Fragen im Zusammenhang mit der Organisation des Datenschutzes innerhalb der Bundesverwaltung Bericht der Geschäftsprüfungskommission des Nationalrates vom 21. November 2003
2003-2584
1413
Bericht 1
Hintergrund und Gegenstand der Untersuchung
Das Bundesgesetz über den Datenschutz (DSG; SR 235.1) ist am 1. Juli 1993 vor etwas über zehn Jahren in Kraft getreten. Seitdem haben die Möglichkeiten und Risiken von Persönlichkeitsverletzungen deutlich zugenommen. Die rasante Entwicklung von Technologien bewirkt generell, dass die Bearbeitungen von Personendaten stark zunehmen und die Aufgabe des Datenschutzes immer komplexer und wichtiger wird. Das erfordert von den Behörden ständige Aufmerksamkeit und eine laufende Anpassung der gesetzlichen Bestimmungen und ihrer Praxis.
Die Interessen des Datenschutzes laufen bestimmten Interessen des Privatsektors (insbesondere der kommerziellen Verwertung von Daten) wie auch des öffentlichen Sektors (vor allem der öffentlichen Sicherheit) zuwider. Die Ereignisse vom 11. September 2001 veranlassten unlängst bestimmte Staaten zu Massnahmen im Zusammenhang mit der Terrorismusbekämpfung und -verhütung, welche grosse Besorgnis wecken und datenschutzrechtlich heikle Probleme aufwerfen. Aktuelle Beispiele dafür sind die von den Vereinigten Staaten geforderte Weitergabe von Personendaten von Flugreisenden und Besatzungsmitgliedern auf Flügen in das bzw.
aus dem amerikanischen Hoheitsgebiet sowie die biometrischen Daten dieser Reisenden, die in deren Pässen vermerkt werden sollen.
Die Geschäftsprüfungskommissionen (GPK) messen dem Datenschutz besondere Bedeutung bei. Eine von der Geschäftsprüfungskommission des Ständerates (GPK-S)1 nach einer Inspektion zur Einrichtung von «Online»-Verbindungen im Polizeiwesen eingereichte Motion2 hat die Teilrevision des DSG3, mit der sich die Eidgenössischen Räte gegenwärtig befassen, mit ins Rollen gebracht. Im Jahre 2002 hat sich die Geschäftsprüfungsdelegation mit dem Datenschutz im Rahmen von Tätigkeiten im Bereich des Staatsschutzes und der Nachrichtendienste befasst. In ihrem Jahresprogramm 2003 haben die GPK erneut vorgesehen, sich mit Fragen des Datenschutzes zu beschäftigen4. Die Subkommission «Allgemeine Fragen» der Geschäftsprüfungskommission des Nationalrates (nachstehend Subkommission) wurde mit der Durchführung der Untersuchung beauftragt.
Am 22. Januar 2003 führte die Subkommission beim Eidgenössischen Datenschutzbeauftragten (nachstehend Datenschutzbeauftragter) einen Dienststellenbesuch durch. In der Diskussion ging es um die Aufgaben, Tätigkeiten und
Ressourcen des Datenschutzbeauftragten und um verschiedene aktuelle Themen. Im Anschluss an diesen Besuch beschloss die Subkommission, die Organisation des Datenschutzes 1 2
3
4
98.3529 Motion. Erhöhter Schutz für Personendaten bei Online-Verbindungen.
Siehe Bericht der Geschäftsprüfungskommission des Ständerates vom 19. November 1998 «Einrichtung von Online-Verbindungen im Bereich des Polizeiwesens» (BBl 1999 5869).
Siehe Botschaft des Bundesrates zum Bundesgesetz über den Datenschutz (DSG) und zum Bundesbeschluss betreffend den Beitritt der Schweiz zum Zusatzprotokoll vom 8. November 2001 zum Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten bezüglich Aufsichtsbehörden und grenzüberschreitende Datenübermittlung vom 19. Februar 2003 (BBl 2003 2101).
Im Rahmen einer von der GPK-N beauftragten Evaluation untersucht die Parlamentarische Verwaltungskontrollstelle (PVK) gegenwärtig auch die Datenschutzprobleme im Bereich des E-Commerce.
1414
im Rahmen von grossen Projekten in der Bundesverwaltung, welche Bearbeitungen von Personendaten voraussetzen, näher zu untersuchen.
Am 12. Mai 2003 äusserte sich die Bundeskanzlerin im Rahmen der Prüfung des Geschäftsberichts des Bundesrates 2002 zur Unterstellung des Datenschutzbeauftragten unter die Bundeskanzlei (BK) und zu durch internen Beziehungen.
Darauf führte die Subkommission am 24. Juni 2003 eine Reihe von Anhörungen durch, in welchen sie nacheinander folgende Aussprachen führte: mit Vertretern des Bundesamtes für Justiz (BJ) und des Datenschutzbeauftragten über die Federführung bei der Datenschutzgesetzgebung; mit Vertretern des Bundesamtes für Statistik (BFS) und des Datenschutzbeauftragten über die Einführung eines eidgenössischen Personenidentifikators; mit mehreren Datenschutzberatern über ihre Rolle und Tätigkeiten; mit Vertretern des Bundesamtes für Sozialversicherung (BSV) über datenschutzrechtliche Aspekte des Projekts Gesundheitskarte und des TARMED.
Der Bericht wurde von der Geschäftsprüfungskommission des Nationalrates (GPK-N) anlässlich der Sitzung vom 21. November 2003 einstimmig verabschiedet.
Einleitend ist zu betonen, dass die Untersuchung keinen Anspruch auf eine erschöpfende Behandlung der umfassenden und komplexen Thematik der Organisation des Datenschutzes in der Bundesverwaltung erhebt. Ziel ist es vielmehr, bestimmte Entwicklungen in diesem Bereich aufzuzeigen und so zur Früherkennung und zur Sensibilisierung für Fragen des Datenschutzes beizutragen.
2
Der Eidgenössische Datenschutzbeauftragte: Beteiligung an Verwaltungsprojekten, Ressourcen und Neuausrichtung der Tätigkeiten
2.1
Beteiligung an grossen Verwaltungsprojekten, welche Bearbeitungen von Personendaten voraussetzen
Der Datenschutzbeauftragte wurde im Jahr 1993 mit dem DSG eingesetzt. Anfänglich war der Datenschutzbeauftragte dem Generalsekretariat des Eidgenössischen Justiz- und Polizeidepartementes (EJPD) unterstellt. 1998 wechselte er im Rahmen einer generellen Neuorganisation der Bundesverwaltung zur BK über. Damit wurde die Unabhängigkeit des Datenschutzbeauftragten gestärkt, zumal die BK nicht mit gleich heiklen Datenschutzfragen konfrontiert ist wie das EJPD.
Der Datenschutzbeauftragte ist weitgehend für die Aufsicht im Datenschutzbereich zuständig. Dabei hat er «nicht nur die Einhaltung dieses Gesetzes, sondern auch aller weiteren datenschutzrechtlichen Erlasse des Bundes zu überwachen. Damit sind bereits bestehendes und künftiges Spezialdatenschutzrecht, aber auch völkerrechtliche Verträge gemeint» (BBl 1988 II 479). Er beaufsichtigt die Bundesorgane (Art. 27 DSG) und private Personen (Art. 29 DSG). Besonders weitgehende Befugnisse besitzt er im Bereich der Aufsicht über die Bundesorgane.
