die Voraussetzungen gemäss Spezialgesetz erfüllt sind.
Die neuen Datenschutzbestimmungen sollen nicht in einem eigenen Erlass geregelt, sondern in ein bestehendes Gesetz eingefügt werden. In Frage kommen insbesondere das DSG, das Bundespersonalgesetz vom 24. März 20005 (BPG) und das RVOG.
Das DSG gilt nach der heutigen Struktur als allgemeines Gesetz. Mit einer Beschränkung des Geltungsbereichs auf die Bundesorgane als Betreiber der elektronischen Infrastruktur des Bundes, wie es die vorgeschlagene Regelung vorsieht, würde dieses Konzept durchbrochen, was unerwünscht ist. Aus diesem Grund wird von einer Revision des DSG abgesehen. Das BPG erfasst die Angestellten des Bundes. Die elektronische Infrastruktur des Bundes steht zwar hauptsächlich, aber nicht nur den Angestellten des Bundes zur Verfügung. Sie wird auch von zahlreichen Personen benutzt, die nicht vom Bund angestellt sind (z.B. Expertinnen und Experten, Besucher, Armeeangehörige, kantonale Behörden). Deshalb ist auch das BPG zur Verankerung der neuen Bestimmungen weniger geeignet. Demgegenüber ist das RVOG der am besten geeignete Erlass: Sein Geltungsbereich ist verhältnismässig weit umschrieben, und dieses Gesetz enthält bereits eine Datenschutzbestimmung zu einer verwandten Frage, nämlich der Datenbearbeitung im Rahmen der Geschäftsverwaltung (Art. 57h), die sich an die «Bundesorgane» richtet. Vorgeschlagen wird deshalb eine Ergänzung des RVOG, die an die erwähnte Bestimmung anschliesst.
Die Neuregelung enthält zunächst ein Verbot: Bundesorgane dürfen die bei der Nutzung der Infrastruktur anfallenden Personendaten nicht aufzeichnen und auswerten. Vier weitere Bestimmungen enthalten die Ausnahmen von diesem Grundsatz.
Die Aufzeichnung der Daten und deren Auswertung ist nur zu den im Gesetz abschliessend genannten Zwecken erlaubt. Dieses Konzept führt dazu, dass das datenbearbeitende Bundesorgan nachweisen muss, dass es zur Datenbearbeitung legitimiert ist. Dieses Regelungskonzept ist aufgrund der Vernehmlassungsergebnisse gewählt worden. Der Vorentwurf hatte demgegenüber vorgesehen, dass Bundesorgane grundsätzlich alle Daten
aufzeichnen dürfen, die anlässlich der Benutzung der elektronischen Infrastruktur des Bundes entstehen, wobei die weitere Datenbearbeitung eingeschränkt war. Bei den zulässigen Auswertungszwecken wird differenziert: Für personenbezogene Auswertungen gelten strengere Voraussetzungen als für nicht personenbezogene Analysen, deren Ergebnisse ausschliesslich anonymisierte Daten enthalten. Die Aufbewahrungsfristen werden auf Verordnungsstufe geregelt. Geplant ist eine nach Datentyp differenzierte maximale Aufbewahrungsfrist, die nur unter bestimmten Voraussetzungen verlängert werden darf.
Auf Gesetzesstufe wird keine Verpflichtung zum Erlass von Reglementen zur Nutzung der elektronischen Infrastruktur des Bundes aufgenommen. Diesem Anliegen kann auf Verordnungsstufe entsprochen werden.
4 5
SR 120 SR 172.220.1
8517
2
Erläuterungen zu den einzelnen Bestimmungen
2.1
Verhältnis der neuen Bestimmungen zum bestehenden Artikel 57h
Die im Jahre 2000 eingefügte Bestimmung von Artikel 57h bildet die gesetzliche Grundlage für die Bearbeitung von schützenswerten Personendaten durch Bundesorgane mittels Informations- und Dokumentationssystemen, die der Registrierung, der Verwaltung, der Indexierung und der Kontrolle von Schriftverkehr und Geschäften dienen. Mit dieser gesetzlichen Grundlage wird ein wichtiger Teil der Verwaltungstätigkeit erfasst und ist eine Vielzahl der Verwaltungstätigkeiten wie beispielsweise das Führen eines elektronischen Registratursystems für die laufenden Geschäfte oder die Bearbeitung und Beantwortung elektronischer Anfragen abgedeckt.
