30 Jahre nach dem Inkrafttreten des Bundesgesetzes über den Datenschutz (DSG; SR 235.1) veröffentlichte der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) mit Medienmitteilung vom 26. Juni 2023 seinen 30. Tätigkeitsbericht. Bereits in knapp zwei Monaten wird die totalrevidierte Fassung des DSG in Kraft treten, welche insbesondere der Datenschutzaufsicht des Bundes neue Instrumente zur Verfügung stellt, um «den berechtigten Erwartungen der Bevölkerung an einen rechtsstaatlichen und robusten Schutz ihrer Privatsphäre und informationellen Selbstbestimmung in zeitgemässer Weise gerecht zu werden.» In seiner Medienmitteilung kündigt der EDÖB gleichzeitig an, ab Inkrafttreten des revidierten DSG seine aufsichtsrechtliche Tätigkeit zu intensivieren und die Anzahl der formellen Untersuchungen gar schrittweise zu erhöhen. Welche Herausforderungen der EDÖB derzeit sieht, inwiefern diese insbesondere für Unternehmen relevant sind und welchen anderen Herausforderungen sich der EDÖB im Rahmen seiner Tätigkeit zu stellen hatte, wird im nachfolgenden Beitrag aufgezeigt.
Stichwort: Digitale Verantwortung als unternehmerische Selbstverantwortung
Im Zusammenhang mit der digitalen Transformation als gesamtgesellschaftliche Erscheinung setzt sich jeder Bearbeiter von Daten oder auch Verantwortliche neuen Risiken aus, weshalb aus Sicht des EDÖB «die digitale Verantwortung fortan zur guten Führung gehört». Die Einhaltung des Datenschutzgesetzes sei Teil dies Verantwortung. Mit dem revidierten DSG werden Verantwortliche zu einer «proaktiven Herangehensweise» verpflichtet, wobei das Gesetz neue Instrumente insbesondere zur Herstellung von Transparenz, Vertrauen und Glaubwürdigkeit gegenüber den betroffenen Personen biete. Bei der Bearbeitung von Personendaten müsse es kein Nullrisiko geben, mit den neuen Instrumenten können Verantwortliche jedoch Restrisiken ermitteln, mindern und eigenverantwortlich eingehen und mit diesem Vorgehen die Privatsphäre und die informationelle Selbstbestimmung aller Betroffenen gewährleisten. Es sei auch bei der technischen Sicherheit proaktives Denken geboten, um namentlich Cyberangriffen mit vorausschauenden Massnahmen zu begegnen.
Grenze der digitalen Selbstverantwortung
Der Gesetzgeber hat mit dem revidierten DSG der digitalen Selbstverantwortung der Verantwortlichen aber auch eine Grenze gesetzt: zeichnet sich bei der Umsetzung eines Projekts ab, dass eine künftige Bearbeitung von Personendaten potentiell mit einem hohen Risiko verbunden ist, verpflichtet das neue DSG das Unternehmen bzw. den Verantwortlichen, eine sogenannte Datenschutz-Folgeabschätzung (DSFA) zu machen, um das sich abzeichnende Risiko genauer zu bestimmen und notwendige Schutzmassnahmen zu treffen. Bleibt das Risiko der Bearbeitung auch nach Durchführung der als angemessen erachteten Schutzmassnahmen hoch, verlangt das neue DSG ein Einschalten des EDÖB – die DSFA ist dem EDÖB zur Prüfung vorzulegen. Aber Achtung: der EDÖB hält ausdrücklich fest, dass die daraufhin erfolgende Stellungnahme des EDÖB nicht als «Bewilligung» des geplanten Projekts zu werten sei! Weigere sich ein Verantwortlicher namentlich wichtige Einwände oder Anregungen des EDÖB zu befolgen, kann dieser aufsichtsrechtlich tätig werden, mithin gar eine Untersuchung eröffnen und nötigenfalls auch ein Verbot der Bearbeitung verfügen. Genau diese Aufsichtstätigkeit wird der EDÖB gemäss seiner Ankündigung intensivieren und die Anzahl an Untersuchungen erhöhen.