Ausserdem stellt der Datenschutzbeauftragte ein Beratungsorgan für private Personen (Art. 28 DSG) sowie öffentliche Stellen (Art. 31 Abs. 1 Bst. b und c, Art. 31 Abs. 2 DSG) dar. Diese Aufgabe macht bei weitem den Hauptteil seiner Arbeitslast aus. Artikel 31 Absatz 1 Buchstabe a DSG sieht insbesondere vor, dass der Datenschutzbeauftragte Organe des Bundes und der Kantone in Fragen des Datenschutzes 1415
unterstützt. Auf dieser Grundlage wird der Datenschutzbeauftragte namentlich herangezogen, um Verwaltungsprojekte, welche Bearbeitungen von Personendaten beinhalten, zu begleiten. In diesem Rahmen wird von ihm häufig erwartet, dass er von der Ausgestaltung bis zur Verwirklichung aktiv zu den Projekten beiträgt.
Insofern wird er nicht nur konsultiert, sondern auch um Lösungen gebeten. Faktisch wird er für den Bereich «Datenschutz» der Projekte als zuständig erachtet.
Der Datenschutzbeauftragte betonte anlässlich des Besuchs der Subkommission, dass seine Ressourcen für eine derart intensive Mitwirkung an den Verwaltungsprojekten nicht ausreichen. Für seine Mitarbeiter bedeute dies zum Beispiel, an Sitzungen von Arbeitsgruppen, die sich nicht immer mit Datenschutz befassen, teilzunehmen. Der Datenschutzbeauftragte definiert seine Rolle gemäss Artikel 16 DSG folgendermassen: Das betreffende Bundesorgan ist für den Schutz der Daten, welche es in Erfüllung seiner Aufgaben bearbeitet oder bearbeiten lässt, verantwortlich.
Nach Auffassung des Datenschutzbeauftragten besteht seine Rolle im Wesentlichen darin, möglichst frühzeitig Rahmenbedingungen und Grundsatzfragen für die Projektführung festzulegen. Der Projektverantwortliche dagegen habe sich selbst mit dem erforderlichen Fachwissen im Bereich des Datenschutzes auszustatten und sei für die Umsetzung der Empfehlungen des Datenschutzbeauftragten zuständig. Als Aufsichtsorgan müsse der Datenschutzbeauftragte eine gewisse Distanz wahren, um die in Betracht gezogenen Lösungen kritisch prüfen zu können.
Die Rolle, die der Datenschutzbeauftragte im Rahmen des Projekts Eidgenössischer Personenidentifikator spielt, verdeutlicht seine eigene Auffassung von seiner Aufgabe in Projekten der Verwaltung. Der Datenschutzbeauftragte gehört nicht direkt der interdepartementalen Koordinationsgruppe «Personenidentifikator» an, die sich aus Vertretern des EDI, des EJPD, des EFD und der BK zusammensetzt und von einem Vertreter des BFS geleitet wird. Er wurde indessen vom Bundesrat beauftragt, einen Bericht über die Möglichkeiten, Grenzen und Bedingungen für die Einführung eines eidgenössischen Personenidentifikators aus der Perspektive des Datenschutzes zu erstellen5. Der Datenschutzbeauftragte seinerseits gab einen Teil der Untersuchung bei einem Experten in Auftrag. Er
steht in regelmässigem Kontakt zur Koordinationsgruppe, obwohl er nicht Mitglied ist, um Informationen über den jeweiligen Arbeitsstand auszutauschen und beispielsweise die Erteilung von Expertenmandaten zu koordinieren. Die Zusammenarbeit hat sich nach Auffassung beider Seiten bewährt. Für Datenschutzfragen zog die Koordinationsgruppe das BJ sowie externe Experten bei und arbeitete eng mit den kantonalen Datenschutzbeauftragten zusammen.
Im Rahmen des Projekts Gesundheitskarte bzw. Versichertenkarte beteiligten sich Vertreter des Datenschutzbeauftragten und der kantonalen Datenschutzbeauftragten an den vom BSV geleiteten Arbeitsgruppen. Als die entsprechende Bestimmung des Krankenversicherungsgesetzes (Art. 42a KVG) von der zuständigen Kommission des Nationalrates behandelt wurde, stellte sich jedoch heraus, dass der Datenschutzbeauftragte selbst vom Vorschlag der Verwaltung vor dessen Übereinstimmung an die parlamentarische Kommission gar nicht Kenntnis genommen hatte. Mit Unterstützung eines Kommissionsmitglieds erwirkte der Datenschutzbeauftragte die Verschiebung der Beratung des Artikels 42a KVG um eine Woche, damit er seine 5
Siehe Bericht des Eidgenössischen Datenschutzbeauftragten «Möglichkeiten, Grenzen und Bedingungen für einen koordinierten eidgenössischen Personenidentifikator aus der Sicht des Persönlichkeitsschutzes», vom Mai 2003.
1416
Position bzw. Einwände noch schriftlich mitteilen konnte. Seine Vorbehalte betrafen insbesondere Absatz 4, d. h. die Möglichkeit, dass die Versichertenkarte medizinische Notfalldaten enthält. Für den Datenschutzbeauftragten müssen die fraglichen Daten zuvor klar definiert werden. Ausserdem muss die Eintragung freiwillig sein diese Bemerkung wurde vom BSV in einem zweiten Entwurf des Artikels zu Handen der Kommission aufgenommen.
Der Vorfall bei der Prüfung von Artikel 42a KVG veranschaulicht Unklarheiten in der Kommunikation zwischen dem Datenschutzbeauftragten und der Verwaltung sowie im Team des Datenschutzbeauftragten. Ähnliche Schwierigkeiten zeigten sich im Rahmen des Projekts Eidgenössischer Personenidentifikator. Generell werfen einzelne Stimmen in der Verwaltung dem Datenschutzbeauftragten vor, sein Amt zu politisieren und eine etwas panikmacherische, vor allem nach aussen (Politiker, betroffene Kreise und Öffentlichkeit) orientierte Kommunikationspolitik zu betreiben. Der Datenschutzbeauftragte verwahrt sich gegen diese Vorwürfe. Nach seinem Dafürhalten benachrichtigt er den Bundesrat und die Bundesverwaltung immer zuerst über seine Stellungnahmen. Er erfüllte lediglich seine Aufsichts- und Informationspflicht gegenüber der Öffentlichkeit.
Die GPK-N hält es für wesentlich, dass der Datenschutzbeauftragte in seinen Stellungnahmen sowie in der Art und Weise, wie er sie kommuniziert, unabhängig ist.
Ausserdem war mit Blick auf die Persönlichkeit und den Hintergrund des vom Bundesrat ernannten Datenschutzbeauftragten eine gewisse Politisierung des Amtes sicher erwünscht. Indessen appelliert die Kommission an den Datenschutzbeauftragten, möglichst lange den Dialog mit der Verwaltung zu suchen, bevor er seine Vorbehalte nach aussen kommuniziert. Ziel ist, Spannungen zu vermeiden und das für die Durchsetzung der Interessen des Datenschutzes unverzichtbare gegenseitige Vertrauensverhältnis zu bewahren.
Die GPK-N begrüsst es, dass dem Datenschutz in den oben erwähnten Projekten bislang Bedeutung beigemessen wurde. In beiden Fällen wurden die ursprünglichen Konzepte verändert, um den Auflagen des Datenschutzes Rechnung zu tragen. Die Idee, einen universellen Personenidentifikator (einen Identifikator pro Person für alle Sektoren) einzuführen, wurde zu Gunsten von koordinierten sektoriellen
Identifikatoren aufgegeben (ein zentrales System koordiniert den Informationszugriff und -austausch unter verschiedenen sektoriell verwendeten Personenidentifikatoren). Das ursprüngliche Projekt, eine elektronische Gesundheitskarte einzuführen d. h. ein vollständiges medizinisches Patientendossier auf einem elektronischen Träger wurde aus Datenschutzgründen technischer und juristischer Art zurück gebunden.