Mit den nachfolgend beschriebenen Bestimmungen sollen die bestehenden Lücken im Datenschutz bei der Nutzung der elektronischen Infrastruktur geschlossen werden. Sie betreffen in erster Linie sogenannte Randdaten, teils aber auch den Inhalt von Mitteilungen (z.B. Betreff und Text einer E-Mail, Inhalt von Word-Dokumenten).
2.2
Erläuterungen zu den einzelnen Artikeln
Ingress Das geltende RVOG bezieht sich im Ingress noch auf Artikel 85 Ziffer 1 der alten Bundesverfassung vom 29. Mai 1874. Auf die aktuelle Verfassungsbestimmung wird lediglich in einer Fussnote hingewiesen. Die vorliegende Revision wird nun zum Anlass genommen, den Ingress zu aktualisieren und Artikel 173 Absatz 2 der Bundesverfassung vom 18. April 19996 als verfassungsmässige Grundlage des RVOG zu erwähnen.
Art. 57i
Verhältnis zu anderem Bundesrecht
Die Bestimmung regelt die Schnittstellen zu anderen Gesetzen, die sich mit der Aufzeichnung und Auswertung von Daten befassen, die bei der Nutzung der elektronischen Infrastruktur anfallen. Diese speziellen Gesetze, die Aufzeichnung und Auswertung solcher Personendaten nur unter strengen Voraussetzungen und in der Regel nur auf behördliche Anordnung hin zulassen, gehen der vorliegenden Regelung vor.
Insbesondere gelten weiterhin folgende Spezialregeln:
6
Die Überwachung des Post- und Fernmeldeverkehrs im Zusammenhang mit einem Strafverfahren, einem Rechtshilfeverfahren oder zur Suche und Rettung einer vermissten Person richtet sich nach dem BÜPF. Weiterhin möglich ist im Übrigen die Aufzeichnung von Gesprächen, sofern die Einwilligung der Gesprächsteilnehmerinnen und -teilnehmer vorliegt, z.B. im Zusammenhang mit der Qualitätskontrolle in einem Call-Center.
SR 101
8518
Die Durchsuchung von Ton-, Bild- und anderen Aufzeichnungen, Datenträgern sowie Anlagen zur Verarbeitung und Speicherung von Informationen im Zusammenhang mit einem Strafverfahren wird sich ab Inkrafttreten der Strafprozessordnung vom 5. Oktober 20077 nach deren Artikeln 246 ff.
richten; für die Anordnung geheimer Überwachungen z.B. mit Video oder gestützt auf GPS-Peilsender sind die Artikel 269 ff. StPO massgebend.
Für entsprechende Durchsuchungen in einem Disziplinarverfahren im Rahmen des Bundespersonalrechts gelten ähnliche Regeln (vgl. Art. 25 BPG, Art. 98 der Bundespersonalverordnung vom 3. Juli 20018, BPV); das erstinstanzliche Disziplinarverfahren wird durch das Bundesgesetzgesetz vom 20. Dezember 19689 über das Verwaltungsverfahren (VwVG) geregelt, welches ergänzend auf das Zivilprozessrecht des Bundes verweist (vgl. Art. 12 und 19 VwVG).
Besondere Regeln sieht ferner auch das Fernmeldegesetz vom 30. April 199710 (FMG) vor, z.B. im Hinblick auf Standortdaten (vgl. Art. 4346 FMG).
Besondere Regeln für die Informationsbeschaffung und Datenbearbeitung im Zusammenhang mit der inneren Sicherheit sieht das BWIS vor.
Die Informationsbeschaffung und die Datenbearbeitung im Zusammenhang mit den Bundessteuern und -abgaben richten sich nach dem Bundesgesetz vom 14. Dezember 199011 über die direkte Bundessteuer (DBG), dem Bundesgesetz vom 14. Dezember 199012 über die Harmonisierung der direkten Steuern der Kantone und Gemeinden (StHG), dem Bundesgesetz vom 13. Oktober 196513 über die Verrechnungssteuer (VStG), dem Bundesgesetz vom 27. Juni 197314 über die Stempelabgaben (StG), dem Mehrwertsteuergesetz vom 2. September 199915 (MWSTG) und dem Bundesgesetz vom 12. Juni 195916 über die Wehrpflichtersatzabgabe (WPEG).