Gemäss veröffentlichtem Tätigkeitsbericht sah sich der EDÖB im Rahmen seiner Tätigkeit im Jahr 2022/2023 im Bereich Datenschutz einigen Herausforderungen gegenüber. Diejenigen, welche aus Sicht von Unternehmen womöglich besonders interessant sein dürften, werden nachfolgend beispielhaft aufgegriffen:
Datenbearbeitung im Rahmen von zertifizierten Systemen
Gemeinsam mit dem revidierten Datenschutzgesetz soll am 1. September 2023 auch die neue Verordnung über Datenschutzzertifizierungen (VDSZ; SR 235.13) in Kraft treten. Der EDÖB hat das Bundesamt für Justiz (BJ) bei den Rechtsetzungsarbeiten zur neuen VDSZ beraten und äussert sich im Rahmen des Tätigkeitsberichts zur Handhabung von Datenbearbeitungen von zertifizierten Systemen. Mittels Datenschutzzertifizierung entfällt bei Verantwortlichen auch bei einem hohen Risiko für die Persönlichkeit der betroffenen Personen die Pflicht einer DSFA und es besteht die Möglichkeit, die Einhaltung der Datenschutzgesetzgebung (einfach) zu dokumentieren. Die Zertifizierung von (Management-)Systemen gehe dabei über die Möglichkeiten der europäischen Datenschutzzertifizierung hinaus. Diese umfassen lediglich Produkte, Dienstleistungen und Prozesse. Ausländische Zertifizierungen, die den Anforderungen der Schweiz entsprechen, werden anerkannt, ebenso wie Zertifizierungsstellen, die mit der Schweizerischen Akkreditierungsstelle (SAS) zusammenarbeiten. Die Datenschutzzertifizierung wird vom EDÖB als bedeutendes Mittel zur Förderung des Datenschutzes und der Transparenz in der Schweiz angesehen.
Bundesgericht entscheidet gegen das Recht auf Information von Drittpersonen in der internationalen Steueramtshilfe
Im Jahr 2019 hiess das Bundesverwaltungsgericht eine Beschwerde des EDÖB gut, die forderte, dass in internationaler Steueramtshilfe auch die vom Amtshilfeersuchen nicht betroffenen Personen, d.h. Drittpersonen, im Voraus informiert werden sollten, wenn ihr Name ungeschwärzt an die ersuchende ausländische Behörde übermittelt werden soll. Diese Informationspflicht sollte Drittpersonen die Möglichkeit einräumen sich gegen die unrechtmässige Übermittlung ihrer Daten zu wehren. Die Eidgenössische Steuerverwaltung (ESTV) erhob gegen dieses Urteil Beschwerde beim Bundesgericht. Im Dezember 2021 änderte das Bundesgericht seine Praxis zugunsten des ESTV und hob das frühere Urteil auf, nachdem es in einer anderen Angelegenheit ein Grundsatzurteil (BGE 146 I 172) gefällt hatte. Anstatt einer allgemeinen Informationspflicht nachzukommen, müssen nur solche Drittpersonen informiert werden, bei denen die Beschwerdeberechtigung aufgrund der Akten geradezu offensichtlich ist. Eine generelle vorgängige Informationspflicht, die der EDÖB verlangte, verneinte das Bundesgericht und verwies auf die diesem Ansatz entgegenstehende gesetzliche Regelung im Steueramtshilfegesetz. Somit scheint zumindest aus datenschutzrechtlicher Sicht die Möglichkeit, sich gegen eine bevorstehende Datenübermittlung zur Wehr zu setzen, massiv eingeschränkt worden zu sein.