Artikel 42a KVG sieht nun lediglich vor, dass der Bundesrat zur Erleichterung der Rechnungsstellung der Leistungen eine obligatorische Versichertenkarte einführen kann. Im Licht der so gegebenenfalls gesammelten Erfahrungen wird die Einführung einer Gesundheitskarte geprüft werden. Allerdings sind weder das Projekt der Versichertenkarte noch jenes des eidgenössischen Personenidentifikators abgeschlossen.
Zahlreiche wichtige Fragen bleiben noch offen, vor allem hinsichtlich der konkreten Umsetzungsmodalitäten6 und, für den Personenidentifikator, hinsichtlich der Gesetzesgrundlagen. Die GPK-N fordert den Bundesrat auf, dem Datenschutz in seinen 6
Das Modell für die Aufbewahrung der Daten auf der Versichertenkarte wurde noch nicht definiert. Für eine knappe Darstellung der verschiedenen Möglichkeiten siehe Punkt 5.1.1 des 10. Tätigkeitsberichts 2002/2003 des Eidgenössischen Datenschutzbeauftragten, S. 4345.
1417
Projekten weiterhin einen zentralen Platz einzuräumen und generell Vorsicht zu üben. Die hohe politische Sensibilität der Projekte war in den Aussprachen der Subkommission deutlich spürbar. Aus diesem Grund fordert die GPK-N den Bundesrat auf, die Bundesversammlung, die betroffenen Kreise und die Öffentlichkeit möglichst bald vollständig über seine Absichten hinsichtlich des weiteren Vorgehens in diesen Projekten zu informieren.
Dagegen fällt es schwerer, die Lösungen der Datenschutzfragen im Rahmen der Einführung des Tarifsystems TARMED einzuschätzen. Diese Fragen betreffen insbesondere die Bekanntgabe von Diagnosecodes auf Rechnungen von Leistungserbringern. Die Tarifpartner (santésuisse, H+ und FMH) prüfen die Einführung von kohärenten Codesystemen auf der Basis der ICPC/ICD-107. Die Systeme müssen ausreichend detailliert sein, damit der Schuldner die Berechnung der Vergütung sowie die Wirtschaftlichkeit der Leistung überprüfen kann, gleichzeitig aber den Grundsatz der Verhältnismässigkeit bei der Bearbeitung von Personendaten beachten (Art. 4 Abs. 2 DSG). Der Bundesrat wurde bereits Ende 2001 in einer Interpellation auf diesen Punkt angesprochen8 und antwortete wie folgt: «Es wäre unverhältnismässig, die Leistungserbringer zu verpflichten, auf den Arztrechnungen systematisch einen Diagnosecode aufzuführen, der detaillierte Angaben zum Gesundheitszustand der versicherten Person erteilt. Dies würde zu einer Anhäufung besonders schützenswerter Daten führen, wovon die meisten vermutlich weder verwendet noch von den Versicherern gebraucht würden. Damit bestünde auch die Gefahr von Datenverknüpfungen». Die Ausgestaltung der Codes (Detaillierungsgrad, Ausnahmeliste) wurde noch nicht festgelegt; sie muss definiert und vom Bundesrat genehmigt werden (Art. 46 Abs. 4 und Art. 43 Abs. 5 KVG). Das BSV und insbesondere der Datenschutzbeauftragte haben so die Möglichkeit, Empfehlungen an die Tarifpartner zu richten und Einfluss auf ihre Verhandlungen zu nehmen, um sich der Beachtung der Datenschutzbestimmungen zu vergewissern. Der Datenschutzbeauftragte hat zwar bereits an Arbeitssitzungen mit den Tarifpartnern teilgenommen, für die jedoch die diesbezüglichen Diskussionen nicht mehr als Priorität auf der Tagesordnung stehen. Der Datenschutzbeauftragte seinerseits misst diesem Dossier grosse Wichtigkeit
bei. Da sehr sensible Daten im Spiel sind, fordert die GPK-N die betroffenen Stellen auf, den Fragen des Datenschutzes besondere Aufmerksamkeit zu schenken und die verfügbaren Mittel einzusetzen, um die Achtung der Persönlichkeitsrechte der Versicherten zu gewährleisten.
2.2
Ressourcen und Neuausrichtung der Tätigkeiten des Datenschutzbeauftragten
Neben seinen Hauptaufgaben Aufsicht und Beratung ist der Datenschutzbeauftragte mit der Information des Bundesrates, der betroffenen Kreise und der Öffentlichkeit in wichtigen Fragen des Datenschutzes beauftragt (Art. 30 DSG). Weitere Gesetzesbestimmungen sehen Folgendes vor: Er arbeitet mit ausländischen und kantonalen Datenschutzbehörden zusammen (Art. 31 Abs. 1 Bst. c DSG), begutach7
8
Siehe Anhang 4 des Rahmenvertrags TARMED zwischen santésuisse und H+ Spitäler vom 13. Mai 2002 und Anhang 4 des Rahmenvertrags TARMED zwischen santésuisse und der Verbindung der Schweizer Ärztinnen und Ärzte (FMH) vom 5. Juni 2002.
Siehe Antwort des Bundesrates vom 7. Dezember 2001 auf die Interpellation 01.3594 Datenschutz und Diagnosecodes auf Arzt- und Spitalrechnungen.
1418
tet, inwieweit das Datenschutzrecht im Ausland dem schweizerischen gleichwertig ist (Art. 31 Abs. 1 Bst. d DSG), führt das Register der Datensammlungen (Art. 11 DSG), zentralisiert die Meldung von Datenübermittlungen ins Ausland (Art. 6 Abs. 2 DSG) und übt das indirekte Auskunftsrecht aus (Art. 18 BWIS; SR 120).
Ausserdem besitzt er verschiedene Befugnisse im Bereich der medizinischen Forschung; unter anderem berät und beaufsichtigt er die Sachverständigenkommission für das Berufsgeheimnis in der medizinischen Forschung (Art. 32 DSG).
Seit Jahren weist der Datenschutzbeauftragte nachdrücklich auf die unzureichenden Ressourcen, insbesondere beim Personal, hin. Er verfügt über 16,2 Stellen, von denen über die Hälfte der Beratung und Kontrolle gewidmet sind. 2003 wurde eine zusätzliche auf ein Jahr befristete Stelle gewährt. Gemäss dem Datenschutzbeauftragten ermöglichte die Einführung eines Arbeitsrationalisierungssystems, den Stand der Aufgabenerfüllung zu verbessern, aber nach wie vor nicht, alle gesetzlichen Aufgaben zufriedenstellend zu erfüllen. Der Datenschutzbeauftragte argumentiert, dass der Arbeitsumfang besonders in der Beratungs- und Aufsichtstätigkeit ständig ansteigt. Das wachsende Bewusstsein der privaten Personen und der Bundesorgane für Datenschutzfragen führt zu einer immer stärkeren Beanspruchung des Datenschutzbeauftragten; er wird um rasche Auskünfte, ausführlichere Rechts- oder Informatikgutachten, Stellungnahmen zu Gesetzesentwürfen oder um die Beteiligung in Arbeitsgruppen ersucht.
Der Datenschutzbeauftragte muss deswegen Prioritäten setzen. So führt er im Bereich der Beschlüsse der Sachverständigenkommission für das Berufsgeheimnis in der medizinischen Forschung keine Kontrollen durch. In den übrigen Bereichen werden die Kontrollen in Fällen von signifikantem Risiko durchgeführt (12 eingehende Kontrollen pro Jahr). Angesichts dieser Sachlage hat der Datenschutzbeauftragte Überlegungen zu seinen Aufgaben, seiner Rolle und zur Art, wie er auf die verschiedenen Ersuchen eingeht, angestellt. Dieser Prozess mündete unlängst in einer Neuausrichtung seiner Tätigkeiten, deren Ziel es ist, die zentrale Aufsichtsfunktion (Analyse und Kontrolle) zu stärken.