Ferner ist in diesem Zusammenhang auf das Projekt «Polizeigesetzgebung des Bundes» hinzuweisen, in dessen Rahmen ein Bundesgesetz über die polizeilichen Aufgaben des Bundes (Arbeitstitel: Polizeiaufgabengesetz, PolAG) erarbeitet wird.
Erlasse, die sich nicht mit automatisch entstehenden Daten, sondern mit gezielter Datensammlung befassen beispielsweise im Hinblick auf die Schaffung von Informationssystemen , haben einen anderen Regelungsgegenstand als die hier vorgeschlagene Vorlage. Dies gilt etwa in den folgenden Bereichen:
7 8 9 10 11 12 13 14 15 16 17
Datenbearbeitung mit polizeilichen Informationssystemen des Bundes (vgl.
BG vom 13. Juni 200817 über die polizeilichen Informationssysteme des Bundes (BPI).
BBl 2007 6977 SR 172.220.111.3 SR 172.021 SR 784.10 SR 642.11 SR 642.14 SR 642.21 SR 641.10 SR 641.20 SR 661 SR 361
8519
Datenbearbeitung im Zusammenhang mit den verschiedenen Informationssystemen der Armee nach dem Militärgesetz vom 3. Februar 199518 (MG).
Das Verhältnis zum Datenschutzgesetz ist folgendes: Die Vorlage bringt eine gesetzliche Grundlage für das Bearbeiten bestimmter Personendaten (insbesondere Randdaten) durch Bundesorgane wie von Artikel 17 DSG verlangt. Sie macht ausserdem die Beschaffung und den Zweck der Bearbeitung für jedermann erkennbar (vgl. Art. 4 Abs. 4 DSG). Die übrigen Vorschriften des DSG im Zusammenhang mit der Bearbeitung von Personendaten durch Bundesorgane (4. Abschnitt) sind weiterhin direkt anwendbar, so z.B. Artikel 22 DSG, der die Bearbeitung für Forschung, Planung und Statistik erlaubt, oder Artikel 16 Absatz 1 DSG, der die Verantwortlichkeit regelt. Auch die allgemeinen Datenschutzbestimmungen (2. Abschnitt) sind zu beachten.
Art. 57j
Grundsätze
Adressaten der neuen Regelung sind die Bundesorgane. Sie und die in ihrem Auftrag tätigen externen Firmen, welche die Infrastruktur betreiben, dürfen keine Personendaten aufzeichnen und auswerten, es sei denn, dies geschehe zu einem der nachfolgend erwähnten Zwecke.
Indirekte Adressatinnen und Adressaten sind jene Personen, welche die elektronische Infrastruktur benutzen, die ein Bundesorgan zur Verfügung stellt, also insbesondere die Angestellten des Bundes und die Mitglieder der eidgenössischen Räte, aber auch externe Nutzerinnen und Nutzer von Datenbanken. Sie sollen mit der Revision vor unzulässiger Bearbeitung ihrer persönlichen Daten geschützt werden.
Absatz 1: Mit der Verwendung des Begriffs «Bundesorgane» wird klargestellt, dass sich die neuen Bestimmungen an denselben Adressatenkreis wie der vorangehende Artikel des Gesetzes (Art. 57h RVOG) über die Datenbearbeitung im Rahmen der Geschäftsverwaltung richten. Der Begriff «Bundesorgan» wird zudem im DSG (Art. 2 Abs. 1 Bst. b und Art. 3 Bst. h) verwendet. Er ist weiter gefasst als der Begriff der Verwaltungseinheit gemäss Artikel 2 RVOG und Artikel 6 der Regierungs- und Verwaltungsorganisationsverordnung vom 25. November 199819 (RVOV). Als Bundesorgane gelten:
Behörden und Dienststellen des Bundes (Departemente, Ämter, Bundeskanzlei, dezentralisierte Verwaltungseinheiten, eidg. Anstalten etc.),
natürliche und juristische Personen ausserhalb der Bundesverwaltung, soweit sie mit öffentlichen Aufgaben des Bundes betraut sind (z.B. Post, SBB, SUVA).