Vorabklärung aufgrund von Cyberangriffen
Ende November 2022 wurde der Hosting-Provider Infopro AG Opfer eines Cyberangriffs, wodurch Geschäftskunden vorübergehend den Zugriff auf die Cloud-Applikation und auf die in der Cloud gespeicherten Personendaten verloren. Aufgrund dessen eröffnete der EDÖB eine Vorabklärung. Zur raschen Sachverhaltsabklärung und Prüfung der erhaltenen Anfragen wurde mit dem betroffenen Unternehmen Kontakt aufgenommen. Insbesondere galt es Aussagen zu überprüfen, wonach Kunden aufgrund einer Sicherheitslücke in der Software auf Daten anderer Kunden Zugriff erhielten. Im Rahmen der Vorabklärung sah sich das Unternehmen mit einer umfassenden Mitwirkungspflicht wie namentlich Fragekatalogen konfrontiert. Darüber hinaus fand ein Austausch mit den kantonalen Datenschutzbehörden (privatim) und dem Nationalen Zentrum für Cybersicherheit (NCSC) statt, das zusammen mit den zuständigen Strafverfolgungsbehörden tätig wird. Unter Bezugnahme auf die erhaltenen Antworten stellte der EDÖB fest, dass die Unternehmen angemessene Massnahmen ergriffen hatten, um die Kontrolle über die Daten wiederzuerlangen und die betroffenen Kunden zu informieren. Der EDÖB sah vorerst keinen Bedarf für zusätzliche Maßnahmen, da keine Sicherheitslücke bestätigt wurde. Insofern kann gesagt werden, dass sich das betroffene Unternehmen seinem proaktiven Handlungsbedarf bewusst war und unter Umständen durch dieses selbstverantwortliche Handeln weitere Untersuchungshandlungen des EDÖB vermeiden konnte.
Cybersicherheit: Änderung des Informationssicherheitsgesetzes (ISG)
Sodann äussert sich der EDÖB in seinem Tätigkeitsbericht zur angestrebten Änderung des Bundesgesetzes über die Informationssicherheit (Informationssicherheitsgesetz, ISG; SR 128). Das Eidgenössischen Finanzdepartement (EFD) wurde angesichts der sich häufenden Cybervorfälle sowohl bei Privatpersonen als auch bei Unternehmen vom Bundesrat mit der Erarbeitung von Rechtsgrundlagen für die Einführung einer Meldepflicht für Cyberangriffe auf kritische Infrastrukturen beauftragt. Diese Meldungen sollen an das Nationale Zentrum für Cybersicherheit (NCSC) erfolgen, um diesem insbesondere einen besseren Überblick über Cyberattacken in der Schweiz zu verschaffen. In diesem Zusammenhang wurde im Entwurf vorgesehen, dass Meldungen an das NCSC vom Bundesgesetz über das Öffentlichkeitsprinzip der Verwaltung (Öffentlichkeitsgesetz, BGÖ; SR 152.3) ausgenommen werden. Diese Änderung stösst beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) auf Ablehnung, da sie das Öffentlichkeitsprinzip beeinträchtige und die Aufgabe des NCSC als zentrale Meldestelle behindere. Gegen die getroffenen Spezialbestimmungen beantragte der EDÖB den Rückzug ebendieser. Die Forderung des EDÖB wurde vom EFD teilweise erfüllt, indem der Geltungsbereich der Ausnahme reduziert wurde. Diese Eingrenzung wurde vom EDÖB zwar begrüsst, geht ihm aber noch nicht weit genug. Aus Sicht der Unternehmen ist diese Entwicklung dahingehend zu berücksichtigen, als dass sie in ihren Meldungen tendenziell Zurückhaltung üben sollte, da die Gefahr besteht, dass gestützt auf das Öffentlichkeitsgesetz mittels einem Zugangsgesuch Informationen des Unternehmens erlangt werden können, die nicht für Drittpersonen bestimmt sind.
Quellen
- Medienmitteilung des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) vom 26. Juni 2023
- Tätigkeitsbericht 2022/2023 des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) vom 31. März 2023