In einem Schreiben vom 12. Juni 2003 informierte der Datenschutzbeauftragte die Departemente und die Bundesämter über die
Neuorganisation und über deren konkrete Auswirkungen auf die Bundesverwaltung. Wie er erklärte, hatte er bislang die Beratungsaufgaben gegenüber den Aufsichtsaufgaben bevorzugt; er bemühte sich, im Rahmen seiner Möglichkeiten und Ressourcen alle Anfragen zu beantworten, unabhängig davon, woher sie stammten. Anstatt sich wie bisher vor allem reaktiv zu verhalten, will der Datenschutzbeauftragte in Zukunft eine proaktivere Haltung einnehmen und die Aufsicht über Private sowie über den öffentlichen Sektor auf Kosten der Beratungstätigkeiten verstärken.
Bei den Bundesorganen wirkt sich die Verringerung der Beratungsleistungen in zwei Bereichen aus. Zum einen teilte der Datenschutzbeauftragte mit, dass er beabsichtige, seine Mitwirkung an umfassenden Projekten der Verwaltung, welche Bearbeitungen von Personendaten voraussetzen, einzuschränken. Künftig wird er nicht mehr alle Verwaltungsprojekte durch die Teilnahme an Arbeitsgruppen oder Kommissionen begleiten, sondern möchte seine Beratungstätigkeit «auf diejenigen Fälle konzentrieren, welche besondere Kenntnisse verlangen oder besonders sensibel erscheinen». Wie bereits oben erwähnt, hält der Datenschutzbeauftragte es für erforderlich, dass die Bundesorgane selbst grössere Verantwortung für die Einhaltung der Datenschutzbestimmungen in ihren Projekten übernehmen. Folglich soll insbesondere der Datenschutzberater Begleitaufgaben übernehmen. Zum anderen teilte er mit, dass er 1419
«... abgesehen von den Vernehmlassungsverfahren für Gesetzesvorlagen, Anfragen der Departemente und Ämter nicht mehr beantworten ... werde, es sei denn, diese stammen vom Datenschutzberater des Amtes oder des Departements.» Beratungsaufgaben sowie die Projektbegleitung werden somit zum grossen Teil an die Datenschutzberater übergegeben.
Die Kommission versteht und unterstützt die Ziele und Motivationen der Neuausrichtung des Datenschutzbeauftragten. Die Priorität, die der Aufsicht gewährt wird, entspricht auch der Absicht des Gesetzgebers. Die Kommission hält es aber für wesentlich, dass der Datenschutzbeauftragte sich nicht auf nachträgliche Kontrollen von Verwaltungsprojekten beschränkt. Die Verwaltungsstellen müssen möglichst frühzeitig einen Dialog mit dem Aufsichtsorgan führen können und gemeinsam einen Rahmen für die Auslegung der Datenschutzbestimmungen festlegen. Das hat im Übrigen der Datenschutzbeauftragte selbst betont. Dieser Dialog muss im Sinne der begleitenden Aufsicht geführt werden, um das Projekt schrittweise anzupassen und grundlegende Korrekturen in der Schlussphase zu vermeiden. Dies würde auch einer verbesserten Kommunikation zwischen dem Datenschutzbeauftragten und den Bundesstellen dienen.
Die Frage des Personalbestandes des Datenschutzbeauftragten wurde schon mehrmals aufgeworfen. Bereits am 23. Mai 1995 hatte die GPK-N in einem Schreiben an den Bundesrat über die Nachkontrolle zur Inspektion «Einführung der Informatik in der Bundesverwaltung» Folgendes festgehalten: Nach wie vor verfügt «der Datenschutzbeauftragte nicht über die Mittel für eine systematische und eingehende Überprüfung aller Projekte elektronischer Verarbeitung von Personendaten in der Bundesverwaltung. ... Da es sich hier um eine nachträgliche Aufsicht handelt, ist das Problem besonders offenkundig. Die Kommission ist sich im Klaren darüber, dass es in erster Linie Sache der verantwortlichen Bundesorgane ist, das DSG anzuwenden ... Nach Auffassung der Kommission wäre es indessen sinnvoll, wenn der Bundesrat die Rolle und die Mittel des Datenschutzbeauftragten bei seiner vorausgehenden oder nachträglichen Überwachung der Bundesorgane ... überprüfen würde.» Die GPK-S vertrat in ihrem Bericht über die Einrichtung von Online-Verbindungen vom 19. November 1998 die Auffassung, das Problem sei nach wie vor
aktuell und dem Datenschutzbeauftragten fehlten die erforderlichen Mittel, vor allem im Personalbereich, um die ihm obliegenden Kontrollen durchzuführen (BBl 1999 5891). Im Jahr 1999 teilte der Bundesrat mit, dass er sich dieses Problems bewusst und bereit sei zu prüfen, wie die Mittel des Datenschutzbeauftragten - im Rahmen der geplanten Personalausgaben - verstärkt werden könnten9.
Trotz einer befristeten zusätzlichen Stelle verfügt der Datenschutzbeauftragte nach Auffassung der GPK-N gegenwärtig immer noch nicht über ausreichende Mittel, um seine Gesetzesaufgaben angemessen zu erfüllen. Die vom Datenschutzbeauftragten in die Wege geleitete Neuorganisation dürfte in dem Masse, in dem sie von der Verwaltung befolgt wird, eine Verbesserung herbeiführen. Im Rahmen des Voranschlages 2004 hat der Bundesrat eine Erhöhung des Personalkredits des Datenschutzbeauftragten um 602 000 Franken beantragt (das bedeutet für den Datenschutzbeauftragten, dass er sein Budgetdefizit im Personalbereich decken und 33.5
9
Antwort des Bundesrates vom 1. März 1999 auf die einfache Anfrage Widmer 98.1185 Datenschutz.
1420
zusätzliche Stellen schaffen kann)10. Nach dem heutigen Stand der Budgetdiskussion beantragt die beiden Finanzkommissionen (FK) ihren Räten, diese Krediterhöhung gutzuheissen. Der Datenschutzbeauftragte zeigte sich angesichts der gegenwärtigen Finanzlage mit der Krediterhöhung zufrieden, obwohl sie weniger weit geht als von ihm beantragten. Aus den oben genannten Gründen unterstützt die GPK-N diese Erhöhung des Personalkredits des Datenschutzbeauftragten.
3
Die Datenschutzberater
Im Rahmen der vom Datenschutzbeauftragten angekündigten Massnahmen zur Verringerung seiner Beratungstätigkeit gewinnt die Funktion der Datenschutzberaterinnen und -berater (nachstehend Berater) grössere Bedeutung. Zum einen wird der Datenschutzbeauftragte in Zukunft Anfragen der Verwaltung nur noch beantworten, wenn sie direkt vom Berater des Departements oder der Verwaltungseinheit stammen. Zum anderen werden die Berater künftig stärker für die Begleitung von Projekte, welche Bearbeitungen von Personendaten voraussetzen, herangezogen.
Die Subkommission führte im Juni 2003 eine Anhörung mit sechs Beratern durch, die für das EDI, das EFD, das EJPD und das VBS arbeiten. Ausserdem unterhielt sie sich in informellem Rahmen mit weiteren Beratern.
3.1
Aufgaben und Ressourcen der Datenschutzberater
Gemäss Artikel 23 der Verordnung zum Bundesgesetz über den Datenschutz (VDSG; SR 235.11) bezeichnen die BK und die Departemente jeweils mindestens einen Berater für den Datenschutz11. Diese Berater haben die verantwortlichen Organe und Benützer zu unterstützen, die Information und die Ausbildung der Mitarbeiter zu fördern und beim Vollzug der Datenschutzvorschriften mitzuwirken.
Sie geniessen keine besonderen Informations- oder Empfehlungsrechte.