Erfasst werden mit diesem Begriff u.a. auch die Bundesversammlung, ihre Organe und die Parlamentsdienste für ihre Verwaltungstätigkeit sowie die Krankenkassen, soweit sie als Bundesorgane Bundesrecht vollziehen.20 Nicht erfasst werden die eidgenössischen Gerichte. Die vorgeschlagene Regelung ist aber gemäss den im Anhang geänderten Gerichtsgesetzen sinngemäss auf sie anwendbar.
18 19 20
SR 510.10 SR 172.010.1 Vgl. dazu Basler Kommentar Datenschutzgesetz, Urs Maurer-Lambrou/Simon Kunz, Art. 2 R. 12 ff., Thomas Sägesser, Stämpflis Handkommentar zum RVOG, Art. 2 Rz. 16 ff.)
8520
Personendaten sind nach Artikel 3 Buchstabe a DSG alle Angaben, die sich auf eine bestimmte oder bestimmbare Personen beziehen. Es kann sich um Rand- oder Inhaltsangaben handeln.
Wie explizit festgehalten wird, gilt das Verbot der Aufzeichnung und Auswertung von Personendaten, die bei der Nutzung der elektronischen Infrastruktur anfallen, unabhängig davon, ob die elektronische Infrastruktur vom Bund selbst oder in dessen Auftrag von einer externen Firma betrieben wird. Das auftraggebende Organ ist also für die Einhaltung der Vorschriften durch die beauftragte Firma verantwortlich (vgl. Art. 10a DSG). Die Rechte der Nutzerinnen und Nutzer in Bezug auf die Datenbearbeitung gestützt auf die vorgeschlagenen Bestimmungen richten sich nach dem Datenschutzgesetz. Laut Artikel 16 DSG hat die Datenherrin für die Einhaltung des Datenschutzes zu sorgen. Die elektronische Infrastruktur des Bundes wird im Wesentlichen vom Bundesamt für Informatik und Telekommunikation (BIT) betreut. Dieses ist deshalb in vielen Anwendungsfällen als Datenherrin zu betrachten, auch wenn es die Aufzeichnung und Auswertung in der Regel auf Wunsch einer andern Verwaltungseinheit vornimmt. Begehren gestützt auf die Artikel 8 und 25 DSG um Auskunft über Datenbearbeitung, Berichtigung oder Vernichtung von Daten sowie um Unterlassung von Datenbearbeitung hätten sich in diesen Fällen somit an das BIT zu richten.
Nicht Adressat der Bestimmungen sind die kantonalen und kommunalen Organe bzw. ihre Angestellten, die Bundesrecht anwenden, da sie dadurch nicht zu Bundesorganen werden. Hingegen sind Kantons- und Gemeindeangestellte ebenso wie Privatpersonen und Firmen, die z.B. Online-Abfragen tätigen oder im Mailverkehr mit einer Bundesstelle stehen, als indirekte Adressatinnen und Adressaten der Norm geschützt.
Daten, die bei der Nutzung der elektronischen Infrastruktur anfallen, setzen nicht voraus, dass die indirekte Adressatin oder der indirekte Adressat aktiv geworden ist.
Auch die Daten von Personen, die mit einem Mail angeschrieben oder per Telefon angerufen wurden, werden erfasst, desgleichen die Daten von Personen, die von Videokameras in Bundesgebäuden gefilmt werden.
Der Nebensatz relativiert das Verbot: Die Datenbearbeitung, bestehend aus der Aufzeichnung der Daten und deren Auswertung, ist ausnahmsweise zulässig, wenn dies
zu einem der in Artikel 57l57o abschliessend aufgezählten Zwecke erforderlich ist.
Absatz 2 bildet die formellgesetzliche Grundlage, um auch sensible Daten, d.h.
besonders schützenswerte Personendaten und Persönlichkeitsprofile im Sinne von Artikel 3 Buchstabe c und d DSG, aufzuzeichnen und auszuwerten, soweit es ein in Artikel 57l57o genannter Zweck nötig macht.