Die Aufgabe der Datenschutzberater bildet nicht immer Gegenstand eines detaillierten Pflichtenhefts. Die Generalsekretärenkonferenz (GSK) verabschiedete am 31. Mai 2002 eine Stellenbeschreibung für den Berater eines Departements im Sinne einer Empfehlung. Nach dieser Beschreibung soll ein direkt dem Generalsekretariat des Departements unterstellter Berater u.a. die technischen und organisatorischen Vorkehrungen zum Schutz von Personendaten koordinieren. Seine Tätigkeit umfasst insbesondere Information und Beratung auf der Ebene der Departementsleitung (z.
B. Information an die Mitarbeiter, Beratung bei der Ausarbeitung von Datenbearbeitungsreglementen oder Stellungnahmen der Departemente, Durchführung von Risikoevaluationen), interne Koordination (mit den Beratern der Verwaltungseinheiten des Departements und mit den für die Datensicherheit zuständigen Personen) und 10
11
Dieser Antrag erscheint aufgrund eines Versehens nicht in der Botschaft des Bundesrates zum Voranschlag 2004, S. 417, Rubrik 3010.415 (Personalbezüge). Der Bundesrat bestätigte jedoch mit einem Schreiben an die Finanzkommissionen diese Krediterhöhung für das Personal des Datenschutzbeauftragten in der Höhe von 602 000 Franken.
Gegenwärtig verfügt die BK über 1 Berater. Jedes Departement hat einen Departementsberater, der dem Generalsekretariat unterstellt ist. Dienststellen, die selbst mindestens einen Berater ernannt haben, gibt es im EFD 12, im EDI 10, im EVD 8, im UVEK 8, im VBS 7, im EJPD 7 und im EDA 1.
1421
externe Koordination (Vertretung des Departements in interdepartementalen Gremien, Kontakte mit dem Datenschutzbeauftragten). Der Berater einer Verwaltungseinheit übernimmt vor allem Informations- und Beratungsaufgaben auf der Ebene der Verwaltungseinheit. Die oben erwähnte Stellenbeschreibung enthält keine Empfehlung zur hierarchischen Unterstellung oder zum Arbeitspensum der Berater.
Konkret unterscheiden sich die Verhältnisse der Datenschutzberater sehr stark. Je nach Stelle und Aktualität macht die Aufgabe der Berater zwischen 5 und 100 % der Arbeitszeit aus. Für die überwiegende Mehrheit handelt es sich jedoch um eine Nebenbeschäftigung (unter 50 %) bzw. sogar um eine marginale Tätigkeit (10 % oder weniger). Keiner der Berater der Departemente ist für diese Aufgabe zu 100 % angestellt. Die meisten Berater sind Juristen, die einem Rechtsdienst, manchmal einem Fachdienst oder der Leitung unterstellt sind. Andere Berater sind Informatiker oder Ingenieure. Diese Personen sind also in der Regel bei Amtsantritt nicht Spezialisten für Datenschutz und werden auch nicht spezifisch geschult, sondern bilden sich «vor Ort» im Umgang mit konkreten Fällen weiter. Der Datenschutzbeauftragte sieht vor, in Zusammenarbeit mit den Departementen und der BK einen Standardordner auszuarbeiten, der die Aufgabe der Berater erleichtern soll. Im Moment gibt es demnach noch kein spezifisches Ausbildungsangebot in der Bundesverwaltung.
Die befragten Berater sprechen sich grundsätzlich für die Entwicklung eines Ausbildungsangebots aus. Allerdings betonen sie, dass derzeit die Ressourcen für das Absolvieren der Ausbildung fehlen würden.
Alle befragten Berater stellen einstimmig fest, dass in ihren Diensten ein gewisses Bewusstsein für Fragen des Datenschutzes vorhanden ist und dass ihre Ratschläge generell befolgt werden. Dagegen bedauern einige Berater, dass ihre Dienste nicht bereit sind, verbindliche Verpflichtungen betreffend die Ressourcen oder die Inhalte eines Pflichtenheftes für ihre Aufgaben einzugehen. So wurde die Stellenbeschreibung von der GSK unter dem Vorbehalt verabschiedet, dass sie nicht mit der Freistellung zusätzlicher Ressourcen verbunden ist.
3.2
Interne Organisation der Departemente und der BK
Die Aufgaben des Datenschutzberaters werden in Artikel 23 VDSG sehr allgemein umschrieben. Es gibt keine andere Gesetzesgrundlage auf Bundesebene. Das Bundesgesetz vom 24. März 2000 über die Bearbeitung von Personendaten im Eidgenössischen Departement für auswärtige Angelegenheiten (SR 235.2) enthält keine organisatorischen Bestimmungen. Die BK, das EJPD und das VBS verfügen über Richtlinien, welche die Organisation und die Zuständigkeiten im Datenschutz sowie die Aufgaben und Befugnisse der Berater auf der entsprechenden Ebene regeln.
Die Departemente sind dezentral organisiert. Die Berater der Departemente sind für die Beratung der Leitung des Departements, für die interne und externe Koordination und Information zuständig. Die Berater der betroffenen Einheiten verfolgen die Projekte und üben Beratungs-, Ausbildungs- und Informationsfunktionen für die Mitarbeiter auf der Ebene der Verwaltungseinheit aus. Ausser im EJPD ist die interne Koordination in den Departementen nicht institutionalisiert. Zwischen dem Berater des Departements und denjenigen der Einheiten finden regelmässige, aber nur informelle Kontakte statt. In Kontakten am Telefon, per E-Mail oder in gemeinsamen Sitzungen können Informationen ausgetauscht und Umfragen oder Konsultationen durchgeführt werden. Ein Teil der angehörten Berater sieht keinen Bedarf an 1422
einer Institutionalisierung der Koordination; häufig würden spezifische Angelegenheiten behandelt, die nur das fragliche Amt betreffen.
Das EJPD bearbeitet in grossem Umfang sensible Daten. Insofern herrscht in diesem Departement eine besondere Situation. Auf Departementsebene wurde eine Strategie Informationssicherheit mit einem höheren Sicherheitsstandard als der Standard der Bundesverwaltung ausgearbeitet. Die Weisung über die «Informationssicherheit im EJPD Strategie und Zuständigkeiten», die am 1. Mai 2001 in Kraft getreten ist, regelt die Grundsätze, Ziele und die Organisation der Informationssicherheit auf einheitliche Weise. Die Weisung beruht auf einem integralen Sicherheitsprinzip; die Sicherheit und der Schutz von Daten sind eng miteinander verbunden. Die interne Koordination der Tätigkeiten im Bereich Datenschutz und Informatiksicherheit wird von der Arbeitsgruppe Informationssicherheit (AGIS) gewährleistet, zu deren Mitgliedern unter anderem der Berater des Departements und die Berater der Verwaltungseinheiten zählen. Sie tagt drei Mal jährlich. Der Berater des Departements soll die Freigabephasen der Informatikprojekte gemäss dem HERMES-Verfahren genehmigen. So wird jedes Projekt mit Blick auf den Datenschutz geprüft.
3.3
Interdepartementale Koordination
Die interdepartementale Koordination ist Aufgabe der Departementsberater. Sie bilden zusammen mit zwei Vertretern des Datenschutzbeauftragten und dem stellvertretenden Berater des EJPD die interdepartementale Arbeitsgruppe Datenschutz, die grundsätzlich ein- bis zweimal jährlich unter dem Vorsitz der BK tagt. Es handelt sich um ein Koordinationsorgan im Sinne von Artikel 55 Regierungs- und Verwaltungsorganisationsgesetz vom 21. März 1997 (RVOG) (SR 172.010). Die Arbeitsgruppe kann unverbindliche Empfehlungen formulieren, darf aber keine Weisungen erlassen.