Art. 57k
Elektronische Infrastruktur
Der Begriff der elektronischen Infrastruktur wird weit gefasst und bewusst nur beispielhaft umschrieben, damit der technische Fortschritt nicht zu einer ständigen Anpassung der gesetzlichen Grundlagen zwingt. Grundsätzlich sollen alle elektronischen Arbeits-, Hilfs- und Kontrollmittel erfasst werden, welche die Bundesorgane ihren Angestellten, allenfalls aber auch Dritten, zur Verfügung stellen. Es kann sich dabei sowohl um stationäre als auch um mobile Geräte handeln.
8521
Art. 57l
Aufzeichnung von Personendaten
Das Bundesorgan oder die von ihm betraute Firma darf die bei der Nutzung seiner elektronischen Infrastruktur anfallenden Personendaten ausschliesslich zu den in dieser Bestimmung genannten Zwecken aufzeichnen. Die Aufzeichnung ist nur zulässig, wenn und soweit sie nötig ist, um anschliessend eine Auswertung nach den Artikeln 57m-57o vorzunehmen; es gilt der Verhältnismässigkeitsgrundsatz. Aufgezeichnet werden dürfen alle Personendaten, unabhängig davon, ob sie sich auf eine bestimmte oder einer bestimmbare Person beziehen.
Alle zu einem bestimmten Zweck gespeicherten Daten dürfen zu diesem Zweck ausgewertet werden, allerdings nur nicht personenbezogen (vgl. Art. 57m). Eine personenbezogene stichprobenweise Auswertung, deren Ergebnisse Rückschlüsse auf bestimmte Personen erlauben (nicht namentliche personenbezogene Auswertung), ist nur zulässig, wenn zusätzlich einer der in Artikel 57n genannten Zwecke gegeben ist. Eine Auswertung, deren Ergebnis sich auf eine bestimmte Person bezieht (namentliche personenbezogene Auswertung) ist nur zulässig, wenn dies zu einem der in Artikel 57o genannten Zwecke geschieht.
Die Aufbewahrung und das Löschen der Daten als besondere Bearbeitungsformen werden in der Verordnung näher geregelt (gestützt auf Art. 57q Bst. a).
Mit Buchstabe a wird eine gesetzliche Grundlage geschaffen für die unabdingbare und schon heute praktizierte Erstellung von Sicherungskopien (Backups).
Buchstabe b erlaubt, die Daten über die Nutzung der elektronischen Infrastruktur (u.a. die Daten über den Auf- und Abbau elektronischer Verbindungen sowie über Abläufe in Anwendungen, in Datenbanken und in Servern) zu folgenden Zwecken aufzuzeichnen:
Die technische Wartung des Systems und die Informations- und Dienstleistungssicherheit kann unter Umständen nur durch Aufzeichnung und Auswertung gewährleistet werden (Ziff. 1 und 2). Genügt eine nicht personenbezogene Auswertung nicht, muss eine Auswertung nach den Artikeln 57n und 57o in Betracht gezogen werden.
Für die allgemeine Kontrolle der Einhaltung von Nutzungsreglementen dürfen alle Daten über die Nutzung der elektronischen Infrastruktur aufgezeichnet werden, um so z.B. festzustellen, in welchem Umfang unerlaubte Internetseiten aufgerufen werden (Ziff. 3).
Eine Aufzeichnung ist zulässig, um den Zugriff auf Datensammlungen zu rekonstruieren. Dies ist nötig, damit in einer nicht personenbezogenen Auswertung nach Artikel 57m anhand der aufgezeichneten Daten nachvollzogen werden kann, von welchen Computern aus wann eine Datenbank konsultiert wurde und ob bzw. welche Änderungen vorgenommen wurden (Ziff. 4).
Es muss auch zulässig sein, die Benutzung der elektronischen Infrastruktur zu erfassen, um kostenpflichtige Leistungen gemäss Artikel 57o Buchstabe d dem Dienstleistungsbezüger fakturieren zu können (Ziff. 5).
Buchstabe c ermöglicht beispielsweise die Aufzeichnung von Daten, die benötigt werden für eine Auswertung nach Artikel 57m im Hinblick auf eine Änderung der Blockzeiten oder im Hinblick auf Massnahmen des Gesundheitsmanagements.
Der Zutritt zu den Räumlichkeiten der Bundesorgane muss teilweise aus Gründen des Personen- oder des Sachschutzes elektronisch gesichert werden. Damit kann 8522
beispielsweise im Falle eines Diebstahls die Täterschaft leichter ermittelt werden.
Buchstabe d schafft die rechtliche Grundlage für die Aufzeichnung (Speicherung) der Personendaten, die mit dem Betrieb der elektronischen Infrastruktur anfallen.
Nicht hier geregelt wird die Frage, wann die Installation der erforderlichen Infrastruktur zulässig ist und ob eine Echtzeitüberwachung erfolgen darf. Eine Auswertung der gespeicherten Raumüberwachungsdaten wird in der Regel nur in Bezug auf bestimmte Personen möglich sein bzw. Sinn machen, was jedoch nur zulässig ist, wenn die Voraussetzungen nach Artikel 57o erfüllt sind. Die vorliegende Regelung kommt indessen wie alle anderen dieses Artikels nur zum Zug, wenn die Bearbeitung der bei der Nutzung der elektronischen Infrastruktur anfallenden Daten nicht bereits durch ein Spezialgesetz geregelt wird (vgl. Art. 57i).
Die Datenbearbeitung zu Zwecken der Forschung und der Statistik braucht in dieser Bestimmung nicht ausdrücklich erwähnt zu werden: Sie ist laut Artikel 22 DSG zulässig.
Art. 57m
Nicht personenbezogene Auswertung
Die nach Artikel 57l zu einem bestimmten Zweck aufgezeichneten Daten dürfen nur so ausgewertet werden, dass aus den Ergebnissen keine Rückschlüsse auf bestimmte Personen möglich sind. Das Ergebnis der Auswertung enthält mit andern Worten nur völlig anonymisierte Daten.
Möglich ist auch, bei der Auswertung verschiedene Zwecke zu kombinieren (z.B.
Vergleich der Arbeitszeit-Kontrolldaten mit den Daten über den Zugriff der betreffenden Person auf eine Datensammlung).
Art. 57n
Nicht namentliche personenbezogene Auswertung
Die nach Artikel 57l zu einem bestimmten Zweck aufgezeichneten Daten dürfen zu den hier genannten Zwecken stichprobenweise so ausgewertet werden, dass das Ergebnis Rückschlüsse auf das Verhalten einzelner Personen erlaubt, diese jedoch nicht namentlich bekannt sind. Auf diese Weise dürfen die aufgezeichneten Randdaten ausgewertet werden, sodass die Nutzung der elektronischen Infrastruktur in einzelnen Verwaltungseinheiten analysiert werden kann. Beispielsweise kann gestützt auf Artikel 57n in Verbindung mit Artikel 57l Buchstabe b Ziffer 3 festgestellt werden, wie oft eine bestimmte Internetseite (z.B. Facebook) von den Angestellten eines Bundesamtes aufgerufen wurde, ohne dass aus dieser Auswertung auf das Verhalten einer namentlich bekannten Person geschlossen werden könnte.
Gleichermassen können die Daten über die Arbeitszeiten des Personals ausgewertet werden. Alle übrigen aufgezeichneten Daten, z.B. der Betreff im Mailverkehr oder die Anzahl Druckaufträge, dürfen nicht auf diese Weise ausgewertet werden.
Art. 57o
Namentliche personenbezogene Auswertung
Eine Auswertung der gemäss Artikel 57l aufgezeichneten Daten, deren Ergebnis Rückschlüsse auf das Verhalten einer bestimmten Person zulässt, kann datenschutzrechtlich besonders heikel sein. Sie ist deshalb nur zu den in dieser Bestimmung genannten Zwecken zulässig. Der Grundsatz der Verhältnismässigkeit gebietet zudem, sich mit einer nicht namentlichen personenbezogenen Auswertung zu begnügen, wenn diese ausreicht, um ein bestimmtes Ziel zu erreichen.
8523
Die namentliche Auswertung wird in der Regel vom Bundesorgan durchgeführt, das die Infrastruktur betreibt. Der Anstoss dazu kann wie in den Fällen nach den Artikeln 57ln von einem anderen Bundesorgan ausgehen, das die Daten für die im Gesetz erwähnten Zwecke benötigt. Das auftraggebende Bundesorgan muss glaubhaft darlegen, zu welchem Zweck es die bearbeiteten Daten benötigt und zu verwenden gedenkt. Es ist nach Artikel 16 Absatz 1 DSG für den Datenschutz verantwortlich. Die Auswertung erlaubt dem Bundesorgan, die erforderlichen Massnahmen zu treffen, wozu u.U. die Einleitung eines Disziplinarverfahrens oder Strafverfahrens gehören kann. Die Auswertung ohne Information der betroffenen Person ist nur zulässig, wenn keine besonders schützenswerten Personendaten betroffen sind oder die Voraussetzungen von Artikel 7a Absatz 4 DSG erfüllt sind. Die Details werden auf Verordnungsstufe geregelt.