Die interdepartementale Arbeitsgruppe Datenschutz besitzt keine formelle Grundlage. Sie wird im von der ehemaligen Verwaltungskontrolle des Bundesrates12 erstellten Verzeichnis departementsübergreifender Gremien und Projektorganisationen sowie auf der Intranet-Website des Rechtsdienstes der BK aufgeführt. Zu den Aufgaben des Departementsberaters gehört gemäss der Stellenbeschreibung die Vertretung des Departements in der Arbeitsgruppe. Ein Versuch, die Präsenz des Beraters in Artikel 23 VDSG zu verankern, scheiterte indessen; bestimmte Departemente vertraten die Auffassung, die Beteiligung in der Arbeitsgruppe dürfe wegen der dadurch verursachten Kosten nicht zwingend sein.
3.4
Zusammenarbeit mit dem Datenschutzbeauftragten
Die Berater sind vom Datenschutzbeauftragten unabhängig. Sie tauschen Informationen aus und arbeiten punktuell zusammen. Gemäss der Neuausrichtung des Datenschutzbeauftragten werden künftig nur noch die Anfragen der Berater beantwortet.
Damit sollen die Abläufe optimiert und die Referenzrolle des Beraters gefestigt 12
Siehe Bericht der Verwaltungskontrolle des Bundesrates vom 23. Juni 2000, «Departementsübergreifende Gremien und Projektorganisationen. Stand und weiteres Vorgehen zum Verzeichnis; Resultate der Überprüfung», Anhang 2.
1423
werden, so dass sich der Datenschutzbeauftragte nur noch mit besonders schwierigen Fragen befassen muss. Umgekehrt werden im Allgemeinen die Interventionen des Datenschutzbeauftragten zuerst den betroffenen Beratern unterbreitet oder diese werden informiert. Die Berater sollen eine Scharnierfunktion zwischen dem Departement bzw. der Verwaltungseinheit und dem Datenschutzbeauftragten übernehmen.
Die Neuorganisation dürfte eine Klärung und Vereinheitlichung der Abläufe sowie eine optimale Nutzung der Kompetenzen der Berater herbeiführen und es erlauben, dass die Berater systematisch und unmittelbar über Probleme unterrichtet werden.
Zwar entspricht sie für bestimmte Berater der gegenwärtigen Lage, aber für die meisten Berater geht sie mit mehr Arbeit und Verantwortungen einher.
3.5
Schlussfolgerungen der GPK-N
Die Rolle der Berater unterscheidet sich je nach Ressourcen, spezifischen Aufgaben, Unterstellung unter den jeweiligen Dienst, Ausbildung oder Einsatz sehr stark. Auch der Grad der Institutionalisierung der Organisation des Datenschutzes in den Departementen und in der BK variiert erheblich. Diese Unterschiede spiegeln die Sensibilität und den Umfang der bearbeiteten Personendaten sowie die Besonderheiten in der Organisation und Kultur wieder. Die GPK-N ist sich zwar bewusst, dass die Departemente und die BK einen breiten Handlungsspielraum besitzen müssen, um sich entsprechend ihrer Besonderheiten zu organisieren, ist aber der Meinung, dass dies die einheitliche Umsetzung eines hohen Standards des Datenschutzes in der gesamten Bundesverwaltung nicht beeinträchtigen darf. Nicht nur ein Departement hat grössere Mengen an sensiblen Daten zu bearbeiten.
Deshalb vertritt die GPK-N die Auffassung, dass bestimmte Aufgaben und Kompetenzen der Berater entweder mit einer Revision der VDSG oder mit dem Erlass von internen Richtlinien in einem gewissen Umfang für jedes Departement einheitlich und verbindlich geregelt werden sollten. Die bereits existierenden Dokumente das von der GSK verabschiedete Pflichtenheft und die internen Richtlinien (insbesondere jene des EJPD) sollen als Anhaltspunkte dienen. Dabei muss die Unabhängigkeit der Berater von der Linie ihres Dienstes gewährleistet werden. Die Datenschutzberater üben zwar keine eigentliche Aufsichtsfunktion aus, haben aber beim Vollzug der Datenschutzvorschriften mitzuwirken (Art. 23 Abs. 1 Bst. c VDSG). Es ist zu gewährleisten, dass sie diese Vorschriften frei auslegen können und im Konfliktfall direkten Zugang zur Leitung des Departements bzw. der Verwaltungseinheit erhalten. Mit Blick auf die künftige Scharnierrolle der Berater müssen die inter- und innerdepartementalen Koordinationsinstrumente verbessert und gestärkt werden.
Diese Instrumente sollen durch die optimale Nutzung der Ressourcen und der verfügbaren Kenntnisse sowie durch einen regelmässigen Informations- und Erfahrungsaustausch Synergien freisetzen. Die interdepartementale Arbeitsgruppe Datenschutz soll unter Berücksichtigung und in Respektierung der Freiheit der einzelnen Departemente und der BK Empfehlungen und verbindliche Richtlinien vorbereiten und deren Umsetzung vollziehen und überwachen können13.
13
Wie z. B. das «Webforum» der Web-Verantwortlichen der Departemente, der Parlamentsdienste und der Bundeskanzlei.
1424
Empfehlung 1 Der Bundesrat sorgt dafür, dass die Aufgaben und Kompetenzen der Datenschutzberater der Departemente und der Verwaltungseinheiten auf Bundesebene einheitlich, detailliert und verbindlich geregelt werden. Die direkte hierarchische Unterstellung der Datenschutzberater unter die Leitung des Departements bzw.
die Leitung der Verwaltungseinheit ist zu gewährleisten. Der Bundesrat achtet ausserdem darauf, dass die inter- und innerdepartementalen Koordinationsinstrumente verbessert und gestärkt werden.
In der Verwaltung wird heute den Beratern weder eine Grundausbildung bei Amtsantritt noch eine Weiterbildung angeboten. Die Berater erwerben ihre Kompetenzen grossteils in der Praxis. Da der Datenschutz jedoch einen sehr komplexen Bereich darstellt, ist es unerlässlich, dass die Berater ein Ausbildungsangebot erhalten. Nach Auffassung der Kommission sollte der Datenschutzbeauftragte einen Teil der Ressourcen, die mit der Neuorganisation frei werden, für die Entwicklung des Ausbildungsangebots für die Berater einsetzen. Im Übrigen handelt es sich dabei um eine Voraussetzung für den Erfolg der Neuorientierung.
Empfehlung 2 Die Geschäftsprüfungskommission des Nationalrates empfiehlt dem Bundesrat, die Entwicklung eines Ausbildungsangebots für die Datenschutzberater zu unterstützen. Im Rahmen des Möglichen sollte der Eidgenössische Datenschutzbeauftragte mit dieser Aufgabe betraut werden.
Ausserdem ist es unverzichtbar, dass die Berater über die erforderlichen Mittel für die Verwirklichung ihrer Mandate verfügen. Dem kommt im Rahmen der Neuorientierung der Tätigkeiten des Datenschutzbeauftragten besondere Bedeutung zu. Das Problem wurde von der GSK an ihrer Sitzung vom 27. Juni 2003 erörtert. Die GSK hat Verständnis für die Gründe der Neuausrichtung des Datenschutzbeauftragten.
Nach Auffassung des EFD muss der sich daraus ergebende zusätzliche Arbeitsaufwand für die Departemente aber nicht intern kompensiert werden. Die GPK-N fordert den Bundesrat deshalb auf, die Aufgaben und Ressourcen der Berater in jedem Einzelfall neu zu bewerten und gegebenenfalls durch Synergiewirkungen zusätzliche Ressourcen freizumachen. Angesichts der erheblichen Unterschiede zwischen den Departementen bzw. zur BK würde sich die Definition eines Mindestarbeitspensums kaum rechtfertigen lassen. Das Pensum der Berater
muss diesen jedoch erlauben, ihre Aufgaben angemessen zu erfüllen. Das bedeutet insbesondere, dass sie sich ausbilden lassen und was die Berater der Departemente betrifft an den Sitzungen der interdepartementalen Arbeitsgruppe teilnehmen können.