Buchstabe a lässt eine namentliche Auswertung zu, wenn in einem konkreten Einzelfall gegenüber einer bestimmten Person der Verdacht einer missbräuchlichen Verwendung der elektronischen Infrastruktur besteht oder um mit einer nicht personenbezogenen Auswertung festgestellte Missbräuche der elektronischen Infrastruktur zu individualisieren; namentliche stichprobenweise Prüfungen oder systematische Auswertungen ohne konkreten Verdacht sowie Rasterfahndungen sind dagegen nicht zulässig.
Buchstabe b erlaubt beispielsweise die individualisierte Auswertung, wenn diese für das Auffinden von Störungsursachen nötig ist.
Buchstabe c lässt die namentliche Auswertung zu, um elektronische Dienstleistungen bereit stellen zu können. So ist beispielsweise das Zurücksetzen eines Passwortes für die Computerbenutzung nur mit dieser Art von Auswertung möglich.
Buchstabe d erlaubt die Zusammenstellung der auf eine Person bezogenen Daten, um ihr Rechnung für die gebührenpflichtige Beanspruchung der elektronischen Infrastruktur zu stellen.
Buchstabe e erfasst unter anderem die monatliche Auswertung der Arbeitszeitdaten, mit der eine vorgesetzte Person beispielsweise die Anwesenheit der ihr unterstellten Personen feststellen und das Ausmass an Überzeit ihrer Mitarbeiterinnen und Mitarbeiter kontrollieren kann.
Art. 57p
Verhinderung von Missbrauch
Diese Bestimmung konkretisiert Artikel 7 DSG. Der Missbrauch der elektronischen Infrastruktur und die Missachtung von Nutzungsreglementen soll primär durch präventive technische und organisatorische Massnahmen verhindert werden. Nur soweit diese Massnahmen nicht ausreichen, soll von der Datenbearbeitung im Sinne der Artikel 57l ff. Gebrauch gemacht werden.
Art. 57q
Ausführungsbestimmungen
Zunächst ist darauf hinzuweisen, dass es sich vorliegend oft um Personendaten handelt, die zunächst Bestandteil teils sehr grosser Datenmengen bilden, die in einem ersten Schritt vor der Auswertung einer Aufbereitung bedürfen (so sind beispielsweise die Internetverbindungen einer bestimmten Person von allen übrigen Internetverbindungen auszuscheiden, was unter Umständen mit einem beträchtlichen Aufwand verbunden ist).
8524
Die Art und Weise, wie die Daten nach der Aufzeichnung weiter bearbeitet werden dürfen, ist genau zu regeln. Auf Gesetzesstufe genügt indessen ein Hinweis auf die wichtigsten Fragen, für die auf Verordnungsstufe eine Antwort zu geben ist. So hat der Bundesrat insbesondere zu regeln, wer berechtigt und zuständig ist für die Aufzeichnung und die Aufbewahrung der Daten. Zudem muss er regeln, welche Daten wie lange aufzubewahren bzw. wann sie zu vernichten sind (Bst. a). Im Weiteren ist festzulegen, unter welchen Modalitäten die Daten weiter bearbeitet und insbesondere ausgewertet werden dürfen (Bst. b). Schliesslich muss geregelt werden, wann welches Organ wie Zugriff auf die Daten und die Datenauswertung hat (Bst. c). Die zuständigen Bundesorgane haben das Nötige vorzukehren, damit gespeicherte und bearbeitete Daten vor dem Zugriff unbefugter Dritter angemessen geschützt sind (Bst. d). Diese technischen Punkte können indessen auf Verordnungsstufe näher geregelt werden.