1425
Empfehlung 3 Der Bundesrat sorgt dafür, dass die Datenschutzberater über die notwendigen Ressourcen verfügen, um ihre Aufgaben auf angemessene Weise erfüllen zu können. Dabei berücksichtigt er insbesondere die Zunahme der Arbeitslast, die mit der Neuausrichtung der Tätigkeiten des Eidgenössischen Datenschutzbeauftragten einher geht.
4
Zuständigkeiten im Bereich der Datenschutzgesetzgebung
Gemäss dem DSG bezieht der Datenschutzbeauftragte Stellung zu Vorlagen über Erlasse und Massnahmen des Bundes, die für den Datenschutz erheblich sind (Art. 31 Abs. 1 Bst. b DSG) und begutachtet, inwieweit der Datenschutz im Ausland dem schweizerischen gleichwertig ist (Art. 31 Abs. 1 Bst. d DSG). Die Federführung in der Gesetzgebung über den Datenschutz dagegen liegt beim BJ. Die Aufgabenverteilung verfolgt das Ziel, Polizeiaufgaben von den Gesetzesaufgaben zu trennen und damit die Unabhängigkeit des Aufsichtsorgans zu garantieren. So ist heute die Hauptabteilung Staats- und Verwaltungsrechts des BJ bzw. die Abteilung Rechtssetzungsprojekte und -methodik für die allgemeine Datenschutzgesetzgebung federführend. Dort wird dieser Aufgabe ein Stellenäquivalent von 100 % gewidmet.
So führte die Hauptabteilung die Vorbereitungsarbeiten für die Teilrevision des DSG14 durch. In anderen Bundesgesetzen enthaltene Gesetzesbestimmungen über den Datenschutz jedoch werden von den betroffenen Dienststellen der Verwaltung erarbeitet.
Der Datenschutzbeauftragte plädierte dafür, die Gesetzgebungskompetenz im Datenschutzbereich vom BJ zu ihm zu transferieren. Er wurde dabei von der Bundeskanzlerin unterstützt. Der Datenschutzbeauftragte machte geltend, dass die Zuständigkeiten in der Gesetzgebung demjenigen Dienst erteilt werden sollten, welcher mit den praktischen Datenschutzproblemen konfrontiert ist, weil sich dort das entsprechende Fachwissen befinde. Ein Transfer der Gesetzgebungsbefugnisse würde dem Datenschutzbeauftragten einen direkten Zugang zu den politischen Entscheidungsträgern erlauben. Tatsächlich hat der Datenschutzbeauftragte kein selbständiges Antragsrecht beim Bundesrat. Wenn er namentlich bei der Untersuchung der Gleichwertigkeit der schweizerischen und der ausländischen Gesetzgebung Gesetzesänderungen einbringen will, muss er sich an den zuständigen Dienst bzw. an das BJ wenden. In der Praxis sind sich die beiden Seiten einig, dass ihre Zusammenarbeit sehr zufriedenstellend funktioniert. Das BJ achtet darauf, dass der Datenschutzbeauftragte an den Arbeiten zu grundlegenden Fragen, insbesondere an legislativen Arbeiten, beteiligt wird. Die Zusammenarbeit fällt auf institutioneller wie auf persönlicher Ebene leicht vor allem wegen der persönlichen Verbindungen, die vor der Unterstellung des Datenschutzbeauftragten unter die BK geknüpft wurden.
14
Siehe Fussnote 3.
1426
Artikel 31 Absatz 1 VDSG erlaubt es dem Datenschutzbeauftragten, Berichte und Empfehlungen über die Bundeskanzlei an den Bundesrat zu übermitteln. Die Bundeskanzlei bezieht gelegentlich, aber nicht systematisch, Stellung zu den Geschäften. Diese Praxis existierte bereits, als der Datenschutzbeauftragte noch dem EJPD unterstellt war. Der Datenschutzbeauftragte wendet sie relativ restriktiv an: Zum einen wird diese Möglichkeit von bestimmten Mitgliedern des Bundesrates regelmässig in Frage gestellt, zum anderen werden die Hauptprobleme häufig schon geregelt, bevor das Dossier an den Bundesrat gelangt. Allein die Tatsache, dass der Datenschutzbeauftragte einen möglichen direkten Zugang zum Bundesrat hat, wirkt sich präventiv aus und verleiht dem Datenschutzbeauftragten in den verwaltungsinternen Abläufen grosses Gewicht.
Wie schliesslich das BJ betont, wird die Datenschutzgesetzgebung dezentral entwickelt. Der Aufgabentransfer weg vom BJ wäre nicht mit einer Zentralisierung der Gesetzgebungsaufgaben beim Datenschutzbeauftragten gleichzusetzen. Zudem vertritt das BJ die Meinung, dass die heutige Kompetenzverteilung im Gesetzgebungsbereich sinnvollen institutionellen Grundsätzen entspricht. Einerseits gehöre die Federführung für einen Gesetzgebungsbereich nicht zur Stabsfunktion der Bundeskanzlei, vor allem dann nicht, wenn es sich um einen derart heiklen Bereich wie den Datenschutz handle. Diese politische Aufgabe gehöre in die Verantwortung eines Departements. Andererseits könne die Erteilung von Gesetzgebungsaufgaben wegen der in der Gesetzgebung notwendigen Interessensabwägung die Unabhängigkeit des Datenschutzbeauftragten in seinen Aufsichtsaufgaben beeinträchtigen.
Der Datenschutzbeauftragte stelle im Bereich des Datenschutzes höhere Anforderungen und zeige grössere Strenge als die übrigen Dienste, was mit seiner Aufgabe und seiner Aufsichtsfunktion zusammenhänge. In der derzeitigen Organisation spiele das BJ faktisch die Rolle des Schiedsrichters.
Die Kommission hält fest, dass sich die Frage der Zuweisung von Gesetzgebungsbefugnissen an das Aufsichtsorgan nicht nur im Datenschutz stellt. Ziel ist es, ein Gleichgewicht zu finden, um das Fachwissen und die Erfahrungen des Aufsichtsorgans umfassend zu nutzen und gleichzeitig Beschlüsse, welche seine Unabhängigkeit beeinträchtigen könnten,
zu delegieren. Die Zuweisung der Federführung für die Gesetzgebung an das BJ stellt eine politische Entscheidung dar. In Erwägung der Argumente des BJ und des Datenschutzbeauftragten hält die Kommission es nicht für sinnvoll, die Kompetenzen in der Federführung für die Datenschutzgesetzgebung an den Datenschutzbeauftragten zu übertragen. Um jedoch Spannungen und Reibungen zu vermeiden, ist mit klaren Verfahren zu gewährleisten, dass der Datenschutzbeauftragte seine Positionen zur Formulierung der Zielsetzungen und der Strategie im Datenschutzrecht bekannt geben kann.
Grundsätzlich ist gewährleistet, dass der Datenschutzbeauftragte zu Erlassen des Bundesrates, welche sich auf Personendaten beziehen oder den Datenschutz berühren, konsultiert wird15. Nach Meinung der GPK-N ist indessen auch zu gewährleisten, dass die Standpunkte des Datenschutzbeauftragten in den Botschaften des Bundesrates zu Handen der Bundesversammlung transparent dargelegt werden. Das BJ teilt diese Auffassung. Der Leitfaden zum Verfassen von Botschaften des Bundesra-
15
Siehe Richtlinien für die Vorbereitung und Erledigung der Bundesratsgeschäfte (Roter Ordner), am 21. Juni 1996 von der GSK gutgeheissen, Teil Leitfaden zur Ämterkonsultation.