2.3
Änderung bisherigen Rechts
Die für Bundesorgane vorgesehene Regelung soll auch für die eidgenössischen Gerichte gelten, soweit das Datenschutzgesetz auf sie anwendbar ist und es sich um ihre Verwaltungstätigkeit handelt. Da die Gerichte vom Geltungsbereich des RVOG nicht erfasst werden, ist in den drei spezifischen Erlassen der Gerichte ein Verweis aufzunehmen, wonach die neuen Datenschutzregeln des RVOG für die eidgenössischen Gerichte sinngemäss Anwendung finden.
Für das Ausführungsrecht ist im Bereich der Gerichte nicht der Bundesrat zuständig, sondern sind es die Gerichte selbst. Es wird also an ihnen sein, die notwendigen Ausführungsbestimmungen für ihren Bereich zu erlassen.
3
Auswirkungen
3.1
Auswirkungen auf den Bund
Die Vorlage hat keine finanziellen oder personellen Auswirkungen auf den Bund.
Sie schafft Rechtsgrundlagen für die heutige Praxis.
3.2
Auswirkungen auf Kantone und Gemeinden
Die Vorlage hat keine finanziellen Auswirkungen auf die Kantone und die Gemeinden.
Kantone und Gemeinden sind betroffen, wenn sie die elektronische Infrastruktur des Bundes nutzen: In diesem Fall darf der Bund die Randdaten und allenfalls weitere Daten der kantonalen und kommunalen Nutzerinnen und Nutzer zu den gesetzlich vorgesehenen Zwecken bearbeiten. In aller Regel wird es sich dabei um allgemeine statistische Auswertungen handeln.
8525
3.3
Weitere Auswirkungen
Die Vorlage hat weder Auswirkungen auf die Volkswirtschaft noch auf die Umwelt und künftige Generationen oder die Gleichstellung von Mann und Frau.
4
Verhältnis zur Legislaturplanung und zum Finanzplan
Die Vorlage ist weder in der Botschaft vom 23. Januar 200821 über die Legislaturplanung 20072011 noch im Bundesbeschluss vom 18. September 200822 über die Legislaturplanung 20072011 angekündigt. Ihre gestaltende Kraft und damit die politische Bedeutung ist bescheiden; im Vordergrund steht das Anliegen, der heutigen Praxis eine Rechtsgrundlage zu verschaffen. Die Vorlage ist indessen nicht überflüssig. Sie macht die Datenbeschaffung und -bearbeitung transparent und ermöglicht so eine Kontrolle.
5
Rechtliche Aspekte
5.1
Verfassungsmässigkeit und Verhältnis zum Datenschutzgesetz
Die vorgeschlagenen Regeln zur Beschaffung und Bearbeitung von Daten betreffen die Regierungs- und Verwaltungsorganisation und fallen damit in die Zuständigkeit der Bundesversammlung gemäss Artikel 173 Absatz 2 BV.
Regeln zur Datenbearbeitung haben den grundrechtlichen Anspruch auf Schutz vor Missbrauch persönlicher Daten und auf informationelle Selbstbestimmung zu respektieren (Art. 13 Abs. 2 BV i.V.m. Art. 10 Abs. 2 BV). Die vorliegende Regelung könnte diese Grundrechte beeinträchtigen, weil sie die Aufzeichnung und Bearbeitung zahlreicher und persönlicher Daten durch den Bund erlaubt. Diese Massnahme setzt als Grundrechtseinschränkung eine formell-gesetzliche Grundlage sowie die Einhaltung des Grundsatzes der Verhältnismässigkeit und das Vorliegen eines öffentlichen Interesses voraus. Mit der Vorlage wird diesen Anforderungen Rechnung getragen.
Die Vorlage beachtet die Leitplanken des Bundesgesetzes vom 19. Juni 1992 über den Datenschutz, indem sie die Bearbeitung der bei der Nutzung der elektronischen Infrastruktur anfallenden Daten auf eine gesetzliche Grundlage stellt.
21 22
BBl 2008 753 BBl 2008 8543
8526
5.2
Vereinbarkeit mit internationalen Verpflichtungen der Schweiz
Die mit dieser Vorlage beantragte Regelung steht im Einklang mit dem Übereinkommen vom 28. Januar 198123 zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten und mit dem Zusatzprotokoll vom 8. November 200124 zu diesem Übereinkommen bezüglich Aufsichtsbehörden und grenzüberschreitende Datenübermittlung.
23 24
SR 0.235.1 SR 0.235.11
8527
8528