1427
tes16 sieht vor, dass Ziffer 3.4 «Andere Auswirkungen» eine Beschreibung etwaiger Auswirkungen des Entwurfs auf den Datenschutz umfassen soll, insbesondere im Hinblick auf die Bearbeitung von Personendaten, die Einrichtung von OnlineVerbindungen und die diesbezüglich getroffenen Sicherheitsmassnahmen. Die Stellungnahmen des Datenschutzbeauftragten könnten in diesen Absatz aufgenommen werden. Falls der Datenschutz eine zentrale Frage des Entwurfs bildet, könnten auch etwaige abweichende Meinungen des Datenschutzbeauftragten unter Ziffer 1.3 «Begründung und Bewertung der vorgeschlagenen Lösung/Offen gebliebene strittige Punkte» behandelt werden17.
Die GPK-N plädiert ausserdem dafür, dass der Datenschutzbeauftragte von den parlamentarischen Kommissionen angehört wird, wenn die Behandlung eines Geschäfts Datenschutzaspekte umfasst. Der Beschluss, den Datenschutzbeauftragten anzuhören, fällt wohlverstanden gänzlich in die Kompetenz der betroffenen Kommission. Die GPK-N appelliert indessen an den betreffenden Bundesverwaltungsdienst sowie an den Datenschutzbeauftragten selbst, die parlamentarische Kommission aktiv auf den Nutzen einer Anhörung des Datenschutzbeauftragten hinzuweisen. Das gilt insbesondere bei unterschiedlichen Auffassungen zwischen dem Datenschutzbeauftragten und der zuständigen Dienststelle.
Empfehlung 4 Um Spannungen und Reibungen zu vermeiden, muss mit klaren Verfahren gewährleistet werden, dass der Datenschutzbeauftragte seine Positionen zu den Entwicklungen des Datenschutzrechts bekannt geben kann. Der Bundesrat achtet insbesondere darauf, die Standpunkte des Eidgenössischen Datenschutzbeauftragten in seine Botschaften zu Handen der Bundesversammlung einzubeziehen.
5
Zusammenfassende Würdigung und weiteres Vorgehen
Die Untersuchung verfolgte im Wesentlichen das Ziel, eine Bestandsaufnahme zur Organisation des Datenschutzes in der Bundesverwaltung vorzunehmen, etwaige Unzulänglichkeiten aufzuzeigen und die existierenden Handlungsspielräume auszuloten. Damit soll zur Früherkennung von Problemen beigetragen werden. Die Kommission hat festgestellt, dass in der Verwaltung zumindest in den untersuchten Projekten ein Bewusstsein für die Belange des Datenschutzes vorhanden ist. Die Interessen des Datenschutzes bilden immer Gegenstand einer Interessensabwägung.
Der Datenschutzbeauftragte und die betroffenen Bundesstellen sollten sich für einen frühzeitigen konstruktiven Dialog einsetzen. In diesem Rahmen muss sich der Da-
16
17
Siehe der von der Bundeskanzlei erarbeitete Entwurf (Stand August 2003) «Leitfaden zum Verfassen von Botschaften des Bundesrates», der voraussichtlich Anfang 2004 in Kraft treten wird. Das aktuelle «Schema zur Gestaltung von Botschaften des Bundesrates an die Eidgenössischen Räte (Botschaftschema)» enthält eine ähnliche Bestimmung unter Ziffer 3.4.
Siehe Ziffer 1.3 des Leitfadens zum Verfassen von Botschaften des Bundesrates (Fussnote 15).
1428
tenschutzbeauftragte bemühen, den Dialog mit der Bundesverwaltung so lange wie möglich zu suchen, bevor er seine Vorbehalte nach aussen bekannt gibt.
Ein besonderer Schwerpunkt wurde auf die Neuausrichtung der Tätigkeiten des Datenschutzbeauftragten und auf die Rolle der Datenschutzberater in diesem Zusammenhang gesetzt. Nach Meinung der Kommission bleibt die Personaldotierung des Datenschutzbeauftragten zu knapp und muss aufgestockt werden. Der Datenschutzbeauftragte muss in der Lage sein, alle seine gesetzlichen Aufgaben zu erfüllen und insbesondere die begleitende Aufsicht über Projekte der Bundesverwaltung mit Bearbeitungen von Personendaten auszuüben. Ausserdem muss die Rolle der Berater, die in der Beratung und Projektbegleitung arbeitsmässig stark belastet werden, gefestigt werden. Die Kompetenzen und Aufgaben der Berater sollen auf Bundesebene einheitlicher gestaltet werden. Zu gewährleisten ist auch die direkte hierarchische Unterstellung der Berater unter die Leitung. Daneben müssen die Ressourcen von Fall zu Fall neu geprüft werden. Letztlich soll die inter- und innerdepartementale Koordination verbessert und gestärkt werden.
Die Kommission hält eine Kompetenzübertragung in der Federführung der Datenschutzgesetzgebung vom BJ auf den Datenschutzbeauftragten nicht für erforderlich.
Die gegenwärtige Situation entspricht sinnvollen institutionellen Grundsätzen. Nach Meinung beider Seiten funktioniert die Zusammenarbeit zwischen dem BJ und dem Datenschutzbeauftragten sehr zufriedenstellend, womit die Berücksichtigung des Fachwissens des Datenschutzbeauftragten gewährleistet wird. Hinsichtlich des Zugangs des Datenschutzbeauftragten zu den politischen Entscheidungsträgern fordert die GPK-N die betroffenen Stellen auf, die parlamentarischen Kommissionen über den Nutzen einer Anhörung des Datenschutzbeauftragten zu informieren, und empfiehlt dem Bundesrat, die Positionen des Datenschutzbeauftragten in seinen Botschaften an das Parlament klar darzulegen.
Die GPK-N unterbreitet dem Bundesrat den vorliegenden Bericht und die Empfehlungen mit der Bitte, bis Ende März 2004 dazu Stellung zu nehmen.
21. November 2003
Im Namen der Geschäftsprüfungskommission des Nationalrates Die Kommissionspräsidentin: Brigitta M. Gadient, Nationalrätin Die Präsidentin der Subkommission «Allgemeine Fragen»: Stephanie Baumann, Nationalrätin Für das Sekretariat der Geschäftsprüfungskommissionen: Sarah Scholberg
1429
Abkürzungsverzeichnis AGIS BBl BFS BJ BK BSV BWIS DSG EDA EDI EFD EJPD EVD GPK-N GPK-S GSK KVG SR UVEK VBS VDSG
1430
Arbeitsgruppe Informationssicherheit Bundesblatt Bundesamt für Statistik Bundesamt für Justiz Bundeskanzlei Bundesamt für Sozialversicherung Bundesgesetz vom 21. März 1997 über Massnahmen zur Wahrung der inneren Sicherheit, SR 120 Bundesgesetz vom 19. Juni 1992 über den Datenschutz, SR 235.1 Eidgenössisches Departement für auswärtige Angelegenheiten Eidgenössisches Departement des Innern Eidgenössisches Finanzdepartement Eidgenössisches Justiz- und Polizeidepartement Eidgenössisches Volkswirtschaftsdepartement Geschäftsprüfungskommission des Nationalrates Geschäftsprüfungskommission des Ständerates Generalsekretärenkonferenz Bundesgesetz vom 18. März 1994 über die Krankenversicherung, SR 832.10 Systematische Sammlung des Bundesrechts Eidgenössisches Departement für Umwelt, Verkehr, Energie und Kommunikation Eidgenössisches Departement für Verteidigung, Bevölkerungsschutz und Sport Verordnung vom 14. Juni 1993 zum Bundesgesetz über den Datenschutz, SR 235.11